CN107995152A - 一种恶意访问检测方法、装置及检测服务器 - Google Patents
一种恶意访问检测方法、装置及检测服务器 Download PDFInfo
- Publication number
- CN107995152A CN107995152A CN201610957747.5A CN201610957747A CN107995152A CN 107995152 A CN107995152 A CN 107995152A CN 201610957747 A CN201610957747 A CN 201610957747A CN 107995152 A CN107995152 A CN 107995152A
- Authority
- CN
- China
- Prior art keywords
- detection
- interface
- dimensions
- access request
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种恶意访问检测方法、装置及检测服务器,该方法包括:获取访问请求;根据所述访问请求,确定各检测维度的检测依据信息;根据各检测维度的检测依据信息,查询各检测接口基于相应的检测依据信息所得出的检测结果,其中,一个检测接口对应一个检测维度,且各检测接口负责对应检测维度的检测逻辑的执行;如果存在未正确反馈检测结果的不可用检测接口,确定已正确反馈检测结果的各可用检测接口;根据各可用检测接口的检测结果,确定所述访问请求相应的检测分值;根据所述访问请求相应的检测分值,判断所述访问请求是否为恶意访问。本发明实施例提升了恶意访问检测的可靠性。
Description
技术领域
本发明涉及数据处理技术领域,具体涉及一种恶意访问检测方法、装置及检测服务器。
背景技术
网络应用(如网站、可通过网络形式访问的应用程序等)被恶意用户恶意访问,已成为影响网络应用正常运营的常见问题;区别于正常用户对网络应用的正常访问,恶意用户主要是通过向网络应用发送大批量的恶意访问来达成某种恶意目的,如在网络应用举办的一次抢优惠券的活动中,恶意用户可能通过大批量的恶意访问抢到大量的优惠券,对正常用户抢取优惠券造成影响;恶意用户发送的大批量的恶意访问,会导致网络应用的服务器负载提升,同时影响正常用户对网络应用的正常访问,因此如何对恶意访问进行检测,以便拒绝对恶意访问的响应、甚至屏蔽恶意访问,变得尤为重要。
目前主要是整理能够检测恶意访问的多个检测维度,并设置各个检测维度的检测逻辑,将各检测逻辑采用检测接口的形式设置在检测服务器中,从而在用户的访问请求到来时,检测服务器通过查询各个检测接口的检测结果,以各个检测接口的检测结果,来判断用户的访问请求是否为恶意访问。
本发明的发明人发现:目前在检测恶意访问时,如果网络应用的访问量较大,而由于每个访问请求需要查询的检测接口的数量又较多,经常会存在检测超时等检测接口不可用的情况,导致在对某一访问请求进行检测时,存在无法得出检测结果的检测接口,致使恶意访问的检测无法正常进行;可见,目前检测恶意访问的方式存在可靠性较低的问题。
发明内容
有鉴于此,本发明实施例提供一种恶意访问检测方法、装置及检测服务器,以提升恶意访问检测的可靠性,提升恶意访问能够正常检测的可能性。
为实现上述目的,本发明实施例提供如下技术方案:
一种恶意访问检测方法,包括:
获取访问请求;
根据所述访问请求,确定各检测维度的检测依据信息;
根据各检测维度的检测依据信息,查询各检测接口基于相应的检测依据信息所得出的检测结果,其中,一个检测接口对应一个检测维度,且各检测接口负责对应检测维度的检测逻辑的执行;
如果存在未正确反馈检测结果的不可用检测接口,确定已正确反馈检测结果的各可用检测接口;
根据各可用检测接口的检测结果,确定所述访问请求相应的检测分值;
根据所述访问请求相应的检测分值,判断所述访问请求是否为恶意访问。
本发明实施例还提供一种恶意访问检测装置,包括:
请求获取模块,用于获取访问请求;
检测依据信息确定模块,用于根据所述访问请求,确定各检测维度的检测依据信息;
查询模块,用于根据各检测维度的检测依据信息,查询各检测接口基于相应的检测依据信息所得出的检测结果,其中,一个检测接口对应一个检测维度,且各检测接口负责对应检测维度的检测逻辑的执行;
可用检测接口确定模块,用于如果存在未正确反馈检测结果的不可用检测接口,确定已正确反馈检测结果的各可用检测接口;
检测分值确定模块,用于根据各可用检测接口的检测结果,确定所述访问请求相应的检测分值;
恶意访问判断模块,用于根据所述访问请求相应的检测分值,判断所述访问请求是否为恶意访问。
本发明实施例还提供一种检测服务器,包括上述所述的恶意访问检测装置。
基于上述技术方案,本发明实施例在存在未正确反馈检测结果的不可用检测接口的情况下,可直接跳过未正确反馈检测结果的不可用检测接口,基于已正确反馈检测结果的各可用检测接口,计算各可用检测接口的评分,从而得到所述访问请求相应的检测分值,通过该检测分值判断所述访问请求是否为恶意访问,实现恶意访问的检测;本发明实施例在出现检测接口不可用的情况下,仍可正常进行恶意访问的检测,本发明实施例提升了恶意访问检测的可靠性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的恶意访问检测系统的架构示意图;
图2为系统架构中检测维度的示意图;
图3为本发明实施例提供的恶意访问检测方法的流程;
图4为本发明实施例提供的恶意访问检测方法的另一流程图;
图5为本发明实施例提供的预定义各检测维度相应的评分权重的方法流程图;
图6为本发明实施例提供的应用例示意图;
图7为本发明实施例提供的恶意访问检测装置的结构框图;
图8为本发明实施例提供的检测服务器的硬件结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的恶意访问检测系统的架构示意图,参照图1,该恶意访问检测系统可以包括:用户设备10和检测服务器20;检测服务器20可对用户设备10向网络应用发送的访问请求进行检测,判断出用户设备10的访问请求是否为恶意访问;
可选的,用户设备10可能是正常用户所使用的终端设备,也可能是恶意用户所使用的终端设备,这需要检测服务器20进行检测判断;用户设备10的形式可以是智能手机、平板电脑、笔记本电脑等终端设备;
检测服务器20可以是网络应用所属的服务器集群中,用于检测恶意访问的服务设备;用户设备10与检测服务器20间的数据交互(包括访问请求的转发等)可通过网络应用所属的服务器集群中的其他服务设备实现,如用户设备10发送的访问请求可由网络应用所属的服务器集群中的接收服务器接收,并由接收服务器将所接收的访问请求转发给检测服务器;可以理解的是,如果网络应用为网站的形式,则接收用户设备发送的访问请求的服务设备可以是网站服务器集群中的域名站点服务器(如图1所示域名站点服务器30),域名站点服务器可将访问请求转发给检测服务器进行处理;
在本发明实施例中,检测服务器设置有多个检测接口,每个检测接口对应一个能够检测恶意访问的检测维度,并负责所对应的检测维度的检测逻辑的执行;检测接口可以软件模块的形式设置在检测服务器中;
可选的,检测维度如IP(Internet Protocol,网络之间互连的协议)访问频率、恶意手机号码等,图2示出了系统架构中检测维度的示意图,可参照;如图2所示,IP访问频率的检测接口负责访问请求的IP访问频率的检测,得出访问请求的IP访问频率的检测结果;恶意手机号码的检测接口负责,访问请求的手机号码是否为恶意手机号码的检测,得出访问请求的手机号码是否为恶意手机号码的检测结果;
值得注意的是,在本发明实施例中,具体检测维度的形式可以根据实际的检测需求而定,本发明实施例并不限制。
现有技术在网络应用的访问量较大的情况下,由于访问请求需要查询的检测接口的数量较多,常会出现检测接口检测超时等不可用的情况,导致恶意访问的检测无法正常进行;如检测服务器设置有20个检测接口,在网络应用的访问量较大的情况下,可能仅有15个检测接口反馈了检测结果,而有5个检测接口检测超时(即该5个检测接口无法反馈检测结果),此时则无法正常的进行恶意访问的检测;
基于上述问题,本发明实施例对检测服务器检测恶意访问的方式进行了改进,具体改进可见下文图3所示恶意访问检测方法;下文将直接从检测服务器的角度描述本发明实施例提供的恶意访问检测方法。
图3为本发明实施例提供的恶意访问检测方法的流程,该方法可应用于检测服务器,参照图3,该方法可以包括:
步骤S100、获取域名站点服务器转发的访问请求;
域名站点服务器转发给检测服务器的访问请求,是由用户设备所发送的;
可选的,如果网络应用为网站形式,用户设备向网站发送的访问请求将由网站所属服务器集群中的域名站点服务器接收;域名站点服务器接收用户设备发送的访问请求后,将转发给检测服务器,由检测服务器判断访问请求是否为恶意访问;
可选的,网站仅是网络应用的可选形式,本发明实施例并不排除其他形式的可被用户访问的网络应用;
域名站点服务器也仅是网络应用所属服务器集群中,用于接收访问请求的接收服务器的一种可选形式。
步骤S110、根据所述访问请求,确定各检测维度的检测依据信息;
检测维度可以是本发明实施例定义的能够检测恶意访问的因素条件,检测依据信息是检测接口执行检测逻辑的输入依据,检测接口可根据检测依据信息执行检测逻辑,得到相应的检测结果;
可选的,如恶意手机号码的检测接口用于负责检测手机号码是否为恶意手机号码,则相应的检测依据信息为访问请求所属用户的手机号码;又如IP访问频率的检测接口用于负责检测访问请求的IP访问频率,则相应的检测依据信息为访问请求所属用户的IP地址;
显然,访问请求所属用户的手机号码、IP地址仅是检测依据信息的可选形式;检测依据信息还可包括但不限于如下内容:用户名,和/或,用户设备信息(如手机或电脑标识),和/或,请求类型,和/或,用户操作数据(如鼠标移动轨迹,操作点击速度等);
可选的,不同的检测维度对应的检测依据信息可能存在重复的,如恶意用户资料库的检测接口,与恶意手机号码数据库的检测接口相应的检测依据信息可能均存在用户的手机号码;但不同的检测维度对应的检测依据信息存在重复的情况,仅是特殊情况;本发明实施例只要定义好各个检测维度对应的检测依据信息需要的内容,然后获取相应内容,则可确定各个检测维度对应的检测依据信息;
本发明实施例在获取到用户发送的访问请求后,需要基于访问请求确定出各个检测维度的检测依据信息,以便后续各个检测维度相应的检测接口能够执行相应的检测逻辑,得出检测结果;某些检测维度的检测依据信息可以携带在访问请求中,直接从访问请求中筛选出这些检测维度的检测依据信息;而某些检测维度的检测依据信息需要根据访问请求所属用户注册时登记的一些信息确定,如身份证、手机号等。
步骤S120、根据各检测维度的检测依据信息,查询各检测接口基于相应的检测依据信息所得出的检测结果,其中,一个检测接口对应一个检测维度,且各检测接口负责对应检测维度的检测逻辑的执行;
可选的,在确定各检测维度的检测依据信息后,本发明实施例可根据各检测维度的检测依据信息,向各检测维度相应的检测接口发送查询请求,以查询各检测接口基于相应的检测依据信息所得出的检测结果;为提升查询效率,本发明实施例可并行的向各检测接口发送查询请求,即并行的查询各检测接口基于相应的检测依据信息所得出的检测结果;
对于某一检测接口,本发明实施例可基于该检测接口所对应的检测维度,根据该检测维度的检测依据信息,向该检测接口发送查询请求,查询该检测接口的检测结果;如本发明实施例可根据访问请求所属用户的手机号码,查询恶意手机号码的检测接口,以查询该手机号码是否为恶意手机号。
步骤S130、如果存在未正确反馈检测结果的不可用检测接口,确定已正确反馈检测结果的各可用检测接口;
为区分未正确反馈检测结果的检测接口,与已正确反馈检测结果的检测接口,同时便于方案描述,本发明实施例可定义已正确反馈检测结果的检测接口为可用检测接口,定义未正确反馈检测结果的检测接口为不可用检测接口;
本发明实施例可定义检测接口的反馈时长,如果通过步骤S120查询检测接口的检测结果后,检测接口超过该反馈时长仍未反馈检测结果,则认为检测接口反馈超时,检测接口未正确反馈检测结果,为不可用检测接口;可选的,检测接口反馈超时可以认为是检测接口未正确反馈检测结果的一种形式,如检测接口带错误反馈的情况(即检测接口反馈的信息中携带反馈错误指示)也可认为是不可用检测接口未正确反馈检测结果的一种形式。
步骤S140、分别根据各可用检测接口的评分权重,及各可用检测接口的检测结果对应的评分值,确定各可用检测接口的评分;
可选的,本发明实施例可为各检测维度对应的检测接口设置评分权重,从而在确定各可用检测接口后,通过预先为各检测接口设置的评分权重,调取各可用检测接口相应的评分权重,实现各可用检测接口的评分权重的确定;
可选的,一个可用检测接口的评分可以是:该可用检测接口的评分权重与该可用检测接口的检测结果对应的评分值的综合值,如一可用检测接口的评分权重,乘以,该可用检测接口的检测结果对应的评分值;即本发明实施例可以分别将各可用检测接口的评分权重和检测结果对应的评分值相乘,确定出各可用检测接口的评分。
可用检测接口在基于检测依据信息,得出检测结果后,检测结果可以转换为评分值的形式,评分值代表的是该检测依据信息在检测接口相应的检测维度中的检测情况;如IP访问频率的检测维度的检测结果可以是该IP的具体访问频率,又如恶意手机号码的检测维度的检测结果可以是指代手机号码是否恶意手机号码的数值,如以1数值代表非恶意手机号码,以0数值代表恶意手机号码等。
步骤S150、将各可用检测接口的评分相加,确定所述访问请求相应的检测分值;
可选的,所得到的检测分值可用于判断所述访问请求是否为恶意访问;如本发明实施例可定义恶意访问的检测分值范围,如果所得到的所述访问请求相应的检测分值处于该恶意访问的检测分值范围,则可认为所述访问请求为恶意访问;相应的,本发明实施例也可以定义正常访问的检测分值范围,如果所得到的所述访问请求相应的检测分值,不处于该正常访问的检测分值范围,则可确定所述访问请求为恶意访问;
可选的,在确定已正确反馈检测结果的各可用检测接口后,步骤S140至步骤S150所示的步骤仅是根据各可用检测接口的检测结果,确定所述访问请求相应的检测分值的一种可选形式;本发明实施例也可直接将各可用检测接口的检测结果对应的评分值相加,确定所述访问请求相应的检测分值;
可选的,本发明实施例可为不同的检测接口设置不同的评分权重,从而通过检测接口不同的评分权重值的设置,体现检测维度的不同重要程度,如对于重要程度较高的检测维度所对应的检测接口,本发明实施例可设置高数值的评分权重,而对于重要程度较低的检测维度所对应的检测接口,本发明实施例可设置低数值的评分权重。
步骤S160、根据所述访问请求相应的检测分值,判断所述访问请求是否为恶意访问。
可见,区别于现有技术,本发明实施例在存在未正确反馈检测结果的不可用检测接口的情况下,可直接跳过未正确反馈检测结果的不可用检测接口,基于已正确反馈检测结果的各可用检测接口,计算各可用检测接口的评分,从而得到所述访问请求相应的检测分值,通过该检测分值判断所述访问请求是否为恶意访问,实现恶意访问的检测;本发明实施例在出现检测接口不可用的情况下,仍可正常进行恶意访问的检测,本发明实施例提升了恶意访问检测的可靠性。
需要说明的是,现有技术在网络应用的访问量较大,每个访问请求需要查询的检测接口较多的情况下,出现检测接口不可用,无法正常进行恶意访问检测的问题时,常规的解决方式一般是通过访问量控制,服务资源调配、扩充等方式,使得不可用的检测接口恢复可用,从而保障后续检测时,各检测接口均可反馈检测结果,来保障恶意访问的检测与检测精度;
本发明实施例提供的解决方案与常规解决方式存在区别,本发明实施例并不等待所有检测接口均可用后才进行恶意访问的检测,而是在存在不可用的检测接口的情况下,跳过不可用的检测接口,直接基于已反馈检测结果的可用检测接口来进行恶意访问的检测,得出检测结果,保障恶意访问的顺利检测。
本发明实施例提供的恶意访问检测方法可在存在检测超时等检测接口不可用的情况下,辅助实现恶意访问的检测;可选的,图4示出了本发明实施例提供的恶意访问检测方法的另一流程图,结合图3和图4,图4所示步骤S200至步骤S220与图3所示步骤S100至步骤S120类似,在此不再赘述,下面直接从图4步骤S230开始描述:
步骤S230、判断各检测接口是否均正确反馈检测结果,若是,执行步骤S240,若否,执行步骤S250;
可选的,本发明实施例可定义检测接口的反馈时长,如果在查询检测接口的检测结果后,存在超过该反馈时长仍未反馈检测结果的检测接口,则可确定存在未正确反馈检测结果的不可用检测接口,即步骤S230的判断结果为否;
可选的,对于反馈了信息的检测接口,如果检测接口所反馈的信息中携带有反馈错误指示,则也可确定存在未正确反馈检测结果的不可用检测接口,即步骤S230的判断结果为否。
步骤S240、根据各检测接口反馈的检测结果,确定各检测接口的评分,将各检测接口的评分相加,确定所述访问请求相应的检测分值;
可选的,本发明实施例可定义各检测接口的评分权重,分别通过各检测接口的评分权重,及各检测接口的检测结果对应的评分值,确定各检测接口的评分;显然,这种方式仅是各检测接口均正确反馈检测结果的情况下,各检测接口评分的可选确定方式。
步骤S250、确定已正确反馈检测结果的各可用检测接口;
步骤S260、根据各可用检测接口的检测结果,确定所述访问请求相应的检测分值;
可选的,步骤S250至步骤S260的处理方式可与图1所示步骤S130至步骤S150部分介绍的处理方式类似,此处不再赘述。
步骤S270、根据所述访问请求相应的检测分值,判断所述访问请求是否为恶意访问。
可选的,为本发明实施例在预定义各检测维度时,可以根据各检测维度的重要程度,为各检测维度对应的检测接口设置不同的评分权重,从而使得重要程度越高的检测接口的评分权重越高,提升所得到的所述访问请求相应的检测分值的准确性;
相应的,图5示出了预定义各检测维度相应的评分权重的方法流程图,参照图5,该方法可以包括:
步骤S300、定义多个检测维度;
所定义的每一检测维度,应是能够检测恶意访问的因素条件,而根据不同的检测需求,所定义的检测维度又可以是不同的。
步骤S310、确定各检测维度的重要程度,并为各检测维度对应的检测接口定义评分权重;其中,重要程度越高的检测维度,所对应的检测接口的评分权重越高。
可选的,检测维度的重要程度指的是检测维度在恶意用户检测中的重要性,可以根据实际检测需求定义;一般来说,恶意手机号码、恶意用户身份证号码的检测维度的重要程度较高;
可选的,如何为不同重要程度的检测维度对应的检测接口定义评分权重,可根据实际检测需求设定;
如可以为检测维度的重要程度进行分级,并定义各等级的重要程度所对应的评分权重,且高等级的重要程度的评分权重,高于,低等级的重要程度的评分权重,如不同等级的重要程度所对应的评分权重,可以是随重要程度的等级提升,而等比例提升,如第二等级重要程度的评分权重是第一等级重要程度的评分权重的2倍,第三等级重要程度的评分权重是第二等级重要程度的评分权重的4倍等;进而,在定义各检测接口的评分权重时,可确定各检测维度的重要程度等级,将检测维度的重要程度等级所对应的评分权重,作为该检测维度对应的检测接口的评分权重;显然,本段描述的为不同重要程度的检测维度对应的检测接口定义评分权重的方式,仅是可选的方式。
下面对本发明实施例提供的恶意访问检测方法的应用例进行介绍,参照图6所示应用例示意图,某一电子商务网站举办了限时网上抢购物优惠券的活动,为防止恶意用户大量刷取优惠券,可应用本发明实施例提供的恶意访问检测方法;
参照图6,网站侧的检测服务器设置有3个检测维度,分别对应检测接口1、2和3;为便于描述,此处仅以3个检测维度设置为例,实际应用中,检测维度的设置数量较多;
当某一用户通过笔记本电脑的恶意程序,大批量的向网站发送抢优惠券的访问请求时,网站服务器集群中的域名站点服务器可转发访问请求给检测服务器;
检测服务器可确定访问请求分别在检测接口1、2和3对应的检测依据信息,基于检测接口1、2和3对应的检测依据信息,并行的查询检测接口1、2和3的检测结果;
在检测接口3超时未反馈检测结果的情况下,检测服务器可跳过检测接口3,直接基于可用检测接口1和2反馈的检测结果,确定访问请求的检测分值,判断该访问请求是否为恶意访问;
如果访问请求的检测分值处于恶意访问的检测分值范围,则可确定该访问请求为恶意访问,检测服务器可将检测结果发送给网站服务器集群中具有访问管理功能的访问管理服务器;可选的,检测服务器也可集成访问管理功能;
访问管理服务器可屏蔽发出该访问请求的用户的访问。
本发明实施例可在存在不可用的检测接口的情况下,跳过不可用的检测接口,直接基于已反馈检测结果的可用检测接口来进行恶意访问的检测,提升了恶意访问检测的可靠性,提升了恶意访问能够正常检测的可能性。
下面对本发明实施例提供的恶意访问检测装置进行介绍,下文描述的恶意访问检测装置可以认为是检测服务器为实现恶意访问检测方法所需设置的功能模块架构;下文描述的装置内容可与上文描述的恶意访问检测方法内容相应对应参照。
图7为本发明实施例提供的恶意访问检测装置的结构框图,参照图7,该恶意访问检测装置可以包括:
请求获取模块100,用于获取访问请求;
检测依据信息确定模块200,用于根据所述访问请求,确定各检测维度的检测依据信息;
查询模块300,用于根据各检测维度的检测依据信息,查询各检测接口基于相应的检测依据信息所得出的检测结果,其中,一个检测接口对应一个检测维度,且各检测接口负责对应检测维度的检测逻辑的执行;
可用检测接口确定模块400,用于如果存在未正确反馈检测结果的不可用检测接口,确定已正确反馈检测结果的各可用检测接口;
检测分值确定模块500,用于根据各可用检测接口的检测结果,确定所述访问请求相应的检测分值;
恶意访问判断模块600,用于根据所述访问请求相应的检测分值,判断所述访问请求是否为恶意访问。
可选的,未正确反馈检测结果的不可用检测接口可以包括:查询检测接口的检测结果后,超过预定反馈时长未反馈检测结果的检测接口;或,反馈信息中携带反馈错误指示的检测接口。
可选的,检测分值确定模块500用于根据各可用检测接口的检测结果,确定所述访问请求相应的检测分值,具体包括:
从预定义的各检测接口的评分权重中,调取所述各可用检测接口的评分权重;分别将各可用检测接口的评分权重和检测结果对应的评分值相乘,确定各可用检测接口的评分;将各可用检测接口的评分相加,确定所述访问请求相应的检测分值。
可选的,如图7所示,本发明实施例提供的恶意访问检测装置还可以包括:评分权重定义模块700,用于定义多个检测维度;确定各检测维度的重要程度,并为各检测维度对应的检测接口定义评分权重;其中,重要程度越高的检测维度,所对应的检测接口的评分权重越高。
可选的,评分权重定义模块700用于确定各检测维度的重要程度,并为各检测维度对应的检测接口定义评分权重,具体包括:
为检测维度的重要程度进行分级,并定义各等级的重要程度所对应的评分权重;其中,高等级的重要程度的评分权重,高于,低等级的重要程度的评分权重;
在定义各检测接口的评分权重时,确定各检测维度的重要程度等级,分别将检测维度的重要程度等级所对应的评分权重,作为各检测维度对应的检测接口的评分权重。
可选的,检测依据信息确定模块200,用于根据所述访问请求,确定各检测维度的检测依据信息,具体包括:
从所述访问请求中筛选出检测维度的检测依据信息;
和/或,从访问请求所属用户注册时登记的信息中筛选出检测维度的检测依据信息。
可选的,恶意访问判断模块600,用于根据所述访问请求相应的检测分值,判断所述访问请求是否为恶意访问,具体包括:
判断所述检测分值是否处于预定义的恶意访问的检测分值范围,若所述检测分值处于预定义的恶意访问的检测分值范围,则确定所述访问请求为恶意访问;
或,判断所述检测分值是否处于预定义的正常访问的检测分值范围,若所述检测分值不处于预定义的正常访问的检测分值范围,则确定所述访问请求为恶意访问。
本发明实施例提供的恶意访问检测装置,可在存在不可用的检测接口的情况下,跳过不可用的检测接口,直接基于已反馈检测结果的可用检测接口来进行恶意访问的检测,提升了恶意访问检测的可靠性,提升了恶意访问能够正常检测的可能性。
本发明实施例还提供一种检测服务器,该检测服务器可以包括上述所述的恶意访问检测装置。
可选的,图8示出了本发明实施例提供的检测服务器的硬件结构框图,参照图8,该检测服务器可以包括:处理器1,通信接口2,存储器3和通信总线4;
其中处理器1、通信接口2、存储器3通过通信总线4完成相互间的通信;
可选的,通信接口2可以为通信模块的接口,如GSM模块的接口;
处理器1可能是一个中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
存储器3可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器
其中,处理器具体用于:
获取访问请求;根据所述访问请求,确定各检测维度的检测依据信息;根据各检测维度的检测依据信息,查询各检测接口基于相应的检测依据信息所得出的检测结果,其中,一个检测接口对应一个检测维度,且各检测接口负责对应检测维度的检测逻辑的执行;如果存在未正确反馈检测结果的不可用检测接口,确定已正确反馈检测结果的各可用检测接口;根据各可用检测接口的检测结果,确定所述访问请求相应的检测分值;根据所述访问请求相应的检测分值,判断所述访问请求是否为恶意访问。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的核心思想或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (12)
1.一种恶意访问检测方法,其特征在于,包括:
获取访问请求;
根据所述访问请求,确定各检测维度的检测依据信息;
根据各检测维度的检测依据信息,查询各检测接口基于相应的检测依据信息所得出的检测结果,其中,一个检测接口对应一个检测维度,且各检测接口负责对应检测维度的检测逻辑的执行;
如果存在未正确反馈检测结果的不可用检测接口,确定已正确反馈检测结果的各可用检测接口;
根据各可用检测接口的检测结果,确定所述访问请求相应的检测分值;
根据所述访问请求相应的检测分值,判断所述访问请求是否为恶意访问。
2.根据权利要求1所述的恶意访问检测方法,其特征在于,所述未正确反馈检测结果的不可用检测接口包括:
查询检测接口的检测结果后,超过预定反馈时长未反馈检测结果的检测接口;
或,反馈信息中携带反馈错误指示的检测接口。
3.根据权利要求1或2所述的恶意访问检测方法,其特征在于,所述根据各可用检测接口的检测结果,确定所述访问请求相应的检测分值包括:
从预定义的各检测接口的评分权重中,调取所述各可用检测接口的评分权重;
分别将各可用检测接口的评分权重和检测结果对应的评分值相乘,确定各可用检测接口的评分;
将各可用检测接口的评分相加,确定所述访问请求相应的检测分值。
4.根据权利要求3所述的恶意访问检测方法,其特征在于,所述方法还包括:
定义多个检测维度;
确定各检测维度的重要程度,并为各检测维度对应的检测接口定义评分权重;其中,重要程度越高的检测维度,所对应的检测接口的评分权重越高。
5.根据权利要求4所述的恶意访问检测方法,其特征在于,所述确定各检测维度的重要程度,并为各检测维度对应的检测接口定义评分权重包括:
为检测维度的重要程度进行分级,并定义各等级的重要程度所对应的评分权重;其中,高等级的重要程度的评分权重,高于,低等级的重要程度的评分权重;
在定义各检测接口的评分权重时,确定各检测维度的重要程度等级,分别将检测维度的重要程度等级所对应的评分权重,作为各检测维度对应的检测接口的评分权重。
6.根据权利要求1所述的恶意访问检测方法,其特征在于,所述根据所述访问请求,确定各检测维度的检测依据信息包括:
从所述访问请求中筛选出检测维度的检测依据信息;
和/或,从访问请求所属用户注册时登记的信息中筛选出检测维度的检测依据信息。
7.根据权利要求1所述的恶意访问检测方法,其特征在于,所述根据所述访问请求相应的检测分值,判断所述访问请求是否为恶意访问包括:
判断所述检测分值是否处于预定义的恶意访问的检测分值范围,若所述检测分值处于预定义的恶意访问的检测分值范围,则确定所述访问请求为恶意访问;
或,判断所述检测分值是否处于预定义的正常访问的检测分值范围,若所述检测分值不处于预定义的正常访问的检测分值范围,则确定所述访问请求为恶意访问。
8.一种恶意访问检测装置,其特征在于,包括:
请求获取模块,用于获取访问请求;
检测依据信息确定模块,用于根据所述访问请求,确定各检测维度的检测依据信息;
查询模块,用于根据各检测维度的检测依据信息,查询各检测接口基于相应的检测依据信息所得出的检测结果,其中,一个检测接口对应一个检测维度,且各检测接口负责对应检测维度的检测逻辑的执行;
可用检测接口确定模块,用于如果存在未正确反馈检测结果的不可用检测接口,确定已正确反馈检测结果的各可用检测接口;
检测分值确定模块,用于根据各可用检测接口的检测结果,确定所述访问请求相应的检测分值;
恶意访问判断模块,用于根据所述访问请求相应的检测分值,判断所述访问请求是否为恶意访问。
9.根据权利要求8所述的恶意访问检测装置,其特征在于,所述未正确反馈检测结果的不可用检测接口可以包括:
查询检测接口的检测结果后,超过预定反馈时长未反馈检测结果的检测接口;
或,反馈信息中携带反馈错误指示的检测接口。
10.根据权利要求8或9所述的恶意访问检测装置,其特征在于,所述检测分值确定模块用于根据各可用检测接口的检测结果,确定所述访问请求相应的检测分值,具体包括:
从预定义的各检测接口的评分权重中,调取所述各可用检测接口的评分权重;分别将各可用检测接口的评分权重和检测结果对应的评分值相乘,确定各可用检测接口的评分;将各可用检测接口的评分相加,确定所述访问请求相应的检测分值。
11.根据权利要求10所述的恶意访问检测装置,其特征在于,还包括:
评分权重定义模块,用于定义多个检测维度;确定各检测维度的重要程度,并为各检测维度对应的检测接口定义评分权重;其中,重要程度越高的检测维度,所对应的检测接口的评分权重越高。
12.一种检测服务器,其特征在于,包括权利要求8-11任一项所述的恶意访问检测装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610957747.5A CN107995152B (zh) | 2016-10-27 | 2016-10-27 | 一种恶意访问检测方法、装置及检测服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610957747.5A CN107995152B (zh) | 2016-10-27 | 2016-10-27 | 一种恶意访问检测方法、装置及检测服务器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107995152A true CN107995152A (zh) | 2018-05-04 |
CN107995152B CN107995152B (zh) | 2020-07-03 |
Family
ID=62028798
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610957747.5A Active CN107995152B (zh) | 2016-10-27 | 2016-10-27 | 一种恶意访问检测方法、装置及检测服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107995152B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109361685A (zh) * | 2018-11-15 | 2019-02-19 | 北京农信互联科技集团有限公司 | 一种防止恶意请求的方法及装置 |
CN110943989A (zh) * | 2019-11-29 | 2020-03-31 | 恩亿科(北京)数据科技有限公司 | 一种设备鉴别方法、装置、电子设备及可读存储介质 |
CN111461545A (zh) * | 2020-03-31 | 2020-07-28 | 北京深演智能科技股份有限公司 | 机器访问数据的确定方法及装置 |
CN115348234A (zh) * | 2022-08-10 | 2022-11-15 | 山石网科通信技术股份有限公司 | 服务器检测方法、装置及电子设备 |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1553598A (zh) * | 2003-05-29 | 2004-12-08 | 华为技术有限公司 | 一种单板故障的检测方法及装置 |
US20070056038A1 (en) * | 2005-09-06 | 2007-03-08 | Lok Technology, Inc. | Fusion instrusion protection system |
CN101222376A (zh) * | 2007-01-09 | 2008-07-16 | 华为技术有限公司 | 一种干扰检测判别的方法、系统及基站 |
CN101872477A (zh) * | 2009-04-24 | 2010-10-27 | 索尼株式会社 | 检测图像中的对象的方法、装置,及包括该装置的系统 |
CN101894059A (zh) * | 2010-06-11 | 2010-11-24 | 中兴通讯股份有限公司 | 一种运行状态的检测方法及系统 |
CN102622552A (zh) * | 2012-04-12 | 2012-08-01 | 焦点科技股份有限公司 | 一种基于数据挖掘的b2b平台欺诈访问的检测方法和系统 |
CN102868694A (zh) * | 2012-09-17 | 2013-01-09 | 北京奇虎科技有限公司 | 控制客户端访问网络的检测方法、装置和系统 |
CN103259805A (zh) * | 2013-06-09 | 2013-08-21 | 中国科学院计算技术研究所 | 基于用户评价的域名访问控制方法及系统 |
CN104238390A (zh) * | 2014-06-11 | 2014-12-24 | 小米科技有限责任公司 | 控制煮饭的方法及终端 |
CN104391860A (zh) * | 2014-10-22 | 2015-03-04 | 安一恒通(北京)科技有限公司 | 内容类别检测方法及装置 |
CN105049301A (zh) * | 2015-08-31 | 2015-11-11 | 北京奇虎科技有限公司 | 一种提供网站综合评价服务的方法和装置 |
CN105939350A (zh) * | 2016-05-30 | 2016-09-14 | 北京京东尚科信息技术有限公司 | 网络访问控制方法和系统 |
-
2016
- 2016-10-27 CN CN201610957747.5A patent/CN107995152B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1553598A (zh) * | 2003-05-29 | 2004-12-08 | 华为技术有限公司 | 一种单板故障的检测方法及装置 |
US20070056038A1 (en) * | 2005-09-06 | 2007-03-08 | Lok Technology, Inc. | Fusion instrusion protection system |
CN101222376A (zh) * | 2007-01-09 | 2008-07-16 | 华为技术有限公司 | 一种干扰检测判别的方法、系统及基站 |
CN101872477A (zh) * | 2009-04-24 | 2010-10-27 | 索尼株式会社 | 检测图像中的对象的方法、装置,及包括该装置的系统 |
CN101894059A (zh) * | 2010-06-11 | 2010-11-24 | 中兴通讯股份有限公司 | 一种运行状态的检测方法及系统 |
CN102622552A (zh) * | 2012-04-12 | 2012-08-01 | 焦点科技股份有限公司 | 一种基于数据挖掘的b2b平台欺诈访问的检测方法和系统 |
CN102868694A (zh) * | 2012-09-17 | 2013-01-09 | 北京奇虎科技有限公司 | 控制客户端访问网络的检测方法、装置和系统 |
CN103259805A (zh) * | 2013-06-09 | 2013-08-21 | 中国科学院计算技术研究所 | 基于用户评价的域名访问控制方法及系统 |
CN104238390A (zh) * | 2014-06-11 | 2014-12-24 | 小米科技有限责任公司 | 控制煮饭的方法及终端 |
CN104391860A (zh) * | 2014-10-22 | 2015-03-04 | 安一恒通(北京)科技有限公司 | 内容类别检测方法及装置 |
CN105049301A (zh) * | 2015-08-31 | 2015-11-11 | 北京奇虎科技有限公司 | 一种提供网站综合评价服务的方法和装置 |
CN105939350A (zh) * | 2016-05-30 | 2016-09-14 | 北京京东尚科信息技术有限公司 | 网络访问控制方法和系统 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109361685A (zh) * | 2018-11-15 | 2019-02-19 | 北京农信互联科技集团有限公司 | 一种防止恶意请求的方法及装置 |
CN110943989A (zh) * | 2019-11-29 | 2020-03-31 | 恩亿科(北京)数据科技有限公司 | 一种设备鉴别方法、装置、电子设备及可读存储介质 |
CN111461545A (zh) * | 2020-03-31 | 2020-07-28 | 北京深演智能科技股份有限公司 | 机器访问数据的确定方法及装置 |
CN111461545B (zh) * | 2020-03-31 | 2023-11-10 | 北京深演智能科技股份有限公司 | 机器访问数据的确定方法及装置 |
CN115348234A (zh) * | 2022-08-10 | 2022-11-15 | 山石网科通信技术股份有限公司 | 服务器检测方法、装置及电子设备 |
CN115348234B (zh) * | 2022-08-10 | 2023-11-03 | 山石网科通信技术股份有限公司 | 服务器检测方法、装置及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN107995152B (zh) | 2020-07-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220141110A1 (en) | Managing data transfers over network connections based on priority and a data usage plan | |
CN107995152A (zh) | 一种恶意访问检测方法、装置及检测服务器 | |
CN103269479B (zh) | 一种话单处理方法、装置和系统 | |
CN105530175A (zh) | 一种消息处理方法、装置及系统 | |
CN107196968B (zh) | 一种爬虫识别方法 | |
WO2002027603A2 (en) | Systems and associated methods for notification of package delivery services | |
CN102917003A (zh) | 监视移动互联网活动的系统、方法和装置 | |
CN107197462B (zh) | 无线网络类型的检测方法、装置及电子设备 | |
WO2015073756A1 (en) | Context-based selection of instruction sets for connecting through captive portals | |
CN105915621A (zh) | 访问数据的方法及预处理服务器 | |
CN102891861B (zh) | 一种基于客户端的钓鱼网站检测方法及其装置 | |
CN106028279A (zh) | 一种网络注册方法及装置 | |
JP2015011608A (ja) | 情報処理装置及びプログラム | |
CN108702334B (zh) | 用于针对零费率的网络配置的分布式测试的方法和系统 | |
US9603059B2 (en) | Techniques and systems for on-demand customized mobile data services | |
CN111756796A (zh) | 权益资源信息的推送方法及装置、存储介质、终端 | |
CN106101117B (zh) | 一种钓鱼网站阻断方法、装置和系统 | |
CN109088949A (zh) | 一种物联网业务的匹配方法以及mme | |
CN102802145A (zh) | 网络业务计费方法、装置和系统 | |
TW202103076A (zh) | 資源轉移及分配方法、裝置 | |
CN109034759A (zh) | 一种数据转移方法及相关设备 | |
CN105827425A (zh) | 一种网络控制的方法及装置 | |
CN112200396B (zh) | 资源转移及分配方法、装置 | |
Zhu et al. | Parking robot based on fuzzy reasoning and parking big data | |
CN103222252A (zh) | 用于选择性启动通信的服务访问设备、方法、计算机程序及计算机程序产品 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |