[发明专利]对APP和网关通信进行批量攻击的检测识别方法及装置

说明书

本发明提出了一种对APP和网关通信进行批量攻击的检测识别方法及装置，方法包括：对客户端APP和网关通信的每种请求约定编号及相对顺序号；将每次请求行为记录到请求行为数据库中；建立异常请求行为规则集；对请求行为超过设定次数的单个会话进行行为分析，并检测是否符合异常请求行为规则集中的一条或多条，如是，执行下一步骤；否则，认为单个会话正常；判断是否达到自动拦截确认的阈值，如是，确认存在批量攻击嫌疑；否则，将单个会话提交到人工进行判断；认为不存在嫌疑时，对异常请求行为规则集进行丰富和校正。实施本发明的对APP和网关通信进行批量攻击的检测识别方法及装置，具有以下有益效果：能从根本上解决批量攻击的检测问题。

技术领域

本发明涉及互联网领域，特别涉及一种对APP和网关通信进行批量攻击的检测识别方法及装置。

背景技术

移动互联网和手机智能化的发展使得安卓手机上的应用程序(简称APP)能够满足越来越多的需求，其和后台服务器(简称网关)之间的通信也变得非常频繁。由于APP易被反编译从而轻易被看到源代码中关于加解密的关键信息：加解密算法和密匙。这样，通过对APP和网关两者之间的数据通信进行拦截和解密，结合APP界面上的交互，并加以分析，便能总结出这两者之间的数据通信协议，入侵者从而可以将自己的程序伪装成为目标APP，模拟人手操作与目标网关进行通信，高频批量攻击、检索获取目标网关中的高附加值数据。

因APP所在的安卓操作系统特性决定了APP的易被反编译性和网络传输协议HTTP的开放高效性无法在短期内变化。若使用HTTPS则会在性能上带来非常大的损失。目前常见的情况是：企业在日常生产过程中被攻击时很难及时检测的到，总是在被大批量攻击发生很久之后才发现比如“互联网带宽被告警了”，“服务器瘫痪了”、“正常APP连接不上”等等迹象。

一般的做法是将APP和网关之间的传输数据进行加密，每个APP的版本使用不同的密匙，频繁升级APP版本，过于老旧的APP版本强制升级至最新的版本。这样做的问题在于攻击者仍然较为容易获取到密匙，进而继续发起批量攻击，从而对系统运行造成持续安全隐患。还有一些较为复杂的做法，比如在每个会话内隔一段时间就换一次密匙，这样，虽然可以增加难度，但是不能从根本上解决批量攻击的检测问题。

发明内容

本发明要解决的技术问题在于，针对现有技术的上述不能从根本上解决批量攻击的检测问题的缺陷，提供一种能从根本上解决批量攻击的检测问题的对APP和网关通信进行批量攻击的检测识别方法及装置。

本发明解决其技术问题所采用的技术方案是：构造一种对APP和网关通信进行批量攻击的检测识别方法，包括如下步骤：

A)对客户端APP和网关进行通信的每种请求约定其编号以及相对顺序号；

B)当任意一个所述客户端APP连上所述网关时，所述网关将其每次的请求行为记录到请求行为数据库中；所述请求行为包括会话ID、请求的种类编号、请求的IP和请求的发起时间信息；

C)所述网关建立异常请求行为规则集，并将其保存到行为异常数据库中；

D)所述网关自动对请求行为超过设定次数的单个会话进行行为分析，并自动检测所述单个会话是否符合所述异常请求行为规则集中的一条或多条行为异常规则的会话ID，如是，执行步骤E)；否则，认为所述单个会话正常；

E)判断所述单个会话是否达到自动拦截确认的阈值，如是，确认存在批量攻击嫌疑，执行步骤G)；否则，将所述单个会话提交到人工进行二次判断，执行步骤F)；

F)所述人工对所述单个会话进行行为判断界定，判断是否存在嫌疑，如是，确认存在批量攻击嫌疑，执行步骤G)；否则，对所述异常请求行为规则集进行丰富和校正，并返回步骤D)；

G)所述网关将检测识别结果发送到所述客户端APP。