實(shí)施例提供了針對(duì)IP地址和/或網(wǎng)絡(luò)域確定惡意評(píng)分。例如，可以接收評(píng)估關(guān)于IP地址/網(wǎng)絡(luò)域的惡意活動(dòng)的請(qǐng)求。多個(gè)第三方系統(tǒng)，以及在某些情況下是不同的第三方系統(tǒng)可以提供與IP地址和/或網(wǎng)絡(luò)域相關(guān)聯(lián)的惡意活動(dòng)信息。可以從惡意活動(dòng)信息提取特征集，并且可以從所提取的數(shù)據(jù)計(jì)算統(tǒng)計(jì)值并將其添加到特征集。可以將特征集提供給機(jī)器學(xué)習(xí)模型作為輸入，并且可以返回惡意評(píng)分/分類。可根據(jù)機(jī)器學(xué)習(xí)模型的輸出執(zhí)行補(bǔ)救措施。

背景技術(shù)

網(wǎng)絡(luò)防御中的一項(xiàng)關(guān)鍵任務(wù)是評(píng)估由特定網(wǎng)絡(luò)設(shè)備(例如，網(wǎng)站)帶來的威脅，例如由互聯(lián)網(wǎng)協(xié)議(IP)地址和/或網(wǎng)絡(luò)域名所識(shí)別的威脅。涉及惡意網(wǎng)站的通信可能損害網(wǎng)絡(luò)。然而，由于IP地址和/或網(wǎng)絡(luò)域名的快速變化的行為，自動(dòng)評(píng)估網(wǎng)站的惡意或潛在惡意的嚴(yán)重性級(jí)別是有挑戰(zhàn)性的。常規(guī)網(wǎng)絡(luò)安全系統(tǒng)在以高保真度檢測(cè)網(wǎng)站的惡意方面不是太主觀就是不準(zhǔn)確。因此，當(dāng)前難以檢測(cè)到通信中涉及的IP地址和/或網(wǎng)絡(luò)域的惡意和可疑活動(dòng)，或惡意或可疑活動(dòng)的可能性。因此，常規(guī)網(wǎng)絡(luò)安全系統(tǒng)關(guān)于檢測(cè)和預(yù)防能力以及整體安全態(tài)勢(shì)方面存在顯著缺陷。

發(fā)明內(nèi)容

本文中描述的實(shí)施例單獨(dú)地和共同地解決了上面描述的問題和其它問題。網(wǎng)絡(luò)安全系統(tǒng)可以計(jì)算已經(jīng)請(qǐng)求惡意活動(dòng)評(píng)估的網(wǎng)絡(luò)標(biāo)識(shí)符(例如IP地址、網(wǎng)絡(luò)域等)的惡意評(píng)分。為了計(jì)算此類評(píng)分，網(wǎng)絡(luò)安全系統(tǒng)可以從各種第三方服務(wù)器請(qǐng)求惡意活動(dòng)信息，第三方服務(wù)器例如威脅情報(bào)提供商、DNS提供商、黑名單提供商、網(wǎng)絡(luò)流量報(bào)告提供商和/或一個(gè)或多個(gè)防病毒報(bào)告提供商。網(wǎng)絡(luò)安全系統(tǒng)可以利用所接收的惡意活動(dòng)信息提取第一特征集，并計(jì)算第二特征集。這些特征可以輸入到機(jī)器學(xué)習(xí)模型中，先前已經(jīng)使用歷史惡意活動(dòng)信息的類似特征和已知的安全分類訓(xùn)練過該機(jī)器學(xué)習(xí)模型。利用機(jī)器學(xué)習(xí)模型，可以計(jì)算網(wǎng)絡(luò)標(biāo)識(shí)符的惡意評(píng)分。網(wǎng)絡(luò)安全系統(tǒng)或另一系統(tǒng)可根據(jù)惡意評(píng)分執(zhí)行各種補(bǔ)救措施(例如，影響網(wǎng)絡(luò)流量)。

其它實(shí)施例涉及與本文中所描述的方法相關(guān)聯(lián)的系統(tǒng)和非暫時(shí)性計(jì)算機(jī)可讀介質(zhì)。

可以參考以下具體實(shí)施方式和附圖來更好地了解本發(fā)明實(shí)施例的性質(zhì)和優(yōu)點(diǎn)。

附圖說明

圖1是根據(jù)一些實(shí)施例的用于確定網(wǎng)絡(luò)標(biāo)識(shí)符的惡意評(píng)分的系統(tǒng)的框圖。

圖2是根據(jù)一些實(shí)施例的用于確定網(wǎng)絡(luò)標(biāo)識(shí)符的惡意評(píng)分的示范性網(wǎng)絡(luò)安全系統(tǒng)的框圖。

圖3是能夠?qū)嵤┚W(wǎng)絡(luò)安全系統(tǒng)的至少一些實(shí)施例的示例性計(jì)算機(jī)架構(gòu)。

圖4A和圖4B是根據(jù)一些實(shí)施例圖示了根據(jù)初始網(wǎng)絡(luò)標(biāo)識(shí)符的集合確定相關(guān)網(wǎng)絡(luò)標(biāo)識(shí)符的示例性過程的流程圖。

圖5是根據(jù)一些實(shí)施例的圖3的參數(shù)確定引擎的示例性計(jì)算機(jī)架構(gòu)，其能夠?qū)嵤┚W(wǎng)絡(luò)安全系統(tǒng)的至少一些方面。

圖6是根據(jù)一些實(shí)施例的圖3的決策引擎的示例性計(jì)算機(jī)架構(gòu)，其能夠?qū)嵤┚W(wǎng)絡(luò)安全系統(tǒng)的至少一些方面。

圖7是根據(jù)一些實(shí)施例圖示了用于訓(xùn)練和更新機(jī)器學(xué)習(xí)模型的示例性過程的流程圖。

圖8示出了根據(jù)一些實(shí)施例的用于確定一個(gè)或多個(gè)網(wǎng)絡(luò)標(biāo)識(shí)符的惡意評(píng)分的示范性方法的流程圖。

術(shù)語

在討論本發(fā)明的一些實(shí)施例之前，對(duì)一些術(shù)語的描述可有助于理解本發(fā)明的實(shí)施例。

術(shù)語“客戶端計(jì)算機(jī)”通常指請(qǐng)求信息或服務(wù)的計(jì)算機(jī)。客戶端計(jì)算機(jī)可包括計(jì)算機(jī)(例如臺(tái)式計(jì)算機(jī))、移動(dòng)裝置(例如智能電話、膝上型計(jì)算機(jī)或平板計(jì)算機(jī))或可穿戴裝置(例如智能手表或活動(dòng)跟蹤器)。客戶端計(jì)算機(jī)可包括無線通信能力(例如Wi-Fi、藍(lán)牙或近場(chǎng)通信)。在一些實(shí)施例中，客戶端計(jì)算機(jī)可以與服務(wù)器計(jì)算機(jī)通信。在一些實(shí)施例中，第一客戶端計(jì)算機(jī)可能不能夠與服務(wù)器計(jì)算機(jī)通信，除非第二客戶端計(jì)算機(jī)為第一客戶端計(jì)算機(jī)充當(dāng)代理，發(fā)送和接收消息。