CN112751883B - Ip威胁分值判定方法、装置、设备及介质 - Google Patents
Ip威胁分值判定方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN112751883B CN112751883B CN202110069296.2A CN202110069296A CN112751883B CN 112751883 B CN112751883 B CN 112751883B CN 202110069296 A CN202110069296 A CN 202110069296A CN 112751883 B CN112751883 B CN 112751883B
- Authority
- CN
- China
- Prior art keywords
- target
- attack
- tag
- threat
- time period
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 230000000694 effects Effects 0.000 claims abstract description 51
- 230000000875 corresponding effect Effects 0.000 claims description 43
- 238000004590 computer program Methods 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 5
- 230000002596 correlated effect Effects 0.000 claims description 3
- 230000006399 behavior Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000000977 initiatory effect Effects 0.000 description 5
- 238000011161 development Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种IP威胁分值判定方法、装置、电子设备及计算机存储介质,涉及网络安全技术领域,旨在对IP地址的威胁性进行判定。该方法包含以下步骤:接收目标IP预设时间段的攻击信息,获取目标IP的实际活跃度值和攻击等级;根据目标IP的实际活跃度值和攻击等级,计算目标IP的威胁分值;根据目标IP的威胁分值确定目标IP的威胁性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种IP威胁分值判定方法、装置、设备及介质。
背景技术
信息技术的飞速发展,带来了诸如云计算、物联网、5G、移动互联等各种产品创新与变革,已经深刻地融入了经济社会生活的各个方面,网络安全威胁也随之向经济社会的各个层面渗透,网络安全的重要性随之不断提高。
目前,传统的防火墙、入侵检测等防护设备重在分析网络会话的行为是否存在攻击嫌疑,而对IP地址本身的威胁性缺乏一个完整的判断。
如何判定IP地址的威胁性,是目前需要解决的问题。
发明内容
本发明实施例提供了一种IP威胁分值判定方法、装置、设备及介质,以实现对IP地址的威胁性进行判定。
第一方面,本发明实施例提供了一种IP威胁分值判定方法,包括以下步骤:
接收目标IP预设时间段的攻击信息,获取所述目标IP的实际活跃度值和攻击等级;
根据所述目标IP的实际活跃度值和攻击等级,计算所述目标IP的威胁分值;
根据所述目标IP的威胁分值确定所述目标IP的威胁性。
在其中一些实施例中,所述接收目标IP预设时间段的攻击信息,获取所述目标IP的实际活跃度值和攻击等级,包括:
根据所述预设时间段的攻击信息,确定所述目标IP的攻击标签和攻击标签对应的攻击等级;
根据所述预设时间段的攻击信息,确定所述目标IP每个攻击标签的实际活跃度值,作为所述目标IP的实际活跃度值。
在其中一些实施例中,所述根据所述预设时间段的攻击信息,确定所述目标IP每个攻击标签的实际活跃度值,包括:
将所述预设时间段划分为若干个预设间隔;
根据所述预设时间段的攻击信息,确定每个所述预设间隔内所述目标IP的每个攻击标签是否发出攻击;
所述目标IP每个攻击标签的实际活跃度值为:
Ni=Ni0+a-b;
其中,Ni为所述目标IP第i个攻击标签对应的实际活跃度值;Ni0为目标IP第i个攻击标签对应的初始活跃度值,a为目标IP第i个攻击标签发出攻击的预设间隔数,b为目标IP第i个攻击标签未发出攻击的预设间隔数;a和b均为整数;0≤a≤K;0≤b≤K,K为预设间隔总数;a+b=K。
在其中一些实施例中,所述根据所述目标IP的实际活跃度值和攻击等级,计算所述目标IP的威胁分值,包括:
计算所述目标IP每个攻击标签对应的威胁分值:
Xi=Li×LWi+Ni×NWi;
其中,Xi为所述目标IP第i个攻击标签对应的威胁分值,Li为所述目标IP第i个攻击标签对应的攻击等级,LWi为Li对应的等级权重,NWi为Ni对应的活跃度权重;
根据所述目标IP每个攻击标签对应的威胁分值确定所述目标IP的威胁分值:
其中,A(X1,X2…,Xn)为所述目标IP的威胁分值,X1,X2…,Xn分别为所述目标IP每个攻击标签对应的威胁分值,n表示目标IP的攻击标签数量。
在其中一些实施例中,所述根据所述预设时间段的攻击信息,确定所述目标IP的攻击标签和攻击标签对应的攻击等级之后,还包括:
获取所述目标IP的攻击标签对应的初始活跃度值。
在其中一些实施例中,所述接收目标IP预设时间段的攻击信息,包括:
接收从不同数据源采集的所述目标IP预设时间段的攻击信息,所述攻击信息包括攻击标签、攻击标签对应的攻击等级和攻击时间。
在其中一些实施例中,所述根据所述目标IP的威胁分值确定所述目标IP的威胁性,包括:
所述目标IP的威胁分值与所述目标IP的威胁性呈正相关。
第二方面,本发明实施例提供了一种IP威胁分值判定装置,包括:
数据处理模块,用于接收目标IP预设时间段的攻击信息,获取所述目标IP的实际活跃度值和攻击等级;
分值计算模块,用于根据所述目标IP的实际活跃度值和攻击等级,计算所述目标IP的威胁分值;
威胁判定模块,用于根据所述目标IP的威胁分值确定所述目标IP的威胁性。
第三方面,本发明实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的IP威胁分值判定方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的IP威胁分值判定方法。
相比于现有技术,本发明实施例提供一种IP威胁分值判定方法、装置、设备及介质,基于目标IP的攻击信息,对目标IP的活跃度进行分析,以计算IP的威胁分值,从而根据威胁分值判定IP的威胁性。
本发明的一个或多个实施例的细节在以下附图和描述中提出,以使本发明的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明IP威胁分值判定方法的流程图;
图2是本发明实施例的IP威胁分值判定装置的结构框图;
图3是本发明实施例的电子设备的结构框图。
具体实施方式
为了使本申请的目的、技术方案更加清楚明白,以下结合附图及实施例,对本发明进行描述和说明。应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。基于本发明提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
实施例1
本实施例提供一种对IP威胁分值判定方法,图1是本发明IP威胁分值判定方法的流程图。
如图1所示,IP威胁分值判定方法,包括以下步骤:
S101、接收目标IP预设时间段的攻击信息,获取目标IP的实际活跃度值和攻击等级。
对预设时间段内目标IP发起的各类型攻击行为进行采集,得到目标IP预设时间段的攻击信息。
因此根据目标IP预设时间段的攻击信息,可获取目标IP在该预设时间内的发起的各类型攻击行为,对攻击信息进行分析可以确定目标IP的实际活跃度值,在本实施例中,设置不同的攻击标签表示不同类型的攻击行为,攻击标签包括木马、垃圾邮件、插件等,不同的攻击标签对应不同的攻击等级,各攻击标签的攻击等级为预先设置,包括L1-L5,L1表示威胁度最低,L5表示威胁度最高。
在实际应用本实施例时,预设时间段可自行设置,在本实施例中,预设时间段为50天,即本实施例接收目标IP连续50天的攻击信息。
S102、根据目标IP的实际活跃度值和攻击等级,计算目标IP的威胁分值。
将目标IP的各攻击标签的实际活跃度值结合各攻击标签的攻击等级(威胁度),可计算目标IP的威胁分值。
S103、根据目标IP的威胁分值确定目标IP的威胁性。
目标IP的威胁分值可直观反映目标IP的威胁性。
优选地,目标IP的威胁分值与所述目标的威胁性呈正相关。即目标IP的威胁分值越高,说明目标IP的威胁性越强,反之,目标IP的威胁分值越低,说明目标IP的威胁性越低。
在优选的实施例中,根据目标IP的威胁分值高低,可采用不同的防护策略对目标IP进行防护。
通过应用本实施例的IP威胁分值判定方法,可对IP地址进行威胁性判定,以对IP地址适用不同的防护策略,提高网络安全性和防护灵活性。
优选地,接收目标IP预设时间段的攻击信息,获取目标IP的实际活跃度值和攻击等级,包括:
根据预设时间段的攻击信息,确定目标IP的攻击标签和攻击标签对应的攻击等级;
根据预设时间段的攻击信息,确定目标IP每个攻击标签的实际活跃度值,作为目标IP的实际活跃度值。
根据预设时间段的攻击信息,可确定该预设时间段内目标IP发生的各类型攻击行为,即可确定预设时间段内的目标IP的攻击标签以及攻击标签对应的攻击等级。
上述预设时间段的攻击信息中记录了该预设时间段内各攻击标签的攻击情况,因此确定预设时间段内目标IP的攻击标签后,根据预设时间段的攻击信息,可进一步确定目标IP每个攻击标签的实际活跃度值,作为目标IP的实际活跃度值。
优选地,根据预设时间段的攻击信息,确定目标IP每个攻击标签的实际活跃度值,包括:
将预设时间段划分为若干个预设间隔;
根据预设时间段的攻击信息,确定每个预设间隔内目标IP的每个攻击标签是否发出攻击;
目标IP每个攻击标签的实际活跃度值为:
Ni=Ni0+a-b;
其中,Ni为目标IP第i个攻击标签对应的实际活跃度值;Ni0为目标IP第i个攻击标签对应的初始活跃度值,a为目标IP第i个攻击标签发出攻击的预设间隔数,b为目标IP第i个攻击标签未发出攻击的预设间隔数;a和b均为整数;0≤a≤K;0≤b≤K,K为预设间隔总数;a+b=K。
在本实施例中预设时间段为50天,预设间隔为1天,则上述K为50,a为攻击标签发出攻击的天数,b为攻击标签未发出攻击的天数。
对目标IP的每个攻击标签均采用上述公式计算其实际活跃度值。
优选地,根据预设时间段的攻击信息,确定目标IP的攻击标签和攻击标签对应的攻击等级之后,还包括:
获取目标IP的攻击标签对应的初始活跃度值。
需要说明的是,在某攻击标签第一天发出攻击时,即可获取该攻击标签的初始活跃度值,用于后续实际活跃度值的计算。
在本实施例中,目标IP的每个攻击标签的初始活跃度值为50,因此若连续50天均未采集到某攻击标签的攻击行为,则该攻击标签的实际活跃度值为0,该认定该IP不再具有该攻击标签。若后续再次采集到的该攻击标签,则重新设置初始活跃度值用于实际活跃度值的计算。
需要注意的是,在本发明的一些实施例中,为保证实际活跃度值不为负值,初始活跃度值需大于或等于预设时间段的预设间隔数。
在本发明其他实施例中,计算目标IP每个攻击标签的实际活跃度值为:当第一天采集到某攻击标签时(在攻击信息中会首次出现该攻击标签),则设置该攻击标签的初始活跃度值N0,此时将该初始活跃度值作为该攻击标签的实际活跃度值,若接下来的第二天又采集到该攻击标签,则在上一次的实际活跃度值的基础上加一,即N0+1,得到该攻击标签当次计算的实际活跃度值,反之,若接下来的第二天未采集到该攻击标签,则在上一次的实际活跃度值的基础上减一,即N0-1,得到该攻击标签当次计算的实际活跃度值,以此累计计算,即以当次计算得到的实际活跃度值作为下一次计算的初始活跃度值。
优选地,根据目标IP的实际活跃度值和攻击等级,计算目标IP的威胁分值,包括:
计算目标IP每个攻击标签对应的威胁分值:
Xi=Li×LWi+Ni×NWi;
其中,Xi为目标IP第i个攻击标签对应的威胁分值,Li为目标IP第i个攻击标签对应的攻击等级,LWi为Li对应的等级权重,NWi为Ni对应的活跃度权重,且LWi+NWi=1;
根据目标IP每个攻击标签对应的威胁分值确定目标IP的威胁分值:
其中,A(X1,X2…,Xn)为所述目标IP的威胁分值,X1,X2…,Xn分别为目标IP每个攻击标签对应的威胁分值,n表示目标IP的攻击标签数量。
需要说明的是,LWi+NWi取值范围可为[0,1],A(X1,X2…,Xn)的取值范围为[0,100]。
在预设时间段内,每个攻击标签每天(每个预设间隔)的实际活跃度值可能不同,据此可计算出每个攻击标签每天的威胁分值。因此在一些实施例中,在计算目标IP的威胁分值时,可先求取将目标IP每个攻击标签在预设时间段内的威胁分值平均数,再将该每个攻击标签的威胁分值平均数进行加权平均计算出目标IP的威胁分值。
优选地,接收目标IP预设时间段的攻击信息,包括:
接收从不同数据源采集的目标IP预设时间段的攻击信息,该攻击信息包括攻击标签、攻击标签对应的攻击等级和攻击时间。
目标IP的攻击信息可来自不同数据源,且来自不同数据源的攻击信息具有不同的攻击标签。
上述攻击时间为采集到攻击标签的时间,以年/月/日/时/分表示。
不同攻击标签对应的攻击等级为预先设置,可在预先配置的攻击标签等级库中查询,该攻击标签等级库记录了所有攻击标签所对应的攻击等级。
实施例2
本实施例提供一种IP威胁分值判定装置,该装置用于实现上述实施例及优选实施例方式,已经进行过说明的不再赘述,如下所使用的术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能实现并被构想的。
图2是本发明实施例的IP威胁分值判定装置的结构框图,如图2所示,该装置包括:
数据处理模块21,用于接收目标IP预设时间段的攻击信息,获取目标IP的实际活跃度值和攻击等级;
分值计算模块22,用于根据目标IP的实际活跃度值和攻击等级,计算目标IP的威胁分值;
威胁判定模块23,用于根据目标IP的威胁分值确定目标IP的威胁性。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
实施例3
图3为本发明实施例的一种电子设备的结构示意图,如图3所示,提供了一种电子设备,该电子设备可以是服务器,其内部结构图可以如图3所示。该电子设备包括处理器、存储器、输入装置和输出装置;其中该电子设备中处理器的数量可以是一个或多个,图3中以一个处理器为例;电子设备中的处理器、存储器、输入装置和输出装置可以通过总线或其他方式连接,图3中以通过总线连接为例。
存储器作为一种计算机可读存储介质,可以包括高速随机存取存储器、非易失性存储器等,可用于存储操作系统、软件程序、计算机可执行程序和数据库,如本发明实施例1的IP威胁分值判定方法对应的程序指令/模块,还可以包括内存,可用于为操作系统和计算机程序提供运行环境。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至电子设备。
处理器用于提供计算和控制能力,可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。处理器通过运行存储在存储器中的计算机可执行程序、软件程序、指令以及模块,从而执行电子设备的各种功能应用以及数据处理,即实现实施例1的IP威胁分值判定方法。
该电子设备的输出装置可以是液晶显示屏或者电子墨水显示屏,该电子设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
该电子设备还可包括网络接口/通信接口,该电子设备的网络接口用于与外部的终端通过网络连接通信。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本领域技术人员可以理解,图3中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所述更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本领域普通技术人员可以理解实现实施例1的IP威胁分值判定方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
实施例4
本发明实施例提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于实现IP威胁分值判定方法,该方法包括:
接收目标IP预设时间段的攻击信息,获取目标IP的实际活跃度值和攻击等级;
根据目标IP的实际活跃度值和攻击等级,计算目标IP的威胁分值;
根据目标IP的威胁分值确定目标IP的威胁性。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述实施例的IP威胁分值判定方法操作,还可以执行本发明任意实施例所提供的IP威胁分值判定方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台电子设备(可以是手机,个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的IP威胁分值判定方法。
值得注意的是,上述IP威胁分值判定方法的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
对本领域的技术人员来说,可根据以上描述的技术方案以及构思,做出其它各种相应的改变以及形变,而所有的这些改变以及形变都应该属于本发明权利要求的保护范围之内。
Claims (8)
1.一种IP威胁分值判定方法,其特征在于,包括以下步骤:
接收目标IP预设时间段的攻击信息,获取所述目标IP的实际活跃度值和攻击等级;其中,根据所述预设时间段的攻击信息,确定所述目标IP的攻击标签和攻击标签对应的攻击等级;根据所述预设时间段的攻击信息,确定所述目标IP每个攻击标签的实际活跃度值,作为所述目标IP的实际活跃度值;
根据所述目标IP的实际活跃度值和攻击等级,计算所述目标IP的威胁分值;
根据所述目标IP的威胁分值确定所述目标IP的威胁性;
其中,所述根据所述预设时间段的攻击信息,确定所述目标IP每个攻击标签的实际活跃度值,包括:
将所述预设时间段划分为若干个预设间隔;
根据所述预设时间段的攻击信息,确定每个所述预设间隔内所述目标IP的每个攻击标签是否发出攻击;
所述目标IP每个攻击标签的实际活跃度值为:
Ni=Ni0+a-b;
其中,Ni为所述目标IP第i个攻击标签对应的实际活跃度值;Ni0为目标IP第i个攻击标签对应的初始活跃度值,a为目标IP第i个攻击标签发出攻击的预设间隔数,b为目标IP第i个攻击标签未发出攻击的预设间隔数;a和b均为整数;0≤a≤K;0≤b≤K,K为预设间隔总数;a+b=K。
2.如权利要求1所述的IP威胁分值判定方法,其特征在于,所述根据所述目标IP的实际活跃度值和攻击等级,计算所述目标IP的威胁分值,包括:
计算所述目标IP每个攻击标签对应的威胁分值:
Xi=Li×LWi+Ni×NWi;
其中,Xi为所述目标IP第i个攻击标签对应的威胁分值,Li为所述目标IP第i个攻击标签对应的攻击等级,LWi为Li对应的等级权重,NWi为Ni对应的活跃度权重;
根据所述目标IP每个攻击标签对应的威胁分值确定所述目标IP的威胁分值:
其中,A(X1,X2…,Xn)为所述目标IP的威胁分值,X1,X2…,Xn分别为所述目标IP每个攻击标签对应的威胁分值,n表示所述目标IP的攻击标签数量。
3.如权利要求1所述的IP威胁分值判定方法,其特征在于,所述根据所述预设时间段的攻击信息,确定所述目标IP的攻击标签和攻击标签对应的攻击等级之后,还包括:
获取所述目标IP的攻击标签对应的初始活跃度值。
4.如权利要求1所述的IP威胁分值判定方法,其特征在于,所述接收目标IP预设时间段的攻击信息,包括:
接收从不同数据源采集的所述目标IP预设时间段的攻击信息,所述攻击信息包括攻击标签、攻击标签对应的攻击等级和攻击时间。
5.如权利要求1所述的IP威胁分值判定方法,其特征在于,所述根据所述目标IP的威胁分值确定所述目标IP的威胁性,包括:
所述目标IP的威胁分值与所述目标IP的威胁性呈正相关。
6.一种IP威胁分值判定装置,其特征在于,包括:
数据处理模块,用于接收目标IP预设时间段的攻击信息,获取所述目标IP的实际活跃度值和攻击等级;其中,根据所述预设时间段的攻击信息,确定所述目标IP的攻击标签和攻击标签对应的攻击等级;根据所述预设时间段的攻击信息,确定所述目标IP每个攻击标签的实际活跃度值,作为所述目标IP的实际活跃度值;其中,所述根据所述预设时间段的攻击信息,确定所述目标IP每个攻击标签的实际活跃度值,包括:
将所述预设时间段划分为若干个预设间隔;
根据所述预设时间段的攻击信息,确定每个所述预设间隔内所述目标IP的每个攻击标签是否发出攻击;
所述目标IP每个攻击标签的实际活跃度值为:
Ni=Ni0+a-b;
其中,Ni为所述目标IP第i个攻击标签对应的实际活跃度值;Ni0为目标IP第i个攻击标签对应的初始活跃度值,a为目标IP第i个攻击标签发出攻击的预设间隔数,b为目标IP第i个攻击标签未发出攻击的预设间隔数;a和b均为整数;0≤a≤K;0≤b≤K,K为预设间隔总数;a+b=K;
分值计算模块,用于根据所述目标IP的实际活跃度值和攻击等级,计算所述目标IP的威胁分值;
威胁判定模块,用于根据所述目标IP的威胁分值确定所述目标IP的威胁性。
7.一种电子设备,包括存储器、处理器以及存储所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5任一项所述的IP威胁分值判定方法。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5任一项所述的IP威胁分值判定方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110069296.2A CN112751883B (zh) | 2021-01-19 | 2021-01-19 | Ip威胁分值判定方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110069296.2A CN112751883B (zh) | 2021-01-19 | 2021-01-19 | Ip威胁分值判定方法、装置、设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112751883A CN112751883A (zh) | 2021-05-04 |
CN112751883B true CN112751883B (zh) | 2023-11-24 |
Family
ID=75652495
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110069296.2A Active CN112751883B (zh) | 2021-01-19 | 2021-01-19 | Ip威胁分值判定方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112751883B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113225340A (zh) * | 2021-05-07 | 2021-08-06 | 北京华云安信息技术有限公司 | 攻击ip地址判断方法、装置、设备和计算机可读存储介质 |
CN113489680B (zh) * | 2021-06-07 | 2023-10-24 | 广发银行股份有限公司 | 网络攻击威胁等级评估模型、评估方法、终端及介质 |
CN113824711A (zh) * | 2021-09-16 | 2021-12-21 | 杭州安恒信息技术股份有限公司 | 一种威胁ip封禁方法、装置、设备及介质 |
CN115378744B (zh) * | 2022-10-25 | 2023-01-10 | 天津丈八网络安全科技有限公司 | 一种网络安全测试评估系统及方法 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2237503A1 (en) * | 2009-03-31 | 2010-10-06 | Alcatel Lucent | Application admission based on mutualized probabilistic traffic analyzers |
KR20120126511A (ko) * | 2011-05-12 | 2012-11-21 | 국방과학연구소 | 대공 표적에 대한 위협평가 시스템과 방법 및 이를 수행하는 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체 |
CN107786564A (zh) * | 2017-11-02 | 2018-03-09 | 杭州安恒信息技术有限公司 | 基于威胁情报的攻击检测方法、系统及电子设备 |
CN108833186A (zh) * | 2018-06-29 | 2018-11-16 | 北京奇虎科技有限公司 | 一种网络攻击预测方法及装置 |
CN109660557A (zh) * | 2019-01-16 | 2019-04-19 | 光通天下网络科技股份有限公司 | 攻击ip画像生成方法、攻击ip画像生成装置和电子设备 |
CN109873811A (zh) * | 2019-01-16 | 2019-06-11 | 光通天下网络科技股份有限公司 | 基于攻击ip画像的网络安全防护方法及其网络安全防护系统 |
CN110809010A (zh) * | 2020-01-08 | 2020-02-18 | 浙江乾冠信息安全研究院有限公司 | 威胁信息处理方法、装置、电子设备及介质 |
CN110929187A (zh) * | 2018-09-18 | 2020-03-27 | 北京数安鑫云信息技术有限公司 | 威胁事件可视化展现方法、装置、存储装置及计算机设备 |
CN111193728A (zh) * | 2019-12-23 | 2020-05-22 | 成都烽创科技有限公司 | 网络安全评估方法、装置、设备及存储介质 |
CN111651751A (zh) * | 2019-03-04 | 2020-09-11 | 腾讯科技(深圳)有限公司 | 安全事件的分析报告生成方法、装置、存储介质及设备 |
CN111787011A (zh) * | 2020-07-01 | 2020-10-16 | 公安部第三研究所 | 一种信息系统安全威胁智能分析预警系统、方法及存储介质 |
-
2021
- 2021-01-19 CN CN202110069296.2A patent/CN112751883B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2237503A1 (en) * | 2009-03-31 | 2010-10-06 | Alcatel Lucent | Application admission based on mutualized probabilistic traffic analyzers |
KR20120126511A (ko) * | 2011-05-12 | 2012-11-21 | 국방과학연구소 | 대공 표적에 대한 위협평가 시스템과 방법 및 이를 수행하는 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체 |
CN107786564A (zh) * | 2017-11-02 | 2018-03-09 | 杭州安恒信息技术有限公司 | 基于威胁情报的攻击检测方法、系统及电子设备 |
CN108833186A (zh) * | 2018-06-29 | 2018-11-16 | 北京奇虎科技有限公司 | 一种网络攻击预测方法及装置 |
CN110929187A (zh) * | 2018-09-18 | 2020-03-27 | 北京数安鑫云信息技术有限公司 | 威胁事件可视化展现方法、装置、存储装置及计算机设备 |
CN109660557A (zh) * | 2019-01-16 | 2019-04-19 | 光通天下网络科技股份有限公司 | 攻击ip画像生成方法、攻击ip画像生成装置和电子设备 |
CN109873811A (zh) * | 2019-01-16 | 2019-06-11 | 光通天下网络科技股份有限公司 | 基于攻击ip画像的网络安全防护方法及其网络安全防护系统 |
CN111651751A (zh) * | 2019-03-04 | 2020-09-11 | 腾讯科技(深圳)有限公司 | 安全事件的分析报告生成方法、装置、存储介质及设备 |
CN111193728A (zh) * | 2019-12-23 | 2020-05-22 | 成都烽创科技有限公司 | 网络安全评估方法、装置、设备及存储介质 |
CN110809010A (zh) * | 2020-01-08 | 2020-02-18 | 浙江乾冠信息安全研究院有限公司 | 威胁信息处理方法、装置、电子设备及介质 |
CN111787011A (zh) * | 2020-07-01 | 2020-10-16 | 公安部第三研究所 | 一种信息系统安全威胁智能分析预警系统、方法及存储介质 |
Non-Patent Citations (1)
Title |
---|
基于脆弱性关联模型的网络威胁分析;王纯子等;《计算机应用》;20101101;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN112751883A (zh) | 2021-05-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112751883B (zh) | Ip威胁分值判定方法、装置、设备及介质 | |
EP3797396A1 (en) | Blockchain transaction safety | |
CN104836781B (zh) | 区分访问用户身份的方法及装置 | |
JP6876801B2 (ja) | 処理対象のトランザクションに関するリスクを識別する方法、装置、及び電子機器 | |
US20150254372A1 (en) | Updating features based on user actions in online systems | |
CN108429718B (zh) | 账号识别方法及装置 | |
US20130042306A1 (en) | Determining machine behavior | |
CN107169144A (zh) | 区块链分布式账本存储方法及服务器 | |
CN109600344B (zh) | 识别风险群体的方法、装置及电子设备 | |
CN113282960A (zh) | 一种基于联邦学习的隐私计算方法、装置、系统及设备 | |
CN114095567B (zh) | 数据访问请求的处理方法、装置、计算机设备及介质 | |
US8060577B1 (en) | Method and system for employing user input for file classification and malware identification | |
CN107657357B (zh) | 数据的处理方法及装置 | |
CN113364753A (zh) | 反爬虫方法、装置、电子设备及计算机可读存储介质 | |
CN112837142A (zh) | 一种金融风险模型训练方法和装置 | |
Salau et al. | Data cooperatives for neighborhood watch | |
CN112488163A (zh) | 一种异常账号的识别方法、装置、计算机设备及存储介质 | |
CN112804374B (zh) | 威胁ip识别方法、装置、设备及介质 | |
CN112163929B (zh) | 业务推荐方法、装置、计算机设备和存储介质 | |
WO2021174881A1 (zh) | 多维度信息的组合预测方法、装置、计算机设备及介质 | |
CN113065748A (zh) | 业务风险评估方法、装置、设备及存储介质 | |
CN112257111A (zh) | 动态数值脱敏方法、装置及存储介质 | |
CN114092268A (zh) | 用户社群检测方法、装置、计算机设备及存储介质 | |
CN114090689A (zh) | 基于联盟链的智能合约数据处理方法、及其相关设备 | |
CN113902576A (zh) | 基于深度学习的信息推送方法、装置、电子设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20231030 Address after: 330000 collective households in Guanzhou Community, No. 900 Fusheng South Road, Xihu District, Nanchang City, Jiangxi Province Applicant after: Yang Jianxin Address before: Room 402, Jinhua network economic center building, 398 Silian Road, Wucheng District, Jinhua City, Zhejiang Province 310051 Applicant before: GUANGTONG TIANXIA NETWORK TECHNOLOGY Co.,Ltd. |
|
TA01 | Transfer of patent application right | ||
GR01 | Patent grant | ||
GR01 | Patent grant |