(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111628976.X (22)申请日 2021.12.28 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 谢传中　张科峰　张静静　郑玉谦　 (74)专利代理 机构 北京柏杉松知识产权代理事 务所(普通 合伙) 11413 代理人 项京　孙翠贤 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种IP分类方法、 系统、 装置、 电子设备及存 储介质 (57)摘要 本发明实施例提供了一种IP分类方法、 系 统、 装置、 电子设备及存储介质， 上述方法包括： 接收日志分析单元发送的待分类信息， 基于每个 外部攻击IP的攻击行为信息， 计算该外部攻击IP 对应的引 流分数； 以及， 基于每个目标IP对应的 各个外部攻击IP的攻击 行为信息， 计算该目标IP 对应的引 流分数； 针对每个外部攻击IP， 如果该 外部攻击IP对应的引流分数大于第一预设分数 阈值， 或该外部攻击IP所攻击的目标IP 对应的引 流分数大于第二预设分数阈值， 确定该外部攻击 为异常IP。 采用该方法解决了 现有的针对网络流 量的分析方法不能适应当前高级安全分析系统 的需求的问题， 实现了对流量数据的保存进行精 确的选择和控制。 权利要求书2页 说明书12页 附图3页 CN 114422202 A 2022.04.29 CN 114422202 A 1.一种IP 分类方法， 其特征在于， 应用于IP分类系统中的IP 分类单元， 所述IP 分类系统 还包括日志分析 单元， 所述方法包括： 接收所述日志分析单元发送的待分类信息， 所述待分类信息包括： 所述日志分析单元 基于安全检测设备的日志信息确定出的各个外部攻击IP、 每个所述外部攻击IP的攻击行为 信息和每 个所述外 部攻击IP所攻击的目标IP； 基于每个所述外部攻击IP的攻击行为信息， 计算该外部攻击IP对应的引流分数； 以及， 基于每个所述目标IP对应的各个所述外部攻击IP的攻击行为信息， 计算该目标IP对应的引 流分数； 针对每个所述外部攻击IP， 如果该外部攻击IP对应的引流分数大于第一预设分数阈 值， 或该外部攻击IP所攻击的目标IP对应的引流分数大于第二预设分数阈值， 确定该外部 攻击为异常IP。 2.根据权利要求1所述的方法， 其特征在于， 在所述确定该外部攻击为异常IP之后， 还 包括： 向高级安全分析设备引流所述异常IP的流 量。 3.根据权利要求1所述的方法， 其特征在于， 所述每个所述外部攻击IP的攻击行为信 息， 计算该外 部攻击IP对应的引流分数， 包括： 确定各个外 部攻击IP的攻击行为信息对应的各个攻击行为； 针对每个攻击行为所属的攻击类型， 确定该攻击行为对应的攻击链阶段系数； 针对每个攻击行为， 基于该攻击行为出现的次数、 该攻击行为所攻击的目标IP属性信 息和被攻击信息， 计算该攻击行为对应的权 重值； 针对每个所述外部攻击IP， 根据该外部攻击IP对应的各个攻击行为对应的权重值和攻 击链阶段系数， 计算该外 部攻击IP对应的引流分数。 4.根据权利要求3所述的方法， 其特征在于， 所述基于每个所述目标IP对应的各个所述 外部攻击IP的攻击行为信息， 计算该目标IP对应的引流分数， 包括： 针对每个所述目标IP， 根据各个外部攻击IP攻击该目标IP的各个攻击行为对应的权重 值和攻击链阶段系数， 计算该目标IP对应的引流分数。 5.一种IP分类系统， 其特 征在于， 包括： 日志分析单元， 用于采集安全检测设备的日志信息， 并基于所述日志信息确定各个外 部攻击IP、 每 个所述外 部攻击IP的攻击行为信息和每 个所述外 部攻击IP所攻击的目标IP； IP分类单元， 用于接收所述日志分析单元发送的待分类信息， 所述待分类信息包括： 所 述日志分析单元基于安全检测设备的日志信息确定出的各个外部攻击IP、 每个所述外部攻 击IP的攻击行为信息和每个所述外部攻击IP所攻击的目标IP； 基于每个所述外部攻击IP的 攻击行为信息， 计算该外部攻击IP对应的引流分数； 以及， 基于每个所述目标IP对应的各个 所述外部攻击IP的攻击行为信息， 计算该目标IP对应的引流分数； 针对每个所述外部攻击 IP， 如果该外部攻击IP对应的引流分数大于第一预设分数阈值， 或该外部攻击IP所攻击的 目标IP对应的引流分数 大于第二预设 分数阈值， 确定该外 部攻击为异常IP。 6.根据权利要求5所述的系统， 其特 征在于， 还 包括： 流量调度单 元， 用于向高级安全分析设备引流所述异常IP的流 量。 7.根据权利要求5所述的系统， 其特征在于， 所述IP分类单元， 具体用于确定各个外部权　利　要　求　书 1/2 页 2 CN 114422202 A 2攻击IP的攻击行为信息对应的各个攻击行为； 针对每个攻击行为所属的攻击类型， 确定该 攻击行为对应的攻击链阶段系数； 针对每个攻击行为， 基于该攻击行为出现的次数、 该攻击 行为所攻击的目标IP属 性信息和被攻击信息， 计算该攻击行为对应的权重值； 针对每个所 述外部攻击IP， 根据该外部攻击IP对应的各个攻击行为对应的权重值和攻击链阶段系数， 计算该外 部攻击IP对应的引流分数。 8.根据权利要求7所述的系统， 其特征在于， 所述IP分类单元， 具体用于针对每个所述 目标IP， 根据各个外部攻击IP攻击该目标IP的各个攻击行为对应的权重值和攻击链阶段系 数， 计算该目标IP对应的引流分数。 9.一种IP 分类装置， 其特征在于， 应用于IP分类系统中的IP 分类单元， 所述IP 分类系统 还包括日志分析 单元， 所述装置包括： 信息接收模块， 用于接收所述日志分析单元发送的待分类信 息， 所述待分类信 息包括： 所述日志分析单元基于安全检测设备的日志信息确定出的各个外部攻击IP、 每个所述外部 攻击IP的攻击行为信息和每 个所述外 部攻击IP所攻击的目标IP； 引流分数计算模块， 用于基于每个所述外部攻击IP的攻击行为信息， 计算该外部攻击 IP对应的引流分数； 以及， 基于每个所述目标IP对应的各个所述外部攻击IP的攻击行为信 息， 计算该目标IP对应的引流分数； IP分类模块， 用于针对每个所述外部攻击IP， 如果该外部攻击IP对应的引流分数大于 第一预设分数阈值， 或该外部攻击IP所攻击的目标IP对应的引流分数大于第二预设分数阈 值， 确定该外 部攻击为异常IP。 10.根据权利要求9所述的装置， 其特 征在于， 还 包括： 引流模块， 用于向高级安全分析设备引流所述异常IP的流 量。 11.根据权利要求9所述的装置， 其特征在于， 所述引流分数计算模块， 具体用于确定各 个外部攻击IP的攻击行为信息对应的各个攻击行为； 针对每个攻击行为所属的攻击类型， 确定该攻击行为对应的攻击链阶段系数； 针对每个攻击行为， 基于该攻击行为出现的次数、 该攻击行为所攻击的目标IP属性信息和被攻击信息， 计算该攻击行为对应的权重值； 针对 每个所述外部攻击IP， 根据该外部攻击IP对应的各个攻击行为对应的权重值和攻击链阶段 系数， 计算该外 部攻击IP对应的引流分数。 12.根据权利要求11所述的装置， 其特征在于， 所述引流分数计算模块， 具体用于针对 每个所述目标IP， 根据各个外部攻击IP攻击该目标IP的各个攻击行为对应的权重值和攻击 链阶段系数， 计算该目标IP对应的引流分数。 13.一种电子设备， 其特征在于， 包括处理器、 通信接口、 存储器和通信总 线， 其中， 处理 器， 通信接口， 存 储器通过通信总线完成相互间的通信； 存储器， 用于存放计算机程序； 处理器， 用于执 行存储器上所存放的程序时， 实现权利要求1 ‑4任一所述的方法步骤。 14.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质内存储有计算机 程序， 所述计算机程序被处 理器执行时实现权利要求1 ‑4任一所述的方法步骤。权　利　要　求　书 2/2 页 3 CN 114422202 A 3