】
[0031]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
[0032]圖1為本發(fā)明對(duì)APP和網(wǎng)關(guān)通信進(jìn)行批量攻擊的檢測(cè)識(shí)別方法及裝置一個(gè)實(shí)施例中方法的流程圖；
[0033]圖2為所述實(shí)施例中裝置的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0034]下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。
[0035]在本發(fā)明對(duì)APP和網(wǎng)關(guān)通信進(jìn)行批量攻擊的檢測(cè)識(shí)別方法及裝置實(shí)施例中，其對(duì)APP和網(wǎng)關(guān)通信進(jìn)行批量攻擊的檢測(cè)識(shí)別方法的流程圖如圖1所示。圖1中，該對(duì)APP和網(wǎng)關(guān)通信進(jìn)行批量攻擊的檢測(cè)識(shí)別方法包括如下步驟:
[0036]步驟S001對(duì)客戶端APP和網(wǎng)關(guān)進(jìn)行通信的每種請(qǐng)求約定其編號(hào)以及相對(duì)順序號(hào):本實(shí)施例中，對(duì)客戶端APP和網(wǎng)關(guān)進(jìn)行通信的每種請(qǐng)求，約定其編號(hào)以及相對(duì)順序號(hào)(如果某幾種請(qǐng)求存在先后順序的話)。值得一提的是，本實(shí)施例中，網(wǎng)關(guān)就是后臺(tái)服務(wù)器。
[0037]步驟S002當(dāng)任意一個(gè)客戶端APP連上網(wǎng)關(guān)時(shí)，網(wǎng)關(guān)將其每次的請(qǐng)求行為記錄到請(qǐng)求行為數(shù)據(jù)庫中:本步驟中，當(dāng)任意一個(gè)客戶端APP連上網(wǎng)關(guān)時(shí)，網(wǎng)關(guān)將其每次的請(qǐng)求行為記錄到請(qǐng)求行為數(shù)據(jù)庫中，從而建立起一個(gè)請(qǐng)求行為數(shù)據(jù)庫庫。通過內(nèi)測(cè)、外測(cè)和小范圍試用后，各種請(qǐng)求在正常情況下的特征就可以統(tǒng)計(jì)提取出來，作為日后系統(tǒng)對(duì)外開放后進(jìn)行比對(duì)的基準(zhǔn)值。有了這些基準(zhǔn)值，網(wǎng)關(guān)就可以隨時(shí)對(duì)某個(gè)正在進(jìn)行中的會(huì)話進(jìn)行請(qǐng)求行為的統(tǒng)計(jì)分析。值得一提的是，本實(shí)施例中，上述請(qǐng)求行為包括會(huì)話ID、請(qǐng)求的種類編號(hào)、請(qǐng)求的IP和請(qǐng)求的發(fā)起時(shí)間信息等。
[0038]步驟S003網(wǎng)關(guān)建立異常請(qǐng)求行為規(guī)則集，并將其保存到行為異常數(shù)據(jù)庫中:本步驟中，網(wǎng)關(guān)建立異常請(qǐng)求行為規(guī)則集，并將其保存到行為異常數(shù)據(jù)庫中，異常請(qǐng)求行為規(guī)則集中包括各種異常請(qǐng)求行為的場(chǎng)景。網(wǎng)關(guān)會(huì)自動(dòng)將滿足異常請(qǐng)求行為規(guī)則集的場(chǎng)景自動(dòng)檢測(cè)識(shí)別為有批量攻擊的懷疑。關(guān)于異常請(qǐng)求行為規(guī)則集，后續(xù)會(huì)進(jìn)行詳細(xì)描述。
[0039]步驟S004網(wǎng)關(guān)自動(dòng)對(duì)請(qǐng)求行為超過設(shè)定次數(shù)的單個(gè)會(huì)話進(jìn)行行為分析，并自動(dòng)檢測(cè)單個(gè)會(huì)話是否符合異常請(qǐng)求行為規(guī)則集中的一條或多條行為異常規(guī)則的會(huì)話ID:本步驟中，網(wǎng)關(guān)自動(dòng)對(duì)請(qǐng)求行為超過設(shè)定次數(shù)的單個(gè)會(huì)話進(jìn)行行為分析，并自動(dòng)檢測(cè)單個(gè)會(huì)話是否符合異常請(qǐng)求行為規(guī)則集中的一條或多條行為異常規(guī)則的會(huì)話ID，如果檢測(cè)的結(jié)果為是，則執(zhí)行步驟S006 ;否則，執(zhí)行步驟S005。
[0040]步驟S005認(rèn)為單個(gè)會(huì)話正常:如果上述步驟S004的判斷結(jié)果為否，則執(zhí)行本步驟。本步驟中，認(rèn)為上述單個(gè)會(huì)話正常。
[0041]步驟S006判斷單個(gè)會(huì)話是否達(dá)到自動(dòng)攔截確認(rèn)的閾值:如果上述步驟S004的判斷結(jié)果為是，則執(zhí)行本步驟。本步驟中，判斷單個(gè)會(huì)話是否達(dá)到自動(dòng)攔截確認(rèn)的閾值，如果判斷的結(jié)果為是，則執(zhí)行步驟S007 ;否則，執(zhí)行步驟S008。
[0042]步驟S007確認(rèn)存在批量攻擊嫌疑:如果上述步驟S006的判斷結(jié)果為是，則執(zhí)行本步驟。本步驟中，確認(rèn)存在批量攻擊嫌疑。執(zhí)行完本步驟，執(zhí)行步驟S012。
[0043]步驟S008將單個(gè)會(huì)話提交到人工進(jìn)行二次判斷:如果上述步驟S006的判斷結(jié)果為否，則執(zhí)行本步驟。本步驟中，將單個(gè)會(huì)話提交到人工進(jìn)行二次判斷。執(zhí)行完本步驟，執(zhí)行步驟S009。
[0044]步驟S009人工對(duì)單個(gè)會(huì)話進(jìn)行行為判斷界定，判斷是否存在嫌疑:如果上述步驟S008的判斷結(jié)果為是，則執(zhí)行本步驟。本步驟中，人工對(duì)上述單個(gè)會(huì)話進(jìn)行行為判斷界定，判斷是否存在嫌疑，如果判斷的結(jié)果為是，則執(zhí)行步驟soil ;否則，執(zhí)行步驟S010。
[0045]步驟S010對(duì)異常請(qǐng)求行為規(guī)則集進(jìn)行豐富和校正:如果上述步驟S009的判斷結(jié)果為否，則執(zhí)行本步驟。本步驟中，對(duì)異常請(qǐng)求行為規(guī)則集進(jìn)行豐富和校正，執(zhí)行完本步驟，返回步驟S004。
[0046]步驟SOI 1確認(rèn)存在批量攻擊嫌疑:如果上述步驟S009的判斷結(jié)果為是，則執(zhí)行本步驟。本步驟中，確認(rèn)存在批量攻擊嫌疑。執(zhí)行完本步驟，執(zhí)行步驟S012。
[0047]步驟S012網(wǎng)關(guān)將檢測(cè)識(shí)別結(jié)果發(fā)送到客戶端APP:本步驟中，網(wǎng)關(guān)將檢測(cè)識(shí)別結(jié)果發(fā)送到客戶端APP。本發(fā)明針對(duì)上述模擬企業(yè)APP批量攻擊，非法從網(wǎng)關(guān)獲取高附加值數(shù)據(jù)的問題，由于客戶端APP容易被反編譯、通道中的數(shù)據(jù)容易被截獲分析，本發(fā)明除了使用現(xiàn)行流行的加密機(jī)制防范一部分攻擊者外，重點(diǎn)將檢測(cè)識(shí)別策略放在網(wǎng)關(guān)進(jìn)行。針對(duì)批量攻擊嫌疑，網(wǎng)關(guān)提交給人工進(jìn)行二次核對(duì)，將分析得到的結(jié)果反饋、補(bǔ)充進(jìn)上述異常請(qǐng)求行為規(guī)則集。這樣往復(fù)多次后，其檢測(cè)識(shí)別精度越來越趨于準(zhǔn)確，所以其能從根本上解決批量攻擊的檢測(cè)問題。
[0048]對(duì)于本實(shí)施例的對(duì)APP和網(wǎng)關(guān)通信進(jìn)行批量攻擊的檢測(cè)識(shí)別方法而言，異常請(qǐng)求行為規(guī)則集包括會(huì)話超過設(shè)定時(shí)間仍在線的場(chǎng)景(例如超出12小時(shí))、發(fā)出請(qǐng)求的頻率超出了正常人的反應(yīng)速度的場(chǎng)景、發(fā)出請(qǐng)求的時(shí)間跨越了凌晨的場(chǎng)景(正常情況下人是要睡覺休息的)和多個(gè)會(huì)話源自同一 IP的場(chǎng)景。
[0049]本實(shí)施例中，上述異常請(qǐng)求行為規(guī)則集還包括請(qǐng)求的分布偏離平均分布概率的偏離量大于設(shè)定值的場(chǎng)景(也就是請(qǐng)求的分布大大偏離于平均平布概率)、請(qǐng)求被調(diào)用的次數(shù)或總請(qǐng)求次數(shù)與基準(zhǔn)值相差超出設(shè)定差值范圍的場(chǎng)景(例如在其個(gè)會(huì)話中，某些請(qǐng)求被調(diào)用的次數(shù)或總請(qǐng)求次數(shù)被發(fā)現(xiàn)明顯大于或者明顯小于基準(zhǔn)值)、以及請(qǐng)求在正常情況下只被調(diào)用一次但在被懷疑對(duì)象那里被調(diào)用多次的場(chǎng)景。
[0050]本實(shí)施例中，上述異常請(qǐng)求行為規(guī)則集還包括對(duì)有特定順序的請(qǐng)求在某會(huì)話中顛倒或缺失某個(gè)環(huán)節(jié)的場(chǎng)景，例如某些請(qǐng)求種類之間是有特定順序，比如先有第一請(qǐng)求，后有第二請(qǐng)求，但某會(huì)話明顯顛倒、或者缺失某個(gè)環(huán)節(jié)。上述異常請(qǐng)求行為規(guī)則集還包括某些功能在界面跳轉(zhuǎn)多次才能到達(dá)(層級(jí)較深)，但在被懷疑的會(huì)話中直接就開始被調(diào)用的場(chǎng)景。當(dāng)然，在本實(shí)施例的一些情況下，上述異常請(qǐng)求行為規(guī)則集還可以進(jìn)一步擴(kuò)充其他類型的異常請(qǐng)求行為場(chǎng)景。
[0051]本實(shí)施例還涉及一種實(shí)現(xiàn)上述對(duì)APP和網(wǎng)關(guān)通信進(jìn)行批量攻擊的檢測(cè)識(shí)別方法的裝置，其結(jié)構(gòu)示意圖附圖2所示。圖2中，該裝置包括編號(hào)順序號(hào)約定單元1、請(qǐng)求行為記錄單元2、異常請(qǐng)求行為規(guī)則集建立單元3、行為分析檢測(cè)單元4、自動(dòng)攔截確認(rèn)的閾值判斷單元5、行為界定單元6和檢測(cè)識(shí)別結(jié)果發(fā)送單元7 ;其中，編號(hào)順序號(hào)約定單元1用于對(duì)客戶端APP和網(wǎng)關(guān)進(jìn)行通信的每種請(qǐng)求約定其編號(hào)以及相對(duì)順序號(hào)；請(qǐng)求行為記錄單元2用于當(dāng)任意一個(gè)客戶端APP連上網(wǎng)關(guān)時(shí)，網(wǎng)關(guān)將其每次的請(qǐng)求行為記錄到請(qǐng)求行為數(shù)據(jù)庫中；上述請(qǐng)求行為包括會(huì)話ID、請(qǐng)求的種類編號(hào)、請(qǐng)求的IP和請(qǐng)求的發(fā)起時(shí)間信息；異常請(qǐng)求行為規(guī)則集建立單元3用于使網(wǎng)關(guān)建立異常請(qǐng)求行為規(guī)則集，并將其保存到行為異常數(shù)據(jù)庫中；行為分析檢測(cè)單元4用于使網(wǎng)關(guān)自動(dòng)對(duì)請(qǐng)求行為超過設(shè)定次數(shù)的單個(gè)會(huì)話進(jìn)行行為分析，并自動(dòng)檢測(cè)單個(gè)會(huì)話是否符合異常請(qǐng)求行為規(guī)則集中的一條或多條行為異常規(guī)則的會(huì)話ID，如是，進(jìn)行后續(xù)的自動(dòng)攔截確認(rèn)的閾值的判斷；否則，認(rèn)為單個(gè)會(huì)話正常；自動(dòng)攔截確認(rèn)的閾值判斷單元5用于判斷單個(gè)會(huì)話是否達(dá)到自動(dòng)攔截確認(rèn)的閾值，如是，確認(rèn)存在批量攻擊嫌疑；否則，將單個(gè)會(huì)話提交到人工進(jìn)行二次判斷；行為界定單元6用于使人