本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種建立黑名單的方法及裝置。

背景技術(shù)：

近幾年來，黑客利用發(fā)包儀器，肉雞等發(fā)起攻擊的成本越來越低，大流量攻擊事件越來越頻繁,流量清洗設(shè)備作為安全解決方案中必不可少的一環(huán)，承受的性能壓力也越來越大。流量清洗設(shè)備識別攻擊源，快速高效阻斷攻擊流量的方法一直是清洗廠商和服務(wù)商技術(shù)研究的重點(diǎn)。

在現(xiàn)有技術(shù)方案中，清洗設(shè)備多是通過黑名單的方式封殺攻擊源網(wǎng)絡(luò)協(xié)議地址(Internet Protocol Address，IP地址)，黑名單在流量處理的最前面，當(dāng)識別出攻擊源IP時便將其加入黑名單中，從而在處理過程的最前面丟棄攻擊源IP的攻擊流量，這樣才能提升設(shè)備性能。然而，清洗設(shè)備在封殺攻擊源時，往往是發(fā)現(xiàn)一個，封禁一個，由于清洗設(shè)備的內(nèi)存有限，致使黑名單往往不能覆蓋所有的攻擊源IP，而且，即使全部記錄封殺，也存在內(nèi)存耗費(fèi)巨大，和查表效率低下的問題。另一方面由于現(xiàn)在大流量攻擊的越來越多，清洗設(shè)備承受的性能壓力越來越大，往往對于每一個源地址都需要使用一定的檢測方法去判斷是否是攻擊源，大量的消耗了設(shè)備的性能。因此現(xiàn)有技術(shù)方案中存在著封禁效率低下，嚴(yán)重消耗設(shè)備性能的問題。

技術(shù)實現(xiàn)要素：

本發(fā)明提供一種建立黑名單的方法及裝置，用以解決現(xiàn)有技術(shù)中存在的封禁效率低下，嚴(yán)重消耗設(shè)備性能的問題。

本發(fā)明實施例提供一種建立黑名單的方法，包括：

按照IP地址的連續(xù)性，建立第一IP地址區(qū)間；

識別第一IP地址區(qū)間中的攻擊源IP；

根據(jù)相鄰攻擊源IP之間的間距，從第一IP地址區(qū)間中確定多個第二IP地址區(qū)，其中，每個第二IP地址區(qū)中的相鄰攻擊源IP之間的間距小于第一閾值；

針對每個第二IP地址區(qū)間，確定第二IP地址區(qū)間內(nèi)的攻擊源IP的密度，若攻擊源IP的密度大于第二閾值，則將第二IP地址區(qū)間內(nèi)首個攻擊源IP和最后一個攻擊源IP的信息記錄于黑名單中。

可選地，確定第二IP地址區(qū)間內(nèi)的攻擊源IP的密度，包括：

第二IP地址區(qū)中包括攻擊源IP及位于相鄰攻擊源IP之間的非攻擊源IP；

將第二IP地址區(qū)間中攻擊源IP的數(shù)量與第二IP地址區(qū)間包含的全部IP數(shù)量的比值作為第二IP地址區(qū)間內(nèi)的攻擊源IP的密度。

可選地，還包括：

若攻擊源IP的密度小于第二閾值或攻擊源IP未被劃入第二IP地址區(qū)間，則將攻擊源IP記錄于黑名單之中。

可選地，包括：

判斷攻擊源IP是否為公網(wǎng)IP；

若攻擊源IP為公網(wǎng)IP，則識別攻擊源IP下的攻擊端口；

將攻擊源IP與攻擊端口共同記錄于黑名單之中。

本發(fā)明實施例提供一種攔截攻擊源IP的方法，包括：

若黑名單包含訪問IP地址，則攔截訪問IP地址的訪問請求或攔截訪問IP地址的攻擊端口的訪問請求；

若所述訪問IP地址落入黑名單中的第二IP地址區(qū)間對應(yīng)的首個攻擊源IP和最后一個攻擊源IP之間，則攔截訪問IP地址的訪問請求或攔截訪問IP地址的攻擊端口的訪問請求。

本發(fā)明實施例提供一種建立黑名單的裝置，包括：

地址模塊，用于按照IP地址的連續(xù)性，建立第一IP地址區(qū)間；

識別模塊，用于識別第一IP地址區(qū)間中的攻擊源IP；

分區(qū)模塊，用于根據(jù)相鄰攻擊源IP之間的間距，從第一IP地址區(qū)間中確定多個第二IP地址區(qū)，其中，每個第二IP地址區(qū)中的相鄰攻擊源IP之間的間距小于第一閾值；

處理模塊，用于針對每個第二IP地址區(qū)間，確定第二IP地址區(qū)間內(nèi)的攻擊源IP的密度，若攻擊源IP的密度大于第二閾值，則將第二IP地址區(qū)間內(nèi)首個攻擊源IP和最后一個攻擊源IP的信息記錄于黑名單中。

可選地，還包括：

識別模塊，還用于判斷攻擊源IP是否為公網(wǎng)IP；

識別模塊，還用于當(dāng)攻擊源為公網(wǎng)IP時，識別攻擊源IP下的攻擊端口；

處理模塊，還用于當(dāng)攻擊源IP為公網(wǎng)IP時，將攻擊源IP與攻擊源的攻擊端口共同記錄于黑名單之中。

可選地，包括：

第二IP地址區(qū)中包括攻擊源IP及位于相鄰攻擊源IP之間的非攻擊源IP；

處理模塊，用于將第二IP地址區(qū)間中攻擊源IP的數(shù)量與第二IP地址區(qū)間包含的全部IP數(shù)量的比值作為第二IP地址區(qū)間內(nèi)的攻擊源IP的密度。

可選地，還包括：

處理模塊，還用于當(dāng)攻擊源IP的密度小于第二閾值或攻擊源IP未被劃入第二IP地址區(qū)間時，將攻擊源IP記錄于黑名單之中。

本發(fā)明實施例提供一種攔截攻擊源IP的裝置，包括：

識別模塊，用于識別訪問IP地址；

處理模塊，用于當(dāng)黑名單包含訪問IP地址時，攔截訪問IP地址的訪問請求或攔截訪問IP地址的攻擊端口的訪問請求；

處理模塊，還用于當(dāng)訪問IP地址落入黑名單中的第二IP地址區(qū)間對應(yīng)的首個攻擊源IP和最后一個攻擊源IP之間時，攔截訪問IP地址的訪問請求或攔截訪問IP地址的攻擊端口的訪問請求。

綜上所述，本發(fā)明實施例提供了一種建立黑名單的方法及裝置，包括：按照IP地址的連續(xù)性，建立第一IP地址區(qū)間；識別第一IP地址區(qū)間中的攻擊源IP；根據(jù)相鄰攻擊源IP之間的間距，從第一IP地址區(qū)間中確定多個第二IP地址區(qū)，其中，每個第二IP地址區(qū)中的相鄰攻擊源IP之間的間距小于第一閾值；針對每個第二IP地址區(qū)間，確定第二IP地址區(qū)間內(nèi)的攻擊源IP的密度，若攻擊源IP的密度大于第二閾值，則將第二IP地址區(qū)間內(nèi)首個攻擊源IP和最后一個攻擊源IP的信息記錄于黑名單中。本發(fā)明實施例根據(jù)現(xiàn)有攻擊行為的特點(diǎn)，針對連續(xù)性IP地址進(jìn)行分析，通過根據(jù)相鄰攻擊源IP之間的間距劃分出的第二IP地址區(qū)間包含著若干距離較近的攻擊源IP，這樣可以初步得出潛在的IP攻擊區(qū)域；再通過進(jìn)一步的對攻擊源IP密度篩選，可以選出攻擊源分布密集的第二IP地址區(qū)間，此時只需將第二IP地址區(qū)間的首末IP地址記錄于黑名單中便可以標(biāo)識出第二IP地址區(qū)間內(nèi)的所有攻擊源IP，而不需將首末IP地址之間的攻擊源IP記錄于黑名單之內(nèi)，從而使以此方案獲得的黑名單能夠反映攻擊源IP的分布規(guī)律，因此采用此黑名單可以實現(xiàn)對攻擊源IP的快速預(yù)判從而提高了封禁效率，增強(qiáng)了設(shè)備性能。此外，以區(qū)間的方式記錄攻擊源IP也能夠降低對內(nèi)存資源的占用。

附圖說明

為了更清楚地說明本發(fā)明實施例中的技術(shù)方案，下面將對實施例描述中所需要使用的附圖作簡要介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域的普通技術(shù)人員來講，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實施例提供的一種建立黑名單的方法流程圖；

圖2為本發(fā)明實施例提供的一種攻擊源IP分布圖；

圖3為本發(fā)明實施例提供的一種建立黑名單的裝置結(jié)構(gòu)示意圖；

圖4為本發(fā)明實施例提供的一種攔截裝置示意圖。

具體實施方式

為了使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合附圖對本發(fā)明作進(jìn)一步地詳細(xì)描述，顯然，所描述的實施例僅僅是本發(fā)明一部份實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其它實施例，都屬于本發(fā)明保護(hù)的范圍。

圖1示例性示出了本發(fā)明實施例提供的一種建立黑名單的方法流程圖，如圖1所示，主要包括以下步驟：

S101：按照IP地址的連續(xù)性，建立第一IP地址區(qū)間；

S102：識別第一IP地址區(qū)間中的攻擊源IP；

S103：根據(jù)相鄰攻擊源IP之間的間距，從第一IP地址區(qū)間中確定多個第二IP地址區(qū)，其中，每個第二IP地址區(qū)中的相鄰攻擊源IP之間的間距小于第一閾值；

S104：針對每個第二IP地址區(qū)間，確定第二IP地址區(qū)間內(nèi)的攻擊源IP的密度，若攻擊源IP的密度大于第二閾值，則將第二IP地址區(qū)間內(nèi)首個攻擊源IP和最后一個攻擊源IP的信息記錄于黑名單中。

具體實施過程中，步驟S101：按照IP地址的連續(xù)性，建立第一IP地址區(qū)間；將接入的IP地址按連續(xù)性排列，如以最小IP地址0.0.0.0,最大IP地址255.255.255.255按順序建立全量的IP地址區(qū)間。可選地，第一IP地址區(qū)間可以根據(jù)實際情況中接入的IP地址范圍確定，這樣可以簡化黑名單建立過程中的后續(xù)操作。圖2示例性示出了本發(fā)明實施例提供的一種攻擊源IP分布圖，如圖2所示，第一IP地址區(qū)間包括了從IP1至IP20之間共20個IP地址，每個連續(xù)的IP地址之間的間隔為1，即若IP1的IP地址為0.0.0.0，則IP20的地址為0.0.0.19?？蛇x地，建立第一IP地址區(qū)間時，并不考慮實際情況中是否有某個IP地址的連接請求，只單純從IP地址的順序排列方面處理，即：即使缺少部分IP地址，也默認(rèn)這些IP地址存在。如IP3未發(fā)起連接請求，但建立第一IP地址區(qū)間時，仍默認(rèn)IP3存在，將其包括于第一IP地址區(qū)間中。由于目前的黑客攻擊多為采用連續(xù)IP地址的方式，此方式可以有效地進(jìn)行攻擊源IP分析。

在步驟S102中，對第一IP地址區(qū)間中的每一個IP地址都進(jìn)行識別，判斷其是否為攻擊源IP?？蛇x地，采用探測算法識別攻擊源IP，即向每一個IP地址都發(fā)送探測數(shù)據(jù)包，若IP地址反饋回一個反饋數(shù)據(jù)包，則為正常IP，反之，則為攻擊源IP。可選地，也可以采用流量基線識別攻擊源IP，即統(tǒng)計IP地址的流量信息，，將此流量信息與正常用戶的流量基線對比，若此IP地址的端口流量超過了正常用戶的流量基線，則此IP地址就是攻擊源IP。可選地，若第一IP地址區(qū)間中存在默認(rèn)存在的部分實際上無訪問請求的IP地址，則默認(rèn)這些IP地址為正常IP地址。如圖2所示，IP3為建立列表時默認(rèn)存在的實際上并無訪問請求的IP地址，在進(jìn)行識別時，便默認(rèn)其為正常IP，而如IP2，IP5，IP6等為識別出的攻擊源IP。

在步驟S103相鄰攻擊源IP之間的間距可以是相鄰攻擊源IP之間間隔的IP數(shù)量，第一閾值可根據(jù)實際需求進(jìn)行設(shè)定；以圖2為例，本發(fā)明示例性示出了一種劃分第二IP地址區(qū)間的方法。如圖2所示，第一IP地址區(qū)間中包含有10個攻擊源，分別為IP2、IP5、IP6、IP7、IP9、IP12、IP15、IP16、IP17和IP18。計算每個相鄰攻擊源IP之間的間距，若間距小于預(yù)設(shè)的第一閾值，則將這些攻擊源IP以及它們之間的正常IP劃入第二IP區(qū)間。例如，若預(yù)設(shè)的第一閾值為2，則IP5、IP6、IP7、IP8和IP9構(gòu)成了一個第二IP地址區(qū)間，IP15、IP16、IP17和IP18構(gòu)成了另一個第二IP地址區(qū)間。

在步驟S104中第二IP地址區(qū)間內(nèi)的攻擊源IP的密度可通過攻擊源IP的數(shù)量與非攻擊源IP數(shù)量比值，也可以是根據(jù)攻擊源IP數(shù)量的多少來定?？蛇x地，本發(fā)明實施例提供了一種計算攻擊源IP密度的方法，第二IP地址區(qū)間中包括攻擊源IP及位于相鄰攻擊源IP之間的非攻擊源IP；將第二IP地址區(qū)間中攻擊源IP的數(shù)量與第二IP地址區(qū)間包含的全部IP數(shù)量的比值作為第二IP地址區(qū)間內(nèi)的攻擊源IP的密度。如，對于第二IP地址區(qū)間A，包括IP5、IP6、IP7、IP8和IP9共5個IP地址，其中有3個IP地址為攻擊源IP，則第二IP地址區(qū)間A的攻擊源IP密度為0.6；又如第二IP地址區(qū)間B，包括IP15、IP16、IP17和IP18共四個IP地址，且這四個IP地址皆為攻擊源IP，則第二IP地址區(qū)間B的攻擊源IP密度為1。攻擊源IP密度大于預(yù)設(shè)的第二閾值的第二IP地址區(qū)間的首末IP地址會被記錄于黑名單中，可選地，根據(jù)實際應(yīng)用情況設(shè)置第二閾值?？蛇x地，通過適當(dāng)降低第二閾值，可以對未到達(dá)的利用發(fā)包工具、肉雞等發(fā)出的攻擊，如分布式拒絕服務(wù)攻擊(Distributed Denial of Service，DDoS)，實現(xiàn)預(yù)封殺，提前防護(hù)，這是由于，類似于發(fā)包工具、肉雞等發(fā)出的攻擊方式，源IP地址是有規(guī)律的變化的，甚至可能是連續(xù)的源IP地址，通過對已到達(dá)報文的的源IP地址進(jìn)行標(biāo)記，降低區(qū)間密集度系數(shù)，就可以封禁很多未到達(dá)的源IP地址的報文，省去了解析這些數(shù)據(jù)包，再添加黑名單的步驟?？蛇x地，對黑名單設(shè)定封禁時間，在封禁時間內(nèi)禁止黑名單上的IP地址訪問請求，封禁時間結(jié)束后，刷新黑名單封禁列表。若攻擊源IP的密度大于第二閾值，則將第二IP地址區(qū)間內(nèi)首個攻擊源IP和最后一個攻擊源IP的信息記錄于黑名單中。如圖2所示的第一IP地址區(qū)間，假設(shè)由圖2中的第一IP地址區(qū)間劃分出了兩個第二IP地址區(qū)間，第二IP地址區(qū)間A由IP5、IP6、IP7、IP8和IP9構(gòu)成，第二IP地址區(qū)間B由IP15、IP16、IP17和IP18構(gòu)成，若第二IP地址區(qū)間A和第二IP地址區(qū)間B的攻擊源IP密度都大于預(yù)設(shè)的第二閾值，則分別在黑名單中記錄下IP5和IP9以表示第二IP地址區(qū)間A，記錄下IP15和IP18以表示第二IP地址區(qū)間B?？蛇x地，若攻擊源IP的密度小于第二閾值或攻擊源IP未被劃入所述第二IP地址區(qū)間，則將攻擊源IP記錄于所述黑名單之中。如圖2所示，假設(shè)由IP5、IP6、IP7、IP8和IP9構(gòu)成了第二IP地址區(qū)間，其攻擊源IP密度為0.6，但第二閾值為0.8，此時攻擊源IP5、IP7和IP9便被單獨(dú)記錄于黑名單之中。又如圖2所示，假設(shè)第一閾值為2，則攻擊源IP2將會被排除于所有的第二IP地址區(qū)間之外而成為一個獨(dú)立的攻擊源IP，此時也需將IP2單獨(dú)記錄于黑名單之中。將分散的攻擊源IP單獨(dú)記錄于黑名單中，可以避免黑名單遺漏攻擊源，增強(qiáng)黑名單的防護(hù)能力。

可選地，根據(jù)相鄰攻擊源IP之間的間距，從第一IP地址區(qū)間中確定多個第二IP地址區(qū)之前，還包括：判斷攻擊源IP是否為公網(wǎng)IP；若攻擊源IP為公網(wǎng)IP，則識別所述攻擊源IP下的攻擊端口；將所述攻擊源IP與所述攻擊端口共同記錄于所述黑名單之中。由于網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(Network Address Translation，NAT)的存在，使得攻擊源IP可能會是一個公網(wǎng)IP。公網(wǎng)IP由多個端口共用，這些端口中既有正常端口，又有攻擊端口。傳統(tǒng)封禁源IP的技術(shù)會造成對正常端口的誤殺。本發(fā)明所述方法具體實施過程中，當(dāng)確定IP地址為攻擊源IP后，會進(jìn)一步根據(jù)IP地址的端口分布判斷該IP地址是否為公網(wǎng)IP，若為公網(wǎng)IP，則根據(jù)該IP地址下的端口流量分布與根據(jù)正常端口的流量設(shè)定的流量基線比較，判斷出攻擊端口，攻擊端口較正常端口會有明顯的流量增幅，將此攻擊源IP和攻擊端口共同存于黑名單中，即只封殺了攻擊源IP下的攻擊端口，這樣便避免了對正常端口的誤殺?？蛇x的，針對包含公網(wǎng)IP的情況，本發(fā)明實施例提供另一種黑名單的建立方式，包括：建立第一IP地址區(qū)間后，識別區(qū)間中的攻擊源IP；當(dāng)確認(rèn)某一個IP地址為攻擊源IP后，進(jìn)一步確認(rèn)其是否為公網(wǎng)IP；若攻擊源IP為公網(wǎng)IP，則確認(rèn)攻擊源IP的攻擊端口，將攻擊源IP與供給端口共同記錄于黑名單的公網(wǎng)IP封禁區(qū)，同時，從第一IP地址區(qū)間中去除此公網(wǎng)IP；對去除為公網(wǎng)IP的攻擊源的第一IP區(qū)間按上述方法劃分第二IP地址區(qū)間并計算攻擊源IP密度，在密度計算時，攻擊源IP個數(shù)和第二地址區(qū)間長度都需減去被去除的公網(wǎng)IP的個數(shù)；當(dāng)攻擊源IP大于第二閾值時，將第二地址區(qū)間的起始攻擊源IP和結(jié)束攻擊源IP共同記錄于黑名單之中，并注明區(qū)間中被去除的公網(wǎng)IP信息。

可選地，針對包含公網(wǎng)IP的情況，本發(fā)明實施例提供了另一種不需將公網(wǎng)IP從第一IP地址區(qū)間去除的建立黑名單的方式，以圖2為例，表一示例性示出了本發(fā)明實施例提供的一種黑名單表現(xiàn)形式，如表一所示，封禁IP中即包括了獨(dú)立的攻擊源IP，也包括了攻擊源IP區(qū)間，在封禁IP后，又進(jìn)一步區(qū)分了公網(wǎng)IP極其下方對應(yīng)的攻擊端口。假設(shè)第一閾值為2時，第二閾值為0.8，則圖2中的攻擊源IP2為孤立的攻擊源IP，被單獨(dú)記錄于黑名單的封禁IP中，但其不是公網(wǎng)IP，因此沒有公網(wǎng)IP及攻擊端口記錄；IP5、IP6、IP7、IP8和IP9雖然構(gòu)成了第二IP地址區(qū)間，但其攻擊源IP密度為0.6，小于第二閾值，因此IP5、IP7和IP9也被單獨(dú)記錄于黑名單的封禁IP中，三者非公網(wǎng)IP，因此也無公網(wǎng)IP及攻擊端口記錄；IP12與IP9和IP15的距離都為3，大于第一閾值，因此IP12也作為一個孤立的攻擊源IP被單獨(dú)記錄于黑名單的封禁IP中，且IP12為公有IP，其攻擊端口為端口1和端口2；IP15、IP16、IP17和IP18即滿足第一閾值，又滿足第二閾值，因此采用IP15和IP18表征二者之間的所有IP，但其中IP16為公網(wǎng)IP，其攻擊端口為端口4和端口6。

表一

本發(fā)明實施例提供一種利用上述黑名單攔截攻擊源IP的方法，包括以下步驟：

步驟一：識別訪問IP地址；

步驟二：查詢訪問IP地址是否被記錄于黑名單之中或是否落入黑名單的第二IP地址區(qū)間對應(yīng)的首個攻擊源IP和最后一個攻擊源IP之間；

步驟三：若所述訪問IP地址落入黑名單中的第二IP地址區(qū)間對應(yīng)的首個攻擊源IP和最后一個攻擊源IP之間，則攔截訪問IP地址的訪問請求或攔截訪問IP地址的攻擊端口的訪問請求。

在步驟三中，若訪問IP地址非公網(wǎng)IP，則攔截該IP地址的訪問請求；若訪問IP地址為公網(wǎng)IP，則攔截該IP地址的攻擊端口的訪問請求?？蛇x地，訪問IP地址是否為公網(wǎng)IP可以通過黑名單的記錄內(nèi)容判斷，即，若黑名單中記錄了該訪問IP地址的攻擊端口信息，則此訪問IP地址為公網(wǎng)IP，需進(jìn)一步判斷此訪問進(jìn)去是否來自于訪問IP地址的攻擊端口，若是，則禁止此次訪問，若否，則放行訪問請求。可選地，訪問IP地址是否為公網(wǎng)IP也可以在步驟一中識別IP地址的同時進(jìn)行判斷。可選地，在步驟一中判斷IP地址是否為公網(wǎng)IP的情況下，黑名單可以分為非公網(wǎng)IP和公網(wǎng)IP兩個區(qū)域，若訪問IP地址是公網(wǎng)IP，則在黑名單的公網(wǎng)IP區(qū)域進(jìn)行查找，若訪問IP地址非公網(wǎng)IP，則在黑名單的非公網(wǎng)IP區(qū)域進(jìn)行查找。

可選地，若訪問IP地址被單獨(dú)記錄于黑名單中，則攔截訪問IP地址的訪問請求或攔截訪問IP地址的攻擊端口的訪問請求。若訪問IP地址非公網(wǎng)IP，則攔截此訪問IP的訪問請求，若訪問IP地址為公網(wǎng)IP，則判斷此訪問IP的訪問請求是否來自攻擊端口，若是，則攔截此訪問請求，若否，則放行此訪問請求。以表一所示的黑名單為例，當(dāng)收到IP2的訪問請求時，由于其被單獨(dú)記錄于黑名單中，且不是公網(wǎng)IP，因此直接禁止其訪問；當(dāng)收到IP12的訪問請求時，由于黑名單中不僅記錄了IP12為攻擊源IP，還記錄了IP12為公網(wǎng)IP和IP12的攻擊端口，因此還需判斷IP12的此次訪問請求來自哪一個端口，若此次IP12的訪問請求來自端口1或端口2，則攔截此次訪問請求，否則，放行此次訪問請求；當(dāng)收到IP16的訪問請求時，通過檢索黑名單封禁IP列表，確認(rèn)其位于IP15-IP18標(biāo)識的區(qū)間中，但黑名單中同時記錄了IP16為公網(wǎng)IP，此時也需判斷IP16的訪問請求來自于哪個端口，若來自于端口4或端口6，則攔截此次訪問請求，否則，放行此次訪問請求。

綜上所述，本發(fā)明實施例提供了一種建立黑名單的方法，包括：按照IP地址的連續(xù)性，建立第一IP地址區(qū)間；識別第一IP地址區(qū)間中的攻擊源IP；根據(jù)相鄰攻擊源IP之間的間距，從第一IP地址區(qū)間中確定多個第二IP地址區(qū)，其中，每個第二IP地址區(qū)中的相鄰攻擊源IP之間的間距小于第一閾值；針對每個第二IP地址區(qū)間，確定第二IP地址區(qū)間內(nèi)的攻擊源IP的密度，若攻擊源IP的密度大于第二閾值，則將第二IP地址區(qū)間內(nèi)首個攻擊源IP和最后一個攻擊源IP的信息記錄于黑名單中。本發(fā)明實施例根據(jù)現(xiàn)有攻擊行為的特點(diǎn)，針對連續(xù)性IP地址進(jìn)行分析，通過根據(jù)相鄰攻擊源IP之間的間距劃分出的第二IP地址區(qū)間包含著若干距離較近的攻擊源IP，這樣可以初步得出潛在的IP攻擊區(qū)域；再通過進(jìn)一步的對攻擊源IP密度篩選，可以選出攻擊源分布密集的第二IP地址區(qū)間，此時只需將第二IP地址區(qū)間的首末IP地址記錄于黑名單中便可以標(biāo)識出第二IP地址區(qū)間內(nèi)的所有攻擊源IP，而不需將首末IP地址之間的攻擊源IP記錄于黑名單之內(nèi)，從而使以此方案獲得的黑名單能夠反映攻擊源IP的分布規(guī)律，因此采用此黑名單可以實現(xiàn)對攻擊源IP的快速預(yù)判從而提高了封禁效率，增強(qiáng)了設(shè)備性能。此外，以區(qū)間的方式記錄攻擊源IP也能夠降低對內(nèi)存資源的占用。

基于相同的技術(shù)構(gòu)思，本發(fā)明實施例還提供一種建立黑名單的裝置，該裝置可執(zhí)行上述方法實施例。圖3示例性示出了本發(fā)明實施例提供的一種建立黑名單的裝置300，如圖3所示，主要包括：地址模塊301、識別模塊302、分區(qū)模塊303和處理模塊304，其中：

地址模塊301，用于按照IP地址的連續(xù)性，建立第一IP地址區(qū)間；

識別模塊302，用于識別第一IP地址區(qū)間中的攻擊源IP；

分區(qū)模塊303，用于根據(jù)相鄰攻擊源IP之間的間距，從第一IP地址區(qū)間中確定多個第二IP地址區(qū)，其中，每個第二IP地址區(qū)中的相鄰攻擊源IP之間的間距小于第一閾值；

處理模塊304，用于針對每個第二IP地址區(qū)間，確定第二IP地址區(qū)間內(nèi)的攻擊源IP的密度，若攻擊源IP的密度大于第二閾值，則將第二IP地址區(qū)間內(nèi)首個攻擊源IP和最后一個攻擊源IP的信息記錄于黑名單中。

可選地，還包括：

識別模塊302，還用于判斷攻擊源IP是否為公網(wǎng)IP；

識別模塊302，還用于當(dāng)攻擊源為公網(wǎng)IP時，識別攻擊源IP下的攻擊端口；

處理模塊304，還用于當(dāng)攻擊源IP為公網(wǎng)IP時，將攻擊源IP與攻擊源的攻擊端口共同記錄于黑名單之中。

可選地，包括：

第二IP地址區(qū)中包括攻擊源IP及位于相鄰攻擊源IP之間的非攻擊源IP；

處理模塊304，用于將第二IP地址區(qū)間中攻擊源IP的數(shù)量與第二IP地址區(qū)間包含的全部IP數(shù)量的比值作為第二IP地址區(qū)間內(nèi)的攻擊源IP的密度。

可選地，還包括：

處理模塊304，還用于當(dāng)攻擊源IP的密度小于第二閾值或攻擊源IP未被劃入第二IP地址區(qū)間時，將攻擊源IP記錄于黑名單之中。

圖4示例性示出了本發(fā)明實施例提供一種攔截攻擊源IP的裝置，如圖4所示，攔截裝置400包括：識別模塊401和處理模塊402，其中：

識別模塊401，用于識別訪問IP地址；

處理模塊402，當(dāng)黑名單包含所述訪問IP地址且黑名單未包含訪問IP地址的攻擊端口時，攔截訪問IP地址的訪問請求；

處理模塊402，還用于當(dāng)黑名單包含訪問IP地址且黑名單包含訪問IP地址的攻擊端口時，攔截訪問IP地址的攻擊端口的訪問請求；

處理模塊402，還用于當(dāng)訪問IP地址落入黑名單中的第二IP地址區(qū)間對應(yīng)的首個攻擊源IP和最后一個攻擊源IP之間且黑名單未包含訪問IP地址的攻擊端口時，攔截訪問IP地址的訪問請求；

處理模塊402，還用于當(dāng)訪問IP地址落入所述黑名單中的第二IP地址區(qū)間對應(yīng)的首個攻擊源IP和最后一個攻擊源IP之間且所述黑名單包含所述訪問IP地址的攻擊端口，則攔截所述訪問IP地址的攻擊端口的訪問請求。

綜上所述，本發(fā)明實施例提供了一種建立黑名單的方法及裝置，包括：按照IP地址的連續(xù)性，建立第一IP地址區(qū)間；識別第一IP地址區(qū)間中的攻擊源IP；根據(jù)相鄰攻擊源IP之間的間距，從第一IP地址區(qū)間中確定多個第二IP地址區(qū)，其中，每個第二IP地址區(qū)中的相鄰攻擊源IP之間的間距小于第一閾值；針對每個第二IP地址區(qū)間，確定第二IP地址區(qū)間內(nèi)的攻擊源IP的密度，若攻擊源IP的密度大于第二閾值，則將第二IP地址區(qū)間內(nèi)首個攻擊源IP和最后一個攻擊源IP的信息記錄于黑名單中。本發(fā)明實施例根據(jù)現(xiàn)有攻擊行為的特點(diǎn)，針對連續(xù)性IP地址進(jìn)行分析，通過根據(jù)相鄰攻擊源IP之間的間距劃分出的第二IP地址區(qū)間包含著若干距離較近的攻擊源IP，這樣可以初步得出潛在的IP攻擊區(qū)域；再通過進(jìn)一步的對攻擊源IP密度篩選，可以選出攻擊源分布密集的第二IP地址區(qū)間，此時只需將第二IP地址區(qū)間的首末IP地址記錄于黑名單中便可以標(biāo)識出第二IP地址區(qū)間內(nèi)的所有攻擊源IP，而不需將首末IP地址之間的攻擊源IP記錄于黑名單之內(nèi)，從而使以此方案獲得的黑名單能夠反映攻擊源IP的分布規(guī)律，因此采用此黑名單可以實現(xiàn)對攻擊源IP的快速預(yù)判從而提高了封禁效率，增強(qiáng)了設(shè)備性能。此外，以區(qū)間的方式記錄攻擊源IP也能夠降低對內(nèi)存資源的占用。

本發(fā)明是參照根據(jù)本發(fā)明實施例的方法、設(shè)備(系統(tǒng))、和計算機(jī)程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計算機(jī)程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合?？商峁┻@些計算機(jī)程序指令到通用計算機(jī)、專用計算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個機(jī)器，使得通過計算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。

這些計算機(jī)程序指令也可存儲在能引導(dǎo)計算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計算機(jī)可讀存儲器中，使得存儲在該計算機(jī)可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。

這些計算機(jī)程序指令也可裝載到計算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上，使得在計算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機(jī)實現(xiàn)的處理，從而在計算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。

盡管已描述了本發(fā)明的優(yōu)選實施例，但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念，則可對這些實施例作出另外的變更和修改。所以，所附權(quán)利要求意欲解釋為包括優(yōu)選實施例以及落入本發(fā)明范圍的所有變更和修改。

顯然，本領(lǐng)域的技術(shù)人員可以對本發(fā)明進(jìn)行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣，倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則本發(fā)明也意圖包含這些改動和變型在內(nèi)。