一种基于业务日志和IP情报的IP溯源方法及系统
文献发布时间:2023-06-19 16:04:54
技术领域
本发明涉及通信技术领域,特别是涉及一种基于业务日志和IP情报的IP溯源方法及系统。
背景技术
近年来,电商产业得到飞速发展,人们足不出户便可购买到心仪的商品。但是与此同时,黑产也悄悄崛起。为了保护企业和用户的利益,需要对黑产进行精确识别。现有技术中,一般是直接对用户IP进行识别判断,以确定其是否为黑产IP,而对于伪装后的黑产IP可能出现误判和错判,从而导致黑产识别效果不理想。
发明内容
本发明的目的是提供一种基于业务日志和IP情报的IP溯源方法及系统,通过对黑产IP进行溯源,实现对黑产IP的有效识别。
为实现上述目的,本发明提供了如下方案:
第一方面,本发明提供了一种基于业务日志和IP情报的IP溯源方法,包括:
根据用户当前登陆IP和业务日志,确定用户当前登陆设备指纹信息,并将所述用户当前登陆IP存储至第一缓存模块;所述用户当前登陆IP与所述业务日志为一一对应;
根据所述用户当前登陆设备指纹信息,确定用户过往登陆IP;
当所述用户过往登陆IP未存储于第二缓存模块且所述用户过往登陆IP属于恶意IP时,确定所述用户过往登陆IP为黑产IP,并将所述用户当前登陆IP更新为所述用户过往登陆IP,然后返回至根据用户当前登陆IP和业务日志,确定用户当前登陆设备指纹信息的步骤,直至满足预设结束条件。
可选地,所述用户过往登陆IP属于恶意IP的确定过程,具体包括:
判断所述用户过往登陆IP是否存储于恶意IP数据库,得到第一判断结果;若所述第一判断结果表示所述用户过往登陆IP存储于恶意IP数据库,则确定所述用户过往登陆IP属于恶意IP;
或者,
当所述用户过往登陆IP未使用目标网络且所述用户过往登陆IP未进行身份验证时,确定所述用户过往登陆IP属于恶意IP;所述目标网络包括互联网数据中心IDC、家庭宽带和企业专线。
可选地,所述方法,还包括:
按照设定形式对所述用户过往登陆IP进行存储;所述设定形式为用户当前登陆IP-用户当前登陆设备指纹信息-用户过往登陆IP的形式。
可选地,所述方法,还包括:
对所述用户当前登陆IP、所述用户当前登陆设备指纹信息和所述用户过往登陆IP进行可视化展示。
可选地,所述方法,还包括:
以所述用户当前登陆IP为核心点,采用辐射布局的方式,对所述用户当前登陆设备指纹信息和所述用户过往登陆IP以无向图的形式进行显示。
可选地,所述业务日志包括用户的登陆账号、登陆时间和登陆位置。
第二方面,本发明提供了一种基于业务日志和IP情报的IP溯源系统,包括:
当前登陆设备指纹信息确定模块,用于根据用户当前登陆IP和业务日志,确定用户当前登陆设备指纹信息,并将所述用户当前登陆IP存储至第一缓存模块;所述用户当前登陆IP与所述业务日志为一一对应;
过往登陆IP溯源模块,用于根据所述用户当前登陆设备指纹信息,确定用户过往登陆IP;
循环溯源模块,用于当所述用户过往登陆IP未存储于第二缓存模块且所述用户过往登陆IP属于恶意IP时,确定所述用户过往登陆IP为黑产IP,并将所述用户当前登陆IP更新为所述用户过往登陆IP,然后返回至根据用户当前登陆IP和业务日志,确定用户当前登陆设备指纹信息的步骤,直至满足预设结束条件。
可选地,在用户过往登陆IP属于恶意IP的确定方面,所述循环溯源模块具体包括:
第一恶意IP确定子模块,用于判断所述用户过往登陆IP是否存储于恶意IP数据库,得到第一判断结果;若所述第一判断结果表示所述用户过往登陆IP存储于恶意IP数据库,则确定所述用户过往登陆IP属于恶意IP;
第二恶意IP确定子模块,用于当所述用户过往登陆IP未使用目标网络且所述用户过往登陆IP未进行身份验证时,确定所述用户过往登陆IP属于恶意IP;所述目标网络包括互联网数据中心IDC、家庭宽带和企业专线。
可选地,所述系统,还包括:
存储模块,用于按照设定形式对所述用户过往登陆IP进行存储;所述设定形式为用户当前登陆IP-用户当前登陆设备指纹信息-用户过往登陆IP的形式。
可选地,所述系统,还包括:
可视化模块,用于对所述用户当前登陆IP、所述用户当前登陆设备指纹信息和所述用户过往登陆IP进行可视化展示。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
根据用户当前登陆IP和业务日志,确定用户当前登陆设备指纹信息,进而确定用户过往登陆IP,当用户过往登陆IP未存储于IP数据库且用户过往登陆IP属于恶意IP时,确定用户过往登陆IP为黑产IP;然后,将用户当前登陆IP更新为用户过往登陆IP,重复上述步骤,以实现对黑产IP的有效识别和溯源。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于业务日志和IP情报的IP溯源方法的流程示意图;
图2为本发明基于业务日志和IP情报的IP溯源系统的结构示意图;
图3为可视化模块的显示示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种基于业务日志和IP情报的IP溯源方法及系统,只要给定一个IP和查询深度,便可查询到与上述IP关联的所有IP,并判断其是否属于黑产IP。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
实施例一
如图1所示,本实施例提供一种基于业务日志和IP情报的IP溯源方法,所述方法包括:
步骤100,根据用户当前登陆IP和业务日志,确定用户当前登陆设备指纹信息,并将所述用户当前登陆IP存储至第一缓存模块;所述用户当前登陆IP与所述业务日志为一一对应。其中,所述业务日志包括用户的登陆账号、登陆时间和登陆位置。所述用户当前登陆设备指纹信息是唯一且不可解析的,其是无语义的字符串;只有字符串数据完全一致时,才可判断两个设备指纹信息相同。而缓存主要起到在算法运行期间临时存储中间数据的作用,在算法运行结束之后,再落于数据库,通过将用户当前登陆IP存储在第一缓存模块,使得在数据调取和存储时不必进行与数据库中数据的交换处理,大大节省了数据调用的时间,也使得读取数据时基本无需等待,提高了效率。
步骤200,根据所述用户当前登陆设备指纹信息,确定用户过往登陆IP。
步骤300,当所述用户过往登陆IP未存储于第二缓存模块且所述用户过往登陆IP属于恶意IP时,确定所述用户过往登陆IP为黑产IP,并将所述用户当前登陆IP更新为所述用户过往登陆IP,然后返回至根据用户当前登陆IP和业务日志,确定用户当前登陆设备指纹信息的步骤,直至满足预设结束条件。
具体地,当用户过往登陆IP未存储于第二缓存模块,但用户过往登陆IP不属于恶意IP时,其所对应的用户当前登陆IP为新用户,因此不能将其确定为黑产IP;当用户过往登陆IP存储于IP数据库,但是属于恶意IP时,也不能将其确定为黑产IP。
进一步地,所述用户过往登陆IP属于恶意IP的确定过程,具体包括:
判断所述用户过往登陆IP是否存储于恶意IP数据库,得到第一判断结果;若所述第一判断结果表示所述用户过往登陆IP存储于恶意IP数据库,则确定所述用户过往登陆IP属于恶意IP;其中恶意IP数据库包括第三方数据库和根据后台已确定的恶意IP所构成的数据库。
或者,
当所述用户过往登陆IP未使用目标网络且所述用户过往登陆IP未进行身份验证时,确定所述用户过往登陆IP属于恶意IP;所述目标网络包括互联网数据中心(InternetData Center,IDC)、家庭宽带和企业专线。
在一个具体实施例中,预设结束条件为查询深度。当确定用户过往登陆IP为黑产IP后,查询深度加一,然后将用户当前登陆IP更新为用户过往登陆IP,并返回至根据用户当前登陆IP和业务日志,确定用户当前登陆设备指纹信息的步骤,重新进行溯源查询;若再次确定用户过往登陆IP为黑产IP,则查询深度继续加一;不断循环迭代,直至查询深度的大小等于预设查询深度后,结束溯源。
所述方法还包括:对所述用户当前登陆IP、所述用户当前登陆设备指纹信息和所述用户过往登陆IP进行可视化展示。
具体地,按照设定形式对所述用户过往登陆IP进行存储;所述设定形式为用户当前登陆IP-用户当前登陆设备指纹信息-用户过往登陆IP的形式。进一步地,所述方法,还包括:以所述用户当前登陆IP为核心点,采用辐射布局的方式,对所述用户当前登陆设备指纹信息和所述用户过往登陆IP以无向图的形式进行显示,如图3所示。
图3中,突出了源IP的核心位置,以用户登陆IP作为图的节点,设备指纹信息作为图的边,对整个溯源过程进行了展示。其中,节点处还展示IP的统计信息和IP的详情信息;IP的统计信息包括登录成功数、登录失败数、失败爆破数、IP性质(IDC、移动网络等等),IP的详情信息包括IP成功登录的账号信息、IP登录失败的账号信息、IP地理位置信息等。
在一个具体实施例中,在可视化方面,还可以设置:(1)选定一个IP统计信息,比如登录成功数,将在每个节点上,根据该指标值的大小,决定该节点颜色绘制的深浅;(2)鼠标悬浮在某个节点上,将自动高亮该节点以及与其直接相连的边,以方便查看;(3)提供缩略图,当节点和边过多导致一屏放不下时,缩略图可以提供全景视角;(4)可以按照IP最后访问系统的时间,在图中只显示给定时间段内的节点和边。
在具体实际应用中,可根据实际需要,对上述展示内容进行改变。
实施例二
如图2所示,本实施例提供一种基于业务日志和IP情报的IP溯源系统,所述系统包括:
当前登陆设备指纹信息确定模块101,用于根据用户当前登陆IP和业务日志,确定用户当前登陆设备指纹信息,并将所述用户当前登陆IP存储至第一缓存模块;所述用户当前登陆IP与所述业务日志为一一对应。
过往登陆IP溯源模块201,用于根据所述用户当前登陆设备指纹信息,确定用户过往登陆IP。
循环溯源模块301,用于当所述用户过往登陆IP未存储于第二缓存模块且所述用户过往登陆IP属于恶意IP时,确定所述用户过往登陆IP为黑产IP,并将所述用户当前登陆IP更新为所述用户过往登陆IP,然后返回至根据用户当前登陆IP和业务日志,确定用户当前登陆设备指纹信息的步骤,直至满足预设结束条件。
具体地,在用户过往登陆IP属于恶意IP的确定方面,所述循环溯源模块具体包括:
第一恶意IP确定子模块,用于判断所述用户过往登陆IP是否存储于恶意IP数据库,得到第一判断结果;若所述第一判断结果表示所述用户过往登陆IP存储于恶意IP数据库,则确定所述用户过往登陆IP属于恶意IP;
第二恶意IP确定子模块,用于当所述用户过往登陆IP未使用目标网络且所述用户过往登陆IP未进行身份验证时,确定所述用户过往登陆IP属于恶意IP;所述目标网络包括互联网数据中心IDC、家庭宽带和企业专线。
在具体实施例中,所述系统,还包括存储模块和可视化模块。
存储模块,用于按照设定形式对所述用户过往登陆IP进行存储;所述设定形式为用户当前登陆IP-用户当前登陆设备指纹信息-用户过往登陆IP的形式。
可视化模块,用于对所述用户当前登陆IP、所述用户当前登陆设备指纹信息和所述用户过往登陆IP进行可视化展示。可根据需要增加时间、地点等内容的展示。
相对于现有技术,本发明还具有以下优点:
(1)本发明能够实现对黑产IP的有效识别和溯源。具体来说,1)在黑客通过特殊手段登陆用户后台,且不需要身份验证的情况下,通过本发明提供的方法能够识别出其IP存储于恶意IP数据库或者其未进行身份验证,并将其确定为恶意IP,实现了有效识别;2);对于一直处于登陆状态的用户,其切换IP,而不需要身份验证的情况下,通过本发明提供的方法能够识别出其所采用的登陆设备指纹信息相同,不属于黑产IP,防止了可能出现的误判;3)用户进行身份验证时,若是验证,则不会溯源,若是没有验证成功的情况下,则进行溯源追寻。
(2)现有技术中对于黑产的识别以前大多是人工判断,耗时耗力,本发明所提供的的基于业务日志和IP情报的IP溯源方法及系统,能够对黑产IP进行智能化和自动化识别。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。