一种处理操作请求的方法、系统以及攻击识别装置的制作方法

文档序号:7555182阅读:128来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种处理操作请求的方法、系统以及攻击识别装置的制作方法
技术领域
本发明涉及通信技术领域,尤其涉及一种处理操作请求的方法、系统以及攻击识别装置。
背景技术
目前网络攻击可能对系统中重要的程序数据进行篡改、毁坏,甚至还可能导致系统崩溃、业务瘫痪,对于如何保证网络系统安全也就显得越来越重要了。在现有技术中,通过配置ACL(Access Control List,访问控制列表),设置可以访问的用户IP和可以访问的服务端口,当用户向服务端发送登录请求时,根据登录请求所包含的用户信息和ACL判断用户IP是否可以访问,并判断用户需要访问的服务IP、端口是否在外部可以访问,当判断都满足条件时,将用户的登录请求转发到服务端,以使服务端根据登录请求对该用户进行认证,在认证成功后,用户即可继续其他业务操作。但在现有技术中,非法用户通过网络抓包等手段通过了用户认证后,可以连接到网管服务器并访问网管的敏感数据等非法操作,从而对包括网管服务器的网络系统的安全产生影响。

发明内容
本发明实施例提供一种处理操作请求的方法、系统以及攻击识别装置,可以对用户的业务操作进行检测,以较好地保证网络系统的安全。本发明第一方面提供了一种处理操作请求的方法,可包括:·
当用户发送业务操作请求时,拦截所述用户发送的业务操作请求,并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作;当检测到所请求的业务操作为非法业务操作时,阻止所述非法业务操作的执行;当检测到所请求的业务操作为合法业务操作时,将所述业务操作请求转发到所述业务服务器,以使业务服务器完成对应操作。在第一种可能的实施方式中,还包括:当检测到所述业务操作请求所请求的业务操作为非法业务操作的次数达到预设的次数阈值时,确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP。结合第一方面或第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述当用户发送业务操作请求时,拦截所述用户发送的业务操作请求,并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作,包括:当用户发送业务操作请求时,拦截所述用户发送的业务操作请求;根据攻击用户识别规则判断所述业务操作请求所请求的业务操作是否为关键业务操作;若判断不是关键业务操作,则确定所述业务操作为合法业务操作;若判断是关键业务操作,则再根据所述攻击用户识别规则判断所述用户是否有执行所述关键业务操作的操作权限;若判断有操作权限,则确定所述业务操作为合法业务操作,否则,确定所述业务操作为非法业务操作。结合第一方面,或第一方面的第一种可能的实现方式,或第一方面的第二种可能的实现方式,在第三种可能的实现方式中,在所述当用户发送业务操作请求时,拦截所述用户发送的业务操作请求,并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作之前,还包括:预置所述攻击用户识别规则,其进一步包括:根据业务操作集合,识别出关键业务操作集合;根据所述关键业务操作集合分析出关键业务的类名、权限ID、次数阈值,并确定攻击用户识别规则。结合第一方面,或第一方面的第一种可能的实现方式,或第一方面的第二种可能的实现方式,或第一方面的第三种可能的实现方式,在第四种可能的实现方式中,在所述当用户发送业务操作请求时,拦截所述用户发送的业务操作请求,并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作之前,还包括:拦截用户发送的登录请求,从所述登录请求中提取用户令牌Token,并校验用户Token是否有效; 当所校验的用户Token无效时,则确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP;当所校验的用户Token有效时,将所述登录请求转发到业务服务器,以使业务服务器对用户身份进行认证。结合第一方面,或第一方面的第一种可能的实现方式,或第一方面的第二种可能的实现方式,或第一方面的第三种可能的实现方式,或第一方面的第四种可能的实现方式,在第五种可能的实现方式中,还包括:当判定用户为攻击用户时,执行安全操作,所述安全操作包括:记录所述用户尝试进行的非法业务操作、发送关于所述用户尝试进行非法业务操作的安全警告、断开所述用户与所述业务服务器的连接中的至少一种。本发明第二方面提供一种攻击识别装置,可包括:拦截检测模块,用于当用户发送业务操作请求时,拦截所述用户发送的业务操作请求,并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作;阻止模块,用于当所述拦截检测模块检测到所请求的业务操作为非法业务操作时,阻止所述非法业务操作的执行;第一转发模块,用于当所述拦截检测模块检测到所请求的业务操作为合法业务操作时,将所述业务操作请求转发到所述业务服务器,以使业务服务器完成对应操作。在第一种可能的实现方式中,还包括:第一黑名单处理模块,用于当所述拦截检测模块检测到所述业务操作请求所请求的业务操作为非法业务操作的次数达到预设的次数阈值时,确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP。结合第二方面或第二方面的第一种可能的实现方式,在第二种可能的实现方式中,所述拦截检测模块包括:拦截单元,用于当用户发送业务操作请求时,拦截所述用户发送的业务操作请求;关键业务判断单元,用于根据攻击用户识别规则判断所述业务操作请求所请求的业务操作是否为关键业务操作;第一确定单元,用于若所述关键业务判断单元判断不是关键业务操作,则确定所述业务操作为合法业务操作;操作权限判断单元,用于若所述关键业务判断单元判断是关键业务操作,则再根据所述攻击用户识别规则判断所述用户是否有执行所述关键业务操作的操作权限;第二确定单元,用于若所述操作权限判断单元判断有操作权限,则确定所述业务操作为合法业务操作,否则,确定所述业务操作为非法业务操作。结合第二方面,或第二方面的第一种可能的实现方式,或第二方面的第二种可能的实现方式,在第三种可能的实现方式中,还包括:预置模块,用于预置所述攻击用户识别规则;所述预置模块具体包括:识别单元,用 于根据业务操作集合,识别出关键业务操作集合;分析确定单元,用于根据所述关键业务操作集合分析出关键业务的类名、权限ID、次数阈值,并确定出所述攻击用户识别规则。结合第二方面,或第二方面的第一种可能的实现方式,或第二方面的第二种可能的实现方式,或第二方面的第三种可能的实现方式,在第四种可能的实现方式中,还包括:拦截提取模块,用于拦截用户发送的登录请求,从所述登录请求中提取用户令牌Token,并校验用户Token是否有效;第二黑名单处理模块,用于当所述拦截提取模块所校验的用户Token无效时,则确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP ;第二转发模块,用于当所述拦截提取模块所校验的用户Token有效时,将所述登录请求转发到业务服务器,以使业务服务器对用户身份进行认证。结合第二方面,或第二方面的第一种可能的实现方式,或第二方面的第二种可能的实现方式,或第二方面的第三种可能的实现方式,或第二方面的第四种可能的实现方式,在第五种可能的实现方式中,还包括:安全操作模块,用于当判定用户为攻击用户时,执行安全操作,所述安全操作模块中的所述安全操作包括:记录所述用户尝试进行的非法业务操作、发送关于所述用户尝试进行非法业务操作的安全警告、断开所述用户与所述业务服务器的连接中的至少一种。本发明第三方面提供一种处理操作请求的系统,可包括:攻击识别装置和业务服务器;所述攻击识别装置,用于当用户发送业务操作请求时,拦截所述用户发送的业务操作请求,并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作,当检测到所请求的业务操作为非法业务操作时,阻止所述非法业务操作的执行,当检测到所请求的业务操作为合法业务操作时,将所述业务操作请求转发到所述业务服务器,以使业务服务器完成对应操作;所述业务服务器,用于接收所述业务操作请求,并根据所述业务操作请求完成业务操作。在第一种可能的实现方式中,所述攻击识别装置,还用于当检测到所述业务操作请求所请求的业务操作为非法业务操作的次数达到预设的次数阈值时,确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP。结合第三方面或第三方面的第一种可能的实现方式,在第二种可能的实现方式中,所述攻击识别装置,还用于当用户发送业务操作请求时,拦截所述用户发送的业务操作请求,根据攻击用户识别规则判断所述业务操作请求所请求的业务操作是否为关键业务操作,若判断不是关键业务操作,则确定所述业务操作为合法业务操作,还用于若判断是关键业务操作,则再根据所述攻击用户识别规则判断所述用户是否有执行所述关键业务操作的操作权限,还用于若判断有操作权限,则确定所述业务操作为合法业务操作,否则,确定所述业务操作为非法业务操作。结合第三方面,或第三方面的第一种可能的实现方式,或第三方面的第二种可能的实现方式,在第三种可能的实现方式中,所述攻击识别装置,还用于预置所述攻击用户识别规则,其具体用于根据业务操作集合,识别出关键业务操作集合,根据所述关键业务操作集合分析出关键业务的类名、权限ID、次数阈值,并确定出所述攻击用户识别规则。结合第三方面,或第三方面的第一种可能的实现方式,或第三方面的第二种可能的实现方式,或第三方面的第三种可能的实现方式,在第四种可能的实现方式中,所述攻击识别装置,还用于拦截用户发送的登录请求,从所述登录请求中提取用户令牌Token,并校验用户Token是否有效,还用于当所校验的用户Token无效时,则确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP,还用于当所校验的用户Token有效时,将所述登录请求转发到业务服务器,以使业务服务器对用户身份进行认证。结合第三方面,或第三方面的第一种可能的实现方式,或第三方面的第二种可能的实现方式,或第三方面的第三种可能的实现方式,或第三方面的第四种可能的实现方式,在第五种可能的实现方式中,还包括:防护装置;所述防护装置,用于接收用户发送的登录请求,并结合访问控制列表ACL和黑名单检测所述登录请求是否符合登录条件,当满足登录条件时,将所述登录请求转发到所述业务服务器,当不满足登录条件时,拒绝所述登录请求;所述攻击识别装置在用于拦截用户发送的登录请求时具体用于拦截所述防护装置转发到所述业务服务器的登录请求。结合第三方面,或第三方面的第一种可能的实现方式,或第三方面的第二种可能的实现方式,或第三方面的第三种可能的实现方式,或第三方面的第四种可能的实现方式,或第三方面的第五种可能的实现方式,在第六种可能的实现方式中,所述攻击识别装置,还用于当判定用户为攻击用户时,执行安全操作,所述安全操作包括:记录所述用户尝试进行的非法业务操作、发送关于所述用户尝试进行非法业务操作的安全警告、断开所述用户与所述业务服务器的连接中的至少一种。

由上可见,本发明的一些可行的实施方式中,通过拦截业务操作请求并检测业务操作请求所请求的业务操作,当检测出所请求的业务操作为非法业务操作时,可以阻止所述非法业务操作的执行,当检测到所请求的业务操作为合法业务操作时,将所述业务操作请求转发到所述业务服务器,使得可以通过检测业务操作的合法性以较好地保证网络系统的安全,有效避免了在用户通过认证后用户仍然可以进行非法业务操作的问题,提高了网络系统的安全性。


为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本发明实施例提供的一种处理操作请求的方法的流程示意图;图2为本发明实施例提供的另一种处理操作请求的方法的流程示意图;图3为本 发明实施例提供的其中一种检测业务操作的方法的流程示意图;图4为本发明实施例提供的其中一种预置攻击用户识别规则的方法的流程示意图;图5为本发明实施例提供的一种处理操作请求的系统的结构示意图;图6为本发明实施例提供的另一种处理操作请求的系统的结构示意图;图7为本发明实施例提供的一种攻击识别装置的结构示意图;图8为本发明实施例提供的另一种攻击识别装置的结构示意图;图9为图8中的拦截检测模块的其中一种具体结构示意图;图10为图8中的预置模块的其中一种具体结构示意图;图11为本发明实施例提供的一种网络设备的结构示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。请参见图1,为本发明实施例提供的一种处理操作请求的方法的流程示意图,所述方法包括:S101,当用户发送业务操作请求时,拦截所述用户发送的业务操作请求,并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作;在所述SlOl中,可以通过AOP (Aspect Oriented Programming,面向切面编程)技术拦截所述用户发送的业务操作请求,并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作的合法性。其中,所述业务操作请求可以包括:业务操作的内容、操作ID、用户的权限ID以及用户的其他信息。所述预置的攻击用户识别规则至少包括:操作ID、操作名称、业务操作的权限ID、次数阈值、实现操作的类名以及实现操作的方法名等属性。
S102,当检测到所请求的业务操作为非法业务操作时,阻止所述非法业务操作的执行;在所述S102中,当SlOl检测到所请求的业务操作为非法业务操作时,阻止所述非法业务操作的执行,其中,阻止所述非法业务操作的执行的具体过程可以为向所述业务操作请求添加非法业务操作标识,再将携带有非法业务操作标识的业务操作请求转发到业务服务器,告知所述业务服务器停止执行本次业务操作请求所请求的业务操作;或者,阻止所述非法业务操作的执行的具体过程还可以为不转发本次业务操作请求到业务服务器,以使业务服务器无法执行本次业务操作。S103,当检测到所请求的业务操作为合法业务操作时,将所述业务操作请求转发到所述业务服务器,以使业务服务器完成对应操作;在所述S103中,当SlOl检测到所请求的业务操作为合法业务操作时,将所述业务操作请求转发到所述业务服务器,以使业务服务器完成对应操作。由上可见,本发明的一些可行的实施方式中,通过拦截业务操作请求并检测业务操作请求所请求的业务操作,当检测出所请求的业务操作为非法业务操作时,可以阻止所述非法业务操作的执行,当检测到所请求的业务操作为合法业务操作时,将所述业务操作请求转发到所述业务服务器,使得可以通过检测业务操作的合法性以较好地保证网络系统的安全,有效避免了在用户通过认证后用户仍然可以进行非法业务操作的问题,提高了网络系统的安全性。请参见图2,为本发明实施例提供的另一种处理操作请求的方法的流程示意图,所述方法包括:·
S201,预置所述攻击用户识别规则;具体的,根据业务操作集合,识别出关键业务操作集合,再根据所述关键业务操作集合分析出关键业务的类名、权限ID、次数阈值,并确定攻击用户识别规则。S202,拦截用户发送的登录请求,从所述登录请求中提取用户令牌(Token,令牌),并校验用户Token是否有效;通过AOP技术拦截用户发送的登录请求,从所述登录请求中提取用户令牌(Token,令牌),并校验用户Token是否有效,例如,可以校验出用户伪造的Token是无效的Token ;或者还可以通过AOP技术拦截防护装置转发到所述业务服务器的登录请求,从所述登录请求中提取用户Token,并校验用户Token是否有效,其中,所述防护装置用于接收用户发送的登录请求,并结合访问控制列表ACL和黑名单检测所述登录请求是否符合登录条件,当满足登录条件时,将所述登录请求转发到所述业务服务器,当不满足登录条件时,拒绝所述登录请求,其中,所述登录请求可以包括用户Token、用户ID、用户名、用户IP等属性。S203,确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP;当S202中校验用户Token为无效时,确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP,使得添加到黑名单中的用户在后续都无法登录到服务端。例如,拦截到用户发送的登录请求时,先判断该用户的用户ID和/或用户IP是否存在黑名单中,若存在,则返回请求失败消息。
S204,将所述登录请求转发到业务服务器,以使业务服务器对用户身份进行认证;当S202中校验用户Token为有效时,则将所述登录请求转发到业务服务器,以使业务服务器对用户身份进行认证,在认证通过时,业务服务器将返回认证成功消息,此时,用户可以向业务服务器发送业务操作请求。S205,当用户发送业务操作请求时,拦截所述用户发送的业务操作请求,并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作;S206,当检测到所请求的业务操作为非法业务操作时,阻止所述非法业务操作的执行;S207,当检测到所请求的业务操作为合法业务操作时,将所述业务操作请求转发到所述业务服务器,以使业务服务器完成对应操作;上述S205至S207的具体实现方式可参照上述第一实施例的SlOl至S103,在此不赘述。S208,当检测到所述业务操作请求所请求的业务操作为非法业务操作的次数达到预设的次数阈值时,确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP;在所述S208中,当检测到所述业务操作请求所请求的业务操作为非法业务操作的次数达到预设的次数阈值时,确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP,使得添加到黑名单中的用户在后续都无法登录到服务端,其中,预设的次数阈值可以设置在攻击用户识别规则中。当检测非法业务操作的次数未达到次数阈值时,用户仍可以对 发起业务操作请求,并继续判断业务操作请求是否具有合法性;当检测非法业务操作的次数达到次数阈值时,确定所述用户为攻击用户,并将所述用户添加到黑名单,并执行相关的安全操作。S209,当判定用户为攻击用户时,执行安全操作,所述安全操作包括:记录所述用户尝试进行的非法业务操作、发送关于所述用户尝试进行非法业务操作的安全警告、断开所述用户与所述业务服务器的连接中的至少一种;当校验用户Token为无效或者检测到所述业务操作请求所请求的业务操作为非法业务操作的次数达到预设的次数阈值时,可以判定用户为攻击用户,并执行安全操作,所述安全操作包括:记录所述用户尝试进行的非法业务操作、发送关于所述用户尝试进行非法业务操作的安全警告、断开所述用户与所述业务服务器的连接中的至少一种。其中,发送关于所述用户尝试进行非法业务操作的安全警告到管理员,让管理员可以预先做出相应的防护策略。由上可见,本发明的一些可行的实施方式中,通过拦截业务操作请求并检测业务操作请求所请求的业务操作,当检测出所请求的业务操作为非法业务操作时,可以阻止所述非法业务操作的执行,当检测到所请求的业务操作为合法业务操作时,将所述业务操作请求转发到所述业务服务器,以使业务服务器完成对应操作,本发明可以通过检测业务操作的合法性以阻止用户的非法业务操作,还可以根据攻击用户识别规则识别出用户为攻击用户,并将攻击用户添加到黑名单,有效避免了在用户通过认证后用户仍然可以进行非法业务操作的问题,提高了网络系统的安全性。
具体的,再请参见图3,为本发明实施例提供的其中一种检测业务操作的方法的流程示意图;本发明实施例的所述方法可对应于上述图1对应的实施例中的SlOl或者图2对应的实施例中的S205。本发明实施例以根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作进行说明。本发明实施例的所述方法具体包括:S301,当用户发送业务操作请求时,拦截所述用户发送的业务操作请求;当用户发送业务操作请求时,通过AOP技术拦截所述用户发送的业务操作请求,其中,所述业务操作请求可以包括:业务操作的内容、操作ID、用户的权限ID以及用户的其他信息。S302,根据攻击用户识别规则判断所述业务操作请求所请求的业务操作是否为关键业务操作;所述预置的攻击用户识别规则至少包括:操作ID、操作名称、业务操作的权限ID、次数阈值、实现操作的类名以及实现操作的方法名等属性。可以根据业务的影响识别出关键业务,所述关键业务可以包括权限分配相关操作,如:授权、增加和/或删除用户等待;所述关键业务还可以包括访问核心数据、敏感数据的操作,如:查询数据库用户名和/或密码、确认和/或清除警告、增加和/或删除网元等等。所述攻击用户识别规则包含了对关键业务的定义,根据攻击用户识别规则判断所述业务操作请求所请求的业务操作是否为关键业务操作。S303,确定所述业务操作为合法业务操作;当S302中所判断的业务操作不是关键业务操作时,则确定所述业务操作为合法业务操作,并将所述业务操作请求转发到所述业务服务器,以使业务服务器完成对应操作。S304,再根据所述攻击用户识别规则判断所述用户是否有执行所述关键业务操作的操作权限;当S302中所判断的业务操作是关键业务操作时,再根据所述攻击用户识别规则判断所述用户是否有执行所述关键业务操作的操作权限。由于所述攻击用户识别规则包括业务操作的权限ID,所述可以根据所述攻击用户识别规则中的业务操作的权限ID与用户的业务操作请求中的用户权限ID进行匹配的结果,以判断所述用户是否有执行所述关键业务操作的操作权限。S305,确定所述业务操作为非法业务操作;当S304判断用户没有操作权限时,则确定所述业务操作为非法业务操作,并阻止所述非法业务操作的执行。S306,确定所述业务操作为合法业务操作;当S304判断用户有操作权限时,则确定所述业务操作为合法业务操作,并将所述业务操作请求转发到所述业务服务器,以使业务服务器完成对应操作。由上可见,本发明的一些可行的实施方式中,通过攻击用户识别规则识别关键业务并判断用户的操作权限,以确定业务操作的合法性,可以有效的检测出业务操作的合法性以阻止用户的非法业务操作。具体的, 再请参见图4,为本发明实施例提供的其中一种预置攻击用户识别规则的方法的流程示意图;本发明实施例的所述方法可对应于上述图2对应的实施例中的S201。本发明实施例以预置攻击用户识别规则进行说明,所述方法包括:
S401,根据业务操作集合,识别出关键业务操作集合;S402,根据所述关键业务操作集合分析出关键业务的类名、权限ID、次数阈值,并确定攻击用户识别规则;具体的,针对业务操作集合,并根据业务的影响识别出关键业务操作集合,例如将权限分配相关操作,访问核心数据、敏感数据操作等等这类对业务的影响较为重要的操作定义为关键业务操作。针对关键业务,分析出关键业务的类名、方法名和次数阈值,并将这些信息抽象成攻击用户识别规则。所述攻击用户识别规则的属性至少包括:操作ID、操作名称、权限ID、次数阈值、实现操作的类名、实现操作的方法名等等。最后将抽象出来的攻击用户识别规则设置到系统中。由上可见 ,本发明的一些可行的实施方式中,通过关键业务操作集合确定出攻击用户识别规则,再根据所确定的攻击用户识别规则可以有效的识别业务操作的合法性以阻止用户的非法业务操作。请参见图5,为本发明实施例提供的一种处理操作请求的系统的结构示意图,所述系统包括:攻击识别装置I和业务服务器2 ;所述攻击识别装置1,用于当用户发送业务操作请求时,拦截所述用户发送的业务操作请求,并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作,当检测到所请求的业务操作为非法业务操作时,阻止所述非法业务操作的执行,当检测到所请求的业务操作为合法业务操作时,将所述业务操作请求转发到所述业务服务器2,以使业务服务器2完成对应操作;所述业务服务器2,用于接收所述业务操作请求,并根据所述业务操作请求完成业务操作。其中,所述攻击识别装置1,还用于当检测到所述业务操作请求所请求的业务操作为非法业务操作的次数达到预设的次数阈值时,确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP。所述攻击识别装置1,还用于当用户发送业务操作请求时,拦截所述用户发送的业务操作请求,根据攻击用户识别规则判断所述业务操作请求所请求的业务操作是否为关键业务操作,若判断不是关键业务操作,则确定所述业务操作为合法业务操作,还用于若判断是关键业务操作,则再根据所述攻击用户识别规则判断所述用户是否有执行所述关键业务操作的操作权限,还用于若判断有操作权限,则确定所述业务操作为合法业务操作,否则,确定所述业务操作为非法业务操作。所述攻击识别装置I,还用于预置所述攻击用户识别规则,其具体用于根据业务操作集合,识别出关键业务操作集合,根据所述关键业务操作集合分析出关键业务的类名、权限ID、次数阈值,并确定出所述攻击用户识别规则。所述攻击识别装置1,还用于拦截用户发送的登录请求,从所述登录请求中提取用户令牌Token,并校验用户Token是否有效,还用于当所校验的用户Token无效时,则确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP,还用于当所校验的用户Token有效时,将所述登录请求转发到业务服务器2,以使业务服务器2对用户身份进行认证。所述攻击识别装置1,还用于当判定用户为攻击用户时,执行安全操作,所述安全操作包括:记录所述用户尝试进行的非法业务操作、发送关于所述用户尝试进行非法业务操作的安全警告、断开所述用户与所述业务服务器2的连接中的至少一种。由上可见,本发明的一些可行的实施方式中,通过拦截业务操作请求并检测业务操作请求所请求的业务操作,当检测出所请求的业务操作为非法业务操作时,可以阻止所述非法业务操作的执行,当检测到所请求的业务操作为合法业务操作时,将所述业务操作请求转发到所述业务服务器2,使得可以通过检测业务操作的合法性以阻止用户的非法操作,有效避免了在用户通过认证后用户仍然可以进行非法业务操作的问题,提高了网络系统的安全性。进一步的,再请参见图6,为本发明实施例提供的另一种处理操作请求的系统的结构示意图,所述系统包括上述图5对应实施例中的攻击识别装置I和业务服务器2,进一步的,本发明实施例的所述系统还可以包括:防护装置3 ;所述防护装置3,用于接收用户发送的登录请求,并结合访问控制列表ACL和黑名单检测所述登录请求是否符合登录条件,当满足登录条件时,将所述登录请求转发到所述业务服务器2,当不满足登录条件时,拒绝所述登录请求;所述攻击识别装置I在用于拦截用户发送的登录请求时具体用于拦截所述防护装置3转发到所述业务服务器2的登录请求。由上可见,本发明的一些可行的实施方式中,通过拦截业务操作请求并检测业务操作请求所请求的业务操作,当检测出所请求的业务操作为非法业务操作时,可以阻止所述非法业务操作的执行,当检测到所请求的业务操作为合法业务操作时,将所述业务操作请求转发到所述业务服务器2,使得可以通过检测业务操作的合法性以阻止用户的非法操作,有效避免了在用户通过认证后用户仍然可以进行非法业务操作的问题,提高了网络系统的安全性。下面对本发明实施例的攻击识别装置I进行详细说明。请参见图7,为本发明实施例提供的一种攻击识别装置I的结构示意图,所述攻击识别装置I包括:拦截检测模块10、阻止模块20、第一转发模块30 ;其中,所述拦截检测模块10,用于当用户发送业务操作请求时,拦截所述用户发送的业务操作请求,并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作;所述拦截检测模块10可以通过AOP技术拦截所述用户发送的业务操作请求,并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作的合法性。其中,所述业务操作请求可以包括:业务操作的内容、操作ID、用户的权限ID以及用户的其他信息。所述预置的攻击用户识别规则至少包括:操作ID、操作名称、业务操作的权限ID、次数阈值、实现操作的类名以及实现操作的方法名等属性。所述阻止模块20,用于当所述拦截检测模块10检测到所请求的业务操作为非法业务操作时,阻止所述非法业务操作的执行;当所述拦截检测模块10检测到所请求的业务操作为非法业务操作时,通知所述阻止模块20阻止所述非法业务操作的执行,其中,所述阻止模块20具体用于向所述业务操作请求添加非法业务操作标识,再将携带有非法业务操作标识的业务操作请求转发到业务服务器2,告知所述业务服 务器2停止执行本次业务操作请求所请求的业务操作;或者,所述阻止模块20具体用于不转发本次业务操作请求到业务服务器2,以使业务服务器2无法执行本次业务操作。所述第一转发模块30,用于当所述拦截检测模块10检测到所请求的业务操作为合法业务操作时,将所述业务操作请求转发到所述业务服务器2,以使业务服务器2完成对应操作;当所述拦截检测模块10检测到所请求的业务操作为合法业务操作时,所述第一转发模块30将所述业务操作请求转发到所述业务服务器2,以使业务服务器2完成对应操作。由上可见,本发明的一些可行的实施方式中,通过拦截业务操作请求并检测业务操作请求所请求的业务操作,当检测出所请求的业务操作为非法业务操作时,可以阻止所述非法业务操作的执行,当检测到所请求的业务操作为合法业务操作时,将所述业务操作请求转发到所述业务服务器2,以使业务服务器2完成对应操作,本发明可以通过检测业务操作的合法性以阻止用户的非法业务操作,有效避免了在用户通过认证后用户仍然可以进行非法业务操作的问题,提高了网络系统的安全性。进一步的,再请参见图8,为本发明实施例提供的另一种攻击识别装置I的结构示意图,所述攻击识别装置I包括上述图7对应实施例中的拦截检测模块10、阻止模块20、第一转发模块30,进一步的,本发明实施例的所述攻击识别装置I还可以包括:预置模块40、拦截提取模块50、第二黑名单处理模块60、第二转发模块70、第一黑名单处理模块80、安全操作模块90 ; 其中,所述预置模块40,用于预置所述攻击用户识别规则;所述预置模块40根据业务操作集合,识别出关键业务操作集合,再根据所述关键业务操作集合分析出关键业务的类名、权限ID、次数阈值,并确定攻击用户识别规则。所述拦截提取模块50,用于拦截用户发送的登录请求,从所述登录请求中提取用户令牌Token,并校验用户Token是否有效;所述拦截提取模块50通过AOP技术拦截用户发送的登录请求,从所述登录请求中提取用户Token,并校验用户Token是否有效,例如,所述拦截提取模块50可以校验出用户伪造的Token是无效的Token ;或者所述拦截提取模块50还可以通过AOP技术拦截防护装置3转发到所述业务服务器2的登录请求,从所述登录请求中提取用户Token,并校验用户Token是否有效,其中,所述防护装置3用于接收用户发送的登录请求,并结合访问控制列表ACL和黑名单检测所述登录请求是否符合登录条件,当满足登录条件时,将所述登录请求转发到所述业务服务器2,当不满足登录条件时,拒绝所述登录请求,其中,所述登录请求可以包括用户Token、用户ID、用户名、用户IP等属性。所述第二黑名单处理模块60,用于当所述拦截提取模块50所校验的用户Token无效时,则确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP ;当所述拦截提取模块50校验用户Token为无效时,所述第二黑名单处理模块60可以确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP,使得添加到黑名单中的用户在后续都无法登录到服务端。所述第二转发模块70,用于当所述拦截提取模块50所校验的用户Token有效时,将所述登录请求转发到业务服务器2,以使业务服务器2对用户身份进行认证;当所述拦截提取模块50校验用户Token为有效时,所述第二转发模块70则将所述登录请求转发到业务服务器2,以使业务服务器2对用户身份进行认证,在认证通过时,业务服务器2将返回认证成功消息,此时,用户可以向业务服务器2发送业务操作请求,并通知所述拦截检测模块10拦截所述业务操作请求。所述第一黑名单处理模块80,用于当所述拦截检测模块10检测到所述业务操作请求所请求的业务操作为非法业务操作的次数达到预设的次数阈值时,确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP;当所述拦截检测模块10检测到所述业务操作请求所请求的业务操作为非法业务操作的次数达到预设的次数阈值时,所述第一黑名单处理模块80确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP,使得添加到黑名单中的用户在后续都无法登录到服务端,其中,预设的次数阈值可以设置在攻击用户识别规则中。当所述拦截检测模块10检测非法业务操作的次数未达到次数阈值时,用户仍可以对发起业务操作请求,并由所述拦截检测模块10继续判断业务操作请求是否具有合法性;当所述拦截检测模块10检测非法业务操作的次数达到次数阈值时,通知所述第一黑名单处理模块80确定所述用户为攻击用户,并将所述用户添加到黑名单,并执行相关的安全操作。所述安全操作模块90,用于当判定用户为攻击用户时,执行安全操作,所述安全操作模块90中的所述安全操作包括:记录所述用户尝试进行的非法业务操作、发送关于所述用户尝试进行非法业务操作的安全警告、断开所述用户与所述业务服务器2的连接中的至少一种;当所述拦截提取模块50校验用户Token为无效或者所述拦截检测模块10检测到所述业务操作请求所请求的业务操作为非法业务操作的次数达到预设的次数阈值时,可以判定用户为攻击用户,并通知所 述安全操作模块90执行安全操作,所述安全操作包括:记录所述用户尝试进行的非法业务操作、发送关于所述用户尝试进行非法业务操作的安全警告、断开所述用户与所述业务服务器2的连接中的至少一种。其中,发送关于所述用户尝试进行非法业务操作的安全警告到管理员,让管理员可以预先做出相应的防护策略。进一步可选的,请参见图9,在本发明实施例所述拦截检测模块10可以包括:拦截单元101,用于当用户发送业务操作请求时,拦截所述用户发送的业务操作请求;当用户发送业务操作请求时,所述拦截单元101通过AOP技术拦截所述用户发送的业务操作请求,其中,所述业务操作请求可以包括:业务操作的内容、操作ID、用户的权限ID以及用户的其他信息。关键业务判断单元102,用于根据攻击用户识别规则判断所述业务操作请求所请求的业务操作是否为关键业务操作;所述攻击用户识别规则包含了对关键业务的定义,所述关键业务判断单元102可以根据攻击用户识别规则判断所述业务操作请求所请求的业务操作是否为关键业务操作。其中,所述预置的攻击用户识别规则至少包括:操作ID、操作名称、业务操作的权限ID、次数阈值、实现操作的类名以及实现操作的方法名等属性。可以根据业务的影响识别出关键业务,所述关键业务可以包括权限分配相关操作,如:授权、增加和/或删除用户等待;所述关键业务还可以包括访问核心数据、敏感数据的操作,如:查询数据库用户名和/或密码、确认和/或清除警告、增加和/或删除网元等等。第一确定单元103,用于若所述关键业务判断单元102判断不是关键业务操作,则确定所述业务操作为合法业务操作;当所述关键业务判断单元102判断的业务操作不是关键业务操作时,所述第一确定单元103确定所述业务操作为合法业务操作,并通知所述第一转发模块30将所述业务操作请求转发到所述业务服务器2,以使业务服务器2完成对应操作。 操作权限判断单元104,用于若所述关键业务判断单元102判断是关键业务操作,则再根据所述攻击用户识别规则判断所述用户是否有执行所述关键业务操作的操作权限;当所述关键业务判断单元102判断的业务操作是关键业务操作时,所述操作权限判断单元104根据所述攻击用户识别规则判断所述用户是否有执行所述关键业务操作的操作权限。由于所述攻击用户识别规则包括业务操作的权限ID,所以所述操作权限判断单元104可以根据所述攻击用户识别规则中的业务操作的权限ID与用户的业务操作请求中的用户权限ID进行匹配的结果,以判断所述用户是否有执行所述关键业务操作的操作权限。第二确定单元105,用于若所述操作权限判断单元104判断有操作权限,则确定所述业务操作为合法业务操作,否则,确定所述业务操作为非法业务操作;当所述操作权限判断单元104判断用户没有操作权限时,则确定所述业务操作为非法业务操作,并通知所述阻止模块20阻止所述非法业务操作的执行;当所述操作权限判断单元104判断用户有操作权限时,则确定所述业务操作为合法业务操作,并通知所述第一转发模块30将所述业务操作请求转发到所述业务服务器2,以使业务服务器2完成对应操作。进一步可选的,请参见图10,在本发明实施例所述预置模块40可以包括:识别单元401,用于根据业务操作集合,识别出关键业务操作集合;分析确定单元402,用于根据所述关键业务操作集合分析出关键业务的类名、权限ID、次数阈值,并确定出所述攻击用户识别规则;具体的,所述识别单元401针对业务操作集合,并根据业务的影响识别出关键业务操作集合,例如将权限分配相关操作,访问核心数据、敏感数据操作等等这类对业务的影响较为重要的操作定义为关键业务操作。所述分析确定单元402可以针对关键业务,分析出关键业务的类名、方法名和次数阈值,并将这些信息抽象成攻击用户识别规则。所述攻击用户识别规则的属性至少包括:操作ID、操作名称、权限ID、次数阈值、实现操作的类名、实现操作的方法名等等。最后将抽象出来的攻击用户识别规则设置到系统中。由上可见,本发明的一些可行的实施方式中,通过拦截业务操作请求并检测业务操作请求所请求的业务操作,当检测出所请求的业务操作为非法业务操作时,可以阻止所述非法业务操作的执行,当检测到所请求的业务操作为合法业务操作时,将所述业务操作请求转发到所述业务服务器2,以使业务服务器2完成对应操作,本发明可以通过检测业务操作的合法性以阻止用户的非法业务操作,还可以根据攻击用户识别规则识别出用户为攻击用户,并将攻击用户添加到黑名单,有效避免了在用户通过认证后用户仍然可以进行非法业务操作的问题,提高了网络系统的安全性。本发明实施例还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时包括上述方法实施例中记载的数据处理方法的部分或全部步骤。请参见图11,本发明实施例还提供一种网络设备100,可以包括输入装置1001、输出装置1003以及处理器1002 (网络设备100中的处理器1002的数量可以一个或多个,图11中以一个处理器1002为例)。本发明的一些实施例中,输入装置1001、输出装置1003以及处理器1002可通过总线或其他方式连接,其中,图11以通过总线连接为例。其中,所述处理器1002执行如下步骤:当输入装置1001接收到用户发送业务操作请求时,拦截所述用户发送的业务操作请求,并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作;当检测到所请求的业务操作为非法业务操作时,阻止所述非法业务操作的执行;当检测到所请求的业务操作为合法业务操作时,通过所述输出装置1003将所述业务操作请求转发到所述业务服务器,以使业务服务器完成对应操作。所述处理器1002还执行如下步骤:当检测到所述业务操作请求所请求的业务操作为非法业务操作的次数达到预设的次数阈值时,确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP。所述处理器1002在执行所述根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作的步骤时,具体执行如下步骤:当用户发送业务操作请求时,拦截所述用户发送的业务操作请求;根据攻击用户识别规则判断所述业务操作请求所请求的业务操作是否为关键业务操作;若判断不是关键业务操作,则确定所述业务操作为合法业务操作;若判断是关键业务操作,则再根据所述攻击用户识别规则判断所述用户是否有执行所述关键业务操作的操作权限;若判断有操作权限,则确定所述业务操作为合法业务操作,否则,确定所述业务操作为非法业务操作。所述处理器100·2还执行如下步骤:预置所述攻击用户识别规则,其进一步包括:根据业务操作集合,识别出关键业务操作集合;根据所述关键业务操作集合分析出关键业务的类名、权限ID、次数阈值,并确定攻击用户识别规则。所述处理器1002还执行如下步骤:拦截用户发送的登录请求,从所述登录请求中提取用户令牌Token,并校验用户Token是否有效;当所校验的用户Token无效时,则确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP ;当所校验的用户Token有效时,将所述登录请求转发到业务服务器,以使业务服务器对用户身份进行认证。所述处理器1002还执行如下步骤:当判定用户为攻击用户时,执行安全操作,所述安全操作包括:记录所述用户尝试进行的非法业务操作、发送关于所述用户尝试进行非法业务操作的安全警告、断开所述用户与所述业务服务器的连接中的至少一种。由上可见,本发明的一些可行的实施方式中,处理器1002通过拦截业务操作请求并检测业务操作请求所请求的业务操作,当检测出所请求的业务操作为非法业务操作时,可以阻止所述非法业务操作的执行,当检测到所请求的业务操作为合法业务操作时,输出装置1003将所述业务操作请求转发到所述业务服务器,使得可以通过检测业务操作的合法性以较好地保证网络系统的安全,有效避免了在用户通过认证后用户仍然可以进行非法业务操作的问题,提高了网络系统的安全性。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,所述程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random AccessMemory, RAM)等。以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本 发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
权利要求
1.一种处理操作请求的方法,其特征在于,包括: 当用户发送业务操作请求时,拦截所述用户发送的业务操作请求,并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作; 当检测到所请求的业务操作为非法业务操作时,阻止所述非法业务操作的执行; 当检测到所请求的业务操作为合法业务操作时,将所述业务操作请求转发到所述业务服务器,以使业务服务器完成对应操作。
2.如权利要求1所述的方法,其特征在于,还包括: 当检测到所述业务操作请求所请求的业务操作为非法业务操作的次数达到预设的次数阈值时,确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP。
3.如权利要求1或2所述的方法,其特征在于,所述当用户发送业务操作请求时,拦截所述用户发送的业务操作请求,并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作,包括: 当用户发送业务操作请求时,拦截所述用户发送的业务操作请求; 根据攻击用户识别规则判断所述业务操作请求所请求的业务操作是否为关键业务操 作; 若判断不是关键业务操作,则确定所述业务操作为合法业务操作; 若判断是关键业务操作,则再根据所述攻击用户识别规则判断所述用户是否有执行所述关键业务操作的操作权限; 若判断有操作权限,则确定所述业务操作为合法业务操作,否则,确定所述业务操作为非法业务操作。
4.如权利要求1-3任一项所述的方法,其特征在于,在所述当用户发送业务操作请求时,拦截所述用户发送的业务操作请求,并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作之前,还包括: 预置所述攻击用户识别规则,其进一步包括: 根据业务操作集合,识别出关键业务操作集合; 根据所述关键业务操作集合分析出关键业务的类名、权限ID、次数阈值,并确定攻击用户识别规则。
5.如权利要求1-4任一项所述的方法,其特征在于,在所述当用户发送业务操作请求时,拦截所述用户发送的业务操作请求,并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作之前,还包括: 拦截用户发送的登录请求,从所述登录请求中提取用户令牌Token,并校验用户Token是否有效; 当所校验的用户Token无效时,则确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP; 当所校验的用户Token有效时,将所述登录请求转发到业务服务器,以使业务服务器对用户身份进行认证。
6.如权利要求1-5任一项所述的方法,其特征在于,还包括: 当判定用户为攻击用户时,执行安全操作,所述安全操作包括:记录所述用户尝试进行的非法业务操作、发送关于所述用户尝试进行非法业务操作的安全警告、断开所述用户与所述业务服务器的连接中的至少一种。
7.一种攻击识别装置,其特征在于,包括: 拦截检测模块,用于当用户发送业务操作请求时,拦截所述用户发送的业务操作请求,并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作; 阻止模块,用于当所述拦截检测模块检测到所请求的业务操作为非法业务操作时,阻止所述非法业务操作的执行; 第一转发模块,用于当所述拦截检测模块检测到所请求的业务操作为合法业务操作时,将所述业务操作请求转发到所述业务服务器,以使业务服务器完成对应操作。
8.如权利要求7所述的攻击识别装置,其特征在于,还包括: 第一黑名单处理模块,用于当所述拦截检测模块检测到所述业务操作请求所请求的业务操作为非法业务操作的次数达到预设的次数阈值时,确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP。
9.如权利要求7或8所述的攻击识别装置,其特征在于,所述拦截检测模块包括: 拦截单元,用于当用户发送业务操作请求时,拦截所述用户发送的业务操作请求; 关键业务判断单元,用于根据攻击用户识别规则判断所述业务操作请求所请求的业务操作是否为关键业务操作; 第一确定单元, 用于若所述关键业务判断单元判断不是关键业务操作,则确定所述业务操作为合法业务操作 ; 操作权限判断单元,用于若所述关键业务判断单元判断是关键业务操作,则再根据所述攻击用户识别规则判断所述用户是否有执行所述关键业务操作的操作权限; 第二确定单元,用于若所述操作权限判断单元判断有操作权限,则确定所述业务操作为合法业务操作,否则,确定所述业务操作为非法业务操作。
10.如权利要求7-9任一项所述的攻击识别装置,其特征在于,还包括: 预置模块,用于预置所述攻击用户识别规则; 所述预置模块具体包括: 识别单元,用于根据业务操作集合,识别出关键业务操作集合; 分析确定单元,用于根据所述关键业务操作集合分析出关键业务的类名、权限ID、次数阈值,并确定出所述攻击用户识别规则。
11.如权利要求7-10任一项所述的攻击识别装置,其特征在于,还包括: 拦截提取模块,用于拦截用户发送的登录请求,从所述登录请求中提取用户令牌Token,并校验用户Token是否有效; 第二黑名单处理模块,用于当所述拦截提取模块所校验的用户Token无效时,则确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP ; 第二转发模块,用于当所述拦截提取模块所校验的用户Token有效时,将所述登录请求转发到业务服务器,以使业务服务器对用户身份进行认证。
12.如权利要求7-11任一项所述的攻击识别装置,其特征在于,还包括: 安全操作模块,用于当判定用户为攻击用户时,执行安全操作,所述安全操作模块中的所述安全操作包括:记录所述用户尝试进行的非法业务操作、发送关于所述用户尝试进行非法业务操作的安全警告、断开所述用户与所述业务服务器的连接中的至少一种。
13.—种处理操作请求的系统,其特征在于,包括:攻击识别装置和业务服务器; 所述攻击识别装置,用于当用户发送业务操作请求时,拦截所述用户发送的业务操作请求,并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作,当检测到所请求的业务操作为非法业务操作时,阻止所述非法业务操作的执行,当检测到所请求的业务操作为合法业务操作时,将所述业务操作请求转发到所述业务服务器,以使业务服务器完成对应操作; 所述业务服务器,用于接收所述业务操作请求,并根据所述业务操作请求完成业务操作。
14.如权利要求13所述的系统,其特征在于, 所述攻击识别装置,还用于当检测到所述业务操作请求所请求的业务操作为非法业务操作的次数达到预设的次数阈值时,确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP。
15.如权利要求13或14所述的系统,其特征在于, 所述攻击识别装置,还用于当用户发送业务操作请求时,拦截所述用户发送的业务操作请求,根据攻击用户识别规则判断所述业务操作请求所请求的业务操作是否为关键业务操作,若判断不是关键业务操作, 则确定所述业务操作为合法业务操作,还用于若判断是关键业务操作,则再根据所述攻击用户识别规则判断所述用户是否有执行所述关键业务操作的操作权限,还用于若判断有操作权限,则确定所述业务操作为合法业务操作,否则,确定所述业务操作为非法业务操作。
16.如权利要求13-15任一项所述的系统,其特征在于, 所述攻击识别装置,还用于预置所述攻击用户识别规则,其具体用于根据业务操作集合,识别出关键业务操作集合,根据所述关键业务操作集合分析出关键业务的类名、权限ID、次数阈值,并确定出所述攻击用户识别规则。
17.如权利要求13-16任一项所述的系统,其特征在于, 所述攻击识别装置,还用于拦截用户发送的登录请求,从所述登录请求中提取用户令牌Token,并校验用户Token是否有效,还用于当所校验的用户Token无效时,则确定所述用户为攻击用户,并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP,还用于当所校验的用户Token有效时,将所述登录请求转发到业务服务器,以使业务服务器对用户身份进行认证。
18.如权利要求13-17任一项所述的系统,其特征在于,还包括:防护装置; 所述防护装置,用于接收用户发送的登录请求,并结合访问控制列表ACL和黑名单检测所述登录请求是否符合登录条件,当满足登录条件时,将所述登录请求转发到所述业务服务器,当不满足登录条件时,拒绝所述登录请求; 所述攻击识别装置在用于拦截用户发送的登录请求时具体用于拦截所述防护装置转发到所述业务服务器的登录请求。
19.如权利要求13-18任一项所述的系统,其特征在于, 所述攻击识别装置,还用于当判定用户为攻击用户时,执行安全操作,所述安全操作包括:记录所述用户尝试进行的非法业务操作、发送关于所述用户尝试进行非法业务操作的安全警告、 断开所述用户与所述业务服务器的连接中的至少一种。
全文摘要
本发明实施例公开了一种处理操作请求的方法、系统以及攻击识别装置,其中,所述方法包括当用户发送业务操作请求时,拦截所述用户发送的业务操作请求,并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作;当检测到所请求的业务操作为非法业务操作时,阻止所述非法业务操作的执行;当检测到所请求的业务操作为合法业务操作时,将所述业务操作请求转发到所述业务服务器,以使业务服务器完成对应操作。采用本发明,可以对用户的业务操作进行检测,以较好地保证网络系统的安全。
文档编号H04L9/00GK103248472SQ20131013071
公开日2013年8月14日 申请日期2013年4月16日 优先权日2013年4月16日
发明者欧阳辉 申请人:华为技术有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:欧阳辉
  • 技术所有人:华为技术有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
跨站请求伪造攻击相关技术
在一个请求分页系统中相关技术
iufo系统正在处理请求相关技术
调剂系统请求超时相关技术
请求服务系统相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2