1.一种用于基于自动入侵警报列入黑名单的方法,所述方法包括:
使用通信接口接收指示检测到的对网络的威胁的网络威胁报告;
使用处理器确定与所述检测到的对网络的威胁有关的互联网协议地址即ip地址;
访问上下文信息的数据库以确定与所述网络通信有关的所述ip地址的历史上下文信息;
将所述历史上下文信息与一个或多个阻止阈值进行比较;并且
如果所述ip地址的所述历史上下文信息超过所述一个或多个阻止阈值,则将所述ip地址输出到指示符管理系统;
由此所述指示符管理系统维持所述网络的外围系统的阻止列表并且将所述ip地址添加到所述阻止列表。
2.根据权利要求1所述的方法,进一步包括使用与所述检测到的威胁有关的入侵检测系统警报即ids警报作为触发,其中所述检测到的威胁包括作为威胁的高置信度签名。
3.根据权利要求2所述的方法,其中所述高置信度签名以零概率、低概率或非常低概率的假阳性识别中的至少一个识别所述威胁。
4.根据权利要求2所述的方法,其中所述高置信度签名是从至少一个源中检索到的。
5.根据权利要求4所述的方法,其中所述至少一个源位于所述设备或所述网络中的至少一个上。
6.根据权利要求4所述的方法,其中所述至少一个源是受信任的第三方。
7.根据权利要求1所述的方法,其中所述历史上下文信息被存储在上下文系统内的所述上下文信息的数据库中,所述上下文信息的数据库是摘要数据库,所述摘要数据库包含针对在所述网络上检测到的所有ip地址的历史信息。
8.根据权利要求7所述的方法,其中所述历史上下文信息包括针对每个所述ip地址的第一已见日期、最后已见日期、内部点击计数以及应用层数据。
9.根据权利要求7或8中的任一项所述的方法,其中所述历史上下文信息包括针对每个所述ip地址的先前的tcp/ip连接建立指示符;
使得针对每个所述ip地址的所述先前的tcp/ip连接建立指示符指示所述设备先前是否已经与每个ip地址建立了tcp/ip连接;
由此先前已经与每个所述ip地址建立了tcp/ip连接的所述设备指示每个所述ip地址都是有效的并且未被伪造。
10.一种用于基于自动入侵警报列入黑名单以执行如权利要求1-9中的任一项所述的方法的设备,所述设备包括:
通信接口,其被配置为接收指示检测到的对网络的威胁的网络威胁报告;和
处理器,其被配置为:
确定与所述检测到的对网络的威胁有关的互联网协议地址即ip地址;
访问上下文信息的数据库以确定与网络通信有关的所述ip地址的历史上下文信息;
将所述历史上下文信息与一个或多个阻止阈值进行比较;并且
如果针对所述ip地址的所述历史上下文信息超过所述一个或多个阻止阈值,则将所述ip地址输出到指示符管理系统;
由此所述指示符管理系统维持所述网络的外围系统的阻止列表并且将所述ip地址添加到所述阻止列表。
11.根据权利要求10所述的设备,其中所述历史上下文信息被存储在上下文系统内的所述上下文信息的数据库中,所述上下文信息的数据库是摘要数据库,所述摘要数据库包含针对在所述网络上检测到的所有ip地址的历史信息。
12.根据权利要求11所述的设备,其中所述历史上下文信息包括每个所述ip地址的第一已见日期、最后已见日期、内部点击计数以及应用层数据。
13.根据权利要求11或12中的任一项所述的设备,其中所述历史上下文信息包括针对每个所述ip地址的先前的tcp/ip连接建立指示符;
使得针对每个所述ip地址的所述先前的tcp/ip连接建立指示符指示所述设备先前是否已经与每个ip地址建立了tcp/ip连接;
由此先前已经与每个所述ip地址建立了tcp/ip连接的所述设备指示每个所述ip地址都是有效的并且未被伪造。
14.一种或多种非暂时性计算机可读介质,其上存储有用于基于自动入侵警报列入黑名单的计算机可执行指令,所述指令在由计算机执行时使所述计算机执行根据权利要求1-9中任一项所述的方法的操作,所述操作包括:
使用通信接口接收指示检测到的对网络的威胁的网络威胁报告;
使用处理器确定与所述检测到的对网络的威胁有关的互联网协议地址即ip地址;
访问上下文信息的数据库以确定与所述网络通信有关的针对所述ip地址的历史上下文信息;
将所述历史上下文信息与一个或多个阻止阈值进行比较;并且
如果针对所述ip地址的所述历史上下文信息超过所述一个或多个阻止阈值,则将所述ip地址输出到指示符管理系统;
由此所述指示符管理系统维持所述网络的外围系统的阻止列表并且将所述ip地址添加到所述阻止列表。
15.根据权利要求19所述的一种或多种非暂时性计算机可读介质,其中所述处理器进一步被配置为将与所述检测到的威胁有关的入侵检测系统警报即ids警报用作触发,其中所述检测到的威胁包括作为威胁的高置信度签名。