本申請實(shí)施例公開了一種訪問請求處理方法和裝置，用于提高目標(biāo)網(wǎng)站服務(wù)器的安全防護(hù)效果。其中，方法包括：獲取終端設(shè)備與目標(biāo)網(wǎng)站服務(wù)器之間交互產(chǎn)生的至少一個會話的訪問請求，至少一個會話中的每個會話中包括至少兩個先后發(fā)送的、且源地址為終端設(shè)備的IP地址的訪問請求；針對至少一個會話中的第一會話，根據(jù)第一會話中的至少兩個先后發(fā)送的訪問請求中的每個訪問請求包括的URL，得到第一會話對應(yīng)的URL訪問路徑，以此類推，從而得到至少一個會話中每個會話對應(yīng)的URL訪問路徑；當(dāng)至少一個會話中的一個或多個會話對應(yīng)的URL訪問路徑符合預(yù)設(shè)規(guī)則時，確認(rèn)終端設(shè)備的IP地址為惡意源IP地址。

技術(shù)領(lǐng)域

本申請涉及網(wǎng)絡(luò)通信領(lǐng)域，尤其涉及一種訪問請求處理方法及裝置。

背景技術(shù)

隨著互聯(lián)網(wǎng)的迅猛發(fā)展，對網(wǎng)頁(Web)服務(wù)器的攻擊也日益頻繁。攻擊者通過控制代理服務(wù)器、或者被控計算機(jī)對目標(biāo)網(wǎng)站服務(wù)器發(fā)起大量的惡意訪問請求，以快速占用目標(biāo)網(wǎng)站服務(wù)器的資源，導(dǎo)致目標(biāo)網(wǎng)站服務(wù)器無法處理來自用戶設(shè)備的正常訪問請求。所以，識別用于攻擊目標(biāo)服務(wù)器的惡意訪問請求對于保證目標(biāo)網(wǎng)站服務(wù)器的正常運(yùn)行非常重要。

目前常用的檢測惡意訪問請求的方式是統(tǒng)計單位時間內(nèi)來自同一個源互聯(lián)網(wǎng)協(xié)議(Internet Protocol，IP)地址的訪問請求的數(shù)目是否超過一定的閾值，如果是，則認(rèn)為來自該源IP地址的訪問請求為惡意訪問請求；如果否，則認(rèn)為來自該源IP地址的訪問請求為正常訪問請求。

然而，若攻擊者采用大量的代理服務(wù)器向目標(biāo)網(wǎng)站服務(wù)器發(fā)送惡意訪問請求，并保證通過代理服務(wù)器轉(zhuǎn)換后的每個源IP地址在單位時間內(nèi)向目標(biāo)服務(wù)器發(fā)送的惡意訪問請求的數(shù)目均低于閾值，就可以繞開上述檢測方式從而攻擊目標(biāo)網(wǎng)站服務(wù)器。或者攻擊者通過大量被控計算機(jī)向目標(biāo)網(wǎng)站服務(wù)器發(fā)送惡意訪問請求，但每個被控計算機(jī)發(fā)送的惡意訪問請求的數(shù)目均低于閾值，也可以繞開上述檢測方式。因此現(xiàn)有檢測方式對于目標(biāo)網(wǎng)站服務(wù)器的安全防護(hù)效果一般。

發(fā)明內(nèi)容

本申請實(shí)施例提供了一種訪問請求處理方法和裝置，用于提高目標(biāo)網(wǎng)站服務(wù)器的安全防護(hù)效果。

第一方面，本申請實(shí)施例提供了一種訪問請求處理方法，該方法可以應(yīng)用于安全設(shè)備，安全設(shè)備例如是入侵防御系統(tǒng)(intrusion prevention system，IPS)設(shè)備或統(tǒng)一威脅管理(unified threat management，UTM)設(shè)備等。該訪問請求處理方法可以包括如下步驟：首先，獲取終端設(shè)備與目標(biāo)網(wǎng)站服務(wù)器之間交互產(chǎn)生的至少一個會話的訪問請求，至少一個會話中的每個會話中包括至少兩個先后發(fā)送的、且源地址為終端設(shè)備的IP地址的訪問請求，每個訪問請求中包括目標(biāo)網(wǎng)站服務(wù)器提供的一個統(tǒng)一資源定位符(uniformresource locator，URL)。其次，針對至少一個會話中的第一會話，根據(jù)第一會話中的至少兩個先后發(fā)送的訪問請求中的每個訪問請求包括的URL，得到第一會話對應(yīng)的URL訪問路徑，第一會話對應(yīng)的URL訪問路徑體現(xiàn)終端設(shè)備在第一會話中對URL的訪問順序，以此類推，從而得到至少一個會話中每個會話對應(yīng)的URL訪問路徑。當(dāng)至少一個會話中的一個或多個會話對應(yīng)的URL訪問路徑符合預(yù)設(shè)規(guī)則時，確認(rèn)終端設(shè)備的IP地址為惡意源IP地址，預(yù)設(shè)規(guī)則體現(xiàn)使用惡意源IP地址的設(shè)備對一個網(wǎng)站服務(wù)器發(fā)出訪問請求的規(guī)律。

本申請實(shí)施例通過獲取終端設(shè)備與目標(biāo)網(wǎng)站服務(wù)器之間交互產(chǎn)生的至少一個會話的訪問請求，并根據(jù)訪問請求中包括的URL以及訪問請求的訪問順序，得到至少一個會話中每個會話對應(yīng)的URL訪問路徑，通過判斷至少一個會話中的一個或多個會話對應(yīng)的URL訪問路徑是否符合預(yù)設(shè)規(guī)則，來確定終端設(shè)備的IP地址是否為惡意源IP地址。相對于傳統(tǒng)的基于單位時間內(nèi)來自終端設(shè)備IP地址的訪問請求的數(shù)目是否超過一定的閾值的方式來判斷終端設(shè)備的IP地址是否為惡意IP地址，本申請實(shí)施例不依賴于終端設(shè)備發(fā)送訪問請求的數(shù)目，而是通過URL訪問路徑是否符合惡意訪問的規(guī)律來對惡意IP地址進(jìn)行識別，所以提高了識別準(zhǔn)確率。