CN104836696B - 一种ip地址的检测方法及装置 - Google Patents
一种ip地址的检测方法及装置 Download PDFInfo
- Publication number
- CN104836696B CN104836696B CN201410048374.0A CN201410048374A CN104836696B CN 104836696 B CN104836696 B CN 104836696B CN 201410048374 A CN201410048374 A CN 201410048374A CN 104836696 B CN104836696 B CN 104836696B
- Authority
- CN
- China
- Prior art keywords
- address
- undetermined
- agent
- user account
- logged
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种IP地址的检测方法,包括:获取代理IP地址库,该代理IP地址库包括至少一个代理IP地址;收集在该代理IP地址库中任一代理IP地址上登录过的用户账号;分析所收集的每个用户账号的行为信息,根据该行为信息从所收集的用户账号中筛选出一个或多个目标账号;收集所筛选出的各目标账号登录过的待定IP地址,得到待定IP地址库;依次判断该待定IP地址库中各个待定IP地址是否满足预设条件,若是,则判定该待定IP地址为被劫持网络终端的IP地址。本发明还提供一种IP地址的检测装置。利用本发明可以有效检测出被劫持网络终端的IP地址,从而实现对使用被劫持网络终端的IP地址进行犯罪活动的有效打击。
Description
技术领域
本发明具体实施例涉及网络安全技术领域,特别涉及一种IP(InternetProtocol,网际协议)地址的检测方法及装置。
背景技术
随着互联网技术的发展,人们从互联网获取信息的方式越来越丰富。在一般情况下,当人们需要从某一网络站点获取网络信息时,通常会通过客户端,例如网络浏览器或社交通信应用等,直接连接该网络站点对应的站点服务器,并向该站点服务器发送相应的网络请求。该站点服务器响应该网络请求后,再将该网络信息传送回该客户端。
然而,鉴于网络安全、节省IP地址开销、提高访问速度等因素,人们有时会在客户端与站点服务器之间设置代理服务器,使该客户端通过该代理服务器间接连接该站点服务器。该代理服务器用于在客户端与站点服务器之间中转所述网络请求与网络信息。此时,对站点服务器而言,该网络请求来自于该代理服务器的IP地址,即代理IP地址。
通常官方发布的代理服务器由于用户较多,且使用时间较长等原因,其代理IP地址可以通过一些网络策略,例如网络包时延审计等方式检测出来。该网络包时延审计方式为在一段较长的时间段内,若从同一IP地址发送出来,并且到达站点服务器的各网络包的时延具有明显的多样性,则可以判定该IP地址为一个代理IP地址。
然而,若该代理服务器是受黑客远程控制,并开辟有网络代理程序的被劫持网络终端,例如被劫持的计算机、路由器、智能手机等,即俗称的“肉鸡”,则黑客可以通过该被劫持网络终端间接访问站点服务器。对站点服务器而言,网络请求来自于被劫持网络终端的IP地址,而并非黑客的IP地址,从而站点服务器无法定位到黑客的IP地址。因此,这种模拟被劫持网络终端的IP地址访问站点服务器的方式是黑客,例如盗号者绕过安全打击的重要手段之一。
由于通过被劫持网络终端连接站点服务器的用户通常很少(例如三五个),并且为了防止被发现而不会使用太长时间,若仅仅根据网络包时延的多样性将无法判断发送网络包的IP地址是否为被劫持网络终端的IP地址。因此,目前的代理IP地址检测方法难以检测出被劫持网络终端的IP地址,无法对使用被劫持网络终端的IP地址进行的犯罪活动实现有效打击。
发明内容
有鉴于此,有必要提供一种IP地址的检测方法及装置,可以有效检测出被劫持网络终端的IP地址,从而实现对使用被劫持网络终端的IP地址进行犯罪活动的有效打击。
一种IP地址的检测方法,包括以下步骤:获取代理IP地址库,该代理IP地址库包括至少一个代理IP地址;收集在该代理IP地址库中任一代理IP地址上登录过的用户账号;分析所收集的每个用户账号的行为信息,根据该行为信息从所收集的用户账号中筛选出一个或多个目标账号;收集所筛选出的各目标账号登录过的待定IP地址,得到待定IP地址库;依次判断该待定IP地址库中各个待定IP地址是否满足预设条件,若是,则判定该待定IP地址为被劫持网络终端的IP地址。
一种IP地址的检测装置,包括:获取模块,用于获取代理IP地址库,该代理IP地址库包括至少一个代理IP地址;第一收集模块,用于收集在该代理IP地址库中任一代理IP地址上登录过的用户账号;筛选模块,用于分析所收集的每个用户账号的行为信息,根据该行为信息从所收集的用户账号中筛选出一个或多个目标账号;第二收集模块,用于收集所筛选出的各目标账号登录过的待定IP地址,得到待定IP地址库;判断模块,用于依次判断该待定IP地址库中各个待定IP地址是否满足预设条件,若是,则判定该待定IP地址为被劫持网络终端的IP地址。
相较于现有技术,本发明IP地址的检测方法及装置,通过收集在代理IP地址库中任一代理IP地址上登录过的用户账号,根据各个用户账号的行为信息从所收集的用户账号中筛选出一个或多个目标账号,然后从各目标账号登录过的待定IP地址中筛选出满足预设条件的待定IP地址为被劫持网络终端的IP地址,可以有效检测出被劫持网络终端的IP地址,从而实现对使用被劫持网络终端的IP地址进行犯罪活动的有效打击。
为让本发明的上述和其他目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附图式,作详细说明如下。
附图说明
图1为一种服务器的结构框图。
图2为本发明实施例提供的IP地址的检测方法应用时的环境示意图。
图3为本发明实施例提供的IP地址的检测方法的流程图。
图4为本发明实施例提供的IP地址的检测装置的框图。
具体实施方式
为更进一步阐述本发明为实现预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明的具体实施方式、结构、特征及其功效,详细说明如后。
图1示出了一种服务器的结构框图。如图1所示,服务器1包括一个或多个(图中仅示出一个)存储器11、处理器12、存储控制器13、外设接口14、通信模块15、输入单元16及显示单元17。这些组件通过一条或多条通讯总线/信号线相互通讯。
本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对服务器1的结构造成限定。例如,服务器1还可包括比图1所示更多或者更少的组件,或者具有与图1所示不同的配置。图1所示的各组件可以采用硬件、软件或其组合实现。
存储器11可用于存储软件程序以及模块,如本发明实施例中的IP地址的检测方法及装置对应的程序指令/模块,处理器12通过运行存储在存储器11内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的IP地址的检测方法。
存储器11可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器11可进一步包括相对于处理器12远程设置的存储器,这些远程设置的存储器可以通过网络连接至服务器1。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。处理器12以及其他可能的组件对存储器11的访问可在存储控制器13的控制下进行。
外设接口14将各种输入/输出装置耦合至处理器12以及存储器11。处理器12运行存储器11内的各种软件、指令以及执行服务器1的各种功能以及进行数据处理。
通信模块15用于与通信网络或者其他设备进行通信。具体地,通信模块15例如可以是网卡。网卡作为局域网中连接计算机和传输介质的接口,用于实现与局域网传输介质之间的物理连接与电信号匹配,从而建立局域网并连接到因特网(Internet),与各种网络如局域网、城域网、广域网进行通信。网卡可包括各种现有的用于执行上述功能的电路元件,例如处理器和存储器(包括ROM和RAM)等。
输入单元16可用于接收输入的字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。具体地,输入单元16可包括按键161以及触控表面162。按键161例如可包括用于输入字符的字符按键,以及用于触发控制功能的控制按键。控制按键的实例包括“返回主屏”按键、开机/关机按键、拍照键等等。触控表面162可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控表面162上或在触控表面162附近的操作),并根据预先设定的程序驱动相应的连接装置。可选的,触控表面162可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器12,并能接收处理器12发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控表面162。除了触控表面162,输入单元16还可以包括其他输入设备。上述的其他输入设备包括但不限于物理键盘、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元17用于显示由用户输入的信息、提供给用户的信息以及服务器1的各种图形接口。这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。在一个实例中,显示单元17包括一个显示面板171。该显示面板171例如可为一个液晶显示面板(Liquid Crystal Display,LCD)、有机发光二极管(Organic Light-Emitting DiodeDisplay,OLED)显示面板、电泳显示面板(Electro-Phoretic Display,EPD)等。进一步地,触控表面162可设置于显示面板171上从而与显示面板171构成一个整体。
参阅图2所示,为本发明实施例提供的IP地址的检测方法应用时的环境示意图。在本实施例中,该IP地址的检测方法应用于上述服务器1中,该服务器1通过网络2与多台终端(图2中仅示出终端3和终端4)进行网络通信。其中,服务器1可以直接与一些终端(以终端3为代表)连接从而建立网络通信,也可以通过代理服务器(图2中仅示出代理服务器5)间接与一些终端(以终端4为代表)连接从而建立网络通信。
该代理服务器5可以为官方发布的代理服务器,也可以为受黑客远程控制并开辟有网络代理程序的被劫持网络终端,例如被劫持的计算机、路由器、智能手机等,即俗称的“肉鸡”。代理服务器5的IP地址被称为代理IP地址,其中,若该代理服务器5为所述被劫持网络终端,则该代理服务器5的IP地址被称为被劫持网络终端的IP地址。
该服务器1可以包括一台或多台服务器,当然该服务器1也可以是虚拟云计算模组。该服务器1中架设有某一种采用用户账号管理体系的系统。该系统例如可以是网上银行、即时通讯应用、社交应用、电子邮箱、技术论坛等等。该系统的客户端运行于所述终端3及终端4中。若终端3或终端4的用户希望访问或使用服务器1中该系统的各项业务,则需要先向该系统申请有效的用户账号及密码。该用户账号可以为用户自行设定或系统分配的字母、数字、符号或其组合,该密码通常为用户按照系统规则设定的字母、数字或其组合。
然后,用户可以使用所申请的用户账号及密码通过终端3或终端4中的该客户端登录该系统,并通过该客户端向服务器1中该系统发送网络请求,或接收服务器1返回的网络信息,从而访问或使用该系统的各项业务,例如查询电子邮件的收件箱、查看社交应用中联系人的最新动态、与即时通讯应用中联系人进行会话等等。
具体而言,由于终端3与服务器1直接连接并进行网络通信,若用户账号从终端3中客户端登录该系统,则对服务器1而言,该用户账号的登录地址即为终端3的IP地址。由于终端4与服务器1之间是通过代理服务器5间接连接并进行网络通信,终端4与服务器1之间的所述网络请求及网络信息都需要由代理服务器5进行中转,因此,对服务器1而言,该用户账号的登录地址为代理服务器5的代理IP地址。
同样地,若该网络请求是从终端3中该客户端发送至服务器1的,由于终端3与服务器1直接连接并进行网络通信,则该网络请求中将包含终端3的IP地址,相当于该网络请求是从终端3的IP地址发送至服务器1的。若该网络请求是从终端4中该客户端发送至服务器1的,由于终端4与服务器1之间是通过代理服务器5间接连接并进行网络通信,该网络请求需要由代理服务器5进行中转,因此,该网络请求中将包含代理服务器5的代理IP地址,相当于该网络请求是从该代理IP地址发送至服务器1的。
所述终端3和终端4的具体实例包括但并不限于台式计算机、便携式计算机、智能手机、平板电脑、PDA(Personal Digital Assistant,个人数字助理)或者其他类似的运算装置。该网络2可为任意的网络连接方式,例如互联网(Internet)、移动互联网(如电信运营商提供的2G、3G网络)、局域网(有线或者无线)等。
参阅图3所示,本发明实施例提供一种IP(Internet Protocol,网际协议)地址的检测方法,该IP地址的检测方法包括以下步骤:
步骤S1,获取代理IP地址库,该代理IP地址库包括至少一个代理IP地址;
步骤S2,收集在该代理IP地址库中任一代理IP地址上登录过的用户账号;
步骤S3,分析所收集的每个用户账号的行为信息,根据该行为信息从所收集的用户账号中筛选出一个或多个目标账号;
步骤S4,收集所筛选出的各目标账号登录过的待定IP地址,得到待定IP地址库;
步骤S5,依次判断该待定IP地址库中各个待定IP地址是否满足预设条件,若是,则判定该待定IP地址为被劫持网络终端的IP地址。
按照上述的IP地址的检测方法,通过收集在代理IP地址库中任一代理IP地址上登录过的用户账号,根据各个用户账号的行为信息从所收集的用户账号中筛选出一个或多个目标账号,然后从各目标账号登录过的待定IP地址中筛选出满足预设条件的待定IP地址为被劫持网络终端的IP地址,可以有效检测出被劫持网络终端的IP地址,从而实现对使用被劫持网络终端的IP地址进行犯罪活动的有效打击。
在一些实例中,上述方法的各步骤的实现细节如下:
步骤S1所述的代理IP地址库中的代理IP地址可以通过网络包时延审计方法收集得到。该网络包即为打包后的所述的网络请求。该网络包时延审计方法包括:统计在一段较长的时间段内,从同一IP地址发送至所述服务器1的各网络包的时延是否具有明显的多样性。若所述各网络包的时延具有明显的多样性,则判定该IP地址为代理IP地址,并将该代理IP地址放入该代理IP地址库中。
例如,在该时间段内,从该IP地址发送至服务器1的所有网络包中,具有相同时延的网络包的数量占该所有网络包总数量的比例不足预设值,例如3%,即可判断从该IP地址发送至服务器1的各网络包的时延具有明显的多样性。所述网络包的时延是指该网络包从客户端发出直至传送到服务器1所经历的时长。
通常使用官方发布的代理服务器间接连接服务器1的终端较多,并且分布在各地。因此,网络包从不同终端发送到同一代理服务器的时长应当会具有明显的多样性,而该网络包再从该同一代理服务器中转至服务器1的时长应当是一致的。此外,对服务器1而言,从同一代理服务器中转至服务器1的网络包都来自于同一IP地址,即该代理服务器的代理IP地址。因此,对服务器1而言,来自同一代理IP地址的各网络包的时延具有明显的多样性。
此外,所述的代理IP地址库中的代理IP地址也可以通过人工识别方法收集得到。例如,该代理IP地址可以由所述终端的用户自检并识别发现,然后将所识别出的代理IP地址上报至服务器1,服务器1再将该代理IP地址放入该代理IP地址库中。该代理IP地址库可以存储在服务器1的所述存储器11中。
服务器1中记录有登录过所述系统的所有用户账号的信息,例如包括该用户账号每次登录该系统的时间及退出登录的时间,每次登录所使用的IP地址及该IP地址所属地区等。因此,步骤S2可以根据该用户账号的信息,从所有登录过该系统的用户账号中筛选出在该代理IP地址库中任一代理IP地址上登录过的用户账号,将所筛选出的用户账号收集起来。所收集的用户账号都分别在该代理IP地址库中至少一个代理IP地址上登录过。
在一个实例中,步骤S3所述的用户账号的行为信息包括该用户账号登录该代理IP地址库中代理IP地址的频率。该用户账号登录该代理IP地址库中代理IP地址的频率可通过以下方式计算:预设一段时长,统计在该段时长中,该用户账号登录该代理IP地址库中相同或不同代理IP地址的次数,然后将该次数除以该时长,得到的商值即为该用户账号登录该代理IP地址库中代理IP地址的频率。
根据该行为信息从所收集的用户账号中筛选出一个或多个目标账号,具体而言,步骤S3可以根据所收集的各用户账号登录该代理IP地址库中代理IP地址的频率从高到低的顺序,对各用户账号进行排序,并将排在前面的第一指定数量的用户账号筛选为所述目标账号。
在另一个实例中,步骤S3所述的用户账号的行为信息包括在该代理IP地址库中,该用户账号登录过的代理IP地址的数量。根据该行为信息从所收集的用户账号中筛选出一个或多个目标账号,具体而言,步骤S3可以按照在该代理IP地址库中,所收集的各用户账号登录过的代理IP地址的数量从高到低的顺序,对各用户账号进行排序,然后将排在前面的第一指定数量的用户账号筛选为所述目标账号。
在本实施例中,该目标账号被认为是经常使用代理IP地址的用户账号,即该目标账号经常使用需要通过代理服务器间接连接至服务器1的终端来登录该系统。因此,相对而言,该目标账号使用被劫持网络终端的IP地址的可能性会更高。
步骤S4收集所筛选出的各目标账号登录过的待定IP地址,得到待定IP地址库。此外,步骤S4还可以实时记录各目标账号当前登录的待定IP地址,并将记录的待定IP地址补充到该待定IP地址库中。该待定IP地址库即为经常使用代理IP地址的用户账号当前登录及登录过的IP地址的集合。
步骤S5依次判断该待定IP地址库中各个待定IP地址是否满足预设条件。在本实施例中,该预设条件包括以下子条件:
(1)该待定IP地址存在于所述代理IP地址库中。
(2)在登录过该待定IP地址的所有用户账号中,存在一个或多个用户账号被判定为被盗账号。
具体而言,服务器1中记录有该系统的用户账号中被盗账号的清单。该被盗账号可以由服务器1自动统计,例如当侦测到某一个用户账号频繁地发送借钱消息或广告消息时,向用户确认该用户账号是否被盗。若该用户发现这些借钱消息或广告消息并非自己发送的,即可向服务器1确定该用户账号已被盗,服务器1再将该被盗账号加入该清单中。此外,用户也可以在发现使用正确的用户账号及密码无法登录该系统时,或发现一些已发送消息并非自己发送时,主动向服务器1上报自己的用户账号被盗,服务器1将该盗账号加入该清单中。在登录过该待定IP地址的所有用户账号中,若有一个或多个用户账号存在于该盗账号的清单中,则可以判定该一个或多个用户账号为被盗账号。通常来说,被盗账号通过被劫持网络终端登录服务器1的可能性更大。
(3)在预设时间段,例如最近一天内登录过该待定IP地址的所有用户账号中,存在不是在本地长期登录的用户账号。该预设时间段为已过去的邻近当前时间的时间段。在该预设时间段内登录过该待定IP地址的用户账号可以认为是最近在该待定IP地址上登录的用户账号。该本地为该待定IP地址所属地区,通常精确到市级。服务器1可以统计各用户账号每次登录所使用的IP地址及该IP地址所属地区。当一个用户账号在一个地区连续登录天数达到预设值,例如七天,则服务器1判定该地区为该用户账号的常用登录地。在所述预设时间段内,若登录过该待定IP地址的所有用户账号中存在常用登录地不为该待定IP地址所属地区的用户账号,则判定该用户账号不在本地长期登录。通常来说,当一个用户账号突然在异地登录,该用户账号很有可能是通过被劫持网络终端登录服务器1的。
(4)在所述预设时间段内登录过该待定IP地址的所有用户账号中,存在第二指定数量的所述目标账号。即最近在该待定IP地址上登录的该所有用户账号中,存在第二指定数量的用户账号被判定为经常使用代理IP地址的用户账号。
(5)在所述预设时间段内登录过该待定IP地址的所有用户账号中,存在注册时间不在预定时间范围内的用户账号。该注册时间即为向所述系统申请获取该用户账号的时间。若某一个用户账号的注册时间不在该预设时间范围内,则可以认为该用户账号不是最近才注册的用户账号。非最近注册的用户账号突然在该待定IP地址上登录,这种用户账号也有可能是通过被劫持网络终端登录服务器1的。
(6)在所述预设时间段内登录过该待定IP地址的所有用户账号中,存在在该预设时间段之前从未在该待定IP地址上登录过的用户账号。由于服务器1可以统计各用户账号每次登录所使用的IP地址,因此服务器1可以判断在该预设时间段内登录过该待定IP地址的所有用户账号中,是否存在在该预设时间段之前从未在该待定IP地址上登录过的用户账号。
(7)在所述预设时间段内登录过该待定IP地址的所有用户账号中,存在与其他登录过该待定IP地址的所有用户账号不存在交集的用户账号。服务器1除了统计各用户账号每次登录所使用的IP地址以外,还会记录各用户账号的操作信息,例如包括添加或删除好友的信息,与好友的聊天信息等。当在该预设时间段内登录过该待定IP地址的所有用户账号中,存在用户账号与其他登录过该待定IP地址的所有用户账号不存在交集,例如与该其他登录过该待定IP地址的所有用户账号不存在共同好友、未进行过任何消息来往等等,则该用户账号是通过被劫持网络终端登录服务器1的可能性更大。
在一个实例中,步骤S5可以依次判断该待定IP地址是否满足上述预设条件中的各子条件,并判断该待定IP地址满足所述预设条件中子条件的数量是否达到第三指定数量。若该待定IP地址满足所述预设条件中子条件的数量达到第三指定数量,则步骤S5可以判定该待定IP地址满足该预设条件,从而将该待定IP地址判定为被劫持网络终端的IP地址。
在另一个实例中,鉴于上述预设条件中各子条件对该待定IP地址是否被判定为被劫持网络终端的IP地址的贡献度不同,步骤S5还可以先分别对所述预设条件中的各子条件设定相应的权值,然后依次判断该待定IP地址是否满足该预设条件中的各子条件,并将该待定IP地址所满足子条件的权值相加,得到一个权值和。最后,步骤S5判断该权值和是否达到预设阈值,若是,则步骤S5判定该待定IP地址满足该预设条件,从而将该待定IP地址判定为被劫持网络终端的IP地址。
综上所述,本实施例的IP地址的检测方法,先收集在代理IP地址库中任一代理IP地址上登录过的用户账号,并从该用户账号中筛选出一个或多个经常使用代理IP地址的用户账号,即所述目标账号。然后,从各目标账号登录过的待定IP地址中筛选出满足预设条件的待定IP地址为被劫持网络终端的IP地址,可以有效检测出被劫持网络终端的IP地址,从而实现对使用被劫持网络终端的IP地址进行犯罪活动的有效打击。
参阅图4所示,本发明实施例还提供一种IP地址的检测装置100,该IP地址的检测装置100包括获取模块101、第一收集模块102、筛选模块103、第二收集模块104和判断模块105。可以理解,上述的各模块是指计算机程序或者程序段,用于执行某一项或多项特定的功能。此外,上述各模块的区分并不代表实际的程序代码也必须是分开的。
获取模块101,用于获取代理IP地址库,该代理IP地址库包括至少一个代理IP地址。所述代理IP地址库中的代理IP地址可以通过网络包时延审计或人工识别方法收集得到。
第一收集模块102,用于收集在该代理IP地址库中任一代理IP地址上登录过的用户账号。
筛选模块103,用于分析所收集的每个用户账号的行为信息,根据该行为信息从所收集的用户账号中筛选出一个或多个目标账号。
在一个实例中,该用户账号的行为信息包括该用户账号登录该代理IP地址库中代理IP地址的频率。因此,筛选模块103可以根据所收集的各用户账号登录该代理IP地址库中代理IP地址的频率从高到低的顺序,对各用户账号进行排序,然后将排在前面的第一指定数量的用户账号筛选为所述目标账号。
在另一个实例中,该用户账号的行为信息包括在该代理IP地址库中,该用户账号登录过的代理IP地址的数量。因此,筛选模块103可以按照在该代理IP地址库中,所收集的各用户账号登录过的代理IP地址的数量从高到低的顺序,对各用户账号进行排序,然后将排在前面的第一指定数量的用户账号筛选为所述目标账号。
第二收集模块104,用于收集所筛选出的各目标账号登录过的待定IP地址,得到待定IP地址库。
判断模块105,用于依次判断该待定IP地址库中各个待定IP地址是否满足预设条件,若是,则判定该待定IP地址为被劫持网络终端的IP地址。
具体而言,所述预设条件可以包括以下各子条件:
(1)该待定IP地址存在于所述代理IP地址库中;
(2)在登录过该待定IP地址的所有用户账号中,存在一个或多个用户账号被判定为被盗账号;
(3)在预设时间段内登录过该待定IP地址的所有用户账号中,存在不是在本地长期登录的用户账号;
(4)在预设时间段内登录过该待定IP地址的所有用户账号中,存在第二指定数量的所述目标账号;
(5)在预设时间段内登录过该待定IP地址的所有用户账号中,存在注册时间不在预定时间范围内的用户账号;
(6)在预设时间段内登录过该待定IP地址的所有用户账号中,存在在该预设时间段之前从未在该待定IP地址上登录过的用户账号;及
(7)在预设时间段内登录过该待定IP地址的所有用户账号中,存在与其他登录过该待定IP地址的所有用户账号不存在交集的用户账号。
在一个实例中,判断模块105可以依次判断该待定IP地址是否满足该预设条件中的各子条件,并判断该待定IP地址满足所述预设条件中子条件的数量是否达到第三指定数量,若是,则判定该待定IP地址满足该预设条件。
在另一个实例中,判断模块105可以先分别对所述预设条件中的各子条件设定相应的权值。然后,判断模块105依次判断该待定IP地址是否满足该预设条件中的各子条件,将该待定IP地址所满足子条件的权值相加,得到权值和。最后,判断模块105判断该权值和是否达到预设阈值,若是,则判定该待定IP地址满足该预设条件。
对于以上各模块的具体工作过程,可进一步参考本发明实施例提供的IP地址的检测方法,在此不再赘述。
综上所述,本实施例的IP地址的检测装置100,通过收集在代理IP地址库中任一代理IP地址上登录过的用户账号,根据各个用户账号的行为信息从所收集的用户账号中筛选出一个或多个目标账号,然后从各目标账号登录过的待定IP地址中筛选出满足预设条件的待定IP地址为被劫持网络终端的IP地址,可以有效检测出被劫持网络终端的IP地址,从而实现对使用被劫持网络终端的IP地址进行犯罪活动的有效打击。
此外,本发明实施例还提供一种计算机可读存储介质,其内存储有计算机可执行指令,上述的计算机可读存储介质例如为非易失性存储器例如光盘、硬盘、或者闪存。上述的计算机可执行指令用于让计算机或者类似的运算装置完成上述的IP地址的检测方法中的各种操作。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭示如上,然而并非用以限定本发明,任何本领域技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容做出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所作的任何简介修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
Claims (14)
1.一种IP地址的检测方法,其特征在于,该方法包括以下步骤:
获取代理IP地址库,该代理IP地址库包括至少一个代理IP地址;
收集在该代理IP地址库中任一代理IP地址上登录过的用户账号;
分析所收集的每个用户账号的行为信息,根据该行为信息从所收集的用户账号中筛选出一个或多个目标账号;所述用户账号的行为信息包括在该代理IP地址库中,该用户账号登录代理IP地址的频率或登录过的代理IP地址的数量;
收集所筛选出的各目标账号登录过的待定IP地址,得到待定IP地址库;
依次判断该待定IP地址库中各个待定IP地址是否满足预设条件,若是,则判定该待定IP地址为被劫持网络终端的IP地址。
2.如权利要求1所述的IP地址的检测方法,其特征在于,所述代理IP地址库中的代理IP地址通过网络包时延审计或人工识别方法收集得到;
该网络包时延审计的方法包括:统计在一段较长的时间段内,从同一IP地址发送至服务器的各网络包的时延是否具有明显的多样性;若所述各网络包的时延具有明显的多样性,则判定该IP地址为代理IP地址。
3.如权利要求1所述的IP地址的检测方法,其特征在于,所述用户账号的行为信息包括该用户账号登录该代理IP地址库中代理IP地址的频率;
所述根据该行为信息从所收集的用户账号中筛选出一个或多个目标账号的步骤包括:
根据所收集的各用户账号登录该代理IP地址库中代理IP地址的频率从高到低的顺序,对各用户账号进行排序;
将排在前面的第一指定数量的用户账号筛选为所述目标账号。
4.如权利要求1所述的IP地址的检测方法,其特征在于,所述用户账号的行为信息包括在该代理IP地址库中,该用户账号登录过的代理IP地址的数量;
所述根据该行为信息从所收集的用户账号中筛选出一个或多个目标账号的步骤包括:
按照在该代理IP地址库中,所收集的各用户账号登录过的代理IP地址的数量从高到低的顺序,对各用户账号进行排序;
将排在前面的第一指定数量的用户账号筛选为所述目标账号。
5.如权利要求1所述的IP地址的检测方法,其特征在于,所述依次判断该待定IP地址库中各个待定IP地址是否满足预设条件的步骤中,该预设条件包括以下各子条件:
该待定IP地址存在于所述代理IP地址库中;
在登录过该待定IP地址的所有用户账号中,存在一个或多个用户账号被判定为被盗账号;
在预设时间段内登录过该待定IP地址的所有用户账号中,存在不是在本地长期登录的用户账号;
在预设时间段内登录过该待定IP地址的所有用户账号中,存在第二指定数量的所述目标账号;
在预设时间段内登录过该待定IP地址的所有用户账号中,存在注册时间不在预定时间范围内的用户账号;
在预设时间段内登录过该待定IP地址的所有用户账号中,存在在该预设时间段之前从未在该待定IP地址上登录过的用户账号;及
在预设时间段内登录过该待定IP地址的所有用户账号中,存在与其他登录过该待定IP地址的所有用户账号不存在交集的用户账号。
6.如权利要求5所述的IP地址的检测方法,其特征在于,所述依次判断该待定IP地址库中各个待定IP地址是否满足预设条件的步骤包括:
依次判断该待定IP地址是否满足该预设条件中的各子条件;
判断该待定IP地址满足所述预设条件中子条件的数量是否达到第三指定数量,若是,则判定该待定IP地址满足该预设条件。
7.如权利要求5所述的IP地址的检测方法,其特征在于,所述依次判断该待定IP地址库中各个待定IP地址是否满足预设条件的步骤包括:
分别对所述预设条件中的各子条件设定相应的权值;
依次判断该待定IP地址是否满足该预设条件中的各子条件;
将该待定IP地址所满足子条件的权值相加,得到权值和;
判断该权值和是否达到预设阈值,若是,则判定该待定IP地址满足该预设条件。
8.一种IP地址的检测装置,其特征在于,该装置包括:
获取模块,用于获取代理IP地址库,该代理IP地址库包括至少一个代理IP地址;
第一收集模块,用于收集在该代理IP地址库中任一代理IP地址上登录过的用户账号;
筛选模块,用于分析所收集的每个用户账号的行为信息,根据该行为信息从所收集的用户账号中筛选出一个或多个目标账号;所述用户账号的行为信息包括在该代理IP地址库中,该用户账号登录代理IP地址的频率或登录过的代理IP地址的数量;
第二收集模块,用于收集所筛选出的各目标账号登录过的待定IP地址,得到待定IP地址库;
判断模块,用于依次判断该待定IP地址库中各个待定IP地址是否满足预设条件,若是,则判定该待定IP地址为被劫持网络终端的IP地址。
9.如权利要求8所述的IP地址的检测装置,其特征在于,所述代理IP地址库中的代理IP地址通过网络包时延审计或人工识别方法收集得到;该网络包时延审计包括:统计在一段较长的时间段内,从同一IP地址发送至服务器的各网络包的时延是否具有明显的多样性;若所述各网络包的时延具有明显的多样性,则判定该IP地址为代理IP地址。
10.如权利要求8所述的IP地址的检测装置,其特征在于,所述用户账号的行为信息包括该用户账号登录该代理IP地址库中代理IP地址的频率;
所述根据该行为信息从所收集的用户账号中筛选出一个或多个目标账号包括:
根据所收集的各用户账号登录该代理IP地址库中代理IP地址的频率从高到低的顺序,对各用户账号进行排序;
将排在前面的第一指定数量的用户账号筛选为所述目标账号。
11.如权利要求8所述的IP地址的检测装置,其特征在于,所述用户账号的行为信息包括在该代理IP地址库中,该用户账号登录过的代理IP地址的数量;
所述根据该行为信息从所收集的用户账号中筛选出一个或多个目标账号包括:
按照在该代理IP地址库中,所收集的各用户账号登录过的代理IP地址的数量从高到低的顺序,对各用户账号进行排序;
将排在前面的第一指定数量的用户账号筛选为所述目标账号。
12.如权利要求8所述的IP地址的检测装置,其特征在于,所述依次判断该待定IP地址库中各个待定IP地址是否满足预设条件中,该预设条件包括以下各子条件:
该待定IP地址存在于所述代理IP地址库中;
在登录过该待定IP地址的所有用户账号中,存在一个或多个用户账号被判定为被盗账号;
在预设时间段内登录过该待定IP地址的所有用户账号中,存在不是在本地长期登录的用户账号;
在预设时间段内登录过该待定IP地址的所有用户账号中,存在第二指定数量的所述目标账号;
在预设时间段内登录过该待定IP地址的所有用户账号中,存在注册时间不在预定时间范围内的用户账号;
在预设时间段内登录过该待定IP地址的所有用户账号中,存在在该预设时间段之前从未在该待定IP地址上登录过的用户账号;及
在预设时间段内登录过该待定IP地址的所有用户账号中,存在与其他登录过该待定IP地址的所有用户账号不存在交集的用户账号。
13.如权利要求12所述的IP地址的检测装置,其特征在于,所述依次判断该待定IP地址库中各个待定IP地址是否满足预设条件包括:
依次判断该待定IP地址是否满足该预设条件中的各子条件;
判断该待定IP地址满足所述预设条件中子条件的数量是否达到第三指定数量,若是,则判定该待定IP地址满足该预设条件。
14.如权利要求12所述的IP地址的检测装置,其特征在于,所述依次判断该待定IP地址库中各个待定IP地址是否满足预设条件包括:
分别对所述预设条件中的各子条件设定相应的权值;
依次判断该待定IP地址是否满足该预设条件中的各子条件;
将该待定IP地址所满足子条件的权值相加,得到权值和;
判断该权值和是否达到预设阈值,若是,则判定该待定IP地址满足该预设条件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410048374.0A CN104836696B (zh) | 2014-02-12 | 2014-02-12 | 一种ip地址的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410048374.0A CN104836696B (zh) | 2014-02-12 | 2014-02-12 | 一种ip地址的检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104836696A CN104836696A (zh) | 2015-08-12 |
| CN104836696B true CN104836696B (zh) | 2019-01-11 |
Family
ID=53814347
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410048374.0A Active CN104836696B (zh) | 2014-02-12 | 2014-02-12 | 一种ip地址的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104836696B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106686157B (zh) * | 2017-01-25 | 2022-03-25 | 同盾控股有限公司 | 一种识别代理ip的方法及系统 |
| CN106921670A (zh) * | 2017-03-22 | 2017-07-04 | 北京安博通科技股份有限公司 | 一种代理检测的方法及装置 |
| CN107612946B (zh) * | 2017-11-03 | 2021-09-03 | 北京奇艺世纪科技有限公司 | Ip地址的检测方法、检测装置和电子设备 |
| CN107896232B (zh) * | 2017-12-27 | 2020-04-03 | 北京奇艺世纪科技有限公司 | 一种ip地址评估方法及装置 |
| CN110198248B (zh) * | 2018-02-26 | 2022-04-26 | 北京京东尚科信息技术有限公司 | 检测ip地址的方法和装置 |
| CN110071936B (zh) * | 2019-05-05 | 2021-10-26 | 苏州阳野自动化系统有限公司 | 一种识别代理ip的系统及方法 |
| CN111787050B (zh) * | 2020-05-15 | 2023-04-11 | 华南师范大学 | 一种登录异常行为的分析方法、系统和装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101132278A (zh) * | 2006-08-24 | 2008-02-27 | 腾讯科技(深圳)有限公司 | 检验用户通过网络代理登录的系统及方法、及扫描服务器 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8775675B2 (en) * | 2002-08-30 | 2014-07-08 | Go Daddy Operating Company, LLC | Domain name hijack protection |
-
2014
- 2014-02-12 CN CN201410048374.0A patent/CN104836696B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101132278A (zh) * | 2006-08-24 | 2008-02-27 | 腾讯科技(深圳)有限公司 | 检验用户通过网络代理登录的系统及方法、及扫描服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104836696A (zh) | 2015-08-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104836696B (zh) | 一种ip地址的检测方法及装置 | |
| US11025674B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
| US20220060511A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
| US20220210200A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
| CN104796275B (zh) | 异常状态处理方法、系统及装置 | |
| CN102741839B (zh) | 基于用户浏览器历史的url过滤 | |
| CN104954340B (zh) | 一种代理ip地址的检测方法及装置 | |
| CN103999091B (zh) | 地理映射系统安全事件 | |
| CN104303152B (zh) | 在内网检测异常以识别协同群组攻击的方法、装置和系统 | |
| CN104601601B (zh) | 网络爬虫的检测方法及装置 | |
| CN104516807A (zh) | 自动日志传感器调谐 | |
| CN107390983B (zh) | 业务指令执行方法、客户端和存储介质 | |
| CN104541293A (zh) | 用于客户端-云行为分析器的架构 | |
| EP4104408A1 (en) | System and method for improving cybersecurity | |
| US11374954B1 (en) | Detecting anomalous network behavior | |
| CN105531679B (zh) | 在网络客户端上进行的异常检测 | |
| CN104780185A (zh) | 信息分享控制方法及装置 | |
| CN110414258A (zh) | 文件处理方法和系统、数据处理方法 | |
| CN110225104A (zh) | 数据获取方法、装置及终端设备 | |
| CN110798440B (zh) | 异常用户检测方法、装置、系统及计算机存储介质 | |
| CN111447137A (zh) | 浏览情况数据分析方法、装置、服务器及存储介质 | |
| CN109547426A (zh) | 业务响应方法及服务器 | |
| EP3647982B1 (en) | Cyber attack evaluation method and cyber attack evaluation device | |
| CN106209918A (zh) | 一种网络安全性管理的方法及终端 | |
| KR20190028076A (ko) | 공격자 가시화 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |