本发明提供一种网络安**理方法及装置，其中方法包括：接收终端上传的数据包；根据本地网络的安全策略，对接收到的数据包进行解析，获得数据包的至少一个协议层携带的数据；针对每一协议层的数据，提取URL及其对应的目的IP，并将所述URL与目的IP关联形成与该协议层对应的特征值组；根据各协议层对应的特征值组，判断在预设周期内，同一URL出现的次数是否大于预设阈值；若是，则将所述同一URL所在的特征值组标记为可疑特征值组；判断所述可疑特征值组中的URL是否在URL黑名单中；若是，则将与所述URL关联的目的IP添加到IP黑名单中。本发明提供的网络安**理方法及装置，能够有效阻止病毒感染网络中的终端。