CN114884671A - 服务器的入侵防御方法、装置、设备及介质 - Google Patents
服务器的入侵防御方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN114884671A CN114884671A CN202210423909.2A CN202210423909A CN114884671A CN 114884671 A CN114884671 A CN 114884671A CN 202210423909 A CN202210423909 A CN 202210423909A CN 114884671 A CN114884671 A CN 114884671A
- Authority
- CN
- China
- Prior art keywords
- request
- access
- identity token
- server
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 230000002265 prevention Effects 0.000 title claims abstract description 24
- 238000004891 communication Methods 0.000 claims description 14
- 238000000605 extraction Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 7
- 230000000694 effects Effects 0.000 abstract description 5
- 230000003993 interaction Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 241000555745 Sciuridae Species 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000035876 healing Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种服务器的入侵防御方法,包括:拦截预设服务器接收到的数据请求,记录每个所述数据请求对应的访问时间,以及解析出每个所述数据请求中的身份令牌和访问IP;根据所述访问时间统计相同的身份令牌在预设时间段内对应的所述访问IP的IP数量;当所述IP数量大于预设数量时,利用预先封装的拦截组件拦截包含与所述键值对相应的身份令牌的数据请求。此外,本申请还涉及一种服务器的入侵防御装置、设备及介质。本申请可解决对入侵服务器的数据请求的拦截效果较差的问题。
Description
技术领域
本申请涉及文本处理领域,尤其涉及一种服务器的入侵防御方法、装置、电子设备及计算机可读存储介质。
背景技术
随着人们需求的多样化,网络中为人们提供服务的网络组织架构逐渐庞大,为了提高服务的提供效率,越来越多的服务提供商选择利用云端服务器为用户提供服务,但服务器在与外界进行数据交互时,外界访问用户可能会对服务器进行恶意攻击,攻击者利用与正常用户相同数据请求在短时间内平凡对服务器进行访问,以占用服务器流量,降低服务器响应速度,进而造成服务器产生响应迟缓甚至宕机的情况,造成严重经济损失,因此,如何有效防御对服务器进行攻击的数据请求,成为了亟待解决的问题。
发明内容
本申请提供了一种服务器的入侵防御方法、装置及存储介质,以解决对入侵服务器的数据请求的拦截效果较差的问题。
第一方面,本申请提供了一种服务器的入侵防御方法,所述方法包括:
拦截预设服务器接收到的数据请求,记录每个所述数据请求对应的访问时间,以及解析出每个所述数据请求中的身份令牌和访问IP;
根据所述访问时间统计相同的身份令牌在预设时间段内对应的所述访问IP的IP数量;
当所述IP数量大于预设数量时,利用预先封装的拦截组件拦截包含与所述键值对相应的身份令牌的数据请求。
详细地,所述拦截预设服务器接收到的数据请求,包括:
获取所述预设服务器中数据接口的属性参数;
利用所述属性参数对预设的拦截器进行参数配置;
利用参数配置后的拦截器对所述预设服务器中接收到的数据请求进行拦截。
详细地,所述解析出每个所述数据请求中的身份令牌和访问IP,包括:
逐个选取一个数据请求为目标请求,将所述目标请求拆分为请求头与请求体;
对所述请求体进行解析,得到身份令牌;
对所述请求头进行IP溯源,得到所述目标请求对应的访问IP。
详细地,所述对所述请求头进行IP溯源,得到所述目标请求对应的访问IP,包括:
遍历并确定所述目标请求中的请求头数据类;
对所述请求头数据类进行反射操作,得到请求头方法;
根据所述请求头方法构建请求头提取语句;
执行所述请求头提取语句提取所述访问请求中的请求消息头;
对所述消息头进行解析,得到用户IP地址。
详细地,所述根据所述访问时间统计相同的身份令牌在预设时间段内对应的所述访问IP的IP数量,包括:
以键值对形式将具有相同的身份令牌的数据请求对应的访问时间及所述访问IP存储至预设的redis缓存内;
利用所述redis缓存的自定义方法设置所有键值对的数据失效时间,并实时统计预设时间段内每个所述身份令牌中未失效的键值对数量,并确定所述数量为IP数量。
详细地,所述利用预先封装的拦截组件拦截包含与所述键值对相应的身份令牌的数据请求,包括:
当接收到数据请求时,提取接收到的数据请求中的身份令牌;
比对接收到的数据请求中的身份令牌与所述键值对相应的身份令牌是否一致;
若接收到的数据请求中的身份令牌与所述键值对相应的身份令牌不一致,对接收到的数据请求进行响应;
若接收到的数据请求中的身份令牌与所述键值对相应的身份令牌一致,所述利用预先封装的拦截组件阻止所述接收到的数据请求的访问。
详细地,所述利用预先封装的拦截组件拦截包含与所述键值对相应的身份令牌的数据请求之后,所述方法还包括:
解析出所述包含与所述键值对相应的身份令牌的数据请求之中的访问IP为目标IP;
对所述目标IP进行访问限制提示。
第二方面,本申请提供了一种服务器的入侵防御装置,所述装置包括:
请求分析模块,用于拦截预设服务器接收到的数据请求,记录每个所述数据请求对应的访问时间,以及解析出每个所述数据请求中的身份令牌和访问IP;
访问分析模块,用于根据所述访问时间统计相同的身份令牌在预设时间段内对应的所述访问IP的IP数量;
请求拦截模块,用于当所述IP数量大于预设数量时,利用预先封装的拦截组件拦截包含与所述键值对相应的身份令牌的数据请求。
第三方面,提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器、通信接口、存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现第一方面任一项实施例所述的服务器的入侵防御方法的步骤。
第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面任一项实施例所述的服务器的入侵防御方法的步骤。
本申请实施例提供的上述技术方案与现有技术相比具有如下优点:
本申请实施例提供的该方法,可通过提取服务器接收到的数据请求包含的身份令牌、访问ID与访问时间,以此对每个请求进行分析,确定属于入侵请求的身份令牌,进而利用预先封装的拦截组件对所有包含该身份令牌的请求进行拦截,实现了针对身份令牌的精准拦截,且仅需调用预先配置的拦截组件进行拦截,避免对服务器中每个数据接口代码的增加,减少代码冗余,同时提高拦截效率,可解决对入侵服务器的数据请求的拦截效果较差的问题。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种服务器的入侵防御方法的流程示意图;
图2为本申请实施例提供的拦截数据请求的流程示意图;
图3为本申请实施例提供的解析出每个数据请求中的身份令牌和访问IP的流程示意图;
图4为本申请实施例提供的一种服务器的入侵防御的装置的模块示意图;
图5为本申请实施例提供的一种服务器的入侵防御的电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1为本申请实施例提供的一种服务器的入侵防御方法的流程示意图。在本实施例中,所述服务器的入侵防御方法包括:
S1、拦截预设服务器接收到的数据请求,记录每个所述数据请求对应的访问时间,以及解析出每个所述数据请求中的身份令牌和访问IP。
本申请实施例中,所述预设服务器可以为任何可与外界通过数据请求进行数据交互的服务器。
本申请其中一个实际应用场景中,服务器在与外界进行数据交互时,外界访问用户可能会对服务器进行恶意攻击。
例如,攻击者利用与正常用户相同数据请求在短时间内平凡对服务器进行访问,以占用服务器流量,降低服务器响应速度,进而造成服务器产生响应迟缓甚至宕机的情况,造成严重经济损失。
因此,为了防止该预设服务器在于外界进行数据交互时,外界访问用户对该预设服务器进行恶意攻击,需对服务器接收到的所有数据请求进行拦截和分析,以确定哪些为恶意攻击的数据请求,并对恶意攻击的数据请求进行主动防御。
详细地,可预先安装与该预设服务器的拦截插件(如Fiddler插件、SpringBoot插件等)拦截预设服务器接收到的数据请求,其中,所述拦截插件为预先在该预设服务器中生成的脚本工具,通过所述拦截插件预设服务器接收到的数据请求,可提高拦截预设服务器接收到的数据请求的实时性。
本申请实施例中,参图2所示,所述拦截预设服务器接收到的数据请求,包括:
S21、获取所述预设服务器中数据接口的属性参数;
S22、利用所述属性参数对预设的拦截器进行参数配置;
S23、利用参数配置后的拦截器对所述预设服务器中接收到的数据请求进行拦截。
详细地,由于预设服务器在于外界进行数据交互时,需通过该预设服务器中的数据接口,因此,可利用具有参数提取功能的计算机语句(如java语句、python语句等)获取所述预设服务器中数据接口的属性参数,进而利用所述属性参数对预设的拦截器进行参数配置,以实现利用参数配置后的拦截器对所述预设服务器中接收到的数据请求进行拦截,其中,所述属性参数包括但不限于接口名称、接口数据类型。
本申请实施例中,当拦截到该预设服务器接收到的数据请求时,可实时对每个数据请求的访问时间进行记录,以便于后续根据所述访问时间对每个数据请求是否为恶意攻击的请求进行判断。
进一步地,为了实现对恶意攻击请求的预先防御,还需对拦截到的数据请求进行解析,以解析出每个数据请求对应的身份令牌与访问IP。
其中,所述身份令牌为每个数据请求中携带的用于唯一标识访问者身份的数据字段,例如用户对该预设服务器的的登录名与密码;所述访问IP是指每个对所述预设服务器进行访问的数据请求在访问时的网络IP地址。
本申请实施例中,参图3所示,所述解析出每个所述数据请求中的身份令牌和访问IP,包括:
S31、逐个选取一个数据请求为目标请求,将所述目标请求拆分为请求头与请求体;
S32、对所述请求体进行解析,得到身份令牌;
S33、对所述请求头进行IP溯源,得到所述目标请求对应的访问IP。
本申请实施例中可利用预先获取的解析器解析所述请求体得到所述目标请求中包含的身份令牌,所述解析器包括CarakanC/C++,SquirrelFishC++和SquirrelFishExtremeC++等。
本申请实施例中,所述对所述请求头进行IP溯源,得到所述目标请求对应的访问IP,包括:
遍历并确定所述目标请求中的请求头数据类;
对所述请求头数据类进行反射操作,得到请求头方法;
根据所述请求头方法构建请求头提取语句;
执行所述请求头提取语句提取所述访问请求中的请求消息头;
对所述消息头进行解析,得到用户IP地址。
详细地,可遍历该目标请求,以确定目标请求中的请求头数据类,进而根据所述请求体数据类对该请求头进行IP溯源,所述请求头数据类可用于实现所述访问请求,通过对所述请求头数据类进行反射操作,即可得到请求头方法。
具体地,所述对所述请求头数据类进行反射操作,得到请求头方法,例如,利用如下java语句对所述请求头数据类进行反射操作:
String name="Hualing";Class c1=name.getClass();System.out.println(c1.get Name())。
其中,"Hualing"为所述请求头数据类。
当对所述请求头数据类进行反射操作后,即可得到请求头方法。示例性地,可根据所述请求头方法构建如下请求头提取语句:
String name=field.getName()。
本申请实施例中,通过反射操作提取每个数据请求中的访问IP,实现对每个数据请求真实的IP地址的提取,避免恶意攻击请求套用多层虚拟IP,以对后续判断结果产生误判的影响。
S2、根据所述访问时间统计相同的身份令牌在预设时间段内对应的所述访问IP的IP数量。
本申请实施例中,可根据每个数据请求的访问时间,统计每个相同的身份令牌在预设时间段内的访问IP的IP数量,以便于后续根据统计结果对每个数据请求是否为恶意攻击的数据请求进行判断。
本申请另一实施例中,所述根据所述访问时间统计相同的身份令牌在预设时间段内对应的所述访问IP的IP数量,包括:
以键值对形式将具有相同的身份令牌的数据请求对应的访问时间及所述访问IP存储至预设的redis缓存内;
利用所述redis缓存的自定义方法设置所有键值对的数据失效时间,并实时统计预设时间段内每个所述身份令牌中未失效的键值对数量,并确定所述数量为IP数量。
例如,对所述预设服务器进行访问的数据请求包括请求A(身份令牌为x,访问时间为10点10分20秒,访问IP为http//A)、请求B(身份令牌为y,访问时间为10点10分21秒,访问IP为http//B)、请求C(身份令牌为x,访问时间为10点10分22秒,访问IP为http//C)和请求D(身份令牌为y,访问时间为10点10分23秒,访问IP为http//D);可知,请求A与请求C具有相同的身份令牌,请求B和请求D具有相同的身份令牌,则将请求A与请求C的访问时间及访问IP以键值对形式存储至预设的redis缓存内相同数据表中,将请求B和请求D的访问时间及访问IP以键值对形式存储至预设的redis缓存内相同数据表中。
进一步地,为了实现对不同的身份令牌对应的数据请求是否为恶意攻击请求进行判断,可利用所述redis缓存中EXPIRE、EXPIREAT、PEXPIRE、PEXPIREAT以及SETEX和PSETEX等自定义方法设置所有键值对的数据失效时间,其中,所述数据失效时间可用于数据的有效性进行标记。
例如,利用所述redis缓存的自定义方法设置所有键值对的失效时间为5s,即当该键值对存储的时间超过5s时,则对该存储的键值对进行删除,进而减少缓存的内存占用,并避免对失效的键值对进行处理,提高处理效率。
进而,可实现实时地统计预设时间段内每个所述身份令牌中未失效的键值对数量,并确定所述数量为IP数量。
S3、判断所述IP数量是否大于预设数量。
本申请实施例中,可将所述IP数量与预设数量进行比较,以判断所述IP数量是否大于预设数量。
当所述IP数量小于或等于预设数量时,执行S4、对所述数据请求进行响应。
本申请实施例中,当所述IP数量小于或等于预设数量时,则说明该身份令牌对应的用户在预设时间段内对该预设服务器的访问次数较少,因此,可确定该身份令牌对该预设服务器的访问为正常访问,进而对所述数据请求做出正常的响应。
当所述IP数量大于预设数量时,执行S5、利用预先封装的拦截组件拦截包含与所述键值对相应的身份令牌的数据请求。
本申请实施例中,当所述IP数量大于预设数量时,则说明该身份令牌对应的用户在预设时间段内对该预设服务器的访问次数较多,因此,可确定改身份令牌对该预设服务器的访问为恶意攻击的访问,进而需要对所述数据请求进行拦截,并拒绝对所述数据请求进行响应。
本申请实施例中,所述利用预先封装的拦截组件拦截包含与所述键值对相应的身份令牌的数据请求,包括:
当接收到数据请求时,提取接收到的数据请求中的身份令牌;
比对接收到的数据请求中的身份令牌与所述键值对相应的身份令牌是否一致;
若接收到的数据请求中的身份令牌与所述键值对相应的身份令牌不一致,对接收到的数据请求进行响应;
若接收到的数据请求中的身份令牌与所述键值对相应的身份令牌一致,所述利用预先封装的拦截组件阻止所述接收到的数据请求的访问。
详细地,所述提取接收到的数据请求中的身份令牌的步骤,与S1中解析出每个所述数据请求中的身份令牌的步骤一致,在此不做赘述。
具体地,所述预先封装的拦截组件包括RequestTokenLimit组件。
本申请实施例中,由于恶意请求可能会对该预设服务器中多个数据接口进行攻击,因此,需要对多个接口的恶意攻击请求进行拦截,但若单独对每个数据接口进行相应的功能代码添加,会导致代码的过度冗余,因此,可预先创建拦截组件,当需要对某个或多个数据接口进行恶意攻击的请求拦截时,仅需在接口中添加该拦截组件的注解即可实现对该组件的调用,极大程度减少代码冗余。
本申请实施例中,所述利用预先封装的拦截组件拦截包含与所述键值对相应的身份令牌的数据请求之后,所述方法还包括:
解析出所述包含与所述键值对相应的身份令牌的数据请求之中的访问IP为目标IP;
对所述目标IP进行访问限制提示。
详细地,所述解析出所述包含与所述键值对相应的身份令牌的数据请求之中的访问IP为目标IP的步骤,与S1中解析出每个所述数据请求中的访问IP的步骤一致,在此不做赘述。
具体地,可对所述目标IP地址做出“操作太频繁,请稍后再试”、“表单提交过于频繁,请等待”等访问限制提示。
本申请实施例提供的该方法,可通过提取服务器接收到的数据请求包含的身份令牌、访问ID与访问时间,以此对每个请求进行分析,确定属于入侵请求的身份令牌,进而利用预先封装的拦截组件对所有包含该身份令牌的请求进行拦截,实现了针对身份令牌的精准拦截,且仅需调用预先配置的拦截组件进行拦截,避免对服务器中每个数据接口代码的增加,减少代码冗余,同时提高拦截效率,可解决对入侵服务器的数据请求的拦截效果较差的问题。
如图4所示,本申请实施例提供了一种服务器的入侵防御装置10的模块示意图,所述服务器的入侵防御装置10,包括:请求分析模块11、访问分析模块12和请求拦截模块13。
所述请求分析模块11,用于拦截预设服务器接收到的数据请求,记录每个所述数据请求对应的访问时间,以及解析出每个所述数据请求中的身份令牌和访问IP;
所述访问分析模块12,用于根据所述访问时间统计相同的身份令牌在预设时间段内对应的所述访问IP的IP数量;
所述请求拦截模块13,用于当所述IP数量大于预设数量时,利用预先封装的拦截组件拦截包含与所述键值对相应的身份令牌的数据请求。
详细地,本申请实施例中所述服务器的入侵防御装置10中所述的各模块在使用时采用与上述图1至图3中所述的服务器的入侵防御方法一样的技术手段,并能够产生相同的技术效果,这里不再赘述。
如图5所示,本申请实施例提供了一种电子设备,包括处理器111、通信接口112、存储器113和通信总线114,其中,处理器111、通信接口112、存储器113通过通信总线114完成相互间的通信;
存储器113,用于存放计算机程序;
在本申请一个实施例中,处理器111,用于执行存储器113上所存放的程序时,实现前述任意一个方法实施例提供的服务器的入侵防御方法,包括:
拦截预设服务器接收到的数据请求,记录每个所述数据请求对应的访问时间,以及解析出每个所述数据请求中的身份令牌和访问IP;
根据所述访问时间统计相同的身份令牌在预设时间段内对应的所述访问IP的IP数量;
当所述IP数量大于预设数量时,利用预先封装的拦截组件拦截包含与所述键值对相应的身份令牌的数据请求。
本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如前述任意一个方法实施例提供的服务器的入侵防御方法的步骤。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本发明的具体实施方式,使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种服务器的入侵防御方法,其特征在于,所述方法包括:
拦截预设服务器接收到的数据请求,记录每个所述数据请求对应的访问时间,以及解析出每个所述数据请求中的身份令牌和访问IP;
根据所述访问时间统计相同的身份令牌在预设时间段内对应的所述访问IP的IP数量;
当所述IP数量大于预设数量时,利用预先封装的拦截组件拦截包含与所述键值对相应的身份令牌的数据请求。
2.根据权利要求1所述的服务器的入侵防御方法,其特征在于,所述拦截预设服务器接收到的数据请求,包括:
获取所述预设服务器中数据接口的属性参数;
利用所述属性参数对预设的拦截器进行参数配置;
利用参数配置后的拦截器对所述预设服务器中接收到的数据请求进行拦截。
3.根据权利要求1所述的服务器的入侵防御方法,其特征在于,所述解析出每个所述数据请求中的身份令牌和访问IP,包括:
逐个选取一个数据请求为目标请求,将所述目标请求拆分为请求头与请求体;
对所述请求体进行解析,得到身份令牌;
对所述请求头进行IP溯源,得到所述目标请求对应的访问IP。
4.根据权利要求3所述的服务器的入侵防御方法,其特征在于,所述对所述请求头进行IP溯源,得到所述目标请求对应的访问IP,包括:
遍历并确定所述目标请求中的请求头数据类;
对所述请求头数据类进行反射操作,得到请求头方法;
根据所述请求头方法构建请求头提取语句;
执行所述请求头提取语句提取所述访问请求中的请求消息头;
对所述消息头进行解析,得到用户IP地址。
5.根据权利要求1所述的服务器的入侵防御方法,其特征在于,所述根据所述访问时间统计相同的身份令牌在预设时间段内对应的所述访问IP的IP数量,包括:
以键值对形式将具有相同的身份令牌的数据请求对应的访问时间及所述访问IP存储至预设的redis缓存内;
利用所述redis缓存的自定义方法设置所有键值对的数据失效时间,并实时统计预设时间段内每个所述身份令牌中未失效的键值对数量,并确定所述数量为IP数量。
6.根据权利要求1至5中任一项所述的服务器的入侵防御方法,其特征在于,所述利用预先封装的拦截组件拦截包含与所述键值对相应的身份令牌的数据请求,包括:
当接收到数据请求时,提取接收到的数据请求中的身份令牌;
比对接收到的数据请求中的身份令牌与所述键值对相应的身份令牌是否一致;
若接收到的数据请求中的身份令牌与所述键值对相应的身份令牌不一致,对接收到的数据请求进行响应;
若接收到的数据请求中的身份令牌与所述键值对相应的身份令牌一致,所述利用预先封装的拦截组件阻止所述接收到的数据请求的访问。
7.根据权利要求1至5中任一项所述的服务器的入侵防御方法,其特征在于,所述利用预先封装的拦截组件拦截包含与所述键值对相应的身份令牌的数据请求之后,所述方法还包括:
解析出所述包含与所述键值对相应的身份令牌的数据请求之中的访问IP为目标IP;
对所述目标IP进行访问限制提示。
8.一种服务器的入侵防御装置,其特征在于,所述装置包括:
请求分析模块,用于拦截预设服务器接收到的数据请求,记录每个所述数据请求对应的访问时间,以及解析出每个所述数据请求中的身份令牌和访问IP;
访问分析模块,用于根据所述访问时间统计相同的身份令牌在预设时间段内对应的所述访问IP的IP数量;
请求拦截模块,用于当所述IP数量大于预设数量时,利用预先封装的拦截组件拦截包含与所述键值对相应的身份令牌的数据请求。
9.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器、通信接口、存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-7任一项所述的服务器的入侵防御方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7任一项所述的服务器的入侵防御方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210423909.2A CN114884671B (zh) | 2022-04-21 | 2022-04-21 | 服务器的入侵防御方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210423909.2A CN114884671B (zh) | 2022-04-21 | 2022-04-21 | 服务器的入侵防御方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114884671A true CN114884671A (zh) | 2022-08-09 |
| CN114884671B CN114884671B (zh) | 2024-04-26 |
Family
ID=82672669
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210423909.2A Active CN114884671B (zh) | 2022-04-21 | 2022-04-21 | 服务器的入侵防御方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114884671B (zh) |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102137059A (zh) * | 2010-01-21 | 2011-07-27 | 阿里巴巴集团控股有限公司 | 一种恶意访问的拦截方法和系统 |
| US9148424B1 (en) * | 2015-03-13 | 2015-09-29 | Snapchat, Inc. | Systems and methods for IP-based intrusion detection |
| CN105426415A (zh) * | 2015-10-30 | 2016-03-23 | Tcl集团股份有限公司 | 网站访问请求的管理方法、装置及系统 |
| CN107147671A (zh) * | 2017-06-19 | 2017-09-08 | 上海斐讯数据通信技术有限公司 | 一种基于网站路由访问权限控制方法、访问方法及系统 |
| CN107426181A (zh) * | 2017-06-20 | 2017-12-01 | 竞技世界(北京)网络技术有限公司 | 恶意Web访问请求的拦截方法及装置 |
| US20180278638A1 (en) * | 2015-11-19 | 2018-09-27 | Alibaba Group Holding Limited | Method and apparatus for identifying network attacks |
| CN108769041A (zh) * | 2018-06-06 | 2018-11-06 | 深圳壹账通智能科技有限公司 | 登录方法、系统、计算机设备和存储介质 |
| CN110493166A (zh) * | 2018-07-03 | 2019-11-22 | 北京数安鑫云信息技术有限公司 | 一种账号异常检测方法和装置 |
| CN110784470A (zh) * | 2019-10-30 | 2020-02-11 | 上海观安信息技术股份有限公司 | 一种用户异常登录的确定方法及装置 |
| CN110958228A (zh) * | 2019-11-19 | 2020-04-03 | 用友网络科技股份有限公司 | 爬虫访问拦截方法及设备、服务器和计算机可读存储介质 |
| CN111478910A (zh) * | 2020-04-09 | 2020-07-31 | 北京金堤科技有限公司 | 用户身份验证方法和装置、电子设备以及存储介质 |
| US20210084038A1 (en) * | 2019-09-12 | 2021-03-18 | ForgeRock, Inc. | Transparently using origin isolation to protect access tokens |
| CN113496024A (zh) * | 2021-09-07 | 2021-10-12 | 北京芯盾时代科技有限公司 | 一种Web页面的登录方法、装置、存储介质及电子设备 |
| CN113992403A (zh) * | 2021-10-27 | 2022-01-28 | 北京知道创宇信息技术股份有限公司 | 访问限速拦截方法及装置、防御服务器和可读存储介质 |
| CN114036360A (zh) * | 2021-10-15 | 2022-02-11 | 网宿科技股份有限公司 | 网络爬虫拦截方法、装置、电子设备及可读存储介质 |
-
2022
- 2022-04-21 CN CN202210423909.2A patent/CN114884671B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102137059A (zh) * | 2010-01-21 | 2011-07-27 | 阿里巴巴集团控股有限公司 | 一种恶意访问的拦截方法和系统 |
| US9148424B1 (en) * | 2015-03-13 | 2015-09-29 | Snapchat, Inc. | Systems and methods for IP-based intrusion detection |
| CN105426415A (zh) * | 2015-10-30 | 2016-03-23 | Tcl集团股份有限公司 | 网站访问请求的管理方法、装置及系统 |
| US20180278638A1 (en) * | 2015-11-19 | 2018-09-27 | Alibaba Group Holding Limited | Method and apparatus for identifying network attacks |
| CN107147671A (zh) * | 2017-06-19 | 2017-09-08 | 上海斐讯数据通信技术有限公司 | 一种基于网站路由访问权限控制方法、访问方法及系统 |
| CN107426181A (zh) * | 2017-06-20 | 2017-12-01 | 竞技世界(北京)网络技术有限公司 | 恶意Web访问请求的拦截方法及装置 |
| CN108769041A (zh) * | 2018-06-06 | 2018-11-06 | 深圳壹账通智能科技有限公司 | 登录方法、系统、计算机设备和存储介质 |
| CN110493166A (zh) * | 2018-07-03 | 2019-11-22 | 北京数安鑫云信息技术有限公司 | 一种账号异常检测方法和装置 |
| US20210084038A1 (en) * | 2019-09-12 | 2021-03-18 | ForgeRock, Inc. | Transparently using origin isolation to protect access tokens |
| CN110784470A (zh) * | 2019-10-30 | 2020-02-11 | 上海观安信息技术股份有限公司 | 一种用户异常登录的确定方法及装置 |
| CN110958228A (zh) * | 2019-11-19 | 2020-04-03 | 用友网络科技股份有限公司 | 爬虫访问拦截方法及设备、服务器和计算机可读存储介质 |
| CN111478910A (zh) * | 2020-04-09 | 2020-07-31 | 北京金堤科技有限公司 | 用户身份验证方法和装置、电子设备以及存储介质 |
| CN113496024A (zh) * | 2021-09-07 | 2021-10-12 | 北京芯盾时代科技有限公司 | 一种Web页面的登录方法、装置、存储介质及电子设备 |
| CN114036360A (zh) * | 2021-10-15 | 2022-02-11 | 网宿科技股份有限公司 | 网络爬虫拦截方法、装置、电子设备及可读存储介质 |
| CN113992403A (zh) * | 2021-10-27 | 2022-01-28 | 北京知道创宇信息技术股份有限公司 | 访问限速拦截方法及装置、防御服务器和可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 匡石磊;韦峻峰;: "基于内网用户异常行为安全管理研究", 邮电设计技术, no. 04, 20 April 2019 (2019-04-20) * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114884671B (zh) | 2024-04-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108092975B (zh) | 异常登录的识别方法、系统、存储介质和电子设备 | |
| EP3008873B1 (en) | Method and system of distinguishing between human and machine | |
| US9491182B2 (en) | Methods and systems for secure internet access and services | |
| CN104519018B (zh) | 一种防止针对服务器的恶意请求的方法、装置和系统 | |
| CN107465648B (zh) | 异常设备的识别方法及装置 | |
| CN108924118B (zh) | 一种撞库行为检测方法及系统 | |
| CN111641658A (zh) | 一种请求拦截方法、装置、设备及可读存储介质 | |
| US10362055B2 (en) | System and methods for active brute force attack protection | |
| AU2020202997B2 (en) | Method and apparatus for recognizing service request to change mobile phone number | |
| CN111970261B (zh) | 网络攻击的识别方法、装置及设备 | |
| CN109361685B (zh) | 一种防止恶意请求的方法 | |
| US20220012332A1 (en) | Identification of invalid requests | |
| CN103139138A (zh) | 一种基于客户端检测的应用层拒绝服务防护方法及系统 | |
| CN109743294A (zh) | 接口访问控制方法、装置、计算机设备及存储介质 | |
| CN113992356A (zh) | Ip攻击的检测方法、装置和电子设备 | |
| CN114928452B (zh) | 访问请求验证方法、装置、存储介质及服务器 | |
| CN113496024B (zh) | 一种Web页面的登录方法、装置、存储介质及电子设备 | |
| CN111371811B (zh) | 一种资源调用方法、资源调用装置、客户端及业务服务器 | |
| KR101650475B1 (ko) | 웹 서버로부터 수집된 트랜잭션 정보를 이용한 보안장치 | |
| CN113938312B (zh) | 一种暴力破解流量的检测方法及装置 | |
| CN114884671B (zh) | 服务器的入侵防御方法、装置、设备及介质 | |
| CN107222471B (zh) | 一种非人工刷功能接口的识别方法及识别系统 | |
| JP5743822B2 (ja) | 情報漏洩防止装置及び制限情報生成装置 | |
| CN112637171A (zh) | 数据流量处理方法、装置、设备、系统和存储介质 | |
| CN112910905A (zh) | 安全验证方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |