[发明专利]恶意IP地址威胁情报库建立、防止恶意攻击方法及装置

说明书

本文提供了恶意IP地址威胁情报库建立、防止恶意攻击方法及装置，包括：根据企业业务系统访问的IP地址信息，筛选出连续第一时间段内访问量符合预定条件的IP地址信息；根据IP地址的封禁/解封信息，筛选出同一IP地址解禁时刻与下一次封禁时刻差值小于预定差值的IP地址；根据网络攻击防护设备的攻击日志，筛选出连续第二时间段内所有网络攻击防护设备的攻击日志均包含的IP地址；根据企业电商平台访问日志信息及IP地址的封禁/解禁信息，筛选出连续第三时间段内访问量超过预定量且具有封禁历史的IP地址；根据筛选出的IP地址，建立恶意IP地址威胁情报库。本文能够化被动为主动，提升企业针对网络攻击的对抗能力、降低风险。

技术领域

本文涉及网络安全领域，尤其涉及一种恶意IP地址威胁情报库建立方法及装置、防止恶意攻击方法及装置。

背景技术

目前企业在面对网络攻击时大多时只能是被动等待防御的姿态，或根据历史已经发生的恶意攻击行为防止相同恶意攻击再次发生。

现有技术中，企业并不能预测恶意攻击行为，具有对网络攻击行为对抗能力差、风险较高的问题。

发明内容

现有技术中，企业不能预测恶意攻击行为，具有对网络攻击行为对抗能力差、风险较高的问题。

为了解决上述技术问题，本文的第一方面提供一种恶意IP地址威胁情报库建立方法，包括：

获取企业业务系统访问的IP地址信息、IP地址的封禁/解禁信息、网络攻击防护设备的日志信息及企业电商平台访问日志信息；

根据企业业务系统访问的IP地址信息，筛选出连续第一时间段内访问量符合预定条件的IP地址信息；

根据IP地址的封禁/解封信息，筛选出同一IP地址解禁时刻与下一次封禁时刻差值小于预定差值的IP地址；

根据网络攻击防护设备的攻击日志，筛选出连续第二时间段内所有网络攻击防护设备的攻击日志均包含的IP地址；

根据企业电商平台访问日志信息及IP地址的封禁/解禁信息，筛选出连续第三时间段内访问量超过预定量且具有封禁历史的IP地址；

根据筛选出的IP地址，建立恶意IP地址威胁情报库。

作为本文的进一步实施例中，根据筛选出的IP地址，建立恶意IP地址威胁情报库，包括：

将筛选出的IP地址作为恶意IP地址；

确定恶意IP地址的相关信息，其中，所述恶意IP地址的相关信息包括：恶意IP地址的首次访问时刻、首次发现渠道及评分、最近一次发现时刻及最近一次发现渠道；

由恶意IP地址的相关信息，建立恶意IP地址威胁情报库。

作为本文的进一步实施例中，所述恶意IP地址的相关信息还包括：恶意IP地址的有效期；

所述恶意IP地址的有效期于恶意IP地址威胁情报库使用时进行自动递减，直至有效期为0，则在恶意IP地址威胁情报库中删除恶意IP地址的相关信息。

作为本文的进一步实施例中，恶意IP地址威胁情报库建立方法还包括：

按照预定计划，重新筛选IP地址；

对于重新筛选出的每一IP地址，从恶意IP地址威胁情报库中匹配该IP地址，若匹配成功，则修改恶意IP地址威胁情报库中该IP地址的相关信息，若匹配失败，则将该IP地址记录于恶意IP地址威胁情报库中。

本文的第二方面提供一种防止恶意攻击方法，预先利用前述任一实施例所述方法建立恶意IP地址威胁情报库，所述防止恶意攻击的方法包括：

从开源情报源中，采集开源情报信息，其中，所述开源情报信息包括：IP地址及所属僵尸网络家族；