本技術(shù)涉及網(wǎng)絡(luò)安全，尤其涉及一種惡意ip地址庫更新方法及裝置。

背景技術(shù)：

1、隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全問題日益突出。網(wǎng)絡(luò)安全防護(hù)極為重要，通常使用防火墻或入侵檢測系統(tǒng)來識別網(wǎng)絡(luò)攻擊、非法活動等安全問題。防火墻或入侵檢測系統(tǒng)中含有惡意ip地址庫，其中，惡意ip地址庫中含有惡意ip地址。防火墻或入侵檢測系統(tǒng)利用惡意ip地址庫中的惡意ip地址來識別網(wǎng)絡(luò)攻擊、非法活動等安全問題，以及阻止網(wǎng)絡(luò)攻擊行為。但是分布式拒絕服務(wù)攻擊(distributed?denial?of?service，ddos)、惡意軟件、網(wǎng)絡(luò)釣魚等非法活動層出不窮，因此，惡意ip地址庫需要不斷的更新，從而阻止新出現(xiàn)的網(wǎng)絡(luò)攻擊行為。

2、然而，現(xiàn)有技術(shù)中惡意ip地址庫通常采用周期性的方式進(jìn)行更新，在本次更新之后至下次更新之前的這段時間內(nèi)，如果有新的惡意ip地址出現(xiàn)，防火墻或入侵檢測系統(tǒng)不能準(zhǔn)確識別出該新出現(xiàn)的惡意ip地址。因此，如何準(zhǔn)確識別惡意ip地址是需要考慮的。

技術(shù)實現(xiàn)思路

1、本技術(shù)提供一種惡意ip地址庫更新方法及裝置，用于提高識別惡意ip地址的準(zhǔn)確性。

2、本技術(shù)實施例提供了一種惡意ip地址庫更新的方法，所述方法包括：

3、對接收到的網(wǎng)絡(luò)流進(jìn)行解析，獲取所述網(wǎng)絡(luò)流中的源ip地址；

4、判斷本地保存的惡意ip地址庫中是否包含所述源ip地址；

5、若否，則將所述源ip地址發(fā)送給云端設(shè)備，并接收所述云端設(shè)備的反饋結(jié)果；

6、若所述反饋結(jié)果表示所述云端設(shè)備保存的威脅情報信息庫中存在所述源ip地址，則將所述源ip地址更新至所述惡意ip地址庫中，并阻止所述網(wǎng)絡(luò)流的訪問。

7、進(jìn)一步地，所述惡意ip地址庫包括第一緩存庫和第二緩存庫，所述判斷本地保存的惡意ip地址庫中是否包含所述源ip地址，包括：

8、確定所述源ip地址的哈希值；

9、識別所述第一緩存庫或第二緩存庫中是否保存有所述哈希值。

10、進(jìn)一步地，所述將所述源ip地址更新至所述惡意ip地址庫中包括：

11、將所述源ip地址的哈希值添加到所述惡意ip地址庫的第二緩存庫中，并對所述源ip地址對應(yīng)的被檢查到的次數(shù)更新。

12、進(jìn)一步地，將所述源ip地址的哈希值添加到所述惡意ip地址庫的第二緩存庫之前，所述方法還包括：

13、判斷所述第二緩存庫中ip地址的數(shù)量是否等于預(yù)設(shè)值；

14、若是，則刪除所述第二緩存庫中頻次最小的ip地址及其對應(yīng)的檢查到的次數(shù)。

15、進(jìn)一步地，所述方法還包括：

16、若所述惡意ip地址庫的第一緩存庫保存有所述哈希值，根據(jù)所述哈希值對應(yīng)的關(guān)聯(lián)數(shù)組中記錄的命中信息，判斷所述哈希值對應(yīng)的源ip地址是否未被檢查到；若是，則將所述命中信息修改為被檢查到，并將所述關(guān)聯(lián)數(shù)組中所述源ip地址被檢查到的次數(shù)及頻度更新；若否，則將所述關(guān)聯(lián)數(shù)組中所述源ip地址被檢查到的次數(shù)更新；

17、若所述惡意ip地址庫的第二緩存庫保存有所述哈希值，對所述第二緩存庫中所述哈希值對應(yīng)的源ip地址被檢查到的次數(shù)更新。

18、進(jìn)一步地，所述方法還包括：

19、按照預(yù)設(shè)的時間間隔，根據(jù)所述第一緩存庫中每個ip地址對應(yīng)的關(guān)聯(lián)數(shù)組中記錄的是否首次被檢查到、被檢查到的次數(shù)及頻度，確定每個ip地址被使用的分值；

20、根據(jù)所述第二緩存庫中包含的ip地址的數(shù)量，確定所述第一緩存庫中分值較低的所述數(shù)量的被替換ip地址；

21、采用所述第二緩存庫中的ip地址以及次數(shù)對所述第一緩存庫中所述被替換ip地址和次數(shù)進(jìn)行替換，并將對應(yīng)的頻度和命中信息更新。

22、進(jìn)一步地，所述方法還包括：

23、對所述第一緩存庫中包含的每個ip地址對應(yīng)的關(guān)聯(lián)數(shù)組中記錄的命中信息更新為未被檢查到。

24、本技術(shù)實施例提供了一種惡意ip地址庫更新的裝置，所述裝置包括：

25、處理模塊，用于對接收到的網(wǎng)絡(luò)流進(jìn)行解析，獲取所述網(wǎng)絡(luò)流中的源ip地址；

26、判斷模塊，用于判斷本地保存的惡意ip地址庫中是否包含所述源ip地址；

27、收發(fā)模塊，用于若所述判斷模塊的判斷結(jié)果為否，則將所述源ip地址發(fā)送給云端設(shè)備，并接收所述云端設(shè)備的反饋結(jié)果；

28、確定模塊，用于若所述反饋結(jié)果表示所述云端設(shè)備保存的威脅情報信息庫中存在所述源ip地址，則將所述源ip地址更新至所述惡意ip地址庫中，并阻止所述網(wǎng)絡(luò)流的訪問。

29、進(jìn)一步地，所述確定模塊，具體用于確定所述源ip地址的哈希值；

30、所述判斷模塊，具體用于識別所述第一緩存庫或第二緩存庫中是否保存有所述哈希值。

31、進(jìn)一步地，所述處理模塊，具體用于將所述源ip地址的哈希值添加到所述惡意ip地址庫的第二緩存庫中，并對所述源ip地址對應(yīng)的被檢查到的次數(shù)更新。

32、進(jìn)一步地，所述判斷模塊，還用于判斷所述第二緩存庫中ip地址的數(shù)量是否等于預(yù)設(shè)值；

33、所述處理模塊，還用于若所述第二緩存庫中ip地址的數(shù)量是否等于預(yù)設(shè)值，則刪除所述第二緩存庫中頻次最小的ip地址及其對應(yīng)的檢查到的次數(shù)。

34、進(jìn)一步地，所述判斷模塊，還用于若所述惡意ip地址庫的第一緩存庫保存有所述哈希值，根據(jù)所述哈希值對應(yīng)的關(guān)聯(lián)數(shù)組中記錄的命中信息，判斷所述哈希值對應(yīng)的源ip地址是否未被檢查到；

35、所述處理模塊，還用于若所述哈希值對應(yīng)的源ip地址是未被檢查到，則將所述命中信息修改為被檢查到，并將所述關(guān)聯(lián)數(shù)組中所述源ip地址被檢查到的次數(shù)及頻度更新；若所述哈希值對應(yīng)的源ip地址被檢查到，則將所述關(guān)聯(lián)數(shù)組中所述源ip地址被檢查到的次數(shù)更新；

36、所述處理模塊，還用于若所述惡意ip地址庫的第二緩存庫保存有所述哈希值，對所述第二緩存庫中所述哈希值對應(yīng)的源ip地址被檢查到的次數(shù)更新。

37、進(jìn)一步地，所述確定模塊，還用于按照預(yù)設(shè)的時間間隔，根據(jù)所述第一緩存庫中每個ip地址對應(yīng)的關(guān)聯(lián)數(shù)組中記錄的是否首次被檢查到、被檢查到的次數(shù)及頻度，確定每個ip地址被使用的分值；根據(jù)所述第二緩存庫中包含的ip地址的數(shù)量，確定所述第一緩存庫中分值較低的所述數(shù)量的被替換ip地址；

38、所述處理模塊，還用于采用所述第二緩存庫中的ip地址以及次數(shù)對所述第一緩存庫中所述被替換ip地址和次數(shù)進(jìn)行替換，并將對應(yīng)的頻度和命中信息更新。

39、進(jìn)一步地，所述處理模塊，還用于對所述第一緩存庫中包含的每個ip地址對應(yīng)的關(guān)聯(lián)數(shù)組中記錄的命中信息更新為未被檢查到。

40、本技術(shù)實施例還提供了一種電子設(shè)備，所述電子設(shè)備包括處理器，所述處理器用于執(zhí)行存儲器中存儲的計算機(jī)程序時實現(xiàn)如上述任一所述方法的步驟。

41、本技術(shù)實施例還提供了一種計算機(jī)可讀存儲介質(zhì)，所述計算機(jī)可讀存儲介質(zhì)存儲有計算機(jī)程序，所述計算機(jī)程序被處理器執(zhí)行時實現(xiàn)如上述任一所述方法的步驟。

42、本技術(shù)實施例中，電子設(shè)備對接收到的網(wǎng)絡(luò)流進(jìn)行解析，獲取網(wǎng)絡(luò)流中的源ip地址，針對源ip地址，通過本地保存的惡意ip地址庫檢測該源ip地址是否為惡意ip地址；若本地保存的惡意ip地址庫中不存在該源ip地址，則將源ip地址發(fā)送至云端設(shè)備，通過云端設(shè)備保存的威脅情報信息庫檢測該源ip地址是否為惡意ip地址，由此，可以準(zhǔn)確地識別出新出現(xiàn)的惡意ip地址。