CN114928452B - 访问请求验证方法、装置、存储介质及服务器 - Google Patents
访问请求验证方法、装置、存储介质及服务器 Download PDFInfo
- Publication number
- CN114928452B CN114928452B CN202210536651.7A CN202210536651A CN114928452B CN 114928452 B CN114928452 B CN 114928452B CN 202210536651 A CN202210536651 A CN 202210536651A CN 114928452 B CN114928452 B CN 114928452B
- Authority
- CN
- China
- Prior art keywords
- fingerprint
- target
- address
- request
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 238000012795 verification Methods 0.000 title claims abstract description 47
- 230000010365 information processing Effects 0.000 claims 2
- 230000004044 response Effects 0.000 description 11
- 238000001914 filtration Methods 0.000 description 10
- 235000014510 cooky Nutrition 0.000 description 9
- 230000008569 process Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 3
- VYZAMTAEIAYCRO-UHFFFAOYSA-N Chromium Chemical compound [Cr] VYZAMTAEIAYCRO-UHFFFAOYSA-N 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
- H04L69/162—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种访问请求验证方法、装置、存储介质及服务器,所述方法包括:在接收到客户端设备发送的当前访问请求时,获取所述客户端设备发送的SSL请求信息;根据所述SSL请求信息生成所述当前访问请求的目标JA3指纹;将所述目标JA3指纹与预设的恶意JA3指纹库中的JA3指纹进行匹配,以得到用于反映所述恶意JA3指纹库是否包括所述目标JA3指纹的第一匹配结果;获取用于记录每一历史访问请求所对应的JA3指纹的历史指纹库,并确定所述目标JA3指纹在所述历史指纹库中的出现频率及总出现次数;若所述第一匹配结果反映所述恶意JA3指纹库包括所述目标JA3指纹、所述出现频率大于预设频率阈值或者所述总出现次数大于预设次数阈值,则丢弃所述当前访问请求。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种访问请求验证方法、装置、存储介质及服务器。
背景技术
随着互联网技术的发展,目前在网站访问时充斥着大量的垃圾流量,部分垃圾流量甚至能够产生恶意攻击的行为,例如病毒、蠕虫或者DOS(Denial of Service,拒绝服务)攻击所带来的流量。为满足保护服务器和数据安装等的诉求,需要提供了一种垃圾流量过滤方法,以验证垃圾流量对网站的访问请求并过滤。
目前,现有技术是基于网站前端页面生成的cookie信息来验证访问请求的,根据cookie信息生成对应的设备指纹,并将该设备指纹与后端服务器中预先存储的设备指纹进行匹配。若匹配成功,则该访问请求通过验证;若匹配不成功,则可将该访问请求判定为垃圾流量,并直接丢弃该请求,以保护服务器和数据安装。然而,在通过现有技术验证访问请求,进而实现垃圾流量判定时,存在识别准确性低的问题。
发明内容
本申请的目的旨在至少能解决上述的技术缺陷之一,特别是现有技术中对于恶意请求识别准确性低的技术缺陷。
第一方面,本申请实施例提供了一种访问请求验证方法,所述方法包括:
在接收到客户端设备发送的当前访问请求时,获取所述客户端设备发送的安全套接字协议请求信息;
根据所述安全套接字协议请求信息生成所述当前访问请求的目标JA3指纹;
将所述目标JA3指纹与预设的恶意JA3指纹库中的JA3指纹进行匹配,以得到用于反映所述恶意JA3指纹库是否包括所述目标JA3指纹的第一匹配结果;
获取用于记录每一历史访问请求所对应的JA3指纹的历史指纹库,并确定所述目标JA3指纹在所述历史指纹库中的出现频率及总出现次数;
若所述第一匹配结果反映所述恶意JA3指纹库包括所述目标JA3指纹、所述出现频率大于预设频率阈值或者所述总出现次数大于预设次数阈值,则丢弃所述当前访问请求。
在其中一个实施例中,将所述目标JA3指纹与预设的恶意JA3指纹库中的JA3指纹进行匹配的步骤之前,包括:
获取所述客户端设备的目标IP地址;
将目标IP地址与预设的恶意IP地址库中的IP地址进行匹配,以得到用于反映所述恶意IP地址库是否包括所述目标IP地址的第二匹配结果;
若所述第二匹配结果反映所述恶意IP地址库包括所述目标IP地址,则丢弃所述当前访问请求;
将所述目标JA3指纹与预设的恶意JA3指纹库中的JA3指纹进行匹配的步骤,包括:若所述第二匹配结果反映所述恶意IP地址库不包括所述目标IP 地址,则将所述目标JA3指纹与所述预设的恶意JA3指纹库中的JA3指纹进行匹配;
确定所述目标JA3指纹在所述历史指纹库中的出现频率及总出现次数的步骤,包括:若所述第二匹配结果反映所述恶意IP地址库不包括所述目标IP 地址,则确定所述目标JA3指纹在所述历史指纹库中的出现频率及总出现次数。
在其中一个实施例中,所述方法还包括:若所述第二匹配结果反映所述恶意IP地址库包括所述目标IP地址,则将所述目标JA3指纹添加至所述恶意JA3指纹库中。
在其中一个实施例中,将目标IP地址与预设的恶意IP地址库中的IP 地址进行匹配的步骤之前,还包括:
获取所述当前访问请求的请求头信息;
判断所述请求头信息是否满足预设的合法请求头信息规则,以得到判断结果;
若所述判断结果反映所述请求头信息不满足预设的合法请求头信息规则,则丢弃所述当前访问请求;
将目标IP地址与预设的恶意IP地址库中的IP地址进行匹配的步骤,包括:若所述判断结果反映所述请求头信息满足预设的合法请求头信息规则,则将目标IP地址与所述预设的恶意IP地址库中的IP地址进行匹配。
在其中一个实施例中,判断所述请求头信息是否满足预设的合法请求头信息规则,以得到判断结果的步骤,包括:
从所述请求头信息的用户字段信息中提取浏览器标识;
若所述浏览器标识与预设的合法浏览器标识相匹配、所述请求头信息包括客户端设备的接受信息或者所述请求头信息包括预设的站点访问标志,则确定所述请求头信息满足所述合法请求头信息规则;否则,确定所述请求头信息不满足所述合法请求头信息规则。
在其中一个实施例中,所述方法还包括:若所述请求头信息不满足所述合法请求头信息规则,则将所述目标JA3指纹添加至所述恶意JA3指纹库中,以及将所述目标IP地址添加至所述恶意IP地址库中。
在其中一个实施例中,所述方法还包括:若所述第一匹配结果反映所述恶意JA3指纹库不包括所述目标JA3指纹,所述出现频率小于或等于所述预设频率阈值,且所述总出现次数小于或等于所述预设次数阈值,则向所述客户端设备返回所述当前访问请求所对应的业务数据。
第二方面,本申请实施例提供了一种访问请求验证装置,所述装置包括:
安全套接字协议信息获取模块,用于在接收到客户端设备发送的当前访问请求时,获取所述客户端设备发送的安全套接字协议请求信息;
目标JA3指纹获取模块,用于根据所述安全套接字协议请求信息生成所述当前访问请求的目标JA3指纹;
指纹匹配模块,用于将所述目标JA3指纹与预设的恶意JA3指纹库中的 JA3指纹进行匹配,以得到用于反映所述恶意JA3指纹库是否包括所述目标JA3指纹的第一匹配结果;
出现频率获取模块,用于获取用于记录每一历史访问请求所对应的JA3 指纹的历史指纹库,并确定所述目标JA3指纹在所述历史指纹库中的出现频率及总出现次数;
请求验证模块,用于在所述第一匹配结果反映所述恶意JA3指纹库包括所述目标JA3指纹、所述出现频率大于预设频率阈值或者所述总出现次数大于预设次数阈值的情况下,丢弃所述当前访问请求。
第三方面,本申请实施例提供了一种存储介质,所述存储介质中存储有计算机可读指令,所述计算机可读指令被一个或多个处理器执行时,使得一个或多个处理器执行上述任一实施例所述访问请求验证方法的步骤。
第四方面,本申请实施例提供了一种服务器,包括:一个或多个处理器,以及存储器;所述存储器中存储有计算机可读指令,所述计算机可读指令被所述一个或多个处理器执行时,执行上述任一实施例所述访问请求验证方法的步骤。
本申请实施例提供了一种访问请求验证方法、装置、存储介质及服务器,服务器在接收到客户端设备发送的当前访问请求时,可获取客户端设备发送的安全套接字协议请求信息,并据此生成当前访问请求的目标JA3指纹。在得到当前访问请求的目标JA3指纹后,服务器可以将目标JA3指纹与预设的恶意JA3指纹库中的JA3指纹进行匹配,以得到用于反映恶意JA3指纹库是否包括目标JA3指纹的第一匹配结果。服务器还可获取用于记录每一历史访问请求所对应的JA3指纹的历史指纹库,并确定目标JA3指纹在历史指纹库中的出现频率及总出现次数。若第一匹配结果反映恶意JA3指纹库包括目标 JA3指纹、出现频率大于预设频率阈值或者所述总出现次数大于预设次数阈值,则服务器可确定当前访问请求为垃圾流量请求,并丢弃该当前访问请求。
由于JA3指纹是通过对应算法处理安全套接字协议请求信息而得到的指纹,由同一客户端设备所发起的不同访问请求对应着相同的JA3指纹,由不同的客户端设备所发起的访问请求对应着不同的JA3指纹。因此,基于JA3 指纹实现的垃圾流量判定,可以防范伪造IP地址和/或用户代理字段等请求信息的恶意请求情况。即使当前访问请求是伪装程度较高的恶意请求,本申请提供的方案也可对其进行准确识别和拦截,进而提高了恶意请求的识别准确性,并降低了服务器的负载。
同时,本申请可根据目标JA3指纹与预设的恶意JA3指纹库的匹配情况,判定目标JA3指纹的合法性,并根据目标JA3指纹在在历史指纹库中的出现频率和总出现次数,判定目标JA3指纹的合理性。如此,可结合目标JA3指纹的合法性和合理性,综合判定当前访问请求是否为恶意请求,进一步提高了恶意请求的识别准确性,并降低了服务器的负载。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为一实施例中访问请求验证方法的应用环境图;
图2为一实施例中访问请求验证方法的流程示意图之一;
图3为一实施例中目标JA3指纹匹配步骤之前的流程示意图;
图4为一实施例中目标IP地址匹配步骤之前的流程示意图;
图5为一实施例中访问请求验证方法的流程示意图之二;
图6为一实施例中访问请求验证装置的示意性结构框图;
图7为一实施例中服务器的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
正如背景技术所言,在通过现有技术验证访问请求,进而实现垃圾流量判定时,存在准确性低的问题。经发明人研究发现,导致该问题的原因在于,垃圾流量可以通过伪造的请求头等信息生成cookie进行欺骗。在cookie信息被伪造的情况下,根据cookie信息生成的设备指纹将会与后端服务器中预先存储的设备指纹匹配成功,无法过滤垃圾流量,降低了访问请求验证的准确性。
再者,对于WEB浏览器而言,在首次访问网站时,由于其需要进行cookie 生成及访问验证,因此,其访问时间较长,降低了用户的访问体验。同时,现有技术所采用的设备指纹包括了客户端终端的终端标识、MAC(Media Access Control,媒体访问控制)地址和/或IP(Internet Protocol,网际互联协议)地址等终端信息,但是在通过WEB浏览器进行访问时,难以获取客户端终端的 MAC地址,因此,现有技术智能针对如手机、平板一类的终端设备,应用受限。再者,服务器能够通过读取和修改访问请求的cookie信息来非法获取用户隐私信息,如鼠标的移动轨迹,因此,现有技术的实现方式存在安全性低的问题。
为解决上述问题,本申请实施例提供了一种访问请求验证方法、装置、存储介质和服务器,可以提高恶意请求的识别准确性,并降低服务器的负载。
本申请提供的访问请求验证方法可以应用于图1示出的应用环境中。如图 1所示,该应用环境可以包括客户端设备102和服务器104。其中,客户端设备 102可以是终端,例如可以是手机、平板或者计算机设备等。服务器104均可以是单个服务器或者由多个服务器所组成的集群。每个服务器可以采用现有技术已公开的任意方式来实现,本申请对此不作具体限制。
客户端设备102在需要访问某一网站时,可向服务器104发送访问请求。服务器104可以对该访问请求进行识别,以确定该访问请求是否为恶意请求。若是,则可丢弃该访问请求,即不返回对应的业务数据至客户端设备102;若否,则可向客户端设备102返回200状态码以及对应的业务数据。
在一个示例中,图1示出的服务器可包括网关服务器和业务服务器。其中,网关服务器用于接收客户端设备发送的访问请求,并确定该访问请求是否为恶意请求。若是,则可丢弃该业务请求,即不将该访问请求转发至业务服务器中。若否,则可将该访问请求转发给业务服务器,以使业务服务器向客户端设备返回200状态码以及对应的业务数据。
在一个实施例中,提供了一种访问请求验证方法,以该方法应用于图1的服务器为例进行说明,在一个示例中,该方法可以应用于网关服务器中。请参阅图2,该方法具体可包括如下步骤:
S210,在接收到客户端设备发送的当前访问请求时,获取客户端设备发送的安全套接字协议(Secure Sockets Layer,以下简称为SSL)请求信息。
S220,根据安全套接字协议请求信息生成当前访问请求的目标JA3指纹。
其中,SSL请求信息中可以包括TLS(Transport Layer Security,传输层安全性协议)指纹特征数据,服务器可以通过对应的算法处理该TLS指纹特征数据,以得到目标JA3指纹。每个JA3指纹都具备唯一性,不同的客户端设备及请求模式所对应的JA3指纹均不相同,并且同一客户端设备以相同请求方式发起的请求对应着固定的JA3指纹。例如,某一访问请求是使用python 的requests网络请求包发起的,另一访问请求是通过正常浏览器发起的,则前述两个访问请求对应不同的JA3指纹。
在一个示例中,TLS指纹特征数据可以包括以下5个数组:TLSVersion(TLS版本),Ciphers(加密套件),Extensions(扩展列表),Extensions(椭圆算法)和EllipticCurvePointFormats(椭圆标准),服务器可基于前述5个数组生成目标JA3指纹,并通过目标JA3指纹的MD5值进行分析和拦截。
S230,将目标JA3指纹与预设的恶意JA3指纹库中的JA3指纹进行匹配,以得到用于反映恶意JA3指纹库是否包括目标JA3指纹的第一匹配结果。
其中,恶意JA3指纹库可以预先设置并存储,其内包括了多个用于发起恶意请求的JA3指纹。例如,可以从公开网站上获取多个恶意JA3指纹,并将其存储于服务器内,以构成恶意JA3指纹库。
具体而言,服务器可将目标JA3指纹与恶意JA3指纹库中的JA3指纹进行匹配,并得到第一匹配结果。服务器可以基于该第一匹配结果确定目标JA3 指纹是否存在于恶意JA3指纹库中,进而确定目标JA3指纹是否为恶意JA3 指纹。
S240,获取用于记录每一历史访问请求所对应的JA3指纹的历史指纹库,并确定目标JA3指纹在历史指纹库中的出现频率及总出现次数。
在接收到每一个访问请求时,服务器可将该访问请求所对应的JA3指纹进行记录,以得到历史指纹库。需要说明的是,若服务器先后接收到的两个访问请求的JA3指纹相同,则历史指纹库可对该JA3指纹进行两次记录。在其中一个实施例中,历史指纹库还记录每一访问请求的接收时刻或发送时刻,换言之,历史指纹库在接收到每一访问请求时,可以生成该访问请求的接收时刻 /发送时刻,与该访问请求的JA3指纹的对应关系,并将该对应关系及相关数据存入历史指纹库中。
服务器在获取到当前访问请求的目标JA3指纹后,可以将目标JA3与历史指纹库中的每一个JA3指纹进行匹配,以确定目标JA3指纹的总出现次数以及出现频率。其中,总出现次数可以是历史指纹库中目标JA3指纹的总数量。出现频率的统计时长可以依照实际情况确定,本申请对此不作具体限制。例如,服务器可以统计目标JA3指纹在前10分钟内的出现次数,并据此得到目标JA3指纹每分钟的出现频率。
S250,若第一匹配结果反映恶意JA3指纹库包括目标JA3指纹、出现频率大于预设频率阈值或者总出现次数大于预设次数阈值,则丢弃当前访问请求。
可以理解,该预设频率阈值及预设次数阈值的具体数值均可以依照实际情况确定,本申请对此不作具体限制。具体而言,当第一匹配结果反映恶意 JA3指纹库中包括目标JA3指纹时,该目标JA3指纹为非法指纹,服务器可丢弃当前访问请求,以拦截当前访问请求。当目标JA3指纹的出现频率大于预设频率阈值时,可以确定该目标JA3指纹的访问不合理,服务器丢弃当前访问请求,以拦截当前访问请求。当目标JA3指纹的总出现次数大于预设次数阈值时,也可以确定该目标JA3指纹的访问不合理,服务器丢弃并拦截当前访问请求。在其中一个实施例中,服务器在丢弃当前访问请求之后,可以向客户端设备返回403响应码。
本实施例中,由于JA3指纹是通过对应算法处理安全套接字协议请求信息而得到的指纹,由同一客户端设备所发起的不同访问请求对应着相同的JA3 指纹,由不同的客户端设备所发起的访问请求对应着不同的JA3指纹。因此,基于JA3指纹实现的垃圾流量判定,可以防范伪造IP地址和/或用户代理字段等请求信息的恶意请求情况。即使当前访问请求是伪装程度较高的恶意请求,本申请提供的方案也可对其进行准确识别和拦截,进而提高了恶意请求的识别准确性,并降低了服务器的负载。
同时,本申请可根据目标JA3指纹与预设的恶意JA3指纹库的匹配情况,判定目标JA3指纹的合法性,并根据目标JA3指纹在在历史指纹库中的出现频率和总出现次数,判定目标JA3指纹的合理性。如此,可结合目标JA3指纹的合法性和合理性,综合判定当前访问请求是否为恶意请求,进一步提高了恶意请求的识别准确性,并降低了服务器的负载。
在一个实施例中,如图3所示,将所述目标JA3指纹与预设的恶意JA3 指纹库中的JA3指纹进行匹配的步骤之前,包括:
S310,获取所述客户端设备的目标IP地址;
S320,将目标IP地址与预设的恶意IP地址库中的IP地址进行匹配,以得到用于反映所述恶意IP地址库是否包括所述目标IP地址的第二匹配结果;
S330,若所述第二匹配结果反映所述恶意IP地址库包括所述目标IP地址,则丢弃所述当前访问请求。
将所述目标JA3指纹与预设的恶意JA3指纹库中的JA3指纹进行匹配的步骤,包括:若所述第二匹配结果反映所述恶意IP地址库不包括所述目标IP 地址,则将所述目标JA3指纹与所述预设的恶意JA3指纹库中的JA3指纹进行匹配。
确定所述目标JA3指纹在所述历史指纹库中的出现频率及总出现次数的步骤,包括:若所述第二匹配结果反映所述恶意IP地址库不包括所述目标IP 地址,则确定所述目标JA3指纹在所述历史指纹库中的出现频率及总出现次数。
具体而言,由于目标JA3指纹的验证涉及数据计算及数据库访问,服务器的负载较大,为降低服务器的负载,在基于目标JA3指纹验证当前访问请求之前,服务器可基于客户端设备的IP信息进行过滤。若过滤通过,则可基于目标JA3指纹做进一步地判断,以识别并拦截伪装程度较高的访问请求;若过滤不通过,则可直接丢弃当前访问请求。
具体地,服务器可获取客户端设备的IP地址(即目标IP地址),并对目标IP地址进行黑名单查询,以确定目标IP地址是否为恶意IP地址。在进行黑名单查询时,服务器可以将目标IP地址与恶意IP地址库中的每一IP地址进行匹配,以确定恶意IP地址库中是否包括该目标IP地址。其中,恶意IP 地址库可以预先设置并存储,其内包括了多个用于发起恶意请求的客户端设备的IP指纹。在其中一个实施例中,该恶意IP地址库可以包括在历史访问过程中被多次识别为恶意IP的IP地址。
如果第二匹配结果反映恶意IP地址库包括该目标IP地址,则可确定目标 IP地址为恶意IP地址,因此,服务器可以直接丢弃当前访问请求,并返回403 响应码。在其中一个实施例中,若第二匹配结果反映目标IP地址存在于恶意 IP地址库中,则服务器可将目标JA3指纹添加至恶意JA3指纹库中,以更新恶意JA3指纹库。如此,可以进一步提高识别准确性。
如果第二匹配结果反映恶意IP地址库中不包括该目标IP地址,则可验证目标JA3指纹的合法性与合理性,也即,将目标JA3指纹与预设的恶意JA3 指纹库中的JA3指纹进行匹配以得到第一匹配结果,以及确定目标JA3指纹在历史指纹库中的出现频率和总出现次数,并根据第一匹配结果、总出现频率和总出现次数验证目标JA3指纹的合法性和合理性。
本实施例中,由于对目标IP地址进行黑名单查询,只涉及数据库访问,因此,先基于目标IP地址进行过滤,在过滤通过的情况下方基于目标JA3指纹进行过滤,在提高识别准确性,达到较高拦截率的同时,还可有效降低服务器的负载。
在一个实施例中,如图4所示,将目标IP地址与预设的恶意IP地址库中的IP地址进行匹配的步骤之前,还包括:
S410,获取所述当前访问请求的请求头信息;
S420,判断所述请求头信息是否满足预设的合法请求头信息规则,以得到判断结果;
S430,若所述判断结果反映所述请求头信息不满足预设的合法请求头信息规则,则丢弃所述当前访问请求。
将目标IP地址与预设的恶意IP地址库中的IP地址进行匹配的步骤,包括:若所述判断结果反映所述请求头信息满足预设的合法请求头信息规则,则将目标IP地址与所述预设的恶意IP地址库中的IP地址进行匹配。
具体而言,为进一步降低服务器的负载,在对目标IP地址进行黑名单查询之前,服务器可通过基于当前访问请求的请求头信息进行过滤,以确定该请求头信息是否满足常规的请求要求。若过滤通过,则可基于目标IP地址做进一步地判断;若过滤不通过,则可直接丢弃当前访问请求。
具体地,服务器中可预先设置有合法请求头信息规则,以通过该规则判断当前访问请求的请求头信息是否满足常规的请求要求。可以理解,该合法请求头信息规则可以依照实际情况确定,本申请对此不作具体限制。例如,该合法请求头信息规则可用于判断请求头信息中的用户代理(User Agent,以下简称为UA)字段是否包括正常浏览器标识,如UA字段中的浏览器标识是否为 Chrome浏览器标识或者Safari浏览器标识。
服务器可获取当前访问请求的请求头信息,并判断该请求头信息是否满足合法请求头信息规则,得到判断结果。若该判断结果反映当前访问请求的请求头信息不满足该合法请求头信息规则,则可丢弃当前访问请求,并返回403 响应码。在其中一个实施例中,若当前访问请求的请求头信息不满足合法请求头信息规则,则服务器可将目标JA3指纹添加至恶意JA3指纹库中,以及将目标IP地址添加至恶意IP地址库中。如此,可更新恶意JA3指纹库和恶意 IP地址库,以可以进一步提高识别准确性。
若判断结果反映当前访问请求的请求头信息满足该合法请求头信息规则,则可对客户端设备的IP地址进行黑名单查询,也即,将目标IP地址与恶意IP 库中的地址进行匹配以得到第二匹配结果,并根据第二匹配结果验证目标IP 地址。而后,再根据目标IP地址的验证结果确定是否验证目标JA3指纹的合法性和合理性。
本实施例中,基于当前访问请求的请求头信息进行首次恶意请求判断。在请求头信息满足合法请求头信息规则的情况下,基于客户端设备的IP地址进行二次恶意请求判断。在目标IP地址不存在于恶意IP地址库的情况下,基于目标JA3指纹进行第三次恶意请求判断。如此,可通过首次及二次恶意请求判断,拦截大部分伪装程度较低的访问请求,并通过第三次恶意请求判断拦截伪装成度较高的访问请求。在提高识别准确性,达到较高拦截率的同时,还可有效降低服务器的负载。
在一个实施例中,判断所述请求头信息是否满足预设的合法请求头信息规则,以得到判断结果的步骤,包括:
从所述请求头信息的用户字段信息中提取浏览器标识;
若所述浏览器标识与预设的合法浏览器标识相匹配、所述请求头信息包括客户端设备的接受信息或者所述请求头信息包括预设的站点访问标志,则确定所述请求头信息满足所述合法请求头信息规则;否则,确定所述请求头信息不满足所述合法请求头信息规则。
具体而言,服务器在判断请求头信息是否符合常规的请求要求时,可以从浏览器标识、是否携带了客户端设备的接受信息(Accept信息)和是否有预设的站点访问的标志信息来判断。在其中一个实施例中,客户端设备的接受信息可以为客户端设备的浏览器可接受的MIME(Multipurpose Internet Mail Extensions,多用途互联网邮件扩展)类型。
若当前访问请求中包含的浏览器标识非预设的合法浏览器标识(如 Chrome浏览器标识或者Safari浏览器标识)、请求头信息中没有包括客户端设备的Accept信息并且请求头信息中没有包括预设的站点访问标志,则服务器可确定当前访问请求不满足合法请求头信息规则,并丢弃当前访问请求,向客户端设备返回403响应码。
若当前访问请求中包含的浏览器标识为预设的合法浏览器标识,则可确定当前访问请求满足合法请求头信息规则。若当前访问请求的请求头信息中携带了响应的Accept信息,则可确定当前访问请求满足合法请求头信息规则。若当前访问请求的请求头信息包括了预设的站点访问标志,则可确定当前访问请求满足合法请求头信息规则。
本申请实施例中,通过结合请求头信息的浏览器标识、请求头信息是否携带了客户端设备的Accept信息以及请求头信息是否包括预设的站点访问标志来综合判断当前访问请求的请求头信息是否符合常规的请求要求,从而可提高初步过滤的识别准确性。
本申请在验证当前访问请求的情况下,在客户端设备侧无多次加密信息校验及Cookie交互,从而可提高当前访问请求的响应效率,为正常访问用户提供良好的访问体验。同时,由于本申请实施例不涉及Cookie信息的提取和注入,因此,不存在非法获取用户隐私的问题,从而可提高访问安全性。
在一个实施例中,本申请实施例的访问请求验证方法还包括:若所述第一匹配结果反映所述恶意JA3指纹库不包括所述目标JA3指纹,所述出现频率小于或等于所述预设频率阈值,且所述总出现次数小于或等于所述预设次数阈值,则向客户端设备返回当前访问请求所对应的业务数据,以正常响应当前访问请求。
在一个实施例中,本申请实施例提供的访问请求验证方法可以如图5所示。服务器在接收到来自客户端设备的当前访问请求的情况下,可以获取客户端设备的IP地址(即目标IP地址)以及包括UA字段的请求头信息,并获取 SSL请求信息,进入I类请求过滤器。
I类请求过滤器可以判断请求头信息是否符合常规的请求要求,即判断当前访问请求的请求头信息是否包括正常浏览器标识UA,是否携带了响应的 Accept信息以及是否有预设的站点访问标志。若前述3个条件均不符合,则服务器可以直接对当前访问请求进行拦截丢弃,并返回403响应码。若前述3 个条件至少有1个符合,则可进入II类请求过滤器。
II类请求过滤器主要过滤IP信息,用于对目标IP地址进行黑名单查询。该黑名单为历史访问的被多次识别的恶意IP地址。服务器如果判定目标IP地址为黑名单IP地址,则可直接丢弃当前访问请求,并返回403响应码。否则,可进入III类请求过滤器中。
III类请求过滤器可根据SSL请求信息生成当前访问请求的JA3指纹(即目标JA3指纹),并验证该目标JA3指纹的合法性和合理性。如果判定目标 JA3指纹不合法或者不合理,则可直接拦截并丢弃当前访问请求。如果判定目标JA3指纹合法且合理,则可向客户端设备返回200状态码,并返回对应的业务数据。
下面对本申请实施例提供的访问请求验证装置进行描述,下文描述的访问请求验证装置与上文描述的访问请求验证方法可相互对应参照。
在一个实施例中,本申请提供了一种访问请求验证装置500。如图6所示,所述装置500包括安全套接字协议信息获取模块510、目标JA3指纹获取模块 520、指纹匹配模块530、出现频率获取模块540和请求验证模块550。其中:
安全套接字协议信息获取模块510用于在接收到客户端设备发送的当前访问请求时,获取所述客户端设备发送的安全套接字协议请求信息;
目标JA3指纹获取模块520,用于根据所述安全套接字协议请求信息生成所述当前访问请求的目标JA3指纹;
指纹匹配模块530用于将所述目标JA3指纹与预设的恶意JA3指纹库中的JA3指纹进行匹配,以得到用于反映所述恶意JA3指纹库是否包括所述目标JA3指纹的第一匹配结果;
出现频率获取模块540用于获取用于记录每一历史访问请求所对应的 JA3指纹的历史指纹库,并确定所述目标JA3指纹在所述历史指纹库中的出现频率及总出现次数;
请求验证模块550用于在所述第一匹配结果反映所述恶意JA3指纹库包括所述目标JA3指纹、所述出现频率大于预设频率阈值或者所述总出现次数大于预设次数阈值的情况下,丢弃所述当前访问请求。
在一个实施例中,所述装置500还包括目标IP获取模块和IP地址匹配模块。其中,目标IP获取模块用于获取所述客户端设备的目标IP地址。IP地址匹配模块用于将目标IP地址与预设的恶意IP地址库中的IP地址进行匹配,以得到用于反映所述恶意IP地址库是否包括所述目标IP地址的第二匹配结果。
请求验证模块550还用于在所述第二匹配结果反映所述恶意IP地址库包括所述目标IP地址的情况下,丢弃所述当前访问请求。指纹匹配模块530还用于在所述第二匹配结果反映所述恶意IP地址库不包括所述目标IP地址的情况下,将所述目标JA3指纹与所述预设的恶意JA3指纹库中的JA3指纹进行匹配。出现频率获取模块540还用于在所述第二匹配结果反映所述恶意IP 地址库不包括所述目标IP地址的情况下,确定所述目标JA3指纹在所述历史指纹库中的出现频率及总出现次数。
在一个实施例中,所述装置500还包括更新模块。该更新模块用于在所述第二匹配结果反映所述恶意IP地址库包括所述目标IP地址的情况下,将所述目标JA3指纹添加至所述恶意JA3指纹库中。
在一个实施例中,所述装置500还包括请求头获取模块和判断模块。其中,请求头获取模块用于获取所述当前访问请求的请求头信息。判断模块用于判断所述请求头信息是否满足预设的合法请求头信息规则,以得到判断结果。
请求验证模块550还用于在所述判断结果反映所述请求头信息不满足预设的合法请求头信息规则的情况下,丢弃所述当前访问请求。IP地址匹配模块还用于在所述判断结果反映所述请求头信息满足预设的合法请求头信息规则的情况下,将目标IP地址与所述预设的恶意IP地址库中的IP地址进行匹配。
在一个实施例中,判断模块包括浏览器标识提取单元和判断单元。其中,浏览器标识提取单元用于从所述请求头信息的用户字段信息中提取浏览器标识。判断单元用于在所述浏览器标识与预设的合法浏览器标识相匹配、所述请求头信息包括客户端设备的接受信息或者所述请求头信息包括预设的站点访问标志的情况下,确定所述请求头信息满足所述合法请求头信息规则;否则,确定所述请求头信息不满足所述合法请求头信息规则。
在一个实施例中,所述装置500还包括更新模块。该更新模块用于在所述请求头信息不满足所述合法请求头信息规则的情况下,将所述目标JA3指纹添加至所述恶意JA3指纹库中,以及将所述目标IP地址添加至所述恶意IP 地址库中。
在一个实施例中,所述装置500还包括响应模块。该响应模块用于在所述第一匹配结果反映所述恶意JA3指纹库不包括所述目标JA3指纹,所述出现频率小于或等于所述预设频率阈值,且所述总出现次数小于或等于所述预设次数阈值的情况下,向所述客户端设备返回所述当前访问请求所对应的业务数据。
在一个实施例中,本申请还提供了一种存储介质,所述存储介质中存储有计算机可读指令,所述计算机可读指令被一个或多个处理器执行时,使得一个或多个处理器执行如上述实施例中任一项所述访问请求验证方法的步骤。
在一个实施例中,本申请还提供了一种服务器,所述服务器中存储有计算机可读指令,所述计算机可读指令被一个或多个处理器执行时,使得一个或多个处理器执行如上述实施例中任一项所述访问请求验证方法的步骤。
示意性地,如图7所示,图7为本申请实施例提供的一种服务器的内部结构示意图。参照图7,服务器900包括处理组件902,其进一步包括一个或多个处理器,以及由存储器901所代表的存储器资源,用于存储可由处理组件902的执行的指令,例如应用程序。存储器901中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件902被配置为执行指令,以执行上述任意实施例的访问请求验证方法。
服务器900还可以包括一个电源组件903被配置为执行服务器900的电源管理,一个有线或无线网络接口904被配置为将服务器900连接到网络,和一个输入输出(I/O)接口905。服务器900可以操作基于存储在存储器901的操作***,例如Windows Server TM、MacOS XTM、Unix TM、Linux TM、Free BSDTM 或类似。
本领域技术人员可以理解,本申请示出的计算机设备的内部结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。本文中,“一”、“一个”、“所述”、“该”和“其”也可以包括复数形式,除非上下文清楚指出另外的方式。多个是指至少两个的情况,如2个、 3个、5个或8个等。“和/或”包括相关所列项目的任何及所有组合。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间可以根据需要进行组合,且相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种访问请求验证方法,其特征在于,所述方法包括:
在接收到客户端设备发送的当前访问请求时,获取所述当前访问请求的请求头信息、所述客户端设备的目标IP地址和所述客户端设备发送的安全套接字协议请求信息;
判断所述请求头信息是否满足预设的合法请求头信息规则,以得到判断结果;
若所述判断结果反映所述请求头信息满足预设的合法请求头信息规则,则将所述目标IP地址与预设的恶意IP地址库中的IP地址进行匹配,以得到用于反映所述恶意IP地址库是否包括所述目标IP地址的第二匹配结果;
若所述第二匹配结果反映所述恶意IP地址库不包括所述目标IP地址,则根据所述安全套接字协议请求信息生成所述当前访问请求的目标JA3指纹,并将所述目标JA3指纹与预设的恶意JA3指纹库中的JA3指纹进行匹配,以得到用于反映所述恶意JA3指纹库是否包括所述目标JA3指纹的第一匹配结果;
若所述第二匹配结果反映所述恶意IP地址库不包括所述目标IP地址,则获取用于记录每一历史访问请求所对应的JA3指纹的历史指纹库,并确定所述目标JA3指纹在所述历史指纹库中的出现频率及总出现次数;
若所述第一匹配结果反映所述恶意JA3指纹库包括所述目标JA3指纹、所述出现频率大于预设频率阈值或者所述总出现次数大于预设次数阈值,则丢弃所述当前访问请求。
2.根据权利要求1所述的访问请求验证方法,其特征在于,所述方法还包括:
若所述第二匹配结果反映所述恶意IP地址库包括所述目标IP地址,则丢弃所述当前访问请求,并将所述目标JA3指纹添加至所述恶意JA3指纹库中。
3.根据权利要求1所述的访问请求验证方法,其特征在于,所述方法还包括:
若所述判断结果反映所述请求头信息不满足预设的合法请求头信息规则,则丢弃所述当前访问请求,以及将所述目标JA3指纹添加至所述恶意JA3指纹库中,将所述目标IP地址添加至所述恶意IP地址库中。
4.根据权利要求1所述的访问请求验证方法,其特征在于,判断所述请求头信息是否满足预设的合法请求头信息规则,以得到判断结果的步骤,包括:
从所述请求头信息的用户字段信息中提取浏览器标识;
若所述浏览器标识与预设的合法浏览器标识相匹配、所述请求头信息包括客户端设备的接受信息或者所述请求头信息包括预设的站点访问标志,则确定所述请求头信息满足所述合法请求头信息规则;否则,确定所述请求头信息不满足所述合法请求头信息规则。
5.根据权利要求1至4任一项所述的访问请求验证方法,其特征在于,所述方法还包括:
若所述第一匹配结果反映所述恶意JA3指纹库不包括所述目标JA3指纹,所述出现频率小于或等于所述预设频率阈值,且所述总出现次数小于或等于所述预设次数阈值,则向所述客户端设备返回所述当前访问请求所对应的业务数据。
6.一种访问请求验证装置,其特征在于,所述装置包括:
安全套接字协议信息获取模块,用于在接收到客户端设备发送的当前访问请求时,获取所述当前访问请求的请求头信息、所述客户端设备的目标IP地址和所述客户端设备发送的安全套接字协议请求信息;
判断模块,用于判断所述请求头信息是否满足预设的合法请求头信息规则,以得到判断结果;
IP地址匹配模块,用于若所述判断结果反映所述请求头信息满足预设的合法请求头信息规则,则将所述目标IP地址与预设的恶意IP地址库中的IP地址进行匹配,以得到用于反映所述恶意IP地址库是否包括所述目标IP地址的第二匹配结果;
指纹匹配模块,用于若所述第二匹配结果反映所述恶意IP地址库不包括所述目标IP地址,则根据所述安全套接字协议请求信息生成所述当前访问请求的目标JA3指纹,并将所述目标JA3指纹与预设的恶意JA3指纹库中的JA3指纹进行匹配,以得到用于反映所述恶意JA3指纹库是否包括所述目标JA3指纹的第一匹配结果
出现频率获取模块,用于若所述第二匹配结果反映所述恶意IP地址库不包括所述目标IP地址,则获取用于记录每一历史访问请求所对应的JA3指纹的历史指纹库,并确定所述目标JA3指纹在所述历史指纹库中的出现频率及总出现次数;
请求验证模块,用于在所述第一匹配结果反映所述恶意JA3指纹库包括所述目标JA3指纹、所述出现频率大于预设频率阈值或者所述总出现次数大于预设次数阈值的情况下,丢弃所述当前访问请求。
7.一种存储介质,其特征在于:所述存储介质中存储有计算机可读指令,所述计算机可读指令被一个或多个处理器执行时,使得一个或多个处理器执行如权利要求1至5中任一项所述访问请求验证方法的步骤。
8.一种服务器,其特征在于,包括:一个或多个处理器,以及存储器;
所述存储器中存储有计算机可读指令,所述计算机可读指令被所述一个或多个处理器执行时,执行如权利要求1至5中任一项所述访问请求验证方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210536651.7A CN114928452B (zh) | 2022-05-17 | 2022-05-17 | 访问请求验证方法、装置、存储介质及服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210536651.7A CN114928452B (zh) | 2022-05-17 | 2022-05-17 | 访问请求验证方法、装置、存储介质及服务器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114928452A CN114928452A (zh) | 2022-08-19 |
CN114928452B true CN114928452B (zh) | 2024-02-13 |
Family
ID=82808249
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210536651.7A Active CN114928452B (zh) | 2022-05-17 | 2022-05-17 | 访问请求验证方法、装置、存储介质及服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114928452B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116756716B (zh) * | 2023-06-20 | 2024-03-22 | 广东笑翠鸟教育科技有限公司 | 基于大数据的安全验证方法、***、设备和存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107426181A (zh) * | 2017-06-20 | 2017-12-01 | 竞技世界(北京)网络技术有限公司 | 恶意Web访问请求的拦截方法及装置 |
CN110213208A (zh) * | 2018-05-09 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种处理请求的方法和装置以及存储介质 |
CN110858831A (zh) * | 2018-08-22 | 2020-03-03 | 阿里巴巴集团控股有限公司 | 安全防护方法、装置以及安全防护设备 |
CN111310187A (zh) * | 2020-04-01 | 2020-06-19 | 深信服科技股份有限公司 | 一种恶意软件的检测方法、装置、电子设备及存储介质 |
CN112019575A (zh) * | 2020-10-22 | 2020-12-01 | 腾讯科技(深圳)有限公司 | 数据包处理方法、装置、计算机设备以及存储介质 |
CN113132406A (zh) * | 2021-04-29 | 2021-07-16 | 山东云天安全技术有限公司 | 一种基于ssh流量发现网络威胁的检测方法、设备及介质 |
WO2021187782A1 (ko) * | 2020-03-18 | 2021-09-23 | (주)수산아이앤티 | 악성 트래픽 검출 방법 및 그 장치 |
CN113452656A (zh) * | 2020-03-26 | 2021-09-28 | 百度在线网络技术(北京)有限公司 | 用于识别异常行为的方法和装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10284578B2 (en) * | 2017-03-06 | 2019-05-07 | International Business Machines Corporation | Creating a multi-dimensional host fingerprint for optimizing reputation for IPV6 |
-
2022
- 2022-05-17 CN CN202210536651.7A patent/CN114928452B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107426181A (zh) * | 2017-06-20 | 2017-12-01 | 竞技世界(北京)网络技术有限公司 | 恶意Web访问请求的拦截方法及装置 |
CN110213208A (zh) * | 2018-05-09 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种处理请求的方法和装置以及存储介质 |
CN110858831A (zh) * | 2018-08-22 | 2020-03-03 | 阿里巴巴集团控股有限公司 | 安全防护方法、装置以及安全防护设备 |
WO2021187782A1 (ko) * | 2020-03-18 | 2021-09-23 | (주)수산아이앤티 | 악성 트래픽 검출 방법 및 그 장치 |
CN113452656A (zh) * | 2020-03-26 | 2021-09-28 | 百度在线网络技术(北京)有限公司 | 用于识别异常行为的方法和装置 |
CN111310187A (zh) * | 2020-04-01 | 2020-06-19 | 深信服科技股份有限公司 | 一种恶意软件的检测方法、装置、电子设备及存储介质 |
CN112019575A (zh) * | 2020-10-22 | 2020-12-01 | 腾讯科技(深圳)有限公司 | 数据包处理方法、装置、计算机设备以及存储介质 |
CN113132406A (zh) * | 2021-04-29 | 2021-07-16 | 山东云天安全技术有限公司 | 一种基于ssh流量发现网络威胁的检测方法、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114928452A (zh) | 2022-08-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109951500B (zh) | 网络攻击检测方法及装置 | |
CN105939326B (zh) | 处理报文的方法及装置 | |
US8732472B2 (en) | System and method for verification of digital certificates | |
EP3264720B1 (en) | Using dns communications to filter domain names | |
CN107800678B (zh) | 检测终端异常注册的方法及装置 | |
US9531749B2 (en) | Prevention of query overloading in a server application | |
US20070073660A1 (en) | Method of validating requests for sender reputation information | |
CN110012005B (zh) | 识别异常数据的方法、装置、电子设备及存储介质 | |
WO2009023315A2 (en) | Anti-content spoofing (acs) | |
CN103379099A (zh) | 恶意攻击识别方法及*** | |
EP3852327A1 (en) | Exception access behavior identification method and server | |
US10574658B2 (en) | Information security apparatus and methods for credential dump authenticity verification | |
CN111756728B (zh) | 一种漏洞攻击检测的方法、装置、计算设备及存储介质 | |
CN111565203B (zh) | 业务请求的防护方法、装置、***和计算机设备 | |
CN112367338A (zh) | 恶意请求检测方法及装置 | |
CN111314301A (zh) | 一种基于dns解析的网站访问控制方法及装置 | |
CN108449348B (zh) | 一种支持用户身份隐私保护的在线认证***及方法 | |
CN114928452B (zh) | 访问请求验证方法、装置、存储介质及服务器 | |
CN110943840A (zh) | 一种签名验证方法及*** | |
CN107786489B (zh) | 访问请求验证方法及装置 | |
CN109547427B (zh) | 黑名单用户识别方法、装置、计算机设备及存储介质 | |
CN112613893A (zh) | 一种用户恶意注册识别方法、***、设备及介质 | |
CN116112229A (zh) | 一种流量清洗方法、***、存储介质以及智能终端 | |
JP5743822B2 (ja) | 情報漏洩防止装置及び制限情報生成装置 | |
CN114417198A (zh) | 一种网络诈骗预警方法、装置、预警设备、*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |