[发明专利]恶意设备识别方法、装置、存储介质和计算机设备

说明书

本申请涉及一种恶意设备识别方法、装置、存储介质和计算机设备，所述方法包括：在监控时段内接收到的每个数据报文中提取时间戳字段；根据各数据报文的时间戳，确定每个数据报文所来自设备的启动时间；按照所述启动时间，确定来自各设备的数据报文的数量；其中，启动时间满足时间匹配条件的不同数据报文来自于相同的设备；当所确定数据报文的数量达到恶意设备判定条件时，将相应数据报文所来自设备标记为恶意设备。本申请提供的方案可以提高恶意设备识别准确性，有助于及早发现来自恶意设备的攻击，对服务器形成很好的性能防护。

技术领域

本申请涉及计算机技术领域，特别是涉及一种恶意设备识别方法、装置、存储介质和计算机设备。

背景技术

在互联网领域，服务器每天都要处理大量的请求，其中有一些请求为恶意请求，会造成服务器资源的占用。例如，恶意用户常采用程序化方式批量登录社交应用进行广告推送。这样就会给社交应用服务器带来极大的压力，同时也会严重影响正常用户对社交应用的使用体验。

传统识别恶意请求的方式主要是通过扫描服务器访问日志来统计每个IP地址的访问次数，将访问次数超过阈值的IP地址对应的设备判定为恶意请求设备。然而，对于同一设备采用不同IP地址、局域网内多个设备共用同一IP地址的情形，笼统基于IP地址访问次数识别恶意设备，常使恶意设备识别准确性较低。

发明内容

基于此，有必要针对恶意设备识别准确性低的技术问题，提供一种恶意设备识别方法、装置、存储介质和计算机设备。

一种恶意设备识别方法，包括：

在监控时段内接收到的每个数据报文中提取时间戳字段；

根据各数据报文的时间戳，确定每个数据报文所来自设备的启动时间；

按照所述启动时间，确定来自各设备的数据报文的数量；其中，启动时间满足时间匹配条件的不同数据报文来自于相同的设备；

当所确定数据报文的数量达到恶意设备判定条件时，将相应数据报文所来自设备标记为恶意设备。

在一个实施例中，所述数据报文包括设备基于传输控制协议请求握手连接时发送的握手报文，所述握手报文包括SYN报文和ACK报文；所述根据具有相同源IP地址和源端口的不同数据报文的接收时间和时间戳，确定各数据报文所来自设备的启动时间包括：计算SYN报文的接收时间与ACK报文的接收时间的第一时差；计算SYN报文的时间戳与ACK报文的时间戳的第二时差；根据第一时差与第二时差的比值，确定握手报文所来自设备的时钟周期；基于始终周期以及SYN报文的时间戳，计算所述握手报文所来自设备的运行时长；根据运行时长和SYN报文的接收时间，确定所述握手报文所来自设备的启动时间。

在一个实施例中，所述恶意设备判定条件包括多个数据报文数量区间以及每个数据报文数量区间对应的恶意等级；所述当所确定数据报文的数量达到恶意设备判定条件时，将相应数据报文所来自设备标记为恶意设备包括：当所确定数据报文的数量属于一个数据报文数量区间时，将相应数据报文所来自设备判定为所属数据报文数量区间对应恶意等级的恶意设备。

在一个实施例中，所述方法还包括：根据所述恶意等级确定相应恶意设备的黑名单时段；当在所述黑名单时段接收到相应恶意设备发送的数据报文时，将所述数据报文进行丢弃。

一种恶意设备识别装置，所述装置包括：

启动时间计算模块，用于在监控时段内接收到的每个数据报文中提取时间戳字段；根据各数据报文的时间戳，确定每个数据报文所来自设备的启动时间；

访问流量统计模块，用于按照所述启动时间，确定来自各设备的数据报文的数量；其中，启动时间满足时间匹配条件的不同数据报文来自于相同的设备；

恶意设备识别模块，用于当所确定数据报文的数量达到恶意设备判定条件时，将相应数据报文所来自设备标记为恶意设备。