】
[0031]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0032]图1为本发明对APP和网关通信进行批量攻击的检测识别方法及装置一个实施例中方法的流程图;
[0033]图2为所述实施例中装置的结构示意图。
【具体实施方式】
[0034]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0035]在本发明对APP和网关通信进行批量攻击的检测识别方法及装置实施例中,其对APP和网关通信进行批量攻击的检测识别方法的流程图如图1所示。图1中,该对APP和网关通信进行批量攻击的检测识别方法包括如下步骤:
[0036]步骤S001对客户端APP和网关进行通信的每种请求约定其编号以及相对顺序号:本实施例中,对客户端APP和网关进行通信的每种请求,约定其编号以及相对顺序号(如果某几种请求存在先后顺序的话)。值得一提的是,本实施例中,网关就是后台服务器。
[0037]步骤S002当任意一个客户端APP连上网关时,网关将其每次的请求行为记录到请求行为数据库中:本步骤中,当任意一个客户端APP连上网关时,网关将其每次的请求行为记录到请求行为数据库中,从而建立起一个请求行为数据库库。通过内测、外测和小范围试用后,各种请求在正常情况下的特征就可以统计提取出来,作为日后系统对外开放后进行比对的基准值。有了这些基准值,网关就可以随时对某个正在进行中的会话进行请求行为的统计分析。值得一提的是,本实施例中,上述请求行为包括会话ID、请求的种类编号、请求的IP和请求的发起时间信息等。
[0038]步骤S003网关建立异常请求行为规则集,并将其保存到行为异常数据库中:本步骤中,网关建立异常请求行为规则集,并将其保存到行为异常数据库中,异常请求行为规则集中包括各种异常请求行为的场景。网关会自动将满足异常请求行为规则集的场景自动检测识别为有批量攻击的怀疑。关于异常请求行为规则集,后续会进行详细描述。
[0039]步骤S004网关自动对请求行为超过设定次数的单个会话进行行为分析,并自动检测单个会话是否符合异常请求行为规则集中的一条或多条行为异常规则的会话ID:本步骤中,网关自动对请求行为超过设定次数的单个会话进行行为分析,并自动检测单个会话是否符合异常请求行为规则集中的一条或多条行为异常规则的会话ID,如果检测的结果为是,则执行步骤S006 ;否则,执行步骤S005。
[0040]步骤S005认为单个会话正常:如果上述步骤S004的判断结果为否,则执行本步骤。本步骤中,认为上述单个会话正常。
[0041]步骤S006判断单个会话是否达到自动拦截确认的阈值:如果上述步骤S004的判断结果为是,则执行本步骤。本步骤中,判断单个会话是否达到自动拦截确认的阈值,如果判断的结果为是,则执行步骤S007 ;否则,执行步骤S008。
[0042]步骤S007确认存在批量攻击嫌疑:如果上述步骤S006的判断结果为是,则执行本步骤。本步骤中,确认存在批量攻击嫌疑。执行完本步骤,执行步骤S012。
[0043]步骤S008将单个会话提交到人工进行二次判断:如果上述步骤S006的判断结果为否,则执行本步骤。本步骤中,将单个会话提交到人工进行二次判断。执行完本步骤,执行步骤S009。
[0044]步骤S009人工对单个会话进行行为判断界定,判断是否存在嫌疑:如果上述步骤S008的判断结果为是,则执行本步骤。本步骤中,人工对上述单个会话进行行为判断界定,判断是否存在嫌疑,如果判断的结果为是,则执行步骤soil ;否则,执行步骤S010。
[0045]步骤S010对异常请求行为规则集进行丰富和校正:如果上述步骤S009的判断结果为否,则执行本步骤。本步骤中,对异常请求行为规则集进行丰富和校正,执行完本步骤,返回步骤S004。
[0046]步骤SOI 1确认存在批量攻击嫌疑:如果上述步骤S009的判断结果为是,则执行本步骤。本步骤中,确认存在批量攻击嫌疑。执行完本步骤,执行步骤S012。
[0047]步骤S012网关将检测识别结果发送到客户端APP:本步骤中,网关将检测识别结果发送到客户端APP。本发明针对上述模拟企业APP批量攻击,非法从网关获取高附加值数据的问题,由于客户端APP容易被反编译、通道中的数据容易被截获分析,本发明除了使用现行流行的加密机制防范一部分攻击者外,重点将检测识别策略放在网关进行。针对批量攻击嫌疑,网关提交给人工进行二次核对,将分析得到的结果反馈、补充进上述异常请求行为规则集。这样往复多次后,其检测识别精度越来越趋于准确,所以其能从根本上解决批量攻击的检测问题。
[0048]对于本实施例的对APP和网关通信进行批量攻击的检测识别方法而言,异常请求行为规则集包括会话超过设定时间仍在线的场景(例如超出12小时)、发出请求的频率超出了正常人的反应速度的场景、发出请求的时间跨越了凌晨的场景(正常情况下人是要睡觉休息的)和多个会话源自同一 IP的场景。
[0049]本实施例中,上述异常请求行为规则集还包括请求的分布偏离平均分布概率的偏离量大于设定值的场景(也就是请求的分布大大偏离于平均平布概率)、请求被调用的次数或总请求次数与基准值相差超出设定差值范围的场景(例如在其个会话中,某些请求被调用的次数或总请求次数被发现明显大于或者明显小于基准值)、以及请求在正常情况下只被调用一次但在被怀疑对象那里被调用多次的场景。
[0050]本实施例中,上述异常请求行为规则集还包括对有特定顺序的请求在某会话中颠倒或缺失某个环节的场景,例如某些请求种类之间是有特定顺序,比如先有第一请求,后有第二请求,但某会话明显颠倒、或者缺失某个环节。上述异常请求行为规则集还包括某些功能在界面跳转多次才能到达(层级较深),但在被怀疑的会话中直接就开始被调用的场景。当然,在本实施例的一些情况下,上述异常请求行为规则集还可以进一步扩充其他类型的异常请求行为场景。
[0051]本实施例还涉及一种实现上述对APP和网关通信进行批量攻击的检测识别方法的装置,其结构示意图附图2所示。图2中,该装置包括编号顺序号约定单元1、请求行为记录单元2、异常请求行为规则集建立单元3、行为分析检测单元4、自动拦截确认的阈值判断单元5、行为界定单元6和检测识别结果发送单元7 ;其中,编号顺序号约定单元1用于对客户端APP和网关进行通信的每种请求约定其编号以及相对顺序号;请求行为记录单元2用于当任意一个客户端APP连上网关时,网关将其每次的请求行为记录到请求行为数据库中;上述请求行为包括会话ID、请求的种类编号、请求的IP和请求的发起时间信息;异常请求行为规则集建立单元3用于使网关建立异常请求行为规则集,并将其保存到行为异常数据库中;行为分析检测单元4用于使网关自动对请求行为超过设定次数的单个会话进行行为分析,并自动检测单个会话是否符合异常请求行为规则集中的一条或多条行为异常规则的会话ID,如是,进行后续的自动拦截确认的阈值的判断;否则,认为单个会话正常;自动拦截确认的阈值判断单元5用于判断单个会话是否达到自动拦截确认的阈值,如是,确认存在批量攻击嫌疑;否则,将单个会话提交到人工进行二次判断;行为界定单元6用于使人