[发明专利]一种处理操作请求的方法、系统以及攻击识别装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种处理操作请求的方法、系统以及攻击识别装置。

背景技术

目前网络攻击可能对系统中重要的程序数据进行篡改、毁坏，甚至还可能导致系统崩溃、业务瘫痪，对于如何保证网络系统安全也就显得越来越重要了。

在现有技术中，通过配置ACL（Access Control List，访问控制列表），设置可以访问的用户IP和可以访问的服务端口，当用户向服务端发送登录请求时，根据登录请求所包含的用户信息和ACL判断用户IP是否可以访问，并判断用户需要访问的服务IP、端口是否在外部可以访问，当判断都满足条件时，将用户的登录请求转发到服务端，以使服务端根据登录请求对该用户进行认证，在认证成功后，用户即可继续其他业务操作。

但在现有技术中，非法用户通过网络抓包等手段通过了用户认证后，可以连接到网管服务器并访问网管的敏感数据等非法操作，从而对包括网管服务器的网络系统的安全产生影响。

发明内容

本发明实施例提供一种处理操作请求的方法、系统以及攻击识别装置，可以对用户的业务操作进行检测，以较好地保证网络系统的安全。

本发明第一方面提供了一种处理操作请求的方法，可包括：

当用户发送业务操作请求时，拦截所述用户发送的业务操作请求，并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作；

当检测到所请求的业务操作为非法业务操作时，阻止所述非法业务操作的执行；

当检测到所请求的业务操作为合法业务操作时，将所述业务操作请求转发到所述业务服务器，以使业务服务器完成对应操作。

在第一种可能的实施方式中，还包括：当检测到所述业务操作请求所请求的业务操作为非法业务操作的次数达到预设的次数阈值时，确定所述用户为攻击用户，并将所述用户添加到黑名单，所述黑名单用于记录用户ID和/或用户IP。

结合第一方面或第一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述当用户发送业务操作请求时，拦截所述用户发送的业务操作请求，并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作，包括：

当用户发送业务操作请求时，拦截所述用户发送的业务操作请求；

根据攻击用户识别规则判断所述业务操作请求所请求的业务操作是否为关键业务操作；

若判断不是关键业务操作，则确定所述业务操作为合法业务操作；

若判断是关键业务操作，则再根据所述攻击用户识别规则判断所述用户是否有执行所述关键业务操作的操作权限；

若判断有操作权限，则确定所述业务操作为合法业务操作，否则，确定所述业务操作为非法业务操作。

结合第一方面，或第一方面的第一种可能的实现方式，或第一方面的第二种可能的实现方式，在第三种可能的实现方式中，在所述当用户发送业务操作请求时，拦截所述用户发送的业务操作请求，并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作之前，还包括：

预置所述攻击用户识别规则，其进一步包括：

根据业务操作集合，识别出关键业务操作集合；

根据所述关键业务操作集合分析出关键业务的类名、权限ID、次数阈值，并确定攻击用户识别规则。

结合第一方面，或第一方面的第一种可能的实现方式，或第一方面的第二种可能的实现方式，或第一方面的第三种可能的实现方式，在第四种可能的实现方式中，在所述当用户发送业务操作请求时，拦截所述用户发送的业务操作请求，并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作之前，还包括：

拦截用户发送的登录请求，从所述登录请求中提取用户令牌Token，并校验用户Token是否有效；

当所校验的用户Token无效时，则确定所述用户为攻击用户，并将所述用户添加到黑名单，所述黑名单用于记录用户ID和/或用户IP；

当所校验的用户Token有效时，将所述登录请求转发到业务服务器，以使业务服务器对用户身份进行认证。

结合第一方面，或第一方面的第一种可能的实现方式，或第一方面的第二种可能的实现方式，或第一方面的第三种可能的实现方式，或第一方面的第四种可能的实现方式，在第五种可能的实现方式中，还包括：

当判定用户为攻击用户时，执行安全操作，所述安全操作包括：记录所述用户尝试进行的非法业务操作、发送关于所述用户尝试进行非法业务操作的安全警告、断开所述用户与所述业务服务器的连接中的至少一种。