CN102137059A - 一种恶意访问的拦截方法和系统 - Google Patents
一种恶意访问的拦截方法和系统 Download PDFInfo
- Publication number
- CN102137059A CN102137059A CN2010100012778A CN201010001277A CN102137059A CN 102137059 A CN102137059 A CN 102137059A CN 2010100012778 A CN2010100012778 A CN 2010100012778A CN 201010001277 A CN201010001277 A CN 201010001277A CN 102137059 A CN102137059 A CN 102137059A
- Authority
- CN
- China
- Prior art keywords
- access request
- terminal
- user terminal
- webserver
- malice
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请公开了一种恶意访问的拦截方法和系统,主要内容包括:分析服务器根据用户终端在第1次至第N(N≥1)次发起的访问请求分析确定出拦截信息后,在网络服务器接收到所述用户终端第N+1次发起的访问请求时,根据分析服务器确定的拦截信息对用户终端是否是恶意访问终端进行判定,在判定结果是恶意访问终端时拦截当前用户终端发起的访问请求;否则,根据该访问请求进行业务处理。通过本申请实施例的方案可以在准实时地拦截恶意访问的情况下,提高网络服务器的业务处理响应速度,增强业务服务器的性能。
Description
技术领域
本申请涉及通信领域,尤其涉及一种恶意访问的拦截方法和系统。
背景技术
在业务访问系统中,用户终端向WEB服务器发起访问请求后,WEB服务器根据用户终端的请求进行相应的业务处理。为了提高业务访问的安全性,避免用户终端的恶意访问,WEB服务器需要对用户终端的访问是否是恶意访问进行判定,并对用户终端的恶意访问进行拦截。
目前WEB服务器对用户终端的恶意访问进行拦截的方式主要有:通过Linux系统中的防火墙软件,如具有iptables防火墙功能模块的软件系统进行拦截,或是具有通过apache功能模块的软件系统进行拦截。
iptables防火墙拦截方式是:WEB服务器对用户终端在网络层的相关信息进行解析,根据单一IP地址的访问频率判断该IP地址对应的用户终端是否是恶意访问的终端,如果WEB服务器检测出通过某一IP地址发出的访问请求的频率达到设定值,则认为通过该IP地址发起访问请求的用户终端是恶意访问终端,对该恶意访问的用户终端发起的用户请求进行拦截。
apache功能模块拦截方式与iptables拦截方式类似,WEB服务器通过对用户终端发送的超文本传输协议(HTTP)请求中的IP地址进行解码,也按照IP地址的访问频率判断用户终端是否进行了恶意访问,如果确定某一用户终端是恶意访问的终端,则WEB服务器对该用户终端发起的用户请求进行拦截。
在目前对恶意访问拦截的方式下,WEB服务器不仅要对用户终端的业务请求进行正常的业务处理,还需要实时地对用户终端的网络层信息或HTTP请求进行解析,并根据解析结果统计并确定用户终端是否进行了恶意访问,降低了WEB服务器进行业务处理的响应速度,使得WEB服务器的性能下降。
发明内容
本申请实施例提供一种恶意访问的拦截方法和系统,以解决在目前对恶意访问拦截的方式下,WEB服务器进行业务处理的响应速度较低、性能下降的问题。
一种恶意访问的拦截方法,所述方法包括:
在网络服务器根据当前用户终端发起的访问请求进行业务处理时,分析服务器根据当前用户终端发起的访问请求对该用户终端是否是恶意访问终端进行分析,并将分析结果返回给网络服务器;
在网络服务器再次接收到所述用户终端发起的访问请求时,网络服务器根据拦截信息判断所述用户终端是否是恶意访问终端,所述拦截信息是根据所述分析服务器返回的所述分析结果确定的;
网络服务器在确定所述用户终端是恶意访问终端时,拦截当前用户终端发起的访问请求;否则,根据该访问请求进行业务处理。
一种恶意访问的拦截系统,所述系统包括网络服务器和拦截服务器,其中:
网络服务器,用于根据当前用户终端发起的访问请求进行业务处理,并根据分析服务器返回的分析结果确定拦截信息,当再次接收到所述用户终端发起的访问请求时,根据所述拦截信息判断所述用户终端是否是恶意访问终端,在确定所述用户终端是恶意访问终端时,拦截当前用户终端发起的访问请求;否则,根据该访问请求进行业务处理;
分析服务器,用于根据当前用户终端发起的访问请求对该用户终端是否是恶意访问终端进行分析,并将分析结果返回给网络服务器。
本申请实施例由分析服务器根据用户终端在第1次至第N(N≥1)次发起的访问请求分析确定出拦截信息后,在网络服务器接收到所述用户终端第N+1次发起的访问请求时,根据分析服务器确定的拦截信息对用户终端是否是恶意访问终端进行判定,在判定结果是恶意访问终端时拦截当前用户终端发起的访问请求;否则,根据该访问请求进行业务处理。通过本中请实施例的方案可以在准实时地拦截恶意访问的情况下,提高网络服务器的业务处理响应速度,增强业务服务器的性能。
附图说明
图1为本申请实施例一中恶意访问的拦截系统示意图;
图2为本申请实施例二中恶意访问的拦截方法示意图。
具体实施方式
为了提高网络服务器的业务处理响应速度,增强业务服务器的性能,本申请实施例提出在网络服务器接收到用户终端发起的访问请求时,如果无法直接确定该访问是恶意访问,则将访问请求的相关信息异步发送给分析服务器,无需等待分析服务器的分析结果,直接响应本次接收到的访问请求,避免了对业务处理速度的影响;当分析服务器对本次接收到的访问请求分析并得到分析结果后再通知网络服务器,使得网络服务器之后再接收到同一用户终端的访问请求后,可以直接根据接收到分析结果确定访问请求是否是恶意访问。通过本申请实施例的方案,可以在准实时地拦截恶意访问的情况下,提高网络服务器的业务处理响应速度,增强业务服务器的性能。
下面结合说明书附图本申请实施例进行详细描述。
本申请所涉及的恶意访问行为包括但不限于用户终端通过手工或者使用机器人程序频繁向WEB服务器发送请求获取数据,申请大量注册用户,或大量填写信息等行为。
实施例一:
如图1所示,为本申请实施例一中恶意访问的拦截系统示意图,从图1中可以看出,拦截系统中包括网络服务器11和分析服务器12,其中:网络服务器11用于根据当前用户终端发起的访问请求进行业务处理,并根据分析服务器12返回的分析结果确定拦截信息,当再次接收到所述用户终端发起的访问请求时,根据所述拦截信息判断所述用户终端是否是恶意访问终端,在确定所述用户终端是恶意访问终端时,拦截当前用户终端发起的访问请求;否则,根据该访问请求进行业务处理;分析服务器12用于根据当前用户终端发起的访问请求对该用户终端是否是恶意访问终端进行分析,并将分析结果返回给网络服务器11。
所述分析服务器12还用于根据再次接收到的访问请求对该用户终端是否是恶意访问终端进行分析,并将分析结果再次返回给网络服务器11;所述网络服务器11还用于在确定所述用户终端是否是恶意访问终端之后,利用再次接收到的分析结果更新拦截信息。
在本实施例中,网络服务器11如果未拦截访问请求,则可以将当前用户终端发起的访问请求异步发送给分析服务器12,并且无需等待分析服务器12的分析结果直接进行业务处理。拦截信息可以保存在网络服务器11的内存、硬盘、闪存等多种存储设备中,拦截信息也可以保存在分析服务器12的内存、硬盘、闪存等多种存储设备中。本实施例中涉及的拦截信息包括但不限于以列表的形式存储。
在本实施例一的方案中,一台分析服务器12可以为一台或多台网络服务器11提供对访问请求的分析服务。网络服务器11可以在每接收到一个用户终端发起的访问请求时,在未拦截该访问请求时,将本次接收到的一条访问请求直接发送给分析服务器12;较优地,为了提高网络服务器11与分析服务器12之间的传输效率,减少访问请求传输时占用的网络资源,网络服务器11还可以在接收到多个访问请求后,将其中未拦截的访问请求压缩后发送给分析服务器12。
特殊地,本实施例一中也不限于采用其他方式将访问请求提供给分析服务器12进行分析,例如,由能够与分析服务器12进行通信的网元从网络服务器11中获取访问请求后转发给分析服务器12;或者由能够与网络服务器11和分析服务器12同时通信的网元,主动接收当前用户终端发起的访问请求,并分别将该访问请求发送给网络服务器11和分析服务器12。
在本实施例一的方案中,访问请求包括但不限于HTTP请求和加密的HTTP(HTTPS)请求,网络服务器和/或分析服务器对访问请求进行应用层解码,得到分析信息。这里的分析信息包括但不限于以下参数中的一种或多种的组合:
IP地址、cookie内容、HTTP头的设定字段标识、请求的数据内容和提交的数据内容,其中,请求的数据内容是指用户终端向网络服务器请求获得(GET)的数据内容,提交的数据内容是指用户终端推送(POST)给网络服务器的数据内容,后续将请求的数据内容和提交的数据内容分别称之为GET数据内容和POST数据内容。
分析服务器12可以根据访问请求中的分析信息对用户终端是否是恶意访问终端进行分析。分析服务器12获得访问请求中的分析信息的方式包括但不限于以下两种:
第一种方式:
分析服务器12接收网络服务器11或与分析服务器12能够通信的网元发送的访问请求,并主动对接收到的访问请求进行解析,获得分析信息,然后根据所述分析信息确定发起访问请求的用户终端是否是恶意访问终端。
在此方式下,网络服务器11无需对访问请求进行解析操作,降低了网络服务器11的工作压力,避免了对网络服务器11的前端性能影响。
第二种方式:
网络服务器11还用于对所述访问请求进行解析,获得分析信息,并将分析信息发送给分析服务器12;分析服务器12具体用于根据接收到的分析信息确定发起所述访问请求的用户终端是否是恶意访问终端。
在上述两种方式下,分析服务器12都要根据预先设定的判断原则对分析信息进行分析,以确定用户终端是否是恶意访问终端。所述预先设定的判断原则可以包括但不限于:将解析出的访问请求中的哪些内容作为分析信息中的内容、分析信息中的内容在哪些情况下(包括出现频率、参数值等)是正常参数或非正常参数。预先设定的判断原则可以由管理员通过分析服务器12提供的接口写入分析服务器12中,并存储在分析服务器12的内存、闪存、硬盘或其他存储介质中。在分析信息由网络服务器11解析出后发送给分析服务器12的情况下,管理员还可以将预先设定的判断原则写入网络服务器11中,指示网络服务器11根据预先设定的判断原则将解析出的作为分析信息的内容发送给分析服务器12。
另外,本实施例一也不限于由分析服务器12或网络服务器11根据实际情况动态设定判断原则,例如,在分析信息中包含cookie内容,将同一cookie内容的出现频率作为是否是正常参数的判断原则时,在网络服务的需求较低时(如22:00~08:00),可以设置较低的出现频率1,即当同一cookie内容的出现频率达到出现频率1时,认为发起该访问请求的用户终端为恶意访问终端;在网络服务的需求较高时(如09:00~12:00),可以设置较高的出现频率2(出现频率1小于出现频率2),即当同一cookie内容的出现频率达到出现频率2时,才认为发起该访问请求的用户终端为恶意访问终端。
分析服务器12或网络服务器11根据实际情况动态调整判断原则后需要实时通知对端实时更新调整后的判断原则。
拦截信息中可以包含恶意访问终端的属性信息,这里的属性信息包括但不限于终端标识、IP地址、cookie内容、HTTP头的设定字段标识、GET数据内容和POST数据内容中的一种或多种组合。所述网络服务器11解析当前用户终端发起的访问请求,若解析后得到的分析信息满足拦截信息中的内容时,确定该用户终端是恶意访问终端。
根据分析服务器12进行分析的分析信息的内容不同,拦截信息中的内容也可以相应调整。例如:分析信息中包含HTTP头的设定字段标识,如果分析服务器12确定某一用户终端为恶意访问终端,则分析服务器12可以将该恶意访问终端的终端标识发送给网络服务器11,由网络服务器11将接收到的终端标识添加至拦截信息,如果该终端标识对应的用户终端后续向网络服务器11发起访问请求时,网络服务器11将拦截该用户终端的访问请求。分析服务器12也可以将HTTP头的设定字段标识发送给网络服务器11,指示设定字段标识为0表示合法,设定字段标识为1表示非法,网络服务器11将接收到的HTTP头的设定字段标识添加至拦截信息,当后续有用户终端发起访问请求时,网络服务器11查看HTTP头的设定字段标识是否为1,若是,则拦截该访问请求,否则,执行该访问请求,并将该访问请求发送给分析服务器12继续进行分析。
本实施例一中的网络服务器11可以是具有apache功能模块、lighttpd功能模块或nginx功能模块的WEB服务器,从图1中的系统结构中可以进一步看出,WEB服务器包括apache功能模块、共享内存(shm功能模块)和用于同步apache功能模块的数据和分析服务器的数据的功能模块,在本实施例中称之为hummock客户端。Apache功能模块中的mod_hummock部件将访问请求或访问请求解析后的分析信息通过PIPE发送给hummock客户端,hummock客户端通过event接口将访问请求或访问请求解析后的分析信息发送至分析服务器12中hummock模块的event接口,为了提高在两个event接口之间的传输速度,可以采用UDP传输协议在两个event接口之间进行数据传输。分析服务器12中hummock模块用于接收访问请求,并对访问请求进行分析,以及将分析结果通知给网络服务器。
分析服务器12中hummock模块根据设定的判断原则对接收到的访问请求或访问请求解析后的分析信息进行分离管理,例如:将接收到的分析信息分别写入配置列表中,配置列表中包含三个部分,分别是数据、名单和配置,其中,数据中写入分析信息中的访问数据(cookie内容、设定字段标识、GET数据内容和POST数据内容等),名单中标注分析的是黑名单(或白名单)的内容,配置中写入分析信息中的每一项的判断条件(如:分析信息中包含cookie内容,则配置中需要写入判断cookie内容是否合法的出现概率)。
分析服务器12中hummock模块对分离管理后的分析信息进行实时统计、分析,并将统计、分析结果存储在内存中。例如:统计出单位时间内IP地址为IP_1的出现次数为n1,单位时间内IP地址为IP_2的出现次数为n2,则在内存中存储IP_1_n1,IP_2_n2。
分析服务器12中hummock模块可以扫描存储分析结果的内存,查找出需要向网络服务器11返回的分析结果(如IP地址、cookie内容、终端标识等)。分析服务器12可以在每次有分析结果存储至内存时就进行实时扫描,也可以周期性地(如以N秒为周期,N为大于0的数)扫描内存,查找出需要向网络服务器11返回的分析结果。具体做法可以为:在分析服务器12中设置一个定时器,在定时器的设定周期到达时,触发hummock模块进行内存扫描,将存储的内容与预先设定的判断原则进行比较,在确定存在需要触发的分析结果(即存在未通知网络服务器的恶意访问终端)时,指示hummock模块向网络服务器11返回的分析结果。
分析服务器12确定需要返回的分析结果后,可以通过以下两种方式将分析结果发送给网络服务器11:
第一种发送方式:分析服务器12中hummock模块和网络服务器11中的hummock客户端共同维护拦截信息,在初始状态时拦截信息在两个服务器中的版本相同,并且每更新一次拦截信息,拦截信息更新后的版本号在两个服务器中的变化方式也相同。
网络服务器11中的hummock客户端周期性地通过UDP接口向分析服务器12中hummock模块发送分析结果请求(syn request),并在syn request中携带当前网络服务器11中的拦截信息的版本号。当分析服务器12中hummock模块确定返回的分析结果后,利用该分析结果更新自身存储的拦截信息,得到更新后拦截信息的版本号;然后,分析服务器12中hummock模块判断接收到的网络服务器11中拦截信息的版本号与自身保存的更新后的拦截信息版本号是否相同,若相同,表示当前网络服务器11中的拦截信息的版本与分析服务器12中的拦截信息的版本相同,无需对网络服务器11中的拦截信息进行更新;否则,表示当前网络服务器11中的拦截信息的版本低于分析服务器12中的拦截信息的版本,分析服务器12将自身最近用于更新拦截信息的分析结果由UDP接口通过分析结果响应(syn response)发送给网络服务器11中的hummock客户端。
由于UDP传输方式的可靠性较低,因此,本方式下网络服务器11和分析服务器12之间周期性地进行拦截信息版本号的协商,确保网络服务器11和分析服务器12中保存的拦截信息版本号相同,即网络服务器11中保存的拦截信息的更新及时。
第二种发送方式:
分析服务器12中hummock模块得到分析结果后,由TCP接口通过分析结果响应(syn response)发送给网络服务器11中的hummock客户端。
由于TCP传输方式的可靠性较高,因此,本方式下网络服务器11和分析服务器12之间不需要进行数据的协商,直接由分析服务器12向网络服务器11发送分析结果即可。
在以上两种发送方式下,网络服务器11中的hummock客户端接收到分析结果后写入shm模块,由网络服务器11中的apache模块从shm模块中读取分析结果,并根据读取的分析结果更新自身保存的拦截信息,后续当网络服务器11接收到用户终端发送的访问请求时,可以利用自身保存的最新的拦截信息对用户终端的合法性进行判断,以便于对恶意访问终端的访问请求进行拦截。
通过实施例一记载的恶意访问的拦截系统,网络服务器通过拦截信息不确定用户终端是恶意访问终端时,将用户终端发起的访问请求异步发送给分析服务器,无需等待分析服务器的分析结果,正常执行访问请求;分析服务器对接收到的访问请求进行分析后,将分析结果发送给网络服务器,网络服务器根据接收到的分析结果更新拦截信息,记录所述用户终端是否是恶意访问终端的相关信息,使得同一用户终端再次发起访问请求时可以检测出该用户终端是否是恶意访问终端,在准实时地拦截恶意访问的情况下,避免了对网络服务器前端性能的影响;网络服务器使用自身存储的拦截信息进行是否拦截的判定,对接收到的访问请求作快速对比,提高了网络服务器的业务处理响应速度,增强业务服务器的性能;同时,分析服务器利用访问请求应用层解析后得到的分析信息进行合法性分析,实现了对用户终端的行为进行细粒度的分析,使分析结果更加准确。
实施例二:
本申请实施例二提出了一种恶意访问的拦截方法,如图2所示,所述方法包括以下步骤:
步骤101:网络服务器在第一次接收到当前用户终端发起的访问请求时,对该访问请求进行业务处理。
步骤102:分析服务器根据当前用户终端发起的访问请求对该用户终端是否是恶意访问终端进行分析,并将分析结果返回给网络服务器。
步骤103:在网络服务器再次接收到所述用户终端发起的访问请求时,根据拦截信息判断向网络服务器发起访问请求的用户终端是否是恶意访问终端,若是,则执行步骤104;否则,执行步骤105。
本实施例二中的所述拦截信息是根据所述分析服务器返回的所述分析结果确定的,具体地,可以是分析服务器根据所述分析结果确定拦截信息后将所述拦截信息发送给网络服务器,也可以是分析服务器将分析结果返回给网络服务器,由网络服务器根据分析结果确定拦截信息。
存储在网络服务器中的拦截信息和存储在分析服务器中的拦截信息的内容与版本号与实施例一中网络服务器和分析服务器中存储的拦截信息相同。
本实施例二中的网络服务器和分析服务器的结构与实施例一中的网络服务器和分析服务器的结构相同。
步骤104:网络服务器拦截该用户终端发起的访问请求。
在本步骤中,为了避免出现误操作,网络服务器拦截恶意访问终端的访问请求之后可以不立即结束访问过程,而是将用户终端的访问请求转发至其他用于身份验证的认证服务器,由认证服务器对用户终端的身份进行进一步认证,在认证通过时,网络服务器可以认为该用户终端不再是恶意访问终端,而执行步骤105;否则,结束本次访问过程。
具体的认证服务器对用户终端的身份认证过程可以为:认证服务器向用户终端推送认证页面,要求用户终端通过认证页面输入合法的验证码。
步骤105:网络服务器根据该访问请求进行业务处理。
通过步骤101~步骤105的方案,网络服务器准实时地拦截了恶意访问,由于使用自身存储的拦截信息进行是否拦截的判定,对接收到的访问请求作快速对比,提高了网络服务器的业务处理响应速度,增强业务服务器的性能。
较优地,本实施例二还可以进一步包括以下步骤:
步骤106:分析服务器根据再次接收到的访问请求对该用户终端是否是恶意访问终端进行分析,并将分析结果再次返回给网络服务器。
在本步骤中,分析服务器获得的访问请求可以是网络服务器在执行步骤105的时候异步发送给分析服务器,也可以由能够与分析服务器进行通信的其他网元向分析服务器发送访问请求。
如果由网络服务器异步向分析服务器发送访问请求,则为了提高发送效率,网络服务器可以在接收到多个访问请求后,将其中至少一个未拦截的访问请求压缩后发送给分析服务器。
本实施例二中涉及的访问请求可以是HTTP请求或是HTTPS请求,分析服务器对用户终端是否是恶意访问终端进行分析的方式包括但不限于以下两种:
第一种方式:
分析服务器对接收到的访问请求主动进行解析,获得分析信息,并根据所述分析信息确定发起访问请求的用户终端是否是恶意访问终端。本实施例二中涉及的分析信息与实施例一中涉及的分析信息相同,包括IP地址、cookie内容、HTTP头的设定字段标识、GET数据内容和POST数据内容中的一种或多种组合。
第二种方式:
网络服务器对当前用户终端发起的访问请求进行解析,获得分析信息,并将分析信息发送给分析服务器;分析服务器根据所述分析信息确定发起所述访问请求的用户终端是否是恶意访问终端。
在以上两种分析方式下,分析服务器可以按照实施例一中涉及的判断原则分析确定发起访问请求的用户终端是否是恶意访问终端。
步骤107:分析服务器将分析结果再次返回给网络服务器。
步骤108:网络服务器利用再次接收到的分析结果更新拦截信息。
此时,用户终端可以继续接收用户终端发起的访问请求,如果继续发起访问请求的用户终端不是首次发起访问请求的用户终端,则网络服务器可以跳转执行步骤103;如果继续发送访问请求的用户终端是首次向网络服务器发起访问请求的用户终端,则网络服务器可以跳转执行步骤101。
通过实施例二记载的恶意访问的拦截方法,不仅可以提高了网络服务器的业务处理响应速度,增强业务服务器的性能,还通过对访问请求的应用层解码实现了对用户终端的行为进行细粒度的分析,使分析结果更加准确。
下面通过实施例三和实施例四的具体实例对实施例一和实施例二的方案进行详细说明。
实施例三:
假设本实施例三中分析服务器使用的分析信息包括cookie内容,拦截信息中也包括cookie内容,则当网络服务器第N(N大于1)次接收用户终端发起的访问请求时,本实施例三的方案包括以下步骤:
第一步:网络服务器解析接收到的访问请求,将解析出的访问请求中的cookie内容与拦截信息中的cookie内容进行比较,如果解析出的cookie内容与拦截信息中的cookie内容匹配,表示该cookie内容非法,则确定发起该访问请求的用户终端是恶意访问终端,拦截该访问请求;否则,执行第二步。
在本步骤执行之前,分析服务器对之前接收到的N-1个访问请求中的一个或多个访问请求已进行分析,并在每次分析操作后得到相应的分析结果,网络服务器根据每次分析后得到的分析结果不断更新拦截信息中的内容,因此,当网络服务器第N次接收到访问请求时,可以利用不断更新的拦截信息对用户终端是否是恶意访问终端进行判定。
第二步:网络服务器对该访问请求进行业务处理,并将访问请求异步发送给分析服务器。
第三步:分析服务器在单位时间内从接收到的每个访问请求中解析出cookie内容,判断解析出的相同cookie内容的数量是否达到第一门限值;若是,表示发送包含所述相同cookie内容的访问请求的用户终端是恶意访问终端,并执行第四步;否则,不确定该用户终端是恶意访问终端,跳转至第一步。
本实施例三中的第一门限值可以根据经验值设定,也可由管理员根据实际的网络需要手动设置。
第四步:分析服务器将非法的cookie内容发送给网络服务器。
第五步:网络服务器将接收到的cookie内容写入拦截信息,得到更新后的拦截信息,然后跳转至第一步。如果同一用户终端再次向网络服务器发起访问请求,且访问请求中的cookie内容与拦截信息中的cookie内容匹配时,拦截接收到的访问请求。
通过实施例三的方案,对访问请求做应用层解析,分析服务器进行细粒度的用户行为分析,可以根据不同的网络需求选择不同的分析信息,提高对用户行为分析的准确性。
实施例四:
本实施例四考虑到现有技术中仅采用IP地址进行用户行为分析时,对于多个用户终端共享的网络出口,当多个用户终端同时访问网络服务器时,网络服务器在单位时间内接收到大量的具有相同IP地址的访问请求,此时将会认为该IP地址为非法,由该IP地址发出的访问为恶意访问,导致误杀网络地址转换(NAT)出口的问题。对此,本实施例四中假设分析服务器使用的分析信息包括IP地址和cookie内容,拦截信息中也包括IP地址和cookie内容,则当网络服务器第N(N大于1)次接收用户终端发起的访问请求时,本实施例四的方案包括以下步骤:
第一步:网络服务器解析接收到的访问请求,将解析出的访问请求中的IP地址与拦截信息中的IP地址进行比较,如果解析出的IP地址与拦截信息中的IP地址匹配,则进一步将解析出的cookie内容与拦截信息中的cookie内容进行比较,如果解析出的cookie内容仍与拦截信息中的cookie内容匹配,表示该访问请求非法,则确定发起该访问请求的用户终端是恶意访问终端,拦截该访问请求;否则,执行第二步。
第二步:网络服务器对根据该访问请求进行业务处理,并将访问请求异步发送给分析服务器。
第三步:分析服务器在单位时间内从接收到的每个访问请求中解析出IP地址和cookie内容,在解析出的相同IP地址数量达到第二门限值时,进一步判断包含所述相同IP地址的访问请求中解析出的相同cookie内容的数量是否达到第三门限值,若是,则确定发送包含所述相同cookie内容的访问请求的用户终端是恶意访问终端,跳转至第四步;否则,跳转至第一步。
本实施例四中的第二门限值和第三门限值可以根据经验值设定,也可由管理员根据实际的网络需要手动设置。
第四步:分析服务器将非法的IP地址和cookie内容发送给网络服务器。
第五步:网络服务器将接收到的IP地址和cookie内容写入拦截信息,得到更新后的拦截信息,然后跳转至第一步。如果同一用户终端再次向网络服务器发起访问请求,且访问请求中的IP地址和cookie内容与拦截信息中的IP地址和cookie内容匹配时,拦截接收到的访问请求。
通过实施例四的方案,豁免了来自NAT出口的合法访问,减少拦截的误操作。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式,例如,使用C语言或C++语言达到最佳的实现效果。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (20)
1.一种恶意访问的拦截方法,其特征在于,所述方法包括:
在网络服务器根据当前用户终端发起的访问请求进行业务处理时,分析服务器根据当前用户终端发起的访问请求对该用户终端是否是恶意访问终端进行分析,并将分析结果返回给网络服务器;
在网络服务器再次接收到所述用户终端发起的访问请求时,网络服务器根据拦截信息判断所述用户终端是否是恶意访问终端,所述拦截信息是根据所述分析服务器返回的所述分析结果确定的;
网络服务器在确定所述用户终端是恶意访问终端时,拦截当前用户终端发起的访问请求;否则,根据该访问请求进行业务处理。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
分析服务器根据再次接收到的访问请求对该用户终端是否是恶意访问终端进行分析,并将分析结果再次返回给网络服务器;
网络服务器在确定所述用户终端是否是恶意访问终端之后,所述方法还包括:
网络服务器利用再次接收到的分析结果更新拦截信息。
3.如权利要求2所述的方法,其特征在于,分析服务器对该用户终端是否是恶意访问终端进行分析之前,所述方法还包括:
所述网络服务器将接收到的当前用户终端发起的访问请求中至少一个未拦截的访问请求压缩后发送给分析服务器。
4.如权利要求3所述的方法,其特征在于,所述访问请求是HTTP请求或HTTPS请求;
分析服务器对该用户终端是否是恶意访问终端进行分析,包括:
分析服务器对接收到的访问请求进行解析,获得分析信息;
分析服务器根据所述分析信息确定发起访问请求的用户终端是否是恶意访问终端。
5.如权利要求2所述的方法,其特征在于,所述访问请求是HTTP请求或HTTPS请求;
分析服务器对该用户终端是否是恶意访问终端进行分析之前,所述方法还包括:
网络服务器对当前用户终端发起的访问请求进行解析,获得分析信息;
网络服务器将分析信息发送给分析服务器;
分析服务器对该用户终端是否是恶意访问终端进行分析,包括:
分析服务器根据所述分析信息确定发起所述访问请求的用户终端是否是恶意访问终端。
6.如权利要求4或5所述的方法,其特征在于,所述分析信息包括IP地址、cookie内容、HTTP头的设定字段标识、请求的数据内容和提交的数据内容中的一种或多种组合。
7.如权利要求6所述的方法,其特征在于,所述分析信息包括cookie内容;
分析服务器确定发起访问请求的用户终端是恶意访问终端,包括:
分析服务器在单位时间内从接收到的每个访问请求中解析出cookie内容,在解析出的相同cookie内容的数量达到第一门限值时,确定发送包含所述相同cookie内容的访问请求的用户终端是恶意访问终端。
8.如权利要求6所述的方法,其特征在于,所述分析信息包括IP地址和cookie内容;
分析服务器确定发起访问请求的用户终端是恶意访问终端,包括:
分析服务器在单位时间内从接收到的每个访问请求中解析出IP地址和cookie内容,在解析出的相同IP地址数量达到第二门限值时,进一步判断包含所述相同IP地址的访问请求中解析出的相同cookie内容的数量是否达到第三门限值,若是,则确定发送包含所述相同cookie内容的访问请求的用户终端是恶意访问终端。
9.如权利要求4或5所述的方法,其特征在于,
所述拦截信息中包含恶意访问终端的属性信息;
网络服务器根据拦截信息判断用户终端是恶意访问终端,包括:
网络服务器解析当前用户终端发起的访问请求,若解析后得到的分析信息满足拦截信息中恶意访问终端的属性信息时,确定该用户终端是恶意访问终端。
10.如权利要求9所述的方法,其特征在于,所述属性信息包括终端标识、IP地址、cookie内容、HTTP头的设定字段标识、请求的数据内容和提交的数据内容中的一种或多种组合。
11.一种恶意访问的拦截系统,其特征在于,所述系统包括网络服务器和拦截服务器,其中:
网络服务器,用于根据当前用户终端发起的访问请求进行业务处理,并根据分析服务器返回的分析结果确定拦截信息,当再次接收到所述用户终端发起的访问请求时,根据所述拦截信息判断所述用户终端是否是恶意访问终端,在确定所述用户终端是恶意访问终端时,拦截当前用户终端发起的访问请求;否则,根据该访问请求进行业务处理;
分析服务器,用于根据当前用户终端发起的访问请求对该用户终端是否是恶意访问终端进行分析,并将分析结果返回给网络服务器。
12.如权利要求11所述的系统,其特征在于,
所述分析服务器,还用于根据再次接收到的访问请求对该用户终端是否是恶意访问终端进行分析,并将分析结果再次返回给网络服务器;
所述网络服务器,还用于在确定所述用户终端是否是恶意访问终端之后,利用再次接收到的分析结果更新拦截信息。
13.如权利要求12所述的系统,其特征在于,
所述网络服务器,还用于将接收到的至少一个访问请求中未拦截的访问请求压缩后发送给分析服务器。
14.如权利要求13所述的系统,其特征在于,
所述分析服务器,具体用于在所述访问请求是HTTP请求或HTTPS请求时,对接收到的访问请求进行解析,获得分析信息,并根据所述分析信息确定发起访问请求的用户终端是否是恶意访问终端。
15.如权利要求12所述的系统,其特征在于,
所述网络服务器,还用于在所述访问请求是HTTP请求或HTTPS请求时,对所述访问请求进行解析,获得分析信息,并将分析信息发送给分析服务器;
所述分析服务器,具体用于根据所述分析信息确定发起所述访问请求的用户终端是否是恶意访问终端。
16.如权利要求14或15所述的系统,其特征在于,所述分析信息包括IP地址、cookie内容、HTTP头的设定字段标识、请求的数据内容和提交的数据内容中的一种或多种组合。
17.如权利要求16所述的系统,其特征在于,
所述分析服务器,具体用于在分析信息包括cookie内容时,在单位时间内从接收到的每个访问请求中解析出cookie内容,在解析出的相同cookie内容的数量达到第一门限值时,确定发送包含所述相同cookie内容的访问请求的用户终端是恶意访问终端。
18.如权利要求16所述的系统,其特征在于,
所述分析服务器,具体用于在分析信息包括IP地址和cookie内容时,在单位时间内从接收到的每个访问请求中解析出IP地址和cookie内容,在解析出的相同IP地址数量达到第二门限值时,进一步判断包含所述相同IP地址的访问请求中解析出的相同cookie内容的数量是否达到第三门限值,若是,则确定发送包含所述相同cookie内容的访问请求的用户终端是恶意访问终端。
19.如权利要求14或15所述的系统,其特征在于,
所述网络服务器,具体用于解析当前用户终端发起的访问请求,若解析后得到的分析信息满足拦截信息中的内容时,确定该用户终端是恶意访问终端,所述拦截列表中包含恶意访问终端的属性信息。
20.如权利要求19所述的系统,其特征在于,所述属性信息包括终端标识、IP地址、cookie内容、HTTP头的设定字段标识、请求的数据内容和提交的数据内容中的一种或多种组合。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010001277.8A CN102137059B (zh) | 2010-01-21 | 2010-01-21 | 一种恶意访问的拦截方法和系统 |
| US12/930,927 US8448224B2 (en) | 2010-01-21 | 2011-01-20 | Intercepting malicious access |
| EP11734964.7A EP2526481B1 (en) | 2010-01-21 | 2011-01-21 | Intercepting malicious access |
| PCT/US2011/000118 WO2011090799A1 (en) | 2010-01-21 | 2011-01-21 | Intercepting malicious access |
| JP2012550015A JP5911431B2 (ja) | 2010-01-21 | 2011-01-21 | 悪意のあるアクセスの遮断 |
| HK11113939.4A HK1159886A1 (zh) | 2010-01-21 | 2011-12-27 | 種惡意訪問的攔截方法和系統 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010001277.8A CN102137059B (zh) | 2010-01-21 | 2010-01-21 | 一种恶意访问的拦截方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102137059A true CN102137059A (zh) | 2011-07-27 |
| CN102137059B CN102137059B (zh) | 2014-12-10 |
Family
ID=44278515
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010001277.8A Active CN102137059B (zh) | 2010-01-21 | 2010-01-21 | 一种恶意访问的拦截方法和系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8448224B2 (zh) |
| EP (1) | EP2526481B1 (zh) |
| CN (1) | CN102137059B (zh) |
| HK (1) | HK1159886A1 (zh) |
| WO (1) | WO2011090799A1 (zh) |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103425526A (zh) * | 2012-05-18 | 2013-12-04 | 腾讯科技(深圳)有限公司 | 一种接口调用的控制方法及装置 |
| CN103873466A (zh) * | 2014-03-04 | 2014-06-18 | 深信服网络科技(深圳)有限公司 | Https网站过滤及阻断告警的方法和装置 |
| CN103944904A (zh) * | 2014-04-23 | 2014-07-23 | 广东电网公司信息中心 | Apache服务器安全监控方法 |
| CN104219219A (zh) * | 2013-07-05 | 2014-12-17 | 腾讯科技(深圳)有限公司 | 一种数据处理的方法、服务器及系统 |
| CN104348816A (zh) * | 2013-08-07 | 2015-02-11 | 华为数字技术(苏州)有限公司 | 保护Cookie信息的方法及Web服务器前置网关 |
| CN104636914A (zh) * | 2013-11-06 | 2015-05-20 | 中国银联股份有限公司 | 一种基于通信设备的应用评价进行支付的方法和装置 |
| CN104980421A (zh) * | 2014-10-15 | 2015-10-14 | 腾讯科技(深圳)有限公司 | 一种批量请求处理方法及系统 |
| CN105141642A (zh) * | 2015-10-23 | 2015-12-09 | 北京京东尚科信息技术有限公司 | 一种防止非法用户行为的方法及装置 |
| CN106161395A (zh) * | 2015-04-20 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种防止暴力破解的方法、装置及系统 |
| CN106230835A (zh) * | 2016-08-04 | 2016-12-14 | 摩贝(上海)生物科技有限公司 | 基于Nginx日志分析和IPTABLES转发的反恶意访问的方法 |
| CN107172033A (zh) * | 2017-05-10 | 2017-09-15 | 深信服科技股份有限公司 | 一种waf误判识别方法以及装置 |
| CN107426181A (zh) * | 2017-06-20 | 2017-12-01 | 竞技世界(北京)网络技术有限公司 | 恶意Web访问请求的拦截方法及装置 |
| CN107819750A (zh) * | 2017-10-27 | 2018-03-20 | 北京趣拿软件科技有限公司 | 请求消息的处理方法、装置、存储介质、处理器及系统 |
| CN107948125A (zh) * | 2016-10-13 | 2018-04-20 | 腾讯科技(深圳)有限公司 | 一种网络攻击的处理方法及装置 |
| CN108173823A (zh) * | 2017-12-21 | 2018-06-15 | 五八有限公司 | 页面防抓取方法及装置 |
| CN108270839A (zh) * | 2017-01-04 | 2018-07-10 | 腾讯科技(深圳)有限公司 | 访问频率控制系统及方法 |
| CN109446807A (zh) * | 2018-10-17 | 2019-03-08 | 杭州安恒信息技术股份有限公司 | 用于识别拦截恶意机器人的方法、装置以及电子设备 |
| CN110300062A (zh) * | 2018-03-23 | 2019-10-01 | 阿里巴巴集团控股有限公司 | 风控实现方法和系统 |
| CN110472418A (zh) * | 2019-07-15 | 2019-11-19 | 中国平安人寿保险股份有限公司 | 一种安全漏洞防护方法及系统、相关设备 |
| CN110995767A (zh) * | 2019-12-31 | 2020-04-10 | 五八有限公司 | 一种请求处理方法及装置 |
| CN113225338A (zh) * | 2021-05-07 | 2021-08-06 | 京东数科海益信息科技有限公司 | 热点访问请求的处理方法、服务器、终端以及程序产品 |
| CN113938527A (zh) * | 2021-08-31 | 2022-01-14 | 阿里巴巴(中国)有限公司 | Api网关的扩展处理方法、计算设备及存储介质 |
| CN114884671A (zh) * | 2022-04-21 | 2022-08-09 | 微位(深圳)网络科技有限公司 | 服务器的入侵防御方法、装置、设备及介质 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8856344B2 (en) * | 2009-08-18 | 2014-10-07 | Verisign, Inc. | Method and system for intelligent many-to-many service routing over EPP |
| US8327019B2 (en) * | 2009-08-18 | 2012-12-04 | Verisign, Inc. | Method and system for intelligent routing of requests over EPP |
| US8463846B2 (en) * | 2010-05-06 | 2013-06-11 | Cdnetworks Co., Ltd. | File bundling for cache servers of content delivery networks |
| CN104104652B (zh) * | 2013-04-03 | 2017-08-18 | 阿里巴巴集团控股有限公司 | 一种人机识别方法、网络服务接入方法及相应的设备 |
| US10242187B1 (en) * | 2016-09-14 | 2019-03-26 | Symantec Corporation | Systems and methods for providing integrated security management |
| CN106656959B (zh) * | 2016-09-28 | 2020-07-28 | 腾讯科技(深圳)有限公司 | 访问请求调控方法和装置 |
| CN113014598A (zh) * | 2021-03-20 | 2021-06-22 | 北京长亭未来科技有限公司 | 对机器人恶意攻击的防护方法、防火墙、电子设备和存储介质 |
| CN113364614B (zh) * | 2021-05-19 | 2022-11-11 | 北京达佳互联信息技术有限公司 | 请求处理方法、装置、服务器、存储介质及程序产品 |
| CN114760121B (zh) * | 2022-03-31 | 2023-08-01 | 腾讯科技(深圳)有限公司 | 访问频率控制的方法和访问频率控制系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1953392A (zh) * | 2005-10-20 | 2007-04-25 | 阿拉克斯拉网络株式会社 | 异常通信量的检测方法和数据包中继装置 |
| CN101056222A (zh) * | 2007-05-17 | 2007-10-17 | 华为技术有限公司 | 一种深度报文检测方法、网络设备及系统 |
| US20080034424A1 (en) * | 2006-07-20 | 2008-02-07 | Kevin Overcash | System and method of preventing web applications threats |
| CN101193068A (zh) * | 2006-11-21 | 2008-06-04 | 华为技术有限公司 | 一种应答请求的方法和设备 |
| CN101355471A (zh) * | 2007-07-27 | 2009-01-28 | 中国电信股份有限公司 | 在电信宽带应用中形成用户数据库的方法和系统 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8661539B2 (en) * | 2000-07-10 | 2014-02-25 | Oracle International Corporation | Intrusion threat detection |
| US7707305B2 (en) * | 2000-10-17 | 2010-04-27 | Cisco Technology, Inc. | Methods and apparatus for protecting against overload conditions on nodes of a distributed network |
| US20030172291A1 (en) * | 2002-03-08 | 2003-09-11 | Paul Judge | Systems and methods for automated whitelisting in monitored communications |
| US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
| US7533414B1 (en) * | 2004-03-17 | 2009-05-12 | Yahoo! Inc. | Detecting system abuse |
| US7843829B1 (en) * | 2004-08-10 | 2010-11-30 | Cisco Technology, Inc. | Detection and recovery from control plane congestion and faults |
| US7797411B1 (en) * | 2005-02-02 | 2010-09-14 | Juniper Networks, Inc. | Detection and prevention of encapsulated network attacks using an intermediate device |
| US8296846B2 (en) * | 2005-08-19 | 2012-10-23 | Cpacket Networks, Inc. | Apparatus and method for associating categorization information with network traffic to facilitate application level processing |
| US7716340B2 (en) * | 2005-09-30 | 2010-05-11 | Lycos, Inc. | Restricting access to a shared resource |
| US7793094B2 (en) * | 2006-04-18 | 2010-09-07 | Cisco Technology, Inc. | HTTP cookie protection by a network security device |
| CN1968147B (zh) * | 2006-11-27 | 2010-04-14 | 华为技术有限公司 | 业务处理方法、网络设备及业务处理系统 |
| US7917957B2 (en) * | 2007-05-29 | 2011-03-29 | Alcatel Lucent | Method and system for counting new destination addresses |
| US7836502B1 (en) * | 2007-07-03 | 2010-11-16 | Trend Micro Inc. | Scheduled gateway scanning arrangement and methods thereof |
-
2010
- 2010-01-21 CN CN201010001277.8A patent/CN102137059B/zh active Active
-
2011
- 2011-01-20 US US12/930,927 patent/US8448224B2/en active Active
- 2011-01-21 WO PCT/US2011/000118 patent/WO2011090799A1/en active Application Filing
- 2011-01-21 EP EP11734964.7A patent/EP2526481B1/en active Active
- 2011-12-27 HK HK11113939.4A patent/HK1159886A1/zh unknown
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1953392A (zh) * | 2005-10-20 | 2007-04-25 | 阿拉克斯拉网络株式会社 | 异常通信量的检测方法和数据包中继装置 |
| US20080034424A1 (en) * | 2006-07-20 | 2008-02-07 | Kevin Overcash | System and method of preventing web applications threats |
| CN101193068A (zh) * | 2006-11-21 | 2008-06-04 | 华为技术有限公司 | 一种应答请求的方法和设备 |
| CN101056222A (zh) * | 2007-05-17 | 2007-10-17 | 华为技术有限公司 | 一种深度报文检测方法、网络设备及系统 |
| CN101355471A (zh) * | 2007-07-27 | 2009-01-28 | 中国电信股份有限公司 | 在电信宽带应用中形成用户数据库的方法和系统 |
Cited By (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103425526A (zh) * | 2012-05-18 | 2013-12-04 | 腾讯科技(深圳)有限公司 | 一种接口调用的控制方法及装置 |
| CN103425526B (zh) * | 2012-05-18 | 2016-03-16 | 腾讯科技(深圳)有限公司 | 一种接口调用的控制方法及装置 |
| CN104219219A (zh) * | 2013-07-05 | 2014-12-17 | 腾讯科技(深圳)有限公司 | 一种数据处理的方法、服务器及系统 |
| CN104219219B (zh) * | 2013-07-05 | 2018-02-27 | 腾讯科技(深圳)有限公司 | 一种数据处理的方法、服务器及系统 |
| CN104348816A (zh) * | 2013-08-07 | 2015-02-11 | 华为数字技术(苏州)有限公司 | 保护Cookie信息的方法及Web服务器前置网关 |
| CN104348816B (zh) * | 2013-08-07 | 2018-04-20 | 华为数字技术(苏州)有限公司 | 保护Cookie信息的方法及Web服务器前置网关 |
| CN104636914A (zh) * | 2013-11-06 | 2015-05-20 | 中国银联股份有限公司 | 一种基于通信设备的应用评价进行支付的方法和装置 |
| CN104636914B (zh) * | 2013-11-06 | 2019-05-10 | 中国银联股份有限公司 | 一种基于通信设备的应用评价进行支付的方法和装置 |
| CN103873466A (zh) * | 2014-03-04 | 2014-06-18 | 深信服网络科技(深圳)有限公司 | Https网站过滤及阻断告警的方法和装置 |
| CN103944904A (zh) * | 2014-04-23 | 2014-07-23 | 广东电网公司信息中心 | Apache服务器安全监控方法 |
| CN104980421A (zh) * | 2014-10-15 | 2015-10-14 | 腾讯科技(深圳)有限公司 | 一种批量请求处理方法及系统 |
| CN106161395A (zh) * | 2015-04-20 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种防止暴力破解的方法、装置及系统 |
| CN105141642B (zh) * | 2015-10-23 | 2019-05-03 | 北京京东尚科信息技术有限公司 | 一种防止非法用户行为的方法及装置 |
| CN105141642A (zh) * | 2015-10-23 | 2015-12-09 | 北京京东尚科信息技术有限公司 | 一种防止非法用户行为的方法及装置 |
| CN106230835B (zh) * | 2016-08-04 | 2019-11-22 | 上海摩库数据技术有限公司 | 基于Nginx日志分析和IPTABLES转发的反恶意访问的方法 |
| CN106230835A (zh) * | 2016-08-04 | 2016-12-14 | 摩贝(上海)生物科技有限公司 | 基于Nginx日志分析和IPTABLES转发的反恶意访问的方法 |
| CN107948125A (zh) * | 2016-10-13 | 2018-04-20 | 腾讯科技(深圳)有限公司 | 一种网络攻击的处理方法及装置 |
| CN108270839B (zh) * | 2017-01-04 | 2022-03-25 | 腾讯科技(深圳)有限公司 | 访问频率控制系统及方法 |
| CN108270839A (zh) * | 2017-01-04 | 2018-07-10 | 腾讯科技(深圳)有限公司 | 访问频率控制系统及方法 |
| CN107172033A (zh) * | 2017-05-10 | 2017-09-15 | 深信服科技股份有限公司 | 一种waf误判识别方法以及装置 |
| CN107172033B (zh) * | 2017-05-10 | 2020-11-13 | 深信服科技股份有限公司 | 一种waf误判识别方法以及装置 |
| CN107426181A (zh) * | 2017-06-20 | 2017-12-01 | 竞技世界(北京)网络技术有限公司 | 恶意Web访问请求的拦截方法及装置 |
| CN107819750A (zh) * | 2017-10-27 | 2018-03-20 | 北京趣拿软件科技有限公司 | 请求消息的处理方法、装置、存储介质、处理器及系统 |
| CN108173823A (zh) * | 2017-12-21 | 2018-06-15 | 五八有限公司 | 页面防抓取方法及装置 |
| CN110300062A (zh) * | 2018-03-23 | 2019-10-01 | 阿里巴巴集团控股有限公司 | 风控实现方法和系统 |
| CN109446807A (zh) * | 2018-10-17 | 2019-03-08 | 杭州安恒信息技术股份有限公司 | 用于识别拦截恶意机器人的方法、装置以及电子设备 |
| CN110472418B (zh) * | 2019-07-15 | 2023-08-29 | 中国平安人寿保险股份有限公司 | 一种安全漏洞防护方法及系统、相关设备 |
| CN110472418A (zh) * | 2019-07-15 | 2019-11-19 | 中国平安人寿保险股份有限公司 | 一种安全漏洞防护方法及系统、相关设备 |
| CN110995767A (zh) * | 2019-12-31 | 2020-04-10 | 五八有限公司 | 一种请求处理方法及装置 |
| CN110995767B (zh) * | 2019-12-31 | 2022-01-28 | 五八有限公司 | 一种请求处理方法及装置 |
| CN113225338A (zh) * | 2021-05-07 | 2021-08-06 | 京东数科海益信息科技有限公司 | 热点访问请求的处理方法、服务器、终端以及程序产品 |
| CN113938527A (zh) * | 2021-08-31 | 2022-01-14 | 阿里巴巴(中国)有限公司 | Api网关的扩展处理方法、计算设备及存储介质 |
| CN113938527B (zh) * | 2021-08-31 | 2024-04-26 | 阿里巴巴(中国)有限公司 | Api网关的扩展处理方法、计算设备及存储介质 |
| CN114884671A (zh) * | 2022-04-21 | 2022-08-09 | 微位(深圳)网络科技有限公司 | 服务器的入侵防御方法、装置、设备及介质 |
| CN114884671B (zh) * | 2022-04-21 | 2024-04-26 | 微位(深圳)网络科技有限公司 | 服务器的入侵防御方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102137059B (zh) | 2014-12-10 |
| EP2526481B1 (en) | 2019-08-14 |
| WO2011090799A1 (en) | 2011-07-28 |
| US20110179467A1 (en) | 2011-07-21 |
| US8448224B2 (en) | 2013-05-21 |
| EP2526481A1 (en) | 2012-11-28 |
| EP2526481A4 (en) | 2016-06-29 |
| HK1159886A1 (zh) | 2012-08-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102137059B (zh) | 一种恶意访问的拦截方法和系统 | |
| US8966082B2 (en) | Virtual machine address management | |
| US9591007B2 (en) | Detection of beaconing behavior in network traffic | |
| US10218717B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN109802919B (zh) | 一种web网页访问拦截方法及装置 | |
| US20170085567A1 (en) | System and method for processing task resources | |
| US8661456B2 (en) | Extendable event processing through services | |
| CN108833450B (zh) | 一种实现服务器防攻击方法及装置 | |
| EP4109861A1 (en) | Data processing method, apparatus, computer device, and storage medium | |
| CN103139138A (zh) | 一种基于客户端检测的应用层拒绝服务防护方法及系统 | |
| WO2017106477A1 (en) | Real-time scanning of ip addresses | |
| CN113316926A (zh) | 域名处理方法、装置、电子设备以及存储介质 | |
| KR102118815B1 (ko) | Ip 주소 취득 방법 및 장치 | |
| CN115189897A (zh) | 零信任网络的访问处理方法、装置、电子设备及存储介质 | |
| CN113923008B (zh) | 一种恶意网站拦截方法、装置、设备及存储介质 | |
| CN109688099B (zh) | 服务器端撞库识别方法、装置、设备及可读存储介质 | |
| CN108512889B (zh) | 一种基于http的应用响应推送方法及代理服务器 | |
| CN107623916B (zh) | 一种进行WiFi网络安全监控的方法与设备 | |
| CN113783975A (zh) | 基于本地dns服务器的请求管理方法、装置、介质及设备 | |
| CN110177096B (zh) | 客户端认证方法、装置、介质和计算设备 | |
| KR20210115874A (ko) | 머신 러닝 기반의 클라우드 서비스 보안 시스템 | |
| CN113709136B (zh) | 一种访问请求验证方法和装置 | |
| KR20200097107A (ko) | 블록체인에 저장되는 데이터를 관리하는 방법 및 서버 | |
| CN108768987B (zh) | 数据交互方法、装置及系统 | |
| RU2752241C2 (ru) | Способ и система для выявления вредоносной активности предопределенного типа в локальной сети |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1159886 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1159886 Country of ref document: HK |