CN113726783A - 异常ip地址识别方法、装置、电子设备及可读存储介质 - Google Patents

异常ip地址识别方法、装置、电子设备及可读存储介质 Download PDF

Info

Publication number
CN113726783A
CN113726783A CN202111012528.7A CN202111012528A CN113726783A CN 113726783 A CN113726783 A CN 113726783A CN 202111012528 A CN202111012528 A CN 202111012528A CN 113726783 A CN113726783 A CN 113726783A
Authority
CN
China
Prior art keywords
group
access
address
abnormal
sequence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111012528.7A
Other languages
English (en)
Other versions
CN113726783B (zh
Inventor
唐华阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Knownsec Information Technology Co Ltd
Original Assignee
Beijing Knownsec Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Knownsec Information Technology Co Ltd filed Critical Beijing Knownsec Information Technology Co Ltd
Priority to CN202111012528.7A priority Critical patent/CN113726783B/zh
Publication of CN113726783A publication Critical patent/CN113726783A/zh
Application granted granted Critical
Publication of CN113726783B publication Critical patent/CN113726783B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请的实施例提供了一种异常IP地址识别方法、装置、电子设备及可读存储介质,涉及计算机领域。该方法包括:获得目标域名在连续的多个预设周期内各自的访问记录集合;将每个访问记录集合中的低频IP地址划分为至少一个IP组,一个IP组中的IP地址对应的访问描述信息所对应的第一访问特征相似;计算相邻预设周期内的每任意两个IP组之间的相似度,该任意两个IP组对应的预设周期不同;根据相似度及多个预设周期的时间先后顺序,确定出IP组序列,一个IP组序列中每相邻的两个IP组对应相邻的两个预设周期;获得每个IP组序列的综合访问特征集,并基于此别该IP组序列中的IP地址是否异常。如此,可识别低频的IP地址是否异常。

Description

异常IP地址识别方法、装置、电子设备及可读存储介质
技术领域
本申请涉及计算机领域,具体而言,涉及一种异常IP地址识别方法、装置、电子设备及可读存储介质。
背景技术
目前,一般是在客户端使用一个IP地址高频次地访问某域名时,会认为该IP地址是异常IP地址。攻击者为了绕过基于这种方式建立的各种云防御***,也可能会雇佣很多机器,模拟正常访问,分别低频次地访问某域名。如此,则会对提供服务的服务器造成不良影响。因此,如何对低频IP地址中可能存在的异常IP地址进行识别,是本领域技术人员亟需解决的技术问题。
发明内容
本申请实施例提供了一种异常IP地址识别方法、装置、电子设备及可读存储介质,其能够对低频IP地址中可能存在的异常IP地址进行识别,以便于基于识别结果对基于低频且异常的IP地址的访问请求进行拦截,从而对提供服务的服务器进行防护。
本申请的实施例可以这样实现:
第一方面,本申请实施例提供一种异常IP地址识别方法,包括:
获得目标域名在连续的多个预设周期内各自的访问记录集合,其中,所述访问记录集合中包括被访问时访问设备所使用的IP地址及访问描述信息;
根据所述IP地址及访问描述信息,将每个访问记录集合中的低频IP地址划分为至少一个IP组,其中,一个IP组中的IP地址对应的访问描述信息所对应的第一访问特征相似;
计算相邻预设周期内的每任意两个IP组之间的相似度,其中,所述任意两个IP组对应的预设周期不同;
根据所述相似度及所述多个预设周期的时间先后顺序,确定出IP组序列,其中,一个IP组序列中每相邻的两个IP组对应相邻的两个预设周期;
获得每个IP组序列的综合访问特征集,并根据每个IP组序列的综合访问特征集识别该IP组序列中的IP地址是否异常。
第二方面,本申请实施例提供一种异常IP地址识别装置,包括:
记录获得模块,用于获得目标域名在连续的多个预设周期内各自的访问记录集合,其中,所述访问记录集合中包括被访问时访问设备所使用的IP地址及访问描述信息;
划分模块,用于根据所述IP地址及访问描述信息,将每个访问记录集合中的低频IP地址划分为至少一个IP组,其中,一个IP组中的IP地址对应的访问描述信息所对应的第一访问特征相似;
相似度计算模块,用于计算相邻预设周期内的每任意两个IP组之间的相似度,其中,所述任意两个IP组对应的预设周期不同;
序列确定模块,用于根据所述相似度及所述多个预设周期的时间先后顺序,确定出IP组序列,其中,一个IP组序列中每相邻的两个IP组对应相邻的两个预设周期;
识别模块,用于获得每个IP组序列的综合访问特征集,并根据每个IP组序列的综合访问特征集识别该IP组序列中的IP地址是否异常。
第三方面,本申请实施例提供一种电子设备,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器可执行所述机器可执行指令以实现前述实施方式所述的异常IP地址识别方法。
第四方面,本申请实施例提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如前述实施方式所述的异常IP地址识别方法。
本申请实施例提供的异常IP地址识别方法、装置、电子设备及可读存储介质,首先获得目标域名在连续的多个预设周期内各自的访问记录集合;接着,针对每个访问记录集合,根据该访问记录集合中包括的该目标域名被访问设备访问时该访问设备所使用的IP地址及对应的访问描述信息,将该访问记录集合中的低频IP地址划分为至少一个IP组,一个IP组中的IP地址对应的访问描述信息所对应的第一访问特征相似;进而可计算相邻预设周期内的每任意两个IP组之间的相似度,并根据该相似度及连续的多个预设周期的时间先后顺序,确定出IP组序列,其中,上述任意两个IP组对应的预设周期不同,一个IP组序列中的相邻IP组均对应了相邻的两个预设周期;最后即可获得每个IP组序列的综合访问特征集,并基于此识别该IP组序列中的IP地址是否为异常IP地址。如此,可通过进行访问行为的时序延伸,确定出相似访问行为对应的IP组序列,进而基于该IP组序列的综合访问特征集,识别该IP组序列中的IP地址是否异常,以便于基于识别结果对基于低频且异常的IP地址的访问请求进行拦截,从而对提供服务的服务器进行防护。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的电子设备的方框示意图;
图2为本申请实施例提供的异常IP地址识别方法的流程示意图;
图3为本申请实施例提供的识别异常IP地址的举例示意图;
图4为图2中步骤S130包括的子步骤的流程示意图;
图5为图2中步骤S150包括的子步骤的流程示意图之一;
图6为图2中步骤S150包括的子步骤的流程示意图之二;
图7为本申请实施例提供的异常IP地址识别装置的方框示意图。
图标:100-电子设备;110-存储器;120-处理器;130-通信单元;200-异常IP地址识别装置;210-记录获得模块;220-划分模块;230-相似度计算模块;240-序列确定模块;250-识别模块。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
目前,一般是在客户端使用一个IP地址高频次地访问某域名时,会认为该IP地址是异常IP地址。因此,现有云防御***主要是针对异常单IP地址的识别及防护。实际场景中,攻击者为了绕过基于这种方式建立的各种云防御***,也可能会雇佣很多机器,使用大量IP地址,模拟正常访问,连续、分别低频次地访问某域名。如此,虽然基于单个IP地址进行访问的次数少,但总共的访问次数非常多,依然能够达到同样的攻击目的。因此,如何对低频IP地址中可能存在的异常IP地址进行识别,是本领域技术人员亟需解决的技术问题。
针对上述情况,本申请实施例提供了一种异常IP地址识别方法、装置、电子设备及可读存储介质,可通过进行访问行为的时序延伸,确定出相似访问行为对应的IP组序列,进而基于该IP组序列的综合访问特征集,识别该IP组序列中的IP地址是否异常,以便于基于识别结果对基于低频且异常的IP地址的访问请求进行拦截,从而实现防护。
其中,值的说明的是,针对以上方案所存在的缺陷,均是发明人在经过实践并仔细研究后得到的结果,因此,上述问题的发现过程以及下文中本申请实施例针对上述问题所提出的解决方案,都应是发明人在本申请过程中对本申请做出的贡献。
下面结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
请参照图1,图1为本申请实施例提供的电子设备100的方框示意图。所述电子设备100可以是,但不限于,电脑、服务器等。所述电子设备100可以包括存储器110、处理器120及通信单元130。所述存储器110、处理器120以及通信单元130各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
其中,存储器110用于存储程序或者数据。所述存储器110可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(ErasableProgrammable Read-Only Memory,EPROM),电可擦除只读存储器(Electric ErasableProgrammable Read-Only Memory,EEPROM)等。
处理器120用于读/写存储器110中存储的数据或程序,并执行相应地功能。比如,存储器110中存储有异常IP地址识别装置200,所述异常IP地址识别装置200包括至少一个可以软件或固件(firmware)的形式存储于所述存储器110中的软件功能模块。所述处理器120通过运行存储在存储器110内的软件程序以及模块,如本申请实施例中的异常IP地址识别装置200,从而执行各种功能应用以及数据处理,即实现本申请实施例中的异常IP地址识别方法。
通信单元130用于通过网络建立所述电子设备100与其它通信终端之间的通信连接,并用于通过所述网络收发数据。
应当理解的是,图1所示的结构仅为电子设备100的结构示意图,所述电子设备100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
请参照图2,图2为本申请实施例提供的异常IP地址识别方法的流程示意图。所述方法可应用于上述电子设备100。下面对异常IP地址识别方法的具体流程进行详细阐述。
步骤S110,获得目标域名在连续的多个预设周期内各自的访问记录集合。
在本实施例中,可获得所述目标域名在一定时间长度(比如,50s)内的访问记录。一条访问记录对应一次访问行为。一条访问记录中可以包括一访问设备本次访问所述目标域名时所使用的IP地址、以及对该次访问进行描述的访问描述信息。其中,所述访问描述信息中可以包括用于描述本次访问任意特征的信息,具体可以根据实际需求确定。所述目标域名为需要进行防护的域名,具体可以根据实际应用场景确定。
可将所述目标域名在所述一定时间长度内的访问记录,按照预设周期,分为多个访问记录集合,其中,一个预设周期对应一个访问记录集合。一个访问记录集合中所对应的访问行为的访问时间均在该访问记录集合所对应的一个预设周期内。其中,所述预设周期的长度可以根据实际需求设置,比如,10s。
步骤S120,根据所述IP地址及访问描述信息,将每个访问记录集合中的低频IP地址划分为至少一个IP组。
在本实施例中,可针对每个访问记录集合,根据该访问记录集合中所包括的IP地址及访问描述信息,确定出每个低频IP地址所对应的第一访问特征,然后将第一访问特征相似的低频IP地址分为到一个IP组中。如此,可将一个访问记录集合中的低频IP地址划分为至少一个IP组。其中,低频IP地址,表示在一定时间范围内,访问请求量相对较低的IP地址。
步骤S130,计算相邻预设周期内的每任意两个IP组之间的相似度。
在本实施例中,可从相邻预设周期各自对应的IP组中分别选取一个IP组,然后计算出这两个IP组之间的相似度。重复以上处理,可获得该相邻预设周期内的每任意两个IP组之间的相似度,所述任意两个IP组对应的预设周期不同。针对每相邻的两个预设周期所对应的IP组,进行以上处理,即可获得任意相邻预设周期内的任意两个IP组之间的相似度。其中,所述相似度可以是根据两个IP组的访问描述信息计算得到,也可以是根据所述第一访问特征计算得到,还可以是通过其他方式计算得到的,在此不做具体限定。
步骤S140,根据所述相似度及所述多个预设周期的时间先后顺序,确定出IP组序列。
在本实施例中,可根据经步骤S130获得的相似度及该连续的多个预设周期的时间先后顺序,确定出所属的预设周期相邻且相似度比较高的IP组组成IP组序列。由此可知,一个IP组序列中的每相邻的两个IP组对应的相邻的两个预设周期。如此,可实现对访问行为的时序延伸。
步骤S150,获得每个IP组序列的综合访问特征集,并根据每个IP组序列的综合访问特征集识别该IP组序列中的IP地址是否异常。
在确定出IP组序列中的情况下,可以针对每个IP组序列,根据该IP组序列中的各IP地址对应的访问描述信息,确定出该IP组序列的综合访问特征集,进而根据该综合访问特征集,识别该IP组序列中的IP地址是否为异常IP地址。
如此,可通过进行访问行为的时序延伸,确定出相似访问行为对应的IP组序列,进而基于该IP组序列的综合访问特征集,识别该IP组序列中的IP地址是否异常。通过上述方式,可识别出低频且数量为多个的异常IP地址。低频且数量为多个的异常IP地址,表示该多个低频IP地址的访问行为相近且异常,比如,均只访问某一个URL(Uniform ResourceLocator,统一资源定位符),且其Cookie/User_Agent均相同等。通常攻击行为是连续进行的,通过以上方案确定出异常IP地址之后,若在攻击的过程中发现了基于该异常IP地址的访问行为,则可以确定该访问行为为异常行为,可以对该行为拦截,让其无法进行后续访问,从而达到防护的目的。
作为一种可选的实施方式,在获得所述目标域名在一定时间长度(比如,50s)内的访问记录的情况下,可根据上述访问记录,获得每个IP地址在所述一定时间长度内的总访问次数。然后将每个IP地址的总访问次数与预设总访问次数进行比较,之后将总访问次数小于该预设总访问次数的IP地址作为低频IP地址。如此,可确定出低频IP地址。
作为另一种可选的实施方式,还可以在获得所述目标域名在一定时间长度(比如,50s)内的访问记录的情况下,按照预设周期的时长,对该访问记录进行分组,得到多个访问记录集合。然后,针对每个访问记录集合,统计该访问记录集合中每个IP地址的访问次数,进而可筛选出访问次数小于预设访问次数的IP地址作为低频IP地址。如此,可避免由于作为阈值的预设访问次数所对应的时长较长,导致预设访问次数设置地较大,进而导致较多正常IP地址也进入后续的处理流程,由此可减少处理量。
请参照图3,图3为本申请实施例提供的识别异常IP地址的举例示意图。下面结合图3对确定低频地址的过程进行举例说明。
可按照所述目标域名在50s内的访问记录各自对应的访问请求的访问时刻,将上述访问记录,按照10s为一个预设周期的方式,划分为5个访问记录集合。访问记录集合1所属的预设周期为第1个10s,访问记录集合2-5所属的预设周期分别为第2、3、4、5个10s。
假设预设访问次数为10,也即若10s内一个IP地址的访问次数小于10,则可以认为该IP地址为低频IP地址。
可针对访问记录集合1,统计该访问记录集合1中的每个IP地址的访问次数。然后,针对每个IP地址,判断该IP地址的访问次数是否小于10;若小于,则确定该IP地址为低频IP地址;若不小于,则确定该IP地址不为低频IP地址。如此,可获得访问记录集合1中的所包括的低频IP地址。针对访问记录集合2-5也进行上述处理,即可获得访问记录集合2-5中所包括的低频IP地址。
在确定出一个访问记录集合中的低频IP地址的情况下,可以IP地址为单位,从该访问记录集合中获得每个低频的IP地址的所有访问描述信息,然后根据该访问描述信息,进行特征提取,从而获得每个IP地址对应的第一访问特征。如此,可在每个预设周期内,针对每个低频IP地址提取到一条第一访问特征。
可选地,所述访问描述信息可以包括:访问设备访问的URL、user_agent、URI(Uniform Resource Identifier,统一资源标识符)、host、recode、Cookie值、接收到的回复报文中的状态码、发送报文的报文大小、回复报文的报文大小等。其中,Cookie值可以是一个字段的值,该值可以是由提供服务的服务器返回给访问设备的,值的具体分配规则可以是服务器结合预先配置好的规则确定的;一般情况下,一个访问设备的Cookie值不会发生变化。可以理解的是,上述对所述访问描述信息中包括的内容的说明,仅为举例说明,具体可以根据实际情况确定,在此不做具体限定。
示例性地,由所述访问描述信息,获得的所述第一访问特征所包括的特征维度可以包括:发送量或接收量的均值/方差等、状态码熵值/百分比等、URL深度熵值、Cookie熵值/百分比等。其中,发送量的均值,表示一个IP地址在一个预设周期内的发送报文的报文大小的平均值;接收量的均值,表示一个IP地址在一个预设周期内的接收到的回复报文的报文大小的平均值。值得说明的是,上述仅为举例说明,所述第一访问特征所包括的具体特征维度可以结合实际应用场景进行确定。
在获得一个访问记录集合中的每个低频IP地址的第一访问特征的情况下,可采用任意方式,基于该第一访问特征,对该访问记录集合中的低频IP地址进行分组,从而得到至少一个IP组。
可选地,作为一种可选的实施方式,如图3所示,可以针对各访问记录集合所包括的低频IP地址,根据各低频IP地址对应的第一访问特征进行聚类,从而使得每个预设周期内可得到多个簇。其中,一个簇即为一个IP组。图3中的C_1_0、C_1_4、C_2_0、C_5_2等均表示经过聚类得到的簇,也即C_1_0等分别表示一个IP组。其中,使用的聚类方法可以为DBSCAN。当然可以采用其他方式获得所述至少一个组。
在一种可能的实现方式中,可以直接针对经步骤120得到的多个IP组,计算相邻预设周期内的每任意两个IP组之间的相似度。可选地,可以根据所述任意两个IP组中的IP地址和/或每个IP组的第二访问特征,计算得到该任意两个IP组之间的相似度。
其中,在根据所述任意两个IP组中的IP地址计算相似度时,可以计算这两个IP组中的相同IP地址的数量,与这两个IP组所包括的IP地址数量(重复IP地址计算为一个)之比,并将计算出的比值,作为所述任意两个IP组之间的相似度。
比如,假设第i周期与第j周期是相邻的两个预设周期,在计算第i周期的第j个IP组与第n周期的第m个IP组的相似度时,上述计算过程可以表示为:
Figure BDA0003239403150000101
其中,sim(ij,nm)表示相似度,Set(ipij)表示第i周期的第j个IP组中的IP地址,也即,是个IP地址集合;Set(ipnm)表示第n周期的第m个IP组中的IP地址。
在根据所述任意两个IP组各自的第二访问特征计算得到相似度时,可以先根据每个IP组中各IP地址的第一访问特征,计算得到每个IP组的第二访问特征。接着,则计算两个IP组的第二访问特征之间的相似程度,作为该任意两个IP组的相似度。
其中,一个IP组的第二访问特征为该IP组中的各IP地址对应的第一访问特征中至少一个特征维度的均值和/或方差。也即,为该IP组包括的各IP地址的第一访问特征中,至少一个特征维度下的特征值的均值和/或方差。
比如,在所述第一访问特征包括URL深度熵值时,可计算一个IP组中的每个IP地址的URL深度熵值的均值和/或方差,以作为该IP组的第二访问特征;也可以直接计算所述第一访问特征的均值和/或方差,作为该IP组的第二访问特征。在一个IP组为一个簇的情况下,该IP组的第二访问特征相当于该簇的特征向量。
在计算第i周期的第j个IP组与第n周期的第m个IP组的相似度时,上述根据第二访问特征计算相似度的过程可以表示为:sim(ij,nm)=cos(featij,featnm),其中,featij表示第i周期的第j个IP组中的第二访问特征;featnm表示第n周期的第m个IP组的第二访问特征。
还可以根据所述任意两个IP组中的IP地址和每个IP组的第二访问特征,计算得到所述相似度:
Figure BDA0003239403150000111
值得说明的是,上述相似度的计算方式仅为举例说明,也可以通过其他计算方式得到两个IP组的相似度。
在另一种可能的实现方式中,可通过图4所示方法获得用于步骤S150的相似度。请参照图4,图4为图2中步骤S130包括的子步骤的流程示意图。步骤S130可以包括子步骤S131~子步骤S133。
子步骤S131,统计每个IP组中所包括的IP地址的数量。
子步骤S132,筛选出数量大于第三预设数量的IP组。
子步骤S133,针对筛选出的IP组,计算相邻预设周期内的每任意两个IP组之间的相似度。
在本实施方式中,可以针对每个IP组,统计该IP组中所包括的IP地址的数量,然后将该数量与第三预设数量进行比较;若该数量大于所述第三预设数量,则保留该IP组;若该数量不大于所述第三预设数量,则可以将该IP组剔除。其中,所述第三预设数量可以结合实际情况设置,比如,设置为10。由此,可筛选出划分的IP组中所包括的IP地址数量大于第三预设数量的IP组。之后,可针对筛选出来的IP组,根据相邻预设周期内的每任意两个IP组中的IP地址和/或每个IP组的第二访问特征,计算得到所述任意两个IP组的相似度。其中,根据具体的IP组,计算相似度的方式说明可以参照上文说明,在此不再赘述。
由于攻击者若雇佣小量的机器制造低频多IP攻击行为,达不到攻击的目的,因此IP地址数量较少的IP组更大可能为正常的IP地址,因而可以将IP地址数量较少的IP组直接过滤掉。如此,可减小后续处理的计算量。
在计算出相似度之后,则可以找出IP组序列。可选地,可以根据预设相似度及计算出的相似度,找出IP组序列。
比如,如图3所示,假设计算相似度时针对的IP组为第1个10s的C_1_0到C_1_4、第2个10s的C_2_0到C_2_3、第3个10s的C_3_0到C_3_2、第4个10s的C_4_0到C_4_5、地5个10s的C_5_0到C_5_2。
可针对上述IP组,基于时序进行特征相似度的计算:计算第1个10s的每个IP组与第2个10s中的每个IP组的相似度,并计算第2个10s的每个IP组与第3个10s中的每个IP组的相似度,计算第3个10s的每个IP组与第4个10s中的每个IP组的相似度,计算第4个10s的每个IP组与第5个10s中的每个IP组的相似度。
假设预设相似度为0.87,基于通过上述方式计算得到的相似度,可将相似度与0.87进行比较,从而确定出所属的预设周期相邻、且相似度大于0.87的IP组组成IP组序列。比如,由于C_1_0与C_2_1之间的相似度大于0.87且所属的预设周期相邻、C_2_0与C_3_1之间的相似度大于0.87且所属的预设周期相邻、C_3_1与C_4_0之间的相似度大于0.87且所属的预设周期相邻,则可以确定出一个IP组序列为:C_1_0、C_2_1、C_3_1、C_4_0。
其中,在通过如上方式进行时序延伸时,若一个IP组与相邻的另外一个预设周期内的多个IP组的相似度均大于0.87,则可以确定出多个IP组序列。例如,若C_1_0与C_2_0的相似度也大于0.87、但C_2_0与第3个10s内每个IP组的相似度都小于0.87,则还可以确定出一个IP组序列为:C_1_0、C_2_0。
若一个IP组与相邻的另外一个预设周期内的多个IP组的相似度均大于0.87,也可以仅根据最大相似度进行时序延伸。比如,若C_1_0与C_2_0的相似度1、C_1_0与C_2_1的相似度2均大于0.87,且相似度2大于相似度1,并且C_2_0、C_2_1与第3个10s内每个IP组的相似度都小于0.87,则可以仅确定出一个IP组序列为:C_1_0、C_2_1。如此,便于计算。
在确定出IP组序列的情况下,可针对每个IP组序列,根据该IP组序列中的每个IP地址在该IP组序列所属的多个预设周期内的访问描述信息,得到该IP组序列的综合访问特征集,进而基于此识别该IP组序列中的IP地址是否为异常的低频IP地址。其中,一个IP组序列所属的多个预设周期,为划分出该IP组序列中的各IP组时所使用的访问记录集合所对应的预设周期。比如,如图3所示,IP组序列:C_1_0、C_2_1、C_3_1、C_4_0,所属的多个周期为第1个到第4个10s;IP组序列:C_1_2、C_2_3、C_3_2、C_4_2,所属的多个周期为第1个到第5个10s。
可选地,所述综合访问特征集中可以包括第一特征和/或第二特征。可以通过如下方式获得所述第一特征及第二特征。
针对每个IP组序列,根据该IP组序列在所属的多个预设周期内的访问描述信息,获得该IP组序列整体在所属的多个预设周期内的第一特征。如此,将一个IP组序列看成是一个IP,该IP组序列对应的访问描述信息即为该IP的访问描述信息,可从该IP组序列对应的访问描述信息中进行特征提取,从而获得所述第一特征。该特征提取的步骤与获得所述第一访问特征的过程类似。
其中,所述第一特征可以包括:接收量或发送量的均值/方差等、状态码熵值/百分比等。所述第一特征中的发送量均值,表示所对应的IP组序列整体在所属的多个预设周期内的发送报文的报文大小的平均值。所述第一特征所包括的特征维度具体可以根据实际需求设置,只要能够体现出IP组序列整体在所属的多个预设周期内的访问特征,进而可识别出异常IP地址即可。
针对每个IP组序列,根据该IP组序列中的各IP地址在该IP组序列所属的多个预设周期内的访问描述信息及该IP组序列中所包括的各IP地址,获得与该IP组序列中的多IP地址相关的第二特征。如此,可将该IP组序列看作是多个IP的访问,从而提取到与多IP相关的特征。
其中,所述第二特征可以包括:IP熵值/百分比、IDC(International DataCenter,数据中心)类的IP百分比、IP与Cookie为双射的IP百分比等。其中,IP百分比,表示在IP组序列所属的多个预设周期内,每个IP地址的访问次数与该IP组序列中的各IP地址在该IP组序列所属的多个预设周期中总的访问次数之比。IDC类的IP百分比,表示属于IDC类的IP地址数量与该IP组序列中一共出现的IP地址数量(在统计得到该数量时,相同的多个IP地址统计为1个)之比。IDC表示互联网数据中心。IP与Cookie为双射的IP,表示IP地址与Cookie是一一对应关系的IP地址。所述第二特征所包括的特征维度具体可以根据实际需求设置,只要能够体现出IP组序列在所属的多个预设周期内的与多IP相关的访问特征,进而可识别出异常IP地址即可。
可选地,作为第一种可选的实施方式,可直接针对每个IP组序列,按照如上方式获得该IP组序列的综合特征访问集,进而可以基于该综合访问特征集,以任意方式识别该IP组序列中所包括的低频IP地址是否为均为正常IP地址或异常IP地址。可选地,可以利用该综合访问特征集以及预先基于样本综合访问特征集及对应的样本分类解决结果训练好的分类模型,进行识别。
可选地,作为第二种可选的实施方式,还可以通过图5所示方式进行异常IP地址的识别。请参照图5,图5为图2中步骤S150包括的子步骤的流程示意图之一。步骤S150可以包括子步骤S151~子步骤S153。
子步骤S151,针对每个IP组序列,根据第一预设数量,从该IP组序列中确定出IP组子序列。
其中,一个IP组子序列中每相邻的两个IP组对应相邻的两个预设周期,一个IP组子序列所属的预设周期的数量为所述第一预设数量。如此,可获得固定时间长度的IP组子序列。所述第一预设数量大于等于2,具体可以根据实际需求设置,比如,设置3。
如图3所示,一个IP组序列为:C_1_0、C_2_1、C_3_1、C_4_0,可按照第一预设数量3从该IP组序列中确定出至少一个IP组子序列。可选地,可以步长为1的方式确定出IP组子序列:C_1_0、C_2_1、C_3_1;C_2_1、C_3_1、C_4_0。也可以采用使确定出的IP组子序列中不包括重复的IP组的方式来确定IP组子序列,比如,针对上述举例,可仅确定出一个IP组子序列:C_1_0、C_2_1、C_3_1。具体方式可以根据实际需求设置。
可选地,在为了使IP组序列中的每个IP组都可以进入后续的识别,可以在确定出IP组子序列时,可以采用补全的方式进行子序列的划分。例如,针对IP组序列为:C_1_0、C_2_1、C_3_1、C_4_0,可以划分为IP组子序列:C_1_0、C_2_1、C_3_1;C_4_0、0、0。
子步骤S152,获得每个IP组子序列的综合访问特征。
在确定出IP组子序列的情况下,可针对每个IP组子序列,根据该IP组子序列所对应的访问描述信息及IP地址,得到该IP组子序列的综合访问特征。其中,一个IP组子序列的所述综合访问特征,包括该IP组子序列整体在所属的多个预设周期内的第一特征和/或与该IP组序列中的多IP地址相关的第二特征。关于所述第一特征及第二特征的获取过程说明,可以参照上文描述,在此不再赘述。一个IP组序列的所述综合访问特征集中包括至少一个IP组子序列的综合访问特征,该至少一个IP组子序列为IP组序列的子序列。
子步骤S153,根据每个IP组子序列的综合访问特征,确定该IP组子序列中的IP地址是否为异常IP地址。
在获得一个IP组子序列的综合访问特征的情况下,可以基于该综合访问特征,以任意方式识别IP组子序列中所包括的低频IP地址是否均为正常IP地址或异常IP地址。
可选地,可以根据所述综合访问特征及预先训练好的分类模型,确定确定该IP组子序列中的IP地址是异常IP地址或正常IP地址,其中,所述分类模型根据样本IP组子序列的样本综合访问特征及样本分类结果训练得到。
其中,在训练得到所述分类模型时,可以根据模型的召回率是否满足要求,从而确定训练是否完成。当然也可以基于其他指标进行训练。所述分类模型可以为Catboost。所述分类模型可以是所述电子设备100预先训练得到的,也可以是其他设备预先训练得到的,在此不对其进行具体限定。
可选地,若一个IP地址在不同的IP组子序列或者不同的IP组序列中,该IP地址基于上述识别得到的识别结果不同,则可以结合实际需求确定该IP地址最终的识别结果。比如,如果一个IP地址所在的IP组子序列1被识别为正常,该IP地址所在的IP组子序列2被识别为异常,并且应用场景更关注不要把正常IP地址识别为异常IP地址,则可以最终确定该IP地址为正常IP地址。
如此,可避免在利用模型进行识别时,由于模型训练时使用的特征所对应的周期数量与当前获得的特征对应的周期数量差别较大,导致得到对IP组序列中的IP地址是否异常的结果的可靠性不高。
作为第三种可选的实施方式,还可以通过图6所示方式进行异常IP地址的识别。请参照图6,图6为图2中步骤S150包括的子步骤的流程示意图之二。步骤S150可以包括子步骤S1501~子步骤S1503。
子步骤S1501,获得每个IP组序列所属的预设周期的周期数量;
子步骤S1502,筛选出周期数量大于第二预设数量的IP组序列;
子步骤S1503,获得筛选出的每个IP组序列的综合访问特征集,并根据筛选出的每个IP组序列的综合访问特征集识别该IP组序列中的IP地址是否为异常IP地址。
在本实施方式中,可针对每个IP组序列,统计该IP组序列所属的预设周期的周期数量,即IP组的数量,每个IP组对应的预设周期不同;然后,将该周期数量与第二预设数量进行比较;若该周期数量大于所述第二预设数量,则保留该IP组序列;若该周期数量不大于所述第二预设数量,则可以将该IP组序列提出。其中,所述第二预设数量可以结合实际情况设置,比如,设置为3。由此,可筛选出周期数量大于第三预设周期数量的IP组序列,之后可针对筛选出的每个IP组序列,经过特征提取获得该IP组序列的综合访问特征集,并根据综合访问特征集识别该IP组序列中的IP地址是否为异常IP地址。
由于同一个攻击者的攻击行为有一定的连续性,若持续的周期数量减少,也即时间线延续比较断,就达不到攻击目的,因此周期数量较少的IP组序列可以更大可能为正常的IP地址,因而可以将周期数量较少的IP组序列直接过滤掉。如此,可减小后续处理的计算量。
在筛选出周期数量大于第二预设数量的IP组序列的情况下,可针对每个IP组序列,如第一种实施方式,直接将该IP组序列作为处理对象,获得该IP组序列的第一特征和/或第二特征,进而基于该第一特征和/或第二特征,确定该IP组序列中的IP地址均为正常IP地址或者均为异常IP地址。
还可以如第二种方式,先基于IP组序列,确定出所属的预设周期数量为第一预设数量的IP组子序列,然后获得每个IP组子序列的综合访问特征,继而根据该综合访问特征识别相应的IP组子序列中的IP地址是否均为正常IP地址或者均为异常IP地址。其中,在该实施方式中,所述第一预设数量小于等于所述第二预设数量。
通常,同一个攻击者的攻击行为是一致的,且有一定的连续性,也就是不会只在某一秒攻击一下,就没有后续攻击。一些高明的攻击者为了绕过现有的各种云防御***(现有的防御***以单IP的请求拦截为主),雇佣许多机器,每个机器只发送少许请求,让其总量非常高,达到同样的攻击目的。
本申请实施例可对一定时间范围内的所有低频请求进行分组,将访问行为相近的低频请求所使用的IP地址聚在同一个组中,由此可以得到多个组;接着,可对相邻时间周期的各个组之间进行相似性计算,得到不同访问行为的时序延伸;最后,对每个访问行为的时序延伸进行特征提取,并基于提取的特征进行分类,从而判断其是否为异常。由此,可识别出低频的访问请求是否为异常访问情况,以及低频使用的IP地址是否为异常IP地址。后续再次发现使用该异常IP地址的访问行为时,则可以对该行为拦截,让其无法进行后续访问,从而达到防护的目的。还可以针对识别出的异常IP地址的异常访问行为,提取出行为特取,然后基于该行为特征,去识别新出现的访问行为是否为异常行为。
为了执行上述实施例及各个可能的方式中的相应步骤,下面给出一种异常IP地址识别装置200的实现方式,可选地,该异常IP地址识别装置200可以采用上述图1所示的电子设备100的器件结构。进一步地,请参照图7,图7为本申请实施例提供的异常IP地址识别装置200的方框示意图。需要说明的是,本实施例所提供的异常IP地址识别装置200,其基本原理及产生的技术效果和上述实施例相同,为简要描述,本实施例部分未提及之处,可参考上述的实施例中相应内容。所述异常IP地址识别装置200可以包括:记录获得模块210、划分模块220、相似度计算模块230、序列确定模块240及识别模块250。
记录获得模块210,用于获得目标域名在连续的多个预设周期内各自的访问记录集合。其中,所述访问记录集合中包括被访问时访问设备所使用的IP地址及访问描述信息。
所述划分模块220,用于根据所述IP地址及访问描述信息,将每个访问记录集合中的低频IP地址划分为至少一个IP组。其中,一个IP组中的IP地址对应的访问描述信息所对应的第一访问特征相似。
所述相似度计算模块230,用于计算相邻预设周期内的每任意两个IP组之间的相似度。其中,所述任意两个IP组对应的预设周期不同。
所述序列确定模块240,用于根据所述相似度及所述多个预设周期的时间先后顺序,确定出IP组序列。其中,一个IP组序列中每相邻的两个IP组对应相邻的两个预设周期。
所述识别模块250,用于获得每个IP组序列的综合访问特征集,并根据每个IP组序列的综合访问特征集识别该IP组序列中的IP地址是否异常。
可选地,在本实施例中,所述综合访问特征集包括第一特征和/或第二特征,所述识别模块250通过以下方式获得每个IP组序列的综合访问特征集:针对每个IP组序列,根据该IP组序列在所属的多个预设周期内的访问描述信息,获得该IP组序列整体在所属的多个预设周期内的第一特征;根据该IP组序列中的各IP地址在该IP组序列所属的多个预设周期内的访问描述信息及该IP组序列中所包括的各IP地址,获得与该IP组序列中的多IP地址相关的第二特征。
可选地,在本实施例中,所述综合访问特征集中包括至少一个IP组子序列的综合访问特征,所述识别模块250具体用于:针对每个IP组序列,根据第一预设数量,从该IP组序列中确定出IP组子序列,其中,一个IP组子序列中每相邻的两个IP组对应相邻的两个预设周期,一个IP组子序列所属的预设周期的数量为所述第一预设数量;获得每个IP组子序列的综合访问特征,其中,所述综合访问特征包括IP组子序列整体在所属的多个预设周期内的第一特征和/或与该IP组序列中的多IP地址相关的第二特征;根据每个IP组子序列的综合访问特征,确定该IP组子序列中的IP地址是否为异常IP地址。
可选地,在本实施例中,所述识别模块250具体用于:根据所述综合访问特征及预先训练好的分类模型,确定该IP组子序列中的IP地址是异常IP地址或正常IP地址。其中,所述分类模型根据样本IP组子序列的样本综合访问特征及样本分类结果训练得到。
可选地,在本实施例中,所述识别模块250具体用于:获得每个IP组序列所属的预设周期的周期数量;筛选出周期数量大于第二预设数量的IP组序列;获得筛选出的每个IP组序列的综合访问特征集,并根据筛选出的每个IP组序列的综合访问特征集识别该IP组序列中的IP地址是否为异常IP地址。
可选地,在本实施例中,所述相似度计算模块230具体用于:根据所述任意两个IP组中的IP地址和/或每个IP组的第二访问特征,计算得到所述相似度。其中,一个IP组的第二访问特征为该IP组中的各IP地址对应的第一访问特征中至少一个特征维度的均值和/或方差。
可选地,在本实施例中,所述相似度计算模块230具体用于:统计每个IP组中所包括的IP地址的数量;筛选出数量大于第三预设数量的IP组;针对筛选出的IP组,计算相邻预设周期内的每任意两个IP组之间的相似度。
可选地,上述模块可以软件或固件(Firmware)的形式存储于图1所示的存储器110中或固化于电子设备100的操作***(Operating System,OS)中,并可由图1中的处理器120执行。同时,执行上述模块所需的数据、程序的代码等可以存储在存储器110中。
本申请实施例还提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现所述的异常IP地址识别方法。
综上所述,本申请实施例提供一种异常IP地址识别方法、装置、电子设备及可读存储介质,首先获得目标域名在连续的多个预设周期内各自的访问记录集合;接着,针对每个访问记录集合,根据该访问记录集合中包括的该目标域名被访问设备访问时该访问设备所使用的IP地址及对应的访问描述信息,将该访问记录集合中的低频IP地址划分为至少一个IP组,一个IP组中的IP地址对应的访问描述信息所对应的第一访问特征相似;进而可计算相邻预设周期内的每任意两个IP组之间的相似度,并根据该相似度及连续的多个预设周期的时间先后顺序,确定出IP组序列,其中,上述任意两个IP组对应的预设周期不同,一个IP组序列中的相邻IP组均对应了相邻的两个预设周期;最后即可获得每个IP组序列的综合访问特征集,并基于此识别该IP组序列中的IP地址是否为异常IP地址。如此,可通过访问行为的时序延伸,确定出相似访问行为对应的IP组序列,进而基于该IP组序列的综合访问特征集,识别该IP组序列中的IP地址是否异常,以便于基于识别结果对基于低频且异常的IP地址的访问请求进行拦截,从而对提供服务的服务器进行防护。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的可选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种异常IP地址识别方法,其特征在于,包括:
获得目标域名在连续的多个预设周期内各自的访问记录集合,其中,所述访问记录集合中包括被访问时访问设备所使用的IP地址及访问描述信息;
根据所述IP地址及访问描述信息,将每个访问记录集合中的低频IP地址划分为至少一个IP组,其中,一个IP组中的IP地址对应的访问描述信息所对应的第一访问特征相似;
计算相邻预设周期内的每任意两个IP组之间的相似度,其中,所述任意两个IP组对应的预设周期不同;
根据所述相似度及所述多个预设周期的时间先后顺序,确定出IP组序列,其中,一个IP组序列中每相邻的两个IP组对应相邻的两个预设周期;
获得每个IP组序列的综合访问特征集,并根据每个IP组序列的综合访问特征集识别该IP组序列中的IP地址是否异常。
2.根据权利要求1所述的方法,其特征在于,所述综合访问特征集包括第一特征和/或第二特征,所述获得每个IP组序列的综合访问特征集,包括:
针对每个IP组序列,根据该IP组序列在所属的多个预设周期内的访问描述信息,获得该IP组序列整体在所属的多个预设周期内的第一特征;
根据该IP组序列中的各IP地址在该IP组序列所属的多个预设周期内的访问描述信息及该IP组序列中所包括的各IP地址,获得与该IP组序列中的多IP地址相关的第二特征。
3.根据权利要求1或2所述的方法,其特征在于,所述综合访问特征集中包括至少一个IP组子序列的综合访问特征,所述获得每个IP组序列的综合访问特征集,并根据每个IP组序列的综合访问特征集识别该IP组序列中的IP地址是否异常,包括:
针对每个IP组序列,根据第一预设数量,从该IP组序列中确定出IP组子序列,其中,一个IP组子序列中每相邻的两个IP组对应相邻的两个预设周期,一个IP组子序列所属的预设周期的数量为所述第一预设数量;
获得每个IP组子序列的综合访问特征,其中,所述综合访问特征包括IP组子序列整体在所属的多个预设周期内的第一特征和/或与该IP组序列中的多IP地址相关的第二特征;
根据每个IP组子序列的综合访问特征,确定该IP组子序列中的IP地址是否为异常IP地址。
4.根据权利要求3所述的方法,其特征在于,所述根据每个IP组子序列的综合访问特征,确定该IP组子序列中的IP地址是否为异常IP地址,包括:
根据所述综合访问特征及预先训练好的分类模型,确定该IP组子序列中的IP地址是异常IP地址或正常IP地址,其中,所述分类模型根据样本IP组子序列的样本综合访问特征及样本分类结果训练得到。
5.根据权利要求1所述的方法,其特征在于,所述获得每个IP组序列的综合访问特征集,并根据每个IP组序列的综合访问特征集识别该IP组序列中的IP地址是否为异常IP地址,包括:
获得每个IP组序列所属的预设周期的周期数量;
筛选出周期数量大于第二预设数量的IP组序列;
获得筛选出的每个IP组序列的综合访问特征集,并根据筛选出的每个IP组序列的综合访问特征集识别该IP组序列中的IP地址是否为异常IP地址。
6.根据权利要求1所述的方法,其特征在于,所述计算相邻预设周期内的每任意两个IP组之间的相似度,包括:
根据所述任意两个IP组中的IP地址和/或每个IP组的第二访问特征,计算得到所述相似度,其中,一个IP组的第二访问特征为该IP组中的各IP地址对应的第一访问特征中至少一个特征维度的均值和/或方差。
7.根据权利要求1或6所述的方法,其特征在于,所述计算相邻预设周期内的每任意两个IP组之间的相似度,包括:
统计每个IP组中所包括的IP地址的数量;
筛选出数量大于第三预设数量的IP组;
针对筛选出的IP组,计算相邻预设周期内的每任意两个IP组之间的相似度。
8.一种异常IP地址识别装置,其特征在于,包括:
记录获得模块,用于获得目标域名在连续的多个预设周期内各自的访问记录集合,其中,所述访问记录集合中包括被访问时访问设备所使用的IP地址及访问描述信息;
划分模块,用于根据所述IP地址及访问描述信息,将每个访问记录集合中的低频IP地址划分为至少一个IP组,其中,一个IP组中的IP地址对应的访问描述信息所对应的第一访问特征相似;
相似度计算模块,用于计算相邻预设周期内的每任意两个IP组之间的相似度,其中,所述任意两个IP组对应的预设周期不同;
序列确定模块,用于根据所述相似度及所述多个预设周期的时间先后顺序,确定出IP组序列,其中,一个IP组序列中每相邻的两个IP组对应相邻的两个预设周期;
识别模块,用于获得每个IP组序列的综合访问特征集,并根据每个IP组序列的综合访问特征集识别该IP组序列中的IP地址是否异常。
9.一种电子设备,其特征在于,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器可执行所述机器可执行指令以实现权利要求1-7中任意一项所述的异常IP地址识别方法。
10.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7中任意一项所述的异常IP地址识别方法。
CN202111012528.7A 2021-08-31 2021-08-31 异常ip地址识别方法、装置、电子设备及可读存储介质 Active CN113726783B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111012528.7A CN113726783B (zh) 2021-08-31 2021-08-31 异常ip地址识别方法、装置、电子设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111012528.7A CN113726783B (zh) 2021-08-31 2021-08-31 异常ip地址识别方法、装置、电子设备及可读存储介质

Publications (2)

Publication Number Publication Date
CN113726783A true CN113726783A (zh) 2021-11-30
CN113726783B CN113726783B (zh) 2023-03-24

Family

ID=78679729

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111012528.7A Active CN113726783B (zh) 2021-08-31 2021-08-31 异常ip地址识别方法、装置、电子设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN113726783B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114338205A (zh) * 2021-12-31 2022-04-12 广州方硅信息技术有限公司 目标ip地址的获取方法、装置、电子设备及存储介质
CN115022011A (zh) * 2022-05-30 2022-09-06 北京天融信网络安全技术有限公司 漏扫软件访问请求识别方法、装置、设备和介质
CN115086060A (zh) * 2022-06-30 2022-09-20 深信服科技股份有限公司 一种流量检测方法、装置、设备及可读存储介质
CN116055182A (zh) * 2023-01-28 2023-05-02 北京特立信电子技术股份有限公司 基于访问请求路径分析的网络节点异常识别方法

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105530265A (zh) * 2016-01-28 2016-04-27 李青山 一种基于频繁项集描述的移动互联网恶意应用检测方法
CN106911697A (zh) * 2017-02-28 2017-06-30 北京百度网讯科技有限公司 访问权限设置方法、装置、服务器及存储介质
US20180097828A1 (en) * 2016-09-30 2018-04-05 Yahoo! Inc. Computerized system and method for automatically determining malicious ip clusters using network activity data
CN108173884A (zh) * 2018-03-20 2018-06-15 国家计算机网络与信息安全管理中心 基于网络攻击伴随行为的DDoS攻击群体分析方法
CN109685376A (zh) * 2018-12-26 2019-04-26 国家电网公司华中分部 一种基于相似度分析理论的电力客户异常行为预警方法
CN110933080A (zh) * 2019-11-29 2020-03-27 上海观安信息技术股份有限公司 一种用户登录异常的ip群体识别方法及装置
CN111371778A (zh) * 2020-02-28 2020-07-03 中国工商银行股份有限公司 攻击团伙的识别方法、装置、计算设备以及介质
CN112800419A (zh) * 2019-11-13 2021-05-14 北京数安鑫云信息技术有限公司 识别ip团伙的方法、装置、介质及设备
CN112839014A (zh) * 2019-11-22 2021-05-25 北京数安鑫云信息技术有限公司 建立识别异常访问者模型的方法、***、设备及介质
CN113225325A (zh) * 2021-04-23 2021-08-06 北京明略昭辉科技有限公司 一种ip黑名单确定方法、装置、设备及存储介质

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105530265A (zh) * 2016-01-28 2016-04-27 李青山 一种基于频繁项集描述的移动互联网恶意应用检测方法
US20180097828A1 (en) * 2016-09-30 2018-04-05 Yahoo! Inc. Computerized system and method for automatically determining malicious ip clusters using network activity data
CN106911697A (zh) * 2017-02-28 2017-06-30 北京百度网讯科技有限公司 访问权限设置方法、装置、服务器及存储介质
CN108173884A (zh) * 2018-03-20 2018-06-15 国家计算机网络与信息安全管理中心 基于网络攻击伴随行为的DDoS攻击群体分析方法
CN109685376A (zh) * 2018-12-26 2019-04-26 国家电网公司华中分部 一种基于相似度分析理论的电力客户异常行为预警方法
CN112800419A (zh) * 2019-11-13 2021-05-14 北京数安鑫云信息技术有限公司 识别ip团伙的方法、装置、介质及设备
CN112839014A (zh) * 2019-11-22 2021-05-25 北京数安鑫云信息技术有限公司 建立识别异常访问者模型的方法、***、设备及介质
CN110933080A (zh) * 2019-11-29 2020-03-27 上海观安信息技术股份有限公司 一种用户登录异常的ip群体识别方法及装置
CN111371778A (zh) * 2020-02-28 2020-07-03 中国工商银行股份有限公司 攻击团伙的识别方法、装置、计算设备以及介质
CN113225325A (zh) * 2021-04-23 2021-08-06 北京明略昭辉科技有限公司 一种ip黑名单确定方法、装置、设备及存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
王倩等: "面向用户互联网访问日志的异常点击分析", 《中文信息学报》 *
王建等: "网络用户角色辨识及其恶意访问行为的发现方法", 《计算机科学》 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114338205A (zh) * 2021-12-31 2022-04-12 广州方硅信息技术有限公司 目标ip地址的获取方法、装置、电子设备及存储介质
CN114338205B (zh) * 2021-12-31 2024-03-01 广州方硅信息技术有限公司 目标ip地址的获取方法、装置、电子设备及存储介质
CN115022011A (zh) * 2022-05-30 2022-09-06 北京天融信网络安全技术有限公司 漏扫软件访问请求识别方法、装置、设备和介质
CN115022011B (zh) * 2022-05-30 2024-02-02 北京天融信网络安全技术有限公司 漏扫软件访问请求识别方法、装置、设备和介质
CN115086060A (zh) * 2022-06-30 2022-09-20 深信服科技股份有限公司 一种流量检测方法、装置、设备及可读存储介质
CN115086060B (zh) * 2022-06-30 2023-11-07 深信服科技股份有限公司 一种流量检测方法、装置、设备及可读存储介质
CN116055182A (zh) * 2023-01-28 2023-05-02 北京特立信电子技术股份有限公司 基于访问请求路径分析的网络节点异常识别方法
CN116055182B (zh) * 2023-01-28 2023-06-06 北京特立信电子技术股份有限公司 基于访问请求路径分析的网络节点异常识别方法

Also Published As

Publication number Publication date
CN113726783B (zh) 2023-03-24

Similar Documents

Publication Publication Date Title
CN113726783B (zh) 异常ip地址识别方法、装置、电子设备及可读存储介质
US20220327409A1 (en) Real Time Detection of Cyber Threats Using Self-Referential Entity Data
CN108768943B (zh) 一种检测异常账号的方法、装置及服务器
CN110431817B (zh) 识别恶意网络设备
CN110099059B (zh) 一种域名识别方法、装置及存储介质
CN111355697B (zh) 僵尸网络域名家族的检测方法、装置、设备及存储介质
US9674210B1 (en) Determining risk of malware infection in enterprise hosts
CN110457223B (zh) 灰度测试引流方法、装置、代理服务器及可读存储介质
CN108366012B (zh) 一种社交关系建立方法、装置及电子设备
CN109561097B (zh) 结构化查询语言注入安全漏洞检测方法、装置、设备及存储介质
CN111612085B (zh) 一种对等组中异常点的检测方法及装置
EP3331210A1 (en) Apparatus, method, and non-transitory computer-readable storage medium for network attack pattern determination
CN113301017B (zh) 基于联邦学习的攻击检测与防御方法、装置及存储介质
CN113569965A (zh) 一种基于物联网的用户行为分析方法及***
CN110912933B (zh) 一种基于被动测量的设备识别方法
CN116846644A (zh) 一种越权访问的检测方法及装置
CN111885011A (zh) 一种业务数据网络安全分析挖掘的方法及***
CN115296904B (zh) 域名反射攻击检测方法及装置、电子设备、存储介质
CN113923039A (zh) 攻击设备识别方法、装置、电子设备及可读存储介质
CN112560085B (zh) 业务预测模型的隐私保护方法及装置
CN114465816A (zh) 密码喷洒攻击的检测方法、装置、计算机设备和存储介质
CN113590869A (zh) 一种数据存储管理方法及***
CN108133046B (zh) 数据分析方法及装置
Liebovitch et al. Information flow dynamics and timing patterns in the arrival of email viruses
KR102672651B1 (ko) IoT 장치 식별 방법 및 이를 구현한 네트워크 관리 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant