CN114338168A - Ip地址动态阻断方法、装置、设备及介质 - Google Patents

Ip地址动态阻断方法、装置、设备及介质 Download PDF

Info

Publication number
CN114338168A
CN114338168A CN202111638386.5A CN202111638386A CN114338168A CN 114338168 A CN114338168 A CN 114338168A CN 202111638386 A CN202111638386 A CN 202111638386A CN 114338168 A CN114338168 A CN 114338168A
Authority
CN
China
Prior art keywords
blocking
address
parameter
segment
duration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111638386.5A
Other languages
English (en)
Inventor
宗烈烽
黄友俊
李星
吴建平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CERNET Corp
Original Assignee
CERNET Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CERNET Corp filed Critical CERNET Corp
Priority to CN202111638386.5A priority Critical patent/CN114338168A/zh
Publication of CN114338168A publication Critical patent/CN114338168A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供了IP地址动态阻断方法,包括:设置第一阻断参数;根据第一阻断参数将IP地址划分为一个或多个IP地址段;从一个或多个IP地址段中确定IP地址阻断目标段,其中,IP地址阻断目标段为包括待阻断IP地址的IP地址段;根据第一阻断参数确定第一阻断时长,在第一阻断时长内对IP地址阻断目标段进行阻断。另一方面本公开还提供了一种IP地址动态阻断装置、一种电子设备以及一种计算机可读存储介质。

Description

IP地址动态阻断方法、装置、设备及介质
技术领域
本公开涉及计算机网络安全技术领域,尤其涉及一种IP地址动态阻断方法、装置、设备及介质。
背景技术
阻断IP是一种用来加强网络之间访问控制,防止恶意用户访问或攻击网络资源,保护网络资源的正常服务使用的手段。它对两个或多个网络之间传输的数据包IP地址特性按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。在实践中,这个技术虽然是网络保护的有效手段,但也有一些不足:当有恶意IP地址攻击时,管理员如果想阻断这些IP地址,常见两种方法,一种是仅阻断这些IP,优点是精准封堵黑IP,缺点是阻断列表长,维护困难,另一种是阻断整个网段,优点是阻断列表项较少且维护简单,缺点是可能会造成阻断范围扩大,影响同网段正常用户访问网络。而且IP被阻断后,管理员往往不会再过问,导致IP永久阻断,也会造成未来正常使用这些IP的用户的使用问题。
发明内容
有鉴于此,本公开提供了一种IP地址动态阻断方法、装置、设备及介质。
本公开的一个方面,提供了一种IP地址动态阻断方法。方法包括:设置第一阻断参数;根据第一阻断参数将IP地址划分为一个或多个IP地址段;从一个或多个IP地址段中确定IP地址阻断目标段,其中,IP地址阻断目标段为包括待阻断IP地址的IP地址段;根据第一阻断参数确定第一阻断时长,在第一阻断时长内对IP地址阻断目标段进行阻断。
根据本公开的实施例,方法包括:在第一阻断时长内,当IP地址阻断目标段内再次出现待阻断IP地址时,重置第一阻断时长。
根据本公开的实施例,方法包括:当IP地址阻断目标段为多个,且为相邻的IP地址段时,将IP地址阻断目标段合并为IP地址阻断集合段;根据IP地址阻断集合段确定第二阻断参数;根据第二阻断参数确定第二阻断时长,在第二阻断时长内对IP地址阻断集合段进行阻断。
根据本公开的实施例,根据IP地址阻断集合段确定第二阻断参数包括:根据IP地址阻断集合段确定阻断IP地址位数,其中,阻断IP地址位数取满足条件的最小值,条件为,当按照阻断IP地址位数对IP地址进行阻断时,可以阻断IP地址阻断集合段。
根据本公开的实施例,方法包括:当IP地址为IPv4地址时,阻断IP地址位数不超过8;当IP地址为IPv6地址时,阻断IP地址位数不超过80。
本公开的另一方面,提供了一种IP地址动态阻断装置。装置包括:参数设置模块,用于设置第一阻断参数;分段模块,用于根据第一阻断参数将IP地址划分为一个或多个IP地址段;确认模块,用于从一个或多个IP地址段中确定IP地址阻断目标段,其中,IP地址阻断目标段为包括待阻断IP地址的IP地址段;阻断模块,用于根据第一阻断参数确定第一阻断时长,在第一阻断时长内对IP地址阻断目标段进行阻断。
根据本公开的实施例,装置还包括:重置模块,用于在所述第一阻断时长内,当所述IP地址阻断目标段内再次出现待阻断IP地址时,重置所述第一阻断时长。
根据本公开的实施例,装置还包括:合并模块,用于当IP地址阻断目标段为多个,且为相邻的IP地址段时,将IP地址阻断目标段合并为IP地址阻断集合段;参数设置模块还用于根据IP地址阻断集合段确定第二阻断参数;阻断模块还用于根据第二阻断参数确定第二阻断时长,在第二阻断时长内对IP地址阻断集合段进行阻断。
本公开的另一个方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现如上所述的方法。
本公开的另一方面,提供了一种计算机可读存储介质,其上存储有计算机可读指令,该指令被处理器执行时使得处理器执行上述的方法。
本公开提供了一种IP地址动态阻断方法、装置、设备及介质,该方法根据攻击源IP地址确定待阻断IP地址,进而确定IP地址阻断目标段,根据阻断参数确定阻断时长,并能根据后续攻击情况动态调整阻断范围与阻断时长。主要目的是既能够比较准确地阻断发动攻击的IP地址,又尽量减少被阻断的范围与时长,避免影响其它正常用户对资源的访问。
附图说明
图1示意性示出了根据本公开实施例的IP地址动态阻断方法的流程图;
图2示意性示出了根据本公开另一实施例的IP地址动态阻断方法的流程图;
图3示意性示出了根据本公开又一实施例的IP地址动态阻断方法的流程图;
图4示意性示出了根据本公开实施例的IP地址动态阻断装置的结构框图;
图5示意性示出了根据本公开另一实施例的IP地址动态阻断装置的结构框图;
图6示意性示出了根据本公开又一实施例的IP地址动态阻断装置的结构框图;以及
图7示意性示出了根据本公开实施例的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式,该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。
本公开的实施例提供了一种IP地址动态阻断方法、装置、设备及介质,该方法根据攻击源IP地址确定待阻断IP地址,进而确定IP地址阻断目标段,根据阻断参数确定阻断时长,并能根据后续攻击情况动态调整阻断范围与阻断时长。主要目的是既能够比较准确地阻断发动攻击的IP地址,又尽量减少被阻断的范围与时长,避免影响其它正常用户对资源的访问。
图1示意性示出了根据本公开实施例的IP地址动态阻断方法的流程图。
参阅图1,同时结合图2-图3,对图1所示方法进行详细说明,该方法包括操作S110-操作S140。
在操作S110,设置第一阻断参数。
根据本公开的实施例,第一阻断参数是指:设置IP地址阻断时,初始状态下期望阻断IP地址的位数。例如,设置第一阻断参数为n,则期望对IP地址后n位所对应范围内的IP地址进行阻断。
根据本公开的实施例,当IP地址为IPv4地址时,将第一阻断参数设置为3-8;当IP地址为IPv6地址时,将第一阻断参数设置为64。
在操作S120,根据第一阻断参数将IP地址划分为一个或多个IP地址段。
当设置第一阻断参数后,就可以根据已设置的第一阻断参数将IP地址划分为一个或多个IP地址段。具体为,当设置第一阻断参数为n时,期望阻断的IP地址数目即为2n。针对IPv4地址,一般利用第4字节的地址位确定要阻断的IP地址。第4字节的地址位共确定28即256个IP地址,利用256/2n即可计算出将IP地址划分为多少个IP地址段。
例如本公开的一个实施例,针对IPv4地址,将第一阻断参数设置为5,此时,期望阻断的IP地址数目为:25即32个。针对IPv4地址w.x.y.z,根据这个地址最后的z字节就可以确定要阻断的段,于是可能的情况有8个段(每个段大小是32个IP地址),即w.x.y.0-31、w.x.y.32-63、w.x.y.64-95、w.x.y.96-127、w.x.y.128-159、w.x.y.160-191、w.x.y.192-223、w.x.y.224-255,也可简单表示为w.x.y.z/(32-n)。
对于IPv6地址,第一阻断参数设置为64,此时期望阻断的IP地址数目即为264,即整个IPv6地址的/64地址段,可以表示为X:X:X:X:X:X:X:X/64。针对IPv6地址,一般利用第5-8字节的地址位确定要阻断的IP地址。此时划分的IP地址段为IPv6地址的/64这一个IP地址段。
在操作S130,从一个或多个IP地址段中确定IP地址阻断目标段,其中,IP地址阻断目标段为包括待阻断IP地址的IP地址段。
当划分出一个或多个IP地址段后,只要某一个IP地址段内存在待阻断IP地址,就将该IP地址段确定为IP地址阻断目标段。一般待阻断IP地址为有恶意攻击行为的IP地址。
在操作S140,根据第一阻断参数确定第一阻断时长,在第一阻断时长内对IP地址阻断目标段进行阻断。
第一阻断时长一般根据A=am计算。其中,A为第一阻断时长,a为阻断单位时长,m为第一阻断参数。阻断单位时长可由管理员根据经验设置,例如当取第一阻断参数m=5,阻断单位时长a为1天,则第一阻断时长为5天。按照此策略确定第一阻断时长时,第一阻断参数取值越大,第一阻断时长也越大。
本公开的一些实施例还采用另一种确定第一阻断时长的策略。对于IPv4地址:A=a(32-m),对于IPv6地址:A=a(128-m),其中,A为第一阻断时长,a为阻断单位时长,m为第一阻断参数。按照此策略确定第一阻断时长时,第一阻断参数取值越大,第一阻断时长也越小。
本公开利用第一阻断参数来划分IP地址段及确定第一阻断时长,将阻断时长与阻断IP地址段大小挂钩,使得阻断时长可以被追溯及维护。
图2示意性示出了根据本公开另一实施例的IP地址动态阻断方法的流程图。
如图2所示,根据本公开的实施例,IP地址动态阻断方法还可以包括操作S150。
在操作S150,在第一阻断时长内,当IP地址阻断目标段内再次出现待阻断IP地址时,重置第一阻断时长。
当某个IP地址阻断目标段已被阻断时,若该IP地址阻断目标段内再次出现待阻断IP地址时,就重置第一阻断时长,从这次出现待阻断IP地址那一刻开始重新计算阻断时长,直至阻断持续第一阻断时长后结束。若阻断持续期间不断出现待阻断IP地址,则不断重置第一阻断时长。待阻断IP地址可以是初次进行恶意攻击的IP地址,也可以是多次进行恶意攻击的IP地址。
图3示意性示出了根据本公开又一实施例的IP地址动态阻断方法的流程图。
如图3所示,根据本公开的实施例,IP地址动态阻断方法还可以包括操作S161-操作S163。
在操作S161,当IP地址阻断目标段为多个,且为相邻的IP地址段时,将IP地址阻断目标段合并为IP地址阻断集合段。
以IPv4为例,当某次IP地址w.xy.17为待阻断IP地址时,阻断w.x.y.0-31这整个地址段,即w.x.y.0/27。w.x.y.0/27地址段阻断期间,若新的待阻断IP地址为w.x.y.37,属于w.x.y.32-63这整个地址段,则将两个IP地址阻断目标段合并为一个IP地址阻断集合段,为w.x.y.0-63,即w.x.y.0/26。
在操作S162,根据IP地址阻断集合段确定第二阻断参数。
具体为,根据IP地址阻断集合段确定阻断IP地址位数,其中,阻断IP地址位数取满足条件的最小值,条件为,当按照阻断IP地址位数对IP地址进行阻断时,可以阻断IP地址阻断集合段。
接上例对操作进行具体说明。在前述步骤中已经确定了IP地址阻断集合段为w.x.y.0-63,即w.x.y.0/26。根据该IP地址阻断集合段可以确定,当设置阻断IP地址位数最小为6位时,可以使得IP地址阻断集合段被完全阻断。此时的第二阻断参数即为6。
对于IPv6地址进行的计算,当合并相邻的IP地址阻断目标段/64时,可以得到IP地址阻断集合段/63。根据该IP地址阻断集合段可以确定,当设置阻断IP地址位数最小为65位时,可以使得IP地址阻断集合段被完全阻断。此时的第二阻断参数即为65。
在操作S163,根据第二阻断参数确定第二阻断时长,在第二阻断时长内对IP地址阻断集合段进行阻断。
第二阻断时长一般根据B=bn计算。其中,B为第二阻断时长,b为阻断单位时长,n为第二阻断参数。阻断单位时长可由管理员根据经验设置,例如当取第二阻断参数n=5,阻断单位时长b为1天,则第二阻断时长为5天。按照此策略确定第二阻断时长时,第二阻断参数取值越大,第二阻断时长也越大。
本公开的一些实施例还采用另一种确定第二阻断时长的策略。对于IPv4地址:B=b(32-n),对于IPv6地址:B=b(128-n),其中,B为第二阻断时长,b为阻断单位时长,n为第二阻断参数。按照此策略确定第二阻断时长时,第二阻断参数取值越大,第二阻断时长也越小。
本公开设计合并相邻IP地址阻断目标段得到地址阻断集合段的原因是,实践中发现邻近的攻击IP会逐渐增多,可能是被黑客控制的IP增多的缘故,此时合并为一个更大的地址阻断集合段,第二阻断参数增大,经过计算可以得到更大的第二阻断时长,阻断力度得到增加。
根据本公开的实施例,相邻IP地址阻断目标段不可以无限合并,以防止阻断范围过大,影响正常用户的体验。因此,阻断IP地址位数具有上限:当IP地址为IPv4地址时,阻断IP地址位数不超过8;当IP地址为IPv6地址时,阻断IP地址位数不超过80。
具体地,IPv4地址的地址位数为32,本公开阻断IP地址位数不超过8,即为阻断IPv4地址段大小不大于/24(即一个C)。IPv6地址的地址位数为128,本公开阻断IP地址位数不超过80,即为阻断IPv6地址段大小不大于/48。
基于同一发明构思,本公开实施例还提供了一种IP地址动态阻断装置,下面结合图4对本公开实施例的IP地址动态阻断装置进行介绍。
图4示意性示出了根据本公开实施例的IP地址动态阻断装置的结构框图。
如图4所示,IP地址动态阻断装置400包括参数设置模块410、分段模块420、确认模块430以及阻断模块440。该IP地址动态阻断装置400可以用于执行上文参考图1-图3描述的各种方法。
参数设置模块410例如执行参考上文图1描述的操作S110,用于设置第一阻断参数。
分段模块420例如执行参考上文图1描述的操作S120,用于根据第一阻断参数将IP地址划分为一个或多个IP地址段。
确认模块430例如执行参考上文图1描述的操作S130,用于从一个或多个IP地址段中确定IP地址阻断目标段,其中,IP地址阻断目标段为包括待阻断IP地址的IP地址段。
阻断模块440例如执行参考上文图1描述的操作S140,用于根据第一阻断参数确定第一阻断时长,在第一阻断时长内对IP地址阻断目标段进行阻断。
图5示意性示出了根据本公开另一实施例的IP地址动态阻断装置的结构框图。
如图5所示,该IP地址动态阻断装置还可以包括重置模块450。重置模块450例如执行参考上文图2描述的操作S150,用于在第一阻断时长内,当IP地址阻断目标段内再次出现待阻断IP地址时,重置第一阻断时长。
图6示意性示出了根据本公开又一实施例的IP地址动态阻断装置的结构框图。
如图6所示,该IP地址动态阻断装置还可以包括合并模块460。合并模块460例如执行参考上文图3描述的操作S161,用于当IP地址阻断目标段为多个,且为相邻的IP地址段时,将IP地址阻断目标段合并为IP地址阻断集合段。在该实施例中还包括参数设置模块410及阻断模块440。参数设置模块410例如执行参考上文图3描述的操作S162,用于根据IP地址阻断集合段确定第二阻断参数。阻断模块440例如执行参考上文图3描述的操作S163,用于根据第二阻断参数确定第二阻断时长,在第二阻断时长内对IP地址阻断集合段进行阻断。
根据本公开的实施例的模块中的任意多个、或其中任意多个的至少部分功能可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,参数设置模块410、分段模块420、确认模块430、阻断模块440、重置模块450以及合并模块460中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,参数设置模块410、分段模块420、确认模块430、阻断模块440、重置模块450以及合并模块460中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图7示意性示出了根据本公开实施例的适于实现上文描述的方法的电子设备的方框图。图7示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图7所示,本发明提供了一种电子设备700,包括处理器701以及存储器702,该电子设备700可以执行根据本发明实施例的方法。
具体的,处理器701例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器701还可以包括用于缓存用途的板载存储器。处理器701可以是用于执行根据本发明实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
存储器702,例如可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,可读存储介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。可读存储介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链路。
存储器702可以包括计算机程序7021,该计算机程序7021可以包括代码/计算机可执行指令,其在由处理器701执行时使得处理器701执行例如上面本发明实施例的方法流程及其任何变形。
计算机程序7021可被配置为具有例如包括计算机程序模块的计算机程序代码。例如,在示例实施例中,计算机程序7021中的代码可以包括一个或多个程序模块,例如包括7021A、模块7021B、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器701执行时,使得处理器701可以执行例如上面结合本发明实施例的方法流程及其任何变形。
本公开还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本申请实施例的方法。
根据本申请的实施例,计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、有线、光缆、射频信号等等,或者上述的任意合适的组合。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种IP地址动态阻断方法,其特征在于,包括:
设置第一阻断参数;
根据所述第一阻断参数将IP地址划分为一个或多个IP地址段;
从所述一个或多个IP地址段中确定IP地址阻断目标段,其中,所述IP地址阻断目标段为包括待阻断IP地址的IP地址段;
根据所述第一阻断参数确定第一阻断时长,在所述第一阻断时长内对所述IP地址阻断目标段进行阻断。
2.根据权利要求1所述的IP地址动态阻断方法,其特征在于,包括:
在所述第一阻断时长内,当所述IP地址阻断目标段内再次出现待阻断IP地址时,重置所述第一阻断时长。
3.根据权利要求1所述的IP地址动态阻断方法,其特征在于,包括:
当所述IP地址阻断目标段为多个,且为相邻的IP地址段时,将所述IP地址阻断目标段合并为IP地址阻断集合段;
根据所述IP地址阻断集合段确定第二阻断参数;
根据所述第二阻断参数确定第二阻断时长,在所述第二阻断时长内对所述IP地址阻断集合段进行阻断。
4.根据权利要求3所述的IP地址动态阻断方法,其特征在于,所述根据所述IP地址阻断集合段确定第二阻断参数包括:
根据所述IP地址阻断集合段确定阻断IP地址位数,其中,所述阻断IP地址位数取满足条件的最小值,所述条件为,当按照所述阻断IP地址位数对所述IP地址进行阻断时,可以阻断所述IP地址阻断集合段。
5.根据权利要求4所述的IP地址动态阻断方法,其特征在于:
当所述IP地址为IPv4地址时,所述阻断IP地址位数不超过8;
当所述IP地址为IPv6地址时,所述阻断IP地址位数不超过80。
6.一种IP地址动态阻断装置,其特征在于,包括:
参数设置模块,用于设置第一阻断参数;
分段模块,用于根据所述第一阻断参数将IP地址划分为一个或多个IP地址段;
确认模块,用于从所述一个或多个IP地址段中确定IP地址阻断目标段,其中,所述IP地址阻断目标段为包括待阻断IP地址的IP地址段;
阻断模块,用于根据所述第一阻断参数确定第一阻断时长,在所述第一阻断时长内对所述IP地址阻断目标段进行阻断。
7.根据权利要求6所述的IP地址动态阻断装置,其特征在于,还包括:
重置模块,用于在所述第一阻断时长内,当所述IP地址阻断目标段内再次出现待阻断IP地址时,重置所述第一阻断时长。
8.根据权利要求6所述的IP地址动态阻断装置,其特征在于,还包括:
合并模块,用于当所述IP地址阻断目标段为多个,且为相邻的IP地址段时,将所述IP地址阻断目标段合并为IP地址阻断集合段;
所述参数设置模块还用于根据所述IP地址阻断集合段确定第二阻断参数;
所述阻断模块还用于根据所述第二阻断参数确定第二阻断时长,在所述第二阻断时长内对所述IP地址阻断集合段进行阻断。
9.一种电子设备,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1~5中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机可读指令,所述指令被处理器执行时使得处理器执行权利要求1~5中任意一项所述的方法。
CN202111638386.5A 2021-12-29 2021-12-29 Ip地址动态阻断方法、装置、设备及介质 Pending CN114338168A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111638386.5A CN114338168A (zh) 2021-12-29 2021-12-29 Ip地址动态阻断方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111638386.5A CN114338168A (zh) 2021-12-29 2021-12-29 Ip地址动态阻断方法、装置、设备及介质

Publications (1)

Publication Number Publication Date
CN114338168A true CN114338168A (zh) 2022-04-12

Family

ID=81017613

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111638386.5A Pending CN114338168A (zh) 2021-12-29 2021-12-29 Ip地址动态阻断方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN114338168A (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102291411A (zh) * 2011-08-18 2011-12-21 网宿科技股份有限公司 针对dns服务的防ddos攻击方法和系统
CN103957195A (zh) * 2014-04-04 2014-07-30 上海聚流软件科技有限公司 Dns系统以及dns攻击的防御方法和防御装置
CN104219230A (zh) * 2014-08-21 2014-12-17 腾讯科技(深圳)有限公司 识别恶意网站的方法及装置
CN106534078A (zh) * 2016-10-19 2017-03-22 北京神州绿盟信息安全科技股份有限公司 一种建立黑名单的方法及装置
CN106998317A (zh) * 2016-01-22 2017-08-01 高德信息技术有限公司 异常访问请求识别方法及装置
CN108400963A (zh) * 2017-10-23 2018-08-14 平安科技(深圳)有限公司 电子装置、访问请求控制方法和计算机可读存储介质
CN113612800A (zh) * 2021-09-08 2021-11-05 中国工商银行股份有限公司 网络攻击处理方法、装置、系统、设备、介质和程序产品

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102291411A (zh) * 2011-08-18 2011-12-21 网宿科技股份有限公司 针对dns服务的防ddos攻击方法和系统
CN103957195A (zh) * 2014-04-04 2014-07-30 上海聚流软件科技有限公司 Dns系统以及dns攻击的防御方法和防御装置
CN104219230A (zh) * 2014-08-21 2014-12-17 腾讯科技(深圳)有限公司 识别恶意网站的方法及装置
CN106998317A (zh) * 2016-01-22 2017-08-01 高德信息技术有限公司 异常访问请求识别方法及装置
CN106534078A (zh) * 2016-10-19 2017-03-22 北京神州绿盟信息安全科技股份有限公司 一种建立黑名单的方法及装置
CN108400963A (zh) * 2017-10-23 2018-08-14 平安科技(深圳)有限公司 电子装置、访问请求控制方法和计算机可读存储介质
CN113612800A (zh) * 2021-09-08 2021-11-05 中国工商银行股份有限公司 网络攻击处理方法、装置、系统、设备、介质和程序产品

Similar Documents

Publication Publication Date Title
US11470043B2 (en) Anti-cracking method and system for a cloud host, as well as terminal device
US11663330B2 (en) Systems and methods for disabling a malicious ECU in a controller area network (CAN) bus
US9973531B1 (en) Shellcode detection
US10581874B1 (en) Malware detection system with contextual analysis
US10187422B2 (en) Mitigation of computer network attacks
CN101420425B (zh) 用于保护网络的方法和设备
US10909244B1 (en) Computer network defense training on operational networks using software agents
US20150350234A1 (en) Manipulating api requests to indicate source computer application trustworthiness
JP2018508054A (ja) ファイルベースコンテンツが持つリスク判定のための統計分析手法
US9530002B1 (en) Verifying the integrity of a computing platform
US10193868B2 (en) Safe security proxy
US20170195345A1 (en) Detection, prevention, and/or mitigation of dos attacks in publish/subscribe infrastructure
US11122077B2 (en) Identification of attack flows in a multi-tier network topology
WO2013176711A2 (en) Methods, systems, and media for inhibiting attacks on embedded devices
US10243941B2 (en) Need based controller area network bus authentication
US20190109824A1 (en) Rule enforcement in a network
US9444845B2 (en) Network security apparatus and method
KR101657180B1 (ko) 프로세스 접근 제어 시스템 및 방법
CN107294991B (zh) 基于输出判决的网络功能防御系统及安全防护方法
CN111212070B (zh) 风险监控方法、装置、计算设备以及介质
CN114338168A (zh) Ip地址动态阻断方法、装置、设备及介质
US10031800B2 (en) Interactive multi-level failsafe enablement
US11005767B2 (en) Method, device and computer program product for data processing
CN116208353A (zh) 一种校验固件的方法、装置、网卡、芯片系统及服务器
CN114640525B (zh) 针对WEB服务的DDoS攻击的保护方法、装置和设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination