对机器人恶意攻击的防护方法、防火墙、电子设备和存储介质

技术领域

本发明实施例涉及WEB应用防火墙领域，具体涉及对机器人恶意攻击的防护方法、防火墙、电子设备和存储介质。

背景技术

目前机器人攻击逐年增加，国内的人机识别攻击形势则更为严峻，尤其在一些资源抢占类和信息公示类系统中，人机识别发起的访问请求占比甚至超80％，而在所有针对Web服务的攻击流量中，自动化工具占比超过70％。

目前安全市场中大部分人机识别管理技术主要有以下几种形式：普通的自定义规则匹配，只能提高机器人攻击的门槛，不能从源头上检测和防范机器人攻击；单一的访问频率控制，通过这样的方式可以在一定程度上防护单IP高频访问的机器人，但无法阻断多IP分布式低频攻击和羊毛党。

从现有技术的实现效果来看，造成了很高的漏报率，导致数据泄露、消耗CPU资源的现象频频发生；同时也会造成很高的误报率，放行了羊毛党请求而阻断了正常用户的正常请求。

发明内容

本申请的目的在于克服上述问题或者至少部分地解决或缓减解决上述问题。本发明公开的技术方案为了能有效的对友好/恶意机器人行为进行甄别，防范每一次攻击又不影响正常业务，保证业务安全，因此设立了本专利的技术，用于应对此种背景方案的缺陷。

第一方面，本发明提供了一种对机器人恶意攻击的防护方法，其特征在于，所述方法包括，

通过访问请求次数和访问请求频率控制规则，对请求方访问请求次数和访问请求频率进行限制；

通过多种人机识别验证方式综合判断访问流量中是否包含恶意机器人访问请求；

解析流量并分析数据载荷，根据所述数据载荷执行行为标记不同危险等级评分，如果评分达到阈值，则对所述流量拦截。

与现有技术相比，本发明公开的一种对机器人恶意攻击的防护方法，为了能区别自动化流量和人类用户，并对这两类流量实施适当的控制，保护防范恶意爬虫所导致的非法查询、数据泄露等现象，防范营销活动中恶意注册、自动化抢券、抢票、刷票等欺诈行为，防范每一次攻击又不影响正常业务，保证业务安全。

第二方面，本发明还提供了一种具有人机识别管理功能的Web应用防火墙，其特征在于，包括，

限制模块，用于通过访问请求次数和访问请求频率控制规则，对访问请求次数和访问请求频率进行限制；

验证模块，用于通过多种人机识别验证方式综合判断访问流量中是否包含恶意机器人访问请求；

解析模块，用于解析流量并分析数据载荷，根据所述数据载荷执行行为标记不同危险等级评分，如果评分达到阈值，则对所述流量拦截。

第二方面，本发明还提供了一种电子设备，包括，

多个存储器，分别用于存储计算机程序；

多个处理器，分别执行计算机程序，以实现上述任意一项权利要求中所述的服务模块的功能和操作。

与现有技术相比，本发明公开的电子设备的有益效果与上述任一项技术方案公开一种对机器人恶意攻击的防护方法的有益效果相同，在此不再赘述。

第三方面，本发明还提供了一种电子设备，包括，多个存储器，分别用于存储计算机程序；

多个处理器，分别执行计算机程序，以实现上述任一一技术方案所述的服务模块的功能和操作。。

与现有技术相比，本发明公开的电子设备的有益效果与上述任一项技术方案公开一种对机器人恶意攻击的防护方法的有益效果相同，在此不再赘述。

第四方面，本发明还提供了一种计算机存储介质，所述计算机存储介质存储有计算机程序指令，所述计算机程序指令用于执行如上述任一项所述的方法。

与现有技术相比，本发明公开的电子设备的有益效果与上述任一项技术方案公开一种对机器人恶意攻击的防护方法的有益效果相同，在此不再赘述。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。后文将参照附图以示例性而非限制性的方式详细描述本申请的一些具体实施例。附图中相同的附图标记标示了相同或类似的部件或部分，本领域技术人员应该理解的是，这些附图未必是按比例绘制的，在附图中：

图1为本发明实施例中公开的一种对机器人恶意攻击的防护方法流程示意图；

图2为本发明实施例中公开的另一种对机器人恶意攻击的防护方法流程示意图；

图3为本发明实施例公开的一种具有人机识别管理功能的Web应用防火墙结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

如图1所示，本发明提供了一种对机器人恶意攻击的防护方法，其特征在于，所述方法包括，

步骤S11，通过访问请求次数和访问请求频率控制规则，对请求方访问请求次数和访问请求频率进行限制；

需要说明的是，步骤S11中，配置好站点防护策略中的频率控制规则，可对用户请求频率进行限制，通常的业务流量，根据实际业务习惯，会有一个访问频率的范围，这个范围属于正常人进行浏览、交易或查询的正常访问频率。Web应用防火墙将依据源IP进行统计，对每一个IP对不同站点的访问次数和频率进行统计，当达到一段时间访问次数超过阈值，将封禁该IP一段时间，但是机器人自动化访问本质上是一种无人值守的快速遍历试探行为，因此具有超过正常业务访问的频率特征，据此可以得出一个用于区分正常业务和自动访问的访问频率阈值，当请求次数达到设定的阈值，直接将IP进行封禁，此举可拦截自动化扫描、批量注册、CC攻击、高频爬虫等常见的机器人攻击。

步骤S12，通过多种人机识别验证方式综合判断访问流量中是否包含恶意机器人访问请求；

需要说明的是，步骤S12中，首先是开启验证码验证，当用户初次访问时，请求者访问将被Web应用防火墙自动定向至内置的图片验证码验证界面，请求者需要输入验证码计算结果并提交，系统将比对后台数据与用户提交结果，判断是否是人为请求，匹配正确则选择放行，错误则进行拦截；

其次是基于挑战的机器人验证，服务器会向请求方发起一个测试，请求方需要迎接挑战，提交测试结果给服务器，如果结果正确，则被放行，错误则进行拦截；此举可判断是正常的浏览器请求还是恶意的机器人攻击；

最后是通过绘制浏览器画像验证，系统将统计请求方的多个特征，包括请求的浏览器标志、显示器显示像素比等参数，并进行分析识别，绘制一个浏览器画像，判断这是友好的浏览器请求还是恶意的机器人攻击。此举可防范来自不同区域的机器人的低频率攻击，比如分布式低频爬虫。

步骤S13，解析流量并分析数据载荷，根据所述数据载荷执行行为标记不同危险等级评分，如果评分达到阈值，则对所述流量拦截。

当需要说明的是，步骤S13中，Web应用防火墙接收到访问请求，将会对该流量按照标准http/https协议进行解析，并对http/https协议的载荷数据进行分析。通过分析，可以得出该载荷的实际执行行为的可能情况，并对每种可能的情况标记一个威胁等级评分。如果评分达到了阈值，将直接对流量拦截。

作为本发明的实施例，本申请可以针对CC攻击、恶意爬虫、批量注册等自动化攻击行为的防护，本发明公开的技术方案中的人机识别管理在上述场景中实现了以下几个层面的防护。

针对用户遭受到的CC攻击、批量注册、单IP高频访问实行访问频率限制。当Web应用防火墙接收到访问请求，先通过威胁情报库对该请求进行分析、评分，判断是否是危险请求，如果判断为危险请求则直接拦截；再通过验证码和基于挑战的机器人验证，两种验证方式对机器人进行进一步过滤；最后通过访问频率限制规则对特定接口限制单IP的高频请求，当检测到访问次数达到某个阈值，其IP将被封禁。

针对用户遭受到的分布式低频攻击，通过统计浏览器的特征并进行分析，绘制一个浏览器画像，然后判断是友好的流量还是恶意的流量，当检测结果确定无害，则进行放行，否则进行拦截。

Web应用防火墙的人机识别管理功能，在上述所有的攻击场景中都发挥了巨大的作用，有效地防范了机器人攻击，避免了造成黑灰产业给客户带来的业务损失和安全威胁。

如图2所示，本发明提供了一种对机器人恶意攻击的防护方法，其特征在于，所述方法还包括，

步骤S14，基于人机识别验证日志，统计分析访问请求记录，以便制定后续人机识别验证验证策略。

当需要说明的是，步骤S14中，查询人机识别验证记录日志和验证结果日志，可对访问记录进行统计与分析，分别对友好机器人请求、恶意机器人请求、人类用户请求记录三类请求具有的特征进行分析，进行下一步策略和规则上的制定和优化。

通常的人机识别管理产品采用单一的访问频率控制或规则匹配，无法有效地对恶意机器人请求进行拦截，从而造成很多业务层面的困扰和损失，而本申请通过结合访问频率控制，从验证码、基于挑战的机器人验证、浏览器画像三个层面，去防护恶意的机器人行为，由于威胁情报打分机制可以对请求进行初步的筛选，访问频率控制可以直接拦截高频机器人请求，验证码、基于挑战的机器人验证和浏览器画像可进一步甄别友好/恶意的机器人请求，逐层筛选、防护，有效的保护了业务安全，防范了欺诈、爬虫等行为。

本申请采用了将人机识别管理和访问频率控制有机结合在一起，并共同植入到Web应用防火墙中对Web应用进行防护，通过验证码验证、基于挑战的机器人验证和绘制浏览器画像三种核心验证机制对机器人行为进行事前的检测和阻断，逐层筛选，有效防护，通过人机识别管理验证记录日志和验证结果日志进行事后分析，可清晰地观察每一条记录的特征，有助于进一步优化防护策略，使整个系统形成完备的事前阻断、事后分析体系。

第二方面，本申请还提供了一种具有人机识别管理功能的Web应用防火墙，包括，

限制模块21，用于通过访问请求次数和访问请求频率控制规则，对访问请求次数和访问请求频率进行限制；

验证模块22，用于通过多种人机识别验证方式综合判断访问流量中是否包含恶意机器人访问请求；

解析模块23，用于解析流量并分析数据载荷，根据所述数据载荷执行行为标记不同危险等级评分，如果评分达到阈值，则对所述流量拦截。

与现有技术相比，本发明公开的一种具有人机识别管理功能的Web应用防火墙的有益效果与上述任一项技术方案公开一种对机器人恶意攻击的防护方法的有益效果相同，在此不再赘述。

第三方面，本发明还提供了一种电子设备，包括，多个存储器，分别用于存储计算机程序；

多个处理器，分别执行计算机程序，以实现上述任一一技术方案所述的服务模块的功能和操作。

在本发明的实施例中，各个模块或系统可以是由计算机程序指令形成的处理器，处理器可以是一种集成电路芯片，具有信号的处理能力。处理器可以是通用处理器、数字信号处理器(Digital Signal Processor，简称DSP)、专用集成电路(Application SpecificIntegrated Circuit，简称ASIC)、现场可编程门阵列(FieldProgrammable Gate Array，简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。处理器读取存储介质中的信息，结合其硬件完成上述方法的步骤。

根据本申请的第四个方面，还提供了一种计算机存储介质，所述计算机存储介质存储有计算机程序指令，所述计算机程序指令用于执行如上所述的方法。

存储介质可以是存储器，例如可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。

其中，非易失性存储器可以是只读存储器(Read-Only Memory，简称ROM)、可编程只读存储器(Programmable ROM，简称PROM)、可擦除可编程只读存储器(Erasable PROM，简称EPROM)、电可擦除可编程只读存储器(Electrically EPROM，简称EEPROM)或闪存。

易失性存储器可以是随机存取存储器(Random Access Memory，简称RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，简称SRAM)、动态随机存取存储器(Dynamic RAM，简称DRAM)、同步动态随机存取存储器(Synchronous DRAM，简称SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM，简称DDRSDRAM)、增强型同步动态随机存取存储器(EnhancedSDRAM，简称ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，简称SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM，简称DRRAM)。

本发明实施例描述的存储介质旨在包括但不限于这些和任意其它适合类型的存储器。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的功能可以用硬件与软件组合来实现。当应用软件时，可以将相应功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。