法进一步包括:当确定存在恶意访问登录/注册接口的行为后,通过预设渠道向指定平台的运维人员发送报警信息。
[0045]虽然可以通过编写脚本,实现对登录/注册接口的监测以及后续操作,但有时需要人工判断恶意访问登录/注册接口的行为的严重程度,以及是否会出现现有策略无法应对恶意访问的情况,因此需要通过预设渠道,如短信、电话、邮件等不同方式向指定平台的运维人员发送报警信息。
[0046]图2示出了根据本发明一个实施例的一种防止恶意访问指定平台的登录/注册接口的行为的装置的结构示意图,如图2所示,防止恶意访问指定平台的登录/注册接口的行为的装置200包括:
[0047]监测单元210,适于监测指定平台的登录/注册接口上的登录/注册操作,通过统计分析监测结果判断是否存在恶意访问所述登录/注册接口的行为;是则,通过分析所述指定平台的日志,定位所述恶意访问所述登录/注册接口的行为的源IP地址。
[0048]以直播平台为例,平台往往会为新注册用户提供一定的积分等奖励,用户在使用平台观看主播直播时,可以利用积分支持主播,以及利用积分参加抽奖、平台特权获取等活动。而用户仅可以通过日常任务等方式获取少量积分,如需大量获取积分需要进行充值等操作。因此,出现了黑客采用注册大量账号的方式,利用注册时获得的免费积分恶意为某主播刷积分,形成该主播具有高人气的假象。有些平台还提供了将积分重新兑换为货币的方式,因此这样刷人气的主播还可以获得大量金钱。需要实现这样的目的,黑客往往需要编写恶意脚本等方式,通过一个或几个IP地址访问平台的登录/注册接口,进行批量的注册和登录,可能出现同一 IP同时登录1000个账号的情况,这显然是异常状况,可以通过监测指定平台的登录/注册接口获取到。此外,还有多种恶意访问登录/注册接口的行为,需要对检测结果进行统计和分析进行判断。在平台日志中会记载用户在何时何地对登录/注册接口进行访问,即可以定位恶意访问登录/注册接口的行为的源IP地址和访问时间,可以通过分析日志中的相应字段进行判断。
[0049]防止恶意访问处理单元220,适于对源IP地址进行限制操作。
[0050]可见,通过图2所示的装置,可以对指定平台的登录/注册接口上的登录/注册操作进行监测,通过对监测结果进行统计分析,判断是否存在恶意访问所述登录/注册接口的行为,如果发现了恶意访问所述登录/注册接口的行为,进一步分析所述指定平台的日志,定位所述恶意访问所述登录/注册接口的行为的源IP地址,对其进行限制操作。该技术方案对恶意访问平台的登录/注册接口的行为提供了有效的解决措施,通过对恶意访问登录/注册接口行为的源IP地址的限制操作,使得恶意攻击方不能通过源IP地址继续对平台登录/注册接口进行恶意访问,从而从源头遏制了恶意访问的发生。
[0051]在本发明的一个实施例中,图2所示的装置中,监测单元210,适于当当前预设周期内指定平台的登录/注册接口上的登录/注册次数与前一个预设周期内指定平台的登录/注册接口上的登录/注册次数之间的差异超过预设范围时,确定存在恶意访问所述登录/注册接口的行为;或者,当当前预设周期内指定平台的登录/注册接口上的登录/注册次数与前一段时间内指定平台的登录/注册接口上的登录/注册次数在预设周期内的平均值之间的差异超过预设范围时,确定存在恶意访问所述登录/注册接口的行为。
[0052]例如,将预设周期设为1分钟,预设范围设置为100次。在前1分钟内检测到有100次注册次数,已经被判断为正常注册;在现在这1分钟检测到了 500次注册次数,与前一分钟的注册次数差异已经达到了 400次,远远地超过了预设范围,因此确定存在恶意访问登录/注册接口的行为。又例如,同样将预设周期设为1分钟,预设范围设置为100次的情况下,并不单单对比这1分钟与前1分钟注册次数的差异,而是考察在前一段时间,如5分钟内检测到的注册次数在1分钟内的平均值,即如果这5分钟内共有650次注册,则平均每分钟有130次注册;在现在这1分钟检测到了 500次注册次数,与前5分钟在每分钟平均的注册次数差异已经达到了 370次,依然远远地超过了预设范围,因此确定存在恶意访问登录/注册接口的行为。在具体实施中,可以采取人工方式对日志进行分析,调整确定存在恶意访问登录/注册接口的行为的策略。
[0053]在本发明的又一个实施例中,还给出了另一种通过统计分析监测结果判断是否存在恶意方位登录/注册接口的行为,此时,图2所示的装置中,监测单元210,适于当当前预设周期内指定平台的登录/注册接口上连续出现登录/注册失败的次数超过预设阈值时,确定存在恶意访问所述登录/注册接口的行为。
[0054]例如,黑客对指定平台的登录/注册接口发起访问时,并不按照指定平台设定的登录/注册规则进行操作,目的在于攻击服务器使其瘫痪。因此,可以通过采取对预设周期内登录/注册失败的次数预设阈值的方式,例如设置5分钟内出现了 20次登录/注册失败的次数,即确定存在恶意访问登录/注册接口的行为。
[0055]在本发明的一个实施例中,图2所示的装置中,监测单元210,适于分析指定平台的日志,统计当前预设周期内各IP地址在指定平台的登录/注册接口上的登录/注册次数,确定对应最多登录/注册次数的IP地址为恶意访问所述登录/注册接口的行为的源IP地址。
[0056]例如,分析指定平台的日志,对统计当前预设周期内各IP地址在指定平台的登录/注册接口上的登录/注册次数进行排序,重点查看排序在前几位的IP地址进行了多少次登录/注册,一般而言,如果已经确定存在恶意访问登录/注册接口的行为,即可确定最多登录/注册次数的IP地址为恶意访问登录/注册接口的行为的源IP地址。但有些时候,黑客会采用多个IP地址进行恶意访问,此时排序在前几位的IP地址可能都是黑客进行恶意访问的IP地址,因此可以根据实际情况加以调整。
[0057]在本发明的一个实施例中,图2所示的装置中,防止恶意访问处理单元220,预设登录/注册次数上限,如果所述源IP地址对应的客户端在预设周期内在指定平台的登录/注册接口上的登录/注册次数超过预设登录/注册次数上限,禁止后续所述源IP地址对应的客户端在指定平台的登录/注册接口上的登录/注册操作。
[0058]例如,设置在5分钟内,源IP地址对应的客户端在指定平台的登录/注册接口上的登录/注册次数超过10次后,源IP地址对应的客户端在指定平台的登录/注册接口上进行后续的登录/注册操作将被禁止。
[0059]在本发明的又一个实施例中,防止恶意访问处理单元220,适于响应于所述源IP地址对应的客户端在指定平台的登录/注册接口上的登录/注册操作,向所述客户端提供验证码,使其通过输入验证码完成登录/注册操作。这是考虑到对于网吧、学校等场所,往往具有一个总处IP作为一个出口 IP,此时可能出现多个用户正当地在指定平台的登录/注册接口上进行登录/注册操作,此时为了避免误处理,可以向客户端提供验证码,使其通过输入验证码完成登录/注册操作。具体地,可以将验证码设置为包含逻辑的图片,如图片中显示1+2 =?,此时需要用户输入3,避免了黑客采用OCR (Optical CharacterRecognit1n,光学字符识别)技术识别图片中包含的字符,使得对源IP地址进行限制操作不成功。
[0060]此外,还可以采取将上述两种方式进行适当地结合,此时图2所示的装置中,防止恶意访问处理单元220,适于预设登录/注册次数上限,如果所述源IP地址对应的客户端在预设周期内在指定平台的登录/注册接口上的登录/注册次数超过预设登录/注册次数上限,响应于后续所述源IP地址对应的客户端在指定平台的登录/注册接口上的登录/注册操作,向所述客户端提供验证码,使其通过输入验证码完成登录/注册操作。在具体实施中,也可以根据出现的新状况进行进一步的调整。上述方式可以采取人工方式,对源IP地址进行限制操作,也可以编写自动运行的脚本来实现。
[0061]在本发明的一个实施例中,图2所示的装置进一步包括