CN112822143B

CN112822143B - 一种ip地址的评估方法、***及设备

Info

Publication number: CN112822143B
Application number: CN201911122060.XA
Authority: CN
Inventors: 蔡舒晗; 陈志勇; 王凤杰
Original assignee: Wangsu Science and Technology Co Ltd
Current assignee: Wangsu Science and Technology Co Ltd
Priority date: 2019-11-15
Filing date: 2019-11-15
Publication date: 2022-05-27
Anticipated expiration: 2039-11-15
Also published as: WO2021093051A1; CN112822143A

Abstract

本发明公开了一种IP地址的评估方法、***及设备，其中，所述方法包括：获取用户数据并根据所述用户数据，确定目标IP地址在当前时刻的风险系数；识别所述目标IP地址所在的目标网段，并根据所述目标网段内各个IP地址在所述当前时刻的风险系数，统计所述目标网段的风险系数；根据所述目标IP地址在各个时刻的风险系数，确定所述目标IP地址的历史趋势风险系数；基于所述目标IP地址在当前时刻的风险系数、所述目标网段的风险系数和所述目标IP地址的历史趋势风险系数，确定所述目标IP地址的综合风险系数，以根据所述综合风险系数判断所述目标IP地址是否存在攻击行为。本申请提供的技术方案，能够准确地识别恶意IP地址，从而提高网络安全防范的效果。

Description

一种IP地址的评估方法、***及设备

技术领域

本发明涉及数据处理技术领域，特别涉及一种IP地址的评估方法、***及设备。

背景技术

目前，随着移动互联网、大数据、云计算、人工智能等新一代信息技术的快速发展，围绕网络和数据的服务与应用呈现爆发式增长，丰富的应用场景下暴露出越来越多的网络安全风险和问题。例如近几年频繁发生的勒索病毒攻击、跨国电信诈骗、数据泄露、网络暴力等事件，给互联网发展与治理带来巨大的挑战。如何判断来访IP地址是否为恶意IP地址成为一个亟需解决的问题。

目前，互联网中有许多公开的IP地址黑名单库，列入黑名单库中的IP地址曾今都发生过或多或少的攻击行为。因此，可以利用这些黑名单库进行恶意IP地址的识别。然而，这些黑名单库通常缺乏维护和管理，导致其中的IP地址可能不准确或者不全面，从而使得网络安全防范的效果不佳。鉴于此，目前需要一种更加有效的IP地址评估方法。

发明内容

本申请的目的在于提供一种IP地址的评估方法、***及设备，能够准确地识别恶意IP地址，从而提高网络安全防范的效果。

为实现上述目的，本申请一方面提供一种IP地址的评估方法，所述方法包括：获取用户数据，并根据所述用户数据，确定目标IP地址在当前时刻的风险系数，所述风险系数用于表征所述目标IP地址在所述当前时刻针对全网或者指定行业存在的风险；识别所述目标IP地址所在的目标网段，并根据所述目标网段内各个IP地址在所述当前时刻的风险系数，统计所述目标网段的风险系数；以及根据所述目标IP地址在各个时刻的风险系数，确定所述目标IP地址的历史趋势风险系数；基于所述目标IP地址在当前时刻的风险系数、所述目标网段的风险系数和所述目标IP地址的历史趋势风险系数，确定所述目标IP地址的综合风险系数，以根据所述综合风险系数判断所述目标IP地址是否存在攻击行为。

为实现上述目的，本申请另一方面还提供一种IP地址的评估***，所述***包括：单IP地址风险确定单元，用于获取用户数据，并根据所述用户数据，确定目标IP地址在当前时刻的风险系数，所述风险系数用于表征所述目标IP地址在所述当前时刻针对全网或者指定行业存在的风险；目标网段风险确定单元，用于识别所述目标IP地址所在的目标网段，并根据所述目标网段内各个IP地址在所述当前时刻的风险系数，统计所述目标网段的风险系数；历史风险确定单元，用于根据所述目标IP地址在各个时刻的风险系数，确定所述目标IP地址的历史趋势风险系数；攻击判定单元，用于基于所述目标IP地址在当前时刻的风险系数、所述目标网段的风险系数和所述目标IP地址的历史趋势风险系数，确定所述目标IP地址的综合风险系数，以根据所述综合风险系数判断所述目标IP地址是否存在攻击行为。

为实现上述目的，本申请另一方面还提供一种IP地址的评估设备，所述设备包括处理器和存储器，所述存储器用于存储计算机程序，所述计算机程序被所述处理器执行时，实现上述的IP地址的评估方法。

由上可见，本申请一个或者多个实施方式提供的技术方案，可以从多个维度综合评估IP地址是否存在攻击行为。具体地，根据近期的用户数据，可以确定出待评估的目标IP地址在当前时刻的风险系数，该风险系数可以针对全网或者某个指定行业而言。此外，考虑到目标IP地址所在网段的整体风险，也能侧面反映目标IP地址的风险程度。因此，可以根据目标IP地址所在的目标网段中各个IP地址的风险系数，统计出目标网段整体的风险系数。再者，考虑到部分IP地址可能短暂地被利用，从而产生攻击行为，但是长期来看，该IP地址的危害性并不大，因此为了准确地评估IP地址的危害性，可以参考该目标IP地址在不同时刻的风险系数，然后综合这些不同时刻的风险系数，确定出目标IP地址的历史趋势风险系数。最终，可以将上述的三种不同的风险系数进行整合，从而得到用于评估目标IP地址的综合风险系数，该综合风险系数可以用于判断目标IP地址是否存在攻击行为。这样，结合多个维度的数据来对目标IP地址进行综合评估，能够提高评估的准确性，进而能够提高网络安全防范的效果。

附图说明

为了更清楚地说明本发明实施方式中的技术方案，下面将对实施方式描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施方式中IP地址的评估***架构示意图；

图2是本发明实施方式中IP地址的评估方法步骤示意图；

图3是本发明实施方式中IP地址的评估方法的流程图；

图4是本发明实施方式中IP地址的评估***的功能模块示意图；

图5是本发明实施方式中IP地址的评估设备的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施方式及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施方式仅是本申请一部分实施方式，而不是全部的实施方式。基于本申请中的实施方式，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式，都属于本申请保护的范围。

本申请提供一种IP地址的评估方法，该方法可以应用于如图1所示的***架构中。在该***中，可以包括用户客户端、云端大数据中心、分析计算集群云安全防护节点以及源站。其中，用户客户端的访问数据会首先经过云安全防护节点，通过云安全防护节点可以检测到用户客户端发起的访问数据，在这些访问数据中，可以包括正常的访问数据，也可以包括带有攻击行为的访问数据。例如，可以检测到SQL注入、暴力破解、XSS(Cross SiteScripting，跨脚本攻击)等攻击行为。访问数据可以被上传至云端大数据中心，在云端大数据中心处，可以对这些访问数据进行数据清洗和格式转换等预处理。具体地，可以对访问数据进行去重、脱敏以及剔除不必要维度的数据等处理后再进行分类、聚合，最终得到可用的分析数据。在完成数据清洗后，还可以将不同格式的数据进行统一格式的处理，例如可以统一为json格式等，从而便于后续的数据处理。当然，具体使用何种数据格式，可以依照实际开发情况而定，这里并不做限制。

在本实施方式中，云端大数据中心处理得到的数据可以送入分析计算集群中，以通过分析计算集群评估出各个IP地址的风险程度，进而可以构建IP地址的黑名单库。最终，构建的IP地址黑名单库可以被送入各个云安全防护节点，云安全防护节点的数据可以先传输到源站再传输到用户客户端，也可以直接传输到用户客户端，从而通过云安全防护节点对黑名单库中的IP地址进行监控和数据拦截等操作。

请参阅图2和图3，本申请一个实施方式中提供的IP地址的评估方法，可以包括以下步骤。

S1：获取用户数据，并根据所述用户数据，确定目标IP地址在当前时刻的风险系数，所述风险系数用于表征所述目标IP地址在所述当前时刻针对全网或者指定行业存在的风险。

在本实施方式中，所述用户数据可以是云安全防护节点上传的数据。在该用户数据中，可以包括正常的访问数据，也可以包括检测得到的带有攻击行为的数据。具体地，在这些数据中，可以包括访问时间、攻击类型、用户客户端的IP地址、用户客户端的MAC地址、用户客户端的设备指纹、用户客户端的地理位置、访问的URL(Uniform Resource Locator，统一资源定位符)、访问地址所属的行业分类等。云安全防护节点可以定期上传用户数据，这样，在云端大数据中心中，可以获取到不同时期的用户数据。其中，为了区分不同的IP地址对不同行业的危害，可以将行业类型划分为政府机构、金融、交通运输、游戏、电子商务政务等，表征行业类型的标签也可以携带于上传的用户数据中，从而可以基于行业类型的标签，对用户数据进行进一步地分类和管理。

在本实施方式中，在获取到用户数据后，针对待评估的目标IP地址，为了保证评估的时效性，可以选取目标IP地址最近一段时间的用户数据进行分析，从而确定出目标IP地址在当前时刻的风险系数。例如，可以选择最近一天的用户数据来计算目标IP地址的风险系数。

在实际应用中，目标IP地址在当前时刻的风险系数可以由多方面的影响因子综合确定。具体地，可以预先确定出目标IP地址对应的各个影响因子，这些影响因子例如可以包括攻击程度、行业分布、时间规律、攻击占比、外部情报风险等。针对各个影响因子，可以分别计算当前时刻各个影响因子对应的风险值。

举例来说，在计算攻击程度对应的风险值时，可以从选择的用户数据中，统计目标IP地址存在攻击行为的访问请求数量，和目标IP地址的访问请求总数量，该访问请求总数量，可以包括正常的访问请求数量和带有攻击行为的访问请求数据。后续，可以将存在攻击行为的访问请求数量和访问请求总数量的比值作为目标IP地址的攻击程度风险值。

又例如，在计算行业分布对应的风险值时，可以确定待分析的目标行业，该目标行业例如可以是金融行业。然后，可以根据用户数据中携带的行业类型的标签，统计目标IP地址针对该目标行业存在攻击行为的访问请求次数，还可以统计用户数据中待分析的目标IP对所有行业的攻击总次数，并可以计算该访问请求次数和攻击总次数的比值，该比值便可以表征目标IP地址对目标行业存在攻击行为的程度。对于每个行业而言，均可以计算得到各自的比值。同时，还可以预先为各个行业分配各自的权重值，将各个行业的比值和各自的权重值相乘，得到的结果便可以作为各个行业的分布风险系数。其中，各个行业的权重值，可以依据各个行业被攻击时引起的危害程度来决定。当然，在实际应用中也可以采用其他方式来确定各个行业的权重值，本申请对此并不做限定。最终，可以将各个行业的分布风险系数之和作为目标IP地址的行业分布风险值。上述过程，利用公式可以表示为：

其中，R12可以表示目标IP地址的行业分布风险值，S表示行业的总数量，λ_i表示第i个行业的权重值，I_i表示第i个行业计算得到的比值。

又例如，在计算时间规则对应的风险值时，可以预先确定待分析的各个时间段。例如，可以将一天分为三个时间段，这三个时间段便可以作为待分析的时间段。然后，可以统计目标IP地址在各个时间段中的攻击系数。该攻击系数可以用于表征目标IP地址在当前时间段中的攻击次数与全部时间段中的攻击总次数的比值。其中，全部时间段中的攻击总次数可以指各个IP地址在全部时间段中的攻击次数的总和。同时，针对不同的时间段，也可以分配各自的权重值，最终，可以将攻击系数和对应的权重值的乘积作为时间段的规律风险系数，以及将各个时间段的规律风险系数之和作为目标IP地址的规律风险值。其中，各个不同时间段的权重值，可以根据各个时间段的数据访问总量来确定。例如，晚上7点至凌晨2点的数据访问量较高，因此可以将该时间段的权重值设置得较高。而凌晨2点至早上9点的数据访问量较低，因此可以将该时间段的权重值设置得较低。当然，在实际应用中也可以采用其他方式来确定各个时间段的权重值，本申请对此并不做限定。

又例如，在计算攻击占比对应的风险值时，可以统计所述目标IP地址存在攻击行为的访问请求数量，和各个IP地址存在攻击行为的访问请求总数量，并将所述目标IP地址存在攻击行为的访问请求数量和所述各个IP地址存在攻击行为的访问请求总数量的比值作为所述目标IP地址的攻击占比风险值，攻击占比风险值越大，说明该IP地址攻击性越明显，风险越高。

又例如，在计算外部情报风险对应的风险值时，可以参考外部情报，只不过，由于外部情报可能存在误报的风险，因此不能直接采用外部情报，但是可以将外部情报作为一个参考标准。具体地，可以根据外部情报，判断目标IP地址是否存在恶意行为，并根据判断结果来为外部情报风险对应的风险值设置为不同的数值。例如，若所述目标IP地址具备恶意标签，并且所述目标IP地址与恶意域名或者恶意***相关联，可以将所述目标IP地址的外部情报风险值置为非零的预设数值，该预设数值可以根据应用场景灵活设置，也可以根据历史数据分析得到，这里不进行特殊的限制。上述的恶意标签，可以是表征僵尸网络、挖矿等不良行为的标签。上述的恶意域名和恶意***，可以是经过网络防护软件总结得到的域名和链接。而若所述目标IP地址不具备恶意标签，或者所述目标IP地址没有与恶意域名或者恶意***相关联，则可以将所述目标IP地址的外部情报风险值置为零。

经过上述的方式，可以分别确定各个影响因子的风险值。由于各个风险值的数值区间不同，很可能导致部分风险值较大，而部分风险值较小，这样，数值较小的风险值很可能被数值较大的风险值淹没，而导致分析结果的不精确。鉴于此，可以通过归一化的方法，将各个风险值映射至相同的数值区间内。具体地，可以识别各个所述影响因子对应的风险值中的最大风险值和最小风险值，并获取待映射的目标区间的区间最大值和区间最小值。然后，针对任一影响因子对应的风险值，可以根据所述最大风险值、最小风险值、区间最大值以及区间最小值，将所述影响因子对应的风险值归一化至所述目标区间内。在实际应用中，可以按照以下公式进行归一化处理：

其中，y_i表示第i个影响因子归一化后的风险值，y_min表示区间最小值，y_max表示区间最大值，R_max表示最大风险值，R_min表示最小风险值，R_i表示第i个影响因子归一化前的风险值。

由上可见，可以计算所述最大风险值和所述最小风险值之间的第一差值，并计算所述区间最大值和所述区间最小值之间的第二差值，其中，所述第二差值和所述第一差值的比值作为归一化系数。然后，可以计算所述影响因子对应的风险值与所述最小风险值之间的第三差值，并计算所述第三差值与所述归一化系数的乘积。最终，可以将所述乘积与所述区间最小值的和作为归一化后的影响因子对应的风险值。

在得到各个影响因子归一化后的风险值后，可以对归一化后的各个影响因子对应的风险值进行加权求和，并将加权求和的结果作为所述目标IP地址在当前时刻的风险系数。其中，各个影响因子的权重值也可以根据实际应用灵活设置。

S3：识别所述目标IP地址所在的目标网段，并根据所述目标网段内各个IP地址在所述当前时刻的风险系数，统计所述目标网段的风险系数；以及根据所述目标IP地址在各个时刻的风险系数，确定所述目标IP地址的历史趋势风险系数。

经过步骤S1的方式，可以得到单个IP地址在当前时刻的风险系数。在本实施方式中，考虑到僵尸网络在发起攻击行为时，通常会将攻击源转换为多个，甚至转换为一个庞大的网络体系，这些攻击源通常可能会存在于同一个网段内。因此，目标IP地址所在网段内其它IP地址的风险系数，通常也会影响目标IP地址的风险系数。鉴于此，可以根据目标IP地址的实际数值，识别出目标IP地址所在的目标网段，该目标网段例如可以是C类网段。针对该目标网段内的各个IP地址，均可以通过步骤S1的方式，计算出各个IP地址在当前时刻的风险系数。然后，可以计算所述目标网段内的各个IP地址在所述当前时刻的风险系数的平均值，并将所述平均值作为所述目标网段的风险系数。

在本实施方式中，为了提高目标IP地址的评估准确度，可以将目标IP地址的观测区间拉长，从而综合目标IP地址的历史数据，得到目标IP地址的历史趋势风险系数。具体地，可以预先确定历史观测区间，该历史观测区间例如可以是从最近的时刻起往前一周的时间，然后，可以依次读取目标IP地址在所述历史观测区间中每个时刻的风险系数。其中，每个时刻的风险系数可以按照实际的计算周期来确定。例如，目标IP地址的风险系数可以按照每天的用户数据计算得到，那么上述的每个时刻的风险系数，便可以指每天的风险系数。这样，可以读取到一周内的7个风险系数。由于距离当前时刻越久的数据，参考的价值越低，因此可以为各个时刻的风险系数设置不同的参考权重，其中，距离所述当前时刻越久，对应的参考权重越小。然后，可以计算各个时刻的风险系数与对应的参考权重的乘积，并将计算得到的各个乘积累加，这样，累加的结果便可以用于作为目标IP地址的历史趋势风险系数。

在实际应用中，上述计算历史趋势风险系数的过程可以通过以下公式表示：

其中，Rh表示目标IP地址的历史趋势风险系数，T表示历史观测区间中时刻的总数量，t表示从当前时刻开始，往前第t个时刻，2^-t表示t时刻对应的参考权重，Rt表示t时刻的风险系数。

S5：基于所述目标IP地址在当前时刻的风险系数、所述目标网段的风险系数和所述目标IP地址的历史趋势风险系数，确定所述目标IP地址的综合风险系数，以根据所述综合风险系数判断所述目标IP地址是否存在攻击行为。

在本实施方式中，在分别计算出目标IP地址在当前时刻的风险系数、目标网段的风险系数和目标IP地址的历史趋势风险系数后，可以将所述目标IP地址在当前时刻的风险系数、所述目标网段的风险系数和所述目标IP地址的历史趋势风险系数与各自的权重系数相乘后累加，并将累加的结果作为所述目标IP地址的综合风险系数。其中，三个系数的权重系数之和可以为1，具体的权重系数可以按照实际应用场景灵活设置。这样，结合三个风险系数得到的综合风险系数，可以准确地表征目标IP地址对于全网或者指定行业的潜在风险。

需要说明的是，上述的各种风险系数，在实际应用中都可以是针对全网或者指定行业计算得到的。具体地，如果需要针对全网数据计算上述的各个风险系数，那么利用的便是包含各个行业的整体用户数据。而如果需要评估目标IP地址针对某个指定行业存在的风险，那么利用的可以是仅仅该指定行业的用户数据，对于其它行业的用户数据可以不做考虑。这样处理的好处在于，部分攻击行为存在明显的行业特性，而放在全网来看，这样的攻击行为可能会淹没在众多的数据中。只有在单独对指定行业的用户数据进行分析时，才能体现出这种攻击行为的危害性。因此，若所述目标IP地址在所述当前时刻的风险系数表征针对全网存在的风险，那么所述目标网段的风险系数和所述目标IP地址的历史趋势风险系数也可以均表征针对全网存在的风险。而若所述目标IP地址在所述当前时刻的风险系数表征针对指定行业存在的风险，那么所述目标网段的风险系数和所述目标IP地址的历史趋势风险系数就可以均表征针对所述指定行业存在的风险。

在本实施方式中，在确定出目标IP地址的综合风险系数后，可以根据预先设置的阈值判定策略，判断目标IP地址是否为存在攻击行为的IP地址。例如，如果目标IP地址的综合风险系数高于某个预设的阈值，则可以判定目标IP地址存在攻击行为，需要将目标IP地址加入黑名单库。而如果目标IP地址的综合风险系数不高于该预设的阈值，则可以判定目标IP地址不存在攻击行为，无需将目标IP地址加入黑名单库。

在一个实施方式中，如果目标IP地址长期没有新的用户数据产生，那么该目标IP地址的风险系数就无法得到更新，随着时间的推移，之前计算出的风险系数可能就无法衡量现阶段目标IP地址的风险状态。因此，在本实施方式中可以加入风险系数的衰减机制，来逐步衰减没有进行更新的IP地址的风险系数。具体地，若所述目标IP地址在当前时刻的风险系数未进行更新，可以按照指定时间周期对所述风险系数进行衰减处理，并将衰减处理后的数值作为新的风险系数替换衰减处理前的风险系数。具体地，该指定时间周期例如可以是1小时或者半小时，可以根据实际情况灵活设置。在实际应用中，可以按照以下公式对目标IP地址在当前时刻的风险系数进行衰减：

Rnew＝Rold*(1-α)

其中，Rnew为衰减后的风险系数，Rold为衰减之前的风险系数，α为小于1并且大于0的衰减系数。

如果目标IP地址的风险系数一直没有更新，那么便会按照上述的公式不断进行衰减，而若所述目标IP地址在当前时刻的风险系数进行了更新，则可以利用更新后的风险系数替换更新前的风险系数。

后续，为了与衰减机制保持同步，可以对黑名单库中的IP地址进行动态更新。具体地，若在衰减处理或者更新之前，所述目标IP地址被判定为存在攻击行为，可以将所述目标IP地址加入黑名单，但是，若在衰减处理或者更新之后，所述目标IP地址被判定为不存在攻击行为，则可以将所述目标IP地址移出所述黑名单，从而保持黑名单库的准确度。

请参阅图4，本申请还提供一种IP地址的评估***，所述***包括：

单IP地址风险确定单元，用于获取用户数据，并根据所述用户数据，确定目标IP地址在当前时刻的风险系数，所述风险系数用于表征所述目标IP地址在所述当前时刻针对全网或者指定行业存在的风险；

目标网段风险确定单元，用于识别所述目标IP地址所在的目标网段，并根据所述目标网段内各个IP地址在所述当前时刻的风险系数，统计所述目标网段的风险系数；

历史风险确定单元，用于根据所述目标IP地址在各个时刻的风险系数，确定所述目标IP地址的历史趋势风险系数；

攻击判定单元，用于基于所述目标IP地址在当前时刻的风险系数、所述目标网段的风险系数和所述目标IP地址的历史趋势风险系数，确定所述目标IP地址的综合风险系数，以根据所述综合风险系数判断所述目标IP地址是否存在攻击行为。

请参阅图5，本申请一个实施方式还提供一种IP地址的评估设备，所述设备包括处理器和存储器，所述存储器用于存储计算机程序，所述计算机程序被所述处理器执行时，可以实现上述的IP地址的评估方法。

在本实施方式中，所述存储器可以包括用于存储信息的物理装置，通常是将信息数字化后再以利用电、磁或者光学等方法的媒体加以存储。本实施方式所述的存储器又可以包括：利用电能方式存储信息的装置，如RAM或ROM等；利用磁能方式存储信息的装置，如硬盘、软盘、磁带、磁芯存储器、磁泡存储器或U盘；利用光学方式存储信息的装置，如CD或DVD。当然，还有其他方式的存储器，例如量子存储器或石墨烯存储器等等。

在本实施方式中，所述处理器可以按任何适当的方式实现。例如，所述处理器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application SpecificIntegrated Circuit，ASIC)、可编程逻辑控制器和嵌入微控制器的形式等等。

本说明书中的各个实施方式均采用递进的方式描述，各个实施方式之间相同相似的部分互相参见即可，每个实施方式重点说明的都是与其他实施方式的不同之处。尤其，针对***和设备的实施方式来说，均可以参照前述方法的实施方式的介绍对照解释。

本领域内的技术人员应明白，本发明的实施方式可提供为方法、***、或计算机程序产品。因此，本发明可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方面的实施方式的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施方式的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上所述仅为本申请的实施方式而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims

1.一种IP地址的评估方法，其特征在于，所述方法包括：

获取用户数据，并根据所述用户数据，确定目标IP地址在当前时刻的风险系数，所述风险系数用于表征所述目标IP地址在所述当前时刻针对全网或者指定行业存在的风险；其中，所述用户数据包括带有攻击行为的访问数据，相应地，所述目标IP地址在当前时刻的风险系数是由影响因子对应的风险值确定的，包括：确定所述目标IP地址对应的各个影响因子，并基于所述用户数据计算当前时刻各个所述影响因子对应风险值，所述影响因子至少包括攻击程度、攻击占比；

识别所述目标IP地址所在的目标网段，并根据所述目标网段内各个IP地址在所述当前时刻的风险系数，统计所述目标网段的风险系数；以及根据所述目标IP地址在各个时刻的风险系数，确定所述目标IP地址的历史趋势风险系数；

基于所述目标IP地址在当前时刻的风险系数、所述目标网段的风险系数和所述目标IP地址的历史趋势风险系数，确定所述目标IP地址的综合风险系数，以根据所述综合风险系数判断所述目标IP地址是否存在攻击行为。

2.根据权利要求1所述的方法，其特征在于，确定目标IP地址在当前时刻的风险系数还包括：

识别各个所述影响因子对应的风险值中的最大风险值和最小风险值，并获取待映射的目标区间的区间最大值和区间最小值；

针对任一影响因子对应的风险值，根据所述最大风险值、最小风险值、区间最大值以及区间最小值，将所述影响因子对应的风险值归一化至所述目标区间内；

对归一化后的各个影响因子对应的风险值进行加权求和，并将加权求和的结果作为所述目标IP地址在当前时刻的风险系数。

3.根据权利要求2所述的方法，其特征在于，将所述影响因子对应的风险值归一化至所述目标区间内包括：

计算所述最大风险值和所述最小风险值之间的第一差值，并计算所述区间最大值和所述区间最小值之间的第二差值，其中，所述第二差值和所述第一差值的比值作为归一化系数；

计算所述影响因子对应的风险值与所述最小风险值之间的第三差值，并计算所述第三差值与所述归一化系数的乘积；

将所述乘积与所述区间最小值的和作为归一化后的影响因子对应的风险值。

4.根据权利要求2所述的方法，其特征在于，分别计算当前时刻各个所述影响因子对应的风险值包括以下至少一种：

统计所述目标IP地址存在攻击行为的访问请求数量，和所述目标IP地址的访问请求总数量，并将所述存在攻击行为的访问请求数量和所述访问请求总数量的比值作为所述目标IP地址的攻击程度风险值；

确定待分析的目标行业，并统计所述目标IP地址针对所述目标行业存在攻击行为的访问请求次数，和各个行业受到的攻击总次数，并计算所述访问请求次数和所述攻击总次数的比值；将所述比值和所述目标行业的权重值的乘积作为所述目标行业的分布风险系数，以及将各个行业的分布风险系数之和作为所述目标IP地址的行业分布风险值；

预先确定待分析的各个时间段，并统计所述目标IP地址在各个所述时间段中的攻击系数；其中，所述攻击系数用于表征所述目标IP地址在当前时间段中的攻击次数与全部时间段中的攻击总次数的比值；将所述攻击系数和对应的权重值的乘积作为时间段的规律风险系数，以及将各个时间段的规律风险系数之和作为所述目标IP地址的规律风险值；

统计所述目标IP地址存在攻击行为的访问请求数量，和各个IP地址存在攻击行为的访问请求总数量，并将所述目标IP地址存在攻击行为的访问请求数量和所述各个IP地址存在攻击行为的访问请求总数量的比值作为所述目标IP地址的攻击占比风险值；

若所述目标IP地址具备恶意标签，并且所述目标IP地址与恶意域名或者恶意***相关联，将所述目标IP地址的外部情报风险值置为非零的预设数值；若所述目标IP地址不具备恶意标签，或者所述目标IP地址没有与恶意域名或者恶意***相关联，将所述目标IP地址的外部情报风险值置为零。

5.根据权利要求1所述的方法，其特征在于，统计所述目标网段的风险系数包括：

计算所述目标网段内的各个IP地址在所述当前时刻的风险系数的平均值，并将所述平均值作为所述目标网段的风险系数。

6.根据权利要求1所述的方法，其特征在于，确定所述目标IP地址的历史趋势风险系数包括：

预先确定历史观测区间，并依次读取所述目标IP地址在所述历史观测区间中每个时刻的风险系数；

分别确定各个时刻的风险系数对应的参考权重，其中，距离所述当前时刻越久，对应的参考权重越小；

计算各个时刻的风险系数与对应的参考权重的乘积，并将计算得到的各个乘积累加，其中，累加的结果用于作为所述目标IP地址的历史趋势风险系数。

7.根据权利要求1所述的方法，其特征在于，确定所述目标IP地址的综合风险系数包括：

将所述目标IP地址在当前时刻的风险系数、所述目标网段的风险系数和所述目标IP地址的历史趋势风险系数与各自的权重系数相乘后累加，并将累加的结果作为所述目标IP地址的综合风险系数。

8.根据权利要求1所述的方法，其特征在于，在确定目标IP地址在当前时刻的风险系数之后，所述方法还包括：

若所述目标IP地址在当前时刻的风险系数未进行更新，按照指定时间周期对所述风险系数进行衰减处理，并将衰减处理后的数值作为新的风险系数替换衰减处理前的风险系数；

若所述目标IP地址在当前时刻的风险系数进行了更新，利用更新后的风险系数替换更新前的风险系数。

9.根据权利要求8所述的方法，其特征在于，所述方法还包括：

若在衰减处理或者更新之前，所述目标IP地址被判定为存在攻击行为，将所述目标IP地址加入黑名单；

若在衰减处理或者更新之后，所述目标IP地址被判定为不存在攻击行为，将所述目标IP地址移出所述黑名单。

10.根据权利要求1所述的方法，其特征在于，若所述目标IP地址在所述当前时刻的风险系数表征针对全网存在的风险，则所述目标网段的风险系数和所述目标IP地址的历史趋势风险系数均表征针对全网存在的风险；若所述目标IP地址在所述当前时刻的风险系数表征针对指定行业存在的风险，则所述目标网段的风险系数和所述目标IP地址的历史趋势风险系数均表征针对所述指定行业存在的风险。

11.一种IP地址的评估***，其特征在于，所述***包括：

单IP地址风险确定单元，用于获取用户数据，并根据所述用户数据，确定目标IP地址在当前时刻的风险系数，所述风险系数用于表征所述目标IP地址在所述当前时刻针对全网或者指定行业存在的风险；其中，所述用户数据包括带有攻击行为的访问数据，相应地，所述目标IP地址在当前时刻的风险系数是由影响因子对应的风险值确定的，包括：确定所述目标IP地址对应的各个影响因子，并基于所述用户数据计算当前时刻各个所述影响因子对应风险值，所述影响因子至少包括攻击程度、攻击占比；

12.一种IP地址的评估设备，其特征在于，所述设备包括存储器和处理器，所述存储器用于存储计算机程序，所述计算机程序被所述处理器执行时，实现如权利要求1至10中任一所述的方法。