亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

識(shí)別指定類別ip地址的方法及設(shè)備、防御方法及系統(tǒng)的制作方法

文檔序號(hào):7775429閱讀:215來源:國知局
識(shí)別指定類別ip地址的方法及設(shè)備、防御方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種識(shí)別指定類別IP地址的方法及設(shè)備、防御方法及系統(tǒng),其中,識(shí)別指定類別IP地址的方法包括:收集若干IP地址的行為記錄數(shù)據(jù);從所述收集的行為記錄數(shù)據(jù)中提取預(yù)處理數(shù)據(jù),所述提取的預(yù)處理數(shù)據(jù)至少包括IP地址的地址信息以及行為的時(shí)間信息;對(duì)所述提取到的預(yù)處理數(shù)據(jù)進(jìn)行分析,獲得用戶使用所述IP地址的行為時(shí)間分布數(shù)據(jù);至少根據(jù)用戶使用所述IP地址的行為時(shí)間分布數(shù)據(jù),識(shí)別出指定類別IP地址。通過該方法,利用用戶IP地址的時(shí)間分布數(shù)據(jù)來識(shí)別用戶IP是否屬于指定類別IP地址,能夠更加精準(zhǔn)地定位出某種類別的IP地址,提高了IP地址的識(shí)別的準(zhǔn)確率。
【專利說明】識(shí)別指定類別IP地址的方法及設(shè)備、防御方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)【技術(shù)領(lǐng)域】,具體涉及一種識(shí)別指定類別IP地址的方法及設(shè)備,以及一種提高用戶終端安全防御的方法及系統(tǒng)。
【背景技術(shù)】
[0002]計(jì)算機(jī)的使用在各領(lǐng)域得到了廣泛的普及,無論是公司用戶還是個(gè)人用戶,越來越依賴于計(jì)算機(jī)的使用。對(duì)于使用計(jì)算機(jī)的各個(gè)用戶群而言,為了更準(zhǔn)確地為指定類別的用戶群提供更好的服務(wù),需要準(zhǔn)確地判斷出一個(gè)用戶IP地址(Internet ProtocolAddress,網(wǎng)際協(xié)議地址)是否是指定類別IP地址。目前,解決這個(gè)問題的主要方式有:
[0003]依靠用戶IP對(duì)應(yīng)的用戶終端數(shù)的數(shù)目來識(shí)別此用戶IP是否為指定類別IP的地址,例如,要識(shí)別某用戶IP是否為公司IP地址,可以設(shè)置一個(gè)閾值5,用戶IP對(duì)應(yīng)的用戶終端數(shù)的個(gè)數(shù)大于5,即認(rèn)為是公司IP。這種單純依靠單個(gè)IP對(duì)應(yīng)的用戶終端數(shù)直接識(shí)別該IP是否為公司IP是非常不準(zhǔn)確的,因?yàn)橛幸恍┐鞩P每個(gè)單IP對(duì)應(yīng)的用戶終端數(shù)超過幾萬甚至幾十萬,還有一些住宅小區(qū)的出口 IP可能只有一個(gè),但是其對(duì)應(yīng)的用戶終端數(shù)卻很多,但這些IP均不是公司IP地址。所以單純使用單個(gè)IP對(duì)應(yīng)的用戶終端數(shù)來判斷用戶IP是否為公司IP地址的方法,是非常不準(zhǔn)確的。
[0004]因此,迫切需要本領(lǐng)域技術(shù)人員解決的技術(shù)問題就在于,如何能夠快速、準(zhǔn)確有效地判斷出一個(gè)用戶IP是否為某種類別的IP地址的方法。

【發(fā)明內(nèi)容】

[0005]鑒于上述問題,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的一種識(shí)別指定類別IP地址的方法及設(shè)備,以及一種用于提高用戶終端安全防御的方法及系統(tǒng)。
[0006]依據(jù)本發(fā)明的一個(gè)方面,提供了一種識(shí)別指定類別IP地址的方法,包括:
[0007]收集若干IP地址的行為記錄數(shù)據(jù);
[0008]從所述收集的行為記錄數(shù)據(jù)中提取預(yù)處理數(shù)據(jù),所述提取的預(yù)處理數(shù)據(jù)至少包括IP地址的地址信息以及行為的時(shí)間信息;
[0009]對(duì)所述提取到的預(yù)處理數(shù)據(jù)進(jìn)行處理分析,獲得用戶使用所述IP地址的行為時(shí)間分布數(shù)據(jù);
[0010]至少根據(jù)用戶使用所述IP地址的行為時(shí)間分布數(shù)據(jù),識(shí)別出指定類別IP地址。
[0011]可選地,所述至少根據(jù)用戶使用所述IP地址的行為時(shí)間分布數(shù)據(jù),識(shí)別出指定類別IP地址包括:
[0012]基于每個(gè)IP地址的行為時(shí)間分布數(shù)據(jù),對(duì)多個(gè)IP地址采用一種或多種聚類組合的方式進(jìn)行聚類分析,識(shí)別出指定類別IP地址。
[0013]可選地,所述基于每個(gè)IP地址的行為時(shí)間分布數(shù)據(jù),對(duì)多個(gè)IP地址采用多種聚類組合的方式進(jìn)行聚類包括:[0014]從所述收集的若干IP地址中,選取至少兩個(gè)已知屬于不同類別的IP地址作為第一聚類方式的初始節(jié)點(diǎn),基于每個(gè)IP地址的行為時(shí)間分布數(shù)據(jù)與所述初始節(jié)點(diǎn)的行為時(shí)間分布數(shù)據(jù),收集到的多個(gè)IP地址采用第一聚類方式進(jìn)行聚類,識(shí)別出各類別的IP地址;
[0015]對(duì)識(shí)別出的指定類別IP地址,采用第二聚類方式進(jìn)行抽樣聚類分析,獲得該指定類別的數(shù)據(jù)分布特點(diǎn);
[0016]根據(jù)所述采用第二聚類方式獲得的數(shù)據(jù)分布特點(diǎn),修正第一聚類方式的初始節(jié)點(diǎn),并采用修正后的初始節(jié)點(diǎn),對(duì)此前識(shí)別出的指定類別的多個(gè)IP地址采用第一聚類方式再次進(jìn)行聚類,進(jìn)一步凈化指定類別IP地址。
[0017]可選地,所述第一聚類方式為Kmeans,第二聚類方式為DBScan。
[0018]可選地,所述提取的預(yù)處理數(shù)據(jù)還包括每個(gè)IP地址對(duì)應(yīng)的用戶終端數(shù)量以及用戶終端標(biāo)識(shí),所述對(duì)提取到的預(yù)處理數(shù)據(jù)進(jìn)行處理分析包括:
[0019]統(tǒng)計(jì)每個(gè)IP地址對(duì)應(yīng)的用戶終端數(shù)量;
[0020]對(duì)用戶終端數(shù)量大于預(yù)置閾值的每個(gè)IP地址的預(yù)處理數(shù)據(jù),根據(jù)行為時(shí)間不同劃分為多個(gè)維度,并統(tǒng)計(jì)在不同時(shí)間段用戶使用每個(gè)IP地址的用戶終端數(shù)量;
[0021]對(duì)所述在不同時(shí)間段使用每個(gè)IP地址的用戶終端數(shù)量進(jìn)行歸一化處理,獲得用戶使用所述IP地址的行為時(shí)間分布數(shù)據(jù)。
[0022]可選地,所述指定類別IP地址,具有特定的行為時(shí)間上的分布特點(diǎn)。
[0023]根據(jù)本發(fā)明的另一方面,提供了一種識(shí)別指定類別IP地址的設(shè)備,包括:
[0024]數(shù)據(jù)收集單元,用于收集若干IP地址的行為記錄數(shù)據(jù);
[0025]數(shù)據(jù)提取單元,用于從所述收集的行為記錄數(shù)據(jù)中提取預(yù)處理數(shù)據(jù),所述提取的預(yù)處理數(shù)據(jù)至少包括IP地址的地址信息以及行為的時(shí)間信息;
[0026]數(shù)據(jù)處理單元,用于對(duì)所述提取到的預(yù)處理數(shù)據(jù)進(jìn)行處理分析,獲得用戶使用所述IP地址的行為時(shí)間分布數(shù)據(jù);
[0027]地址識(shí)別單元,用于至少根據(jù)用戶使用所述IP地址的行為時(shí)間分布數(shù)據(jù),識(shí)別出指定類別IP地址。
[0028]可選地,所述地址識(shí)別單元包括:
[0029]聚類分析單元,用于基于每個(gè)IP地址的行為時(shí)間分布數(shù)據(jù),對(duì)多個(gè)IP地址采用一種或多種聚類組合的方式進(jìn)行聚類分析,識(shí)別出指定類別IP地址。
[0030]可選地,所述聚類分析單元包括:
[0031]第一聚類分析單元,用于從所述收集的若干IP地址中,選取至少兩個(gè)已知屬于不同類別的IP地址作為第一聚類方式的初始節(jié)點(diǎn),基于每個(gè)IP地址的行為時(shí)間分布數(shù)據(jù)與所述初始節(jié)點(diǎn)的行為時(shí)間分布數(shù)據(jù),收集到的多個(gè)IP地址采用第一聚類方式進(jìn)行聚類,識(shí)別出各類別的IP地址;
[0032]第二聚類分析單元,用于對(duì)識(shí)別出的指定類別IP地址,采用第二聚類方式進(jìn)行抽樣聚類分析,獲得該指定類別的數(shù)據(jù)分布特點(diǎn);
[0033]第三聚類分析單元,用于根據(jù)所述采用第二聚類方式獲得的數(shù)據(jù)分布特點(diǎn),修正第一聚類方式的初始節(jié)點(diǎn),并采用修正后的初始節(jié)點(diǎn),對(duì)此前識(shí)別出的指定類別的多個(gè)IP地址采用第一聚類方式再次進(jìn)行聚類,進(jìn)一步凈化指定類別IP地址。
[0034]可選地,所述第一聚類方式為Kmeans,所述第二聚類方式為DBScan。[0035]可選地,所述數(shù)據(jù)提取單元提取的預(yù)處理數(shù)據(jù)還包括每個(gè)IP地址對(duì)應(yīng)的用戶終端數(shù)量以及用戶終端標(biāo)識(shí),所述數(shù)據(jù)處理單元包括:
[0036]第一統(tǒng)計(jì)單元,用于統(tǒng)計(jì)每個(gè)IP地址對(duì)應(yīng)的用戶終端數(shù)量;
[0037]第二統(tǒng)計(jì)單元,用于對(duì)用戶終端數(shù)量大于預(yù)置閾值的每個(gè)IP地址的預(yù)處理數(shù)據(jù),根據(jù)行為時(shí)間不同劃分為多個(gè)維度,并統(tǒng)計(jì)在不同時(shí)間段用戶使用每個(gè)IP地址的用戶終端數(shù)量;
[0038]歸一化處理單元,用于對(duì)所述在不同時(shí)間段使用每個(gè)IP地址的用戶終端數(shù)量進(jìn)行歸一化處理,獲得用戶使用所述IP地址的行為時(shí)間分布數(shù)據(jù)。
[0039]可選地,所述指定類別IP地址,具有特定的行為時(shí)間上的分布特點(diǎn)。
[0040]根據(jù)本發(fā)明的又一方面,提供了一種用于提高用戶終端安全防御的方法,包括,預(yù)先通過所述識(shí)別指定類別IP地址的方法,識(shí)別出指定類別IP地址;
[0041]監(jiān)控各用戶終端的信息安全狀況以及IP地址;
[0042]當(dāng)在屬于所述指定類別IP地址對(duì)應(yīng)的用戶終端中發(fā)現(xiàn)惡意程序時(shí),提高安全防御級(jí)別或進(jìn)行特殊安全防御處理。
[0043]根據(jù)本發(fā)明的再一方面,提供了一種用于提高用戶終端安全防御的系統(tǒng),包括,所述識(shí)別指定類別IP地址的設(shè)備,所述系統(tǒng)還包括:
[0044]監(jiān)控單元,用于監(jiān)控各用戶終端的信息安全狀況以及IP地址;
[0045]安全防御單元,用于當(dāng)所述監(jiān)控單元在所述識(shí)別設(shè)備識(shí)別出的指定類別IP地址對(duì)應(yīng)的用戶終端中發(fā)現(xiàn)惡意程序時(shí),提高安全防御級(jí)別或進(jìn)行特殊安全防御處理。
[0046]根據(jù)本發(fā)明提供的一種識(shí)別指定類別IP地址的方法及設(shè)備,首先通過對(duì)用戶IP行為記錄數(shù)據(jù)的收集分析處理,得到用戶使用用戶IP地址的行為時(shí)間分布數(shù)據(jù),最后根據(jù)獲得的用戶IP地址的行為時(shí)間分布數(shù)據(jù),識(shí)別出指定類別IP地址。本發(fā)明利用用戶IP地址的時(shí)間分布數(shù)據(jù)來識(shí)別用戶IP是否指定類別IP地址,從而不必單純地依靠單個(gè)IP對(duì)應(yīng)的用戶終端數(shù)量來識(shí)別IP地址的類別,能夠更加精準(zhǔn)地定位出某種類別的IP地址,提高了IP地址的識(shí)別的準(zhǔn)確率。
[0047]另外,本發(fā)明還提供了一種用于提高用戶終端安全防御的方法及系統(tǒng),首先通過本發(fā)明提供的識(shí)別指定類別IP地址的方法及系統(tǒng),識(shí)別出指定類別IP地址。由于在實(shí)際應(yīng)用中,比較關(guān)注屬于某一類別的IP地址的用戶群的安全狀況,此時(shí)可以監(jiān)控各用戶終端的安全信息狀況以及用戶終端的IP地址,當(dāng)發(fā)現(xiàn)屬于上述識(shí)別出的指定類別IP地址的用戶終端中存在惡意程序時(shí),由于惡意程序?qū)τ脩艚K端的安全性會(huì)造成威脅,因此需要提高此用戶終端的安全防御級(jí)別或進(jìn)行特殊的安全防御處理,以提高用戶終端的安全防御能力,由此實(shí)現(xiàn)了有針對(duì)性地提高某一類用戶群終端的安全防御能力。
[0048]上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說明書的內(nèi)容予以實(shí)施,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂,以下特舉本發(fā)明的【具體實(shí)施方式】。
【專利附圖】

【附圖說明】
[0049]通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的,而并不認(rèn)為是對(duì)本發(fā)明的限制。而且在整個(gè)附圖中,用相同的參考符號(hào)表示相同的部件。在附圖中:
[0050]圖1示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種識(shí)別指定類別IP地址的方法流程圖;
[0051]圖2示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種識(shí)別指定類別IP地址的系統(tǒng)示意圖;
[0052]圖3示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種用于提高用戶終端安全防御的方法流程圖;
[0053]圖4示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種用于提高用戶終端安全防御的系統(tǒng)示意圖。
【具體實(shí)施方式】
[0054]下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例。雖然附圖中顯示了本公開的示例性實(shí)施例,然而應(yīng)當(dāng)理解,可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制。相反,提供這些實(shí)施例是為了能夠更透徹地理解本公開,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。
[0055]參見圖1,圖1示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種識(shí)別指定類別IP地址的方法流程圖,下面根據(jù)圖1對(duì)本發(fā)明提供的方法進(jìn)行描述。本發(fā)明提供的一種識(shí)別指定類別IP地址的方法包括以下步驟:
[0056]SlOl:收集若干IP地址的行為記錄數(shù)據(jù)。
[0057]具體的,主要是通過記錄用戶IP使用的行為日志,來獲取所要收集的數(shù)據(jù),一般的,用戶的行為日志主要包括用戶使用的歷史記錄,主要包括搜索歷史、點(diǎn)擊歷史、購買歷史和瀏覽數(shù)據(jù)歷史等。在本發(fā)明的一個(gè)實(shí)施例中,主要是記錄用戶IP使用安全軟件、安全軟件主界面、殺毒軟件、瀏覽器這四款產(chǎn)品的行為日志獲取數(shù)據(jù),在本實(shí)施例中,之所以采用這四款產(chǎn)品,主要是因?yàn)檫@四款產(chǎn)品基本上涵蓋了所有用戶,覆蓋面非常大,通過用戶IP使用這四款產(chǎn)品的行為日志得到的數(shù)據(jù)也比較全面。當(dāng)然,也可以通過其他途徑獲取IP地址的行為記錄數(shù)據(jù),例如用戶IP對(duì)應(yīng)的終端啟動(dòng)計(jì)算機(jī)的行為記錄,使用音樂播放器或視屏播放器等的行為記錄,都可以作為數(shù)據(jù)來源。
[0058]S102:從收集的行為記錄數(shù)據(jù)中提取預(yù)處理數(shù)據(jù),該提取的預(yù)處理數(shù)據(jù)至少包括IP地址的地址信息以及行為的時(shí)間信息。
[0059]在一個(gè)完整的信息系統(tǒng)里面,日志系統(tǒng)是一個(gè)非常重要的功能組成部分。它可以記錄下系統(tǒng)所產(chǎn)生的所有行為,并按照某種規(guī)范表達(dá)出來。在本發(fā)明的實(shí)施例中,主要選取了用戶IP使用安全軟件、打開安全軟件主界面、殺毒軟件、瀏覽器所產(chǎn)生的行為日志數(shù)據(jù)作為分析對(duì)象。在對(duì)用戶IP的行為日志進(jìn)行數(shù)據(jù)提取時(shí),主要是提取使用上述四款產(chǎn)品的用戶IP的地址信息以及產(chǎn)生行為的時(shí)間信息,即用戶IP使用哪款產(chǎn)品的時(shí)間。另外,還可以提取用戶IP使用這四款產(chǎn)品的產(chǎn)品應(yīng)用標(biāo)識(shí),即用戶IP使用了哪款產(chǎn)品,應(yīng)用標(biāo)識(shí)可以是應(yīng)用的名稱,也可以是應(yīng)用所在的地址,甚至可以先給上述幾款產(chǎn)品編號(hào),按照產(chǎn)品對(duì)應(yīng)的編號(hào)識(shí)別是哪款產(chǎn)品。當(dāng)然,也可以不提取用戶IP使用這四款產(chǎn)品的產(chǎn)品應(yīng)用標(biāo)識(shí),因?yàn)楸景l(fā)明的目的主要是根據(jù)用戶IP的行為時(shí)間分布數(shù)據(jù)來識(shí)別用戶IP是否指定類別IP地址,所以最主要的是要提取用戶IP的地址信息以及此IP地址產(chǎn)生行為的時(shí)間信息,至于產(chǎn)品的應(yīng)用標(biāo)識(shí)是可選的,但本發(fā)明的一個(gè)實(shí)施例中希望探究一下用戶IP使用不同產(chǎn)品對(duì)最后識(shí)別IP地址結(jié)果的影響,因此也提取了用戶IP使用哪款產(chǎn)品的產(chǎn)品應(yīng)用標(biāo)識(shí)。[0060]在實(shí)際應(yīng)用中,上述提取的預(yù)處理數(shù)據(jù)還包括每個(gè)IP地址對(duì)應(yīng)的用戶終端數(shù)量以及用戶終端標(biāo)識(shí),用戶終端標(biāo)識(shí)是用以唯一標(biāo)識(shí)一臺(tái)用戶終端的信息,具體實(shí)現(xiàn)形式都多種。例如,用戶終端標(biāo)識(shí)可以根據(jù)用戶終端的網(wǎng)卡Mac地址以及安裝在此用戶終端上的某個(gè)軟件的軟件序列號(hào)來獲得,而用戶終端上的軟件序列號(hào)可以使用具體的算法來分配,對(duì)用戶終端唯一標(biāo)識(shí),具體使用算法如何進(jìn)行分配軟件序列號(hào),通過現(xiàn)有技術(shù)來實(shí)現(xiàn),在此不再重復(fù)說明。為了方便后面的描述,把上述用戶終端標(biāo)識(shí)暫且自定義為mid,提取每個(gè)IP地址對(duì)應(yīng)的用戶終端數(shù)量以及用戶終端標(biāo)識(shí)mid主要是為后面對(duì)數(shù)據(jù)的歸一化處理做準(zhǔn)備,對(duì)數(shù)據(jù)的歸一化處理主要是將用戶使用IP地址的用戶終端mid總數(shù)除以此IP地址對(duì)應(yīng)的用戶終端mid的總數(shù)。其中,每個(gè)IP地址對(duì)應(yīng)的用戶終端數(shù)量以及用戶IP產(chǎn)生行為的用戶終端mid總數(shù),可以通過用戶終端標(biāo)識(shí)mid來統(tǒng)計(jì),即對(duì)于每個(gè)用戶IP,有多少終端在使用。也可以根據(jù)上述記錄的產(chǎn)品的應(yīng)用標(biāo)識(shí),統(tǒng)計(jì)用戶IP使用哪款產(chǎn)品的mid總數(shù),當(dāng)然,前面已經(jīng)說明產(chǎn)品的應(yīng)用標(biāo)識(shí)是可選地,那么此處的統(tǒng)計(jì)用戶IP使用哪款產(chǎn)品的mid總數(shù)也是可選的。
[0061]S103:對(duì)提取到的預(yù)處理數(shù)據(jù)進(jìn)行處理分析,獲得用戶使用IP地址的行為時(shí)間分布數(shù)據(jù)。
[0062]在具體實(shí)現(xiàn)過程中,本步驟的主要目的是對(duì)上述步驟S102提取的預(yù)處理數(shù)據(jù),通過一定的處理分析,獲得用戶使用所述IP地址的行為時(shí)間分布數(shù)據(jù),再采用適當(dāng)?shù)姆椒▉碜R(shí)別IP是否指定類別IP地址。此處的指定類別可以是公司、網(wǎng)吧、學(xué)校或其它的公共場所等,在本發(fā)明提供的一實(shí)施例中,指定類別是指公司,即以公司為例,來說明本發(fā)明所采用的方法。
[0063]首先,對(duì)步驟S102中提取的預(yù)處理數(shù)據(jù)做進(jìn)一步處理:根據(jù)用戶終端標(biāo)識(shí)mid,統(tǒng)計(jì)每個(gè)IP地址對(duì)應(yīng)的用戶終端數(shù)量,即每個(gè)IP地址所對(duì)應(yīng)的mid數(shù),然后根據(jù)上述統(tǒng)計(jì)的每個(gè)IP地址對(duì)應(yīng)的用戶終端數(shù)量,依靠單個(gè)IP對(duì)應(yīng)的用戶終端數(shù)的多少來判斷出個(gè)人家庭電腦。一般公司電腦或公共場所電腦(比如網(wǎng)吧)同一個(gè)IP會(huì)對(duì)應(yīng)多個(gè)mid數(shù),在具體的實(shí)施過程中,可以根據(jù)實(shí)際經(jīng)驗(yàn)數(shù)據(jù)設(shè)置一個(gè)閾值,比如4,同一個(gè)IP對(duì)應(yīng)的mid數(shù)大于4的,可以認(rèn)為是公司電腦或公共場所的電腦;同一個(gè)IP對(duì)應(yīng)的mid數(shù)小于或等于4的,可以認(rèn)為是個(gè)人家庭電腦。在對(duì)提取的預(yù)處理數(shù)據(jù)進(jìn)行處理分析的過程中,通過這種方法,把數(shù)據(jù)中的家庭電腦IP找出來,并將這些數(shù)據(jù)剔除,只留下同一個(gè)IP對(duì)應(yīng)的mid數(shù)大于4的數(shù)據(jù),減少了后續(xù)需要處理的數(shù)據(jù)量。
[0064]當(dāng)然,也可以不進(jìn)行這一步的處理,直接對(duì)提取的預(yù)處理數(shù)據(jù)根據(jù)行為時(shí)間的不同劃分為多個(gè)維度,并統(tǒng)計(jì)在不同時(shí)間段用戶使用每個(gè)IP地址的終端數(shù)量。因?yàn)楹罄m(xù)是要進(jìn)行IP地址識(shí)別的,識(shí)別IP地址屬于哪一類別,因此可以在后續(xù)的識(shí)別過程中將這些用戶終端數(shù)量小于預(yù)置閾值的IP地址識(shí)別出來。此處首先進(jìn)行這一步處理,主要是因?yàn)樘崛〉念A(yù)處理數(shù)據(jù)量比較大,將用戶終端數(shù)量小于閾值的IP地址識(shí)別出來,就減少了后面需要處理的數(shù)據(jù)量,減輕了后面數(shù)據(jù)處理的負(fù)擔(dān)。
[0065]由于一般公司電腦在工作時(shí)間(周一到周五每天08:00-19:00)使用的比較多,在周一到周五的非工作時(shí)間和周末使用得比較少;而網(wǎng)吧電腦或公共場所電腦在工作時(shí)間使用得相對(duì)比較少,在非工作時(shí)間和周末使用得相對(duì)比較多。因此,對(duì)用戶終端數(shù)量大于預(yù)置閾值的每個(gè)IP地址的數(shù)據(jù),根據(jù)用戶IP產(chǎn)生行為的時(shí)間,將上述數(shù)據(jù)劃分為多個(gè)維度,在此處即為多個(gè)時(shí)間段,并統(tǒng)計(jì)在上述不同時(shí)間段用戶使用IP地址的終端數(shù)量。在本發(fā)明的一實(shí)施例中,將用戶IP產(chǎn)生行為的時(shí)間主要分為周一到周五的工作時(shí)間段,即周一到周五每天08:00-19:00 ;周六到周日每天08:00-19:00 ;周一到周五的非工作時(shí)間段,即周一到周五每天不在08:00-19:00 ;周六到周日每天不在08:00-19:00 ;周一到周日每天20:00-22:OO0本發(fā)明一實(shí)施例中,同時(shí)將用戶IP產(chǎn)生的行為時(shí)間劃分為周一到周日的不在08:00-19:00時(shí)間段與周一到周日在20:00-22:00的時(shí)間段,主要是將范圍較大的時(shí)間段(不在08:00-19:00)與相對(duì)比較小的時(shí)間段(在20:00-22:00)同時(shí)考慮進(jìn)去,提高識(shí)別用戶IP是否為公司IP地址的結(jié)果的準(zhǔn)確度。最后記錄每個(gè)用戶IP在上述這些時(shí)間段使用前述幾款產(chǎn)品的mid總數(shù)。
[0066]另外,一般公司電腦和家用電腦打開安全軟件主界面的概率比較大,而網(wǎng)吧電腦或公共場所電腦打開安全軟件主界面的概率相對(duì)比較小。因此根據(jù)用戶IP使用的產(chǎn)品的產(chǎn)品應(yīng)用標(biāo)識(shí),又對(duì)用戶IP使用的產(chǎn)品進(jìn)行了劃分,由于在本發(fā)明的實(shí)施例中,選取的產(chǎn)品是安全軟件、安全軟件主界面、殺毒軟件和瀏覽器,因此劃分的幾個(gè)維度分別是每個(gè)用戶IP使用安全軟件的mid數(shù)、打開安全軟件主界面的mid數(shù)、使用殺毒軟件的mid數(shù)和使用瀏覽器的mid數(shù)。
[0067]上述步驟S103的過程均是通過計(jì)算機(jī)來完成的,由于需要處理的數(shù)據(jù)比較大,因此需要選擇一個(gè)能對(duì)大數(shù)據(jù)進(jìn)行快速、準(zhǔn)確處理的運(yùn)行環(huán)境,例如hadoop系統(tǒng)能夠?qū)Υ罅繑?shù)據(jù)進(jìn)行分布式處理,對(duì)大數(shù)據(jù)能夠快速、良好地運(yùn)行,因此本發(fā)明一實(shí)施例處理數(shù)據(jù)是在hadoop運(yùn)行環(huán)境下進(jìn)行的。通過上述處理過程,將數(shù)據(jù)處理成如下表1的格式:
[0068]表1
[0069]
【權(quán)利要求】
1.一種識(shí)別指定類別IP地址的方法,包括: 收集若干IP地址的行為記錄數(shù)據(jù); 從所述收集的行為記錄數(shù)據(jù)中提取預(yù)處理數(shù)據(jù),所述提取的預(yù)處理數(shù)據(jù)至少包括IP地址的地址信息以及行為的時(shí)間信息; 對(duì)所述提取到的預(yù)處理數(shù)據(jù)進(jìn)行分析,獲得用戶使用所述IP地址的行為時(shí)間分布數(shù)據(jù); 至少根據(jù)用戶使用所述IP地址的行為時(shí)間分布數(shù)據(jù),識(shí)別出指定類別IP地址。
2.如權(quán)利要求1所述的方法,所述至少根據(jù)用戶使用所述IP地址的行為時(shí)間分布數(shù)據(jù),識(shí)別出指定類別IP地址包括: 基于每個(gè)IP地址的行為時(shí)間分布數(shù)據(jù),對(duì)多個(gè)IP地址采用一種或多種聚類組合的方式進(jìn)行聚類,識(shí)別出指定類別IP地址。
3.如權(quán)利要求2所述的方法,所述基于每個(gè)IP地址的行為時(shí)間分布數(shù)據(jù),對(duì)多個(gè)IP地址采用多種聚類組合的方式進(jìn)行聚類包括: 從所述收集的若干IP地址中,選取至少兩個(gè)已知屬于不同類別的IP地址作為第一聚類方式的初始節(jié)點(diǎn),基于每個(gè)IP地址的行為時(shí)間分布數(shù)據(jù)與所述初始節(jié)點(diǎn)的行為時(shí)間分布數(shù)據(jù),采用第一聚類方式對(duì)收集到的多個(gè)IP地址進(jìn)行聚類,識(shí)別出指定類別IP地址; 對(duì)識(shí)別出的指定類別IP地址,采用第二聚類方式進(jìn)行抽樣聚類分析,獲得該指定類別的數(shù)據(jù)分布特點(diǎn); 根據(jù)所述采用第二聚類方式獲得的數(shù)據(jù)分布特點(diǎn),修正第一聚類方式的初始節(jié)點(diǎn),并采用修正后的初始節(jié)點(diǎn),對(duì)此前識(shí)別出的指定類別的多個(gè)IP地址采用第一聚類方式再次進(jìn)行聚類,進(jìn)一步篩選出指定類別IP地址。
4.如權(quán)利要求3所述的方法,所述第一聚類方式采用Kmeans算法,第二聚類方式采用DBScan 算法。
5.如權(quán)利要求1至4中任一項(xiàng)所述的方法,所述提取的預(yù)處理數(shù)據(jù)還包括每個(gè)IP地址對(duì)應(yīng)的用戶終端數(shù)量以及用戶終端標(biāo)識(shí),所述對(duì)提取到的預(yù)處理數(shù)據(jù)進(jìn)行分析包括: 統(tǒng)計(jì)每個(gè)IP地址對(duì)應(yīng)的用戶終端數(shù)量; 對(duì)用戶終端數(shù)量大于預(yù)置閾值的每個(gè)IP地址的預(yù)處理數(shù)據(jù),根據(jù)行為時(shí)間不同劃分為多個(gè)維度,并統(tǒng)計(jì)在不同時(shí)間段使用每個(gè)IP地址的用戶終端數(shù)量; 對(duì)所述在不同時(shí)間段使用每個(gè)IP地址的用戶終端數(shù)量進(jìn)行歸一化處理,獲得用戶使用所述IP地址的行為時(shí)間分布數(shù)據(jù)。
6.一種識(shí)別指定類別IP地址的設(shè)備,包括: 數(shù)據(jù)收集單元,用于收集若干IP地址的行為記錄數(shù)據(jù); 數(shù)據(jù)提取單元,用于從所述收集的行為記錄數(shù)據(jù)中提取預(yù)處理數(shù)據(jù),所述提取的預(yù)處理數(shù)據(jù)至少包括IP地址的地址信息以及行為的時(shí)間信息; 數(shù)據(jù)處理單元,用于對(duì)所述提取到的預(yù)處理數(shù)據(jù)進(jìn)行分析,獲得用戶使用所述IP地址的行為時(shí)間分布數(shù)據(jù); 地址識(shí)別單元, 用于至少根據(jù)用戶使用所述IP地址的行為時(shí)間分布數(shù)據(jù),識(shí)別出指定類別IP地址。
7.如權(quán)利要求6所述的設(shè)備,所述地址識(shí)別單元包括:聚類分析單元,用于基于每個(gè)IP地址的行為時(shí)間分布數(shù)據(jù),對(duì)多個(gè)IP地址采用一種或多種聚類組合的方式進(jìn)行聚類分析,識(shí)別出指定類別IP地址。
8.如權(quán)利要求7所述的設(shè)備,所述聚類分析單元包括: 第一聚類分析單元,用于從所述收集的若干IP地址中,選取至少兩個(gè)已知屬于不同類別的IP地址作為第一聚類方式的初始節(jié)點(diǎn),基于每個(gè)IP地址的行為時(shí)間分布數(shù)據(jù)與所述初始節(jié)點(diǎn)的行為時(shí)間分布數(shù)據(jù),采用第一聚類方式對(duì)收集到的多個(gè)IP地址進(jìn)行聚類,識(shí)別出指定類別IP地址; 第二聚類分析單元,用于對(duì)識(shí)別出的指定類別IP地址,采用第二聚類方式進(jìn)行抽樣聚類分析,獲得該指定類別的數(shù)據(jù)分布特點(diǎn); 第三聚類分析單元,用于根據(jù)所述采用第二聚類方式獲得的數(shù)據(jù)分布特點(diǎn),修正第一聚類方式的初始節(jié)點(diǎn),并采用修正后的初始節(jié)點(diǎn),對(duì)此前識(shí)別出的指定類別的多個(gè)IP地址采用第一聚類方式再次進(jìn)行聚類,進(jìn)一步篩選出指定類別IP地址。
9.一種提高用戶終端安全防御的方法,包括,預(yù)先通過權(quán)利要求1至5中任一項(xiàng)所述識(shí)別指定類別IP地址的方法,識(shí)別出指定類別IP地址; 監(jiān)控各用戶終端的信息安全狀況以及IP地址; 當(dāng)在屬于所述指定類別IP地址對(duì)應(yīng)的用戶終端中發(fā)現(xiàn)惡意程序時(shí),提高安全防御級(jí)別或進(jìn)行特殊安全防御處理。
10.一種提高用戶終端安全防御的系統(tǒng),包括,權(quán)利要求6-8任一項(xiàng)所述識(shí)別指定類別IP地址的設(shè)備,還包括: 監(jiān)控單元,用于監(jiān)控各用戶終端的信息安全狀況以及IP地址; 安全防御單元,用于當(dāng)所述監(jiān)控單元在所述識(shí)別設(shè)備識(shí)別出的指定類別IP地址對(duì)應(yīng)的用戶終端中發(fā)現(xiàn)惡意程序時(shí),提高安全防御級(jí)別或進(jìn)行特殊安全防御處理。
【文檔編號(hào)】H04L29/06GK103812961SQ201310535856
【公開日】2014年5月21日 申請(qǐng)日期:2013年11月1日 優(yōu)先權(quán)日:2013年11月1日
【發(fā)明者】王艷輝, 王素梅 申請(qǐng)人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1