CN108449308B - 识别恶意资源访问的方法及装置 - Google Patents

识别恶意资源访问的方法及装置 Download PDF

Info

Publication number
CN108449308B
CN108449308B CN201810049732.8A CN201810049732A CN108449308B CN 108449308 B CN108449308 B CN 108449308B CN 201810049732 A CN201810049732 A CN 201810049732A CN 108449308 B CN108449308 B CN 108449308B
Authority
CN
China
Prior art keywords
client
resource access
access request
scheduler
resource
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810049732.8A
Other languages
English (en)
Other versions
CN108449308A (zh
Inventor
丁浩
吴岩
胡文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing QIYI Century Science and Technology Co Ltd
Original Assignee
Beijing QIYI Century Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing QIYI Century Science and Technology Co Ltd filed Critical Beijing QIYI Century Science and Technology Co Ltd
Priority to CN201810049732.8A priority Critical patent/CN108449308B/zh
Publication of CN108449308A publication Critical patent/CN108449308A/zh
Application granted granted Critical
Publication of CN108449308B publication Critical patent/CN108449308B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种识别恶意资源访问的方法及装置,用于在下载服务器确定恶意资源访问请求;其中的方法包括:接收客户端的资源访问请求,解析所述资源访问请求得到资源对应的uri;根据所述uri计算出uri对应的下载地址;将计算出的下载地址与所述下载服务器自身的ip地址进行比对;若所述下载地址与所述ip地址一致,则根据资源访问请求向客户端提供资源;若所述下载地址与所述ip地址不一致,则将所述资源访问请求确定为恶意资源访问请求。本发明可对绕过调度器鉴权或直接访问cache机的非法用户的恶意访问进行识别。

Description

识别恶意资源访问的方法及装置
技术领域
本发明涉及互联网技术领域,特别是涉及一种识别恶意资源访问的方法及装置。
背景技术
目前在线点播视频等资源的播放流程,在网络侧主要受视频解析服务器 (VideoPlay Service,VPS)、视频调度服务器(简称调度器)及视频下载服务器(简称cache机)的协同控制。
举例说明,用户观看一部电影或一部电视剧的某集时,这部视频在服务器侧的存储并不是一整个文件,而是进行了切片,可能分成了10个、20个或者更多的小文件(称为文件分片)。以10个为例,用户访问时,先获得下载每个分片的地址列表,共10个地址对应10个分片,然后按顺序下载每个文件进行播放;存储这个地址列表的服务器即VPS。之后,用户每次下载视频分片之前,会先访问调度器;调度器决定了用户可以去哪个cache机下载分片;最后用户去指定的cache机下载视频分片。可见,用户观看视频的访问顺序是:VPS->调度器->cache机A(下载第1个视频分片)->调度器->cache 机B(下载第2个视频分片)……。cache机A和B可能一样,也可能不一样。
但是,除了正常访问的用户,还存在恶意访问的用户(如刷量、盗链、攻击等)。目前针对这类用户,常用的防护方法一般是基于单个用户进行的,即每个用户访问调度器时,通过密码学算法生成一个密钥(key),key中携带用户的信息且进行了加密(此过程称为鉴权)。但是这样的防护方法不够全面,非法攻击者仍然有办法(例如攻克生成key的算法)绕过调度器的鉴权,从而达到其非正常访问的目的。而且非法用户还可能绕过调度器而直接访问cache机进行资源下载。
可见,为了从根本上阻止这类非法用户,仅仅在调度器进行非法用户的恶意访问识别还不足够(如前描述的恶意用户可绕过调度器的鉴权或者绕过调度器直接访问cache机),如果能在cache机对恶意访问进行识别,就可以进一步对恶意访问进行控制。
发明内容
为了实现在cache机对恶意访问进行识别,本发明实施例提供一种识别恶意资源访问的方法及装置。
根据本发明实施例一个方面,提供一种识别恶意资源访问的方法,用于在下载服务器确定恶意资源访问请求;所述方法包括:
接收客户端的资源访问请求,解析所述资源访问请求得到资源对应的uri;
根据所述uri计算出uri对应的下载地址;
将计算出的下载地址与所述下载服务器自身的ip地址进行比对;
若所述下载地址与所述ip地址一致,则根据资源访问请求向客户端提供资源;若所述下载地址与所述ip地址不一致,则将所述资源访问请求确定为恶意资源访问请求。
在一种可选的方式中,在将所述资源访问请求确定为恶意资源访问请求之后,还包括:
对所述恶意资源访问请求对应的客户端进行监控;
统计所述客户端在预置的第一时间段内的恶意资源访问请求次数;
若所述恶意资源访问请求次数超过预置的恶意请求阈值,则将所述客户端确定为预警客户端;
向调度器请求查询所述预警客户端的访问记录,并根据调度器反馈的查询结果确定是否拒绝所述预警客户端的资源访问请求。
在一种可选的方式中,所述对所述恶意资源访问请求对应的客户端进行监控包括:
从所述恶意资源访问请求中解析得到客户端标识;
对所述客户端标识对应的所述客户端发起的资源访问请求进行监控。
在一种可选的方式中,所述向调度器请求查询所述预警客户端的访问记录,包括:
向调度器发起访问记录查询请求,查询所述预警客户端访问所述调度器的记录。
在一种可选的方式中,所述根据调度器查询结果确定是否拒绝所述预警客户端的资源访问请求包括:
接收所述调度器返回的访问记录查询响应,根据所述访问记录查询响应确定所述预警客户端访问所述调度器的记录;
如果所述预警客户端没有访问过调度器,或者在预置的第二时间段内访问所述调度器的访问次数少于最低访问次数阈值,则拒绝所述预警客户端在未来预置的第三时间段的资源访问请求。
根据本发明实施例另一个方面,提供一种识别恶意资源访问的装置,用于在下载服务器确定恶意资源访问请求;所述装置包括:
请求解析单元,用于接收客户端的资源访问请求,并解析所述资源访问请求得到资源对应的uri;
下载地址计算单元,用于根据所述uri计算出uri对应的下载地址;
比对单元,用于将计算出的下载地址与所述下载服务器自身的ip地址进行比对;
响应单元,用于在所述下载地址与所述ip地址一致时,根据资源访问请求向客户端提供资源;
识别单元,用于在所述下载地址与所述ip地址不一致时,将所述资源访问请求确定为恶意资源访问请求。
在一种可选的方式中,还包括:
监控单元,用于对所述恶意资源访问请求对应的客户端进行监控;
统计单元,用于统计所述客户端在预置的第一时间段内的恶意资源访问请求次数;
预警确定单元,用于若所述恶意资源访问请求次数超过预置的恶意请求阈值,则将所述客户端确定为预警客户端;
查询单元,用于向调度器请求查询所述预警客户端的访问记录并接收调度器反馈的查询结果;
控制单元,用于根据调度器反馈的查询结果确定是否拒绝所述预警客户端的资源访问请求。
在一种可选的方式中,所述监控单元具体用于:从所述恶意资源访问请求中解析得到客户端标识,以及,对所述客户端标识对应的所述客户端发起的资源访问请求进行监控。
在一种可选的方式中,所述查询单元具体用于:向调度器发起访问记录查询请求,查询所述预警客户端访问所述调度器的记录;以及接收所述调度器返回的访问记录查询响应。
在一种可选的方式中,所述控制单元具体用于:根据所述访问记录查询响应确定所述预警客户端访问所述调度器的记录;以及,如果所述预警客户端没有访问过调度器,或者在预置的第二时间段内访问所述调度器的访问次数少于最低访问次数阈值,则拒绝所述预警客户端在未来预置的第三时间段的资源访问请求。
可见,本发明实施例提出了在cache机对资源访问请求进行解析计算,并将计算得到的地址与自身ip地址进行比对,对于比对不一致的资源访问请求,识别为恶意资源访问请求。
在可选的方式中,进一步对恶意资源访问请求的客户端进行监控,确定该客户端是否在一段时间内多次发起恶意资源访问请求,如果是则通过查询调度器确认该客户端是否有访问调度器的记录,如果在一段时间内没有客户端访问调度器的足够记录,则对该客户端后续一段时间的访问请求进行拒绝。
综上,本发明实施例可以在cache机实现对恶意访问的识别以及对非法用户的请求进行拒绝,从而能够防护现有方案中察觉不到(非法用户可绕过调度器的鉴权或者绕过调度器直接访问cache机)的非法用户的恶意访问。
附图说明
图1是现有技术资源访问过程实现示意图;
图2是本发明一个实施例提供的一种识别恶意资源访问的方法流程图;
图3是本发明另一个实施例提供的一种识别恶意资源访问的方法实例流程图;
图4是本发明一个实施例提供的一种识别恶意资源访问的装置示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
参见图1,为现有技术资源访问控制实现示意图。
步骤(1):客户端向VPS请求调度器的地址;
步骤(2):客户端访问调度器,得到分片1对应的cache机的地址;
步骤(3):客户端根据分片1对应的cache机的地址进行分片1下载;
其他每个分片的下载都需要重复步骤2-3进行。
其中,步骤1中客户端从VPS请求到的是调度器的地址;然后在步骤2 中再根据调度器的地址访问调度器从调度器获取cache机的地址。可见,用户观看视频的访问顺序是:VPS->调度器->cache机A(下载第1个视频分片) ->调度器->cache机B(下载第2个视频分片) ……。
目前使用的调度器主要是两个功能,一是根据用户ip、流量等信息为用户选择一个可用的IDC(International Data Corporation,互联网内容提供商) 进行服务,另一个功能是在此IDC中根据资源定位算法(如,一致性哈希算法)和用户请求的资源的标识符(uri,即文件分片标识)为用户选择最终进行下载的服务器。
一般情况下,由于非法用户无从得知算法细节以及IDC中所有cache机的IP,因此其向cache机请求uri时,一般不会选择到IDC中正确的cache 机。另一方面,非法用户自身使用的用户标识(客户端IP地址)一般比较单一。因此本发明实施例利用这两个特点进行恶意访问的识别。
参见图2,为本发明实施例提供的一种识别恶意资源访问的方法流程图,用于在下载服务器确定恶意资源访问请求,包括:
S201:接收客户端的资源访问请求,解析资源访问请求得到资源对应的 uri;
S202:根据uri计算出uri对应的下载地址;
S203:将计算出的下载地址与下载服务器自身的ip地址进行比对,判断二者是否一致:若一致执行步骤S204;若不一致执行步骤S205;
S204:若下载地址与ip地址一致,则根据资源访问请求向客户端提供资源;
S205:若下载地址与ip地址不一致,则将资源访问请求确定为恶意资源访问请求。
上述方法是在网络侧的服务器进行的,例如,是在下载服务器(简称 cache机)上进行的。下文中,为了直观,以VPS、调度器、cache机构成的网络侧为例子对本发明实施例提供的识别恶意资源访问的方法进行说明。
资源包括各种网络传播资源,包括但不限于视频、图片、文字等资源。以视频资源为例子,视频资源是以分片存储于网络侧、以分片播放于客户端。因此本发明实施例中的一种实现方式中,资源可以理解为视频分片。
cache机接收到的资源访问请求是用于为客户端下载资源的请求。该资源访问请求可以是客户端通过首先访问调度器获取到cache机地址再向 cache机发起的(如图1所示的正常资源访问请求),也可能是客户端直接发给cache机的(例如非法用户直接访问cache机)。因此本发明实施例对于发起资源访问请求的方式不作限定。资源访问请求中可携带资源参数和/或用户参数。以视频为例,资源参数包括观看的影视剧名称、总影片大小、资源对应的uri(Uniform Resource Identifier,统一资源标识符);用户参数包括用户 ip等。
客户端为了实现资源下载,是根据资源对应的url(Uniform Resource Locator,统一资源定位符)进行访问cache机的。url包括两部分:一部分是下载域名(域名可理解为调度器地址),例如“data.video.iqiyi.com”;另一部分是uri(Uniform ResourceIdentifier,统一资源标识符),例如:“/videos/..../*.f4v”。
为了实现在cache机对非法用户的恶意访问进行识别,本发明实施例的实现思路是在cache机解析出资源访问请求中的uri,并据此uri计算出url (Uniform ResourceLocator,统一资源定位符);然后将计算出的url与本身对应的cache机ip地址进行比对。其中,cache机根据uri计算出url的算法与调度器根据uri计算url的算法相同,由此保证针对同一个uri,在cache 机计算出的url与调度器计算出的url相同。如果比对结果一致,说明客户端是按照uri对应的url进行资源访问的;否则确认本次资源访问并不是按照 uri对应的url地址进行访问的,因此识别为恶意访问。
在一种实现方式中,针对恶意资源访问请求,后续以发起该恶意访问的客户端为维度对该客户端第一时间段(例如10s)内的访问进行监控,从而确定这段时间内该客户端发起的恶意访问次数。如果次数过多,则说明该客户端为非法用户的可能性大,因此将该客户端标记为预警客户端。然后进一步针对该预警客户端请求调度器查询该预警客户端是否访问过调度器(正常流程中客户端访问调度器之后才访问cache机),如果调度器中包含足够的该客户端的访问记录,说明客户度正常访问;否则认为客户端是非法用户,因此后续对这种非法用户的客户端的访问请求进行拒绝。
参考图3,是本发明另一个实施例提供的一种识别恶意资源访问的方法实例流程图。包括:
S301:接收客户端的资源访问请求,解析资源访问请求得到资源对应的 uri;
S302:根据uri计算出uri对应的下载地址;
S303:将计算出的下载地址与下载服务器自身的ip地址进行比对,判断下载地址与ip地址是否一致,若一致执行S304;若不一致执行S305;
S304:响应资源访问请求向客户端提供资源;
S305:将资源访问请求确定为恶意资源访问请求;
S306:对恶意资源访问请求对应的客户端进行监控;
在一种实现方式中,对恶意资源访问请求对应的客户端进行监控的方式为:从恶意资源访问请求中解析得到客户端标识(例如:用户ip),并对客户端标识对应的客户端发起的资源访问请求进行监控。
S307:统计客户端在预置的第一时间段内的恶意资源访问请求次数;
S308:判断恶意资源访问请求次数是否超过预置的恶意请求阈值,若是执行S309;否则执行S304为客户端提供资源;
S309:将客户端确定为预警客户端;
S310:向调度器发起访问记录查询请求,查询预警客户端访问调度器的记录;
S311:接收调度器返回的访问记录查询响应,根据访问记录查询响应确定预警客户端访问调度器的记录;
S312:判断预警客户端是否在第二时间段(例如20s)内访问调度器的次数达到最低访问次数阈值;若是(即调度器具有足够的访问记录)执行 S304为客户端提供资源;否则(即调度器不具有足够的访问记录:预警客户端没有访问过调度器,或者在预置的第二时间段内访问调度器的访问次数少于最低访问次数阈值)则执行S313;
S313:拒绝预警客户端在未来预置的第三时间段(如未来10分钟)的资源访问请求。
为了进一步对本发明实施例进行说明,下面从cache机功能改动角度进行描述。
cache机主要涉及以下几个功能改进。
(1)资源定位结果识别
现有的视频cache机是不进行资源定位结果二次验证的,也即cache机不验证每个URI请求是否是应该由自己来提供服务。因此本发明实施例首先对视频cache机进行改造,进行资源定位结果的识别。具体的是可以在视频 cache机的应用层web服务器(web服务器是位于cache机中的一个功能模块)进行改造。每个IDC中的任何一台cache机,可通过复用调度器关于此 IDC的cache机IP的配置,以及调度器关于此IDC的一致性哈希算法的实现方式(即从url计算算法和配置讲,cache机增加了调度器的功能)。这样,当某个用户请求到达此cache机时,此cache机可以模拟调度器,对其所在 IDC进行一次资源定位,以查看此请求是否应该由自己来服务
(2)异常结果监控
可以客户端标识(例如用户IP)为维度,使用阈值监控异常资源定位结果,即,当第一次发现某用户IP的请求发生了异常资源定位时,监控此用户IP在接下来一段时间(例如10s)内的请求情况,若在预定时间段内共发生了m次异常资源定位,则触发此用户IP的预警状态。例如,单个用户IP10s 内发生了50次异常资源定位请求则将用户设置为预警状态。
(3)异步查询调度器
若某用户IP触发了预警状态,则cache机针对此用户IP的所有访问请求,获得其之前访问过的调度器的IP地址(如之前描述的,调度器通过密码学算法生成一个key;生成key时会将调度器的ip地址带进去。Cache机可以通过解密得到调度器ip),若调度器地址不存在或不正确,直接拒绝访问。若调度器地址正确,则异步查询调度器(即,cache机按照常规方式为用户提供服务,同时也额外增加查询调度器的过程)。cache机携带此用户ip、请求的uri为参数向调度器查询,查询用户是否之前访问了调度器。调度器根据自己的记录,向cache机返回结果。
(4)继续/停止服务
cache机按时间间隔统计调度器返回的结果,如10秒内调度器返回的所有结果;若超过p%的结果显示(如p可取值50-100之间),调度器无此用户IP地址的访问记录,则接下来的一段时间内(如,10分钟),拒绝此用户 IP所有服务请求。
可见,本发明实施例提出了在cache机对资源访问请求进行资源定位,确认该资源是否应该由自身提供服务,对于不应该由自身进行服务的资源访问请求识别为恶意资源访问请求。在可选的方式中,进一步对恶意资源访问请求的客户端进行监控,确定该客户端是否在一段时间内多次发起恶意资源访问请求,如果是则通过查询调度器确认该客户端是否有访问调度器的记录,如果在一段时间内没有客户端访问调度器的足够记录,则对该客户端后续一段时间的访问请求进行拒绝。本发明实施例可以在cache机实现对恶意访问的识别以及对非法用户的请求进行拒绝,从而能够防护现有方案中察觉不到 (非法用户可绕过调度器的鉴权或者绕过调度器直接访问cache机)的非法用户的访问。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
参照图4,是本发明实施例提供的一种识别恶意资源访问的装置结构示意图。该装置用于在下载服务器确定恶意资源访问请求,包括:
请求解析单元401,用于接收客户端的资源访问请求,并解析所述资源访问请求得到资源对应的uri;
下载地址计算单元402,用于根据所述uri计算出uri对应的下载地址;
比对单元403,用于将计算出的下载地址与所述下载服务器自身的ip地址进行比对;
响应单元404,用于在所述下载地址与所述ip地址一致时,根据资源访问请求向客户端提供资源;
识别单元405,用于在所述下载地址与所述ip地址不一致时,将所述资源访问请求确定为恶意资源访问请求。
在一种可选方式中,还包括:
监控单元406,用于对所述恶意资源访问请求对应的客户端进行监控;
统计单元407,用于统计所述客户端在预置的第一时间段内的恶意资源访问请求次数;
预警确定单元408,用于若所述恶意资源访问请求次数超过预置的恶意请求阈值,则将所述客户端确定为预警客户端;
查询单元409,用于向调度器请求查询所述预警客户端的访问记录并接收调度器反馈的查询结果;
控制单元410,用于根据调度器反馈的查询结果确定是否拒绝所述预警客户端的资源访问请求。
在一种可选方式中,所述监控单元406具体用于:从所述恶意资源访问请求中解析得到客户端标识,以及,对所述客户端标识对应的所述客户端发起的资源访问请求进行监控。
在一种可选方式中,所述查询单元409具体用于:向调度器发起访问记录查询请求,查询所述预警客户端访问所述调度器的记录;以及接收所述调度器返回的访问记录查询响应。
在一种可选方式中,所述控制单元410具体用于:根据所述访问记录查询响应确定所述预警客户端访问所述调度器的记录;以及,如果所述预警客户端没有访问过调度器,或者在预置的第二时间段内访问所述调度器的访问次数少于最低访问次数阈值,则拒绝所述预警客户端在未来预置的第三时间段的资源访问请求。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种识别恶意资源访问的方法及装置,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种识别恶意资源访问的方法,其特征在于,用于在下载服务器确定恶意资源访问请求;所述下载服务器复用调度器的资源定位算法;所述方法包括:
接收客户端的资源访问请求,解析所述资源访问请求得到资源对应的uri;
根据所述uri计算出uri对应的下载地址,包括:所述下载服务器模拟所述调度器,根据所述资源定位算法,对所述下载服务器所在的互联网内容提供商进行资源定位,以获得所述uri对应的下载地址;
将计算出的下载地址与所述下载服务器自身的ip地址进行比对;
若所述下载地址与所述ip地址一致,则根据资源访问请求向客户端提供资源;若所述下载地址与所述ip地址不一致,则将所述资源访问请求确定为恶意资源访问请求。
2.根据权利要求1所述的方法,其特征在于,在将所述资源访问请求确定为恶意资源访问请求之后,还包括:
对所述恶意资源访问请求对应的客户端进行监控;
统计所述客户端在预置的第一时间段内的恶意资源访问请求次数;
若所述恶意资源访问请求次数超过预置的恶意请求阈值,则将所述客户端确定为预警客户端;
向调度器请求查询所述预警客户端的访问记录,并根据调度器反馈的查询结果确定是否拒绝所述预警客户端的资源访问请求。
3.根据权利要求2所述的方法,其特征在于,所述对所述恶意资源访问请求对应的客户端进行监控包括:
从所述恶意资源访问请求中解析得到客户端标识;
对所述客户端标识对应的所述客户端发起的资源访问请求进行监控。
4.根据权利要求2所述的方法,其特征在于,所述向调度器请求查询所述预警客户端的访问记录,包括:
向调度器发起访问记录查询请求,查询所述预警客户端访问所述调度器的记录。
5.根据权利要求4所述的方法,其特征在于,所述根据调度器查询结果确定是否拒绝所述预警客户端的资源访问请求包括:
接收所述调度器返回的访问记录查询响应,根据所述访问记录查询响应确定所述预警客户端访问所述调度器的记录;
如果所述预警客户端没有访问过调度器,或者在预置的第二时间段内访问所述调度器的访问次数少于最低访问次数阈值,则拒绝所述预警客户端在未来预置的第三时间段的资源访问请求。
6.一种识别恶意资源访问的装置,其特征在于,用于在下载服务器确定恶意资源访问请求;所述下载服务器复用调度器的资源定位算法;所述装置包括:
请求解析单元,用于接收客户端的资源访问请求,并解析所述资源访问请求得到资源对应的uri;
下载地址计算单元,用于根据所述uri计算出uri对应的下载地址,包括:所述下载服务器模拟所述调度器,根据所述资源定位算法,对所述下载服务器所在的互联网内容提供商进行资源定位,以获得所述uri对应的下载地址;
比对单元,用于将计算出的下载地址与所述下载服务器自身的ip地址进行比对;
响应单元,用于在所述下载地址与所述ip地址一致时,根据资源访问请求向客户端提供资源;
识别单元,用于在所述下载地址与所述ip地址不一致时,将所述资源访问请求确定为恶意资源访问请求。
7.根据权利要求6所述的装置,其特征在于,还包括:
监控单元,用于对所述恶意资源访问请求对应的客户端进行监控;
统计单元,用于统计所述客户端在预置的第一时间段内的恶意资源访问请求次数;
预警确定单元,用于若所述恶意资源访问请求次数超过预置的恶意请求阈值,则将所述客户端确定为预警客户端;
查询单元,用于向调度器请求查询所述预警客户端的访问记录并接收调度器反馈的查询结果;
控制单元,用于根据调度器反馈的查询结果确定是否拒绝所述预警客户端的资源访问请求。
8.根据权利要求7所述的装置,其特征在于,所述监控单元具体用于:从所述恶意资源访问请求中解析得到客户端标识,以及,对所述客户端标识对应的所述客户端发起的资源访问请求进行监控。
9.根据权利要求7所述的装置,其特征在于,所述查询单元具体用于:向调度器发起访问记录查询请求,查询所述预警客户端访问所述调度器的记录;以及接收所述调度器返回的访问记录查询响应。
10.根据权利要求9所述的装置,其特征在于,所述控制单元具体用于:根据所述访问记录查询响应确定所述预警客户端访问所述调度器的记录;以及,如果所述预警客户端没有访问过调度器,或者在预置的第二时间段内访问所述调度器的访问次数少于最低访问次数阈值,则拒绝所述预警客户端在未来预置的第三时间段的资源访问请求。
CN201810049732.8A 2018-01-18 2018-01-18 识别恶意资源访问的方法及装置 Active CN108449308B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810049732.8A CN108449308B (zh) 2018-01-18 2018-01-18 识别恶意资源访问的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810049732.8A CN108449308B (zh) 2018-01-18 2018-01-18 识别恶意资源访问的方法及装置

Publications (2)

Publication Number Publication Date
CN108449308A CN108449308A (zh) 2018-08-24
CN108449308B true CN108449308B (zh) 2020-11-27

Family

ID=63191089

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810049732.8A Active CN108449308B (zh) 2018-01-18 2018-01-18 识别恶意资源访问的方法及装置

Country Status (1)

Country Link
CN (1) CN108449308B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109543404B (zh) * 2018-12-03 2019-10-25 北京芯盾时代科技有限公司 一种访问行为的风险评估方法和装置
CN109842627B (zh) * 2019-02-20 2021-07-20 北京奇艺世纪科技有限公司 一种确定服务请求频率的方法及装置
CN110247889B (zh) * 2019-04-23 2022-04-08 湖南快乐阳光互动娱乐传媒有限公司 一种cdn节点服务防盗链方法及系统
CN112839008B (zh) * 2019-11-22 2024-02-06 北京沃东天骏信息技术有限公司 一种访问监控方法、装置和系统
US11443037B2 (en) 2020-07-09 2022-09-13 International Business Machines Corporation Identification of invalid requests

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8560843B1 (en) * 2010-09-24 2013-10-15 Symantec Corporation Encrypted universal resource identifier (URI) based messaging
CN103460667A (zh) * 2011-04-07 2013-12-18 高通股份有限公司 使用字节范围请求的视频数据的网络流
CN104331296A (zh) * 2014-11-25 2015-02-04 北京奇虎科技有限公司 交易信息处理方法、装置和系统
CN105208026A (zh) * 2015-09-29 2015-12-30 努比亚技术有限公司 一种防止恶意攻击方法及网络系统
CN106911649A (zh) * 2015-12-23 2017-06-30 北京奇虎科技有限公司 一种检测网络攻击的方法和装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101077135B1 (ko) * 2009-10-22 2011-10-26 한국인터넷진흥원 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8560843B1 (en) * 2010-09-24 2013-10-15 Symantec Corporation Encrypted universal resource identifier (URI) based messaging
CN103460667A (zh) * 2011-04-07 2013-12-18 高通股份有限公司 使用字节范围请求的视频数据的网络流
CN104331296A (zh) * 2014-11-25 2015-02-04 北京奇虎科技有限公司 交易信息处理方法、装置和系统
CN105208026A (zh) * 2015-09-29 2015-12-30 努比亚技术有限公司 一种防止恶意攻击方法及网络系统
CN106911649A (zh) * 2015-12-23 2017-06-30 北京奇虎科技有限公司 一种检测网络攻击的方法和装置

Also Published As

Publication number Publication date
CN108449308A (zh) 2018-08-24

Similar Documents

Publication Publication Date Title
CN108449308B (zh) 识别恶意资源访问的方法及装置
CN107517179B (zh) 一种鉴权方法、装置和系统
CN106878265B (zh) 一种数据处理方法及装置
CN111478910B (zh) 用户身份验证方法和装置、电子设备以及存储介质
US20110029555A1 (en) Method, system and apparatus for content identification
CN107734362B (zh) 一种视频源的确定方法、装置及计算机可读存储介质
CN110690972B (zh) 令牌认证方法、装置、电子设备及存储介质
EP3852327A1 (en) Exception access behavior identification method and server
US20180091355A1 (en) Single sign-on system and single sign-on method
CN106254528B (zh) 一种资源下载方法和缓存设备
CN106357694B (zh) 一种访问请求处理方法及装置
CN111737752B (zh) 监控数据访问控制方法、装置及设备、存储介质
CN105939491A (zh) 视频播放方法及装置
CN107888623B (zh) 直播软件音视频数据流防劫持方法及装置
CN107124420A (zh) 身份验证方法及装置
CN107454041B (zh) 防止服务器被攻击的方法及装置
CN110933082B (zh) 失陷主机识别方法、装置、设备及存储介质
CN110213671B (zh) 一种热点短视频确定方法和装置
CN111988644B (zh) 网络视频的防盗链方法、装置、设备和存储介质
CN111046309A (zh) 一种页面视图渲染方法、装置、设备及可读存储介质
CN111600864B (zh) 基于令牌认证多维度校验访问服务接口的方法和装置
CN108282495B (zh) 一种dns劫持防御方法和装置
CN110034922B (zh) 请求处理方法、处理装置以及请求验证方法、验证装置
CN111294338B (zh) 非法请求拦截方法及系统
US20180351978A1 (en) Correlating user information to a tracked event

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant