本申請涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域，特別是涉及一種基于網(wǎng)絡(luò)地址識別網(wǎng)絡(luò)訪問來源方法和一種基于網(wǎng)絡(luò)地址識別網(wǎng)絡(luò)訪問來源裝置。

背景技術(shù)：

面對惡意網(wǎng)絡(luò)攻擊，需要根據(jù)發(fā)起攻擊的網(wǎng)絡(luò)地址判斷是否為人工操作，而部署相應(yīng)的防護措施。例如在針對ddos攻擊時，需要根據(jù)發(fā)起連接請求的ip地址(internetprotocoladdress，網(wǎng)際協(xié)議地址)識別訪問來源的類型是人工操作還是程序自動操作，并根據(jù)對訪問來源類型的識別結(jié)果，由防火墻作出允許或拒絕連接的處理，從而減緩該類網(wǎng)絡(luò)攻擊的威脅。

目前對訪問來源類型的識別，主要是通過建立惡意ip數(shù)據(jù)庫，收集并存儲曾參與過惡意網(wǎng)絡(luò)攻擊的ip地址，若監(jiān)測到惡意ip進行連接則進行阻斷。

然而，目前的依賴于惡意ip數(shù)據(jù)庫對訪問來源類型進行識別是一種被動的防御方式，若某個ip未曾參與過惡意網(wǎng)絡(luò)攻擊而未被存儲在數(shù)據(jù)庫中，則無法識別訪問來源類型，也無法進行有效的防御。因此，目前對訪問來源的識別方法存在著防御效率較低的問題。

技術(shù)實現(xiàn)要素：

鑒于上述問題，提出了本申請實施例以便提供一種克服上述問題或者至少部分地解決上述問題的一種基于網(wǎng)絡(luò)地址識別網(wǎng)絡(luò)訪問來源的方法和相應(yīng)的一種基于網(wǎng)絡(luò)地址識別網(wǎng)絡(luò)訪問來源的裝置。

為了解決上述問題，本申請公開了一種基于網(wǎng)絡(luò)地址識別網(wǎng)絡(luò)訪問來源的方法，包括：

查找所述網(wǎng)絡(luò)地址的至少一種網(wǎng)絡(luò)屬性信息；

根據(jù)所述網(wǎng)絡(luò)地址的至少一種網(wǎng)絡(luò)屬性信息識別本次網(wǎng)絡(luò)訪問來源。

可選地，在所述查找所述網(wǎng)絡(luò)地址的至少一種網(wǎng)絡(luò)屬性信息之前，所述 方法還包括：

接收網(wǎng)絡(luò)訪問，并提取所述網(wǎng)絡(luò)訪問的網(wǎng)絡(luò)地址。

可選地，所述方法還包括：

遍歷網(wǎng)絡(luò)空間內(nèi)所有網(wǎng)絡(luò)地址，并采集各網(wǎng)絡(luò)地址分別對應(yīng)的至少一種網(wǎng)絡(luò)屬性信息。

可選地，所述網(wǎng)絡(luò)屬性信息包括網(wǎng)絡(luò)地址所屬網(wǎng)段信息、使用方信息和供應(yīng)方信息中至少一種時，所述網(wǎng)絡(luò)屬性信息通過以下步驟獲?。?/p>

通過訪問網(wǎng)絡(luò)，搜索并下載所述網(wǎng)絡(luò)屬性信息；

和/或，通過查詢網(wǎng)絡(luò)信息服務(wù)器獲取所述網(wǎng)絡(luò)屬性信息。

可選地，所述網(wǎng)絡(luò)屬性信息包括所述網(wǎng)絡(luò)地址的域名信息，所述域名信息通過以下步驟獲取：

訪問域名解析服務(wù)器獲取域名反向解析記錄，并從所述域名反向解析記錄中查找所述網(wǎng)絡(luò)地址的域名信息；

和/或，從全網(wǎng)域名的域名正向解析的解析結(jié)果中，查找對應(yīng)解析結(jié)果為所述網(wǎng)絡(luò)地址的域名信息。

可選地，所述網(wǎng)絡(luò)屬性信息包括網(wǎng)絡(luò)地址所屬網(wǎng)絡(luò)設(shè)備開放的端口信息，所述端口信息通過以下步驟獲取：

調(diào)用端口掃描工具對所述網(wǎng)絡(luò)地址所屬網(wǎng)絡(luò)設(shè)備的端口進行掃描，獲得對應(yīng)的端口信息。

可選地，所述方法還包括：

針對各網(wǎng)絡(luò)地址，將查找的至少一個網(wǎng)絡(luò)屬性信息結(jié)構(gòu)化存儲至對應(yīng)的網(wǎng)絡(luò)屬性文件。

可選地，所述根據(jù)所述網(wǎng)絡(luò)地址的至少一種網(wǎng)絡(luò)屬性信息識別本次網(wǎng)絡(luò)訪問來源包括：

采用針對各網(wǎng)絡(luò)屬性信息配置的識別規(guī)則集，識別本次網(wǎng)絡(luò)訪問來源。

可選地，所述采用針對各網(wǎng)絡(luò)屬性信息配置的識別規(guī)則集，識別本次網(wǎng)絡(luò)訪問來源包括：

針對各網(wǎng)絡(luò)屬性信息，分別與對應(yīng)識別規(guī)則集中各識別規(guī)則進行匹配；

若所述網(wǎng)絡(luò)屬性信息滿足某一識別規(guī)則，則根據(jù)所述網(wǎng)絡(luò)屬性信息判斷所述網(wǎng)絡(luò)地址分別屬于各種網(wǎng)絡(luò)訪問來源的權(quán)重分數(shù)；

根據(jù)各網(wǎng)絡(luò)屬性信息對應(yīng)各識別規(guī)則的權(quán)重分數(shù)，確定所述網(wǎng)絡(luò)地址對應(yīng)的網(wǎng)絡(luò)訪問來源。

可選地，在所述采用所述網(wǎng)絡(luò)屬性信息對應(yīng)的識別規(guī)則識別對應(yīng)的網(wǎng)絡(luò)訪問來源之前，所述方法還包括：

將所述網(wǎng)絡(luò)屬性信息按照信息內(nèi)容進一步分類，并對應(yīng)分類結(jié)果配置對應(yīng)的識別規(guī)則集。

可選地，所述網(wǎng)絡(luò)訪問來源包括提供網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)設(shè)備、通過網(wǎng)絡(luò)供應(yīng)方訪問網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備和通過固定網(wǎng)絡(luò)地址訪問網(wǎng)絡(luò)設(shè)備中至少一種。

可選地，所述方法還包括：

針對識別的網(wǎng)絡(luò)訪問來源，執(zhí)行對應(yīng)配置的網(wǎng)絡(luò)防御策略。

可選地，所述針對識別的網(wǎng)絡(luò)訪問來源，執(zhí)行對應(yīng)配置的網(wǎng)絡(luò)防御策略包括：

若識別所述網(wǎng)絡(luò)地址對應(yīng)的網(wǎng)絡(luò)訪問來源并非通過網(wǎng)絡(luò)供應(yīng)方訪問網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備，則拒絕所述網(wǎng)絡(luò)訪問來源的網(wǎng)絡(luò)訪問。

為了解決上述問題，本申請還公開了一種基于網(wǎng)絡(luò)地址識別網(wǎng)絡(luò)訪問來源的裝置，包括：

網(wǎng)絡(luò)屬性信息查找模塊，用于查找所述網(wǎng)絡(luò)地址的至少一種網(wǎng)絡(luò)屬性信息；

網(wǎng)絡(luò)訪問來源識別模塊，用于根據(jù)所述網(wǎng)絡(luò)地址的至少一種網(wǎng)絡(luò)屬性信息識別本次網(wǎng)絡(luò)訪問來源。

可選地，所述裝置還包括：

網(wǎng)絡(luò)地址提取模塊，用于接收網(wǎng)絡(luò)訪問，并提取所述網(wǎng)絡(luò)訪問的網(wǎng)絡(luò)地址。

可選地，所述裝置還包括：

網(wǎng)絡(luò)空間遍歷模塊，用于遍歷網(wǎng)絡(luò)空間內(nèi)所有網(wǎng)絡(luò)地址，并采集各網(wǎng)絡(luò)地址分別對應(yīng)的至少一種網(wǎng)絡(luò)屬性信息。

可選地，所述網(wǎng)絡(luò)屬性信息包括網(wǎng)絡(luò)地址所屬網(wǎng)段信息、使用方信息和供應(yīng)方信息中至少一種時，所述網(wǎng)絡(luò)屬性信息查找模塊或網(wǎng)絡(luò)空間遍歷模塊包括：

網(wǎng)絡(luò)屬性信息獲取子模塊，用于通過訪問網(wǎng)絡(luò)，搜索并下載所述網(wǎng)絡(luò)屬性信息；

和/或，通過查詢網(wǎng)絡(luò)信息服務(wù)器獲取所述網(wǎng)絡(luò)屬性信息。

可選地，所述網(wǎng)絡(luò)屬性信息包括所述網(wǎng)絡(luò)地址的域名信息，所述網(wǎng)絡(luò)屬性信息查找模塊或網(wǎng)絡(luò)空間遍歷模塊包括：

域名信息查找子模塊，用于訪問域名解析服務(wù)器獲取域名反向解析記錄，并從所述域名反向解析記錄中查找所述網(wǎng)絡(luò)地址的域名信息；

和/或，從全網(wǎng)域名的域名正向解析的解析結(jié)果中，查找對應(yīng)解析結(jié)果為所述網(wǎng)絡(luò)地址的域名信息。

可選地，所述網(wǎng)絡(luò)屬性信息包括網(wǎng)絡(luò)地址所屬網(wǎng)絡(luò)設(shè)備開放的端口信息，所述網(wǎng)絡(luò)屬性信息查找模塊或網(wǎng)絡(luò)空間遍歷模塊包括：

端口信息獲取子模塊，用于調(diào)用端口掃描工具對所述網(wǎng)絡(luò)地址所屬網(wǎng)絡(luò)設(shè)備的端口進行掃描，獲得對應(yīng)的端口信息。

可選地，所述裝置還包括：

結(jié)構(gòu)化存儲模塊，用于針對各網(wǎng)絡(luò)地址，將查找的至少一個網(wǎng)絡(luò)屬性信息結(jié)構(gòu)化存儲至對應(yīng)的網(wǎng)絡(luò)屬性文件。

可選地，所述網(wǎng)絡(luò)訪問來源識別模塊包括：

識別規(guī)則集識別子模塊，用于采用針對各網(wǎng)絡(luò)屬性信息配置的識別規(guī)則集，識別本次網(wǎng)絡(luò)訪問來源。

可選地，所述識別規(guī)則集識別子模塊包括：

識別規(guī)則匹配子單元，用于針對各網(wǎng)絡(luò)屬性信息，分別與對應(yīng)識別規(guī)則集中各識別規(guī)則進行匹配；

權(quán)重分數(shù)判斷子單元，用于若所述網(wǎng)絡(luò)屬性信息滿足某一識別規(guī)則，則根據(jù)所述網(wǎng)絡(luò)屬性信息判斷所述網(wǎng)絡(luò)地址分別屬于各種網(wǎng)絡(luò)訪問來源的權(quán)重分數(shù)；

網(wǎng)絡(luò)訪問來源確定子單元，用于根據(jù)各網(wǎng)絡(luò)屬性信息對應(yīng)各識別規(guī)則的權(quán)重分數(shù)，確定所述網(wǎng)絡(luò)地址對應(yīng)的網(wǎng)絡(luò)訪問來源。

可選地，所述裝置還包括：

信息內(nèi)容分類模塊，用于將所述網(wǎng)絡(luò)屬性信息按照信息內(nèi)容進一步分類，并對應(yīng)分類結(jié)果配置對應(yīng)的識別規(guī)則集。

可選地，所述網(wǎng)絡(luò)訪問來源包括提供網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)設(shè)備、通過網(wǎng)絡(luò)供應(yīng)方訪問網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備和通過固定網(wǎng)絡(luò)地址訪問網(wǎng)絡(luò)設(shè)備中至少一種。

可選地，所述裝置還包括：

網(wǎng)絡(luò)防御策略執(zhí)行模塊，用于針對識別的網(wǎng)絡(luò)訪問來源，執(zhí)行對應(yīng)配置的網(wǎng)絡(luò)防御策略。

可選地，所述網(wǎng)絡(luò)防御策略執(zhí)行模塊包括：

網(wǎng)絡(luò)訪問拒絕子模塊，用于若識別所述網(wǎng)絡(luò)地址對應(yīng)的網(wǎng)絡(luò)訪問來源并非通過網(wǎng)絡(luò)供應(yīng)方訪問網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備，則拒絕所述網(wǎng)絡(luò)訪問來源的網(wǎng)絡(luò)訪問。

本申請實施例包括以下優(yōu)點：

根據(jù)本申請實施例，根據(jù)網(wǎng)絡(luò)地址查找對應(yīng)的多種網(wǎng)絡(luò)屬性信息，并基于多維度的網(wǎng)絡(luò)屬性信息綜合地識別網(wǎng)絡(luò)訪問來源，即使該網(wǎng)絡(luò)地址未曾參與過惡意網(wǎng)絡(luò)攻擊而未被存儲在數(shù)據(jù)庫中，也可以識別出真實的網(wǎng)絡(luò)訪問來源，從而可以進行有效的防御，提升了對惡意網(wǎng)絡(luò)攻擊的防御效率。

附圖說明

圖1是本申請的一種基于網(wǎng)絡(luò)地址識別網(wǎng)絡(luò)訪問來源的方法實施例一的步驟流程圖；

圖2是本申請的一種基于網(wǎng)絡(luò)地址識別網(wǎng)絡(luò)訪問來源的方法實施例二的步驟流程圖；

圖3是本申請的一種基于網(wǎng)絡(luò)地址識別網(wǎng)絡(luò)訪問來源的裝置實施例一的結(jié)構(gòu)框圖；

圖4是本申請的一種基于網(wǎng)絡(luò)地址識別網(wǎng)絡(luò)訪問來源的裝置實施例二的 結(jié)構(gòu)框圖

圖5是一種基于邏輯判斷的結(jié)構(gòu)化存儲網(wǎng)絡(luò)屬性信息的步驟流程圖；

圖6是一種按照網(wǎng)絡(luò)屬性信息的信息內(nèi)容進行分類并配置識別規(guī)則集的示意圖；

圖7是一種基于網(wǎng)段規(guī)模規(guī)則集的權(quán)重分數(shù)計算流程圖。

具體實施方式

為使本申請的上述目的、特征和優(yōu)點能夠更加明顯易懂，下面結(jié)合附圖和具體實施方式對本申請作進一步詳細的說明。

參照圖1，示出了本申請的一種基于網(wǎng)絡(luò)地址識別網(wǎng)絡(luò)訪問來源的方法實施例一的步驟流程圖，具體可以包括如下步驟：

步驟101，查找所述網(wǎng)絡(luò)地址的至少一種網(wǎng)絡(luò)屬性信息。

需要說明的是，網(wǎng)絡(luò)地址可以為ip地址，ip地址是在互聯(lián)網(wǎng)上給主機編碼的方式，通過該編碼方式使得ip地址成為設(shè)備接入互聯(lián)網(wǎng)后的唯一標識，即具有特定ip地址的設(shè)備可以保證在互聯(lián)網(wǎng)中具有唯一性，以便于準確地將信息傳輸?shù)侥繕薸p地址所對應(yīng)的設(shè)備?；诋斍盎ヂ?lián)網(wǎng)，ip地址主要分為ipv4和ipv6兩種類型。

對于給定的網(wǎng)絡(luò)地址，其具有若干對應(yīng)的網(wǎng)絡(luò)屬性信息。網(wǎng)絡(luò)屬性信息可以包括多種類型的信息，例如，網(wǎng)絡(luò)地址的所屬網(wǎng)段信息、使用方信息，供應(yīng)方信息，域名信息，網(wǎng)絡(luò)地址所屬網(wǎng)絡(luò)設(shè)備開放的端口信息、地理位置信息等。例如，對于ip網(wǎng)中的ip地址，可以具有一個whois信息，whois是指與ip地址和該ip地址使用者的相關(guān)信息，可以用于查詢域名的ip以及使用者等信息的傳輸協(xié)議。whois信息可以包含有代表各種信息的字段，例如inetnum字段代表ip地址所屬網(wǎng)段的大小，netname字段代表ip地址申請單位的名稱，descr字段代表ip地址申請單位的描述；ip地址還可以具有域名信息，域名信息可以是給定的ip地址所綁定的域名情況的信息；還可以具有端口信息，端口信息可以是ip地址所屬網(wǎng)絡(luò)的設(shè)備所開放的端口信息；還可以具有網(wǎng)絡(luò)運營商信息，是否為教育網(wǎng)的相關(guān)信息等。

可以預(yù)先獲取網(wǎng)絡(luò)屬性，并存儲在數(shù)據(jù)庫中。網(wǎng)絡(luò)屬性信息的獲取方式 可以有多種，例如，通過訪問網(wǎng)絡(luò)，搜索并下載網(wǎng)絡(luò)屬性信息；或者，通過查詢網(wǎng)絡(luò)信息服務(wù)器獲取網(wǎng)絡(luò)屬性信息；或者查找網(wǎng)絡(luò)地址與網(wǎng)絡(luò)屬性信息的關(guān)系記錄，提取網(wǎng)絡(luò)地址對應(yīng)的網(wǎng)絡(luò)屬性信息；又或者，調(diào)用預(yù)置信息獲取工具獲取網(wǎng)絡(luò)屬性信息。實際應(yīng)用中可以根據(jù)網(wǎng)絡(luò)屬性信息的種類確定具體的獲取方式。例如，針對網(wǎng)絡(luò)地址所屬網(wǎng)段信息、使用方信息和供應(yīng)方信息，可以通過訪問網(wǎng)絡(luò)，搜索并下載的方式采集；針對網(wǎng)絡(luò)地址的域名信息，可以通過訪問域名解析服務(wù)器獲取域名反向解析記錄，并從域名反向解析記錄中查找網(wǎng)絡(luò)地址的域名信息的方式采集。

當然，本領(lǐng)域技術(shù)人員可以根據(jù)實際情況采用一種或多種方式的組合以獲取網(wǎng)絡(luò)屬性信息。

當需要針對某個網(wǎng)絡(luò)訪問進行訪問來源判斷時，可以從網(wǎng)絡(luò)訪問中獲取發(fā)起該訪問的網(wǎng)絡(luò)地址，并利用該網(wǎng)絡(luò)地址在數(shù)據(jù)庫中查找對應(yīng)的網(wǎng)絡(luò)屬性信息。

步驟102，根據(jù)所述網(wǎng)絡(luò)地址的至少一種網(wǎng)絡(luò)屬性信息識別本次網(wǎng)絡(luò)訪問來源。

發(fā)起網(wǎng)絡(luò)訪問的網(wǎng)絡(luò)設(shè)備所具有的網(wǎng)絡(luò)屬性信息，與網(wǎng)絡(luò)設(shè)備具有一定的關(guān)聯(lián)關(guān)系，因此可以基于查找到的網(wǎng)絡(luò)屬性信息識別本次網(wǎng)絡(luò)訪問來源。

網(wǎng)絡(luò)訪問來源主要有數(shù)據(jù)中心、普通寬帶和專用出口三種類型。實際應(yīng)用中，如果網(wǎng)絡(luò)訪問來源于數(shù)據(jù)中心，其為人工操作的概率較低，相應(yīng)地，如果來源于普通寬帶或?qū)Ｓ贸隹?，人工操作的概率則較高。

優(yōu)選地，可以針對各網(wǎng)絡(luò)屬性信息，通過預(yù)設(shè)的識別規(guī)則集進行網(wǎng)絡(luò)屬性信息的匹配，每個網(wǎng)絡(luò)屬性信息配置有對應(yīng)的網(wǎng)絡(luò)訪問來源判斷規(guī)則和網(wǎng)絡(luò)訪問來源權(quán)重分數(shù)，當網(wǎng)絡(luò)屬性信息滿足于識別規(guī)則集中某條規(guī)則，則針對某個網(wǎng)絡(luò)訪問來源添加一個權(quán)重分數(shù)。

例如，識別規(guī)則集中具有一條“判斷網(wǎng)段內(nèi)主機數(shù)量是否大于或等于65536臺，若是則將ip地址的訪問來源判斷為“數(shù)據(jù)中心”或“家庭寬帶”，權(quán)重分數(shù)取值為3”的規(guī)則，根據(jù)ip地址查找到的網(wǎng)段規(guī)模信息滿足該規(guī)則的判斷條件，則可以針對數(shù)據(jù)中心的網(wǎng)絡(luò)訪問來源添加權(quán)重分數(shù)3。以此類 推，可以得到各個網(wǎng)絡(luò)訪問來源的權(quán)重分數(shù)。

根據(jù)規(guī)則集確定各個網(wǎng)絡(luò)訪問來源各自的權(quán)重分數(shù)后，可以進一步計算網(wǎng)絡(luò)訪問來源是人工操作的概率，例如將某個代表著人工操作的網(wǎng)絡(luò)訪問來源的權(quán)重分數(shù)，除以全部網(wǎng)絡(luò)訪問來源所得的權(quán)重分數(shù)總和，作為本次網(wǎng)絡(luò)訪問來源為人工操作的概率。針對于人工操作和非人工操作的惡意網(wǎng)絡(luò)攻擊，可以執(zhí)行不同的防御策略，以有效地保證網(wǎng)絡(luò)安全。

根據(jù)本申請實施例，根據(jù)網(wǎng)絡(luò)地址查找對應(yīng)的多種網(wǎng)絡(luò)屬性信息，并基于多維度的網(wǎng)絡(luò)屬性信息綜合地識別網(wǎng)絡(luò)訪問來源，即使該網(wǎng)絡(luò)地址未曾參與過惡意網(wǎng)絡(luò)攻擊而未被存儲在數(shù)據(jù)庫中，也可以識別出真實的網(wǎng)絡(luò)訪問來源，從而可以進行有效的防御，提升了對惡意網(wǎng)絡(luò)攻擊的防御效率。經(jīng)過經(jīng)過實際應(yīng)用證明，根據(jù)本申請實施例的識別方法，對國內(nèi)家庭寬帶的網(wǎng)絡(luò)地址的識別準確率達到90％以上。

參照圖2，示出了本申請的一種基于網(wǎng)絡(luò)地址識別網(wǎng)絡(luò)訪問來源的方法實施例二的步驟流程圖，具體可以包括如下步驟：

步驟201，遍歷網(wǎng)絡(luò)空間內(nèi)所有網(wǎng)絡(luò)地址，并采集各網(wǎng)絡(luò)地址分別對應(yīng)的至少一種網(wǎng)絡(luò)屬性信息。

可以通過主動探測的方式，遍歷網(wǎng)絡(luò)空間的所有網(wǎng)絡(luò)地址，例如遍歷整ipv4空間內(nèi)的所有ip地址?；诒闅v網(wǎng)絡(luò)空間得到的網(wǎng)絡(luò)地址，可以采集對應(yīng)的網(wǎng)絡(luò)屬性信息。網(wǎng)絡(luò)屬性信息的采集方式可以有多種，實際應(yīng)用中可以根據(jù)網(wǎng)絡(luò)屬性信息的種類具體確定采集方式。例如，針對網(wǎng)絡(luò)地址所屬網(wǎng)段信息、使用方信息和供應(yīng)方信息，可以通過訪問網(wǎng)絡(luò)，搜索并下載的方式采集；針對網(wǎng)絡(luò)地址的域名信息，可以通過訪問域名解析服務(wù)器獲取域名反向解析記錄，并從域名反向解析記錄中查找網(wǎng)絡(luò)地址的域名信息的方式采集。

遍歷網(wǎng)絡(luò)空間的網(wǎng)絡(luò)地址和采集網(wǎng)絡(luò)屬性信息的處理可以預(yù)先進行，將采集的網(wǎng)絡(luò)屬性信息保存于數(shù)據(jù)庫中，待需要針對接收的網(wǎng)絡(luò)訪問進行訪問來源判斷時再從數(shù)據(jù)庫查找和提??；也可以在針對某個網(wǎng)絡(luò)訪問提取了網(wǎng)絡(luò) 地址后，才進行上述的網(wǎng)絡(luò)屬性信息采集處理。本領(lǐng)域技術(shù)人員可以根據(jù)實際情況確定上述步驟的實施時機。作為本申請實施例的優(yōu)選示例一，所述網(wǎng)絡(luò)屬性信息包括網(wǎng)絡(luò)地址所屬網(wǎng)段信息、使用方信息和供應(yīng)方信息中至少一種時，所述網(wǎng)絡(luò)屬性信息可以通過以下步驟獲?。?/p>

步驟s1，通過訪問網(wǎng)絡(luò)，搜索并下載所述網(wǎng)絡(luò)屬性信息。

和/或，子步驟s2，通過查詢網(wǎng)絡(luò)信息服務(wù)器獲取所述網(wǎng)絡(luò)屬性信息。

針對網(wǎng)絡(luò)地址所屬網(wǎng)段信息、使用方信息和/或供應(yīng)方信息等網(wǎng)絡(luò)屬性信息的獲取，可以訪問網(wǎng)絡(luò)，在網(wǎng)絡(luò)中搜索并下載相應(yīng)的信息。例如針對ip地址的whois信息，可以將互聯(lián)網(wǎng)數(shù)字分配機構(gòu)或商業(yè)ip數(shù)據(jù)庫提供的公開數(shù)據(jù)下載，并從中抓取如inetnum、netname、descr等關(guān)鍵字段，獲取到ip地址所屬網(wǎng)段的大小、ip地址申請單位的名稱和ip地址申請單位描述等的信息，或者可以獲取到ip地址的網(wǎng)絡(luò)運營商，是否為教育網(wǎng)等的供應(yīng)方信息。

此外，也可以向網(wǎng)絡(luò)信息服務(wù)器發(fā)送查詢請求，網(wǎng)絡(luò)信息服務(wù)器根據(jù)網(wǎng)絡(luò)地址查找對應(yīng)的網(wǎng)絡(luò)屬性信息并返回，從而獲取網(wǎng)絡(luò)地址的網(wǎng)絡(luò)屬性信息。

作為本申請實施例的優(yōu)選示例二，所述網(wǎng)絡(luò)屬性信息包括所述網(wǎng)絡(luò)地址的域名信息，所述域名信息可以通過以下步驟獲?。?/p>

步驟s3，訪問域名解析服務(wù)器獲取域名反向解析記錄，并從所述域名反向解析記錄中查找所述網(wǎng)絡(luò)地址的域名信息。

和/或，步驟s4，從全網(wǎng)域名的域名正向解析的解析結(jié)果中，查找對應(yīng)解析結(jié)果為所述網(wǎng)絡(luò)地址的域名信息。

針對網(wǎng)絡(luò)地址的域名信息，可以訪問域名解析服務(wù)器，獲取域名反向解析記錄，并從中查找網(wǎng)絡(luò)地址對應(yīng)的域名信息。例如，可以訪問域名信息與ip地址相互映射的分布式數(shù)據(jù)庫dns(domainnamesystem，域名系統(tǒng))，在dns的ptr記錄(pointerrecord，指針記錄)中查找ip地址所映射的域名信息。ptr記錄主要用于電子郵件發(fā)送過程中的反向地址解析。

此外，也可以利用全網(wǎng)域名的域名正向解析的方式，從解析結(jié)果中查找 網(wǎng)絡(luò)地址的域名信息。實際應(yīng)用中，若利用網(wǎng)絡(luò)地址查找網(wǎng)絡(luò)屬性信息，可以直接從解析結(jié)果中查找；若利用采集到的網(wǎng)絡(luò)屬性信息創(chuàng)建數(shù)據(jù)庫，則可以從解析結(jié)果中獲取。例如，獲取全球的域名記錄，對域名進行dns正向解析查詢，獲取所綁定的ip地址，從而建立域名與ip地址之間的關(guān)聯(lián)關(guān)系，在數(shù)據(jù)庫中查找網(wǎng)絡(luò)屬性信息，則可以查找到與ip地址對應(yīng)的域名信息。

實際應(yīng)用中，ptr記錄和正向解析的數(shù)據(jù)分別存儲于兩個不同的數(shù)據(jù)表中，在查詢時可以數(shù)據(jù)表的表名區(qū)分數(shù)據(jù)來源。

作為本申請實施例的優(yōu)選示例三，所述網(wǎng)絡(luò)屬性信息包括網(wǎng)絡(luò)地址所屬網(wǎng)絡(luò)設(shè)備開放的端口信息，所述端口信息可以通過以下步驟獲取：

步驟s5，調(diào)用端口掃描工具對所述網(wǎng)絡(luò)地址所屬網(wǎng)絡(luò)設(shè)備的端口進行掃描，獲得對應(yīng)的端口信息。

針對端口信息，可以調(diào)用nmap(networkmapper，網(wǎng)絡(luò)映射器)、scanport等的端口掃描工具，對網(wǎng)絡(luò)地址所對應(yīng)的網(wǎng)絡(luò)設(shè)備上開放的端口進行掃描，從而獲取網(wǎng)絡(luò)地址對應(yīng)的端口信息。

此外，也可以獲取端口的特征信息。例如，當與遠程主機上的開放端口建立連接發(fā)起特定請求時，遠程主機上偵聽在該端口上的程序會進行響應(yīng)并返回一段報文，該報文中可以包含有能夠辨識偵聽程序的特征信息，該報文也稱為端口指紋，因此，可以將反映端口特征信息的類別的端口指紋獲取。

需要說明的是，上述提供的多種網(wǎng)絡(luò)屬性信息獲取方式，本領(lǐng)域技術(shù)人員可以根據(jù)實際需要采用一種或多種的組合，以獲取所需的網(wǎng)絡(luò)屬性信息。

步驟202，接收網(wǎng)絡(luò)訪問，并提取所述網(wǎng)絡(luò)訪問的網(wǎng)絡(luò)地址。

步驟203，查找所述網(wǎng)絡(luò)地址的至少一種網(wǎng)絡(luò)屬性信息。

針對采集到的網(wǎng)絡(luò)屬性信息，可以將其與網(wǎng)絡(luò)地址對應(yīng)地保存在數(shù)據(jù)庫中，待需要對網(wǎng)絡(luò)訪問來源的進行判斷時，在數(shù)據(jù)庫中查找該網(wǎng)絡(luò)訪問的網(wǎng)絡(luò)地址所對應(yīng)的網(wǎng)絡(luò)屬性信息。

當接收到網(wǎng)絡(luò)訪問，可以從中提取發(fā)起該網(wǎng)絡(luò)訪問的網(wǎng)絡(luò)地址。根據(jù)提取的網(wǎng)絡(luò)地址，查找該網(wǎng)絡(luò)地址的多個網(wǎng)絡(luò)屬性信息。實際應(yīng)用中，可以在確定受到惡意網(wǎng)絡(luò)攻擊時，才觸發(fā)網(wǎng)絡(luò)地址的提取和查找處理。

需要說明的是，通?？梢栽诜?wù)器中設(shè)置有預(yù)處理模塊，用于對網(wǎng)絡(luò)地址的網(wǎng)絡(luò)屬性信息進行獲取、查找等的處理。

作為本申請實施例的優(yōu)選示例，可以針對各網(wǎng)絡(luò)地址，將查找的至少一個網(wǎng)絡(luò)屬性信息結(jié)構(gòu)化存儲至對應(yīng)的網(wǎng)絡(luò)屬性文件。具體地，可以執(zhí)行預(yù)設(shè)的邏輯判斷，將網(wǎng)絡(luò)屬性信息整合為一個結(jié)構(gòu)化數(shù)據(jù)的網(wǎng)絡(luò)屬性文件。

圖5示出了一種基于邏輯判斷的結(jié)構(gòu)化存儲網(wǎng)絡(luò)屬性信息的步驟流程圖，從圖中可以看出，針對查找到的某個ip地址的whois信息，存儲whois信息的netname字段、descr字段和ip地址所在網(wǎng)段whois_range，并判斷whois_range中ip地址的數(shù)量是否大于256個，若否，則ip_range取值為whois_range，若是，則ip_range取值為當前ip地址所在的c段網(wǎng)段。進一步針對查找到的ip地址的端口信息進行存儲，具體存儲ip_range內(nèi)ip地址所對應(yīng)的網(wǎng)絡(luò)設(shè)備開放的端口和端口對應(yīng)的表明端口身份的banner信息。然后針對查找到的ip地址的域名信息進行存儲，具體存儲ip_range內(nèi)ip地址所綁定的域名。最后，存儲ip_range內(nèi)ip地址的運營商信息。經(jīng)過上述的邏輯判斷和結(jié)構(gòu)化存儲處理，得到ip基礎(chǔ)信息結(jié)構(gòu)數(shù)據(jù)。

針對網(wǎng)絡(luò)屬性信息進行結(jié)構(gòu)化存儲，可以提升存儲空間的利用率，同時可以提升網(wǎng)絡(luò)屬性信息的查詢效率。此外，以一定的結(jié)構(gòu)格式存儲于內(nèi)存中，可以將用于獲取、查找網(wǎng)絡(luò)屬性信息的預(yù)處理模塊和用于識別網(wǎng)絡(luò)訪問來源的算法處理模塊解耦，若以后需要新增網(wǎng)絡(luò)屬性信息，只需要將新增信息按照預(yù)定義的結(jié)構(gòu)進行存儲，使得新增信息對算法模塊的影響降低，同時也提升了對網(wǎng)絡(luò)訪問來源識別的可擴展性。

步驟204，將所述網(wǎng)絡(luò)屬性信息按照信息內(nèi)容進一步分類，并對應(yīng)分類結(jié)果配置對應(yīng)的識別規(guī)則集。

不同類型的網(wǎng)絡(luò)屬性信息可以反映出不同的網(wǎng)絡(luò)訪問來源，因此可以按照其信息內(nèi)容進行分類，將同一類的網(wǎng)絡(luò)屬性信息使用該類別對應(yīng)的識別規(guī)則集進行權(quán)重判斷處理。

為了便于本領(lǐng)域技術(shù)人員理解本申請實施例，圖6示出了一種按照網(wǎng)絡(luò)屬性信息的信息內(nèi)容進行分類并配置識別規(guī)則集的示意圖。從圖中可見，可 以將ip基礎(chǔ)信息結(jié)構(gòu)數(shù)據(jù)按照網(wǎng)絡(luò)屬性信息的內(nèi)容，分類成whois信息、網(wǎng)段規(guī)模信息、運營商信息、域名信息和端口信息5個維度的信息，并根據(jù)該分類結(jié)果，對應(yīng)配置若干個規(guī)則集。其中，whois信息、網(wǎng)段規(guī)模信息以及運營商信息是每個ip地址均具備的，可以直接對應(yīng)地配置whois信息特征匹配規(guī)則集、網(wǎng)段規(guī)模規(guī)則集和運營商信息規(guī)則集。域名信息以及端口信息則需要進一步判斷，根據(jù)判斷結(jié)果配置對應(yīng)規(guī)則集。其中，針對存在反向解析域名的域名信息，配置有反向解析域名規(guī)則集；存在綁定域名的域名信息，則配置有綁定域名規(guī)則集。端口信息根據(jù)是否開放upnp(通用即插即用系統(tǒng))服務(wù)端口、ftp(filetransferprotocol，文件傳輸協(xié)議)服務(wù)端口、ssh(secureshell，安全外殼協(xié)議)服務(wù)端口、http(hypertexttransferprotocol，超文本傳輸協(xié)議)服務(wù)端口等服務(wù)端口的判斷結(jié)果，相應(yīng)配置有upnp服務(wù)端口banner規(guī)則集、ftp服務(wù)端口banner規(guī)則集、ssh服務(wù)端口banner規(guī)則集、http服務(wù)端口banner規(guī)則集等的規(guī)則集。

步驟205，采用針對各網(wǎng)絡(luò)屬性信息配置的識別規(guī)則集，識別本次網(wǎng)絡(luò)訪問來源。

網(wǎng)絡(luò)屬性信息配置的識別規(guī)則集可以包含有對各網(wǎng)絡(luò)屬性信息的識別規(guī)則，根據(jù)識別規(guī)則對各網(wǎng)絡(luò)屬性信息進行判斷，符合識別規(guī)則執(zhí)行相應(yīng)的指令，針對某個預(yù)設(shè)網(wǎng)絡(luò)訪問來源添加一個權(quán)重分數(shù)，最后綜合計算出若干個預(yù)設(shè)網(wǎng)絡(luò)訪問來源的權(quán)重分數(shù)，并根據(jù)各個訪問來源的權(quán)重分數(shù)，計算本次網(wǎng)絡(luò)訪問來源是人工操作的概率，從而識別出本次網(wǎng)絡(luò)訪問的來源是人工操作還是程序。

作為本申請實施例的優(yōu)選示例，所述步驟205可以包括以下子步驟：

子步驟s11，針對各網(wǎng)絡(luò)屬性信息，分別與對應(yīng)識別規(guī)則集中各識別規(guī)則進行匹配。

子步驟s12，若所述網(wǎng)絡(luò)屬性信息滿足某一識別規(guī)則，則根據(jù)所述網(wǎng)絡(luò)屬性信息判斷所述網(wǎng)絡(luò)地址分別屬于各種網(wǎng)絡(luò)訪問來源的權(quán)重分數(shù)。

子步驟s13，根據(jù)各網(wǎng)絡(luò)屬性信息對應(yīng)各識別規(guī)則的權(quán)重分數(shù)，確定所述網(wǎng)絡(luò)地址對應(yīng)的網(wǎng)絡(luò)訪問來源。

規(guī)則集可以是由一系列規(guī)則和相對應(yīng)的指令的有序組合。將某個網(wǎng)絡(luò)屬性信息輸入到規(guī)則集中，輸入的網(wǎng)絡(luò)屬性信息將依次與規(guī)則集內(nèi)的規(guī)則進行匹配，當滿足其中某條規(guī)則時，則執(zhí)行該條規(guī)則相應(yīng)的操作指令，針對某個預(yù)設(shè)的網(wǎng)絡(luò)訪問來源添加相應(yīng)的權(quán)重分數(shù)。操作指令可以由判斷類型和權(quán)重分數(shù)兩部分組成，判斷類型為基于該規(guī)則對某個網(wǎng)絡(luò)訪問來源的判斷，實際應(yīng)用中可以是判斷為一種來源或多種來源；權(quán)重分數(shù)代表對該判斷的置信程度，權(quán)重分數(shù)越高，代表該判斷越可靠。操作指令可以是一段指示針對某個判斷類型添加記錄一定權(quán)重分數(shù)的代碼指令，針對不同的網(wǎng)絡(luò)屬性信息，可以根據(jù)實際需求設(shè)定具體的判斷過程和判斷條件，本申請實施例對此不作限制。

為了便于本領(lǐng)域技術(shù)人員理解本申請實施例，圖7示出了基于網(wǎng)段規(guī)模規(guī)則集的權(quán)重分數(shù)計算流程圖。

根據(jù)ip地址查找的網(wǎng)段規(guī)模信息，判斷網(wǎng)段內(nèi)主機數(shù)量是否大于或等于65536臺，若是，則將ip地址的訪問來源判斷為“數(shù)據(jù)中心”或“家庭寬帶”，權(quán)重分數(shù)取值為3，若否，則進一步判斷網(wǎng)段內(nèi)主機數(shù)量是否大于或等于256臺，若是，則不作來源判斷，權(quán)重分數(shù)取值為0，若否，則進一步判斷該ip地址申請單位屬下的主機數(shù)量是否小于或等于512，若是，則判斷為“專用出口”，權(quán)重分數(shù)取值為10，若否，則不作來源判斷。從而，分別針對“數(shù)據(jù)中心”、“家庭寬帶”和“專用出口”這三種網(wǎng)絡(luò)訪問來源，記錄了3、3和10的權(quán)重分數(shù)。以此類推，可以得到各個網(wǎng)絡(luò)訪問來源的權(quán)重分數(shù)。

根據(jù)規(guī)則集確定各個網(wǎng)絡(luò)訪問來源各自的權(quán)重分數(shù)后，可以進一步計算網(wǎng)絡(luò)訪問來源是人工操作的概率。實際應(yīng)用中，如果網(wǎng)絡(luò)訪問來源于數(shù)據(jù)中心，其為人工操作的概率較低，相應(yīng)地，如果來源于普通寬帶或?qū)Ｓ贸隹?，人工操作的概率則較高。因此，可以將數(shù)據(jù)中心該網(wǎng)絡(luò)訪問來源所得的權(quán)重分數(shù)在全部網(wǎng)絡(luò)訪問來源所得的權(quán)重分數(shù)總和中的占比，作為非人工操作的概率，而將該概率與1的差值作為人工操作的概率。此外，還可以利用一個判斷可靠度計算概率，例如，預(yù)設(shè)一個預(yù)設(shè)閾值，當權(quán)重分數(shù)總和大于該預(yù) 設(shè)閾值，判斷可靠度取值為1，代表該判斷完全可靠；當權(quán)重分數(shù)總和小于該預(yù)設(shè)閾值，將權(quán)重分數(shù)總和與預(yù)設(shè)閾值的比值作為判斷可靠度，在計算人工操作概率時，將數(shù)據(jù)中心的權(quán)重分數(shù)在全部網(wǎng)絡(luò)訪問來源所得的權(quán)重分數(shù)總和中的占比，乘以該判斷可靠度。

人工操作的概率可以基于概率算法模型進行計算，具體地，針對ip地址創(chuàng)建三個權(quán)重分數(shù)池，分別對應(yīng)數(shù)據(jù)中心、家庭寬帶和專用出口三種網(wǎng)絡(luò)訪問來源，其初始值均為0。當ip地址的網(wǎng)絡(luò)屬性信息符合某條規(guī)則，則在對應(yīng)的權(quán)重分數(shù)池中添加相應(yīng)的權(quán)重分數(shù)，并利用以下公式求得該ip地址的訪問為人工操作的概率：

其中，p為人工操作的概率，snh為代表非人工操作的網(wǎng)絡(luò)訪問來源的權(quán)重分數(shù)。實際應(yīng)用中，可以將數(shù)據(jù)中心的權(quán)重分數(shù)作為snh。st為所有權(quán)重分數(shù)池的權(quán)重分數(shù)總和，r為對訪問來源判斷的可靠度。t為預(yù)設(shè)閾值，當權(quán)重分數(shù)總和大于該預(yù)設(shè)閾值，可以認為該判斷可靠，反之則可以進行一定的折減。

需要說明的是，可以在服務(wù)器中設(shè)置算法處理模塊，用于利用識別規(guī)則集識別出本次網(wǎng)絡(luò)訪問為人工操作的概率。

步驟206，針對識別的網(wǎng)絡(luò)訪問來源，執(zhí)行對應(yīng)配置的網(wǎng)絡(luò)防御策略。

需要說明的是，網(wǎng)絡(luò)訪問來源可以包括提供網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)設(shè)備、通過網(wǎng)絡(luò)供應(yīng)方訪問網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備和通過固定網(wǎng)絡(luò)地址訪問網(wǎng)絡(luò)設(shè)備中至少一種。

其中，提供網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)設(shè)備可以為數(shù)據(jù)中心，數(shù)據(jù)中心通常指在互聯(lián)網(wǎng)中提供數(shù)據(jù)傳遞、加速、展示、計算、存儲的網(wǎng)絡(luò)設(shè)備，例如web服務(wù)器、數(shù)據(jù)庫服務(wù)器、cdn節(jié)點等的數(shù)據(jù)中心。通過網(wǎng)絡(luò)供應(yīng)方訪問網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備可以為普通寬帶，通常指家庭、中小型機構(gòu)、企業(yè)等利用網(wǎng)絡(luò)運 營商設(shè)置的接入互聯(lián)網(wǎng)的設(shè)備。通過固定網(wǎng)絡(luò)地址訪問網(wǎng)絡(luò)的設(shè)備可以為專用出口，通常指大中型機構(gòu)利用固定ip地址接入互聯(lián)網(wǎng)的設(shè)備。

網(wǎng)絡(luò)訪問來源與發(fā)起惡意網(wǎng)絡(luò)攻擊是否為真人操作有一定的關(guān)聯(lián)關(guān)系，基于識別的網(wǎng)絡(luò)訪問來源，可以針對性地對程序自動操作和人工操作的網(wǎng)絡(luò)攻擊，執(zhí)行不同的網(wǎng)絡(luò)防御策略。例如，若識別出網(wǎng)絡(luò)訪問來源為數(shù)據(jù)中心，可以通過增設(shè)驗證碼的方式進行防御，若識別出為家庭寬帶，則無需驗證，以免影響用戶的正常使用。

具體地，若識別所述網(wǎng)絡(luò)地址對應(yīng)的網(wǎng)絡(luò)訪問來源并非通過網(wǎng)絡(luò)供應(yīng)方訪問網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備，則拒絕所述網(wǎng)絡(luò)訪問來源的網(wǎng)絡(luò)訪問。例如，針對并非通過網(wǎng)絡(luò)供應(yīng)方訪問網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備發(fā)起的非法訪問請求進行阻斷處理，阻斷處理可以設(shè)置一個阻斷系統(tǒng)實現(xiàn)，阻斷系統(tǒng)通過鏡像流量實時監(jiān)聽發(fā)起非法訪問請求的ip地址的tcp(transmissioncontrolprotocol，傳輸控制協(xié)議)三次握手信息，通過發(fā)送tcprst報文(復(fù)位報文)，使惡意ip無法與服務(wù)器建立tcp連接，從而達到防御的目的。

根據(jù)本申請實施例，通過遍歷網(wǎng)絡(luò)空間的網(wǎng)絡(luò)地址，并采集各網(wǎng)絡(luò)地址的多個網(wǎng)絡(luò)屬性信息，可以基于多維度的網(wǎng)絡(luò)屬性信息對訪問來源進行識別，并根據(jù)識別的網(wǎng)絡(luò)訪問來源執(zhí)行相應(yīng)的防御策略，從而可以對不同類型的惡意網(wǎng)絡(luò)攻擊采用針對性的防御策略，提升了網(wǎng)絡(luò)安全防御的靈活性。

需要說明的是，對于方法實施例，為了簡單描述，故將其都表述為一系列的動作組合，但是本領(lǐng)域技術(shù)人員應(yīng)該知悉，本申請實施例并不受所描述的動作順序的限制，因為依據(jù)本申請實施例，某些步驟可以采用其他順序或者同時進行。其次，本領(lǐng)域技術(shù)人員也應(yīng)該知悉，說明書中所描述的實施例均屬于優(yōu)選實施例，所涉及的動作并不一定是本申請實施例所必須的。

參照圖3，示出了本申請的一種基于網(wǎng)絡(luò)地址識別網(wǎng)絡(luò)訪問來源的裝置實施例一的結(jié)構(gòu)框圖，具體可以包括如下模塊：

網(wǎng)絡(luò)屬性信息查找模塊301，用于查找所述網(wǎng)絡(luò)地址的至少一種網(wǎng)絡(luò)屬性信息。

網(wǎng)絡(luò)訪問來源識別模塊302，用于根據(jù)所述網(wǎng)絡(luò)地址的至少一種網(wǎng)絡(luò)屬性信息識別本次網(wǎng)絡(luò)訪問來源。

根據(jù)本申請實施例，根據(jù)網(wǎng)絡(luò)地址查找對應(yīng)的多種網(wǎng)絡(luò)屬性信息，并基于多維度的網(wǎng)絡(luò)屬性信息綜合地識別網(wǎng)絡(luò)訪問來源，即使該網(wǎng)絡(luò)地址未曾參與過惡意網(wǎng)絡(luò)攻擊而未被存儲在數(shù)據(jù)庫中，也可以識別出真實的網(wǎng)絡(luò)訪問來源，從而可以進行有效的防御，提升了對惡意網(wǎng)絡(luò)攻擊的防御效率。經(jīng)過實驗證明，根據(jù)本申請實施例的識別方法，對國內(nèi)家庭寬帶的網(wǎng)絡(luò)地址的識別準確率達到90％以上。

參照圖4，示出了本申請的一種基于網(wǎng)絡(luò)地址識別網(wǎng)絡(luò)訪問來源的裝置實施例二的結(jié)構(gòu)框圖，具體可以包括如下模塊：

網(wǎng)絡(luò)空間遍歷模塊401，用于遍歷網(wǎng)絡(luò)空間內(nèi)所有網(wǎng)絡(luò)地址，并采集各網(wǎng)絡(luò)地址分別對應(yīng)的至少一種網(wǎng)絡(luò)屬性信息。

網(wǎng)絡(luò)地址提取模塊402，用于接收網(wǎng)絡(luò)訪問，并提取所述網(wǎng)絡(luò)訪問的網(wǎng)絡(luò)地址。

網(wǎng)絡(luò)屬性信息查找模塊403，用于查找所述網(wǎng)絡(luò)地址的至少一種網(wǎng)絡(luò)屬性信息。

信息內(nèi)容分類模塊404，用于將所述網(wǎng)絡(luò)屬性信息按照信息內(nèi)容進一步分類，并對應(yīng)分類結(jié)果配置對應(yīng)的識別規(guī)則集。

網(wǎng)絡(luò)訪問來源識別模塊405，用于根據(jù)所述網(wǎng)絡(luò)地址的至少一種網(wǎng)絡(luò)屬性信息識別本次網(wǎng)絡(luò)訪問來源。

網(wǎng)絡(luò)防御策略執(zhí)行模塊406，用于針對識別的網(wǎng)絡(luò)訪問來源，執(zhí)行對應(yīng)配置的網(wǎng)絡(luò)防御策略。

作為本申請實施例的優(yōu)選示例，所述裝置可以還包括：

結(jié)構(gòu)化存儲模塊，用于針對各網(wǎng)絡(luò)地址，將查找的至少一個網(wǎng)絡(luò)屬性信息結(jié)構(gòu)化存儲至對應(yīng)的網(wǎng)絡(luò)屬性文件。

作為本申請實施例的優(yōu)選示例一，所述網(wǎng)絡(luò)屬性信息包括網(wǎng)絡(luò)地址所屬網(wǎng)段信息、使用方信息和供應(yīng)方信息中至少一種時，所述網(wǎng)絡(luò)屬性信息查找 模塊403或網(wǎng)絡(luò)空間遍歷模塊401可以包括：

網(wǎng)絡(luò)屬性信息獲取子模塊，用于通過訪問網(wǎng)絡(luò)，搜索并下載所述網(wǎng)絡(luò)屬性信息。

和/或，通過查詢網(wǎng)絡(luò)信息服務(wù)器獲取所述網(wǎng)絡(luò)屬性信息。

作為本申請實施例的優(yōu)選示例二，所述網(wǎng)絡(luò)屬性信息包括所述網(wǎng)絡(luò)地址的域名信息，所述網(wǎng)絡(luò)屬性信息查找模塊403或網(wǎng)絡(luò)空間遍歷模塊401可以包括：

域名信息查找子模塊，用于訪問域名解析服務(wù)器獲取域名反向解析記錄，并從所述域名反向解析記錄中查找所述網(wǎng)絡(luò)地址的域名信息。

和/或，從全網(wǎng)域名的域名正向解析的解析結(jié)果中，查找對應(yīng)解析結(jié)果為所述網(wǎng)絡(luò)地址的域名信息。

作為本申請實施例的優(yōu)選示例三，所述網(wǎng)絡(luò)屬性信息包括網(wǎng)絡(luò)地址所屬網(wǎng)絡(luò)設(shè)備開放的端口信息，所述網(wǎng)絡(luò)屬性信息查找模塊403或網(wǎng)絡(luò)空間遍歷模塊401可以包括：

端口信息獲取子模塊，用于調(diào)用端口掃描工具對所述網(wǎng)絡(luò)地址所屬網(wǎng)絡(luò)設(shè)備的端口進行掃描，獲得對應(yīng)的端口信息。

作為本申請實施例的優(yōu)選示例，所述網(wǎng)絡(luò)訪問來源識別模塊405可以包括：

識別規(guī)則集識別子模塊，用于采用針對各網(wǎng)絡(luò)屬性信息配置的識別規(guī)則集，識別本次網(wǎng)絡(luò)訪問來源。

作為本申請實施例的優(yōu)選示例，所述識別規(guī)則集識別子模塊包括：

識別規(guī)則匹配子單元，用于針對各網(wǎng)絡(luò)屬性信息，分別與對應(yīng)識別規(guī)則集中各識別規(guī)則進行匹配。

權(quán)重分數(shù)判斷子單元，用于若所述網(wǎng)絡(luò)屬性信息滿足某一識別規(guī)則，則根據(jù)所述網(wǎng)絡(luò)屬性信息判斷所述網(wǎng)絡(luò)地址分別屬于各種網(wǎng)絡(luò)訪問來源的權(quán)重分數(shù)。

網(wǎng)絡(luò)訪問來源確定子單元，用于根據(jù)各網(wǎng)絡(luò)屬性信息對應(yīng)各識別規(guī)則的權(quán)重分數(shù)，確定所述網(wǎng)絡(luò)地址對應(yīng)的網(wǎng)絡(luò)訪問來源。

作為本申請實施例的優(yōu)選示例，所述網(wǎng)絡(luò)防御策略執(zhí)行模塊406可以包括：

網(wǎng)絡(luò)訪問拒絕子模塊，用于若識別所述網(wǎng)絡(luò)地址對應(yīng)的網(wǎng)絡(luò)訪問來源并非通過網(wǎng)絡(luò)供應(yīng)方訪問網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備，則拒絕所述網(wǎng)絡(luò)訪問來源的網(wǎng)絡(luò)訪問。

作為本申請實施例的優(yōu)選示例，所述網(wǎng)絡(luò)訪問來源包括提供網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)設(shè)備、通過網(wǎng)絡(luò)供應(yīng)方訪問網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備和通過固定網(wǎng)絡(luò)地址訪問網(wǎng)絡(luò)設(shè)備中至少一種。

根據(jù)本申請實施例，通過遍歷網(wǎng)絡(luò)空間的網(wǎng)絡(luò)地址，并采集各網(wǎng)絡(luò)地址的多個網(wǎng)絡(luò)屬性信息，可以基于多維度的網(wǎng)絡(luò)屬性信息對訪問來源進行識別，并根據(jù)識別的網(wǎng)絡(luò)訪問來源執(zhí)行相應(yīng)的防御策略，從而可以對不同類型的惡意網(wǎng)絡(luò)攻擊采用針對性的防御策略，提升了網(wǎng)絡(luò)安全防御的靈活性。

對于裝置實施例而言，由于其與方法實施例基本相似，所以描述的比較簡單，相關(guān)之處參見方法實施例的部分說明即可。

本說明書中的各個實施例均采用遞進的方式描述，每個實施例重點說明的都是與其他實施例的不同之處，各個實施例之間相同相似的部分互相參見即可。

本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白，本申請實施例的實施例可提供為方法、裝置、或計算機程序產(chǎn)品。因此，本申請實施例可采用完全硬件實施例、完全軟件實施例、或結(jié)合軟件和硬件方面的實施例的形式。而且，本申請實施例可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲器、cd-rom、光學存儲器等)上實施的計算機程序產(chǎn)品的形式。

在一個典型的配置中，所述計算機設(shè)備包括一個或多個處理器(cpu)、輸入/輸出接口、網(wǎng)絡(luò)接口和內(nèi)存。內(nèi)存可能包括計算機可讀介質(zhì)中的非永久性存儲器，隨機存取存儲器(ram)和/或非易失性內(nèi)存等形式，如只讀存儲器(rom)或閃存(flashram)。內(nèi)存是計算機可讀介質(zhì)的 示例。計算機可讀介質(zhì)包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術(shù)來實現(xiàn)信息存儲。信息可以是計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序的模塊或其他數(shù)據(jù)。計算機的存儲介質(zhì)的例子包括，但不限于相變內(nèi)存(pram)、靜態(tài)隨機存取存儲器(sram)、動態(tài)隨機存取存儲器(dram)、其他類型的隨機存取存儲器(ram)、只讀存儲器(rom)、電可擦除可編程只讀存儲器(eeprom)、快閃記憶體或其他內(nèi)存技術(shù)、只讀光盤只讀存儲器(cd-rom)、數(shù)字多功能光盤(dvd)或其他光學存儲、磁盒式磁帶，磁帶磁磁盤存儲或其他磁性存儲設(shè)備或任何其他非傳輸介質(zhì)，可用于存儲可以被計算設(shè)備訪問的信息。按照本文中的界定，計算機可讀介質(zhì)不包括非持續(xù)性的電腦可讀媒體(transitorymedia)，如調(diào)制的數(shù)據(jù)信號和載波。

本申請實施例是參照根據(jù)本申請實施例的方法、終端設(shè)備(系統(tǒng))、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合?？商峁┻@些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數(shù)據(jù)處理終端設(shè)備的處理器以產(chǎn)生一個機器，使得通過計算機或其他可編程數(shù)據(jù)處理終端設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。

這些計算機程序指令也可存儲在能引導(dǎo)計算機或其他可編程數(shù)據(jù)處理終端設(shè)備以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。

這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理終端設(shè)備上，使得在計算機或其他可編程終端設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理，從而在計算機或其他可編程終端設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。

盡管已描述了本申請實施例的優(yōu)選實施例，但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念，則可對這些實施例做出另外的變更和修改。所以，所附權(quán)利要求意欲解釋為包括優(yōu)選實施例以及落入本申請實施例范圍的所有變更和修改。

最后，還需要說明的是，在本文中，諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關(guān)系或者順序。而且，術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者終端設(shè)備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者終端設(shè)備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、物品或者終端設(shè)備中還存在另外的相同要素。

以上對本申請所提供的一種基于網(wǎng)絡(luò)地址識別網(wǎng)絡(luò)訪問來源的方法和一種基于網(wǎng)絡(luò)地址識別網(wǎng)絡(luò)訪問來源的裝置，進行了詳細介紹，本文中應(yīng)用了具體個例對本申請的原理及實施方式進行了闡述，以上實施例的說明只是用于幫助理解本申請的方法及其核心思想；同時，對于本領(lǐng)域的一般技術(shù)人員，依據(jù)本申請的思想，在具體實施方式及應(yīng)用范圍上均會有改變之處，綜上所述，本說明書內(nèi)容不應(yīng)理解為對本申請的限制。