[发明专利]恶意IP地址威胁情报库建立、防止恶意攻击方法及装置

权利要求书

1.一种恶意IP地址威胁情报库建立方法，其特征在于，适用于具有电商平台及业务系统的企业，包括：

获取企业业务系统访问的IP地址信息、IP地址的封禁/解禁信息、网络攻击防护设备的日志信息及企业电商平台访问日志信息；

根据企业业务系统访问的IP地址信息，筛选出连续第一时间段内访问量符合预定条件的IP地址信息；

根据IP地址的封禁/解封信息，筛选出同一IP地址解禁时刻与下一次封禁时刻差值小于预定差值的IP地址，本步骤筛选出的IP地址用于防止攻击者掌握封禁/解封策略，进而对企业业务系统进行攻击；

根据网络攻击防护设备的日志信息，筛选出连续第二时间段内所有网络攻击防护设备的日志信息均包含的IP地址；

根据企业电商平台访问日志信息及IP地址的封禁/解禁信息，筛选出连续第三时间段内访问量超过预定量且具有封禁历史的IP地址；

将筛选出的IP地址作为恶意IP地址；

确定恶意IP地址的相关信息，其中，所述恶意IP地址的相关信息包括：恶意IP地址的首次访问时刻、首次发现渠道及评分、最近一次发现时刻及最近一次发现渠道；

由恶意IP地址的相关信息，建立恶意IP地址威胁情报库；

按照预定计划，重新筛选IP地址；

对于重新筛选出的每一IP地址，从恶意IP地址威胁情报库中匹配该IP地址，若匹配成功，则修改恶意IP地址威胁情报库中该IP地址的相关信息，若匹配失败，则将该IP地址记录于恶意IP地址威胁情报库中，修改该IP地址相关信息中的评分时，增加该IP地址评分。

2.如权利要求1所述的恶意IP地址威胁情报库建立方法，其特征在于，所述恶意IP地址的相关信息还包括：恶意IP地址的有效期；

所述恶意IP地址的有效期于恶意IP地址威胁情报库使用时进行自动递减，直至有效期为0，则在恶意IP地址威胁情报库中删除恶意IP地址的相关信息。

3.一种防止恶意攻击方法，其特征在于，预先利用权利要求1或2所述方法建立恶意IP地址威胁情报库，所述防止恶意攻击的方法包括：

从开源情报源中，采集开源情报信息，其中，所述开源情报信息包括：IP地址及所属僵尸网络家族；

将所述恶意IP地址威胁情报库中的恶意IP地址与开源情报信息中的IP地址进行匹配；

若匹配成功，则从开源情报源中采集匹配成功的IP地址所属僵尸网络家族的已暴露的IP网段；

对采集的IP网段进行封禁操作。

4.如权利要求3所述的防止恶意攻击方法，其特征在于，还包括：

对于已封禁IP地址清单中的每一已封禁IP地址，从所述恶意IP地址威胁情报库中匹配该已封禁IP地址；

若匹配成功，则确定第一随机时长，在该已封禁IP地址的封禁时长上增加所述第一随机时长；

若匹配失败，则确定第二随机时长，将所述第二随机时长作为该已封禁IP地址的封禁时长。

5.如权利要求4所述的防止恶意攻击方法，其特征在于，还包括：

根据所述恶意IP地址威胁情报库，检索网络攻击防护设备的日志信息，以提取出恶意IP地址作为攻击源IP地址的日志信息；

根据提取出的日志信息，判断攻击行为是否基于软硬件漏洞；

若判断结果为是，则发出修补漏洞的报警信息。

6.如权利要求4所述的防止恶意攻击方法，其特征在于，还包括：

对于待分析IP地址清单中的每一待分析IP地址，从所述恶意IP地址威胁情报库中匹配该待分析IP地址；

若匹配成功，则发出安全检查的提醒信息。