(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111413150.1 (22)申请日 2021.11.25 (71)申请人 中国工商银行股份有限公司 地址 100140 北京市西城区复兴门内大街 55号 (72)发明人 安逸　宫晨　袁宁　刘方毅　 (74)专利代理 机构 北京三友知识产权代理有限 公司 11127 代理人 崔博　杨勇 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/1001(2022.01) (54)发明名称 IPS封禁方法及装置 (57)摘要 一种IPS封禁方法及装置， 可用于金融领域 或其他领域。 方法包括： 获取攻击源IP地址， 提取 攻击源IP地址特征， 确定攻击源IP地址的地址类 型； 根据攻击源IP地址的地址类型， 对地址类型 相同的攻击源IP地址进行聚合， 生成对应于不同 地址类型的网段； 根据网段及攻击源IP地址， 确 定攻击源IP地址的封禁位置， 包括路由器侧与防 火墙侧； 根据攻击源IP地址及预设的白名单， 判 断攻击源IP地址是否存在于白名单中， 若不存 在， 则根据攻击源IP地址的封禁位置， 对攻击源 IP地址进行封禁。 本发 明通过动态选择在路由器 或防火墙测对地址进行封禁， 均衡封禁 设备的负 载， 减轻运维人员 压力， 提升IPS工具有效性， 提 高封解禁效率及设备 可用率。 权利要求书2页 说明书9页 附图8页 CN 114124540 A 2022.03.01 CN 114124540 A 1.一种IP S封禁方法， 其特 征在于， 所述方法包括： 获取攻击源IP地址， 并提取所述攻击源IP地址特征， 根据所述攻击源IP地址特征， 确定 所述攻击源IP地址的地址类型； 根据所述攻击源IP地址的地址类型， 对地址类型相同的攻击源IP地址进行聚合， 生成 对应于不同地址类型的网段； 根据所述网段及攻击源IP地址， 确定所述攻击源IP地址的封禁位置； 其中， 所述封禁位 置包括路由器侧与防火墙侧； 根据所述攻击源IP地址及预设的白名单， 判断所述攻击源IP地址是否存在于所述白名 单中， 若不存在， 则根据所述 攻击源IP地址的封禁位置， 对所述 攻击源IP地址进行封禁。 2.根据权利要求1所述的方法， 其特征在于， 所述方法还包括： 若所述攻击源IP地址存 在于所述白名单中， 则判断所述攻击源IP地址是否存在 对应的真实地址， 若 是， 则对所述真 实地址进行封禁。 3.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 若获知一IP地址在预设时间内的封解禁频率超过预设阈值， 则将该IP地址作为目标IP 地址； 将所述目标IP地址分割为多个地址单位， 确定各地址单元出现于不同类型业务地址 中 的概率值， 并根据所述 概率值， 确定所述目标IP地址所属的业 务类型； 根据历史访问数据， 统计所述 业务类型对应的平均访问频率； 若获知所述目标IP地址的封解禁频率及其所属业务类型的平均访 问频率之间符合预 设关系， 则将所述目标IP地址加入所述白名单中。 4.根据权利要求1所述的方法， 其特征在于， 所述根据所述攻击源IP地址的封禁位置， 对所述攻击源IP地址进行封禁包括： 根据所述 攻击源IP地址及其封禁位置， 确定所述 攻击源IP地址对应的封禁方式； 根据所述封禁方式， 调用封禁接口对所述 攻击源IP地址进行封禁。 5.一种IP S封禁装置， 其特 征在于， 所述装置包括： 地址获取模块， 用于获取攻击源IP地址， 并提取所述攻击源IP地址特征， 根据所述攻击 源IP地址特 征， 确定所述 攻击源IP地址的地址类型； 地址类型模块， 用于根据所述攻击源IP地址的地址类型， 对地址类型相同的攻击源IP 地址进行聚合， 生成对应于不同地址类型的网段； 封禁位置模块， 用于根据所述网段及攻击源IP地址， 确定所述攻击源IP地址的封禁位 置； 其中， 所述封禁位置包括路由器侧与防火墙侧； 地址封禁模块， 用于根据所述攻击源IP地址及预设的白名单， 判断所述攻击源IP地址 是否存在于所述白名单中， 若不存在， 则根据所述攻击源IP地址的封禁位置， 对 所述攻击源 IP地址进行封禁。 6.根据权利要求5所述的装置， 其特征在于， 所述装置还包括： 真实地址模块， 用于若所 述攻击源IP地址存在于所述白名单中， 则判断所述攻击源IP地址是否存在对应的真实地 址， 若是， 则对所述真实地址进行封禁。 7.根据权利要求5所述的装置， 其特 征在于， 所述装置还 包括： 目标地址模块， 用于若获知一IP地址在预设时间内的封解禁频率超过预设阈值， 则将权　利　要　求　书 1/2 页 2 CN 114124540 A 2该IP地址作为目标IP地址； 业务类型模块， 用于将所述目标IP地址分割为多个地址单位， 确定各地址单元出现于 不同类型业 务地址中的概 率值， 并根据所述 概率值， 确定所述目标IP地址所属的业 务类型； 访问频率模块， 用于根据历史访问数据， 统计所述 业务类型对应的平均访问频率； 白名单更新模块， 用于若获知所述目标IP地址的封解禁频率及其所属业务类型的平均 访问频率之间符合预设 关系， 则将所述目标IP地址加入所述白名单中。 8.根据权利要求5所述的装置， 其特 征在于， 所述 地址封禁模块包括： 封禁方式单元， 用于根据所述攻击源IP地址及其封禁位置， 确定所述攻击源IP地址对 应的封禁方式； 地址封禁单元， 用于根据所述封禁方式， 调用封禁接口对所述 攻击源IP地址进行封禁。 9.一种电子设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计算 机程序， 其特征在于， 所述处理器执行所述计算机程序时实现权利要求1至4任一项所述方 法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有执行权利 要求1至4任一项所述方法的计算机程序。权　利　要　求　书 2/2 页 3 CN 114124540 A 3