(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111599858.0 (22)申请日 2021.12.24 (71)申请人 北京网神洞鉴科技有限公司 地址 100044 北京市西城区西直门外南路 26号院1号楼-4至5层101内3层309、 310、 311室 (72)发明人 黎军　张庆纲　姚超　徐志强　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 王宇杨 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/4511(2022.01) H04L 61/00(2022.01) H04L 101/668(2022.01)H04L 101/69(2022.01) (54)发明名称 服务器攻击溯源方法及装置 (57)摘要 本发明提供一种服务器攻击溯源方法及装 置， 所述方法包括： 确定攻击服务器的设备的目 标IP地址； 确定 所述目标IP地址的持有人的网络 资产； 根据所述网络资产对服务器攻击进行溯 源。 本发明提供的服务器攻击溯源方法及装置， 识别出攻击服务器的设备的IP地址之后， 通过深 入挖掘IP地址的持有人的网络资产， 并根据网络 资产对服务器攻击进行溯源， 提高了网络安全 性。 权利要求书2页 说明书9页 附图1页 CN 114499959 A 2022.05.13 CN 114499959 A 1.一种服 务器攻击溯源方法， 其特 征在于， 包括： 确定攻击服 务器的设备的目标IP地址； 确定所述目标IP地址的持有人的网络资产； 根据所述网络资产对服 务器攻击进行溯源。 2.根据权利要求1所述的服务器攻击溯源方法， 其特征在于， 所述确定攻击服务器的设 备的目标IP地址， 包括： 获取服务器的登录日志文件； 根据所述登录日志文件确定攻击服 务器的设备的目标IP地址 。 3.根据权利要求2所述的服务器攻击溯源方法， 其特征在于， 所述根据 所述登录日志文 件确定攻击服 务器的设备的目标IP地址， 包括： 确定所述登录日志文件中每条登录日志对应的IP地址和时间戳； 根据所有的登录日志对应的IP地址和时间戳确定攻击服 务器的设备的目标IP地址 。 4.根据权利要求3所述的服务器攻击溯源方法， 其特征在于， 所述确定所述登录日志文 件中每条登录日志对应的IP地址和时间戳， 包括： 通过正则匹配识别所述登录日志文件中每条登录日志对应的IP地址和时间戳。 5.根据权利要求3所述的服务器攻击溯源方法， 其特征在于， 所述根据 所有的登录日志 对应的IP地址和时间戳确定攻击服 务器的设备的目标IP地址， 包括： 根据所有的登录日志对应的IP地址和时间戳分析每一 IP地址的登录频率； 根据每一 IP地址的登录频率确定攻击服 务器的设备的目标IP地址 。 6.根据权利要求5所述的服务器攻击溯源方法， 其特征在于， 所述根据每一IP地址的登 录频率确定攻击服 务器的设备的目标IP地址， 包括： 若当前IP地址的登录频率大于或等于第一预设阈值， 则确定所述当前IP地址为攻击服 务器的设备的目标IP地址； 若当前目标IP地址的登录频率小于所述第一预设阈值， 则确定所述当前IP地址不是攻 击服务器的设备的目标IP地址 。 7.根据权利要求1所述的服务器攻击溯源方法， 其特征在于， 所述确定所述目标IP地址 的持有人的网络资产， 包括： 确定所述目标IP地址关联的域名信息； 根据所述目标IP地址关联的域名信息确定所述目标IP地址的持有人的网络资产。 8.根据权利要求7所述的服务器攻击溯源方法， 其特征在于， 所述确定所述目标IP地址 关联的域名信息， 包括： 调用开源情 报平台确定所述目标IP地址关联的域名信息 。 9.根据权利要求8所述的服务器攻击溯源方法， 其特征在于， 所述目标IP地址关联的域 名信息包括所述目标IP地址当前绑定的域名和历史域名。 10.根据权利要求7所述的服务器攻击溯源方法， 其特征在于， 所述持有人的网络资产 包括所述持有人持有的其 他IP地址以及所述 其他IP地址关联的域名信息 。 11.根据权利要求1所述的服务器攻击溯源方法， 其特征在于， 所述根据所述网络资产 对服务器攻击进行溯源， 包括： 判断所述网络资产中非法资产的占比；权　利　要　求　书 1/2 页 2 CN 114499959 A 2根据所述网络资产中非法资产的占比对服 务器攻击进行溯源。 12.根据权利要求11所述的服务器攻击溯源方法， 其特征在于， 所述根据 所述网络资产 中非法资产的占比对服 务器攻击进行溯源， 包括： 若所述网络资产中非法资产的占比大于或等于第 二预设阈值， 则确定所述持有人是攻 击源头； 若所述网络资产中非法资产的占比小于所述第 二预设阈值， 则确定所述持有人不是攻 击源头。 13.根据权利要求1所述的服务器攻击溯源方法， 其特征在于， 所述根据所述网络资产 对服务器攻击进行溯源之后， 还 包括： 在确定溯源结果的情况 下， 发送报警信息 。 14.一种服 务器攻击溯源 装置， 其特 征在于， 包括： 第一确定模块， 用于确定攻击服 务器的设备的目标IP地址； 第二确定模块， 用于确定所述目标IP地址的持有人的网络资产； 第三确定模块， 用于根据所述网络资产对服 务器攻击进行溯源。 15.一种电子设备， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运 行的计算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求 1至13中的任一 项所述服务器攻击溯源方法的步骤。 16.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算 机程序被处理器执行时实现如权利要求1至13中的任一项所述服务器攻击溯源方法的步 骤。 17.一种计算机程序产品， 包括计算机程序， 其特征在于， 所述计算机程序被处理器执 行时实现如权利要求1至13中的任一项所述 服务器攻击溯源方法的步骤。权　利　要　求　书 2/2 页 3 CN 114499959 A 3