CN117439754A - 报文处理方法、装置、设备及存储介质 - Google Patents

报文处理方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN117439754A
CN117439754A CN202310855026.3A CN202310855026A CN117439754A CN 117439754 A CN117439754 A CN 117439754A CN 202310855026 A CN202310855026 A CN 202310855026A CN 117439754 A CN117439754 A CN 117439754A
Authority
CN
China
Prior art keywords
request message
risk level
abnormal
target
content distribution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310855026.3A
Other languages
English (en)
Inventor
高铭剑
丁炎
李譞
孙源
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202310855026.3A priority Critical patent/CN117439754A/zh
Publication of CN117439754A publication Critical patent/CN117439754A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供了一种报文处理方法、装置、设备及存储介质,可以应用于网络安全领域和信息安全领域。该方法包括:响应于接收到请求报文,从请求报文的请求头中确定请求报文的路径信息,其中,路径信息中包括转发请求报文的至少一个内容分发节点各自的网络协议地址,基于路径信息,对请求报文进行检测,得到请求报文的风险等级,基于风险等级,调用与风险等级对应的安全防护链来处理请求报文。

Description

报文处理方法、装置、设备及存储介质
技术领域
本公开涉及网络安全领域和信息安全领域,尤其涉及一种报文处理方法、装置、设备、介质和程序产品。
背景技术
随着网络安全防护技术的飞速发展,有许多网络安全服务涉及到网络数据传输和数据交互。内容分发网络是一个专门用来分发内容的分布式应用,通过在各地部署数据中心,让不同地域的用户可以就近获取内容,以提高网站、应用程序的访问速度。
在实现本公开构思的过程中,发明人发现许多企业在面对来自内容分发网络的请求报文时,若客户真实地址记录在超文本传输协议的字段中,可能存在被客户端伪造篡改的问题,且企业无法进行有效地识别封禁拦截。
发明内容
鉴于上述问题,本公开提供了一种报文处理方法、装置、设备、介质和程序产品。
根据本公开的一个方面,提供了一种报文处理方法,包括:响应于接收到请求报文,从上述请求报文的请求头中确定上述请求报文的路径信息,其中,上述路径信息中包括转发上述请求报文的至少一个内容分发节点各自的网络协议地址;
基于上述路径信息,对上述请求报文进行检测,得到上述请求报文的风险等级;
基于上述风险等级,调用与上述风险等级对应的安全防护链来处理上述请求报文。
根据本公开的实施例,上述基于上述路径信息,对上述请求报文进行检测,得到上述请求报文的风险等级,包括:基于上述至少一个内容分发节点各自的网络协议地址,生成目标跳转路径;基于上述目标跳转路径,对上述请求报文进行检测,得到上述请求报文的风险等级。
根据本公开的实施例,上述基于上述目标跳转路径,对上述请求报文进行检测,得到上述请求报文的风险等级,包括:将异常跳转路径集合与上述目标跳转路径进行匹配,得到第一匹配结果,其中,上述异常跳转路径集合中包括多条异常跳转路径;在上述第一匹配结果表征上述异常跳转路径集合中存在与上述目标跳转路径匹配的目标异常跳转路径的情况下,基于上述目标异常跳转路径的风险等级,确定上述请求报文的风险等级。
根据本公开的实施例,基于上述请求报文包括的报文数据,对上述请求报文进行识别,得到识别结果;在上述识别结果表征上述请求报文存在异常的情况下,确定上述请求报文为异常请求报文;基于上述异常请求报文,得到异常跳转路径。
根据本公开的实施例,上述基于上述目标跳转路径,对上述请求报文进行检测,得到上述请求报文的风险等级,包括:将基线跳转路径集合与上述目标跳转路径进行匹配,得到第二匹配结果,其中,上述基线跳转路径集合包括多个基线跳转路径;在上述第二匹配结果表征上述基线跳转路径集合中不存在与上述目标跳转路径匹配的基线跳转路径的情况下,确定上述请求报文为异常请求报文;基于预设风险等级表,确定上述异常请求报文的风险等级。
根据本公开的实施例,上述基于上述路径信息,对上述请求报文进行检测,得到上述请求报文的风险等级,包括:基于上述至少一个内容分发节点中的目标内容分发节点的网络协议地址,确定上述目标内容分发节点的地理属性信息,其中,上述目标内容分发节点为转发上述请求报文的第一个内容分发节点;将目标内容分发节点的地理属性信息与异常地理属性信息集合进行匹配,得到第三匹配结果;在上述第三匹配结果表征存在与上述目标内容分发节点的地理属性信息相匹配的第一目标异常地理属性信息情况下,基于上述第一目标异常地理属性信息的风险等级,确定上述请求报文的风险等级。
根据本公开的实施例,上述基于上述路径信息,对上述请求报文进行检测,得到上述请求报文的风险等级,包括:基于上述路径信息中包括的上述至少一个内容分发节点各自的网络协议地址,确定上述至少一个内容分发节点各自的地理属性信息;将上述至少一个上述内容分发节点各自的地理属性信息与异常地理属性信息集合分别进行匹配,得到第四匹配结果;在上述第四匹配结果表征与上述至少一个上述内容分发节点各自的地理属性信息匹配的第二目标异常地理属性信息的数量大于等于数量阈值的情况下,基于每个上述第二目标异常地理属性信息的风险等级,得到多个上述风险等级;基于多个上述风险等级,确定上述请求报文的目标风险等级。
本公开的另一方面提供了一种报文处理装置,包括:路径信息确定模块,用于响应于接收到请求报文,从上述请求报文的请求头中确定上述请求报文的路径信息,其中,上述路径信息中包括转发上述请求报文的至少一个内容分发节点各自的网络协议地址;
风险等级检测模块,用于基于上述路径信息对上述请求报文进行检测,得到上述请求报文的风险等级;以及
安全防护链调用模块,用于基于上述风险等级,调用与上述风险等级对应的安全防护链来处理上述请求报文。
本公开的另一方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当上述一个或多个程序被上述一个或多个处理器执行时,使得一个或多个处理器执行上述方法。
本公开的另一方面还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行上述方法。
本公开的另一方面还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述方法。
根据本公开提供的报文处理方法,通过从请求报文的请求头中确定请求报文的路径信息,并且基于路径信息对请求报文进行检测,得到请求报文的风险等级,最后调用与风险等级对应的安全防护链来处理请求报文。由于通过利用内容分发节点各自的网络协议地址的路径信息对请求报文进行检测,可以避免风险隐藏在报文数据中带来的影响,通过多种方法对请求报文风险等级进行检测,可以更加快速精确识别存在风险的请求报文。因此,至少部分的解决了对于存在威胁的请求报文无法正确识别的问题,实现了对存在异常的请求报文的识别更准确;由于调用了与不同风险等级的对应的安全防护链来处理该请求报文,因此,至少部分的解决了无法及时对存在威胁的请求报文进行处理的问题,保证了企业内部资源安全性。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述内容以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的报文处理方法及装置的应用场景图;
图2示意性示出了根据本公开实施例的报文处理方法的流程图;
图3示意性示出了根据本公开实施例的检测风险等级的方法的流程图;
图4示意性示出了根据本公开实施例的确认第一目标异常地理属性信息风险等级的方法的流程图;
图5示意性示出了根据本公开实施例的报文处理方法的示意图;
图6示意性示出了根据本公开实施例的报文处理装置的结构框图;以及
图7示意性示出了根据本公开实施例的适于实现报文处理方法的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
在本公开的技术方案中,所涉及的数据(如包括但不限于用户个人信息)的收集、存储、使用、加工、传输、提供、公开和应用等处理,均符合相关法律法规的规定,采取了必要措施,且不违背公序良俗。
在本公开的实施例中,在获取或采集用户个人信息之前,均获取了用户的授权或同意。
随着网络安全防护技术的飞速发展,有许多网络安全服务涉及到网络数据传输和数据交互,其中内容分发网络(Content Dilivery Network,CDN)是一个专门用来分发内容的分布式应用,通过在各地部署数据中心,让不同地域的用户可以就近获取内容,以提高网站、应用程序的访问速度。
在研究的过程中发现,许多企业在面对来自内容分发网络的请求报文时,对于距离企业服务最近的内容分发节点的网络协议地址(Internet Protocol Address,IP)出现告警的情况,若对其进行直接封禁,会导致业务中断,同时对于客户真实地址在超文本传输协议(Hypertext Transfer Protocol,HTTP)的字段中,可能存在被客户端伪造篡改的问题,以及若通过通知内容分发网络服务商封禁该请求报文可能存在处置的时间过长的问题,对于真实地址在包含报文数据字段中的请求报文,企业存在无法进行有效地识别封禁拦截的问题。
有鉴于此,本公开的实施例提供了一种报文处理方法,该方法包括:响应于接收到请求报文,从请求报文的请求头中确定请求报文的路径信息,其中,路径信息中包括转发请求报文的至少一个内容分发节点各自的网络协议地址;基于路径信息,对请求报文进行检测,得到请求报文的风险等级;基于风险等级,调用与风险等级对应的安全防护链来处理请求报文。
图1示意性示出了根据本公开实施例的报文处理方法及装置的应用场景图。
如图1所示,根据该实施例的应用场景100可以包括第一访问终端设备101、第二访问终端设备102、第三访问终端设备103、内容分发网络104以及应用服务器105。内容分发网络104用以在第一访问终端设备101、第二访问终端设备102、第三访问终端设备103和应用服务器105之间提供通信链路的介质。内容分发网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用第一访问终端设备101、第二访问终端设备102、第三访问终端设备103中的至少一个通过内容分发网络104与应用服务器105交互,以接收或发送消息等。第一访问终端设备101、第二访问终端设备102、第三访问终端设备103上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
第一访问终端设备101、第二访问终端设备102、第三访问终端设备103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
应用服务器105可以是提供各种服务的服务器,例如对用户利用第一访问终端设备101、第二访问终端设备102、第三访问终端设备103所浏览的网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理,并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。
需要说明的是,本公开实施例所提供的报文处理方法一般可以由应用服务器105执行。相应地,本公开实施例所提供的报文处理装置一般可以设置于应用服务器105中。本公开实施例所提供的报文处理方法也可以由不同于应用服务器105且能够与第一访问终端设备101、第二访问终端设备102、第三访问终端设备103和/或应用服务器105通信的服务器或服务器集群执行。相应地,本公开实施例所提供的报文处理装置也可以设置于不同于应用服务器105且能够与第一访问终端设备101、第二访问终端设备102、第三访问终端设备103和/或应用服务器105通信的服务器或服务器集群中。
应该理解,图1中的访问终端设备、内容分发网络和应用服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的访问终端设备、内容分发网络和应用服务器。
以下将基于图1描述的场景,通过图2~图5对公开实施例的报文处理方法进行详细描述。
图2示意性示出了根据本公开实施例的报文处理方法的流程图。
如图2所示,该报文处理方法包括操作S210~操作S230。
在操作S210,响应于接收请求报文,从上述请求报文的请求头中确定上述请求报文的路径信息,其中,上述路径信息中包括转发上述请求报文的至少一个内容分发节点各自的网络协议地址。
根据本公开的实施例,在接收到请求报文的情况下,可以通过请求报文的请求头中包括的至少一个内容分发节点各自的网络协议地址,确定请求报文的路径信息。其中,内容分发节点可以为内容分发网络中的节点。
根据本公开的实施例,请求报文可以为经过内容分发节点转发的客户端请求报文,可以通过对该客户端请求报文的请求头中的固定字段进行分析,以确定请求报文的路径信息。
根据本公开的实施例,对于请求报文的类型不进行限定,可以为超文本传输协议请求,也可以为超文本传输安全协议(Hypertext Tra nsfer Protocol Secure,HTTPS)报文请求,传输控制协议(Transmis sion Control Protocol,TCP)报文请求等,请求报文可以包括请求行/状态行、请求头和请求体等,其中,请求头中可以包括产生请求的浏览器类型、客户端可识别的内容类型列表、客户端主机地址以及对请求报文进行过转发的内容分发节点的网络协议地址。根据本公开的实施例,路径信息可以包括从服务的访问端设备的请求报文进入的第一个内容分发节点的节点开始,至经由内容分发网络服务商内部节点后,转发至企业内部服务器的路径上所有具备公网协议地址的内容分发节点的网络协议地址。
根据本公开的实施例,具备公网协议地址的内容分发节点的网络协议地址可以按照顺序插入到请求报文的请求头中的固定字段中。
根据本公开的实施例,对于提供内容分发网络的服务商不进行限定,内容分发节点可以由不同的内容分发网络的服务商提供。
根据本公开的实施例,对于固定字段的位置不进行具体限定,可以是存储具备公网协议地址的内容分发节点的网络协议地址,例如:超文本传输协议的拓展头部(X-Forwarded-For,XFF)字段。
根据本公开的实施例,通过客户端请求报文的请求头中包括的该条报文经过的内容分发节点的路径信息,可以实现对转发该请求报文的每一个内容分发加点的网络协议地址的确定,至少部分的解决了请求报文携带的网络协议地址不真实或者隐藏在特殊字段中,带来的不能正确识别的问题,实现了从内容分发节点跳转路径的角度上对客户端请求报文的网络协议地址大概范围的确定。
在操作S220,基于路径信息,对请求报文进行检测,得到请求报文的风险等级。
根据本公开的实施例,在对请求报文的请求头中固定字段进行分析后,利用至少一个内容分发节点各自的网络协议地址,生成目标跳转路径,并对请求报文进行检测,得到请求报文的风险等级。
根据本公开的实施例,通过请求报文的路径信息,可以确定该请求报文的目标跳转路径,其中,目标跳转路径中包括的每一个跳转节点可以包括各自的属性信息,例如地理属性信息。
根据本公开的实施例,可以通过将目标跳转路径与预定的异常跳转路径集合或者预定的基线跳转路径集合进行匹配,来实现对请求报文的检测,并基于检测结果确定该请求报文的风险等级,例如:在将目标跳转路径与异常跳转路径集合进行匹配的情况下,如果存在与目标跳转路径相匹配的异常跳转路径的情况,可以根据与该目标跳转路径匹配的异常跳转路径的风险等级,确定请求报文的风险等级,对于确定的风险等级可以标记在请求报文的标记位,标记位可以是请求头中的任意字段,请求头中可以有多个标记位,例如:可以标记在该请求报文的第一标记位。
根据本公开的实施例,可以通过对请求报文的路径信息中包括的多个内容分发节点各自的地理属性信息与预定的异常地理属性信息集合进行匹配,来实现对请求报文的检测,并基于检测结果确定该请求报文的风险等级,例如:将第一个转发该请求报文的内容分发节点的地理属性信息与异常地理属性信息集合进行匹配,如果存在与目标内容分发节点的地理属性信息相匹配的目标异常地理属性信息的情况,可以根据目标异常地理属性信息的风险等级,确定请求报文的风险等级,对于确定的风险等级可以标记在请求报文的标记位,例如:可以标记在该请求报文的第二标记位,其中,第一标记位与第二标记位可以相同也可以不同。
根据本公开的实施例,通过利用路径信息生成目标跳转路径,对请求报文进行检测,通过将异常跳转路径集合和基线跳转路径集合分别与目标跳转路径进行匹配,还可以通过对请求报文的路径信息中包括的多个内容分发节点各自的地理属性信息与预定的异常地理属性信息集合进行匹配,最后根据匹配结果得到请求报文的风险等级,从而实现了该请求报文的路径信息,确定请求报文是否存在风险,以及对应的风险等级,至少部分的解决了请求报文屏蔽源网络协议地址或者源网络协议地址隐藏在特殊字段中无法进行识别的问题,同时可以解决可能存在的内容分发网络节点被劫持的问题,实现了更精准的对存在风险的请求报文的识别,并确定该请求报文的风险等级,保证了企业对于请求报文的风险进行识别的精确性,同时基于对请求头中包括的路径信息的解析即可确定该请求报文是否存在风险,无需对请求报文的请求内容进行解析,进一步提高了防护效率,减小了延迟。
在操作S230,基于风险等级,调用与风险等级对应的安全防护链处理请求报文。
根据本公开的实施例,可以基于不同的风险等级构建不同的安全防护链,例如:可以设置为与高危、中危以及低危的风险等级对应的安全防护链,不同等级的安全防护链上执行相应的威胁防护标准,其中一种安全防护链实例例如可以为一种由入侵防御系统(Intrusion Prevention System,IPS)、网站应用级防护系统(Web ApplicationFirewall,WAF)、堡垒机所构成的安全防护链,可以实现网页防篡改的功能。
根据本公开的实施例,在构建安全防护链后,可以在标记位标记的风险等级来确定该请求报文的风险等级,可以根据请求报文的第一标记位或第二标记位的风险等级确定该请求报文的风险等级,在第一标记位和第二标记位存在不同风险等级的情况下,可以以二者中相对较高的等级为标准,将请求报文转发至相应等级的安全防护链中进行过滤处理。
根据本公开提供的报文处理方法,通过从请求报文的请求头中确定请求报文的路径信息,并且基于路径信息对请求报文进行检测,得到请求报文的风险等级,最后调用与风险等级对应的安全防护链来处理请求报文。由于利用包括转发请求报文的至少一个内容分发节点各自的网络协议地址的路径信息对请求报文进行检测,确定该请求报文是否存在风险以及在存在风险等级的情况下,确定该请求报文的风险等级,从请求报文在至少一个内容分发节点被转发的路径信息角度出发实现对请求报文进行检测,并且基于路径信息中包括的内容分发节点的网络协议地址确定客户所在的真实地址,因此,至少部分的解决了对于存在威胁的请求报文无法正确识别的问题,实现了对存在异常的请求报文的识别更准确;由于调用了与不同风险等级的对应的安全防护链来处理该请求报文,因此,至少部分的解决了无法及时对存在威胁的请求报文进行处理的问题,保证了企业内部资源安全性。
图3示意性示出了根据本公开实施例的检测风险等级的方法的流程图。
如图3所示,检测风险等级包括操作S310~操作S320。
在操作S310,基于至少一个内容分发节点各自的网络协议地址,生成目标跳转路径。
在操作S320,基于目标跳转路径,对请求报文进行检测,得到请求报文的风险等级。
根据本公开的实施例,可以通过对请求报文的路径信息进行解析,确定该请求报文的目标跳转路径,其中,目标跳转路径中包括的每一个跳转节点可以包括各自的属性信息,例如地理属性信息,在解析过程中可以基于路径信息中包括的每一个内容分发节点的属性信息确定请求报文的目标跳转路径,例如:基于地理属性信息得到的目标跳转路径可以表示为地区1-地区2-地区3。
根据本公开的实施例,基于目标跳转路径可以实现对请求报文的检测,从而得到请求报文的风险等级,例如:可以将目标跳转路径与异常跳转路径集合进行匹配,在存在与目标跳转路径相匹配的异常跳转路径的情况下,可以基于与目标跳转路径相匹配的异常跳转路径对应的风险等级来确定该请求报文的风险等级。还可以将目标跳转路径与基线跳转路径集合进行匹配,在存在与目标跳转路径匹配的基线跳转路径的情况下,可以从预订的预设风险等级表确定该目标跳转路径的风险等级。其中,基线跳转路径集合中可以包括多条不存在问题的跳转路径。
根据本公开的实施例,可以将请求报文进行标记,标记内容可以包括请求报文的风险等级等信息。
根据本公开的实施例,通过基于至少一个内容分发节点各自的网络协议地址,生成目标跳转路径,通过不同的匹配结果,确定请求报文的风险等级,从而保证了对于请求报文的风险进行识别的精确性。
根据本公开的实施例,报文处理方法还可以包括以下操作。
基于请求报文包括的报文数据,对请求报文进行识别,得到识别结果,在识别结果表征请求报文存在异常的情况下,确定请求报文为异常请求报文,基于异常请求报文,得到异常跳转路径。
根据本公开的实施例,当检测来自同一内容分发网络的服务商或同一时间段的大量异常风险信息的情况下,可以基于请求体中包括的请求数据对请求报文的请求体进行识别和检测,其中,请求报文的识别结果可以包括该请求报文存在异常或该请求报文不存在异常,请求数据可以包括客户端的账号、密码、请求内容等等信息。
根据本公开的实施例,基于异常请求报文的请求头中包括的路径信息,可以确定该异常请求报文的异常跳转路径,路径信息中包括转发该异常请求报文的内容转发节点的网络协议地址,基于该网络协议地址的属性信息可以得到该异常请求报文的异常跳转路径。
根据本公开的实施例,基于异常跳转路径可以得到异常跳转路径集合,对于异常跳转路径集合的确定方式不进行限定,可以通过收集多条异常跳转路径得到,也可以为对多条异常跳转路径进行处理得到,例如:汇总、识别、筛选、过滤等处理。
根据本公开的实施例,通过当对请求报文的报文数据进行识别可以从报文数据的角度对请求报文进行识别,得到多个异常报文数据样本信息,在对异常报文数据样本的路径信息解析后可以得到确定异常跳转路径,基于得到的多条异常跳转路径可以确定可以存在问题的跳转路径,对后续的请求报文的目标跳转路径可以利用异常跳转路径来进行确认其目标跳转路径是否存在问题,从而确定该请求报文是否存在问题。
根据本公开的实施例,在操作基于目标跳转路径,对请求报文进行检测,得到请求报文的风险等级,可以包括以下操作。
将异常跳转路径集合与目标跳转路径进行匹配,得到第一匹配结果,其中,异常跳转路径集合中包括多条异常跳转路径,在第一匹配结果表征异常跳转路径集合中存在与目标跳转路径匹配的目标异常跳转路径的情况下,基于目标异常跳转路径的风险等级,确定请求报文的风险等级。
根据本公开的实施例,在确认异常跳转路径集合和目标跳转路径之后,可以将异常跳转路径集合与目标跳转路径进行匹配,得到第一匹配结果,在第一匹配结果表征异常跳转路径集合中存在与目标跳转路径匹配的目标异常跳转路径的情况下,根据目标异常跳转路径的风险等级,得到请求报文的风险等级,对于确定的风险等级可以标记在请求报文的标记位,例如此处可以标记在第一标记位,对该第一标记位的标记内容不进行定义,可以根据实际情况进行标记,例如可以标记为中、高。
根据本公开的实施例,异常跳转路径集合中包括的每一条异常跳转路径都含有对应的风险等级,其风险等级可以基于具体应用场景或者该异常跳转路径的异常程度来进行确定。
根据本公开的实施例,可以基于路径信息分析得到的目标跳转路径,对这些目标跳转路径进行信息统计,可以根据时段、频次等条件进行筛选,对筛选结果可以进行行为学习,筛选结果与请求报文的识别结果可以共同构成异常跳转路径集合。其中,异常跳转路径集合包括多条异常跳转路径。
根据本公开的实施例,多条异常跳转路径可以包括对请求体识别得到的异常跳转路径和对请求头解析得到的异常地区跳转路径,异常地区跳转路径可以例如请求报文在某一时段通常会经过相同或相邻的内容分发节点,当该条请求报文在同一时段内经过正常范围之外的内容分发节点跳转,则可以认为该条跳转路径可以是异常地区跳转路径。例如,在时刻A,从地区1至地区3的跳转路径通常为地区1-地区2-地区3,若以时段为条件进行筛选,则重点针对突然在时刻B,请求报文从地区1至地区3进行跳转的情况进行统计,若以频次为条件进行筛选,则重点针对在时刻A,区别于通常情况的大量请求报文从地区1至地区3进行跳转的情况进行统计。
根据本公开的实施例,通过将异常跳转路径集合与目标跳转路径进行匹配得到目标异常跳转路径,可以确定请求报文的风险等级,保证了对目标跳转路径进行是否存在异常以及其风险等级确定的精准性,以及避免了内容分发节点本身遭遇攻击或者遭遇以地区为背景的劫持情况时,无法进行识别的问题,从一定程度上保证了内容分发节点的可信度,同时对于不同的风险情况可以确定不同的风险等级,可以实现对不同请求报文的威胁的分级确定。
根据本公开的实施例,在操作基于目标跳转路径,对请求报文进行检测,得到请求报文的风险等级,还可以包括以下操作。
将基线跳转路径集合与目标跳转路径进行匹配,得到第二匹配结果,其中,基线跳转路径集合包括多个基线跳转路径,在第二匹配结果表征基线跳转路径集合中不存在与目标跳转路径匹配的基线跳转路径的情况下,确定请求报文为异常请求报文,基于预设风险等级表,确定异常请求报文的风险等级。
根据本公开的实施例,在确认目标跳转路径后,还可以将基线跳转路径集合与目标跳转路径进行匹配,得到第二匹配结果,其中,基线跳转路径集合包括多条在一段时间内得到的不存在风险的正常跳转路径。在第二匹配结果表征基线跳转路径集合中不存在与目标跳转路径匹配的基线跳转路径的情况下,视为出现异常情况,根据异常情况确定请求报文为异常请求报文,确定异常请求报文的风险等级,对于确定的风险等级可以标记在请求报文的标记位,例如此处可以标记在第一标记位,对该第一标记位不进行定义,可以根据实际情况进行标记,例如可以标记为中、高。表1示意性示出了风险等级表。
表1风险等级表
异常情况 标记
已出现过地区重新出现
地区之前未建立过请求关系
同一地区内连续多次跳转
如表1所示,根据本公开的实施例,上述异常情况例如,对请求报文的请求头中的地区跳转路径进行解析,在某一地区已经出现过且重新出现的情况下,将该条请求报文的风险等级标记为“中”。再例如,对请求报文的请求头中的地区跳转路径进行解析,对于某一地区,之前未建立过请求关系,将该条请求报文的风险等级标记为“中”。再例如,对请求报文的请求头中的地区跳转路径进行解析,若请求报文在同一地区内连续多次跳转,将该条请求报文的风险等级标记为“高”。
根据本公开的实施例,对于识别得到的异常请求报文发送信息给相关人员或者内容分发网络的服务商进行风险确定,若确定该异常请求报文不存在风险可以将该异常请求报文的标记更新为正常或者删除风险标记。
根据本公开的实施例,对于一段时间内不存在异常的请求报文可以确定该请求报文的路径信息,基于路径信息确定该请求报文的跳转路径,对于多条跳转路径进行筛选可以得到多条基线跳转路径,生成基线跳转路径集合,筛选过程可以包括:确定跳转路径的起始节点和目标节点,对于具备相同起始节点和目标节点的跳转路径归为一组,对每一组中包括的多条跳转路径进行相似度匹配,将每组中频次最高的跳转路径作为基线跳转路径,还可以进行不同条件的限制,可以将不同时间的跳转路径分为不同的组,也可以根据实际需求进行不同条件的限制得到基线跳转路径。
根据本公开的实施例,通过将基线跳转路径集合与目标跳转路径进行匹配,若不存在相匹配的情况,从而确定请求报文为异常请求报文以及请求报文的风险等级,实现了对目标跳转路径进行风险等级确定的另一种方式以保证风险等级确定的精准性。
图4示意性示出了根据本公开实施例的确认第一目标异常地理属性信息风险等级的方法的流程图。
如图4所示,确认第一目标异常地理属性信息风险等级包括操作S410~操作S430。
在操作S410,基于至少一个内容分发节点中的目标内容分发节点的网络协议地址,确定目标内容分发节点的地理属性信息,其中,目标内容分发节点为转发请求报文的第一个内容分发节点,即为请求报文首次接入的内容分发节点。
在操作S420,将目标内容分发节点的地理属性信息与异常地理属性信息集合进行匹配,得到第三匹配结果。
在操作S430,在第三匹配结果表征存在与目标内容分发节点的地理属性信息相匹配的第一目标异常地理属性信息情况下,基于第一目标异常地理属性信息的风险等级,确定请求报文的风险等级。
根据本公开的实施例,请求报文首次接入的内容分发节点例如可以为用户所在地附近的节点。对地理属性信息不进行定义,例如基于内容分发节点的网络协议地址所得到的地理属性,可以将该地区由高到低分为多级,高级别地区可包含多个低级别地区。
根据本公开的实施例,根据录入的异常地理属性信息,和解析的目标内容分发节点的网络协议地址的地区进行匹配,得到第三匹配结果,其中,目标内容分发节点为首次接入的内容分发节点,异常地理属性信息可以包括基于该地理数据存在的大量请求报文的风险操作或者国际形势得到的具有风险的地区及风险等级的键值对,其中,该风险等级的键值对可以取值为高级、中级、低级,例如,[地区1:中],地理数据存在的大量请求报文的风险操作例如可以为在一段时间内收到同个地区的大量的请求报文等。
根据本公开的实施例,在得到匹配结果后对匹配结果进行分析,若与目标内容分发节点的地理属性信息与异常地理属性信息相吻合或包含,则将结果确定为第一目标异常地理属性信息,基于第一目标异常地理属性信息的风险等级,确定请求报文的风险等级,对于确定的风险等级可以标记在请求报文的标记位,例如此处可以标记在第二标记位,例如此处可以标记在第二标记位,可以标记为对应的风险等级。
根据本公开的实施例,实现了将请求报文首次接入的内容分发节点的地理属性信息与预设的异常地理属性信息进行匹配,基于匹配结果表征的第一目标异常地理属性信息,确定请求报文的风险等级,可以对于来自同一地区但是可能请求报文的网络协议地址不同的请求报文进行识别,对于黑客组织的攻击可以进行有效的防护,同时,保证了风险检测方法的多样性,进一步保证了风险等级确定的精准性。
根据本公开的实施例,在操作基于路径信息,对请求报文进行检测,得到请求报文的风险等级,还可以包括以下操作:
基于路径信息中包括的至少一个内容分发节点各自的网络协议地址,确定至少一个内容分发节点各自的地理属性信息,将至少一个内容分发节点各自的地理属性信息与异常地理属性信息集合分别进行匹配,得到第四匹配结果,在第四匹配结果表征与至少一个内容分发节点各自的地理属性信息匹配的第二目标异常地理属性信息的数量大于等于数量阈值的情况下,基于每个第二目标异常地理属性信息的风险等级,得到多个风险等级,基于多个风险等级,确定请求报文的目标风险等级。
根据本公开的实施例,基于路径信息中包括的至少一个内容分发节点各自的网络协议地址,确定至少一个内容分发节点各自的地理属性信息,将至少一个内容分发节点各自的地理属性信息与异常地理属性信息集合分别进行匹配,得到第四匹配结果,在第四匹配结果表征与至少一个内容分发节点各自的地理属性信息匹配的第二目标异常地理属性信息的数量大于等于数量阈值的情况下,基于每个第二目标异常地理属性信息的风险等级,得到多个风险等级,并确定请求报文的风险等级,对于确定的风险等级可以标记在请求报文的标记位,例如此处可以标记在第二标记位,以标记为对应的风险等级。其中,异常地理属性信息还可以包括企业录入的单组或多组具有风险的地区或风险等级键值对组成的信息,例如{[地区1:中],[地区2,高]},其中,对于识别到的多个内容分发节点分别对应的风险等级可以将最高的风险等级作为最终的请求报文的风险等级。
根据本公开的实施例,实现了将请求报文全部接入的内容分发节点的地理属性信息与预设的异常地理属性信息进行匹配,基于匹配结果表征的每个第二目标异常地理属性信息,确定每个请求报文的风险等级,对于存在风险的地区对应的内容分发节点可能对存在的被劫持能情况也进行了防护,保证了根据异常地理属性信息确认风险等级的完整性,也进一步保证了风险等级确定的精准性。
图5示意性示出了根据本公开实施例的报文处理方法的示意图。
如图5所示,将本公开实施例的报文处理方法应用到具体场景中,包括:访问终端510,内容分发网络服务商内部网络节点520,应用服务器530,其中访问终端510可以是客户端,应用服务器530可以是企业端,内容分发网络服务商内部网络节点520包括若干个内容分发节点;当客户通过访问终端510的请求报文进入内容分发节点,经由内容分发网络服务商内部网络节点520后,转发至企业端的应用服务器530上,对于请求报文的每个内容分发节点的网络协议地址进行记录,请求报文的请求头中的固定字段中包括路径上所有内容分发节点的网络协议地址。
根据本公开的实施例,内容分发网络服务商内部网络节点520包括若干个内容分发网络跳转节点,其中访问终端510的请求报文在进入内容分发网络服务商内部网络节点520时,首个接入的内部分发节点521一般为用户所在地附近最近的节点,经过若干个服务商内部跳转节点后,在从内容分发网络服务商内部网络节点520跳转到企业端应用服务器530时,末个内容分发节点522一般为离企业所在地最近的节点。
根据本公开的实施例,企业端应用服务器530接收到经由内容分发网络转发的请求报文后,对请求报文的请求头中的固定字段进行解析,确定请求报文的路径信息,基于路径信息,对请求报文进行识别检测,确定风险等级。其中,检测方法可以是通过确定异常跳转路径集合、基线跳转路径集合,与目标跳转路径进行匹配,得到匹配结果,基于匹配结果确定异常请求报文的风险等级,对于确定的风险等级可以标记在请求报文的标记位,例如此处可以标记在第一标记位;还可以是通过确定目标内容分发节点的地理属性信息,与预设的异常地理属性信息进行匹配,得到匹配结果,基于匹配结果确定目标异常地理属性信息的风险等级,对于确定的风险等级可以标记在请求报文的标记位,例如此处可以标记在第二标记位。
根据本公开的实施例,在确定了异常请求报文和目标异常地理属性信息的风险等级情况下,构建安全防护链,例如可以设置成高危、中危、低危的三中不同等级的安全防护链,不同等级的安全防护链上执行相应的威胁防护标准,根据请求报文的第一标记位和第二标记位的风险等级,以相对较高的等级为标准,将请求报文转发至相应等级的安全防护链中进行过滤处理。
基于上述报文处理方法,本公开还提供了一种报文处理装置。以下将结合图6对该装置进行详细描述。
图6示意性示出了根据本公开实施例的报文处理装置的结构框图。
如图6所示,该实施例的报文处理装置600包括路径信息确定模块610、风险等级检测模块620和安全防护链调用模块630。
路径信息确定模块610用于响应于接收到请求报文,从请求报文的请求头中确定请求报文的路径信息,其中,路径信息中包括转发请求报文的至少一个内容分发节点各自的网络协议地址。在一实施例中,路径信息确定模块610可以用于执行前文描述的操作S210,在此不再赘述。
风险等级检测模块620用于基于路径信息,对请求报文进行检测,得到请求报文的风险等级。在一实施例中,风险等级检测模块620可以用于执行前文描述的操作S220,在此不再赘述。
安全防护链调用模块630用于基于风险等级,调用与风险等级对应的安全防护链来处理请求报文。在一实施例中,安全防护链调用模块630可以用于执行前文描述的操作S230,在此不再赘述。
根据本公开的实施例,风险等级检测模块620包括:目标跳转路径生成子模块和风险等级确定子模块。
目标跳转路径生成子模块,用于基于至少一个内容分发节点各自的网络协议地址,生成目标跳转路径。
风险等级确定子模块,用于基于目标跳转路径,对请求报文进行检测,得到请求报文的风险等级。
根据本公开的实施例,风险等级确定子模块包括:路径风险分析单元和节点风险分析单元。
路径风险分析单元,用于将异常跳转路径集合与目标跳转路径进行匹配,得到第一匹配结果,在第一匹配结果表征异常跳转路径集合中存在与目标跳转路径匹配的目标异常跳转路径的情况下,基于目标异常跳转路径的风险等级,确定请求报文的风险等级。其中,异常跳转路径集合中包含多条异常跳转路径。
根据本公开的实施例,路径风险分析单元,还用于将基线跳转路径集合与目标跳转路径进行匹配,得到第二匹配结果,在第二匹配结果表征基线跳转路径集合中不存在与目标跳转路径匹配的基线跳转路径的情况下,确定请求报文为异常请求报文,基于预设风险等级表,确定异常请求报文的风险等级。其中,基线跳转路径集合中包含多个基线跳转路径。
节点风险分析单元,用于基于至少一个内容分发节点中的目标内容分发节点的网络协议地址,确定目标内容分发节点的地理属性信息,将目标内容分发节点的地理属性信息与异常地理属性信息集合进行匹配,得到第三匹配结果,在第三匹配结果表征存在与目标内容分发节点的地理属性信息相匹配的第一目标异常地理属性信息情况下,基于第一目标异常地理属性信息的风险等级,确定请求报文的风险等级。其中,目标内容分发节点为转发请求报文的第一个内容分发节点。
根据本公开的实施例,节点风险分析单元,还用于基于路径信息中包括的至少一个内容分发节点各自的网络协议地址,确定至少一个内容分发节点各自的地理属性信息,将至少一个内容分发节点各自的地理属性信息与异常地理属性信息集合分别进行匹配,得到第四匹配结果,在第四匹配结果表征与至少一个内容分发节点各自的地理属性信息匹配的第二目标异常地理属性信息的数量大于等于数量阈值的情况下,基于每个第二目标异常地理属性信息的风险等级,得到多个风险等级,确定请求报文的目标风险等级。
根据本公开的实施例,安全防护链调用模块630包括:安全过滤子模块和入侵信息推送子模块。
安全过滤子模块,用于首先基于不同的风险等级构建安全防护链,例如可以设置成高危、中危、低危的三中不同等级的安全防护链,不同等级的安全防护链上执行相应的威胁防护标准,在构建安全防护链后,根据请求报文的第一标记位和第二标记位的风险等级,以相对较高的等级为标准,将请求报文转发至相应等级的安全防护链中进行过滤处理。
入侵推送子模块,用于将收到的异常请求报文的请求头中的固定字段信息和风险等级推送到风险等级检测模块620中。
根据本公开的实施例,路径信息确定模块610、风险等级检测模块620和安全防护链调用模块630中的任意多个模块可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,路径信息确定模块610、风险等级检测模块620和安全防护链调用模块630中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,路径信息确定模块610、风险等级检测模块620和安全防护链调用模块630中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图7示意性示出了根据本公开实施例的适于实现报文处理方法的电子设备的方框图。
如图7所示,根据本公开实施例的电子设备700包括处理器701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。处理器701例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC))等等。处理器701还可以包括用于缓存用途的板载存储器。处理器701可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 703中,存储有电子设备700操作所需的各种程序和数据。处理器701、ROM702以及RAM 703通过总线704彼此相连。处理器701通过执行ROM 702和/或RAM 703中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,程序也可以存储在除ROM702和RAM 703以外的一个或多个存储器中。处理器701也可以通过执行存储在一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备700还可以包括输入/输出(I/O)接口705,输入/输出(I/O)接口705也连接至总线704。电子设备700还可以包括连接至输入/输出(I/O)接口705的以下部件中的一项或多项:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至输入/输出(I/O)接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 702和/或RAM 703和/或ROM 702和RAM 703以外的一个或多个存储器。
本公开的实施例还包括一种计算机程序产品,其包括计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时,该程序代码用于使计算机系统实现本公开实施例所提供的物品推荐方法。
在该计算机程序被处理器701执行时执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例,上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。
在一种实施例中,该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中,该计算机程序也可以在网络介质上以信号的形式进行传输、分发,并通过通信部分709被下载和安装,和/或从可拆卸介质711被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被处理器701执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
根据本公开的实施例,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码,具体地,可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如Java,C++,python,“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。

Claims (11)

1.一种报文处理方法,包括:
响应于接收到请求报文,从所述请求报文的请求头中确定所述请求报文的路径信息,其中,所述路径信息中包括转发所述请求报文的至少一个内容分发节点各自的网络协议地址;
基于所述路径信息,对所述请求报文进行检测,得到所述请求报文的风险等级;
基于所述风险等级,调用与所述风险等级对应的安全防护链来处理所述请求报文。
2.根据权利要求1所述的方法,其中,所述基于所述路径信息,对所述请求报文进行检测,得到所述请求报文的风险等级,包括:
基于所述至少一个内容分发节点各自的网络协议地址,生成目标跳转路径;
基于所述目标跳转路径,对所述请求报文进行检测,得到所述请求报文的风险等级。
3.根据权利要求2所述的方法,其中,所述基于所述目标跳转路径,对所述请求报文进行检测,得到所述请求报文的风险等级,包括:
将异常跳转路径集合与所述目标跳转路径进行匹配,得到第一匹配结果,其中,所述异常跳转路径集合中包括多条异常跳转路径;
在所述第一匹配结果表征所述异常跳转路径集合中存在与所述目标跳转路径匹配的目标异常跳转路径的情况下,基于所述目标异常跳转路径的风险等级,确定所述请求报文的风险等级。
4.根据权利要求3所述的方法,还包括:
基于所述请求报文包括的报文数据,对所述请求报文进行识别,得到识别结果;
在所述识别结果表征所述请求报文存在异常的情况下,确定所述请求报文为异常请求报文;
基于所述异常请求报文,得到异常跳转路径。
5.根据权利要求2所述的方法,其中,所述基于所述目标跳转路径,对所述请求报文进行检测,得到所述请求报文的风险等级,包括:
将基线跳转路径集合与所述目标跳转路径进行匹配,得到第二匹配结果,其中,所述基线跳转路径集合包括多个基线跳转路径;
在所述第二匹配结果表征所述基线跳转路径集合中不存在与所述目标跳转路径匹配的基线跳转路径的情况下,确定所述请求报文为异常请求报文;
基于预设风险等级表,确定所述异常请求报文的风险等级。
6.根据权利要求1所述的方法,其中,所述基于所述路径信息,对所述请求报文进行检测,得到所述请求报文的风险等级,包括:
基于所述至少一个内容分发节点中的目标内容分发节点的网络协议地址,确定所述目标内容分发节点的地理属性信息,其中,所述目标内容分发节点为转发所述请求报文的第一个内容分发节点;
将目标内容分发节点的地理属性信息与异常地理属性信息集合进行匹配,得到第三匹配结果;
在所述第三匹配结果表征存在与所述目标内容分发节点的地理属性信息相匹配的第一目标异常地理属性信息情况下,基于所述第一目标异常地理属性信息的风险等级,确定所述请求报文的风险等级。
7.根据权利要求1所述的方法,其中,所述基于所述路径信息,对所述请求报文进行检测,得到所述请求报文的风险等级,包括:
基于所述路径信息中包括的所述至少一个内容分发节点各自的网络协议地址,确定所述至少一个内容分发节点各自的地理属性信息;
将所述至少一个所述内容分发节点各自的地理属性信息与异常地理属性信息集合分别进行匹配,得到第四匹配结果;
在所述第四匹配结果表征与所述至少一个所述内容分发节点各自的地理属性信息匹配的第二目标异常地理属性信息的数量大于等于数量阈值的情况下,基于每个所述第二目标异常地理属性信息的风险等级,得到多个所述风险等级;
基于多个所述风险等级,确定所述请求报文的目标风险等级。
8.一种报文处理装置,包括:
路径信息确定模块,用于响应于接收到请求报文,从所述请求报文的请求头中确定所述请求报文的路径信息,其中,所述路径信息中包括转发所述请求报文的至少一个内容分发节点各自的网络协议地址;
风险等级检测模块,用于基于所述路径信息对所述请求报文进行检测,得到所述请求报文的风险等级;以及
安全防护链调用模块,用于基于所述风险等级,调用与所述风险等级对应的安全防护链来处理所述请求报文。
9.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1~7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~7中任一项所述的方法。
11.一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现根据权利要求1~7中任一项所述的方法。
CN202310855026.3A 2023-07-12 2023-07-12 报文处理方法、装置、设备及存储介质 Pending CN117439754A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310855026.3A CN117439754A (zh) 2023-07-12 2023-07-12 报文处理方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310855026.3A CN117439754A (zh) 2023-07-12 2023-07-12 报文处理方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN117439754A true CN117439754A (zh) 2024-01-23

Family

ID=89552288

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310855026.3A Pending CN117439754A (zh) 2023-07-12 2023-07-12 报文处理方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN117439754A (zh)

Similar Documents

Publication Publication Date Title
US20200389495A1 (en) Secure policy-controlled processing and auditing on regulated data sets
US11025674B2 (en) Cybersecurity profiling and rating using active and passive external reconnaissance
US11601475B2 (en) Rating organization cybersecurity using active and passive external reconnaissance
EP2892197B1 (en) Determination of a threat score for an IP address
US11218510B2 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
CN108932426B (zh) 越权漏洞检测方法和装置
TWI592821B (zh) 用於提供威脅儀表板之方法及基於雲端之威脅偵測系統
US9154516B1 (en) Detecting risky network communications based on evaluation using normal and abnormal behavior profiles
US8713674B1 (en) Systems and methods for excluding undesirable network transactions
CN111711617A (zh) 网络爬虫的检测方法、装置、电子设备及存储介质
US20190222587A1 (en) System and method for detection of attacks in a computer network using deception elements
Vasek et al. Identifying risk factors for webserver compromise
US20170155683A1 (en) Remedial action for release of threat data
US20230283641A1 (en) Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement
Zhao et al. A Classification Detection Algorithm Based on Joint Entropy Vector against Application‐Layer DDoS Attack
CN114024764A (zh) 数据库异常访问的监控方法、监控系统、设备和存储介质
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及系统
Samarasinghe et al. On cloaking behaviors of malicious websites
CN111316272A (zh) 使用行为和深度分析的先进网络安全威胁减缓
US20170070460A1 (en) Controlling Access to Web Resources
CN108804501B (zh) 一种检测有效信息的方法及装置
CN116938600A (zh) 威胁事件的分析方法、电子设备及存储介质
US11575702B2 (en) Systems, devices, and methods for observing and/or securing data access to a computer network
CN117439754A (zh) 报文处理方法、装置、设备及存储介质
Ro et al. Detection Method for Distributed Web‐Crawlers: A Long‐Tail Threshold Model

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination