一种访问点的筛选方法和装置制造方法及图纸

本方案提供一种访问点的筛选方法，涉及数据处理领域，能够在一定程度上提高被攻击站点的识别准确率。该方法包括：采集至少两个访问点各自对应的被访问次数；根据各个所述访问点的被访问次数和所述访问点的总数量，确定伪造访问点。本方案实施例适用于对伪造数据包相关处理过程中。

A screening method and device for access points

This scheme provides a screening method for access points, which involves the field of data processing, and can improve the recognition accuracy of the attacked sites to a certain extent. The method includes collecting at least two access points corresponding to each access number, and determining the forged access points according to the access times of each access point and the total number of the access points. The implementation of this scheme is suitable for the processing of forged data packets.

【技术实现步骤摘要】
一种访问点的筛选方法和装置
本方案涉及数据处理
，尤其涉及一种访问点的筛选方法和装置。
技术介绍
互联网基于TCP/IP(TransmissionControlProtocol/InternetProtocol，传输控制协议/因特网互联协议)协议进行数据包传输，但是对于被传输的数据包的真伪并没有进行严格控制，即无法识别数据包是否为有效数据包，导致目前互联网充斥着大量伪造数据包。当前伪造数据包的产生原因在于为了找到目标站点的准确位置，需要进行大范围的网络探索，来扫描整个互联网，此时就要伪造出互联网上包含的所有IP地址的数据包，并将这些数据包并行发送，这就造成了互联网上充斥了大量伪造数据包，伪造数据包对于基于真实网络访问数据进行计算和控制的系统有很大影响，在进行数据分析时会使分析出的结果不准确。在现有技术中，对伪造数据的识别方法有以下三种：第一种方法：对目标站点的数据包进行DNS(DomainNameSystem，域名系统)解析，如果解析的IP地址不在目标站点的网络内，则判定访问点接收的数据包为伪造数据包，即该访问点被伪造数据包攻击。第二种方法：基于网络探测类访问是无持续访问需求(即连续访问次数比较低)的前提条件，统计单位时间内目标HOST的访问次数。若访问次数低于某个统一的阈值，就判定在该单位时间内对该目标HOST的访问数据包为伪造数据包。方法三：基于目标HOST不会对伪造访问产生响应的前提条件，检查没有匹配到响应的网络请求均为伪造访问。在实现本方案的过程中，专利技术人发现现有技术至少存在如下问题：在第一种方法中，由于在进行DNS解析时，由于DNS服务器的链路和地域的不同，解析出来的IP地址是不同的，因此通过该方法对访问点是否被伪造数据包攻击进行判断的结果是不准确的。在第二种方法中，由于不同的网络探测方策略不同，探测的规律不同，因此，需要只是用一种阈值来进行检测，准确率很低。在第三种方法中，由于大部分的WEB服务器并未控制只对自己提供服务的主机才有响应，几乎对任何访问都有响应，所以依靠是否具有响应来识别伪造数据包攻击会有极大的漏检率。
技术实现思路
本方案实施例提供的一种访问点的筛选方法和装置，能够在一定程度上提高被攻击站点的识别准确率。第一方面，本方案实施例提供了一种访问点的筛选方法，包括：采集至少两个访问点各自对应的被访问次数；根据各个所述访问点的被访问次数和所述访问点的总数量，确定伪造访问点。如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述根据各个所述访问点的被访问次数和所述访问点的总数量，确定伪造访问点包括：根据所述各个所述访问点的被访问次数和所述访问点的总数量，确定每个所述访问点的被访问次数之间的平坦度，以及，所述访问点的总数量与所述被访问次数的总数量之间的扁平度；根据所述平坦度和所述扁平度，确定所述伪造访问点。如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述根据所述各个所述访问点的被访问次数和所述访问点的总数量，确定每个所述访问点的被访问次数之间的平坦度包括：根据所述各个所述访问点的被访问次数和所述访问点的总数量进行计算，得到各个所述访问点的被访问次数的标准差和平均值；将所述标准差除以所述平均值，得到所述平坦度。如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述根据所述各个所述访问点的被访问次数和所述访问点的总数量，确定所述访问点的总数量与所述被访问次数的总数量之间的扁平度包括：根据所述各个所述访问点的被访问次数和所述访问点的总数量进行计算，得到各个所述访问点的被访问次数的平均值；将所述总数量除以所述平均值，得到所述扁平度。如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述根据所述平坦度和所述扁平度，确定所述伪造访问点包括：当所述平坦度满足第一阈值范围并且所述扁平度满足第二阈值范围时，确定所述至少两个访问点为伪造访问点。如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，在所述确定所述至少两个访问点为伪造访问点之后，还包括：采集包括已确定的伪造访问点在内的至少三个访问点各自对应的被访问次数；根据所述至少三个访问点各自的被访问次数和所述至少三个访问点的总数量，确定新的伪造访问点。如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，当根据所述至少三个访问点各自的被访问次数和所述至少三个访问点的总数量，无法确定新的伪造访问点时，所述方法还包括：采集与所述已确定的伪造访问点完全不同的其它至少两个访问点的被访问次数；以及，根据所述其它两个访问点的被访问次数和所述其它至少两个访问点的总数量，确定伪造访问点。如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，还包括：当所述平坦度不满足第一阈值范围，或，所述扁平度不满足第二阈值范围时，比较所述访问点的总数量与额定数量的大小关系，所述额定数量不小于2；当所述访问点的总数量等于额定数量时，采集与所述至少两个访问点不完全相同的其它至少两个访问点的被访问次数；以及，根据所述其它两个访问点的被访问次数和所述其它至少两个访问点的总数量，确定伪造访问点。如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，在所述采集至少两个访问点各自对应的被访问次数之前，还包括：采集数据包；获取已采集的数据包对应的访问点；根据已采集的数据包对应的访问点，确定各个访问点对应的顶级域名；在对应于同一顶级域名的访问点中选择不小于所述额定数量的访问点。如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，在所述根据各个所述访问点的被访问次数和所述访问点的总数量，确定伪造访问点之后，还包括：从已采集的数据包中获取目标数据包，所述目标数据的目的地址为所述伪造访问点中的一个；采集当前数据流量；对所述数据流量中与所述目标数据包具有相同源地址的数据包进行指定操作。第二方面，本方案实施例还提供了一种访问点的筛选装置，包括：采集单元，用于采集至少两个访问点各自对应的被访问次数；确定单元，用于根据各个所述访问点的被访问次数和所述访问点的总数量，确定伪造访问点。如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述确定单元包括：第一确定子单元，用于根据所述各个所述访问点的被访问次数和所述访问点的总数量，确定每个所述访问点的被访问次数之间的平坦度，以及，所述访问点的总数量与所述被访问次数的总数量之间的扁平度；第二确定子单元，用于根据所述平坦度和所述扁平度，确定所述伪造访问点。如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述第一确定子单元具体用于根据所述各个所述访问点的被访问次数和所述访问点的总数量进行计算，得到各个所述访问点的被访问次数的标准差和平均值；将所述标准差除以所述平均值，得到所述平坦度。如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述第一确定子单元具体用于根据所述各个所述访问点的被访问次数和所述访问点的总数量进行计算，得到各个所述访问点的被访问次数的平均值；将所述总数量除以所述平均值，得到所述扁平度。如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述第二确定子单元具体用于当所述平坦度满足第一阈值范围并且所述扁平度满足第二阈值范围时，确定所述至本文档来自技高网...

【技术保护点】
访问点的筛选方法，其特征在于，包括：采集至少两个访问点各自对应的被访问次数；根据各个所述访问点的被访问次数和所述访问点的总数量，确定伪造访问点。

【技术特征摘要】
1.访问点的筛选方法，其特征在于，包括：采集至少两个访问点各自对应的被访问次数；根据各个所述访问点的被访问次数和所述访问点的总数量，确定伪造访问点。2.根据权利要求1所述的方法，其特征在于，所述根据各个所述访问点的被访问次数和所述访问点的总数量，确定伪造访问点包括：根据所述各个所述访问点的被访问次数和所述访问点的总数量，确定每个所述访问点的被访问次数之间的平坦度，以及，所述访问点的总数量与所述被访问次数的总数量之间的扁平度；根据所述平坦度和所述扁平度，确定所述伪造访问点。3.根据权利要求2所述的方法，其特征在于，所述根据所述各个所述访问点的被访问次数和所述访问点的总数量，确定每个所述访问点的被访问次数之间的平坦度包括：根据所述各个所述访问点的被访问次数和所述访问点的总数量进行计算，得到各个所述访问点的被访问次数的标准差和平均值；将所述标准差除以所述平均值，得到所述平坦度。4.根据权利要求2所述的方法，其特征在于，所述根据所述各个所述访问点的被访问次数和所述访问点的总数量，确定所述访问点的总数量与所述被访问次数的总数量之间的扁平度包括：根据所述各个所述访问点的被访问次数和所述访问点的总数量进行计算，得到各个所述访问点的被访问次数的平均值；将所述总数量除以所述平均值，得到所述扁平度。5.根据权利要求3或4所述的方法，其特征在于，所述根据所述平坦度和所述扁平度，确定所述伪造访问点包括：当所述平坦度满足第一阈值范围并且所述扁平度满足第二阈值范围时，确定所述至少两个访问点为伪造访问点。6.根据权利要求5所述的方法，其特征在于，在所述确定所述至少两个访问点为伪造访问点之后，还包括：采集包括已确定的伪造访问点在内的至少三个访问点各自对应的被访问次数；根据所述至少三个访问点各自的被访问次数和所述至少三个访问点的总数量，确定新的伪造访问点。7.根据权利要求6所述的方法，其特征在于，当根据所述至少三个访问点各自的被访问次数和所述至少三个访问点的总数量，无法确定新的伪造访问点时，所述方法还包括：采集与所述已确定的伪造访问点完全不同的其它至少两个访问点的被访问次数；以及，根据所述其它两个访问点的被访问次数和所述其它至少两个访问点的总数量，确定伪造访问点。8.根据权利要求5所述的方法，其特征在于，还包括：当所述平坦度不满足第一阈值范围，或，所述扁平度不满足第二阈值范围时，比较所述访问点的总数量与额定数量的大小关系，所述额定数量不小于2；当所述访问点的总数量等于额定数量时，采集与所述至少两个访问点不完全相同的其它至少两个访问点的被访问次数；以及，根据所述其它两个访问点的被访问次数和所述其它至少两个访问点的总数量，确定伪造访问点。9.根据权利要求5所述的方法，其特征在于，在所述采集至少两个访问点各自对应的被访问次数之前，还包括：采集数据包；获取已采集的数据包对应的访问点；根据已采集的数据包对应的访问点，确定各个访问点对应的顶级域名；在对应于同一顶级域名的访问点中选择不小于所述额定数量的访问点。10.根据权利要求9所述的方法，其特征在于，在所述根据各个所述访问点的被访问次数和所述访问点的总数量，确定伪造访问点之后，还包括：从已采集的数据包中获取目标数据包，所述目标数据的目的地址为所述伪造访...

【专利技术属性】
技术研发人员：陈文杰，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY