一種識別惡意網(wǎng)絡設備的方法、裝置和系統(tǒng)的制作方法
【專利摘要】本申請為一種識別惡意網(wǎng)絡設備的方法��、裝置和系統(tǒng),所述方法包括:獲取當前訪問設備的多個屬性��,以及多個歷史訪問設備的屬性集合和歷史訪問設備標識符�,將所述當前訪問設備的多個屬性作為當前屬性集合�����,將每個歷史訪問設備的屬性集合作為一個歷史屬性集合����;計算當前屬性集合與每一個歷史屬性集合的匹配度;根據(jù)匹配度和歷史訪問設備標識符確定當前屬性集合對應的風險設備標識符���;根據(jù)當前屬性集合��、風險設備標識符和風險級別計算規(guī)則計算當前訪問設備的風險級別��,用來識別所述當前訪問設備是否為惡意網(wǎng)絡設備���。采用本申請?zhí)峁┑姆椒ā⒀b置和系統(tǒng)�����,可以提高識別惡意的網(wǎng)絡設備的準確率。
【專利說明】—種識別惡意網(wǎng)絡設備的方法��、裝置和系統(tǒng)
【技術領域】
[0001]本申請涉及網(wǎng)絡安全領域��,特別是涉及一種識別惡意網(wǎng)絡設備的方法����、裝置和系統(tǒng)。
【背景技術】
[0002]互聯(lián)網(wǎng)技術的普及極大的方便了人們的日常生活�,加速了信息的傳遞,對人類社會的發(fā)展和進步產(chǎn)生了深遠的影響���?���;ヂ?lián)網(wǎng)技術是把雙刃劍�����,在給人們帶來便捷的同時�,有很多不法分子利用互聯(lián)網(wǎng)進行欺詐,獲取非法財物���,給人們的生命和財產(chǎn)安全帶來很大的威脅��。網(wǎng)絡欺詐行為主要包括網(wǎng)絡恐嚇�、入侵、垃圾信息���、病毒入侵�、DOS攻擊�����、網(wǎng)絡敲詐�、網(wǎng)絡釣魚��、419欺詐等���。因此需要建立反欺詐系統(tǒng)識別惡意網(wǎng)絡設備發(fā)送的欺詐請求����,拒絕惡意網(wǎng)絡設備的訪問����,維護人們的合法權益。
[0003]通常識別有網(wǎng)絡欺詐行為的惡意的網(wǎng)絡設備是根據(jù)設備的地理位置信息等唯一的設備屬性來識別其欺詐來源,大多通過設備的IP地址進行識別?��,F(xiàn)有的電子商務網(wǎng)站會把從尼日利亞���、南非、越南等地區(qū)的IP地址納入高危IP列表��,這些地區(qū)發(fā)起的請求很大可能是欺詐請求��。如圖1所示�,網(wǎng)絡系統(tǒng)中的高危IP防控策略會根據(jù)預先設定的高危IP列表來檢測HTTP協(xié)議所帶有的IP地址信息,如果該IP地址信息存在于高危列表中�����,則會將該設備轉入人工審核處理或者直接拒絕來自該設備的訪問�,如果該IP地址不在高危列表中,則接受其訪問請求����。
[0004]根據(jù)IP地址等唯一屬性信息識別惡意網(wǎng)絡設備的方法有如下缺點:
[0005]識別惡意網(wǎng)絡設備時,通過唯一的屬性信息進行識別�,當惡意網(wǎng)絡設備更改其屬性信息時,就不能識別其真實身份�����;例如,通常識別惡意網(wǎng)絡設備是根據(jù)其發(fā)生交易請求的IP地址信息�����,如果IP地址信息存在預先設置的高危列表中�,則被識別出來;如果惡意網(wǎng)絡設備通過使用不在高危列表中的IP代理服務器發(fā)送交易請求����,識別出的IP地址為其使用的代理服務器的地址,不能識別其真實的IP地址��,就不能識別惡意網(wǎng)絡設備的真實身份���。
[0006]申請內容
[0007]有鑒于此,本申請?zhí)峁┝艘环N識別惡意網(wǎng)絡設備的方法���、裝置和系統(tǒng)��,獲取當前訪問設備的多個屬性�����,確定其風險級別�����,從而有效的識別惡意網(wǎng)絡設備的真實身份�����。
[0008]一種識別惡意網(wǎng)絡設備的方法����,該方法包括步驟:
[0009]獲取當前訪問設備的多個屬性,以及多個歷史訪問設備的屬性集合和歷史訪問設備標識符��,將所述當前訪問設備的多個屬性作為當前屬性集合����,將每個歷史訪問設備的屬性集合作為一個歷史屬性集合,其中��,所述屬性集合包括訪問設備的瀏覽器屬性���、操作系統(tǒng)屬性�����、網(wǎng)絡連接屬性���、地理位置屬性和TCP協(xié)議屬性中的多個組合���;
[0010]計算當前屬性集合與每一個歷史屬性集合的匹配度;
[0011]根據(jù)匹配度和所述歷史訪問設備標識符確定當前屬性集合對應的風險設備標識符;
[0012]根據(jù)當前屬性集合�����、風險設備標識符和風險級別計算規(guī)則計算當前訪問設備的風險級別����,以識別所述訪問設備是否為惡意設備。
[0013]其中��,所述計算當前屬性集合與每一個歷史屬性集合的匹配度具體包括:
[0014]獲取當前屬性集合中的第i個屬性的值作為ai;任一歷史屬性集合中的第i個屬性的值作為bi�����,第i個屬性的權重為Ci�����,判斷%與bi是否相等����;
[0015]如果是,則確定第i個屬性的匹配值Cli為I ;
[0016]如果否����,則確定第i個屬性的匹配值Cli為O ;
[0017]則按照下述公式計算當前屬性集合與任一歷史屬性集合的匹配度η為:
【權利要求】
1.一種識別惡意網(wǎng)絡設備的方法,其特征在于���,該方法包括步驟: 獲取當前訪問設備的多個屬性��,以及多個歷史訪問設備的屬性集合和歷史訪問設備標識符����,將所述當前訪問設備的多個屬性作為當前屬性集合����,將每個歷史訪問設備的屬性集合作為一個歷史屬性集合,其中�����,所述屬性集合包括訪問設備的瀏覽器屬性����、操作系統(tǒng)屬性����、網(wǎng)絡連接屬性����、地理位置屬性和TCP協(xié)議屬性中的多個組合; 計算當前屬性集合與每一個歷史屬性集合的匹配度�����; 根據(jù)匹配度和所述歷史訪問設備標識符確定當前屬性集合對應的風險設備標識符��; 根據(jù)當前屬性集合��、風險設備標識符和風險級別計算規(guī)則計算當前訪問設備的風險級另IJ�����,以識別所述訪問設備是否為惡意網(wǎng)絡設備��。
2.根據(jù)權利要求1所述的方法�����,其特征在于�����,所述計算當前屬性集合與每一個歷史屬性集合的匹配度具體包括: 獲取當前屬性集合中的第i個屬性的值作為ai;任一歷史屬性集合中的第i個屬性的值作為bi�����,第i個屬性的權重為Ci���,判斷%與匕是否相等��; 如果是���,則確定第i個屬性的匹配值(Ii為I ; 如果否,則確定第i個屬性的匹配值(Ii為O ; 則按照下述公式計算當前屬性集合與任一歷史屬性集合的匹配度η為:
i=m n = ^^
t=m
ζ=1 其中�����,i的取值為I至m的自然數(shù)���,m為所述屬性集合中屬性的個數(shù)����。
3.根據(jù)權利要求1所述的方法�����,其特征在于,所述根據(jù)匹配度和所述歷史訪問設備標識符確定當前屬性集合對應的風險設備標識符具體包括: 獲取與當前訪問設備最高的匹配度�,判斷所述匹配度是否大于預先設置的第一閾值; 如果是�,將所述最高的匹配度對應的歷史屬性集合作為風險屬性集合,獲取所述風險屬性集合對應的歷史訪問設備標識符�����,作為與當前屬性集合對應的風險設備標識符�����; 如果否��,生成一個不同于所述歷史訪問設備標識符的當前屬性集合對應的當前訪問設備標識符作為風險設備標識符���。
4.根據(jù)權利要求1所述的方法�����,其特征在于����,所述根據(jù)當前屬性集合��、風險設備標識符和多個風險級別計算規(guī)則計算當前訪問設備的風險級別具體包括: 根據(jù)每一個風險級別計算規(guī)則的內容���,獲取命中的風險級別規(guī)則�,根據(jù)所述命中的風險級別規(guī)則計算當前訪問設備的風險級別����,其中,所述命中的風險級別規(guī)則為與當前屬性集合中的屬性的值和/或風險設備標識符匹配的風險級別計算規(guī)則���; 獲取第j個命中的風險級別規(guī)則的權重作為xj����,風險值為yj����,則按照下述公式對命中S個風險級別規(guī)則的當前訪問設備的風險級別Z計算如下:
J=l5 其中j為I至s的自然數(shù),s為當前訪問設備命中風險級別規(guī)則的個數(shù)��。
5.根據(jù)權利要求1-4任意一項所述的方法��,其特征在于,所述根據(jù)當前屬性集合�����、風險設備標識符和風險級別計算規(guī)則計算當前訪問設備的風險級別后進一步包括: 獲取計算得到的風險級別與風險設備標識符對應存儲���。
6.根據(jù)權利要求1-4任意一項所述的方法��,其特征在于��,所述獲取當前訪問設備的多個屬性具體包括: 獲取當前訪問設備的多個客戶端屬性���; 根據(jù)客戶端屬性獲取當前訪問設備的多個服務端屬性。
7.一種識別惡意網(wǎng)絡設備的裝置�,其特征在于,該裝置包括: 屬性收集模塊�、屬性匹配模塊和風險識別模塊; 所述屬性收集模塊��,用于獲取當前訪問設備的多個屬性作為當前屬性集合發(fā)送到所述屬性匹配模塊���; 所述屬性匹配模塊����,用于獲取多個歷史訪問設備的屬性集合和歷史訪問設備標識符,將所述當前訪問設備的多個屬性作為當前屬性集合��,將每個歷史訪問設備的屬性集合作為一個歷史屬性集合��,其中��,所述屬性集合包括訪問設備的瀏覽器屬性�、操作系統(tǒng)屬性����、網(wǎng)絡連接屬性、地理位置屬性和TCP協(xié)議屬性中的多個組合�,計算當前屬性集合與每一個歷史屬性集合的匹配度,根據(jù)匹配度和所述歷史訪問設備標識符確定當前屬性集合對應的風險設備標識符�����; 所述風險識別模塊�����,用于根據(jù)當前屬性集合�����、風險設備標識符和風險級別計算規(guī)則計算當前訪問設備的風險級別,以識別所述當前訪問設備是否為惡意設備�。
8.根據(jù)權利要求7所述的裝置,其特征在于��,所述屬性收集模塊具體包括: 客戶端屬性收集模塊��,用于收集當前訪問設備的多個客戶端屬性發(fā)送給屬性服務端收集模塊�; 服務端屬性收集模塊,用于收集當前訪問設備的多個服務端屬性��。
9.根據(jù)權利要求7所述的裝置�,其特征在于,該裝置進一步包括: 屬性查詢模塊和屬性存儲模塊���; 所述屬性查詢模塊�����,用于從所述屬性存儲模塊調用多個歷史訪問設備的屬性集合和歷史訪問設備標識符發(fā)送到屬性匹配模塊���; 所述屬性存儲模塊,用于存儲歷史訪問設備的屬性集合以及歷史訪問設備標識符����。
10.根據(jù)權利要求7所述的裝置�,其特征在于���,該裝置進一步包括: 風險分析存儲模塊����,用于從所述風險識別模塊獲取當前訪問設備的風險級別與風險設備標識符對應存儲����。
11.一種識別惡意網(wǎng)絡設備的系統(tǒng)��,其特征在于���,該系統(tǒng)包括7-10任意一項所述的裝置�����。
【文檔編號】H04L29/06GK103428189SQ201210167937
【公開日】2013年12月4日 申請日期:2012年5月25日 優(yōu)先權日:2012年5月25日
【發(fā)明者】蔣韜 申請人:阿里巴巴集團控股有限公司