CN104519069A - 一种拦截资源请求的方法和装置 - Google Patents
一种拦截资源请求的方法和装置 Download PDFInfo
- Publication number
- CN104519069A CN104519069A CN201410834722.7A CN201410834722A CN104519069A CN 104519069 A CN104519069 A CN 104519069A CN 201410834722 A CN201410834722 A CN 201410834722A CN 104519069 A CN104519069 A CN 104519069A
- Authority
- CN
- China
- Prior art keywords
- user
- feature parameter
- resource request
- request
- fisrt feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种拦截资源请求的方法和装置,属于计算机安全领域。所述方法包括:接收终端发送的第一资源请求,所述第一资源请求携带用户的用户标识;根据所述用户的用户标识和当前时间生成第一特征参数,向所述终端发送第一资源响应,所述第一资源响应携带所述用户的用户标识和所述第一特征参数;接收所述终端发送的第二资源请求,所述第二资源请求携带第二特征参数,所述第二特征参数为所述终端解析所述第一资源响应得到的;根据所述用户的用户标识和所述第二特征参数,确定是否拦截所述第二资源请求。所述装置包括:第一接收模块,生成模块,第二接收模块和确定模块。本发明能够准确拦截程序模拟的资源请求,提高了拦截的准确性。
Description
技术领域
本发明涉及计算机安全领域,特别涉及一种拦截资源请求的方法和装置。
背景技术
在互联网中,用户可以通过终端向服务器发送http(Hypertext transferprotocol,超文本传输协议)请求以请求服务器中包括的资源;然而现在很多用户不通过终端发送http请求给服务器,而是通过使用自动程序模拟http请求以请求服务器中包括的资源。例如,现在很多用户通过使用自动程序模拟http请求参加网络抢购活动等。使用终端发送http请求的用户即为合法用户,自动程序即为非法用户。服务器为了维护自身的利益,往往只允许合法用户请求其自身包括的资源,而拒绝非法用户请求其自身包括的资源。
目前,服务器可以采用如下方法拦截非法用户发送的资源请求,具体为:当用户需要获取资源时,终端向服务器发送http请求,该http请求中携带用户的用户标识。服务器接收该http请求,统计该用户发送http请求的发送频率,如果该发送频率超过预设阈值,确定用户为非法用户终端,对该http请求进行拦截。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
当用户参与网上抢购等活动时,合法用户发送http请求的频率可能会超过预设阈值,此时服务器会拦截合法用户发送的http请求,从而导致对http请求拦截发生错误。
发明内容
为了使解决现有技术的问题,本发明提供了一种拦截资源请求的方法和装置。技术方案如下:
一方面,本发明提供了一种拦截资源请求的方法,所述方法包括:
接收终端发送的第一资源请求,所述第一资源请求携带用户的用户标识;
根据所述用户的用户标识和当前时间生成第一特征参数,向所述终端发送第一资源响应,所述第一资源响应携带所述第一特征参数;
接收所述终端发送的第二资源请求,所述第二资源请求携带所述用户的用户标识和第二特征参数,所述第二特征参数为所述终端解析所述第一资源响应得到的;
根据所述用户的用户标识和所述第二特征参数,确定是否拦截所述第二资源请求。
优选的,所述根据所述用户的用户标识和所述第二特征参数,确定是否拦截所述第二资源请求,包括:
根据所述用户的用户标识,获取所述第一特征参数;
判断所述第一特征参数和所述第二特征参数是否相同;
如果相同,则确定所述用户为合法用户以及响应所述第二资源请求;
如果不相同,则确定所述用户为非法用户以及拦截所述第二资源请求。
优选的,所述根据所述用户的用户标识,获取所述第一特征参数,包括:
根据所述用户的用户标识,从用户标识和特征参数的对应关系中获取所述第一特征参数;或者,
根据所述用户的用户标识,从历史记录中获取所述终端发送所述第一资源请求对应的发送时间,根据所述用户的用户标识和所述发送时间,生成所述第一特征参数,所述历史记录用于存储用户标识和发送时间的对应关系;或者,
获取当前时间作为接收时间,根据所述用户的用户标识和所述接收时间,生成所述第一特征参数。
优选的,所述方法还包括:
如果所述第一特征参数和所述第二特征参数相同,向所述终端发送验证请求,所述验证请求携带第一验证码;
接收所述终端发送的验证响应,所述验证响应携带第二验证码;
判断所述第一验证码和所述第二验证码是否相同;
如果相同,则确定所述用户为合法用户以及响应所述第二资源请求;
如果不相同,则确定所述用户为非法用户以及拦截所述第二资源请求。
优选的,所述根据所述用户的用户标识生成第一特征参数之前,还包括:
判断白名单和黑名单中是否存在所述用户的用户标识,所述白名单用于存储合法用户的用户标识,所述黑名单用于存储非法用户的用户标识;
如果所述白名单中存在,则确定所述用户为合法用户以及响应所述第一资源请求;
如果所述黑名单中存在,则确定所述用户为非法用户以及拦截所述第一资源请求;
如果所述白名单和所述黑名单中都不存在,则执行所述根据所述用户的用户标识生成第一特征参数的操作。
优选的,所述方法还包括:
如果所述白名单和所述黑名单都不存在,统计所述终端发送资源请求的发送频率;
判断所述发送频率是否超过预设阈值;
如果没有超过,则确定所述用户为合法用户以及响应所述第一资源请求;
如果超过,则执行所述根据所述用户的用户标识生成第一特征参数的操作。
另一方面,本发明提供了一种拦截资源请求的方法,所述方法包括:
向服务器发送第一资源请求,所述第一资源请求携带用户的用户标识,使所述服务器根据所述用户的用户标识生成第一特征参数;
接收所述服务器发送的第一资源响应,所述第一资源响应携带所述第一特征参数;
解析所述第一资源响应,得到第二特征参数;
向所述服务器发送第二资源请求,所述第二资源请求携带所述用户的用户标识和所述第二特征参数,使所述服务器根据所述用户的用户标识和所述第二特征参数确定是否拦截所述第二资源请求。
优选的,所述向所述服务器发送第二资源请求之后,还包括:
接收所述服务器发送的验证请求,所述验证请求携带第一验证码;
根据所述验证请求向所述服务器发送验证响应,所述验证响应携带第二验证码,使所述服务器根据所述第一验证码和所述第二验证码确定所述用户是否为合法用户以及是否拦截所述第二资源请求。
另一方面,本发明提供了一种拦截资源请求的装置,所述装置包括:
第一接收模块,用于接收终端发送的第一资源请求,所述第一资源请求携带用户的用户标识;
生成模块,用于根据所述用户的用户标识和当前时间生成第一特征参数,向所述终端发送第一资源响应,所述第一资源响应携带所述第一特征参数;
第二接收模块,用于接收所述终端发送的第二资源请求,所述第二资源请求携带所述用户的用户标识和第二特征参数,所述第二特征参数为所述终端解析所述第一资源响应得到的;
确定模块,用于根据所述用户的用户标识和所述第二特征参数,确定是否拦截所述第二资源请求。
优选的,所述确定模块,包括:
获取单元,用于根据所述用户的用户标识,获取所述第一特征参数;
判断单元,用于判断所述第一特征参数和所述第二特征参数是否相同;
第一确定单元,用于如果相同,则确定所述用户为合法用户以及响应所述第二资源请求;
第二确定单元,用于如果不相同,则确定所述用户为非法用户以及拦截所述第二资源请求。
优选的,所述获取单元,用于根据所述用户的用户标识,从用户标识和特征参数的对应关系中获取所述第一特征参数;或者,
所述获取单元,用于根据所述用户的用户标识,从历史记录中获取所述终端发送所述第一资源请求对应的发送时间,根据所述用户的用户标识和所述发送时间,生成所述第一特征参数,所述历史记录用于存储用户标识和发送时间的对应关系;或者,
所述获取单元,用于获取当前时间作为接收时间,根据所述用户的用户标识和所述接收时间,生成所述第一特征参数。
优选的,所述装置还包括:
第一发送模块,用于如果所述第一特征参数和所述第二特征参数相同,向所述终端发送验证请求,所述验证请求携带第一验证码;
第三接收模块,用于接收所述终端发送的验证响应,所述验证响应携带第二验证码;
第一判断模块,用于判断所述第一验证码和所述第二验证码是否相同;
第一响应模块,用于如果相同,则确定所述用户为合法用户以及响应所述第二资源请求;
第一拦截模块,用于如果不相同,则确定所述用户为非法用户以及拦截所述第二资源请求。
优选的,所述装置还包括:
第二判断模块,用于判断白名单和黑名单中是否存在所述用户的用户标识,所述白名单用于存储合法用户的用户标识,所述黑名单用于存储非法用户的用户标识;
第二响应模块,用于如果所述白名单中存在,则确定所述用户为合法用户以及响应所述第一资源请求;
第二拦截模块,用于如果所述黑名单中存在,则确定所述用户为非法用户以及拦截所述第一资源请求;
如果所述白名单和所述黑名单中都不存在,则执行所述生成模块,用于根据所述用户的用户标识生成第一特征参数。
优选的,所述装置还包括:
统计模块,用于如果所述白名单和所述黑名单都不存在,统计所述终端发送资源请求的发送频率;
第三判断模块,用于判断所述发送频率是否超过预设阈值;
第三响应模块,用于如果没有超过,则确定所述用户为合法用户以及响应所述第一资源请求;
如果超过,则执行所述生成模块,用于根据所述用户的用户标识生成第一特征参数。
另一方面,本发明提供了一种拦截资源请求的装置,所述装置包括:
第二发送模块,用于向服务器发送第一资源请求,所述第一资源请求携带用户的用户标识,使所述服务器根据所述用户的用户标识生成第一特征参数;
第四接收模块,用于接收所述服务器发送的第一资源响应,所述第一资源响应携带所述第一特征参数;
解析模块,用于解析所述第一资源响应,得到第二特征参数;
第三发送模块,用于向所述服务器发送第二资源请求,所述第二资源请求携带所述用户的用户标识和所述第二特征参数,使所述服务器根据所述用户的用户标识和所述第二特征参数确定是否拦截所述第二资源请求。
优选的,所述装置还包括:
第五接收模块,用于接收所述服务器发送的验证请求,所述验证请求携带第一验证码;
第四发送模块,用于根据所述验证请求向所述服务器发送验证响应,所述验证响应携带第二验证码,使所述服务器根据所述第一验证码和所述第二验证码确定所述用户是否为合法用户以及是否拦截所述第二资源请求。
在本发明实施例中,服务器接收终端发送的第一资源请求,根据用户的用户标识和当前时间生成第一特征参数,向终端发送第一资源响应,该第一资源响应携带第一特征参数;终端解析第一资源响应得到第二特征参数,向服务器发送第二资源请求,该第二资源请求携带用户的用户标识和第二特征参数;服务器根据用户的用户标识和第二特征参数确定是否拦截第二资源请求。由于只有终端能够解析第一资源响应,而自动程序无法解析第一资源响应,从而根据用户标识和第二特征参数确定是否拦截第二资源请求,能够准确拦截自动程序模拟的资源请求,提高了拦截的准确性。
附图说明
图1-1是本发明实施例1提供的一种拦截资源请求的方法流程图;
图1-2是本发明实施例1提供的一种拦截资源请求的方法流程图;
图2是本发明实施例2提供的一种拦截资源请求的方法流程图;
图3是本发明实施例3提供的一种拦截资源请求的装置结构示意图;
图4是本发明实施例4提供的一种拦截资源请求的另一装置结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例1
本发明实施例提供了一种拦截资源请求的方法,该方法的执行主体为服务器,参见图1-1,其中,该方法包括:
步骤101a:接收终端发送的第一资源请求,该第一资源请求携带用户的用户标识;
步骤102a:根据用户的用户标识和当前时间生成第一特征参数,向终端发送第一资源响应,第一资源响应携带第一特征参数;
步骤103a:接收终端发送的第二资源请求,第二资源请求携带用户的用户标识和第二特征参数,第二特征参数为终端解析第一资源响应得到的;
步骤104a:根据用户的用户标识和第二特征参数,确定是否拦截第二资源请求。
本发明实施例提供了一种拦截资源请求的方法,该方法的执行主体为终端,参见图1-2,其中,该方法包括:
步骤101b:向服务器发送第一资源请求,该第一资源请求携带用户的用户标识,使服务器根据用户的用户标识生成第一特征参数;
步骤102b:接收服务器发送的第一资源响应,该第一资源响应携带第一特征参数;
步骤103b:解析第一资源响应,得到第二特征参数;
步骤104b:向服务器发送第二资源请求,第二资源请求携带用户的用户标识和第二特征参数,使服务器根据用户的用户标识和第二特征参数确定是否拦截第二资源请求。
在本发明实施例中,服务器接收终端发送的第一资源请求,根据用户的用户标识和当前时间生成第一特征参数,向终端发送第一资源响应,该第一资源响应携带第一特征参数;终端解析第一资源响应得到第二特征参数,向服务器发送第二资源请求,该第二资源请求携带用户的用户标识和第二特征参数;服务器根据用户的用户标识和第二特征参数确定是否拦截第二资源请求。由于只有终端能够解析第一资源响应,而自动程序无法解析第一资源响应,从而根据用户标识和第二特征参数确定是否拦截第二资源请求,能够准确拦截自动程序模拟的资源请求,提高了拦截的准确性。
实施例2
本发明实施例提供了一种拦截资源请求的方法。
用户可以通过终端向服务器发送资源请求以请求服务器中包括的资源,然而现在很多用户为了能够提高获取资源的效率,不亲自手动通过浏览器发送资源请求给服务器,而是通过使用安装在终端上的自动程序模拟用户发送资源请求以请求服务器中包括的资源。例如,当用户参加网上抢购活动时,用户为了能够尽早抢购到商品,用户通过使用抢购程序向服务器发送资源请求。由于自动程序发送资源请求的速度远远快于用户手动发送资源请求,用户手动发送一条资源请求,自动程序可能发送几十条甚至数百条资源请求,如此不仅增加服务器的负担,也对用户来说不公平,因此在服务器中需要通过本发明实施例提供的拦截资源请求的方法来拦截自动程序模拟的资源请求。
参见图2,其中,该方法包括:
步骤201:终端向服务器发送第一资源请求,该第一资源请求携带用户的用户标识;
当用户想要从服务器中请求资源时,终端向服务器发送第一资源请求,该第一资源请求除了携带用户的用户标识外,还可以携带该用户请求的资源的资源标识等。
在本发明实施例中,用户标识可以为用户使用终端的IP(Internet Protocol,网络之间互连的协议)地址或MAC(Media Access Control,介质访问控制)地址;或者用户标识可以为根据终端的IP地址或MAC地址进行哈希运算得到的哈希值或md5(Message Digest Algorithm MD5,消息摘要算法第五版)值等。
步骤202:服务器接收终端发送的第一资源请求,判断白名单和黑名单中是否存在用户的用户标识;如果白名单和黑名单中都不存在,执行步骤203;
其中,白名单用于存储合法用户的用户标识,黑名单用于存储非法用户的用户标识;如果白名单中存在该用户的用户标识,则确定该用户为合法用户以及响应第一资源请求。如果黑名单中存在该用户的用户标识,则确定该用户为非法用户以及拦截第一资源请求。
合法用户为使用终端向服务器发送资源请求的用户,非法用户为自动程序。响应资源请求可以为根据资源的资源标识获取资源,向终端发送资源;拦截资源请求可以为拒绝终端的资源请求,并将用户的用户标识添加到黑名单中。
进一步地,服务器周期性地从黑名单中获取非法用户的用户标识,将非法用户的用户标识加入防火墙模块,当接收到携带非法用户的用户标识的资源请求时,直接拦截携带非法用户的用户标识的资源请求。
如果白名单和黑名单中都不存在,执行以下步骤继续确定用户是否为合法用户。
步骤203:服务器统计终端发送资源请求的发送频率,如果发送频率超过预设阈值,执行步骤204;
服务器统计终端发送资源请求的发送频率,判断发送频率是否超过预设阈值;如果发送频率没有超过预设阈值,则确定用户为合法用户以及响应第一资源请求;如果发送频率超过预设阈值,则执行步骤204。
其中,服务器统计终端发送资源请求的发送频率的步骤可以为:
服务器统计终端在离当前时间最近的预设时长内发送资源请求的发送个数,计算发送个数与预设时间端的比值,将该比值作为终端发送资源请求的发送频率。
由于合法用户亲自通过终端的浏览器向服务器发送资源请求,因此,合法用户向服务器发送资源请求的频率一般不会太大;而非法用户为了提高发送频率,通过自动程序模拟资源请求向服务器发送资源请求,该发送频率一般会很大。因此,如果发送频率没有超过预设阈值,则确定用户为合法用户以及响应第一资源请求。然而如果发送频率超过预设阈值,并不能确定确定用户是非法用户,继续通过以下步骤验证用户是否为合法用户。
预设时长和预设阈值都可以根据需要进行设置并更改,在本发明实施例中对预设时长和预设阈值不作具体限定,例如,预设时长为10分钟,预设阈值为100次/秒。
步骤204:服务器根据用户的用户标识生成第一特征参数,向终端发送第一资源响应,该第一资源响应携带第一特征参数;
如果发送频率超过预设阈值,服务器获取当前时间,根据用户的用户标识和当前时间,生成第一特征参数。
其中,服务器根据用户的用户标识和当前时间,生成第一特征参数的步骤可以通过第一种方式或者第二种方式实现,对于第一种实现方式,可以为:
服务器将用户的用户标识和当前时间组成第一特征参数。
对于第二种实现方式,可以为:
服务器根据当前时间生成第一时间因子,将用户的用户标识和第一时间因子组成第一特征参数。
其中,服务器计算第一时间与预设数值的整数商,将该整数商作为第一时间因子。
例如,第一时间为126,预设数值为5,计算第一时间:126与预设数值:5的整数商为25,将25作为第一时间因子,并将用户的用户标识和25组成第一特征参数。
进一步地,服务器将用户的用户标识和第一特征参数存储到用户标识和特征参数的对应关系中。服务器可以根据用户的用户标识,从用户标识和特征参数的对应关系中获取第一特征参数。
进一步地,服务器也可以将用户的用户标识和第一时间的对应关系添加到历史记录中。服务器可以根据用户的用户标识,从历史记录中获取第一时间。
服务器将第一特征参数添加到cookie中,将cookie添加到第一资源响应中。预设数值可以根据需要进行设置并更改,例如预设数值可以为5或者6等。
步骤205:终端接收服务器发送的第一资源响应,解析第一资源响应得到第二特征参数;
需要说明的是,只有终端的浏览器能够解析第一资源响应得到第二特征参数;自动程序和浏览器的处理逻辑不同,自动程序并不会解析服务器发送的第一资源响应。
步骤206:终端向服务器发送第二资源请求,该第二资源请求携带用户的用户标识和第二特征参数;
如果用户是合法的用户,终端上的浏览器会解析第一资源响应得到第二特征参数,将第二特征参数添加到第二资源请求中,向服务器发送第二资源请求,该第二资源请求携带用户的用户标识和第二特征参数。
如果用户是非法用户,由于自动程序和浏览器的处理逻辑不同,自动程序并不会解析服务器发送的第一资源响应。因此,自动程序发送的第二资源请求中仅携带用户的用户标识,并不携带第二特征参数,或者自动程序发送的第二资源请求中携带用户的用户标识和第二特征参数,但是第二资源请求中携带的第二特征参数和服务器生成的第一特征参数不相同。
步骤207:服务器接收终端发送的第二资源请求,根据用户的用户标识获取第一特征参数,并判断第一特征参数和第二特征参数是否相同,如果相同,向终端发送验证请求,该验证请求携带第一验证码;
服务器从第二资源请求中获取第二特征参数,根据用户的用户标识获取第一特征参数,判断第一特征参数和第二特征参数是否相同,如果相同,向终端发送验证请求,该验证请求携带第一验证码,继续验证用户是否为合法用户。如果不相同,确定用户为非法用户以及拦截第二资源请求,并将用户的用户标识添加到黑名单中。
服务器根据用户的用户标识,获取第一特征参数的步骤可以通过以下第一种、第二种方式或者第三种方式实现,对于第一种实现方式,可以为:
根据用户的用户标识,从用户标识和特征参数的对应关系中获取第一特征参数。
对于第二种实现方式,可以为:
根据用户的用户标识,从历史记录中获取终端发送第一资源请求对应的发送时间,根据用户的用户标识和发送时间,生成第一特征参数,历史记录用于存储用户标识和发送时间的对应关系。
其中,历史记录中存储用户标识和发送时间的对应关系,根据用户的用户标识从历史记录中获取至少一个资源请求对应的发送时间,从获取的至少一个发送时间中选择离当前时间最近的发送时间,将选择的发送时间确定为第一资源请求对应的发送时间。
对于第三种实现方式,可以为:
获取当前时间作为接收时间,根据用户的用户标识和接收时间,生成第一特征参数。
其中,根据用户的用户标识和接收时间,生成第一特征参数的步骤可以为:
根据接收时间生成第二时间因子,将用户标识和第二时间因子组成第一特征参数。
服务器计算第二时间与预设数值的整数商,将该整数商作为第二时间因子。
需要说明的是,预设数值为第一特征参数失效时间,如果第二时间和第一时间之间的差值大于预设数值时,第一时间与预设数值的整数商和第二时间和预设数值的整数商不相同,也即第一时间因子和第二时间因子不相同,也即第二资源请求中携带的第二特征参数和生成的第一特征参数不相同,也即第二资源请求中携带的第二特征参数已经失效,服务器确定用户为非法用户以及拦截第二资源请求。
如果第二时间和第一时间之间的差值不大于预设数值时,第一时间与预设数值的整数商和第二时间和预设数值的整数商相同,也即第一时间因子和第二时间因子相同,也即第二资源请求中携带的第二特征参数和生成的第一特征参数相同,也即第二资源请求中携带的第二特征参数没有失效,服务器向终端发送验证请求,进一步地对终端进行验证。
进一步地,服务器确定第一特征参数和第二特征参数相同时,可以不执行向终端发送验证请求的步骤,直接确定用户为合法用户以及响应第二资源请求,并将用户的用户标识添加到白名单中。
进一步地,服务器向终端发送验证请求之后,将用户的用户标识和第一验证码存储在用户标识和验证码的对应关系中;从而服务器可以根据用户标识,从用户标识和验证码的对应关系中获取第一验证码。
进一步地,如果第二资源请求中不携带第二特征参数,则确定用户为非法用户以及拦截第二资源请求,并将用户的用户标识添加到黑名单中。
步骤208:终端接收服务器发送的验证请求,向服务器发送验证响应,该验证响应携带第二验证码;
终端从验证请求中获取第一验证码,将第一验证码加载到验证界面中;显示验证界面;用户根据第一验证码输入第二验证码给终端;终端获取用户输入的第二验证码,并向服务器发送验证响应,该验证响应携带第二验证码。
步骤209:服务器接收终端发送的验证响应,根据第一验证码和第二验证码确定是否拦截第二资源请求。
服务器从验证响应中获取第二验证码,并根据用户标识,从用户标识和验证码的对应关系中获取第一验证码;比对第一验证码和第二验证码是否相同;如果相同,则确定用户为合法用户以及响应第二资源请求,并将用户的用户标识添加到白名单中;如果不相同,则确定用户为非法用户以及拦截第二资源请求,并将用户的用户标识添加到黑名单中。
进一步地,服务器可以向终端发送多个验证请求,并接收终端分别对多个验证请求发送的验证响应,统计验证响应的正确率,判断正确率是否超过预设比率,如果超过,则确定用户为合法用户以及响应第二资源请求,并将用户的用户标识添加到白名单中;如果没有超过,则确定用户为非法用户以及拦截第二资源请求,并将用户的用户标识添加到黑名单中。
预设比率可以根据需要进行设置并更改,如预设比例为95%等。
需要说明的是,由于用户可能在某一段时间内使用自动程序模拟资源请求以从服务器中请求资源,例如,参见网上抢购活动时,使用自动程序模拟资源请求,而过一段时间网上抢购活动结束时,用户正常使用终端向服务器发送资源请求,因此,服务器周期性的清空黑名单,从而能够避免影响合法用户的资源请求。
在本发明实施例中,服务器接收终端发送的第一资源请求,根据用户的用户标识和当前时间生成第一特征参数,向终端发送第一资源响应,该第一资源响应携带第一特征参数;终端解析第一资源响应得到第二特征参数,向服务器发送第二资源请求,该第二资源请求携带用户的用户标识和第二特征参数;服务器根据用户的用户标识和第二特征参数确定是否拦截第二资源请求。由于只有终端能够解析第一资源响应,而自动程序无法解析第一资源响应,从而根据用户标识和第二特征参数确定是否拦截第二资源请求,能够准确拦截自动程序模拟的资源请求,提高了拦截的准确性。
实施例3
本发明实施例提供了一种拦截资源请求的装置,参见图3,该装置包括:
第一接收模块301,用于接收终端发送的第一资源请求,第一资源请求携带用户的用户标识;
生成模块302,用于根据用户的用户标识和当前时间生成第一特征参数,向终端发送第一资源响应,第一资源响应携带第一特征参数;
第二接收模块303,用于接收终端发送的第二资源请求,第二资源请求携带用户的用户标识和第二特征参数,第二特征参数为终端解析第一资源响应得到的;
确定模块304,用于根据用户的用户标识和第二特征参数,确定是否拦截第二资源请求。
优选的,确定模块304,包括:
获取单元,用于根据用户的用户标识,获取第一特征参数;
判断单元,用于判断第一特征参数和第二特征参数是否相同;
第一确定单元,用于如果相同,则确定用户为合法用户以及响应第二资源请求;
第二确定单元,用于如果不相同,则确定用户为非法用户以及拦截第二资源请求。
优选的,获取单元,用于根据用户的用户标识,从用户标识和特征参数的对应关系中获取第一特征参数;或者,
获取单元,用于根据用户的用户标识,从历史记录中获取终端发送第一资源请求对应的发送时间,根据用户的用户标识和发送时间,生成第一特征参数,历史记录用于存储用户标识和发送时间的对应关系;或者,
获取单元,用于获取当前时间作为接收时间,根据用户的用户标识和接收时间,生成第一特征参数。
优选的,装置还包括:
第一发送模块,用于如果第一特征参数和第二特征参数相同,向终端发送验证请求,验证请求携带第一验证码;
第三接收模块,用于接收终端发送的验证响应,验证响应携带第二验证码;
第一判断模块,用于判断第一验证码和第二验证码是否相同;
第一响应模块,用于如果相同,则确定用户为合法用户以及响应第二资源请求;
第一拦截模块,用于如果不相同,则确定用户为非法用户以及拦截第二资源请求。
优选的,装置还包括:
第二判断模块,用于判断白名单和黑名单中是否存在用户的用户标识,白名单用于存储合法用户的用户标识,黑名单用于存储非法用户的用户标识;
第二响应模块,用于如果白名单中存在,则确定用户为合法用户以及响应第一资源请求;
第二拦截模块,用于如果黑名单中存在,则确定用户为非法用户以及拦截第一资源请求;
如果白名单和黑名单中都不存在,则执行生成模块302,用于根据用户的用户标识生成第一特征参数。
优选的,装置还包括:
统计模块,用于如果白名单和黑名单都不存在,统计终端发送资源请求的发送频率;
第三判断模块,用于判断发送频率是否超过预设阈值;
第三响应模块,用于如果没有超过,则确定用户为合法用户以及响应第一资源请求;
如果超过,则执行生成模块302,用于根据用户的用户标识生成第一特征参数。
在本发明实施例中,服务器接收终端发送的第一资源请求,根据用户的用户标识和当前时间生成第一特征参数,向终端发送第一资源响应,该第一资源响应携带第一特征参数;终端解析第一资源响应得到第二特征参数,向服务器发送第二资源请求,该第二资源请求携带用户的用户标识和第二特征参数;服务器根据用户的用户标识和第二特征参数确定是否拦截第二资源请求。由于只有终端能够解析第一资源响应,而自动程序无法解析第一资源响应,从而根据用户标识和第二特征参数确定是否拦截第二资源请求,能够准确拦截自动程序模拟的资源请求,提高了拦截的准确性。
实施例4
本发明实施例提供了一种拦截资源请求的装置,参见图4,其中,该装置包括:
第二发送模块401,用于向服务器发送第一资源请求,第一资源请求携带用户的用户标识,使服务器根据用户的用户标识生成第一特征参数;
第四接收模块402,用于接收服务器发送的第一资源响应,第一资源响应携带第一特征参数;
解析模块403,用于解析第一资源响应,得到第二特征参数;
第三发送模块404,用于向服务器发送第二资源请求,第二资源请求携带用户的用户标识和第二特征参数,使服务器根据用户的用户标识和第二特征参数确定是否拦截第二资源请求。
优选的,装置还包括:
第五接收模块,用于接收服务器发送的验证请求,验证请求携带第一验证码;
第四发送模块,用于根据验证请求向服务器发送验证响应,验证响应携带第二验证码,使服务器根据第一验证码和第二验证码确定用户是否为合法用户以及是否拦截第二资源请求。
在本发明实施例中,服务器接收终端发送的第一资源请求,根据用户的用户标识和当前时间生成第一特征参数,向终端发送第一资源响应,该第一资源响应携带第一特征参数;终端解析第一资源响应得到第二特征参数,向服务器发送第二资源请求,该第二资源请求携带用户的用户标识和第二特征参数;服务器根据用户的用户标识和第二特征参数确定是否拦截第二资源请求。由于只有终端能够解析第一资源响应,而自动程序无法解析第一资源响应,从而根据用户标识和第二特征参数确定是否拦截第二资源请求,能够准确拦截自动程序模拟的资源请求,提高了拦截的准确性。
需要说明的是:上述实施例提供的拦截资源请求的装置在拦截资源请求时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的拦截资源请求的装置与拦截资源请求的方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (16)
1.一种拦截资源请求的方法,其特征在于,所述方法包括:
接收终端发送的第一资源请求,所述第一资源请求携带用户的用户标识;
根据所述用户的用户标识和当前时间生成第一特征参数,向所述终端发送第一资源响应,所述第一资源响应携带所述第一特征参数;
接收所述终端发送的第二资源请求,所述第二资源请求携带所述用户的用户标识和第二特征参数,所述第二特征参数为所述终端解析所述第一资源响应得到的;
根据所述用户的用户标识和所述第二特征参数,确定是否拦截所述第二资源请求。
2.如权利要求1所述的方法,其特征在于,所述根据所述用户的用户标识和所述第二特征参数,确定是否拦截所述第二资源请求,包括:
根据所述用户的用户标识,获取所述第一特征参数;
判断所述第一特征参数和所述第二特征参数是否相同;
如果相同,则确定所述用户为合法用户以及响应所述第二资源请求;
如果不相同,则确定所述用户为非法用户以及拦截所述第二资源请求。
3.如权利要求2所述的方法,其特征在于,所述根据所述用户的用户标识,获取所述第一特征参数,包括:
根据所述用户的用户标识,从用户标识和特征参数的对应关系中获取所述第一特征参数;或者,
根据所述用户的用户标识,从历史记录中获取所述终端发送所述第一资源请求对应的发送时间,根据所述用户的用户标识和所述发送时间,生成所述第一特征参数,所述历史记录用于存储用户标识和发送时间的对应关系;或者,
获取当前时间作为接收时间,根据所述用户的用户标识和所述接收时间,生成所述第一特征参数。
4.如权利要求2所述的方法,其特征在于,所述方法还包括:
如果所述第一特征参数和所述第二特征参数相同,向所述终端发送验证请求,所述验证请求携带第一验证码;
接收所述终端发送的验证响应,所述验证响应携带第二验证码;
判断所述第一验证码和所述第二验证码是否相同;
如果相同,则确定所述用户为合法用户以及响应所述第二资源请求;
如果不相同,则确定所述用户为非法用户以及拦截所述第二资源请求。
5.如权利要求1所述的方法,其特征在于,所述根据所述用户的用户标识生成第一特征参数之前,还包括:
判断白名单和黑名单中是否存在所述用户的用户标识,所述白名单用于存储合法用户的用户标识,所述黑名单用于存储非法用户的用户标识;
如果所述白名单中存在,则确定所述用户为合法用户以及响应所述第一资源请求;
如果所述黑名单中存在,则确定所述用户为非法用户以及拦截所述第一资源请求;
如果所述白名单和所述黑名单中都不存在,则执行所述根据所述用户的用户标识生成第一特征参数的操作。
6.如权利要求5所述的方法,其特征在于,所述方法还包括:
如果所述白名单和所述黑名单都不存在,统计所述终端发送资源请求的发送频率;
判断所述发送频率是否超过预设阈值;
如果没有超过,则确定所述用户为合法用户以及响应所述第一资源请求;
如果超过,则执行所述根据所述用户的用户标识生成第一特征参数的操作。
7.一种拦截资源请求的方法,其特征在于,所述方法包括:
向服务器发送第一资源请求,所述第一资源请求携带用户的用户标识,使所述服务器根据所述用户的用户标识生成第一特征参数;
接收所述服务器发送的第一资源响应,所述第一资源响应携带所述第一特征参数;
解析所述第一资源响应,得到第二特征参数;
向所述服务器发送第二资源请求,所述第二资源请求携带所述用户的用户标识和所述第二特征参数,使所述服务器根据所述用户的用户标识和所述第二特征参数确定是否拦截所述第二资源请求。
8.如权利要求7所述的方法,其特征在于,所述向所述服务器发送第二资源请求之后,还包括:
接收所述服务器发送的验证请求,所述验证请求携带第一验证码;
根据所述验证请求向所述服务器发送验证响应,所述验证响应携带第二验证码,使所述服务器根据所述第一验证码和所述第二验证码确定所述用户是否为合法用户以及是否拦截所述第二资源请求。
9.一种拦截资源请求的装置,其特征在于,所述装置包括:
第一接收模块,用于接收终端发送的第一资源请求,所述第一资源请求携带用户的用户标识;
生成模块,用于根据所述用户的用户标识和当前时间生成第一特征参数,向所述终端发送第一资源响应,所述第一资源响应携带所述第一特征参数;
第二接收模块,用于接收所述终端发送的第二资源请求,所述第二资源请求携带所述用户的用户标识和第二特征参数,所述第二特征参数为所述终端解析所述第一资源响应得到的;
确定模块,用于根据所述用户的用户标识和所述第二特征参数,确定是否拦截所述第二资源请求。
10.如权利要求9所述的装置,其特征在于,所述确定模块,包括:
获取单元,用于根据所述用户的用户标识,获取所述第一特征参数;
判断单元,用于判断所述第一特征参数和所述第二特征参数是否相同;
第一确定单元,用于如果相同,则确定所述用户为合法用户以及响应所述第二资源请求;
第二确定单元,用于如果不相同,则确定所述用户为非法用户以及拦截所述第二资源请求。
11.如权利要求10所述的装置,其特征在于,
所述获取单元,用于根据所述用户的用户标识,从用户标识和特征参数的对应关系中获取所述第一特征参数;或者,
所述获取单元,用于根据所述用户的用户标识,从历史记录中获取所述终端发送所述第一资源请求对应的发送时间,根据所述用户的用户标识和所述发送时间,生成所述第一特征参数,所述历史记录用于存储用户标识和发送时间的对应关系;或者,
所述获取单元,用于获取当前时间作为接收时间,根据所述用户的用户标识和所述接收时间,生成所述第一特征参数。
12.如权利要求10所述的装置,其特征在于,所述装置还包括:
第一发送模块,用于如果所述第一特征参数和所述第二特征参数相同,向所述终端发送验证请求,所述验证请求携带第一验证码;
第三接收模块,用于接收所述终端发送的验证响应,所述验证响应携带第二验证码;
第一判断模块,用于判断所述第一验证码和所述第二验证码是否相同;
第一响应模块,用于如果相同,则确定所述用户为合法用户以及响应所述第二资源请求;
第一拦截模块,用于如果不相同,则确定所述用户为非法用户以及拦截所述第二资源请求。
13.如权利要求9所述的装置,其特征在于,所述装置还包括:
第二判断模块,用于判断白名单和黑名单中是否存在所述用户的用户标识,所述白名单用于存储合法用户的用户标识,所述黑名单用于存储非法用户的用户标识;
第二响应模块,用于如果所述白名单中存在,则确定所述用户为合法用户以及响应所述第一资源请求;
第二拦截模块,用于如果所述黑名单中存在,则确定所述用户为非法用户以及拦截所述第一资源请求;
如果所述白名单和所述黑名单中都不存在,则执行所述生成模块,用于根据所述用户的用户标识生成第一特征参数。
14.如权利要求13所述的装置,其特征在于,所述装置还包括:
统计模块,用于如果所述白名单和所述黑名单都不存在,统计所述终端发送资源请求的发送频率;
第三判断模块,用于判断所述发送频率是否超过预设阈值;
第三响应模块,用于如果没有超过,则确定所述用户为合法用户以及响应所述第一资源请求;
如果超过,则执行所述生成模块,用于根据所述用户的用户标识生成第一特征参数。
15.一种拦截资源请求的装置,其特征在于,所述装置包括:
第二发送模块,用于向服务器发送第一资源请求,所述第一资源请求携带用户的用户标识,使所述服务器根据所述用户的用户标识生成第一特征参数;
第四接收模块,用于接收所述服务器发送的第一资源响应,所述第一资源响应携带所述第一特征参数;
解析模块,用于解析所述第一资源响应,得到第二特征参数;
第三发送模块,用于向所述服务器发送第二资源请求,所述第二资源请求携带所述用户的用户标识和所述第二特征参数,使所述服务器根据所述用户的用户标识和所述第二特征参数确定是否拦截所述第二资源请求。
16.如权利要求15所述的装置,其特征在于,所述装置还包括:
第五接收模块,用于接收所述服务器发送的验证请求,所述验证请求携带第一验证码;
第四发送模块,用于根据所述验证请求向所述服务器发送验证响应,所述验证响应携带第二验证码,使所述服务器根据所述第一验证码和所述第二验证码确定所述用户是否为合法用户以及是否拦截所述第二资源请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410834722.7A CN104519069A (zh) | 2014-12-27 | 2014-12-27 | 一种拦截资源请求的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410834722.7A CN104519069A (zh) | 2014-12-27 | 2014-12-27 | 一种拦截资源请求的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104519069A true CN104519069A (zh) | 2015-04-15 |
Family
ID=52793791
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410834722.7A Pending CN104519069A (zh) | 2014-12-27 | 2014-12-27 | 一种拦截资源请求的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104519069A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104994072A (zh) * | 2015-05-28 | 2015-10-21 | 北京椒图科技有限公司 | 网站管理平台的访问方法及装置 |
| CN105392051A (zh) * | 2015-10-27 | 2016-03-09 | 无锡天脉聚源传媒科技有限公司 | 一种视频请求处理方法及装置 |
| CN106161400A (zh) * | 2015-04-22 | 2016-11-23 | 腾讯科技(深圳)有限公司 | 通信消息安全检测方法、装置及系统 |
| CN107315638A (zh) * | 2016-04-26 | 2017-11-03 | 北京京东尚科信息技术有限公司 | 一种b/s系统及其工作方法 |
| CN109117609A (zh) * | 2018-08-31 | 2019-01-01 | 中国农业银行股份有限公司 | 一种请求拦截方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007110951A1 (ja) * | 2006-03-29 | 2007-10-04 | The Bank Of Tokyo-Mitsubishi Ufj, Ltd. | ユーザ確認装置、方法及びプログラム |
| CN102769549A (zh) * | 2011-05-05 | 2012-11-07 | 腾讯科技(深圳)有限公司 | 网络安全监控的方法和装置 |
| CN103209161A (zh) * | 2012-01-16 | 2013-07-17 | 深圳市腾讯计算机系统有限公司 | 一种访问请求处理方法及装置 |
| CN103973636A (zh) * | 2013-01-28 | 2014-08-06 | 深圳市腾讯计算机系统有限公司 | 一种验证方法、服务器及系统 |
-
2014
- 2014-12-27 CN CN201410834722.7A patent/CN104519069A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007110951A1 (ja) * | 2006-03-29 | 2007-10-04 | The Bank Of Tokyo-Mitsubishi Ufj, Ltd. | ユーザ確認装置、方法及びプログラム |
| CN102769549A (zh) * | 2011-05-05 | 2012-11-07 | 腾讯科技(深圳)有限公司 | 网络安全监控的方法和装置 |
| CN103209161A (zh) * | 2012-01-16 | 2013-07-17 | 深圳市腾讯计算机系统有限公司 | 一种访问请求处理方法及装置 |
| CN103973636A (zh) * | 2013-01-28 | 2014-08-06 | 深圳市腾讯计算机系统有限公司 | 一种验证方法、服务器及系统 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106161400A (zh) * | 2015-04-22 | 2016-11-23 | 腾讯科技(深圳)有限公司 | 通信消息安全检测方法、装置及系统 |
| CN104994072A (zh) * | 2015-05-28 | 2015-10-21 | 北京椒图科技有限公司 | 网站管理平台的访问方法及装置 |
| CN104994072B (zh) * | 2015-05-28 | 2018-06-08 | 北京椒图科技有限公司 | 网站管理平台的访问方法及装置 |
| CN105392051A (zh) * | 2015-10-27 | 2016-03-09 | 无锡天脉聚源传媒科技有限公司 | 一种视频请求处理方法及装置 |
| CN105392051B (zh) * | 2015-10-27 | 2019-03-19 | 无锡天脉聚源传媒科技有限公司 | 一种视频请求处理方法及装置 |
| CN107315638A (zh) * | 2016-04-26 | 2017-11-03 | 北京京东尚科信息技术有限公司 | 一种b/s系统及其工作方法 |
| CN107315638B (zh) * | 2016-04-26 | 2021-04-30 | 北京京东尚科信息技术有限公司 | B/s系统、方法、计算机系统及计算机可读存储介质 |
| CN109117609A (zh) * | 2018-08-31 | 2019-01-01 | 中国农业银行股份有限公司 | 一种请求拦截方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11122067B2 (en) | Methods for detecting and mitigating malicious network behavior and devices thereof | |
| CN107645478B (zh) | 网络攻击防御系统、方法及装置 | |
| EP3718285B1 (en) | Computer-implemented system and method for propagation and communication of data in a network such as a blockchain network | |
| CN105282047A (zh) | 访问请求处理方法及装置 | |
| CN104980920B (zh) | 智能终端建立通信连接的方法及装置 | |
| CN104519069A (zh) | 一种拦截资源请求的方法和装置 | |
| WO2019237813A1 (zh) | 一种服务资源的调度方法及装置 | |
| CN102075561B (zh) | 一种网络资源下载方法,装置及系统 | |
| CN106411825A (zh) | 一种微信访问令牌获取方法及系统 | |
| CN108737582A (zh) | 域名解析的方法及装置 | |
| CN108183950A (zh) | 一种网络设备建立连接的方法及装置 | |
| CN103916244A (zh) | 验证方法及装置 | |
| CN108200180B (zh) | 一种用于限制请求频率的方法、装置及计算机设备 | |
| CN105847277A (zh) | 用于第三方应用的服务账号共享管理方法及系统 | |
| CN112165445B (zh) | 用于检测网络攻击的方法、装置、存储介质及计算机设备 | |
| CN110177086A (zh) | 一种云手机屏幕分享方法、系统及装置 | |
| CN108718347A (zh) | 一种域名解析方法、系统、装置及存储介质 | |
| CN107809363B (zh) | 一种网络信息传播控制方法和装置 | |
| CN105635124B (zh) | 流量控制方法和装置 | |
| CN110913011B (zh) | 会话保持方法、会话保持装置、可读存储介质及电子设备 | |
| CN112804263A (zh) | 一种面向物联网的漏洞扫描方法、系统及设备 | |
| CN111901147A (zh) | 一种网络访问的控制方法和装置 | |
| CN105490824A (zh) | 一种游戏服务器和群发消息过滤方法 | |
| WO2019047345A1 (zh) | 动态密码发送策略的生成方法和动态密码发送方法 | |
| WO2017080328A1 (zh) | 终端用户状态获取方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 511446 Guangzhou City, Guangdong Province, Panyu District, South Village, Huambo Business District Wanda Plaza, block B1, floor 28 Applicant after: Guangzhou Huaduo Network Technology Co., Ltd. Address before: 510655, Guangzhou, Whampoa Avenue, No. 2, creative industrial park, building 3-08, Applicant before: Guangzhou Huaduo Network Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150415 |
|
| RJ01 | Rejection of invention patent application after publication |