[发明专利]防止机器脚本恶意访问的方法及装置

说明书

本发明公开一种防止机器脚本恶意访问的装置，涉及计算机安全技术领域，采用动态加密的技术手段以阻止机器脚本批量刷接口的恶意访问行为。该方法包括：监听用户访问行为的会话控制，服务端随机选择任一组或几组加解密算法生成具有加密逻辑的js混淆代码；服务端接收由客户端上传的加密数据，加密数据由客户端解析js混淆代码后依次调用对应的加密算法加密报文数据产生；服务端基于与加密逻辑对应的解密逻辑，依次调用相应的解密算法解密加密数据得到明文报文后执行访问请求，否则拦截此次访问请求。该装置应用有上述方案所提的方法。

技术领域

本发明涉及计算机安全技术领域，尤其涉及一种防止机器脚本恶意访问的方法及装置。

背景技术

当前多数的web系统开发时仅仅为了实现相应的功能需求而开发，没有在系统安全性上做过多的技术保护，导致关键服务接口和报文很容易被分析和破解。而随着机器脚本(也称自动化脚本)技术的日益发展，机器脚本技术多用在自动化测试或者压力测试等系统测试场景，以供开发人员找出BUG对系统做出升级，但机器脚本技术同样也能被攻击者所利用，例如，通过机器脚本批量刷接口手段恶意制造网站的虚假流量，或者黄牛将机器脚本包装成抢票工具、秒杀工具等刷接口软件，增大了服务器的访问压力。

发明内容

本发明的目的在于提供一种防止机器脚本恶意访问的方法及装置，采用动态加密的技术手段以阻止机器脚本批量刷接口的恶意访问行为。

为了实现上述目的，本发明的一方面提供一种防止机器脚本恶意访问的方法，包括：

监听用户访问行为的会话控制，服务端随机选择任一组或几组加解密算法生成具有加密逻辑的js混淆代码；

服务端接收由客户端上传的加密数据，所述加密数据由客户端解析js混淆代码后依次调用对应的加密算法加密报文数据产生；

服务端基于与加密逻辑对应的解密逻辑，依次调用相应的解密算法解密所述加密数据得到明文报文后执行访问请求，否则拦截此次访问请求。

优选地，在监听用户访问行为的会话控制，服务端随机选择任一组或几组加解密算法生成具有加密逻辑的js混淆代码之前还包括：

在服务端预设多组加解密算法，每组所述加解密算法包括相互对应的加密算法和解密算法。

较佳地，监听用户访问行为的会话控制，服务端随机选择任一组或几组加解密算法生成具有加密逻辑的js混淆代码的方法包括：

通过服务端后台监测用户的页面访问行为，并针对当前会话控制从多组加解密算法中选择一组或几组加解密算法随机构建加密逻辑；

将加密逻辑转化为js混淆代码后返回至客户端。

优选地，服务端接收由客户端上传的加密数据，所述加密数据由客户端解析js混淆代码后依次调用对应的加密算法加密报文数据产生的方法包括：

拼接用户通过客户端填写的报文数据并计算其MD5值，将MD5值反馈至服务端后台记录；

客户端解析js混淆代码提取加密逻辑，并按照加密逻辑依次调用对应的加密算法对打包的报文数据和MD5值加密生成加密报文数据，同时上传至服务端请求访问。

较佳地，服务端基于与加密逻辑对应的解密逻辑，依次调用相应的解密算法解密所述加密数据得到明文报文后执行访问请求，否则拦截此次访问请求的方法包括：

服务端获取与加密逻辑对应的解密逻辑，依次调用相应的解密算法解密所述加密数据得到明文报文和MD5值；

校验解密的MD5值与后台记录的MD5值是否一致，当一致时基于明文报文执行访问请求，当不一致时拦截此次访问请求。

与现有技术相比，本发明提供的防止机器脚本恶意访问方法具有以下有益效果：