一种异常IP确定方法、装置、电子设备及存储介质与流程

本技术涉及计算机，尤其涉及一种异常ip确定方法、装置、电子设备及存储介质。

背景技术：

1、目前，一般依赖于硬件网络防火墙或网站应用级入侵防御系统(web applicationfirewall，waf)防火墙实现确定异常ip地址的过程，从而阻断该异常ip地址的访问。

2、但是，上述方法中，硬件网络防火墙或waf防火墙价格昂贵，灵活性较低，可能不能方便、快捷地确定出异常ip地址。

技术实现思路

1、本技术提供一种异常ip确定方法、装置、电子设备及存储介质，解决了相关技术中硬件网络防火墙或waf防火墙价格昂贵，灵活性较低，可能不能方便、快捷地确定出异常ip地址的技术问题。

2、第一方面，本技术提供一种异常ip确定方法，包括：获取多个日志信息，其中，一个日志信息中包括一个ip地址；基于多个ip地址以及至少一个访问规则中每个访问规则包括的访问条件，确定该多个ip地址中每个ip地址在该每个访问规则中的规则得分，该多个ip地址为该多个日志信息中包括的ip地址；基于该每个ip地址在该每个访问规则中的规则得分，确定该每个ip地址对应的访问得分；将该多个ip地址中对应的访问得分大于或等于得分阈值的ip地址，确定为异常ip地址。

3、可选地，上述至少一个访问规则包括关键字访问规则、时间访问规则、业务类型访问规则、请求方法访问规则、域名访问规则、响应码访问规则以及数据大小访问规则中的一项或多项，该关键字访问规则中包括的访问条件用于确定一个日志信息中是否包括预设关键字，该时间访问规则中包括的访问条件用于确定一个日志信息中包括的访问时间是否位于异常时间区间以内，该业务类型访问规则中包括的访问条件用于确定一个日志信息对应的业务类型的数量，该请求方法访问规则中包括的访问条件用于确定一个日志信息对应的请求方法是否错误，该域名访问规则中包括的访问条件用于确定一个日志信息中包括的域名是否为异常域名，该响应码访问规则中包括的访问条件用于确定一个日志信息对应的响应码是否为异常响应码，该数据大小访问规则中包括的访问条件用于确定一个日志信息对应的数据大小。

4、可选地，上述至少一个访问规则中包括该数据大小访问规则，上述基于多个ip地址以及至少一个访问规则中每个访问规则包括的访问条件，确定该多个ip地址中每个ip地址在该每个访问规则中的规则得分具体包括：当第一日志信息对应的数据大小大于第一数据大小阈值，并且该第一日志信息信息对应的数据大小小于或等于第二数据大小阈值时，确定第一ip地址在该数据大小访问规则中的规则得分为第一数值，该第一日志信息为该多个日志信息中的一个，该第一ip地址为该第一日志信息中包括的ip地址，该第一数据大小阈值小于该第二数据大小阈值；当该第一日志信息对应的数据大小大于该第二数值阈值时，确定该第一ip地址在该数据大小访问规则中的规则得分为第二数值，该第二数值大于该第一数值。

5、可选地，上述基于该每个ip地址在该每个访问规则中的规则得分，确定该每个ip地址对应的访问得分具体包括：为该每个访问规则分配权重参数；基于该每个ip地址在该每个访问规则中的规则得分以及该每个访问规则对应的权重参数，确定该每个ip地址对应的访问得分。

6、第二方面，本技术提供一种异常ip确定装置，包括：获取模块和确定模块；该获取模块，用于获取多个日志信息，其中，一个日志信息中包括一个ip地址；该确定模块，用于基于多个ip地址以及至少一个访问规则中每个访问规则包括的访问条件，确定该多个ip地址中每个ip地址在该每个访问规则中的规则得分，该多个ip地址为该多个日志信息中包括的ip地址；该确定模块，还用于基于该每个ip地址在该每个访问规则中的规则得分，确定该每个ip地址对应的访问得分；该确定模块，还用于将该多个ip地址中对应的访问得分大于或等于得分阈值的ip地址，确定为异常ip地址。

7、可选地，上述至少一个访问规则包括关键字访问规则、时间访问规则、业务类型访问规则、请求方法访问规则、域名访问规则、响应码访问规则以及数据大小访问规则中的一项或多项，该关键字访问规则中包括的访问条件用于确定一个日志信息中是否包括预设关键字，该时间访问规则中包括的访问条件用于确定一个日志信息中包括的访问时间是否位于异常时间区间以内，该业务类型访问规则中包括的访问条件用于确定一个日志信息对应的业务类型的数量，该请求方法访问规则中包括的访问条件用于确定一个日志信息对应的请求方法是否错误，该域名访问规则中包括的访问条件用于确定一个日志信息中包括的域名是否为异常域名，该响应码访问规则中包括的访问条件用于确定一个日志信息对应的响应码是否为异常响应码，该数据大小访问规则中包括的访问条件用于确定一个日志信息对应的数据大小。

8、可选地，上述至少一个访问规则中包括该数据大小访问规则；该确定模块，具体用于当第一日志信息对应的数据大小大于第一数据大小阈值，并且该第一日志信息信息对应的数据大小小于或等于第二数据大小阈值时，确定第一ip地址在该数据大小访问规则中的规则得分为第一数值，该第一日志信息为该多个日志信息中的一个，该第一ip地址为该第一日志信息中包括的ip地址，该第一数据大小阈值小于该第二数据大小阈值；该确定模块，还具体用于当该第一日志信息对应的数据大小大于该第二数值阈值时，确定该第一ip地址在该数据大小访问规则中的规则得分为第二数值，该第二数值大于该第一数值。

9、可选地，该异常ip确定装置还包括处理模块；该处理模块，用于为该每个访问规则分配权重参数；该确定模块，具体用于基于该每个ip地址在该每个访问规则中的规则得分以及该每个访问规则对应的权重参数，确定该每个ip地址对应的访问得分。

10、第三方面，本技术提供一种电子设备，包括：处理器和被配置为存储处理器可执行指令的存储器；其中，处理器被配置为执行所述指令，以实现上述第一方面中任一种可选地异常ip确定方法。

11、第四方面，本技术提供一种计算机可读存储介质，计算机可读存储介质上存储有指令，当该计算机可读存储介质中的指令由电子设备执行时，使得该电子设备能够执行上述第一方面中任一种可选地异常ip确定方法。

12、本技术提供的异常ip确定方法、装置、电子设备及存储介质电子设备可以获取多个日志信息，并且基于多个ip地址(即该多个日志信息中包括的ip地址)以及至少一个访问规则中每个访问规则包括的访问条件，确定该多个ip地址中每个ip地址在该每个访问规则中的规则得分；之后电子设备可以基于该每个ip地址在该每个访问规则中的规则得分确定该每个ip地址对应的访问得分；最终将该多个ip地址中对应的访问得分大于或等于得分阈值的ip地址确定为异常ip地址。本技术中，当多个ip地址中的某一个ip地址对应的访问得分大于或等于得分阈值时，说明该ip地址在至少一个访问规则中的规则得分较大，即该ip地址可能已经命中了该至少一个访问规则中较多的访问规则(具体为访问规则中包括的访问条件)。此时电子设备将该ip地址确定为异常ip地址，能够方便、快捷地确定出异常ip地址，提升了异常ip确定的有效性。