(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113726783A(43)申请公布日2021.11.30(21)申请号202111012528.7(22)申请日2021.08.31(71)申请人北京知道创宇信息技术股份有限公司地址100000北京市朝阳区阜通东大街1号院5号楼1单元311501室(72)发明人唐华阳(74)专利代理机构北京超凡宏宇专利代理事务所(特殊普通合伙)11463代理人张欣欣(51)Int.Cl.H04L29/06(2006.01)权利要求书2页说明书13页附图4页(54)发明名称异常IP地址识别方法、装置、电子设备及可读存储介质(57)摘要本申请的实施例提供了一种异常IP地址识别方法、装置、电子设备及可读存储介质，涉及计算机领域。该方法包括：获得目标域名在连续的多个预设周期内各自的访问记录集合；将每个访问记录集合中的低频IP地址划分为至少一个IP组，一个IP组中的IP地址对应的访问描述信息所对应的第一访问特征相似；计算相邻预设周期内的每任意两个IP组之间的相似度，该任意两个IP组对应的预设周期不同；根据相似度及多个预设周期的时间先后顺序，确定出IP组序列，一个IP组序列中每相邻的两个IP组对应相邻的两个预设周期；获得每个IP组序列的综合访问特征集，并基于此别该IP组序列中的IP地址是否异常。如此，可识别低频的IP地址是否异常。CN113726783ACN113726783A权利要求书1/2页1.一种异常IP地址识别方法，其特征在于，包括：获得目标域名在连续的多个预设周期内各自的访问记录集合，其中，所述访问记录集合中包括被访问时访问设备所使用的IP地址及访问描述信息；根据所述IP地址及访问描述信息，将每个访问记录集合中的低频IP地址划分为至少一个IP组，其中，一个IP组中的IP地址对应的访问描述信息所对应的第一访问特征相似；计算相邻预设周期内的每任意两个IP组之间的相似度，其中，所述任意两个IP组对应的预设周期不同；根据所述相似度及所述多个预设周期的时间先后顺序，确定出IP组序列，其中，一个IP组序列中每相邻的两个IP组对应相邻的两个预设周期；获得每个IP组序列的综合访问特征集，并根据每个IP组序列的综合访问特征集识别该IP组序列中的IP地址是否异常。2.根据权利要求1所述的方法，其特征在于，所述综合访问特征集包括第一特征和/或第二特征，所述获得每个IP组序列的综合访问特征集，包括：针对每个IP组序列，根据该IP组序列在所属的多个预设周期内的访问描述信息，获得该IP组序列整体在所属的多个预设周期内的第一特征；根据该IP组序列中的各IP地址在该IP组序列所属的多个预设周期内的访问描述信息及该IP组序列中所包括的各IP地址，获得与该IP组序列中的多IP地址相关的第二特征。3.根据权利要求1或2所述的方法，其特征在于，所述综合访问特征集中包括至少一个IP组子序列的综合访问特征，所述获得每个IP组序列的综合访问特征集，并根据每个IP组序列的综合访问特征集识别该IP组序列中的IP地址是否异常，包括：针对每个IP组序列，根据第一预设数量，从该IP组序列中确定出IP组子序列，其中，一个IP组子序列中每相邻的两个IP组对应相邻的两个预设周期，一个IP组子序列所属的预设周期的数量为所述第一预设数量；获得每个IP组子序列的综合访问特征，其中，所述综合访问特征包括IP组子序列整体在所属的多个预设周期内的第一特征和/或与该IP组序列中的多IP地址相关的第二特征；根据每个IP组子序列的综合访问特征，确定该IP组子序列中的IP地址是否为异常IP地址。4.根据权利要求3所述的方法，其特征在于，所述根据每个IP组子序列的综合访问特征，确定该IP组子序列中的IP地址是否为异常IP地址，包括：根据所述综合访问特征及预先训练好的分类模型，确定该IP组子序列中的IP地址是异常IP地址或正常IP地址，其中，所述分类模型根据样本IP组子序列的样本综合访问特征及样本分类结果训练得到。5.根据权利要求1所述的方法，其特征在于，所述获得每个IP组序列的综合访问特征集，并根据每个IP组序列的综合访问特征集识别该IP组序列中的IP地址是否为异常IP地址，包括：获得每个IP组序列所属的预设周期的周期数量；筛选出周期数量大于第二预设数量的IP组序列；获得筛选出的每个IP组序列的综合访问特征集，并根据筛选出的每个IP组序列的综合访问特征集识别该IP组序列中的IP地址是否为异常IP地址。2CN113726783A权利要求书2/2页6.根据权利要求1所述的方法，其特征在于，所述计算相邻预设周期内的每任意两个IP组之间的相似度，包括：根据所述任意两个IP组中的IP地址和/或每个IP组的第二访问特征，计算得到所述相似度，其中，一个IP组的第