一种票据交易网站安全防护方法，介质及装置

技术领域

本发明涉及票据处理技术领域，具体涉及一种票据交易网站安全防护方法，介质及装置。

背景技术

随着移动互联网的发展，越来越多的网站应用投入使用，网站也是企业对外的门户和平台，终端的多样化为企业管理网络入口带来了挑战。票据交易网站，也不例外，成为诸多外挂工具以及爬虫工具的聚集地。大量的爬虫工具，在票据交易网站上，进行票面信息以及交易信息的爬取。大量的抢票工具用于筛选并获取高价值票据。还存在一些同步票据工具将A交易平台发布的票据，实时同步并发布到B交易平台，从而获取卖票者给与的高额报酬。

而前业界针对web网站的防护，主要集中在部署WAF(Web应用防火墙)，IPS(入侵防御系统)，IDS(入侵检测系统)以及BOT(机器识别)防护等设备，对网站进行防护，采取以下方法：

1)、WAF设备可以防护大量诸如SQL注入、XSS跨站脚本攻击CSRF跨站请求伪造以及文件上传等web漏洞；

2)、IPS，IDS设备主要针对入侵防御和检测；

3)、BOT防护，主要用于识别机器流量；

上述三种方案为传统安全防护措施，可以防护一些基础外挂工具和简单的爬虫请求。但随着一段时间的对抗，外挂和爬虫工具很容易绕过上述的检测，继续在网站上使用，防御方容易束手无策。

发明内容

本发明的目的是提供一种票据交易网站安全防护方法，介质及装置，可以有效的与外挂和爬虫工具持续对抗，从而进行有效的防护。

为了实现上述目的，本发明提供如下技术方案：一种票据交易网站安全防护方法，包括以下步骤：

S01、通过部署的流量安全防护设备对网站的http请求进行混淆；

S02、应用服务请求预留自定义参数，并不定期的对所述自定义参数进行赋值；

S03、通过流量安全防护设备，对响应请求进行混淆，返回给用户。

作为优选的，所述全防护设备为瑞数动态应用防护系统。

作为优选的，所述步骤S01以及步骤S02均执行于业务系统上线前执行。

作为优选的，所述步骤S01在部署完流量安全防护设备后，需对外暴露服务器ID，然后再执行对网站的http请求的混淆。

作为优选的，所述步骤S02中执行所述定义参数的动态调整通过以下步骤完成：

S11、在第i次迭代的过程中，第一次变化的函数为X

S12、在第i+1次的迭代过程中，第n次变化的函数为X

S13、计算X

作为优选的，所述步骤S13具体如下：

S21、计算X

S22、若差值为正，则减小λ的数值；

S23、若差值为负，则增大λ的数值。

作为优选的，所述步骤S03执行于业务系统上线后。

作为优选的，所述λ为额定参数，且该参数取6。

在上述技术方案中，本发明提供的一种票据交易网站安全防护方法，介质及装置，具备以下有益效果：混淆http请求可以防止恶意工具仿造正常http请求进行访问，并通过不定期动态调整请求参数，可以增加上述绕过请求混淆的攻击成本。通过仿造请求加获取了当前的自定义参数值的方式，也仅仅是拿到了混淆后的响应报文，通过获取到的混淆后的报文，攻击者获取不到想要的结果，从而在对抗中落败。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的原理结构示意图；

图2为本发明实施例提供的流程结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1-2所示，一种票据交易网站安全防护方法，包括以下步骤：

S01、通过部署的流量安全防护设备对网站的http请求进行混淆；

S02、应用服务请求预留自定义参数，并不定期的对自定义参数进行赋值；

S03、通过流量安全防护设备，对响应请求进行混淆，返回给用户。

具体的，用户看到的返回请求，都是混淆过后的响应请求，这样用户即使前2种防护策略，拿到了返回，也无法快速获取相应返回结果。这些返回结果是有时效性的，当恶意工具解析了真实的返回结果，之前的返回结果，早已经没有太多价值了。

上述实施例中的，全防护设备为瑞数动态应用防护系统。

进一步的，步骤S01以及步骤S02均执行于业务系统上线前执行。

更为进一步的，步骤S01在部署完流量安全防护设备后，需对外暴露服务器ID，然后再执行对网站的http请求的混淆。

作为本发明进一步提供的一个实施例，步骤S02中执行定义参数的动态调整通过以下步骤完成：

S11、在第i次迭代的过程中，第一次变化的函数为Xi；

S12、在第i+1次的迭代过程中，第n次变化的函数为Xi+1；

S13、计算Xi-Xi+1的差值，动态调整超参数λ的数值，若差值为正，则减小λ的数值；若差值为负，则增大λ的数值。

进一步的，步骤S13具体如下：

S21、计算Xi-Xi+1的差值；

S22、若差值为正，则减小λ的数值；

S23、若差值为负，则增大λ的数值。

再者，λ为额定参数，且该参数取6。

作为本发明进一步提供的又一个实施例，步骤S03执行于业务系统上线后。

综上，混淆http请求可以防止恶意工具仿造正常http请求进行访问，并通过不定期动态调整请求参数，可以增加上述绕过请求混淆的攻击成本。通过仿造请求加获取了当前的自定义参数值的方式，也仅仅是拿到了混淆后的响应报文，通过获取到的混淆后的报文，攻击者获取不到想要的结果，从而在对抗中落败。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

本申请的实施例还提供能够实现上述实施例中的方法中全部步骤的一种电子设备的具体实施方式，所述电子设备具体包括如下内容：

处理器(processor)、存储器(memory)、通信接口(Communications Interface)和总线；

其中，所述处理器、存储器、通信接口通过所述总线完成相互间的通信；

所述处理器用于调用所述存储器中的计算机程序，所述处理器执行所述计算机程序时实现上述实施例中的方法中的全部步骤。

本申请的实施例还提供能够实现上述实施例中的方法中全部步骤的一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述实施例中的方法的全部步骤。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于硬件+程序类实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。虽然本说明书实施例提供了如实施例或流程图所述的方法操作步骤，但基于常规或者无创造性的手段可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。在实际中的装置或终端产品执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境，甚至为分布式数据处理环境)。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、产品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、产品或者设备所固有的要素。在没有更多限制的情况下，并不排除在包括所述要素的过程、方法、产品或者设备中还存在另外的相同或等同要素。为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本说明书实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现，也可以将实现同一功能的模块由多个子模块或子单元的组合实现等。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

本领域技术人员应明白，本说明书的实施例可提供为方法、系统或计算机程序产品。因此，本说明书实施例可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本说明书实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本说明书实施例的至少一个实施例或示例中。

在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。以上所述仅为本说明书实施例的实施例而已，并不用于限制本说明书实施例。对于本领域技术人员来说，本说明书实施例可以有各种更改和变化。凡在本说明书实施例的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本说明书实施例的权利要求范围之内。