CN104506356A - 一种确定ip地址信誉度的方法和装置 - Google Patents
一种确定ip地址信誉度的方法和装置 Download PDFInfo
- Publication number
- CN104506356A CN104506356A CN201410821098.7A CN201410821098A CN104506356A CN 104506356 A CN104506356 A CN 104506356A CN 201410821098 A CN201410821098 A CN 201410821098A CN 104506356 A CN104506356 A CN 104506356A
- Authority
- CN
- China
- Prior art keywords
- characteristic item
- address
- item list
- weighted value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本发明的一个实施方式提供了一种确定IP地址信誉度的方法。该方法包括:响应于确定IP地址信誉度的触发指令,获取预设时间段内的邮箱系统日志文件、特征项列表以及所述特征项列表中每个特征项对应的权重值;根据所述邮箱系统日志文件统计IP地址对应的所述特征项列表中每个特征项的数值;根据所述IP地址对应的所述特征项列表中每个特征项的数值以及所述特征项列表中每个特征项对应的权重值,确定所述IP地址对应的信誉度。本发明的方法使得确定的IP地址信誉度更加准确,并且降低了计算量、缩小了时间开销以及运维成本。此外,本发明的另一个实施方式提供了一种确定IP地址信誉度的装置。
Description
技术领域
本发明的实施方式涉及互联网技术领域,更具体地,本发明的实施方式涉及一种确定IP(Internet Protocol,互联网协议)地址信誉度的方法和装置。
背景技术
本部分旨在为权利要求书中陈述的本发明的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
电子邮件,是用电子手段提供信息交换的通信方式,是互联网应用中使用广泛的服务之一。电子邮件在被投递到邮箱系统时发件IP地址是真实可靠、无法伪造的。因此,可以利用IP地址建立信誉度系统,信誉度系统的目的是对发信方进行良好程度评估,并量化评估结果。
现有技术中,对于中小型邮箱系统,通常采用单一方式确定IP地址信誉度,例如由系统管理员人为地对曾经发送过垃圾邮件的IP地址进行信誉度赋值;而对于大型邮箱系统,通常选用机器学习、人工智能算法等方式确定IP地址信誉度。
发明内容
但是,现有技术中当使用单一方式确定IP地址信誉度,所得到的IP地址信誉度没有说服力,如果利用此IP地址信誉度进行邮件的过滤,很可能会造成误判和漏判;当使用机器学习、人工智能算法确定IP地址信誉度,计算量巨大,需要较大的时间开销以及运维成本。
因此,在现有技术中,如何确定IP地址信誉度,这是非常令人烦恼的过程。
为此,非常需要一种改进的确定IP地址信誉度的方案,以使确定IP地址信誉度快速、有效。
在本上下文中,本发明的实施方式期望提供一种确定IP地址信誉度的方法及装置。
在本发明实施方式的第一方面中,提供了一种确定IP地址信誉度的方法,例如,该方法可以包括:响应于确定IP地址信誉度的触发指令,获取预设时间段内的邮箱系统日志文件、特征项列表以及所述特征项列表中每个特征项对应的权重值;根据所述邮箱系统日志文件统计IP地址对应的所述特征项列表中每个特征项的数值;根据所述IP地址对应的所述特征项列表中每个特征项的数值以及所述特征项列表中每个特征项对应的权重值,确定所述IP地址对应的信誉度。
在本发明实施方式的第二方面中,提供了一种确定IP地址信誉度的装置,包括:获取单元,用于响应于确定IP地址信誉度的触发指令,获取预设时间段内的邮箱系统日志文件、特征项列表以及所述特征项列表中每个特征项对应的权重值;统计单元,用于根据所述邮箱系统日志文件,统计IP地址对应的所述特征项列表中每个特征项的数值;确定单元,用于根据所述IP地址对应的所述特征项列表中每个特征项的数值以及所述特征项列表中每个特征项对应的权重值,确定所述IP地址对应的信誉度。
根据本发明实施方式的确定IP地址信誉度的方法和装置,可以利用IP地址对应的多个特征项的数值以及各个特征项的权重值,确定所述IP地址对应的信誉度,使用有代表性且数量丰富的特征项,可以使计算结果更具说服力,不同特征项对应于不同权重,可以使计算结果更符合实际情况,提高了IP地址信誉度的准确性。同时,在确定IP地址信誉度的过程中均使用简单运算而无需使用机器学习或智能算法等复杂运算,从而显著地降低了计算量、缩小了时间开销以及运维成本。
附图说明
通过参考附图阅读下文的详细描述,本发明示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中,以示例性而非限制性的方式示出了本发明的若干实施方式,其中:
图1示意性地示出了根据本发明实施方式的一个示例性应用场景的框架示意图;
图2示意性地示出了本发明实施方式的确定IP地址信誉度的方法一实施例的流程图;
图3示意性地示出了本发明实施例中根据特征项数值及权重值确定IP地址信誉度的一实施方式的流程图;
图4示意性地示出了本发明实施例中根据特征项数值及权重值确定IP地址信誉度的另一实施方式的流程图;
图5示意性地示出了本发明实施方式的确定IP地址信誉度的装置一实施例的结构图。
在附图中,相同或对应的标号表示相同或对应的部分。
具体实施方式
下面将参考若干示例性实施方式来描述本发明的原理和精神。应当理解,给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明,而并非以任何方式限制本发明的范围。相反,提供这些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。
本领域技术人员知道,本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此,本公开可以具体实现为以下形式,即:完全的硬件、完全的软件(包括固件、驻留软件、微代码等),或者硬件和软件结合的形式。
根据本发明的实施方式,提出了一种确定IP地址信誉度的方法和装置。
在本文中,需要理解的是,附图中的任何元素数量均用于示例而非限制,以及任何命名都仅用于区分,而不具有任何限制含义。
下面参考本发明的若干代表性实施方式,详细阐释本发明的原理和精神。
发明概述
本发明人发现,现有技术中确定IP地址信誉度的方式,一方面仅由单一判断条件确定IP地址信誉度准确率不高,依照此IP地址信誉度进行邮件的过滤,很可能会造成误判和漏判,效果不理想;另一方面,使用复杂的算法例如机器学习、人工智能算法等方式确定IP地址信誉度,通常学习规则等方面设计过于繁冗,确定IP地址信誉度的过程需要付出巨大计算量、较大时间开销以及运维成本。
针对以上问题,发明人通过长期对大型邮箱系统中海量数据进行分析后发现,可以选取多个对IP地址信誉度有影响的特征项,特性项又可以区分为善意特征项和恶意特征项,且不同特征项对IP地址信誉度的影响程度不同,即各个特征项可以对应于不同的权重值,这样,根据从邮箱系统日志文件中统计的每个IP地址对应的各个特征项的数值以及获取的各个特征项的权重值,可以确定IP地址信誉度。由于使用有代表性且数量丰富的特征项,且各个特征项具有不同的权重值,这样通过各个特征性的数值以及权重值确定的IP地址信誉度更符合实际情况,因此,提高了IP地址信誉度的准确性,同时,在确定IP地址信誉度的过程中均使用简单运算,从而显著地降低了计算量、缩小了时间开销以及运维成本。
在介绍了本发明的基本原理之后,下面具体介绍本发明的各种非限制性实施方式。
应用场景总览
首先参考图1,图1是本发明的实施方式的一个示例性应用场景的框架示意图。其中,用户通过用户设备上的客户端102与提供邮箱服务的服务器101进行交互。本领域技术人员可以理解,图1所示的框架示意图仅是本发明的实施方式可以在其中得以实现的一个示例。本发明实施方式的适用范围不受到该框架任何方面的限制。
需要注意的是,此处的用户设备可以是现有的、正在研发的或将来研发的、能够通过任何形式的有线和/或无线连接(例如,Wi-Fi、LAN、蜂窝、同轴电缆等)实现其上客户端102与服务器101交互的任何用户设备,包括但不限于:现有的、正在研发的或将来研发的智能手机、非智能手机、平板电脑、膝上型个人计算机、桌面型个人计算机、小型计算机、中型计算机、大型计算机等。
还需要注意的是,此处的服务器101仅是现有的、正在研发的或将来研发的、能够向用户提供邮箱服务的设备的一个示例。本发明的实施方式在此方面不受任何限制。
基于图1所示的框架,服务器101可以响应于确定IP地址信誉度的触发指令,获取预设时间段内的邮箱系统日志文件、特征项列表以及特征项列表中每个特征项对应的权重值;并根据邮箱系统日志文件统计IP地址对应的特征项列表中每个特征项的数值;然后,服务器101可以根据IP地址对应的特征项列表中每个特征项的数值以及特征项列表中每个特征项对应的权重值,确定IP地址对应的信誉度。
可以理解的是,本发明的应用场景中,虽然此处和下面将本发明实施方式的动作描述为由服务器101执行,但是这些动作也可以部分由客户端102执行、部分由服务器101执行,或者完全由客户端102执行。本发明在执行主体方面不受限制,只要执行了本发明实施方式所公开的动作即可。
示例性方法
下面结合图1的应用场景,参考图2-4来描述根据本发明示例性实施方式的用于确定IP地址信誉度的方法。需要注意的是,上述应用场景仅是为了便于理解本发明的精神和原理而示出,本发明的实施方式在此方面不受任何限制。相反,本发明的实施方式可以应用于适用的任何场景。
参见图2,示出了本发明中确定IP地址信誉度的方法一实施例的流程图,例如具体可以包括如下步骤:
步骤201、响应于确定IP地址信誉度的触发指令,获取预设时间段内的邮箱系统日志文件、特征项列表以及所述特征项列表中每个特征项对应的权重值。
确定IP地址信誉度的触发指令可以由服务器定时自动发送也可以由人为触发发送,例如,可以设置每天零点定时自动发送确定IP地址信誉度的触发指令或者在需要进行确定IP地址信誉度操作时人为触发确定IP地址信誉度的触发指令。服务器响应于该确定IP地址信誉度的触发指令开始执行确定IP地址信誉度的操作。
获取预设时间段内的邮箱系统日志文件,其中,预设时间段为IP地址信誉度的考察期,可以根据实际应用情况灵活设置,例如设置为30天,对于预设时间段的时间长度本发明并不进行限定。在预设时间段内发送邮件所使用IP地址的各项记录可以作为确定IP地址信誉度的数据基础,而发送邮件所使用IP地址的各项记录可以记录在邮箱系统日志文件中。
特征项列表中包括多个特征项,特征项可以表示IP地址在某个评估条件上的表现,是一个可以具体量化的参数。
例如,在一些可能的实施方式中,所述特征项列表中包括善意特征项和恶意特征项两大类。其中,所述善意特征项可以包括正常邮件发送量、邮件被标记为正常邮件的次数、非伪造邮件的次数、有合法指针记录PTR的次数中的一项或多项;所述恶意特征项可以包括垃圾邮件发送量、邮件被举报为垃圾邮件的次数、非系统邮件的动态发件人邮箱个数、非系统邮件的动态发件人域名个数、明确伪造邮件的次数、可疑伪造邮件的次数、被加入实时黑名单RBL的标记、域名邮件交换MX记录不存在的标记、连接频率超过阈值的标记、发送病毒邮件的次数中的一项或多项。
以下分别对各个特征项进行说明。
邮箱系统会对接收到的邮件进行正常邮件、垃圾邮件或是病毒邮件的判断。这样,可以有善意特征项正常邮件发送量代表发送邮件所使用IP地址对应的正常邮件发送量,而恶意特征项垃圾邮件发送量代表发送邮件所使用IP地址对应的垃圾邮件发送量,恶意特征项发送病毒邮件的次数则代表发送邮件所使用IP地址对应的病毒邮件发送量。
邮箱系统在进行正常邮件或是垃圾邮件的判断时,可能会出现误判,用户可以对正常邮件或是垃圾邮件的判断进行修订,例如由垃圾邮件标记为正常邮件或者由正常邮件标记为垃圾邮件。这样,可以有善意特征项邮件被标记为正常邮件的次数代表使用某一IP地址发送的邮件由垃圾邮件被标记为正常邮件的次数,而恶意特征项邮件被举报为垃圾邮件的次数则代表使用某一IP地址发送的邮件由正常邮件被标记为垃圾邮件的次数。
对于非系统邮件,如果同一IP地址所使用的发件人邮箱以及所使用的发件邮箱域名过多则可以认为存在恶意的可能。这样,可以有恶意特征项非系统邮件的动态发件人邮箱个数、非系统邮件的动态发件人域名个数对某一IP地址所使用的发件人邮箱个数、发件人域名个数进行记录。
SPF(Sender Policy Framework,发件人策略架构)记录,可用于确定允许哪些IP地址代表某个域名去发送电子邮件,是一项识别伪造邮件的技术。利用SPF记录可以确定IP地址对应的明确伪造邮件的次数(即SPFHardFail次数)、可疑伪造邮件的次数(即SPF SoftFail次数)以及非伪造邮件的次数(即SPF Pass次数),其中,明确伪造邮件的次数、可疑伪造邮件的次数为恶意特征项,非伪造邮件的次数为善意特征项。
PTR(Pointer Recore,指针记录)用于记录IP地址的反向域名解析,即将一个IP地址解析为一个域名,通常用于邮件来源IP地址的合法性的检查。这样,可以有善意特征项有合法PTR的次数代表发送邮件所使用IP地址的对应有合法PTR的次数。
RBL(Realtime Blackhole List,实时黑名单),国际性上有一些主流的RBL服务商会对外开放黑名单查询服务,如果IP地址被加入实时黑名单RBL,则表示这个IP地址近期存在恶意的发送垃圾邮件的行为。这样,可以有恶意特征项被加入RBL的标记,取值可以为0或1,0代表IP地址没有被加入RBL,1代表IP地址被加入RBL。
MX(Mail Exchanger,邮件交换)记录它指向一个邮件服务器,用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。即域名具有收信功能就存在MX记录,如果域名没有MX记录则该域名只具有发信功能而不具有收信功能,很可能是存在恶意的域名。这样,可以有恶意特征项域名MX记录不存在的标记,取值可以为0或1,0代表域名MX记录存在,1代表域名MX记录不存在。
对发送邮件所使用IP地址与邮箱服务器之间的连接频率有阈值限制,连接频率过高则发送邮件所使用IP地址可能存在恶意。这样,可以有恶意特征项连接频率超过阈值的标记,取值可以为0或1,0代表连接频率未超过阈值,1代表连接频率超过阈值。
又例如,在一些可能的实施方式中,所述特征项对应的权重值由所述特征项的贡献度确定。每个特征项在参与IP地址信誉度计算时贡献度是不同的,因此为每一个特征项赋予一个权重值再参与IP地址信誉度计算,可以使计算结果更符合实际预期。权重值取值可以是正整数、负整数或零,各个特征项的权重值取值可以根据经验数据取值,也可以利用智能算法例如遗传算法确定,对于确定权重值的方式并不进行限定。
下表为特征项列表以及特征项列表中每个特征项对应的权重值的示例,需要注意的是,表中权重值仅为示例,而不对权重值的取值进行限定。
特征项 | 分类 | 权重值 |
正常邮件发送量 | 良好 | 1 |
垃圾邮件发送量 | 恶意 | 2 |
邮件被标记为正常邮件的次数 | 良好 | 4 |
邮件被举报为垃圾邮件的次数 | 恶意 | 2 |
非系统邮件的动态发件人邮箱个数 | 恶意 | 1 |
非系统邮件的动态发件人域名个数 | 恶意 | 1 |
明确伪造邮件的次数 | 恶意 | 2 |
可疑伪造邮件的次数 | 恶意 | 1 |
非伪造邮件的次数 | 良好 | 1 |
有合法PTR的次数 | 良好 | 1 |
被加入实时黑名单RBL的标记 | 恶意 | 3 |
域名MX记录不存在的标记 | 恶意 | 2 |
连接频率超过阈值的标记 | 恶意 | 1 |
发送病毒邮件的次数 | 恶意 | 3 |
步骤202、根据所述邮箱系统日志文件统计IP地址对应的所述特征项列表中每个特征项的数值。
根据邮箱系统日志文件可以将任一IP地址对应的每个特征项的具体数值统计出来,以用于后续对IP地址信誉度的计算。
步骤203、根据所述IP地址对应的所述特征项列表中每个特征项的数值以及所述特征项列表中每个特征项对应的权重值,确定所述IP地址对应的信誉度。
参见图3,本领域技术人员可以理解,其中步骤S203所述根据所述IP地址对应的所述特征项列表中每个特征项的数值以及所述特征项列表中每个特征项对应的权重值,确定所述IP地址对应的信誉度,具体实现可以包括:
步骤301、将所述IP地址对应的所述特征项列表中每个善意特征项的数值与相对应的权重值相乘之后求和,获得善意特征项贡献值。
即善意特征项贡献值GoodHit=x1*f1+x2*f2+...+xk*fk,其中,x1、x2、…、xk各个为善意特征项的数值,f1、f2、…、fk为各个善意特征项对应的权重值,k为善意特征项的个数。
而恶意特征项贡献值BadHit=y1*f1+y2*f2+...+yn*fn,其中,y1、y2、…、yn各个为恶意特征项的数值,f1、f2、…、fn为各个恶意特征项对应的权重值,n为恶意特征项的个数。
步骤302、将所述IP地址对应的每个特征项的数值与相对应的权重值相乘之后求和,获得总贡献值。
可以理解的是,总贡献值AllHit=GoodHit+BadHit。
步骤303、将所述善意特征项贡献值除以所述总贡献值的结果确定为所述IP地址对应的信誉度。
则IP地址对应的信誉度Reputation=GoodHit/AllHit,在实际应用中,IP地址信誉度的取值范围一般在[0,100]之间,则可以对前述计算得到的结果进行转换,即Reputation=100*GoodHit/AllHit,将修正后的数值作为IP地址对应的信誉度。在本实施例中,IP地址对应的信誉度为善意特征项贡献值与总贡献值的比值,可以理解的是,依照此计算方法IP地址信誉度,值越大则代表IP地址发送邮件质量越好、发件行为越规范。
参见图4,本领域技术人员可以理解,其中步骤S203所述根据所述IP地址对应的所述特征项列表中每个特征项的数值以及所述特征项列表中每个特征项对应的权重值,确定所述IP地址对应的信誉度,具体实现可以包括:
步骤401、将所述IP地址对应的所述特征项列表中每个恶意特征项的数值与相对应的权重值相乘之后求和,获得恶意特征项贡献值。
即恶意特征项贡献值BadHit=y1*f1+y2*f2+...+yn*fn,其中,y1、y2、…、yn各个为恶意特征项的数值,f1、f2、…、fn为各个恶意特征项对应的权重值,n为恶意特征项的个数。
而善意特征项贡献值GoodHit=x1*f1+x2*f2+...+xk*fk,其中,x1、x2、…、xk各个为善意特征项的数值,f1、f2、…、fk为各个善意特征项对应的权重值,k为善意特征项的个数。
步骤402、将所述IP地址对应的每个特征项的数值与相对应的权重值相乘之后求和,获得总贡献值。
可以理解的是,总贡献值AllHit=GoodHit+BadHit。
步骤403、将所述恶意特征项贡献值除以所述总贡献值的结果确定为所述IP地址对应的信誉度。
则IP地址对应的信誉度Reputation=BadHit/AllHit,在实际应用中,IP地址信誉度的取值范围一般在[0,100]之间,则可以对前述计算得到的结果进行转换,即Reputation=100*BadHit/AllHit,将修正后的数值作为IP地址对应的信誉度。在本实施例中,IP地址对应的信誉度为恶意特征项贡献值与总贡献值的比值,可以理解的是,依照此计算方法IP地址信誉度,值越小则代表IP地址发送邮件质量越好、发件行为越规范。
本发明方法实施例计算IP地址信誉度带有自愈机制,原因是每个特征项具有不同的权重值,每次重新计算IP地址信誉度均是对上一次计算IP地址信誉度结果的自动修正过程,即本发明方法实施例计算IP地址信誉度是可自动运作的、无监督(不需要管理员干预)的、具有自我修复错误能力。
IP地址信誉度可以对整个邮箱系统的外部IP地址的表现进行量化,掌握外部发信来源的良好程度,方便决策。例如,可以辅助反垃圾邮件系统,对于信誉度不符合预设范围的IP地址,可以采取更加严厉的反垃圾邮件力度。另外,通过计算IP地址信誉度可以掌握全球IP地址信誉度不符合预设范围的地区,通常是一些集中的僵尸网络或垃圾邮件群发源头,以便于帮助邮箱系统拦截垃圾邮件。
可见,通过本发明方法实施例的技术方案,可以利用IP地址对应的多个特征项的数值以及各个特征项的权重值,确定所述IP地址对应的信誉度。使用有代表性且数量丰富的特征项,可以使计算结果更具说服力,不同特征项对应于不同权重,可以使计算结果更符合实际情况,提高了IP地址信誉度的准确性。同时,在确定IP地址信誉度的过程中均使用简单运算而无需使用机器学习或智能算法等复杂运算,从而显著地降低了计算量、缩小了时间开销以及运维成本。
示例性设备
在介绍了本发明示例性实施方式的方法之后,接下来,参考图5对本发明示例性实施方式的、用于确定IP地址信誉度的装置进行介绍。
参见图5,示出了本发明中确定IP地址信誉度的装置一实施例的结构图,例如具体可以包括:
获取单元501,可以用于响应于确定IP地址信誉度的触发指令,获取预设时间段内的邮箱系统日志文件、特征项列表以及所述特征项列表中每个特征项对应的权重值。
可选的,在一些可能的实施方式中,所述特征项列表中包括善意特征项和恶意特征项;
所述善意特征项包括正常邮件发送量、邮件被标记为正常邮件的次数、非伪造邮件的次数、有合法指针记录PTR的次数中的一项或多项;
所述恶意特征项包括垃圾邮件发送量、邮件被举报为垃圾邮件的次数、非系统邮件的动态发件人邮箱个数、非系统邮件的动态域名个数、明确伪造邮件的次数、可疑伪造邮件的次数、被加入实时黑名单RBL的标记、域名邮件交换MX记录不存在的标记、连接频率超过阈值的标记、发送病毒邮件的次数中的一项或多项。
可选的,在一些可能的实施方式中,所述特征项列表中每个特征项对应的权重值可以由其贡献度确定。
统计单元502,可以用于根据预设时间段内的邮箱系统日志文件,统计IP地址对应的所述特征项列表中每个特征项的数值。
确定单元503,可以用于根据所述IP地址对应的所述特征项列表中每个特征项的数值以及所述特征项列表中每个特征项对应的权重值,确定所述IP地址对应的信誉度。
可选的,在一些可能的实施方式中,所述确定单元503可以包括:第一获得子单元5031、第二获得子单元5032以及确定子单元5033。
在一个实施方式中:
第一获得子单元5031,可以用于将所述IP地址对应的所述特征项列表中每个善意特征项的数值与相对应的权重值相乘之后求和,获得善意特征项贡献值。
第二获得子单元5032,可以用于将所述IP地址对应的所述特征项列表中每个特征项的数值与相对应的权重值相乘之后求和,获得总贡献值。
确定子单元5033,可以用于将所述善意特征项贡献值除以所述总贡献值的结果确定为所述IP地址对应的信誉度。
在另一个实施方式中:
第一获得子单元5031,可以用于将所述IP地址对应的所述特征项列表中每个恶意特征项的数值与相对应的权重值相乘之后求和,获得恶意特征项贡献值。
第二获得子单元5032,可以用于将所述IP地址对应的所述特征项列表中每个所述特征项的数值与相对应的权重值相乘之后求和,获得总贡献值。
确定子单元5033,可以用于将所述恶意特征项贡献值除以所述总贡献值的结果确定为所述IP地址对应的信誉度。
可见,通过本发明装置实施例的技术方案,可以利用IP地址对应的多个特征项的数值以及各个特征项的权重值,确定所述IP地址对应的信誉度,通过使用有代表性且数量丰富的特征项,可以使计算结果更具说服力,通过不同特征项对应于不同权重,可以使计算结果更符合实际情况,提高了IP地址信誉度的准确性。同时,在确定IP地址信誉度的过程中均使用简单运算而无需使用机器学习或智能算法等复杂运算,从而显著地降低了计算量、缩小了时间开销以及运维成本。
应当注意,尽管在上文详细描述中提及了确定IP地址信誉度的装置的若干单元或子单元,但是这种划分仅仅并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
虽然已经参考若干具体实施方式描述了本发明的精神和原理,但是应该理解,本发明并不限于所公开的具体实施方式,对各方面的划分也不意味着这些方面中的特征不能组合以进行受益,这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包括的各种修改和等同布置。
Claims (10)
1.一种确定IP地址信誉度的方法,包括:
响应于确定IP地址信誉度的触发指令,获取预设时间段内的邮箱系统日志文件、特征项列表以及所述特征项列表中每个特征项对应的权重值;
根据所述邮箱系统日志文件统计IP地址对应的所述特征项列表中每个特征项的数值;
根据所述IP地址对应的所述特征项列表中每个特征项的数值以及所述特征项列表中每个特征项对应的权重值,确定所述IP地址对应的信誉度。
2.根据权利要求1所述的方法,其中,所述特征项列表中包括善意特征项和恶意特征项;
所述善意特征项包括正常邮件发送量、邮件被标记为正常邮件的次数、非伪造邮件的次数、有合法指针记录PTR的次数中的一项或多项;
所述恶意特征项包括垃圾邮件发送量、邮件被举报为垃圾邮件的次数、非系统邮件的动态发件人邮箱个数、非系统邮件的动态发件人域名个数、明确伪造邮件的次数、可疑伪造邮件的次数、被加入实时黑名单RBL的标记、域名邮件交换MX记录不存在的标记、连接频率超过阈值的标记、发送病毒邮件的次数中的一项或多项。
3.根据权利要求2所述的方法,其中,所述根据所述IP地址对应的所述特征项列表中每个特征项的数值以及所述特征项列表中每个特征项对应的权重值,确定所述IP地址对应的信誉度,包括:
将所述IP地址对应的所述特征项列表中每个善意特征项的数值与相对应的权重值相乘之后求和,获得善意特征项贡献值;
将所述IP地址对应的所述特征项列表中每个特征项的数值与相对应的权重值相乘之后求和,获得总贡献值;
将所述善意特征项贡献值除以所述总贡献值的结果确定为所述IP地址对应的信誉度。
4.根据权利要求2所述的方法,其中,所述根据所述IP地址对应的所述特征项列表中每个特征项的数值以及所述特征项列表中每个特征项对应的权重值,确定所述IP地址对应的信誉度,包括:
将所述IP地址对应的所述特征项列表中每个恶意特征项的数值与相对应的权重值相乘之后求和,获得恶意特征项贡献值;
将所述IP地址对应的所述特征项列表中每个特征项的数值与相对应的权重值相乘之后求和,获得总贡献值;
将所述恶意特征项贡献值除以所述总贡献值的结果确定为所述IP地址对应的信誉度。
5.根据权利要求1所述的方法,其中,所述特征项列表中每个特征项对应的权重值由其贡献度确定。
6.一种确定IP地址信誉度的装置,包括:
获取单元,用于响应于确定IP地址信誉度的触发指令,获取预设时间段内的邮箱系统日志文件、特征项列表以及所述特征项列表中每个特征项对应的权重值;
统计单元,用于根据所述邮箱系统日志文件,统计IP地址对应的所述特征项列表中每个特征项的数值;
确定单元,用于根据所述IP地址对应的所述特征项列表中每个特征项的数值以及所述特征项列表中每个特征项对应的权重值,确定所述IP地址对应的信誉度。
7.根据权利要求6所述的装置,其中,所述特征项列表中包括善意特征项和恶意特征项;
所述善意特征项包括正常邮件发送量、邮件被标记为正常邮件的次数、非伪造邮件的次数、有合法指针记录PTR的次数中的一项或多项;
所述恶意特征项包括垃圾邮件发送量、邮件被举报为垃圾邮件的次数、非系统邮件的动态发件人邮箱个数、非系统邮件的动态域名个数、明确伪造邮件的次数、可疑伪造邮件的次数、被加入实时黑名单RBL的标记、域名邮件交换MX记录不存在的标记、连接频率超过阈值的标记、发送病毒邮件的次数中的一项或多项。
8.根据权利要求7所述的装置,其中,所述确定单元包括:
第一获得子单元,用于将所述IP地址对应的所述特征项列表中每个善意特征项的数值与相对应的权重值相乘之后求和,获得善意特征项贡献值;
第二获得子单元,用于将所述IP地址对应的所述特征项列表中每个特征项的数值与相对应的权重值相乘之后求和,获得总贡献值;
确定子单元,用于将所述善意特征项贡献值除以所述总贡献值的结果确定为所述IP地址对应的信誉度。
9.根据权利要求7所述的装置,其中,所述确定单元包括:
第一获得子单元,用于将所述IP地址对应的所述特征项列表中每个恶意特征项的数值与相对应的权重值相乘之后求和,获得恶意特征项贡献值;
第二获得子单元,用于将所述IP地址对应的所述特征项列表中每个所述特征项的数值与相对应的权重值相乘之后求和,获得总贡献值;
确定子单元,用于将所述恶意特征项贡献值除以所述总贡献值的结果确定为所述IP地址对应的信誉度。
10.根据权利要求6所述的装置,其中,所述特征项列表中每个特征项对应的权重值由其贡献度确定。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410821098.7A CN104506356B (zh) | 2014-12-24 | 2014-12-24 | 一种确定ip地址信誉度的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410821098.7A CN104506356B (zh) | 2014-12-24 | 2014-12-24 | 一种确定ip地址信誉度的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104506356A true CN104506356A (zh) | 2015-04-08 |
CN104506356B CN104506356B (zh) | 2018-06-15 |
Family
ID=52948071
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410821098.7A Active CN104506356B (zh) | 2014-12-24 | 2014-12-24 | 一种确定ip地址信誉度的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104506356B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105610833A (zh) * | 2015-12-30 | 2016-05-25 | 新浪网技术(中国)有限公司 | 一种基于ip信誉值的邮件反垃圾方法及系统 |
CN106330680A (zh) * | 2016-08-30 | 2017-01-11 | 黑龙江八农垦大学 | 一种电子邮件清理方法 |
CN106790041A (zh) * | 2016-12-16 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种网际协议ip信誉库生成方法及装置 |
CN107370754A (zh) * | 2017-08-23 | 2017-11-21 | 杭州安恒信息技术有限公司 | 一种基于云防护的ip信誉度评分模型的网站防护技术 |
CN107465686A (zh) * | 2017-08-23 | 2017-12-12 | 杭州安恒信息技术有限公司 | 基于网络异质大数据的ip信誉度计算方法及装置 |
CN107707516A (zh) * | 2017-04-01 | 2018-02-16 | 贵州白山云科技有限公司 | 一种ip地址分析方法及系统 |
CN112491869A (zh) * | 2020-11-25 | 2021-03-12 | 上海七牛信息技术有限公司 | 一种基于ip信誉度的应用层ddos攻击的检测防护方法及系统 |
CN114389872A (zh) * | 2021-12-29 | 2022-04-22 | 卓尔智联(武汉)研究院有限公司 | 数据处理方法、模型训练方法、电子设备及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1522416A (zh) * | 2001-06-29 | 2004-08-18 | ��˹��ŵ�� | 用于处理电子邮件的设备和方法 |
CN101060421A (zh) * | 2006-04-19 | 2007-10-24 | 腾讯科技(深圳)有限公司 | 一种垃圾邮件处理系统及分检垃圾邮件的方法 |
CN101217555A (zh) * | 2008-01-10 | 2008-07-09 | 厦门三五互联科技股份有限公司 | 一种智能反垃圾反病毒网关及其过滤方法 |
CN101674264A (zh) * | 2009-10-20 | 2010-03-17 | 哈尔滨工程大学 | 基于用户关系挖掘及信誉评价的垃圾邮件检测装置及方法 |
CN102209075A (zh) * | 2011-06-02 | 2011-10-05 | 国家计算机病毒应急处理中心 | 基于行为的恶意邮件发送节点检测方法 |
CN102945340A (zh) * | 2012-10-23 | 2013-02-27 | 北京神州绿盟信息安全科技股份有限公司 | 信息对象检测方法及系统 |
-
2014
- 2014-12-24 CN CN201410821098.7A patent/CN104506356B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1522416A (zh) * | 2001-06-29 | 2004-08-18 | ��˹��ŵ�� | 用于处理电子邮件的设备和方法 |
CN101060421A (zh) * | 2006-04-19 | 2007-10-24 | 腾讯科技(深圳)有限公司 | 一种垃圾邮件处理系统及分检垃圾邮件的方法 |
CN101217555A (zh) * | 2008-01-10 | 2008-07-09 | 厦门三五互联科技股份有限公司 | 一种智能反垃圾反病毒网关及其过滤方法 |
CN101674264A (zh) * | 2009-10-20 | 2010-03-17 | 哈尔滨工程大学 | 基于用户关系挖掘及信誉评价的垃圾邮件检测装置及方法 |
CN102209075A (zh) * | 2011-06-02 | 2011-10-05 | 国家计算机病毒应急处理中心 | 基于行为的恶意邮件发送节点检测方法 |
CN102945340A (zh) * | 2012-10-23 | 2013-02-27 | 北京神州绿盟信息安全科技股份有限公司 | 信息对象检测方法及系统 |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105610833A (zh) * | 2015-12-30 | 2016-05-25 | 新浪网技术(中国)有限公司 | 一种基于ip信誉值的邮件反垃圾方法及系统 |
CN105610833B (zh) * | 2015-12-30 | 2019-01-18 | 新浪网技术(中国)有限公司 | 一种基于ip信誉值的邮件反垃圾方法及系统 |
CN106330680A (zh) * | 2016-08-30 | 2017-01-11 | 黑龙江八农垦大学 | 一种电子邮件清理方法 |
CN106790041A (zh) * | 2016-12-16 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种网际协议ip信誉库生成方法及装置 |
CN106790041B (zh) * | 2016-12-16 | 2020-09-22 | 北京神州绿盟信息安全科技股份有限公司 | 一种网际协议ip信誉库生成方法及装置 |
CN107707516A (zh) * | 2017-04-01 | 2018-02-16 | 贵州白山云科技有限公司 | 一种ip地址分析方法及系统 |
WO2018177167A1 (zh) * | 2017-04-01 | 2018-10-04 | 贵州白山云科技有限公司 | 一种ip地址分析方法、系统及计算机可读存储介质和计算机设备 |
CN107707516B (zh) * | 2017-04-01 | 2018-11-13 | 贵州白山云科技有限公司 | 一种ip地址分析方法及系统 |
CN107370754A (zh) * | 2017-08-23 | 2017-11-21 | 杭州安恒信息技术有限公司 | 一种基于云防护的ip信誉度评分模型的网站防护技术 |
CN107465686A (zh) * | 2017-08-23 | 2017-12-12 | 杭州安恒信息技术有限公司 | 基于网络异质大数据的ip信誉度计算方法及装置 |
CN112491869A (zh) * | 2020-11-25 | 2021-03-12 | 上海七牛信息技术有限公司 | 一种基于ip信誉度的应用层ddos攻击的检测防护方法及系统 |
CN114389872A (zh) * | 2021-12-29 | 2022-04-22 | 卓尔智联(武汉)研究院有限公司 | 数据处理方法、模型训练方法、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN104506356B (zh) | 2018-06-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104506356A (zh) | 一种确定ip地址信誉度的方法和装置 | |
EP3254224B1 (en) | Global clustering of incidents based on malware similarity and online trustfulness | |
CN103198123B (zh) | 用于基于用户信誉过滤垃圾邮件消息的系统和方法 | |
CN109961204B (zh) | 一种微服务架构下业务质量分析方法和系统 | |
CN101443736B (zh) | 消息评估系统及方法 | |
CN102724219B (zh) | 网络数据的计算机处理方法及系统 | |
CN103795612B (zh) | 即时通讯中的垃圾和违法信息检测方法 | |
CN111614690B (zh) | 一种异常行为检测方法及装置 | |
Dong et al. | Network measurement based modeling and optimization for IP geolocation | |
US20120110672A1 (en) | Systems and methods for classification of messaging entities | |
US8600965B2 (en) | System and method for observing communication behavior | |
CN104917739B (zh) | 虚假账号的识别方法及装置 | |
CN107071084A (zh) | 一种dns的评价方法和装置 | |
US20210352093A1 (en) | Responsive privacy-preserving system for detecting email threats | |
CN107294974A (zh) | 识别目标团伙的方法和装置 | |
CN106790041B (zh) | 一种网际协议ip信誉库生成方法及装置 | |
AU2020202605A1 (en) | User data sharing method and device | |
Salau et al. | Data cooperatives for neighborhood watch | |
Sparks | Detecting periods of significant increased communication levels for subgroups of targeted individuals | |
CN107454052A (zh) | 网络攻击检测方法以及攻击检测装置 | |
KR101928822B1 (ko) | 사물 인터넷 환경에서 낯선 기기에 대한 사용자 신뢰도 계산 시스템 및 방법 | |
Sun et al. | Quality-of-protection (QoP): a quantitative methodology to grade security services | |
US9450982B1 (en) | Email spoofing detection via infrastructure machine learning | |
CN108369559A (zh) | 应用了图像处理的文档结构分析装置 | |
CN111162929A (zh) | 一种分级管理方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |