CN114189383A - 封禁方法、装置、电子设备、介质和计算机程序产品 - Google Patents

封禁方法、装置、电子设备、介质和计算机程序产品 Download PDF

Info

Publication number
CN114189383A
CN114189383A CN202111513503.5A CN202111513503A CN114189383A CN 114189383 A CN114189383 A CN 114189383A CN 202111513503 A CN202111513503 A CN 202111513503A CN 114189383 A CN114189383 A CN 114189383A
Authority
CN
China
Prior art keywords
user access
policy
behavior
access behavior
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111513503.5A
Other languages
English (en)
Other versions
CN114189383B (zh
Inventor
刘嘉
杨红远
杜波
赵文
张勇辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Construction Bank Corp
Original Assignee
China Construction Bank Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Construction Bank Corp filed Critical China Construction Bank Corp
Priority to CN202111513503.5A priority Critical patent/CN114189383B/zh
Publication of CN114189383A publication Critical patent/CN114189383A/zh
Application granted granted Critical
Publication of CN114189383B publication Critical patent/CN114189383B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供了一种针对用户访问行为的可配置封禁策略的封禁方法、装置、电子设备、介质和计算机程序产品。方法和装置可用于计算机安全技术领域。上述方法包括:步骤一:配置封禁策略,其中,封禁策略包括针对不同用户访问行为的m个策略实施方式,每个策略实施方式包括封禁判定路径和封禁判定实现,m为大于等于0的整数;步骤二:获取用户访问行为,其中,用户访问行为包括用户唯一标识和访问路径;步骤三:根据访问路径和封禁判定路径确定是否存在与用户访问行为对应的策略实施方式;步骤四:当存在与用户访问行为对应的策略实施方式时,根据封禁判定实现识别用户访问行为的攻击行为;步骤五:当用户访问行为存在攻击行为时,封禁用户访问行为。

Description

封禁方法、装置、电子设备、介质和计算机程序产品
技术领域
本公开涉及计算机安全技术领域,更具体地,涉及一种针对用户访问行为的可配置封禁策略的封禁方法、装置、电子设备、介质和计算机程序产品。
背景技术
在信息系统实施过程中有以下两种常见的用户封禁实现方案。其一,在负载均衡层识别异常访问行为。在负载均衡层获取请求报文,将请求报文传递给分析识别模块鉴别请求报文的异常访问行为。如确定异常访问行为,则将用户或IP列入黑名单进行拦截。其二,应用系统层独立实现防护措施,常见的手段是在系统中针对某类攻击添加报文分析相关代码实现异常访问行为识别并进行拦截。
负载均衡层现有方案的核心步骤为:1.接收用户请求,并将请求转发至消息队列子系统进行缓存;2.实时计算子系统从消息队列中获取用户请求,并逐一识别异常攻击行为,并将结果写入消息队列子系统;3.请求再次进入时,根据消息队列子系统中的缓存结果对IP进行封禁。此方案是典型的旁路识别及拦截方案,也是最为常用的防护手段。该方案在常规判定的基础上添加了消息队列子系统作为缓存。
一些应用系统层现有方案的核心步骤为:1.规则模块,通过单位时间内的访问次数设定异常行为规则;2.记录模块,用于获取网站的待分析访问记录;3.分析模块,用于分析所述网站的待分析访问记录,根据所述异常访问行为的规则,确定封禁用户;4.处理模块,用于在封禁时间内,所述封禁用户访问所述网站时,对所述封禁用户进行处理。该方法是较为常见的应用层用户封禁,主要通过计数手段分析识别异常访问行为。其他常见手段还有白名单机制、关键字检测、日志检测等。
另一些应用系统层现有方案的核心步骤为:1.获取模块,用于获取对用户信息的访问行为;2.用户确定模块,用于确定发起所述访问行为的发起用户和所述访问行为针对的对象用户;3.关系判断模块,用于根据所述发起用户和所述对象用户的历史交互信息,判断所述发起用户和所述对象用户是否满足预设的亲密关系条件;4.行为确定模块,用于在满足亲密关系条件的情况下,进一步确定所述访问行为是否为异常访问行为。随着技术发展,更多新型识别方式应运而生,本例中定义了“亲密关系”的概念,通过“亲密关系”预判断访问异常行为。
发明内容
有鉴于此,本公开提供了一种防护效果好,且具有灵活性和拓展性的针对用户访问行为的可配置封禁策略的封禁方法、装置、电子设备、计算机可读存储介质和计算机程序产品。
本公开的一个方面提供了一种针对用户访问行为的可配置封禁策略的封禁方法,包括:步骤一:配置封禁策略,其中,所述封禁策略包括针对不同用户访问行为的m个策略实施方式,每个所述策略实施方式包括封禁判定路径和封禁判定实现,m为大于等于0的整数;步骤二:获取用户访问行为,其中,所述用户访问行为包括用户唯一标识和访问路径;步骤三:根据所述访问路径和所述封禁判定路径确定是否存在与所述用户访问行为对应的所述策略实施方式;步骤四:当存在与所述用户访问行为对应的所述策略实施方式时,根据所述封禁判定实现识别所述用户访问行为的攻击行为;步骤五:当所述用户访问行为存在攻击行为时,封禁所述用户访问行为。
根据本公开实施例的针对用户访问行为的可配置封禁策略的封禁方法,通过配置封禁策略可以实现以配置化的形式定义并组合封禁策略,对异常的用户访问行为提供更好的自主控制性及更佳的防护效果。在框架基础上,可根据实际业务场景编写对应的策略实施方式实现封禁效果,最大程度提升了拓展性和灵活性。本公开通过让用户访问行为包括用户唯一标识和访问路径封禁单位可以实现以用户和路径为维度进行封禁,降低了封禁粒度,在满足封禁需求的同时减少正常业务影响。
在一些实施例中,每个所述策略实施方式还包括:策略类型,其中,所述策略类型包括网络攻击类和业务类,根据所述策略类型配置所述封禁判定实现;以及封禁模式,其中,根据所述策略类型配置所述封禁模式,所述网络攻击类的所述封禁模式为事前判定,所述业务类的所述封禁模式为事后判定,所述封禁判定实现根据所述封禁模式执行。
在一些实施例中,根据所述策略类型配置所述封禁判定实现包括:当所述策略类型为网络攻击类时,配置所述封禁判定实现为攻击载荷匹配实现;以及当所述策略类型为业务类时,配置所述封禁判定实现为设定阈值实现。
在一些实施例中,所述攻击载荷匹配实现包括:设置攻击载荷库,其中,所述攻击载荷库中包括多个不同的攻击载荷,所述根据所述封禁判定实现识别所述用户访问行为的攻击行为包括:确定所述访问路径中的第一访问参数;将所述第一访问参数与所述攻击载荷库中的攻击载荷匹配;以及当在所述攻击载荷库中匹配到攻击载荷时,确定所述用户访问行为存在攻击行为。
在一些实施例中,所述设定阈值实现包括:设置封禁所述用户访问行为的阈值指标,其中,所述阈值指标包括封禁判定指标,所述根据所述封禁判定实现识别所述用户访问行为的攻击行为包括:确定所述访问路径中的第二访问参数;确定所述第二访问参数是否满足所述封禁判定指标;以及当所述第二访问参数满足所述阈值指标时,确定所述用户访问行为存在攻击行为。
在一些实施例中,所述阈值指标还包括封禁执行指标,当所述用户访问行为存在攻击行为时,所述封禁所述用户访问行为包括:根据所述封禁执行指标封禁所述用户访问行为。
在一些实施例中,所述的方法还包括:循环执行步骤二至步骤五,其中,循环执行步骤二包括获取同一所述用户唯一标识下的n个不同的所述访问路径,n为大于等于2的整数;汇总同一所述用户唯一标识下的所述访问路径的封禁记录,得到用户封禁集合;以及将所述用户封禁集合添加至封禁清单。
在一些实施例中,每个所述策略实施方式还包括封禁解除实现,所述方法还包括:根据所述封禁解除实现解除对所述用户访问行为的封禁。
在一些实施例中,所述封禁解除实现包括:t时间段后解除封禁;或者响应于点击操作解除封禁。
在一些实施例中,所述的方法还包括:彻底删除所述用户访问行为的封禁记录;或者将所述用户访问行为的封禁记录存储至回收站。
在一些实施例中,在所述获取用户访问行为后,在所述根据所述访问路径和所述封禁判定路径确定是否存在与所述用户访问行为对应的所述策略实施方式前,所述方法还包括:确定是否存在与所述用户访问行为对应的封禁记录;当存在与所述用户访问行为对应的封禁记录时,确定所述用户访问行为是否在封禁期间;以及当所述用户访问行为在封禁期间时,访问报错并返回。
在一些实施例中,所述的方法还包括:配置所在应用系统的发送同步参数和提取同步参数;根据所述发送同步参数将该应用系统的所述封禁策略发送至集散地;以及根据所述提取同步参数从所述集散地提取目标应用系统的所述封禁策略。
在一些实施例中,每个所述策略实施方式包括策略唯一标识,所述应用系统具有应用唯一标识,所述发送同步参数包括所述应用唯一标识、所述策略唯一标识和所述集散地的地址。
在一些实施例中,所述目标应用系统具有目标应用唯一标识,所述提取同步参数包括所述目标应用唯一标识、所述策略唯一标识和所述集散地的地址。
本公开的另一个方面提供了一种针对用户访问行为的可配置封禁策略的封禁装置,包括:配置模块,所述配置模块用于执行步骤一:配置封禁策略,其中,所述封禁策略包括针对不同用户访问行为的m个策略实施方式,每个所述策略实施方式包括封禁判定路径和封禁判定实现,m为大于等于0的整数;获取模块,所述获取模块用于执行步骤二:获取用户访问行为,其中,所述用户访问行为包括用户唯一标识和访问路径;确定模块,所述确定模块用于执行步骤三:根据所述访问路径和所述封禁判定路径确定是否存在与所述用户访问行为对应的所述策略实施方式;识别模块,所述识别模块用于执行步骤四:当存在与所述用户访问行为对应的所述策略实施方式时,根据所述封禁判定实现识别所述用户访问行为的攻击行为;封禁模块,所述封禁模块用于执行步骤五:当所述用户访问行为存在攻击行为时,封禁所述用户访问行为。
本公开的另一方面提供了一种电子设备,包括一个或多个处理器以及一个或多个存储器,其中,所述存储器用于存储可执行指令,所述可执行指令在被所述处理器执行时,实现如上所述方法。
本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
本公开的另一方面提供了一种计算机程序产品,包括计算机程序,所述计算机程序包括计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的可以应用方法、装置的示例性系统架构;
图2示意性示出了根据本公开实施例的针对用户访问行为的可配置封禁策略的封禁方法的流程图;
图3示意性示出了根据本公开实施例的多个策略实施方式的示意图;
图4示意性示出了根据本公开实施例的根据策略类型配置封禁判定实现的流程图;
图5示意性示出了根据本公开一些实施例的根据封禁判定实现识别用户访问行为的攻击行为的流程图;
图6示意性示出了根据本公开另一些实施例的根据封禁判定实现识别用户访问行为的攻击行为的流程图;
图7示意性示出了根据本公开实施例的当用户访问行为存在攻击行为时,封禁用户访问行为的流程图;
图8示意性示出了根据本公开实施例的针对用户访问行为的可配置封禁策略的封禁方法的流程图;
图9示意性示出了根据本公开实施例的针对用户访问行为的可配置封禁策略的封禁方法的流程图;
图10示意性示出了根据本公开实施例的针对用户访问行为的可配置封禁策略的封禁方法的流程图;
图11示意性示出了根据本公开实施例的针对用户访问行为的可配置封禁策略的封禁方法的流程图;
图12示意性示出了根据本公开实施例的针对用户访问行为的可配置封禁策略的封禁装置的结构框图;
图13示意性示出了根据本公开实施例的针对用户访问行为的可配置装置的组成模块;
图14示意性示出了根据本公开实施例的封禁策略整体实施流程的流程图;
图15示意性示出了根据本公开实施例的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在本公开的技术方案中,所涉及的用户个人信息的获取,存储和应用等,均符合相关法律法规的规定,采取了必要保密措施,且不违背公序良俗。在本公开的技术方案中,对数据的获取、收集、存储、使用、加工、传输、提供、公开和应用等处理,均符合相关法律法规的规定,采取了必要保密措施,且不违背公序良俗。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个所述特征。
图1示意性示出了根据本公开实施例的可以应用针对用户访问行为的可配置封禁策略的封禁方法方法、装置、电子设备、计算机可读存储介质和计算机程序产品的示例性系统架构100。需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,根据该实施例的系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对用户利用终端设备101、102、103所浏览的网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理,并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。
需要说明的是,本公开实施例所提供的针对用户访问行为的可配置封禁策略的封禁方法一般可以由服务器105执行。相应地,本公开实施例所提供的针对用户访问行为的可配置封禁策略的封禁装置一般可以设置于服务器105中。本公开实施例所提供的针对用户访问行为的可配置封禁策略的封禁方法也可以由不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群执行。相应地,本公开实施例所提供的针对用户访问行为的可配置封禁策略的封禁装置也可以设置于不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
在信息系统实施过程中有以下两种常见的用户封禁实现方案。其一,在负载均衡层识别异常访问行为。在负载均衡层获取请求报文,将请求报文传递给分析识别模块鉴别请求报文的异常访问行为。如确定异常访问行为,则将用户或IP列入黑名单进行拦截。其二,应用系统层独立实现防护措施,常见的手段是在系统中针对某类攻击添加报文分析相关代码实现异常访问行为识别并进行拦截。
负载均衡层现有方案的核心步骤为:1.接收用户请求,并将请求转发至消息队列子系统进行缓存;2.实时计算子系统从消息队列中获取用户请求,并逐一识别异常攻击行为,并将结果写入消息队列子系统;3.请求再次进入时,根据消息队列子系统中的缓存结果对IP进行封禁。此方案是典型的旁路识别及拦截方案,也是最为常用的防护手段。该方案在常规判定的基础上添加了消息队列子系统作为缓存。
负载均衡层拦截异常访问行为的缺点:首先,负载均衡层识别异常访问行为的实现方式属于旁路监听,有一定的滞后性。旁路监听必须放过若干个请求报文后,才能得到分析识别结果,即经过分析识别窗口期。如在分析识别窗口期的报文已经达到攻击效果,该方式不能实时拦截,仅能做事后追溯和审计。
其次,对于针对应用系统漏洞的点对点的渗透测试攻击,效果不佳。随着技术的发展,绕过异常访问行为分析识别模块的相关技术层出不穷,特别是在点对点的渗透测试攻击过程中,如果应用系统仅依靠外部防护方式而自身不做任何防护,被攻破的概率往往较大。最后,负载均衡层识别异常访问行为与应用系统层完全解耦、各自独立,无法与应用系统同步和共享攻击信息,无法与应用系统协同作战。
一些应用系统层现有方案的核心步骤为:1.规则模块,通过单位时间内的访问次数设定异常行为规则;2.记录模块,用于获取网站的待分析访问记录;3.分析模块,用于分析所述网站的待分析访问记录,根据所述异常访问行为的规则,确定封禁用户;4.处理模块,用于在封禁时间内,所述封禁用户访问所述网站时,对所述封禁用户进行处理。该方法是较为常见的应用层用户封禁,主要通过计数手段分析识别异常访问行为。其他常见手段还有白名单机制、关键字检测、日志检测等。
另一些应用系统层现有方案的核心步骤为:1.获取模块,用于获取对用户信息的访问行为;2.用户确定模块,用于确定发起所述访问行为的发起用户和所述访问行为针对的对象用户;3.关系判断模块,用于根据所述发起用户和所述对象用户的历史交互信息,判断所述发起用户和所述对象用户是否满足预设的亲密关系条件;4.行为确定模块,用于在满足亲密关系条件的情况下,进一步确定所述访问行为是否为异常访问行为。随着技术发展,更多新型识别方式应运而生,本例中定义了“亲密关系”的概念,通过“亲密关系”预判断访问异常行为。
应用系统层拦截异常访问行为的缺点:第一、封禁规则过于具体,流程和实现方式固化,仅针对个别类型异常访问行为进行防护,难以防范狡猾多变的异常访问行为。例如计数法、白名单机制、关键字检测、日志检测等固化的方式,容易被攻击者识破或绕过规则从而达到渗透的目的。第二、采用用户为封禁单位,封禁粒度较大,误判导致的业务影响大。在实际业务场景中,直接封禁用户的所有访问路径并非最佳选择。在绝大多数CMS系统或论坛系统中,匿名用户有权限访问前端内容页。但由于用户多次登录后端管理界面失败后被判定为异常行为,从而封禁用户所有请求的方式直接影响了用户本应具备的前台内容页的浏览权限。
第三、与应用系统脱离,不具备开放及二次开发能力,不能做到业务与安全相结合,业务拓展性较弱。上述应用系统层现有方案以及其他同类方案,均在架构层面将异常行为检测模块和业务应用模块分开。但于此同时,应用对于异常行为检测模块的耦合度降低后,应用系统对应安全模块的拓展性便随之下降。例如,开发者希望利用安全模块拦截特定类型请求、制定特定规则策略、反馈特定请求安全结果等,在耦合度降低的背景下是不能实现的。
以下将基于图1描述的场景,通过图2~图11对本公开实施例的针对用户访问行为的可配置封禁策略的封禁方法进行详细描述。
图2示意性示出了根据本公开实施例的针对用户访问行为的可配置封禁策略的封禁方法的流程图。
如图2所示,该实施例的针对用户访问行为的可配置封禁策略的封禁方法包括操作S210~操作S250。
在操作S210,步骤一:配置封禁策略,其中,封禁策略包括针对不同用户访问行为的m个策略实施方式,每个策略实施方式包括封禁判定路径和封禁判定实现,m为大于等于0的整数。例如,用户访问行为可以为用户名登陆、验证码登陆、转账操作和支付操作等等,这里不再一一列举。针对某些异常的用户访问行为,可以配置相应的封禁策略,以对该用户访问行为进行封禁,防止该用户访问行为对系统或者对用户造成不必要的损失。
在操作S220,步骤二:获取用户访问行为,其中,用户访问行为包括用户唯一标识和访问路径。可以理解的是,可以基于用户的操作,获取到用户访问行为,具体地,用户的每一次访问操作,会有相应的访问路径和该用户的唯一标识,用户唯一标识可以为该用户的账号。
在操作S230,步骤三:根据访问路径和封禁判定路径确定是否存在与用户访问行为对应的策略实施方式,可以理解的是,可以将访问路径中的全部字段或者部分字段与封禁判定路径匹配,如果匹配到了对应的封禁判定路径,则可以确定对应的策略实施方式。
在操作S240,步骤四:当存在与用户访问行为对应的策略实施方式时,根据封禁判定实现识别用户访问行为的攻击行为。
在操作S250,步骤五:当用户访问行为存在攻击行为时,封禁用户访问行为。这里,封禁判定实现可以为识别用户访问行为中是否存在攻击行为的判定方法以及封禁该用户访问行为的封禁条件,因此,可以根据封禁判定实现识别用户访问行为的攻击行为,并且当用户访问行为存在攻击行为时,封禁用户访问行为。
根据本公开实施例的针对用户访问行为的可配置封禁策略的封禁方法,通过配置封禁策略可以实现以配置化的形式定义并组合封禁策略,对异常的用户访问行为提供更好的自主控制性及更佳的防护效果。在框架基础上,可根据实际业务场景编写对应的策略实施方式实现封禁效果,最大程度提升了拓展性和灵活性。本公开通过让用户访问行为包括用户唯一标识和访问路径使得封禁单位可以实现以用户和路径为维度进行封禁,降低了封禁粒度,在满足封禁需求的同时减少正常业务影响。
根据本公开的一些实施例,当不存在与用户访问行为对应的策略实施方式时,则不需要根据封禁判定实现识别用户访问行为的攻击行为,也不用对该用户访问行为进行封禁。针对操作S250,当用户访问行为不存在攻击行为时,则不需要封禁用户访问行为。
图3示意性示出了根据本公开实施例的多个策略实施方式的示意图。
根据本公开的一些实施例,每个策略实施方式还包括策略类型和封禁模式。其中,策略类型包括网络攻击类和业务类,根据策略类型配置封禁判定实现;其中,根据策略类型配置封禁模式,网络攻击类的封禁模式为事前判定,业务类的封禁模式为事后判定,封禁判定实现根据封禁模式执行。
这里,事前判定可以理解为在攻击发生之前识别攻击并采取措施;事后判定可以理解为在攻击发生之后识别攻击并采取措施。其中,每个策略实施方式有对应的策略类型,当一个策略实施方式的策略类型为网络攻击类时,该策略实施方式的封禁模式为事前判定,由此,根据事前判定,该策略实施方式的封禁判定实现采取在攻击发生之前识别并封禁用户访问行为,进而可以防止网络攻击导致的系统崩溃、损坏或者用户损失。
当一个策略实施方式的策略类型为业务类时,该策略实施方式的封禁模式为事后判定,由此,根据事后判定,该策略实施方式的封禁判定实现采取在攻击发生之后识别并封禁用户访问行为,例如,用户访问行为为验证码重试了5次,该用户访问行为对应的策略实施方式的策略类型为业务类,当用户访问行为发生了才可以识别,进而通过封禁判定实现判断是否对验证码重试了5次的行为进行封禁,从而可以防止用户密码被攻破而产生的损失。
图4示意性示出了根据本公开实施例的根据策略类型配置封禁判定实现的流程图。
根据策略类型配置封禁判定实现包括操作S310和操作S320。
在操作S310,当策略类型为网络攻击类时,配置封禁判定实现为攻击载荷匹配实现。换言之,当用户访问行为对应的策略类型为网络攻击类时,可以配置封禁判定实现为匹配用户访问行为中的攻击载荷,当识别到用户访问行为中的攻击载荷时,则对该用户访问行为进行封禁。
在操作S320,当策略类型为业务类时,配置封禁判定实现为设定阈值实现。换言之,当用户访问行为对应的策略类型为业务类时,可以配置封禁判定实现为设定用户访问行为的阈值,当用户访问行为满足阈值时,则对该用户访问行为进行封禁。
在本公开的一些实施例中,攻击载荷匹配实现可以包括:设置攻击载荷库,其中,攻击载荷库中包括多个不同的攻击载荷,例如,攻击载荷库中可以包括但不限于SQL注入载荷、XSS跨站脚本载荷、CSRF跨站攻击载荷和XML注入载荷等等。
如图5所示,操作S240根据封禁判定实现识别用户访问行为的攻击行为包括操作S241~操作S243。
在操作S241,确定访问路径中的第一访问参数,其中,可以通过访问路径得到反馈的第一访问参数,第一访问参数中可以包括攻击载荷,也可以不包括攻击载荷。
在操作S242,将第一访问参数与攻击载荷库中的攻击载荷匹配。当第一访问参数中包括攻击载荷时,则可以在攻击载荷库中匹配到攻击载荷;当第一访问参数中不包括攻击载荷时,在在攻击载荷库中匹配不到攻击载荷。
在操作S243,当在攻击载荷库中匹配到攻击载荷时,确定用户访问行为存在攻击行为。由此,通过操作S241~操作S243可以便于实现根据封禁判定实现识别用户访问行为的攻击行为。
根据本公开的一些实施例,将第一访问参数与攻击载荷库中的攻击载荷匹配,当在攻击载荷库中未匹配到攻击载荷时,则不需要确定用户访问行为的攻击行为,也不用对该用户访问行为进行封禁。
在本公开的一些实施例中,设定阈值实现包括:设置封禁用户访问行为的阈值指标,其中,阈值指标包括封禁判定指标,也即可以将用户访问行为封禁的条件,例如,封禁判定指标包括但不限于文件上传次数、MAC校验未通过、存在敏感信息泄露、存在不安全的URL跳转、越权访问等等。
如图6所示,操作S240根据封禁判定实现识别用户访问行为的攻击行为包括操作S244~操作S246。
在操作S244,确定访问路径中的第二访问参数。其中,可以通过访问路径得到反馈的第二访问参数,例如,第二访问参数中可以包括文件上传5次、MAC校验通过、存在敏感信息泄露、存在不安全的URL跳转或者越权访问等等;第二访问参数中也可以包括MAC校验未通过、不存在敏感信息泄露、不存在不安全的URL跳转或者没有越权访问等等。
在操作S245,确定第二访问参数是否满足封禁判定指标。
在操作S246,当第二访问参数满足阈值指标时,确定用户访问行为存在攻击行为。由此,通过操作S244~操作S246同样可以便于实现根据封禁判定实现识别用户访问行为的攻击行为。
根据本公开的一些实施例,当第二访问参数不满足阈值指标时,则不需要确定用户访问行为的攻击行为,也不用对该用户访问行为进行封禁。
进一步地,阈值指标还可以包括封禁执行指标,如图7所示,操作S250当用户访问行为存在攻击行为时,封禁用户访问行为包括操作S251:根据封禁执行指标封禁用户访问行为。例如封禁执行指标可以包括封禁该用户访问行为t时间段,t可以为10分钟、30分钟或者1个小时等等,这里仅为举例说明,不能理解为对本公开的限制,封禁执行指标可以为任何可以执行封禁被判定为异常的用户访问行为的指标。换言之,当用户访问行为存在攻击行为时,若封禁执行指标为封禁用户30分钟,即可以封禁该用户访问行为30分钟。
根据本公开的一些实施例,每个策略实施方式还可以包括封禁路径,也即当判定一个访问路径匹配为封禁判定路径时,可以将该访问路径下的所有子路径封禁,也可以将该访问路径下的部分子路径封禁,还可以将该访问路径下的一个子路径封禁。例如,访问路径为http://abc.abc.com/user/login,若匹配该路径为封禁判定路径时,也即用户名登录时即发现异常,则可以封禁该路径下的所有子路径;又如,访问路径为http://abc.abc.com/pay/comfirm,若匹配该路径为封禁判定路径时,也即用户在付款时发现异常,则可以仅封禁该付款路径。
图8示意性示出了根据本公开实施例的针对用户访问行为的可配置封禁策略的封禁方法的流程图。
针对用户访问行为的可配置封禁策略的封禁方法还包括操作S410~操作S430。
在操作S410,循环执行步骤二至步骤五,其中,循环执行步骤二包括获取同一用户唯一标识下的n个不同的访问路径,n为大于等于2的整数。可以理解的是,每个用户的账号下可能有多种应用功能,响应于用户点击的每一项功能都会有对应的访问路径。当然,用户的账号下也可能只有一种应用功能,响应于用户点击的功能会有对应的一个访问路径。
在操作S420,汇总同一用户唯一标识下的访问路径的封禁记录,得到用户封禁集合。其中,基于同一用户唯一标识,可以对该用户唯一标识下的访问路径循环遍历,寻找被封禁的访问路径,根据被封禁的访问路径可以得到对应的封禁记录,例如,封禁记录可以包括但不限于被封禁的访问路径和针对该访问路径的策略实施方式。汇总同一用户唯一标识下的访问路径的封禁记录,即可得到用户封禁集合。
在操作S430,将用户封禁集合添加至封禁清单。
由此,通过操作S410~操作S430可以得到每个用户的封禁清单,从而方便对每一个用户的登陆和访问行为作出监管和分析,减小该用户的风险。
在本公开的一些实施例中,每个策略实施方式还可以包括封禁解除实现,其中,封禁解除实现可以理解为根据解除封禁的条件而采取的解除封禁的措施,如图2所示,针对用户访问行为的可配置封禁策略的封禁方法还可以包括操作S260。
在操作S260,根据封禁解除实现解除对用户访问行为的封禁。由此,根据封禁解除实现可以对用户访问行为进行解封,使得用户误操作后可以有解封的机会,还可以继续使用账号,从而提升用户满意度。
进一步地,封禁解除实现可以包括:t时间段后解除封禁;或者响应于点击操作解除封禁。例如,针对用户访问行为为10分钟内短信验证码重试超过5次,该用户访问行为即被封禁,可以制定针对该行为的封禁解除实现为60分钟后解除封禁,因此,60分钟以后,用户可以重新验证码登陆。又如,管理员可以点击解除封禁按钮进行手动解封。
根据本公开的一些实施例,如图9和图10所示,针对用户访问行为的可配置封禁策略的封禁方法还可以包括操作S270或者操作S280。
在操作S270,彻底删除用户访问行为的封禁记录;或者在操作S280,将用户访问行为的封禁记录存储至回收站。由此,通过操作S270或者操作S280均可以对过期的封禁记录进行清理,从而方便管理人员对用户的管理,彻底删除封禁记录还可以减小系统内存,加快系统反应速度。
在本公开的一些实施例中,如图2所示,在操作S220获取用户访问行为后,在操作S230根据访问路径和封禁判定路径确定是否存在与用户访问行为对应的策略实施方式前,针对用户访问行为的可配置封禁策略的封禁方法还包括操作S001~操作S003。
在操作S001,确定是否存在与用户访问行为对应的封禁记录。
在操作S002,当存在与用户访问行为对应的封禁记录时,确定用户访问行为是否在封禁期间。
在操作S003,当用户访问行为在封禁期间时,访问报错并返回。由此,通过操作S001~操作S003可以得知某用户访问行为是否被封禁过,若被封禁过且仍然在封禁期间,则可以直接返回并报错给用户,不需要再执行操作S230根据访问路径和封禁判定路径确定是否存在与用户访问行为对应的策略实施方式,由此可以节省执行程序,从而节省时间和资源。若某用户访问行为没有被封禁过,或者被封禁过已经不在封禁期间,则需要继续操作S230根据访问路径和封禁判定路径确定是否存在与用户访问行为对应的策略实施方式。
图11示意性示出了根据本公开实施例的针对用户访问行为的可配置封禁策略的封禁方法的流程图。
针对用户访问行为的可配置封禁策略的封禁方法包括操作S510~操作S530。
在操作S510,配置所在应用系统的发送同步参数和提取同步参数。
在操作S520,根据发送同步参数将该应用系统的封禁策略发送至集散地。
作为一种可实施的方式,每个策略实施方式还包括策略唯一标识,应用系统具有应用唯一标识,发送同步参数包括应用唯一标识、策略唯一标识和集散地的地址。
在操作S530,根据提取同步参数从集散地提取目标应用系统的封禁策略。
作为一种可实施的方式,目标应用系统具有目标应用唯一标识,提取同步参数包括目标应用唯一标识、策略唯一标识和集散地的地址。
可以理解的是,本公开的策略实施方式可以在多个应用系统之间共享,具体地,每个应用系统可以具有自己的应用唯一标识,集散地可以理解为中转地,应用系统的封禁策略的每个策略实施方式均有自己的策略唯一标识,因此,应用系统可以通过发送同步参数,也即通过应用唯一标识、策略唯一标识和集散地的地址将与该应用系统对应的策略实施方式发送到集散地。
另外,目标应用系统可以理解为被提取封禁策略的应用系统,因此,可以根据目标应用唯一标识、策略唯一标识和集散地的地址提取目标应用系统的封禁策略。
由此,通过操作S510~操作S530可以在应用系统与应用系统之间实现封禁策略的共享。使得多应用系统可以协同作战。
基于上述针对用户访问行为的可配置封禁策略的封禁方法,本公开还提供了一种针对用户访问行为的可配置封禁策略的封禁装置10。以下将结合图12对针对用户访问行为的可配置封禁策略的封禁装置10进行详细描述。
图12示意性示出了根据本公开实施例的针对用户访问行为的可配置封禁策略的封禁装置10的结构框图。
针对用户访问行为的可配置封禁策略的封禁装置10包括配置模块1、获取模块2、确定模块3、识别模块4和封禁模块5。
配置模块1,配置模块1用于执行操作S210:步骤一:配置封禁策略,其中,封禁策略包括针对不同用户访问行为的m个策略实施方式,每个策略实施方式包括封禁判定路径和封禁判定实现,m为大于等于0的整数。
获取模块2,获取模块2用于执行操作S220:步骤二:获取用户访问行为,其中,用户访问行为包括用户唯一标识和访问路径。
确定模块3,确定模块3用于执行操作S230:步骤三:根据访问路径和封禁判定路径确定是否存在与用户访问行为对应的策略实施方式。
识别模块4,识别模块4用于执行操作S240:步骤四:当存在与用户访问行为对应的策略实施方式时,根据封禁判定实现识别用户访问行为的攻击行为。
封禁模块5,封禁模块5用于执行操作S250:步骤五:当用户访问行为存在攻击行为时,封禁用户访问行为。
由于上述针对用户访问行为的可配置封禁策略的封禁装置10是基于针对用户访问行为的可配置封禁策略的封禁方法设置的,因此上述针对用户访问行为的可配置封禁策略的封禁装置10的有益效果与针对用户访问行为的可配置封禁策略的封禁方法的相同,这里不再赘述。
另外,根据本公开的实施例,配置模块1、获取模块2、确定模块3、识别模块4和封禁模块5中的任意多个模块可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。
根据本公开的实施例,配置模块1、获取模块2、确定模块3、识别模块4和封禁模块5中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。
或者,配置模块1、获取模块2、确定模块3、识别模块4和封禁模块5中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
下面详细描述根据本公开实施例的针对用户访问行为的可配置封禁策略的封禁装置。值得理解的是,下述描述仅是示例性说明,而不是对本公开的具体限制。
如图13所示,针对用户访问行为的可配置封禁策略的封禁装置的实现框架由三模块组成,分别是配置模块、封禁策略流程引擎模块、同步模块。
配置模块包括封禁策略配置和同步参数配置,是封禁策略实施模块和同步模块的前提。封禁策略实施模块需按照封禁配置进行请求拦截、攻击识别、用户封禁和解封;同步模块需按照同步参数配置发送或拉取封禁清单,实现多应用、多服务之间的封禁信息同步。
应用系统需按照封禁策略模型配置封禁策略,配置示例如图3所示。
同步参数分为发送参数配置和拉取参数配置,发送参数是指向封禁清单集散地发送本系统生成的封禁清单所需的参数,包括应用系统标识、应用系统节点编号、封禁策略类型、策略唯一标识、发送实现实现类,封禁清单集散地地址等。拉取参数是指向封禁清单集散地拉取其他系统生成的封禁清单所需的参数,包括目标应用系统标识、目标应用系统节点编号、封禁策略类型、策略唯一标识、拉取实现方式实现类,封禁清单集散地地址等。
配置化是本公开的特点之一,体现了本公开的灵活性和拓展性。本公开提供了大量的默认实现,供开发者按照实际需求选择。
封禁策略中的封禁判定实现类、封禁判定参数、封禁清理实现类均为配置项。本公开提供了常见异常访问行为的默认实现类及参数配置,包括SQL注入、XSS跨站脚本、CSRF跨站攻击、请求重放、文件上传、XML注入、TOKEN伪造、MAC校验、敏感信息泄露、不安全的URL跳转、越权访问等。
同步参数实现类的发送实现类、拉取实现类也为配置项。本公开提供了四类默认实现类:实时请求发送封禁记录实现类、异步文件发送封禁清单实现类、实时请求拉取封禁记录实现类、异步文件拉取封禁清单实现类。
封禁策略实施模块分为请求拦截、策略匹配及攻击识别、用户封禁和封禁清理四个子模块,该四模块串联了整个封禁策略整体实施流程,流程图如图14所示。
在用户发起请求后需优先经过请求拦截模块判定该请求是否需被拦截,其具体流程如下:
(1)根据用户请求,判断用户是否在封禁清单中存在封禁记录。
(2)若存在封禁记录,优先判断该条封禁记录是否处于有效期。如在时效范围内,则进行下一步判断;若超过时效,则调用封禁清理模块进行清理。
(3)判断为有效的封禁记录后,获取该条封禁记录对应的封禁策略。关联查询该策略对应的封禁路径,若当前请求路径存在于封禁路径之中,则需进行封禁拦截,直接返回报错;若当前请求路径不在封禁路径之中,将请求转发至攻击识别模块。
策略匹配及攻击识别子模块的工作流程如下:
(1)从请求报文中提取请求路径作为判定路径,查询该判定路径对应的所有封禁策略。
(2)按照策略封禁判定模式分组,将事前判定、事后判定分为两组;分别在组内按照策略优先级排序。
(3)按照排序结果逐个执行事前判定组的策略实现类,对请求报文进行攻击识别,如判定有异常访问行为,则转发至用户封禁子模块。
(4)如事前判定组所有策略实现类未识别出异常访问行为,执行业务代码,形成响应报文。
(5)按照排序结果逐个执行事后判定组的策略实现类,对响应报文进行攻击识别,如判定有异常访问行为,则转发至用户封禁子模块。
(6)如事后判定组所有策略实现类未识别出异常访问行为,则表示该请求属于正常请求,返回响应报文
用户封禁子模块的工作流程如下:
(1)从策略匹配及攻击识别子模块接收指令后,进行封禁记录组装,封禁记录包括:用户唯一标识、应用系统标识、应用系统节点编号、封禁策略唯一标识、封禁路径、封禁开始时间、封禁结束时间等。
(2)将封禁记录添加至封禁清单,更新累计封禁次数、累计更新时间等字段。
(3)对当前请求进行拦截,直接返回报错。
封禁清理子模块的工作流程如下:
(1)批量清理。批量清理属于后台任务,按照封禁策略中配置的封禁清理实现类,对超过封禁有效期的封禁记录进行批量清理。
(2)单笔清理。从请求拦截子模块接收指令,对指定超过封禁有效期的封禁记录进行清理。
同步模块分为封禁清单集散地、封禁清单发送子模块、封禁清单拉取子模块。
封禁清单集散地是封禁记录的数据集成区域,该区域在同步模块起着中心枢纽功能。一方面,该区域负责收集各应用系统产生的封禁记录;另一方面,该区域提供服务供应用系统拉取其他系统产生的封禁清单,以此达成封禁信息同步。
封禁清单发送子模块负责发送本系统产生的封禁记录,工作流程如下:
(1)从配置模块的同步参数配置中查询发送参数配置,从配置中得到发送实现类。
(2)通过实现类查询待发送的封禁记录,拼接赋值发送报文。
(3)从配置中获取封禁清单集散地地址,执行发送操作调用集散地发送接口,成功后更新封禁记录的发送标识。
封禁清单拉取子模块负责拉取其他系统产生的封禁记录,工作流程如下:
(1)从配置模块的同步参数配置中查询拉取参数配置,从配置中得到拉取实现类。
(2)将封禁清单集散地地址、目标应用系统标识、目标应用系统节点编号、封禁策略类型、策略唯一标识等参数作为查询条件,拼接赋值拉取报文。
(3)通过实现类执行拉取操作,调用集散地拉取接口,获取封禁清单。
(4)将获取的封禁清单添加至本应用系统的封禁清单。
下面对重点字段进行解释:
策略类型:本实现对策略分为三大类,即异常访问行为类、业务类、技术类。该字段可作为同步模块的封禁记录筛选条件。
判定路径:不同于传统的根据请求报文封禁IP或用户,本方案将判定维度设定为报文中的请求路径,封禁维度为用户唯一标识+策略中对应的封禁路径。策略中均以判定路径为最小单元,即一个判定路径需对应至少一个策略,判定路径推荐和请求入口保持一致。
封禁路径:当用户处于封禁名单中,本方案并非封禁其所有请求,而是根据其封禁后的请求路径是否在策略对应的封禁路径中,对其进行封禁或放行。对于异常访问行为类策略,或明确判定有攻击意图的业务类、技术类策略,可以在策略中配置封禁路径为全路径。
封禁判定模式:本实现对策略分为两大类,事前判定、事后判定。事前判定即根据请求报文判定,例如常用的请求报文篡改、XSS攻击、SQL注入攻击等可采用事前判定。事后判定即根据响应报文判定,例如响应报文敏感信息检测、响应报文异常检测、特定业务类异常等可采用事后判定。
封禁判定实现类:在策略中可采用配置化方式指定该策略对攻击识别和判定的实现方式。本公开用JAVA语言实现,即指定该策略的实现类。
封禁判定参数:封禁判定参数配合封禁判定实现使用,根绝不同实现类,自定义设置不同参数,例如判定次数,判定间隔时间、封禁时常等。
封禁清理实现类:在策略中可采用配置化方式指定该策略对封禁清单中过期失效的用户的清理实现方式。本公开用JAVA语言实现,即指定该策略的清理实现类。
策略开关:控制策略的开关,控制封禁策略实时有效性。
策略优先级:若一个请求路径同时满足多个策略,按照策略优先级决定封禁策略执行顺序。
封禁记录模型是指依据封禁策略生成的单条封禁明细,封禁记录集合即为封禁清单。封禁记录包括用户唯一标识、应用系统标识、应用系统节点编号、封禁策略唯一标识、封禁路径、封禁开始时间、封禁结束时间等。对重点字段的解释如下。
用户唯一标识:能够确定当前请求发起者的唯一标识。当应用系统采用用户模式时,本项可采用用户编号;当应用系统未采用用户模式时,可以采用IP或客户端指纹等形式。
应用系统标识:产生封禁记录的应用系统标识。不同应用系统采用不同标识,相同应用系统可采用相同标识。
应用系统节点编号:产生封禁记录的应用系统节点编号。当应用系统采用多节点部署时,不同节点采用不同节点编号。应用系统标识+应用系统节点编号可确定唯一应用节点。
封禁策略唯一标识:产生封禁记录时采用的封禁策略的唯一标识。用于后续策略查询和封禁清理。
封禁路径:产生封禁记录时采用的封禁策略对应的封禁路径。用于后续请求拦截。
下面详细描述框架核心实现解析。
框架以AbstractInftCtrlStrgy策略实现抽象类为基础,以请求方法处的接口切面处理类IntfCtrlAspect为切入点,在切面处理类IntfCtrlAspect中贯穿调用前置检查preCheck、检查禁用状态checkFrbdnInd、处理请求成功handleSuccessRqs和处理请求失败handleFailRqs等方法。
接口切面处理类IntfCtrlAspect逻辑如下:
(1)新建接口控制切面类,切点为所有交易接口。
(2)判断配置文件中的切面开关状态,状态为关则不处理,直接放行。
(3)根据请求路径获取数据库中配置的封禁策略,没有配置对应封禁策略则直接放行。
(4)根据该封禁策略获取具体实现类(该实现类必须实现AbstractInftCtrlStrgy策略实现抽象类)。
(5)执行策略实现类的前置处理preCheck方法,该方法控制事前判定结果,事前判定策略需开发者实现,事后判定策略可采用抽象类的默认实现。。
(6)执行策略实现类的检查禁用状态checkFrbdnInd方法,检查该用户+路径是否存在于被封禁请求中,如是则直接返回用户被封禁,抽象类提供默认实现。
(7)执行业务代码。
(8)如业务代码处理成果,执行策略实现类的处理请求成功handleSuccessRqs方法。
(9)如业务代码处理失败,执行策略实现类的处理请求失败handleFailRqs方法。
(10)处理请求成功handleSuccessRqs方法和处理请求失败handleFailRqs方在抽象类中不提供具体实现,开发者可根据实际业务需要,结合以上俩方法,自由实现事后判定的封禁规则。
框架拓展性及应用实例如下:
本框是以JAVA语言为基础实现,能够以Jar包形式提供给第三方开发者使用,具有二次开发能力和拓展性。下面分别以Sql注入封禁策略和登录重试封禁策略为例加以说明。
Sql注入封禁策略。编写Sql注入封禁策略实现类SqlInjectInftCtrlStrgyImpl继承AbstractInftCtrlStrgy。
Sql注入是典型的技术类事前判定模式,需要在实现类中实现preChcek方法。该方法通过检验请求报文中是否存在sql语句关键字判定识别异常行为,将识别结果通过ctx的vaild字段返回。
如在preChcek中判定为异常行为,进入handleFailRqs方法。本策略中采用一次识别即封禁的实现模式。开发者也可以根据实际需求实现自己的策略。
自此,Sql注入封禁策略实现类SqlInjectInftCtrlStrgyImpl编写完毕。
编写完策略实现类之后,需在封禁策略配置表中添加相关配置,其中关键配置如表1所示。
表1
Figure BDA0003403566100000251
将该策略配置到封禁策略配置表中后实时生效,该策略即可框架中执行。编写登录重试封禁策略实现类LoginRetryCtrlStrgyImpl继承AbstractInftCtrlStrgy。
登录重试是典型的业务类事后判定模式,无需在自己实现类中实现preChcek方法。采用抽象类中的默认实现即可。
执行业务代码后,如果登录失败,进入handleFailRqs方法。本策略中采用有效期内的计数方式实现:即在有效期内,同一用户相邻两次请求连续失败一定次数,用户封禁。用户、路径信及失败次数记录采用数据库记录。
执行业务代码后,如果登录成功,进入handleSuccessRqs方法。该方法中,会重置失败次数。
自此,登录重试封禁策略实现类LoginRetryCtrlStrgyImpl编写完毕。
编写完策略实现类之后,需在封禁策略配置表中添加相关配置,其中关键配置如表2所示。
表2
Figure BDA0003403566100000261
将该策略配置到封禁策略配置表中后实时生效,该策略即可框架中执行。
以上两个应用实例体现了本公开的拓展性和灵活性,除此之外其他场景也可以在本框架基础上自行实现,如技术方面的SQL注入、XSS跨站脚本、CSRF跨站攻击等;业务层面的验证码失败次数控制、短信轰炸控制、邮件发送限流、业务故障隔离等。
本公开主要有以下优点:
1.本公开与应用系统集成,以配置化的形式定义并组合封禁策略,对异常访问行为防护有更好的自主控制性及更佳的防护效果。
2.封禁单位以用户+路径为维度,降低了封禁粒度,在满足封禁需求的同时减少正常业务影响。
3.在框架基础上,可根据实际业务场景编写对应实现策略实现封禁效果,最大程度提升了拓展性和灵活性。
图15示意性示出了根据本公开实施例的适于实现针对用户访问行为的可配置封禁策略的封禁方法的电子设备的方框图。
如图15所示,根据本公开实施例的电子设备900包括处理器901,其可以根据存储在只读存储器(ROM)902中的程序或者从存储部分908加载到随机访问存储器(RAM)903中的程序而执行各种适当的动作和处理。处理器901例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC))等等。处理器901还可以包括用于缓存用途的板载存储器。处理器901可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 903中,存储有电子设备900操作所需的各种程序和数据。处理器901、ROM902以及RAM 903通过总线904彼此相连。处理器901通过执行ROM 902和/或RAM 903中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 902和RAM 903以外的一个或多个存储器中。处理器901也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备900还可以包括输入/输出(I/O)接口905,输入/输出(I/O)接口905也连接至总线904。电子设备900还可以包括连接至I/O接口905的以下部件中的一项或多项:包括键盘、鼠标等的输入部分906;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分907;包括硬盘等的存储部分908;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分909。通信部分909经由诸如因特网的网络执行通信处理。驱动器910也根据需要连接至输入/输出(I/O)接口905。可拆卸介质911,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器910上,以便于从其上读出的计算机程序根据需要被安装入存储部分908。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 902和/或RAM 903和/或ROM 902和RAM 903以外的一个或多个存储器。
本公开的实施例还包括一种计算机程序产品,其包括计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时,该程序代码用于使计算机系统实现本公开实施例的方法。
在该计算机程序被处理器901执行时执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例,上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。
在一种实施例中,该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中,该计算机程序也可以在网络介质上以信号的形式进行传输、分发,并通过通信部分909被下载和安装,和/或从可拆卸介质911被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
在这样的实施例中,该计算机程序可以通过通信部分909从网络上被下载和安装,和/或从可拆卸介质911被安装。在该计算机程序被处理器901执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
根据本公开的实施例,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码,具体地,可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如Java,C++,python,“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。

Claims (18)

1.一种针对用户访问行为的可配置封禁策略的封禁方法,其特征在于,包括:
步骤一:配置封禁策略,其中,所述封禁策略包括针对不同用户访问行为的m个策略实施方式,每个所述策略实施方式包括封禁判定路径和封禁判定实现,m为大于等于0的整数;
步骤二:获取用户访问行为,其中,所述用户访问行为包括用户唯一标识和访问路径;
步骤三:根据所述访问路径和所述封禁判定路径确定是否存在与所述用户访问行为对应的所述策略实施方式;
步骤四:当存在与所述用户访问行为对应的所述策略实施方式时,根据所述封禁判定实现识别所述用户访问行为的攻击行为;
步骤五:当所述用户访问行为存在攻击行为时,封禁所述用户访问行为。
2.根据权利要求1所述的方法,其特征在于,每个所述策略实施方式还包括:
策略类型,其中,所述策略类型包括网络攻击类和业务类,根据所述策略类型配置所述封禁判定实现;以及
封禁模式,其中,根据所述策略类型配置所述封禁模式,所述网络攻击类的所述封禁模式为事前判定,所述业务类的所述封禁模式为事后判定,所述封禁判定实现根据所述封禁模式执行。
3.根据权利要求2所述的方法,其特征在于,根据所述策略类型配置所述封禁判定实现包括:
当所述策略类型为网络攻击类时,配置所述封禁判定实现为攻击载荷匹配实现;以及
当所述策略类型为业务类时,配置所述封禁判定实现为设定阈值实现。
4.根据权利要求3所述的方法,其特征在于,所述攻击载荷匹配实现包括:设置攻击载荷库,其中,所述攻击载荷库中包括多个不同的攻击载荷,
所述根据所述封禁判定实现识别所述用户访问行为的攻击行为包括:
确定所述访问路径中的第一访问参数;
将所述第一访问参数与所述攻击载荷库中的攻击载荷匹配;以及
当在所述攻击载荷库中匹配到攻击载荷时,确定所述用户访问行为存在攻击行为。
5.根据权利要求3所述的方法,其特征在于,所述设定阈值实现包括:设置封禁所述用户访问行为的阈值指标,其中,所述阈值指标包括封禁判定指标,
所述根据所述封禁判定实现识别所述用户访问行为的攻击行为包括:
确定所述访问路径中的第二访问参数;
确定所述第二访问参数是否满足所述封禁判定指标;以及
当所述第二访问参数满足所述闽值指标时,确定所述用户访问行为存在攻击行为。
6.根据权利要求5所述的方法,其特征在于,所述阈值指标还包括封禁执行指标,
当所述用户访问行为存在攻击行为时,所述封禁所述用户访问行为包括:根据所述封禁执行指标封禁所述用户访问行为。
7.根据权利要求1所述的方法,其特征在于,还包括:
循环执行步骤二至步骤五,其中,循环执行步骤二包括获取同一所述用户唯一标识下的n个不同的所述访问路径,n为大于等于2的整数;
汇总同一所述用户唯一标识下的所述访问路径的封禁记录,得到用户封禁集合;以及
将所述用户封禁集合添加至封禁清单。
8.根据权利要求1所述的方法,其特征在于,每个所述策略实施方式还包括封禁解除实现,所述方法还包括:
根据所述封禁解除实现解除对所述用户访问行为的封禁。
9.根据权利要求8所述的方法,其特征在于,所述封禁解除实现包括:
t时间段后解除封禁;或者
响应于点击操作解除封禁。
10.根据权利要求8所述的方法,其特征在于,还包括:
彻底删除所述用户访问行为的封禁记录;或者
将所述用户访问行为的封禁记录存储至回收站。
11.根据权利要求1所述的方法,其特征在于,在所述获取用户访问行为后,在所述根据所述访问路径和所述封禁判定路径确定是否存在与所述用户访问行为对应的所述策略实施方式前,所述方法还包括:
确定是否存在与所述用户访问行为对应的封禁记录;
当存在与所述用户访问行为对应的封禁记录时,确定所述用户访问行为是否在封禁期间;以及
当所述用户访问行为在封禁期间时,访问报错并返回。
12.根据权利要求1所述的方法,其特征在于,还包括:
配置所在应用系统的发送同步参数和提取同步参数;
根据所述发送同步参数将该应用系统的所述封禁策略发送至集散地;以及
根据所述提取同步参数从所述集散地提取目标应用系统的所述封禁策略。
13.根据权利要求12所述的方法,其特征在于,每个所述策略实施方式包括策略唯一标识,所述应用系统具有应用唯一标识,所述发送同步参数包括所述应用唯一标识、所述策略唯一标识和所述集散地的地址。
14.根据权利要求12所述的方法,其特征在于,所述目标应用系统具有目标应用唯一标识,所述提取同步参数包括所述目标应用唯一标识、所述策略唯一标识和所述集散地的地址。
15.一种针对用户访问行为的可配置封禁策略的封禁装置,其特征在于,包括:
配置模块,所述配置模块用于执行步骤一:配置封禁策略,其中,所述封禁策略包括针对不同用户访问行为的m个策略实施方式,每个所述策略实施方式包括封禁判定路径和封禁判定实现,m为大于等于0的整数;
获取模块,所述获取模块用于执行步骤二:获取用户访问行为,其中,所述用户访问行为包括用户唯一标识和访问路径;
确定模块,所述确定模块用于执行步骤三:根据所述访问路径和所述封禁判定路径确定是否存在与所述用户访问行为对应的所述策略实施方式;
识别模块,所述识别模块用于执行步骤四:当存在与所述用户访问行为对应的所述策略实施方式时,根据所述封禁判定实现识别所述用户访问行为的攻击行为;
封禁模块,所述封禁模块用于执行步骤五:当所述用户访问行为存在攻击行为时,封禁所述用户访问行为。
16.一种电子设备,其特征在于,包括:
一个或多个处理器;
一个或多个存储器,用于存储可执行指令,所述可执行指令在被所述处理器执行时,实现根据权利要求1~14中任一项所述的方法。
17.一种计算机可读存储介质,其特征在于,所述存储介质上存储有可执行指令,该指令被处理器执行时实现根据权利要求1~14中任一项所述的方法。
18.一种计算机程序产品,其特征在于,包括计算机程序,所述计算机程序包括一个或者多个可执行指令,所述可执行指令被处理器执行时实现根据权利要求1~14中任一项所述的方法。
CN202111513503.5A 2021-12-10 2021-12-10 封禁方法、装置、电子设备、介质和计算机程序产品 Active CN114189383B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111513503.5A CN114189383B (zh) 2021-12-10 2021-12-10 封禁方法、装置、电子设备、介质和计算机程序产品

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111513503.5A CN114189383B (zh) 2021-12-10 2021-12-10 封禁方法、装置、电子设备、介质和计算机程序产品

Publications (2)

Publication Number Publication Date
CN114189383A true CN114189383A (zh) 2022-03-15
CN114189383B CN114189383B (zh) 2024-04-30

Family

ID=80543342

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111513503.5A Active CN114189383B (zh) 2021-12-10 2021-12-10 封禁方法、装置、电子设备、介质和计算机程序产品

Country Status (1)

Country Link
CN (1) CN114189383B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114640534A (zh) * 2022-03-29 2022-06-17 广州方硅信息技术有限公司 访问拦截控制方法及其装置、设备、介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017084529A1 (zh) * 2015-11-19 2017-05-26 阿里巴巴集团控股有限公司 识别网络攻击的方法和装置
CN108234400A (zh) * 2016-12-15 2018-06-29 北京金山云网络技术有限公司 一种攻击行为确定方法、装置及态势感知系统
CN110535857A (zh) * 2019-08-29 2019-12-03 中国工商银行股份有限公司 防护网络攻击的方法和装置
CN111371778A (zh) * 2020-02-28 2020-07-03 中国工商银行股份有限公司 攻击团伙的识别方法、装置、计算设备以及介质
CN112685682A (zh) * 2021-03-16 2021-04-20 连连(杭州)信息技术有限公司 一种攻击事件的封禁对象识别方法、装置、设备及介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017084529A1 (zh) * 2015-11-19 2017-05-26 阿里巴巴集团控股有限公司 识别网络攻击的方法和装置
CN108234400A (zh) * 2016-12-15 2018-06-29 北京金山云网络技术有限公司 一种攻击行为确定方法、装置及态势感知系统
CN110535857A (zh) * 2019-08-29 2019-12-03 中国工商银行股份有限公司 防护网络攻击的方法和装置
CN111371778A (zh) * 2020-02-28 2020-07-03 中国工商银行股份有限公司 攻击团伙的识别方法、装置、计算设备以及介质
CN112685682A (zh) * 2021-03-16 2021-04-20 连连(杭州)信息技术有限公司 一种攻击事件的封禁对象识别方法、装置、设备及介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114640534A (zh) * 2022-03-29 2022-06-17 广州方硅信息技术有限公司 访问拦截控制方法及其装置、设备、介质

Also Published As

Publication number Publication date
CN114189383B (zh) 2024-04-30

Similar Documents

Publication Publication Date Title
US10154066B1 (en) Context-aware compromise assessment
US10057285B2 (en) System and method for auditing governance, risk, and compliance using a pluggable correlation architecture
Tien et al. KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches
JP4629332B2 (ja) 状態参照モニタ
US10853488B2 (en) System and method for a security filewall system for protection of an information handling system
US10491621B2 (en) Website security tracking across a network
CN113660224B (zh) 基于网络漏洞扫描的态势感知防御方法、装置及系统
US20090265288A1 (en) System and method for correlating events in a pluggable correlation architecture
US10673878B2 (en) Computer security apparatus
US20210026969A1 (en) Detection and prevention of malicious script attacks using behavioral analysis of run-time script execution events
US11128649B1 (en) Systems and methods for detecting and responding to anomalous messaging and compromised accounts
US11750618B1 (en) System and method for retrieval and analysis of operational data from customer, cloud-hosted virtual resources
KR102222377B1 (ko) 위협 대응 자동화 방법
US10891357B2 (en) Managing the display of hidden proprietary software code to authorized licensed users
KR102462128B1 (ko) 컴퓨터 보안 사건을 보고하기 위한 시스템 및 방법
US20230247043A1 (en) Techniques for detecting cybersecurity vulnerabilities in a cloud based computing environment based on forensic analysis of cloud logs
CN114138590A (zh) Kubernetes集群的运维处理方法、装置及电子设备
Park et al. Performance evaluation of open-source endpoint detection and response combining google rapid response and osquery for threat detection
CN114189383B (zh) 封禁方法、装置、电子设备、介质和计算机程序产品
CN116708033B (zh) 终端安全检测方法、装置、电子设备及存储介质
RU2481633C2 (ru) Система и способ автоматического расследования инцидентов безопасности
CN112398857A (zh) 防火墙测试方法、装置、计算机设备和存储介质
Rahman et al. Classification of spamming attacks to blogging websites and their security techniques
US11588843B1 (en) Multi-level log analysis to detect software use anomalies
US20220385677A1 (en) Cloud-based security for identity imposter

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant