[发明专利]基于大数据智能分析恶意IP的评分方法及装置

说明书

技术领域

本发明涉及数据挖掘技术领域，具体而言，涉及基于大数据智能分析恶意IP的评分方法及装置。

背景技术

云防护产品，每天收录了海量的访问日志和攻击日志。虽然通过日志可以分析出哪些IP是攻击IP和正常访问IP，但是目前一直没有很好的技术方案来定义一个IP的恶意程度，都是通过高级安全工程师进行分析日志，最后工程师定性该IP的恶意程度，如高危，中危，低危。然而这种方式浪费人力，效率低下，响应速度不高。甚至有些IP存在潜在的持续性攻击行为。从而，现有技术中存在如何挖掘出这类IP以及进行封杀的问题。

发明内容

本发明提供的基于大数据智能分析恶意IP的评分方法及装置，旨在改善上述技术问题。

本发明提供的一种基于大数据智能分析恶意IP的评分方法，包括：获取预设时间段内的多个目标攻击日志；基于多个所述目标攻击日志，获取所述IP的攻击目标数、攻击手法数和攻击天数；基于所述攻击目标数、所述攻击手法数和所述攻击天数，获取所述IP所对应的恶意度。

优选地，所述的基于所述攻击目标数、所述攻击手法数和所述攻击天数，获取所述IP所对应的恶意度，包括：获取所述攻击目标数所对应的第一恶意度、所述攻击手法数所对应的第二恶意度和所述攻击天数所对应的第三恶意度权重；获取所述第一恶意度、所述第二恶意度和所述第三恶意度的总评分值；获取所述总评分值所对应的恶意度。

优选地，所述总评分值满足：C＝λ_domains C_domains+λ_ruleIds C_ruleIds+λ_days C_days，其中，所述C表示所述总评分值，所述λ_domains表示第一权重，所述λ_ruleIds表示第二权重，所述λ_days表示第三权重，所述第一权重、所述第二权重和所述第三权重的总和为1，所述C_domains表示所述IP在所述攻击目标数上的第一恶意度，所述C_ruleIds表示所述IP在所述攻击手法数上的第二恶意度，所述C_days表示所述IP在所述攻击天数上的第三恶意度，所述C_domains、所述C_ruleIds和所述C_days表示均大于或等于零且小于或等于1。

优选地，所述的获取预设时间段内的多个目标攻击日志，包括：采集预设时间段内用户所对应的IP所访问的多个攻击日志；过滤每个所述攻击日志中的爬虫攻击记录；将过滤后的多个所述攻击日志作为多个目标攻击日志。

优选地，所述的基于多个所述目标攻击日志，获取所述IP的攻击目标数、攻击手法数和攻击天数，之前还包括：对所述目标攻击日志进行预处理。

本发明提供的一种基于大数据智能分析恶意IP的评分装置，包括：数据获取单元，用于获取预设时间段内的多个目标攻击日志；数据处理单元，用于基于多个所述目标攻击日志，获取所述IP的攻击目标数、攻击手法数和攻击天数；评分单元，用于基于所述攻击目标数、所述攻击手法数和所述攻击天数，获取所述IP所对应的恶意度。

优选地，所述评分单元具体用于：获取所述攻击目标数所对应的第一恶意度、所述攻击手法数所对应的第二恶意度和所述攻击天数所对应的第三恶意度权重；获取所述第一恶意度、所述第二恶意度和所述第三恶意度的总评分值；获取所述总评分值所对应的恶意度。