本申請涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域，尤其涉及一種異常訪問檢測方法及裝置，用以檢測出存在異常訪問的URL。本申請實(shí)施例提供的異常訪問檢測方法包括：根據(jù)第一URL的出度和入度，確定所述第一URL的繞過率；若所述第一URL的繞過率大于設(shè)定繞過率閾值，則判斷所述第一URL的下游URL是否為被正常輪詢訪問的URL；若所述下游URL為被正常輪詢訪問的URL，則確定所述下游URL不存在異常訪問，若所述下游URL不是被正常輪詢訪問的URL，則確定所述下游URL存在異常訪問。

技術(shù)領(lǐng)域

本申請涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域，尤其涉及一種異常訪問檢測方法及裝置。

背景技術(shù)

隨著互聯(lián)網(wǎng)信息技術(shù)的發(fā)展，用戶對網(wǎng)站的訪問量越來越大，網(wǎng)站訪問的安全性變得越來越重要。檢測出網(wǎng)站中存在異常訪問的統(tǒng)一資源定位符(Uniform ResourceLocator，URL)，以便有針對性地進(jìn)行風(fēng)險(xiǎn)防控是非常有必要的。

正常業(yè)務(wù)鏈路的訪問通常是有邏輯順序的，比如，假設(shè)一個(gè)業(yè)務(wù)鏈路包含三個(gè)URL：A、B、C，鏈路調(diào)用順序?yàn)椋篈→B→C，也即B只能通過A進(jìn)入，C只能通過B進(jìn)入，惡意用戶有可能會繞過只能以A為入口的正常業(yè)務(wù)邏輯，而直接訪問到B，然后通過修改B中的某個(gè)權(quán)限參數(shù)，獲取到其它合法用戶的隱私信息。

目前，在檢測URL中的異常訪問時(shí)，通常是通過查看是否存在惡意用戶使用同一互聯(lián)網(wǎng)協(xié)議(Internet Protocol，IP)地址在短時(shí)間內(nèi)大量訪問該URL，若存在，則認(rèn)為該URL存在異常訪問，但是如果惡意用戶使用多個(gè)IP地址進(jìn)行慢速訪問，或者在快速訪問數(shù)百次后就更換IP地址，那就無法通過這種機(jī)制檢測出來。

發(fā)明內(nèi)容

本申請實(shí)施例提供一種異常訪問檢測方法及裝置，用以檢測出存在異常訪問的URL。

本申請實(shí)施例提供一種異常訪問檢測方法，包括：

根據(jù)第一統(tǒng)一資源定位符URL的出度和入度，確定所述第一URL的繞過率；其中，所述第一URL的出度是指從所述第一URL到所述第一URL的下游URL的訪問數(shù)，所述第一URL的入度是指從所述第一URL的上游URL到所述第一URL的訪問數(shù)；所述第一URL的繞過率反應(yīng)所述第一URL的下游URL未經(jīng)過所述第一URL而直接被訪問的情況；

若所述第一URL的繞過率大于設(shè)定繞過率閾值，則判斷所述第一URL的下游URL是否為被正常輪詢訪問的URL；若所述下游URL為被正常輪詢訪問的URL，則確定所述下游URL不存在異常訪問，若所述下游URL不是被正常輪詢訪問的URL，則確定所述下游URL存在異常訪問。

可選地，判斷所述第一URL的下游URL是否為被正常輪詢訪問的URL，包括：

根據(jù)訪問所述下游URL的多個(gè)互聯(lián)網(wǎng)協(xié)議IP地址分別對應(yīng)的訪問時(shí)間間隔，確定所述下游URL對應(yīng)的平均訪問時(shí)間間隔；

若所述平均訪問時(shí)間間隔小于設(shè)定時(shí)長，則確定所述下游URL不是被正常輪詢訪問的URL；

若所述平均訪問時(shí)間間隔大于或等于設(shè)定時(shí)長，則確定所述多個(gè)IP地址分別對應(yīng)的訪問時(shí)間間隔的標(biāo)準(zhǔn)差；若所述標(biāo)準(zhǔn)差大于設(shè)定標(biāo)準(zhǔn)差閾值，則確定所述下游URL不是被正常輪詢訪問的URL；若所述標(biāo)準(zhǔn)差小于或等于設(shè)定標(biāo)準(zhǔn)差閾值，則確定所述下游URL是被正常輪詢訪問的URL。

可選地，根據(jù)以下步驟確定所述多個(gè)IP地址中的每個(gè)IP地址分別對應(yīng)的訪問時(shí)間間隔：

針對所述多個(gè)IP地址中的每個(gè)IP地址，將該IP地址對應(yīng)的多個(gè)訪問時(shí)間間隔中的眾數(shù)確定為該IP地址對應(yīng)的訪問時(shí)間間隔。

可選地，根據(jù)以下步驟選擇訪問所述下游URL的多個(gè)IP地址：

從記錄的訪問所述下游URL的IP地址中，選取訪問次數(shù)大于第一閾值，且小于第二閾值的IP地址。