2. 技术
  3. 网络流量的障碍成本的确定方法、装置及电子设备与流程

网络流量的障碍成本的确定方法、装置及电子设备与流程

allin2023-01-22  94


1.本技术涉及网络安全领域,特别涉及一种网络流量的障碍成本的确定方法、装置及电子设备。


背景技术:

2.网络流量是指互联网网络应用产品上用户访问产生的数据,其通常可以区分为正常流量和异常流量。其中,异常流量通常是由黑产所制造的流量,例如,通过自动化脚本批量注册账号的行为,可能为后续黑产攻击行为囤积账号资源。因此,区分正常流量和异常流量显的尤为重要。
3.目前,发明专利cn113269378a提供一种用于区分正常流量和异常流量的方法,具体是根据下述公式计算得到当前流量的风险预测值price(price=cost-risk+delta,其中,cost为流量的历史风险预测值,risk为流量的额外成本,delta为流量的障碍成本),并根据风险预测值price的大小区分正常流量和异常流量。
4.但是,由于上述计算流量的障碍成本delta的验证程序为预设的,即使用一种固定的验证程序进行验证,因此,在实际使用过程中,存在该预设程序过于单一,不能适用于一些特殊途径产生的流量(例如,不适用通过模拟器产生的流量),从而导致对流量的障碍成本计算不准确,进而导致流量区分的准确性低,以及网络资源的浪费问题。


技术实现要素:

5.有鉴于此,本技术实施例的目的在于提供一种网络流量的障碍成本的确定方法、装置及电子设备。用于解决流量的障碍成本计算不准确所导致的流量区分的准确性较低,以及网络资源的浪费的问题。
6.具体包括:第一方面,本技术实施例提供了一种网络流量的障碍成本的确定方法,该方法包括:获取目标流量的标签特征、目标流量的端口信息和目标流量的路由器信息;目标流量的标签特征,为通过终端埋点所反馈的标签,用于表征用户操作终端的信息。根据目标流量的标签特征、目标流量的端口信息、目标流量的路由器信息和黑产成本表,确定目标流量的估值;该黑产成本表为根据专家系统、黑产数据行情和黑产市场的供需关系,统一构建实时黑产成本数据库的输出表;该黑产成本表,用于表征黑产流量途径与使用黑产流量途径所产生的成本之间的对应关系。根据该目标流量的估值,推送与该目标流量的估值对应的目标验证程序。在该目标流量通过该目标验证程序验证的时间大于或等于第一时间阈值情况下,将该目标验证程序的破解成本确定为目标流量的障碍成本。其中,该第一时间阈值为根据目标验证程序的历史平均破译时间、目标验证程序的安全等级和目标流量的端口信息共同确定的,该第一时间阈值用于表征破译目标验证程序的标准时间。
7.可选的,所述根据目标流量的标签特征、目标流量的端口信息、目标流量的路由器信息和黑产成本表,确定目标流量的估值,包括:
按照目标周期,再次获取目标流量的标签特征,该目标周期根据终端的类型和目标流量的端口信息确定。
8.若两次获取的该目标流量的标签特征相同,则根据该目标流量的标签特征和该黑产成本表的对应关系,确定该目标流量的估值;若两次获取的该目标流量的标签特征不相同,则根据该目标流量的端口信息和该目标流量的路由器信息,确定该目标流量的估值。
9.可选的,目标流量的端口信息包括:ip地址、端口号和传输协议;所述目标流量的路由器信息包括:netflow信息。所述若两次获取的该目标流量的标签特征不相同,则根据该目标流量的端口信息和该目标流量的路由器信息,确定该目标流量的估值,包括:根据目标流量的ip地址、端口号和传输协议,确定目标流量的来源途径,并通过在黑产成本表中查询相同或满足第一目标条件的目标流量的来源途径所对应的成本价格,将其作为目标流量的第一估值。根据该netflow 信息构建多维特征空间,并使用最小生成树聚类法分类,并根据每种分类与该黑产成本表的对应关系,确定目标流量的第二估值。将该目标流量的第一估值和该目标流量的第二估值的算数平均数,确定为目标流量的估值。
10.可选的,所述根据目标流量的估值,推送与目标流量的估值对应的目标验证程序,包括:根据目标流量估值,确定该目标流量估值所属的目标估值区间;根据该目标估值区间确定该目标验证程序。其中,每个估值区间对应一个安全等级,每个安全等级对应一个目标验证程序。
11.可选的,在所述获取目标流量的标签特征、目标流量的端口信息和目标流量的路由器信息之前,本技术实施例提供了一种网络流量的障碍成本的确定方法还包括:获取当前网页的预期估值,该预期估值用于表征黑产攻击该当前网站后所获得的利益。
12.将目标验证程序的破解成本确定为目标流量的障碍成本之后,所述方法还包括:将该当前网页的预期估值减去该目标流量的障碍成本的值,确定为成本价值差。
13.可选的,在将所述当前网页的预期估值减去目标流量的障碍成本的值,确定为成本价值差之后,本技术实施例提供了一种网络流量的障碍成本的确定方法还包括:若该成本价值差小于或等于目标阈值,保持所述目标流量的障碍成本;若该成本价值差大于目标阈值,按照目标增加函数,更新目标流量的障碍成本,直至该成本价值差小于或等于该目标阈值,将最后一次更新的目标流量的障碍成本,确定为目标流量的障碍成本。其中,该目标增加函数为时间衰减函数的反函数乘以目标系数得到,该目标系数由目标验证程序的安全等级确定。
14.第二方面,本技术实施例提供了一种网络流量的障碍成本的确定装置,该装置包括:获取模块和处理模块。
15.获取模块,用于获取目标流量的标签特征、目标流量的端口信息和目标流量的路由器信息;该目标流量的标签特征,为通过终端埋点所反馈的标签,用于表征用户操作终端的信息。
16.处理模块,用于根据该获取模块获取的目标流量的标签特征、目标流量的端口信息、目标流量的路由器信息和黑产成本表,确定目标流量的估值;该黑产成本表为根据专家系统、黑产数据行情和黑产市场的供需关系,统一构建实时黑产成本数据库的输出表;该黑产成本表,用于表征黑产流量途径与使用该黑产流量途径所产生的成本之间的对应关系。
17.处理模块,还用于根据该目标流量的估值,推送与该目标流量的估值对应的目标
验证程序。
18.处理模块,还用于在该目标流量通过该目标验证程序验证的时间大于或等于第一时间阈值情况下,将该目标验证程序的破解成本确定为目标流量的障碍成本。
19.其中,该第一时间阈值用于表征破译该目标验证程序的标准时间。
20.可选的,目标流量的端口信息包括:ip地址、端口号和传输协议;目标流量的路由器信息包括:netflow 信息。
21.处理模块,具体用于按照目标周期,再次获取目标流量的标签特征,该目标周期根据终端的类型和该目标流量的端口信息确定。
22.处理模块,还用于若两次获取的目标流量的标签特征相同,则根据目标流量的标签特征和黑产成本表的对应关系,确定目标流量的估值。
23.处理模块,还用于若两次获取的目标流量的标签特征不相同,根据目标流量的ip地址、端口号和传输协议,确定目标流量的来源途径,并通过在黑产成本表中查询相同或满足第一目标条件的目标流量的来源途径所对应的成本价格,将其作为目标流量的第一估值;并根据该netflow 信息构建多维特征空间,并使用最小生成树聚类法分类,并根据每种分类与该黑产成本表的对应关系,确定目标流量的第二估值;以及将该目标流量的第一估值和该目标流量的第二估值的算数平均数,确定为目标流量的估值。
24.第三方面,本技术实施例提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序;其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如第一方面所述方法。
25.第四方面,本技术实施例提供了一种计算机可读存储介质,其上存储有可执行指令,所述可执行指令被处理器执行时使处理器执行如第一方面所述方法。
26.本技术实施例提供一种网络流量的障碍成本的确定方法,该方法包括:获取目标流量的标签特征、目标流量的端口信息和目标流量的路由器信息;目标流量的标签特征,为通过终端埋点所反馈的标签,用于表征用户操作终端的信息。根据目标流量的标签特征、目标流量的端口信息、目标流量的路由器信息和黑产成本表,确定目标流量的估值;该黑产成本表为根据专家系统、黑产数据行情和黑产市场的供需关系,统一构建实时黑产成本数据库的输出表;该黑产成本表,用于表征黑产流量途径与使用黑产流量途径所产生的成本之间的对应关系。根据该目标流量的估值,推送与该目标流量的估值对应的目标验证程序。在该目标流量通过该目标验证程序验证的时间大于或等于第一时间阈值情况下,将该目标验证程序的破解成本确定为目标流量的障碍成本。其中,该第一时间阈值为根据目标验证程序的历史平均破译时间、目标验证程序的安全等级和目标流量的端口信息共同确定的,该第一时间阈值用于表征破译目标验证程序的标准时间。通过该方案,一方面,与现有技术中没有对障碍成本的精确计算相比,本技术的技术方案可以通过目标流量的标签特征、端口信息、路由器信息,以及黑产成本表来确定目标流量的估值,推送与目标流量的估值对应的目标验证程序;并当目标流量通过目标验证程序验证的时间大于或等于第一时间阈值时,将目标验证程序的破解成本确定为目标流量的障碍成本,进而可以实现对目标流量的障碍成本的精确计算。另一方面,通过判断所确定的目标流量的估值对应的目标验证程序的验
证时间,并在该验证时间大于或等于破译目标验证程序的标准时间(即第一时间阈值)的情况下,将目标验证程序的破解成本确定为目标流量的障碍成本。如此,实现对流量的障碍成本的精确计算,可以提高流量区分的准确性(即,通过price=cost-risk+delta计算结果更加准确,使得正常流量和异常流量的区分也更加精准),从而可以实行对异常流量加强防护,对正常流量减少验证的针对性的防护,进而有效避免网络资源的浪费。
附图说明
27.为了更清楚地说明本技术实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳务的前提下,还可以根据这些附图获得其他的附图。通过附图所示,本技术的上述及其它目的、特征和优势将更加清晰。在全部附图中相同的附图标记指示相同的部分。并未刻意按实际尺寸等比例缩放绘制附图,重点在于示出本技术的主旨。
28.图1示出了根据本技术实施例提供的网络流量的障碍成本的确定方法的流程示意图之一;图2示出了根据本技术实施例提供的网络流量的障碍成本的确定方法的流程示意图之二;图3示出了根据本技术实施例提供的网络流量的障碍成本的确定方法的流程示意图之三;图4示出了根据本技术实施例提供的网络流量的障碍成本的确定方法的流程示意图之四;图5示出了根据本技术实施例提供的网络流量的障碍成本的确定装置的结构示意图;图6示出了根据本技术实施例提供的电子设备的结构示意图。
具体实施方式
29.以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
30.在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。这里使用的词语“一”、“一个(种)”和“该”等也应包括“多个”、“多种”的意思,除非上下文另外明确指出。此外,在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
31.在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
32.网络流量,是指互联网网络应用产品上用户访问产生的数据,其通常可以区分为正常流量和异常流量。其中,正常流量是用户正常访问企业网站所产生出的流量,企业通常会通过给予激励的方式鼓励生成这类流量的用户。而异常流量通常是黑产所制造出的流
量。例如,黑产通过自动化脚本批量注册账号的行为,从而为后续黑产攻击行为囤积账号资源,直接使用或者转卖;又例如,黑产通过各种途径拿到泄漏的账号密码,再到其他大网站进行自动化登录的行为,从而实现撞库盗号。
33.异常流量会在企业网站中长期伪装,在到达特定时间点时并发性的进行获利和攻击行为,造成企业大面积损失,并且妨碍了正常流量的访问,甚至导致企业网站的服务瘫痪,对于异常流量需要进行标记或封禁处理。
34.现有发明专利cn113269378a提供一种用于区分正常流量和异常流量的方法,具体是根据下述公式计算得到当前流量的风险预测值price(price=cost-risk+delta,其中,cost为流量的历史风险预测值,risk为流量的额外成本,delta为流量的障碍成本)。而本技术提供一种网络流量的障碍成本的确定方法、装置及电子设备,用于优化上述公式中流量的障碍成本delta计算不准确的问题。即,本技术的使用场景是基于发明专利cn113269378a中流量的障碍成本的计算方法的优化。
35.鉴于此,本技术实施例的目的在于提供一种网络流量的障碍成本的确定方法、装置、电子设备及可读存储介质,以下结合附图详细描述本技术实施例公开的内容。
36.如图1所示,本技术实施例提供一种网络流量的障碍成本的确定方法,具体包括下述步骤101至步骤104。
37.步骤101、电子设备获取目标流量的标签特征、目标流量的端口信息和目标流量的路由器信息。
38.其中,上述目标流量的标签特征,为通过终端埋点所反馈的标签,用于表征用户操作终端的信息。
39.可选的,本技术实施例中,上述标签特征用于在用户的网页端或app端埋点所返回的参数的标签,用于表征用户操作终端的信息。
40.具体的,首先,通过在客户网页端或app的埋点,获取用户操作终端的信息,该信息包括一下至少一项:用户的鼠标轨迹、浏览器数据、http传输数据、设备数据等各类数据。然后,这些返回数据的标签特征可以指示用户对终端的操作参数。例如,返回数据所带的标签为“鼠标”,那么该标签特征就是“鼠标特征”,用于表征用户在终端操作鼠标的信息(具体包括鼠标轨迹和鼠标点击次数等)。
41.可选的,本技术实施例中,上述目标流量的端口信息包括:ip地址、端口号和传输协议的三元组信息。上述目标流量的路由器信息包括:netflow 信息,该netflow 信息从路由器(即,目标流量接入网络的路由器)上获得到,可通过分析主机在传输层的行为模式对目标流量进行分类。具体分类方式可以参考下述步骤102c2中的具体描述,此处不再赘述。
42.步骤102、电子设备根据目标流量的标签特征、目标流量的端口信息、目标流量的路由器信息和黑产成本表,确定目标流量的估值。
43.其中,上述黑产成本表为根据专家系统、黑产数据行情和黑产市场的供需关系,统一构建实时黑产成本数据库的输出表。该黑产成本表,用于表征黑产流量途径与使用黑产流量途径所产生的成本之间的对应关系。
44.可选的,本技术实施例中,上述黑产数据行情和黑产市场的供需关系,通过黑产聚集的社群、论坛、telegram、暗网等获取最新的各类流量异常事件的最新成本价格,监控黑产产业链中成本价格行情,并统一构建实时黑产成本数据库根据黑产所采用的技术手段
(该技术手段用于产生黑产流量)分类获得的输出表。
45.可选的,结合图1,如图2所示,上述步骤102具体可以通过下述步骤102a至步骤102c实现。其中,下述步骤102b和步骤102c择一执行。
46.步骤102a、电子设备按照目标周期,再次获取目标流量的标签特征。
47.其中,上述目标周期根据终端的类型和目标流量的端口信息确定。
48.可选的,本技术实施例中,上述目标周期为根据终端的类型和目标流量的端口信息确定的。具体的,首先,对于一些常见目标流量的端口信息均对应一个周期区间,电子设备先根据目标流量的端口信息确定该目标周期的范围。然后,电子设备根据终端的类型在上述周期的范围内确定一个具体的周期,确定规则为:若该终端为具有三元组信息的移动设备,则将该周期范围内的最小值确定为目标周期;若该终端为三元组信息不完整的虚拟设器,则将该周期范围内的最大值确定为目标周期;若该终端为其他类型,则将该周期范围的中位数确定为目标周期。
49.步骤102b、若两次获取的目标流量的标签特征相同,则电子设备根据目标流量的标签特征和黑产成本表的对应关系,确定目标流量的估值。
50.需要说明的是,在一个目标周期内连续两次获取的目标流量的标签特征相同,则说明该目标流量不是采用技术生成的随机撞库的流量,且该流量的标签特征具有一致性,因此,可以根据该标签特征确定目标流量的途径来源,将该途径在黑产成本表中对应的成本数据,确定为目标流量的估值。
51.此外,若连续两次获取的目标流量的标签特征确定的目标流量途径不再黑产成本表的目录中,则增设该目录,通过遍历黑产数据行情和黑产市场的供需关系的数据库使用估计算法,计算得到一个该目标流量途径的成本数据,作为该目标流量的估值。
52.步骤102c、若两次获取的目标流量的标签特征不相同,则电子设备根据目标流量的端口信息和目标流量的路由器信息,确定目标流量的估值。
53.可选的,本技术实施例中,上述目标流量的端口信息包括:ip地址、端口号和传输协议。目标流量的路由器信息包括:netflow 信息。上述步骤102c具体可以通过下述步骤102c1至步骤102c3实现。
54.步骤102c1、根据目标流量的ip地址、端口号和传输协议,确定目标流量的来源途径,并通过在黑产成本表中查询相同或满足第一目标条件的目标流量的来源途径所对应的成本价格,将其作为目标流量的第一估值。
55.可选的,上述第一目标条件为,按照:ip地址、端口号、传输协议的先后顺序查询黑产成本表,将查询得到的第一个黑产成本值输出,后续查询动作停止执行。
56.具体的,若通过目标流量的ip地址、端口号和传输协议能够确定目标流量的来源途径,则将该流量途径对应的黑产成本表中的价格确定为目标流量的第一估值。若通过目标流量的ip地址、端口号和传输协议不能够确定目标流量的来源途径,则按照:ip地址、端口号、传输协议的先后顺序查询黑产成本表,将第一个查询到的黑产成本值确定为目标流量的第一估值成本。若按照ip地址、端口号、传输协议的先后顺序查询未能确定第一估值成本,则将目标预设值作为第一估值成本。其中,该目标预设值为黑产成本表的所有黑产成本的平均值。
57.步骤102c2、根据netflow信息构建多维特征空间,并使用最小生成树聚类法分类,
并根据每种分类与黑产成本表的对应关系,确定目标流量的第二估值。
58.需要说明的是,上述多维特征空间具体可以根据所获取的netflow信息包含或能够处理得到的特征数量确定。
59.本技术实施例,基于源地址、目的地址、源自治域、目的自治域、流入接口号、流出接口号、源端口、目的端口和协议类型9个特征构造9维特征空间,并使用最小生成树聚类法进行分类,从而确定目标流量属于那种来源途径的分类,进而将该分类结果对应的黑产成本,确定为目标流量的第二估值。
60.步骤102c3、将目标流量的第一估值和目标流量的第二估值的算数平均数,确定为目标流量的估值。
61.可以理解的是,将目标流量的第一估值和目标流量的第二估值的算数平均数,确定为目标流量的估值,从而可以综合考虑使得目标流量的估值更加准确,进而可以使得流量的障碍成本计算更加准确。
62.步骤103、电子设备根据目标流量的估值,推送与目标流量的估值对应的目标验证程序。
63.可选的,本技术实施例中,上述步骤103具体可以通过下述步骤103a和步骤103b实现。
64.步骤103a、电子设备根据目标流量估值,确定目标流量估值所属的目标估值区间。
65.其中,每个估值区间对应一个安全等级,每个安全等级对应一个目标验证程序。
66.需要说明的是,每个估值区间与一个预设的安全等级一一对应,每一个安全等级对应一个目标验证程序。也就是说,每一个估值区间,仅对应一个目标验证程序。例如,一个估值区间为(2,4),则该区间(2,4)对应的安全等级为2级,对应的验证程序为拼图验证程序。
67.步骤103b、电子设备根据目标估值区间确定目标验证程序。
68.具体的,首先,电子设备可以判断该目标估值所属的估值区间;然后,电子设备可以将该估值区间唯一对应确定的目标验证程序确定为目标验证程序。
69.需要说明的是,若上述估值区间的平均值越小,该区间对应的安全等级越低,进而对应的验证程序也相对容易。若估值区间的平均值越大,该区间对应的安全等级越高,进而对应的验证程序也相对困难。而这些对应关系的设定可以为预先设定初始值,然后在运行过程中进行多次迭代使其更加准确。
70.步骤104、在目标流量通过目标验证程序验证的时间大于或等于第一时间阈值情况下,电子设备将目标验证程序的破解成本确定为目标流量的障碍成本。
71.其中,上述第一时间阈值为根据目标验证程序的历史平均破译时间、目标验证程序的安全等级和目标流量的端口信息共同确定的,第一时间阈值用于表征破译该目标验证程序的标准时间。
72.可选的,本技术实施例中,上述第一时间阈值为根据目标验证程序的历史平均破译时间、目标验证程序的安全等级和目标流量的端口信息共同确定的。
73.具体的,首先,电子设备自身根据目标流量的端口信息确定第一时间补偿量,该第一时间补偿量用于表征使用目标流量的端口信息的时间补偿。然后,根据目标验证程序的安全等级确定衰减因子(该衰减因子为衰减函数输出的瞬时值,用于表征当前时刻的衰减
比例)。最后,将历史平均破译时间加上第一时间补偿量得到的值,乘以该衰减因子得到第一时间阈值。
74.需要说明的是,由于上述第一时间阈值用于表征破译该目标验证程序的标准时间,因此,当目标流量通过目标验证程序验证的时间大于或等于第一时间阈值时,说明黑产破解目标验证程序存在一定障碍,若要继续进行攻击,则必须通过该障碍,进而还需要持续增加攻击成本(即,额外增加通过该障碍的成本)。也就是说,电子设备将目标验证程序的破解的成本确定为目标流量的障碍成本。
75.此外,还可以通过背景技术中的公式price=cost-risk+delta,更加准确地计算当前流量的风险预测值,进而使得正常流量和异常流量的区分也更加精准。
76.可选的,结合图1,如图3所示,在步骤101之前,该网络流量的障碍成本的确定方法还包括步骤105。在步骤104之后,还包括步骤106。
77.步骤105、电子设备获取当前网页的预期估值。
78.其中,上述预期估值用于表征黑产攻击当前网站后所获得的利益。
79.可选的,本技术实施例中,上述当前网页的预期估值用于表征黑产攻击当前网站后所获得的利益,进而可以根据该预期估值的高低判断黑产攻击的概率和攻击的强度。
80.可选的,本技术实施例中,上述当前网页的预期估值的具体方式可以采用分层估值、累计估值和对比估值等。具体可以根据实际需求进行确定,还可以将至少两种估值方式的平均值作为该当前网页的预期估值。
81.可选的,如图3所示,在步骤104之后,还包括步骤106。
82.步骤106、电子设备将当前网页的预期估值减去目标流量的障碍成本的值,确定为成本价值差。
83.需要说明的是,上述成本价值差用于表征黑产攻击后,从当前网页所能获取的实际价值。根据黑产的攻击逻辑,当该成本价值差为正数时,黑产处于获利状态;当该成本价值差为负数时,黑产处于亏损状态。
84.可选的,结合图3,如图4所示,在步骤106之后,本技术实施例所提供的网络流量的障碍成本的确定方法还包括下述步骤107和步骤108。其中,步骤107和步骤108择一执行。
85.步骤107、若成本价值差小于或等于目标阈值,保持目标流量的障碍成本。
86.需要说明的是,上述目标阈值为一个大于零的数。具体的,该目标阈值具体可以根据黑产攻击所使用的技术手段、产生流量的途径、以及时间成本确定。也就是说,当成本价值差小于或等于该目标阈值时,黑产处于亏损状态或获利价值不大的状态,此时,对黑产采用理性经济人假设可以确定,黑产会放弃继续投入更高的成本继续攻击,因此,此时目标流量的障碍成本由于黑产的放弃增加成本而保持不变。
87.可选的,本技术实施例中,上述目标阈值具体可以根据下述方式确定:首先,电子设备给目标阈值的初始值赋值为0;然后,电子设备根据黑产攻击所使用的技术手段和产生流量的途径确定第一校正数值,该第一校正数值为技术手段和产生流量在黑产成本表中对应的成本,再乘以一个比例系数(该比例系数根据技术手段的不同采用不同的预设常数);接着,电子设备根据黑产的攻击持续时长确定第二校正数值,该第二校正数值用于表征黑产成本投入在时间上的衰减;最后,将初始赋值0加上该第一校正数值后的和,再乘以第二校正数值,得到目标阈值。
88.步骤108、若成本价值差大于目标阈值,按照目标增加函数,更新目标流量的障碍成本,直至成本价值差小于或等于目标阈值,将最后一次更新的目标流量的障碍成本,确定为目标流量的障碍成本。
89.其中,上述目标增加函数为时间衰减函数的反函数乘以目标系数得到,该目标系数由目标验证程序的安全等级确定。
90.可选的,本技术实施例中,上述目标系数为目标验证程序的安全等级意义对应,且正相关。即,目标验证程序的安全等级高,则目标系数的数值较大;目标验证程序的安全等级低,则目标系数的数值较小。
91.需要说明的是,若成本价值差大于目标阈值,按照目标增加函数,更新目标流量的障碍成本,每更新一次,进行一次判断(即,判断成本价值差是否小于或等于目标阈值),若判断结果为否,则继续进行更新和判断(由于目标增加函数的存在,每经过一次更新目标流量的障碍成本相较于上一次均有一定幅度的增加);若判断结果为是,则停止更新,将最后一次更新的目标流量的障碍成本,确定为目标流量的障碍成本,并进行输出。
92.本技术实施例提供一种网络流量的障碍成本的确定方法,该方法包括:获取目标流量的标签特征、目标流量的端口信息和目标流量的路由器信息;目标流量的标签特征,为通过终端埋点所反馈的标签,用于表征用户操作终端的信息。根据目标流量的标签特征、目标流量的端口信息、目标流量的路由器信息和黑产成本表,确定目标流量的估值;该黑产成本表为根据专家系统、黑产数据行情和黑产市场的供需关系,统一构建实时黑产成本数据库的输出表;该黑产成本表,用于表征黑产流量途径与使用黑产流量途径所产生的成本之间的对应关系。根据该目标流量的估值,推送与该目标流量的估值对应的目标验证程序。在该目标流量通过该目标验证程序验证的时间大于或等于第一时间阈值情况下,将该目标验证程序的破解成本确定为目标流量的障碍成本。其中,该第一时间阈值为根据目标验证程序的历史平均破译时间、目标验证程序的安全等级和目标流量的端口信息共同确定的,该第一时间阈值用于表征破译目标验证程序的标准时间。通过该方案,一方面,与现有技术中没有对障碍成本的精确计算相比,本技术的技术方案可以通过目标流量的标签特征、端口信息、路由器信息,以及黑产成本表来确定目标流量的估值,推送与目标流量的估值对应的目标验证程序;并当目标流量通过目标验证程序验证的时间大于或等于第一时间阈值时,将目标验证程序的破解成本确定为目标流量的障碍成本,进而可以实现对目标流量的障碍成本的精确计算。另一方面,通过判断所确定的目标流量的估值对应的目标验证程序的验证时间,并在该验证时间大于或等于破译目标验证程序的标准时间(即第一时间阈值)的情况下,将目标验证程序的破解成本确定为目标流量的障碍成本。如此,实现对流量的障碍成本的精确计算,可以提高流量区分的准确性(即,通过price=cost-risk+delta计算结果更加准确,使得正常流量和异常流量的区分也更加精准),从而可以实行对异常流量加强防护,对正常流量减少验证的针对性的防护,进而有效避免网络资源的浪费。
93.基于上述任一实施例,附图5示出了本技术实施例提供的网络流量的障碍成本的确定装置300的结构示意图。该网络流量的障碍成本的确定装置300包括:获取模块301和处理模块302。
94.获取模块301,用于获取目标流量的标签特征、目标流量的端口信息和目标流量的路由器信息;该目标流量的标签特征,为通过终端埋点所反馈的标签,用于表征用户操作终
端的信息。
95.处理模块302,用于根据该获取模块获取的目标流量的标签特征、目标流量的端口信息、目标流量的路由器信息和黑产成本表,确定目标流量的估值;该黑产成本表为根据专家系统、黑产数据行情和黑产市场的供需关系,统一构建实时黑产成本数据库的输出表;该黑产成本表,用于表征黑产流量途径与使用该黑产流量途径所产生的成本之间的对应关系。
96.处理模块302,还用于根据该目标流量的估值,推送与该目标流量的估值对应的目标验证程序。
97.处理模块302,还用于在该目标流量通过该目标验证程序验证的时间大于或等于第一时间阈值情况下,将该目标验证程序的破解成本确定为目标流量的障碍成本。
98.其中,该第一时间阈值用于表征破译该目标验证程序的标准时间。
99.本技术实施例提供的网络流量的障碍成本的确定装置,一方面,与现有技术中没有对障碍成本的精确计算相比,本技术的技术方案可以通过目标流量的标签特征、端口信息、路由器信息,以及黑产成本表来确定目标流量的估值,推送与目标流量的估值对应的目标验证程序;并当目标流量通过目标验证程序验证的时间大于或等于第一时间阈值时,将目标验证程序的破解成本确定为目标流量的障碍成本,进而可以实现对目标流量的障碍成本的精确计算。另一方面,通过判断所确定的目标流量的估值对应的目标验证程序的验证时间,并在该验证时间大于或等于破译目标验证程序的标准时间(即第一时间阈值)的情况下,将目标验证程序的破解成本确定为目标流量的障碍成本。如此,实现对流量的障碍成本的精确计算,可以提高流量区分的准确性(即,通过price=cost-risk+delta计算结果更加准确,使得正常流量和异常流量的区分也更加精准),从而可以实行对异常流量加强防护,对正常流量减少验证的针对性的防护,进而有效避免网络资源的浪费。
100.基于上述任一实施例,附图6示出了本技术实施例提供的电子设备的实体结构示意图,如图4所示,该电子设备可以包括:处理器(processor)410、通信接口(communications interface)420、存储器(memory)430和通信总线440,其中,处理器410,通信接口420,存储器430通过通信总线440完成相互间的通信。处理器410可以调用存储器430中的逻辑指令,以执行如下方法:获取目标流量的标签特征、目标流量的端口信息和目标流量的路由器信息。根据目标流量的标签特征、目标流量的端口信息、目标流量的路由器信息和黑产成本表,确定目标流量的估值。根据该目标流量的估值,推送与该目标流量的估值对应的目标验证程序。在该目标流量通过该目标验证程序验证的时间大于或等于第一时间阈值情况下,将该目标验证程序的破解成本确定为目标流量的障碍成本。其中,该第一时间阈值为根据目标验证程序的历史平均破译时间、目标验证程序的安全等级和目标流量的端口信息共同确定的,该第一时间阈值用于表征破译目标验证程序的标准时间。
101.此外,上述的存储器430中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本技术实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本技术实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器
(rom,read-only memory)、随机存取存储器(ram,random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
102.另一方面,本技术实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的方法,例如包括:获取目标流量的标签特征、目标流量的端口信息和目标流量的路由器信息。根据目标流量的标签特征、目标流量的端口信息、目标流量的路由器信息和黑产成本表,确定目标流量的估值。根据该目标流量的估值,推送与该目标流量的估值对应的目标验证程序。在该目标流量通过该目标验证程序验证的时间大于或等于第一时间阈值情况下,将该目标验证程序的破解成本确定为目标流量的障碍成本。其中,该第一时间阈值为根据目标验证程序的历史平均破译时间、目标验证程序的安全等级和目标流量的端口信息共同确定的,该第一时间阈值用于表征破译目标验证程序的标准时间。
103.以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
104.通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如rom/ram、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
105.最后应说明的是:以上实施例仅用以说明本技术的技术方案,而非对其限制;尽管参照前述实施例对本技术进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本技术各实施例技术方案的精神和范围。

技术特征:
1.一种网络流量的障碍成本的确定方法,其特征在于,所述方法包括:获取目标流量的标签特征、目标流量的端口信息和目标流量的路由器信息;所述目标流量的标签特征,为通过终端埋点所反馈的标签,用于表征用户操作所述终端的信息;根据所述目标流量的标签特征、所述目标流量的端口信息、所述目标流量的路由器信息和黑产成本表,确定目标流量的估值;所述黑产成本表为根据专家系统、黑产数据行情和黑产市场的供需关系,统一构建实时黑产成本数据库的输出表;所述黑产成本表,用于表征黑产流量途径与使用所述黑产流量途径所产生的成本之间的对应关系;根据所述目标流量的估值,推送与所述目标流量的估值对应的目标验证程序;在所述目标流量通过所述目标验证程序验证的时间大于或等于第一时间阈值的情况下,将所述目标验证程序的破解成本确定为目标流量的障碍成本;其中,所述第一时间阈值为根据目标验证程序的历史平均破译时间、所述目标验证程序的安全等级和所述目标流量的端口信息共同确定的,所述第一时间阈值用于表征破译所述目标验证程序的标准时间。2.根据权利要求1所述的网络流量的障碍成本的确定方法,其特征在于,根据所述目标流量的标签特征、所述目标流量的端口信息、所述目标流量的路由器信息和黑产成本表,确定目标流量的估值,包括:按照目标周期,再次获取所述目标流量的标签特征,所述目标周期根据所述终端的类型和所述目标流量的端口信息确定;若两次获取的所述目标流量的标签特征相同,则根据所述目标流量的标签特征和所述黑产成本表的对应关系,确定所述目标流量的估值;若两次获取的所述目标流量的标签特征不相同,则根据所述目标流量的端口信息和所述目标流量的路由器信息,确定所述目标流量的估值。3.根据权利要求2所述的网络流量的障碍成本的确定方法,其特征在于,所述目标流量的端口信息包括:ip地址、端口号和传输协议;所述目标流量的路由器信息包括:netflow 信息;所述若两次获取的所述目标流量的标签特征不相同,则根据所述目标流量的端口信息和所述目标流量的路由器信息,确定所述目标流量的估值,包括:根据所述目标流量的ip地址、端口号和传输协议,确定所述目标流量的来源途径,并通过在所述黑产成本表中查询相同或满足第一目标条件的所述目标流量的来源途径所对应的成本价格,将其作为所述目标流量的第一估值;根据所述netflow 信息构建多维特征空间,并使用最小生成树聚类法分类,并根据每种分类与所述黑产成本表的对应关系,确定所述目标流量的第二估值;将所述目标流量的第一估值和所述目标流量的第二估值的算数平均数,确定为所述目标流量的估值。4.根据权利要求1所述的网络流量的障碍成本的确定方法,其特征在于,所述根据所述目标流量的估值,推送与所述目标流量的估值对应的目标验证程序,包括:根据所述目标流量估值,确定所述目标流量估值所属的目标估值区间;根据所述目标估值区间确定所述目标验证程序;其中,每个估值区间对应一个安全等级,每个安全等级对应一个目标验证程序。
5.根据权利要求1所述的网络流量的障碍成本的确定方法,其特征在于,在所述获取目标流量的标签特征、目标流量的端口信息和目标流量的路由器信息之前,所述方法还包括:获取当前网页的预期估值,所述预期估值用于表征黑产攻击所述当前网站后所获得的利益;将所述目标验证程序的破解成本确定为目标流量的障碍成本之后,所述方法还包括:将所述当前网页的预期估值减去所述目标流量的障碍成本的值,确定为成本价值差。6.根据权利要求5所述的网络流量的障碍成本的确定方法,其特征在于,在所述将所述当前网页的预期估值减去所述目标流量的障碍成本的值,确定为成本价值差之后,所述方法还包括:若所述成本价值差小于或等于目标阈值,保持所述目标流量的障碍成本;若所述成本价值差大于目标阈值,按照目标增加函数,更新所述目标流量的障碍成本,直至所述成本价值差小于或等于所述目标阈值,将最后一次更新的所述目标流量的障碍成本,确定为所述目标流量的障碍成本;其中,所述目标增加函数为时间衰减函数的反函数乘以目标系数得到,所述目标系数由目标验证程序的安全等级确定。7.一种网络流量的障碍成本的确定装置,其特征在于,所述装置包括:获取模块和处理模块;所述获取模块,用于获取目标流量的标签特征、目标流量的端口信息和目标流量的路由器信息;所述目标流量的标签特征,为通过终端埋点所反馈的标签,用于表征用户操作所述终端的信息;所述处理模块,用于根据所述获取模块获取的所述目标流量的标签特征、所述目标流量的端口信息、所述目标流量的路由器信息和黑产成本表,确定所述目标流量的估值;所述黑产成本表为根据专家系统、黑产数据行情和黑产市场的供需关系,统一构建实时黑产成本数据库的输出表;所述黑产成本表,用于表征黑产流量途径与使用所述黑产流量途径所产生的成本之间的对应关系;所述处理模块,还用于根据所述目标流量的估值,推送与所述目标流量的估值对应的目标验证程序;所述处理模块,还用于在所述目标流量通过所述目标验证程序验证的时间大于或等于第一时间阈值情况下,将所述目标验证程序的破解成本确定为目标流量的障碍成本;其中,所述第一时间阈值为根据目标验证程序的历史平均破译时间、所述目标验证程序的安全等级和所述目标流量的端口信息共同确定的,所述第一时间阈值用于表征破译所述目标验证程序的标准时间。8.一种电子设备,其特征在于,包括:一个或多个处理器;存储器,用于存储一个或多个程序;其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如权利要求1至6任一项所述方法。9.一种计算机可读存储介质,其上存储有可执行指令,其特征在于,所述可执行指令被处理器执行时使处理器执行如权利要求1至6任一项所述方法。

技术总结
本申请提供了一种网络流量的障碍成本的确定方法、装置及电子设备,该方法包括:获取目标流量的标签特征、目标流量的端口信息和目标流量的路由器信息。根据目标流量的标签特征、目标流量的端口信息、目标流量的路由器信息和黑产成本表,确定目标流量的估值。根据该目标流量的估值,推送与该目标流量的估值对应的目标验证程序。在该目标流量通过该目标验证程序验证的时间大于或等于第一时间阈值的情况下,将该目标验证程序的破解成本确定为目标流量的障碍成本。其中,该第一时间阈值为根据目标验证程序的历史平均破译时间、该目标验证程序的安全等级和该目标流量的端口信息共同确定的,用于表征破译目标验证程序的标准时间。用于表征破译目标验证程序的标准时间。用于表征破译目标验证程序的标准时间。


技术研发人员:吴渊 吴作志 张颖
受保护的技术使用者:武汉极意网络科技有限公司
技术研发日:2022.06.01
技术公布日:2022/7/5
转载请注明原文地址: https://www.8miu.com/read-4923.html

专利

最新回复(0)