CN114567613A

CN114567613A - 一种真实ip识别方法、装置、电子设备及存储介质

Info

Publication number: CN114567613A
Application number: CN202210191739.XA
Authority: CN
Inventors: 刘紫千; 常力元; 孙福兴; 李金伟; 余启明; 顾庆崴; 陈林; 刘长波
Original assignee: Tianyi Safety Technology Co Ltd
Current assignee: Tianyi Safety Technology Co Ltd
Priority date: 2022-02-28
Filing date: 2022-02-28
Publication date: 2022-05-31

Abstract

本申请实施例提供了一种真实IP识别方法、装置、电子设备及存储介质，涉及网络安全技术领域。本申请中，基于目标终端发送的Web访问请求，确定目标Web站点对应的域名信息，以及设定历史时间范围内，域名信息对应的域名解析记录中包含的至少一个候选IP；接着，获取基于Web访问请求得到的目标响应报文的目标报文特征，以及至少一个候选IP各自对应候选响应报文的候选报文特征；最终，基于至少一个候选报文特征各自与目标报文特征之间的特征相似度，挑选出满足预设特征相似度条件的真实响应报文，从而将真实响应报文对应的候选IP，作为目标Web站点的真实IP，可准确识别目标Web站点的真实IP。

Description

一种真实IP识别方法、装置、电子设备及存储介质

技术领域

本申请涉及网络安全技术领域，尤其涉及一种真实IP识别方法、装置、电子设备及存储介质。

背景技术

随着信息时代的不断发展，全球广域网(World Wide Web，Web)对日常生活的影响已经越来越深远，因此，作为承载和发布各种Web应用的Web站点，不可避免地成为了众多未知威胁的攻击目标，故而，为了更好地保护Web站点，出现了各式各样的Web应用防火墙(WebApplication Firewall，WAF)。

目前，WAF可分为硬件WAF、软件WAF以及云WAF三类，其中，云WAF是一种基于云端的WAF，部署简单，维护成本低，且无需安装软件程序和硬件设备，只需将域名解析到相关地址，便可使用云WAF的防护功能。

通常情况下，云WAF由控制中心和端节点组成，其中，控制中心用于解析并调度客户端对Web站点的访问请求，端节点则用于过滤客户端对Web站点的非法访问请求。

例如，为了保护Web站点以及加速Web站点访问，预先配置代理端口并设定相应的地址映射规则，隐藏Web站点的真实IP，以及将Web站点的域名解析权移交给云WAF，即设置域名系统(Domain Name System，DNS)解析站点为云WAF的DNS站点；接着，通过云WAF的控制中心调度DNS站点，把针对Web站点的访问请求，解析到指定的端节点上进行检测；最终，在指定的端节点对访问请求完成检测，确认访问请求安全后，便可将其递交给Web站点，进而对访问请求进行响应。

然而，采用上述的Web站点保护方法，通过云WAF配置代理端口并设定相应的地址映射规则，访问Web站点，无法直接识别访问Web站点的真实互联网协议(InternetProtocol，IP)，这样，当携带未知威胁的访问请求是针对真实IP时，可绕开云WAF的检测，直接将此类访问请求发送给Web站点，从而导致未知威胁实现对Web站点的攻击。

因此，采用上述方式，无法识别Web站点的真实IP，从而无法避免针对Web站点真实IP访问请求中，未知威胁对Web站点的攻击。

发明内容

本申请提供一种真实IP识别方法、装置、电子设备及存储介质，用以准确识别Web站点的真实IP。

第一方面，本申请实施例提供了一种真实IP识别方法，所述方法包括：

从目标终端发送的Web访问请求中，获取目标Web站点对应的域名信息，以及确定设定历史时间范围内，域名信息对应的域名解析记录；其中，域名解析记录包括：至少一个候选IP。

基于Web访问请求，生成相应的目标响应报文，以及获得目标响应报文的目标报文特征。

基于域名解析记录中包含的至少一个候选IP，访问目标Web站点，分别生成至少一个候选IP各自对应的候选响应报文，以及获得至少一个候选响应报文各自的候选报文特征。

分别基于至少一个候选报文特征各自与目标报文特征之间的特征相似度，从至少一个候选响应报文，挑选出满足预设特征相似度条件的真实响应报文，并将真实响应报文对应的候选IP，作为目标Web站点的真实IP。

第二方面，本申请实施例还提供了一种真实IP识别装置，所述装置包括：

解析模块，用于从目标终端发送的Web访问请求中，获取目标Web站点对应的域名信息，以及确定设定历史时间范围内，域名信息对应的域名解析记录；其中，域名解析记录包括：至少一个候选IP。

获取模块，用于基于Web访问请求，生成相应的目标响应报文，以及获得目标响应报文的目标报文特征；以及基于域名解析记录中包含的至少一个候选IP，访问目标Web站点，分别生成至少一个候选IP各自对应的候选响应报文，以及获得至少一个候选响应报文各自的候选报文特征。

处理模块，用于分别基于至少一个候选报文特征各自与目标报文特征之间的特征相似度，从至少一个候选响应报文，挑选出满足预设特征相似度条件的真实响应报文，并将真实响应报文对应的候选IP，作为目标Web站点的真实IP。

一种可选的实施例中，在分别基于至少一个候选报文特征各自与目标报文特征与之间的特征相似度，从至少一个候选响应报文，挑选出满足预设特征相似度条件的真实响应报文时，处理模块具体用于：

基于至少一个候选报文特征各自对应的相似度集合，分别确定相应候选报文特征与目标报文特征之间的特征相似度；其中，每个相似度集合包括：相应候选报文特征与目标报文特征之间的三种不同属性各自的子相似度。

基于获得的至少一个特征相似度，从各个候选响应报文，挑选出满足预设特征相似度条件的真实响应报文。

一种可选的实施例中，在分别基于至少一个候选报文特征各自与目标报文特征与之间的特征相似度，从至少一个候选响应报文，挑选出满足预设特征相似度条件的真实响应报文之前，处理模块还用于：

针对至少一个候选报文特征，分别执行以操作：

获取一个候选报文特征，以及目标报文特征；其中，一个候选报文特征包括：相应的候选响应行、候选响应头以及候选响应体中的至少一种属性，目标报文特征包括：目标响应行、目标响应头以及目标响应体中的至少一种属性。

确定候选响应行与目标响应行之间的第一子相似度，候选响应头与目标响应头之间的第二子相似度，以及候选响应体与目标响应体之间的第三子相似度。

基于第一子相似度，第二子相似度以及第三子相似度，生成一个候选报文特征对应的相似度集合。

一种可选的实施例中，在确定候选响应行与目标响应行之间的第一子相似度，候选响应头与目标响应头之间的第二子相似度，以及候选响应体与目标响应体之间的第三子相似度时，处理模块具体用于：

基于候选响应行与目标响应行的比对结果，确定对应比对结果设置的第一子相似度；其中，比对结果表征：候选响应行是否与目标响应行相同。

基于候选响应头对应的候选字符数组，与目标响应头对应的目标字符数组之间的字符相似度，确定对应字符相似度设置的第二子相似度。

基于候选响应体对应的候选哈希数组，与目标响应体对应的目标哈希数组之间的字符差异数量，从预设的第三子相似度集合中，选取出字符差异数量对应的第三子相似度。

一种可选的实施例中，在基于候选响应头对应的候选字符数组，与目标响应头对应的目标字符数组之间的字符相似度，确定对应字符相似度设置的第二子相似度时，处理模块具体用于：

对候选字符数组和目标字符数组进行汇总，获得候选字符数组与目标字符数组对应的相同字符数量以及字符总数量。

基于相同字符数量以及字符总数量，得到候选字符数组和目标字符数组的字符相似度，并将字符相似度作为第二子相似度。

一种可选的实施例中，在基于候选响应行与目标响应行的比对结果，确定对应比对结果设置的第一子相似度的过程中，处理模块还用于：

若第一子相似度小于设定的第一子相似度阈值，则直接判定一个候选报文特征对应的候选IP，不为目标Web站点的真实IP。

一种可选的实施例中，在基于候选响应头对应的候选字符数组，与目标响应头对应的目标字符数组之间的字符相似度，确定对应字符相似度设置的第二子相似度的过程中，处理模块还用于：

若候选字符数组的数组长度，与目标字符数组的数组长度不同，则直接判定一个候选报文特征对应的候选IP，不为目标Web站点的真实IP。

若第二子相似度小于设定的第二子相似度阈值，则直接判定一个候选报文特征对应的候选IP，不为目标Web站点的真实IP。

一种可选的实施例中，在基于候选响应体对应的候选哈希数组，与目标响应体对应的目标哈希数组之间的字符差异数量，从预设的第三子相似度集合中，选取出字符差异数量对应的第三子相似度的过程中，处理模块还用于：

若第三子相似度小于设定的第三子相似度阈值，则直接判定一个候选报文特征对应的候选IP，不为目标Web站点的真实IP。

第三方面，本申请提供了一种电子设备，所述电子设备包括：

存储器，用于存放计算机程序；

处理器，用于执行所述存储器上所存放的计算机程序时，实现上述的一种真实IP识别方法步骤。

第四方面，本申请提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述的一种真实IP识别方法步骤。

第五方面，提供一种计算机程序产品，所述计算机程序产品在被计算机调用时，使得所述计算机执行如第一方面所述的一种真实IP识别方法步骤。

本申请实施例提供的真实IP识别方法，基于目标终端发送的Web访问请求，确定目标Web站点对应的域名信息，以及设定历史时间范围内，域名信息对应的域名解析记录中包含的至少一个候选IP；接着，获取基于Web访问请求得到的目标响应报文的目标报文特征，以及至少一个候选IP各自对应候选响应报文的候选报文特征；最终，基于至少一个候选报文特征各自与目标报文特征之间的特征相似度，挑选出满足预设特征相似度条件的真实响应报文，从而将真实响应报文对应的候选IP，作为目标Web站点的真实IP。

采用这种方式，根据至少一个候选报文特征各自与目标报文特征之间的特征相似度，确定目标Web站点的真实IP，避免了传统方式中，通过云WAF配置代理端口并设定相应的地址映射规则，访问目标Web站点，无法直接识别访问目标Web站点的真实IP的技术缺陷，可准确识别目标Web站点的真实IP。

附图说明

图1示例性示出了本申请实施例所适用的系统架构图；

图2示例性示出了本申请实施例提供的一种真实IP识别方法流程示意图；

图3示例性示出了本申请实施例提供的一种获取域名信息及其对应的域名解析记录的逻辑示意图；

图4示例性示出了本申请实施例提供的一种获取相似度集合的方法流程示意图；

图5示例性示出了本申请实施例提供的一种获取各种报文属性的方法示意图；

图6示例性示出了本申请实施例提供的一种基于图2的逻辑示意图；

图7示例性示出了本申请实施例提供的一种真实IP识别装置的结构示意图；

图8示例性示出了本申请实施例提供的一种电子设备的结构示意图。

具体实施方式

为了准确识别目标Web站点的真实IP，本申请实施例中，根据Web访问请求确定目标Web站点对应的域名信息，以及设定历史时间范围内，域名信息对应的域名解析记录中包含的至少一个候选IP；接着，获取基于Web访问请求得到的目标响应报文的目标报文特征，以及至少一个候选IP各自对应候选响应报文的候选报文特征；最终，基于至少一个候选报文特征各自与目标报文特征之间的特征相似度，挑选出满足预设特征相似度条件的真实响应报文，从而将真实响应报文对应的候选IP，作为目标Web站点的真实IP。

为了更好地理解本申请实施例，下面首先对本申请实施例中涉及的技术术语进行说明。

(1)云WAF：是指将WAF的功能在云端上实现。示例性的，只需将域名解析权交给云WAF，便可利用DNS调度技术，改变网络流量的原始流向；接着，将网络流量牵引到云端的WAF上，云端的WAF对流量进行净化和过滤后，将安全的流量回传给后端真实的应用，从而达到安全过滤和保护的作用。

(2)Simhash算法：通过对各个文本依次进行分词、hash、加权、合并以及降维操作，获得各个文本各自对应的SimHash值，再通过对不同文本各自对应的SimHash值比较，得到相应的海明距离，进而获得各个文本之间的相似度。

(3)DNS：是Internet上解决网上机器命名的一种系统，作为将域名和IP地址相互映射的一个分布式数据库，能够方便地访问互联网，而不用去记住能够被机器直接读取的IP字符串。

(4)海明距离：又可称为码距，在信息编码中，两个合法代码对应位上编码不同的位数，即，两个码字对应比特取值不同的比特数称为两个码字的海明距离。例如，10101和00110从第一位开始依次有第一位、第四、第五位不同，则海明距离为3。

需要说明的是，上述技术术语命名方式仅为一种示例，本申请实施例对上述技术术语的命名方式不做限制。

下面将结合本发明实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，在本申请的描述中“多个”理解为“至少两个”。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。A与B连接，可以表示：A与B直接连接和A与B通过C连接这两种情况。另外，在本申请的描述中，“第一”、“第二”等词汇，仅用于区分描述的目的，而不能理解为指示或暗示相对重要性，也不能理解为指示或暗示顺序。

参阅图1所示，为本申请实施例所适用的系统架构图，该系统架构包括：终端设备101、服务器102以及目标Web站点103。其中，终端设备101与服务器102之间可通过无线通信方式或有线通信方式进行信息交互。

示例性的，终端设备101可通过蜂窝移动通信技术接入网络，从而与服务器102进行通信，所述蜂窝移动通信技术，比如，包括第五代移动通信(5th Generation MobileNetworks，5G)技术。

可选的，终端设备101可通过短距离无线通信方式接入网络，从而与服务器102进行通信，所述短距离无线通信方式，比如，包括无线保真(Wireless Fidelity，Wi-Fi)技术。

本申请实施例对服务器以及上述其他设备的数量不做限制，图1仅以一个终端设备为例进行描述。

终端设备101，是一种可以向用户提供语音和/或数据连通性的设备，包括具有无线连接功能的手持式终端设备、车载终端设备等。

示例性的，终端设备可以是：手机、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(Mobile Internet Device，MID)、可穿戴设备，虚拟现实(Virtual Reality，VR)设备、增强现实(Augmented Reality，AR)设备、工业控制中的无线终端设备、无人驾驶中的无线终端设备、智能电网中的无线终端设备、运输安全中的无线终端设备、智慧城市中的无线终端设备，或智慧家庭中的无线终端设备等。

需要说明的是，为了便于理解，本文中，终端设备也称为目标终端。

服务器102，用于从目标终端发送的Web访问请求中，获取目标Web站点对应的域名信息，以及确定设定历史时间范围内，域名信息对应的域名解析记录；接着，基于Web访问请求，生成相应的目标响应报文，以及获得目标响应报文的目标报文特征；进一步地，基于域名解析记录中包含的至少一个候选IP，访问目标Web站点，分别生成至少一个候选IP各自对应的候选响应报文，以及获得至少一个候选响应报文各自的候选报文特征；最终，分别基于至少一个候选报文特征各自与目标报文特征之间的特征相似度，从至少一个候选响应报文，挑选出满足预设特征相似度条件的真实响应报文，并将真实响应报文对应的候选IP，作为目标Web站点的真实IP。

目标Web网站103，存储了大量的数据、资源以及信息，为满足相关业务需求，也可完成各种资源的分配和调用。

进一步地，基于上述系统架构，参阅图2所示，本申请实施例提供了一种真实IP识别方法，具体步骤如下：

S201：从目标终端发送的Web访问请求中，获取目标Web站点对应的域名信息，以及确定设定历史时间范围内，域名信息对应的域名解析记录。

具体的，参阅图3所示，在执行步骤S201时，服务器在接收到目标终端的Web访问请求之后，通过信息解析模块，解析该Web访问请求，获得各个数据包，进而通过数据分类模块，得到需要进行访问的目标Web站点的域名信息；进一步地，基于域名信息的特征标识与域名解析记录之间的对应关系，结合设定历史时间范围，筛选出满足设定历史时间范围内，域名信息对应的域名解析记录。

需要说明的是，域名解析记录包括：至少一个通过对域名信息解析获得的候选IP；以及在服务器接收到目标终端发送的Web访问请求之后，需要判定Web访问请求中，是否携带相应的域名信息，只有在确定We访问请求中，携带相应的域名信息时，才能基于Web访问请求去访问目标Web站点。

S202：基于Web访问请求，生成相应的目标响应报文，以及获得目标响应报文的目标报文特征。

具体的，在执行步骤S202时，服务器在接收到Web访问请求之后，通过域名解析获得目标Web站点对应的访问IP地址，从而基于访问IP地址访问目标Web站点，得到相应的目标响应报文，进而对目标响应报文进行解析，获得目标响应报文的目标报文特征。

示例性的，假定目标Web站点的域名信息为“www.micrsoft.com”，服务器根据DNS包含的，域名信息和访问IP地址之间的映射关系，解析出域名信息为“www.micrsoft.com”对应的访问IP地址，从而根据获得的访问IP地址访问目标Web站点，进而得到相应目标响应报文，比如：“HTTP/1.1 304 Not Modified”、“Date：Sat，15 Oct 2022 15:28:37”，以及目标响应报文的目标报文特征；其中，目标报文特征包括：目标响应行、目标响应头以及目标响应体中的至少一种属性。比如，上述相应目标响应报文的目标报文特征包括：目标相应行为“HTTP/1.1 304 Not Modified”、“Date：Sat，15 Oct 2022 15:28:37”，其中，目标响应行包括状态行和消息报头，即“HTTP/1.1 304 Not Modified”为目标响应报文的状态行，“Date：Sat，15 Oct 2022 15:28:37”为目标响应报文的消息报头，目标响应头和目标响应体都为空。

S203：基于域名解析记录中包含的至少一个候选IP，访问目标Web站点，分别生成至少一个候选IP各自对应的候选响应报文，以及获得至少一个候选响应报文各自的候选报文特征。

具体的，在执行步骤S203时，服务器在获得目标响应报文的目标报文特征之后，根据域名信息对应的域名解析记录中，包含的至少一个候选IP，访问目标Web站点，分别生成至少一个候选IP各自对应的候选响应报文，进而获得各个候选报文各自的候选报文特征；其中，每个候选报文特征包括：相应的候选响应行、候选响应头以及候选相应体中的至少一种属性。

S204：分别基于至少一个候选报文特征各自与目标报文特征之间的特征相似度，从至少一个候选响应报文，挑选出满足预设特征相似度条件的真实响应报文，并将真实响应报文对应的候选IP，作为目标Web站点的真实IP。

需要说明的是，在执行步骤S204之前，需要预选获得至少一个候选报文特征各自对应的相似度集合，其中，每个相似度集合包括：相应候选报文特征与目标报文特征之间的三种不同属性各自的子相似度，参阅图4所示，本申请实施例中，针对一个候选报文特征，获取相应相似度集合的方法流程，具体步骤如下：

S401：获取一个候选报文特征，以及目标报文特征。

具体的，参阅图5所示，在执行步骤S401时，服务器分别基于报文响应行、报文响应头以及报文响应体各自的数据类型，以及设定的数据分类模型，从一个候选报文特征中，获取相应候选响应报文的候选响应行，和/或候选响应头，和/或候选响应体，以及从目标报文特征中，获取目标响应报文的目标响应行，和/或目标响应头，和/或目标响应体。

需要说明的是，为了便于描述和理解，上述一个候选报文特征包括：相应候选响应报文的候选响应行、候选响应头以及候选响应体，以及上述的目标报文特征包括：目标响应报文的目标响应行、目标响应头以及目标响应体。

S402：确定候选响应行与目标响应行之间的第一子相似度，候选响应头与目标响应头之间的第二子相似度，以及候选响应体与目标响应体之间的第三子相似度。

具体的，在执行步骤S402时，服务器在获得一个候选报文特征，以及目标报文特征之后，基于候选响应行与目标响应行的比对结果，确定对应比对结果设置的第一子相似度；其中，比对结果表征：候选响应行是否与目标响应行相同。可选的，服务器也可直接通过判定目标响应行的状态行，与一个候选响应行的状态行是否相等来获得相应的对比结果。

示例性的，假定服务器获得一个候选响应特征的候选响应行C.L.R1，以及目标响应特征的目标响应行T.L.R1，通过字符分析模块，对候选响应行C.L.R1与目标响应行T.L.R1进行分析对比，得到候选响应行C.L.R1与目标响应行T.L.R1的对比结果。

例如，若候选响应行C.L.R1与目标响应行的响应行相似度，大于预设的行相似度阈值，则判定候选响应行C.L.R1与目标响应行T.L.R1的对比结果为：候选响应行C.L.R1与目标响应行T.L.R1相同；若候选响应行C.L.R1与目标响应行的响应行相似度，小于或等于预设的行相似度阈值，则判定候选响应行C.L.R1与目标响应行T.L.R1的对比结果为：候选响应行C.L.R1与目标响应行T.L.R1不相同。

紧接着，服务器根据对比结果与第一子相似度之间的对应关系，确定候选响应行C.L.R1与目标响应行T.L.R1的对比结果对应的第一子相似度。为了便于计算，第一子相似度可为归一化的数值，比如，表征候选响应行与目标响应行相同的对比结果，所对应的第一子相似度为1；表征候选响应行与目标响应行不相同的对比结果，所对应的第一子相似度为0.4。

可选的，若第一子相似度小于设定的第一子相似度阈值，则直接判定一个候选报文特征对应的候选IP，不为目标Web站点的真实IP。例如，设定的第一子相似度阈值α＝0.95，若候选响应行与目标响应行相同的对比结果，所对应的第一子相似度为0.4，小于设定的第一子相似度阈值α＝0.95，则直接判定一个候选报文特征对应的候选IP，不为目标Web站点的真实IP，进而进行下个候选IP是否为目标Web站点的真实IP的判断。

进一步地，服务器在确定候选响应行与目标响应行之间的第一子相似度之后，基于候选响应头对应的候选字符数组，与目标响应头对应的目标字符数组之间的字符相似度，确定对应字符相似度设置的第二子相似度。

一种可能的实现方式中，服务器对候选字符数组和目标字符数组进行汇总，获得候选字符数组与目标字符数组对应的相同字符数量以及字符总数量；接着，基于相同字符数量以及字符总数量，得到候选字符数组和目标字符数组的字符相似度，并将字符相似度作为第二子相似度。

示例性的，假定候选响应报文和目标响应报文均为超文本传输协议(Hyper TextTransfer Protocol，HTTP)响应报文，易知候选响应报文的候选响应头和目标响应报文的目标响应头均为多行Key：Value键值对的形式，分别将候选响应头和目标响应头各自的Key：Value键值对拼接起来，组成多行字符串序列，从而得到候选字符数组和目标字符数组；进一步地，将候选字符数组和目标字符数组进行汇总，从而得到候选字符数组与目标字符数组对应的相同字符数量和字符总数量；最终，根据相同字符数量和字符总数量，确定候选字符数组和目标字符数组的字符相似度，并将字符相似度作为第二子相似度。

例如，假定候选字符数组A_k[N]和目标字符数组B_k[M]，服务器可根据字符相似度计算公式，完成对候选字符数组和目标字符数组的汇总，以及第二子相似度的确定，字符相似度计算公式具体如下：

其中，A_k[N]为候选字符数组，N为候选字符数组的长度；B_k[M]为目标字符数组，M为目标字符数组的长度；A_k[N]∩B_k[M]为候选字符数组和目标字符数组中，相同字符集合的字符数量；A_k[N]∪B_k[M]为候选字符数组和目标字符数组汇总后字符集合的字符数量，汇总后字符集合中的各个字符互异。

比如，假定候选字符数组A_k[N]和目标字符数组B_k[M]中的N和M均为10，且A_k[N]∩B_k[M]对应的相同字符集合的字符数量为8，A_k[N]∪B_k[M]对应的汇总后字符集合的字符数量为12，则易知候选字符数组A_k[N]和目标字符数组B_k[M]的字符相似度

进而可知候选字符数组A_k[N]和目标字符数组B_k[M]的第二子相似度为0.67。

可选的，若候选字符数组的数组长度，与目标字符数组的数组长度不同，则直接判定一个候选报文特征对应的候选IP，不为目标Web站点的真实IP。例如，候选字符数组A_k[N]的数组长度N＝15，以及目标字符数组B_k[M]的数组长度M＝16，易知候选字符数组A_k[N]和目标字符数组B_k[M]各自的数组长度不等，则可直接判定一个候选报文特征对应的候选IP，不为目标Web站点的真实IP，进而进行下个候选IP是否为目标Web站点的真实IP的判断。

可选的，若第二子相似度小于设定的第二子相似度阈值，则直接判定一个候选报文特征对应的候选IP，不为目标Web站点的真实IP。例如，设定的第二子相似度阈值β＝0.90，若候选字符数组A_k[N]和目标字符数组B_k[M]的第二子相似度为0.67，小于设定的第二子相似度阈值β＝0.90，则直接判定一个候选报文特征对应的候选IP，不为目标Web站点的真实IP，进而进行下个候选IP是否为目标Web站点的真实IP的判断。

进一步地，服务器在确定候选响应头与目标响应头之间的第二子相似度之后，基于候选响应体对应的候选哈希数组，与目标响应体对应的目标哈希数组之间的字符差异数量，从预设的第三子相似度集合中，选取出字符差异数量对应的第三子相似度。

一种可能的实现方式中，服务器在获得候选响应体和目标响应体之后，基于Simhash算法，分别对候选响应体对应的候选哈希数组，和目标响应体对应的目标哈希数组，进行分词、hash、加权、合并以及降维，得到各自的Simhash值；进一步地，基于获得的两个Simhash值中，字符差异数量进行海明距离的计算，确定候选哈希数组与目标哈希数组之间的海明距离；最终根据获得的海明距离，以及预设的海明距离与第三子相似度之间的对应关系表，选取出该海明距离对应的第三子相似度。

可选的，若第三子相似度小于设定的第三子相似度阈值，则直接判定一个候选报文特征对应的候选IP，不为目标Web站点的真实IP。例如，设定的第三子相似度阈值γ＝0.85，若候选哈希数组与目标哈希数组的第三子相似度为0.82，则直接判定一个候选报文特征对应的候选IP，不为目标Web站点的真实IP，进而进行下个候选IP是否为目标Web站点的真实IP的判断。

S403：基于第一子相似度，第二子相似度以及第三子相似度，生成一个候选报文特征对应的相似度集合。

具体的，服务器获得候选响应行与目标响应行之间的第一子相似度，候选响应头与目标响应头之间的第二子相似度，以及候选响应体与目标响应体之间的第三子相似度，可基于第一子相似度，第二子相似度以及所述第三子相似度，生成一个候选报文特征对应的相似度集合。

基于上述步骤之后，服务器获得了各个候选报文特征各自对应的相似度集合；其中，每个相似度集合包括：相应候选报文特征与目标报文特征之间的三种不同属性各自的子相似度。

进一步地，服务器基于至少一个候选报文特征各自对应的相似度集合，分别确定相应候选报文特征与目标报文特征之间的特征相似度。具体的，服务器可基于特征相似度计算公式，分别确定相应候选报文特征与目标报文特征之间的特征相似度，其中，特征相似度计算公式如下：

ξ＝μ₁v₁+μ₂v₂+μ₃v₃

其中，ξ为相应候选报文特征与目标报文特征之间的特征相似度；v₁、v₂、v₃依次为：第一子相似度、第二子相似度、第三子相似度；μ₁、μ₂、μ₃依次为第三子相似度的加权因子，且μ₁+μ₂+μ₃＝1，μ₁、μ₂、μ₃均可根据实际需求进行设定。

示例性的，若一个候选响应特征与目标响应特征之间的第一子相似度v₁＝1，以及相应的加权因子μ₁＝0.5；第二子相似度v₂＝0.93，以及相应的加权因子μ₂＝0.3；第三子相似度v₃＝0.88，以及相应的加权因子μ₃＝0.2，则根据上述特征相似度计算公式，可得候选报文特征与目标报文特征之间的特征相似度ξ＝1×0.5+0.3×0.98+0.2×0.92＝0.83072。

进一步地，服务器基于获得的至少一个特征相似度，从各个候选响应报文，挑选出满足预设特征相似度条件的真实响应报文。

示例性的，假定五个候选报文特征与目标报文特征之间的特征相似度分别为：ξ₁＝0.954、ξ₂＝0.878、ξ₃＝0.921、ξ₄＝0.907、ξ₅＝0.936，则选择最大特征相似度对应的候选响应报文，作为访问目标Web站点对应的真实响应报文，进而将真实响应报文对应的候选IP，作为目标Web站点的真实IP。

基于上述的方法步骤，参阅图6所示，服务器从目标终端发送的Web访问请求中，获取目标Web站点对应的域名信息，以及确定设定历史时间范围内，域名信息对应的域名解析记录；基于Web访问请求，生成相应的目标响应报文，以及获得目标响应报文的目标报文特征；基于域名解析记录中包含的至少一个候选IP，访问所述目标Web站点，分别生成至少一个候选IP各自对应的候选响应报文，以及获得至少一个候选响应报文各自的候选报文特征；分别基于至少一个候选报文特征各自与目标报文特征之间的特征相似度，从至少一个候选响应报文，挑选出满足预设特征相似度条件的真实响应报文，并将真实响应报文对应的候选IP，作为目标Web站点的真实IP。

本申请实施例提供的真实IP识别方法，基于目标终端发送的Web访问请求，确定目标Web站点对应的域名信息，以及设定历史时间范围内，域名信息对应的域名解析记录中包含的至少一个候选IP；接着，获取基于Web访问请求得到的目标响应报文的目标报文特征，以及至少一个候选IP各自对应候选响应报文的候选报文特征；最终，基于至少一个候选报文特征各自与目标报文特征之间的特征相似度，挑选出满足预设特征相似度条件的真实响应报文，从而将真实响应报文对应的候选IP，作为目标Web站点的真实IP。采用这种方式，根据至少一个候选报文特征各自与目标报文特征之间的特征相似度，确定目标Web站点的真实IP，避免了传统方式中，通过云WAF配置代理端口并设定相应的地址映射规则，访问目标Web站点，无法直接识别访问目标Web站点的真实IP的技术缺陷，可准确识别目标Web站点的真实IP。

基于相同的技术构思，本申请实施例还提供了一种真实IP识别装置，该真实IP识别装置可以实现本申请实施例的上述方法流程。如图7所示，该真实IP识别装置包括：解析模块701、获取模块702以及处理模块703，其中：

解析模块701，用于从目标终端发送的Web访问请求中，获取目标Web站点对应的域名信息，以及确定设定历史时间范围内，域名信息对应的域名解析记录；其中，域名解析记录包括：至少一个候选IP。

获取模块702，用于基于Web访问请求，生成相应的目标响应报文，以及获得目标响应报文的目标报文特征；以及基于域名解析记录中包含的至少一个候选IP，访问目标Web站点，分别生成至少一个候选IP各自对应的候选响应报文，以及获得至少一个候选响应报文各自的候选报文特征。

处理模块703，用于分别基于至少一个候选报文特征各自与目标报文特征之间的特征相似度，从至少一个候选响应报文，挑选出满足预设特征相似度条件的真实响应报文，并将真实响应报文对应的候选IP，作为目标Web站点的真实IP。

一种可选的实施例中，在分别基于至少一个候选报文特征各自与目标报文特征与之间的特征相似度，从至少一个候选响应报文，挑选出满足预设特征相似度条件的真实响应报文时，处理模块703具体用于：

一种可选的实施例中，在分别基于至少一个候选报文特征各自与目标报文特征与之间的特征相似度，从至少一个候选响应报文，挑选出满足预设特征相似度条件的真实响应报文之前，处理模块703还用于：

针对至少一个候选报文特征，分别执行以操作：

一种可选的实施例中，在确定候选响应行与目标响应行之间的第一子相似度，候选响应头与目标响应头之间的第二子相似度，以及候选响应体与目标响应体之间的第三子相似度时，处理模块703具体用于：

一种可选的实施例中，在基于候选响应头对应的候选字符数组，与目标响应头对应的目标字符数组之间的字符相似度，确定对应字符相似度设置的第二子相似度时，处理模块703具体用于：

一种可选的实施例中，在基于候选响应行与目标响应行的比对结果，确定对应比对结果设置的第一子相似度的过程中，处理模块703还用于：

一种可选的实施例中，在基于候选响应头对应的候选字符数组，与目标响应头对应的目标字符数组之间的字符相似度，确定对应字符相似度设置的第二子相似度的过程中，处理模块703还用于：

一种可选的实施例中，在基于候选响应体对应的候选哈希数组，与目标响应体对应的目标哈希数组之间的字符差异数量，从预设的第三子相似度集合中，选取出字符差异数量对应的第三子相似度的过程中，处理模块703还用于：

基于相同的技术构思，本申请实施例还提供了一种电子设备，该电子设备可实现本申请上述实施例提供的方法流程。在一种实施例中，该电子设备可以是服务器，也可以是终端设备或其他电子设备。如图8所示，该电子设备可包括：

至少一个处理器801，以及与至少一个处理器801连接的存储器802，本申请实施例中不限定处理器801与存储器802之间的具体连接介质，图8中是以处理器801和存储器802之间通过总线800连接为例。总线800在图8中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。总线800可以分为地址总线、数据总线、控制总线等，为便于表示，图8中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。或者，处理器801也可以称为控制器，对于名称不做限制。

在本申请实施例中，存储器802存储有可被至少一个处理器801执行的指令，至少一个处理器801通过执行存储器802存储的指令，可以执行前文论述的一种真实IP识别方法。处理器801可以实现图7所示的装置中各个模块的功能。

其中，处理器801是该装置的控制中心，可以利用各种接口和线路连接整个该控制设备的各个部分，通过运行或执行存储在存储器802内的指令以及调用存储在存储器802内的数据，该装置的各种功能和处理数据，从而对该装置进行整体监控。

在一种可能的设计中，处理器801可包括一个或多个处理单元，处理器801可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器801中。在一些实施例中，处理器801和存储器802可以在同一芯片上实现，在一些实施例中，它们也可以在独立的芯片上分别实现。

处理器801可以是通用处理器，例如CPU(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的一种真实IP识别方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

存储器802作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器802可以包括至少一种类型的存储介质，例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory，RAM)、静态随机访问存储器(Static Random Access Memory，SRAM)、可编程只读存储器(Programmable Read Only Memory，PROM)、只读存储器(Read Only Memory，ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，EEPROM)、磁性存储器、磁盘、光盘等等。存储器802是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本申请实施例中的存储器802还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。

通过对处理器801进行设计编程，可以将前述实施例中介绍的一种真实IP识别方法所对应的代码固化到芯片内，从而使芯片在运行时能够执行图2所示的实施例的一种真实IP识别方法的步骤。如何对处理器801进行设计编程为本领域技术人员所公知的技术，这里不再赘述。

基于同一发明构思，本申请实施例还提供一种存储介质，该存储介质存储有计算机指令，当该计算机指令在计算机上运行时，使得计算机执行前文论述的一种真实IP识别方法。

在一些可能的实施方式中，本申请提供一种真实IP识别方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在装置上运行时，程序代码用于使该控制设备执行本说明书上述描述的根据本申请各种示例性实施方式的一种真实IP识别方法中的步骤。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

Claims

1.一种真实互联网协议IP识别方法，其特征在于，包括：

从目标终端发送的全球广域网Web访问请求中，获取目标Web站点对应的域名信息，以及确定设定历史时间范围内，所述域名信息对应的域名解析记录；其中，所述域名解析记录包括：至少一个候选IP；

基于所述Web访问请求，生成相应的目标响应报文，以及获得所述目标响应报文的目标报文特征；

基于所述域名解析记录中包含的至少一个候选IP，访问所述目标Web站点，分别生成所述至少一个候选IP各自对应的候选响应报文，以及获得所述至少一个候选响应报文各自的候选报文特征；

分别基于所述至少一个候选报文特征各自与所述目标报文特征之间的特征相似度，从至少一个候选响应报文，挑选出满足预设特征相似度条件的真实响应报文，并将所述真实响应报文对应的候选IP，作为所述目标Web站点的真实IP。

2.如权利要求1所述的方法，其特征在于，所述分别基于所述至少一个候选报文特征各自与所述目标报文特征与之间的特征相似度，从至少一个候选响应报文，挑选出满足预设特征相似度条件的真实响应报文，包括：

基于所述至少一个候选报文特征各自对应的相似度集合，分别确定相应候选报文特征与所述目标报文特征之间的特征相似度；其中，每个相似度集合包括：相应候选报文特征与所述目标报文特征之间的三种不同属性各自的子相似度；

基于获得的至少一个特征相似度，从所述各个候选响应报文，挑选出满足预设特征相似度条件的真实响应报文。

3.如权利要求1所述的方法，其特征在于，所述分别基于所述至少一个候选报文特征各自与所述目标报文特征与之间的特征相似度，从至少一个候选响应报文，挑选出满足预设特征相似度条件的真实响应报文之前，还包括：

针对所述至少一个候选报文特征，分别执行以操作：

获取所述一个候选报文特征，以及所述目标报文特征；其中，所述一个候选报文特征包括：相应的候选响应行、候选响应头以及候选响应体中的至少一种属性，所述目标报文特征包括：目标响应行、目标响应头以及目标响应体中的至少一种属性；

确定所述候选响应行与所述目标响应行之间的第一子相似度，所述候选响应头与所述目标响应头之间的第二子相似度，以及所述候选响应体与所述目标响应体之间的第三子相似度；

基于所述第一子相似度，所述第二子相似度以及所述第三子相似度，生成所述一个候选报文特征对应的相似度集合。

4.如权利要求3所述的方法，其特征在于，所述确定所述候选响应行与所述目标响应行之间的第一子相似度，所述候选响应头与所述目标响应头之间的第二子相似度，以及所述候选响应体与所述目标响应体之间的第三子相似度，包括：

基于所述候选响应行与所述目标响应行的比对结果，确定对应所述比对结果设置的第一子相似度；其中，所述比对结果表征：所述候选响应行是否与所述目标响应行相同；

基于所述候选响应头对应的候选字符数组，与所述目标响应头对应的目标字符数组之间的字符相似度，确定对应所述字符相似度设置的第二子相似度；

基于所述候选响应体对应的候选哈希数组，与所述目标响应体对应的目标哈希数组之间的字符差异数量，从预设的第三子相似度集合中，选取出所述字符差异数量对应的第三子相似度。

5.如权利要求4所述的方法，其特征在于，所述基于所述候选响应头对应的候选字符数组，与所述目标响应头对应的目标字符数组之间的字符相似度，确定对应所述字符相似度设置的第二子相似度，包括：

对所述候选字符数组和所述目标字符数组进行汇总，获得所述候选字符数组与所述目标字符数组对应的相同字符数量以及字符总数量；

基于所述相同字符数量以及所述字符总数量，得到所述候选字符数组和所述目标字符数组的字符相似度，并将所述字符相似度作为所述第二子相似度。

6.如权利要求4所述的方法，其特征在于，所述基于所述候选响应行与所述目标响应行的比对结果，确定对应所述比对结果设置的第一子相似度的过程中，还包括：

若所述第一子相似度小于设定的第一子相似度阈值，则直接判定所述一个候选报文特征对应的候选IP，不为所述目标Web站点的真实IP。

7.如权利要求4或5所述的方法，其特征在于，所述基于所述候选响应头对应的候选字符数组，与所述目标响应头对应的目标字符数组之间的字符相似度，确定对应所述字符相似度设置的第二子相似度的过程中，还包括：

若所述候选字符数组的数组长度，与所述目标字符数组的数组长度不同，则直接判定所述一个候选报文特征对应的候选IP，不为所述目标Web站点的真实IP；

若所述第二子相似度小于设定的第二子相似度阈值，则直接判定所述一个候选报文特征对应的候选IP，不为所述目标Web站点的真实IP。

8.如权利要求4所述的方法，其特征在于，所述基于所述候选响应体对应的候选哈希数组，与所述目标响应体对应的目标哈希数组之间的字符差异数量，从预设的第三子相似度集合中，选取出所述字符差异数量对应的第三子相似度的过程中，还包括：

若所述第三子相似度小于设定的第三子相似度阈值，则直接判定所述一个候选报文特征对应的候选IP，不为所述目标Web站点的真实IP。

9.一种真实IP识别装置，其特征在于，包括：

解析模块，用于从目标终端发送的全球广域网Web访问请求中，获取目标Web站点对应的域名信息，以及确定设定历史时间范围内，所述域名信息对应的域名解析记录；其中，所述域名解析记录包括：至少一个候选IP；

获取模块，用于基于所述Web访问请求，生成相应的目标响应报文，以及获得所述目标响应报文的目标报文特征；以及基于所述域名解析记录中包含的至少一个候选IP，访问所述目标Web站点，分别生成所述至少一个候选IP各自对应的候选响应报文，以及获得所述至少一个候选响应报文各自的候选报文特征；

处理模块，用于分别基于所述至少一个候选报文特征各自与所述目标报文特征之间的特征相似度，从至少一个候选响应报文，挑选出满足预设特征相似度条件的真实响应报文，并将所述真实响应报文对应的候选IP，作为所述目标Web站点的真实IP。

10.如权利要求9所述的装置，其特征在于，在所述分别基于所述至少一个候选报文特征各自与所述目标报文特征与之间的特征相似度，从至少一个候选响应报文，挑选出满足预设特征相似度条件的真实响应报文时，所述处理模块具体用于：

11.如权利要求9所述的装置，其特征在于，在所述分别基于所述至少一个候选报文特征各自与所述目标报文特征与之间的特征相似度，从至少一个候选响应报文，挑选出满足预设特征相似度条件的真实响应报文之前，所述处理模块还用于：

针对所述至少一个候选报文特征，分别执行以操作：

12.如权利要求11所述的装置，其特征在于，在所述确定所述候选响应行与所述目标响应行之间的第一子相似度，所述候选响应头与所述目标响应头之间的第二子相似度，以及所述候选响应体与所述目标响应体之间的第三子相似度时，所述处理模块具体用于：

13.如权利要求12所述的装置，其特征在于，在所述基于所述候选响应头对应的候选字符数组，与所述目标响应头对应的目标字符数组之间的字符相似度，确定对应所述字符相似度设置的第二子相似度时，所述处理模块具体用于：

14.如权利要求12所述的装置，其特征在于，在所述基于所述候选响应行与所述目标响应行的比对结果，确定对应所述比对结果设置的第一子相似度的过程中，所述处理模块还用于：

15.如权利要求12或13所述的装置，其特征在于，在所述基于所述候选响应头对应的候选字符数组，与所述目标响应头对应的目标字符数组之间的字符相似度，确定对应所述字符相似度设置的第二子相似度的过程中，所述处理模块还用于：

16.如权利要求12所述的装置，其特征在于，在所述基于所述候选响应体对应的候选哈希数组，与所述目标响应体对应的目标哈希数组之间的字符差异数量，从预设的第三子相似度集合中，选取出所述字符差异数量对应的第三子相似度的过程中，所述处理模块还用于：

17.一种电子设备，包括存储器，处理器及存储在存储器上并可在处理器运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1-8中任一项所述的方法。

18.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-8中任一所述方法的步骤。

19.一种计算机程序产品，其特征在于，所述计算机程序产品在被计算机调用时，使得所述计算机执行如权利要求1-8中任一项所述的方法。