一种异常网络请求检测方法与装置制造方法及图纸

本申请公开了一种异常网络请求检测方法与装置，用以解决现有技术中的异常网络请求检测方法的安全防御等级较低的问题。该方法包括：接收网络请求；获取所述网络请求中包含的用户代理信息和/或跳转页面链接信息；判断所述网络请求中包含的用户代理信息和/或跳转页面链接信息的特征是否符合预设特征；若不符合，则判定所述网络请求为异常网络请求。

【技术实现步骤摘要】

本申请涉及安全防御
，尤其涉及一种异常网络请求检测方法与装置。
技术介绍
随着互联网技术的发展，互联网充斥在人类生活的方方面面，为人类工作与生活带来了便利。但是互联网给人类带来便利的同时，也给人类带来了安全隐患，比如，用户的账号存在被盗风险。那么为了防止用户账户被盗，检查出当前的网络请求是否是异常网络请求，即网络攻击者用于盗号的网络请求(后称盗号请求)，相当重要。在实际应用中，网络攻击者一般采用撞库扫号这一盗号方法来盗号。其中，撞库扫号这一方法，就是先收集在网络上已泄露的用户名与密码(后称已知用户名和密码)等信息，在一些网站逐个“试”着登录，即向服务器发送盗号请求，最终“撞大运”地“试”出一些可以登录的用户名与密码(后称可用用户名和密码)的方法。其中，网络攻击者采用撞库扫号这一盗号方法来盗号时，为了尽可能快速的获取到可用用户名与密码，便会事先编写好脚本，以使得同一终端设备能够自动、高频的向服务器发送盗号请求。该些盗号请求的发起频率远大于用户正常网络请求发起频率。并且，利用已知用户名和密码，在一些网站上尝试登录的结果的失败率，即已知用户名和密码并非为可用用户名与密码的概率，相较于用户发起的正常网络请求的失败率要高得多。另外，用户在一个网站中一般只有一个账户名，若一个终端设备向服务器发送的网络请求(后称网络请求)，对应着不同的用户名，表明该些网络请求有可能是异常网络请求。根据撞库扫号这一盗号方法体现出的上述特点，可以针对同一互联网协议地址(InternetProtocolAddress，IP地址)下的网络请求，分别判断该些网络请求的发起频率以及失败率，是否大于预设频率以及第一预设失败率，若判断结果均为是，则判定该些网络请求为异常网络请求；否则，则判断该些网络请求为正常网络请求。或者，针对同一互联网协议地址(InternetProtocolAddress，IP地址)下的网络请求，判断该些网络请求对应的用户名的数量，是否大于预设用户名数量，若不大于预设用户名数量，则判定该些网络请求为正常网络请求；若大于预设用户名数量，则进一步判断该些网络请求对应的失败率是否大于第二预设失败率，若大于第二预设失败率，则判断该些网络请求为异常网络请求，若不大于第二预设失败率，则判断该些网络请求为正常网络请求。但是，上述两种检测方法存在一个弊端，即安全防御等级不高，网络攻击者比较容易绕过上述两种检测方法的检测。因为上述两种检测方法的检测原理均是：若网络请求对应的某一数值超过预设阈值，便将该网络请求判定为异常网络请求。那么网络攻击者在进行多次尝试之后，便可摸索出预设阈值，将网络请求对应的相应数值控制在预设阈值之内，便可绕过上述两种检测方法的检测。
技术实现思路
本申请实施例提供一种异常网络请求检测方法与装置，用以解决现有技术中的异常网络请求检测方法的安全防御等级较低的问题。本申请实施例采用下述技术方案：一种异常网络请求检测方法，包括：接收网络请求；获取所述网络请求中包含的用户代理信息和/或跳转页面链接信息；判断所述网络请求中包含的用户代理信息和/或跳转页面链接信息的特征是否符合预设特征；若不符合，则判定所述网络请求为异常网络请求。一种异常网络请求检测装置，包括：接收模块，用于接收网络请求；获取模块，用于获取所述网络请求中包含的用户代理信息和/或跳转页面链接信息；预设特征判断模块，用于判断所述网络请求中包含的用户代理信息和/或跳转页面链接信息的特征是否符合预设特征；异常网络请求判定模块，用于若所述预设特征判断模块判断出所述网络请求中包含的用户代理信息和/或跳转页面链接信息的特征不符合预设特征，则判定所述网络请求为异常网络请求。本申请实施例采用的上述至少一个技术方案能够达到以下有益效果：本申请实施例提供的异常网络检测方法，通过在接收到网络请求后，获取该网络请求中包含的用户代理信息和/或跳转页面链接信息，并判断该网络请求中包含的用户代理信息和/或跳转页面链接信息的特征是否符合预设特征，来判定该网络请求是否为异常网络请求。若该网络请求中包含的用户代理信息和/或跳转页面链接信息的特征不符合预设特征，则判定该网络请求为异常网络请求。与现有技术中的异常网络请求检测方法相比，本申请实施例提供的异常网络请求检测方法，是根据网络请求中包含的字符串的特征来判断接收到的网络请求是否是异常网络请求的，并没有涉及到预设阈值这一参数，那么，网络攻击者通过多次尝试，也无法获取到关于预设阈值的相关信息，因而便无法通过控制网络请求对应的某一数值来绕过本申请实施例提供的异常网络请求检测方法的检测。因此，本申请实施例提供的异常网络请求检测方法，能够解决现有技术中的异常网络请求检测方法的安全防御等级较低的问题。附图说明此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：图1为本申请实施例提供的一种异常网络请求检测方法的具体流程示意图；图2为本申请实施例提供的一种异常网络请求检测装置的示意图。具体实施方式为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。以下结合附图，详细说明本申请实施例提供的技术方案。为了解决现有技术中的异常网络请求检测方法的安全防御等级较低的问题，本申请实施例提供一种异常网络请求检测方法。为便于描述，下文以该方法的执行主体为服务器为例，对该方法的实施方式进行介绍。可以理解，该方法的执行主体为服务器只是一种示例性的说明，并不应理解为对该方法的限定。该方法的具体流程示意图如图1所示，包括下述步骤：步骤101，接收网络请求。上述网络请求可以是客户端向服务器发送的请求消息，也可以是服务器向客户端发送的请求消息。上述网络请求具体可包括超文本传送协议(Hypertexttransferprotocol，HTTP)请求，当然也可以是其他协议的请求，其中，只要网络请求中包含类似于下文所说的用户代理信息以及跳转页面链接信息即可。另外，上述客户端可以是任意客户端，比如浏览器、社交软件等，本申请实施例对此不进行任何限定，只要由上述客户端向服务器发送的网络请求中包含类似于下文所说的用户代理信息以及跳转页面链接信息即可。上述网络请求，可以是任意业务类型的网络请求，比如登录支付类网站的账号请求或登录社交类网站的账号请求等，本申请实施例对此不进行任何限定。在本申请实施例中，为了后续描述方便，下文以客户端为浏览器、以网络请求为客户端向服务器发送的为例进行阐述。上述网络请求一般由一个起始行、至少一个头域、一个指示头域结束的空行和可选的消息体组成。典型的头域包括User-Agent头域、Referer头域等。其中，User-Agent，又叫做用户代理信息，是浏览器给出的一系列综合信息。该些信息包括硬件平台、系统软件、应用软件等信息，即发送网络请求的客户端所在的终端设备的硬件信息、操作系统信息、软件信息等，以及发起网络请求的本文档来自技高网...

【技术保护点】
一种异常网络请求检测方法，其特征在于，所述方法包括：接收网络请求；获取所述网络请求中包含的用户代理信息和/或跳转页面链接信息；判断所述网络请求中包含的用户代理信息和/或跳转页面链接信息的特征是否符合预设特征；若不符合，则判定所述网络请求为异常网络请求。

【技术特征摘要】
1.一种异常网络请求检测方法，其特征在于，所述方法包括：接收网络请求；获取所述网络请求中包含的用户代理信息和/或跳转页面链接信息；判断所述网络请求中包含的用户代理信息和/或跳转页面链接信息的特征是否符合预设特征；若不符合，则判定所述网络请求为异常网络请求。2.如权利要求1所述的方法，其特征在于，判断所述网络请求中包含的用户代理信息和跳转页面链接信息的特征是否符合预设特征，具体包括：判断所述网络请求中包含的用户代理信息的特征是否符合预设特征，以及判断所述网络请求中包含的跳转页面链接信息的特征是否符合预设特征；若所述网络请求中包含的用户代理信息和跳转页面链接信息的特征均符合预设特征，则判定所述网络请求中包含的用户代理信息和跳转页面链接信息的特征符合预设特征，否则，判定所述网络请求中包含的用户代理信息和跳转页面链接信息的特征不符合预设特征。3.如权利要求1或2所述的方法，其特征在于，判断所述网络请求中包含的用户代理信息的特征是否符合预设特征，具体包括：根据所述用户代理信息对应的字符串和字符串长度，判断所述用户代理信息对应的字符串是否包含预设字符串，以及所述用户代理信息对应的字符串长度是否落入预设长度范围内，如果是，则判定所述网络请求中包含的用户代理信息的特征符合预设特征，否则，判定所述网络请求中包含的用户代理信息的特征不符合预设特征；判断所述网络请求中包含的跳转页面链接信息的特征是否符合预设特征，具体包括：根据所述跳转页面链接信息对应的域名信息，判断所述跳转页面链接信息对应的域名信息是否为预设域名，如果是，则判定所述网络请求中包含的跳转页面链接信息的特征符合预设特征，否则，判定所述网络请求中包含的跳转页面链接信息的特征不符合预设特征。4.如权利要求1所述的方法，其特征在于，所述方法还包括：将不符合预设特征的用户代理信息和/或跳转页面链接信息添加到黑名单中；若后续接收到的网络请求中包含的用户代理信息和/或跳转页面链接信息存在于所述黑名单中，则判定所述网络请求为异常网络请求。5.如权利要求1所述的方法，其特征在于，所述方法还包括：当所述用户代理信息和/或跳转页面链接信息的特征符合预设特征时，确定所述网络请求为待定网络请求；针对在预设时间内接收到的、同一互联网协议IP地址发送的待定网络请求，判断包含相同用户代理信息和/或跳转页面链接信息的待定网络请求的数量是否大于预设阈值；若大于，则判定包含相同用户代理信息和/或跳转页面链接信息的各待定网络请求均为异常网络请求。6.一种异常网络请求检测装置，其特征在于，所述装置包括：接收模块，用于接收网络请求；获取模块，用于获取所述网络请求中包含的...

【专利技术属性】
技术研发人员：何为舟，
申请(专利权)人：微梦创科网络科技中国有限公司，
类型：发明
国别省市：北京;11