(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111484210.9 (22)申请日 2021.12.07 (71)申请人 中信银行股份有限公司 地址 100020 北京市朝阳区光 华路10号院1 号楼6-30层、 32-42层 (72)发明人 谭杰　 (74)专利代理 机构 北京市兰台律师事务所 11354 代理人 于越　张峰 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于IP价值评价的弹性安全防护方法 及系统 (57)摘要 本发明涉及一种基于IP价值评价的弹性安 全防护方法及系统， 通过判断与攻击者IP的IP价 值所匹配的IP价值分界点， 执行对应匹配的IP价 值分界点的防护执行手段， 建立基于客户IP价值 评分的防护策略， 解决高误报、 高误封禁IP问题， 同时对IP进行分级安全保护； 不同于现有技术根 据攻击者的特征进行安全防护， 是一种从用户特 征的角度来进行安全防护的方法， 当安全服务检 测到攻击时， 通过查询IP价值评分表， 进行分级 的安全策略保护。 权利要求书2页 说明书5页 附图2页 CN 114157499 A 2022.03.08 CN 114157499 A 1.一种基于IP价 值评价的弹性 安全防护方法， 其特 征在于， 包括： 设定一个或多个IP价 值分界点和对应IP价 值分界点的一个或多个防护执 行手段； 对检测到的疑似攻击行为记录攻击者 IP和攻击时间； 查询获取攻击者 IP的IP价 值； 判断与攻击者IP的IP价值所匹配的IP价值分界点， 执行对应匹配的IP价值分界点的防 护执行手段。 2.如权利要求1所述的方法， 其特 征在于， 所述 查询获取攻击者 IP的IP价 值包括： 获取攻击者IP对应的评价数据， 所述评价数据包括对应该IP的消费记录信息、 访问人 数信息、 访问次数信息、 既往攻击记录信息； 将评价数据带入评分计算模型计算得到攻击者IP的IP价值， 所述评分计算模型如式I 所示， V(IPi)＝ λi1Ci+λi2Pi+λi3Ni‑λi4Ai    式I 其中， V(IPi)代表基于第i个IP的IP价值， λij代表基于第i个IP第j个权重系数， Ci代表基 于第i个IP的消费记录信息对应的消费金额， Pi代表基于第i个 IP的访问人数信息， Ni代表基 于第i个IP的访问次数信息， Ai代表基于第i个IP的既往攻击记录信息； 当基于第i个IP的 既往攻击记 录信息不存在攻击记 录时Ai取值为0， 当基于第i个IP的 既 往攻击记录信息存在攻击记录时Ai取值为1。 3.如权利要求2所述的方法， 其特 征在于， 所述 查询获取攻击者 IP的IP价 值包括： 根据业务数据库， 获取 所有IP以及对应各IP的评价数据； 将评价数据带入评分计算模型计算分别得到各IP的IP价 值， 获得IP价 值表； 在IP价值表中查询获取攻击者 IP的IP价 值。 4.如权利 要求1所述的方法， 其特征在于， 所述判断与攻击者IP的IP价值所匹配的IP价 值分界点， 执 行对应匹配的IP价 值分界点的防护执 行手段包括： 使用与攻击者 IP的IP价 值最接近的较大IP价 值分界点作为匹配的IP价 值分界点。 5.如权利要求4所述的方法， 其特征在于， 所述防护执行手段包括指定时间段内增加图 形验证码 操作和指定时间段内封禁IP。 6.如权利 要求5所述的方法， 其特征在于， 所述判断与攻击者IP的IP价值所匹配的IP价 值分界点， 执 行对应匹配的IP价 值分界点的防护执 行手段还 包括： 判断疑似攻击行为是否属于Web攻击； 当判断疑似攻击行为属于Web攻击时， 选择使用指定时间段内增加图形验证码操作的 防护执行手段； 当判断疑似攻击行为不属于Web攻击时， 选择使用指定时间段内封禁IP的防护执行手 段。 7.如权利 要求5所述的方法， 其特征在于， 所述判断与攻击者IP的IP价值所匹配的IP价 值分界点， 执 行对应匹配的IP价 值分界点的防护执 行手段还 包括： 根据业务数据库， 获取攻击者 IP对应的访问时间段 数据； 判断疑似攻击行为的攻击时间是否处于对应的访问时间段内； 当判断疑似攻击行为的攻击时间处于对应的访问时间段内时， 选择使用指定时间段内 增加图形验证码 操作的防护执 行手段；权　利　要　求　书 1/2 页 2 CN 114157499 A 2当判断疑似攻击行为的攻击时间不处于对应的访问时间段内时， 选择使用指定时间段 内封禁IP的防护执 行手段。 8.一种基于IP价 值评价的弹性 安全防护系统， 其特 征在于， 包括： 安全防护模块， 用于检测疑似攻击行为并记录攻击者 IP和攻击时间； IP价值模块， 用于查询获取攻击者 IP的IP价 值； 防护执行模块， 用于根据IP价值与IP价值分界点的匹配结果执行对应匹配的IP价值分 界点的防护执 行手段。 9.一种计算机可读存储介质， 其特征在于， 所述存储介质上存储有计算机程序， 所述计 算机程序被处 理器执行时实现权利要求1至7中任一项所述的方法。 10.一种电子设备， 其特 征在于， 包括处 理器和存 储器； 所述存储器， 用于存 储IP价值； 所述处理器， 用于通过调用IP价 值， 执行权利要求1至7中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114157499 A 3