CN107306259A - 网页页面访问中的攻击检测方法和装置 - Google Patents
网页页面访问中的攻击检测方法和装置 Download PDFInfo
- Publication number
- CN107306259A CN107306259A CN201610255604.XA CN201610255604A CN107306259A CN 107306259 A CN107306259 A CN 107306259A CN 201610255604 A CN201610255604 A CN 201610255604A CN 107306259 A CN107306259 A CN 107306259A
- Authority
- CN
- China
- Prior art keywords
- webpage
- user
- correlation
- access
- path
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种网页页面访问中的攻击检测方法,所述方法包括:网页页面的攻击检测中,由发起的网页页面访问请求获得请求进行网页页面访问的用户和所述用户请求的网页页面;针对各用户,根据请求的网页页面对所述用户的网页页面访问进行相关性运算得到所述用户对应的相关性概率;根据所述相关性概率识别发起疑似攻击请求的用户;对所述用户进行疑似攻击请求的屏蔽处理。此外,还提供了一种与该方法匹配的网页页面访问中的攻击检测装置。上述网页页面访问中的攻击检测方法和装置能够进行网页页面的攻击检测,进而保证网页页面的访问不会受到网页页面攻击的影响。
Description
技术领域
本发明涉及互联网应用技术领域,特别涉及一种网页页面访问中的攻击检测方法和装置。
背景技术
互联网络中各种网站通过网页页面进行信息展示和功能提供,用户进行网页页面的访问就能够获取到展示的信息。网页页面作为信息展示的页面,通过用户所进行的网页页面访问即可在用户对应的终端中获得其所请求的网页页面。
用户所进行的每一次网页页面访问都需要占用服务器的带宽和计算资源,以向用户提供请求的网页页面。
然而,在进行网页页面访问而发起的网页页面访问请求中,除了包含正常用户所发起的网页页面访问请求之外,还包含了攻击请求,例如,黑客攻击网站所发起的。
通过攻击请求的发起来攻击网站是指通过发起足够多的网页页面访问请求来消耗服务器的带宽和计算资源,进而使得服务器的带宽和计算资源被占满,无法处理正常用户所发起的网页页面访问请求。
发明内容
基于此,有必要提供一种网页页面访问中的攻击检测方法,所述方法能够进行网页页面的攻击检测,进而保证网页页面的访问不会受到网页页面攻击的影响。
此外,还有必要提供一种网页页面访问中的攻击检测装置,所述装置能够进行网页页面的攻击检测,进而保证网页页面的访问不会受到网页页面攻击的影响。
一种网页页面访问中的攻击检测方法,包括:
网页页面的攻击检测中,由发起的网页页面访问请求获得请求进行网页页面访问的用户和所述用户请求的网页页面;
针对各用户,根据请求的网页页面对所述用户的网页页面访问进行相关性运算得到所述用户对应的相关性概率;
根据所述相关性概率识别发起疑似攻击请求的用户;
对所述用户进行疑似攻击请求的屏蔽处理。
一种网页页面访问中的攻击检测装置,包括:
请求处理模块,用于网页页面的攻击检测中,由发起的网页页面访问请求获得请求进行网页页面访问的用户和所述用户请求的网页页面;
运算模块,用于针对各用户,根据请求的网页页面对所述用户的网页页面访问进行相关性运算得到所述用户对应的相关性概率;
识别模块,用于根据所述相关性概率识别发起疑似攻击请求的用户;
屏蔽处理模块,用于对所述用户进行疑似攻击请求的屏蔽处理。
为解决上述技术问题,将采用如下技术方案:
在网页页面访问服务中,将会进行网页页面的攻击检测,由发起的网页页面访问请求获得请求进行网页页面访问的用户和用户请求的网页页面,针对各用户,将根据其所请求的网页页面对该用户的网页页面访问进行相关性运算得到该用户对应的相关性概率,由此进行了网页页面访问的用户有其所对应的相关性概率,根据所得到的相关性概率识别进行了网页页面访问的用户中发起疑似攻击请求的用户,并进行屏蔽处理,由此,将使得网页页面访问服务中能够实现网页页面的攻击检测,进而保证网页页面的访问不会受到网页页面攻击的影响。
附图说明
图1是本发明实施例提供的一种网页页面访问服务端的结构示意图;
图2是一个实施例中网页页面访问中的攻击检测方法的流程图;
图3是图2中网页页面的攻击检测中,由发起的网页页面访问请求获得请求进行网页页面访问的用户和用户请求的网页页面的方法流程图;
图4是图2中针对各用户,根据请求的网页页面对用户的网页页面访问进行相关性运算得到用户对应的相关性概率的方法流程图;
图5是图4中根据获得的网页页面预置路径运算得到对应用户的相关性概率的方法流程图;
图6是一个实施例中根据已经进行的网页页面访问进行相关性处理得到当前进行网页页面访问所存在的网页页面预置路径和各网页页面预置路径所分别对应的相关性概率的步骤的方法流程图;
图7是图6中根据用户访问网页页面的相关信息得到网页页面预置路径的方法流程图;
图8是图6中对得到的网页页面预置路径分别进行网页页面访问的相关性运算得到网页页面预置路径对应的相关性概率的方法流程图;
图9是另一个实施例中网页页面访问中的攻击检测方法的流程图;
图10是一个实施例中网页页面访问中的攻击检测装置的结构示意图;
图11是图10中请求处理模块的结构示意图;
图12是图10中运算模块的结构示意图;
图13是图12中相关性运算单元的结构示意图;
图14是一个实施例中已有相关性处理模块的结构示意图;
图15是图14中预置路径获得单元的结构示意图;
图16是图14中预置相关性运算单元的结构示意图;
图17是另一个实施例中网页页面访问中的攻击检测装置的结构示意图;
图18是图10中屏蔽处理模块的结构示意图。
具体实施方式
体现本发明特征与优点的典型实施方式将在以下的说明中详细叙述。应理解的是本发明能够在不同的实施方式上具有各种的变化,其皆不脱离本发明的范围,且其中的说明及图示在本质上是当作说明之用,而非用以限制本发明。
如前所述的,网页页面访问服务的实现常常受到黑客攻击的影响,对于网页页面访问服务而言,并无法有效的区分黑客和正常用户,一旦出现黑客的攻击,网页页面访问服务的带宽和计算资源便被消耗,甚至于占满,并无法满足正常用户的网页页面访问需求。
基于此,为使得网页页面访问服务不会受到黑客攻击的影响,特提出了一种网页页面访问中攻击请求的识别方法,该网页页面访问中攻击请求的识别方法由计算机程序实现,与之相对应的,所构建的网页页面访问中攻击请求的识别装置则被存储于网页页面访问服务端中,以在网页页面访问服务端中运行。
图1示出了本发明实施例提供的一种网页页面访问服务端的结构,该种网页页面访问服务端100可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(central
processing units,CPU)110(例如,一个或一个以上处理器)和存储器120,一个或一个以上存储应用程序131或数据133的存储介质130(例如一个或一个以上海量存储设备)。其中,存储器120和存储介质130可以是短暂存储或持久存储。存储在存储介质130的程序可以包括一个或一个以上模块(图示未示出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器110可以设置为与存储介质130通信,在网页页面访问服务端100上执行存储介质130中的一系列指令操作。网页页面访问服务端100还可以包括一个或一个以上电源150,一个或一个以上有线或无线网络接口170,一个或一个以上输入输出接口180,和/或,一个或一个以上操作系统135,例如Windows ServerTM,Mac OS XTM,UnixTM,
LinuxTM,FreeBSDTM等等。
此外,通过硬件电路或者硬件电路结合软件指令也能同样实现本发明,因此,实现本发明并不限于任何特定硬件电路、软件以及两者的结合。
在一个实施例中,具体的,该网页页面访问中的攻击检测方法如图2所示,包括:
步骤210,网页页面的攻击检测中,由发起的网页页面访问请求获得请求进行网页页面访问的用户和用户请求的网页页面。
网页页面的攻击检测是指对发起的网页页面访问中存在的非正常网页页面访问进行检测,非正常网页页面访问是对网页页面的攻击,将是区别于正常用户发起的网页页面访问的。
攻击者,即黑客,借助代理服务器生成指向受害主机的合法请求,受害主机即为网页页面访问服务。
网页页面访问服务将用于提供网站中的各种网页页面,也可用于提供网络应用中的各种网页页面,在此不进行限定。
网页页面访问服务将是由网页页面访问服务端实现的,所进行的网页页面攻击检测也将由此网页页面访问服务端实现。
网页页面访问服务的实现中,进行网页页面的攻击检测,在此网页页面的攻击检测中发起的网页页面访问请求指的是当前已经接收到的网页页面访问请求。由此可知,用于进行网页页面攻击检测的网页页面访问请求将是大量的,并且是对应于多个用户的,即多个用户分别发起的一网页页面访问请求,或者连续发起的网页页面访问请求。
网页页面访问服务端在进行的网页页面攻击检测中,由发起的网页页面访问请求来获得进行网页页面访问的用户,所获得用户为多个,并且获得每一用户所请求的网页页面,每一用户所请求的网页页面为一个或者多个。
步骤230,针对各用户,根据请求的网页页面对用户的网页页面访问进行相关性运算得到用户对应的相关性概率。
根据发起的网页页面访问请求获得所获得的多个用户中,针对每一用户都根据其所请求的网页页面进行相关性运算,以对此用户所连续进行的两次或者两次以上网页页面访问进行相关性评价,进而得到此用户对应的相关性概率。
也就是说,对用户的网页页面访问进行相关性运算指的是计算用户所请求网页页面之间的相关性,换而言之后,将是用户所进行的网页页面访问行为之间相关性的计算,由此便得到所有用户所分别对应的相关性概率。
步骤250,根据相关性概率识别发起疑似攻击请求的用户。
用户对应的相关性概率将作为识别此用户是否为发起了疑似攻击请求的用户,在相关性概率存在着异常时,将对应的用户视为发起疑似攻击请求的用户。
步骤270,对用户进行疑似攻击请求的屏蔽处理。
发起疑似攻击请求的用户向网页页面访问服务端发起的网页页面访问请求是疑似攻击请求,如果疑似攻击请求确实是攻击请求,则对于网页页面访问服务端而言,所接收到的来自于此用户的攻击请求将是大量的,因此需对此用户进行疑似攻击请求的屏蔽处理。
通过如上所述的过程,得以为网页页面访问服务实现网页页面的攻击检测,以用户为单位进行疑似攻击请求的识别和处理,进而能够区分出正常用户,而对发起了疑似攻击请求的用户进行屏蔽处理,保证了网页页面访问服务不会受到当前存在的网页页面攻击的影响,有效的区分了黑客和正常用户,从而保证网页页面访问服务能够对正常用户提供服务。
进一步的,如图3所示的,步骤210包括:
步骤211,进行的网页页面攻击检测中,在接收到的网页页面访问请求中收集请求进行网页页面访问的用户和用户请求的多个网页页面。
进行网页页面攻击检测时,所接收到的网页页面访问请求为多个,多个网页页面请求来自于多个用户,并且一个用户所发起的网页页面访问请求为一个或者几个。
一方面,在一个用户所发起的网页页面访问请求为一个时,此用户所对应的网页页面攻击检测将延后进行,即等待此用户所对应的网页页面请求为两个以上时,再进行相应的网页页面攻击检测。
另一方面,在一个用户发起的网页页面访问请求为几个时,将进行此用户相关的网页页面攻击检测。
也就是说,对于所进行的网页页面攻击检测而言,将是在拥有足够的数据的前提条件下方可执行的,进而避免误判的发生,提高了网页页面攻击检测的精准性。
步骤213,根据收集的用户和用户请求的多个网页页面得到多个用户以及用户所顺序请求的网页页面。
通过针对发起的网页页面访问请求所进行的数据收集过程,将得到了多个用户以及每一用户所分别对应的多个网页页面,进而用于后续疑似攻击请求的识别和发起疑似攻击请求的用户屏蔽处理。
对于每一用户请求的多个网页页面,根据发起的网页页面访问请求即可获得每一网页页面所对应的时间或者顺序,可由此得到每一用户所顺序请求的网页页面。
通过此过程,得以为网页页面的攻击检测提供数据基础,以用户为粒度,为所进行的网页页面攻击检测提供与用户的网页页面访问行为相关的网页页面,进而便于对用户的网页页面访问行为进行评估,为有效区分正常用户和黑客奠定了基础,便于实现网页页面访问中攻击的准确识别。
在一个实施例中,步骤230如图4所示,包括:
步骤231,根据请求的网页页面逐一得到各用户的网页访问路径。
如前所述的,由发起的网页页面访问请求所得到的用户为多个,多个用户中,任一用户均对应了自身请求的多个网页页面,因此,根据请求的网页页面即可得到相应的网页访问路径。
其中,用户的网页访问路径标示了网站或者网络应用中用户所顺序请求的网页页面,用于表征网站或者网络应用中用户进行网页页面请求的流程。
比如说,在一门户网站中,用户所顺次请求的网页页面为,首页A、某一新闻所对应的网页页面B和相关新闻所对应的网页页面C,与之相对应的网页访问路径即为A-B-C。
通过此过程,将得到进行网页页面攻击检测期间的多个用户所分别对应的网页访问路径。
步骤233,在收集的多个网页页面预置路径中匹配各用户的网页访问路径,为各用户分别获得与其网页访问路径相符的网页页面预置路径。
预先收集并存储了大量的网页页面预置路径,并且每一网页页面预置路径都有其所对应的相关性概率。网页页面预置路径的存储用于尽大限度地为网站或者网络应用标示可能出现网页页面访问方向,其数据形式是与网页访问路径相一致的,以便于用于进行网页页面预置路径和各用户的网页访问路径之间的匹配。
在所有的网页页面预置路径中,对每一用户的网页访问路径均进行匹配,由此为每一用户获得与其自身网页访问路径相匹配的网页页面预置路径。
具体的,对于与网页访问路径相匹配的网页页面预置路径可以是一个或者几个,其数量将与网页访问路径相关。
换而言之,通过网页访问路径所进行的匹配,将得到能够构成网页访问路径的一个或者见个网页页面预置路径,由发起的网页页面访问请求所获得的多个用户均匹配得到与其自身网页访问路径相符的一个或者几个网页页面预置路径。
例如,如果一网页访问路径为A-B-C-D-E-F,其中,收集的网页页面预置路径包括A-B-C-D和E-F,由根据此网页访问路径便匹配得到这两个网页页面预置路径。
又例如,收集的网页页面预置路径包括A-B-C-D-E-F,则根据此网页访问路径匹配得到一网页页面预置路径。
所收集并存储的网页页面预置路径长短不一,但都表征了网站或者网络应用中各网页页面之间可能存在的跳转。
步骤235,根据获得的网页页面预置路径运算得到对应用户的相关性概率。
通过已有的网页页面预置路径和相关性概率之间的对应关系,能够根据获得的网页页面预置路径得到对应用户的相关性概率,与前述相类似的,所得到的对应用户的相关性概率为一个或者几个。
通过网页页面预置路径和对应的相关性概率来进行匹配,以获得对应于各用户的相关性概率,进而为后续网页页面中检测攻击的存在提供数值上的依据,以保证网页页面的攻击检测中具备非常高的可靠性。
进一步的,在本实施例中,与网页访问路径相符的网页页面预置路径包括一个或者组合的网页页面预置路径,则步骤235如图5所示,包括:
步骤2351,根据与网页访问路径相符的一个或者组合的网页页面预置路径获取对应的相关性概率,获取的相关性概率对应于一个网页页面预置路径或者分别对应于多个网页页面预置路径。
步骤2353,根据获取的相关性概率为对应的网页访问路径进行相关性运算得到对应用户的相关性概率。
在此过程中,对于任一用户所对应的网页访问路径,一方面,其匹配得到一个与其一致的网页页面预置路径;另一方面,匹配得到多个网页页面预置路径,多个网页页面预置路径即为组合的网页页面预置路径,通过组合的方式便构成对应的网页页面访问路径。
根据匹配所得到的网页页面预置路径获得对应的相关性概率,并进行对应网页访问路径的相关性运算得到对应用户的相关性概率。
以此类推,将得到所有用户的相关性概率,用户的相关性概率用于衡量用户的网页页面访问行为的相关性,以及用户请求的网页页面之间的相关性。
进一步的,在本实施例中,步骤230之前,如上所述的方法还包括:
根据已经进行的网页页面访问进行相关性处理得到当前进行网页页面访问所存在的网页页面预置路径和各网页页面预置路径所分别对应的相关性概率。
相对于前述所进行的网页页面的攻击检测,需要实现网页页面预置路径和对应相关性概率的准备,进而为网页页面访问中攻击的准确检测提供支持,并不断完善,以便于不断提高网页页面访问中攻击检测的准确性。
在已经进行的网页页面访问基础上进行的相关性处理包括数据收集过程的执行和相关性运算过程的执行两大部分。
一方面,数据收集过程用于得到已经进行的网页页面访问中存在的网页页面之间的跳转以及相同网页页面之间跳转的次数,以用于获得网页页面预置路径,并通过后续的执行过程以相同网页页面之间跳转的次数得到网页页面预置路径所对应的相关性概率。
另一方面,相关性运算过程用于在数据收集的基础上获得各网页页面预置路径所对应的相关性概率。
已经进行的网页页面访问中,通常存在着大量正常用户所进行的网页页面访问,除此之外,还存在着黑客所进行的少量网页页面访问,并且在大多数情况下都将是正常用户的网页页面访问,因此,将以此为依据来获得网页页面预置路径以及对应的相关性概率。
换而言之,获得的网页页面预置路径包含了黑客发起攻击时所对应的网页页面之间的跳转,因此能够通过此方式明显区分正常用户和黑客。
进一步的,在本实施例中,根据已经进行的网页页面访问进行相关性处理得到当前进行网页页面访问所存在的网页页面预置路径和各网页页面预置路径所分别对应的相关性概率的步骤如图6所示,包括:
步骤310,根据已经进行的网页页面访问收集用户以及用户访问网页页面的相关信息。
在已经进行的网页页面访问中,可得到相应的网页页面访问请求,进而由此获得已经进行的网页页面访问中对应的用户,以及用户访问网页页面的相关信息。
其中,所指的用户在具体实现中是以一定的数据形式存在的,在一个实施例中,该数据形式为IP地址,或者IP地址和浏览器标识,在此不进行限定,只要是对进行的网页页面访问进行标识即可。
用户访问网页页面相关信息是指用户进行网页页面访问中所相关的各种信息,包括时间、请求的网页页面和请求的前一网页页面等。
步骤330,根据用户访问网页页面的相关信息得到网页页面预置路径。
对于已经进行网页页面访问的任一用户,都根据其用户访问网页页面的相关信息得到此用户所进行的网页页面之间的跳转。
在对所有的用户均获得其所分别进行的网页页面之间的跳转之后,便得到已经进行的网页页面访问中存在的网页页面之间的跳转,并由此统计各网页页面之间的跳转次数。
根据已经进行的网页页面访问中存在的网页页面之间的跳转得到网页页面预置路径。
步骤350,对得到的网页页面预置路径分别进行网页页面访问的相关性运算得到网页页面预置路径对应的相关性概率。
对于得到的每一网页页面预置路径,根据统计的各网页页面之间的跳转次数进行相关性运算,得到网页页面预置路径对应的相关性概率。
步骤370,存储网页页面预置路径和对应的相关性概率。
通过如上所述的过程,得到网页页面预置路径和对应的相关性概率,进而使得网页页面访问中攻击的检测能够与实际运营情况相结合,所实现的正常用户和黑客之间的有效区分也是与实际运营情况相适应的,因此,能够为保证网页页面访问服务的稳定性。
在一个实施例中,网页页面预置路径包括网页页面短路径和网页页面长路径,步骤330如图7所示,包括:
步骤331,根据用户访问页面的相关信息得到访问的网页页面和访问的前一网页页面。
可以理解的,用户针对某一网站或者网络应用所进行的访问中,对于网页页面之间跳转的发生,大致包括三种情况:(1)用户仅请求单一网页页面,未发生网页页面之间的跳转;(2)用户进行两个网页页面的连续访问,在时间上顺序请求两个网页页面,发生一次网页页面之间的跳转;(3)用户进行两个以上网页页面的连续访问,在时间上顺序请求两个以上网页页面,发生两次或者两次以上网页页面之间的跳转。
相对应的,根据用户访问页面的相关信息,获得一组网页页面,即一访问的网页页面和访问的前一网页页面,也可获得多组网页页面,即多个访问的网页页面和该网页页面访问的前一网页页面。
步骤333,通过访问的网页页面和访问的前一网页页面形成相应用户所对应的网页页面短路径和网页页面长路径。
在获得一组或者多组网页页面之后,便进行网页页面预置路径的构建。构建的网页页面预置路径可以是网页页面短路径,也可以是网页页面长路径。其中,网页页面短路径是指进行跳转的两个网页页面所构成的路径,网页页面长路径则是以网页页面短路径为单位所构建得到的。
例如,对于网页页面A、网页页面B、网页页面C、网页页面D、网页页面E和网页页面F,根据所进行的网页页面之间的跳转,得到网页页面短路径A-B、B-C、C-D、D-E和E-F;并以网页页面短路径为单位得到网页页面长路径A-B-C、A-B-C-D、A-B-C-D-E和A-B-C-D-E-F。
通过网页页面短路径和网页页面长路径的构建,将使得所得到的网页页面预置路径能够适用于各种情况下的网页页面访问,在提高网页页面访问适应性的同时,也得以提高后续运算的精度。
进一步的,步骤350如图8所示,包括:
步骤351,运算网页页面短路径中首端网页页面跳转到末端网页页面的相关性概率得到网页页面短路径对应的相关性概率。
步骤353,根据网页页面短路径对应的相关性概率运算网页页面长路径中首端网页页面跳转到末端网页页面的相关性概率得到网页页面长路径对应的相关性概率。
网页页面预置路径将是由时间上所对应的网页页面序列所形成的,因此,无论是网页页面短路径还是网页页面长路径,都有相应的首端网页页面和末端网页页面。
网页页面短路径和网页页面长路径所分别对应的相关性概率指的是由首端网页页面按照所对应的网页页面依次进行跳转,直至最终跳转至末端网页页面的概率。
因此,将首先进行网页页面短路径对应的相关性概率的运算,然后在网页页面短路径对应的相关性概率的基础上进行运算得到网页页面长路径对应的相关性概率,此运算过程将有利于简化运算过程,降低运算的复杂度,提高运算效率。
在一个实施例中,步骤250的步骤包括:判断用户对应的相关性概率是否小于指定值,若为是,则判定用户是发起疑似攻击请求的用户,若为否,则不做任何处理。
如前所述的,对于发起了网页页面访问的用户,能够通过如上所述的网页页面访问中攻击的检测来得到此用户所对应的相关性概率,并由此得到发起了网页页面访问的所有用户分别对应的相关性概率。
在所得到的所有用户分别对应的相关性概率中,针对一用户,当判断到相应的相关性概率小于指定值时,说明此用户进行的网页页面访问中请求的网页页面之间相关性非常低,即低于绝大多数用户所拥有的相关性,将判定此用户是发起疑似攻击请求的用户。
可以理解的,攻击请求是随机抽取某一个网页页面或者某几个网页页面进行访问的;而正常用户所进行的网页页面访问则具备一定的规律性。
例如,通过发起攻击请求所请求的网页页面构成的网页访问路径为:A-C-C-C-C-A-A-A-A-C-A-C,而绝对大多数正常用户所对应的网页访问路径为A-B-C-D,。
网站或者网络页面所对应的网页页面访问服务中,在被正常用户访问时,具备一定的相关性,而攻击请求却是没有任何相关性的,是攻击者随机选取的,因此,通过相关性概率和指定值之间的比较得到发起疑似攻击请求的用户。
进一步的,在一个实施例中,步骤250之前,如上所述的方法如图9所示的,还包括:
步骤410,根据已经进行的网页页面访问中历史用户和历史用户请求的网页页面进行相关性运算得到历史用户对应的相关性概率。
步骤430,根据历史用户对应的相关性概率设定指定值。
指定值可以是人工制定的固定值,也可以是根据已经进行的网页页面访问而设定得到的,并根据后续所持续进行的网页页面访问而更新,使得用以进行疑似攻击请求识别的指定值能够适应于当前所进行的网页页面访问,提高识别的准确性,最大程度地避免误判的发生。
根据已经进行的网页页面访问能够得到历史用户和每一历史用户的网页页面,由此进行相关性运算得到每一历史用户对应的相关性概率,即单个用户进行网页页面访问的相关性概率。
此时,根据历史用户对应的相关性概率运算得到所有相关性概率之和对应的均值、所有相关性概率中的最小值或者绝大多数用户(超出95%的用户)所对应的相关性概率,并将其设定为指定值即可。
在一个实施例中,步骤270包括:
对用户进行反向验证,判断反向验证是否通过,若为否,则屏蔽该用户所发起的网页页面访问请求,若为是,则对该用户不做处理。
在所进行的反向验证未通过时,说明该用户发起的网页页面访问请求即为攻击请求,该用户也并非是正常用户,而是作为攻击者存在的,因此,应当对该用户所发起的网页页面访问请求进行屏蔽。
其所,所指的反向验证过程可以是通过验证码实现的,也可以是通过向用户返回的js脚本实现的,即js脚本中携带有特定的cookie,以便于在浏览器解析后重新访问一次当前网页页面并携带cookie。
在一个实施例中,如上所述的方法还包括:进行访问量监测,判断访问量是否超出限值,若为是,则进入步骤210,若为否,则不做处理。
网页页面访问服务的实现中,如果未受到攻击,则访问量是稳定的。
所设定的限值可以是稳定状态下访问量的若干倍,甚至于10倍,则在监测的访问量超出了限值时,开始进行攻击检测。
由此将通过所开始进行的攻击检测,有效识别出攻击请求和正常语法,从而在网页页面访问服务受到攻击的时候,可以有效的将攻击请求屏蔽,从而保护正常用户的请求不受影响。
此外,还相应地提供了一种网页页面访问中的攻击检测装置,所述装置如图10所示,包括请求处理模块610、运算模块630、识别模块650和屏蔽处理模块670,其中:
请求处理模块610,用于网页页面的攻击检测中,由发起的网页页面访问请求获得请求进行网页页面访问的用户和用户请求的网页页面。
运算模块630,用于针对各用户,根据请求的网页页面对用户的网页页面访问进行相关性运算得到用户对应的相关性概率。
识别模块650,用于根据相关性概率识别发起疑似攻击请求的用户。
屏蔽处理模块670,用于对用户进行疑似攻击请求的屏蔽处理。
在一个实施例中,请求处理模块610如图11所示,包括数据收集单元611和顺序获得单元613,其中:
数据收集单元611,用于进行的网页页面攻击检测中,在接收到的网页页面访问请求中收集请求进行网页页面访问的用户和用户请求的多个网页页面。
顺序获得单元613,用于根据收集的用户和用户请求的多个网页页面得到多个用户以及各用户所顺序请求的网页页面。
在一个实施例中,运算模块630如图12所示,包括路径获得单元631、匹配单元633和相关性运算单元635,其中:
路径获得单元631,用于根据请求的网页页面逐一得到各用户的网页访问路径。
匹配单元613,用于在收集的多个网页页面预置路径中匹配各用户的网页访问路径,为各用户分别获得与其网页访问路径相符的网页页面预置路径。
相关性运算单元615,用于根据获得的网页页面预置路径运算得到对应用户的相关性概率。
进一步的,在本实施例中,与网页访问路径相符的网页页面预置路径包括一个或者组合的网页页面预置路径,如图13所标示的,相关性运算单元615包括对应概率获取子单元6151和概率运算子单元6153,其中:
对应概率获取子单元6151,用于根据与网页访问路径相符的一个或者组合的网页页面预置路径获取对应的相关性概率,获取的相关性概率对应于一个网页页面预置路径或者分别对应于多个网页页面预置路径。
概率运算子单元6153,用于根据获取的相关性概率为对应的网页访问路径进行相关性运算得到对应用户的相关性概率。
在另一个实施例中,如上所述的装置还包括已有相关性处理模块,该已有相关性处理模块用于根据已经进行的网页页面访问进行相关性处理得到当前进行网页页面访问所存在的网页页面预置路径和各网页页面预置路径所分别对应的相关性概率。
进一步的,在本实施例中,如图14所示,已有相关性处理模块700包括信息收集单元710、预置路径获得单元730、预置相关性运算单元750和存储单元770,其中:
信息收集单元710,用于根据已经进行的网页页面访问收集用户以及用户访问网页页面的相关信息。
预置路径获得单元730,用于根据用户访问网页页面的相关信息得到网页页面预置路径。
预置相关性运算单元750,用于对得到的网页页面预置路径分别进行网页页面访问的相关性运算得到网页页面预置路径对应的相关性概率。
存储单元770,用于存储网页页面预置路径和对应的相关性概率。
进一步的,网页页面预置路径包括网页页面短路径和网页页面长路径,预置路径获得单元730如图15所示,包括页面获得子单元731和733,其中:
页面获得子单元731,用于根据用户访问页面的相关信息得到访问的网页页面和访问的前一网页页面。
路径形成子单元733,用于通过访问的网页页面和访问的前一网页页面形成相应用户所对应的网页页面短路径和网页页面长路径。
进一步的,预置相关性运算单元750如图16所示,包括短路径相关性运算子单元751和长路径相关性运算子单元753,其中:
短路径相关性运算子单元751,用于运算网页页面短路径中首端网页页面跳转到末端网页页面的相关性概率得到网页页面短路径对应的相关性概率。
长路径相关性运算子单元753,用于根据网页页面短路径对应的相关性概率运算网页页面长路径中首端网页页面跳转到末端网页页面的相关性概率得到网页页面长路径对应的相关性概率。
在一个实施例中,如上所述的识别模块650进一步用于判断用户对应的相关性概率是否小于指定值,若为是,则判定用户是发起疑似攻击请求的用户,若为否,则不做处理。
在一个实施例中,如图17所示的,如上所述的装置还包括历史相关性运算模块810和指定值设定模块830,其中:
历史相关性运算模块810,用于根据已经进行的网页页面访问中历史用户和历史用户请求的网页页面进行相关性运算得到历史用户对应的相关性概率。
指定值设定模块830,用于根据历史用户对应的相关性概率设定指定值。
在一个实施例中,屏蔽处理模块670如图18所示的,包括反向验证单元671和屏蔽单元673,其中:
反向验证单元671,用于对用户进行反向验证,判断反向验证是否通过。
屏蔽单元673,用于在反向验证通过时屏蔽用户所发起的网页页面访问请求。
在一个实施例中,如上所述的装置还包括访问监测模块,该访问监测模块用于进行访问量监测,判断访问量是否超出限值,若为是,则通知请求处理模块610,若为否,则不做处理。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
虽然已参照几个典型实施方式描述了本发明,但应当理解,所用的术语是说明和示例性、而非限制性的术语。由于本发明能够以多种形式具体实施而不脱离发明的精神或实质,所以应当理解,上述实施方式不限于任何前述的细节,而应在随附权利要求所限定的精神和范围内广泛地解释,因此落入权利要求或其等效范围内的全部变化和改型都应为随附权利要求所涵盖。
Claims (14)
1.一种网页页面访问中的攻击检测方法,其特征在于,包括:
网页页面的攻击检测中,由发起的网页页面访问请求获得请求进行网页页面访问的用户和所述用户请求的网页页面;
针对各用户,根据请求的网页页面对所述用户的网页页面访问进行相关性运算得到所述用户对应的相关性概率;
根据所述相关性概率识别发起疑似攻击请求的用户;
对所述用户进行疑似攻击请求的屏蔽处理。
2.根据权利要求1所述的方法,其特征在于,所述针对各用户,根据请求的网页页面对所述用户的网页页面访问进行相关性运算得到所述用户对应的相关性概率的步骤包括:
根据所述请求的网页页面逐一得到各用户的网页访问路径;
在收集的多个网页页面预置路径中匹配各用户的网页访问路径,为各用户分别获得与其网页访问路径相符的网页页面预置路径;
根据获得的所述网页页面预置路径运算得到对应用户的相关性概率。
3.根据权利要求2所述的方法,其特征在于,所述与网页访问路径相符的网页页面预置路径包括一个或者组合的网页页面预置路径,所述根据获得的所述网页页面预置路径运算得到对应用户的相关性概率的步骤包括:
根据与所述网页访问路径相符的一个或者组合的网页页面预置路径获取对应的相关性概率,所述获取的相关性概率对应于一个网页页面预置路径或者分别对应于多个网页页面预置路径;
根据所述获取的相关性概率为对应的所述网页访问路径进行相关性运算得到对应用户的相关性概率。
4.根据权利要求3所述的方法,其特征在于,所述针对各用户,根据请求的网页页面对所述用户的网页页面访问进行相关性运算得到所述用户对应的相关性概率的步骤之前,所述方法还包括:
根据已经进行的网页页面访问进行相关性处理得到当前进行网页页面访问所存在的网页页面预置路径和各网页页面预置路径所分别对应的相关性概率。
5.根据权利要求4所述的方法,其特征在于,所述根据已经进行的网页页面访问进行相关性处理得到当前进行网页页面访问所存在的网页页面预置路径和各网页页面预置路径所分别对应的相关性概率的步骤包括:
根据已经进行的网页页面访问收集用户以及所述用户访问网页页面的相关信息;
根据所述用户访问网页页面的相关信息得到网页页面预置路径;
对得到的所述网页页面预置路径分别进行网页页面访问的相关性运算得到所述网页页面预置路径对应的相关性概率;
存储所述网页页面预置路径和对应的相关性概率。
6.根据权利要求1所述的方法,其特征在于,所述根据所述相关性概率识别发起攻击请求的用户的步骤包括:
判断所述用户对应的相关性概率是否小于指定值,若为是,则判定所述用户是发起疑似攻击请求的用户。
7.根据权利要求6所述的方法,其特征在于,所述根据所述相关性概率识别发起疑似攻击请求的用户的步骤之前,所述方法还包括:
根据已经进行的网页页面访问中历史用户和历史用户请求的网页页面进行相关性运算得到所述历史用户对应的相关性概率;
根据所述历史用户对应的相关性概率设定所述指定值。
8.一种网页页面访问中的攻击检测装置,其特征在于,包括:
请求处理模块,用于网页页面的攻击检测中,由发起的网页页面访问请求获得请求进行网页页面访问的用户和所述用户请求的网页页面;
运算模块,用于针对各用户,根据请求的网页页面对所述用户的网页页面访问进行相关性运算得到所述用户对应的相关性概率;
识别模块,用于根据所述相关性概率识别发起疑似攻击请求的用户;
屏蔽处理模块,用于对所述用户进行疑似攻击请求的屏蔽处理。
9.根据权利要求8所述的装置,其特征在于,所述运算模块包括:
路径获得单元,用于根据所述请求的网页页面逐一得到各用户的网页访问路径;
匹配单元,用于在收集的多个网页页面预置路径中匹配各用户的网页访问路径,为各用户分别获得与其网页访问路径相符的网页页面预置路径;
相关性运算单元,用于根据获得的所述网页页面预置路径运算得到对应用户的相关性概率。
10.根据权利要求9所述的装置,其特征在于,所述与网页访问路径相符的网页页面预置路径包括一个或者组合的网页页面预置路径,所述相关性运算单元包括:
对应概率获取子单元,用于根据与所述网页访问路径相符的一个或者组合的网页页面预置路径获取对应的相关性概率,所述获取的相关性概率对应于一个网页页面预置路径或者分别对应于多个网页页面预置路径;
概率运算子单元,用于根据所述获取的相关性概率为对应的所述网页访问路径进行相关性运算得到对应用户的相关性概率。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括:
已有相关性处理模块,用于根据已经进行的网页页面访问进行相关性处理得到当前进行网页页面访问所存在的网页页面预置路径和各网页页面预置路径所分别对应的相关性概率。
12.根据权利要求11所述的装置,其特征在于,所述已有相关性处理模块包括:
信息收集单元,用于根据已经进行的网页页面访问收集用户以及所述用户访问网页页面的相关信息;
预置路径获得单元,用于根据所述用户访问网页页面的相关信息得到网页页面预置路径;
预置相关性运算单元,用于对得到的所述网页页面预置路径分别进行网页页面访问的相关性运算得到所述网页页面预置路径对应的相关性概率;
存储单元,用于存储所述网页页面预置路径和对应的相关性概率。
13.根据权利要求8所述的装置,其特征在于,所述识别模块进一步用于判断所述用户对应的相关性概率是否小于指定值,若为是,则判定所述用户是发起疑似攻击请求的用户。
14.根据权利要求13所述的装置,其特征在于,所述装置还包括:
历史相关性运算模块,用于根据已经进行的网页页面访问中历史用户和历史用户请求的网页页面进行相关性运算得到所述历史用户对应的相关性概率;
指定值设定模块,用于根据所述历史用户对应的相关性概率设定所述指定值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610255604.XA CN107306259A (zh) | 2016-04-22 | 2016-04-22 | 网页页面访问中的攻击检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610255604.XA CN107306259A (zh) | 2016-04-22 | 2016-04-22 | 网页页面访问中的攻击检测方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107306259A true CN107306259A (zh) | 2017-10-31 |
Family
ID=60151926
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610255604.XA Pending CN107306259A (zh) | 2016-04-22 | 2016-04-22 | 网页页面访问中的攻击检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107306259A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109150819A (zh) * | 2018-01-15 | 2019-01-04 | 北京数安鑫云信息技术有限公司 | 一种攻击识别方法及其识别系统 |
| CN109450879A (zh) * | 2018-10-25 | 2019-03-08 | 中国移动通信集团海南有限公司 | 用户访问行为监控方法、电子装置和计算机可读存储介质 |
| CN109981533A (zh) * | 2017-12-27 | 2019-07-05 | 中移(杭州)信息技术有限公司 | 一种DDoS攻击检测方法、装置、电子设备及存储介质 |
| CN111193617A (zh) * | 2019-12-17 | 2020-05-22 | 中移(杭州)信息技术有限公司 | 网页篡改识别方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8578487B2 (en) * | 2010-11-04 | 2013-11-05 | Cylance Inc. | System and method for internet security |
| CN104462156A (zh) * | 2013-09-25 | 2015-03-25 | 阿里巴巴集团控股有限公司 | 一种基于用户行为的特征提取、个性化推荐方法和系统 |
| CN104811449A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 检测撞库攻击方法及系统 |
| CN104852907A (zh) * | 2015-04-17 | 2015-08-19 | 杭州华三通信技术有限公司 | 一种跨站点伪造请求csrf攻击识别方法和设备 |
| CN105141573A (zh) * | 2015-06-11 | 2015-12-09 | 杭州安恒信息技术有限公司 | 一种基于web访问合规性审计的安全防护方法和系统 |
-
2016
- 2016-04-22 CN CN201610255604.XA patent/CN107306259A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8578487B2 (en) * | 2010-11-04 | 2013-11-05 | Cylance Inc. | System and method for internet security |
| CN104462156A (zh) * | 2013-09-25 | 2015-03-25 | 阿里巴巴集团控股有限公司 | 一种基于用户行为的特征提取、个性化推荐方法和系统 |
| CN104852907A (zh) * | 2015-04-17 | 2015-08-19 | 杭州华三通信技术有限公司 | 一种跨站点伪造请求csrf攻击识别方法和设备 |
| CN104811449A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 检测撞库攻击方法及系统 |
| CN105141573A (zh) * | 2015-06-11 | 2015-12-09 | 杭州安恒信息技术有限公司 | 一种基于web访问合规性审计的安全防护方法和系统 |
Non-Patent Citations (2)
| Title |
|---|
| G. OIKONOMOU等: "《Modeling Human Behavior for Defense Against Flash-Crowd Attacks》", 《2009 IEEE INTERNATIONAL CONFERENCE ON COMMUNICATIONS》 * |
| 中国通信学会学术工作委员会: "《第十届中国通信学会学术年会论文集》", 31 December 2015, 国防工业出版社 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109981533A (zh) * | 2017-12-27 | 2019-07-05 | 中移(杭州)信息技术有限公司 | 一种DDoS攻击检测方法、装置、电子设备及存储介质 |
| CN109150819A (zh) * | 2018-01-15 | 2019-01-04 | 北京数安鑫云信息技术有限公司 | 一种攻击识别方法及其识别系统 |
| CN109150819B (zh) * | 2018-01-15 | 2019-06-11 | 北京数安鑫云信息技术有限公司 | 一种攻击识别方法及其识别系统 |
| CN109450879A (zh) * | 2018-10-25 | 2019-03-08 | 中国移动通信集团海南有限公司 | 用户访问行为监控方法、电子装置和计算机可读存储介质 |
| CN111193617A (zh) * | 2019-12-17 | 2020-05-22 | 中移(杭州)信息技术有限公司 | 网页篡改识别方法、装置、电子设备及存储介质 |
| CN111193617B (zh) * | 2019-12-17 | 2022-10-18 | 中移(杭州)信息技术有限公司 | 网页篡改识别方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103166917B (zh) | 网络设备身份识别方法及系统 | |
| CN108259482B (zh) | 网络异常数据检测方法、装置、计算机设备及存储介质 | |
| US8533842B1 (en) | Method and apparatus for evaluating internet resources using a computer health metric | |
| US9800594B2 (en) | Method and system for detecting unauthorized access attack | |
| CN105187396A (zh) | 识别网络爬虫的方法及装置 | |
| CN103368957B (zh) | 对网页访问行为进行处理的方法及系统、客户端、服务器 | |
| KR101781450B1 (ko) | 사이버 공격에 대한 위험도 산출 방법 및 장치 | |
| CN107306259A (zh) | 网页页面访问中的攻击检测方法和装置 | |
| CN108667766B (zh) | 文件探测方法及文件探测装置 | |
| EP2090058A2 (en) | System and method of analyzing web addresses | |
| CN104580075A (zh) | 一种用户登陆验证方法、装置及系统 | |
| US10108736B2 (en) | Method and apparatus for rendering statistics on web page visits by a browser | |
| CN108429721A (zh) | 一种网络爬虫的识别方法及装置 | |
| US20120143844A1 (en) | Multi-level coverage for crawling selection | |
| CN113568940B (zh) | 数据查询的方法、装置、设备以及存储介质 | |
| CN107992738A (zh) | 一种账号登录异常检测方法、装置及电子设备 | |
| CN108306739B (zh) | 一种用于检测用户身份信息的方法、服务器、计算机可读存储介质及计算机设备 | |
| CN110096872A (zh) | 网页入侵脚本攻击工具的检测方法及服务器 | |
| CN111770119B (zh) | 网站资源获取方法、系统、装置及计算机存储介质 | |
| CN107426136B (zh) | 一种网络攻击的识别方法和装置 | |
| US20100180193A1 (en) | Method and system for detecting a state of a web application using a signature | |
| CN105468981A (zh) | 基于漏洞识别技术的插件安全扫描装置及扫描方法 | |
| CN109413022B (zh) | 一种基于用户行为检测http flood攻击的方法和装置 | |
| CN110955890B (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
| CN109981533B (zh) | 一种DDoS攻击检测方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171031 |