[发明专利]一种异常IP识别方法、系统及计算机设备

说明书

本申请涉及一种异常IP识别方法、系统及计算机设备，其中，该异常IP识别方法包括：数据获取步骤，用于实时获取一服务端的流量数据并统计一间隔时间各IP的流量次数；数据量化步骤，用于将所述流量次数进行离散化处理后，计算并存储其不同时间段的信息熵为信息熵熵值的时间序列；异常IP识别步骤，用于获取一已知异常IP组并结合所述已知异常IP组对所述时间序列进行特征挖掘，识别得到异常IP。通过本申请，通过挖掘IP流量的时间相关性，可识别其他技术无法覆盖的、时间序列特征异常的IP，实现了适用于大规模网络通信的异常IP识别。

技术领域

本申请涉及大数据领域，特别是涉及一种基于时间序列的异常IP识别方法及系统。

背景技术

随着网络技术的不断发展以及民众对网络服务需求的日益增多，每天都会生成海量的网络信息，其中有些信息是人们日常需求所产生的，有些信息则是“垃圾信息”。“垃圾信息”在网络流量中占着不少的比重，会导致流量异常，影响用户的使用体验，还会窃取用户的隐私信息。一般，我们将这些“垃圾信息”对应的流量统称为异常流量。异常流量具有极强的隐蔽性，由于用于流量分析的参数有限、网络攻击的手段变幻莫测，使得异常流量常混杂在正常流量中不易被识别出来。判断来源IP是否异常IP，是识别异常流量的重要手段之一。

现有的识别异常IP的手段包括以下几种：如使用源IP、目的IP、源端口、目的端口等特征，但是这样的异常IP识别技术只能抓取特定的异常流量；再如当主机持续发送了大量特别短的数据包时，使用统计包的长度为特征识别异常流量。还有一些异常流量检测通过统计数据包的比例和数量等。也有以特征匹配为基础的入侵检测系统将特定攻击会出现的数据包内容整理成为一个攻击特征，只要入侵检测系统匹配数据包内容是发现有相同特征，即判定为特定攻击。以特征匹配为基础的异常流量检测技术针对特定攻击生成的特征，确实可以有效的发现特定攻击，但是这种数据包信息的收集很难在大规模通信网络实施，数据的分析也十分困难。或者使用数据包内的字节数以及ASCII码分布情况作为特征区分正常流量和异常流量。

正常的IP产生的流量是在一段时间内会具有一定的时间序列特征，而现有的异常IP检测识别手段并没有考虑到流量的时间关联性，只能识别某些特定的异常流量。因此，需要一种技术手段，识别IP的时间序列特征。

发明内容

本申请实施例提供了一种异常IP识别方法、系统及计算机设备，通过挖掘IP流量的时间相关性，实现了适用于大规模网络通信的异常IP识别。

第一方面，本申请实施例提供了一种异常IP识别方法，包括：

数据获取步骤，用于实时获取一服务端的流量数据，并统计一间隔时间所述流量数据中各IP的流量次数；

数据量化步骤，用于将所述流量次数进行离散化处理后，计算并存储其不同时间段的信息熵为信息熵熵值的时间序列；

异常IP识别步骤，用于获取一已知异常IP组并结合所述已知异常IP组通过数据挖掘算法对所述时间序列进行特征挖掘，识别得到异常IP。

通过上述步骤，本申请实施例考虑IP流量的时间关联性，利用信息熵表示IP流量次数随时间的不确定性，并通过构建信息熵熵值的时间序列挖掘异常IP的时间序列特征，特征挖掘更加便利，可识别其他技术无法覆盖的、时间序列特征异常的IP。

在其中一些实施例中，所述数据量化步骤进一步包括：

数据离散化步骤，用于将所述各IP的流量次数进行离散化处理，得到离散化的流量次数；

信息熵序列化步骤，用于基于离散化的流量次数计算不同时间段流量次数的信息熵，存储所述信息熵熵值为所述时间序列，其中，所述时间序列包括多个时间段及每一所述时间段对应的信息熵熵值。

在其中一些实施例中，所述异常IP识别步骤进一步包括：

已知异常IP组获取步骤，用于获取一组已知异常IP；