6]如图1所示,本发明实施例一的获取IP黑名单的方法包括:
[0067]步骤11、获取来源IP,并对所述来源IP进行分类;
[0068]步骤12、根据分类结果,获取各类别IP的特征;
[0069]步骤13、根据各类别IP的特征,对现有IP进行分析,获取IP黑名单。
[0070]由于在获取IP黑名单的过程中是基于各类别IP的特征获取的,因此,与现有技术基于访问IP的整体进行分析和判断获取IP黑名单相比,本发明实施例能够提高IP黑名单识别的准确率。
[0071]以下结合实施例二和实施例三具体描述一下本发明获取IP黑名单的方法。
[0072]如图2所示,本发明实施例二的获取IP黑名单的方法包括:
[0073]步骤21、获取来源IP,并对所述来源IP进行分类。
[0074]在此实施例中,主要是根据来源IP的访问场景信息对来源IP进行分类。具体的,首先根据所述来源IP获取所述来源IP的访问场景信息,然后根据所述来源IP的访问场景信息对所述来源IP进行分类。
[0075]其中,所述来源IP的访问场景信息可以包括网络爬虫、安全扫描、IP代理、中国移动无线应用协议(China Mobile Wireless Applicat1n Protocol, cmwap)网关等。因此,相应的IP来源分类可包括:网络爬虫、安全扫描、IP代理、中国移动无线应用协议cmwap网关等。
[0076]步骤22、根据分类结果,获取各类别IP的特征。
[0077]根据步骤21中不同分类获取各类别IP的特征。具体的,当所述来源IP为网络爬虫时,首先根据各大搜索引擎公布的IP列表,建立访问日志训练样本,并获取所述访问日志训练样本的用户行为信息,如UAOJser Agent,用户代理)信息(如浏览器类型等),访问时间、访问频度等信息等。然后,根据所述访问日志训练样本和所述访问日志训练样本的用户行为信息,通过数据挖掘分类算法(逻辑回归、决策树、神经网络等)获取所述来源IP的特征。
[0078]当所述来源IP为安全扫描或IP代理时,通过测试手段建立测试样本,而后根据所述测试样本通过多维分析或数据挖掘分类算法识别获取所述来源IP的特征。
[0079]具体的,当所述来源IP为安全扫描时,可通过以下方式建立测试样本:将第一预定数量(如10)的安全扫描软件运行于第二预定数量(如500)的测试终端上,利用所述测试终端对互联网平台进行扫描,将各测试终端的测试结果作为所述测试样本。当所述来源IP为IP代理时,可通过以下方式建立测试样本:根据用户标识(如注册账号、cookie,sess1n等)选取有同时访问、IP相同但用户不同的访问记录作为训练样本。如果该方法选取样本不足,选取下文cmwap网关记录作为训练样本。通过样本进行多维分析或机器学习,获得对应的特征。
[0080]当所述IP为中国移动无线应用协议cmwap网关时,由运营商获取预定网关IP作为测试样本,获取该测试样本的特征。在步骤23中,也是根据该测试样本获取IP黑名单。
[0081]对于其他恶意访问行为,收集已有的技术特征或规则,建立相关恶意访问特征库,类别命名为“其它”。
[0082]步骤23、根据各类别IP的特征,对现有IP进行分析,获取IP黑、白名单。
[0083]根据步骤22中的各类别特征捕获IP黑、白名单,将IP黑、白名单分别存储。
[0084]步骤24、设置所述IP黑名单的生效时间和实效时间。
[0085]其中生效时间为步骤22中的特征提取完成时间,失效时间为后续校验时发现特征不再符合IP异常时的时间。
[0086]步骤25、定期对现有IP黑名单的近期访问行为进行评估。
[0087]步骤26、更新IP黑名单。如果现有IP仍然符合对应的特征规则,则该IP保持原状,如果不再符合对应特征规则,则更新失效时间,从黑名单中释放该IP。其中,所述预定时间间隔可根据需要设置,例如设置成I天或者2个小时等。其中该实施例可同时包括步骤24与步骤25、26,或者包括两组步骤中的任意一组步骤。
[0088]如图3所示,本发明实施例三的获取IP黑名单的方法包括:
[0089]步骤31、获取来源IP,并对所述来源IP进行分类。
[0090]在此步骤中,主要是分析用户访问行为日志中的访问行为信息,如UA信息、访问行为信息等,采用聚类分析算法(K-means、k-NearestNeighbor> kohonen等)对现有用户访问行为日志进行聚类分析,探索网络平台特有的访问模式和类别,其中,类别数目一般10至100。相应的IP来源分类可包括:IP代理、中国移动无线应用协议cmwap网关等。
[0091]步骤32、根据分类结果,获取各类别IP的特征。
[0092]根据的不同分类获取各类别IP的特征。
[0093]具体的,当所述来源IP为IP代理时,通过测试手段建立测试样本,而后根据所述测试样本通过多维分析或数据挖掘分类算法识别获取所述来源IP的特征。可通过以下方式建立测试样本:根据用户标识(如注册账号、cookie、sess1n等)选取有同时访问、IP相同但用户不同的访问记录作为训练样本。如果该方法选取样本不足,选取下文cmwap网关记录作为训练样本。通过样本进行多维分析或机器学习,获得对应的特征。
[0094]当所述IP为中国移动无线应用协议cmwap网关时,由运营商获取预定网关IP作为测试样本,获取该测试样本的特征。在步骤33中,也是根据该测试样本获取IP黑名单。
[0095]对于其他恶意访问行为,收集已有的技术特征或规则,建立相关恶意访问特征库,类别命名为“其它”。
[0096]步骤33、根据各类别IP的特征,对现有IP进行分析,获取IP黑名单。
[0097]根据步骤33中的各类别特征捕获IP黑、白名单,将IP黑、白名单分别存储。
[0098]步骤34、设置所述IP黑名单的生效时间和实效时间。
[0099]其中生效时间为步骤32中的特征提取完成时间,失效时间为后续校验时发现特征不再符合IP异常时的时间。
[0100]步骤35、定期对现有IP黑名单的近期访问行为进行评估。
[0101]步骤36、更新IP黑名单。如果仍然符合对应特征规则,则该IP保持原状,如果不再符合对应特征规则,则更新失效时间,释放该IP。其中,所述预定时间间隔可根据需要设置,例如设置成I天或者2个小时等。其中该实施例可同时包括步骤34与步骤35、36,或者包括两组步骤中的任意一组步骤。
[0102]通过以上实施例可以看出,本发明能够提高IP黑名单识别的准确率和查全率,有效防范互联网平台的“恶意访问”、“欺诈访问”等访问行为。
[0103]如图4所示,本发明实施例四的获取IP黑名单的装置包括:
[0104]处理单元41,用于获取来源IP,并对所述来源IP进行分类;
[0105]第一获取单元42,根据所述处理单元获得的分类结果,获取各类别IP的特征;
[0106]第二获取单元43,根据所述第一获取单元获得的各类别IP的特征,对现有IP进行分析,获取IP黑名单。
[0107]其中,所述处理单元可包括:
[0108]场景信息获取模块,用于获取所述来源IP,根据所述来源IP获取所述来源IP的访问场景信息;分类模块,用于根据所述场景信息获取模块获取的来源IP的访问场景信息对所述来源IP进行分类。
[0109]其中,所述来源IP的访问场景信息包括网络爬虫,所述来源IP的分类包括网络爬虫;所述第一获取单元包括:
[0110]第一获取模块,用于建立访问日志训练样本,并获取所述访问日志训练样本的用户行为信息;第二获取模块,用于根据所述第一获取模块获取的访问日志训练样本和所述访问日志训练样本的用户行为信息,获取所述来源IP的特征。
[0111]其中,所述来源IP的访问场景信息包括安全扫描或IP代理,所述来源IP的分类包括安全扫描或IP代理。此时,所述第一获取单元具体用于:当所述来源IP为