CN114338216B - 多维暴刷攻击防治方法、装置、设备及介质 - Google Patents

多维暴刷攻击防治方法、装置、设备及介质 Download PDF

Info

Publication number
CN114338216B
CN114338216B CN202111682637.XA CN202111682637A CN114338216B CN 114338216 B CN114338216 B CN 114338216B CN 202111682637 A CN202111682637 A CN 202111682637A CN 114338216 B CN114338216 B CN 114338216B
Authority
CN
China
Prior art keywords
access
request
attack
brushing
account
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111682637.XA
Other languages
English (en)
Other versions
CN114338216A (zh
Inventor
姚旺
许家华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Merchants Bank Co Ltd
Original Assignee
China Merchants Bank Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Merchants Bank Co Ltd filed Critical China Merchants Bank Co Ltd
Priority to CN202111682637.XA priority Critical patent/CN114338216B/zh
Publication of CN114338216A publication Critical patent/CN114338216A/zh
Application granted granted Critical
Publication of CN114338216B publication Critical patent/CN114338216B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种多维暴刷攻击防治方法、装置、设备及介质,该方法包括:接收风险决策模块透传的用户访问请求,从用户访问请求对应的请求报文中提取访问账号、访问IP及访问终端信息;根据访问IP及访问终端信息,筛选用户访问请求中的失败请求,并基于访问账号和失败请求,记录用户访问请求对应的响应信息;根据响应信息,生成用户访问请求的暴刷攻击检测结果,并将暴刷攻击检测结果透传给风险决策模块,以执行风险决策模块发送的目标防治策略。本发明通过分析用户访问请求,记录用户访问请求对应的响应信息,最终生成暴刷攻击检测结果,以执行对应的防治策略,提高了暴刷攻击检测的准确度。

Description

多维暴刷攻击防治方法、装置、设备及介质
技术领域
本发明涉及网络安全领域,尤其涉及一种多维暴刷攻击防治方法、装置、设备及介质。
背景技术
随着网络规模的不断增大,利用网络违规进行暴刷攻击的行为屡见不鲜,然而,对于目前这种暴刷攻击的行为缺少有效的防治方法,现有主流的防治方法一般先根据用户访问请求是否具有聚集性特征,来判断用户的访问请求是否存在暴刷攻击,然后在确定用户的访问请求具有暴刷攻击时,拒绝响应该访问请求,以此来防治暴刷攻击行为,但现有的这种基于聚集性特征防治暴刷攻击的方法存在较低的准确性,容易造成误判,从而影响用户体验。
发明内容
本发明的主要目的在于提供一种多维暴刷攻击防治方法、装置、设备及介质,旨在解决现有防治暴刷攻击的方法准确度较低的技术问题。
此外,为实现上述目的,本发明还提供一种多维暴刷攻击防治方法,所述多维暴刷攻击防治方法包括以下步骤:
接收风险决策模块透传的用户访问请求,从所述用户访问请求对应的请求报文中提取访问账号、访问IP及访问终端信息;
根据所述访问IP及所述访问终端信息,筛选所述用户访问请求中的失败请求,并基于所述访问账号和所述失败请求,记录所述用户访问请求对应的响应信息;
根据所述响应信息,生成所述用户访问请求的暴刷攻击检测结果,并将所述暴刷攻击检测结果透传给所述风险决策模块,以执行所述风险决策模块发送的目标防治策略。
可选地,所述访问终端信息包括国际移动用户识别码IMSI和国际移动设备身份码IMEI,所述根据所述访问IP及所述访问终端信息,筛选所述用户访问请求中的失败请求的步骤包括:
根据所述IMSI和所述IMEI,判断所述用户访问请求是否对应唯一客户端;
若所述用户访问请求对应唯一客户端,则随机提取所述用户访问请求中的第一访问请求和第二访问请求;
若所述第一访问请求对应的第一访问IP,与所述第二访问请求对应的第二访问IP不同,则确定所述第一访问请求和所述第二访问请求为失败请求。
可选地,所述根据所述访问IP及所述访问终端信息,筛选所述用户访问请求中的失败请求的步骤,还包括:
若目标访问请求对应的目标请求报文中包含代理信息,则确定所述目标访问请求为失败请求,其中,所述目标访问请求属于所述用户访问请求;
若所述目标访问请求对应的目标请求报文中不包含代理信息,则对访问端口进行扫描,以判断所述访问端口是否属于预设代理端口,其中,所述访问端口属于所述目标请求报文中的访问终端信息;
若所述访问端口属于所述预设代理端口,则确定所述目标访问请求为失败请求。
可选地,所述基于所述访问账号和所述失败请求,记录所述用户访问请求对应的响应信息的步骤包括:
按预设规则对所述访问账号进行排序,得到账号序列,随机提取所述账号序列中相邻的第一访问账号和第二访问账号,并计算所述第一访问账号和所述第二访问账号之间的汉明距离;
若所述汉明距离小于第一预设阈值,则确定所述第一访问账号和所述第二访问账号为遍历账号,并计算所述遍历账号与所述访问账号的数量比例,得到账号遍历率;
计算所述失败请求与所述访问请求的数量比例,得到请求失败率,其中,所述用户访问请求对应的响应信息包括所述账号遍历率、所述请求失败率及所述访问请求的数量。
可选地,所述根据所述响应信息,生成所述用户访问请求的暴刷攻击检测结果的步骤包括:
若所述访问请求的数量小于第二预设阈值,则确定所述用户访问请求的暴刷攻击检测结果为非暴刷攻击;
若所述访问请求的数量大于或等于第二预设阈值,则判断所述账号遍历率是否大于第一策略阈值,所述请求失败率是否大于第二策略阈值;
若所述账号遍历率大于所述第一策略阈值,或所述请求失败率大于所述第二策略阈值,则确定所述用户访问请求的暴刷攻击检测结果为暴刷攻击。
可选地,所述将所述暴刷攻击检测结果透传给所述风险决策模块,以执行所述风险决策模块发送的目标防治策略的步骤包括:
将所述暴刷攻击检测结果透传给所述风险决策模块,以使所述风险决策模块基于所述暴刷攻击生成目标防治策略;
接收所述风险决策模块发送的所述目标防治策略,并执行所述目标防治策略。
此外,为实现上述目的,本发明还提供一种多维暴刷攻击防治装置,所述多维暴刷攻击防治装置包括:
提取模块,用于接收风险决策模块透传的用户访问请求,从所述用户访问请求对应的请求报文中提取访问账号、访问IP及访问终端信息;
响应信息记录模块,用于根据所述访问IP及所述访问终端信息,筛选所述用户访问请求中的失败请求,并基于所述访问账号和所述失败请求,记录所述用户访问请求对应的响应信息;
防治策略执行模块,用于根据所述响应信息,生成所述用户访问请求的暴刷攻击检测结果,并将所述暴刷攻击检测结果透传给所述风险决策模块,以执行所述风险决策模块发送的目标防治策略。
此外,为实现上述目的,本发明还提供一种多维暴刷攻击防治设备,所述多维暴刷攻击防治设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的多维暴刷攻击防治程序,所述多维暴刷攻击防治程序被所述处理器执行时实现如上述的多维暴刷攻击防治方法的步骤。
此外,为实现上述目的,本发明还提供一种介质,所述介质上存储有多维暴刷攻击防治程序,所述多维暴刷攻击防治程序被处理器执行时实现如上述的多维暴刷攻击防治方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述的多维暴刷攻击防治方法的步骤。
本发明实施例提出的一种多维暴刷攻击防治方法、装置、设备及介质。在本发明实施例中,多维暴刷攻击防治程序接收风险决策模块透传的用户访问请求,从用户访问请求对应的请求报文中提取访问账号、访问IP及访问终端信息,然后,根据访问IP及访问终端信息,筛选用户访问请求中的失败请求,并基于访问账号和失败请求,记录用户访问请求对应的响应信息,最终根据响应信息,生成用户访问请求的暴刷攻击检测结果,并将暴刷攻击检测结果透传给风险决策模块,以执行风险决策模块发送的目标防治策略,本发明通过分析用户访问请求,记录用户访问请求对应的响应信息,最终生成暴刷攻击检测结果,以执行对应的防治策略,提高了暴刷攻击检测的准确度。
附图说明
图1为本发明实施例提供的多维暴刷攻击防治设备一种实施方式的硬件结构示意图;
图2为本发明多维暴刷攻击防治方法第一实施例的流程示意图;
图3为本发明多维暴刷攻击防治方法第二实施例的流程示意图;
图4为本发明多维暴刷攻击防治装置一实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
本发明实施例多维暴刷攻击防治终端(又叫终端、设备或者终端设备)可以是个人电脑(具有程序编译功能的终端设备)。
如图1所示,该终端可以包括:处理器1001,例如CPU(Central Processing Unit,中央处理器),通信总线1002,存储器1003。其中,通信总线1002用于实现这些组件之间的连接通信。存储器1003可以是高速RAM存储器,也可以是稳定的存储器(non-volatilememory),例如磁盘存储器。存储器1003可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1003中可以包括多维暴刷攻击防治程序。
在图1所示的终端中,处理器1001可以用于调用存储器1003中存储的多维暴刷攻击防治程序,并执行以下操作:
接收风险决策模块透传的用户访问请求,从所述用户访问请求对应的请求报文中提取访问账号、访问IP及访问终端信息;
根据所述访问IP及所述访问终端信息,筛选所述用户访问请求中的失败请求,并基于所述访问账号和所述失败请求,记录所述用户访问请求对应的响应信息;
根据所述响应信息,生成所述用户访问请求的暴刷攻击检测结果,并将所述暴刷攻击检测结果透传给所述风险决策模块,以执行所述风险决策模块发送的目标防治策略。
进一步地,目标请求还包含目标IP,处理器1001可以用于调用存储器1003中存储的多维暴刷攻击防治程序,还执行以下操作:
根据所述IMSI和所述IMEI,判断所述用户访问请求是否对应唯一客户端;
若所述用户访问请求对应唯一客户端,则随机提取所述用户访问请求中的第一访问请求和第二访问请求;
若所述第一访问请求对应的第一访问IP,与所述第二访问请求对应的第二访问IP不同,则确定所述第一访问请求和所述第二访问请求为失败请求。
进一步地,目标请求中还包括目标URL,处理器1001可以用于调用存储器1003中存储的多维暴刷攻击防治程序,还执行以下操作:
若目标访问请求对应的目标请求报文中包含代理信息,则确定所述目标访问请求为失败请求,其中,所述目标访问请求属于所述用户访问请求;
若所述目标访问请求对应的目标请求报文中不包含代理信息,则对访问端口进行扫描,以判断所述访问端口是否属于预设代理端口,其中,所述访问端口属于所述目标请求报文中的访问终端信息;
若所述访问端口属于所述预设代理端口,则确定所述目标访问请求为失败请求。
进一步地,处理器1001可以用于调用存储器1003中存储的多维暴刷攻击防治程序,还执行以下操作:
按预设规则对所述访问账号进行排序,得到账号序列,随机提取所述账号序列中相邻的第一访问账号和第二访问账号,并计算所述第一访问账号和所述第二访问账号之间的汉明距离;
若所述汉明距离小于第一预设阈值,则确定所述第一访问账号和所述第二访问账号为遍历账号,并计算所述遍历账号与所述访问账号的数量比例,得到账号遍历率;
计算所述失败请求与所述访问请求的数量比例,得到请求失败率,其中,所述用户访问请求对应的响应信息包括所述账号遍历率、所述请求失败率及所述访问请求的数量。
进一步地,处理器1001可以用于调用存储器1003中存储的多维暴刷攻击防治程序,还执行以下操作:
若所述访问请求的数量小于第二预设阈值,则确定所述用户访问请求的暴刷攻击检测结果为非暴刷攻击;
若所述访问请求的数量大于或等于第二预设阈值,则判断所述账号遍历率是否大于第一策略阈值,所述请求失败率是否大于第二策略阈值;
若所述账号遍历率大于所述第一策略阈值,或所述请求失败率大于所述第二策略阈值,则确定所述用户访问请求的暴刷攻击检测结果为暴刷攻击。
进一步地,处理器1001可以用于调用存储器1003中存储的多维暴刷攻击防治程序,还执行以下操作:
将所述暴刷攻击检测结果透传给所述风险决策模块,以使所述风险决策模块基于所述暴刷攻击生成目标防治策略;
接收所述风险决策模块发送的所述目标防治策略,并执行所述目标防治策略。
基于上述设备硬件结构,提出了本发明多维暴刷攻击防治方法的实施例。
参照图2,在本发明多维暴刷攻击防治方法的第一实施例中,所述多维暴刷攻击防治方法包括:
步骤S10,接收风险决策模块透传的用户访问请求,从所述用户访问请求对应的请求报文中提取访问账号、访问IP及访问终端信息;
需要说明的是,本发明技术方案是对恶意暴刷行为的防治方法,通过对不同的暴刷行为执行对应的暴刷防治策略,可知地,暴刷可以是高频率的网址访问或者页面加载,常见的有***暴刷,票务***暴刷以及短信暴刷,无论是哪种暴刷行为都会对被暴刷方造成不好的影响。
可以理解的是,正常浏览行为或者暴刷行为需要通过终端的web应用实现,本实施例中的访问终端信息即是指实现浏览行为或者暴刷行为的终端的信息,包括IMSI(International Mobile Subscriber Identity,国际移动用户识别码)、IMEI(International Mobile Equipment Identity,国际移动设备身份码)及设备唯一识别号等,当用户通过终端的web应用发起访问请求(即,本实施例中的用户访问请求)时,用户访问请求通过风险决策模块透传给多维暴刷攻击防治程序,接收到风险决策模块透传的用户访问请求,从用户访问请求对应的请求报文中提取访问账号、访问IP及访问终端信息,其中,由于服务器可能在短时间内会接收到数量较多的用户访问请求,因此,本实施例中的用户访问请求也可以是多条,以便于通过上述访问账号、访问IP及访问终端信息等信息筛选出可能是暴刷攻击的请求。
步骤S20,根据所述访问IP及所述访问终端信息,筛选所述用户访问请求中的失败请求,并基于所述访问账号和所述失败请求,记录所述用户访问请求对应的响应信息;
需要说明的是,暴刷攻击可以通过多终端的方式以及秒切IP的方式,具体地,多终端的方式是通过很多终端对一个web应用(或者网址)进行高频访问,以实现暴刷攻击,秒切IP的方式是指,同一个终端通过代理服务器转发请求,代理服务器在转发请求时,会给不同的请求切换不同的IP,这样请求接收方就会收到多条不同IP的请求,但这些请求可能来自于同一个终端。针对上述两种暴刷攻击的实现方式,本发明通过将这两种方式发送的请求作为失败请求,以统计用户访问请求中的失败请求,然后基于访问账号和失败请求的相关数据,记录用户访问请求对应的响应信息,其中,响应信息包括账号遍历率、请求失败率及访问请求的数量等。
步骤S30,根据所述响应信息,生成所述用户访问请求的暴刷攻击检测结果,并将所述暴刷攻击检测结果透传给所述风险决策模块,以执行所述风险决策模块发送的目标防治策略。
可知地,通过对响应信息中包含的账号遍历率、请求失败率及访问请求的数量等数据进行计算,当上述数据满足一定的条件时,判定响应信息对应的用户访问请求为暴刷攻击,当上述数据不满足一定的条件时,判定响应信息对应的用户访问请求不是暴刷攻击,例如,若访问请求的数量大于或等于第二预设阈值的情况下,账号遍历率大于第一策略阈值,或请求失败率大于第二策略阈值,则确定用户访问请求的暴刷攻击检测结果为暴刷攻击;若访问请求的数量小于第二预设阈值,则确定用户访问请求的暴刷攻击检测结果为非暴刷攻击;若访问请求的数量大于或等于第二预设阈值的情况下,账号遍历率小于或等于第一策略阈值,且请求失败率小于或等于第二策略阈值,则确定用户访问请求的暴刷攻击检测结果为非暴刷攻击。当暴刷攻击检测结果为用户访问请求是暴刷攻击时,将暴刷攻击的检测结果透传给风险决策模块,风险决策模块在接收到暴刷攻击的检测结果时,根据检测结果中的暴刷攻击类型反馈对应的防治策略,以实现暴刷攻击防治。
进一步地,在一种可行的实施例中,访问终端信息包括国际移动用户识别码IMSI和国际移动设备身份码IMEI,上述步骤S20,根据所述访问IP及所述访问终端信息,筛选所述用户访问请求中的失败请求,细化的步骤包括:
步骤a1,根据所述IMSI和所述IMEI,判断所述用户访问请求是否对应唯一客户端;
步骤a2,若所述用户访问请求对应唯一客户端,则随机提取所述用户访问请求中的第一访问请求和第二访问请求;
步骤a3,若所述第一访问请求对应的第一访问IP,与所述第二访问请求对应的第二访问IP不同,则确定所述第一访问请求和所述第二访问请求为失败请求。
需要说明的是,在安装有本发明提出的多维暴刷攻击防治程序的web应用中,向该应用发送的用户访问请求包括的终端信息中都需要带有能够证明终端身份的信息,例如,IMSI、IMEI、APPID、MAC(Media Access Control,媒体介入控制层)、终端ID、***内用户ID、手机号、(用户)证件号等多个特征信息,一旦命中上述特征之一,就认为是同一个终端发送的用户访问请求,通过IMSI和IMEI,判断用户访问请求是否对应唯一客户端,具体地,用户访问请求具有高频的特征,即,短时间内服务器接收到多条请求,每条请求都包括有终端信息,若多条请求包括的终端信息中的IMSI和IMEI证实这些请求都来自唯一客户端,则随机提取用户访问请求中的两个请求(即,本实施例中的第一访问请求和第二访问请求),若第一访问请求对应的第一访问IP,与第二访问请求对应的第二访问IP不同,则说明随机提取的第一访问请求和第二访问请求是同一个终端通过秒切IP的形式生成的访问请求,则将这些请求判定为失败请求。
进一步地,在一种可行的实施例中,上述步骤S20,根据所述访问IP及所述访问终端信息,筛选所述用户访问请求中的失败请求,细化的步骤还包括:
步骤b1,若目标访问请求对应的目标请求报文中包含代理信息,则确定所述目标访问请求为失败请求,其中,所述目标访问请求属于所述用户访问请求;
步骤b2,若所述目标访问请求对应的目标请求报文中不包含代理信息,则对访问端口进行扫描,以判断所述访问端口是否属于预设代理端口,其中,所述访问端口属于所述目标请求报文中的访问终端信息;
步骤b3,若所述访问端口属于所述预设代理端口,则确定所述目标访问请求为失败请求。
需要说明的是,同一个终端通过秒切IP的形式生成访问请求的方法可以是,用户终端将多条请求发送给代理服务器,然后,代理服务器修改这些请求中的IP,以使用户终端生成的多条同IP的请求转变为多条不同IP的请求,这些不同IP的请求将通过代理服务器转发给web应用的服务器,因此,当用户访问请求中的目标访问请求对应的目标请求报文中包含代理信息时,可以确认目标访问请求是通过代理服务器转发的,这种情况下,就可以认定目标访问请求为失败请求,若代理服务器隐藏了其代理信息,即,目标访问请求对应的目标请求报文中不包含代理信息,则对访问端口进行扫描,以判断访问端口是否属于预设代理端口,其中,访问端口属于目标请求报文中的访问终端信息,若访问端口属于预设代理端口,则确定目标访问请求为失败请求,其中,预设代理端口是指,可以提供秒切换IP服务的代理服务器的可用端口。
进一步地,在一种可行的实施例中,上述步骤S20,基于所述访问账号和所述失败请求,记录所述用户访问请求对应的响应信息,细化的步骤包括:
步骤c1,按预设规则对所述访问账号进行排序,得到账号序列,随机提取所述账号序列中相邻的第一访问账号和第二访问账号,并计算所述第一访问账号和所述第二访问账号之间的汉明距离;
步骤c2,若所述汉明距离小于第一预设阈值,则确定所述第一访问账号和所述第二访问账号为遍历账号,并计算所述遍历账号与所述访问账号的数量比例,得到账号遍历率;
步骤c3,计算所述失败请求与所述访问请求的数量比例,得到请求失败率,其中,所述用户访问请求对应的响应信息包括所述账号遍历率、所述请求失败率及所述访问请求的数量。
可知地,从用户访问请求对应的请求报文中提取访问账号后,按预设规则对提取的访问账号进行排序,得到账号序列,其中,访问账号排序方法可以是,按照ASCII码值排序。然后,随机提取账号序列中相邻的第一访问账号和第二访问账号,并计算第一访问账号和第二访问账号之间的汉明距离,具体地,汉明距离是指,两个等长字符串在对应位置上不同字符的数目,因此,可以用汉明距离除以等长字符串长度来表示两个字符串的相似度,可以设定一个阈值,比如0.3,当两个字符串的相似度低于0.3时,则认为这两个字符串是相似的,第一访问账号和第二访问账号是遍历生成的账号,即,第一访问账号和第二访问账号为遍历账号,并计算遍历账号与访问账号的数量比例,得到账号遍历率,计算失败请求与访问请求的数量比例,得到请求失败率,其中,用户访问请求对应的响应信息包括账号遍历率、请求失败率及访问请求的数量。
在本实施例中,多维暴刷攻击防治程序接收风险决策模块透传的用户访问请求,从用户访问请求对应的请求报文中提取访问账号、访问IP及访问终端信息,然后,根据访问IP及访问终端信息,筛选用户访问请求中的失败请求,并基于访问账号和失败请求,记录用户访问请求对应的响应信息,最终根据响应信息,生成用户访问请求的暴刷攻击检测结果,并将暴刷攻击检测结果透传给风险决策模块,以执行风险决策模块发送的目标防治策略,本发明通过分析用户访问请求,记录用户访问请求对应的响应信息,最终生成暴刷攻击检测结果,以执行对应的防治策略,提高了暴刷攻击检测的准确度。
进一步地,参照图3,在本发明上述实施例的基础上,提出了本发明多维暴刷攻击防治方法的第二实施例。
本实施例是第一实施例中步骤S30细化的步骤,本实施例与本发明上述实施例的区别在于:
步骤S31,若所述访问请求的数量小于第二预设阈值,则确定所述用户访问请求的暴刷攻击检测结果为非暴刷攻击;
步骤S32,若所述访问请求的数量大于或等于第二预设阈值,则判断所述账号遍历率是否大于第一策略阈值,所述请求失败率是否大于第二策略阈值;
步骤S33,若所述账号遍历率大于所述第一策略阈值,或所述请求失败率大于所述第二策略阈值,则确定所述用户访问请求的暴刷攻击检测结果为暴刷攻击。
可知地,通过对响应信息中包含的账号遍历率、请求失败率及访问请求的数量等数据进行计算,当上述数据满足一定的条件时,判定响应信息对应的用户访问请求为暴刷攻击,当上述数据满足一定的条件时,判定响应信息对应的用户访问请求是暴刷攻击,例如,若访问请求的数量大于或等于第二预设阈值的情况下,账号遍历率大于第一策略阈值,或请求失败率大于第二策略阈值,则确定用户访问请求的暴刷攻击检测结果为暴刷攻击;若访问请求的数量小于第二预设阈值,则确定用户访问请求的暴刷攻击检测结果为非暴刷攻击;若访问请求的数量大于或等于第二预设阈值的情况下,账号遍历率小于或等于第一策略阈值,且请求失败率小于或等于第二策略阈值,则确定用户访问请求的暴刷攻击检测结果为非暴刷攻击。
进一步地,在一种可行的实施例中,上述步骤S30,将所述暴刷攻击检测结果透传给所述风险决策模块,以执行所述风险决策模块发送的目标防治策略,细化的步骤包括:
步骤S34,将所述暴刷攻击检测结果透传给所述风险决策模块,以使所述风险决策模块基于所述暴刷攻击生成目标防治策略;
步骤S35,接收所述风险决策模块发送的所述目标防治策略,并执行所述目标防治策略。
将暴刷攻击的检测结果透传给风险决策模块,风险决策模块在接收到暴刷攻击的检测结果后,若暴刷攻击检测结果为用户访问请求是暴刷攻击,则风险决策模块根据检测结果中的暴刷攻击类型反馈对应的防治策略,以实现暴刷攻击防治。
在本实施例中,通过计算访问请求对应的数据确定用户访问请求的暴刷攻击检测结果,提高了暴刷攻击检测的准确度。
此外,参照图4,本发明实施例还提出一种多维暴刷攻击防治装置,所述多维暴刷攻击防治装置包括:
提取模块10,用于接收风险决策模块透传的用户访问请求,从所述用户访问请求对应的请求报文中提取访问账号、访问IP及访问终端信息;
响应信息记录模块20,用于根据所述访问IP及所述访问终端信息,筛选所述用户访问请求中的失败请求,并基于所述访问账号和所述失败请求,记录所述用户访问请求对应的响应信息;
防治策略执行模块30,用于根据所述响应信息,生成所述用户访问请求的暴刷攻击检测结果,并将所述暴刷攻击检测结果透传给所述风险决策模块,以执行所述风险决策模块发送的目标防治策略。
可选地,所述访问终端信息包括国际移动用户识别码IMSI和国际移动设备身份码IMEI,所述响应信息记录模块20,包括:
第一判断单元,用于根据所述IMSI和所述IMEI,判断所述用户访问请求是否对应唯一客户端;
随机提取单元,用于若所述用户访问请求对应唯一客户端,则随机提取所述用户访问请求中的第一访问请求和第二访问请求;
第一确定单元,用于若所述第一访问请求对应的第一访问IP,与所述第二访问请求对应的第二访问IP不同,则确定所述第一访问请求和所述第二访问请求为失败请求。
可选地,所述响应信息记录模块20,还包括:
第二确定单元,用于若目标访问请求对应的目标请求报文中包含代理信息,则确定所述目标访问请求为失败请求,其中,所述目标访问请求属于所述用户访问请求;
扫描单元,用于若所述目标访问请求对应的目标请求报文中不包含代理信息,则对访问端口进行扫描,以判断所述访问端口是否属于预设代理端口,其中,所述访问端口属于所述目标请求报文中的访问终端信息;
第三确定单元,用于若所述访问端口属于所述预设代理端口,则确定所述目标访问请求为失败请求。
可选地,所述响应信息记录模块20,包括:
汉明距离计算单元,用于按预设规则对所述访问账号进行排序,得到账号序列,随机提取所述账号序列中相邻的第一访问账号和第二访问账号,并计算所述第一访问账号和所述第二访问账号之间的汉明距离;
第一数量比例计算单元,用于若所述汉明距离小于第一预设阈值,则确定所述第一访问账号和所述第二访问账号为遍历账号,并计算所述遍历账号与所述访问账号的数量比例,得到账号遍历率;
第二数量比例计算单元,用于计算所述失败请求与所述访问请求的数量比例,得到请求失败率,其中,所述用户访问请求对应的响应信息包括所述账号遍历率、所述请求失败率及所述访问请求的数量。
可选地,所述防治策略执行模块30,包括:
第四确定单元,用于若所述访问请求的数量小于第二预设阈值,则确定所述用户访问请求的暴刷攻击检测结果为非暴刷攻击;
第二判断单元,用于若所述访问请求的数量大于或等于第二预设阈值,则判断所述账号遍历率是否大于第一策略阈值,所述请求失败率是否大于第二策略阈值;
第五确定单元,用于若所述账号遍历率大于所述第一策略阈值,或所述请求失败率大于所述第二策略阈值,则确定所述用户访问请求的暴刷攻击检测结果为暴刷攻击。
可选地,所述防治策略执行模块30,还包括:
目标防治策略生成单元,用于将所述暴刷攻击检测结果透传给所述风险决策模块,以使所述风险决策模块基于所述暴刷攻击生成目标防治策略;
目标防治策略执行单元,用于接收所述风险决策模块发送的所述目标防治策略,并执行所述目标防治策略。
此外,本发明实施例还提出一种介质,所述介质上存储有多维暴刷攻击防治程序,所述多维暴刷攻击防治程序被处理器执行时实现上述实施例提供的多维暴刷攻击防治方法中的操作。
上述各程序模块所执行的方法可参照本发明方法各个实施例,此处不再赘述。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体/操作/对象与另一个实体/操作/对象区分开来,而不一定要求或者暗示这些实体/操作/对象之间存在任何这种实际的关系或者顺序;术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者***不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者***所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者***中还存在另外的相同要素。
对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的。可以根据实际的需要选择中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的多维暴刷攻击防治方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (7)

1.一种多维暴刷攻击防治方法,其特征在于,所述多维暴刷攻击防治方法包括以下步骤:
接收风险决策模块透传的用户访问请求,从所述用户访问请求对应的请求报文中提取访问账号、访问IP及访问终端信息;
根据所述访问IP及所述访问终端信息,筛选所述用户访问请求中的失败请求,并基于所述访问账号和所述失败请求,记录所述用户访问请求对应的响应信息,其中,所述响应信息包括账号遍历率、请求失败率及访问请求的数量;
根据所述响应信息,生成所述用户访问请求的暴刷攻击检测结果,并将所述暴刷攻击检测结果透传给所述风险决策模块,以执行所述风险决策模块发送的目标防治策略;
其中,所述基于所述访问账号和所述失败请求,记录所述用户访问请求对应的响应信息的步骤包括:
按ASCII码值对所述访问账号进行排序,得到账号序列,随机提取所述账号序列中相邻的第一访问账号和第二访问账号,并根据所述第一访问账号和所述第二访问账号的等长字符串在对应位置上不同字符的数目,计算所述第一访问账号和所述第二访问账号之间的汉明距离;将所述汉明距离除以等长字符串长度,获得所述第一访问账号和所述第二访问账号之间的相似度;设置第一预设阈值为0.3,若所述相似度小于第一预设阈值,则确定所述第一访问账号和所述第二访问账号为遍历账号,并计算所述遍历账号与所述访问账号的数量比例,得到账号遍历率;计算所述失败请求与所述访问请求的数量比例,得到请求失败率;
其中,所述根据所述响应信息,生成所述用户访问请求的暴刷攻击检测结果的步骤包括:
根据所述账号遍历率、所述请求失败率及所述访问请求的数量进行计算,若所述访问请求的数量大于或等于第二预设阈值的情况下,所述账号遍历率大于第一策略阈值或者所述请求失败率大于第二策略阈值,则确定所述用户访问请求的暴刷攻击检测结果为暴刷攻击;若所述访问请求的数量小于所述第二预设阈值,则确定所述用户访问请求的暴刷攻击检测结果为非暴刷攻击;若所述访问请求的数量大于或等于所述第二预设阈值的情况下,所述账号遍历率小于或等于所述第一策略阈值且所述请求失败率小于或等于所述第二策略阈值,则确定所述用户访问请求的暴刷攻击检测结果为非暴刷攻击。
2.如权利要求1所述的多维暴刷攻击防治方法,其特征在于,所述访问终端信息包括国际移动用户识别码IMSI和国际移动设备身份码IMEI,所述根据所述访问IP及所述访问终端信息,筛选所述用户访问请求中的失败请求的步骤包括:
根据所述IMSI和所述IMEI,判断所述用户访问请求是否对应唯一客户端;
若所述用户访问请求对应唯一客户端,则随机提取所述用户访问请求中的第一访问请求和第二访问请求;
若所述第一访问请求对应的第一访问IP,与所述第二访问请求对应的第二访问IP不同,则确定所述第一访问请求和所述第二访问请求为失败请求。
3.如权利要求1所述的多维暴刷攻击防治方法,其特征在于,所述根据所述访问IP及所述访问终端信息,筛选所述用户访问请求中的失败请求的步骤,还包括:
若目标访问请求对应的目标请求报文中包含代理信息,则确定所述目标访问请求为失败请求,其中,所述目标访问请求属于所述用户访问请求;
若所述目标访问请求对应的目标请求报文中不包含代理信息,则对访问端口进行扫描,以判断所述访问端口是否属于预设代理端口,其中,所述访问端口属于所述目标请求报文中的访问终端信息;
若所述访问端口属于所述预设代理端口,则确定所述目标访问请求为失败请求。
4.如权利要求1所述的多维暴刷攻击防治方法,其特征在于,所述将所述暴刷攻击检测结果透传给所述风险决策模块,以执行所述风险决策模块发送的目标防治策略的步骤包括:
将所述暴刷攻击检测结果透传给所述风险决策模块,以使所述风险决策模块基于所述暴刷攻击生成目标防治策略;
接收所述风险决策模块发送的所述目标防治策略,并执行所述目标防治策略。
5.一种多维暴刷攻击防治装置,其特征在于,所述多维暴刷攻击防治装置包括:
提取模块,用于接收风险决策模块透传的用户访问请求,从所述用户访问请求对应的请求报文中提取访问账号、访问IP及访问终端信息;
响应信息记录模块,用于根据所述访问IP及所述访问终端信息,筛选所述用户访问请求中的失败请求,并基于所述访问账号和所述失败请求,记录所述用户访问请求对应的响应信息,其中,所述响应信息包括账号遍历率、请求失败率及访问请求的数量;
防治策略执行模块,用于根据所述响应信息,生成所述用户访问请求的暴刷攻击检测结果,并将所述暴刷攻击检测结果透传给所述风险决策模块,以执行所述风险决策模块发送的目标防治策略;
其中,所述响应信息记录模块包括汉明距离计算单元,用于按ASCII码值对所述访问账号进行排序,得到账号序列,随机提取所述账号序列中相邻的第一访问账号和第二访问账号,并根据所述第一访问账号和所述第二访问账号的等长字符串在对应位置上不同字符的数目,计算所述第一访问账号和所述第二访问账号之间的汉明距离;第一数量比例计算单元,用于将所述汉明距离除以等长字符串长度,获得所述第一访问账号和所述第二访问账号之间的相似度;设置第一预设阈值为0.3,若所述相似度小于第一预设阈值,则确定所述第一访问账号和所述第二访问账号为遍历账号,并计算所述遍历账号与所述访问账号的数量比例,得到账号遍历率;第二数量比例计算单元,用于计算所述失败请求与所述访问请求的数量比例,得到请求失败率;
其中,所述防治策略执行模块包括第五确定单元,用于根据所述账号遍历率、所述请求失败率及所述访问请求的数量进行计算,若所述访问请求的数量大于或等于第二预设阈值的情况下,所述账号遍历率大于第一策略阈值或者所述请求失败率大于第二策略阈值,则确定所述用户访问请求的暴刷攻击检测结果为暴刷攻击;第四确定单元,用于若所述访问请求的数量小于所述第二预设阈值,则确定所述用户访问请求的暴刷攻击检测结果为非暴刷攻击;所述第五确定单元,还用于若所述访问请求的数量大于或等于所述第二预设阈值的情况下,所述账号遍历率小于或等于所述第一策略阈值且所述请求失败率小于或等于所述第二策略阈值,则确定所述用户访问请求的暴刷攻击检测结果为非暴刷攻击。
6.一种多维暴刷攻击防治设备,其特征在于,所述多维暴刷攻击防治设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的多维暴刷攻击防治程序,所述多维暴刷攻击防治程序被所述处理器执行时实现如权利要求1至4中任一项所述的多维暴刷攻击防治方法的步骤。
7.一种介质,其特征在于,所述介质上存储有多维暴刷攻击防治程序,所述多维暴刷攻击防治程序被处理器执行时实现如权利要求1至4中任一项所述的多维暴刷攻击防治方法的步骤。
CN202111682637.XA 2021-12-31 2021-12-31 多维暴刷攻击防治方法、装置、设备及介质 Active CN114338216B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111682637.XA CN114338216B (zh) 2021-12-31 2021-12-31 多维暴刷攻击防治方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111682637.XA CN114338216B (zh) 2021-12-31 2021-12-31 多维暴刷攻击防治方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN114338216A CN114338216A (zh) 2022-04-12
CN114338216B true CN114338216B (zh) 2024-03-26

Family

ID=81022054

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111682637.XA Active CN114338216B (zh) 2021-12-31 2021-12-31 多维暴刷攻击防治方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN114338216B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104866953A (zh) * 2015-04-28 2015-08-26 北京嘀嘀无限科技发展有限公司 一种虚假订单的识别方法及装置
CN106157041A (zh) * 2016-07-26 2016-11-23 上海携程商务有限公司 防止刷单的方法
CN108550052A (zh) * 2018-04-03 2018-09-18 杭州呯嘭智能技术有限公司 基于用户行为数据特征的刷单检测方法及***
CN109598563A (zh) * 2019-01-24 2019-04-09 北京三快在线科技有限公司 刷单检测方法、装置、存储介质和电子设备
CN110992072A (zh) * 2018-11-30 2020-04-10 北京嘀嘀无限科技发展有限公司 异常订单预测方法和***
CN111768258A (zh) * 2019-06-05 2020-10-13 北京京东尚科信息技术有限公司 识别异常订单的方法、装置、电子设备和介质
CN112907263A (zh) * 2021-03-22 2021-06-04 北京太火红鸟科技有限公司 异常订单量检测方法、装置、设备及存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104866953A (zh) * 2015-04-28 2015-08-26 北京嘀嘀无限科技发展有限公司 一种虚假订单的识别方法及装置
CN106157041A (zh) * 2016-07-26 2016-11-23 上海携程商务有限公司 防止刷单的方法
CN108550052A (zh) * 2018-04-03 2018-09-18 杭州呯嘭智能技术有限公司 基于用户行为数据特征的刷单检测方法及***
CN110992072A (zh) * 2018-11-30 2020-04-10 北京嘀嘀无限科技发展有限公司 异常订单预测方法和***
CN109598563A (zh) * 2019-01-24 2019-04-09 北京三快在线科技有限公司 刷单检测方法、装置、存储介质和电子设备
CN111768258A (zh) * 2019-06-05 2020-10-13 北京京东尚科信息技术有限公司 识别异常订单的方法、装置、电子设备和介质
CN112907263A (zh) * 2021-03-22 2021-06-04 北京太火红鸟科技有限公司 异常订单量检测方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN114338216A (zh) 2022-04-12

Similar Documents

Publication Publication Date Title
CN109861985B (zh) 基于风险等级划分的ip风控方法、装置、设备和存储介质
CN104519018B (zh) 一种防止针对服务器的恶意请求的方法、装置和***
US8370389B1 (en) Techniques for authenticating users of massive multiplayer online role playing games using adaptive authentication
US8850567B1 (en) Unauthorized URL requests detection
CN103139138B (zh) 一种基于客户端检测的应用层拒绝服务防护方法及***
CN109327439B (zh) 业务请求数据的风险识别方法、装置、存储介质及设备
CN104836781A (zh) 区分访问用户身份的方法及装置
US9639689B1 (en) User authentication
EP3750275B1 (en) Method and apparatus for identity authentication, server and computer readable medium
CN109194671A (zh) 一种异常访问行为的识别方法及服务器
CN108234454B (zh) 一种身份认证方法、服务器及客户端设备
CN111970261A (zh) 网络攻击的识别方法、装置及设备
CN108282443B (zh) 一种爬虫行为识别方法和装置
CN108009406B (zh) 一种账号冻结方法、账号解冻方法及服务器
CN113680074B (zh) 业务信息的推送方法、装置、电子设备及可读介质
CN114928452A (zh) 访问请求验证方法、装置、存储介质及服务器
CN112702321B (zh) 分布式交易限流方法、装置、设备及存储介质
CN109547427A (zh) 黑名单用户识别方法、装置、计算机设备及存储介质
CN105592070B (zh) 应用层DDoS防御方法及***
CN114301711B (zh) 防暴刷方法、装置、设备、存储介质及计算机程序产品
CN110943989B (zh) 一种设备鉴别方法、装置、电子设备及可读存储介质
CN114338216B (zh) 多维暴刷攻击防治方法、装置、设备及介质
CN111200591A (zh) 多重人机验证方法、装置、设备和存储介质
CN111585978A (zh) 一种拦截虚假请求的方法、客户端、服务端及***
CN109600361A (zh) 基于哈希算法的验证码防攻击方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant