一种访问请求处理方法及装置制造方法及图纸

本申请实施例公开了一种访问请求处理方法和装置，用于提高目标网站服务器的安全防护效果。其中，方法包括：获取终端设备与目标网站服务器之间交互产生的至少一个会话的访问请求，至少一个会话中的每个会话中包括至少两个先后发送的、且源地址为终端设备的IP地址的访问请求；针对至少一个会话中的第一会话，根据第一会话中的至少两个先后发送的访问请求中的每个访问请求包括的URL，得到第一会话对应的URL访问路径，以此类推，从而得到至少一个会话中每个会话对应的URL访问路径；当至少一个会话中的一个或多个会话对应的URL访问路径符合预设规则时，确认终端设备的IP地址为恶意源IP地址。

【技术实现步骤摘要】
一种访问请求处理方法及装置
本申请涉及网络通信领域，尤其涉及一种访问请求处理方法及装置。
技术介绍
随着互联网的迅猛发展，对网页(Web)服务器的攻击也日益频繁。攻击者通过控制代理服务器、或者被控计算机对目标网站服务器发起大量的恶意访问请求，以快速占用目标网站服务器的资源，导致目标网站服务器无法处理来自用户设备的正常访问请求。所以，识别用于攻击目标服务器的恶意访问请求对于保证目标网站服务器的正常运行非常重要。目前常用的检测恶意访问请求的方式是统计单位时间内来自同一个源互联网协议(InternetProtocol，IP)地址的访问请求的数目是否超过一定的阈值，如果是，则认为来自该源IP地址的访问请求为恶意访问请求；如果否，则认为来自该源IP地址的访问请求为正常访问请求。然而，若攻击者采用大量的代理服务器向目标网站服务器发送恶意访问请求，并保证通过代理服务器转换后的每个源IP地址在单位时间内向目标服务器发送的恶意访问请求的数目均低于阈值，就可以绕开上述检测方式从而攻击目标网站服务器。或者攻击者通过大量被控计算机向目标网站服务器发送恶意访问请求，但每个被控计算机发送的恶意访问请求的数目均低于阈值，也可以绕开上述检测方式。因此现有检测方式对于目标网站服务器的安全防护效果一般。
技术实现思路
本申请实施例提供了一种访问请求处理方法和装置，用于提高目标网站服务器的安全防护效果。第一方面，本申请实施例提供了一种访问请求处理方法，该方法可以应用于安全设备，安全设备例如是入侵防御系统(intrusionpreventionsystem，IPS)设备或统一威胁管理(unifiedthreatmanagement，UTM)设备等。该访问请求处理方法可以包括如下步骤：首先，获取终端设备与目标网站服务器之间交互产生的至少一个会话的访问请求，至少一个会话中的每个会话中包括至少两个先后发送的、且源地址为终端设备的IP地址的访问请求，每个访问请求中包括目标网站服务器提供的一个统一资源定位符(uniformresourcelocator，URL)。其次，针对至少一个会话中的第一会话，根据第一会话中的至少两个先后发送的访问请求中的每个访问请求包括的URL，得到第一会话对应的URL访问路径，第一会话对应的URL访问路径体现终端设备在第一会话中对URL的访问顺序，以此类推，从而得到至少一个会话中每个会话对应的URL访问路径。当至少一个会话中的一个或多个会话对应的URL访问路径符合预设规则时，确认终端设备的IP地址为恶意源IP地址，预设规则体现使用恶意源IP地址的设备对一个网站服务器发出访问请求的规律。本申请实施例通过获取终端设备与目标网站服务器之间交互产生的至少一个会话的访问请求，并根据访问请求中包括的URL以及访问请求的访问顺序，得到至少一个会话中每个会话对应的URL访问路径，通过判断至少一个会话中的一个或多个会话对应的URL访问路径是否符合预设规则，来确定终端设备的IP地址是否为恶意源IP地址。相对于传统的基于单位时间内来自终端设备IP地址的访问请求的数目是否超过一定的阈值的方式来判断终端设备的IP地址是否为恶意IP地址，本申请实施例不依赖于终端设备发送访问请求的数目，而是通过URL访问路径是否符合恶意访问的规律来对恶意IP地址进行识别，所以提高了识别准确率。本申请实施例介绍三种可能的判断终端设备的IP地址是否为恶意源IP地址的实现方式，当然，这三种实现方式并不构成对本申请实施例的限定，本领域技术人员可以根据实际情况自行设计。作为其中一种可能的实现方式，当至少一个会话中的多个会话对应的URL访问路径符合预设规则时，则确认终端设备的IP地址为恶意源IP地址，可以包括如下步骤：首先，获取目标网站服务器的跳转结构，跳转结构用于描述目标网站服务器提供的多个URL之间的跳转关系。其次，针对至少一个会话中的第一会话，根据第一会话对应的URL访问路径和跳转结构，判断第一会话对应的URL访问路径中相邻的两个URL之间是否具有跳转结构描述跳转关系，并计算第一会话对应的URL访问路径中URL对的数目，URL对是指URL访问路径中相邻的两个URL、且两个URL不具有跳转结构描述的跳转关系，以此类推，从而得到至少一个会话中每个会话对应的URL访问路径中URL对的数目。也就是说，对于正常的访问请求而言，一般情况下URL访问路径中相邻的两个URL之间是具有跳转关系的，不具有跳转关系的占少数。所以，如果第一会话对应的URL访问路径中相邻两个URL不具有跳转关系的URL对的数目较多，则认为第一会话包括的访问请求为疑似恶意访问请求，发起该访问请求的终端设备为疑似恶意终端设备，该终端设备的IP地址，即终端设备的IP地址，为疑似恶意源IP地址。当至少一个会话中每个会话对应的URL访问路径中URL对的数目均大于或等于预设数目时，确认终端设备的IP地址为恶意源IP地址。作为另一种可能的实现方式，当至少一个会话中的一个或多个会话对应的URL访问路径符合预设规则时，确认终端设备的IP地址为恶意源IP地址，可以包括如下步骤：针对至少一个会话中的第一会话，执行以下步骤，以此类推，直到得到至少一个会话中每个会话对应的判断结果：首先，获得第一会话中包括的访问请求的数目，计算数目的至少一个公约数，且至少一个公约数中不包括最大公约数；其次，将至少一个公约数中的其中一个公约数置为当前公约数；接着，对第一会话对应的URL访问路径进行切分，得到第一会话对应的多个URL访问子路径，其中，多个URL访问子路径中的每个URL访问子路径包括的URL的数目为当前公约数；最后，若多个URL访问子路径中相同的URL访问子路径的数目大于或等于阈值，则确认终端设备的IP地址为疑似恶意源IP地址。若多个URL访问子路径中相同的URL访问子路径的数目小于阈值，则从至少一个公约数中选择除了当前公约数以外的一个公约数作为当前公约数，返回执行对第一会话对应的URL访问路径进行切分的步骤。也就是说，对于正常的访问请求而言，一般情况下URL访问路径中不会出现较多的连续重复的访问子路径，如果出现，则说明该终端设备的IP地址为疑似恶意源IP地址。若至少一个会话中超过预定数目或预定比例的会话对应的判断结果均为终端设备的IP地址为疑似恶意源IP地址，则确认终端设备的IP地址为恶意源IP地址。作为再一种可能实现的方式，至少一个会话为终端设备发起的多个连续的会话。当至少一个会话中的多个会话对应的URL访问路径符合预设规则时，确认终端设备的IP地址为恶意源IP地址可以包括如下步骤：将多个会话中的第一个会话设置为当前会话，并将计数器的计数值置为1。执行以下操作，直到满足终止条件，终止条件包括确认终端设备的IP地址为恶意源IP地址：判断多个会话中当前会话的下一个会话对应的URL访问路径是否与当前会话对应的URL访问路径相同；如果下一个会话对应的URL访问路径与当前会话对应的URL访问路径相同，则将计数值加1，并判断计数值是否大于或等于阈值，如果大于或等于阈值则确认终端设备的IP地址为恶意源IP地址本文档来自技高网...

【技术保护点】
1.一种访问请求处理方法，其特征在于，所述方法包括：/n获取终端设备与目标网站服务器之间交互产生的至少一个会话的访问请求，所述至少一个会话中的每个会话中包括至少两个先后发送的、且源地址为所述终端设备的IP地址的访问请求，每个所述访问请求中包括所述目标网站服务器提供的一个URL；/n针对所述至少一个会话中的第一会话，根据所述第一会话中的至少两个先后发送的访问请求中的每个访问请求包括的URL，得到第一会话对应的URL访问路径，所述第一会话对应的URL访问路径体现所述终端设备在所述第一会话中对URL的访问顺序，以此类推，从而得到所述至少一个会话中每个会话对应的URL访问路径；/n当所述至少一个会话中的一个或多个会话对应的URL访问路径符合预设规则时，确认所述终端设备的IP地址为恶意源IP地址，所述预设规则体现使用恶意源IP地址的设备对一个网站服务器发出访问请求的规律。/n

【技术特征摘要】
1.一种访问请求处理方法，其特征在于，所述方法包括：
获取终端设备与目标网站服务器之间交互产生的至少一个会话的访问请求，所述至少一个会话中的每个会话中包括至少两个先后发送的、且源地址为所述终端设备的IP地址的访问请求，每个所述访问请求中包括所述目标网站服务器提供的一个URL；
针对所述至少一个会话中的第一会话，根据所述第一会话中的至少两个先后发送的访问请求中的每个访问请求包括的URL，得到第一会话对应的URL访问路径，所述第一会话对应的URL访问路径体现所述终端设备在所述第一会话中对URL的访问顺序，以此类推，从而得到所述至少一个会话中每个会话对应的URL访问路径；
当所述至少一个会话中的一个或多个会话对应的URL访问路径符合预设规则时，确认所述终端设备的IP地址为恶意源IP地址，所述预设规则体现使用恶意源IP地址的设备对一个网站服务器发出访问请求的规律。


2.根据权利要求1所述的方法，其特征在于，所述当所述至少一个会话中的多个会话对应的URL访问路径符合预设规则时，则确认所述终端设备的IP地址为恶意源IP地址，包括：
获取所述目标网站服务器的跳转结构，所述跳转结构用于描述所述目标网站服务器提供的多个URL之间的跳转关系；
针对所述至少一个会话中的第一会话，根据所述第一会话对应的URL访问路径和所述跳转结构，判断所述第一会话对应的URL访问路径中相邻的两个URL之间是否具有所述跳转结构描述跳转关系，并计算所述第一会话对应的URL访问路径中URL对的数目，所述URL对是指所述URL访问路径中相邻的两个URL、且所述两个URL不具有所述跳转结构描述的跳转关系，以此类推，从而得到所述至少一个会话中每个会话对应的URL访问路径中URL对的数目；
当所述至少一个会话中每个会话对应的URL访问路径中URL对的数目均大于或等于预设数目时，确认所述终端设备的IP地址为恶意源IP地址。


3.根据权利要求1所述的方法，其特征在于，所述当所述至少一个会话中的一个或多个会话对应的URL访问路径符合预设规则时，确认所述终端设备的IP地址为恶意源IP地址，包括：
针对所述至少一个会话中的第一会话，执行以下步骤，以此类推，直到得到至少一个会话中每个会话对应的判断结果：
获得所述第一会话中包括的访问请求的数目，计算所述数目的至少一个公约数，且所述至少一个公约数中不包括最大公约数；
将所述至少一个公约数中的其中一个公约数置为当前公约数；
对所述第一会话对应的URL访问路径进行切分，得到所述第一会话对应的多个URL访问子路径，其中，所述多个URL访问子路径中的每个URL访问子路径包括的URL的数目为所述当前公约数；
若所述多个URL访问子路径中相同的URL访问子路径的数目大于或等于阈值，则确认所述终端设备的IP地址为疑似恶意源IP地址；
若所述多个URL访问子路径中相同的URL访问子路径的数目小于所述阈值，则从所述至少一个公约数中选择除了当前公约数以外的一个公约数作为当前公约数，返回执行对所述第一会话对应的URL访问路径进行切分的步骤；
若所述至少一个会话中超过预定数目或预定比例的会话对应的判断结果均为所述终端设备的IP地址为疑似恶意源IP地址，则确认所述终端设备的IP地址为恶意源IP地址。


4.根据权利要求1所述的方法，其特征在于，所述至少一个会话为所述终端设备发起的多个连续的会话；
所述当所述至少一个会话中的多个会话对应的URL访问路径符合预设规则时，确认所述终端设备的IP地址为恶意源IP地址包括：
将所述多个会话中的第一个会话设置为当前会话，并将计数器的计数值置为1；
执行以下操作，直到满足终止条件，所述终止条件包括确认所述终端设备的IP地址为恶意源IP地址：
判断所述多个会话中所述当前会话的下一个会话对应的URL访问路径是否与所述当前会话对应的URL访问路径相同；
如果所述下一个会话对应的URL访问路径与所述当前会话对应的URL访问路径相同，则将所述计数值加1，并判断所述计数值是否大于或等于阈值，如果大于或等于阈值则确认所述终端设备的IP地址为恶意源IP地址；如果小于阈值则将所述下一个会话设置为新的当前会话，返回执行判断所述多个会话中所述当前会话的下一个会话对应的URL访问路径是否与所述当前会话对应的URL访问路径相同的步骤；
如果所述下一个会话对应的URL访问路径与所述当前会话对应的URL访问路径不同，则将所述计数值置为1，将所述下一个会话设置为新的当前会话，返回执行判断所述多个会话中所述当前会话的下一个会话对应的URL访问路径是否与所述当前会话对应的URL访问路径相同的步骤。


5.根据权利要求1-4任一项所述的方法，其特征在于，所述访问路径是由多个编号组成的序列；
所述根据所述第一会话中的至少两个访问请求中每个访问请求包括的URL，得到第一会话对应的URL访问路径，包括：
获取URL编号表，所述URL编号表存储有与所述目标网站服务器提供的多个URL中每个URL对应的编号；
根据所述第一会话的至少两个访问请求中每个访问请求包括的URL，查找所述URL编号表，得到所述每个访问请求包括的URL分别对应的编号；
根据所述第一会话的每个访问请求包括的URL分别对应的编号和所述第一会话中的至少两访问请求中两个先后发送的访问请求的时间先后...

【专利技术属性】
技术研发人员：杨学良，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44