[发明专利]一种基于随机森林的IP定位方法及系统

说明书

本申请公开了一种基于随机森林的IP定位方法及系统，解决了现有的IP定位中IP地址数据库准确性不足，无法满足安全领域对IP定位的精度要求。方法包括：设置至少两个探测服务器作为锚点；通过比对至少两个IP地址数据库，获取至少两个地标；对所有锚点和所有地标间进行网络探测，获取所有锚点和所有地标间的时间延迟信息；根据时间延迟信息进行随机森林训练，得到基于随机森林的IP定位模型；将待查询IP地址输入基于随机森林的IP定位模型，得到待查询IP地址的IP地理位置。

技术领域

本发明涉及网络领域，特别是涉及一种基于随机森林的IP定位方法及系统。

背景技术

IP定位是根据网络设备的IP地址确定设备的具体地理位置，IP定位功能在定位目标、网络安全领域有着至关重要的作用。在网络安全领域中，发起攻击行为计算机的IP地址应的地理位置是安全态势感知非常重要的信息，需要IP定位来发挥作用。

IP定位最常见的方法是查询IP地址数据库，数据库为用户提供了国家、省、市等相关信息，可以通过现有的几个数据库进行比对，寻找出正确的IP定位信息，常见的IP地址数据库是Maxmind GeoIP2和IP2location。

但是，现有的IP地址数据库虽然为用户提供了相关信息，但是IP地址数据库的准确性不足，没有办法满足安全领域对IP定位的精度要求。

发明内容

本发明的目的是提供一种基于随机森林的IP定位方法及系统，利用时间延迟和距离正相关的原理，通过锚点和地标的网络探测得到的每个锚点对地标的时间延迟信息，将时间延迟信息进行随机森林训练得到基于随机森林的IP定位模型，使用基于随机森林的IP定位模型就能通过待查询IP地址定位出IP地理位置，解决了现有的IP定位中IP地址数据库准确性不足，无法满足安全领域对IP定位的精度要求。

本发明第一方面提供一种基于随机森林的IP定位方法，包括：

设置至少两个探测服务器作为锚点，每个锚点具有对应的IP地址及IP地理位置；

通过比对至少两个IP地址数据库，获取至少两个地标，每个地标具有对应的IP地址及IP地理位置；

对所有锚点和所有地标间进行网络探测，获取所有锚点和所有地标间的时间延迟信息；

根据时间延迟信息进行随机森林训练，得到基于随机森林的IP定位模型；

将待查询IP地址输入基于随机森林的IP定位模型，得到待查询IP地址的IP地理位置。

进一步的，对所有锚点和所有地标间进行网络探测，获取所有锚点和所有地标间的时间延迟信息，包括：

对每一个锚点和所有地标间进行网络探测，得到所有锚点到所有地标间的探测时间；

根据探测时间判断是否存在超时回应的超时地标；

若不存在超时地标，则根据探测时间，得到所有锚点和所有地标间的时间延迟信息；

若存在超时地标，则判断超时地标的超时回应次数是否超过第一预置次数；

若未超过第一预置次数，则确定超时地标所处预置区域范围内的区域地标，计算区域地标的探测时间的平均值，将平均值替换为超时地标和对应锚点的探测时间，得到所有锚点和所有地标间的时间延迟信息；

若超过预置次数，通过路由跟踪技术，确定超时地标和对应锚点之间的路由跟踪路径上的路由器，路由器至少为一个；

将路由器代替超时地标进行网络探测，得到所有锚点和所有地标间的时间延迟信息。

进一步的，将所述路由器代替超时地标进行网络探测，得到所有锚点和所有地标间的时间延迟信息，包括：