CN113660257B - 请求拦截方法、装置、电子设备和计算机可读存储介质 - Google Patents

请求拦截方法、装置、电子设备和计算机可读存储介质 Download PDF

Info

Publication number
CN113660257B
CN113660257B CN202110931797.7A CN202110931797A CN113660257B CN 113660257 B CN113660257 B CN 113660257B CN 202110931797 A CN202110931797 A CN 202110931797A CN 113660257 B CN113660257 B CN 113660257B
Authority
CN
China
Prior art keywords
network application
address
request
application firewall
interception
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110931797.7A
Other languages
English (en)
Other versions
CN113660257A (zh
Inventor
张博洋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Knownsec Information Technology Co Ltd
Original Assignee
Beijing Knownsec Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Knownsec Information Technology Co Ltd filed Critical Beijing Knownsec Information Technology Co Ltd
Priority to CN202110931797.7A priority Critical patent/CN113660257B/zh
Publication of CN113660257A publication Critical patent/CN113660257A/zh
Application granted granted Critical
Publication of CN113660257B publication Critical patent/CN113660257B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请实施例提出一种请求拦截方法、装置、电子设备和计算机可读存储介质,涉及网络安全领域。数据分析服务器通过获取过去预设时间段内从网络应用防火墙接收到的所有网站访问日志,针对每条网站访问日志,若多个恶意行为采集点中存在与网站访问日志匹配的恶意行为采集点,则将网站访问日志对应的数据元组的计数增加一次,根据所有数据元组对应的计数值,选取符合预设条件的目标数据元组,并将目标数据元组中的IP地址加入IP拦截列表,将该IP拦截列表发送至网络应用防火墙,以便网络应用防火墙在接收到与该IP拦截列表中的IP地址匹配的代理IP请求时,对该代理IP请求进行拦截,提高了代理IP请求的识别和拦截效果。

Description

请求拦截方法、装置、电子设备和计算机可读存储介质
技术领域
本申请涉及网络安全领域,具体而言,涉及一种请求拦截方法、装置、电子设备和计算机可读存储介质。
背景技术
随着互联网的高速发展,网络恶意攻击已经成为业界不可忽视的问题。网络恶意攻击可以是为达到一定目的而采取的非正常手段,如,网络攻击、恶意请求等。在网络环境中,网络恶意行为可以在极短的时间内致使网站不能正常为用户提供服务,这严重影响了互联网的正常运作。
如今一些访问请求会利用IP代理池实现网络爬虫、僵尸帐号注册、网络投票、刷量刷单等,但是这些往往伴随着欺诈行为和恶意访问行为,在一般的风控策略中属于直接封禁对象。当一些访问请求配置了IP代理池之后,就可以利用海量的代理IP请求资源隐藏自身的真实IP请求。在这种情况下,由于网站服务器端接受的请求是来自不同的IP请求,一些既定的针对单个代理IP请求的防护策略将被绕过。并且,现在一些场景下,用户会使用秒拨程序或混拨程序在构建的IP代理池上不断切换主机自身的代理IP请求,为大量的网络请求配置不同的代理IP请求从而绕过针对单个代理IP请求的防护策略。
由于通过配置IP代理池发送的请求与正常用户的请求几乎完全相同,仅仅通过检查请求特征无法高效地识别代理IP请求;而且,利用了IP代理池的网络程序可以绕过针对单一代理IP请求的防护机制,使代理IP请求更加难以识别和拦截。
发明内容
有鉴于此,本申请的目的在于提供一种请求拦截方法、装置、电子设备和计算机可读存储介质,以提高代理IP请求的识别和拦截效果。
为了实现上述目的,本申请实施例采用的技术方案如下:
第一方面,本申请实施例提供了一种请求拦截方法,所述数据分析服务器与网络应用防火墙通信连接,所述数据分析服务器中预先设置有多个恶意行为采集点,所述方法包括:
获取过去预设时间段内从所述网络应用防火墙接收到的所有网站访问日志;所述网站访问日志由所述网络应用防火墙根据用户终端对接入所述网络应用防火墙的网站发起的访问请求生成;
针对每条所述网站访问日志,若所述多个恶意行为采集点中存在与所述网站访问日志匹配的恶意行为采集点,则将所述网站访问日志对应的数据元组的计数增加一次;所述数据元组中包括所述用户终端的IP地址;
根据所有数据元组对应的计数值,选取符合预设条件的目标数据元组,并将所述目标数据元组中的IP地址加入IP拦截列表;
将所述IP拦截列表发送至所述网络应用防火墙,以便所述网络应用防火墙在接收到与所述IP拦截列表中的IP地址匹配的代理IP请求时,对所述代理IP请求进行拦截。
在可选的实施方式中,所述根据所有数据元组对应的计数值,选取符合预设条件的目标数据元组,包括:
从计数值大于第一预设值的数据元组中,确定具有相同IP地址的数据元组的数量;
若所述具有相同IP地址的数据元组的数量大于第二预设值,则将所述具有相同IP地址的数据元组确定为目标数据元组。
在可选的实施方式中,所述网站访问日志包括访问地址,每个所述恶意行为采集点包括待匹配地址,若所述网站访问日志中的访问地址与所述多个恶意行为采集点中的任一恶意行为采集点中的待匹配地址相同,则确定所述多个恶意行为采集点中存在与所述网站访问日志匹配的恶意行为采集点。
第二方面,本申请实施例提供了一种请求拦截方法,应用于网络应用防火墙,所述网络应用防火墙与数据分析服务器通信连接,所述数据分析服务器中预先设置有多个恶意行为采集点,所述方法包括:
接收用户终端发起的代理IP请求;
若所述代理IP请求与当前存储的IP拦截列表中的IP地址匹配,则对所述代理IP请求进行拦截;其中,所述IP拦截列表由所述数据分析服务器生成并发送给所述网络应用防火墙,所述数据分析服务器通过如下方式生成所述IP拦截列表:
获取过去预设时间段内从所述网络应用防火墙接收到的所有网站访问日志;所述网站访问日志由所述网络应用防火墙根据用户终端对接入所述网络应用防火墙的网站发起的访问请求生成;针对每条所述网站访问日志,若所述多个恶意行为采集点中存在与所述网站访问日志匹配的恶意行为采集点,则将所述网站访问日志对应的数据元组的计数增加一次;所述数据元组中包括所述用户终端的IP地址;根据所有数据元组对应的计数值,选取符合预设条件的目标数据元组,并将所述目标数据元组中的IP地址加入IP拦截列表。
在可选的实施方式中,所述数据分析服务器每隔预定时长生成新的IP拦截列表并将所述新的IP拦截列表发送至所述网络应用防火墙,所述方法还包括:当接收到所述数据分析服务器发送的所述新的IP拦截列表,则根据所述新的IP拦截列表更新原有的IP拦截列表。
第三方面,本申请实施例提供了一种请求拦截装置,应用于数据分析服务器,所述数据分析服务器与网络应用防火墙通信连接,所述数据分析服务器中预先设置有多个恶意行为采集点,所述装置包括:
获取模块,用于获取过去预设时间段内从所述网络应用防火墙接收到的所有网站访问日志;所述网站访问日志由所述网络应用防火墙根据用户终端对接入所述网络应用防火墙的网站发起的访问请求生成;
计数模块,用于针对每条所述网站访问日志,若所述多个恶意行为采集点中存在与所述网站访问日志匹配的恶意行为采集点,则将所述网站访问日志对应的数据元组的计数增加一次;所述数据元组中包括所述用户终端的IP地址;
列表更新模块,用于根据所有数据元组对应的计数值,选取符合预设条件的目标数据元组,并将所述目标数据元组中的IP地址加入IP拦截列表;
发送模块,用于将所述IP拦截列表发送至所述网络应用防火墙,以便所述网络应用防火墙在接收到与所述IP拦截列表中的IP地址匹配的代理IP请求时,对所述代理IP请求进行拦截。
在可选的实施方式中,所述列表更新模块包括:
数量确定单元,用于从计数值大于第一预设值的数据元组中,确定具有相同IP地址的数据元组的数量;
目标数据元组确定单元,若所述具有相同IP地址的数据元组的数量大于第二预设值,则将所述具有相同IP地址的数据元组确定为目标数据元组。
第四方面,本申请实施例提供了一种请求拦截装置,应用于网络应用防火墙,所述网络应用防火墙与数据分析服务器通信连接,所述数据分析服务器中预先设置有多个恶意行为采集点,所述装置包括:
接收模块,用于接收用户终端发起的代理IP请求;
拦截模块,用于若所述代理IP请求与当前存储的IP拦截列表中的IP地址匹配,则对所述代理IP请求进行拦截;其中,所述IP拦截列表由所述数据分析服务器生成并发送给所述网络应用防火墙,所述数据分析服务器通过如下方式生成所述IP拦截列表:
获取过去预设时间段内从所述网络应用防火墙接收到的所有网站访问日志;所述网站访问日志由所述网络应用防火墙根据用户终端对接入所述网络应用防火墙的网站发起的访问请求生成;针对每条所述网站访问日志,若所述多个恶意行为采集点中存在与所述网站访问日志匹配的恶意行为采集点,则将所述网站访问日志对应的数据元组的计数增加一次;所述数据元组中包括所述用户终端的IP地址;根据所有数据元组对应的计数值,选取符合预设条件的目标数据元组,并将所述目标数据元组中的IP地址加入IP拦截列表。
第五方面,本申请实施例提供了一种电子设备,包括处理器和存储器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现前述实施方式中任意一项的方法。
第六方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现前述实施方式中任意一项的方法。
本申请实施例提供的一种请求拦截方法、装置、电子设备和计算机可读存储介质,数据分析服务器中预先设置有多个恶意行为采集点,该数据分析服务器通过获取过去预设时间段内从网络应用防火墙接收到的所有网站访问日志,其中,网站访问日志由网络应用防火墙根据用户终端对接入所述网络应用防火墙的网站发起的访问请求生成;针对每条网站访问日志,若多个恶意行为采集点中存在与网站访问日志匹配的恶意行为采集点,则将网站访问日志对应的数据元组的计数增加一次,再根据所有数据元组对应的计数值,选取符合预设条件的目标数据元组,并将目标数据元组中的IP地址加入IP拦截列表,将该IP拦截列表发送至网络应用防火墙,以便网络应用防火墙在接收到与该IP拦截列表中的IP地址匹配的代理IP请求时,对该代理IP请求进行拦截,根据访问请求中的代理IP请求对应的IP地址生成IP拦截列表,使网络应用防火墙可以根据该IP拦截列表拦截对应的代理IP请求,提高了代理IP请求的识别和拦截效果,并且数据分析服务器也仅是根据过去预设时间段内的请求所生成的网站访问日志,以此生成拦截列表并发送至网络应用防火墙,提高了IP拦截列表的分发效率。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本申请实施例提供的请求拦截方法的一种应用环境示意图;
图2示出了本申请实施例提供的一种电子设备的方框示意图;
图3示出了本申请实施例提供的应用于数据分析服务器的请求拦截方法的一种流程示意图;
图4示出了图3中步骤S105的子步骤的一种流程示意图;
图5示出了本申请实施例提供的应用于网络应用防火墙的请求拦截方法的一种流程示意图;
图6示出了本申请实施例提供的应用于网络应用防火墙的请求拦截方法的另一种流程示意图;
图7示出了本申请实施例所提供的应用于数据分析服务器的请求拦截装置的一种功能模块图;
图8示出了图7中列表更新模块的一种结构示意图;
图9示出了本申请实施例所提供的应用于网络应用防火墙的请求拦截装置的一种功能模块图;
图10示出了本申请实施例所提供的应用于网络应用防火墙的请求拦截装置的另一种功能模块图。
图标:10-数据分析服务器;20-网络应用防火墙;30-用户终端;40-网站;310-存储器;320-处理器;330-通信模块;101-获取模块;103-计数模块;105-列表更新模块;107-发送模块;1051-数量确定单元;1053-目标数据元组确定单元;401-接收模块;403-拦截模块;405-更新模块。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
请参考图1,为本申请实施例提供的请求拦截方法的一种应用环境示意图。如图1所示,数据分析服务器10与一个或者多个网络应用防火墙20通信连接,网络应用防火墙20与用户终端30和网站40均通信连接。其中,用户终端30为一个或多个,网站40为一个或多个,本申请实施例对此不进行限制。
在本实施例中,用户终端30可以通过网络应用防火墙20发送请求,网络应用防火墙20转发用户终端30发送的请求至网站40,网站40在接收到请求后,返回与该请求对应的响应给网络应用防火墙20,然后网络应用防火墙20将该响应转发给用户终端30。网络应用防火墙20在接收到请求时,还可以根据用户终端30发送的请求生成网站访问日志,并将所生成的网站访问日志发送给数据分析服务器10。
请参照图2,是本申请实施例提供的可以实现本申请思想的数据分析服务器10、网络应用防火墙20的电子设备的一种方框示意图。该电子设备包括存储器310、处理器320及通信模块330。存储器310、处理器320以及通信模块330各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
其中,存储器310用于存储程序或者数据。该存储器310可以是,但不限于,随机存取存储器(RandomAccess Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(ErasableProgrammable Read-Only Memory,EPROM),电可擦除只读存储器(Electric ErasableProgrammable Read-Only Memory,EEPROM)等。
处理器320可能是一种集成电路芯片,具有信号的处理能力。该处理器320可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(NetworkProcessor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
其中,该处理器320用于读写存储器310中存储的数据或程序,并执行相应的功能。例如,处理器320执行存储器310存储的计算机程序时,可以实现本申请各实施例揭示的请求拦截方法。
通信模块330用于通过网络建立所述服务器与其它通信终端之间的通信连接,并用于通过网络收发数据。
应当理解的是,图2所示的结构仅为电子设备的结构示意图,该电子设备还可包括比图2中所示更多或者更少的组件,或者具有与图2所示不同的配置。图2中所示的各组件可以采用硬件、软件或其组合实现。
现有技术中,通过搜集不同IP代理池服务的HTTP请求特征,以根据请求特征对其代理的请求进行拦截,但是HTTP请求特征大多都可以通过IP代理池的服务器配置而抹去,从而使得无论是用户终端发起的正常访问请求还是通过IP代理池发出的代理IP请求完全相同,无法有效拦截。而对代理请求的访问行为进行拦截或者通过搜集代理IP请求对应的IP地址组建黑名单,将IP黑名单中的IP地址请求全部拦截的方式,由于对访问行为分析规则或黑名单更新不及时,这些方式往往会存在漏拦截的情况。
基于上述问题,为了提高拦截效果,保证代理IP请求能被识别和拦截,本申请实施例提供一种请求拦截方法,图3为本申请实施例提供的应用于数据分析服务器的请求拦截方法的一种流程示意图。该方法包括:
步骤S101,获取过去预设时间段内从网络应用防火墙接收到的所有网站访问日志。
可选的,网站访问日志由网络应用防火墙根据用户终端对接入网络应用防火墙的网站发起的访问请求生成。不同网络应用防火墙生成的网站访问日志会异步地汇聚到数据分析服务器中,并且,无论用户终端发起的正常访问请求还是通过IP代理池发出的IP代理请求,都将被生成对应的网站访问日志。其中,过去预设时间段不受限制,可以根据实际应用需求进行设置,例如,可以将过去预设时间段设置为24H,数据分析服务器通过抽取过去24H内接收的所有网站访问日志,用于后续生成IP拦截列表。
步骤S103,针对每条网站访问日志,若多个恶意行为采集点中存在与网站访问日志匹配的恶意行为采集点,则将网站访问日志对应的数据元组的计数增加一次。
可选的,数据分析服务器中预先设置有多个恶意行为采集点。
数据分析服务器在接收到所有网络应用防火墙上传的网站访问日志后,针对每条网站访问日志,判断预先设置的多个恶意行为采集点中是否具有与网站访问日志匹配的恶意行为采集点,若存在,则将网站访问日志对应的数据元组的计数增加一次。
可选的,数据元组中包括用户终端的IP地址。
步骤S105,根据所有数据元组对应的计数值,选取符合预设条件的目标数据元组,并将目标数据元组中的IP地址加入IP拦截列表。
可选的,根据所有的网站访问日志对应的数据元组的计数值,将其中符合预设条件的数据元组作为目标数据元组,目标数据元组中包括的用户终端的IP地址就可以作为待拦截的代理IP地址,并将选取出的IP地址加入IP拦截列表,而IP拦截列表所包含的IP地址即是IP代理池中的代理IP地址。
步骤S107,将IP拦截列表发送至网络应用防火墙。
可选的,网络应用防火墙在接收到上述IP拦截列表后,当获取到与IP拦截列表中的IP地址匹配的代理IP请求时,就可以对代理IP请求进行拦截。
本申请实施例提供的请求拦截方法,通过数据分析服务器获取过去预设时间段内从网络应用防火墙接收到的所有网站访问日志,由于网站访问日志由网络应用防火墙根据用户终端对接入网络应用防火墙的网站发起的访问请求生成,那么针对每条网站访问日志,若多个恶意行为采集点中存在与网站访问日志匹配的恶意行为采集点,则将网站访问日志对应的数据元组的计数增加一次,再根据所有数据元组对应的计数值,选取符合预设条件的目标数据元组,并将目标数据元组中的IP地址加入IP拦截列表,将该IP拦截列表发送至网络应用防火墙,以便网络应用防火墙在接收到与该IP拦截列表中的IP地址匹配的代理IP请求时,对该代理IP请求进行拦截,根据访问请求中的代理IP请求对应的IP地址生成IP拦截列表,使网络应用防火墙可以根据该IP拦截列表拦截代理IP请求,提高了代理IP请求的识别和拦截效果,并且数据分析服务器也仅是根据过去预设时间段内的请求所生成的网站访问日志,以此生成IP拦截列表并发送至网络应用防火墙,而并不会根据过去预设时间段之外的请求生成IP拦截列表,提高了IP拦截列表的发送的效率。
为了根据所有数据元组对应的计数值,选取符合预设条件的目标数据元组,在图3的基础上,给出了一种可能的实现方式,以选取符合预设条件的目标数据元组,如图4,图4为本申请实施例提供的图3中步骤S105的子步骤的一种流程示意图。上述步骤S105,包括:
步骤S1051,从计数值大于第一预设值的数据元组中,确定具有相同IP地址的数据元组的数量。
可选的,当对全部的网站访问日志判断是否匹配恶意行为采集点,并网站访问日志对应的数据元组的计数增加完成之后,在计数值大于第一预设值的数据元组中,确定出具有相同IP地址的数据元组的数量。
其中,第一预设值大小不受限制,可以根据实际应用需求进行设置,例如,可以将第一预设值设置为10,在计数值大于10的数据元组中,确定出具有相同IP地址的数据元组的数量。
步骤S1053,若具有相同IP地址的数据元组的数量大于第二预设值,则将具有相同IP地址的数据元组确定为目标数据元组。
可选的,当具有相同IP地址的数据元组的数量大于第二预设值的数据元组时,则将该具有相同IP地址的数据元组确定为目标数据元组,以获取其中的IP地址,进而加入IP拦截列表中。
其中,第二预设值大小不受限制,可以根据实际应用需求进行设置,例如,可以将第二预设值设置为5,具有相同IP地址的数据元组的数量大于5的数据元组时,则将该具有相同IP地址的数据元组确定为目标数据元组。
步骤S1055,将目标数据元组中的IP地址加入IP拦截列表。
在一种可行的实施方式中,该网站访问日志可以包括访问地址,每个恶意行为采集点包括待匹配地址,通过网站访问日志中的访问地址与每个恶意行为采集点中的待匹配地址进行比较,可以判定网站访问日志与该恶意行为采集点是否匹配。其中,若网站访问日志中的访问地址与多个恶意行为采集点中的任一恶意行为采集点中的待匹配地址相同,则确定多个恶意行为采集点中存在与网站访问日志匹配的恶意行为采集点。
在本实施例中,多个恶意行为采集点可以由安全专家通过分析汇集到数据分析服务器的网站访问日志获得,由于网站访问日志中包含访问地址的信息,则可以根据网站访问日志,选取其中被访问次数较多的访问地址作为待匹配地址,用于生成恶意行为采集点,其中,访问地址包括域名访问端点,相应的,待匹配地址包括待匹配域名和待匹配端点。
例如,可以选择所有访问地址中被访问次数在前30%的访问地址作为待匹配地址,用于生成恶意行为采集点,最终得到如表1所示的多个恶意行为采集点。需要说明的是,实际应用中,一个待匹配域名可能对应多个待匹配端点。
表1
序号 接入网站名称 待匹配域名 待匹配端点
1 某信息公示系统 a.com /info/list/1
2 某演唱会购票系统 b.com /order/submit
3 某抢购系统 c.com /order/submit
…… …… …… ……
n 某大型投票系统 z.com /vote
下面,对网络应用防火墙对代理IP请求进行拦截的过程进行阐述。请参考图5,图5是本申请实施例提供的应用于网络应用防火墙的请求拦截方法的一种流程示意图。
步骤S201,接收用户终端发起的代理IP请求。
步骤S203,若代理IP请求与当前存储的IP拦截列表中的IP地址匹配,则对代理IP请求进行拦截,其中,IP拦截列表由数据分析服务器生成并发送给网络应用防火墙。
可选的,数据分析服务器获取过去预设时间段内从网络应用防火墙接收到的所有网站访问日志,由于网站访问日志由网络应用防火墙根据用户终端对接入网络应用防火墙的网站发起的访问请求生成,那么针对每条网站访问日志,若多个恶意行为采集点中存在与网站访问日志匹配的恶意行为采集点,则将网站访问日志对应的数据元组的计数增加一次,再根据所有数据元组对应的计数值,选取符合预设条件的目标数据元组,并将所述目标数据元组中的IP地址加入IP拦截列表,将该IP拦截列表发送至网络应用防火墙。
为了保证IP拦截列表的时效性,数据分析服务器可以每隔预定时长生成新的IP拦截列表并将新的IP拦截列表发送至网络应用防火墙。也即是说,数据分析服务器每隔预定时长就会根据上述图3-图4所示的步骤生成新的IP拦截列表,并将新的IP拦截列表发送至网络应用防火墙。其中,预定时长不受限制,可以根据实际应用需求进行设置,例如,可以将该预定时长设置为24H,数据分析服务器将根据过去24H的网站访问日志生成新的IP拦截列表。
由于数据分析服务器每隔预定时长就会下发新的IP拦截列表,故网络应用防火墙每隔预定时长会用接收到的新的IP拦截列表更新原有的IP拦截列表,如图6所示,该方法还可以包括以下步骤:
步骤S205,当接收到数据分析服务器发送的新的IP拦截列表,则根据新的IP拦截列表更新原有的IP拦截列表。
可选的,当网络应用服务器接收到数据分析服务器发送的新的IP拦截列表后,就会根据新的IP拦截列表更新原有的IP拦截列表。
需要说明的是,图6所示的步骤S205与步骤S201、步骤S203之间的执行先后顺序仅为一种示例,在实际应用中,步骤S205可能在步骤201与步骤S203之间执行,也可能在步骤S201之前执行,本实施例对此不进行限制。
请参考图7,本申请实施例所提供的应用于数据分析服务器10的请求拦截装置的一种功能模块图。该请求拦截装置包括:获取模块101、计数模块103、列表更新模块105和发送模块107。
获取模块101用于获取过去预设时间段内从网络应用防火墙接收到的所有网站访问日志,其中,网站访问日志由网络应用防火墙根据用户终端对接入网络应用防火墙的网站发起的访问请求生成。
可以理解,该获取模块101可以执行上述步骤S101。
计数模块103用于针对每条所述网站访问日志,若多个恶意行为采集点中存在与网站访问日志匹配的恶意行为采集点,则将网站访问日志对应的数据元组的计数增加一次,其中,数据元组中包括用户终端的IP地址。
可以理解,该计数模块103可以执行上述步骤S103。
列表更新模块105用于根据所有数据元组对应的计数值,选取符合预设条件的目标数据元组,并将目标数据元组中的IP地址加入IP拦截列表。
可以理解,该列表更新模块105可以执行上述步骤S105。
发送模块107用于将IP拦截列表发送至网络应用防火墙,以网络应用防火墙在接收到与IP拦截列表中的IP地址匹配的代理IP请求时,对代理IP请求进行拦截。
可以理解,该列表更新模块105可以执行上述步骤S107。
本申请实施例提供的请求拦截装置,通过获取模块获取过去预设时间段内从网络应用防火墙接收到的所有网站访问日志,由于网站访问日志由网络应用防火墙根据用户终端对接入网络应用防火墙的网站发起的访问请求生成,那么计数模块可以针对每条网站访问日志,若多个恶意行为采集点中存在与网站访问日志匹配的恶意行为采集点,则将网站访问日志对应的数据元组的计数增加一次,列表更新模块再根据所有数据元组对应的计数值,选取符合预设条件的目标数据元组,并将目标数据元组中的IP地址加入IP拦截列表,通过发送模块将该IP拦截列表发送至网络应用防火墙,以便网络应用防火墙在接收到与该IP拦截列表中的IP地址匹配的代理IP请求时,对该代理IP请求进行拦截,根据访问请求中的代理IP请求对应的IP地址生成IP拦截列表,使网络应用防火墙可以根据该IP拦截列表拦截代理IP请求,提高了代理IP请求的识别和拦截效果,并且数据分析服务器也仅是根据过去预设时间段内的请求所生成的网站访问日志,以此生成拦截列表并发送至网络应用防火墙,而并不会根据过去预设时间段之外的请求生成拦截列表,提高了IP拦截列表的发送的效率。
作为一种实施方式,在图7的基础上,请参阅图8,图8示出了本申请实施例所提供的一种请求拦截装置的列表更新模块105的一种结构示意图,在本申请实施例中,该列表更新模块105包括数量确定单元1051及目标数据元组确定单元1053。
数量确定单元1051用于从计数值大于第一预设值的数据元组中,确定具有相同IP地址的数据元组的数量。
可以理解,该数量确定单元1051可以执行上述步骤S1051。
目标数据元组确定单元1053用于当具有相同IP地址的数据元组的数量大于第二预设值,则将具有相同IP地址的数据元组确定为目标数据元组。
可以理解,该目标数据元组确定单元1053可以执行上述步骤S1053。
可选地,网站访问日志包括访问地址,每个恶意行为采集点包括待匹配地址,若网站访问日志中的访问地址与多个恶意行为采集点中的任一恶意行为采集点中的待匹配地址相同,则确定多个恶意行为采集点中存在与网站访问日志匹配的恶意行为采集点。
请参考图9,为本申请实施例所提供的应用于网络应用防火墙的请求拦截装置的一种功能模块图。该请求拦截装置包括:接收模块401和拦截模块403。
接收模块401用于接收用户终端发起的代理IP请求。
可以理解,该接收模块401可以执行上述步骤S201。
拦截模块403用于若代理IP请求与当前存储的IP拦截列表中的IP地址匹配,则对代理IP请求进行拦截,其中,IP拦截列表由数据分析服务器生成并发送给网络应用防火墙。
可选的,数据分析服务器获取过去预设时间段内从网络应用防火墙接收到的所有网站访问日志,由于网站访问日志由网络应用防火墙根据用户终端对接入所述网络应用防火墙的网站发起的访问请求生成,那么针对每条网站访问日志,若多个恶意行为采集点中存在与网站访问日志匹配的恶意行为采集点,则将网站访问日志对应的数据元组的计数增加一次,再根据所有数据选组元组对应的计数值,选取符合预设条件的目标数据元组,并将所述目标数据元组中的IP地址加入IP拦截列表,最后,将该IP拦截列表发送至网络应用防火墙。
可以理解,该拦截模块403可以执行上述步骤S203。
作为一种实施方式,在图9的基础上,请参阅图10,该请求拦截装置还可以包括:更新模块405。
更新模块405用于当接收到数据分析服务器发送的新的IP拦截列表,则根据新的IP拦截列表更新原有的IP拦截列表。可选的,数据分析服务器每隔预定时长生成新的IP拦截列表并将新的IP拦截列表发送至网络应用防火墙。其中,预定时长不受限制,可以根据实际应用需求进行设置,例如,可以将该预定时长设置为24H,数据分析服务器将根据过去24H的网站访问日志生成新的IP拦截列表。
可以理解,该更新模块405可以执行上述步骤S205。
本申请实施例提供的请求拦截装置,通过接收数据分析服务器发送的IP拦截列表,以使接收模块在接收到与该IP拦截列表中的IP地址匹配的代理IP请求时,拦截模块对该代理IP请求进行拦截。根据访问请求中的代理IP请求对应的IP地址生成IP拦截列表,使网络应用防火墙可以根据该IP拦截列表拦截代理IP请求,提高了代理IP请求的识别和拦截效果,并且数据分析服务器也仅是根据过去预设时间段内的请求所生成的网站访问日志,以此生成IP拦截列表并发送至更新模块,更新模块在接收到该IP拦截列表后,更新原有的IP拦截列表,以使拦截模块仅对该IP拦截列表中的代理IP请求对应的IP地址进行拦截,提高了IP拦截效率。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种请求拦截方法,其特征在于,应用于数据分析服务器,所述数据分析服务器与网络应用防火墙通信连接,所述数据分析服务器中预先设置有多个恶意行为采集点,所述方法包括:
获取过去预设时间段内从所述网络应用防火墙接收到的所有网站访问日志;所述网站访问日志由所述网络应用防火墙根据用户终端对接入所述网络应用防火墙的网站发起的访问请求生成;
针对每条所述网站访问日志,若所述多个恶意行为采集点中存在与所述网站访问日志匹配的恶意行为采集点,则将所述网站访问日志对应的数据元组的计数增加一次;所述数据元组中包括所述用户终端的IP地址;
根据所有数据元组对应的计数值,选取符合预设条件的目标数据元组,并将所述目标数据元组中的IP地址加入IP拦截列表;
将所述IP拦截列表发送至所述网络应用防火墙,以便所述网络应用防火墙在接收到与所述IP拦截列表中的IP地址匹配的代理IP请求时,对所述代理IP请求进行拦截。
2.根据权利要求1所述的方法,其特征在于,所述根据所有数据元组对应的计数值,选取符合预设条件的目标数据元组,包括:
从计数值大于第一预设值的数据元组中,确定具有相同IP地址的数据元组的数量;
若所述具有相同IP地址的数据元组的数量大于第二预设值,则将所述具有相同IP地址的数据元组确定为目标数据元组。
3.根据权利要求1所述的方法,其特征在于,所述网站访问日志包括访问地址,每个所述恶意行为采集点包括待匹配地址,若所述网站访问日志中的访问地址与所述多个恶意行为采集点中的任一恶意行为采集点中的待匹配地址相同,则确定所述多个恶意行为采集点中存在与所述网站访问日志匹配的恶意行为采集点。
4.一种请求拦截方法,其特征在于,应用于网络应用防火墙,所述网络应用防火墙与数据分析服务器通信连接,所述数据分析服务器中预先设置有多个恶意行为采集点,所述方法包括:
接收用户终端发起的代理IP请求;
若所述代理IP请求与当前存储的IP拦截列表中的IP地址匹配,则对所述代理IP请求进行拦截;其中,所述IP拦截列表由所述数据分析服务器生成并发送给所述网络应用防火墙,所述数据分析服务器通过如下方式生成所述IP拦截列表:
获取过去预设时间段内从所述网络应用防火墙接收到的所有网站访问日志;所述网站访问日志由所述网络应用防火墙根据用户终端对接入所述网络应用防火墙的网站发起的访问请求生成;
针对每条所述网站访问日志,若所述多个恶意行为采集点中存在与所述网站访问日志匹配的恶意行为采集点,则将所述网站访问日志对应的数据元组的计数增加一次;所述数据元组中包括所述用户终端的IP地址;
根据所有数据元组对应的计数值,选取符合预设条件的目标数据元组,并将所述目标数据元组中的IP地址加入IP拦截列表。
5.根据权利要求4所述的方法,其特征在于,所述数据分析服务器每隔预定时长生成新的IP拦截列表并将所述新的IP拦截列表发送至所述网络应用防火墙,所述方法还包括:
当接收到所述数据分析服务器发送的所述新的IP拦截列表,则根据所述新的IP拦截列表更新原有的IP拦截列表。
6.一种请求拦截装置,其特征在于,应用于数据分析服务器,所述数据分析服务器与网络应用防火墙通信连接,所述数据分析服务器中预先设置有多个恶意行为采集点,所述装置包括:
获取模块,用于获取过去预设时间段内从所述网络应用防火墙接收到的所有网站访问日志;所述网站访问日志由所述网络应用防火墙根据用户终端对接入所述网络应用防火墙的网站发起的访问请求生成;
计数模块,用于针对每条所述网站访问日志,若所述多个恶意行为采集点中存在与所述网站访问日志匹配的恶意行为采集点,则将所述网站访问日志对应的数据元组的计数增加一次;所述数据元组中包括所述用户终端的IP地址;
列表更新模块,用于根据所有数据元组对应的计数值,选取符合预设条件的目标数据元组,并将所述目标数据元组中的IP地址加入IP拦截列表;
发送模块,用于将所述IP拦截列表发送至所述网络应用防火墙,以便所述网络应用防火墙在接收到与所述IP拦截列表中的IP地址匹配的代理IP请求时,对所述代理IP请求进行拦截。
7.根据权利要求6所述的装置,其特征在于,所述列表更新模块包括:
数量确定单元,用于从计数值大于第一预设值的数据元组中,确定具有相同IP地址的数据元组的数量;
目标数据元组确定单元,若所述具有相同IP地址的数据元组的数量大于第二预设值,则将所述具有相同IP地址的数据元组确定为目标数据元组。
8.一种请求拦截装置,其特征在于,应用于网络应用防火墙,所述网络应用防火墙与数据分析服务器通信连接,所述数据分析服务器中预先设置有多个恶意行为采集点,所述装置包括:
接收模块,用于接收用户终端发起的代理IP请求;
拦截模块,用于若所述代理IP请求与当前存储的IP拦截列表中的IP地址匹配,则对所述代理IP请求进行拦截;其中,所述IP拦截列表由所述数据分析服务器生成并发送给所述网络应用防火墙,所述数据分析服务器通过如下方式生成所述IP拦截列表:
获取过去预设时间段内从所述网络应用防火墙接收到的所有网站访问日志;所述网站访问日志由所述网络应用防火墙根据用户终端对接入所述网络应用防火墙的网站发起的访问请求生成;针对每条所述网站访问日志,若所述多个恶意行为采集点中存在与所述网站访问日志匹配的恶意行为采集点,则将所述网站访问日志对应的数据元组的计数增加一次;所述数据元组中包括所述用户终端的IP地址;根据所有数据元组对应的计数值,选取符合预设条件的目标数据元组,并将所述目标数据元组中的IP地址加入IP拦截列表。
9.一种电子设备,其特征在于,包括处理器和存储器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现权利要求1-3任一项所述的方法,或者实现权利要求4-5任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-3任一项所述的方法,或者实现权利要求4-5任一项所述的方法。
CN202110931797.7A 2021-08-13 2021-08-13 请求拦截方法、装置、电子设备和计算机可读存储介质 Active CN113660257B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110931797.7A CN113660257B (zh) 2021-08-13 2021-08-13 请求拦截方法、装置、电子设备和计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110931797.7A CN113660257B (zh) 2021-08-13 2021-08-13 请求拦截方法、装置、电子设备和计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN113660257A CN113660257A (zh) 2021-11-16
CN113660257B true CN113660257B (zh) 2023-05-02

Family

ID=78480235

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110931797.7A Active CN113660257B (zh) 2021-08-13 2021-08-13 请求拦截方法、装置、电子设备和计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN113660257B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115834260A (zh) * 2023-02-21 2023-03-21 芯知科技(江苏)有限公司 网络安全防御系统、方法及装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104144063B (zh) * 2013-05-08 2018-08-10 朱烨 基于日志分析和防火墙安全矩阵的网站安全监控报警系统
CN105208026A (zh) * 2015-09-29 2015-12-30 努比亚技术有限公司 一种防止恶意攻击方法及网络系统
CN106789831B (zh) * 2015-11-19 2020-10-23 阿里巴巴集团控股有限公司 识别网络攻击的方法和装置
CN111464480A (zh) * 2019-01-18 2020-07-28 华为技术有限公司 一种访问请求处理方法及装置
CN110912902B (zh) * 2019-11-27 2022-04-19 杭州安恒信息技术股份有限公司 一种访问请求处理的方法、系统、设备及可读存储介质

Also Published As

Publication number Publication date
CN113660257A (zh) 2021-11-16

Similar Documents

Publication Publication Date Title
US10402854B2 (en) Authenticating users for accurate online audience measurement
CN108932426B (zh) 越权漏洞检测方法和装置
CN110798472B (zh) 数据泄露检测方法与装置
CN107465651B (zh) 网络攻击检测方法及装置
WO2020248658A1 (zh) 一种异常账户的检测方法及装置
CN110417747B (zh) 一种暴力破解行为的检测方法及装置
CN111131221B (zh) 接口校验的装置、方法及存储介质
CN106685899B (zh) 用于识别恶意访问的方法和设备
CN112533209B (zh) 黑产识别方法及黑产识别装置
CN109889511B (zh) 进程dns活动监控方法、设备及介质
CN112165445B (zh) 用于检测网络攻击的方法、装置、存储介质及计算机设备
CN111431753A (zh) 一种资产信息更新方法、装置、设备及存储介质
US20170155683A1 (en) Remedial action for release of threat data
CN106713242B (zh) 数据请求的处理方法及处理装置
US10560473B2 (en) Method of network monitoring and device
CN113660257B (zh) 请求拦截方法、装置、电子设备和计算机可读存储介质
CN107612946B (zh) Ip地址的检测方法、检测装置和电子设备
CN107592299B (zh) 代理上网识别方法、计算机装置及计算机可读存储介质
US10367835B1 (en) Methods and apparatus for detecting suspicious network activity by new devices
CN116015800A (zh) 一种扫描器识别方法、装置、电子设备及存储介质
CN107332856B (zh) 地址信息的检测方法、装置、存储介质和电子装置
CN115225531B (zh) 数据库防火墙测试方法、装置、电子设备及介质
CN113709136B (zh) 一种访问请求验证方法和装置
CN114417198A (zh) 一种网络诈骗预警方法、装置、预警设备、系统
CN113923039A (zh) 攻击设备识别方法、装置、电子设备及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant