CN109495467B - 拦截规则的更新方法、设备及计算机可读存储介质 - Google Patents
拦截规则的更新方法、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN109495467B CN109495467B CN201811330445.0A CN201811330445A CN109495467B CN 109495467 B CN109495467 B CN 109495467B CN 201811330445 A CN201811330445 A CN 201811330445A CN 109495467 B CN109495467 B CN 109495467B
- Authority
- CN
- China
- Prior art keywords
- target request
- rule
- preset
- request
- updating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种拦截规则的更新方法、设备及计算机可读存储介质,该方法包括步骤:当接收到访问数据的访问请求后,检测所述访问请求是否符合预设的拦截规则;将不符合所述拦截规则的所述访问请求确定为目标请求,并检测所述目标请求是否符合预设的第一审计规则;当检测到所述目标请求符合所述第一审计规则后,根据所述目标请求对应的标识信息更新所述拦截规则。本发明实现了拦截规则的实时自动更新,从而提高拦截规则对恶意访问请求的覆盖率,提高了识别恶意访问请求的准确率。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种拦截规则的更新方法、设备及计算机可读存储介质。
背景技术
近年来,随着大数据和云计算迅猛发展,对数据安全更高要求。目前对网络非法请求识别的方法为:预先设置拦截规则,当访问数据的访问请求与拦截规则匹配后,拒绝执行该访问请求,以达到保护数据的目的。但是目前拦截规则的更新方法为用户手动更新,或者是设定定时任务,定时更新拦截规则,导致拦截规则更新效率低下,从而导致识别出恶意访问请求的准确率低下。
发明内容
本发明的主要目的在于提供一种拦截规则的更新方法、设备及计算机可读存储介质,旨在解决现有的拦截规则更新效率低下,以及识别恶意访问请求准确率低下的技术问题。
为实现上述目的,本发明提供一种拦截规则的更新方法,所述拦截规则的更新方法包括步骤:
当接收到访问数据的访问请求后,检测所述访问请求是否符合预设的拦截规则;
将不符合所述拦截规则的所述访问请求确定为目标请求,并检测所述目标请求是否符合预设的第一审计规则;
当检测到所述目标请求符合所述第一审计规则后,根据所述目标请求对应的标识信息更新所述拦截规则。
优选地,所述检测所述目标请求是否符合预设的第一审计规则的步骤包括:
检测所述目标请求对应的待访问数据是否为预设数据;
若所述待访问数据为所述预设数据,则确定所述目标请求符合预设的第一审计规则;
若所述待访问数据不是所述预设数据,则确定所述目标请求不符合预设的第一审计规则。
优选地,所述检测所述目标请求是否符合预设的第一审计规则的步骤包括:
获取所述目标请求的每一标识信息在预设周期内对应访问请求的第一请求数量;
若所述第一请求数量大于第一阈值,则确定所述目标请求符合所述第一审计规则;
若所述第一请求数量小于或者等于所述第一阈值,则确定所述目标请求不符合预设的第一审计规则。
优选地,所述检测所述目标请求是否符合预设的第一审计规则的步骤包括:
获取所述目标请求的每一标识信息在相邻周期内对应访问请求的数量变化率;
若所述数量变化率大于第二阈值,则确定所述目标请求符合所述第一审计规则;
若所述数量变化率小于或者等于所述第二阈值,则确定所述目标请求不符合所述第一审计规则。
优选地,所述当检测到所述目标请求符合所述第一审计规则后,根据所述目标请求对应的标识信息更新所述拦截规则的步骤之前,还包括:
将所述目标请求存储至大数据平台,在所述大数据平台中检测所述目标请求是否符合预设的第二审计规则;
所述当检测到所述目标请求符合所述第一审计规则后,根据所述目标请求对应的标识信息更新所述拦截规则的步骤包括:
当检测到所述目标请求符合所述第一审计规则,和/或检测到所述目标请求符合所述第二审计规则后,根据所述目标请求对应的标识信息更新所述拦截规则。
优选地,所述在所述大数据平台中检测所述目标请求是否符合预设的第二审计规则的步骤包括:
在所述大数据平台中获取所述目标请求的每一标识信息在第一预设时长对应的用户号;
若各个所述用户号之间的相关系数大于第三阈值,则确定所述目标请求符合预设的第二审计规则;
若各个所述用户号之间的相关系数小于或者等于所述第三阈值,则确定所述目标请求不符合所述第二审计规则。
优选地,所述在所述大数据平台中检测所述目标请求是否符合预设的第二审计规则的步骤包括:
在所述大数据平台中获取所述目标请求的每一标识信息在第二预设时长对应的用户号;
若所述第二预设时长对应的用户号属于同一预设号段,且所述同一预设号段对应的用户号数量大于第四阈值,则确定所述目标请求符合预设的第二审计规则;
若所述第二预设时长对应的用户号不属于预设号段,和/或所述同一预设号段对应的用户号数量小于或者等于所述第四阈值,则确定所述目标请求不符合所述第二审计规则。
优选地,所述检测所述目标请求是否符合预设的第一审计规则的步骤之前,还包括:
获取所述目标请求对应的标识信息,并检测所述标识信息是否存在预设的白名单中;
若检测到所述标识信息未存在所述白名单中,则执行所述检测所述目标请求是否符合预设的第一审计规则的步骤。
此外,为实现上述目的,本发明还提供一种拦截规则的更新设备,所述拦截规则的更新设备包括存储器、处理器和存储在所述存储器上并可在所述处理器上运行的拦截规则的更新程序,所述拦截规则的更新程序被所述处理器执行时实现如上所述的拦截规则的更新方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有拦截规则的更新程序,所述拦截规则的更新程序被处理器执行时实现如上所述的拦截规则的更新方法的步骤。
本发明通过当接收到访问数据的访问请求后,将不符合预设拦截规则的访问请求确定为目标请求,并在检测到目标请求符合预设的第一审计规则后,根据目标请求对应的标识信息更新拦截规则,实现了拦截规则的实时自动更新,从而提高拦截规则对恶意访问请求的覆盖率,提高了识别恶意访问请求的准确率。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的结构示意图;
图2是本发明拦截规则的更新方法第一实施例的流程示意图;
图3是本发明拦截规则的更新方法第二实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的结构示意图。
需要说明的是,图1即可为拦截规则的更新设备的硬件运行环境的结构示意图。本发明实施例拦截规则的更新设备可以是PC,便携计算机等终端设备。
如图1所示,该拦截规则的更新设备可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的拦截规则的更新设备结构并不构成对拦截规则的更新设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及拦截规则的更新程序。其中,操作系统是管理和控制拦截规则的更新设备硬件和软件资源的程序,支持拦截规则的更新程序以及其它软件或程序的运行。
在图1所示的拦截规则的更新设备中,用户接口1003用于连接运维终端,与运维终端进行数据通信;网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;而处理器1001可以用于调用存储器1005中存储的拦截规则的更新程序,并执行以下操作:
当接收到访问数据的访问请求后,检测所述访问请求是否符合预设的拦截规则;
将不符合所述拦截规则的所述访问请求确定为目标请求,并检测所述目标请求是否符合预设的第一审计规则;
当检测到所述目标请求符合所述第一审计规则后,根据所述目标请求对应的标识信息更新所述拦截规则。
进一步地,所述检测所述目标请求是否符合预设的第一审计规则的步骤包括:
检测所述目标请求对应的待访问数据是否为预设数据;
若所述待访问数据为所述预设数据,则确定所述目标请求符合预设的第一审计规则;
若所述待访问数据不是所述预设数据,则确定所述目标请求不符合预设的第一审计规则。
进一步地,所述检测所述目标请求是否符合预设的第一审计规则的步骤包括:
获取所述目标请求的每一标识信息在预设周期内对应访问请求的第一请求数量;
若所述第一请求数量大于第一阈值,则确定所述目标请求符合所述第一审计规则;
若所述第一请求数量小于或者等于所述第一阈值,则确定所述目标请求不符合预设的第一审计规则。
进一步地,所述检测所述目标请求是否符合预设的第一审计规则的步骤包括:
获取所述目标请求的每一标识信息在相邻周期内对应访问请求的数量变化率;
若所述数量变化率大于第二阈值,则确定所述目标请求符合所述第一审计规则;
若所述数量变化率小于或者等于所述第二阈值,则确定所述目标请求不符合所述第一审计规则。
进一步地,所述当检测到所述目标请求符合所述第一审计规则后,根据所述目标请求对应的标识信息更新所述拦截规则的步骤之前,处理器1001还可以用于调用存储器1005中存储的基于区块链的拦截规则的更新程序,并执行以下步骤:
将所述目标请求存储至大数据平台,在所述大数据平台中检测所述目标请求是否符合预设的第二审计规则;
所述当检测到所述目标请求符合所述第一审计规则后,根据所述目标请求对应的标识信息更新所述拦截规则的步骤包括:
当检测到所述目标请求符合所述第一审计规则,和/或检测到所述目标请求符合所述第二审计规则后,根据所述目标请求对应的标识信息更新所述拦截规则。
进一步地,所述在所述大数据平台中检测所述目标请求是否符合预设的第二审计规则的步骤包括:
在所述大数据平台中获取所述目标请求的每一标识信息在第一预设时长对应的用户号;
若各个所述用户号之间的相关系数大于第三阈值,则确定所述目标请求符合预设的第二审计规则;
若各个所述用户号之间的相关系数小于或者等于所述第三阈值,则确定所述目标请求不符合所述第二审计规则。
进一步地,所述在所述大数据平台中检测所述目标请求是否符合预设的第二审计规则的步骤包括:
在所述大数据平台中获取所述目标请求的每一标识信息在第二预设时长对应的用户号;
若所述第二预设时长对应的用户号属于同一预设号段,且所述同一预设号段对应的用户号数量大于第四阈值,则确定所述目标请求符合预设的第二审计规则;
若所述第二预设时长对应的用户号不属于预设号段,和/或所述同一预设号段对应的用户号数量小于或者等于所述第四阈值,则确定所述目标请求不符合所述第二审计规则。
进一步地,所述检测所述目标请求是否符合预设的第一审计规则的步骤之前,处理器1001还可以用于调用存储器1005中存储的基于区块链的拦截规则的更新程序,并执行以下步骤:
获取所述目标请求对应的标识信息,并检测所述标识信息是否存在预设的白名单中;
若检测到所述标识信息未存在所述白名单中,则执行所述检测所述目标请求是否符合预设的第一审计规则的步骤。。
基于上述的结构,提出拦截规则的更新方法的各个实施例。
参照图2,图2为本发明拦截规则的更新方法第一实施例的流程示意图。
本发明实施例提供了拦截规则的更新方法的实施例,需要说明的是,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
拦截规则的更新方法应用于服务器中,拦截规则的更新方法的各个实施例中,为了便于描述,省略执行主体进行阐述各个实施例。拦截规则的更新方法包括:
步骤S10,当接收到访问数据的访问请求后,检测所述访问请求是否符合预设的拦截规则。
当服务端接收到客户端发送的访问数据的访问请求后,检测该访问请求是否符合预设的拦截规则。其中,该访问请求可由客户端用户根据需要在客户端中触发,拦截规则为预先设置好的规则。在本实施例中,拦截规则对应着预先设置好的黑名单和/或白名单。黑名单包括但不限于客户端ID(身份标识号)黑名单、客户端IP(Internet Protocol,网络之间互连的协议)地址黑名单和用户ID黑名单;白名单包括但不限于客户端ID白名单、客户端IP地址白名单和用户ID白名单。客户端ID、用户ID和客户端IP地址等为访问请求对应的标识信息。
具体的拦截规则可设置为当访问请求的任一标识信息存在对应的黑名单中时,确定访问请求符合预设的拦截规则,当访问请求所有标识信息都不存在对应的黑名单中,或者所有的标识信息都存在对应的白名单中时,确定访问请求不符合预设的拦截规则。或者设置为当访问请求的任一标识信息存在对应的黑名单中,且任何标识信息都不存在对应的白名单中时,确定访问请求符合预设的拦截规则;当访问请求的任一标识信息存在对应的白名单中时,确定访问请求不符合预设的拦截规则。以上拦截规则的描述只是为了便于了解本实施例的技术方案,并不是对拦截规则的限制。
在本发明实施例中,拦截规则存储在内存型数据库中,如存储在redis中,以便于快速获取拦截规则,提高拦截规则的执行效率,降低获取拦截规则对访问请求的影响度。
步骤S20,将不符合所述拦截规则的所述访问请求确定为目标请求,并检测所述目标请求是否符合预设的第一审计规则。
当检测到访问请求不符合预设的拦截规则时,执行该访问请求,从对应的数据服务器中查询或者获取与访问请求对应的数据等,并将不符合拦截规则的访问请求确定为目标请求,检测目标请求是否符合预设的第一审计规则。可以理解的是,当访问请求不符合拦截规则时,表明该访问请求是正常的访问请求,当访问请求符合拦截规则时,表明该访问请求是恶意的访问请求,并拒绝执行该访问请求。在本实施例中,第一审计规则包括但不限于蜜罐模型、总量模型和增长异常模型。通过在确定访问请求不符合拦截规则时,执行访问请求,且检测目标请求是否符合第一审计规则,保证了执行访问请求的执行效率。
进一步地,检测目标请求是否符合预设的第一审计规则的步骤包括:
步骤a,检测所述目标请求对应的待访问数据是否为预设数据。
步骤b,若所述待访问数据为所述预设数据,则确定所述目标请求符合预设的第一审计规则。
步骤c,若所述待访问数据不是所述预设数据,则确定所述目标请求不符合预设的第一审计规则。
检测目标请求是否符合预设的第一审计规则中蜜罐模型的具体过程可为:确定目标请求所需访问的待访问数据,判断待访问数据是否存在预设数据库中,以检测目标请求对应的待访问数据是否为预设数据库中的预设数据。若确定待访问数据存在预设数据库中,即检测到待访问数据为预设数据库中的预设数据,则确定目标请求符合预设的第一审计规则,即确定目标请求符合蜜罐模型;若确定待访问数据不存在预设数据中,即检测到待访问数据不是预设数据,则确定目标请求不符合预设的第一审计规则,即确定目标请求不符合蜜罐模型。其中,预设数据库中的预设数据为预先伪造的数据,正常访问请求不会访问的数据。
进一步地,检测目标请求是否符合预设的第一审计规则的步骤还包括:
步骤d,获取所述目标请求的每一标识信息在预设周期内对应访问请求的第一请求数量。
检测目标请求是否符合预设的第一审计规则中总量模型的具体过程为:获取目标请求对应的标识信息。其中,该标识信息包括但不限于客户端ID、用户ID、客户端IP地址和服务端IP地址。需要说明的是,客户端ID为发送访问请求对应客户端的ID,能唯一表示客户端的身份信息;用户ID可为用户在客户端中注册账户的注册号码,或者是用户的手机号码等信息,用于识别用户的身份。服务端IP地址为接收访问请求的服务端的IP地址。当服务端接收到访问请求后,会根据该访问请求从数据服务器中查询或者获取对应的数据。标识信息在预设周期内对应访问请求的数量为数据服务器在预设周期内,所接收到访问请求中携带该标识信息的访问请求数量。
当获取到目标请求对应的标识信息后,获取目标请求对应的每一标识信息在预设周期内对应访问请求的请求数据,记为第一请求数据。其中,预设周期对应的时长可设置为1分钟、3分钟或者10分钟等。如获取目标请求对应的客户端IP地址在3分钟内对应访问请求的第一请求数据,即在3分钟内所接收的访问请求中,携带该客户端IP地址的访问请求的请求数据量。如若在3分钟内接收到50个访问请求,其中有30个访问请求携带了该客户端IP地址,则可确定第一请求数据为30。
步骤e,若所述第一请求数量大于第一阈值,则确定所述目标请求符合所述第一审计规则。
步骤f,若所述第一请求数量小于或者等于所述第一阈值,则确定所述目标请求不符合预设的第一审计规则。
当得到第一请求数据后,判断第一请求数量是否大于第一阈值。若确定第一请求数量大于第一阈值,则确定目标请求符合第一审计规则,即目标请求符合总量模型;若确定第一请求数量小于或者等于第一阈值,则确定目标请求不符合预设的第一审计规则,即确定目标请求不符合总量模型。其中,第一阈值可根据具体需要而设置,在本实施例中对第一阈值的数值不做具体限制。需要说明的是,目标请求对应的标识信息不同,对应的第一阈值也可能不同。
进一步地,检测目标请求是否符合预设的第一审计规则中总量模型的具体过程还可为:获取目标请求的每一标识信息在预设周期内对应的用户数量,判断该用户数量是否大于预设用户数量。需要说明的是,在数据服务器中,为每个在数据服务器中存储数据的用户分配有对应的用户号。标识信息在预设周期内对应的用户数量为:该标识信息在预设周期对应访问请求所访问用户号的数量。在访问请求中,携带有对应的用户号。如当用户ID在预设周期对应的访问请求为20个,这20个访问请求对应的用户号数量为12个,则用户ID在预设周期内对应的用户数量为12。当确定用户数量大于预设用户数量时,确定目标请求符合第一审计规则;当确定用户数量小于或者等于预设用户数量时,确定目标请求不符合第一审计规则。
进一步地,检测目标请求是否符合预设的第一审计规则的步骤还包括:
步骤g,获取所述目标请求的每一标识信息在相邻周期内对应访问请求的请求数量变化率。
步骤h,若所述请求数量变化率大于第二阈值,则确定所述目标请求符合所述第一审计规则。
步骤i,若所述请求数量变化率小于或者等于所述第二阈值,则确定所述目标请求不符合所述第一审计规则。
检测目标请求是否符合第一审计规则中增长异常模型的具体过程为:获取目标请求的每一标识信息在相邻周期内对应访问请求的请求数量变化率。具体地,请求数量变化率等于同一标识信息在前一周期内对应访问请求的请求数量减去后一周期内对应访问请求的请求数量的绝对值。如当得到目标请求中用户ID在第一个周期内对应访问请求的请求数量为A,在第二个周期内对应访问请求的请求数量为B,则请求数量变化率=|A-B|。
当得到请求数量变化率后,判断请求数量变化率是否大于第二阈值。若确定请求数量变化率大于第二阈值,则确定目标请求符合第一审计规则,此时目标请求符合增长异常模型;若确定请求数量变化率小于或者等于第二阈值,则确定目标请求不符合第一审计规则。
进一步地,检测目标请求是否符合预设的第一审计规则中增长异常模型的具体过程还可为:获取目标请求的每一标识信息在相邻周期内对应的用户数量变化率,判断用户数量变化率是否大于预设变化率。若用户数量变化率大于预设变化率,则确定目标请求符合第一审计规则;若用户数量变化率小于或者等于预设变化率,则确定目标请求不符合第一审计规则。其中,用户数据变化率的计算过程与计算请求数量变化率的过程原理一致,在此不再详细赘述。
需要说明的是,在检测目标请求是否符合第一审计规则过程中,要检测目标请求是否符合第一审计规则对应的所有模型。
步骤S30,当检测到所述目标请求符合所述第一审计规则后,根据所述目标请求对应的标识信息更新所述拦截规则。
当检测到目标请求符合第一审计规则后,根据目标请求对应的标识信息更新拦截规则。具体地,当确定目标请求符合第一审计规则中的蜜罐模型时,将目标请求对应的标识信息作为拦截因子加入至拦截规则中,以更新拦截规则。如将目标请求对应的标识信息加入到拦截规则的黑名单中。当确定目标请求符合第一审计规则中总量模型和/或增长异常模型时,确定目标请求中符合总量模型和/或增长异常模型对应的标识信息,将符合总量模型和/或增长异常模型的标识信息作为拦截因子加入至拦截规则中,以更新拦截规则。如确定目标请求中的客户端ID为符合总量模型的标识信息,则将该客户端ID加入至拦截规则的黑名单中。
进一步地,可定义当目标请求符合蜜罐模型时,可确定该目标请求对应的客户端IP地址、客户端ID和用户ID为符合蜜罐模型的标识信息。(不考虑服务端IP地址是因为服务端IP地址可接收不同客户端发送的访问请求,如只用一个访问请求来判断服务端IP地址会导致准确率低下)
进一步,为了提高更新拦截规则的准确率,可在只有目标请求的某个标识信息符合第一审计规则中的两个模型时,才将该标识信息作为拦截因子加入至拦截规则中,以更新拦截规则。
本实施例通过当接收到访问数据的访问请求后,将不符合预设拦截规则的访问请求确定为目标请求,并在检测到目标请求符合预设的第一审计规则后,根据目标请求对应的标识信息更新拦截规则,实现了拦截规则的实时自动更新,从而提高拦截规则对恶意访问请求的覆盖率,提高了识别恶意访问请求的准确率。
进一步地,提出本发明拦截规则的更新方法第二实施例。
所述拦截规则的更新方法第二实施例与所述拦截规则的更新方法第一实施例的区别在于,参照图3,拦截规则的更新方法还包括:
步骤S40,将所述目标请求存储至大数据平台,在所述大数据平台中检测所述目标请求是否符合预设的第二审计规则。
当确定访问请求中的目标请求后,将目标请求存储至大数据平台,在大数据平台中检测目标请求是否符合预设的第二审计规则。在大数据平台中,可离线检测目标请求是否符合预设的第二审计规则。如当大数据平台所存储的目标请求的数量大于预设数量后,在大数据平台中检测目标请求是否符合预设的第二审计规则。第二审计规则包括但不限于线性模型、号段聚集模型、总量模型和增长异常模型。总量模型和增长异常模型的具体过程与上述实施例中的总量模型和增长异常模型过程一致,在此不再详细赘述。需要说明的是,大数据平台可存在服务端或者数据服务器中,也可是与服务端或者数据服务器连接单独设备。
进一步地,当大数据平台是与服务端或者数据服务器连接单独设备,也可将目标请求存储至大数据平台,检测大数据平台中所存储的目标请求是否符合检测条件。若大数据平台所存储的目标请求符合检测条件,则从大数据平台中获取目标请求,以检测目标请求是否符合预设的第二审计规则;或者在大数据平台所存储的目标请求符合检测条件时,发送检测指令给大数据平台,以供大数据平台根据检测指令检测其所存储的目标请求是否符合预设的第二审计规则,得到检测结果,并返回检测结果。其中,检测大数据平台中所存储的目标请求是否符合检测条件的过程可为:检测大数据平台存储的目标请求数量是否大于预设数量或者存储时长是否大于预设时间段,当存储的目标请求数量大于预设数量,或者存储时长大于预设时长段时,确定大数据平台存储的目标请求符合检测条件,否则,确定大数据平台存储的目标请求不符合检测条件。存储时长从大数据平台开始存储第一个目标请求时开始计算。
进一步地,在所述大数据平台中检测所述目标请求是否符合预设的第二审计规则的步骤包括:
步骤j,在所述大数据平台中获取所述目标请求的每一标识信息在第一预设时长对应的用户号。
步骤k,若各个所述用户号之间的相关系数大于第三阈值,则确定所述目标请求符合预设的第二审计规则。
步骤l,若各个所述用户号之间的相关系数小于或者等于所述第三阈值,则确定所述目标请求不符合所述第二审计规则。
检测目标请求是否符合预设的第二审计规则中线性模型的具体过程为:在大数据平台中获取目标请求的每一标识信息在第一预设时长内对应的用户号,对各个用户号进行直线拟合,得到各个用户号之间的相关系数,并判断该相关系数是否大于预设的第三阈值。若确定各个用户号之间的相关系数大于第三阈值,则确定目标请求符合线性模型,即目标请求符合预设的第二审计规则;若确定各个用户号之间的相关系数小于或者等于第三阈值,则确定目标请求不符合线性模型,即确定目标请求不符合第二审计规则。其中,第一预设时长和第三阈值可根据具体需要而设置,在本实施例中对第一预设时长和第三阈值对应具体数值不做限制。如某个客户端IP地址在第一预设时长内所对应的目标请求个数为10个,且这10个用户号分别为001,002,003,004,005,006,007,008,009和010,此时这10个用户号的相关系数是极高的,可确定这个10个目标请求符合第二审计规则。
进一步地,在所述大数据平台中检测所述目标请求是否预设的第二审计规则的步骤还包括:
步骤m,在所述大数据平台中获取所述目标请求的每一标识信息在第二预设时长对应的用户号。
步骤n,若所述第二预设时长对应的用户号属于同一预设号段,且所述同一预设号段对应的用户号数量大于第四阈值,则确定所述目标请求符合预设第二审计规则。
步骤o,若所述第二预设时长对应的用户号不属于同一预设号段,和/或所述同一预设号段对应的用户号数量小于或者等于所述第四阈值,则确定所述目标请求不符合所述第二审计规则。
检测目标请求是否符合预设的第二审计规则中号段聚集模型的具体过程为:在大数据平台中获取目标请求的每一标识信息在第二预设时长对应的用户号,判断所获取的用户号是否属于同一预设号段,以及判断同一预设号段对应的用户号数量是否大于第四阈值。若确定第二预设时长对应的用户号属于同一预设号段,且同一预设号段对应的用户号数量大于第四阈值,则确定目标请求符合号段聚集模型,即确定目标请求符合第二审计规则;若确定第二预设时长对应的用户号不属于同一预设号段,和/或同一预设号段内对应的用户号数量小于或者等于第四阈值,则确定目标请求不符合号段聚集模型,即确定目标请求不符合第二审计规则。其中,预设号段为预先将用户号划分成不同的号码段,用户号可用数字或者字母等形式表示,如当用户号用数字表示时,可将每10个用户号码作为一个预设号段,如0000至0010为一个号段,0011至0020为另一个号段,依此类推。
需要说明的是,第四阈值和第二预设时长可根据具体需要而设置,第一阈值、第二阈值、第三阈值和第四阈值可以相等,也可以不相等。第一预设时长、第一预设时长和第二预设时长可以相等,也可以不相等。需要说明的是,在检测目标请求是否符合第二审计规则过程中,要检测目标请求是否符合第二审计规则对应的所有模型。
步骤S30包括:
步骤S31,当检测到所述目标请求符合所述第一审计规则,和/或检测到所述目标请求符合所述第二审计规则后,根据所述目标请求对应的标识信息更新所述拦截规则。
当检测到目标请求符合第一审计规则,和/或检测到目标请求符合第二审计规则后,根据该目标请求对应的标识信息更新拦截规则。需要说明的是,当第一审计规则和第二审计规则中包括多个模型时,只要目标请求符合第一审计规则和第二审计规则对应的其中一个模型时,即可确定目标请求对应符合第一审计规则和第二审计规则。如当第一审计规则包括A、B和C三个模型时,只要目标请求符合A、B和C三个模型其中一个模型,即可确定目标请求符合第一审计规则。
本实施例通过在实时审核目标请求是否符合第一审计规则时,进一步可在线或者离线审计目标请求是否符合第二审计规则,对目标请求进行多层次的分析,提高了更新后拦截规则对恶意请求审计的覆盖率。
进一步地,提出本发明拦截规则的更新方法第三实施例。
所述拦截规则的更新方法第三实施例与所述拦截规则的更新方法第一或第二实施例的区别在于,拦截规则的更新方法还包括:
步骤p,将所述目标请求和与所述目标请求对应的审计内容发送给运维终端。
当检测到目标请求符合第一审计规则后,获取目标请求对应的审计内容,并将目标请求和目标请求对应的审计内容发送给运维终端。当运维终端接收到目标请求和审计内容后,输出该目标请求和审计内容,以提示运维人员根据目标请求和审计内容更新拦截规则和/或执行对应的运维操作等。其中,目标请求对应的审计内容为目标请求所符合的第一审计规则对应的相关内容。如当目标请求符合蜜罐模型时,将目标请求对应的待访问数据,以及目标请求对应的标识信息作为审计内容发送给运维终端。当目标请求符合总量模型时,将目标请求对应的标识信息,以及每一标识信息在预设周期内对应用户数量或者每一标识信息在相邻周期内对应访问请求的请求数量变化率作为审计内容发送给运维终端。进一步地,也可将不符合第一审计规则的目标请求发送给运维终端。
可以理解的是,当检测到目标请求符合第二审计规则后,可执行与目标请求符合第一审计规则相同的操作,但由于目标请求符合第一审计规则后执行的操作已在上述描述中详细说明,因此不再赘述目标请求符合第二审计规则后执行的操作。
本实施例通过当检测到目标请求符合第一审计规则后,将目标请求和与目标请求对应的审计内容发送给运维终端,以使运维人员更新拦截规则和/或执行对应的运维操作等,提高了识别恶意访问请求的准确率。
进一步地,提出本发明拦截规则的更新方法第四实施例。
所述拦截规则的更新方法第四实施例与所述拦截规则的更新方法第一、第二或第三实施例的区别在于,拦截规则的更新方法还包括:
步骤q,获取所述目标请求对应的标识信息,并检测所述标识信息是否存在预设的白名单中。
当确定目标请求后,获取目标请求对应的标识信息,并检测该标识信息是否存在预设的白名单中。需要说明的是,本实施例中的白名单与拦截规则对应的白名单是两份不同的白名单。
若检测到所述标识信息未存在所述白名单中,则执行检测所述目标请求是否符合预设的第一审计规则的步骤。
进一步地,拦截规则的更新方法还包括:
步骤x,若检测到所述标识信息存在预设的白名单中,则禁止执行所述检测所述目标请求是否符合预设的第一审计规则的步骤。
若检测到目标请求的标识信息未存在白名单中,则检测目标请求是否符合预设的第一审计规则;若检测到目标标识存在预设的白名单中,则禁止执行检测目标请求是否符合预设的第一审计规则的步骤,即不检测目标请求是否符合预设的第一审计规则。需要说明的是,只要目标请求的任何一个标识信息存在白名单中,即可确定标识信息存在预设的白名单中。
本实施例通过检测目标请求的标识信息是否存在预设的白名单中,只有当目标请求的标识信息未存在白名单中,才需要执行检测目标请求是否符合预设的第一审计规则,以满足特征业务的特殊需求,提高了检测目标请求是否符合第一审计规则的智能性,从而提高了检测效率。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有拦截规则的更新程序,所述拦截规则的更新程序被处理器执行时实现如上所述的拦截规则的更新方法的步骤。
本发明计算机可读存储介质具体实施方式与上述拦截规则的更新方法各实施例基本相同,在此不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (9)
1.一种拦截规则的更新方法,其特征在于,所述拦截规则的更新方法包括以下步骤:
当接收到访问数据的访问请求后,检测所述访问请求是否符合预设的拦截规则;
将不符合所述拦截规则的所述访问请求确定为目标请求,并检测所述目标请求是否符合预设的第一审计规则;
当检测到所述目标请求符合所述第一审计规则后,根据所述目标请求对应的标识信息更新所述拦截规则;
所述当检测到所述目标请求符合所述第一审计规则后,根据所述目标请求对应的标识信息更新所述拦截规则的步骤之前,还包括:
将所述目标请求存储至大数据平台,在所述大数据平台中检测所述目标请求是否符合预设的第二审计规则;
所述当检测到所述目标请求符合所述第一审计规则后,根据所述目标请求对应的标识信息更新所述拦截规则的步骤包括:
当检测到所述目标请求符合所述第一审计规则,和/或检测到所述目标请求符合所述第二审计规则后,根据所述目标请求对应的标识信息更新所述拦截规则。
2.如权利要求1所述的拦截规则的更新方法,其特征在于,所述检测所述目标请求是否符合预设的第一审计规则的步骤包括:
检测所述目标请求对应的待访问数据是否为预设数据;
若所述待访问数据为所述预设数据,则确定所述目标请求符合预设的第一审计规则;
若所述待访问数据不是所述预设数据,则确定所述目标请求不符合预设的第一审计规则。
3.如权利要求1所述的拦截规则的更新方法,其特征在于,所述检测所述目标请求是否符合预设的第一审计规则的步骤包括:
获取所述目标请求的每一标识信息在预设周期内对应访问请求的第一请求数量;
若所述第一请求数量大于第一阈值,则确定所述目标请求符合所述第一审计规则;
若所述第一请求数量小于或者等于所述第一阈值,则确定所述目标请求不符合预设的第一审计规则。
4.如权利要求1所述的拦截规则的更新方法,其特征在于,所述检测所述目标请求是否符合预设的第一审计规则的步骤包括:
获取所述目标请求的每一标识信息在相邻周期内对应访问请求的数量变化率;
若所述数量变化率大于第二阈值,则确定所述目标请求符合所述第一审计规则;
若所述数量变化率小于或者等于所述第二阈值,则确定所述目标请求不符合所述第一审计规则。
5.如权利要求1所述的拦截规则的更新方法,其特征在于,所述在所述大数据平台中检测所述目标请求是否符合预设的第二审计规则的步骤包括:
在所述大数据平台中获取所述目标请求的每一标识信息在第一预设时长对应的用户号;
若各个所述用户号之间的相关系数大于第三阈值,则确定所述目标请求符合预设的第二审计规则;
若各个所述用户号之间的相关系数小于或者等于所述第三阈值,则确定所述目标请求不符合所述第二审计规则。
6.如权利要求1所述的拦截规则的更新方法,其特征在于,所述在所述大数据平台中检测所述目标请求是否符合预设的第二审计规则的步骤包括:
在所述大数据平台中获取所述目标请求的每一标识信息在第二预设时长对应的用户号;
若所述第二预设时长对应的用户号属于同一预设号段,且所述同一预设号段对应的用户号数量大于第四阈值,则确定所述目标请求符合预设的第二审计规则;
若所述第二预设时长对应的用户号不属于预设号段,和/或所述同一预设号段对应的用户号数量小于或者等于所述第四阈值,则确定所述目标请求不符合所述第二审计规则。
7.如权利要求1至6任一项所述的拦截规则的更新方法,其特征在于,所述检测所述目标请求是否符合预设的第一审计规则的步骤之前,还包括:
获取所述目标请求对应的标识信息,并检测所述标识信息是否存在预设的白名单中;
若检测到所述标识信息未存在所述白名单中,则执行所述检测所述目标请求是否符合预设的第一审计规则的步骤。
8.一种拦截规则的更新设备,其特征在于,所述拦截规则的更新设备包括存储器、处理器和存储在所述存储器上并可在所述处理器上运行的拦截规则的更新程序,所述拦截规则的更新程序被所述处理器执行时实现如权利要求1至7中任一项所述的拦截规则的更新方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有拦截规则的更新程序,所述拦截规则的更新程序被处理器执行时实现如权利要求1至7中任一项所述的拦截规则的更新方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811330445.0A CN109495467B (zh) | 2018-11-07 | 2018-11-07 | 拦截规则的更新方法、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811330445.0A CN109495467B (zh) | 2018-11-07 | 2018-11-07 | 拦截规则的更新方法、设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109495467A CN109495467A (zh) | 2019-03-19 |
| CN109495467B true CN109495467B (zh) | 2020-12-15 |
Family
ID=65694198
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811330445.0A Active CN109495467B (zh) | 2018-11-07 | 2018-11-07 | 拦截规则的更新方法、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109495467B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111131534B (zh) * | 2019-12-04 | 2022-12-02 | 北京奇虎科技有限公司 | 域名规则的处理方法、设备及计算机可读存储介质 |
| CN111010458B (zh) * | 2019-12-04 | 2022-07-01 | 北京奇虎科技有限公司 | 域名规则的生成方法、设备及计算机可读存储介质 |
| CN110995742B (zh) * | 2019-12-17 | 2022-03-29 | 北京网太科技发展有限公司 | 一种基于流量行为的网络路由协议防护方法与系统 |
| CN111107101A (zh) * | 2019-12-30 | 2020-05-05 | 微梦创科网络科技(中国)有限公司 | 一种用于nginx的多维过滤请求的防火墙系统及方法 |
| CN112688922B (zh) * | 2020-12-11 | 2024-07-12 | 深圳前海微众银行股份有限公司 | 数据传输方法、系统、设备及介质 |
| CN113596043B (zh) * | 2021-08-03 | 2023-03-24 | 中国电信股份有限公司 | 攻击检测方法、攻击检测装置、存储介质与电子设备 |
| CN116132534B (zh) * | 2022-07-01 | 2024-03-08 | 马上消费金融股份有限公司 | 业务请求的存储方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104065644A (zh) * | 2014-05-28 | 2014-09-24 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
| CN105306465A (zh) * | 2015-10-30 | 2016-02-03 | 新浪网技术(中国)有限公司 | 网站安全访问实现方法及装置 |
| CN106778260A (zh) * | 2016-12-31 | 2017-05-31 | 网易无尾熊(杭州)科技有限公司 | 攻击检测方法和装置 |
| CN108377241A (zh) * | 2018-02-12 | 2018-08-07 | 平安普惠企业管理有限公司 | 基于访问频率的监测方法、装置、设备和计算机存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180020002A1 (en) * | 2016-07-13 | 2018-01-18 | Frederick J Duca | System and method for filtering internet traffic and optimizing same |
-
2018
- 2018-11-07 CN CN201811330445.0A patent/CN109495467B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104065644A (zh) * | 2014-05-28 | 2014-09-24 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
| CN105306465A (zh) * | 2015-10-30 | 2016-02-03 | 新浪网技术(中国)有限公司 | 网站安全访问实现方法及装置 |
| CN106778260A (zh) * | 2016-12-31 | 2017-05-31 | 网易无尾熊(杭州)科技有限公司 | 攻击检测方法和装置 |
| CN108377241A (zh) * | 2018-02-12 | 2018-08-07 | 平安普惠企业管理有限公司 | 基于访问频率的监测方法、装置、设备和计算机存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109495467A (zh) | 2019-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109495467B (zh) | 拦截规则的更新方法、设备及计算机可读存储介质 | |
| JP7222036B2 (ja) | モデルトレーニングシステムおよび方法および記憶媒体 | |
| CN113347205B (zh) | 一种检测业务访问请求的方法及装置 | |
| US10740411B2 (en) | Determining repeat website users via browser uniqueness tracking | |
| CN110417778B (zh) | 访问请求的处理方法和装置 | |
| CN109688186B (zh) | 数据交互方法、装置、设备及可读存储介质 | |
| CN110225031B (zh) | 动态权限漏洞检测方法、系统、装置及可读存储介质 | |
| CN110430205B (zh) | 单点登录方法、装置、设备及计算机可读存储介质 | |
| CN107305611B (zh) | 恶意账号对应的模型建立方法和装置、恶意账号识别的方法和装置 | |
| US8984151B1 (en) | Content developer abuse detection | |
| CN107528818B (zh) | 媒体文件的数据处理方法和装置 | |
| CN104980421B (zh) | 一种批量请求处理方法及系统 | |
| CN106254528B (zh) | 一种资源下载方法和缓存设备 | |
| CN109547426B (zh) | 业务响应方法及服务器 | |
| CN110033302A (zh) | 恶意账户识别方法及装置 | |
| CN109547427B (zh) | 黑名单用户识别方法、装置、计算机设备及存储介质 | |
| CN111310233A (zh) | 应用界面显示方法、装置、设备以及存储介质 | |
| CN106713242B (zh) | 数据请求的处理方法及处理装置 | |
| CN113158169A (zh) | 一种基于Hadoop集群的验证方法、装置、存储介质及电子设备 | |
| CN109688096B (zh) | Ip地址的识别方法、装置、设备及计算机可读存储介质 | |
| CN111414191A (zh) | 一种小程序的灰度发布方法及装置 | |
| CN106059776A (zh) | 网站登录方法及装置 | |
| CN106817296B (zh) | 信息推荐的测试方法、装置以及电子设备 | |
| CN108804501A (zh) | 一种检测有效信息的方法及装置 | |
| CN110417615B (zh) | 校验开关控制方法、装置、设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |