CN112866285A - 网关拦截方法、装置、电子设备及存储介质 - Google Patents

网关拦截方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN112866285A
CN112866285A CN202110207167.5A CN202110207167A CN112866285A CN 112866285 A CN112866285 A CN 112866285A CN 202110207167 A CN202110207167 A CN 202110207167A CN 112866285 A CN112866285 A CN 112866285A
Authority
CN
China
Prior art keywords
request
verification
original service
time interval
timestamp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110207167.5A
Other languages
English (en)
Other versions
CN112866285B (zh
Inventor
张山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
OneConnect Financial Technology Co Ltd Shanghai
Original Assignee
OneConnect Financial Technology Co Ltd Shanghai
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by OneConnect Financial Technology Co Ltd Shanghai filed Critical OneConnect Financial Technology Co Ltd Shanghai
Priority to CN202110207167.5A priority Critical patent/CN112866285B/zh
Publication of CN112866285A publication Critical patent/CN112866285A/zh
Priority to PCT/CN2021/123887 priority patent/WO2022179120A1/zh
Application granted granted Critical
Publication of CN112866285B publication Critical patent/CN112866285B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及安全防护技术,揭露了一种网关拦截方法,包括:获取原始业务请求,利用预设的网关对所述原始业务请求进行解析,得到请求IP,对所述请求IP进行合法性验证,若判断所述请求IP合法,则根据所述请求IP获取对应原始业务请求的时间戳,并对所述请求IP进行访问验证,若所述请求IP的访问验证成功,则利用所述时间戳计算请求时间间隔,并对所述请求IP进行时间间隔验证,若所述请求IP时间间隔验证通过,则对所述原始业务请求进行放行。此外,本发明还涉及区块链技术,所述原始业务请求可从区块链的节点中获取。本发明还提出一种网关拦截装置、电子设备以及计算机可读存储介质。本发明可以解决对恶意IP的识别准确率较低的问题。

Description

网关拦截方法、装置、电子设备及存储介质
技术领域
本发明涉及安全防护技术领域,尤其涉及一种网关拦截方法、装置、电子设备及计算机可读存储介质。
背景技术
在当前互联网高速发展的今天,网关已经成为各家公司、各个项目不可或缺的模块,网关在同一请求认证、同一请求分发、统一过滤方面取得了飞速的发展,当前网关的过滤功能指的都是URL(网址)的过滤,目前并没有一个可靠的方式来保护我们的服务器免受恶意IP的攻击,业界常用的是通过添加黑名单机制来解决恶意IP攻击,但黑名单机制是基于已被攻击的情况进行的设定,防护较为被动,而恶意IP一波攻击就可能导致我们的服务器宕机,同时黑名单机制无法进行实时的更新,导致对恶意IP的识别准确率较低。
发明内容
本发明提供一种网关拦截方法、装置及计算机可读存储介质,其主要目的在于解决恶意IP的识别准确率较低的问题。
为实现上述目的,本发明提供的一种网关拦截方法,包括:
获取原始业务请求,利用预设的网关对所述原始业务请求进行解析,得到请求IP;
对所述请求IP进行合法性验证,若判断所述请求IP非法,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP;
若判断所述请求IP合法,则根据所述请求IP获取对应原始业务请求的时间戳,并根据所述时间戳对所述请求IP进行访问验证,若对所述请求IP的访问验证失败,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP;
若对所述请求IP的访问验证成功,则利用所述时间戳计算请求时间间隔,并根据所述请求时间间隔对所述请求IP进行时间间隔验证;
若对所述请求IP的时间间隔验证不通过,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP,若对所述请求IP的时间间隔验证通过,则对所述原始业务请求进行放行。
可选地,所述利用预设的网关对所述原始业务请求进行解析,得到请求IP,包括:
利用所述网关解析出所述原始业务请求的定位符;
对所述定位符进行域名解析,得到所述请求IP。
可选地,所述对所述请求IP进行合法性验证,包括:
利用所述请求IP查找预设的黑名单;
若所述请求IP能在预设的黑名单中找到,则将所述请求IP判断为非法;
若所述请求IP不能在预设的黑名单中找到,则将所述请求IP判断为合法。
可选地,所述根据所述请求IP获取对应原始业务请求的时间戳,并根据所述时间戳对所述请求IP进行访问验证,包括:
根据预设的函数获取对应原始业务请求的时间戳;
判断所述请求IP是否为第一次访问;
若所述请求IP是第一次访问,则判断所述请求IP访问验证成功,并记录所述时间戳及请求IP;
若所述请求IP不是第一次访问,则查询所述请求IP历史访问的时间戳,并判断所述历史访问的时间戳相同次数是否达到预设的阈值;
若所述历史访问的时间戳相同次数大于等于所述预设的阈值,则判断所述请求IP的访问验证失败;
若所述历史访问的时间戳相同次数小于所述预设的阈值,则判断所述请求IP的访问验证成功。
可选地,所述利用所述时间戳计算请求时间间隔,并根据所述请求时间间隔对所述请求IP进行时间间隔验证,包括:
获取每次原始业务请求的时间戳,计算所述时间戳之间的请求时间间隔,并对所述请求时间间隔进行线性回归,得到线性回归方程;
利用所述时间戳及所述线性回归方程计算最小平方误差;
若所述最小平方误差小于等于预设的误差阈值,则所述时间戳判断为线性,利用预设的验证方法对相应的请求IP进行验证;
若所述请求IP通过验证,则所述请求IP的时间间隔判断成功;
若所述请求IP未通过验证,则所述请求IP的时间间隔判断失败;
若所述最小平方误差大于预设的误差阈值,则所述时间戳判断为非线性,则所述请求IP的时间间隔验证通过。
可选地,所述最小平方误差利用下述公式进行计算:
Figure BDA0002951016980000031
其中,所述xk为第k个时间戳,x′k为所述时间戳到所述线性回归方程的投影。
可选地,所述标记对应的请求IP为恶意IP之后,还包括:
获取预设时间内所述恶意IP的访问次数;
根据所述访问次数及预设的解封算法对所述恶意IP进行解封处理。
为了解决上述问题,本发明还提供一种网关拦截装置,所述装置包括:
请求解析模块,用于获取原始业务请求,利用预设的网关对所述原始业务请求进行解析,得到请求IP;
合法性验证模块,用于对所述请求IP进行合法性验证,若判断所述请求IP非法,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP;
访问验证模块,用于若判断所述请求IP合法,则根据所述请求IP获取对应原始业务请求的时间戳,并根据所述时间戳对所述请求IP进行访问验证,若对所述请求IP的访问验证失败,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP;
时间间隔判断模块,用于若对所述请求IP的访问验证成功,则利用所述时间戳计算请求时间间隔,并根据所述请求时间间隔对所述请求IP进行时间间隔验证,若对所述请求IP的时间间隔验证不通过,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP,若对所述请求IP的时间间隔验证通过,则对所述原始业务请求进行放行。
为了解决上述问题,本发明还提供一种电子设备,所述电子设备包括:
存储器,存储至少一个指令;及
处理器,执行所述存储器中存储的指令以实现上述所述的网关拦截方法。
为了解决上述问题,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一个指令,所述至少一个指令被电子设备中的处理器执行以实现上述所述的网关拦截方法。
本发明通过网关对所述原始业务请求进行解析,得到请求IP,并通过对所述请求IP进行合法性验证,对于合法性验证合法的请求IP进行访问验证,并对访问验证成功的请求IP进行时间间隔判断,相较于被动的用黑名单机制进行拦截的方法,可以提高对恶意IP拦截的准确率及网关拦截的实时性。因此本发明提出的网关拦截方法、装置、电子设备及计算机可读存储介质,可以解决对恶意IP的识别准确率较低的问题。
附图说明
图1为本发明一实施例提供的网关拦截方法的流程示意图;
图2为图1中其中一个步骤的详细实施流程示意图;
图3为图1中另一个步骤的详细实施流程示意图;
图4为图1中另一个步骤的详细实施流程示意图;
图5为图1中另一个步骤的详细实施流程示意图;
图6为本发明一实施例提供的网关拦截装置的功能模块图;
图7为本发明一实施例提供的实现所述网关拦截方法的电子设备的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本申请实施例提供一种网关拦截方法。所述网关拦截方法的执行主体包括但不限于服务端、终端等能够被配置为执行本申请实施例提供的该方法的电子设备中的至少一种。换言之,所述网关拦截方法可以由安装在终端设备或服务端设备的软件或硬件来执行,所述软件可以是区块链平台。所述服务端包括但不限于:单台服务器、服务器集群、云端服务器或云端服务器集群等。
参照图1所示,为本发明一实施例提供的网关拦截方法的流程示意图。在本实施例中,所述网关拦截方法包括:
S1、获取原始业务请求,利用预设的网关对所述原始业务请求进行解析,得到请求IP。
本发明实施例中,所述原始业务请求可以为各领域发送的操作业务请求。比如,银行领域,所述原始业务请求可以为客户通过客户端发送的取款请求、存款请求等。所述预设的网关(Gateway)又称网间连接器、协议转换器,是一种充当转换重任的计算机系统或设备。使用在不同的通信协议、数据格式或语言,甚至体系结构完全不同的两种系统之间,通过预设的协议对所述原始业务请求进行处理。本发明实施例中,所述网关包括三层:合法性验证层(第一层)、访问验证层(第二层)及请求时间验证层(第三层)等。
具体地,参照图2所示,所述利用预设的网关对所述原始业务请求进行解析,得到请求IP,包括:
S10、利用所述网关解析出所述原始业务请求的定位符;
S11、对所述定位符进行域名解析,得到所述请求IP。
其中,所述请求IP是指所述原始业务请求的IP地址。所述定位符是指统一资源定位符(URL),所述统一资源定位符是互联网上标准资源的地址。所述域名解析是指利用DNS(Domain Name System,域名系统)进行解析,所述DNS作为将域名和IP地址相互映射的一个分布式数据库,可以解析出所述URL中的域名,并根据所述域名查找到对应的IP地址。
进一步地,本发明实施例通过预设的网关对所述原始业务请求进行解析,可以快速的解析出所述原始业务请求的IP地址。
S2、对所述请求IP进行合法性验证。
具体地,参照图3所示,所述对所述请求IP进行合法性验证,包括:
S20、利用所述请求IP查找预设的黑名单;
若所述请求IP能在预设的黑名单中找到,则执行S21、将所述请求IP判断为非法;
若所述请求IP不能在预设的黑名单中找到,则执行S22、将所述请求IP判断为合法。
本发明实施例中,所述预设的黑名单设立在所述网关的合法性验证层。通过对所述请求IP进行合法性验证,可以对所述原始业务请求有效拦截,减少请求处理量。
若判断所述请求IP非法,则执行S3、直接拦截所述原始业务请求并标记对应的请求IP为恶意IP。
若判断所述请求IP合法,则执行S4、根据所述请求IP获取对应原始业务请求的时间戳,并根据所述时间戳对所述请求IP进行访问验证。
本发明实施例中,利用所述网关的访问验证层对所述请求IP进行访问验证。
具体地,参照图4所示,所述S4包括:
S40、根据预设的函数获取对应原始业务请求的时间戳;
S41、判断所述请求IP是否为第一次访问;
若所述请求IP是第一次访问,则执行S42、判断所述请求IP访问验证成功,并记录所述时间戳及请求IP;
若所述请求IP不是第一次访问,则执行S43、查询所述请求IP历史访问的时间戳,并判断所述历史访问的时间戳相同次数是否达到预设的阈值;
若所述历史访问的时间戳相同次数大于等于所述预设的阈值,则执行S44、判断所述请求IP的访问验证失败;
若所述历史访问的时间戳相同次数小于所述预设的阈值,则执行S45、判断所述请求IP的访问验证成功。
其中,所述时间戳是指格林威治时间1970年01月01日00时00分00秒(北京时间1970年01月01日08时00分00秒)起至现在的总秒数。即时间戳是一份能够表示一次请求在一个特定时间点已经存在的完整的可验证的数据。本发明实施例中,所述预设的函数可以为Date.getTime()。所述访问验证层通过Redis(Remote Dictionary Server,远程字典服务)记录所述时间戳及请求IP,当所述请求IP不是第一次访问时,则从所述Redis中查找所述请求IP及对应的时间戳。
本发明实施例中,若所述原始业务请求对应的时间戳相同次数过多,则可能为恶意攻击的请求,通过设置阈值来判断所述原始业务请求是否为恶意攻击。比如,所述预设的阈值可以为50,即默认一个客户端发送的原始业务请求对应的时间戳相同次数大于等于50次时,对所述原始业务请求进行拦截。
进一步地,本发明实施例中,由于所述时间戳的防篡改性,因此安全性较高,使得对所述原始业务请求的拦截准确性较高。
若对所述请求IP的访问验证失败,则执行S5、直接拦截所述原始业务请求并标记对应的请求IP为恶意IP。
若对所述请求IP的访问验证成功,则执行S6、利用所述时间戳计算请求时间间隔,并根据所述请求时间间隔对所述请求IP进行时间间隔验证。
本发明实施例中,利用所述网关的请求时间验证层对所述请求IP进行访问验证。
具体地,所述利用所述时间戳计算请求时间间隔,并根据所述请求时间间隔对所述请求IP进行时间间隔验证,包括:
获取每次原始业务请求的时间戳,计算所述时间戳之间的请求时间间隔,并对所述请求时间间隔进行线性回归,得到线性回归方程;
利用所述时间戳及所述线性回归方程计算最小平方误差;
若所述最小平方误差小于等于预设的误差阈值,则所述时间戳判断为线性,利用预设的验证方法对相应的请求IP进行验证;
若所述请求IP通过验证,则所述请求IP的时间间隔判断成功;
若所述请求IP未通过验证,则所述请求IP的时间间隔判断失败;
若所述最小平方误差大于预设的误差阈值,则所述时间戳判断为非线性,则所述请求IP的时间间隔验证通过。
详细地,本发明实施例中,所述预设的验证方法可以为发送图形验证码。比如,当所述时间戳判断线性时,说明该请求IP可能为非法的请求,这时候给用户发送一张图形验证码,如果用户输入正确,则通过验证,如果用户在30S内没有输入或输入错误,则验证不通过。
本发明实施例中,所述最小平方误差可以利用下述公式进行计算:
Figure BDA0002951016980000071
其中,所述xk为第k个时间戳,x′k为所述时间戳到所述线性回归方程的投影。
若对所述请求IP的时间间隔验证不通过,则执行S7、直接拦截所述原始业务请求并标记对应的请求IP为恶意IP。
进一步地,本发明实施例中,如图5所示,所述标记对应的请求IP为恶意IP之后,还包括:
S71、获取预设时间内所述恶意IP的访问次数;
S72、根据所述访问次数及预设的解封算法对所述恶意IP进行解封处理。
其中,本发明实施例中,所述预设时间可以为1天、3天及7天。所述解封算法是指,若当天请求IP被判定为恶意IP,则封锁24小时,如果在24小时内,所述恶意IP的访问次数达到20次,则所述恶意IP被封锁的时间升级为3天,反之则解封;如果在3天内所述恶意IP的访问次数达到50次,则所述恶意IP被封锁的时间升级为7天,反之则解封,如果在7天内所述恶意IP的访问次数达到100次,则所述恶意IP被永久封锁,反之则解封。
若对所述请求IP的时间间隔验证通过,则执行S8、对所述原始业务请求进行放行。
本发明通过网关对所述原始业务请求进行解析,得到请求IP,并通过对所述请求IP进行合法性验证,对于合法性验证合法的请求IP进行访问验证,并对访问验证成功的请求IP进行时间间隔判断,相较于被动的用黑名单机制进行拦截的方法,可以提高对恶意IP拦截的准确率及网关拦截的实时性。因此本发明实施可以解决对恶意IP的识别准确率较低的问题。
如图6所示,是本发明一实施例提供的网关拦截装置的功能模块图。
本发明所述网关拦截装置100可以安装于电子设备中。根据实现的功能,所述网关拦截装置100可以包括请求解析模块101、合法性验证模块102、访问验证模块103及时间间隔判断模块104。本发明所述模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
在本实施例中,关于各模块/单元的功能如下:
所述请求解析模块101,用于获取原始业务请求,利用预设的网关对所述原始业务请求进行解析,得到请求IP。
本发明实施例中,所述原始业务请求可以为各领域发送的操作业务请求。比如,银行领域,所述原始业务请求可以为客户通过客户端发送的取款请求、存款请求等。所述预设的网关(Gateway)又称网间连接器、协议转换器,是一种充当转换重任的计算机系统或设备。使用在不同的通信协议、数据格式或语言,甚至体系结构完全不同的两种系统之间,通过预设的协议对所述原始业务请求进行处理。本发明实施例中,所述网关包括三层:合法性验证层(第一层)、访问验证层(第二层)及请求时间验证层(第三层)等。
具体地,所述请求解析模块101通过下述操作得到请求IP:
利用所述网关解析出所述原始业务请求的定位符;
对所述定位符进行域名解析,得到所述请求IP。
其中,所述请求IP是指所述原始业务请求的IP地址。所述定位符是指统一资源定位符(URL),所述统一资源定位符是互联网上标准资源的地址。所述域名解析是指利用DNS(Domain Name System,域名系统)进行解析,所述DNS作为将域名和IP地址相互映射的一个分布式数据库,可以解析出所述URL中的域名,并根据所述域名查找到对应的IP地址。
进一步地,本发明实施例通过预设的网关对所述原始业务请求进行解析,可以快速的解析出所述原始业务请求的IP地址。
所述合法性验证模块102,用于对所述请求IP进行合法性验证,若判断所述请求IP非法,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP。
具体地,所述合法性验证模块102通过下述操作对所述请求IP进行合法性验证:
利用所述请求IP查找预设的黑名单;
若所述请求IP能在预设的黑名单中找到,则将所述请求IP判断为非法;
若所述请求IP不能在预设的黑名单中找到,则将所述请求IP判断为合法。
本发明实施例中,所述预设的黑名单设立在所述网关的合法性验证层。通过对所述请求IP进行合法性验证,可以对所述原始业务请求有效拦截,减少请求处理量。
若判断所述请求IP非法,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP。
所述访问验证模块103,用于若判断所述请求IP合法,则根据所述请求IP获取对应原始业务请求的时间戳,并根据所述时间戳对所述请求IP进行访问验证,若对所述请求IP的访问验证失败,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP。
若判断所述请求IP合法,则根据所述请求IP获取对应原始业务请求的时间戳,并根据所述时间戳对所述请求IP进行访问验证。
本发明实施例中,利用所述网关的访问验证层对所述请求IP进行访问验证。
具体地,所述访问验证模块103通过下述操作对所述请求IP进行访问验证:
根据预设的函数获取对应原始业务请求的时间戳;
判断所述请求IP是否为第一次访问;
若所述请求IP是第一次访问,则判断所述请求IP访问验证成功,并记录所述时间戳及请求IP;
若所述请求IP不是第一次访问,则查询所述请求IP历史访问的时间戳,并判断所述历史访问的时间戳相同次数是否达到预设的阈值;
若所述历史访问的时间戳相同次数大于等于所述预设的阈值,则判断所述请求IP的访问验证失败;
若所述历史访问的时间戳相同次数小于所述预设的阈值,则判断所述请求IP的访问验证成功。
其中,所述时间戳是指格林威治时间1970年01月01日00时00分00秒(北京时间1970年01月01日08时00分00秒)起至现在的总秒数。即时间戳是一份能够表示一次请求在一个特定时间点已经存在的完整的可验证的数据。本发明实施例中,所述预设的函数可以为Date.getTime()。所述访问验证层通过Redis(Remote Dictionary Server,远程字典服务)记录所述时间戳及请求IP,当所述请求IP不是第一次访问时,则从所述Redis中查找所述请求IP及对应的时间戳。
本发明实施例中,若所述原始业务请求对应的时间戳相同次数过多,则可能为恶意攻击的请求,通过设置阈值来判断所述原始业务请求是否为恶意攻击。比如,所述预设的阈值可以为50,即默认一个客户端发送的原始业务请求对应的时间戳相同次数大于等于50次时,对所述原始业务请求进行拦截。
进一步地,本发明实施例中,由于所述时间戳的防篡改性,因此安全性较高,使得对所述原始业务请求的拦截准确性较高。
若对所述请求IP的访问验证失败,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP。
所述时间间隔判断模块104,用于若对所述请求IP的访问验证成功,则利用所述时间戳计算请求时间间隔,并根据所述请求时间间隔对所述请求IP进行时间间隔验证,若对所述请求IP的时间间隔验证不通过,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP,若对所述请求IP的时间间隔验证通过,则对所述原始业务请求进行放行。
若对所述请求IP的访问验证成功,则利用所述时间戳计算请求时间间隔,并根据所述请求时间间隔对所述请求IP进行时间间隔验证。
本发明实施例中,利用所述网关的请求时间验证层对所述请求IP进行访问验证。
具体地,所述时间间隔判断模块104通过下述操作对所述请求IP进行时间间隔验证:
获取每次原始业务请求的时间戳,计算所述时间戳之间的请求时间间隔,并对所述请求时间间隔进行线性回归,得到线性回归方程;
利用所述时间戳及所述线性回归方程计算最小平方误差;
若所述最小平方误差小于等于预设的误差阈值,则所述时间戳判断为线性,利用预设的验证方法对相应的请求IP进行验证;
若所述请求IP通过验证,则所述请求IP的时间间隔判断成功;
若所述请求IP未通过验证,则所述请求IP的时间间隔判断失败;
若所述最小平方误差大于预设的误差阈值,则所述时间戳判断为非线性,则所述请求IP的时间间隔验证通过。
详细地,本发明实施例中,所述预设的验证方法可以为发送图形验证码。比如,当所述时间戳判断线性时,说明该请求IP可能为非法的请求,这时候给用户发送一张图形验证码,如果用户输入正确,则通过验证,如果用户在30S内没有输入或输入错误,则验证不通过。
本发明实施例中,所述最小平方误差可以利用下述公式进行计算:
Figure BDA0002951016980000111
其中,所述xk为第k个时间戳,x′k为所述时间戳到所述线性回归方程的投影。
若对所述请求IP的时间间隔验证不通过,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP。
进一步地,本发明实施例中,所述时间间隔判断模块104在标记对应的请求IP为恶意IP之后,还包括:
获取预设时间内所述恶意IP的访问次数;
根据所述访问次数及预设的解封算法对所述恶意IP进行解封处理。
其中,本发明实施例中,所述预设时间可以为1天、3天及7天。所述解封算法是指,若当天请求IP被判定为恶意IP,则封锁24小时,如果在24小时内,所述恶意IP的访问次数达到20次,则所述恶意IP被封锁的时间升级为3天,反之则解封;如果在3天内所述恶意IP的访问次数达到50次,则所述恶意IP被封锁的时间升级为7天,反之则解封,如果在7天内所述恶意IP的访问次数达到100次,则所述恶意IP被永久封锁,反之则解封。
若对所述请求IP的时间间隔验证通过,则对所述原始业务请求进行放行。
如图7所示,是本发明一实施例提供的实现网关拦截方法的电子设备的结构示意图。
所述电子设备1可以包括处理器10、存储器11和总线,还可以包括存储在所述存储器11中并可在所述处理器10上运行的计算机程序,如网关拦截程序12。
其中,所述存储器11至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如:SD或DX存储器等)、磁性存储器、磁盘、光盘等。所述存储器11在一些实施例中可以是电子设备1的内部存储单元,例如该电子设备1的移动硬盘。所述存储器11在另一些实施例中也可以是电子设备1的外部存储设备,例如电子设备1上配备的插接式移动硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(SecureDigital,SD)卡、闪存卡(Flash Card)等。进一步地,所述存储器11还可以既包括电子设备1的内部存储单元也包括外部存储设备。所述存储器11不仅可以用于存储安装于电子设备1的应用软件及各类数据,例如网关拦截程序12的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
所述处理器10在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器10是所述电子设备的控制核心(Control Unit),利用各种接口和线路连接整个电子设备的各个部件,通过运行或执行存储在所述存储器11内的程序或者模块(例如网关拦截程序等),以及调用存储在所述存储器11内的数据,以执行电子设备1的各种功能和处理数据。
所述总线可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器11以及至少一个处理器10等之间的连接通信。
图7仅示出了具有部件的电子设备,本领域技术人员可以理解的是,图7示出的结构并不构成对所述电子设备1的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
例如,尽管未示出,所述电子设备1还可以包括给各个部件供电的电源(比如电池),优选地,电源可以通过电源管理装置与所述至少一个处理器10逻辑相连,从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备1还可以包括多种传感器、蓝牙模块、Wi-Fi模块等,在此不再赘述。
进一步地,所述电子设备1还可以包括网络接口,可选地,所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该电子设备1与其他电子设备之间建立通信连接。
可选地,该电子设备1还可以包括用户接口,用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard)),可选地,用户接口还可以是标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备1中处理的信息以及用于显示可视化的用户界面。
应该了解,所述实施例仅为说明之用,在专利申请范围上并不受此结构的限制。
所述电子设备1中的所述存储器11存储的网关拦截程序12是多个指令的组合,在所述处理器10中运行时,可以实现:
获取原始业务请求,利用预设的网关对所述原始业务请求进行解析,得到请求IP;
对所述请求IP进行合法性验证,若判断所述请求IP非法,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP;
若判断所述请求IP合法,则根据所述请求IP获取对应原始业务请求的时间戳,并根据所述时间戳对所述请求IP进行访问验证,若对所述请求IP的访问验证失败,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP;
若对所述请求IP的访问验证成功,则利用所述时间戳计算请求时间间隔,并根据所述请求时间间隔对所述请求IP进行时间间隔验证;
若对所述请求IP的时间间隔验证不通过,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP,若对所述请求IP的时间间隔验证通过,则对所述原始业务请求进行放行。
具体地,所述处理器10对上述指令的具体实现方法可参考图1至图5对应实施例中相关步骤的描述,在此不赘述。
进一步地,所述电子设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。所述计算机可读存储介质可以是易失性的,也可以是非易失性的。例如,所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)。
本发明还提供一种计算机可读存储介质,所述可读存储介质存储有计算机程序,所述计算机程序在被电子设备的处理器所执行时,可以实现:
获取原始业务请求,利用预设的网关对所述原始业务请求进行解析,得到请求IP;
对所述请求IP进行合法性验证,若判断所述请求IP非法,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP;
若判断所述请求IP合法,则根据所述请求IP获取对应原始业务请求的时间戳,并根据所述时间戳对所述请求IP进行访问验证,若对所述请求IP的访问验证失败,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP;
若对所述请求IP的访问验证成功,则利用所述时间戳计算请求时间间隔,并根据所述请求时间间隔对所述请求IP进行时间间隔验证;
若对所述请求IP的时间间隔验证不通过,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP,若对所述请求IP的时间间隔验证通过,则对所述原始业务请求进行放行。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。
本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。

Claims (10)

1.一种网关拦截方法,其特征在于,所述方法包括:
获取原始业务请求,利用预设的网关对所述原始业务请求进行解析,得到请求IP;
对所述请求IP进行合法性验证,若判断所述请求IP非法,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP;
若判断所述请求IP合法,则根据所述请求IP获取对应原始业务请求的时间戳,并根据所述时间戳对所述请求IP进行访问验证,若对所述请求IP的访问验证失败,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP;
若对所述请求IP的访问验证成功,则利用所述时间戳计算请求时间间隔,并根据所述请求时间间隔对所述请求IP进行时间间隔验证;
若对所述请求IP的时间间隔验证不通过,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP,若对所述请求IP的时间间隔验证通过,则对所述原始业务请求进行放行。
2.如权利要求1所述的网关拦截方法,其特征在于,所述利用预设的网关对所述原始业务请求进行解析,得到请求IP,包括:
利用所述网关解析出所述原始业务请求的定位符;
对所述定位符进行域名解析,得到所述请求IP。
3.如权利要求1所述的网关拦截方法,其特征在于,所述对所述请求IP进行合法性验证,包括:
利用所述请求IP查找预设的黑名单;
若所述请求IP能在预设的黑名单中找到,则将所述请求IP判断为非法;
若所述请求IP不能在预设的黑名单中找到,则将所述请求IP判断为合法。
4.如权利要求1所述的网关拦截方法,其特征在于,所述根据所述请求IP获取对应原始业务请求的时间戳,并根据所述时间戳对所述请求IP进行访问验证,包括:
根据预设的函数获取对应原始业务请求的时间戳;
判断所述请求IP是否为第一次访问;
若所述请求IP是第一次访问,则判断所述请求IP访问验证成功,并记录所述时间戳及请求IP;
若所述请求IP不是第一次访问,则查询所述请求IP历史访问的时间戳,并判断所述历史访问的时间戳相同次数是否达到预设的阈值;
若所述历史访问的时间戳相同次数大于等于所述预设的阈值,则判断所述请求IP的访问验证失败;
若所述历史访问的时间戳相同次数小于所述预设的阈值,则判断所述请求IP的访问验证成功。
5.如权利要求1所述的网关拦截方法,其特征在于,所述利用所述时间戳计算请求时间间隔,并根据所述请求时间间隔对所述请求IP进行时间间隔验证,包括:
获取每次原始业务请求的时间戳,计算所述时间戳之间的请求时间间隔,并对所述请求时间间隔进行线性回归,得到线性回归方程;
利用所述时间戳及所述线性回归方程计算最小平方误差;
若所述最小平方误差小于等于预设的误差阈值,则所述时间戳判断为线性,利用预设的验证方法对相应的请求IP进行验证;
若所述请求IP通过验证,则所述请求IP的时间间隔判断成功;
若所述请求IP未通过验证,则所述请求IP的时间间隔判断失败;
若所述最小平方误差大于预设的误差阈值,则所述时间戳判断为非线性,则所述请求IP的时间间隔验证通过。
6.如权利要求5所述的网关拦截方法,其特征在于,所述最小平方误差利用下述公式进行计算:
Figure FDA0002951016970000021
其中,所述xk为第k个时间戳,x′k为所述时间戳到所述线性回归方程的投影。
7.如权利要求1至6中任意一项所述的网关拦截方法,其特征在于,所述标记对应的请求IP为恶意IP之后,还包括:
获取预设时间内所述恶意IP的访问次数;
根据所述访问次数及预设的解封算法对所述恶意IP进行解封处理。
8.一种网关拦截装置,其特征在于,所述装置包括:
请求解析模块,用于获取原始业务请求,利用预设的网关对所述原始业务请求进行解析,得到请求IP;
合法性验证模块,用于对所述请求IP进行合法性验证,若判断所述请求IP非法,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP;
访问验证模块,用于若判断所述请求IP合法,则根据所述请求IP获取对应原始业务请求的时间戳,并根据所述时间戳对所述请求IP进行访问验证,若对所述请求IP的访问验证失败,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP;
时间间隔判断模块,用于若对所述请求IP的访问验证成功,则利用所述时间戳计算请求时间间隔,并根据所述请求时间间隔对所述请求IP进行时间间隔验证,若对所述请求IP的时间间隔验证不通过,则直接拦截所述原始业务请求并标记对应的请求IP为恶意IP,若对所述请求IP的时间间隔验证通过,则对所述原始业务请求进行放行。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至7中任意一项所述的网关拦截方法。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任意一项所述的网关拦截方法。
CN202110207167.5A 2021-02-24 2021-02-24 网关拦截方法、装置、电子设备及存储介质 Active CN112866285B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202110207167.5A CN112866285B (zh) 2021-02-24 2021-02-24 网关拦截方法、装置、电子设备及存储介质
PCT/CN2021/123887 WO2022179120A1 (zh) 2021-02-24 2021-10-14 网关拦截方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110207167.5A CN112866285B (zh) 2021-02-24 2021-02-24 网关拦截方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN112866285A true CN112866285A (zh) 2021-05-28
CN112866285B CN112866285B (zh) 2022-11-15

Family

ID=75991320

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110207167.5A Active CN112866285B (zh) 2021-02-24 2021-02-24 网关拦截方法、装置、电子设备及存储介质

Country Status (2)

Country Link
CN (1) CN112866285B (zh)
WO (1) WO2022179120A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114422139A (zh) * 2021-12-17 2022-04-29 上海浦东发展银行股份有限公司 Api网关请求安全验证方法、装置、电子设备及计算机可读介质
WO2022179120A1 (zh) * 2021-02-24 2022-09-01 深圳壹账通智能科技有限公司 网关拦截方法、装置、电子设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100158051A1 (en) * 2008-12-19 2010-06-24 Ilija Hadzic Method, Apparatus and System for Frequency Synchronization Between Devices Communicating over a Packet Network
US20160232349A1 (en) * 2015-02-09 2016-08-11 Fortinet, Inc. Mobile malware detection and user notification
CN107483604A (zh) * 2017-08-29 2017-12-15 武汉斗鱼网络科技有限公司 Nginx‑RTMP动态更新DNS缓存的方法和装置
CN111200614A (zh) * 2020-01-07 2020-05-26 中山大学 一种针对第三方匿名EDoS攻击的防御方法及系统
CN112187931A (zh) * 2020-09-29 2021-01-05 中国平安财产保险股份有限公司 会话管理方法、装置、计算机设备和存储介质
CN112367338A (zh) * 2020-11-27 2021-02-12 腾讯科技(深圳)有限公司 恶意请求检测方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101834866B (zh) * 2010-05-05 2013-06-26 北京来安科技有限公司 一种cc攻击防护方法及其系统
CN112866285B (zh) * 2021-02-24 2022-11-15 深圳壹账通智能科技有限公司 网关拦截方法、装置、电子设备及存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100158051A1 (en) * 2008-12-19 2010-06-24 Ilija Hadzic Method, Apparatus and System for Frequency Synchronization Between Devices Communicating over a Packet Network
US20160232349A1 (en) * 2015-02-09 2016-08-11 Fortinet, Inc. Mobile malware detection and user notification
CN107483604A (zh) * 2017-08-29 2017-12-15 武汉斗鱼网络科技有限公司 Nginx‑RTMP动态更新DNS缓存的方法和装置
CN111200614A (zh) * 2020-01-07 2020-05-26 中山大学 一种针对第三方匿名EDoS攻击的防御方法及系统
CN112187931A (zh) * 2020-09-29 2021-01-05 中国平安财产保险股份有限公司 会话管理方法、装置、计算机设备和存储介质
CN112367338A (zh) * 2020-11-27 2021-02-12 腾讯科技(深圳)有限公司 恶意请求检测方法及装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022179120A1 (zh) * 2021-02-24 2022-09-01 深圳壹账通智能科技有限公司 网关拦截方法、装置、电子设备及存储介质
CN114422139A (zh) * 2021-12-17 2022-04-29 上海浦东发展银行股份有限公司 Api网关请求安全验证方法、装置、电子设备及计算机可读介质
CN114422139B (zh) * 2021-12-17 2024-02-23 上海浦东发展银行股份有限公司 Api网关请求安全验证方法、装置、电子设备及计算机可读介质

Also Published As

Publication number Publication date
CN112866285B (zh) 2022-11-15
WO2022179120A1 (zh) 2022-09-01

Similar Documents

Publication Publication Date Title
CN111556059A (zh) 异常检测方法、异常检测装置及终端设备
CN112866285B (zh) 网关拦截方法、装置、电子设备及存储介质
CN112651035A (zh) 数据处理方法、装置、电子设备及介质
CN113364753B (zh) 反爬虫方法、装置、电子设备及计算机可读存储介质
CN113158207A (zh) 基于区块链的报告生成方法、装置、电子设备及存储介质
CN115081016A (zh) 日志脱敏方法、装置、电子设备及存储介质
CN113381992B (zh) 一种基于区块链的证照管理方法
CN113435910A (zh) 代销售签约方法、装置、电子设备及存储介质
CN115086047B (zh) 接口鉴权方法、装置、电子设备及存储介质
CN114697132B (zh) 重复访问请求攻击拦截方法、装置、设备及存储介质
CN111934882B (zh) 基于区块链的身份认证方法、装置、电子设备及存储介质
CN114826725A (zh) 数据交互方法、装置、设备及存储介质
CN114036068A (zh) 基于隐私安全的更新检测方法、装置、设备及存储介质
CN114268559A (zh) 基于tf-idf算法的定向网络检测方法、装置、设备及介质
CN108200060B (zh) 基于web子系统的单点登录验证方法、服务器及存储介质
CN113469649A (zh) 项目进度分析方法、装置、电子设备及存储介质
CN113127109A (zh) 接口调用方法、装置、电子设备及可读存储介质
CN113240351A (zh) 业务数据一致性检查方法、装置、电子设备及介质
CN111859452A (zh) 页面信息校验方法、装置、设备及计算机可读存储介质
CN112686759A (zh) 对账监测方法、装置、设备及介质
CN115001805B (zh) 单点登录方法、装置、设备及存储介质
CN116055180B (zh) 一种基于网关的互联网资源备案信息查询验证方法及装置
CN111917556B (zh) 交互文件检测方法、装置、终端及存储介质
CN113992334B (zh) 设备端数据的存储方法、验证方法、装置和电子设备
CN114614993B (zh) 系统交互方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40049992

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant