WO2018121331A1

WO2018121331A1 - 攻击请求的确定方法、装置及服务器

Info

Publication number: WO2018121331A1
Application number: PCT/CN2017/117067
Authority: WO
Inventors: 冯帅涛; 杨洋; 向西西
Original assignee: Alibaba Group Holding Ltd
Current assignee: Alibaba Group Holding Ltd
Priority date: 2016-12-28
Filing date: 2017-12-19
Publication date: 2018-07-05
Anticipated expiration: 2019-06-28
Also published as: CN108259425A; TW201824047A

Abstract

本申请提供一种攻击请求的确定方法、装置及服务器，所述方法包括：接收访问请求；提取所述访问请求中的第一请求信息，将所述第一请求信息分别与预设置的支持多种匹配参数的各种类型的黑名单中的信息进行匹配；在与任一类型的黑名单中的信息匹配成功时，确定所述访问请求为攻击请求。通过本申请的技术方案，解决了现有技术中仅通过IP地址的访问次数来确定攻击请求的方式对于IP地址访问频率不高的CC攻击类型并不适用、无法精确识别各种类型的CC攻击、误杀率高等问题，能够基于多种匹配参数对访问请求进行判断，判断维度更广，判断方式更为灵活，且判断结果更为准确。

Description

攻击请求的确定方法、装置及服务器

本申请要求2016年12月28日递交的申请号为201611243727.8、发明名称为“攻击请求的确定方法、装置及服务器”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及互联网安全技术领域，尤其涉及一种攻击请求的确定方法、装置及服务器。

背景技术

随着互联网业务的不断发展，网站的页面越来越复杂，网站对请求的处理也需要消耗越来越多的资源，这种情况下，访问的用户越多，系统的负载越高。网站易于遭受到CC(Challenge Collapsar，挑战黑洞)攻击，CC攻击会造成巨大的资源消耗，从而导致页面的打开速度变的非常慢，如果CPU(Central Processing Unit，中央处理单元)或带宽资源被消耗尽，可能出现服务不可用的情况，从而影响用户访问网络，用户体验较差。

现有技术中，主要通过对IP(Internet Protocol，互联网协议)地址的访问量进行统计来确定CC攻击，如果某一IP地址在某段时间内的访问量超过设定阈值，则将该IP地址列入黑名单，并进行基于IP地址的阻断。

这种方法对于使用同一IP大量访问的情况下能够检测出CC攻击，但是不能够准确识别随机URI(Uniform Resource Identifiers，统一资源标识符)攻击类型、随机域名类型等CC攻击，而且仅仅通过IP的角度进行统计的方式比较单一，不够灵活，攻击者可以根据IP统计的规则，逐渐减少攻击次数，继而制造出访问次数不超过设定阈值的恶意攻击。如果将阈值调整的较小，则会增大误杀率，尤其是在无线网络和NAT(Network Address Translation，网络地址转换)网络普及的情况下，存在多个用户使用同一个出口IP的问题，更加容易造成误杀。

发明内容

本申请提供攻击请求的确定方法及装置，以解决现有技术仅通过IP地址的访问次数来确定攻击请求的方式对于IP地址访问频率不高的CC攻击类型并不适用、无法精确识别各种类型的CC攻击、误杀率高等问题。

根据本申请实施例的第一方面，提供了一种攻击请求的确定方法，应用在服务器上，包括：

接收访问请求；

提取所述访问请求中的第一请求信息，将所述第一请求信息分别与预设置的支持多种匹配参数的各种类型的黑名单中的信息进行匹配；

在与任一类型的黑名单中的信息匹配成功时，确定所述访问请求为攻击请求。

根据本申请实施例的第二方面，提供一种攻击请求的确定装置，应用在服务器上，包括：

接收单元，用于接收访问请求；

匹配单元，用于提取所述访问请求中的第一请求信息，将所述第一请求信息分别与预设置的支持多种匹配参数的各种类型的黑名单中的信息进行匹配；

第一确定单元，用于在与任一类型的黑名单中的信息匹配成功时，确定所述访问请求为攻击请求。

根据本申请实施例的第三方面，提供一种服务器，包括：

收发模块，用于接收访问请求，并提取所述访问请求中的第一请求信息；

阻断模块，与所述执行模块连接，用于将所述第一请求信息与预设置的支持多种匹配参数的各种类型的黑名单中的信息进行匹配，并在与任一类型的黑名单中的信息匹配成功时，确定所述访问请求为攻击请求。

根据本申请实施例的第四方面，提供一种攻击请求的确定装置，所述装置为服务器，包括：处理器；用于存储所述处理器可执行指令的存储器；其中，所述处理器被配置为：

接收访问请求；

根据本申请实施例的第五方面，提供一种计算机存储介质，所述存储介质中存储有程序指令，所述指令包括：

接收访问请求；

由以上技术方案可见，本申请的实施例中服务器中设置了支持多种匹配参数的各种类型的黑名单，从而不仅能够通过IP地址的访问次数进行判断，还基于header、cookie及args等类型进行CC攻击的判断，从而能够对攻击请求实现更加精确的判断，避免误判断；判断维度更广，判断方式更为灵活，且判断结果更为准确。

附图说明

图1是本申请攻击请求的确定方法的场景示意图；

图2是本申请攻击请求的确定方法的一个实施例流程图；

图3是本申请攻击请求的确定装置所在设备的一种硬件结构图；

图4为本申请攻击请求的确定装置的一种硬件结构图；

图5为本申请攻击请求的确定装置的一个实施例框图。

具体实施方式

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

现有技术中，当网站受到CC攻击时，通常基于接收到的请求确定IP地址，然后统计该IP地址在某时间段内的访问量，如果访问量超过了设定阈值，则基于该IP生成IP黑名单，以便对来自该IP地址的请求进行阻断。这种方式仅能够对同一IP地址频繁访问的CC攻击进行阻断，但是攻击者可以以少于设定阈值的次数进行攻击；而且这种方式对于IP地址访问频率不高的CC攻击类型并不适用，例如：频繁访问某个大文件的URI，使用较少的攻击次数就能够将服务器的出口带宽打满，影响用户访问，这种情况下仅根据IP地址进行阻断，极有可能对访问其他URI的IP地址造成误判断。再例如针对CDN(Content Delivery Network，内容分发网络)节点的域名攻击请求，由于会导致 CDN节点频繁查询DNS(Domain Name System，域名系统)，因而即使访问量(攻击量)不大也会导致DNS服务器挂掉。再例如针对CDN节点的随机URI攻击，这种与IP地址的访问量并无直接关系的攻击会导致请求每次都穿透到源站，导致服务异常。再例如模拟用户访问网站时的一些非常耗时的操作，比如电商网站上的下单操作，这种攻击即使访问量比较小也会导致网站瘫痪。综上，基于IP地址的访问量进行识别的方式并不能准确确定上述各种CC攻击。

本申请的实施例提出一种新的攻击请求的确定方法及装置，通过预先设置的表达式以及设定时间段内的请求信息和响应信息来确定各种类型的黑名单，基于黑名单对接收到的请求进行判断和阻断，这种方式能够针对攻击类型的特点，配置若干针对性的表达式，从而实现对各种类型的CC攻击都能够做到有效防御的效果。本申请的实施例可以应用于服务器中，服务器可以是一个物理或逻辑服务器，也可以是由两个或两个以上分担不同职责的物理或逻辑服务器、相互协同来实现本申请实施例中服务器的各项功能。本申请实施例对服务器的种类，以及服务器之间通信网络的类型、协议等均不做限定。

参见图1，为本申请实施例的攻击请求的确定方法的场景示意图：

图1中包括：服务器、n台计算机，分别为第一计算机、第二计算机直到第N计算机，服务器接收来自n台计算机的请求。

应用在服务器上的攻击请求的确定方法的流程如图2所示，包括以下步骤：

步骤201、接收访问请求。

本申请实施例中，该请求可以包括http(Hyper Text Transfer Protocol，超文本传输协议)请求、rrt请求、mp请求等应用层的请求，请求的内容可以包括对网页、视频、直播的请求等。本申请实施例中以http请求为例进行说明。

步骤202、提取访问请求中的第一请求信息，将第一请求信息分别与预设置的支持多种匹配参数的各种类型的黑名单中的信息进行匹配。

本申请步骤中，服务器对接收到的访问请求进行解析，得到的第一请求信息可以包括以下任一个或多个参数，但不限于以下参数：

count，表示对应黑名单key(黑名单键值，可以理解为上述匹配参数)的访问次数，例如黑名单中的过滤信息为IP＝111.1.1.1，那么count可以表示该IP＝111.1.1.1的地址的访问次数。

uri_num，表示访问某个URI的次数，例如uri_num/a和uri_num/b为不同的URI。

status_count，表示请求中返回某个状态码的次数，需要带参数，例如status_count|404，表示请求中返回状态码404的次数。

status_ratio，表示请求中返回某个状态码的次数占总访问次数的比例，需要带参数，例如status_ratio|404，表示请求中返回状态码404的次数占总访问次数比例。其中，总访问次数指的是设定时间间隔内的访问次数。

arg_num，表示请求中携带某个arg的个数，需要带参数，可以用arg_num|x来表示，比如/a？x＝1和/a？x＝2表示访问了2次。

none_arg_ratio，表示不携带某个arg的请求占总请求数的比例，需要带参数，例如none_arg_ratio|x，即不携带arg为x的请求占总请求数的比例。其中总请求数表示在黑名单的有效期内，即设定时间间隔内接收到的总请求数。

cookie_num，表示请求中携带某个cookie的个数，需要带参数,例如cookie_num|x表示请求中携带cookie为x的个数。

none_cookie_ratio，表示不携带某个cookie的请求占总请求数的比例，需要带参数，例如none_cookie_ratio|x，表示不携带cookie为x的请求占总请求数的比例。

req_header_num，表示请求中携带某个header的个数，需要带参数,例如req_header_num|x，表示请求中携带header为x的个数。

none_req_header_ratio，表示不携带某个header的请求占总请求的个数，需要带参数，例如none_header_ratio|x，表示不携带header为x的请求占总请求数的比例。

resp_header_num，表示响应中携带某个header的个数，需要带参数,例如resp_header_num|x响应中携带header为x的个数。

none_req_header_ratio，表示不携带某个header的响应占总请求数的比例，需要带参数，例如none_header_ratio|x，表示不携带header为x的响应占总请求数的比例。

method_ratio，表示以某个方式提交的请求的个数占总请求数的比例，需要带参数，例如method_ratio|POST，表示以post方式提交的请求的个数占总访问数的比例，请求还可以以get方式提交、以delete方式提交、以head方式提交、以put方式提交等，都可以计算对应的请求个数占总请求数的比例。

method_count表示以某个方式提交的请求的次数，需要带参数，例如method_count|POST，表示以POST方式提交的请求的次数。

req_traffic，表示请求的总流量值，也就是在黑名单有效期内所接收的请求所消耗的总流量值。

resp_traafic，表示响应的总流量值，也就是在黑名单有效期内所发送的响应所消耗的总流量值。

本申请实施例中，服务器可以预先设置支持多种匹配参数的黑名单，黑名单包括多种类型，而不像现有技术中那样仅有针对IP地址的类型，设置黑名单包括以下步骤(图2中未示出)：

步骤301、对设定时间段内接收到的访问请求和/或发出去的响应进行解析，分别得到第二请求信息和/或响应信息。

本申请步骤中，设定时间段可以是用于表示攻击条件的表达式的执行时间间隔所分隔成的时间段，例如执行时间间隔为10s，那么该设定时间段即当前时间之前10s的时间段。第二请求信息和响应信息可以为上述步骤202中所列举的参数中的任一个或多个。

步骤302、基于预设置的表达式中的变量，从第二请求信息和/或响应信息中提取对应于该变量的信息。

本申请实施例中，可以预先设置表达式，该表达式由变量和操作符组成，用于表示攻击条件，本申请实施例中基于CC攻击的各种类型和特点可以设置多个表达式，以便后续能够生成涵盖多种CC攻击类型的黑名单。本步骤中，提取第二请求信息和/或响应信息中对应于表达式的变量的信息。

其中，操作符可以包括但不限于下述几种：

括号：()

大于号：>

小于号：<

或操作符：||

与操作符：&&

通过上述设置表达式的方式，增加了统计的灵活度，可以根据攻击的类型及实际情况及时调整表达式，从而便于对各种攻击做出精确判断，从而扩大了攻击的判断覆盖范围，可以同时结合状态码、header以及流量信息等进行判断，判断维度更广，判断结果更精确。

步骤303、将所提取的信息作为输入代入表达式的变量中进行运算。

在提取了对应于表达式的所有变量的信息之后，服务器将所提取的信息代入到表达式的变量中，进行运算。

步骤304、在运算结果为符合攻击条件时，基于表达式中的参数所属的类型生成黑名单。

由于表达式所表示的是攻击条件，那么当运算结果为是(true)时，说明代入到表达式变量中的信息符合该攻击条件，那么对应于该信息的访问请求极有可能是攻击请求，因而，在运算结果为是时，可以生成黑名单。在运算结果为否(false)时，说明代入到表达式变量中的信息不符合该攻击条件，那么对应于该信息的访问请求通常不是攻击请求。

从上述描述可知，黑名单为预先生成的，而非在接收到请求之后才进行信息的统计和黑名单的生成，判断的过程也比较简单，仅判断访问请求中的信息是否存在于黑名单中即可，这种方式反应迅速，不会延长访问的响应时间，特别适用于高并发的场景，而且尤其适用于分布式环境中，对整个分布式环境的所有http信息进行统计，覆盖范围更广。

具体而言，本申请实施例中将黑名单分为四种类型，黑名单类型与匹配参数相对应，也就是说黑名单支持四种匹配参数：包括：IP、header_x、cookie_x以及arg_x。

例如，IP＝111.1.1.1，表示以IP地址作为类型，生成IP地址为111.1.1.1的黑名单。

header_host＝ww.cdn.com，表示生成请求的header(头)中host(指定请求的服务器的域名和端口号)为ww.cdn.com的黑名单。

cookie_unc＝test，表示生成请求的cookie中unc＝test的黑名单。

arg_user＝admin，表示生成请求参数中user＝admin的黑名单。

那么在本步骤中，需要确定运算结果为是的表达式的变量所属的黑名单类型，然后，依据所属的黑名单类型和代入的信息生成对应类型的黑名单。

例如，对于表达式："none_cookie_ratio|t">0.5，当代入该表达式的信息的结果为是时，根据该表达式对应的变量none_cookie_ratio，能够确定所属的黑名单类型为cookie_x，那么可以生成“cookie中unc＝test”的黑名单。

再例如，针对随机域名和随机URI的CC攻击，表达式为：

("status_ratio|404">0.6&&"uri_num">5&&"count">50000)||("status_ratio|502">0.6&&"count">100)||("status_ratio|504">0.6&&"count">500)||("status_ratio|503">0.6&&"count">500)，即结合状态码，请求的URI数目和请求次数等信息来综合判断是否存在CC攻击。匹配参数越多，判断方式越灵活，判断结果越精确。

本申请步骤中，由于黑名单类型有多个，表达式中的变量也有多个，因而可能存在一个表达式的变量分别属于不同的黑名单类型的情况，也就是说与一个表达式对应的黑名单类型有两个或两个以上，这种情况下，可以设置黑名单类型的优先级，仅生成优先级最高的类型的黑名单。或者可以指定，例如只生成IP的黑名单，或只生成针对header的黑名单。

本申请步骤中，在所设置的表达式有多个的情况下，黑名单的个数也可能会比较多。在将第一请求信息与预设置的黑名单中的信息进行匹配时，如果黑名单的个数较少，少于设定阈值，那么可以将第一请求信息依次与每个黑名单中的信息进行匹配，如果黑名单的个数较多，遍历各个黑名单的方式效率会比较低，这种情况下可以基于黑名单类型生成黑名单的二叉树。

步骤203、在与任一类型的黑名单中的信息匹配成功时，确定该访问请求为攻击请求。

当第一请求信息与黑名单中的信息匹配成功时，能够确定对应的访问请求为攻击请求。例如，黑名单中，IP＝111.1.1.1，而第一请求信息的IP也为111.1.1.1，那么匹配成功。再例如，黑名单中，user＝admin，而第一请求信息中的user也为admin，那么匹配成功，确定对应的访问请求为攻击请求。

在一实施例中，结合图1所示，

服务器预先设置黑名单：服务器对设定时间段内接收到的访问请求和/或发出的响应进行解析，提取出其中的第二请求信息和/或响应信息，这里的第二请求信息及响应信息为上述匹配参数中的任多个。然后服务器读取预设置的表达式，表达式由变量和操作符组成，例如表达式为method_count|POST>5，则该式中所表示的以POST方式所提交的请求的数量即需要从第二请求信息中提取的信息。然后服务器将提取的第二请求信息和/或响应信息作为输入带入到表达式的变量中进行计算，仍以上述表达式为例，如果服务器提取的第二请求信息为7，由于7>5，则运算结果为是，表示成立，运算结果为符合攻击条件，因而服务器基于该表达式中的参数所属的类型生成黑名单。该表达式的类型为header，因而生成类型为header的黑名单，并且该黑名单中的匹配参数包括method_count。

服务器在设置了黑名单之后，在接收到来自计算机的http访问请求时，服务器提取该http访问请求中的第一请求信息，包括count、uri_num、status_count等信息，并将所提取的信息分别与预设置的各种类型的黑名单中的信息进行匹配，其中，黑名单支持多种匹配参数，而匹配参数与访问请求中提取的信息相对应。在该第一请求信息与任一类型的黑名单中的信息匹配成功时，确定该访问请求为攻击请求

例如，所提取的第一请求信息包括：count、none_cookie_ratio|t、status_ratio|404。而一个表达式为：

("count">1000&&"none_cookie_ratio|t">0.5)||("count">100&&"status_ratio|404">0.8)

如果第一请求信息中的某个IP的访问总量大于1000，而且cookie中不包含t的比例数大于0.5或者访问的总请求数大于100，而且返回的404的状态码大于0.8，都会与类型为IP、匹配参数包括count、none_cookie_ratio以及status_ratio的黑名单匹配成功，从而确定该访问请求为攻击请求。

在确定了攻击请求之后，本申请实施例提供的方法还可以包括以下步骤：

基于匹配成功的黑名单确定对应的阻断方案(Action)，然后基于确定的阻断方案对攻击请求进行阻断。

在服务器中，每个类型的黑名单都对应的存储有阻断方案，以针对不同类型的CC攻击作出不同的阻断反应。

本申请实施例中，阻断方案可以包括但不限于以下几种：

login：表示跳转登陆页面；

wait：表示跳转等待页面；

challenge：表示跳转人机挑战页面；

chaptcha：表示跳转验证码页面；

deny：表示返回拒绝页面；

close：表示直接断开连接。

本申请实施例采用不同的阻断方案，而非现有技术中的直接断开连接，从而适用于不同的业务场景和攻击场景。例如当前受到的攻击请求严重影响了当前服务时，可以直接断开连接，如果出现了疑似攻击，则可以跳转到验证码页面。

其中，表达式具有执行时间间隔，也就是说，表达式每隔执行时间间隔生成一次黑名单。那么本申请实施例中，统计表达式从上次执行时间起的第一时间长度；在第一时间长度达到第一设定时间长度，即执行时间间隔时，基于表达式生成新的黑名单；使用新的黑名单覆盖当前的黑名单。

其中，黑名单具有有效期(expired_time)，也就是说，所生成的黑名单仅在有效期内有效。那么本申请实施例中，每个黑名单从生成之时起，都要统计该黑名单从生成时起的第二时间长度；并且在第二时间长度达到第二设定时间长度时，将黑名单设置为无效。黑名单的有效期一般比表达式的执行时间间隔长，从而保证不会出现当前黑名单已无效，而新的黑名单尚未生成的情况。

通过上述方式，能够保证总是基于统计的最新的请求信息和响应信息而生成黑名单，及时根据当前的业务情况和攻击情况调整黑名单，从而保证黑名单的时效性，保证能够更精确的确定攻击请求，提高防攻击效率并且降低误杀率。

从现有技术中可以看出，仅通过IP地址的访问次数确定攻击请求的方式对于IP地址访问频率不高的CC攻击类型并不适用，而且误杀率较高。而本申请不仅通过IP地址的访问次数进行判断，还基于header、cookie及args等进行CC攻击的判断，从而能够对攻击请求实现更加精确的判断。还可以基于状态码/流量信息/method进行判断，从而判断维度更广，判断方式更为灵活，且判断结果更为准确。

参见图3，为本申请实施例的服务器的模块示意图，图3中包括：收发模块11、统计模块12、配置模块13、执行模块14和阻断模块15。

其中，收发模块11，用于接收访问请求，以及基于访问请求发送响应，例如接收http访问请求及发送http响应，并记录和上报请求信息和响应信息。通常收发模块11基于nginx或Squid软件而设置。

统计模块12，与收发模块11连接，用于接收收发模块11上报的请求信息和响应信息，根据预设的表达式从请求信息和响应信息中统计对应于表达式的变量的信息，并将统计结果上报给执行模块14。

配置模块13，与执行模块14连接，用于提供动态表达式配置接口，并实时将用于表示攻击条件的表达式下发到执行模块14。

执行模块14，用于解析表达式，并根据表达式和统计模块12的统计结果，生成黑名单。具体而言，将统计模块12统计的信息带入到表达式的变量中进行运算，如果运算结果为是，则基于表达式的变量所属的黑名单类型生成对应类型的黑名单。

阻断模块15，与执行模块14连接，用于根据执行模块14生成的黑名单，对收发模块11接收到的访问请求进行匹配，对与黑名单相匹配的的访问请求进行阻断。

与本申请攻击请求的确定方法的实施例相对应，本申请还提供了攻击请求的确定装置的实施例。

本申请攻击请求的确定装置的实施例可以应用在服务器上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图4所示，为本申请攻击请求的确定装置所在设备的一种硬件结构图，除了图4所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的设备通常根据该设备的实际功能，还可以包括其他硬件，图4中不再一一示出。

参见图5，为本申请攻击请求的确定装置的一个实施例框图，该装置可以应用在服务器上，该装置包括：接收单元510、匹配单元520及第一确定单元530。

接收单元510，用于接收访问请求；

匹配单元520，用于提取所述访问请求中的第一请求信息，将所述第一请求信息分别与预设置的支持多种匹配参数的各种类型的黑名单中的信息进行匹配；

第一确定单元530，用于在与任一类型的黑名单中的信息匹配成功时，确定所述访问请求为攻击请求。

在一个可选的实现方式中，该装置还可以包括(图5中未示出)：

解析单元，用于对设定时间段内接收到的访问请求进行解析，得到第二请求信息，和/或对所述设定时间段内发送出的响应进行解析，得到响应信息；

提取单元，用于基于预设置的用于表示攻击条件的表达式中的变量，从所述第二请求信息和/或所述响应信息中提取对应于所述变量的信息；

运算单元，用于将所提取的信息作为输入代入到所述表达式的变量中进行运算；

第一生成单元，用于在所述运算结果为符合所述攻击条件时，基于所述表达式的变量所属的黑名单类型生成对应类型的黑名单。

在另一个可选的实现方式中，第一生成单元可以包括(图5中未示出)：

第一确定子单元，用于确定符合所述攻击条件的表达式中的变量；

第二确定子单元，用于查找预设置的黑名单类型，确定所述变量所属的黑名单类型；

生成子单元，用于基于所述黑名单类型生成对应类型的黑名单，所述黑名单类型与所述匹配参数相对应。

在另一个可选的实现方式中，黑名单类型包括：互联网协议地址、header_x、cookie_x以及arg_x。

在另一个可选的实现方式中，装置还可以包括(图5中未示出)：

存储单元，用于将不同类型的黑名单和阻断方案对应的进行存储。

在另一个可选的实现方式中，装置还包括(图5中未示出)：

第二确定单元，用于基于匹配成功的黑名单确定对应的阻断方案；

阻断单元，用于基于所述阻断方案对所确定的攻击请求进行阻断。

在另一个可选的实现方式中，阻断方案包括：跳转页面、返回拒绝页面、断开连接中的任一种。

在另一个可选的实现方式中，装置还包括(图5中未示出)：

统计单元，用于统计所述表达式从上次执行时间起的时间长度；

第二生成单元，用于在所述第一时间长度达到第一设定时间长度时，基于所述表达式生成新的黑名单；

覆盖单元，用于将新的黑名单覆盖当前的黑名单。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

由上述实施例可见，服务器通过在文件任务表中增设捡漏文件任务，在捡漏文件任务中设置包括业务时间段及文件生成时间的字段，通过sql逻辑语句对数据的入库时间及文件生成时间进行对比，能够确保查找到的正常数据和遗漏数据的互补和不重复，能够有效、及时、完整准确的将遗漏数据进行汇总，并及时反馈给基金公司，大大提高了运行效能。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由下面的权利要求指出。

应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。

Claims

一种攻击请求的确定方法，应用在服务器上，其特征在于，包括：

接收访问请求；

提取所述访问请求中的第一请求信息，将所述第一请求信息分别与预设置的支持多种匹配参数的各种类型的黑名单中的信息进行匹配；

在与任一类型的黑名单中的信息匹配成功时，确定所述访问请求为攻击请求。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

对设定时间段内接收到的访问请求进行解析，得到第二请求信息，和/或对所述设定时间段内发送出的响应进行解析，得到响应信息；

基于预设置的用于表示攻击条件的表达式中的变量，从所述第二请求信息和/或所述响应信息中提取对应于所述变量的信息；

将所提取的信息作为输入代入到所述表达式的变量中进行运算；

在所述运算结果为符合所述攻击条件时，基于所述表达式的变量所属的黑名单类型生成对应类型的黑名单。
根据权利要求2所述的方法，其特征在于，所述基于所述表达式的变量所属的黑名单类型生成对应类型的黑名单，包括：

确定符合所述攻击条件的表达式中的变量；

查找预设置的黑名单类型，确定所述变量所属的黑名单类型；

基于所述黑名单类型生成对应类型的黑名单，所述黑名单类型与所述匹配参数相对应。
根据权利要求3所述的方法，其特征在于，所述黑名单类型包括：互联网协议地址、标头、cookie、状态码、流量信息以及参数。
根据权利要求3所述的方法，其特征在于，所述方法还包括：

将不同类型的黑名单和阻断方案对应的进行存储。
根据权利要求5所述的方法，其特征在于，所述方法还包括：

基于匹配成功的黑名单确定对应的阻断方案；

基于所述阻断方案对所确定的攻击请求进行阻断。
根据权利要求6所述的方法，其特征在于，所述阻断方案包括：跳转页面、返回拒绝页面、断开连接中的任一种。
根据权利要求2-7任一项所述的方法，其特征在于，所述方法还包括：

统计所述表达式从上次执行时间起的第一时间长度；

在所述第一时间长度达到第一设定时间长度时，基于所述表达式生成新的黑名单；

将新的黑名单覆盖当前的黑名单。
根据权利要求1-7任一项所述的方法，其特征在于，所述方法还包括：

统计所述黑名单从生成时起的第二时间长度；

在所述第二时间长度达到第二设定时间长度时，将所述黑名单设置为无效。
一种攻击请求的确定装置，应用在服务器上，其特征在于，包括：

接收单元，用于接收访问请求；

匹配单元，用于提取所述访问请求中的第一请求信息，将所述第一请求信息分别与预设置的支持多种匹配参数的各种类型的黑名单中的信息进行匹配；

第一确定单元，用于在与任一类型的黑名单中的信息匹配成功时，确定所述访问请求为攻击请求。
根据权利要求10所述的装置，其特征在于，所述装置还包括：

解析单元，用于对设定时间段内接收到的访问请求进行解析，得到第二请求信息，和/或对所述设定时间段内发送出的响应进行解析，得到响应信息；

提取单元，用于基于预设置的用于表示攻击条件的表达式中的变量，从所述第二请求信息和/或所述响应信息中提取对应于所述变量的信息；

运算单元，用于将所提取的信息作为输入代入到所述表达式的变量中进行运算；

第一生成单元，用于在所述运算结果为符合所述攻击条件时，基于所述表达式的变量所属的黑名单类型生成对应类型的黑名单。
根据权利要求11所述的装置，其特征在于，所述第一生成单元包括：

第一确定子单元，用于确定符合所述攻击条件的表达式中的变量；

第二确定子单元，用于查找预设置的黑名单类型，确定所述变量所属的黑名单类型；

生成子单元，用于基于所述黑名单类型生成对应类型的黑名单，所述黑名单类型与所述匹配参数相对应。
根据权利要求12所述的装置，其特征在于，所述黑名单类型包括：互联网协议地址、标头、cookie、状态码、流量信息以及参数。
根据权利要求12所述的装置，其特征在于，所述装置还包括：

存储单元，用于将不同类型的黑名单和阻断方案对应的进行存储。
根据权利要求14所述的装置，其特征在于，所述装置还包括：

第二确定单元，用于基于匹配成功的黑名单确定对应的阻断方案；

阻断单元，用于基于所述阻断方案对所确定的攻击请求进行阻断。
根据权利要求15所述的装置，其特征在于，所述阻断方案包括：跳转页面、返回拒绝页面、断开连接中的任一种。
根据权利要求11-16任一项所述的装置，其特征在于，所述装置还包括：

统计单元，用于统计所述表达式从上次执行时间起的第一时间长度；

第二生成单元，用于在所述第一时间长度达到第一设定时间长度时，基于所述表达式生成新的黑名单；

覆盖单元，用于将新的黑名单覆盖当前的黑名单。
一种服务器，其特征在于，包括：

收发模块，用于接收访问请求，并提取所述访问请求中的第一请求信息；

阻断模块，用于将所述第一请求信息与预设置的支持多种匹配参数的各种类型的黑名单中的信息进行匹配，并在与任一类型的黑名单中的信息匹配成功时，确定所述访问请求为攻击请求。
根据权利要求18所述的服务器，其特征在于，所述收发模块，还用于对设定时间段内接收到的访问请求进行解析，得到第二请求信息，和/或对所述设定时间段内发送出的响应进行解析，得到响应信息；

所述服务器还包括：

统计模块，与所述收发模块连接，用于接收所述收发模块上报的请求信息和响应信息，根据预设的用于表示攻击条件的表达式从请求信息和响应信息中统计对应于所述表达式的变量的信息，并将统计结果上报给执行模块；

配置模块，与执行模块连接，用于提供表达式配置接口，并将所述表达式下发到所述执行模块；

所述执行模块，与所述阻断模块连接，用于解析接收到的表达式，并根据所述表达式和所述统计模块的统计结果，生成各种类型的黑名单。
根据权利要求19所述的服务器，其特征在于，所述执行模块用于：

将所述统计模块统计的信息作为输入代入到所述表达式的变量中进行运算；

在所述运算结果为符合所述攻击条件时，基于所述表达式的变量所属的黑名单类型生成对应类型的黑名单。
根据权利要求18所述的服务器，其特征在于，所述阻断模块还用于对所述攻击请求进行阻断。
一种攻击请求的确定装置，其特征在于，所述装置为服务器，包括：处理器；用于存储所述处理器可执行指令的存储器；其中，所述处理器被配置为：

接收访问请求；

提取所述访问请求中的第一请求信息，将所述第一请求信息分别与预设置的支持多种匹配参数的各种类型的黑名单中的信息进行匹配；

在与任一类型的黑名单中的信息匹配成功时，确定所述访问请求为攻击请求。
一种计算机存储介质，所述存储介质中存储有程序指令，其特征在于，所述指令包括：

接收访问请求；

提取所述访问请求中的第一请求信息，将所述第一请求信息分别与预设置的支持多种匹配参数的各种类型的黑名单中的信息进行匹配；

在与任一类型的黑名单中的信息匹配成功时，确定所述访问请求为攻击请求。