[发明专利]恶意访问的判断方法、拦截方法与装置

说明书

本发明公开了一种恶意访问的判断方法与装置，该方法包括：当接收到一个IP地址的访问请求时，确定第一时间段；统计所述IP地址在每个子时间段的访问次数；根据所述IP地址在每个子时间段的访问次数以及每个子时间段被配置的访问次数权重值，计算所述IP地址在每个子时间段的访问次数的加权平均值；比较所述加权平均值与预设的第一访问次数阈值，当所述加权平均值大于预设的第一访问次数阈值时，判定所述IP地址属于恶意访问。同时，本发明还公开了一种恶意访问的拦截方法与装置。实施本发明，能够提高判断恶意访问的准确性，限制恶意访问的IP地址的访问，避免服务器负载过高，同时可以保证用户有较好的使用体验。

技术领域

本发明涉及互联网安全技术领域，尤其涉及一种恶意访问的判断方法、拦截方法与装置。

背景技术

网络应用被大批量的恶意访问，是一个很常见的问题；恶意程序短时间内大量访问，可能导致服务器负载急剧升高，甚至停止响应；网络爬虫对冷数据的访问，也会给数据库服务器带来额外的压力。

目前，在判断一个IP地址是否属于恶意访问的通常的做法是统计所述IP地址在过去的一段时间内的总的访问次数并与一个阈值比较，当超过所述阈值时则认为所述IP地址属于恶意访问，并且采取对应的限制措施来限制该IP地址访问。

但是这种做法只是一种笼统的判断方式，精确度不够，很有可能会造成误判。例如，在过去的一段时间内，用户的账号被盗号，并且以高频率地访问服务器，用户在取回账号后，恢复了正常的频率访问服务器，但是由于被盗号期间的访问次数过大，导致用户取回账号后也依然被认为总的访问次数超过阈值，依然会受到限制，大大地影响了用户的体验。

发明内容

本发明实施例提出一种恶意访问的判断方法、拦截方法与装置，能够提高判断恶意访问的准确性，限制恶意访问的IP地址的访问，避免服务器负载过高，同时可以保证用户有较好的体验。

本发明实施例提供一种恶意访问的判断方法，包括：

当接收到一个IP地址的访问请求时，确定第一时间段；所述第一时间段为过去时刻T1到当前时间T0之间的时间段；其中，所述第一时间段被划分为N个连续的子时间段；所述N个子时间段分别被配置了不同的访问次数权重值，且与当前时间T0的时间差越大的子时间段被配置的访问次数权重值越低；

统计所述IP地址在每个子时间段的访问次数；

根据所述IP地址在每个子时间段的访问次数以及每个子时间段被配置的访问次数权重值，计算所述IP地址在每个子时间段的访问次数的加权平均值；

比较所述加权平均值与预设的第一访问次数阈值，当所述加权平均值大于预设的第一访问次数阈值时，判定所述IP地址属于恶意访问。

作为更优选地，所述加权平均值的计算公式为：

其中，Q为所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均值；n为子时间段的序号，与当前时间T0的时间差越大的子时间段，n的值越大，1≤n≤N；q_n为第n个时间段的访问次数；f(n)为第n个时间段所配置的访问次数权重值，且f(n)为减函数。

作为更优选地，f(n)＝(2/3)^n-1。

作为更优选地，所述恶意访问的判断方法还包括：

当所述加权平均值小于预设的第一访问次数阈值时，获取所述IP地址在第二时间段内的访问次数；所述第二时间段为过去时刻T2到当前时间T0之间的时间段；

比较所述IP地址在第二时间段内的访问次数与预设的第二访问次数阈值，当在所述第二时间段内的访问次数大于所述第二访问次数阈值时，判定所述IP地址属于恶意访问。