[发明专利]对APP和网关通信进行批量攻击的检测识别方法及装置

权利要求书

1.一种对APP和网关通信进行批量攻击的检测识别方法，其特征在于，包括如下步骤：

A)对客户端APP和网关进行通信的每种请求约定其编号以及相对顺序号；

B)当任意一个所述客户端APP连上所述网关时，所述网关将其每次的请求行为记录到请求行为数据库中；所述请求行为包括会话ID、请求的种类编号、请求的IP和请求的发起时间信息；

C)所述网关建立异常请求行为规则集，并将其保存到行为异常数据库中；

D)所述网关自动对请求行为超过设定次数的单个会话进行行为分析，并自动检测所述单个会话是否符合所述异常请求行为规则集中的一条或多条行为异常规则的会话ID，如是，执行步骤E)；否则，认为所述单个会话正常；

E)判断所述单个会话是否达到自动拦截确认的阈值，如是，确认存在批量攻击嫌疑，执行步骤G)；否则，将所述单个会话提交到人工进行二次判断，执行步骤F)；

F)所述人工对所述单个会话进行行为判断界定，判断是否存在嫌疑，如是，确认存在批量攻击嫌疑，执行步骤G)；否则，对所述异常请求行为规则集进行丰富和校正，并返回步骤D)；

G)所述网关将检测识别结果发送到所述客户端APP；

所述异常请求行为规则集包括会话超过设定时间仍在线的场景、发出请求的频率超出了正常人的反应速度的场景、发出请求的时间跨越了凌晨的场景和多个会话源自同一IP的场景。

2.根据权利要求1所述的对APP和网关通信进行批量攻击的检测识别方法，其特征在于，所述异常请求行为规则集还包括请求的分布偏离平均分布概率的偏离量大于设定值的场景、请求被调用的次数或总请求次数与基准值相差超出设定差值范围的场景、以及请求在正常情况下只被调用一次但在被怀疑对象那里被调用多次的场景。

3.根据权利要求1或2所述的对APP和网关通信进行批量攻击的检测识别方法，其特征在于，所述异常请求行为规则集还包括对有特定顺序的请求在某会话中颠倒或缺失某个环节的场景。

4.根据权利要求3所述的对APP和网关通信进行批量攻击的检测识别方法，其特征在于，所述异常请求行为规则集还包括某些功能在界面跳转多次才能到达，但在被怀疑的会话中直接就开始被调用的场景。

5.一种实现如权利要求1所述的对APP和网关通信进行批量攻击的检测识别方法的装置，其特征在于，包括：

编号顺序号约定单元：用于对客户端APP和网关进行通信的每种请求约定其编号以及相对顺序号；

请求行为记录单元：用于当任意一个所述客户端APP连上所述网关时，所述网关将其每次的请求行为记录到请求行为数据库中；所述请求行为包括会话ID、请求的种类编号、请求的IP和请求的发起时间信息；

异常请求行为规则集建立单元：用于使所述网关建立异常请求行为规则集，并将其保存到行为异常数据库中；

行为分析检测单元：用于使所述网关自动对请求行为超过设定次数的单个会话进行行为分析，并自动检测所述单个会话是否符合所述异常请求行为规则集中的一条或多条行为异常规则的会话ID，如是，进行后续的自动拦截确认的阈值的判断；否则，认为所述单个会话正常；

自动拦截确认的阈值判断单元：用于判断所述单个会话是否达到自动拦截确认的阈值，如是，确认存在批量攻击嫌疑；否则，将所述单个会话提交到人工进行二次判断；

行为界定单元：用于使所述人工对所述单个会话进行行为判断界定，判断是否存在嫌疑，如是，确认存在批量攻击嫌疑；否则，对所述异常请求行为规则集进行丰富和校正；

检测识别结果发送单元：用于使所述网关将检测识别结果发送到所述客户端APP；

所述异常请求行为规则集包括会话超过设定时间仍在线的场景、发出请求的频率超出了正常人的反应速度的场景、发出请求的时间跨越了凌晨的场景和多个会话源自同一IP的场景。

6.根据权利要求5所述的装置，其特征在于，所述异常请求行为规则集还包括请求的分布偏离平均分布概率的偏离量大于设定值的场景、请求被调用的次数或总请求次数与基准值相差超出设定差值范围的场景、以及请求在正常情况下只被调用一次但在被怀疑对象那里被调用多次的场景。