CN114900330A - 一种页面防护的方法和装置 - Google Patents
一种页面防护的方法和装置 Download PDFInfo
- Publication number
- CN114900330A CN114900330A CN202210360495.3A CN202210360495A CN114900330A CN 114900330 A CN114900330 A CN 114900330A CN 202210360495 A CN202210360495 A CN 202210360495A CN 114900330 A CN114900330 A CN 114900330A
- Authority
- CN
- China
- Prior art keywords
- data
- risk
- domain name
- access
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 62
- 230000004044 response Effects 0.000 claims description 53
- 238000007789 sealing Methods 0.000 claims description 25
- 230000000903 blocking effect Effects 0.000 claims description 18
- 239000006185 dispersion Substances 0.000 claims description 14
- 238000012795 verification Methods 0.000 claims description 12
- 238000012163 sequencing technique Methods 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 9
- 238000010586 diagram Methods 0.000 description 20
- 238000004891 communication Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 208000005374 Poisoning Diseases 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 231100000572 poisoning Toxicity 0.000 description 1
- 230000000607 poisoning effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种页面防护的方法和装置,涉及计算机技术领域。该方法的一具体实施方式包括:获取页面的一个或多个访问数据;根据所述访问数据中的域名,对所述一个或多个访问数据进行分组;其中,同一组中的访问数据对应同一域名;根据同一组中的所述访问数据确定风险域名;从所述风险域名对应的访问数据中确定出风险数据;根据所述风险数据,对所述页面进行防护。该实施方式能够先确定出访问数据中的风险域名,再从风险域名对应的访问数据中确定出风险数据,防护精度高。同时采用访问数据作为确定依据,相比于仅通过HTTP(s)请求频次作为确定依据,得到的风险数据更加准确,误差率低。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种页面防护的方法和装置。
背景技术
随着计算机领域的快速发展,页面访问的安全性问题尤为重要。现有的页面防护***是对HTTP(s)请求进行频次分析,当访问频次超过设定阈值时进行防护。
虽然现有的防护措施可以达到一定的防护效果,但是存在以下问题:不能防护大量傀儡机同时攻击的场景或误杀同一出口IP场景,这导致防护的准确度较低,对防护效果较差。
发明内容
有鉴于此,本发明实施例提供一种页面防护的方法,能够先确定出访问数据中的风险域名,再从风险域名对应的访问数据中确定出风险数据,防护精度高。同时采用访问数据作为确定依据,相比于仅通过HTTP(s)请求频次作为确定依据,得到的风险数据更加准确,误差率低,从而提高页面防护效果。
为实现上述目的,根据本发明实施例的一个方面,提供了一种页面防护的方法。
本发明实施例的一种页面防护的方法包括:获取页面的一个或多个访问数据;根据所述访问数据中的域名,对所述一个或多个访问数据进行分组;其中,同一组中的访问数据对应同一域名;根据同一组中的所述访问数据确定风险域名;从所述风险域名对应的访问数据中确定出风险数据;根据所述风险数据,对所述页面进行防护。
可选地,所述根据同一组中的所述访问数据确定风险域名,包括:针对同一组所述访问数据:根据每一个所述访问数据分别对应的IP数据、浏览器指纹数据和/或HTTP响应数据,确定域名对应的访问参数;根据所述访问参数确定所述域名的风险分值;根据所述风险分值确定所述域名是否为所述风险域名。
可选地,所述根据所述访问参数确定所述域名的风险分值,包括:根据所述IP数据、浏览器指纹数据和/或HTTP响应数据,确定所述域名在多个时间段下分别对应的数据量;根据所述域名在多个时间段下分别对应的数据量,计算每一组所述访问数据对应的域名的风险分值。
可选地,所述多个时间段下分别对应的数据量包括:单位时间段内的数据量、第一时间段内的最大数据量以及第二时间段的平均数据量;
根据所述域名在多个时间段下分别对应的数据量,计算每一组所述访问数据对应的域名的风险分值,包括:根据当前单位时间段内的第一数据量与上一个单位时间时段内的第二数据量,计算单位时间内的数据增长率;根据所述第一数据量计算与所述第二时间段对应的预测数据量;根据所述第一时间段内的平均数据增长率、所述预测数据量、第一时间段内的最大数据量以及第二时间段的平均数据量,计算所述风险分值。
可选地,所述根据所述第一时间段内的平均数据增长率、所述预测数据量、第一时间段内的最大数据量以及第二时间段的平均数据量,计算所述风险分值,包括:根据所述第一数据量分别与所述最大数据量、所述平均数据量、预测数据量的比值、以及所述数据增长率与所述平均数据增长率的比值,计算所述风险分值。
可选地,所述根据所述第一数据量分别与所述最大数据量、所述平均数据量、预测数据量的比值、以及所述数据增长率与所述平均数据增长率的比值,计算所述风险分值,包括:根据所述第一数据量分别与所述最大数据量、所述平均数据量、预测数据量的比值、以及所述数据增长率与所述平均数据增长率的比值、所述HTTP响应数据及其分别对应的权重,计算所述风险分值。
可选地,所述根据同一组中的所述访问数据确定风险域名,包括:根据所述风险分值和预设的风险命中策略,确定所述域名是否为风险域名。
可选地,所述根据所述风险分值和预设的风险命中策略,确定所述域名是否为风险域名,还包括:根据所述风险分值确定所述域名的风险等级;针对风险等级高于预设等级阈值的域名,确定所述域名对应的访问参数是否符合所述风险命中策略,如果是,确定所述域名为风险域名。
可选地,所述风险命中策略包括:第一数据量大于预设第一阈值、以及所述第一数据量大于所述最大数据量的预设第一倍数和所述第一数据量大于所述平均数据量的预设第二倍数中的至少一个、以及以下至少一个:所述数据增长率大于预设第二阈值、所述第一数据量大于所述预测数据量的预设第三倍数、单位时间段内的HTTP响应数据大于所述第二时间段内HTTP响应数据均值的预设第四倍数中。
可选地,所述从所述风险域名对应的访问数据中确定出风险数据,包括:针对同一组所述访问数据:分别根据所述访问数据对应的IP数据和浏览器指纹数据,对所述风险域名对应的访问数据进行由大到小排序;将排序结果中位于预设位置之前的至少一个访问数据作为所述风险数据。
可选地,在所述将排序结果中位于预设位置之前的至少一个访问数据作为所述风险数据之前,还包括:针对IP数据排序的情况:根据所述IP数据的请求数大于预设第一请求数阈值、以及以下至少一个,确定所述预设位置:单个IP请求数与所述域名对应的总请求数的比值大于预设第一比值、请求数与URI离散度的比值大于预设第二比值、所述HTTP响应数据中的请求错误响应码与服务器错误响应码在IP数据的请求数中所占的比值大于预设第三比值、所述IP数据中代理的离散度等于预设阈值。
可选地,所述根据所述风险数据,对所述页面进行防护,包括:根据所述域名的风险等级,确定所述域名对应的封禁比例和封禁周期;按照所述排序结果和所述封禁比例,对所述风险数据进行分组;按照所述封禁比例和封禁周期各组风险数据进行分批封禁。
可选地,该方法还包括:获取新的访问数据;在所述新的访问数据属于所述风险数据的情况下,确定所述封禁周期是否结束;在所述封禁周期结束的情况下,重新确定所述新的访问数据对应的域名是否为风险域名。
可选地,该方法还包括:针对所述风险数据对应的用户进行javascript挑战或验证码验证,将挑战或验证通过的一个或多个风险数据确定为非风险数据。
可选地,该方法还包括:将所述风险数据以哈希格式存入Redis缓存;根据所述Redis缓存存储的风险数据,确定新的访问数据是否为风险数据。
为实现上述目的,根据本发明实施例的又一方面,提供了一种页面防护的装置。
本发明实施例的一种页面防护的装置包括:获取模块,用于获取页面的一个或多个访问数据;分组模块,用于根据所述访问数据中的域名,对所述一个或多个访问数据进行分组;其中,同一组中的访问数据对应同一域名;确定模块,用于根据同一组中的所述访问数据确定风险域名;还用于从所述风险域名对应的访问数据中确定出风险数据;防护模块,用于根据所述风险数据,对所述页面进行防护。
为实现上述目的,根据本发明实施例的又一方面,提供了一种页面防护的电子设备。
本发明实施例的一种页面防护的电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明实施例的一种页面防护的方法。
为实现上述目的,根据本发明实施例的再一方面,提供了一种计算机可读存储介质。
本发明实施例的一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现本发明实施例的一种页面防护的方法。
上述发明中的一个实施例具有如下优点或有益效果:能够先确定出访问数据中的风险域名,再从风险域名对应的访问数据中确定出风险数据,防护精度高。同时采用访问数据作为确定依据,相比于仅通过HTTP(s)请求频次作为确定依据,得到的风险数据更加准确,误差率低。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明实施例的页面防护的方法的主要步骤的示意图;
图2是根据本发明实施例的一种确定风险域名的主要步骤的示意图;
图3是根据本发明实施例的确定风险域名的具体过程的主要步骤的示意图;
图4是根据本发明实施例的计算风险分值的主要步骤的示意图;
图5是根据本发明实施例的另一种确定风险域名的主要步骤的示意图;
图6是根据本发明实施例的确定风险数据的主要步骤的示意图;
图7是根据本发明实施例的根据风险数据对页面进行防护的主要步骤的示意图;
图8是根据本发明实施例的对风险数据进行存储的主要步骤的示意图;
图9是根据本发明实施例获取新的访问数据后的主要步骤的示意图;
图10是根据本发明实施例一种页面防护的方法的详细步骤的示意图;
图11是根据本发明实施例的页面防护的装置的主要模块的示意图;
图12是本发明实施例可以应用于其中的示例性***架构图;
图13是适于用来实现本发明实施例的终端设备或服务器的计算机***的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
需要指出的是,在不冲突的情况下,本发明的实施例以及实施例中的技术特征可以相互结合。
在现有的页面防护领域,CC(Challenge Collapsar,挑战黑洞)攻击是一种常见的Web攻击,其作为DDos(Distributed denial of service,分布式拒绝服务攻击)中的一种,比DDos攻击更难防御,原因是DDos只是通过控制大量被黑客成功入侵并受远程操纵的主机(傀儡机)进行粗暴的攻击,而CC攻击是通过代理服务器或者控制大量傀儡机进行合法的Web请求,所以更难被识别和防护。
CC攻击的主要手段是通过大量合法HTTP请求消耗服务器CPU、内存以及网络带宽等资源,最终使服务器因为资源导致的各种问题返回响应数据中的服务器错误响应码,(5XX系列响应码,如500、501、502等),从而导致正常用户的请求无法被正常处理。客户端表现出来的现象就是请求的页面打不开或者页面显示不全,甚至直接收到服务器返回的503服务不可用等错误。服务器表现出来的现象是CPU资源消耗高、网络带宽消耗高、Web请求日志有大量有CC攻击特征的请求。有的CC攻击还会针对服务器消耗资源多的URL进行攻击,从而导致服务器资源消耗更高。
现有的防御***为WAF(Web Application Firewall,页面应用防火墙)防护***,是对HTTP(s)请求进行检测分析,识别出攻击并进行防护的安全产品。虽然现有的防护措施可以达到一定的防护效果,但是存在以下问题:1)不能防护大量傀儡机同时攻击的场景,因为在这种攻击场景下单个源IP的每秒查询率并不是很高,很可能没有超过设置阀值,导致不能触发防护措施;2)误杀同一出口IP场景,在这种场景下大量访问者使用同一个出口IP(例如同一个公司),源IP的每秒查询率必然会明显高于其他IP,超过了CC(ChallengeCollapsar,挑战黑洞)设置的阀值,仅通过访问频次判断必然会造成误杀。同时在不同的业务场景下,业务流量是动态化的,需要手动修改阈值来确定触发防护的访问频次,准确度极低。
为了更好的CC攻击进行防护,本发明基于WAF防护***,提供了一种页面防护的方法,图1是根据本发明实施例的页面防护的方法的主要步骤的示意图。
如图1所示,本发明实施例的页面防护的方法主要包括以下步骤:
步骤S101:获取页面的一个或多个访问数据;
步骤S102:根据访问数据中的域名,对一个或多个访问数据进行分组;其中,同一组中的访问数据对应同一域名;
步骤S103:根据同一组中的访问数据确定风险域名;
步骤S104:从风险域名对应的访问数据中确定出风险数据;
步骤S105:根据风险数据,对页面进行防护。
在现有的WAF防护***中,各个WAF防护节点分布式部署于各个客户端上,可以实时监控得到各个客户端的访问信息并生成访问日志,对于步骤S101中的访问数据,则是从访问日志中可以直接获取的。在一种可选的实施例中,访问数据包括访问请求的IP数据、UserAgent(代理)数据、Referer(请求头)数据、URI(Uniform Resource Identifier,统一资源标志符)数据、HTTP_4XX响应码(4XX系列响应码,如400、401、402等)、HTTP_5XX响应码(5XX系列响应码,如500、501、502等)以及浏览器指纹信息。本发明实施例正是通过上述访问数据对风险域名和风险数据进行确定,相比于现有技术中仅通过访问频次确定风险数据,准确率更高,同时防护效果更好。
其中,URI数据相当于Web的网页地址,根据访问数据中的URI数据,可以确定出各个访问数据的域名,进而可以根据域名对一个或多个访问数据进行分组。
对于步骤S103,在一种可选的实施例中,针对同一组所述访问数据,如图2所示,包括:
步骤S201:根据每一个访问数据分别对应的IP数据、浏览器指纹数据和/或HTTP响应数据,确定域名对应的访问参数;
步骤S202:根据访问参数确定域名的风险分值;
步骤S203:根据风险分值确定域名是否为风险域名。
对于步骤S203,在一种可选的实施例中,可以预先设定多个风险级别以及各个风险级别所对应的风险分值,根据风险分值所处的风险级别确定域名是否为风险域名。
示例性地,风险分值小于等于200时,认为域名风险级别为Level l,表示正常无风险;风险分值在200~500之间的时候,认为且域名风险级别为Level 2,表示该域名存在中度风险;风险分值大于500时,认为域名风险级别为Level 3,表示该域名存在高度风险。其中,中度风险和高度风险都表示域名为风险域名。
其中,访问参数可以是一个或多个,下面以访问参数为多个的情况,对步骤S202中确定域名风险分值的具体过程做详细说明。在一种可选的实施例中,访问参数包括:域名在多个时间段下分别对应的IP数据、浏览器指纹数据和/或HTTP响应数据;步骤S202如图3所示,进一步包括:
步骤S301:根据IP数据、浏览器指纹数据和/或HTTP响应数据,确定域名在多个时间段下分别对应的数据量;
步骤S302:根据数据量,计算每一组访问数据对应的域名的风险分值。
在进一步可选的实施例中,多个时间段下分别对应的数据量包括:单位时间段内的数据量、第一时间段内的最大数据量以及第二时间段的平均数据量。因此步骤S301如图4所示,可以包括:
步骤S401:根据当前单位时间段内的第一数据量与上一个单位时间时段内的第二数据量,计算单位时间内的数据增长率;
步骤S402:根据第一数据量计算与第二时间段对应的预测数据量;
步骤S403:根据第一时间段内的平均数据增长率、预测数据量、第一时间段内的最大数据量以及第二时间段的平均数据量,计算风险分值。
在更进一步可选的实施例中,步骤S403包括:根据第一数据量分别与最大数据量、平均数据量、预测数据量的比值、以及数据增长率与平均数据增长率的比值,计算风险分值。其中,可以进一步包括:根据第一数据量分别与最大数据量、平均数据量、预测数据量的比值、以及数据增长率与平均数据增长率的比值、HTTP响应数据及其分别对应的权重,计算风险分值。
示例性地,访问参数包括域名当前时间戳(间隔1分钟)请求总数h_total、1天内的历史请求最大值h_total_max、5分钟内的请求平均数h_total_avg、域名当前时间戳(间隔1分钟)的请求增长率h_rate_inc、域名时间戳前5分钟请求的平均增长率h_avg_rate_inc、当前时间戳请求数的预测值h_total_predict。其中,在一种可选的实施例中,当前时间戳请求数的预测值h_total_predict通过对当前时间戳前5分钟的请求数据进行加权平均计算得到,权重依次为[1/15,2/15,3/15,4/15,5/15]。时间越靠近当前时间戳,权重越大,可以更加有效地对趋势进行预测。
在得到上述访问参数后,可以进一步得到当前时间戳请求数与1天内的历史请求最大值的比值h_ratio_total_max=h_total/h_total_max、当前时间戳请求数与5分钟内的请求平均数的比值h_ratio_total_avg=h_total/h_total_avg、当前时间戳请求增长率与5分钟请求平均增长率的比值h_ratio_total_inc_rate=h_rate_inc/h_avg_rate_inc、当前时间戳请求数与当前时间戳请求数预测值的比值h_ratio_total_predict=h_total/h_total_predict。进一步地,作为访问参数的HTTP响应数据可以包括:HTTP_4XX响应码和HTTP_5XX响应码,根据HTTP响应数据可以得到当前时间戳请求响应码5XX与历史5分钟响应码5XX均值的比值h_ratio_total_5xx_avg=h_5xx/h_5xx_avg。
在一种可选的实施例中,基于上述得到的各个比值,采用加权平均的方式进行风险分值的计算,设定评分变量为scoreVars,对于评分变量的计算过程具体如下式(1)所示:
scoreVars=[h_ratio_total_max,h_ratio_total_avg,ratio_total_inc_rate,h_ratio_total_predict,h_ratio_total_5xx_avg]式(1)
其中,对于评分变量中的各个参数h_ratio_total_max、h_ratio_total_avg、h_ratio_total_inc_rate、h_ratio_total_predict和h_ratio_total_5xx_avg,权重scoreWeight依次为[20,20,10,10,5]。
风险分值如下式(2):
通过上述步骤,即可根据同一域名下的各种参数确定得到该域名的风险分值,再根据风险分值所处的分数区间来确定域名是否为风险域名,以及具体的风险等级。
在一种可选的实施例中,为避免单纯因为风险评分将域名确定为风险域名存在误差,步骤S103还包括:根据风险分值和预设的风险命中策略,确定域名是否为风险域名。其中,在一种可选的实施例中,如图5所示,包括:
步骤S501:根据风险分值确定域名的风险等级;
步骤S502:针对风险等级高于预设等级阈值的域名,确定域名对应的访问参数是否符合风险命中策略,如果是,确定域名为风险域名。
示例性地,预设等级可以设置为中度风险,轻度风险以及无风险的域名对于资源的消耗相对较小,而中度风险和高度风险对于网站或者运营商的损失较为严重,因此在风险等级高于中度风险时,再进行访问参数是否符合风险命中策略的确定。
对于风险命中策略的设定,在一种可选的实施例中,风险命中策略包括:第一数据量大于预设第一阈值、以及第一数据量大于最大数据量的预设第一倍数和第一数据量大于平均数据量的预设第二倍数中的至少一个、以及以下至少一个:数据增长率大于预设第二阈值、第一数据量大于预测数据量的预设第三倍数、单位时间段内的HTTP响应数据大于第二时间段内HTTP响应数据均值的预设第四倍数。
示例性地,风险命中策略包括:
策略一:域名当前分钟总请求数大于500,即h_total>500;
策略二:域名当前请求数超过历史请求峰值2倍以上,即h_ratio_total_max>2;
策略三:域名当前请求数是域名请求数历史近5分钟均值2倍以上,即h_ratio_total_avg>2;
策略四:域名当前请求数增长率是2倍以上,即h_ratio_total_inc_rate>2;
策略五:域名请求数实际值是预测值的2倍以上,即h_ratio_total_predict>2;
策略六:域名请求响应码返回5XX的个数是历史5分钟5XX均值的2倍以上,即h_ratio_total_5xx_avg>2。
当满足策略一的基础上,还满足策略二和策略三中至少一个、策略四至策略六中至少一个时,则认为满足风险命中策略,确定该域名为风险域名。
在确定域名是否为风险域名后,还需在该域名下所对应的一个或多个访问数据中,进一步确定出风险数据。在一种可选的实施例中,如图6所示,对于步骤S104,针对同一组所述访问数据,可以进一步包括:
步骤S601:分别根据访问数据对应的IP数据和浏览器指纹数据,对风险域名对应的访问数据进行由大到小排序;
步骤S602:将排序结果中位于预设位置之前的至少一个访问数据作为风险数据。
对于IP数据和浏览器指纹数据进行排序前,都需要预先确定预设位置,在一种可选的实施例中,针对IP数据排序的情况,包括:根据IP数据的请求数大于预设第一请求数阈值、以及单个IP请求数与域名对应的总请求数的比值大于预设第一比值、IP数据的请求数与URI离散度的比值大于预设第二比值、HTTP响应数据中的响应码4XX和响应码5XX在IP数据的请求数中所占比值大于预设第三比值、IP数据中代理的离散度等于预设阈值中的至少一个,确定预设位置。
示例性地,针对IP数据,确定预设位置的规则如下:
rule_0:最小请求数大于100,即ip_total>100;
rule_1:单IP请求数(ip_total)占比域名请求数(h_total)超过50%,即ip_total/h_total>0.5;
rule_2:IP数据的请求数(ip_total)与URI离散度(ip_disc_uri)的比值大于100,即ip_total/ip_disc_uri>100;
rule_3:响应码4XX(ip_4xx)和响应码5XX(ip_5xx)在IP数据的请求数(ip_total)中所占比值大于0.2,即(ip_4xx+ip_5xx)/ip_total>0.20;
rule_4:IP数据中代理的离散度等于1,即ip_disc_ua=1。
在满足rule_0的基础上,rule_1、rule_2、rule_3和rule_4中满足至少一个,即可确定出预设位置。
在另一种可选的实施例中,针对浏览器指纹数据排序的情况,包括:根据浏览器指纹数据的请求数大于预设第二请求数阈值、以及响应数据中HTTP_4XX和HTTP_5XX在浏览器指纹数据的请求数中的异常占比大于第四比值、浏览器指纹数据中统一资源标志符的离散度等于预设第一阈值、浏览器指纹数据中代理的离散度等于预设第二阈值中的至少一个,确定预设位置。
示例性地,针对浏览器指纹数据,确定预设位置的规则如下:
rule_0:最小请求数大于50,即ip_total>50;
rule_1:响应数据中HTTP_4XX和HTTP_5XX(ip_4xx+ip_5xx)在浏览器指纹数据的请求数(ip_total)中的异常占比大于0.20,即(ip_4xx+ip_5xx)/ip_total>0.20;
rule_2:浏览器指纹数据中统一资源标志符的离散度等于1,即ip_disc_uri=1;
rule_3:浏览器指纹数据中代理的离散度等于1,即ip_disc_ua=1。
在满足rule_0的基础上,rule_1、rule_2和rule_3中满足至少一个,即可确定出预设位置。
需要说明的是,第二请求数阈值与第一请求数阈值、第二阈值与第一阈值可以为相同数值,也可以为不同数值,本申请中的第一第二仅是用于区分针对IP数据还是浏览器指纹数据,并不对具体数值进行限定。
通过上述预设位置的确定,即可以得到风险域名下的风险数据,进而可以完成步骤S105,根据风险数据对页面进行防护。在一种可选的实施例中,防护的具体过程如图7所示,包括:
步骤S701:根据域名的风险等级,确定域名对应的封禁比例和封禁周期;
步骤S702:按照排序结果和封禁比例,对风险数据进行分组;
步骤S703:按照封禁比例和封禁周期各组风险数据进行分批封禁。
针对域名不同的风险等级,可以预先设置不同的封禁比例,以对风险数据的访问进行限制,降低服务器压力。在一种可选的实施例中,可以对所有的风险数据均进行封禁,但是这样会存在误封的现象,而且在服务器没有压力的时候,可以负荷一定程度风险数据的访问,并不会对其他用户的访问造成影响。因此,在更为优选的实施例中,按照比例分批对风险数据进行封禁,如果在第一批风险数据被封禁后,服务器仍然超负荷运作,那么就继续封禁第二批,以此类推,直至服务器压力不超过预设阈值。
示例性地,域名的风险等级越高,那么对应的封禁比例和封禁周期也会相对较长。例如,当域名的风险等级为高度风险时,封禁比例每次为50%,封禁周期为60min;当名的风险等级为中毒风险时,封禁比例每次为200%,封禁周期为30min。其中,在一种可选的实施例中,依据风险数据的排列顺序,由风险高至风险低依次进行选取。例如,域名A的风险等级为中度风险,在域名A下共有100条访问数据,其中风险数据为40条,封禁比例为20%,也就是每次封禁20条数据。那么第一批封禁的数据即为第1~8条访问数据,第二批封禁的数据即为第9~16条访问数据,第三批封禁的数据即为第17~24条,第四批封禁的数据即为第25~32条访问数据,第五批封禁的数据即为第33~40条访问数据。
确定出风险数据后,需要对其进行存储,在一种可选的实施例中,如图8所示,包括:
步骤S801:将风险数据以哈希格式存入Redis缓存;
步骤S802:根据Redis缓存存储的风险数据,确定新的访问数据是否为风险数据。
对于步骤S802,在一种可选的实施例中,在获取新的访问数据后,可以实时判断新的访问数据是否需要封禁。具体如图9所示,包括:
步骤S901:获取新的访问数据;
步骤S902:在新的访问数据属于风险数据的情况下,确定封禁周期是否结束;
步骤S903:在封禁周期结束的情况下,重新确定新的访问数据对应的域名是否为风险域名。
当新的访问数据仍处在封禁周期的时间内时,可以直接拒绝访问,以减轻服务器的压力。
在一种可选的实施例中,对于风险数据还可以进行人工验证,当验证通过时,认为该数据为非风险数据。具体包括:针对风险数据对应的用户进行javascript挑战或验证码验证,将挑战或验证通过的一个或多个风险数据确定为非风险数据。
图10为本发明实施例的一种页面防护的方法,如图10所示,包括:
步骤S1001:获取页面的一个或多个访问数据;
步骤S1002:根据访问数据中的域名,对一个或多个访问数据进行分组;其中,同一组中的访问数据对应同一域名;
步骤S1003:针对同一组的访问数据:根据每一个访问数据分别对应的IP数据、浏览器指纹数据和HTTP响应数据,确定域名对应的访问参数;
步骤S1004:根据访问参数确定域名的风险分值;
步骤S1005:根据风险分值确定域名是否为风险域名;
步骤S1006:针对风险域名,判断是否命中风险命中策略;
若否,则执行步骤S1007:将该风险域名确定为非风险域名;
若是,则执行步骤S1008:针对风险等级高于预设等级阈值的域名,确定域名对应的访问参数是否符合风险命中策略;
如果否,则重复执行步骤S1007:将该风险域名确定为非风险域名;否则,执行步骤S1009:确定域名为风险域名;
步骤S1010:分别根据访问数据对应的IP数据和浏览器指纹数据,对风险域名对应的访问数据进行由大到小排序;
步骤S1011:将排序结果中位于预设位置之前的至少一个访问数据作为风险数据;
步骤S1012:根据域名的风险等级,确定域名对应的封禁比例和封禁周期;
步骤S1013:按照排序结果和封禁比例,对风险数据进行分组;
步骤S1014:按照封禁比例和封禁周期各组风险数据进行分批封禁。
根据本发明实施例的页面防护的方法,能够先确定出访问数据中的风险域名,再从风险域名对应的访问数据中确定出风险数据,防护精度高。同时采用访问数据作为确定依据,相比于仅通过HTTP(s)请求频次作为确定依据,得到的风险数据更加准确,误差率低。
图11是根据本发明实施例的页面防护的装置的主要模块的示意图。
如图11所示,本发明实施例的页面防护的装置1100包括:
获取模块1101,用于获取页面的一个或多个访问数据;
分组模块1102,用于根据所述访问数据中的域名,对所述一个或多个访问数据进行分组;其中,同一组中的访问数据对应同一域名;
确定模块1103,用于根据同一组中的所述访问数据确定风险域名;还用于从所述风险域名对应的访问数据中确定出风险数据;
防护模块1104,用于根据所述风险数据,对所述页面进行防护。
在本发明一种可选的实施例中,所述确定模块1103还用于针对同一组所述访问数据:根据每一个所述访问数据分别对应的IP数据、浏览器指纹数据和/或HTTP响应数据,确定域名对应的访问参数;根据所述访问参数确定所述域名的风险分值;根据所述风险分值确定所述域名是否为所述风险域名。
在本发明一种可选的实施例中,所述确定模块1103还用于,根据所述IP数据、浏览器指纹数据和/或HTTP响应数据,确定所述域名在多个时间段下分别对应的数据量;根据所述域名在多个时间段下分别对应的数据量,计算每一组所述访问数据对应的域名的风险分值。
在本发明一种可选的实施例中,所述多个时间段下分别对应的数据量包括:单位时间段内的数据量、第一时间段内的最大数据量以及第二时间段的平均数据量;所述确定模块1103还用于,根据当前单位时间段内的第一数据量与上一个单位时间时段内的第二数据量,计算单位时间内的数据增长率;根据所述第一数据量计算与所述第二时间段对应的预测数据量;根据所述第一时间段内的平均数据增长率、所述预测数据量、第一时间段内的最大数据量以及第二时间段的平均数据量,计算所述风险分值。
在本发明一种可选的实施例中,所述确定模块1103还用于,根据所述第一数据量分别与所述最大数据量、所述平均数据量、预测数据量的比值、以及所述数据增长率与所述平均数据增长率的比值,计算所述风险分值。
在本发明一种可选的实施例中,所述确定模块1103还用于,根据所述第一数据量分别与所述最大数据量、所述平均数据量、预测数据量的比值、以及所述数据增长率与所述平均数据增长率的比值、所述HTTP响应数据及其分别对应的权重,计算所述风险分值。
在本发明一种可选的实施例中,所述确定模块1103还用于,根据所述风险分值和预设的风险命中策略,确定所述域名是否为风险域名。
在本发明一种可选的实施例中,所述确定模块1103还用于,根据所述风险分值确定所述域名的风险等级;针对风险等级高于预设等级阈值的域名,确定所述域名对应的访问参数是否符合所述风险命中策略,如果是,确定所述域名为风险域名。
在本发明一种可选的实施例中,所述风险命中策略包括:第一数据量大于预设第一阈值、以及所述第一数据量大于所述最大数据量的预设第一倍数和所述第一数据量大于所述平均数据量的预设第二倍数中的至少一个、以及以下至少一个:所述数据增长率大于预设第二阈值、所述第一数据量大于所述预测数据量的预设第三倍数、单位时间段内的HTTP响应数据大于所述第二时间段内HTTP响应数据均值的预设第四倍数。
在本发明一种可选的实施例中,所述确定模块1103还用于,针对同一组所述访问数据:分别根据所述访问数据对应的IP数据和浏览器指纹数据,对所述风险域名对应的访问数据进行由大到小排序;将排序结果中位于预设位置之前的至少一个访问数据作为所述风险数据。
在本发明一种可选的实施例中,所述确定模块1103还用于,在所述将排序结果中位于预设位置之前的至少一个访问数据作为所述风险数据之前,针对IP数据排序的情况::根据所述IP数据的请求数大于预设第一请求数阈值、以及以下至少一个,确定所述预设位置:单个IP请求数与所述域名对应的总请求数的比值大于预设第一比值、请求数与URI离散度的比值大于预设第二比值、所述HTTP响应数据中的请求错误响应码与服务器错误响应码在IP数据的请求数中所占的比值大于预设第三比值、所述IP数据中代理的离散度等于预设阈值。
在本发明一种可选的实施例中,所述防护模块还用于,根据所述域名的风险等级,确定所述域名对应的封禁比例和封禁周期;按照所述排序结果和所述封禁比例,对所述风险数据进行分组;按照所述封禁比例和封禁周期各组风险数据进行分批封禁。
在本发明一种可选的实施例中,所述获取模块1101还用于,获取新的访问数据;在所述新的访问数据属于所述风险数据的情况下,确定所述封禁周期是否结束;在所述封禁周期结束的情况下,重新确定所述新的访问数据对应的域名是否为风险域名。
在本发明一种可选的实施例中,针对所述风险数据对应的用户进行javascript挑战或验证码验证,将挑战或验证通过的一个或多个风险数据确定为非风险数据。
在本发明一种可选的实施例中,所述装置还包括存储模块,用于将所述风险数据以哈希格式存入Redis缓存;根据所述Redis缓存存储的风险数据,确定新的访问数据是否为风险数据。
根据本发明实施例的页面防护的装置,能够先确定出访问数据中的风险域名,再从风险域名对应的访问数据中确定出风险数据,防护精度高。同时采用访问数据作为确定依据,相比于仅通过HTTP(s)请求频次作为确定依据,得到的风险数据更加准确,误差率低。
图12示出了可以应用本发明实施例的页面防护的方法或页面防护的装置的示例性***架构1200。
如图12所示,***架构1200可以包括终端设备1201、1202、1203,网络1204和服务器1205。网络1204用以在终端设备1201、1202、1203和服务器1205之间提供通信链路的介质。网络1204可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备1201、1202、1203通过网络1204与服务器1205交互,以接收或发送消息等。终端设备1201、1202、1203上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备1201、1202、1203可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器1205可以是提供各种服务的服务器,例如对用户利用终端设备1201、1202、1203所浏览的购物类网站提供支持的后台管理服务器。后台管理服务器可以对接收到的访问请求等数据进行分析等处理,并将处理结果(例如风险数据)反馈给终端设备。
需要说明的是,本发明实施例所提供的页面防护的方法一般由服务器1205执行,相应地,页面防护的装置一般设置于服务器1205中。
应该理解,图12中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图13,其示出了适于用来实现本发明实施例的终端设备的计算机***1300的结构示意图。图13示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图13所示,计算机***1300包括中央处理单元(CPU)1301,其可以根据存储在只读存储器(ROM)1302中的程序或者从存储部分1308加载到随机访问存储器(RAM)1303中的程序而执行各种适当的动作和处理。在RAM 1303中,还存储有***1300操作所需的各种程序和数据。CPU 1301、ROM 1302以及RAM 1303通过总线1304彼此相连。输入/输出(I/O)接口1305也连接至总线1304。
以下部件连接至I/O接口1305:包括键盘、鼠标等的输入部分1306;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1307;包括硬盘等的存储部分1308;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1309。通信部分1309经由诸如因特网的网络执行通信处理。驱动器1310也根据需要连接至I/O接口1305。可拆卸介质1311,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1310上,以便于从其上读出的计算机程序根据需要被安装入存储部分1308。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1309从网络上被下载和安装,和/或从可拆卸介质1311被安装。在该计算机程序被中央处理单元(CPU)1301执行时,执行本发明的***中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括获取模块、分组模块、确定模块和防护模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,获取模块还可以被描述为“用于获取页面的一个或多个访问数据的模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:获取页面的一个或多个访问数据;根据所述访问数据中的域名,对所述一个或多个访问数据进行分组;其中,同一组中的访问数据对应同一域名;根据同一组中的所述访问数据确定风险域名;从所述风险域名对应的访问数据中确定出风险数据;根据所述风险数据,对所述页面进行防护。
根据本发明实施例的技术方案,能够先确定出访问数据中的风险域名,再从风险域名对应的访问数据中确定出风险数据,防护精度高。同时采用访问数据作为确定依据,相比于仅通过HTTP(s)请求频次作为确定依据,得到的风险数据更加准确,误差率低。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (18)
1.一种页面防护的方法,其特征在于,包括:
获取页面的一个或多个访问数据;
根据所述访问数据中的域名,对所述一个或多个访问数据进行分组;其中,同一组中的访问数据对应同一域名;
根据同一组中的所述访问数据确定风险域名;
从所述风险域名对应的访问数据中确定出风险数据;
根据所述风险数据,对所述页面进行防护。
2.根据权利要求1所述的方法,其特征在于,所述根据同一组中的所述访问数据确定风险域名,包括:
针对同一组所述访问数据:根据每一个所述访问数据分别对应的IP数据、浏览器指纹数据和/或HTTP响应数据,确定域名对应的访问参数;
根据所述访问参数确定所述域名的风险分值;
根据所述风险分值确定所述域名是否为所述风险域名。
3.根据权利要求2所述的方法,其特征在于,所述根据所述访问参数确定所述域名的风险分值,包括:
根据所述IP数据、浏览器指纹数据和/或HTTP响应数据,确定所述域名在多个时间段下分别对应的数据量;
根据所述域名在多个时间段下分别对应的数据量,计算每一组所述访问数据对应的域名的风险分值。
4.根据权利要求3所述的方法,其特征在于,所述多个时间段下分别对应的数据量包括:单位时间段内的数据量、第一时间段内的最大数据量以及第二时间段的平均数据量;根据所述域名在多个时间段下分别对应的数据量,计算每一组所述访问数据对应的域名的风险分值,包括:
根据当前单位时间段内的第一数据量与上一个单位时间时段内的第二数据量,计算单位时间内的数据增长率;
根据所述第一数据量计算与所述第二时间段对应的预测数据量;
根据所述第一时间段内的平均数据增长率、所述预测数据量、第一时间段内的最大数据量以及第二时间段的平均数据量,计算所述风险分值。
5.根据权利要求4所述的方法,其特征在于,所述根据所述第一时间段内的平均数据增长率、所述预测数据量、第一时间段内的最大数据量以及第二时间段的平均数据量,计算所述风险分值,包括:
根据所述第一数据量分别与所述最大数据量、所述平均数据量、预测数据量的比值、以及所述数据增长率与所述平均数据增长率的比值,计算所述风险分值。
6.根据权利要求5所述的方法,其特征在于,所述根据所述第一数据量分别与所述最大数据量、所述平均数据量、预测数据量的比值、以及所述数据增长率与所述平均数据增长率的比值,计算所述风险分值,包括:
根据所述第一数据量分别与所述最大数据量、所述平均数据量、预测数据量的比值、以及所述数据增长率与所述平均数据增长率的比值、所述HTTP响应数据及其分别对应的权重,计算所述风险分值。
7.根据权利要求4所述的方法,其特征在于,所述根据同一组中的所述访问数据确定风险域名,还包括:
根据所述风险分值和预设的风险命中策略,确定所述域名是否为风险域名。
8.根据权利要求7所述的方法,其特征在于,所述根据所述风险分值和预设的风险命中策略,确定所述域名是否为风险域名,还包括:
根据所述风险分值确定所述域名的风险等级;
针对风险等级高于预设等级阈值的域名,确定所述域名对应的访问参数是否符合所述风险命中策略,如果是,确定所述域名为风险域名。
9.根据权利要求7所述的方法,其特征在于,
所述风险命中策略包括:第一数据量大于预设第一阈值、以及所述第一数据量大于所述最大数据量的预设第一倍数和所述第一数据量大于所述平均数据量的预设第二倍数中的至少一个、以及以下至少一个:所述数据增长率大于预设第二阈值、所述第一数据量大于所述预测数据量的预设第三倍数、单位时间段内的HTTP响应数据大于所述第二时间段内HTTP响应数据均值的预设第四倍数中。
10.根据权利要求8所述的方法,其特征在于,所述从所述风险域名对应的访问数据中确定出风险数据,包括:
针对同一组所述访问数据:分别根据所述访问数据对应的IP数据和浏览器指纹数据,对所述风险域名对应的访问数据进行由大到小排序;
将排序结果中位于预设位置之前的至少一个访问数据作为所述风险数据。
11.根据权利要求10所述的方法,其特征在于,在所述将排序结果中位于预设位置之前的至少一个访问数据作为所述风险数据之前,还包括:
针对IP数据排序的情况:
根据所述IP数据的请求数大于预设第一请求数阈值、以及以下至少一个,确定所述预设位置:单个IP请求数与所述域名对应的总请求数的比值大于预设第一比值、请求数与URI离散度的比值大于预设第二比值、所述HTTP响应数据中的请求错误响应码与服务器错误响应码在IP数据的请求数中所占的比值大于预设第三比值、所述IP数据中代理的离散度等于预设阈值。
12.根据权利要求10所述的方法,其特征在于,所述根据所述风险数据,对所述页面进行防护,包括:
根据所述域名的风险等级,确定所述域名对应的封禁比例和封禁周期;
按照所述排序结果和所述封禁比例,对所述风险数据进行分组;
按照所述封禁比例和封禁周期各组风险数据进行分批封禁。
13.根据权利要求12所述的方法,其特征在于,还包括:
获取新的访问数据;
在所述新的访问数据属于所述风险数据的情况下,确定所述封禁周期是否结束;
在所述封禁周期结束的情况下,重新确定所述新的访问数据对应的域名是否为风险域名。
14.根据权利要求1所述的方法,其特征在于,还包括:
针对所述风险数据对应的用户进行javascript挑战或验证码验证,将挑战或验证通过的一个或多个风险数据确定为非风险数据。
15.根据权利要求1所述的方法,其特征在于,还包括:
将所述风险数据以哈希格式存入Redis缓存;
根据所述Redis缓存存储的风险数据,确定新的访问数据是否为风险数据。
16.一种页面防护的装置,其特征在于,包括:
获取模块,用于获取页面的一个或多个访问数据;
分组模块,用于根据所述访问数据中的域名,对所述一个或多个访问数据进行分组;其中,同一组中的访问数据对应同一域名;
确定模块,用于根据同一组中的所述访问数据确定风险域名;还用于从所述风险域名对应的访问数据中确定出风险数据;
防护模块,用于根据所述风险数据,对所述页面进行防护。
17.一种页面防护的电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-15中任一所述的方法。
18.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-15中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210360495.3A CN114900330A (zh) | 2022-04-07 | 2022-04-07 | 一种页面防护的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210360495.3A CN114900330A (zh) | 2022-04-07 | 2022-04-07 | 一种页面防护的方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114900330A true CN114900330A (zh) | 2022-08-12 |
Family
ID=82715403
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210360495.3A Pending CN114900330A (zh) | 2022-04-07 | 2022-04-07 | 一种页面防护的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114900330A (zh) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001015377A1 (en) * | 1999-08-23 | 2001-03-01 | Encommerce, Inc. | Multi-domain access control |
US20140208386A1 (en) * | 2013-01-18 | 2014-07-24 | Ca, Inc. | Adaptive Strike Count Policy |
CN104579773A (zh) * | 2014-12-31 | 2015-04-29 | 北京奇虎科技有限公司 | 域名***分析方法及装置 |
CN105141598A (zh) * | 2015-08-14 | 2015-12-09 | 中国传媒大学 | 基于恶意域名检测的apt攻击检测方法及装置 |
US9294498B1 (en) * | 2014-12-13 | 2016-03-22 | SecurityScorecard, Inc. | Online portal for improving cybersecurity risk scores |
CN109831465A (zh) * | 2019-04-12 | 2019-05-31 | 重庆天蓬网络有限公司 | 一种基于大数据日志分析的网站入侵检测方法 |
CN111770161A (zh) * | 2020-06-28 | 2020-10-13 | 北京百度网讯科技有限公司 | https的嗅探跳转方法和装置 |
CN111901192A (zh) * | 2020-07-15 | 2020-11-06 | 腾讯科技(深圳)有限公司 | 一种页面访问数据的统计方法及装置 |
CN113347205A (zh) * | 2021-06-30 | 2021-09-03 | 深圳前海微众银行股份有限公司 | 一种检测业务访问请求的方法及装置 |
WO2021212739A1 (zh) * | 2020-04-22 | 2021-10-28 | 百度在线网络技术(北京)有限公司 | 网络攻击的防御方法、装置、设备、***和存储介质 |
CN113709136A (zh) * | 2021-08-25 | 2021-11-26 | 北京京东振世信息技术有限公司 | 一种访问请求验证方法和装置 |
US20220086182A1 (en) * | 2020-09-14 | 2022-03-17 | Forcepoint Llc | Risk-adaptive dns forwarder |
-
2022
- 2022-04-07 CN CN202210360495.3A patent/CN114900330A/zh active Pending
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001015377A1 (en) * | 1999-08-23 | 2001-03-01 | Encommerce, Inc. | Multi-domain access control |
US20140208386A1 (en) * | 2013-01-18 | 2014-07-24 | Ca, Inc. | Adaptive Strike Count Policy |
US9294498B1 (en) * | 2014-12-13 | 2016-03-22 | SecurityScorecard, Inc. | Online portal for improving cybersecurity risk scores |
CN104579773A (zh) * | 2014-12-31 | 2015-04-29 | 北京奇虎科技有限公司 | 域名***分析方法及装置 |
CN105141598A (zh) * | 2015-08-14 | 2015-12-09 | 中国传媒大学 | 基于恶意域名检测的apt攻击检测方法及装置 |
CN109831465A (zh) * | 2019-04-12 | 2019-05-31 | 重庆天蓬网络有限公司 | 一种基于大数据日志分析的网站入侵检测方法 |
WO2021212739A1 (zh) * | 2020-04-22 | 2021-10-28 | 百度在线网络技术(北京)有限公司 | 网络攻击的防御方法、装置、设备、***和存储介质 |
CN111770161A (zh) * | 2020-06-28 | 2020-10-13 | 北京百度网讯科技有限公司 | https的嗅探跳转方法和装置 |
CN111901192A (zh) * | 2020-07-15 | 2020-11-06 | 腾讯科技(深圳)有限公司 | 一种页面访问数据的统计方法及装置 |
US20220086182A1 (en) * | 2020-09-14 | 2022-03-17 | Forcepoint Llc | Risk-adaptive dns forwarder |
CN113347205A (zh) * | 2021-06-30 | 2021-09-03 | 深圳前海微众银行股份有限公司 | 一种检测业务访问请求的方法及装置 |
CN113709136A (zh) * | 2021-08-25 | 2021-11-26 | 北京京东振世信息技术有限公司 | 一种访问请求验证方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10764320B2 (en) | Structuring data and pre-compiled exception list engines and internet protocol threat prevention | |
RU2668710C1 (ru) | Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике | |
US9386078B2 (en) | Controlling application programming interface transactions based on content of earlier transactions | |
Shawahna et al. | EDoS-ADS: An enhanced mitigation technique against economic denial of sustainability (EDoS) attacks | |
US11528293B2 (en) | Routing based on a vulnerability in a processing node | |
US9881304B2 (en) | Risk-based control of application interface transactions | |
US20220014561A1 (en) | System and methods for automated internet-scale web application vulnerability scanning and enhanced security profiling | |
US20210029086A1 (en) | Method and system for intrusion detection and prevention | |
CN111104675A (zh) | ***安全漏洞的检测方法和装置 | |
US11443037B2 (en) | Identification of invalid requests | |
US20230283641A1 (en) | Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement | |
CN108183884B (zh) | 一种网络攻击判定方法及装置 | |
US20230315853A1 (en) | Threat mitigation system and method | |
US20200322358A1 (en) | Transaction authentication and risk analysis | |
CN114726579B (zh) | 防御网络攻击的方法、装置、设备、存储介质及程序产品 | |
CN115412326A (zh) | 一种异常流量检测方法、装置、电子设备及存储介质 | |
CN114900330A (zh) | 一种页面防护的方法和装置 | |
CN115412359B (zh) | Web应用安全防护方法和装置、电子设备、存储介质 | |
CN112825519A (zh) | 一种识别异常登录的方法和装置 | |
CN113079165B (zh) | 一种访问处理方法和装置 | |
CN110830510B (zh) | 检测dos攻击方法、装置、设备及存储介质 | |
US11582259B1 (en) | Characterization of HTTP flood DDoS attacks | |
US11552989B1 (en) | Techniques for generating signatures characterizing advanced application layer flood attack tools | |
CN114978590A (zh) | Api安全防护的方法、设备及可读存储介质 | |
CN116934422A (zh) | 一种产品推荐方法、装置、服务器及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |