黑名单用户识别方法、装置、计算机设备及存储介质与流程

本申请涉及数据处理技术领域，尤其涉及一种黑名单用户识别方法、装置、计算机设备及存储介质。

背景技术：

现有的黑名单技术，一般是在用户的整个网上操作流程结束，并人为检索用户操作发现恶意操作后，相关的部门才采取措施，将用户加入黑名单，限制该黑名单用户将来的网上操作。但是，首先，由于用户量大和用户操作频繁，需要检索的用户的网上操作的数据量十分庞大，人为检查需要消耗大量的时间成本，且很容易漏查，效率低；其次，恶意操作发生之后才能采取措施，比较被动，无法消除恶意操作带来的恶意影响。

技术实现要素：

本申请实施例提供一种黑名单用户识别方法、装置、计算机设备及存储介质，可智能识别用户是否为黑名单用户，提高黑名单用户识别的效率和准确率。

第一方面，本申请实施例提供了一种黑名单用户识别方法，该方法包括：

接收用户请求，所述用户请求中包括有用户参数；根据用户参数中的用户标识信息在预存的黑名单数据库中查询是否存在所述用户，其中，所述预存的黑名单数据库中包括黑名单用户和可疑用户；若所述黑名单数据库中存在所述用户，判断所述用户是黑名单用户还是可疑用户；若所述用户为可疑用户，将所述用户登陆的次数加一后作为所述用户当前登陆的次数；判断所述用户当前登陆的次数是否达到预设次数；若所述用户当前登陆的次数未达到预设次数，返回执行所述接收用户请求的步骤；若所述用户当前登陆的次数达到预设次数，确定所述用户为黑名单用户，将所述用户的被禁用时间设置为预设的禁用时间。

第二方面，本发明实施例提供了一种黑名单用户识别装置，该黑名单用户识别装置包括用于执行上述第一方面所述的方法对应的单元。

第三方面，本发明实施例提供了一种计算机设备，所述计算机设备包括存储器，以及与所述存储器相连的处理器；

所述存储器用于存储计算机程序，所述处理器用于运行所述存储器中存储的计算机程序，以执行上述第一方面所述的方法。

第四方面，本发明实施例提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时，实现上述第一方面所述的方法。

本申请实施例在当前用户是可疑用户的基础上，若当前用户的当前登陆次数达到预设次数时，确定为黑名单用户。本申请实施例可智能识别用户是否为黑名单用户，提高了黑名单用户识别的效率和准确率。

附图说明

图1是本申请实施例提供的黑名单用户识别方法的应用场景示意图；

图2是本申请实施例提供的黑名单用户识别方法的流程示意图；

图3是本申请实施例提供的黑名单用户识别方法的子流程示意图；

图4是本申请实施例提供的黑名单用户识别方法的子流程示意图；

图5是本申请实施例提供的黑名单用户识别方法的另一子流程示意图；

图6是本申请实施例提供的黑名单用户识别装置的示意性框图；

图7是本申请实施例提供的可疑判断单元的示意性框图；

图8是本申请实施例提供的行为判断单元的示意性框图；

图9是本申请另一实施例提供的黑名单用户识别装置的示意性框图；

图10是本申请实施例提供的计算机设备的示意性框图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

图1是本申请实施例提供的黑名单用户识别方法的应用场景示意图。如图1所示的应用场景中，包括终端和服务器端。其中，黑名单用户识别方法应用于服务器端，该服务器端可以集成本申请实施例中的任意黑名单用户识别装置。该终端和服务器端可以为台式电脑、平板电脑、智能手机等设备，在此不做具体限制。该终端和服务器端可以互相通信。在图1中，终端和服务器均为一个，可以理解地，在实际应用过程中，终端和服务器均可以有更多个。

在图1中，终端向服务器端发送用户请求，服务器端接收到用户请求后，根据用户请求来识别该用户是否为黑名单用户。

下面将结合说明书附图对本申请中应用于服务器端的黑名单用户识别方法做详细地介绍。

图2是本申请实施例提供的黑名单用户识别方法的流程示意图。如图2所示，该方法包括s201-s210。

s201，接收用户请求，所述用户请求中包括有用户参数、请求参数。

其中，用户参数中包括用户ip、用户标识信息等，请求参数中包括请求url。所述请求参数中还包括所需要请求的业务(所需要请求的业务名称或者编号)，所需要请求的系统(所需要请求的系统名称或者编号)等。如用户请求的是贷款系统中的资质认证业务等。用户标识信息以用来标识用户，可以是用户名、密码，还可以是手机号、验证码，还可以是包含有用户信息的二维码等。

s202，根据用户参数中的用户标识信息在预存的黑名单数据库中查询是否存在所述用户，其中，所述预存的黑名单数据库中包括黑名单用户和可疑用户。

若在预存的黑名单数据库中存在所述用户，执行步骤s203；若在预存的黑名单数据库中不存在所述用户，执行步骤s206。

预存的黑名单数据库中存储了大量的可疑用户的数据和黑名单用户的数据。一个可疑用户或者一个黑名单用户对应一条数据。每条数据中包括用户标识、用户ip、登陆的次数、请求url、被禁用时间，失效时间，所需要请求的业务，所需要请求的系统等。其中，被禁用时间指的是在当前时刻，当前该条数据所对应的用户还需被禁用的时间；失效时间指的是该条数据所对应的用户可能被解禁的时间，用日期表示，可以具体到秒；所需要请求的业务指的是该条数据涉及到哪个业务可能被攻击；所需要请求的系统指的是该条数据所涉及到的哪个系统可能被攻击。根据用户参数中的用户标识信息在预存的黑名单数据库中查询是否存在所述用户，即在预存的黑名单数据库中查询是否有与用户参数中的用户标识信息相匹配的用户标识信息。若有相匹配的用户标识信息，意味着黑名单数据库中存在所述用户；若没有相匹配的用户标识信息，则意味着黑名单数据库中不存在所述用户。即黑名单查询结果有两种，一种是在黑名单数据库中查找到与所述用户标识信息对应的黑名单数据，那么所述用户请求所对应的用户要么是可疑用户，要么是黑名单用户；另一种是未在黑名单数据库中查找到与用户标识信息对应的数据，那么所述用户请求所对应的用户是安全用户或者是潜在可疑用户。

在一实施例中，若预存的黑名单数据库中的数据量很大，那么可根据用户标识或者用户的ip等建立索引，在查询时根据索引来进行查询，可加快查询的速度。

s203，判断所述用户是否为黑名单用户，即判断所述用户是黑名单用户还是可疑用户。

即若所述黑名单数据库中存在所述用户，判断所述用户是黑名单用户还是可疑用户。由于所述黑名单数据库中包括有可疑用户和黑名单用户，因此需要进一步判断所述用户是黑名单用户还是可疑用户。若所述用户是黑名单用户，执行步骤s204；若所述用户为可疑用户，执行步骤s205。

在一实施例中，步骤s203包括：判断所述用户的被禁用时间是否为空或者为零；若所述用户的被禁用时间为空或者为零，确定所述用户为可疑用户；若所述用户的被禁用时间为非零，确定所述用户为黑名单用户。或者也可以根据用户标识信息来进行判断，如用户标识信息中的用户类型可以用0和1、或者yes和no等来进行表示。如用0表示黑名单用户，用1表示可疑用户；用yes表示黑名单用户，用no标识可疑用户。若获取用户标识信息中的用户类型为yes，则确定所述用户为黑名单用户。

s204，根据被禁用时间和预设的禁用时间确定所述用户的当前被禁用时间，并将所述用户的被禁用时间设置为当前被禁用时间。

若所述用户已经属于黑名单用户，获取该条黑名单用户数据中的被禁用时间。若该被禁用时间用天数来表示，那么该被禁用时间指的是上一次该用户被禁用后，在当前时刻还剩余的禁用时间。可以理解地，被禁用时间随着时间的流逝而减少，如今天被禁用，被禁用时间为三天，那么过完一天，就将被禁用时间减少一天。预设的禁用时间也用天数表示，将上一次禁用后还剩余的禁用时间(被禁用时间)加上预设的禁用时间(本次被禁用的时间)作为所述用户的当前被禁用时间，并将该用户所对应的黑名单数据中的被禁用时间设置为当前被禁用时间。若被禁用时间用日期来表示，如当前系统日期为2017.12.1，获取该条黑名单用户数据中的被禁用时间为2017.12.3号，预设的禁用时间用天数表示，如2天，那么确定所述用户的当前被禁用时间为2017.12.5，并将该用户所对应的黑名单数据中的被禁用时间设置为当前被禁用时间，即2017.12.5。其中，日期可具体到秒。

可以理解地，若所述用户本来就是黑名单用户，可还是接收到该用户的用户请求，那么可延长该用户的被禁用时间，以防止多次接收到该用户的请求。

s205，将所述用户登陆的次数加一后作为所述用户当前登陆的次数。

即若所述用户属于可疑用户，将该可疑用户所对应的用户登陆的次数加1，作为该可疑用户所对应的当前登陆的次数。接着执行步骤s209。

s206，根据用户参数或者请求参数来确定所述用户是否为潜在可疑用户。

即若在预存的黑名单数据库中不存在所述用户，那么需要根据用户参数或者请求参数来确定所述用户是安全用户还是潜在可疑用户。若所述用户为安全用户，执行步骤s207；若所述用户为潜在可疑用户，执行步骤s208。

在一实施例中，如图3所示，步骤s206包括以下步骤s301-s303。

s301，根据用户参数或者请求参数来判断所述用户请求中是否存在攻击行为或者地址跳跃行为。其中，地址跳跃行为可理解为同一用户在一次连续的多个请求中使用了不同的ip地址。

在一实施例中，如图4所示，步骤s301包括以下步骤s401-s404。

s401，获取所述请求参数中的请求url。

s402，判断请求url中是否具有恒成立的条件。

s403，若请求url中具有恒成立的条件，确定所述用户请求中存在攻击行为。

s404，若请求url中不具有恒成立的条件，确定所述用户请求中不存在攻击行为。

如用户请求中存在有如下编码：<script>,？1＝1,or0<1等，在该编码中，1＝1，0<1是恒成立的条件，若用户请求中具有恒成立的条件，那么确定所述用户请求不合法，即所述用户请求中存在攻击行为。

需要注意的是，在其他实施例中，还可以通过其他的方式来判断所述用户请求中是否存在攻击行为。

在一实施例中，如图5所示，步骤s301包括以下步骤s501-s504。

s501，获取根据所述用户ip和用户标识信息生成的令牌信息。

若用户登陆服务器后，服务器端根据用户ip和用户标识信息生成令牌信息。如使用消息摘要算法，对用户ip和用户标识信息进行处理，以得到令牌信息。

s502，根据所述用户请求中的用户标识信息和用户ip来验证令牌信息。

获取服务器端根据用户ip和用户标识信息生成的令牌信息后，在下一次产生用户请求，根据用户请求中的用户标识信息和用户ip来验证令牌信息。如利用相同的消息摘要算法，对用户请求中的用户标识信息和用户ip进行处理，以得到处理结果；将处理结果与获取的令牌信息进行比对；若处理结果与获取的令牌信息完全相同，则确定令牌信息通过验证；若处理结果与获取的令牌信息不相同，则确定令牌信息未通过验证。

s503，若令牌信息未通过验证，则确定所述用户请求中存在地址跳跃行为。

若令牌信息未通过验证，则确定所述用户请求中存在地址跳跃行为。可以理解为，若同一个用户在一次连续的请求中使用多个ip，则认为不合法，即存在地址跳跃行为。如贷款申请，同一个用户在申请贷款的流程中，分别用了3个不同的ip，如用户走abc三个流程，分别使用xyz三个ip，那可能是有代理ip或者ip被代理商篡改的情况，则认为不合法。

s504，若令牌信息通过验证，则确定所述用户请求中不存在地址跳跃行为。

若令牌信息通过验证，则确定用户请求中的用户ip是正常的，不存在修改的情况，那么确定所述用户请求中不存在地址跳跃行为。

需要注意的是，在其他实施例中，还可以通过其他的方式来判断所述用户请求中是否存在有地址跳跃行为。

s302，若所述用户请求中存在攻击行为或者地址跳跃行为，确定所述用户为潜在可疑用户。

即若用户请求中存在攻击行为或者地址跳跃行为，则确定所述用户为潜在可疑用户。将所述用户确定为潜在可疑用户，而非直接将所述用户视为黑名单用户，是为了防止误判。

s303，若所述用户请求中不存在攻击行为和地址跳跃行为，确定所述用户为安全用户。

在其他实施例中，还可以使用其他的方式还判断所述用户是否为潜在可疑用户。

s207，响应用户请求。即若所述用户为安全用户，及时响应用户请求。

s208，将所述用户请求所对应的信息作为一条数据添加至所述黑名单数据库中，并将所述用户当前登陆的次数置为1。接着执行步骤s209。

即若所述用户为潜在可疑用户，将所述用户请求所对应的信息作为一条数据添加到预设的黑名单数据库中，如此所述用户即视为可疑用户；同时将登陆的次数置为1。

s209，判断所述用户当前登陆的次数是否达到预设次数。

其中，预设次数可设置为3次等。若所述用户当前登陆的次数达到预设次数，执行步骤s210；若所述用户当前登陆的次数未达到预设次数，执行步骤s201，以接着接收用户请求并进行处理。

s210，确定所述用户为黑名单用户，将所述用户的被禁用时间设置为预设的禁用时间。

即若用户的当前登陆的次数达到预设次数，确定所述用户为黑名单用户，并设置所述黑名单用户所对应的被禁用时间，即将预设的禁用时间设置为所述黑名单用户所对应的被禁用时间。

以上步骤中，若确定所述用户为可疑用户，那么仍然响应用户请求，并将该用户请求的次数加一以判断所述用户请求的次数是否超过预设次数，若超过预设次数，则将该用户禁用；若确定所述用户为黑名单用户，则将该用户禁用，即不响应用户请求，且向该用户返回提示信息，以提醒该用户。

以上方法实施例实现自动识别黑名单，包括自动识别可疑用户等，以及设置黑名单用户的被禁用时间，实现黑名单的自动锁定功能，减少了人为判断的错误率和时间成本，提高了黑名单用户识别的效率和准确率。

在本申请另一实施例中，若是根据被禁用时间来判断所述用户是黑名单用户还是可疑用户，所述方法实施例除了包括图2所示实施例的所有步骤外，所述方法实施例还包括以下步骤：

检测所述黑名单数据库中每条数据的被禁用时间是否到期；若存在有被禁用时间到期的数据，则将到期的该条数据从所述黑名单数据库中删除；或者将到期的该条数据的被禁用时间设置为空或者为零，且将登陆的次数设置为空或者设置为零。

若所述黑名单数据库中的被禁用时间用天数表示，到期可以理解为，当前被禁用时间所对应的天数达到了设置的被禁用的时间天数或者当前被禁用的时间天数随着时间的流逝而减少到零。若被禁用时间用日期来表示，到期可以理解为，当前被禁用的时间日期到了被禁用时间所对应的日期，可具体到秒。

若存在有被禁用时间到期的数据，那么将该条数据解禁。解禁的方法有两种：一，将该条数据所对应的用户设置为安全用户，即将该条数据从所述黑名单数据库中删除。二，将该条数据所对应给的用户设置为可疑用户，即将到期的该条数据的被禁用时间设置为空或者为零，且将登陆的次数设置为空或者设置为零。第二种可以理解地，若该条数据所对应的用户曾经为黑名单用户，那么该用户再次为黑名单用户的概率还是极高的，因此，解禁后将该条数据所对应的用户设置为可疑用户。

该方法实施例实现了黑名单的解禁功能，响应解禁用户的用户请求。

在一些实施例中，若是根据用户标识信息来进行判断所述用户是黑名单用户还是可疑用户，那么若存在有被禁用时间到期的数据，则将到期的该条数据从所述黑名单数据库中删除；或者将用户标识信息中的用户类型设置为可疑用户类型。

图6是本申请实施例提供的黑名单用户识别装置的示意性框图。该装置包括用于执行上述黑名单用户识别方法所对应的单元。具体地，如图6所示，该装置60包括接收单元601、查询单元602、用户判断单元603、时间设置单元604、次数相加单元605、可疑判断单元606、响应单元607、保存相加单元608、次数判断单元609以及确定设置单元610。

接收单元601，用于接收用户请求，所述用户请求中包括有用户参数、请求参数。

查询单元602，用于根据用户参数中的用户标识信息在预存的黑名单数据库中查询是否存在所述用户，其中，所述预存的黑名单数据库中包括黑名单用户和可疑用户。

用户判断单元603，用于若所述黑名单数据库中存在所述用户，判断所述用户是黑名单用户还是可疑用户。在一实施例中，用户判断单元603包括禁用时间判断单元、用户确定单元。其中，禁用时间判断单元，用于判断所述用户的被禁用时间是否为空或者为零；用户确定单元，用于若所述用户的被禁用时间为空或者为零，确定所述用户为可疑用户；用户确定单元，还用于若所述用户的被禁用时间为非零，确定所述用户为黑名单用户。

时间设置单元604，用于若所述用户为黑名单用户，根据被禁用时间和预设的禁用时间确定所述用户的当前被禁用时间，并将所述用户的被禁用时间设置为当前被禁用时间。

次数相加单元605，用于若所述用户为可疑用户，将所述用户登陆的次数加一后作为所述用户当前登陆的次数。接着触发次数判断单元609。

可疑判断单元606，用于若所述黑名单数据库中不存在所述用户，根据用户参数或者请求参数来确定所述用户是否为潜在可疑用户。

在一实施例中，如图7所示，可疑判断单元606包括行为判断单元701、可疑确定单元702。其中，行为判断单元701，用于根据用户参数或者请求参数来判断所述用户请求中是否存在攻击行为或者地址跳跃行为。可疑确定单元702，用于若所述用户请求中存在攻击行为或者地址跳跃行为，确定所述用户为潜在可疑用户。可疑确定单元702，还用于若所述用户请求中不存在攻击行为和地址跳跃行为，确定所述用户为安全用户。

在一实施例中，如图8所示，行为判断单元701包括地址获取单元801、条件判断单元802、行为确定单元803、令牌获取单元804以及令牌验证单元805。其中，地址获取单元801，用于获取所述请求参数中的请求url。条件判断单元802，用于判断请求url中是否具有恒成立的条件。行为确定单元803，用于若请求url中具有恒成立的条件，确定所述用户请求中存在攻击行为；以及用于若请求url中不具有恒成立的条件，确定所述用户请求中不存在攻击行为。令牌获取单元804，用于获取根据所述用户ip和用户标识信息生成的令牌信息。令牌验证单元805，用于根据所述用户请求中的用户标识信息和用户ip来验证令牌信息。行为确定单元803，还用于若令牌信息未通过验证，则确定所述用户请求中存在地址跳跃行为；以及还用于若令牌信息通过验证，则确定所述用户请求中不存在地址跳跃行为。

响应单元607，用于若所述用户为安全用户，响应用户请求。

保存相加单元608，用于若所述用户为潜在可疑用户，将所述用户请求所对应的信息作为一条数据添加至所述黑名单数据库中，并将所述用户当前登陆的次数置为1。即将所述用户视为所述黑名单数据库中的可疑用户，接着触发次数判断单元609。

次数判断单元609，用于判断所述用户当前登陆的次数是否达到预设次数。

确定设置单元610，用于若所述用户当前登陆的次数未达到预设次数，触发接收单元601；若所述用户当前登陆的次数达到预设次数，确定所述用户为黑名单用户，将所述用户的被禁用时间设置为预设的禁用时间。

图9是本申请另一实施例提供的黑名单用户识别装置的示意性框图。如图9所示，该装置90包括接收单元901、查询单元902、用户判断单元903、时间设置单元904、次数相加单元905、可疑判断单元906、响应单元907、保存相加单元908、次数判断单元909、确定设置单元910、时间检测单元911、解禁单元912。该实施例与图6所示的实施例的区别在于：增加了时间检测单元911、解禁单元912。下面就介绍时间检测单元911、解禁单元912，其他单元请参看图6实施例中的描述。

时间检测单元911，用于检测所述黑名单数据库中每条数据的被禁用时间是否到期。

解禁单元912，用于若存在有被禁用时间到期的数据，则将到期的该条数据从所述黑名单数据库中删除；或者将到期的该条数据的被禁用时间设置为空或者为零，且将登陆的次数设置为空或者设置为零。

在一实施例中，解禁单元912，用于若存在有被禁用时间到期的数据，则将到期的该条数据从所述黑名单数据库中删除；或者将用户标识信息中的用户类型设置为可疑用户类型。

需要说明的是，所属领域的技术人员可以清楚地了解到，上述装置和各单元的具体实现过程，可以参考前述方法实施例中的相应描述，为了描述的方便和简洁，在此不再赘述。

上述装置可以实现为一种计算机程序的形式，计算机程序可以在如图10所示的计算机设备上运行。

图10为本申请实施例提供的一种计算机设备的示意性框图。该设备为服务器等。该设备100包括通过系统总线101连接的处理器102、存储器和网络接口103，其中，存储器可以包括非易失性存储介质104和内存储器105。

该非易失性存储介质104可存储操作系统1041和计算机程序1042。该非易失性存储介质中所存储的计算机程序1042被处理器102执行时，可实现上述服务器中所述的黑名单用户识别方法。该处理器102用于提供计算和控制能力，支撑整个设备100的运行。该内存储器105为非易失性存储介质中的计算机程序的运行提供环境，该计算机程序被处理器102执行时，可使得处理器102执行上述服务器中所述的黑名单用户识别方法。该网络接口103用于进行网络通信。本领域技术人员可以理解，图10中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的设备100的限定，具体的设备100可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

其中，所述处理器102用于运行存储在存储器中的计算机程序，以实现如下步骤：

接收用户请求，所述用户请求中包括有用户参数；根据用户参数中的用户标识信息在预存的黑名单数据库中查询是否存在所述用户，其中，所述预存的黑名单数据库中包括黑名单用户和可疑用户；若所述黑名单数据库中存在所述用户，判断所述用户是黑名单用户还是可疑用户；若所述用户为可疑用户，将所述用户登陆的次数加一后作为所述用户当前登陆的次数；判断所述用户当前登陆的次数是否达到预设次数；若所述用户当前登陆的次数未达到预设次数，返回执行所述接收用户请求的步骤；若所述用户当前登陆的次数达到预设次数，确定所述用户为黑名单用户，将所述用户的被禁用时间设置为预设的禁用时间。

在一实施例中，所述用户请求还包括请求参数，所述处理器102还具体实现如下步骤：

若所述黑名单数据库中不存在所述用户，根据所述用户参数或者所述请求参数来确定所述用户是否为潜在可疑用户；若所述用户为潜在可疑用户，将所述用户请求所对应的信息作为一条数据添加至所述黑名单数据库中，并将所述用户当前登陆的次数置为1；接着执行判断所述用户当前登陆的次数是否达到预设次数的步骤。

在一实施例中，所述处理器102在执行所述根据所述用户参数或者所述请求参数来确定所述用户是否为潜在可疑用户的步骤时，具体实现如下步骤：

根据所述用户参数或者所述请求参数来判断所述用户请求中是否存在攻击行为或者地址跳跃行为；若所述用户请求中存在攻击行为或者地址跳跃行为，确定所述用户为潜在可疑用户。

在一实施例中，所述请求参数中包括请求url，所述用户参数中包括用户ip、用户标识信息；所述处理器102在执行所述根据所述用户参数或者所述请求参数来判断所述用户请求中是否有攻击行为或者地址跳跃行为的步骤时，具体实现如下步骤：

获取所述请求参数中的请求url；判断请求url中是否具有恒成立的条件；若请求url中具有恒成立的条件，确定所述用户请求中存在攻击行为；或者

获取根据所述用户ip和用户标识信息生成的令牌信息；根据所述用户请求中的用户标识信息和用户ip来验证令牌信息；若令牌信息未通过验证，则确定所述用户请求中存在地址跳跃行为。

在一实施例中，所述处理器102还具体实现如下步骤：

若所述用户为黑名单用户，根据被禁用时间和预设的禁用时间确定所述用户的当前被禁用时间，并将所述用户的被禁用时间设置为当前被禁用时间。

在一实施例中，所述处理器102还具体实现如下步骤：

检测所述黑名单数据库中每条数据的被禁用时间是否到期；若存在有被禁用时间到期的数据，则将到期的该条数据从所述黑名单数据库中删除；或者将到期的该条数据的被禁用时间设置为空或者为零且将登陆的次数设置为空或者设置为零。

在一实施例中，所述处理器102在执行所述判断所述用户是黑名单用户还是可疑用户的步骤时，具体实现如下步骤：

判断所述用户的被禁用时间是否为空或者为零；若所述用户的被禁用时间为空或者为零，确定所述用户为可疑用户；若所述用户的被禁用时间为非零，确定所述用户为黑名单用户。

应当理解，在本申请实施例中，所称处理器102可以是中央处理单元(centralprocessingunit，cpu)，该处理器还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(应用程序licationspecificintegratedcircuit，asic)、现成可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成。该计算机程序可存储于一存储介质中，该存储介质可以为计算机可读存储介质。该计算机程序被该计算机系统中的至少一个处理器执行，以实现上述方法的实施例的流程步骤。

因此，本申请还提供了一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序，该计算机程序当被处理器执行时实现以下步骤：

接收用户请求，所述用户请求中包括有用户参数；根据用户参数中的用户标识信息在预存的黑名单数据库中查询是否存在所述用户，其中，所述预存的黑名单数据库中包括黑名单用户和可疑用户；若所述黑名单数据库中存在所述用户，判断所述用户是黑名单用户还是可疑用户；若所述用户为可疑用户，将所述用户登陆的次数加一后作为所述用户当前登陆的次数；判断所述用户当前登陆的次数是否达到预设次数；若所述用户当前登陆的次数未达到预设次数，返回执行所述接收用户请求的步骤；若所述用户当前登陆的次数达到预设次数，确定所述用户为黑名单用户，将所述用户的被禁用时间设置为预设的禁用时间。

在一实施例中，所述用户请求还包括请求参数，所述处理器还具体实现如下步骤：

若所述黑名单数据库中不存在所述用户，根据所述用户参数或者所述请求参数来确定所述用户是否为潜在可疑用户；若所述用户为潜在可疑用户，将所述用户请求所对应的信息作为一条数据添加至所述黑名单数据库中，并将所述用户当前登陆的次数置为1；接着执行判断所述用户当前登陆的次数是否达到预设次数的步骤。

在一实施例中，所述处理器在执行所述根据所述用户参数或者所述请求参数来确定所述用户是否为潜在可疑用户的步骤时，具体实现如下步骤：

根据所述用户参数或者所述请求参数来判断所述用户请求中是否存在攻击行为或者地址跳跃行为；若所述用户请求中存在攻击行为或者地址跳跃行为，确定所述用户为潜在可疑用户。

在一实施例中，所述请求参数中包括请求url，所述用户参数中包括用户ip、用户标识信息；所述处理器在执行所述根据所述用户参数或者所述请求参数来判断所述用户请求中是否有攻击行为或者地址跳跃行为的步骤时，具体实现如下步骤：

获取所述请求参数中的请求url；判断请求url中是否具有恒成立的条件；若请求url中具有恒成立的条件，确定所述用户请求中存在攻击行为；或者

获取根据所述用户ip和用户标识信息生成的令牌信息；根据所述用户请求中的用户标识信息和用户ip来验证令牌信息；若令牌信息未通过验证，则确定所述用户请求中存在地址跳跃行为。

在一实施例中，所述处理器还具体实现如下步骤：

若所述用户为黑名单用户，根据被禁用时间和预设的禁用时间确定所述用户的当前被禁用时间，并将所述用户的被禁用时间设置为当前被禁用时间。

在一实施例中，所述处理器还具体实现如下步骤：

检测所述黑名单数据库中每条数据的被禁用时间是否到期；若存在有被禁用时间到期的数据，则将到期的该条数据从所述黑名单数据库中删除；或者将到期的该条数据的被禁用时间设置为空或者为零且将登陆的次数设置为空或者设置为零。

在一实施例中，所述处理器在执行所述判断所述用户是黑名单用户还是可疑用户的步骤时，具体实现如下步骤：

判断所述用户的被禁用时间是否为空或者为零；若所述用户的被禁用时间为空或者为零，确定所述用户为可疑用户；若所述用户的被禁用时间为非零，确定所述用户为黑名单用户。

所述存储介质可以是u盘、移动硬盘、只读存储器(read-onlymemory，rom)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置、设备和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的装置、设备和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。