CN106790041B - 一种网际协议ip信誉库生成方法及装置 - Google Patents

一种网际协议ip信誉库生成方法及装置 Download PDF

Info

Publication number
CN106790041B
CN106790041B CN201611170830.4A CN201611170830A CN106790041B CN 106790041 B CN106790041 B CN 106790041B CN 201611170830 A CN201611170830 A CN 201611170830A CN 106790041 B CN106790041 B CN 106790041B
Authority
CN
China
Prior art keywords
identification information
access
value
reputation
parameter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611170830.4A
Other languages
English (en)
Other versions
CN106790041A (zh
Inventor
何坤
周素华
张宏斌
孙叶
范敦球
叶晓虎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhou Lvmeng Chengdu Technology Co ltd
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
Nsfocus Technologies Inc
Beijing NSFocus Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nsfocus Technologies Inc, Beijing NSFocus Information Security Technology Co Ltd filed Critical Nsfocus Technologies Inc
Priority to CN201611170830.4A priority Critical patent/CN106790041B/zh
Publication of CN106790041A publication Critical patent/CN106790041A/zh
Application granted granted Critical
Publication of CN106790041B publication Critical patent/CN106790041B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Abstract

本发明公开了一种网际协议IP信誉库生成方法及装置,涉及网络安全技术领域,方法包括:周期性获取各IP报文产生的访问日志;确定访问日志对应的IP标识信息;针对同一个IP标识信息,从IP标识信息对应的访问日志中,确定IP标识信息的各信誉元素的参数值;根据各信誉元素的参数值和各信誉元素的参数等级,确定IP标识信息的信誉值。本发明实施例中,将访问日志中的信誉元素参数化且每个信誉元素的参数等级不同,根据各信誉元素的参数值和各信誉元素的参数等级确定IP标识信息的信誉值,考虑了在IP报文访问时产生的访问日志中的参数信息,并考虑了参数信息在计算信誉值时每个参数的等级,所以确定的IP标识的信誉更加准确。

Description

一种网际协议IP信誉库生成方法及装置
技术领域
本发明涉及涉及网络安全技术领域,尤其涉及一种网际协议IP信誉库生成方法及装置。
背景技术
随着网络技术的不断发展,互联网已经深入到人们生活的方方面面,互联网和我们的工作、生活关系越来越密切。电子商务、在线交易、网上银行等越来越依赖于互联网。同时,人们对网络的时刻依赖,也让不法分子看到了可谋取的利益,使得各种网络安全事件层出不穷。互联网带来极大的便利和改变的同时,也蕴藏着风险。外部的威胁攻击越来越频繁,攻击手段越来越高级,这些都对安全带来重大威胁。
面对网络攻击的威胁,需要在网络攻击未发生或即将发生时及时做出响应。IP地址,是互联网应用中进行通信的身份标识,因此,对全球IP地址建立信誉系统,对互联网通信中的身份进行信誉良好程度评估,可以确保我们的网络通信是安全的、可靠的。从而,也缓解了目前攻防不对等的局面,使得我们的网络安全,由被动防护变为主动防御,进一步保证了互联网的安全。
现有技术中,对于如何确定一个IP地址是否可疑,是否是恶意IP,常见的判断方法是从接收到的垃圾邮件的角度进行考虑,通过判断邮件的发送量、地址列表情况等对IP的信誉情况进行判断。
综上所述,现有技术中不能提供一种确定IP信誉库的方法,用于精准确定一个IP地址是否为可疑或恶意的IP。
发明内容
本发明提供一种网际协议IP信誉库生成方法方法及装置,用于解决现有技术中不能提供一种确定IP信誉库的方法,用于精准确定一个IP地址是否为可疑或恶意的IP的问题。
本发明实施例提供一种网际协议IP信誉库生成方法,所述方法包括:
周期性获取各IP报文产生的访问日志;
确定所述访问日志对应的IP标识信息;
针对同一个IP标识信息,从所述IP标识信息对应的访问日志中,确定所述IP标识信息的各信誉元素的参数值;
根据所述各信誉元素的参数值和所述各信誉元素的参数等级,确定所述IP标识信息的信誉值。
本发明实施例中,根据获取性获取的每个IP报文产生的访问日志后,在每个访问日志中确定IP报文的标识信息对应的信誉元素,并确定信誉元素的参数值,即将访问日志中的信誉元素参数化,且每个信誉元素的参数等级不同,则根据各信誉元素的参数值和所述各信誉元素的参数等级,确定所述IP标识信息的信誉值,也就是说,在本发明实施例中,通过上述方法确定的IP标识的信誉值,考虑了在IP报文访问时产生的访问日志中的参数信息,并考虑了参数信息在计算信誉值时每个参数的等级,所以确定的IP标识的信誉更加准确。
进一步地,所述各信誉元素中包括IP标识信息的访问峰值以及IP标识信息的访问时长;
所述从所述IP标识信息对应的访问日志中,确定所述IP标识信息的各信誉元素的参数值,包括:
从所述IP标识信息对应的各访问日志中查找访问峰值的最大值,从所述IP标识信息对应的各访问日志中查找访问时长的最大值;
根据预设的访问峰值与参数值转换关系以及访问时长与参数值转换关系将所述访问峰值的最大值对应的参数值作为所述IP标识信息的访问峰值的参数值,将所述访问时长的最大值对应的参数值作为所述IP标识信息的访问时长的参数值。
本发明实施例中,将IP标识信息的访问峰值以及IP标识信息的访问时长作为确定IP标识信息的信誉参数,可以有效的保证计算出的IP标识信息的信誉值的准确性。
进一步地,所述各信誉元素中包括IP标识信息的访问频率;
所述从所述IP标识信息对应的访问日志中,确定所述IP标识信息的各信誉元素的参数值,包括:
将所述IP标识信息对应的各访问日志的数量进行累加,得到访问频率总数;
根据预设的访问频率与参数值转换关系,将所述访问频率总数对应的参数值作为所述IP标识信息的访问频率的参数值。
本发明实施例中,将IP标识信息的访问频率作为确定IP标识信息的信誉参数,可以有效的保证计算出的IP标识信息的信誉值的准确性。
进一步地,所述方法还包括:
针对同一个IP标识信息,获取所述IP标识信息对应的服务端口的实时状态,根据预设的所述服务端口的实时状态与参数值转换关系,确定所述IP标识信息对应的服务端口的实时状态的参数值;
所述根据所述各信誉元素的参数值和所述各信誉元素的参数等级,确定所述IP标识信息的信誉值,包括:
根据所述IP标识信息的各信誉元素的参数值、所述各信誉元素的参数等级以及所述IP标识信息对应的服务端口的实时状态的参数值,确定所述IP标识信息的信誉值。
本发明实施例中,所述IP标识信息对应的服务端口的实时状态作为确定IP标识信息的信誉参数,可以有效的确定该IP标识信息是否准备发动攻击,进一步地保证计算出的IP标识信息的信誉值的准确性。
进一步地,所述确定所述IP标识信息的信誉值后,还包括:
若确定所述IP标识信息的信誉值大于预设的安全阈值时,则将所述IP标识信息加入黑名单。
本发明实施例中,当确定IP标识信息的信誉值超过了预设的安全阈值时,则认为该IP标识为高危IP标识,将IP标识信息加入黑名单中,以便对于黑名单中的IP标识信息进行报警预警。
进一步地,所述方法还包括:
针对所述黑名单中的任一一个IP标识信息,若在设定周期数内未获取到对所述IP标识信息的更新信息,则衰减所述IP标识信息的信誉值;
若衰减后的所述IP标识信息的信誉值不大于所述预设的安全阈值,则将所述IP标识信息移出所述黑名单。
本发明实施例中,当确定黑名单中的IP标识信息的信誉值在设定周期内还未更新,则说明该在设定周期内该IP标识没有进行访问,或者IP标识进行了访问,但是确定的该IP标识信息的信誉值不大于安全阈值了,则需要根据设定周期数对IP标识信息的信誉值进行衰减,并在确定衰减后的IP标识信息的信誉值不大于安全阈值时,将IP标识信息移出黑名单,不再对该IP标识信息进行报警预警。
本发明还提供一种网际协议IP信誉库生成装置,包括:
获取单元,用于周期性获取各IP报文产生的访问日志;
IP标识信息确定单元,用于确定所述访问日志对应的IP标识信息;
参数值确定单元,用于针对同一个IP标识信息,从所述IP标识信息对应的访问日志中,确定所述IP标识信息的各信誉元素的参数值;
信誉值确定单元,用于根据所述各信誉元素的参数值和所述各信誉元素的参数等级,确定所述IP标识信息的信誉值。
本发明实施例中,根据获取性获取的每个IP报文产生的访问日志后,在每个访问日志中确定IP报文的标识信息对应的信誉元素,并确定信誉元素的参数值,即将访问日志中的信誉元素参数化,且每个信誉元素的参数等级不同,则根据各信誉元素的参数值和所述各信誉元素的参数等级,确定所述IP标识信息的信誉值,也就是说,在本发明实施例中,通过上述方法确定的IP标识的信誉值,考虑了在IP报文访问时产生的访问日志中的参数信息,并考虑了参数信息在计算信誉值时每个参数的等级,所以确定的IP标识的信誉更加准确。
进一步地,所述各信誉元素中包括IP标识信息的访问峰值以及IP标识信息的访问时长;
所述参数值确定单元,具体用于:
从所述IP标识信息对应的各访问日志中查找访问峰值的最大值,从所述IP标识信息对应的各访问日志中查找访问时长的最大值;
根据预设的访问峰值与参数值转换关系以及访问时长与参数值转换关系将所述访问峰值的最大值对应的参数值作为所述IP标识信息的访问峰值的参数值,将所述访问时长的最大值对应的参数值作为所述IP标识信息的访问时长的参数值。
进一步地,所述各信誉元素中包括IP标识信息的访问频率;
所述参数值确定单元,具体用于:
所述从所述IP标识信息对应的访问日志中,确定所述IP标识信息的各信誉元素的参数值,包括:
将所述IP标识信息对应的各访问日志的数量进行累加,得到访问频率总数;
根据预设的访问频率与参数值转换关系,将所述访问频率总数对应的参数值作为所述IP标识信息的访问频率的参数值。
进一步地,所述获取单元还用于:
针对同一个IP标识信息,获取所述IP标识信息对应的服务端口的实时状态,根据预设的所述服务端口的实时状态与参数值转换关系,确定所述IP标识信息对应的服务端口的实时状态的参数值;
所述信誉值确定单元,具体用于:
根据所述IP标识信息的各信誉元素的参数值、所述各信誉元素的参数等级以及所述IP标识信息对应的服务端口的实时状态的参数值,确定所述IP标识信息的信誉值。
进一步地,所述信誉值确定单元还用于:
若确定所述IP标识信息的信誉值大于预设的安全阈值时,则将所述IP标识信息加入黑名单。
进一步地,所述装置还包括:
衰减单元,用于针对所述黑名单中的任一一个IP标识信息,若在设定周期数内未获取到对所述IP标识信息的更新信息,则衰减所述IP标识信息的信誉值;
若衰减后的所述IP标识信息的信誉值不大于所述预设的安全阈值,则将所述IP标识信息移出所述黑名单。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种网际协议IP信誉库生成方法的流程示意图;
图2为本发明实施例提供的服务器与远程服务器的交互示意图;
图3为本发明实施例提供的一种网际协议IP信誉库生成方法的流程示意图;
图4为本发明实施例提供的一种网际协议IP信誉库生成装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明提供一种网际协议IP信誉库生成方法,如图1所示,包括:
步骤101,周期性获取各IP报文产生的访问日志;
步骤102,确定所述访问日志对应的IP标识信息;
步骤103,针对同一个IP标识信息,从所述IP标识信息对应的访问日志中,确定所述IP标识信息的各信誉元素的参数值;
步骤104,根据所述各信誉元素的参数值和所述各信誉元素的参数等级,确定所述IP标识信息的信誉值。
在本发明实施例中,执行主体可以是服务器,即在服务器接收到IP报文时,服务器能够获取到IP报文产生的访问日志,可选的,在本发明实施例中,访问日志中包括IP报文的源地址,IP报文的目的地址,IP报文的源地址的存在性,即是否为代理IP等属性信息。
在步骤101中,获取的各IP报文产生的访问日志是在该周期内产生的,例如,周期时长为0.05s,在第一个周期时,获取的IP报文产生的访问日志是在0~0.05s之间产生的。在本发明实施例中,当服务器有IP报文访问时,就会产生一个访问日志。
在步骤102中,在获取到IP报文产生的访问日志后,可以按照访问日志对应IP标识信息将访问日志进行保存。可选的,在本发明实施例中,同一个IP标识信息可以对应多个多个访问日志。例如,在一个周期,服务器接收到了4个IP报文,分别是IP报文1、IP报文2、IP报文3以及IP报文4,且4个IP报文生成的访问日志为访问日志1、访问日志2、访问日志3以及访问日志4。
分别确定4个访问日志对应的IP标识信息为IP标识1、IP标识2、IP标识1以及IP标识3,也就是说在这一周期内对于IP标识有两个访问日志。
在本发明实施例中,IP标识信息为表征IP唯一性的标识,可选的,IP标识信息可以为IP报文的源地址。
在步骤103中,针对同一个IP标识信息,从IP标识信息对应的访问日志中,确定计算该IP标识信息的信誉值的信誉元素的参数值。
可选的,在本发明实施例中,信誉元素为IP标识信息的访问峰值、IP标识信息的访问时长,IP标识信息的访问频率、IP标识信息的存在性以及IP标识信息对应的服务端口的实时状态。
可选的,在本发明实施例中,IP标识信息的存在性指的是IP标识信息是否为代理IP,若IP标识信息为代理IP,则认为该IP标识信息的安全性较高,而若IP标识信息为非代理IP,则认为该IP标识信息的安全度较低。
在步骤103中,在本发明实施例中,服务端口的实时状态指的是IP标识信息对应的服务端口在此时是否是开启状态,可选的,服务器在获取到访问日志,不间断的确定访问日志对应的IP标识信息的服务端口是否开启。在周期到达开始确定IP标识信息的信誉值时,就可以获取在当前IP标识信息的服务端口是否开启。也就是能够确定IP标识信息对应的服务端口的实时状态。
可选的,在本发明实施例中,在当前若IP标识信息的服务端口为开启状态,则认为IP标识信息可能需要向服务器进行访问,则认为该IP标识信息的危险性较高。
在步骤103中,若针对同一个IP标识信息,有至少两个访问日志,则在确定IP标识信息的访问峰值以及IP标识信息的访问时长的参数值时,需要从IP标识信息对应的各访问日志中查找访问峰值的最大值,从IP标识信息对应的各访问日志中查找访问时长的最大值;根据预设的访问峰值与参数值转换关系以及访问时长与参数值转换关系将访问峰值的最大值对应的参数值作为IP标识信息的访问峰值的参数值,将访问时长的最大值对应的参数值作为IP标识信息的访问时长的参数值。
也就是说,例如,在本发明实施例中,针对IP标识信息A,有5个访问日志,如表1所示,针对IP标识信息A的5个访问日志中的访问峰值以及访问时长具体如下:
IP标识信息A 访问峰值 访问时长
访问日志1 15M 0.01S
访问日志2 5M 0.015S
访问日志3 29M 0.02S
访问日志4 37M 0.01S
访问日志5 55M 0.04S
表1:针对IP标识信息A的5个访问日志中的访问峰值以及访问时长
也就是说,根据表1中的内容,在本发明实施例中,针对IP标识信息A,将55M的访问峰值对应的参数值作为IP标识信息A的访问峰值的参数值,将0.04s的访问时长值对应的参数作为IP标识信息A的访问时长的参数值。
可选的,在本发明实施例中,为了更加准确的确定IP标识信息的信誉值,在计算信誉值时,还需要加入IP标识信息的访问频率,由于在访问服务器的过程中,针对同一个IP标识信息,在一个周期内访问频率越高,证明对服务器的负载压力越大,则IP表示信息的危险程度也越高,所以在本发明实施例中,将IP标识信息对应的各访问日志的数量进行累加,得到访问频率总数;根据预设的访问频率与参数值转换关系,将访问频率总数对应的参数值作为IP标识信息的访问频率的参数值。
例如,在本发明实施例中,针对IP标识信息B,在一个周期内,获取了4个访问日志,则在这个周期内,针对IP标识信息B的访问频率就是4次,则将4次的访问频率确定为IP标识信息B的访问频率的参数值。
在步骤103中,当确定了访问日志中的信誉元素后,还需要确定信誉元素的参数值,在本发明实施例中,可以根据信誉元素与参数值的转换关系,确定信誉元素的参数值。
例如,在本发明实施例中,可以根据信誉元素每个值赋予一个参数值,即信誉元素与信誉元素参数是一一对应的关系,如,本发明实施例中,IP标识信息的服务端口是否打开,若打开,则设置参数值为1,否则设置参数值为0;又如,IP标识信息是否为代理IP,若为代理IP,则设置参数为0,否则设置参数为1。
或者,在本发明实施例中,在确定信誉元素后,还需要确定信誉元素属于哪一个信誉元素数范围,根据信誉元素范围确定信誉元素的参数值,也就是说,信誉元素的参数值与信息元素范围是一一对应的,如表2所示,在表2中,对信誉元素IP标识信息的访问峰值以及访问频率划分了范围,且每个范围对应一个参数值,具体如表2所示:
Figure BDA0001183442970000101
Figure BDA0001183442970000111
表2:IP标识信息的访问峰值以及访问频率对应的参数值表
在步骤104中,当确定了IP标识信息的各信誉元素的参数值后,还需要确定每个信誉元素的参数等级,才能确定该IP标识信息的信誉值。
可选的,在本发明实施例中,信誉元素的参数等级代表该信誉元素在计算信誉值时的重要程度,可以用权重来标识,例如,在本发明实施例中,信誉元素为IP标识信息的存在性,IP标识信息对应的服务端口的实施状态,IP标识信息的访问峰值,IP标识信息的访问频率以及IP标识信息的访问时长,则针对每一个信誉元素,赋予权重,设置IP标识信息的存在性的权重为A1,IP标识信息对应的服务端口的实施状态的权重为A2,IP标识信息的访问峰值的权重为A3,IP标识信息的访问频率的权重为A4,IP标识信息的访问时长的权重为A5。
若在本发明实施例中,已确定各信誉元素的参数值,即IP标识信息的存在性的参数值为M1,IP标识信息对应的服务端口的实施状态的参数值为M2,IP标识信息的访问峰值的参数值为M3,IP标识信息的访问频率的参数值为M4,IP标识信息的访问时长的参数值为M5,则可以确定IP标识信息的信誉值P,其中P=A1×M1+A2×M2+A3×M3+A4×M4+A5×M5。
可选的,在本发明实施例中,由于各信誉元素的参数值越大表征IP标识信息的危险性越高,所以在本发明实施例中,IP标识信息的信誉值越高,表示该IP标识信息的安全性越低,危险性越高。
可选的,在本发明实施例中,当确定了IP标识信息的信誉值后,若确定IP标识信息的信誉值大于预设的安全阈值后,则将所述IP标识信息加入黑名单。
在本发明实施例中,预设的安全阈值可以根据对检测要求的高低来进行设定,将预设的安全阈值设置的较低时,则检测要求较高;将预设的安全阈值设置的较高时,则检测要求较低。
例如,在本发明实施例中,若预设的安全阈值为3.5,若确定出的IP标识信息的信誉值为3.55,则确定需要将IP标识信息加入黑名单。
可选的,如图2所示,在本发明实施例中,确定IP信誉库的主体为服务器,与远程服务器进行交互,将黑名单发送给远程服务器,以使远程服务器能将黑名单发送给与远程服务器相交互的其它服务器,以便在获取到包含黑名单中的IP标识信息的报文后,进行报警预警处理。
在本发明实施例中,针对同一个IP标识信息,当在每个周期内都确定该IP标识信息的信誉值大于预设的安全阈值,则在每个周期后更新黑名单中的IP标识信息的信誉值。
可选的,在本发明实施例中,更新IP标识信息的信誉值的方式有多种,在此以两种方式举例说明。
方式一:
针对同一个IP标识信息,在黑名单中保存了每一个周期该IP标识信息的信誉值,例如,如表3所示,黑名单中保存了3个周期的,IP标识信息为F的信誉值。
周期 信誉值
第一周期 3.58
第二周期 4.2
第三周期 3.6
表3:IP标识信息在三个周期的信誉值
方式二:
针对同一个IP标识信息,在获取到下一个周期的IP标识信息的信誉值后,替换为新的IP标识信息的信誉值,例如,针对IP标识信息AA,第一周期时确定的信誉值为4.05,第二周期确定的信誉值为4.33,则在黑名单中,只保存了IP标识信息AA的信誉值为4.33。
可选的,在本发明实施例中,针对黑名单中的任一一个IP标识信息,若在设定周期数内未获取到对IP标识信息的更新信息,则衰减IP标识信息的信誉值;若衰减后的IP标识信息的信誉值不大于预设的安全阈值,则将IP标识信息移出黑名单。
在本发明实施例中,设定周期数指的是开始计算衰减的周期数,例如,可以设置3个周期为开始计算衰减的周期数,即当确定在3个周期内,该IP标识信息的信誉值都没有更新信息,则确定在3个周期内,该包含该IP标识信息的报文没有对服务器进行访问,进一步可以确定该IP标识信息的危险程度有所下降,所以需要衰减该IP标识信息的信誉值,降低该IP标识信息的危险性。
可选的,在本发明实施例中,可以根据公式1衰减所述IP标识信息对应的信誉值:
creditnew=max(creditold-α×N,1) (公式1)
其中,所述creditnew为衰减后的所述IP标识信息对应的信誉值,所述creditold为将所述IP标识信息加入黑名单时所述IP标识信息对应的信誉值,α为衰减参数,N为衰减周期。
可选的,在本发明实施例中,可以设定α为1/3,也就是说每一个周期的衰减值为1/3。
可选的,在本发明实施例中,当确定衰减后的IP标识信息的信誉值不大于预设的安全阈值后,则将IP标识信息移出黑名单中。
为了便于本领域技术人员的理解,在此举例说明,本发明提供一种信誉库生成方法,如图3所示,主要用于确定对服务器发起攻击的IP标识信息的信誉值,包括:
步骤301,周期性获取各IP报文产生的攻击日志,其中攻击日志为IP报文对服务器进行攻击时产生的;
步骤302,确定每个攻击日志对应的IP标识信息,在本发明实施例中,IP标识信息为IP报文的源地址;
步骤302,确定访问日志中的信誉元素,信誉元素包括IP标识信息的存在性,IP标识信息的攻击峰值,IP标识信息的攻击频率,IP标识信息的攻击时长,IP标识信息对应的端口的实施状态;
步骤303,确定每个信誉元素的参数值;
步骤304,确定每个信誉元素的参数等级,根据信誉元素的参数值以及参数等级确定IP标识信息的信誉值;
步骤305,判断IP标识信息的信誉值是否大于预设的安全阈值,若是,则执行步骤306,否则执行步骤301;
步骤306,将该IP标识信息加入黑名单;
步骤307,获取黑名单中每个IP标识信息的更新消息;
步骤308,确定该IP标识信息在预设的周期数内是否接收到更新消息,若接收到,则执行步骤307,否则执行步骤309;
步骤309,衰减该IP标识信息的信誉值;
步骤310,确定该IP标识信息衰减后的信誉值是否不大于预设的安全阈值,若是,则执行步骤311;否则执行步骤307;
步骤311,将该IP标识信息移出黑名单。
基于同样的构思,本发明实施例还提供一种网际协议IP信誉库生成装置,如图4所示,包括:
获取单元401,用于周期性获取各IP报文产生的访问日志;
IP标识信息确定单元402,用于确定所述访问日志对应的IP标识信息;
参数值确定单元403,用于针对同一个IP标识信息,从所述IP标识信息对应的访问日志中,确定所述IP标识信息的各信誉元素的参数值;
信誉值确定单元404,用于根据所述各信誉元素的参数值和所述各信誉元素的参数等级,确定所述IP标识信息的信誉值。
进一步地,所述各信誉元素中包括IP标识信息的访问峰值以及IP标识信息的访问时长;
所述参数值确定单元403,具体用于:
从所述IP标识信息对应的各访问日志中查找访问峰值的最大值,从所述IP标识信息对应的各访问日志中查找访问时长的最大值;
根据预设的访问峰值与参数值转换关系以及访问时长与参数值转换关系将所述访问峰值的最大值对应的参数值作为所述IP标识信息的访问峰值的参数值,将所述访问时长的最大值对应的参数值作为所述IP标识信息的访问时长的参数值。
进一步地,所述各信誉元素中包括IP标识信息的访问频率;
所述参数值确定单元403,具体用于:
所述从所述IP标识信息对应的访问日志中,确定所述IP标识信息的各信誉元素的参数值,包括:
将所述IP标识信息对应的各访问日志的数量进行累加,得到访问频率总数;
根据预设的访问频率与参数值转换关系,将所述访问频率总数对应的参数值作为所述IP标识信息的访问频率的参数值。
进一步地,所述获取单元401还用于:
针对同一个IP标识信息,获取所述IP标识信息对应的服务端口的实时状态,根据预设的所述服务端口的实时状态与参数值转换关系,确定所述IP标识信息对应的服务端口的实时状态的参数值;
所述信誉值确定单元404,具体用于:
根据所述IP标识信息的各信誉元素的参数值、所述各信誉元素的参数等级以及所述IP标识信息对应的服务端口的实时状态的参数值,确定所述IP标识信息的信誉值。
进一步地,所述信誉值确定单元404还用于:
若确定所述IP标识信息的信誉值大于预设的安全阈值时,则将所述IP标识信息加入黑名单。
进一步地,所述装置还包括:
衰减单元405,用于针对所述黑名单中的任一一个IP标识信息,若在设定周期数内未获取到对所述IP标识信息的更新信息,则衰减所述IP标识信息的信誉值;
若衰减后的所述IP标识信息的信誉值不大于所述预设的安全阈值,则将所述IP标识信息移出所述黑名单。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (12)

1.一种网际协议IP信誉库生成方法,其特征在于,所述方法包括:
周期性获取各IP报文产生的访问日志,所述访问日志中包括IP报文的源地址,IP报文的目的地址,IP报文的源地址的存在性;
确定所述访问日志对应的IP标识信息;
针对同一个IP标识信息,从所述IP标识信息对应的访问日志中,确定所述IP标识信息的各信誉元素的参数值;
根据所述各信誉元素的参数值和所述各信誉元素的参数等级,确定所述IP标识信息的信誉值;
其中,所述各信誉元素中至少包括IP标识信息的访问峰值、IP标识信息的访问时长、IP标识信息的访问频率中的一个或者多个元素的组合。
2.根据权利要求1所述的方法,其特征在于,所述各信誉元素中包括IP标识信息的访问峰值以及IP标识信息的访问时长;
所述从所述IP标识信息对应的访问日志中,确定所述IP标识信息的各信誉元素的参数值,包括:
从所述IP标识信息对应的各访问日志中查找访问峰值的最大值,从所述IP标识信息对应的各访问日志中查找访问时长的最大值;
根据预设的访问峰值与参数值转换关系以及访问时长与参数值转换关系将所述访问峰值的最大值对应的参数值作为所述IP标识信息的访问峰值的参数值,将所述访问时长的最大值对应的参数值作为所述IP标识信息的访问时长的参数值。
3.根据权利要求1所述的方法,其特征在于,所述各信誉元素中包括IP标识信息的访问频率;
所述从所述IP标识信息对应的访问日志中,确定所述IP标识信息的各信誉元素的参数值,包括:
将所述IP标识信息对应的各访问日志的数量进行累加,得到访问频率总数;
根据预设的访问频率与参数值转换关系,将所述访问频率总数对应的参数值作为所述IP标识信息的访问频率的参数值。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
针对同一个IP标识信息,获取所述IP标识信息对应的服务端口的实时状态,根据预设的所述服务端口的实时状态与参数值转换关系,确定所述IP标识信息对应的服务端口的实时状态的参数值;
所述根据所述各信誉元素的参数值和所述各信誉元素的参数等级,确定所述IP标识信息的信誉值,包括:
根据所述IP标识信息的各信誉元素的参数值、所述各信誉元素的参数等级以及所述IP标识信息对应的服务端口的实时状态的参数值,确定所述IP标识信息的信誉值。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述确定所述IP标识信息的信誉值后,还包括:
若确定所述IP标识信息的信誉值大于预设的安全阈值时,则将所述IP标识信息加入黑名单。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
针对所述黑名单中的任一一个IP标识信息,若在设定周期数内未获取到对所述IP标识信息的更新信息,则衰减所述IP标识信息的信誉值;
若衰减后的所述IP标识信息的信誉值不大于所述预设的安全阈值,则将所述IP标识信息移出所述黑名单。
7.一种网际协议IP信誉库生成装置,其特征在于,包括:
获取单元,用于周期性获取各IP报文产生的访问日志,所述访问日志中包括IP报文的源地址,IP报文的目的地址,IP报文的源地址的存在性;
IP标识信息确定单元,用于确定所述访问日志对应的IP标识信息;
参数值确定单元,用于针对同一个IP标识信息,从所述IP标识信息对应的访问日志中,确定所述IP标识信息的各信誉元素的参数值;
信誉值确定单元,用于根据所述各信誉元素的参数值和所述各信誉元素的参数等级,确定所述IP标识信息的信誉值;
其中,所述各信誉元素中至少包括IP标识信息的访问峰值、IP标识信息的访问时长、IP标识信息的访问频率中的一个或者多个元素的组合。
8.根据权利要求7所述的装置,其特征在于,所述各信誉元素中包括IP标识信息的访问峰值以及IP标识信息的访问时长;
所述参数值确定单元,具体用于:
从所述IP标识信息对应的各访问日志中查找访问峰值的最大值,从所述IP标识信息对应的各访问日志中查找访问时长的最大值;
根据预设的访问峰值与参数值转换关系以及访问时长与参数值转换关系将所述访问峰值的最大值对应的参数值作为所述IP标识信息的访问峰值的参数值,将所述访问时长的最大值对应的参数值作为所述IP标识信息的访问时长的参数值。
9.根据权利要求7所述的装置,其特征在于,所述各信誉元素中包括IP标识信息的访问频率;
所述参数值确定单元,具体用于:
所述从所述IP标识信息对应的访问日志中,确定所述IP标识信息的各信誉元素的参数值,包括:
将所述IP标识信息对应的各访问日志的数量进行累加,得到访问频率总数;
根据预设的访问频率与参数值转换关系,将所述访问频率总数对应的参数值作为所述IP标识信息的访问频率的参数值。
10.根据权利要求7所述的装置,其特征在于,所述获取单元还用于:
针对同一个IP标识信息,获取所述IP标识信息对应的服务端口的实时状态,根据预设的所述服务端口的实时状态与参数值转换关系,确定所述IP标识信息对应的服务端口的实时状态的参数值;
所述信誉值确定单元,具体用于:
根据所述IP标识信息的各信誉元素的参数值、所述各信誉元素的参数等级以及所述IP标识信息对应的服务端口的实时状态的参数值,确定所述IP标识信息的信誉值。
11.根据权利要求7至10任一项所述的装置,其特征在于,所述信誉值确定单元还用于:
若确定所述IP标识信息的信誉值大于预设的安全阈值时,则将所述IP标识信息加入黑名单。
12.根据权利要求11所述的装置,其特征在于,所述装置还包括:
衰减单元,用于针对所述黑名单中的任一一个IP标识信息,若在设定周期数内未获取到对所述IP标识信息的更新信息,则衰减所述IP标识信息的信誉值;
若衰减后的所述IP标识信息的信誉值不大于所述预设的安全阈值,则将所述IP标识信息移出所述黑名单。
CN201611170830.4A 2016-12-16 2016-12-16 一种网际协议ip信誉库生成方法及装置 Active CN106790041B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611170830.4A CN106790041B (zh) 2016-12-16 2016-12-16 一种网际协议ip信誉库生成方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611170830.4A CN106790041B (zh) 2016-12-16 2016-12-16 一种网际协议ip信誉库生成方法及装置

Publications (2)

Publication Number Publication Date
CN106790041A CN106790041A (zh) 2017-05-31
CN106790041B true CN106790041B (zh) 2020-09-22

Family

ID=58892145

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611170830.4A Active CN106790041B (zh) 2016-12-16 2016-12-16 一种网际协议ip信誉库生成方法及装置

Country Status (1)

Country Link
CN (1) CN106790041B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107465686A (zh) * 2017-08-23 2017-12-12 杭州安恒信息技术有限公司 基于网络异质大数据的ip信誉度计算方法及装置
CN112217777A (zh) * 2019-07-12 2021-01-12 上海云盾信息技术有限公司 攻击回溯方法及设备
CN111541702B (zh) * 2020-04-27 2023-04-07 北京天际友盟信息技术有限公司 网络威胁安全检测方法及装置
CN111970368B (zh) * 2020-08-24 2021-11-23 北京微步在线科技有限公司 一种基于ip信誉数据的信息处理方法、服务端及系统
CN112491869A (zh) * 2020-11-25 2021-03-12 上海七牛信息技术有限公司 一种基于ip信誉度的应用层ddos攻击的检测防护方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007002218A1 (en) * 2005-06-20 2007-01-04 Symantec Corporation Method and apparatus for maintaining reputation lists of ip addresses to detect email spam
CN101674264A (zh) * 2009-10-20 2010-03-17 哈尔滨工程大学 基于用户关系挖掘及信誉评价的垃圾邮件检测装置及方法
US20100235915A1 (en) * 2009-03-12 2010-09-16 Nasir Memon Using host symptoms, host roles, and/or host reputation for detection of host infection
CN104506356A (zh) * 2014-12-24 2015-04-08 网易(杭州)网络有限公司 一种确定ip地址信誉度的方法和装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8931043B2 (en) * 2012-04-10 2015-01-06 Mcafee Inc. System and method for determining and using local reputations of users and hosts to protect information in a network environment
CN104113519B (zh) * 2013-04-16 2017-07-14 阿里巴巴集团控股有限公司 网络攻击检测方法及其装置
US9319382B2 (en) * 2014-07-14 2016-04-19 Cautela Labs, Inc. System, apparatus, and method for protecting a network using internet protocol reputation information

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007002218A1 (en) * 2005-06-20 2007-01-04 Symantec Corporation Method and apparatus for maintaining reputation lists of ip addresses to detect email spam
US20100235915A1 (en) * 2009-03-12 2010-09-16 Nasir Memon Using host symptoms, host roles, and/or host reputation for detection of host infection
CN101674264A (zh) * 2009-10-20 2010-03-17 哈尔滨工程大学 基于用户关系挖掘及信誉评价的垃圾邮件检测装置及方法
CN104506356A (zh) * 2014-12-24 2015-04-08 网易(杭州)网络有限公司 一种确定ip地址信誉度的方法和装置

Also Published As

Publication number Publication date
CN106790041A (zh) 2017-05-31

Similar Documents

Publication Publication Date Title
CN106790041B (zh) 一种网际协议ip信誉库生成方法及装置
US9154516B1 (en) Detecting risky network communications based on evaluation using normal and abnormal behavior profiles
US9462009B1 (en) Detecting risky domains
CN103428189B (zh) 一种识别恶意网络设备的方法、装置和系统
US8001582B2 (en) Cross-network reputation for online services
US8856928B1 (en) Protecting electronic assets using false profiles in social networks
CN102624696B (zh) 一种网络安全态势评估方法
TWI743787B (zh) 對抗攻擊的監測方法和裝置
JP2020035424A (ja) ネットワークへの脅威のインジケータの抽出及び応答
CN113162953B (zh) 网络威胁报文检测及溯源取证方法和装置
CN104917739B (zh) 虚假账号的识别方法及装置
CN106549959B (zh) 一种代理网际协议ip地址的识别方法及装置
CN107395608B (zh) 一种网络访问异常检测方法及装置
CN110677384B (zh) 钓鱼网站的检测方法及装置、存储介质、电子装置
CN104270372B (zh) 一种参数自适应的网络安全态势量化评估方法
CN114363044B (zh) 一种分层告警方法、系统、存储介质和终端
CN104954188B (zh) 基于云的网站日志安全分析方法、装置和系统
CN109802915B (zh) 一种电信诈骗检测处理方法及装置
CN104506356A (zh) 一种确定ip地址信誉度的方法和装置
CN107623691A (zh) 一种基于反向传播神经网络算法的DDoS攻击检测系统及方法
JP2015179979A (ja) 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム
CN109510800B (zh) 一种网络请求处理方法、装置、电子设备及存储介质
CN107743087B (zh) 一种邮件攻击的检测方法及系统
CN107506355B (zh) 对象分组方法及装置
CN107046516A (zh) 一种识别移动终端身份的风控控制方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Patentee after: NSFOCUS Technologies Group Co.,Ltd.

Patentee after: NSFOCUS TECHNOLOGIES Inc.

Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd.

Patentee before: NSFOCUS TECHNOLOGIES Inc.

CP01 Change in the name or title of a patent holder
TR01 Transfer of patent right

Effective date of registration: 20220329

Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai 5 storey building

Patentee after: NSFOCUS Technologies Group Co.,Ltd.

Patentee after: NSFOCUS TECHNOLOGIES Inc.

Patentee after: Shenzhou Lvmeng Chengdu Technology Co.,Ltd.

Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Patentee before: NSFOCUS Technologies Group Co.,Ltd.

Patentee before: NSFOCUS TECHNOLOGIES Inc.

TR01 Transfer of patent right