通用网关接口业务入侵防护的方法及装置制造方法

通用网关接口业务入侵防护的方法及装置制造方法
【专利摘要】本发明适用于互联网【技术领域】，提供了一种通用网关接口业务入侵防护的方法及装置，该方法包括：创建CGI业务特征库，所述CGI业务特征库中包含有第一特征库和第二特征库；在接收到CGI业务请求时，获取该CGI业务的特征信息；将获取的所述特征信息与第一特征库中的恶意特征信息进行匹配；当第一特征库中不存在获取的所述特征信息时，与第二特征库中的非恶意特征信息进行匹配；当第二特征库中不存在获取的所述特征信息，或获取的所述特征信息不满足预设的匹配规则时，确定所述CGI业务请求为恶意请求，对所述CGI业务请求进行相应的处理，并将获取的特征信息添加到第一特征库中。通过本发明可有效提高恶意CGI业务请求判断的准确性。
【专利说明】通用网关接口业务入侵防护的方法及装置

【技术领域】
[0001]本发明属于通用网关接口【技术领域】，尤其涉及通用网关接口业务入侵防护的方法及装置。

【背景技术】
[0002]通用网关接口(Common Gateway Interface,CGI)是运行在WEB服务器上的程序，由浏览器的输入触发，用于处理客户端的业务请求，并根据客户端的业务请求向客户端返回处理结果。
[0003]通常把通过CGI处理的业务请求称为CGI业务请求。现有CGI为避免某些恶意CGI业务的入侵，在处理所述CGI业务请求前，先对发送所述CGI业务请求的客户端进行身份验证，在验证通过后，再对所述CGI业务请求进行相应处理。然而，由于客户端身份容易泄露或伪装，导致现有技术对恶意CGI业务判断的准确性较低，从而入侵防护的有效性较低，严重影响到WEB服务器的安全。


【发明内容】

[0004]本发明实施例提供一种通用网关接口业务入侵防护的方法，以解决现有技术对恶意CGI业务判断的准确性较低，导致入侵防护的有效性较低，影响到WEB服务器安全的问题。
[0005]本发明实施例的第一方面，提供一种通用网关接口业务入侵防护的方法，所述方法包括:
[0006]创建通用网关接口 CGI业务特征库，所述CGI业务特征库中包含有第一特征库和第二特征库，所述第一特征库中包含CGI业务的多个恶意特征信息，所述第二特征库中包含CGI业务的多个非恶意特征信息；
[0007]在接收到CGI业务请求时，获取该CGI业务的特征信息；
[0008]将获取的所述特征信息与所述第一特征库中的恶意特征信息进行匹配；
[0009]当所述第一特征库中不存在获取的所述特征信息时，将获取的所述特征信息与所述第二特征库中的非恶意特征信息进行匹配；
[0010]当所述第二特征库中不存在获取的所述特征信息，或获取的所述特征信息不满足预设的匹配规则时，确定所述CGI业务请求为恶意的CGI业务请求，对所述CGI业务请求进行相应的处理，并将获取的所述特征信息添加到所述第一特征库中。
[0011]本发明实施例的第二方面，提供一种通用网关接口业务入侵防护的装置，所述装置包括:
[0012]特征库创建单元，用于创建通用网关接口 CGI业务特征库，所述CGI业务特征库中包含有第一特征库和第二特征库，所述第一特征库中包含CGI业务的多个恶意特征信息，所述第二特征库中包含CGI业务的多个非恶意特征信息；
[0013]第一信息获取单元，用于在接收到CGI业务请求时，获取该CGI业务的特征信息；
[0014]第一匹配单元，用于将获取的所述特征信息与所述第一特征库中的恶意特征信息进行匹配；
[0015]第二匹配单元，用于当所述第一特征库中不存在获取的所述特征信息时，将获取的所述特征信息与所述第二特征库中的非恶意特征信息进行匹配；
[0016]第一处理单元，用于当所述第二特征库中不存在获取的所述特征信息，或获取的所述特征信息不满足预设的匹配规则时，确定所述CGI业务请求为恶意的CGI业务请求，对所述CGI业务请求进行相应的处理，并将获取的所述特征信息添加到所述第一特征库中。
[0017]本发明实施例与现有技术相比存在的有益效果是:在接收到CGI业务请求时，获取该CGI业务的特征信息，通过将获取的所述特征信息与预先创建的包含有CGI业务多个恶意特征信息和多个非恶意特征信息的特征库进行匹配，来确定所述CGI业务请求是否为恶意的CGI业务请求。本发明实施例基于CGI业务请求自身的特征信息来确定所述CGI业务请求是否为恶意的CGI业务请求，可有效提高判断的准确性。而且，还可以对所述特征库进行实时的更新，进一步提高对CGI业务请求判断的准确性以及入侵防护的有效性，保证WEB服务器的安全。

【专利附图】

【附图说明】
[0018]为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0019]图1是本发明实施例一提供的通用网关接口业务入侵防护方法的实现流程图；
[0020]图2是本发明实施例二提供的通用网关接口业务入侵防护装置的结构框图。

【具体实施方式】
[0021]为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。为了说明本发明所述的技术方案，下面通过具体实施例来进行说明。
[0022]实施例一:
[0023]图1示出了第一实施例提供的通用网关接口业务入侵防护方法的实现流程，其过程详述如下:
[0024]在步骤SlOl中，创建通用网关接口 CGI业务特征库，所述CGI业务特征库中包含有第一特征库和第二特征库，所述第一特征库中包含CGI业务的多个恶意特征信息，所述第二特征库中包含CGI业务的多个非恶意特征信息。
[0025]在本实施例中，CGI业务的特征信息包括CGI业务的访问类型、CGI业务的编码长度和/或CGI业务中参数的个数等。
[0026]其中，所述恶意特性信息是指对WEB服务器安全构成威胁的特征信息。包括非法访问类型、不在预设范围内的编码长度以及参数个数等。具体还包括l)whois_raw.cgi,允许入侵者能够以系统上启动http的用户的权限执行系统上任意的命令；2) faxsurvey,允许入侵者无须登录就能在服务器执行指令；3)pfdispaly.cgi，允许入侵者非法查看服务器上的文件等。
[0027]所述非恶意特征信息是指对WEB服务器安全不构成威胁的特征信息。包括正常的访问类型(例如页面请求、表达提交、搜索请求、登录请求等)、在预设范围内的编码长度以及参数个数等。具体还包括I)SERVER_INTERFACE 服务器的类型；2)SERVER_PR0T0C0L:通信协议，如 HTTP/1.0 ；3) SERVER_P0RT:TCP 端口，一般 WEB 端口是 80 ;4) HTTP_ACCEPT:HTTP定义的浏览器能够接受的数据类型等。
[0028]在步骤S102中，在接收到CGI业务请求时，获取该CGI业务的特征信息。
[0029]在本实施例中，在接收到CGI业务请求时，对该CGI业务请求进行解析，获取该CGI业务的特征信息，获取的特征信息包括但不限于CGI业务的访问类型、CGI业务的编码长度以及CGI业务中参数的个数等。
[0030]在步骤S103中，将获取的所述特征信息与所述第一特征库中的恶意特征信息进行匹配。
[0031]在本实施例中，当获取的特征信息中包含多个特征信息时，将每一个特征信息与所述第一特征库中的恶意特征信息进行匹配。
[0032]在步骤S104中，当所述第一特征库中不存在获取的所述特征信息时，将获取的所述特征信息与所述第二特征库中的非恶意特征信息进行匹配。
[0033]在本实施例中，当获取的特征信息中包含多个特征信息，且所述第一特征库中不存在所述多个特征信息中的任一个时，将获取的所述每一个特征信息与所述第二特征库中的非恶意特征信息进行匹配。
[0034]进一步的，本实施例还包括:
[0035]当所述第一特征库中存在获取的所述特征信息时，确定所述CGI业务请求为恶意的CGI业务请求。
[0036]更进一步，当获取的特征信息中包含多个特征信息时，
[0037]所述当所述第一特征库中存在获取的所述特征信息时，确定所述CGI业务请求为恶意的CGI业务请求包括:
[0038]当所述第一特征库中存在获取的所述特征信息中的任一特征信息时，确定所述CGI业务请求为恶意的CGI业务请求。
[0039]在步骤S105中，当所述第二特征库中不存在获取的所述特征信息，或获取的所述特征信息不满足预设的匹配规则时，确定所述CGI业务请求为恶意的CGI业务请求，对所述CGI业务请求进行相应的处理，并将获取的所述特征信息添加到所述第一特征库中。
[0040]在本实施例中，当获取的特征信息中包含多个特征信息时，所述当所述第二特征库中不存在获取的所述特征信息，或获取的所述特征信息不满足预设的匹配规则时，确定所述CGI业务请求为恶意的CGI业务请求包括:
[0041]当所述第二特征库中不存在所获取的特征信息中的任一特征信息，或所获取的特征信息中的任一特征信息不满足预设的匹配规则时，确定所述CGI业务请求为恶意的CGI业务请求。
[0042]示例性的，当获取的所述特征信息中包含CGI业务的编码长度、CGI业务的类型和CGI业务中参数的个数时，当所述CGI业务特征库中不存在所述CGI业务的编码长度或所述CGI业务的编码长度不满足预设的匹配规则(即所述CGI业务的编码长度不在预设的编码长度范围内)、或不存在所述CGI业务的类型或所述CGI业务的类型不满足预设的匹配规贝U、或不存在所述CGI业务中参数的个数或所述CGI业务中参数的个数不满足预设的匹配规则(即所述CGI业务中参数的个数不在预设范围内)时，确定所述CGI业务请求为恶意的CGI业务请求。
[0043]进一步的，本实施例还包括:
[0044]当所述第二特征库中存在获取的所述特征信息，或获取的所述特征信息满足预设的匹配规则时，确定所述CGI业务请求为非恶意的CGI业务请求。
[0045]更进一步的，当获取的特征信息中包含多个特征信息时，所述当所述第二特征库中存在获取的所述特征信息，或获取的所述特征信息满足预设的匹配规则时，确定所述CGI业务请求为非恶意的CGI业务请求包括:
[0046]当所述第二特征库中存在获取的所述多个特征信息，或获取的所述多个特征信息都满足预设的匹配规则时，确定所述CGI业务请求为非恶意的CGI业务请求。
[0047]示例性的，当获取的所述特征信息中包含CGI业务的编码长度、CGI业务的类型和CGI业务中参数的个数时，当所述CGI业务特征库中存在所述CGI业务的编码长度或所述CGI业务的编码长度满足预设的匹配规则、存在所述CGI业务的类型或所述CGI业务的类型满足预设的匹配规则、且存在所述CGI业务中参数的个数或所述CGI业务中参数的个数满足预设的匹配规则时，确定所述CGI业务请求为非恶意的CGI业务请求。
[0048]在本实施例中，对所述CGI业务请求进行的处理包括但不限于拒绝该CGI业务请求、丢弃该CGI业务请求、阻断该CGI业务请求、对该CGI业务请求进行审计或者通过报警的方式通知相关负责人。
[0049]优选的是，为了进一步提高判断的准确性或避免重复判断导致系统性能的消耗，所述CGI业务特征库中还包含有以下至少一项:
[0050]用于记录恶意的CGI业务请求的第一列表；
[0051]用于记录合法的CGI业务请求的第二列表；
[0052]用于记录可授权的CGI业务请求的第三列表。
[0053]本实施例，在确定所述CGI业务请求为恶意的CGI业务请求之前，还包括:
[0054]确定接收到的所述CGI业务请求是否在所述第一列表、第二列表或第三列表中。
[0055]需要说明的是，为了避免重复判断导致系统性能的消耗，本实施例可以在接收到CGI业务请求时，即判断该CGI业务请求是否在所述第一列表、第二列表或第三列表中，若存在，则进行相应的处理；若不存在，再获取该CGI业务请求中的特征信息，将获取的特性信息与与包含有CGI业务多个恶意特征信息和多个非恶意特征信息的特征库进行匹配。
[0056]另外，为了进一步提高判断的准确性，本实施例可以将所述CGI业务请求中的特征信息与第一特征库中的恶意特征信息或第二特征库中的非恶意特征信息进行匹配后，再判断该CGI业务请求是否在所述第一列表、第二列表或第三列表中，如果两者判断结果不一致(例如经过第二特征库匹配后发现该CGI业务请求为恶意的CGI业务请求，但该CGI业务请求又存在于第三列表(即可授权的CGI业务请求中))，则对该CGI业务请求进行审计以进一步确定该CGI业务请求是否对WEB服务器构成威胁，保证WEB服务器的安全。
[0057]在本实施例中，将不同的CGI业务请求记录到所述第一列表、第二列表或第三列表中具体包括:
[0058]获取某一时间段内历史CGI业务请求的特征信息；
[0059]将所述历史CGI业务请求的特征信息与所述第一特征库中的恶意特征信息和第二特征库中的非恶意特征信息进行匹配；
[0060]当所述第一特征库存在所述历史CGI业务请求的特征信息时，将该CGI业务请求记录到所述第一列表中；当所述第二特征库存在所述历史CGI业务请求的特征信息时，将该CGI业务请求记录到所述第二列表中；当所述第二特征库和第一特征库中都不存在所述历史CGI业务请求的特征信息时，将该CGI业务请求记录到所述第三列表中。
[0061]本发明实施例基于CGI业务请求自身的特征信息来确定所述CGI业务请求是否为恶意的CGI业务请求，可有效提高判断的准确性。而且，还可以对所述特征库进行实时的更新，进一步提高对CGI业务请求判断的准确性以及入侵防护的有效性，保证WEB服务器的安全。
[0062]实施例二:
[0063]图2示出了本发明第二实施例提供的通用网关接口业务入侵防护装置的组成结构，为了便于说明，仅示出了与本发明实施例相关的部分。
[0064]该通用网关接口业务入侵防护装置可以是运行于终端设备(如WEB服务器)内的软件单元、硬件单元或者软硬件相结合的单元，也可以作为独立的挂件集成到所述终端设备中或者运行于所述终端设备的应用系统中。
[0065]该通用网关接口业务入侵防护装置包括特征库创建单元21、第一信息获取单元22、第一匹配单元23、第二匹配单元24以及第一处理单元25。其中，各单元的具体功能如下:
[0066]特征库创建单元21，用于创建通用网关接口 CGI业务特征库，所述CGI业务特征库中包含有第一特征库和第二特征库，所述第一特征库中包含CGI业务的多个恶意特征信息，所述第二特征库中包含CGI业务的多个非恶意特征信息；
[0067]第一信息获取单元22，用于在接收到CGI业务请求时，获取该CGI业务的特征信息；
[0068]第一匹配单元23，用于将获取的所述特征信息与所述第一特征库中的恶意特征信息进行匹配；
[0069]第二匹配单元24，用于当所述第一特征库中不存在获取的所述特征信息时，将获取的所述特征信息与所述第二特征库中的非恶意特征信息进行匹配；
[0070]第一处理单元25，用于当所述第二特征库中不存在获取的所述特征信息，或获取的所述特征信息不满足预设的匹配规则时，确定所述CGI业务请求为恶意的CGI业务请求，对所述CGI业务请求进行相应的处理，并将获取的所述特征信息添加到所述第一特征库中。
[0071]进一步的，所述第一处理单元25还用于:
[0072]当所述第一特征库中存在获取的所述特征信息时，确定所述CGI业务请求为恶意的CGI业务请求。
[0073]进一步的，当获取的特征信息中包含多个特征信息时，
[0074]所述第一处理单元25用于，当所述第一特征库中存在获取的所述特征信息中的任一特征信息时,确定所述CGI业务请求为恶意的CGI业务请求。
[0075]进一步的，当获取的特征信息中包含多个特征信息时，
[0076]所述第一处理单元25用于，当所述第二特征库中不存在所获取的特征信息中的任一特征信息，或所获取的特征信息中的任一特征信息不满足预设的匹配规则时，确定所述CGI业务请求为恶意的CGI业务请求。
[0077]进一步的，所述装置还包括:
[0078]第二处理单元26，用于当所述第二特征库中存在获取的所述特征信息，或获取的所述特征信息满足预设的匹配规则时，确定所述CGI业务请求为非恶意的CGI业务请求。
[0079]进一步的，当获取的特征信息中包含多个特征信息时，
[0080]第二处理单元26用于，当所述第二特征库中存在获取的所述多个特征信息，或获取的所述多个特征信息都满足预设的匹配规则时，确定所述CGI业务请求为非恶意的CGI业务请求。
[0081]进一步的，所述CGI业务特征库中还包含有以下至少一项:
[0082]用于记录恶意的CGI业务请求的第一列表；
[0083]用于记录合法的CGI业务请求的第二列表；
[0084]用于记录可授权的CGI业务请求的第三列表。
[0085]进一步的，所述第一处理单元25在确定所述CGI业务请求为恶意的CGI业务请求之前，还用于确定接收到的所述CGI业务请求是否在所述第一列表、第二列表或第三列表中。
[0086]进一步的，所述装置还包括:
[0087]第二信息获取单元27，用于获取某一时间段内历史CGI业务请求的特征信息；
[0088]第三匹配单元28，用于将所述历史CGI业务请求的特征信息与所述第一特征库中的恶意特征信息和第二特征库中的非恶意特征信息进行匹配；
[0089]记录单元29，用于当所述第一特征库存在所述历史CGI业务请求的特征信息时，将该CGI业务请求记录到所述第一列表中；当所述第二特征库存在所述历史CGI业务请求的特征信息时，将该CGI业务请求记录到所述第二列表中；当所述第二特征库和第一特征库中都不存在所述历史CGI业务请求的特征信息时，将该CGI业务请求记录到所述第三列表中。
[0090]所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。实施例中的各功能单元或模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元或模块既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。上述装置中单元、模块的具体工作过程，可以参考前述方法实施例一中的对应过程，在此不再赘述。
[0091]综上所述，本发明实施例基于CGI业务请求自身的特征信息与预先创建的包含有CGI业务多个恶意特征信息和多个非恶意特征信息的特征库和/或第一列表、第二列表和/或第三列表进行匹配，来确定所述CGI业务请求是否为恶意的CGI业务请求，可有效提高判断的准确性。而且，还可以对所述特征库进行实时的更新，进一步提高对CGI业务请求判断的准确性以及入侵防护的有效性，保证WEB服务器的安全。
[0092]本领域普通技术人员还可以理解，实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以在存储于一计算机可读取存储介质中，所述的存储介质，包括R0M/RAM、磁盘、光盘等。
[0093]以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属【技术领域】的普通技术人员来说，在不脱离本发明构思的前提下做出若干等同替代或明显变型，而且性能或用途相同，都应当视为属于本发明由所提交的权利要求书确定的专利保护范围。
【权利要求】
1.一种通用网关接口业务入侵防护的方法，其特征在于，所述方法包括: 创建通用网关接口业务特征库，所述业务特征库中包含有第一特征库和第二特征库，所述第一特征库中包含业务的多个恶意特征信息，所述第二特征库中包含⑶工业务的多个非恶意特征信息； 在接收到业务请求时，获取该业务的特征信息； 将获取的所述特征信息与所述第一特征库中的恶意特征信息进行匹配； 当所述第一特征库中不存在获取的所述特征信息时，将获取的所述特征信息与所述第二特征库中的非恶意特征信息进行匹配； 当所述第二特征库中不存在获取的所述特征信息，或获取的所述特征信息不满足预设的匹配规则时，确定所述业务请求为恶意的业务请求，对所述业务请求进行相应的处理，并将获取的所述特征信息添加到所述第一特征库中。
2.如权利要求1所述的方法，其特征在于，所述方法还包括: 当所述第一特征库中存在获取的所述特征信息时，确定所述化1业务请求为恶意的061业务请求。
3.如权利要求2所述的方法，其特征在于，当获取的特征信息中包含多个特征信息时， 所述当所述第一特征库中存在获取的所述特征信息时，确定所述化1业务请求为恶意的业务请求包括: 当所述第一特征库中存在获取的所述特征信息中的任一特征信息时，确定所述业务请求为恶意的业务请求。
4.如权利要求1所述的方法，其特征在于，当获取的特征信息中包含多个特征信息时， 所述当所述第二特征库中不存在获取的所述特征信息，或获取的所述特征信息不满足预设的匹配规则时，确定所述业务请求为恶意的业务请求包括: 当所述第二特征库中不存在所获取的特征信息中的任一特征信息，或所获取的特征信息中的任一特征信息不满足预设的匹配规则时，确定所述化1业务请求为恶意的化1业务请求。
5.如权利要求1所述的方法，其特征在于，所述方法还包括: 当所述第二特征库中存在获取的所述特征信息，或获取的所述特征信息满足预设的匹配规则时，确定所述业务请求为非恶意的业务请求。
6.如权利要求5所述的方法，其特征在于，当获取的特征信息中包含多个特征信息时， 所述当所述第二特征库中存在获取的所述特征信息，或获取的所述特征信息满足预设的匹配规则时，确定所述业务请求为非恶意的业务请求包括: 当所述第二特征库中存在获取的所述多个特征信息，或获取的所述多个特征信息都满足预设的匹配规则时，确定所述业务请求为非恶意的业务请求。
7.如权利要求1所述的方法，其特征在于，所述业务特征库中还包含有以下至少一项: 用于记录恶意的业务请求的第一列表； 用于记录合法的业务请求的第二列表； 用于记录可授权的业务请求的第三列表。
8.如权利要求7所述的方法，其特征在于，在确定所述化1业务请求为恶意的化1业务请求之前，还包括: 确定接收到的所述业务请求是否在所述第一列表、第二列表或第三列表中。
9.如权利要求7所述的方法，其特征在于，所述方法还包括: 获取某一时间段内历史业务请求的特征信息； 将所述历史业务请求的特征信息与所述第一特征库中的恶意特征信息和第二特征库中的非恶意特征信息进行匹配； 当所述第一特征库存在所述历史061业务请求的特征信息时，将该061业务请求记录到所述第一列表中；当所述第二特征库存在所述历史业务请求的特征信息时，将该⑶工业务请求记录到所述第二列表中；当所述第二特征库和第一特征库中都不存在所述历史061业务请求的特征信息时，将该业务请求记录到所述第三列表中。
10.一种通用网关接口业务入侵防护的装置，其特征在于，所述装置包括: 特征库创建单元，用于创建通用网关接口⑶I业务特征库，所述⑶I业务特征库中包含有第一特征库和第二特征库，所述第一特征库中包含化1业务的多个恶意特征信息，所述第二特征库中包含业务的多个非恶意特征信息； 第一信息获取单元，用于在接收到业务请求时，获取该业务的特征信息；第一匹配单元，用于将获取的所述特征信息与所述第一特征库中的恶意特征信息进行匹配； 第二匹配单元，用于当所述第一特征库中不存在获取的所述特征信息时，将获取的所述特征信息与所述第二特征库中的非恶意特征信息进行匹配； 第一处理单元，用于当所述第二特征库中不存在获取的所述特征信息，或获取的所述特征信息不满足预设的匹配规则时，确定所述业务请求为恶意的业务请求，对所述061业务请求进行相应的处理，并将获取的所述特征信息添加到所述第一特征库中。
11.如权利要求10所述的装置，其特征在于，所述第一处理单元还用于: 当所述第一特征库中存在获取的所述特征信息时，确定所述化1业务请求为恶意的061业务请求。
12.如权利要求11所述的装置，其特征在于，当获取的特征信息中包含多个特征信息时， 所述第一处理单元用于，当所述第一特征库中存在获取的所述特征信息中的任一特征信息时，确定所述业务请求为恶意的业务请求。
13.如权利要求10所述的装置，其特征在于，当获取的特征信息中包含多个特征信息时， 所述第一处理单元用于，当所述第二特征库中不存在所获取的特征信息中的任一特征信息，或所获取的特征信息中的任一特征信息不满足预设的匹配规则时，确定所述化1业务请求为恶意的业务请求。
14.如权利要求10所述的方法，其特征在于，所述装置还包括: 第二处理单元，用于当所述第二特征库中存在获取的所述特征信息，或获取的所述特征信息满足预设的匹配规则时，确定所述业务请求为非恶意的业务请求。
15.如权利要求14所述的装置，其特征在于，当获取的特征信息中包含多个特征信息时， 第二处理单元用于，当所述第二特征库中存在获取的所述多个特征信息，或获取的所述多个特征信息都满足预设的匹配规则时，确定所述业务请求为非恶意的化1业务请求。
16.如权利要求10所述的装置，其特征在于，所述业务特征库中还包含有以下至少一项: 用于记录恶意的业务请求的第一列表； 用于记录合法的业务请求的第二列表； 用于记录可授权的业务请求的第三列表。
17.如权利要求16所述的装置，其特征在于，所述第一处理单元在确定所述“I业务请求为恶意的业务请求之前，还用于确定接收到的所述化1业务请求是否在所述第一列表、第二列表或第三列表中。
18.如权利要求16所述的装置，其特征在于，所述装置还包括: 第二信息获取单元，用于获取某一时间段内历史业务请求的特征信息； 第三匹配单元，用于将所述历史化1业务请求的特征信息与所述第一特征库中的恶意特征信息和第二特征库中的非恶意特征信息进行匹配； 记录单元，用于当所述第一特征库存在所述历史化1业务请求的特征信息时，将该⑶工业务请求记录到所述第一列表中；当所述第二特征库存在所述历史061业务请求的特征信息时，将该化1业务请求记录到所述第二列表中；当所述第二特征库和第一特征库中都不存在所述历史业务请求的特征信息时，将该业务请求记录到所述第三列表中。
【文档编号】H04L29/08GK104348795SQ201310326712
【公开日】2015年2月11日 申请日期:2013年7月30日 优先权日:2013年7月30日
【发明者】陈勇, 闫帅帅 申请人:深圳市腾讯计算机系统有限公司