(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111513503.5 (22)申请日 2021.12.10 (71)申请人 中国建设银行股份有限公司 地址 100033 北京市西城区金融大街25号 (72)发明人 刘嘉　杨红远　杜波　赵文　 张勇辉　 (74)专利代理 机构 中科专利商标代理有限责任 公司 11021 代理人 王文思 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 封禁方法、 装置、 电子设备、 介质和计算机程 序产品 (57)摘要 本公开提供了一种针对用户访问行为的可 配置封禁策略的封禁方法、 装置、 电子设备、 介质 和计算机程序产品。 方法和装置可用于计算机安 全技术领域。 上述方法包括： 步骤一： 配置封禁策 略， 其中， 封禁策略包括针对不同用户访问行为 的m个策略实施方式， 每个策略实施方式包括封 禁判定路径和封禁判定实现， m为大于等于0的整 数； 步骤二： 获取用户访问行为， 其中， 用户访问 行为包括用户唯一标识和访问路径； 步骤三： 根 据访问路径和封禁判定路径确定是否存在与用 户访问行为对应的策略实施方式； 步骤四： 当存 在与用户访问行为对应的策略实施方式时， 根据 封禁判定实现识别用户访问行为的攻击行为； 步 骤五： 当用户访问行为存在攻击行为时， 封禁用 户访问行为。 权利要求书3页 说明书19页 附图7页 CN 114189383 A 2022.03.15 CN 114189383 A 1.一种针对用户访问行为的可配置 封禁策略的封禁方法， 其特 征在于， 包括： 步骤一： 配置封禁策略， 其中， 所述封禁策略包括针对不同用户访问行为的m个策略实 施方式， 每 个所述策略实施方式包括封禁判定路径和封禁判定实现， m为大于等于 0的整数； 步骤二： 获取用户访问行为， 其中， 所述用户访问行为包括用户唯一标识和访问路径； 步骤三： 根据 所述访问路径和所述封禁判定路径确定是否存在与所述用户访问行为对 应的所述策略实施方式； 步骤四： 当存在与所述用户访 问行为对应的所述策略实施方式时， 根据所述封禁判定 实现识别所述用户访问行为的攻击行为； 步骤五： 当所述用户访问行为存在攻击行为时， 封禁所述用户访问行为。 2.根据权利要求1所述的方法， 其特 征在于， 每 个所述策略实施方式还 包括： 策略类型， 其中， 所述策略类型包括网络攻击类和业务类， 根据 所述策略类型配置所述 封禁判定实现； 以及 封禁模式， 其中， 根据 所述策略类型配置所述封禁模式， 所述网络攻击类的所述封禁模 式为事前判定， 所述业务类的所述封禁模式为事后判定， 所述封禁判定实现根据所述封禁 模式执行。 3.根据权利要求2所述的方法， 其特征在于， 根据 所述策略类型配置所述封禁判定实现 包括： 当所述策略类型为网络攻击类时， 配置所述封禁判定实现为 攻击载荷匹配实现； 以及 当所述策略类型为 业务类时， 配置所述封禁判定实现为设定阈值实现。 4.根据权利要求3所述的方法， 其特征在于， 所述攻击载荷匹配实现包括： 设置攻击载 荷库， 其中， 所述 攻击载荷库中包括多个不同的攻击载荷， 所述根据所述封禁判定实现识别所述用户访问行为的攻击行为包括： 确定所述访问路径中的第一访问参数； 将所述第一访问参数与所述 攻击载荷库中的攻击载荷匹配； 以及 当在所述 攻击载荷库中匹配到攻击载荷时， 确定所述用户访问行为存在攻击行为。 5.根据权利要求3所述的方法， 其特征在于， 所述设定阈值实现包括： 设置封禁所述用 户访问行为的阈值指标， 其中， 所述阈值指标包括封禁判定指标， 所述根据所述封禁判定实现识别所述用户访问行为的攻击行为包括： 确定所述访问路径中的第二访问参数； 确定所述第二访问参数 是否满足所述封禁判定指标； 以及 当所述第二访问参数满足所述闽值指标时， 确定所述用户访问行为存在攻击行为。 6.根据权利要求5所述的方法， 其特 征在于， 所述阈值指标还 包括封禁执 行指标， 当所述用户访 问行为存在攻击行为时， 所述封禁所述用户访 问行为包括： 根据所述封 禁执行指标封禁所述用户访问行为。 7.根据权利要求1所述的方法， 其特 征在于， 还 包括： 循环执行步骤二至步骤五， 其中， 循环执行步骤二包括获取同一所述用户唯一标识下 的n个不同的所述访问路径， n 为大于等于2的整数； 汇总同一所述用户唯一标识下的所述访问路径的封禁记录， 得到用户封禁集 合； 以及 将所述用户封禁集 合添加至 封禁清单。权　利　要　求　书 1/3 页 2 CN 114189383 A 28.根据权利要求1所述的方法， 其特征在于， 每个所述策略实施方式还包括封禁解除实 现， 所述方法还 包括： 根据所述封禁解除实现解除对所述用户访问行为的封禁。 9.根据权利要求8所述的方法， 其特 征在于， 所述封禁解除实现包括： t时间段后解除封禁； 或者 响应于点击操作解除封禁。 10.根据权利要求8所述的方法， 其特 征在于， 还 包括： 彻底删除所述用户访问行为的封禁记录； 或者 将所述用户访问行为的封禁记录存 储至回收站。 11.根据权利要求1所述的方法， 其特征在于， 在所述获取用户访问行为后， 在所述根据 所述访问路径和所述封禁判定路径确定是否存在与所述用户访问行为对应的所述策略实 施方式前， 所述方法还 包括： 确定是否存在与所述用户访问行为对应的封禁记录； 当存在与所述用户访问行为对应的封禁记录时， 确定所述用户访问行为是否在封禁期 间； 以及 当所述用户访问行为在封禁期间时， 访问报错并返回。 12.根据权利要求1所述的方法， 其特 征在于， 还 包括： 配置所在应用系统的发送同步 参数和提取同步 参数； 根据所述发送同步 参数将该应用系统的所述封禁策略发送至集散地； 以及 根据所述 提取同步 参数从所述 集散地提取目标应用系统的所述封禁策略。 13.根据权利要求12所述的方法， 其特征在于， 每个所述策略实施方式包括策略唯一标 识， 所述应用系统具有应用唯一标识， 所述 发送同步参数包括所述应用唯一标识、 所述策略 唯一标识和所述 集散地的地址 。 14.根据权利要求12所述的方法， 其特征在于， 所述目标应用系统具有目标应用唯一标 识， 所述提取同步参数包括所述 目标应用唯一标识、 所述策略唯一标识和所述集散地的地 址。 15.一种针对用户访问行为的可配置 封禁策略的封禁装置， 其特 征在于， 包括： 配置模块， 所述配置模块用于执行步骤一： 配置封禁策略， 其中， 所述封禁策略包括针 对不同用户访问行为的m个策略实施方式， 每个所述策略实施方式包括封禁判定路径和封 禁判定实现， m为大于等于 0的整数； 获取模块， 所述获取模块用于执行步骤二： 获取用户访 问行为， 其中， 所述用户访问行 为包括用户唯一标识和访问路径； 确定模块， 所述确定模块用于执行步骤三： 根据所述访 问路径和所述封禁判定路径确 定是否存在与所述用户访问行为对应的所述策略实施方式； 识别模块， 所述识别模块用于执行步骤四： 当存在与所述用户访 问行为对应的所述策 略实施方式时， 根据所述封禁判定实现识别所述用户访问行为的攻击行为； 封禁模块， 所述封禁模块用于执行步骤五： 当所述用户访问行为存在攻击行为时， 封禁 所述用户访问行为。 16.一种电子设备， 其特 征在于， 包括：权　利　要　求　书 2/3 页 3 CN 114189383 A 3