一種惡意行為的檢測方法及系統的制作方法
【專利說明】
【技術領域】
[0001]本發明涉及計算機技術領域，尤其涉及一種惡意行為的檢測方法及系統。
【【背景技術】】
[0002]隨著互聯網技術的快速發展，網絡中出現了大量的惡意攻擊行為。攻擊者使用物理設備并利用網絡上獲取到的資源，在網絡上開展惡意攻擊行為，如進行僵尸網絡的自動更新下載、惡意代碼的自動更新下載、網絡釣魚、使用網絡自動化掃描器或者垃圾郵件自動發送等。
[0003]現有技術中是利用傳統的檢測軟件來對惡意行為進行檢測，如殺毒軟件收集攻擊者所使用的統一資源定位符(Uniform Resource Locator,URL)和惡意文件，然后對URL和惡意文件進行惡意行為的檢測。然而，攻擊者會通過不斷的更換URL的域名或者更新惡意文件的內容等手段，來躲避殺毒軟件的檢測，降低了惡意行為的檢出率。
【
【發明內容】
】
[0004]有鑒于此，本發明實施例提供了一種惡意行為的檢測方法及系統，用以解決現有技術中利用不斷更換域名或者更新惡意文件內容來躲避惡意行為的檢測的問題，能夠提高惡意行為的檢出率。
[0005]本發明實施例的一方面，提供一種惡意行為的檢測方法，包括:
[0006]獲取客戶端訪問的統一資源定位符URL所對應的網絡互連協議IP地址，以作為待檢測IP地址；
[0007]對所述待檢測IP地址進行惡意行為檢測，以獲得檢測結果。
[0008]如上所述的方面和任一可能的實現方式，進一步提供一種實現方式，所述對所述待檢測IP地址進行惡意行為檢測，以獲得檢測結果，包括:
[0009]根據所述待檢測IP地址，查詢IP地址信譽庫，以獲得所述待檢測IP地址的信譽分值；
[0010]根據所述待檢測IP地址的信譽分值，獲得所述待檢測IP地址的惡意行為檢測的檢測結果。
[0011]如上所述的方面和任一可能的實現方式，進一步提供一種實現方式，所述根據所述待檢測IP地址，查詢IP地址信譽庫，以獲得所述待檢測IP地址的信譽分值之前，所述方法還包括:
[0012]采集惡意IP地址；
[0013]根據所述惡意IP地址的采集來源和采集來源的數據更新頻率中至少一個，獲得所述惡意IP地址的信譽分值；
[0014]對應存儲正常IP地址與正常IP地址的信譽分值、所述惡意IP地址與所述惡意IP地址的信譽分值，以生成所述IP地址信譽庫。
[0015]如上所述的方面和任一可能的實現方式，進一步提供一種實現方式，所述方法還包括:
[0016]根據信譽分值的有效期，若所述IP地址信譽庫中惡意IP地址的信譽分值在所述有效期內沒有發生變化，在所述有效期之后，降低所述惡意IP地址的信譽分值。
[0017]如上所述的方面和任一可能的實現方式，進一步提供一種實現方式，所述方法還包括:
[0018]若所述檢測結果為所述待檢測IP地址屬于惡意IP地址，顯示提示信息，所述提示信息用以指示用戶進行相應的操作；或者，
[0019]若所述檢測結果為所述待檢測IP地址屬于正常IP地址或者未知IP地址，不顯示提不?目息。
[0020]本發明實施例的一方面，提供一種惡意行為的檢測系統，包括:
[0021]獲取單元，用于獲取客戶端訪問的統一資源定位符URL所對應的網絡互連協議IP地址，以作為待檢測IP地址；
[0022]檢測單元，用于對所述待檢測IP地址進行惡意行為檢測，以獲得檢測結果。
[0023]如上所述的方面和任一可能的實現方式，進一步提供一種實現方式，所述檢測單元，具體用于:
[0024]根據所述待檢測IP地址，查詢IP地址信譽庫，以獲得所述待檢測IP地址的信譽分值；
[0025]根據所述待檢測IP地址的信譽分值，獲得所述待檢測IP地址的惡意行為檢測的檢測結果。
[0026]如上所述的方面和任一可能的實現方式，進一步提供一種實現方式，所述系統還包括:
[0027]采集單元，用于采集惡意IP地址；
[0028]計算單元，用于根據所述惡意IP地址的采集來源和采集來源的數據更新頻率中至少一個，獲得所述惡意IP地址的信譽分值；
[0029]存儲單元，用于對應存儲正常IP地址與正常IP地址的信譽分值、所述惡意IP地址與所述惡意IP地址的信譽分值，以生成所述IP地址信譽庫。
[0030]如上所述的方面和任一可能的實現方式，進一步提供一種實現方式，所述計算單元，還用于:
[0031]根據信譽分值的有效期，若所述IP地址信譽庫中惡意IP地址的信譽分值在所述有效期內沒有發生變化，在所述有效期之后，降低所述惡意IP地址的信譽分值。
[0032]如上所述的方面和任一可能的實現方式，進一步提供一種實現方式，所述系統還包括:
[0033]輸出單元，用于若所述檢測結果為所述待檢測IP地址屬于惡意IP地址，顯示提示信息，所述提示信息用以指示用戶進行相應的操作；或者，若所述檢測結果為所述待檢測IP地址屬于正常IP地址或者未知IP地址，不顯示提示信息。
[0034]由以上技術方案可以看出，本發明實施例具有以下有益效果:
[0035]本發明實施例提供的技術方案，能夠利用IP地址來實現惡意行為的檢測，惡意行為的檢測是針對IP地址進行的，因此，能夠解決現有技術中攻擊者通過不斷更換域名或者更新惡意文件內容來躲避惡意行為的檢測的問題，因此，本發明實施例所提供的技術方案能夠提尚惡意彳丁為的檢出率。
【【附圖說明】】
[0036]為了更清楚地說明本發明實施例的技術方案，下面將對實施例中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其它的附圖。
[0037]圖1是本發明實施例所提供的惡意行為的檢測方法的流程示意圖；
[0038]圖2是本發明實施例所提供惡意行為的檢測方法的系統架構圖；
[0039]圖3是本發明實施例所提供的惡意行為的檢測系統的功能方塊圖。
【【具體實施方式】】
[0040]為了更好的理解本發明的技術方案，下面結合附圖對本發明實施例進行詳細描述。
[0041]應當明確，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其它實施例，都屬于本發明保護的范圍。
[0042]在本發明實施例中使用的術語是僅僅出于描述特定實施例的目的，而非旨在限制本發明。在本發明實施例和所附權利要求書中所使用的單數形式的“一種”、“所述”和“該”也旨在包括多數形式，除非上下文清楚地表示其他含義。
[0043]應當理解，本文中使用的術語“和/或”僅僅是一種描述關聯對象的關聯關系，表示可以存在三種關系，例如，A和/或B，可以表示:單獨存在A，同時存在A和B，單獨存在B這三種情況。另外，本文中字符“/”，一般表示前后關聯對象是一種“或”的關系。