CN107465686A - 基于网络异质大数据的ip信誉度计算方法及装置 - Google Patents
基于网络异质大数据的ip信誉度计算方法及装置 Download PDFInfo
- Publication number
- CN107465686A CN107465686A CN201710731889.4A CN201710731889A CN107465686A CN 107465686 A CN107465686 A CN 107465686A CN 201710731889 A CN201710731889 A CN 201710731889A CN 107465686 A CN107465686 A CN 107465686A
- Authority
- CN
- China
- Prior art keywords
- analyzed
- credit worthiness
- attack
- network
- credit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种基于网络异质大数据的IP信誉度计算方法及装置,涉及网络安全的技术领域,该方法包括:获取网络异质数据,其中,网络异质数据中至少包括以下数据:多个网络安全应用程序的监控日志,待分析IP,待分析IP的所有者,待分析IP的攻击目标的域名;基于网络异质数据计算待分析IP的本身特征域信誉度;按照预先设置的地域信息对本身特征域信誉度进行统计,得到空间域信誉度;基于待分析IP的历史信誉度计算待分析IP的时间域信誉度;基于本身特征域信誉度,空间域信誉度和时间域信誉度计算待分析IP的目标信誉度,目标信誉度用于表示待分析IP发生攻击的概率,缓解了传统的IP信誉度的计算方法不够全面从而导致的计算准确度较差的技术问题。
Description
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种基于网络异质大数据的IP信誉度计算方法及装置。
背景技术
在互联网中,互联网协议(Internet Protocol,简称IP)能够使连接到网上的所有计算机网络实现相互通信的一套规则,IP协议规定了计算机在互联网上进行通信时应当遵守的规则。任何厂家生产的计算机系统,只要遵守IP协议就可以在互联网上互连互通。
因此,IP地址具有一定程度的唯一性,基于其唯一性来计算IP的信誉度,能够在网络安全中发挥重要的作用。在得到所有IP的信誉度排序后,网络安全产品可以更有针对性地对信誉度低的IP进行监控及分析,从而使网络安全产品以最小的代价获得最大的收益。
在2015年11月,黑客对阿里云某互联网金融用户发起了超大规模HTTPS/SSL CC流量攻击,峰值95万QPS(HTTPS),总攻击量达到了5亿次请求。此次攻击也是迄今为止全世界有统计数据的最大的HTTPS SSL/CC攻击。如果能根据IP信誉度建立重点关注名单,那么将会直接拦截大部分低信誉度IP的攻击。
现有技术中,大部分IP信誉度计算方法都是嵌入在单个网络安全产品中,所得到的评估结果都是比较片面的,没有很强的说服力。比如,“WAF”(Web应用防护系统)产品主要对HTTP的请求进行异常检测,然后根据请求被拒绝的次数建立黑白名单作为辅助的先验防护。再比如,“数据库扫描”产品,会检测每个IP和数据库相关的拖库,篡改等操作,然后根据这方面的信息建立IP信誉度。
这些单一产品中的IP信誉度在全面性和说服力上都不能让人满意。因此,需要一种更加全面有说服力的IP信誉度计算方法。
发明内容
有鉴于此,本发明的目的在于提供一种基于网络异质大数据的IP信誉度计算方法及装置,以缓解了传统的IP信誉度的计算方法不够全面从而导致的计算准确度较差的技术问题。
第一方面,本发明实施例提供了一种基于网络异质大数据的IP信誉度计算方法,包括:获取网络异质数据,其中,所述网络异质数据中至少包括以下数据:多个网络安全应用程序的监控日志,待分析IP,所述待分析IP的所有者,所述待分析IP的攻击目标的域名;基于所述网络异质数据计算待分析IP的本身特征域信誉度;按照预先设置的地域信息对所述本身特征域信誉度进行统计,得到空间域信誉度;基于所述待分析IP的历史信誉度计算所述待分析IP的时间域信誉度;基于所述本身特征域信誉度,所述空间域信誉度和所述时间域信誉度计算所述待分析IP的目标信誉度,其中,所述目标信誉度用于表示所述待分析IP发生攻击的概率。
进一步地,所述本身特征域影响因子中包括N个子因素,基于所述网络异质数据计算待分析IP的本身特征域信誉度包括:对于每个子因素Ai,基于所述网络异质数据计算所述待分析IP的信誉度,得到N个信誉度,其中,i依次取1至N;计算所述N个信誉度的加权和;基于所述N个信誉度的加权和确定所述本身特征域信誉度。
进一步地,在所述子因素Ai为所述网络安全应用程序的拦截日志的情况下,对于每个子因素Ai,计算所述待分析IP的信誉度,得到N个信誉度包括:将所述网络安全应用程序按照防护等级进行分类,得到第一分组,其中,所述第一分组的数量至少为一个,且每个所述第一分组中包括一个或者多个等级相同的网络安全应用程序;基于所述第一分组中网络安全应用程序的拦截日志确定所述第一分组中的网络安全应用程序对所述待分析IP的第一监控结果,所述第一监控结果为所述第一分组的网络安全应用程序检测出的IP数量在预设数量中的百分比,所述预设数量为所述待分析IP的数量;基于所述第一监控结果计算第一信誉度。
进一步地,在所述子因素Ai为多个攻击目标的情况下,对于每个子因素Ai,计算所述待分析IP的信誉度,得到N个信誉度包括:按照所述攻击目标的属性对所述攻击目标进行分类,得到第二分组,其中,所述第二分组的数量至少为一个,且每个所述第二分组中包括一个或者多个属性相同的攻击目标;在所述网络异质数据中确定所述待分析IP对所述第二分组中的攻击目标进行攻击的次数在总攻击次数的占比,所述总攻击次数为全部所述第二分组中的网站进行攻击的次数;基于所述概率确定第二信誉度。
进一步地,在所述子因素Ai为攻击频率的情况下,对于每个子因素Ai,计算所述待分析IP的信誉度,得到N个信誉度包括:在所述网络异质数据中统计所述待分析IP的攻击频率;基于所述攻击频率确定所述待分析IP的第三信誉度。
进一步地,在所述子因素Ai为攻击时间的情况下,对于每个子因素Ai,计算所述待分析IP的信誉度,得到N个信誉度包括:将连续时间段划分为多个连续的时间区间;在所述网络异质数据中统计所述待分析IP在每个时间区间的攻击频率;基于所述待分析IP在每个时间区间的攻击频率确定所述待分析IP的第四信誉度。
进一步地,所述子因素Ai为僵尸主机的情况下,对于每个子因素Ai,计算所述待分析IP的信誉度,得到N个信誉度包括:确定所述待分析IP的所对应的网站是否已访问数据采集节点,其中,所述数据采集节点为网络安全应用程序所属企业的节点;如果确定出是,则确定目标变量的数值为预设数值;将所述预设数值代入至指示函数中,以确定所述待分析IP的第五信誉度。
进一步地,所述待分析IP的数量为多个,所述子因素Ai为攻击占比的情况下,对于每个子因素Ai,计算所述待分析IP的信誉度,得到N个信誉度包括:确定待保护的关键网站;在所述网络异质数据中确定每个待分析IP的攻击占比,其中,所述攻击占比为每个所述待分析IP对所述关键网站的攻击次数与多个所述待分析IP对所述关键网站的攻击总次数的比值;基于所述待分析IP对所述待保护的关键网站的攻击占比确定所述待分析IP的第六信誉度。
进一步地,按照预先设置的地域信息对所述本身特征域信誉度进行统计,得到空间域信誉度包括:获取预先设置的所述地域信息的等级信息,其中,所述等级信息包括依次降低的第一等级,第二等级和第三等级;对于每个待分析IP,在未获取到所述第一等级所属地域信息的标识信息的情况下,将所有待分析IP的平均信誉度作为每个所述待分析IP的空间域信誉度;对于每个所述待分析IP,在获取到所述第一等级所属地域信息的标识信息,且未获取到所述第二等级所属地域信息的标识信息的情况下,将所述第一等级所属地域信息的平均信誉度作为每个所述待分析IP的空间域信誉度;对于每个所述待分析IP,在获取到所述第一等级所属地域信息的标识信息,以及获取到所述第二等级所属地域信息的标识信息,且未获取到所述第三等级所属地域信息的标识信息的情况下,将所述第二等级所属地域信息的平均信誉度作为每个所述待分析IP的空间域信誉度;对于每个所述待分析IP,在获取到所述第三等级所属地域信息的标识信息的情况下,将所述第三等级所属地域信息的平均信誉度作为每个所述待分析IP的空间域信誉度。
第二方面,本发明实施例还提供一种基于网络异质大数据的IP信誉度计算装置,包括:获取单元,用于获取网络异质数据,其中,所述网络异质数据中至少包括以下数据:网络安全应用程序的监控日志,待分析IP,所述待分析IP的所有者,所述待分析IP的攻击目标的域名;第一计算单元,用于基于所述网络异质数据计算待分析IP的本身特征域信誉度;统计单元,用于按照预先设置的地域信息对所述本身特征域信誉度进行统计,得到空间域信誉度;第二计算单元,用于基于所述待分析IP的历史信誉度计算所述待分析IP的时间域信誉度;第三计算单元,用于基于所述本身特征域信誉度,所述空间域信誉度和所述时间域信誉度计算所述待分析IP的目标信誉度,其中,所述目标信誉度用于表示所述待分析IP发生攻击的概率。
在本发明实施例中,首先获取网络异质数据,然后基于网络异质数据计算待分析IP的本身特征域信誉度,接下来,按照预先设置的地域信息对本身特征域信誉度进行统计,得到空间域信誉度,并基于待分析IP的历史信誉度计算待分析IP的时间域信誉度,最后,基于本身特征域信誉度,空间域信誉度和时间域信誉度计算待分析IP的目标信誉度。在本发明实施例中,通过上述设置方式,能够同时对多个网络安全应用程序的监控日志进行分析,从而缓解了传统的IP信誉度的计算方法中,由于仅对一个网络安全应用程序的监控日志进行分析而导致的计算准确度较差的技术问题,从而实现了提高IP信誉度的计算精确度的技术效果。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的一种基于网络异质大数据的IP信誉度计算方法的流程图;
图2是根据本发明实施例的一种基于网络异质大数据的IP信誉度计算方法中基于网络异质数据计算待分析IP的本身特征域信誉度的计算步骤的流程图;
图3是根据本发明实施例的一种基于网络异质大数据的IP信誉度计算方法中按照预先设置的地域信息对本身特征域信誉度进行统计,得到空间域信誉度的计算步骤的流程图;
图4是根据本发明实施例的一种基于网络异质大数据的IP信誉度计算装置的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
根据本发明实施例,提供了一种基于网络异质大数据的IP信誉度计算方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种基于网络异质大数据的IP信誉度计算方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,获取网络异质数据,其中,网络异质数据中至少包括以下数据:多个网络安全应用程序的监控日志,待分析IP,待分析IP的所有者,待分析IP的攻击目标的域名;
在本发明实施例中,网络异质数据中主要包括“WAF”(Web应用防护系统)和“数据库扫描”等网络安全应用程序产生的日志;除此之外,还有从“whois”中获取到的待分析IP的攻击目标的域名、待分析IP以及待分析IP的所有者等信息。从网络异质数据中可以获取到与IP信誉度相关的本身特征域,空间域和时间域等三大类影响因子的有用信息。
步骤S104,基于网络异质数据计算待分析IP的本身特征域信誉度;
步骤S106,按照预先设置的地域信息对本身特征域信誉度进行统计,得到空间域信誉度;
步骤S108,基于待分析IP的历史信誉度计算待分析IP的时间域信誉度;
步骤S110,基于本身特征域信誉度,空间域信誉度和时间域信誉度计算待分析IP的目标信誉度,其中,目标信誉度用于表示待分析IP发生攻击的概率。
在本发明实施例中,首先获取网络异质数据,然后基于网络异质数据计算待分析IP的本身特征域信誉度,接下来,按照预先设置的地域信息对本身特征域信誉度进行统计,得到空间域信誉度,并基于待分析IP的历史信誉度计算待分析IP的时间域信誉度,最后,基于本身特征域信誉度,空间域信誉度和时间域信誉度计算待分析IP的目标信誉度。在本发明实施例中,通过上述设置方式,能够同时对多个网络安全应用程序的监控日志进行分析,从而缓解了传统的IP信誉度的计算方法中,由于仅对一个网络安全应用程序的监控日志进行分析而导致的计算准确度较差的技术问题,从而实现了提高IP信誉度的计算精确度的技术效果。
在一个可选的实施方式中,如图2所示,在本身特征域影响因子中包括N个子因素的情况下,步骤S104,基于网络异质数据计算待分析IP的本身特征域信誉度的计算过程包括如下步骤:
步骤S1041,对于每个子因素Ai,基于网络异质数据计算待分析IP的信誉度,得到N个信誉度,其中,i依次取1至N;
步骤S1042,计算N个信誉度的加权和;
步骤S1043,基于N个信誉度的加权和确定本身特征域信誉度。
具体地,本身特征域这类影响因子又可以细分为拦截日志,攻击目标,攻击频率,攻击时间,是否僵尸主机和攻击占比等这6个子因素(即,上述N个字因素);其中,分别用Ci表示每个子因素的信誉度打分,i=1,2,…,6。
在此情况下,本身特征域信誉度计算公式为:其中,x为N个子因素对应的N个信誉度的加权和,令每个子因素的权重为ωi,则x的计算公式如下:
其中,g(x)又称sigmoid函数,sigmoid函数能够打压过大和过小的结果(往往是噪音),以保证主流的结果不至于被忽视,所有变量x在sigmoid函数作用下都会被映射到[0,1]。
可选地,在子因素Ai为网络安全应用程序的拦截日志的情况下,对于每个子因素Ai,计算待分析IP的信誉度,得到N个信誉度的过程描述如下:
首先,将网络安全应用程序按照防护等级进行分类,得到第一分组,其中,第一分组的数量至少为一个,且每个第一分组中包括一个或者多个等级相同的网络安全应用程序;
然后,基于第一分组中网络安全应用程序的拦截日志确定第一分组中的网络安全应用程序对待分析IP的第一监控结果,第一监控结果为第一分组的网络安全应用程序检测出的IP数量在预设数量中的百分比,预设数量为待分析IP的数量;
最后,基于第一监控结果计算第一信誉度。
具体地,由于网络安全应用程序有很多,因此,可以按照网络安全应用程序的防护等级将多个网络安全应用程序进行分类,得到至少一个第一分组,例如,按照等级将多个网络安全应用程序可以划分为所属于4个等级的第一分组,其中,等级越高代表该待分析IP攻击的程度越深。例如,第1等级代表边界防护区,是最外层的防护,第4等级代表最内层的防护,主要涉及管理员权限等核心防护。
由于每个网络安全应用程序都会产生拦截日志,因此,可以从拦截日志中获取该分析IP是否被检测到;在攻击期间,该待分析IP可能被不同等级的一种或者多种网络安全应用程序检测到。因此,在本发明实施例中,采用4bits的向量V1来表示不同等级的网络安全应用程序的检测情况,4bits的向量V1中的每一位表示位于该等级的网络安全应用程序检测出该待分析IP的产品数量在预设数量中所占的百分比,预设数量为待分析IP的数量;需要说明的是,4bits的向量V1中的每一位即为第一监控结果。
在确定出第一监控结果之后,就可以基于第一监控结果计算第一信誉度C1,其中,第1个子因素的信誉度打分公式为:
其中,αi是不同防护等级的权重,也即不同第一分组的权重;V1i表示防护等级i检测出该IP的产品数量在总产品数量中所占的百分比,即,上述第一监控结果。
可选地,在子因素Ai为多个攻击目标的情况下,对于每个子因素Ai,计算待分析IP的信誉度,得到N个信誉度的计算过程描述如下:
首先,按照攻击目标的属性对攻击目标进行分类,得到第二分组,其中,第二分组的数量至少为一个,且每个第二分组中包括一个或者多个属性相同的攻击目标;
然后,在网络异质数据中确定待分析IP对第二分组中的攻击目标进行攻击的次数在总攻击次数的占比,总攻击次数为对第二分组中的网站进行攻击的总次数;
最后,基于概率确定第二信誉度。
在本发明可选实施方式中,主要关注和老百姓生活息息相关的政治、经济、文化等领域的网站,所以IP的攻击目标按照网站性质可以大致分为至少一个第二分组,例如分为N2类,N2即为第二分组的数量。其中,N2类主要是政府网站,教育网站,金融网站,黄赌毒网站和其他商业网站等。在攻击期间,待分析IP的攻击目标可能是其中的一类或者多类,所以用N2bits的向量V2来表示,每一位对应一个第二分组,该位上的数值表示攻击该第二分组中网站的次数在总的攻击次数中的占比,也即,对第二分组中的攻击目标进行攻击的频率。在确定出该频率之后,就可以基于该频率计算第二信誉度C2。
其中,第2个子因素的信誉度C2的计算公式为:其中,βi是不同第二分组的权重;V2i表示攻击第二分组i的次数在总的攻击次数中的占比。
可选地,在子因素Ai为攻击频率的情况下,对于每个子因素Ai,计算待分析IP的信誉度,得到N个信誉度的计算过程描述如下:
首先,在网络异质数据中统计待分析IP的攻击频率;
然后,基于攻击频率确定待分析IP的第三信誉度。
在实施例的可选实施方式中,待分析IP在攻击过程中,攻击频率V3的计算方法描述如下:V3=攻击次数/总访问次数;这个数值越大,说明IP的攻击性越明显,也即信誉度越差,所以,第三信誉度C3的计算公式为:C3=-V3。
可选地,在子因素Ai为攻击时间的情况下,对于每个子因素Ai,计算待分析IP的信誉度,得到N个信誉度的计算过程描述如下:
首先,将连续时间段划分为多个连续的时间区间;
然后,在网络异质数据中统计待分析IP在每个时间区间的攻击频率;
最后,基于待分析IP在每个时间区间的攻击频率确定待分析IP的第四信誉度。
具体地,据权威网络安全公司2015年提供的数据显示,攻击发起地前二位分别是:中国和美国;根据这些地区的上班,下班和睡觉习惯,可以连续时间段划分为多个连续的时间区间,例如,将一天的24小时按北京时间分成如表1所示的时间段分别进行统计。
表1
攻击时间的统计规律可以用4bits的向量V4=(a1,a2,a3,a4)来表示。4bits的向量中的每一位表示在每个时间区间内待分析IP的攻击频率。对于国内网络安全公司来说,上班时间(9:00~18:00)对网络安全的保护要比其余时间更加及时和到位;所以如果某个待分析IP集中于下班时间尤其是睡觉时间来攻击国内网络安全公司所保护的网站,那么该待分析IP的信誉度要相应调低;因此,第四信誉度C4的计算公式为:其中,ηi是不同时间段的权重;其中V41~V44分别对应a1~a4。
可选地,子因素Ai为僵尸主机的情况下,对于每个子因素Ai,计算待分析IP的信誉度,得到N个信誉度的计算过程描述如下:
首先,确定待分析IP所对应的网站是否已访问数据采集节点,其中,数据采集节点为网络安全应用程序所属企业的节点;
然后,如果确定出是,则确定目标变量的数值为预设数值;
最后,将预设数值代入至指示函数中,以确定待分析IP的第五信誉度。
在本发明实施例中,如果待分析IP绑定了域名的话,根据该待分析IP是可以获得其对应的域名的;然后,可以在“whois”上查出对应的网站性质,比如政府网站。一般情况下,政府网站不会访问网络安全公司布置在全国的数据采集节点,如果访问,则可以基本判定该服务器已成僵尸主机;所以可以根据网站性质分成两个集合:A(不会访问网络安全公司的数据采集节点)和B(会访问网络安全公司的数据采集节点);因而,第五信誉度C5的计算公式为:C5=I(website∈B)。
其中,I(·)为指示函数,当括号内表达式不为真时,该函数值为0,否则值为1(即,上述预设数值);website表示该待分析IP所对应的网站性质。
可选地,在子因素Ai为攻击占比的情况下,对于每个子因素Ai,计算待分析IP的信誉度,得到N个信誉度的计算过程描述如下:
首先,确定待保护的关键网站;
然后,在网络异质数据中确定每个待分析IP的攻击占比,其中,攻击占比为每个待分析IP对关键网站的攻击次数与多个待分析IP对关键网站的攻击总次数的比值;
最后,基于待分析IP对待保护的关键网站的攻击占比确定待分析IP的第六信誉度。
在本发明实施例中,可以根据网络安全公司要保护的重要网站(即,上述关键网站)来统计所有攻击该关键网站的待分析IP的攻击次数,其中,待分析IP的攻击占比V6的计算方式为:该待分析IP的攻击次数/所有待分析IP的攻击次数;这个数值越大,说明该IP对重要网站的攻击性越明显,也即信誉度越差,所以,第六信誉度C6打分公式为:
通过上述描述可知,在本发明实施例中,利用多种网络安全应用程序的日志信息和“whois”信息等网络异质大数据,按照不同的影响因子进行预处理,然后分别计算本身特征域信誉度,空间域信誉度和时间域信誉度,最后加权得到更加全面有说服力的IP信誉度排序。
在本发明实施例的另一个可选实施方式中,如图3所示,上述步骤S106,即,按照预先设置的地域信息对本身特征域信誉度进行统计,得到空间域信誉度包括如下步骤:
步骤S1061,获取预先设置的地域信息的等级信息,其中,等级信息包括依次降低的第一等级,第二等级和第三等级;
步骤S1062,对于每个待分析IP,在未获取到第一等级所属地域信息的标识信息的情况下,将所有待分析IP的平均信誉度作为每个待分析IP的空间域信誉度;
步骤S1063,对于每个待分析IP,在获取到第一等级所属地域信息的标识信息,且未获取到第二等级所属地域信息的标识信息的情况下,将第一等级所属地域信息的平均信誉度作为每个待分析IP的空间域信誉度;
步骤S1064,对于每个待分析IP,在获取到第一等级所属地域信息的标识信息,以及获取到第二等级所属地域信息的标识信息,且未获取到第三等级所属地域信息的标识信息的情况下,将第二等级所属地域信息的平均信誉度作为每个待分析IP的空间域信誉度;
步骤S1065,对于每个待分析IP,在获取到第三等级所属地域信息的标识信息的情况下,将第三等级所属地域信息的平均信誉度作为每个待分析IP的空间域信誉度。
具体地,在本发明实施例中,可以将预先设置的地域信息分为3个等级(AR1,AR2,AR3),AR1即上述第一等级信息,AR2即上述第二等级信息,AR3即上述第三等级信息,(AR1,AR2,AR3)分别对应了国家,省或州,市。每个等级都用int型整数表示不同的地域,比如国家这个等级采用国际通用的三位数表示,156表示中国,840表示美国;这三个等级的数据不一定都能收集到,如果没有收集到,则都用0表示数据缺失。
上述空间域信誉度的计算公式为:
对于每个待分析IP,在未获取到第一等级所属地域信息的标识信息的情况下,将所有待分析IP的平均信誉度作为每个待分析IP的空间域信誉度。
例如,当AR1==0即国家AR1未收集到时,该IP的空间域信誉度为所有待分析IP总的平均信誉度
对于每个待分析IP,在获取到第一等级所属地域信息的标识信息,且未获取到第二等级所属地域信息的标识信息的情况下,将第一等级所属地域信息的平均信誉度作为每个待分析IP的空间域信誉度。
例如,当AR1!=0&&AR2==0即国家AR1收集到,但省或州AR2未收集到时,该IP的空间域信誉度为相应的国家AR1的平均信誉度
对于每个待分析IP,在获取到第一等级所属地域信息的标识信息,以及获取到第二等级所属地域信息的标识信息,且未获取到第三等级所属地域信息的标识信息的情况下,将第二等级所属地域信息的平均信誉度作为每个待分析IP的空间域信誉度。
例如,当AR1!=0&&AR2!=0&&AR3==0即国家AR1和省或州AR2收集到,但市AR3未收集到时,该IP的空间域信誉度为相应的省或州AR2的平均信誉度
对于每个待分析IP,在获取到第三等级所属地域信息的标识信息的情况下,将第三等级所属地域信息的平均信誉度作为每个待分析IP的空间域信誉度。
例如,其余情况,市AR3收集到,此时国家AR1和省或州AR2必定能收集到,该IP的空间域信誉度为相应的市AR3的平均信誉度
需要说明的是,在本发明实施例中,可以根据CF及其所在地域信息,可以统计出所有地域信息总的平均信誉度以及不同地域等级i所对应地域的平均信誉度具体计算过程描述如下:
首先,统计待分析IP中位于地域信息所指示的地域的目标IP;
然后,统计目标IP的本身特征域信誉度的加权平均值,并将加权平均值作为地域信息的空间域信誉度。
例如,对于北京市,统计待分析IP中位于北京市的目标IP;然后,统计目标IP的本身特征域信誉度的加权平均值,并将该加权平均值作为北京市的空间域信誉度。
在本发明实施例的另一个可选实施方式中,基于待分析IP的历史信誉度计算待分析IP的时间域信誉度的计算过程描述如下:
具体地,在时间域上,待分析IP在当前时刻的时间域信誉度与待分析IP的历史信誉度相关联,例如,与之前NT=10天内该待分析IP的总信誉度(即,10天内该待分析IP的目标信誉度)相关,NT天以外的总信誉度对当前时刻时间域信誉度的影响可以忽略不计。之前NT天的总信誉度对当前时间域信誉度的影响随相距天数的增加呈指数下降;所以,待分析IP在当前时刻的时间域信誉度打分公式为:
其中,Ct为以当前时刻为基准往前第t天的总信誉度打分;若以当天为基准往前第t天的总信誉度暂无打分,则Ct为0。
在计算得到本身特征域信誉度CF,空间域信誉度CS和时间域信誉度CT之后,就可以基于上述三种信誉度计算待分析IP的目标信誉度。具体计算过程为:对每个域信誉度的平方计算加权和,就能得到总的IP信誉度C,公式为:C=λ1CF+λ2CS+λ3CT;其中λ1,λ2,λ3为各个域信誉度的权重,在本实施方式中可分别取(0.6,0.2,0.2)。
接下来,对待分析IP中每个待分析IP的目标信誉度进行降序输出,信誉度越低表示发生攻击的可能性越高;各类网络安全应用程序可以针对性地对信誉度低的待分析IP进行监控及分析,从而使网络安全产品以最小的代价获得最大的收益。
实施例二:
本发明实施例还提供了一种基于网络异质大数据的IP信誉度计算装置,该基于网络异质大数据的IP信誉度计算装置主要用于执行本发明实施例上述内容所提供的基于网络异质大数据的IP信誉度计算方法,以下对本发明实施例提供的基于网络异质大数据的IP信誉度计算装置做具体介绍。
图4是根据本发明实施例的一种基于网络异质大数据的IP信誉度计算装置的示意图,如图4所示,该基于网络异质大数据的IP信誉度计算装置主要包括:获取单元41,第一计算单元42,统计单元43,第二计算单元44和第三计算单元45,其中:
获取单元41,用于获取网络异质数据,其中,网络异质数据中至少包括以下数据:网络安全应用程序的监控日志,待分析IP,待分析IP的所有者,待分析IP的攻击目标的域名;
第一计算单元42,用于基于网络异质数据计算待分析IP的本身特征域信誉度;
统计单元43,用于按照预先设置的地域信息对本身特征域信誉度进行统计,得到空间域信誉度;
第二计算单元44,用于基于待分析IP的历史信誉度计算待分析IP的时间域信誉度;
第三计算单元45,用于基于本身特征域信誉度,空间域信誉度和时间域信誉度计算待分析IP的目标信誉度,其中,目标信誉度用于表示待分析IP发生攻击的概率。
在本发明实施例中,首先获取网络异质数据,然后基于网络异质数据计算待分析IP的本身特征域信誉度,接下来,按照预先设置的地域信息对本身特征域信誉度进行统计,得到空间域信誉度,并基于待分析IP的历史信誉度计算待分析IP的时间域信誉度,最后,基于本身特征域信誉度,空间域信誉度和时间域信誉度计算待分析IP的目标信誉度。在本发明实施例中,通过上述设置方式,能够同时对多个网络安全应用程序的监控日志进行分析,从而缓解了传统的IP信誉度的计算方法中,由于仅对一个网络安全应用程序的监控日志进行分析而导致的计算准确度较差的技术问题,从而实现了提高IP信誉度的计算精确度的技术效果。
可选地,本身特征域影响因子中包括N个子因素,第一计算单元包括:第一计算模块,用于对于每个子因素Ai,基于网络异质数据计算待分析IP的信誉度,得到N个信誉度,其中,i依次取1至N;第二计算模块,用于计算N个信誉度的加权和;第一确定模块,用于基于N个信誉度的加权和确定本身特征域信誉度。
可选地,在子因素Ai为网络安全应用程序的拦截日志的情况下,第一计算模块用于:将网络安全应用程序按照防护等级进行分类,得到第一分组,其中,第一分组的数量至少为一个,且每个第一分组中包括一个或者多个等级相同的网络安全应用程序;基于所述第一分组中网络安全应用程序的拦截日志确定所述第一分组中的网络安全应用程序对所述待分析IP的第一监控结果,所述第一监控结果为所述第一分组的网络安全应用程序检测出的IP数量在预设数量中的百分比,所述预设数量为所述待分析IP的数量;基于第一监控结果计算第一信誉度。
可选地,在子因素Ai为多个攻击目标的情况下,第一计算模块用于:按照攻击目标的属性对攻击目标进行分类,得到第二分组,其中,第二分组的数量至少为一个,且每个第二分组中包括一个或者多个属性相同的攻击目标;在所述网络异质数据中确定所述待分析IP对所述第二分组中的攻击目标进行攻击的次数在总攻击次数的占比,所述总攻击次数为全部所述第二分组中的网站进行攻击的次数;基于概率确定第二信誉度。
可选地,在子因素Ai为攻击频率的情况下,第一计算模块用于:在网络异质数据中统计待分析IP的攻击频率;基于攻击频率确定待分析IP的第三信誉度。
可选地,在子因素Ai为攻击时间的情况下,第一计算模块用于:将连续时间段划分为多个连续的时间区间;在网络异质数据中统计待分析IP在每个时间区间的攻击频率;基于待分析IP在每个时间区间的攻击频率确定待分析IP的第四信誉度。
可选地,在子因素Ai为僵尸主机的情况下,第一计算模块用于:确定待分析IP的所对应的网站是否已访问数据采集节点,其中,数据采集节点为网络安全应用程序所属企业的节点;如果确定出是,则确定目标变量的数值为预设数值;将预设数值代入至指示函数中,以确定待分析IP的第五信誉度。
可选地,待分析IP的数量为多个,子因素Ai为攻击占比的情况下,第一计算模块用于:确定待保护的关键网站;在网络异质数据中确定每个待分析IP的攻击占比,其中,攻击占比为每个待分析IP对关键网站的攻击次数与多个待分析IP对关键网站的攻击总次数的比值;基于待分析IP对待保护的关键网站的攻击占比确定待分析IP的第六信誉度。
可选地,统计单元包括:获取模块,用于获取预先设置的地域信息的等级信息,其中,等级信息包括等级依次降低的:第一等级,第二等级和第三等级;第二确定模块,用于对于每个待分析IP,在未获取到第一等级所属地域信息的标识信息的情况下,将所有待分析IP的平均信誉度作为每个所述待分析IP的空间域信誉度;第三确定模块,用于对于每个待分析IP,在获取到第一等级所属地域信息的标识信息,且未获取到第二等级所属地域信息的标识信息的情况下,将第一等级所属地域信息的平均信誉度作为每个待分析IP的空间域信誉度;第四确定模块,用于对于每个待分析IP,在获取到第一等级所属地域信息的标识信息,以及获取到第二等级所属地域信息的标识信息,且未获取到第三等级所属地域信息的标识信息的情况下,将第二等级所属地域信息的平均信誉度作为每个待分析IP的空间域信誉度;第五确定模块,用于对于每个待分析IP,在获取到第三等级所属地域信息的标识信息的情况下,将第三等级所属地域信息的平均信誉度作为每个待分析IP的空间域信誉度。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本发明实施例所提供的一种基于网络异质大数据的IP信誉度计算方法及装置的计算机程序产品,包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种基于网络异质大数据的IP信誉度计算方法,其特征在于,包括:
获取网络异质数据,其中,所述网络异质数据中至少包括以下数据:多个网络安全应用程序的监控日志,待分析IP,所述待分析IP的所有者,所述待分析IP的攻击目标的域名;
基于所述网络异质数据计算待分析IP的本身特征域信誉度;
按照预先设置的地域信息对所述本身特征域信誉度进行统计,得到空间域信誉度;
基于所述待分析IP的历史信誉度计算所述待分析IP的时间域信誉度;
基于所述本身特征域信誉度,所述空间域信誉度和所述时间域信誉度计算所述待分析IP的目标信誉度,其中,所述目标信誉度用于表示所述待分析IP发生攻击的概率。
2.根据权利要求1所述的方法,其特征在于,所述本身特征域影响因子中包括N个子因素,基于所述网络异质数据计算待分析IP的本身特征域信誉度包括:
对于每个子因素Ai,基于所述网络异质数据计算所述待分析IP的信誉度,得到N个信誉度,其中,i依次取1至N;
计算所述N个信誉度的加权和;
基于所述N个信誉度的加权和确定所述本身特征域信誉度。
3.根据权利要求2所述的方法,其特征在于,在所述子因素Ai为所述网络安全应用程序的拦截日志的情况下,对于每个子因素Ai,计算所述待分析IP的信誉度,得到N个信誉度包括:
将所述网络安全应用程序按照防护等级进行分类,得到第一分组,其中,所述第一分组的数量至少为一个,且每个所述第一分组中包括一个或者多个等级相同的网络安全应用程序;
基于所述第一分组中网络安全应用程序的拦截日志确定所述第一分组中的网络安全应用程序对所述待分析IP的第一监控结果,所述第一监控结果为所述第一分组的网络安全应用程序检测出的IP数量在预设数量中的百分比,所述预设数量为所述待分析IP的数量;
基于所述第一监控结果计算第一信誉度。
4.根据权利要求2所述的方法,其特征在于,在所述子因素Ai为多个攻击目标的情况下,对于每个子因素Ai,计算所述待分析IP的信誉度,得到N个信誉度包括:
按照所述攻击目标的属性对所述攻击目标进行分类,得到第二分组,其中,所述第二分组的数量至少为一个,且每个所述第二分组中包括一个或者多个属性相同的攻击目标;
在所述网络异质数据中确定所述待分析IP对所述第二分组中的攻击目标进行攻击的次数在总攻击次数的占比,所述总攻击次数为对所述第二分组中的网站进行攻击的总次数;
基于所述概率确定第二信誉度。
5.根据权利要求2所述的方法,其特征在于,在所述子因素Ai为攻击频率的情况下,对于每个子因素Ai,计算所述待分析IP的信誉度,得到N个信誉度包括:
在所述网络异质数据中统计所述待分析IP的攻击频率;
基于所述攻击频率确定所述待分析IP的第三信誉度。
6.根据权利要求2所述的方法,其特征在于,在所述子因素Ai为攻击时间的情况下,对于每个子因素Ai,计算所述待分析IP的信誉度,得到N个信誉度包括:
将连续时间段划分为多个连续的时间区间;
在所述网络异质数据中统计所述待分析IP在每个时间区间的攻击频率;
基于所述待分析IP在每个时间区间的攻击频率确定所述待分析IP的第四信誉度。
7.根据权利要求2所述的方法,其特征在于,在所述子因素Ai为僵尸主机的情况下,对于每个子因素Ai,计算所述待分析IP的信誉度,得到N个信誉度包括:
确定所述待分析IP的所对应的网站是否已访问数据采集节点,其中,所述数据采集节点为网络安全应用程序所属企业的节点;
如果确定出是,则确定目标变量的数值为预设数值;
将所述预设数值代入至指示函数中,以确定所述待分析IP的第五信誉度。
8.根据权利要求2所述的方法,其特征在于,在所述待分析IP的数量为多个,且所述子因素Ai为攻击占比的情况下,对于每个子因素Ai,计算所述待分析IP的信誉度,得到N个信誉度包括:
确定待保护的关键网站;
在所述网络异质数据中确定每个待分析IP的攻击占比,其中,所述攻击占比为每个所述待分析IP对所述关键网站的攻击次数与多个所述待分析IP对所述关键网站的攻击总次数的比值;
基于所述待分析IP对所述待保护的关键网站的攻击占比确定所述待分析IP的第六信誉度。
9.根据权利要求1所述的方法,其特征在于,按照预先设置的地域信息对所述本身特征域信誉度进行统计,得到空间域信誉度包括:
获取预先设置的所述地域信息的等级信息,其中,所述等级信息包括依次降低的第一等级,第二等级和第三等级;
对于每个待分析IP,在未获取到所述第一等级所属地域信息的标识信息的情况下,将所有待分析IP的平均信誉度作为每个所述待分析IP的空间域信誉度;
对于每个所述待分析IP,在获取到所述第一等级所属地域信息的标识信息,且未获取到所述第二等级所属地域信息的标识信息的情况下,将所述第一等级所属地域信息的平均信誉度作为每个所述待分析IP的空间域信誉度;
对于每个所述待分析IP,在获取到所述第一等级所属地域信息的标识信息,以及获取到所述第二等级所属地域信息的标识信息,且未获取到所述第三等级所属地域信息的标识信息的情况下,将所述第二等级所属地域信息的平均信誉度作为每个所述待分析IP的空间域信誉度;
对于每个所述待分析IP,在获取到所述第三等级所属地域信息的标识信息的情况下,将所述第三等级所属地域信息的平均信誉度作为每个所述待分析IP的空间域信誉度。
10.一种基于网络异质大数据的IP信誉度计算装置,其特征在于,包括:
获取单元,用于获取网络异质数据,其中,所述网络异质数据中至少包括以下数据:网络安全应用程序的监控日志,待分析IP,所述待分析IP的所有者,所述待分析IP的攻击目标的域名;
第一计算单元,用于基于所述网络异质数据计算待分析IP的本身特征域信誉度;
统计单元,用于按照预先设置的地域信息对所述本身特征域信誉度进行统计,得到空间域信誉度;
第二计算单元,用于基于所述待分析IP的历史信誉度计算所述待分析IP的时间域信誉度;
第三计算单元,用于基于所述本身特征域信誉度,所述空间域信誉度和所述时间域信誉度计算所述待分析IP的目标信誉度,其中,所述目标信誉度用于表示所述待分析IP发生攻击的概率。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710731889.4A CN107465686A (zh) | 2017-08-23 | 2017-08-23 | 基于网络异质大数据的ip信誉度计算方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710731889.4A CN107465686A (zh) | 2017-08-23 | 2017-08-23 | 基于网络异质大数据的ip信誉度计算方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107465686A true CN107465686A (zh) | 2017-12-12 |
Family
ID=60550256
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710731889.4A Pending CN107465686A (zh) | 2017-08-23 | 2017-08-23 | 基于网络异质大数据的ip信誉度计算方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107465686A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110990852A (zh) * | 2019-11-26 | 2020-04-10 | 李明喜 | 大数据安全防护方法、装置、服务器及可读存储介质 |
| CN113347205A (zh) * | 2021-06-30 | 2021-09-03 | 深圳前海微众银行股份有限公司 | 一种检测业务访问请求的方法及装置 |
| CN113992358A (zh) * | 2021-09-29 | 2022-01-28 | 杭州迪普科技股份有限公司 | 网络安全策略的分配方法及装置 |
| WO2023093206A1 (zh) * | 2021-11-24 | 2023-06-01 | 中国银联股份有限公司 | 一种网页访问限流方法、装置及计算机可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102656587A (zh) * | 2009-08-13 | 2012-09-05 | 赛门铁克公司 | 在信誉系统中使用客户端装置的置信量度 |
| CN104506356A (zh) * | 2014-12-24 | 2015-04-08 | 网易(杭州)网络有限公司 | 一种确定ip地址信誉度的方法和装置 |
| CN105610833A (zh) * | 2015-12-30 | 2016-05-25 | 新浪网技术(中国)有限公司 | 一种基于ip信誉值的邮件反垃圾方法及系统 |
| US9596264B2 (en) * | 2014-02-18 | 2017-03-14 | Proofpoint, Inc. | Targeted attack protection using predictive sandboxing |
| CN106506553A (zh) * | 2016-12-28 | 2017-03-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种网际协议ip过滤方法及系统 |
| CN106790041A (zh) * | 2016-12-16 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种网际协议ip信誉库生成方法及装置 |
-
2017
- 2017-08-23 CN CN201710731889.4A patent/CN107465686A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102656587A (zh) * | 2009-08-13 | 2012-09-05 | 赛门铁克公司 | 在信誉系统中使用客户端装置的置信量度 |
| US9596264B2 (en) * | 2014-02-18 | 2017-03-14 | Proofpoint, Inc. | Targeted attack protection using predictive sandboxing |
| CN104506356A (zh) * | 2014-12-24 | 2015-04-08 | 网易(杭州)网络有限公司 | 一种确定ip地址信誉度的方法和装置 |
| CN105610833A (zh) * | 2015-12-30 | 2016-05-25 | 新浪网技术(中国)有限公司 | 一种基于ip信誉值的邮件反垃圾方法及系统 |
| CN106790041A (zh) * | 2016-12-16 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种网际协议ip信誉库生成方法及装置 |
| CN106506553A (zh) * | 2016-12-28 | 2017-03-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种网际协议ip过滤方法及系统 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110990852A (zh) * | 2019-11-26 | 2020-04-10 | 李明喜 | 大数据安全防护方法、装置、服务器及可读存储介质 |
| CN110990852B (zh) * | 2019-11-26 | 2022-05-13 | 宁波坚锋新材料有限公司 | 大数据安全防护方法、装置、服务器及可读存储介质 |
| CN113347205A (zh) * | 2021-06-30 | 2021-09-03 | 深圳前海微众银行股份有限公司 | 一种检测业务访问请求的方法及装置 |
| CN113347205B (zh) * | 2021-06-30 | 2022-10-28 | 深圳前海微众银行股份有限公司 | 一种检测业务访问请求的方法及装置 |
| CN113992358A (zh) * | 2021-09-29 | 2022-01-28 | 杭州迪普科技股份有限公司 | 网络安全策略的分配方法及装置 |
| CN113992358B (zh) * | 2021-09-29 | 2023-07-07 | 杭州迪普科技股份有限公司 | 网络安全策略的分配方法及装置 |
| WO2023093206A1 (zh) * | 2021-11-24 | 2023-06-01 | 中国银联股份有限公司 | 一种网页访问限流方法、装置及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107465686A (zh) | 基于网络异质大数据的ip信誉度计算方法及装置 | |
| CN107579956B (zh) | 一种用户行为的检测方法和装置 | |
| CN107819783A (zh) | 一种基于威胁情报的网络安全检测方法及系统 | |
| CN111614690B (zh) | 一种异常行为检测方法及装置 | |
| CN106354800A (zh) | 一种基于多维度特征的不良网站检测方法 | |
| CN103428189B (zh) | 一种识别恶意网络设备的方法、装置和系统 | |
| CN102841990B (zh) | 一种基于统一资源定位符的恶意代码检测方法和系统 | |
| CN103716282B (zh) | 一种修正ip库的方法和系统 | |
| CN103605714B (zh) | 网站异常数据的识别方法及装置 | |
| CN104579773B (zh) | 域名系统分析方法及装置 | |
| DE202013102441U1 (de) | System zur Überprüfung digitaler Zertifikate | |
| CN103179132A (zh) | 一种检测和防御cc攻击的方法及装置 | |
| CN108833437A (zh) | 一种基于流量指纹和通信特征匹配的apt检测方法 | |
| CN101212338A (zh) | 基于监控探针联动的网络安全事件溯源系统与方法 | |
| CN108023868B (zh) | 恶意资源地址检测方法和装置 | |
| CN106779278A (zh) | 资产信息的评价系统及其信息的处理方法和装置 | |
| CN103970747B (zh) | 网络侧计算机对搜索结果进行排序的数据处理方法 | |
| CN108334758A (zh) | 一种用户越权行为的检测方法、装置及设备 | |
| CN106375345A (zh) | 一种基于周期性检测的恶意软件域名检测方法及系统 | |
| CN111866196B (zh) | 一种域名流量特征提取方法、装置、设备及可读存储介质 | |
| CN106294508A (zh) | 一种刷量工具检测方法及装置 | |
| CN106790062A (zh) | 一种基于反向dns查询属性聚合的异常检测方法及系统 | |
| CN106850647A (zh) | 基于dns请求周期的恶意域名检测算法 | |
| CN113378899A (zh) | 非正常账号识别方法、装置、设备和存储介质 | |
| CN109165529A (zh) | 一种暗链篡改检测方法、装置和计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171212 |