CN114221807A - 访问请求处理方法、装置、监控设备及存储介质 - Google Patents
访问请求处理方法、装置、监控设备及存储介质 Download PDFInfo
- Publication number
- CN114221807A CN114221807A CN202111525084.7A CN202111525084A CN114221807A CN 114221807 A CN114221807 A CN 114221807A CN 202111525084 A CN202111525084 A CN 202111525084A CN 114221807 A CN114221807 A CN 114221807A
- Authority
- CN
- China
- Prior art keywords
- request
- historical
- access request
- information
- source address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Abstract
本申请实施例适用于信息安全技术领域,提供了一种访问请求处理方法、装置、监控设备及存储介质,该方法应用于监控设备,包括:获取请求系统在处理历史访问请求时产生的多个历史异常信息;每个历史异常信息包括历史访问请求的历史来源地址;从多个历史异常信息中,统计来自相同历史来源地址的历史访问请求的第一请求次数;在第一请求次数满足请求系统中预设的拉黑策略时,将历史来源地址写入黑名单中;针对任一当前访问请求,若当前访问请求中的来源地址在黑名单中,则拒绝当前访问请求。采用上述方法,监控设备可以对具有恶意的访问请求进行拦截,保证请求系统的正常运行。
Description
技术领域
本申请属于信息安全技术领域,尤其涉及一种访问请求处理方法、装置、监控设备及存储介质。
背景技术
随着互联网的发展,如今网络上非真人流量的占比也在不断提高。这些非真人流量通常通过模拟用户行为,向业务系统发送大量的恶意请求,以恶意抓取业务数据,实现非法获利流量的目的。
然而,这些恶意的访问请求将会对业务系统造成大量的访问压力,以至于会恶意侵占业务系统的处理资源以及服务能力,进而影响业务系统的正常运行。
发明内容
本申请实施例提供了一种访问请求处理方法、装置、监控设备及存储介质,可以解决无法识别和拦截恶意的访问请求,影响业务系统正常运行的问题。
第一方面,本申请实施例提供了一种访问请求处理方法,应用于监控设备,该方法包括:
获取请求系统在处理历史访问请求时产生的多个历史异常信息;每个历史异常信息包括历史访问请求的历史来源地址;
从多个历史异常信息中,统计来自相同历史来源地址的历史访问请求的第一请求次数;
在第一请求次数满足请求系统中预设的拉黑策略时,将历史来源地址写入黑名单中;
针对任一当前访问请求,若当前访问请求中的来源地址在黑名单中,则拒绝当前访问请求。
第二方面,本申请实施例提供了一种访问请求处理装置,该装置包括:
获取模块,用于获取请求系统在处理历史访问请求时产生的多个历史异常信息;每个历史异常信息包括历史访问请求的历史来源地址;
统计模块,用于从多个历史异常信息中,统计来自相同历史来源地址的历史访问请求的第一请求次数;
拉黑模块,用于在第一请求次数满足请求系统中预设的拉黑策略时,将历史来源地址写入黑名单中;
拒绝模块,用于针对任一当前访问请求,若当前访问请求中的来源地址在黑名单中,则拒绝当前访问请求。
第三方面,本申请实施例提供了一种监控设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现如上述第一方面的方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现如上述第一方面的方法。
第五方面,本申请实施例提供了一种计算机程序产品,当计算机程序产品在监控设备上运行时,使得监控设备执行上述第一方面的方法。
本申请实施例与现有技术相比存在的有益效果是:通过获取请求系统在处理历史访问请求时产生的多个历史异常信息,确定历史访问请求中的每个历史来源地址。之后,可以统计相同历史来源地址的第一请求次数,并在第一请求次数满足预设的拉黑策略时,将该历史来源地址确定为恶意向请求系统进行访问,并造成请求系统出现异常的来源地址。以此,生成对请求系统具有恶意来源地址的黑名单。之后,对于任一需要向请求系统访问的当前访问请求,均需先转发至监控设备进行处理。之后,将当前访问请求的来源地址与监控设备中该请求系统对应的黑名单进行比较,以此,可以使访问请求不再传输至请求系统进行处理,以避免请求系统浪费接口资源处理该访问请求,且可以避免在请求系统处理该当前访问请求时造成系统异常的情况。即若当前访问请求即使为恶意请求,监控设备在解析并处理该恶意请求时,也不会对请求系统的运行产生影响。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一实施例提供的一种访问请求处理方法的实现流程图;
图2是本申请一实施例提供的一种访问请求处理方法中请求系统产生异常的应用场景示意图;
图3是本申请另一实施例提供的一种访问请求处理方法的实现流程图;
图4是本申请再一实施例提供的一种访问请求处理方法的实现流程图;
图5是本申请又一实施例提供的一种访问请求处理方法的实现流程图;
图6是本申请一实施例提供的一种访问请求处理方法中为请求系统配置拉黑策略的应用场景示意图;
图7是本申请又一实施例提供的一种访问请求处理方法的实现流程图;
图8是本申请一实施例提供的一种访问请求处理方法的S143的一种实现方式示意图;
图9是本申请一实施例提供的一种访问请求处理装置的结构示意图;
图10是本申请一实施例提供的一种监控设备的结构示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
另外,在本申请说明书和所附权利要求书的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
请参阅图1,图1示出了本申请实施例提供的一种访问请求处理方法的实现流程图,该方法包括如下步骤:
S101、监控设备获取请求系统在处理历史访问请求时产生的多个历史异常信息;每个历史异常信息包括历史访问请求的历史来源地址。
在一实施例中,通常终端设备向请求系统发起的访问请求,是先通过请求系统中的前端网关进行处理,而后由前端网关调用相应的请求接口从请求系统中的数据库获取终端设备所需的业务数据。然而,因请求系统所包含的业务繁多,其暴露的请求接口也越来越多,以至于请求系统中有很多请求接口被恶意的请求,影响请求系统的稳定运行。
具体的,参照图2,图2中监控设备具体可以为包含有cat监控平台的计算机设备,请求系统具体可以包含有前端网关以及后端业务系统。其中,接口1、接口2、接口3为发起访问请求的终端设备调用前端网关的请求接口,请求接口4以及接口5为前端网关基于访问请求调用的后端业务系统中的请求接口。此时,因访问请求可能为恶意请求,因此前端网关或后端业务系统在处理该访问请求时,可能产生各种报错。基于此,cat监控平台可以获取前端网关和后端业务系统上传的各种报错。可以理解到是,此时,因前端网关或后端业务系统处理访问请求而产生各种报错时,cat监控平台可以认为上述访问请求即为历史访问请求。
示例性的,以请求系统为订单业务系统为例,对于某些恶意刷单的访问请求,终端设备通过前端网关调用请求接口,向订单业务系统多次发送访问请求时,将在短时间内造成订单业务系统的访问请求量过高。此时,过高的访问请求量可能使订单业务系统造成崩溃,以及对订单业务系统中的某个订单造产生大量的虚假流量。具体可参照图2,图中URL调用请求可以认为是恶意的访问请求,前端网关以及后端业务系统在接收到大量具有恶意的访问请求时,将产生各种报错。此时,基于任意一种访问请求所引起的报错即为一种异常信息。
其中,上述历史异常信息可以为某一历史预设时间段发生报错时产生的信息,也可以为当前时刻之前请求系统所有发生报错时产生的信息,对此不做限定。上述来源地址具体为网际协议地址(Internet Protocol Address,IP),其为一种在互联网上给主机编址的方式,通常每台终端设备都有一个唯一的IP地址。
在一实施例中,上述请求系统的数量可以为一个也可以为多个,对此不作限定。本实施例汇总,以一个请求系统为例进行说明。
S102、监控设备从多个历史异常信息中,统计来自相同历史来源地址的历史访问请求的第一请求次数。
S103、在第一请求次数满足请求系统中预设的拉黑策略时,监控设备将历史来源地址写入黑名单中。
在一实施例中,上述预设的拉黑策略可以为来源地址的拉黑策略。即IP地址拉黑策略。其中,IP地址拉黑策略具体可以为同一IP地址的历史访问请求的第一请求次数,在超过第一预设值时,确定该IP地址对应的多个访问请求均为恶意访问请求。此时,监控设备可以将该IP地址确定为具有恶意的IP地址。或者,统计每个来源于相同IP地址的访问请求的第一请求次数,之后根据第一请求次数对每个IP地址进行排列,并将处于前列的预设数量的IP地址进行拉黑。此时,处于前列的预设数量的IP地址,其每个IP地址对应的第一请求次数,均满足请求系统中预设的拉黑策略。
其中,第一预设值可以参照正常情况下,多个终端设备分别在预设的间隔时间(例如,10分钟)内访问同一个请求系统的次数进行设置。另外,上述S101中已说明每台终端设备都有一个唯一的IP地址。因此,终端设备发送的多个访问请求的来源地址均是相同的。
基于此,可以理解的是,若具有一个终端设备在短时间内(可以为1分钟)向请求系统发送大量的访问请求,则可以认为该终端设备为具有恶意的终端设备,以及该访问请求为恶意访问请求。因此,监控设备可以认为该终端设备满足请求系统中预设的拉黑策略,即可以将终端设备的历史来源地址(IP地址)写入黑名单中。
S104、针对任一当前访问请求,若当前访问请求中的来源地址在黑名单中,则监控设备拒绝当前访问请求。
在一实施例中,若当前访问请求的来源地址与黑名单上记录的来源地址相同,则可以认为此时当前访问请求也为恶意访问请求。基于此,监控设备可以直接拒绝该当前访问请求,以免将当前访问请求发送给请求系统时,造成请求系统的运行异常。
需要说明的是,在监控设备所监控的请求系统具有多个时,每个请求系统对应的拉黑策略不同,因此每个请求系统所对应的黑名单也应当不同。基于此,对于访问不同请求系统的当前访问请求,监控设备还可以智能的与对应的黑名单进行匹配。
具体的,监控设备可以根据当前访问请求所访问的请求系统名称,只从对应的请求系统中确定黑名单。之后,若该请求系统中的黑名单中未具有该当前访问请求的来源地址,则监控设备还是可以允许该访问请求访问对应的请求系统。以此,可以使发送访问请求的终端设备的业务可以正常运行。其中,上述请求系统名称为对访问请求进行处理,并可以为访问请求提供业务数据的请求系统的名称。
然而,在实际应用中,对于当前访问请求的来源地址,此时,虽然当前访问请求的来源地址未处于此时所访问的请求系统对应的黑名单中,但是其处于监控设备所监控的其他请求系统对应的黑名单时,监控设备也可以将其拒绝。即针对拉黑的对象为:监控设备所监控的每个请求系统对应的黑名单上所有来源地址的访问请求。以此,可以提前避免处于任一黑名单上的来源地址的当前访问请求,对其他被监控的请求系统造成恶意访问。
在本实施例中,通过获取请求系统在处理历史访问请求时产生的多个历史异常信息,确定历史访问请求中的每个历史来源地址。之后,可以统计相同历史来源地址的第一请求次数,并在第一请求次数满足预设的拉黑策略时,将该历史来源地址确定为恶意向请求系统进行访问,并造成请求系统出现异常的来源地址。以此,生成对请求系统具有恶意来源地址的黑名单。之后,对于任一需要向请求系统访问的当前访问请求,均需先转发至监控设备进行处理。之后,将当前访问请求的来源地址与监控设备中该请求系统对应的黑名单进行比较,以此,可以使访问请求不再传输至请求系统进行处理,以避免请求系统浪费接口资源处理该访问请求,且可以避免在请求系统处理该当前访问请求时造成系统异常的情况。即若当前访问请求即使为恶意请求,监控设备在解析并处理该恶意请求时,也不会对请求系统的运行产生影响。
同时,在请求系统具有多个时,监控设备还可以基于任一请求系统的黑名单,对访问其他请求系统的访问请求进行拦截处理。进而,可以预防只处于某一黑名单的来源地址产生的访问请求,对被监控设备监控的其余请求系统造成恶意访问的情况。
需要说明的是,上述黑名单中记录的为访问请求的来源地址,然而,在另一实施例中,监控设备还可以基于终端设备的访问请求,对请求系统中存储业务数据的存储地址进行拉黑。具体的,参照图3,历史异常信息还包括存储有历史访问请求所需数据的历史数据存储地址;在S101获取请求系统在处理历史访问请求时产生的多个历史异常信息之后,具体通过如下步骤S11-S12实现:
S111、监控设备从多个历史异常信息中,确定历史访问请求访问相同的历史数据存储地址的第二请求次数。
S112、监控设备在第二请求次数满足请求系统中预设的拉黑策略时,将历史数据存储地址写入黑名单中。
在一实施例中,上述历史数据存储地址具体可以为请求系统在处理历史访问请求时,需从对应的数据存储地址中调用业务数据返回至终端设备。此时,相对当前访问请求,其历史访问请求对应请求的业务数据的数据存储地址即为历史数据存储地址。其中,上述数据存储地址具体为统一资源定位符(Uniform Resource Locator,URL)。具体的,该URL地址为网页地址,是互联网上标准的资源的地址(Address)。互联网上的每个文件(数据)都有一个唯一的URL,用于指出文件(数据)的所在位置。
在一实施例中,上述预设的拉黑策略此时为针对URL地址的拉黑策略。可以理解的是,若在预设时间段内,具有多个终端设备向请求系统发送第二请求次数的访问请求,且第二请求次数的访问请求均是指向同一个URL地址,则监控设备可以将URL地址进行拉黑。其中,预设的拉黑策略可以为:第二请求次数超过预设请求次数,即第二请求次数满足请求系统中预设的拉黑策略。
需要说明的是,对URL地址进行拉黑的目的在于:避免存在某一恶意的终端设备利用/控制多台代理设备,同时向请求系统请求相同的业务数据的情况。以此,对URL地址进行拉黑可以实现对URL地址所对应的文件或数据进行保护,防止被其他终端设备进行恶意请求和使用。
示例性的,对于URL地址的拉黑策略,其实施场景可以为用户利用多个终端设备在短时间内对淘宝中某件产品进行恶意刷单的操作,对此不作限定。以对淘宝中A产品进行恶意刷单的实时场景。通常,A产品在平时期间,其被多台终端设备访问的访问次数较低,只有在双十一等活动期间被多次访问。然而,除此之外,若A产品在某一时间段(未处于活动期间的时间段)被大量访问,且访问次数超过预设请求次数。此时,监控设备可以认为该A产品被恶意刷单。因此,为了避免该情况发生,监控设备可以拒绝访问该A产品对应的URL地址的恶意访问请求。
然而,一直拉黑URL地址将会对在URL地址上发布文件或数据的用户造成一定的影响,即对在淘宝上实际买卖A产品的用户造成影响。基于此,为了避免该影响,参照图4,在S12将历史数据存储地址写入黑名单之后,监控设备还可以通过如下步骤S13-S14对黑名单上的历史数据存储地址进行处理:
S113、监控设备统计历史数据存储地址在被写入黑名单之后的预设时间段内的第三请求次数。
S114、若第三请求次数低于次数预设值,则监控设备将历史数据存储地址从黑名单中删除。
在一实施例中,上述预设时间段和次数预设值均可以由工作人员根据实际情况进行设置,对此不作限定。
在一实施例中,在将URL地址写入黑名单后,监控设备还可以对请求该URL地址中的业务数据的每个访问请求进行记录,而后,根据记录统计该URL地址在被写入黑名单之后的预设时间段内的第三请求次数。可以理解的是,若第三请求次数低于次数预设值,则将历史数据存储地址从黑名单中删除。即该URL地址此时已不在被恶意请求。
需要补充的是,若第三请求次数超过或等于次数预设值,则监控设备依然可以将URL地址保存在黑名单。同时,对于预设时间段内依然访问被拉黑的URL地址的终端设备,监控设备可以统计每个终端设备的IP地址,并记录每个IP地址发送的访问请求的数量。之后,将数量最多的IP地址对应发送的访问请求确定为恶意访问请求,以进一步的对URL地址进行保护。
在一实施例中,历史异常信息还包括异常类名称;参照图5,在S103第一请求次数满足请求系统中预设的拉黑策略之前,还包括如下步骤S131-S132对请求系统中的拉黑策略进行预设:
S131、监控设备确定请求系统在出现任一系统异常时的异常类名称。
S132、监控设备分别配置异常类名称与来源地址的拉黑策略,以及数据存储地址的拉黑策略之间的映射关系。
在一实施例中,上述异常类名称为前端网关或后端业务系统发生报错时,其具体属于的报错类别的名称。可以理解的是,对于一个前端网关或后端业务系统,其产生的报错通常具有多种。基于此,为了对多种报错进行区分,工作人员可以预先为每种报错赋予异常类名称。示例性的,异常类名称可以为“NullPointerException”。
另外,需要补充的是,对于同一个请求业务系统中的不同异常,因每种异常对请求系统所造成的影响各不相同。因此,针对产生的每种异常,可以设置不同的拉黑策略。
示例性的,以拉黑策略为来源地址的拉黑策略为例进行解释说明,对于严重影响请求系统运行的异常,其对应的拉黑策略可以为:同一来源地址的历史访问请求在一分钟的请求次数是否超过10次;对于其他不影响请求系统运行的异常,其对应的拉黑策略可以为:同一来源地址的历史访问请求在一分钟的请求次数是否超过30次,对此不作限定。
之后,对于每种异常对应的拉黑策略,监控设备可以分别配置每种异常的异常类名称与来源地址的拉黑策略,和/或数据存储地址的拉黑策略之间的映射关系,以便监控设备可以基于历史访问请求中的来源地址,或所请求的业务数据在请求系统中的历史数据存储地址,从确定是否将该来源地址或历史数据存储地址写入黑名单中。
其中,对于上述每种异常类名称对应的来源地址的拉黑策略,以及数据存储地址的拉黑策略,均可以由工作人员预先在请求系统中的网页(web)页面中进行配置,详情可参照图6。另外,对于配置后的拉黑策略以及映射关系,其均可以存储在请求系统中的存储媒介中。其中,上述拉黑策略中的配置内容包括但不限于:系统名称、策略名称、异常类名称、异常每分钟阈值。其中,上述异常每分钟阈值可以因请求系统、拉黑策略、异常类名称等信息的不同,而设置不同的阈值,对此不作限定。其中,图6中仅为因拉黑策略的不同而设置的两种异常每分钟阈值的示例。
在一实施例中,参照图7,在S104若当前访问请求中的来源地址在黑名单中,则拒绝当前访问请求之前,还包括如下步骤S141-S144以对来源地址不在黑名单上的当前访问请求进行处理:
S141、若当前访问请求中的来源地址未在黑名单中,则监控设备获取当前访问请求中的请求信息。
S142、监控设备获取黑名单中历史来源地址对应的历史访问请求;历史访问请求包括历史请求信息。
在一实施例中,在判定当前访问请求的来源地址未在黑名单时,可能存在当前访问请求,与黑名单上的某个历史来源地址所对应的历史访问请求是相关联的。即当前访问请求可能也属于恶意访问请求。基于此,终端设备可以获取当前访问请求中的请求信息,与黑名单中的每个历史来源地址对应的历史访问请求中的历史请求信息进行比较。
在一实施例中,因上述黑名单是基于历史异常信息进行生成的,而历史异常信息是因前端网关和/或后端业务系统接收到历史访问请求引起异常的详细信息。因此,可以认为上述历史异常信息中所包含的信息,与当前访问请求中包含的请求信息应当类似。
示例性的,请求信息包括多种,具体的,请求信息不仅可以包括来源地址、数据存储地址、异常类名称,还可以包括异常的详细信息、发起访问请求的账号标识、请求时间、请求系统名称和请求接口名称等信息,本实施例中,对请求信息的种类不作任何限制。
其中,以上述账号标识为例进行解释说明,通常用户在使用终端设备运行相应业务时,通常需要先在终端设备上运行并登录某一软件应用。之后,在该软件应用中运行上述业务。此时,该登录软件应用的账号即可以为账号标识。例如,对于微信、支付宝等软件应用,微信账号以及支付宝账号均可以认为是账号标识。
在一实施例中,上述请求系统名称为执行访问请求,并为访问请求提供业务数据的系统名称。可以理解的是,监控设备通常可以同时监控多个请求系统,并且每个请求系统还可以对应配置不同的拉黑策略。
上述请求接口名称为前端网关在解析访问请求后,为得到相应的业务数据时,调用的后端业务系统的请求接口的名称。可以理解的是,针对任意一种请求系统,其可能包括多种业务功能,且每种业务功能所需的业务数据不同。基于此,在从请求系统中调用业务数据时,可以预先为每种业务数据对应配置一种请求接口。因此,上述请求信息还可以包括每次访问请求系统时,所需调用的请求接口名称。
可以理解的是,对于历史请求信息,其也可以包括上述多种。即请求信息与历史请求信息的种类是一一对应的。
S143、监控设备计算当前访问请求中的请求信息与历史请求信息的目标相似度。
在一实施例中,上述S142已说明当前访问请求中的请求信息与历史请求信息分别具有多种,且每种类别的请求信息与历史请求信息一一对应。基于此,监控设备可以计算每种类别的请求信息与历史请求信息的初始相似度,而后进行加和即可得到目标相似度。
具体的,参照图8,监控设备可以通过如下步骤S1431-S1433计算目标相似度,详述如下:
S1431、监控设备计算每种请求信息分别与对应的历史请求信息的初始相似度。
在一实施例中,在计算初始相似度时,可以基于预先训练的相似度模型进行处理得到。或者,比对请求信息与历史请求信息的相似程度。示例性的,对于请求信息的种类为请求系统名称、请求接口名称、账号标识等种类时,因请求系统名称、请求接口名称、账号标识等种类的请求信息具有唯一标识性。因此,对于属于该种类的请求信息与历史请求信息的初始相似度,只可分为1或0。即要么属于同一种类的请求信息,要么属于不同种类的请求信息。
然而,对于请求时间、异常的详细信息等种类的请求信息,因对于相同或不同的异常的详细信息,可能因不同的人,采用的描述方式不同,其初始相似度可能具有多种。另外,对于请求时间则可以为:若请求时间与历史请求时间相差时长处于第一预设时长,则可以认为相似度为第一预设值;以及,若相差时长处于第二预设时长,则可以认为相似度为第二预设值等多种情形。其中,每种情形的预设时长以及预设值均可以由工作人员根据实际情况进行确定。
可以理解的是,请求信息的种类具有多个,因此,最终计算的初始相似度也应当具有多个。
其中,需要补充的是,因黑名单中记录的历史来源地址,其对应的历史访问请求可能具有多个,因此,在计算每种请求信息分别与对应的历史请求信息的初始相似度时,若一个历史来源地址对应有多个历史请求信息,则监控设备可以随机从多个历史请求信息中确定一个历史请求信息进行比对。
S1432、针对任意一种请求信息,监控设备根据请求信息对应的初始相似度,与所有种类的请求信息分别对应的初始相似度,计算请求信息对应的权重值。
S1433、监控设备对所有种类的请求信息分别对应的初始相似度与权重值进行加权求和,得到目标相似度。
在一实施例中,上述每种类别的请求信息对应的初始相似度,可以由工作人员进行设置,也可以根据初始相似度进行计算。具体的,每种类别的请求信息与历史请求信息之间的相似度,可以通过如下公式进行计算:
可以理解的是,采用上述公式计算每个初始相似度对应的权重值时,若初始相似度的数值越高,则对应计算的权重值也越高。并且,计算的权重值是根据上述softmax公式进行合理归一化后的数值,其最终得到的相似度,更能合理的表示该请求信息与黑名单上的各个历史请求信息的初始相似度。之后,可以采用加权求和的方式对各个初始相似度进行处理,得到目标相似度。
S144、监控设备若目标相似度超过相似度预设值,则拒绝当前访问请求。
基于此,监控设备在确定最终的目标相似度超过相似度预设值时,可以准确的认为该访问请求,与黑名单上的某个历史访问请求为关联请求。进而,监控设备可以拒绝发送该访问请求至请求系统。
请参阅图9,图9是本申请实施例提供的一种访问请求处理装置的结构框图。本实施例中访问请求处理装置包括的各模块用于执行图1、图3至图5、图7和图8对应的实施例中的各步骤。具体请参阅图1、图3至图5、图7和图8以及图1、图3至图5、图7和图8所对应的实施例中的相关描述。为了便于说明,仅示出了与本实施例相关的部分。参见图9,访问请求处理装置900可以包括:获取模块910、统计模块920、拉黑模块930以及拒绝模块940,其中:
获取模块910,用于获取请求系统在处理历史访问请求时产生的多个历史异常信息;每个历史异常信息包括历史访问请求的历史来源地址。
统计模块920,用于从多个历史异常信息中,统计来自相同历史来源地址的历史访问请求的第一请求次数。
拉黑模块930,用于在第一请求次数满足请求系统中预设的拉黑策略时,将历史来源地址写入黑名单中。
拒绝模块940,用于针对任一当前访问请求,若当前访问请求中的来源地址在黑名单中,则拒绝访问请求。
在一实施例中,历史异常信息还包括存储有历史访问请求所需数据的历史数据存储地址;访问请求处理装置900还包括:
第二请求次数确定模块,用于从多个历史异常信息中,确定历史访问请求访问相同的历史数据存储地址的第二请求次数。
写入模块,用于在第二请求次数满足请求系统中预设的拉黑策略时,将历史数据存储地址写入黑名单中。
在一实施例中,访问请求处理装置900还包括:
第三请求次数统计模块,用于统计历史数据存储地址在被写入黑名单之后的预设时间段内的第三请求次数。
删除模块,用于若第三请求次数低于次数预设值,则将历史数据存储地址从黑名单中删除。
在一实施例中,历史异常信息还包括异常类名称;访问请求处理装置900还包括:
异常类名称确定模块,用于确定请求系统在出现任一系统异常时的异常类名称。
配置模块,用于分别配置异常类名称与来源地址的拉黑策略,以及数据存储地址的拉黑策略之间的映射关系。
在一实施例中,访问请求处理装置900还包括:
请求信息获取模块,用于若当前访问请求中的来源地址未在黑名单中,则获取当前访问请求中的请求信息;
历史访问请求获取模块,用于获取黑名单中历史来源地址对应的历史访问请求;历史访问请求包括历史请求信息。
目标相似度计算模块,用于计算当前访问请求中的请求信息与历史请求信息的目标相似度。
处理模块,用于若目标相似度超过相似度预设值,则拒绝当前访问请求。
在一实施例中,请求信息包括多种;目标相似度计算模块还用于:
计算每种请求信息分别与对应的历史请求信息的初始相似度;
针对任意一种请求信息,根据请求信息对应的初始相似度,与所有种类的请求信息分别对应的初始相似度,计算请求信息对应的权重值;
对所有种类的请求信息分别对应的初始相似度与权重值进行加权求和,得到目标相似度。
在一实施例中,目标相似度计算模块还可采用如下公式计算请求信息对应的权重值:
当理解的是,图9示出的访问请求处理装置的结构框图中,各模块用于执行图1、图3至图5、图7和图8对应的实施例中的各步骤,而对于图1、图3至图5、图7和图8对应的实施例中的各步骤已在上述实施例中进行详细解释,具体请参阅图图1、图3至图5、图7和图8以及图1、图3至图5、图7和图8所对应的实施例中的相关描述,此处不再赘述。
图10是本申请一实施例提供的一种监控设备的结构框图。如图10所示,该实施例的监控设备1000包括:处理器1010、存储器1020以及存储在存储器1020中并可在处理器1010运行的计算机程序1030,例如访问请求处理方法的程序。处理器1010执行计算机程序1030时实现上述各个访问请求处理方法各实施例中的步骤,例如图1所示的S101至S104。或者,处理器1010执行计算机程序1030时实现上述图9对应的实施例中各模块的功能,例如,图9所示的模块910至940的功能,具体请参阅图9对应的实施例中的相关描述。
示例性的,计算机程序1030可以被分割成一个或多个模块,一个或者多个模块被存储在存储器1020中,并由处理器1010执行,以实现本申请实施例提供的访问请求处理方法。一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述计算机程序1030在监控设备1000中的执行过程。例如,计算机程序1030可以实现本申请实施例提供的访问请求处理方法。
监控设备1000可包括,但不仅限于,处理器1010、存储器1020。本领域技术人员可以理解,图10仅仅是监控设备1000的示例,并不构成对监控设备1000的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如监控设备还可以包括输入输出设备、网络接入设备、总线等。
所称处理器1010可以是中央处理单元,还可以是其他通用处理器、数字信号处理器、专用集成电路、现成可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器1020可以是监控设备1000的内部存储单元,例如监控设备1000的硬盘或内存。存储器1020也可以是监控设备1000的外部存储设备,例如监控设备1000上配备的插接式硬盘,智能存储卡,闪存卡等。进一步地,存储器1020还可以既包括监控设备1000的内部存储单元也包括外部存储设备。
本申请实施例提供了一种监控设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现如上述各个实施例中的访问请求处理方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现如上述各个实施例中的访问请求处理方法。
第五方面,本申请实施例提供了一种计算机程序产品,当计算机程序产品在监控设备上运行时,使得监控设备执行上述各个实施例中的访问请求处理方法。
以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (10)
1.一种访问请求处理方法,其特征在于,应用于监控设备,所述方法包括:
获取请求系统在处理历史访问请求时产生的多个历史异常信息;每个所述历史异常信息包括所述历史访问请求的历史来源地址;
从多个所述历史异常信息中,统计来自相同所述历史来源地址的所述历史访问请求的第一请求次数;
在所述第一请求次数满足所述请求系统中预设的拉黑策略时,将所述历史来源地址写入黑名单中;
针对任一当前访问请求,若所述当前访问请求中的来源地址在所述黑名单中,则拒绝所述当前访问请求。
2.根据权利要求1所述的访问请求处理方法,其特征在于,所述历史异常信息还包括存储有所述历史访问请求所需数据的历史数据存储地址;
在所述获取请求系统在处理历史访问请求时产生的多个历史异常信息之后,还包括:
从多个所述历史异常信息中,确定所述历史访问请求访问相同的所述历史数据存储地址的第二请求次数;
在所述第二请求次数满足所述请求系统中预设的拉黑策略时,将所述历史数据存储地址写入所述黑名单中。
3.根据权利要求2所述的访问请求处理方法,其特征在于,在将所述历史数据存储地址写入所述黑名单之后,还包括:
统计所述历史数据存储地址在被写入所述黑名单之后的预设时间段内的第三请求次数;
若所述第三请求次数低于次数预设值,则将所述历史数据存储地址从所述黑名单中删除。
4.根据权利要求2所述的访问请求处理方法,其特征在于,所述历史异常信息还包括异常类名称;
在所述第一请求次数满足所述请求系统中预设的拉黑策略之前,还包括:
确定所述请求系统在出现任一系统异常时的异常类名称;
分别配置所述异常类名称与所述来源地址的拉黑策略,以及所述数据存储地址的拉黑策略之间的映射关系。
5.根据权利要求1-4任一所述的访问请求处理方法,其特征在于,在若所述当前访问请求中的来源地址在所述黑名单中,则拒绝所述当前访问请求之前,还包括:
若所述当前访问请求中的来源地址未在所述黑名单中,则获取所述当前访问请求中的请求信息;
获取所述黑名单中所述历史来源地址对应的历史访问请求;所述历史访问请求包括历史请求信息;
计算所述当前访问请求中的请求信息与所述历史请求信息的目标相似度;
若所述目标相似度超过相似度预设值,则拒绝所述当前访问请求。
6.根据权利要求5所述的访问请求处理方法,其特征在于,所述请求信息包括多种;
所述计算所述当前访问请求中的请求信息与所述历史请求信息的目标相似度,包括:
计算每种所述请求信息分别与对应的所述历史请求信息的初始相似度;
针对任意一种所述请求信息,根据所述请求信息对应的初始相似度,与所有种类的请求信息分别对应的初始相似度,计算所述请求信息对应的权重值;
对所有种类的所述请求信息分别对应的所述初始相似度与所述权重值进行加权求和,得到所述目标相似度。
8.一种访问请求处理装置,其特征在于,应用于监控设备,所述装置包括:
获取模块,用于获取请求系统在处理历史访问请求时产生的多个历史异常信息;每个所述历史异常信息包括所述历史访问请求的历史来源地址;
统计模块,用于从多个所述历史异常信息中,统计来自相同所述历史来源地址的所述历史访问请求的第一请求次数;
拉黑模块,用于在所述第一请求次数满足所述请求系统中预设的拉黑策略时,将所述历史来源地址写入黑名单中;
拒绝模块,用于针对任一当前访问请求,若所述当前访问请求中的来源地址在所述黑名单中,则拒绝所述当前访问请求。
9.一种监控设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111525084.7A CN114221807A (zh) | 2021-12-14 | 2021-12-14 | 访问请求处理方法、装置、监控设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111525084.7A CN114221807A (zh) | 2021-12-14 | 2021-12-14 | 访问请求处理方法、装置、监控设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114221807A true CN114221807A (zh) | 2022-03-22 |
Family
ID=80701677
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111525084.7A Pending CN114221807A (zh) | 2021-12-14 | 2021-12-14 | 访问请求处理方法、装置、监控设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114221807A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115208672A (zh) * | 2022-07-15 | 2022-10-18 | 北京天融信网络安全技术有限公司 | 黑名单调整方法、装置、电子设备和计算机可读存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109995732A (zh) * | 2017-12-30 | 2019-07-09 | 中国移动通信集团安徽有限公司 | 网站安全访问监控方法、装置、设备及介质 |
CN110944007A (zh) * | 2019-12-10 | 2020-03-31 | 北京北龙云海网络数据科技有限责任公司 | 一种网络访问管理方法、系统、装置及存储介质 |
CN112765502A (zh) * | 2021-01-13 | 2021-05-07 | 上海派拉软件股份有限公司 | 恶意访问检测方法、装置、电子设备和存储介质 |
CN113765980A (zh) * | 2020-11-20 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 一种限流方法、装置、系统、服务器和存储介质 |
-
2021
- 2021-12-14 CN CN202111525084.7A patent/CN114221807A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109995732A (zh) * | 2017-12-30 | 2019-07-09 | 中国移动通信集团安徽有限公司 | 网站安全访问监控方法、装置、设备及介质 |
CN110944007A (zh) * | 2019-12-10 | 2020-03-31 | 北京北龙云海网络数据科技有限责任公司 | 一种网络访问管理方法、系统、装置及存储介质 |
CN113765980A (zh) * | 2020-11-20 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 一种限流方法、装置、系统、服务器和存储介质 |
CN112765502A (zh) * | 2021-01-13 | 2021-05-07 | 上海派拉软件股份有限公司 | 恶意访问检测方法、装置、电子设备和存储介质 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115208672A (zh) * | 2022-07-15 | 2022-10-18 | 北京天融信网络安全技术有限公司 | 黑名单调整方法、装置、电子设备和计算机可读存储介质 |
CN115208672B (zh) * | 2022-07-15 | 2024-01-23 | 北京天融信网络安全技术有限公司 | 黑名单调整方法、装置、电子设备和计算机可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108038130B (zh) | 虚假用户的自动清理方法、装置、设备及存储介质 | |
WO2020000763A1 (zh) | 网络风险监控方法、装置、计算机设备及存储介质 | |
CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
CN107911397B (zh) | 一种威胁评估方法及装置 | |
WO2021012509A1 (zh) | 一种异常账号检测方法、装置及计算机存储介质 | |
CN110932933B (zh) | 网络状况监测方法、计算设备及计算机存储介质 | |
CN108390856B (zh) | 一种DDoS攻击检测方法、装置及电子设备 | |
CN108156141B (zh) | 一种实时数据识别方法、装置及电子设备 | |
CN112134954A (zh) | 服务请求处理方法、装置、电子设备及存储介质 | |
CN111742309A (zh) | 自动数据库查询负载评估和自适应处理 | |
CN110838971B (zh) | 消息发送方法、装置、电子设备及存储介质 | |
US20160094392A1 (en) | Evaluating Configuration Changes Based on Aggregate Activity Level | |
CN110430070B (zh) | 一种服务状态分析方法、装置、服务器、数据分析设备及介质 | |
CN114221807A (zh) | 访问请求处理方法、装置、监控设备及存储介质 | |
CN108650123B (zh) | 故障信息记录方法、装置、设备和存储介质 | |
CN107612946B (zh) | Ip地址的检测方法、检测装置和电子设备 | |
CN105893150B (zh) | 接口调用频度控制、接口调用请求处理方法及装置 | |
US11308212B1 (en) | Adjudicating files by classifying directories based on collected telemetry data | |
WO2020232903A1 (zh) | 监控任务动态调整方法、装置、计算设备和存储介质 | |
CN111338958A (zh) | 一种测试用例的参数生成方法、装置及终端设备 | |
CN112329021B (zh) | 一种排查应用漏洞的方法、装置、电子装置和存储介质 | |
CN113660257B (zh) | 请求拦截方法、装置、电子设备和计算机可读存储介质 | |
CN113010376B (zh) | 一种对存储训练数据的云存储系统的监测方法及装置 | |
CN114386025A (zh) | 异常检测方法、装置、电子设备及存储介质 | |
CN110333968B (zh) | 应用于数据库的数据管理方法、装置及计算机设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |