CN113225340A - 攻击ip地址判断方法、装置、设备和计算机可读存储介质 - Google Patents

Abstract

本公开的实施例提供了攻击IP地址判断方法、装置、设备和计算机可读存储介质。所述方法包括：获取待判断的目标IP地址；确定所述目标IP地址的访问特征的当前特征值；根据所述目标IP地址的访问特征的当前特征值，判断所述目标IP地址是否为攻击IP地址。以此方式，可以根据该当前特征值对目标IP地址的攻击性进行具体量化，以利用具体的特征值来自动而准确的判断目标IP地址是否为攻击IP地址，从而避免误判。

Description

攻击IP地址判断方法、装置、设备和计算机可读存储介质

技术领域

本公开的实施例一般涉及互联网领域，并且更具体地，涉及攻击IP地址判断方法、装置、设备和计算机可读存储介质。

背景技术

在网络攻防中，为了保护网络的安全性，会使用类似于入侵检测系统等被动式攻击防御手段，但网络攻击越来越泛滥，技术手段也越来越隐蔽。现有的防御手段已不能及时有效地减少攻击的危害，必须采用更有针对性的主动防御措施来应对新型、复杂的网络攻击。

目前检测攻击IP地址的方案虽然有，但是检测规则过于宽泛，容易触发误报，会产生大量误警信息，攻击者也会利用这种特性干扰工作人员的判断，使其疲于应对。

发明内容

根据本公开的实施例，提供了一种攻击IP地址判断方案。

在本公开的第一方面，提供了一种攻击IP地址判断方法。该方法包括：

获取待判断的目标IP地址；

确定所述目标IP地址的访问特征的当前特征值；

根据所述目标IP地址的访问特征的当前特征值，判断所述目标IP地址是否为攻击IP地址。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述访问特征包括多个；

所述根据所述目标IP地址的访问特征的当前特征值，判断所述目标IP地址是否为攻击IP地址，包括：

根据多个所述访问特征中各访问特征的攻击风险系数以及所述各访问特征的当前特征值，计算所述目标IP地址的总攻击风险值；

根据所述目标IP地址的总攻击风险值，判断所述目标IP地址是否为攻击IP地址。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述访问特征包括n个等级的特征；

所述根据多个所述访问特征中各访问特征的攻击风险系数以及所述各访问特征的当前特征值，计算所述目标IP地址的总攻击风险值，包括：

按照等级从高到低的顺序，依次根据前i个等级的特征的攻击风险系数以及所述前i个等级的特征的当前特征值，计算所述总攻击风险值，直至所述总攻击风险值不小于风险阈值时停止计算，其中，i不大于n，i和n均为正整数，n为不小于2的正整数。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述访问特征包括：归属地；所述访问特征的当前特征值包括：归属地风险值；

所述确定所述目标IP地址的访问特征的当前特征值，包括：

识别所述目标IP地址的地址标注；

根据所述目标IP地址的地址标注，确定所述目标IP地址的归属地；

根据所述目标IP地址的归属地出现攻击IP地址的频率和/或概率，确定所述归属地风险值。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述访问特征包括：新增IP地址；所述访问特征的当前特征值包括：当前新增风险值；

所述获取待判断的目标IP地址，包括：

将当前时间段内对当前访问平台的所有访问IP与对所述当前访问平台的历史访问IP地址进行比较；其中，所述历史访问IP对所述当前访问平台的访问时间与所述当前时间段位于同一时间划分区间内；

将在所述当前时间段内对所述当前访问平台的新增IP地址确定为所述目标IP地址；

所述确定所述目标IP地址的访问特征的当前特征值，包括：

根据历史新增IP地址对应的历史新增风险值，确定所述当前新增风险值。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述访问特征包括：多地新增IP地址；所述访问特征的当前特征值包括：所述目标IP地址的多地新增风险值；

所述确定所述目标IP地址的访问特征的当前特征值，包括：

若所述目标IP地址同时为多个访问平台中其他数据访问平台的新增访问IP，则根据所述当前新增风险值以及历史攻击IP地址的多地新增风险值，确定所述目标IP地址的多地新增风险值，其中，所述其他数据访问平台包括：所述多个访问平台中除所述当前访问平台之外的数据访问平台。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述访问特征包括：访问行为；所述访问特征的当前特征值包括：当前行为风险值；

所述确定所述目标IP地址的访问特征的当前特征值，包括：

识别所述目标IP地址的访问行为中的异常访问行为，其中，所述异常访问行为包括以下至少一项：异常扫描行为、暴力破解行为以及挖矿行为；

根据历史攻击IP地址的异常访问行为对应的历史行为风险值，确定所述目标IP地址的异常访问行为的当前行为风险值。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述访问特征包括：地域可信度等级标记；所述访问特征的当前特征值包括：当前可信度风险值；

所述确定所述目标IP地址的访问特征的当前特征值，包括：

在识别所述目标IP地址的地域可信度等级标记之后，根据各不同地域可信度等级对应的历史可信度风险值，确定所述目标IP地址的当前可信度风险值。

在本公开的第二方面，提供了一种攻击IP地址判断装置。该装置包括：

获取模块，用于获取待判断的目标IP地址；

确定模块，用于确定所述目标IP地址的访问特征的当前特征值；

判断模块，用于根据所述目标IP地址的访问特征的当前特征值，判断所述目标IP地址是否为攻击IP地址。

在本公开的第三方面，提供了一种电子设备。该电子设备包括：存储器和处理器，所述存储器上存储有计算机程序，所述处理器执行所述程序时实现如以上所述的方法。

在本公开的第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现如根据本公开的第一方面和/或第二发面的方法。

应当理解，发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征，亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。

附图说明

结合附图并参考以下详细说明，本公开各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中，相同或相似的附图标记表示相同或相似的元素，其中：

图1示出了根据本公开的实施例的攻击IP地址判断方法的流程图；

图2示出了根据本公开的实施例的攻击IP地址判断装置的方框图；

图3示出了能够实施本公开的实施例的示例性电子设备的方框图。

具体实施方式

为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例，都属于本公开保护的范围。

另外，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

本公开中，可根据目标IP地址的访问特征的当前特征值，来自动而准确的判断目标IP地址是否为攻击IP地址，从而避免误判。

图1示出了根据本公开实施例的用于处理消息的方法300的流程图。

方法100包括：

步骤110，获取待判断的目标IP(Internet Protocol网际互连协议)地址；

步骤120，确定所述目标IP地址的访问特征的当前特征值；

步骤130，根据所述目标IP地址的访问特征的当前特征值，判断所述目标IP地址是否为攻击IP地址。

通过确定待判断的目标IP地址的访问特征的当前特征值，可根据该当前特征值对目标IP地址的攻击性进行具体量化，以利用具体的特征值来自动而准确的判断目标IP地址是否为攻击IP地址，从而避免误判，进而避免产生误警。

在一个实施例中，所述访问特征包括多个；

所述根据所述目标IP地址的访问特征的当前特征值，判断所述目标IP地址是否为攻击IP地址，包括：

根据多个所述访问特征中各访问特征的攻击风险系数以及所述各访问特征的当前特征值，计算所述目标IP地址的总攻击风险值；

根据所述目标IP地址的总攻击风险值，判断所述目标IP地址是否为攻击IP地址。

通过根据多个访问特征中各访问特征的攻击风险系数以及所述各访问特征的当前特征值，可自动计算出目标IP地址的总攻击风险值，以对目标IP地址的攻击性进行具体量化，从而能够准确判断所述目标IP地址是否为攻击IP地址。

其次，在判断是否为攻击IP地址时，可将目标IP地址的总攻击风险值与风险阈值进行比较，若目标IP地址的总攻击风险值高于该风险阈值，即可判定目标IP地址为攻击IP地址。

而风险阈值可根据历史攻击IP地址的总攻击风险值来确定和调节，例如：随着时间的推移历史攻击IP地址会不断更新，因而，可根据不断更新的历史攻击IP地址的总攻击风险值来不断调节该风险阈值，从而确保攻击IP地址的判断准确率。

例如：假设目标IP地址的访问特征有n个，各访问特征的当前特征值分别为x1、x2……xn，各访问特征的访问系数分别为k1、k2……kn，则目标IP地址的总攻击风险值y的计算方式可以如下：

y＝k1*x1+k2*x2+……+kn*xn

进一步地，如果y大于风险阈值y0，则判定目标IP地址为攻击IP地址。

在一个实施例中，所述访问特征包括n个等级的特征；

所述根据多个所述访问特征中各访问特征的攻击风险系数以及所述各访问特征的当前特征值，计算所述目标IP地址的总攻击风险值，包括：

按照等级从高到低的顺序，依次根据前i个等级的特征的攻击风险系数以及所述前i个等级的特征的当前特征值，计算所述总攻击风险值，直至所述总攻击风险值不小于风险阈值时停止计算，其中，i不大于n，i和n均为正整数，n为不小于2的正整数。

除了基于所有访问特征的攻击风险系数以及所有访问特征的当前特征值不断累计计算总攻击风险值之外，还可以将这些访问特征划分为n个等级，然后按照等级从高到低的顺序，计算总攻击风险值，且在总攻击风险值大于或等于风险阈值时，不再继续基于下一等级的访问特征继续计算新的总攻击风险值，从而在确保能够准确判断攻击IP地址的计算上，尽可能减少计算次数，提高判断效率。

例如：假设n＝3(即将这些特征划分为3个等级的特征)，且等级从高到低的顺序分别为第一等级、第二等级和第三等级，则可先根据第一等级的每个特征的攻击风险系数以及该第一等级的每个特征的当前特征值，计算出此时的总攻击风险值，记为y1，然后与风险阈值y0进行比较，若y1大于或等于y0，则不再根据第二等级以及第三等级中的每个特征的攻击风险系数和当前特征值更新此时的总攻击风险值y1；当然，如果y1小于y0，则在y1的基础上，继续根据第二等级的每个特征的攻击风险系数以及该第二等级的每个特征的当前特征值，更新y1，并将更新后的y1记为y2，然后与风险阈值y0进行比较，若y2大于或等于y0，则不再根据第三等级中的每个特征的攻击风险系数和对应的当前特征值更新此时的总攻击风险值y2，以此类推。

在一个实施例中，所述访问特征包括：归属地；所述访问特征的当前特征值包括：归属地风险值；

所述确定所述目标IP地址的访问特征的当前特征值，包括：

识别所述目标IP地址的地址标注；

根据所述目标IP地址的地址标注，确定所述目标IP地址的归属地；

根据所述目标IP地址的归属地出现攻击IP地址的频率和/或概率，确定所述归属地风险值。

在确认目标IP地址的归属地之后，可根据该归属地出现攻击IP地址的频率和/或概率，自动确认针对该目标IP地址的归属地这一特征的当前特征值即归属地风险值。例如：可根据出现攻击IP地址的频率和/或概率与归属地风险值的对应关系表，确定该目标IP地址的归属地风险值，以确保出现攻击IP地址的频率和/或概率不同时，归属地风险值的大小也会适应性不同。

在识别地址标注之前，首先将已知的安全IP进行归属地标注，利用开源IP地址库对剩余IP进行归属地标注，筛选其中各公有云厂商IP，公有云IP由于其易获取，方便架设攻击工具等特点，通常被攻击者使用。

中国境内的IP使用CNNIC查询标注，其他国家的IP使用ARIN(美国Internet号码注册中心)、RIPE(世界互联网组织)、LACNIC(Lation American and Caribbean InternetAddress Registry，拉丁美洲和加勒比地区互联网地址注册管理机构)、APNIC(Asia-Pacific Network Information Center，亚太互联网络信息中心)、AFRINIC((AfricanNetwork Information Centre，非洲网络信息中心)进行查询标注。对日常的来访IP进行提取，进行去重后获取访问IP，排除日常前已报备的公共上网出口IP(私网之外就是公网)，将剩余IP进行归属地识别。提取到带有公网IP可以作为攻击机、跳板机以及远程控制服务器的云主机IP地址，将这些云主机IP进行单独提取以备进一步分析，但这样的筛选结果范围还比较大，需要进一步的精准分析，而以下实施例可协助进行进一步分析。

在一个实施例中，所述访问特征包括：新增IP地址；所述访问特征的当前特征值包括：当前新增风险值；

所述获取待判断的目标IP地址，包括：

将当前时间段内对当前访问平台的所有访问IP与对所述当前访问平台的历史访问IP地址进行比较；其中，所述历史访问IP对所述当前访问平台的访问时间与所述当前时间段位于同一时间划分区间内；

历史访问IP地址对所述当前访问平台的访问时间与所述当前时间段位于同一时间划分区间内，可确保新增IP地址的判断是相对于同一时间区间内的IP地址的，如此，有利于提高攻击IP地址的判断准确率。例如：可将当前访问平台的上一年度访问数据进行提取，与本年度开始后的数据进行对比，然后重点关注新增加的访问IP情况，因为新增部分往往包含恶意攻击者IP，而通过此筛选方式显然可进一步缩小排查范围，进行聚焦分析。

将在所述当前时间段内对所述当前访问平台的新增IP地址确定为所述目标IP地址；

所述确定所述目标IP地址的访问特征的当前特征值，包括：

根据历史新增IP地址对应的历史新增风险值，确定所述当前新增风险值。

本实施例，通过将新增IP地址确定为待判断的目标IP地址，可缩小攻击IP地址的排查范围，提高攻击IP地址的排查效率。另外，在确定当前新增风险值时，可基于历史新增IP地址对应的历史新增风险值来确定，例如：可求取多个历史新增IP地址对应的历史新增风险值的均值，然后依据新增IP的新增百分比，进行上下调节。

在一个实施例中，所述访问特征包括：多地新增IP地址；所述访问特征的当前特征值包括：所述目标IP地址的多地新增风险值；

所述确定所述目标IP地址的访问特征的当前特征值，包括：

若所述目标IP地址同时为多个访问平台中其他数据访问平台的新增访问IP，则根据所述当前新增风险值以及历史攻击IP地址的多地新增风险值，确定所述目标IP地址的多地新增风险值，其中，所述其他数据访问平台包括：所述多个访问平台中除所述当前访问平台之外的数据访问平台。

历史攻击IP地址的多地新增风险值即为历史攻击IP地址为多地新增这一属性所赋的风险值。

本实施例，由于多地同时新增某IP地址时，该IP地址具有攻击性的嫌疑就比较大，因而，通过将多地新增IP地址作为目标IP地址的一个访问特征，可进一步缩小攻击IP地址的排查范围，如此自然有利于进一步提高攻击IP地址的判断效率。

例如：某指定单位通常采用多地部署的方式，而不同数据中心所处网络位置又不同，因而，如果多个数据中心同时新增了某访问IP，则该IP为针对指定单位的攻击IP可能性将大大增加，因而，可进一步确定该IP的多地新增风险值。

在确定目标IP地址的多地新增风险值之时，可结合该当前新增风险值以及历史攻击IP地址的多地新增风险值来准确确认，例如：可将两者进行加权求和所得的值作为目标IP地址的多地新增风险值。

在一个实施例中，所述访问特征包括：访问行为；所述访问特征的当前特征值包括：当前行为风险值；

所述确定所述目标IP地址的访问特征的当前特征值，包括：

识别所述目标IP地址的访问行为中的异常访问行为，其中，所述异常访问行为包括以下至少一项：异常扫描行为、暴力破解行为以及挖矿行为(即盗取访问服务器的资源挖矿，致使该访问服务器运行不起来了)；

由于大量代理、爬虫以及黑产攻击也会使用云主机IP进行攻击，这就对进一步的分析产生了干扰，所以需要借助威胁情报网站、DDoS攻击脚本等识别这些IP地址，然后确认这些IP地址的异常访问行为。

根据历史攻击IP地址的异常访问行为对应的历史行为风险值，确定所述目标IP地址的异常访问行为的当前行为风险值。

本实施例，通过将异常访问行为作为目标IP地址的一个访问特征可进一步缩小攻击IP地址的排查范围，提高攻击IP地址的排查效率。

另外，在确定当前行为风险值时，可基于历史攻击IP地址的异常访问行为对应的历史行为风险值来确定，例如：可根据历史攻击IP地址的异常访问行为对应的历史行为风险值的具体分布来确认。

在一个实施例中，所述访问特征包括：地域可信度等级标记；所述访问特征的当前特征值包括：当前可信度风险值；

所述确定所述目标IP地址的访问特征的当前特征值，包括：

在识别所述目标IP地址的地域可信度等级标记之后，根据各不同地域可信度等级对应的历史可信度风险值，确定所述目标IP地址的当前可信度风险值。

在确定目标IP地址的当前可信度风险值时，可基于各不同地域可信度等级对应的历史可信度风险值以及该可信度等级标记对应的可信度等级来准确确定。例如：如果目标IP地址的地域可信度等级标记对应的可信度等级为A等级，则可根据A等级对应的历史可信度风险值，来确定目标IP地址的当前可信度风险值；如果不同地域可信度等级中没有A等级，则用与A等级最接近的a等级对应的历史可信度风险值来确定。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本公开并不受所描述的动作顺序的限制，因为依据本公开，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于可选实施例，所涉及的动作和模块并不一定是本公开所必须的。

以上是关于方法实施例的介绍，以下通过装置实施例，对本公开所述方案进行进一步说明。

图2示出了根据本公开的实施例的攻击IP地址判断装置200的方框图。

装置200可以包括：

获取模块210，用于获取待判断的目标IP地址；

确定模块220，用于确定所述目标IP地址的访问特征的当前特征值；

判断模块230，用于根据所述目标IP地址的访问特征的当前特征值，判断所述目标IP地址是否为攻击IP地址。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，所述描述的模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

图3示出了可以用来实施本公开的实施例的电子设备300的示意性框图。设备300可以用于实现图2所述的装置200。如图所示，设备300包括CPU301，其可以根据存储在ROM302中的计算机程序指令或者从存储单元308加载到RAM303中的计算机程序指令，来执行各种适当的动作和处理。在RAM 303中，还可以存储设备300操作所需的各种程序和数据。CPU 301、ROM 302以及RAM 303通过总线304彼此相连。I/O接口305也连接至总线304。

设备300中的多个部件连接至I/O接口305，包括：输入单元306，例如键盘、鼠标等；输出单元303，例如各种类型的显示器、扬声器等；存储单元308，例如磁盘、光盘等；以及通信单元309，例如网卡、调制解调器、无线通信收发机等。通信单元309允许设备300通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。

处理单元301执行上文所描述的各个方法和处理，例如方法100。例如，在一些实施例中，方法100可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元308。在一些实施例中，计算机程序的部分或者全部可以经由ROM 302和/或通信单元309而被载入和/或安装到设备300上。当计算机程序加载到RAM 303并由CPU 301执行时，可以执行上文描述的方法100的步骤。备选地，在其他实施例中，CPU 301可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行方法100。

本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如，非限制性地，可以使用的示范类型的硬件逻辑部件包括：场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑器件(CPLD)等等。

用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。

在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、RAM、ROM、EPROM、光纤、CD-ROM、光学储存设备、磁储存设备、或上述内容的任何合适组合。

此外，虽然采用特定次序描绘了各操作，但是这应当理解为要求这样操作以所示出的特定次序或以顺序次序执行，或者要求所有图示的操作应被执行以取得期望的结果。在一定环境下，多任务和并行处理可能是有利的。同样地，虽然在上面论述中包含了若干具体实现细节，但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实现中。相反地，在单个实现的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实现中。

尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题，但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反，上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。

Claims (11)

1.一种攻击IP地址判断方法，其特征在于，包括：

获取待判断的目标IP地址；

确定所述目标IP地址的访问特征的当前特征值；

根据所述目标IP地址的访问特征的当前特征值，判断所述目标IP地址是否为攻击IP地址。

2.根据权利要求1所述的攻击IP地址判断方法，其特征在于，

所述访问特征包括多个；

所述根据所述目标IP地址的访问特征的当前特征值，判断所述目标IP地址是否为攻击IP地址，包括：

根据多个所述访问特征中各访问特征的攻击风险系数以及所述各访问特征的当前特征值，计算所述目标IP地址的总攻击风险值；

根据所述目标IP地址的总攻击风险值，判断所述目标IP地址是否为攻击IP地址。

3.根据权利要求2所述的攻击IP地址判断方法，其特征在于，

所述访问特征包括n个等级的特征；

所述根据多个所述访问特征中各访问特征的攻击风险系数以及所述各访问特征的当前特征值，计算所述目标IP地址的总攻击风险值，包括：

按照等级从高到低的顺序，依次根据前i个等级的特征的攻击风险系数以及所述前i个等级的特征的当前特征值，计算所述总攻击风险值，直至所述总攻击风险值不小于风险阈值时停止计算，其中，i不大于n，i和n均为正整数，n为不小于2的正整数。

4.根据权利要求1所述的攻击IP地址判断方法，其特征在于，

所述访问特征包括：归属地；所述访问特征的当前特征值包括：归属地风险值；

所述确定所述目标IP地址的访问特征的当前特征值，包括：

识别所述目标IP地址的地址标注；

根据所述目标IP地址的地址标注，确定所述目标IP地址的归属地；

根据所述目标IP地址的归属地出现攻击IP地址的频率和/或概率，确定所述归属地风险值。

5.根据权利要求1所述的攻击IP地址判断方法，其特征在于，

所述访问特征包括：新增IP地址；所述访问特征的当前特征值包括：当前新增风险值；

所述获取待判断的目标IP地址，包括：

将当前时间段内对当前访问平台的所有访问IP与对所述当前访问平台的历史访问IP地址进行比较；其中，所述历史访问IP对所述当前访问平台的访问时间与所述当前时间段位于同一时间划分区间内；

将在所述当前时间段内对所述当前访问平台的新增IP地址确定为所述目标IP地址；

所述确定所述目标IP地址的访问特征的当前特征值，包括：

根据历史新增IP地址对应的历史新增风险值，确定所述当前新增风险值。

6.根据权利要求5所述的攻击IP地址判断方法，其特征在于，

所述访问特征包括：多地新增IP地址；所述访问特征的当前特征值包括：所述目标IP地址的多地新增风险值；

所述确定所述目标IP地址的访问特征的当前特征值，包括：

若所述目标IP地址同时为多个访问平台中其他数据访问平台的新增访问IP，则根据所述当前新增风险值以及历史攻击IP地址的多地新增风险值，确定所述目标IP地址的多地新增风险值，其中，所述其他数据访问平台包括：所述多个访问平台中除所述当前访问平台之外的数据访问平台。

7.根据权利要求1所述的攻击IP地址判断方法，其特征在于，

所述访问特征包括：访问行为；所述访问特征的当前特征值包括：当前行为风险值；

所述确定所述目标IP地址的访问特征的当前特征值，包括：

识别所述目标IP地址的访问行为中的异常访问行为，其中，所述异常访问行为包括以下至少一项：异常扫描行为、暴力破解行为以及挖矿行为；

根据历史攻击IP地址的异常访问行为对应的历史行为风险值，确定所述目标IP地址的异常访问行为的当前行为风险值。

8.根据权利要求1所述的攻击IP地址判断方法，其特征在于，

所述访问特征包括：地域可信度等级标记；所述访问特征的当前特征值包括：当前可信度风险值；

所述确定所述目标IP地址的访问特征的当前特征值，包括：

在识别所述目标IP地址的地域可信度等级标记之后，根据各不同地域可信度等级对应的历史可信度风险值，确定所述目标IP地址的当前可信度风险值。

9.一种攻击IP地址判断装置，其特征在于，包括：

获取模块，用于获取待判断的目标IP地址；

确定模块，用于确定所述目标IP地址的访问特征的当前特征值；

判断模块，用于根据所述目标IP地址的访问特征的当前特征值，判断所述目标IP地址是否为攻击IP地址。

10.一种电子设备，包括存储器和处理器，所述存储器上存储有计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1～8中任一项所述的方法。

11.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如权利要求1～8中任一项所述的方法。

Images