恶意访问的判断方法、拦截方法与装置的制造方法
【技术领域】
[0001] 本发明设及互联网安全技术领域,尤其设及一种恶意访问的判断方法、拦截方法 与装置。
【背景技术】
[0002] 网络应用被大批量的恶意访问,是一个很常见的问题;恶意程序短时间内大量访 问,可能导致服务器负载急剧升高,甚至停止响应;网络爬虫对冷数据的访问,也会给数据 库服务器带来额外的压力。
[0003] 目前,在判断一个IP地址是否属于恶意访问的通常的做法是统计所述IP地址在过 去的一段时间内的总的访问次数并与一个阔值比较,当超过所述阔值时则认为所述IP地址 属于恶意访问,并且采取对应的限制措施来限制该IP地址访问。
[0004] 但是运种做法只是一种笼统的判断方式,精确度不够,很有可能会造成误判。例 如,在过去的一段时间内,用户的账号被盗号,并且W高频率地访问服务器,用户在取回账 号后,恢复了正常的频率访问服务器,但是由于被盗号期间的访问次数过大,导致用户取回 账号后也依然被认为总的访问次数超过阔值,依然会受到限制,大大地影响了用户的体验。
【发明内容】
[0005] 本发明实施例提出一种恶意访问的判断方法、拦截方法与装置,能够提高判断恶 意访问的准确性,限制恶意访问的IP地址的访问,避免服务器负载过高,同时可W保证用户 有较好的体验。
[0006] 本发明实施例提供一种恶意访问的判断方法,包括:
[0007] 当接收到一个IP地址的访问请求时,确定第一时间段;所述第一时间段为过去时 刻T1到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个连续的子时间段;所 述N个子时间段分别被配置了不同的访问次数权重值,且与当前时间TO的时间差越大的子 时间段被配置的访问次数权重值越低;
[000引统计所述IP地址在每个子时间段的访问次数;
[0009] 根据所述IP地址在每个子时间段的访问次数W及每个子时间段被配置的访问次 数权重值,计算所述IP地址在每个子时间段的访问次数的加权平均值;
[0010] 比较所述加权平均值与预设的第一访问次数阔值,当所述加权平均值大于预设的 第一访问次数阔值时,判定所述IP地址属于恶意访问。
[0011] 作为更优选地,所述加权平均值的计算公式为:
[0012]
[0013]其中,Q为所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均 值;η为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,l<n^N;qn 为第η个时间段的访问次数;f (η)为第η个时间段所配置的访问次数权重值,且f (η)为减函 数。
[0014] 作为更优选地,f(n) = (2/3广1。
[0015] 作为更优选地,所述恶意访问的判断方法还包括:
[0016] 当所述加权平均值小于预设的第一访问次数阔值时,获取所述IP地址在第二时间 段内的访问次数;所述第二时间段为过去时刻T2到当前时间TO之间的时间段;
[0017] 比较所述IP地址在第二时间段内的访问次数与预设的第二访问次数阔值,当在所 述第二时间段内的访问次数大于所述第二访问次数阔值时,判定所述IP地址属于恶意访 问。
[0018] 作为更优选地,所述第二时间长度小于或等于所述第一时间段的任一个子时间段 的时间长度。
[0019] 作为更优选地,所述恶意访问的判断方法还包括:
[0020] 每当接收到一个IP地址的访问请求时,记录所述IP地址的登录时间,用W统计所 述IP地址在任一个时间段内的访问次数。
[0021] 相应地,本发明还提供一种恶意访问的判断装置,包括:
[0022] 时间段确定模块,用于当接收到一个IP地址的访问请求时,确定第一时间段;所述 第一时间段为过去时刻T1到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个 连续的子时间段;所述N个子时间段分别被配置了不同的访问次数权重值,且与当前时间TO 的时间差越大的子时间段被配置的访问次数权重值越低;
[0023] 第一访问次数统计模块,用于统计所述IP地址在每个子时间段的访问次数;
[0024] 加权值计算模块,用于根据所述IP地址在每个子时间段的访问次数W及每个子时 间段被配置的访问次数权重值,计算所述IP地址在每个子时间段的访问次数的加权平均 值;
[0025] 第一判定模块,比较所述加权平均值与预设的第一访问次数阔值,当所述加权平 均值大于预设的第一访问次数阔值时,判定所述IP地址属于恶意访问。
[0026] 作为更优选地,所述加权平均值的计算公式为:
[0027]
[0028] 其中,Q为所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均 值;η为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,l<n^N;qn 为第η个时间段的访问次数;f (η)为第η个时间段所配置的访问次数权重值,且f (η)为减函 数。
[0029] 作为更优选地,f (η) = (2/3广1。
[0030] 作为更优选地,所述恶意访问的判断装置还包括:
[0031] 第二访问次数统计模块,用于当所述加权平均值小于预设的第一访问次数阔值 时,统计所述IP地址在第二时间段内的访问次数;所述第二时间段为过去时刻Τ2到当前时 间TO之间的时间段;
[0032] 第二判定模块,用于比较所述IP地址在第二时间段内的访问次数与预设的第二访 问次数阔值,当在所述第二时间段内的访问次数大于所述第二访问次数阔值时,判定所述 IP地址属于恶意访问。
[0033] 作为更优选地,所述第二时间长度小于或等于所述第一时间段的任一个子时间段 的时间长度。
[0034] 作为更优选地,所述恶意访问的判断装置还包括:
[0035] 登录时间记录模块,用于每当接收到一个IP地址的访问请求时,记录所述IP地址 的登录时间,用W统计所述IP地址在任一个时间段内的访问次数。
[0036] 本发明另一实施例提供一种恶意访问的判断方法,包括:
[0037] 当接收到一个IP地址的访问请求时,确定第一时间段;所述第一时间段为过去时 刻T1到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个连续的子时间段;所 述N个子时间段分别被配置了不同的访问次数权重值,且与当前时间TO的时间差越大的子 时间段被配置的访问次数权重值越低;
[0038] 统计所述IP地址所在的网段在每个子时间段的访问次数;其中,所述网段由多个 IP地址组成;所述网段在某个子时间段的访问次数等于所述多个IP地址在该子时间段的访 问次数的总和;
[0039] 根据所述网段在每个子时间段的访问次数W及每个子时间段被配置的访问次数 权重值,计算所述网段在每个子时间段的访问次数的加权平均值;
[0040] 比较所述加权平均值与预设的第一访问次数阔值,当所述加权平均值大于预设的 第一访问次数阔值时,判定所述IP地址属于恶意访问。
[0041] 作为更优选地,所述加权平均值的计算公式为:
[0042]
[0043] 其中,Q为所述网段在所述第一时间段的每个子时间段的访问次数的加权平均值; η为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,1如^N;qn为第 η个时间段的访问次数;f(n)为第η个时间段所配置的访问次数权重值,且f(n)为减函数。
[0044] 作为更优选地,f(n) = (2/3)w。
[0045] 作为更优选地,所述恶意访问的判断方法还包括:
[0046] 当所述加权平均值小于预设的第一访问次数阔值时,获取所述网段在第二时间段 内的访问次数;所述第二时间段为过去时刻T2到当前时间TO之间的时间段;
[0047] 比较所述网段在第二时间段内的访问次数与预设的第二访问次数阔值,当在所述 第二时间段内的访问次数大于所述第二访问次数阔值时,判定所述IP地址属于恶意访问。 [004引作为更优选地,所述第二时间长度小于或等于所述第一时间段的任一个子时间段 的时间长度。
[0049] 作为更优选地,所述恶意访问的判断方法还包括:
[0050] 每当接收到一个IP地址的访问请求时,记录所述IP地址的登录时间,用W统计所 述IP地址在任一个时间段内的访问次数。
[0051] 相应地,本发明另一实施例还提供一种恶意访问的判断装置,包括:
[0052] 时间段确定模块,用于当接收到一个IP地址的访问请求时,确定第一时间段;所述 第一时间段为过去时刻T1到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个 连续的子时间段;所述N个子时间段分别被配置了不同的访问次数权重值,且与当前时间TO 的时间差越大的子时间段被配置的访问次数权重值越低;
[0053] 第一访问次数统计模块,用于统计所述IP地址在每个子时间段的访问次数;
[0054] 加权值计算模块,用于根据每个子时间段的访问次数W及被配置的访问次数权重 值,计算所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均值;
[0055] 第一判定模块,比较所述加权平均值与预设的第一访问次数阔值,当所述加权平 均值大于预设的第一访问次数阔值时,判定所述IP地址属于恶意访问。
[0056] 作为更优选地,所述加权平均值的计算公式为:
[0化7]
[005引其中,Q为所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均 值;η为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,l<n^N;qn 为第η个时间段的访问次数;f (η)为第η个时间段所配置的访问次数权重值,且f (η)为减函 数。
[0059] 作为更优选地,f(n) = (2/3)n-i。
[0060] 作为更优选地,所述恶意访问的判断装置还包括:
[0061] 第二访问次数统计模块