CN103428189B - 一种识别恶意网络设备的方法、装置和系统 - Google Patents

Abstract

本申请为一种识别恶意网络设备的方法、装置和系统，所述方法包括：获取当前访问设备的多个属性，以及多个历史访问设备的属性集合和历史访问设备标识符，将所述当前访问设备的多个属性作为当前属性集合，将每个历史访问设备的属性集合作为一个历史属性集合；计算当前属性集合与每一个历史属性集合的匹配度；根据匹配度和历史访问设备标识符确定当前属性集合对应的风险设备标识符；根据当前属性集合、风险设备标识符和风险级别计算规则计算当前访问设备的风险级别，用来识别所述当前访问设备是否为恶意网络设备。采用本申请提供的方法、装置和系统，可以提高识别恶意的网络设备的准确率。

Description

一种识别恶意网络设备的方法、装置和系统

技术领域

本申请涉及网络安全领域，特别是涉及一种识别恶意网络设备的方法、装置和系统。

背景技术

互联网技术的普及极大的方便了人们的日常生活，加速了信息的传递，对人类社会的发展和进步产生了深远的影响。互联网技术是把双刃剑，在给人们带来便捷的同时，有很多不法分子利用互联网进行欺诈，获取非法财物，给人们的生命和财产安全带来很大的威胁。网络欺诈行为主要包括网络恐吓、入侵、垃圾信息、病毒入侵、DOS攻击、网络敲诈、网络钓鱼、419欺诈等。因此需要建立反欺诈系统识别恶意网络设备发送的欺诈请求，拒绝恶意网络设备的访问，维护人们的合法权益。

通常识别有网络欺诈行为的恶意的网络设备是根据设备的地理位置信息等唯一的设备属性来识别其欺诈来源，大多通过设备的IP地址进行识别。现有的电子商务网站会把从尼日利亚、南非、越南等地区的IP地址纳入高危IP列表，这些地区发起的请求很大可能是欺诈请求。如图1所示，网络系统中的高危IP防控策略会根据预先设定的高危IP列表来检测HTTP协议所带有的IP地址信息，如果该IP地址信息存在于高危列表中，则会将该设备转入人工审核处理或者直接拒绝来自该设备的访问，如果该IP地址不在高危列表中，则接受其访问请求。

根据IP地址等唯一属性信息识别恶意网络设备的方法有如下缺点：

识别恶意网络设备时，通过唯一的属性信息进行识别，当恶意网络设备更改其属性信息时，就不能识别其真实身份；例如，通常识别恶意网络设备是根据其发生交易请求的IP地址信息，如果IP地址信息存在预先设置的高危列表中，则被识别出来；如果恶意网络设备通过使用不在高危列表中的IP代理服务器发送交易请求，识别出的IP地址为其使用的代理服务器的地址，不能识别其真实的IP地址，就不能识别恶意网络设备的真实身份。

申请内容

有鉴于此，本申请提供了一种识别恶意网络设备的方法、装置和系统，获取当前访问设备的多个属性，确定其风险级别，从而有效的识别恶意网络设备的真实身份。

一种识别恶意网络设备的方法，该方法包括步骤：

获取当前访问设备的多个属性，以及多个历史访问设备的属性集合和历史访问设备标识符，将所述当前访问设备的多个属性作为当前属性集合，将每个历史访问设备的属性集合作为一个历史属性集合，其中，所述属性集合包括访问设备的浏览器属性、操作系统属性、网络连接属性、地理位置属性和TCP协议属性中的多个组合；

计算当前属性集合与每一个历史属性集合的匹配度；

根据匹配度和所述历史访问设备标识符确定当前属性集合对应的风险设备标识符；

根据当前属性集合、风险设备标识符和风险级别计算规则计算当前访问设备的风险级别，以识别所述访问设备是否为恶意设备。

其中，所述计算当前属性集合与每一个历史属性集合的匹配度具体包括：

获取当前属性集合中的第i个属性的值作为a_i，任一历史属性集合中的第i个属性的值作为bi，第i个属性的权重为c_i，判断a_i与b_i是否相等；

如果是，则确定第i个属性的匹配值d_i为1；

如果否，则确定第i个属性的匹配值d_i为0；

则按照下述公式计算当前属性集合与任一历史属性集合的匹配度n为：

$n=\frac{\underset{i=1}{\overset{i=m}{\mathrm{\Σ}}}{c}_i{d}_i}{\underset{i=1}{\overset{i=m}{\mathrm{\Σ}}}{c}_i}$

其中，i的取值为1至m的自然数，m为所述属性集合中属性的个数。

其中，所述根据匹配度和所述历史访问设备标识符确定当前属性集合对应的风险设备标识符具体包括：

获取与当前访问设备最高的匹配度，判断所述匹配度是否大于预先设置的第一阈值；

如果是，将所述最高的匹配度对应的历史属性集合作为风险属性集合，获取所述风险属性集合对应的历史访问设备标识符，作为与当前属性集合对应的风险设备标识符；

如果否，生成一个不同于所述历史访问设备标识符的当前属性集合对应的当前设备标识符作为风险设备标识符。

其中，所述根据当前属性集合、风险设备标识符和多个风险级别计算规则计算当前访问设备的风险级别具体包括：

根据每一个风险级别计算规则的内容，获取命中的风险级别规则，根据所述命中的风险级别规则计算当前访问设备的风险级别，其中，所述命中的风险级别规则为与当前属性集合中的属性的值和/或风险设备标识符匹配的风险级别计算规则；

获取第j个命中的风险级别规则的权重作为xj，风险值为yj，则按照下述公式对命中s个风险级别规则的当前访问设备的风险级别z计算如下：

$z=\underset{j=1}{\overset{j=s}{\mathrm{\Σ}}}{x}_j{y}_j,$

其中j为1至s的自然数，s为当前访问设备命中风险级别规则的个数。

其中，所述根据当前属性集合、风险设备标识符和风险级别计算规则计算当前访问设备的风险级别后进一步包括：

获取计算得到的风险级别与风险设备标识符对应存储。

其中，所述获取当前访问设备的多个属性具体包括：

获取当前访问设备的多个客户端属性；

根据客户端属性获取当前访问设备的多个服务端属性。

一种识别恶意网络设备的装置，该装置包括：

属性收集模块、属性匹配模块和风险识别模块；

所述属性收集模块，用于获取当前访问设备的多个属性作为当前属性集合发送到所述属性匹配模块；

所述属性匹配模块，用于获取多个历史访问设备的属性集合和历史访问设备标识符，将所述当前访问设备的多个属性作为当前属性集合，将每个历史访问设备的属性集合作为一个历史属性集合，其中，所述属性集合包括访问设备的浏览器属性、操作系统属性、网络连接属性、地理位置属性和TCP协议属性中的多个组合，计算当前属性集合与每一个历史属性集合的匹配度，根据匹配度和所述历史访问设备标识符确定当前属性集合对应的风险设备标识符；

所述风险识别模块，用于根据当前属性集合、风险设备标识符和风险级别计算规则计算当前访问设备的风险级别，以识别所述当前访问设备是否为恶意设备。

其中，所述属性收集模块具体包括：

客户端属性收集模块，用于收集当前访问设备的多个客户端属性发送给属性服务端收集模块；

服务端属性收集模块，用于收集当前访问设备的多个服务端属性。

其中，该装置进一步包括：

属性查询模块和属性存储模块；

所述属性查询模块，用于从所述属性存储模块调用多个历史访问设备的属性集合和历史访问设备标识符发送到属性匹配模块；

所述属性存储模块，用于存储历史访问设备的属性集合以及历史访问设备标识符。

其中，该装置进一步包括：

风险分析存储模块，用于从所述风险识别模块获取当前访问设备的风险级别与风险设备标识符对应存储。

一种识别恶意网络设备的系统，该系统包括前述装置。

可见，本申请有如下有益效果：

首先，获取当前访问设备的多个属性，以及多个历史访问设备的属性集合和历史访问设备标识符，将所述当前访问设备的多个属性作为当前属性集合，将每个历史访问设备的属性集合作为一个历史属性集合，计算当前属性集合与每一个历史属性集合的匹配度，根据匹配度和历史访问设备标识符确定当前属性集合对应的风险设备标识符，根据当前属性集合、风险设备标识符和风险级别计算规则计算当前访问设备的风险级别，用来识别所述当前访问设备是否为恶意网络设备，其中，所述风险设备标识符与大多数所述风险级别计算规则有关，增加了风险级别计算规则的种类，也就是说，增加了判断恶意网络设备的依据，通过更多的风险级别规则进行识别判断恶意网络设备，提高了对恶意网络设备的识别率；

其次，根据多个当前访问设备的属性，风险设备标识符和风险级别计算规则共同计算出当前访问设备的风险级别，从而识别当前访问设备是否是恶意网络设备，依据多个元素进行识别，即使当前访问设备通过代理服务器更改IP地址等唯一识别的属性，根据风险级别规则中对其他属性所定义的规则，综合分析后也可以识别恶意网络设备。

当然，实施本申请的任一产品并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为现有技术中识别恶意网络设备的方法流程图；

图2为一种识别恶意网络设备的方法实施例1流程图；

图3为一种识别恶意网络设备的方法实施例2流程图；

图4为一种识别恶意网络设备的装置实施例1结构图；

图5为一种识别恶意网络设备的装置实施例2结构图。

具体实施方式

本申请为一种识别恶意网络设备的方法、装置和系统，其主要申请思想是通过获取当前访问设备的多个属性，根据当前属性集合、风险设备标识符和风险级别计算规则计算其风险级别，以提高识别恶意的网络设备的准确率。

本申请主要应用于网络安全领域，用于有效的识别恶意网络设备的访问，识别网络欺诈行为，包括识别网络恐吓、网络入侵、垃圾信息、病毒入侵、DOS攻击、网络敲诈和网络钓鱼等。

本申请所提供的方法包括：获取当前访问设备的多个属性，以及多个历史访问设备的属性集合和历史访问设备标识符，将所述当前访问设备的多个属性作为当前属性集合，将每个历史访问设备的属性集合作为一个历史属性集合；计算当前属性集合与每一个历史属性集合的匹配度；根据匹配度和历史访问设备标识符确定当前属性集合对应的风险设备标识符；根据当前属性集合、风险设备标识符和风险级别计算规则计算当前访问设备的风险级别，用来识别所述当前访问设备是否为恶意网络设备。

本申请所提供的装置包括：属性收集模块，用于获取当前访问设备的多个属性发送到所述属性匹配模块；属性匹配模块，用于获取多个历史访问设备的属性集合和历史访问设备标识符，将所述当前访问设备的多个属性作为当前属性集合，将每个历史访问设备的属性集合作为一个历史属性集合，计算当前属性集合与每一个历史属性集合的匹配度，根据匹配度和所述历史访问设备标识符确定当前属性集合对应的风险设备标识符；风险识别模块，用于根据当前属性集合、风险设备标识符和风险级别计算规则计算当前访问设备的风险级别，以识别所述访问设备是否为恶意设备。

下面结合附图进行详细说明。

参考图2所示，本申请一种识别恶意网络设备的方法实施例1的流程图，所述方法包括以下步骤：

步骤201：获取当前访问设备的多个属性，以及多个历史访问设备的属性集合和历史访问设备标识符，将所述当前访问设备的多个属性作为当前属性集合，将每个历史访问设备的属性集合作为一个历史属性集合，其中，所述属性集合包括访问设备的浏览器属性、操作系统属性、网络连接属性、地理位置属性和TCP协议属性中的多个组合。

本申请实施例中所提到的当前访问设备的多个属性包括：多个客户端属性和/或多个服务端属性，其中客户端属性包括浏览器属性、通过浏览器获得的操作系统属性；服务端属性包括地理位置属性、网络连接属性、TCP协议属性和根据TCP协议属性获得的操作系统属性。

其中，每个历史访问设备的属性集合对应一个历史访问设备标识符，将每一个历史访问设备的属性集合作为一个历史属性集合。每一个历史属性集合与当前属性集合所含的属性相同。

步骤202：计算当前属性集合与每一个历史属性集合的匹配度。

本步骤中，将当前属性集合与每一个历史属性集合进行匹配，计算两个属性集合的匹配度，匹配度的大小标志着当前属性集合与历史属性集合的匹配结果。匹配度越大，表示当前属性集合越类似于与其进行匹配的历史属性集合。

步骤203：根据匹配度和所述历史访问设备标识符确定当前属性集合对应的风险设备标识符。

本步骤中匹配度大于预先设置的第一阈值才满足要求，其中第一阈值根据实际情况设定，根据具体应用环境可进行调整。

根据满足要求的匹配度确定与当前属性集合对应的历史访问设备标识符，将所述历史访问设备标识符作为风险设备标识符；若匹配度小于第一阈值，不满足要求，则生成一个当前访问设备标识符对应于当前属性集合作为风险设备标识符。其中，所述标识符为一个随机生成的64位的字符串。

步骤204：根据当前属性集合、风险设备标识符和风险级别计算规则计算当前访问设备的风险级别，以识别所述访问设备是否为恶意网络设备。

本步骤中风险级别计算规则为计算当前访问设备的风险级别的依据，每个规则的内容不同，规则的内容与属性和风险识别标识符有关，需要逐个判定，一共有三十多个风险级别计算规则。

风险级别用于识别当前访问设备是否为恶意的网络设备，通常将风险级别自定义分成几个区间，根据风险级别所属的区间对当前访问设备进行相应的处理。当前访问设备的风险级别一般定义三个区间：0-100，风险级别比较低，可以允许访问；100-200，风险级别比较高，需要进行人工审核；大于200，风险级别很高，直接拒绝访问。风险级别的区间是可以根据实际情况自行定义并且不断调整优化的。

可见，本申请有如下有益效果：

获取当前访问设备的多个属性，以及多个历史访问设备的属性集合和历史访问设备标识符，将所述当前访问设备的多个属性作为当前属性集合，将每个历史访问设备的属性集合作为一个历史属性集合，计算当前属性集合与每一个历史属性集合的匹配度，根据匹配度和历史访问设备标识符确定当前属性集合对应的风险设备标识符，根据当前属性集合、风险设备标识符和风险级别计算规则计算当前访问设备的风险级别，用来识别所述当前访问设备是否为恶意网络设备，其中，所述风险设备标识符与大多数所述风险级别计算规则有关，增加了风险级别计算规则的种类，也就是说，增加了判断恶意网络设备的依据，通过更多的风险级别规则进行识别判断恶意网络设备，提高了对恶意网络设备的识别率。

参考图3所示，本申请一种识别恶意网络设备的方法实施例2的流程图，所述方法包括以下步骤：

步骤301：获取当前访问设备的多个客户端属性。

收到当前访问设备发送的访问请求后，根据访问请求获取当前访问设备的多个客户端属性，所述客户端属性包括：浏览器属性、通过浏览器获得的操作系统属性。

步骤302：获取当前访问设备的多个服务端属性，将当前访问设备的多个属性作为当前属性集合。

其中，所述服务端为本申请所提供的识别恶意网络设备的系统。

根据客户端HTTP请求获得IP地址、访问端口信息和网络连接属性；根据IP地址获取地理位置信息，所述地理位置信息包括国家、地区和经纬度；根据IP地址和访问端口信息，发送TCP侦测信息到客户端，获得TCP响应后，并根据TCP协议获取更多的操作系统属性。

将获取的当前访问设备的多个客户端属性和多个服务端属性作为当前属性集合。

步骤303：获取多个历史访问设备的属性集合和历史访问设备标识符，将每一个历史访问设备的属性集合作为一个历史属性集合。

根据发送的调用信息获取历史访问设备的属性集合和历史访问设备标识符。调用信息可以是全部调用信息，调用所有存储的历史属性集合和历史访问设备标识符；也可以是有查询条件的调用信息，已知当前访问设备的某些属性，缩小查询范围，调用符合查询条件的历史属性集合。

每一个历史属性集合对应一个历史访问设备标识符，历史属性集合与当前属性集合所包含的属性种类相同，包括历史访问设备的浏览器属性、操作系统属性、网络连接属性、地理位置属性和TCP协议属性中的多个组合。

步骤304：计算当前属性集合与每一个历史属性集合的匹配度。

根据步骤301和302中获取的当前属性集合与每一个历史属性集合进行匹配，按照下述方式计算匹配度。根据获取得到的多个当前访问设备的属性进行匹配，提高了匹配的准确度。

具体的，在本实施例中，步骤304采用如下方式实现：

步骤A1：获取当前属性集合中的第i个属性的值作为a_i，获取某一历史属性集合中的第i个属性的值作为b_i，第i个属性的权重为c_i，判断a_i与bi是否相等；如果是，则进入步骤A2，如果否，则进入步骤A3；

步骤A2：确定第i个属性的匹配值d_i为1；

步骤A3：确定第i个属性的匹配值d_i为0；

步骤A4：按照公式（1）计算当前属性集合与任一历史属性集合的匹配度n为：

$n=\frac{\underset{i=1}{\overset{i=m}{\mathrm{\Σ}}}{c}_i{d}_i}{\underset{i=1}{\overset{i=m}{\mathrm{\Σ}}}{c}_i}---\left(1\right)$

其中，i的取值为1至m的自然数，m为所述属性集合中属性的个数。

将当前属性集合与每一个历史属性集合进行匹配，根据属性集合中的属性的值计算两个属性的匹配度。

为了方便理解，下面举例详细说明匹配度的算法：

属性集合中有多个不同的属性，根据访问设备不同，每个属性的值可能相同可能不同；根据实际情况自定义设置每一个属性的权重，对于不同的访问设备，同一属性的权重不变，如表1举例所示。

表1属性、属性的值和属性的权重

属性	属性值	权重
			OS_version	Win7	7
Time Zone	GMT+8	4
			IP	120.0.1.194	3

根据表2所示的当前属性集合和历史属性集合中的参数计算所示两个属性集合的匹配度。

表2当前属性集合和历史属性集合参数

则当前属性集合和历史属性集合匹配度计算可以采用如下所示的公式（2）：

$n=\frac{1\×5+0\×8+1\×10+1\×8+1\×1+1\×2+1\×3+1\×4+1\×20+0\×5}{5+8+10+8+1+2+3+4+5+20}$

$=\frac{53}{66}---\left(2\right)$

$=0.8$

则本例中的当前属性集合与历史属性集合的匹配度为0.8。

步骤305：获取与当前访问设备最高的匹配度，判断所述匹配度是否大于预先设置的第一阈值；如果是，执行步骤306；如果否，执行步骤307。

当前属性集合与每一个历史属性集合匹配，得到多个匹配度，获取最高的匹配度，判断此匹配度是否大于第一阈值。第一阈值是根据实际情况预先设定的，规定：匹配度大于第一阈值，则满足预先设定的要求；匹配度小于第一阈值，则不满足要求。

步骤306：将所述最高的匹配度对应的历史属性集合作为风险属性集合，获取所述风险属性集合对应的历史访问设备标识符，作为与当前属性集合对应的风险设备标识符。

如果最高的匹配度大于第一阈值，则最高的匹配度对应的历史属性集合作为风险属性集合，获取所述风险属性集合对应的历史访问设备标识符，作为与当前属性集合对应的风险设备标识符。

步骤307：生成一个不同于所述历史访问设备标识符的当前属性集合对应的当前访问设备标识符作为风险设备标识符。

如果最高的匹配度小于第一阈值，则所有匹配度都不满足要求，则生成一个与历史访问设备标识符不同的当前设备标识符作为当前访问设备的风险设备标识符。

步骤308：存储当前属性集合和风险设备标识符的对应关系。

当前属性集合与风险设备标识符对应，存储其对应关系方便以后查询。

步骤309：根据当前属性集合、风险设备标识符和风险级别计算规则计算当前访问设备的风险级别，以识别所述访问设备是否为恶意网络设备。

其中，所述风险设备标识符与大多数的风险级别计算规则有关，增加了风险级别计算规则的种类。风险设备标识符与属性集合中属性的历史数据对应，判断与风险设备标识符有关的风险级别计算规则是否命中时，需要根据所述风险级别计算规则中具体的规则内容调用风险设备标识符对应的历史数据，根据历史数据的具体内容，判断所述风险级别计算规则是否命中，根据所述命中的风险级别计算规则计算风险级别。

具体的，在本实施例中，步骤309采用如下方式实现：

步骤B1：根据每一个风险级别计算规则的内容，获取命中的风险级别规则，根据所述命中的风险级别规则计算当前访问设备的风险级别，其中，所述命中的风险级别规则为与当前属性集合中的属性的值和/或风险设备标识符匹配的风险级别计算规则；

步骤B2：获取第j个命中的风险级别规则的权重作为x_j，风险值为y_j；

步骤B3：按照公式（3）计算命中s个风险级别规则的当前访问设备的风险级别z为：

$z=\underset{j=1}{\overset{j=s}{\mathrm{\Σ}}}{x}_j{y}_j,---\left(3\right)$

其中j为1至s的自然数，s为当前访问设备命中风险级别规则的个数。

为了方便理解，下面举例详细说明风险级别的算法：

根据表3中所列举的风险级别规则进行风险级别的计算，所述风险级别计算规则是在规则引擎中预先设置的，可以设置三十多种或更多的风险级别规则，这里只列举其中的几种。每一种风险级别规则有特定的权重和危险系数，可根据实际情况自定义，也可以根据应用环境不同优化和更改。

表3风险级别规则

对于第一个风险级别规则，获取当前访问设备的属性信息，如果当前访问设备使用了代理服务器，则该规则命中；如果没有使用代理服务器，则没有命中。

第二个风险级别规则，根据当前访问设备的风险设备标识符调用上次访问设备系统的历史字体种类数，与当前访问设备系统的当前字体种数比较，如果字体种类数不相同，则该规则命中；如果字体长度相同，则没有命中。

第三个风险级别规则，根据当前访问设备的风险标识符调用当前IP地址的历史数据，如果IP地址在过去1小时内访问的次数大于100，则该规则命中；如果小于100，则没有命中。

第四个风险级别规则，根据当前访问设备属性信息，如果与网站账号关联的设备数大于20，则该规则命中；如果小于20，则没有命中。

对每一个风险级别规则进行上述判定，判断所述风险级别规则是否命中。

如果四个风险级别规则都命中，则风险级别计算可以采用如下所示的公式（4）：

z＝1×10+2×40+1×60+50×2（4）

＝250

当前访问设备的风险级别一般定义三个区间：0-100，风险级别比较低，可以允许访问；100-200，风险级别比较高，需要进行人工审核；大于200，风险级别很高，直接拒绝访问。风险级别的区间是可以根据实际情况自行定义并且不断调整优化的。

则，此时风险级别为250，则当前访问设备风险级别很高，直接拒绝访问。

步骤310：存储当前访问设备的风险级别和风险设备标识符的对应关系。

风险级别和风险设备标识符对应，存储其对应关系，方便以后查询。

与上述本申请一种识别恶意网络设备的方法实施例1所提供的方法相对应，参见图4，本申请还提供了一种识别恶意网络设备的装置实施例1，在本实施例中，该装置包括：

属性收集模块401、属性匹配模块402和风险识别模块403。

所述属性收集模块401，用于获取当前访问设备的多个属性作为当前属性集合发送到所述属性匹配模块。

属性收集模块根据当前访问设备的访问请求获取多个属性，包括客户端属性和服务端属性。

所述属性匹配模块402，用于获取多个历史访问设备的属性集合和历史访问设备标识符，将所述当前访问设备的多个属性作为当前属性集合，将每个历史访问设备的属性集合作为一个历史属性集合，其中，所述属性集合包括访问设备的浏览器属性、操作系统属性、网络连接属性、地理位置属性和TCP协议属性中的多个组合，计算当前属性集合与每一个历史属性集合的匹配度，根据匹配度和所述历史访问设备标识符确定当前属性集合对应的风险设备标识符。

属性匹配模块用于将当前属性集合和历史属性集合的匹配，计算匹配度，并缺点当前属性集合的风险设备标识符。

所述风险识别模块403，用于根据当前属性集合、风险设备标识符和风险级别计算规则计算当前访问设备的风险级别，以识别所述当前访问设备是否为恶意设备。

风险识别模块中有多个风险级别计算规则，每个规则内容不同。根据所计算出的风险级别，识别当前访问设备是否为恶意设备，进行相应的处理。

参见图5，本申请还提供了一种识别恶意网络设备的装置实施例2，在本实施例中，该装置包括：

客户端属性收集模块501，用于获取当前访问设备的多个客户端属性，将客户端属性发送到服务端属性收集模块502。

服务端属性收集模块502，用于根据客户端属性获取当前访问设备的多个服务端属性，并将多个客户端属性和多个服务端属性作为当前属性集合发送到属性匹配模块503。

属性匹配模块503，用于获取历史访问设备的属性集合和历史属性标识符，将每一个历史访问设备的属性集合作为一个历史属性集合；计算当前属性集合与每一个历史属性集合的匹配度；获取与当前访问设备最高的匹配度，判断所述匹配度是否大于预先设置的第一阈值，如果是，将所述最高的匹配度对应的历史属性集合作为风险属性集合，获取所述风险属性集合对应的历史访问设备标识符，作为与当前属性集合对应的风险设备标识符，如果否，生成一个不同于所述历史访问设备标识符的当前属性集合对应的当前设备标识符作为风险设备标识符，将所得的当前属性集合和对应的风险设备标识符发送到属性存储模块存储，并发送到风险识别模块506计算风险级别。

属性查询模块504，用于从属性存储模块505调用多个历史访问设备的属性集合和历史访问设备标识符发送到属性匹配模块503。

属性存储模块505，用于存储历史访问设备的属性集合以及历史访问设备标识符。

风险识别模块506，用于根据当前属性集合、风险设备标识符和风险级别计算规则计算当前访问设备的风险级别，以识别所述当前访问设备是否为恶意设备，将风险级别和风险设备标识符发送到风险分析存储模块507。

风险分析存储模块507，用于从所述风险识别模块获取当前访问设备的风险级别与风险设备标识符对应存储。

一种识别恶意网络设备的方法，包括上述装置任意一种。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims (11)

1.一种识别恶意网络设备的方法，其特征在于，该方法包括步骤：

获取当前访问设备的多个属性，以及多个历史访问设备的属性集合和历史访问设备标识符，将所述当前访问设备的多个属性作为当前属性集合，将每个历史访问设备的属性集合作为一个历史属性集合，其中，所述属性集合包括访问设备的浏览器属性、操作系统属性、网络连接属性、地理位置属性和TCP协议属性中的多个组合；

计算当前属性集合与每一个历史属性集合的匹配度；

根据匹配度和所述历史访问设备标识符确定当前属性集合对应的风险设备标识符；

根据当前属性集合、风险设备标识符和风险级别计算规则计算当前访问设备的风险级别，以识别所述访问设备是否为恶意网络设备。

2.根据权利要求1所述的方法，其特征在于，所述计算当前属性集合与每一个历史属性集合的匹配度具体包括：

获取当前属性集合中的第i个属性的值作为a_i，任一历史属性集合中的第i个属性的值作为b_i，第i个属性的权重为c_i，判断a_i与b_i是否相等；

如果是，则确定第i个属性的匹配值d_i为1；

如果否，则确定第i个属性的匹配值d_i为0；

则按照下述公式计算当前属性集合与任一历史属性集合的匹配度n为：

$n=\frac{\underset{i=1}{\overset{i=m}{\Σ}}{c}_i{d}_i}{\underset{i=1}{\overset{i=m}{\Σ}}{c}_i}$

其中，i的取值为1至m的自然数，m为所述属性集合中属性的个数。

3.根据权利要求1所述的方法，其特征在于，所述根据匹配度和所述历史访问设备标识符确定当前属性集合对应的风险设备标识符具体包括：

获取与当前访问设备最高的匹配度，判断所述匹配度是否大于预先设置的第一阈值；

如果是，将所述最高的匹配度对应的历史属性集合作为风险属性集合，获取所述风险属性集合对应的历史访问设备标识符，作为与当前属性集合对应的风险设备标识符；

如果否，生成一个不同于所述历史访问设备标识符的当前属性集合对应的当前访问设备标识符作为风险设备标识符。

4.根据权利要求1所述的方法，其特征在于，所述根据当前属性集合、风险设备标识符和多个风险级别计算规则计算当前访问设备的风险级别具体包括：

根据每一个风险级别计算规则的内容，获取命中的风险级别规则，根据所述命中的风险级别规则计算当前访问设备的风险级别，其中，所述命中的风险级别规则为与当前属性集合中的属性的值和/或风险设备标识符匹配的风险级别计算规则；

获取第j个命中的风险级别规则的权重作为x_j，风险值为y_j，则按照下述公式对命中s个风险级别规则的当前访问设备的风险级别z计算如下：

$z=\underset{j=1}{\overset{j=s}{\Σ}}{x}_j{y}_j,$

其中j为1至s的自然数，s为当前访问设备命中风险级别规则的个数。

5.根据权利要求1-4任意一项所述的方法，其特征在于，所述根据当前属性集合、风险设备标识符和风险级别计算规则计算当前访问设备的风险级别后进一步包括：

获取计算得到的风险级别与风险设备标识符对应存储。

6.根据权利要求1-4任意一项所述的方法，其特征在于，所述获取当前访问设备的多个属性具体包括：

获取当前访问设备的多个客户端属性；

根据客户端属性获取当前访问设备的多个服务端属性。

7.一种识别恶意网络设备的装置，其特征在于，该装置包括：

属性收集模块、属性匹配模块和风险识别模块；

所述属性收集模块，用于获取当前访问设备的多个属性作为当前属性集合发送到所述属性匹配模块；

所述属性匹配模块，用于获取多个历史访问设备的属性集合和历史访问设备标识符，将所述当前访问设备的多个属性作为当前属性集合，将每个历史访问设备的属性集合作为一个历史属性集合，其中，所述属性集合包括访问设备的浏览器属性、操作系统属性、网络连接属性、地理位置属性和TCP协议属性中的多个组合，计算当前属性集合与每一个历史属性集合的匹配度，根据匹配度和所述历史访问设备标识符确定当前属性集合对应的风险设备标识符；

所述风险识别模块，用于根据当前属性集合、风险设备标识符和风险级别计算规则计算当前访问设备的风险级别，以识别所述当前访问设备是否为恶意设备。

8.根据权利要求7所述的装置，其特征在于，所述属性收集模块具体包括：

客户端属性收集模块，用于收集当前访问设备的多个客户端属性发送给属性服务端收集模块；

服务端属性收集模块，用于收集当前访问设备的多个服务端属性。

9.根据权利要求7所述的装置，其特征在于，该装置进一步包括：

属性查询模块和属性存储模块；

所述属性查询模块，用于从所述属性存储模块调用多个历史访问设备的属性集合和历史访问设备标识符发送到属性匹配模块；

所述属性存储模块，用于存储历史访问设备的属性集合以及历史访问设备标识符。

10.根据权利要求7所述的装置，其特征在于，该装置进一步包括：

风险分析存储模块，用于从所述风险识别模块获取当前访问设备的风险级别与风险设备标识符对应存储。

11.一种识别恶意网络设备的系统，其特征在于，该系统包括7-10任意一项所述的装置。