一种网络攻击判断方法及装置与流程

1.本技术涉及网络信息安全技术领域，尤其涉及一种网络攻击判断方法及装置。


背景技术：

2.逻辑漏洞指的是在程序的代码阶段，对一些数据处理产生逻辑上的漏洞，从而攻击者可以利用这些漏洞获取敏感信息或者破坏业务的完整性。利用逻辑漏洞进行攻击一般会出现在密码修改、确权访问、密码找回以及交易支付金额等场景中。相较于传统的结构化查询语言(structured query language，sql)注入等网络攻击方式，逻辑漏洞攻击难以被防火墙检测到。因此逻辑漏洞攻击成为了企业防护中的难题。


技术实现要素：

3.本技术提供一种网络攻击判断方法及装置用以提升拦截未知来源攻击和逻辑漏洞攻击的成功率。
4.第一方面，本技术提供了一种网络攻击判断方法，包括：
5.接收来自客户端的多个访问请求；所述多个访问请求分别用于请求访问服务端的不同的资源地址；
6.根据每个访问请求携带的时间戳确定所述客户端的访问顺序；所述客户端的访问顺序用于表征所述客户端请求访问的资源地址的顺序；
7.获取预先建立的多个基准访问顺序，根据所述客户端的用户信息从所述多个基准访问顺序中确定所述客户端对应的基准访问顺序；
8.根据所述客户端对应的基准访问顺序与所述客户端的访问顺序之间差异，判断所述多个访问请求是否为恶意攻击请求。
9.在一些实施例中，所述多个基准访问顺序是根据在所述服务端上线后的设定时间段内收集到的各类用户的访问请求生成的，其中每个用户类型对应一个或多个基准访问顺序，所述用户类型包括访客类型、普通用户类型和管理人员类型中的至少一个；所述根据所述客户端的用户信息从所述多个基准访问顺序中确定所述客户端对应的基准访问顺序，包括：
10.根据所述客户端的用户信息确定所述客户端的用户所属的用户类型；
11.从所述多个基准访问顺序中查询与确定的用户种类对应的基准访问顺序。
12.在一些实施例中，所述方法还包括：
13.获取预先配置的目标资源地址名单；所述目标资源地址名单中包括的每个目标资源地址为所述服务端中禁止访问的资源地址；
14.确定所述目标资源地址名单中不包括所述多个访问请求分别请求访问的资源地址。
15.在一些实施例中，所述根据所述客户端对应的基准访问顺序与所述客户端的访问顺序之间差异，判断所述多个访问请求是否为恶意攻击请求，包括：
16.对比在同一顺序位置上，所述客户端对应的基准访问顺序中的资源地址与所述客户端的访问顺序中的资源地址是否相同，确定所述客户端对应的基准访问顺序与所述客户端的访问顺序中存在差异的资源地址的数量；
17.基于确定的所述数量计算所述客户端访问顺序的差异值；
18.当所述差异值大于设定阈值时，确定所述多个访问请求是否为恶意攻击请求。
19.第二方面，本技术提供了一种网络攻击判断装置，所述装置包括：
20.通信单元，用于接收来自客户端的多个访问请求；所述多个访问请求分别用于请求访问服务端的不同的资源地址；
21.处理单元，被配置为执行：
22.根据每个访问请求携带的时间戳确定所述客户端的访问顺序；所述客户端的访问顺序用于表征所述客户端请求访问的资源地址的顺序；
23.获取预先建立的多个基准访问顺序，根据所述客户端的用户信息从所述多个基准访问顺序中确定所述客户端对应的基准访问顺序；
24.根据所述客户端对应的基准访问顺序与所述客户端的访问顺序之间差异，判断所述多个访问请求是否为恶意攻击请求。
25.在一些实施例中，所述多个基准访问顺序是根据在所述服务端上线后的设定时间段内收集到的各类用户的访问请求生成的，其中每个用户类型对应一个或多个基准访问顺序，所述用户类型包括访客类型、普通用户类型和管理人员类型中的至少一个；所述处理单元，具体用于：
26.根据所述客户端的用户信息确定所述客户端的用户所属的用户类型；
27.从所述多个基准访问顺序中查询与确定的用户种类对应的基准访问顺序。
28.在一些实施例中，所述处理单元，还用于：
29.获取预先配置的目标资源地址名单；所述目标资源地址名单中包括的每个目标资源地址为所述服务端中禁止访问的资源地址；
30.确定所述目标资源地址名单中不包括所述多个访问请求分别请求访问的资源地址。
31.在一些实施例中，所述处理单元，具体用于：
32.对比在同一顺序位置上，所述客户端对应的基准访问顺序中的资源地址与所述客户端的访问顺序中的资源地址是否相同，确定所述客户端对应的基准访问顺序与所述客户端的访问顺序中存在差异的资源地址的数量；
33.基于确定的所述数量计算所述客户端访问顺序的差异值；
34.当所述差异值大于设定阈值时，确定所述多个访问请求是否为恶意攻击请求。
35.第三方面，提供了一种电子设备，所述电子设备包括控制器和存储器。存储器用于存储计算机执行指令，控制器执行存储器中的计算机执行指令以利用控制器中的硬件资源执行第一方面任一种可能实现的方法的操作步骤。
36.第四方面，提供一种计算机可读存储介质，计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述各方面的方法。
37.本技术提出可以预先建立基准访问顺序，在接收到来自客户端的访问请求时，根据访问请求的发送顺序确定客户端的实际访问顺序，从而可以根据实际访问顺序与基准访
问顺序之间的差异判断客户端的访问请求是否为恶意攻击请求。相较于传统的网络防护技术中采用特征匹配的方式确定恶意攻击，本技术提出通过判断访问顺序是否符合常规访问顺序来确定恶意攻击，能够有效识别出未知攻击，并且能够拦截逻辑漏洞攻击。
附图说明
38.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
39.图1a为本技术实施例提供的一种场景架构示意图；
40.图1b为本技术实施例提供的另一种场景架构示意图；
41.图2为本技术实施例提供的一种网络攻击拦截方法流程示意图；
42.图3为本技术实施例提供的一种创建访问模型的方法流程图；
43.图4为本技术实施例提供的一种对资源地址编号的方法流程图；
44.图5为本技术实施例提供的一种拦截装置的结构示意图；
45.图6为本技术实施例提供的另一种网络攻击拦截方法流程图；
46.图7为本技术实施例提供的一种网络攻击拦截装置的结构示意图；
47.图8为本技术实施例提供的一种电子设备的结构示意图。
具体实施方式
48.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术技术方案的一部分实施例，而不是全部的实施例。基于本技术文件中记载的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术技术方案保护的范围。
49.本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够使用除了在这里图示或描述的那些以外的顺序实施。另外，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中字符“/”，在不做特别说明的情况下，一般表示前后关联对象是一种“或”的关系。
50.为了便于理解本技术提出的方案，首先对本技术实施例涉及的技术用语进行介绍：
51.(1)web应用：一种可以通过网页(web)访问的应用程序，借助浏览器运行。web应用一般为客户端/服务器运行模式。
52.(2)统一资源标识符(uniform resource identifier，uri)：一种用于标识某一互联网资源名称的字符串，该种标识允许用户对任何(包括本地和互联网)的资源通过特定的协议进行交互操作。简单来说，web上可用的每种资源-文档、图像、视频片段和程序等均由uri进行定位。
53.(3)逻辑漏洞：逻辑漏洞指的是由于程序代码逻辑不严或者逻辑太复杂导致一些
逻辑分支不能够正常处理错误。常见的基于逻辑漏洞的攻击方式包括：权限绕过、密码找回、验证码自动识别和验证码客户端回显等。其中，权限绕过指的是应用服务器在检查授权时存在漏洞，使得攻击者在获得其他用户的账户后，利用一些方式绕过权限检查进行访问或操作，越权漏洞主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而一楼了权限的判定，越权访问主要分为水平越权和垂直越权，水平越权指的是获取同等级用户的权限，垂直越权指的是获取高等级的管理人员的权限。
54.(4)cookie文件：指的是一种保存在客户端的文件，该文件与对应的web文档关联，保存了客户端访问web文档时的信息，从而当客户端再次访问web文档时可以直接基于保存的cookie文件进行访问。简单来说，cookie文件用于记录用户个人信息。基于上述介绍的越权攻击，可以知晓用户身份信息存储在cookie文件中，因此用户a通过抓包等方式获取到的用户b的cookie文件之后，就可以通过用户b的cookie访问用户b的权限可以访问的资源，从而越权成功。因此，web应用服务器在确认发生越权行为时，可以通过cookie替换的方式阻断用户a的访问行为。
55.(5)双因素认证：一种采用时间同步技术的认证方式，采用了基于时间、事件和密钥三个变量而产生的一次性密码来代替传统的静态密码。每个动态密码具有唯一的密钥，该密钥同时存放在web应用服务器端，每次认证时客户端与服务器分别根据同样的密钥、同样的随机参数(时间和事件)和同样的算法计算认证的动态密码，从而基于密码的一致性实现对用户的认证。双因素认证由于每次认证的随机参数不相同，因此每次产生的动态密码也不相同，从而解决了由于口令泄露导致的入侵问题。
56.目前的攻击监测方案主要聚焦于规则匹配或者威胁模型匹配等方式，无法从根本上区分正常流量和恶意攻击流量，依赖规则匹配的防护方式比较被动，无法抵御未知的攻击和逻辑漏洞攻击。因此为了弥补当前防护措施的缺陷以及针对逻辑漏洞攻击防护的缺失，本技术提出了一种网络攻击拦截方案，通过对用户访问资源地址的顺序判断用户访问是常规访问还是异常访问。基于在逻辑漏洞的攻击过程中攻击者的访问顺序随机性高的特点，本技术提出预先建立常规访问的访问路径顺序，在接收到来自客户端的访问请求时，对比预先建立的访问路径顺序与该客户端访问路径的顺序，若两者差异较大，则可以确定客户端访问存在异常，从而拦截访问。相较于传统的特征匹配的防护方式，本技术的方案可以抵御未知访问中的异常访问，并且可以拦截逻辑漏洞攻击。
57.为了便于理解本技术的方案，首先对本技术方案适用的场景进行介绍。本技术的方案应用于针对web应用服务器的攻击防护场景中。示例性地，参见图1a，为本技术提供的一种场景架构示意图。图1a所示的场景架构中包括客户端、拦截装置和web应用服务器。其中，拦截装置用于根据来自客户端的访问请求的顺序判断客户端发送的是否为恶意攻击请求，并对于恶意攻击请求进行拦截。拦截装置在确定客户端发送的访问请求非恶意攻击请求时，会将访问请求转发给web应用服务器，并由web应用服务器响应该访问请求为客户端提供相应的服务。示例性地，参见图1b，为本技术提供的另一种场景架构示意图。图1b所示的场景架构中包括客户端和web应用服务器，其中web应用服务器中包括拦截装置和后端处理装置。拦截装置的功能与上述图1a中包括的拦截装置的功能相同，在此不再进行赘述。拦截装置为web应用服务器中的前置模块，可直接接收来自客户端的访问请求，并在确定访问请求非恶意攻击请求时将访问请求传输给web应用服务器的后端处理装置响应该访问请
求。
58.需要说明的是，图1a和图1b仅作为两种场景的示例，本技术对于方案适用的场景中包括的客户端或者拦截装置的数量不作限定。
59.以下，结合图1a和图1b所示的系统对本技术的方案进行介绍。参见图2，为本技术实施例提供的一种网络攻击拦截方法流程示意图。示例性地，该方法流程可以由图1a或者图1b所示的场景示意图中包括的拦截装置来执行，也可以由拦截装置中包括的具体的处理器、处理芯片等部件来执行，本技术对此不作限定。图2所示的方法流程具体包括：
60.201，拦截装置接收客户端发送的多个访问请求。
61.其中，每个访问请求用于请求访问服务端的一个资源地址。可选地，服务端可以为上述图1a和图1b中示出的web应用服务器。每个访问请求中携带该访问请求所要访问的资源地址，每个访问请求的发送时间并不相同，拦截装置可以根据每个访问请求中携带的时间戳确定该访问请求的发送时间，从而确定多个访问请求的发送顺序。
62.示例性地，访问请求中携带的资源地址还可以称为web应用的uri地址或者资源路径等，为了便于描述，后续统一称为资源地址。
63.202，拦截装置根据每个访问请求携带的时间戳确定客户端的实际访问顺序。
64.示例性地，客户端的实际访问顺序用于表征客户端请求访问的多个资源地址的顺序，客户端的实际访问顺序与客户端发送的访问请求的顺序一致。
65.比如，拦截装置接收到3个访问请求，分别为用于请求访问资源地址a的访问请求a、用于请求访问资源地址b的访问请求b以及用于请求访问资源地址c的访问请求c。其中，访问请求a的时间戳为00:01，访问请求b的时间戳为00:03，访问请求c的时间戳为00:02，因此客户端的实际访问顺序为：资源地址a—资源地址c—资源地址b。
66.203，拦截装置获取预先建立的多个基准访问顺序。
67.在一种可能实现的方式中，多个基准访问顺序可以是在服务端上线的设定时间段内，拦截装置根据收集到的各类用户的访问请求生成的。其中每个用户类型可以对应一个或多个基准访问顺序，用户类型可以包括访客类型、普通用户类型和管理人员类型。示例性地，在创建每个用户类型对应的基准访问顺序时，拦截装置可以记录在设定时间段内某一个用户类型请求访问的资源地址的顺序，并基于记录的信息创建该用户类型对应的基准访问顺序。并且由于各类用户类型包括的用户的访问顺序可能会有不同，因此针对一个用户类型可以有至少一个基准访问顺序。
68.204，拦截装置根据客户端的用户所属的用户类型，从多个基准访问顺序中确定客户端对应的基准访问顺序。
69.可选地，拦截装置可以接收客户端在发送访问请求之前发送的登录请求，根据登录请求中携带的用户信息确定客户端的用户所属的用户类型，从而根据客户端的用户所属的用户类型确定客户端对应的基准访问顺序。
70.205，拦截装置根据客户端对应的基准访问顺序与客户端的实际访问顺序之间的差异，判断多个访问请求是否为恶意攻击请求。
71.一种可能的情况下，当客户端对应一个基准访问顺序时，拦截装置可以针对同一个顺序位置，对比客户端的基准访问顺序和实际访问顺序在该顺序位置上的资源地址是否相同，以此来确定基准访问顺序和实际访问顺序之间的差异。并根据差异的大小判断客户
端发出的多个访问请求是否为恶意访问请求。
72.另一种可能的情况下，当客户端对应多个基准访问顺序时，拦截装置可以针对每一个基准访问顺序均执行上述操作，确定每个基准访问顺序和实际访问顺序之间的差异，并根据其中差异最小的基准访问顺序与实际访问顺序之间的差异的大小判断客户端发出的多个访问请求是否为恶意访问请求。
73.基于上述方案，本技术提出可以预先建立基准访问顺序，在接收到来自客户端的访问请求时，根据访问请求的发送顺序确定客户端的实际访问顺序，从而可以根据实际访问顺序与基准访问顺序之间的差异判断客户端的访问请求是否为恶意攻击请求。相较于传统的网络防护技术中采用特征匹配的方式确定恶意攻击，本技术提出通过判断访问顺序是否符合常规访问顺序来确定恶意攻击，能够有效识别出未知攻击，并且能够拦截逻辑漏洞攻击。
74.可选地，上述实施例中介绍的基准访问顺序还可以称为访问模型，为了便于描述，后续将基准访问顺序简称为访问模型继续进行介绍。比如访客类型对应的基准访问顺序可以称为访客访问模型，普通用户类型对应的基准访问顺序可以称为普通用户访问模型，管理人员类型对应的基准访问顺序可以称为管理人员访问模型。
75.作为一种可能实现的方式，拦截装置在通过访问模型确定来自客户端的访问请求是否为恶意攻击请求之前，还可以首先确定访问请求所要访问的路径为正常路径。可选地，拦截装置可以获取预设的目标资源地址名单，或者也可以称为异常路径名单、高危路径名单等。目标资源地址名单可以是在web应用上线之前确定的，目标资源地址名单中包括的资源地址可以包括web应用的上传路径、系统路径等禁止访问的路径。进一步地，拦截装置可以判断目标资源地址名单中是否包括客户端所要访问的资源地址。一种可能的情况下，若目标资源地址名单中不包括客户端所要访问的资源地址，则拦截装置可以进一步根据访问模型确定客户端的访问顺序是否正常。另一种可能的情况下，若目标资源地址名单中包括客户端所要访问的资源地址，则拦截装置可以拦截来自客户端的访问请求，并解除客户端的登录，向客户端发送双因素认证请求。其中双因素认证的过程可以参见上述技术用于介绍部分，在此不再赘述。
76.当拦截装置基于目标资源地址名单确定客户端请求访问的资源地址均为正常地址之后，可以进一步采用客户端对应的访问模型判断客户端的访问顺序是否正常。下面结合实施例对基于匹配访问模型的过程进行介绍：
77.实施例一：客户端对应一个访问模型。
78.在一些实施例中，拦截装置可以通过对比访问模型中包括的访问顺序和客户端的访问顺序来确定客户端的访问顺序是否正常。示例性地，拦截装置可以逐个对比客户端的实际访问顺序和访问模型包括的基准访问顺序的资源地址，确定其中存在差异的资源地址的数量。进一步地，拦截装置可以根据确定的数量计算客户端的实际访问顺序的差异值。比如，客户端的实际访问顺序为：资源地址a—资源地址c—资源地址b，若客户端对应的访问模型为：资源地址a—资源地址b—资源地址c，则说明实际访问顺序和访问模型中存在两个差异资源地址，从而可以根据存在的差异资源地址的数量确定客户端实际访问顺序的差异值。
79.示例性地，拦截装置在计算差异值时，可以对比在同一个顺序位置上实际访问顺
序和访问模型的资源地址是否相同，并结合每个顺序位置上的权重值计算差异值。比如，实际访问顺序为：资源地址a—资源地址c—资源地址b，访问模型为：资源地址a—资源地址b—资源地址c，设定第一个顺序位置的权重为60％，第二个顺序位置的权重为30％，第三个顺序位置的权重为10％。从而实际访问顺序的差异值为：0*60％+1*30％+1*10％＝0.4。进一步地，拦截装置可以在计算出的差异值大于设定阈值时确定客户端的实际访问顺序异常，从而可以拦截来自客户端的多个访问请求。
80.实施例二：客户端对应多个访问模型。
81.在实施例二中，拦截装置可以针对客户端的每个访问模型均计算客户端的实际访问顺序的差异值。具体计算差异值的过程可以参见实施例一，不再赘述。
82.在计算出多个差异值之后，拦截装置可以获取其中的最小值，并判断最小值是否大于设定阈值，若大于则确定客户端的实际访问顺序异常。或者，拦截装置还可以计算多个差异值的平均值，并判断平均值是否大于设定阈值，若大于则确定客户端的实际访问顺序异常，从而可以拦截来自客户端的多个访问请求。
83.其中，实施例一和实施例二中采用的访问模型是在web应用上线后的设定时间段内创建的，针对不同类型的用户可以创建不同的访问模型。以下，对创建访问模型的过程进行介绍。示例性地，参见图3，为本技术实施例提供的一种创建访问模型的方法流程图，具体包括：
84.301，对公网开放web应用的访问权限。
85.302，在各个客户端的访问过程中，记录各个客户端的身份信息。
86.比如，客户端的身份信息可以包括普通用户、访客、管理员、审计员、业务人员等等。
87.303，在任一客户端的访问过程中，记录该任一客户端访问的多个资源地址和访问顺序。
88.304，根据记录的各个客户端的访问顺序和身份信息，创建访问模型。
89.可选地，可以首先依据各个客户端所属的用户的类型对客户端进行分类，比如可以分为普通用户、访客和管理人员等类型，进而基于每个用户类型的客户端的访问顺序创建该用户类型的访问模型。比如，访问模型可以包括普通用户访问模型、管理人员访问模型以及访客访问模型。
90.在一种可能实现的方案中，访问模型中可以包括访问资源地址的访问顺序。或者，在另一种可能实现的方式中，访问模型中也可以包括访问的资源地址的标识，以及采用标识记录的访问资源地址的访问顺序。示例性地，可以预先为web应用可以访问的资源地址进行编号，在创建访问模型时，可以采用编号的顺序代替资源地址的顺序。比如，可以预先将资源地址a编号为“a”，将资源地址b编号为“b”，将资源地址c编号为“c”，若客户端访问的资源地址顺序为：资源地址a—资源地址c—资源地址b，则创建的访问模型为：a—c—b。可选地，在对资源地址进行编号前，还可以首先对资源地址进行分类，确定每个资源地址所属的类别，进而在编号之后可以记录每个类别下的编号。
91.以下对预先编号资源地址的过程进行介绍，参见图4，为本技术实施例提供的一种对资源地址编号的方法流程图，具体包括：
92.401，获取web应用的全部资源地址。
93.可选地，可以采用网络自动化爬虫组件获取web应用的资源地址，爬取的资源地址还可以称为web应用可以访问的目录。
94.402，根据获取的各个资源地址的访问权限，确定各个资源地址所属的类别。
95.其中，资源地址的类别可以包括高敏路径(可以为管理人员可以访问的资源地址)、高危路径(系统以及上传资源地址)和常规路径(普通用户或者访客可以访问的资源地址)。
96.403，对每一个类别下的资源地址进行编号。
97.需要说明的是，在同一个类别下每一个资源地址对应的编号是唯一的。
98.在一些实施例中，在对资源地址进行分类和编号之后，还可以创建目标资源地址名单。比如，继续上述实施例中的举例，目标资源地址名单中可以包括高危路径类别的资源地址的编号。目标资源地址名单可以用于在匹配访问模型之前首先排除异常访问。即，在网络防护过程中，获取客户端访问的资源地址之后，可以首先判断目标资源地址名单中是否包括获取的资源地址，若包括则可以确定客户端的访问为异常访问。
99.作为一种示例，上述各实施例中介绍的方案可以由拦截装置来实现，也可以由拦截装置中包括的各个模块来实现。比如参见图5，为本技术实施例提供的一种拦截装置的结构示意图。如图5所示，拦截装置包括预设置模块、模型创建模块和防护模块。其中，预设置模块用于获取web应用可访问的资源地址，对资源地址进行分类以及编号，预设置模块还可以用于根据各个资源地址所属的类别创建目标资源地址名单。模型创建模块用于根据获取的各类客户端访问的资源地址以及访问顺序创建各类客户端对应的访问模型。防护模块用于基于预设值模块创建的目标资源地址名单以及模型创建模块创建的访问模型，对接收到的来自客户端的访问请求进行匹配，识别出恶意攻击访问请求。需要说明的是，上述图5介绍的拦截装置中包括的各个模块仅作为一种示例，本技术对于拦截装置中包括的模块的数量以及命名不作限定。以下，结合图5所示的拦截装置对本技术的方案进行进一步介绍。参见图6，为本技术提供的一种网络攻击拦截方法流程图，具体包括：
100.601，预设置模块获取web应用可访问的全部资源地址，并对获取的资源地址进行分类和编号。
101.602，预设值模块根据属于系统及上传类别的资源地址创建目标资源地址名单。
102.603，模型创建模块根据web应用上线设定时间段内各类用户请求访问的资源地址以及访问顺序，创建不同用户类型的访问模型。
103.604，在web应用运行过程中，防护模块根据来自客户端的多个访问请求的发送顺序确定客户端的实际访问顺序。
104.605，防护模块判断目标资源地址名单中是否包括客户端请求访问的多个资源地址。
105.若否，则继续执行步骤606。
106.若是，则继续执行步骤609。
107.606，防护模块从模型创建模块获取客户端对应的访问模型。
108.607，防护模块根据获取的访问模型判断客户端的实际访问顺序是否正常。
109.若是，则继续执行步骤608。
110.若否，则继续执行步骤609。
111.608，防护模块将来自客户端的访问请求发送给web应用服务器。
112.609，拦截来自客户端的访问请求。
113.一些场景中，当进行模型匹配时采用的是管理人员访问模型时，在依据模型匹配结果确定访问异常之后还可以替换管理人员的cookie，阻断攻击者的越权访问。
114.本技术提出首先通过网络爬虫组件获取全部的资源地址，根据获取的资源地址的类别创建目标资源地址名单。进一步地，基于web上线设定时间段内获取的各类用户访问资源地址的访问顺序创建各类访问模型。从而在实际防护过程中，可以首先基于目标资源地址名单筛除一部分异常访问，进而再根据访问模型确定恶意攻击访问。相较于传统技术中基于特征匹配的防护方式，本技术的方案可以有效抵御未知来源的攻击以及逻辑漏洞攻击。
115.基于与上述方法的同一构思，参见图7，为本技术实施例提供的一种网络攻击拦截装置700，装置700用于实现上述方法中的各个步骤，为了避免重复此处不再进行赘述。装置700包括：通信单元701和处理单元702。
116.通信单元701，用于接收来自客户端的多个访问请求；所述多个访问请求分别用于请求访问服务端的不同的资源地址；
117.处理单元702，被配置为执行：
118.根据每个访问请求携带的时间戳确定所述客户端的访问顺序；所述客户端的访问顺序用于表征所述客户端请求访问的资源地址的顺序；
119.获取预先建立的多个基准访问顺序，根据所述客户端的用户信息从所述多个基准访问顺序中确定所述客户端对应的基准访问顺序；
120.根据所述客户端对应的基准访问顺序与所述客户端的访问顺序之间差异，判断所述多个访问请求是否为恶意攻击请求。
121.在一些实施例中，所述多个基准访问顺序是根据在所述服务端上线后的设定时间段内收集到的各类用户的访问请求生成的，其中每个用户类型对应一个或多个基准访问顺序，所述用户类型包括访客类型、普通用户类型和管理人员类型中的至少一个；所述处理单元702，具体用于：
122.根据所述客户端的用户信息确定所述客户端的用户所属的用户类型；
123.从所述多个基准访问顺序中查询与确定的用户种类对应的基准访问顺序。
124.在一些实施例中，所述处理单元702，还用于：
125.获取预先配置的目标资源地址名单；所述目标资源地址名单中包括的每个目标资源地址为所述服务端中禁止访问的资源地址；
126.确定所述目标资源地址名单中不包括所述多个访问请求分别请求访问的资源地址。
127.在一些实施例中，所述处理单元702，具体用于：
128.对比在同一顺序位置上，所述客户端对应的基准访问顺序中的资源地址与所述客户端的访问顺序中的资源地址是否相同，确定所述客户端对应的基准访问顺序与所述客户端的访问顺序中存在差异的资源地址的数量；
129.基于确定的所述数量计算所述客户端访问顺序的差异值；
130.当所述差异值大于设定阈值时，确定所述多个访问请求是否为恶意攻击请求。
131.图8示出了本技术实施例提供的电子设备800结构示意图。本技术实施例中的电子设备800还可以包括通信接口803，该通信接口803例如是网口，电子设备可以通过该通信接口803传输数据。例如，通信接口可以用于实现上述图7中介绍的通信单元701的功能。
132.在本技术实施例中，存储器802存储有可被至少一个控制器801执行的指令，至少一个控制器801通过执行存储器802存储的指令，可以用于执行上述方法中的各个步骤，例如，控制器801可以实现上述图7中的处理单元702的功能。
133.其中，控制器801是电子设备的控制中心，可以利用各种接口和线路连接整个电子设备的各个部分，通过运行或执行存储在存储器802内的指令以及调用存储在存储器802内的数据。可选的，控制器801可包括一个或多个处理单元，控制器801可集成应用控制器和调制解调控制器，其中，应用控制器主要处理操作系统和应用程序等，调制解调控制器主要处理无线通信。可以理解的是，上述调制解调控制器也可以不集成到控制器801中。在一些实施例中，控制器801和存储器802可以在同一芯片上实现，在一些实施例中，它们也可以在独立的芯片上分别实现。
134.控制器801可以是通用控制器，例如中央控制器(英文：central processing unit，简称：cpu)、数字信号控制器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本技术实施例中公开的各方法、步骤及逻辑框图。通用控制器可以是微控制器或者任何常规的控制器等。结合本技术实施例所公开的数据统计平台所执行的步骤可以直接由硬件控制器执行完成，或者用控制器中的硬件及软件模块组合执行完成。
135.存储器802作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器802可以包括至少一种类型的存储介质，例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(英文：random access memory，简称：ram)、静态随机访问存储器(英文：static random access memory，简称：sram)、可编程只读存储器(英文：programmable read only memory，简称：prom)、只读存储器(英文：read only memory，简称：rom)、带电可擦除可编程只读存储器(英文：electrically erasable programmable read-only memory，简称：eeprom)、磁性存储器、磁盘、光盘等。存储器802是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本技术实施例中的存储器802还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。
136.通过对控制器801进行设计编程，例如，可以将前述实施例中介绍的方法所对应的代码固化到芯片内，从而使芯片在运行时能够执行前述方法的步骤，如何对控制器801进行设计编程为本领域技术人员所公知的技术，这里不再赘述。
137.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
138.本技术是参照根据本技术的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或
方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的控制器以产生一个机器，使得通过计算机或其它可编程数据处理设备的控制器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
139.这些计算机程序指令也可存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
140.这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
141.尽管已描述了本技术的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本技术范围的所有变更和修改。
142.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。

技术特征：
1.一种网络攻击判断方法，其特征在于，所述方法包括：接收来自客户端的多个访问请求；所述多个访问请求分别用于请求访问服务端的不同的资源地址；根据每个访问请求携带的时间戳确定所述客户端的访问顺序；所述客户端的访问顺序用于表征所述客户端请求访问的资源地址的顺序；获取预先建立的多个基准访问顺序，根据所述客户端的用户信息从所述多个基准访问顺序中确定所述客户端对应的基准访问顺序；根据所述客户端对应的基准访问顺序与所述客户端的访问顺序之间差异，判断所述多个访问请求是否为恶意攻击请求。2.根据权利要求1所述的方法，其特征在于，所述多个基准访问顺序是根据在所述服务端上线后的设定时间段内收集到的各类用户的访问请求生成的，其中每个用户类型对应一个或多个基准访问顺序，所述用户类型包括访客类型、普通用户类型和管理人员类型中的至少一个；所述根据所述客户端的用户信息从所述多个基准访问顺序中确定所述客户端对应的基准访问顺序，包括：根据所述客户端的用户信息确定所述客户端的用户所属的用户类型；从所述多个基准访问顺序中查询与确定的用户种类对应的基准访问顺序。3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：获取预先配置的目标资源地址名单；所述目标资源地址名单中包括的每个目标资源地址为所述服务端中禁止访问的资源地址；确定所述目标资源地址名单中不包括所述多个访问请求分别请求访问的资源地址。4.根据权利要求1或2所述的方法，其特征在于，所述根据所述客户端对应的基准访问顺序与所述客户端的访问顺序之间差异，判断所述多个访问请求是否为恶意攻击请求，包括：对比在同一顺序位置上，所述客户端对应的基准访问顺序中的资源地址与所述客户端的访问顺序中的资源地址是否相同，确定所述客户端对应的基准访问顺序与所述客户端的访问顺序中存在差异的资源地址的数量；基于确定的所述数量计算所述客户端访问顺序的差异值；当所述差异值大于设定阈值时，确定所述多个访问请求是否为恶意攻击请求。5.一种网络攻击判断装置，其特征在于，所述装置包括：通信单元，用于接收来自客户端的多个访问请求；所述多个访问请求分别用于请求访问服务端的不同的资源地址；处理单元，被配置为执行：根据每个访问请求携带的时间戳确定所述客户端的访问顺序；所述客户端的访问顺序用于表征所述客户端请求访问的资源地址的顺序；获取预先建立的多个基准访问顺序，根据所述客户端的用户信息从所述多个基准访问顺序中确定所述客户端对应的基准访问顺序；根据所述客户端对应的基准访问顺序与所述客户端的访问顺序之间差异，判断所述多个访问请求是否为恶意攻击请求。6.根据权利要求5所述的装置，其特征在于，所述多个基准访问顺序是根据在所述服务
端上线后的设定时间段内收集到的各类用户的访问请求生成的，其中每个用户类型对应一个或多个基准访问顺序，所述用户类型包括访客类型、普通用户类型和管理人员类型中的至少一个；所述处理单元，具体用于：根据所述客户端的用户信息确定所述客户端的用户所属的用户类型；从所述多个基准访问顺序中查询与确定的用户种类对应的基准访问顺序。7.根据权利要求5或6所述的装置，其特征在于，所述处理单元，还用于：获取预先配置的目标资源地址名单；所述目标资源地址名单中包括的每个目标资源地址为所述服务端中禁止访问的资源地址；确定所述目标资源地址名单中不包括所述多个访问请求分别请求访问的资源地址。8.根据权利要求5或6所述的装置，其特征在于，所述处理单元，具体用于：对比在同一顺序位置上，所述客户端对应的基准访问顺序中的资源地址与所述客户端的访问顺序中的资源地址是否相同，确定所述客户端对应的基准访问顺序与所述客户端的访问顺序中存在差异的资源地址的数量；基于确定的所述数量计算所述客户端访问顺序的差异值；当所述差异值大于设定阈值时，确定所述多个访问请求是否为恶意攻击请求。9.一种电子设备，其特征在于，包括：存储器以及控制器；存储器，用于存储程序指令；控制器，用于调用所述存储器中存储的程序指令，按照获得的程序执行权利要求1-4中任一项所述的方法。10.一种计算机存储介质，存储有计算机可执行指令，其特征在于，所述计算机可执行指令用于执行如权利要求1-4中任一权利要求所述的方法。

技术总结
本申请公开了一种网络攻击判断方法及装置，用以提升拦截未知来源攻击和逻辑漏洞攻击的成功率。该方法包括：收来自客户端的多个访问请求；多个访问请求分别用于请求访问服务端的不同的资源地址；根据每个访问请求携带的时间戳确定客户端的访问顺序；客户端的访问顺序用于表征客户端请求访问的资源地址的顺序；获取预先建立的多个基准访问顺序，根据客户端的用户信息从多个基准访问顺序中确定客户端对应的基准访问顺序；根据客户端对应的基准访问顺序与客户端的访问顺序之间差异，判断多个访问请求是否为恶意攻击请求。问请求是否为恶意攻击请求。问请求是否为恶意攻击请求。


技术研发人员：高加盟 王爱宝 蒋春元 史菲菲 王峥
受保护的技术使用者：中国电信股份有限公司
技术研发日：2023.07.07
技术公布日：2023/10/5