CN106411860A

CN106411860A - 一种网络互连协议ip检测的方法及装置

Info

Publication number: CN106411860A
Application number: CN201610809588.4A
Authority: CN
Inventors: 何为舟
Original assignee: Weimeng Chuangke Network Technology China Co Ltd
Current assignee: Weimeng Chuangke Network Technology China Co Ltd
Priority date: 2016-09-07
Filing date: 2016-09-07
Publication date: 2017-02-15
Anticipated expiration: 2036-09-07
Also published as: CN106411860B

Abstract

本申请公开了一种网络互连协议IP的检测方法及装置，该方法中由于服务器可根据各IP发送的请求，确定出疑似非法用户的各待定IP，并将这些待定IP中满足第一预设条件的看作一个整体，从整体上检查满足预设条件的待定IP是否为非法IP，因此，即使非法用户为了避免服务器的阈值检测，而使自己控制的多个IP所对应的请求特征值均不超出阈值，服务器也可通过上述方法从整体的角度查看这些IP是否为非法IP，进而当确定出这些IP为非法IP时，限制或禁止这些IP的登录，这就有效的防止了非法用户通过多个IP发送请求的方式来避开服务器阈值检测的情况发生，进而提高了服务器的可靠性，保证了用户隐私信息的安全。

Description

一种网络互连协议IP检测的方法及装置

技术领域

本申请涉及计算机技术领域，尤其涉及一种网络互连协议IP检测的方法及装置。

背景技术

为了满足人们日益增长的需求，当前，各个线上平台不断的完善着各自线上平台中的各项功能，以使用户能够享受到各项功能所带来的便利服务，相信，随着网络技术的不断发展，线上平台还将进一步完善。

如何有效的保证用户数据的安全，一直是各线上平台的运营商极大的关注的问题，因为，一旦诸如消费记录、账户余额、聊天记录等用户的隐私数据遭到了盗取或泄露，则不但会给用户本身带来极大的损失，线上平台可能会因为这些安全问题而承担巨大的责任，进而影响到整个线上平台后续的运作。所以，各个线上平台需要时刻检测自己的安全状况，以向用户提供一个安全的线上平台。

在实际应用中，用户基于方便的考虑，通常会使用同一账号在不同的线上平台上进行注册，以便于记忆。而一些非法用户正是抓住了用户注册账号的这一特点，设法获取用户的账号和密码，并使用获取到的账号及其对应的密码，尝试在各个线上平台进行登录，倘若某一用户为了便于记忆，在各线上平台上注册了相同的账号以及密码，则一旦非法用户获取到了该用户的账号及其对应的密码，则该用户在各线上平台上的隐私数据将面临被盗取的可能。

上述说明的盗取用户隐私数据的方法俗称撞库扫号，这种方法简单、容易，因此已成为当下一个主流的盗取用户隐私数据的手段。而各线上平台为了防止非法用户通过该手段来盗取用户的隐私数据，当前，各线上平台通常都会采用阈值检测的方法，对一个网络互连协议(Internet Protocol，IP)在一定时间内的登录次数，以及登录状态(如用户不存在、密码错误、异地登录等)进行记录，如果在一定的时间内、从一个IP中发起的登录次数、密码错误率等超过了预设的阈值，则可认定当前该IP所对应的用户为非法用户，进而限制或禁止该IP的用户访问线上平台。采用这种方法来防止非法用户盗取用户隐私数据的原理是：在实际应用中，非法用户虽然可能获取到了大量的账号以及对应的密码，但是，这些账号以及对应的密码在一个线上平台上的命中率通常都不高，而非法用户为了保证在一定时间内获取到尽可能多的有效账号以及密码(这里的有效账号以及密码是指可以登录该线上平台的账号以及密码)，非法用户通常都会在一定的时间内，通过获取到的大量的账号以及密码，向该线上平台发起大量的登录请求，以此来获取尽可能多的有效账号。由于正常用户通常不会在短时间内发起大量的登录请求，并且，通常也不会出现大量登录失败的情况发生，基于此，线上平台可设定一个合理的阈值，并通过阈值检测的方法，来区分正常用户和非法用户，继而通过限制或禁止非法用户登录该线上平台的手段，保证该线上平台中用户隐私数据的安全性。

然而，当前的阈值检测方式通常都是针对一个IP而使用的，非法用户为了避开线上平台的阈值检测，可将自己获取到的大量用户账号及密码分散给多个IP，并通过多个IP，向该线上平台发起大量的登录请求，由于单个IP在一定时间内发起登录请求的次数或是登录错误率可能均未超出线上平台所设定的阈值，因此，对于这种情况来说，线上平台的阈值检测方式将会失灵，继而无法保证用户隐私数据的安全。

发明内容

本申请实施例提供一种网络互连协议IP检测的方法，用于解决现有技术中线上平台的阈值检测方式无法有效保证用户隐私数据安全的问题。

本申请实施例提供一种网络互连协议IP检测的装置，用于解决现有技术中线上平台的阈值检测方式无法有效保证用户隐私数据安全的问题。

本申请实施例采用下述技术方案：

本申请实施例提供一种网络互连协议IP检测的方法，包括：

接收各IP发送的请求，并从发送请求的各IP中确定网段满足预设条件的各候选IP；

根据所述各候选IP发送的请求，从各候选IP中确定待定IP，所述待定IP为疑似非法IP；

根据确定出的各待定IP，将满足第二预设条件的各待定IP确定为一个IP簇，将所述IP簇包含的各待定IP发送的请求均作为所述IP簇发送的请求；

根据预设的检测阈值以及所述IP簇发送的请求，检测所述IP簇是否为非法IP簇，并根据检测结果，确定所述IP簇包含的各待定IP是否为非法IP。

本申请实施例提供一种网络互连协议IP检测，包括：

第一确定模块，用于接收各IP发送的请求，并从发送请求的各IP中确定网段满足预设条件的各候选IP；

第二确定模块，用于根据所述各候选IP发送的请求，从各候选IP中确定待定IP，所述待定IP为疑似非法IP；

IP簇确定模块，用于根据确定出的各待定IP，将满足预设条件的各待定IP确定为一个IP簇，将所述IP簇包含的各待定IP发送的请求均作为所述IP簇发送的请求；

检测模块，用于根据预设的检测阈值以及所述IP簇发送的请求，检测所述IP簇是否为非法IP簇，并根据检测结果，确定所述IP簇包含的各待定IP是否为非法IP。

本申请实施例提供了一种网络互连协议IP的方法及装置，该方法中服务器在接收到各IP发送的各请求后，可根据各IP的IP地址，确定出满足预设条件的各候选IP，并根据确定出的各候选IP所发送的请求，从这些候选IP中确定出疑似非法IP的各待定IP，而后，服务器可将确定出的各待定IP确定为一个IP簇，并将各待定IP发送的请求均作为该IP簇所发送的请求，服务器可根据该IP簇所发送的请求，以及预设的检测阈值，判断该IP簇是否为非法IP簇，并根据确定出的检测结果，最终确定出该IP簇所包含的各待定IP是否为非法IP。由于在本申请实施例中，服务器可根据各IP发送的请求，确定出疑似非法IP的各待定IP，并将这些待定IP中满足预设条件的看作一个整体，从整体上检查满足预设条件的各待定IP是否为非法IP，因此，即使非法用户为了避免服务器的阈值检测，而使自己控制的多个IP所对应的请求特征值均不超出阈值，服务器也可通过上述方法从整体的角度查看这些IP是否为非法IP，进而当确定出这些IP为非法IP时，限制或禁止这些IP的登录，这就有效的防止了非法用户通过多个IP发送请求的方式来避开服务器阈值检测的情况发生，进而提高了服务器的可靠性，保证了用户隐私信息的安全。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本申请实施例提供的网络互连协议IP检测的过程；

图2为本申请实施例提供的服务器检测非法IP的示意图；

图3为本申请实施例提供的公式a_t＝a_t-1×f^g+1的曲线变化示意图；

图4为本申请实施例提供的服务器确定IP簇的示意图；

图5为本申请实施例提供的一种网络互连协议IP的装置示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

以下结合附图，详细说明本申请各实施例提供的技术方案。

图1为本申请实施例提供的网络互连协议IP检测的过程，具体包括以下步骤：

S101：接收各IP发送的请求，并从发送请求的各IP中确定网段满足第一预设条件的各候选IP。

在实际应用中，一些非法用户通常会以控制多个IP向服务器发送请求的方式，避开服务器的阈值检测，由于非法用户将盗取的大量用户账号以及对应的密码分散至各个IP中，因此，针对每个IP来说，其发送的请求所基于的账号也只是非法用户盗取账号中的一部分，这样一来，若非法用户控制每个IP发送请求的数量，即可绕过服务器的阈值检测，从而使服务器的阈值检测失灵，进而使得用户的隐私数据面临安全的威胁。

为了避免上述情况的发生，在本申请实施例中，服务器可在接收到各IP发送的请求后，从中确定出在网段上满足第一预设条件的各候选IP，后续再根据确定出的各候选IP所发送的请求，从各候选IP中确定出待定IP，并进一步将满足预设条件的IP归为一个整体的IP簇，以通过阈值检测方法检测该IP簇的方式来确定出各待定IP是否为非法用户的非法IP，如图2所示。

图2为本申请实施例提供的服务器检测非法IP的示意图。

在图2中，非法用户为了盗取服务器中所保存的用户隐私数据，可利用撞库扫号的方式，控制多个终端设备向该服务器发送请求，其中，为了避开服务器的阈值检测，这些终端可分布在不同的区域中，相应的，这些终端所对应的IP也应是不同区域所对应的IP，所以，非法用户所进行的撞库扫号行为实际上是利用多个IP向服务器发送请求，而在本申请实施例中，服务器为了避免非法用户绕开阈值检测，服务器可接收各IP所发送的请求，并根据各IP所发送的请求，确定出疑似非法IP的各待定IP，并进一步将满足预设条件的各待定IP归为一个整体的IP簇，进而在后续过程中，以检查该IP簇的方式来对这些待定IP进行检测。

而服务器在确定各待定IP之前，可先根据第一预设条件，确定出向其发送请求的各IP中，网段满足该第一预设条件的各候选IP，这样做的目的在于，在实际应用中，非法用户为了节省盗取用户数据的成本，其所控制的多个IP通常都分布在相同的区域，因此，这些IP在网段上通常都是相同或相近的，因此，在本申请实施例中，服务器在检测各IP之前，可先确定出各IP的网段，并将网段相同的各IP划分到一组中(网段相同即为第一预设条件)，例如，假设服务器接收到如下表1所示的各IP所发送的请求。

IP	请求
		192.168.3.67	请求A
192.168.3.04	请求B
		192.168.3.13	请求C
192.168.0.01	请求D
		192.155.8.54	请求E
192.168.3.90	请求F
		192.168.3.33	请求G

表1

从表1中可以看出，由于请求A、B、C、F、G各自所对应的IP均出自同一网段(即，这五个请求所对应的IP均属于192.168.3.X的网段)，因此，服务器可将这五个请求确定为在网段上满足第一预设条件的各候选IP，并将这五个候选IP归为同一组。

在实际应用中，通常可将IP分为a、b、c、d四段，例如，在IP192.168.0.1中，192为a段，168为b段，0为c段，1为d段，一般情况下，abc三段相同的IP通常位于同一区域，所以，上述示例中，请求A、B、C、F、G所对应的各IP属于abc段相同的5个IP，即，这5个IP同属于一个区域，而在本申请实施例中，服务器除了可以abc段相同为基准，确定出abc段相同的各IP外，也可以ab段相同为基准，确定出ab段相同的各IP。

当然，非法用户所控制的多个IP除了可以是相同网段上的各IP，也可以是相邻网段上的各IP(因为对于有些非法用户来说，使用相邻区域的多个IP来盗取用户数据在成本上也是可以接受的)，所以，服务器也可将网段相邻的各IP确定出来，并在后续过程中，根据这些IP(即上述的各候选IP)所发送的请求，从中确定出疑似非法IP的各待定IP。

S102：根据所述各候选IP发送的请求，从各候选IP中确定待定IP，所述待定IP为疑似非法IP。

服务器确定出网段上满足第一预设条件的各候选IP后，需要进一步的分析这些候选IP的状态，因为在这些候选IP中，有些候选IP可能是合法用户所使用的正常IP，合法用户所使用的正常IP往往与那些可能是非法用户所使用的IP具有本质上的区别，所以，为了将合法用户所使用的正常IP加以区分，以从确定出的各候选IP中进一步的确定出疑似非法用户所使用的非法IP，在本申请实施例中，服务器可以各IP所发送的请求为判断依据，从网段满足第一预设条件的各候选IP中确定出疑似非法IP的待定IP。

具体的，服务器在确定出网段满足第一预设条件的各候选IP后，可针对每个候选IP，统计在一段时间内，该候选IP发送各请求所对应的请求特征值，其中，这里提到的请求特征值意在表征该候选IP发送请求的一个状况，该请求特征值可以是诸如发送请求数、请求错误数、请求错误率等数值，而服务器确定出该候选IP请求特征值的方式可以是：对于该候选IP来说，当服务器接收到该候选IP所发送的请求后，可将该请求作为该候选IP当前时刻所发送的请求，而后，由于该候选IP所发送各请求的时间服务器都会进行相应的记录，因此，服务器可进一步的确定出该候选IP上一时刻所发送的请求与当前时刻发送请求的时间间隔，后续服务器可采用公式a_t＝a_t-1×f^g+1，确定出该候选IP在当前时刻所对应的请求特征值，其中，由于在实际应用中，服务器要确定一个IP是否为疑似非法IP时，需要根据该IP最近一段时间内发送请求的状况来判断，而不应根据该IP的历史数据进行判断，这是因为，若该IP先前一直都是合法IP，只是最近一段时间才被非法用户所利用变成非法IP的，则该IP处于合法IP时所产生的大量历史数据可能会对服务器的阈值检测造成影响，进而使得服务器无法通过阈值检测准确的检测出该IP此时已成为非法IP的情况。

基于上述情况的考虑，在本申请实施例中，服务器可采用公式a_t＝a_t-1×f^g+1，来确定该候选IP在当前时刻所对应的请求特征值，这个公式的意义在于，该公式能够反映出一个IP在一段时间内发送请求的变化趋势，并可以忽略该IP历史数据对服务器阈值检测的影响，从而使得服务器可准确的确定出该IP当前时刻发送请求的状况，该公式所对应的曲线变化示意图如图3所示。

图3为本申请实施例提供的公式a_t＝a_t-1×f^g+1的曲线变化示意图。

在图3中，假设f为一个固定的数值，当g较小时，即在一定的时间内，IP向服务器发送请求的时间间隔较短，发送请求的数量相对较多，则该IP在这段时间内所对应的请求特征值在数值上应较高，而当g逐渐增大时，即，在一定时间内，IP向服务器发送请求的时间间隔较长，发送请求的数量相对较少，则该IP在这段时间内所对应的请求特征值在数值上也将相应较低。换句话说，通过该公式，服务器可以根据该IP当前时刻发送请求的情况来准确的确定出能反映出这一情况的该IP当前时刻对应的请求特征值，而使其确定出的请求特征值不会受到该IP历史数据的影响。

在上述公式a_t＝a_t-1×f^g+1中，t表示的是当前时刻，即，可以是服务器当前***时间所对应的时刻，而t-1则表示IP发送上一请求所对应的时刻，即相对于当前时刻t的上一时刻，a_t为该IP在当前时刻t所对应的请求特征值，而a_t-1为该IP在上一时刻t-1所对应的请求特征值，g为该IP上一时刻所发送的请求与当前时刻发送请求的时间间隔，f为预设的衰变因子，该f可以由人为进行设定，如服务器的维护人员或安全检测员可根据所检测IP对应的网段，或是服务器当前的***时间，来确定出f的取值大小，其中，该f可以是0～1之间的任意数值。

需要说明的是，上述a_t的初始取值可以根据a_t所代表的含义而决定，如，当a_t表示该候选IP在当前时刻t所对应的发送请求数时，其初始的取值可以是1，即，检测服务器在一段时间内接收到该候选IP发送的第一请求时，此时该候选IP所对应的发送请求数为1，当a_t表示的是该候选IP在当前时刻t所对应的请求错误数时，其初始的取值也可以是1，即，检测服务器在一段时间内接收到该候选IP发送的第一个错误请求时(该错误请求可以是诸如登录失败、登录异常的请求)，此时该候选IP所对应的请求错误数为1，当然，a_t的初始取值也可以是其他的取值，视a_t所表示的具体情况而定。同理，a_t-1的初始取值也应根据a_t-1所表示的而定，例如，当a_t-1表示该候选IP在上一时刻t-1所对应的发送请求数时，其初始的取值可以是0，即，检测服务器在未接受该候选IP发送的请求时，该候选IP所对应的发送请求数应为0。

上述公式a_t＝a_t-1×f^g+1所表达的含义可以看作是一个迭代公式，即，假设a_t表示的是在一定时间内，某一IP累积到当前时刻发送请求的数量(该数量即为请求特征值)，因此，当服务器接收到该IP在这段时间内发送的第一个请求时，则该IP上一时刻所对应的发送请求数量a_t-1应为0，则a_t此时应为1，当服务器接收到该IP在这段时间内发送的第二个请求时，则该IP上一时刻所对应的发送请求数量a_t-1应为1，代入公式后，该IP当前时刻所对应的发送请求数据a_t＝f^g+1，g为该IP发送第一个请求与第二个请求之间的时间间隔。以此类推，直到服务器接收到该IP在这段时间内发送的最后一个请求后，进而根据该公式a_t＝a_t-1×f^g+1得出该IP在这段时间内所累积的发送请求的数量。

服务器根据上述公式a_t＝a_t-1×f^g+1确定出该候选IP当前时刻所对应的请求特征值后，可根据该请求特征值以及该候选IP所在网段对应的请求特征值阈值，判断该候选IP是否为待定IP，其中，该候选IP所在网段对应的请求特征值阈值可以通过以下方法来进行确定：服务器可先确定出该候选IP所在网段所对应的衰变因子f，该f可以是服务器的维护人员或是安全检测员事先针对每个网段所设定的，而当服务器确定出该候选IP所在网段所对应的衰变因子f后，可采用公式(1/(1-f))/n，确定出该候选IP所在网段所对应的请求特征值阈值，其中，服务器起初可根据公式1/(1-f)估算出该网段所对应的一个请求特征值，而由于一个网段中通常都包含有多个IP，如在192.168.0.0～192.168.0.255就包含有256个IP，因此，服务器可将估算出的该网段所对应的请求特征值除以该网段所包含的IP总量n，从而得到了该网段中所对应的一个请求特征值阈值。

需要说明的是，服务器除了可通过公式a_t＝a_t-1×f^g+1确定出某一候选IP当前时刻所对应的请求特征值外，也可根据该公式确定出某一网段在当前时刻所对应的请求特征值，此时，该网段中包含的各IP则可看作是一个整体，即该网段中包含的各IP所发送的请求均为看作是该网段所发送的请求，如，a_t可以是该网段在当前时刻所对应的请求特征值，而a_t-1为该网段在上一时刻所对应的请求特征值。基于此，上述公式1/(1-f)可以通过公式a_t＝a_t-1×f^g+1进行导出，如，假设在一定的时间段内，某一网段的各IP以1s的时间间隔(即g为1)向服务器发送请求，且在同一时刻该网段中只有一个IP向服务器发送请求，则该网段的中的IP第一次向服务器发送请求时，a_t-1为0，a_t为1(这里的a_t以及a_t-1表示的请求特征值为该网段发送的请求数量)，而当该网段中的IP第二次向服务器发送请求时，a_t-1则为1，a_t则为f+1(g＝1)，以此类推，服务器后续接收到该IP所发送的请求后，其每接收到一次请求时，即可根据该公式确定出的该网段所对应的请求特征值，如表2所示。

表2

根据表2中所示的各公式，可将各公式按照自下而上的顺序依次迭代到公式a_t＝a_n＝a_n-1×f^g+1中，进而得到公式a_t＝a_n＝a₁×f^(n-1)g+f^(n-2)g+....+f^g+1，由于a₁＝1，所以，a_t＝a_n＝a₁×f^(n-1)g+f^(n-2)g+....+f^g+1则是一个等比数列，根据等比数列求和公式得出进一步的，由于g为1，而f又为0～1之间的数值，所以，f^ng随着n的增大而逐渐趋近于0，从而得到公式1/(1-f)，并可根据该公式1/(1-f)估算出该网段当期时刻所对应的请求特征值。

服务器根据上述公式1/(1-f)估算出IP所属网段所对应的请求特征值后，可进一步根据公式(1/(1-f))/n，确定出该候选IP所在网段所对应的请求特征值阈值，而后，服务器可根据该请求特征值阈值，判断根据公式a_t＝a_t-1×f^g+1确定出的该候选IP所对应的请求特征值是否超出该请求特征值阈值，若是，则可确定出该候选IP为待定IP，若否，则可确定出不是待定IP。

S103：根据确定出的各待定IP，将满足第二预设条件的各待定IP确定为一个IP簇，将所述IP簇包含的各待定IP发送的请求均作为所述IP簇发送的请求。

由于本申请实施例意在使服务器能够将非法用户所使用的非法IP聚集在一起，并将这些非法IP作为一个整体来进行阈值检测，继而检测出这些IP为非法IP，因此，服务器通过上述步骤S102确定出疑似非法IP的各待定IP后，可进一步的确定这些待定IP是否满足第二预设条件，并将满足第二预设条件的各待定IP确定为一个IP簇，其中，该IP簇所包含的各待定IP发送的请求均可作为该IP簇所对应的请求。具体的，服务器在确定出各待定IP后，可将这些待定IP按照IP地址的顺序依次进行排序，并将IP地址连续的各待定IP确定为一个IP簇，如图4所示。

图4为本申请实施例提供的服务器确定IP簇的示意图。

在图4中，IP的请求发送量(即请求特征值)超过请求发送量阈值(即请求特征值阈值)的则是服务器确定出的各待定IP，服务器可将确定出的各待定IP按照IP地址的顺序进行排序，并将IP地址连续的各待定IP确定为一个IP簇，在图4中，四个圆圈圈出的即为服务器确定出的四个IP簇，对于每个IP簇来说，服务器可将该IP簇中各待定IP所对应的发送请求量均作为该IP簇的发送请求量，进而在后续过程中，根据确定出的该IP簇的发送请求量(即该簇IP的请求特征值)，确定该IP簇是否为非法IP。

需要说明的是，在本申请实施例中，检测服务器除了可以确定出候选IP所属网段所对应的请求特征值阈值外，还可以该请求特征值阈值为依据，对候选IP对应的请求特征值的取值范围进行进一步的划分，如，取0～该请求特征值阈值的50％作为第一取值范围，请求特征值落入该第一取值范围的IP表示该IP发送请求的数量，或请求的错误数量相对稀少，进一步的，检测服务器可取该请求特征值阈值的50％～该请求特征值作为第二取值范围，请求特征值落入该第二取值范围的IP表示该IP发送请求的数据，或是请求的错误数量等相对较为普通，同理，检测服务器将该请求特征值阈值以上的取值范围作为第三取值范围，请求特征值落入该第三取值范围的IP则表示该IP发送的请求数量、或是请求的错误数量等相对较高，可能是非法的IP。划分请求特征值的取值范围可以对各候选IP进行划分，并便于安全检测人员对各候选IP的情况进行观察，并且，由于请求特征值位于第二取值范围的各候选IP可能会具有成为非法IP的潜质，所以，通过划分取值范围的方式，可以事先对请求特征值位于第二取值范围的各候选IP加以预防，从而进一步的保证了服务器的可靠性，保证了用户隐私数据的安全性。当然，取值范围的划分方式可以是其他，如划分多个取值范围，而并不只是局限有划分三个取值范围等。

S104：根据预设的检测阈值以及所述IP簇发送的请求，检测所述IP簇是否为非法IP簇，并根据检测结果，确定所述IP簇对应的各待定IP是否为非法IP。

服务器通过上述步骤S103确定出IP簇所对应的请求特征值后，可根据预先设置的阈值，对该IP簇实施阈值检测，即，查看该IP簇所对应的请求特征值是否超出了阈值检测中的阈值，若是，则服务器可确定出该IP簇为非法IP簇，相应的，该IP簇中所包含的各待定IP则也应为非法的IP，而当该IP簇所对应的请求特征值并没有超出阈值检测中的阈值时，则服务器可确定出该IP簇为合法IP簇，相应的，该IP簇中所包含的各待定IP则也应为合法IP。

从上述方法中可以看出，由于服务器可根据各IP所发送的请求，确定出疑似非法用户的各待定IP，并将满足第二预设条件的各待定IP确定为一个IP簇，即，从整体上对这些待定IP实施阈值检测，因此，即使非法用户为了避免服务器的阈值检测而使自己控制的多个IP所对应的请求特征值均不超出阈值检测的阈值，服务器也可通过上述方法将这些IP进行聚集，并对这些IP从整体上实施阈值检测，这样就有效的防止了非法用户通过多个IP发送请求的方式来避开服务器阈值检测的情况发生，进而提高了服务器的可靠性，保证了用户隐私的安全。

需要说明的是，在上述步骤S102中，g的取值除了可以取IP当前时刻请求与上一时刻请求的实际时间间隔外，还可以通过向上取整或向下取整的方式来确定g的取值，如，当某一IP当前时刻请求与上一时刻请求的实际时间间隔在0～1s之间时，则服务器可将g的取值一律确定为0，而当该IP当前时刻请求与上一时刻请求的实际时间间隔在1～1.5s之间时(不包括1.5s)，则服务器可将该g的取值确定为1s(即向下取整)。当然，g的取值也可通过其他的方式进行确定，在此就不进行一一赘述了，只要该g的取值能够在一定程度上反映出该IP当前时刻请求与上一时刻请求之间的时间间隔即可。

还需说明的是，服务器在确定出IP簇后，可采取多个阈值来对该IP簇实施阈值检测，如，服务器可确定出该簇IP所对应的请求错误量(该请求错误量即为请求特征值)，并将该请求错误量与该请求错误量所对应的阈值进行比对，当服务器确定出该请求错误量不超出该阈值时，则服务器可进一步的确定出该IP簇所对应的请求总量(该请求总量也是请求特征值)，并将该请求总量与请求总量所对应的阈值再次实施比对，以进一步检测该IP簇是否为非法IP簇。

以上为本申请实施例提供的网络互连协议IP检测的方法，基于同样的思路，本申请实施例还提供了网络互连协议IP检测的装置，如图5所示。

第一确定模块501，用于接收各IP发送的请求，并从发送请求的各IP中确定网段满足第一预设条件的各候选IP；

第二确定模块502，用于根据所述各候选IP发送的请求，从各候选IP中确定待定IP，所述待定IP为疑似非法IP；

IP簇确定模块503，用于根据确定出的各待定IP，将满足第二预设条件的各待定IP确定为一个IP簇，将所述IP簇包含的各待定IP发送的请求均作为所述IP簇发送的请求；

检测模块504，用于根据预设的检测阈值以及所述IP簇发送的请求，检测所述IP簇是否为非法IP簇，并根据检测结果，确定所述IP簇对应的各待定IP是否为非法IP。

所述第一确定模块501具体用于，确定网段相同的各候选IP。

所述第二确定模块502具体用于，针对每个候选IP，接收该候选IP发送的请求，作为当前时刻的请求；确定该候选IP发送上一时刻的请求的发送时间到发送所述当前时刻的请求的发送时间的时间间隔；采用公式a_t＝a_t-1×f^g+1，确定该IP在当前时刻所对应的请求特征值，其中：

t为当前时刻，t-1为上一时刻；

a_t为该候选IP在当前时刻所对应的请求特征值；

a_t-1为该候选IP在上一时刻所对应的请求特征值；

g为该候选IP发送上一时刻的请求的发送时间到发送所述当前时刻的请求的发送时间的时间间隔；

f为预设的衰变因子，所述f为0～1之间的任意数值；

根据确定出的该候选IP在当前时刻所对应的请求特征值以及该候选IP所在的网段对应的请求特征值阈值，判断该候选IP是否为待定IP。

所述第二确定模块502具体用于，确定该候选IP所在的网段所对应的衰变因子f；采用公式(1/(1-f))/n，确定该候选IP所在的网段所对应的请求特征值阈值，其中，n为该IP所在的网段的IP总量；判断该候选IP对应的请求特征值是否超出该候选IP所在网段所对应的请求特征值阈值；若是，则确定该候选IP为待定IP；否则，确定该候选IP为非待定IP。

所述IP簇确定模块503具体用于，将IP地址连续的各待定IP确定为一个IP簇。

所述检测模块504具体用于，根据所述IP簇包含的各待定IP的请求特征值，确定所述IP簇所对应的请求特征值；根据预设的检测阈值，判断所述IP簇对应的请求特征值是否超出所述检测阈值；若是，则检测到所述IP簇为非法IP簇；若否，则检测到所述IP为合法IP簇。

所述检测模块504具体用于，当确定出所述IP簇为非法IP簇时，则确定出所述IP簇包含的各待定IP为非法IP；当确定出所述簇IP为合法IP时，则确定出所述IP簇包含的各待定IP为合法IP。

本申请实施例提供了一种网络互连协议IP的方法及装置，该方法中服务器在接收到各IP发送的各请求后，可根据各IP的IP地址，确定出满足第一预设条件的各候选IP，并根据确定出的各候选IP所发送的请求，从这些候选IP中确定出疑似非法IP的各待定IP，而后，服务器可将确定出的各待定IP确定为一个IP簇，并将各待定IP发送的请求均作为该IP簇所发送的请求，服务器可根据该IP簇所发送的请求，以及预设的检测阈值，判断该IP簇是否为非法IP簇，并根据确定出的检测结果，最终确定出该IP簇所包含的各待定IP是否为非法IP。由于在本申请实施例中，服务器可根据各IP发送的请求，确定出疑似非法用户的各待定IP，并将这些待定IP中满足预设条件的看作一个整体，从整体上检查满足预设条件的待定IP是否为非法IP，因此，即使非法用户为了避免服务器的阈值检测，而使自己控制的多个IP所对应的请求特征值均不超出阈值，服务器也可通过上述方法从整体的角度查看这些IP是否为非法IP，进而当确定出这些IP为非法IP时，限制或禁止这些IP的登录，这就有效的防止了非法用户通过多个IP发送请求的方式来避开服务器阈值检测的情况发生，进而提高了服务器的可靠性，保证了用户隐私信息的安全。

本领域内的技术人员应明白，本发明的实施例可提供为方法、***、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、***或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims

1.一种网络互连协议IP检测的方法，其特征在于，包括：

接收各IP发送的请求，并从发送请求的各IP中确定网段满足第一预设条件的各候选IP；

2.如权利要求1所述的方法，其特征在于，确定网段满足第一预设条件的各候选IP，具体包括：

确定网段相同的各候选IP。

3.如权利要求1所述的方法，其特征在于，根据所述各候选IP发送的请求，从各候选IP中确定待定IP，具体包括：

针对每个候选IP，接收该候选IP发送的请求，作为当前时刻的请求；

确定该候选IP发送上一时刻的请求的发送时间到发送所述当前时刻的请求的发送时间的时间间隔；

采用公式a_t＝a_t-1×f^g+1，确定该候选IP在当前时刻所对应的请求特征值，其中：

t为当前时刻，t-1为上一时刻；

a_t为该候选IP在当前时刻所对应的请求特征值；

a_t-1为该候选IP在上一时刻所对应的请求特征值；

f为预设的衰变因子，所述f为0～1之间的任意数值；

4.如权利要求3所述的方法，其特征在于，根据确定出的该候选IP在当前时刻所对应的请求特征值以及该候选IP所在的网段对应的请求特征值阈值，判断该候选IP是否为待定IP，具体包括：

确定该候选IP所在的网段所对应的衰变因子f；

采用公式(1/(1-f))/n，确定该候选IP所在的网段所对应的请求特征值阈值，其中，n为该候选IP所在的网段的IP总量；

判断该候选IP对应的请求特征值是否超出该候选IP所在网段所对应的请求特征值阈值；

若是，则确定该候选IP为待定IP；

否则，确定该候选IP为非待定IP。

5.如权利要求1所述的方法，其特征在于，根据确定出的各待定IP，将满足第二预设条件的各待定IP确定为一个IP簇，具体包括：

将IP地址连续的各待定IP确定为一个IP簇。

6.如权利要求1所述的方法，其特征在于，根据预设的检测阈值以及所述IP簇发送的请求，检测所述IP簇是否为非法IP簇，具体包括：

根据所述IP簇包含的各待定IP的请求特征值，确定所述IP簇所对应的请求特征值；

根据预设的检测阈值，判断所述IP簇对应的请求特征值是否超出所述检测阈值；

若是，则检测到所述IP簇为非法IP簇；

若否，则检测到所述IP簇为合法IP簇。

7.如权利要求1所述的方法，其特征在于，根据检测结果，确定所述IP簇包含的各待定IP是否为非法IP，具体包括：

当确定出所述IP簇为非法IP簇时，则确定出所述IP簇包含的各待定IP为非法IP；

当确定出所述IP簇为合法IP簇时，则确定出所述IP簇包含的各待定IP为合法IP。

8.一种网络互连协议IP检测的装置，其特征在于，包括：

第一确定模块，用于接收各IP发送的请求，并从发送请求的各IP中确定网段满足第一预设条件的各候选IP；

IP簇确定模块，用于根据确定出的各待定IP，将满足第二预设条件的各待定IP确定为一个IP簇，将所述IP簇包含的各待定IP发送的请求均作为所述IP簇发送的请求；

9.如权利要求8所述的装置，其特征在于，所述第二确定模块具体用于，针对每个候选IP，接收该候选IP发送的请求，作为当前时刻的请求；确定该候选IP发送上一时刻的请求的发送时间到发送所述当前时刻的请求的发送时间的时间间隔；采用公式a_t＝a_t-1×f^g+1，确定该候选IP在当前时刻所对应的请求特征值，其中：

t为当前时刻，t-1为上一时刻；

a_t为该候选IP在当前时刻所对应的请求特征值；

a_t-1为该候选IP在上一时刻所对应的请求特征值；

f为预设的衰变因子，所述f为0～1之间的任意数值；

10.如权利要求8所述的装置，其特征在于，所述IP簇确定模块具体用于，将IP地址连续的各待定IP确定为一个IP簇。