IP信息处理方法、装置、电子设备和存储介质

技术领域

本申请涉及计算机技术领域，具体而言，涉及一种IP信息处理方法、装置、电子设备和存储介质。

背景技术

随着近些年网络安全领域越来越受国家和社会的重视。互联网中出现的大量攻击者，使用漏洞扫描工具（漏洞扫描工具：判断目标IP服务是否存在漏洞），对全网的IP互联网中的服务进行扫描，从而得到IP上下文信息。

然而，现有技术中的IP上下文信息存在不全面、准确性较低的缺点。

发明内容

本申请实施例的目的在于提供一种IP信息处理方法、装置、电子设备和存储介质，用以生成更加全面IP上下文信息和提高IP上下文信息的准确性。

第一方面，本发明提供一种IP信息处理方法，所述方法包括：

获取IP端口服务信息数据、IP攻击信息数据和IP基础信息数据，其中，所述IP端口服务信息数据由网络空间探测系统采集，所述IP攻击信息数据由互联网蜜罐系统采集；

对基于所述IP端口服务信息数据、所述IP攻击信息数据和所述IP基础信息数据进行分析，以生成IP上下文信息。

在本申请第一方面中，通过获取IP端口服务信息数据、IP攻击信息数据和IP基础信息数据，其中，所述IP端口服务信息数据由网络空间探测系统采集，所述IP攻击信息数据由互联网蜜罐系统采集，进而能够对基于所述IP端口服务信息数据、所述IP攻击信息数据和所述IP基础信息数据进行分析，以生成IP上下文信息。与现有技术相比，由于本申请的IP上下文信息基于IP端口服务信息数据、IP攻击信息数据和IP基础信息数据生成，因此更加全面、准确性更高。

在可选的实施方式中，所述IP攻击信息数据包括：攻击者的源IP、攻击者的源端口、攻击者的HTTP请求方法、攻击者攻击的目标服务类型、攻击者攻击的目标端口、攻击者的HTTP请求的UserAgent，攻击者请求的URL地址和攻击者发送的POST包的值；

以及，所述IP端口服务信息数据包括：目标IP开放的端口、响应包详情、服务名称和版本信息；

以及，所述IP基础信息数据包括目标IP的地理位置、目标IP解析的域名、目标IP解析的域名的域名注册人和目标IP解析的域名的邮箱。

在上述可选的实施方式中，通过攻击者的源IP、攻击者的源端口、攻击者的HTTP请求方法、攻击者攻击的目标服务类型、攻击者攻击的目标端口等数据可生成更加全面、准确性更高的IP上下文信息。

在可选的实施方式中，在所述获取IP端口服务信息数据、IP攻击信息数据和IP基础信息数据之后，所述对基于所述IP端口服务信息数据、所述IP攻击信息数据和所述IP基础信息数据进行分析，以生成IP上下文信息之前，所述方法还包括：

通过唯一的IP地址关联并存储所述IP端口服务信息数据、所述IP攻击信息数据和所述IP基础信息数据。

在上述可选的实施方式，通过唯一的IP地址关联并存储所述IP端口服务信息数据、所述IP攻击信息数据和所述IP基础信息数据，可提高IP分析效率。

在可选的实施方式中，所述对基于所述IP端口服务信息数据、所述IP攻击信息数据和所述IP基础信息数据进行分析，以生成IP上下文信息，包括：

基于所述攻击者发送的POST包的值匹配URL地址，并得到第一URL地址集合；

基于白名单过滤所述第一URL地址集合中的正常网址，得到第二URL地址集合；

下载所述第二URL地址集合中每个URL地址关联的文件；

基于杀毒引擎扫描每个所述URL地址关联的文件，其中，如果扫描结果表征所述URL地址关联的文件为恶意文件，则将所述URL地址存储到当前IP地址的木马下载地址字段，并将所述恶意文件的Hash值和所述扫描结果存储到样本集中；

将所述攻击者发送的POST包的值与预设漏洞特征进比对，若所述攻击者发送的POST包的值命中所述预设漏洞特征，则标记所述当前IP地址的漏洞类型，并确定所述当前IP地址存在渗透攻击；

判断所述攻击者的HTTP请求方法是否为GET，并将所述IP攻击信息数据与漏洞特征对比；

当所述攻击者的HTTP请求方法为GET，且对比结果表征所述IP攻击信息中没有漏洞利用的字符特征时，确定所述当前IP地址存在扫描攻击。

在上述可选的实施方式中，基于所述攻击者发送的POST包的值匹配URL地址，能够得到第一URL地址集合，进而基于白名单过滤所述第一URL地址集合中的正常网址，能够得到第二URL地址集合，进而能够下载所述第二URL地址集合中每个URL地址关联的文件，进而能够基于杀毒引擎扫描每个所述URL地址关联的文件，其中，如果扫描结果表征所述URL地址关联的文件为恶意文件，则将所述URL地址存储到当前IP地址的木马下载地址字段，并将所述恶意文件的Hash值和所述扫描结果存储到样本集中。另一方面，通过将所述攻击者发送的POST包的值与预设漏洞特征进比对，进而当所述攻击者发送的POST包的值命中所述预设漏洞特征，则可以标记所述当前IP地址的漏洞类型，并确定所述当前IP地址存在渗透攻击。再一方面，通过判断所述攻击者的HTTP请求方法是否为GET，并将所述IP攻击信息数据与漏洞特征对比，进而在所述攻击者的HTTP请求方法为GET，且对比结果表征所述IP攻击信息中没有漏洞利用的字符特征时，可以确定所述当前IP地址存在扫描攻击。

在可选的实施方式中，所述对基于所述IP端口服务信息数据、所述IP攻击信息数据和所述IP基础信息数据进行分析，以生成IP上下文信息，还包括：

判断所述攻击者的HTTP请求的UserAgent是否大于5种，若是则确定攻击者具备隐藏能力的自动化扫描攻击；

判断所述攻击者的HTTP请求的UserAgent是否存在僵尸网络字符特征，如果有则对所述当前IP地址进行僵尸网络家族标记。

在上述可选的实施方式中，通过判断所述攻击者的HTTP请求的UserAgent是否大于5种，进而能够确定攻击者具备隐藏能力的自动化扫描攻击。另一方面，通过判断所述攻击者的HTTP请求的UserAgent是否存在僵尸网络字符特征，进而能够对所述当前IP地址进行僵尸网络家族标记。

在可选的实施方式中，所述对基于所述IP端口服务信息数据、所述IP攻击信息数据和所述IP基础信息数据进行分析，以生成IP上下文信息，还包括：

判断所述目标IP开放的端口是否为22端口，若是则确定所述当前IP地址为linux服务器的IP地址；

判断所述目标IP开放的端口是否为3389端口，若是则确定所述当前IP地址为windows服务器的IP地址。

在上述可选的实施方式中，通过判断所述目标IP开放的端口是否为22端口，进而能够确定所述当前IP地址为linux服务器的IP地址。另一方面，通过判断所述目标IP开放的端口是否为3389端口，进而能够确定所述当前IP地址为windows服务器的IP地址。

在可选的实施方式中，所述对基于所述IP端口服务信息数据、所述IP攻击信息数据和所述IP基础信息数据进行分析，以生成IP上下文信息，还包括：

判断所述目标IP解析的域名、所述目标IP解析的域名的域名注册人和所述目标IP解析的域名的邮箱是否有数据，若有则存储所述目标IP解析的域名、所述目标IP解析的域名的域名注册人和所述目标IP解析的域名的邮箱。

在上述可选的实施方式，通过判断所述目标IP解析的域名、所述目标IP解析的域名的域名注册人和所述目标IP解析的域名的邮箱是否有数据，进而能够存储所述目标IP解析的域名、所述目标IP解析的域名的域名注册人和所述目标IP解析的域名的邮箱。

第二方面，本发明提供一种IP信息处理装置，所述装置包括：

获取模块，用于获取IP端口服务信息数据、IP攻击信息数据和IP基础信息数据，其中，所述IP端口服务信息数据由网络空间探测系统采集，所述IP攻击信息数据由互联网蜜罐系统采集；

分析模块，用于对基于所述IP端口服务信息数据、所述IP攻击信息数据和所述IP基础信息数据进行分析，以生成IP上下文信息。

本申请第二方面的装置通过执行IP信息处理方法，能够获取IP端口服务信息数据、IP攻击信息数据和IP基础信息数据，其中，所述IP端口服务信息数据由网络空间探测系统采集，所述IP攻击信息数据由互联网蜜罐系统采集，进而能够对基于所述IP端口服务信息数据、所述IP攻击信息数据和所述IP基础信息数据进行分析，以生成IP上下文信息。与现有技术相比，由于本申请的IP上下文信息基于IP端口服务信息数据、IP攻击信息数据和IP基础信息数据生成，因此更加全面、准确性更高。

第三方面，本发明提供一种电子设备，包括：

处理器；以及

存储器，配置用于存储机器可读指令，所述指令在由所述处理器执行时，执行如前述实施方式任一项所述的IP信息处理方法。

本申请第三方面的电子设备通过执行IP信息处理方法，能够获取IP端口服务信息数据、IP攻击信息数据和IP基础信息数据，其中，所述IP端口服务信息数据由网络空间探测系统采集，所述IP攻击信息数据由互联网蜜罐系统采集，进而能够对基于所述IP端口服务信息数据、所述IP攻击信息数据和所述IP基础信息数据进行分析，以生成IP上下文信息。与现有技术相比，由于本申请的IP上下文信息基于IP端口服务信息数据、IP攻击信息数据和IP基础信息数据生成，因此更加全面、准确性更高。

第四方面，本发明提供一种存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行如前述实施方式任一项所述的IP信息处理方法。

本申请第四面存储介质通过执行IP信息处理方法，能够获取IP端口服务信息数据、IP攻击信息数据和IP基础信息数据，其中，所述IP端口服务信息数据由网络空间探测系统采集，所述IP攻击信息数据由互联网蜜罐系统采集，进而能够对基于所述IP端口服务信息数据、所述IP攻击信息数据和所述IP基础信息数据进行分析，以生成IP上下文信息。与现有技术相比，由于本申请的IP上下文信息基于IP端口服务信息数据、IP攻击信息数据和IP基础信息数据生成，因此更加全面、准确性更高。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1是本申请实施例公开的一种IP信息处理方法的流程示意图；

图2是本申请实施例公开的一种IP信息处理装置的结构示意图；

图3是本申请实施例公开的一种电子设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

实施例一

请参阅图1，图1是本申请实施例公开的一种IP信息处理方法的流程示意图，如图1所示，本申请实施例的方法包括以下步骤：

101、获取IP端口服务信息数据、IP攻击信息数据和IP基础信息数据，其中，IP端口服务信息数据由网络空间探测系统采集，IP攻击信息数据由互联网蜜罐系统采集；

102、对基于IP端口服务信息数据、IP攻击信息数据和IP基础信息数据进行分析，以生成IP上下文信息。

在本申请实施例中，通过获取IP端口服务信息数据、IP攻击信息数据和IP基础信息数据，其中，IP端口服务信息数据由网络空间探测系统采集，IP攻击信息数据由互联网蜜罐系统采集，进而能够对基于IP端口服务信息数据、IP攻击信息数据和IP基础信息数据进行分析，以生成IP上下文信息。与现有技术相比，由于本申请的IP上下文信息基于IP端口服务信息数据、IP攻击信息数据和IP基础信息数据生成，因此更加全面、准确性更高。

在本申请实施例中，针对步骤101，获取的IP端口服务信息数据、IP攻击信息数据和IP基础信息数据包括了多个IP地址相关的数据，例如，包括IP地址A的IP端口服务信息数据、IP攻击信息数据和IP基础信息数据，同时也包括IP地址B的IP端口服务信息数据、IP攻击信息数据和IP基础信息数据。

在本申请实施例中，针对步骤101，关于网络空间探测系统的相关说明，请参阅现有技术，本申请实施例对此不作赘述。另一方面，关于互联网蜜罐系统请参阅现有技术，本申请实施例对此不作赘述。

在本申请实施例中，针对步骤102，IP上下文信息是指对基于IP端口服务信息数据、IP攻击信息数据和IP基础信息数据进行分析，而得到的结果，例如，在基于杀毒引擎扫描每个URL地址关联的文件这一分析过程中，

如果扫描结果表征URL地址关联的文件为恶意文件，则IP上下文信息包括木马下载地址字段，其中，木马下载地址字段指向能够下载恶意文件的URL地址。

在本申请实施例中，作为一种可选的实施方式，IP攻击信息数据包括：攻击者的源IP、攻击者的源端口、攻击者的HTTP请求方法、攻击者攻击的目标服务类型、攻击者攻击的目标端口、攻击者的HTTP请求的UserAgent，攻击者请求的URL地址和攻击者发送的POST包的值。另一方面，IP端口服务信息数据包括：目标IP开放的端口、响应包详情、服务名称和版本信息。再一方面，IP基础信息数据包括目标IP的地理位置、目标IP解析的域名、目标IP解析的域名的域名注册人和目标IP解析的域名的邮箱。

在上述可选的实施方式中，通过攻击者的源IP、攻击者的源端口、攻击者的HTTP请求方法、攻击者攻击的目标服务类型、攻击者攻击的目标端口等数据可生成更加全面、准确性更高的IP上下文信息。

在上述可选的实施方式中，IP基础信息数据可由第三方平台提供。

在可选的实施方式中，在步骤101：获取IP端口服务信息数据、IP攻击信息数据和IP基础信息数据之后，步骤102：对基于IP端口服务信息数据、IP攻击信息数据和IP基础信息数据进行分析，以生成IP上下文信息之前，本申请实施例的方法还包括以下步骤：

通过唯一的IP地址关联并存储IP端口服务信息数据、IP攻击信息数据和IP基础信息数据。

在上述可选的实施方式，通过唯一的IP地址关联并存储IP端口服务信息数据、IP攻击信息数据和IP基础信息数据，可提高IP分析效率。

在上述可选的实施方式中，通过唯一的IP地址关联并存储IP端口服务信息数据、IP攻击信息数据和IP基础信息数据是指将属于相同IP地址的数据关联在一个IP地址下，例如，假设有两条数据记录，这两条数据记录分别为IP端口服务信息数据A、IP端口服务信息数据B，如果IP端口服务信息数据B的IP地址与IP端口服务信息数据A中的IP地址，则IP端口服务信息数据A、IP端口服务信息数据B关联在一起，即通过IP地址关联这两个数据记录。

在本申请第一方面中，作为一种可选的实施方式，步骤102：对基于IP端口服务信息数据、IP攻击信息数据和IP基础信息数据进行分析，以生成IP上下文信息，包括以下子步骤：

基于攻击者发送的POST包的值匹配URL地址，并得到第一URL地址集合；

基于白名单过滤第一URL地址集合中的正常网址，得到第二URL地址集合；

下载第二URL地址集合中每个URL地址关联的文件；

基于杀毒引擎扫描每个URL地址关联的文件，其中，如果扫描结果表征URL地址关联的文件为恶意文件，则将URL地址存储到当前IP地址的木马下载地址字段，并将恶意文件的Hash值和扫描结果存储到样本集中；

将攻击者发送的POST包的值与预设漏洞特征进比对，若攻击者发送的POST包的值命中预设漏洞特征，则标记当前IP地址的漏洞类型，并确定所述当前IP地址存在渗透攻击；

判断攻击者的HTTP请求方法是否为GET，并将IP攻击信息数据与漏洞特征对比；

当攻击者的HTTP请求方法为GET，且对比结果表征IP攻击信息中没有漏洞利用的字符特征时，确定当前IP地址存在扫描攻击。

在上述可选的实施方式中，基于攻击者发送的POST包的值匹配URL地址，能够得到第一URL地址集合，进而基于白名单过滤第一URL地址集合中的正常网址，能够得到第二URL地址集合，进而能够下载第二URL地址集合中每个URL地址关联的文件，进而能够基于杀毒引擎扫描每个URL地址关联的文件，其中，如果扫描结果表征URL地址关联的文件为恶意文件，则将URL地址存储到当前IP地址的木马下载地址字段，并将恶意文件的Hash值和扫描结果存储到样本集中。另一方面，通过将攻击者发送的POST包的值与预设漏洞特征进比对，进而当攻击者发送的POST包的值命中预设漏洞特征，则可以标记当前IP地址的漏洞类型，并确定当前IP地址存在渗透攻击。再一方面，通过判断攻击者的HTTP请求方法是否为GET，并将IP攻击信息数据与漏洞特征对比，进而在攻击者的HTTP请求方法为GET，且对比结果表征IP攻击信息中没有漏洞利用的字符特征时，可以确定当前IP地址存在扫描攻击。

在本申请实施例，作为一种可选的实施方式，步骤102：对基于IP端口服务信息数据、IP攻击信息数据和IP基础信息数据进行分析，以生成IP上下文信息，还包括以下子步骤：

判断攻击者的HTTP请求的UserAgent是否大于5种，若是则确定攻击者具备隐藏能力的自动化扫描攻击；

判断攻击者的HTTP请求的UserAgent是否存在僵尸网络字符特征，如果有则对当前IP地址进行僵尸网络家族标记。

在上述可选的实施方式中，通过判断攻击者的HTTP请求的UserAgent是否大于5种，进而能够确定攻击者具备隐藏能力的自动化扫描攻击。另一方面，通过判断攻击者的HTTP请求的UserAgent是否存在僵尸网络字符特征，进而能够对当前IP地址进行僵尸网络家族标记。

在上述可选的实施方式中，作为一种示例，当前IP地址可被标记为Mirai家族，kinsing僵尸网络家族中的一种标记。

在本申请实施例中，作为一种可选的实施方式，步骤102：对基于IP端口服务信息数据、IP攻击信息数据和IP基础信息数据进行分析，以生成IP上下文信息，还包括以下步骤：

判断目标IP开放的端口是否为22端口，若是则确定当前IP地址为linux服务器的IP地址；

判断目标IP开放的端口是否为3389端口，若是则确定当前IP地址为windows服务器的IP地址。

在上述可选的实施方式中，通过判断目标IP开放的端口是否为22端口，进而能够确定当前IP地址为linux服务器的IP地址。另一方面，通过判断目标IP开放的端口是否为3389端口，进而能够确定当前IP地址为windows服务器的IP地址。需要说明的是，在上述可选的实施方式中，22端口用于执行ssh服务。

在本申请实施例中，作为一种可选的实施方式，步骤102：对基于IP端口服务信息数据、IP攻击信息数据和IP基础信息数据进行分析，以生成IP上下文信息，还包括以下步骤：

判断目标IP解析的域名、目标IP解析的域名的域名注册人和目标IP解析的域名的邮箱是否有数据，若有则存储目标IP解析的域名、目标IP解析的域名的域名注册人和目标IP解析的域名的邮箱。

在上述可选的实施方式，通过判断目标IP解析的域名、目标IP解析的域名的域名注册人和目标IP解析的域名的邮箱是否有数据，进而能够存储目标IP解析的域名、目标IP解析的域名的域名注册人和目标IP解析的域名的邮箱。

在本申请实施例中，作为一种可选的实施方式，本申请实施例的方法还包括以下步骤：

展示IP上下文信息。

实施例二

请参阅图2，图2是本申请实施例公开的一种IP信息处理装置的结构示意图，如图2所示，本申请实施例的装置包括以下功能模块：

获取模块201，用于获取IP端口服务信息数据、IP攻击信息数据和IP基础信息数据，其中，IP端口服务信息数据由网络空间探测系统采集，IP攻击信息数据由互联网蜜罐系统采集；

分析模块202，用于对基于IP端口服务信息数据、IP攻击信息数据和IP基础信息数据进行分析，以生成IP上下文信息。

本申请实施例的装置通过执行IP信息处理方法，能够获取IP端口服务信息数据、IP攻击信息数据和IP基础信息数据，其中，IP端口服务信息数据由网络空间探测系统采集，IP攻击信息数据由互联网蜜罐系统采集，进而能够对基于IP端口服务信息数据、IP攻击信息数据和IP基础信息数据进行分析，以生成IP上下文信息。与现有技术相比，由于本申请的IP上下文信息基于IP端口服务信息数据、IP攻击信息数据和IP基础信息数据生成，因此更加全面、准确性更高。

实施例三

请参阅图3，图3是本申请实施例公开的一种电子设备的结构示意图，如图3所示，本申请实施例的电子设备包括：

处理器301；以及

存储器302，配置用于存储机器可读指令，指令在由处理器301执行时，执行如前述实施方式任一项的IP信息处理方法。

本申请实施例的电子设备通过执行IP信息处理方法，能够获取IP端口服务信息数据、IP攻击信息数据和IP基础信息数据，其中，IP端口服务信息数据由网络空间探测系统采集，IP攻击信息数据由互联网蜜罐系统采集，进而能够对基于IP端口服务信息数据、IP攻击信息数据和IP基础信息数据进行分析，以生成IP上下文信息。与现有技术相比，由于本申请的IP上下文信息基于IP端口服务信息数据、IP攻击信息数据和IP基础信息数据生成，因此更加全面、准确性更高。

实施例四

本申请实施例提供一种存储介质，存储介质存储有计算机程序，计算机程序被处理器执行如前述实施方式任一项的IP信息处理方法。

本申请实施例的存储介质通过执行IP信息处理方法，能够获取IP端口服务信息数据、IP攻击信息数据和IP基础信息数据，其中，IP端口服务信息数据由网络空间探测系统采集，IP攻击信息数据由互联网蜜罐系统采集，进而能够对基于IP端口服务信息数据、IP攻击信息数据和IP基础信息数据进行分析，以生成IP上下文信息。与现有技术相比，由于本申请的IP上下文信息基于IP端口服务信息数据、IP攻击信息数据和IP基础信息数据生成，因此更加全面、准确性更高。

在本申请所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

另外，作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

再者，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

需要说明的是，功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器（Read-OnlyMemory，ROM）随机存取存储器（Random Access Memory，RAM）、磁碟或者光盘等各种可以存储程序代码的介质。

在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。

以上仅为本申请的实施例而已，并不用于限制本申请的保护范围，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。