攻击地址的封禁方法及其装置、电子设备及存储介质与流程

1.本发明涉及信息安全领域，具体而言，涉及一种攻击地址的封禁方法及其装置、电子设备及存储介质。


背景技术：

2.当前，越来越重视一些基础设施行业的信息安全建设，同时金融科技业界日常可监测的恶意流量、喷洒式攻击、黑客团队攻击也明显地增加。各企业在环境运维和业务运营过程中面临瞬息万变的各种潜在攻击问题。相关技术中，一方面可以利用串行的waf设备和ips设备对入网流量进行预分析和预抛弃，确保入网流量经过最基本的公开规则库的过滤，另一方面可以利用天眼等流量抓取分析工具，对入网流量进行人工分析，对可疑的访问流量的源ip(地址)进行封禁，禁止其访问企业内部it(互联网)资产，上述手段是最广为使用和行之有效的组合防护手段。
3.然而，waf设备和ips设备的规则库命中率有限，对于变形的攻击流量与新型攻击流量无法有效拦截。并且，当前的封禁手段，主要通过人工对流量识别结果进行分析，确定流量访问源可疑、流量请求可疑、行为规律可疑后，再行封禁，是纯人工操作，需要依赖值班人员的注意力和判断力。当攻击数量瞬时过多或是在深夜时段报出时，难以保证封禁的实时性与准确性。此外，操作时需要监控人员手工登录多个安全系统，并需自行复制、筛选攻击ip后进行防火墙的配置，跨工具工作导致效率较低且耗费人力。
4.针对上述的问题，目前尚未提出有效的解决方案。


技术实现要素：

5.本发明实施例提供了一种攻击地址的封禁方法及其装置、电子设备及存储介质，以至少解决相关技术中人工进行攻击地址的识别以及封禁的效率及准确性较低的技术问题。
6.根据本发明实施例的一个方面，提供了一种攻击地址的封禁方法，包括：从预设服务器中获取预设日志，其中，所述预设日志包括：多个数据包，每个所述数据包关联有流量地址，每个所述流量地址预先标记有地址状态；提取所述地址状态为攻击状态的攻击地址，生成目标攻击地址列表；读取预设防火墙中的预设地址列表以及封禁地址列表，并基于所述预设地址列表以及所述封禁地址列表，对所述目标攻击地址列表进行分析，得到目标封禁地址列表；将所述目标封禁地址列表中的每条封禁地址写入至所述预设防火墙，完成对所述封禁地址的封禁。
7.可选地，在从预设服务器中获取预设日志之前，还包括：在预设交换机上部署预设流量分析设备，其中，所述预设交换机用于接收通过所述预设防火墙的全量流量，所述全量流量包括：多个数据包；将所述全量流量复制到所述预设流量分析设备，并采用所述预设流量分析设备分析每个所述数据包，得到分析结果；基于所述分析结果，确定攻击数据包集合以及误告警数据包集合；将所述攻击数据包集合中的每个攻击数据包关联的所述流量地址
的所述地址状态标记为所述攻击状态；基于所述攻击数据包集合以及正常数据包集合，生成所述预设日志，并将所述预设日志上传至所述预设服务器，其中，所述正常数据包集合是所述全量流量中除了所述攻击数据包集合以及所述误告警数据包集合外的数据包集合，所述正常数据包集合中的每个正常数据包关联的所述流量地址的所述地址状态为正常状态。
8.可选地，在将所述全量流量复制到所述预设流量分析设备之前，还包括：在所述预设防火墙的后面串行部署第一分析设备以及第二分析设备；采用所述第一分析设备分析所述全量流量，得到第一流量；采用所述第二分析设备分析所述第一流量，得到第二流量；将所述第二流量放行至所述预设交换机。
9.可选地，采用所述预设流量分析设备分析每个所述数据包的步骤，包括：解析所述数据包，得到数据包信息以及数据体信息，其中，所述数据包信息携带有所述流量地址，所述数据体信息携带有数据特征；判断所述数据包关联的所述流量地址是否为授权地址，得到判断结果；在所述判断结果指示所述数据包关联的所述流量地址为所述授权地址的情况下，确定所述数据包为所述正常数据包；将所述正常数据包关联的所述流量地址的所述地址状态标记为所述正常状态。
10.可选地，在判断所述数据包关联的所述流量地址是否为授权地址，得到判断结果之后，还包括：在所述判断结果指示所述数据包关联的所述流量地址为未授权地址的情况下，将所述数据包对应的所述数据特征与预设攻击库中的预设攻击特征进行匹配，得到匹配结果；在所述匹配结果指示匹配失败的情况下，确定所述数据包为所述正常数据包；在所述匹配结果指示匹配成功的情况下，确定所述数据包为所述攻击数据包；基于所述攻击数据包对应的所述数据特征，确定所述攻击数据包的告警等级；在所述告警等级为预设等级的情况下，将所述攻击数据包更新为误告警数据包。
11.可选地，提取所述地址状态为攻击状态的攻击地址，生成目标攻击地址列表的步骤，包括：提取所述地址状态为所述攻击状态的所述攻击地址，得到初始攻击地址列表；基于所述初始攻击地址列表，筛选地址格式为预设格式的初始攻击地址，得到第一地址列表，其中，所述预设格式为所述预设防火墙接收的流量地址的格式；建立第二地址列表；遍历所述第一地址列表中的第一地址，并在所述第二地址列表中查看是否存在所述第一地址；在所述第二地址列表中不存在所述第一地址的情况下，将所述第一地址写入至所述第二地址列表；在遍历完成的情况下，将所述第二地址列表表征为所述目标攻击地址列表。
12.可选地，基于所述预设地址列表以及所述封禁地址列表，对所述目标攻击地址列表进行分析，得到目标封禁地址列表的步骤，包括：对比所述目标攻击地址列表以及所述预设地址列表，得到第一对比结果；在所述第一对比结果指示存在与所述预设地址列表中的任一预设地址相匹配的目标攻击地址的情况下，将所述目标攻击地址列表中的所述目标攻击地址进行删除，得到初始封禁地址列表；对比所述初始封禁地址列表与所述封禁地址列表，得到第二对比结果；在所述第二对比结果指示在所述封禁地址列表中没有匹配到所述初始封禁地址列表中的初始封禁地址的情况下，将所述初始封禁地址写入至所述封禁地址列表，得到所述目标封禁地址列表。
13.根据本发明实施例的另一方面，还提供了一种攻击地址的封禁装置，包括：获取单元，用于从预设服务器中获取预设日志，其中，所述预设日志包括：多个数据包，每个所述数据包关联有流量地址，每个所述流量地址预先标记有地址状态；提取单元，用于提取所述地
址状态为攻击状态的攻击地址，生成目标攻击地址列表；分析单元，用于读取预设防火墙中的预设地址列表以及封禁地址列表，并基于所述预设地址列表以及所述封禁地址列表，对所述目标攻击地址列表进行分析，得到目标封禁地址列表；写入单元，用于将所述目标封禁地址列表中的每条封禁地址写入至所述预设防火墙，完成对所述封禁地址的封禁。
14.可选地，所述封禁装置还包括：第一部署模块，用于在从预设服务器中获取预设日志之前，在预设交换机上部署预设流量分析设备，其中，所述预设交换机用于接收通过所述预设防火墙的全量流量，所述全量流量包括：多个数据包；第一分析模块，用于将所述全量流量复制到所述预设流量分析设备，并采用所述预设流量分析设备分析每个所述数据包，得到分析结果；第一确定模块，用于基于所述分析结果，确定攻击数据包集合以及误告警数据包集合；第一标记模块，用于将所述攻击数据包集合中的每个攻击数据包关联的所述流量地址的所述地址状态标记为所述攻击状态；第一生成模块，用于基于所述攻击数据包集合以及正常数据包集合，生成所述预设日志，并将所述预设日志上传至所述预设服务器，其中，所述正常数据包集合是所述全量流量中除了所述攻击数据包集合以及所述误告警数据包集合外的数据包集合，所述正常数据包集合中的每个正常数据包关联的所述流量地址的所述地址状态为正常状态。
15.可选地，所述封禁装置还包括：第二部署模块，用于在将所述全量流量复制到所述预设流量分析设备之前，在所述预设防火墙的后面串行部署第一分析设备以及第二分析设备；第二分析模块，用于采用所述第一分析设备分析所述全量流量，得到第一流量；第三分析模块，用于采用所述第二分析设备分析所述第一流量，得到第二流量；第一放行模块，用于将所述第二流量放行至所述预设交换机。
16.可选地，所述第一分析模块包括：第一解析子模块，用于解析所述数据包，得到数据包信息以及数据体信息，其中，所述数据包信息携带有所述流量地址，所述数据体信息携带有数据特征；第一判断子模块，用于判断所述数据包关联的所述流量地址是否为授权地址，得到判断结果；第一确定子模块，用于在所述判断结果指示所述数据包关联的所述流量地址为所述授权地址的情况下，确定所述数据包为所述正常数据包；第一标记子模块，用于将所述正常数据包关联的所述流量地址的所述地址状态标记为所述正常状态。
17.可选地，所述封禁装置还包括：第一匹配模块，用于在判断所述数据包关联的所述流量地址是否为授权地址，得到判断结果之后，在所述判断结果指示所述数据包关联的所述流量地址为未授权地址的情况下，将所述数据包对应的所述数据特征与预设攻击库中的预设攻击特征进行匹配，得到匹配结果；第二确定模块，用于在所述匹配结果指示匹配失败的情况下，确定所述数据包为所述正常数据包；第三确定模块，用于在所述匹配结果指示匹配成功的情况下，确定所述数据包为所述攻击数据包；第四确定模块，用于基于所述攻击数据包对应的所述数据特征，确定所述攻击数据包的告警等级；第一更新模块，用于在所述告警等级为预设等级的情况下，将所述攻击数据包更新为误告警数据包。
18.可选地，所述提取单元包括：第一提取模块，用于提取所述地址状态为所述攻击状态的所述攻击地址，得到初始攻击地址列表；第一筛选模块，用于基于所述初始攻击地址列表，筛选地址格式为预设格式的初始攻击地址，得到第一地址列表，其中，所述预设格式为所述预设防火墙接收的流量地址的格式；第一建立模块，用于建立第二地址列表；第一遍历模块，用于遍历所述第一地址列表中的第一地址，并在所述第二地址列表中查看是否存在
所述第一地址；第一写入模块，用于在所述第二地址列表中不存在所述第一地址的情况下，将所述第一地址写入至所述第二地址列表；第一表征模块，用于在遍历完成的情况下，将所述第二地址列表表征为所述目标攻击地址列表。
19.可选地，所述分析单元包括：第一对比模块，用于对比所述目标攻击地址列表以及所述预设地址列表，得到第一对比结果；第一删除模块，用于在所述第一对比结果指示存在与所述预设地址列表中的任一预设地址相匹配的目标攻击地址的情况下，将所述目标攻击地址列表中的所述目标攻击地址进行删除，得到初始封禁地址列表；第二对比模块，用于对比所述初始封禁地址列表与所述封禁地址列表，得到第二对比结果；第二写入模块，用于在所述第二对比结果指示在所述封禁地址列表中没有匹配到所述初始封禁地址列表中的初始封禁地址的情况下，将所述初始封禁地址写入至所述封禁地址列表，得到所述目标封禁地址列表。
20.根据本发明实施例的另一方面，还提供了一种计算机可读存储介质，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述攻击地址的封禁方法。
21.根据本发明实施例的另一方面，还提供了一种电子设备，包括一个或多个处理器和存储器，所述存储器用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现上述攻击地址的封禁方法。
22.在本公开中，从预设服务器中获取预设日志，提取地址状态为攻击状态的攻击地址，生成目标攻击地址列表，读取预设防火墙中的预设地址列表以及封禁地址列表，并基于预设地址列表以及封禁地址列表，对目标攻击地址列表进行分析，得到目标封禁地址列表，将目标封禁地址列表中的每条封禁地址写入至预设防火墙，完成对封禁地址的封禁。在本公开中，可以根据从预设服务器中获取的预设日志，提取地址状态为攻击状态的攻击地址，以得到目标攻击地址列表，然后根据预设防火墙中的预设地址列表以及封禁地址列表，对目标攻击地址列表进行分析，以得到目标封禁地址列表，之后将目标封禁地址列表中的每条封禁地址写入至预设防火墙，以完成对封禁地址的封禁，能够实现自动化封禁攻击地址，有效提升了封禁攻击地址的及时性、准确性，并能够覆盖全时段，有效防止了攻击的入侵，避免了信息资产的损失，进而解决了相关技术中人工进行攻击地址的识别以及封禁的效率及准确性较低的技术问题。
附图说明
23.此处所说明的附图用来提供对本发明的进一步理解，构成本技术的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
24.图1是根据本发明实施例的一种可选的攻击地址的封禁方法的流程图；
25.图2是根据本发明实施例的一种可选的旁路分析封禁外部ip的网络架构的示意图；
26.图3是根据本发明实施例的一种可选的封禁网络架构的示意图；
27.图4是根据本发明实施例的一种可选的旁路分析封禁外部ip流程的示意图；
28.图5是根据本发明实施例的一种可选的攻击地址的封禁装置的示意图；
29.图6是根据本发明实施例的一种用于攻击地址的封禁方法的电子设备(或移动设
备)的硬件结构框图。
具体实施方式
30.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
31.需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
32.为便于本领域技术人员理解本发明，下面对本发明各实施例中涉及的部分术语或名词做出解释：
33.天眼：是一种明文流量抓取分析软件，可以旁路分析流量中的恶意行为，包括入侵、窃取、爆破、渗透等攻击行为，并加以告警。
34.syslog协议：一种主从式协议，用来记录在互联网协议中传输的消息。
35.python：一种程序设计语言，可以用于实现自动化操作。
36.防火墙：即防火墙硬件设备，是一种网络设备，主要位于互联网出口，构建相对隔绝的保护屏障。
37.dmz区：即网络隔离区，其设立的目的是成立一个非安全系统与安全系统之间的缓冲区，在该区域中提供对外访问的服务。
38.ips(intrausion prevention system)：即入侵防御系统，是一种网络硬件设备，串行部署于防火墙之后，能有效识别和防范漏洞攻击、木马病毒、溢出攻击、暴力破解等常见的网络攻击。
39.waf(web application firewall)：即web(网络)应用安全网关，是一种网络硬件设备。waf产品用于自动化阻断以web应用程序漏洞为目标的恶意攻击。
40.数据包：是计算机网络中传输数据的最基本单元，包含了传输的数据以及这些数据相关的控制字信息。
41.需要说明的是，本公开中的攻击地址的封禁方法及其装置可用于信息安全领域在对攻击地址进行封禁的情况下，也可用于除信息安全领域之外的任意领域在对攻击地址进行封禁的情况下，本公开中对攻击地址的封禁方法及其装置的应用领域不做限定。
42.需要说明的是，本公开所涉及的相关信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准，并提供有相应的操作入口，供用户选择授权或者拒
绝。例如，本系统和相关用户或机构间设置有接口，在获取相关信息之前，需要通过接口向前述的用户或机构发送获取请求，并在接收到前述的用户或机构反馈的同意信息后，获取相关信息。
43.本发明下述各实施例可应用于各种对攻击地址进行封禁的系统/应用/设备中。本发明涉及网络和信息安全领域，能够对“恶意流量”进行拦截封禁，基于大数据分析对原本由监控人员操作的监控、分析、处置过程进行无人值守化。通过基于syslog协议实现ip地址和报文等源数据的获取，利用python编程语言实现源数据的变形、识别和筛选，并将得到的封禁地址传递至防火墙设备，以实现有针对性的配置、有害访问地址的“封禁”的目的。
44.下面结合各个实施例来详细说明本发明。
45.实施例一
46.根据本发明实施例，提供了一种攻击地址的封禁方法的实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
47.图1是根据本发明实施例的一种可选的攻击地址的封禁方法的流程图，如图1所示，该方法包括如下步骤：
48.步骤s101，从预设服务器中获取预设日志，其中，预设日志包括：多个数据包，每个数据包关联有流量地址，每个流量地址预先标记有地址状态。
49.步骤s102，提取地址状态为攻击状态的攻击地址，生成目标攻击地址列表。
50.步骤s103，读取预设防火墙中的预设地址列表以及封禁地址列表，并基于预设地址列表以及封禁地址列表，对目标攻击地址列表进行分析，得到目标封禁地址列表。
51.步骤s104，将目标封禁地址列表中的每条封禁地址写入至预设防火墙，完成对封禁地址的封禁。
52.通过上述步骤，可以从预设服务器中获取预设日志，提取地址状态为攻击状态的攻击地址，生成目标攻击地址列表，读取预设防火墙中的预设地址列表以及封禁地址列表，并基于预设地址列表以及封禁地址列表，对目标攻击地址列表进行分析，得到目标封禁地址列表，将目标封禁地址列表中的每条封禁地址写入至预设防火墙，完成对封禁地址的封禁。在本发明实施例中，可以根据从预设服务器中获取的预设日志，提取地址状态为攻击状态的攻击地址，以得到目标攻击地址列表，然后根据预设防火墙中的预设地址列表以及封禁地址列表，对目标攻击地址列表进行分析，以得到目标封禁地址列表，之后将目标封禁地址列表中的每条封禁地址写入至预设防火墙，以完成对封禁地址的封禁，能够实现自动化封禁攻击地址，有效提升了封禁攻击地址的及时性、准确性，并能够覆盖全时段，有效防止了攻击的入侵，避免了信息资产的损失，进而解决了相关技术中人工进行攻击地址的识别以及封禁的效率及准确性较低的技术问题。
53.下面结合上述各步骤对本发明实施例进行详细说明。
54.图2是根据本发明实施例的一种可选的旁路分析封禁外部ip的网络架构的示意图，如图2所示，包括：防火墙、ips设备、waf设备、核心交换机、天眼、接入层交换机、python服务器、syslog服务器等构建的dmz区。当流量从互联网进入防火墙并经过串行的ips设备和waf设备的预分析与处理后，核心交换机将实时到达自身的流量全部镜像到天眼进行旁
路分析，以得到syslog日志。然后通过接入层交换机将syslog日志上送到syslog服务器。之后由python服务器从syslog服务器获取syslog日志进行分析，以完成对攻击地址的封禁。
55.可选地，在从预设服务器中获取预设日志之前，还包括：在预设交换机上部署预设流量分析设备，其中，预设交换机用于接收通过预设防火墙的全量流量，全量流量包括：多个数据包；将全量流量复制到预设流量分析设备，并采用预设流量分析设备分析每个数据包，得到分析结果；基于分析结果，确定攻击数据包集合以及误告警数据包集合；将攻击数据包集合中的每个攻击数据包关联的流量地址的地址状态标记为攻击状态；基于攻击数据包集合以及正常数据包集合，生成预设日志，并将预设日志上传至预设服务器，其中，正常数据包集合是全量流量中除了攻击数据包集合以及误告警数据包集合外的数据包集合，正常数据包集合中的每个正常数据包关联的流量地址的地址状态为正常状态。
56.在本发明实施例中，天眼(即预设流量分析设备)所在位置是在核心交换机(即预设交换机)的旁路(即在预设交换机上部署预设流量分析设备，该预设交换机用于接收通过预设防火墙的全量流量，全量流量包括：多个数据包)。当流量从互联网进入防火墙(即预设防火墙)后，核心交换机可以实时将到达自身的流量全部镜像到天眼，天眼以此获取到全量流量的数据包(即将全量流量复制到预设流量分析设备)。天眼针对全量流量以逐个数据包为单位进行分析，以得到分析结果(即采用预设流量分析设备分析每个数据包，得到分析结果)。然后根据分析结果，确定攻击数据包集合以及误告警数据包集合。然后将攻击数据包集合中的每个攻击数据包关联的流量地址的地址状态标记为攻击状态。并根据攻击数据包集合以及正常数据包集合(该正常数据包集合是全量流量中除了攻击数据包集合以及误告警数据包集合外的数据包集合，正常数据包集合中的每个正常数据包关联的流量地址的地址状态为正常状态)，生成预设日志(即syslog日志)，之后将预设日志上传至预设服务器。例如，在天眼-系统管理-联动管理-告警联动配置-syslog配置中，开启syslog服务开关后，天眼会实时将判断为攻击行为的syslog日志上送到syslog服务器，并且可以将日常误告警模块中的误告警数据包集合设置为无需上送。
57.可选地，在将全量流量复制到预设流量分析设备之前，还包括：在预设防火墙的后面串行部署第一分析设备以及第二分析设备；采用第一分析设备分析全量流量，得到第一流量；采用第二分析设备分析第一流量，得到第二流量；将第二流量放行至预设交换机。
58.在本发明实施例中，还可以在预设防火墙的后面串行部署第一分析设备(如ips设备)以及第二分析设备(如waf设备)。然后采用第一分析设备分析全量流量，以得到第一流量(例如，通过ips设备过滤掉该设备能够识别到的漏洞攻击、木马病毒、溢出攻击、暴力破解等攻击流量)，并采用第二分析设备分析第一流量，以得到第二流量(例如，通过waf设备过滤掉该设备能够识别到的以web应用程序漏洞为目标的恶意攻击流量)。之后将上述两个分析设备筛选得到的第二流量放行至预设交换机。
59.可选地，采用预设流量分析设备分析每个数据包的步骤，包括：解析数据包，得到数据包信息以及数据体信息，其中，数据包信息携带有流量地址，数据体信息携带有数据特征；判断数据包关联的流量地址是否为授权地址，得到判断结果；在判断结果指示数据包关联的流量地址为授权地址的情况下，确定数据包为正常数据包；将正常数据包关联的流量地址的地址状态标记为正常状态。
60.在本发明实施例中，数据包可以划分为数据头以及数据体，其中，数据头中包含了
源、目ip地址、端口等关键控制信息，数据体中则包含了实际需要交互的具体内容。
61.在本发明实施例中，预设流量分析设备可以解析数据包内的数据头和数据体的内容，通过检查数据头的ip地址确定该数据包是来自授权设备还是未被授权设备(即解析数据包，以得到数据包信息以及数据体信息，该数据包信息携带有流量地址，该数据体信息携带有数据特征，然后判断数据包关联的流量地址是否为授权地址，以得到判断结果)。如果判断结果指示数据包关联的流量地址为授权地址，则可以确定数据包为正常数据包，并将正常数据包关联的流量地址的地址状态标记为正常状态。
62.可选地，在判断数据包关联的流量地址是否为授权地址，得到判断结果之后，还包括：在判断结果指示数据包关联的流量地址为未授权地址的情况下，将数据包对应的数据特征与预设攻击库中的预设攻击特征进行匹配，得到匹配结果；在匹配结果指示匹配失败的情况下，确定数据包为正常数据包；在匹配结果指示匹配成功的情况下，确定数据包为攻击数据包；基于攻击数据包对应的数据特征，确定攻击数据包的告警等级；在告警等级为预设等级的情况下，将攻击数据包更新为误告警数据包。
63.在本发明实施例中，如果判断结果指示数据包关联的流量地址为未授权地址，则可以将数据包对应的数据特征与预设攻击库(即天眼规则库，该规则库内预先内置了攻击流量特征，并对攻击流量特征定期进行更新)中的预设攻击特征进行匹配，以得到匹配结果(即通过检查数据体的类型、内容和大小等特征，并将这些特征与天眼规则库中已知的攻击数据包中的攻击流量特征进行匹配)。如果匹配结果指示匹配失败(即数据包的数据特征都不是攻击流量特征)，则可以确定数据包为正常数据包；如果匹配结果指示匹配成功(即数据包的数据特征能够与攻击流量特征匹配上)，在额可以确定数据包为攻击数据包。然后可以根据攻击数据包对应的数据特征，确定攻击数据包的告警等级(即将符合攻击流量特征的流量判断为攻击行为并进行告警，可以根据具体的特征进行告警等级设置)。如果告警等级为预设等级(即较低等级，属于误告警等级)，则将攻击数据包更新为误告警数据包。
64.步骤s101，从预设服务器中获取预设日志，其中，预设日志包括：多个数据包，每个数据包关联有流量地址，每个流量地址预先标记有地址状态。
65.在本发明实施例中，syslog服务器(即预设服务器)可以将接收到的syslog日志(即预设日志)，按照日期为格式，以文本的形式进行存储。python服务器可以从预设服务器中获取预设日志，改预设日志包括：多个数据包，每个数据包关联有流量地址，每个流量地址预先标记有地址状态(攻击状态或者正常状态)。
66.在本发明实施例中，python服务器内预置有地址分析程序，由于地址分析程序用的是从旁路天眼处获取的源数据，所以不需要对网络架构进行任何变动。运行地址分析程序后，该程序会主动去获取syslog日志。
67.步骤s102，提取地址状态为攻击状态的攻击地址，生成目标攻击地址列表。
68.可选地，提取地址状态为攻击状态的攻击地址，生成目标攻击地址列表的步骤，包括：提取地址状态为攻击状态的攻击地址，得到初始攻击地址列表；基于初始攻击地址列表，筛选地址格式为预设格式的初始攻击地址，得到第一地址列表，其中，预设格式为预设防火墙接收的流量地址的格式；建立第二地址列表；遍历第一地址列表中的第一地址，并在第二地址列表中查看是否存在第一地址；在第二地址列表中不存在第一地址的情况下，将第一地址写入至第二地址列表；在遍历完成的情况下，将第二地址列表表征为目标攻击地
址列表。
69.在本发明实施例中，运行地址分析程序可以提取syslog日志中地址状态为攻击状态的攻击地址，以生成目标攻击地址列表，具体为：运行地址分析程序可以通过正则匹配方式将其中的标记为攻击ip列所属的ip进行提取，并剔除非标准ip格式的ip地址(即提取地址状态为攻击状态的攻击地址，得到初始攻击地址列表，基于初始攻击地址列表，筛选地址格式为预设格式(该预设格式为预设防火墙接收的流量地址的格式，非标准ip格式的ip地址无法被预设防火墙接收)的初始攻击地址，以得到第一地址列表)，完成初步的整形工作。提取后的列表为原始列表(即第一地址列表)，此时程序会设置一个初始为空的新列表(即建立第二地址列表)，使用循环对原始列表进行遍历并查看是否存在新列表中，如存在则跳过，如不存在，则写入新列表中(即遍历第一地址列表中的第一地址，并在第二地址列表中查看是否存在第一地址；在第二地址列表中不存在第一地址的情况下，将第一地址写入至第二地址列表)。遍历完成后，完成了去重工作(由于多个数据包可能对应同一个ip地址，所以需要进行去重处理)，该新列表即为当前需要封禁的攻击ip列表(即在遍历完成的情况下，将第二地址列表表征为目标攻击地址列表)。
70.步骤s103，读取预设防火墙中的预设地址列表以及封禁地址列表，并基于预设地址列表以及封禁地址列表，对目标攻击地址列表进行分析，得到目标封禁地址列表。
71.可选地，基于预设地址列表以及封禁地址列表，对目标攻击地址列表进行分析，得到目标封禁地址列表的步骤，包括：对比目标攻击地址列表以及预设地址列表，得到第一对比结果；在第一对比结果指示存在与预设地址列表中的任一预设地址相匹配的目标攻击地址的情况下，将目标攻击地址列表中的目标攻击地址进行删除，得到初始封禁地址列表；对比初始封禁地址列表与封禁地址列表，得到第二对比结果；在第二对比结果指示在封禁地址列表中没有匹配到初始封禁地址列表中的初始封禁地址的情况下，将初始封禁地址写入至封禁地址列表，得到目标封禁地址列表。
72.在本发明实施例中，该程序可以连接到防火墙，读取防火墙中的白名单ip列表(即预设地址列表)以及已经封禁的攻击ip数据，并整形为已封禁的攻击ip列表(即封禁地址列表)，将当前需要封禁的攻击ip列表(即目标攻击地址列表)与已封禁的攻击ip列表、白名单ip列表进行比对，得出最终要封禁的攻击ip列表(即目标封禁地址列表)(即读取预设防火墙中的预设地址列表以及封禁地址列表，并基于预设地址列表以及封禁地址列表，对目标攻击地址列表进行分析，得到目标封禁地址列表)，具体为：可以先对比目标攻击地址列表以及预设地址列表，以得到第一对比结果。如果第一对比结果指示存在与预设地址列表中的任一预设地址相匹配的目标攻击地址，则可以将目标攻击地址列表中的目标攻击地址进行删除，以得到初始封禁地址列表(即将存在于白名单ip列表中的ip地址进行删除)。之后对比初始封禁地址列表与封禁地址列表，以得到第二对比结果。如果第二对比结果指示在封禁地址列表中没有匹配到初始封禁地址列表中的初始封禁地址，则可以将初始封禁地址写入至封禁地址列表，以得到目标封禁地址列表，如此可以有效避免封禁地址被重复配置到防火墙中，能够提高了封禁效率。
73.步骤s104，将目标封禁地址列表中的每条封禁地址写入至预设防火墙，完成对封禁地址的封禁。
74.在本发明实施例中，可以将目标封禁地址列表中的每条封禁地址逐条写入到防火
墙中，以完成最终的封禁。
75.图3是根据本发明实施例的一种可选的封禁网络架构的示意图，如图3所示，包括：天眼、syslog服务器、python服务器、防火墙，各模块的功能如下：
76.天眼，用于分析互联网入口的流量，并在分析后实时上送攻击相关的syslog日志到syslog服务器。
77.syslog服务器，用于接收从天眼处收集而来的syslog日志，按照日期为格式，以文本的形式进行存储。
78.python服务器，运行内置程序，主动去获取syslog日志，并将其中的攻击ip进行整形、排序、去重后，获取到当前需要封禁的攻击ip列表。
79.防火墙，python服务器中的内置程序可以连接到防火墙，得到最终要封禁的攻击ip列表，然后逐条写入到防火墙中，完成最终的封禁。
80.图4是根据本发明实施例的一种可选的旁路分析封禁外部ip流程的示意图，如图4所示，包括如下流程：
81.(1)python服务器运行内置程序；
82.(2)向syslog服务器获取syslog日志；
83.(3)将攻击ip进行整形、排序、去重后，获取到当前需要封禁的攻击ip列表；
84.(4)获取白名单ip文档，并解析为白名单ip列表；
85.(5)连接到防火墙，获取已封禁的攻击ip列表；
86.(6)将当前需要封禁的攻击ip列表与白名单ip列表进行比对，判断是否存在交集，如果不存在交集，则直接将当前需要封禁的攻击ip列表与已封禁的攻击ip列表进行比对；
87.(7)如果存在交集，则将当前需要封禁的攻击ip列表中存在交集的ip删除后，将当前需要封禁的攻击ip列表与已封禁的攻击ip列表进行比对，判断是否存在交集；
88.(8)如果不存在交集，则将当前需要封禁的攻击ip列表中的所有ip配置到防火墙进行封禁，否则，将当前需要封禁的攻击ip列表中存在交集的ip删除后，再将当前需要封禁的攻击ip列表中的所有ip配置到防火墙进行封禁。
89.本发明实施例中，能够有效避免相关技术中安全运维方案中手动操作的内容，可以实现自动化封禁攻击ip，有助于提升封禁攻击ip的及时性、准确性，覆盖全时段，有效防止了攻击的入侵，避免了信息资产的损失。实现了无人值守化，有效的释放了人力，使监控人员能够从繁忙的封禁工作中抽身出来，可以更专注于应急处理其它突发事件，提高应急能力。此外，在自动化实现对攻击ip进行封禁的同时还可以进行结果展示，例如，对白名单ip数量、当前需要封禁的攻击ip数量、实际封禁ip数量、耗时等信息进行集中展示，可以使得监控人员在当前界面下即可了解攻击ip的封禁明细，有助于监控人员实时了解封禁情况。并且，本实施例基于当前网络架构实现，通过python程序实现封禁，无需新增硬件资源，无需新增额外成本。因程序用的是从旁路天眼处获取的源数据，所以不需要对网络架构进行任何变动。
90.下面结合另一实施例进行详细说明。
91.实施例二
92.本实施例中提供的一种攻击地址的封禁装置包含了多个实施单元，每个实施单元对应于上述实施例一中的各个实施步骤。
93.图5是根据本发明实施例的一种可选的攻击地址的封禁装置的示意图，如图5所示，该封禁装置可以包括：获取单元50，提取单元51，分析单元52，写入单元53，其中，
94.获取单元50，用于从预设服务器中获取预设日志，其中，预设日志包括：多个数据包，每个数据包关联有流量地址，每个流量地址预先标记有地址状态；
95.提取单元51，用于提取地址状态为攻击状态的攻击地址，生成目标攻击地址列表；
96.分析单元52，用于读取预设防火墙中的预设地址列表以及封禁地址列表，并基于预设地址列表以及封禁地址列表，对目标攻击地址列表进行分析，得到目标封禁地址列表；
97.写入单元53，用于将目标封禁地址列表中的每条封禁地址写入至预设防火墙，完成对封禁地址的封禁。
98.上述封禁装置，可以通过获取单元50从预设服务器中获取预设日志，通过提取单元51提取地址状态为攻击状态的攻击地址，生成目标攻击地址列表，通过分析单元52读取预设防火墙中的预设地址列表以及封禁地址列表，并基于预设地址列表以及封禁地址列表，对目标攻击地址列表进行分析，得到目标封禁地址列表，通过写入单元53将目标封禁地址列表中的每条封禁地址写入至预设防火墙，完成对封禁地址的封禁。在本发明实施例中，可以根据从预设服务器中获取的预设日志，提取地址状态为攻击状态的攻击地址，以得到目标攻击地址列表，然后根据预设防火墙中的预设地址列表以及封禁地址列表，对目标攻击地址列表进行分析，以得到目标封禁地址列表，之后将目标封禁地址列表中的每条封禁地址写入至预设防火墙，以完成对封禁地址的封禁，能够实现自动化封禁攻击地址，有效提升了封禁攻击地址的及时性、准确性，并能够覆盖全时段，有效防止了攻击的入侵，避免了信息资产的损失，进而解决了相关技术中人工进行攻击地址的识别以及封禁的效率及准确性较低的技术问题。
99.可选地，封禁装置还包括：第一部署模块，用于在从预设服务器中获取预设日志之前，在预设交换机上部署预设流量分析设备，其中，预设交换机用于接收通过预设防火墙的全量流量，全量流量包括：多个数据包；第一分析模块，用于将全量流量复制到预设流量分析设备，并采用预设流量分析设备分析每个数据包，得到分析结果；第一确定模块，用于基于分析结果，确定攻击数据包集合以及误告警数据包集合；第一标记模块，用于将攻击数据包集合中的每个攻击数据包关联的流量地址的地址状态标记为攻击状态；第一生成模块，用于基于攻击数据包集合以及正常数据包集合，生成预设日志，并将预设日志上传至预设服务器，其中，正常数据包集合是全量流量中除了攻击数据包集合以及误告警数据包集合外的数据包集合，正常数据包集合中的每个正常数据包关联的流量地址的地址状态为正常状态。
100.可选地，封禁装置还包括：第二部署模块，用于在将全量流量复制到预设流量分析设备之前，在预设防火墙的后面串行部署第一分析设备以及第二分析设备；第二分析模块，用于采用第一分析设备分析全量流量，得到第一流量；第三分析模块，用于采用第二分析设备分析第一流量，得到第二流量；第一放行模块，用于将第二流量放行至预设交换机。
101.可选地，第一分析模块包括：第一解析子模块，用于解析数据包，得到数据包信息以及数据体信息，其中，数据包信息携带有流量地址，数据体信息携带有数据特征；第一判断子模块，用于判断数据包关联的流量地址是否为授权地址，得到判断结果；第一确定子模块，用于在判断结果指示数据包关联的流量地址为授权地址的情况下，确定数据包为正常
数据包；第一标记子模块，用于将正常数据包关联的流量地址的地址状态标记为正常状态。
102.可选地，封禁装置还包括：第一匹配模块，用于在判断数据包关联的流量地址是否为授权地址，得到判断结果之后，在判断结果指示数据包关联的流量地址为未授权地址的情况下，将数据包对应的数据特征与预设攻击库中的预设攻击特征进行匹配，得到匹配结果；第二确定模块，用于在匹配结果指示匹配失败的情况下，确定数据包为正常数据包；第三确定模块，用于在匹配结果指示匹配成功的情况下，确定数据包为攻击数据包；第四确定模块，用于基于攻击数据包对应的数据特征，确定攻击数据包的告警等级；第一更新模块，用于在告警等级为预设等级的情况下，将攻击数据包更新为误告警数据包。
103.可选地，提取单元包括：第一提取模块，用于提取地址状态为攻击状态的攻击地址，得到初始攻击地址列表；第一筛选模块，用于基于初始攻击地址列表，筛选地址格式为预设格式的初始攻击地址，得到第一地址列表，其中，预设格式为预设防火墙接收的流量地址的格式；第一建立模块，用于建立第二地址列表；第一遍历模块，用于遍历第一地址列表中的第一地址，并在第二地址列表中查看是否存在第一地址；第一写入模块，用于在第二地址列表中不存在第一地址的情况下，将第一地址写入至第二地址列表；第一表征模块，用于在遍历完成的情况下，将第二地址列表表征为目标攻击地址列表。
104.可选地，分析单元包括：第一对比模块，用于对比目标攻击地址列表以及预设地址列表，得到第一对比结果；第一删除模块，用于在第一对比结果指示存在与预设地址列表中的任一预设地址相匹配的目标攻击地址的情况下，将目标攻击地址列表中的目标攻击地址进行删除，得到初始封禁地址列表；第二对比模块，用于对比初始封禁地址列表与封禁地址列表，得到第二对比结果；第二写入模块，用于在第二对比结果指示在封禁地址列表中没有匹配到初始封禁地址列表中的初始封禁地址的情况下，将初始封禁地址写入至封禁地址列表，得到目标封禁地址列表。
105.上述的封禁装置还可以包括处理器和存储器，上述获取单元50，提取单元51，分析单元52，写入单元53等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
106.上述处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来将目标封禁地址列表中的每条封禁地址写入至预设防火墙，完成对封禁地址的封禁。
107.上述存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)，存储器包括至少一个存储芯片。
108.本技术还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序：从预设服务器中获取预设日志，提取地址状态为攻击状态的攻击地址，生成目标攻击地址列表，读取预设防火墙中的预设地址列表以及封禁地址列表，并基于预设地址列表以及封禁地址列表，对目标攻击地址列表进行分析，得到目标封禁地址列表，将目标封禁地址列表中的每条封禁地址写入至预设防火墙，完成对封禁地址的封禁。
109.根据本发明实施例的另一方面，还提供了一种计算机可读存储介质，计算机可读存储介质包括存储的计算机程序，其中，在计算机程序运行时控制计算机可读存储介质所
在设备执行上述的攻击地址的封禁方法。
110.根据本发明实施例的另一方面，还提供了一种电子设备，包括一个或多个处理器和存储器，存储器用于存储一个或多个程序，其中，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器实现上述的攻击地址的封禁方法。
111.图6是根据本发明实施例的一种用于攻击地址的封禁方法的电子设备(或移动设备)的硬件结构框图。如图6所示，电子设备可以包括一个或多个(图6中采用602a、602b，
……
，602n来示出)处理器602(处理器602可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置)、用于存储数据的存储器604。除此以外，还可以包括：显示器、输入/输出接口(i/o接口)、通用串行总线(usb)端口(可以作为i/o接口的端口中的一个端口被包括)、网络接口、键盘、电源和/或相机。本领域普通技术人员可以理解，图6所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，电子设备还可包括比图6中所示更多或者更少的组件，或者具有与图6所示不同的配置。
112.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
113.在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
114.在本技术所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。
115.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
116.另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
117.所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
118.以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

技术特征：
1.一种攻击地址的封禁方法，其特征在于，包括：从预设服务器中获取预设日志，其中，所述预设日志包括：多个数据包，每个所述数据包关联有流量地址，每个所述流量地址预先标记有地址状态；提取所述地址状态为攻击状态的攻击地址，生成目标攻击地址列表；读取预设防火墙中的预设地址列表以及封禁地址列表，并基于所述预设地址列表以及所述封禁地址列表，对所述目标攻击地址列表进行分析，得到目标封禁地址列表；将所述目标封禁地址列表中的每条封禁地址写入至所述预设防火墙，完成对所述封禁地址的封禁。2.根据权利要求1所述的封禁方法，其特征在于，在从预设服务器中获取预设日志之前，还包括：在预设交换机上部署预设流量分析设备，其中，所述预设交换机用于接收通过所述预设防火墙的全量流量，所述全量流量包括：多个数据包；将所述全量流量复制到所述预设流量分析设备，并采用所述预设流量分析设备分析每个所述数据包，得到分析结果；基于所述分析结果，确定攻击数据包集合以及误告警数据包集合；将所述攻击数据包集合中的每个攻击数据包关联的所述流量地址的所述地址状态标记为所述攻击状态；基于所述攻击数据包集合以及正常数据包集合，生成所述预设日志，并将所述预设日志上传至所述预设服务器，其中，所述正常数据包集合是所述全量流量中除了所述攻击数据包集合以及所述误告警数据包集合外的数据包集合，所述正常数据包集合中的每个正常数据包关联的所述流量地址的所述地址状态为正常状态。3.根据权利要求2所述的封禁方法，其特征在于，在将所述全量流量复制到所述预设流量分析设备之前，还包括：在所述预设防火墙的后面串行部署第一分析设备以及第二分析设备；采用所述第一分析设备分析所述全量流量，得到第一流量；采用所述第二分析设备分析所述第一流量，得到第二流量；将所述第二流量放行至所述预设交换机。4.根据权利要求2所述的封禁方法，其特征在于，采用所述预设流量分析设备分析每个所述数据包的步骤，包括：解析所述数据包，得到数据包信息以及数据体信息，其中，所述数据包信息携带有所述流量地址，所述数据体信息携带有数据特征；判断所述数据包关联的所述流量地址是否为授权地址，得到判断结果；在所述判断结果指示所述数据包关联的所述流量地址为所述授权地址的情况下，确定所述数据包为所述正常数据包；将所述正常数据包关联的所述流量地址的所述地址状态标记为所述正常状态。5.根据权利要求4所述的封禁方法，其特征在于，在判断所述数据包关联的所述流量地址是否为授权地址，得到判断结果之后，还包括：在所述判断结果指示所述数据包关联的所述流量地址为未授权地址的情况下，将所述数据包对应的所述数据特征与预设攻击库中的预设攻击特征进行匹配，得到匹配结果；
在所述匹配结果指示匹配失败的情况下，确定所述数据包为所述正常数据包；在所述匹配结果指示匹配成功的情况下，确定所述数据包为所述攻击数据包；基于所述攻击数据包对应的所述数据特征，确定所述攻击数据包的告警等级；在所述告警等级为预设等级的情况下，将所述攻击数据包更新为误告警数据包。6.根据权利要求1所述的封禁方法，其特征在于，提取所述地址状态为攻击状态的攻击地址，生成目标攻击地址列表的步骤，包括：提取所述地址状态为所述攻击状态的所述攻击地址，得到初始攻击地址列表；基于所述初始攻击地址列表，筛选地址格式为预设格式的初始攻击地址，得到第一地址列表，其中，所述预设格式为所述预设防火墙接收的流量地址的格式；建立第二地址列表；遍历所述第一地址列表中的第一地址，并在所述第二地址列表中查看是否存在所述第一地址；在所述第二地址列表中不存在所述第一地址的情况下，将所述第一地址写入至所述第二地址列表；在遍历完成的情况下，将所述第二地址列表表征为所述目标攻击地址列表。7.根据权利要求1所述的封禁方法，其特征在于，基于所述预设地址列表以及所述封禁地址列表，对所述目标攻击地址列表进行分析，得到目标封禁地址列表的步骤，包括：对比所述目标攻击地址列表以及所述预设地址列表，得到第一对比结果；在所述第一对比结果指示存在与所述预设地址列表中的任一预设地址相匹配的目标攻击地址的情况下，将所述目标攻击地址列表中的所述目标攻击地址进行删除，得到初始封禁地址列表；对比所述初始封禁地址列表与所述封禁地址列表，得到第二对比结果；在所述第二对比结果指示在所述封禁地址列表中没有匹配到所述初始封禁地址列表中的初始封禁地址的情况下，将所述初始封禁地址写入至所述封禁地址列表，得到所述目标封禁地址列表。8.一种攻击地址的封禁装置，其特征在于，包括：获取单元，用于从预设服务器中获取预设日志，其中，所述预设日志包括：多个数据包，每个所述数据包关联有流量地址，每个所述流量地址预先标记有地址状态；提取单元，用于提取所述地址状态为攻击状态的攻击地址，生成目标攻击地址列表；分析单元，用于读取预设防火墙中的预设地址列表以及封禁地址列表，并基于所述预设地址列表以及所述封禁地址列表，对所述目标攻击地址列表进行分析，得到目标封禁地址列表；写入单元，用于将所述目标封禁地址列表中的每条封禁地址写入至所述预设防火墙，完成对所述封禁地址的封禁。9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行权利要求1至7中任意一项所述的攻击地址的封禁方法。10.一种电子设备，其特征在于，包括一个或多个处理器和存储器，所述存储器用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所
述一个或多个处理器实现权利要求1至7中任意一项所述的攻击地址的封禁方法。

技术总结
本发明公开了一种攻击地址的封禁方法及其装置、电子设备及存储介质，涉及信息安全领域，其中，该封禁方法包括：从预设服务器中获取预设日志，提取地址状态为攻击状态的攻击地址，生成目标攻击地址列表，读取预设防火墙中的预设地址列表以及封禁地址列表，并基于预设地址列表以及封禁地址列表，对目标攻击地址列表进行分析，得到目标封禁地址列表，将目标封禁地址列表中的每条封禁地址写入至预设防火墙，完成对封禁地址的封禁。本发明解决了相关技术中人工进行攻击地址的识别以及封禁的效率及准确性较低的技术问题。率及准确性较低的技术问题。率及准确性较低的技术问题。


技术研发人员：黄嘉荣 温林顺 欧振宇
受保护的技术使用者：中国工商银行股份有限公司
技术研发日：2023.05.26
技术公布日：2023/8/6