一种提高访问响应速度的恶意请求拦截方法和系统
技术领域
本发明涉及无线网络通信领域,尤其涉及一种提高访问响应速度的恶意请求拦截方法和系统。
背景技术
目前,对于恶意访问请求的拦截通常都是通过串行部署在访问请求的链路上的防火墙实现的。在这种情况下,当防火墙出现故障时,访问请求通过的链路由于防火墙处的中断,而无法被转发到网络服务器,从而导致该次访问请求不能得到应答。另外,由于防火墙串行部署在访问请求的链路上,用户的访问请求在被转发到网络服务器之前都必须要通过防火墙,从而使得访问请求的响应速度变慢,影响用户体验。
因此,需要一种能够更安全有效地对恶意访问请求进行拦截的方法,并且能够提高访问响应速度。
发明内容
为了解决现有技术中的问题,本发明提供了一种提高访问响应速度的恶意请求拦截方法和系统。该方法和系统能够有效地对恶意访问请求进行拦截,并且能够提高访问响应速度。
根据本发明的一个方面,提供了一种提高访问响应速度的恶意请求拦截方法,所述方法包括:
分发服务器接收到网络访问请求;
拦截处理器从所述分发服务器获知网络访问请求的信息,根据所述网络访问请求的信息确定拦截目标,将所述拦截目标通知至所述分发服务器;
所述分发服务器将与所述拦截目标对应的网络访问请求进行拦截,将与所述拦截目标不对应的网络访问请求发送至网络服务器。
其中,所述拦截处理器从所述分发服务器获知网络访问请求的信息,根据所述网络访问请求的信息确定拦截目标包括:
所述分发服务器将记录的网络访问请求的日志信息转发至所述拦截处理器,所述拦截处理器从所述分发服务器获知所述网络访问请求的日志信息,根据所述网络访问请求的日志信息确定拦截目标,所述拦截目标包括至少一网络访问请求的源地址,或者包括访问目标地址,或者包括网络访问请求的源地址和此源地址的访问目标地址。
其中,所述拦截处理器从所述分发服务器获知网络访问请求的信息,根据所述网络访问请求的信息确定拦截目标包括:
所述拦截处理器根据预设规则从所述分发服务器获取网络访问请求的日志信息,根据所述日志信息确定拦截目标,所述拦截目标包括至少一网络访问请求的源地址,或者包括至少一网络访问请求的目标地址,或者包括至少一网络访问请求的源地址和此源地址所对应的访问目标地址。
其中,所述预设规则包括以下中的至少一种:获取预定时段内的日志、获取预定访问目标地址的日志。
其中,所述确定拦截目标包括以下方式中的一种:
方式一,确定网络访问请求的源地址为恶意地址时,确定拦截目标为此源地址;
方式二,确定网络访问请求的访问目标地址为危险网站的地址时,确定拦截目标为访问目标地址;
方式三,确定同一源地址对同一访问目标地址发出网络访问请求的频率大于预设频率或在预设时长内访问次数大于预设值时,确定拦截目标为此源地址,或者确定拦截目标为此源地址和此目标地址。
其中,所述方法还包括:在所述分发服务器上设置拦截执行模块;
将所述拦截目标通知至所述分发服务器还包括:将所述拦截目标通知至分发服务器上设置的拦截执行模块;
所述分发服务器将与所述拦截目标对应的网络访问请求进行拦截还包括:所述分发服务器上设置的拦截执行模块将与所述拦截目标对应的网络访问请求进行拦截。
根据本发明的另一方面,还提供了一种提高访问响应速度的恶意请求拦截系统,所述系统包括分发服务器、拦截处理器、网络服务器,其中,
所述分发服务器用于接收网络访问请求,将网络访问请求的信息发送到拦截处理器;
所述拦截处理器用于从所述分发服务器获知所述网络访问请求的信息,根据所述网络访问请求的信息确定拦截目标,将所述拦截目标通知至所述分发服务器;
所述分发服务器还用于将与所述拦截目标对应的网络访问请求进行拦截,将与所述拦截目标不对应的网络访问请求发送至网络服务器;
所述网络服务器用于从所述分发服务器接收网络访问请求。
其中,所述分发服务器还用于:
将记录的网络访问请求的日志信息转发至所述拦截处理器;
所述拦截处理器还用于:
从所述分发服务器获知所述网络访问请求的日志信息,根据所述网络访问请求的日志信息确定拦截目标,所述拦截目标包括至少一网络访问请求的源地址,或者包括访问目标地址,或者包括网络访问请求的源地址和此源地址的访问目标地址。
其中,所述拦截处理器还用于根据预设规则从所述分发服务器获取网络访问请求的日志信息,根据所述日志信息确定拦截目标,所述拦截目标包括至少一网络访问请求的源地址,或者包括至少一网络访问请求的目标地址,或者包括至少一网络访问请求的源地址和此源地址所对应的访问目标地址。
其中,所述预设规则包括以下中的至少一种:获取预定时段内的日志、获取预定访问目标地址的日志。
其中,所述拦截处理器还用于根据以下方式中的一种确定拦截目标:
方式一,确定网络访问请求的源地址为恶意地址时,确定拦截目标为此源地址;
方式二,确定网络访问请求的访问目标地址为危险网站的地址时,确定拦截目标为访问目标地址;
方式三,确定同一源地址对同一访问目标地址发出网络访问请求的频率大于预设频率或在预设时长内访问次数大于预设值时,确定拦截目标为此源地址,或者确定拦截目标为此源地址和此目标地址。
其中,所述分发服务器还包括拦截执行模块;
所述拦截处理器还用于将所述拦截目标通知至所述分发服务器上的拦截执行模块;
所述拦截执行模块用于将与所述拦截目标对应的网络访问请求进行拦截。
本发明中的恶意请求拦截方法和系统,将拦截处理器,即防火墙,与网络访问请求的链路并行部署。在这种情况下,即使拦截处理器出现故障,也不会影响网络访问请求的转发链路,可以保证网络访问请求被正常地转发到网络服务器。并且,在现有技术的在串行链路上部署防火墙的方案中,访问请求需要通过防火墙后被拦截,而在本发明中,只是把日志传输到拦截处理器以确定拦截目标,而访问请求不需要通过额外的设备,就由分发服务器对拦截目标进行拦截,因此提高了访问响应速度。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明的提高访问响应速度的恶意请求拦截方法的流程图;
图2是根据本发明的提高访问响应速度的恶意请求拦截系统的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
本发明提供了一种提高访问响应速度的恶意请求拦截方法。该方法包括以下步骤:
步骤101,分发服务器接收到网络访问请求;
步骤102,拦截处理器从分发服务器获知网络访问请求的信息,根据网络访问请求的信息确定拦截目标,将拦截目标通知至分发服务器;
步骤103,分发服务器将与拦截目标对应的网络访问请求进行拦截,将与拦截目标不对应的网络访问请求发送至网络服务器。
步骤102中,拦截处理器从分发服务器获知网络访问请求的信息,根据网络访问请求的信息确定拦截目标包括:分发服务器将记录的网络访问请求的日志信息转发至拦截处理器,拦截处理器从分发服务器获知网络访问请求的日志信息,根据网络访问请求的日志信息确定拦截目标,拦截目标包括至少一网络访问请求的源地址,或者包括访问目标地址,或者包括网络访问请求的源地址和此源地址的访问目标地址。即,拦截处理器可以判定某一源地址为恶意地址,拦截此源地址发出的所有请求消息;拦截处理器还可以判断某一目标网站的所有访问请求都被拦截,拦截处理器还可以判断某一源地址对某一目标网站的访问是恶意的,拦截此源地址对此目标网站的访问,对此源地址对其它目标网站的访问不禁止。其中,日志是分发服务器在网络访问请求处理完成后产生的。
此外,步骤102中,拦截处理器从分发服务器获知网络访问请求的信息,根据网络访问请求的信息确定拦截目标包括:拦截处理器根据预设规则从分发服务器获取网络访问请求的日志信息,根据日志信息确定拦截目标,拦截目标包括至少一网络访问请求的源地址,或者包括至少一网络访问请求的目标地址,或者包括至少一网络访问请求的源地址和此源地址所对应的访问目标地址。具体地,需要被拦截的目标是根据日志的信息确定的。即拦截处理器通过实时分析日志的信息,得出某个源地址有攻击行为、某个目标地址为危险地址、某个源地址到某个目标地址的访问是恶意的,则通知分发服务器对与拦截目标对应的网络访问请求进行拦截。如果拦截处理器没有确定出拦截目标,则不向分发服务器发送拦截通知。其中,日志是分发服务器在网络访问请求处理完成后产生的。
其中,预设规则包括以下中的至少一种:获取预定时段内的日志、获取预定访问目标地址的日志。其中,预定时段内的日志和预定访问目标地址的日志至少包括以下信息:源地址,目标地址(即目标域名),访问的统一资源定位符(url),源地址的用户代理(useragent)、来源网页(referer)、会话(session)、cookie信息等。例如可以根据上述信息计算单个源地址在预定时间段内的最大访问量,单个源地址在预定时间段内访问最多的路径占该段时间内此源地址总访问量的最大百分比,通过这些数据确定拦截目标。根据这些信息确定拦截目标的方式可以采用本领域中常用的一些方式,在此不再赘述。
确定拦截目标包括以下方式中的一种:方式一,确定网络访问请求的源地址为恶意地址时,确定拦截目标为此源地址;方式二,确定网络访问请求的访问目标地址为危险网站的地址时,确定拦截目标为访问目标地址;方式三,确定同一源地址对同一访问目标地址发出网络访问请求的频率大于预设频率或在预设时长内访问次数大于预设值时,确定拦截目标为此源地址,或者确定拦截目标为此源地址和此目标地址。
另外,上述方法还包括:在分发服务器上设置拦截执行模块,该拦截执行模块可以是拦截器插件程序。这样,将拦截目标通知至分发服务器还包括:将拦截目标通知至分发服务器上设置的拦截执行模块;分发服务器将与拦截目标对应的网络访问请求进行拦截还包括:分发服务器上设置的拦截执行模块将与拦截目标对应的网络访问请求进行拦截。即,由分发服务器上设置的拦截执行模块根据拦截处理器通知的拦截目标,对拦截目标对应的网络访问请求进行拦截。需要说明的是,拦截执行模块进行拦截的时候,是在系统的内核进行TCP四层拦截,因此执行速度非常快。
下面描述根据本发明的提高访问响应速度的恶意请求拦截方法的具体实施例。在该实施例中,分发服务器为负载均衡服务器,该负载均衡服务器上设置对拦截目标对应的网络访问请求进行拦截的拦截执行模块。该方法包括下述步骤:
步骤一,负载均衡服务器接收到网络访问请求;
步骤二,负载均衡服务器记录网络访问请求的日志;
步骤三,拦截处理器根据预设规则从分发服务器获取日志,并根据日志确定拦截目标。具体地,拦截处理器从日志中提取出访问IP地址(即源地址),分析此IP地址在一段时间内访问量最多的路径(path),然后判断访问量最多的path在总的访问量中的占比是否大于预设的阈值,来判断该访问IP地址是否有攻击行为。当然,也可以结合日志中访问IP地址的浏览器标识(UA),referer,cookie,session等进行判断,如果判断该访问IP地址有攻击行为,就调用部署在分发服务器上的拦截执行模块进行拦截操作。通常提取日志可以从要防护的域名去提取。例如,此处确定源地址a有攻击行为。
步骤四,拦截处理器确定拦截目标后,将拦截目标通知负载均衡服务器上设置的拦截执行模块;
步骤五,拦截执行模块将与拦截目标对应的网络访问请求进行拦截,将与拦截目标不对应的网络访问请求发送至网络服务器。即将源地址a发出的网络访问请求进行拦截。
本发明还提供了一种提高访问响应速度的恶意请求拦截系统,所述系统包括分发服务器201、拦截处理器202、网络服务器203,其中,
所述分发服务器用于接收网络访问请求,将网络访问请求的信息发送到拦截处理器;
所述拦截处理器用于从所述分发服务器获知所述网络访问请求的信息,根据所述网络访问请求的信息确定拦截目标,将所述拦截目标通知至所述分发服务器;
所述分发服务器还用于将与所述拦截目标对应的网络访问请求进行拦截,将与所述拦截目标不对应的网络访问请求发送至网络服务器;
所述网络服务器用于从所述分发服务器接收网络访问请求。
其中,所述分发服务器还用于:
将记录的网络访问请求的日志信息转发至所述拦截处理器;
所述拦截处理器还用于:
从所述分发服务器获知所述网络访问请求的日志信息,根据所述网络访问请求的日志信息确定拦截目标,所述拦截目标包括至少一网络访问请求的源地址,或者包括访问目标地址,或者包括网络访问请求的源地址和此源地址的访问目标地址。
其中,所述拦截处理器还用于根据预设规则从所述分发服务器获取网络访问请求的日志信息,根据所述日志信息确定拦截目标,所述拦截目标包括至少一网络访问请求的源地址,或者包括至少一网络访问请求的目标地址,或者包括至少一网络访问请求的源地址和此源地址所对应的访问目标地址。
其中,所述预设规则包括以下中的至少一种:获取预定时段内的日志、获取预定访问目标地址的日志。
其中,所述拦截处理器还用于根据以下方式中的一种确定拦截目标:
方式一,确定网络访问请求的源地址为恶意地址时,确定拦截目标为此源地址;
方式二,确定网络访问请求的访问目标地址为危险网站的地址时,确定拦截目标为访问目标地址;
方式三,确定同一源地址对同一访问目标地址发出网络访问请求的频率大于预设频率或在预设时长内访问次数大于预设值时,确定拦截目标为此源地址,或者确定拦截目标为此源地址和此目标地址。
其中,所述分发服务器还包括拦截执行模块;
所述拦截处理器还用于将所述拦截目标通知至所述分发服务器上的拦截执行模块;
所述拦截执行模块用于将与所述拦截目标对应的网络访问请求进行拦截。
本发明中的恶意请求拦截方法和系统,将拦截处理器,即防火墙,与网络访问请求的链路并行部署。在这种情况下,即使拦截处理器出现故障,也不会影响网络访问请求的转发链路,可以保证网络访问请求被正常地转发到网络服务器。并且,在现有技术的在串行链路上部署防火墙的方案中,访问请求需要通过防火墙后被拦截,而在本发明中,只是把日志传输到拦截处理器以确定拦截目标,而访问请求不需要通过额外的设备,就由分发服务器对拦截目标进行拦截,因此提高了访问响应速度。
上面描述的内容可以单独地或者以各种方式组合起来实施,而这些变型方式都在本发明的保护范围之内。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的物品或者设备中还存在另外的相同要素。
以上实施例仅用以说明本发明的技术方案而非限制,仅仅参照较佳实施例对本发明进行了详细说明。本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,均应涵盖在本发明的权利要求范围当中。