一种快速准确识别异常攻击IP地址的方法与流程

一种快速准确识别异常攻击ip地址的方法
技术领域
1.本发明涉及互联网领域，尤其涉及一种快速准确识别异常攻击ip地址的方法。


背景技术：

2.随着网络技术的快速发展，网络安全问题层出不穷，由于网络攻击手段越来越隐蔽，普通的防御手段已不能及时进行防御，因此需要及时探测识别网络攻击以解决网络安全问题。
3.申请号为201710441718.8的申请文件公开了一种基于ip地址的用户识别方法，该方法包括：获取关于某一ip地址通过搜索引擎对目标链接的点击信息、该ip地址对目标链接所指向的目标项目的浏览信息以及针对目标项目的交易信息；根据预定的判定准则，基于所获取的信息，确定所述ip地址是否属于风险ip；以及在所述ip地址属于风险ip的情况下，屏蔽所述ip地址，其中，点击信息包括在统计周期内所述ip地址通过点击目标链接而获得的回报；浏览信息包括在统计周期内的访问深度，所述访问深度包括所述ip地址的用户在目标网站的浏览页面数或浏览路径；交易信息包括在统计周期内对目标项目的购买费用。
4.现有技术通过将获取的点击信息、浏览信息和交易信息与预设规则进行对比判定ip地址是否为风险ip，一旦介入隐蔽性较强的攻击手段，无法快速准确识别异常攻击的ip地址。


技术实现要素：

5.为此，本发明提供一种快速准确识别异常攻击ip地址的方法，可以解决无法快速准确识别异常攻击的ip地址的问题。
6.为实现上述目的，本发明提供一种快速准确识别异常攻击ip地址的方法，该方法包括：
7.接收若干数据包：
8.获取所述数据包的源ip地址；
9.根据预先存储的ip地址黑名单判断所述源ip地址的可信度；
10.当可信度不符合预设要求时，将源ip地址对应的数据包进行隔离；
11.当可信度符合预设要求时，基于所述数据包构建响应消息，并将所述响应消息发送至源ip地址对应的终端；
12.对隔离的数据包对应的源ip地址进行监测，将监测结果进行分析，根据分析结果判断将隔离的数据包进行删除或者解除对数据包的隔离。
13.进一步地，根据预先存储的ip地址黑名单判断所述源ip地址的可信度包括：
14.对所述源ip地址进行识别，识别源ip地址是否为代理ip地址；
15.根据预先存储的ip地址黑名单对所述源ip地址进行标记；
16.根据识别结果和源ip地址的标记内容对所述源ip地址进行风险等级划分；
17.根据风险等级划分结果判断所述源ip地址的可信度。
18.进一步地，在识别源ip地址是否为代理ip地址时，将源ip地址与预设代理ip库进行匹配，若匹配成功，则判定源ip地址为代理ip地址，若匹配失败，则判定源ip地址为直接ip地址。
19.进一步地，在根据预先存储的ip地址黑名单对所述源ip地址进行标记，将源ip地址与ip地址黑名单中的ip地址进行匹配，若匹配成功，则将源ip地址标记为异常ip地址，若匹配失败，则将源ip地址标记为正常ip地址。
20.5、根据权利要求4所述的快速准确识别异常攻击ip地址的方法，其特征在于，在根据识别结果和源ip地址的标记内容对源ip进行风险等级划分时，若源ip地址为代理ip地址且源ip地址的标记内容为异常ip地址，则将源ip地址的风险等级划分为a级；
21.若源ip地址为直接ip地址且源ip地址的标记为异常ip地址，则将源i地址的风险等级划分为b级；
22.若源ip地址为代理ip地址且源ip地址的标记为正常ip地址，则将源ip地址的风险等级划分为c级；
23.若源ip地址为直接ip地址且源ip地址的标记为正常ip地址，则将源ip地址的风险等级划分为d级；
24.在对源ip地址进行风险等级划分后，判断所述源ip地址的可信度，将风险等级为a级、b级和c级的源ip地址判定为可疑ip地址，将风险等级为d级的源ip地址判定为安全ip地址，其中，可疑ip地址的风险等级大小为a级＞b级＞c级。
25.进一步地，在将源ip地址对应的数据包进行隔离时，将源ip地址被判定为可疑ip地址对应的数据包进行隔离；
26.在对隔离的数据包对应的源ip地址进行监测时，将监测结果进行分析，根据分析结果判断将隔离的数据包进行删除或者解除对数据包的隔离包括：
27.根据隔离的数据包生成虚假响应信息，将虚假响应信息发送到判定为可疑ip地址的源ip地址，在预设时间内接收判定为可疑ip地址的源ip地址发送的对虚假响应信息的确认信息；
28.根据确认信息的接收情况判断两个终端是否连接成功；
29.根据连接情况对数据包中的请求内容和请求路径进行分析，根据分析结果判断将隔离的数据包进行删除或者解除对数据包的隔离。
30.进一步地，在根据确认信息的接收情况判断两个终端是否连接成功时，若预设时间内未接收到所述确认信息，则将判定为可疑ip地址的源ip地址判定为攻击ip地址；
31.若预设时间内接收到所述确认信息，则判定为可疑ip地址的源ip地址继续为可疑ip地址。
32.进一步地，在将判定为可疑ip地址的源ip地址判定为攻击ip地址后，将该源ip地址与所述ip地址黑名单进行匹配，若匹配失败，则将该源ip地址保存到ip地址黑名单中，将该源ip地址对应的数据包进行删除。
33.进一步地，在预设时间内接收到所述确认信息，判定为可疑ip地址的源ip地址继续为可疑ip地址时，对所述请求内容进行分析，根据预设关键词库对所述请求内容进行关键词提取，将重复的关键词进行删除，统计数据请求中的总关键词数量，根据预设关键词重
要等级表对数据请求中的重要关键词进行标记，统计标记的重要关键词的数量，计算标记的重要关键词的占比p，其中p＝标记的重要关键词的数量
÷
总关键词数量，将占比p与预设占比p0进行比较，
34.若p≥p0，则将该可疑ip地址的源ip地址判定为攻击ip地址；
35.若p＜p0，则该可疑ip地址的源ip地址继续为可疑ip地址；
36.在将该可疑ip地址的源ip地址判定为攻击ip地址后，将该源ip地址与所述ip地址黑名单进行匹配，若匹配失败，则将该源ip地址保存到ip地址黑名单中，将该源ip地址的数据包进行删除。
37.进一步地，在p＜p0，该可疑ip地址的源ip地址继续为可疑ip地址时，对所述请求路径进行分析，根据所述请求路径的深度判定可疑ip地址的源ip地址是否为攻击ip地址，将请求路径进行分层，每个路径位置为一层，统计请求路径的层数m，将路径位置名称和预设重要路径位置名称库进行匹配，将请求路径的层数m与预设请求路径的层数m0进行比较，若匹配成功且m≥m0，则将该可疑ip地址的源ip地址判定为攻击ip地址；
38.若匹配成功且m＜m0，则将该可疑ip地址的源ip地址判定为安全ip地址；
39.若匹配失败且m≥m0，则将该可疑ip地址的源ip地址判定为安全ip地址；
40.若匹配失败且m＜m0，则将该可疑ip地址的源ip地址判定为安全ip地址；
41.在将该可疑ip地址的源ip地址判定为攻击ip地址后，将该源ip地址与所述ip地址黑名单进行匹配，若匹配失败，则将该源ip地址保存到ip地址黑名单中，将该源ip地址的数据包进行删除；
42.在将该可疑ip地址的源ip地址判定为安全ip地址时，将解除对该源ip地址对应的数据包的隔离，根据所述数据包的请求内容和请求路径构建响应消息，并将所述响应消息发送至源ip地址对应的终端。
43.与现有技术相比，本发明的有益效果在于，通过对数据包的源ip地址进行识别，在确认了是否为代理ip地址后，判断源ip地址的可信度，将可信度不符合预设要求的源ip地址的数据包进行隔离，保证安全，再对其进行监测，以确保是否为攻击ip地址，使识别结果更加准确，通过将可疑ip地址的数据包进行隔离并监测，根据监测结果分析判断是否将源ip地址的数据包进行删除或解除数据包的隔离，通过全面分析使异常攻击ip地址的判断更加准确，因此实现了快速准确的识别异常攻击的ip地址。
44.尤其，通过根据ip地址黑名单判断源ip地址是否为异常ip地址，进而快速地进行初次识别，防止攻击事件发生。
45.尤其，通过源ip地址的标记内容和源ip地址的识别结果对源ip地址进行等级划分，确定源ip地址的可信度即将等级为a级、b级和c级的源ip地址确定为可疑ip地址，将等级为d级的源ip地址确定为安全ip地址，进而使后续根据可疑ip地址进监测，实现快速准确地识别异常攻击的ip地址。
46.尤其，通过生成虚假响应消息发送给判定为可疑ip地址的源ip地址以迷惑其发送确认消息，根据接收确认消息的时间分析其是否为虚假ip地址，通过虚假响应保证自身数据安全而且根据分析是否为虚假ip地址判断该可疑ip地址是否为攻击ip地址，借此非法获取数据，实现了准确的识别了异常攻击的ip地址。
47.尤其，在判定了可疑ip地址的源ip地址判定为攻击ip地址后，若该源ip地址不在
所述ip地址黑名单中，则将其保存进而更新ip地址黑名单，使在面对可疑ip地址时，可快速准确的识别异常攻击的ip地址。
48.尤其，通过对请求内容进行分析，将重要关键词的占比大于预设占比的可疑ip地址的源ip地址判定为攻击ip地址，在判定了可疑ip地址的源ip地址判定为攻击ip地址后，若该源ip地址不在所述ip地址黑名单中，则将其保存进而更新ip地址黑名单，使在面对可疑ip地址时，可快速准确的识别异常攻击的ip地址。
49.尤其，通过对请求数据的请求路径进行分析，将请求路径位置重要且请求路径层数大于预设层数的可疑ip地址的源ip地址判定为攻击ip地址，在判定了可疑ip地址的源ip地址判定为攻击ip地址后，若该源ip地址不在所述ip地址黑名单中，则将其保存进而更新ip地址黑名单，使在面对可疑ip地址时，实现了快速准确的识别异常攻击的ip地址。
附图说明
50.图1为本发明一种实施例提供的快速准确识别异常攻击ip地址的方法的流程示意图；
51.图2为本发明一种实施例提供的快速准确识别异常攻击ip地址的方法的流程示意图；
52.图3为本发明一种实施例提供的快速准确识别异常攻击ip地址的方法的流程示意图。
具体实施方式
53.为了使本发明的目的和优点更加清楚明白，下面结合实施例对本发明作进一步描述；应当理解，此处所描述的具体实施例仅仅用于解释本发明，并不用于限定本发明。
54.下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是，这些实施方式仅仅用于解释本发明的技术原理，并非在限制本发明的保护范围。
55.需要说明的是，在本发明的描述中，术语“上”、“下”、“左”、“右”、“内”、“外”等指示的方向或位置关系的术语是基于附图所示的方向或位置关系，这仅仅是为了便于描述，而不是指示或暗示所述装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。
56.此外，还需要说明的是，在本发明的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域技术人员而言，可根据具体情况理解上述术语在本发明中的具体含义。
57.请参阅图1所示，本发明实施例提供的快速准确识别异常攻击ip地址的方法，该方法包括：
58.步骤s110，接收若干数据包：
59.步骤s120，获取所述数据包的源ip地址；
60.步骤s130，根据预先存储的ip地址黑名单判断所述源ip地址的可信度；
61.步骤s140，当可信度不符合预设要求时，将源ip地址对应的数据包进行隔离；
62.步骤s150，当可信度符合预设要求时，基于所述数据包构建响应消息，并将所述响应消息发送至源ip地址对应的终端；
63.步骤s160，对隔离的数据包对应的源ip地址进行监测，将监测结果进行分析，根据分析结果判断将隔离的数据包进行删除或者解除对数据包的隔离。
64.具体而言，本发明实施例通过对数据包的源ip地址进行识别，在确认了是否为代理ip地址后，判断源ip地址的可信度，将可信度不符合预设要求的源ip地址的数据包进行隔离，保证安全，再对其进行监测，以确保是否为攻击ip地址，使识别结果更加准确，通过将可疑ip地址的数据包进行隔离并监测，根据监测结果分析判断是否将源ip地址的数据包进行删除或解除数据包的隔离，通过全面分析使异常攻击ip地址的判断更加准确，因此实现了快速准确的识别异常攻击的ip地址。
65.请参阅图2所示，根据预先存储的ip地址黑名单判断所述源ip地址的可信度包括：
66.步骤s131，对所述源ip地址进行识别，识别源ip地址是否为代理ip地址；
67.步骤s132，根据预先存储的ip地址黑名单对所述源ip地址进行标记；
68.步骤s133，根据识别结果和源ip地址的标记内容对所述源ip地址进行风险等级划分；
69.步骤s134，根据风险等级划分结果判断所述源ip地址的可信度。
70.具体而言，若某一请求客户端与请求响应客户端的ip地址不在同一网段，则请求客户端则将通过代理服务器向响应客户端发送请求，因此通过代理服务器发送的请求的数据包中的源ip地址已被代理服务器修改，将代理ip地址作为了数据包的源ip地址，因此要对响应客户端接收的数据包的源ip地址进行识别，识别确定是否为修改后的代理ip地址。
71.具体而言，在识别源ip地址是否为代理ip地址时，将源ip地址与预设代理ip库进行匹配，若匹配成功，则判定源ip地址为代理ip地址，若匹配失败，则判定源ip地址为直接ip地址。
72.具体而言，预设代理ip库可以通过网络爬虫爬取代理ip地址，也可以通过建立模型收集代理ip地址，在此不作限定。
73.具体而言，在根据预先存储的ip地址黑名单对所述源ip地址进行标记，将源ip地址与ip地址黑名单中的ip地址进行匹配，若匹配成功，则将源ip地址标记为异常ip地址，若匹配失败，则将源ip地址标记为正常ip地址。
74.具体而言，本发明实施例通过根据ip地址黑名单判断源ip地址是否为异常ip地址，进而快速地进行初次识别，防止攻击事件发生。
75.具体而言，在根据识别结果和源ip地址的标记内容对源ip进行风险等级划分时，若源ip地址为代理ip地址且源ip地址的标记内容为异常ip地址，则将源ip地址的风险等级划分为a级；
76.若源ip地址为直接ip地址且源ip地址的标记为异常ip地址，则将源ip地址的风险等级划分为b级；
77.若源ip地址为代理ip地址且源ip地址的标记为正常ip地址，则将源ip地址的风险等级划分为c级；
78.若源ip地址为直接ip地址且源ip地址的标记为正常ip地址，则将源ip地址的风险等级划分为d级；
79.在对源ip地址进行风险等级划分后，判断所述源ip地址的可信度，将风险等级为a级、b级和c级的源ip地址判定为可疑ip地址，将风险等级为d级的源ip地址判定为安全ip地址，其中，可疑ip地址的风险等级大小为a级＞b级＞c级。
80.具体而言，本发明实施例通过通过源ip地址的标记内容和源ip地址的识别结果对源ip地址进行等级划分，确定源ip地址的可信度即将等级为a级、b级和c级的源ip地址确定为可疑ip地址，将等级为d级的源ip地址确定为安全ip地址，进而使后续根据可疑ip地址进监测，实现快速准确地识别异常攻击的ip地址。
81.具体而言，在将源ip地址对应的数据包进行隔离时，将源ip地址被判定为可疑ip地址对应的数据包进行隔离；
82.请参阅图3所示，在对隔离的数据包对应的源ip地址进行监测时，将监测结果进行分析，根据分析结果判断将隔离的数据包进行删除或者解除对数据包的隔离包括：
83.步骤s161，根据隔离的数据包生成虚假响应信息，将虚假响应信息发送到判定为可疑ip地址的源ip地址，在预设时间内接收判定为可疑ip地址的源ip地址发送的对虚假响应信息的确认信息；
84.步骤s162，根据确认信息的接收情况判断两个终端是否连接成功；
85.步骤s163，根据连接情况对数据包中的请求内容和请求路径进行分析，根据分析结果判断将隔离的数据包进行删除或者解除对数据包的隔离。
86.具体而言，将虚假响应信息发送到判定为可疑ip地址的源ip地址后，再接收一次该源ip地址的确认消息，由此经过三次握手建立连接，只有建立连接后才可将请求数据发送至源ip地址对应的终端，若在预设时间未收到源ip地址对应的终端的确认消息，则该源ip地址可能为虚假ip地址，以此骗取可靠数据。
87.具体而言，在根据确认信息的接收情况判断两个终端是否连接成功时，若预设时间内未接收到所述确认信息，则将判定为可疑ip地址的源ip地址判定为攻击ip地址；
88.若预设时间内接收到所述确认信息，则判定为可疑ip地址的源ip地址继续为可疑ip地址。
89.具体而言，本发明实施例通过生成虚假响应消息发送给判定为可疑ip地址的源ip地址以迷惑其发送确认消息，根据接收确认消息的时间分析其是否为虚假ip地址，通过虚假响应保证自身数据安全而且根据分析是否为虚假ip地址判断该可疑ip地址是否为攻击ip地址，借此非法获取数据，实现了准确的识别了异常攻击的ip地址。
90.具体而言，在将判定为可疑ip地址的源ip地址判定为攻击ip地址后，将该源ip地址与所述ip地址黑名单进行匹配，若匹配失败，则将该源ip地址保存到ip地址黑名单中，将该源ip地址对应的数据包进行删除。
91.具体而言，本发明实施例在判定了可疑ip地址的源ip地址判定为攻击ip地址后，若该源ip地址不在所述ip地址黑名单中，则将其保存进而更新ip地址黑名单，使在面对可疑ip地址时，可快速准确的识别异常攻击的ip地址。
92.具体而言，在预设时间内接收到所述确认信息，判定为可疑ip地址的源ip地址继续为可疑ip地址时，对所述请求内容进行分析，根据预设关键词库对所述请求内容进行关键词提取，将重复的关键词进行删除，统计数据请求中的总关键词数量，根据预设关键词重要等级表对数据请求中的重要关键词进行标记，统计标记的重要关键词的数量，计算标记
的重要关键词的占比p，其中p＝标记的重要关键词的数量
÷
总关键词数量，将占比p与预设占比p0进行比较，
93.若p≥p0，则将该可疑ip地址的源ip地址判定为攻击ip地址；
94.若p＜p0，则该可疑ip地址的源ip地址继续为可疑ip地址；
95.在将该可疑ip地址的源ip地址判定为攻击ip地址后，将该源ip地址与所述ip地址黑名单进行匹配，若匹配失败，则将该源ip地址保存到ip地址黑名单中，将该源ip地址的数据包进行删除。
96.具体而言，本发明实施例通过对请求内容进行分析，将重要关键词的占比大于预设占比的可疑ip地址的源ip地址判定为攻击ip地址，在判定了可疑ip地址的源ip地址判定为攻击ip地址后，若该源ip地址不在所述ip地址黑名单中，则将其保存进而更新ip地址黑名单，使在面对可疑ip地址时，可快速准确的识别异常攻击的ip地址。
97.具体而言，在p＜p0，该可疑ip地址的源ip地址继续为可疑ip地址时，对所述请求路径进行分析，根据所述请求路径的深度判定可疑ip地址的源ip地址是否为攻击ip地址，将请求路径进行分层，每个路径位置为一层，统计请求路径的层数m，将路径位置名称和预设重要路径位置名称库进行匹配，将请求路径的层数m与预设请求路径的层数m0进行比较，若匹配成功且m≥m0，则将该可疑ip地址的源ip地址判定为攻击ip地址；
98.若匹配成功且m＜m0，则将该可疑ip地址的源ip地址判定为安全ip地址；
99.若匹配失败且m≥m0，则将该可疑ip地址的源ip地址判定为安全ip地址；
100.若匹配失败且m＜m0，则将该可疑ip地址的源ip地址判定为安全ip地址；
101.在将该可疑ip地址的源ip地址判定为攻击ip地址后，将该源ip地址与所述ip地址黑名单进行匹配，若匹配失败，则将该源ip地址保存到ip地址黑名单中，将该源ip地址的数据包进行删除；
102.在将该可疑ip地址的源ip地址判定为安全ip地址时，将解除对该源ip地址对应的数据包的隔离，根据所述数据包的请求内容和请求路径构建响应消息，并将所述响应消息发送至源ip地址对应的终端。
103.具体而言，本发明实施例通过对请求数据的请求路径进行分析，将请求路径位置重要且请求路径层数大于预设层数的可疑ip地址的源ip地址判定为攻击ip地址，在判定了可疑ip地址的源ip地址判定为攻击ip地址后，若该源ip地址不在所述ip地址黑名单中，则将其保存进而更新ip地址黑名单，使在面对可疑ip地址时，实现了快速准确的识别异常攻击的ip地址。
104.至此，已经结合附图所示的优选实施方式描述了本发明的技术方案，但是，本领域技术人员容易理解的是，本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下，本领域技术人员可以对相关技术特征做出等同的更改或替换，这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
105.以上所述仅为本发明的优选实施例，并不用于限制本发明；对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。