恶意访问的判断方法、拦截方法与装置的制造方法
恶意访问的判断方法、拦截方法与装置的制造方法
【技术领域】
[0001] 本发明设及互联网安全技术领域,尤其设及一种恶意访问的判断方法、拦截方法 与装置。
【背景技术】
[0002] 网络应用被大批量的恶意访问,是一个很常见的问题;恶意程序短时间内大量访 问,可能导致服务器负载急剧升高,甚至停止响应;网络爬虫对冷数据的访问,也会给数据 库服务器带来额外的压力。
[0003] 目前,在判断一个IP地址是否属于恶意访问的通常的做法是统计所述IP地址在过 去的一段时间内的总的访问次数并与一个阔值比较,当超过所述阔值时则认为所述IP地址 属于恶意访问,并且采取对应的限制措施来限制该IP地址访问。
[0004] 但是运种做法只是一种笼统的判断方式,精确度不够,很有可能会造成误判。例 如,在过去的一段时间内,用户的账号被盗号,并且W高频率地访问服务器,用户在取回账 号后,恢复了正常的频率访问服务器,但是由于被盗号期间的访问次数过大,导致用户取回 账号后也依然被认为总的访问次数超过阔值,依然会受到限制,大大地影响了用户的体验。
【发明内容】
[0005] 本发明实施例提出一种恶意访问的判断方法、拦截方法与装置,能够提高判断恶 意访问的准确性,限制恶意访问的IP地址的访问,避免服务器负载过高,同时可W保证用户 有较好的体验。
[0006] 本发明实施例提供一种恶意访问的判断方法,包括:
[0007] 当接收到一个IP地址的访问请求时,确定第一时间段;所述第一时间段为过去时 刻T1到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个连续的子时间段;所 述N个子时间段分别被配置了不同的访问次数权重值,且与当前时间TO的时间差越大的子 时间段被配置的访问次数权重值越低;
[000引统计所述IP地址在每个子时间段的访问次数;
[0009] 根据所述IP地址在每个子时间段的访问次数W及每个子时间段被配置的访问次 数权重值,计算所述IP地址在每个子时间段的访问次数的加权平均值;
[0010] 比较所述加权平均值与预设的第一访问次数阔值,当所述加权平均值大于预设的 第一访问次数阔值时,判定所述IP地址属于恶意访问。
[0011] 作为更优选地,所述加权平均值的计算公式为:
[0012]
[0013]其中,Q为所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均 值;η为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,l<n^N;qn 为第η个时间段的访问次数;f (η)为第η个时间段所配置的访问次数权重值,且f (η)为减函 数。
[0014] 作为更优选地,f(n) = (2/3广1。
[0015] 作为更优选地,所述恶意访问的判断方法还包括:
[0016] 当所述加权平均值小于预设的第一访问次数阔值时,获取所述IP地址在第二时间 段内的访问次数;所述第二时间段为过去时刻T2到当前时间TO之间的时间段;
[0017] 比较所述IP地址在第二时间段内的访问次数与预设的第二访问次数阔值,当在所 述第二时间段内的访问次数大于所述第二访问次数阔值时,判定所述IP地址属于恶意访 问。
[0018] 作为更优选地,所述第二时间长度小于或等于所述第一时间段的任一个子时间段 的时间长度。
[0019] 作为更优选地,所述恶意访问的判断方法还包括:
[0020] 每当接收到一个IP地址的访问请求时,记录所述IP地址的登录时间,用W统计所 述IP地址在任一个时间段内的访问次数。
[0021] 相应地,本发明还提供一种恶意访问的判断装置,包括:
[0022] 时间段确定模块,用于当接收到一个IP地址的访问请求时,确定第一时间段;所述 第一时间段为过去时刻T1到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个 连续的子时间段;所述N个子时间段分别被配置了不同的访问次数权重值,且与当前时间TO 的时间差越大的子时间段被配置的访问次数权重值越低;
[0023] 第一访问次数统计模块,用于统计所述IP地址在每个子时间段的访问次数;
[0024] 加权值计算模块,用于根据所述IP地址在每个子时间段的访问次数W及每个子时 间段被配置的访问次数权重值,计算所述IP地址在每个子时间段的访问次数的加权平均 值;
[0025] 第一判定模块,比较所述加权平均值与预设的第一访问次数阔值,当所述加权平 均值大于预设的第一访问次数阔值时,判定所述IP地址属于恶意访问。
[0026] 作为更优选地,所述加权平均值的计算公式为:
[0027]
[0028] 其中,Q为所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均 值;η为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,l<n^N;qn 为第η个时间段的访问次数;f (η)为第η个时间段所配置的访问次数权重值,且f (η)为减函 数。
[0029] 作为更优选地,f (η) = (2/3广1。
[0030] 作为更优选地,所述恶意访问的判断装置还包括:
[0031] 第二访问次数统计模块,用于当所述加权平均值小于预设的第一访问次数阔值 时,统计所述IP地址在第二时间段内的访问次数;所述第二时间段为过去时刻Τ2到当前时 间TO之间的时间段;
[0032] 第二判定模块,用于比较所述IP地址在第二时间段内的访问次数与预设的第二访 问次数阔值,当在所述第二时间段内的访问次数大于所述第二访问次数阔值时,判定所述 IP地址属于恶意访问。
[0033] 作为更优选地,所述第二时间长度小于或等于所述第一时间段的任一个子时间段 的时间长度。
[0034] 作为更优选地,所述恶意访问的判断装置还包括:
[0035] 登录时间记录模块,用于每当接收到一个IP地址的访问请求时,记录所述IP地址 的登录时间,用W统计所述IP地址在任一个时间段内的访问次数。
[0036] 本发明另一实施例提供一种恶意访问的判断方法,包括:
[0037] 当接收到一个IP地址的访问请求时,确定第一时间段;所述第一时间段为过去时 刻T1到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个连续的子时间段;所 述N个子时间段分别被配置了不同的访问次数权重值,且与当前时间TO的时间差越大的子 时间段被配置的访问次数权重值越低;
[0038] 统计所述IP地址所在的网段在每个子时间段的访问次数;其中,所述网段由多个 IP地址组成;所述网段在某个子时间段的访问次数等于所述多个IP地址在该子时间段的访 问次数的总和;
[0039] 根据所述网段在每个子时间段的访问次数W及每个子时间段被配置的访问次数 权重值,计算所述网段在每个子时间段的访问次数的加权平均值;
[0040] 比较所述加权平均值与预设的第一访问次数阔值,当所述加权平均值大于预设的 第一访问次数阔值时,判定所述IP地址属于恶意访问。
[0041] 作为更优选地,所述加权平均值的计算公式为:
[0042]
[0043] 其中,Q为所述网段在所述第一时间段的每个子时间段的访问次数的加权平均值; η为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,1如^N;qn为第 η个时间段的访问次数;f(n)为第η个时间段所配置的访问次数权重值,且f(n)为减函数。
[0044] 作为更优选地,f(n) = (2/3)w。
[0045] 作为更优选地,所述恶意访问的判断方法还包括:
[0046] 当所述加权平均值小于预设的第一访问次数阔值时,获取所述网段在第二时间段 内的访问次数;所述第二时间段为过去时刻T2到当前时间TO之间的时间段;
[0047] 比较所述网段在第二时间段内的访问次数与预设的第二访问次数阔值,当在所述 第二时间段内的访问次数大于所述第二访问次数阔值时,判定所述IP地址属于恶意访问。 [004引作为更优选地,所述第二时间长度小于或等于所述第一时间段的任一个子时间段 的时间长度。
[0049] 作为更优选地,所述恶意访问的判断方法还包括:
[0050] 每当接收到一个IP地址的访问请求时,记录所述IP地址的登录时间,用W统计所 述IP地址在任一个时间段内的访问次数。
[0051] 相应地,本发明另一实施例还提供一种恶意访问的判断装置,包括:
[0052] 时间段确定模块,用于当接收到一个IP地址的访问请求时,确定第一时间段;所述 第一时间段为过去时刻T1到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个 连续的子时间段;所述N个子时间段分别被配置了不同的访问次数权重值,且与当前时间TO 的时间差越大的子时间段被配置的访问次数权重值越低;
[0053] 第一访问次数统计模块,用于统计所述IP地址在每个子时间段的访问次数;
[0054] 加权值计算模块,用于根据每个子时间段的访问次数W及被配置的访问次数权重 值,计算所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均值;
[0055] 第一判定模块,比较所述加权平均值与预设的第一访问次数阔值,当所述加权平 均值大于预设的第一访问次数阔值时,判定所述IP地址属于恶意访问。
[0056] 作为更优选地,所述加权平均值的计算公式为:
[0化7]
[005引其中,Q为所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均 值;η为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,l<n^N;qn 为第η个时间段的访问次数;f (η)为第η个时间段所配置的访问次数权重值,且f (η)为减函 数。
[0059] 作为更优选地,f(n) = (2/3)n-i。
[0060] 作为更优选地,所述恶意访问的判断装置还包括:
[0061] 第二访问次数统计模块 ,用于当所述加权平均值小于预设的第一访问次数阔值 时,统计所述IP地址在第二时间段内的访问次数;所述第二时间段为过去时刻T2到当前时 间TO之间的时间段;
[0062] 第二判定模块,用于比较所述IP地址在第二时间段内的访问次数与预设的第二访 问次数阔值,当在所述第二时间段内的访问次数大于所述第二访问次数阔值时,判定所述 IP地址属于恶意访问。
[0063] 作为更优选地,所述第二时间长度小于或等于所述第一时间段的任一个子时间段 的时间长度。
[0064] 作为更优选地,所述恶意访问的判断装置还包括:
[0065] 登录时间记录模块,用于每当接收到一个IP地址的访问请求时,记录所述IP地址 的登录时间,用W统计所述IP地址在任一个时间段内的访问次数。
[0066] 同时,本发明实施例还提供一种恶意访问的拦截方法,包括:
[0067] 通过上述实施例所述的恶意访问的判断方法,或通过上述另一实施例所述的恶意 访问的判断方法,判断发出访问请求的IP地址是否属于恶意访问;
[0068] 在判定所述IP地址属于恶意访问时,向所述IP地址发送验证信息,并验证所述IP 地址返回的待验证信息是否正确;
[0069] 当所述IP地址返回的待验证信息不正确时,拒绝向所述IP地址回复相应的响应消 息。
[0070] 作为更优选地,所述恶意访问的拦截方法还包括:
[0071] 当所述IP地址返回的待验证信息正确时,在后续的第一限时时长内每当获取到所 述IP地址的访问请求,向所述IP地址回复相应的响应消息,并且在所述第一限时时长之后 响应于所述IP地址的访问请求重新向所述IP地址发送验证信息进行验证。
[0072] 作为更优选地,所述恶意访问的拦截方法还包括:
[0073] 在判定所述IP地址属于恶意访问时,开始计时;
[0074] 当计时超过第二限时时长时,响应于所述IP地址的访问请求重新上述实施例所述 的恶意访问的判断方法,或通过上述另一实施例所述的恶意访问的判断方法,判断所述IP 地址是否属于恶意访问;其中,所述第一限时时长小于所述第二限时时长。
[0075] 作为更优选地,所述验证信息为图片验证码。
[0076] 相应地,本发明实施例还提供一种恶意访问的拦截装置,包括:
[0077] 恶意访问判断模块,用于通过上述实施例所述的恶意访问的判断装置,或通过上 述另一实施例所述的恶意访问的判断装置,判断发出访问请求的IP地址是否属于恶意访 问;
[0078] 验证模块,用于在判定所述IP地址属于恶意访问时,向所述IP地址发送验证信息, 并验证所述IP地址返回的待验证信息是否正确;
[0079] 第一执行模块,用于当所述IP地址返回的待验证信息不正确时,拒绝向所述IP地 址回复相应的响应消息。
[0080] 作为更优选地,所述恶意访问的拦截装置还包括:
[0081] 第二执行模块,用于当所述IP地址返回的待验证信息正确时,在后续的第一限时 时长内每当获取到所述IP地址的访问请求,向所述IP地址回复相应的响应消息,并且在所 述第一限时时长之后响应于所述IP地址的访问请求重新向所述IP地址发送验证信息进行 验证。
[0082] 作为更优选地,所述恶意访问的拦截装置还包括:
[0083] 计时模块,用于在判定所述IP地址属于恶意访问时,开始计时;
[0084] 重新判断模块,用于当计时超过第二限时时长时,响应于所述IP地址的访问请求 重新通过上述实施例所述的恶意访问的判断装置,或通过上述另一实施例所述的恶意访问 的判断装置,判断所述IP地址是否属于恶意访问;其中,所述第一限时时长小于所述第二限 时时长。
[0085] 作为更优选地,所述验证信息为图片验证码。
[0086] 实施本发明实施例,具有如下有益效果:本发明提供了一种恶意访问的判断方法, 通过计算所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均值,并与预 设的第一访问次数阔值比较,来判断所述IP地址是否属于恶意访问。其中,所述N个子时间 段分别被配置了不同的访问次数权重值,且与当前时间TO的时间差越大的子时间段被配置 的访问次数权重值越低。可见,过去时间越久的子时间段内的访问次数影响越小,而过去时 间越小,即越接近当前时间TO的子时间段内的访问次数影响越大,从而可W更加真实地反 映了用户的访问行为,大大提高了判断一个IP地址是否属于恶意访问的准确性。更进一步 地,本发明还通过统计IP地址所在网段的访问次数进行判断,可W很好地解决了黑客采用 多个IP地址同时访问或者轮流访问而提高服务器的负载的问题。更进一步地,本发明还提 供一种恶意访问的拦截方法,能限制IP地址恶意访问,也不会对正常用户造成很大的影响。 同时,本发明还提供了一种恶意访问的判断装置,用于执行上述的恶意访问的判断方法,W 及一种恶意访问的拦截装置,用于执行上述的恶意访问的拦截方法。
【附图说明】
[0087] 图1是本发明提供的一种恶意访问的判断方法的第一实施例的流程示意图;
[0088] 图2是本发明提供的一种恶意访问的判断装置的第一实施例的结构框图;
[0089] 图3是本发明提供的一种恶意访问的判断方法的第二实施例的流程示意图;
[0090] 图4是本发明提供的一种恶意访问的判断装置的第二实施例的结构框图;
[0091] 图5是本发明提供的一种恶意访问的拦截方法的第一实施例的流程示意图;
[0092] 图6是本发明提供的一种恶意访问的拦截装置的第一实施例的结构框图。
【具体实施方式】
[0093] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。
[0094] 参见图1,是本发明提供的一种移动终端的应用程序更新方法的第一实施例的流 程示意图,该方法包括W下步骤:
[00M] S101,当接收到一个IP地址的访问请求时,确定第一时间段;所述第一时间段为过 去时刻T1到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个连续的子时间 段;所述N个子时间段分别被配置了不同的访问次数权重值,且与当前时间TO的时间差越大 的子时间段被配置的访问次数权重值越低;其中,每个子时间段的时间长度可W为相同的 时间长度;
[0096] S102,统计所述IP地址在每个子时间段的访问次数;
[0097] S103,根据所述IP地址在每个子时间段的访问次数W及每个子时间段被配置的访 问次数权重值,计算所述IP地址在每个子时间段的访问次数的加权平均值;
[0098] S104,比较所述加权平均值与预设的第一访问次数阔值,当所述加权平均值大于 预设的第一访问次数阔值时,判定所述IP地址属于恶意访问。
[0099] 在本实施例中,T1到TO的时间差,即第一时间段的时间长度是一个预设值。
[0100] 具体地,在步骤S103中,所述加权平均值的计算公式为:
[0101]
[0102]其中,Q为所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均 值;η为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,l<n^N;qn 为第η个时间段的访问次数;f (η)为第η个时间段所配置的访问次数权重值,且f (η)为减函 数。例如,f (η) = (2/3 广1。
[0103] 在本实施例中,通过计算所述IP地址在所述第一时间段的每个子时间段的访问次 数的加权平均值,并与预设的第一访问次数阔值比较,来判断所述IP地址是否属于恶意访 问。其中,所述N个子时间段分别被配置了不同的访问次数权重值,且与当前时间TO的时间 差越大的子时间段被配置的访问次数权重值越低。可见,过去时间越久的子时间段内的访 问次数影响越小,而过去时间越小,即越接近当前时间TO的子时间段内的访问次数影响越 大,从而可W更加真实地反映了用户的访问行为,大大提高了判断一个IP地址是否属于恶 意访问的准确性。
[0104] 作为更优选地,所述恶意访问的判断方法还包括:
[0105] 当所述加权平均值小于预设的第一访问次数阔值时,获取所述IP地址在第二时间 段内的访问次数;所述第二时间段为过去时刻T2到当前时间TO之间的时间段;
[0106] 比较所述IP地址在第二时间段内的访问次数与预设的第二访问次数阔值,当在所 述第二时间段内的访问次数大于所述第二访问次数阔值时,判定所述IP地址属于恶意访 问。
[0107] 在本实施例中,T2到TO的时间差,即第二时间段的时间长度是一个预设值。
[0108] 作为更优选地,所述第二时间段的时间长度小于或等于所述第一时间段的任一个 子时间段的时间长度。
[0109] 例如,第一时间段的时间长度为5小时,并且所述第一时间段分为5个子时间段,每 个子时间段的时间长度为1小时,而第二时间段的时间长度可W为30分钟。
[0110] 因此,可W通过采取两种检测机制相结合的方式,采用加权平均值进行判断的方 式可W判断较长时间的恶意访问的类型,而采用第二时间段进行判断的方式则可W判断较 短时间的恶意访问的类型。两者结合可W进一步提高判断的准确性。
[0111] 作为更优选地,所述恶意访问的判断方法还包括:
[0112] 每当接收到一个IP地址的访问请求时,记录所述IP地址的登录时间,用W统计所 述IP地址在任一个时间段内的访问次数。在本实施例中,采用RediS工具统计所述IP地址在 任一个时间段内的访问次数。
[0113] 需要说明的是,统计所述IP地址在任一个时间段内的访问次数并不限于上述记录 所述IP地址的登录时间的方式,对于本领域技术人员来说,其他变形的或经过润饰的实施 方式也属于本发明的保护范围之内。
[0114] 相应地,本发明还提供了一种恶意访问的判断装置的第一实施例。
[0115] 如图2所示,其是本发明提供的恶意访问的判断装置的第一实施例的结构框图,其 包括:
[0116] 时间段确定模块101,用于当接收到一个IP地址的访问请求时,确定第一时间段; 所述第一时间段为过去时刻T1到当前时间TO之间的时间段;其中,所述第一时间段被划分 为N个连续的子时间段;所述N个子时间段分别被配置了不同的访问次数权重值,且与当前 时间TO的时间差越大的子时间段被配置的访问次数权重值越低;其中,每个子时间段的时 间长度可W为相同的时间长度;
[0117] 第一访问次数统计模块102,用于统计所述IP地址在每个子时间段的访问次数;
[0118] 加权值计算模块103,用于根据所述IP地址在每个子时间段的访问次数W及每个 子时间段被配置的访问次数权重值,计算所述IP地址在每个子时间段的访问次数的加权平 均值;
[0119] 第一判定模块104,比较所述加权平均值与预设的第一访问次数阔值,当所述加权 平均值大于预设的第一访问次数阔值时,判定所述IP地址属于恶意访问。
[0120] 具体地,所述加权平均值的计算公式为:
[0121]
[0122] 其中,Q为所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均 值;η为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,l<n^N;qn 为第η个时间段的访问次数;f (η)为第η个时间段所配置的访问次数权重值,且f (η)为减函 数。例如,f (η) = (2/3 广1。
[0123] 作为更优选地,所述恶意访问的判断装置还包括:
[0124] 第二访问次数统计模块,用于当所述加权平均值小于预设的第一访问次数阔值 时,统计所述IP地址在第二时间段内的访问次数;所述第二时间段为过去时刻T2到当前时 间TO之间的时间段;
[0125] 第二判定模块,用于比较所述IP地址在第二时间段内的访问次数与预设的第二访 问次数阔值,当在所述第二时间段内的访问次数大于所述第二访问次数阔值时,判定所述 IP地址属于恶意访问。
[0126] 作为更优选地,所述第二时间段的时间长度小于或等于所述第一时间段的任一个 子时间段的时间长度。
[0127] 作为更优选地,所述恶意访问的判断装置还包括:
[0128] 登录时间记录模块,用于每当接收到一个IP地址的访问请求时,记录所述IP地址 的登录时间,用W统计所述IP地址在任一个时间段内的访问次数。在本实施例中,采用 Redis工具统计所述IP地址在任一个时间段内的访问次数。
[0129] 需要说明的是,本实施例提供的恶意访问的判断装置用于执行上述恶意访问的判 断方法的第一实施例的所有方法步骤,其工作原理和有益效果一一对应,因而不再寶述。
[0130] 参见图3,是本发明提供的一种移动终端的应用程序更新方法的第二实施例的流 程示意图,该方法包括W下步骤:
[0131] S201,当接收到一个IP地址的访问请求时,确定第一时间段;所述第一时间段为过 去时刻T1到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个连续的子时间 段;所述N个子时间段分别被配置了不同的访问次数权重值,且与当前时间TO的时间差越大 的子时间段被配置的访问次数权重值越低;其中,每个子时间段的时间长度可W为相同的 时间长度;
[0132] S202,统计所述IP地址所在的网段在每个子时间段的访问次数;其中,所述网段由 多个IP地址组成;所述网段在某个子时间段的访问次数等于所述多个IP地址在该子时间段 的访问次数的总和;
[0133] S203,根据所述网段在每个子时间段的访问次数W及每个子时间段被配置的访问 次数权重值,计算所述网段在每个子时间段的访问次数的加权平均值;
[0134] S204,比较所述加权平均值与预设的第一访问次数阔值,当所述加权平均值大于 预设的第一访问次数阔值时,判定所述IP地址属于恶意访问。
[0135] 在本实施例中,T1和TO的时间差,即第一时间段的时间长度是一个预设值。
[0136] 具体地,所述加权平均值的计算公式为:
[0137]
[0138] 其中,Q为所述网段在所述第一时间段的每个子时间段的访问次数的加权平均值; η为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,1如如;qn为第 η个时间段的访问次数;f (η)为第η个时间段所配置的访问次数权重值,且f(n)为减函数。例 如,f(n) = (2/3 广1。
[0139] 本实施例与上述恶意访问的判断方法的第一实施例的区别在于,本实施例统计的 是IP地址所在网段的访问次数,而上述恶意访问的判断方法的第一实施例统计的是IP地址 的访问次数。通常来说,黑客在恶意访问时并不只是用一个IP地址进行访问,而是多个IP地 址进行访问。
[0140] 考虑一个情形,假如黑客同时用多个IP地址访问服务器,而每个IP地址的访问次 数都没有超过阔值,则此时无法对任一个IP地址进行限制,服务器收到巨大的访问压力。
[0141] 考虑另一个情形,假如黑客用IP地址A访问服务器,服务器检测到IP地址A属于恶 意访问,并且对其限制访问。但是黑客又用IP地址B访问服务器,服务器可能在短时间内无 法检测到运个IP地址也是属于恶意访问的,也无法对其限制访问。当服务器检测到IP地址B 也是恶意访问时,黑客又可W用新的IP地址进行恶意访问。
[0142] 而本实施例的方案是通过统计IP地址所在网段的访问次数进行判断,可W很好地 解决了黑客采用多个IP地址同时访问或者轮流访问而提高服务器的负载的问题。
[0143] 作为更优选地,所述恶意访问的判断方法还包括:
[0144] 当所述加权平均值小于预设的第一访问次数阔值时,获取所述网段在第二时间段 内的访问次数;所述第二时间段为过去时刻T2到当前时间TO之间的时间段;
[0145] 比较所述网段在第二时间段内的访问次数与预设的第二访问次数阔值,当在所述 第二时间段内的访问次数大于所述第二访问次数阔值时,判定所述IP地址属于恶意访问。
[0146] 在本实施例中,T2和TO的时间差,即第二时间段的时间长度是一个预设值。
[0147] 作为更优选地,所述第二时间段的时间长度小于或等于所述第一时间段的任一个 子时间段的时间长度。
[0148] 例如,第一时间段的时间长度为5小时,并且所述第一时间段分为5个子时间段,每 个子时间段的时间长度为1小时,而第二时间段的时间长度可W为30分钟。
[0149] 因此,可W通过采取两种检测机制相结合的方式,采用加权平均值进行判断的方 式可W判断较长时间的恶意访问的类型,而采用第二时间段进行判断的方式则可W判断较 短时间的恶意访问的类型。两者结合可W进一步提高判断的准确性。
[0150] 作为更优选地,所述恶意访问的判断方法还包括:
[0151] 每当接收到一个IP地址的访问请求时,记录所述IP地址的登录时间,用W统计所 述IP地址在任一个时间段内的访问次数。在本实施例中,采用RediS工具统计所述IP地址在 任一个时间段内的访问次数。
[0152] 需要说明的是,统计所述IP地址在任一个时间段内的访问次数并不限于上述记录 所述IP地址的登录时间的方式,对于本领域技术人员来说,其他变形的或经过润饰的实施 方式也属于本发明的保护范围之内。
[0153] 相应地,本发明还提供一种恶意访问的判断装置的第二实施例。
[0154] 如图4所示,其是本发明提供的恶意访问的判断装置的第二实施例的结构框图,其 包括:
[01W]时间段确定模块201,用于当接收到一个IP地址的访问请求时,确定第一时间段; 所述第一时间段为过去时刻T1到当前时间TO之间的时间段;其中,所述第一时间段被划分 为N个连续的子时间段;所述N个子时间段分别被配置了不同的访问次数权重值,且与当前 时间TO的时间差越大的子时间段被配置的访问次数权重值越低;其中,每个子时间段的时 间长度可W为相同的时间长度;
[0156] 第一访问次数统计模块202,用于统计所述IP地址在每个子时间段的访问次数;
[0157] 加权值计算模块203,用于根据每个子时间段的访问次数W及被配置的访问次数 权重值,计算所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均值;
[0158] 第一判定模块204,比较所述加权平均值与预设的第一访问次数阔值,当所述加权 平均值大于预设的第一访问次数阔值时,判定所述IP地址属于恶意访问。
[0159] 具体地,所述加权平均值的计算公式为:
[0160]
[0161] 其中,Q为所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均 值;η为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,l<n^N;qn 为第η个时间段的访问次数;f (η)为第η个时间段所配置的访问次数权重值,且f (η)为减函 数。例如,f (η) = (2/3 广1。
[0162] 作为更优选地,所述恶意访问的判断装置还包括:
[0163] 第二访问次数统计模块,用于当所述加权平均值小于预设的第一访问次数阔值 时,统计所述IP地址在第二时间段内的访问次数;所述第二时间段为过去时刻T2到当前时 间TO之间的时间段;
[0164] 第二判定模块,用于比较所述IP地址在第二时间段内的访问次数与预设的第二访 问次数阔值,当在所述第二时间段内的访问次数大于所述第二访问次数阔值时,判定所述 IP地址属于恶意访问。
[0165] 作为更优选地,所述第二时间长度小于或等于所述第一时间段的任一个子时间段 的时间长度。
[0166] 作为更优选地,所述恶意访问的判断装置还包括:
[0167] 登录时间记录模块,用于每当接收到一个IP地址的访问请求时,记 录所述IP地址 的登录时间,用W统计所述IP地址在任一个时间段内的访问次数。在本实施例中,采用 Redis工具统计所述IP地址在任一个时间段内的访问次数。
[0168] 需要说明的是,本实施例提供的恶意访问的判断装置用于执行上述恶意访问的判 断方法的第二实施例的所有方法步骤,其工作原理和有益效果一一对应,因而不再寶述。
[0169] 同时,本发明还提供了一种恶意访问的拦截方法的第一实施例。
[0170] 如图5所示,其是本发明提供的恶意访问的拦截方法的第一实施例的流程示意图, 其包括:
[0171] S301,通过上述恶意访问的判断方法的第一实施例的方法,或通过上述恶意访问 的判断方法的第二实施例的方法,判断发出访问请求的IP地址是否属于恶意访问;
[0172] S302,在判定所述IP地址属于恶意访问时,向所述IP地址发送验证信息,并验证所 述IP地址返回的待验证信息是否正确;
[0173] S303,当所述IP地址返回的待验证信息不正确时,拒绝向所述IP地址回复相应的 响应消息。
[0174] 作为更优选地,所述恶意访问的拦截方法还包括:
[0175] 当所述IP地址返回的待验证信息正确时,在后续的第一限时时长内每当获取到所 述IP地址的访问请求,向所述IP地址回复相应的响应消息,并且在所述第一限时时长之后 响应于所述IP地址的访问请求重新向所述IP地址发送验证信息进行验证。
[0176] 即对于待验证信息正确的情况下,可W允许用户在第一限时时长内不受限制正常 地访问,不用重复输入验证信息,而在第一限时时长之后则需要重新进行验证。运样既可W 避免因为将IP地址错误地判断为恶意访问而影响用户的使用体验,又可W有效地拦截真正 的恶意访问的IP地址。
[0177] 作为更优选地,所述恶意访问的拦截方法还包括:
[0178] 在判定所述IP地址属于恶意访问时,开始计时;
[0179] 当计时超过第二限时时长时,响应于所述IP地址的访问请求重新通通过上述恶意 访问的判断方法的第一实施例的方法,或通过上述恶意访问的判断方法的第二实施例的方 法,判断所述IP地址是否属于恶意访问;其中,所述第一限时时长小于所述第二限时时长。
[0180] 即在判断一个IP地址属于恶意访问之后会重新判断,而不是一直认为运个IP地址 处于恶意访问而使得该IP地址受到一直限制,例如,在用户取回了被盗的账号后,还可W正 常地使用。其中,第一限时时长可W设为5分钟,第二限时时长可W设为一天。
[0181] 作为更优选地,所述验证信息为图片验证码。图片验证码较难破解,因而可W大大 限制了通过恶意程序进行访问的行为,但同时不会影响正常用户的使用。
[0182] 比如高校网络的出口 ip,某个区域的移动网络的ip,都可能是大量用户共用同一 个ip网段;如果对于检测到的恶意访问ip直接拒绝访问的话,会导致运部分正常用户完全 无法使用;为了避免运种情况,本发明采用验证图片验证码的方法,即对检测到的恶意访问 的ip,设置为在第二限时时长内访问受限制,比如1天内访问访问受限制,在受限制的运段 时间内,该ip的用户需要根据提示输入正确的图片验证码才能正常访问,每次正确验证验 证码之后,可在第一限时时长内(比如5分钟内)正常访问。
[0183] 同时,本发明还提供了一种恶意访问的拦截装置的第一实施例。
[0184] 如图6所示,其是本发明提供的恶意访问的拦截装置的第一实施例的结构框图,其 包括:
[0185] 恶意访问判断模块301,用于通过上述恶意访问的判断装置的第一实施例的装置, 或通过上述恶意访问的判断装置的第二实施例的装置,判断发出访问请求的IP地址是否属 于恶意访问;
[0186] 验证模块302,用于在判定所述IP地址属于恶意访问时,向所述IP地址发送验证信 息,并验证所述IP地址返回的待验证信息是否正确;
[0187] 第一执行模块303,用于当所述IP地址返回的待验证信息不正确时,拒绝向所述IP 地址回复相应的响应消息。
[0188] 作为更优选地,所述恶意访问的拦截装置还包括:
[0189] 第二执行模块,用于当所述IP地址返回的待验证信息正确时,在后续的第一限时 时长内每当获取到所述IP地址的访问请求,向所述IP地址回复相应的响应消息,并且在所 述第一限时时长之后响应于所述IP地址的访问请求重新向所述IP地址发送验证信息进行 验证。
[0190] 作为更优选地,所述恶意访问的拦截装置还包括:
[0191] 计时模块,用于在判定所述IP地址属于恶意访问时,开始计时;
[0192] 重新判断模块,用于当计时超过第二限时时长时,响应于所述IP地址的访问请求 重新通过上述实施例所述的恶意访问的判断装置,或通过上述另一实施例所述的恶意访问 的判断装置,判断所述IP地址是否属于恶意访问;其中,所述第一限时时长小于所述第二限 时时长。
[0193] 作为更优选地,所述验证信息为图片验证码。
[0194] 需要说明的是,本实施例提供的恶意访问的拦截装置用于执行上述恶意访问的判 断方法的第二实施例的所有方法步骤,其工作原理和有益效果一一对应,因而不再寶述。 [01%]本发明的有益效果在于:本发明提供了一种恶意访问的判断方法,通过计算所述 IP地址在所述第一时间段的每个子时间段的访问次数的加权平均值,并与预设的第一访问 次数阔值比较,来判断所述IP地址是否属于恶意访问。其中,所述N个子时间段分别被配置 了不同的访问次数权重值,且与当前时间TO的时间差越大的子时间段被配置的访问次数权 重值越低。可见,过去时间越久的子时间段内的访问次数影响越小,而过去时间越小,即越 接近当前时间TO的子时间段内的访问次数影响越大,从而可W更加真实地反映了用户的访 问行为,大大提高了判断一个IP地址是否属于恶意访问的准确性。更进一步地,本发明还通 过统计IP地址所在网段的访问次数进行判断,可W很好地解决了黑客采用多个IP地址同时 访问或者轮流访问而提高服务器的负载的问题。更进一步地,本发明还提供一种恶意访问 的拦截方法,能限制IP地址恶意访问,也不会对正常用户造成很大的影响。同时,本发明还 提供了一种恶意访问的判断装置,用于执行上述的恶意访问的判断方法,W及一种恶意访 问的拦截装置,用于执行上述的恶意访问的拦截方法。
[0196]本领域普通技术人员可W理解实现上述实施例方法中的全部或部分流程,是可W 通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质 中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁 碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(RandomAccess Memory,RAM)等。
[0197] W上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员 来说,在不脱离本发明原理的前提下,还可W做出若干改进和润饰,运些改进和润饰也视为 本发明的保护范围。
【主权项】
1. 一种恶意访问的判断方法,其特征在于,包括: 当接收到一个IP地址的访问请求时,确定第一时间段;所述第一时间段为过去时刻Tl 到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个连续的子时间段;所述N个 子时间段分别被配置了不同的访问次数权重值,且与当前时间TO的时间差越大的子时间段 被配置的访问次数权重值越低; 统计所述IP地址在每个子时间段的访问次数; 根据所述IP地址在每个子时间段的访问次数以及每个子时间段被配置的访问次数权 重值,计算所述IP地址在每个子时间段的访问次数的加权平均值; 比较所述加权平均值与预设的第一访问次数阈值,当所述加权平均值大于预设的第一 访问次数阈值时,判定所述IP地址属于恶意访问。2. 如权利要求1所述的恶意访问的判断方法,其特征在于,所述加权平均值的计算公式 为:其中,Q为所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均值;η 为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,1<η <N;qn为第η 个时间段的访问次数;f(n)为第η个时间段所配置的访问次数权重值,且f(n)为减函数。3. 如权利要求2所述的恶意访问的判断方法,其特征在于, f(n) = (2/3)n_1〇4. 如权利要求1~3任一项所述的恶意访问的判断方法,其特征在于,所述恶意访问的 判断方法还包括: 当所述加权平均值小于预设的第一访问次数阈值时,获取所述IP地址在第二时间段内 的访问次数;所述第二时间段为过去时刻T2到当前时间TO之间的时间段; 比较所述IP地址在第二时间段内的访问次数与预设的第二访问次数阈值,当在所述第 二时间段内的访问次数大于所述第二访问次数阈值时,判定所述IP地址属于恶意访问。5. 如权利要求4所述的恶意访问的判断方法,其特征在于,所述第二时间段的时间长度 小于或等于所述第一时间段的任一个子时间段的时间长度。6. 如权利要求1所述的恶意访问的判断方法,其特征在于,所述恶意访问的判断方法还 包括: 每当接收到一个IP地址的访问请求时,记录所述IP地址的登录时间,用以统计所述IP 地址在任一个时间段内的访问次数。7. -种恶意访问的判断装置,其特征在于,包括: 时间段确定模块,用于当接收到一个IP地址的访问请求时,确定第一时间段;所述第一 时间段为过去时刻Tl到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个连续 的子时间段;所述N个子时间段分别被配置了不同的访问次数权重值,且与当前时间TO的时 间差越大的子时间段被配置的访问次数权重值越低; 第一访问次数统计模块,用于统计所述IP地址在每个子时间段的访问次数; 加权值计算模块,用于根据所述IP地址在每个子时间段的访问次数以及每个子时间段 被配置的访问次数权重值,计算所述IP地址在每个子时间段的访问次数的加权平均值; 第一判定模块,比较所述加权平均值与预设的第一访问次数阈值,当所述加权平均值 大于预设的第一访问次数阈值时,判定所述IP地址属于恶意访问。8. 如权利要求7所述 的恶意访问的判断装置,其特征在于,所述加权平均值的计算公式 为:其中,Q为所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均值;η 为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,1<η <N;qn为第η 个时间段的访问次数;f(n)为第η个时间段所配置的访问次数权重值,且f(n)为减函数。9. 如权利要求8所述的恶意访问的判断装置,其特征在于, f(n) = (2/3)n_1〇10. 如权利要求7~9任一项所述的恶意访问的判断装置,其特征在于,所述恶意访问的 判断装置还包括: 第二访问次数统计模块,用于当所述加权平均值小于预设的第一访问次数阈值时,统 计所述IP地址在第二时间段内的访问次数;所述第二时间段为过去时刻T2到当前时间TO之 间的时间段; 第二判定模块,用于比较所述IP地址在第二时间段内的访问次数与预设的第二访问次 数阈值,当在所述第二时间段内的访问次数大于所述第二访问次数阈值时,判定所述IP地 址属于恶意访问。11. 如权利要求10所述的恶意访问的判断装置,其特征在于,所述第二时间段的时间长 度小于或等于所述第一时间段的任一个子时间段的时间长度。12. 如权利要求7所述的恶意访问的判断装置,其特征在于,所述恶意访问的判断装置 还包括: 登录时间记录模块,用于每当接收到一个IP地址的访问请求时,记录所述IP地址的登 录时间,用以统计所述IP地址在任一个时间段内的访问次数。13. -种恶意访问的判断方法,其特征在于,包括: 当接收到一个IP地址的访问请求时,确定第一时间段;所述第一时间段为过去时刻Tl 到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个连续的子时间段;所述N个 子时间段分别被配置了不同的访问次数权重值,且与当前时间TO的时间差越大的子时间段 被配置的访问次数权重值越低; 统计所述IP地址所在的网段在每个子时间段的访问次数;其中,所述网段由多个IP地 址组成;所述网段在某个子时间段的访问次数等于所述多个IP地址在该子时间段的访问次 数的总和; 根据所述网段在每个子时间段的访问次数以及每个子时间段被配置的访问次数权重 值,计算所述网段在每个子时间段的访问次数的加权平均值; 比较所述加权平均值与预设的第一访问次数阈值,当所述加权平均值大于预设的第一 访问次数阈值时,判定所述IP地址属于恶意访问。14. 如权利要求13所述的恶意访问的判断方法,其特征在于,所述加权平均值的计算公 式为:其中,Q为所述网段在所述第一时间段的每个子时间段的访问次数的加权平均值;η为 子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,l<n <N;qn为第η个 时间段的访问次数;f(n)为第η个时间段所配置的访问次数权重值,且f(n)为减函数。15. 如权利要求14所述的恶意访问的判断方法,其特征在于, f(n) = (2/3)n_1〇16. 如权利要求13~15任一项所述的恶意访问的判断方法,其特征在于,所述恶意访问 的判断方法还包括: 当所述加权平均值小于预设的第一访问次数阈值时,获取所述网段在第二时间段内的 访问次数;所述第二时间段为过去时刻T2到当前时间TO之间的时间段; 比较所述网段在第二时间段内的访问次数与预设的第二访问次数阈值,当在所述第二 时间段内的访问次数大于所述第二访问次数阈值时,判定所述IP地址属于恶意访问。17. 如权利要求16所述的恶意访问的判断方法,其特征在于,所述第二时间段的时间长 度小于或等于所述第一时间段的任一个子时间段的时间长度。18. 如权利要求13所述的恶意访问的判断方法,其特征在于,所述恶意访问的判断方法 还包括: 每当接收到一个IP地址的访问请求时,记录所述IP地址的登录时间,用以统计所述IP 地址在任一个时间段内的访问次数。19. 一种恶意访问的判断装置,其特征在于,包括: 时间段确定模块,用于当接收到一个IP地址的访问请求时,确定第一时间段;所述第一 时间段为过去时刻Tl到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个连续 的子时间段;所述N个子时间段分别被配置了不同的访问次数权重值,且与当前时间TO的时 间差越大的子时间段被配置的访问次数权重值越低; 第一访问次数统计模块,用于统计所述IP地址在每个子时间段的访问次数; 加权值计算模块,用于根据每个子时间段的访问次数以及被配置的访问次数权重值, 计算所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均值; 第一判定模块,比较所述加权平均值与预设的第一访问次数阈值,当所述加权平均值 大于预设的第一访问次数阈值时,判定所述IP地址属于恶意访问。20. 如权利要求19所述的恶意访问的判断装置,其特征在于,所述加权平均值的计算公 式为:其中,Q为所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均值;η 为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,1<η <N;qn为第η 个时间段的访问次数;f(n)为第η个时间段所配置的访问次数权重值,且f(n)为减函数。21. 如权利要求20所述的恶意访问的判断装置,其特征在于, f(n) = (2/3)n_1〇22. 如权利要求19~21任一项所述的恶意访问的判断装置,其特征在于,所述恶意访问 的判断装置还包括: 第二访问次数统计模块,用于当所述加权平均值小于预设的第一访问次数阈值时,统 计所述IP地址在第二时间段内的访问次数;所述第二时间段为过去时刻T2到当前时间TO之 间的时间段; 第二判定模块,用于比较所述IP地址在第二时间段内的访问次数与预设的第二访问次 数阈值,当在所述第二时间段内的访问次数大于所述第二访问次数阈值时,判定所述IP地 址属于恶意访问。23. 如权利要求22所述的恶意访问的判断装置,其特征在于,所述第二时间段的时间长 度小于或等于所述第一时间段的任一个子时间段的时间长度。24. 如权利要求19所述的恶意访问的判断装置,其特征在于,所述恶意访问的判断装置 还包括: 登录时间记录模块,用于每当接收到一个IP地址的访问请求时,记录所述IP地址的登 录时间,用以统计所述IP地址在任一个时间段内的访问次数。25. -种恶意访问的拦截方法,其特征在于,包括: 通过如权利要求1~6任一项所述的恶意访问的判断方法,或通过如权利要求13~18任 一项所述的恶意访问的判断方法,判断发出访问请求的IP地址是否属于恶意访问; 在判定所述IP地址属于恶意访问时,向所述IP地址发送验证信息,并验证所述IP地址 返回的待验证信息是否正确; 当所述IP地址返回的待验证信息不正确时,拒绝向所述IP地址回复相应的响应消息。26. 如权利要求25所述的恶意访问的拦截方法,其特征在于,所述恶意访问的拦截方法 还包括: 当所述IP地址返回的待验证信息正确时,在后续的第一限时时长内每当获取到所述IP 地址的访问请求,向所述IP地址回复相应的响应消息,并且在所述第一限时时长之后响应 于所述IP地址的访问请求重新向所述IP地址发送验证信息进行验证。27. 如权利要求26所述的恶意访问的拦截方法,其特征在于,所述恶意访问的拦截方法 还包括: 在判定所述IP地址属于恶意访问时,开始计时; 当计时超过第二限时时长时,响应于所述IP地址的访问请求重新通过如权利要求1~6 任一项所述的恶意访问的判断方法,或通过如权利要求13~18任一项所述的恶意访问的判 断方法,判断所述IP地址是否属于恶意访问;其中,所述第一限时时长小于所述第二限时时 长。28. 如权利要求25~27任一项所述的恶意访问的拦截方法,其特征在于,所述验证信息 为图片验证码。29. -种恶意访问的拦截装置,其特征在于,包括: 恶意访问判断模块,用于通过如权利要求7~12任一项所述的恶意访问的判断装置,或 通过如权利要求19~24任一项所述的恶意访问的判断装置,判断发出访问请求的IP地址是 否属于恶意访问; 验证模块,用于在判定所述IP地址属于恶意访问时,向所述IP地址发送验证信息,并验 证所述IP地址返回的待验证信息是否正确; 第一执行模块,用于当所述IP地址返回的待验证信息不正确时,拒绝向所述IP地址回 复相应的响应消息。30. 如权利要求29所述的恶意访问的拦截装置,其特征在于,所述恶意访问的拦截装置 还包括: 第二执行模块,用于当所述IP地址返回的待验证信息正确时,在后续的第一限时时长 内每当获取到所述IP地址的访问请求,向所述IP地址回复相应的响应消息,并且在所述第 一限时时长之后响应于所述IP地址的访问请求重新向所述IP地址发送验证信息进行验证。31. 如权利要求30所述的恶意访问的拦截装置,其特征在于,所述恶意访问的拦截装置 还包括: 计时模块,用于在判定所述IP地址属于恶意访问时,开始计时; 重新判断模块,用于当计时超过第二限时时长时,响应于所述IP地址的访问请求重新 通过如权利要求7~12任一项所述的恶意访问的判断装置,或通过如权利要求19~24任一 项所述的恶意访问的判断装置,判断所述IP地址是否属于恶意访问;其中,所述第一限时时 长小于所述第二限时时长。32. 如权利要求29~31任一项所述的恶意访问的拦截方法,其特征在于,所述验证信息 为图片验证码。
【专利摘要】本发明公开了一种恶意访问的判断方法与装置,该方法包括:当接收到一个IP地址的访问请求时,确定第一时间段;统计所述IP地址在每个子时间段的访问次数;根据所述IP地址在每个子时间段的访问次数以及每个子时间段被配置的访问次数权重值,计算所述IP地址在每个子时间段的访问次数的加权平均值;比较所述加权平均值与预设的第一访问次数阈值,当所述加权平均值大于预设的第一访问次数阈值时,判定所述IP地址属于恶意访问。同时,本发明还公开了一种恶意访问的拦截方法与装置。实施本发明,能够提高判断恶意访问的准确性,限制恶意访问的IP地址的访问,避免服务器负载过高,同时可以保证用户有较好的使用体验。
【IPC分类】H04L29/06
【公开号】CN105491054
【申请号】CN201510969145
【发明人】庄上林, 魏中华, 岳帅杰, 解保功, 李叠
【申请人】网易(杭州)网络有限公司
【公开日】2016年4月13日
【申请日】2015年12月22日
【技术领域】
[0001] 本发明设及互联网安全技术领域,尤其设及一种恶意访问的判断方法、拦截方法 与装置。
【背景技术】
[0002] 网络应用被大批量的恶意访问,是一个很常见的问题;恶意程序短时间内大量访 问,可能导致服务器负载急剧升高,甚至停止响应;网络爬虫对冷数据的访问,也会给数据 库服务器带来额外的压力。
[0003] 目前,在判断一个IP地址是否属于恶意访问的通常的做法是统计所述IP地址在过 去的一段时间内的总的访问次数并与一个阔值比较,当超过所述阔值时则认为所述IP地址 属于恶意访问,并且采取对应的限制措施来限制该IP地址访问。
[0004] 但是运种做法只是一种笼统的判断方式,精确度不够,很有可能会造成误判。例 如,在过去的一段时间内,用户的账号被盗号,并且W高频率地访问服务器,用户在取回账 号后,恢复了正常的频率访问服务器,但是由于被盗号期间的访问次数过大,导致用户取回 账号后也依然被认为总的访问次数超过阔值,依然会受到限制,大大地影响了用户的体验。
【发明内容】
[0005] 本发明实施例提出一种恶意访问的判断方法、拦截方法与装置,能够提高判断恶 意访问的准确性,限制恶意访问的IP地址的访问,避免服务器负载过高,同时可W保证用户 有较好的体验。
[0006] 本发明实施例提供一种恶意访问的判断方法,包括:
[0007] 当接收到一个IP地址的访问请求时,确定第一时间段;所述第一时间段为过去时 刻T1到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个连续的子时间段;所 述N个子时间段分别被配置了不同的访问次数权重值,且与当前时间TO的时间差越大的子 时间段被配置的访问次数权重值越低;
[000引统计所述IP地址在每个子时间段的访问次数;
[0009] 根据所述IP地址在每个子时间段的访问次数W及每个子时间段被配置的访问次 数权重值,计算所述IP地址在每个子时间段的访问次数的加权平均值;
[0010] 比较所述加权平均值与预设的第一访问次数阔值,当所述加权平均值大于预设的 第一访问次数阔值时,判定所述IP地址属于恶意访问。
[0011] 作为更优选地,所述加权平均值的计算公式为:
[0012]
[0013]其中,Q为所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均 值;η为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,l<n^N;qn 为第η个时间段的访问次数;f (η)为第η个时间段所配置的访问次数权重值,且f (η)为减函 数。
[0014] 作为更优选地,f(n) = (2/3广1。
[0015] 作为更优选地,所述恶意访问的判断方法还包括:
[0016] 当所述加权平均值小于预设的第一访问次数阔值时,获取所述IP地址在第二时间 段内的访问次数;所述第二时间段为过去时刻T2到当前时间TO之间的时间段;
[0017] 比较所述IP地址在第二时间段内的访问次数与预设的第二访问次数阔值,当在所 述第二时间段内的访问次数大于所述第二访问次数阔值时,判定所述IP地址属于恶意访 问。
[0018] 作为更优选地,所述第二时间长度小于或等于所述第一时间段的任一个子时间段 的时间长度。
[0019] 作为更优选地,所述恶意访问的判断方法还包括:
[0020] 每当接收到一个IP地址的访问请求时,记录所述IP地址的登录时间,用W统计所 述IP地址在任一个时间段内的访问次数。
[0021] 相应地,本发明还提供一种恶意访问的判断装置,包括:
[0022] 时间段确定模块,用于当接收到一个IP地址的访问请求时,确定第一时间段;所述 第一时间段为过去时刻T1到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个 连续的子时间段;所述N个子时间段分别被配置了不同的访问次数权重值,且与当前时间TO 的时间差越大的子时间段被配置的访问次数权重值越低;
[0023] 第一访问次数统计模块,用于统计所述IP地址在每个子时间段的访问次数;
[0024] 加权值计算模块,用于根据所述IP地址在每个子时间段的访问次数W及每个子时 间段被配置的访问次数权重值,计算所述IP地址在每个子时间段的访问次数的加权平均 值;
[0025] 第一判定模块,比较所述加权平均值与预设的第一访问次数阔值,当所述加权平 均值大于预设的第一访问次数阔值时,判定所述IP地址属于恶意访问。
[0026] 作为更优选地,所述加权平均值的计算公式为:
[0027]
[0028] 其中,Q为所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均 值;η为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,l<n^N;qn 为第η个时间段的访问次数;f (η)为第η个时间段所配置的访问次数权重值,且f (η)为减函 数。
[0029] 作为更优选地,f (η) = (2/3广1。
[0030] 作为更优选地,所述恶意访问的判断装置还包括:
[0031] 第二访问次数统计模块,用于当所述加权平均值小于预设的第一访问次数阔值 时,统计所述IP地址在第二时间段内的访问次数;所述第二时间段为过去时刻Τ2到当前时 间TO之间的时间段;
[0032] 第二判定模块,用于比较所述IP地址在第二时间段内的访问次数与预设的第二访 问次数阔值,当在所述第二时间段内的访问次数大于所述第二访问次数阔值时,判定所述 IP地址属于恶意访问。
[0033] 作为更优选地,所述第二时间长度小于或等于所述第一时间段的任一个子时间段 的时间长度。
[0034] 作为更优选地,所述恶意访问的判断装置还包括:
[0035] 登录时间记录模块,用于每当接收到一个IP地址的访问请求时,记录所述IP地址 的登录时间,用W统计所述IP地址在任一个时间段内的访问次数。
[0036] 本发明另一实施例提供一种恶意访问的判断方法,包括:
[0037] 当接收到一个IP地址的访问请求时,确定第一时间段;所述第一时间段为过去时 刻T1到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个连续的子时间段;所 述N个子时间段分别被配置了不同的访问次数权重值,且与当前时间TO的时间差越大的子 时间段被配置的访问次数权重值越低;
[0038] 统计所述IP地址所在的网段在每个子时间段的访问次数;其中,所述网段由多个 IP地址组成;所述网段在某个子时间段的访问次数等于所述多个IP地址在该子时间段的访 问次数的总和;
[0039] 根据所述网段在每个子时间段的访问次数W及每个子时间段被配置的访问次数 权重值,计算所述网段在每个子时间段的访问次数的加权平均值;
[0040] 比较所述加权平均值与预设的第一访问次数阔值,当所述加权平均值大于预设的 第一访问次数阔值时,判定所述IP地址属于恶意访问。
[0041] 作为更优选地,所述加权平均值的计算公式为:
[0042]
[0043] 其中,Q为所述网段在所述第一时间段的每个子时间段的访问次数的加权平均值; η为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,1如^N;qn为第 η个时间段的访问次数;f(n)为第η个时间段所配置的访问次数权重值,且f(n)为减函数。
[0044] 作为更优选地,f(n) = (2/3)w。
[0045] 作为更优选地,所述恶意访问的判断方法还包括:
[0046] 当所述加权平均值小于预设的第一访问次数阔值时,获取所述网段在第二时间段 内的访问次数;所述第二时间段为过去时刻T2到当前时间TO之间的时间段;
[0047] 比较所述网段在第二时间段内的访问次数与预设的第二访问次数阔值,当在所述 第二时间段内的访问次数大于所述第二访问次数阔值时,判定所述IP地址属于恶意访问。 [004引作为更优选地,所述第二时间长度小于或等于所述第一时间段的任一个子时间段 的时间长度。
[0049] 作为更优选地,所述恶意访问的判断方法还包括:
[0050] 每当接收到一个IP地址的访问请求时,记录所述IP地址的登录时间,用W统计所 述IP地址在任一个时间段内的访问次数。
[0051] 相应地,本发明另一实施例还提供一种恶意访问的判断装置,包括:
[0052] 时间段确定模块,用于当接收到一个IP地址的访问请求时,确定第一时间段;所述 第一时间段为过去时刻T1到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个 连续的子时间段;所述N个子时间段分别被配置了不同的访问次数权重值,且与当前时间TO 的时间差越大的子时间段被配置的访问次数权重值越低;
[0053] 第一访问次数统计模块,用于统计所述IP地址在每个子时间段的访问次数;
[0054] 加权值计算模块,用于根据每个子时间段的访问次数W及被配置的访问次数权重 值,计算所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均值;
[0055] 第一判定模块,比较所述加权平均值与预设的第一访问次数阔值,当所述加权平 均值大于预设的第一访问次数阔值时,判定所述IP地址属于恶意访问。
[0056] 作为更优选地,所述加权平均值的计算公式为:
[0化7]
[005引其中,Q为所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均 值;η为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,l<n^N;qn 为第η个时间段的访问次数;f (η)为第η个时间段所配置的访问次数权重值,且f (η)为减函 数。
[0059] 作为更优选地,f(n) = (2/3)n-i。
[0060] 作为更优选地,所述恶意访问的判断装置还包括:
[0061] 第二访问次数统计模块 ,用于当所述加权平均值小于预设的第一访问次数阔值 时,统计所述IP地址在第二时间段内的访问次数;所述第二时间段为过去时刻T2到当前时 间TO之间的时间段;
[0062] 第二判定模块,用于比较所述IP地址在第二时间段内的访问次数与预设的第二访 问次数阔值,当在所述第二时间段内的访问次数大于所述第二访问次数阔值时,判定所述 IP地址属于恶意访问。
[0063] 作为更优选地,所述第二时间长度小于或等于所述第一时间段的任一个子时间段 的时间长度。
[0064] 作为更优选地,所述恶意访问的判断装置还包括:
[0065] 登录时间记录模块,用于每当接收到一个IP地址的访问请求时,记录所述IP地址 的登录时间,用W统计所述IP地址在任一个时间段内的访问次数。
[0066] 同时,本发明实施例还提供一种恶意访问的拦截方法,包括:
[0067] 通过上述实施例所述的恶意访问的判断方法,或通过上述另一实施例所述的恶意 访问的判断方法,判断发出访问请求的IP地址是否属于恶意访问;
[0068] 在判定所述IP地址属于恶意访问时,向所述IP地址发送验证信息,并验证所述IP 地址返回的待验证信息是否正确;
[0069] 当所述IP地址返回的待验证信息不正确时,拒绝向所述IP地址回复相应的响应消 息。
[0070] 作为更优选地,所述恶意访问的拦截方法还包括:
[0071] 当所述IP地址返回的待验证信息正确时,在后续的第一限时时长内每当获取到所 述IP地址的访问请求,向所述IP地址回复相应的响应消息,并且在所述第一限时时长之后 响应于所述IP地址的访问请求重新向所述IP地址发送验证信息进行验证。
[0072] 作为更优选地,所述恶意访问的拦截方法还包括:
[0073] 在判定所述IP地址属于恶意访问时,开始计时;
[0074] 当计时超过第二限时时长时,响应于所述IP地址的访问请求重新上述实施例所述 的恶意访问的判断方法,或通过上述另一实施例所述的恶意访问的判断方法,判断所述IP 地址是否属于恶意访问;其中,所述第一限时时长小于所述第二限时时长。
[0075] 作为更优选地,所述验证信息为图片验证码。
[0076] 相应地,本发明实施例还提供一种恶意访问的拦截装置,包括:
[0077] 恶意访问判断模块,用于通过上述实施例所述的恶意访问的判断装置,或通过上 述另一实施例所述的恶意访问的判断装置,判断发出访问请求的IP地址是否属于恶意访 问;
[0078] 验证模块,用于在判定所述IP地址属于恶意访问时,向所述IP地址发送验证信息, 并验证所述IP地址返回的待验证信息是否正确;
[0079] 第一执行模块,用于当所述IP地址返回的待验证信息不正确时,拒绝向所述IP地 址回复相应的响应消息。
[0080] 作为更优选地,所述恶意访问的拦截装置还包括:
[0081] 第二执行模块,用于当所述IP地址返回的待验证信息正确时,在后续的第一限时 时长内每当获取到所述IP地址的访问请求,向所述IP地址回复相应的响应消息,并且在所 述第一限时时长之后响应于所述IP地址的访问请求重新向所述IP地址发送验证信息进行 验证。
[0082] 作为更优选地,所述恶意访问的拦截装置还包括:
[0083] 计时模块,用于在判定所述IP地址属于恶意访问时,开始计时;
[0084] 重新判断模块,用于当计时超过第二限时时长时,响应于所述IP地址的访问请求 重新通过上述实施例所述的恶意访问的判断装置,或通过上述另一实施例所述的恶意访问 的判断装置,判断所述IP地址是否属于恶意访问;其中,所述第一限时时长小于所述第二限 时时长。
[0085] 作为更优选地,所述验证信息为图片验证码。
[0086] 实施本发明实施例,具有如下有益效果:本发明提供了一种恶意访问的判断方法, 通过计算所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均值,并与预 设的第一访问次数阔值比较,来判断所述IP地址是否属于恶意访问。其中,所述N个子时间 段分别被配置了不同的访问次数权重值,且与当前时间TO的时间差越大的子时间段被配置 的访问次数权重值越低。可见,过去时间越久的子时间段内的访问次数影响越小,而过去时 间越小,即越接近当前时间TO的子时间段内的访问次数影响越大,从而可W更加真实地反 映了用户的访问行为,大大提高了判断一个IP地址是否属于恶意访问的准确性。更进一步 地,本发明还通过统计IP地址所在网段的访问次数进行判断,可W很好地解决了黑客采用 多个IP地址同时访问或者轮流访问而提高服务器的负载的问题。更进一步地,本发明还提 供一种恶意访问的拦截方法,能限制IP地址恶意访问,也不会对正常用户造成很大的影响。 同时,本发明还提供了一种恶意访问的判断装置,用于执行上述的恶意访问的判断方法,W 及一种恶意访问的拦截装置,用于执行上述的恶意访问的拦截方法。
【附图说明】
[0087] 图1是本发明提供的一种恶意访问的判断方法的第一实施例的流程示意图;
[0088] 图2是本发明提供的一种恶意访问的判断装置的第一实施例的结构框图;
[0089] 图3是本发明提供的一种恶意访问的判断方法的第二实施例的流程示意图;
[0090] 图4是本发明提供的一种恶意访问的判断装置的第二实施例的结构框图;
[0091] 图5是本发明提供的一种恶意访问的拦截方法的第一实施例的流程示意图;
[0092] 图6是本发明提供的一种恶意访问的拦截装置的第一实施例的结构框图。
【具体实施方式】
[0093] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。
[0094] 参见图1,是本发明提供的一种移动终端的应用程序更新方法的第一实施例的流 程示意图,该方法包括W下步骤:
[00M] S101,当接收到一个IP地址的访问请求时,确定第一时间段;所述第一时间段为过 去时刻T1到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个连续的子时间 段;所述N个子时间段分别被配置了不同的访问次数权重值,且与当前时间TO的时间差越大 的子时间段被配置的访问次数权重值越低;其中,每个子时间段的时间长度可W为相同的 时间长度;
[0096] S102,统计所述IP地址在每个子时间段的访问次数;
[0097] S103,根据所述IP地址在每个子时间段的访问次数W及每个子时间段被配置的访 问次数权重值,计算所述IP地址在每个子时间段的访问次数的加权平均值;
[0098] S104,比较所述加权平均值与预设的第一访问次数阔值,当所述加权平均值大于 预设的第一访问次数阔值时,判定所述IP地址属于恶意访问。
[0099] 在本实施例中,T1到TO的时间差,即第一时间段的时间长度是一个预设值。
[0100] 具体地,在步骤S103中,所述加权平均值的计算公式为:
[0101]
[0102]其中,Q为所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均 值;η为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,l<n^N;qn 为第η个时间段的访问次数;f (η)为第η个时间段所配置的访问次数权重值,且f (η)为减函 数。例如,f (η) = (2/3 广1。
[0103] 在本实施例中,通过计算所述IP地址在所述第一时间段的每个子时间段的访问次 数的加权平均值,并与预设的第一访问次数阔值比较,来判断所述IP地址是否属于恶意访 问。其中,所述N个子时间段分别被配置了不同的访问次数权重值,且与当前时间TO的时间 差越大的子时间段被配置的访问次数权重值越低。可见,过去时间越久的子时间段内的访 问次数影响越小,而过去时间越小,即越接近当前时间TO的子时间段内的访问次数影响越 大,从而可W更加真实地反映了用户的访问行为,大大提高了判断一个IP地址是否属于恶 意访问的准确性。
[0104] 作为更优选地,所述恶意访问的判断方法还包括:
[0105] 当所述加权平均值小于预设的第一访问次数阔值时,获取所述IP地址在第二时间 段内的访问次数;所述第二时间段为过去时刻T2到当前时间TO之间的时间段;
[0106] 比较所述IP地址在第二时间段内的访问次数与预设的第二访问次数阔值,当在所 述第二时间段内的访问次数大于所述第二访问次数阔值时,判定所述IP地址属于恶意访 问。
[0107] 在本实施例中,T2到TO的时间差,即第二时间段的时间长度是一个预设值。
[0108] 作为更优选地,所述第二时间段的时间长度小于或等于所述第一时间段的任一个 子时间段的时间长度。
[0109] 例如,第一时间段的时间长度为5小时,并且所述第一时间段分为5个子时间段,每 个子时间段的时间长度为1小时,而第二时间段的时间长度可W为30分钟。
[0110] 因此,可W通过采取两种检测机制相结合的方式,采用加权平均值进行判断的方 式可W判断较长时间的恶意访问的类型,而采用第二时间段进行判断的方式则可W判断较 短时间的恶意访问的类型。两者结合可W进一步提高判断的准确性。
[0111] 作为更优选地,所述恶意访问的判断方法还包括:
[0112] 每当接收到一个IP地址的访问请求时,记录所述IP地址的登录时间,用W统计所 述IP地址在任一个时间段内的访问次数。在本实施例中,采用RediS工具统计所述IP地址在 任一个时间段内的访问次数。
[0113] 需要说明的是,统计所述IP地址在任一个时间段内的访问次数并不限于上述记录 所述IP地址的登录时间的方式,对于本领域技术人员来说,其他变形的或经过润饰的实施 方式也属于本发明的保护范围之内。
[0114] 相应地,本发明还提供了一种恶意访问的判断装置的第一实施例。
[0115] 如图2所示,其是本发明提供的恶意访问的判断装置的第一实施例的结构框图,其 包括:
[0116] 时间段确定模块101,用于当接收到一个IP地址的访问请求时,确定第一时间段; 所述第一时间段为过去时刻T1到当前时间TO之间的时间段;其中,所述第一时间段被划分 为N个连续的子时间段;所述N个子时间段分别被配置了不同的访问次数权重值,且与当前 时间TO的时间差越大的子时间段被配置的访问次数权重值越低;其中,每个子时间段的时 间长度可W为相同的时间长度;
[0117] 第一访问次数统计模块102,用于统计所述IP地址在每个子时间段的访问次数;
[0118] 加权值计算模块103,用于根据所述IP地址在每个子时间段的访问次数W及每个 子时间段被配置的访问次数权重值,计算所述IP地址在每个子时间段的访问次数的加权平 均值;
[0119] 第一判定模块104,比较所述加权平均值与预设的第一访问次数阔值,当所述加权 平均值大于预设的第一访问次数阔值时,判定所述IP地址属于恶意访问。
[0120] 具体地,所述加权平均值的计算公式为:
[0121]
[0122] 其中,Q为所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均 值;η为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,l<n^N;qn 为第η个时间段的访问次数;f (η)为第η个时间段所配置的访问次数权重值,且f (η)为减函 数。例如,f (η) = (2/3 广1。
[0123] 作为更优选地,所述恶意访问的判断装置还包括:
[0124] 第二访问次数统计模块,用于当所述加权平均值小于预设的第一访问次数阔值 时,统计所述IP地址在第二时间段内的访问次数;所述第二时间段为过去时刻T2到当前时 间TO之间的时间段;
[0125] 第二判定模块,用于比较所述IP地址在第二时间段内的访问次数与预设的第二访 问次数阔值,当在所述第二时间段内的访问次数大于所述第二访问次数阔值时,判定所述 IP地址属于恶意访问。
[0126] 作为更优选地,所述第二时间段的时间长度小于或等于所述第一时间段的任一个 子时间段的时间长度。
[0127] 作为更优选地,所述恶意访问的判断装置还包括:
[0128] 登录时间记录模块,用于每当接收到一个IP地址的访问请求时,记录所述IP地址 的登录时间,用W统计所述IP地址在任一个时间段内的访问次数。在本实施例中,采用 Redis工具统计所述IP地址在任一个时间段内的访问次数。
[0129] 需要说明的是,本实施例提供的恶意访问的判断装置用于执行上述恶意访问的判 断方法的第一实施例的所有方法步骤,其工作原理和有益效果一一对应,因而不再寶述。
[0130] 参见图3,是本发明提供的一种移动终端的应用程序更新方法的第二实施例的流 程示意图,该方法包括W下步骤:
[0131] S201,当接收到一个IP地址的访问请求时,确定第一时间段;所述第一时间段为过 去时刻T1到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个连续的子时间 段;所述N个子时间段分别被配置了不同的访问次数权重值,且与当前时间TO的时间差越大 的子时间段被配置的访问次数权重值越低;其中,每个子时间段的时间长度可W为相同的 时间长度;
[0132] S202,统计所述IP地址所在的网段在每个子时间段的访问次数;其中,所述网段由 多个IP地址组成;所述网段在某个子时间段的访问次数等于所述多个IP地址在该子时间段 的访问次数的总和;
[0133] S203,根据所述网段在每个子时间段的访问次数W及每个子时间段被配置的访问 次数权重值,计算所述网段在每个子时间段的访问次数的加权平均值;
[0134] S204,比较所述加权平均值与预设的第一访问次数阔值,当所述加权平均值大于 预设的第一访问次数阔值时,判定所述IP地址属于恶意访问。
[0135] 在本实施例中,T1和TO的时间差,即第一时间段的时间长度是一个预设值。
[0136] 具体地,所述加权平均值的计算公式为:
[0137]
[0138] 其中,Q为所述网段在所述第一时间段的每个子时间段的访问次数的加权平均值; η为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,1如如;qn为第 η个时间段的访问次数;f (η)为第η个时间段所配置的访问次数权重值,且f(n)为减函数。例 如,f(n) = (2/3 广1。
[0139] 本实施例与上述恶意访问的判断方法的第一实施例的区别在于,本实施例统计的 是IP地址所在网段的访问次数,而上述恶意访问的判断方法的第一实施例统计的是IP地址 的访问次数。通常来说,黑客在恶意访问时并不只是用一个IP地址进行访问,而是多个IP地 址进行访问。
[0140] 考虑一个情形,假如黑客同时用多个IP地址访问服务器,而每个IP地址的访问次 数都没有超过阔值,则此时无法对任一个IP地址进行限制,服务器收到巨大的访问压力。
[0141] 考虑另一个情形,假如黑客用IP地址A访问服务器,服务器检测到IP地址A属于恶 意访问,并且对其限制访问。但是黑客又用IP地址B访问服务器,服务器可能在短时间内无 法检测到运个IP地址也是属于恶意访问的,也无法对其限制访问。当服务器检测到IP地址B 也是恶意访问时,黑客又可W用新的IP地址进行恶意访问。
[0142] 而本实施例的方案是通过统计IP地址所在网段的访问次数进行判断,可W很好地 解决了黑客采用多个IP地址同时访问或者轮流访问而提高服务器的负载的问题。
[0143] 作为更优选地,所述恶意访问的判断方法还包括:
[0144] 当所述加权平均值小于预设的第一访问次数阔值时,获取所述网段在第二时间段 内的访问次数;所述第二时间段为过去时刻T2到当前时间TO之间的时间段;
[0145] 比较所述网段在第二时间段内的访问次数与预设的第二访问次数阔值,当在所述 第二时间段内的访问次数大于所述第二访问次数阔值时,判定所述IP地址属于恶意访问。
[0146] 在本实施例中,T2和TO的时间差,即第二时间段的时间长度是一个预设值。
[0147] 作为更优选地,所述第二时间段的时间长度小于或等于所述第一时间段的任一个 子时间段的时间长度。
[0148] 例如,第一时间段的时间长度为5小时,并且所述第一时间段分为5个子时间段,每 个子时间段的时间长度为1小时,而第二时间段的时间长度可W为30分钟。
[0149] 因此,可W通过采取两种检测机制相结合的方式,采用加权平均值进行判断的方 式可W判断较长时间的恶意访问的类型,而采用第二时间段进行判断的方式则可W判断较 短时间的恶意访问的类型。两者结合可W进一步提高判断的准确性。
[0150] 作为更优选地,所述恶意访问的判断方法还包括:
[0151] 每当接收到一个IP地址的访问请求时,记录所述IP地址的登录时间,用W统计所 述IP地址在任一个时间段内的访问次数。在本实施例中,采用RediS工具统计所述IP地址在 任一个时间段内的访问次数。
[0152] 需要说明的是,统计所述IP地址在任一个时间段内的访问次数并不限于上述记录 所述IP地址的登录时间的方式,对于本领域技术人员来说,其他变形的或经过润饰的实施 方式也属于本发明的保护范围之内。
[0153] 相应地,本发明还提供一种恶意访问的判断装置的第二实施例。
[0154] 如图4所示,其是本发明提供的恶意访问的判断装置的第二实施例的结构框图,其 包括:
[01W]时间段确定模块201,用于当接收到一个IP地址的访问请求时,确定第一时间段; 所述第一时间段为过去时刻T1到当前时间TO之间的时间段;其中,所述第一时间段被划分 为N个连续的子时间段;所述N个子时间段分别被配置了不同的访问次数权重值,且与当前 时间TO的时间差越大的子时间段被配置的访问次数权重值越低;其中,每个子时间段的时 间长度可W为相同的时间长度;
[0156] 第一访问次数统计模块202,用于统计所述IP地址在每个子时间段的访问次数;
[0157] 加权值计算模块203,用于根据每个子时间段的访问次数W及被配置的访问次数 权重值,计算所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均值;
[0158] 第一判定模块204,比较所述加权平均值与预设的第一访问次数阔值,当所述加权 平均值大于预设的第一访问次数阔值时,判定所述IP地址属于恶意访问。
[0159] 具体地,所述加权平均值的计算公式为:
[0160]
[0161] 其中,Q为所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均 值;η为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,l<n^N;qn 为第η个时间段的访问次数;f (η)为第η个时间段所配置的访问次数权重值,且f (η)为减函 数。例如,f (η) = (2/3 广1。
[0162] 作为更优选地,所述恶意访问的判断装置还包括:
[0163] 第二访问次数统计模块,用于当所述加权平均值小于预设的第一访问次数阔值 时,统计所述IP地址在第二时间段内的访问次数;所述第二时间段为过去时刻T2到当前时 间TO之间的时间段;
[0164] 第二判定模块,用于比较所述IP地址在第二时间段内的访问次数与预设的第二访 问次数阔值,当在所述第二时间段内的访问次数大于所述第二访问次数阔值时,判定所述 IP地址属于恶意访问。
[0165] 作为更优选地,所述第二时间长度小于或等于所述第一时间段的任一个子时间段 的时间长度。
[0166] 作为更优选地,所述恶意访问的判断装置还包括:
[0167] 登录时间记录模块,用于每当接收到一个IP地址的访问请求时,记 录所述IP地址 的登录时间,用W统计所述IP地址在任一个时间段内的访问次数。在本实施例中,采用 Redis工具统计所述IP地址在任一个时间段内的访问次数。
[0168] 需要说明的是,本实施例提供的恶意访问的判断装置用于执行上述恶意访问的判 断方法的第二实施例的所有方法步骤,其工作原理和有益效果一一对应,因而不再寶述。
[0169] 同时,本发明还提供了一种恶意访问的拦截方法的第一实施例。
[0170] 如图5所示,其是本发明提供的恶意访问的拦截方法的第一实施例的流程示意图, 其包括:
[0171] S301,通过上述恶意访问的判断方法的第一实施例的方法,或通过上述恶意访问 的判断方法的第二实施例的方法,判断发出访问请求的IP地址是否属于恶意访问;
[0172] S302,在判定所述IP地址属于恶意访问时,向所述IP地址发送验证信息,并验证所 述IP地址返回的待验证信息是否正确;
[0173] S303,当所述IP地址返回的待验证信息不正确时,拒绝向所述IP地址回复相应的 响应消息。
[0174] 作为更优选地,所述恶意访问的拦截方法还包括:
[0175] 当所述IP地址返回的待验证信息正确时,在后续的第一限时时长内每当获取到所 述IP地址的访问请求,向所述IP地址回复相应的响应消息,并且在所述第一限时时长之后 响应于所述IP地址的访问请求重新向所述IP地址发送验证信息进行验证。
[0176] 即对于待验证信息正确的情况下,可W允许用户在第一限时时长内不受限制正常 地访问,不用重复输入验证信息,而在第一限时时长之后则需要重新进行验证。运样既可W 避免因为将IP地址错误地判断为恶意访问而影响用户的使用体验,又可W有效地拦截真正 的恶意访问的IP地址。
[0177] 作为更优选地,所述恶意访问的拦截方法还包括:
[0178] 在判定所述IP地址属于恶意访问时,开始计时;
[0179] 当计时超过第二限时时长时,响应于所述IP地址的访问请求重新通通过上述恶意 访问的判断方法的第一实施例的方法,或通过上述恶意访问的判断方法的第二实施例的方 法,判断所述IP地址是否属于恶意访问;其中,所述第一限时时长小于所述第二限时时长。
[0180] 即在判断一个IP地址属于恶意访问之后会重新判断,而不是一直认为运个IP地址 处于恶意访问而使得该IP地址受到一直限制,例如,在用户取回了被盗的账号后,还可W正 常地使用。其中,第一限时时长可W设为5分钟,第二限时时长可W设为一天。
[0181] 作为更优选地,所述验证信息为图片验证码。图片验证码较难破解,因而可W大大 限制了通过恶意程序进行访问的行为,但同时不会影响正常用户的使用。
[0182] 比如高校网络的出口 ip,某个区域的移动网络的ip,都可能是大量用户共用同一 个ip网段;如果对于检测到的恶意访问ip直接拒绝访问的话,会导致运部分正常用户完全 无法使用;为了避免运种情况,本发明采用验证图片验证码的方法,即对检测到的恶意访问 的ip,设置为在第二限时时长内访问受限制,比如1天内访问访问受限制,在受限制的运段 时间内,该ip的用户需要根据提示输入正确的图片验证码才能正常访问,每次正确验证验 证码之后,可在第一限时时长内(比如5分钟内)正常访问。
[0183] 同时,本发明还提供了一种恶意访问的拦截装置的第一实施例。
[0184] 如图6所示,其是本发明提供的恶意访问的拦截装置的第一实施例的结构框图,其 包括:
[0185] 恶意访问判断模块301,用于通过上述恶意访问的判断装置的第一实施例的装置, 或通过上述恶意访问的判断装置的第二实施例的装置,判断发出访问请求的IP地址是否属 于恶意访问;
[0186] 验证模块302,用于在判定所述IP地址属于恶意访问时,向所述IP地址发送验证信 息,并验证所述IP地址返回的待验证信息是否正确;
[0187] 第一执行模块303,用于当所述IP地址返回的待验证信息不正确时,拒绝向所述IP 地址回复相应的响应消息。
[0188] 作为更优选地,所述恶意访问的拦截装置还包括:
[0189] 第二执行模块,用于当所述IP地址返回的待验证信息正确时,在后续的第一限时 时长内每当获取到所述IP地址的访问请求,向所述IP地址回复相应的响应消息,并且在所 述第一限时时长之后响应于所述IP地址的访问请求重新向所述IP地址发送验证信息进行 验证。
[0190] 作为更优选地,所述恶意访问的拦截装置还包括:
[0191] 计时模块,用于在判定所述IP地址属于恶意访问时,开始计时;
[0192] 重新判断模块,用于当计时超过第二限时时长时,响应于所述IP地址的访问请求 重新通过上述实施例所述的恶意访问的判断装置,或通过上述另一实施例所述的恶意访问 的判断装置,判断所述IP地址是否属于恶意访问;其中,所述第一限时时长小于所述第二限 时时长。
[0193] 作为更优选地,所述验证信息为图片验证码。
[0194] 需要说明的是,本实施例提供的恶意访问的拦截装置用于执行上述恶意访问的判 断方法的第二实施例的所有方法步骤,其工作原理和有益效果一一对应,因而不再寶述。 [01%]本发明的有益效果在于:本发明提供了一种恶意访问的判断方法,通过计算所述 IP地址在所述第一时间段的每个子时间段的访问次数的加权平均值,并与预设的第一访问 次数阔值比较,来判断所述IP地址是否属于恶意访问。其中,所述N个子时间段分别被配置 了不同的访问次数权重值,且与当前时间TO的时间差越大的子时间段被配置的访问次数权 重值越低。可见,过去时间越久的子时间段内的访问次数影响越小,而过去时间越小,即越 接近当前时间TO的子时间段内的访问次数影响越大,从而可W更加真实地反映了用户的访 问行为,大大提高了判断一个IP地址是否属于恶意访问的准确性。更进一步地,本发明还通 过统计IP地址所在网段的访问次数进行判断,可W很好地解决了黑客采用多个IP地址同时 访问或者轮流访问而提高服务器的负载的问题。更进一步地,本发明还提供一种恶意访问 的拦截方法,能限制IP地址恶意访问,也不会对正常用户造成很大的影响。同时,本发明还 提供了一种恶意访问的判断装置,用于执行上述的恶意访问的判断方法,W及一种恶意访 问的拦截装置,用于执行上述的恶意访问的拦截方法。
[0196]本领域普通技术人员可W理解实现上述实施例方法中的全部或部分流程,是可W 通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质 中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁 碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(RandomAccess Memory,RAM)等。
[0197] W上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员 来说,在不脱离本发明原理的前提下,还可W做出若干改进和润饰,运些改进和润饰也视为 本发明的保护范围。
【主权项】
1. 一种恶意访问的判断方法,其特征在于,包括: 当接收到一个IP地址的访问请求时,确定第一时间段;所述第一时间段为过去时刻Tl 到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个连续的子时间段;所述N个 子时间段分别被配置了不同的访问次数权重值,且与当前时间TO的时间差越大的子时间段 被配置的访问次数权重值越低; 统计所述IP地址在每个子时间段的访问次数; 根据所述IP地址在每个子时间段的访问次数以及每个子时间段被配置的访问次数权 重值,计算所述IP地址在每个子时间段的访问次数的加权平均值; 比较所述加权平均值与预设的第一访问次数阈值,当所述加权平均值大于预设的第一 访问次数阈值时,判定所述IP地址属于恶意访问。2. 如权利要求1所述的恶意访问的判断方法,其特征在于,所述加权平均值的计算公式 为:其中,Q为所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均值;η 为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,1<η <N;qn为第η 个时间段的访问次数;f(n)为第η个时间段所配置的访问次数权重值,且f(n)为减函数。3. 如权利要求2所述的恶意访问的判断方法,其特征在于, f(n) = (2/3)n_1〇4. 如权利要求1~3任一项所述的恶意访问的判断方法,其特征在于,所述恶意访问的 判断方法还包括: 当所述加权平均值小于预设的第一访问次数阈值时,获取所述IP地址在第二时间段内 的访问次数;所述第二时间段为过去时刻T2到当前时间TO之间的时间段; 比较所述IP地址在第二时间段内的访问次数与预设的第二访问次数阈值,当在所述第 二时间段内的访问次数大于所述第二访问次数阈值时,判定所述IP地址属于恶意访问。5. 如权利要求4所述的恶意访问的判断方法,其特征在于,所述第二时间段的时间长度 小于或等于所述第一时间段的任一个子时间段的时间长度。6. 如权利要求1所述的恶意访问的判断方法,其特征在于,所述恶意访问的判断方法还 包括: 每当接收到一个IP地址的访问请求时,记录所述IP地址的登录时间,用以统计所述IP 地址在任一个时间段内的访问次数。7. -种恶意访问的判断装置,其特征在于,包括: 时间段确定模块,用于当接收到一个IP地址的访问请求时,确定第一时间段;所述第一 时间段为过去时刻Tl到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个连续 的子时间段;所述N个子时间段分别被配置了不同的访问次数权重值,且与当前时间TO的时 间差越大的子时间段被配置的访问次数权重值越低; 第一访问次数统计模块,用于统计所述IP地址在每个子时间段的访问次数; 加权值计算模块,用于根据所述IP地址在每个子时间段的访问次数以及每个子时间段 被配置的访问次数权重值,计算所述IP地址在每个子时间段的访问次数的加权平均值; 第一判定模块,比较所述加权平均值与预设的第一访问次数阈值,当所述加权平均值 大于预设的第一访问次数阈值时,判定所述IP地址属于恶意访问。8. 如权利要求7所述 的恶意访问的判断装置,其特征在于,所述加权平均值的计算公式 为:其中,Q为所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均值;η 为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,1<η <N;qn为第η 个时间段的访问次数;f(n)为第η个时间段所配置的访问次数权重值,且f(n)为减函数。9. 如权利要求8所述的恶意访问的判断装置,其特征在于, f(n) = (2/3)n_1〇10. 如权利要求7~9任一项所述的恶意访问的判断装置,其特征在于,所述恶意访问的 判断装置还包括: 第二访问次数统计模块,用于当所述加权平均值小于预设的第一访问次数阈值时,统 计所述IP地址在第二时间段内的访问次数;所述第二时间段为过去时刻T2到当前时间TO之 间的时间段; 第二判定模块,用于比较所述IP地址在第二时间段内的访问次数与预设的第二访问次 数阈值,当在所述第二时间段内的访问次数大于所述第二访问次数阈值时,判定所述IP地 址属于恶意访问。11. 如权利要求10所述的恶意访问的判断装置,其特征在于,所述第二时间段的时间长 度小于或等于所述第一时间段的任一个子时间段的时间长度。12. 如权利要求7所述的恶意访问的判断装置,其特征在于,所述恶意访问的判断装置 还包括: 登录时间记录模块,用于每当接收到一个IP地址的访问请求时,记录所述IP地址的登 录时间,用以统计所述IP地址在任一个时间段内的访问次数。13. -种恶意访问的判断方法,其特征在于,包括: 当接收到一个IP地址的访问请求时,确定第一时间段;所述第一时间段为过去时刻Tl 到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个连续的子时间段;所述N个 子时间段分别被配置了不同的访问次数权重值,且与当前时间TO的时间差越大的子时间段 被配置的访问次数权重值越低; 统计所述IP地址所在的网段在每个子时间段的访问次数;其中,所述网段由多个IP地 址组成;所述网段在某个子时间段的访问次数等于所述多个IP地址在该子时间段的访问次 数的总和; 根据所述网段在每个子时间段的访问次数以及每个子时间段被配置的访问次数权重 值,计算所述网段在每个子时间段的访问次数的加权平均值; 比较所述加权平均值与预设的第一访问次数阈值,当所述加权平均值大于预设的第一 访问次数阈值时,判定所述IP地址属于恶意访问。14. 如权利要求13所述的恶意访问的判断方法,其特征在于,所述加权平均值的计算公 式为:其中,Q为所述网段在所述第一时间段的每个子时间段的访问次数的加权平均值;η为 子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,l<n <N;qn为第η个 时间段的访问次数;f(n)为第η个时间段所配置的访问次数权重值,且f(n)为减函数。15. 如权利要求14所述的恶意访问的判断方法,其特征在于, f(n) = (2/3)n_1〇16. 如权利要求13~15任一项所述的恶意访问的判断方法,其特征在于,所述恶意访问 的判断方法还包括: 当所述加权平均值小于预设的第一访问次数阈值时,获取所述网段在第二时间段内的 访问次数;所述第二时间段为过去时刻T2到当前时间TO之间的时间段; 比较所述网段在第二时间段内的访问次数与预设的第二访问次数阈值,当在所述第二 时间段内的访问次数大于所述第二访问次数阈值时,判定所述IP地址属于恶意访问。17. 如权利要求16所述的恶意访问的判断方法,其特征在于,所述第二时间段的时间长 度小于或等于所述第一时间段的任一个子时间段的时间长度。18. 如权利要求13所述的恶意访问的判断方法,其特征在于,所述恶意访问的判断方法 还包括: 每当接收到一个IP地址的访问请求时,记录所述IP地址的登录时间,用以统计所述IP 地址在任一个时间段内的访问次数。19. 一种恶意访问的判断装置,其特征在于,包括: 时间段确定模块,用于当接收到一个IP地址的访问请求时,确定第一时间段;所述第一 时间段为过去时刻Tl到当前时间TO之间的时间段;其中,所述第一时间段被划分为N个连续 的子时间段;所述N个子时间段分别被配置了不同的访问次数权重值,且与当前时间TO的时 间差越大的子时间段被配置的访问次数权重值越低; 第一访问次数统计模块,用于统计所述IP地址在每个子时间段的访问次数; 加权值计算模块,用于根据每个子时间段的访问次数以及被配置的访问次数权重值, 计算所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均值; 第一判定模块,比较所述加权平均值与预设的第一访问次数阈值,当所述加权平均值 大于预设的第一访问次数阈值时,判定所述IP地址属于恶意访问。20. 如权利要求19所述的恶意访问的判断装置,其特征在于,所述加权平均值的计算公 式为:其中,Q为所述IP地址在所述第一时间段的每个子时间段的访问次数的加权平均值;η 为子时间段的序号,与当前时间TO的时间差越大的子时间段,η的值越大,1<η <N;qn为第η 个时间段的访问次数;f(n)为第η个时间段所配置的访问次数权重值,且f(n)为减函数。21. 如权利要求20所述的恶意访问的判断装置,其特征在于, f(n) = (2/3)n_1〇22. 如权利要求19~21任一项所述的恶意访问的判断装置,其特征在于,所述恶意访问 的判断装置还包括: 第二访问次数统计模块,用于当所述加权平均值小于预设的第一访问次数阈值时,统 计所述IP地址在第二时间段内的访问次数;所述第二时间段为过去时刻T2到当前时间TO之 间的时间段; 第二判定模块,用于比较所述IP地址在第二时间段内的访问次数与预设的第二访问次 数阈值,当在所述第二时间段内的访问次数大于所述第二访问次数阈值时,判定所述IP地 址属于恶意访问。23. 如权利要求22所述的恶意访问的判断装置,其特征在于,所述第二时间段的时间长 度小于或等于所述第一时间段的任一个子时间段的时间长度。24. 如权利要求19所述的恶意访问的判断装置,其特征在于,所述恶意访问的判断装置 还包括: 登录时间记录模块,用于每当接收到一个IP地址的访问请求时,记录所述IP地址的登 录时间,用以统计所述IP地址在任一个时间段内的访问次数。25. -种恶意访问的拦截方法,其特征在于,包括: 通过如权利要求1~6任一项所述的恶意访问的判断方法,或通过如权利要求13~18任 一项所述的恶意访问的判断方法,判断发出访问请求的IP地址是否属于恶意访问; 在判定所述IP地址属于恶意访问时,向所述IP地址发送验证信息,并验证所述IP地址 返回的待验证信息是否正确; 当所述IP地址返回的待验证信息不正确时,拒绝向所述IP地址回复相应的响应消息。26. 如权利要求25所述的恶意访问的拦截方法,其特征在于,所述恶意访问的拦截方法 还包括: 当所述IP地址返回的待验证信息正确时,在后续的第一限时时长内每当获取到所述IP 地址的访问请求,向所述IP地址回复相应的响应消息,并且在所述第一限时时长之后响应 于所述IP地址的访问请求重新向所述IP地址发送验证信息进行验证。27. 如权利要求26所述的恶意访问的拦截方法,其特征在于,所述恶意访问的拦截方法 还包括: 在判定所述IP地址属于恶意访问时,开始计时; 当计时超过第二限时时长时,响应于所述IP地址的访问请求重新通过如权利要求1~6 任一项所述的恶意访问的判断方法,或通过如权利要求13~18任一项所述的恶意访问的判 断方法,判断所述IP地址是否属于恶意访问;其中,所述第一限时时长小于所述第二限时时 长。28. 如权利要求25~27任一项所述的恶意访问的拦截方法,其特征在于,所述验证信息 为图片验证码。29. -种恶意访问的拦截装置,其特征在于,包括: 恶意访问判断模块,用于通过如权利要求7~12任一项所述的恶意访问的判断装置,或 通过如权利要求19~24任一项所述的恶意访问的判断装置,判断发出访问请求的IP地址是 否属于恶意访问; 验证模块,用于在判定所述IP地址属于恶意访问时,向所述IP地址发送验证信息,并验 证所述IP地址返回的待验证信息是否正确; 第一执行模块,用于当所述IP地址返回的待验证信息不正确时,拒绝向所述IP地址回 复相应的响应消息。30. 如权利要求29所述的恶意访问的拦截装置,其特征在于,所述恶意访问的拦截装置 还包括: 第二执行模块,用于当所述IP地址返回的待验证信息正确时,在后续的第一限时时长 内每当获取到所述IP地址的访问请求,向所述IP地址回复相应的响应消息,并且在所述第 一限时时长之后响应于所述IP地址的访问请求重新向所述IP地址发送验证信息进行验证。31. 如权利要求30所述的恶意访问的拦截装置,其特征在于,所述恶意访问的拦截装置 还包括: 计时模块,用于在判定所述IP地址属于恶意访问时,开始计时; 重新判断模块,用于当计时超过第二限时时长时,响应于所述IP地址的访问请求重新 通过如权利要求7~12任一项所述的恶意访问的判断装置,或通过如权利要求19~24任一 项所述的恶意访问的判断装置,判断所述IP地址是否属于恶意访问;其中,所述第一限时时 长小于所述第二限时时长。32. 如权利要求29~31任一项所述的恶意访问的拦截方法,其特征在于,所述验证信息 为图片验证码。
【专利摘要】本发明公开了一种恶意访问的判断方法与装置,该方法包括:当接收到一个IP地址的访问请求时,确定第一时间段;统计所述IP地址在每个子时间段的访问次数;根据所述IP地址在每个子时间段的访问次数以及每个子时间段被配置的访问次数权重值,计算所述IP地址在每个子时间段的访问次数的加权平均值;比较所述加权平均值与预设的第一访问次数阈值,当所述加权平均值大于预设的第一访问次数阈值时,判定所述IP地址属于恶意访问。同时,本发明还公开了一种恶意访问的拦截方法与装置。实施本发明,能够提高判断恶意访问的准确性,限制恶意访问的IP地址的访问,避免服务器负载过高,同时可以保证用户有较好的使用体验。
【IPC分类】H04L29/06
【公开号】CN105491054
【申请号】CN201510969145
【发明人】庄上林, 魏中华, 岳帅杰, 解保功, 李叠
【申请人】网易(杭州)网络有限公司
【公开日】2016年4月13日
【申请日】2015年12月22日
最新回复(0)