越权攻击检测方法及装置制造方法

越权攻击检测方法及装置制造方法
【专利摘要】本发明公开了一种越权攻击检测方法，该方法包括：获取HTTP请求，解析HTTP请求得到HTTP请求的URL地址；判断是否存在与URL地址对应的防护规则；在存在与URL地址对应的防护规则时，获取HTTP请求的访问数据；判断访问数据是否满足防护规则；若否，判定访问数据对应的HTTP请求为越权攻击。本发明还公开了一种越权攻击检测装置。本发明通过判断访问数据是否满足防护规则，从而自动检测出HTTP请求是否为越权攻击，提高了越权攻击的检测效率。
【专利说明】越权攻击检测方法及装置

【技术领域】
[0001]本发明涉及通信【技术领域】，尤其涉及越权攻击检测方法及装置。

【背景技术】
[0002]越权访问漏洞是一种逻辑漏洞，也是web (网页)应用常见的安全漏洞，由于这种漏洞和权限控制相关，所以一般情况下都涉及到敏感的信息，当发生该漏洞发生该漏洞，危害也比较大，越权攻击主要有如下几种明显的行为:
[0003]缺失的操作:直接执行下一步操作，比如绕过授权操作，或者在某个多步操作流程中，绕过付钱的操作，可以直接购物。在这个过程中，异常情况就是某一个网页的访问依赖于另外一个网页的授权结果，但是由于开发错误，导致本来互相的依赖关系没有正确实现，攻击者只要知道写一个阶段需要访问的网页，就可以直接访问，造成未授权访问漏洞。
[0004]增加的操作，执行了多次不属于自己权限内的操作，比如登陆个人账号后，通过修改订单编号等参数，查看了其它人的订单。
[0005]操作顺序错乱:没有按照程序预定的操作顺序执行，规避了程序的验证风险。
[0006]由于越权操作都是一种正常的访问行为，安全网关设备无法区分出正常应用和异常应用，因此，越权漏洞发现难度大，也不像其它攻击可以通过自动化测试环境检测发现。
[0007]上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。


【发明内容】

[0008]本发明的主要目的在于解决越权操作无法通过自动化测试环境检测发现的技术问题。
[0009]为实现上述目的，本发明提供的一种越权攻击检测方法，所述越权攻击检测方法包括以下步骤:
[0010]获取HTTP请求，解析所述HTTP请求得到所述HTTP请求的URL地址；
[0011]判断是否存在与所述URL地址对应的防护规则；
[0012]在存在与所述URL地址对应的防护规则时，获取所述HTTP请求的访问数据；
[0013]判断所述访问数据是否满足所述防护规则；若否，判定所述访问数据对应的HTTP请求为越权攻击。
[0014]优选地，所述获取HTTP请求，解析所述HTTP请求得到所述HTTP请求的URL地址的步骤之前包括:
[0015]首次侦测到HTTP请求的URL地址为预设的起始URL地址时，获取所述HTTP请求的源地址，在预设时长内获取所述源地址发出的HTTP请求，并获取所述HTTP请求的URL地址；
[0016]确定获取的所述HTTP请求的URL地址之间存在的关联关系；其中，所述关联关系包括至少两个URL地址的访问顺序及URL地址的访问频率范围；
[0017]根据确定的所述关联关系，生成对应的防护规则。
[0018]优选地,所述访问数据包括源地址、访问的URL地址、访问频率。
[0019]优选地，所述判断所述访问数据是否满足所述防护规则的步骤包括:
[0020]根据所述HTTP请求的源地址及URL地址，判断所述URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配；
[0021 ] 若所述URL地址的访问顺序与防护规则中URL地址的访问顺序不匹配，判定所述访问数据对应的HTTP请求不满足所述防护规则；
[0022]若所述URL地址的访问顺序与防护规则中URL地址的访问顺序匹配，判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值是否相同；若是，判定所述访问数据对应的HTTP请求满足所述防护规则；若否，判断所述源地址对应的URL地址的访问频率是否超过预设阀值，若超过，判定所述访问数据对应的HTTP请求不满足所述防护规则；若未超过，判定所述访问数据对应的HTTP请求满足所述防护规则。
[0023]优选地，所述判定所述访问数据对应的HTTP请求为越权攻击的步骤之后包括:
[0024]拦截判定为越权攻击的HTTP请求。
[0025]此外，为实现上述目的，本发明还提供一种越权攻击检测装置，所述越权攻击检测装置包括:
[0026]解析模块，用于获取HTTP请求，解析所述HTTP请求得到所述HTTP请求的URL地址；
[0027]第一判断模块，用于判断是否存在与所述URL地址对应的防护规则；
[0028]获取模块，用于在存在与所述URL地址对应的防护规则时，获取所述HTTP请求的访问数据；
[0029]第二判断模块，用于判断所述访问数据是否满足所述防护规则；若否，判定所述访问数据对应的HTTP请求为越权攻击。
[0030]优选地，所述越权攻击检测装置包括:
[0031 ] 侦测模块，用于首次侦测到HTTP请求的URL地址为预设的起始URL地址时，获取所述HTTP请求的源地址，在预设时长内获取所述源地址发出的HTTP请求，并获取所述HTTP请求的URL地址；
[0032]关联|旲块，用于确定获取的所述HTTP请求的URL地址之间存在的关联关系；其中，所述关联关系包括至少两个URL地址的访问顺序及URL地址的访问频率范围；
[0033]生成模块，用于根据确定的所述关联关系，生成对应的防护规则。
[0034]优选地,所述访问数据包括源地址、访问的URL地址、访问频率。
[0035]优选地，所述第二判断模块用于:
[0036]根据所述HTTP请求的源地址及URL地址，判断所述URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配；
[0037]若所述URL地址的访问顺序与防护规则中URL地址的访问顺序不匹配，判定所述访问数据对应的HTTP请求不满足所述防护规则；
[0038]若所述URL地址的访问顺序与防护规则中URL地址的访问顺序匹配，判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值是否相同；若是，判定所述访问数据对应的HTTP请求满足所述防护规则；若否，判断在预设时长内所述源地址对应的URL地址的访问频率是否超过预设阀值，若超过，判定所述访问数据对应的HTTP请求不满足所述防护规则；若未超过，判定所述访问数据对应的HTTP请求满足所述防护规则。
[0039]优选地，所述越权攻击检测装置包括:
[0040]拦截模块，用于拦截判定为越权攻击的HTTP请求。
[0041 ] 本发明获取HTTP请求，解析所述HTTP请求得到所述HTTP请求的URL地址；判断是否存在与所述URL地址对应的防护规则；在存在与所述URL地址对应的防护规则时，获取所述HTTP请求的访问数据；判断所述访问数据是否满足所述防护规则；若否，判定所述访问数据对应的HTTP请求为越权攻击。本发明通过判断访问数据是否满足防护规则，从而自动检测出HTTP请求是否为越权攻击，提高了越权攻击的检测效率。

【专利附图】

【附图说明】
[0042]图1为本发明越权攻击检测方法第一实施例的流程示意图；
[0043]图2为本发明越权攻击检测方法第二实施例的流程示意图；
[0044]图3为本发明越权攻击检测方法第三实施例的流程示意图；
[0045]图4为本发明越权攻击检测装置第一实施例的功能模块示意图；
[0046]图5为本发明越权攻击检测装置第二实施例的功能模块示意图。
[0047]本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

【具体实施方式】
[0048]应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
[0049]本领域技术人员可以理解的，本发明越权攻击检测方法及装置的下述实施例中，本发明越权攻击检测方法的实施主体可以是网关设备，如交换机、路由器等，也可以是其他任何可实现本发明越权攻击检测方法的装置或设备，本发明对此不作限定。本发明越权攻击检测方法的下述实施例中优选网关设备为实施主体。
[0050]本发明提供一种越权攻击检测方法。
[0051]参照图1，图1为本发明越权攻击检测方法第一实施例的流程示意图。
[0052]本发明越权攻击检测方法第一实施例中，该越权攻击检测方法包括:
[0053]步骤S10，获取HTTP请求，解析所述HTTP请求得到所述HTTP请求的URL地址；
[0054]网关设备解析HTTP (Hypertext transfer protocol,超文本传输协议)请求得到HTTP请求的URL地址(Uniform Resource Locator,统一资源定位符)地址的方法与现有技术相似，在此不作赘述。
[0055]步骤S20，判断是否存在与所述URL地址对应的防护规则；
[0056]防护规则可由用户预先设置，也可以是由网关设备通过自我学习的过程自动生成。防护规则可以是下列一项或多项:
[0057]两个以上HTTP请求的URL地址之间的关联关系、HTTP请求的URL地址的访问频率范围、HTTP请求的URL地址的访问时长范围、访问URL地址的起始时间的范围等。
[0058]防护规则还可以是根据用户的需求进行设置，并不限于上述举例的内容。
[0059]对于部分URL地址，可能并不存在对应的防护规则，因此，对于这些URL地址不需要对其进行下一步检测。例如，对于一个购物网站，用户若不登录，则不存在越权攻击的问题，因此，不需对这些HTTP请求进行检测。
[0060]步骤S30，在存在与所述URL地址对应的防护规则时，获取所述HTTP请求的访问数据；
[0061]访问数据至少包括下列一项:
[0062]源地址、访问的URL地址、访问的起始时间、访问次数、访问时长等。
[0063]网络设备对HTTP请求进行跟踪记录，即可得到访问数据。
[0064]步骤S40，判断所述访问数据是否满足所述防护规则；
[0065]步骤S50，若否，判定所述访问数据对应的HTTP请求为越权攻击；
[0066]步骤S60，若是，判定所述访问数据对应的HTTP请求不为越权攻击。
[0067]网络设备可将访问数据与防护规则逐一比对，从而判断访问数据是否满足防护规则。例如，若防护规则为两个以上HTTP请求的URL地址之间的关联关系、HTTP请求的URL地址的访问频率范围及HTTP请求的URL地址的访问时长范围，则逐一判断HTTP请求的URL地址与其他HTTP请求的URL地址是否满足防护规则的两个以上HTTP请求的URL地址之间的关联关系，判断HTTP请求的URL地址的访问频率是否在防护规则的URL地址的访问频率范围内，判断HTTP请求的URL地址的访问时长是否在防护规则的URL地址的访问时长范围内，若上述条件均满足，则判定访问数据满足防护规则。
[0068]本实施例通过判断访问数据是否满足防护规则，从而自动检测出HTTP请求是否为越权攻击，提高了越权攻击的检测效率。
[0069]参照图2，图2为本发明越权攻击检测方法第二实施例的流程示意图。
[0070]本发明越权攻击检测方法第二实施例中，本实施例在第一实施例的基础上，所述步骤SlO之前包括:
[0071]步骤S70，首次侦测到HTTP请求的URL地址为预设的起始URL地址时，获取所述HTTP请求的源地址，在预设时长内获取所述源地址发出的HTTP请求，并获取所述HTTP请求的URL地址；
[0072]起始URL地址可以是用户根据需求预先设定的，也可以是网关设备根据历史数据设定的。起始URL地址的设置是为了标记越权攻击检测的起始点，即越权攻击检测从侦测到HTTP请求中包括该起始URL地址开始。例如，购物网站或者在线考试网站可设置登录页面的URL地址为起始URL地址。通过设置起始URL地址，用户可设置越权检测方法的起始点，从而满足了用户个性化的需求。
[0073]网关设备获取HTTP请求的源地址，在预设时长内获取该源地址发出的HTTP请求。其中，网关设备获取HTTP请求的源地址的方法与现有技术相似，在此不作赘述。预设时长由用户或者网关设备预先设定，该预设时长为网关学习防护规则的时间。例如，预设时长可设置为5天、10天等，本发明对此并不作限定。需要注意的是，本发明并不限定源地址的数量，也就是说，若侦测到多个源地址发出的HTTP请求的URL地址均为起始URL地址，则分别在预设时长内获取各源地址发出的HTTP请求。
[0074]步骤S80，确定获取的所述HTTP请求的URL地址之间存在的关联关系；
[0075]其中，关联关系包括:至少两个URL地址的访问顺序及URL地址的访问频率范围。
[0076]网关设备确定HTTP请求的URL地址的访问顺序的方法可以是:获取各源地址发出HTTP请求访问该HTTP请求对应的URL地址的顺序，若各源地址访问的URL地址中存在至少两个URL地址的访问顺序相同，则确定该两个或两个以上的URL地址的访问顺序。例如，在线考试网站中，必须先访问登录页面对应的URL地址，才能进一步访问查询个人信息页面对应的URL地址；在购物网站中，必须先访问购物车页面对应的URL地址，才能进一步访问支付页面对应的URL地址，最后访问交易完成页面对应的URL地址。
[0077]网关设备确定HTTP请求的URL地址的访问频率范围的方法可以是:网关设备确定获取各源地址发出HTTP请求访问该HTTP请求对应的URL地址的频率范围，可获取各源地址访问一 URL地址的起始时间，从该起始时间开始计时，在一定时长内获取该源地址访问同一 URL地址的次数，从而确定该URL地址的访问频率，根据所有源地址访问所有获取的HTTP的URL地址的访问频率，得到URL地址的访问频率范围。
[0078]步骤S90，根据确定的所述关联关系，生成对应的防护规则。
[0079]网关设备根据关联关系，生成对应的防护规则，该防护规则即是以关联关系为标准，不满足该关联关系的URL地址对应的HTTP请求，即为越权攻击。
[0080]本实施例通过网关设备自动学习，从而生成防护规则，不需要技术人员手动设置，避免因技术人员的技术能力差而造成防护规则设置出错。
[0081]参照图3，图3为本发明越权攻击检测方法第三实施例的流程示意图。
[0082]越权攻击检测方法第三实施例中，本实施例在第二实施例的基础上，其中，所述访问数据包括源地址、访问的URL地址、访问频率；所述步骤S40包括:
[0083]步骤S41，根据所述HTTP请求的源地址及URL地址，判断所述URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配；若所述URL地址的访问顺序与防护规则中URL地址的访问顺序不匹配，判定所述访问数据对应的HTTP请求不满足所述防护规则；
[0084]网关设备判断URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配的方法可以是:获取该源地址访问的所有URL地址，并将其按照时间的先后顺序排序，判断与防护规则中对应的URL地址的访问顺序是否相同，若不同，则判定该HTTP的URL地址的访问顺序与防护规则中URL地址的访问顺序不匹配，若相同，则判定该HTTP的URL地址的访问顺序与防护规则中URL地址的访问顺序匹配；或者，获取该源地址上一次访问的URL地址,判断上一次访问的URL地址与此次访问的URL地址的顺序与防护规则中对应的URL地址的访问顺序是否相同，若不同，则判定该HTTP的URL地址的访问顺序与防护规则中URL地址的访问顺序不匹配，若相同，则判定该HTTP的URL地址的访问顺序与防护规则中URL地址的访问顺序匹配。
[0085]步骤S42，若所述URL地址的访问顺序与防护规则中URL地址的访问顺序匹配，判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值是否相同；若是，判定所述访问数据对应的HTTP请求满足所述防护规则；
[0086]步骤S43，若否，判断所述源地址对应的URL地址的访问频率是否超过预设阀值；
[0087]步骤S44，若超过，判定所述访问数据对应的HTTP请求不满足所述防护规则；
[0088]步骤S45，若未超过，判定所述访问数据对应的HTTP请求满足所述防护规则。
[0089]其中，预设阀值是由用户或者网关设备预先设置的。
[0090]访问频率的获取方法可以是:记录该源地址第一次发送HTTP请求访问该URL地址至此次获取HTTP请求的时间间隔，并记录在这段时间间隔中，该源地址发送HTTP以访问该同一 URL地址的次数，将次数除以时间间隔，得到该URL地址的访问频率；或者，记录该源地址上一次发送HTTP请求以访问该URL地址至此次获取HTTP请求的时间间隔，将次数除以时间间隔，得到该URL地址的访问频率。
[0091 ] 本实施例中，还可先判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值相同，及在预设时长内源地址对应的URL地址的访问频率是否超过预设阀值，再判断HTTP的URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配从而可检测出缺失的操作及操作顺序错乱。
[0092]本实施例中，也可根据需要仅判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值相同，及在预设时长内源地址对应的URL地址的访问频率是否超过预设阀值，不判断HTTP的URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配；也可以仅判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值相同，及HTTP的URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配，不判断在预设时长内源地址对应的URL地址的访问频率是否超过预设阀值。
[0093]本实施例通过判断HTTP的URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配从而可检测出缺失的操作及操作顺序错乱；通过判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值相同，及在预设时长内源地址对应的URL地址的访问频率是否超过预设阀值从而可检测出增加的操作。
[0094]本发明越权攻击检测方法第四实施例中，本实施例在第一实施例、第二实施例、第三实施例的基础上，所述步骤S40之后包括:
[0095]拦截判定为越权攻击的HTTP请求。
[0096]本实施例中，通过主动拦截判定为越权攻击的HTTP请求，不需要技术人员手动修改代码以对越权攻击进行防御，从而避免因技术人员不具备修改代码的能力或者修改代码的能力较差而引起防御失败的问题。
[0097]本发明进一步提供一种越权攻击检测装置。
[0098]参照图4，图4为本发明越权攻击检测装置第一实施例的功能模块示意图。
[0099]本发明越权攻击检测装置第一实施例中，该越权攻击检测装置包括:
[0100]解析模块10，用于获取HTTP请求，解析所述HTTP请求得到所述HTTP请求的URL地址；
[0101]第一判断模块20，用于判断是否存在与所述URL地址对应的防护规则；
[0102]获取模块30，用于在存在与所述URL地址对应的防护规则时，获取所述HTTP请求的访问数据；
[0103]第二判断模块40，用于判断所述访问数据是否满足所述防护规则；若否，判定所述访问数据对应的HTTP请求为越权攻击。
[0104]解析模块10解析HTTP请求得到HTTP请求的URL地址的方法与现有技术相似，在此不作赘述。
[0105]防护规则可由用户预先设置，也可以是由网关设备通过自我学习的过程自动生成。防护规则可以是下列一项或多项:
[0106]两个以上HTTP请求的URL地址之间的关联关系、HTTP请求的URL地址的访问频率范围、HTTP请求的URL地址的访问时长范围、访问URL地址的起始时间的范围等。
[0107]防护规则还可以是根据用户的需求进行设置，并不限于上述举例的内容。
[0108]对于部分URL地址，可能并不存在对应的防护规则，因此，对于这些URL地址不需要对其进行下一步检测。例如，对于一个购物网站，用户若不登录，则不存在越权攻击的问题，因此，不需对这些HTTP请求进行检测。
[0109]访问数据至少包括下列一项:
[0110]源地址、访问的URL地址、访问的起始时间、访问次数、访问时长等。
[0111]获取模块30对HTTP请求进行跟踪记录，即可得到访问数据。
[0112]第二判断模块40可将访问数据与防护规则逐一比对，从而判断访问数据是否满足防护规则。例如，若防护规则为两个以上HTTP请求的URL地址之间的关联关系、HTTP请求的URL地址的访问频率范围及HTTP请求的URL地址的访问时长范围，则逐一判断HTTP请求的URL地址与其他HTTP请求的URL地址是否满足防护规则的两个以上HTTP请求的URL地址之间的关联关系，判断HTTP请求的URL地址的访问频率是否在防护规则的URL地址的访问频率范围内，判断HTTP请求的URL地址的访问时长是否在防护规则的URL地址的访问时长范围内，若上述条件均满足，则判定访问数据满足防护规则。
[0113]本实施例通过判断访问数据是否满足防护规则，从而自动检测出HTTP请求是否为越权攻击，提高了越权攻击的检测效率。
[0114]参照图5，图5为本发明越权攻击检测装置第二实施例的功能模块示意图。
[0115]本发明越权攻击检测装置第二实施例中，本实施例在第一实施例的基础上，所述越权攻击检测装置包括:
[0116]侦测模块50，用于首次侦测到HTTP请求的URL地址为预设的起始URL地址时，获取所述HTTP请求的源地址，在预设时长内获取所述源地址发出的HTTP请求，并获取所述HTTP请求的URL地址；
[0117]关联模块60，用于确定获取的所述HTTP请求的URL地址之间存在的关联关系；
[0118]生成模块70，用于根据确定的所述关联关系，生成对应的防护规则。
[0119]起始URL地址可以是用户根据需求预先设定的，也可以是侦测模块50根据历史数据设定的。起始URL地址的设置是为了标记越权攻击检测的起始点，即越权攻击检测从侦测到HTTP请求中包括该起始URL地址开始。例如，购物网站或者在线考试网站可设置登录页面的URL地址为起始URL地址。通过设置起始URL地址，用户可设置越权检测方法的起始点，从而满足了用户个性化的需求。
[0120]侦测模块50获取HTTP请求的源地址，在预设时长内获取该源地址发出的HTTP请求。其中，侦测模块50获取HTTP请求的源地址的方法与现有技术相似，在此不作赘述。预设时长由用户或者网关设备预先设定，该预设时长为网关学习防护规则的时间。例如，预设时长可设置为5天、10天等，本发明对此并不作限定。需要注意的是，本发明并不限定源地址的数量，也就是说，若侦测到多个源地址发出的HTTP请求的URL地址均为起始URL地址，则分别在预设时长内获取各源地址发出的HTTP请求。
[0121]其中，关联关系包括:至少两个URL地址的访问顺序及URL地址的访问频率范围。
[0122]关联模块60确定HTTP请求的URL地址的访问顺序的方法可以是:获取各源地址发出HTTP请求访问该HTTP请求对应的URL地址的顺序，若各源地址访问的URL地址中存在至少两个URL地址的访问顺序相同，则确定该两个或两个以上的URL地址的访问顺序。例如，在线考试网站中，必须先访问登录页面对应的URL地址，才能进一步访问查询个人信息页面对应的URL地址；在购物网站中，必须先访问购物车页面对应的URL地址，才能进一步访问支付页面对应的URL地址，最后访问交易完成页面对应的URL地址。
[0123]关联模块60确定HTTP请求的URL地址的访问频率范围的方法可以是:关联模块60确定获取各源地址发出HTTP请求访问该HTTP请求对应的URL地址的频率范围，可获取各源地址访问一 URL地址的起始时间，从该起始时间开始计时，在一定时长内获取该源地址访问同一 URL地址的次数，从而确定该URL地址的访问频率，根据所有源地址访问所有获取的HTTP的URL地址的访问频率，得到URL地址的访问频率范围。
[0124]生成模块70根据关联关系，生成对应的防护规则，该防护规则即是以关联关系为标准，不满足该关联关系的URL地址对应的HTTP请求，即为越权攻击。
[0125]本实施例通过越权攻击检测装置自动学习，从而生成防护规则，不需要技术人员手动设置，避免因技术人员的技术能力差而造成防护规则设置出错。
[0126]本发明越权攻击检测装置第三实施例中，本实施例在第二实施例的基础上，其中，所述访问数据包括源地址、访问的URL地址、访问频率；所述第二判断模块40用于:
[0127]根据所述HTTP请求的源地址及URL地址，判断所述URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配；
[0128]若所述URL地址的访问顺序与防护规则中URL地址的访问顺序不匹配，判定所述访问数据对应的HTTP请求不满足所述防护规则；
[0129]若所述URL地址的访问顺序与防护规则中URL地址的访问顺序匹配，判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值是否相同；若是，判定所述访问数据对应的HTTP请求满足所述防护规则；若否，判断在预设时长内所述源地址对应的URL地址的访问频率是否超过预设阀值，若超过，判定所述访问数据对应的HTTP请求不满足所述防护规则；若未超过，判定所述访问数据对应的HTTP请求满足所述防护规则。
[0130]第二判断模块40判断URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配的方法可以是:获取该源地址访问的所有URL地址，并将其按照时间的先后顺序排序，判断与防护规则中对应的URL地址的访问顺序是否相同，若不同，则判定该HTTP的URL地址的访问顺序与防护规则中URL地址的访问顺序不匹配，若相同，则判定该HTTP的URL地址的访问顺序与防护规则中URL地址的访问顺序匹配；或者，获取该源地址上一次访问的URL地址，判断上一次访问的URL地址与此次访问的URL地址的顺序与防护规则中对应的URL地址的访问顺序是否相同，若不同，则判定该HTTP的URL地址的访问顺序与防护规则中URL地址的访问顺序不匹配，若相同，则判定该HTTP的URL地址的访问顺序与防护规则中URL地址的访问顺序匹配。
[0131]其中，预设阀值是由用户或者网关设备预先设置的。
[0132]访问频率的获取方法可以是:记录该源地址第一次发送HTTP请求访问该URL地址至此次获取HTTP请求的时间间隔，并记录在这段时间间隔中，该源地址发送HTTP以访问该同一 URL地址的次数，将次数除以时间间隔，得到该URL地址的访问频率；或者，记录该源地址上一次发送HTTP请求以访问该URL地址至此次获取HTTP请求的时间间隔，将次数除以时间间隔，得到该URL地址的访问频率。
[0133]本实施例中，还可先判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值相同，及在预设时长内源地址对应的URL地址的访问频率是否超过预设阀值，再判断HTTP的URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配从而可检测出缺失的操作及操作顺序错乱。
[0134]本实施例中，也可根据需要仅判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值相同，及在预设时长内源地址对应的URL地址的访问频率是否超过预设阀值，不判断HTTP的URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配；也可以仅判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值相同，及HTTP的URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配，不判断在预设时长内源地址对应的URL地址的访问频率是否超过预设阀值。
[0135]本实施例通过判断HTTP的URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配从而可检测出缺失的操作及操作顺序错乱；通过判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值相同，及在预设时长内源地址对应的URL地址的访问频率是否超过预设阀值从而可检测出增加的操作。
[0136]本发明越权攻击检测装置第四实施例中，本实施例在第一实施例、第二实施例、第三实施例的基础上，所述越权攻击检测装置包括:
[0137]拦截模块(图中未示出)，用于拦截判定为越权攻击的HTTP请求。
[0138]本实施例中，通过主动拦截判定为越权攻击的HTTP请求，不需要技术人员手动修改代码以对越权攻击进行防御，从而避免因技术人员不具备修改代码的能力或者修改代码的能力较差而引起防御失败的问题。
[0139]以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的【技术领域】，均同理包括在本发明的专利保护范围内。
【权利要求】
1.一种越权攻击检测方法，其特征在于，所述越权攻击检测方法包括以下步骤: 获取HTTP请求，解析所述HTTP请求得到所述HTTP请求的URL地址； 判断是否存在与所述URL地址对应的防护规则； 在存在与所述URL地址对应的防护规则时，获取所述HTTP请求的访问数据； 判断所述访问数据是否满足所述防护规则；若否，判定所述访问数据对应的HTTP请求为越权攻击。
2.如权利要求1所述的越权攻击检测方法，其特征在于，所述获取HTTP请求，解析所述HTTP请求得到所述HTTP请求的URL地址的步骤之前包括: 首次侦测到HTTP请求的URL地址为预设的起始URL地址时，获取所述HTTP请求的源地址，在预设时长内获取所述源地址发出的HTTP请求，并获取所述HTTP请求的URL地址；确定获取的所述HTTP请求的URL地址之间存在的关联关系；其中，所述关联关系包括至少两个URL地址的访问顺序及URL地址的访问频率范围； 根据确定的所述关联关系，生成对应的防护规则。
3.如权利要求2所述的越权攻击检测方法，其特征在于，所述访问数据包括源地址、访问的URL地址、访问频率。
4.如权利要求3所述的越权攻击检测方法，其特征在于，所述判断所述访问数据是否满足所述防护规则的步骤包括: 根据所述HTTP请求的源地址及URL地址，判断所述URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配； 若所述URL地址的访问顺序与防护规则中URL地址的访问顺序不匹配，判定所述访问数据对应的HTTP请求不满足所述防护规则； 若所述URL地址的访问顺序与防护规则中URL地址的访问顺序匹配，判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值是否相同；若是，判定所述访问数据对应的HTTP请求满足所述防护规则；若否，判断所述源地址对应的URL地址的访问频率是否超过预设阀值，若超过，判定所述访问数据对应的HTTP请求不满足所述防护规则；若未超过，判定所述访问数据对应的HTTP请求满足所述防护规则。
5.如权利要求1-4所述的越权攻击检测方法，其特征在于，所述判定所述访问数据对应的HTTP请求为越权攻击的步骤之后包括: 拦截判定为越权攻击的HTTP请求。
6.一种越权攻击检测装置，其特征在于，所述越权攻击检测装置包括: 解析模块，用于获取HTTP请求，解析所述HTTP请求得到所述HTTP请求的URL地址； 第一判断模块，用于判断是否存在与所述URL地址对应的防护规则； 获取模块，用于在存在与所述URL地址对应的防护规则时，获取所述HTTP请求的访问数据； 第二判断模块，用于判断所述访问数据是否满足所述防护规则；若否，判定所述访问数据对应的HTTP请求为越权攻击。
7.如权利要求6所述的越权攻击检测装置，其特征在于，所述越权攻击检测装置包括: 侦测模块，用于首次侦测到HTTP请求的URL地址为预设的起始URL地址时，获取所述HTTP请求的源地址，在预设时长内获取所述源地址发出的HTTP请求，并获取所述HTTP请求的URL地址； 关联模块，用于确定获取的所述HTTP请求的URL地址之间存在的关联关系；其中，所述关联关系包括至少两个URL地址的访问顺序及URL地址的访问频率范围； 生成模块，用于根据确定的所述关联关系，生成对应的防护规则。
8.如权利要求7所述的越权攻击检测装置，其特征在于，所述访问数据包括源地址、访问的URL地址、访问频率。
9.如权利要求8所述的越权攻击检测装置，其特征在于，所述第二判断模块用于: 根据所述HTTP请求的源地址及URL地址，判断所述URL地址的访问顺序是否与防护规则中URL地址的访问顺序匹配； 若所述URL地址的访问顺序与防护规则中URL地址的访问顺序不匹配，判定所述访问数据对应的HTTP请求不满足所述防护规则； 若所述URL地址的访问顺序与防护规则中URL地址的访问顺序匹配，判断所述HTTP请求的URL地址的参数值与所述源地址上一次访问所述URL地址时所述URL地址的参数值是否相同；若是，判定所述访问数据对应的HTTP请求满足所述防护规则；若否，判断在预设时长内所述源地址对应的URL地址的访问频率是否超过预设阀值，若超过，判定所述访问数据对应的HTTP请求不满足所述防护规则；若未超过，判定所述访问数据对应的HTTP请求满足所述防护规则。
10.如权利要求6-9所述的越权攻击检测装置，其特征在于，所述越权攻击检测装置包括: 拦截模块，用于拦截判定为越权攻击的HTTP请求。
【文档编号】H04L29/06GK104301302SQ201410465196
【公开日】2015年1月21日 申请日期:2014年9月12日 优先权日:2014年9月12日
【发明者】周欣 申请人:深信服网络科技（深圳）有限公司