[发明专利]一种识别恶意网络设备的方法、装置和系统

说明书

技术领域

本申请涉及网络安全领域，特别是涉及一种识别恶意网络设备的方法、装置和系统。

背景技术

互联网技术的普及极大的方便了人们的日常生活，加速了信息的传递，对人类社会的发展和进步产生了深远的影响。互联网技术是把双刃剑，在给人们带来便捷的同时，有很多不法分子利用互联网进行欺诈，获取非法财物，给人们的生命和财产安全带来很大的威胁。网络欺诈行为主要包括网络恐吓、入侵、垃圾信息、病毒入侵、DOS攻击、网络敲诈、网络钓鱼、419欺诈等。因此需要建立反欺诈系统识别恶意网络设备发送的欺诈请求，拒绝恶意网络设备的访问，维护人们的合法权益。

通常识别有网络欺诈行为的恶意的网络设备是根据设备的地理位置信息等唯一的设备属性来识别其欺诈来源，大多通过设备的IP地址进行识别。现有的电子商务网站会把从尼日利亚、南非、越南等地区的IP地址纳入高危IP列表，这些地区发起的请求很大可能是欺诈请求。如图1所示，网络系统中的高危IP防控策略会根据预先设定的高危IP列表来检测HTTP协议所带有的IP地址信息，如果该IP地址信息存在于高危列表中，则会将该设备转入人工审核处理或者直接拒绝来自该设备的访问，如果该IP地址不在高危列表中，则接受其访问请求。

根据IP地址等唯一属性信息识别恶意网络设备的方法有如下缺点：

识别恶意网络设备时，通过唯一的属性信息进行识别，当恶意网络设备更改其属性信息时，就不能识别其真实身份；例如，通常识别恶意网络设备是根据其发生交易请求的IP地址信息，如果IP地址信息存在预先设置的高危列表中，则被识别出来；如果恶意网络设备通过使用不在高危列表中的IP代理服务器发送交易请求，识别出的IP地址为其使用的代理服务器的地址，不能识别其真实的IP地址，就不能识别恶意网络设备的真实身份。

申请内容

有鉴于此，本申请提供了一种识别恶意网络设备的方法、装置和系统，获取当前访问设备的多个属性，确定其风险级别，从而有效的识别恶意网络设备的真实身份。

一种识别恶意网络设备的方法，该方法包括步骤：

获取当前访问设备的多个属性，以及多个历史访问设备的属性集合和历史访问设备标识符，将所述当前访问设备的多个属性作为当前属性集合，将每个历史访问设备的属性集合作为一个历史属性集合，其中，所述属性集合包括访问设备的浏览器属性、操作系统属性、网络连接属性、地理位置属性和TCP协议属性中的多个组合；

计算当前属性集合与每一个历史属性集合的匹配度；

根据匹配度和所述历史访问设备标识符确定当前属性集合对应的风险设备标识符；

根据当前属性集合、风险设备标识符和风险级别计算规则计算当前访问设备的风险级别，以识别所述访问设备是否为恶意设备。

其中，所述计算当前属性集合与每一个历史属性集合的匹配度具体包括：

获取当前属性集合中的第i个属性的值作为a_i，任一历史属性集合中的第i个属性的值作为bi，第i个属性的权重为c_i，判断a_i与b_i是否相等；

如果是，则确定第i个属性的匹配值d_i为1；

如果否，则确定第i个属性的匹配值d_i为0；

则按照下述公式计算当前属性集合与任一历史属性集合的匹配度n为：

n=Σi=1i=mcidiΣi=1i=mci]]>