本發(fā)明涉及網(wǎng)絡(luò)安全����,特別涉及一種分布式網(wǎng)絡(luò)用戶(hù)訪問(wèn)頻率的控制方法及裝置�。
背景技術(shù):
::1�����、網(wǎng)絡(luò)安全技術(shù)中的系統(tǒng)訪問(wèn)頻率控制是對(duì)于訪問(wèn)系統(tǒng)次數(shù)過(guò)多或惡意的用戶(hù)進(jìn)行觀察或限制。訪問(wèn)頻率控制可簡(jiǎn)單分為單機(jī)與分布式兩種�。對(duì)于單機(jī)的訪問(wèn)頻率控制實(shí)現(xiàn)是比較簡(jiǎn)單的,不需要同步用戶(hù)數(shù)據(jù)的一致性�����,在單機(jī)流量不高的情況下完全可以通過(guò)簡(jiǎn)單的統(tǒng)計(jì)算法實(shí)現(xiàn)訪問(wèn)頻率控制��。分布式系統(tǒng)的訪問(wèn)頻率控制相對(duì)更復(fù)雜����,目前主要通過(guò)簡(jiǎn)單的訪問(wèn)次數(shù)上報(bào)來(lái)實(shí)現(xiàn),例如統(tǒng)一所有代理服務(wù)器節(jié)點(diǎn)的滾動(dòng)時(shí)間窗口���,定期將用戶(hù)訪問(wèn)次數(shù)上報(bào)到某個(gè)核心系統(tǒng)并進(jìn)行告警或處置�。2���、訪問(wèn)頻率控制的需求更多是存在于高并發(fā)���、高流量的分布式系統(tǒng)中。對(duì)于分布式系統(tǒng)而言,所有節(jié)點(diǎn)進(jìn)行滾動(dòng)式時(shí)間窗口的上報(bào)���,在實(shí)時(shí)性上有所缺失��,對(duì)于短時(shí)間的突發(fā)流量往往難以抵擋��,而進(jìn)一步采用滑動(dòng)窗口時(shí)��,又會(huì)帶來(lái)數(shù)據(jù)同步困難的問(wèn)題���,這是因?yàn)樯蠄?bào)的滑動(dòng)時(shí)間窗口在時(shí)間區(qū)間上很難一致。此外�,現(xiàn)有的分布式系統(tǒng)訪問(wèn)頻率控制技術(shù)缺乏對(duì)攻擊用戶(hù)的深層次分析,例如時(shí)間維度��、空間維度�����、攻擊特征維度和這些維度組合產(chǎn)生的特征����,這種深層分析的缺乏不利于系統(tǒng)的多層管控。技術(shù)實(shí)現(xiàn)思路1���、鑒于現(xiàn)有技術(shù)中的上述缺陷或不足����,本發(fā)明提供了一種分布式網(wǎng)絡(luò)用戶(hù)訪問(wèn)頻率的控制方法及裝置�����,能夠在低內(nèi)存占用�、高實(shí)時(shí)性的前提下,對(duì)訪問(wèn)流量進(jìn)行多維度�����、深層次的分析�,并提供更友好以及更靈活的部署方式,提高系統(tǒng)的可用性�����。2����、本發(fā)明的一個(gè)方面,提供了一種分布式網(wǎng)絡(luò)用戶(hù)訪問(wèn)頻率的控制方法���,用于控制器節(jié)點(diǎn)����,包括:接收網(wǎng)絡(luò)中每個(gè)代理服務(wù)器節(jié)點(diǎn)上報(bào)的威脅信息,所述威脅信息包括非觀察用戶(hù)名單的用戶(hù)流量采樣信息�����、觀察用戶(hù)名單的用戶(hù)流量采樣信息和封禁用戶(hù)名單�;將封禁用戶(hù)名單下發(fā)到全部代理服務(wù)器節(jié)點(diǎn),同時(shí)合并各個(gè)代理服務(wù)器節(jié)點(diǎn)上報(bào)的觀察用戶(hù)名單的用戶(hù)流量采樣信息�����,得到以用戶(hù)id為關(guān)鍵字���、以用戶(hù)流量采樣信息為值的哈希表����;遍歷所述哈希表�����,識(shí)別用戶(hù)是否在當(dāng)前的觀察用戶(hù)名單內(nèi)�����,根據(jù)識(shí)別結(jié)果判斷該用戶(hù)是否應(yīng)當(dāng)被維持在觀察用戶(hù)名單、被添加至觀察用戶(hù)名單�、被移出觀察用戶(hù)名單或者被封禁,以得到最新的觀察用戶(hù)名單和最新的封禁用戶(hù)名單��;將最新的觀察用戶(hù)名單和最新的封禁用戶(hù)名單下發(fā)至全部的代理服務(wù)器節(jié)點(diǎn)��,以令每個(gè)代理服務(wù)器節(jié)點(diǎn)根據(jù)最新的封禁用戶(hù)名單將封禁動(dòng)作生效���,并將最新的觀察用戶(hù)名單存儲(chǔ)至本地存儲(chǔ)器,以等待再次上報(bào)�。3、本發(fā)明的另一方面���,提供了一種分布式網(wǎng)絡(luò)用戶(hù)訪問(wèn)頻率的控制裝置�����,用于控制器節(jié)點(diǎn)�,包括:4�����、接收模塊,用于接收網(wǎng)絡(luò)中每個(gè)代理服務(wù)器節(jié)點(diǎn)上報(bào)的威脅信息����,所述威脅信息包括非觀察用戶(hù)名單的用戶(hù)流量采樣信息、觀察用戶(hù)名單的用戶(hù)流量采樣信息和封禁用戶(hù)名單���;���;5、哈希表生成模塊���,用于將封禁用戶(hù)名單下發(fā)到全部代理服務(wù)器節(jié)點(diǎn)����,同時(shí)合并各個(gè)代理服務(wù)器節(jié)點(diǎn)上報(bào)的觀察用戶(hù)名單的用戶(hù)流量采樣信息�,得到以用戶(hù)id為關(guān)鍵字、以用戶(hù)流量采樣信息為值的哈希表���;6���、用戶(hù)名單生成模塊,用于遍歷所述哈希表��,識(shí)別用戶(hù)是否在當(dāng)前的觀察用戶(hù)名單內(nèi),根據(jù)識(shí)別結(jié)果判斷該用戶(hù)是否應(yīng)當(dāng)被維持在觀察用戶(hù)名單����、被添加至觀察用戶(hù)名單、被移出觀察用戶(hù)名單或者被封禁����,以得到最新的觀察用戶(hù)名單和最新的封禁用戶(hù)名單;7�、數(shù)據(jù)下發(fā)模塊,用于將最新的觀察用戶(hù)名單和最新的封禁用戶(hù)名單下發(fā)至全部的代理服務(wù)器節(jié)點(diǎn)����,以令每個(gè)代理服務(wù)器節(jié)點(diǎn)根據(jù)最新的封禁用戶(hù)名單將封禁動(dòng)作生效�,并將最新的觀察用戶(hù)名單存儲(chǔ)至本地存儲(chǔ)器,以等待再次上報(bào)���。8����、本發(fā)明提供的一種分布式網(wǎng)絡(luò)用戶(hù)訪問(wèn)頻率的控制方法及裝置���,具有如下有益效果:9���、(1)低內(nèi)存開(kāi)銷(xiāo)�����。由于不需要在各節(jié)點(diǎn)全同步滑動(dòng)時(shí)間窗口和對(duì)應(yīng)的數(shù)據(jù)結(jié)構(gòu)(例如哈希表)�����,各節(jié)點(diǎn)之間幾乎不存在數(shù)據(jù)一致性的沖突問(wèn)題�。同時(shí)���,各節(jié)點(diǎn)僅維護(hù)自己轉(zhuǎn)發(fā)流量的用戶(hù)訪問(wèn)信息�����,不需要維護(hù)副本����,內(nèi)存開(kāi)銷(xiāo)大大降低��;10����、(2)高響應(yīng)速度��。對(duì)于非iptables處置的代理服務(wù)器節(jié)點(diǎn)可以實(shí)現(xiàn)?log?n級(jí)別的查詢(xún)���,iptables處置的節(jié)點(diǎn)無(wú)需在應(yīng)用層處理,速度更快�。11、(3)準(zhǔn)確性高���。無(wú)論是全局處置還是局部處置����,本身不會(huì)誤報(bào)�����,僅可能在節(jié)點(diǎn)上報(bào)時(shí)丟失信息�,或在估算用戶(hù)訪問(wèn)頻次時(shí)漏報(bào)極少部分流量��,即處于臨界狀態(tài)的流量需要等待下一輪上報(bào)�,但本身這種流量對(duì)系統(tǒng)的壓力不大。12�����、(4)易拓展性,容錯(cuò)性好���。各代理服務(wù)器節(jié)點(diǎn)可隨意部署����,互相通信����,若有上報(bào)信息丟失,不導(dǎo)致誤報(bào)���,不會(huì)影響正常業(yè)務(wù)����。13�、(5)實(shí)現(xiàn)對(duì)訪問(wèn)流量的多維度、深層次的分析�,有助于系統(tǒng)進(jìn)行多層管控。技術(shù)特征:1.一種分布式網(wǎng)絡(luò)用戶(hù)訪問(wèn)頻率的控制方法�,用于控制器節(jié)點(diǎn),其特征在于包括:2.根據(jù)權(quán)利要求1所述的一種分布式網(wǎng)絡(luò)用戶(hù)訪問(wèn)頻率的控制方法���,其特征在于�����,所述遍歷所述哈希表���,識(shí)別用戶(hù)是否在當(dāng)前的觀察用戶(hù)名單內(nèi)��,根據(jù)識(shí)別結(jié)果判斷該用戶(hù)是否應(yīng)當(dāng)被維持在觀察用戶(hù)名單����、被添加至觀察用戶(hù)名單��、被移出觀察用戶(hù)名單或者被封禁的步驟包括:3.根據(jù)權(quán)利要求2所述的一種分布式網(wǎng)絡(luò)用戶(hù)訪問(wèn)頻率的控制方法���,其特征在于��,所述遍歷所述哈希表��,識(shí)別用戶(hù)是否在當(dāng)前的觀察用戶(hù)名單內(nèi),根據(jù)識(shí)別結(jié)果判斷該用戶(hù)是否應(yīng)當(dāng)被維持在觀察用戶(hù)名單��、被添加至觀察用戶(hù)名單�、被移出觀察用戶(hù)名單或者被封禁的步驟還包括:4.根據(jù)權(quán)利要求3所述的一種分布式網(wǎng)絡(luò)用戶(hù)訪問(wèn)頻率的控制方法,其特征在于,還包括:若用戶(hù)在相鄰兩輪上報(bào)的威脅信息中都進(jìn)入觀察用戶(hù)名單且未被封禁�����,則判斷該用戶(hù)的威脅程度���,若該用戶(hù)的威脅程度大于威脅程度閾值�,則將該用戶(hù)直接納入封禁用戶(hù)名單��。5.根據(jù)權(quán)利要求4所述的一種分布式網(wǎng)絡(luò)用戶(hù)訪問(wèn)頻率的控制方法��,其特征在于�,所述若用戶(hù)在相鄰兩輪上報(bào)的威脅信息中都進(jìn)入觀察用戶(hù)名單且未被封禁,則判斷該用戶(hù)的威脅程度的步驟���,包括:6.根據(jù)權(quán)利要求1所述的一種分布式網(wǎng)絡(luò)用戶(hù)訪問(wèn)頻率的控制方法���,其特征在于,每個(gè)代理服務(wù)器節(jié)點(diǎn)的上報(bào)時(shí)間間隔k根據(jù)預(yù)設(shè)的最大上報(bào)周期�����、預(yù)設(shè)的最小上報(bào)周期�、節(jié)點(diǎn)負(fù)載和節(jié)點(diǎn)cpu處理速度確定�。7.根據(jù)權(quán)利要求1所述的一種分布式網(wǎng)絡(luò)用戶(hù)訪問(wèn)頻率的控制方法���,其特征在于��,還包括:8.一種分布式網(wǎng)絡(luò)用戶(hù)訪問(wèn)頻率的控制裝置���,用于控制器節(jié)點(diǎn),其特征在于包括:9.根據(jù)權(quán)利要求8所述的一種分布式網(wǎng)絡(luò)用戶(hù)訪問(wèn)頻率的控制裝置�,其特征在于,所述用戶(hù)名單生成模塊還用于:10.根據(jù)權(quán)利要求9所述的一種分布式網(wǎng)絡(luò)用戶(hù)訪問(wèn)頻率的控制裝置�,其特征在于,所述用戶(hù)名單生成模塊還用于:技術(shù)總結(jié)本發(fā)明公開(kāi)了一種分布式網(wǎng)絡(luò)用戶(hù)訪問(wèn)頻率的控制方法及裝置�����,涉及網(wǎng)絡(luò)安全
技術(shù)領(lǐng)域:
:����。方法包括:接收網(wǎng)絡(luò)中每個(gè)代理服務(wù)器節(jié)點(diǎn)上報(bào)的威脅信息;將封禁用戶(hù)名單下發(fā)到全部代理服務(wù)器節(jié)點(diǎn)�,生成以用戶(hù)ID為關(guān)鍵字、以用戶(hù)流量采樣信息為值的哈希表��;遍歷所述哈希表�,判斷該用戶(hù)是否應(yīng)當(dāng)被維持在觀察用戶(hù)名單、被添加至觀察用戶(hù)名單���、被移出觀察用戶(hù)名單或者被封禁���;將最新的觀察用戶(hù)名單和最新的封禁用戶(hù)名單下發(fā)至全部的代理服務(wù)器節(jié)點(diǎn)。本發(fā)明能夠在低內(nèi)存占用���、高實(shí)時(shí)性的前提下��,對(duì)訪問(wèn)流量進(jìn)行多維度���、深層次的分析,并提供更友好以及更靈活的部署方式�,提高系統(tǒng)的可用性。技術(shù)研發(fā)人員:韋樂(lè)樂(lè),朱文雷,崔勤受保護(hù)的技術(shù)使用者:北京長(zhǎng)亭科技有限公司技術(shù)研發(fā)日:技術(shù)公布日:2025/1/28