专利名称:一种分布式应用中处理非正常请求的方法及系统的制作方法
技术领域:
本发明属于互联网安全领域,特别涉及一种分布式应用中处理非正常请求 的方法及系统。
背景技术:
随着互联网的快速发展,大型的综合性门户网站,面临着越来越严重的安 全风险。尤其是来自外部系统的各式各样的恶意攻击,其中包括一些无恶意的 大量高并发的请求,如通过机器同时并行发起海量的请求,致使服务器瞬间需 要处理的服务请求数大增而耗尽服务器的资源。使正常用户的请求不能得到满 足,严重者致使服务器死机而使网站崩溃。还有爬虫程序,来源一般是各类搜 索引擎、各类商业竟争对手、商业数据分析网站等来爬取网站的资料。对方的 程序会发起大量的请求。而使服务器因无法处理而死机。可见这些重复性的、 高并发的非用户正常请求,极易耗尽有效的服务器资源,而使正常的用户请求 得不到有效响应。
对于上述的恶意攻击,现有^^支术中采用分布式的应用来应对,分布式的应 用就是通过众多应用服务器接收用户请求,由于有数量众多的服务器接受请 求,这类请求会分散到各台服务器上,但是在分布式应用中可能无法对非正常 用户请求进行有效识别。
发明内容
为了解决现有技术中,在分布式应用中,可能无法对非正常用户请求进行 有效的识别的问题,本发明实施例提供了一种分布式应用中处理非正常请求的
方法,包括各应用服务器分别接收用户终端发送的资源定位符URL资源访问请求;
各应用服务器分别向防恶意攻击服务器发送URL资源访问请求的事件请 求信息,所述事件请求信息包括接收访问请求的时间信息,访问请求所携带 的目标URL和用户终端的标识信息;
防恶意攻击服务器根据接收的事件请求信息,汇总具有同一标识的用户终 端单位时间内访问同一 URL资源的次数;
防恶意攻击服务器根据汇总的结果,以及预定义的访问规则,识别非正常 的i方问^"求。
同时本发明实施例还提供一种分布式应用中处理非正常请求的系统,包
括
多个应用服务器用于接收用户终端发送的资源定位符URL资源访问请
求,以及发送URL资源访问请求的事件请求信息,所述事件请求信息包括
接收访问请求的时间信息,访问请求所携带的目标URL和用户终端的标识信 自
防恶意攻击服务器用于根据接收应用服务器的事件请求信息,汇总具有 同一标识的用户终端单位时间内访问同一URL资源的次数;根据汇总的结果, 以及该URL资源所对应的预定义的访问规则,识别非正常的访问请求。
由上述本发明提供的具体实施方案可以看出,正是由于防恶意攻击服务器 汇总具有同一标识的用户终端单位时间内访问同一 URL资源的次数,因此可 以有效识别非正常的访问请求。
图1为本发明提供的第一实施例方法流程图; 图2为本发明提供的第二实施例系统结构图。
具体实施方式
本发明提供的第一实施例是一种分布式应用中处理非正常请求的方法,方
法流程如图1所示,包括
步骤IOI: 4台应用服务器接收用户终端发送的URL资源访问请求。
应用服务器1接收标识信息为IP地址192.168.0.1的用户终端发送的对 URL1的访问请求,应用服务器2接收标识信息为IP地址192.168.0.1的用户终端 发送的对URL2的访问请求,应用服务器3接收标识信息为IP地址192.168.0.2的 用户终端发送的对URL1的访问请求,应用服务器4接收标识信息为IP地址 192.168.0.1的用户终端发送的对URL1的访问请求。本实施例中仅以4台应用服 务器作为示例说明,但不限于4台应用服务器,应用中可根据实际情况采用少 于或多于4台应用服务器。来自同一用户终端或不同用户终端的访问请求可被 随机均匀的分配给各服务器。
步骤102: 4台应用服务器分别提取访问请求的事件请求信息。事件请求信 息包括接收访问请求的时间信息,以及访问请求中携带的目标URL、用户终 端的IP地址。用户终端IP地址这里作为用户终端的标识信息,用户终端的标识 信息还可以是用户终端COOKIE数据或用户终端MAC地址。
应用服务器l提取4妄收时间tl,其接收的访问请求中携带的URL1、 IP地址 192.168.0.1,应用服务器2、 3、 4执行类似操作,在实际应用中以上过程是不
对URL4的访问请求,在时间t2应用服务器2接收IP地址为192.168.0.4的用户终 端发送的对URL3的访问请求。
步骤103:各应用服务器调用过滤器,过滤器读取应用服务器的IP黑名单, 分别检查各事件请求信息携带的用户终端的IP地址是否在黑名单中,若是,则 立即拒绝访问请求,结束。若否,则执行步骤104。
应用服务器在数据库过滤器读取IP黑名单,经检查发现,IP地址192.168.0.2 在黑名单中,拒绝IP地址192.168.0.2的用户终端的访问请求。IP地址192.168.0.1 不在黑名单中,执行步骤104。步骤104:过滤器分析剩余的事件请求信息携带的目标URL,判断是否处 于保护中,若是则拒绝访问请求,结束。否则执行步骤105。
才艮据业务应用的实际情况需要对某个URL设置一定的访问规则,比如在某 一时段该URL访问次数已超出预定的标准,或该URL只有具备一定权限的用户 才能访问,此时需i殳定该URL不允许一皮访问。
过滤器从应用服务器l、 2、 4接收的访问请求的事件请求信息中分别提取 目标URL: URL1、 URL2,经判断URL2处于保护中即URL2不允许被访问,拒 绝对URL2的访问请求,这样做的目的是实现多级过滤,即不仅实现IP地址的 过滤,还实现对URL的过滤,URL1未处于保护中,执行步骤105。
步骤105:过滤器向防恶意攻击服务器发送通过过滤器检查的事件请求信 息,请求防恶意攻击服务器分析对应的访问请求是否存在异常。
过滤器向防恶意攻击服务器发送应用服务器1 、 4接收的访问请求的事件请 求信息。
步骤106:防恶意攻击服务器根据接收的全部事件请求信息,汇总单位时 间内具有同 一标识的用户终端访问同一URL资源的次数。
防恶意攻击服务器根据应用服务器1 、 4接收的访问请求的事件请求信息, 汇总标识信息为IP地址192.168.0.1的用户终端在一分钟内对URL1的访问次数 为100次。
步骤107:防恶意攻击服务器根据汇总的结果,以及该URL资源所对应的 预定义的访问规则,识别非正常的访问请求。
防恶意攻击服务器根据标识信息为IP地址192.168.0.1的用户终端在一分 钟内对URL1的访问次数为100次这一汇总结果,以及预定义的URL1的访问规 则(标识信息为同一IP地址的用户终端 一分钟内对URL 1的访问次数不得大于 50次),认定IP地址为192.168.0.1的用户终端对URL1的访问请求是导常,该异 常的规则是锁定IP192.168.0.1五分钟,将IP地址192.168.0. l发送回应用服务器, 应用服务器更新IP黑名单,将IP地址192.168.0. 1加入IP黑名单,在五分钟之内再有IP地址为192.168.0.1的用户终端针对URL1的请求,则拒绝。防恶意攻击 服务器将预定处理规则通告所有应用服务器,各应用服务器可以根据预定处理 规则决定是全部拒绝IP地址192.168.0. l的访问,还是拒绝IP地址192.168.0. l对 URL1的访问。当然,防恶意攻击服务器根据汇总的结果,以及一个预定义的 统一的访问规则,识别非正常的访问请求。
步骤108:对通过了过滤器的检查而无异常的事件请求信息对应的访问请 求进行业务处理。
应用服务器1、4接收的访问请求的事件请求信息通过了过滤器的检查而无 异常,应用服务器l、 4对接收的访问请求进行业务处理。应用服务器2、 3接收 的访问请求的事件请求信息没有通过了过滤器的^r查,应用服务器2、 3则不会 对接收的访问请求进行业务处理。
其中步骤108对通过了过滤器的检查而无异常的事件请求信息对应的访问 请求进行业务处理,和步骤105-107防恶意攻击服务器识别非正常的访问请求 的相关步骤同步进行,这样即可以保证对本次访问请求的实时业务处理,又能 保证若本次访问请求为恶意攻击,则可在该IP地址的下次访问请求时根据预定 处理规则进行处理。
本发明提供的第二实施例是一种分布式应用中处理非正常请求的系统,其 结构如图2所示,包括
多个应用服务器202:用于接收用户终端发送的资源定位符URL资源访问
请求,以及发送URL资源访问请求的事件请求信息,所述事件请求信息包括
接收访问请求的时间信息,访问请求所携带的目标URL和用户终端的标识信 白
防恶意攻击服务器204:用于根据接收应用服务器的事件请求信息,汇总 具有同一标识的用户终端单位时间内访问同一 URL资源的次数;才艮据汇总的 结果,以及该URL资源所对应的预定义的访问规则,识别非正常的访问请求。
进一步,该系统还包括过滤器206:用于读取应用服务器202的标识信息黑名单,若用户终端的 标识信息不在黑名单中,则向防恶意攻击服务器204发送事件请求信息。
其中,应用服务器202调用过滤器206发送事件请求消息;
进一步,过滤器206确定不在黑名单中的标识信息的用户终端访问的目标 URL不处于保护中,则向防恶意攻击服务器204发送事件请求信息。
进一步,应用服务器202还用于对向防恶意攻击服务器发送的事件请求信 息对应的访问请求进行业务处理。
进一步,防恶意攻击服务器204:还用于将发送非正常访问请求的用户终 端的标识信息通知给应用服务器202,应用服务器202将该标识信息加入标识 信息黑名单。
进一步,防恶意攻击服务器204:还用于通知应用服务器202,对非正常 访问请求的预定处理规则,应用服务器202根据预定处理规则对非正常访问请 求进行处理操作。
明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及 其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1、一种分布式应用中处理非正常请求的方法,其特征在于,包括各应用服务器分别接收用户终端发送的资源定位符URL资源访问请求;各应用服务器分别向防恶意攻击服务器发送URL资源访问请求的事件请求信息;防恶意攻击服务器根据接收的事件请求信息,汇总具有同一标识的用户终端单位时间内访问同一URL资源的次数;防恶意攻击服务器根据汇总的结果,以及预定义的访问规则,识别非正常的访问请求。
2、 如权利要求1所述的方法,其特征在于,所述事件请求信息包括接 收访问请求的时间信息,访问请求所携带的目标URL和用户终端的标识信息。
3、 如权利要求2所述的方法,其特征在于,各应用服务器分别向防恶意 攻击服务器发送事件请求信息具体为各应用服务器分别调用过滤器,过滤器读取应用服务器的标识信息黑名 单,若用户终端的标识信息不在黑名单中,则向防恶意攻击服务器发送事件请 求信息。
4、 如权利要求3所述的方法,其特征在于,若用户终端的标识信息不在 黑名单中,则向防恶意攻击服务器发送事件请求信息具体为若用户终端的标识信息不在黑名单中,且具有不在黑名单中的标识信息的 用户终端访问的目标URL不处于保护中,则向防恶意攻击服务器发送事件请 求信息。
5、 如权利要求4所述的方法,其特征在于,发送事件请求信息的应用服 务器还对相应的访问请求进行业务处理。
6、 如权利要求2所述的方法,其特征在于,防恶意攻击服务器识别非正 常的访问请求步骤后还包括防恶意攻击服务器将发送非正常访问请求的用户终端的标识信息通知给 应用服务器,应用服务器将该标识信息加入标识信息黑名单。
7、 如权利要求2所述的方法,其特征在于,防恶意攻击服务器识别非正 常的访问请求步骤后还包括防恶意攻击服务器通知应用服务器,对非正常访问请求的预定处理规则, 应用服务器根据预定处理规则对非正常访问请求进行处理操作。
8、 如权利要求2所述的方法,其特征在于,用户终端的标识信息包括 网络协议IP地址、介质访问控制MAC地址和COOKIE数据。
9、 一种分布式应用中处理非正常请求的系统,其特征在于,包括 多个应用服务器用于接收用户终端发送的资源定位符URL资源访问请求,以及发送URL资源访问请求的事件请求信息,所述事件请求信息包括接收访问请求的时间信息,访问请求所携带的目标URL和用户终端的标识信 台 防恶意攻击服务器用于根据接收应用服务器的事件请求信息,汇总具有 同一标识的用户终端单位时间内访问同一 URL资源的次数;根据汇总的结果, 以及该URL资源所对应的预定义的访问规则,识别非正常的访问请求。
10、 如权利要求9所述的系统,其特征在于,还包括过滤器用于读耳又应用服务器的标识信息黑名单,若用户终端的标识信息 不在黑名单中,则向防恶意攻击服务器发送事件请求信息; 其中,所述应用服务器调用过滤器发送所述事件请求消息。
11、 如权利要求9所述的系统,其特征在于,所述过滤器确定不在黑名单 中的标识信息的用户终端访问的目标URL不处于保护中,则向防恶意攻击服 务器发送事件请求信息。
12、 如权利要求11所述的系统,其特征在于,所述应用服务器还用于对 向防恶意攻击服务器发送的事件请求信息对应的访问请求进行业务处理。
13、 如权利要求9所述的系统,其特征在于,防恶意攻击服务器还用于将发送非正常访问请求的用户终端的标识信息 通知给应用服务器,应用服务器将该标识信息加入标识信息黑名单。
14、如权利要求9所述的系统,其特征在于,防恶意攻击服务器还用于通知应用服务器,对非正常访问请求的预定处 理规则,应用服务器根据预定处理规则对非正常访问请求进行处理操作。
全文摘要
公开了一种分布式应用中处理非正常请求的方法及系统,为了在分布式应用中无法对恶意攻击请求进行有效识别的问题,本发明公开的方法包括各应用服务器接收用户终端发送的资源定位符URL资源访问请求;并发送URL资源访问请求的事件请求信息,防恶意攻击服务器根据接收的事件请求信息,汇总具有同一标识的用户终端单位时间内访问同一URL资源的次数;并根据汇总的结果,以及预定义的访问规则,识别非正常的访问请求。正是由于防恶意攻击服务器进行汇总,因此可以有效的识别非正常的访问请求。
文档编号H04L12/24GK101674293SQ200810211848
公开日2010年3月17日 申请日期2008年9月11日 优先权日2008年9月11日
发明者张建锋 申请人:阿里巴巴集团控股有限公司