恶意访问的处理方法及装置与流程

本发明涉及网络访问的异常检测技术领域，尤其涉及一种恶意访问的处理方法及装置。

背景技术：

随着互联网和智能移动终端的迅猛发展，伴随着出现了智能终端上使用的各种应用，极大地方便了人们的生活。例如地图、叫车、外卖等等应用，均为人们的生活提供了很大的便利性。

现有技术中，各家公司为了抢占市场，会竞相开发于类似功能的应用产品。例如对于研发地图类软件的各家公司，都围绕用户的出行研发各种功能。如用户在查询实时公交时，可以通过智能终端向对应的应用申请获取公交动态数据，确定需要的公交信息。有时一家公司也可以通过使用竞品公司的地图应用请求竞品公司提供的公交动态数据，从而导致竞品公司的商业数据的流失。尤其是是在于移动网络时代，正常情况下，C段IP也会有大量的智能终端如手机经过基站同时接入，从而导致异常访问的IP的抓取比较困难。现在技术中，为了防止公司的实时公交动态数据经常被竞品抓取，通过检测访问请求的数量来确定，当发现某一时段的访问的数量异常升高，然后从中过滤出请求量最高的IP作为异常访问的恶意IP，然后将恶意IP放到访问的黑名单，拒绝再次访问。

但是，现有技术中，恶意访问的检测方式过于简单，导致很多正常访问的IP被误认为是异常访问的IP而被加入黑名单。因此，现有的恶意访问的检测效率较低。

技术实现要素：

本发明提供了一种恶意访问的处理方法及装置，用于提高现有技术中恶意访问的检测效率。

本发明提供一种恶意访问的处理方法，所述方法包括：

根据历史访问数据，挖掘各IP在预设访问周期内各时段的平均访问强度；

根据所述IP的实时请求日志，获取所述IP在当前访问周期内各所述时段的实时请求强度；

根据所述IP在所述预设访问周期内各所述时段的所述平均访问强度、以及所述IP在所述当前访问周期内各所述时段的所述实时请求强度，确定所述IP的访问是否为恶意访问。

进一步可选地，如上所述方法中，根据所述IP在所述预设访问周期内各所述时段的所述平均访问强度、以及所述IP在所述当前访问周期内各所述时段的所述实时请求强度，确定所述IP的访问是否为恶意访问，具体包括：

根据所述IP在所述预设访问周期内各所述时段的所述平均访问强度、以及所述IP在所述当前访问周期内各所述时段的所述实时请求强度，确定所述IP是否为可疑IP；

若所述IP为可疑IP，确定所述可疑IP的访问是否为恶意访问。

进一步可选地，如上所述方法中，确定所述可疑IP的访问是否为恶意访问之后，所述方法还包括：

若所述可疑IP的访问为恶意访问，将所述可疑IP加入黑名单。

进一步可选地，如上所述方法中，根据所述IP在所述预设访问周期内各所述时段的所述平均访问强度、以及所述IP在所述当前访问周期内各所述时段的所述实时请求强度，确定所述IP是否为可疑IP，具体包括：

根据所述IP在所述预设访问周期内各所述时段的所述平均访问强度，判断所述IP在所述当前访问周期内各所述时段的所述实时请求强度是否异常；

统计所述IP在所述当前访问周期内所述实时请求强度异常的时段的数量；

判断所述IP在所述当前访问周期内所述实时请求强度异常的时段的数量是否超出所述当前访问周期内的时段总数的预设比例阈值；

若是，确定所述IP为可疑IP；否则所述IP为非可疑IP。

进一步可选地，如上所述方法中，确定所述可疑IP的访问是否为恶意访问，具体包括：

根据所述当前访问周期内所述可疑IP请求实时数据最多的第二地理区域以及第一实时数据请求阈值，确定所述可疑IP的访问是否为恶意访问；

进一步地，根据所述当前访问周期内所述可疑IP请求实时数据最多的第二地理区域以及第一实时数据请求阈值，确定所述可疑IP的访问是否为恶意访问具体包括：

获取所述当前访问周期内所述可疑IP请求所述第二地理区域的实时数据的请求的数量；

判断所述数量是否大于所述第一实时数据请求阈值；

若是，确定所述可疑IP的访问为恶意访问。

进一步可选地，如上所述方法中，确定所述可疑IP的访问是否为恶意访问，具体包括：

根据所述可疑IP所归属的第一地理区域、所述当前访问周期内所述可疑IP请求实时数据最多的第二地理区域以及第二实时数据请求阈值，确定所述可疑IP的访问是否为恶意访问；

进一步地，根据所述可疑IP所归属的第一地理区域、所述当前访问周期内所述可疑IP请求实时数据最多的第二地理区域以及第二实时数据请求阈值，确定所述可疑IP是否为恶意访问，具体包括：

获取所述当前访问周期内所述可疑IP请求所述第二地理区域的实时数据的请求的数量；

判断所述数量是否大于所述第二实时数据请求阈值；

若是，进一步判断所述第一地理区域是否等于所述第二地理区域；

若不等于，确定所述可疑IP的访问为恶意访问。

进一步地，根据所述可疑IP所归属的第一地理区域、所述当前访问周期内所述可疑IP请求实时数据最多的第二地理区域以及第二实时数据请求阈值，确定所述可疑IP是否为恶意访问之前，所述方法还包括：

获取所述可疑IP所归属的所述第一地理区域；

根据所述可疑IP的实时请求日志，统计所述可疑IP在所述当前访问周期内请求的实时数据分别对应的地理区域，得到多个地理区域；

从所述多个地理区域中，获取所述可疑IP在所述当前访问周期内请求的实时数据最多的地理区域，作为所述第二地理区域。

进一步可选地，如上所述方法中，确定所述可疑IP的访问是否为恶意访问，具体包括：

确定所述当前访问周期内、所述可疑IP所归属的第一地理区域内的所有可疑IP的数量是否超出预设数量阈值；

若是，确定所述可疑IP以及所述第一地理区域内的所有其它可疑IP的访问均为恶意访问。

本发明还提供一种恶意访问的处理装置，所述装置包括：

挖掘模块，用于根据历史访问数据，挖掘各IP在预设访问周期内各时段的平均访问强度；

获取模块，用于根据所述IP的实时请求日志，获取所述IP在当前访问周期内各所述时段的实时请求强度；

确定模块，用于根据所述IP在所述预设访问周期内各所述时段的所述平均访问强度、以及所述IP在所述当前访问周期内各所述时段的所述实时请求强度，确定所述IP的访问是否为恶意访问。

进一步可选地，如上所述装置中，所述确定模块，具体包括：

可疑IP确定单元，用于根据所述IP在所述预设访问周期内各所述时段的所述平均访问强度、以及所述IP在所述当前访问周期内各所述时段的所述实时请求强度，确定所述IP是否为可疑IP；

恶意访问确定单元，用于若所述IP为可疑IP，确定所述可疑IP的访问是否为恶意访问。

进一步可选地，如上所述装置中，还包括：

处理模块，用于若所述可疑IP的访问为恶意访问，将所述可疑IP加入黑名单。

进一步可选地，如上所述装置中，所述可疑IP确定单元，具体用于：

根据所述IP在所述预设访问周期内各所述时段的所述平均访问强度，判断所述IP在所述当前访问周期内各所述时段的所述实时请求强度是否异常；

统计所述IP在所述当前访问周期内所述实时请求强度异常的时段的数量；

判断所述IP在所述当前访问周期内所述实时请求强度异常的时段的数量是否超出所述当前访问周期内的时段总数的预设比例阈值；

若是，确定所述IP为可疑IP；否则所述IP为非可疑IP。

进一步可选地，如上所述装置中，所述恶意访问确定单元，具体用于：根据所述当前访问周期内所述可疑IP请求实时数据最多的第二地理区域以及第一实时数据请求阈值，确定所述可疑IP的访问是否为恶意访问；

进一步地，所述恶意访问确定单元，具体用于：

获取所述当前访问周期内所述可疑IP请求所述第二地理区域的实时数据的请求的数量；

判断所述数量是否大于所述第一实时数据请求阈值；

若是，确定所述可疑IP的访问为恶意访问。

进一步可选地，如上所述装置中，所述恶意访问确定单元，具体用于：根据所述可疑IP所归属的第一地理区域、所述当前访问周期内所述可疑IP请求实时数据最多的第二地理区域以及第二实时数据请求阈值，确定所述可疑IP的访问是否为恶意访问；

进一步地，所述恶意访问确定单元，具体用于：

获取所述当前访问周期内所述可疑IP请求所述第二地理区域的实时数据的请求的数量；

判断所述数量是否大于所述第二实时数据请求阈值；

若是，判断所述第一地理区域是否等于所述第二地理区域；

若不等于，确定所述可疑IP的访问为恶意访问；

进一步地，所述恶意访问确定单元，具体还用于：

获取所述可疑IP所归属的所述第一地理区域；

根据所述可疑IP的实时请求日志，统计所述可疑IP在所述当前访问周期内请求的实时数据分别对应的地理区域，得到多个地理区域；

从所述多个地理区域中，获取所述可疑IP在所述当前访问周期内请求的实时数据最多的地理区域，作为所述第二地理区域。

进一步可选地，如上所述装置中，所述恶意访问确定单元，具体用于：

确定所述当前访问周期内、所述可疑IP所归属的第一地理区域内的所有可疑IP的数量是否超出预设数量阈值；

若是，确定所述可疑IP以及所述第一地理区域内的所有其它可疑IP的访问均为恶意访问。

本发明的恶意访问的处理方法及装置，通过根据历史访问数据，挖掘各IP在预设访问周期内各时段的平均访问强度；根据IP的实时请求日志，获取IP在当前访问周期内各时段的实时请求强度；根据IP在预设访问周期内各时段的平均访问强度、以及IP在当前访问周期内各时段的实时请求强度，确定IP的访问是否为恶意访问；与现有技术相比，本发明的技术方案，进一步丰富了恶意访问的检测条件，提高了恶意访问的检测效率和检测的准确性。

【附图说明】

图1为本发明的恶意访问的处理方法实施例的流程图。

图2为本发明的恶意访问的处理装置实施例一的结构图。

图3为本发明的恶意访问的处理装置实施例二的结构图。

【具体实施方式】

为了使本发明的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本发明进行详细描述。

图1为本发明的恶意访问的处理方法实施例的流程图。如图1所示，本实施例的恶意访问的处理方法，具体可以包括如下步骤：

100、根据历史访问数据，挖掘各IP在预设访问周期内各时段的平均访问强度；

本实施例的恶意访问的处理方法的执行主体可以为恶意访问的处理装置，本实施例的恶意访问处理方法具体可以应用在公交访问检测中，以防止恶意访问并窃取实时公交数据。因此，本实施例的恶意访问的处理装置可以设置在对应的用于管理公交数据的公交信息服务器中，用于对请求实时公交数据的IP进行分析和处理。首先，为了准确把握恶意访问的处理的IP的粒度，本实施例的IP优选为C段IP。

例如，为了便于统计，本实施例中可以设置预设访问周期为一天、一周或者一月等等，具体还可以根据其它需求灵活调整预设访问周期。预设访问周期的时段可以根据预设访问周期来设置，例如如果预设访问周期为一天，该预设访问周期内的时段可以按照每一小时或者两小时一个时段来划分。如果预设访问周期为一周，时段可以适当长一些，例如可以采用6小时、8小时、12小时或者24小时等等作为一时段。如果预设访问周期为一月，时段可以适当更长一些，例如，每24小时、36小时或者48小时作为一时段。

例如，本实施例中若取预设访问周期为一天，那么当前访问周期即为当天，具体可以每两小时划分一个时段，具体地，可以取1:00-3:00为一个时段、3:00-5:00、5:00-7:00、7:00-9:00、9:00-11:00等等，以此类推，可以将23:00-0：00以及0:00-1:00合并为一个时段。本实施例中的历史访问数据，可以为公交信息服务器中存储的当天之前的所有日期的历史访问数据。具体地，对于某IP在一个预设访问周期的某时段的平均访问强度，可以为该IP在过去的历史时间段内，每一个预设访问周期内该时段的历史访问强度之和的平均值。本实施例的访问强度即为访问频率。例如要计算每天中7:00-9:00这个时段的平均访问强度，若历史访问数据包括过去30天的数据，具体可以取30天的历史访问数据中每天7:00-9:00这个时段的历史访问强度的平均值，作为该IP在一天的访问周期内该时段的平均访问强度。

101、根据IP的实时请求日志，获取IP在当前访问周期内各时段的实时请求强度；

本实施例中的IP的实时请求日志具体指的是当天的当前访问周期的实施请求日志。该实时请求日志中记录有该IP在当前访问周期的每一次公交数据请求，具体地，按照时段对该IP的实时请求强度进行统计，从而得到该IP在当前访问周期内各时段的实时请求强度。

102、根据IP在预设访问周期内各时段的平均访问强度、以及IP在当前访问周期内各时段的实时请求强度，确定IP的访问是否为恶意访问。

本实施例中，预设访问周期是相对于历史访问数据而言的，如历史访问数据中，取没有特指某天的一天作为预设访问周期。而当前访问周期相对于当前要分析的实时请求日志而言的，如指的是本实施例中进行恶意访问的处理的当天或者前一天。为了保证当天的数据取的全面，若当前访问周期指的是本实施例中进行恶意访问的处理的当天，尽量在当天即将结束，实时请求的低峰时段进行。

本实施例的恶意访问的处理方法，通过根据历史访问数据，挖掘各IP在预设访问周期内各时段的平均访问强度；根据IP的实时请求日志，获取IP在当前访问周期内各时段的实时请求强度；根据IP在预设访问周期内各时段的平均访问强度、以及IP在当前访问周期内各时段的实时请求强度，确定IP的访问是否为恶意访问；与现有技术相比，本实施例的技术方案，进一步丰富了恶意访问的检测条件，提高了恶意访问的检测效率和检测的准确性。

进一步可选地，在上述实施例的技术方案的基础上，其中步骤102“根据IP在预设访问周期内各时段的平均访问强度、以及IP在当前访问周期内各时段的实时请求强度，确定IP的访问是否为恶意访问”，具体可以包括如下步骤：

(a1)根据IP在预设访问周期内各时段的平均访问强度、以及IP在当前访问周期内各时段的实时请求强度，确定IP是否为可疑IP；若IP为可疑IP，执行步骤(a2)；否则当IP为不可疑IP，暂不对该IP做任何处理。

(a2)确定可疑IP的访问是否为恶意访问；若可疑IP的访问为恶意访问，执行步骤(a3)；否则，暂时认为该IP的访问为正常访问；

(a3)将可疑IP加入黑名单，以拒绝该IP再次请求实时公交数据的访问。

进一步可选地，上述实施例中的步骤(a1)“根据IP在预设访问周期内各时段的平均访问强度、以及IP在当前访问周期内各时段的实时请求强度，确定IP是否为可疑IP”，具体可以包括如下步骤：

(b1)根据IP在预设访问周期内各时段的平均访问强度，判断IP在当前访问周期内各时段的实时请求强度是否异常；

(b2)统计IP在当前访问周期内实时请求强度异常的时段的数量；

(b3)判断IP在当前访问周期内实时请求强度异常的时段的数量是否超出当前访问周期内的时段总数的预设比例阈值；若是，确定IP为可疑IP；否则IP为非可疑IP。

由于预设访问周期和当前访问周期的长度时相同的，周期内时段划分的长度也是相同的，即预设访问周期包括的各时段与当前访问周期内的各时段是对应的。本实施例中，具体地，可以将该IP在预设访问周期内各时段的平均访问强度分别与该IP在当前访问周期内对应的时段的实时请求强度进行比对，确定该IP的访问是否为恶意访问。例如具体可以将预设访问周期(一天)的1:00-3:00、3:00-5:00、5:00-7:00、7:00-9:00、9:00-11:00等各时段的平均访问强度，分别与当前访问周期(待分析的当天)的1:00-3:00、3:00-5:00、5:00-7:00、7:00-9:00、9:00-11:00等各时段的实时请求强度进行比对，从而判断该IP在当前访问周期内各时段的实时请求强度是否异常。例如，对于该IP的某时段，具体可以通过判断该时段的实时请求强度是否超出平均请求强度的预设倍数，若超出预设倍数，可以认为该IP在当前访问周期内该时段的实时请求强度异常。其中的预设倍数可以为大于1的整数也可以为小数。通过该方式，可以判断各个时段的实时请求强度是否异常。然后统计该IP在当前访问周期内实时请求强度异常的时段的数量；并判断IP在当前访问周期内实时请求强度异常的时段的数量是否超出当前访问周期内的时段总数的预设比例阈值，例如可以根据实际需求设置预设比例阈值为70％，或者80％，或者其他比例值。若IP在当前访问周期内实时请求强度异常的时段的数量超出当前访问周期内的时段总数的预设比例阈值，确定IP为可疑IP。

进一步可选地，上述实施例中的步骤(a2)“确定可疑IP的访问是否为恶意访问”具体可以包括如下三种方式：

第一种方式为：根据当前访问周期内可疑IP请求实时数据最多的第二地理区域以及第一实时数据请求阈值，确定可疑IP的访问是否为恶意访问；

进一步地，该第一种方式的技术方案，具体可以包括如下步骤：

(c1)获取当前访问周期内可疑IP请求第二地理区域的实时数据的请求的数量；

(c2)判断数量是否大于第一实时数据请求阈值；若是，执行步骤(c3)；否则，执行步骤(c4)；

(c3)确定可疑IP的访问为恶意访问；结束；

(c4)确定可疑IP的访问为正常访问；结束。

进一步可选地，步骤“根据当前访问周期内可疑IP请求实时数据最多的第二地理区域以及第一实时数据请求阈值，确定可疑IP的访问是否为恶意访问”之前，还可以包括：根据可疑IP的实时请求日志，统计可疑IP在当前访问周期内请求的实时数据分别对应的地理区域，得到多个地理区域；从多个地理区域中，获取可疑IP在当前访问周期内请求的实时数据最多的地理区域，作为第二地理区域。

例如，具体地，根据可疑IP的实时请求日志，可以统计该可疑IP在当前访问周期内请求的实时数据分别对应的地理区域，例如该IP在当前访问周期如当天内请求北京的实时公交数据，该IP在当天内还请求了南京的实施公交数据，该IP当天内还请求了天津的实施公交数据。经过对该可疑IP的实时请求日志进行分析，确定该可疑IP在当天内请求南京的实时公交数据为986条，请求北京的实时公交数据为10条，请求天津的实时公交数据为3条。即该可疑IP在当前访问周期内请求的实时数据对应的地理区域有三个，其中，请求南京的实时公交数据最多，可以将南京作为该IP在当天内对应的第二地理区域。

然后，获取当前访问周期内可疑IP请求第二地理区域的实时数据的请求的数量，例如本实施例中的当天请求南京的实时公交数据的986条。然后判断该数量是否大于第一实时数据请求阈值；本实施例中的第一实时数据请求阈值可以通过对历史访问数据进行分析，判断历史访问数据中，一天中进行实时数据请求的上限，如可以为200条，此时可以将第一实时数据请求阈值设置为200。而本实施例中的986条远远大于200条，此时可以确定可疑IP的访问为恶意访问；否则确定可疑IP的访问为正常访问。

第二种方式为：根据可疑IP所归属的第一地理区域、当前访问周期内可疑IP请求实时数据最多的第二地理区域以及第二实时数据请求阈值，确定可疑IP的访问是否为恶意访问。

进一步地，该第二种方式的技术方案，具体可以包括如下步骤：

(d1)获取当前访问周期内可疑IP请求第二地理区域的实时数据的请求的数量；

(d2)判断数量是否大于第二实时数据请求阈值；若是，执行步骤(d3)；否则，执行步骤(d5)；

(d3)判断第一地理区域是否等于第二地理区域；若不等于，执行步骤(d4)；若等于，执行步骤(d5)；

(d4)确定可疑IP的访问为恶意访问；结束；

(d5)确定可疑IP的访问为正常访问；结束。

进一步可选地，在上述实施例的技术方案的基础上，“根据可疑IP所归属的第一地理区域、当前访问周期内可疑IP请求实时数据最多的第二地理区域以及第二实时数据请求阈值，确定可疑IP是否为恶意访问”之前，还可以包括如下步骤：

(e1)获取可疑IP所归属的第一地理区域；

(e2)根据可疑IP的实时请求日志，统计可疑IP在当前访问周期内请求的实时数据分别对应的地理区域，得到多个地理区域；

(e3)从多个地理区域中，获取可疑IP在当前访问周期内请求的实时数据最多的地理区域，作为第二地理区域。

例如，本实施例中的第一地理区域和第二地理区域均可以为城市。其中第一地理区域可以根据全国各个区域的IP设置规则，确定该可疑IP归属的第一地理区域，例如该第一地理区域可以为城市。第一地理区域表示该可以IP在该区域进行实时公交请求。第二地理区域的获取可以参考上述相关实施例的记载，在此不再赘述。优选地，本实施例的第二实时数据请求阈值可以小于或者等于上述第一实时数据请求阈值。

若当前访问周期内可疑IP请求第二地理区域的实时数据的请求的数量大于第二实时数据请求阈值；此时可以进一步判断判断第一地理区域是否等于第二地理区域；

例如，请求实时公交数据的该可疑IP归属地在北京，而该可疑IP请求南京的实时数据的请求的数量大于第二实时数据请求阈值；此时经过分析，发现北京不等于南京，确定可疑IP的访问为恶意访问；否则若该可疑IP归属地在北京，而该可疑IP虽然请求北京的实时数据的请求的数量大于第二实时数据请求阈值；但是也暂时不认为该可疑IP的访问为恶意访问。

第三种方式包括：确定当前访问周期内、可疑IP所归属的第一地理区域内的所有可疑IP的数量是否超出预设数量阈值；若是，确定可疑IP以及第一地理区域内的所有其它可疑IP的访问均为恶意访问；否则确定该可疑IP以及第一地理区域内的所有其它可疑IP的访问均为正常访问。

该实施例的技术方案中，通过该可疑IP去分析该可疑所归属的第一地理区域中的所有可疑IP是不是聚集在一起进行集团式的恶意数据窃取。具体通过分析当前访问周期内、可疑IP所归属的第一地理区域内的所有可疑IP的数量是否超出预设数量阈值，如果超出该预设数量阈值，则认为是有预谋的恶意数据窃取，确定可疑IP以及第一地理区域内的所有其它可疑IP的访问均为恶意访问，否则确定该可疑IP以及第一地理区域内的所有其它可疑IP的访问均为正常访问。其中本实施例的预设数量阈值可以根据经验来设置。例如历史分析中，发现一个访问周期内，同一区域内同时出现超过2000个可疑IP在请求实时公交，可以认为这个区域的这些可疑IP的访问均为恶意访问，例如，可以将预设数量阈值设置为2000。

上述三种方式，前两种检测可疑IP的访问是否为恶意访问的方式是并列的；后一种检测可疑IP的访问是否为恶意访问的方式可以与前两种配合使用；配合使用时，只要有一种方式检测出该可疑IP的访问为恶意访问，则确定该可以可疑IP的访问为恶意访问，此时可以采用步骤(a3)将该可疑IP加入黑名单中，以拒绝该可疑IP的访问。

上述实施例的恶意访问的处理方法，通过采用上述方案，进一步丰富了恶意访问的检测条件，提高了恶意访问的检测效率和检测的准确性。

图2为本发明的恶意访问的处理装置实施例一的结构图。如图2所示，本实施例的恶意访问的处理装置，包括挖掘模块10、获取模块11和确定模块12。

其中挖掘模块10用于根据历史访问数据，挖掘各IP在预设访问周期内各时段的平均访问强度；获取模块11用于根据IP的实时请求日志，获取IP在当前访问周期内各时段的实时请求强度；确定模块12用于根据挖掘模块10挖掘的IP在预设访问周期内各时段的平均访问强度、以及获取模块11获取的IP在当前访问周期内各时段的实时请求强度，确定IP的访问是否为恶意访问。

本实施例的恶意访问的处理装置，通过采用上述模块实现恶意访问的处理，与上述相关方法实施例的实现相同，详细可以参考上述相关方法实施例的记载，在此不再赘述。

图3为本发明的恶意访问的处理装置实施例二的结构图。如图3所示，本实施例的恶意访问的处理装置，在上述图2所示实施例的技术方案的基础上，进一步还可以包括如下技术方案。

本实施例的恶意访问的处理装置中，确定模块12具体包括：

可疑IP确定单元121用于根据挖掘模块10挖掘的IP在预设访问周期内各时段的平均访问强度、以及获取模块11获取的IP在当前访问周期内各时段的实时请求强度，确定IP是否为可疑IP；

恶意访问确定单元122用于若可疑IP确定单元121确定IP为可疑IP，确定可疑IP的访问是否为恶意访问。

进一步可选地，如图3所示，本实施例的恶意访问的处理装置中，还包括：处理模块13。该处理模块13用于若恶意访问确定单元122确定可疑IP的访问为恶意访问，将可疑IP加入黑名单。

进一步可选地，本实施例的恶意访问的处理装置中，可疑IP确定单元121具体用于：

根据IP在预设访问周期内各时段的平均访问强度，判断IP在当前访问周期内各时段的实时请求强度是否异常；

统计IP在当前访问周期内实时请求强度异常的时段的数量；

判断IP在当前访问周期内实时请求强度异常的时段的数量是否超出当前访问周期内的时段总数的预设比例阈值；

若是，确定IP为可疑IP；否则IP为非可疑IP。

进一步可选地，本实施例的恶意访问的处理装置中，可疑IP确定单元121具体用于：根据当前访问周期内可疑IP请求实时数据最多的第二地理区域以及第一实时数据请求阈值，确定可疑IP的访问是否为恶意访问；

进一步地，恶意访问确定单元121具体用于：

获取当前访问周期内可疑IP请求第二地理区域的实时数据的请求的数量；

判断数量是否大于第一实时数据请求阈值；

若是，确定可疑IP的访问为恶意访问。

进一步可选地，本实施例的恶意访问的处理装置中，可疑IP确定单元121具体用于：根据可疑IP所归属的第一地理区域、当前访问周期内可疑IP请求实时数据最多的第二地理区域以及第二实时数据请求阈值，确定可疑IP的访问是否为恶意访问；

进一步地，恶意访问确定单元121具体用于：

获取当前访问周期内可疑IP请求第二地理区域的实时数据的请求的数量；

判断数量是否大于第二实时数据请求阈值；

若是，判断第一地理区域是否等于第二地理区域；

若不等于，确定可疑IP的访问为恶意访问；

进一步地，恶意访问确定单元121具体还用于：

获取可疑IP所归属的第一地理区域；

根据可疑IP的实时请求日志，统计可疑IP在当前访问周期内请求的实时数据分别对应的地理区域，得到多个地理区域；

从多个地理区域中，获取可疑IP在当前访问周期内请求的实时数据最多的地理区域，作为第二地理区域。

进一步可选地，本实施例的恶意访问的处理装置中，可疑IP确定单元121具体用于：

确定当前访问周期内、可疑IP所归属的第一地理区域内的所有可疑IP的数量是否超出预设数量阈值；

若是，确定可疑IP以及第一地理区域内的所有其它可疑IP的访问均为恶意访问。

本实施例的恶意访问的处理装置，通过采用上述模块实现恶意访问的处理，与上述相关方法实施例的实现相同，详细可以参考上述相关方法实施例的记载，在此不再赘述。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。