專利名稱:信息對象檢測方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,尤其涉及一種信息對象檢測方法及系統(tǒng)�����。
背景技術(shù):
在現(xiàn)有的入侵防護�、訪問控制、攻擊防護��、反垃圾郵件等系統(tǒng)中����,對異常信息流量的檢測大多是基于惡意特征進行判斷的����。基于惡意特征的檢測方法是將惡意特征轉(zhuǎn)化成判定規(guī)則�,被檢測信息通過檢測設(shè)備時�,檢測設(shè)備對信息進行協(xié)議解碼�����,然后與預(yù)先存儲的判定規(guī)則進行比對�,以確定被檢測信息是否存在異常。傳統(tǒng)的基于特征的檢測方法沒有參考被檢測對象的歷史行為���,僅根據(jù)當(dāng)前行為孤立的進行判斷����,在大數(shù)據(jù)環(huán)境下存在性能瓶頸��,誤判和漏判概率較高���?����!?br>
發(fā)明內(nèi)容
本發(fā)明實施例提供一種信息對象檢測方法及系統(tǒng)��,用以提高檢測性能�����,降低誤判和漏判概率��。第一方面提供一種信息對象檢測方法�����,包括檢測設(shè)備接收來自待檢測對象的信息��,所述待檢測對象的信息攜帶有所述待檢測對象的標識�����;所述檢測設(shè)備根據(jù)所述待檢測對象的標識����,查詢信譽值數(shù)據(jù)庫獲取所述待檢測對象的信譽值;所述待檢測對象的信譽值是通過對所述待檢測對象在指定時間內(nèi)的影響因素進行綜合評測得到的,所述影響因素是指對所述待檢測對象的安全性有影響的所述待檢測對象的行為或狀態(tài)���;所述檢測設(shè)備將所述待檢測對象的信譽值與預(yù)設(shè)的至少一個信譽值范圍進行比較�,獲取所述待檢測對象的信譽值所屬的第一信譽值范圍�����,并根據(jù)所述第一信譽值范圍對應(yīng)的檢測策略對所述待檢測對象的信息進行安全檢測�����。第二方面提供一種信息對象檢測系統(tǒng)�,包括檢測設(shè)備;所述檢測設(shè)備包括接收模塊,用于接收來自待檢測對象的信息�,所述待檢測對象的信息攜帶有所述待檢測對象的標識;獲取模塊��,用于根據(jù)所述待檢測對象的標識�����,查詢信譽值數(shù)據(jù)庫獲取所述待檢測對象的信譽值���;所述待檢測對象的信譽值是通過對所述待檢測對象在指定時間內(nèi)的影響因素進行綜合評測得到的����,所述影響因素是指對所述待檢測對象的安全性有影響的所述待檢測對象的行為或狀態(tài);檢測模塊����,用于將所述待檢測對象的信譽值與預(yù)設(shè)的至少一個信譽值范圍進行比較����,獲取所述待檢測對象的信譽值所屬的第一信譽值范圍���,并根據(jù)所述第一信譽值范圍對應(yīng)的檢測策略對所述待檢測對象的信息進行安全檢測。本發(fā)明實施例提供的信息對象檢測方法及系統(tǒng),通過在指定時間內(nèi)對影響待檢測對象的與信息安全相關(guān)的行為和/或狀態(tài)進行綜合評測得到待檢測對象的信譽值���,檢測設(shè)備在接收到待檢測對象的信息后,從中獲取待檢測對象的標識�,進而根據(jù)待檢測對象的標識去查詢信譽值數(shù)據(jù)庫,從中獲取待檢測對象的信譽值�����,再將待檢測對象的信譽值與預(yù)先設(shè)置至少一個信譽值范圍進行比較,得到待檢測對象的信譽值所屬的信譽值范圍,然后根據(jù)待信譽值范圍對應(yīng)的檢測策略對待檢測對象的信息進行安全檢測�����,由此可見���,本發(fā)明對待檢測對象的信息進行安全檢測使用的根據(jù)待檢測對象在一段時間內(nèi)的綜合多個行為和/或狀態(tài)得到的信譽值,而不是僅根據(jù)待檢測對象當(dāng)前時刻的某一行為特征或狀態(tài)���,有利于提高在大數(shù)據(jù)環(huán)境下的檢測性能�����,有利于降低誤判和漏判概率��。
圖I為本發(fā)明一實施例提供的信息對象檢測方法的流程圖�;圖2為本發(fā)明另一實施例提供的信息對象檢測方法的流程圖����;圖3為本發(fā)明一實施例提供的信息對象檢測系統(tǒng)的結(jié)構(gòu)示意圖。
具體實施例方式圖I為本發(fā)明一實施例提供的信息對象檢測方法的流程圖。如圖I所示�,本實施例的方法包括步驟101、檢測設(shè)備接收來自待檢測對象的信息�,該待檢測對象的信息攜帶有該待檢測對象的標識。在信息安全中�,需要進行安全檢測的對象有很多,例如可以是服務(wù)器���、客戶端����、還可以是一個網(wǎng)際協(xié)議(Internet Protocol,簡稱為IP)地址�、用戶標識(ID)、文件或郵件等���。這些對象有些具有一定的包含關(guān)系��,例如IP地址可以作為客戶端的一個屬性�,用戶ID可以是某個用戶在服務(wù)器或客戶端上注冊的用戶名稱��,等等���。另外����,影響不同對象的安全性的關(guān)鍵因素也不盡同相同。在本實施例中���,待檢測對象可以是信息安全中需要進行安全檢測的任意對象��,例如可以是服務(wù)器�����、客戶端、IP地址���、用戶ID���、文件或郵件等。相應(yīng)地����,檢測設(shè)備是與被檢測對象有關(guān)的設(shè)備,例如檢測設(shè)備可以是待檢測對象的信息要經(jīng)過的設(shè)備�。具體的,檢測設(shè)備接收來自待檢測對象的信息�,待檢測對象的信息攜帶有待檢測設(shè)備的標識�。待檢測設(shè)備的標識可以是任何可以唯一標識該待檢測設(shè)備的信息���,根據(jù)待檢測設(shè)備的具體實現(xiàn)不同����,待檢測設(shè)備的標識有所不同��。例如��,如果待檢測設(shè)備是服務(wù)器或客戶端����,則待檢測對象的標識可以是IP地址、介質(zhì)訪問控制(Medium Access Control,簡稱為MAC)地址或名稱等���;如果待檢測對象是一個IP地址���,則該待檢測對象的標識可以就是該IP地址本身;如果待檢測對象是一個文件��,則待檢測對象的標識可以是文件名���。步驟102�����、檢測設(shè)備根據(jù)待檢測對象的標識����,查詢信譽值數(shù)據(jù)庫獲取該待檢測對象的信譽值,該待檢測對象的信譽值是通過對待檢測對象在指定時間內(nèi)的影響因素進行綜合評測得到的���,這里的影響因素是指對待檢測對象的安全性有影響的該待檢測對象的行為或狀態(tài)���。在本實施例中,信譽值數(shù)據(jù)庫中存儲了多個需要進行安全檢測的對象的信譽值�,這里使用信譽值表征每個需要進行安全檢測的對象的安全程度。為了區(qū)分不同需要進行安全檢測的對象����,信譽值數(shù)據(jù)庫中還存儲有每個需要進行檢測的對象的標識�����。另外���,為了克服現(xiàn)有技術(shù)中基于惡意特征的檢測方法僅根據(jù)待檢測對象當(dāng)前時刻的行為或信息進行檢測存在誤判和漏判概率較高的缺陷�,本實施例中的信譽值是對需要進行安全檢測的對象一段時間內(nèi)的影響因素進行綜合評測得到的,這里的影響因素是指對需要進行安全檢測的對象的安全性有影響的各種因素��,主要是指需要進行安全檢測的對象的行為或狀態(tài)����。其中,根據(jù)需要進行安全檢測的對象的不同��,進行綜合評測使用的影響因素也會不同���,使用的影響因素的個數(shù)也會有所不同�,例如可以使用多個行為信息���,也可以使用多個對象信息��,還可以同時使用多個行為信息和屬性信息���。也就是說,本實施例的信譽值考慮了需要進行安全檢測的對象的歷史行為和/或狀態(tài)����,因此更能體現(xiàn)該對象的安全程度?;谏鲜?���,待檢測對象的信譽值是通過對該待檢測對象在指定時間內(nèi)的影響因素進行綜合評測得到的��,該待檢測對象的信譽值考慮了該待檢測對象的歷史行為和/或狀態(tài)��。本實施例給出了多個影響因素���,例如包括是否包括漏洞信息���、域名屬性、IP地址 類型�、是否包含惡意代碼、是否為入侵行為��、是否為攻擊行為���、是否為掃描行為�����、是否為欺詐行為、是否為爬蟲行為�����、是否為僵尸主機、是否為代理行為�����、是否發(fā)送垃圾郵件�����、響應(yīng)時延��、出現(xiàn)頻度和業(yè)務(wù)與應(yīng)用是否存在異常行為等等�。下面對每個影響因素進行解釋說明。漏洞信息待檢測對象是否含有漏洞以及漏洞的危險等級都會影響該待檢測對象的信譽�。例如,通過獲取待檢測對象的操作系統(tǒng)�����、應(yīng)用軟件�����、數(shù)據(jù)庫以及Web服務(wù)器軟件、Web應(yīng)用程序等軟件的版本以及補丁程序信息可以獲知該待檢測對象的漏洞情況�。此影響因素主要用于評價服務(wù)器。域名屬性域名對應(yīng)的IP地址的數(shù)量及穩(wěn)定程度以及域名所屬分類��、域名所有者信息等都是用于判斷域名信譽的依據(jù)���。例如那些具有Fast-Flux特性的域名信譽值就會低��,同樣動態(tài)域名的信譽會比靜態(tài)域名的信譽低���。另外,網(wǎng)站/網(wǎng)頁的排名信息(如Google的PageRank和Alex的網(wǎng)站排名)也可以作為待檢測對象的信譽的參考�。IP地址類型不通過類型的IP地址的信譽并不相同。例如����,那些屬于數(shù)字用戶線路(Digital Subscriber Line,簡稱為DSL)�����、有線寬帶��、撥號接入或者是網(wǎng)吧的IP地址����,可信度通常比較低。惡意代碼惡意代碼因素是指待檢測對象(主要是指客戶機或服務(wù)器)感染了惡意代碼����、待檢測對象(主要是指郵件或文件)包含惡意代碼或網(wǎng)頁上被掛馬等行為。入侵����、攻擊、掃描行為如果待檢測對象有掃描����、入侵、參與攻擊�、訪問蜜網(wǎng)設(shè)備、與其它惡意客戶端有通訊聯(lián)系等惡意行為�����,其可信度會降低��。欺詐行為欺詐是指待檢測對象有偽造源IP��、發(fā)送欺詐鏈接����、發(fā)送含惡意代碼的文件����、無法完成身份認證等行為���。爬蟲行為爬蟲從網(wǎng)絡(luò)上抓取信息��,會嚴重影響被訪問站點的性能�。因此有類似爬蟲行為的待檢測對象(這里主要是指客戶端)在信譽方面要大打折扣���。僵尸主機待檢測對象(這里主要是指服務(wù)器)在感染僵尸程序以后��,會主動尋找其它僵尸主機和控制主機�����,加入到僵尸網(wǎng)絡(luò)中聽從下一步的指令��。如果能確認待檢測對象有類似行為�����,其信譽值應(yīng)該受很大影響��。例如待檢測對象查詢屬于僵尸控制主機的域名�����,則可以斷定該待檢測對象感染了僵尸網(wǎng)絡(luò)����。代理行為對于客戶端來說�����,通常都是用瀏覽器直接訪問站點����。采用代理訪問可以看作一種不正常的行為??梢园汛矸?wù)器的代理行為分為代理服務(wù)和非代理服務(wù)。代理服務(wù)是指代理服務(wù)器是公開的正式提供服務(wù)的站點發(fā)出的請求��。非代理服務(wù)有可能是臨時的��、非公開的或是“洋蔥路由(The Onion Router)”發(fā)出的請求����。代理服務(wù)的信譽應(yīng)該高于非代理服務(wù)��。代理服務(wù)器在轉(zhuǎn)發(fā)請求時���,還分為實名代理和匿名代理兩種方式。實名代理的信譽應(yīng)該高于匿名代理�����。對于判斷待檢測對象是否有代理行為主要適用于待檢測對象是客戶機的情況����。垃圾郵件發(fā)送垃圾郵件的行為一般都是通過工具或由僵尸程序完成的。因此�,只要確認待檢測對象有發(fā)送垃圾郵件的行為,則應(yīng)該降低該待檢測對象的信譽�����。響應(yīng)時延對某種請求的響應(yīng)超過合理的預(yù)期�,或是遠低于歷史記錄都可視為一種異常。例如在P2P網(wǎng)絡(luò)中�����,節(jié)點對請求響應(yīng)的延時是影響該節(jié)點信譽的重要因素�����。因此,根據(jù)待檢測對象的響應(yīng)時延也是影響待檢測對象的信譽的因素�����。出現(xiàn)頻度某個特定對象出現(xiàn)的頻度也是影響該對象的信譽的因素�。例如某個進程在絕大多數(shù)設(shè)備上都出現(xiàn)��,則該進程很可能是個正常進程�����。再例如�,某個特定內(nèi)容的電子 郵件出現(xiàn)的頻率很高,則說明該郵件很可能是垃圾郵件�。因此,待檢測對象的出現(xiàn)頻度也是影響待檢測對象的信譽的因素�。出現(xiàn)頻度這一因素主要適用于待檢測對象是文件或郵件或進程的情況。業(yè)務(wù)與應(yīng)用存在異常行為有些異常行為是業(yè)務(wù)或應(yīng)用層面的��,并不能直接判斷帶有惡意����。例如賬號的異地登錄�����、反復(fù)頻繁登錄�����、長時間隱身等����。再例如電子商務(wù)交易中不履行義務(wù)的行為�����。但是�����,待檢測對象的業(yè)務(wù)或應(yīng)用是否存在異常行為也是影響待檢測對象
的信譽的因素�。不同影響因素所屬的類別不同,并且不同影響因素的適用的待檢測對象也不同����。表I給出了每個影響因素所屬的類別以及適用的待檢測對象的信息。表I
權(quán)利要求
1.一種信息對象檢測方法,其特征在于���,包括 檢測設(shè)備接收來自待檢測對象的信息�����,所述待檢測對象的信息攜帶有所述待檢測對象的標識�����; 所述檢測設(shè)備根據(jù)所述待檢測對象的標識���,查詢信譽值數(shù)據(jù)庫獲取所述待檢測對象的信譽值�����;所述待檢測對象的信譽值是通過對所述待檢測對象在指定時間內(nèi)的影響因素進行綜合評測得到的�,所述影響因素是指對所述待檢測對象的安全性有影響的所述待檢測對象的行為或狀態(tài); 所述檢測設(shè)備將所述待檢測對象的信譽值與預(yù)設(shè)的至少一個信譽值范圍進行比較�����,獲取所述待檢測對象的信譽值所屬的第一信譽值范圍����,并根據(jù)所述第一信譽值范圍對應(yīng)的檢測策略對所述待檢測對象的信息進行安全檢測��。
2.根據(jù)權(quán)利要求I所述的信息對象檢測方法����,其特征在于��,所述檢測設(shè)備根據(jù)所述待檢測對象的標識���,查詢信譽值數(shù)據(jù)庫獲取所述待檢測對象的信譽值之前包括 采集器在所述指定時間內(nèi)采集所述待檢測對象的影響因素的數(shù)據(jù)�; 信譽值分析器對所述采集器采集到的所述待檢測對象的影響因素的數(shù)據(jù)進行綜合評測���,生成所述待檢測對象的信譽值���; 所述信譽值分析器將所述待檢測對象的信譽值存儲到所述信譽值數(shù)據(jù)庫中。
3.根據(jù)權(quán)利要求2所述的信息對象檢測方法����,其特征在于,所述信譽值分析器對所述采集器采集到的所述待檢測對象的影響因素的數(shù)據(jù)進行綜合評測���,生成所述待檢測對象的信譽值包括 所述信譽值分析器將所述采集器采集到的所述待檢測對象的影響因素的數(shù)據(jù)與預(yù)設(shè)的正常因素信息進行比較���,以給所述待檢測對象的影響因素進行打分����; 所述信譽值分析器根據(jù)公式R= Σ (Qi(OC^Ci)-E (Mt)PjJPj)+Σ YkRk / Σ k,生成所述待檢測對象的信譽值����; 其中,R表示所述待檢測對象的信譽值�����; Ci0為到本次采集為止計算出的所述待檢測對象的第i個影響因素的累積獎勵分����; Ci表示根據(jù)本次采集到的數(shù)據(jù)給所述待檢測對象的第i個影響因素打出的獎勵分,i>0 ����; a^t)是所述待檢測對象的第i個影響因素的累積獎勵分的權(quán)重值��,是一個時間衰減的函數(shù)Wiakciie-ut�����,λ是衰減系數(shù),At是本次采集操作與上次采集操作之間的時間差; Pjo為到本次采集為止計算出的所述待檢測對象的第j個影響因素的累積懲罰分���,j >O,且i關(guān)j ; Pj表示根據(jù)本次采集到的數(shù)據(jù)給所述待檢測對象的第j個影響因素打出的懲罰分���;β j(t)是所述待檢測對象的第j個影響因素的累積懲罰分的權(quán)重值,是一個時間衰減的函數(shù)��; Rk表示所述待檢測對象的第k個影響因素的第三方評價分�,k>0 ; Yk表示所述待檢測對象的第k個影響因素的第三方評價分的權(quán)重值�����。
4.根據(jù)權(quán)利要求3所述的信息對象檢測方法�����,其特征在于����,所述信譽值分析器根據(jù)公式R=E (Qi(OC^Ci)-E (Mt)PjJPj)+Σ YkRk / Σ k,生成所述待檢測對象的信譽值之前包括 所述采集器從第三方服務(wù)器獲得所述待檢測對象的第k個影響因素的第三方評價分���,所述第三方服務(wù)器存儲有所述待檢測對象的影響因素的評價信息���。
5.根據(jù)權(quán)利要求2或3或4所述的信息對象檢測方法�,其特征在于�����,所述采集器在所述指定時間內(nèi)采集所述待檢測對象的影響因素的數(shù)據(jù)包括 所述采集器在所述指定時間內(nèi)主動向所述待檢測對象發(fā)送探測包或者主動丟棄來自所述待檢測對象的數(shù)據(jù)包���,根據(jù)所述待檢測對象對所述探測包或者對所述采集器丟棄數(shù)據(jù)包的行為的響應(yīng)情況��,獲得所述待檢測對象的影響因素的數(shù)據(jù)��;或者 所述采集器在所述指定時間內(nèi)對所述待檢測對象的信息進行網(wǎng)絡(luò)監(jiān)聽�����,獲得所述待檢測對象的影響因素的數(shù)據(jù)���;或者 所述采集器在所述指定時間內(nèi)對所述采集器上的各種日志進行分析統(tǒng)計分析,獲得所述待檢測對象的影響因素的數(shù)據(jù)��。
6.根據(jù)權(quán)利要求I或2或3或4所述的信息對象檢測方法���,其特征在于�����,所述至少一個信譽值范圍中每個信譽值范圍對應(yīng)不同檢測深度的檢測策略���。
7.根據(jù)權(quán)利要求I或2或3或4所述的信息對象檢測方法,其特征在于��,所述待檢測對象為客戶端�����,所述待檢測對象的影響因素包括以下影響因素中的至少一個是否包括漏洞信息�����、域名屬性�、IP地址類型、是否包含惡意代碼����、是否為入侵行為、是否為攻擊行為��、是否為掃描行為����、是否為欺詐行為�、是否為爬蟲行為�、是否為僵尸主機、是否為代理行為�����、是否發(fā)送垃圾郵件�����、響應(yīng)時延����、出現(xiàn)頻度和業(yè)務(wù)與應(yīng)用是否存在異常行為;或者 所述待檢測對象為服務(wù)器或文件或郵件����,所述待檢測對象的影響因素包括以下影響因素中的至少一個是否包括漏洞信息、域名屬性和是否包含惡意代碼���;或者 所述待檢測對象為IP地址��,所述待檢測對象的影響因素包括以下影響因素中的至少一個是否包括漏洞信息�、IP地址類型�、是否包含惡意代碼、是否為入侵行為�、是否為攻擊行為、是否為掃描行為��、是否為欺詐行為�����、是否為爬蟲行為��、是否為僵尸主機��、是否為代理行為�����、是否發(fā)送垃圾郵件和響應(yīng)時延�����;或者 所述待檢測對象為用戶ID���,所述待檢測對象的影響因素包括以下影響因素中的至少一個是否包括漏洞信息�����、IP地址類型��、是否包含惡意代碼�����、是否為入侵行為���、是否為攻擊行為�����、是否為掃描行為�����、是否為欺詐行為����、是否為爬蟲行為�、是否為僵尸主機、是否為代理行為、是否發(fā)送垃圾郵件和業(yè)務(wù)與應(yīng)用是否存在異常行為����。
8.一種信息對象檢測系統(tǒng),其特征在于��,包括檢測設(shè)備�; 所述檢測設(shè)備包括 接收模塊����,用于接收來自待檢測對象的信息,所述待檢測對象的信息攜帶有所述待檢測對象的標識����; 獲取模塊,用于根據(jù)所述待檢測對象的標識���,查詢信譽值數(shù)據(jù)庫獲取所述待檢測對象的信譽值����;所述待檢測對象的信譽值是通過對所述待檢測對象在指定時間內(nèi)的影響因素進行綜合評測得到的����,所述影響因素是指對所述待檢測對象的安全性有影響的所述待檢測對象的行為或狀態(tài); 檢測模塊,用于將所述待檢測對象的信譽值與預(yù)設(shè)的至少一個信譽值范圍進行比較���,獲取所述待檢測對象的信譽值所屬的第一信譽值范圍����,并根據(jù)所述第一信譽值范圍對應(yīng)的檢測策略對所述待檢測對象的信息進行安全檢測����。
9.根據(jù)權(quán)利要求8所述的信息對象檢測系統(tǒng),其特征在于�����,還包括采集器和信譽值分析器��; 所述采集器�,用于在所述獲取模塊查詢信譽值數(shù)據(jù)庫獲取所述待檢測對象的信譽值之前,在所述指定時間內(nèi)采集所述待檢測對象的影響因素的數(shù)據(jù)���; 所述信譽值分析器�����,用于對所述采集器采集到的所述待檢測對象的影響因素的數(shù)據(jù)進行綜合評測����,生成所述待檢測對象的信譽值,并將所述待檢測對象的信譽值存儲到所述信譽值數(shù)據(jù)庫中���。
10.根據(jù)權(quán)利要求9所述的信息對象檢測系統(tǒng)�,其特征在于�,所述信譽值分析器具體用于將所述采集器采集到的所述待檢測對象的影響因素的數(shù)據(jù)與預(yù)設(shè)的正常因素信息進行比較,以給所述待檢測對象的影響因素進行打分�����,根據(jù)公式R=E (Qi(OC^Ci)-E (β」α)Pjo+Pj)+ Σ YkRk / Σ k��,生成所述待檢測對象的信譽值�����; 其中��,R表示所述待檢測對象的信譽值����; Ci0為到本次采集操作為止計算出的所述待檢測對象的第i個影響因素的累積獎勵分�; Ci表示根據(jù)本次采集到的數(shù)據(jù)給所述待檢測對象的第i個影響因素打出的獎勵分,i>0 ; a^t)是所述待檢測對象的第i個影響因素的累積獎勵分的權(quán)重值�����,是一個時間衰減的函數(shù)Wiakciie-ut����,λ是衰減系數(shù),At是本次采集操作與上次采集操作之間的時間差; Pjo為到本次采集為止計算出的所述待檢測對象的第j個影響因素的累積懲罰分����,j >O,且i關(guān)j ; Pj表示根據(jù)本次采集到的數(shù)據(jù)給所述待檢測對象的第j個影響因素打出的懲罰分; β j(t)是所述待檢測對象的第j個影響因素的累積懲罰分的權(quán)重值��,是一個時間衰減的函數(shù)��; Rk表示所述待檢測對象的第k個影響因素的第三方評價分��,k>0 ��; Yk表示所述待檢測對象的第k個影響因素的第三方評價分的權(quán)重值�����。
11.根據(jù)權(quán)利要求10所述的信息對象檢測系統(tǒng)���,其特征在于�����,所述采集器還用于在所述信譽值分析器根據(jù)公式R= Σ (QiU) CiJCi) - ΣPjo+Pj) + Σ YkRk / Σ k,生成所述待檢測對象的信譽值之前��,從第三方服務(wù)器獲得所述待檢測對象的第k個影響因素的第三方評價分����,所述第三方服務(wù)器存儲有所述待檢測對象的影響因素的評價信息。
12.根據(jù)權(quán)利要求9或10或11所述的信息對象檢測系統(tǒng)�,其特征在于,所述采集器具體用于在所述指定時間內(nèi)主動向所述待檢測對象發(fā)送探測包或者主動丟棄來自所述待檢測對象的數(shù)據(jù)包���,根據(jù)所述待檢測對象對所述探測包或者對所述采集器丟棄數(shù)據(jù)包的行為的響應(yīng)情況,獲得所述待檢測對象的影響因素的數(shù)據(jù)����;或者 所述采集器具體用于在所述指定時間內(nèi)對所述待檢測對象的信息進行網(wǎng)絡(luò)監(jiān)聽,獲得所述待檢測對象的影響因素的數(shù)據(jù)���;或者 所述采集器具體用于在所述指定時間內(nèi)對所述采集器上的各種日志進行分析統(tǒng)計分析�����,獲得所述待檢測對象的影響因素的數(shù)據(jù)���。
13.根據(jù)權(quán)利要求8或9或10或11所述的信息對象檢測系統(tǒng)��,其特征在于����,所述至少一個信譽值范圍中每個信譽值范圍對應(yīng)不同檢測深度的檢測策略���。
14.根據(jù)權(quán)利要求8或9或10或11所述的信息對象檢測系統(tǒng)�,其特征在于�,所述待檢測對象為客戶端,所述待檢測對象的影響因素包括以下影響因素中的至少一個是否包括漏洞信息�����、域名屬性�����、IP地址類型���、是否包含惡意代碼�����、是否為入侵行為��、是否為攻擊行為��、是否為掃描行為����、是否為欺詐行為、是否為爬蟲行為��、是否為僵尸主機����、是否為代理行為、是否發(fā)送垃圾郵件�、響應(yīng)時延、出現(xiàn)頻度和業(yè)務(wù)與應(yīng)用是否存在異常行為����;或者 所述待檢測對象為服務(wù)器或文件或郵件���,所述待檢測對象的影響因素包括以下影響因素中的至少一個是否包括漏洞信息�、域名屬性和是否包含惡意代碼;或者 所述待檢測對象為IP地址����,所述待檢測對象的影響因素包括以下影響因素中的至少一個是否包括漏洞信息、IP地址類型���、是否包含惡意代碼�、是否為入侵行為��、是否為攻擊行為�����、是否為掃描行為�����、是否為欺詐行為�、是否為爬蟲行為、是否為僵尸主機����、是否為代理行為、是否發(fā)送垃圾郵件和響應(yīng)時延�����;或者 所述待檢測對象為用戶ID,所述待檢測對象的影響因素包括以下影響因素中的至少一個是否包括漏洞信息�、IP地址類型、是否包含惡意代碼��、是否為入侵行為�、是否為攻擊行為、是否為掃描行為�、是否為欺詐行為、是否為爬蟲行為�、是否為僵尸主機、是否為代理行為�����、是否發(fā)送垃圾郵件和業(yè)務(wù)與應(yīng)用是否存在異常行為�����。
全文摘要
本發(fā)明實施例提供一種信息對象檢測方法及系統(tǒng)�。方法包括檢測設(shè)備接收來自待檢測對象的信息,待檢測對象的信息攜帶有待檢測對象的標識�;檢測設(shè)備根據(jù)待檢測對象的標識�����,查詢信譽值數(shù)據(jù)庫獲取待檢測對象的信譽值;待檢測對象的信譽值是通過對待檢測對象在指定時間內(nèi)的影響因素進行綜合評測得到的�����,影響因素是指對待檢測對象的安全性有影響的待檢測對象的行為或狀態(tài)���;檢測設(shè)備將待檢測對象的信譽值與預(yù)設(shè)的至少一個信譽值范圍進行比較�,獲取待檢測對象的信譽值所屬的第一信譽值范圍�,并根據(jù)第一信譽值范圍對應(yīng)的檢測策略對待檢測對象的信息進行安全檢測。采用本發(fā)明技術(shù)方案可以提高檢測性能����,降低誤判和漏判概率。
文檔編號G06F21/50GK102945340SQ20121040757
公開日2013年2月27日 申請日期2012年10月23日 優(yōu)先權(quán)日2012年10月23日
發(fā)明者王衛(wèi)東 申請人:北京神州綠盟信息安全科技股份有限公司, 北京神州綠盟科技有限公司