CN104980446A - 一种恶意行为的检测方法及系统 - Google Patents
一种恶意行为的检测方法及系统 Download PDFInfo
- Publication number
- CN104980446A CN104980446A CN201510386083.7A CN201510386083A CN104980446A CN 104980446 A CN104980446 A CN 104980446A CN 201510386083 A CN201510386083 A CN 201510386083A CN 104980446 A CN104980446 A CN 104980446A
- Authority
- CN
- China
- Prior art keywords
- address
- malicious
- detected
- addresses
- reputation score
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
Abstract
本发明实施例提供了一种恶意行为的检测方法及系统。一方面,本发明实施例通过获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址,以作为待检测IP地址;从而,对所述待检测IP地址进行恶意行为检测,以获得检测结果。因此,本发明实施例提供的技术方案利用IP地址实现恶意行为的检测,用以解决现有技术中利用不断更换域名或者更新恶意文件内容来躲避恶意行为的检测的问题,能够提高恶意行为的检出率。
Description
【技术领域】
本发明涉及计算机技术领域,尤其涉及一种恶意行为的检测方法及系统。
【背景技术】
随着互联网技术的快速发展,网络中出现了大量的恶意攻击行为。攻击者使用物理设备并利用网络上获取到的资源,在网络上开展恶意攻击行为,如进行僵尸网络的自动更新下载、恶意代码的自动更新下载、网络钓鱼、使用网络自动化扫描器或者垃圾邮件自动发送等。
现有技术中是利用传统的检测软件来对恶意行为进行检测,如杀毒软件收集攻击者所使用的统一资源定位符(Uniform Resource Locator,URL)和恶意文件,然后对URL和恶意文件进行恶意行为的检测。然而,攻击者会通过不断的更换URL的域名或者更新恶意文件的内容等手段,来躲避杀毒软件的检测,降低了恶意行为的检出率。
【发明内容】
有鉴于此,本发明实施例提供了一种恶意行为的检测方法及系统,用以解决现有技术中利用不断更换域名或者更新恶意文件内容来躲避恶意行为的检测的问题,能够提高恶意行为的检出率。
本发明实施例的一方面,提供一种恶意行为的检测方法,包括:
获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址,以作为待检测IP地址;
对所述待检测IP地址进行恶意行为检测,以获得检测结果。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述对所述待检测IP地址进行恶意行为检测,以获得检测结果,包括:
根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值;
根据所述待检测IP地址的信誉分值,获得所述待检测IP地址的恶意行为检测的检测结果。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值之前,所述方法还包括:
采集恶意IP地址;
根据所述恶意IP地址的采集来源和采集来源的数据更新频率中至少一个,获得所述恶意IP地址的信誉分值;
对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值,以生成所述IP地址信誉库。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述方法还包括:
根据信誉分值的有效期,若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化,在所述有效期之后,降低所述恶意IP地址的信誉分值。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述方法还包括:
若所述检测结果为所述待检测IP地址属于恶意IP地址,显示提示信息,所述提示信息用以指示用户进行相应的操作;或者,
若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址,不显示提示信息。
本发明实施例的一方面,提供一种恶意行为的检测系统,包括:
获取单元,用于获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址,以作为待检测IP地址;
检测单元,用于对所述待检测IP地址进行恶意行为检测,以获得检测结果。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述检测单元,具体用于:
根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值;
根据所述待检测IP地址的信誉分值,获得所述待检测IP地址的恶意行为检测的检测结果。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述系统还包括:
采集单元,用于采集恶意IP地址;
计算单元,用于根据所述恶意IP地址的采集来源和采集来源的数据更新频率中至少一个,获得所述恶意IP地址的信誉分值;
存储单元,用于对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值,以生成所述IP地址信誉库。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述计算单元,还用于:
根据信誉分值的有效期,若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化,在所述有效期之后,降低所述恶意IP地址的信誉分值。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述系统还包括:
输出单元,用于若所述检测结果为所述待检测IP地址属于恶意IP地址,显示提示信息,所述提示信息用以指示用户进行相应的操作;或者,若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址,不显示提示信息。
由以上技术方案可以看出,本发明实施例具有以下有益效果:
本发明实施例提供的技术方案,能够利用IP地址来实现恶意行为的检测,恶意行为的检测是针对IP地址进行的,因此,能够解决现有技术中攻击者通过不断更换域名或者更新恶意文件内容来躲避恶意行为的检测的问题,因此,本发明实施例所提供的技术方案能够提高恶意行为的检出率。
【附图说明】
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1是本发明实施例所提供的恶意行为的检测方法的流程示意图;
图2是本发明实施例所提供恶意行为的检测方法的系统架构图;
图3是本发明实施例所提供的恶意行为的检测系统的功能方块图。
【具体实施方式】
为了更好的理解本发明的技术方案,下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
实施例一
本发明实施例给出一种恶意行为的检测方法,请参考图1,其为本发明实施例所提供的恶意行为的检测方法的流程示意图,如图所示,该方法包括以下步骤:
S101,获取客户端访问的URL所对应的IP地址,以作为待检测IP地址。
S102,对所述待检测IP地址进行恶意行为检测,以获得检测结果。
需要说明的是,S101~S102的执行主体可以为恶意行为的检测系统,该系统可以位于本地终端的应用,或者还可以为位于本地终端的应用中的插件或软件开发工具包(Software Development Kit,SDK)等功能单元,或者还可以位于服务器侧,或者还可以部分位于本地终端,其余部分位于服务器侧,本发明实施例对此不进行特别限定。
需要说明的是,本发明实施例中所涉及的终端可以包括但不限于个人计算机(Personal Computer,PC)、个人数字助理(Personal Digital Assistant,PDA)、无线手持设备、平板电脑(Tablet Computer)、手机、MP3播放器、MP4播放器等。
可以理解的是,所述应用可以是安装在终端上的应用程序(nativeApp),或者还可以是终端上的浏览器的一个网页程序(webApp),本发明实施例对此不进行限定。
实施例二
基于上述实施例一所提供的恶意行为的检测方法,本发明实施例对S101中获取客户端访问的统一资源定位符URL所对应的IP地址,以作为待检测IP地址的方法进行具体描述。该步骤具体可以包括:
请参考图2,其为本发明实施例所提供恶意行为的检测方法的系统架构图。可以理解的是,如图2所示,S101的执行主体可以为客户端,或者也可以为服务器。其中,若S101的执行主体为客户端,则可以由客户端获取所述客户端访问的URL所对应的IP地址,以作为待检测IP地址。若S101的执行主体为服务器,则由客户端获取所述客户端访问的URL所对应的IP地址,以作为待检测IP地址,然后所述客户端进一步将获取所述待检测IP地址发送给所述服务器,这样,所述服务器就可以接收所述客户端发送的待检测IP地址。
举例说明,本发明实施例中,所述客户端获取访问的URL所对应的IP地址的方法可以包括但不限于以下两种:
第一种:所述客户端根据用户请求访问的URL,向域名系统(DomainName System,DNS)发送查询请求。收到所述查询请求后,所述域名系统从该URL中获取域名,进而在自身存储的域名与IP地址的映射关系中进行查询,以获得URL中包含的域名所对应的IP地址,域名系统将查询到的IP地址返回给所述客户端,该IP地址可以作为客户端访问的URL所对应的IP地址。
第二种:所述客户端可以根据用户请求访问的URL,发起针对该URL的超文本传输协议(Hyper Text Transfer Protocol,HTTP)请求。提供该URL所指示的页面资源的服务器在收到HTTP请求后,根据请求访问的URL获得页面资源和IP地址,然后将页面资源和IP地址打包后发送给所述客户端。这样,所述客户端就可以从接收到的数据包中获得访问的URL所对应的IP地址。
实施例三
基于上述实施例一所提供的恶意行为的检测方法和实施例二,本发明实施例对S102中对所述待检测IP地址进行恶意行为检测,以获得检测结果的方法进行具体描述。该步骤具体可以包括:
可以理解的是,若S101的执行主体为客户端,S102的执行主体可以为客户端,或者也可以为服务器。若S101的执行主体为服务器,则S102的执行主体可以为服务器。
举例说明,对所述待检测IP地址进行恶意行为检测,以获得检测结果的方法可以包括但不限于:
首先,根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值。然后,根据所述待检测IP地址的信誉分值,获得所述待检测IP地址的恶意行为检测的检测结果。
在一个具体的实现过程中,在根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值之前,需要预先生成所述IP地址信誉库。
需要说明的是,本发明实施例中,由服务器生成所述IP地址信誉库。
在一个具体的实现过程中,若S102的执行主体为客户端,则所述服务器在生成所述IP地址信誉库后,需要将所述IP地址信誉库发送给所述客户端,以便于所述客户端可以在获得待检测IP地址后,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值。或者,如图2所示,若S102的执行主体为服务器,则所述服务器可以在生成所述IP地址信誉库后,若收到所述客户端发送的所述待检测IP地址,则可以直接查询IP地址信誉库,以获得所述待检测IP地址的信誉分值。
举例说明,本发明实施中,所述服务器生成所述IP地址信誉库的方法可以包括但不限于:
如图2所示,首先,所述服务器采集恶意IP地址。然后,所述服务器根据恶意IP地址的采集来源和采集来源的数据更新频率中至少一个,获得所述恶意IP地址的信誉分值。最后,所述服务器对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值,以生成所述IP地址信誉库。
可以理解的是,所述恶意IP地址可以包括但不限于以下类型的IP地址:僵尸网络C&C的IP地址、恶意代码的下载源的IP地址、钓鱼网址所对应的IP地址、恶意扫描源的IP地址、垃圾邮件发送者的IP地址等。
在一个具体的实现过程中,所述服务器可以将与自身相关的数据平台和第三方数据平台作为恶意IP地址的采集来源,进而从与自身相关的数据平台以及第三方数据平台采集所述恶意IP地址。
例如,所述第三方数据平台可以包括但不限于:Virustotal、Clean MX、Malc0de、Malware Domain List、OpenBL、Phishtank、Spy Eye Tracker、TheSpamhaus Project、Zeus Tracker、Brute Force Blocker、Chaos Reigns等常见的数据平台。
在一个具体的实现过程中,所述服务器可以根据预设的数据更新频率,周期性的从采集来源采集所述恶意IP地址,以实现所述IP地址信誉库中恶意IP地址的更新。然而,不同的采集来源的数据更新频率可以相同,也可以不同。例如,有的采集来源可以按小时进行更新,有的采集来源可以按天进行更新,有的采集来源可以按周进行更新。
举例说明,所述服务器根据恶意IP地址的采集来源和采集来源的数据更新频率中至少一个,获得所述恶意IP地址的信誉分值的方法可以包括但不限于:
采集的每个恶意IP地址的初始分值为50分,可以先根据恶意IP数据的采集来源,在恶意IP地址的初始分值的基础上增加分值。
例如,如果某恶意IP地址是从与服务器相关的数据平台采集的恶意IP地址,则该恶意IP地址的信誉分值在初始分值的基础上增加15分;如果某恶意IP地址的采集来源是所述第三方数据平台中的一个,则该恶意IP地址的信誉分值在初始分值的基础上增加10分;如果某恶意IP地址的采集来源是所述第三方数据平台中的至少两个,表示该恶意IP地址在至少两个数据平台中被认定是恶意IP地址,则该恶意IP地址的信誉分值在初始分值的基础上增加30分。
进一步的,还可以根据采集来源的数据更新频率,增加恶意IP地址的信誉分值。
例如,如果恶意IP地址的采集来源的数据更新频率是按小时进行更新,则该恶意IP地址的信誉分值可以再增加10分。如果恶意IP地址的采集来源的数据更新频率是按天进行更新,则该恶意IP地址的信誉分值可以再增加5分。如果恶意IP地址的采集来源的数据更新频率是按周或者按照更长时间进行更新,则不增加该恶意IP地址的信誉分值。若该恶意IP地址连接30天在进行更新时被采集为恶意IP地址,则该恶意IP地址的信誉分值可以再增加15分。如此,利用上述两种增加分值的方法中任意一种可以获得恶意IP地址的信誉分值,也可以两种增加分值的方法一起使用,来获得恶意IP地址的信誉分值。
在一个具体的实现过程中,还可以根据信誉分值的有效期,若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化,在所述有效期之后,降低所述恶意IP地址的信誉分值。
例如,所述信誉分值的有效期设为30天,若IP地址信誉库中某恶意IP地址的信誉分值在30天内都没有发生变化,在30天后,可以根据之前增加的分值,对所述恶意IP地址的信誉分值进行递减。
需要说明的是,所述恶意IP地址的信誉分值的最小值为1,不可以递减为0。其原因是本发明实施例中,可以将正常IP地址的信誉分值设置为0,而出现过的恶意IP地址,即使其信誉分值已经在减少,但是也不能作为正常IP地址,因此其信誉分值不能减到0。
在一个具体的实现过程中,对应存储所述恶意IP地址以及获得的所述恶意IP地址的信誉分值,以生成所述IP地址信誉库。另外,生成的所述IP地址信誉库还需要包含正常IP地址与正常IP地址的信誉分值的对应关系。
优选的,所述正常IP地址可以由人工进行采集,并为正常IP地址配置信誉分值,如正常IP地址的信誉分值可以配置为0。这样,就可以所述IP地址信誉库中就可以对应存储正常IP地址与正常IP地址的信誉分值。
举例说明,本发明实施例中,根据所述待检测IP地址的信誉分值,获得所述待检测IP地址的恶意行为检测的检测结果的方法可以包括但不限于:
以待检测IP地址的信誉分值在0~100范围内为例,若所述待检测IP地址的信誉分值等于0,表示所述待检测IP地址属于白名单,确定所述待检测IP地址的恶意行为的检测结果为所述待检测IP地址为正常IP地址。若所述待检测IP地址的信誉分值大于0且小于或者等于50分,所述待检测IP地址的恶意行为的检测结果为所述待检测IP地址为未知IP地址。若所述待检测IP地址的信誉分值大于50分且小于75分,所述待检测IP地址的恶意行为的检测结果为所述待检测IP地址为疑似恶意IP地址。若所述待检测IP地址的信誉分值大于或者等于75分且小于或者等于100分,表示所述待检测IP地址属于黑名单,确定所述待检测IP地址的恶意行为的检测结果为所述待检测IP地址为恶意IP地址。
实施例四
基于上述实施例一所提供的恶意行为的检测方法、实施例二和实施例三,对恶意行为的检测方法的可选步骤进行具体描述。该步骤具体可以包括:
如图2所示,在一个具体的实现过程中,若S102的执行主体为服务器,则本步骤中,所述服务器向所述客户端输出所述待检测IP地址的恶意行为检测的检测结果。若所述检测结果为所述待检测IP地址属于恶意IP地址,所述客户端可以向用户显示提示信息,所述提示信息用以指示用户进行相应的操作,例如可以停止访问该恶意IP地址所对应的URL。或者,若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址,所述客户端可以不向用户显示提示信息,可以继续访问该待检测IP地址所对应的URL。
需要说明的是,若所述服务器获得所述待检测IP地址的恶意行为的检测结果,当所述检测结果是恶意IP地址、未知IP地址或者正常IP地址时,所述服务器可以向所述客户端输出所述检测结果。当所述检测结果是未知IP地址时,所述服务器可以不输出所述检测结果。
在一个具体的实现过程中,若S102的执行主体为客户端,则本步骤中,若所述检测结果为所述待检测IP地址属于恶意IP地址,所述客户端可以向用户显示提示信息,所述提示信息用以指示用户进行相应的操作,例如可以停止访问该恶意IP地址所对应的URL。或者,若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址,所述客户端可以不向用户显示提示信息,可以继续访问该待检测IP地址所对应的URL。
例如,所述客户端可以通过弹窗提示方式向用户显示提示信息。
本发明实施例进一步给出实现上述方法实施例中各步骤及方法的装置实施例。
请参考图3,其为本发明实施例所提供的恶意行为的检测系统的功能方块图。如图所示,该系统包括:
获取单元30,用于获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址,以作为待检测IP地址;
检测单元31,用于对所述待检测IP地址进行恶意行为检测,以获得检测结果。
优选的,所述检测单元31,具体用于:
根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值;
根据所述待检测IP地址的信誉分值,获得所述待检测IP地址的恶意行为检测的检测结果。
可选的,所述系统还包括:
采集单元32,用于采集恶意IP地址;
计算单元33,用于根据所述恶意IP地址的采集来源和采集来源的数据更新频率中至少一个,获得所述恶意IP地址的信誉分值;
存储单元34,用于对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值,以生成所述IP地址信誉库。
可选的,所述计算单元33,还用于:
根据信誉分值的有效期,若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化,在所述有效期之后,降低所述恶意IP地址的信誉分值。
可选的,所述系统还包括:
输出单元35,用于若所述检测结果为所述待检测IP地址属于恶意IP地址,显示提示信息,所述提示信息用以指示用户进行相应的操作;或者,若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址,不显示提示信息。
由于本实施例中的各单元能够执行图1所示的方法,本实施例未详细描述的部分,可参考对图1的相关说明。
本发明实施例的技术方案具有以下有益效果:
本发明实施例中,通过获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址,以作为待检测IP地址;从而,对所述待检测IP地址进行恶意行为检测,以获得检测结果。
本发明实施例提供的技术方案,能够利用IP地址来实现恶意行为的检测,恶意行为的检测是针对IP地址进行的,因此,能够解决现有技术中攻击者通过不断更换域名或者更新恶意文件内容来躲避恶意行为的检测的问题,因此,本发明实施例所提供的技术方案能够提高恶意行为的检出率。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机装置(可以是个人计算机,服务器,或者网络装置等)或处理器(Processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种恶意行为的检测方法,其特征在于,所述方法包括:
获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址,以作为待检测IP地址;
对所述待检测IP地址进行恶意行为检测,以获得检测结果。
2.根据权利要求1所述的方法,其特征在于,所述对所述待检测IP地址进行恶意行为检测,以获得检测结果,包括:
根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值;
根据所述待检测IP地址的信誉分值,获得所述待检测IP地址的恶意行为检测的检测结果。
3.根据权利要求2所述的方法,其特征在于,所述根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值之前,所述方法还包括:
采集恶意IP地址;
根据所述恶意IP地址的采集来源和采集来源的数据更新频率中至少一个,获得所述恶意IP地址的信誉分值;
对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值,以生成所述IP地址信誉库。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
根据信誉分值的有效期,若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化,在所述有效期之后,降低所述恶意IP地址的信誉分值。
5.根据权利要求1至3中任一项所述的方法,其特征在于,所述方法还包括:
若所述检测结果为所述待检测IP地址属于恶意IP地址,显示提示信息,所述提示信息用以指示用户进行相应的操作;或者,
若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址,不显示提示信息。
6.一种恶意行为的检测系统,其特征在于,所述系统包括:
获取单元,用于获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址,以作为待检测IP地址;
检测单元,用于对所述待检测IP地址进行恶意行为检测,以获得检测结果。
7.根据权利要求6所述的系统,其特征在于,所述检测单元,具体用于:
根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值;
根据所述待检测IP地址的信誉分值,获得所述待检测IP地址的恶意行为检测的检测结果。
8.根据权利要求7所述的系统,其特征在于,所述系统还包括:
采集单元,用于采集恶意IP地址;
计算单元,用于根据所述恶意IP地址的采集来源和采集来源的数据更新频率中至少一个,获得所述恶意IP地址的信誉分值;
存储单元,用于对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值,以生成所述IP地址信誉库。
9.根据权利要求8所述的系统,其特征在于,所述计算单元,还用于:
根据信誉分值的有效期,若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化,在所述有效期之后,降低所述恶意IP地址的信誉分值。
10.根据权利要求6至8中任一项所述的系统,其特征在于,所述系统还包括:
输出单元,用于若所述检测结果为所述待检测IP地址属于恶意IP地址,显示提示信息,所述提示信息用以指示用户进行相应的操作;或者,若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址,不显示提示信息。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510386083.7A CN104980446A (zh) | 2015-06-30 | 2015-06-30 | 一种恶意行为的检测方法及系统 |
| PCT/CN2015/092567 WO2017000439A1 (zh) | 2015-06-30 | 2015-10-22 | 一种恶意行为的检测方法、系统、设备及计算机存储介质 |
| US15/528,291 US20170318041A1 (en) | 2015-06-30 | 2015-10-22 | Method and system for detecting malicious behavior, apparatus and computer storage medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510386083.7A CN104980446A (zh) | 2015-06-30 | 2015-06-30 | 一种恶意行为的检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104980446A true CN104980446A (zh) | 2015-10-14 |
Family
ID=54276549
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510386083.7A Pending CN104980446A (zh) | 2015-06-30 | 2015-06-30 | 一种恶意行为的检测方法及系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20170318041A1 (zh) |
| CN (1) | CN104980446A (zh) |
| WO (1) | WO2017000439A1 (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105959294A (zh) * | 2016-06-17 | 2016-09-21 | 北京网康科技有限公司 | 一种恶意域名鉴别方法及装置 |
| CN106302534A (zh) * | 2016-09-30 | 2017-01-04 | 微梦创科网络科技(中国)有限公司 | 一种检测和处理非法用户的方法及系统 |
| CN106912064A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 无线网络的网络配置检测修复方法及装置 |
| CN106912039A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 无线网络的网络配置检测修复方法及装置 |
| CN107612946A (zh) * | 2017-11-03 | 2018-01-19 | 北京奇艺世纪科技有限公司 | Ip地址的检测方法、检测装置和电子设备 |
| CN109617915A (zh) * | 2019-01-15 | 2019-04-12 | 成都知道创宇信息技术有限公司 | 一种基于页面访问拓扑的异常用户挖掘方法 |
| CN109617914A (zh) * | 2019-01-15 | 2019-04-12 | 成都知道创宇信息技术有限公司 | 一种基于ip征信的云安全防护方法 |
| CN109635215A (zh) * | 2018-12-21 | 2019-04-16 | 百度在线网络技术(北京)有限公司 | 编码安全检测方法、装置、终端及可读存储介质 |
| CN110247916A (zh) * | 2019-06-20 | 2019-09-17 | 四川长虹电器股份有限公司 | 恶意域名检测方法 |
| CN110572416A (zh) * | 2019-10-15 | 2019-12-13 | 赛尔网络有限公司 | 黑名单生成方法、装置、电子设备及介质 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10848502B2 (en) | 2015-12-01 | 2020-11-24 | Webroot Inc. | Detection and prevention of hostile network traffic flow appropriation and validation of firmware updates |
| CN108847962B (zh) * | 2018-05-30 | 2022-01-07 | 新华三信息安全技术有限公司 | 一种信息审计方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070011744A1 (en) * | 2005-07-11 | 2007-01-11 | Cox Communications | Methods and systems for providing security from malicious software |
| CN102663000A (zh) * | 2012-03-15 | 2012-09-12 | 北京百度网讯科技有限公司 | 恶意网址数据库的建立方法、恶意网址的识别方法和装置 |
| CN102739653A (zh) * | 2012-06-06 | 2012-10-17 | 奇智软件(北京)有限公司 | 一种针对网址的检测方法及装置 |
| CN103023905A (zh) * | 2012-12-20 | 2013-04-03 | 北京奇虎科技有限公司 | 一种用于检测恶意链接的设备、方法及系统 |
| CN104219230A (zh) * | 2014-08-21 | 2014-12-17 | 腾讯科技(深圳)有限公司 | 识别恶意网站的方法及装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130007882A1 (en) * | 2011-06-28 | 2013-01-03 | The Go Daddy Group, Inc. | Methods of detecting and removing bidirectional network traffic malware |
| CN103442361B (zh) * | 2013-09-09 | 2017-01-25 | 北京网秦天下科技有限公司 | 移动应用的安全性检测方法及移动终端 |
| US9270693B2 (en) * | 2013-09-19 | 2016-02-23 | The Boeing Company | Detection of infected network devices and fast-flux networks by tracking URL and DNS resolution changes |
| US9413782B1 (en) * | 2014-03-31 | 2016-08-09 | Juniper Networks, Inc. | Malware detection using internal malware detection operations |
| US9202249B1 (en) * | 2014-07-03 | 2015-12-01 | Palantir Technologies Inc. | Data item clustering and analysis |
| KR101547999B1 (ko) * | 2014-09-02 | 2015-08-27 | 한국전자통신연구원 | 악성링크 자동 탐지 장치 및 방법 |
| US10154049B2 (en) * | 2015-05-13 | 2018-12-11 | Preempt Security, Inc. | System and method for providing an in-line sniffer mode network based identity centric firewall |
-
2015
- 2015-06-30 CN CN201510386083.7A patent/CN104980446A/zh active Pending
- 2015-10-22 US US15/528,291 patent/US20170318041A1/en not_active Abandoned
- 2015-10-22 WO PCT/CN2015/092567 patent/WO2017000439A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070011744A1 (en) * | 2005-07-11 | 2007-01-11 | Cox Communications | Methods and systems for providing security from malicious software |
| CN102663000A (zh) * | 2012-03-15 | 2012-09-12 | 北京百度网讯科技有限公司 | 恶意网址数据库的建立方法、恶意网址的识别方法和装置 |
| CN102739653A (zh) * | 2012-06-06 | 2012-10-17 | 奇智软件(北京)有限公司 | 一种针对网址的检测方法及装置 |
| CN103023905A (zh) * | 2012-12-20 | 2013-04-03 | 北京奇虎科技有限公司 | 一种用于检测恶意链接的设备、方法及系统 |
| CN104219230A (zh) * | 2014-08-21 | 2014-12-17 | 腾讯科技(深圳)有限公司 | 识别恶意网站的方法及装置 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106912064B (zh) * | 2015-12-23 | 2020-08-14 | 北京奇虎科技有限公司 | 无线网络的网络配置检测修复方法及装置 |
| CN106912064A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 无线网络的网络配置检测修复方法及装置 |
| CN106912039A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 无线网络的网络配置检测修复方法及装置 |
| CN106912039B (zh) * | 2015-12-23 | 2020-07-07 | 北京奇虎科技有限公司 | 无线网络的网络配置检测修复方法及装置 |
| CN105959294A (zh) * | 2016-06-17 | 2016-09-21 | 北京网康科技有限公司 | 一种恶意域名鉴别方法及装置 |
| CN105959294B (zh) * | 2016-06-17 | 2019-06-14 | 北京网康科技有限公司 | 一种恶意域名鉴别方法及装置 |
| CN106302534B (zh) * | 2016-09-30 | 2019-05-28 | 微梦创科网络科技(中国)有限公司 | 一种检测和处理非法用户的方法及系统 |
| CN106302534A (zh) * | 2016-09-30 | 2017-01-04 | 微梦创科网络科技(中国)有限公司 | 一种检测和处理非法用户的方法及系统 |
| CN107612946A (zh) * | 2017-11-03 | 2018-01-19 | 北京奇艺世纪科技有限公司 | Ip地址的检测方法、检测装置和电子设备 |
| CN107612946B (zh) * | 2017-11-03 | 2021-09-03 | 北京奇艺世纪科技有限公司 | Ip地址的检测方法、检测装置和电子设备 |
| CN109635215A (zh) * | 2018-12-21 | 2019-04-16 | 百度在线网络技术(北京)有限公司 | 编码安全检测方法、装置、终端及可读存储介质 |
| CN109617914A (zh) * | 2019-01-15 | 2019-04-12 | 成都知道创宇信息技术有限公司 | 一种基于ip征信的云安全防护方法 |
| CN109617915A (zh) * | 2019-01-15 | 2019-04-12 | 成都知道创宇信息技术有限公司 | 一种基于页面访问拓扑的异常用户挖掘方法 |
| CN109617915B (zh) * | 2019-01-15 | 2020-12-15 | 成都知道创宇信息技术有限公司 | 一种基于页面访问拓扑的异常用户挖掘方法 |
| CN110247916A (zh) * | 2019-06-20 | 2019-09-17 | 四川长虹电器股份有限公司 | 恶意域名检测方法 |
| CN110247916B (zh) * | 2019-06-20 | 2021-07-27 | 四川长虹电器股份有限公司 | 恶意域名检测方法 |
| CN110572416A (zh) * | 2019-10-15 | 2019-12-13 | 赛尔网络有限公司 | 黑名单生成方法、装置、电子设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20170318041A1 (en) | 2017-11-02 |
| WO2017000439A1 (zh) | 2017-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104980446A (zh) | 一种恶意行为的检测方法及系统 | |
| US10587550B1 (en) | System and method for evaluating domains to send emails while maintaining sender reputation | |
| CN108280014B (zh) | 一种监听浏览器页面的方法、装置及计算机设备 | |
| CN103150513B (zh) | 拦截应用程序中的植入信息的方法及装置 | |
| CN102884764B (zh) | 一种报文接收方法、深度包检测设备及系统 | |
| CN104754073A (zh) | 一种资源访问方法及装置 | |
| CN103491543A (zh) | 通过无线终端检测恶意网址的方法、无线终端 | |
| US9412096B2 (en) | Techniques to filter electronic mail based on language and country of origin | |
| KR102095664B1 (ko) | 스푸핑 메타데이터를 갖는 숨겨진 링크 불일치를 검출하는 기법 | |
| CN103856442A (zh) | 一种黑链检测方法、装置和系统 | |
| CN111885007B (zh) | 信息溯源方法、装置、系统及存储介质 | |
| CN104125215A (zh) | 网站域名劫持检测方法和系统 | |
| CN109561167B (zh) | 一种域名解析方法及装置 | |
| US20210192563A1 (en) | Webpage advertisement anti-blocking method, content delivery network, and client terminal | |
| GB2507037A (en) | Software application discovery using variable frequency file system scanning | |
| CN112839054A (zh) | 一种网络攻击检测方法、装置、设备及介质 | |
| CN112118205B (zh) | 一种域名信息检测的方法及相关装置 | |
| CN105681124A (zh) | 一种网速检测方法及装置 | |
| CN104346460A (zh) | 进行文件下载的方法、装置及浏览器客户端 | |
| CN104811418A (zh) | 病毒检测的方法及装置 | |
| CN109951549B (zh) | 网络页面的访问方法、装置及计算机可读存储介质 | |
| CN101494654B (zh) | 一种确定服务器可访问性的方法及装置 | |
| CN110933070A (zh) | 一种用户识别方法、系统、设备及计算机可读存储介质 | |
| CN104468857A (zh) | 一种对应关系的获取方法及系统 | |
| CN104881308A (zh) | 一种应用程序的处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20151014 |