一种快速准确识别异常攻击IP地址的方法与流程

技术特征：
1.一种快速准确识别异常攻击ip地址的方法，其特征在于，包括：接收若干数据包：获取所述数据包的源ip地址；根据预先存储的i p地址黑名单判断所述源i p地址的可信度；当可信度不符合预设要求时，将源ip地址对应的数据包进行隔离；当可信度符合预设要求时，基于所述数据包构建响应消息，并将所述响应消息发送至源ip地址对应的终端；对隔离的数据包对应的源ip地址进行监测，将监测结果进行分析，根据分析结果判断将隔离的数据包进行删除或者解除对数据包的隔离。2.根据权利要求1所述的快速准确识别异常攻击ip地址的方法，其特征在于，根据预先存储的ip地址黑名单判断所述源ip地址的可信度包括：对所述源ip地址进行识别，识别源ip地址是否为代理ip地址；根据预先存储的i p地址黑名单对所述源i p地址进行标记；根据识别结果和源i p地址的标记内容对所述源i p地址进行风险等级划分；根据风险等级划分结果判断所述源i p地址的可信度。3.根据权利要求2所述的快速准确识别异常攻击ip地址的方法，其特征在于，在识别源ip地址是否为代理ip地址时，将源ip地址与预设代理ip库进行匹配，若匹配成功，则判定源ip地址为代理ip地址，若匹配失败，则判定源ip地址为直接ip地址。4.根据权利要求3所述的快速准确识别异常攻击ip地址的方法，其特征在于，在根据预先存储的ip地址黑名单对所述源ip地址进行标记，将源ip地址与ip地址黑名单中的ip地址进行匹配，若匹配成功，则将源ip地址标记为异常ip地址，若匹配失败，则将源ip地址标记为正常ip地址。5.根据权利要求4所述的快速准确识别异常攻击ip地址的方法，其特征在于，在根据识别结果和源ip地址的标记内容对源ip进行风险等级划分时，若源ip地址为代理ip地址且源ip地址的标记内容为异常ip地址，则将源ip地址的风险等级划分为a级；若源ip地址为直接ip地址且源ip地址的标记为异常ip地址，则将源ip地址的风险等级划分为b级；若源ip地址为代理ip地址且源ip地址的标记为正常ip地址，则将源ip地址的风险等级划分为c级；若源ip地址为直接ip地址且源ip地址的标记为正常ip地址，则将源ip地址的风险等级划分为d级；在对源ip地址进行风险等级划分后，判断所述源ip地址的可信度，将风险等级为a级、b级和c级的源ip地址判定为可疑ip地址，将风险等级为d级的源ip地址判定为安全ip地址，其中，可疑ip地址的风险等级大小为a级＞b级＞c级。6.根据权利要求5所述的快速准确识别异常攻击ip地址的方法，其特征在于，在将源ip地址对应的数据包进行隔离时，将源ip地址被判定为可疑ip地址对应的数据包进行隔离；在对隔离的数据包对应的源ip地址进行监测时，将监测结果进行分析，根据分析结果判断将隔离的数据包进行删除或者解除对数据包的隔离包括：根据隔离的数据包生成虚假响应信息，将虚假响应信息发送到判定为可疑ip地址的源
ip地址，在预设时间内接收判定为可疑ip地址的源ip地址发送的对虚假响应信息的确认信息；根据确认信息的接收情况判断两个终端是否连接成功；根据连接情况对数据包中的请求内容和请求路径进行分析，根据分析结果判断将隔离的数据包进行删除或者解除对数据包的隔离。7.根据权利要求6所述的快速准确识别异常攻击ip地址的方法，其特征在于，在根据确认信息的接收情况判断两个终端是否连接成功时，若预设时间内未接收到所述确认信息，则将判定为可疑ip地址的源ip地址判定为攻击ip地址；若预设时间内接收到所述确认信息，则判定为可疑ip地址的源ip地址继续为可疑ip地址。8.根据权利要求7所述的快速准确识别异常攻击ip地址的方法，其特征在于，在将判定为可疑ip地址的源ip地址判定为攻击ip地址后，将该源ip地址与所述ip地址黑名单进行匹配，若匹配失败，则将该源ip地址保存到ip地址黑名单中，将该源ip地址对应的数据包进行删除。9.根据权利要求8所述的快速准确识别异常攻击ip地址的方法，其特征在于，在预设时间内接收到所述确认信息，判定为可疑ip地址的源ip地址继续为可疑ip地址时，对所述请求内容进行分析，根据预设关键词库对所述请求内容进行关键词提取，将重复的关键词进行删除，统计数据请求中的总关键词数量，根据预设关键词重要等级表对数据请求中的重要关键词进行标记，统计标记的重要关键词的数量，计算标记的重要关键词的占比p，其中p＝标记的重要关键词的数量
÷
总关键词数量，将占比p与预设占比p0进行比较，若p≥p0，则将该可疑ip地址的源ip地址判定为攻击ip地址；若p＜p0，则该可疑ip地址的源ip地址继续为可疑ip地址；在将该可疑ip地址的源ip地址判定为攻击ip地址后，将该源ip地址与所述ip地址黑名单进行匹配，若匹配失败，则将该源ip地址保存到ip地址黑名单中，将该源ip地址的数据包进行删除。10.根据权利要求9所述的快速准确识别异常攻击ip地址的方法，其特征在于，在p＜p0，该可疑ip地址的源ip地址继续为可疑ip地址时，对所述请求路径进行分析，根据所述请求路径的深度判定可疑ip地址的源ip地址是否为攻击ip地址，将请求路径进行分层，每个路径位置为一层，统计请求路径的层数m，将路径位置名称和预设重要路径位置名称库进行匹配，将请求路径的层数m与预设请求路径的层数m0进行比较，若匹配成功且m≥m0，则将该可疑i p地址的源ip地址判定为攻击ip地址；若匹配成功且m＜m0，则将该可疑ip地址的源ip地址判定为安全ip地址；若匹配失败且m≥m0，则将该可疑ip地址的源ip地址判定为安全ip地址；若匹配失败且m＜m0，则将该可疑ip地址的源ip地址判定为安全ip地址；在将该可疑ip地址的源ip地址判定为攻击ip地址后，将该源ip地址与所述ip地址黑名单进行匹配，若匹配失败，则将该源ip地址保存到ip地址黑名单中，将该源ip地址的数据包进行删除；在将该可疑ip地址的源ip地址判定为安全ip地址时，将解除对该源ip地址对应的数据包的隔离，根据所述数据包的请求内容和请求路径构建响应消息，并将所述响应消息发送
至源ip地址对应的终端。

技术总结
本发明涉及互联网领域，尤其涉及一种快速准确识别异常攻击IP地址的方法，该方法包括：接收若干数据包：接收若干数据包：获取数据包的源IP地址；根据IP地址黑名单判断源IP地址的可信度；当可信度不符合预设要求时，将源IP地址对应的数据包进行隔离；对隔离的数据包对应的源IP地址进行监测，将监测结果进行分析，根据分析结果判断将隔离的数据包进行删除或者解除对数据包的隔离。通过确认源IP地址是否为代理IP地址和是否为攻击IP地址，以将攻击IP地址对应的数据包进行隔离并监测，以判断是否将源IP地址的数据包进行删除或解除隔离，通过全面分析使异常攻击IP地址的判断更加准确，实现了快速准确的识别异常攻击的IP地址。了快速准确的识别异常攻击的IP地址。了快速准确的识别异常攻击的IP地址。


技术研发人员：张鹏 史志敏 余涛
受保护的技术使用者：北京哈工信息产业股份有限公司
技术研发日：2022.10.26
技术公布日：2023/2/3