專利名稱:一種分布式應(yīng)用中處理非正常請求的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于互聯(lián)網(wǎng)安全領(lǐng)域���,特別涉及一種分布式應(yīng)用中處理非正常請求 的方法及系統(tǒng)。
背景技術(shù):
隨著互聯(lián)網(wǎng)的快速發(fā)展����,大型的綜合性門戶網(wǎng)站,面臨著越來越嚴(yán)重的安 全風(fēng)險����。尤其是來自外部系統(tǒng)的各式各樣的惡意攻擊��,其中包括一些無惡意的 大量高并發(fā)的請求���,如通過機(jī)器同時并行發(fā)起海量的請求,致使服務(wù)器瞬間需 要處理的服務(wù)請求數(shù)大增而耗盡服務(wù)器的資源���。使正常用戶的請求不能得到滿 足����,嚴(yán)重者致使服務(wù)器死機(jī)而使網(wǎng)站崩潰����。還有爬蟲程序,來源一般是各類搜 索引擎�����、各類商業(yè)竟?fàn)帉κ?���、商業(yè)數(shù)據(jù)分析網(wǎng)站等來爬取網(wǎng)站的資料。對方的 程序會發(fā)起大量的請求�。而使服務(wù)器因無法處理而死機(jī)。可見這些重復(fù)性的�����、 高并發(fā)的非用戶正常請求�,極易耗盡有效的服務(wù)器資源,而使正常的用戶請求 得不到有效響應(yīng)�����。
對于上述的惡意攻擊���,現(xiàn)有^^支術(shù)中采用分布式的應(yīng)用來應(yīng)對�����,分布式的應(yīng) 用就是通過眾多應(yīng)用服務(wù)器接收用戶請求,由于有數(shù)量眾多的服務(wù)器接受請 求�,這類請求會分散到各臺服務(wù)器上,但是在分布式應(yīng)用中可能無法對非正常 用戶請求進(jìn)行有效識別����。
發(fā)明內(nèi)容
為了解決現(xiàn)有技術(shù)中,在分布式應(yīng)用中�,可能無法對非正常用戶請求進(jìn)行 有效的識別的問題,本發(fā)明實施例提供了一種分布式應(yīng)用中處理非正常請求的
方法,包括各應(yīng)用服務(wù)器分別接收用戶終端發(fā)送的資源定位符URL資源訪問請求�;
各應(yīng)用服務(wù)器分別向防惡意攻擊服務(wù)器發(fā)送URL資源訪問請求的事件請 求信息,所述事件請求信息包括接收訪問請求的時間信息����,訪問請求所攜帶 的目標(biāo)URL和用戶終端的標(biāo)識信息;
防惡意攻擊服務(wù)器根據(jù)接收的事件請求信息�����,匯總具有同一標(biāo)識的用戶終 端單位時間內(nèi)訪問同一 URL資源的次數(shù)���;
防惡意攻擊服務(wù)器根據(jù)匯總的結(jié)果����,以及預(yù)定義的訪問規(guī)則���,識別非正常 的i方問^"求��。
同時本發(fā)明實施例還提供一種分布式應(yīng)用中處理非正常請求的系統(tǒng)����,包
括
多個應(yīng)用服務(wù)器用于接收用戶終端發(fā)送的資源定位符URL資源訪問請
求����,以及發(fā)送URL資源訪問請求的事件請求信息����,所述事件請求信息包括
接收訪問請求的時間信息���,訪問請求所攜帶的目標(biāo)URL和用戶終端的標(biāo)識信 自
防惡意攻擊服務(wù)器用于根據(jù)接收應(yīng)用服務(wù)器的事件請求信息����,匯總具有 同一標(biāo)識的用戶終端單位時間內(nèi)訪問同一URL資源的次數(shù)���;根據(jù)匯總的結(jié)果����, 以及該URL資源所對應(yīng)的預(yù)定義的訪問規(guī)則�����,識別非正常的訪問請求����。
由上述本發(fā)明提供的具體實施方案可以看出���,正是由于防惡意攻擊服務(wù)器 匯總具有同一標(biāo)識的用戶終端單位時間內(nèi)訪問同一 URL資源的次數(shù)��,因此可 以有效識別非正常的訪問請求����。
圖1為本發(fā)明提供的第一實施例方法流程圖; 圖2為本發(fā)明提供的第二實施例系統(tǒng)結(jié)構(gòu)圖�。
具體實施方式
本發(fā)明提供的第一實施例是一種分布式應(yīng)用中處理非正常請求的方法,方
法流程如圖1所示���,包括
步驟IOI: 4臺應(yīng)用服務(wù)器接收用戶終端發(fā)送的URL資源訪問請求����。
應(yīng)用服務(wù)器1接收標(biāo)識信息為IP地址192.168.0.1的用戶終端發(fā)送的對 URL1的訪問請求�,應(yīng)用服務(wù)器2接收標(biāo)識信息為IP地址192.168.0.1的用戶終端 發(fā)送的對URL2的訪問請求,應(yīng)用服務(wù)器3接收標(biāo)識信息為IP地址192.168.0.2的 用戶終端發(fā)送的對URL1的訪問請求��,應(yīng)用服務(wù)器4接收標(biāo)識信息為IP地址 192.168.0.1的用戶終端發(fā)送的對URL1的訪問請求���。本實施例中僅以4臺應(yīng)用服 務(wù)器作為示例說明����,但不限于4臺應(yīng)用服務(wù)器���,應(yīng)用中可根據(jù)實際情況采用少 于或多于4臺應(yīng)用服務(wù)器�����。來自同一用戶終端或不同用戶終端的訪問請求可被 隨機(jī)均勻的分配給各服務(wù)器����。
步驟102: 4臺應(yīng)用服務(wù)器分別提取訪問請求的事件請求信息。事件請求信 息包括接收訪問請求的時間信息����,以及訪問請求中攜帶的目標(biāo)URL、用戶終 端的IP地址��。用戶終端IP地址這里作為用戶終端的標(biāo)識信息���,用戶終端的標(biāo)識 信息還可以是用戶終端COOKIE數(shù)據(jù)或用戶終端MAC地址�����。
應(yīng)用服務(wù)器l提取4妄收時間tl���,其接收的訪問請求中攜帶的URL1、 IP地址 192.168.0.1,應(yīng)用服務(wù)器2�、 3、 4執(zhí)行類似操作���,在實際應(yīng)用中以上過程是不
對URL4的訪問請求�����,在時間t2應(yīng)用服務(wù)器2接收IP地址為192.168.0.4的用戶終 端發(fā)送的對URL3的訪問請求�����。
步驟103:各應(yīng)用服務(wù)器調(diào)用過濾器��,過濾器讀取應(yīng)用服務(wù)器的IP黑名單��, 分別檢查各事件請求信息攜帶的用戶終端的IP地址是否在黑名單中�,若是��,則 立即拒絕訪問請求�,結(jié)束。若否���,則執(zhí)行步驟104�����。
應(yīng)用服務(wù)器在數(shù)據(jù)庫過濾器讀取IP黑名單��,經(jīng)檢查發(fā)現(xiàn)��,IP地址192.168.0.2 在黑名單中���,拒絕IP地址192.168.0.2的用戶終端的訪問請求�����。IP地址192.168.0.1 不在黑名單中����,執(zhí)行步驟104�����。步驟104:過濾器分析剩余的事件請求信息攜帶的目標(biāo)URL,判斷是否處 于保護(hù)中�,若是則拒絕訪問請求,結(jié)束����。否則執(zhí)行步驟105。
才艮據(jù)業(yè)務(wù)應(yīng)用的實際情況需要對某個URL設(shè)置一定的訪問規(guī)則,比如在某 一時段該URL訪問次數(shù)已超出預(yù)定的標(biāo)準(zhǔn)����,或該URL只有具備一定權(quán)限的用戶 才能訪問,此時需i殳定該URL不允許一皮訪問��。
過濾器從應(yīng)用服務(wù)器l��、 2��、 4接收的訪問請求的事件請求信息中分別提取 目標(biāo)URL: URL1��、 URL2����,經(jīng)判斷URL2處于保護(hù)中即URL2不允許被訪問��,拒 絕對URL2的訪問請求��,這樣做的目的是實現(xiàn)多級過濾���,即不僅實現(xiàn)IP地址的 過濾�����,還實現(xiàn)對URL的過濾��,URL1未處于保護(hù)中���,執(zhí)行步驟105��。
步驟105:過濾器向防惡意攻擊服務(wù)器發(fā)送通過過濾器檢查的事件請求信 息����,請求防惡意攻擊服務(wù)器分析對應(yīng)的訪問請求是否存在異常��。
過濾器向防惡意攻擊服務(wù)器發(fā)送應(yīng)用服務(wù)器1 ���、 4接收的訪問請求的事件請 求信息�����。
步驟106:防惡意攻擊服務(wù)器根據(jù)接收的全部事件請求信息����,匯總單位時 間內(nèi)具有同 一標(biāo)識的用戶終端訪問同一URL資源的次數(shù)��。
防惡意攻擊服務(wù)器根據(jù)應(yīng)用服務(wù)器1 ���、 4接收的訪問請求的事件請求信息����, 匯總標(biāo)識信息為IP地址192.168.0.1的用戶終端在一分鐘內(nèi)對URL1的訪問次數(shù) 為100次。
步驟107:防惡意攻擊服務(wù)器根據(jù)匯總的結(jié)果�����,以及該URL資源所對應(yīng)的 預(yù)定義的訪問規(guī)則���,識別非正常的訪問請求。
防惡意攻擊服務(wù)器根據(jù)標(biāo)識信息為IP地址192.168.0.1的用戶終端在一分 鐘內(nèi)對URL1的訪問次數(shù)為100次這一匯總結(jié)果�����,以及預(yù)定義的URL1的訪問規(guī) 則(標(biāo)識信息為同一IP地址的用戶終端 一分鐘內(nèi)對URL 1的訪問次數(shù)不得大于 50次)���,認(rèn)定IP地址為192.168.0.1的用戶終端對URL1的訪問請求是導(dǎo)常�,該異 常的規(guī)則是鎖定IP192.168.0.1五分鐘�,將IP地址192.168.0. l發(fā)送回應(yīng)用服務(wù)器, 應(yīng)用服務(wù)器更新IP黑名單���,將IP地址192.168.0. 1加入IP黑名單����,在五分鐘之內(nèi)再有IP地址為192.168.0.1的用戶終端針對URL1的請求,則拒絕����。防惡意攻擊 服務(wù)器將預(yù)定處理規(guī)則通告所有應(yīng)用服務(wù)器,各應(yīng)用服務(wù)器可以根據(jù)預(yù)定處理 規(guī)則決定是全部拒絕IP地址192.168.0. l的訪問�����,還是拒絕IP地址192.168.0. l對 URL1的訪問��。當(dāng)然����,防惡意攻擊服務(wù)器根據(jù)匯總的結(jié)果,以及一個預(yù)定義的 統(tǒng)一的訪問規(guī)則�,識別非正常的訪問請求。
步驟108:對通過了過濾器的檢查而無異常的事件請求信息對應(yīng)的訪問請 求進(jìn)行業(yè)務(wù)處理�����。
應(yīng)用服務(wù)器1�����、4接收的訪問請求的事件請求信息通過了過濾器的檢查而無 異常,應(yīng)用服務(wù)器l�����、 4對接收的訪問請求進(jìn)行業(yè)務(wù)處理���。應(yīng)用服務(wù)器2���、 3接收 的訪問請求的事件請求信息沒有通過了過濾器的^r查,應(yīng)用服務(wù)器2��、 3則不會 對接收的訪問請求進(jìn)行業(yè)務(wù)處理�����。
其中步驟108對通過了過濾器的檢查而無異常的事件請求信息對應(yīng)的訪問 請求進(jìn)行業(yè)務(wù)處理�����,和步驟105-107防惡意攻擊服務(wù)器識別非正常的訪問請求 的相關(guān)步驟同步進(jìn)行�����,這樣即可以保證對本次訪問請求的實時業(yè)務(wù)處理�����,又能 保證若本次訪問請求為惡意攻擊�,則可在該IP地址的下次訪問請求時根據(jù)預(yù)定 處理規(guī)則進(jìn)行處理。
本發(fā)明提供的第二實施例是一種分布式應(yīng)用中處理非正常請求的系統(tǒng)���,其 結(jié)構(gòu)如圖2所示�,包括
多個應(yīng)用服務(wù)器202:用于接收用戶終端發(fā)送的資源定位符URL資源訪問
請求��,以及發(fā)送URL資源訪問請求的事件請求信息���,所述事件請求信息包括
接收訪問請求的時間信息��,訪問請求所攜帶的目標(biāo)URL和用戶終端的標(biāo)識信 白
防惡意攻擊服務(wù)器204:用于根據(jù)接收應(yīng)用服務(wù)器的事件請求信息��,匯總 具有同一標(biāo)識的用戶終端單位時間內(nèi)訪問同一 URL資源的次數(shù)�����;才艮據(jù)匯總的 結(jié)果���,以及該URL資源所對應(yīng)的預(yù)定義的訪問規(guī)則,識別非正常的訪問請求����。
進(jìn)一步�,該系統(tǒng)還包括過濾器206:用于讀取應(yīng)用服務(wù)器202的標(biāo)識信息黑名單����,若用戶終端的 標(biāo)識信息不在黑名單中,則向防惡意攻擊服務(wù)器204發(fā)送事件請求信息���。
其中��,應(yīng)用服務(wù)器202調(diào)用過濾器206發(fā)送事件請求消息�;
進(jìn)一步����,過濾器206確定不在黑名單中的標(biāo)識信息的用戶終端訪問的目標(biāo) URL不處于保護(hù)中,則向防惡意攻擊服務(wù)器204發(fā)送事件請求信息����。
進(jìn)一步����,應(yīng)用服務(wù)器202還用于對向防惡意攻擊服務(wù)器發(fā)送的事件請求信 息對應(yīng)的訪問請求進(jìn)行業(yè)務(wù)處理。
進(jìn)一步�,防惡意攻擊服務(wù)器204:還用于將發(fā)送非正常訪問請求的用戶終 端的標(biāo)識信息通知給應(yīng)用服務(wù)器202,應(yīng)用服務(wù)器202將該標(biāo)識信息加入標(biāo)識 信息黑名單��。
進(jìn)一步��,防惡意攻擊服務(wù)器204:還用于通知應(yīng)用服務(wù)器202��,對非正常 訪問請求的預(yù)定處理規(guī)則�����,應(yīng)用服務(wù)器202根據(jù)預(yù)定處理規(guī)則對非正常訪問請 求進(jìn)行處理操作��。
明的精神和范圍���。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及 其等同技術(shù)的范圍之內(nèi)�����,則本發(fā)明也意圖包含這些改動和變型在內(nèi)���。
權(quán)利要求
1���、一種分布式應(yīng)用中處理非正常請求的方法,其特征在于�����,包括各應(yīng)用服務(wù)器分別接收用戶終端發(fā)送的資源定位符URL資源訪問請求;各應(yīng)用服務(wù)器分別向防惡意攻擊服務(wù)器發(fā)送URL資源訪問請求的事件請求信息�����;防惡意攻擊服務(wù)器根據(jù)接收的事件請求信息�����,匯總具有同一標(biāo)識的用戶終端單位時間內(nèi)訪問同一URL資源的次數(shù)���;防惡意攻擊服務(wù)器根據(jù)匯總的結(jié)果�����,以及預(yù)定義的訪問規(guī)則�����,識別非正常的訪問請求。
2�、 如權(quán)利要求1所述的方法,其特征在于��,所述事件請求信息包括接 收訪問請求的時間信息,訪問請求所攜帶的目標(biāo)URL和用戶終端的標(biāo)識信息�。
3、 如權(quán)利要求2所述的方法��,其特征在于����,各應(yīng)用服務(wù)器分別向防惡意 攻擊服務(wù)器發(fā)送事件請求信息具體為各應(yīng)用服務(wù)器分別調(diào)用過濾器,過濾器讀取應(yīng)用服務(wù)器的標(biāo)識信息黑名 單����,若用戶終端的標(biāo)識信息不在黑名單中,則向防惡意攻擊服務(wù)器發(fā)送事件請 求信息��。
4��、 如權(quán)利要求3所述的方法�,其特征在于,若用戶終端的標(biāo)識信息不在 黑名單中��,則向防惡意攻擊服務(wù)器發(fā)送事件請求信息具體為若用戶終端的標(biāo)識信息不在黑名單中���,且具有不在黑名單中的標(biāo)識信息的 用戶終端訪問的目標(biāo)URL不處于保護(hù)中��,則向防惡意攻擊服務(wù)器發(fā)送事件請 求信息�����。
5�����、 如權(quán)利要求4所述的方法�,其特征在于,發(fā)送事件請求信息的應(yīng)用服 務(wù)器還對相應(yīng)的訪問請求進(jìn)行業(yè)務(wù)處理���。
6�、 如權(quán)利要求2所述的方法�,其特征在于,防惡意攻擊服務(wù)器識別非正 常的訪問請求步驟后還包括防惡意攻擊服務(wù)器將發(fā)送非正常訪問請求的用戶終端的標(biāo)識信息通知給 應(yīng)用服務(wù)器�����,應(yīng)用服務(wù)器將該標(biāo)識信息加入標(biāo)識信息黑名單�。
7、 如權(quán)利要求2所述的方法�,其特征在于,防惡意攻擊服務(wù)器識別非正 常的訪問請求步驟后還包括防惡意攻擊服務(wù)器通知應(yīng)用服務(wù)器��,對非正常訪問請求的預(yù)定處理規(guī)則, 應(yīng)用服務(wù)器根據(jù)預(yù)定處理規(guī)則對非正常訪問請求進(jìn)行處理操作���。
8、 如權(quán)利要求2所述的方法���,其特征在于��,用戶終端的標(biāo)識信息包括 網(wǎng)絡(luò)協(xié)議IP地址�、介質(zhì)訪問控制MAC地址和COOKIE數(shù)據(jù)�����。
9��、 一種分布式應(yīng)用中處理非正常請求的系統(tǒng)����,其特征在于,包括 多個應(yīng)用服務(wù)器用于接收用戶終端發(fā)送的資源定位符URL資源訪問請求���,以及發(fā)送URL資源訪問請求的事件請求信息�,所述事件請求信息包括接收訪問請求的時間信息����,訪問請求所攜帶的目標(biāo)URL和用戶終端的標(biāo)識信 臺 防惡意攻擊服務(wù)器用于根據(jù)接收應(yīng)用服務(wù)器的事件請求信息��,匯總具有 同一標(biāo)識的用戶終端單位時間內(nèi)訪問同一 URL資源的次數(shù)�;根據(jù)匯總的結(jié)果��, 以及該URL資源所對應(yīng)的預(yù)定義的訪問規(guī)則�,識別非正常的訪問請求。
10����、 如權(quán)利要求9所述的系統(tǒng),其特征在于�,還包括過濾器用于讀耳又應(yīng)用服務(wù)器的標(biāo)識信息黑名單,若用戶終端的標(biāo)識信息 不在黑名單中����,則向防惡意攻擊服務(wù)器發(fā)送事件請求信息; 其中�����,所述應(yīng)用服務(wù)器調(diào)用過濾器發(fā)送所述事件請求消息��。
11��、 如權(quán)利要求9所述的系統(tǒng),其特征在于�,所述過濾器確定不在黑名單 中的標(biāo)識信息的用戶終端訪問的目標(biāo)URL不處于保護(hù)中,則向防惡意攻擊服 務(wù)器發(fā)送事件請求信息���。
12、 如權(quán)利要求11所述的系統(tǒng)���,其特征在于��,所述應(yīng)用服務(wù)器還用于對 向防惡意攻擊服務(wù)器發(fā)送的事件請求信息對應(yīng)的訪問請求進(jìn)行業(yè)務(wù)處理�����。
13�、 如權(quán)利要求9所述的系統(tǒng)����,其特征在于,防惡意攻擊服務(wù)器還用于將發(fā)送非正常訪問請求的用戶終端的標(biāo)識信息 通知給應(yīng)用服務(wù)器�,應(yīng)用服務(wù)器將該標(biāo)識信息加入標(biāo)識信息黑名單。
14���、如權(quán)利要求9所述的系統(tǒng)��,其特征在于�,防惡意攻擊服務(wù)器還用于通知應(yīng)用服務(wù)器,對非正常訪問請求的預(yù)定處 理規(guī)則����,應(yīng)用服務(wù)器根據(jù)預(yù)定處理規(guī)則對非正常訪問請求進(jìn)行處理操作。
全文摘要
公開了一種分布式應(yīng)用中處理非正常請求的方法及系統(tǒng)���,為了在分布式應(yīng)用中無法對惡意攻擊請求進(jìn)行有效識別的問題����,本發(fā)明公開的方法包括各應(yīng)用服務(wù)器接收用戶終端發(fā)送的資源定位符URL資源訪問請求�;并發(fā)送URL資源訪問請求的事件請求信息,防惡意攻擊服務(wù)器根據(jù)接收的事件請求信息����,匯總具有同一標(biāo)識的用戶終端單位時間內(nèi)訪問同一URL資源的次數(shù);并根據(jù)匯總的結(jié)果����,以及預(yù)定義的訪問規(guī)則,識別非正常的訪問請求���。正是由于防惡意攻擊服務(wù)器進(jìn)行匯總��,因此可以有效的識別非正常的訪問請求���。
文檔編號H04L12/24GK101674293SQ200810211848
公開日2010年3月17日 申請日期2008年9月11日 優(yōu)先權(quán)日2008年9月11日
發(fā)明者張建鋒 申請人:阿里巴巴集團(tuán)控股有限公司