一种恶意访问的拦截方法和系统的制作方法

专利名称：：一种恶意访问的拦截方法和系统的制作方法
技术领域：
：本申请涉及通信领域，尤其涉及一种恶意访问的拦截方法和系统。
背景技术：
：在业务访问系统中，用户终端向TOB服务器发起访问请求后，WEB服务器根据用户终端的请求进行相应的业务处理。为了提高业务访问的安全性，避免用户终端的恶意访问，WEB服务器需要对用户终端的访问是否是恶意访问进行判定，并对用户终端的恶意访问进行拦截。目前TOB服务器对用户终端的恶意访问进行拦截的方式主要有通过Linux系统中的防火墙软件，如具有iptables防火墙功能模块的软件系统进行拦截，或是具有通过apache功能模块的软件系统进行拦截。iptables防火墙拦截方式是TOB服务器对用户终端在网络层的相关信息进行解析，根据单一IP地址的访问频率判断该IP地址对应的用户终端是否是恶意访问的终端，如果WEB服务器检测出通过某一IP地址发出的访问请求的频率达到设定值，则认为通过该IP地址发起访问请求的用户终端是恶意访问终端，对该恶意访问的用户终端发起的用户请求进行拦截。apache功能模块拦截方式与iptables拦截方式类似，TOB服务器通过对用户终端发送的超文本传输协议(HTTP)请求中的IP地址进行解码，也按照IP地址的访问频率判断用户终端是否进行了恶意访问，如果确定某一用户终端是恶意访问的终端，则WEB服务器对该用户终端发起的用户请求进行拦截。在目前对恶意访问拦截的方式下，WEB服务器不仅要对用户终端的业务请求进行正常的业务处理，还需要实时地对用户终端的网络层信息或HTTP请求进行解析，并根据解析结果统计并确定用户终端是否进行了恶意访问，降低了WEB服务器进行业务处理的响应速度，使得WEB服务器的性能下降。
发明内容本申请实施例提供一种恶意访问的拦截方法和系统，以解决在目前对恶意访问拦截的方式下，WEB服务器进行业务处理的响应速度较低、性能下降的问题。一种恶意访问的拦截方法，所述方法包括在网络服务器根据当前用户终端发起的访问请求进行业务处理时，分析服务器根据当前用户终端发起的访问请求对该用户终端是否是恶意访问终端进行分析，并将分析结果返回给网络服务器；在网络服务器再次接收到所述用户终端发起的访问请求时，网络服务器根据拦截信息判断所述用户终端是否是恶意访问终端，所述拦截信息是根据所述分析服务器返回的所述分析结果确定的；网络服务器在确定所述用户终端是恶意访问终端时，拦截当前用户终端发起的访问请求；否则，根据该访问请求进行业务处理。一种恶意访问的拦截系统，所述系统包括网络服务器和拦截服务器，其中网络服务器，用于根据当前用户终端发起的访问请求进行业务处理，并根据分析服务器返回的分析结果确定拦截信息，当再次接收到所述用户终端发起的访问请求时，根据所述拦截信息判断所述用户终端是否是恶意访问终端，在确定所述用户终端是恶意访问终端时，拦截当前用户终端发起的访问请求；否则，根据该访问请求进行业务处理；分析服务器，用于根据当前用户终端发起的访问请求对该用户终端是否是恶意访问终端进行分析，并将分析结果返回给网络服务器。本申请实施例由分析服务器根据用户终端在第1次至第N(N^1)次发起的访问请求分析确定出拦截信息后，在网络服务器接收到所述用户终端第N+1次发起的访问请求时，根据分析服务器确定的拦截信息对用户终端是否是恶意访问终端进行判定，在判定结果是恶意访问终端时拦截当前用户终端发起的访问请求；否则，根据该访问请求进行业务处理。通过本中请实施例的方案可以在准实时地拦截恶意访问的情况下，提高网络服务器的业务处理响应速度，增强业务服务器的性能。图1为本申请实施例一中恶意访问的拦截系统示意图；图2为本申请实施例二中恶意访问的拦截方法示意图。具体实施例方式为了提高网络服务器的业务处理响应速度，增强业务服务器的性能，本申请实施例提出在网络服务器接收到用户终端发起的访问请求时，如果无法直接确定该访问是恶意访问，则将访问请求的相关信息异步发送给分析服务器，无需等待分析服务器的分析结果，直接响应本次接收到的访问请求，避免了对业务处理速度的影响；当分析服务器对本次接收到的访问请求分析并得到分析结果后再通知网络服务器，使得网络服务器之后再接收到同一用户终端的访问请求后，可以直接根据接收到分析结果确定访问请求是否是恶意访问。通过本申请实施例的方案，可以在准实时地拦截恶意访问的情况下，提高网络服务器的业务处理响应速度，增强业务服务器的性能。下面结合说明书附图本申请实施例进行详细描述。本申请所涉及的恶意访问行为包括但不限于用户终端通过手工或者使用机器人程序频繁向WEB服务器发送请求获取数据，申请大量注册用户，或大量填写信息等行为。实施例一如图1所示，为本申请实施例一中恶意访问的拦截系统示意图，从图1中可以看出，拦截系统中包括网络服务器11和分析服务器12，其中网络服务器11用于根据当前用户终端发起的访问请求进行业务处理，并根据分析服务器12返回的分析结果确定拦截信息，当再次接收到所述用户终端发起的访问请求时，根据所述拦截信息判断所述用户终端是否是恶意访问终端，在确定所述用户终端是恶意访问终端时，拦截当前用户终端发起的访问请求；否则，根据该访问请求进行业务处理；分析服务器12用于根据当前用户终端发起的访问请求对该用户终端是否是恶意访问终端进行分析，并将分析结果返回给网络服务器Ilo所述分析服务器12还用于根据再次接收到的访问请求对该用户终端是否是恶意访问终端进行分析，并将分析结果再次返回给网络服务器11；所述网络服务器11还用于在确定所述用户终端是否是恶意访问终端之后，利用再次接收到的分析结果更新拦截信息。在本实施例中，网络服务器11如果未拦截访问请求，则可以将当前用户终端发起的访问请求异步发送给分析服务器12，并且无需等待分析服务器12的分析结果直接进行业务处理。拦截信息可以保存在网络服务器11的内存、硬盘、闪存等多种存储设备中，拦截信息也可以保存在分析服务器12的内存、硬盘、闪存等多种存储设备中。本实施例中涉及的拦截信息包括但不限于以列表的形式存储。在本实施例一的方案中，一台分析服务器12可以为一台或多台网络服务器11提供对访问请求的分析服务。网络服务器11可以在每接收到一个用户终端发起的访问请求时，在未拦截该访问请求时，将本次接收到的一条访问请求直接发送给分析服务器12；较优地，为了提高网络服务器11与分析服务器12之间的传输效率，减少访问请求传输时占用的网络资源，网络服务器11还可以在接收到多个访问请求后，将其中未拦截的访问请求压缩后发送给分析服务器12。特殊地，本实施例一中也不限于采用其他方式将访问请求提供给分析服务器12进行分析，例如，由能够与分析服务器12进行通信的网元从网络服务器11中获取访问请求后转发给分析服务器12；或者由能够与网络服务器11和分析服务器12同时通信的网元，主动接收当前用户终端发起的访问请求，并分别将该访问请求发送给网络服务器11和分析服务器12。在本实施例一的方案中，访问请求包括但不限于HTTP请求和加密的HTTP(HTTPS)请求，网络服务器和/或分析服务器对访问请求进行应用层解码，得到分析信息。这里的分析信息包括但不限于以下参数中的一种或多种的组合IP地址、cookie内容、HTTP头的设定字段标识、请求的数据内容和提交的数据内容，其中，请求的数据内容是指用户终端向网络服务器请求获得(GET)的数据内容，提交的数据内容是指用户终端推送(POST)给网络服务器的数据内容，后续将请求的数据内容和提交的数据内容分别称之为GET数据内容和POST数据内容。分析服务器12可以根据访问请求中的分析信息对用户终端是否是恶意访问终端进行分析。分析服务器12获得访问请求中的分析信息的方式包括但不限于以下两种第一种方式分析服务器12接收网络服务器11或与分析服务器12能够通信的网元发送的访问请求，并主动对接收到的访问请求进行解析，获得分析信息，然后根据所述分析信息确定发起访问请求的用户终端是否是恶意访问终端。在此方式下，网络服务器11无需对访问请求进行解析操作，降低了网络服务器11的工作压力，避免了对网络服务器11的前端性能影响。第二种方式网络服务器11还用于对所述访问请求进行解析，获得分析信息，并将分析信息发送给分析服务器12；分析服务器12具体用于根据接收到的分析信息确定发起所述访问请求的用户终端是否是恶意访问终端。在上述两种方式下，分析服务器12都要根据预先设定的判断原则对分析信息进行分析，以确定用户终端是否是恶意访问终端。所述预先设定的判断原则可以包括但不限于将解析出的访问请求中的哪些内容作为分析信息中的内容、分析信息中的内容在哪些情况下(包括出现频率、参数值等)是正常参数或非正常参数。预先设定的判断原则可以由管理员通过分析服务器12提供的接口写入分析服务器12中，并存储在分析服务器12的内存、闪存、硬盘或其他存储介质中。在分析信息由网络服务器11解析出后发送给分析服务器12的情况下，管理员还可以将预先设定的判断原则写入网络服务器11中，指示网络服务器11根据预先设定的判断原则将解析出的作为分析信息的内容发送给分析服务器12。另外，本实施例一也不限于由分析服务器12或网络服务器11根据实际情况动态设定判断原则，例如，在分析信息中包含cookie内容，将同一cookie内容的出现频率作为是否是正常参数的判断原则时，在网络服务的需求较低时(如22:0008:00)，可以设置较低的出现频率1，即当同一cookie内容的出现频率达到出现频率1时，认为发起该访问请求的用户终端为恶意访问终端；在网络服务的需求较高时(如09:0012:00)，可以设置较高的出现频率2(出现频率1小于出现频率2)，即当同一cookie内容的出现频率达到出现频率2时，才认为发起该访问请求的用户终端为恶意访问终端。分析服务器12或网络服务器11根据实际情况动态调整判断原则后需要实时通知对端实时更新调整后的判断原则。拦截信息中可以包含恶意访问终端的属性信息，这里的属性信息包括但不限于终端标识、IP地址、cookie内容、HTTP头的设定字段标识、GET数据内容和POST数据内容中的一种或多种组合。所述网络服务器11解析当前用户终端发起的访问请求，若解析后得到的分析信息满足拦截信息中的内容时，确定该用户终端是恶意访问终端。根据分析服务器12进行分析的分析信息的内容不同，拦截信息中的内容也可以相应调整。例如分析信息中包含HTTP头的设定字段标识，如果分析服务器12确定某一用户终端为恶意访问终端，则分析服务器12可以将该恶意访问终端的终端标识发送给网络服务器11，由网络服务器11将接收到的终端标识添加至拦截信息，如果该终端标识对应的用户终端后续向网络服务器11发起访问请求时，网络服务器11将拦截该用户终端的访问请求。分析服务器12也可以将HTTP头的设定字段标识发送给网络服务器11，指示设定字段标识为0表示合法，设定字段标识为1表示非法，网络服务器11将接收到的HTTP头的设定字段标识添加至拦截信息，当后续有用户终端发起访问请求时，网络服务器11查看HTTP头的设定字段标识是否为1，若是，则拦截该访问请求，否则，执行该访问请求，并将该访问请求发送给分析服务器12继续进行分析。本实施例一中的网络服务器11可以是具有apache功能模块、Iighttpd功能模块或nginx功能模块的TOB服务器，从图1中的系统结构中可以进一步看出，WEB服务器包括apache功能模块、共享内存(shm功能模块)和用于同步apache功能模块的数据和分析服务器的数据的功能模块，在本实施例中称之为hummock客户端。Apache功能模块中的mod_hummock部件将访问请求或访问请求解析后的分析信息通过PIPE发送给hummock客户端，hummock客户端通过event接口将访问请求或访问请求解析后的分析信息发送至分析服务器12中hummock模块的event接口，为了提高在两个event接口之间的传输速度，可以采用UDP传输协议在两个event接口之间进行数据传输。分析服务器12中hummock模块用于接收访问请求，并对访问请求进行分析，以及将分析结果通知给网络服务器。分析服务器12中hummock模块根据设定的判断原则对接收到的访问请求或访问请求解析后的分析信息进行分离管理，例如将接收到的分析信息分别写入配置列表中，配置列表中包含三个部分，分别是数据、名单和配置，其中，数据中写入分析信息中的访问数据(cookie内容、设定字段标识、GET数据内容和POST数据内容等)，名单中标注分析的是黑名单(或白名单)的内容，配置中写入分析信息中的每一项的判断条件(如分析信息中包含cookie内容，则配置中需要写入判断cookie内容是否合法的出现概率)。分析服务器12中hummock模块对分离管理后的分析信息进行实时统计、分析，并将统计、分析结果存储在内存中。例如统计出单位时间内IP地址为IP_1的出现次数为nl，单位时间内IP地址为IP_2的出现次数为n2，则在内存中存储IP_l_nl，IP_2_n2。分析服务器12中hummock模块可以扫描存储分析结果的内存，查找出需要向网络服务器11返回的分析结果(如IP地址、cookie内容、终端标识等)。分析服务器12可以在每次有分析结果存储至内存时就进行实时扫描，也可以周期性地(如以N秒为周期，N为大于0的数)扫描内存，查找出需要向网络服务器11返回的分析结果。具体做法可以为在分析服务器12中设置一个定时器，在定时器的设定周期到达时，触发hummock模块进行内存扫描，将存储的内容与预先设定的判断原则进行比较，在确定存在需要触发的分析结果(即存在未通知网络服务器的恶意访问终端)时，指示hummock模块向网络服务器11返回的分析结果。分析服务器12确定需要返回的分析结果后，可以通过以下两种方式将分析结果发送给网络服务器11第一种发送方式分析服务器12中hummock模块和网络服务器11中的hummock客户端共同维护拦截信息，在初始状态时拦截信息在两个服务器中的版本相同，并且每更新一次拦截信息，拦截信息更新后的版本号在两个服务器中的变化方式也相同。网络服务器11中的hummock客户端周期性地通过UDP接口向分析服务器12中hummock模块发送分析结果请求(synrequest)，并在synrequest中携带当前网络服务器11中的拦截信息的版本号。当分析服务器12中hummock模块确定返回的分析结果后，利用该分析结果更新自身存储的拦截信息，得到更新后拦截信息的版本号；然后，分析服务器12中hummock模块判断接收到的网络服务器11中拦截信息的版本号与自身保存的更新后的拦截信息版本号是否相同，若相同，表示当前网络服务器11中的拦截信息的版本与分析服务器12中的拦截信息的版本相同，无需对网络服务器11中的拦截信息进行更新；否则，表示当前网络服务器11中的拦截信息的版本低于分析服务器12中的拦截信息的版本，分析服务器12将自身最近用于更新拦截信息的分析结果由UDP接口通过分析结果响应(synresponse)发送给网络服务器11中的hummock客户端。由于UDP传输方式的可靠性较低，因此，本方式下网络服务器11和分析服务器12之间周期性地进行拦截信息版本号的协商，确保网络服务器11和分析服务器12中保存的拦截信息版本号相同，即网络服务器11中保存的拦截信息的更新及时。第二种发送方式分析服务器12中hummock模块得到分析结果后，由TCP接口通过分析结果响应(synresponse)发送给网络服务器11中的hummock客户端。由于TCP传输方式的可靠性较高，因此，本方式下网络服务器11和分析服务器12之间不需要进行数据的协商，直接由分析服务器12向网络服务器11发送分析结果即可。在以上两种发送方式下，网络服务器11中的hummock客户端接收到分析结果后写入shm模块，由网络服务器11中的apache模块从shm模块中读取分析结果，并根据读取的分析结果更新自身保存的拦截信息，后续当网络服务器11接收到用户终端发送的访问请求时，可以利用自身保存的最新的拦截信息对用户终端的合法性进行判断，以便于对恶意访问终端的访问请求进行拦截。通过实施例一记载的恶意访问的拦截系统，网络服务器通过拦截信息不确定用户终端是恶意访问终端时，将用户终端发起的访问请求异步发送给分析服务器，无需等待分析服务器的分析结果，正常执行访问请求；分析服务器对接收到的访问请求进行分析后，将分析结果发送给网络服务器，网络服务器根据接收到的分析结果更新拦截信息，记录所述用户终端是否是恶意访问终端的相关信息，使得同一用户终端再次发起访问请求时可以检测出该用户终端是否是恶意访问终端，在准实时地拦截恶意访问的情况下，避免了对网络服务器前端性能的影响；网络服务器使用自身存储的拦截信息进行是否拦截的判定，对接收到的访问请求作快速对比，提高了网络服务器的业务处理响应速度，增强业务服务器的性能；同时，分析服务器利用访问请求应用层解析后得到的分析信息进行合法性分析，实现了对用户终端的行为进行细粒度的分析，使分析结果更加准确。实施例二本申请实施例二提出了一种恶意访问的拦截方法，如图2所示，所述方法包括以下步骤步骤101网络服务器在第一次接收到当前用户终端发起的访问请求时，对该访问请求进行业务处理。步骤102分析服务器根据当前用户终端发起的访问请求对该用户终端是否是恶意访问终端进行分析，并将分析结果返回给网络服务器。步骤103在网络服务器再次接收到所述用户终端发起的访问请求时，根据拦截信息判断向网络服务器发起访问请求的用户终端是否是恶意访问终端，若是，则执行步骤104；否则，执行步骤105。本实施例二中的所述拦截信息是根据所述分析服务器返回的所述分析结果确定的，具体地，可以是分析服务器根据所述分析结果确定拦截信息后将所述拦截信息发送给网络服务器，也可以是分析服务器将分析结果返回给网络服务器，由网络服务器根据分析结果确定拦截信息。存储在网络服务器中的拦截信息和存储在分析服务器中的拦截信息的内容与版本号与实施例一中网络服务器和分析服务器中存储的拦截信息相同。本实施例二中的网络服务器和分析服务器的结构与实施例一中的网络服务器和分析服务器的结构相同。步骤104网络服务器拦截该用户终端发起的访问请求。在本步骤中，为了避免出现误操作，网络服务器拦截恶意访问终端的访问请求之后可以不立即结束访问过程，而是将用户终端的访问请求转发至其他用于身份验证的认证服务器，由认证服务器对用户终端的身份进行进一步认证，在认证通过时，网络服务器可以CN102137059A说明书7/10页认为该用户终端不再是恶意访问终端，而执行步骤105；否则，结束本次访问过程。具体的认证服务器对用户终端的身份认证过程可以为认证服务器向用户终端推送认证页面，要求用户终端通过认证页面输入合法的验证码。步骤105网络服务器根据该访问请求进行业务处理。通过步骤101步骤105的方案，网络服务器准实时地拦截了恶意访问，由于使用自身存储的拦截信息进行是否拦截的判定，对接收到的访问请求作快速对比，提高了网络服务器的业务处理响应速度，增强业务服务器的性能。较优地，本实施例二还可以进一步包括以下步骤步骤106分析服务器根据再次接收到的访问请求对该用户终端是否是恶意访问终端进行分析，并将分析结果再次返回给网络服务器。在本步骤中，分析服务器获得的访问请求可以是网络服务器在执行步骤105的时候异步发送给分析服务器，也可以由能够与分析服务器进行通信的其他网元向分析服务器发送访问请求。如果由网络服务器异步向分析服务器发送访问请求，则为了提高发送效率，网络服务器可以在接收到多个访问请求后，将其中至少一个未拦截的访问请求压缩后发送给分析服务器。本实施例二中涉及的访问请求可以是HTTP请求或是HTTPS请求，分析服务器对用户终端是否是恶意访问终端进行分析的方式包括但不限于以下两种第一种方式分析服务器对接收到的访问请求主动进行解析，获得分析信息，并根据所述分析信息确定发起访问请求的用户终端是否是恶意访问终端。本实施例二中涉及的分析信息与实施例一中涉及的分析信息相同，包括IP地址、cookie内容、HTTP头的设定字段标识、GET数据内容和POST数据内容中的一种或多种组合。第二种方式网络服务器对当前用户终端发起的访问请求进行解析，获得分析信息，并将分析信息发送给分析服务器；分析服务器根据所述分析信息确定发起所述访问请求的用户终端是否是恶意访问终端。在以上两种分析方式下，分析服务器可以按照实施例一中涉及的判断原则分析确定发起访问请求的用户终端是否是恶意访问终端。步骤107分析服务器将分析结果再次返回给网络服务器。步骤108网络服务器利用再次接收到的分析结果更新拦截信息。此时，用户终端可以继续接收用户终端发起的访问请求，如果继续发起访问请求的用户终端不是首次发起访问请求的用户终端，则网络服务器可以跳转执行步骤103；如果继续发送访问请求的用户终端是首次向网络服务器发起访问请求的用户终端，则网络服务器可以跳转执行步骤101。通过实施例二记载的恶意访问的拦截方法，不仅可以提高了网络服务器的业务处理响应速度，增强业务服务器的性能，还通过对访问请求的应用层解码实现了对用户终端的行为进行细粒度的分析，使分析结果更加准确。下面通过实施例三和实施例四的具体实例对实施例一和实施例二的方案进行详细说明。实施例三假设本实施例三中分析服务器使用的分析信息包括cookie内容，拦截信息中也包括cookie内容，则当网络服务器第N(N大于1)次接收用户终端发起的访问请求时，本实施例三的方案包括以下步骤第一步网络服务器解析接收到的访问请求，将解析出的访问请求中的cookie内容与拦截信息中的cookie内容进行比较，如果解析出的cookie内容与拦截信息中的cookie内容匹配，表示该cookie内容非法，则确定发起该访问请求的用户终端是恶意访问终端，拦截该访问请求；否则，执行第二步。在本步骤执行之前，分析服务器对之前接收到的N-I个访问请求中的一个或多个访问请求已进行分析，并在每次分析操作后得到相应的分析结果，网络服务器根据每次分析后得到的分析结果不断更新拦截信息中的内容，因此，当网络服务器第N次接收到访问请求时，可以利用不断更新的拦截信息对用户终端是否是恶意访问终端进行判定。第二步网络服务器对该访问请求进行业务处理，并将访问请求异步发送给分析服务器。第三步分析服务器在单位时间内从接收到的每个访问请求中解析出cookie内容，判断解析出的相同cookie内容的数量是否达到第一门限值；若是，表示发送包含所述相同cookie内容的访问请求的用户终端是恶意访问终端，并执行第四步；否则，不确定该用户终端是恶意访问终端，跳转至第一步。本实施例三中的第一门限值可以根据经验值设定，也可由管理员根据实际的网络需要手动设置。第四步分析服务器将非法的cookie内容发送给网络服务器。第五步网络服务器将接收到的cookie内容写入拦截信息，得到更新后的拦截信息，然后跳转至第一步。如果同一用户终端再次向网络服务器发起访问请求，且访问请求中的cookie内容与拦截信息中的cookie内容匹配时，拦截接收到的访问请求。通过实施例三的方案，对访问请求做应用层解析，分析服务器进行细粒度的用户行为分析，可以根据不同的网络需求选择不同的分析信息，提高对用户行为分析的准确性。实施例四本实施例四考虑到现有技术中仅采用IP地址进行用户行为分析时，对于多个用户终端共享的网络出口，当多个用户终端同时访问网络服务器时，网络服务器在单位时间内接收到大量的具有相同IP地址的访问请求，此时将会认为该IP地址为非法，由该IP地址发出的访问为恶意访问，导致误杀网络地址转换(NAT)出口的问题。对此，本实施例四中假设分析服务器使用的分析信息包括IP地址和cookie内容，拦截信息中也包括IP地址和cookie内容，则当网络服务器第N(N大于1)次接收用户终端发起的访问请求时，本实施例四的方案包括以下步骤第一步网络服务器解析接收到的访问请求，将解析出的访问请求中的IP地址与拦截信息中的IP地址进行比较，如果解析出的IP地址与拦截信息中的IP地址匹配，则进一步将解析出的cookie内容与拦截信息中的cookie内容进行比较，如果解析出的cookie内容仍与拦截信息中的cookie内容匹配，表示该访问请求非法，则确定发起该访问请求的12用户终端是恶意访问终端，拦截该访问请求；否则，执行第二步。第二步网络服务器对根据该访问请求进行业务处理，并将访问请求异步发送给分析服务器。第三步分析服务器在单位时间内从接收到的每个访问请求中解析出IP地址和cookie内容，在解析出的相同IP地址数量达到第二门限值时，进一步判断包含所述相同IP地址的访问请求中解析出的相同cookie内容的数量是否达到第三门限值，若是，则确定发送包含所述相同cookie内容的访问请求的用户终端是恶意访问终端，跳转至第四步；否则，跳转至第一步。本实施例四中的第二门限值和第三门限值可以根据经验值设定，也可由管理员根据实际的网络需要手动设置。第四步分析服务器将非法的IP地址和cookie内容发送给网络服务器。第五步网络服务器将接收到的IP地址和cookie内容写入拦截信息，得到更新后的拦截信息，然后跳转至第一步。如果同一用户终端再次向网络服务器发起访问请求，且访问请求中的IP地址和cookie内容与拦截信息中的IP地址和cookie内容匹配时，拦截接收到的访问请求。通过实施例四的方案，豁免了来自NAT出口的合法访问，减少拦截的误操作。本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式，例如，使用C语言或C++语言达到最佳的实现效果。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。权利要求1.一种恶意访问的拦截方法，其特征在于，所述方法包括在网络服务器根据当前用户终端发起的访问请求进行业务处理时，分析服务器根据当前用户终端发起的访问请求对该用户终端是否是恶意访问终端进行分析，并将分析结果返回给网络服务器；在网络服务器再次接收到所述用户终端发起的访问请求时，网络服务器根据拦截信息判断所述用户终端是否是恶意访问终端，所述拦截信息是根据所述分析服务器返回的所述分析结果确定的；网络服务器在确定所述用户终端是恶意访问终端时，拦截当前用户终端发起的访问请求；否则，根据该访问请求进行业务处理。2.如权利要求1所述的方法，其特征在于，所述方法还包括分析服务器根据再次接收到的访问请求对该用户终端是否是恶意访问终端进行分析，并将分析结果再次返回给网络服务器；网络服务器在确定所述用户终端是否是恶意访问终端之后，所述方法还包括网络服务器利用再次接收到的分析结果更新拦截信息。3.如权利要求2所述的方法，其特征在于，分析服务器对该用户终端是否是恶意访问终端进行分析之前，所述方法还包括所述网络服务器将接收到的当前用户终端发起的访问请求中至少一个未拦截的访问请求压缩后发送给分析服务器。4.如权利要求3所述的方法，其特征在于，所述访问请求是HTTP请求或HTTPS请求；分析服务器对该用户终端是否是恶意访问终端进行分析，包括分析服务器对接收到的访问请求进行解析，获得分析信息；分析服务器根据所述分析信息确定发起访问请求的用户终端是否是恶意访问终端。5.如权利要求2所述的方法，其特征在于，所述访问请求是HTTP请求或HTTPS请求；分析服务器对该用户终端是否是恶意访问终端进行分析之前，所述方法还包括网络服务器对当前用户终端发起的访问请求进行解析，获得分析信息；网络服务器将分析信息发送给分析服务器；分析服务器对该用户终端是否是恶意访问终端进行分析，包括分析服务器根据所述分析信息确定发起所述访问请求的用户终端是否是恶意访问终端。6.如权利要求4或5所述的方法，其特征在于，所述分析信息包括IP地址、cookie内容、HTTP头的设定字段标识、请求的数据内容和提交的数据内容中的一种或多种组合。7.如权利要求6所述的方法，其特征在于，所述分析信息包括cookie内容；分析服务器确定发起访问请求的用户终端是恶意访问终端，包括分析服务器在单位时间内从接收到的每个访问请求中解析出cookie内容，在解析出的相同cookie内容的数量达到第一门限值时，确定发送包含所述相同cookie内容的访问请求的用户终端是恶意访问终端。8.如权利要求6所述的方法，其特征在于，所述分析信息包括IP地址和cookie内容；分析服务器确定发起访问请求的用户终端是恶意访问终端，包括分析服务器在单位时间内从接收到的每个访问请求中解析出IP地址和cookie内容，在解析出的相同IP地址数量达到第二门限值时，进一步判断包含所述相同IP地址的访问请求中解析出的相同cookie内容的数量是否达到第三门限值，若是，则确定发送包含所述相同cookie内容的访问请求的用户终端是恶意访问终端。9.如权利要求4或5所述的方法，其特征在于，所述拦截信息中包含恶意访问终端的属性信息；网络服务器根据拦截信息判断用户终端是恶意访问终端，包括网络服务器解析当前用户终端发起的访问请求，若解析后得到的分析信息满足拦截信息中恶意访问终端的属性信息时，确定该用户终端是恶意访问终端。10.如权利要求9所述的方法，其特征在于，所述属性信息包括终端标识、IP地址、cookie内容、HTTP头的设定字段标识、请求的数据内容和提交的数据内容中的一种或多种组合。11.一种恶意访问的拦截系统，其特征在于，所述系统包括网络服务器和拦截服务器，其中网络服务器，用于根据当前用户终端发起的访问请求进行业务处理，并根据分析服务器返回的分析结果确定拦截信息，当再次接收到所述用户终端发起的访问请求时，根据所述拦截信息判断所述用户终端是否是恶意访问终端，在确定所述用户终端是恶意访问终端时，拦截当前用户终端发起的访问请求；否则，根据该访问请求进行业务处理；分析服务器，用于根据当前用户终端发起的访问请求对该用户终端是否是恶意访问终端进行分析，并将分析结果返回给网络服务器。12.如权利要求11所述的系统，其特征在于，所述分析服务器，还用于根据再次接收到的访问请求对该用户终端是否是恶意访问终端进行分析，并将分析结果再次返回给网络服务器；所述网络服务器，还用于在确定所述用户终端是否是恶意访问终端之后，利用再次接收到的分析结果更新拦截信息。13.如权利要求12所述的系统，其特征在于，所述网络服务器，还用于将接收到的至少一个访问请求中未拦截的访问请求压缩后发送给分析服务器。14.如权利要求13所述的系统，其特征在于，所述分析服务器，具体用于在所述访问请求是HTTP请求或HTTPS请求时，对接收到的访问请求进行解析，获得分析信息，并根据所述分析信息确定发起访问请求的用户终端是否是恶意访问终端。15.如权利要求12所述的系统，其特征在于，所述网络服务器，还用于在所述访问请求是HTTP请求或HTTPS请求时，对所述访问请求进行解析，获得分析信息，并将分析信息发送给分析服务器；所述分析服务器，具体用于根据所述分析信息确定发起所述访问请求的用户终端是否是恶意访问终端。16.如权利要求14或15所述的系统，其特征在于，所述分析信息包括IP地址、cookie内容、HTTP头的设定字段标识、请求的数据内容和提交的数据内容中的一种或多种组合。17.如权利要求16所述的系统，其特征在于，所述分析服务器，具体用于在分析信息包括cookie内容时，在单位时间内从接收到的每个访问请求中解析出cookie内容，在解析出的相同cookie内容的数量达到第一门限值时，确定发送包含所述相同cookie内容的访问请求的用户终端是恶意访问终端。18.如权利要求16所述的系统，其特征在于，所述分析服务器，具体用于在分析信息包括IP地址和cookie内容时，在单位时间内从接收到的每个访问请求中解析出IP地址和cookie内容，在解析出的相同IP地址数量达到第二门限值时，进一步判断包含所述相同IP地址的访问请求中解析出的相同cookie内容的数量是否达到第三门限值，若是，则确定发送包含所述相同cookie内容的访问请求的用户终端是恶意访问终端。19.如权利要求14或15所述的系统，其特征在于，所述网络服务器，具体用于解析当前用户终端发起的访问请求，若解析后得到的分析信息满足拦截信息中的内容时，确定该用户终端是恶意访问终端，所述拦截列表中包含恶意访问终端的属性信息。20.如权利要求19所述的系统，其特征在于，所述属性信息包括终端标识、IP地址、cookie内容、HTTP头的设定字段标识、请求的数据内容和提交的数据内容中的一种或多种组合。全文摘要本申请公开了一种恶意访问的拦截方法和系统，主要内容包括分析服务器根据用户终端在第1次至第N(N≥1)次发起的访问请求分析确定出拦截信息后，在网络服务器接收到所述用户终端第N+1次发起的访问请求时，根据分析服务器确定的拦截信息对用户终端是否是恶意访问终端进行判定，在判定结果是恶意访问终端时拦截当前用户终端发起的访问请求；否则，根据该访问请求进行业务处理。通过本申请实施例的方案可以在准实时地拦截恶意访问的情况下，提高网络服务器的业务处理响应速度，增强业务服务器的性能。文档编号H04L29/06GK102137059SQ20101000127公开日2011年7月27日申请日期2010年1月21日优先权日2010年1月21日发明者王元创,魏兴国申请人:阿里巴巴集团控股有限公司