CN110971575B - 恶意请求的识别方法、装置、电子设备和计算机存储介质 - Google Patents
恶意请求的识别方法、装置、电子设备和计算机存储介质 Download PDFInfo
- Publication number
- CN110971575B CN110971575B CN201811155646.1A CN201811155646A CN110971575B CN 110971575 B CN110971575 B CN 110971575B CN 201811155646 A CN201811155646 A CN 201811155646A CN 110971575 B CN110971575 B CN 110971575B
- Authority
- CN
- China
- Prior art keywords
- request
- malicious
- api
- access request
- api access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明提供了一种恶意请求的识别方法、装置、电子设备和计算机存储介质,包括:获取待识别的API访问请求,并提取API访问请求的请求特征;将请求特征与恶意请求特征库中的恶意请求特征进行匹配,得到匹配结果;在匹配结果为请求特征与恶意请求特征库中的恶意请求特征不匹配的情况下,通过预设参数校验规则对API访问请求的请求参数进行校验;根据校验结果确定API访问请求是否为恶意访问请求。本发明的方法能够及时主动的对新的恶意请求进行识别,也即在恶意请求更换请求源IP后,仍能识别到该恶意请求,缓解了相关技术由于恶意请求更换请求源IP而导致无法识别到该恶意请求的问题。
Description
技术领域
本发明涉及信息技术的技术领域,尤其是涉及一种恶意请求的识别方法、装置、电子设备和计算机存储介质。
背景技术
在目前云计算的微服务架构中,包含有API网关,API服务以及API网关接入平台。API网关为对外开放的API服务的统一出入口,负责所有API服务的公共业务,例如,签名,鉴权,请求转发,返回结果处理,日志统计等。API服务为一类具有具体功能的API集合,通过接入API网关,对外开放,供客户使用。API网关接入平台负责管理API网关接入的API服务。
相关技术中对恶意请求进行识别的方法中,先获取API网关的请求日志,然后对请求日志进行离线分析和汇总,进而确定得到恶意请求的请求特征以及请求源IP。比如,在某一时间维度内,请求日志中显示同一请求的请求量相较于历史请求量是激增的,那么可以确定其为异常的请求量,并得到对应的恶意请求。进而将恶意请求的请求源IP加入黑名单,当黑名单中所包含的某一请求源IP再次发起访问请求时,确定其为恶意请求,并对其进行封禁。但是,当某一恶意请求的请求源IP更换后,该恶意请求的请求源IP不再与黑名单中的请求源IP匹配,因而可能无法识别到该请求为恶意请求,进而导致封禁失败。
综上,针对相关技术中由于恶意请求更换请求源IP而导致无法识别到该恶意请求的问题,目前尚未提出有效的解决方案。
发明内容
有鉴于此,本发明的目的在于提供一种恶意请求的识别方法、装置、电子设备和计算机存储介质,以在恶意请求更换请求源IP后,仍能识别到该恶意请求。
第一方面,本发明实施例提供了一种恶意请求的识别方法,包括:
获取待识别的API访问请求,并提取所述API访问请求的请求特征;
将所述请求特征与恶意请求特征库中的恶意请求特征进行匹配,得到匹配结果;
在所述匹配结果为所述请求特征与所述恶意请求特征库中的恶意请求特征不匹配的情况下,通过预设参数校验规则对所述API访问请求的请求参数进行校验,得到校验结果;
根据所述校验结果确定所述API访问请求是否为恶意访问请求。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,根据所述校验结果确定所述API访问请求是否为恶意访问请求包括:
在所述校验结果为校验失败且所述API访问请求的请求次数达到预设阈值的情况下,确定所述API访问请求为恶意访问请求。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,根据所述校验结果确定所述API访问请求是否为恶意访问请求还包括:
在所述校验结果为校验通过且接收到API服务发送的错误码的情况下,将所述错误码与预设错误码进行比较;
在比较结果为一致的情况下,确定所述API访问请求为恶意访问请求。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,所述方法还包括:
在所述匹配结果为所述请求特征与所述恶意请求特征库中的恶意请求特征匹配的情况下,确定所述API访问请求为恶意访问请求;
根据预设访问频度对所述API访问请求进行请求次数限制,并更新所述API访问请求的访问频度数据。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,所述请求特征包括以下至少之一:所述API访问请求的请求源IP,所述API访问请求所携带的标头,所述API访问请求所携带的API名称,所述请求参数;
所述恶意请求特征包括以下至少之一:恶意请求的请求源IP,所述恶意请求所携带的标头,所述恶意请求所携带的API名称,所述恶意请求的请求参数。
结合第一方面,本发明实施例提供了第一方面的第五种可能的实施方式,其中,通过预设参数校验规则对所述API访问请求的请求参数进行校验包括:
判断所述请求参数是否符合所述预设参数校验规则;其中,在符合的情况下,确定校验结果为校验通过;在不符合的情况下,确定校验结果为校验失败。
结合第一方面,本发明实施例提供了第一方面的第六种可能的实施方式,其中,在确定所述API访问请求为恶意访问请求之后,所述方法还包括:
将所述恶意访问请求所对应的API访问请求的请求特征存储至所述恶意请求特征库。
第二方面,本发明实施例还提供了一种恶意请求的识别装置,包括:
获取模块,用于获取待识别的API访问请求,并提取所述API访问请求的请求特征;
匹配模块,用于将所述请求特征与恶意请求特征库中的恶意请求特征进行匹配,得到匹配结果;
校验模块,用于在所述匹配结果为所述请求特征与所述恶意请求特征库中的恶意请求特征不匹配的情况下,通过预设参数校验规则对所述API访问请求的请求参数进行校验,得到校验结果;
第一确定模块,用于根据所述校验结果确定所述API访问请求是否为恶意访问请求。
第三方面,本发明实施例提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面中所述的方法。
第四方面,本发明实施例提供了一种计算机存储介质,其上存储有计算机程序,所述计算机运行所述计算机程序时执行上述第一方面中所述的方法的步骤。
本发明实施例带来了以下有益效果:
本发明实施例提供的恶意请求的识别方法中,首先获取待识别的API访问请求,并提取API访问请求的请求特征,然后,将请求特征与恶意请求特征库中的恶意请求特征进行匹配,得到匹配结果;在匹配结果为请求特征与恶意请求特征库中的恶意请求特征不匹配的情况下,通过预设参数校验规则对API访问请求的请求参数进行校验,得到校验结果;根据校验结果确定API访问请求是否为恶意访问请求。通过上述描述可知,当某一恶意请求的请求特征(比如请求源IP)改变后,若不能通过与恶意请求特征库匹配的方式识别到该恶意请求,可进一步通过请求参数校验的方式识别,也就是本发明的方法能够及时主动的对新的恶意请求进行识别,也即在恶意请求更换请求源IP后,仍能识别到该恶意请求,缓解了相关技术由于恶意请求更换请求源IP而导致无法识别到该恶意请求的问题。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种恶意请求的识别方法的流程图;
图2为本发明实施例提供的另一种恶意请求的识别方法的流程图;
图3为本发明实施例提供的优选地恶意请求的识别方法的流程图;
图4为本发明实施例提供的一种恶意请求的识别装置的功能模块图;
图5为本发明实施例提供的一种电子设备的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
相关技术在对恶意请求进行识别的过程中,只能基于历史的黑名单信息对其进行识别,当某一恶意请求的请求源IP更换后,该恶意请求的请求源IP不再与黑名单中的请求源IP匹配,因而可能无法识别到该请求为恶意请求。
基于此,本发明实施例提供了一种恶意请求的识别方法、装置、电子设备和计算机存储介质,能够及时主动的对新的恶意请求进行识别,进而对其进行访问次数限制,下面进行具体描述。
实施例一:
根据本发明实施例,提供了一种恶意请求的识别方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种恶意请求的识别方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,获取待识别的API访问请求,并提取API访问请求的请求特征;
在本发明实施例中,该恶意请求的识别方法可应用于API网关。在实际应用时,API服务与API网关先建立连接,然后,将API网关接入API网关接入平台;业务线在API网关接入平台上进行信息的配置,在配置完成之后,进行发布,API网关接入平台将上述配置的信息发送到API网关的缓存中。配置的信息至少包括:配置在出现恶意请求时API服务返回的预设错误码,配置允许恶意请求访问API网关的预设访问频度,配置预设参数校验规则。
具体的,预设访问频度是指在单位时间维度内所允许同一恶意访问请求进行访问的次数,这里的单位时间可根据具体情况而设定,可以是小时维度,也可以是天的维度,本发明实施例对其不进行具体限制,这里的预设访问频度是针对同一恶意访问请求的访问频度,而在进行是否为同一恶意访问请求的判定时,如果这次恶意访问请求所对应的API访问请求的请求特征中存在一些请求特征与上一次恶意访问请求所对应的API访问请求的请求特征相匹配,那么确定两次的恶意访问请求为同一恶意访问请求(即这次API访问请求与上一次API访问请求为同一API访问请求),否则不是同一恶意访问请求,对于API访问请求的请求特征中存在多少请求特征与上一次恶意访问请求所对应的API访问请求的请求特征相匹配,可以认为两次的恶意访问请求为同一恶意访问请求,可以根据实际情况进行预先设置,比如可以设置存在至少3个请求特征与上一次恶意访问请求所对应的API访问请求的请求特征相匹配,可以认为是两次的恶意访问请求为同一恶意访问请求,但并不限于此;预设参数校验规则可以包括:请求参数的数据类型,请求参数的格式,比如,可以配置请求参数的数据类型为整型,请求参数的格式为数字0-9,本发明实施例对预设参数校验规则不进行具体限制。
另外,待识别的API访问请求是用户自身的服务端通过IDK调用API服务所产生的。而API访问请求的请求特征可以包括以下至少之一:API访问请求的请求源IP,API访问请求所携带的标头(即http header),API访问请求所携带的API名称,API访问请求的请求参数。当然,API访问请求的请求参数也可以不包括在API访问请求的请求特征中,本发明实施例对其不进行具体限制。
步骤S104,将请求特征与恶意请求特征库中的恶意请求特征进行匹配,得到匹配结果;
在得到API访问请求的请求特征后,进一步将请求特征与恶意请求特征库中的恶意请求特征进行匹配,得到匹配结果。下文中再对该过程进行详细描述。
需要说明的是,在本发明实施例中,恶意请求特征库是实时更新的,当后续过程中识别到恶意访问请求后,会将该恶意访问请求的请求特征存入恶意请求特征库,实时更新的恶意请求特征库在一定程度上能够及时对恶意访问请求进行识别。
步骤S106,在匹配结果为请求特征与恶意请求特征库中的恶意请求特征不匹配的情况下,通过预设参数校验规则对API访问请求的请求参数进行校验,得到校验结果;
如果与恶意请求特征库中的恶意请求特征进行匹配后,确定请求特征与恶意请求特征库中的恶意请求特征不匹配,那么进一步通过预设参数校验规则对API访问请求的请求参数进行校验,下文中再对校验的过程进行详细描述。
步骤S108,根据校验结果确定API访问请求是否为恶意访问请求。
在本发明实施例中,恶意访问请求即为恶意请求。下文中再对该过程进行具体说明,在此不再赘述。
本发明实施例提供的恶意请求的识别方法中,首先获取待识别的API访问请求,并提取API访问请求的请求特征,然后,将请求特征与恶意请求特征库中的恶意请求特征进行匹配,得到匹配结果;在匹配结果为请求特征与恶意请求特征库中的恶意请求特征不匹配的情况下,通过预设参数校验规则对API访问请求的请求参数进行校验,得到校验结果;根据校验结果确定API访问请求是否为恶意访问请求。通过上述描述可知,当某一恶意请求的请求特征(比如请求源IP)改变后,若不能通过与恶意请求特征库匹配的方式识别到该恶意请求,可进一步通过请求参数校验的方式识别,也就是本发明的方法能够及时主动的对新的恶意请求进行识别,也即在恶意请求更换请求源IP后,仍能识别到该恶意请求,缓解了相关技术由于恶意请求更换请求源IP而导致无法识别到该恶意请求的问题。
上述内容对本发明的恶意请求的识别方法进行了简要介绍,下面对该方法进行详细描述。
在本发明的一个可选实施例中,参考图2,该方法还包括:
步骤S1071,在匹配结果为请求特征与恶意请求特征库中的恶意请求特征匹配的情况下,确定API访问请求为恶意访问请求;
在本发明实施例中,请求特征包括以下至少之一:API访问请求的请求源IP,API访问请求所携带的标头,API访问请求所携带的API名称,请求参数;
恶意请求特征包括以下至少之一:恶意请求的请求源IP,恶意请求所携带的标头,恶意请求所携带的API名称,恶意请求的请求参数。
匹配时,如果请求特征中存在至少三项请求特征与恶意请求特征中相对应的三项恶意请求特征匹配,即表明请求特征与恶意请求特征库中的恶意请求特征匹配,进而确定API访问请求为恶意访问请求。本发明对上述数量不进行具体限制,可根据实际情况进行预先设置。
步骤S1072,根据预设访问频度对API访问请求进行请求次数限制,并更新API访问请求的访问频度数据。
如果确定得到API访问请求是恶意访问请求,则根据预设访问频度对API访问请求进行请求次数限制,并更新API访问请求的访问频度数据。
具体的,如果预设访问频度为一天时间内访问次数最多为100次,如果API网关接收到第一次API访问请求后,通过与恶意请求特征库相匹配的方式确定得到其为恶意访问请求,那么其访问频度数据更新为99次;当API网关第二次接收到与第一次API访问请求相同的API访问请求时,那么其访问频度数据更新为98次,依次类推,按照此方式更新API访问请求的访问频度数据。
另外,需要说明的是,当前99次访问时,确定其为恶意访问请求后,向用户返回访问失败的错误码,当第100次访问时,向用户返回恶意访问请求的错误码,并且返回访问次数达到最大限制的指示信息。
下面对请求参数校验的过程进行详细介绍。
在本发明的一个可选实施例中,通过预设参数校验规则对API访问请求的请求参数进行校验包括:判断请求参数是否符合预设参数校验规则;其中,在符合的情况下,确定校验结果为校验通过;在不符合的情况下,确定校验结果为校验失败。
需要说明的是,以预设参数校验规则为数据类型为例,判断请求参数是否符合预设参数校验规则可以表现为:判断请求参数的数据类型与预设的数据类型是否相同;其中,在相同的情况下,认为是符合预设参数校验规则;在不相同的情况下,认为是不符合预设参数校验规则;但并不限于此。
下面对根据校验结果确定API访问请求是否为恶意访问请求的过程进行详细介绍。
在本发明的一个可选实施例中,参考图3,根据校验结果确定API访问请求是否为恶意访问请求包括:
步骤S1081,在校验结果为校验失败且API访问请求的请求次数达到预设阈值的情况下,确定API访问请求为恶意访问请求;
具体的,在对API访问请求的请求次数是否达到预设阈值进行判定时,如果两次API访问请求的请求特征中存在至少三项请求特征相匹配,则确定前后两次API访问请求为同一API访问请求(本发明实施例对上述数量不进行具体限制),其对应的访问次数(即请求次数)加1,如果访问次数达到预设阈值后,就确定API访问请求为恶意访问请求,对该API访问请求进行封禁,还要将其对应的请求特征存入恶意请求特征库。
需要说明的是,在校验失败且没有达到API访问请求的预设阈值的情况下,直接向业务线返回校验错误,或者报告错误。
需要说明的是,上述预设阈值可以为单位时间内的请求次数的阈值;单位时间可以是秒,分,时等,但并不限于此。
步骤S1082,在校验结果为校验通过且接收到API服务发送的错误码的情况下,将错误码与预设错误码进行比较;
具体的,如果校验通过,进一步将API访问请求转发至对应的API服务,以使API服务根据API访问请求返回数据。
如果API服务返回的数据为与API访问请求相对应的数据,那么业务线获取到该相对应的数据并进行使用;
如果API服务返回的数据为错误码,则将错误码与预设错误码进行比较。
步骤S1083,在比较结果为一致的情况下,确定API访问请求为恶意访问请求。
上述内容对恶意请求的识别方法进行了详细介绍,在确定API访问请求为恶意访问请求之后,该方法还包括:
将恶意访问请求所对应的API访问请求的请求特征存储至恶意请求特征库。
本发明能够通过参数校验和下游API服务返回错误码的方式主动阻止新的恶意流量,不论恶意请求如何变换其请求特征,都能及时主动的对其进行识别,解决了恶意请求频繁更换请求源IP,导致封禁失败的技术问题,同时,避免了下游API服务受到影响。
需要说明的是,上述方法的执行主体可以是API网关,但并不限于此。
实施例二:
本发明实施例还提供了一种恶意请求的识别装置,该恶意请求的识别装置主要用于执行本发明实施例上述内容所提供的恶意请求的识别方法,以下对本发明实施例提供的恶意请求的识别装置做具体介绍。
图4是根据本发明实施例的一种恶意请求的识别装置的示意图,如图4所示,该恶意请求的识别装置主要包括获取模块20,匹配模块21,校验模块22,第一确定模块23,其中:
获取模块,用于获取待识别的API访问请求,并提取API访问请求的请求特征;
匹配模块,用于将请求特征与恶意请求特征库中的恶意请求特征进行匹配,得到匹配结果;
校验模块,用于在匹配结果为请求特征与恶意请求特征库中的恶意请求特征不匹配的情况下,通过预设参数校验规则对API访问请求的请求参数进行校验,得到校验结果;
第一确定模块,用于根据校验结果确定API访问请求是否为恶意访问请求。
本发明实施例提供的恶意请求的识别装置中,首先获取待识别的API访问请求,并提取API访问请求的请求特征,然后,将请求特征与恶意请求特征库中的恶意请求特征进行匹配,得到匹配结果;在匹配结果为请求特征与恶意请求特征库中的恶意请求特征不匹配的情况下,通过预设参数校验规则对API访问请求的请求参数进行校验,得到校验结果;根据校验结果确定API访问请求是否为恶意访问请求。通过上述描述可知,当某一恶意请求的请求特征(比如请求源IP)改变后,若不能通过与恶意请求特征库匹配的方式识别到该恶意请求,可进一步通过请求参数校验的方式识别,也就是本发明的装置能够及时主动的对新的恶意请求进行识别,也即在恶意请求更换请求源IP后,仍能识别到该恶意请求,缓解了相关技术由于恶意请求更换请求源IP而导致无法识别到该恶意请求的问题。
可选地,第一确定模块包括:
第一确定单元,用于在校验结果为校验失败且API访问请求的请求次数达到预设阈值的情况下,确定API访问请求为恶意访问请求。
可选地,第一确定模块还包括:
比较单元,用于在校验结果为校验通过且接收到API服务发送的错误码的情况下,将错误码与预设错误码进行比较;
第二确定单元,用于在比较结果为一致的情况下,确定API访问请求为恶意访问请求。
可选地,该装置还包括:
第二确定模块,用于在匹配结果为请求特征与恶意请求特征库中的恶意请求特征匹配的情况下,确定API访问请求为恶意访问请求;
请求次数限制模块,用于根据预设访问频度对API访问请求进行请求次数限制,并更新API访问请求的访问频度数据。
可选地,请求特征包括以下至少之一:API访问请求的请求源IP,API访问请求所携带的标头,API访问请求所携带的API名称,请求参数;
恶意请求特征包括以下至少之一:恶意请求的请求源IP,恶意请求所携带的标头,恶意请求所携带的API名称,恶意请求的请求参数。
可选地,校验模块还用于:
判断请求参数是否符合预设参数校验规则;其中,在符合的情况下,确定校验结果为校验通过;在不符合的情况下,确定校验结果为校验失败。
可选地,该装置还包括:
存储模块,用于将恶意访问请求所对应的API访问请求的请求特征存储至恶意请求特征库。
本发明实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
需要说明的是,上述装置可以位于上述API网关中,但并不限于此。
实施例三:
本发明实施例提供了一种电子设备,参考图5,该电子设备包括:处理器30,存储器31,总线32和通信接口33,处理器30、通信接口33和存储器31通过总线32连接;处理器30用于执行存储器31中存储的可执行模块,例如计算机程序。处理器执行极端及程序时实现如方法实施例中描述的方法的步骤。
其中,存储器31可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口33(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线32可以是ISA总线、PCI总线或EISA总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器31用于存储程序,处理器30在接收到执行指令后,执行程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器30中,或者由处理器30实现。
处理器30可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器30中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器30可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器31,处理器30读取存储器31中的信息,结合其硬件完成上述方法的步骤。
在本发明的另一个实施例中,还提供了一种计算机存储介质,其上存储有计算机程序,计算机运行计算机程序时执行上述方法实施例的方法的步骤。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (7)
1.一种恶意请求的识别方法,其特征在于,应用于API网关,包括:
获取待识别的API访问请求,并提取所述API访问请求的请求特征;
将所述请求特征与恶意请求特征库中的恶意请求特征进行匹配,得到匹配结果;
在所述匹配结果为所述请求特征与所述恶意请求特征库中的恶意请求特征不匹配的情况下,通过预设参数校验规则对所述API访问请求的请求参数进行校验,得到校验结果,所述预设参数校验规则包括:请求参数的数据类型、请求参数的格式;
根据所述校验结果确定所述API访问请求是否为恶意访问请求;
其中,根据所述校验结果确定所述API访问请求是否为恶意访问请求包括:
在所述校验结果为校验失败且所述API访问请求的请求次数达到预设阈值的情况下,确定所述API访问请求为恶意访问请求;
在所述校验结果为校验通过且接收到API服务发送的错误码的情况下,将所述错误码与预设错误码进行比较,其中,所述错误码为将所述API访问请求转发至对应的API服务,所述API服务根据所述API访问请求返回的;
在比较结果为一致的情况下,确定所述API访问请求为恶意访问请求;
所述方法还包括:将所述恶意访问请求所对应的API访问请求的请求特征存储至所述恶意请求特征库。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述匹配结果为所述请求特征与所述恶意请求特征库中的恶意请求特征匹配的情况下,确定所述API访问请求为恶意访问请求;
根据预设访问频度对所述API访问请求进行请求次数限制,并更新所述API访问请求的访问频度数据。
3.根据权利要求1所述的方法,其特征在于,所述请求特征包括以下至少之一:所述API访问请求的请求源IP,所述API访问请求所携带的标头,所述API访问请求所携带的API名称,所述请求参数;
所述恶意请求特征包括以下至少之一:恶意请求的请求源IP,所述恶意请求所携带的标头,所述恶意请求所携带的API名称,所述恶意请求的请求参数。
4.根据权利要求1所述的方法,其特征在于,通过预设参数校验规则对所述API访问请求的请求参数进行校验包括:
判断所述请求参数是否符合所述预设参数校验规则;其中,在符合的情况下,确定校验结果为校验通过;在不符合的情况下,确定校验结果为校验失败。
5.一种恶意请求的识别装置,其特征在于,应用于API网关,包括:
获取模块,用于获取待识别的API访问请求,并提取所述API访问请求的请求特征;
匹配模块,用于将所述请求特征与恶意请求特征库中的恶意请求特征进行匹配,得到匹配结果;
校验模块,用于在所述匹配结果为所述请求特征与所述恶意请求特征库中的恶意请求特征不匹配的情况下,通过预设参数校验规则对所述API访问请求的请求参数进行校验,得到校验结果,所述预设参数校验规则包括:请求参数的数据类型、请求参数的格式;
第一确定模块,用于根据所述校验结果确定所述API访问请求是否为恶意访问请求;
其中,所述第一确定模块还用于:在所述校验结果为校验失败且所述API访问请求的请求次数达到预设阈值的情况下,确定所述API访问请求为恶意访问请求;在所述校验结果为校验通过且接收到API服务发送的错误码的情况下,将所述错误码与预设错误码进行比较,其中,所述错误码为将所述API访问请求转发至对应的API服务,所述API服务根据所述API访问请求返回的;在比较结果为一致的情况下,确定所述API访问请求为恶意访问请求;
所述装置还包括:存储模块,用于将所述恶意访问请求所对应的API访问请求的请求特征存储至所述恶意请求特征库。
6.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至4中任一项所述的方法。
7.一种计算机存储介质,其特征在于,其上存储有计算机程序,计算机运行所述计算机程序时执行上述权利要求1至4中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811155646.1A CN110971575B (zh) | 2018-09-29 | 2018-09-29 | 恶意请求的识别方法、装置、电子设备和计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811155646.1A CN110971575B (zh) | 2018-09-29 | 2018-09-29 | 恶意请求的识别方法、装置、电子设备和计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110971575A CN110971575A (zh) | 2020-04-07 |
| CN110971575B true CN110971575B (zh) | 2023-04-18 |
Family
ID=70028687
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811155646.1A Active CN110971575B (zh) | 2018-09-29 | 2018-09-29 | 恶意请求的识别方法、装置、电子设备和计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110971575B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114598552A (zh) * | 2022-03-29 | 2022-06-07 | 邹瀴 | 接口访问控制方法、装置、电子设备和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106464736A (zh) * | 2014-10-30 | 2017-02-22 | 环球互连及数据中心公司 | 用于基于云的服务交换的实时配置和管理的互连平台 |
| CN108234653A (zh) * | 2018-01-03 | 2018-06-29 | 马上消费金融股份有限公司 | 一种处理业务请求的方法及装置 |
| CN108259432A (zh) * | 2016-12-29 | 2018-07-06 | 亿阳安全技术有限公司 | 一种api调用的管理方法、设备及系统 |
| CN108388794A (zh) * | 2018-02-01 | 2018-08-10 | 金蝶软件(中国)有限公司 | 页面数据保护方法、装置、计算机设备和存储介质 |
| CN108512784A (zh) * | 2018-06-21 | 2018-09-07 | 珠海宏桥高科技有限公司 | 基于网关路由转发的鉴权认证方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103379090B (zh) * | 2012-04-12 | 2018-10-30 | 腾讯科技(北京)有限公司 | 一种开放平台访问的频率控制方法和系统、频率服务器 |
| CN102982284B (zh) * | 2012-11-30 | 2016-04-20 | 北京奇虎科技有限公司 | 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统 |
| CN103034808B (zh) * | 2012-11-30 | 2015-10-14 | 北京奇虎科技有限公司 | 扫描方法、设备和系统以及云端管理方法和设备 |
| US9619649B1 (en) * | 2015-03-13 | 2017-04-11 | Symantec Corporation | Systems and methods for detecting potentially malicious applications |
| CN106302531B (zh) * | 2016-09-30 | 2021-04-27 | 北京金山安全软件有限公司 | 安全防护方法、装置及终端设备 |
-
2018
- 2018-09-29 CN CN201811155646.1A patent/CN110971575B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106464736A (zh) * | 2014-10-30 | 2017-02-22 | 环球互连及数据中心公司 | 用于基于云的服务交换的实时配置和管理的互连平台 |
| CN108259432A (zh) * | 2016-12-29 | 2018-07-06 | 亿阳安全技术有限公司 | 一种api调用的管理方法、设备及系统 |
| CN108234653A (zh) * | 2018-01-03 | 2018-06-29 | 马上消费金融股份有限公司 | 一种处理业务请求的方法及装置 |
| CN108388794A (zh) * | 2018-02-01 | 2018-08-10 | 金蝶软件(中国)有限公司 | 页面数据保护方法、装置、计算机设备和存储介质 |
| CN108512784A (zh) * | 2018-06-21 | 2018-09-07 | 珠海宏桥高科技有限公司 | 基于网关路由转发的鉴权认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110971575A (zh) | 2020-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110535727B (zh) | 资产识别方法和装置 | |
| US11750606B2 (en) | System and method of filtering internet traffic via a client fingerprint | |
| CN110213227B (zh) | 一种网络数据流检测方法及装置 | |
| CN110708315A (zh) | 资产漏洞的识别方法、装置和系统 | |
| CN109802941A (zh) | 一种登录验证方法、装置、存储介质和服务器 | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| US10257222B2 (en) | Cloud checking and killing method, device and system for combating anti-antivirus test | |
| CN107294982A (zh) | 网页后门检测方法、装置及计算机可读存储介质 | |
| CN109039987A (zh) | 一种用户账户登录方法、装置、电子设备和存储介质 | |
| CN109684878B (zh) | 一种基于区块链技术隐私信息防篡改方法及系统 | |
| CN110134653B (zh) | 一种利用日志辅助数据库审计方法及系统 | |
| CN114826946B (zh) | 未授权访问接口的检测方法、装置、设备及存储介质 | |
| CN111030887B (zh) | web服务器发现方法、装置和电子设备 | |
| CN106713242B (zh) | 数据请求的处理方法及处理装置 | |
| CN110971575B (zh) | 恶意请求的识别方法、装置、电子设备和计算机存储介质 | |
| CN111131166B (zh) | 一种用户行为预判方法及相关设备 | |
| CN112769739B (zh) | 数据库操作违规处理方法、装置及设备 | |
| CN109756479B (zh) | 浏览器中伪造请求检测方法及装置 | |
| CN111353138A (zh) | 一种异常用户识别的方法、装置、电子设备及存储介质 | |
| CN114499942A (zh) | 一种数据访问方法及装置、电子设备 | |
| CN109302381B (zh) | Radius属性扩展方法、装置、电子设备和计算机可读介质 | |
| CN111949363A (zh) | 业务访问的管理方法、计算机设备、存储介质及系统 | |
| US20230261948A1 (en) | Device Identification Method, Apparatus, and System | |
| CN114143088B (zh) | 网络故障诊断方法、装置、设备及计算机可读存储介质 | |
| CN115622733A (zh) | 一种基于拦截组件的处理方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |