【技术实现步骤摘要】
一种可疑宽带账号的识别方法及装置
[0001]本申请涉及网络安全
,尤其涉及一种可疑宽带账号的识别方法及装置。
技术介绍
[0002]目前运营商的宽带服务仍以网络地址转换(Network Address Translation,NAT)后的全球公网互联网协议(Internet Protocol,IP)地址作为用户的对外暴露地址,用户的对外暴露地址会随着用户的上下线的行为进行动态变化,且存在多个用户共用一个公网IP地址。
[0003]当前的互联网反欺诈、攻击溯源、安全防护的场景中发现,攻击者通过频繁上下线的行为来变更自身的公网IP地址,从而更改攻击者的网络痕迹,以实现逃避跟踪,因此亟需一种识别方法,以及时有效的掌握攻击者的网络痕迹,为后续的溯源和防护技术发展带来新的方向。
技术实现思路
[0004]本申请实施例提供一种可疑宽带账号的识别方法及装置,用以解决由于攻击者通过频繁上下线行为造成无法进行溯源和跟踪的问题。
[0005]本申请实施例提供的具体技术方案如下:
[0006]第一方...
【技术保护点】
【技术特征摘要】 【专利技术属性】
1.一种可疑宽带账号的识别方法,其特征在于,包括:在接收到上网记录信息后,若确定所述上网记录信息包括的待识别账号未包含在危险账号清单和可疑账号清单中,则基于所述上网记录信息包括的上网状态信息,以及所述待识别账号的历史行为特征,对所述待识别账号的上下线行为进行分析,得到所述待识别账号的实时行为特征;在确定所述实时行为特征与异常行为特征集合匹配后,将所述待识别账号发送至关联的业务服务器,其中,所述异常行为特征集合是基于决策树分析模型确定的,所述决策树分析模型是基于所述危险账号清单中各个危险账号的异常行为特征进行训练后得到的;在基于所述业务服务器返回的识别结果确定所述待识别账号是危险账号后,对所述待识别账号进行监控,并持续将所述待识别账号的公网IP地址和端口分配信息同步至安全设备,以使所述安全设备对所述待识别账号进行溯源和/或跟踪。2.如权利要求1所述的方法,其特征在于,通过执行如下操作,确定所述上网记录信息包括的待识别账号是否包含在所述危险账号清单和所述可疑账号清单中:采用分布式流数据流引擎Flink集群,从所述危险账号清单中查找所述待识别账号;在确定从所述危险账号清单中未查找到所述待识别账号时,采用所述Flink集群,从所述可疑账号清单中查找所述待识别账号;在确定从所述可疑账号清单中未查找到所述待识别账号时,确定所述上网记录信息包括的待识别账号未包含在所述危险账号清单和所述可疑账号清单中。3.如权利要求1所述的方法,其特征在于,所述在接收到上网记录信息后,所述方法包括:若确定所述上网记录信息包括的待识别账号包含在所述可疑账号清单中,则将所述待识别账号发送至关联的业务服务器;在基于所述业务服务器返回的识别结果,确定所述待识别账号是危险账号后,对所述待识别账号进行监控,并持续将所述待识别账号的公网IP地址和端口分配信息同步至安全设备。4.如权利要求1所述的方法,其特征在于,所述决策树分析模型是通过如下方式训练得到的:基于训练样本集合对待训练的决策树分析模型进行多轮迭代训练,直至满足预设的收敛条件为止,并将最后一轮输出的决策树分析模型作为训练完毕的决策树分析模型,其中,在一轮迭代训练过程中,执行以下操作:将从所述训练样本集合中获取的各个危险账号的样本行为特征,分别输入待训练的决策树分析模型,得到对应所述各个危险账号的异常行为特征分析结果;基于所述对应所述各个危险账号的异常行为特征分析结果,与各自对应的样本标签的比对结果,确定损失值;基于所述损失值,对所述待训练的决策树分析模型的模型参数进行调整;其中,所述训练样本集合包括的每个危险账号的样本行为特征是分析对应危险账号的上网记录信息的上下线行为得到的。5.如权利要求1
‑
技术研发人员:刘紫千,常力元,顾庆崴,余启明,孙福兴,王大伟,陈林,刘长波,
申请(专利权)人:天翼安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。