IP地址总是具有时效性,彼时的恶意IP过一段时间后,或许便会变成正常的IP;及时删除黑名单中的IP可以减少误拦截、释放资源、降低维护成本。
谢谢小石、LzSkyline、柚子的见解,收获很多。
或许可以使用下面这些逻辑:
1)IP地址已被加到白名单中时,清除黑名单中的IP地址;
2)当IP地址的行为恢复正常时清除IP;
3)设置过期时间,当阻断时间到期时清除IP地址(本文讨论这种方式);
4)IP地址长时间未访问组织时清除IP。
参考IP地址的应用场景、地理位置、IoC情报、访问记录等来为黑名单中的IP设置标签,根据目标IP携带的标签和计算公式来生成过期时间。
新IP:首次攻击/首次加入黑名单。
然后我们可以对这些标签赋予对应的公式:
应用场景也是如此:
至此,我们便可以通过公式来计算拦截时间,示例:
目标IP携带的标签:旧IP、非业务区域、黑IP、云服务器。
24H * 4 * 4 * 2 = 768小时,合计32天
目标IP携带的标签:新IP、业务区域、非黑IP、移动网络。
1H * 1.1 * 1.1 * 1.1 = 1.331小时
再看一下网上的分析,在威胁IP TOP 1K中存活时间低于7天的占比73%
在威胁IP TOP 1K中存活时间低于30天的占比75%
所以说7天、30天是两个很有价值的阈值,跟公式的计算结果还是蛮温和的。
那么,我们可以考虑在使用API增加黑名单融入计算公式,在管理页面手动增加黑名单配置快捷选项:
默认设置封禁时长为1小时,通过勾选1天,将封禁时长快速设置为24小时:
也可以通过自定义来设置过期时间:
1、https://www.ipip.net/product/usage.html
2、https://www.threatstop.com/blog/how-long-does-an-ip-address-stay-infected
