CN112272157B - 主机ip地址的转换方法、装置、计算机设备及存储介质 - Google Patents

Abstract

本申请提出一种主机IP地址的转换方法、装置、计算机设备及存储介质，通过获取预设时段内的多个第一IP信息，将包含相同源IP地址的所有第一IP信息划分为一个第一IP组，以生成与多个第一IP信息对应的至少一个第一IP组，并判断每个第一IP组中所有第一IP信息的其他字段中是否存在满足预设透传条件的透传IP字段，在至少一个第一IP组中，确定存在透传IP字段的至少一个第二IP组，并根据至少一个第二IP组对应的所有目的IP地址和透传IP字段对应的透传IP地址，对至少一个第二IP组对应的源IP地址进行主机地址的转换。本方案能实现网络连接数据中透传的真实IP地址的转换，为提升后端业务系统的安全检测能力提供条件。

Description

主机IP地址的转换方法、装置、计算机设备及存储介质

技术领域

本申请涉及网络安全技术领域，尤其涉及一种主机IP地址的转换方法、装置、计算机设备及存储介质。

背景技术

基于网络的安全检测技术是最常见的安全检测技术之一。在通过网络分析安全事件时，源IP地址、目的IP地址等IP信息是判断攻击者和被攻击资产的核心数据。

在源IP代理/源IP NAT(网络地址转换，Network Address Translation)场景下，源IP会发生转换，如果在进行安全检测时采集到的是转换后的IP，则会导致安全分析的结果无法获取到真实的攻击者IP信息，从而无法准确定位到真实的网络攻击者。

发明内容

本申请旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本申请的第一个目的在于提出一种主机IP地址的转换方法，以实现网络连接数据中透传的真实IP地址的转换，获取到真实的IP地址，从而使得后端业务系统能够准确地定位到真实的网络攻击者，为提升后端业务系统的安全检测能力提供了条件，解决现有技术中源IP代理/源IP NAT场景下，无法获取到真实的攻击者IP信息，导致无法定位真实攻击源的问题。

本申请的第二个目的在于提出一种主机IP地址的转换装置。

本申请的第三个目的在于提出一种计算机设备。

本申请的第四个目的在于提出一种非临时性计算机可读存储介质。

为达上述目的，本申请第一方面实施例提出了一种主机IP地址的转换方法，包括：

获取预设时段内的多个第一IP信息，其中，每个所述第一IP信息包括源IP地址所在的源IP字段、目的IP地址所在的目的IP字段和其他字段；

将包含相同源IP地址的所有第一IP信息划分为一个第一IP组，以生成与所述多个第一IP信息对应的至少一个第一IP组；

判断每个所述第一IP组中所有第一IP信息的其他字段中，是否存在满足预设透传条件的透传IP字段；

在所述至少一个第一IP组中，确定存在所述透传IP字段的至少一个第二IP组，并根据所述至少一个第二IP组对应的所有目的IP地址和所述透传IP字段对应的透传IP地址，对所述至少一个第二IP组对应的源IP地址进行主机地址的转换。

本申请实施例的主机IP地址的转换方法，通过获取预设时段内的多个第一IP信息，每个第一IP信息包括源IP地址所在的源IP字段、目的IP地址所在的目的IP字段和其他字段，将包含相同源IP地址的所有第一IP信息划分为一个第一IP组，以生成与多个第一IP信息对应的至少一个第一IP组，并判断每个第一IP组中所有第一IP信息的其他字段中，是否存在满足预设透传条件的透传IP字段，进而，在至少一个第一IP组中，确定存在透传IP字段的至少一个第二IP组，并根据至少一个第二IP组对应的所有目的IP地址和透传IP字段对应的透传IP地址，对至少一个第二IP组对应的源IP地址进行主机地址的转换。由此，通过识别透传IP字段并根据透传IP字段对应的透传IP地址，对源IP地址进行主机地址的转换，实现了网络连接数据中透传的真实IP地址的转换，能够获取到真实的IP地址，从而使得后端业务系统能够根据真实的IP地址准确地定位到真实的网络攻击者，为提升后端业务系统的安全检测能力和检测准确率提供了条件。

为达上述目的，本申请第二方面实施例提出了一种主机IP地址的转换装置，包括：

获取模块，用于获取预设时段内的多个第一IP信息，其中，每个所述第一IP信息包括源IP地址所在的源IP字段、目的IP地址所在的目的IP字段和其他字段；

分组模块，用于将包含相同源IP地址的所有第一IP信息划分为一个第一IP组，以生成与所述多个第一IP信息对应的至少一个第一IP组；

判断模块，用于判断每个所述第一IP组中所有第一IP信息的其他字段中，是否存在满足预设透传条件的透传IP字段；

转换模块，用于在所述至少一个第一IP组中，确定存在所述透传IP字段的至少一个第二IP组，并根据所述至少一个第二IP组对应的所有目的IP地址和所述透传IP字段对应的透传IP地址，对所述至少一个第二IP组对应的源IP地址进行主机地址的转换。

本申请实施例的主机IP地址的转换装置，通过获取预设时段内的多个第一IP信息，每个第一IP信息包括源IP地址所在的源IP字段、目的IP地址所在的目的IP字段和其他字段，将包含相同源IP地址的所有第一IP信息划分为一个第一IP组，以生成与多个第一IP信息对应的至少一个第一IP组，并判断每个第一IP组中所有第一IP信息的其他字段中，是否存在满足预设透传条件的透传IP字段，进而，在至少一个第一IP组中，确定存在透传IP字段的至少一个第二IP组，并根据至少一个第二IP组对应的所有目的IP地址和透传IP字段对应的透传IP地址，对至少一个第二IP组对应的源IP地址进行主机地址的转换。由此，通过识别透传IP字段并根据透传IP字段对应的透传IP地址，对源IP地址进行主机地址的转换，实现了网络连接数据中透传的真实IP地址的转换，能够获取到真实的IP地址，从而使得后端业务系统能够根据真实的IP地址准确地定位到真实的网络攻击者，为提升后端业务系统的安全检测能力和检测准确率提供了条件。

为达上述目的，本申请第三方面实施例提出了一种计算机设备，包括处理器、存储器和存储在所述存储器上并可在所述处理器上运行的计算机程序，当所述计算机程序被所述处理器执行时，实现如前述第一方面实施例所述的主机IP地址的转换方法。

为了实现上述目的，本申请第四方面实施例提出了一种非临时性计算机可读存储介质，其上存储有计算机程序，当所述计算机程序被处理器执行时，实现如前述第一方面实施例所述的主机IP地址的转换方法。

为了实现上述目的，本申请第五方面实施例提出了一种计算机程序产品，当所述计算机程序产品中的指令由处理器执行时，执行如前述第一方面实施例所述的主机IP地址的转换方法。

本申请附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本申请的实践了解到。

附图说明

本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为本申请一实施例所提供的主机IP地址的转换方法的流程示意图；

图2为本申请另一实施例所提供的主机IP地址的转换方法的流程示意图；

图3为本申请又一实施例所提供的主机IP地址的转换方法的流程示意图；

图4为本申请一具体实施例的自动学习并转换源IP为透传真实IP的实现过程示例图；

图5为本申请一实施例提供的主机IP地址的转换装置的结构示意图；

图6为本申请另一实施例提供的主机IP地址的转换装置的结构示意图；以及

图7为本申请又一实施例提供的主机IP地址的转换装置的结构示意图。

具体实施方式

下面详细描述本申请的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本申请，而不能理解为对本申请的限制。

下面参考附图描述本申请实施例的主机IP地址的转换方法、装置、计算机设备及存储介质。

基于网络的安全检测技术是最常见的安全检测技术之一。通过网络分析安全事件时，最关键的一些基础元素就包含源IP、目的IP等IP信息，这些是判断攻击者和被攻击资产的核心数据。但因为网络的复杂性，例如内部业务对外通过Nginx反向代理提供服务，又或是源IP NAT等场景，会导致源IP发生转换，外部的真实访问者A，转换后则成为了内部的代理IP或NAT IP B了，此时受限于网络设备采集网络数据的位置，如果采集到的是转换后的IP，则会导致安全分析的结果无法获取到真实的攻击者IP信息。该问题不仅会导致无法准确定位真实攻击者，同时由于大量外部IP被集中转换为固定的一个或者多个内部IP，还会导致一些基于统计(例如访问频率)的安全攻击检测产生误报。

并且，由于网络的复杂性，在IP转换中，不仅包括网络层面的源IP NAT的转换，也包括应用层面代理导致的IP转换，这就需要企业的网络负责人以及各个应用的负责人共同梳理，才可能将企业内部复杂的网络转换梳理清楚，耗时耗力，且效率较低。

相关技术中，针对源IP转换问题，更多的是各个应用系统直接默认判断X-Forwarded-For是否为空，若不为空则使用X-Forwarded-For作为真实IP。然而，这种方案不具备通用性，例如采集流量中包含多个业务，其中只有一个业务系统是使用X-Forwarded-For来透传真实IP的，若使用上述方案来确定真实IP，这会导致所有应用系统都发生转换问题，从而导致系统的安全检测准确率低。可见，传统的方案缺乏公共的源IP处理技术，同时也没有自动分析和识别的能力。

因此，如果有一种方法可以自动学习并转换源IP代理/源IP NAT为透传真实IP，则可以有效的提升基于网络的安全检测以及其他依赖真实源IP分析的效果。基于此，本申请提供了一种主机IP地址的转换方法，能够自动生成可转换源IP代理/源IP NAT为透传真实IP的策略，自动转换源IP代理/源IP NAT为透传真实IP，从而使得后端业务系统能够准确地定位到真实的网络攻击者，为提升后端业务系统的安全检测能力和检测准确率提供了条件，解决源IP代理/源IP NAT场景下，网络安全检测设备等基于IP的分析系统，无法获取到真实IP从而导致产生误报与无法定位真实攻击源的问题。并且，通过动态地学习IP转换策略，可以适配不同的业务场景，通用性强。

图1为本申请一实施例所提供的主机IP地址的转换方法的流程示意图，该方法可以由本申请提供的主机IP地址的转换装置执行，该主机IP地址的转换装置可以配置于本申请提供的计算机设备中，该计算机设备可以是服务器，也可以是台式电脑、笔记本电脑等终端设备。

如图1所示，该主机IP地址的转换方法可以包括以下步骤：

步骤101，获取预设时段内的多个第一IP信息，其中，每个第一IP信息包括源IP地址所在的源IP字段、目的IP地址所在的目的IP字段和其他字段。

其中，预设时段可以预先设定，比如设置预设时段为一天、10天、30天等。

本实施例中，可以采集所有网络流量数据，包括但不限于采用并行、串行接入流量等方式获取网络流量数据，并对获取的网络流量数据进行解析，得到解析后的数据，进而从解析后的数据中提取出预设时段内的多个第一IP信息。或者，在获取到网络流量数据后，也可以先从获取的网络流量数据中筛选出预设时段内的网络流量数据，再对筛选出的网络流量数据进行解析，得到预设时段内的多个第一IP信息。

其中，每个第一IP信息中至少包括源IP地址所在的源IP字段、目的IP地址所在的目的IP字段和其他字段，其他字段的个数不限于一个。比如，第一IP信息可以是五元组的形式表示的，则该第一IP信息中包括源IP地址所在的源IP字段、源端口所在的字段、目的IP地址所在的目的IP字段、目的端口所在的字段和传输层协议所在的字段，其中，其他字段为三个，分别为源端口所在的字段、目的端口所在的字段和传输层协议所在的字段。

步骤102，将包含相同源IP地址的所有第一IP信息划分为一个第一IP组，以生成与所述多个第一IP信息对应的至少一个第一IP组。

本实施例中，获取了预设时段内的多个第一IP信息后，可以对多个第一IP信息进行分组，将包含相同源IP地址的所有第一IP信息划分为一个第一IP组，以生成与多个第一IP信息对应的至少一个第一IP组。

也就是说，本实施例中，对于获取的预设时段内的所有第一IP信息，根据源IP地址进行分组，将具有相同的源IP地址的至少一个第一IP信息划分为同一个分组，得到一个第一IP组，则有多少个不同的源IP地址，就分组得到多少个第一IP组。

步骤103，判断每个第一IP组中所有第一IP信息的其他字段中，是否存在满足预设透传条件的透传IP字段。

其中，预设透传条件可以预先设定，比如设置预设透传条件为第一IP分组中，透传IP信息与第一IP信息的数量比值达到预设比值阈值，其中，透传IP信息是指包含透传IP字段的第一IP信息，透传IP字段是指其他字段中的IP地址与所属第一IP信息中源IP字段的源IP地址和目的IP字段的目的IP地址均不相同的其他字段。

本实施例中，对多个第一IP信息进行分组得到至少一个第一IP组之后，可以每个第一IP组为单位，分析每个第一IP组中所有的第一IP信息的其他字段中，是否存在满足预设透传条件的透传IP字段，若第一IP组中的每个第一IP信息中均不存在满足预设条件的透传IP字段，则放弃该组的数据，继续分析下一个第一IP组；若存在满足预设条件的透传IP字段，则继续后续处理。

步骤104，在至少一个第一IP组中，确定存在透传IP字段的至少一个第二IP组，并根据至少一个第二IP组对应的所有目的IP地址和透传IP字段对应的透传IP地址，对至少一个第二IP组对应的源IP地址进行主机地址的转换。

本实施例中，判断每个第一IP组中是否存在满足预设透传条件的透传IP字段，若判定第一IP组中存在满足预设透传条件的透传IP字段，则将该第一IP组确定为第二IP组，得到至少一个第二IP组。进而，根据至少一个第二IP组对应的所有目的IP地址和透传IP字段对应的透传IP地址，对至少一个第二IP组对应的源IP地址进行主机地址的转换。

通过上述过程，可以学习生成IP地址的自动转换规则，比如，IP转换规则如下：

源IP 目的IP/网段(可多个) 透传IP字段

192.168.1.1 192.168.2.1/24 Real-IP

由上述IP转换规则可以看出，真实的IP地址记录在透传IP字段中，则利用上述IP转换规则，可以通过匹配IP转换规则中的源IP地址和目的IP地址/网段，利用透传IP字段中的真实IP地址对获取的网络流量数据进行主机IP地址的转换，以识别出真实的IP地址。

进一步地，转换后的主机IP地址为真实的IP地址，该地址可以由后端业务系统获取，从而，后端业务系统无需改造处理即可自动获取转换后的真实IP，提升了各后端业务系统的安全检测能力，有利于降低误报，同时也不会因为IP转换的问题导致无法定位真实的攻击源。

本实施例的主机IP地址的转换方法，通过获取预设时段内的多个第一IP信息，每个第一IP信息包括源IP地址所在的源IP字段、目的IP地址所在的目的IP字段和其他字段，将包含相同源IP地址的所有第一IP信息划分为一个第一IP组，以生成与多个第一IP信息对应的至少一个第一IP组，并判断每个第一IP组中所有第一IP信息的其他字段中，是否存在满足预设透传条件的透传IP字段，进而，在至少一个第一IP组中，确定存在透传IP字段的至少一个第二IP组，并根据至少一个第二IP组对应的所有目的IP地址和透传IP字段对应的透传IP地址，对至少一个第二IP组对应的源IP地址进行主机地址的转换。由此，通过识别透传IP字段并根据透传IP字段对应的透传IP地址，对源IP地址进行主机地址的转换，实现了网络连接数据中透传的真实IP地址的转换，能够获取到真实的IP地址，从而使得后端业务系统能够根据真实的IP地址准确地定位到真实的网络攻击者，为提升后端业务系统的安全检测能力和检测准确率提供了条件。

利用学习的IP地址转换规则，可以对实时接收的地址转换请求进行处理，以识别出真实的IP地址，下面结合附图2进行详细说明。图2为本申请另一实施例所提供的主机IP地址的转换方法的流程示意图。如图2所示，在如图1所示实施例的基础上，步骤104之后，还可以包括以下步骤：

步骤201，获取携带第二IP信息的地址转换请求，其中，第二IP信息包括源IP地址和目的IP地址。

步骤202，在至少一个第二IP组中，确定与第二IP信息的源IP地址匹配的目标第二IP组。

本实施例中，获取了携带第二IP信息的地址转换请求后，可以将第二IP信息中的源IP地址与每个第二IP组中的源IP地址进行比对，以从至少一根第二IP组中，确定出与第二IP信息的源IP地址匹配的目标第二IP组。

由于第二IP组是第一IP组中存在满足预设透传条件的透传IP字段的分组，第一IP组是以相同源IP地址进行划分的，则第二IP组也是以源IP地址划分的，每个第二IP组中仅包含一个相同的源IP地址，则通过将第二IP信息的源IP地址与至少一个第二IP组匹配，可以从至少一个第二IP组中，匹配到一个与第二IP信息的源IP地址匹配的目标第二IP组。

其中，目标第二IP组的源IP地址与第二IP信息的源IP地址相同。

步骤203，在目标第二IP组中所有第一IP信息的目的IP地址中，确定与第二IP信息的目的IP地址匹配的目标目的IP地址，以及与目标目的IP地址匹配的第三IP信息。

本实施例中，确定了目标第二IP组之后，可以将目标第二IP组中所包含的每个第一IP信息的目标IP地址，与第二IP信息中的目的IP地址进行匹配，以确定出与第二IP信息中的目的IP地址匹配的目标目的IP地址，接着，确定与目标目的IP地址匹配的第三IP信息。

能够理解的是，第三IP信息是目标第二IP组中包含的所有第一IP信息中的一个，第三IP信息对应的目的IP地址与第二IP信息的目的IP地址匹配。

步骤204，将第二IP信息的源IP地址替换为第三IP信息中透传IP字段中的透传IP地址，以生成第二IP信息的主机IP地址。

本实施例中，确定了第三IP信息之后，可以从第三IP信息的透传IP字段中抽取出其中的透传IP地址，以替换第二IP信息中的源IP地址，实现第二IP信息的主机IP地址转换，则替换后的第二IP信息中，源IP地址即为真实的主机IP地址，后端业务系统利用转换后的第二IP信息，即可直接获取到真实的主机IP地址，从而实现攻击源的准确定位，以及实现准确率较高的统计，降低误报。

本实施例的主机IP地址的转换方法，通过获取携带第二IP信息的地址转换请求，第二IP信息包括源IP地址和目的IP地址，在至少一个第二IP组中，确定与第二IP信息的源IP地址匹配的目标第二IP组，并在目标第二IP组中所有第一IP信息的目的IP地址中，确定与第二IP信息的目的IP地址匹配的目标目的IP地址，以及与目标目的IP地址匹配的第三IP信息，进而将第二IP信息的源IP地址替换为第三IP信息中透传IP字段中的透传IP地址，以生成第二IP信息的主机IP地址，由此，实现了主机真实IP的自动转换，为后端业务系统进行准确地安全检测提供了条件，并且，通过在进行IP转换时匹配目的IP地址，有利于提高IP地址转换的准确性。

为了更加清楚地描述前述实施例中判断每个第一IP组中所有第一IP信息的其他字段中，是否存在满足预设透传条件的透传IP字段的具体实现过程，下面结合附图3进行详细说明。图3为本申请又一实施例所提供的主机IP地址的转换方法的流程示意图。如图3所示，在如图1所示实施例的基础上，步骤103可以包括以下步骤：

步骤301，根据预设的正则表达式，判断每个第一IP组中每个第一IP信息的其他字段中，是否包含IP地址。

其中，正则表达式可以预先设定，正则表达式为IP地址的识别正则，通过预设的正则表达式，可以识别出其他字段中是否包含IP地址。

步骤302，确定包含IP地址的其他字段为候选透传字段。

本实施例中，分组得到至少一个第一IP组之后，可以根据预设的正则表达式，判断每个第一IP组中每个第一IP信息的其他字段中，是否包含IP地址。若第一IP信息的其他字段中包含IP地址，则执行步骤302，将包含IP地址的其他字段确定为候选透传字段；若某个第一IP信息的其他字段中未包含IP地址，则忽略该第一IP信息。

步骤303，判断候选透传字段是否满足预设透传条件。

本实施例中，对于每个第一IP组，确定了其中的候选透传字段之后，可以判断候选透传字段是否满足预设透传条件。

在本申请实施例一种可能的实现方式中，在判断候选透传字段是否满足预设透传条件时，可以获取候选透传字段的透传IP地址，以及获取候选透传字段所在第一IP信息的参考源IP地址和参考目的IP地址。其中，参考源IP地址是候选透传字段所在的第一IP信息中源IP字段中的源IP地址，参考目的IP地址是候选透传字段所在的第一IP信息中目的IP字段中的目的IP地址。之后，对于获取的每个透传IP地址，将其与对应的参考源IP地址和参考目的IP地址进行比较，若透传IP地址与对应的参考源IP地址和参考目的IP地址均不相同，则确定透传IP地址对应的第一IP信息为候选透传IP信息。其中，在判断透传IP地址与对应的参考源IP地址和参考目的IP地址是否相同时，可以计算透传IP地址分别与参考源IP地址和参考目的IP地址的相似度，若相似度均低于预设相似度阈值(比如90％，相似度阈值可以根据实际需求进行配置)，则确定透传IP地址与对应的参考源IP地址和参考目的IP地址均不相同；若透传IP地址与对应的参考源IP地址和参考目的IP地址的相似度中，至少一个相似度大于或等于预设相似度阈值，则确定透传IP地址与对应的参考源IP地址或参考目的IP地址一致，则忽略该透传IP地址对应的候选透传字段。对于每个第一IP组，识别出其中的所有候选透传IP信息之后，可以确定每个第一IP组中，候选透传IP信息与所有第一IP信息的数量比值，即统计同一个第一IP组中的候选透传IP信息的个数和该组中所有第一IP信息的总个数，进而计算两者的比值(候选透传IP信息的个数/第一IP信息的总个数)，得到数量比值。接着，判断得到的数量比值是否大于预设比值阈值，若数量比值大于比值阈值，则确定透传IP地址所在的候选透传字段满足预设透传条件。

其中，比值阈值可以预先设定，比如设置比值阈值为50％、70％等。通过设置比值阈值，可以放宽或收紧候选透传字段满足预设透传条件的约束。

本申请实施例中，通过获取候选透传字段的透传IP地址，以及候选透传字段所在第一IP信息的参考源IP地址和参考目的IP地址，当透传IP地址与对应的参考源IP地址和参考目的IP地址均不相同时，确定透传IP地址对应的第一IP信息为候选透传IP信息，进而确定每个第一IP组中候选透传IP信息与所有第一IP信息的数量比值，当该数量比值达到预设的比值阈值时，确定满足预设透传条件，由此，实现了对候选透传字段满足预设透传条件的控制，通过设置比值阈值来约束候选透传字段是否满足预设透传条件，能够避免第一IP组中的候选透传IP信息的数量较少时，确定候选透传字段满足预设透传条件导致的参考数据量较少，使得后续确定的第二IP组更具参考价值，从而有利于提高IP地址转换的准确率。

在本申请实施例一种可能的实现方式中，获取的每个第一IP信息中还可以包括对应的采集时间信息，该采集时间信息在预设时段内。本实施例中，在确定透传IP地址所在的候选透传字段满足预设透传条件之前，还可以执行以下操作：将预设时段划分为多个子时段，并根据采集时间信息确定每个第一IP组中每个第一IP信息所属的目标子时段；判断目标子时段对应的第一IP信息中，包含的候选透传字段是否包含透传IP地址；统计包含透传IP地址的目标子时段的时段数量，并确定时段数量大于预设数量阈值。

其中，将预设时段划分为多个子时段时，可以以天为单位进行划分，也可以以小时为单位进行划分，具体划分单位可以根据实际需求设置。比如，当预设时段为30天时，可以以天为单位进行划分，将每天划分为一个子时段，从而将预设时段划分为30个子时段。又比如，当预设时段为1天时，可以以小时为单位进行划分，将每小时划分为一个子时段，从而将预设时段划分为24个子时段。预设数量阈值可以自行设置，比如，可以设置预设数量阈值为预设时段的20％，即预设数量阈值随预设时段的改变而改变，当预设时段为30天时，则预设数量阈值为6，当预设时段为1(即24小时)天时，预设数量阈值为5(24*20％＝4.8，对4.8上取整)，其中，20％仅作为示例，可通过配置进行修改，比如设置为30％、40％等。

由于网络转换一般都是持续的，是一个相对稳定的业务状态，因此本实施例中，将预设时段划分为多个子时段，并针对每个第一IP组，根据其中每个第一IP信息对应的采集时间信息，将第一IP信息划分至所属的目标子时段，进而判断每个目标子时段内的第一IP信息中包含的候选透传字段是否包含透传IP地址，并根据判断结果统计包含透传IP地址的目标子时段的时段数量，将统计得到的时段数量与预设数量阈值进行比较，当时段数量大于预设数量阈值时，表明满足了透传IP行为的持续性特征，进而确定透传IP地址所在的候选透传字段满足预设透传条件。由此，通过检测透传IP行为的持续性，有利于提高生成的自动转换规则的准确性，从而有利于提高透传IP地址转换的准确率。

在本申请实施例一种可能的实现方式中，在确定透传IP地址所在的候选透传字段满足预设透传条件之前，还可以执行以下操作：确定候选透传字段对应的第一IP组中，包含的所有透传IP地址；判断所有透传IP地址对应的至少一个IP地址类型，其中，至少一个IP地址类型中各个IP地址类型对应的透传IP地址互不相同；统计至少一个IP地址类型的类型数量，并确定类型数量大于预设类型阈值。

其中，不同的IP地址类型对应不同的透传IP地址，比如，192.168.1.1和192.168.1.0的两个透传IP地址，属于两个不同的IP地址类型。也就是说，IP地址类型能够反映出不同的透传IP地址的个数。

本申请实施例中，通过统计每个第一IP组中包含的所有透传IP地址，并将不同的透传IP地址划分为不同的IP地址类型，进而统计不同的IP地址类型的类型数量，将类型数量与预设类型阈值进行比较，当确定类型数量大于预设类型阈值时，才确定透传IP地址所在的候选透传字段满足预设透传条件。其中，预设类型阈值可以预先设定，比如设置类型阈值为10个。由此，实现了对第一IP组中透传IP地址的分布统计，将透传IP地址分布较广(不同的透传IP地址数量超过预设阈值)的第一IP组内的候选透传字段确定为满足预设透传条件，使得最终确定的满足预设透传条件的第一IP中的数据更具参考性，有利于提高透传IP地址转换的准确率。

需要说明的是，本实施例中，在确定透传IP地址所在的候选透传字段满足预设透传条件之前，分析透传IP地址的持续性和透传IP的分布情况的操作可以单独执行，也可以均执行，本申请对此不作限制。当上述两操作均执行时，在确定候选透传IP信息与所有第一IP信息的数量比值大于预设的比值阈值之后，可以先执行分析透传IP地址的持续性的操作，再执行分析透传IP的分布情况的操作，当然，也可以先执行分析透传IP的分布情况的操作，之后再执行分析透传IP地址的持续性的操作，本申请对此也不作限制。

本实施例的主机IP地址的转换方法，通过根据预设的正则表达式，判断每个第一IP组中每个第一IP信息的其他字段中是否包含IP地址，并确定包含IP地址的其他字段为候选透传字段，进而判断候选透传字段是否满足预设透传条件，由此，实现了对第一IP组中的其他字段进行筛选，仅对包含IP地址的候选透传字段判断是否满足预设透传条件，有利于降低数据处理量，提高处理效率。

图4为本申请一具体实施例的自动学习并转换源IP为透传真实IP的实现过程示例图。如图4所示，获取的网络流量诗句存储到大数据分析平台上进行离线分析，同时传输到分布式消息系统中，分布式消息系统比如可以是Kafka等。

如图4所示，在离线分析部分，获取近N天的网络流量数据(默认为近30天，可通过修改配置来选择任意时间范围进行模型学习)，其中，对于接入的网络流量数据需要指定源IP字段、目的IP字段。大数据算法模型根据源IP对网络流量数据进行分组，以每个源IP为一个分组，后续的分析都是针对每个分组内进行的。针对每个分组，根据IP地址的识别正则分析分组内除源IP和目的IP所在字段外的每个字段中，哪些字段内存在IP地址信息，如果除了源IP和目的IP地址外，还有字段内也存有IP信息，则进一步分析存在IP信息的字段是否可能为透传IP的字段。首先，检测本源IP分组内，该字段数据是否与源IP或目的IP一致，如果超过阈值(默认90％，可以通过配置来修改)以上都是一致的，则忽略该字段，否则对该字段继续进行分析，定义该字段为可能透传IP字段。对于可能透传IP字段，进一步分析其透传IP行为的持续性。因为网络转换一般都是持续的，是一个相对稳定的业务状态，分析近N天的网络流量数据，如果确认可能透传IP字段内的IP数据出现的天数超过检测周期的N天的20％(默认值，可以通过配置修改，例如30天流量需要超过6天)，则进入下一步继续分析。继续分析透传IP的分布情况，对分组内的数据分析可能透传IP字段内的所有IP分布占比，该字段内的不同IP需要占比超过默认阈值(默认10个，可通过配置快速修改)，满足条件的继续进行后续分析。上述分析完成后已经获取到透传IP字段，此时获取透传IP字段中不为空且不等于源IP字段的数据统计其目的IP，并对目的IP进行聚合，如果目的IP全部聚集在一个固定网段内，则输出此网段，否则输出每一个目的IP。

经过上述分析后，可以生成IP转换规则，例如：

源IP 目的IP/网段(可多个) 透传IP字段

192.168.1.1 192.168.2.1/24 Real-IP

如图4所示，可选地，用户可以配置过滤策略来针对源IP/网段、目的IP/网段以及透传IP字段进行过滤，例如用户配置过滤源IP网段192.168.1.1/24，则上述示例中所示的学习出的转换规则会被自动过滤掉，不会最终产出转换规则。此外，用户还可以对生成的转换规则进行调整，生成最终的IP转换规则，比如用户可以修改上述示例中所示的IP转换规则中的目的IP/网段192.168.2.1/24为：192.168.2.1；192.168.2.2；192.168.2.3。在调整生成的转换规则的过程中，还支持用户配置过滤策略对转换规则进行过滤，在用户完成调整和确认后即可生成最终的IP转换规则。通过配置过滤策略和支持人工调整规则，能够提高自动生成的转换规则的准确性和灵活性。

如图4所示，网络流量数据通过分布式消息系统(可以是Kafka，也可以对接其他数据通道)进入真实IP转换引擎，真实IP转换引擎会根据上述学习生成的IP转换规则来进行IP地址的转换，针对匹配源IP和目的IP/网段的数据，则抽取其透传IP字段中的IP来替换掉源IP字段中的IP，而源IP字段中的IP则默认的被记录到一个新增字段SRC_IP_BACKUP中(用户可自定义其他字段用户记录被替换掉源IP)，转换后的数据重新写回Kafka或用户自定义的其他数据通道中。后端业务系统通过对接Kafka或其他自定义的数据通道可以实时获取转换后的真实源IP，无需针对业务进行任何改造即可完成适配。

由此可见，本申请的方案通过对历史行为进行分析来识别是否存在源IP转换的行为，并自动学习出可转换源IP代理/源IP NAT为透传真实IP的转换规则，转换引擎根据学习的转换规则进行自动转换，可以实时转换所有网络连接数据，恢复源IP为透传的真实IP并提供给后端业务系统，使得业务系统无感知即可获取到真实透传IP，能够帮助后端业务系统尤其是基于IP检测的安全产品提升其安全检测能力和检测准确率，降低误报，同时也不会因为IP转换的问题导致无法定位真实的攻击源。并且，通过动态地学习转换规则，可以适配不同的业务场景，通用性强。

为了实现上述实施例，本申请还提出一种主机IP地址的转换装置。

图5为本申请一实施例提供的主机IP地址的转换装置的结构示意图。

如图5所示，该主机IP地址的转换装置50包括：获取模块510、分组模块520、判断模块530和转换模块540。

其中，获取模块510，用于获取预设时段内的多个第一IP信息，其中，每个所述第一IP信息包括源IP地址所在的源IP字段、目的IP地址所在的目的IP字段和其他字段。

分组模块520，用于将包含相同源IP地址的所有第一IP信息划分为一个第一IP组，以生成与所述多个第一IP信息对应的至少一个第一IP组。

判断模块530，用于判断每个所述第一IP组中所有第一IP信息的其他字段中，是否存在满足预设透传条件的透传IP字段。

转换模块540，用于在所述至少一个第一IP组中，确定存在所述透传IP字段的至少一个第二IP组，并根据所述至少一个第二IP组对应的所有目的IP地址和所述透传IP字段对应的透传IP地址，对所述至少一个第二IP组对应的源IP地址进行主机地址的转换。

进一步地，在本申请实施例的一种可能的实现方式中，如图6所示，在如图5所示实施例的基础上，该主机IP地址的转换装置50还包括：

请求获取模块550，用于获取携带第二IP信息的地址转换请求，其中，所述第二IP信息包括源IP地址和目的IP地址。

第一确定模块560，用于在所述至少一个第二IP组中，确定与所述第二IP信息的源IP地址匹配的目标第二IP组。

第二确定模块570，用于在所述目标第二IP组中所有第一IP信息的目的IP地址中，确定与所述第二IP信息的目的IP地址匹配的目标目的IP地址，以及与所述目标目的IP地址匹配的第三IP信息。

生成模块580，用于将所述第二IP信息的源IP地址替换为所述第三IP信息中透传IP字段中的透传IP地址，以生成所述第二IP信息的主机IP地址。

在本申请实施例的一种可能的实现方式中，如图7所示，在如图5所示实施例的基础上，判断模块530包括：

第一判断单元531，用于根据预设的正则表达式，判断所述每个所述第一IP组中每个第一IP信息的其他字段中，是否包含IP地址。

确定单元532，用于确定包含所述IP地址的其他字段为候选透传字段。

第二判断单元533，用于判断所述候选透传字段是否满足所述预设透传条件。

进一步地，在本申请实施例的一种可能的实现方式中，第二判断单元533具体用于：获取所述候选透传字段的透传IP地址，以及所述候选透传字段所在第一IP信息的参考源IP地址和参考目的IP地址；若所述透传IP地址与对应的参考源IP地址和参考目的IP地址均不相同，则确定所述透传IP地址对应的第一IP信息为候选透传IP信息；确定所述每个所述第一IP组中，候选透传IP信息与所有第一IP信息的数量比值；判断所述数量比值是否大于预设比值阈值，其中，若大于所述比值阈值，则确定所述透传IP地址所在的候选透传字段满足所述预设透传条件。

在本申请实施例的一种可能的实现方式中，每个所述第一IP信息包括对应的采集时间信息，第二判断单元533还用于：将所述预设时段划分为多个子时段，并根据所述采集时间信息确定所述每个所述第一IP组中每个第一IP信息所属的目标子时段；判断所述目标子时段对应的第一IP信息中，包含的候选透传字段是否包含透传IP地址；统计包含所述透传IP地址的目标子时段的时段数量，并确定所述时段数量大于预设数量阈值。

在本申请实施例的一种可能的实现方式中，第二判断单元533还用于：确定所述候选透传字段对应的第一IP组中，包含的所有透传IP地址；判断所述所有透传IP地址对应的至少一个IP地址类型，其中，所述至少一个IP地址类型中各个IP地址类型对应的所述透传IP地址互不相同；统计所述至少一个IP地址类型的类型数量，并确定所述类型数量大于预设类型阈值。

需要说明的是，前述对主机IP地址的转换方法实施例的解释说明也适用于该实施例的主机IP地址的转换装置，此处不再赘述。

本申请实施例的主机IP地址的转换装置，通过获取预设时段内的多个第一IP信息，每个第一IP信息包括源IP地址所在的源IP字段、目的IP地址所在的目的IP字段和其他字段，将包含相同源IP地址的所有第一IP信息划分为一个第一IP组，以生成与多个第一IP信息对应的至少一个第一IP组，并判断每个第一IP组中所有第一IP信息的其他字段中，是否存在满足预设透传条件的透传IP字段，进而，在至少一个第一IP组中，确定存在透传IP字段的至少一个第二IP组，并根据至少一个第二IP组对应的所有目的IP地址和透传IP字段对应的透传IP地址，对至少一个第二IP组对应的源IP地址进行主机地址的转换。由此，通过识别透传IP字段并根据透传IP字段对应的透传IP地址，对源IP地址进行主机地址的转换，实现了网络连接数据中透传的真实IP地址的转换，能够获取到真实的IP地址，从而使得后端业务系统能够根据真实的IP地址准确地定位到真实的网络攻击者，为提升后端业务系统的安全检测能力和检测准确率提供了条件。

为了实现上述实施例，本申请还提出一种计算机设备，包括处理器、存储器和存储在所述存储器上并可在所述处理器上运行的计算机程序，当所述计算机程序被所述处理器执行时，实现如前述实施例所述的主机IP地址的转换方法。

为了实现上述实施例，本申请还提出一种非临时性计算机可读存储介质，其上存储有计算机程序，当所述计算机程序被处理器执行时，实现如前述实施例所述的主机IP地址的转换方法。

为了实现上述实施例，本申请还提出一种计算机程序产品，当所述计算机程序产品中的指令由处理器执行时，执行如前述实施例所述的主机IP地址的转换方法。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本申请的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本申请的实施例所属技术领域的技术人员所理解。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。如，如果用硬件来实现和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本申请各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。尽管上面已经示出和描述了本申请的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本申请的限制，本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (8)

1.一种主机IP地址的转换方法，其特征在于，包括以下步骤：

获取预设时段内的多个第一IP信息，其中，每个所述第一IP信息包括源IP地址所在的源IP字段、目的IP地址所在的目的IP字段和其他字段；

将包含相同源IP地址的所有第一IP信息划分为一个第一IP组，以生成与所述多个第一IP信息对应的至少一个第一IP组；

根据预设的正则表达式，判断每个所述第一IP组中每个第一IP信息的其他字段中，是否包含IP地址；

确定包含所述IP地址的其他字段为候选透传字段；

获取所述候选透传字段的透传IP地址，以及所述候选透传字段所在第一IP信息的参考源IP地址和参考目的IP地址；

若所述透传IP地址与对应的参考源IP地址和参考目的IP地址均不相同，则确定所述透传IP地址对应的第一IP信息为候选透传IP信息；

确定每个所述第一IP组中，候选透传IP信息与所有第一IP信息的数量比值；

判断所述数量比值是否大于预设比值阈值，其中，若大于所述比值阈值，则确定所述透传IP地址所在的候选透传字段满足预设透传条件；

在所述至少一个第一IP组中，确定存在透传IP字段的至少一个第二IP组，并根据所述至少一个第二IP组对应的所有目的IP地址和所述透传IP字段对应的透传IP地址，对所述至少一个第二IP组对应的源IP地址进行主机地址的转换。

2.如权利要求1所述的方法，其特征在于，还包括：

获取携带第二IP信息的地址转换请求，其中，所述第二IP信息包括源IP地址和目的IP地址；

在所述至少一个第二IP组中，确定与所述第二IP信息的源IP地址匹配的目标第二IP组；

在所述目标第二IP组中所有第一IP信息的目的IP地址中，确定与所述第二IP信息的目的IP地址匹配的目标目的IP地址，以及与所述目标目的IP地址匹配的第三IP信息；

将所述第二IP信息的源IP地址替换为所述第三IP信息中透传IP字段中的透传IP地址，以生成所述第二IP信息的主机IP地址。

3.如权利要求1所述的方法，其特征在于，所述每个所述第一IP信息包括对应的采集时间信息，在所述确定所述透传IP地址所在的候选透传字段满足所述预设透传条件之前，还包括：

将所述预设时段划分为多个子时段，并根据所述采集时间信息确定所述每个所述第一IP组中每个第一IP信息所属的目标子时段；

判断所述目标子时段对应的第一IP信息中，包含的候选透传字段是否包含透传IP地址；

统计包含所述透传IP地址的目标子时段的时段数量，并确定所述时段数量大于预设数量阈值。

4.如权利要求3所述的方法，其特征在于，在所述确定所述透传IP地址所在的候选透传字段满足所述预设透传条件之前，还包括：

确定所述候选透传字段对应的第一IP组中，包含的所有透传IP地址；

判断所述所有透传IP地址对应的至少一个IP地址类型，其中，所述至少一个IP地址类型中各个IP地址类型对应的所述透传IP地址互不相同；

统计所述至少一个IP地址类型的类型数量，并确定所述类型数量大于预设类型阈值。

5.一种主机IP地址的转换装置，其特征在于，包括：

获取模块，用于获取预设时段内的多个第一IP信息，其中，每个所述第一IP信息包括源IP地址所在的源IP字段、目的IP地址所在的目的IP字段和其他字段；

分组模块，用于将包含相同源IP地址的所有第一IP信息划分为一个第一IP组，以生成与所述多个第一IP信息对应的至少一个第一IP组；

判断模块，用于根据预设的正则表达式，判断每个所述第一IP组中每个第一IP信息的其他字段中，是否包含IP地址；

确定包含所述IP地址的其他字段为候选透传字段；

获取所述候选透传字段的透传IP地址，以及所述候选透传字段所在第一IP信息的参考源IP地址和参考目的IP地址；

若所述透传IP地址与对应的参考源IP地址和参考目的IP地址均不相同，则确定所述透传IP地址对应的第一IP信息为候选透传IP信息；

确定每个所述第一IP组中，候选透传IP信息与所有第一IP信息的数量比值；

判断所述数量比值是否大于预设比值阈值，其中，若大于所述比值阈值，则确定所述透传IP地址所在的候选透传字段满足预设透传条件；

转换模块，用于在所述至少一个第一IP组中，确定存在透传IP字段的至少一个第二IP组，并根据所述至少一个第二IP组对应的所有目的IP地址和所述透传IP字段对应的透传IP地址，对所述至少一个第二IP组对应的源IP地址进行主机地址的转换。

6.如权利要求5所述的装置，其特征在于，所述装置，还包括：

请求获取模块，用于获取携带第二IP信息的地址转换请求，其中，所述第二IP信息包括源IP地址和目的IP地址；

第一确定模块，用于在所述至少一个第二IP组中，确定与所述第二IP信息的源IP地址匹配的目标第二IP组；

第二确定模块，用于在所述目标第二IP组中所有第一IP信息的目的IP地址中，确定与所述第二IP信息的目的IP地址匹配的目标目的IP地址，以及与所述目标目的IP地址匹配的第三IP信息；

生成模块，用于将所述第二IP信息的源IP地址替换为所述第三IP信息中透传IP字段中的透传IP地址，以生成所述第二IP信息的主机IP地址。

7.一种计算机设备，其特征在于，包括处理器、存储器和存储在所述存储器上并可在所述处理器上运行的计算机程序，当所述计算机程序被所述处理器执行时，实现如权利要求1-4任一项所述的主机IP地址的转换方法。

8.一种非临时性计算机可读存储介质，其上存储有计算机程序，其特征在于，当所述计算机程序被处理器执行时，实现如权利要求1-4任一项所述的主机IP地址的转换方法。

Images