[发明专利]一种访问请求处理方法及装置

说明书

本申请实施例公开了一种访问请求处理方法和装置，用于提高目标网站服务器的安全防护效果。其中，方法包括：获取终端设备与目标网站服务器之间交互产生的至少一个会话的访问请求，至少一个会话中的每个会话中包括至少两个先后发送的、且源地址为终端设备的IP地址的访问请求；针对至少一个会话中的第一会话，根据第一会话中的至少两个先后发送的访问请求中的每个访问请求包括的URL，得到第一会话对应的URL访问路径，以此类推，从而得到至少一个会话中每个会话对应的URL访问路径；当至少一个会话中的一个或多个会话对应的URL访问路径符合预设规则时，确认终端设备的IP地址为恶意源IP地址。

技术领域

本申请涉及网络通信领域，尤其涉及一种访问请求处理方法及装置。

背景技术

随着互联网的迅猛发展，对网页(Web)服务器的攻击也日益频繁。攻击者通过控制代理服务器、或者被控计算机对目标网站服务器发起大量的恶意访问请求，以快速占用目标网站服务器的资源，导致目标网站服务器无法处理来自用户设备的正常访问请求。所以，识别用于攻击目标服务器的恶意访问请求对于保证目标网站服务器的正常运行非常重要。

目前常用的检测恶意访问请求的方式是统计单位时间内来自同一个源互联网协议(Internet Protocol，IP)地址的访问请求的数目是否超过一定的阈值，如果是，则认为来自该源IP地址的访问请求为恶意访问请求；如果否，则认为来自该源IP地址的访问请求为正常访问请求。

然而，若攻击者采用大量的代理服务器向目标网站服务器发送恶意访问请求，并保证通过代理服务器转换后的每个源IP地址在单位时间内向目标服务器发送的恶意访问请求的数目均低于阈值，就可以绕开上述检测方式从而攻击目标网站服务器。或者攻击者通过大量被控计算机向目标网站服务器发送恶意访问请求，但每个被控计算机发送的恶意访问请求的数目均低于阈值，也可以绕开上述检测方式。因此现有检测方式对于目标网站服务器的安全防护效果一般。

发明内容

本申请实施例提供了一种访问请求处理方法和装置，用于提高目标网站服务器的安全防护效果。

第一方面，本申请实施例提供了一种访问请求处理方法，该方法可以应用于安全设备，安全设备例如是入侵防御系统(intrusion prevention system，IPS)设备或统一威胁管理(unified threat management，UTM)设备等。该访问请求处理方法可以包括如下步骤：首先，获取终端设备与目标网站服务器之间交互产生的至少一个会话的访问请求，至少一个会话中的每个会话中包括至少两个先后发送的、且源地址为终端设备的IP地址的访问请求，每个访问请求中包括目标网站服务器提供的一个统一资源定位符(uniformresource locator，URL)。其次，针对至少一个会话中的第一会话，根据第一会话中的至少两个先后发送的访问请求中的每个访问请求包括的URL，得到第一会话对应的URL访问路径，第一会话对应的URL访问路径体现终端设备在第一会话中对URL的访问顺序，以此类推，从而得到至少一个会话中每个会话对应的URL访问路径。当至少一个会话中的一个或多个会话对应的URL访问路径符合预设规则时，确认终端设备的IP地址为恶意源IP地址，预设规则体现使用恶意源IP地址的设备对一个网站服务器发出访问请求的规律。

本申请实施例通过获取终端设备与目标网站服务器之间交互产生的至少一个会话的访问请求，并根据访问请求中包括的URL以及访问请求的访问顺序，得到至少一个会话中每个会话对应的URL访问路径，通过判断至少一个会话中的一个或多个会话对应的URL访问路径是否符合预设规则，来确定终端设备的IP地址是否为恶意源IP地址。相对于传统的基于单位时间内来自终端设备IP地址的访问请求的数目是否超过一定的阈值的方式来判断终端设备的IP地址是否为恶意IP地址，本申请实施例不依赖于终端设备发送访问请求的数目，而是通过URL访问路径是否符合恶意访问的规律来对恶意IP地址进行识别，所以提高了识别准确率。