一种邻居IP的确定方法、装置、电子设备及存储介质与流程

本技术涉及网络安全，尤其涉及一种邻居ip的确定方法、装置、电子设备及存储介质。

背景技术：

1、近来，网络攻击类型越来越多，攻击的复杂度和隐秘性也越来越高。以高级持续性威胁(advanced persistent threat，apt)为例，apt是一种网络攻击策略，通常被国家支持的黑客或其他高度组织化的犯罪集团所采用，apt攻击的特点是高度复杂和隐秘，攻击者有充足的资源和时间来规划并执行攻击。

2、相关技术，在已知一个攻击源对应的多个恶意ip的情况下，依赖于每个恶意ip与其他ip之间的信息交互情况，识别恶意ip的多层邻居ip，再利用已知安全ip集合和已知恶意ip集合，从多层邻居ip中剔除已知安全ip和已知恶意ip，得到恶意ip的安全性未知的邻居ip，然后，以所有安全性未知的邻居ip来构建网络的拓扑结构图，再从拓扑结构图中寻找攻击源对应的未知恶意ip。然而，这种方法存在一定的局限性和误报问题，因为有些服务如公共服务，可能因为其广泛的连接性而被错误地标识为恶意ip，从而导致分析结果不准确。

技术实现思路

1、本技术实施例提供一种邻居ip的确定方法、装置、电子设备及存储介质，用以解决相关技术中在寻找恶意ip的安全性未知的邻居ip时，存在的误报率高的问题。

2、第一方面，本技术实施例提供一种邻居ip的确定方法，包括：

3、获取同一攻击源对应的多个已知恶意ip，以每个已知恶意ip为参考ip，获取所述参考ip在一个采集时间段内的网络流；

4、通过加时间窗口的方式，将所述网络流划分成前网络流、中网络流和后网络流；

5、若确定所述后网络流与所述前网络流的状态不同，且所述后网络流与所述参考ip在上一采集时间段的后网络流的状态相同，则将所述中网络流和所述参考ip在上一采集时间段的中网络流均对应的远程ip，确定为疑似引起所述参考ip的状态发送变化的疑似因ip；

6、若任一远程ip被确定为疑似因ip的次数超过第一预设次数，则确定所述远程ip是引起所述参考ip的状态发送变化的因ip，将所述远程ip确定为所述参考ip的邻居ip。

7、在一些实施例中，还包括：

8、若确定所述后网络流与所述前网络流的状态相同，则将所述中网络流和所述参考ip在上一采集时间段的中网络流均对应的远程ip，确定为非疑似因ip；

9、若任一远程ip被确定为非疑似因ip的次数超过第二预设次数，则将所述远程ip确定为安全ip。

10、在一些实施例中，任一网络流的状态包括多种网络参数的参数值，根据以下步骤确定所述后网络流与所述前网络流的状态是否不同：

11、对所述前网络流的每种网络参数的参数值进行浮动，得到所述网络参数的参数值范围；

12、确定所述后网络流的各参数值中未落入对应参数值范围的网络参数种类；

13、若所述网络参数种类大于指定数量，则确定所述后网络流与所述前网络流的状态不同，否则，确定所述后网络流与所述前网络流的状态相同。

14、在一些实施例中，还包括：

15、从所述网络流中选择待查询流；

16、以所述待查询流的流表征数据为事件、所述网络流中位于所述待查询流前的n条流的流表征数据为条件事件，从先验概率表中查询所述事件在所述条件事件下的发生概率，所述先验概率表是根据所述参考ip的历史网络流预先建立的，n为大于零的整数；

17、若所述发生概率小于预设值，或者，没有查询到发生概率，则确定所述待查询流为小概率流，将所述待查询流对应的远程ip确定为所述参考ip的邻居ip。

18、在一些实施例中，还包括：

19、以本轮确定的每个邻居ip为新的参考ip，执行获取所述参考ip在一个采集时间段内的网络流的步骤，直至确定所述已知恶意ip的m层邻居ip，m为大于1的整数。

20、在一些实施例中，还包括：

21、通过至少一种中心性算法，计算各邻居ip在网络中的中心性评分；

22、从中心性评分高于预设分数的邻居ip中剔除安全ip，得到异常ip；

23、将所述异常ip确定为所述攻击源对应的未知恶意ip，并根据所述异常ip的中心性评分，为所述未知恶意ip添加恶意标签。

24、第二方面，本技术实施例提供一种邻居ip的确定装置，包括：

25、获取模块，用于获取同一攻击源对应的多个已知恶意ip，以每个已知恶意ip为参考ip，获取所述参考ip在一个采集时间段内的网络流；

26、划分模块，用于通过加时间窗口的方式，将所述网络流划分成前网络流、中网络流和后网络流；

27、第一确定模块，用于若确定所述后网络流与所述前网络流的状态不同，且所述后网络流与所述参考ip在上一采集时间段的后网络流的状态相同，则将所述中网络流和所述参考ip在上一采集时间段的中网络流均对应的远程ip，确定为疑似引起所述参考ip的状态发送变化的疑似因ip；

28、第二确定模块，用于若任一远程ip被确定为疑似因ip的次数超过第一预设次数，则确定所述远程ip是引起所述参考ip的状态发送变化的因ip，将所述远程ip确定为所述参考ip的邻居ip。

29、第三方面，本技术实施例提供一种电子设备，包括：至少一个处理器，以及与所述至少一个处理器通信连接的存储器，其中：

30、存储器存储有可被至少一个处理器执行的计算机程序，该计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述邻居ip的确定方法。

31、第四方面，本技术实施例提供一种存储介质，当所述存储介质中的计算机程序由电子设备的处理器执行时，所述电子设备能够执行上述邻居ip的确定方法。

32、第五方面，本技术实施例提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现上述邻居ip的确定方法。

33、本技术实施例中，以同一攻击源对应的每个已知恶意ip为参考ip，通过加时间窗口的方式，将参考ip在一个采集时间段内的网络流划分成前网络流、中网络流和后网络流，若后网络流与前网络流的状态不同，且后网络流与参考ip在上一采集时间段的后网络流的状态相同，则将中网络流和参考ip在上一采集时间段的中网络流均对应的远程ip，确定为疑似引起参考ip的状态发送变化的疑似因ip，若任一远程ip被确定为疑似因ip的次数超过第一预设次数，则可将这个远程ip确定为引起参考ip的状态发送变化的因ip，进而将远程ip确定为参考ip的邻居ip。这样，将数次引起恶意ip的状态改变到相同状态的远程ip，确定为引起恶意ip的状态发送变化的因ip，由于恶意ip和因ip之间的这种关系符合控制设备和被控制设备之间的通信特点，而公共服务和被控制设备之间没有这种通信特点，因此，通过这种方式可降低将公共服务对应的ip，误判为安全性未知的邻居ip的概率，从而缩小安全性未知的邻居ip的范围，降低后续从该范围中发现攻击源对应的未知恶意ip的难度。