基于ip訪問行為的網(wǎng)絡(luò)訪問控制方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種基于IP訪問行為的網(wǎng)絡(luò)訪問控制方法及系統(tǒng)�,通過路由器獲取客戶端發(fā)送的Web請(qǐng)求后���,將所述Web請(qǐng)求發(fā)送至行為分析服務(wù)器�,行為分析服務(wù)器提取所述Web請(qǐng)求中的數(shù)據(jù)生成對(duì)應(yīng)的用戶IP和該用戶IP的行為記錄���,并根據(jù)所述行為記錄判斷對(duì)應(yīng)的Web請(qǐng)求否為正常請(qǐng)求�����,若是���,則將該Web請(qǐng)求轉(zhuǎn)發(fā)至相應(yīng)的業(yè)務(wù)服務(wù)器;若否��,則向所述客戶端發(fā)送拒絕所述Web請(qǐng)求的響應(yīng)��,能夠動(dòng)態(tài)的對(duì)未知的IP進(jìn)行訪問控制,解決傳統(tǒng)IP訪問控制中效率低����、配置繁瑣、動(dòng)態(tài)實(shí)時(shí)性差等問題��,同時(shí)也是為了限制網(wǎng)絡(luò)攻擊�����、規(guī)范爬蟲行為�����,提高網(wǎng)站或者API的服務(wù)質(zhì)量���,增強(qiáng)網(wǎng)站穩(wěn)定性和可用性����。
【專利說明】基于IP訪問行為的網(wǎng)絡(luò)訪問控制方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)【技術(shù)領(lǐng)域】��,特別涉及一種根據(jù)IP通過分析用戶訪問行為來達(dá)到網(wǎng)絡(luò)訪問控制目的方法及系統(tǒng)�。
【背景技術(shù)】
[0002]隨著大型的互聯(lián)網(wǎng)商務(wù)網(wǎng)站的發(fā)展,網(wǎng)絡(luò)領(lǐng)域出現(xiàn)很多惡意網(wǎng)絡(luò)爬蟲和網(wǎng)絡(luò)攻擊�,這些行為通過短時(shí)間大流量的訪問網(wǎng)站或者服務(wù)導(dǎo)致大量網(wǎng)絡(luò)流量和資源被占用��,甚至?xí)?dǎo)致服務(wù)器的崩潰,會(huì)給公司造成重大損失��。
[0003]因此如何加強(qiáng)以訪問控制為核心的技術(shù)成為各大型互聯(lián)網(wǎng)公司亟需解決的問題?���,F(xiàn)有的基于IP地址的訪問控制列表法,主要是通過在防火墻或者服務(wù)器上靜態(tài)的配置規(guī)則來達(dá)到訪問限制的目的����,這種方法不僅靈活性比較差,而且反饋調(diào)整比較繁瑣����。另外,還有一些研究利用攻擊程序的非智能的特點(diǎn)的現(xiàn)有方法�����,通過生成一些簡單的圖片讓用戶去識(shí)別�,進(jìn)而判斷用戶的合法性,這種方法會(huì)干擾用戶體驗(yàn)���,同時(shí)隨著技術(shù)的發(fā)展也容易成為攻擊的目標(biāo)��。此外��,還一些雖然考慮到了包括用戶訪問頁面順序���、瀏覽時(shí)間���、停留時(shí)間等用戶行為的算法,但是這種算法復(fù)雜而且效率低����,顯然在大型的商務(wù)網(wǎng)站是很難得到實(shí)施。因此���,以上這些現(xiàn)有方法不能很好的適應(yīng)現(xiàn)階段網(wǎng)絡(luò)訪問限制的需求�。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的在于提供一種基于IP訪問行為的網(wǎng)絡(luò)訪問控制方法及系統(tǒng)����,解決傳統(tǒng)IP訪問控制中效率低、配置繁瑣�����、動(dòng)態(tài)實(shí)時(shí)性差等問題�,同時(shí)也是為了限制網(wǎng)絡(luò)攻擊�����、規(guī)范爬蟲行為����,提高網(wǎng)站或者API的服務(wù)質(zhì)量�,增強(qiáng)網(wǎng)站穩(wěn)定性和可用性�。
[0005]為解決上述問題,本發(fā)明提供一種基于IP訪問行為的網(wǎng)絡(luò)訪問控制方法�����,包括:
[0006]路由器獲取客戶端發(fā)送的Web請(qǐng)求后��,將所述Web請(qǐng)求發(fā)送至行為分析服務(wù)器���;
[0007]行為分析服務(wù)器提取所述Web請(qǐng)求中的數(shù)據(jù)生成對(duì)應(yīng)的用戶IP和該用戶IP的行為記錄�����,并根據(jù)所述行為記錄判斷對(duì)應(yīng)的Web請(qǐng)求否為正常請(qǐng)求�,若是�����,則將該Web請(qǐng)求轉(zhuǎn)發(fā)至相應(yīng)的業(yè)務(wù)服務(wù)器;若否��,則向所述客戶端發(fā)送拒絕所述Web請(qǐng)求的響應(yīng)�����。
[0008]進(jìn)一步的���,在上述方法中��,所述Web請(qǐng)求包括用戶IP�、請(qǐng)求的資源地址和所用瀏覽器型號(hào)信息�。
[0009]進(jìn)一步的,在上述方法中,所述用戶IP的行為記錄包括總訪問次數(shù)���、同時(shí)Session個(gè)數(shù)��、同時(shí)請(qǐng)求個(gè)數(shù)����、訪問開始時(shí)間�、最后一次訪問時(shí)間和客戶類型的字段����。
[0010]進(jìn)一步的��,在上述方法中�,根據(jù)所述行為記錄判斷對(duì)應(yīng)的Web請(qǐng)求否為正常請(qǐng)求,若是���,則將該Web請(qǐng)求轉(zhuǎn)發(fā)至相應(yīng)的業(yè)務(wù)服務(wù)器;若否��,則向所述客戶端發(fā)送拒絕所述Web請(qǐng)求的響應(yīng)的步驟包括:
[0011]判斷所述用戶IP是否存在于預(yù)設(shè)的黑名單中����,
[0012]若存在,則向所述客戶端發(fā)送拒絕所述Web請(qǐng)求的響應(yīng)�;
[0013]若不存在,則在一歷史記錄哈希表中查詢是有所述用戶IP的行為記錄�����,若無����,則將所述用戶IP的行為記錄存儲(chǔ)入所述歷史記錄哈希表中�����,若有�����,則在所述歷史記錄哈希表中修改該用戶IP的行為記錄的相應(yīng)字段�����;根據(jù)所述用戶IP的行為記錄中客戶類型的字段獲取對(duì)應(yīng)的判斷規(guī)則��,并根據(jù)用戶IP的行為記錄判斷該用戶IP的Web請(qǐng)求是否滿足對(duì)應(yīng)的判斷規(guī)則��,若滿足�����,則將該Web請(qǐng)求轉(zhuǎn)發(fā)至相應(yīng)的業(yè)務(wù)服務(wù)器�;若不滿足�����,則向所述客戶端發(fā)送拒絕所述Web請(qǐng)求的響應(yīng)���,并將所述用戶IP加入所述黑名單中�����。
[0014]進(jìn)一步的�,在上述方法中,將所述用戶IP的行為記錄存儲(chǔ)入所述歷史記錄哈希表中的步驟中�,當(dāng)所述歷史記錄哈希表存儲(chǔ)滿時(shí),采用最近最久未使用法淘汰用戶IP的行為記錄�,并將淘汰的用戶IP的行為記錄轉(zhuǎn)存至一行為數(shù)據(jù)庫。
[0015]進(jìn)一步的�����,在上述方法中�����,所述判斷規(guī)則包括是否滿足每秒總訪問次數(shù)預(yù)設(shè)值�����、同時(shí)Session個(gè)數(shù)預(yù)設(shè)值和同時(shí)請(qǐng)求個(gè)數(shù)預(yù)設(shè)值的要求�。
[0016]根據(jù)本發(fā)明的另一面����,提供一種基于IP訪問行為的網(wǎng)絡(luò)訪問控制系統(tǒng)�,包括:
[0017]路由器��,用于獲取客戶端發(fā)送的Web請(qǐng)求后�,將所述Web請(qǐng)求發(fā)送至行為分析服務(wù)器;
[0018]行為分析服務(wù)器���,用于提取所述Web請(qǐng)求中的數(shù)據(jù)生成對(duì)應(yīng)的用戶IP和該用戶IP的行為記錄�,并根據(jù)所述行為記錄判斷對(duì)應(yīng)的Web請(qǐng)求否為正常請(qǐng)求�����,若是���,則將該Web請(qǐng)求轉(zhuǎn)發(fā)至相應(yīng)的業(yè)務(wù)服務(wù)器�;若否�,則向所述客戶端發(fā)送拒絕所述Web請(qǐng)求的響應(yīng)。
[0019]進(jìn)一步的����,在上述系統(tǒng)中,所述Web請(qǐng)求包括用戶IP、請(qǐng)求的資源地址和所用瀏覽
器型號(hào)信息��。
[0020]進(jìn)一步的����,在上述系統(tǒng)中,所述用戶IP的行為記錄包括總訪問次數(shù)���、同時(shí)Session個(gè)數(shù)��、同時(shí)請(qǐng)求個(gè)數(shù)�、訪問開始時(shí)間���、最后一次訪問時(shí)間和客戶類型的字段�����。
[0021]進(jìn)一步的����,在上述系統(tǒng)中�����,所述行為分析服務(wù)器用于判斷所述用戶IP是否存在于預(yù)設(shè)的黑名單中����,若存在,則向所述客戶端發(fā)送拒絕所述Web請(qǐng)求的響應(yīng)�����;若不存在�����,則在一歷史記錄哈希表中查詢是有所述用戶IP的行為記錄����,若無,則將所述用戶IP的行為記錄存儲(chǔ)入所述歷史記錄哈希表中�,若有,則在所述歷史記錄哈希表中修改該用戶IP的行為記錄的相應(yīng)字段��;根據(jù)所述用戶IP的行為記錄中客戶類型的字段獲取對(duì)應(yīng)的判斷規(guī)則��,并根據(jù)用戶IP的行為記錄判斷該用戶IP的Web請(qǐng)求是否滿足對(duì)應(yīng)的判斷規(guī)則�����,若滿足,則將該Web請(qǐng)求轉(zhuǎn)發(fā)至相應(yīng)的業(yè)務(wù)服務(wù)器�����;若不滿足��,則向所述客戶端發(fā)送拒絕所述Web請(qǐng)求的響應(yīng)�,并將所述用戶IP加入所述黑名單中。
[0022]進(jìn)一步的��,在上述系統(tǒng)中���,所述行為分析服務(wù)器還用于當(dāng)所述歷史記錄哈希表存儲(chǔ)滿時(shí)�,采用最近最久未使用法淘汰用戶IP的行為記錄��,并將淘汰的用戶IP的行為記錄轉(zhuǎn)存至一行為數(shù)據(jù)庫����。
[0023]進(jìn)一步的,在上述系統(tǒng)中��,所述判斷規(guī)則包括是否滿足每秒總訪問次數(shù)預(yù)設(shè)值�����、同時(shí)Session個(gè)數(shù)預(yù)設(shè)值和同時(shí)請(qǐng)求個(gè)數(shù)預(yù)設(shè)值的要求��。
[0024]與現(xiàn)有技術(shù)相比����,本發(fā)明通過路由器獲取客戶端發(fā)送的Web請(qǐng)求后,將所述Web請(qǐng)求發(fā)送至行為分析服務(wù)器����,行為分析服務(wù)器提取所述Web請(qǐng)求中的數(shù)據(jù)生成對(duì)應(yīng)的用戶IP和該用戶IP的行為記錄,并根據(jù)所述行為記錄判斷對(duì)應(yīng)的Web請(qǐng)求否為正常請(qǐng)求�,若是,則將該Web請(qǐng)求轉(zhuǎn)發(fā)至相應(yīng)的業(yè)務(wù)服務(wù)器����;若否,則向所述客戶端發(fā)送拒絕所述Web請(qǐng)求的響應(yīng)�,能夠動(dòng)態(tài)的對(duì)未知的IP進(jìn)行訪問控制,解決傳統(tǒng)IP訪問控制中效率低��、配置繁瑣�、動(dòng)態(tài)實(shí)時(shí)性差等問題,同時(shí)也是為了限制網(wǎng)絡(luò)攻擊����、規(guī)范爬蟲行為���,提高網(wǎng)站或者API的服務(wù)質(zhì)量,增強(qiáng)網(wǎng)站穩(wěn)定性和可用性�。
【專利附圖】
【附圖說明】
[0025]圖1是本發(fā)明一實(shí)施例的框架示意圖;
[0026]圖2是本發(fā)明一實(shí)施例的基于IP訪問行為的網(wǎng)絡(luò)訪問控制方法的流程圖���;
[0027]圖3是圖1中步驟S3的流程圖�����。
【具體實(shí)施方式】
[0028]為使本發(fā)明的上述目的���、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合附圖和【具體實(shí)施方式】對(duì)本發(fā)明作進(jìn)一步詳細(xì)的說明����。
[0029]實(shí)施例一
[0030]如圖1至3所示,本發(fā)明提供一種基于IP訪問行為的網(wǎng)絡(luò)訪問控制方法���,本實(shí)施例的方法可適用于包括網(wǎng)站����、接口��、WEB服務(wù)等的訪問控制,所述方法包括步驟SI~步驟S5�����。
[0031]步驟SI�,路由器獲取客戶端發(fā)送的Web請(qǐng)求后�����,將所述Web請(qǐng)求發(fā)送至行為分析服務(wù)器�����,具體的�,各種用戶通過客戶端發(fā)送Web請(qǐng)求,每個(gè)客戶端都對(duì)應(yīng)了一個(gè)IP ;路由器是各個(gè)公司的業(yè)務(wù)服務(wù)器的入口���,通過配置它可以將Web請(qǐng)求發(fā)送到相應(yīng)的行為分析服務(wù)器上����。
[0032]本發(fā)明的一實(shí)施例中���,所述Web請(qǐng)求包括用戶IP�、請(qǐng)求的資源地址和所用瀏覽器
型號(hào)信息。
[0033]步驟S2��,行為分析服務(wù)器提取所述Web請(qǐng)求中的數(shù)據(jù)生成對(duì)應(yīng)的用戶IP和該用戶IP的行為記錄�����,具體的���,行為分析服務(wù)器是行為分析的核心部分�,在服務(wù)器上一直運(yùn)行著一個(gè)實(shí)現(xiàn)基于IP訪問行為的網(wǎng)絡(luò)訪問控制方法的應(yīng)用或者服務(wù)����,通過分析用戶的訪問行為,能夠允許或者拒絕訪問��,這個(gè)軟件或者服務(wù)可以用任何編程方式實(shí)現(xiàn)����,分析服務(wù)器可以根據(jù)不同的性能需求而購買,同時(shí)管理員也可以定義各種行為規(guī)則�,建議設(shè)置一個(gè)友好的后臺(tái)頁面方便管理各種規(guī)則、行為黑名單及查閱異常情況��。
[0034]本發(fā)明的一實(shí)施例中,所述用戶IP的行為記錄包括總訪問次數(shù)(R — Count)��、同時(shí)Session個(gè)數(shù)(R—Session)��、同時(shí)請(qǐng)求個(gè)數(shù)(R-Request)����、訪問開始時(shí)間(R—Begin)����、最后一次訪問時(shí)間(R-End)和客戶類型(R-Type)的字段,具體可如下表所示:
[0035]
【權(quán)利要求】
1.一種基于IP訪問行為的網(wǎng)絡(luò)訪問控制方法�����,其特征在于����,包括: 路由器獲取客戶端發(fā)送的Web請(qǐng)求后,將所述Web請(qǐng)求發(fā)送至行為分析服務(wù)器����; 行為分析服務(wù)器提取所述Web請(qǐng)求中的數(shù)據(jù)生成對(duì)應(yīng)的用戶IP和該用戶IP的行為記錄,并根據(jù)所述行為記錄判斷對(duì)應(yīng)的Web請(qǐng)求否為正常請(qǐng)求����,若是��,則將該Web請(qǐng)求轉(zhuǎn)發(fā)至相應(yīng)的業(yè)務(wù)服務(wù)器��;若否��,則向所述客戶端發(fā)送拒絕所述Web請(qǐng)求的響應(yīng)��。
2.如權(quán)利要求1所述的基于IP訪問行為的網(wǎng)絡(luò)訪問控制方法�����,其特征在于��,所述Web請(qǐng)求包括用戶IP��、請(qǐng)求的資源地址和所用瀏覽器型號(hào)信息��。
3.如權(quán)利要求2所述的基于IP訪問行為的網(wǎng)絡(luò)訪問控制方法��,其特征在于����,所述用戶IP的行為記錄包括總訪問次數(shù)����、同時(shí)Session個(gè)數(shù)���、同時(shí)請(qǐng)求個(gè)數(shù)、訪問開始時(shí)間����、最后一次訪問時(shí)間和客戶類型的字段。
4.如權(quán)利要求3所述的基于IP訪問行為的網(wǎng)絡(luò)訪問控制方法�,其特征在于,根據(jù)所述行為記錄判斷對(duì)應(yīng)的Web請(qǐng)求否為正常請(qǐng)求���,若是,則將該Web請(qǐng)求轉(zhuǎn)發(fā)至相應(yīng)的業(yè)務(wù)服務(wù)器�����;若否�,則向所述客戶端發(fā)送拒絕所述Web請(qǐng)求的響應(yīng)的步驟包括: 判斷所述用戶IP是否存在于預(yù)設(shè)的黑名單中, 若存在�����,則向所述客戶端發(fā)送拒絕所述Web請(qǐng)求的響應(yīng)���; 若不存在�����,則在一歷史記錄哈希表中查詢是有所述用戶IP的行為記錄����,若無,則將所述用戶IP的行為記錄存儲(chǔ)入 所述歷史記錄哈希表中�,若有,則在所述歷史記錄哈希表中修改該用戶IP的行為記錄的相應(yīng)字段��;根據(jù)所述用戶IP的行為記錄中客戶類型的字段獲取對(duì)應(yīng)的判斷規(guī)則�,并根據(jù)用戶IP的行為記錄判斷該用戶IP的Web請(qǐng)求是否滿足對(duì)應(yīng)的判斷規(guī)則,若滿足�,則將該Web請(qǐng)求轉(zhuǎn)發(fā)至相應(yīng)的業(yè)務(wù)服務(wù)器;若不滿足�,則向所述客戶端發(fā)送拒絕所述Web請(qǐng)求的響應(yīng),并將所述用戶IP加入所述黑名單中��。
5.如權(quán)利要求4所述的基于IP訪問行為的網(wǎng)絡(luò)訪問控制方法�,其特征在于,將所述用戶IP的行為記錄存儲(chǔ)入所述歷史記錄哈希表中的步驟中�,當(dāng)所述歷史記錄哈希表存儲(chǔ)滿時(shí),采用最近最久未使用法淘汰用戶IP的行為記錄���,并將淘汰的用戶IP的行為記錄轉(zhuǎn)存至一行為數(shù)據(jù)庫�����。
6.如權(quán)利要求4所述的基于IP訪問行為的網(wǎng)絡(luò)訪問控制方法����,其特征在于,所述判斷規(guī)則包括是否滿足每秒總訪問次數(shù)預(yù)設(shè)值����、同時(shí)Session個(gè)數(shù)預(yù)設(shè)值和同時(shí)請(qǐng)求個(gè)數(shù)預(yù)設(shè)值的要求。
7.一種基于IP訪問行為的網(wǎng)絡(luò)訪問控制系統(tǒng)���,其特征在于�����,包括: 路由器,用于獲取客戶端發(fā)送的Web請(qǐng)求后�����,將所述Web請(qǐng)求發(fā)送至行為分析服務(wù)器����; 行為分析服務(wù)器�,用于提取所述Web請(qǐng)求中的數(shù)據(jù)生成對(duì)應(yīng)的用戶IP和該用戶IP的行為記錄�,并根據(jù)所述行為記錄判斷對(duì)應(yīng)的Web請(qǐng)求否為正常請(qǐng)求,若是��,則將該Web請(qǐng)求轉(zhuǎn)發(fā)至相應(yīng)的業(yè)務(wù)服務(wù)器�����;若否�,則向所述客戶端發(fā)送拒絕所述Web請(qǐng)求的響應(yīng)。
8.如權(quán)利要求7所述的基于IP訪問行為的網(wǎng)絡(luò)訪問控制系統(tǒng)�,其特征在于,所述Web請(qǐng)求包括用戶IP�、請(qǐng)求的資源地址和所用瀏覽器型號(hào)信息。
9.如權(quán)利要求8所述的基于IP訪問行為的網(wǎng)絡(luò)訪問控制系統(tǒng)��,其特征在于����,所述用戶IP的行為記錄包括總訪問次數(shù)、同時(shí)Session個(gè)數(shù)���、同時(shí)請(qǐng)求個(gè)數(shù)�、訪問開始時(shí)間、最后一次訪問時(shí)間和客戶類型的字段��。
10.如權(quán)利要求9所述的基于IP訪問行為的網(wǎng)絡(luò)訪問控制系統(tǒng)��,其特征在于�����,所述行為分析服務(wù)器用于判斷所述用戶IP是否存在于預(yù)設(shè)的黑名單中����,若存在,則向所述客戶端發(fā)送拒絕所述Web請(qǐng)求的響應(yīng)����;若不存在,則在一歷史記錄哈希表中查詢是有所述用戶IP的行為記錄��,若無����,則將所述用戶IP的行為記錄存儲(chǔ)入所述歷史記錄哈希表中����,若有��,則在所述歷史記錄哈希表中修改該用戶IP的行為記錄的相應(yīng)字段�����;根據(jù)所述用戶IP的行為記錄中客戶類型的字段獲取對(duì)應(yīng)的判斷規(guī)則�����,并根據(jù)用戶IP的行為記錄判斷該用戶IP的Web請(qǐng)求是否滿足對(duì)應(yīng)的判斷規(guī)則�����,若滿足�����,則將該Web請(qǐng)求轉(zhuǎn)發(fā)至相應(yīng)的業(yè)務(wù)服務(wù)器�����;若不滿足�,則向所述客戶端發(fā)送拒絕所述Web請(qǐng)求的響應(yīng)���,并將所述用戶IP加入所述黑名單中�。
11.如權(quán)利要求10所述的基于IP訪問行為的網(wǎng)絡(luò)訪問控制系統(tǒng),其特征在于�����,所述行為分析服務(wù)器還用于當(dāng)所述歷史記錄哈希表存儲(chǔ)滿時(shí)��,采用最近最久未使用法淘汰用戶IP的行為記錄����,并將淘汰的用戶IP的行為記錄轉(zhuǎn)存至一行為數(shù)據(jù)庫。
12.如權(quán)利要求10所述的基于IP訪問行為的網(wǎng)絡(luò)訪問控制系統(tǒng)�,其特征在于,所述判斷規(guī)則包括是否滿足每秒總 訪問次數(shù)預(yù)設(shè)值����、同時(shí)Session個(gè)數(shù)預(yù)設(shè)值和同時(shí)請(qǐng)求個(gè)數(shù)預(yù)設(shè)值的要求。
【文檔編號(hào)】H04L29/06GK103475637SQ201310284923
【公開日】2013年12月25日 申請(qǐng)日期:2013年7月8日 優(yōu)先權(quán)日:2013年4月24日
【發(fā)明者】葉亞明, 張勇 申請(qǐng)人:攜程計(jì)算機(jī)技術(shù)(上海)有限公司