一种Web请求被误拦截的判断方法及装置制造方法及图纸

本发明专利技术提供了一种Web请求被误拦截的判断方法及装置，通过对预设时间范围对应的业务日志数据进行聚合分析，获得目标IP地址和目标域名共同对应的聚合数据；当根据第二聚合信息确定目标IP地址向目标域名发送的Web请求中被拦截的Web请求总数不为0时，根据第一聚合信息和第三聚合信息，获得第一占比信息；进一步当根据第一占比信息确定目标IP地址向目标域名发送的Web请求中，正常请求方法的Web请求占比大于或者等于第一阈值时，则确定目标IP地址向目标域名发送的Web请求均为正常请求，由此可尽可能避免后续目标IP地址向目标域名发送的Web请求被误拦截的现象发生，以解决现有技术中Web请求被误拦截，影响用户体验的问题。影响用户体验的问题。影响用户体验的问题。

【技术实现步骤摘要】
一种Web请求被误拦截的判断方法及装置


[0001]本申请涉及网络安全
，具体涉及一种Web请求被误拦截的方法及装置。

技术介绍

[0002]Waf(英文全拼为“Web Application Firewall”)是针对Web端的防火墙，云Waf为Web应用防火墙的云模式，让用户不需要在自己的网络中安装软件程序或部署硬件设备，就可以对网站实施安全防护，它的主要实现方式是利用DNS技术，通过移交域名解析权来实现安全防护。用户发送的Web请求首先会被发送到云端节点进行检测，如检测判断为异常请求的话，则会对Web请求进行拦截，否则会将Web请求转发至可对Web请求进行响应的服务器。
[0003]在云Waf的场景下，针对Web攻击的防护主要依赖于判断规则进行检测。判断规则描述了各种Web攻击的特征，云Waf通过检测每条Web请求是否命中判断规则所描述的特征，以确定Web请求是否为Web攻击的异常请求并进行拦截。现有技术中，因为判断规则对各种Web攻击的特征描述的局限性,常常会发生正常请求被误拦截的现象发生，一定程度上影响了用户的网站访问体验。

技术实现思路

[0004]有鉴于此，本专利技术实施例所解决的技术问题之一在于提供一种Web请求被误拦截的判断方法及装置，用以克服现有技术中Web请求被误拦截，影响用户体验的问题。
[0005]本申请实施例第一方面公开一种Web请求被误拦截的判断方法，所述方法包括：
[0006]对预设时间范围对应的业务日志数据进行聚合分析，获得目标IP地址和目标域名共同对应的聚合数据；其中，所述聚合数据包括第一聚合信息、第二聚合信息和第三聚合信息，所述第一聚合信息用于表征所述目标IP地址向所述目标域名发送的Web请求总数，所述第二聚合信息用于表征所述目标IP地址向所述目标域名发送的Web请求中被拦截的Web请求总数，所述第三聚合信息用于表征所述目标IP地址向所述目标域名发送的Web请求的请求方法类型分布；
[0007]当根据所述第二聚合信息确定目标IP地址向目标域名发送的Web请求中被拦截的Web请求总数不为0时，根据所述第一聚合信息和所述第三聚合信息，获得第一占比信息；其中，所述第一占比信息用于表征所述目标IP地址向所述目标域名发送的Web请求中，请求方法为正常请求方法的Web请求占比；
[0008]当根据所述第一占比信息确定所述目标IP地址向所述目标域名发送的Web请求中，正常请求方法的Web请求占比大于或者等于第一阈值时，则确定所述目标IP地址向所述目标域名发送的Web请求均为正常请求。
[0009]本申请实施例第二方面公开一种Web请求被误拦截的判断的装置，所述装置包括：
[0010]聚合分析模块，用于对预设时间范围对应的业务日志数据进行聚合分析，获得目标IP地址和目标域名共同对应的聚合数据；其中，所述聚合数据包括第一聚合信息、第二聚合信息和第三聚合信息，所述第一聚合信息用于表征所述目标IP地址向所述目标域名发送
的Web请求总数，所述第二聚合信息用于表征所述目标IP地址向所述目标域名发送的Web请求中被拦截的Web请求总数，所述第三聚合信息用于表征所述目标IP地址向所述目标域名发送的Web请求的请求方法类型分布；
[0011]占比计算模块，用于当根据所述第二聚合信息确定目标IP地址向目标域名发送的Web请求中被拦截的Web请求总数不为0时，根据所述第一聚合信息和所述第三聚合信息，获得第一占比信息；其中，所述第一占比信息用于表征所述目标IP地址向所述目标域名发送的Web请求中，请求方法为正常请求方法的Web请求占比；
[0012]正常请求判断模块，用于当根据所述第一占比信息确定所述目标IP地址向所述目标域名发送的Web请求中，正常请求方法的Web请求占比大于或者等于第一阈值时，则确定所述目标IP地址向所述目标域名发送的Web请求均为正常请求。
[0013]本专利技术实施例中，通过对预设时间范围对应的业务日志数据进行聚合分析，获得目标IP地址和目标域名共同对应的聚合数据；当根据第二聚合信息确定目标IP地址向目标域名发送的Web请求中被拦截的Web请求总数不为0时，根据第一聚合信息和第三聚合信息，获得第一占比信息；进一步当根据第一占比信息确定目标IP地址向目标域名发送的Web请求中，正常请求方法的Web请求占比大于或者等于第一阈值时，则确定目标IP地址向目标域名发送的Web请求均为正常请求，由此可尽可能避免后续目标IP地址向目标域名发送的Web请求被误拦截的现象发生，以解决现有技术中Web请求被误拦截，影响用户体验的问题。
附图说明
[0014]为了更清楚地说明本申请实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0015]图1是本申请实施例一公开的一种Web请求被误拦截的判断方法的流程示意图；
[0016]图2是本申请实施例二公开的一种Web请求被误拦截的判断方法的流程示意图；
[0017]图3是本申请实施例三公开的一种Web请求被误拦截的判断方法的流程示意图；
[0018]图4是本申请实施例四公开的一种Web请求被误拦截的判断方法的流程示意图；
[0019]图5是本申请实施例五公开的一种Web请求被误拦截的判断装置的结构示意框图。
具体实施方式
[0020]下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0021]需要说明的是，本申请的说明书和权利要求书中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同的对象，而不是用于描述特定顺序。本申请实施例的术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、装置、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0022]实施例一
[0023]如图1所示，图1为本申请实施例一公开的一种Web请求被误拦截的判断方法的示意性流程图，该Web请求被误拦截的判断方法包括：
[0024]步骤S101，对预设时间范围对应的业务日志数据进行聚合分析，获得目标IP地址和目标域名共同对应的聚合数据。其中，聚合数据包括第一聚合信息、第二聚合信息和第三聚合信息。
[0025]本实施例中，执行主体为防护服务器，例如云Waf的服务器。防护服务器可获取一个或者多个目标网站的业务日志数据。业务日志数据可以是实时产生的日志流数据，也可以是非实时产生的日志流数据。
[0026]本实本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种Web请求被误拦截的判断方法，其特征在于，所述方法包括：对预设时间范围对应的业务日志数据进行聚合分析，获得目标IP地址和目标域名共同对应的聚合数据；其中，所述聚合数据包括第一聚合信息、第二聚合信息和第三聚合信息，所述第一聚合信息用于表征所述目标IP地址向所述目标域名发送的Web请求总数，所述第二聚合信息用于表征所述目标IP地址向所述目标域名发送的Web请求中被拦截的Web请求总数，所述第三聚合信息用于表征所述目标IP地址向所述目标域名发送的Web请求的请求方法类型分布；当根据所述第二聚合信息确定目标IP地址向目标域名发送的Web请求中被拦截的Web请求总数不为0时，根据所述第一聚合信息和所述第三聚合信息，获得第一占比信息；其中，所述第一占比信息用于表征所述目标IP地址向所述目标域名发送的Web请求中，请求方法为正常请求方法的Web请求占比；当根据所述第一占比信息确定所述目标IP地址向所述目标域名发送的Web请求中，正常请求方法的Web请求占比大于或者等于第一阈值时，则确定所述目标IP地址向所述目标域名发送的Web请求均为正常请求。2.根据权利要求1所述的方法，其特征在于，所述聚合数据还包括第四聚合信息，所述第四聚合信息用于表征所述目标IP地址向所述目标域名发送的Web请求对应的请求资源类型分布；对应地，所述当根据所述第一占比信息确定所述目标IP地址向所述目标域名发送的Web请求中，正常请求方法的Web请求占比大于或者等于第一阈值时，则确定所述目标IP地址向所述目标域名发送的Web请求均为正常请求包括：当根据所述第一占比信息确定所述目标IP地址向所述目标域名发送的Web请求中，正常请求方法的Web请求占比大于或者等于第一阈值，且所述目标IP地址向所述目标域名发送的Web请求对应的所述请求资源类型分布满足第一分布条件时，则确定所述目标IP地址向所述目标域名发送的Web请求均为正常请求。3.根据权利要求2所述的方法，其特征在于，所述第一分布条件包括：属于预设资源类型黑名单中的请求资源类型数量小于2。4.根据权利要求3所述的方法，其特征在于，所述第一分布条件包括：属于预设资源类型黑名单中的请求资源类型数量小于2，且不属于预设资源类型白名单中的请求资源类型数量小于2。5.根据权利要求3所述的方法，其特征在于，所述第一分布条件包括：属于预设资源类型黑名单中的请求资源类型数量小于2，不属于预设资源类型白名单和预设历史资源白名单中的请求资源类型数量小于3；其中，所述历史资源白名单根据所述目标网站所支持的请求资源类型所确定。6.根据权利要求1所述的方法，其特征在于，所述聚合数据还包括第五聚合信息，所述第五聚合信息用于表征所述目标IP地址向所述目标域名发送的Web请求对应的用户代理分布；对应地，所述当根据所述第一占比信息确定所述目标IP地址向所述目标域名发送的Web请求中，正常请求方法的Web请求占比大于或者等于第一阈值时，则确定所述目标IP地址向所述目标域名发送的Web请求均为正常请求包括：
当根据所述第一占比信息确定所述目标IP地...

【专利技术属性】
技术研发人员：张传社，欧怀谷，王枭卿，丁倩，
申请(专利权)人：云盾智慧安全科技有限公司，
类型：发明
国别省市：