访问限制方法、装置、非易失性存储介质及处理器与流程

1.本发明涉及网络安全领域，具体而言，涉及一种访问限制方法、装置、非易失性存储介质及处理器。


背景技术：

2.随着互联网的快速发展，用户流量也越来越大，但是对外提供服务的系统处理能力是有限的，需要对用户的流量进行限制，这就引入了接口限频的概念；在网络生产的过程中，服务端对外开放提供服务需要考虑很多的因素，比如服务器的处理能力、服务端系统安全、客户端的请求速率，这就需要对接口的访问引入限频机制，但是现有的接口限频方案都是直接限制接口的访问量，超过限制则判定为超频，这种方式太过于单一死板，没有考虑到客户端访问量的动态变化。
3.针对上述的问题，目前尚未提出有效的解决方案。


技术实现要素：

4.本发明实施例提供了一种访问限制方法、装置、非易失性存储介质及处理器，以至少解决接口对超频访问进行拦截的智能程度低的技术问题。
5.根据本发明实施例的一个方面，提供了一种访问限制方法，包括：接收目标客户端发送的访问请求；获取与所述目标客户端对应的固定拦截阈值和动态拦截阈值，其中，所述动态拦截阈值根据所述目标客户端对应的访问记录生成；获取所述目标客户端对应的访问记录，在基于所述访问记录确定所述访问请求超过所述固定拦截阈值和所述动态拦截阈值的情况下，拒绝所述访问请求。
6.可选地，上述方法还包括：在基于所述访问记录确定所述访问请求超过所述固定拦截阈值，但是所述访问请求未超过所述动态拦截阈值的情况下，放行所述访问请求。
7.可选地，所述基于所述访问记录确定所述访问请求超过所述固定拦截阈值，包括：获取所述固定拦截阈值对应的第一时间段；基于所述访问记录，统计所述目标客户端在所述第一时间段内请求访问的第一频次，在所述第一频次超过所述固定拦截阈值的情况下，确定所述目标客户端的本次访问请求超过所述固定拦截阈值。
8.可选地，获取与所述目标客户端对应的动态拦截阈值之前，还包括：基于预定规则和所述目标客户端对应的访问记录，分析所述目标客户端的异常等级；为所述目标客户端分配与所述异常等级对应的所述动态拦截阈值。
9.可选地，所述基于预定规则和所述目标客户端对应的访问记录，分析所述目标客户端的异常等级，包括：获取所述动态拦截阈值对应的第二时间段；基于所述访问记录和所述固定拦截阈值，确定所述目标客户端在所述第二时间段内超过所述固定拦截阈值的时间段比例；基于所述时间段比例，确定所述目标客户端的异常等级。
10.可选地，所述基于所述访问记录确定所述动态拦截阈值，包括：基于所述访问记录，统计所述目标客户端在所述第二时间段内请求访问的第二频次，在所述第二频次超过
所述动态拦截阈值的情况下，确定所述目标客户端的本次访问请求超过所述动态拦截阈值。
11.可选地，在所述拒绝所述访问请求之后，还包括：降低所述目标客户端对应的所述固定拦截阈值和所述动态拦截阈值。
12.根据本发明实施例的另一方面，还提供了一种访问限制装置，包括：接收模块，用于接收目标客户端发送的访问请求；获取模块，用于获取与所述目标客户端对应的固定拦截阈值和动态拦截阈值，其中，所述动态拦截阈值根据所述目标客户端对应的访问记录生成；拒绝模块，用于获取所述目标客户端对应的访问记录，在基于所述访问记录确定所述访问请求超过所述固定拦截阈值和所述动态拦截阈值的情况下，拒绝所述访问请求。
13.根据本发明实施例的又一方面，还提供了一种非易失性存储介质，所述非易失性存储介质包括存储的程序，其中，在所述程序运行时控制所述非易失性存储介质所在设备执行上述任意一项所述访问限制方法。
14.根据本发明实施例的再一方面，还提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行上述任意一项所述访问限制方法。
15.在本发明实施例中，通过接收目标客户端发送的访问请求；获取与所述目标客户端对应的固定拦截阈值和动态拦截阈值，其中，所述动态拦截阈值根据所述目标客户端对应的访问记录生成；获取所述目标客户端对应的访问记录，在基于所述访问记录确定所述访问请求超过所述固定拦截阈值和所述动态拦截阈值的情况下，拒绝所述访问请求，达到了智能拦截访问请求过于频繁的客户端的目的，从而实现了提高接口对超频访问进行拦截的智能程度的技术效果，进而解决了接口对超频访问进行拦截的智能程度低的技术问题。
附图说明
16.此处所说明的附图用来提供对本发明的进一步理解，构成本技术的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
17.图1示出了一种用于实现访问限制方法的计算机终端的硬件结构框图；
18.图2是根据本发明实施例提供的访问限制方法的流程示意图；
19.图3是根据本发明可选实施方式提供的服务端动态拦截的流程图；
20.图4是根据本发明实施例提供的访问限制装置的结构框图。
具体实施方式
21.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
22.需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆
盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
23.根据本发明实施例，提供了一种访问限制方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
24.本技术实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图1示出了一种用于实现访问限制方法的计算机终端的硬件结构框图。如图1所示，计算机终端10可以包括一个或多个(图中采用102a、102b，
……
，102n来示出)处理器(处理器可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置)、用于存储数据的存储器104。除此以外，还可以包括：显示器、输入/输出接口(i/o接口)、通用串行总线(usb)端口(可以作为bus总线的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算机终端10还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。
25.应当注意到的是上述一个或多个处理器和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外，数据处理电路可为单个独立的处理模块，或全部或部分的结合到计算机终端10中的其他元件中的任意一个内。如本技术实施例中所涉及到的，该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
26.存储器104可用于存储应用软件的软件程序以及模块，如本发明实施例中的访问限制方法对应的程序指令/数据存储装置，处理器通过运行存储在存储器104内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的应用程序的访问限制方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
27.显示器可以例如触摸屏式的液晶显示器(lcd)，该液晶显示器可使得用户能够与计算机终端10的用户界面进行交互。
28.图2是根据本发明实施例提供的访问限制方法的流程示意图，如图2所示，该方法包括如下步骤：
29.步骤s202，接收目标客户端发送的访问请求。可选地，接收目标客户端发送的访问请求的同时，还可以记录目标客户端的ip以及该次访问请求的时间戳。
30.步骤s204，获取与目标客户端对应的固定拦截阈值和动态拦截阈值，其中，动态拦截阈值根据目标客户端对应的访问记录生成。
31.本步骤中，固定拦截阈值可以为预先根据客户端类型确定的。例如，可以基于目标客户端的访问请求，首先获取目标客户端的客户端类型，然后确定该客户端类型对应的固定拦截阈值。动态拦截阈值则可以根据目标客户端的具体访问记录生成，通过分析目标客
户端在一定时间内的访问记录，得到该目标客户端的特征，然后生成符合该目标客户端特征的动态拦截阈值。
32.步骤s206，获取目标客户端对应的访问记录，在基于访问记录确定访问请求超过固定拦截阈值和动态拦截阈值的情况下，拒绝访问请求。本步骤中，当目标客户端的对接口的访问或者对服务端的访问同时超过了固定拦截阈值和动态拦截阈值的情况下，该目标客户端可能存在攻击行为，或者该目标客户端占用了太多资源，故拒绝其本次访问请求，对其实施限频。
33.通过上述步骤，通过接收目标客户端发送的访问请求；获取与目标客户端对应的固定拦截阈值和动态拦截阈值，其中，动态拦截阈值根据目标客户端对应的访问记录生成；获取目标客户端对应的访问记录，在基于访问记录确定访问请求超过固定拦截阈值和动态拦截阈值的情况下，拒绝访问请求，达到了智能拦截访问请求过于频繁的客户端的目的，从而实现了提高接口对超频访问进行拦截的智能程度的技术效果，进而解决了接口对超频访问进行拦截的智能程度低的技术问题。
34.作为一种可选的实施例，在基于访问记录确定访问请求超过固定拦截阈值，但是访问请求未超过动态拦截阈值的情况下，放行访问请求。本实施例中，可以允许超过固定拦截阈值但是没有超过动态拦截阈值的目标客户端调用接口或者对服务端进行访问。通过分析本实施例中的目标客户端，确定动态拦截阈值且该动态拦截阈值大于固定拦截阈值，说明该目标客户端更受服务端信任，或者该目标客户端有资格获取更多的接口调用资源。因此，当通过分析目标客户端的访问记录并为其分配了一个大于固定拦截阈值的动态拦截阈值，且目标客户端的访问频次落在两个阈值之间时，可以允许该目标客户端调用服务端的服务，提高限频限流行为的灵活性。
35.作为一种可选的实施例，可以基于如下步骤确定访问请求是否超过了固定拦截阈值：获取固定拦截阈值对应的第一时间段；基于访问记录，统计目标客户端在第一时间段内请求访问的第一频次，在第一频次超过固定拦截阈值的情况下，确定目标客户端的本次访问请求超过固定拦截阈值。
36.可选地，第一时间段可以基于固定拦截阈值对应的客户端类型预选确定，例如，对于个人客户类型的客户端将第一时间段设置为当前时刻之前的二十四小时。获取目标客户端在这二十四小时中的访问记录并统计目标客户端在这二十四小时中发出访问请求的第一频次，若第一频次超过了固定拦截阈值，则认为目标客户端的本次访问请求超过固定拦截阈值。
37.作为一种可选的实施例，获取与目标客户端对应的动态拦截阈值之前，还可以基于预定规则和目标客户端对应的访问记录，分析目标客户端的异常等级；为目标客户端分配与异常等级对应的动态拦截阈值。
38.本可选的实施例中，通过分析目标客户端的访问记录，可以确定该目标客户端是否可疑以及可疑程度。其中，预定规则可以是服务端自定义的规则，服务端根据其提供服务的类型以及客户端的常规行为制定出不同的客户端访问请求行为对应的异常等级。
39.作为一种可选的实施例，基于预定规则和目标客户端对应的访问记录，分析目标客户端的异常等级，可以采用如下方式：获取动态拦截阈值对应的第二时间段；基于访问记录和固定拦截阈值，确定目标客户端在第二时间段内超过固定拦截阈值的时间段比例；基
于时间段比例，确定目标客户端的异常等级。其中，第二时间段可以是预先设置的固定值，也可以是浮动值。服务端可以读取目标客户端在第二时间段内的访问记录，然后判断该目标客户端在第二时间段内的访问频次是否经常超过固定拦截阈值。由于固定拦截阈值对应目标客户端的客户端类型的常规阈值，因此若目标客户端的访问频繁程度经常性的超过同类型的其他客户端，则可以认为该目标客户端有可能是风险ip，可能在进行攻击行为或者其他非正常行为，需要进行特别注意，故将其异常等级设置较高，即认为其更有可能存在异常。
40.作为一种可选的实施例，基于访问记录确定动态拦截阈值，可以包括：基于访问记录，统计目标客户端在第二时间段内请求访问的第二频次，在第二频次超过动态拦截阈值的情况下，确定目标客户端的本次访问请求超过动态拦截阈值。
41.作为一种可选的实施例，在拒绝访问请求之后，还可以包括如下步骤：降低目标客户端对应的固定拦截阈值和动态拦截阈值。拒绝访问请求，意味着该目标客户端的风险等级较高，服务端可以进一步降低该目标客户端的固定拦截阈值和动态拦截阈值，实现对客户端的访问请求的动态限流。
42.图3是根据本发明可选实施方式提供的服务端动态拦截的流程图。如图3所示，该拦截方法可以包括如下步骤：
43.第一步：分配固定拦截阈值：对于请求调用接口的目标客户端进行报备，并根据该目标客户端的类型设置固定拦截阈值；
44.第二步：收集存储记录：实时收集目标客户端的访问记录，存储进缓存；
45.第三步：分析目标客户端访问记录：分析存储在缓存中的目标客户端的访问记录，可选地，可以分时间颗粒度对客户端每秒、每分、每小时、每天的接口访问增量或减量进行分析；
46.第四步：动态调整动态拦截阈值：为目标客户端分配动态拦截阈值之后，还可以根据目标客户端最近时间段内的访问记录进行分析，进而根据分析结果动态调整动态拦截阈值；
47.第五步：超频拦截：实时对超过固定拦截阈值和动态拦截阈值的访问请求进行拦截；
48.第六步：被拦截请求分析：分析目标客户端的访问记录，判断该客户端是否是短时间内的大量请求，若是则很有可能是攻击行为，降低其对应的固定拦截阈值和动态拦截阈值。
49.根据本发明实施例，还提供了一种用于实施上述访问限制方法的访问限制装置，图4是根据本发明实施例提供的访问限制装置的结构框图，如图4所示，该访问限制装置包括：接收模块42，获取模块44和拒绝模块46，下面对该访问限制装置进行说明。
50.接收模块42，用于接收目标客户端发送的访问请求；
51.获取模块44，用于获取与目标客户端对应的固定拦截阈值和动态拦截阈值，其中，动态拦截阈值根据目标客户端对应的访问记录生成；
52.拒绝模块46，用于获取目标客户端对应的访问记录，在基于访问记录确定访问请求超过固定拦截阈值和动态拦截阈值的情况下，拒绝访问请求。
53.此处需要说明的是，上述接收模块42，获取模块44和拒绝模块46对应于实施例中
的步骤s202至步骤s206，三个模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例提供的计算机终端10中。
54.本发明的实施例可以提供一种计算机设备，可选地，在本实施例中，上述计算机设备可以位于计算机网络的多个网络设备中的至少一个网络设备。该计算机设备包括存储器和处理器。
55.其中，存储器可用于存储软件程序以及模块，如本发明实施例中的访问限制方法和装置对应的程序指令/模块，处理器通过运行存储在存储器内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的访问限制方法。存储器可包括高速随机存储器，还可以包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器可进一步包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
56.处理器可以通过传输装置调用存储器存储的信息及应用程序，以执行下述步骤：接收目标客户端发送的访问请求；获取与目标客户端对应的固定拦截阈值和动态拦截阈值，其中，动态拦截阈值根据目标客户端对应的访问记录生成；获取目标客户端对应的访问记录，在基于访问记录确定访问请求超过固定拦截阈值和动态拦截阈值的情况下，拒绝访问请求。
57.本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成，该程序可以存储于一非易失性存储介质中，存储介质可以包括：闪存盘、只读存储器(read-only memory，rom)、随机存取器(random access memory，ram)、磁盘或光盘等。
58.本发明的实施例还提供了一种非易失性存储介质。可选地，在本实施例中，上述非易失性存储介质可以用于保存上述实施例1所提供的访问限制方法所执行的程序代码。
59.可选地，在本实施例中，上述非易失性存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中，或者位于移动终端群中的任意一个移动终端中。
60.可选地，在本实施例中，非易失性存储介质被设置为存储用于执行以下步骤的程序代码：接收目标客户端发送的访问请求；获取与目标客户端对应的固定拦截阈值和动态拦截阈值，其中，动态拦截阈值根据目标客户端对应的访问记录生成；获取目标客户端对应的访问记录，在基于访问记录确定访问请求超过固定拦截阈值和动态拦截阈值的情况下，拒绝访问请求。
61.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
62.在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
63.在本技术所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，
可以是电性或其它的形式。
64.作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
65.另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
66.集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个非易失性取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
67.以上仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。