本发明提供的一种高可疑IP判定方法，所述判定方法包括：将用户登录和访问日志中的用户IP按照地址来源区分境内、境外和云IP等三个类型；使用多个算子，结合异常行为特征库进行比对和匹配，将不同算子筛选出可疑IP进行归并、去重后输出最终的可疑IP，并导入IP黑名单。通过多类型IP登录用户分析、非白名单访问用户分析、访问多个系统的用户分析、多地域登录用户分析和异常IP深度筛选等算子，结合异常行为特征库进行比对和匹配，筛选出可疑攻击IP。