基于网络地址识别网络访问来源方法和装置与流程

本申请涉及互联网技术领域，特别是涉及一种基于网络地址识别网络访问来源方法和一种基于网络地址识别网络访问来源装置。

背景技术：

面对恶意网络攻击，需要根据发起攻击的网络地址判断是否为人工操作，而部署相应的防护措施。例如在针对ddos攻击时，需要根据发起连接请求的ip地址(internetprotocoladdress，网际协议地址)识别访问来源的类型是人工操作还是程序自动操作，并根据对访问来源类型的识别结果，由防火墙作出允许或拒绝连接的处理，从而减缓该类网络攻击的威胁。

目前对访问来源类型的识别，主要是通过建立恶意ip数据库，收集并存储曾参与过恶意网络攻击的ip地址，若监测到恶意ip进行连接则进行阻断。

然而，目前的依赖于恶意ip数据库对访问来源类型进行识别是一种被动的防御方式，若某个ip未曾参与过恶意网络攻击而未被存储在数据库中，则无法识别访问来源类型，也无法进行有效的防御。因此，目前对访问来源的识别方法存在着防御效率较低的问题。

技术实现要素：

鉴于上述问题，提出了本申请实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种基于网络地址识别网络访问来源的方法和相应的一种基于网络地址识别网络访问来源的装置。

为了解决上述问题，本申请公开了一种基于网络地址识别网络访问来源的方法，包括：

查找所述网络地址的至少一种网络属性信息；

根据所述网络地址的至少一种网络属性信息识别本次网络访问来源。

可选地，在所述查找所述网络地址的至少一种网络属性信息之前，所述 方法还包括：

接收网络访问，并提取所述网络访问的网络地址。

可选地，所述方法还包括：

遍历网络空间内所有网络地址，并采集各网络地址分别对应的至少一种网络属性信息。

可选地，所述网络属性信息包括网络地址所属网段信息、使用方信息和供应方信息中至少一种时，所述网络属性信息通过以下步骤获取：

通过访问网络，搜索并下载所述网络属性信息；

和/或，通过查询网络信息服务器获取所述网络属性信息。

可选地，所述网络属性信息包括所述网络地址的域名信息，所述域名信息通过以下步骤获取：

访问域名解析服务器获取域名反向解析记录，并从所述域名反向解析记录中查找所述网络地址的域名信息；

和/或，从全网域名的域名正向解析的解析结果中，查找对应解析结果为所述网络地址的域名信息。

可选地，所述网络属性信息包括网络地址所属网络设备开放的端口信息，所述端口信息通过以下步骤获取：

调用端口扫描工具对所述网络地址所属网络设备的端口进行扫描，获得对应的端口信息。

可选地，所述方法还包括：

针对各网络地址，将查找的至少一个网络属性信息结构化存储至对应的网络属性文件。

可选地，所述根据所述网络地址的至少一种网络属性信息识别本次网络访问来源包括：

采用针对各网络属性信息配置的识别规则集，识别本次网络访问来源。

可选地，所述采用针对各网络属性信息配置的识别规则集，识别本次网络访问来源包括：

针对各网络属性信息，分别与对应识别规则集中各识别规则进行匹配；

若所述网络属性信息满足某一识别规则，则根据所述网络属性信息判断所述网络地址分别属于各种网络访问来源的权重分数；

根据各网络属性信息对应各识别规则的权重分数，确定所述网络地址对应的网络访问来源。

可选地，在所述采用所述网络属性信息对应的识别规则识别对应的网络访问来源之前，所述方法还包括：

将所述网络属性信息按照信息内容进一步分类，并对应分类结果配置对应的识别规则集。

可选地，所述网络访问来源包括提供网络服务的网络设备、通过网络供应方访问网络的网络设备和通过固定网络地址访问网络设备中至少一种。

可选地，所述方法还包括：

针对识别的网络访问来源，执行对应配置的网络防御策略。

可选地，所述针对识别的网络访问来源，执行对应配置的网络防御策略包括：

若识别所述网络地址对应的网络访问来源并非通过网络供应方访问网络的网络设备，则拒绝所述网络访问来源的网络访问。

为了解决上述问题，本申请还公开了一种基于网络地址识别网络访问来源的装置，包括：

网络属性信息查找模块，用于查找所述网络地址的至少一种网络属性信息；

网络访问来源识别模块，用于根据所述网络地址的至少一种网络属性信息识别本次网络访问来源。

可选地，所述装置还包括：

网络地址提取模块，用于接收网络访问，并提取所述网络访问的网络地址。

可选地，所述装置还包括：

网络空间遍历模块，用于遍历网络空间内所有网络地址，并采集各网络地址分别对应的至少一种网络属性信息。

可选地，所述网络属性信息包括网络地址所属网段信息、使用方信息和供应方信息中至少一种时，所述网络属性信息查找模块或网络空间遍历模块包括：

网络属性信息获取子模块，用于通过访问网络，搜索并下载所述网络属性信息；

和/或，通过查询网络信息服务器获取所述网络属性信息。

可选地，所述网络属性信息包括所述网络地址的域名信息，所述网络属性信息查找模块或网络空间遍历模块包括：

域名信息查找子模块，用于访问域名解析服务器获取域名反向解析记录，并从所述域名反向解析记录中查找所述网络地址的域名信息；

和/或，从全网域名的域名正向解析的解析结果中，查找对应解析结果为所述网络地址的域名信息。

可选地，所述网络属性信息包括网络地址所属网络设备开放的端口信息，所述网络属性信息查找模块或网络空间遍历模块包括：

端口信息获取子模块，用于调用端口扫描工具对所述网络地址所属网络设备的端口进行扫描，获得对应的端口信息。

可选地，所述装置还包括：

结构化存储模块，用于针对各网络地址，将查找的至少一个网络属性信息结构化存储至对应的网络属性文件。

可选地，所述网络访问来源识别模块包括：

识别规则集识别子模块，用于采用针对各网络属性信息配置的识别规则集，识别本次网络访问来源。

可选地，所述识别规则集识别子模块包括：

识别规则匹配子单元，用于针对各网络属性信息，分别与对应识别规则集中各识别规则进行匹配；

权重分数判断子单元，用于若所述网络属性信息满足某一识别规则，则根据所述网络属性信息判断所述网络地址分别属于各种网络访问来源的权重分数；

网络访问来源确定子单元，用于根据各网络属性信息对应各识别规则的权重分数，确定所述网络地址对应的网络访问来源。

可选地，所述装置还包括：

信息内容分类模块，用于将所述网络属性信息按照信息内容进一步分类，并对应分类结果配置对应的识别规则集。

可选地，所述网络访问来源包括提供网络服务的网络设备、通过网络供应方访问网络的网络设备和通过固定网络地址访问网络设备中至少一种。

可选地，所述装置还包括：

网络防御策略执行模块，用于针对识别的网络访问来源，执行对应配置的网络防御策略。

可选地，所述网络防御策略执行模块包括：

网络访问拒绝子模块，用于若识别所述网络地址对应的网络访问来源并非通过网络供应方访问网络的网络设备，则拒绝所述网络访问来源的网络访问。

本申请实施例包括以下优点：

根据本申请实施例，根据网络地址查找对应的多种网络属性信息，并基于多维度的网络属性信息综合地识别网络访问来源，即使该网络地址未曾参与过恶意网络攻击而未被存储在数据库中，也可以识别出真实的网络访问来源，从而可以进行有效的防御，提升了对恶意网络攻击的防御效率。

附图说明

图1是本申请的一种基于网络地址识别网络访问来源的方法实施例一的步骤流程图；

图2是本申请的一种基于网络地址识别网络访问来源的方法实施例二的步骤流程图；

图3是本申请的一种基于网络地址识别网络访问来源的装置实施例一的结构框图；

图4是本申请的一种基于网络地址识别网络访问来源的装置实施例二的 结构框图

图5是一种基于逻辑判断的结构化存储网络属性信息的步骤流程图；

图6是一种按照网络属性信息的信息内容进行分类并配置识别规则集的示意图；

图7是一种基于网段规模规则集的权重分数计算流程图。

具体实施方式

为使本申请的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本申请作进一步详细的说明。

参照图1，示出了本申请的一种基于网络地址识别网络访问来源的方法实施例一的步骤流程图，具体可以包括如下步骤：

步骤101，查找所述网络地址的至少一种网络属性信息。

需要说明的是，网络地址可以为ip地址，ip地址是在互联网上给主机编码的方式，通过该编码方式使得ip地址成为设备接入互联网后的唯一标识，即具有特定ip地址的设备可以保证在互联网中具有唯一性，以便于准确地将信息传输到目标ip地址所对应的设备。基于当前互联网，ip地址主要分为ipv4和ipv6两种类型。

对于给定的网络地址，其具有若干对应的网络属性信息。网络属性信息可以包括多种类型的信息，例如，网络地址的所属网段信息、使用方信息，供应方信息，域名信息，网络地址所属网络设备开放的端口信息、地理位置信息等。例如，对于ip网中的ip地址，可以具有一个whois信息，whois是指与ip地址和该ip地址使用者的相关信息，可以用于查询域名的ip以及使用者等信息的传输协议。whois信息可以包含有代表各种信息的字段，例如inetnum字段代表ip地址所属网段的大小，netname字段代表ip地址申请单位的名称，descr字段代表ip地址申请单位的描述；ip地址还可以具有域名信息，域名信息可以是给定的ip地址所绑定的域名情况的信息；还可以具有端口信息，端口信息可以是ip地址所属网络的设备所开放的端口信息；还可以具有网络运营商信息，是否为教育网的相关信息等。

可以预先获取网络属性，并存储在数据库中。网络属性信息的获取方式 可以有多种，例如，通过访问网络，搜索并下载网络属性信息；或者，通过查询网络信息服务器获取网络属性信息；或者查找网络地址与网络属性信息的关系记录，提取网络地址对应的网络属性信息；又或者，调用预置信息获取工具获取网络属性信息。实际应用中可以根据网络属性信息的种类确定具体的获取方式。例如，针对网络地址所属网段信息、使用方信息和供应方信息，可以通过访问网络，搜索并下载的方式采集；针对网络地址的域名信息，可以通过访问域名解析服务器获取域名反向解析记录，并从域名反向解析记录中查找网络地址的域名信息的方式采集。

当然，本领域技术人员可以根据实际情况采用一种或多种方式的组合以获取网络属性信息。

当需要针对某个网络访问进行访问来源判断时，可以从网络访问中获取发起该访问的网络地址，并利用该网络地址在数据库中查找对应的网络属性信息。

步骤102，根据所述网络地址的至少一种网络属性信息识别本次网络访问来源。

发起网络访问的网络设备所具有的网络属性信息，与网络设备具有一定的关联关系，因此可以基于查找到的网络属性信息识别本次网络访问来源。

网络访问来源主要有数据中心、普通宽带和专用出口三种类型。实际应用中，如果网络访问来源于数据中心，其为人工操作的概率较低，相应地，如果来源于普通宽带或专用出口，人工操作的概率则较高。

优选地，可以针对各网络属性信息，通过预设的识别规则集进行网络属性信息的匹配，每个网络属性信息配置有对应的网络访问来源判断规则和网络访问来源权重分数，当网络属性信息满足于识别规则集中某条规则，则针对某个网络访问来源添加一个权重分数。

例如，识别规则集中具有一条“判断网段内主机数量是否大于或等于65536台，若是则将ip地址的访问来源判断为“数据中心”或“家庭宽带”，权重分数取值为3”的规则，根据ip地址查找到的网段规模信息满足该规则的判断条件，则可以针对数据中心的网络访问来源添加权重分数3。以此类 推，可以得到各个网络访问来源的权重分数。

根据规则集确定各个网络访问来源各自的权重分数后，可以进一步计算网络访问来源是人工操作的概率，例如将某个代表着人工操作的网络访问来源的权重分数，除以全部网络访问来源所得的权重分数总和，作为本次网络访问来源为人工操作的概率。针对于人工操作和非人工操作的恶意网络攻击，可以执行不同的防御策略，以有效地保证网络安全。

根据本申请实施例，根据网络地址查找对应的多种网络属性信息，并基于多维度的网络属性信息综合地识别网络访问来源，即使该网络地址未曾参与过恶意网络攻击而未被存储在数据库中，也可以识别出真实的网络访问来源，从而可以进行有效的防御，提升了对恶意网络攻击的防御效率。经过经过实际应用证明，根据本申请实施例的识别方法，对国内家庭宽带的网络地址的识别准确率达到90％以上。

参照图2，示出了本申请的一种基于网络地址识别网络访问来源的方法实施例二的步骤流程图，具体可以包括如下步骤：

步骤201，遍历网络空间内所有网络地址，并采集各网络地址分别对应的至少一种网络属性信息。

可以通过主动探测的方式，遍历网络空间的所有网络地址，例如遍历整ipv4空间内的所有ip地址。基于遍历网络空间得到的网络地址，可以采集对应的网络属性信息。网络属性信息的采集方式可以有多种，实际应用中可以根据网络属性信息的种类具体确定采集方式。例如，针对网络地址所属网段信息、使用方信息和供应方信息，可以通过访问网络，搜索并下载的方式采集；针对网络地址的域名信息，可以通过访问域名解析服务器获取域名反向解析记录，并从域名反向解析记录中查找网络地址的域名信息的方式采集。

遍历网络空间的网络地址和采集网络属性信息的处理可以预先进行，将采集的网络属性信息保存于数据库中，待需要针对接收的网络访问进行访问来源判断时再从数据库查找和提取；也可以在针对某个网络访问提取了网络 地址后，才进行上述的网络属性信息采集处理。本领域技术人员可以根据实际情况确定上述步骤的实施时机。作为本申请实施例的优选示例一，所述网络属性信息包括网络地址所属网段信息、使用方信息和供应方信息中至少一种时，所述网络属性信息可以通过以下步骤获取：

步骤s1，通过访问网络，搜索并下载所述网络属性信息。

和/或，子步骤s2，通过查询网络信息服务器获取所述网络属性信息。

针对网络地址所属网段信息、使用方信息和/或供应方信息等网络属性信息的获取，可以访问网络，在网络中搜索并下载相应的信息。例如针对ip地址的whois信息，可以将互联网数字分配机构或商业ip数据库提供的公开数据下载，并从中抓取如inetnum、netname、descr等关键字段，获取到ip地址所属网段的大小、ip地址申请单位的名称和ip地址申请单位描述等的信息，或者可以获取到ip地址的网络运营商，是否为教育网等的供应方信息。

此外，也可以向网络信息服务器发送查询请求，网络信息服务器根据网络地址查找对应的网络属性信息并返回，从而获取网络地址的网络属性信息。

作为本申请实施例的优选示例二，所述网络属性信息包括所述网络地址的域名信息，所述域名信息可以通过以下步骤获取：

步骤s3，访问域名解析服务器获取域名反向解析记录，并从所述域名反向解析记录中查找所述网络地址的域名信息。

和/或，步骤s4，从全网域名的域名正向解析的解析结果中，查找对应解析结果为所述网络地址的域名信息。

针对网络地址的域名信息，可以访问域名解析服务器，获取域名反向解析记录，并从中查找网络地址对应的域名信息。例如，可以访问域名信息与ip地址相互映射的分布式数据库dns(domainnamesystem，域名系统)，在dns的ptr记录(pointerrecord，指针记录)中查找ip地址所映射的域名信息。ptr记录主要用于电子邮件发送过程中的反向地址解析。

此外，也可以利用全网域名的域名正向解析的方式，从解析结果中查找 网络地址的域名信息。实际应用中，若利用网络地址查找网络属性信息，可以直接从解析结果中查找；若利用采集到的网络属性信息创建数据库，则可以从解析结果中获取。例如，获取全球的域名记录，对域名进行dns正向解析查询，获取所绑定的ip地址，从而建立域名与ip地址之间的关联关系，在数据库中查找网络属性信息，则可以查找到与ip地址对应的域名信息。

实际应用中，ptr记录和正向解析的数据分别存储于两个不同的数据表中，在查询时可以数据表的表名区分数据来源。

作为本申请实施例的优选示例三，所述网络属性信息包括网络地址所属网络设备开放的端口信息，所述端口信息可以通过以下步骤获取：

步骤s5，调用端口扫描工具对所述网络地址所属网络设备的端口进行扫描，获得对应的端口信息。

针对端口信息，可以调用nmap(networkmapper，网络映射器)、scanport等的端口扫描工具，对网络地址所对应的网络设备上开放的端口进行扫描，从而获取网络地址对应的端口信息。

此外，也可以获取端口的特征信息。例如，当与远程主机上的开放端口建立连接发起特定请求时，远程主机上侦听在该端口上的程序会进行响应并返回一段报文，该报文中可以包含有能够辨识侦听程序的特征信息，该报文也称为端口指纹，因此，可以将反映端口特征信息的类别的端口指纹获取。

需要说明的是，上述提供的多种网络属性信息获取方式，本领域技术人员可以根据实际需要采用一种或多种的组合，以获取所需的网络属性信息。

步骤202，接收网络访问，并提取所述网络访问的网络地址。

步骤203，查找所述网络地址的至少一种网络属性信息。

针对采集到的网络属性信息，可以将其与网络地址对应地保存在数据库中，待需要对网络访问来源的进行判断时，在数据库中查找该网络访问的网络地址所对应的网络属性信息。

当接收到网络访问，可以从中提取发起该网络访问的网络地址。根据提取的网络地址，查找该网络地址的多个网络属性信息。实际应用中，可以在确定受到恶意网络攻击时，才触发网络地址的提取和查找处理。

需要说明的是，通常可以在服务器中设置有预处理模块，用于对网络地址的网络属性信息进行获取、查找等的处理。

作为本申请实施例的优选示例，可以针对各网络地址，将查找的至少一个网络属性信息结构化存储至对应的网络属性文件。具体地，可以执行预设的逻辑判断，将网络属性信息整合为一个结构化数据的网络属性文件。

图5示出了一种基于逻辑判断的结构化存储网络属性信息的步骤流程图，从图中可以看出，针对查找到的某个ip地址的whois信息，存储whois信息的netname字段、descr字段和ip地址所在网段whois_range，并判断whois_range中ip地址的数量是否大于256个，若否，则ip_range取值为whois_range，若是，则ip_range取值为当前ip地址所在的c段网段。进一步针对查找到的ip地址的端口信息进行存储，具体存储ip_range内ip地址所对应的网络设备开放的端口和端口对应的表明端口身份的banner信息。然后针对查找到的ip地址的域名信息进行存储，具体存储ip_range内ip地址所绑定的域名。最后，存储ip_range内ip地址的运营商信息。经过上述的逻辑判断和结构化存储处理，得到ip基础信息结构数据。

针对网络属性信息进行结构化存储，可以提升存储空间的利用率，同时可以提升网络属性信息的查询效率。此外，以一定的结构格式存储于内存中，可以将用于获取、查找网络属性信息的预处理模块和用于识别网络访问来源的算法处理模块解耦，若以后需要新增网络属性信息，只需要将新增信息按照预定义的结构进行存储，使得新增信息对算法模块的影响降低，同时也提升了对网络访问来源识别的可扩展性。

步骤204，将所述网络属性信息按照信息内容进一步分类，并对应分类结果配置对应的识别规则集。

不同类型的网络属性信息可以反映出不同的网络访问来源，因此可以按照其信息内容进行分类，将同一类的网络属性信息使用该类别对应的识别规则集进行权重判断处理。

为了便于本领域技术人员理解本申请实施例，图6示出了一种按照网络属性信息的信息内容进行分类并配置识别规则集的示意图。从图中可见，可 以将ip基础信息结构数据按照网络属性信息的内容，分类成whois信息、网段规模信息、运营商信息、域名信息和端口信息5个维度的信息，并根据该分类结果，对应配置若干个规则集。其中，whois信息、网段规模信息以及运营商信息是每个ip地址均具备的，可以直接对应地配置whois信息特征匹配规则集、网段规模规则集和运营商信息规则集。域名信息以及端口信息则需要进一步判断，根据判断结果配置对应规则集。其中，针对存在反向解析域名的域名信息，配置有反向解析域名规则集；存在绑定域名的域名信息，则配置有绑定域名规则集。端口信息根据是否开放upnp(通用即插即用系统)服务端口、ftp(filetransferprotocol，文件传输协议)服务端口、ssh(secureshell，安全外壳协议)服务端口、http(hypertexttransferprotocol，超文本传输协议)服务端口等服务端口的判断结果，相应配置有upnp服务端口banner规则集、ftp服务端口banner规则集、ssh服务端口banner规则集、http服务端口banner规则集等的规则集。

步骤205，采用针对各网络属性信息配置的识别规则集，识别本次网络访问来源。

网络属性信息配置的识别规则集可以包含有对各网络属性信息的识别规则，根据识别规则对各网络属性信息进行判断，符合识别规则执行相应的指令，针对某个预设网络访问来源添加一个权重分数，最后综合计算出若干个预设网络访问来源的权重分数，并根据各个访问来源的权重分数，计算本次网络访问来源是人工操作的概率，从而识别出本次网络访问的来源是人工操作还是程序。

作为本申请实施例的优选示例，所述步骤205可以包括以下子步骤：

子步骤s11，针对各网络属性信息，分别与对应识别规则集中各识别规则进行匹配。

子步骤s12，若所述网络属性信息满足某一识别规则，则根据所述网络属性信息判断所述网络地址分别属于各种网络访问来源的权重分数。

子步骤s13，根据各网络属性信息对应各识别规则的权重分数，确定所述网络地址对应的网络访问来源。

规则集可以是由一系列规则和相对应的指令的有序组合。将某个网络属性信息输入到规则集中，输入的网络属性信息将依次与规则集内的规则进行匹配，当满足其中某条规则时，则执行该条规则相应的操作指令，针对某个预设的网络访问来源添加相应的权重分数。操作指令可以由判断类型和权重分数两部分组成，判断类型为基于该规则对某个网络访问来源的判断，实际应用中可以是判断为一种来源或多种来源；权重分数代表对该判断的置信程度，权重分数越高，代表该判断越可靠。操作指令可以是一段指示针对某个判断类型添加记录一定权重分数的代码指令，针对不同的网络属性信息，可以根据实际需求设定具体的判断过程和判断条件，本申请实施例对此不作限制。

为了便于本领域技术人员理解本申请实施例，图7示出了基于网段规模规则集的权重分数计算流程图。

根据ip地址查找的网段规模信息，判断网段内主机数量是否大于或等于65536台，若是，则将ip地址的访问来源判断为“数据中心”或“家庭宽带”，权重分数取值为3，若否，则进一步判断网段内主机数量是否大于或等于256台，若是，则不作来源判断，权重分数取值为0，若否，则进一步判断该ip地址申请单位属下的主机数量是否小于或等于512，若是，则判断为“专用出口”，权重分数取值为10，若否，则不作来源判断。从而，分别针对“数据中心”、“家庭宽带”和“专用出口”这三种网络访问来源，记录了3、3和10的权重分数。以此类推，可以得到各个网络访问来源的权重分数。

根据规则集确定各个网络访问来源各自的权重分数后，可以进一步计算网络访问来源是人工操作的概率。实际应用中，如果网络访问来源于数据中心，其为人工操作的概率较低，相应地，如果来源于普通宽带或专用出口，人工操作的概率则较高。因此，可以将数据中心该网络访问来源所得的权重分数在全部网络访问来源所得的权重分数总和中的占比，作为非人工操作的概率，而将该概率与1的差值作为人工操作的概率。此外，还可以利用一个判断可靠度计算概率，例如，预设一个预设阈值，当权重分数总和大于该预 设阈值，判断可靠度取值为1，代表该判断完全可靠；当权重分数总和小于该预设阈值，将权重分数总和与预设阈值的比值作为判断可靠度，在计算人工操作概率时，将数据中心的权重分数在全部网络访问来源所得的权重分数总和中的占比，乘以该判断可靠度。

人工操作的概率可以基于概率算法模型进行计算，具体地，针对ip地址创建三个权重分数池，分别对应数据中心、家庭宽带和专用出口三种网络访问来源，其初始值均为0。当ip地址的网络属性信息符合某条规则，则在对应的权重分数池中添加相应的权重分数，并利用以下公式求得该ip地址的访问为人工操作的概率：

其中，p为人工操作的概率，snh为代表非人工操作的网络访问来源的权重分数。实际应用中，可以将数据中心的权重分数作为snh。st为所有权重分数池的权重分数总和，r为对访问来源判断的可靠度。t为预设阈值，当权重分数总和大于该预设阈值，可以认为该判断可靠，反之则可以进行一定的折减。

需要说明的是，可以在服务器中设置算法处理模块，用于利用识别规则集识别出本次网络访问为人工操作的概率。

步骤206，针对识别的网络访问来源，执行对应配置的网络防御策略。

需要说明的是，网络访问来源可以包括提供网络服务的网络设备、通过网络供应方访问网络的网络设备和通过固定网络地址访问网络设备中至少一种。

其中，提供网络服务的网络设备可以为数据中心，数据中心通常指在互联网中提供数据传递、加速、展示、计算、存储的网络设备，例如web服务器、数据库服务器、cdn节点等的数据中心。通过网络供应方访问网络的网络设备可以为普通宽带，通常指家庭、中小型机构、企业等利用网络运 营商设置的接入互联网的设备。通过固定网络地址访问网络的设备可以为专用出口，通常指大中型机构利用固定ip地址接入互联网的设备。

网络访问来源与发起恶意网络攻击是否为真人操作有一定的关联关系，基于识别的网络访问来源，可以针对性地对程序自动操作和人工操作的网络攻击，执行不同的网络防御策略。例如，若识别出网络访问来源为数据中心，可以通过增设验证码的方式进行防御，若识别出为家庭宽带，则无需验证，以免影响用户的正常使用。

具体地，若识别所述网络地址对应的网络访问来源并非通过网络供应方访问网络的网络设备，则拒绝所述网络访问来源的网络访问。例如，针对并非通过网络供应方访问网络的网络设备发起的非法访问请求进行阻断处理，阻断处理可以设置一个阻断系统实现，阻断系统通过镜像流量实时监听发起非法访问请求的ip地址的tcp(transmissioncontrolprotocol，传输控制协议)三次握手信息，通过发送tcprst报文(复位报文)，使恶意ip无法与服务器建立tcp连接，从而达到防御的目的。

根据本申请实施例，通过遍历网络空间的网络地址，并采集各网络地址的多个网络属性信息，可以基于多维度的网络属性信息对访问来源进行识别，并根据识别的网络访问来源执行相应的防御策略，从而可以对不同类型的恶意网络攻击采用针对性的防御策略，提升了网络安全防御的灵活性。

需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请实施例并不受所描述的动作顺序的限制，因为依据本申请实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本申请实施例所必须的。

参照图3，示出了本申请的一种基于网络地址识别网络访问来源的装置实施例一的结构框图，具体可以包括如下模块：

网络属性信息查找模块301，用于查找所述网络地址的至少一种网络属性信息。

网络访问来源识别模块302，用于根据所述网络地址的至少一种网络属性信息识别本次网络访问来源。

根据本申请实施例，根据网络地址查找对应的多种网络属性信息，并基于多维度的网络属性信息综合地识别网络访问来源，即使该网络地址未曾参与过恶意网络攻击而未被存储在数据库中，也可以识别出真实的网络访问来源，从而可以进行有效的防御，提升了对恶意网络攻击的防御效率。经过实验证明，根据本申请实施例的识别方法，对国内家庭宽带的网络地址的识别准确率达到90％以上。

参照图4，示出了本申请的一种基于网络地址识别网络访问来源的装置实施例二的结构框图，具体可以包括如下模块：

网络空间遍历模块401，用于遍历网络空间内所有网络地址，并采集各网络地址分别对应的至少一种网络属性信息。

网络地址提取模块402，用于接收网络访问，并提取所述网络访问的网络地址。

网络属性信息查找模块403，用于查找所述网络地址的至少一种网络属性信息。

信息内容分类模块404，用于将所述网络属性信息按照信息内容进一步分类，并对应分类结果配置对应的识别规则集。

网络访问来源识别模块405，用于根据所述网络地址的至少一种网络属性信息识别本次网络访问来源。

网络防御策略执行模块406，用于针对识别的网络访问来源，执行对应配置的网络防御策略。

作为本申请实施例的优选示例，所述装置可以还包括：

结构化存储模块，用于针对各网络地址，将查找的至少一个网络属性信息结构化存储至对应的网络属性文件。

作为本申请实施例的优选示例一，所述网络属性信息包括网络地址所属网段信息、使用方信息和供应方信息中至少一种时，所述网络属性信息查找 模块403或网络空间遍历模块401可以包括：

网络属性信息获取子模块，用于通过访问网络，搜索并下载所述网络属性信息。

和/或，通过查询网络信息服务器获取所述网络属性信息。

作为本申请实施例的优选示例二，所述网络属性信息包括所述网络地址的域名信息，所述网络属性信息查找模块403或网络空间遍历模块401可以包括：

域名信息查找子模块，用于访问域名解析服务器获取域名反向解析记录，并从所述域名反向解析记录中查找所述网络地址的域名信息。

和/或，从全网域名的域名正向解析的解析结果中，查找对应解析结果为所述网络地址的域名信息。

作为本申请实施例的优选示例三，所述网络属性信息包括网络地址所属网络设备开放的端口信息，所述网络属性信息查找模块403或网络空间遍历模块401可以包括：

端口信息获取子模块，用于调用端口扫描工具对所述网络地址所属网络设备的端口进行扫描，获得对应的端口信息。

作为本申请实施例的优选示例，所述网络访问来源识别模块405可以包括：

识别规则集识别子模块，用于采用针对各网络属性信息配置的识别规则集，识别本次网络访问来源。

作为本申请实施例的优选示例，所述识别规则集识别子模块包括：

识别规则匹配子单元，用于针对各网络属性信息，分别与对应识别规则集中各识别规则进行匹配。

权重分数判断子单元，用于若所述网络属性信息满足某一识别规则，则根据所述网络属性信息判断所述网络地址分别属于各种网络访问来源的权重分数。

网络访问来源确定子单元，用于根据各网络属性信息对应各识别规则的权重分数，确定所述网络地址对应的网络访问来源。

作为本申请实施例的优选示例，所述网络防御策略执行模块406可以包括：

网络访问拒绝子模块，用于若识别所述网络地址对应的网络访问来源并非通过网络供应方访问网络的网络设备，则拒绝所述网络访问来源的网络访问。

作为本申请实施例的优选示例，所述网络访问来源包括提供网络服务的网络设备、通过网络供应方访问网络的网络设备和通过固定网络地址访问网络设备中至少一种。

根据本申请实施例，通过遍历网络空间的网络地址，并采集各网络地址的多个网络属性信息，可以基于多维度的网络属性信息对访问来源进行识别，并根据识别的网络访问来源执行相应的防御策略，从而可以对不同类型的恶意网络攻击采用针对性的防御策略，提升了网络安全防御的灵活性。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域内的技术人员应明白，本申请实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

在一个典型的配置中，所述计算机设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)。内存是计算机可读介质的 示例。计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括非持续性的电脑可读媒体(transitorymedia)，如调制的数据信号和载波。

本申请实施例是参照根据本申请实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本申请所提供的一种基于网络地址识别网络访问来源的方法和一种基于网络地址识别网络访问来源的装置，进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。