[发明专利]网络防护方法、装置、电子设备及介质

权利要求书

1.一种网络防护方法，其特征在于，包括：

确定待封禁IP，并获取所述待封禁IP的地域信息、情报标签、第一预定时间段内所述待封禁IP的被拦截次数；

根据所述待封禁IP的地域信息、情报标签、第一预定时间段内所述待封禁IP的被拦截次数，分析获得所述待封禁IP的威胁等级；

根据不同威胁等级对应的禁封时长，将与所述待封禁IP的威胁等级对应的禁封时长作为所述待封禁IP的禁封时长，并按照所述待封禁IP的禁封时长，对所述待封禁IP执行禁封处理；其中，所述威胁等级与所述禁封时长正相关。

2.根据权利要求1所述的方法，其特征在于，所述根据所述待封禁IP的地域信息、情报标签、第一预定时间段内所述待封禁IP的被拦截次数，分析获得所述待封禁IP的威胁等级，包括：

依据所述地域信息、所述情报标签及第一预定时间段内所述待封禁IP的被拦截次数对应的权重和所述待封禁IP的地域信息、情报标签及第一预定时间段内所述待封禁IP的被拦截次数对应的情报值，通过加权求和计算获得所述待封禁IP的威胁值；

依据不同威胁等级对应的取值区间，将所述待封禁IP的威胁值所在的区间对应的威胁等级，作为所述待封禁IP的威胁等级。

3.根据权利要求1所述的方法，其特征在于，所述威胁等级自低向高依次包括第一等级、第二等级、第三等级和第四等级；所述情报标签包括轻威胁标签和重威胁标签，所述地域信息包括境内及境外；所述根据所述待封禁IP的地域信息、情报标签、第一预定时间段内所述待封禁IP的被拦截次数，分析获得所述待封禁IP的威胁等级，包括：

若所述待封禁IP的情报标签为轻威胁标签，所述待封禁IP的地域信息为境内，第一预定时间段内所述待封禁IP的被拦截次数未达到第一值，则判定所述待封禁IP的威胁等级为第一等级；

若所述待封禁IP的情报标签为轻威胁标签，所述待封禁IP的地域信息为境外，第一预定时间段内所述待封禁IP的被拦截次数未达到第一值；或者，所述待封禁IP的情报标签为轻威胁标签，所述待封禁IP的地域信息为境内，第一预定时间段内所述待封禁IP的被拦截次数达到第一值；或者，所述待封禁IP的情报标签为重威胁标签，所述待封禁IP的地域信息为境内，第一预定时间段内所述待封禁IP的被拦截次数未达到第一值，则判定所述待封禁IP的威胁等级为第二等级；

若所述待封禁IP的情报标签为轻威胁标签，所述待封禁IP的地域信息为境外，第一预定时间段内所述待封禁IP的被拦截次数达到第一值；或者，所述待封禁IP的情报标签为重威胁标签，所述待封禁IP的地域信息为境外，第一预定时间段内所述待封禁IP的被拦截次数未达到第一值；或者，所述待封禁IP的情报标签为重威胁标签，所述待封禁IP的地域信息为境内，第一预定时间段内所述待封禁IP的被拦截次数达到第一值，则判定所述待封禁IP的威胁等级为第三等级；

若所述待封禁IP的情报标签为重威胁标签，所述待封禁IP的地域信息为境外，第一预定时间段内所述待封禁IP的被拦截次数达到第一值，则判定所述待封禁IP的威胁等级为第四等级。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述确定待封禁IP，包括：

根据各安全设备在第二预定时间段内的日志源，获得各安全设备记录的IP；

针对每一所述IP，依据记录该IP的安全设备对应的权重和该安全设备评估的所述IP的通讯行为的告警级别，通过加权求和计算获得所述IP的评估分数；

从评估分数大于第一阈值的IP中，确定所述待封禁IP。

5.根据权利要求4所述的方法，其特征在于，所述从评估分数大于第一阈值的IP中，确定所述待封禁IP，包括：

剔除所述评估分数大于第一阈值的IP中的局域网内IP、白名单IP及已禁封IP，获得所述待封禁IP。