用于识别恶意访问的方法和设备与流程

本申请涉及计算机领域，尤其涉及一种用于识别恶意访问的技术。

背景技术：

互联网站点时刻面临不法分子的恶意攻击风险。恶意攻击不仅影响网站的正常运行，如果防护不当还会造成用户信息泄露，所以网站需要具备识别攻击请求和正常客户请求的能力，并快速的拦截、屏蔽恶意攻击。如何能在大量访问请求中，有效、快速的识别出恶意攻击请求，且做到不误杀正常用户请求，是大型网站必须要解决的重点安全课题。

图1示出现有技术中一种识别恶意访问的方法示意图，采用按照单个IP地址(Internet Protocol Address，互联网协议地址)的访问量相关信息(包括例如访问总量及访问频率)判断其是否为恶意访问攻击；但存在恶意攻击者利用外部代理网站进行攻击，该类代理网站有大量访问出口IP地址，攻击者使用多个IP地址来源的恶意攻击请求，使得被攻击方无法精确识别；而一些大型网站的出口IP地址固定，使得这些网站来源的正常用户请求表现为单一IP地址访问量过大，但实际为正常访问，因此被攻击网站也不能简单的施以拒绝服务保护措施；所以单纯的通过IP地址访问量以及访问频率进行判断，不足以区分恶意攻击访问者与正常访问者。

技术实现要素：

本申请要解决的技术问题是，提供一种能够有效区分恶意攻击请求和正常请求的识别恶意访问的方法和设备。

为此，根据本申请的一个方面提供的一种用于识别恶意访问的方法，其中，所述方法包括：

获取请求来源地址；

获取所述请求来源地址所请求访问的各目标地址的访问量和访问频 率；

判断所述请求来源地址请求访问某一目标地址的访问量或访问频率是否超过可疑异常阈值，若超过，则识别所述请求来源地址为可疑恶意访问地址。

根据本申请的另一个方面提供的一种用于识别恶意访问的设备，其中，所述设备包括：

第一获取装置，用于获取请求来源地址；

第二获取装置，用于获取所述请求来源地址所请求访问的各目标地址的访问量和访问频率；

第一识别装置，用于判断所述请求来源地址请求访问某一目标地址的访问量或访问频率是否超过可疑异常阈值，若超过，则识别所述请求来源地址为可疑恶意访问地址。

与现有技术相比，根据本申请实施例所述的用于识别恶意访问的方法和设备，通过判断所述请求来源地址请求访问某一目标地址的访问量或访问频率是否超过可疑异常阈值进行识别，可以有效识别恶意访问地址，并有效区分正常访问，从而有效减少误判率，提高安全性和用户体验。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1示出现有技术中一种识别恶意访问的方法示意图；

图2示出根据本申请一方面提供的一种用于识别恶意访问的方法示意图；

图3示出根据本申请一优选的实施例提供的用于识别恶意访问的方法示意图；

图4示出根据本申请另一优选实施例提供的用于识别恶意访问的方法示意图；

图5示出根据本申请再一优选实施例提供的用于识别恶意访问的方法示意图；

图6示出根据本申请又一优选实施例提供的用于识别恶意访问的方法示意图；

图7示出根据本申请还一优选实施例提供的用于识别恶意访问的方法示意图；

图8示出根据本申请一实施例在实际场景中识别恶意访问的方法示意图；

图9示出根据本申请一方面提供的一种用于识别恶意访问的设备示意图；

图10示出根据本申请一优选实施例提供的一种用于识别恶意访问的设备示意图；

图11示出根据本申请另一优选实施例提供的一种用于识别恶意访问的设备示意图；

图12示出根据本申请再一优选实施例提供的一种用于识别恶意访问的设备示意图；

图13示出根据本申请又一优选实施例提供的一种用于识别恶意访问的设备示意图；

图14示出根据本申请还一优选实施例提供的一种用于识别恶意访问的设备示意图。

附图中相同或相似的附图标记代表相同或相似的部件。

具体实施方式

下面结合附图对本申请作进一步详细描述。

图2示出根据本申请一方面提供的一种用于识别恶意访问的方法示意图，其中，所述方法包括：

步骤S11：获取请求来源地址；

步骤S12：获取所述请求来源地址所请求访问的各目标地址的访问量和访问频率；

步骤S13：判断所述请求来源地址请求访问某一目标地址的访问量或访问频率是否超过可疑异常阈值，若超过，则识别所述请求来源地址为可 疑恶意访问地址。

具体地，在所述步骤S13中，判断所述请求来源地址请求访问某一目标地址的访问量或访问频率是否超过可疑异常阈值，若超过，则识别所述请求来源地址为可疑恶意访问地址。此外，若未超过，则认为相应所述请求来源地址是安全的，可正常处理其相应业务。

根据本申请一实施例所述的用于识别恶意访问的方法，能够有效识别对目标地址(URL地址)的固定高频访问的请求来源地址，并有效减少误判率，从而提高安全性和用户体验。

在此，所述请求来源地址即为提出访问请求的来源IP地址，所述访问量相关信息优选地包括所述请求来源地址针对所请求访问的所述目标地址的访问总量和访问频率。

具体地，恶意访问通常请求访问的目标地址单一，并且访问量或访问频率超过一定的阈值。例如，在支付场景中，正常的访问通常需要完整请求一系列目标地址，例如包括：支付链接的目标地址、支付对方信息输入的目标地址、支付密码输入的目标地址等。

当一请求来源地址重复请求支付对方信息输入的目标地址，或重复支付密码输入的目标地址，并且访问量超过了一定的阈值，例如，访问频率超过正常访问频率(例如但不限于每秒10次请求以上)，或在一定时间内，其请求来源地址向所述目标地址的访问总量达到目标地址总访问量的一定比例以上(例如但不限于20％以上)，则该请求来源地址就很可能是恶意访问地址。

并且，即使恶意攻击者即使利用多个请求来源地址发起恶意攻击请求，其所利用的多个请求来源地址所请求访问的目标地址仍然固定且单一并且访问量会超过一定的阈值。

因此，通过基于所述请求来源地址所请求访问的目标地址是否固定且单一以及所述请求来源地址的访问量相关信息是否超过设定阈值进行识别，可以有效识别恶意访问地址，并有效区分一些访问量达到一定阈值但所请求访问的目标地址并非固定且单一的正常访问，从而有效减少误判率，提高安全性和用户体验。

图3示出根据本申请一优选的实施例提供的用于识别恶意访问的方法示意图，所述方法包括：步骤S11’、步骤S12’、步骤S13’、步骤S14’和步骤S15’。

其中，在步骤S14’中：获取所述请求来源地址对所有所述目标地址的总访问量及总访问频率；

所述步骤S15’包括：判断所述请求来源地址对所有所述目标地址的总访问量及总访问频率是否超过严重异常阈值，若超过，则识别相应所述请求来源地址为可疑恶意访问地址。

在此，所述步骤S12’和步骤S13’中判断所述请求来源地址请求访问某一目标地址的访问量或访问频率是否超过可疑异常阈值与所述步骤S14’和步骤S15’中判断所述请求来源地址对所有所述目标地址的总访问量及总访问频率是否超过严重异常阈值的顺序并不被限定，或可同时分别进行判断，提高识别的准确率。

此外，所述步骤S11’、步骤S12’和步骤S13’与图2所述方法中的步骤S11、步骤S12、步骤S13的内容相同或基本相同，为简明起见，不再赘述，仅以引用的方式包含于此。

图4示出根据本申请另一优选实施例提供的用于识别恶意访问的方法示意图，所述方法包括：步骤S11”、步骤S12”、步骤S13”、步骤S16”和步骤S17”。

其中，所述步骤S16’包括：获取请求来源白名单；所述步骤S17’包括：查询被识别为可疑恶意访问地址的所述请求来源地址是否被纳入所述请求来源白名单，若未被纳入，则识别相应所述请求来源地址为恶意访问地址。

通常，对于提供访问的大型网站，通常具有请求来源白名单，用以记录请求访问方与被访问方双方认可的请求来源IP地址，则在即使请求访问方的访问量确实超过一定阈值范围时，被纳入请求来源白名单的请求来源地址仍能够继续访问被访问方，不会被认为是恶意攻击而被拦截，进而提高用户使用体验。

通过在所述请求来源地址所请求访问的目标地址的访问量和访问频 率基础上，增加请求来源白名单识别机制，能够有效保护访问量超过一定阈值量，但实际为正常访问请求的请求来源地址不被误判而影响正常服务。

在此，所述步骤S11”、步骤S12”和步骤S13”与图2所示的步骤S11、步骤S12、步骤S13的内容相同或基本相同，不再赘述，并以引用的方式包含于此。

进一步地，图5示出根据本申请再一优选实施例的提供的用于识别恶意访问的方法示意图，所述方法还可以包括步骤S14”和步骤S15”，所述步骤S14”和步骤S15”和图3所示的步骤S14’和步骤S15’的内容相同或基本相同，不再赘述，并以引用的方式包含于此。

图6示出根据本申请又一优选实施例的提供的用于识别恶意访问的方法示意图，所述方法包括步骤S11”’、步骤S12”’、步骤S13”’、步骤S18”’和步骤S19”’。

其中，所述步骤S18”’包括：获取请求来源白名单；

所述步骤S19”’包括：查询所有请求来源地址是否被纳入所述请求来源白名单；

其后，所述步骤S11”’包括：获取未被纳入所述请求来源白名单的所述请求来源地址；相应地，在所述步骤S12”’包括：获取未被纳入所述请求来源白名单的所述请求来源地址所请求访问的各目标地址的访问量和访问频率；所述步骤S13”’包括：判断未被纳入所述请求来源白名单的所述请求来源地址请求访问某一目标地址的访问量或访问频率是否超过可疑异常阈值，若超过，则识别所述请求来源地址为可疑恶意访问地址。

进一步地，图7示出根据本申请还一优选实施例的提供的用于识别恶意访问的方法示意图，所述方法还包括：步骤S14”’和步骤S15”’。

所述步骤S14”’包括：获取未被纳入所述请求来源白名单的所述请求来源地址对所有所述目标地址的总访问量及总访问频率；所述步骤S15”’包括：判断未被纳入所述请求来源白名单的所述请求来源地址对所有所述目标地址的总访问量及总访问频率是否超过严重异常阈值，若超过，则识别相应所述请求来源地址为可疑恶意访问地址。

在本优选实施例中，所述方法通过首先利用所述请求来源白名单对所有请求来源地址进行白名单识别，对于被纳入所述请求来源白名单的所述请求来源地址直接跳过包括获取相应访问量和访问频率并进行判断的恶意地址识别过程，能够降低识别恶意访问的处理量，提高识别效率。

图8示出根据本申请一实施例在实际场景中识别恶意访问的方法示意图，所述用于识别恶意访问的方法在实际场景可以包括以下识别以及相应的处理过程：

按请求来源地址(即请求来源IP地址)的访问量相关信息设定三档阈值(具体阈值范围可以根据实际访问量设定，在此不做具体限定)：

1、正常阈值：当请求来源地址的访问量相关信息在此正常阈值内的，通常认为是散列的请求来源IP地址请求，每个请求来源IP地址的访问量及频度在正常可接受范围内，如单个请求来源IP地址每5秒一次请求，属于正常用户请求，则认为是正常的请求来源地址，可不做拦截，业务正常处理。

2、可疑阈值：当请求来源地址的访问量相关信息超过可疑阈值(但未超过异常阈值)，例如，当单个请求来源IP地址每1秒10次请求、持续超过10分钟的，纳入可疑恶意访问地址，待进一步分析：

检查请求该请求来源IP地址是否纳入来源请求白名单，如是纳入来源请求白名单的，则认为是正常的请求来源地址，不做拦截，业务正常处理；

若请求来源IP地址未纳入来源请求白名单，则检查该请求来源IP地址的访问目标地址(URL地址)是否固定，如为固定的URL地址的高频访问，则认为是恶意攻击地址，予以拦截处理。

3、异常阈值：当请求来源地址的访问量相关信息超过异常阈值，例如严重异常的请求量及频率，如每秒100次请求以上，则检查请求来源IP地址是否纳入来源请求白名单，如是来源请求白名单，则认为是正常的请求来源地址，不做拦截，业务正常处理；

如请求来源IP地址未纳入来源请求白名单类，则认为是恶意攻击地址，系统予以拦截处理。

相比于现有技术，根据本申请实施例所述的用于识别恶意访问的方法，通过基于所述请求来源地址所请求访问的目标地址是否固定且单一以及所述请求来源地址的访问量相关信息是否超过设定阈值进行识别，可以有效识别恶意访问地址，并有效区分正常访问，从而有效减少误判率，提高安全性和用户体验。

进一步地，通过在所述请求来源地址所请求访问的目标地址的信息及访问量相关信息基础上，增加请求来源白名单识别机制，能够进一步有效区分恶意访问和正常访问，保证安全性，并防止误判发生而影响正常服务。

图9示出根据本申请一方面提供的一种用于识别恶意访问的设备示意图，所述设备1包括：第一获取装置11、第二获取装置12和第一识别装置13。

其中，所述第一获取装置11获取请求来源地址；所述第二获取装置12获取所述请求来源地址所请求访问的各目标地址的访问量和访问频率；所述第一识别装置13判断所述请求来源地址请求访问某一目标地址的访问量或访问频率是否超过可疑异常阈值，若超过，则识别所述请求来源地址为可疑恶意访问地址。

在此，所述设备1包括但不限于用户设备、网络设备、或用户设备与网络设备通过网络相集成所构成的设备。所述用户设备其包括但不限于任何一种可与用户通过触摸板进行人机交互的移动电子产品，例如智能手机、PDA等，所述移动电子产品可以采用任意操作系统，如android操作系统、iOS操作系统等。其中，所述网络设备包括一种能够按照事先设定或存储的指令，自动进行数值计算和信息处理的电子设备，其硬件包括但不限于微处理器、专用集成电路(ASIC)、可编程门阵列(FPGA)、数字处理器(DSP)、嵌入式设备等。所述网络设备其包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云；在此，云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成，其中，云计算是分布式计算的一种，由一群松散耦合的计算机集组成的一个虚拟超级计算机。所述网络包括但不限于互联网、广域网、城域网、局域网、VPN网络、无线自组织网络(Ad Hoc网络)等。本领域技术人员应 能理解，其他的触摸控制设备同样适用于本申请，也应包含在本申请保护范围以内，并在此以引用方式包含于此。

本领域技术人员应能理解上述设备1仅为举例，其他现有的或今后可能出现的控制设备1如可适用于本申请，也应包含在本申请保护范围以内，并在此以引用方式包含于此。

上述各装置之间是持续不断工作的，在此，本领域技术人员应理解“持续”是指上述各装置分别实时地或者按照设定的或实时调整的工作模式要求，直至所述设备停止工作。

具体地，所述第一识别装置13判断所述请求来源地址请求访问某一目标地址的访问量或访问频率是否超过可疑异常阈值，若超过，则识别所述请求来源地址为可疑恶意访问地址。此外，若未超过，则认为相应所述请求来源地址是安全的，可正常处理其相应业务。

根据本申请一实施例所述的用于识别恶意访问的方法，能够有效识别对目标地址(URL地址)的固定高频访问的请求来源地址，并有效减少误判率，从而提高安全性和用户体验。

在此，所述请求来源地址即为提出访问请求的来源IP地址，所述访问量相关信息优选地包括所述请求来源地址针对所请求访问的所述目标地址的访问总量和访问频率。

具体地，恶意访问通常请求访问的目标地址单一并且访问量或访问频率超过一定的阈值。例如，在支付场景中，正常的访问通常需要完整请求一系列目标地址，例如包括：支付链接的目标地址、支付对方信息输入的目标地址、支付密码输入的目标地址等。

当一请求来源地址重复请求支付对方信息输入的目标地址，或重复支付密码输入的目标地址，并且访问量超过了一定的阈值，例如，访问频率超过正常访问频率(例如但不限于每秒10次请求以上)，或在一定时间内，其请求来源地址向所述目标地址的访问总量达到目标地址总访问量的一定比例以上(例如但不限于20％以上)，则该请求来源地址就很可能是恶意访问地址。

并且，即使恶意攻击者即使利用多个请求来源地址发起恶意攻击请 求，其所利用的多个请求来源地址所请求访问的目标地址仍然固定且单一并且访问量会超过一定的阈值。

因此，通过基于所述请求来源地址所请求访问的目标地址是否固定且单一以及所述请求来源地址的访问量相关信息是否超过设定阈值进行识别，可以有效识别恶意访问地址，并有效区分一些访问量达到一定阈值但所请求访问的目标地址并非固定且单一的正常访问，从而有效减少误判率，提高安全性和用户体验。

图10示出根据本申请另一优选实施例提供的一种用于识别恶意访问的设备示意图，所述设备包括：第一获取装置11’、第二获取装置12’、第一识别装置13’、第三获取装置14’和第二识别装置15’。

其中，第三获取装置14’获取所述请求来源地址对所有所述目标地址的总访问量及总访问频率；所述第二识别装置15’判断所述请求来源地址对所有所述目标地址的总访问量及总访问频率是否超过严重异常阈值，若超过，则识别相应所述请求来源地址为可疑恶意访问地址。

在此，所述第二获取装置12’和第一识别装置13’中判断所述请求来源地址请求访问某一目标地址的访问量或访问频率是否超过可疑异常阈值与所述第三获取装置S14’和第二识别装置S15’中判断所述请求来源地址对所有所述目标地址的总访问量及总访问频率是否超过严重异常阈值的顺序并不被限定，或可同时分别进行判断，提高识别的准确率。

此外，第一获取装置11’、第二获取装置12’、第一识别装置13’与图2所述设备1中的第一获取装置11、第二获取装置12、第一识别装置13的内容相同或基本相同，为简明起见，不再赘述，仅以引用的方式包含于此。

图11示出根据本申请再一优选实施例提供的一种用于识别恶意访问的设备示意图，所述设备1包括：第一获取装置11”、第二获取装置12”、第一识别装置13”、第四获取装置16”和第三识别装置17”。

其中，所述第四获取装置16”获取请求来源白名单；所述第三识别装置17”查询被识别为可疑恶意访问地址的所述请求来源地址是否被纳入所述请求来源白名单，若未被纳入，则识别相应所述请求来源地址为恶意访 问地址。

通常，对于提供访问的大型网站，通常具有请求来源白名单，用以记录请求访问方与被访问方双方认可的请求来源IP地址，则在即使请求访问方的访问量确实超过一定阈值范围时，仍能够继续访问被访问方，不会被认为是恶意攻击而被拦截，进而提高用户使用体验。

通过在所述请求来源地址所请求访问的目标地址的信息及访问量相关信息基础上，增加请求来源白名单识别机制，能够有效保护访问量超过一定阈值量，但实际为正常访问请求的请求来源地址不被误判而影响正常服务。

此外，第一获取装置11”、第二获取装置12”、第一识别装置13”与图2所述设备1中的第一获取装置11、第二获取装置12、第一识别装置13的内容相同或基本相同，为简明起见，不再赘述，仅以引用的方式包含于此。

进一步地，图12示出根据本申请又一优选实施例提供的一种用于识别恶意访问的设备示意图，所述设备1还可以包括第三获取装置14”和第二识别装置15”，所述第三获取装置14”和第二识别装置15”与图3所示的第三获取装置S14’和第二识别装置S15’的内容相同或基本相同，不再赘述，并以引用的方式包含于此。

图13示出根据本申请又一优选实施例提供的一种用于识别恶意访问的设备示意图，所述设备1包括：第一获取装置11”’、第二获取装置12”’，第一识别装置13”’、第五获取装置18”、查询装置19”’。

第五获取装置18”获取请求来源白名单，查询装置19”’查询所有请求来源地址是否被纳入所述请求来源白名单。其后，所述第一获取装置11”’获取未被纳入所述请求来源白名单的所述请求来源地址；相应地，第二获取装置12”’获取未被纳入所述请求来源白名单的所述请求来源地址所请求访问的各目标地址的访问量和访问频率；第一识别装置13”’判断未被纳入所述请求来源白名单的所述请求来源地址请求访问某一目标地址的访问量或访问频率是否超过可疑异常阈值，若超过，则识别所述请求来源地址为可疑恶意访问地址。

进一步地，图14示出根据本申请还一优选实施例提供的一种用于识别恶意访问的设备示意图，所述方法还包括第六获取装置14”’和第四识别装置15”’。

第六获取装置14”’获取未被纳入所述请求来源白名单的所述请求来源地址对所有所述目标地址的总访问量及总访问频率；第四识别装置15”’判断未被纳入所述请求来源白名单的所述请求来源地址对所有所述目标地址的总访问量及总访问频率是否超过严重异常阈值，若超过，则识别相应所述请求来源地址为可疑恶意访问地址。

在本优选实施例中，所述设备通过首先利用所述请求来源白名单对所有请求来源地址进行白名单识别，对于被纳入所述请求来源白名单的所述请求来源地址直接跳过包括获取相应访问量和访问频率并进行判断的恶意地址识别过程，能够降低识别恶意访问的处理量，提高识别效率。

用于识别恶意访问的设备在实际场景可以包括以下识别以及相应的处理过程参考图8示出的实际场景中识别恶意访问的方法示意图，不再赘述。

相比于现有技术，根据本申请实施例所述的用于识别恶意访问的设备，通过基于所述请求来源地址所请求访问的目标地址是否固定且单一以及所述请求来源地址的访问量相关信息是否超过设定阈值进行识别，可以有效识别恶意访问地址，并有效区分正常访问，从而有效减少误判率，提高安全性和用户体验。

进一步地，通过在所述请求来源地址所请求访问的目标地址的信息及访问量相关信息基础上，增加请求来源白名单识别机制，能够进一步有效区分恶意访问和正常访问，保证安全性，并防止误判发生而影响正常服务。

需要注意的是，本申请可在软件和/或软件与硬件的组合体中被实施，例如，可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中，本申请的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地，本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中，例如，RAM存储器，磁或光驱动器或软磁盘及类似设备。另外，本申请的一些步骤或功能可采用硬件来实现，例 如，作为与处理器配合从而执行各个步骤或功能的电路。

另外，本申请的一部分可被应用为计算机程序产品，例如计算机程序指令，当其被计算机执行时，通过该计算机的操作，可以调用或提供根据本申请的方法和/或技术方案。而调用本申请的方法的程序指令，可能被存储在固定的或可移动的记录介质中，和/或通过广播或其他信号承载媒体中的数据流而被传输，和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此，根据本申请的一个实施例包括一个装置，该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器，其中，当该计算机程序指令被该处理器执行时，触发该装置运行基于前述根据本申请的多个实施例的方法和/或技术方案。

对于本领域技术人员而言，显然本申请不限于上述示范性实施例的细节，而且在不背离本申请的精神或基本特征的情况下，能够以其他的具体形式实现本申请。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本申请的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。