CN115001759A - 一种访问信息处理方法、装置、电子设备和可读存储介质 - Google Patents
一种访问信息处理方法、装置、电子设备和可读存储介质 Download PDFInfo
- Publication number
- CN115001759A CN115001759A CN202210543503.8A CN202210543503A CN115001759A CN 115001759 A CN115001759 A CN 115001759A CN 202210543503 A CN202210543503 A CN 202210543503A CN 115001759 A CN115001759 A CN 115001759A
- Authority
- CN
- China
- Prior art keywords
- information
- target user
- access
- access information
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 39
- 238000003672 processing method Methods 0.000 title claims abstract description 30
- 238000004458 analytical method Methods 0.000 claims abstract description 7
- 230000006399 behavior Effects 0.000 claims description 64
- 238000000034 method Methods 0.000 claims description 26
- 238000004590 computer program Methods 0.000 claims description 4
- 230000002159 abnormal effect Effects 0.000 description 12
- 239000000523 sample Substances 0.000 description 5
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种访问信息处理方法、装置、电子设备和可读存储介质,获得访问信息,分析得到其中的访问路径,将该访问路径发送给目标服务器,接收到目标服务器返回的与访问路径相应的反馈信息,确定反馈信息中的状态码,统计预设时间段内,接收到的针对目标用户的各类型状态码的数量,并基于各类型状态码的数量,确定该目标用户的访问信息是否为攻击行为信息。其中,该状态码是表征了该目标服务器基于该访问信息中的访问路径查找得到反馈信息的类型,结合状态码确定该方位路径对应的内容是有效信息还是无效信息,基于有效信息和无效信息的多少可以确定该目标用户的访问信息是否具有攻击行为的信息,实现了对于隐蔽性较强的恶意攻击进行确定。
Description
技术领域
本申请涉及信息处理领域,更具体的说,是涉及一种访问信息处理方法、装置、电子设备和可读存储介质。
背景技术
为了提高网络安全度,需要在众多的网络用户请求中发现恶意攻击。
举例子,一个电商网站,每天都很多很多人购物,有正常的买家,也有试图找到软件漏洞进行攻击的用户——恶意攻击行为。
其中,某些恶意攻击具有很大的隐蔽性,例如可能会访问不常用的菜单,购买极端的数量对系统进行嗅探。现有技术中并没有针对该隐蔽性较强的恶意攻击进行确定的方法。
发明内容
有鉴于此,本申请提供了一种访问信息处理方法,如下:
一种访问信息处理方法,包括:
获得访问信息,所述访问信息中包含访问路径;
将分析所述访问信息得到的访问路径发送给目标服务器,以使得目标服务器返回与所述访问路径相应的反馈信息,所述反馈信息包含状态码,所述状态码表征目标服务器查找得到的反馈信息的类型;
统计在预设时间段内,接收到针对目标用户的反馈信息中各类型状态码的数量;
至少基于所述各类型状态码的数量,确定所述目标用户的访问信息是否为攻击行为信息。
可选的,上述的方法,所述统计在预设时间段内,接收到针对目标用户的反馈信息中各类型状态码的数量,包括:
基于接收到的状态码对应的访问信息,确定所述状态码对应的用户标识;
在预设时间段内,将对应目标用户标识的状态码进行统计,得到对于目标用户的各类型状态码的数量,所述目标用户标识是对应目标用户的用户标识。
可选的,上述的方法,至少基于所述各类型状态码的数量,确定所述目标用户的访问信息是否为攻击行为信息,包括:
基于预设的状态码与系数的对应关系,查找各个状态码对应的系数;
根据目标用户的各类型状态码的数量以及系数,得到所述目标用户在预设时间段内的发生攻击行为的攻击概率;
基于所述攻击概率,确定所述目标用户的访问信息是否为攻击行为信息。
可选的,上述的方法,根据目标用户的各类型状态码的数量以及系数,得到所述目标用户在预设时间段内的攻击概率,包括:
基于每个状态码的数量的倒数与对应的系数之积得到每个状态码参数;
累加各个状态码参数,得到所述目标用户在预设时间段内的发生攻击行为的攻击概率。
可选的,上述的方法,所述基于所述攻击概率,确定所述目标用户的访问信息是否为攻击行为信息,包括:
判断所述攻击概率是否大于预设阈值,得到判断结果;
基于所述判断结果表征所述攻击概率大于预设阈值,判定目标用户的访问信息是攻击行为信息。
可选的,上述的方法,还包括:
若所述目标用户的访问信息是攻击行为信息,生成提示信息。
一种访问信息处理装置,包括:
获取模块,用于获得访问信息,所述访问信息中包含用户标识和请求参数;
分析模块,用于分析所述访问信息得到的访问路径;
发送模块,用于将所述访问路径发送给目标服务器,以使得目标服务器返回与所述访问路径相应的反馈信息,所述反馈信息包含状态码,所述状态码表征目标服务器查找得到的反馈信息的类型;
接收模块,用于接收所述目标服务器反馈的反馈信息;
统计模块,用于统计在预设时间段内,针对目标用户的反馈信息中各类型状态码的数量;
确定模块,用于至少基于所述各类型状态码的数量,确定所述目标用户的访问信息是否为攻击行为信息。
可选的,上述的装置,所述确定模块,包括:
查找单元,用于基于预设的状态码与系数的对应关系,查找各个状态码对应的系数;
处理单元,用于根据目标用户的各类型状态码的数量以及系数,得到所述目标用户在预设时间段内的发生攻击行为的攻击概率;
确定单元,用于基于所述攻击概率,确定所述目标用户的访问信息是否为攻击行为信息。
一种电子设备,所述电子设备包括:至少一个存储器和至少一个处理器;所述存储器存储有程序,所述处理器调用所述存储器存储的程序,所述程序用于实现如上述任意一项所述的访问信息处理方法。
一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器调用并执行,实现如上述任一项所述的访问信息处理方法的各步骤。
经由上述的技术方案可知,本申请提供了一种访问信息处理方法,在获得访问信息后,分析得到其中的访问路径,并将该访问路径发送给目标服务器,在接收到目标服务器返回的与访问路径相应的反馈信息后,确定该反馈信息中的状态码,统计预设时间段内,接收到的针对目标用户的各类型状态码的数量,并基于该各类型状态码的数量,确定该目标用户的访问信息是否为具有攻击行为的信息。其中,由于该状态码是表征了该目标服务器基于该访问信息中的访问路径查找得到反馈信息的类型,因此,在基于该针对目标用户的各类型状态码的数量表征了该目标用户在该预设时间段内目标服务器对于访问路径的反馈情况,如该在状态码表征查找到该访问路径对应的内容是无效信息,即该目标用户可能是访问不常用的菜单以此实现对系统嗅探,在该状态码的数量较大时,则可以表征该目标用户的访问信息可能是攻击行为,如该状态码表征查找到该访问路径对应的内容是有效信息,则表示该方位信息可能是正常访问,所以,结合该目标服务器对于访问信息中的访问路径的反馈信息中的状态码,可以确定该方位路径对应的内容是有效信息还是无效信息,基于有效信息和无效信息的多少可以确定该目标用户的访问信息是否具有攻击行为的信息,实现了对于隐蔽性较强的恶意攻击进行确定。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1是本申请提供的一种访问信息处理方法实施例1的流程图;
图2是本申请提供的一种访问信息处理方法实施例2的流程图;
图3是本申请提供的一种访问信息处理方法实施例3的流程图;
图4是本申请提供的一种访问信息处理方法实施例4的流程图;
图5是本申请提供的一种访问信息处理方法实施例5的流程图;
图6是本申请提供的一种访问信息处理装置实施例的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
如图1所示的,为本申请提供的一种访问信息处理方法实施例1的流程图,该方法应用于一电子设备,该电子设备作为一独立于运行某应用程序平台的服务器的处理器,也可以是运行某应用程序平台的服务器的组成结构,该方法包括以下步骤:
步骤S101:获得访问信息;
其中,所述访问信息中包含访问路径。
具体的,该访问信息可以是基于网络页面中的链接点击生成的,也可以是手动输入的。
其中,预先在应用程序中设置探针,该探针跟应用程序一起运行,能够实时获得访问信息。
例如,该应用程序是利用java编写的应用程序,可以采用java instrumentation实现设置探针,并提取应用程序的访问信息。
具体实施中,针对不同类型的应用程序,可以设置不同的探针,本申请中不对于探针的具体形式做限制。
具体的,该访问信息是访问相关的信息,包括多项与访问相关的信息,如访问路径、还可以包括访问者身份、访问对象等。
其中,在获得访问信息后,可以对于该访问信息进行分析,得到其中的访问路径。
步骤S102:将分析所述访问信息得到的访问路径发送给目标服务器,以使得目标服务器返回与所述访问路径相应的反馈信息;
其中,所述反馈信息包含状态码,所述状态码表征目标服务器查找得到的反馈信息的类型。
其中,分析该访问信息得到其中包含的访问路径。
具体的,该访问路径可以是访问信息中的统一资源定位符(Uniform ResourceLocator,URL)。
例如,该访问信息是对于某件商品进行查询,相应的,该访问信息中携包含有请求的商品的路径、参数值以及请求用户信息。
作为一个示例,该访问信息是http://www.test.com/buysth/sthid?=123,对其进行分析,得到请求路径buysth,参数值123,用户usr。
其中,分析访问信息的原则是基于访问信息的形式设置。例如访问信息的形式可以是get形式,也可以是post形式,本申请中不对于访问信息的形式做限制。
如上述的示例中,访问信息是get形式,其中,id=Id=123&username=mdw&password=456,参数之间使用&分隔。
Post的请求格式与get也是类似。
其中,目标服务器是该访问信息涉及的应用程序支持平台的服务器,例如可以是某购物应用的服务器等。
其中,在目标服务器接收到该访问路径后,查找该访问路径对应的商品,并反馈信息,该反馈信息是该访问路径对应的商品的详情信息。
其中,该反馈信息中会携带有状态码,该状态码能够表征目标服务器查找得到的反馈信息的类型。
其中,该状态码的类型可以有多个,本申请中不对于状态码的具体类型个数做限制。
例如,目标服务器基于该访问路径查找到了相应内容,则反馈的状态码是类型一,若没有查找到相应内容,则反馈的状态码是类型二,若发生错误,则反馈的状态码是类型三,而需要链接到其他网页则反馈的状态码是类型四,其他的状态码可以是类型五。
作为一个示例,状态码可以分别设置不同的数值表示其类型,例如,查找到商品,状态码采用200,没有商品状态码采用404,如果发生错误状态码采用500,需要链接到其他网页状态码采用304。
当然,该状态码采用的数值可以根据实际情况进行设置,本申请中不对于状态码的具体取值做限制。
步骤S103:统计在预设时间段内,接收到针对目标用户的反馈信息中各类型状态码的数量;
其中,由于访问信息是基于用户的访问操作生成,其表征了用户的访问意图,因此,在本实施例中,针对不同的用户的反馈信息进行统计。
具体的,在接收到了目标服务器的反馈信息后,针对不同的用户进行各个状态码数量的统计。
其中,预设统计的周期,每个周期对应的预设时间段,针对接收到的反馈信息中的状态码进行周期统计。
例如,预设时间段可以设置为1分钟、20分钟、1小时、2小时、1天、1个月等,具体可以根据实际情况进行设置预设时间段的时长,本申请中不对于预设时间段的时长做限制。
其中,该状态码包含了多个类型,不同的类型表征了目标服务器针对访问路径查找的结果。
需要说明的是,该目标用户是生成访问信息的任意一个用户,该目标用户仅是用于体现是对于生成访问信息的多个用户中的任意一个进行分析确定,具体实施中,是对于该多个用户中的每一个依次进行分析,或者的同时进行分析。
其中,若该访问信息是正常访问操作生成的访问信息,其反馈信息中的状态码应该是找到内容,若该访问信息是非正常操作生成的访问信息,该非正常操作可能是访问不常用的菜单、购买极端的数量等,其反馈信息可能是没有商品、发生错误或者是链接到其他网址。
其中,由于该反馈信息是对于目标用户的访问操作生成的访问信息的,因此,能够反映出该访问操作是正常的访问操作还是非正常的访问操作。所以,本申请中通过统计该预设时间段中针对目标用户的各类型状态码的数量,来确定该预设时间段中目标用户的访问操作情况。
步骤S104:至少基于所述各类型状态码的数量,确定所述目标用户的访问信息是否为攻击行为信息。
其中,基于针对目标用户的各类型状态码的数量,能够确定该目标用户在预设时间段中的访问操作情况,进而推测该目标用户的访问信息是否为攻击行为信息。
综上,本实施例提供的一种访问信息处理方法,包括:在获得访问信息后,分析得到其中的访问路径,并将该访问路径发送给目标服务器,在接收到目标服务器返回的与访问路径相应的反馈信息后,确定该反馈信息中的状态码,统计预设时间段内,接收到的针对目标用户的各类型状态码的数量,并基于该各类型状态码的数量,确定该目标用户的访问信息是否为具有攻击行为的信息。其中,由于该状态码是表征了该目标服务器基于该访问信息中的访问路径查找得到反馈信息的类型,因此,在基于该针对目标用户的各类型状态码的数量表征了该目标用户在该预设时间段内目标服务器对于访问路径的反馈情况,如该在状态码表征查找到该访问路径对应的内容是无效信息,即该目标用户可能是访问不常用的菜单以此实现对系统嗅探,在该状态码的数量较大时,则可以表征该目标用户的访问信息可能是攻击行为,如该状态码表征查找到该访问路径对应的内容是有效信息,则表示该方位信息可能是正常访问,所以,结合该目标服务器对于访问信息中的访问路径的反馈信息中的状态码,可以确定该方位路径对应的内容是有效信息还是无效信息,基于有效信息和无效信息的多少可以确定该目标用户的访问信息是否具有攻击行为的信息,实现了对于隐蔽性较强的恶意攻击进行确定。
如图2所示的,为本申请提供的一种访问信息处理方法实施例2的流程图,该方法包括以下步骤:
步骤S201:获得访问信息;
步骤S202:将分析所述访问信息得到的访问路径发送给目标服务器,以使得目标服务器返回与所述访问路径相应的反馈信息;
其中,步骤S201-202与实施例1中的步骤S101-102一致,此处不做赘述。
步骤S203:基于接收到的状态码对应的访问信息,确定所述状态码对应的用户标识;
其中,访问信息中还包括生成该访问信息的用户标识。
其中,在接收到目标服务器返回的反馈信息时,基于该反馈信息对应的访问路径,以及访问路径所属访问信息中的用户标识,能够确定反馈信息对应的用户标识,因此,在基于反馈信息得到其中的状态码后,可以确定该状态码对应的用户标识。
具体实施中,由于相同时间段内,能够有大量的用户进行访问操作,每个用户可以进行不同的访问操作,而不同的用户访问的意图不同,因此,本实施例中,需要针对不同的用户进行统计。
具体的,先确定接收到的反馈信息中状态码对应的用户标识,以便基于用户标识区分针对不同用户的访问路径反馈的状态码。
具体的,针对不同用户的访问路径反馈的状态码进行分别记录。
例如,如下用户1-4分别执行了如下操作:
用户1执行了如下操作:登录、浏览、退出;
用户2执行了如下操作:登录、浏览、下单、查看订单;
用户3执行了如下操作:登录、浏览、退出;
用户4执行了如下操作:修改个人信息、浏览、退出。
相应的,针对上述几个用户分别记录其接收到的反馈的状态码。
其中,若用户执行正常的访问操作,其操作包括正常的进行登录、修改个人信息、浏览、下单、退出、查看订单详情中的一个或者多个,相应的,目标服务器反馈的状态码针对也会是表征相应的正常反馈的状态码(如状态码是类型一的状态码)。
作为一个示例,正常用户的访问:登录(返回200)→浏览(返回200)→退出(返回200)。
其中,若用户执行的是非正常的访问操作,其操作可能包括了访问不常用的菜单,或者是针对上述的登录、修改个人信息、浏览、下单、退出、查看订单详情中的一个或者多个进行访问地址修改后实现操作,导致目标服务器一侧基于修改后的访问地址查找到的是没有相应内容或者是错误等,则反馈的状态码是表征相应的非正常反馈的状态码(如状态码是类型二、三或者四的状态码)。
作为一个示例,非正常用户的访问:登录(返回200)→浏览(返回404)→浏览(返回500)→浏览(返回404)→浏览(返回404)→浏览(返回304)→退出(返回200)。
步骤S204:在预设时间段内,将对应目标用户标识的状态码进行统计,得到对于目标用户的各类型状态码的数量;
其中,所述目标用户标识是对应目标用户的用户标识。
其中,针对目标用户的,统计在预设时间段内针对其访问信息反馈的状态码,且是按照状态码的类型进行统计。
例如,该预设时间段是1小时,则统计一小时内,针对该目标用户反馈的状态码,以不同类型进行统计,得到该目标用户在预设时间段内执行正常访问操作和非正常访问操作的情况。
具体实施中,为了精确统计目标用户在预设时间段内访问操作的情况,还可以针对每种操作进行统计。
例如,针对登录操作、修改个人信息操作、浏览操作、下单操作、退出操作、查看订单详情操作中,分别进行反馈的状态码统计。
具体的,由于每个操作均可能出现非正常操作,而非正常操作反馈的状态码的类型二三四。
作为一个示例,查找到相应内容,状态码采用200,没有查找到相应内容状态码采用404,如果发生错误状态码采用500,需要链接到其他网页状态码采用304。
如下表1所示为用户1在预设时间段内执行的操作的状态码统计表。
表1
| 类型 | 个数 |
| 登录 | 300 |
| 查看 | 200 |
| 退出 | 200 |
| 修改个人信息 | 10 |
| 购买 | 50 |
| 查看订单 | 60 |
步骤S205:至少基于所述各类型状态码的数量,确定所述目标用户的访问信息是否为攻击行为信息。
其中,步骤S205与实施例1中的步骤S104一致,此处不做赘述。
综上,本实施例提供的一种访问信息处理方法中,包括:基于接收到的状态码对应的访问信息,确定所述状态码对应的用户标识;在预设时间段内,将对应目标用户标识的状态码进行统计,得到对于目标用户的各类型状态码的数量,所述目标用户标识是对应目标用户的用户标识。本方案中,在接收到目标服务器反馈的状态码后,基于该状态码对应的访问信息,确定其对应的用户标识,以用户标识为基准,统计预设时间段内针对目标用户标识各个类型的状态码,以为后续确定目标用户在预设时间段内执行正常访问操作和非正常访问操作的情况提供依据。
如图3所示的,为本申请提供的一种访问信息处理方法实施例3的流程图,该方法包括以下步骤:
步骤S301:获得访问信息;
步骤S302:将分析所述访问信息得到的访问路径发送给目标服务器,以使得目标服务器返回与所述访问路径相应的反馈信息;
步骤S303:统计在预设时间段内,接收到针对目标用户的反馈信息中各类型状态码的数量;
其中,步骤S301-303与实施例1中的步骤S101-103一致,此处不做赘述。
步骤S304:基于预设的状态码与系数的对应关系,查找各个状态码对应的系数;
其中,本地存储有状态码与系数的对应关系,该系数是确定攻击概率的权重,一般的,二、三、四、五类型状态码对应的系数,分别大于类型一状态码的系数。
其中,针对不同的应用程序,可以选择不同的对应关系,即不同的应用程序、相同类型的状态码对应的系数可能不同。
具体实施中,可以先确定访问路径对应的目标应用程序,选择该目标应用程序对应的目标对应关系,再基于该目标对应关系查找状态码对应的系数。
例如,状态码200系数为1,304系数为5,404、500系数为10,其他为3。
其中,针对各个类型的状态码进行统计,具体的,状态码200还可以针对不同操作进行分别统计,以提高统计精确度。
步骤S305:根据目标用户的各类型状态码的数量以及系数,得到所述目标用户在预设时间段内的发生攻击行为的攻击概率;
其中,根据状态码的数量以及系数计算该目标用户在该预设时间段内发生攻击行为的攻击概率。
具体的,分别计算状态码数量的倒数和其系数之积,将各个乘积累加,得到攻击概率。
具体的,该步骤S305包括以下步骤:
步骤S3051:基于每个状态码的数量的倒数与对应的系数之积得到每个状态码参数;
其中,计算每个状态码对应的状态码参数。
具体是基于每个状态码数量的倒数与其对应系数相乘,得到该状态码参数。
例如,用户登录20次,接收到反馈的状态码200,次数为20,计算得到登录操作对应的状态码参数为1/20×1=0.05。
步骤S3052:累加各个状态码参数,得到所述目标用户在预设时间段内的发生攻击行为的攻击概率;
其中,针对每个目标用户,计算预设时间段内接收到的状态码对应的状态码参数,各个状态码对应的状态码参数相加,得到该目标用户的攻击概率。
其中,该计算公式是:攻击概率=∑1/数量×系数
作为一个示例,用户1登录300次,相应的,接收到针对登录操作的状态码200的次数为300;查看200次,相应的,接收到针对查看操作的状态码200的次数为200;退出200次,相应的,接收到针对退出操作的状态码200的次数为200,状态码200系数为1。
计算用户1的攻击概率公式如下:
S1=1/300×1+1/200×1+1/200×1=0.013
作为一个示例,用户2登录300次,相应的,接收到针对登录操作的状态码200的次数为300;查看200次,相应的,接收到状态码304的次数为100,接收到状态码404的次数为50,接收到状态码500的次数为50;退出200次,相应的,接收到针对退出操作的状态码200的次数为200,其中,状态码200系数为1,状态码304系数为5,状态码404、500系数为10。
计算用户2的攻击概率公式如下:
S2=1/300×1+1/100×5+1/50×10+1/50×10=0.453
步骤S306:基于所述攻击概率,确定所述目标用户的访问信息是否为攻击行为信息。
其中,该计算得到的攻击概率表征了该目标用户发生攻击行为的概率,因此,本实施例中,基于该攻击概率,确定该目标用户执行访问操作生成的访问信息是否为攻击行为信息。
后续实施例中会针对该确定的过程做详细说明,本实施例中不做详述。
综上,本实施例提供的一种访问信息处理方法中,包括:基于预设的状态码与系数的对应关系,查找各个状态码对应的系数;根据目标用户的各类型状态码的数量以及系数,得到所述目标用户在预设时间段内的发生攻击行为的攻击概率;基于所述攻击概率,确定所述目标用户的访问信息是否为攻击行为信息。本方案中,明确了记载了确定目标用户在预设时间段内发生隐藏的攻击行为的攻击概率的具体实现方式。
如图4所示的,为本申请提供的一种访问信息处理方法实施例4的流程图,该方法包括以下步骤:
步骤S401:获得访问信息;
步骤S402:将分析所述访问信息得到的访问路径发送给目标服务器,以使得目标服务器返回与所述访问路径相应的反馈信息;
步骤S403:统计在预设时间段内,接收到针对目标用户的反馈信息中各类型状态码的数量;
步骤S404:基于预设的状态码与系数的对应关系,查找各个状态码对应的系数;
步骤S405:根据目标用户的各类型状态码的数量以及系数,得到所述目标用户在预设时间段内的发生攻击行为的攻击概率;
其中,步骤S401-405与实施例3中的步骤S301-305一致,此处不做赘述。
步骤S406:判断所述攻击概率是否大于预设阈值,得到判断结果;
其中,该预设阈值是基于历史统计设定的值。
如该,预设阈值可以取值为1、0.9或者0.6等,该值可调整,不限制于上述示例的具体取值。
具体的,预先对于正常访问操作生成的访问信息进行标注,并统计正常访问操作生成的访问信息对应的状态码,以实现针对该正常访问操作对应的状态码进行计算攻击概率,并将该攻击概率作为阈值。
具体的,判断该攻击概率是否大于预设阈值,以基于判断结果判定该目标用户的访问信息是否为攻击行为信息。
步骤S407:基于所述判断结果表征所述攻击概率大于预设阈值,判定目标用户的访问信息是攻击行为信息。
其中,若该攻击概率大于预设阈值,则判定该目标用户的访问信息是攻击行为信息。
其中,若该攻击概率不大于预设阈值,则判定该目标用户是攻击用户,其访问信息是非攻击行为信息。
具体实施中,为了进一步对于用户的访问信息进行细致划分,将该预设阈值定义为第一阈值,还可以设置第二阈值,该第二阈值小于第一阈值,若攻击概率不大于第一阈值但大于第二阈值,则表征该目标用户仍有较多的非正常访问操作,则判定该用户是相对恶意用户,其访问信息是相对恶意信息,若攻击概率小于第二阈值,则表征该目标用户有很少的非正常访问操作,则判定该用户是安全用户,其访问信息是正常访问信息。
具体的,该第二阈值可以采用第一阈值的90%,或者采用更低的值。
综上,本实施例提供的一种访问信息处理方法,包括:判断所述攻击概率是否大于预设阈值,得到判断结果;基于所述判断结果表征所述攻击概率大于预设阈值,判定目标用户的访问信息是攻击行为信息。本方案中,基于计算得到的目标用户在预设时间段内的发生攻击行为的攻击概率与预设阈值的关系,判定目标用户是否为攻击用户,进而确定该目标用户的访问信息是否为攻击行为信息,明确了记载了确定目标用户的隐藏攻击行为的具体实现方式。
如图5所示的,为本申请提供的一种访问信息处理方法实施例5的流程图,该方法包括以下步骤:
步骤S501:获得访问信息;
步骤S502:将分析所述访问信息得到的访问路径发送给目标服务器,以使得目标服务器返回与所述访问路径相应的反馈信息;
步骤S503:统计在预设时间段内,接收到针对目标用户的反馈信息中各类型状态码的数量;
步骤S504:至少基于所述各类型状态码的数量,确定所述目标用户的访问信息是否为攻击行为信息;
其中,步骤S501-504与实施例1中的步骤S101-104一致,此处不做赘述。
步骤S505:若所述目标用户的访问信息是攻击行为信息,生成提示信息。
其中,若确定该目标用户的访问信息是攻击行为信息,则生成提示信息,提示该访问信息可能是攻击行为信息。
具体实施中,若确定了目标用户为攻击用户,则还可以拒绝后续该攻击用户的访问信息。
具体实施中,若确定了目标用户的攻击概率,还可以对于该攻击概率进行提示,以便负责应用程序平台的人员及时了解该目标用户可能是攻击用户。
综上,本实施例提供的一种访问信息处理方法,还包括:若所述目标用户的访问信息是攻击行为信息,生成提示信息。本方案中,在确定了目标用户的访问信息是攻击行为信息,则生成提示信息,以提示工作人员及时了解该情况,并进行相应处理,以保护应用程序的安全。
与上述本申请提供的一种访问信息处理方法实施例相对应的,本申请还提供了应用该访问信息处理方法的装置实施例。
如图6所示的为本申请提供的一种访问信息处理装置实施例的结构示意图,该装置包括以下结构:获取模块601、分析模块602、发送模块603、接收模块604、统计模块605和确定模块606;
其中,获取模块601,用于获得访问信息,所述访问信息中包含用户标识和请求参数;
其中,分析模块602,用于分析所述访问信息得到的访问路径;
其中,发送模块603,用于将所述访问路径发送给目标服务器,以使得目标服务器返回与所述访问路径相应的反馈信息,所述反馈信息包含状态码,所述状态码表征目标服务器查找得到的反馈信息的类型;
其中,接收模块604,用于接收所述目标服务器反馈的反馈信息;
其中,统计模块605,用于统计在预设时间段内,针对目标用户的反馈信息中各类型状态码的数量;
其中,确定模块606,用于至少基于所述各类型状态码的数量,确定所述目标用户的访问信息是否为攻击行为信息。
可选的,所述统计模块,具体用于:
基于接收到的状态码对应的访问信息,确定所述状态码对应的用户标识;
在预设时间段内,将对应目标用户标识的状态码进行统计,得到对于目标用户的各类型状态码的数量,所述目标用户标识是对应目标用户的用户标识。
可选的,所述确定模块,包括:
查找单元,用于基于预设的状态码与系数的对应关系,查找各个状态码对应的系数;
处理单元,用于根据目标用户的各类型状态码的数量以及系数,得到所述目标用户在预设时间段内的发生攻击行为的攻击概率;
确定单元,用于基于所述攻击概率,确定所述目标用户的访问信息是否为攻击行为信息。
可选的,所述处理单元,具体用于:
基于每个状态码的数量的倒数与对应的系数之积得到每个状态码参数;
累加各个状态码参数,得到所述目标用户在预设时间段内的发生攻击行为的攻击概率。
可选的,所述确定单元,具体用于:
判断所述攻击概率是否大于预设阈值,得到判断结果;
基于所述判断结果表征所述攻击概率大于预设阈值,判定目标用户的访问信息是攻击行为信息。
可选的,还包括:
提示模块,用于若所述目标用户的访问信息是攻击行为信息,生成提示信息。
其中,本实施例中提出的访问信息处理装置中的各个结构的功能,参考方法实施例中的解释,本实施例中不做详述。
综上,本实施例提供的一种访问信息处理装置,包括:在获得访问信息后,分析得到其中的访问路径,并将该访问路径发送给目标服务器,在接收到目标服务器返回的与访问路径相应的反馈信息后,确定该反馈信息中的状态码,统计预设时间段内,接收到的针对目标用户的各类型状态码的数量,并基于该各类型状态码的数量,确定该目标用户的访问信息是否为具有攻击行为的信息。其中,由于该状态码是表征了该目标服务器基于该访问信息中的访问路径查找得到反馈信息的类型,因此,在基于该针对目标用户的各类型状态码的数量表征了该目标用户在该预设时间段内目标服务器对于访问路径的反馈情况,如该在状态码表征查找到该访问路径对应的内容是无效信息,即该目标用户可能是访问不常用的菜单以此实现对系统嗅探,在该状态码的数量较大时,则可以表征该目标用户的访问信息可能是攻击行为,如该状态码表征查找到该访问路径对应的内容是有效信息,则表示该方位信息可能是正常访问,所以,结合该目标服务器对于访问信息中的访问路径的反馈信息中的状态码,可以确定该方位路径对应的内容是有效信息还是无效信息,基于有效信息和无效信息的多少可以确定该目标用户的访问信息是否具有攻击行为的信息,实现了对于隐蔽性较强的恶意攻击进行确定。
与上述本申请提供的一种访问信息处理方法实施例相对应的,本申请还提供了与该访问信息处理方法相应的电子设备以及可读存储介质。
其中,该电子设备,包括:存储器、处理器;
其中,存储器存储有处理程序;
所述处理器用于加载并执行所述存储器存储的所述处理程序,以实现如上述任一项所述的访问信息处理方法的各步骤。
具体该电子设备的实现访问信息处理方法,参考前述访问信息处理方法实施例即可。
其中,该可读存储介质,其上存储有计算机程序,所述计算机程序被处理器调用并执行,实现如上述任一项所述的访问信息处理方法的各步骤。
具体该可读存储介质存储的计算机程序执行实现访问信息处理方法,参考前述访问信息处理方法实施例即可。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例提供的装置而言,由于其与实施例提供的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所提供的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所提供的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种访问信息处理方法,其特征在于,包括:
获得访问信息,所述访问信息中包含访问路径;
将分析所述访问信息得到的访问路径发送给目标服务器,以使得目标服务器返回与所述访问路径相应的反馈信息,所述反馈信息包含状态码,所述状态码表征目标服务器查找得到的反馈信息的类型;
统计在预设时间段内,接收到针对目标用户的反馈信息中各类型状态码的数量;
至少基于所述各类型状态码的数量,确定所述目标用户的访问信息是否为攻击行为信息。
2.根据权利要求1所述的方法,其特征在于,所述统计在预设时间段内,接收到针对目标用户的反馈信息中各类型状态码的数量,包括:
基于接收到的状态码对应的访问信息,确定所述状态码对应的用户标识;
在预设时间段内,将对应目标用户标识的状态码进行统计,得到对于目标用户的各类型状态码的数量,所述目标用户标识是对应目标用户的用户标识。
3.根据权利要求1所述的方法,其特征在于,至少基于所述各类型状态码的数量,确定所述目标用户的访问信息是否为攻击行为信息,包括:
基于预设的状态码与系数的对应关系,查找各个状态码对应的系数;
根据目标用户的各类型状态码的数量以及系数,得到所述目标用户在预设时间段内的发生攻击行为的攻击概率;
基于所述攻击概率,确定所述目标用户的访问信息是否为攻击行为信息。
4.根据权利要求3所述的方法,其特征在于,根据目标用户的各类型状态码的数量以及系数,得到所述目标用户在预设时间段内的攻击概率,包括:
基于每个状态码的数量的倒数与对应的系数之积得到每个状态码参数;
累加各个状态码参数,得到所述目标用户在预设时间段内的发生攻击行为的攻击概率。
5.根据权利要求3所述的方法,其特征在于,所述基于所述攻击概率,确定所述目标用户的访问信息是否为攻击行为信息,包括:
判断所述攻击概率是否大于预设阈值,得到判断结果;
基于所述判断结果表征所述攻击概率大于预设阈值,判定目标用户的访问信息是攻击行为信息。
6.根据权利要求1所述的方法,其特征在于,还包括:
若所述目标用户的访问信息是攻击行为信息,生成提示信息。
7.一种访问信息处理装置,其特征在于,包括:
获取模块,用于获得访问信息,所述访问信息中包含用户标识和请求参数;
分析模块,用于分析所述访问信息得到的访问路径;
发送模块,用于将所述访问路径发送给目标服务器,以使得目标服务器返回与所述访问路径相应的反馈信息,所述反馈信息包含状态码,所述状态码表征目标服务器查找得到的反馈信息的类型;
接收模块,用于接收所述目标服务器反馈的反馈信息;
统计模块,用于统计在预设时间段内,针对目标用户的反馈信息中各类型状态码的数量;
确定模块,用于至少基于所述各类型状态码的数量,确定所述目标用户的访问信息是否为攻击行为信息。
8.根据权利要求7所述的装置,其特征在于,所述确定模块,包括:
查找单元,用于基于预设的状态码与系数的对应关系,查找各个状态码对应的系数;
处理单元,用于根据目标用户的各类型状态码的数量以及系数,得到所述目标用户在预设时间段内的发生攻击行为的攻击概率;
确定单元,用于基于所述攻击概率,确定所述目标用户的访问信息是否为攻击行为信息。
9.一种电子设备,其特征在于,所述电子设备包括:至少一个存储器和至少一个处理器;所述存储器存储有程序,所述处理器调用所述存储器存储的程序,所述程序用于实现权利要求1-8任意一项所述的访问信息处理方法。
10.一种可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被处理器调用并执行,实现如上述权利要求1-8任一项所述的访问信息处理方法的各步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210543503.8A CN115001759B (zh) | 2022-05-19 | 2022-05-19 | 一种访问信息处理方法、装置、电子设备和可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210543503.8A CN115001759B (zh) | 2022-05-19 | 2022-05-19 | 一种访问信息处理方法、装置、电子设备和可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115001759A true CN115001759A (zh) | 2022-09-02 |
| CN115001759B CN115001759B (zh) | 2024-01-12 |
Family
ID=83027978
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210543503.8A Active CN115001759B (zh) | 2022-05-19 | 2022-05-19 | 一种访问信息处理方法、装置、电子设备和可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115001759B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018121331A1 (zh) * | 2016-12-28 | 2018-07-05 | 阿里巴巴集团控股有限公司 | 攻击请求的确定方法、装置及服务器 |
| CN109729094A (zh) * | 2019-01-24 | 2019-05-07 | 中国平安人寿保险股份有限公司 | 恶意攻击检测方法、系统、计算机装置及可读存储介质 |
| CN110166486A (zh) * | 2019-06-14 | 2019-08-23 | 李啟锋 | 网站防护方法、装置及计算机可读存储介质 |
| CN111756728A (zh) * | 2020-06-23 | 2020-10-09 | 深圳前海微众银行股份有限公司 | 一种漏洞攻击检测的方法及装置 |
| CN112565164A (zh) * | 2019-09-26 | 2021-03-26 | 中国电信股份有限公司 | 危险ip的识别方法、装置和计算机可读存储介质 |
| CN113660215A (zh) * | 2021-07-26 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 基于Web应用防火墙的攻击行为检测方法以及装置 |
-
2022
- 2022-05-19 CN CN202210543503.8A patent/CN115001759B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018121331A1 (zh) * | 2016-12-28 | 2018-07-05 | 阿里巴巴集团控股有限公司 | 攻击请求的确定方法、装置及服务器 |
| CN109729094A (zh) * | 2019-01-24 | 2019-05-07 | 中国平安人寿保险股份有限公司 | 恶意攻击检测方法、系统、计算机装置及可读存储介质 |
| CN110166486A (zh) * | 2019-06-14 | 2019-08-23 | 李啟锋 | 网站防护方法、装置及计算机可读存储介质 |
| CN112565164A (zh) * | 2019-09-26 | 2021-03-26 | 中国电信股份有限公司 | 危险ip的识别方法、装置和计算机可读存储介质 |
| CN111756728A (zh) * | 2020-06-23 | 2020-10-09 | 深圳前海微众银行股份有限公司 | 一种漏洞攻击检测的方法及装置 |
| CN113660215A (zh) * | 2021-07-26 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 基于Web应用防火墙的攻击行为检测方法以及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115001759B (zh) | 2024-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109241461B (zh) | 一种用户画像构建方法及装置 | |
| CN110609937B (zh) | 一种爬虫识别方法及装置 | |
| CN104391979B (zh) | 网络恶意爬虫识别方法及装置 | |
| US8204928B2 (en) | System and method for analyzing internet usage | |
| CN103701795B (zh) | 拒绝服务攻击的攻击源的识别方法和装置 | |
| CN113542279B (zh) | 一种网络安全风险评估方法、系统及装置 | |
| US20060282285A1 (en) | Fraud risk advisor | |
| US10043038B2 (en) | Identifying private information from data streams | |
| CN105357195A (zh) | web访问的越权漏洞检测方法及装置 | |
| US9021085B1 (en) | Method and system for web filtering | |
| US10587650B2 (en) | Communications security | |
| CN105868256A (zh) | 处理用户行为数据的方法和系统 | |
| CA3152858C (en) | Link-based risk user identification method and device | |
| CN108337269A (zh) | 一种WebShell检测方法 | |
| CN110401660B (zh) | 虚假流量的识别方法、装置、处理设备及存储介质 | |
| CN108449307B (zh) | 一种用于识别风险设备的方法 | |
| CN109067794B (zh) | 一种网络行为的检测方法和装置 | |
| CN111158926B (zh) | 业务请求分析方法、装置及设备 | |
| CN107135199B (zh) | 网页后门的检测方法和装置 | |
| CN114866296A (zh) | 入侵检测方法、装置、设备及可读存储介质 | |
| CN111625700B (zh) | 防抓取的方法、装置、设备及计算机存储介质 | |
| CN115001759B (zh) | 一种访问信息处理方法、装置、电子设备和可读存储介质 | |
| CN117033552A (zh) | 情报评价方法、装置、电子设备及存储介质 | |
| CN107622443B (zh) | 数据处理方法、数据处理装置及计算机可读存储介质 | |
| CN114006776B (zh) | 一种敏感信息泄露检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |