CN112565164A - 危险ip的识别方法、装置和计算机可读存储介质 - Google Patents

危险ip的识别方法、装置和计算机可读存储介质 Download PDF

Info

Publication number
CN112565164A
CN112565164A CN201910914472.0A CN201910914472A CN112565164A CN 112565164 A CN112565164 A CN 112565164A CN 201910914472 A CN201910914472 A CN 201910914472A CN 112565164 A CN112565164 A CN 112565164A
Authority
CN
China
Prior art keywords
source
dangerous
url
risk coefficient
network access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910914472.0A
Other languages
English (en)
Other versions
CN112565164B (zh
Inventor
刘东鑫
汪来富
金华敏
王爱宝
邓博仁
张昊迪
李诗旸
史国水
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN201910914472.0A priority Critical patent/CN112565164B/zh
Publication of CN112565164A publication Critical patent/CN112565164A/zh
Application granted granted Critical
Publication of CN112565164B publication Critical patent/CN112565164B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开涉及一种危险IP的识别方法、装置和计算机可读存储介质,涉及网络安全技术领域。该方法包括:获取进行网络访问的各源IP在待处理时间段内的网络访问次数;在待处理时间段内,对各源IP的URL进行异常检测,以获取URL异常次数;根据网络访问次数和URL异常次数,确定各源IP是否为危险IP。

Description

危险IP的识别方法、装置和计算机可读存储介质
技术领域
本公开涉及网络安全技术领域,特别涉及一种危险IP的识别方法、危险IP的识别装置和计算机可读存储介质。
背景技术
随着网络技术的快速发展和广泛应用,网络安全问题的全局性影响作用日益增强。通过对各种网络中间件日志进行综合采集、监控、管理及分析,可以有效增强网络安全。
在相关技术中,主要采用单条日志审计框架,进行日志安全审计。
发明内容
本公开的发明人发现上述相关技术中存在如下问题:以单条日志为依据进行安全审计,难以形成包含上下文信息的审计结果,导致审计误报率高。
鉴于此,本公开提出了一种危险IP的识别技术方案,能够降低审计误报率。
根据本公开的一些实施例,提供了一种危险IP(Internet Protocol,网际协议IP)的识别方法,包括:获取进行网络访问的各源IP在待处理时间段内的网络访问次数;在所述待处理时间段内,对所述各源IP的URL(Uniform Resource Locator,统一资源定位符)进行异常检测,以获取URL异常次数;根据所述网络访问次数和所述URL异常次数,确定各源IP是否为危险IP。
在一些实施例中,所述的识别方法还包括:根据训练好的状态码转移模型,计算所述各源IP的响应状态码序列的生成概率,所述状态码转移模型包括正常网络访问的各状态码的初始生成概率和各状态码之间的状态转移概率。
在一些实施例中,所述确定各源IP是否为危险IP包括:根据所述网络访问次数、所述URL异常次数和所述生成概率,确定所述各源IP是否为危险IP。
在一些实施例中,所述确定所述各源IP是否为危险IP包括:根据所述网络访问次数,确定所述各源IP的第一风险系数,所述第一风险系数与所述网络访问次数正相关;根据所述URL异常次数,确定所述各源IP的第二风险系数,所述第二风险系数与所述URL异常次数正相关;根据所述生成概率,确定所述各源IP的第三风险系数,所述第三风险系数与所述生成概率负相关;根据所述第一风险系数、所述第二风险系数和所述第三风险系数的加权和,确定各源IP是否为危险IP。
在一些实施例中,源IP的所述第一风险系数的权值与该源IP的网络访问次数正相关,与所述各源IP的网络访问次数之和负相关。
在一些实施例中,源IP的所述第二风险系数的权值与该源IP的所述第一风险系数的权值负相关,与该源IP的URL异常次数正相关,与该源IP的网络访问次数负相关。
在一些实施例中,所述第一风险系数的权值、所述第二风险系数的权值和所述第三风险系数的权值之和为1。
在一些实施例中,所述状态码转移模型为根据历史正常网络访问的响应状态码序列训练的马尔科夫模型。
在一些实施例中,所述对所述各源IP的统一资源定位符URL进行异常检测包括:根据历史攻击访问的payload(有效载荷)数据,确定异常URL的正则表达式;在所述各源IP的URL与所述正则表达式匹配的情况下,确定该URL异常。
在一些实施例中,所述对所述各源IP的统一资源定位符URL进行异常检测包括:在所述各源IP的URL与所述正则表达式不匹配的情况下,利用机器学习算法,判断该URL是否异常。
在一些实施例中,所述确定各源IP是否为危险IP包括:在所述网络访问次数大于第一阈值的情况下,将对应的源IP确定为第一等级危险IP;在所述URL异常次数大于第二阈值的情况下,将对应的源IP确定为第二等级危险IP,所述第二等级危险IP的危险程度高于所述第一等级危险IP。
根据本公开的另一些实施例,提供一种危险IP的识别装置,包括:获取单元,用于获取进行网络访问的各源IP在待处理时间段内的网络访问次数;检测单元,用于在所述待处理时间段内,对所述各源IP的URL进行异常检测,以获取URL异常次数;确定单元,用于根据所述网络访问次数和所述URL异常次数,确定各源IP是否为危险IP。
在一些实施例中,所述的识别装置还包括:计算单元,用于根据训练好的状态码转移模型,计算所述各源IP的响应状态码序列的生成概率,所述状态码转移模型包括正常网络访问的各状态码的初始生成概率和各状态码之间的状态转移概率。
在一些实施例中,所述确定单元根据所述网络访问次数、所述URL异常次数和所述生成概率,确定所述各源IP是否为危险IP。
在一些实施例中,所述确定单元根据所述网络访问次数,确定所述各源IP的第一风险系数,所述第一风险系数与所述网络访问次数正相关,根据所述URL异常次数,确定所述各源IP的第二风险系数,所述第二风险系数与所述URL异常次数正相关,根据所述生成概率,确定所述各源IP的第三风险系数,所述第三风险系数与所述生成概率负相关,根据所述第一风险系数、所述第二风险系数和所述第三风险系数的加权和,确定各源IP是否为危险IP。
在一些实施例中,源IP的所述第一风险系数的权值与该源IP的网络访问次数正相关,与所述各源IP的网络访问次数之和负相关。
在一些实施例中,源IP的所述第二风险系数的权值与该源IP的所述第一风险系数的权值负相关,与该源IP的URL异常次数正相关,与该源IP的网络访问次数负相关。
在一些实施例中,所述第一风险系数的权值、所述第二风险系数的权值和所述第三风险系数的权值之和为1。
在一些实施例中,所述状态码转移模型为根据历史正常网络访问的响应状态码序列训练的马尔科夫模型。
在一些实施例中,所述检测单元根据历史攻击访问的有效载荷payload数据,确定异常URL的正则表达式,在所述各源IP的URL与所述正则表达式匹配的情况下,确定该URL异常。
在一些实施例中,所述检测单元在所述各源IP的URL与所述正则表达式不匹配的情况下,利用机器学习算法,判断该URL是否异常。
在一些实施例中,所述确定单元在所述网络访问次数大于第一阈值的情况下,将对应的源IP确定为第一等级危险IP。
在一些实施例中,所述确定单元在所述URL异常次数大于第二阈值的情况下,将对应的源IP确定为第二等级危险IP,所述第二等级危险IP的危险程度高于所述第一等级危险IP。
根据本公开的又一些实施例,提供一种危险IP的识别装置,包括:存储器;和耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器装置中的指令,执行上述任一个实施例中的危险IP的识别方法。
根据本公开的再一些实施例,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任一个实施例中的危险IP的识别方法。
在上述实施例中,根据待处理时间段内的网络访问次数和URL异常次数,判断源IP是否异常。这样,以时间窗口为框架构建了网络安全的上下文信息,以此为依据进行安全审计可以降低审计的误报率。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1示出本公开的危险IP的识别方法的一些实施例的流程图;
图2示出图1的步骤120的一些实施例的流程图;
图3示出图1的步骤130的一些实施例的流程图。
图4示出本公开的危险IP的识别方法的另一些实施例的流程图;
图5示出本公开的危险IP的识别装置的一些实施例的框图;
图6示出本公开的危险IP的识别装置的另一些实施例的框图;
图7示出本公开的危险IP的识别装置的又一些实施例的框图。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1示出本公开的危险IP的识别方法的一些实施例的流程图。
如图1所示,该方法包括:步骤110,获取网络访问次数;步骤120,获取URL异常次数;和步骤130,确定危险IP。
在步骤110中,获取进行网络访问的各源IP在待处理时间段内的网络访问次数。例如,可以在待处理时间段(预设的时间窗口)内,从Web(网络)服务器的中间件日志中,进行相关数据的采集和预处理;将同一源IP地址的相关数据汇聚在一起,从而获取各源IP在待处理时间段内的网络访问次数。
在一些实施例中,在网络访问次数大于第一阈值的情况下,将对应的源IP确定为第一等级危险IP(相对低危的风险)。
在步骤120中,在待处理时间段内,对各源IP的URL进行异常检测,以获取URL异常次数。
在一些实施例中,在URL异常次数大于第二阈值的情况下,将对应的源IP确定为第二等级危险IP(相对高危的风险)。第二等级危险IP的危险程度高于第一等级危险IP。这样,可以实现精细化区分风险等级的安全审计,从而提高网络安全审计的效果。
在一些实施例中,可以通过图2中的实施例判断URL是否异常。
图2示出图1的步骤120的一些实施例的流程图。
如图2所示,步骤120包括:步骤1210,确定正则表达式;步骤1220,判断URL是否匹配;步骤1230,确定URL异常;和步骤1240,利用机器学习方法继续判断。
在步骤1210中,根据历史攻击访问的payload数据,确定异常URL的正则表达式。
在一些实施例中,可以根据历史攻击访问的payload数据提取攻击访问的正则表达式规律。例如,可以通过SQL(Structured Query Language,结构化查询语言)注入中的sleep、wait、order等字符,确定正则表达式。
在步骤1220中,判断各源IP的URL是否与正则表达式匹配。例如,可以利用正则表达式对用户输入的URL进行匹配。在匹配的情况下,说明该URL与历史攻击访问的URL的相似程度较高,可以执行步骤1230;在不匹配的情况下,说明该URL与历史攻击访问的URL的相似程度较低,可以确定该URL异常,也可以执行步骤1240继续判断。
在步骤1230中,确定该URL异常。例如,可以统计一定时间窗口内,中间件日志中URL异常的次数作为判断源IP是否为危险IP的依据。
在步骤1240中,利用机器学习算法,判断该URL是否异常。正则表达式善于检测出已知的攻击方法,对于未知的攻击方法检测效果较差。因此,可以采用机器学习方法进一步判断URL是否异常,从而提高危险IP的识别准确性。
在一些实施例中,首先可以配置攻击访问(恶意请求)的特征集合。例如,攻击访问的URL包含字符长度、包含特殊符号(如@、--、;等)的个数、包含特殊字符(如select、order、wait等)的个数。
然后,可以基于特征集合,选择合适的机器学习分类算法,从正常请求、恶意请求的训练集得到分类算法的决策参数。
最后,可以对于待判决的URL进行特征抽取,并根据分类算法的决策参数进行分类决策。例如,分类决策的结果可以为“正常URL”或“异常URL”。
在一些实施例中,在获取了网络访问次数和URL异常次数后,可以通过图1中的其余步骤识别危险IP。
在步骤130中,根据网络访问次数和URL异常次数,确定各源IP是否为危险IP。例如,在网络访问次数或URL异常次数任一个大于相应阈值的情况下,可以确定相应的源IP为危险IP;或者在网络访问次数和URL异常次数均大于相应阈值的情况下,可以确定相应的源IP为危险IP。
在一些实施例中,根据训练好的状态码转移模型,计算各源IP的响应状态码序列的生成概率。状态码转移模型可以包括正常网络访问的各状态码的初始生成概率和各状态码之间的状态转移概率。例如,状态码转移模型可以为根据历史正常网络访问的响应状态码序列训练的马尔科夫模型。
在一些实施例中,可以根据网络访问次数、URL异常次数和生成概率,确定各源IP是否为危险IP。例如,在网络访问次数或URL异常次数任一个大于相应阈值,或者生成概率小于相应阈值的情况下,可以确定相应的源IP为危险IP;或者在网络访问次数和URL异常次数均大于相应阈值,且生成概率小于相应阈值的情况下,可以确定相应的源IP为危险IP。
在一些实施例中,可以通过图3中的实施例实现步骤130。
图3示出图1的步骤130的一些实施例的流程图。
如图3所示,步骤130包括:步骤1310,确定第一风险系数;步骤1320,确定第二风险系数;步骤1330,确定第三风险系数;和步骤1340,确定危险IP。
在步骤1310中,根据网络访问次数,确定各源IP的第一风险系数,第一风险系数与网络访问次数正相关。
在一些实施例中,源IP地址10.0.0.18在时间窗口内的访问频率为n次,n为0或正整数,相应的第一风险系数(访问频率风险)可以为:
C1=Log(1+n)
在步骤1320中,根据URL异常次数,确定各源IP的第二风险系数,第二风险系数与URL异常次数正相关。
在一些实施例中,源IP地址10.0.0.18在时间窗口内的URL异常次数为m次,m为0或正整数,相应的第二风险系数(URL序列风险)为:
C2=Log(1+m)
在步骤1330中,根据生成概率,确定各源IP的第三风险系数,第三风险系数与生成概率负相关。
在一些实施例中,可以利用日常日志中认定为安全访问的日志训练响应状态序列生成模型(状态码转移模型),即得到的是一个类似白样本的状态码转移模型。通过该状态码转移模型计算的生成概率越大,说明当前访问请求与状态码转移模型越吻合,风险越小;反之,生成概率越小,说明和状态码转移模型的偏离越厉害,风险越大。
在一些实施例中,可以根据各正常网络访问的各状态码的初始生成概率和各状态码之间的状态转移概率训练马尔科夫模型。例如,训练好的马尔科夫模型包括正常网络访问各种响应状态码(如200、404、500等)的初始生成概率,如P(200)、P(400)等,还包括各种响应状态码之间的状态转移概率,如P(404|200)、P(500|404)等。
例如,源IP地址10.0.0.18在时间窗口内的HTTP响应状态序列为{200,404,500……}。利用马尔科夫模型可以确定该响应状态序列中各状态码的生成概率,进而确定第三风险系数:
C3=LogP(200)+LogP(404|200)+LogP(500|404)+…
由于生成概率小于1,因此C3为负数。
步骤1310、步骤1320和步骤1330没有执行顺序,也可以并行执行。
在步骤1340中,根据第一风险系数、第二风险系数和第三风险系数的加权和,确定各源IP是否为危险IP。例如,可以根据C1、C2、和C3的加权和确定风险评估参数:
C=α·C1+β·C2-γ·C3
α、β和γ分别为第一风险系数、第二风险系数和第三风险系数的权值。例如,α、β和γ之和可以为1,从而平衡各风险系数对危险判定结果的影响,降低误判率。
在一些实施例中,源IP的第一风险系数的权值与该源IP的网络访问次数正相关,与各源IP的网络访问次数之和负相关。例如,可以配置α=n/N,N为当前时间窗口下,所有源IP的访问频率总和。这样,可以根据网络服务器的实际访问量,自适应调整风险系数的权重,从而降低误判率。
在一些实施例中,源IP的第二风险系数的权值与该源IP的第一风险系数的权值负相关,与该源IP的URL异常次数正相关,与该源IP的网络访问次数负相关。例如,可以配置β=(1-α)·(m/n)。这样,就以访问频率作为基础,引入了参数自适应调整方法,即可以根据网络服务器的实际访问量,自适应平衡各风险系数的权重,从而降低误判率。
图4示出本公开的危险IP的识别方法的另一些实施例的流程图。
如图4所示,在步骤410中,执行日志采集及预处理。
在一些实施例中,可以采用准实时的方式采集数据源,并以时间窗口对数据进行预处理。例如,根据需要,时间窗口的长度可以是3分钟、5分钟或者8分钟等。在时间窗口内,可以对相同的源IP地址的相关数据进行聚合。
在步骤420中,执行基于源IP地址的访问频率检测。
在一些实施例中,可以设定访问频率的阈值,例如,阈值为3分钟访问1000次。访问频率高于此阈值的源IP被判别为“基于脚本或程序的机器人访问”,可视为低危风险。
在步骤430中,对时间窗口内的各条日志的URL进行语法检测。
在一些实施例中,可以采用正则表达式、机器学习算法对每条日志的URL进行语法检测。通过URL检测可以识别相应的访问为“网络入侵攻击”或“正常访问”。“网络入侵攻击”相应的源IP可以视为中高危风险。例如,可以根据源IP在时间窗口内的URL检测结果,生成URL语法检测结果序列,以便统计URL语法检测结果序列中的URL异常次数。
在步骤440中,执行基于响应状态码序列的异常检测。
在一些实施例中,对于每个源IP,基于Markov模型计算网络中间件日志序列的状态码的生成概率。生成概率越小,说明安全风险越大。
在步骤450中,综合以上检测结果,以风险值加权,对不同的源IP进行风险排序,输出最终的检测结果。
在上述实施例中,以时间窗口为计算分析框架,构建了安全访问的上下文信息,为后续识别危险IP的新特征、新方法引入判断依据;引入了基于状态序列的异常检测方法,并将生成概率转化为风险系数;融合了访问频率、URL语法检测和HTTP响应状态序列异常检测等关键特征,实现了对网络中间件日志的高精度、低误报、可精细化区分风险的安全审计。
在上述实施例中,根据待处理时间段内的网络访问次数和URL异常次数,判断源IP是否异常。这样,以时间窗口为框架构建了网络安全的上下文信息,以此为依据进行安全审计可以降低审计的误报率。
图5示出本公开的危险IP的识别装置的一些实施例的框图。
如图5所示,危险IP的识别装置5包括获取单元51、检测单元52和确定单元53。
获取单元51获取进行网络访问的各源IP在待处理时间段内的网络访问次数。检测单元52在待处理时间段内,对各源IP的URL进行异常检测,以获取URL异常次数。确定单元53根据网络访问次数和URL异常次数,确定各源IP是否为危险IP。
在一些实施例中,识别装置5还包括计算单元51,用于根据训练好的状态码转移模型,计算各源IP的响应状态码序列的生成概率。状态码转移模型包括正常网络访问的各状态码的初始生成概率和各状态码之间的状态转移概率。例如,状态码转移模型为根据历史正常网络访问的响应状态码序列训练的马尔科夫模型。
在一些实施例中,确定单元53根据网络访问次数、URL异常次数和生成概率,确定各源IP是否为危险IP。
例如,确定单元53根据网络访问次数,确定各源IP的第一风险系数,第一风险系数与网络访问次数正相关;确定单元53根据URL异常次数,确定各源IP的第二风险系数,第二风险系数与URL异常次数正相关;确定单元53根据生成概率,确定各源IP的第三风险系数,第三风险系数与生成概率负相关;确定单元53根据第一风险系数、第二风险系数和第三风险系数的加权和,确定各源IP是否为危险IP。
在一些实施例中,源IP的第一风险系数的权值与该源IP的网络访问次数正相关,与各源IP的网络访问次数之和负相关。
在一些实施例中,源IP的第二风险系数的权值与该源IP的第一风险系数的权值负相关,与该源IP的URL异常次数正相关,与该源IP的网络访问次数负相关。
在一些实施例中,第一风险系数的权值、第二风险系数的权值和第三风险系数的权值之和为1。
在一些实施例中,确定单元53在网络访问次数大于第一阈值的情况下,将对应的源IP确定为第一等级危险IP。
在一些实施例中,确定单元53在URL异常次数大于第二阈值的情况下,将对应的源IP确定为第二等级危险IP,第二等级危险IP的危险程度高于第一等级危险IP。
在上述实施例中,根据待处理时间段内的网络访问次数和URL异常次数,判断源IP是否异常。这样,以时间窗口为框架构建了网络安全的上下文信息,以此为依据进行安全审计可以降低审计的误报率。
图6示出本公开的危险IP的识别装置的另一些实施例的框图。
如图6所示,该实施例的危险IP的识别装置6包括:存储器61以及耦接至该存储器61的处理器62,处理器62被配置为基于存储在存储器61中的指令,执行本公开中任意一个实施例中的危险IP的识别方法。
其中,存储器61例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)、数据库以及其他程序等。
图7示出本公开的危险IP的识别装置的又一些实施例的框图。
如图7所示,该实施例的危险IP的识别装置7包括:存储器710以及耦接至该存储器710的处理器720,处理器720被配置为基于存储在存储器710中的指令,执行前述任意一个实施例中的危险IP的识别方法。
存储器710例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。
危险IP的识别装置7还可以包括输入输出接口730、网络接口740、存储接口750等。这些接口730、740、750以及存储器710和处理器720之间例如可以通过总线760连接。其中,输入输出接口730为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口740为各种联网设备提供连接接口。存储接口750为SD卡、U盘等外置存储设备提供连接接口。
本领域内的技术人员应当明白,本公开的实施例可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
至此,已经详细描述了根据本公开的危险IP的识别方法、危险IP的识别装置和计算机可读存储介质。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
可能以许多方式来实现本公开的方法和系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法和系统。用于所述方法的步骤的上述顺序仅是为了进行说明,本公开的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本公开实施为记录在记录介质中的程序,这些程序包括用于实现根据本公开的方法的机器可读指令。因而,本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。
虽然已经通过示例对本公开的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本公开的范围。本领域的技术人员应该理解,可在不脱离本公开的范围和精神的情况下,对以上实施例进行修改。本公开的范围由所附权利要求来限定。

Claims (18)

1.一种危险IP的识别方法,包括:
获取进行网络访问的各源IP在待处理时间段内的网络访问次数;
在所述待处理时间段内,对所述各源IP的统一资源定位符URL进行异常检测,以获取URL异常次数;
根据所述网络访问次数和所述URL异常次数,确定各源IP是否为危险IP。
2.根据权利要求1所述的识别方法,还包括:
根据训练好的状态码转移模型,计算所述各源IP的响应状态码序列的生成概率,所述状态码转移模型包括正常网络访问的各状态码的初始生成概率和各状态码之间的状态转移概率;
其中,所述确定各源IP是否为危险IP包括:
根据所述网络访问次数、所述URL异常次数和所述生成概率,确定所述各源IP是否为危险IP。
3.根据权利要求2所述的识别方法,其中,所述确定所述各源IP是否为危险IP包括:
根据所述网络访问次数,确定所述各源IP的第一风险系数,所述第一风险系数与所述网络访问次数正相关;
根据所述URL异常次数,确定所述各源IP的第二风险系数,所述第二风险系数与所述URL异常次数正相关;
根据所述生成概率,确定所述各源IP的第三风险系数,所述第三风险系数与所述生成概率负相关;
根据所述第一风险系数、所述第二风险系数和所述第三风险系数的加权和,确定各源IP是否为危险IP。
4.根据权利要求3所述的识别方法,其中,
源IP的所述第一风险系数的权值与该源IP的网络访问次数正相关,与所述各源IP的网络访问次数之和负相关。
5.根据权利要求3所述的识别方法,其中,
源IP的所述第二风险系数的权值与该源IP的所述第一风险系数的权值负相关,与该源IP的URL异常次数正相关,与该源IP的网络访问次数负相关。
6.根据权利要求3所述的识别方法,其中,
所述第一风险系数的权值、所述第二风险系数的权值和所述第三风险系数的权值之和为1。
7.根据权利要求2所述的识别方法,其中,
所述状态码转移模型为根据历史正常网络访问的响应状态码序列训练的马尔科夫模型。
8.根据权利要求1所述的识别方法,其中,所述对所述各源IP的统一资源定位符URL进行异常检测包括:
根据历史攻击访问的有效载荷payload数据,确定异常URL的正则表达式;
在所述各源IP的URL与所述正则表达式匹配的情况下,确定该URL异常。
9.根据权利要求8所述的识别方法,其中,所述对所述各源IP的统一资源定位符URL进行异常检测包括:
在所述各源IP的URL与所述正则表达式不匹配的情况下,利用机器学习算法,判断该URL是否异常。
10.根据权利要求1所述的识别方法,其中,所述确定各源IP是否为危险IP包括:
在所述网络访问次数大于第一阈值的情况下,将对应的源IP确定为第一等级危险IP;
在所述URL异常次数大于第二阈值的情况下,将对应的源IP确定为第二等级危险IP,所述第二等级危险IP的危险程度高于所述第一等级危险IP。
11.一种危险IP的识别装置,包括:
获取单元,用于获取进行网络访问的各源IP在待处理时间段内的网络访问次数;
检测单元,用于在所述待处理时间段内,对所述各源IP的统一资源定位符URL进行异常检测,以获取URL异常次数;
确定单元,用于根据所述网络访问次数和所述URL异常次数,确定各源IP是否为危险IP。
12.根据权利要求11所述的识别装置,还包括:
计算单元,用于根据训练好的状态码转移模型,计算所述各源IP的响应状态码序列的生成概率,所述状态码转移模型包括正常网络访问的各状态码的初始生成概率和各状态码之间的状态转移概率;
其中,所述确定单元根据所述网络访问次数、所述URL异常次数和所述生成概率,确定所述各源IP是否为危险IP。
13.根据权利要求12所述的识别装置,其中,
所述确定单元根据所述网络访问次数,确定所述各源IP的第一风险系数,所述第一风险系数与所述网络访问次数正相关,根据所述URL异常次数,确定所述各源IP的第二风险系数,所述第二风险系数与所述URL异常次数正相关,根据所述生成概率,确定所述各源IP的第三风险系数,所述第三风险系数与所述生成概率负相关,根据所述第一风险系数、所述第二风险系数和所述第三风险系数的加权和,确定各源IP是否为危险IP。
14.根据权利要求13所述的识别装置,其中,
源IP的所述第一风险系数的权值与该源IP的网络访问次数正相关,与所述各源IP的网络访问次数之和负相关。
15.根据权利要求13所述的识别装置,其中,
源IP的所述第二风险系数的权值与该源IP的所述第一风险系数的权值负相关,与该源IP的URL异常次数正相关,与该源IP的网络访问次数负相关。
16.根据权利要求13所述的识别装置,其中,
所述第一风险系数的权值、所述第二风险系数的权值和所述第三风险系数的权值之和为1。
17.一种危险IP的识别装置,包括:
存储器;和
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器装置中的指令,执行权利要求1-10任一项所述的危险IP的识别方法。
18.一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现权利要求1-10任一项所述的危险IP的识别方法。
CN201910914472.0A 2019-09-26 2019-09-26 危险ip的识别方法、装置和计算机可读存储介质 Active CN112565164B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910914472.0A CN112565164B (zh) 2019-09-26 2019-09-26 危险ip的识别方法、装置和计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910914472.0A CN112565164B (zh) 2019-09-26 2019-09-26 危险ip的识别方法、装置和计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN112565164A true CN112565164A (zh) 2021-03-26
CN112565164B CN112565164B (zh) 2023-07-25

Family

ID=75029663

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910914472.0A Active CN112565164B (zh) 2019-09-26 2019-09-26 危险ip的识别方法、装置和计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN112565164B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113987482A (zh) * 2021-12-28 2022-01-28 中孚信息股份有限公司 一种基于fm的ip首次访问检测方法、系统及设备
CN114285639A (zh) * 2021-12-24 2022-04-05 云盾智慧安全科技有限公司 一种网站安全防护方法及装置
CN115001759A (zh) * 2022-05-19 2022-09-02 国网数字科技控股有限公司 一种访问信息处理方法、装置、电子设备和可读存储介质

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101727447A (zh) * 2008-10-10 2010-06-09 浙江搜富网络技术有限公司 基于url的正则表达式的生成方法和装置
CN102790762A (zh) * 2012-06-18 2012-11-21 东南大学 基于url分类的钓鱼网站检测方法
CN103297435A (zh) * 2013-06-06 2013-09-11 中国科学院信息工程研究所 一种基于web日志的异常访问行为检测方法与系统
CN106529288A (zh) * 2016-11-16 2017-03-22 智者四海(北京)技术有限公司 一种帐号风险识别方法及装置
US20180077181A1 (en) * 2016-09-09 2018-03-15 Ca, Inc. Bot detection based on behavior analytics
CN108156166A (zh) * 2017-12-29 2018-06-12 百度在线网络技术(北京)有限公司 异常访问识别和接入控制方法及装置
CN108768921A (zh) * 2018-03-28 2018-11-06 中国科学院信息工程研究所 一种基于特征检测的恶意网页发现方法及系统
CN109729094A (zh) * 2019-01-24 2019-05-07 中国平安人寿保险股份有限公司 恶意攻击检测方法、系统、计算机装置及可读存储介质
CN109831465A (zh) * 2019-04-12 2019-05-31 重庆天蓬网络有限公司 一种基于大数据日志分析的网站入侵检测方法

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101727447A (zh) * 2008-10-10 2010-06-09 浙江搜富网络技术有限公司 基于url的正则表达式的生成方法和装置
CN102790762A (zh) * 2012-06-18 2012-11-21 东南大学 基于url分类的钓鱼网站检测方法
CN103297435A (zh) * 2013-06-06 2013-09-11 中国科学院信息工程研究所 一种基于web日志的异常访问行为检测方法与系统
US20180077181A1 (en) * 2016-09-09 2018-03-15 Ca, Inc. Bot detection based on behavior analytics
CN106529288A (zh) * 2016-11-16 2017-03-22 智者四海(北京)技术有限公司 一种帐号风险识别方法及装置
CN108156166A (zh) * 2017-12-29 2018-06-12 百度在线网络技术(北京)有限公司 异常访问识别和接入控制方法及装置
CN108768921A (zh) * 2018-03-28 2018-11-06 中国科学院信息工程研究所 一种基于特征检测的恶意网页发现方法及系统
CN109729094A (zh) * 2019-01-24 2019-05-07 中国平安人寿保险股份有限公司 恶意攻击检测方法、系统、计算机装置及可读存储介质
CN109831465A (zh) * 2019-04-12 2019-05-31 重庆天蓬网络有限公司 一种基于大数据日志分析的网站入侵检测方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114285639A (zh) * 2021-12-24 2022-04-05 云盾智慧安全科技有限公司 一种网站安全防护方法及装置
CN114285639B (zh) * 2021-12-24 2023-11-24 云盾智慧安全科技有限公司 一种网站安全防护方法及装置
CN113987482A (zh) * 2021-12-28 2022-01-28 中孚信息股份有限公司 一种基于fm的ip首次访问检测方法、系统及设备
CN113987482B (zh) * 2021-12-28 2022-05-06 中孚信息股份有限公司 一种基于fm的ip首次访问检测方法、系统及设备
CN115001759A (zh) * 2022-05-19 2022-09-02 国网数字科技控股有限公司 一种访问信息处理方法、装置、电子设备和可读存储介质
CN115001759B (zh) * 2022-05-19 2024-01-12 国网数字科技控股有限公司 一种访问信息处理方法、装置、电子设备和可读存储介质

Also Published As

Publication number Publication date
CN112565164B (zh) 2023-07-25

Similar Documents

Publication Publication Date Title
CN109831465B (zh) 一种基于大数据日志分析的网站入侵检测方法
CN110602029B (zh) 一种用于识别网络攻击的方法和系统
US10511617B2 (en) Method and system for detecting malicious code
CN112565164B (zh) 危险ip的识别方法、装置和计算机可读存储介质
JPWO2015186662A1 (ja) ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム
CN105072214B (zh) 基于域名特征的c&c域名识别方法
CN109992969B (zh) 一种恶意文件检测方法、装置及检测平台
CN110175851B (zh) 一种作弊行为检测方法及装置
CN111079186B (zh) 数据分析的方法、装置、设备和存储介质
CN113704328B (zh) 基于人工智能的用户行为大数据挖掘方法及系统
CN107426136B (zh) 一种网络攻击的识别方法和装置
CN115580494B (zh) 一种弱口令的检测方法、装置和设备
CN112131249A (zh) 一种攻击意图识别方法及装置
CN111600894A (zh) 一种网络攻击检测方法及装置
CN112839014A (zh) 建立识别异常访问者模型的方法、系统、设备及介质
CN115204733A (zh) 数据审计方法、装置、电子设备及存储介质
CN110955890B (zh) 恶意批量访问行为的检测方法、装置和计算机存储介质
CN117176482B (zh) 一种大数据网络安全防护方法及系统
CN112817877B (zh) 异常脚本检测方法、装置、计算机设备和存储介质
CN114285639A (zh) 一种网站安全防护方法及装置
CN110570199A (zh) 一种基于用户输入行为的用户身份检测方法及系统
CN107786529B (zh) 网站的检测方法、装置及系统
CN113918936A (zh) Sql注入攻击检测的方法以及装置
KR20220157565A (ko) 웹 스캐닝 공격 탐지 장치 및 방법
CN112597498A (zh) 一种webshell的检测方法、系统、装置及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20210326

Assignee: Tianyiyun Technology Co.,Ltd.

Assignor: CHINA TELECOM Corp.,Ltd.

Contract record no.: X2024110000020

Denomination of invention: Identification methods, devices, and computer-readable storage media for hazardous IPs

Granted publication date: 20230725

License type: Common License

Record date: 20240315

EE01 Entry into force of recordation of patent licensing contract