一种限制访问网络接口的方法、装置及电子设备与流程

本发明涉及计算机及网络技术领域，特别是涉及一种限制访问网络接口的方法、装置及电子设备。

背景技术：

随着计算机和网络技术的迅速发展，威胁网络安全的事件频繁地发生并且后果日趋严重。其中，网络接口的攻击主要是通过攻击数据库和服务器宽带宽，使得服务器不能进行安全访问，例如，让数据库并发过载，导致正常的请求超时，从而服务器无法访问该请求，或者增加服务器的访问量，使得服务器宽带宽不够用，最终导致服务器不堪重负而崩溃。

现有的防止网络接口被攻击的方法中，在网络接口的访问量上做出限制，如果超出了限制的访问量则不继续处理超出了限制访问量的其他访问请求，从而使得服务器能安全的访问在限制访问量以内的访问请求，其中，该限制是由sql语言(structuredquerylanguage，结构化查询语言)的限制limit关键词实现。

但是，在现有的方法中，虽然在网络接口做了访问量限制，不会存在大数据的访问量出现数据库宕机的情况，但是对于一次虽然数据量可能不大，却有服务器脚本攻击服务器的情况，还是会导致服务器存在安全隐患。

技术实现要素：

本发明实施例的目的在于提供一种限制访问网络接口的方法、装置及电子设备，以确保服务器的安全访问，减少服务器存在的安全隐患，防止网络接口被攻击带来的不利后果。具体技术方案如下：

本发明实施例公开了一种限制访问网络接口的方法，所述方法包括：

获取客户端在预设时间内访问网络接口的访问量，并判断所述访问量是否大于预设访问量；

当所述访问量大于所述预设访问量时，获取所述客户端的互联网协议地址，并限制所述互联网协议地址对所述网络接口进行访问。

可选的，所述获取客户端在预设时间内访问网络接口的访问量之前，所述的方法还包括：

在所述网络接口中构造黑名单，并保存所述黑名单；

判断所述黑名单中是否包括所述客户端的互联网协议地址。

可选的，所述在所述网络接口中构造黑名单，包括：

在所述网络接口中通过超文本预处理语言构造所述黑名单。

可选的，所述判断所述黑名单中是否包括所述客户端的互联网协议地址之后，所述的方法还包括：

当判断所述黑名单中包括所述客户端的互联网协议地址时，限制所述互联网协议地址对所述网络接口进行访问。

可选的，所述当所述访问量大于所述预设访问量时，获取所述客户端的互联网协议地址，并限制所述互联网协议地址对所述网络接口进行访问，包括：

当所述访问量大于所述预设访问量时，获取所述客户端的互联网协议地址，并将所述互联网协议地址加入所述黑名单；

限制所述黑名单中的所述互联网协议地址对所述网络接口进行访问。

本发明实施例还公开了一种限制访问网络接口的装置，所述装置包括：

获取模块，用于获取客户端在预设时间内访问网络接口的访问量，并判断所述访问量是否大于预设访问量；

处理模块，用于当所述访问量大于所述预设访问量时，获取所述客户端的互联网协议地址，并限制所述互联网协议地址对所述网络接口进行访问。

可选的，所述的装置还包括：

构造模块，用于在所述网络接口中构造黑名单，并保存所述黑名单；

判断模块，用于判断所述黑名单中是否包括所述客户端的互联网协议地址。

可选的，所述构造模块，包括：

构造子模块，用于在所述网络接口中通过超文本预处理语言构造所述黑名单。

本发明实施例还公开了一种电子设备，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

存储器，用于存放计算机程序；

处理器，用于执行存储器上所存放的程序时，实现上述的一种限制访问网络接口的方法步骤。

本发明实施例还公开了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述的一种限制访问网络接口的方法步骤。

本发明实施例提供的一种限制访问网络接口的方法、装置及电子设备，先获取客户端在预设时间内访问网络接口的访问量，并判断所述访问量是否大于预设访问量；然后当所述访问量大于所述预设访问量时，获取所述客户端的互联网协议地址，并限制所述互联网协议地址对所述网络接口进行访问。这种将互联网协议地址高频访问某个网络接口视为接口攻击，然后对该互联网协议地址做一个拒绝访问限制，从而确保了服务器的安全访问，减少了服务器存在的安全隐患，防止了接口攻击带来的不利后果。当然，实施本发明的任一产品或方法必不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种限制访问网络接口的方法的流程示意图；

图2为本发明实施例提供的一种限制访问网络接口的装置的结构示意图；

图3为本发明实施例提供的一种电子设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参见图1，图1为本发明实施例提供的一种限制访问网络接口的方法的流程示意图，包括如下步骤：

s101，获取客户端在预设时间内访问网络接口的访问量，并判断访问量是否大于预设访问量。

具体的，通过服务器获取客户端在预设时间内访问网络接口的访问量，即获取客户端在预设时间内访问网络接口的访问次数，通常，在预设的时间内同一个客户端对同一个网络接口的访问次数越多，则该客户端攻击该网络接口的可能性越大，因此，判断访问量是否大于预设访问量，即通过判断客户端在预设时间内累积访问网络接口的次数是否大于预设的访问次数，来判断该客户端是否对该网络接口有攻击的威胁，从而提高服务器的安全访问。

s102，当访问量大于预设访问量时，获取客户端的互联网协议地址，并限制互联网协议地址对网络接口进行访问。

具体的，本发明是将同一个互联网协议地址高频访问某个网络接口视为接口攻击，高频访问即多次访问，也就是访问次数超过一定的范围，该范围可以根据实际情况来预设。当客户端在预设时间内访问网络接口的访问量大于预设访问量时，则该客户端被视为对该网络接口有攻击，由于该客户端是通过其互联网协议地址对该网络接口进行访问的，因此，先通过服务器获取该客户端的互联网协议地址，然后通过服务器脚本语言构造一个类，用于保存所有对网络接口有攻击的互联网协议地址，最后，通过限制这个类中的所有互联网协议地址对网络接口进行访问，即服务器不允许该类中的任何一个互联网协议地址再对该网络接口进行访问，这里，限制可以是永久性的限制，也可以是阶段性的限制，具体根据实际情况来设置。通过限制互联网协议地址对网络接口进行访问，从而确保了服务器的安全访问，减少了服务器存在的安全隐患，防止了接口攻击带来的不利后果。

可见，通过本发明实施例提供的一种限制访问网络接口的方法，先获取客户端在预设时间内访问网络接口的访问量，并判断访问量是否大于预设访问量；然后当访问量大于预设访问量时，获取客户端的互联网协议地址，并限制互联网协议地址对网络接口进行访问。这种将互联网协议地址高频访问某个网络接口视为接口攻击，然后对该互联网协议地址做一个拒绝访问限制，从而确保了服务器的安全访问，减少了服务器存在的安全隐患，防止了接口攻击带来的不利后果。

在本发明一个可选的实施例中，在获取客户端在预设时间内访问网络接口的访问量之前，本发明的方法还包括：

在网络接口中构造黑名单，并保存黑名单；

具体的，本发明实施例在网络接口中构造黑名单，是通过服务器脚本语言设计一个和符合脚本语言的类，这个类的主要作用是保存黑名单。其中，所构造的黑名单用于保存所有对网络接口有攻击的互联网协议地址，即相当于将黑名单看做是一个存储空间，将这些互联网协议地址的相关信息(如客户端的位置信息、客户端的用户名等)按顺序添加到黑名单这个存储空间中，从而限制这些互联网协议地址对网络接口再次进行访问，将对网络接口有攻击的互联网协议地址加入黑名单，可以直接判断出该互联网协议地址对网络接口有攻击，而不需要每次都去判断该互联网协议地址的访问量是否大于预设访问量，得到该互联网协议地址是否对网络接口具有攻击，这样不仅方便服务器的快速准确的对有攻击的互联网协议地址的判断，而且确保了服务器的安全访问。另外，在黑名单中也可以将互联网协议地址进行分类，例如，根据互联网协议地址地址的前缀部分和后缀部分将互联网协议地址地址分类，更方便在黑名单中快速查找互联网协议地址地址。这里，服务器脚本语言可以是c语言、c++语言、python(一种面向对象、直译式计算机程序设计语言)、c#语言、javascript(一种基于对象和事件驱动并具有相对安全性的客户端脚本语言)、php(hypertextpreprocessor，超文本预处理语言)、jsp(javaserverpages)等。

判断黑名单中是否包括客户端的互联网协议地址。

这里，在获取客户端在预设时间内访问网络接口的访问量之前，判断黑名单的列表中是否包括客户端的互联网协议地址，即该客户端的互联网协议地址是否在黑名单列表中，以便确定该互联网协议地址是否是已经被限制，从而快速准确找出有攻击的互联网协议地址。

在网络接口中构造黑名单，包括：

在网络接口中通过超文本预处理语言构造黑名单。

超文本预处理语言是一种html(hypertextmarkuplanguage，超文本标记语言)内嵌式的语言，是一种在服务器端执行的嵌入html文档的脚本语言。由于php独特的语法混合了c、java、perl(practicalextractionandreportlanguage，实用报表提取语言)以及php自创的语法。它可以比cgi(commongatewayinterface，通用网关接口)或者perl更快速地执行动态网页。用php做出的动态页面与其他的编程语言相比，php是将程序嵌入到html文档中去执行，执行效率比完全生成html标记的cgi要高许多；php还可以执行编译后代码，编译可以达到加密和优化代码运行，使代码运行更快。

判断黑名单中是否包括客户端的互联网协议地址之后，该方法还包括：

当判断黑名单中包括客户端的互联网协议地址时，限制互联网协议地址对网络接口进行访问。

具体的，在获取客户端在预设时间内访问网络接口的访问量之前，先判断该客户端的互联网协议地址是否已经被加入到黑名单的列表中，如果黑名单列表中中有该客户端的互联网协议地址，则该互联网协议地址已经是被认为是对网络接口有攻击的，即该互联网协议地址已经被限制对网络接口进行访问，这样就不用再获取客户端在预设时间内访问网络接口的访问量，不仅减少了计算机的处理过程，而且快速准确的判断出攻击对象，从而确保了服务器的安全访问。

在本发明一个可选的实施例中，当访问量大于预设访问量时，获取客户端的互联网协议地址，并限制互联网协议地址对网络接口进行访问，包括：

当访问量大于预设访问量时，获取客户端的互联网协议地址，并将互联网协议地址加入黑名单；

限制黑名单中的互联网协议地址对网络接口进行访问。

具体的，对于按顺序加入黑名单的互联网协议地址的情况，当访问量大于预设访问量时，服务器获取客户端的互联网协议地址，并将该互联网协议地址添加到该黑名单中上一个已添加的互联网协议地址之后；对于黑名单中将互联网协议地址进行分类的情况，当访问量大于预设访问量时，服务器获取客户端的互联网协议地址，先在该黑名单中找到与将该互联网协议地址为同一类别的地址，然后将该互联网协议地址添加到该类别中。由于本发明是将同一个互联网协议地址高频访问某个网络接口视为接口攻击，因此，根据实际情况，先设置互联网协议地址高频访问某个网络的访问量为预设访问量，当一个互联网协议地址的访问量大于预设访问量时，表明该互联网协议地址对该网络接口有攻击，那么，将对网络接口有攻击的互联网协议地址加入黑名单，限制黑名单中的互联网协议地址对网络接口进行访问，不仅确保了服务器的安全访问，减少了服务器存在的安全隐患，防止了接口攻击带来的不利后果，而且，对黑名单中的互联网协议地址无需再次判断其访问量，而是直接限制该互联网协议地址对网络接口进行访问，极大的提高了服务器的安全访问。

参见图2，图2为本发明实施例提供的一种限制访问网络接口的装置的结构示意图，包括如下模块：

获取模块201，用于获取客户端在预设时间内访问网络接口的访问量，并判断访问量是否大于预设访问量；

处理模块202，用于当访问量大于预设访问量时，获取客户端的互联网协议地址，并限制互联网协议地址对网络接口进行访问。

进一步的，所述的装置还包括：

构造模块，用于在网络接口中构造黑名单，并保存黑名单；

判断模块，用于判断黑名单中是否包括客户端的互联网协议地址。

进一步的，构造模块，包括：

构造子模块，用于在网络接口中通过超文本预处理语言构造黑名单。

进一步的，所述的装置还包括：

限制模块，用于当判断黑名单中包括客户端的互联网协议地址时，限制互联网协议地址对网络接口进行访问。

进一步的，处理模块202，包括：

第一处理子模块，用于当访问量大于预设访问量时，获取客户端的互联网协议地址，并将互联网协议地址加入黑名单；

第二处理子模块，用于限制黑名单中的互联网协议地址对网络接口进行访问。

可见，通过本发明实施例提供的一种限制访问网络接口的装置，先通过模块获取客户端在预设时间内访问网络接口的访问量，并判断访问量是否大于预设访问量；然后处理模块中当访问量大于预设访问量时，获取客户端的互联网协议地址，并限制互联网协议地址对网络接口进行访问。这种将互联网协议地址高频访问某个网络接口视为接口攻击，然后对该互联网协议地址做一个拒绝访问限制，从而确保了服务器的安全访问，减少服务器存在的安全隐患，防止了接口攻击带来的不利后果。

本发明实施例还提供了一种电子设备，如图3所示，包括处理器301、通信接口302、存储器303和通信总线304，其中，处理器301，通信接口302，存储器303通过通信总线304完成相互间的通信，

存储器303，用于存放计算机程序；

处理器301，用于执行存储器303上所存放的程序时，实现如下步骤：

获取客户端在预设时间内访问网络接口的访问量，并判断访问量是否大于预设访问量；

当访问量大于预设访问量时，获取客户端的互联网协议地址，并限制互联网协议地址对网络接口进行访问。

上述电子设备提到的通信总线可以是外设部件互连标准(peripheralcomponentinterconnect，简称pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture，简称eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述电子设备与其他设备之间的通信。

本发明实施例还提供了一种计算机可读存储介质，计算机可读存储介质内存储有计算机程序，计算机程序被处理器执行时实现如下步骤：

获取客户端在预设时间内访问网络接口的访问量，并判断访问量是否大于预设访问量；

当访问量大于预设访问量时，获取客户端的互联网协议地址，并限制互联网协议地址对网络接口进行访问。

存储器可以包括随机存取存储器(randomaccessmemory，简称ram)，也可以包括非易失性存储器(non-volatilememory)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(centralprocessingunit，简称cpu)、网络处理器(networkprocessor，简称np)等；还可以是数字信号处理器(digitalsignalprocessing，简称dsp)、专用集成电路(applicationspecificintegratedcircuit，简称asic)、现场可编程门阵列(field-programmablegatearray，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、电子设备、计算机可读存储介质实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。