WO2017000439A1 - 一种恶意行为的检测方法、系统、设备及计算机存储介质 - Google Patents

Abstract

本发明提供了一种恶意行为的检测方法、系统、设备和计算机存储介质。一方面，本发明实施例通过获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址，以作为待检测IP地址；从而，对所述待检测IP地址进行恶意行为检测，以获得检测结果。因此，本发明实施例提供的技术方案利用IP地址实现恶意行为的检测，用以解决现有技术中利用不断更换域名或者更新恶意文件内容来躲避恶意行为的检测的问题，能够提高恶意行为的检出率。

Description

一种恶意行为的检测方法、系统、设备及计算机存储介质

本申请要求了申请日为2015年06月30日，申请号为201510386083.7，发明名称为“一种恶意行为的检测方法及系统”的中国专利申请的优先权。

技术领域

本发明涉及计算机技术领域，尤其涉及一种恶意行为的检测方法、系统、设备及计算机存储介质。

背景技术

随着互联网技术的快速发展，网络中出现了大量的恶意攻击行为。攻击者使用物理设备并利用网络上获取到的资源，在网络上开展恶意攻击行为，如进行僵尸网络的自动更新下载、恶意代码的自动更新下载、网络钓鱼、使用网络自动化扫描器或者垃圾邮件自动发送等。

现有技术中是利用传统的检测软件来对恶意行为进行检测，如杀毒软件收集攻击者所使用的统一资源定位符(Uniform Resource Locator，URL)和恶意文件，然后对URL和恶意文件进行恶意行为的检测。然而，攻击者会通过不断的更换URL的域名或者更新恶意文件的内容等手段，来躲避杀毒软件的检测，降低了恶意行为的检出率。

发明内容

有鉴于此，本发明实施例提供了一种恶意行为的检测方法、系统、设备和计算机存储介质，用以解决现有技术中利用不断更换域名或者更新恶意文件内容来躲避恶意行为的检测的问题，能够提高恶意行为的检出率。

本发明实施例的一方面，提供一种恶意行为的检测方法，包括：

获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址，以作为待检测IP地址；

对所述待检测IP地址进行恶意行为检测，以获得检测结果。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述对所述待检测IP地址进行恶意行为检测，以获得检测结果，包括：

根据所述待检测IP地址，查询IP地址信誉库，以获得所述待检测IP地址的信誉分值；

根据所述待检测IP地址的信誉分值，获得所述待检测IP地址的恶意行为检测的检测结果。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述根据所述待检测IP地址，查询IP地址信誉库，以获得所述待检测IP地址的信誉分值之前，所述方法还包括：

采集恶意IP地址；

根据所述恶意IP地址的采集来源和采集来源的数据更新频率中至少一个，获得所述恶意IP地址的信誉分值；

对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值，以生成所述IP地址信誉库。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述方法还包括：

根据信誉分值的有效期，若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化，在所述有效期之后，降低所述恶意IP地址的信誉分值。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式， 所述方法还包括：

若所述检测结果为所述待检测IP地址属于恶意IP地址，显示提示信息，所述提示信息用以指示用户进行相应的操作；或者，

若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址，不显示提示信息。

本发明实施例的一方面，提供一种恶意行为的检测系统，包括：

获取单元，用于获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址，以作为待检测IP地址；

检测单元，用于对所述待检测IP地址进行恶意行为检测，以获得检测结果。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述检测单元，具体用于：

根据所述待检测IP地址，查询IP地址信誉库，以获得所述待检测IP地址的信誉分值；

根据所述待检测IP地址的信誉分值，获得所述待检测IP地址的恶意行为检测的检测结果。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述系统还包括：

采集单元，用于采集恶意IP地址；

计算单元，用于根据所述恶意IP地址的采集来源和采集来源的数据更新频率中至少一个，获得所述恶意IP地址的信誉分值；

存储单元，用于对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值，以生成所述IP地址信 誉库。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述计算单元，还用于：

根据信誉分值的有效期，若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化，在所述有效期之后，降低所述恶意IP地址的信誉分值。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述系统还包括：

输出单元，用于若所述检测结果为所述待检测IP地址属于恶意IP地址，显示提示信息，所述提示信息用以指示用户进行相应的操作；或者，若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址，不显示提示信息。

由以上技术方案可以看出，本发明实施例具有以下有益效果：

本发明实施例提供的技术方案，能够利用IP地址来实现恶意行为的检测，恶意行为的检测是针对IP地址进行的，因此，能够解决现有技术中攻击者通过不断更换域名或者更新恶意文件内容来躲避恶意行为的检测的问题，因此，本发明实施例所提供的技术方案能够提高恶意行为的检出率。

附图说明

图1是本发明实施例所提供的恶意行为的检测方法的流程示意图；

图2是本发明实施例所提供恶意行为的检测方法的系统架构图；

图3是本发明实施例所提供的恶意行为的检测系统的功能方块图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本发明进行详细描述。

应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。

应当理解，本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地，取决于语境，短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。

实施例一

本发明实施例给出一种恶意行为的检测方法，请参考图1，其为本发明实施例所提供的恶意行为的检测方法的流程示意图，如图所示，该方法包括以下步骤：

S101，获取客户端访问的URL所对应的IP地址，以作为待检测IP 地址。

S102，对所述待检测IP地址进行恶意行为检测，以获得检测结果。

需要说明的是，S101～S102的执行主体可以为恶意行为的检测系统，该系统可以位于本地终端的应用，或者还可以为位于本地终端的应用中的插件或软件开发工具包(Software Development Kit，SDK)等功能单元，或者还可以位于服务器侧，或者还可以部分位于本地终端，其余部分位于服务器侧，本发明实施例对此不进行特别限定。

需要说明的是，本发明实施例中所涉及的终端可以包括但不限于个人计算机(Personal Computer，PC)、个人数字助理(Personal Digital Assistant，PDA)、无线手持设备、平板电脑(Tablet Computer)、手机、MP3播放器、MP4播放器等。

可以理解的是，所述应用可以是安装在终端上的应用程序(nativeApp)，或者还可以是终端上的浏览器的一个网页程序(webApp)，本发明实施例对此不进行限定。

实施例二

基于上述实施例一所提供的恶意行为的检测方法，本发明实施例对S101中获取客户端访问的统一资源定位符URL所对应的IP地址，以作为待检测IP地址的方法进行具体描述。该步骤具体可以包括：

请参考图2，其为本发明实施例所提供恶意行为的检测方法的系统架构图。可以理解的是，如图2所示，S101的执行主体可以为客户端，或者也可以为服务器。其中，若S101的执行主体为客户端，则可以由客户端获取所述客户端访问的URL所对应的IP地址，以作为待检测IP地址。若S101的执行主体为服务器，则由客户端获取所述客户端访问的 URL所对应的IP地址，以作为待检测IP地址，然后所述客户端进一步将获取所述待检测IP地址发送给所述服务器，这样，所述服务器就可以接收所述客户端发送的待检测IP地址。

举例说明，本发明实施例中，所述客户端获取访问的URL所对应的IP地址的方法可以包括但不限于以下两种：

第一种：所述客户端根据用户请求访问的URL，向域名系统(Domain Name System，DNS)发送查询请求。收到所述查询请求后，所述域名系统从该URL中获取域名，进而在自身存储的域名与IP地址的映射关系中进行查询，以获得URL中包含的域名所对应的IP地址，域名系统将查询到的IP地址返回给所述客户端，该IP地址可以作为客户端访问的URL所对应的IP地址。

第二种：所述客户端可以根据用户请求访问的URL，发起针对该URL的超文本传输协议(Hyper Text Transfer Protocol，HTTP)请求。提供该URL所指示的页面资源的服务器在收到HTTP请求后，根据请求访问的URL获得页面资源和IP地址，然后将页面资源和IP地址打包后发送给所述客户端。这样，所述客户端就可以从接收到的数据包中获得访问的URL所对应的IP地址。

实施例三

基于上述实施例一所提供的恶意行为的检测方法和实施例二，本发明实施例对S102中对所述待检测IP地址进行恶意行为检测，以获得检测结果的方法进行具体描述。该步骤具体可以包括：

可以理解的是，若S101的执行主体为客户端，S102的执行主体可以为客户端，或者也可以为服务器。若S101的执行主体为服务器，则 S102的执行主体可以为服务器。

举例说明，对所述待检测IP地址进行恶意行为检测，以获得检测结果的方法可以包括但不限于：

首先，根据所述待检测IP地址，查询IP地址信誉库，以获得所述待检测IP地址的信誉分值。然后，根据所述待检测IP地址的信誉分值，获得所述待检测IP地址的恶意行为检测的检测结果。

在一个具体的实现过程中，在根据所述待检测IP地址，查询IP地址信誉库，以获得所述待检测IP地址的信誉分值之前，需要预先生成所述IP地址信誉库。

需要说明的是，本发明实施例中，由服务器生成所述IP地址信誉库。

在一个具体的实现过程中，若S102的执行主体为客户端，则所述服务器在生成所述IP地址信誉库后，需要将所述IP地址信誉库发送给所述客户端，以便于所述客户端可以在获得待检测IP地址后，查询IP地址信誉库，以获得所述待检测IP地址的信誉分值。或者，如图2所示，若S102的执行主体为服务器，则所述服务器可以在生成所述IP地址信誉库后，若收到所述客户端发送的所述待检测IP地址，则可以直接查询IP地址信誉库，以获得所述待检测IP地址的信誉分值。

举例说明，本发明实施中，所述服务器生成所述IP地址信誉库的方法可以包括但不限于：

如图2所示，首先，所述服务器采集恶意IP地址。然后，所述服务器根据恶意IP地址的采集来源和采集来源的数据更新频率中至少一个，获得所述恶意IP地址的信誉分值。最后，所述服务器对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的 信誉分值，以生成所述IP地址信誉库。

可以理解的是，所述恶意IP地址可以包括但不限于以下类型的IP地址：僵尸网络C&C的IP地址、恶意代码的下载源的IP地址、钓鱼网址所对应的IP地址、恶意扫描源的IP地址、垃圾邮件发送者的IP地址等。

在一个具体的实现过程中，所述服务器可以将与自身相关的数据平台和第三方数据平台作为恶意IP地址的采集来源，进而从与自身相关的数据平台以及第三方数据平台采集所述恶意IP地址。

例如，所述第三方数据平台可以包括但不限于：Virustotal、Clean MX、Malc0de、Malware Domain List、OpenBL、Phishtank、Spy Eye Tracker、The Spamhaus Project、Zeus Tracker、Brute Force Blocker、Chaos Reigns等常见的数据平台。

在一个具体的实现过程中，所述服务器可以根据预设的数据更新频率，周期性的从采集来源采集所述恶意IP地址，以实现所述IP地址信誉库中恶意IP地址的更新。然而，不同的采集来源的数据更新频率可以相同，也可以不同。例如，有的采集来源可以按小时进行更新，有的采集来源可以按天进行更新，有的采集来源可以按周进行更新。

举例说明，所述服务器根据恶意IP地址的采集来源和采集来源的数据更新频率中至少一个，获得所述恶意IP地址的信誉分值的方法可以包括但不限于：

采集的每个恶意IP地址的初始分值为50分，可以先根据恶意IP数据的采集来源，在恶意IP地址的初始分值的基础上增加分值。

例如，如果某恶意IP地址是从与服务器相关的数据平台采集的恶意 IP地址，则该恶意IP地址的信誉分值在初始分值的基础上增加15分；如果某恶意IP地址的采集来源是所述第三方数据平台中的一个，则该恶意IP地址的信誉分值在初始分值的基础上增加10分；如果某恶意IP地址的采集来源是所述第三方数据平台中的至少两个，表示该恶意IP地址在至少两个数据平台中被认定是恶意IP地址，则该恶意IP地址的信誉分值在初始分值的基础上增加30分。

进一步的，还可以根据采集来源的数据更新频率，增加恶意IP地址的信誉分值。

例如，如果恶意IP地址的采集来源的数据更新频率是按小时进行更新，则该恶意IP地址的信誉分值可以再增加10分。如果恶意IP地址的采集来源的数据更新频率是按天进行更新，则该恶意IP地址的信誉分值可以再增加5分。如果恶意IP地址的采集来源的数据更新频率是按周或者按照更长时间进行更新，则不增加该恶意IP地址的信誉分值。若该恶意IP地址连接30天在进行更新时被采集为恶意IP地址，则该恶意IP地址的信誉分值可以再增加15分。如此，利用上述两种增加分值的方法中任意一种可以获得恶意IP地址的信誉分值，也可以两种增加分值的方法一起使用，来获得恶意IP地址的信誉分值。

在一个具体的实现过程中，还可以根据信誉分值的有效期，若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化，在所述有效期之后，降低所述恶意IP地址的信誉分值。

例如，所述信誉分值的有效期设为30天，若IP地址信誉库中某恶意IP地址的信誉分值在30天内都没有发生变化，在30天后，可以根据之前增加的分值，对所述恶意IP地址的信誉分值进行递减。

需要说明的是，所述恶意IP地址的信誉分值的最小值为1，不可以递减为0。其原因是本发明实施例中，可以将正常IP地址的信誉分值设置为0，而出现过的恶意IP地址，即使其信誉分值已经在减少，但是也不能作为正常IP地址，因此其信誉分值不能减到0。

在一个具体的实现过程中，对应存储所述恶意IP地址以及获得的所述恶意IP地址的信誉分值，以生成所述IP地址信誉库。另外，生成的所述IP地址信誉库还需要包含正常IP地址与正常IP地址的信誉分值的对应关系。

优选的，所述正常IP地址可以由人工进行采集，并为正常IP地址配置信誉分值，如正常IP地址的信誉分值可以配置为0。这样，就可以所述IP地址信誉库中就可以对应存储正常IP地址与正常IP地址的信誉分值。

举例说明，本发明实施例中，根据所述待检测IP地址的信誉分值，获得所述待检测IP地址的恶意行为检测的检测结果的方法可以包括但不限于：

以待检测IP地址的信誉分值在0～100范围内为例，若所述待检测IP地址的信誉分值等于0，表示所述待检测IP地址属于白名单，确定所述待检测IP地址的恶意行为的检测结果为所述待检测IP地址为正常IP地址。若所述待检测IP地址的信誉分值大于0且小于或者等于50分，所述待检测IP地址的恶意行为的检测结果为所述待检测IP地址为未知IP地址。若所述待检测IP地址的信誉分值大于50分且小于75分，所述待检测IP地址的恶意行为的检测结果为所述待检测IP地址为疑似恶意IP地址。若所述待检测IP地址的信誉分值大于或者等于75分且小于或者 等于100分，表示所述待检测IP地址属于黑名单，确定所述待检测IP地址的恶意行为的检测结果为所述待检测IP地址为恶意IP地址。

实施例四

基于上述实施例一所提供的恶意行为的检测方法、实施例二和实施例三，对恶意行为的检测方法的可选步骤进行具体描述。该步骤具体可以包括：

如图2所示，在一个具体的实现过程中，若S102的执行主体为服务器，则本步骤中，所述服务器向所述客户端输出所述待检测IP地址的恶意行为检测的检测结果。若所述检测结果为所述待检测IP地址属于恶意IP地址，所述客户端可以向用户显示提示信息，所述提示信息用以指示用户进行相应的操作，例如可以停止访问该恶意IP地址所对应的URL。或者，若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址，所述客户端可以不向用户显示提示信息，可以继续访问该待检测IP地址所对应的URL。

需要说明的是，若所述服务器获得所述待检测IP地址的恶意行为的检测结果，当所述检测结果是恶意IP地址、未知IP地址或者正常IP地址时，所述服务器可以向所述客户端输出所述检测结果。当所述检测结果是未知IP地址时，所述服务器可以不输出所述检测结果。

在一个具体的实现过程中，若S102的执行主体为客户端，则本步骤中，若所述检测结果为所述待检测IP地址属于恶意IP地址，所述客户端可以向用户显示提示信息，所述提示信息用以指示用户进行相应的操作，例如可以停止访问该恶意IP地址所对应的URL。或者，若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址，所述客 户端可以不向用户显示提示信息，可以继续访问该待检测IP地址所对应的URL。

例如，所述客户端可以通过弹窗提示方式向用户显示提示信息。

本发明实施例进一步给出实现上述方法实施例中各步骤及方法的装置实施例。

请参考图3，其为本发明实施例所提供的恶意行为的检测系统的功能方块图。如图所示，该系统包括：

获取单元30，用于获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址，以作为待检测IP地址；

检测单元31，用于对所述待检测IP地址进行恶意行为检测，以获得检测结果。

优选的，所述检测单元31，具体用于：

根据所述待检测IP地址，查询IP地址信誉库，以获得所述待检测IP地址的信誉分值；

根据所述待检测IP地址的信誉分值，获得所述待检测IP地址的恶意行为检测的检测结果。

可选的，所述系统还包括：

采集单元32，用于采集恶意IP地址；

计算单元33，用于根据所述恶意IP地址的采集来源和采集来源的数据更新频率中至少一个，获得所述恶意IP地址的信誉分值；

存储单元34，用于对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值，以生成所述IP地址信誉库。

可选的，所述计算单元33，还用于：

根据信誉分值的有效期，若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化，在所述有效期之后，降低所述恶意IP地址的信誉分值。

可选的，所述系统还包括：

输出单元35，用于若所述检测结果为所述待检测IP地址属于恶意IP地址，显示提示信息，所述提示信息用以指示用户进行相应的操作；或者，若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址，不显示提示信息。

由于本实施例中的各单元能够执行图1所示的方法，本实施例未详细描述的部分，可参考对图1的相关说明。

本发明实施例的技术方案具有以下有益效果：

本发明实施例中，通过获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址，以作为待检测IP地址；从而，对所述待检测IP地址进行恶意行为检测，以获得检测结果。

本发明实施例提供的技术方案，能够利用IP地址来实现恶意行为的检测，恶意行为的检测是针对IP地址进行的，因此，能够解决现有技术中攻击者通过不断更换域名或者更新恶意文件内容来躲避恶意行为的检测的问题，因此，本发明实施例所提供的技术方案能够提高恶意行为的检出率。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机装置(可以是个人计算机，服务器，或者网络装置等)或处理器(Processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

Claims (12)

1. 一种恶意行为的检测方法，其特征在于，所述方法包括：

   获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址，以作为待检测IP地址；

   对所述待检测IP地址进行恶意行为检测，以获得检测结果。
2. 根据权利要求1所述的方法，其特征在于，所述对所述待检测IP地址进行恶意行为检测，以获得检测结果，包括：

   根据所述待检测IP地址，查询IP地址信誉库，以获得所述待检测IP地址的信誉分值；

   根据所述待检测IP地址的信誉分值，获得所述待检测IP地址的恶意行为检测的检测结果。
3. 根据权利要求2所述的方法，其特征在于，所述方法还包括：

   采集恶意IP地址；

   根据所述恶意IP地址的采集来源和采集来源的数据更新频率中至少一个，获得所述恶意IP地址的信誉分值；

   对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值，以生成所述IP地址信誉库。
4. 根据权利要求3所述的方法，其特征在于，所述方法还包括：

   根据信誉分值的有效期，若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化，在所述有效期之后，降低所述恶意IP地址的信誉分值。
5. 根据权利要求1至4中任一项所述的方法，其特征在于，所述方法还包括：

   若所述检测结果为所述待检测IP地址属于恶意IP地址，显示提示信息，所述提示信息用以指示用户进行相应的操作；或者，

   若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址，不显示提示信息。
6. 一种恶意行为的检测系统，其特征在于，所述系统包括：

   获取单元，用于获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址，以作为待检测IP地址；

   检测单元，用于对所述待检测IP地址进行恶意行为检测，以获得检测结果。
7. 根据权利要求6所述的系统，其特征在于，所述检测单元，具体用于：

   根据所述待检测IP地址，查询IP地址信誉库，以获得所述待检测IP地址的信誉分值；

   根据所述待检测IP地址的信誉分值，获得所述待检测IP地址的恶意行为检测的检测结果。
8. 根据权利要求7所述的系统，其特征在于，所述系统还包括：

   采集单元，用于采集恶意IP地址；

   计算单元，用于根据所述恶意IP地址的采集来源和采集来源的数据更新频率中至少一个，获得所述恶意IP地址的信誉分值；

   存储单元，用于对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值，以生成所述IP地址信誉库。
9. 根据权利要求8所述的系统，其特征在于，所述计算单元，还用 于：

   根据信誉分值的有效期，若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化，在所述有效期之后，降低所述恶意IP地址的信誉分值。
10. 根据权利要求6至9中任一项所述的系统，其特征在于，所述系统还包括：

    输出单元，用于若所述检测结果为所述待检测IP地址属于恶意IP地址，显示提示信息，所述提示信息用以指示用户进行相应的操作；或者，若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址，不显示提示信息。
11. 一种设备，包括：

    一个或多个处理器；

    存储器；

    一个或多个程序，所述一个或多个程序存储在所述存储器中，当被所述一个或多个处理器执行时，执行以下操作：

    获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址，以作为待检测IP地址；

    对所述待检测IP地址进行恶意行为检测，以获得检测结果。
12. 一种非易失性计算机存储介质，所述计算机存储介质存储有一个或多个程序，当所述一个或多个程序被一个设备执行时，使得所述设备执行以下操作：

    获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址，以作为待检测IP地址；

    对所述待检测IP地址进行恶意行为检测，以获得检测结果。

Images