一种获取ip黑名单的方法和装置的制造方法
【技术领域】
[0001]本发明涉及互联网技术,尤其涉及一种获取IP黑名单的方法和装置。
【背景技术】
[0002]在互联网行业,建立IP(Internet Protocol,互联网协议)黑名单是监控和防范异常访问行为的常用策略。
[0003]目前识别IP黑名单的方法是基于访问集中度、平均访问量、访问时间分布等特征进行判定。但是现有技术的方法是对访问IP的整体进行分析和判断,其准确率不高。
【发明内容】
[0004]为了解决现有技术的问题,本发明实施例提供了一种获取黑名单的方法和装置,以提高获取的IP黑名单的准确性。
[0005]本发明实施例的技术方案如下:
[0006]一种获取IP黑名单的方法,,包括:
[0007]获取来源IP,并对所述来源IP进行分类;
[0008]根据分类结果,获取各类别IP的特征;
[0009]根据各类别IP的特征,对现有IP进行分析,获取IP黑名单。
[0010]其中,所述对所述来源IP进行分类包括:
[0011 ] 根据所述来源IP获取所述来源IP的访问场景信息;
[0012]根据所述来源IP的访问场景信息对所述来源IP进行分类。
[0013]其中,所述来源IP的访问场景信息包括:网络爬虫、安全扫描、IP代理、中国移动无线应用协议cmwap网关;所述来源IP的分类包括:网络爬虫、安全扫描、IP代理、中国移动无线应用协议cmwap网关;
[0014]当所述来源IP为网络爬虫时,所述根据分类结果,获取各类别IP的特征包括:
[0015]建立访问日志训练样本,并获取所述访问日志训练样本的用户行为信息;
[0016]根据所述访问日志训练样本和所述访问日志训练样本的用户行为信息,获取所述来源IP的特征;
[0017]当所述来源IP为安全扫描或IP代理时,所述根据分类结果,获取各类别IP的特征包括:
[0018]建立测试样本,根据所述测试样本获取所述来源IP的特征。
[0019]其中,当所述来源IP为安全扫描时,所述建立测试样本包括:
[0020]将第一预定数量的安全扫描软件运行于第二预定数量的测试终端上;
[0021]利用所述测试终端对互联网平台进行扫描,将各测试终端的测试结果作为所述测试样本;
[0022]当所述来源IP为IP代理时,所述建立测试样本包括:根据用户标识选取有同时访问、IP相同但用户不同的访问记录作为训练样本。
[0023]其中,所述获取来源IP,并对所述来源IP进行分类包括:
[0024]分析用户访问行为日志中的用户访问行为信息,对所述用户访问行为日志进行聚类分析,对所述来源IP进行分类。
[0025]其中,所述来源IP的分类包括:IP代理、中国移动无线应用协议cmwap网关;
[0026]所述根据分类结果,获取各类别IP的特征包括:
[0027]当所述来源IP为IP代理时,所述根据分类结果,获取各类别IP的特征包括:
[0028]建立测试样本;
[0029]将所述测试样本与正常访问行为数据进行比较,锁定异常访问类别,提取异常访问类别的聚类规则作为异常访问的特征。
[0030]其中,当所述来源IP为IP代理时,所述建立测试样本包括:
[0031]根据用户标识选取有同时访问、IP相同但用户不同的访问记录作为训练样本。
[0032]其中,当所述IP为中国移动无线应用协议cmwap网关时,根据各类别IP的特征,对现有IP进行分析,获取IP黑名单包括:
[0033]由运营商获取预定网关IP,根据所述预定网关IP获取IP黑名单。
[0034]其中,所述方法还包括:
[0035]设置所述IP黑名单的生效时间和实效时间;和/或
[0036]按照预定时间间隔对所述IP黑名单进行更新。
[0037]一种获取IP黑名单的装置,包括:
[0038]处理单元,用于获取来源IP,并对所述来源IP进行分类;
[0039]第一获取单元,根据所述处理单元获得的分类结果,获取各类别IP的特征;
[0040]第二获取单元,根据所述第一获取单元获得的各类别IP的特征,对现有IP进行分析,获取IP黑名单。
[0041]其中,所述处理单元包括:
[0042]场景信息获取模块,用于获取所述来源IP,根据所述来源IP获取所述来源IP的访问场景?目息;
[0043]分类模块,用于根据所述场景信息获取模块获取的来源IP的访问场景信息对所述来源IP进行分类。
[0044]其中,所述来源IP的访问场景信息包括网络爬虫,所述来源IP的分类包括网络爬虫;
[0045]所述第一获取单元包括:
[0046]第一获取模块,用于建立访问日志训练样本,并获取所述访问日志训练样本的用户行为信息;第二获取模块,用于根据所述第一获取模块获取的访问日志训练样本和所述访问日志训练样本的用户行为信息,获取所述来源IP的特征;
[0047]所述来源IP的访问场景信息包括安全扫描或IP代理,所述来源IP的分类包括安全扫描或IP代理;
[0048]所述第一获取单元具体用于:当所述来源IP为安全扫描时将第一预定数量的安全扫描软件运行于第二预定数量的测试终端上,利用所述测试终端对互联网平台进行扫描,将各测试终端的测试结果作为所述测试样本;当所述来源IP为IP代理时,根据用户标识选取有同时访问、IP相同但用户不同的访问记录作为训练样本;根据所述样本建立模块建立的测试样本获取所述来源IP的特征。
[0049]其中,所述处理单元具体用于:分析用户访问行为日志中的用户访问行为信息,对所述用户访问行为日志进行聚类分析,对所述来源IP进行分类。
[0050]其中,所述来源IP的分类包括:IP代理;
[0051]所述第一获取单元具体用于:
[0052]样本建立模块,用于建立测试样本;
[0053]特征获取模块,用于将所述样本建立模块建立的测试样本与正常访问行为数据进行比较,锁定异常访问类别,提取异常访问类别的聚类规则作为异常访问的特征。
[0054]其中,所述装置还包括:
[0055]设置单元,用于设置所述IP黑名单的生效时间和实效时间;和/或
[0056]更新单元,用于按照预定时间间隔对所述IP黑名单进行更新。
[0057]本发明实施例提供的技术方案带来的有益效果是:
[0058]本发明实施例的获取IP黑名单的方法及装置,首先获取来源IP,并对所述来源IP进行分类,然后根据分类结果,获取各类别IP的特征,并根据各类别IP的特征,对现有IP进行分析,获取IP黑名单。由于在获取IP黑名单的过程中是基于各类别IP的特征获取的,因此,与现有技术基于访问IP的整体进行分析和判断获取IP黑名单相比,本发明实施例能够提高IP黑名单识别的准确率。
【附图说明】
[0059]为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0060]图1是本发明实施例提供一的一种获取IP黑名单的方法的流程图;
[0061]图2是本发明实施例提供二的一种获取IP黑名单的方法的流程图;
[0062]图3是本发明实施例提供三的一种获取IP黑名单的方法的流程图;
[0063]图4是本发明实施例四提供的一种获取IP黑名单的装置的示意图;
[0064]图5是本发明实施例四提供的一种获取IP黑名单的装置的结构图。
【具体实施方式】
[0065]为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
[006