[发明专利]用户访问请求处理方法及装置

说明书

本发明公开了用户访问请求处理方法及装置，该方法包括：接收用户访问请求，其中，所述访问请求用于访问预定内容；判断用户对所述预定内容的访问是否超出了所述用户的权限；在超出所述用户权限的情况下，根据所述用户的信息获取风险评估值，其中，所述用户的信息包括以下至少之一：所述用户的注册时间、所述用户的权限、所述用户的历史试错，所述历史试错为所述用户访问内容失败的信息；根据所述风险评估值确定是否对所述用户的访问进行限制。通过本发明实施例进而解决了检测黑客越权攻击的问题，能够更加的及时、准确、全面的检测。

技术领域

本发明涉及计算机网络安全技术领域，具体而言，涉及用于处理用户访问请求的用户访问请求处理方法及装置。

背景技术

基于浏览器/服务器模式的互联网系统已经被广泛运用到生活和工作的各个领域，成为IT系统的一种主要架构形式。然而，来自浏览器的用户数据经常被恶意篡改，致使系统遭受越权访问。一些系统需要根据权限设置，限制用户可提交的数据范围，或者限制用户可访问的数据范围。但是，由于用户提交的数据分为离散数据和连续数据两种形式，程序设计时难以明确全部数据安全边界，穷举所有数据越权情况。因此，数据越权攻击行为给系统安全以及用户信息保护带来极大挑战。

现有技术主要是基于B/S架构的应用系统在防越权安全时的设计，其中存在如下缺陷：

1)权限管控需基于权限列表管控。在程序设计阶段就需要考虑好权限控制列表。

2)权限控制基于URL控制或基于请求数据的特征，当系统某功能向出现更新时，拥有此功能项权限的全量用户权限需相应改变；当新加入用户时，用户也需要赋予数量众多的功能项权限。虽然角色的应用可以一定程度上解决后者给权限管理工作带来的压力，但是需要不定期梳理权限来确保角色被赋予了合理的权限范围。权限梳理不及时，容易出现管控疏漏。疏漏可能被恶意利用，造成实质越权，或可因此影响用户使用。

3)上述管控方法仅判定了用户是否有权限访问，但黑客有其他的越权行为时，没有针对性的方法以应对。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了用户访问请求处理方法及装置，能够解决检测黑客越权攻击的问题。

根据本发明的一个方面，提供了一种用户访问请求处理方法，包括：接收用户访问请求，其中，所述访问请求用于访问预定内容；判断用户对所述预定内容的访问是否超出了所述用户的权限；在超出所述用户权限的情况下，根据所述用户的信息获取风险评估值，其中，所述用户的信息包括以下至少之一：所述用户的注册时间、所述用户的权限、所述用户的历史试错，所述历史试错为所述用户访问内容失败的信息；根据所述风险评估值确定是否对所述用户的访问进行限制。

进一步地，根据所述用户的信息获取所述风险评估值包括：根据所述用户的注册时间获取所述用户存在时间长短对应得到第一风险评估值；根据所述用户的权限的高低获取所述用户的权限对应的第二风险评估值；根据所述用户的历史试错获取所述用户的试错行为对应的第三风险评估值；根据所述第一风险评估值、所述第二风险评估值和所述第三风险评估值得到所述风险评估值。

进一步地，根据所述用户的注册时间获取所述用户存在时间长短对应得到第一风险评估值包括：按如下公式计算获得第一风险评估值，P_live＝LIVElog_aX；其中，P_live表示所述第一风险评估值；LIVE表示所述用户使用时长的初始风险值，a为变化系数，0a1，X为所述用户的注册时间。

进一步地，根据所述用户的权限的高低获取所述用户的权限对应的第二风险评估值包括：按如下公式计算获得第二风险评估值，P_vip＝VIP(n/N)；其中，P_vip表示所述第二风险评估值；VIP表示所述权限风险的加权值，该值为预设值；N表示系统中全部功能的权限数量，n表示所述用户具有的权限数量。