对app和网关通信进行批量攻击的检测识别方法及装置的制造方法

对app和网关通信进行批量攻击的检测识别方法及装置的制造方法
【技术领域】
[0001]本发明涉及互联网领域，特别涉及一种对APP和网关通信进行批量攻击的检测识别方法及装置。
【背景技术】
[0002]移动互联网和手机智能化的发展使得安卓手机上的应用程序(简称APP)能够满足越来越多的需求，其和后台服务器(简称网关)之间的通信也变得非常频繁。由于APP易被反编译从而轻易被看到源代码中关于加解密的关键信息:加解密算法和密匙。这样，通过对APP和网关两者之间的数据通信进行拦截和解密，结合APP界面上的交互，并加以分析，便能总结出这两者之间的数据通信协议，入侵者从而可以将自己的程序伪装成为目标APP，模拟人手操作与目标网关进行通信，高频批量攻击、检索获取目标网关中的高附加值数据。
[0003]因APP所在的安卓操作系统特性决定了APP的易被反编译性和网络传输协议HTTP的开放高效性无法在短期内变化。若使用HTTPS则会在性能上带来非常大的损失。目前常见的情况是:企业在日常生产过程中被攻击时很难及时检测的到，总是在被大批量攻击发生很久之后才发现比如“互联网带宽被告警了 ”，“服务器瘫痪了”、“正常APP连接不上”等等迹象。
[0004]—般的做法是将APP和网关之间的传输数据进行加密，每个APP的版本使用不同的密匙，频繁升级APP版本，过于老旧的APP版本强制升级至最新的版本。这样做的问题在于攻击者仍然较为容易获取到密匙，进而继续发起批量攻击，从而对系统运行造成持续安全隐患。还有一些较为复杂的做法，比如在每个会话内隔一段时间就换一次密匙，这样，虽然可以增加难度，但是不能从根本上解决批量攻击的检测问题。

【发明内容】

[0005]本发明要解决的技术问题在于，针对现有技术的上述不能从根本上解决批量攻击的检测问题的缺陷，提供一种能从根本上解决批量攻击的检测问题的对APP和网关通信进行批量攻击的检测识别方法及装置。
[0006]本发明解决其技术问题所采用的技术方案是:构造一种对APP和网关通信进行批量攻击的检测识别方法，包括如下步骤:
[0007]A)对客户端APP和网关进行通信的每种请求约定其编号以及相对顺序号；
[0008]B)当任意一个所述客户端APP连上所述网关时，所述网关将其每次的请求行为记录到请求行为数据库中；所述请求行为包括会话ID、请求的种类编号、请求的IP和请求的发起时间信息；
[0009]C)所述网关建立异常请求行为规则集，并将其保存到行为异常数据库中；
[0010]D)所述网关自动对请求行为超过设定次数的单个会话进行行为分析，并自动检测所述单个会话是否符合所述异常请求行为规则集中的一条或多条行为异常规则的会话ID，如是，执行步骤E);否则，认为所述单个会话正常；
[0011]E)判断所述单个会话是否达到自动拦截确认的阈值，如是，确认存在批量攻击嫌疑，执行步骤G);否则，将所述单个会话提交到人工进行二次判断，执行步骤F);
[0012]F)所述人工对所述单个会话进行行为判断界定，判断是否存在嫌疑，如是，确认存在批量攻击嫌疑，执行步骤G);否则，对所述异常请求行为规则集进行丰富和校正，并返回步骤D);
[0013]G)所述网关将检测识别结果发送到所述客户端APP。
[0014]在本发明所述的对APP和网关通信进行批量攻击的检测识别方法中，所述异常请求行为规则集包括会话超过设定时间仍在线的场景、发出请求的频率超出了正常人的反应速度的场景、发出请求的时间跨越了凌晨的场景和多个会话源自同一 IP的场景。
[0015]在本发明所述的对APP和网关通信进行批量攻击的检测识别方法中，所述异常请求行为规则集还包括请求的分布偏离平均分布概率的偏离量大于设定值的场景、请求被调用的次数或总请求次数与基准值相差超出设定差值范围的场景、以及请求在正常情况下只被调用一次但在被怀疑对象那里被调用多次的场景。
[0016]在本发明所述的对APP和网关通信进行批量攻击的检测识别方法中，所述异常请求行为规则集还包括对有特定顺序的请求在某会话中颠倒或缺失某个环节的场景。
[0017]在本发明所述的对APP和网关通信进行批量攻击的检测识别方法中，所述异常请求行为规则集还包括某些功能在界面跳转多次才能到达，但在被怀疑的会话中直接就开始被调用的场景。
[0018]本发明还涉及一种实现上述对APP和网关通信进行批量攻击的检测识别方法的装置，包括:
[0019]编号顺序号约定单元:用于对客户端APP和网关进行通信的每种请求约定其编号以及相对顺序号；
[0020]请求行为记录单元:用于当任意一个所述客户端APP连上所述网关时，所述网关将其每次的请求行为记录到请求行为数据库中；所述请求行为包括会话ID、请求的种类编号、请求的IP和请求的发起时间信息；
[0021]异常请求行为规则集建立单元:用于使所述网关建立异常请求行为规则集，并将其保存到行为异常数据库中；
[0022]行为分析检测单元:用于使所述网关自动对请求行为超过设定次数的单个会话进行行为分析，并自动检测所述单个会话是否符合所述异常请求行为规则集中的一条或多条行为异常规则的会话ID，如是，进行后续的自动拦截确认的阈值的判断；否则，认为所述单个会话正常；
[0023]自动拦截确认的阈值判断单元:用于判断所述单个会话是否达到自动拦截确认的阈值，如是，确认存在批量攻击嫌疑；否则，将所述单个会话提交到人工进行二次判断；
[0024]行为界定单元:用于使所述人工对所述单个会话进行行为判断界定，判断是否存在嫌疑，如是，确认存在批量攻击嫌疑；否则，对所述异常请求行为规则集进行丰富和校正；
[0025]检测识别结果发送单元:用于使所述网关将检测识别结果发送到所述客户端APP。
[0026]在本发明所述的装置中，所述异常请求行为规则集包括会话超过设定时间仍在线的场景、发出请求的频率超出了正常人的反应速度的场景、发出请求的时间跨越了凌晨的场景和多个会话源自同一 IP的场景。
[0027]在本发明所述的装置中，所述异常请求行为规则集还包括请求的分布偏离平均分布概率的偏离量大于设定值的场景、请求被调用的次数或总请求次数与基准值相差超出设定差值范围的场景、以及请求在正常情况下只被调用一次但在被怀疑对象那里被调用多次的场景。
[0028]在本发明所述的装置中，所述异常请求行为规则集还包括对有特定顺序的请求在某会话中颠倒或缺失某个环节的场景。
[0029]在本发明所述的装置中，所述异常请求行为规则集还包括某些功能在界面跳转多次才能到达，但在被怀疑的会话中直接就开始被调用的场景。
[0030]实施本发明的对APP和网关通信进行批量攻击的检测识别方法及装置，具有以下有益效果:由于对客户端APP和网关进行通信的每种请求约定其编号以及相对顺序号，一旦任何一个客户端APP连上网关，记录其每次会话ID、请求的种类编号、请求的IP和请求的发起时间信息，从而建立起一个请求行为数据库，通过内测、外侧、小范围试用后，各种请求在正常情况下的特征就可以统计提取出来，作为日后系统对外开放后进行比对的基准值，有了这些基准值，网关就可以随时对某个正在进行中的会话进行请求行为的统计分析，建立异常行为规则集，分析过程中会判断请求行为符合异常请求行为规则集中的一条或多条，针对批量攻击嫌疑，网关提交给人工进行二次核对，将分析得到的结果反馈、补充进上述异常行为规则集，这样往复多次后，检测识别精度越来越趋于准确，所以其能从根本上解决批量攻击的检测问题。
【附图说明