一种IP地址溯源方法、装置和存储介质与流程

一种ip地址溯源方法、装置和存储介质
技术领域
1.本技术属于网络安全技术领域，尤其涉及一种ip地址溯源方法、装置和存储介质。


背景技术：

2.随着网络规模的不断扩大，接入网络的设备数量不断增多，动态主机配置协议(dynamic host configuration protocol，dhcp)服务器得到了广泛应用。dhcp服务器主要用于为接入网络的设备自动分配一个互联网协议(internet protocol，ip)地址。当设备断开网络连接，即放弃使用该ip地址时，dhcp服务器可以将该ip地址分配给其它设备使用，从而提高了资源利用率。
3.然而，当设备通过某ip地址实施非法行为(例如发起恶意攻击、转发垃圾邮件等)时，一般需要溯源使用过这个ip地址的所有设备，以确定实施非法行为的设备。相关技术中，一般是通过人工在海量的dhcp服务器数据记录中查找使用过这个ip地址的设备，不仅费时费力，且能够追溯到的数据记录有限。


技术实现要素：

4.本技术提供一种ip地址溯源方法、装置和存储介质，用于解决对ip地址进行溯源的效率较低的问题。
5.为达到上述目的，本技术采用如下技术方案：
6.第一方面，提供一种ip地址溯源方法，包括：在接收用于查询待查询互联网协议ip地址的溯源信息的第一消息后，可以从预先存储的地址分配信息中，确定与待查询ip地址和待查询时间对应的目标设备标识，并将目标设备标识确定为待查询ip地址的溯源信息。其中，第一消息包括待查询ip地址和待查询时间。目标设备标识包括目标mac地址。地址分配信息包括至少一个ip地址、至少一个设备标识和至少一个分配时间的对应关系。地址分配信息为根据预先配置的可执行文件确定的。
7.可选的，该ip地址溯源方法，还包括：接收dhcp服务器发送的预设格式的第二消息；第二消息包括地址分配信息；地址分配信息为dhcp服务器执行预先配置的可执行文件得到的；预设格式包括syslog日志格式；预先配置的可执行文件包括bat文件。
8.可选的，该ip地址溯源方法，还包括：执行预先配置的可执行文件，以得到地址分配信息。
9.可选的，预先配置的可执行文件的执行周期为预设周期；预先配置的可执行文件用于从目标文件中截取到ip地址分配信息，并将ip地址分配信息存储为目标格式；目标文件包括防火墙日志文件和数据库文件；目标格式包括文本格式。
10.可选的，从预先存储的地址分配信息中，确定与待查询ip地址对应的至少一个候选设备标识和至少一个候选分配时间；至少一个候选设备标识与至少一个候选分配时间一一对应；从至少一个候选分配时间中，选取与待查询时间对应的候选分配时间作为目标分配时间；将目标分配时间对应的候选设备标识确定为目标设备标识。
11.第二方面，提供一种ip地址溯源装置，包括：接收单元和处理单元；接收单元，用于接收用于查询待查询互联网协议ip地址的溯源信息的第一消息；第一消息包括待查询ip地址和待查询时间；处理单元，用于从预先存储的地址分配信息中，确定与待查询ip地址和待查询时间对应的目标设备标识，并将目标设备标识确定为待查询ip地址的溯源信息；目标设备标识包括目标mac地址。地址分配信息包括至少一个ip地址、至少一个设备标识和至少一个分配时间的对应关系；地址分配信息为根据预先配置的可执行文件确定的。
12.可选的，接收单元，还用于接收动态主机配置协议dhcp服务器发送的预设格式的第二消息；第二消息包括地址分配信息；地址分配信息为dhcp服务器执行预先配置的可执行文件得到的；预设格式包括syslog日志格式；预先配置的可执行文件包括bat文件。
13.可选的，处理单元，还用于执行预先配置的可执行文件，以得到地址分配信息。
14.可选的，预先配置的可执行文件的执行周期为预设周期；预先配置的可执行文件用于从目标文件中截取到ip地址分配信息，并将ip地址分配信息存储为目标格式；目标文件包括防火墙日志文件和数据库文件；目标格式包括文本格式。
15.可选的，处理单元，还用于确定与待查询ip地址对应的至少一个候选设备标识和至少一个候选分配时间；至少一个候选设备标识与至少一个候选分配时间一一对应；处理单元，还用于从至少一个候选分配时间中，选取与待查询时间对应的候选分配时间作为目标分配时间；处理单元，还用于将目标分配时间对应的候选设备标识确定为目标设备标识。
16.第三方面，提供一种ip地址溯源装置，包括存储器和处理器；存储器用于存储计算机执行指令，处理器与存储器通过总线连接；当ip地址溯源装置运行时，处理器执行存储器存储的计算机执行指令，以使ip地址溯源装置执行如第一方面的ip地址溯源方法。
17.该ip地址溯源可以是网络设备，也可以是网络设备中的一部分装置，例如网络设备中的芯片系统。该芯片系统用于支持网络设备实现第一方面及其任意一种可能的实现方式中所涉及的功能，例如，接收、确定、分流上述数据处理方法中所涉及的数据和/或信息。该芯片系统包括芯片，也可以包括其他分立器件或电路结构。
18.第四方面，提供一种计算机可读存储介质，该计算机可读存储介质包括计算机执行指令，当计算机执行指令在计算机上运行时，使得计算机执行如第一方面的ip地址溯源方法。
19.第五方面，提供一种计算机程序产品，该计算机程序产品包括计算机指令，当指令在计算机上运行时，使得计算机执行如第一方面提供的ip地址溯源方法。
20.需要说明的是，上述计算机指令可以全部或者部分存储在第一计算机可读存储介质上。其中，第一计算机可读存储介质可以与ip地址溯源装置的处理器封装在一起的，也可以与ip地址溯源装置的处理器单独封装，本技术对此不作限定。
21.在本技术中，上述ip地址溯源装置的名字对设备或功能模块本身不构成限定，在实际实现中，这些设备或功能模块可以以其他名称出现。只要各个设备或功能模块的功能和本技术类似，属于本技术权利要求及其等同技术的范围之内。
22.本技术的这些方面或其他方面在以下的描述中会更加简明易懂。
23.本技术提供的技术方案至少带来以下有益效果：
24.基于上述任一方面，本技术中，在接收用于查询待查询ip地址的溯源信息的第一消息(包括待查询ip地址和待查询时间)后，由于根据预先配置的可执行文件确定的预先存
储的地址分配信息中包括至少一个ip地址、至少一个设备标识和至少一个分配时间的对应关系，因此，可以从预先存储的地址分配信息中，快速地确定与待查询ip地址和待查询时间对应的目标设备标识，并将目标设备标识确定为待查询ip地址的溯源信息。
25.这样一来，由于根据预先配置的可执行文件能够批量、自动地确定地址分配信息，可以提高从dhcp服务器产生的海量数据中获取地址分配信息的效率，且由于设备标识(包括mac地址)是设备的唯一标识，即设备标识和设备的对应关系固定不变，因此，通过将预先存储好的地址分配信息中的设备标识确定为溯源信息，可以快速、准确的确定在待查询时间内使用待查询ip地址的设备，解决了人工对ip地址进行溯源时费时费力，且能够追溯到的数据记录有限的技术问题，提高了对ip地址进行溯源的效率。
附图说明
26.图1为本技术实施例提供的一种ip地址溯源系统的结构示意图一；
27.图2为本技术实施例提供的一种ip地址溯源系统的结构示意图二；
28.图3为本技术实施例提供的通信装置的一种硬件结构示意图；
29.图4为本技术实施例提供的一种ip地址溯源方法的流程示意图一；
30.图5为本技术实施例提供的一种ip地址溯源方法的流程示意图二；
31.图6为本技术实施例提供的一种ip地址溯源方法的流程示意图三；
32.图7为本技术实施例提供的一种ip地址溯源方法的流程示意图四；
33.图8为本技术实施例提供的一种ip地址溯源方法的流程示意图五；
34.图9为本技术实施例提供的一种ip地址溯源装置的结构示意图。
具体实施方式
35.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
36.需要说明的是，本技术实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本技术实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
37.为了便于清楚描述本技术实施例的技术方案，在本技术实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分，本领域技术人员可以理解“第一”、“第二”等字样并不是在对数量和执行次序进行限定。
38.此外，本技术实施例和权利要求书及附图中的术语“包括”和“具有”不是排他的。例如，包括了一系列步骤或模块的过程、方法、系统、产品或设备没有限定于已列出的步骤或模块，还可以包括没有列出的步骤或模块。
39.目前，当设备通过某ip地址实施非法行为(例如发起恶意攻击、转发垃圾邮件等)时，一般需要溯源使用过这个ip地址的所有设备，以确定实施非法行为的设备。相关技术中，一般是通过人工在海量的dhcp服务器数据记录中查找使用过这个ip地址的设备，不仅
费时费力，且能够追溯到的数据记录有限。
40.针对上述问题，本技术实施例提供了一种ip地址溯源方法，在接收用于查询待查询ip地址的溯源信息的第一消息(包括待查询ip地址和待查询时间)后，由于根据预先配置的可执行文件确定的预先存储的地址分配信息中包括至少一个ip地址、至少一个设备标识和至少一个分配时间的对应关系，因此，可以从预先存储的地址分配信息中，快速地确定与待查询ip地址和待查询时间对应的目标设备标识，并将目标设备标识确定为待查询ip地址的溯源信息。
41.这样一来，由于根据预先配置的可执行文件能够批量、自动地确定地址分配信息，可以提高从dhcp服务器产生的海量数据中获取地址分配信息的效率，且由于设备标识是设备的唯一标识，即设备标识和设备的对应关系固定不变，因此，通过将预先存储好的地址分配信息中的设备标识确定为溯源信息，可以快速、准确的确定在待查询时间内使用待查询ip地址的设备，解决了人工对ip地址进行溯源时费时费力，且能够追溯到的数据记录有限的技术问题，提高了对ip地址进行溯源的效率。
42.该ip地址溯源方法适用于ip地址溯源系统。图1示出了该ip地址溯源系统的一种结构。如图1所示，该ip地址溯源系统100包括：ip地址溯源装置101、dhcp服务器102和多个设备103。ip地址溯源装置101和dhcp服务器102之间通信连接。dhcp服务器102分别和多个设备103之间通信连接。
43.在实际应用中，图1中的ip地址溯源装置101可以和多个dhcp服务器之间通信连接，以用于对多个dhcp服务器中每个dhcp服务器所管理的ip地址进行溯源。
44.为了便于理解，本技术主要以ip地址溯源装置101和一个dhcp服务器102之间通信连接为例进行说明。
45.可选的，图1中的ip地址溯源装置101可以看作是日志管理系统，其能够解析用于存储地址分配信息的文件，也可以解析包含有待查询ip地址和待查询时间的消息，以对ip地址进行溯源。ip地址溯源装置101可以是终端，也可以是服务器，还可以是其他用于对ip地址进行溯源的电子设备。
46.当ip地址溯源装置101是终端时，该终端为指向用户提供语音和/或数据连通性的设备，具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。无线终端可以经无线接入网(radio access network，ran)与一个或多个核心网进行通信。无线终端可以是移动终端，如具有移动终端的计算机，也可以是便携式、袖珍式、手持式、计算机内置的移动装置，它们与无线接入网交换语言和/或数据，例如，手机、平板电脑、笔记本电脑、上网本、个人数字助理(personal digital assistant，pda)。本技术实施例对此不作任何限制。
47.当ip地址溯源装置101是服务器时，该服务器可以是单独的一个服务器，或者，也可以是由多个服务器构成的服务器集群。部分实施方式中，服务器集群还可以是分布式集群。本技术实施例对此不作任何限制。
48.图1中的dhcp服务器102通常控制有一段ip地址，可以通过dhcp为接入dhcp服务器102所归属网络的设备自动分配ip地址和子网掩码。当设备接入dhcp服务器102所归属网络时，设备会自动与dhcp服务器通信，以获得dhcp服务器自动分配的ip地址。dhcp服务器还可以用于对网络内的所有设备进行中央管理。
49.图1中的设备103可以是终端。该终端可以是为指向用户提供语音和/或数据连通性的设备，具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。无线终端可以经无线接入网(radio access network，ran)与一个或多个核心网进行通信。无线终端可以是移动终端，如具有移动终端的计算机，也可以是便携式、袖珍式、手持式、计算机内置的移动装置，它们与无线接入网交换语言和/或数据，例如，手机、平板电脑、笔记本电脑、上网本、个人数字助理(personal digital assistant，pda)。本技术实施例对此不作任何限制。
50.可选的，ip地址溯源装置101可以和dhcp服务器102相互独立设置。另一种可能的实现方式中，当ip地址溯源装置101是服务器时，ip地址溯源装置101也可以和dhcp服务器102集成在一起。
51.当ip地址溯源装置101和dhcp服务器102集成在一起时，图2示出了该ip地址溯源系统的另一种结构。如图2所示，该ip地址溯源系统200包括：ip地址溯源装置201和多个设备202。ip地址溯源装置201分别和多个设备202之间通信连接。
52.在这种情况下，ip地址溯源装置201具备图1中的ip地址溯源装置101的功能之外，还可以具备图1中的dhcp服务器102的功能。即ip地址溯源装置201不仅可以用于对ip地址进行溯源，还可以通过dhcp为接入ip地址溯源装置201所归属网络的设备自动分配ip地址和子网掩码。
53.可选的，ip地址溯源系统100中的ip地址溯源装置101、dhcp服务器102和多个设备103，以及ip地址溯源系统200中ip地址溯源装置201和多个设备202的基本硬件结构类似，都包括图3所示通信装置所包括的元件。下面以图3所示的通信装置为例，介绍ip地址溯源系统100中的ip地址溯源装置101、dhcp服务器102和多个设备103，以及ip地址溯源系统200中ip地址溯源装置201和多个设备202的硬件结构。
54.如图3所示，为本技术实施例提供的通信装置的一种硬件结构示意图。该通信装置包括处理器21，存储器22、通信接口23、总线24。处理器21，存储器22以及通信接口23之间可以通过总线24连接。
55.处理器21是通信装置的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器21可以是一个通用中央处理单元(central processing unit，cpu)，也可以是其他通用处理器等。其中，通用处理器可以是微处理器或者是任何常规的处理器等。
56.作为一种实施例，处理器21可以包括一个或多个cpu，例如图3中所示的cpu0和cpu1。
57.存储器22可以是只读存储器(read-only memory，rom)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，ram)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，eeprom)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。
58.一种可能的实现方式中，存储器22可以独立于处理器21存在，存储器22可以通过总线24与处理器21相连接，用于存储指令或者程序代码。处理器21调用并执行存储器22中存储的指令或程序代码时，能够实现本技术下述实施例提供的ip地址溯源方法。
59.在本技术实施例中，对于ip地址溯源系统100中的ip地址溯源装置101、dhcp服务器102和多个设备103，以及ip地址溯源系统200中ip地址溯源装置201和多个设备202而言，存储器22中存储的软件程序不同，所以ip地址溯源系统100中的ip地址溯源装置101、dhcp服务器102和多个设备103，以及ip地址溯源系统200中ip地址溯源装置201和多个设备202实现的功能不同。关于各设备所执行的功能将结合下面的流程图进行描述。
60.另一种可能的实现方式中，存储器22也可以和处理器21集成在一起。
61.通信接口23，用于通信装置与其他设备通过通信网络连接，所述通信网络可以是以太网，无线接入网，无线局域网(wireless local area networks，wlan)等。通信接口23可以包括用于接收数据的接收单元，以及用于发送数据的发送单元。
62.总线24，可以是工业标准体系结构(industry standard architecture，isa)总线、外部设备互连(peripheral component interconnect，pci)总线或扩展工业标准体系结构(extended industry standard architecture，eisa)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示，图3中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
63.需要指出的是，图3中示出的结构并不构成对该通信装置的限定，除图3所示部件之外，该通信装置可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
64.比如，本技术另一些实施例中，通信装置的另一种硬件结构可以包括处理器以及通信接口。处理器与通信接口耦合。处理器的功能可以参考上述处理器21的描述。此外，处理器还具备存储功能，即可以具有上述存储器22的功能。通信接口用于为处理器提供数据。该通信接口可以是通信装置的内部接口，也可以是通信装置对外的接口(相当于通信接口23)。
65.如图4所示，为本技术实施例提供的一种ip地址溯源方法的流程示意图。该ip地址溯源方法应用于图1所示的ip地址溯源系统100中的ip地址溯源装置101，也可以应用于图2所示的ip地址溯源系统200中的ip地址溯源装置201。该ip地址溯源方法包括：s401-s402。
66.s401、ip地址溯源装置接收用于查询待查询ip地址的溯源信息的第一消息。
67.其中，第一消息包括待查询ip地址和待查询时间。第一消息用于请求查询待查询ip地址的溯源信息，即在待查询时间使用待查询ip地址的设备信息。
68.具体的，当网络中的设备通过待查询ip地址实施非法行为时(例如发起恶意攻击、广播垃圾邮件等)，工作人员可以便捷地了解到待查询ip地址和本次非法行为的实施时间(即待查询时间)。但是，由于待查询ip地址是复用的，即不同时间由不同设备使用，往往对应于多个设备的设备标识。因此，一般难以快速的确定实施非法行为的设备设备标识，即待查询ip地址的溯源信息。
69.为了确定待查询ip地址的溯源信息，工作人员可以将待查询ip地址和待查询时间输入至ip地址溯源装置，并发起查询请求。相应的，ip地址溯源装置可以接收到待查询ip地址和待查询时间。
70.可选的，ip地址溯源装置上可以预先配置有输入模块。该输入模块可以是键盘或者触摸屏等。工作人员可以通过输入模块将待查询ip地址和待查询时间便捷地输入至ip地址溯源装置。
71.s402、ip地址溯源装置从预先存储的地址分配信息中，确定与待查询ip地址和待查询时间对应的目标设备标识，并将目标设备标识确定为待查询ip地址的溯源信息。
72.其中，目标设备标识包括目标mac地址。地址分配信息包括至少一个ip地址、至少一个设备标识和至少一个分配时间的对应关系。地址分配信息为根据预先配置的可执行文件确定的。预先配置的可执行文件的执行周期为预设周期。预先配置的可执行文件用于从目标文件中截取到ip地址分配信息，并将ip地址分配信息存储为目标格式。
73.可选的，目标文件包括防火墙日志文件和数据库文件。
74.可选的，目标格式包括文本格式。
75.具体的，在识别到待查询ip地址和待查询时间后，为了确定待查询ip地址的溯源信息，ip地址溯源装置可以先从预先存储的地址分配信息中，确定与待查询ip地址匹配的所有分配记录。接着，ip地址溯源装置可以从与待查询ip地址匹配的所有分配记录中，选取和待查询时间对应的分配时间，并将该分配时间对应的设备标识确定为目标设备标识，从而确定在待查询时间使用待查询ip地址的设备，得到待查询ip地址的溯源信息。
76.或者，ip地址溯源装置也可以先从预先存储的地址分配信息中，确定与待查询时间对应的所有分配记录。接着，ip地址溯源装置可以从与待查询时间对应的所有分配记录中，选取和待查询ip地址匹配的ip地址，并将该ip地址对应的设备标识确定为目标设备标识，从而确定在待查询时间使用待查询ip地址的设备，得到待查询ip地址的溯源信息。
77.需要说明的是，在实际应用中，工作人员会记录每个设备对应的责任人员。这样一来，当确定到在待查询时间使用待查询ip地址的设备后，工作人员可以根据该设备确定到需要对相关事件负责的责任人员。
78.可选的，当预先存储的地址分配信息中没有与待查询ip地址匹配的分配记录时，ip地址溯源装置可以输出用于表示待查询ip地址不匹配的提示信息。当预先存储的地址分配信息中没有与待查询时间对应的分配记录时，ip地址溯源装置可以输出用于表示待查询时间不匹配的提示信息。
79.可选的，地址分配信息还可以包括ip地址对应的网段、子网掩码等信息。
80.可选的，可执行文件可以是批处理(batch，bat)文件，也可以是命令提示符(command prompt，cmd)文件，还可以是其他便于准确、快速地确定地址分配信息的文件。本技术实施例对此不作限定。
81.示例性的，预设可执行文件为bat文件。工作人员可以在基于x86平台的dhcp服务器上编写bat文件，并设定执行方式(例如周期性执行等)。相应的，dhcp服务器可以按照工作人员设定的执行方式执行bat文件，从而实现将dhcp服务器中的网段、ip地址、子网掩码、设备标识、分配时间等信息抓取并存储在文本文件中的功能。
82.可选的，执行方式可以由工作人员凭经验合理设置，以定期执行bat文件，从而完整记录dhcp服务器中的地址分配信息。
83.在一种可选的实施例中，结合图1所示的ip地址溯源系统100，当ip地址溯源装置和dhcp服务器相互独立设置时，为了预先确定并存储地址分配信息，在图4示出的方法实施例的基础上，本实施例提供一种可能的实现方式，如图5所示，包括：s501。
84.s501、ip地址溯源装置接收dhcp服务器发送的预设格式的第二消息。
85.其中，第二消息包括地址分配信息。地址分配信息为dhcp服务器执行预先配置的
可执行文件得到的。
86.具体的，当ip地址溯源装置和dhcp服务器相互独立设置时，由于可执行文件为预先配置的，因此，dhcp服务器可以执行该文件以得到地址分配信息。
87.接着，dhcp服务器可以按照预设格式生成包含有地址分配信息的第二消息，并主动向ip地址溯源装置发送第二消息。相应的，ip地址溯源装置可以接收第二消息，并解析第二消息以得到地址分配信息。
88.或者，dhcp服务器可以在接收到ip地址溯源装置发送的用于获取地址分配信息的请求消息后，再按照预设格式生成包含有地址分配信息的第二消息，并向ip地址溯源装置发送第二消息。相应的，ip地址溯源装置可以接收第二消息，并解析第二消息以得到地址分配信息。
89.可选的，dhcp服务器可以按照预设周期间隔执行预先配置的可执行文件。
90.可选的，预设格式可以是网络事件协议(syslog)日志格式，也可以是其他便于传输和存储的格式。本技术实施例对此不作限定。
91.syslog是一种用来在互联网中传递日志信息的标准，且通过syslog传递日志信息的双方一般分为客户端和服务器端。客户端是产生日志信息的一方，服务器端是接收并存储客户端发送的日志消息的对方。在本实施例中，地址分配信息可以看作是dhcp服务器产生的日志信息。这种情况下，dhcp服务器为客户端，ip地址溯源装置为服务器端。
92.在一种可选的实施例中，结合图2所示的ip地址溯源系统，当ip地址溯源装置和dhcp服务器集成在一起时，为了预先确定并存储地址分配信息，在图4示出的方法实施例的基础上，本实施例提供另一种可能的实现方式，如图6所示，包括：如s601。
93.s601、ip地址溯源装置执行预先配置的可执行文件，以得到地址分配信息。
94.具体的，当ip地址溯源装置和dhcp服务器集成在一起时，由于可执行文件为预先配置的，因此，ip地址溯源装置可以执行该文件以得到地址分配信息，并存储地址分配信息。
95.可选的，ip地址溯源装置可以按照预设周期间隔执行预先配置的可执行文件。
96.在一种可选的实施例中，为了从预先存储的地址分配信息中，确定与待查询ip地址和待查询时间对应的目标设备标识，在图4示出的方法实施例的基础上，本实施例提供一种可能的实现方式，如图7所示，为本技术提供的又一种ip地址溯源方法的流程示意图。该ip地址溯源方法可以包括：s701-s703。
97.s701、ip地址溯源装置从预先存储的地址分配信息中，确定与待查询ip地址对应的至少一个候选设备标识和至少一个候选分配时间。
98.具体的，在解析第一消息得到待查询ip地址和待查询时间后，为了筛选出所有使用过待查询ip地址的设备，ip地址溯源装置可以从地址分配信息中，确定与待查询ip地址对应的至少一个候选设备标识和至少一个候选分配时间。
99.其中，至少一个候选设备标识与至少一个候选分配时间一一对应。
100.s702、ip地址溯源装置从至少一个候选分配时间中，选取与待查询时间对应的候选分配时间作为目标分配时间。
101.具体的，在确定与待查询ip地址对应的至少一个候选设备标识和至少一个候选分配时间后，由于至少一个候选设备标识与至少一个候选分配时间一一对应，因此，为了从至
少一个候选设备标识中选取出目标设备标识，ip地址溯源装置可以从至少一个候选分配时间中选取与待查询时间对应的候选分配时间作为目标分配时间。后续，ip地址溯源装置可以通过确定与目标分配时间对应的设备标识来确定目标设备标识。
102.s703、ip地址溯源装置将目标分配时间对应的候选设备标识确定为目标设备标识。
103.在一种可选的实施例中，结合图1中所示的ip地址溯源系统，当ip地址溯源装置和dhcp服务器相互独立设置时，为了确定待查询ip地址的溯源信息，本实施例提供另一种可能的实现方式，如图8所示，该方法包括s801-s805。
104.s801、dhcp服务器接收bat文件。
105.具体的，工作人员可以在基于x86平台的dhcp服务器上编写bat文件，并设置执行bat文件的预设方式。相应的，dhcp服务器可以接收到工作人员编写的bat文件，并识别到执行bat文件的预设方式。
106.可选的，dhcp服务器可以预先配置有输入模块。该输入模块可以是键盘、触摸屏等。工作人员可以通过该输入模块编写bat文件并输入至dhcp服务器。
107.可选的，bat文件可以用于将dhcp服务器的ip地址分配记录中的网段、ip地址、子网掩码、设备标识、分配时间等信息抓取并存储在文本文件中。
108.s802、dhcp服务器按照预设方式执行bat文件以得到地址分配信息。
109.具体的，当满足执行bat文件的预设方式时，dhcp服务器可以执行bat文件以得到ip地址分配记录中的网段、ip地址、子网掩码、设备标识、分配时间等信息，并将ip地址、设备标识和分配时间的对应关系存储为地址分配信息，并存储在文本文件。
110.s803、dhcp服务器通过syslog将地址分配信息发送至ip地址溯源装置。
111.具体的，在通过syslog将地址分配信息发送至ip地址溯源装置时，dhcp服务器可以按照syslog将地址分配信息转换为syslog日志格式，并主动向ip地址溯源装置发送syslog日志格式的地址分配信息。相应的，ip地址溯源装置可以接收syslog日志格式的地址分配信息，并存储地址分配信息。
112.或者，dhcp服务器可以在接收到ip地址溯源装置发送的用于获取地址分配信息的请求消息后，再按照syslog将地址分配信息转换为syslog日志格式，并向ip地址溯源装置发送syslog日志格式的地址分配信息。相应的，ip地址溯源装置可以接收syslog日志格式的地址分配信息，并存储地址分配信息。
113.s804、ip地址溯源装置接收用于查询待查询ip地址的溯源信息的第一消息。
114.应理解，关于ip地址溯源装置接收用于查询待查询ip地址的溯源信息的第一消息的描述，可以参考上述s401的内容，在此不再赘述。
115.s805、ip地址溯源装置从预先存储的地址分配信息中，确定与待查询ip地址和待查询时间对应的目标设备标识，并将目标设备标识确定为待查询ip地址的溯源信息。
116.应理解，关于ip地址溯源装置从预先存储的地址分配信息中，确定与待查询ip地址和待查询时间对应的目标设备标识，并将目标设备标识确定为待查询ip地址的溯源信息的描述，可以参考上述s402的内容，在此不再赘述。
117.本技术中，在接收用于查询待查询ip地址的溯源信息的第一消息(包括待查询ip地址和待查询时间)后，由于根据预先配置的可执行文件确定的预先存储的地址分配信息
中包括至少一个ip地址、至少一个设备标识和至少一个分配时间的对应关系，因此，可以从预先存储的地址分配信息中，快速地确定与待查询ip地址和待查询时间对应的目标设备标识，并将目标设备标识确定为待查询ip地址的溯源信息。
118.这样一来，由于根据预先配置的可执行文件能够批量、自动地确定地址分配信息，可以提高从dhcp服务器产生的海量数据中获取地址分配信息的效率，且由于设备标识(包括mac地址)是设备的唯一标识，即设备标识和设备的对应关系固定不变，因此，通过将预先存储好的地址分配信息中的设备标识确定为溯源信息，可以快速、准确的确定在待查询时间内使用待查询ip地址的设备，解决了人工对ip地址进行溯源时费时费力，且能够追溯到的数据记录有限的技术问题，提高了对ip地址进行溯源的效率。
119.上述主要从方法的角度对本技术实施例提供的方案进行了介绍。为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本技术能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
120.本技术实施例可以根据上述方法示例对ip地址溯源装置进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。可选的，本技术实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。
121.如图9所示，为本技术实施例提供的一种ip地址溯源装置的结构示意图。该ip地址溯源装置可以用于执行如图4至图8所示的ip地址溯源方法，包括：接收单元901和处理单元902。
122.接收单元901，用于接收用于查询待查询互联网协议ip地址的溯源信息的第一消息。第一消息包括待查询ip地址和待查询时间。例如，结合图4，接收单元901可以用于执行s401。
123.处理单元902，用于从预先存储的地址分配信息中，确定与待查询ip地址和待查询时间对应的目标设备标识，并将目标设备标识确定为待查询ip地址的溯源信息。地址分配信息包括至少一个ip地址、至少一个设备标识和至少一个分配时间的对应关系。地址分配信息为根据预先配置的可执行文件确定的。例如，结合图4，处理单元902可以用于执行s402。
124.可选的，接收单元901，还用于接收dhcp服务器发送的预设格式的第二消息。第二消息包括地址分配信息。地址分配信息为dhcp服务器执行预先配置的可执行文件得到的。预设格式包括syslog日志格式。预先配置的可执行文件包括bat文件例如，结合图5，接收单元901可以用于执行s501。
125.可选的，处理单元902，还用于执行预先配置的可执行文件，以得到地址分配信息。例如，结合图6，处理单元902可以用于执行s601。
126.可选的，处理单元902，还用于从预先存储的地址分配信息中，确定与待查询ip地址对应的至少一个候选设备标识和至少一个候选分配时间。至少一个候选设备标识与至少
一个候选分配时间一一对应。例如，结合图7，处理单元902可以用于执行s701。
127.处理单元902，还用于从至少一个候选分配时间中，选取与待查询时间对应的候选分配时间作为目标分配时间。例如，结合图7，处理单元902可以用于执行s702。
128.处理单元902，还用于将目标分配时间对应的候选设备标识确定为目标设备标识。例如，结合图7，处理单元902可以用于执行s703。
129.本领域技术人员应该可以意识到，在上述一个或多个示例中，本技术所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机可读存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
130.本技术实施例还提供一种计算机程序产品，该计算机程序产品可直接加载到存储器中，并含有软件代码，该计算机程序产品经由计算机载入并执行后能够实现上述实施例提供的ip地址溯源方法中，ip地址溯源装置执行的各个步骤。
131.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时，可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机执行指令时，全部或部分地产生按照本技术实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质(例如，软盘、硬盘、磁带)，光介质(例如，dvd)、或者半导体介质(例如固态硬盘(solid state disk，ssd))等。
132.通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。
133.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个装置，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是一个物理单元或多个物理单元，即可以位于一个地方，或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
134.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以权利要求的保护范围为准。