威胁IP的处理方法、装置和设备

技术领域

本发明涉及网络信息安全领域，尤其涉及一种威胁IP的处理方法、装置和设备。

背景技术

随着网络技术的发展，电力系统也在向智能化以及线上办公方向发展，电力系统各个部门以及各个厂站之间会通过网络进行信息的传输以及交互，用以控制一次设备、二次设备以及控制设备的运作，因此电力系统的网络信息安全防护就显得尤为重要。

在日常运行维护中，电力系统网络会承受外部威胁IP的攻击，若不及时对威胁IP进行封禁，则会影响到电力系统网络的正常运行，严重的还会导致输配电中断，影响到居民的正常用电。

发明内容

本发明提供了一种威胁IP的处理方法、装置和设备，以保证电力系统网络运行的安全性，避免由于威胁IP的攻击导致电力系统网络瘫痪的问题。

根据本发明的一方面，提供了一种威胁IP的处理方法，包括：

获取针对电力系统网络的IP封禁指令，并从所述IP封禁指令中获取待封禁的至少一个目标威胁IP；

在确定所述电力系统网络当前处于使用状态的情况下，确定所述目标威胁IP在所述电力系统网络中所攻击的至少一个目标系统区块，并根据所述目标系统区块的价值度评分确定所述目标威胁IP的威胁度评分；

根据所述威胁度评分依次对所述目标威胁IP进行封禁。

根据本发明的另一方面，提供了一种威胁IP的处理装置，包括：

威胁IP获取模块，用于获取针对电力系统网络的IP封禁指令，并从所述IP封禁指令中获取待封禁的至少一个目标威胁IP；

威胁度评分确定模块，用于在确定所述电力系统网络当前处于使用状态的情况下，确定所述目标威胁IP在所述电力系统网络中所攻击的至少一个目标系统区块，并根据所述目标系统区块的价值度评分确定所述目标威胁IP的威胁度评分；

第一威胁IP封禁模块，用于根据所述威胁度评分依次对所述目标威胁IP进行封禁。

根据本发明的另一方面，提供了一种电子设备，所述电子设备包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明任一实施例所述的威胁IP的处理方法。

本发明实施例的技术方案通过获取针对电力系统网络的IP封禁指令，并从IP封禁指令中获取待封禁的至少一个目标威胁IP；在确定电力系统网络当前处于使用状态的情况下，确定目标威胁IP在电力系统网络中所攻击的至少一个目标系统区块，并根据目标系统区块的价值度评分确定目标威胁IP的威胁度评分；根据威胁度评分依次对目标威胁IP进行封禁，从而可以保证优先处理威胁度评分较高的目标威胁IP，避免由于对威胁度评分较高的目标威胁IP封禁不及时，而引起电力系统网络瘫痪的问题，保证了电力系统网络运行的安全性。

应当理解，本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征，也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一提供的一种威胁IP的处理方法的流程图；

图2为本发明实施例二提供的一种威胁IP的处理方法的流程图；

图3为本发明实施例三提供的一种威胁IP的处理方法的流程图；

图4为本发明实施例四提供的一种威胁IP的处理装置的结构示意图；

图5是实现本发明实施例的威胁IP的处理方法的电子设备的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“高威胁”、“低威胁”、“第一”、“第二”和“第三”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

在目前的电力系统网络防护策略中，针对威胁IP仅仅是执行简单的无序输入自动封禁。然而当待封禁的威胁IP数量较多时，自动封禁操作会导致电力系统网络负荷较大从而影响用户的正常使用，因此通常会暂停封禁一段时间，由于现有的威胁IP自动封禁是无序执行的，这就会导致部分对电力系统网络存在重大威胁的IP可能会逃过封禁，从而引起电力系统网络瘫痪的问题，严重影响了电力系统网络运行的安全性。

实施例一

图1为本发明实施例一提供的一种威胁IP的处理方法的流程图，本实施例可适用于对攻击电力系统网络的威胁IP进行自动封禁的情况，该方法可以由威胁IP的处理装置来执行，该威胁IP的处理装置可以采用硬件和/或软件的形式实现，例如采用服务器实现。如图1所示，该方法包括：

S101、获取针对电力系统网络的IP封禁指令，并从IP封禁指令中获取待封禁的至少一个目标威胁IP。

其中，电力系统网络指的是在电力系统各个部门以及各个厂站之间用于进行信息的传输以及交互的局域网。

IP封禁指令中携带有待封禁的至少一个目标威胁IP，用于指示电力系统网络的服务器响应IP封禁指令对目标威胁IP进行封禁。IP封禁指令可以由电力系统网络的网络防护设备来生成，例如当某个威胁IP向电力系统网络发起攻击时，网络防护设备检测到该威胁IP的攻击，将该威胁IP作为目标威胁IP生成IP封禁指令，用于指示服务器根据IP封禁指令对该威胁IP进行封禁。威胁IP指的是由电力系统网络外部发起攻击的主体所对应的IP地址。

在一种实施方式中，电力系统网络的服务器(以下简称服务器)获取由网络防护设备发送的IP封禁指令，并对IP封禁指令进行数据提取，获取IP封禁指令所携带的至少一个待封禁的目标威胁IP。

S102、在确定电力系统网络当前处于使用状态的情况下，确定目标威胁IP在电力系统网络中所攻击的至少一个目标系统区块，并根据目标系统区块的价值度评分确定目标威胁IP的威胁度评分。

其中，使用状态是指的有至少一个用户正在使用电力系统网络进行信息的传输以及交互。判读电力系统网络当前是否处于使用状态的目的在于，确定是否触发优先封禁高威胁IP的策略，这是因为若电力系统网络当前处于使用状态，无限制的封禁IP会导致电力系统网络负荷较大，出现网络卡顿的问题，影响到用户正常操作，因此就需要限制目标威胁IP的封禁数量，优先封禁对电力系统网络危害程度较大的高威胁IP，以保证电力系统网络不会受到严重的攻击，同时保持正常的运行。

系统区块是基于电力系统的基础架构进行划分得到的，系统区块包括但不限于发电区块、输电区块、配电区块、变电区块、用电区块、继电保护区块、安全自动区块、调度运行区块以及电力通信区块等等。可以理解的是，目标系统区块表示目标威胁IP在电力系统网络中所攻击的至少一个系统区块。

对电力系统而言，其不同系统区块的重要程度不同，每个电力系统的侧重点也不同，有一些电力系统侧重于发电，有一些电力系统则侧重于输电，因此基于电力系统的侧重的不同，采用专家评分法对电力系统中的所有系统区块进行打分，根据打分的结果获得系统区块的价值度评分。

目标威胁IP的威胁度评分体现了目标威胁IP对于电力系统网络的危害程度，也即目标威胁IP的威胁度评分越高，则目标威胁IP对于电力系统网络的危害程度也越高，需要优先进行IP封禁；相应的，目标威胁IP的威胁度评分越低，则目标威胁IP对于电力系统网络的危害程度也越低，不需要优先进行IP封禁。可以理解的是，目标威胁IP的威胁度评分与目标威胁IP所攻击目标系统区块的价值度评分成正比，也即目标威胁IP所攻击目标系统区块的价值度评分越高，则目标威胁IP的威胁度评分也越高；相应的，目标威胁IP所攻击目标系统区块的价值度评分越低，则目标威胁IP的威胁度评分也越低。

在一种实施方式中，在确定电力系统网络当前处于使用状态的情况下，服务器对各目标威胁IP进行攻击目标解析，根据解析结果确定各目标威胁IP在电力系统网络中所攻击的至少一个目标系统区块。根据预先采用专家评分法对各系统区块进行打分得到的价值度评分，直接查询获取各目标系统区块所对应的价值度评分。进而根据价制度评分与威胁度评分之间的评分转化关系，将各目标系统区块所对应的价值度评分进行威胁度评分转化，得到各目标威胁IP的威胁度评分。

可选的，将各目标系统区块所对应的价值度评分等同于各目标威胁IP的威胁度评分，例如假设任一目标系统区块所对应的价制度评分为“80”，则将“80”作为攻击该目标系统区块的目标威胁IP的威胁度评分。

S103、根据威胁度评分依次对目标威胁IP进行封禁。

在一种实施方式中，根据各目标威胁IP的威胁度评分，按照从高到低的顺序依次对各目标威胁IP进行封禁，也即优先封禁威胁度评分较高的目标威胁IP，直至封禁数量达到电力系统网络所能承担的负荷为止，以保证电力系统网络的正常运行。

可选的，服务器可以采用RPA(Robotic process automation，机器人流程自动化)模型来自动执行对目标威胁IP进行封禁的操作。

其中，在电力系统网络中，每天会接收到来自各种渠道的威胁IP的攻击，若不及时对这些威胁IP进行封禁，会影响到电力系统网络的正常运行，因此就需要安排专门的工作人员进行24小时不间断的监控，在收到威胁IP封禁指令时，将威胁IP手动添加到封禁系统中，实现对威胁IP的封禁，因此对于封禁工作人员的工作而言，基本是属于高重复性且强规则性的工作，如果由工作人员24小时进行监控和封禁工作的话，会耗费大量的人力资源，并且工作强度较大，会导致工作人员输入威胁IP时出错，出现漏封以及错封的问题，为此本发明将RPA模型引入到电力系统网络的自动化运维当中，通过RPA模型当中的记录器对电力系统网络当中工作人员进行封禁IP时的操作进行记录，包括键盘和鼠标的输入，然后由RPA模型当中的学习器基于记录器记录的内容进行学习，在学习完成后，RPA模型可以模仿工作人员接收IP封禁指令后进行威胁IP的封禁，不需要人工参与，将重复性的工作转由RPA来实现，从而工作人员可以进行其他高价值的工作。

本发明实施例的技术方案通过获取针对电力系统网络的IP封禁指令，并从IP封禁指令中获取待封禁的至少一个目标威胁IP；在确定电力系统网络当前处于使用状态的情况下，确定目标威胁IP在电力系统网络中所攻击的至少一个目标系统区块，并根据目标系统区块的价值度评分确定目标威胁IP的威胁度评分；根据威胁度评分依次对目标威胁IP进行封禁，从而可以保证优先处理威胁度评分较高的目标威胁IP，避免由于对威胁度评分较高的目标威胁IP封禁不及时，而引起电力系统网络瘫痪的问题，保证了电力系统网络运行的安全性。

实施例二

图2为本发明实施例二提供的一种威胁IP的处理方法的流程图，本实施例对上述实施例进行进一步优化与扩展，并可以与上述各个可选实施方式进行结合。如图2所示，该方法包括：

S201、获取针对电力系统网络的IP封禁指令，并从IP封禁指令中获取待封禁的至少一个目标威胁IP。

S202、将获取到IP封禁指令的时刻作为目标时刻，并将处于目标时刻之前的预设时间段作为检测时间段；若在检测时间段内检测到电力系统网络存在网络操作记录，则确定电力系统网络当前处于使用状态；若在检测时间段内未检测到电力系统网络存在网络操作记录，则确定电力系统网络当前处于空闲状态。

其中，网络操作记录表示记录任意用户利用电力系统网络所执行的操作，包括但不限于信息传输、信息共享、信息下载或者信息浏览等操作。

在一种实施方式中，服务器在获取到IP封禁指令时将获取指令时刻作为目标时刻，并将处于目标时刻之前的预设时间段作为检测时间段。其中，预设时间段可以根据需求进行设置，如设置预设时间段为30min，假设目标时刻为12:00，则将11:30-12:00作为检测时间段。

确定服务器存储的网络操作记录中是否存在发生于检测时间段内的网络操作记录，若是则表示近期有用户使用电力系统网络，即确定电力系统网络当前处于使用状态；若否则表示近期没有用户使用电力系统网络，即确定电力系统网络当前处于空闲状态。

通过将获取到IP封禁指令的时刻作为目标时刻，并将处于目标时刻之前的预设时间段作为检测时间段；若在检测时间段内检测到电力系统网络存在网络操作记录，则确定电力系统网络当前处于使用状态；若在检测时间段内未检测到电力系统网络存在网络操作记录，则确定电力系统网络当前处于空闲状态，实现了对电力系统网络的状态进行评估的效果，方便后续基于电力系统网络的状态执行不同的IP封禁策略，提高了方法的灵活性。

S203、在确定电力系统网络当前处于使用状态的情况下，确定目标威胁IP在电力系统网络中所攻击的至少一个目标系统区块，并根据目标系统区块的价值度评分确定目标威胁IP的威胁度评分。

可选的，在目标系统区块的区块数量至少为两个的情况下，根据目标系统区块的价值度评分确定目标威胁IP的威胁度评分，包括：

根据各目标系统区块的价值度评分确定价值度总评分，并根据价值度总评分和区块数量之间的比值确定价值度平均评分；根据价值度平均评分确定目标威胁IP的威胁度评分。

示例性的，假设任一目标威胁IP所攻击的目标系统区块包括目标系统区块A、目标系统区块B和目标系统区块C，目标系统区块A的价值度评分为40，目标系统区块B的价值度评分为50，目标系统区块C的价值度评分为30，则价值度总评分＝40+50+30＝120，价值度平均评分＝120/3＝40，进而确定该目标威胁IP的威胁度评分为40。

通过在目标系统区块的区块数量至少为两个的情况下，根据各目标系统区块的价值度评分确定价值度总评分，并根据价值度总评分和区块数量之间的比值确定价值度平均评分；根据价值度平均评分确定目标威胁IP的威胁度评分，从而使得威胁度的评分更贴合实际场景，满足对多区块攻击威胁IP计算威胁度评分的需求。

S204、根据威胁度评分对目标威胁IP进行降序排序，并根据降序排序结果从目标威胁IP中确定目标数量的高威胁IP。

其中，目标数量与电力系统网络的运维能力正相关，也即电力系统网络的运维能力越强则目标数量也就越多，相应的，电力系统网络的运维能力越若则目标数量也就越少。电力系统网络的运维能力则体现了电力系统网络的数据处理性能。可以理解的是，运维能力越强则表示电力系统网络有能力应付更多的IP封禁任务，进而增大目标数量；运维能力越若则表示电力系统网络没有能力应付更多的IP封禁任务，进而减少目标数量。

降序排序也即从高到低排序，即根据威胁度评分对目标威胁IP从高到低进行排序。

在一种实施方式中，服务器根据威胁度评分对目标威胁IP进行降序排序，并根据降序排序结果从高到低选取目标数量的目标威胁IP作为高威胁IP。

示例性的，假设目标数量为20，则根据威胁度评分对目标威胁IP进行降序排序，从威胁度评分最高的目标威胁IP开始向后选取19个目标威胁IP共20个目标威胁IP作为高威胁IP。

S205、对高威胁IP依次进行封禁。

在一种实施方式中，按照各高威胁IP的威胁度评分按照从高到低的顺序依次对各高威胁IP进行封禁。

通过根据威胁度评分对目标威胁IP进行降序排序，并根据降序排序结果从目标威胁IP中确定目标数量的高威胁IP；其中，目标数量与电力系统网络的运维能力正相关；对高威胁IP依次进行封禁，一方面由于选取目标数量的高威胁IP进行封禁，避免封禁的威胁IP数量过多导致电力系统网络出现负荷过大无法正常运行；另一方面由于根据威胁度评分的降序排序结果选取高威胁IP，从而可以优先封禁对电力系统网络危害较大的那些威胁IP(高威胁IP)，避免引起电力系统网络瘫痪的问题，保证了电力系统网络运行的安全性。

S206、将除高威胁IP之外的目标威胁IP作为低威胁IP，并按照目标时间间隔对低威胁IP进行封禁。

其中，目标时间间隔与电力系统网络的运维能力负相关，也即电力系统网络的运维能力越强则目标时间间隔也就越短，相应的，电力系统网络的运维能力越若则目标时间间隔也就越长。可以理解的是，运维能力越强则表示电力系统网络有能力频繁应付IP封禁任务，进而缩短目标时间间隔；运维能力越若则表示电力系统网络没有能力频繁应付IP封禁任务，进而延长目标时间间隔。

在一种实施方案中，服务器在完成对高威胁IP的封禁操作后，进一步将除高威胁IP之外的目标威胁IP作为低威胁IP。由于对高威胁IP的封禁操作会导致电力系统网络基本已经达到负荷上限，此时就会停止封禁，因此在电力系统网络恢复到正常的运行状态后，再按照目标时间间隔对低威胁IP进行封禁。

通过将除高威胁IP之外的目标威胁IP作为低威胁IP，并按照目标时间间隔对低威胁IP进行封禁，一方面保证了威胁IP封禁的全面性，避免出现威胁IP漏封禁的问题，另一方面由于在低威胁IP封禁中引入目标时间间隔的构思，能够进一步避免封禁IP过于频繁导致电力系统网络无法正常运行的问题。

实施例三

图3为本发明实施例三提供的一种威胁IP的处理方法的流程图，本实施例对上述实施例进行进一步优化与扩展，并可以与上述各个可选实施方式进行结合。如图3所示，该方法包括：

S301、获取针对电力系统网络的IP封禁指令，并从IP封禁指令中获取待封禁的至少一个目标威胁IP。

S302、在确定电力系统网络当前处于空闲状态的情况下，确定各目标威胁IP包括的目标网络号以及目标主机号。

其中，威胁IP与传统的IP地址相同，分为前三位网络号以及后一位主机号，例如威胁IP为192.168.1.1时，“192.168.1”为网络号，而最后的“1”为主机号。可以理解的是，将目标威胁IP包括的网络号作为目标网络号，将目标威胁IP包括的主机号作为目标主机号。

在一种实施方式中，在确定电力系统网络当前处于空闲状态的情况下，此时由于无人使用电力系统网络，因此无需优先封禁高威胁IP，而是注重威胁IP封禁的效率。服务器在确定电力系统网络当前处于空闲状态的情况下，对各目标威胁IP进行解析，确定各目标威胁IP包括的目标网络号以及目标主机号。

S303、根据目标网络号和目标主机号对各目标威胁IP进行相似度聚类，生成至少一个威胁IP集合。

其中，威胁IP的地址有多种组合，为了保证可以快速的对所有的威胁IP进行封禁，缩短整体的封禁时长，就需要对威胁IP的相似程度进行判断。

在一种实施方式中，服务器根据各目标威胁IP的目标网络号和目标主机号，采用聚类算法对各目标威胁IP进行相似度聚类，生成至少一个威胁IP集合。可以理解的是，在同一威胁IP集合中的目标威胁IP具有相似的目标网络号和目标主机号。

S304、根据各威胁IP集合中包括的目标威胁IP的目标IP数量，依次对各威胁IP集合中的目标威胁IP进行封禁。

在一种实施方式中，根据各威胁IP集合中包括的目标威胁IP的目标IP数量，对各威胁IP集合进行降序排序，并根据降序排序结果从多到少依次对各威胁IP集合中的目标威胁IP进行封禁，也即优先处理包括目标威胁IP数量较多的威胁IP集合，再处理包括目标威胁IP数量较少的威胁IP集合。

通过在确定电力系统网络当前处于空闲状态的情况下，确定各目标威胁IP包括的目标网络号以及目标主机号；根据目标网络号和目标主机号对各目标威胁IP进行相似度聚类，生成至少一个威胁IP集合；根据各威胁IP集合中包括的目标威胁IP的目标IP数量，依次对各威胁IP集合中的目标威胁IP进行封禁，由于同一威胁IP集合中的目标威胁IP具有类似的目标网络号以及目标主机号，因此以IP集合为单位对威胁IP进行集中处理，可以减少对同一威胁IP集合的IP封禁过程中IP地址的删改操作，提高了IP封禁的效率，缩短整体的IP封禁时长。

可选的，目标网络号包括第一位网络号、第二位网络号以及第三位网络号。

示例性的，假设目标威胁IP为“192.168.1.1”，其中，目标网络号为“192.168.1”，包括的第一位网络号为“192”，第二位网络号为“168”，第三位网络号为“1”。

根据目标网络号和目标主机号对各目标威胁IP进行相似度聚类，生成至少一个威胁IP集合，包括：

将第一位网络号、第二位网络号以及第三位网络号相同，且目标主机号不同的目标威胁IP，组成第一威胁IP集合；将第一位网络号和第二位网络号相同，且第三位网络号不同的目标威胁IP，组成第二威胁IP集合；将第一位网络号相同，且第二位网络号和第三位网络号不同的目标威胁IP，组成第三威胁IP集合；将除第一威胁IP集合、第二威胁IP集合和第三威胁IP集合之外的目标威胁IP，组成剩余威胁IP集合。

示例性的，假设目标威胁IP包括“192.168.1.1”、“192.168.1.2”、“192.168.1.3”、“192.168.1.4”、“192.168.2.1”、“192.168.3.1”、“192.168.4.1”、“192.167.3.1”、“192.166.2.2”、“191.167.1.1”和“190.167.1.2”。

则第一威胁IP集合包括“192.168.1.1”、“192.168.1.2”、“192.168.1.3”和“192.168.1.4”。

第二威胁IP集合包括“192.168.2.1”、“192.168.3.1”和“192.168.4.1”。

第三威胁IP集合包括“192.167.3.1”和“192.166.2.2”。

剩余威胁IP集合包括“191.167.1.1”和“190.167.1.2”。

通过将第一位网络号、第二位网络号以及第三位网络号相同，且目标主机号不同的目标威胁IP，组成第一威胁IP集合；将第一位网络号和第二位网络号相同，且第三位网络号不同的目标威胁IP，组成第二威胁IP集合；将第一位网络号相同，且第二位网络号和第三位网络号不同的目标威胁IP，组成第三威胁IP集合；将除第一威胁IP集合、第二威胁IP集合和第三威胁IP集合之外的目标威胁IP，组成剩余威胁IP集合，从而使得同一威胁IP集合中的目标威胁IP具有相似的网络号以及主机号，方便后续以威胁IP集合为单位对目标威胁IP进行集中封禁。

可选的，根据各威胁IP集合中包括的目标威胁IP的目标IP数量，依次对各威胁IP集合中的目标威胁IP进行封禁，包括以下步骤A和B：

A、根据第一威胁IP集合、第二威胁IP集合和第三威胁IP集合中包括的目标威胁IP的目标IP数量，对第一威胁IP集合、第二威胁IP集合和第三威胁IP集合进行降序排序，并根据降序排序结果依次对第一威胁IP集合、第二威胁IP集合和第三威胁IP集合中包括的目标威胁IP进行封禁。

在一种实施方式中，对第一威胁IP集合、第二威胁IP集合和第三威胁IP集合中包括的目标威胁IP的目标IP数量进行统计，并采用降序排序的方式根据目标IP数量对第一威胁IP集合、第二威胁IP集合和第三威胁IP集合进行排序。例如，假设第一威胁IP集合、第二威胁IP集合和第三威胁IP集合对应的目标IP数量分别为10、12和7，则降序排序结果依次为第二威胁IP集合、第一威胁IP集合和第三威胁IP集合。

按照降序排序结果依次对同一威胁IP集合中包括的目标威胁IP进行集中封禁。例如，假设降序排序结果依次为第二威胁IP集合、第一威胁IP集合和第三威胁IP集合，则首先对第二威胁IP集合包括的目标威胁IP进行集中封禁，再对第一威胁IP集合包括的目标威胁IP进行集中封禁，最后对第三威胁IP集合包括的目标威胁IP进行集中封禁。

B、在封禁完成的情况下，对剩余威胁IP集合中包括的目标威胁IP进行封禁。

在一种实施方式中，在对第一威胁IP集合、第二威胁IP集合和第三威胁IP集合中包括的目标威胁IP封禁完成的情况下，服务器再对剩余威胁IP集合中包括的目标威胁IP进行封禁。

通过在封禁完成的情况下，对剩余威胁IP集合中包括的目标威胁IP进行封禁，保证了威胁IP封禁的全面性，避免出现威胁IP漏封禁的问题；通过根据第一威胁IP集合、第二威胁IP集合和第三威胁IP集合中包括的目标威胁IP的目标IP数量，对第一威胁IP集合、第二威胁IP集合和第三威胁IP集合进行降序排序，并根据降序排序结果依次对第一威胁IP集合、第二威胁IP集合和第三威胁IP集合中包括的目标威胁IP进行封禁，从而优先处理包括目标威胁IP数量较多的威胁IP集合，并且由于同一威胁IP集合中威胁IP的相似性较高，因此在同一威胁IP集合中完成前一个目标威胁IP的封禁后，对于后一个目标威胁IP不需要删改过多的数字进行封禁，提高封禁的效率。如，假设同一威胁IP集合中前一个目标威胁IP为“192.168.1.1”，后一个目标威胁IP为“192.168.1.2”，则对“192.168.1.1”完成封禁后，只需将主机号“1”删改为“2”就可以对“192.168.1.2”进行封禁，而无需将所有IP地址都进行删改，从而提高了封禁的效率。

实施例四

图4为本发明实施例四提供的一种威胁IP的处理装置的结构示意图。如图4所示，该装置包括：

威胁IP获取模块41，用于获取针对电力系统网络的IP封禁指令，并从IP封禁指令中获取待封禁的至少一个目标威胁IP；

威胁度评分确定模块42，用于在确定电力系统网络当前处于使用状态的情况下，确定目标威胁IP在电力系统网络中所攻击的至少一个目标系统区块，并根据目标系统区块的价值度评分确定目标威胁IP的威胁度评分；

第一威胁IP封禁模块43，用于根据威胁度评分依次对目标威胁IP进行封禁。

可选的，装置还包括状态确定模块，具体用于：

将获取到IP封禁指令的时刻作为目标时刻，并将处于目标时刻之前的预设时间段作为检测时间段；

若在检测时间段内检测到电力系统网络存在网络操作记录，则确定电力系统网络当前处于使用状态；

若在检测时间段内未检测到电力系统网络存在网络操作记录，则确定电力系统网络当前处于空闲状态。

可选的，在目标系统区块的区块数量至少为两个的情况下，威胁度评分确定模块42，具体用于：

根据各目标系统区块的价值度评分确定价值度总评分，并根据价值度总评分和区块数量之间的比值确定价值度平均评分；

根据价值度平均评分确定目标威胁IP的威胁度评分。

可选的，第一威胁IP封禁模块43，具体用于：

根据威胁度评分对目标威胁IP进行降序排序，并根据降序排序结果从目标威胁IP中确定目标数量的高威胁IP；其中，目标数量与电力系统网络的运维能力正相关；

对高威胁IP依次进行封禁。

可选的，装置还包括第二威胁IP封禁模块，具体用于：

将除高威胁IP之外的目标威胁IP作为低威胁IP，并按照目标时间间隔对低威胁IP进行封禁；其中，目标时间间隔与电力系统网络的运维能力负相关。

可选的，装置还包括第三威胁IP封禁模块，具体用于：

在确定电力系统网络当前处于空闲状态的情况下，确定各目标威胁IP包括的目标网络号以及目标主机号；

根据目标网络号和目标主机号对各目标威胁IP进行相似度聚类，生成至少一个威胁IP集合；

根据各威胁IP集合中包括的目标威胁IP的目标IP数量，依次对各威胁IP集合中的目标威胁IP进行封禁。

可选的，目标网络号包括第一位网络号、第二位网络号以及第三位网络号；

可选的，第三威胁IP封禁模块，具体还用于：

将第一位网络号、第二位网络号以及第三位网络号相同，且目标主机号不同的目标威胁IP，组成第一威胁IP集合；

将第一位网络号和第二位网络号相同，且第三位网络号不同的目标威胁IP，组成第二威胁IP集合；

将第一位网络号相同，且第二位网络号和第三位网络号不同的目标威胁IP，组成第三威胁IP集合；

将除第一威胁IP集合、第二威胁IP集合和第三威胁IP集合之外的目标威胁IP，组成剩余威胁IP集合。

可选的，第三威胁IP封禁模块，具体还用于：

根据第一威胁IP集合、第二威胁IP集合和第三威胁IP集合中包括的目标威胁IP的目标IP数量，对第一威胁IP集合、第二威胁IP集合和第三威胁IP集合进行降序排序，并根据降序排序结果依次对第一威胁IP集合、第二威胁IP集合和第三威胁IP集合中包括的目标威胁IP进行封禁；

在封禁完成的情况下，对剩余威胁IP集合中包括的目标威胁IP进行封禁。

本发明实施例所提供的威胁IP的处理装置可执行本发明任意实施例所提供的威胁IP的处理方法，具备执行方法相应的功能模块和有益效果。

实施例五

图5示出了可以用来实施本发明的实施例的电子设备50的结构示意图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本发明的实现。

如图5所示，电子设备50包括至少一个处理器51，以及与至少一个处理器51通信连接的存储器，如只读存储器(ROM)52、随机访问存储器(RAM)53等，其中，存储器存储有可被至少一个处理器执行的计算机程序，处理器51可以根据存储在只读存储器(ROM)52中的计算机程序或者从存储单元58加载到随机访问存储器(RAM)53中的计算机程序，来执行各种适当的动作和处理。在RAM 53中，还可存储电子设备50操作所需的各种程序和数据。处理器51、ROM 52以及RAM 53通过总线54彼此相连。输入/输出(I/O)接口55也连接至总线54。

电子设备50中的多个部件连接至I/O接口55，包括：输入单元56，例如键盘、鼠标等；输出单元57，例如各种类型的显示器、扬声器等；存储单元58，例如磁盘、光盘等；以及通信单元59，例如网卡、调制解调器、无线通信收发机等。通信单元59允许电子设备50通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。

处理器51可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器51的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器51执行上文所描述的各个方法和处理，例如威胁IP的处理方法。

在一些实施例中，威胁IP的处理方法可被实现为计算机程序，其被有形地包含于计算机可读存储介质，例如存储单元58。在一些实施例中，计算机程序的部分或者全部可以经由ROM 52和/或通信单元59而被载入和/或安装到电子设备50上。当计算机程序加载到RAM 53并由处理器51执行时，可以执行上文描述的威胁IP的处理方法的一个或多个步骤。备选地，在其他实施例中，处理器51可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行威胁IP的处理方法。

本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、复杂可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。

用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。

在本发明的上下文中，计算机可读存储介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。备选地，计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

为了提供与用户的交互，可以在电子设备上实施此处描述的系统和技术，该电子设备具有：用于向用户显示信息的显示装置(例如，CRT(阴极射线管)或者LCD(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。

可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(LAN)、广域网(WAN)、区块链网络和互联网。

计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，又称为云计算服务器或云主机，是云计算服务体系中的一项主机产品，以解决了传统物理主机与VPS服务中，存在的管理难度大，业务扩展性弱的缺陷。

应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本发明的技术方案所期望的结果，本文在此不进行限制。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。