本發明公開了用戶訪問請求處理方法及裝置，該方法包括：接收用戶訪問請求，其中，所述訪問請求用于訪問預定內容；判斷用戶對所述預定內容的訪問是否超出了所述用戶的權限；在超出所述用戶權限的情況下，根據所述用戶的信息獲取風險評估值，其中，所述用戶的信息包括以下至少之一：所述用戶的注冊時間、所述用戶的權限、所述用戶的歷史試錯，所述歷史試錯為所述用戶訪問內容失敗的信息；根據所述風險評估值確定是否對所述用戶的訪問進行限制。通過本發明實施例進而解決了檢測黑客越權攻擊的問題，能夠更加的及時、準確、全面的檢測。

技術領域

本發明涉及計算機網絡安全技術領域，具體而言，涉及用于處理用戶訪問請求的用戶訪問請求處理方法及裝置。

背景技術

基于瀏覽器/服務器模式的互聯網系統已經被廣泛運用到生活和工作的各個領域，成為IT系統的一種主要架構形式。然而，來自瀏覽器的用戶數據經常被惡意篡改，致使系統遭受越權訪問。一些系統需要根據權限設置，限制用戶可提交的數據范圍，或者限制用戶可訪問的數據范圍。但是，由于用戶提交的數據分為離散數據和連續數據兩種形式，程序設計時難以明確全部數據安全邊界，窮舉所有數據越權情況。因此，數據越權攻擊行為給系統安全以及用戶信息保護帶來極大挑戰。

現有技術主要是基于B/S架構的應用系統在防越權安全時的設計，其中存在如下缺陷：

1)權限管控需基于權限列表管控。在程序設計階段就需要考慮好權限控制列表。

2)權限控制基于URL控制或基于請求數據的特征，當系統某功能向出現更新時，擁有此功能項權限的全量用戶權限需相應改變；當新加入用戶時，用戶也需要賦予數量眾多的功能項權限。雖然角色的應用可以一定程度上解決后者給權限管理工作帶來的壓力，但是需要不定期梳理權限來確保角色被賦予了合理的權限范圍。權限梳理不及時，容易出現管控疏漏。疏漏可能被惡意利用，造成實質越權，或可因此影響用戶使用。

3)上述管控方法僅判定了用戶是否有權限訪問，但黑客有其他的越權行為時，沒有針對性的方法以應對。

針對上述的問題，目前尚未提出有效的解決方案。

發明內容

本發明實施例提供了用戶訪問請求處理方法及裝置，能夠解決檢測黑客越權攻擊的問題。

根據本發明的一個方面，提供了一種用戶訪問請求處理方法，包括：接收用戶訪問請求，其中，所述訪問請求用于訪問預定內容；判斷用戶對所述預定內容的訪問是否超出了所述用戶的權限；在超出所述用戶權限的情況下，根據所述用戶的信息獲取風險評估值，其中，所述用戶的信息包括以下至少之一：所述用戶的注冊時間、所述用戶的權限、所述用戶的歷史試錯，所述歷史試錯為所述用戶訪問內容失敗的信息；根據所述風險評估值確定是否對所述用戶的訪問進行限制。

進一步地，根據所述用戶的信息獲取所述風險評估值包括：根據所述用戶的注冊時間獲取所述用戶存在時間長短對應得到第一風險評估值；根據所述用戶的權限的高低獲取所述用戶的權限對應的第二風險評估值；根據所述用戶的歷史試錯獲取所述用戶的試錯行為對應的第三風險評估值；根據所述第一風險評估值、所述第二風險評估值和所述第三風險評估值得到所述風險評估值。

進一步地，根據所述用戶的注冊時間獲取所述用戶存在時間長短對應得到第一風險評估值包括：按如下公式計算獲得第一風險評估值，P_live＝LIVElog_aX；其中，P_live表示所述第一風險評估值；LIVE表示所述用戶使用時長的初始風險值，a為變化系數，0a1，X為所述用戶的注冊時間。

進一步地，根據所述用戶的權限的高低獲取所述用戶的權限對應的第二風險評估值包括：按如下公式計算獲得第二風險評估值，P_vip＝VIP(n/N)；其中，P_vip表示所述第二風險評估值；VIP表示所述權限風險的加權值，該值為預設值；N表示系統中全部功能的權限數量，n表示所述用戶具有的權限數量。