一種計算惡意指數(shù)的方法和裝置的制造方法
【專利摘要】本發(fā)明的實施方式提供了一種計算惡意指數(shù)的方法和裝置:當檢測到攻擊行為時,確定所述攻擊行為對應的互聯(lián)網協(xié)議IP地址;根據(jù)所述IP地址獲取所述IP地址對應的記錄的惡意指數(shù);以及基于記錄的惡意指數(shù)計算并更新所述IP地址對應的惡意指數(shù),該方法使得惡意指數(shù)的計算僅根據(jù)記錄的惡意指數(shù)以及當前的攻擊狀況例如本周期內或短時間內的攻擊狀況迭代式地計算并更新惡意指數(shù),這樣,不需要大量存儲日志,因此,減少了對存儲空間的占用,同時,通過將預定時間內的一次或多次攻擊行為記為一次攻擊行為,可以避免各個惡意指數(shù)都趨近于1,進而提高了區(qū)分各個IP的惡意指數(shù)的準確度。
【專利說明】
一種計算惡意指數(shù)的方法和裝置
技術領域
[0001 ]本發(fā)明的實施方式涉及計算機技術領域,更具體地,本發(fā)明的實施方式涉及一種計算惡意指數(shù)的方法和裝置。
【背景技術】
[0002]本部分旨在為權利要求書中陳述的本發(fā)明的實施方式提供背景或上下文。此處的描述不因為包括在本部分中就承認是現(xiàn)有技術。
[0003]在現(xiàn)有的DDoS(Distributed Denial of Service,分布式拒絕服務)防御系統(tǒng)中,存在黑名單IPdnternet Protocol,互聯(lián)網協(xié)議),白名單IP和灰名單IP,其中:黑名單IP在DDoS防御系統(tǒng)中可以指人工確認過的惡意IP,這些IP的訪問行為會直接丟棄;白名單IP在DDoS防御系統(tǒng)中可以指人工確認過的善意IP,這些IP的訪問行為會直接放行,比如合作伙伴的IP;灰名單IP在DDoS防御系統(tǒng)中可以指曾經有過攻擊行為的IP。
[0004]現(xiàn)有的灰名單IP中的IP只有一個等級,不能準確區(qū)分灰名單IP中各個IP的惡意指數(shù),其中,惡意指數(shù)可以指灰名單IP中的IP的惡意程度的大小,值越大表示這個IP以前攻擊的次數(shù)越多。例如,做過壞事的人的名字為灰名單IP中的IP,現(xiàn)有技術中對待做過壞事的人的方式是一樣的。
[0005]為了準確區(qū)分灰名單IP中的不同IP的惡意指數(shù),現(xiàn)有技術中也提出一些計算惡意指數(shù)的方法,通常采用基于訪問日志或者異常訪問量/總訪問量的方式來計算。
【發(fā)明內容】
[0006]但是,采用基于訪問日志的方式需要存儲每次訪問的數(shù)據(jù),占用大量的存儲空間,且由于攻擊時往往是短時間內集中式的大量攻擊,采用異常訪問量/總訪問量的方式計算得到的結果是一個趨近于I的數(shù)字,不能準確地區(qū)分各個IP的惡意指數(shù),例如,在反垃圾郵件中,每發(fā)一次垃圾郵件記一次異常行為,每發(fā)一次正常郵件記一次正常行為,在反垃圾郵件中的IP的惡意指數(shù)為異常訪問量/總訪問量,即使正常訪問時間遠遠大于異常訪問時間,但由于異常訪問經常是短時間內產生大量訪問次數(shù),因此,每一個有過此類異常訪問的IP的惡意指數(shù)都趨于I,不能準確地區(qū)分各個IP的惡意指數(shù),這是非常令人煩惱的過程。
[0007]為此,非常需要一種改進的計算惡意指數(shù)的方法和裝置,減少對存儲空間的占用,及準確區(qū)分不同IP的惡意指數(shù)。
[0008]在本上下文中,本發(fā)明的實施方式期望提供一種計算惡意指數(shù)的方法和裝置。
[0009]在本發(fā)明實施方式的第一方面中,提供了一種計算惡意指數(shù)的方法,包括:
[0010]檢測到第N次攻擊行為時,確定與所述第N次攻擊行為所對應的互聯(lián)網協(xié)議IP地址,計算所述第N次攻擊行為發(fā)生時的第一時間點當前所屬的第一周期;
[0011]計算與所述IP地址相關的第N-1次攻擊行為發(fā)生時的第二時間點所屬的第二周期,及在所述第N-1次攻擊行為執(zhí)行完時得到的第一惡意指數(shù),所述第二時間點位于所述第一時間點之前;
[0012]根據(jù)所述第一惡意指數(shù)、所述第一周期和所述第二周期,計算在所述第N次攻擊行為執(zhí)行完成時得到的第二惡意指數(shù)。
[0013]在一個實施例中,根據(jù)本發(fā)明的上述實施例所述的方法,在預定時間內的一次或多次攻擊記為一次攻擊行為。
[0014]在一些實施例中,根據(jù)本發(fā)明的上述任一實施例所述的方法,計算所述第N次攻擊行為發(fā)生時的第一時間點當前所屬的第一周期,包括:
[0015]計算得到的第一周期滿足如下規(guī)則:
[0016]ml = (tl-T0)/T+l;
[0017]其中,所述ml為所述第一周期,所述tl為所述第一時間點,所述TO為檢測攻擊行為的啟動時間點,所述T為預設值,/表示整除;
[0018]計算第N-1次攻擊行為發(fā)生時的第二時間點所屬的第二周期,包括:
[0019]計算得到的第二周期滿足如下規(guī)則:
[0020]m2 = (t2-T0)/T+l;
[0021]其中,所述m2為所述第二周期,所述t2為所述第二時間點。
[0022]在一些實施例中,根據(jù)本發(fā)明的上述任一實施例所述的方法,若所述第一周期與所述第二周期為不同的周期,根據(jù)所述第一惡意指數(shù)、所述第一周期和所述第二周期,計算在所述第N次攻擊行為執(zhí)行完成時得到的第二惡意指數(shù),包括:
[0023]計算得到的第二惡意指數(shù)滿足如下規(guī)則:
[0024]EIl=EI2*(l/2)~(ml-m2)+l
[0025]其中,所述EIl為所述第二惡意指數(shù),所述EI2為所述第一惡意指數(shù),所述ml為所述第一周期,所述m2為所述第二周期。
[0026]在一些實施例中,根據(jù)本發(fā)明的上述任一實施例所述的方法,若所述第一周期與所述第二周期為相同的周期,所述第二惡意指數(shù)等于所述第一惡意指數(shù)加I。
[0027]在一些實施例中,根據(jù)本發(fā)明的上述任一實施例所述的方法,計算在所述第N次攻擊行為執(zhí)行完成時得到的第二惡意指數(shù)之后,所述方法還包括:
[0028]用所述第二惡意指數(shù)替換系統(tǒng)中所記錄的所述第一惡意指數(shù),用所述第一周期替換系統(tǒng)中所記錄的所述第二周期。
[0029]在本發(fā)明實施方式的第二方面中,提供了一種計算惡意指數(shù)的裝置,包括:
[0030]檢測單元,用于檢測攻擊行為;
[0031]確定單元,用于確定與第N次攻擊行為所對應的互聯(lián)網協(xié)議IP地址;
[0032]計算單元,用于在所述檢測單元檢測到所述第N次攻擊行為時,計算所述第N次攻擊行為發(fā)生時的第一時間點當前所屬的第一周期;
[0033]所述計算單元還用于,計算與所述IP地址相關的第N-1次攻擊行為發(fā)生時的第二時間點所屬的第二周期,及在所述第N-1次攻擊行為執(zhí)行完時得到的第一惡意指數(shù),所述第二時間點位于所述第一時間點之前;
[0034]所述計算單元還用于,根據(jù)所述第一惡意指數(shù)、所述第一周期和所述第二周期,計算在所述第N次攻擊行為執(zhí)行完成時得到的第二惡意指數(shù)。
[0035]在一個實施例中,根據(jù)本發(fā)明的上述實施例所述的裝置,在預定時間內的一次或多次攻擊記為一次攻擊行為。
[0036]在一些實施例中,根據(jù)本發(fā)明的上述任一實施例所述的裝置,所述計算單元計算所述第N次攻擊行為發(fā)生時的第一時間點當前所屬的第一周期時,具體為:
[0037]所述計算單元計算得到的第一周期滿足如下規(guī)則:
[0038]ml = (tl-T0)/T+l;
[0039]其中,所述ml為所述第一周期,所述tl為所述第一時間點,所述TO為檢測攻擊行為的啟動時間點,所述T為預設值,/表示整除;
[0040]所述計算單元計算第N-1次攻擊行為發(fā)生時的第二時間點所屬的第二周期時,具體為:
[0041 ]所述計算單元計算得到的第二周期滿足如下規(guī)則:
[0042]m2 = (t2-T0)/T+l;
[0043]其中,所述m2為所述第二周期,所述t2為所述第二時間點。
[0044]在一些實施例中,根據(jù)本發(fā)明的上述任一實施例所述的裝置,若所述第一周期與所述第二周期為不同的周期,所述計算單元根據(jù)所述第一惡意指數(shù)、所述第一周期和所述第二周期,計算在所述第N次攻擊行為執(zhí)行完成時得到的第二惡意指數(shù)時,具體為:
[0045]所述計算單元計算得到的第二惡意指數(shù)滿足如下規(guī)則:
[0046]EIl=EI2*(l/2)~(ml-m2)+l
[0047]其中,所述EIl為所述第二惡意指數(shù),所述EI2為所述第一惡意指數(shù),所述ml為所述第一周期,所述m2為所述第二周期。
[0048]在一些實施例中,根據(jù)本發(fā)明的上述任一實施例所述的裝置,若所述第一周期與所述第二周期為相同的周期,所述第二惡意指數(shù)等于所述第一惡意指數(shù)加I。
[0049]在一些實施例中,根據(jù)本發(fā)明的上述任一實施例所述的裝置,所述裝置還包括替換單元,用于用所述第二惡意指數(shù)替換系統(tǒng)中所記錄的所述第一惡意指數(shù),用所述第一周期替換系統(tǒng)中所記錄的所述第二周期。
[0050]在本發(fā)明實施方式的第三方面中,提供了一種計算惡意指數(shù)的方法,包括:
[0051 ]檢測到攻擊行為時,確定所述攻擊行為對應的互聯(lián)網協(xié)議IP地址;
[0052]根據(jù)所述IP地址獲取所述IP地址對應的記錄的惡意指數(shù);以及
[0053]基于記錄的惡意指數(shù),計算并更新所述IP地址對應的惡意指數(shù)。
[0054]在一個實施例中,根據(jù)本發(fā)明的上述實施例所述的方法,所述計算并更新所述IP地址對應的惡意指數(shù),包括:
[0055]將所述記錄的惡意指數(shù)隨時間衰減后再增加一常數(shù),生成新的惡意指數(shù);
[0056]將所述新的惡意指數(shù)作為更新后的惡意指數(shù)。
[0057]在一些實施例中,根據(jù)本發(fā)明的上述任一實施例所述的方法,所述方法還包括:
[0058]計算檢測到所述攻擊行為時對應的當前周期ml;
[0059]獲取所述記錄的惡意指數(shù)對應的記錄周期m2。
[0060]在一些實施例中,根據(jù)本發(fā)明的上述任一實施例所述的方法,若所述當前周期與所述記錄周期為同一個周期ml =m2,所述計算并更新所述IP地址對應的惡意指數(shù),包括:
[0061]將所述記錄的惡意指數(shù)增加一常數(shù)a:EIl=EI2+a,所述EIl為所述IP地址更新后對應的惡意指數(shù),所述EI2為之前所述記錄的惡意指數(shù);
[0062 ]若所述當前周期與所述記錄周期為不同周期m I在m2,所述計算并更新所述IP地址對應的惡意指數(shù),包括:
[0063]將所述記錄的惡意指數(shù)隨時間衰減后再增加一常數(shù)a,EIl=EI2*b~(ml-m2)+a,所述b為小于I的正數(shù)。
[0064]在一些實施例中,根據(jù)本發(fā)明的上述任一實施例所述的方法,其中在預定時間內的一次或多次攻擊記為一次攻擊行為。
[0065]在一些實施例中,根據(jù)本發(fā)明的上述任一實施例所述的方法,所述方法還包括:
[0066]在初始化系統(tǒng)時,將所述IP地址對應的惡意指數(shù)設為O。
[0067]在本發(fā)明實施方式的第四方面中,提供了一種計算惡意指數(shù)的裝置,包括:
[0068]檢測單元,用于檢測攻擊行為;
[0069]確定單元,用于在所述檢測單元檢測到攻擊行為時,確定所述攻擊行為對應的互聯(lián)網協(xié)議IP地址;
[0070]獲取單元,用于根據(jù)所述IP地址獲取所述IP地址對應的記錄的惡意指數(shù);以及
[0071]計算單元,用于基于記錄的惡意指數(shù),計算并更新所述IP地址對應的惡意指數(shù)。
[0072]在一個實施例中,根據(jù)本發(fā)明的上述實施例所述的裝置,所述計算單元具體用于:
[0073]將所述記錄的惡意指數(shù)隨時間衰減后再增加一常數(shù),生成新的惡意指數(shù);
[0074]將所述新的惡意指數(shù)作為更新后的惡意指數(shù)。
[0075]在一些實施例中,根據(jù)本發(fā)明的上述任一實施例所述的裝置,所述計算單元還用于,計算檢測到所述攻擊行為時對應的當前周期ml;
[0076]所述獲取單元還用于,獲取所述記錄的惡意指數(shù)對應的記錄周期m2。
[0077]在一些實施例中,根據(jù)本發(fā)明的上述任一實施例所述的裝置,若所述當前周期與所述記錄周期為同一個周期ml =m2,所述計算單元計算并更新所述IP地址對應的惡意指數(shù)時,具體為:
[0078]將所述記錄的惡意指數(shù)增加一常數(shù)a:EIl=EI2+a,所述EIl為所述IP地址更新后對應的惡意指數(shù),所述EI2為之前所述記錄的惡意指數(shù);
[0079]若所述當前周期與所述記錄周期為不同周期ml在m2,所述計算單元計算并更新所述IP地址對應的惡意指數(shù)時,具體為:
[0080]將所述記錄的惡意指數(shù)隨時間衰減后再增加一常數(shù)a,EIl=EI2*b~(ml_m2)+a,所述b為小于I的正數(shù)。
[0081]在一些實施例中,根據(jù)本發(fā)明的上述任一實施例所述的裝置,其中在預定時間內的一次或多次攻擊記為一次攻擊行為。
[0082]在一些實施例中,根據(jù)本發(fā)明的上述任一實施例所述的裝置,所述裝置還包括惡意指數(shù)設置單元,用于在初始化系統(tǒng)時,將所述IP地址對應的惡意指數(shù)設為O。
[0083]在本發(fā)明實施方式的第五方面中,提供了一種更新惡意指數(shù)的方法,包括:
[0084]使惡意指數(shù)隨時間衰減;以及
[0085]當檢測到有攻擊行為時,使惡意指數(shù)增加。
[0086]在一個實施例中,根據(jù)本發(fā)明的上述實施例所述的方法,其中在預定時間內的一次或多次攻擊記為一次攻擊行為。
[0087]在本發(fā)明實施方式的第六方面中,提供了一種更新惡意指數(shù)的裝置,包括:
[0088]惡意指數(shù)衰減單元,用于使惡意指數(shù)隨時間衰減;
[0089]檢測單元,用于檢測攻擊行為;
[0090]惡意指數(shù)增加單元,用于當檢測到有攻擊行為時,使惡意指數(shù)增加。
[0091 ]在一個實施例中,根據(jù)本發(fā)明的上述實施例所述的裝置,其中在預定時間內的一次或多次攻擊記為一次攻擊行為。
[0092]本發(fā)明提出一種計算惡意指數(shù)的方法:當檢測到攻擊行為時,確定所述攻擊行為對應的互聯(lián)網協(xié)議IP地址;根據(jù)所述IP地址獲取所述IP地址對應的記錄的惡意指數(shù);以及基于記錄的惡意指數(shù),計算并更新所述IP地址對應的惡意指數(shù),在該方案中,惡意指數(shù)的計算不再基于記錄的攻擊記錄,而僅根據(jù)記錄的惡意指數(shù)以及當前的攻擊狀況例如本周期內或短時間內的攻擊狀況迭代式地計算并更新惡意指數(shù),這樣,不需要大量記錄日志,減少對存儲空間的占用,同時,通過將預定時間內的一次或多次攻擊行為記為一次攻擊行為,可以避免各個惡意指數(shù)都趨近于I,提高了區(qū)分各個IP的惡意指數(shù)的準確度。
【附圖說明】
[0093]通過參考附圖閱讀下文的詳細描述,本發(fā)明示例性實施方式的上述以及其他目的、特征和優(yōu)點將變得易于理解。在附圖中,以示例性而非限制性的方式示出了本發(fā)明的若干實施方式,其中:
[0094]圖1示意性地示出了根據(jù)本發(fā)明實施方式的計算惡意指數(shù)的方法的一種流程圖;
[0095]圖2示意性地示出了根據(jù)本發(fā)明實施方式的計算惡意指數(shù)的方法的又一流程圖;
[0096]圖3示意性地示出了根據(jù)本發(fā)明實施方式的更新惡意指數(shù)的方法的流程圖;
[0097]圖4示意性地示出了根據(jù)本發(fā)明實施方式的計算惡意指數(shù)的裝置的一種示意圖;
[0098]圖5示意性地示出了根據(jù)本發(fā)明實施方式的計算惡意指數(shù)的裝置的另一種示意圖;
[0099]圖6示意性地示出了根據(jù)本發(fā)明實施方式的更新惡意指數(shù)的裝置的一種示意圖;
[0100]圖7示意性地示出了根據(jù)本發(fā)明實施方式的計算或更新惡意指數(shù)的裝置的另一種示意圖;
[0101]圖8示意性地示出了根據(jù)本發(fā)明實施方式的計算或更新惡意指數(shù)的裝置的另一種示意圖;
[0102]在附圖中,相同或對應的標號表不相同或對應的部分。
【具體實施方式】
[0103]下面將參考若干示例性實施方式來描述本發(fā)明的原理和精神。應當理解,給出這些實施方式僅僅是為了使本領域技術人員能夠更好地理解進而實現(xiàn)本發(fā)明,而并非以任何方式限制本發(fā)明的范圍。相反,提供這些實施方式是為了使本公開更加透徹和完整,并且能夠將本公開的范圍完整地傳達給本領域的技術人員。
[0104]本領域技術技術人員知道,本發(fā)明的實施方式可以實現(xiàn)為一種系統(tǒng)、裝置、設備、方法或計算機程序產品。因此,本公開可以具體實現(xiàn)為以下形式,即:完全的硬件、完全的軟件(包括固件、駐留軟件、微代碼等),或者硬件和軟件結合的形式。
[0105]根據(jù)本發(fā)明的實施方式,提出了一種計算惡意指數(shù)的方法和裝置。
[0106]在本文中,附圖中的任何元素數(shù)量均用于示例而非限制,以及任何命名都僅用于區(qū)分,而不具有任何限制含義。
[0107]下面對本發(fā)明中所涉及的技術術語簡單描述。
[0108]DDoS:可以指攻擊者利用大量分布式的傀儡機作為攻擊平臺,同時向一個或者多個目標發(fā)送大量的請求,使得被攻擊目標癱瘓無法提供正常服務的攻擊行為。
[0109]HTTP(HyperText Transfer Protocol,超文本傳輸協(xié)議)Flood:可以指眾多DDoS攻擊類型中的一種,它針對Web服務在第七層協(xié)議發(fā)起的攻擊,具有攻擊方式簡單、防御過濾困難、主機影響大等特點。
[0110]下面參考本發(fā)明的若干代表性實施方式,詳細闡釋本發(fā)明的原理和精神。
[0111]發(fā)明概述
[0112]本發(fā)明人發(fā)現(xiàn),目前根據(jù)異常訪問量/總訪問量的方式計算惡意指數(shù)的方式不僅占用大量的存儲空間,而且計算得到的惡意指數(shù)都趨于1,這樣不能準確區(qū)分各個IP的惡意指數(shù),因此,提出一種新的計算惡意指數(shù)的方案,在該方案中,當檢測到攻擊行為時,確定所述攻擊行為對應的互聯(lián)網協(xié)議IP地址;根據(jù)所述IP地址獲取所述IP地址對應的記錄的惡意指數(shù);以及基于記錄的惡意指數(shù),計算并更新所述IP地址對應的惡意指數(shù),該方法使得惡意指數(shù)的計算不再基于記錄的攻擊記錄,而僅根據(jù)記錄的惡意指數(shù)以及當前的攻擊狀況例如本周期內或短時間內的攻擊狀況迭代式地計算并更新惡意指數(shù),這樣,避免了存儲大量的訪問記錄,提高了存儲空間的利用率。同時,通過將預定時間內的一次或多次攻擊記為一次攻擊行為,避免各個惡意指數(shù)都趨近于I,提高了區(qū)分各個IP的惡意指數(shù)的準確度。
[0113]在介紹了本發(fā)明的基本原理之后,下面具體介紹本發(fā)明的各種非限制性實施方式。
[0114]應用場景總覽
[0115]參考上述描述,例如,檢測到攻擊行為時,確定攻擊行為對應的IP地址為第一IP地址,并獲取第一 IP地址對應的記錄的惡意指數(shù)為第一惡意指數(shù),然后,基于記錄的第一惡意指數(shù),計算并更新第一惡意指數(shù),這樣,避免了存儲大量的訪問記錄,提高了存儲空間的利用率。在一個實施例中,通過將預定時間內的一次或多次攻擊記為一次攻擊行為,避免各個惡意指數(shù)都趨近于I,提高了區(qū)分各個IP的惡意指數(shù)的準確度。
[0116]需要說明的是,本發(fā)明實施例中所發(fā)生攻擊行為的設備可以是網易服務器,也可以其他服務器或設備,在此不做具體限定。
[0117]示例性方法
[0118]下面結合上面描述的應用場景,參考圖1、圖2來描述根據(jù)本發(fā)明示例性實施方式的用于計算惡意指數(shù)的方法。并進一步的,還可以參考圖3來描述根據(jù)本發(fā)明示例性實施方式的用于更新惡意指數(shù)的方法。
[0119]需要注意的是,上述應用場景僅是為了便于理解本發(fā)明的精神和原理而示出,本發(fā)明的實施方式在此方面不受任何限制。相反,本發(fā)明的實施方式可以應用于適用的任何場景。
[0120]圖1示意性地示出了根據(jù)本發(fā)明實施方式的用于計算惡意指數(shù)的方法10的流程示意圖。如圖1所示,該方法10可以包括步驟100、110、120。
[0121 ]方法10始于步驟100:檢測到攻擊行為時,確定所述攻擊行為對應的互聯(lián)網協(xié)議IP地址。
[0122]本發(fā)明實施例中,可選地,在預定時間內的一次或多次攻擊記為一次攻擊行為。例如,在預定時間內發(fā)生了 I次攻擊,則記為在該預定時間內發(fā)生了一次攻擊行為。又例如,在某一預定時間內發(fā)生了 10000次攻擊,如泛洪攻擊,則仍記為在該預定時間內發(fā)生了一次攻擊行為,通過將預定時間內的一次或多次攻擊行為記為一次攻擊行為,可以有效避免各個惡意指數(shù)都趨近于1,進而提高了區(qū)分各個IP的惡意指數(shù)的準確度,當然,在實際應用中,并不限定于上述方式,也可以將該預定時間內的攻擊行為的次數(shù)記為實際發(fā)生的攻擊的次數(shù)。
[0123]在步驟100之后,還可以執(zhí)行步驟110:根據(jù)所述IP地址獲取所述IP地址對應的記錄的惡意指數(shù)。
[0124]在步驟110之后,還可以執(zhí)行步驟120:基于記錄的惡意指數(shù),計算并更新所述IP地址對應的惡意指數(shù)。
[0125]該方法使得惡意指數(shù)的計算不再基于記錄的攻擊記錄,而僅根據(jù)記錄的惡意指數(shù)以及當前的攻擊狀況例如本周期內或短時間內的攻擊狀況迭代式地計算并更新惡意指數(shù)。在一個實施例中,每增加一次攻擊行為,更新一次惡意指數(shù)。這樣攻擊記錄將不需要被大量的記錄,提高了存儲空間的利用率。
[0126]本發(fā)明實施例中,所述計算并更新所述IP地址對應的惡意指數(shù)時,可選地,可以采用如下方式:
[0127]將所述記錄的惡意指數(shù)隨時間衰減后再增加一常數(shù),生成新的惡意指數(shù);
[0128]將所述新的惡意指數(shù)作為更新后的惡意指數(shù)。
[0129]這樣,某次攻擊行為在剛發(fā)生時惡意最大,隨時間衰減惡意逐漸降低。
[0130]本發(fā)明實施例中,進一步的,所述方法還包括如下操作:
[0131]計算檢測到所述攻擊行為時對應的當前周期ml;
[0132]獲取所述記錄的惡意指數(shù)對應的記錄周期m2。
[0133]例如,將某IP下I小時內發(fā)生的攻擊記為I次攻擊行為,將I天作為一個周期,這樣一個周期內最多發(fā)生24次攻擊行為。
[0134]其中,若所述當前周期與所述記錄周期為同一個周期ml=m2,所述計算并更新所述IP地址對應的惡意指數(shù)時,可選地,可以采用如下方式:
[0135]將所述記錄的惡意指數(shù)增加一常數(shù)a:EIl=EI2+a,所述EIl為所述IP地址更新后對應的惡意指數(shù),所述EI2為之前所述記錄的惡意指數(shù);
[0136]若所述當前周期與所述記錄周期為不同周期ml^m2,所述計算并更新所述IP地址對應的惡意指數(shù)時,可選地,可以采用如下方式:
[0137]將所述記錄的惡意指數(shù)隨時間衰減后再增加一常數(shù)a,EIl=EI2*b~(ml_m2)+a,所述b為小于I的正數(shù)。
[0138]也就是說,若ml=m2,所述EIl直接等于EI2加a,若ml在m2,所述EIl等于所述EI2衰減后的值加常數(shù)a。
[0139]本發(fā)明實施例中,進一步地,所述方法還包括如下操作:
[0140]在初始化系統(tǒng)時,將所述IP地址對應的惡意指數(shù)設為O。
[0141]本發(fā)明提出一種計算惡意指數(shù)的方法:檢測到攻擊行為時,確定所述攻擊行為對應的互聯(lián)網協(xié)議IP地址;根據(jù)所述IP地址獲取所述IP地址對應的記錄的惡意指數(shù);以及基于記錄的惡意指數(shù),計算并更新所述IP地址對應的惡意指數(shù),在該方案中,針對某一IP,不再基于記錄的攻擊記錄計算惡意指數(shù),僅根據(jù)已經記錄的惡意指數(shù)以及當前的攻擊狀況,更新所述IP地址對應的惡意指數(shù),這樣,不需要大量記錄日志,減少對存儲空間的占。同時,通過將預定時間內的一次或多次攻擊行為記為一次攻擊行為,可以避免各個惡意指數(shù)都趨近于I,提高了區(qū)分各個IP的惡意指數(shù)的準確度。
[0142]本發(fā)明還提出另一種計算惡意指數(shù)的方法,圖2示意性地示出了根據(jù)本發(fā)明實施方式的用于計算惡意指數(shù)的方法20的流程示意圖。如圖2所示,該方法20可以包括步驟200、210、220。
[0143]方法20始于步驟200:檢測到第N次攻擊行為時,確定與所述第N次攻擊行為所對應的互聯(lián)網協(xié)議IP地址,計算所述第N次攻擊行為發(fā)生時的第一時間點當前所屬的第一周期。
[0144]本發(fā)明實施例中,可選地,將預定時間段內的的一次或多次攻擊記為一次攻擊行為。例如,在某天的7:00-8:00間發(fā)生了 I次攻擊,則記為在該時間內發(fā)生了一次攻擊行為;在7:00-8:00間發(fā)生了 10000次攻擊,也記為在該時間內發(fā)生了一次攻擊行為;在9:00-10:00間發(fā)生的一次或多次攻擊也記為發(fā)生了一次攻擊行為。
[0145]本發(fā)明實施例中,可選地,在預定時間內的一次或多次攻擊記為一次攻擊行為。例如,在某一周期內發(fā)生了 I次攻擊,則記為在該周期內發(fā)生了一次攻擊行為。又例如,在某一周期內發(fā)生了 10000次攻擊,則仍記為在該周期內發(fā)生了一次攻擊行為。
[0146]通過將在一時間區(qū)域內或預定時間內的一次或多次攻擊記為一次攻擊行為,可以有效避免各個惡意指數(shù)都趨近于I,進而提高了區(qū)分各個IP的惡意指數(shù)的準確度。
[0147]當然,在實際應用中,并不限定于上述方式,也可以將該周期內的攻擊行為的次數(shù)記為實際發(fā)生的攻擊的次數(shù)。
[0148]本發(fā)明實施例中,計算所述第N次攻擊行為發(fā)生時的第一時間點當前所屬的第一周期時,可選地,可以采用如下方式:
[0149]計算得到的第一周期滿足如下規(guī)則,如公式一:
[0150]ml = (tl-T0)/T+l (公式一)
[0151]其中,所述ml為所述第一周期,所述tl為所述第一時間點,所述TO為檢測攻擊行為的啟動時間點,所述T為預設值,/表示整除。
[0152]在步驟200之后,還可以執(zhí)行步驟210:計算與所述IP地址相關的第N-1次攻擊行為發(fā)生時的第二時間點所屬的第二周期,及在所述第N-1次攻擊行為執(zhí)行完時得到的第一惡意指數(shù),所述第二時間點位于所述第一時間點之前。
[0153]本發(fā)明實施例中,計算第N-1次攻擊行為發(fā)生時的第二時間點所屬的第二周期時,可選地,可以采用如下方式:
[0154]計算得到的第二周期滿足如下規(guī)則,如公式二:
[0155]m2 = (t2-T0)/T+l (公式二)
[0156]其中,所述m2為所述第二周期,所述t2為所述第二時間點。
[0157]在步驟210之后,還可以執(zhí)行步驟220:根據(jù)所述第一惡意指數(shù)、所述第一周期和所述第二周期,計算在所述第N次攻擊行為執(zhí)行完成時得到的第二惡意指數(shù)。
[0158]本發(fā)明實施例中,若所述第一周期與所述第二周期為不同的周期,根據(jù)所述第一惡意指數(shù)、所述第一周期和所述第二周期,計算在所述第N次攻擊行為執(zhí)行完成時得到的第二惡意指數(shù)時,可選地,可以采用如下方式:
[0159]計算得到的第二惡意指數(shù)滿足如下規(guī)則,如公式三:
[0160]EIl=EI2*(l/2)~(ml-m2)+l (公式三)
[0161]其中,所述EIl為所述第二惡意指數(shù),所述EI2為所述第一惡意指數(shù),所述ml為所述第一周期,所述m2為所述第二周期。
[0162]本發(fā)明實施例中,可選地,若所述第一周期與所述第二周期為相同的周期,所述第二惡意指數(shù)等于所述第一惡意指數(shù)加I。
[0163]也就是說,若所述第一周期與所述第二周期為相同的周期,所述第二惡意指數(shù)直接等于所述第一惡意指數(shù)加I,若所述第一周期與所述第二周期為不相同的周期,所述第二惡意指數(shù)等于所述第一惡意指數(shù)衰減后的值加I。
[0164]本發(fā)明實施例中,進一步的,為了計算第N次攻擊行為之后的攻擊行為的惡意指數(shù),計算在所述第N次攻擊行為執(zhí)行完成時得到的第二惡意指數(shù)之后,所述方法還包括如下操作:
[0165]用所述第二惡意指數(shù)替換系統(tǒng)中所記錄的所述第一惡意指數(shù),用所述第一周期替換系統(tǒng)中所記錄的所述第二周期。
[0166]這樣,計算針對第N次攻擊行為之后的攻擊行為的第三惡意指數(shù)時,若所述第N次攻擊行為發(fā)生時的第一時間點當前所屬的第一周期,和所述第N次攻擊行為之后的攻擊行為發(fā)生時的第三時間點當前所屬的第三周期為相同的周期時,所述第三惡意指數(shù)直接等于所述第二惡意指數(shù)加I;若所述第N次攻擊行為發(fā)生時的第一時間點當前所屬的第一周期,和所述第N次攻擊行為之后的攻擊行為發(fā)生時的第三時間點當前所屬的第三周期為不相同的周期時,采用公式四計算第三惡意指數(shù),其中,第三時間點位于第一時間點之前:
[0167]EI3 = EIl*(l/2)~(m3-ml)+l (公式四)
[0168]其中,所述EIl為所述第二惡意指數(shù),所述EI3為所述第三惡意指數(shù),所述ml為所述第一周期,所述m3為所述第三周期。
[0169]例如:T = 3600秒,整個系統(tǒng)在20 16年I月20日2點10分10秒啟動,記錄TO =1453227010,當2016年I 月20 日 5點20分 10秒時,S卩t= 1453238410,檢測到某個IP= 1.1.1.1的第一次攻擊行為時,此時計算當前時間點所屬的周期ml = (1453238410-1453227010)/3600+l=4,即周期為4,并采用EIl=EI2*(l/2Γ(ml-m2) + l(公式三)計算EIl,由于EI2為0,因此,計算得出的EIl = I;當2016年I月20日12點20分10秒時,S卩t= 1453263610,再次檢測到IP= 1.1.1.1的第二次攻擊行為,此時計算當前時間點所屬的周期m2 = (1453263610-1453227010)/3600+1 = 11,即第 11 個周期內,并采用EIl =EI2*(l/2)~(ml-m2)+l(公式三)計算EIl,此時,由于EI2為I,ml = ll,m2 = 4,因此,計算得出的ΕΙ1 = 1*(1/2)~7+1 ? I;進一步的,可以將計算得到的EIl和周期分別更新為I和11,以便后續(xù)計算惡意指數(shù)。
[0170]本發(fā)明提出一種計算惡意指數(shù)的方法:檢測到第N次攻擊行為時,確定與所述第N次攻擊行為所對應的互聯(lián)網協(xié)議IP地址,計算所述第N次攻擊行為發(fā)生時的第一時間點當前所屬的第一周期;計算與所述IP地址相關的第N-1次攻擊行為發(fā)生時的第二時間點所屬的第二周期,及在所述第N-1次攻擊行為執(zhí)行完時得到的第一惡意指數(shù),所述第二時間點位于所述第一時間點之前;根據(jù)所述第一惡意指數(shù)、所述第一周期和所述第二周期,計算在所述第N次攻擊行為執(zhí)行完成時得到的第二惡意指數(shù),在該方案中,針對執(zhí)行第N次攻擊行為的某一 IP,不再基于記錄的攻擊記錄計算惡意指數(shù),僅根據(jù)該IP的第N次攻擊行為對應的第一周期、第N-1次攻擊行為對應的第二周期及在所述第N-1次攻擊行為執(zhí)行完時得到的第一惡意指數(shù),計算第N次攻擊行為執(zhí)行完成時得到的第二惡意指數(shù),這樣,不需要大量記錄日志,減少對存儲空間的占用,同時,通過將在一時間段內的一次或多次攻擊記為一次攻擊行為,避免各個惡意指數(shù)都趨近于I,進而提高了區(qū)分各個IP的惡意指數(shù)的準確度。
[0171]圖3示意性地示出了根據(jù)本發(fā)明實施方式的用于更新惡意指數(shù)的方法30的流程示意圖。如圖3所示,該方法30可以包括步驟300、310。
[0172]方法30始于步驟300:使惡意指數(shù)隨時間衰減;
[0173]在步驟300之后,還可以執(zhí)行步驟310:當檢測到有攻擊行為時,使惡意指數(shù)增加。
[0174]在一個實施例中,在未檢測到攻擊行為時,惡意指數(shù)隨時間實時地衰減,使得某次攻擊行為的惡意隨時間而衰減。在檢測到攻擊行為時,惡意指數(shù)增加一常數(shù),之后再隨時間實時地衰減。
[0175]本發(fā)明實施例中,可選地,在預定時間內的一次或多次攻擊記為一次攻擊行為。例如,在某一預定時間內發(fā)生了 I次攻擊,則記為在該預定時間內發(fā)生了一次攻擊行為。又例如,在某一預定時間內發(fā)生了 10000次攻擊,貝Ij仍記為在該預定時間內發(fā)生了一次攻擊行為,通過將預定時間內的一次或多次攻擊行為記為一次攻擊行為,可以有效避免各個惡意指數(shù)都趨近于I,進而提高了區(qū)分各個IP的惡意指數(shù)的準確度,當然,在實際應用中,并不限定于上述方式,也可以將該預定時間內的攻擊行為的次數(shù)記為實際發(fā)生的攻擊的次數(shù)。
[0176]本發(fā)明提出一種更新惡意指數(shù)的方法:使惡意指數(shù)隨時間衰減;當檢測到有攻擊行為時,使惡意指數(shù)增加,在該方案中,使惡意指數(shù)隨時間衰減;當檢測到有攻擊行為時,使惡意指數(shù)增加,該方法使得惡意指數(shù)的更新不再基于記錄的攻擊記錄,而是當檢測到有攻擊行為時,根據(jù)衰減的惡意指數(shù)增加實現(xiàn)更新,這樣,不需要大量記錄日志,減少對存儲空間的占用,同時,通過將預定時間內的一次或多次攻擊行為記為一次攻擊行為,可以避免各個惡意指數(shù)都趨近于I,提高了區(qū)分各個IP的惡意指數(shù)的準確度。
[0177]示例性設備
[0178]在介紹了本發(fā)明示例性實施方式的方法之后,接下來,參考圖4、5對本發(fā)明示例性實施方式的、用于計算惡意指數(shù)的裝置描述,并參考圖6對本發(fā)明示例性實施方式的、用于更新惡意指數(shù)的裝置描述。
[0179]圖4示意性地示出了根據(jù)本發(fā)明實施方式的用于計算惡意指數(shù)的裝置40的示意圖。如圖4所示,該裝置40可以包括:
[0180]檢測單元400,用于檢測攻擊行為;
[0181]確定單元410,用于在所述檢測單元400檢測到攻擊行為時,確定所述攻擊行為對應的互聯(lián)網協(xié)議IP地址;
[0182]獲取單元420,用于根據(jù)所述IP地址獲取所述IP地址對應的記錄的惡意指數(shù);以及
[0183]計算單元430,用于基于記錄的惡意指數(shù),計算并更新所述IP地址對應的惡意指數(shù)。
[0184]該方法使得惡意指數(shù)的計算不再基于記錄的攻擊記錄,而僅根據(jù)記錄的惡意指數(shù)以及當前的攻擊狀況例如本周期內或短時間內的攻擊狀況迭代式地計算并更新惡意指數(shù)。在一個實施例中,每增加一次攻擊行為,更新一次惡意指數(shù)。這樣攻擊記錄將不需要被大量的記錄,提高了存儲空間的利用率。
[0185]本發(fā)明實施例中,可選地,在預定時間內的一次或多次攻擊記為一次攻擊行為。例如,在預定時間內發(fā)生了 I次攻擊,則記為在該預定時間內發(fā)生了一次攻擊行為。又例如,在某一預定時間內發(fā)生了 10000次攻擊,如泛洪攻擊,則仍記為在該預定時間內發(fā)生了一次攻擊行為,通過將預定時間內的一次或多次攻擊行為記為一次攻擊行為,可以有效避免各個惡意指數(shù)都趨近于1,進而提高了區(qū)分各個IP的惡意指數(shù)的準確度,當然,在實際應用中,并不限定于上述方式,也可以將該預定時間內的攻擊行為的次數(shù)記為實際發(fā)生的攻擊的次數(shù)。
[0186]本發(fā)明實施例中,可選地,所述計算單元430具體用于:
[0187]將所述記錄的惡意指數(shù)隨時間衰減后再增加一常數(shù),生成新的惡意指數(shù);
[0188]將所述新的惡意指數(shù)作為更新后的惡意指數(shù)。
[0189]這樣,某次攻擊行為在剛發(fā)生時惡意最大,隨時間衰減惡意逐漸降低。
[0190]本發(fā)明實施例中,進一步地,所述計算單元430還用于,計算檢測到所述攻擊行為時對應的當前周期ml;
[0191]所述獲取單元420還用于,獲取所述記錄的惡意指數(shù)對應的記錄周期m2。
[0192]例如,將某IP下I小時內發(fā)生的攻擊記為I次攻擊行為,將I天作為一個周期,這樣一個周期內最多發(fā)生24次攻擊行為。
[0193]本發(fā)明實施例中,可選地,若所述當前周期與所述記錄周期為同一個周期ml=m2,所述計算單元430計算并更新所述IP地址對應的惡意指數(shù)時,具體為:
[0194]將所述記錄的惡意指數(shù)增加一常數(shù)a:EIl=EI2+a,所述EIl為所述IP地址更新后對應的惡意指數(shù),所述EI2為之前所述記錄的惡意指數(shù);
[0195]若所述當前周期與所述記錄周期為不同周期ml在m2,所述計算單元430計算并更新所述IP地址對應的惡意指數(shù)時,具體為:
[0196]將所述記錄的惡意指數(shù)隨時間衰減后再增加一常數(shù)a,EIl=EI2*b~(ml_m2)+a,所述b為小于I的正數(shù)。
[0197]也就是說,若ml=m2,所述EIl直接等于EI2加a,若ml在m2,所述EIl等于所述EI2衰減后的值加常數(shù)a。
[0198]本發(fā)明實施例中,進一步地,所述裝置還包括惡意指數(shù)設置單元440,用于在初始化系統(tǒng)時,將所述IP地址對應的惡意指數(shù)設為O。
[0199]本發(fā)明提出一種計算惡意指數(shù)的裝置:檢測單元,用于檢測攻擊行為;確定單元,用于在所述檢測單元檢測到攻擊行為時,確定所述攻擊行為對應的互聯(lián)網協(xié)議IP地址;獲取單元,用于根據(jù)所述IP地址獲取所述IP地址對應的記錄的惡意指數(shù);以及計算單元,用于基于記錄的惡意指數(shù),計算并更新所述IP地址對應的惡意指數(shù),在該方案中,針對某一IP,不再基于記錄的攻擊記錄計算惡意指數(shù),僅根據(jù)已經記錄的惡意指數(shù)以及當前的攻擊狀況,更新所述IP地址對應的惡意指數(shù),這樣,不需要大量記錄日志,減少對存儲空間的占用,同時,通過將預定時間內的一次或多次攻擊行為記為一次攻擊行為,可以避免各個惡意指數(shù)都趨近于I,提高了區(qū)分各個IP的惡意指數(shù)的準確度。
[0200]本發(fā)明還提出另一種計算惡意指數(shù)的裝置,圖5示意性地示出了根據(jù)本發(fā)明實施方式的用于計算惡意指數(shù)的裝置50的示意圖。如圖5所示,該裝置50可以包括:
[0201]檢測單元500,用于檢測攻擊行為;
[0202]確定單元510,用于確定與第N次攻擊行為所對應的互聯(lián)網協(xié)議IP地址;
[0203]計算單元520,用于在所述檢測單元500檢測到所述第N次攻擊行為時,計算所述第N次攻擊行為發(fā)生時的第一時間點當前所屬的第一周期;
[0204]所述計算單元520還用于,計算與所述IP地址相關的第N-1次攻擊行為發(fā)生時的第二時間點所屬的第二周期,及在所述第N-1次攻擊行為執(zhí)行完時得到的第一惡意指數(shù),所述第二時間點位于所述第一時間點之前;
[0205]所述計算單元520還用于,根據(jù)所述第一惡意指數(shù)、所述第一周期和所述第二周期,計算在所述第N次攻擊行為執(zhí)行完成時得到的第二惡意指數(shù)。
[0206]本發(fā)明實施例中,可選地,將預定時間段內的的一次或多次攻擊記為一次攻擊行為。例如,在某天的7:00-8:00間發(fā)生了 I次攻擊,則記為在該時間內發(fā)生了一次攻擊行為;在7:00-8:00間發(fā)生了 10000次攻擊,也記為在該時間內發(fā)生了一次攻擊行為;在9:00-10:00間發(fā)生的一次或多次攻擊也記為發(fā)生了一次攻擊行為。
[0207]本發(fā)明實施例中,可選地,在預定時間內的一次或多次攻擊記為一次攻擊行為。例如,在某一周期內發(fā)生了 I次攻擊,則記為在該周期內發(fā)生了一次攻擊行為。又例如,在某一周期內發(fā)生了 10000次攻擊,則仍記為在該周期內發(fā)生了一次攻擊行為。
[0208]通過將在一時間區(qū)域內或預定時間內的一次或多次攻擊記為一次攻擊行為,可以有效避免各個惡意指數(shù)都趨近于I,進而提高了區(qū)分各個IP的惡意指數(shù)的準確度。
[0209]當然,在實際應用中,并不限定于上述方式,也可以將該周期內的攻擊行為的次數(shù)記為實際發(fā)生的攻擊的次數(shù)。
[0210]本發(fā)明實施例中,可選地,所述計算單元520計算所述第N次攻擊行為發(fā)生時的第一時間點當前所屬的第一周期時,具體為:
[0211]所述計算單元520計算得到的第一周期滿足如下規(guī)則,如公式一:
[0212]ml = (tl-T0)/T+l (公式一)
[0213]其中,所述ml為所述第一周期,所述tl為所述第一時間點,所述TO為檢測攻擊行為的啟動時間點,所述T為預設值,/表示整除;
[0214]所述計算單元520計算第N-1次攻擊行為發(fā)生時的第二時間點所屬的第二周期時,具體為:
[0215]所述計算單元520計算得到的第二周期滿足如下規(guī)則,如公式二:
[0216]m2 = (t2-T0)/T+l (公式二)
[0217]其中,所述m2為所述第二周期,所述t2為所述第二時間點。
[0218]本發(fā)明實施例中,可選地,若所述第一周期與所述第二周期為不同的周期,所述計算單元520根據(jù)所述第一惡意指數(shù)、所述第一周期和所述第二周期,計算在所述第N次攻擊行為執(zhí)行完成時得到的第二惡意指數(shù)時,具體為:
[0219]所述計算單元520計算得到的第二惡意指數(shù)滿足如下規(guī)則,如公式三:
[0220]EIl=EI2*(l/2)~(ml-m2)+l (公式三)
[0221]其中,所述EIl為所述第二惡意指數(shù),所述EI2為所述第一惡意指數(shù),所述ml為所述第一周期,所述m2為所述第二周期。
[0222]本發(fā)明實施例中,可選地,若所述第一周期與所述第二周期為相同的周期,所述第二惡意指數(shù)等于所述第一惡意指數(shù)加I。
[0223]也就是說,若所述第一周期與所述第二周期為相同的周期,所述第二惡意指數(shù)直接等于所述第一惡意指數(shù)加I,若所述第一周期與所述第二周期為不相同的周期,所述第二惡意指數(shù)等于所述第一惡意指數(shù)衰減后的值加I。
[0224]本發(fā)明實施例中,進一步的,為了計算第N次攻擊行為之后的攻擊行為的惡意指數(shù),所述裝置還包括替換單元530,用于用所述第二惡意指數(shù)替換系統(tǒng)中所記錄的所述第一惡意指數(shù),用所述第一周期替換系統(tǒng)中所記錄的所述第二周期。
[0225]這樣,計算單元520計算針對第N次攻擊行為之后的攻擊行為的第三惡意指數(shù)時,若所述第N次攻擊行為發(fā)生時的第一時間點當前所屬的第一周期,和所述第N次攻擊行為之后的攻擊行為發(fā)生時的第三時間點當前所屬的第三周期為相同的周期時,所述第三惡意指數(shù)直接等于所述第二惡意指數(shù)加I;若所述第N次攻擊行為發(fā)生時的第一時間點當前所屬的第一周期,和所述第N次攻擊行為之后的攻擊行為發(fā)生時的第三時間點當前所屬的第三周期為不相同的周期時,采用公式四計算第三惡意指數(shù),其中,第三時間點位于第一時間點之
、廣.刖:
[0226]EI3 = EIl*(l/2)~(m3-ml)+l (公式四)
[0227]其中,所述EIl為所述第二惡意指數(shù),所述EI3為所述第三惡意指數(shù),所述ml為所述第一周期,所述m3為所述第三周期。
[0228]例如:T = 3600秒,整個系統(tǒng)在20 16年I月20日2點10分10秒啟動,記錄TO =1453227010,當2016年I 月20 日 5點20分 10秒時,S卩t= 1453238410,檢測到某個IP= 1.1.1.1的第一次攻擊行為時,此時計算當前時間點所屬的周期ml = (1453238410-1453227010)/3600+l=4,即周期為4,并采用EIl=EI2*(l/2Γ(ml-m2) + l(公式三)計算EIl,由于EI2為0,因此,計算得出的EIl = I;當2016年I月20日12點20分10秒時,S卩t= 1453263610,再次檢測到IP= 1.1.1.1的第二次攻擊行為,此時計算當前時間點所屬的周期m2 = (1453263610-1453227010)/3600+1 = 11,即第 11 個周期內,并采用EIl =EI2*(l/2)~(ml-m2)+l(公式三)計算EIl,此時,由于EI2為I,ml = ll,m2 = 4,因此,計算得出的ΕΙ1 = 1*(1/2)~7+1 ? I;進一步的,可以將計算得到的EIl和周期分別更新為I和11,以便后續(xù)計算惡意指數(shù)。
[0229]本發(fā)明提出一種計算惡意指數(shù)的裝置:檢測單元,用于檢測攻擊行為;確定單元,用于確定與第N次攻擊行為所對應的互聯(lián)網協(xié)議IP地址;計算單元,用于在所述檢測單元檢測到所述第N次攻擊行為時,計算所述第N次攻擊行為發(fā)生時的第一時間點當前所屬的第一周期;所述計算單元還用于,計算與所述IP地址相關的第N-1次攻擊行為發(fā)生時的第二時間點所屬的第二周期,及在所述第N-1次攻擊行為執(zhí)行完時得到的第一惡意指數(shù),所述第二時間點位于所述第一時間點之前;所述計算單元還用于,根據(jù)所述第一惡意指數(shù)、所述第一周期和所述第二周期,計算在所述第N次攻擊行為執(zhí)行完成時得到的第二惡意指數(shù),在該方案中,針對執(zhí)行第N次攻擊行為的某一IP,不再基于記錄的攻擊記錄計算惡意指數(shù),僅根據(jù)該IP的第N次攻擊行為對應的第一周期、第N-1次攻擊行為對應的第二周期及在所述第N-1次攻擊行為執(zhí)行完時得到的第一惡意指數(shù),計算第N次攻擊行為執(zhí)行完成時得到的第二惡意指數(shù),這樣,不需要大量記錄日志,減少對存儲空間的占用,同時,通過將在一時間段內的一次或多次攻擊記為一次攻擊行為,避免各個惡意指數(shù)都趨近于I,進而提高了區(qū)分各個IP的惡意指數(shù)的準確度。
[0230]圖6示意性地示出了根據(jù)本發(fā)明實施方式的用于更新惡意指數(shù)的裝置60的示意圖。如圖6所示,該裝置60可以包括:
[0231]惡意指數(shù)衰減單元600,用于使惡意指數(shù)隨時間衰減;
[0232]檢測單元610,用于檢測攻擊行為;
[0233]惡意指數(shù)增加單元620,用于當檢測到有攻擊行為時,使惡意指數(shù)增加。
[0234]在一個實施例中,在未檢測到攻擊行為時,惡意指數(shù)隨時間實時地衰減,使得某次攻擊行為的惡意隨時間而衰減。在檢測到攻擊行為時,惡意指數(shù)增加一常數(shù),之后再隨時間實時地衰減。
[0235]本發(fā)明實施例中,可選地,在預定時間內的一次或多次攻擊記為一次攻擊行為。例如,在某一預定時間內發(fā)生了 I次攻擊,則記為在該預定時間內發(fā)生了一次攻擊行為。又例如,在某一預定時間內發(fā)生了 10000次攻擊,貝Ij仍記為在該預定時間內發(fā)生了一次攻擊行為,同時,通過將預定時間內的一次或多次攻擊行為記為一次攻擊行為,可以有效避免各個惡意指數(shù)都趨近于1,進而提高了區(qū)分各個IP的惡意指數(shù)的準確度,當然,在實際應用中,并不限定于上述方式,也可以將該預定時間內的攻擊行為的次數(shù)記為實際發(fā)生的攻擊的次數(shù)。
[0236]本發(fā)明提出一種更新惡意指數(shù)的裝置:惡意指數(shù)衰減單元,用于使惡意指數(shù)隨時間衰減;檢測單元,用于檢測攻擊行為;惡意指數(shù)增加單元,用于當檢測到有攻擊行為時,使惡意指數(shù)增加,該方法使得惡意指數(shù)的更新不再基于記錄的攻擊記錄,而是當檢測到有攻擊行為時,根據(jù)衰減的惡意指數(shù)增加實現(xiàn)更新,這樣,不需要大量記錄日志,減少對存儲空間的占用,同時,通過將預定時間內的一次或多次攻擊行為記為一次攻擊行為,可以避免各個惡意指數(shù)都趨近于I,提高了區(qū)分各個IP的惡意指數(shù)的準確度。
[0237]示例性設備
[0238]在介紹了本發(fā)明示例性實施方式的方法和裝置之后,接下來,介紹根據(jù)本發(fā)明的另一示例性實施方式的用于計算惡意指數(shù)或者更新惡意指數(shù)的裝置。
[0239]所屬技術領域的技術人員能夠理解,本發(fā)明的各個方面可以實現(xiàn)為系統(tǒng)、方法或程序產品。因此,本發(fā)明的各個方面可以具體實現(xiàn)為以下形式,即:完全的硬件實施方式、完全的軟件實施方式(包括固件、微代碼等),或硬件和軟件方面結合的實施方式,這里可以統(tǒng)稱為“電路”、“模塊”或“系統(tǒng)”。
[0240]在一些可能的實施方式中,根據(jù)本發(fā)明的用于計算惡意指數(shù)或者更新惡意指數(shù)的裝置可以至少包括至少一個處理單元、以及至少一個存儲單元。其中,所述存儲單元存儲有程序代碼,當所述程序代碼被所述處理單元執(zhí)行時,使得所述處理單元執(zhí)行本說明書上述“示例性方法”部分中描述的根據(jù)本發(fā)明各種示例性實施方式的用于計算惡意指數(shù)或者更新惡意指數(shù)方法中的步驟。
[0241 ] 例如,所述處理單元可以執(zhí)行如圖1中所示的步驟100:檢測到攻擊行為時,確定所述攻擊行為對應的互聯(lián)網協(xié)議IP地址;步驟110:根據(jù)所述IP地址獲取所述IP地址對應的記錄的惡意指數(shù);以及,步驟120:基于記錄的惡意指數(shù),計算并更新所述IP地址對應的惡意指數(shù)。
[0242]又例如,所述處理單元也可以執(zhí)行如圖2中所示的步驟200:檢測到第N次攻擊行為時,確定與所述第N次攻擊行為所對應的互聯(lián)網協(xié)議IP地址,計算所述第N次攻擊行為發(fā)生時的第一時間點當前所屬的第一周期;步驟210:計算與所述IP地址相關的第N-1次攻擊行為發(fā)生時的第二時間點所屬的第二周期,及在所述第N-1次攻擊行為執(zhí)行完時得到的第一惡意指數(shù),所述第二時間點位于所述第一時間點之前;步驟220:根據(jù)所述第一惡意指數(shù)、所述第一周期和所述第二周期,計算在所述第N次攻擊行為執(zhí)行完成時得到的第二惡意指數(shù)。
[0243]又例如,所述處理單元還可以執(zhí)行如圖3中所示的步驟300:使惡意指數(shù)隨時間衰減;步驟310:當檢測到有攻擊行為時,使惡意指數(shù)增加。
[0244]下面參照圖7來描述根據(jù)本發(fā)明的這種實施方式的用于計算惡意指數(shù)或者更新惡意指數(shù)的裝置70。圖7顯示的用于計算惡意指數(shù)或者更新惡意指數(shù)的裝置70僅僅是一個示例,不應對本發(fā)明實施例的功能和使用范圍帶來任何限制。
[0245]如圖7所示,用于計算惡意指數(shù)或者更新惡意指數(shù)的裝置70以通用計算設備的形式表現(xiàn)。用于計算惡意指數(shù)或者更新惡意指數(shù)的裝置70的組件可以包括但不限于:上述至少一個處理單元716、上述至少一個存儲單元728、連接不同系統(tǒng)組件(包括存儲單元728和處理單元716)的總線718。
[0246]總線718表示幾類總線結構中的一種或多種,包括存儲器總線或者存儲器控制器、外圍總線、圖形加速端口、處理器或者使用多種總線結構中的任意總線結構的局域總線。
[0247]存儲單元728可以包括易失性存儲器形式的可讀介質,例如隨機存取存儲器(RAM)730和/或高速緩存存儲器732,還可以進一步只讀存儲器(R0M)734。
[0248]存儲單元728還可以包括具有一組(至少一個)程序模塊742的程序/實用工具740,這樣的程序模塊742包括但不限于:操作系統(tǒng)、一個或者多個應用程序、其它程序模塊以及程序數(shù)據(jù),這些示例中的每一個或某種組合中可能包括網絡環(huán)境的實現(xiàn)。
[0249]用于計算惡意指數(shù)或者更新惡意指數(shù)的裝置70也可以與一個或多個外部設備714(例如鍵盤、指向設備、藍牙設備等)通信,還可與一個或者多個使得用戶能與該用于計算惡意指數(shù)或者更新惡意指數(shù)的裝置70交互的設備通信,和/或與使得該用于計算惡意指數(shù)或者更新惡意指數(shù)的裝置70能與一個或多個其它計算設備進行通信的任何設備(例如路由器、調制解調器等等)通信。這種通信可以通過輸入/輸出(I/O)接口 722進行。并且,用于計算惡意指數(shù)或者更新惡意指數(shù)的裝置70還可以通過網絡適配器720與一個或者多個網絡(例如局域網(LAN),廣域網(WAN)和/或公共網絡,例如因特網)通信。如圖所示,網絡適配器720通過總線718與用于計算惡意指數(shù)或者更新惡意指數(shù)的裝置70的其它模塊通信。應當明白,盡管圖中未示出,可以結合用于計算惡意指數(shù)或者更新惡意指數(shù)的裝置70使用其它硬件和/或軟件模塊,包括但不限于:微代碼、設備驅動器、冗余處理單元、外部磁盤驅動陣列、RAID系統(tǒng)、磁帶驅動器以及數(shù)據(jù)備份存儲系統(tǒng)等。
[0250]示例性程序產品
[0251]在一些可能的實施方式中,本發(fā)明的各個方面還可以實現(xiàn)為一種程序產品的形式,其包括程序代碼,當所述程序產品在終端設備上運行時,所述程序代碼用于使所述終端設備執(zhí)行本說明書上述“示例性方法”部分中描述的根據(jù)本發(fā)明各種示例性實施方式的用于計算惡意指數(shù)或者更新惡意指數(shù)的方法中的步驟,
[0252]例如,所述處理單元可以執(zhí)行如圖1中所示的步驟100:檢測到攻擊行為時,確定所述攻擊行為對應的互聯(lián)網協(xié)議IP地址;步驟110:根據(jù)所述IP地址獲取所述IP地址對應的記錄的惡意指數(shù);以及,步驟120:基于記錄的惡意指數(shù),計算并更新所述IP地址對應的惡意指數(shù)。
[0253]又例如,所述終端設備也可以執(zhí)行如圖2中所示的步驟200:檢測到第N次攻擊行為時,確定與所述第N次攻擊行為所對應的互聯(lián)網協(xié)議IP地址,計算所述第N次攻擊行為發(fā)生時的第一時間點當前所屬的第一周期;步驟210:計算與所述IP地址相關的第N-1次攻擊行為發(fā)生時的第二時間點所屬的第二周期,及在所述第N-1次攻擊行為執(zhí)行完時得到的第一惡意指數(shù),所述第二時間點位于所述第一時間點之前;步驟220:根據(jù)所述第一惡意指數(shù)、所述第一周期和所述第二周期,計算在所述第N次攻擊行為執(zhí)行完成時得到的第二惡意指數(shù)。
[0254]又例如,所述處理單元還可以執(zhí)行如圖3中所示的步驟300:使惡意指數(shù)隨時間衰減;步驟310:當檢測到有攻擊行為時,使惡意指數(shù)增加。
[0255]所述程序產品可以采用一個或多個可讀介質的任意組合??勺x介質可以是可讀信號介質或者可讀存儲介質??勺x存儲介質例如可以是一一但不限于一一電、磁、光、電磁、紅外線、或半導體的系統(tǒng)、裝置或器件,或者任意以上的組合??勺x存儲介質的更具體的例子(非窮舉的列表)包括:具有一個或多個導線的電連接、便攜式盤、硬盤、隨機存取存儲器(RAM)、只讀存儲器(R0M)、可擦式可編程只讀存儲器(EPR0M或閃存)、光纖、便攜式緊湊盤只讀存儲器(CD-ROM)、光存儲器件、磁存儲器件、或者上述的任意合適的組合。
[0256]如圖8所示,描述了根據(jù)本發(fā)明的實施方式的用于計算惡意指數(shù)或者更新惡意指數(shù)的程序產品80,其可以采用便攜式緊湊盤只讀存儲器(CD-ROM)并包括程序代碼,并可以在終端設備,例如個人電腦上運行。然而,本發(fā)明的程序產品不限于此,在本文件中,可讀存儲介質可以是任何包含或存儲程序的有形介質,該程序可以被指令執(zhí)行系統(tǒng)、裝置或者器件使用或者與其結合使用。
[0257]可讀信號介質可以包括在基帶中或者作為載波一部分傳播的數(shù)據(jù)信號,其中承載了可讀程序代碼。這種傳播的數(shù)據(jù)信號可以采用多種形式,包括一一但不限于一一電磁信號、光信號或上述的任意合適的組合??勺x信號介質還可以是可讀存儲介質以外的任何可讀介質,該可讀介質可以發(fā)送、傳播或者傳輸用于由指令執(zhí)行系統(tǒng)、裝置或者器件使用或者與其結合使用的程序。
[0258]可讀介質上包含的程序代碼可以用任何適當?shù)慕橘|傳輸,包括一一但不限于一一無線、有線、光纜、RF等等,或者上述的任意合適的組合。
[0259]可以以一種或多種程序設計語言的任意組合來編寫用于執(zhí)行本發(fā)明操作的程序代碼,所述程序設計語言包括面向對象的程序設計語言一諸如Java、C++等,還包括常規(guī)的過程式程序設計語言一諸如“C”語言或類似的程序設計語言。程序代碼可以完全地在用戶計算設備上執(zhí)行、部分地在用戶設備上執(zhí)行、作為一個獨立的軟件包執(zhí)行、部分在用戶計算設備上部分在遠程計算設備上執(zhí)行、或者完全在遠程計算設備或服務器上執(zhí)行。在涉及遠程計算設備的情形中,遠程計算設備可以通過任意種類的網絡一一包括局域網(LAN)或廣域網(WAN) —連接到用戶計算設備,或者,可以連接到外部計算設備(例如利用因特網服務提供商來通過因特網連接)。
[0260]應當注意,盡管在上文詳細描述中提及了用于計算惡意指數(shù)或者更新惡意指數(shù)的設備的若干裝置或子裝置,但是這種劃分僅僅并非強制性的。實際上,根據(jù)本發(fā)明的實施方式,上文描述的兩個或更多裝置的特征和功能可以在一個裝置中具體化。反之,上文描述的一個裝置的特征和功能可以進一步劃分為由多個裝置來具體化。
[0261]此外,盡管在附圖中以特定順序描述了本發(fā)明方法的操作,但是,這并非要求或者暗示必須按照該特定順序來執(zhí)行這些操作,或是必須執(zhí)行全部所示的操作才能實現(xiàn)期望的結果。附加地或備選地,可以省略某些步驟,將多個步驟合并為一個步驟執(zhí)行,和/或將一個步驟分解為多個步驟執(zhí)行。
[0262]雖然已經參考若干【具體實施方式】描述了本發(fā)明的精神和原理,但是應該理解,本發(fā)明并不限于所公開的【具體實施方式】,對各方面的劃分也不意味著這些方面中的特征不能組合以進行受益,這種劃分僅是為了表述的方便。本發(fā)明旨在涵蓋所附權利要求的精神和范圍內所包括的各種修改和等同布置。
【主權項】
1.一種計算惡意指數(shù)的方法,包括: 檢測到第N次攻擊行為時,確定與所述第N次攻擊行為所對應的互聯(lián)網協(xié)議IP地址,計算所述第N次攻擊行為發(fā)生時的第一時間點當前所屬的第一周期; 計算與所述IP地址相關的第N-1次攻擊行為發(fā)生時的第二時間點所屬的第二周期,及在所述第N-1次攻擊行為執(zhí)行完時得到的第一惡意指數(shù),所述第二時間點位于所述第一時間點之前; 根據(jù)所述第一惡意指數(shù)、所述第一周期和所述第二周期,計算在所述第N次攻擊行為執(zhí)行完成時得到的第二惡意指數(shù)。2.如權利要求1所述的方法,若所述第一周期與所述第二周期為不同的周期,根據(jù)所述第一惡意指數(shù)、所述第一周期和所述第二周期,計算在所述第N次攻擊行為執(zhí)行完成時得到的第二惡意指數(shù),包括: 計算得到的第二惡意指數(shù)滿足如下規(guī)則: EIl=EI2*(l/2)'(ml-m2)+l 其中,所述EIl為所述第二惡意指數(shù),所述EI2為所述第一惡意指數(shù),所述ml為所述第一周期,所述m2為所述第二周期。3.如權利要求1或2所述的方法,若所述第一周期與所述第二周期為相同的周期,所述第二惡意指數(shù)等于所述第一惡意指數(shù)加I。4.一種計算惡意指數(shù)的裝置,包括: 檢測單元,用于檢測攻擊行為; 確定單元,用于確定與第N次攻擊行為所對應的互聯(lián)網協(xié)議IP地址; 計算單元,用于在所述檢測單元檢測到所述第N次攻擊行為時,計算所述第N次攻擊行為發(fā)生時的第一時間點當前所屬的第一周期; 所述計算單元還用于,計算與所述IP地址相關的第N-1次攻擊行為發(fā)生時的第二時間點所屬的第二周期,及在所述第N-1次攻擊行為執(zhí)行完時得到的第一惡意指數(shù),所述第二時間點位于所述第一時間點之前; 所述計算單元還用于,根據(jù)所述第一惡意指數(shù)、所述第一周期和所述第二周期,計算在所述第N次攻擊行為執(zhí)行完成時得到的第二惡意指數(shù)。5.如權利要求4所述的裝置,若所述第一周期與所述第二周期為不同的周期,所述計算單元根據(jù)所述第一惡意指數(shù)、所述第一周期和所述第二周期,計算在所述第N次攻擊行為執(zhí)行完成時得到的第二惡意指數(shù)時,具體為: 所述計算單元計算得到的第二惡意指數(shù)滿足如下規(guī)則: EIl=EI2*(l/2)'(ml-m2)+l 其中,所述EIl為所述第二惡意指數(shù),所述EI2為所述第一惡意指數(shù),所述ml為所述第一周期,所述m2為所述第二周期。6.如權利要求4或5所述的裝置,若所述第一周期與所述第二周期為相同的周期,所述第二惡意指數(shù)等于所述第一惡意指數(shù)加I。7.—種計算惡意指數(shù)的方法,包括: 檢測到攻擊行為時,確定所述攻擊行為對應的互聯(lián)網協(xié)議IP地址; 根據(jù)所述IP地址獲取所述IP地址對應的記錄的惡意指數(shù);以及 基于記錄的惡意指數(shù),計算并更新所述IP地址對應的惡意指數(shù)。8.一種計算惡意指數(shù)的裝置,包括: 檢測單元,用于檢測攻擊行為; 確定單元,用于在所述檢測單元檢測到攻擊行為時,確定所述攻擊行為對應的互聯(lián)網協(xié)議IP地址; 獲取單元,用于根據(jù)所述IP地址獲取所述IP地址對應的記錄的惡意指數(shù);以及 計算單元,用于基于記錄的惡意指數(shù),計算并更新所述IP地址對應的惡意指數(shù)。9.一種更新惡意指數(shù)的方法,包括: 使惡意指數(shù)隨時間衰減;以及 當檢測到有攻擊行為時,使惡意指數(shù)增加。10.—種更新惡意指數(shù)的裝置,包括: 惡意指數(shù)衰減單元,用于使惡意指數(shù)隨時間衰減; 檢測單元,用于檢測攻擊行為; 惡意指數(shù)增加單元,用于當檢測到有攻擊行為時,使惡意指數(shù)增加。
【文檔編號】H04L29/06GK105871834SQ201610187740
【公開日】2016年8月17日
【申請日】2016年3月29日
【發(fā)明人】沈明星
【申請人】杭州朗和科技有限公司