本申請要求于2011年12月31日提交中國專利局、申請?zhí)枮?01110459214.1、發(fā)明名稱為“一種支持多受控端口的訪問控制方法、裝置及系統(tǒng)”的中國專利申請的優(yōu)先權(quán)，其全部內(nèi)容通過引用結(jié)合在本申請中。

技術(shù)領(lǐng)域

本發(fā)明涉及計算機網(wǎng)絡(luò)技術(shù)領(lǐng)域，特別涉及一種網(wǎng)絡(luò)威脅的跟蹤識別方法及裝置。

背景技術(shù)

隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和應用，計算機和網(wǎng)絡(luò)已成為人們生活和工作中所必須的工具。與此同時，計算機病毒對計算機及網(wǎng)絡(luò)的攻擊也與日俱增，破壞性日益嚴重。

目前，針對計算機病毒的防護，一種是：需要在用戶端(如計算機，智能手機等)安裝病毒防護軟件，病毒防護軟件對運行在計算機上的惡意軟件或代碼進行查殺，主要是通過病毒特征匹配技術(shù)來查找已知病毒，而對于匹配不成功的病毒特征(即可能是未知的新病毒)，只能向用戶提示，用戶需要提取該病毒特征的可疑樣本，并將可疑樣本提交給防病毒廠商進行分析處理，如果防病毒廠商經(jīng)過處理確認是病毒，則由防病毒廠商提取該病毒特征，并提交到病毒庫中，再通過病毒庫升級的方式將新的病毒特征更新到該用戶本地，進行新病毒的查殺。但是，在對未知新病毒的樣本提取方面，由于用戶沒有相關(guān)領(lǐng)域的知識，提交的未知病毒樣本的質(zhì)量通常情況下都會存在問題。因此，安裝防病毒軟件只對受到威脅的用戶終端的安全進行防護，并不能對病毒傳染源進行有效的跟蹤處理。

另一種是：蜜罐技術(shù)，通過在互聯(lián)網(wǎng)上部署一些蜜罐，被動的等待攻擊者對其發(fā)動攻擊。在捕獲到攻擊信息時，進行記錄與分析。最后，將各個蜜罐收集到的攻擊信息加以匯總，從而形成僵尸網(wǎng)絡(luò)的拓撲信息。但是，這種被動的等待攻擊者對蜜罐發(fā)動攻擊，同時受蜜罐數(shù)量，部署位置的影響。

因此，在對現(xiàn)有技術(shù)的研究和實踐過程中，本發(fā)明的發(fā)明人發(fā)現(xiàn)，現(xiàn)有的實現(xiàn)方式中，只保護受保護對象免受威脅，但不對威脅來源，以及該威脅對其他用戶終端可能產(chǎn)生的危害進行跟蹤分析。

發(fā)明內(nèi)容

本發(fā)明實施例提供一種網(wǎng)絡(luò)威脅的跟蹤識別方法及裝置，以解決現(xiàn)有技術(shù)中只保護受保護對象免受威脅，不對威脅來源進行跟蹤分析，導致其他用戶網(wǎng)絡(luò)訪問不安全的技術(shù)問題。

為解決上述技術(shù)問題，本發(fā)明實施例提供一種網(wǎng)絡(luò)威脅的跟蹤識別方法，所述方法包括：

獲取網(wǎng)絡(luò)數(shù)據(jù)；

獲取所述網(wǎng)絡(luò)數(shù)據(jù)中的統(tǒng)一資源定位符URL，獲取所述網(wǎng)絡(luò)數(shù)據(jù)中的訪問URL的源端IP地址；

將所獲取的網(wǎng)絡(luò)數(shù)據(jù)中的URL及所述源端IP地址與預置的威脅跟蹤列表中的數(shù)據(jù)進行匹配；其中，所述預置的威脅跟蹤列表中保存有已知的被感染IP地址及惡意URL；

若在所述獲取的URL中匹配到有相同的URL，則將訪問過所述匹配到的URL的源端IP地址確定為被感染IP地址；

若在所述獲取的源端IP地址中匹配到有相同的IP地址，則將匹配到的源端IP地址所訪問的URL進行是否是威脅URL的分析，得到存在威脅的URL。

本發(fā)明實施例還提供一種網(wǎng)絡(luò)威脅的跟蹤識別方法，所述方法包括：

獲取網(wǎng)絡(luò)數(shù)據(jù)；

獲取所述網(wǎng)絡(luò)數(shù)據(jù)中的統(tǒng)一資源定位符URL；

將所述獲取的URL與預置的威脅跟蹤列表中的數(shù)據(jù)進行匹配，如果所述獲取的URL匹配到有相同的URL，將訪問過所述存在威脅的URL的源端IP地址確定為被感染IP地址；其中，所述預置的威脅跟蹤列表中保存有已知的惡意URL。

相應的，本發(fā)明實施例提供一種網(wǎng)絡(luò)威脅的跟蹤識別裝置，所述裝置包括：

獲取單元，用于獲取網(wǎng)絡(luò)數(shù)據(jù)；

第一確定單元，用于獲取所述網(wǎng)絡(luò)數(shù)據(jù)中的統(tǒng)一資源定位符URL，獲取所述網(wǎng)絡(luò)數(shù)據(jù)中的訪問URL的源端IP地址；

匹配單元，用于將所獲取的網(wǎng)絡(luò)數(shù)據(jù)中的URL及所述源端IP地址與預置的威脅跟蹤列表中的數(shù)據(jù)進行匹配，其中，所述預置的威脅跟蹤列表中保存有已知的被感染IP地址及惡意URL；

第二確定單元，用于在所述匹配單元匹配到有相同的URL時，將訪問過所述匹配到的URL的源端IP地址確定為被感染IP地址；

檢測單元，用于在所述匹配單元匹配到有相同的IP地址時，將匹配到的源端IP地址所訪問的URL進行是否是威脅URL的分析，得到存在威脅的URL。