本申請涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域，尤其涉及一種異常訪問檢測方法及裝置。

背景技術(shù)：

隨著互聯(lián)網(wǎng)信息技術(shù)的發(fā)展，用戶對網(wǎng)站的訪問量越來越大，網(wǎng)站訪問的安全性變得越來越重要。檢測出網(wǎng)站中存在異常訪問的統(tǒng)一資源定位符(uniformresourcelocator，url)，以便有針對性地進(jìn)行風(fēng)險防控是非常有必要的。

正常業(yè)務(wù)鏈路的訪問通常是有邏輯順序的，比如，假設(shè)一個業(yè)務(wù)鏈路包含三個url：a、b、c，鏈路調(diào)用順序為：a→b→c，也即b只能通過a進(jìn)入，c只能通過b進(jìn)入，惡意用戶有可能會繞過只能以a為入口的正常業(yè)務(wù)邏輯，而直接訪問到b，然后通過修改b中的某個權(quán)限參數(shù)，獲取到其它合法用戶的隱私信息。

目前，在檢測url中的異常訪問時，通常是通過查看是否存在惡意用戶使用同一互聯(lián)網(wǎng)協(xié)議(internetprotocol，ip)地址在短時間內(nèi)大量訪問該url，若存在，則認(rèn)為該url存在異常訪問，但是如果惡意用戶使用多個ip地址進(jìn)行慢速訪問，或者在快速訪問數(shù)百次后就更換ip地址，那就無法通過這種機(jī)制檢測出來。

技術(shù)實現(xiàn)要素：

本申請實施例提供一種異常訪問檢測方法及裝置，用以檢測出存在異常訪問的url。

本申請實施例提供一種異常訪問檢測方法，包括：

根據(jù)第一統(tǒng)一資源定位符url的出度和入度，確定所述第一url的繞過率；其中，所述第一url的出度是指從所述第一url到所述第一url的下游url的訪問數(shù)，所述第一url的入度是指從所述第一url的上游url到所述第一url的訪問數(shù)；所述第一url的繞過率反應(yīng)所述第一url的下游url未經(jīng)過所述第一url而直接被訪問的情況；

若所述第一url的繞過率大于設(shè)定繞過率閾值，則判斷所述第一url的下游url是否為被正常輪詢訪問的url；若所述下游url為被正常輪詢訪問的url，則確定所述下游url不存在異常訪問，若所述下游url不是被正常輪詢訪問的url，則確定所述下游url存在異常訪問。

可選地，判斷所述第一url的下游url是否為被正常輪詢訪問的url，包括：

根據(jù)訪問所述下游url的多個互聯(lián)網(wǎng)協(xié)議ip地址分別對應(yīng)的訪問時間間隔，確定所述下游url對應(yīng)的平均訪問時間間隔；

若所述平均訪問時間間隔小于設(shè)定時長，則確定所述下游url不是被正常輪詢訪問的url；

若所述平均訪問時間間隔大于或等于設(shè)定時長，則確定所述多個ip地址分別對應(yīng)的訪問時間間隔的標(biāo)準(zhǔn)差；若所述標(biāo)準(zhǔn)差大于設(shè)定標(biāo)準(zhǔn)差閾值，則確定所述下游url不是被正常輪詢訪問的url；若所述標(biāo)準(zhǔn)差小于或等于設(shè)定標(biāo)準(zhǔn)差閾值，則確定所述下游url是被正常輪詢訪問的url。

可選地，根據(jù)以下步驟確定所述多個ip地址中的每個ip地址分別對應(yīng)的訪問時間間隔：

針對所述多個ip地址中的每個ip地址，將該ip地址對應(yīng)的多個訪問時間間隔中的眾數(shù)確定為該ip地址對應(yīng)的訪問時間間隔。

可選地，根據(jù)以下步驟選擇訪問所述下游url的多個ip地址：

從記錄的訪問所述下游url的ip地址中，選取訪問次數(shù)大于第一閾值，且小于第二閾值的ip地址。

可選地，根據(jù)以下公式確定所述第一url的繞過率μ：

μ＝(λ1-λ2)/λ2

其中，λ1為所述第一url的出度，λ2為所述第一url的入度。

本申請實施例提供一種異常訪問檢測裝置，包括：

繞過率確定模塊，用于根據(jù)第一統(tǒng)一資源定位符url的出度和入度，確定所述第一url的繞過率；其中，所述第一url的出度是指從所述第一url到所述第一url的下游url的訪問數(shù)，所述第一url的入度是指從所述第一url的上游url到所述第一url的訪問數(shù)；所述第一url的繞過率反應(yīng)所述第一url的下游url未經(jīng)過所述第一url而直接被訪問的情況；

異常訪問確定模塊，用于若所述第一url的繞過率大于設(shè)定繞過率閾值，則判斷所述第一url的下游url是否為被正常輪詢訪問的url；若所述下游url為被正常輪詢訪問的url，則確定所述下游url不存在異常訪問，若所述下游url不是被正常輪詢訪問的url，則確定所述下游url存在異常訪問。

本申請實施例根據(jù)第一url的出度和入度，確定該第一url的繞過率；若該第一url的繞過率大于設(shè)定繞過率閾值，則判斷該第一url的下游url是否為被正常輪詢訪問的url；若該下游url為被正常輪詢訪問的url，則確定該下游url不存在異常訪問，若該下游url不是被正常輪詢訪問的url，則確定該下游url存在異常訪問。本申請實施例中，如果一個url的繞過率大于設(shè)定繞過率閾值，該url的下游url又不是被正常輪詢訪問的url，則說明該下游url存在異常訪問。本申請對于惡意用戶繞過正常的業(yè)務(wù)邏輯，使用多個ip地址進(jìn)行慢速訪問的url，或者繞過正常的業(yè)務(wù)邏輯，在快速訪問數(shù)百次后就更換ip地址進(jìn)行訪問的url，可以有效檢測出來。

附圖說明

圖1為本申請實施例提供的異常訪問檢測方法流程圖；

圖2為一個業(yè)務(wù)鏈路示意圖；

圖3為本申請實施例提供的異常訪問檢測裝置結(jié)構(gòu)示意圖。

具體實施方式

假設(shè)一個業(yè)務(wù)鏈路包含三個url：a、b、c，鏈路調(diào)用順序為：a→b→c。由于業(yè)務(wù)鏈路訪問可能會遇到失敗、用戶主動退出等情況而無法完成，所以一般情況下a的調(diào)用次數(shù)≥b的調(diào)用次數(shù)≥c的調(diào)用次數(shù)。假設(shè)存在b的調(diào)用次數(shù)≥a的調(diào)用次數(shù)≥c的調(diào)用次數(shù)的情況，那么b這個被大量訪問的url可能是被繞過了只能以a為入口的正常業(yè)務(wù)邏輯?；诖?，針對一條業(yè)務(wù)鏈路，本申請實施例首先基于url的繞過率來判斷該url的下游url是否有可能存在異常訪問：如果一個url的繞過率大于設(shè)定繞過率閾值，則該url的下游url有可能存在異常訪問，此時再進(jìn)一步判斷該下游url是不是被正常輪詢訪問的url，如果不是，則說明該下游url存在異常訪問。本申請對于惡意用戶繞過正常的業(yè)務(wù)邏輯，使用多個ip地址進(jìn)行慢速訪問的url，或者在快速訪問數(shù)百次后就更換ip地址進(jìn)行訪問的url，可以有效檢測出來。

下面結(jié)合說明書附圖對本申請實施例作進(jìn)一步詳細(xì)描述。

如圖1所示，為本申請實施例提供的異常訪問檢測方法流程圖，包括以下步驟：

s101：根據(jù)第一url的出度和入度，確定該第一url的繞過率。

在具體實施中，針對一條業(yè)務(wù)鏈路中的一個url，將從該url到該url的下游url的訪問數(shù)定義為該url的出度，將從該url的上游url到該url的訪問數(shù)定義為該url的入度，該url的繞過率反應(yīng)該url的下游url未經(jīng)過該url而直接被訪問的情況。

如圖2所示，在一個業(yè)務(wù)鏈路中，只有下游url沒有上游url的url為起始url(如圖2中的url1)，既有上游url又有下游url的url為中間url(如圖2中的url2)，只有上游url沒有下游url的url為葉子url(如圖2中的url3)。一個url的上游url的出度為該url的入度， 其下游url的入度為該url的出度。起始url的出度大于0，入度為0，如圖2中的url1的出度為1000，入度為0。葉子url的入度大于0，出度為0，如圖2中url3的入度為100000。中間url的入度和出度都大于0，如圖2中url2的入度為1000，出度為100000。

在具體實施中，根據(jù)url的出度和入度，確定該url的繞過率，url的繞過率反應(yīng)該url的下游url未經(jīng)過該url而直接被訪問的情況，因此，可以基于該url的出度和入度的差異確定該繞過率。比如，繞過率可以體現(xiàn)為出度和入度的比值，在這種情況下，起始url的繞過率為無窮大，葉子url的繞過率為0。再比如，繞過率可以體現(xiàn)為出度和入度的差值與入度之間的比值，也即，url的繞過率μ符合公式μ＝(λ1-λ2)/λ2，其中，λ1為該url的出度，λ2為該url的入度，此時，起始url的繞過率為無窮大，葉子url的繞過率為-1。

在本申請實施例中，所述第一url為中間url，該第一url的下游url可能為中間url，也可能為葉子url。

s102：將該第一url的繞過率與設(shè)定繞過率閾值進(jìn)行比較；若該第一url的繞過率小于或等于設(shè)定繞過率閾值，則進(jìn)入s104，即確定該第一url的下游url不存在異常訪問。

在具體實施中，對于繞過率較低的url，可以認(rèn)為該url的下游url不存在異常訪問。

s103：若該第一url的繞過率大于設(shè)定繞過率閾值，則判斷該第一url的下游url是否為被正常輪詢訪問的url；若該下游url為被正常輪詢訪問的url，則進(jìn)入s104，即確定該下游url不存在異常訪問，若該下游url不是被正常輪詢訪問的url，則進(jìn)入s105，即確定該下游url存在異常訪問。

在具體實施中，若該第一url的繞過率大于設(shè)定繞過率閾值，存在兩種情況：

1、該第一url的下游url被繞過正常業(yè)務(wù)邏輯而大量訪問，也即存在 異常訪問。

2、該第一url的下游url是一個被正常輪詢訪問的url。

這里，對于繞過率較高的第一url，若該第一url的下游url是一個被正常輪詢訪問的url，則對該下游url所進(jìn)行的繞過第一url的直接訪問也屬于正常訪問。比如，若用戶一直停留在某個顯示未讀消息的頁面(比如郵箱的收件箱頁面)，系統(tǒng)會每隔5s進(jìn)行一次未讀消息的刷新，顯然，這種情況下的自動輪詢訪問屬于正常訪問。

由于被正常輪詢訪問的url的訪問時間間隔一般都是系統(tǒng)設(shè)置的，因此這種url通常具有一個明顯的特征：不同ip地址的訪問時間間隔比較固定。比如，系統(tǒng)讀取未讀消息一般都是按照固定的時間間隔進(jìn)行讀取的。因此，可以根據(jù)不同ip地址訪問url的時間間隔來判斷該url是否為被正常輪詢訪問的url。

作為一種實施方式，判斷所述第一url的下游url是否為被正常輪詢訪問的url的具體實施步驟為：

s103a：根據(jù)訪問該第一url的下游url的多個ip地址分別對應(yīng)的訪問時間間隔，確定該下游url對應(yīng)的平均訪問時間間隔。

在實際實施中，存在企業(yè)內(nèi)多個用戶共用同一ip地址的情況，在這些情況下，一個url被同一ip地址訪問的次數(shù)通常非常多(通常超過1000次)；另外，訪問次數(shù)較少的ip地址對于識別輪詢訪問的貢獻(xiàn)度也較小?；诖耍旧暾垖嵤├秊榱诉M(jìn)一步提高對正常輪詢訪問的識別率，對訪問該下游url的ip地址進(jìn)行篩選，具體地，從記錄的訪問該下游url的ip地址中，選取訪問次數(shù)大于第一閾值(比如10次)，且小于第二閾值(比如1000次)的多個ip地址，將使用這些ip地址的用戶暫時作為正常的個人用戶；然后基于選擇的多個ip地址，判斷該下游url是否為被正常輪詢訪問的url。

在具體實施中，針對篩選出的每個ip地址，可以將該ip地址對應(yīng)的多個訪問時間間隔中的眾數(shù)確定為該ip地址對應(yīng)的訪問時間間隔。這里的眾數(shù)也 即在記錄的該ip地址的多個訪問時間間隔中，出現(xiàn)次數(shù)最多的訪問時間間隔，若出現(xiàn)次數(shù)最多的訪問時間間隔有多個，則可以選擇其中一個作為該ip地址對應(yīng)的訪問時間間隔。

s103b：將所述平均訪問時間間隔與設(shè)定時長進(jìn)行比較；若所述平均訪問時間間隔小于設(shè)定時長，則進(jìn)入s103e，即確定該下游url不是被正常輪詢訪問的url。

在具體實施中，有可能會存在惡意用戶使用相同或不同的ip地址在很短的時間(比如1s)內(nèi)對該下游url訪問了數(shù)百次(惡意用戶密集訪問數(shù)百次后被攔截或更換ip地址繼續(xù)訪問)，若對訪問時間間隔的記錄只精確到了1s，則記錄的該ip地址的訪問時間間隔為0。在這種情況下，記錄的訪問該下游url的ip地址的訪問時間間隔雖然比較固定(都為0)，但顯然不屬于輪詢訪問。因此，本申請實施例將對應(yīng)的多個ip地址的平均訪問時間間隔小于設(shè)定時長(比如1s)的url，直接歸為存在異常訪問的url。

s103c：若所述平均訪問時間間隔大于或等于設(shè)定時長，則確定所述多個ip地址分別對應(yīng)的訪問時間間隔的標(biāo)準(zhǔn)差。

這里，選擇的多個ip地址分別對應(yīng)的訪問時間間隔的標(biāo)準(zhǔn)差σ符合以下公式：

其中，xi為第i個ip地址的訪問時間間隔，μ為選擇的多個ip地址對應(yīng)的平均訪問時間間隔，n為選擇的多個ip地址的個數(shù)。

s103d：將所述標(biāo)準(zhǔn)差與設(shè)定標(biāo)準(zhǔn)差閾值進(jìn)行比較，若所述標(biāo)準(zhǔn)差大于設(shè)定標(biāo)準(zhǔn)差閾值(比如1000)，則進(jìn)入s103e，即確定該下游url不是被正常輪詢訪問的url。若所述標(biāo)準(zhǔn)差小于或等于設(shè)定標(biāo)準(zhǔn)差閾值，則進(jìn)入s103f，即確定該下游url是被正常輪詢訪問的url。

基于同一發(fā)明構(gòu)思，本申請實施例中還提供了一種與異常訪問檢測方法對應(yīng)的異常訪問檢測裝置，由于該裝置解決問題的原理與本申請實施例異常訪問檢測方法相似，因此該裝置的實施可以參見方法的實施，重復(fù)之處不再贅述。

如圖3所示，為本申請實施例提供的異常訪問檢測裝置結(jié)構(gòu)示意圖，包括：

繞過率確定模塊31，用于根據(jù)第一統(tǒng)一資源定位符url的出度和入度，確定所述第一url的繞過率；其中，所述第一url的出度是指從所述第一url到所述第一url的下游url的訪問數(shù)，所述第一url的入度是指從所述第一url的上游url到所述第一url的訪問數(shù)；所述第一url的繞過率反應(yīng)所述第一url的下游url未經(jīng)過所述第一url而直接被訪問的情況。

異常訪問確定模塊32，用于若所述第一url的繞過率大于設(shè)定繞過率閾值，則判斷所述第一url的下游url是否為被正常輪詢訪問的url；若所述下游url為被正常輪詢訪問的url，則確定所述下游url不存在異常訪問，若所述下游url不是被正常輪詢訪問的url，則確定所述下游url存在異常訪問。

可選地，所述異常訪問確定模塊32具體用于：

根據(jù)訪問所述下游url的多個互聯(lián)網(wǎng)協(xié)議ip地址分別對應(yīng)的訪問時間間隔，確定所述下游url對應(yīng)的平均訪問時間間隔；若所述平均訪問時間間隔小于設(shè)定時長，則確定所述下游url不是被正常輪詢訪問的url；若所述平均訪問時間間隔大于或等于設(shè)定時長，則確定所述多個ip地址分別對應(yīng)的訪問時間間隔的標(biāo)準(zhǔn)差；若所述標(biāo)準(zhǔn)差大于設(shè)定標(biāo)準(zhǔn)差閾值，則確定所述下游url不是被正常輪詢訪問的url；若所述標(biāo)準(zhǔn)差小于或等于設(shè)定標(biāo)準(zhǔn)差閾值，則確定所述下游url是被正常輪詢訪問的url。

可選地，所述異常訪問確定模塊32具體用于根據(jù)以下步驟確定所述多個ip地址中的每個ip地址分別對應(yīng)的訪問時間間隔：

針對所述多個ip地址中的每個ip地址，將該ip地址對應(yīng)的多個訪問時間間隔中的眾數(shù)確定為該ip地址對應(yīng)的訪問時間間隔。

可選地，所述異常訪問確定模塊32具體用于根據(jù)以下步驟選擇訪問所述下游url的多個ip地址：

從記錄的訪問所述下游url的ip地址中，選取訪問次數(shù)大于第一閾值，且小于第二閾值的ip地址。

可選地，所述繞過率確定模塊31具體用于根據(jù)以下公式確定所述第一url的繞過率μ：

μ＝(λ1-λ2)/λ2

其中，λ1為所述第一url的出度，λ2為所述第一url的入度。

本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白，本申請的實施例可提供為方法、系統(tǒng)、或計算機(jī)程序產(chǎn)品。因此，本申請可采用完全硬件實施例、完全軟件實施例、或結(jié)合軟件和硬件方面的實施例的形式。而且，本申請可采用在一個或多個其中包含有計算機(jī)可用程序代碼的計算機(jī)可用存儲介質(zhì)(包括但不限于磁盤存儲器、cd-rom、光學(xué)存儲器等)上實施的計算機(jī)程序產(chǎn)品的形式。

本申請是參照根據(jù)本申請實施例的方法、裝置(系統(tǒng))、和計算機(jī)程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計算機(jī)程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合。可提供這些計算機(jī)程序指令到通用計算機(jī)、專用計算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個機(jī)器，使得通過計算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。

這些計算機(jī)程序指令也可存儲在能引導(dǎo)計算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計算機(jī)可讀存儲器中，使得存儲在該計算機(jī)可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。

這些計算機(jī)程序指令也可裝載到計算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上，使得在計算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機(jī)實現(xiàn)的處 理，從而在計算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。

盡管已描述了本申請的優(yōu)選實施例，但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念，則可對這些實施例作出另外的變更和修改。所以，所附權(quán)利要求意欲解釋為包括優(yōu)選實施例以及落入本申請范圍的所有變更和修改。

顯然，本領(lǐng)域的技術(shù)人員可以對本申請進(jìn)行各種改動和變型而不脫離本申請的精神和范圍。這樣，倘若本申請的這些修改和變型屬于本申請權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則本申請也意圖包含這些改動和變型在內(nèi)。