TWI521928B - Malicious access to intercept methods and systems - Google Patents
Malicious access to intercept methods and systems Download PDFInfo
- Publication number
- TWI521928B TWI521928B TW099114800A TW99114800A TWI521928B TW I521928 B TWI521928 B TW I521928B TW 099114800 A TW099114800 A TW 099114800A TW 99114800 A TW99114800 A TW 99114800A TW I521928 B TWI521928 B TW I521928B
- Authority
- TW
- Taiwan
- Prior art keywords
- server
- analysis
- user terminal
- access request
- access
- Prior art date
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本申請涉及通信領域,尤其涉及一種惡意訪問的攔截方法和系統。
在業務訪問系統中,用戶終端向WEB伺服器發起訪問請求後,WEB伺服器根據用戶終端的請求進行相應的業務處理。為了提高業務訪問的安全性,避免用戶終端的惡意訪問,WEB伺服器需要對用戶終端的訪問是否是惡意訪問進行判定,並對用戶終端的惡意訪問進行攔截。
目前WEB伺服器對用戶終端的惡意訪問進行攔截的方式主要有:通過Linux系統中的防火牆軟體,如具有iptables防火牆功能模組的軟體系統進行攔截,或是具有通過apache功能模組的軟體系統進行攔截。
iptables防火牆攔截方式是:WEB伺服器對用戶終端在網路層的相關資訊進行解析,根據單一IP位址的訪問頻率判斷該IP位址對應的用戶終端是否是惡意訪問的終端,如果WEB伺服器檢測出通過某一IP位址發出的訪問請求的頻率達到設定值,則認為通過該IP位址發起訪問請求的用戶終端是惡意訪問終端,對該惡意訪問的用戶終端發起的用戶請求進行攔截。
apache功能模組攔截方式與iptables攔截方式類似,WEB伺服器通過對用戶終端發送的超文本傳輸協定(HTTP)請求中的IP位址進行解碼,也按照IP位址的訪問頻率判斷用戶終端是否進行了惡意訪問,如果確定某一用戶終端是惡意訪問的終端,則WEB伺服器對該用戶終端發起的用戶請求進行攔截。
在目前對惡意訪問攔截的方式下,WEB伺服器不僅要對用戶終端的業務請求進行正常的業務處理,還需要即時地對用戶終端的網路層資訊或HTTP請求進行解析,並根據解析結果統計並確定用戶終端是否進行了惡意訪問,降低了WEB伺服器進行業務處理的回應速度,使得WEB伺服器的性能下降。
本申請實施例提供一種惡意訪問的攔截方法和系統,以解決在目前對惡意訪問攔截的方式下,WEB伺服器進行業務處理的回應速度較低、性能下降的問題。
一種惡意訪問的攔截方法,該方法包括:在網路伺服器根據當前用戶終端發起的訪問請求進行業務處理時,分析伺服器根據當前用戶終端發起的訪問請求對該用戶終端是否是惡意訪問終端進行分析,並將分析結果返回給網路伺服器;在網路伺服器再次接收到該用戶終端發起的訪問請求時,網路伺服器根據攔截資訊判斷該用戶終端是否是惡意訪問終端,該攔截資訊是根據該分析伺服器返回的該分析結果確定的;網路伺服器在確定該用戶終端是惡意訪問終端時,攔截當前用戶終端發起的訪問請求;否則,根據該訪問請求進行業務處理。
一種惡意訪問的攔截系統,該系統包括網路伺服器和攔截伺服器,其中:網路伺服器,用於根據當前用戶終端發起的訪問請求進行業務處理,並根據分析伺服器返回的分析結果確定攔截資訊,當再次接收到該用戶終端發起的訪問請求時,根據該攔截資訊判斷該用戶終端是否是惡意訪問終端,在確定該用戶終端是惡意訪問終端時,攔截當前用戶終端發起的訪問請求;否則,根據該訪問請求進行業務處理;分析伺服器,用於根據當前用戶終端發起的訪問請求對該用戶終端是否是惡意訪問終端進行分析,並將分析結果返回給網路伺服器。
本申請實施例由分析伺服器根據用戶終端在第1次至第N(N1)次發起的訪問請求分析確定出攔截資訊後,在網路伺服器接收到該用戶終端第N+1次發起的訪問請求時,根據分析伺服器確定的攔截資訊對用戶終端是否是惡意訪問終端進行判定,在判定結果是惡意訪問終端時攔截當前用戶終端發起的訪問請求;否則,根據該訪問請求進行業務處理。通過本申請實施例的方案可以在即時地攔截惡意訪問的情況下,提高網路伺服器的業務處理回應速度,增強業務伺服器的性能。
為了提高網路伺服器的業務處理回應速度,增強業務伺服器的性能,本申請實施例提出在網路伺服器接收到用戶終端發起的訪問請求時,如果無法直接確定該訪問是惡意訪問,則將訪問請求的相關資訊非同步發送給分析伺服器,無需等待分析伺服器的分析結果,直接回應本次接收到的訪問請求,避免了對業務處理速度的影響;當分析伺服器對本次接收到的訪問請求分析並得到分析結果後再通知網路伺服器,使得網路伺服器之後再接收到同一用戶終端的訪問請求後,可以直接根據接收到分析結果確定訪問請求是否是惡意訪問。通過本申請實施例的方案,可以在即時地攔截惡意訪問的情況下,提高網路伺服器的業務處理回應速度,增強業務伺服器的性能。
下面結合說明書附圖本申請實施例進行詳細描述。
本申請所涉及的惡意訪問行為包括但不限於用戶終端通過手工或者使用機器人程式頻繁向WEB伺服器發送請求獲取資料,申請大量註冊用戶,或大量填寫資訊等行為。
實施例一:
如圖1所示,為本申請實施例一中惡意訪問的攔截系統示意圖,從圖1中可以看出,攔截系統中包括網路伺服器11和分析伺服器12,其中:網路伺服器11用於根據當前用戶終端發起的訪問請求進行業務處理,並根據分析伺服器12返回的分析結果確定攔截資訊,當再次接收到該用戶終端發起的訪問請求時,根據該攔截資訊判斷該用戶終端是否是惡意訪問終端,在確定該用戶終端是惡意訪問終端時,攔截當前用戶終端發起的訪問請求;否則,根據該訪問請求進行業務處理;分析伺服器12用於根據當前用戶終端發起的訪問請求對該用戶終端是否是惡意訪問終端進行分析,並將分析結果返回給網路伺服器11。
該分析伺服器12還用於根據再次接收到的訪問請求對該用戶終端是否是惡意訪問終端進行分析,並將分析結果再次返回給網路伺服器11;該網路伺服器11還用於在確定該用戶終端是否是惡意訪問終端之後,利用再次接收到的分析結果更新攔截資訊。
在本實施例中,網路伺服器11如果未攔截訪問請求,則可以將當前用戶終端發起的訪問請求非同步發送給分析伺服器12,並且無需等待分析伺服器12的分析結果直接進行業務處理。攔截資訊可以保存在網路伺服器11的記憶體、硬碟、快閃記憶體等多種儲存設備中,攔截資訊也可以保存在分析伺服器12的記憶體、硬碟、快閃記憶體等多種儲存設備中。本實施例中涉及的攔截資訊包括但不限於以列表的形式儲存。
在本實施例一的方案中,一台分析伺服器12可以為一台或多台網路伺服器11提供對訪問請求的分析服務。網路伺服器11可以在每接收到一個用戶終端發起的訪問請求時,在未攔截該訪問請求時,將本次接收到的一條訪問請求直接發送給分析伺服器12;較優地,為了提高網路伺服器11與分析伺服器12之間的傳輸效率,減少訪問請求傳輸時佔用的網路資源,網路伺服器11還可以在接收到多個訪問請求後,將其中未攔截的訪問請求壓縮後發送給分析伺服器12。
特殊地,本實施例一中也不限於採用其他方式將訪問請求提供給分析伺服器12進行分析,例如,由能夠與分析伺服器12進行通信的網元從網路伺服器11中獲取訪問請求後轉發給分析伺服器12;或者由能夠與網路伺服器11和分析伺服器12同時通信的網元,主動接收當前用戶終端發起的訪問請求,並分別將該訪問請求發送給網路伺服器11和分析伺服器12。
在本實施例一的方案中,訪問請求包括但不限於HTTP請求和加密的HTTP(HTTPS)請求,網路伺服器和/或分析伺服器對訪問請求進行應用層解碼,得到分析資訊。這裏的分析資訊包括但不限於以下參數中的一種或多種的組合:IP位址、cookie內容、HTTP標頭的設定欄位標識、請求的資料內容和提交的資料內容,其中,請求的資料內容是指用戶終端向網路伺服器請求獲得(GET)的資料內容,提交的資料內容是指用戶終端推送(POST)給網路伺服器的資料內容,後續將請求的資料內容和提交的資料內容分別稱之為GET資料內容和POST資料內容。
分析伺服器12可以根據訪問請求中的分析資訊對用戶終端是否是惡意訪問終端進行分析。分析伺服器12獲得訪問請求中的分析資訊的方式包括但不限於以下兩種:
第一種方式:
分析伺服器12接收網路伺服器11或與分析伺服器12能夠通信的網元發送的訪問請求,並主動對接收到的訪問請求進行解析,獲得分析資訊,然後根據該分析資訊確定發起訪問請求的用戶終端是否是惡意訪問終端。
在此方式下,網路伺服器11無需對訪問請求進行解析操作,降低了網路伺服器11的工作壓力,避免了對網路伺服器11的前端性能影響。
第二種方式:
網路伺服器11還用於對該訪問請求進行解析,獲得分析資訊,並將分析資訊發送給分析伺服器12;分析伺服器12具體用於根據接收到的分析資訊確定發起該訪問請求的用戶終端是否是惡意訪問終端。
在上述兩種方式下,分析伺服器12都要根據預先設定的判斷原則對分析資訊進行分析,以確定用戶終端是否是惡意訪問終端。該預先設定的判斷原則可以包括但不限於:將解析出的訪問請求中的哪些內容作為分析資訊中的內容、分析資訊中的內容在哪些情況下(包括出現頻率、參數值等)是正常參數或非正常參數。預先設定的判斷原則可以由管理員通過分析伺服器12提供的介面寫入分析伺服器12中,並儲存在分析伺服器12的記憶體、快閃記憶體、硬碟或其他儲存媒體中。在分析資訊由網路伺服器11解析出後發送給分析伺服器12的情況下,管理員還可以將預先設定的判斷原則寫入網路伺服器11中,指示網路伺服器11根據預先設定的判斷原則將解析出的作為分析資訊的內容發送給分析伺服器12。
另外,本實施例一也不限於由分析伺服器12或網路伺服器11根據實際情況動態設定判斷原則,例如,在分析資訊中包含cookie內容,將同一cookie內容的出現頻率作為是否是正常參數的判斷原則時,在網路服務的需求較低時(如22:00~08:00),可以設置較低的出現頻率1,即當同一cookie內容的出現頻率達到出現頻率1時,認為發起該訪問請求的用戶終端為惡意訪問終端;在網路服務的需求較高時(如09:00~12:00),可以設置較高的出現頻率2(出現頻率1小於出現頻率2),即當同一cookie內容的出現頻率達到出現頻率2時,才認為發起該訪問請求的用戶終端為惡意訪問終端。
分析伺服器12或網路伺服器11根據實際情況動態調整判斷原則後需要即時通知對端即時更新調整後的判斷原則。
攔截資訊中可以包含惡意訪問終端的屬性資訊,這裏的屬性資訊包括但不限於終端標識、IP位址、cookie內容、HTTP標頭的設定欄位標識、GET資料內容和POST資料內容中的一種或多種組合。該網路伺服器11解析當前用戶終端發起的訪問請求,若解析後得到的分析資訊滿足攔截資訊中的內容時,確定該用戶終端是惡意訪問終端。
根據分析伺服器12進行分析的分析資訊的內容不同,攔截資訊中的內容也可以相應調整。例如:分析資訊中包含HTTP標頭的設定欄位標識,如果分析伺服器12確定某一用戶終端為惡意訪問終端,則分析伺服器12可以將該惡意訪問終端的終端標識發送給網路伺服器11,由網路伺服器11將接收到的終端標識添加至攔截資訊,如果該終端標識對應的用戶終端後續向網路伺服器11發起訪問請求時,網路伺服器11將攔截該用戶終端的訪問請求。分析伺服器12也可以將HTTP標頭的設定欄位標識發送給網路伺服器11,指示設定欄位標識為0表示合法,設定欄位標識為1表示非法,網路伺服器11將接收到的HTTP標頭的設定欄位標識添加至攔截資訊,當後續有用戶終端發起訪問請求時,網路伺服器11查看HTTP標頭的設定欄位標識是否為1,若是,則攔截該訪問請求,否則,執行該訪問請求,並將該訪問請求發送給分析伺服器12繼續進行分析。
本實施例一中的網路伺服器11可以是具有apache功能模組、lighttpd功能模組或nginx功能模組的WEB伺服器,從圖1中的系統結構中可以進一步看出,WEB伺服器包括apache功能模組、共用記憶體(shm功能模組)和用於同步apache功能模組的資料和分析伺服器的資料的功能模組,在本實施例中稱之為hummock用戶端。Apache功能模組中的mod_hummock部件將訪問請求或訪問請求解析後的分析資訊通過PIPE發送給hummock用戶端,hummock用戶端通過event介面將訪問請求或訪問請求解析後的分析資訊發送至分析伺服器12中hummock模組的event介面,為了提高在兩個event介面之間的傳輸速度,可以採用UDP傳輸協定在兩個event介面之間進行資料傳輸。分析伺服器12中hummock模組用於接收訪問請求,並對訪問請求進行分析,以及將分析結果通知給網路伺服器。
分析伺服器12中hummock模組根據設定的判斷原則對接收到的訪問請求或訪問請求解析後的分析資訊進行分離管理,例如:將接收到的分析資訊分別寫入配置列表中,配置列表中包含三個部分,分別是資料、名單和配置,其中,資料中寫入分析資訊中的訪問資料(cookie內容、設定欄位標識、GET資料內容和POST資料內容等),名單中標注分析的是黑名單(或白名單)的內容,配置中寫入分析資訊中的每一項的判斷條件(如:分析資訊中包含cookie內容,則配置中需要寫入判斷cookie內容是否合法的出現機率)。
分析伺服器12中hummock模組對分離管理後的分析資訊進行即時統計、分析,並將統計、分析結果儲存在記憶體中。例如:統計出單位時間內IP位址為IP_1的出現次數為n1,單位時間內IP位址為IP_2的出現次數為n2,則在記憶體中儲存IP_1_n1,IP_2_n2。
分析伺服器12中hummock模組可以掃描儲存分析結果的記憶體,查找出需要向網路伺服器11返回的分析結果(如IP位址、cookie內容、終端標識等)。分析伺服器12可以在每次有分析結果儲存至記憶體時就進行即時掃描,也可以週期性地(如以N秒為週期,N為大於0的數)掃描記憶體,查找出需要向網路伺服器11返回的分析結果。具體做法可以為:在分析伺服器12中設置一個計時器,在計時器的設定週期到達時,觸發hummock模組進行記憶體掃描,將儲存的內容與預先設定的判斷原則進行比較,在確定存在需要觸發的分析結果(即存在未通知網路伺服器的惡意訪問終端)時,指示hummock模組向網路伺服器11返回的分析結果。
分析伺服器12確定需要返回的分析結果後,可以通過以下兩種方式將分析結果發送給網路伺服器11:
第一種發送方式:分析伺服器12中hummock模組和網路伺服器11中的hummock用戶端共同維護攔截資訊,在初始狀態時攔截資訊在兩個伺服器中的版本相同,並且每更新一次攔截資訊,攔截資訊更新後的版本號在兩個伺服器中的變化方式也相同。
網路伺服器11中的hummock用戶端週期性地通過UDP介面向分析伺服器12中hummock模組發送分析結果請求(syn request),並在syn request中攜帶當前網路伺服器11中的攔截資訊的版本號。當分析伺服器12中hummock模組確定返回的分析結果後,利用該分析結果更新自身儲存的攔截資訊,得到更新後攔截資訊的版本號;然後,分析伺服器12中hummock模組判斷接收到的網路伺服器11中攔截資訊的版本號與自身保存的更新後的攔截資訊版本號是否相同,若相同,表示當前網路伺服器11中的攔截資訊的版本與分析伺服器12中的攔截資訊的版本相同,無需對網路伺服器11中的攔截資訊進行更新;否則,表示當前網路伺服器11中的攔截資訊的版本低於分析伺服器12中的攔截資訊的版本,分析伺服器12將自身最近用於更新攔截資訊的分析結果由UDP介面通過分析結果回應(syn response)發送給網路伺服器11中的hummock用戶端。
由於UDP傳輸方式的可靠性較低,因此,本方式下網路伺服器11和分析伺服器12之間週期性地進行攔截資訊版本號的協商,確保網路伺服器11和分析伺服器12中保存的攔截資訊版本號相同,即網路伺服器11中保存的攔截資訊的更新及時。
第二種發送方式:
分析伺服器12中hummock模組得到分析結果後,由TCP介面通過分析結果回應(syn response)發送給網路伺服器11中的hummock用戶端。
由於TCP傳輸方式的可靠性較高,因此,本方式下網路伺服器11和分析伺服器12之間不需要進行資料的協商,直接由分析伺服器12向網路伺服器11發送分析結果即可。
在以上兩種發送方式下,網路伺服器11中的hummock用戶端接收到分析結果後寫入shm模組,由網路伺服器11中的apache模組從shm模組中讀取分析結果,並根據讀取的分析結果更新自身保存的攔截資訊,後續當網路伺服器11接收到用戶終端發送的訪問請求時,可以利用自身保存的最新的攔截資訊對用戶終端的合法性進行判斷,以便於對惡意訪問終端的訪問請求進行攔截。
通過實施例一記載的惡意訪問的攔截系統,網路伺服器通過攔截資訊不確定用戶終端是惡意訪問終端時,將用戶終端發起的訪問請求非同步發送給分析伺服器,無需等待分析伺服器的分析結果,正常執行訪問請求;分析伺服器對接收到的訪問請求進行分析後,將分析結果發送給網路伺服器,網路伺服器根據接收到的分析結果更新攔截資訊,記錄該用戶終端是否是惡意訪問終端的相關資訊,使得同一用戶終端再次發起訪問請求時可以檢測出該用戶終端是否是惡意訪問終端,在即時地攔截惡意訪問的情況下,避免了對網路伺服器前端性能的影響;網路伺服器使用自身儲存的攔截資訊進行是否攔截的判定,對接收到的訪問請求作快速對比,提高了網路伺服器的業務處理回應速度,增強業務伺服器的性能;同時,分析伺服器利用訪問請求應用層解析後得到的分析資訊進行合法性分析,實現了對用戶終端的行為進行細粒度的分析,使分析結果更加準確。
實施例二:
本申請實施例二提出了一種惡意訪問的攔截方法,如圖2所示,該方法包括以下步驟:
步驟101:網路伺服器在第一次接收到當前用戶終端發起的訪問請求時,對該訪問請求進行業務處理。
步驟102:分析伺服器根據當前用戶終端發起的訪問請求對該用戶終端是否是惡意訪問終端進行分析,並將分析結果返回給網路伺服器。
步驟103:在網路伺服器再次接收到該用戶終端發起的訪問請求時,根據攔截資訊判斷向網路伺服器發起訪問請求的用戶終端是否是惡意訪問終端,若是,則執行步驟104;否則,執行步驟105。
本實施例二中的該攔截資訊是根據該分析伺服器返回的該分析結果確定的,具體地,可以是分析伺服器根據該分析結果確定攔截資訊後將該攔截資訊發送給網路伺服器,也可以是分析伺服器將分析結果返回給網路伺服器,由網路伺服器根據分析結果確定攔截資訊。
儲存在網路伺服器中的攔截資訊和儲存在分析伺服器中的攔截資訊的內容與版本號與實施例一中網路伺服器和分析伺服器中儲存的攔截資訊相同。
本實施例二中的網路伺服器和分析伺服器的結構與實施例一中的網路伺服器和分析伺服器的結構相同。
步驟104:網路伺服器攔截該用戶終端發起的訪問請求。
在本步驟中,為了避免出現誤操作,網路伺服器攔截惡意訪問終端的訪問請求之後可以不立即結束訪問過程,而是將用戶終端的訪問請求轉發至其他用於身份驗證的認證伺服器,由認證伺服器對用戶終端的身份進行進一步認證,在認證通過時,網路伺服器可以認為該用戶終端不再是惡意訪問終端,而執行步驟105;否則,結束本次訪問過程。
具體的認證伺服器對用戶終端的身份認證過程可以為:認證伺服器向用戶終端推送認證頁面,要求用戶終端通過認證頁面輸入合法的驗證碼。
步驟105:網路伺服器根據該訪問請求進行業務處理。
通過步驟101~步驟105的方案,網路伺服器即時地攔截了惡意訪問,由於使用自身儲存的攔截資訊進行是否攔截的判定,對接收到的訪問請求作快速對比,提高了網路伺服器的業務處理回應速度,增強業務伺服器的性能。
較優地,本實施例二還可以進一步包括以下步驟:步驟106:分析伺服器根據再次接收到的訪問請求對該用戶終端是否是惡意訪問終端進行分析,並將分析結果再次返回給網路伺服器。
在本步驟中,分析伺服器獲得的訪問請求可以是網路伺服器在執行步驟105的時候非同步發送給分析伺服器,也可以由能夠與分析伺服器進行通信的其他網元向分析伺服器發送訪問請求。
如果由網路伺服器非同步向分析伺服器發送訪問請求,則為了提高發送效率,網路伺服器可以在接收到多個訪問請求後,將其中至少一個未攔截的訪問請求壓縮後發送給分析伺服器。
本實施例二中涉及的訪問請求可以是HTTP請求或是HTTPS請求,分析伺服器對用戶終端是否是惡意訪問終端進行分析的方式包括但不限於以下兩種:
第一種方式:
分析伺服器對接收到的訪問請求主動進行解析,獲得分析資訊,並根據該分析資訊確定發起訪問請求的用戶終端是否是惡意訪問終端。本實施例二中涉及的分析資訊與實施例一中涉及的分析資訊相同,包括IP位址、cookie內容、HTTP標頭的設定欄位標識、GET資料內容和POST資料內容中的一種或多種組合。
第二種方式:
網路伺服器對當前用戶終端發起的訪問請求進行解析,獲得分析資訊,並將分析資訊發送給分析伺服器;分析伺服器根據該分析資訊確定發起該訪問請求的用戶終端是否是惡意訪問終端。
在以上兩種分析方式下,分析伺服器可以按照實施例一中涉及的判斷原則分析確定發起訪問請求的用戶終端是否是惡意訪問終端。
步驟107:分析伺服器將分析結果再次返回給網路伺服器。
步驟108:網路伺服器利用再次接收到的分析結果更新攔截資訊。
此時,用戶終端可以繼續接收用戶終端發起的訪問請求,如果繼續發起訪問請求的用戶終端不是首次發起訪問請求的用戶終端,則網路伺服器可以跳轉執行步驟103;如果繼續發送訪問請求的用戶終端是首次向網路伺服器發起訪問請求的用戶終端,則網路伺服器可以跳轉執行步驟101。
通過實施例二記載的惡意訪問的攔截方法,不僅可以提高了網路伺服器的業務處理回應速度,增強業務伺服器的性能,還通過對訪問請求的應用層解碼實現了對用戶終端的行為進行細粒度的分析,使分析結果更加準確。
下面通過實施例三和實施例四的具體實例對實施例一和實施例二的方案進行詳細說明。
實施例三:
假設本實施例三中分析伺服器使用的分析資訊包括cookie內容,攔截資訊中也包括cookie內容,則當網路伺服器第N(N大於1)次接收用戶終端發起的訪問請求時,本實施例三的方案包括以下步驟:
第一步:網路伺服器解析接收到的訪問請求,將解析出的訪問請求中的cookie內容與攔截資訊中的cookie內容進行比較,如果解析出的cookie內容與攔截資訊中的cookie內容匹配,表示該cookie內容非法,則確定發起該訪問請求的用戶終端是惡意訪問終端,攔截該訪問請求;否則,執行第二步。
在本步驟執行之前,分析伺服器對之前接收到的N-1個訪問請求中的一個或多個訪問請求已進行分析,並在每次分析操作後得到相應的分析結果,網路伺服器根據每次分析後得到的分析結果不斷更新攔截資訊中的內容,因此,當網路伺服器第N次接收到訪問請求時,可以利用不斷更新的攔截資訊對用戶終端是否是惡意訪問終端進行判定。
第二步:網路伺服器對該訪問請求進行業務處理,並將訪問請求非同步發送給分析伺服器。
第三步:分析伺服器在單位時間內從接收到的每個訪問請求中解析出cookie內容,判斷解析出的相同cookie內容的數量是否達到第一門限值;若是,表示發送包含該相同cookie內容的訪問請求的用戶終端是惡意訪問終端,並執行第四步;否則,不確定該用戶終端是惡意訪問終端,跳轉至第一步。
本實施例三中的第一門限值可以根據經驗值設定,也可由管理員根據實際的網路需要手動設置。
第四步:分析伺服器將非法的cookie內容發送給網路伺服器。
第五步:網路伺服器將接收到的cookie內容寫入攔截資訊,得到更新後的攔截資訊,然後跳轉至第一步。如果同一用戶終端再次向網路伺服器發起訪問請求,且訪問請求中的cookie內容與攔截資訊中的cookie內容匹配時,攔截接收到的訪問請求。
通過實施例三的方案,對訪問請求做應用層解析,分析伺服器進行細粒度的用戶行為分析,可以根據不同的網路需求選擇不同的分析資訊,提高對用戶行為分析的準確性。
實施例四:
本實施例四考慮到現有技術中僅採用IP位址進行用戶行為分析時,對於多個用戶終端共用的網路出口,當多個用戶終端同時訪問網路伺服器時,網路伺服器在單位時間內接收到大量的具有相同IP位址的訪問請求,此時將會認為該IP位址為非法,由該IP位址發出的訪問為惡意訪問,導致誤殺網路位址轉換(NAT)出口的問題。對此,本實施例四中假設分析伺服器使用的分析資訊包括IP位址和cookie內容,攔截資訊中也包括IP位址和cookie內容,則當網路伺服器第N(N大於1)次接收用戶終端發起的訪問請求時,本實施例四的方案包括以下步驟:
第一步:網路伺服器解析接收到的訪問請求,將解析出的訪問請求中的IP位址與攔截資訊中的IP位址進行比較,如果解析出的IP位址與攔截資訊中的IP位址匹配,則進一步將解析出的cookie內容與攔截資訊中的cookie內容進行比較,如果解析出的cookie內容仍與攔截資訊中的cookie內容匹配,表示該訪問請求非法,則確定發起該訪問請求的用戶終端是惡意訪問終端,攔截該訪問請求;否則,執行第二步。
第二步:網路伺服器對根據該訪問請求進行業務處理,並將訪問請求非同步發送給分析伺服器。
第三步:分析伺服器在單位時間內從接收到的每個訪問請求中解析出IP位址和cookie內容,在解析出的相同IP位址數量達到第二門限值時,進一步判斷包含該相同IP位址的訪問請求中解析出的相同cookie內容的數量是否達到第三門限值,若是,則確定發送包含該相同cookie內容的訪問請求的用戶終端是惡意訪問終端,跳轉至第四步;否則,跳轉至第一步。
本實施例四中的第二門限值和第三門限值可以根據經驗值設定,也可由管理員根據實際的網路需要手動設置。
第四步:分析伺服器將非法的IP位址和cookie內容發送給網路伺服器。
第五步:網路伺服器將接收到的IP位址和cookie內容寫入攔截資訊,得到更新後的攔截資訊,然後跳轉至第一步。如果同一用戶終端再次向網路伺服器發起訪問請求,且訪問請求中的IP位址和cookie內容與攔截資訊中的IP位址和cookie內容匹配時,攔截接收到的訪問請求。
通過實施例四的方案,豁免了來自NAT出口的合法訪問,減少攔截的誤操作。
本領域內的技術人員應明白,本申請的實施例可提供為方法、系統、或電腦程式產品。因此,本申請可採用完全硬體實施例、完全軟體實施例、或結合軟體和硬體方面的實施例的形式,例如,使用C語言或C++語言達到最佳的實現效果。而且,本申請可採用在一個或多個其中包含有電腦可用程式碼的電腦可用儲存介質(包括但不限於磁盤記憶體、CD-ROM、光學記憶體等)上實施的電腦程式產品的形式。
本申請是參照根據本申請實施例的方法、設備(系統)、和電腦程式產品的流程圖和/或方框圖來描述的。應理解可由電腦程式指令實現流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結合。可提供這些電腦程式指令到通用電腦、專用電腦、嵌入式處理機或其他可編程資料處理設備的處理器以產生一個機器,使得通過電腦或其他可編程資料處理設備的處理器執行的指令產生用於實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。
這些電腦程式指令也可儲存在能引導電腦或其他可編程資料處理設備以特定方式工作的電腦可讀記憶體中,使得儲存在該電腦可讀記憶體中的指令產生包括指令裝置的製造品,該指令裝置實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。
這些電腦程式指令也可裝載到電腦或其他可編程資料處理設備上,使得在電腦或其他可編程設備上執行一系列操作步驟以產生電腦實現的處理,從而在電腦或其他可編程設備上執行的指令提供用於實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。
儘管已描述了本申請的優選實施例,但本領域內的技術人員一旦得知了基本創造性概念,則可對這些實施例作出另外的變更和修改。所以,所附申請專利範圍第意欲解釋為包括優選實施例以及落入本申請專利範圍的所有變更和修改。
顯然,本領域的技術人員可以對本申請進行各種改動和變型而不脫離本申請的精神和範圍。這樣,倘若本申請的這些修改和變型屬於本申請專利範圍第及其等同技術的範圍之內,則本申請也意圖包含這些改動和變型在內。
圖1為本申請實施例一中惡意訪問的攔截系統示意圖;
圖2為本申請實施例二中惡意訪問的攔截方法示意圖。
101~208...步驟
Claims (15)
- 一種惡意訪問的攔截方法,其特徵在於,該方法包括:在網路伺服器根據當前用戶終端發起的訪問請求進行業務處理時,分析伺服器根據當前用戶終端發起的訪問請求對該用戶終端是否是惡意訪問終端進行分析,並將分析結果返回給網路伺服器;在網路伺服器再次接收到該用戶終端發起的訪問請求時,網路伺服器根據攔截資訊判斷該用戶終端是否是惡意訪問終端,其中該攔截資訊中包含惡意訪問終端的屬性資訊,且該攔截資訊是根據該分析伺服器返回的該分析結果確定的,該攔截資訊係儲存在該網路伺服器中;網路伺服器在確定該用戶終端是惡意訪問終端時,攔截當前用戶終端發起的訪問請求;否則,根據該訪問請求進行業務處理。
- 如申請專利範圍第1項所述的方法,其中,該方法還包括:分析伺服器根據再次接收到的訪問請求對該用戶終端是否是惡意訪問終端進行分析,並將分析結果再次返回給網路伺服器;網路伺服器在確定該用戶終端是否是惡意訪問終端之後,該方法還包括:網路伺服器利用再次接收到的分析結果更新攔截資訊。
- 如申請專利範圍第2項所述的方法,其中,分析伺服器對該用戶終端是否是惡意訪問終端進行分析之前,該方法還包括:該網路伺服器將接收到的當前用戶終端發起的訪問請求中至少一個未攔截的訪問請求壓縮後發送給分析伺服器。
- 如申請專利範圍第3項所述的方法,其中,該訪問請求是HTTP請求或HTTPS請求;分析伺服器對該用戶終端是否是惡意訪問終端進行分析,包括:分析伺服器對接收到的訪問請求進行解析,獲得分析資訊;分析伺服器根據該分析資訊確定發起訪問請求的用戶終端是否是惡意訪問終端。
- 如申請專利範圍第2項所述的方法,其中,該訪問請求是HTTP請求或HTTPS請求;分析伺服器對該用戶終端是否是惡意訪問終端進行分析之前,該方法還包括:網路伺服器對當前用戶終端發起的訪問請求進行解析,獲得分析資訊;網路伺服器將分析資訊發送給分析伺服器;分析伺服器對該用戶終端是否是惡意訪問終端進行分析,包括:分析伺服器根據該分析資訊確定發起該訪問請求的用 戶終端是否是惡意訪問終端。
- 如申請專利範圍第5項所述的方法,其中,該分析資訊包括cookie內容;分析伺服器確定發起訪問請求的用戶終端是惡意訪問終端,包括:分析伺服器在單位時間內從接收到的每個訪問請求中解析出cookie內容,在解析出的相同cookie內容的數量達到第一門限值時,確定發送包含該相同cookie內容的訪問請求的用戶終端是惡意訪問終端。
- 如申請專利範圍第5項所述的方法,其中,該分析資訊包括IP位址和cookie內容;分析伺服器確定發起訪問請求的用戶終端是惡意訪問終端,包括:分析伺服器在單位時間內從接收到的每個訪問請求中解析出IP位址和cookie內容,在解析出的相同IP位址數量達到第二門限值時,進一步判斷包含該相同IP位址的訪問請求中解析出的相同cookie內容的數量是否達到第三門限值,若是,則確定發送包含該相同cookie內容的訪問請求的用戶終端是惡意訪問終端。
- 如申請專利範圍第4或5項所述的方法,其中,網路伺服器根據攔截資訊判斷用戶終端是惡意訪問終端,包括:網路伺服器解析當前用戶終端發起的訪問請求,若解析後得到的分析資訊滿足攔截資訊中惡意訪問終端的屬性 資訊時,確定該用戶終端是惡意訪問終端。
- 一種惡意訪問的攔截系統,其特徵在於,該系統包括網路伺服器和攔截伺服器,其中:網路伺服器,用於根據當前用戶終端發起的訪問請求進行業務處理,並根據分析伺服器返回的分析結果確定攔截資訊並儲存在該網路伺服器中,其中該攔截資訊中包含惡意訪問終端的屬性資訊,當再次接收到該用戶終端發起的訪問請求時,根據該攔截資訊判斷該用戶終端是否是惡意訪問終端,在確定該用戶終端是惡意訪問終端時,攔截當前用戶終端發起的訪問請求;否則,根據該訪問請求進行業務處理;分析伺服器,用於根據當前用戶終端發起的訪問請求對該用戶終端是否是惡意訪問終端進行分析,並將分析結果返回給網路伺服器。
- 如申請專利範圍第9項所述的系統,其中,該分析伺服器,還用於根據再次接收到的訪問請求對該用戶終端是否是惡意訪問終端進行分析,並將分析結果再次返回給網路伺服器;該網路伺服器,還用於在確定該用戶終端是否是惡意訪問終端之後,利用再次接收到的分析結果更新攔截資訊。
- 如申請專利範圍第10項所述的系統,其中,該網路伺服器,還用於將接收到的至少一個訪問請求中未攔截的訪問請求壓縮後發送給分析伺服器。
- 如申請專利範圍第11項所述的系統,其中,該分析伺服器,具體用於在該訪問請求是HTTP請求或HTTPS請求時,對接收到的訪問請求進行解析,獲得分析資訊,並根據該分析資訊確定發起訪問請求的用戶終端是否是惡意訪問終端。
- 如申請專利範圍第10項所述的系統,其中,該網路伺服器,還用於在該訪問請求是HTTP請求或HTTPS請求時,對該訪問請求進行解析,獲得分析資訊,並將分析資訊發送給分析伺服器;該分析伺服器,具體用於根據該分析資訊確定發起該訪問請求的用戶終端是否是惡意訪問終端。
- 如申請專利範圍第12或13項所述的系統,其中,該分析伺服器,具體用於在分析資訊包括cookie內容時,在單位時間內從接收到的每個訪問請求中解析出cookie內容,當解析出的相同cookie內容的數量達到第一門限值時,確定發送包含該相同cookie內容的訪問請求的用戶終端是惡意訪問終端。
- 如申請專利範圍第12或13項所述的系統,其中,該分析伺服器,具體用於在分析資訊包括IP位址和cookie內容時,在單位時間內從接收到的每個訪問請求中解析出IP位址和cookie內容,當解析出的相同IP位址數量達到第二門限值時,進一步判斷包含該相同IP位址的 訪問請求中解析出的相同cookie內容的數量是否達到第三門限值,若是,則確定發送包含該相同cookie內容的訪問請求的用戶終端是惡意訪問終端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW099114800A TWI521928B (zh) | 2010-05-10 | 2010-05-10 | Malicious access to intercept methods and systems |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW099114800A TWI521928B (zh) | 2010-05-10 | 2010-05-10 | Malicious access to intercept methods and systems |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201141153A TW201141153A (en) | 2011-11-16 |
| TWI521928B true TWI521928B (zh) | 2016-02-11 |
Family
ID=46760470
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW099114800A TWI521928B (zh) | 2010-05-10 | 2010-05-10 | Malicious access to intercept methods and systems |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI521928B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111935095A (zh) * | 2020-07-15 | 2020-11-13 | 广东电网有限责任公司 | 一种源代码泄露监控方法、装置及计算机存储介质 |
-
2010
- 2010-05-10 TW TW099114800A patent/TWI521928B/zh not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| TW201141153A (en) | 2011-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11122067B2 (en) | Methods for detecting and mitigating malicious network behavior and devices thereof | |
| CN102137059B (zh) | 一种恶意访问的拦截方法和系统 | |
| US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| US10164997B2 (en) | Security verification by message interception and modification | |
| US10270792B1 (en) | Methods for detecting malicious smart bots to improve network security and devices thereof | |
| US10218717B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| US20170085567A1 (en) | System and method for processing task resources | |
| CA3159619C (en) | Packet processing method and apparatus, device, and computer-readable storage medium | |
| CN108833450B (zh) | 一种实现服务器防攻击方法及装置 | |
| KR102118815B1 (ko) | Ip 주소 취득 방법 및 장치 | |
| US11797653B2 (en) | Hash-based dynamic restriction of content on information resources | |
| JP5911431B2 (ja) | 悪意のあるアクセスの遮断 | |
| TWI521928B (zh) | Malicious access to intercept methods and systems | |
| US20210352084A1 (en) | Method and system for improved malware detection | |
| US10992702B2 (en) | Detecting malware on SPDY connections | |
| EP3516541B1 (en) | Deploying countermeasures to hash-based dynamic restriction of content elements on information resources | |
| CN114553529B (zh) | 一种数据处理方法、装置、网络设备及存储介质 | |
| US11785046B1 (en) | System and method for maintaining internet anonymity via client fingerprint | |
| JP5738042B2 (ja) | ゲートウェイ装置、情報処理装置、処理方法およびプログラム | |
| CN107257327B (zh) | 一种高并发ssl会话管理方法 | |
| US20130286887A1 (en) | Communications flow analysis | |
| JP5893787B2 (ja) | 情報処理装置、処理方法およびプログラム | |
| CN116800777A (zh) | 报文处理方法、装置、电子设备及存储介质 | |
| CN114553529A (zh) | 一种数据处理方法、装置、网络设备及存储介质 | |
| CN117811754A (zh) | 一种数据访问方法、装置、存储介质及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |