网络攻击源定位及防护方法、电子设备及计算机存储介质与流程

本申请涉及计算机视觉技术领域，尤其涉及一种网络攻击源定位及防护方法、电子设备及计算机存储介质。

背景技术：

随着网络信息化进程的不断发展，对数据安全也更加的重视，通常为保证信息系统的安全性，一般会采用防火墙、入侵检测系统、入侵防御系统、安全管理平台等安全措施，但是这些安全防护措施往往仅能防御小型的网络攻击，而由于大多数的网络攻击采用伪造的地址，被攻击者很难确定攻击源的位置，不能有针对性地进行网络防护。

技术实现要素：

本申请实施例提供一种网络攻击源定位及防护方法、电子设备及存储介质，涉及网络安全监控技术，可以准确识别真实的攻击节点源地址，使用具有针对性的防护策略进行网络安全防护。

第一方面，本申请实施例提供了一种网络攻击源定位及防护方法，所述方法包括：

根据预设网络状态判断规则监测网络状态数据，确定目标网络状态，所述网络状态数据包括流量状态数据，所述确定目标网络状态包括：

根据所述流量状态数据与预设流量监控规则确定是否处于流量异常状态；

若处于，获取告警日志数据，确定所述告警日志数据所包含的攻击节点；

从网络源地址集合中确定所述攻击节点对应的目标源地址；

根据预设地址与攻击源标签的对应关系，确定所述目标源地址所对应的目标攻击源标签，根据预设攻击源标签与防护策略的映射关系，获取所述目标攻击源标签对应的防护策略，并执行所述获取的防护策略。

作为一种可能的实施方式，所述确定所述告警日志数据所包含的攻击节点包括：

根据预设字段标识提取所述告警日志数据的目标字段，确定所述目标字段为所述攻击节点。

作为一种可能的实施方式，所述方法还包括：

在发生数据传输时，检测所述传输数据的数据类型是否为目标数据类型，所述目标数据类型为所述传输数据的发送方与所述传输数据的接收方之间允许传输的数据类型；

若不是，拦截所述传输数据。

作为一种可能的实施方式，所述拦截所述传输数据的情况下，所述方法还包括：

生成所述传输数据的拦截记录，所述拦截记录包括所述传输数据的发送方、所述传输数据的接收方、所述传输数据的传输时间和所述传输数据的数据类型。

作为一种可能的实施方式，所述从网络源地址集合中确定所述攻击节点对应的目标源地址之后，所述方法还包括：

生成包含所述目标源地址的攻击源信息，向预设服务器发送所述攻击源信息。

作为一种可能的实施方式，所述从网络源地址集合中确定所述攻击节点对应的目标源地址之后，所述方法还包括：

根据所述目标源地址和预设防护分配规则确定目标网络防护设备；

向所述目标网络防护设备发送防护指令，所述防护指令用于指示所述目标网络防护设备执行所述获取的防护策略。

作为一种可能的实施方式，所述网络源地址为物理网卡地址。

第二方面，本申请实施例提供了一种电子设备，包括：监测模块、获取模块、确定模块、分析模块和防护模块，其中：

所述监测模块，用于根据预设网络状态判断规则监测网络状态数据，确定目标网络状态，所述网络状态数据包括流量状态数据，所述确定目标网络状态包括：

根据所述流量状态数据与预设流量监控规则确定是否处于流量异常状态；

所述获取模块，用于若所述目标网络状态处于所述流量异常状态，获取告警日志数据；所述确定模块，用于确定所述告警日志数据所包含的攻击节点；

所述分析模块，用于从网络源地址集合中确定所述攻击节点对应的目标源地址；

所述防护模块，用于根据预设地址与攻击源标签的对应关系，确定所述目标源地址所对应的目标攻击源标签，根据预设攻击源标签与防护策略的映射关系，获取所述目标攻击源标签对应的防护策略，并执行所述获取的防护策略。

第三方面，本申请实施例还提供了一种电子设备，包括处理器、输入设备、输出设备和存储器，所述处理器、输入设备、输出设备和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行如第一方面及其任一种可能的实施方式所述的方法。

第四方面，本申请实施例提供了一种计算机存储介质，所述计算机存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行上述第一方面及其任一种可能的实施方式的方法。

本申请实施例通过根据预设网络状态判断规则监测网络状态数据，确定目标网络状态，上述网络状态数据包括流量状态数据，上述确定目标网络状态包括：根据上述流量状态数据与预设流量监控规则确定是否处于流量异常状态，若处于，获取告警日志数据，确定上述告警日志数据所包含的攻击节点，从网络源地址集合中确定上述攻击节点对应的目标源地址，根据预设地址与攻击源标签的对应关系，确定上述目标源地址所对应的目标攻击源标签，根据预设攻击源标签与防护策略的映射关系，获取上述目标攻击源标签对应的防护策略，并执行上述获取的防护策略，可以准确识别真实的攻击节点源地址，再使用具有针对性的防护策略进行防护，提高了网络安全性。

附图说明

为了更清楚地说明本申请实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍。

图1是本申请实施例提供的一种网络攻击源定位及防护方法的流程示意图；

图2是本申请另一实施例提供的一种网络攻击源定位及防护方法的流程示意图；

图3是本申请实施例提供的一种电子设备的结构示意图；

图4是本申请实施例提供的另一种电子设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。

基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。

还应当理解，在此本申请说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本申请。如在本申请说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

还应当进一步理解，在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

如在本说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。

为了能够更好地理解本申请实施例，下面将对应用本申请实施例的方法进行介绍。

本申请实施例中提到的电子设备可以包括终端设备，上述终端设备是可以与服务器进行通信的设备，上述服务器也称伺服器，是提供计算服务的设备，可以允许多个终端设备进行访问。上述终端设备可以为计算机或者移动终端，包括各种具有无线通信功能的手持设备、可穿戴设备、计算设备或连接到无线调制解调器的其他处理设备，以及各种形式的用户设备(userequipment，ue)，移动台(mobilestation，ms)等等。

请参见图1，是本申请实施例提供的一种网络攻击源定位及防护方法的示意流程图，如图1所示该方法可包括：

101、根据预设网络状态判断规则监测网络状态数据，确定目标网络状态。

上述网络状态数据包括流量状态数据，上述确定目标网络状态包括：

根据上述流量状态数据与预设流量监控规则确定是否处于流量异常状态。

上述流量状态数据为描述网络流量情况的数据，可以来自电子设备中的监控软件或程序，也可以来自后台监控进程或者各网站独立的监控插件。

本申请实施例中的互联网协议地址(internetprotocoladdress，ip地址)又译为网际协议地址，是分配给用户上网使用的网际协议(internetprotocol，ip)的设备的数字标签。

ip攻击器和攻击源定位是指当网络攻击(比如ddos)发生时或攻击完成后，根据现有的信息识别出攻击路径，找到攻击发起位置。攻击源追踪定位技术的难点在于难以准确定位，因为大部分攻击包源地址都是随机生成的伪地址。根据攻击网络结构，按照准确度的逐渐提高，可分为定位到发起攻击。

具体的，上述网络状态数据为描述网络情况的数据，可以来自电子设备中的监控软件或程序，也可以来自后台监控进程或者各网站独立的监控插件。可选的，上述电子设备可以为局域网网络或者区块链网络中的一个节点。

电子设备中可以存储有上述预设网络状态判断规则，上述预设网络状态判断规则中可以包括不同网络状态下的网络参数或者指标，具体可以为网络状态与网络参数的对应关系，即通过上述监测的网络状态数据中的网络参数，基于上述预设网络状态判断规则可以对当前网络状态进行判断，可以确定监测到的网络状态数据所对应的目标网络状态，即当前网络状态。

电子设备中可以存储有上述预设流量监控规则，上述预设流量监控规则中可以包括不同流量状态(包括上述流量异常状态)下的网络流量参数或者指标，具体可以为流量状态与流量参数的对应关系，即通过上述监测的流量状态数据中的流量参数，基于上述预设流量监控规则可以对当前网络的流量状态进行判断，可以确定监测到的流量状态数据所对应的状态是否为上述流量异常状态。比如某时刻电子设备中的某数据流流量突然增加到该数据流预设的异常阈值以上，可以判断处于流量异常状态。

可选的，还可以通过其他方式监测网络状态数据，以及发现其他的异常状态。上述异常状态可以为预设网络状态判断规则中的一种网络状态，上述网络状态可以包括正常状态，也可以包括至少一种异常状态，在监测到上述异常状态时可以执行步骤102。

若处于流量异常状态，可以执行步骤102。

上述监测网络状态数据的步骤可以周期性执行，上述步骤101也可以周期性的执行，以及时发现网络环境的变化。

102、若处于上述流量异常状态，获取告警日志数据，确定上述告警日志数据所包含的攻击节点。

此时初步判断可能发生网络攻击，可以获取告警日志数据进行分析。

上述告警日志数据主要指网络上的攻击告警日志数据，电子设备可以周期性地采集与网络环境相连接的网站的上述告警日志数据，上述告警日志数据可以是由网络中的网络入侵检测装置根据网络中的攻击行为形成并且传送的。

可选的，上述网络状态数据中就可以包括上述告警日志数据，可以来自系统自带的监测程序或者其他网络安全防护软件，在获取上述告警日志数据后，可以根据上述告警日志数据确定攻击节点(攻击节点ip)。

具体的，上述告警日志数据中可以包含上述攻击发生的节点标识，即可以通过告警日志数据确定攻击节点。

在一种可选的实施方式中，可以根据预设字段标识提取告警日志数据的目标字段，确定目标字段为攻击节点ip。即可以通过分析告警日志数据的特定字段来确定网络中的攻击节点ip，通过关键字提取的方式，提取预设字段标识所对应的字段，即上述目标字段，可以获得攻击节点的信息，以确定攻击节点。可选的，上述提取的目标字段可以是攻击节点标识，如攻击节点地址(此时可能为虚拟地址)、攻击节点名称等，本申请实施例不做限制。

可选的，在此基础上，本申请中提到的流量异常状态的监控方式可以理解为通过追踪攻击源获取攻击包的特征从而对流量进行过滤，还可以联系互联网服务提供商(internetserviceprovider，isp)寻求帮助。

103、从网络源地址集合中确定上述攻击节点对应的目标源地址。

具体的，上述网络源地址可以为物理网卡地址。在该电子设备所在的网络中可以对各电子设备(终端设备)执行严格的身份管理，将真实的mac地址与真实ip一一对应，再通过免疫驱动对本机数据进行免疫封装，可以形成巡路免疫方案，能解决二级路由下的终端侦测和管理、ip-mac完全克隆、对终端身份控制从系统到封包等其他解决不了或解决不彻底的问题，可以进一步提高网络防护性能。

本申请实施例中的物理网卡地址可以为媒体访问控制地址(mediaaccesscontroladdress，mac地址)，也称为局域网地址(lanaddress)，以太网地址(ethernetaddress)或物理地址(physicaladdress)，它是一个用来确认网上设备位置的地址。在osi模型中，第三层网络层负责ip地址，第二层数据链接层则负责mac地址。mac地址用于在网络中唯一标示一个网卡，一台设备若有一或多个网卡，则每个网卡都需要并会有一个唯一的mac地址。

具体的，电子设备中可以存储有包含多个网络源地址的网络源地址集合，可以为多个网络源地址信息表的形式，也可以在网络中获取该信息表。而基于路由器或者网关可以通过检测mac地址来确定攻击节点的源ip地址，即上述目标源地址。

地址解析协议(addressresolutionprotocol，arp)是根据ip地址获取物理地址的一个tcp/ip协议。设备发送信息时将包含目标ip地址的arp请求广播到网络上的所有设备，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该ip地址和物理地址存入本机arp缓存中并保留一定时间，下次请求时直接查询arp缓存以节约资源。地址解析协议是建立在网络中各个设备互相信任的基础上的，网络上的设备可以自主发送arp应答消息，其他设备收到应答报文时不会检测该报文的真实性就会将其记入本机arp缓存；由此攻击节点就可以向某一设备发送伪arp应答报文，使其发送的信息无法到达预期的设备或到达错误的设备，这就构成了一个arp欺骗。上述arp命令可用于查询该电子设备的arp缓存中ip地址和mac地址的对应关系，以及还可以添加或删除静态对应关系等，便于电子设备进行地址管理和攻击防护。

举例来讲，假设在一个局域网中有两台设备a和b，设备a只知道设备b的ip但不知道其mac地址。现在，设备a想和设备b通信，根据osi七层模型，当数据封装到数据链路层(即mac层)，便会向局域网内所有的设备发送一个arp请求包，当b收到该请求包时就会返回给a一个arp应答包(中间要有驱动支持)，将自己的mac地址告诉b，这样双方就可以继续进行数据传输了。而如果在这个请示与应答的过程中，局域网内有一台设备c的ip与a相同，于是就会弹出一个ip冲突框。当这种情况增多时，就会构成局域网攻击，导致计算机无法正常网络通信，就成了arp拒绝服务攻击。

一般情况下电子设备的用户可以手动操作：在cmd下输入ipconfig，找到默认网关，再使用arp-a命令找到与默认网关ip对应的物理地址并复制。在网络正常时这就是网关正确的地址，如果再次遭到攻击，就立刻断网查毒，而本申请实施例中可以通过编程直接调用预设程序和规则，基于mac与ip的绑定关系对攻击源进行定位，进而进行网络防护。

对于内网环境，可以直接将内网设备的mac地址记录在网关的nat表里，达到网关的“先天免疫”，而内网的设备需要安装上网驱动，安装之后该驱动会工作在每个设备的网卡协议栈中，也就是说上述电子设备可以针对每个设备的网卡进行管理，可是控制每台设备的网卡绑定网关的mac地址，控制接受协议的数量，锁定疑似ddos的攻击，免疫网络是针对内网交换网络来工作的，相当于添补了以太网的协议漏洞。

本申请实施例可以包括对内网所有终端的病毒攻击、异常行为及时告警，对内外网带宽的流量即时显示、统计和状况评估，网络监控可以实现远程操作，比如将网络监控报告发送到用户终端。

在确定上述攻击节点对应的目标源地址之后，可以执行步骤104。

104、根据预设地址与攻击源标签的对应关系，确定上述目标源地址所对应的目标攻击源标签，根据预设攻击源标签与防护策略的映射关系，获取上述目标攻击源标签对应的防护策略，并执行上述获取的防护策略。

可以预先设置攻击源标签和防护策略，以及预设攻击源标签与防护策略的映射关系，通过上述目标源地址可以确定攻击源的攻击类型，即可以在上述攻击源标签中确定该目标攻击源标签。具体的，可以存储有上述预设地址与攻击源标签的对应关系，可以是预设地址区间与攻击源标签的对应关系，在获得上述目标源地址的情况下，可以根据该对应关系确定目标源地址所对应的攻击源标签，即上述目标攻击源标签。

再根据上述攻击源标签与防护策略的映射关系，确定该目标攻击源标签的防护策略，进而实施该确定的防护策略进行网络防护，可以有针对性地对目标攻击源进行防护。

比如：通过网络状态数据分析，检测到大量的established的连接状态，单个ip高达几十条甚至上百条，最终确定为cc类攻击；

若检测到大量的syn_received的连接状态，最终确定为syn类攻击；

若检测到网卡状况存在每秒接受大量的数据包，网络状态：netstat–natcp信息正常，最终确定为udp类攻击......即攻击源标签可以根据上述攻击类型划分，确定目标攻击源标签之后，可以根据上述攻击源标签与防护策略的映射关系，确定并启动该目标攻击源标签的防护策略，有针对性地对攻击源进行防护。系统可以随时更新修改上述攻击源标签的分类方法和防护策略。其中，上述防护策略可以是调用预存防护程序实现。

本申请实施例通过根据预设网络状态判断规则监测网络状态数据，确定目标网络状态，上述网络状态数据包括流量状态数据，上述确定目标网络状态包括：根据上述流量状态数据与预设流量监控规则确定是否处于流量异常状态，若处于，获取告警日志数据，确定上述告警日志数据所包含的攻击节点，从网络源地址集合中确定上述攻击节点对应的目标源地址，根据预设地址与攻击源标签的对应关系，确定上述目标源地址所对应的目标攻击源标签，根据预设攻击源标签与防护策略的映射关系，获取上述目标攻击源标签对应的防护策略，并执行上述获取的防护策略，通过先监控网络状态，再分析各项数据来进一步确定攻击源，可以更准确地识别真实的攻击节点源地址，再使用具有针对性的防护策略进行防护，提高了网络安全性。

参见图2，是本申请实施例提供的另一种网络攻击源定位及防护方法的示意流程图，图2所示的实施例可以是在图1所示的实施例的基础上得到的，如图2所示该方法可包括：

201、根据上述流量状态数据与预设流量监控规则确定是否处于流量异常状态。

其中，上述步骤201可以参考图1所示实施例中步骤10的具体描述，此处不再赘述。

在一种可选的实施方式中，可以在发生数据传输时，检测传输数据是否满足预设数据参数；

若不满足，拦截上述传输数据。

具体的，可以检测上述传输数据的数据类型是否为目标数据类型，上述目标数据类型为上述传输数据的发送方与上述传输数据的接收方之间允许传输的数据类型；

若不是，则上述传输数据不满足上述预设数据参数，可以拦截上述传输数据。若是，上述传输数据满足上述预设数据参数，可以不进行拦截，也可以继续监测本次传输。

可选的，可以触发预设的防火墙拦截机制进行数据拦截，或者调用数据拦截工具拦截上述传输数据。

可选的，在拦截传输数据的情况下，该方法还可以包括：

生成上述传输数据的拦截记录，上述拦截记录可以包括上述传输数据的发送方、上述传输数据的接收方、上述传输数据的传输时间和上述传输数据的数据类型。

电子设备中可以存储有上述预设数据参数，可以理解为限制该电子设备与其他设备进行数据传输的条件。上述预设数据参数可以为预设数据格式、数据加密方式或者数据类型。

以上述数据类型为例，电子设备可以检测上述传输数据的数据类型。在该电子设备所处的网络设置中预先可以为不同设备分配节点角色，类似于分布式系统管理，限制设备收发信息的类型，只允许设备传输与自身身份符合的数据类型，在检测到存在除此之外的伪造数据时，可以进行拦截，并且可以记载在网络监控报告中，便于查看数据传输问题和制定网络防护策略。

202、获取告警日志数据，确定上述告警日志数据所包含的攻击节点。

203、从网络源地址集合中确定上述攻击节点对应的目标源地址。

204、根据预设地址与攻击源标签的对应关系，确定上述目标源地址所对应的目标攻击源标签，根据预设攻击源标签与防护策略的映射关系，获取上述目标攻击源标签对应的防护策略。

其中，上述步骤202-步骤204可以分别参考图1所示实施例的步骤102-步骤104中的具体描述，此处不再赘述。

205、根据上述目标源地址和预设防护分配规则确定目标网络防护设备。

具体的，可以通过上述目标源地址对该攻击源进行分组处理。电子设备可以获取该网络中的网络防护设备信息，其中包括上述网络防护设备的ip地址。电子设备中还可以存储有上述预设防护分配规则，具体可以为源地址字段与网络防护设备的对应关系，即基于上述目标源地址的特定字段，可以确定针对该攻击源进行防护的目标网络防护设备。在攻击源为多个的时候，可以分别确定每一组攻击源的网络防护设备，比如具体可以按照网络地址字段就近分配，来实现分组防护。

在确定上述目标网络防护设备之后，可以执行步骤206。

206、向上述目标网络防护设备发送防护指令，上述防护指令用于指示上述目标网络防护设备执行上述获取的防护策略。

在确定上述目标网络防护设备之后，可以生成上述防护指令，该防护指令可以包含上述攻击源信息，还可以包含上述获取的防护策略，目标网络防护设备可以接收并相应上述防护指令，进而执行上述获取的防护策略进行网络防护，保证网络安全。

可选的，还可以生成包含上述目标源地址的攻击源信息，向预设服务器发送上述攻击源信息。

具体的，电子设备中可以存储有上述预设服务器，在定位攻击源之后，还可以生成包含上述目标源地址的攻击源信息，将该攻击源信息向上述预设服务器广播，使其他服务器可以及时知晓攻击源信息、实施防护策略。并且，根据各个攻击源ip地址，按照上述预设防护分配规则，对接收的攻击源数据包分组进行过滤处理，可以高效地地从源头抑制网络攻击。

通过使用物理网卡地址可以进一步提高网络的安全性。在确定攻击源时，可以首先监控网络状态，再分析各项数据来进一步确定攻击源，提高准确率；可以分组处理网络攻击，从源头抑制网络攻击，节约了骨干网的各个节点以及其它汇聚的各个节点的宽带，减少了网络阻塞。

可选的，针对内网还可以引入应用群防群控功能，每一个免疫驱动都具有感知同一个网段内其他设备非法接入、发生攻击行为的能力，并告知可能不在同一个广播域内的免疫运营中心和网关，从而由免疫网络对该行为进行相应处理等。

可选的，本申请实施例中还可以结合其他追踪技术以更准确地确定攻击源，比如目前主要的ddos追踪技术有packetmarking、icmp追踪、logging以及controlledflooding。这些跟踪技术一般都需要路由器的支持，实际中也需要isp的协助。

本申请实施例中，根据上述流量状态数据与预设流量监控规则确定是否处于流量异常状态，获取告警日志数据，根据预设日志分析规则分析上述告警日志数据，以确定攻击节点，再获取网络源地址，在上述网络源地址中确定上述攻击节点对应的目标源地址，然后可以根据上述目标源地址确定目标攻击源标签，根据预设攻击源标签与防护策略的映射关系，获取上述目标攻击源标签对应的防护策略，再根据上述目标源地址和预设防护分配规则确定目标网络防护设备，向上述目标网络防护设备发送防护指令，以指示上述目标网络防护设备执行上述获取的防护策略，通过先监控网络状态，再分析各项数据来进一步确定攻击源，可以更准确地识别真实的攻击节点源地址，再选择合适的网络防护设备实施防护策略抑制网络攻击，提高了网络安全性。

请参见图3，图3是本申请实施例提供的一种电子设备的结构示意图，该电子设备300包括监测模块310、获取模块320、确定模块330、分析模块340和防护模块350，其中：

上述监测模块310，用于根据预设网络状态判断规则监测网络状态数据，确定目标网络状态，所述网络状态数据包括流量状态数据，所述确定目标网络状态包括：

根据所述流量状态数据与预设流量监控规则确定是否处于流量异常状态；

上述获取模块320，用于若所述目标网络状态处于所述流量异常状态，获取告警日志数据；上述确定模块330，用于确定所述告警日志数据所包含的攻击节点；

上述分析模块340，用于从网络源地址集合中确定所述攻击节点对应的目标源地址；

上述防护模块350，用于根据预设地址与攻击源标签的对应关系，确定所述目标源地址所对应的目标攻击源标签，根据预设攻击源标签与防护策略的映射关系，获取所述目标攻击源标签对应的防护策略，并执行所述获取的防护策略。

可选的，上述确定模块330具体用于：

根据预设字段标识提取所述告警日志数据的目标字段，确定所述目标字段为所述攻击节点。

可选的，上述监测模块310还用于：

在发生数据传输时，检测所述传输数据的数据类型是否为目标数据类型，所述目标数据类型为所述传输数据的发送方与所述传输数据的接收方之间允许传输的数据类型；

若不是，拦截所述传输数据。

可选的，上述电子设备300还包括生成模块360，用于生成所述传输数据的拦截记录，所述拦截记录包括所述传输数据的发送方、所述传输数据的接收方、所述传输数据的传输时间和所述传输数据的数据类型。

可选的，上述电子设备300还包括传输模块370；

上述生成模块360还用于，上述确定模块340从网络源地址集合中确定所述攻击节点对应的目标源地址之后，生成包含上述目标源地址的攻击源信息；上述传输模块370，用于向预设服务器发送上述攻击源信息。

可选的，上述确定模块340还用于，从网络源地址集合中确定所述攻击节点对应的目标源地址之后，根据上述目标源地址和预设防护分配规则确定目标网络防护设备；

上述传输模块370还用于，向上述目标网络防护设备发送防护指令，上述防护指令用于指示上述目标网络防护设备执行上述获取的防护策略。

可选的，上述网络源地址为物理网卡地址。

根据本申请实施例的具体实施方式，图1与图2所示的网络攻击源定位及防护方法涉及的步骤101～104、201～206可以是由图3所示的电子设备300中的各个模块来执行的。例如，图1中的步骤101～104可以分别由图3中所示的监测模块310、获取模块320、确定模块330、分析模块340和防护模块350来执行。

通过本申请实施例的电子设备300，电子设备300可以根据预设网络状态判断规则监测网络状态数据，确定目标网络状态，上述网络状态数据包括流量状态数据，上述确定目标网络状态包括：根据上述流量状态数据与预设流量监控规则确定是否处于流量异常状态，若处于，获取告警日志数据，确定上述告警日志数据所包含的攻击节点，从网络源地址集合中确定上述攻击节点对应的目标源地址，根据预设地址与攻击源标签的对应关系，确定上述目标源地址所对应的目标攻击源标签，根据预设攻击源标签与防护策略的映射关系，获取上述目标攻击源标签对应的防护策略，并执行上述获取的防护策略，通过先监控网络状态，再分析各项数据来进一步确定攻击源，可以更准确地识别真实的攻击节点源地址，再使用具有针对性的防护策略进行防护，提高了网络安全性。

请参阅图4，图4是本申请实施例公开的另一种电子设备的结构示意图。如图4所示，该电子设备400包括处理器401和存储器402，其中，电子设备400还可以包括总线403，处理器401和存储器402可以通过总线403相互连接，总线403可以是外设部件互连标准(peripheralcomponentinterconnect，pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture，eisa)总线等。总线403可以分为地址总线、数据总线、控制总线等。为便于表示，图4中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。其中，电子设备400还可以包括输入输出设备404，输入输出设备404可以包括显示屏，例如液晶显示屏。存储器402用于存储包含指令的一个或多个程序；处理器401用于调用存储在存储器402中的指令执行上述图1和图2实施例中提到的部分或全部方法步骤。

应当理解，在本申请实施例中，所称处理器401可以是中央处理单元(centralprocessingunit，cpu)，该处理器还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现成可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

输入设备402可以包括触控板、指纹采传感器(用于采集用户的指纹信息和指纹的方向信息)、麦克风等，输出设备403可以包括显示器(lcd等)、扬声器等。

该存储器404可以包括只读存储器和随机存取存储器，并向处理器401提供指令和数据。存储器404的一部分还可以包括非易失性随机存取存储器。例如，存储器404还可以存储设备类型的信息。

通过本申请实施例的电子设备400，电子设备400可以根据预设网络状态判断规则监测网络状态数据，确定目标网络状态，上述网络状态数据包括流量状态数据，上述确定目标网络状态包括：根据上述流量状态数据与预设流量监控规则确定是否处于流量异常状态，若处于，获取告警日志数据，确定上述告警日志数据所包含的攻击节点，从网络源地址集合中确定上述攻击节点对应的目标源地址，根据预设地址与攻击源标签的对应关系，确定上述目标源地址所对应的目标攻击源标签，根据预设攻击源标签与防护策略的映射关系，获取上述目标攻击源标签对应的防护策略，并执行上述获取的防护策略，通过先监控网络状态，再分析各项数据来进一步确定攻击源，可以更准确地识别真实的攻击节点源地址，再使用具有针对性的防护策略进行防护，提高了网络安全性。

本申请实施例还提供一种计算机存储介质，其中，该计算机存储介质存储用于电子数据交换的计算机程序，该计算机程序使得计算机执行如上述方法实施例中记载的任何一种网络攻击源定位及防护方法的部分或全部步骤。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置，可通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储器中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储器中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储器包括：u盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。