可疑互联网协议地址发现方法、用户设备、存储介质及装置制造方法及图纸

本发明专利技术公开了可疑互联网协议地址发现方法、用户设备、存储介质及装置。本发明专利技术中获取网络请求中的互联网协议地址及对应的浏览器标识；根据所述互联网协议地址及对应的浏览器标识形成原始无向图；根据所述原始无向图生成高密子图，并确定高密子图的可疑度；若输出高密子图的可疑度高于预设阈值，抓取高密子图对应的互联网协议地址作为可疑互联网协议地址。本发明专利技术中通过将两个看似毫无关联的独立变量联合起来分析，充分挖掘两者之间的内在联系，不会对公网ip，基站ip等正常的量大的ip造成误封。因为两个变量的现实资源都是有限的，黑产在使用这些资源的过程中必然会形成高密子图，因而本方案不会被黑产绕过。

Suspicious Internet Protocol Address Discovery Method, User Equipment, Storage Media and Devices

The invention discloses a suspicious Internet protocol address discovery method, user equipment, storage medium and device. The invention obtains the Internet protocol address and corresponding browser identification in the network request; forms the original undirected graph according to the Internet protocol address and the corresponding browser identification; generates the high-density subgraph according to the original undirected graph, and determines the suspicion of the high-density subgraph; if the suspicion of the output high-density subgraph is higher than the preset threshold, grabs the Internet Association corresponding to the high-density subgraph. The conference address serves as the suspicious Internet protocol address. In the present invention, by combining two seemingly unrelated independent variables and analyzing them, the intrinsic relationship between the two variables can be fully excavated, and the normal large amount of IP such as network IP and base station IP will not be misencapsulated. Because the real resources of the two variables are limited, the black production will inevitably form high density subgraphs in the process of using these resources, so the scheme will not be bypassed by the black production.

【技术实现步骤摘要】
可疑互联网协议地址发现方法、用户设备、存储介质及装置
本专利技术涉及网络安全领域，尤其涉及可疑互联网协议地址发现方法、用户设备、存储介质及装置。
技术介绍
现有的技术方案都是基于ip(InternetProtocolAddress，互联网协议地址)，账户或浏览器的访问量和访问频次来发现异常数据。现有的基于ip，账户或浏览器流量的技术方案的缺点在于：这种方案存在比较高的误封率，尤其是对基站ip和公网ip存在很高的误封。同时，黑产可以很容易的绕过这种检测方案，比如通过养号，或者扩大ip库和浏览器标示库的方式来降低使用量和使用频率的时候，这个方案就无效了。上述内容仅用于辅助理解本专利技术的技术方案，并不代表承认上述内容是现有技术。
技术实现思路
本专利技术的主要目的在于提供可疑互联网协议地址发现方法、用户设备、存储介质及装置，旨在提高发现异常数据的可靠性和安全性。为实现上述目的，本专利技术提供一种可疑互联网协议地址发现方法，所述可疑互联网协议地址发现方法包括以下步骤：获取网络请求中的互联网协议地址及对应的浏览器标识；根据所述互联网协议地址及对应的浏览器标识形成原始无向图；根据所述原始无向图生成高密子图，并确定高密子图的可疑度；若输出高密子图的可疑度高于预设阈值，抓取高密子图对应的互联网协议地址作为可疑互联网协议地址。优选地，所述根据所述互联网协议地址及对应的浏览器标识形成原始无向图之后、所述根据所述原始无向图生成高密子图，并确定高密子图的可疑度之前，所述可疑互联网协议地址发现方法还包括：对所述高密子图的边进行对数标准化处理。优选地，所述对所述高密子图的边进行对数标准化处理，包括：对所述高密子图的边采用预设公式进行对数标准化处理；其中，预设公式为：eij＝eij/log(dj+c)，其中eij为高密子图中第i个互联网协议地址、第j个浏览器标识连接的次数，dj为第j个浏览器标识的度，c为常量。优选地，所述根据所述原始无向图生成高密子图，并确定高密子图的可疑度，包括：将原始无向图输入贪婪算法进行计算，输出高密子图；通过评估算法确定高密子图的可疑度。优选地，在所述根据所述原始无向图生成高密子图，并确定高密子图的可疑度之后，包括：若输出高密子图的可疑度低于预设阈值，则对高密子图进行归一化处理生成目标无向图；将目标无向图输入贪婪算法进行计算，输出高密子图；根据原始无向图及高密子图判断原始无向图是否被历遍；若否，则返回至所述对所述高密子图的边进行对数标准化处理的步骤。优选地，所述在若输出高密子图的可疑度高于预设阈值，抓取高密子图对应的互联网协议地址作为可疑互联网协议地址之后，包括：对可疑互联网协议地址进行封禁，并将该可疑互联网协议地址反馈至预设终端。优选地，所述在若输出高密子图的可疑度高于预设阈值，抓取高密子图对应的互联网协议地址作为可疑互联网协议地址之后，包括：根据原始无向图及高密子图判断原始无向图是否被历遍；若否，则返回至所述对所述高密子图的边进行对数标准化处理的步骤。为实现上述目的，本专利技术提出一种用户设备，所述用户设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行可疑互联网协议地址发现程序，所述可疑互联网协议地址发现程序被所述处理器执行时实现如上所述的可疑互联网协议地址发现方法的步骤。为实现上述目的，本专利技术提出一种存储介质，所述存储介质上存储有可疑互联网协议地址发现程序，所述可疑互联网协议地址发现程序被处理器执行时实现如上所述的可疑互联网协议地址发现方法的步骤。为实现上述目的，本专利技术提出一种可疑互联网协议地址发现装置，所述可疑互联网协议地址发现装置包括：获取模块，用于获取网络请求中的互联网协议地址及对应的浏览器标识；生成模块，用于根据所述互联网协议地址及对应的浏览器标识形成原始无向图；确定模块，用于根据所述原始无向图生成高密子图，并确定高密子图的可疑度；抓取模块，用于若输出高密子图的可疑度高于预设阈值，抓取高密子图对应的互联网协议地址作为可疑互联网协议地址。本专利技术技术方案通过利用网络请求中的互联网协议地址及对应的浏览器标识生成高密子图，并确定高密子图的可疑度，当可疑度大于预设阈值时，抓取高密子图对应的互联网协议地址作为可疑互联网协议地址。本专利技术技术方案将两个看似毫无关联的独立变量联合起来分析，充分挖掘两者之间的内在联系，不会对公网ip，基站ip等正常的量大的ip造成误封。因为两个变量的现实资源都是有限的，黑产在使用这些资源的过程中必然会形成高密子图，因而本方案不会被黑产绕过。附图说明图1是本专利技术实施例方案涉及的硬件运行环境的用户设备结构示意图；图2为本专利技术可疑互联网协议地址发现方法第一实施例的流程示意图；图3为本专利技术可疑互联网协议地址发现方法第二实施例的流程示意图；图4为本专利技术可疑互联网协议地址发现装置一实施例的功能模块图。本专利技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。具体实施方式应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。如图1所示，该用户设备可以包括：处理器1001，例如CPU，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如按键，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器，也可以是稳定的存储器(non-volatilememory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。本领域技术人员可以理解，图1中示出的用户设备结构并不构成对用户设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。如图1所示，作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及可疑互联网协议地址发现程序。在图1所示的用户设备中，网络接口1004主要用于连接外网，与其他网络设备进行数据通信；用户接口1003主要用于连接用户终端，与终端进行数据通信；本专利技术用户设备通过处理器1001调用存储器1005中存储的可疑互联网协议地址发现程序，并执行本专利技术实施例提供的可疑互联网协议地址发现的实施方法。所述用户设备可为电脑、服务器等电子设备。基于上述硬件结构，提出本专利技术可疑互联网协议地址发现方法的实施例。参照图2，图2为本专利技术可疑互联网协议地址发现方法第一实施例的流程示意图。在第一实施例中，所述可疑互联网协议地址发现方法包括以下步骤：步骤S10：获取网络请求中的互联网协议地址及对应的浏览器标识；本实施例中互联网协议地址是指IP协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。而浏览器标识则是指UA，UserAgent中文名为用户代理，简称UA，它是一个特殊字符串头，使得服务器能够识别客户使用的操作系统及版本、CPU类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。本实施例中，可通过埋点的方式获取网络请求中的互联网协议地址及对应的浏览器标识。步骤S20：根据所述互联网协本文档来自技高网...

【技术保护点】
1.一种可疑互联网协议地址发现方法，其特征在于，所述可疑互联网协议地址发现方法包括以下步骤：获取网络请求中的互联网协议地址及对应的浏览器标识；根据所述互联网协议地址及对应的浏览器标识形成原始无向图；根据所述原始无向图生成高密子图，并确定高密子图的可疑度；若输出高密子图的可疑度高于预设阈值，抓取高密子图对应的互联网协议地址作为可疑互联网协议地址。

【技术特征摘要】
1.一种可疑互联网协议地址发现方法，其特征在于，所述可疑互联网协议地址发现方法包括以下步骤：获取网络请求中的互联网协议地址及对应的浏览器标识；根据所述互联网协议地址及对应的浏览器标识形成原始无向图；根据所述原始无向图生成高密子图，并确定高密子图的可疑度；若输出高密子图的可疑度高于预设阈值，抓取高密子图对应的互联网协议地址作为可疑互联网协议地址。2.如权利要求1所述的可疑互联网协议地址发现方法，其特征在于，所述根据所述互联网协议地址及对应的浏览器标识形成原始无向图之后、所述根据所述原始无向图生成高密子图，并确定高密子图的可疑度之前，所述可疑互联网协议地址发现方法还包括：对所述高密子图的边进行对数标准化处理。3.如权利要求2所述的可疑互联网协议地址发现方法，其特征在于，所述对所述高密子图的边进行对数标准化处理，包括：对所述高密子图的边采用预设公式进行对数标准化处理；其中，预设公式为：eij＝eij/log(dj+c)，其中eij为高密子图中第i个互联网协议地址、第j个浏览器标识连接的次数，dj为第j个浏览器标识的度，c为常量。4.如权利要求1所述的可疑互联网协议地址发现方法，其特征在于，所述根据所述原始无向图生成高密子图，并确定高密子图的可疑度，包括：将原始无向图输入贪婪算法进行计算，输出高密子图；通过评估算法确定高密子图的可疑度。5.如权利要求2所述的可疑互联网协议地址发现方法，其特征在于，在所述根据所述原始无向图生成高密子图，并确定高密子图的可疑度之后，包括：若输出高密子图的可疑度低于预设阈值，则对高密子图进行归一化处理生成目标无向图；将目标无向图输入贪婪算法进行计算，输出高密子图；根据原始无向图及高密子图判断原...

【专利技术属性】
技术研发人员：张颖，刘忠雨，
申请(专利权)人：武汉极意网络科技有限公司，
类型：发明
国别省市：湖北,42