WO2023045196A1

WO2023045196A1 - 访问请求捕获方法、装置、计算机设备和存储介质

Info

Publication number: WO2023045196A1
Application number: PCT/CN2022/074061
Authority: WO
Inventors: 魏志伟
Original assignee: 苏州浪潮智能科技有限公司
Priority date: 2021-09-26
Filing date: 2022-01-26
Publication date: 2023-03-30
Also published as: CN113572793B; CN113572793A

Abstract

本申请涉及一种访问请求捕获方法、装置、计算机设备和存储介质。前述的方法包括：在接收到当前用户的首次访问请求时，返回会话响应信息，会话响应信息包括存放于不同位置的会话控制标识和辅助认证数据；接收当前用户的当前非首次访问请求；在当前非首次访问请求携带有会话控制标识，且未携带有辅助认证数据时，捕获当前非首次访问请求。

Description

访问请求捕获方法、装置、计算机设备和存储介质

相关申请的交叉引用

本申请要求于2021年9月26日提交中国专利局，申请号为CN202111126065.7，申请名称为“访问请求捕获方法、装置、计算机设备和存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及一种访问请求捕获方法、装置、计算机设备和存储介质。

背景技术

在web(全球广域网)成为主流的网络和应用技术后，web服务器的安全问题便一直成为业界的关注焦点。各地出现的篡改网页、蔓延病毒等网络攻击，给用户和互联网企业造成了重大损失。

目前web防护软件多为数据安全软件与防火墙产品的结合，难以准确识别某个访问行为是否为真实用户的正常访问。这类软件通常基于进程、服务层面对访问行为进行判断，其检测的时间晚，无法有效阻挡病毒程序入侵主机，留下了其它恶意操作可利用的窗口期。

发明内容

本申请实施例提供了一种访问请求捕获方法，包括：

在接收到当前用户的首次访问请求时，返回会话响应信息，会话响应信息包括存放于不同位置的会话控制标识和辅助认证数据；

接收当前用户的当前非首次访问请求；和

在当前非首次访问请求携带有会话控制标识，且未携带有辅助认证数据时，捕获当前非首次访问请求。

在其中一个实施例中，访问请求捕获方法还包括：

在当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据时，判断当前非首次访问请求调用的API接口与预设的诱捕API接口是否一致；和

在所述当前非首次访问请求调用的API接口与预设的诱捕API接口一致时，捕获当前非首次访问请求。

在其中一个实施例中，访问请求捕获方法还包括：

在当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据时，判断当前非首次访问请求携带的时间戳所对应的时间是否发生前移；和

在当前非首次访问请求携带的时间戳所对应的时间发生前移时，捕获当前非首次访问请求。

在其中一个实施例中，访问请求捕获方法还包括：

在当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据时，判断当前非首次访问请求携带的请求数据与预设的诱捕数据是否一致；和

在所述当前非首次访问请求携带的请求数据与预设的诱捕数据一致时，捕获当前非首次访问请求。

在其中一个实施例中，访问请求捕获方法还包括：

在当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据时，判断当前非首次访问请求是否指示调用预设的虚假数据库的认证接口；和

在所述当前非首次访问请求指示调用预设的虚假数据库的认证接口时，捕获当前非首次访问请求。

在其中一个实施例中，访问请求捕获方法还包括：

在当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据时，根据预设的执行顺序，执行以下的判断步骤：

判断当前非首次访问请求调用的API接口与预设的诱捕API接口是否一致，

判断当前非首次访问请求携带的时间戳所对应的时间是否发生前移，

判断当前非首次访问请求携带的请求数据与预设的诱捕数据是否一致，

判断当前非首次访问请求是否指示调用预设的虚假数据库的认证接口；

在以上任一判断步骤的结果为是时，停止执行后续的判断步骤，捕获当前非首次访问请求；和

在捕获当前非首次访问请求时，执行恶意请求处理操作。

在其中一个实施例中，执行恶意请求处理操作，包括：

确定当前非首次访问请求对应的恶意访问等级，并更新与当前用户对应的恶意访问数据，恶意访问数据用于记录不同恶意访问等级对应的恶意访问次数；和

在任一恶意访问等级对应的恶意访问次数达到相应的预设阈值时，执行限制访问操作。

本申请实施例还提供了一种访问请求捕获装置，包括：

响应模块，用于在接收到当前用户的首次访问请求时，返回会话响应信息，会话响应信息包括存放于不同位置的会话控制标识和辅助认证数据；

后续请求接收模块，用于接收当前用户的当前非首次访问请求；

捕获模块，用于在当前非首次访问请求携带有会话控制标识，且未携带有辅助认证数据时，捕获当前非首次访问请求。

本申请实施例还提供了一种计算机设备，包括存储器及一个或多个处理器，存储器中储存有计算机可读指令，计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行前述任一实施例中访问请求捕获方法的步骤。

本申请实施例还提供了一个或多个存储有计算机可读指令的非易失性计算机可读存储介质，计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行前述任一实施例中访问请求捕获方法的步骤。

附图说明

图1为根据一个或多个实施例中访问请求捕获方法的应用环境图；

图2为根据一个或多个实施例中访问请求捕获方法的流程示意图；

图3为根据一个或多个实施例中访问请求捕获装置的结构框图；

图4为根据一个或多个实施例中计算机设备的内部结构图。

具体实施方式

为了使本申请实施例的技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请实施例提供的访问请求捕获方法，可以应用于如图1所示的应用环境中。其中，服务器101可以与终端102通过网络进行通信。服务器101可以接收来自终端102的首次访问请求，并返回会话响应信息。其中，服务器101可以用独立的服务器或者是多个服务器组成的服务器集群来实现，终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备。

在一些实施例中，如图2所示，提供了一种访问请求捕获方法，以该方法应用于图1中的服务器101为例进行说明，包括以下步骤：

步骤S201，在接收到当前用户的首次访问请求时，返回会话响应信息；会话响应信息包括存放于不同位置的会话控制标识和辅助认证数据；

步骤S202，接收当前用户的当前非首次访问请求；

步骤S203，在当前非首次访问请求携带有会话控制标识，且未携带有辅助认证数据时，捕获当前非首次访问请求。

本申请实施例提供的访问请求捕获方法，在服务器101接收来自终端102的首次访问请求时，创建与当前用户对应的会话控制标识和辅助认证数据，且将会话控制标识和辅助认证数据设置在会话响应消息中的不同位置，使得多数的网络窃听难以获取服务器101所需的完整的认证信息。在后续接收到当前非首次访问请求时，结合会话控制标识和辅助认证数据对当前非首次访问请求的内容进行综合认证，提高了网络通信的安全度。即使会话控制标识被泄露或被破解，网络攻击者按照常规的方式发起会话控制标识认证，由于未能提供辅助认证数据，也将难以通过检测，难以取得网站资源的访问权限。

关于当前用户。步骤S201中的当前用户，通常指当下正在访问web网站的用户，对于服务器101而言，在一次会话中，接收到的多个访问请求如果是来自同一用户账户，则可以将这些访问请求的发送方视为同一当前用户。

关于首次访问请求。当前用户的首次访问请求，是指在一次会话中，来自当前用户的第一次访问请求。在传统技术中，web服务器会根据用户在一次会话过程中的第一次访问请求，为该会话过程和用户创建一个会话控制标识，并返回给用户所在的客户端，用户只需登录一次网站，在本次会话过程中，可以凭借该会话控制标识不断访问需要登录后才能访问的网站资源。不同于传统技术的是，本申请实施例的服务器101给终端102返回的会话响应信息中，除了会话控制标识，还有辅助认证数据，这使得后续服务器101对每次的访问请求的认证方式不一样。

在一些实施例中，会话响应信息中的会话控制标识为session ID(会话控制身份标识号)。一般来说，服务器101在接收到当前用户的首次访问请求之后，会为当前用户创建一个session(会话控制)对象，每个session对象都拥有一个唯一的session ID，这样保证当前用户与其session对象是唯一对应的。通常地，一个session对象可以是服务器101创建的一块内存。

一般来说，当前用户通过浏览器访问网站资源，且浏览器支持使用cookie(网络饼干，一种web技术)数据时，session ID一般会被设置在cookie数据中的某个位置。服务器101和终端102之间可以通过cookie数据的传递，来传递session ID。当然，还可以采用其他技术来传递session ID，例如，可以通过URL(Uniform Resource Locator，统一资源定位器)重写的方式来实现，在此不作展开。多数网络攻击者，会利用session ID传递和认证的机制，窃听session ID或暴力破解session ID，例如通过获取cookie数据而获得session ID，此时，在当前用户登录后，网络攻击者可能会将通过非法手段获取到的session ID写入访问请求中，将访问请求发送给服务器101以访问网站资源。本申请实施例的会话响应信息将session ID和辅助认证数据设置在不同的位置，例如将session ID设置在cookie数据中，将辅助认证数据设置在cookie数据所在的文本位置以外，使网络攻击者难以确定正确的访问请求应当携带哪些认证数据。

在一些实施例中，可以在会话响应信息的响应头部中的不同位置，设置辅助认证数据。一般来说，会话响应信息可以包括响应行、响应头部和响应体，响应行可以包括通信协议版本、状态码等数据，响应头部可以包括Server(服务器类型)、Date(时间)、Content-Type(文件类型)、Cache-Control(缓存控制)、Set-cookie(设置cookie)等多个字段，响应体可以包括当前用户希望访问的各类资源数据。可见响应头部有可以有多个不同字段，而辅助认证数据可以是多个字段对应的字段值。甚至，响应头部还可以包括由服务器101写入的新字段，这些新字段的字段值属于辅助认证数据的一部分。可见，辅助认证数据，既可以是一个字段的字段值，也可以是多个字段的字段值，甚至，辅助认证数据还可以是一个字段的字段值中的指定位数的字符，因此辅助认证数据的具体格式，可以是多样的。

关于非首次访问请求。为将后续的访问请求区别于首次访问请求，引入非首次访问请求的概念。非首次访问请求是指服务器101在接收来自当前用户的首次访问请求后，接收到的来自当前用户的至少一部分的其他访问请求。通常，在首次访问请求之后，接收到的请求访问网站资源、请求更改资源属性或请求更改权限等访问请求，都可以被视为非首次访问请求。有一些可能被视为不存在网络安全风险的请求，例如关于结束会话方面的请求，可以不视为非首次访问请求。

在一些情况下，当前用户所对应的账号可能会被盗取，当前用户对应的终端102可能会被网络攻击者控制，从而服务器101会接收到以当前用户的名义发出、实则由网络攻击者改写的访问请求，这些也被视为当前用户的非首次访问请求。当然，不排除首次访问请求也是由网络攻击者设计而发出的，此时当前用户则可以指网络攻击者控制的终端102的用户。无论如何，非首次访问请求的数量可以是一个或更多。而步骤S202中的当前非首次访问请求，是指服务器101在当前接收到的非首次访问请求。

关于对当前非首次访问请求的捕获。步骤S203指出，在当前非首次访问请求携带有会话控制标识，且未携带有辅助认证数据时，则捕获当前非首次访问请求。该步骤表示，服务器101识别出当前非首次访问请求是恶意请求，捕获该恶意请求可以使得服务器101避免遭受进一步的网络攻击。通常，捕获恶意请求后，可以采取不予响应的方式，也可以采取提供价值较低、无效或虚假数据的方式予以响应，也可以返回警告信息等，在此不作过多展开。

在一些实施例中，步骤S201可以包括：接收当前用户的首次访问请求，返回会话响应信息。步骤S203可以包括：响应于当前非首次访问请求携带有会话控制标识，且未携带有辅助认证数据，捕获当前非首次访问请求。

以上为对步骤S201、步骤S202和步骤S203涉及的思路和重要概念作出的主要说明。

在一些实施例中，访问请求捕获方法还包括：

在当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据时，判断当前非首次访问请求调用的API(Application Programming Interface，应用程序接口)接口与预设的诱捕API接口是否一致；

若是，则捕获当前非首次访问请求。

具体地，访问请求捕获方法可以包括：

响应于当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据，判断当前非首次访问请求调用的API接口与预设的诱捕API接口是否一致；响应于当前非首次访问请求调用的API接口与预设的诱捕API接口一致，捕获当前非首次访问请求。

服务器101可以定义一些核心API接口的调用方式。传统技术中，常规的API接口字段包括delete(删除)、update(更新)、get(获取)和push(推送)等，一般情况下，客户端向服务器发送的访问请求中会携带API接口的字段，并请求服务器进行相应的操作，例如delete对应的操作为“删除数据”。通常，网络攻击者会按照这些API接口类型的通常用法，发送非首次访问请求，但是，服务器101可以将某些通用的API接口所对应的功能进行改变，或取消某些API接口的功能，使API接口的调用方式发生变化，此时网络攻击者不容易知悉服务器101核心API接口的调用方式。例如，请求服务器101执行“删除数据”的操作，服务器101定义了该操作对应的API接口的字段为shanchu，而并非delete；相反，服务器101将delete字段对应的API接口为诱捕API接口；若服务器101接收到的当前非首次访问请求中，带有delete字段，则可以认为当前非首次访问请求中，携带了不应该有的API接口字段，其携带的API接口与诱捕API接口是一致的，此时，可以对当前非首次访问请求进行捕获。

具体地，服务器101可以利用REST(Representational State Transfer，表现层状态转移)技术实现核心API接口的隐藏调用和设置诱捕API接口。

在服务器101判断当前非首次访问请求调用的API接口与预设的诱捕API接口不一致时，则不在该环节中进行捕获。服务器101可以设置一个或更多的诱捕API接口，具体可以根据实际需要而定。

在一些实施例中，访问请求捕获方法还包括：

在当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据时，判断当前非首次访问请求携带的时间戳所对应的时间是否发生前移；

若是，则捕获当前非首次访问请求。

具体地，访问请求捕获方法可以包括：

响应于当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据，判断当前非首次访问请求携带的时间戳所对应的时间是否发生前移；响应于当前非首次访问请求携带的时间戳所对应的时间发生前移，捕获当前非首次访问请求。

一般来说，网络攻击者可能会将服务器101已经接收过的访问请求再次发送给服务器101，以企图达到欺骗服务器101的目的，该手段主要用于身份认证过程，破坏认证的正确性。对于这种重放攻击，可以通过时间戳验证机制进行识别。具体地，服务器101可以对当前用户发送的首次访问请求和非首次访问请求所携带的时间戳进行存储，每次保存该当前用户最近发来的访问请求所携带的时间戳。在下一时刻，接收到当前非首次访问请求时，可以将当前非首次访问请求携带的时间戳与保存的上一次发来的访问请求所携带的时间戳进行比对，若当前非首次访问请求携带的时间戳对应的时间等于或早于上一次发来的访问请求所携带的时间戳所对应的时间，则认定当前非首次访问请求携带的时间戳所对应的时间发生前移，将当前非首次访问请求视为恶意请求，对当前非首次访问请求进行捕获。若当前非首次访问请求携带的时间戳所对应的时间不发生前移，则不在该环节中进行捕获。

在一些实施例中，访问请求捕获方法还包括：

在当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据时，判断当前非首次访问请求携带的请求数据与预设的诱捕数据是否一致；

若是，则捕获当前非首次访问请求。

具体地，访问请求捕获方法可以包括：

确定当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据；判断当前非首次访问请求携带的请求数据与预设的诱捕数据是否一致；响应于当前非首次访问请求携带的请求数据与预设的诱捕数据一致，捕获当前非首次访问请求。

前文提及，会话响应信息可以包括响应行、响应头部和响应体，同理，当前非首次访问请求也可以包括请求行、请求头部和请求体。一般来说，上述当前非首次访问请求携带的请求数据，其位置一般在请求体中。判断当前非首次访问请求携带的请求数据与预设的诱捕数据是否一致，具体可以是判断请求数据中的用户名与预设的诱捕数据中的用户名是否一致；当然，还可以判断请求数据中的其他位置字符与诱捕数据中的预设字符是否一致，在此不作过多展开。

以用户名比对作为例子，诱捕数据可以预设为username＝test，password＝123456。事实上，正常认证用户的用户名中，并不存在test。此时，若接收到的当前非首次访问请求中，携带了username＝test，则可视为当前非首次访问请求是通过非正常手段发起的请求，可以执行对当前非首次访问请求的捕获。

若当前非首次访问请求携带的请求数据与预设的诱捕数据不是一致的，则不在该环节中进行捕获。

在一些实施例中，访问请求捕获方法还包括：

在当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据时，判断当前非首次访问请求是否指示调用预设的虚假数据库的认证接口；

若是，则捕获当前非首次访问请求。

具体地，访问请求捕获方法可以包括：

响应于当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据；判断当前非首次访问请求是否指示调用预设的虚假数据库的认证接口；响应于当前非首次访问请求指示调用预设的虚假数据库的认证接口，捕获当前非首次访问请求。

服务器101还可以主动将虚假数据库的登录端口、登录账号和登录密码进行散发，以使网络攻击者从服务器101返回的多次会话响应信息或其他途径获悉。该虚假数据库的认证接口是预设的，该虚假数据库中的数据可以是没有价值的。此时，若当前非首次访问请求中，携带了这些登录端口、登录账号和登录密码信息，指示调用虚假数据库的认证接口，企图对数据库进行非法访问或进行非法操作，则捕获当前非首次访问请求。这种方式，能辅助对当前用户的会话是否异常进行判断。若当前非首次访问请求没有指示调用预设的虚假数据库的认证接口，则不执行捕获。

在一些实施例中，访问请求捕获方法还包括：

在以上任一判断步骤的结果为是时，停止执行后续的判断步骤，捕获当前非首次访问请求，并执行恶意请求处理操作。

具体地，访问请求捕获方法可以包括：

响应于当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据；

根据预设的执行顺序，执行以下的判断步骤：

响应于以上任一判断步骤的结果为是，停止执行后续的判断步骤，捕获当前非首次访问请求，并执行恶意请求处理操作。

对于当前用户的访问请求，除确认是否同时携带有会话控制标识和辅助认证数据时之外，还设置多个判断步骤，相当于设置了识别恶意请求的多道关卡，弥补了现有诱捕技术的局限性，使诱饵立体化散布，从而更好地作用于整个web系统。

需要注意的是，前述的判断步骤有四个，分别是：

(1)判断当前非首次访问请求调用的API接口与预设的诱捕API接口是否一致；

(2)判断当前非首次访问请求携带的时间戳所对应的时间是否发生前移；

(3)判断当前非首次访问请求携带的请求数据与预设的诱捕数据是否一致；

(4)判断当前非首次访问请求是否指示调用预设的虚假数据库的认证接口。

虽然判断步骤有四个，但对于某个当前非首次访问请求，并不一定需要全部地执行四个判断步骤，如果在其中一个判断步骤中，获得的判断结果为“是”,则说明当前非首次访问请求为恶意请求，此时捕获当前非首次访问请求，并执行恶意请求处理操作，其余未执行的判断步骤则不再执行。这样节省了服务器101的数据处理量，也提高了恶意请求识别的效率。

关于前述判断步骤的预设的执行顺序，可以根据实际需要进行调整。

一些实施例中，一种访问请求捕获方法，包括以下步骤：

在接收到当前用户的首次访问请求时，返回会话响应信息；

接收当前用户的当前非首次访问请求；

在当前非首次访问请求携带有会话控制标识，且未携带有辅助认证数据时，捕获当前非首次访问请求；

在当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据时，判断当前非首次访问请求调用的API接口与预设的诱捕API接口是否一致，若是，则捕获当前非首次访问请求，并执行恶意请求处理操作，

若不是，则判断当前非首次访问请求携带的时间戳所对应的时间是否发生前移，若是，则捕获当前非首次访问请求，并执行恶意请求处理操作，

若不是，则判断当前非首次访问请求携带的请求数据与预设的诱捕数据是否一致，若是，则捕获当前非首次访问请求，并执行恶意请求处理操作，

若不是，则判断当前非首次访问请求是否指示调用预设的虚假数据库的认证接口；若是，则捕获当前非首次访问请求，并执行恶意请求处理操作，若不是，则根据当前非首次访问请求返回对应的响应信息。

在一些实施例中，执行恶意请求处理操作的步骤包括：

确定当前非首次访问请求对应的恶意访问等级，并更新与当前用户对应的恶意访问数据，恶意访问数据用于记录不同恶意访问等级对应的恶意访问次数；

前述的恶意访问数据其形式可以表现为表格。在一些更具体的情况下，恶意访问等级可以设置为三个级别，当前非首次访问请求若被捕获，则可以被归类为以下三种恶意访问请求中的一种：

(1)一级恶意访问请求：当前非首次访问请求携带的时间戳所对应的时间发生前移；

(2)二级恶意访问请求：当前非首次访问请求调用的API接口与预设的诱捕API接口一致，或当前非首次访问请求携带的请求数据与预设的诱捕数据一致，或当前非首次访问请求指示调用预设的虚假数据库的认证接口；

(3)三级恶意访问请求：当前非首次访问请求携带有会话控制标识，且未携带有辅助认证数据。

每一种访问请求对应于一个恶意访问等级。在任一恶意访问等级对应的恶意访问次数达到相应的预设阈值时，执行限制访问操作。一般来说，新接收当前用户的一个恶意访问请求，可视为当前用户的恶意访问次数增加一次。

每一恶意访问等级可以对应地设置一个或多个预设阈值，相当于每一恶意访问请求出现的次数可以对应地设置一个或多个阈值，达到预设阈值时，执行限制访问操作。限制访问操作的方式包括登出账户或封禁IP(Internet Protocol，互联网协议)地址等，在此不作过多限制。

例如，对于一级恶意访问请求，在当前用户一级恶意访问请求的次数为1时，服务器101返回警告信息，在当前用户一级恶意访问请求的次数为10-50时，服务器101执行登出操作，在当前用户一级恶意访问请求的次数大于50时，服务器101执行封禁当前用户的IP地址的操作。

对于二级恶意访问请求，当前用户二级恶意访问请求的次数为1时，服务器101执行登出操作，在当前用户二级恶意访问请求的次数大于10时，服务器101执行封禁当前用户的IP地址的操作。

对于三级恶意访问请求，当前用户三级恶意访问请求的次数为1时，服务器101执行封禁当前用户的IP地址的操作。

另外，服务器101可以将不同用户的恶意访问数据进行备份，通过获取多个用户的恶意访问数据，统计不同恶意访问等级对应的恶意访问次数，根据统计结果，确定前述的四个判断步骤的执行顺序；例如一级恶意访问请求、二级恶意访问请求和三级恶意访问请求中，一级恶意访问请求对应的恶意访问总次数是最多时，将用于判断一级恶意访问请求的判断步骤的执行顺序设置为最先执行；二级恶意访问请求对应的恶意访问总次数相对较小时，将用于判断二级恶意访问请求的判断步骤的执行顺序设置为较晚执行。二级恶意访问请求中，有多个判断步骤，也可以根据统计结果，以对应的恶意访问请求次数作为排序依据，确定二级恶意访问请求中，不同判断步骤的执行顺序。

另外，还可以设置动态统计时段，根据每一动态动机时段获得的统计结果，更新四个判断步骤的执行顺序。例如，可以将一年的四个季度分别设置为四个动态统计时段，根据每一季的统计结果，更新四个判断步骤的执行顺序。

应该理解的是，虽然图2的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。而且，图2中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。另外，本申请实施例提及的其他步骤，除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。

在一些实施例中，如图3所示，提供了一种访问请求捕获装置300，包括：

响应模块301，用于在接收到当前用户的首次访问请求时，返回会话响应信息；会话响应信息包括存放于不同位置的会话控制标识和辅助认证数据；

后续请求接收模块302，用于接收当前用户的当前非首次访问请求；

捕获模块303，用于在当前非首次访问请求携带有会话控制标识，且未携带有辅助认证数据时，捕获当前非首次访问请求。

在一些实施例中，响应模块301用于接收当前用户的首次访问请求，返回会话响应信息；捕获模块303用于响应于当前非首次访问请求携带有会话控制标识，且未携带有辅助认证数据，捕获当前非首次访问请求。

在一些实施例中，访问请求捕获装置300还包括API诱捕模块(未图示)，API诱捕模块用于在当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据时，判断当前非首次访问请求调用的API接口与预设的诱捕API接口是否一致，若是，则捕获当前非首次访问请求。

在一些实施例中，API诱捕模块用于响应于当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据，判断当前非首次访问请求调用的API接口与预设的诱捕API接口是否一致，响应于当前非首次访问请求调用的API接口与预设的诱捕API接口一致，捕获当前非首次访问请求。

在一些实施例中，访问请求捕获装置300还包括重放诱捕模块(未图示)，重放诱捕模块用于在当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据时，判断当前非首次访问请求携带的时间戳所对应的时间是否发生前移，若是，则捕获当前非首次访问请求。

在一些实施例中，重放诱捕模块用于响应于当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据，判断当前非首次访问请求携带的时间戳所对应的时间是否发生前移，响应于当前非首次访问请求携带的时间戳所对应的时间发生前移，捕获当前非首次访问请求。

在一些实施例中，访问请求捕获装置300还包括数据诱捕模块(未图示)，数据诱捕模块用于在当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据时，判断当前非首次访问请求携带的请求数据与预设的诱捕数据是否一致，若是，则捕获当前非首次访问请求。

在一些实施例中，数据诱捕模块用于响应于当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据，判断当前非首次访问请求携带的请求数据与预设的诱捕数据是否一致，响应于当前非首次访问请求携带的请求数据与预设的诱捕数据一致，捕获当前非首次访问请求。

在一些实施例中，访问请求捕获装置300还包括数据库诱捕模块(未图示)，数据库诱捕模块用于在当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据时，判断当前非首次访问请求是否指示调用预设的虚假数据库的认证接口，若是，则捕获当前非首次访问请求。

在一些实施例中，数据库诱捕模块用于响应于当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据，判断当前非首次访问请求是否指示调用预设的虚假数据库的认证接口，响应于当前非首次访问请求指示调用预设的虚假数据库的认证接口，捕获当前非首次访问请求。

在一些实施例中，访问请求捕获装置300还包括：

判断步骤执行控制模块(未图示)，用于在当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据时，根据预设的执行顺序，执行以下的判断步骤：

判断结果处理模块(未图示)，用于在以上任一判断步骤的结果为是时，停止执行后续的判断步骤，捕获当前非首次访问请求；

恶意请求处理模块(未图示)，用于在捕获当前非首次访问请求时，执行恶意请求处理操作。

在一些实施例中，判断步骤执行控制模块用于响应于当前非首次访问请求携带有会话控制标识，且携带有辅助认证数据，根据预设的执行顺序，执行以下的判断步骤：

判断当前非首次访问请求是否指示调用预设的虚假数据库的认证接口。

判断结果处理模块用于响应于以上任一判断步骤的结果为是，停止执行后续的判断步骤，捕获当前非首次访问请求。

在一些实施例中，恶意请求处理模块包括：

恶意访问等级确定单元，用于确定当前非首次访问请求对应的恶意访问等级，并更新与当前用户对应的恶意访问数据；恶意访问数据用于记录不同恶意访问等级对应的恶意访问次数；

限制访问操作单元，用于在任一恶意访问等级对应的恶意访问次数达到相应的预设阈值时，执行限制访问操作。

在一些实施例中，限制访问操作单元用于响应于任一恶意访问等级对应的恶意访问次数达到相应的预设阈值，执行限制访问操作。

关于访问请求捕获装置的具体限定可以参见上文中对于访问请求捕获方法的限定，在此不再赘述。上述访问请求捕获装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一些实施例中，本申请实施例提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图4所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机可读指令和数据库。该内存储器为非易失性存储介质中的操作系统和计算机可读指令的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机可读指令被处理器执行时以实现一种访问请求捕获方法。

本领域技术人员可以理解，图4中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一些实施例中，本申请实施例提供的一种计算机设备，包括存储器及一个或多个处理器，存储器中储存有计算机可读指令，计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行前述任一实施例中访问请求捕获方法的步骤。

在一些实施例中，本申请实施例提供了一个或多个存储有计算机可读指令的非易失性计算机可读存储介质，计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行前述任一实施例中访问请求捕获方法的步骤。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机可读指令来指令相关的硬件来完成，前述的计算机可读指令可存储于一非易失性计算机可读取存储介质中，该计算机可读指令在执行时，可包括如上述各方法的实施例的流程。其中，本申请实施例所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限，RAM以多种形式可得，诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims

一种访问请求捕获方法，其特征在于，包括：

在接收到当前用户的首次访问请求时，返回会话响应信息，所述会话响应信息包括存放于不同位置的会话控制标识和辅助认证数据；

接收所述当前用户的当前非首次访问请求；和

在所述当前非首次访问请求携带有所述会话控制标识，且未携带有所述辅助认证数据时，捕获所述当前非首次访问请求。
根据权利要求1所述的方法，其特征在于，还包括：

在所述当前非首次访问请求携带有所述会话控制标识，且携带有所述辅助认证数据时，判断所述当前非首次访问请求调用的API接口与预设的诱捕API接口是否一致；和

在所述当前非首次访问请求调用的API接口与预设的诱捕API接口一致时，捕获所述当前非首次访问请求。
根据权利要求1所述的方法，其特征在于，还包括：

在所述当前非首次访问请求携带有所述会话控

制标识，且携带有所述辅助认证数据时，判断所述当前非首次访问请求携带的时间戳所对应的时间是否发生前移；和

在发生前移时，捕获所述当前非首次访问请求。
根据权利要求1所述的方法，其特征在于，还包括：

在所述当前非首次访问请求携带有所述会话控制标识，且携带有所述辅助认证数据时，判断所述当前非首次访问请求携带的请求数据与预设的诱捕数据是否一致；和

在所述当前非首次访问请求携带的请求数据与预设的诱捕数据一致时，捕获所述当前非首次访问请求。
根据权利要求1所述的方法，其特征在于，还包括：

在所述当前非首次访问请求携带有所述会话控制标识，且携带有所述辅助认证数据时，判断所述当前非首次访问请求是否指示调用预设的虚假数据库的认证接口；和

在所述当前非首次访问请求指示调用预设的虚假数据库的认证接口时，捕获所述当前非首次访问请求。
根据权利要求1所述的方法，其特征在于，还包括：

在所述当前非首次访问请求携带有所述会话控制标识，且携带有所述辅助认证数据时，根据预设的执行顺序，执行以下的判断步骤：

判断所述当前非首次访问请求调用的API接口与预设的诱捕API接口是否一致，

判断所述当前非首次访问请求携带的时间戳所对应的时间是否发生前移，

判断所述当前非首次访问请求携带的请求数据与预设的诱捕数据是否一致，

判断所述当前非首次访问请求是否指示调用预设的虚假数据库的认证接口；

在以上任一判断步骤的结果为是时，停止执行后续的判断步骤，捕获所述当前非首次访问请求；和

在捕获所述当前非首次访问请求时，执行恶意请求处理操作。
根据权利要求6所述的方法，其特征在于，所述执行恶意请求处理操作，包括：

确定所述当前非首次访问请求对应的恶意访问等级，并更新与所述当前用户对应的恶意访问数据，所述恶意访问数据用于记录不同恶意访问等级对应的恶意访问次数；和

在任一所述恶意访问等级对应的恶意访问次数达到相应的预设阈值时，执行限制访问操作。
一种访问请求捕获装置，其特征在于，包括：

响应模块，用于在接收到当前用户的首次访问请求时，返回会话响应信息，所述会话响应信息包括存放于不同位置的会话控制标识和辅助认证数据；

后续请求接收模块，用于接收所述当前用户的当前非首次访问请求；和

捕获模块，用于在所述当前非首次访问请求携带有所述会话控制标识，且未携带有所述辅助认证数据时，捕获所述当前非首次访问请求。
一种计算机设备，其特征在于，包括存储器及一个或多个处理器，所述存储器中储存有计算机可读指令，所述计算机可读指令被所述一个或多个处理器执行时，使得所述一个或多个处理器执行如权利要求1至7中任一项所述方法的步骤。
一个或多个存储有计算机可读指令的非易失性计算机可读存储介质，其特征在于，所述计算机可读指令被一个或多个处理器执行时，使得所述一个或多个处理器执行如权利要求1至7中任一项所述的方法的步骤。