[发明专利]一种防止交易绕行攻击的方法及装置

说明书

本申请提供了一种防止交易绕行攻击的方法及装置，包括：根据交易对应的所有请求配置防绕行配置信息，防绕行配置信息包括：请求的识别方式及请求的可能性组合流程；实时获取交易的轨迹记录信息；将交易的轨迹记录信息与防绕行配置信息进行比对，并根据比对结果进行处理。本申请克服了目前交易安全中心对于防绕行校验不足的缺点，可以将绕行请求拦截并拒绝服务，在对交易开发透明、成本低廉的情况下，能够将交易过程中的绕行攻击进行识别并拒绝提供服务，以保证企业应用的安全，在安全环境日益严峻的当下，更适用于目前的企业需求。

技术领域

本申请属于交易安全领域，具体地，涉及一种防止交易绕行攻击的方法及装置。

背景技术

客户在一次交易过程中与企业应用服务器涉及多次交互请求时，交易绕行是攻击者经常使用的一种攻击方式，比如交易原本的流程有1、2、3三个请求，但是攻击者在攻击过程中，可以先做请求1，然后绕过请求2，直接发送模拟请求3，如果企业后台没有做好交易防绕行的安全防范，则很容易被攻击成功。下面再以一个生产环境中交易被绕行的真实案例来进行说明，前期生产中客户转账交易发现有客户在不知情状态下，卡内资金分两笔以好友转账方式转出。经查日志，发现在支付正常流程中，客户是先在页面1填写手机号，并点击发送短信验证码(请求1)，再在页面1输入短信验证码，并提交到后台进行验证(请求2)，请求2在后台会话中会更新一个短信验证成功的标识，如果短信验证成功，跳转到页面2，显示客户待支付的金额等信息，点击确认提交(请求3)。请求3在后台检查上一步会话中标识是否为短信验证成功，如果标识正确，则客户支付成功。因此，正常交易路径应该为1→2→3。而不法分子的做法是：使用自己的手机号验证短信成功(请求1→请求2)，并停留在页面2，再利用模拟器(比如Fiddler工具)重放请求1，只是把手机号更换成受害者的手机号。然后攻击者在停留的页面2点击确认提交(请求3)，由于第二次重放尽管发送了短信，更新了手机号码，但没有走请求2来更新短信发送成功标志，因此短信验证成功标志还是第一次的成功状态，没有被更新，导致第二次的短信验证流程(请求2)被绕行。不法分子篡改后的交易路径为1→2→1→3。可见，交易绕行这种攻击方式非常隐蔽且危害性大，一旦被攻击成功，企业可能面临较大的损失。

目前，防范交易绕行的办法主要是在会话中记录交易流程的状态并进行事前校验，比如，一笔正常的交易流程是1、2、3三个请求，每执行完一个请求，即在会话中记录一个状态，当到第3个请求时，会校验请求2中记录的状态，如果状态校验正确，才会执行请求3，否则报错返回。但是，该方式复杂度高，需要交易开发人员完整准确记录状态，并及时更新/删除过时无效的状态，很容易发生遗漏。而且，该方式下交易逻辑与防绕行逻辑紧密耦合，交易若发生更改，那么防绕行的逻辑也需要更改，不具备通用性。

发明内容

本申请提供了一种防止交易绕行攻击的方法及装置，以至少解决现有技术中对于防绕行校验不足的问题。

根据本申请的一个方面，提供了一种防止交易绕行攻击的方法，包括：根据交易对应的所有请求配置防绕行配置信息，防绕行配置信息包括：请求的识别方式及请求的可能性组合流程；实时获取交易的轨迹记录信息；将交易的轨迹记录信息与防绕行配置信息进行比对，并根据比对结果进行处理。

在一实施例中，根据交易对应的所有请求配置防绕行配置信息，具体用于：

根据交易的类型对交易中的所有请求进行排列组合，得到交易的可能性组合流程。

在一实施例中，防止交易绕行攻击的方法还包括：根据交易已完成的各请求顺序实时生成交易的轨迹记录信息。

在一实施例中，将交易的轨迹记录信息与防绕行配置信息进行比对，并根据比对结果进行处理，具体用于：

将交易的轨迹记录信息中的请求的顺序与请求的可能性组合流程进行比对，生成比对结果；

如果比对结果为交易不合法，对请求进行拦截。