異常請求的識別方法、系統、網絡安全設備及伺服器與流程
2023-10-06 15:38:59 2
本發明涉及計算機通訊及網絡安全領域,特別是涉及一種異常請求的識別方法、系統、網絡安全設備及伺服器。
版權申明
本專利文件披露的內容包含受版權保護的材料。該版權為版權所有人所有。版權所有人不反對任何人複製專利與商標局的官方記錄和檔案中所存在的該專利文件或者該專利披露。
背景技術:
網際網路使用越來越普及,網絡攻擊也越來越多,在攻擊之前攻擊者一般會利用掃描器對網站進行安全掃描,掃描分成兩部分,第一部分是爬蟲對網站url(統一資源定位符)的收集,第二部分是對收集到的url漏洞掃描。現有技術中對於掃描器的防護是基於訪問速率與防護規則是否完善,當掃描器速率降到與正常用戶差不多或安全規則不夠完善的時候,就很難發現了。
技術實現要素:
為了解決上述的以及其他潛在的技術問題,本發明的實施例提供了一種異常請求的識別方法,所述異常請求的識別方法包括:在伺服器響應客戶端發出的請求消息之前,獲取所述請求消息;判斷獲取的所述請求消息中是否包含指定的特徵信息,若是,則判斷所述請求消息為正常,若否,則判斷所述請求消息為異常。
於本發明的一實施例中,所述判斷獲取的所述請求消息中是否包含指定的特徵信息具體包括:解析所述請求消息中的報文頭;判斷所述報文頭中是否包含所述指定的特徵信息。
於本發明的一實施例中,所述指定的特徵信息為http定義的通用欄位。
於本發明的一實施例中,所述通用欄位為表明所述客戶端支持的編碼類型的欄位。
於本發明的一實施例中,所述指定的特徵信息為http定義的擴展欄位。
於本發明的一實施例中,在所述請求消息為正常時,由所述伺服器響應所述請求消息;在所述請求消息為異常時,刪除或忽略所述請求消息使得所述伺服器不響應所述請求消息中的請求。
本發明的實施例提供了一種異常請求的識別系統,所述異常請求的識別系統包括:獲取模塊,用於在伺服器響應客戶端發出的請求消息之前,獲取所述請求消息;處理模塊,用於判斷獲取的所述請求消息中是否包含指定的特徵信息,若是,則判斷所述請求消息為正常,若否,則判斷所述請求消息為異常。
於本發明的一實施例中,所述處理模塊判斷獲取的所述請求消息中是否包含指定的特徵信息具體包括:解析所述請求消息中的報文頭,判斷所述報文頭中是否包含所述指定的特徵信息。
於本發明的一實施例中,所述指定的特徵信息為http定義的通用欄位。
於本發明的一實施例中,所述通用欄位為表明所述客戶端支持的編碼類型的欄位。
於本發明的一實施例中,所述指定的特徵信息為http定義的擴展欄位。
於本發明的一實施例中,在所述請求消息為正常時,由所述伺服器響應所述請求消息;在所述請求消息為異常時,所述處理模塊還用於刪除或忽略所述請求消息使得所述伺服器不響應所述請求消息中的請求。
本發明的實施例提供了一種伺服器,所述伺服器包括如上所述的異常請求的識別系統。
本發明的實施例提供了一種網絡安全設備,連接於客戶端和伺服器之間,所述網絡安全設備包括如上所述的異常請求的識別系統。
於本發明的一實施例中,所述網絡安全設備為網關。
如上所述,本發明的異常請求的識別方法、系統、網絡安全設備及伺服器具有以下有益效果:
本發明實施例在伺服器響應客戶端發出的請求消息之前,通過判斷獲取的所述請求消息中是否包含指定的特徵信息,可判斷所述請求消息是否為正常,大幅度提高異常請求的識別率。
附圖說明
為了更清楚地說明本發明實施例中的技術方案,下面將對實施例描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明的一些實施例,對於本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。
圖1顯示為本發明的異常請求的識別方法的流程示意圖。
圖2顯示為本發明的異常請求的識別系統的原理框圖。
圖3顯示為本發明的異常請求的識別系統的應用示意圖。
圖4顯示為本發明的網絡安全設備或伺服器中電路控制板的結構示意圖。
元件標號說明
100異常請求的識別系統
101獲取模塊
102處理模塊
200電路控制板
201存儲器
202處理器
203外設接口
1伺服器
2電腦
3手機
4網絡安全設備
s101~s104步驟
具體實施方式
以下通過特定的具體實例說明本發明的實施方式,本領域技術人員可由本說明書所揭露的內容輕易地了解本發明的其他優點與功效。本發明還可以通過另外不同的具體實施方式加以實施或應用,本說明書中的各項細節也可以基於不同觀點與應用,在沒有背離本發明的精神下進行各種修飾或改變。需說明的是,在不衝突的情況下,以下實施例及實施例中的特徵可以相互組合。
請參閱圖1至圖4。須知,本說明書所附圖式所繪示的結構、比例、大小等,均僅用以配合說明書所揭示的內容,以供熟悉此技術的人士了解與閱讀,並非用以限定本發明可實施的限定條件,故不具技術上的實質意義,任何結構的修飾、比例關係的改變或大小的調整,在不影響本發明所能產生的功效及所能達成的目的下,均應仍落在本發明所揭示的技術內容得能涵蓋的範圍內。同時,本說明書中所引用的如「上」、「下」、「左」、「右」、「中間」及「一」等的用語,亦僅為便於敘述的明了,而非用以限定本發明可實施的範圍,其相對關係的改變或調整,在無實質變更技術內容下,當亦視為本發明可實施的範疇。
本實施例的目的在於提供一種異常請求的識別方法、系統、網絡安全設備及伺服器,用於解決現有技術中難以檢測到網絡攻擊的問題。以下將詳細闡述本發明的異常請求的識別方法、系統、網絡安全設備及伺服器的原理及實施方式,使本領域技術人員不需要創造性勞動即可理解本發明的異常請求的識別方法、系統、網絡安全設備及伺服器。
本實施例所提供的異常請求的識別方法、系統、網絡安全設備及伺服器應用於客戶端經瀏覽器、爬蟲等客戶端向伺服器請求訪問網站的過程中。通常,由http客戶端發起一個請求消息,建立一個到伺服器指定埠(默認是80埠)的tcp連接。http伺服器則在那個埠監聽客戶端發送過來的請求消息。一旦收到請求消息,伺服器(向客戶端)發回一個狀態行,比如"http/1.1200ok",和(響應的)消息,消息的消息體可能是請求的文件、錯誤消息、或者其它一些信息。http是一個客戶端和伺服器端請求和應答的標準(tcp)。客戶端是終端用戶,伺服器端是網站。通過使用web瀏覽器、網絡爬蟲或者其它的工具,客戶端發起一個到伺服器上指定埠(默認埠為80)的http請求,應答的伺服器上存儲著(一些)資源,比如html文件和圖像。在客戶端和伺服器中間可能存在多個中間層,比如代理,網關,或者隧道(tunnels)。本實施例所提供的異常請求的識別方法、系統、網絡安全設備及伺服器可以識別是否是正常的瀏覽器、爬蟲等客戶端發出的請求消息,有效識別來自非正常的瀏覽器、爬蟲等客戶端的那些第三方工具(例如掃描器)向伺服器發送的請求消息。
具體地,如圖1所示,本發明的實施例提供了一種異常請求的識別方法,所述異常請求的識別方法包括以下步驟:
步驟s101,在伺服器響應客戶端發出的請求消息之前,獲取所述請求消息。
步驟s102,判斷獲取的所述請求消息中是否包含指定的特徵信息,若是,則執行步驟s103,判斷所述請求消息為正常,若否,則執行步驟s104,判斷所述請求消息為異常。
於本實施例中,在伺服器響應瀏覽器發出的請求消息之前,獲取所述請求消息。用戶通過手機或電腦中的瀏覽器輸入所要訪問的網址或點擊網頁自動於瀏覽器的地址欄生成所要訪問的網址。瀏覽器在對接收的網址進行處理以生成對應請求消息,將所述請求消息發送至對應伺服器,由伺服器響應所述請求消息。目前的瀏覽器在對接收的網址進行處理以生成對應請求消息時,會根據http(hypertexttransferprotocol,超文本傳輸協議)協議的格式要求,設置對應的欄位以使生成的包含請求消息的http報文符合http協議。
http消息由客戶端到伺服器的請求消息和伺服器到客戶端的響應消息組成。請求消息和響應消息都是由開始行(對於請求消息,開始行就是請求行,對於響應消息,開始行就是狀態行),消息報文頭(可選),空行(只有crlf的行),消息正文(可選)組成。http消息報文頭包括普通報文頭、請求報文頭、響應報文頭、實體報文頭。每一個報文頭域都是由名字+「:」+空格+值組成,消息報文頭域的名字是大小寫無關的。
於本實施例中,所述判斷獲取的所述請求消息中是否包含指定的特徵信息具體包括:解析所述請求消息中的報文頭;判斷所述報文頭中是否包含所述指定的特徵信息。具體地,於本實施例中,解析所述請求消息中的報文頭是指解析所述請求消息中的請求報文頭。請求報頭允許客戶端向伺服器端傳遞請求的附加信息以及客戶端自身的信息。其中,所述請求報頭定義有一些通用欄位供客戶端使用,也可以允許擴展自定義的欄位。所述通用欄位例如:accept:image/gif,表明客戶端希望接受gif圖象格式的資源;accept:text/html,表明客戶端希望接受html文本。accept-encoding請求報頭域,用於指定可接受的編碼類型。例如:accept-encoding:gzip.deflate.如果請求消息中沒有設置這個域伺服器假定客戶端對各種內容編碼都可以接受。accept-language請求報頭域類似於accept,但是它是用於指定一種自然語言。例如:accept-language:zh-cn.如果請求消息中沒有設置這個報頭域,伺服器假定客戶端對各種語言都可以接受。
於本實施例中,所述指定的特徵信息可以為http定義的通用欄位,也可以為所述指定的特徵信息為http定義的擴展欄位。
目前的瀏覽器在對接收的網址進行處理以生成對應請求消息時,會根據http(hypertexttransferprotocol,超文本傳輸協議)協議的格式要求默認添加accept-encoding欄位,由於accept-encoding是一個編碼類型欄位,通常是告訴伺服器客戶端支持壓縮編碼模式,而相反,為了快速獲取消息及節省解壓縮的時間,多數對網站進行攻擊的第三方工具(掃描器)通常不會在請求消息中添加accept-encoding欄位,所以本實施例中,進一步地,所述通用欄位優選為表明所述客戶端支持的編碼類型的欄位:accept-encoding欄位。
即於本實施例中,解析所述請求消息的報文頭後,檢測所述報文頭中是否包含accept-encoding欄位,若是,則執行步驟s103,判斷所述請求消息為正常,判斷為瀏覽器發出的消息請求,若否,則執行步驟s104,判斷所述請求消息為異常,所屬請求消息可能是由攻擊網絡的第三方工具(例如掃描器)發出的消息請求。
本實施例中,在識別所述請求消息為正常時,由所述伺服器正常響應所述請求消息,在識別所述請求消息為異常時,可由預先設置的處理策略處理所述請求消息,具體地,例如在識別所述請求消息為異常時,刪除或忽略所述請求消息使得所述伺服器不響應所述請求消息中的請求。
為實現上述異常請求的識別方法,本實施例還對應提供了一種異常請求的識別系統100,如圖2所示,所述異常請求的識別系統100包括:獲取模塊101和處理模塊102。
於本實施例中,所述獲取模塊101用於在伺服器響應客戶端發出的請求消息之前,獲取所述請求消息。用戶通過手機或電腦中的瀏覽器輸入所要訪問的網址或點擊網頁自動於瀏覽器的地址欄生成所要訪問的網址。瀏覽器在對接收的網址進行處理以生成對應請求消息,將所述請求消息發送至對應伺服器,由伺服器響應所述請求消息。在所述請求消息發送至對應伺服器之前,所述獲取模塊101獲取所述請求消息。
目前的瀏覽器在對接收的網址進行處理以生成對應請求消息時,會根據http(hypertexttransferprotocol,超文本傳輸協議)協議的格式要求,設置對應的欄位以使生成的包含請求消息的http報文符合http協議。
http消息由客戶端到伺服器的請求消息和伺服器到客戶端的響應消息組成。請求消息和響應消息都是由開始行(對於請求消息,開始行就是請求行,對於響應消息,開始行就是狀態行),消息報文頭(可選),空行(只有crlf的行),消息正文(可選)組成。http消息報文頭包括普通報文頭、請求報文頭、響應報文頭、實體報文頭。每一個報文頭域都是由名字+「:」+空格+值組成,消息報文頭域的名字是大小寫無關的。
所述處理模塊102用於判斷獲取的所述請求消息中是否包含指定的特徵信息,若是,則判斷所述請求消息為正常,若否,則判斷所述請求消息為異常。
於本實施例中,所述處理模塊102判斷獲取的所述請求消息中是否包含指定的特徵信息具體包括:解析所述請求消息中的報文頭;判斷所述報文頭中是否包含所述指定的特徵信息。
具體地,於本實施例中,解析所述請求消息中的報文頭是指解析所述請求消息中的請求報文頭。請求報頭允許客戶端向伺服器端傳遞請求的附加信息以及客戶端自身的信息。其中,所述請求報頭定義有一些通用欄位供客戶端使用,也可以允許擴展自定義的欄位。所述通用欄位例如:accept:image/gif,表明客戶端希望接受gif圖象格式的資源;accept:text/html,表明客戶端希望接受html文本。accept-encoding請求報頭域,用於指定可接受的編碼類型。例如:accept-encoding:gzip.deflate.如果請求消息中沒有設置這個域伺服器假定客戶端對各種內容編碼都可以接受。accept-language請求報頭域類似於accept,但是它是用於指定一種自然語言。例如:accept-language:zh-cn.如果請求消息中沒有設置這個報頭域,伺服器假定客戶端對各種語言都可以接受。
於本實施例中,所述指定的特徵信息可以為http定義的通用欄位,也可以為所述指定的特徵信息為http定義的擴展欄位。
目前的瀏覽器在對接收的網址進行處理以生成對應請求消息時,會根據http(hypertexttransferprotocol,超文本傳輸協議)協議的格式要求默認添加accept-encoding欄位,由於accept-encoding是一個編碼類型欄位,通常是告訴伺服器客戶端支持壓縮編碼模式,而相反,為了快速獲取消息及節省解壓縮的時間,多數對網站進行攻擊的第三方工具(掃描器)通常不會在請求消息中添加accept-encoding欄位,所以本實施例中,進一步地,所述通用欄位優選為表明所述客戶端支持的編碼類型的欄位:accept-encoding欄位。
即於本實施例中,所述處理模塊102解析所述請求消息的報文頭後,檢測所述報文頭中是否包含accept-encoding欄位,若是,則判斷所述請求消息為正常,判斷為瀏覽器發出的消息請求,若否,則判斷所述請求消息為異常,判斷所述請求消息可能是由攻擊網絡的第三方工具(例如掃描器)發出的消息請求。
於本實施例中,在所述請求消息為正常時,由所述伺服器響應所述請求消息;可由預先設置的處理策略處理所述請求消息,具體地,例如在所述請求消息為異常時,所述處理模塊102還用於刪除或忽略所述請求消息使得所述伺服器不響應所述請求消息。
如圖3所示,本實施例提供一種伺服器1,所述伺服器1包括如上所述的異常請求的識別系統100。在伺服器1對用戶通過電腦2或手機3中的瀏覽器客戶端發出的請求消息進行處理時,由所述異常請求的識別系統100先對所述請求消息進行分析判斷,分析判斷之後再由所述伺服器1進行處理。
如圖3所示,本發明的另一實施例提供了一種網絡安全設備4,連接於客戶端和伺服器1之間,所述網絡安全設備4包括如上所述的異常請求的識別系統100。在用戶通過電腦2或手機3中的瀏覽器客戶端發出的請求消息到達伺服器1之前,由所述網絡安全設備4中的異常請求的識別系統100對所述請求消息進行分析判斷,分析判斷之後再確定是否將所述請求消息發送至所述伺服器1進行處理。於本實施例中,所述網絡安全設備4為網關。
相對應地,如圖4所示,本發明於一實施例中提供一種電路控制板200,所述電路控制板200可用於圖3中的伺服器1或網絡安全設備4中,所述電路控制板200運行如上所述的異常請求的識別系統100。如圖4所示,所述電路控制板200包括存儲器201,處理器202(cpu)和外設接口203。所述處理器202為包括中央處理器、微處理器、數位訊號處理器以及其他處理晶片的任一一種或幾種;所述存儲器201可包括高速隨機存取存儲器,並且還可包括非易失性存儲器,例如一個或多個磁碟存儲設備、快閃記憶體設備或其他非易失性固態存儲設備。
所述存儲器201,所述處理器202(cpu)和所述外設接口203通過一條或多條通信總線或信號線進行通信。外設接口203將電路控制板200的輸入和輸出外設耦接到處理器202和存儲器201。所述處理器202運行各種存儲在存儲器201中的軟體程序和/或指令集,以便執行圖2中獲取模塊101和處理模塊102的各種功能,並對數據進行處理,即所述異常請求的識別系統100存儲於所述存儲器,並由所述處理器運行。在某些實施例中,外設接口203、處理器202(cpu)以及存儲器201可以在單個晶片上實現。而在某些其他實施例中,它們可能在多個分立晶片上實現。
具體地,所述處理器202在伺服器1響應客戶端發出的請求消息之前,獲取所述請求消息,判斷獲取的所述請求消息中是否包含指定的特徵信息,若是,則判斷所述請求消息為正常,若否,則判斷所述請求消息為異常。
於本實施例中,所述處理器202判斷獲取的所述請求消息中是否包含指定的特徵信息具體包括:解析所述請求消息中的報文頭;判斷所述報文頭中是否包含所述指定的特徵信息。其中,所述指定的特徵信息可以為http定義的通用欄位,也可以為所述指定的特徵信息為http定義的擴展欄位。
目前的瀏覽器在對接收的網址進行處理以生成對應請求消息時,會根據http(hypertexttransferprotocol,超文本傳輸協議)協議的格式要求默認添加accept-encoding欄位,由於accept-encoding是一個編碼類型欄位,通常是告訴伺服器客戶端支持壓縮編碼模式,而相反,為了快速獲取消息及節省解壓縮的時間,多數對網站進行攻擊的第三方工具(掃描器)通常不會在請求消息中添加accept-encoding欄位,所以本實施例中,進一步地,所述通用欄位優選為表明所述客戶端支持的編碼類型的欄位:accept-encoding欄位。
所述存儲器201用於存儲機器可讀程序指令,當所述機器可讀程序指令運行時,執行:
在伺服器1響應客戶端發出的請求消息之前,獲取所述請求消息,判斷獲取的所述請求消息中是否包含指定的特徵信息,若是,則判斷所述請求消息為正常,若否,則判斷所述請求消息為異常。
於本實施例中,判斷獲取的所述請求消息中是否包含指定的特徵信息具體包括:解析所述請求消息中的報文頭;判斷所述報文頭中是否包含所述指定的特徵信息。其中,所述指定的特徵信息可以為http定義的通用欄位,也可以為所述指定的特徵信息為http定義的擴展欄位。
目前的瀏覽器在對接收的網址進行處理以生成對應請求消息時,會根據http(hypertexttransferprotocol,超文本傳輸協議)協議的格式要求默認添加accept-encoding欄位,由於accept-encoding是一個編碼類型欄位,通常是告訴伺服器1客戶端支持壓縮編碼模式,而相反,為了快速獲取消息及節省解壓縮的時間,多數對網站進行攻擊的第三方工具(掃描器)通常不會在請求消息中添加accept-encoding欄位,所以本實施例中,進一步地,所述通用欄位優選為表明所述客戶端支持的編碼類型的欄位:accept-encoding欄位。
綜上所述,本發明實施例在伺服器響應客戶端發出的請求消息之前,通過判斷獲取的所述請求消息中是否包含指定的特徵信息,可判斷所述請求消息是否為正常,大幅度提高異常請求的識別率。所以,本發明有效克服了現有技術中的種種缺點而具高度產業利用價值。
上述實施例僅例示性說明本發明的原理及其功效,而非用於限制本發明。任何熟悉此技術的人士皆可在不違背本發明的精神及範疇下,對上述實施例進行修飾或改變。因此,舉凡所屬技術領域中包括通常知識者在未脫離本發明所揭示的精神與技術思想下所完成的一切等效修飾或改變,仍應由本發明的權利要求所涵蓋。