CN105897694B - 一种客户端会话识别方法及系统 - Google Patents

Abstract

本发明提供一种客户端会话识别方法及系统，包括判断客户端发送来的http请求数据包中是否存在Cookie标识；若存在，判断客户端发送来的http请求数据包中的Cookie标识是否被伪造；若是，清除http请求数据包中的Cookie标识，重新生成一个重定向到该http请求域名首页的数据包并发往服务端，并添加Cookie标识；若否，判断Cookie标识记录的结果是否支持JavaScript；若支持，则判断是否到达客户端的验证时间；若到达验证时间，则根据超过设定的缓冲时间没验证完成、在设定的缓冲时间内验证完成和在设定的缓冲时间内验证未完成的情况进行判断验证。本发明的客户端会话识别方法及系统能够使用客户端Cookie唯一标识来回溯整个客户端的浏览行为。

Description

一种客户端会话识别方法及系统

技术领域

本发明涉及Web应用安全防护的技术领域，特别是涉及一种客户端会话识别方法。

背景技术

随着互联网的广泛普及，Web应用平台已经逐渐成为互联网信息交互的中心。随之而来的是Web应用面临的越来越严重的安全威胁，如何保障Web应用安全已经成为一个重要的研究课题。其中，黑客们使用程序模拟用户行为，进行一些非法获利的网络活动，使得攻击越来越具有模糊性。而随着国家网络攻击的相关政策的推出，黑客们又频繁使用IP代理模式进行攻击，使得攻击越来越具有隐藏性。因此，如何快速识别攻击程序行为、定位攻击用户、回溯攻击请求是安全防护及监测设备碰到的主要挑战。

现有技术中，在识别自动化攻击程序行为及回溯攻击请求中，主要策略是根据IP地址及短时间内的请求次数来识别程序行为及以IP做为基线来回溯整个攻击行为。具体地，基于IP地址跟踪客户端的程序行为时，首先从客户端发送来的数据包中提取IP和UA信息作为识别客户端的唯一标识；然后记录这个唯一标识，并在后续根据这个唯一标识对客户端行为进行跟踪，还可以对跟踪时可能出现的各种情况设计对应的处理方案。其中，UA为用户代理(User Agent)，是指浏览器等，UA信息包括硬件平台、系统软件、应用软件和用户个人偏好。在X.400电子系统中，UA是一种对数据打包、创造分组头，以及编址、传递消息的部件。需要说明的是，用户代理并不是仅指浏览器，还包括搜索引擎。

因此，现有的识别自动化攻击程序及回溯攻击请求方案中，基本上是靠IP来定位攻击请求。但是上述方案存在以下不足：

(1)采用IP定位机制时，由于越来越多的攻击是基于VPN代理上请求，存在难以准确定位不同IP地址为同一个攻击者的问题；

(2)唯一标识不够细化，无法对用户的唯一性作出准确判断；

(3)基于请求阀值识别自动化程序机制时，由于此识别防护技术早已公开，存在难以识别有延时处理的程序的请求行为。

发明内容

鉴于以上所述现有技术的缺点，本发明的目的在于提供一种客户端会话识别方法及系统，通过为客户端添加Cookie唯一标识来判断浏览器类型、HTML解析支持情况、HTML5支持情况代码，并以此来区分正常浏览和程序浏览，从而不使用IP地址，即可使用客户端Cookie唯一标识来回溯整个客户端的浏览行为。

为实现上述目的及其他相关目的，本发明提供一种客户端会话识别方法，应用于服务端与客户端之间，步骤S1、判断客户端发送来的http请求数据包中是否存在Cookie标识；所述Cookie标识用于记录客户端的http请求的信息；步骤S2、若存在，判断客户端发送来的http请求数据包中的Cookie标识是否被伪造；若是，清除http请求数据包中的Cookie标识，重新生成一个重定向到该http请求域名首页的数据包并发往服务端，并添加Cookie标识；若否，转入步骤S3；步骤S3、判断Cookie标识记录的结果是否支持JavaScript；步骤S4、若Cookie标识记录的结果支持JavaScript，则执行以下操作：a)判断是否到达客户端的验证时间，若是，下发验证代码进行验证，转入步骤b)；若否，转入步骤c)；b)若超过设定的缓冲时间没验证完成，则记录Cookie标识，并清除验证代码的下发次数记录，更新上次验证时间，流程结束；若在设定的缓冲时间内验证完成，则记录Cookie标识，并清除验证代码的下发次数记录，更新上次验证时间，流程结束；若在设定的缓冲时间内验证未完成，则当服务端返回的数据包格式是html格式时，下发验证代码，更新验证代码的下发次数记录，否则直接放行；流程结束；c)直接放行，流程结束。

根据上述的客户端会话识别方法，其中：所述Cookie标识包括客户端标识、Cookie标识下发时间、上次验证时间、浏览器类型、html解析参数、JavaScript支持参数和Localstorage/UserData参数。

根据上述的客户端会话识别方法，其中：所述步骤S1中，若不存在Cookie标识，则判断哈希缓冲区是否存在所述http请求的UA和IP的哈希值记录；

若是，对于客户端持续不接收Cookie标识的情况，记录该http请求的IP，直接放行，流程结束；否则，当服务端返回的数据包格式是html格式时，添加Cookie标识并下发验证代码；否则仅添加Cookie标识，流程结束；

若否，初始化哈希缓冲区；当服务端返回的数据包格式是html格式时，添加Cookie标识并下发验证代码；否则仅添加Cookie标识，流程结束。

进一步地，根据上述的客户端会话识别方法，其中：当客户端超过预定次数不接收UA和IP的哈希值记录时，判定客户端持续不接收Cookie标识。

根据上述的客户端会话识别方法，其中：所述步骤S3中，当Cookie标识记录的结果不支持JavaScript时，执行以下步骤：

a)判断判断代码的下发次数记录是否存在；若是，转入步骤b)；若否，转入步骤c)；

b)当判断代码的下发次数大于等于预定次数时，删除判断代码的下发次数记录，转入步骤c)；否则当服务端返回的数据包格式是html格式时，下发判断代码，更新判断代码的下发次数记录，否则直接放行，流程结束；

c)判断是否到达客户端的验证时间；若是，下发验证代码进行验证，转入步骤d)；若否，转入步骤e)；

d)若超过设定的缓冲时间没验证完成，则记录Cookie标识，并清除验证代码的下发次数记录，更新上次验证时间，流程结束；

若在设定的缓冲时间内验证完成，清除验证代码的下发次数记录，并更新上次验证时间，流程结束；

若在设定的缓冲时间内验证未完成，则当服务端返回的数据包格式是html格式时，下发验证代码，更新验证代码的下发次数记录；否则直接放行；流程结束；

e)直接放行，流程结束。

根据上述的客户端会话识别方法，其中：所述步骤S3中，通过以下步骤判断Cookie标识记录的结果是否支持JavaScript：

a)判断JS支持情况发起的请求中的Cookie标识是否被篡改；若是，转入b)；若否，转入c)；

b)返回回响字符串0至客户端；

c)判断JS支持情况发起的请求回来的数据是否被篡改；若是，返回回响字符串0至客户端；若否，再判断JS支持情况发起的请求回来的数据是否支持Localstorage/UserData；若支持，更新Localstorage/UserData参数，返回回响字符串1至客户端，并生成新的Cookie标识，删除判断代码的下发次数记录；若不支持，更新Localstorage/UserData参数，返回回响字符串0至客户端，并生成新的Cookie标识，删除判断代码的下发次数记录。

同时，本发明还提供一种客户端会话识别系统，应用于服务端与客户端之间，包括第一模块、第二模块、第三模块和第四模块；

所述第一模块用于判断客户端发送来的http请求数据包中是否存在Cookie标识；所述Cookie标识用于记录客户端的http请求的信息；

所述第二模块用于在客户端发送来的http请求数据包中存在Cookie标识时，判断客户端发送来的http请求数据包中的Cookie标识是否被伪造；并在Cookie标识被伪造时，清除http请求数据包中的Cookie标识，重新生成一个重定向到该http请求域名首页的数据包并发往服务端，并添加Cookie标识；

所述第三模块用于在Cookie标识没有被伪造时，判断Cookie标识记录的结果是否支持JavaScript；

所述第四模块用于在Cookie标识记录的结果支持JavaScript时，执行以下操作：

a)判断是否到达客户端的验证时间，若是，下发验证代码进行验证转入步骤b)；若否，转入步骤c)；

b)若超过设定的缓冲时间没验证完成，则记录Cookie标识，并清除验证代码的下发次数记录，更新上次验证时间；

若在设定的缓冲时间内验证完成，则记录Cookie标识，并清除验证代码的下发次数记录，更新上次验证时间；

若在设定的缓冲时间内验证未完成，则当服务端返回的数据包格式是html格式时，下发验证代码，更新验证代码的下发次数记录，否则直接放行；

c)直接放行。

根据上述的客户端会话识别系统，其中：所述Cookie标识包括客户端标识、Cookie标识下发时间、上次验证时间、浏览器类型、html解析参数、JavaScript支持参数和Localstorage/UserData参数。

根据上述的客户端会话识别系统，其中：还包括第一处理模块，所述第一处理模块用于在客户端发送来的http请求数据包中不存在Cookie标识时，判断哈希缓冲区是否存在该http请求的UA和IP的哈希值记录；

若是，对于客户端持续不接收Cookie标识的情况，记录该http请求的IP，直接放行；否则，当服务端返回的数据包格式是html格式时，添加Cookie标识并下发验证代码；否则仅添加Cookie标识；

若否，初始化hash缓冲区；当服务端返回的数据包格式是html格式时，添加Cookie标识并下发验证代码；否则仅添加Cookie标识

进一步地，根据上述的客户端会话识别系统，其中：所述第一处理模块中，当客户端超过预定次数不接收UA和IP的哈希值记录时，判定客户端持续不接收Cookie标识。

根据上述的客户端会话识别系统，其中：还包括第二处理模块，所述第二处理模块用于在Cookie标识记录的结果不支持JavaScript时，执行以下操作：

a)判断判断代码的下发次数记录是否存在；若是，转入步骤b)；若否，转入步骤c)。

b)当判断代码的下发次数大于等于预定次数时，删除判断代码的下发次数记录，转入步骤c)；否则当服务端返回的数据包格式是html格式时，下发判断代码，更新判断代码的下发次数记录，否则直接放行；

c)判断是否到达客户端的验证时间；若是，下发验证代码进行验证，转入步骤d)；若否，转入步骤e)；

d)若超过设定的缓冲时间没验证完成，则记录Cookie标识，并清除验证代码的下发次数记录，更新上次验证时间；

若在设定的缓冲时间内验证完成，清除验证代码的下发次数记录，并更新上次验证时间；

若在设定的缓冲时间内验证未完成，则当服务端返回的数据包格式是html格式时，下发验证代码，更新验证代码的下发次数记录；否则直接放行；

e)直接放行。

根据上述的客户端会话识别系统，其中：所述第三模块中，通过以下步骤判断Cookie标识记录的结果是否支持JavaScript：

a)判断JS支持情况发起的请求中的Cookie标识是否被篡改；若是，转入b)；若否，转入c)；

b)返回回响字符串0至客户端；

c)判断JS支持情况发起的请求回来的数据是否被篡改；若是，返回回响字符串0至客户端；若否，再判断JS支持情况发起的请求回来的数据是否支持Localstorage/UserData；若支持，更新Localstorage/UserData参数，返回回响字符串1至客户端，并生成新的Cookie标识，删除判断代码的下发次数记录；若不支持，更新Localstorage/UserData参数，返回回响字符串0至客户端，并生成新的Cookie标识，删除判断代码的下发次数记录。

如上所述，本发明的客户端会话识别方法及系统，具有以下有益效果：

(1)能够有效地识别出自动化程序实现的HTTP请求和用户使用浏览器访问的请求，从而进一步实现识别和阻止恶意刷单、爬虫等行为，以及在事后，对一次攻击行为进行有效回溯，从而找到漏洞问题的原始位置；

(2)对于攻击行为，当发现攻击请求时，能够利用客户端Cookie唯一标识定位到用户，对其后续的请求进行相关处理，还能够利用客户端Cookie唯一标识中校验支持情况来区分程序和正常用户的请求，进而对其后续的请求进行相关处理；

(3)对于回溯攻击，能够利用请求中所带的客户端Cookie唯一标识作为基线，回溯整个攻击请求，从而清楚地了解攻击者的目的。

附图说明

图1显示为本发明的客户端会话识别方法的流程图；

图2显示为本发明中判断Cookie标识记录的结果是否支持JavaScript的流程图；

图3显示为本发明中验证Localstorage/UserData支持情况的流程图；

图4显示为本发明的客户端会话识别系统的结构示意图。

具体实施方式

以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。

需要说明的是，本实施例中所提供的图示仅以示意方式说明本发明的基本构想，遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制，其实际实施时各组件的型态、数量及比例可为一种随意的改变，且其组件布局型态也可能更为复杂。

本发明的客户端会话识别方法及系统应用于服务端与客户端之间，通过对客户端发送过来的http请求数据包的Cookie标识进行增加、删除、修改等操作，对于客户端持续不接收服务端设定的SetCookie或不支持Cookie的情况、判断Cookie标识是否被篡改情况、客户端对JavaScript(JS)的支持情况以及是否需要进行验证之前判断支持情况等可能出现的事件进行相关的处理。其中，对于Cookie标识采用相关加密算法以实现防伪造，并具有一定的随机性；通过下发相关代码判断和验证客户端的一些基本情况，从而使整个判断和验证过程具有迷惑性，对下发的代码做随机选择处理并对结果数据进行校验。

参照图1，本发明的客户端会话识别方法，应用于服务端与客户端之间，包括以下步骤：

步骤S1、判断客户端发送来的http请求数据包中是否存在Cookie标识。

正常情况下，客户端发送来的http请求数据包中应该包含Cookie标识。但是，在数据包被篡改，或者客户端浏览器不支持Cookie标识的情况下，客户端发送来的http请求数据包中则不包含Cookie标识。

其中，Cookie标识是指Web应用防护系统(网站应用级入侵防御系统，WebApplication Firewall，WAF)主动下发给客户端的一个Cookie字段。在本发明中，Cookie标识由WAF自定义，与服务端无关。也就是说，服务端发出的数据包，经由WAF添加一个Cookie标识后再下发给客户端。之所以要添加的Cookie标识，是因为Cookie标识记录关联着一些客户端请求的相关信息。将Cookie标识发给客户端后，客户端在接收之后会保存在浏览器里，下次请求会带上这个Cookie标识，以便跟踪记录整个请求过程。

其中，Cookie标识包括客户端标识、Cookie标识下发时间、上次验证时间、浏览器类型、html解析参数、JS支持参数和Localstorage/UserData参数。

具体地，Cookie标识字段如下：

<客户端标识>,<Cookie标识下发时间>,<上次验证时间>,<浏览器类型>,<html解析参数>,<JS支持参数>,<HTML5的Localstorage参数或IE的Userdata参数>

<客户端标识>：将当前的时间戳在加上5位数的随机数(10+5)，在15位数字的前后分别加上FWLA和AFG。例如，FWLA144677665612345AFG，时间戳：1446776656，随机数：12345)

<Cookie标识下发时间>：WAF下发Cookie标识时的时间戳。

<上次验证时间>：验证时的时间戳。

<浏览器类型>：根据UA设置对应的值。

<html解析参数>：0表示初始状态且不支持html解析；1表示支持html解析。

<JS支持参数>：0表示初始状态且不支持JS；1表示支持JS。

<HTML5的Localstorage参数或IE的Userdata参数>：0表示初始状态且不支持Localstorage/UserData；1表示支持Localstorage/UserData。

步骤S2、若存在，判断客户端发送来的http请求数据包中的Cookie标识是否被伪造；若是，清除http请求数据包中的Cookie标识，重新生成一个重定向到该http请求域名首页的数据包并发往服务端，并添加Cookie标识；若否，转入步骤S3。

优选地，若客户端发送来的http请求数据包中不存在Cookie标识，则判断哈希(hash)缓冲区是否存在该http请求的UA和IP的哈希值记录；

若是，对于客户端持续不接收Cookie标识的情况，记录该http请求的IP，直接放行，流程结束；否则，当服务端返回的数据包格式是html格式时，添加Cookie标识并下发验证代码；否则仅添加Cookie标识，流程结束；

若否，初始化hash缓冲区；当服务端返回的数据包格式是html格式时，添加Cookie标识并下发验证代码；否则仅添加Cookie标识，流程结束。

具体地，通过设置判断变量setCookie来表示是否要添加Cookie标识。当setCookie取值为1时，表示添加Cookie标识；setCookie取值为2时，表示不添加Cookie标识。

其中，hash缓冲区是指程序在内存开设的一块存储区域，用于存储UA和IP的哈希值记录。

优选地，当客户端超过预定次数不接收UA和IP的哈希值记录时，判定客户端持续不接收Cookie标识。优选地，预定次数为3次。每访问一次UA和IP的哈希值记录，将其访问次数加1。

步骤S3、判断Cookie标识记录的结果是否支持JS。

其中，JS即JavaScript，是一种由Netscape的LiveScript发展而来的脚本语言，主要目的是为了解决服务器终端语言，比如Perl，遗留的速度问题。当时服务端需要对数据进行验证，由于网络速度相当缓慢,只有28.8kbps，验证步骤浪费的时间太多。于是Netscape的浏览器Navigator加入了JavaScript，提供了数据验证的基本功能。

如图2所示，JS判断代码用于判断JS支持情况。其中，若JS支持情况发起的请求回来，则说明支持JS。具体地，JS判断代码包括以下步骤：

a)判断JS支持情况发起的请求中的Cookie标识是否被篡改；若是，转入b)；若否，转入c)；

b)返回回响字符串0至客户端；

c)判断JS支持情况发起的请求回来的数据是否被篡改；若是，返回回响字符串0至客户端；若否，再判断JS支持情况发起的请求回来的数据是否支持html5特性或IE特性(即是否支持Localstorage/UserData)；若是，更新Localstorage/UserData参数，返回回响字符串1至客户端，并生成新的Cookie标识，删除下发判断代码的下发次数记录；若否，更新Localstorage/UserData参数，返回回响字符串0至客户端，并生成新的Cookie标识，删除下发判断代码的下发次数记录。

步骤S4、若支持JS，则执行以下操作：

a)判断是否到达客户端的验证时间，若是，下发验证代码进行验证，转入步骤b)；若否，转入步骤c)。

具体地，为了判断客户端对JS、HTML、H5特性支持情况，需要每隔一段时间验证一次是否出现变化。

若客户端环境改变就会出现验证异常，验证异常时则会根据当前客户端记录相关信息。

优选地，设定两次验证之间的最小时间差为24小时。若距离上次验证的时间未超过24小时，则判定未到达验证时间。

b)若超过设定的缓冲时间没验证完成，则记录Cookie标识，并清除验证代码的下发次数记录，更新上次验证时间，流程结束；

若在设定的缓冲时间内验证完成，则记录Cookie标识，并清除验证代码的下发次数记录，更新上次验证时间，流程结束；

若在设定的缓冲时间内验证未完成，则当服务端返回的数据包格式是html格式时，下发验证代码，更新验证代码的下发次数记录，否则直接放行；流程结束。

其中，在内存开设一块存储区域来作为下发验证代码的缓冲区，下发验证代码的缓冲区用于存储验证代码下发的次数Time2。若验证代码下发的次数未达到预定次数，则判断在设定的缓冲时间内验证未完成。优选地，预定次数为3。

c)直接放行，流程结束。

优选地，当Cookie标识记录的结果不支持JS时，执行以下步骤：

a)判断判断代码的下发次数记录是否存在；若是，转入步骤b)；若否，转入步骤c)。

其中，在内存开设一块存储区域来作为下发判断代码的缓冲区，下发判断代码的缓冲区用于存储判断代码下发的次数Time1。

b)当判断代码的下发次数大于等于预定次数时，删除判断代码的下发次数记录，转入步骤c)；否则当服务端返回的数据包格式是html格式时，下发判断代码，更新判断代码的下发次数记录，否则直接放行，流程结束。

优选地，预定次数为3次。

c)判断是否到达客户端的验证时间；若是，下发验证代码进行验证，转入步骤d)；若否，转入步骤e)。

优选地，设定两次验证之间的最小时间差为24小时。若距离上次验证的时间未超过24小时，则判定未到达验证时间。

d)若超过设定的缓冲时间没验证完成，则记录Cookie标识，并清除验证代码的下发次数记录，更新上次验证时间，流程结束；

若在设定的缓冲时间内验证完成，清除验证代码的下发次数记录，并更新上次验证时间，流程结束；

若在设定的缓冲时间内验证未完成，则当服务端返回的数据包格式是html格式时，下发验证代码，更新验证代码的下发次数记录；否则直接放行；流程结束。

e)直接放行，流程结束。

下面对本发明中涉及的判断代码和验证代码进行详细的说明。其中，判断代码包括html判断代码和JS判断代码；验证代码包括html验证代码、JS验证代码和Localstorage/UserData验证代码。

html判断代码用于判断html解析的支持情况。其中，若html解析支持情况发起的请求回来，则说明支持HTML解析。具体地，html判断代码包括以下步骤：

a)判断HTML解析支持情况发起的请求中Cookie标识是否被修改；若是，转入b)；若否，转入c)；

b)直接放行；

c)判断html请求回来的数据是否被篡改；若是，直接放行；若否，更新下发验证代码的缓冲区，并生成新的Cookie标识。

html验证代码用于验证html解析的支持情况。其中，若验证html解析支持情况发起的请求回来，则说明支持HTML解析。具体地，html验证代码包括以下步骤：

a)若验证html解析支持情况发起的请求中Cookie标识是否被篡改；若是，转入b)；若否，转入c；

b)直接放行；

c)判断验证html解析支持情况发起的请求回来的数据是否被篡改；若是，直接放行；若否，再判断验证html解析支持情况发起的请求回来的数据的支持情况与Cookie标识中的支持情况是否一致；若是，更新上次验证时间；若否，记录Cookie标识，更新上次验证时间。

JS验证代码用于验证JS支持情况。其中，若验证JS支持情况发起的请求回来，则说明支持JS。具体地，JS验证代码包括以下步骤：

a)判断验证JS支持情况发起的请求中的Cookie标识是否被篡改；若是，转入b)；若否，转入c；

b)直接放行；

c)判断验证JS支持情况发起的请求回来的数据是否被篡改；若是，直接放行；若否，再判断验证JS支持情况发起的请求回来的数据中的JS支持情况与Cookie标识中的JS支持情况是否一致；若是，清除下发验证代码的缓冲区中的相关记录，更新上次验证时间；若否，清除下发验证代码的缓冲区中的相关记录，更新上次验证时间，并记录Cookie标识。

需要说明的是，如果一开始判断是支持JS，后续的所有验证都是不支持JS，那么就怀疑有可能此Cookie被移动到不支持的环境里去运行了。在本发明中，验证的主要目的就是为了验证上一次的判断结果。故对验证结果只是记录处理，暂时不做任何操作。

Localstorage/UserData验证代码用于验证Localstorage/UserData支持情况。其中，若验证Localstorage/UserData支持情况发起的请求回来，则说明支持Localstorage/UserData。具体地，如图3所示，Localstorage/UserData验证代码包括以下步骤：

a)判断验证Localstorage/UserData支持情况发起的请求中的Cookie标识是否被篡改；若是，转入b)；若否，转入c)；

b)直接放行；

c)判断验证Localstorage/UserData支持情况发起的请求回来的数据是否被篡改；转入c1)；若否，转入c2)；

c1)直接放行；

c2)判断验证Localstorage/UserData支持情况发起的请求回来的数据中Localstorage/UserData是否为空(即html5特性或IE特性的字段是否为空)；

若是，判断验证Localstorage/UserData支持情况发起的请求回来的数据中的支持情况与Cookie标识中的支持情况是否一致；若是，清除验证代码的下发次数记录，记录Cookie标识，更新验证时间；若否，清除验证代码的下发次数记录，更新验证时间；

若否，判断验证Localstorage/UserData支持情况发起的请求回来的数据中的支持情况与Cookie标识中的支持情况是否一致；若是，清除验证代码的下发次数记录，记录Cookie标识，更新验证时间；若否，当验证Localstorage/UserData支持情况发起的请求回来的数据中的客户端标识与Cookie标识中的客户端标识一致时，清除验证代码的下发次数记录，更新验证时间；否则清除验证代码的下发次数记录，记录Cookie标识，更新验证时间。

其中，验证Localstorage/UserData支持情况发起的请求回来的数据中Localstorage/UserData不为空，说明此次验证支持html5特性或支持IE特性；验证Localstorage/UserData支持情况发起的请求回来的数据中Localstorage/UserData为空，说明此次验证不支持html5特性或不支持IE特性。

需要说明的是，现在主流浏览器基本都是支持html5特性的(h5的localstorage/IE的userdata)。若支持，则可以做进一步的数据存放，存放到用户的浏览器中，该数据亦可作为跟踪客户端的一个数据支撑。若不支持，则无需后续操作，只记录一个结果，此不支持记录亦可作为本发明判断该请求者是浏览器还是程序的信息之一。

参照图4，本发明的客户端会话识别系统，应用于服务端与客户端之间，包括第一模块、第二模块、第三模块和第四模块。

第一模块用于判断客户端发送来的http请求数据包中是否存在Cookie标识。

其中，Cookie标识是指Web应用防护系统(网站应用级入侵防御系统，WebApplication Firewall，WAF)主动下发给客户端的一个Cookie字段。在本发明中，Cookie标识为自定义，与服务端无关。

其中，Cookie标识包括客户端标识、Cookie标识下发时间、上次验证时间、浏览器类型、html解析参数、JS支持参数和Localstorage/UserData参数。

具体地，Cookie标识字段如下：

<客户端标识>,<Cookie标识下发时间>,<上次验证时间>,<浏览器类型>,<html解析参数>,<JS支持参数>,<HTML5的Localstorage参数或IE的Userdata参数>

<客户端标识>：将当前的时间戳在加上5位数的随机数(10+5)，在15位数字的前后分别加上FWLA和AFG。例如，FWLA144677665612345AFG，时间戳：1446776656，随机数：12345)

<Cookie标识下发时间>：下发Cookie标识时的时间戳。

<上次验证时间>：验证时的时间戳。

<浏览器类型>：根据UA设置对应的值。

<html解析参数>：0表示初始状态且不支持html解析；1表示支持html解析。

<JS支持参数>：0表示初始状态且不支持JS；1表示支持JS。

<HTML5的Localstorage参数或IE的Userdata参数>：0表示初始状态且不支持Localstorage/UserData；1表示支持Localstorage/UserData。

第二模块与第一模块相连，用于在客户端发送来的http请求数据包中存在Cookie标识时，判断客户端发送来的http请求数据包中的Cookie标识是否被伪造；并在Cookie标识被伪造时，清除http请求数据包中的Cookie标识，重新生成一个重定向到该http请求域名首页的数据包并发往服务端，并添加Cookie标识。

优选地，还包括第一处理模块，该第一处理模块用于在客户端发送来的http请求数据包中不存在Cookie标识时，判断哈希(hash)缓冲区是否存在该http请求的UA和IP的哈希值记录；

若是，对于客户端持续不接收Cookie标识的情况，记录该http请求的IP，直接放行；否则，当服务端返回的数据包格式是html格式时，添加Cookie标识并下发验证代码；否则仅添加Cookie标识；

若否，初始化hash缓冲区；当服务端返回的数据包格式是html格式时，添加Cookie标识并下发验证代码；否则仅添加Cookie标识。

具体地，通过设置判断变量setCookie来表示是否要添加Cookie标识。当setCookie取值为1时，表示添加Cookie标识；setCookie取值为2时，表示不添加Cookie标识。

其中，hash缓冲区是指程序在内存开设的一块存储区域，用于存储UA和IP的哈希值记录。

优选地，当客户端超过预定次数不接收UA和IP的哈希值记录时，判定客户端持续不接收Cookie标识。优选地，预定次数为3次。每访问一次UA和IP的哈希值记录，将其访问次数加1。

第三模块与第二模块相连，用于在Cookie标识没有被伪造时，判断Cookie标识是否支持JS。

其中，JS即JavaScript，是一种由Netscape的LiveScript发展而来的脚本语言，主要目的是为了解决服务器终端语言，比如Perl，遗留的速度问题。当时服务端需要对数据进行验证，由于网络速度相当缓慢,只有28.8kbps，验证步骤浪费的时间太多。于是Netscape的浏览器Navigator加入了JavaScript，提供了数据验证的基本功能。

第四模块与第三模块相连，用于在Cookie标识记录的结果支持JS时，执行以下操作：

a)判断是否到达客户端的验证时间，若是，下发验证代码进行验证，转入步骤b)；若否，转入步骤c)。

优选地，设定两次验证之间的最小时间差为24小时。若距离上次验证的时间未超过24小时，则判定未到达验证时间。

b)若超过设定的缓冲时间没验证完成，则记录Cookie标识，并清除验证代码的下发次数记录，更新上次验证时间；

若在设定的缓冲时间内验证完成，则记录Cookie标识，并清除验证代码的下发次数记录，更新上次验证时间；

若在设定的缓冲时间内验证未完成，则当服务端返回的数据包格式是html格式时，下发验证代码，更新验证代码的下发次数记录，否则直接放行。

其中，在内存开设一块存储区域来作为下发验证代码的缓冲区，下发验证代码的缓冲区用于存储验证代码下发的次数Time2。若验证代码下发的次数未达到预定次数，则判断在设定的缓冲时间内验证未完成。优选地，预定次数为3。

c)直接放行。

优选地，还包括第二处理模块，该第二处理模块用于在Cookie标识记录的结果不支持JS时，执行以下操作：

a)判断判断代码的下发次数记录是否存在；若是，转入步骤b)；若否，转入步骤c)。

其中，在内存开设一块存储区域来作为下发判断代码的缓冲区，下发判断代码的缓冲区用于存储判断代码下发的次数Time1。

b)当判断代码的下发次数大于等于预定次数时，删除判断代码的下发次数记录，转入步骤c)；否则当服务端返回的数据包格式是html格式时，下发判断代码，更新判断代码的下发次数记录，否则直接放行。

优选地，预定次数为3次。

c)判断是否到达客户端的验证时间；若是，下发验证代码进行验证，转入步骤d)；若否，转入步骤e)。

优选地，设定两次验证之间的最小时间差为24小时。若距离上次验证的时间未超过24小时，则判定未到达验证时间。

d)若超过设定的缓冲时间没验证完成，则记录Cookie标识，并清除验证代码的下发次数记录，更新上次验证时间；

若在设定的缓冲时间内验证完成，清除验证代码的下发次数记录，并更新上次验证时间；

若在设定的缓冲时间内验证未完成，则当服务端返回的数据包格式是html格式时，下发验证代码，更新验证代码的下发次数记录；否则直接放行。

e)直接放行。

综上所述，本发明的客户端会话识别方法能够有效地识别出自动化程序实现的HTTP请求和用户使用浏览器访问的请求，从而进一步实现识别和阻止恶意刷单、爬虫等行为，以及在事后，对一次攻击行为进行有效回溯，从而找到漏洞问题的原始位置；对于攻击行为，当发现攻击请求时，能够利用客户端Cookie唯一标识定位到用户，对其后续的请求进行相关处理，还能够利用客户端Cookie唯一标识中校验支持情况来区分程序和正常用户的请求，进而对其后续的请求进行相关处理；对于回溯攻击，能够利用请求中所带的客户端Cookie唯一标识作为基线，回溯整个攻击请求，从而清楚地了解攻击者的目的。所以，本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。

上述实施例仅例示性说明本发明的原理及其功效，而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下，对上述实施例进行修饰或改变。因此，举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变，仍应由本发明的权利要求所涵盖。

Claims (12)

1.一种客户端会话识别方法，应用于服务端与客户端之间，其特征在于：包括以下步骤：

步骤S1、判断客户端发送来的http请求数据包中是否存在Cookie标识；所述Cookie标识用于记录客户端的http请求的信息；

步骤S2、若存在，判断客户端发送来的http请求数据包中的Cookie标识是否被伪造；若是，清除http请求数据包中的Cookie标识，重新生成一个重定向到该http请求域名首页的数据包并发往服务端，并添加Cookie标识；若否，转入步骤S3；

步骤S3、判断Cookie标识记录的结果是否支持JavaScript；

步骤S4、若Cookie标识记录的结果支持JavaScript，则执行以下操作：

a)判断是否到达客户端的验证时间，若是，下发验证代码进行验证，转入步骤b)；若否，转入步骤c)；

b)若超过设定的缓冲时间没验证完成，则记录Cookie标识，并清除验证代码的下发次数记录，更新上次验证时间，流程结束；

若在设定的缓冲时间内验证完成，则记录Cookie标识，并清除验证代码的下发次数记录，更新上次验证时间，流程结束；

若在设定的缓冲时间内验证未完成，则当服务端返回的数据包格式是html格式时，下发验证代码，更新验证代码的下发次数记录，否则直接放行；流程结束；

c)直接放行，流程结束。

2.根据权利要求1所述的客户端会话识别方法，其特征在于：所述Cookie标识包括客户端标识、Cookie标识下发时间、上次验证时间、浏览器类型、html解析参数、JavaScript支持参数和Localstorage/UserData参数。

3.根据权利要求1所述的客户端会话识别方法，其特征在于：所述步骤S1中，若不存在Cookie标识，则判断哈希缓冲区是否存在所述http请求的UA和IP的哈希值记录；

若是，对于客户端持续不接收Cookie标识的情况，记录该http请求的IP，直接放行，流程结束；否则，当服务端返回的数据包格式是html格式时，添加Cookie标识并下发验证代码；否则仅添加Cookie标识，流程结束；

若否，初始化哈希缓冲区；当服务端返回的数据包格式是html格式时，添加Cookie标识并下发验证代码；否则仅添加Cookie标识，流程结束。

4.根据权利要求3所述的客户端会话识别方法，其特征在于：当客户端超过预定次数不接收UA和IP的哈希值记录时，判定客户端持续不接收Cookie标识。

5.根据权利要求1所述的客户端会话识别方法，其特征在于：所述步骤S3中，当Cookie标识记录的结果不支持JavaScript时，执行以下步骤：

a)判断判断代码的下发次数记录是否存在；若是，转入步骤b)；若否，转入步骤c)；

b)当判断代码的下发次数大于等于预定次数时，删除判断代码的下发次数记录，转入步骤c)；否则当服务端返回的数据包格式是html格式时，下发判断代码，更新判断代码的下发次数记录，否则直接放行，流程结束；

c)判断是否到达客户端的验证时间；若是，下发验证代码进行验证，转入步骤d)；若否，转入步骤e)；

d)若超过设定的缓冲时间没验证完成，则记录Cookie标识，并清除验证代码的下发次数记录，更新上次验证时间，流程结束；

若在设定的缓冲时间内验证完成，清除验证代码的下发次数记录，并更新上次验证时间，流程结束；

若在设定的缓冲时间内验证未完成，则当服务端返回的数据包格式是html格式时，下发验证代码，更新验证代码的下发次数记录；否则直接放行；流程结束；

e)直接放行，流程结束。

6.根据权利要求1所述的客户端会话识别方法，其特征在于：所述步骤S3中，通过以下步骤判断Cookie标识记录的结果是否支持JavaScript：

a)判断JS支持情况发起的请求中的Cookie标识是否被篡改；若是，转入b)；若否，转入c)；

b)返回回响字符串0至客户端；

c)判断JS支持情况发起的请求回来的数据是否被篡改；若是，返回回响字符串0至客户端；若否，再判断JS支持情况发起的请求回来的数据是否支持Localstorage/UserData；若支持，更新Localstorage/UserData参数，返回回响字符串1至客户端，并生成新的Cookie标识，删除判断代码的下发次数记录；若不支持，更新Localstorage/UserData参数，返回回响字符串0至客户端，并生成新的Cookie标识，删除判断代码的下发次数记录。

7.一种客户端会话识别系统，应用于服务端与客户端之间，其特征在于：包括第一模块、第二模块、第三模块和第四模块；

所述第一模块用于判断客户端发送来的http请求数据包中是否存在Cookie标识；所述Cookie标识用于记录客户端的http请求的信息；

所述第二模块用于在客户端发送来的http请求数据包中存在Cookie标识时，判断客户端发送来的http请求数据包中的Cookie标识是否被伪造；并在Cookie标识被伪造时，清除http请求数据包中的Cookie标识，重新生成一个重定向到该http请求域名首页的数据包并发往服务端，并添加Cookie标识；

所述第三模块用于在Cookie标识没有被伪造时，判断Cookie标识记录的结果是否支持JavaScript；

所述第四模块用于在Cookie标识记录的结果支持JavaScript时，执行以下操作：

a)判断是否到达客户端的验证时间，若是，下发验证代码进行验证转入步骤b)；若否，转入步骤c)；

b)若超过设定的缓冲时间没验证完成，则记录Cookie标识，并清除验证代码的下发次数记录，更新上次验证时间；

若在设定的缓冲时间内验证完成，则记录Cookie标识，并清除验证代码的下发次数记录，更新上次验证时间；

若在设定的缓冲时间内验证未完成，则当服务端返回的数据包格式是html格式时，下发验证代码，更新验证代码的下发次数记录，否则直接放行；

c)直接放行。

8.根据权利要求7所述的客户端会话识别系统，其特征在于：所述Cookie标识包括客户端标识、Cookie标识下发时间、上次验证时间、浏览器类型、html解析参数、JavaScript支持参数和Localstorage/UserData参数。

9.根据权利要求7所述的客户端会话识别系统，其特征在于：还包括第一处理模块，所述第一处理模块用于在客户端发送来的http请求数据包中不存在Cookie标识时，判断哈希缓冲区是否存在该http请求的UA和IP的哈希值记录；

若是，对于客户端持续不接收Cookie标识的情况，记录该http请求的IP，直接放行；否则，当服务端返回的数据包格式是html格式时，添加Cookie标识并下发验证代码；否则仅添加Cookie标识；

若否，初始化hash缓冲区；当服务端返回的数据包格式是html格式时，添加Cookie标识并下发验证代码；否则仅添加Cookie标识。

10.根据权利要求9所述的客户端会话识别系统，其特征在于：所述第一处理模块中，当客户端超过预定次数不接收UA和IP的哈希值记录时，判定客户端持续不接收Cookie标识。

11.根据权利要求7所述的客户端会话识别系统，其特征在于：还包括第二处理模块，所述第二处理模块用于在Cookie标识记录的结果不支持JavaScript时，执行以下操作：

a)判断判断代码的下发次数记录是否存在；若是，转入步骤b)；若否，转入步骤c)；

b)当判断代码的下发次数大于等于预定次数时，删除判断代码的下发次数记录，转入步骤c)；否则当服务端返回的数据包格式是html格式时，下发判断代码，更新判断代码的下发次数记录，否则直接放行；

c)判断是否到达客户端的验证时间；若是，下发验证代码进行验证，转入步骤d)；若否，转入步骤e)；

d)若超过设定的缓冲时间没验证完成，则记录Cookie标识，并清除验证代码的下发次数记录，更新上次验证时间；

若在设定的缓冲时间内验证完成，清除验证代码的下发次数记录，并更新上次验证时间；

若在设定的缓冲时间内验证未完成，则当服务端返回的数据包格式是html格式时，下发验证代码，更新验证代码的下发次数记录；否则直接放行；

e)直接放行。

12.根据权利要求7所述的客户端会话识别系统，其特征在于：所述第三模块中，通过以下步骤判断Cookie标识记录的结果是否支持JavaScript：

a)判断JS支持情况发起的请求中的Cookie标识是否被篡改；若是，转入b)；若否，转入c)；

b)返回回响字符串0至客户端；

c)判断JS支持情况发起的请求回来的数据是否被篡改；若是，返回回响字符串0至客户端；若否，再判断JS支持情况发起的请求回来的数据是否支持Localstorage/UserData；若支持，更新Localstorage/UserData参数，返回回响字符串1至客户端，并生成新的Cookie标识，删除判断代码的下发次数记录；若不支持，更新Localstorage/UserData参数，返回回响字符串0至客户端，并生成新的Cookie标识，删除判断代码的下发次数记录。