CN116846678B - 一种高可疑ip判定方法 - Google Patents

一种高可疑ip判定方法 Download PDF

Info

Publication number
CN116846678B
CN116846678B CN202311004073.3A CN202311004073A CN116846678B CN 116846678 B CN116846678 B CN 116846678B CN 202311004073 A CN202311004073 A CN 202311004073A CN 116846678 B CN116846678 B CN 116846678B
Authority
CN
China
Prior art keywords
suspicious
access
user
log
user analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311004073.3A
Other languages
English (en)
Other versions
CN116846678A (zh
Inventor
任启
王海
王毅
孙涛
高阳
杨晟
赵欣硕
陈琳羽
陈振全
董晓蓉
王立新
于洋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
KME Sp zoo
Original Assignee
State Grid Corp of China SGCC
KME Sp zoo
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, KME Sp zoo filed Critical State Grid Corp of China SGCC
Priority to CN202311004073.3A priority Critical patent/CN116846678B/zh
Publication of CN116846678A publication Critical patent/CN116846678A/zh
Application granted granted Critical
Publication of CN116846678B publication Critical patent/CN116846678B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供的一种高可疑IP判定方法,所述判定方法包括:将用户登录和访问日志中的用户IP按照地址来源区分境内、境外和云IP等三个类型;使用多个算子,结合异常行为特征库进行比对和匹配,将不同算子筛选出可疑IP进行归并、去重后输出最终的可疑IP,并导入IP黑名单。通过多类型IP登录用户分析、非白名单访问用户分析、访问多个系统的用户分析、多地域登录用户分析和异常IP深度筛选等算子,结合异常行为特征库进行比对和匹配,筛选出可疑攻击IP。

Description

一种高可疑IP判定方法
技术领域
本发明涉及网络安全领域,尤其涉及一种高可疑IP判定方法。
背景技术
网络安全威胁日益严峻,如何有效的判定可疑攻击IP是开展有效防御的重要前提。尽管通过将用户访问日志直接与异常行为特征库进行比对,发现一些可疑IP。但却会带来诸如误报率高、耗时较长等问题。
发明内容
鉴于上述问题,提出了本发明以便提供克服上述问题或者至少部分地解决上述问题的一种高可疑IP判定方法。
根据本发明的一个方面,提供了一种高可疑IP判定方法,所述判定方法包括:
将用户登录和访问日志中的用户IP按照地址来源区分境内、境外和云IP等三个类型;
使用多个算子,结合异常行为特征库进行比对和匹配,将不同算子筛选出可疑IP进行归并、去重后输出最终的可疑IP,并导入IP黑名单。
可选的,所述多个算子具体包括:多类型IP登录用户分析、非白名单访问用户分析、访问多个系统的用户分析、多地域登录用户分析和异常IP深度筛选。
可选的,所述多类型IP登录用户分析算子将10分钟内通过两类或以上IP地址来源登录的用户筛选出来,将筛选出来的用户的访问行为日志与异常行为特征库进行比对和匹配,将比中日志中的IP进行输出。
可选的,所述非白名单访问用户分析的算子将使用过域外IP或云IP登录访问的非白名单用户筛选出来,将筛选出来的用户的访问行为日志与异常行为特征库进行比对和匹配,将比中日志中的IP进行输出。
可选的,所述访问多个系统的用户分析算子将访问应用系统数量大于5个的用户筛选出来,将筛选出来的用户的访问行为日志与异常行为特征库进行比对和匹配,将比中日志中的IP进行输出。
可选的,所述多地域登录用户分析算子将使用超过3个境内地域IP的用户筛选出来,将筛选出来的用户的访问行为日志与异常行为特征库进行比对和匹配,将比中日志中的IP进行输出。
可选的,所述异常IP深度筛选算子将访问IP属于黑名单的用户筛选出来,将筛选出的用户使用过的所有IP进行输出。
本发明提供的一种高可疑IP判定方法,所述判定方法包括:将用户登录和访问日志中的用户IP按照地址来源区分境内、境外和云IP三类;使用多个算子,结合异常行为特征库进行比对和匹配,将不同算子筛选出可疑IP进行归并、去重后输出最终的可疑IP,并导入IP黑名单。通过多类型IP登录用户分析、非白名单访问用户分析、访问多个系统的用户分析、多地域登录用户分析和异常IP深度筛选等算子,结合异常行为特征库进行比对和匹配,筛选出可疑攻击IP。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种高可疑IP判定方法的流程图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明的说明书实施例和权利要求书及附图中的术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元。
下面结合附图和实施例,对本发明的技术方案做进一步的详细描述。
如图1所示,本发明实施例提供了一种高可疑IP研判方法,在本发明实施例中,日志标准化化、归一化处理模块将用户登录日志和访问日志统一处理后,分发给多类型IP登录用户分析、非白名单访问用户分析、访问多个系统的用户分析、多地域登录用户分析和异常IP深度筛选等5个算子,各算子输出的IP进行归并、去重后导入IP黑名单。
步骤101:将用户登录日志和业务访问日志等接入到“日志标准化、归一化处理”模块,对各类日志去重和标准化后,将处理后的日志分发给多类型IP登录用户分析、非白名单访问用户分析、访问多个系统的用户分析、多地域登录用户分析和异常IP深度筛选等5个算子,分别执行步骤102、103、104、105、106。
步骤102:将10分钟内通过两类或以上IP地址登录的用户筛选出来,将这些用户的访问行为日志与异常行为特征库进行比对和匹配,将比中日志中的IP进行输出。
步骤103:先将使用过域外IP或云IP登录访问的非白名单用户筛选出来,再将这些用户的访问行为日志与异常行为特征库进行比对和匹配,将比中日志中的IP进行输出。
步骤104:先将访问应用系统数量大于5个的用户筛选出来,再将这些用户的访问行为日志与异常行为特征库进行比对和匹配,将比中日志中的IP进行输出。
步骤105:先将使用超过3个以上境内地域IP的用户筛选出来,再将这些用户的访问行为日志与异常行为特征库进行比对和匹配,将比中日志中的IP进行输出。
步骤106:先将访问IP属于黑名单的用户筛选出来,再将该类用户使用过的所有IP进行输出。
步骤107:将步骤102、103、104、105、106的输出结果进行归并、去重后,导入IP黑名单。
本发明提出一种高可疑IP判定方法,先从攻击者可能采取的登录和访问手段出发,通过多类型IP登录用户分析、非白名单访问用户分析、访问多个系统的用户分析、多地域登录用户分析和异常IP深度筛选等算子,先将可能的攻击用户日志快速收敛,在基础上再与异常行为特征库进行比对和匹配,最后将所有五种算子输出的IP进行归并和去重,输出可信度高的可疑IP。
有益效果:分别通过多类型IP登录用户分析、非白名单访问用户分析、访问多个系统的用户分析、多地域登录用户分析和异常IP深度筛选等算子,先将可能的攻击用户日志快速收敛,在基础上再与异常行为特征库进行比对和匹配,最后将所有五种算子输出的IP进行归并和去重,输出可信度高的可疑IP。
以上的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种高可疑IP判定方法,其特征在于,所述判定方法包括:
将用户登录和访问日志中的用户IP按照地址来源区分境内、境外和云IP三个类型;
使用多个算子,结合异常行为特征库进行比对和匹配,将不同算子筛选出可疑IP进行归并、去重后输出最终的可疑IP,并导入IP黑名单;
所述多个算子具体包括:多类型IP登录用户分析、非白名单访问用户分析、访问多个系统的用户分析、多地域登录用户分析和异常IP深度筛选。
2.根据权利要求1所述的一种高可疑IP判定方法,其特征在于,所述多类型IP登录用户分析算子将10分钟内通过两类或以上IP地址登录的用户筛选出来,将筛选出来的用户的访问行为日志与异常行为特征库进行比对和匹配,将比中日志中的IP进行输出。
3.根据权利要求1所述的一种高可疑IP判定方法,其特征在于,所述非白名单访问用户分析的算子将使用过域外IP或云IP登录访问的非白名单用户筛选出来,将筛选出来的用户的访问行为日志与异常行为特征库进行比对和匹配,将比中日志中的IP进行输出。
4.根据权利要求1所述的一种高可疑IP判定方法,其特征在于,所述访问多个系统的用户分析算子将访问应用系统数量大于5个的用户筛选出来,将筛选出来的用户的访问行为日志与异常行为特征库进行比对和匹配,将比中日志中的IP进行输出。
5.根据权利要求1所述的一种高可疑IP判定方法,其特征在于,所述多地域登录用户分析算子将使用超过3个境内地域IP的用户筛选出来,将筛选出来的用户的访问行为日志与异常行为特征库进行比对和匹配,将比中日志中的IP进行输出。
6.根据权利要求1所述的一种高可疑IP判定方法,其特征在于,所述异常IP深度筛选算子将访问IP属于黑名单的用户筛选出来,将筛选出的用户使用过的所有IP进行输出。
CN202311004073.3A 2023-08-10 2023-08-10 一种高可疑ip判定方法 Active CN116846678B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311004073.3A CN116846678B (zh) 2023-08-10 2023-08-10 一种高可疑ip判定方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311004073.3A CN116846678B (zh) 2023-08-10 2023-08-10 一种高可疑ip判定方法

Publications (2)

Publication Number Publication Date
CN116846678A CN116846678A (zh) 2023-10-03
CN116846678B true CN116846678B (zh) 2024-01-19

Family

ID=88161911

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311004073.3A Active CN116846678B (zh) 2023-08-10 2023-08-10 一种高可疑ip判定方法

Country Status (1)

Country Link
CN (1) CN116846678B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018121331A1 (zh) * 2016-12-28 2018-07-05 阿里巴巴集团控股有限公司 攻击请求的确定方法、装置及服务器
US10110616B1 (en) * 2014-02-11 2018-10-23 DataVisor Inc. Using group analysis to determine suspicious accounts or activities
CN109729069A (zh) * 2018-11-26 2019-05-07 武汉极意网络科技有限公司 异常ip地址的检测方法、装置与电子设备
CN109831465A (zh) * 2019-04-12 2019-05-31 重庆天蓬网络有限公司 一种基于大数据日志分析的网站入侵检测方法
CN111865915A (zh) * 2020-06-15 2020-10-30 新浪网技术(中国)有限公司 一种用于访问服务器的ip控制方法及系统
CN114240476A (zh) * 2021-11-22 2022-03-25 彩讯科技股份有限公司 异常用户确定方法、装置、设备及存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10110616B1 (en) * 2014-02-11 2018-10-23 DataVisor Inc. Using group analysis to determine suspicious accounts or activities
WO2018121331A1 (zh) * 2016-12-28 2018-07-05 阿里巴巴集团控股有限公司 攻击请求的确定方法、装置及服务器
CN109729069A (zh) * 2018-11-26 2019-05-07 武汉极意网络科技有限公司 异常ip地址的检测方法、装置与电子设备
CN109831465A (zh) * 2019-04-12 2019-05-31 重庆天蓬网络有限公司 一种基于大数据日志分析的网站入侵检测方法
CN111865915A (zh) * 2020-06-15 2020-10-30 新浪网技术(中国)有限公司 一种用于访问服务器的ip控制方法及系统
CN114240476A (zh) * 2021-11-22 2022-03-25 彩讯科技股份有限公司 异常用户确定方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN116846678A (zh) 2023-10-03

Similar Documents

Publication Publication Date Title
US10728263B1 (en) Analytic-based security monitoring system and method
CN109962891B (zh) 监测云安全的方法、装置、设备和计算机存储介质
Duque et al. Using data mining algorithms for developing a model for intrusion detection system (IDS)
US9503469B2 (en) Anomaly detection system for enterprise network security
US10417420B2 (en) Malware detection and classification based on memory semantic analysis
Jiang et al. Identifying suspicious activities through dns failure graph analysis
US7930746B1 (en) Method and apparatus for detecting anomalous network activities
US9038178B1 (en) Detection of malware beaconing activities
US20210120022A1 (en) Network security blacklist derived from honeypot statistics
US20120096549A1 (en) Adaptive cyber-security analytics
EP3570504B1 (en) Attack countermeasure determination device, attack countermeasure determination method, and attack countermeasure determination program
US20200195672A1 (en) Analyzing user behavior patterns to detect compromised nodes in an enterprise network
Grill et al. Malware detection using http user-agent discrepancy identification
CN109194680A (zh) 一种网络攻击识别方法、装置及设备
CN106850647B (zh) 基于dns请求周期的恶意域名检测算法
US9479521B2 (en) Software network behavior analysis and identification system
CN106534042A (zh) 基于数据分析的服务器入侵识别方法、装置和云安全系统
JP5739034B1 (ja) 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム
CN114760106B (zh) 网络攻击的确定方法、系统、电子设备及存储介质
CN101621428A (zh) 一种僵尸网络检测方法及系统以及相关设备
CN113992386A (zh) 一种防御能力的评估方法、装置、存储介质及电子设备
CN113468542A (zh) 一种暴露面资产风险评估方法、装置、设备及介质
Debashi et al. Sonification of network traffic for detecting and learning about botnet behavior
CN107332820A (zh) 基于Linux环境的数字取证系统
CN116846678B (zh) 一种高可疑ip判定方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: No. 123 Wuyi Road, Qiaodong District, Zhangjiakou City, Hebei Province, 075000

Patentee after: ZHANGJIAKOU POWER SUPPLY COMPANY OF STATE GRID JINBEI ELECTRIC POWER Co.,Ltd.

Country or region after: China

Patentee after: STATE GRID CORPORATION OF CHINA

Address before: 075000, No. 131, Wuyi Road, Qiaodong District, Hebei, Zhangjiakou

Patentee before: ZHANGJIAKOU POWER SUPPLY COMPANY OF STATE GRID JINBEI ELECTRIC POWER Co.,Ltd.

Country or region before: China

Patentee before: STATE GRID CORPORATION OF CHINA