网络防护方法、装置、电子设备及介质制造方法及图纸

本申请提供的网络防护方法、装置、电子设备及介质，包括，确定待封禁IP，根据待封禁IP的地域信息、情报标签、第一预定时间段内待封禁IP的被拦截次数，分析获得待封禁IP的威胁等级，根据不同威胁等级对应的禁封时长，将与待封禁IP的威胁等级对应的禁封时长作为待封禁IP的禁封时长，并按照待封禁IP的禁封时长，对待封禁IP执行禁封处理，威胁等级与所述禁封时长正相关。本方案能够降低对误判的待封禁IP正常通讯行为的影响。常通讯行为的影响。常通讯行为的影响。

【技术实现步骤摘要】
网络防护方法、装置、电子设备及介质


[0001]本申请涉及网络安全
，尤其涉及一种网络防护方法、装置、电子设备及介质。

技术介绍

[0002]随着互联网技术的快速发展，各行业的网络防护系统变得尤为重要。尤其是银行系统中，一些网络黑客利用网络漏洞，对服务器中的电子交易数据进行攻击，以窃取客户信息，进而窃取资金。安全设备用于监控网络攻击行为，并联合防火墙对攻击行为进行阻断，以避免网络黑客对服务器中数据的攻击,其中安全设备包括：入侵检测系统(Intrusion Detection System，简称IDS)、Web应用防护系统(Web Application Firewall，简称WAF)、入侵防御系统(Intrusion Prevention System，简称IPS)等。
[0003]相关技术中，防火墙会从发出攻击行为的互联网协议(Internet Protocol，简称IP)中评估出恶意IP，并以固定时长对恶意IP进行封禁，以全面阻断该IP与服务器的所有通讯行为。然而一些情况下，防火墙会将正常的IP误判为恶意IP，这样会影响正常I本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络防护方法，其特征在于，包括：确定待封禁IP，并获取所述待封禁IP的地域信息、情报标签、第一预定时间段内所述待封禁IP的被拦截次数；根据所述待封禁IP的地域信息、情报标签、第一预定时间段内所述待封禁IP的被拦截次数，分析获得所述待封禁IP的威胁等级；根据不同威胁等级对应的禁封时长，将与所述待封禁IP的威胁等级对应的禁封时长作为所述待封禁IP的禁封时长，并按照所述待封禁IP的禁封时长，对所述待封禁IP执行禁封处理；其中，所述威胁等级与所述禁封时长正相关。2.根据权利要求1所述的方法，其特征在于，所述根据所述待封禁IP的地域信息、情报标签、第一预定时间段内所述待封禁IP的被拦截次数，分析获得所述待封禁IP的威胁等级，包括：依据所述地域信息、所述情报标签及第一预定时间段内所述待封禁IP的被拦截次数对应的权重和所述待封禁IP的地域信息、情报标签及第一预定时间段内所述待封禁IP的被拦截次数对应的情报值，通过加权求和计算获得所述待封禁IP的威胁值；依据不同威胁等级对应的取值区间，将所述待封禁IP的威胁值所在的区间对应的威胁等级，作为所述待封禁IP的威胁等级。3.根据权利要求1所述的方法，其特征在于，所述威胁等级自低向高依次包括第一等级、第二等级、第三等级和第四等级；所述情报标签包括轻威胁标签和重威胁标签，所述地域信息包括境内及境外；所述根据所述待封禁IP的地域信息、情报标签、第一预定时间段内所述待封禁IP的被拦截次数，分析获得所述待封禁IP的威胁等级，包括：若所述待封禁IP的情报标签为轻威胁标签，所述待封禁IP的地域信息为境内，第一预定时间段内所述待封禁IP的被拦截次数未达到第一值，则判定所述待封禁IP的威胁等级为第一等级；若所述待封禁IP的情报标签为轻威胁标签，所述待封禁IP的地域信息为境外，第一预定时间段内所述待封禁IP的被拦截次数未达到第一值；或者，所述待封禁IP的情报标签为轻威胁标签，所述待封禁IP的地域信息为境内，第一预定时间段内所述待封禁IP的被拦截次数达到第一值；或者，所述待封禁IP的情报标签为重威胁标签，所述待封禁IP的地域信息为境内，第一预定时间段内所述待封禁IP的被拦截次数未达到第一值，则判定所述待封禁IP的威胁等级为第二等级；若所述待封禁IP的情报标签为轻威胁标签，所述待封禁IP的地域信息为境外，第一预定时间段内所述待封禁IP的被拦截次数达到第一值；或者，所述待封禁IP的情报标签为重威胁标签，所述待封禁IP的地域信息为境外，第一预定时间段内所述待封禁IP的被拦截次数未达到第一值；或者，所述待封禁IP的情报标签为重威胁标签，所述待封禁IP的地域信息为境内，第一预定时间段内所述待封禁IP的被拦截次数达到第一值，则判定所述待封禁IP的威胁等级为第三等级；若所述待封禁IP的情报标签为重威胁标签，所述待封禁IP的地域信息为境外，第一预定时间段内所述待封禁IP的被拦截次数达到第一值，则判定所述待封禁IP的威胁等级为第四等级。4.根据权利要求1
‑
3任一项所述的方法，其特征在于，所述确定待封禁IP，包括：
根据各安全设备在第二预定时间段内的日志源，获得各安全设备记录的IP；针对每一所述IP，依据记录该IP的安全设备对应的权重和该安全设备评估的所述IP的通讯行为的告警级别，通过加权求和计算获得所述IP的评估分数；从评估分数大于第一阈值的IP中，确定所述待封禁IP。5.根据权利要求4所述的方法，其特征在于，所述从评估分数大于第一阈值的IP中，确定所述待封禁IP...

【专利技术属性】
技术研发人员：张洁，李远祥，王子南，邢文静，王晓酉，孟吴同，
申请(专利权)人：中国农业银行股份有限公司，
类型：发明
国别省市：