CN113347205A

CN113347205A - 一种检测业务访问请求的方法及装置

Info

Publication number: CN113347205A
Application number: CN202110730544.3A
Authority: CN
Inventors: 张强
Original assignee: WeBank Co Ltd
Current assignee: WeBank Co Ltd
Priority date: 2021-06-30
Filing date: 2021-06-30
Publication date: 2021-09-03
Anticipated expiration: 2041-06-30
Also published as: CN113347205B; WO2023273152A1

Abstract

本发明实施例提供了一种检测业务访问请求的方法及装置，该方法包括获取IP在设定窗口时段内访问业务系统的业务访问请求信息，对IP的业务访问请求信息进行内容检测，确定IP的攻击行为特征，根据IP在设定窗口时段内各子时段的业务访问请求次数，确定IP的攻击频率特征，根据IP的地址属性信息和设备属性信息，确定IP的设备属性风险特征，基于IP的攻击行为特征、设备属性风险特征和攻击频率特征，确定是否允许IP的业务访问请求。如此，该方案从攻击行为特征、设备属性风险特征和攻击频率特征三个维度来综合评估IP，可以准确地评估出IP的具体风险程度，从而可以解决现有技术中在批量执行封禁IP时无法及时准确地做出决策的问题。

Description

一种检测业务访问请求的方法及装置

技术领域

本发明实施例涉及金融科技(Fintech)领域，尤其涉及一种检测业务访问请求的方法及装置。

背景技术

随着计算机技术的发展，越来越多的技术应用在金融领域，传统金融业正在逐步向金融科技转变，但由于金融行业的安全性、实时性要求，也对技术提出的更高的要求。在金融领域中，为了便于用户浏览和查询相关金融业务数据，通常会提供金融业务服务平台给用户，然而，有一些不法分子利用爬虫或一些网络攻击手段等恶意窃取该相关金融业务数据，导致金融业务服务平台出现异常而影响正常用户的正常访问，并会给金融领域带来严重损失。因此，为了确保金融服务质量，如何及时有效地检测出异常IP成为急需解决的问题。

现阶段，在检测到某一IP发起的业务访问请求数据包时，主要是通过安全检测系统检测该业务访问请求数据包中是否包含恶意字符，来判断该IP是否存在恶意访问行为，从而确定是否拒绝该IP的业务访问请求，同时根据判断结果将该IP记录在IP黑名单或IP白名单中。然而，这种处理方式因缺乏精细粒度的划分IP，导致在批量执行封禁IP时无法及时准确地做出决策。此外，在某一被封禁的IP为公网临时IP时，因该封禁的IP已记录在历史IP黑名单中而导致安全检测系统因历史IP黑名单对正常访问者造成误判，从而使得基于该临时IP的其它正常访问者无法使用该临时IP进行正常访问。

综上，目前亟需一种检测业务访问请求的方法，用以解决现有技术中在批量执行封禁IP时无法及时准确地做出决策的问题。

发明内容

本发明实施例提供了一种检测业务访问请求的方法及装置，用以解决现有技术中在批量执行封禁IP时无法及时准确地做出决策的问题。

第一方面，本发明实施例提供了一种检测业务访问请求的方法，包括：

在检测到访问业务系统的任一业务访问请求的请求方的网络协议IP时，获取所述IP在设定窗口时段内访问所述业务系统的业务访问请求信息；

对所述IP在设定窗口时段内的业务访问请求信息进行内容检测，确定所述IP对应的攻击行为特征；

根据所述IP在所述设定窗口时段内各子时段的业务访问请求的次数，确定所述IP对应的攻击频率特征；

根据所述IP对应的地址属性信息和设备属性信息，确定所述IP对应的设备属性风险特征；

基于所述IP对应的攻击行为特征、设备属性风险特征以及攻击频率特征，确定是否允许所述IP对应的业务访问请求。

上述技术方案中，在检测到访问业务系统的任一业务访问请求的请求方的网络协议IP时，就会立即去获取该IP在设定窗口时段内访问所述业务系统的业务访问请求信息，并对该IP在设定窗口时段内的业务访问请求信息进行内容检测，确定IP对应的攻击行为特征。再通过根据IP对应的地址属性信息和设备属性信息，确定IP对应的设备属性风险特征。然后，基于IP对应的攻击行为特征、设备属性风险特征以及攻击频率特征，确定是否允许该IP对应的业务访问请求。如此，该方案从攻击行为特征、设备属性风险特征以及攻击频率特征三个特征维度进行综合评估IP，可以更加全面且准确地评估出IP所对应的具体风险程度，以此可以实现对各IP所对应的风险程度进行定量描述。同时，根据该风险程度就可以及时准确地确定是否允许该IP对应的业务访问请求，以此可以确保业务系统的数据安全性。此外，由于该方案可以评估出IP所对应的具体风险程度，因此可以基于各IP所对应的具体风险程度对各IP进行更精细粒度地划分，以此可以使得各IP能够更加直观清晰地进行展示，也就可以便于决策者及时准确地做出决策。而且，由于可以更加直观精确地展示出各IP所对应的具体风险程度，如此就可以避免现有技术简单粗暴的将某一临时IP进行封禁而导致其它正常访问者无法使用该临时IP进行正常，从而可以提升用户体验。

可选地，所述对所述IP在设定窗口时段内的业务访问请求信息进行内容检测，确定所述IP对应的攻击行为特征，包括：

通过预设的检测规则，检测所述IP在设定窗口时段内的业务访问请求信息中是否具有恶意字符；

若确定业务访问请求信息中具有恶意字符，则为所述IP标记对应的第一攻击行为特征；

若确定业务访问请求信息中不具有恶意字符，则为所述IP标记对应的第二攻击行为特征。

上述技术方案中，通过预设的检测规则，对该IP在设定窗口时段内的多个业务访问请求信息进行内容检测，确定通过该IP发起的业务请求是否携带有恶意字符(比如注入的跨站脚本所对应的关键字符)，以此确定该IP是否具备明显的攻击特征。基于此，如果该IP具备明显的攻击特征，就为该IP标记上第一攻击行为特征；如果该IP不具备明显的攻击特征，就为该IP标记上第二攻击行为特征。如此，就可以为后续及时准确地评估该IP所对应的具体风险程度提供支持。

可选地，所述根据所述IP对应的地址属性信息和设备属性信息，确定所述IP对应的设备属性风险特征，包括：

利用端口扫描工具，对通过业务系统的端口访问所述业务系统的所述IP进行反向跟踪，确定出所述IP对应的设备属性信息，并查询出所述IP对应的地址属性信息；

根据所述地址属性信息对应的地址属性权重和所述设备属性信息对应的设备属性权重，确定所述IP对应的设备属性风险特征。

上述技术方案中，由于通过不同物理机设备的IP攻击业务系统所带来的风险性不同，因此，本发明中的技术方案通过引入IP对应的设备属性特征来结合攻击行为特征、攻击频率特征一起共同评估IP对应的具体风险程度。也即是，利用端口扫描工具，对通过端口访问业务系统的该IP进行反向追踪，确定出该IP对应的设备属性信息，并通过地理位置查询接口查询出该IP对应的地址属性信息。然后，根据该IP对应的地址属性信息的地址属性权重以及设备属性信息的设备属性权重，就可以及时准确地确定出该IP对应的设备属性风险特征。

可选地，通过下述方式确定各地址属性信息对应的各地址属性权重和各设备属性信息对应的各设备属性权重：

通过层次分析法，对各IP对应的各地址属性信息、各设备属性信息进行分析处理，确定出所述各地址属性信息对应的各地址属性权重和所述各设备属性信息对应的各设备属性权重；

将所述各地址属性信息对应的各地址属性权重和所述各设备属性信息对应的各设备属性权重进行存储。

上述技术方案中，通过层次分析法对确定IP的设备属性权重的各影响因素(比如地址属性信息和设备属性信息)进行分析，可以及时有效地确定出各影响因素的权重，以便为后续及时准确地得到IP对应的设备属性风险特征提供支持，也就能为后续直观清晰地反映IP的具体风险程度提供支持。

可选地，所述根据所述IP在所述设定窗口时段内各子时段的业务访问请求次数，确定所述IP对应的攻击频率特征，包括：

基于IP在设定窗口时段内的业务访问请求次数的分布规律符合正态分布，构建出用于确定攻击频率特征的计算规则；

按照所述计算规则，对所述IP在各子时段的业务访问请求次数进行处理，确定出所述IP对应的攻击频率特征。

上述技术方案中，由于非法用户的攻击行为一般属于随机性行为，并不是每天固定持续性攻击，比如在某天对业务系统发送大量恶意业务请求包，便会在目的达成后停止攻击行为。也即是，非法用户的攻击行为混在业务系统的所有业务请求包中，所以恶意业务请求频率是一个小概率事件。因此，根据大量的用户历史业务访问请求统计，可以发现业务访问请求频率在周期时间内是符合正态分布的，基于此，本发明中的技术方案通过构建出一个用于确定攻击频率特征的计算规则，以便对IP在设定窗口时段内(即周期时间内)各子时段的业务访问请求次数进行统计处理，从而可以准确地确定出IP对应的攻击频率特征。

可选地，所述按照所述计算规则，对所述IP在各子时段的业务访问请求次数进行处理，确定出所述IP对应的攻击频率特征，包括：

基于所述IP在各子时段的业务访问请求次数，确定所述IP对应的第一攻击频率；所述第一攻击频率用于表征所述IP访问业务系统的访问行为集中趋势程度；

基于所述IP在各子时段的业务访问请求次数以及所述第一攻击频率，确定所述IP对应的第二攻击频率；所述第二攻击频率用于表征所述IP访问业务系统的访问行为离散程度；

根据所述第一攻击频率和所述第二攻击频率，确定所述IP对应的攻击频率特征。

可选地，所述IP对应的第二攻击频率满足下述形式：

其中，var_i用于表示任一IP对应的第二攻击频率，mean_i用于表示该IP对应的第一攻击频率，a_n用于表示第n天该IP的总业务访问请求次数，W_d用于表示设定窗口时段。

可选地，所述IP对应的攻击频率特征满足下述形式：

其中，γ_i用于表示任一IP对应的攻击频率特征，F_i用于表示运算中间结果值。

上述技术方案中，首先通过对IP在各子时段的业务访问请求次数进行统计处理，可以准确地确定用于表征IP访问业务系统的访问行为集中趋势程度的第一攻击频率，并根据IP在各子时段的业务访问请求次数以及第一攻击频率，可以准确地确定用于表征IP访问业务系统的访问行为离散程度的第二攻击频率。再根据第一攻击频率和第二攻击频率，就可以及时准确地确定IP对应的攻击频率特征，也就能为后续直观清晰地反映IP的具体风险程度提供支持，当然也能够具体地反映出IP的风险行为。

可选地，基于所述IP对应的攻击行为特征、设备属性风险特征以及攻击频率特征，确定是否允许所述IP对应的业务访问请求，包括：

根据所述IP对应的攻击行为特征、设备属性风险特征、攻击频率特征、所述攻击行为特征的权重、所述设备属性风险特征的权重和所述攻击频率特征的权重，确定所述IP所属的风险行为等级；所述攻击行为特征的权重、所述设备属性风险分特征的权重和所述攻击频率特征的权重是通过层次分析法确定的；

根据所述IP所属的风险行为等级，确定是否允许所述IP对应的业务访问请求。

上述技术方案中，通过基于攻击行为特征、设备属性风险特征、攻击频率特征、攻击行为特征的权重、设备属性风险特征的权重和攻击频率特征的权重，可以更加全面且准确的评估出IP所属的风险行为等级，以此综合评估出IP所对应的具体风险程度，从而可以实现对各IP所对应的风险程度进行定量描述。同时，根据IP所属的风险行为等级就可以及时准确地确定是否允许该IP对应的业务访问请求，以此可以确保业务系统的数据安全性。

可选地，在确定所述IP所属的风险行为等级之后，还包括：

将各IP所属的风险行为等级存储在数据库中；

按照设定时间间隔，对所述数据库中各IP所属的风险行为等级进行周期性的更新。

上述技术方案中，由于历史出现的各IP所属的风险等级随着时间的推移，对业务系统实际可能造成的风险程度会逐渐降低，也即是，时间越久远的攻击行为对当前的业务系统实际可能造成的风险程度会变小，因此通过按照设定时间间隔，对历史已存储的各IP所属的风险行为等级分别进行重新评定，也即是对历史已存储的各IP所属的风险行为等级分别进行更新，可以确保各IP所属的风险行为等级的实时有效性，也就可以使得各IP所属的风险行为等级有了更精确的时间有效期。

第二方面，本发明实施例还提供了一种检测业务访问请求的装置，包括：

获取单元，用于在检测到访问业务系统的任一业务访问请求的请求方的网络协议IP时，获取所述IP在设定窗口时段内访问所述业务系统的业务访问请求信息；

处理单元，用于对所述IP在设定窗口时段内的业务访问请求信息进行内容检测，确定所述IP对应的攻击行为特征；根据所述IP在所述设定窗口时段内各子时段的业务访问请求的次数，确定所述IP对应的攻击频率特征；根据所述IP对应的地址属性信息和设备属性信息，确定所述IP对应的设备属性风险特征；基于所述IP对应的攻击行为特征、设备属性风险特征以及攻击频率特征，确定是否允许所述IP对应的业务访问请求。

可选地，所述处理单元具体用于：

可选地，所述处理单元具体用于：

可选地，所述处理单元具体用于：

可选地，所述处理单元还用于：

在确定所述IP所属的风险行为等级之后，将各IP所属的风险行为等级存储在数据库中；

第三方面，本发明实施例提供一种计算设备，包括至少一个处理器以及至少一个存储器，其中，所述存储器存储有计算机程序，当所述程序被所述处理器执行时，使得所述处理器执行上述第一方面任意所述的检测业务访问请求的方法。

第四方面，本发明实施例提供一种计算机可读存储介质，其存储有可由计算设备执行的计算机程序，当所述程序在所述计算设备上运行时，使得所述计算设备执行上述第一方面任意所述的检测业务访问请求的方法。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种可能的系统架构示意图；

图2为本发明实施例提供的一种检测业务访问请求的方法的流程示意图；

图3为本发明实施例提供的一种检测业务访问请求的装置的结构示意图；

图4为本发明实施例提供的一种计算设备的结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

下面首先对本发明实施例中涉及的部分用语进行解释说明，以便于本领域技术人员进行理解。

(1)IP(Internet Protocol，互联网协议或网络协议)：IP地址表示互联网协议或网络协议地址，是根据IP协议为每个网络、主机设备提供的一个统一逻辑地址。

(2)PC(personal computer，个人计算机)设备：个人PC，普通用户设备通过ADSL(Asymmetric Digital Subscriber Line，非对称数字用户环路)拨号或其它宽带方式接入互联网。

(3)IDC(Internet Data Center，互联网数据中心)设备：互联网服务商提供的专业的服务器托管区域，包含为企业或个人提供租用的网站、存储数据服务资源设备。

(4)Router设备：主要包含路由器、防火墙以及部分出口网关设备等，用来连接和服务不同体系结构网络设备。

(5)IOT设备(Internet of Things，物联网)：是指将各种信息传感设备，如射频识别装置、红外感应器、全球定位系统、激光扫描器等装置与互联网结合起来而形成的一个巨大网络。

(6)正态分布：一种概率统计分布，具有两个参数μ和σ²的连续型随机变量的分布，常见的标准差公式

作为特殊形态的正态分布，常用于异常样本检测。

如上介绍了本发明实施例中涉及的部分用语，下面对本发明实施例涉及的技术特征进行介绍。

为了便于理解本发明实施例，首先以图1中示出的系统结构为例说明适用于本发明实施例的检测业务访问请求的系统架构。如图1所示，该检测业务访问请求的系统架构可以包括IP的历史业务访问请求信息分析处理模块100、IP设备属性画像建立模块200、IP所属风险行为等级实时确定模块300、数据库400以及IP所属风险行为等级离线更新模块500。

其中，IP的历史业务访问请求信息分析处理模块100用于收集各IP的历史业务访问请求信息，比如针对每个IP，收集该IP在设定窗口时段内(比如1天内或5天内等)的业务访问请求信息。在收集好各IP的历史业务访问请求信息后，针对每个IP，通过预设的检测规则，检测该IP在设定窗口时段内的业务访问请求信息中是否具有恶意字符，以此确定IP A是否具备明显的攻击特征。同时，统计出该IP在设定窗口时段内每个子时段的业务访问请求次数。然后，将各IP的攻击行为特征以及每个子时段的业务访问请求次数上报给IP所属风险行为等级实时确定模块300。

IP设备属性画像建立模块200用于针对每个IP，通过利用常见的端口、web扫描工具，对该IP进行反向发起网络扫描。同时，通过关联网络TCP(Transmission ControlProtocol，传输控制协议)/IP协议栈Banner信息、操作系统版本、端口开放情况、地理位置以及Web应用层指纹数据等多维度模型，为该IP进行建立画像，并将建立好的IP设备属性画像(包括各IP的设备属性风险特征)上报给IP所属风险行为等级实时确定模块300。

IP所属风险行为等级实时确定模块300用于根据IP的历史业务访问请求信息分析处理模块100上报的各IP在每个子时段的业务访问请求次数确定出各IP对应的攻击频率特征，并根据IP的历史业务访问请求信息分析处理模块100上报的各IP对应的攻击行为特征、设备属性风险特征以及攻击频率特征进行计算，确定出各IP所属的风险行为等级(即各IP对应的信誉度值)。然后将各IP所属的风险行为等级存储至数据库400中。

IP所属风险行为等级离线更新模块500用于按照设定时间间隔(比如10秒、30秒或1分钟等)，定期动态更新各IP所属的风险行为等级。也即是从数据库400中获取历史已存储的各IP所属的风险行为等级，并对历史已存储的各IP所属的风险行为等级分别进行重新评定，确定出更新后的各IP所属的风险行为等级，并将更新后的各IP所属的风险行为等级存储至数据库400中。

需要说明的是，上述图1所示的结构仅是一种示例，本发明实施例对此不做限定。

基于上述描述，图2示例性的示出了本发明实施例提供的一种检测业务访问请求的方法的流程，该流程可以由检测业务访问请求的装置执行。

如图2所示，该流程具体包括：

步骤201，在检测到访问业务系统的任一业务访问请求的请求方的网络协议IP时，获取所述IP在设定窗口时段内访问所述业务系统的业务访问请求信息。

本发明实施例中，在检测到访问业务系统的某一业务访问请求时，从该业务访问请求的数据包中解析出网络协议(或互联网协议)IP，并基于该IP获取该IP在设定窗口时段内访问业务系统的业务访问请求信息。或者，可以设置一个检测周期(比如1分钟、5分钟、10分钟、30分钟或一天等)，在该检测周期到达时，针对访问业务系统的每个IP，基于该IP从数据库中获取该IP在设定窗口时段内访问业务系统的业务访问请求信息。其中，该业务访问请求信息可以包括源IP、网络协议(或互联网协议)类型、源端口、数据包内容以及业务请求访问记录等。

示例性地，以IP A为例，某一用户通过某一物理机设备(比如云服务器)基于IP A向业务系统发送业务访问请求，在检测到该业务访问请求时，从该业务访问请求的数据包中解析出IP A，并基于该IP A获取该IP A在设定窗口时段内(比如1天内、5天内、10天内、20天内或30天内等)访问业务系统的业务访问请求信息。或者，在检测周期(比如5分钟)到达时，可以针对访问业务系统的IP A，从数据库中获取该IP A在设定窗口时段内访问业务系统的业务访问请求信息。

步骤202，对所述IP在设定窗口时段内的业务访问请求信息进行内容检测，确定所述IP对应的攻击行为特征。

本发明实施例中，在获取到某一IP在设定窗口时段内的业务访问请求信息后，就可以针对该IP在设定窗口时段内的业务访问请求信息进行内容检测，以此确定该IP对应的攻击行为特征。具体地，通过预设的检测规则，检测该IP在设定窗口时段内的业务访问请求信息中是否具有恶意字符(比如注入的跨站脚本所对应的关键字符)。若确定业务访问请求信息中具有恶意字符，则为该IP标记对应的第一攻击行为特征；若确定业务访问请求信息中不具有恶意字符，则为该IP标记对应的第二攻击行为特征。如此，就可以为后续及时准确地评估该IP所对应的具体风险程度提供支持。

示例性地，继续以IP A为例，针对IP A在设定窗口时段内(比如1天内)的每一个业务访问请求信息，对该业务访问请求信息的数据包进行4层标准化解析，可以获取到网络协议(或互联网协议)类型、源IP(即IP A)、源端口、数据包内容以及业务请求访问记录等。然后，通过预设的字符串匹配规则以及正则内容特征规则对数据包内容进行内容检测，确定IP A对应的业务访问请求信息中的数据包内容是否存在恶意字符，以此确定IP A是否具备明显的攻击特征，并记为α_i。如果该IP A对应的业务访问请求信息中的数据包内容存在恶意字符，则为该IP A标记上恶意标签，即该IP A对应的攻击行为特征(即攻击行为分值)α_i＝100，IP A具备明显的攻击特征；如果该IP A对应的业务访问请求信息中的数据包内容不存在恶意字符，则为该IP A标记上正常标签，即该IP A对应的攻击行为特征(即攻击行为分值)α_i＝0，IP A不具备攻击特征。例如，以IP A和IP B为例，假设IP A的请求路径为http://xxx.com/login？username＝luca；IP B的请求路径为http://xxx.com/login？username＝alert(1)。通过预设的字符串匹配规则以及正则内容特征规则对IP A对应的业务访问请求信息中的数据包内容以及IP B对应的业务访问请求信息中的数据包内容分别进行内容检测，确定IP A对应的业务访问请求信息中的数据包内容不存在恶意字符，则IP A对应的业务访问请求为正常业务访问请求，即α_i＝0，IP A不具备攻击特征；确定IP B对应的业务访问请求信息中的数据包内容存在恶意字符(即alert(1)等，为跨站脚本攻击)，则IP B对应的业务访问请求为恶意业务访问请求，即α_i＝100，IP B具备明显的攻击特征。

步骤203，根据所述IP在所述设定窗口时段内各子时段的业务访问请求的次数，确定所述IP对应的攻击频率特征。

本发明实施例中，由于非法用户的攻击行为一般属于随机性行为，并不是每天固定持续性攻击，比如在某天对业务系统发送大量恶意业务请求包，便会在目的达成后停止攻击行为。也即是，非法用户的攻击行为混在业务系统的所有业务请求包中，所以恶意业务请求频率是一个小概率事件。因此，根据大量的用户历史业务访问请求统计，可以发现业务访问请求频率在周期时间内(比如设定窗口时段内)是符合正态分布的，也即是IP在设定窗口时段内的业务访问请求次数的分布规律符合正态分布。基于此，本发明中的技术方案通过构建出一个用于确定攻击频率特征的计算规则，以便对IP在设定窗口时段内(即周期时间内)各子时段的业务访问请求次数进行统计处理，从而可以准确地确定出IP对应的攻击频率特征。具体地，针对每个IP，统计该IP在设定窗口时段内各子时段的业务访问请求次数，并基于该IP在各子时段的业务访问请求次数，确定该IP对应的第一攻击频率。再基于该IP在各子时段的业务访问请求次数以及第一攻击频率，确定该IP对应的第二攻击频率。然后，根据第一攻击频率和第二攻击频率，就可以及时准确地确定该IP对应的攻击频率特征，也就能为后续直观清晰地反映IP的具体风险程度提供支持，当然也能够具体地反映出IP的风险行为。其中，第一攻击频率用于表征IP访问业务系统的访问行为集中趋势程度；第二攻击频率用于表征IP访问业务系统的访问行为离散程度。

进一步地，可以通过下述方式确定IP对应的第一攻击频率：

其中，mean_i用于表示某一IP对应的第一攻击频率；a_n用于表示第n天某一IP的总业务访问请求次数；W_d用于表示设定窗口时段，单位为天。

可以通过下述方式确定IP对应的第二攻击频率：

其中，var_i用于表示某一IP对应的第二攻击频率。需要说明的是，由于非法用户的攻击行为混在业务系统的所有业务请求包中，所以恶意业务请求频率是一个小概率事件，对于攻击频率次数落在(μ-3σ,μ+3σ)之外的业务访问请求流量，可疑程度较高，对应的IP也将被标记为高风险，基于此，本发明实施例定义出上述用于确定IP对应的第二攻击频率的计算公式。如此，如果IP每天的业务访问请求次数相对固定，var_i值越低，IP对应的风险程度越低，可信度也就越高。

或者，也可以通过下述方式确定IP对应的第一攻击频率：

T_i＝a₀+a₁+…+a_n

其中，T_i用于表示某一IP对应的第一攻击频率；a_n用于表示第n天某一IP的总业务访问请求次数。

或者，也可以通过下述方式确定IP对应的第二攻击频率：

其中，M_i用于表示IP对应的第二攻击频率。

基于上述内容可知，可以通过下述方式确定IP对应的攻击频率特征：

其中，γ_i用于表示某一IP对应的攻击频率特征；mean_i用于表示某一IP对应的第一攻击频率；var_i用于表示某一IP对应的第二攻击频率；F_i用于表示运算中间结果值。

或者，也可以通过下述方式确定IP对应的攻击频率特征：

其中，γ_i用于表示某一IP对应的攻击频率特征；T_i用于表示某一IP对应的第一攻击频率；M_i用于表示某一IP对应的第二攻击频率；D_i用于表示运算中间结果值。

示例性地，以IP A和IP B为例，假设IP A和IP B在3天内的业务访问请求量如表1所示。

表1

天数/次数	IP A	IP B
			第1天	100次	0次
第2天	200次	5000次
			第3天	150次	20次

以第一种确定IP对应的攻击频率特征的计算方式为例进行描述，即，按照上述第一种确定IP对应的第一攻击频率的计算方式可以计算出IP A对应的第一攻击频率，即mean_A＝(100+200+150)/3＝150，同时可以计算出IP B对应的第一攻击频率，即mean_B＝(0+5000+20)/3＝1673.33。按照上述第一种确定IP对应的第二攻击频率的计算方式可以计算出IP A对应的第二攻击频率，即

同时可以计算出IP B对应的第二攻击频率，即

基于此可知，IP B对应的第二攻击频率值明显高于IP A对应的第二攻击频率值，IP B访问业务系统的访问行为更加离散，IP B所对应的风险程度也会相对IP A较高。

在计算出IP A对应的第一频率、第二频率以及IP B对应的第一频率、第二频率后，可以通过按照上述第一种确定IP对应的攻击频率特征的计算公式计算出IP A对应的攻击频率特征(即攻击频率分数)，即F_A＝mean_A*

同时可以计算出IP B对应的攻击频率特征(即攻击频率分数)，即

步骤204，根据所述IP对应的地址属性信息和设备属性信息，确定所述IP对应的设备属性风险特征。

本发明实施例中，由于通过不同物理机设备的IP攻击业务系统所带来的风险性不同，因此，本发明中的技术方案通过引入IP对应的设备属性特征来结合攻击行为特征、攻击频率特征一起共同评估IP对应的具体风险程度。也即是，利用端口扫描工具，对通过端口访问业务系统的该IP进行反向追踪，确定出该IP对应的设备属性信息，并通过地理位置查询接口查询出该IP对应的地址属性信息。然后，根据该IP对应的地址属性信息的地址属性权重以及设备属性信息的设备属性权重，就可以及时准确地确定出该IP对应的设备属性风险特征。

其中，可以通过下述方式确定各地址属性信息对应的各地址属性权重和各设备属性信息对应的各设备属性权重：通过层次分析法，对各IP对应的各地址属性信息、各设备属性信息进行分析处理，确定出各地址属性信息对应的各地址属性权重和各设备属性信息对应的各设备属性权重，并将各地址属性信息对应的各地址属性权重和各设备属性信息对应的各设备属性权重进行存储。如此，通过层次分析法对确定IP的设备属性权重的各影响因素(比如地址属性信息和设备属性信息)进行分析，可以及时有效地确定出各影响因素的权重，以便为后续及时准确地得到IP对应的设备属性风险特征提供支持，也就能为后续直观清晰地反映IP的具体风险程度提供支持。

示例性地，针对每个IP，通过利用常见的端口、web扫描工具，对该IP进行反向发起网络扫描。同时，通过关联网络TCP(Transmission Control Protocol，传输控制协议)/IP协议栈Banner信息、操作系统版本、端口开放情况、地理位置以及Web应用层指纹数据等多维度模型，为该IP进行建立画像，并将建立好的IP设备属性画像进行存储。具体地，可以将上述记录到的Banner、端口号、操作系统版本以及HTTP关键字段等信息上传到云端分析引擎进行离线判定。针对PC、IDC、Router、IOT等设备有不同的聚类算法和判定模型，PC设备会根据IP历史存活度进行打分计算(例如标记同一个IP是否处于长期在线)，而IDC设备会结合IP开放的端口协议以及物理机上实际运行的业务情况进行关联分析。Router\IOT设备区别于以上类型的设备，会根据不同设备厂商定制的专用的网络协议(MQTT(MessageQueuing Telemetry Transport，消息队列遥测传输)\REST(Representational StateTransfer，资源表现层状态转移)\XMPP(Extensible Messaging and Presence Protocol，可扩展通讯和表示协议)\AMQP(Advanced Message Queuing Protocol，高级消息队列协议)等)、端口服务以及操作系统版本进行关联分析。IP设备画像分为PC、IDC以及IOT设备。通常处于海外地址且设备类型为IDC设备、IOT设备的IP，往往为被真实恶意控制的僵尸主机，所以通过IDC设备或IOT设备利用某一海外IP访问业务系统所带来的风险性相对更高。因此，通过引入AHP层次分析法(Analytic Hierarchy Process)，针对不同设备类型进行计算各设备类型对确定IP对应的设备属性风险特征的影响权重，设定了如表2所示的四阶矩阵风险权重。通过设置两两因素对比值，对不同属性画像进行1-10分标度法，最终获取到如表3所示的每个设备属性所对应的权重占比值。

表2

设备属性画像	PC设备属性	IDC设备属性	IOT设备属性	海外地址属性
					PC设备	1	1/5	1/9	1/9
IDC设备	5	1	1/5	1/5
					IOT设备	9	5	1	1/3
海外地址	9	5	3	1

其中，以IDC设备属性相对PC设备属性为例，IDC设备属性相对PC设备属性对IP对应的设备属性风险特征的影响程度更大，因此在数值上两者打分为1/5。其它设备属性的矩阵数值可以按照IDC设备属性相对PC设备属性的方式进行打分，在此不再赘述。

表3

海外地址	IOT设备	PC设备	IDC设备	画像总权重值
					0.5314	0.314	0.0382	0.1164	1

其中，基于表3可以看出，IP对应的设备属性具备海外地址、IOT设备的特性时，所占的风险权重比值更大，则IP对应的风险程度也更高。

此外，本发明实施例通过下述方式确定IP对应的设备属性风险特征：

β_i＝(W₀+W₁+…+W_n)*100

其中，β_i用于表示某一IP对应的设备属性风险特征，W_n用于表示每个设备属性所对应的权重占比值。

示例性地，以IP A和IP B为例，假设IP A的设备属性特征为国内地址、PC设备；假设IP B的设备属性特征为海外地址、IDC设备。按照上述确定某一IP对应的设备属性风险特征的计算方式可以计算出IP A对应的设备属性风险特征(即设备属性风险分数)，即β_A＝(0+0.0382)×100＝3.82。同时，可以计算出IP B对应的设备属性风险特征(即设备属性风险分数)，即β_B＝(0.5314+0.1164)×100＝64.78。其中，国内地址对应的权重占比值为0。

步骤205，基于所述IP对应的攻击行为特征、设备属性风险特征以及攻击频率特征，确定是否允许所述IP对应的业务访问请求。

本发明实施例中，通过层次分析法对各IP对应的攻击行为特征、设备属性风险特征以及攻击频率特征进行分析处理，确定攻击行为特征的权重、设备属性风险特征的权重以及攻击频率特征的权重，比如通过AHP层次分析法，针对各不同特征(即攻击行为特征、设备属性风险特征和攻击频率特征)构建三个影响因素(即攻击行为特征、设备属性风险特征和攻击频率特征)对比矩阵，即该三个特征两两比较，形成一个三阶矩阵，再计算这个三阶矩阵的特征向量，并基于这个三阶矩阵的特征向量，确定出攻击行为特征的权重、设备属性风险特征的权重以及攻击频率特征的权重。或者，可以根据本领域技术人员的经验值或者根据多次实验所得出的结果进行设置攻击行为特征的权重、设备属性风险特征的权重和攻击频率特征的权重。再根据IP对应的攻击行为特征、设备属性风险特征、攻击频率特征、攻击行为特征的权重、设备属性风险特征的权重和攻击频率特征的权重，可以更加全面且准确的评估出IP所属的风险行为等级，以此综合评估出IP所对应的具体风险程度，从而可以实现对各IP所对应的风险程度进行定量描述，同时也会将各IP所属的风险行为等级存储在数据库中。然后，根据IP所属的风险行为等级，就可以及时准确地确定是否允许IP对应的业务访问请求，以此可以确保业务系统的数据安全性。

其中，可以通过下述方式确定IP所属的风险行为等级：

S_i＝α_i*w₀+β_i*w₁+γ_i*w₂

其中，S_i用于表示某一IP所属的风险行为等级；α_i用于表示某一IP对应的攻击行为特征；β_i用于表示某一IP对应的设备属性风险特征；γ_i用于表示某一IP对应的攻击频率特征；w₀用于表示攻击行为特征的权重；w₁用于表示设备属性风险特征的权重；w₂用于攻击频率特征的权重。需要说明的是，在确定各IP所属的风险行为等级时，各IP所采用的攻击行为特征的权重是相同的、各IP所采用的设备属性风险特征的权重是相同的、以及各IP所采用的攻击频率特征的权重是相同的。

示例性地，以IP A和IP B为例，假设攻击行为特征α_i的权重为0.5，设备属性风险特征β_i的权重为0.2，攻击频率特征γ_i的权重为0.3。并假设IP A不具备攻击特征，即α_i＝0，IP B具备明显的攻击特征，即α_i＝100；假设计算出IP A对应的设备属性风险特征β_A＝3.82，IP B对应的设备属性风险特征β_B＝64.78。以及假设计算出IP A对应的攻击频率特征γ_A＝73.24；计算出IP B对应的攻击频率特征γ_B＝95.04。因此，可以计算出IP A所属的风险行为等级(即IP A的信誉度值)S_A＝0×0.5+3.82×0.2+73.24×0.3＝22.74；计算出IP B所属的风险行为等级(即IP B的信誉度值)S_B＝100×0.5+64.78×0.2+95.04×0.3＝91.108。如此，通过根据各IP所属的风险行为等级即可确定出各IP对应的具体风险程度。也即是，某一IP所属的风险行为等级越高，该IP对应的具体风险程度也越大。同时，基于这个计算结果也能够看出，IP B具备海外地址、IOT设备的属性特征，对业务系统发起了大量且不规律的攻击行为，同时针对业务系统的业务访问请求也存在部分恶意字符，因此IP B所属的风险行为等级(即IP B的信誉度值)也远远高于IP A所属的风险行为等级(即IP A的信誉度值)。

其中，在确定各IP所属的风险行为等级时，可以设置风险行为等级范围，即，高风险行为等级、较高风险行为等级、中风险行为等级、较低风险行为等级以及低风险行为等级。以信誉度值满分100分为例，信誉度值80～100分为高风险行为等级，信誉度值60～80分为较高风险行为等级；信誉度值40～60分为中风险行为等级；信誉度值20～40分为较低风险行为等级；信誉度值0～20分为低风险行为等级。同时，根据不同的风险行为等级设置不同的业务访问安全防护规则。也即是说，在确定出各IP的信誉度值后，就可以确定出各IP所属的风险行为等级，并根据各IP所属的风险行为等级能够选择出不同的业务访问安全防护规则，以便针对各IP采取不同的安全防护策略。例如，以IP A为例，假设IP A触发高风险行为等级的安全防护规则，则业务系统会立即针对IP A的业务访问请求进行拦截并拒绝IP A的业务访问请求，当前也有可能对IP A进行封禁。或者，假设IP A触发低风险行为等级的安全防护规则，则业务系统会允许IP A的业务访问请求。

示例性地，继续以IP A和IP B为例，假设计算出IP A的信誉度值S_A＝22.74，IP B的信誉度值S_B＝91.108，也就可以确定IP A属于较低风险行为等级，以及确定IP B属于高风险行为等级。基于此，可以确定IP A会触发较低风险行为等级的安全防护规则，则业务系统也会允许IP A的业务访问请求。然而，IP B会触发高风险行为等级的安全防护规则，则业务系统会立即针对IP B的业务访问请求进行拦截并拒绝IP B的业务访问请求，当前也有可能对IP B进行封禁。

此外，由于历史出现的各IP所属的风险等级随着时间的推移，对业务系统实际可能造成的风险程度会逐渐降低，也即是，时间越久远的攻击行为对当前的业务系统实际可能造成的风险程度会变小，因此通过按照设定时间间隔(比如10秒、30秒、1分钟、5分钟、30分钟、1天或5天等)，对历史已存储的各IP所属的风险行为等级(即各IP的信誉度值)分别进行重新评定，也即是对历史已存储的各IP所属的风险行为等级分别进行更新，可以确保各IP所属的风险行为等级的实时有效性，也就可以使得各IP所属的风险行为等级有了更精确的时间有效期。

其中，可以通过下述方式定期动态更新各IP所属的风险行为等级：

其中，S_j用于表示更新后的某一IP所属的风险行为等级；λ用于表示更新比例常量，可以根据实际应用场景进行调整；Δd表示S_old与S_new的日期差；S_new用于表示某一IP当前所属的风险行为等级；S_old用于表示某一IP距离当前日期最近的日期对应的风险行为等级。

上述实施例表明，在检测到访问业务系统的任一业务访问请求的请求方的网络协议IP时，就会立即去获取该IP在设定窗口时段内访问所述业务系统的业务访问请求信息，并对该IP在设定窗口时段内的业务访问请求信息进行内容检测，确定IP对应的攻击行为特征。再通过根据IP对应的地址属性信息和设备属性信息，确定IP对应的设备属性风险特征。然后，基于IP对应的攻击行为特征、设备属性风险特征以及攻击频率特征，确定是否允许该IP对应的业务访问请求。如此，该方案从攻击行为特征、设备属性风险特征以及攻击频率特征三个特征维度进行综合评估IP，可以更加全面且准确地评估出IP所对应的具体风险程度，以此可以实现对各IP所对应的风险程度进行定量描述。同时，根据该风险程度就可以及时准确地确定是否允许该IP对应的业务访问请求，以此可以确保业务系统的数据安全性。此外，由于该方案可以评估出IP所对应的具体风险程度，因此可以基于各IP所对应的具体风险程度对各IP进行更精细粒度地划分，以此可以使得各IP能够更加直观清晰地进行展示，也就可以便于决策者及时准确地做出决策。而且，由于可以更加直观精确地展示出各IP所对应的具体风险程度，如此就可以避免现有技术简单粗暴的将某一临时IP进行封禁而导致其它正常访问者无法使用该临时IP进行正常，从而可以提升用户体验。

基于相同的技术构思，图3示例性的示出了本发明实施例提供的一种检测业务访问请求的装置，该装置可以执行检测业务访问请求的方法的流程。

如图3所示，该装置包括：

获取单元301，用于在检测到访问业务系统的任一业务访问请求的请求方的网络协议IP时，获取所述IP在设定窗口时段内访问所述业务系统的业务访问请求信息；

处理单元302，用于对所述IP在设定窗口时段内的业务访问请求信息进行内容检测，确定所述IP对应的攻击行为特征；根据所述IP在所述设定窗口时段内各子时段的业务访问请求的次数，确定所述IP对应的攻击频率特征；根据所述IP对应的地址属性信息和设备属性信息，确定所述IP对应的设备属性风险特征；基于所述IP对应的攻击行为特征、设备属性风险特征以及攻击频率特征，确定是否允许所述IP对应的业务访问请求。

可选地，所述处理单元302具体用于：

可选地，所述处理单元302具体用于：

可选地，所述处理单元302具体用于：

可选地，所述处理单元302还用于：

基于相同的技术构思，本发明实施例还提供了一种计算设备，如图4所示，包括至少一个处理器401，以及与至少一个处理器连接的存储器402，本发明实施例中不限定处理器401与存储器402之间的具体连接介质，图4中处理器401和存储器402之间通过总线连接为例。总线可以分为地址总线、数据总线、控制总线等。

在本发明实施例中，存储器402存储有可被至少一个处理器401执行的指令，至少一个处理器401通过执行存储器402存储的指令，可以执行前述的检测业务访问请求的方法中所包括的步骤。

其中，处理器401是计算设备的控制中心，可以利用各种接口和线路连接计算设备的各个部分，通过运行或执行存储在存储器402内的指令以及调用存储在存储器402内的数据，从而实现数据处理。可选的，处理器401可包括一个或多个处理单元，处理器401可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理下发指令。可以理解的是，上述调制解调处理器也可以不集成到处理器401中。在一些实施例中，处理器401和存储器402可以在同一芯片上实现，在一些实施例中，它们也可以在独立的芯片上分别实现。

处理器401可以是通用处理器，例如中央处理器(CPU)、数字信号处理器、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本发明实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合检测业务访问请求的方法实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

存储器402作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器402可以包括至少一种类型的存储介质，例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory，RAM)、静态随机访问存储器(Static Random Access Memory，SRAM)、可编程只读存储器(Programmable Read Only Memory，PROM)、只读存储器(Read Only Memory，ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，EEPROM)、磁性存储器、磁盘、光盘等等。存储器402是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本发明实施例中的存储器402还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。

基于相同的技术构思，本发明实施例还提供了一种计算机可读存储介质，其存储有可由计算设备执行的计算机程序，当所述程序在所述计算设备上运行时，使得所述计算设备执行上述检测业务访问请求的方法的步骤。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

1.一种检测业务访问请求的方法，其特征在于，包括：

2.如权利要求1所述的方法，其特征在于，所述对所述IP在设定窗口时段内的业务访问请求信息进行内容检测，确定所述IP对应的攻击行为特征，包括：

3.如权利要求1所述的方法，其特征在于，所述根据所述IP对应的地址属性信息和设备属性信息，确定所述IP对应的设备属性风险特征，包括：

4.如权利要求3所述的方法，其特征在于，通过下述方式确定各地址属性信息对应的各地址属性权重和各设备属性信息对应的各设备属性权重：

5.如权利要求1所述的方法，其特征在于，所述根据所述IP在所述设定窗口时段内各子时段的业务访问请求的次数，确定所述IP对应的攻击频率特征，包括：

6.如权利要求5所述的方法，其特征在于，所述IP对应的第二攻击频率满足下述形式：

7.如权利要求5所述的方法，其特征在于，所述IP对应的攻击频率特征满足下述形式：

8.如权利要求1至7任一项所述的方法，其特征在于，基于所述IP对应的攻击行为特征、设备属性风险特征以及攻击频率特征，确定是否允许所述IP对应的业务访问请求，包括：

9.如权利要求8所述的方法，其特征在于，在确定所述IP所属的风险行为等级之后，还包括：

将各IP所属的风险行为等级存储在数据库中；

10.一种检测业务访问请求的装置，其特征在于，包括：