CN106453266A - 一种异常网络请求检测方法与装置 - Google Patents
一种异常网络请求检测方法与装置 Download PDFInfo
- Publication number
- CN106453266A CN106453266A CN201610835839.6A CN201610835839A CN106453266A CN 106453266 A CN106453266 A CN 106453266A CN 201610835839 A CN201610835839 A CN 201610835839A CN 106453266 A CN106453266 A CN 106453266A
- Authority
- CN
- China
- Prior art keywords
- information
- network request
- feature
- user agent
- page link
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种异常网络请求检测方法与装置,用以解决现有技术中的异常网络请求检测方法的安全防御等级较低的问题。该方法包括:接收网络请求;获取所述网络请求中包含的用户代理信息和/或跳转页面链接信息;判断所述网络请求中包含的用户代理信息和/或跳转页面链接信息的特征是否符合预设特征;若不符合,则判定所述网络请求为异常网络请求。
Description
技术领域
本申请涉及安全防御技术领域,尤其涉及一种异常网络请求检测方法与装置。
背景技术
随着互联网技术的发展,互联网充斥在人类生活的方方面面,为人类工作与生活带来了便利。但是互联网给人类带来便利的同时,也给人类带来了安全隐患,比如,用户的账号存在被盗风险。那么为了防止用户账户被盗,检查出当前的网络请求是否是异常网络请求,即网络攻击者用于盗号的网络请求(后称盗号请求),相当重要。
在实际应用中,网络攻击者一般采用撞库扫号这一盗号方法来盗号。其中,撞库扫号这一方法,就是先收集在网络上已泄露的用户名与密码(后称已知用户名和密码)等信息,在一些网站逐个“试”着登录,即向服务器发送盗号请求,最终“撞大运”地“试”出一些可以登录的用户名与密码(后称可用用户名和密码)的方法。
其中,网络攻击者采用撞库扫号这一盗号方法来盗号时,为了尽可能快速的获取到可用用户名与密码,便会事先编写好脚本,以使得同一终端设备能够自动、高频的向服务器发送盗号请求。该些盗号请求的发起频率远大于用户正常网络请求发起频率。并且,利用已知用户名和密码,在一些网站上尝试登录的结果的失败率,即已知用户名和密码并非为可用用户名与密码的概率,相较于用户发起的正常网络请求的失败率要高得多。另外,用户在一个网站中一般只有一个账户名,若一个终端设备向服务器发送的网络请求(后称网络请求),对应着不同的用户名,表明该些网络请求有可能是异常网络请求。
根据撞库扫号这一盗号方法体现出的上述特点,可以针对同一互联网协议地址(Internet Protocol Address,IP地址)下的网络请求,分别判断该些网络请求的发起频率以及失败率,是否大于预设频率以及第一预设失败率,若判断结果均为是,则判定该些网络请求为异常网络请求;否则,则判断该些网络请求为正常网络请求。
或者,针对同一互联网协议地址(Internet Protocol Address,IP地址)下的网络请求,判断该些网络请求对应的用户名的数量,是否大于预设用户名数量,若不大于预设用户名数量,则判定该些网络请求为正常网络请求;若大于预设用户名数量,则进一步判断该些网络请求对应的失败率是否大于第二预设失败率,若大于第二预设失败率,则判断该些网络请求为异常网络请求,若不大于第二预设失败率,则判断该些网络请求为正常网络请求。
但是,上述两种检测方法存在一个弊端,即安全防御等级不高,网络攻击者比较容易绕过上述两种检测方法的检测。因为上述两种检测方法的检测原理均是:若网络请求对应的某一数值超过预设阈值,便将该网络请求判定为异常网络请求。那么网络攻击者在进行多次尝试之后,便可摸索出预设阈值,将网络请求对应的相应数值控制在预设阈值之内,便可绕过上述两种检测方法的检测。
发明内容
本申请实施例提供一种异常网络请求检测方法与装置,用以解决现有技术中的异常网络请求检测方法的安全防御等级较低的问题。
本申请实施例采用下述技术方案:
一种异常网络请求检测方法,包括:
接收网络请求;
获取所述网络请求中包含的用户代理信息和/或跳转页面链接信息;
判断所述网络请求中包含的用户代理信息和/或跳转页面链接信息的特征是否符合预设特征;
若不符合,则判定所述网络请求为异常网络请求。
一种异常网络请求检测装置,包括:
接收模块,用于接收网络请求;
获取模块,用于获取所述网络请求中包含的用户代理信息和/或跳转页面链接信息;
预设特征判断模块,用于判断所述网络请求中包含的用户代理信息和/或跳转页面链接信息的特征是否符合预设特征;
异常网络请求判定模块,用于若所述预设特征判断模块判断出所述网络请求中包含的用户代理信息和/或跳转页面链接信息的特征不符合预设特征,则判定所述网络请求为异常网络请求。
本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
本申请实施例提供的异常网络检测方法,通过在接收到网络请求后,获取该网络请求中包含的用户代理信息和/或跳转页面链接信息,并判断该网络请求中包含的用户代理信息和/或跳转页面链接信息的特征是否符合预设特征,来判定该网络请求是否为异常网络请求。若该网络请求中包含的用户代理信息和/或跳转页面链接信息的特征不符合预设特征,则判定该网络请求为异常网络请求。
与现有技术中的异常网络请求检测方法相比,本申请实施例提供的异常网络请求检测方法,是根据网络请求中包含的字符串的特征来判断接收到的网络请求是否是异常网络请求的,并没有涉及到预设阈值这一参数,那么,网络攻击者通过多次尝试,也无法获取到关于预设阈值的相关信息,因而便无法通过控制网络请求对应的某一数值来绕过本申请实施例提供的异常网络请求检测方法的检测。因此,本申请实施例提供的异常网络请求检测方法,能够解决现有技术中的异常网络请求检测方法的安全防御等级较低的问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例提供的一种异常网络请求检测方法的具体流程示意图;
图2为本申请实施例提供的一种异常网络请求检测装置的示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
以下结合附图,详细说明本申请实施例提供的技术方案。
为了解决现有技术中的异常网络请求检测方法的安全防御等级较低的问题,本申请实施例提供一种异常网络请求检测方法。
为便于描述,下文以该方法的执行主体为服务器为例,对该方法的实施方式进行介绍。可以理解,该方法的执行主体为服务器只是一种示例性的说明,并不应理解为对该方法的限定。
该方法的具体流程示意图如图1所示,包括下述步骤:
步骤101,接收网络请求。
上述网络请求可以是客户端向服务器发送的请求消息,也可以是服务器向客户端发送的请求消息。上述网络请求具体可包括超文本传送协议(Hypertext transferprotocol,HTTP)请求,当然也可以是其他协议的请求,其中,只要网络请求中包含类似于下文所说的用户代理信息以及跳转页面链接信息即可。另外,上述客户端可以是任意客户端,比如浏览器、社交软件等,本申请实施例对此不进行任何限定,只要由上述客户端向服务器发送的网络请求中包含类似于下文所说的用户代理信息以及跳转页面链接信息即可。上述网络请求,可以是任意业务类型的网络请求,比如登录支付类网站的账号请求或登录社交类网站的账号请求等,本申请实施例对此不进行任何限定。在本申请实施例中,为了后续描述方便,下文以客户端为浏览器、以网络请求为客户端向服务器发送的为例进行阐述。
上述网络请求一般由一个起始行、至少一个头域、一个指示头域结束的空行和可选的消息体组成。典型的头域包括User-Agent头域、Referer头域等。
其中,User-Agent,又叫做用户代理信息,是浏览器给出的一系列综合信息。该些信息包括硬件平台、***软件、应用软件等信息,即发送网络请求的客户端所在的终端设备的硬件信息、操作***信息、软件信息等,以及发起网络请求的客户端的版本信息等信息。终端设备或浏览器不同,用户代理信息便不同。
一般情况下,用户代理信息对应的起始字符串为Mozilla或Opera,用户代理信息对应的字符串长度为100个字符左右,不会低于50个字符。例如,下面为某一款浏览器向服务器发送的网络请求中包含的用户代理信息对应的字符串:Mozilla/5.0(compatible;X11;U;Linux i686;en-US)Gecko/20081202Firefox(Debian-2.0.0.19-0etch1)。其中,Mozilla为浏览器标志,用于表明是浏览器向服务器发送的网络请求。Linux i686为操作***标志,用于表明浏览器所在终端设备的操作***为Linux i686。Firefox(Debian-2.0.0.19-0etch1)为浏览器版本信息,用于表明用户使用的浏览器为火狐浏览器,该浏览器版本号为Debian-2.0.0.19-0etch1。该用户代理信息对应的字符串长度为100个字符左右。
需要特别说明的是,IE浏览器发起的网络请求中包含的用户代理信息对应的字符串的长度有时可能会小于50个字符。但是,IE浏览器发起的网络请求中包含的用户代理信息对应的字符串中包含MSIE。其中,MSIE是IE浏览器的标志,用于表明用户代理信息是由IE浏览器发出的。
Referer(后文称跳转页面链接信息),用于告知服务器当前网络请求对应的页面是由哪个页面跳转过来的。跳转页面链接信息,有时不为空,有时为空,这与用户的操作行为有关。若用户在某一页面中点击了一个链接,响应用户的这一操作,浏览器向服务器发送的网络请求中包含的跳转页面链接信息不为空,该跳转页面链接信息中包含上述某一页面对应的网址;若用户直接在网址输入栏中输入网址来访问该网页,那么浏览器向服务器发送的网络请求中包含的跳转页面链接信息为空。在实际应用中,为了使得用户可以安全使用浏览器,尽量避免遭受网络攻击,服务方会事先进行设置:只有当服务器接收到的网络请求中包含的跳转页面链接信息对应的域名为预设域名时,该网络请求才是非异常网络请求。其中,该预设域名,一般为服务器开发商认可的域名。其中,该认可的域名,可能是服务器对应的域名,也可能是得到该服务器开发商授权的其他服务器对应的域名。
一般情况下,若用户想要登录某一支付网站的账号,便需要打开该网站的登录页面,才可以进行登录操作。该登录页面对应的网址包含的域名,为该支付网站对应的服务器所对应的域名。那么这种情况下,用户在登录页面中输入账号和密码后,触发浏览器向该支付网站对应的服务器发送网络请求,那么该网络请求中包含的跳转页面链接信息对应的域名便为该支付网站对应的服务器所对应的域名。
另外,还有一种情况是,该支付网站开发商已经将该支付网站的登录权授权给了其他网站。这种情况下,用户可在其他网站中的、某一页面中呈现出的上述支付网站对应的输入账号与密码的输入框中,输入该支付网站的账号与密码,用户触发该网页中的相应控件,浏览器便可向该支付网站对应的服务器发送相应的网络请求,而该网络请求中包含的跳转页面链接信息对应的域名便为其他网站对应的服务器所对应的域名,即为得到支付网站对应的服务器开发商授权的其他网站对应的服务器对应的域名。
步骤102,获取所述网络请求中包含的用户代理信息和/或跳转页面链接信息。
网络请求中,用户代理信息以及跳转页面链接信息以下述形式呈现:
User-Agent:XXXXXXXXXX;
Referer:XXXXXXXXXX。
因此,可以直接获取标题User-Agent对应的内容,并将该内容作为用户代理信息,另外,可以直接获取标题Referer对应的内容,并将该内容作为跳转页面链接信息。
步骤103,判断所述网络请求中包含的用户代理信息和/或跳转页面链接信息的特征是否符合预设特征,若不符合,则执行步骤104,若符合,则执行步骤105。
由步骤101可知,网络请求中包含的用户代理信息和/或跳转页面链接信息具有各自的特征,那么,在本申请实施例中,可以根据网络请求中包含的用户代理信息或跳转页面链接信息具有的特征,来判断网络请求是否为异常网络请求。其中,可以先判断网络请求中包含的用户代理信息和/或跳转页面链接信息的特征是否符合预设特征,然后再根据该判断结果,确定该网络请求是否为异常网络请求。
那么,下面分别详细阐述服务器如何判断接收到的网络请求中包含的用户代理信息和/或跳转页面链接信息的特征是否符合预设特征的:
(1)若通过执行步骤102获取到的信息为用户代理信息,那么执行步骤103时,服务器仅仅判断接收到的网络请求中包含的用户代理信息的特征是否符合预设特征即可,其中,服务器判断接收到的网络请求中包含的用户代理信息的特征是否符合预设特征,可以采取下述方法判断:
根据所述用户代理信息对应的字符串和字符串长度,判断所述用户代理信息对应的字符串是否包含预设字符串,以及所述用户代理信息对应的字符串长度是否落入预设长度范围内,如果是,则判定所述网络请求中包含的用户代理信息的特征符合预设特征,否则,判定所述网络请求中包含的用户代理信息的特征不符合预设特征。
其中,这里所说的预设特征,可以为步骤101提及的用户代理信息自身具有的特征。需要特别说明的是,因为所有网络请求中包含的用户代理信息所具有的特征均相似,因此无需分别根据不同的业务类型设置不同的预设特征。
具体的,若用户代理信息的起始字符串为第一预设字符串,且用户代理信息对应的字符串的长度落入第一预设长度范围内,则判定该用户代理信息的特征符合预设特征;或者,若用户代理信息的起始字符串为第一预设字符串,用户代理信息对应的字符串的长度落入第二预设长度范围内,且用户代理信息中包含第二预设字符串,则判定该用户代理信息的特征符合预设特征,则执行步骤105;否则,则判定该用户代理信息的特征不符合预设特征,则执行步骤104。其中,第一预设字符串可以为Mozilla或Opera,第一预设长度范围可以为50~120字符,第二预设字符串可以为MSIE,第二预设长度范围可以为0~50(不包括50)字符。
(2)若通过执行步骤102获取到的信息为跳转页面链接信息,那么执行步骤103时,服务器仅仅判断接收到的网络请求中包含的跳转页面链接信息的特征是否符合预设特征即可,其中,服务器判断网络请求中包含的跳转页面链接信息的特征是否符合预设特征,可以采取下述方法判断:
根据所述跳转页面链接信息对应的域名信息,判断所述跳转页面链接信息对应的域名信息是否为预设域名,如果是,则判定所述网络请求中包含的跳转页面链接信息的特征符合预设特征,否则,判定所述网络请求中包含的跳转页面链接信息的特征不符合预设特征。
其中,这里所说的预设特征,可以为步骤101提及的跳转页面链接信息自身具有的特征。但是,由于不同的服务器自身所认可的跳转页面链接信息对应的域名是不同的,因此,需要针对不同的网络请求对应的服务器,设置不同的预设特征,以使得本申请实施例提供的方法可以适用于所有异常网络请求检测。
具体的,服务器可以判断跳转页面链接信息对应的域名是否为预设域名,若跳转页面链接信息对应的域名为预设域名,则判定该网络请求中包含的跳转页面链接信息的特征符合预设特征,则执行步骤105;否则,则判定该网络请求中包含的跳转页面链接信息的特征不符合预设特征,则执行步骤104。
(3)若通过执行步骤102获取到的信息为用户代理信息和跳转页面链接信息,那么执行步骤103时,服务器需判断接收到的网络请求中包含的用户代理信息和跳转页面链接信息的特征是否符合预设特征,其中,服务器可以采取上述(1)和(2)中提及的判断用户代理信息以及跳转页面链接信息的特征是否符合预设特征的方法,来判断网络请求中包含的用户代理信息的特征是否符合预设特征,以及判断网络请求中包含的跳转页面链接信息的特征是否符合预设特征。
需要特别说明的是,服务器可以先判断用户代理信息的特征是否符合预设特征,也可以先判断跳转页面链接信息的特征是否符合预设特征,或者同时判断用户代理信息和跳转页面链接信息的特征是否符合预设特征,本申请实施例对此不进行任何限定。其中,若服务器判断出网络请求中包含的用户代理信息和跳转页面链接信息的特征均符合预设特征,则判定所述网络请求中包含的用户代理信息和跳转页面链接信息的特征符合预设特征,则执行步骤105;否则,判定网络请求中包含的用户代理信息和跳转页面链接信息的特征不符合预设特征,则执行步骤104。
本申请实施例之所以可以采用上述方法判断网络请求中包含的用户代理信息和/或跳转页面链接信息的特征是否符合预设特征,是因为在实际生活中,网络攻击者为了快速获取可用用户名与密码,一般不会采用人工登录账号的方法来逐个去试已知用户名和密码是否为可用用户名和密码,而是编写好脚本,使得终端设备可以快速、自动的向服务器发送网络请求。其中编写好的脚本中所包含的网络请求里的用户代理信息以及跳转页面链接信息,并非是按照各自特点编写的,而是随意编写的,比如,该用户代理信息的起始字符串并非为Mozilla或Opera,或者该用户代理信息为空,另外,该跳转页面链接信息对应的域名并非为接收包含该跳转页面链接信息的网络请求的服务器认可的域名。那么,这种情况下,便可以通过执行步骤103,来判断网络请求中包含的用户代理信息和/或跳转页面链接信息的特征是否符合预设特征。
步骤104,判定所述网络请求为异常网络请求。
需要特别说明的是,为了更便捷的判断接收到的网络请求中包含的用户代理信息和/或跳转页面链接信息是否符合预设特征,可以事先设置黑名单,若接收到的网络请求中包含的用户代理信息和/或跳转页面链接信息存在于黑名单中,那么该网络请求便为异常网络请求。
其中,黑名单中保存的用户代理信息和/或跳转页面链接信息,可以是从其他合作商那里获取到的,也可以是在执行完毕步骤103之后,直接将不符合预设特征的用户代理信息和/或跳转页面链接信息添加到黑名单中的,本申请实施例对此不进行任何限定。当服务器第一次接收到网络请求后,若黑名单中并不包含该网络请求中包含的用户代理信息和/或跳转页面链接信息,那么通过执行步骤103,判断出该网络请求中包含的用户代理信息和/或跳转页面链接信息不符合预设特征后,便可将该用户代理信息和/或跳转页面链接信息保存在黑名单中,那么若后续接收到的网络请求中包含的用户代理信息和/或跳转页面链接信息存在于黑名单中,则直接判定后续接收到的网络请求为异常网络请求。
黑名单可以存在于服务器中,也可以存在于服务器可以访问到的设备中,本申请实施例对此不进行任何限定。另外,可以针对每一个服务器分别设置一个黑名单,也可以针对所有服务器设置一个黑名单。需要特别说明的是,若针对每一个服务器分别设置一个黑名单,那么该黑名单中包含不符合预设特征的用户代理信息和/或跳转页面链接信息;若针对所有服务器设置一个黑名单,那么黑名单中除了包含不符合预设特征的用户代理信息和/或跳转页面链接信息之外,还包含与不符合预设特征的跳转页面链接信息对应的服务器的唯一身份标识信息。因为不同的服务器对应的关于跳转页面链接信息的预设特征不同,因此若黑名单中不包含与不符合预设特征的跳转页面链接信息对应的服务器的唯一身份标识信息,那么便无法获知黑名单中包含的跳转页面链接信息是针对哪一服务器来说的,那么便无法根据黑名单中包含的跳转页面链接信息,来判断接收到的网络请求中包含的跳转页面链接信息是否符合预设特征。
步骤105,判定所述网络请求为非异常网络请求。
若本申请实施例通过判断网络请求中的用户代理信息的特征是否符合预设特征,来判断该网络请求是否为异常网络请求,那么,该方法不仅不容易被网络攻击者绕过检测,安全防御等级较高,而且该方法的通用性较高,适用于不同网络请求的检测。
若本申请实施例通过判断网络请求中的跳转页面链接信息的特征是否符合预设特征,或者通过判断网络请求中的用户代理信息和跳转页面链接信息的特征是否符合预设特征,来判断该网络请求是否为异常网络请求,那么,该方法不容易被网络攻击者绕过检测,安全防御等级较高,但是该方法需要针对不同网络请求的接收方,设置不同的预设特征,通用性不高。
另外,需要特别说明的是,在执行步骤103后,若判断出用户代理信息和/或跳转页面链接信息的特征符合预设特征,那么可以不执行步骤105,而执行下述步骤:
当用户代理信息和/或跳转页面链接信息的特征符合预设特征时,确定所述网络请求为待定网络请求,并针对在预设时间内接收到的、同一互联网协议(InternetProtocol,IP)地址发送的待定网络请求,判断包含相同用户代理信息和/或跳转页面链接信息的待定网络请求的数量是否大于预设阈值,若大于,则判定包含相同用户代理信息和/或跳转页面链接信息的各待定网络请求均为异常网络请求;若不大于,则判定包含相同用户代理信息和/或跳转页面链接信息的各待定网络请求均为非异常网络请求。
上述预设时间可以为一段时间,例如,可以为5s。另外,为了节省资源,针对用户代理信息和/或跳转页面链接信息,可以采用哈希算法,算出不同的用户代理信息和/或跳转页面链接信息对应的哈希值。这样的话,便针对在预设时间内接收到的、同一互联网协议(Internet Protocol,IP)地址发送的待定网络请求,判断对应相同哈希值的待定网络请求的数量是否大于预设阈值,若大于,则判定对应相同哈希值的各待定网络请求均为异常网络请求;若不大于,则判定对应相同哈希值的各待定网络请求均为非异常网络请求。
其中,之所以可以采用上述步骤来判断接收到的网络请求是否为异常网络请求,是因为:正常情况下,在一段时间内,在人工手动触发作用下,同一IP地址向服务器发送的网络请求的次数较低,而网络攻击者通过编写脚本,使得同一IP地址向服务器发送的网络请求的次数较高。另外,一般情况下,在一段时间内,网络攻击者编写好脚本后,不会经常改变脚本中包含的用户代理信息和/或跳转页面链接信息,因此,同一网络攻击者,在一段时间内发起的网络请求中包含的用户代理信息和/或跳转页面链接信息均相同。
本申请实施例通过采用上述步骤,可以更进一步提高步骤101~105对应的异常网络请求检测方法的准确性。
在本申请实施例中,可通过一种异常网络请求检测的装置,来实现本申请实施例中提供的异常网络请求检测方法。
如图2所示,为本申请实施例提供的一种异常网络请求检测的装置的结构示意图,主要包括下述装置:
接收模块21,用于接收网络请求。
获取模块22,用于获取所述网络请求中包含的用户代理信息和/或跳转页面链接信息。
预设特征判断模块23,用于判断所述网络请求中包含的用户代理信息和/或跳转页面链接信息的特征是否符合预设特征。
异常网络请求判定模块24,用于若所述预设特征判断模块23判断出所述网络请求中包含的用户代理信息和/或跳转页面链接信息的特征不符合预设特征,则判定所述网络请求为异常网络请求。
在一种实施方式中,预设特征判断模块23,具体用于:
判断所述网络请求中包含的用户代理信息的特征是否符合预设特征,以及判断所述网络请求中包含的跳转页面链接信息的特征是否符合预设特征;
若所述网络请求中包含的用户代理信息和跳转页面链接信息的特征均符合预设特征,则判定所述网络请求中包含的用户代理信息和跳转页面链接信息的特征符合预设特征,否则,判定所述网络请求中包含的用户代理信息和跳转页面链接信息的特征不符合预设特征。
在一种实施方式中,预设特征判断模块23,具体用于根据所述用户代理信息对应的字符串和字符串长度,判断所述用户代理信息对应的字符串是否包含预设字符串,以及所述用户代理信息对应的字符串长度是否落入预设长度范围内,如果是,则判定所述网络请求中包含的用户代理信息的特征符合预设特征,否则,判定所述网络请求中包含的用户代理信息的特征不符合预设特征;或
预设特征判断模块23,具体用于根据所述跳转页面链接信息对应的域名信息,判断所述跳转页面链接信息对应的域名信息是否为预设域名,如果是,则判定所述网络请求中包含的跳转页面链接信息的特征符合预设特征,否则,判定所述网络请求中包含的跳转页面链接信息的特征不符合预设特征。
在一种实施方式中,所述装置还包括:
添加模块,用于将不符合预设特征的用户代理信息和/或跳转页面链接信息添加到黑名单中;
异常网络请求判定模块24,还用于若后续所述接收模块21接收到的网络请求中包含所述不符合预设特征的用户代理信息和/或跳转页面链接信息,则判定所述网络请求为异常网络请求。
在一种实施方式中,所述装置还包括:
待定网络请求确定模块,用于当所述用户代理信息和/或跳转页面链接信息的特征符合预设特征时,确定所述网络请求为待定网络请求;
阈值判断模块,用于针对在预设时间内接收到的、同一IP地址发送的待定网络请求,判断包含相同用户代理信息和/或跳转页面链接信息的待定网络请求的数量是否大于预设阈值;
异常网络请求判定模块24,还用于若所述阈值判断模块判断出包含相同用户代理信息和/或跳转页面链接信息的待定网络请求的数量大于预设阈值,则判定包含相同用户代理信息和/或跳转页面链接信息的各待定网络请求均为异常网络请求。
本申请实施例提供的异常网络检测方法,通过在接收到网络请求后,获取该网络请求中包含的用户代理信息和/或跳转页面链接信息,并判断该网络请求中包含的用户代理信息和/或跳转页面链接信息的特征是否符合预设特征,来判定该网络请求是否为异常网络请求。若该网络请求中包含的用户代理信息和/或跳转页面链接信息的特征不符合预设特征,则判定该网络请求为异常网络请求。
与现有技术中的异常网络请求检测方法相比,本申请实施例提供的异常网络请求检测方法,是根据网络请求中包含的字符串的特征来判断接收到的网络请求是否是异常网络请求的,并没有涉及到预设阈值这一参数,那么,网络攻击者通过多次尝试,也无法获取到关于预设阈值的相关信息,因而便无法通过控制网络请求对应的某一数值来绕过本申请实施例提供的异常网络请求检测方法的检测。因此,本申请实施例提供的异常网络请求检测方法,能够解决现有技术中的异常网络请求检测方法的安全防御等级较低的问题。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、***或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种异常网络请求检测方法,其特征在于,所述方法包括:
接收网络请求;
获取所述网络请求中包含的用户代理信息和/或跳转页面链接信息;
判断所述网络请求中包含的用户代理信息和/或跳转页面链接信息的特征是否符合预设特征;
若不符合,则判定所述网络请求为异常网络请求。
2.如权利要求1所述的方法,其特征在于,判断所述网络请求中包含的用户代理信息和跳转页面链接信息的特征是否符合预设特征,具体包括:
判断所述网络请求中包含的用户代理信息的特征是否符合预设特征,以及判断所述网络请求中包含的跳转页面链接信息的特征是否符合预设特征;
若所述网络请求中包含的用户代理信息和跳转页面链接信息的特征均符合预设特征,则判定所述网络请求中包含的用户代理信息和跳转页面链接信息的特征符合预设特征,否则,判定所述网络请求中包含的用户代理信息和跳转页面链接信息的特征不符合预设特征。
3.如权利要求1或2所述的方法,其特征在于,判断所述网络请求中包含的用户代理信息的特征是否符合预设特征,具体包括:
根据所述用户代理信息对应的字符串和字符串长度,判断所述用户代理信息对应的字符串是否包含预设字符串,以及所述用户代理信息对应的字符串长度是否落入预设长度范围内,如果是,则判定所述网络请求中包含的用户代理信息的特征符合预设特征,否则,判定所述网络请求中包含的用户代理信息的特征不符合预设特征;
判断所述网络请求中包含的跳转页面链接信息的特征是否符合预设特征,具体包括:
根据所述跳转页面链接信息对应的域名信息,判断所述跳转页面链接信息对应的域名信息是否为预设域名,如果是,则判定所述网络请求中包含的跳转页面链接信息的特征符合预设特征,否则,判定所述网络请求中包含的跳转页面链接信息的特征不符合预设特征。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
将不符合预设特征的用户代理信息和/或跳转页面链接信息添加到黑名单中;
若后续接收到的网络请求中包含的用户代理信息和/或跳转页面链接信息存在于所述黑名单中,则判定所述网络请求为异常网络请求。
5.如权利要求1所述的方法,其特征在于,所述方法还包括:
当所述用户代理信息和/或跳转页面链接信息的特征符合预设特征时,确定所述网络请求为待定网络请求;
针对在预设时间内接收到的、同一互联网协议IP地址发送的待定网络请求,判断包含相同用户代理信息和/或跳转页面链接信息的待定网络请求的数量是否大于预设阈值;
若大于,则判定包含相同用户代理信息和/或跳转页面链接信息的各待定网络请求均为异常网络请求。
6.一种异常网络请求检测装置,其特征在于,所述装置包括:
接收模块,用于接收网络请求;
获取模块,用于获取所述网络请求中包含的用户代理信息和/或跳转页面链接信息;
预设特征判断模块,用于判断所述网络请求中包含的用户代理信息和/或跳转页面链接信息的特征是否符合预设特征;
异常网络请求判定模块,用于若所述预设特征判断模块判断出所述网络请求中包含的用户代理信息和/或跳转页面链接信息的特征不符合预设特征,则判定所述网络请求为异常网络请求。
7.如权利要求6所述的装置,其特征在于,预设特征判断模块,具体用于:
判断所述网络请求中包含的用户代理信息的特征是否符合预设特征,以及判断所述网络请求中包含的跳转页面链接信息的特征是否符合预设特征;
若所述网络请求中包含的用户代理信息和跳转页面链接信息的特征均符合预设特征,则判定所述网络请求中包含的用户代理信息和跳转页面链接信息的特征符合预设特征,否则,判定所述网络请求中包含的用户代理信息和跳转页面链接信息的特征不符合预设特征。
8.如权利要求6或7所述的装置,其特征在于:
预设特征判断模块,具体用于根据所述用户代理信息对应的字符串和字符串长度,判断所述用户代理信息对应的字符串是否包含预设字符串,以及所述用户代理信息对应的字符串长度是否落入预设长度范围内,如果是,则判定所述网络请求中包含的用户代理信息的特征符合预设特征,否则,判定所述网络请求中包含的用户代理信息的特征不符合预设特征;或
预设特征判断模块,具体用于根据所述跳转页面链接信息对应的域名信息,判断所述跳转页面链接信息对应的域名信息是否为预设域名,如果是,则判定所述网络请求中包含的跳转页面链接信息的特征符合预设特征,否则,判定所述网络请求中包含的跳转页面链接信息的特征不符合预设特征。
9.如权利要求6所述的装置,其特征在于,所述装置还包括:
添加模块,用于将不符合预设特征的用户代理信息和/或跳转页面链接信息添加到黑名单中;
异常网络请求判定模块,还用于若后续所述接收模块接收到的网络请求中包含的用户代理信息和/或跳转页面链接信息存在于所述黑名单中,则判定所述网络请求为异常网络请求。
10.如权利要求6所述的装置,其特征在于,所述装置还包括:
待定网络请求确定模块,用于当所述用户代理信息和/或跳转页面链接信息的特征符合预设特征时,确定所述网络请求为待定网络请求;
阈值判断模块,用于针对在预设时间内接收到的、同一互联网协议IP地址发送的待定网络请求,判断包含相同用户代理信息和/或跳转页面链接信息的待定网络请求的数量是否大于预设阈值;
异常网络请求判定模块,还用于若所述阈值判断模块判断出包含相同用户代理信息和/或跳转页面链接信息的待定网络请求的数量大于预设阈值,则判定包含相同用户代理信息和/或跳转页面链接信息的各待定网络请求均为异常网络请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610835839.6A CN106453266A (zh) | 2016-09-20 | 2016-09-20 | 一种异常网络请求检测方法与装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610835839.6A CN106453266A (zh) | 2016-09-20 | 2016-09-20 | 一种异常网络请求检测方法与装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106453266A true CN106453266A (zh) | 2017-02-22 |
Family
ID=58166841
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610835839.6A Pending CN106453266A (zh) | 2016-09-20 | 2016-09-20 | 一种异常网络请求检测方法与装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106453266A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107241333A (zh) * | 2017-06-13 | 2017-10-10 | 上海微烛信息技术有限公司 | 异常请求的识别方法、***、网络安全设备及服务器 |
| CN108173823A (zh) * | 2017-12-21 | 2018-06-15 | 五八有限公司 | 页面防抓取方法及装置 |
| CN108173825A (zh) * | 2017-12-21 | 2018-06-15 | 北京奇安信科技有限公司 | 一种网络流量审计方法及装置 |
| CN109657166A (zh) * | 2018-10-16 | 2019-04-19 | 深圳壹账通智能科技有限公司 | 互联网活动参与方法、装置、设备及可读存储介质 |
| CN110046079A (zh) * | 2019-04-25 | 2019-07-23 | 广州华多网络科技有限公司 | 网络请求检测方法、装置及设备 |
| CN110046310A (zh) * | 2019-04-03 | 2019-07-23 | 北京字节跳动网络技术有限公司 | 分析页面中的跳转链接的方法和装置 |
| CN110266661A (zh) * | 2019-06-04 | 2019-09-20 | 东软集团股份有限公司 | 一种授权方法、装置及设备 |
| CN112398794A (zh) * | 2019-08-16 | 2021-02-23 | 中国信息安全测评中心 | 网络异常行为的检测方法、装置、设备及存储介质 |
| CN113014455A (zh) * | 2021-03-15 | 2021-06-22 | 读书郎教育科技有限公司 | 一种监控网络请求频繁的方法 |
| CN113542047A (zh) * | 2020-04-21 | 2021-10-22 | 北京沃东天骏信息技术有限公司 | 异常请求的检测方法、装置、电子设备及计算机可读介质 |
| CN115941316A (zh) * | 2022-12-05 | 2023-04-07 | 广州力麒智能科技有限公司 | 一种智能自助终端中间件调用方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103297435A (zh) * | 2013-06-06 | 2013-09-11 | 中国科学院信息工程研究所 | 一种基于web日志的异常访问行为检测方法与*** |
| CN103428186A (zh) * | 2012-05-24 | 2013-12-04 | ***通信集团公司 | 一种检测钓鱼网站的方法及装置 |
| CN103491543A (zh) * | 2013-09-30 | 2014-01-01 | 北京奇虎科技有限公司 | 通过无线终端检测恶意网址的方法、无线终端 |
| CN103605924A (zh) * | 2013-11-28 | 2014-02-26 | 北京奇虎科技有限公司 | 一种防止恶意程序攻击网络支付页面的方法及装置 |
| CN104092665A (zh) * | 2014-06-19 | 2014-10-08 | 小米科技有限责任公司 | 访问请求过滤方法、装置及设备 |
| CN104113519A (zh) * | 2013-04-16 | 2014-10-22 | 阿里巴巴集团控股有限公司 | 网络攻击检测方法及其装置 |
| CN104519018A (zh) * | 2013-09-29 | 2015-04-15 | 阿里巴巴集团控股有限公司 | 一种防止针对服务器的恶意请求的方法、装置和*** |
-
2016
- 2016-09-20 CN CN201610835839.6A patent/CN106453266A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103428186A (zh) * | 2012-05-24 | 2013-12-04 | ***通信集团公司 | 一种检测钓鱼网站的方法及装置 |
| CN104113519A (zh) * | 2013-04-16 | 2014-10-22 | 阿里巴巴集团控股有限公司 | 网络攻击检测方法及其装置 |
| CN103297435A (zh) * | 2013-06-06 | 2013-09-11 | 中国科学院信息工程研究所 | 一种基于web日志的异常访问行为检测方法与*** |
| CN104519018A (zh) * | 2013-09-29 | 2015-04-15 | 阿里巴巴集团控股有限公司 | 一种防止针对服务器的恶意请求的方法、装置和*** |
| CN103491543A (zh) * | 2013-09-30 | 2014-01-01 | 北京奇虎科技有限公司 | 通过无线终端检测恶意网址的方法、无线终端 |
| CN103605924A (zh) * | 2013-11-28 | 2014-02-26 | 北京奇虎科技有限公司 | 一种防止恶意程序攻击网络支付页面的方法及装置 |
| CN104092665A (zh) * | 2014-06-19 | 2014-10-08 | 小米科技有限责任公司 | 访问请求过滤方法、装置及设备 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107241333A (zh) * | 2017-06-13 | 2017-10-10 | 上海微烛信息技术有限公司 | 异常请求的识别方法、***、网络安全设备及服务器 |
| CN108173823A (zh) * | 2017-12-21 | 2018-06-15 | 五八有限公司 | 页面防抓取方法及装置 |
| CN108173825A (zh) * | 2017-12-21 | 2018-06-15 | 北京奇安信科技有限公司 | 一种网络流量审计方法及装置 |
| CN108173825B (zh) * | 2017-12-21 | 2021-01-01 | 奇安信科技集团股份有限公司 | 一种网络流量审计方法及装置 |
| CN109657166A (zh) * | 2018-10-16 | 2019-04-19 | 深圳壹账通智能科技有限公司 | 互联网活动参与方法、装置、设备及可读存储介质 |
| CN110046310A (zh) * | 2019-04-03 | 2019-07-23 | 北京字节跳动网络技术有限公司 | 分析页面中的跳转链接的方法和装置 |
| CN110046079A (zh) * | 2019-04-25 | 2019-07-23 | 广州华多网络科技有限公司 | 网络请求检测方法、装置及设备 |
| CN110046079B (zh) * | 2019-04-25 | 2024-03-12 | 广州方硅信息技术有限公司 | 网络请求检测方法、装置及设备 |
| CN110266661B (zh) * | 2019-06-04 | 2021-09-14 | 东软集团股份有限公司 | 一种授权方法、装置及设备 |
| CN110266661A (zh) * | 2019-06-04 | 2019-09-20 | 东软集团股份有限公司 | 一种授权方法、装置及设备 |
| CN112398794A (zh) * | 2019-08-16 | 2021-02-23 | 中国信息安全测评中心 | 网络异常行为的检测方法、装置、设备及存储介质 |
| CN112398794B (zh) * | 2019-08-16 | 2024-03-26 | 中国信息安全测评中心 | 网络异常行为的检测方法、装置、设备及存储介质 |
| CN113542047A (zh) * | 2020-04-21 | 2021-10-22 | 北京沃东天骏信息技术有限公司 | 异常请求的检测方法、装置、电子设备及计算机可读介质 |
| CN113014455A (zh) * | 2021-03-15 | 2021-06-22 | 读书郎教育科技有限公司 | 一种监控网络请求频繁的方法 |
| CN115941316A (zh) * | 2022-12-05 | 2023-04-07 | 广州力麒智能科技有限公司 | 一种智能自助终端中间件调用方法及装置 |
| CN115941316B (zh) * | 2022-12-05 | 2023-08-08 | 广州力麒智能科技有限公司 | 一种智能自助终端中间件调用方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106453266A (zh) | 一种异常网络请求检测方法与装置 | |
| US10079854B1 (en) | Client-side protective script to mitigate server loading | |
| CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
| CN104767719B (zh) | 确定登录网站的终端是否是移动终端的方法及服务器 | |
| US9300683B2 (en) | Identifying bots | |
| US9838384B1 (en) | Password-based fraud detection | |
| US11451583B2 (en) | System and method to detect and block bot traffic | |
| CN105512559B (zh) | 一种用于提供访问页面的方法与设备 | |
| US9503451B1 (en) | Compromised authentication information clearing house | |
| CN105577608B (zh) | 网络攻击行为检测方法和装置 | |
| CN103368957B (zh) | 对网页访问行为进行处理的方法及***、客户端、服务器 | |
| US11151215B2 (en) | Identifying webpages accessible by unauthorized users via URL guessing or network sniffing | |
| CN105531679B (zh) | 在网络客户端上进行的异常检测 | |
| US11770385B2 (en) | Systems and methods for malicious client detection through property analysis | |
| Senol et al. | Leaky forms: A study of email and password exfiltration before form submission | |
| CN106453216A (zh) | 恶意网站拦截方法、装置及客户端 | |
| US20090216795A1 (en) | System and method for detecting and blocking phishing attacks | |
| CN110113366A (zh) | 一种csrf漏洞的检测方法及装置 | |
| CN107104924A (zh) | 网站后门文件的验证方法及装置 | |
| CN104639521A (zh) | 一种应用安全验证方法、应用服务器、应用客户端及*** | |
| CN103647652B (zh) | 一种实现数据传输的方法、装置和服务器 | |
| US9787711B2 (en) | Enabling custom countermeasures from a security device | |
| CN108282443B (zh) | 一种爬虫行为识别方法和装置 | |
| US11023590B2 (en) | Security testing tool using crowd-sourced data | |
| US10686834B1 (en) | Inert parameters for detection of malicious activity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170222 |
|
| RJ01 | Rejection of invention patent application after publication |