风险识别方法及装置、存储介质及电子设备与流程

1.本发明涉及ip风险识别技术领域，特别涉及一种风险识别方法及装置、存储介质及电子设备。


背景技术：

2.目前的互联网服务通信中，为了给用户提供稳定、健康以及安全的服务，通常需要对用户发送的请求进行风险评估，对评估为存在风险的请求进行处理，以保证通信的安全。
3.目前对请求进行风险评估时，通常是对请求中的ip的风险进行评估，在确定请求中的ip存在风险时，便确定该请求存在风险。目前在评估ip的风险时，通常是通过构建黑白名单进行评估的，在用户发送的请求中的ip为黑名单中的ip时，则确定该请求中的ip存在风险。使用黑白名单对ip的风险进行评估的方式过于单一，并且在名单更新不及时的情况，极易导致风险评估结果不准确。


技术实现要素：

4.有鉴于此，本发明提供一种风险识别方法及装置、存储介质及电子设备，本方案通过使用ip请求的统计数据和风险服务信息进行风险分析，在确定ip请求存在风险时，进一步判定ip请求是否为风险ip请求，从而提高对ip请求的风险评估的准确率，减少误判的情况。
5.为实现上述目的，本发明实施例提供如下技术方案：
6.本发明第一方面公开一种风险识别方法，包括：
7.获取ip请求的统计数据，其中，所述统计数据为网关模块在当前工作周期内对所述ip请求进行统计的数据；
8.对所述统计数据进行处理，得到所述ip请求的ip风险系数；
9.获取与所述ip请求对应的风险服务信息，并对所述风险服务信息进行处理，得到所述ip请求的服务风险值；
10.基于所述服务风险值和所述ip风险系数，确定所述ip请求是否存在风险；
11.当确定所述ip请求存在风险时，基于预设的风险判定策略，判断所述ip请求是否为风险ip请求，生成所述ip请求的风险判定结果。
12.上述的方法，可选的，还包括：
13.将所述风险判定结果发送至所述网关模块，使得所述网关模块基于所述风险判定结果，确定在下一工作周期内接收到的包含所述ip请求的服务请求的连接方式。
14.上述的方法，可选的，所述对所述统计数据进行处理，得到所述ip请求的ip风险系数，包括：
15.对所述统计数据进行解析，获取所述统计数据中的各项ip属性参数；
16.对各项所述ip属性参数进行处理，得到所述ip请求的ip风险系数。
17.上述的方法，可选的，所述对所述风险服务信息进行处理，得到所述ip请求的服务
风险值，包括：
18.对所述风险服务信息进行解析，得到各项服务属性参数；
19.对各项所述服务属性参数进行处理，得到所述ip请求的服务风险值。
20.上述的方法，可选的，所述基于所述服务风险值和所述ip风险系数，确定所述ip请求是否存在风险，包括：
21.将所述服务风险值和所述ip风险系数进行乘法运算，得到所述ip请求的风险值；
22.将所述风险值和预设的风险阈值进行对比，当所述风险值大于或等于所述风险阈值时，确定所述ip请求存在风险。
23.上述的方法，可选的，还包括：
24.当确定所述ip请求为风险ip请求时，对所述ip请求进行监控，当监控到所述ip请求未被确定为风险ip请求的持续时长大于或等于预设的时长时，将所述ip请求确定为非风险ip请求，并停止对所述ip请求的监控。
25.本发明第二方面公开一种风险识别装置，包括：
26.第一获取单元，用于获取ip请求的统计数据，其中，所述统计数据为网关模块在当前工作周期内对所述ip请求进行统计的数据；
27.处理单元，用于对所述统计数据进行处理，得到所述ip请求的ip风险系数；
28.第二获取单元，用于获取与所述ip请求对应的风险服务信息，并对所述风险服务信息进行处理，得到所述ip请求的服务风险值；
29.确定单元，用于基于所述服务风险值和所述ip风险系数，确定所述ip请求是否存在风险；
30.判断单元，用于当确定所述ip请求存在风险时，基于预设的风险判定策略，判断所述ip请求是否为风险ip请求，生成所述ip请求的风险判定结果。
31.上述的装置，可选的，还包括：
32.发送单元，用于将所述风险判定结果发送至所述网关模块，使得所述网关模块基于所述风险判定结果，确定在下一工作周期内接收到的包含所述ip请求的服务请求的连接方式。
33.上述的装置，可选的，所述处理单元，包括：
34.获取子单元，用于对所述统计数据进行解析，获取所述统计数据中的各项ip属性参数；
35.第一处理子单元，用于对各项所述ip属性参数进行处理，得到所述ip请求的ip风险系数。
36.上述的装置，可选的，所述第二获取单元，包括：
37.解析子单元，用于对所述风险服务信息进行解析，得到各项服务属性参数；
38.第二处理子单元，用于对各项所述服务属性参数进行处理，得到所述ip请求的服务风险值。
39.上述的装置，可选的，所述确定单元，包括：
40.运算子单元，用于将所述服务风险值和所述ip风险系数进行乘法运算，得到所述ip请求的风险值；
41.对比子单元，用于将所述风险值和预设的风险阈值进行对比，当所述风险值大于
或等于所述风险阈值时，确定所述ip请求存在风险。
42.上述的装置，可选的，还包括：
43.监控单元，用于当确定所述ip请求为风险ip请求时，对所述ip请求进行监控，当监控到所述ip请求未被确定为风险ip请求的持续时长大于或等于预设的时长时，将所述ip请求确定为非风险ip请求，并停止对所述ip请求的监控。
44.本发明第三方面公开一种存储介质，所述存储介质包括存储的指令，其中，在所述指令运行时控制所述存储介质所在的设备执行如上所述的风险识别方法。
45.本发明第四方面公开一种电子设备，其特征在于，包括存储器，以及一个或者一个以上的指令，其中一个或者一个以上指令存储于存储器中，且经配置以由一个或者一个以上处理器执行如上所述的风险识别方法。
46.与现有技术相比，本发明具有以下优点：
47.本发明提供一种风险识别方法及装置、存储介质及电子设备，该方法包括：获取ip请求的统计数据；对统计数据进行处理，得到ip请求的ip风险系数；获取与ip请求对应的风险服务信息，并对风险服务信息进行处理，得到ip请求的服务风险值；基于服务风险值和ip风险系数，确定ip请求是否存在风险；当确定ip请求存在风险时，基于预设的风险判定策略，判断ip请求是否为风险ip请求，生成ip请求的风险判定结果。本发明通过对ip请求的统计数据和风险服务信息进行处理，得到服务风险值和ip风险系数，基于服务风险值和ip风险系数对ip请求进行风险分析，以确定ip请求是否存在风险，当确定ip请求存在风险时，进一步判断ip请求是否为风险ip请求，通过对ip请求进行深入分析，可以提高对ip请求的风险的识别的准确性，降低对ip请求的风险评估的误判率。
附图说明
48.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
49.图1为本发明实施例提供的一种风险识别方法的方法流程图；
50.图2为本发明实施例提供的一种风险识别方法的另一方法流程图；
51.图3为本发明实施例提供的一种风险识别方法的场景示例图；
52.图4为本发明实施例提供的一种分析ip请求的风险的场景示例图；
53.图5为本发明实施例提供的一种风险识别装置的结构示意图；
54.图6为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
55.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
56.在本技术中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，
从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
57.在现有的技术体系中，对ip级别的处理都是通过构建ip黑白名单、ip段黑白名单、计算来源ip的qps、ip链路跟踪等类似方案来进行控制的。
58.其中，构建ip与ip段黑白名单是最为简单直接的方案，它对部分ip或ip段进行枚举，适用于有限ip，缺点是它无法管控庞大且无规律的客户端数量，无法管控变化的ip，同时由于ip具有生命周期的特性，构建完成的黑白名单还需要定期更新；计算来源ip的qps，是通过漏桶或令牌桶算法直接限定每秒的查询率，比如nginx的ip限流，它能够很好的保护后端服务，缺点是它并没有ip识别能力，正确的请求和伪造的请求都会做相同的限流；ip链路跟踪具备识别能力，也能完成很好的ip防控，但它需要付出颇高的技术成本，大多数场景无需此方案。这些都是现有技术存在的缺点。
59.本发明可用于众多通用或专用的计算装置环境或配置中。例如：个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器装置、包括以上任何装置或设备的分布式计算环境等等。
60.本发明可以应用于风险识别系统中，其执行主体可以是风险识别系统中的处理器或服务器，参照图1，为本发明实施例提供的一种风险识别方法的方法流程图，具体说明如下所述：
61.s101、获取ip请求的统计数据。
62.本发明实施例提供的方法中，所述统计数据为网关模块在当前工作周期内对所述ip请求进行统计的数据。
63.网关模块的工作周期的时长是相同的，工作周期的时长可以根据实际需求进行设置，例如以5分钟作为一个工作周期的时长，网关模块在当前工作周期的结束时刻就向风险识别系统发送在当前工作周期内对ip请求进行统计得到的统计数据，其中，统计数据可以是使用功能监控工具prometheus的metrics数据收集功能收集到的metrics数据。
64.进一步的，网关模块在当前工作周期结束后，即刻进入下一工作周期，并将进入的下一工作周期作为新的当前工作周期，继续统计ip请求在新的当前工作周期中的数据，以此不断的循环操作。
65.网关模块在当前工作周期内统计ip请求的数据时，网关模块通过根据当前工作周期内接收的包含ip请求的各个服务请求进行统计的，需要说明的是，网关模块可以同时统计多个ip请求的数据，风险识别系统也可以同时对多个ip请求进行风险识别，本发明为对一个ip请求进行风险识别的过程，可以将本发明提供的方法应用到需要进行风险识别的各个ip请求中。
66.需要说明的是，ip请求中包含但不限于用户请求的域名、用户所使用的ip地址、请求路径等其他内容。
67.s102、对统计数据进行处理，得到ip请求的ip风险系数。
68.对统计数据进行处理，得到ip请求的ip风险系数具体过程如下所述：
69.对所述统计数据进行解析，获取所述统计数据中的各项ip属性参数；
70.对各项所述ip属性参数进行处理，得到所述ip请求的ip风险系数。
71.统计数据包括但不限于请求域名、请求来源ip地址、请求路径以及接收到该ip请求的次数等示例性的，统计数据的其中一种表现形式如：{host＝www.baidu.com,ip＝124.232.146.133 10}，其中，host表示请求域名，ip表示请求来源ip地址，10表示在当前工作周期内接收到该ip请求的次数。
72.需要说明的是，ip属性参数包括但不限于请求域名、请求路径以及ip维度的qps值等参数。其中，ip维度的qps值可以根据统计数据中收到该ip请求的次数进行计算得到。
73.最后，可以通过各项ip属性参数计算得到ip请求的ip风险系数。
74.s103、获取与ip请求对应的风险服务信息，并对风险服务信息进行处理，得到ip请求的服务风险值。
75.在获取与ip请求对应的风险服务信息时，先确定与ip请求对应的服务，并确定与该服务对应的业务服务端，获取业务服务端上传的风险服务信息。
76.获得ip请求的服务风险值的过程如下所述：
77.对所述风险服务信息进行解析，得到各项服务属性参数；
78.对各项所述服务属性参数进行处理，得到所述ip请求的服务风险值。
79.各项服务属性参数包括但不限于服务的风险等级、服务的高峰时间、服务时间段内预算的qps值，其中，qps的英文全称为query per second，指每秒查询率。
80.需要说明的是，服务的风险等级与服务的风险属性以及服务时间段内预算的qps值存在关联，示例性的，当服务的风险属性为风险不变属性时，该服务的风险等级可以直接取预设的风险等级，且该风险等级不变；当服务的风险属性为风险可变属性时，根据服务时间段内预算的qps值获取服务的风险等级，具体如，在服务时间段内预算的qps值处于预设的第一qps区间内时，可以将与第一qps区间对应的风险等级作为该服务的风险等级，在服务时间段内预算的qps值处于预设的第二qps区间内时，可以将与第二qps区间对应的风险等级作为该服务的风险等级，以此进行类推，可以设置多个qps区间，不同的qps区间对应不同的风险等级。
81.最后，可以根据各项服务属性参数计算出ip请求的服务风险值。
82.s104、基于服务风险值和ip风险系数，确定ip请求是否存在风险；当确定所述ip请求存在风险时，执行s105；当确定ip请求未存在风险时，执行s106。
83.将服务风险值和ip风险系数进行乘法运算，得到ip请求的风险值；将风险值与预设的风险阈值进行对比，以判断风险值是否大于或等于风险阈值，当风险值大于或等于风险阈值时，确定ip请求存在风险，并执行s105；当风险值不大于或等于风险阈值时，执行s106。
84.需要说明的是，此处确定ip请求是否存在风险是对ip请求进行风险分析，在分析出ip请求存在风险后，还需要进一步确定ip请求是否为风险ip请求，由此可以降低对ip请求的误判率。
85.需要说明的是，可以使用ip风险分析模块执行步骤s102～s104。
86.s105、基于预设的风险判定策略，判断ip请求是否为风险ip请求，生成ip请求的风险判定结果。
87.预设的风险判断策略有多种，在判断ip请求是否为风险ip请求时，可以通过构建
免费代理ip库、搜索引擎爬虫库、反向识别服务端口等风险判断策略决定接收到的ip请求是否为风险ip请求。
88.风险判定结果分为两种，一种是表征ip请求为风险ip请求的判定结果，另一种是表征ip请求为非风险ip请求的判定结果。
89.s106、确定ip请求为非风险ip请求。
90.本发明实施例提供的方法中，获取ip请求的统计数据，其中，所述统计数据为网关模块在当前工作周期内对所述ip请求进行统计的数据；对统计数据进行处理，得到ip请求的ip风险系数；获取与ip请求对应的风险服务信息，并对风险服务信息进行处理，得到ip请求的服务风险值；基于服务风险值和ip风险系数，确定ip请求是否存在风险；当确定ip请求存在风险时，基于预设的风险判定策略，判断ip请求是否为风险ip请求，生成ip请求的风险判定结果。本发明通过对ip请求的统计数据和风险服务信息进行处理，得到服务风险值和ip风险系数，基于服务风险值和ip风险系数对ip请求进行风险分析，以确定ip请求是否存在风险，当确定ip请求存在风险时，进一步判断ip请求是否为风险ip请求，通过对ip请求进行深入分析，可以提高对ip请求的风险的识别的准确性，降低对ip请求的风险评估的误判率。
91.参照图2，为本发明实施例提供的另一风险识别方法的方法流程图，具体说明如下所述：
92.s201、获取ip请求的统计数据。
93.s202、对统计数据进行处理，得到所述ip请求的ip风险系数。
94.s203、获取与ip请求对应的风险服务信息，并对风险服务信息进行处理，得到所述ip请求的服务风险值。
95.s204、基于所述服务风险值和所述ip风险系数，确定ip请求是否存在风险；当确定ip请求存在风险时，执行s205；当确定ip请求未存在风险时，执行206。
96.s205、基于预设的风险判定策略，判断ip请求是否为风险ip请求，当判断ip请求不为风险ip请求时，执行s206；当判断ip请求为风险ip请求时，执行s207。
97.s206、生成表征ip请求为非风险ip请求的风险判定结果。
98.s207、生成表征ip请求为风险ip请求的风险判定结果。
99.图2的说明可以参照图1中的相关说明，此处不再进行赘述。
100.需要说明的是，在得到风险判定结果后，将风险判定结果发送至网关模块，使得所述网关模块基于所述风险判定结果，确定在下一工作周期内接收到的包含所述ip请求的服务请求的连接方式，需要说明的是网关模块中集成了路由模块，路由模块可以转发服务请求。
101.需要说明的是，网关模块基于风险判定结果，确定在下一工作周期内接收到的包含该ip请求的服务请求的连接方式时，具体如下所述：
102.当风险判定结果表征为ip请求为非风险ip请求时，可以将包含该ip请求的服务请求转发至对应的业务服务端，以便于业务服务端为用户提供对应的服务；当风险判定结果表征为ip请求为风险ip请求时，可以直接向用户反馈请求失败的通知信息，还可以将包含该ip请求的服务请求进行降级处理，示例性的，将包含该ip请求的服务请求转移至另一个服务质量较低的可以提供对应的服务的业务服务端，由此可以向用户做出对应的响应。
103.本发明实施例提供的方法中，在确定ip请求为风险ip请求后，可以将该ip请求保存至风险ip库，并对ip请求进行监控，当监控到ip请求未被确定为风险ip请求的持续时长大于或等于预设的时长时，将ip请求确定为非风险ip请求，并停止对ip请求的监控，并将该ip请求从风险ip库中移除。
104.需要说明是，预设的时长大于网关模块的工作周期的时长。监控到ip请求未被确定为风险ip请求的持续时长大于或等于预设的时长，还可以理解为，ip请求未被确定为风险ip请求的监控持续时长大于或等于预设的时长，其中，ip请求未被确定为风险ip请求时，可以理解为未测检到ip请求的心跳，未检测到ip请求的心跳所持续的时间大于或等于预设的时长时，可以将该ip请求进行释放处理，即将该ip请求确定为非风险ip请求。
105.参照图3，为本发明实施例提供的一种风险识别方法的场景示例图，具体说明如下所述：
106.图中包含ip风险处理模块、网关模块、ip风险分析模块以及下层服务(相当于上文中的业务服务端)，其中，路由可以集成在网关模块中。
107.网关模块接收服务请求，网关模块对服务请求中的ip请求进行ip信息统计和ip请求过滤；统计来源信息，合并host、path等参数生成metrics(相当于上文中的统计数据)输出给ip风险分析模块；ip风险分析模块结合下层服务上报的风险信息和网关提供的metrics判定ip是否具备风险，提供具备风险的来源ip转存到ip风险处理模块；ip风险处理模块对接收的ip通过多种方式对其进行判定，包括代理ip库匹配、爬虫库匹配、反向识别服务端口等方式判定ip是否具备风险；ip风险处理模块将ip的判定结果发送至网关模块，使得网关模块对服务请求提取来源ip，调用ip风险处理库识别来源ip的风险判定结果，根据风险判定结果决定转发路由，完成ip级别风险管控，其中，路由将服务请求进行转发时，将风险判定结果为风险ip的ip请求提供降级服务；将风险判定结果为非风险ip的ip请求提供正常服务。
108.需要说明的是，图中的网关模块用于统计请求信息，过滤ip请求；网关模块根据对ip请求统计的请求域名、请求路径等信息生成metrics(相当于上文中的统计数据)，并定时将metrics发送至ip风险分析模块。
109.ip风险分析模块，用于计算服务风险值，结合网关模块发送的metrics分析ip请求的风险，输出对ip请求的分析结果到风险处理模块。
110.需要说明的是，ip风险分析模块接收下层服务上报的服务风险信息，根据服务风险信息中的风险等级、服务的高峰时间、服务时间段内预算的qps值，计算得到服务风险值。ip风险模块根据网关模块发送的metrics，识别请求携带域名、请求路径以及计算出ip维度的qps，根请求携带域名、请求路径以及ip维度的qps，计算出ip风险系数；将ip风险系数和服务风险值相乘，得到ip风险值(相当于上文中的风险值)，根据ip风险值分析ip请求是否具备风险，得到对ip请求的风险分析结果，并将该风险分析结果发送至ip风险处理模块。
111.ip风险处理模块用于接收风险分析结果，当风险分析结果表征ip请求不具有风险时，可以直接向网关模块反馈该ip请求不为风险ip请求的判定结果，以便于网关模块在接收到包含该ip请求的服务请求时，通过路由将该服务请求发送至对应的下层服务，使得对应的业务服务端为用户提供服务；当风险分析结果表征ip请求具有风险时，ip风险处理模块1)通过构建免费代理ip库、搜索引擎爬虫库、反向识别服务端口等方式以决定接收到的
ip请求其是否为风险ip请求，在确定该ip请求不为风险ip时，向网关模块反馈该ip请求不为风险ip请求的判定结果，在确定该ip请求为风险ip时，向网关模块反馈该ip请求为风险ip请求的判定结果，以便于网关模块在接收到包含该ip请求的服务请求时，通过路由对该服务请求进行降级处理。进一步的，ip风险处理模块还对风险ip库内的ip请求进行风险降级或清理，在一定时间内未接收到ip请求的心跳，则对其进行相应处理。
112.参照图4，为本发明实施例提供的一种对ip请求进行风险分析的场景示例图，具体说明如下所述：
113.下层服务为ip风险分析模块提供风险等级、服务高峰时间、时间段预计qps，ip风险分析模块取值做乘积得出服务风险值。metrics为ip风险分析模块提供请求host、path对应的ip维度的qps，计算得出ip风险系数，使用ip风险系数与服务风险值做乘积得出ip风险值；ip风险分析模块制定一个ip风险阈值，ip风险值高于ip风险阈值的ip请求提供给ip风险处理模块。ip风险处理模块匹配免费代理ip库、爬虫库、反向搜索风险ip代理端口，可直接判定存在风险的ip请求是否为风险ip，并得到对应的判定结果；ip风险处理模块定期轮询判定本地风险ip库，释放风险模块无心跳和本地判定无风险的ip请求。
114.进一步的，对网关模块、ip风险模块以及ip风险处理模块再次进行单独说明，其中，网关模块用于正式服务接入网关，根据服务权重自行定制服务风险信息，上报给ip风险分析模块；来源请求(可以理解为ip请求)进入网关服务，网关提取来源ip，提供给风险处理模块获取ip风险结果，无风险的ip请求进入正式服务的正常流程，具备风险的ip请求进入正式服务的降级流程完成ip级别风险管控，同时，网关对来源请求进行ip信息统计合并，定期生成metrics输出给ip风险分析模块。
115.ip风险分析模块，用于提取正式服务风险信息求乘积得出服务风险值，提取metrics请求host、path、ip维度的qps求乘积得出ip风险系数，使用ip风险系数乘以服务风险值求出ip风险值，当ip风险值高于阈值时，转存ip给ip风险处理模块。
116.ip风险处理模块，用于在本地构建免费代理ip库、搜索引擎爬虫库，当接收到具备风险ip时匹配本地库快速判定ip是否为风险ip，当本地库无法匹配完成时，反向识别风险ip服务端口，若风险ip开放普遍代理端口，则确定本ip结果为风险ip，提供给网关服务模块，由网关服务模块进行ip风险管控；同时，ip风险处理模块接收ip风险分析模块风险ip心跳包，定期轮询判定本地风险ip库，释放风险模块无心跳和本地判定无风险的ip。
117.本发明提供的方法通过根据服务风险程度对请求ip进行风险识别，基于风险识别结果决定请求路由地址，低成本高效率的保障正常用户的服务质量。本发明还从服务角度出发，根据服务风险程度制定服务风险值，高风险服务具备更高的用户要求，能有效捕获并处理由代理或爬虫发起的假冒伪劣请求；低风险服务适当放松用户要求，降低了风险评估成本，增强了风险管控命中率，做到按量分配的风险管控，最终实现服务的高效高质保障。本发明针对互联网服务的前后端通信，可以综合某个服务的风险程度与被攻击期望，有效的区分来源请求，对请求进行ip级别过滤，管控服务风险，使后端能够稳定、健康与安全提供服务。
118.本发明从服务角度出发，根据服务风险程度制定服务风险值，能够有效判定风险服务的范围。动态获取服务的风险等级、服务的高峰时间、服务预算qps值，弹性的计算出服务具备的风险增长度。风险请求来临时，它能分析ip行为，基于服务的风险增长度敏锐的快
速调整风险值，快速感知并处理具备风险的ip请求，同时它适配ip具备生命周期的特性，能够及时释放恢复正常的ip信息，降低误拦截的概率。相比于黑白名单构建，它能适应庞大的客户端ip；相比于直接限制ip的qps，本发明能做到有的放矢，不会限制真实有效的ip；由于它是弹性的，所以它能把技术成本做到按量分配，相比于ip链路跟踪，它能大幅度降低成本，最终实现服务的高效高质保障。
119.本发明通过服务的风险等级、服务的高峰时间、服务预算qps值来计算服务的风险值，通过网关层统计来源ip的域名、请求路径、平均qps阈值综合风险值来判定来源ip是否具备风险；针对具备风险的ip通过ip来源识别、匹配搜索引擎爬虫库、反向识别服务端口的方式来确认ip是否为风险ip；最后，将正常请求与风险请求进行隔离，由网关对其进行正常转发或服务降级转发完成ip级别风险控制。本发明在ip级别进行风控，从根本上保障后端服务的安全。不同服务具备不同风控力度，更侧重于防护易被攻击的服务，具备更高的防护命中率，更节约了成本。具备更高效、更敏感、更准确的风险感知，能够自行完成风险ip生命周期的调整，无需人工干预，增强了服务的安全性，同时降低了工作人员的防控工作量。
120.参照图5，为本发明实施例提供的一种风险识别装置的结构示意图，该装置用于支持本发明提供的方法在现实生活中的应用，该装置可以设置在用于评估ip风险的系统中，该装置的说明如下所述：
121.第一获取单元501，用于获取ip请求的统计数据，其中，所述统计数据为网关模块在当前工作周期内对所述ip请求进行统计的数据；
122.处理单元502，用于对所述统计数据进行处理，得到所述ip请求的ip风险系数；
123.第二获取单元503，用于获取与所述ip请求对应的风险服务信息，并对所述风险服务信息进行处理，得到所述ip请求的服务风险值；
124.确定单元504，用于基于所述服务风险值和所述ip风险系数，确定所述ip请求是否存在风险；
125.判断单元505，用于当确定所述ip请求存在风险时，基于预设的风险判定策略，判断所述ip请求是否为风险ip请求，生成所述ip请求的风险判定结果。
126.本发明实施例提供的装置中，获取ip请求的统计数据，其中，所述统计数据为网关模块在当前工作周期内对所述ip请求进行统计的数据；对统计数据进行处理，得到ip请求的ip风险系数；获取与ip请求对应的风险服务信息，并对风险服务信息进行处理，得到ip请求的服务风险值；基于服务风险值和ip风险系数，确定ip请求是否存在风险；当确定ip请求存在风险时，基于预设的风险判定策略，判断ip请求是否为风险ip请求，生成ip请求的风险判定结果。本发明通过对ip请求的统计数据和风险服务信息进行处理，得到服务风险值和ip风险系数，基于服务风险值和ip风险系数对ip请求进行风险分析，以确定ip请求是否存在风险，当确定ip请求存在风险时，进一步判断ip请求是否为风险ip请求，通过对ip请求进行深入分析，可以提高对ip请求的风险的识别的准确性，降低对ip请求的风险评估的误判率。
127.本发明实施例提供的装置中，还可配置为：
128.发送单元，用于将所述风险判定结果发送至所述网关模块，使得所述网关模块基于所述风险判定结果，确定在下一工作周期内接收到的包含所述ip请求的服务请求的连接方式。
129.本发明实施例提供的装置中，所述处理单元502，可配置为：
130.获取子单元，用于对所述统计数据进行解析，获取所述统计数据中的各项ip属性参数；
131.第一处理子单元，用于对各项所述ip属性参数进行处理，得到所述ip请求的ip风险系数。
132.本发明实施例提供的装置中，所述第二获取单元503，可配置为：
133.解析子单元，用于对所述风险服务信息进行解析，得到各项服务属性参数；
134.第二处理子单元，用于对各项所述服务属性参数进行处理，得到所述ip请求的服务风险值。
135.本发明实施例提供的装置中，所述确定单元504，可配置为：
136.运算子单元，用于将所述服务风险值和所述ip风险系数进行乘法运算，得到所述ip请求的风险值；
137.对比子单元，用于将所述风险值和预设的风险阈值进行对比，当所述风险值大于或等于所述风险阈值时，确定所述ip请求存在风险。
138.本发明实施例提供的装置中，还可以配置为：
139.监控单元，用于当确定所述ip请求为风险ip请求时，对所述ip请求进行监控，当监控到所述ip请求未被确定为风险ip请求的持续时长大于或等于预设的时长时，将所述ip请求确定为非风险ip请求，并停止对所述ip请求的监控。
140.本发明实施例还提供了一种存储介质，所述存储介质包括存储的指令，其中，在所述指令运行时控制所述存储介质所在的设备执行上述风险识别方法。
141.本发明实施例还提供了一种电子设备，其结构示意图如图6所示，具体包括存储器601，以及一个或者一个以上的指令602，其中一个或者一个以上指令602存储于存储器601中，且经配置以由一个或者一个以上处理器603执行所述一个或者一个以上指令602执行上述风险识别方法。
142.上述各个实施例的具体实施过程及其衍生方式，均在本发明的保护范围之内。
143.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
144.专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
145.对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。