本技術屬于網(wǎng)絡安全，涉及網(wǎng)絡安全技術，具體是一種基于saas平臺訪客ip的防攻擊方法及系統(tǒng)。

背景技術：

1、saas(software-as-a-service)是一種軟件布局模型，saas提供商為企業(yè)搭建信息化所需要的所有網(wǎng)絡基礎設施及軟件、硬件運作平臺，并負責所有前期的實施、后期的維護等一系列服務，企業(yè)無需購買軟硬件、建設機房、招聘it人員，即可通過互聯(lián)網(wǎng)使用信息系統(tǒng)，是目前企業(yè)管理常用的一種軟件運營平臺。

2、現(xiàn)有技術(公布號為cn113821755a發(fā)明專利申請)公開了一種基于云計算的web網(wǎng)站防攻擊系統(tǒng)，屬于網(wǎng)絡安全技術領域，包括在應用系統(tǒng)架構中引入接口監(jiān)控服務器，接口監(jiān)控服務器統(tǒng)計ip訪問量，對接口的訪問進行限流，引入病毒類型庫服務器，引入ddos防攻擊系統(tǒng)，引入防火墻，進入入侵檢測工具，解決了依托云平臺、云計算技術對網(wǎng)站進行實時高效的安全監(jiān)控的技術問題，本發(fā)明做到了安全saas服務化，免安裝、免部署、免運維，系統(tǒng)用戶只要按云防護的基本要求配置自己電腦網(wǎng)絡即可，無需配備運維人員、無需手動更新特征庫。

3、上述防攻擊系統(tǒng)，通過判斷訪客某時間段的訪問頻次是否超過已設定的最大頻次上限，來判斷相應訪客是否為非法訪客；由于最大頻次上限是已設定的固定值；有的合法訪客正常進行訪問的頻次較低，當相應合法訪客的訪問頻次突然增加，但訪問頻次未超過最大頻次上限時，訪客行為出現(xiàn)異常，難以通過上述方法檢測出訪客的異常行為；不能根據(jù)合法訪客的訪問記錄動態(tài)設置最大頻次上限閾值，使得防攻擊系統(tǒng)無法及時發(fā)現(xiàn)租戶的異常行為，導致安全隱患增加。

4、因此需要一種基于saas平臺訪客ip的防攻擊方法及系統(tǒng)。

技術實現(xiàn)思路

1、本技術旨在至少解決現(xiàn)有技術中存在的技術問題之一；為此，本技術提出了一種基于saas平臺訪客ip的防攻擊方法及系統(tǒng)，用于解決現(xiàn)有saas平臺防攻擊系統(tǒng)，難以根據(jù)合法訪客的訪問記錄動態(tài)設置最大頻次上限閾值，使得的無法及時發(fā)現(xiàn)訪客的異常行為，而導致安全隱患增加的技術問題，本技術通過訪客的訪客信息動態(tài)生成訪問頻次閾值，根據(jù)訪問頻次閾值判斷相應訪客的訪客狀態(tài)是否異常，能夠及時發(fā)現(xiàn)訪客的異常行為，及時限制訪客的訪問解決了上述問題。

2、為實現(xiàn)上述目的，本技術的第一方面提供了一種基于saas平臺訪客ip的防攻擊方法，包括以下步驟：

3、步驟一：獲取訪客的ip地址和訪客訪問租戶的租戶標識；

4、步驟二：根據(jù)租戶標識查詢得到租戶信息，提取租戶信息中的租戶黑名單；判斷所述ip地址是否在所述租戶黑名單中；是，則將禁止訪問設置為回復指令，進入步驟五；否，則進入步驟三；

5、步驟三：根據(jù)所述ip地址查詢其對應的訪客信息和訪問頻次；根據(jù)訪客信息動態(tài)生成訪問頻次閾值；根據(jù)訪問頻次和訪問頻次閾值生成頻次檢測標簽；

6、步驟四：判斷頻次檢測標簽是否為頻次異常；是，則將禁止訪問設置為回復指令，并進入步驟五；否，則將允許訪問設置為回復指令；并進入步驟五；

7、步驟五：獲取、并執(zhí)行回復指令。

8、本技術通過獲取訪客的ip地址和訪客訪問租戶的租戶標識，根據(jù)租戶標識查詢得到租戶信息，提取租戶信息中的租戶黑名單；當租戶黑名單中有訪客的ip地址時，則將禁止訪問設置為回復指令；否則，則根據(jù)所述ip地址查詢其對應的訪客信息和訪問頻次；根據(jù)訪客信息動態(tài)生成訪問頻次閾值；根據(jù)訪問頻次和訪問頻次閾值生成頻次檢測標簽；根據(jù)檢測標簽設置回復指令；本技術通過訪客的訪客信息動態(tài)生成訪問頻次閾值，根據(jù)訪問頻次閾值判斷相應訪客的訪客狀態(tài)是否異常，能夠及時發(fā)現(xiàn)訪客的異常行為，及時限制訪客的訪問；保證租戶信息不被泄露，增加平臺的安全性。

9、優(yōu)選的，所述租戶標識通過雪花算法生成。

10、優(yōu)選的，根據(jù)訪問頻次和訪問頻次閾值生成所述頻次檢測標簽，包括：

11、獲取本次訪客的訪問時刻；根據(jù)訪問時刻在所述訪客對應的訪客訪問記錄中查詢其在設定秒段內的訪問頻次一；設定分段內的訪問頻次二；設定時段內的訪問頻次三；所述訪問頻次包括訪問頻次一、訪問頻次二和訪問頻次三；

12、當訪問頻次一大于訪問頻次閾值一時，將秒段檢測標簽設置為秒段異常；否則，則將秒段檢測標簽設置為秒段正常；

13、當訪問頻次二大于訪問頻次閾值二時；將分段檢測標簽設置為分段異常；否則，則將分段檢測標簽設置為分段正常；

14、當訪問頻次三大于訪問頻次閾值三時；將時段檢測標簽設置為時段異常；否則，則將時段檢測標簽設置為時段正常；

15、根據(jù)秒段檢測標簽、分段檢測標簽和時段檢測標簽生成頻次檢測標簽。

16、優(yōu)選的，所述根據(jù)秒段檢測標簽、分段檢測標簽和時段檢測標簽生成頻次檢測標簽，包括：

17、判斷秒段檢測標簽是否為秒段正常；

18、是，則判斷分段檢測標簽是否為分段正常；是，則當時段檢測標簽為時段正常時，將頻次檢測標簽設置為頻次正常；否則，則將頻次檢測標簽設置為一級頻次異常；否，則將頻次檢測標簽設置為二級頻次異常；

19、否，則將頻次檢測標簽設置為三級頻次異常；

20、所述頻次檢測標志包括頻次正常和頻次異常；所述頻次異常包括一級頻次異常、二級頻次異常和三級頻次異常。

21、優(yōu)選的，所述根據(jù)訪客信息動態(tài)生成訪問頻次閾值，包括：

22、提取訪客信息內日頻次數(shù)據(jù)中的最大正常時段訪問次數(shù)、最大正常分段訪問次數(shù)和最大正常秒段訪問次數(shù)；選取若干日頻次數(shù)據(jù)，計算若干日頻次數(shù)據(jù)內最大正常時段訪問次數(shù)的平均值標記為平均時段訪問次數(shù)ps，最大正常分段訪問次數(shù)的平均值標記為平均分段訪問次數(shù)pf，最大正常秒段訪問次數(shù)的平均值標記為平均秒段訪問次數(shù)pm；

23、通過公式y(tǒng)m＝bm+α1×(bm-pm)×arctan(pm-β1×bm)計算得到訪問頻次閾值一ym；其中，bm為原始的訪問頻次閾值一；α1和β1為比例系數(shù)；且α1∈(0，1)；β1∈(0，1)；

24、通過公式y(tǒng)f＝bf+α2×(bf-pf)×arctan(pf-β2×bf)計算得到訪問頻次閾值二yf；其中，bf為原始的訪問頻次閾值二；α2和β2為比例系數(shù)；且α2∈(0，1)；β2∈(0，1)；

25、通過公式y(tǒng)s＝bs+α3×(bs-ps)×arctan(ps-β3×bs)計算得到訪問頻次閾值三ys；其中，bs為原始的訪問頻次閾值三；α3和β3為比例系數(shù)；且α3∈(0，1)；β3∈(0，1)；

26、所述訪問頻次閾值包括訪問頻次閾值一、訪問頻次閾值二和訪問頻次閾值三。

27、本技術通過原始訪問頻次閾值和選取日期頻次數(shù)據(jù)計算得到對應的新的訪問頻次閾值；原始訪問頻次閾值為上一次的訪問頻次閾值，包括原始訪問頻次閾值一、原始訪問頻次閾值二和原始訪問頻次閾值三；本技術通過訪客的訪客信息動態(tài)生成訪問頻次閾值，使得在對訪客異常訪問狀態(tài)進行判斷時，判斷標準更加符合當前訪客的訪問習慣，進而使得訪客的異常判斷結果更加準確。

28、優(yōu)選的，所述租客黑名單根據(jù)對應訪客信息中的一級頻次異常、二級頻次異常和三級頻次異常的異常次數(shù)設定，包括：

29、當頻次檢測標簽為頻次異常時；獲取ip地址對應的訪客信息；提取訪客信息中的一級頻次異常的一級異常次數(shù)；二級頻次異常的二級異常次數(shù)；三級頻次異常的三級異常次數(shù)；

30、判斷頻次異常是否為一級頻次異常；

31、是，則當設定時間內一級異常次數(shù)大于一級異常次數(shù)閾值時，將對應的訪客拉入租戶黑名單；

32、否，則判斷頻次異常是否為二級異常；是，則當設定時間內二級異常次數(shù)大于二級異常次數(shù)閾值時，將對應的訪客拉入租戶黑名單；否，則當設定時間內三級異常次數(shù)大于三級異常次數(shù)閾值時，將對應的訪客拉入租戶黑名單。

33、可以理解的是，本實施例中還可以通過租戶自主將相應的訪客拉入或者拉出租戶黑名單。

34、優(yōu)選的，所述一級異常次數(shù)、二級異常次數(shù)和三級異常次數(shù)定期歸零。

35、本發(fā)明的第二方面提供了一種基于saas平臺訪客ip的防攻擊系統(tǒng)，包括：租戶信息管理模塊、訪客訪問記錄模塊、ip與租戶關聯(lián)模塊、防攻擊策略模塊和數(shù)據(jù)存儲模塊；

36、租戶信息管理模塊：獲取saas平臺中租戶的租戶信息；所述租戶信息包括租戶名稱、訪客訪問記錄、租戶黑名單庫和租戶標識；

37、訪客訪問記錄模塊：當接收到訪客的訪問請求時，獲取訪客的ip地址和訪問信息；所述訪問信息包括訪問來源和訪問時間；并根據(jù)ip地址和其對應的訪問信息整合生成訪客信息；

38、ip與租戶關聯(lián)模塊：用于將租戶的租戶標識與對應訪客的ip進行關聯(lián)；

39、防攻擊策略模塊：獲取訪客信息，根據(jù)訪客信息生成回復指令；并執(zhí)行回復指令。

40、優(yōu)選的，所述根據(jù)ip地址和其對應的訪問信息整合生成訪客信息，包括：

41、提取訪問來源中的ip地址和c段；通過數(shù)據(jù)存儲模塊獲取若干ip地址相同，c段相同的訪客對應的訪問信息；將訪問信息按照訪問時間進行整合成若干日訪問信息；將若干日訪問信息整合成訪客信息。

42、優(yōu)選的，所述根據(jù)訪客信息生成回復指令，包括：

43、提取租戶信息中的租戶黑名單；獲取訪客對應的ip地址；

44、判斷所述ip地址是否在所述租戶黑名單中；是，則將禁止訪問設置為回復指令；

45、否，則根據(jù)所述ip地址查詢其對應的訪問頻次，根據(jù)訪問頻次和訪問頻次閾值生成頻次檢測標簽，判斷頻次檢測標簽是否為頻次異常；是，則將禁止訪問設置為回復指令；否，則將允許訪問設置為回復指令。

46、與現(xiàn)有技術相比，本技術的有益效果是：

47、1.本技術通過獲取訪客的ip地址和訪客訪問租戶的租戶標識，根據(jù)租戶標識查詢得到租戶信息，提取租戶信息中的租戶黑名單；當租戶黑名單中有訪客的ip地址時，則將禁止訪問設置為回復指令；否則，則根據(jù)所述ip地址查詢其對應的訪客信息和訪問頻次；根據(jù)訪客信息動態(tài)生成訪問頻次閾值；根據(jù)訪問頻次和訪問頻次閾值生成頻次檢測標簽；根據(jù)檢測標簽設置回復指令；本技術通過訪客的訪客信息動態(tài)生成訪問頻次閾值，根據(jù)訪問頻次閾值判斷相應訪客的訪客狀態(tài)是否異常，能夠及時發(fā)現(xiàn)訪客的異常行為，及時限制訪客的訪問；保證租戶信息不被泄露，增加平臺的安全性。

48、2.本技術通過原始訪問頻次閾值和選取日期頻次數(shù)據(jù)計算得到對應的新的訪問頻次閾值；原始訪問頻次閾值為上一次的訪問頻次閾值，包括原始訪問頻次閾值一、原始訪問頻次閾值二和原始訪問頻次閾值三；本技術通過訪客的訪客信息動態(tài)生成訪問頻次閾值，使得在對訪客異常訪問狀態(tài)進行判斷時，判斷標準更加符合當前訪客的訪問習慣，進而使得訪客的異常判斷結果更加準確。