【技术实现步骤摘要】
恶意设备识别方法、装置、存储介质和计算机设备
本申请涉及计算机
,特别是涉及一种恶意设备识别方法、装置、存储介质和计算机设备。
技术介绍
在互联网领域,服务器每天都要处理大量的请求,其中有一些请求为恶意请求,会造成服务器资源的占用。例如,恶意用户常采用程序化方式批量登录社交应用进行广告推送。这样就会给社交应用服务器带来极大的压力,同时也会严重影响正常用户对社交应用的使用体验。传统识别恶意请求的方式主要是通过扫描服务器访问日志来统计每个IP地址的访问次数,将访问次数超过阈值的IP地址对应的设备判定为恶意请求设备。然而,对于同一设备采用不同IP地址、局域网内多个设备共用同一IP地址的情形,笼统基于IP地址访问次数识别恶意设备,常使恶意设备识别准确性较低。
技术实现思路
基于此,有必要针对恶意设备识别准确性低的技术问题,提供一种恶意设备识别方法、装置、存储介质和计算机设备。一种恶意设备识别方法,包括:在监控时段内接收到的每个数据报文中提取时间戳字段;根据各数据报文的时间戳,...
【技术保护点】
1.一种恶意设备识别方法,包括:/n在监控时段内接收到的每个数据报文中提取时间戳字段;/n根据各数据报文的时间戳,确定每个数据报文所来自设备的启动时间;/n按照所述启动时间,确定来自各设备的数据报文的数量;其中,启动时间满足时间匹配条件的不同数据报文来自于相同的设备;/n当所确定数据报文的数量达到恶意设备判定条件时,将相应数据报文所来自设备标记为恶意设备。/n
【技术特征摘要】
1.一种恶意设备识别方法,包括:
在监控时段内接收到的每个数据报文中提取时间戳字段;
根据各数据报文的时间戳,确定每个数据报文所来自设备的启动时间;
按照所述启动时间,确定来自各设备的数据报文的数量;其中,启动时间满足时间匹配条件的不同数据报文来自于相同的设备;
当所确定数据报文的数量达到恶意设备判定条件时,将相应数据报文所来自设备标记为恶意设备。
2.根据权利要求1所述的方法,其特征在于,所述根据各数据报文的时间戳,确定每个数据报文所来自设备的启动时间包括:
确定每个所述数据报文的接收时间以及对应的源IP地址和源端口;
根据具有相同源IP地址和源端口的不同数据报文的接收时间和时间戳,确定各数据报文所来自设备的启动时间。
3.根据权利要求2所述的方法,其特征在于,所述根据具有相同源IP地址和源端口的不同数据报文的接收时间和时间戳,确定各数据报文所来自设备的启动时间包括:
计算目标的数据报文的接收时间与另一个具有相同源IP地址和源端口的数据报文的接收时间的第一时差;
计算所述目标的数据报文的时间戳与所述另一个具有相同源IP地址和源端口的数据报文的时间戳的第二时差;
根据所述第一时差、第二时差以及所述目标的数据报文的接收时间,确定所述目标的数据报文所来自设备的启动时间。
4.根据权利要求3所述的方法,其特征在于,所述根据所述第一时差、第二时差以及所述目标的数据报文的接收时间,确定所述目标的数据报文所来自设备的启动时间包括:
根据第一时差与第二时差的比值,确定所述目标的数据报文的时钟周期;
基于所述时钟周期以及所述目标的数据报文的时间戳,计算所述目标的数据报文所来自设备的运行时长;
根据所述运行时长和所述目标的数据报文的接收时间,确定所述目标的数据报文所来自设备的启动时间。
5.根据权利要求1所述的方法,其特征在于,所述按照所述启动时间,确定来自各设备的数据报文的数量包括:
根据所述启动时间生成相应设备的设备标识;
确定每个设备标识对应设备在所述监控时段发出的数据报文的数量。
6.根据权利要求5所述的方法,其特征在于,所述根据所述启动时间生成相应设备的设备标识包括:
在所述数据报文中提取流量特征字段;
将所述流量特征字段与所述数据报文对应设备的启动时间进行拼接;
将拼接得到的字符串确定为所述设备的设备标识。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
获取多个历史报文;
在所述历史报文中提取通用的字段名;
将所述通用的字段名确定为流量特征字段名;
所述在所述数据报文中提取流量特征字段包括:
在所述数据报文中提取每个流量特征字段名对应的流量特征字段值。
8.根据权利要求1所述的方法,其特征在于,...
【专利技术属性】
技术研发人员:欧阳婷,杨勇,张杰,廖晨,李龙,李韬,郑力枪,黄楠驹,夏雄风,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。