访问请求处理方法、装置、系统、存储介质和计算机设备与流程

本申请涉及网络信息安全技术领域，特别是涉及一种访问请求处理方法、装置、系统、计算机可读存储介质和计算机设备。

背景技术：

随着互联网技术的发展，越来越多的用户通过终端设备访问互联网的业务信息资源。例如，用户可以通过如手机、平板电脑等移动终端连接互联网，通过互联网对相关业务服务器发送访问请求，业务服务器则对访问请求做出响应，将如网页信息、视频信息等业务信息资源发送给移动终端供用户浏览。而一些终端设备可能会以攻击业务服务器的目的对业务服务器发起非法访问。例如，cc(challengecohapsar，挑战黑洞)攻击是ddos攻击的一种，发生在第七层应用层，攻击ip是真实ip地址，主要对一些消耗资源的页面进行不断请求，导致消耗源站资源，和正常业务请求界定模糊。

传统技术所提供的对访问请求的处理方案主要是提取访问终端ip作为攻击源的特征进行统计，通过观察单位时间内该访问终端ip的请求次数，来设定一个攻击阈值，当单个访问终端ip在单位时间内超出该阈值后就会被认定为攻击恶意ip，从而进行拦截以为业务服务器提供防护。然而，这种技术在对访问请求进行处理时容易对正常业务访问请求造成误拦截，难以对访问请求进行准确处理。

技术实现要素：

基于此，有必要针对传统技术难以对访问请求进行准确处理的技术问题，提供一种访问请求处理方法、装置、系统、计算机可读存储介质和计算机设备。

一种访问请求处理方法，包括：

获取源访问请求，提取所述源访问请求的请求字段特征；

根据所述请求字段特征识别所述源访问请求是否属于恶意攻击流量；

若否，则将所述源访问请求设为目标访问请求；

将所述目标访问请求输入到预先构建的访问行为分析模型，获取所述访问行为分析模型输出的所述目标访问请求对应的访问行为可信度；

根据所述访问行为可信度确定所述目标访问请求的访问请求等级；

按照所述访问请求等级对所述目标访问请求进行相应处理。

一种访问请求处理装置，所述装置包括：

特征提取模块，用于获取源访问请求，提取所述源访问请求的请求字段特征；

流量识别模块，用于根据所述请求字段特征识别所述源访问请求是否属于恶意攻击流量；

请求设置模块，用于若否，则将所述源访问请求设为目标访问请求；

可信度获取模块，用于将所述目标访问请求输入到预先构建的访问行为分析模型，获取所述访问行为分析模型输出的所述目标访问请求对应的访问行为可信度；

等级确定模块，用于根据所述访问行为可信度确定所述目标访问请求的访问请求等级；

请求处理模块，用于按照所述访问请求等级对所述目标访问请求进行相应处理。

一种访问请求处理系统，所述系统包括：请求防护模块、处理服务模块和人工智能分析引擎模块；其中，

所述请求防护模块，用于获取源访问请求，将所述源访问请求发送至所述处理服务模块；

所述处理服务模块，用于提取所述源访问请求的请求字段特征，根据所述请求字段特征识别所述源访问请求是否属于恶意攻击流量，若否，则将所述源访问请求设为目标访问请求，将所述目标访问请求发送至所述人工智能分析引擎模块；

所述人工智能分析引擎模块，用于通过预先构建的访问行为分析模型对所述目标访问请求进行分析，将分析得到的访问行为可信度发送至所述处理服务模块；

所述处理服务模块，还用于根据所述访问行为可信度确定所述目标访问请求的访问请求等级，按照所述访问请求等级对所述目标访问请求进行相应处理。

一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行如下步骤：

获取源访问请求，提取所述源访问请求的请求字段特征；根据所述请求字段特征识别所述源访问请求是否属于恶意攻击流量；若否，则将所述源访问请求设为目标访问请求；将所述目标访问请求输入到预先构建的访问行为分析模型，获取所述访问行为分析模型输出的所述目标访问请求对应的访问行为可信度；根据所述访问行为可信度确定所述目标访问请求的访问请求等级；按照所述访问请求等级对所述目标访问请求进行相应处理。

一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行如下步骤：

获取源访问请求，提取所述源访问请求的请求字段特征；根据所述请求字段特征识别所述源访问请求是否属于恶意攻击流量；若否，则将所述源访问请求设为目标访问请求；将所述目标访问请求输入到预先构建的访问行为分析模型，获取所述访问行为分析模型输出的所述目标访问请求对应的访问行为可信度；根据所述访问行为可信度确定所述目标访问请求的访问请求等级；按照所述访问请求等级对所述目标访问请求进行相应处理。

上述访问请求处理方法、装置、系统、计算机可读存储介质和计算机设备，获取源访问请求并提取其请求字段特征，根据请求字段特征识别该源访问请求是否属于恶意攻击流量，若否，则将该源访问请求作为目标访问请求输入到预先构建的访问行为分析模型，获取访问行为分析模型输出的访问行为可信度，进而根据该访问行为可信度确定出目标访问请求的访问请求等级，最后按照该访问请求等级对目标访问请求做出相应的处理。该方案能够对访问请求进行二级处理，先根据其请求字段特征识别是否为恶意攻击流量，如果不是则进一步基于预先构建好的访问行为分析模型对该访问请求进行分析得出访问行为可信度，然后确定该访问请求所对应的访问请求等级，能够根据不同的访问请求等级对不同的访问请求进行分类，以按照不同访问请求等级来对不同访问请求做出相应的处理，从而实现准确处理访问请求的效果。

附图说明

图1为一个实施例中访问请求处理方法的应用环境图；

图2为一个实施例中访问请求处理方法的流程示意图；

图3为另一个实施例中访问请求处理方法的流程示意图；

图4为一个实施例中访问请求处理装置的结构框图；

图5为一个实施例中访问请求处理系统的结构框图；

图6为一个应用示例中web应用防护系统的整体结构图；

图7为一个应用示例中防护逻辑的处理流程图；

图8为一个实施例中计算机设备的结构框图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请提供的访问请求处理方法，可以应用于如图1所示的应用环境当中，图1为一个实施例中访问请求处理方法的应用环境图，该应用环境可以包括：访问终端100、防护系统200和业务服务器300。其中，访问终端100可以通过互联网访问业务服务器300，在访问终端100对业务服务器300进行访问时，访问终端100可以先生成访问请求，然后将该访问请求通过互联网发送至业务服务器300，业务服务器300可以响应该访问请求，将响应内容发送通过互联网返回给访问终端100。例如，访问终端100可以向业务服务器300发送网页访问请求，以访问某个网页的页面内容，业务服务器300在接收到网页访问请求后，可以将相应网页的页面内容数据返回给访问终端100。然而，在对业务服务器300进行访问的过程中，一些访问终端100可能会以攻击业务服务器的目的对业务服务器发起非法访问。

常见的攻击行为可以包括：黑客攻击行为、cc攻击、自动抢单等等。其中，黑客攻击行为是一种以利用安全漏洞进行破坏、损害用户利益的黑客行为，包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、影响业务正常运作、恶意传播漏洞等攻击行为；cc攻击是ddos攻击的一种，发生在第七层应用层，不同于网络层ddos的是tcp连接已经建立，攻击ip是真实ip地址，主要对一些消耗资源的页面进行不断请求，导致消耗源站资源，和正常业务请求界定模糊；自动抢单，是指黑客通过大量手机号和代理ip资源，提前批量注册并养号，囤积了大量的账号资源，一旦发现有活动有利可刷，使用自动化工具进行批量抢单谋取利益的行为。

基于此，业务服务器300可以通过防护系统200对访问请求进行处理，从而达到对业务服务器300进行安全防护的效果，也就是说，访问终端100在将访问请求发送给业务服务器300之前，需要先将访问请求发送给防护系统200，由防护系统200对该访问请求进行何种处理。具体而言，本申请各实施例提供的访问请求处理方法，防护系统200可以获取访问终端100发送的源访问请求并提取源访问请求的请求字段特征，根据该请求字段特征识别出该源访问请求是否属于恶意攻击流量，如果不是，则防护系统200将该源访问请求作为目标访问请求输入到预先构建的访问行为分析模型当中，以使得访问行为分析模型对该目标访问请求进行处理，输出访问行为可信度，防护系统200获取行为分析模型输出的访问行为可信度后，进一步根据该访问行为可信度确定待处理的上述目标访问请求的访问请求等级，最后按照访问请求等级对该目标访问请求进行相应处理，从而能够根据不同的访问请求等级对不同的访问请求进行分类，并按照不同访问请求等级来准确地对不同访问请求做出相应的处理。

在上述应用环境当中，访问终端100具体可以是台式终端或移动终端，移动终端具体可以手机、平板电脑、笔记本电脑等中的至少一种。防护系统200和业务服务器300均可以用独立的服务器或者是多个服务器组成的服务器集群来实现。

在一个实施例中，提供了一种访问请求处理方法，如图2所示，图2为一个实施例中访问请求处理方法的流程示意图，本实施例以该方法应用于上述图1中的防护系统200进行说明，该访问请求处理方法可以包括如下步骤：

步骤s201，获取源访问请求，提取源访问请求的请求字段特征；

步骤s202，根据请求字段特征识别源访问请求是否属于恶意攻击流量；

步骤s203，如果源访问请求不属于恶意攻击流量，则可以将源访问请求设为目标访问请求进行后续处理。

上述步骤，源访问请求是指访问终端100发送给业务服务器300的访问请求，访问终端100可以通过发送访问请求向业务服务器300请求不同的业务信息资源，例如网页资源、视频资源和图片资源等等，在需要对业务服务器300的相关业务信息资源进行访问时，访问终端100可以生成相应的业务访问请求，并通过互联网发送给业务服务器300，而在业务服务器300接收该访问请求之前，先由防护系统200获取该业务访问请求，由防护系统200决定对该业务访问请求做出何种处理，防护系统200对该业务访问请求的处理方式，可以是将该业务访问请求进行拦截，或者将该业务访问请求放行，转发给业务服务器300进行响应，这样，业务服务器300接收到的业务访问请求可以先由防护系统200进行过滤，达到安全防护的效果。

防护系统200可以获取访问终端100发送给业务服务器300的源访问请求，并先利用该源访问请求的请求字段特征识别其是否属于恶意攻击流量。具体来说，防护系统200可以将访问终端100发送的源访问请求进行解码分析，从而提取该源访问请求的请求字段特征，以http协议的源访问请求为例，防护系统200可以提取其中http的host字段、http的请求头字段、http的cgi字段、http的get参数字段、http的postbody字段、http的请求方法字段、http的user_agent字段、http的referer字段和http的cookie字段作为上述源访问请求的请求字段特征，然后进一步利用黑客payload特征引擎对这些请求字段特征进行分析，以识别出该源访问请求是否属于恶意攻击流量。

如果识别该源访问请求并不属于恶意攻击流量，则说明基于请求字段特征暂时无法判断出该源访问请求是否为恶意行为对应的访问请求，此时防护系统200可以将该不属于恶意攻击流量的源访问请求设为目标访问请求待后续处理。

在一些实施例当中，如果该源访问请求被防护系统200识别为属于恶意攻击流量，则说明基于该源访问请求的请求字段特征已经能够判断出该源访问请求会对业务服务器300造成安全隐患，由此，在确保业务服务器300的业务信息资源安全的情况下，为提高对访问请求的处理效率，则防护系统200可以直接拦截该源访问请求，无需进一步采用访问行为分析模型对其进行分析，也能达到安全防护和高效处理访问请求的效果。

s204，将目标访问请求输入到预先构建的访问行为分析模型，获取访问行为分析模型输出的访问行为可信度。

其中，防护系统200可以预先构建访问行为分析模型，该访问行为分析模型主要用于对访问终端100对业务服务器300的访问行为进行分析，这里的访问行为的种类包括但不限于是正常访问和恶意访问等等，具体的访问行为可以按照访问行为可信度进行量化，例如为正常访问的访问行为设定一个或多个访问行为可信度，为恶意访问的访问行为设定一个或多个访问行为可信度，以使得不同的访问行为对应不同的访问行为可信度，达到将访问行为量化的目的。基于此，防护系统200可以结合互联网上的安全大数据，以大量的访问请求以及该访问请求所对应的访问行为作为人工智能模型的训练数据进行建模，为各类访问行为分别设定相应的访问行为可信度，从而训练出基于人工智能模型的访问行为分析模型。这样，防护系统200在接收到待处理的目标访问请求后，可以将该目标访问请求作为输入数据，输入到访问行为分析模型当中，从而该访问行为分析模型可以输出相应的访问行为可信度，防护系统200获取该访问行为分析模型输出的访问行为可信度。

s205，根据访问行为可信度确定目标访问请求的访问请求等级。

本步骤中，目标访问请求可以被划分为多个访问请求等级，不同的访问请求等级可以与不同的访问行为可信度对应。由此，在防护系统200得到访问行为可信度后，可以根据该访问行为可信度确定出与该访问行为可信度对应的访问请求等级。其中，访问请求等级可以按照访问行为的恶意程度进行设置，例如可以将正常的访问行为设定为最低的访问请求等级，将高频恶意的访问行为设定为最高的访问请求等级，从而设置出目标访问请求的多个访问请求等级，然后由于访问请求等级是与访问行为相互对应的，恶意程度更高的访问行为对应于更高的访问请求等级，而目标访问请求的访问行为由访问行为分析模型所输出的访问行为可信度进行量化，所以可以将不同访问行为所对应的不同访问行为可信度，与各访问请求等级进行对应。

s206，按照访问请求等级对目标访问请求进行相应处理。

本步骤中，防护系统200可以根据目标访问请求所对应的访问请求等级，对该目标访问请求执行相应的处理。具体的，防护系统200可以预先制定多套处理方案，各套处理方案可以分别与不同的访问请求等级进行对应，例如第一处理方案对应于最低的访问请求等级、第二处理方案对应于最高的访问请求等级等等，处理方案的具体数量和处理方案的具体内容可以根据实际安全防护需求进行定制。这样，在确定访问请求等级以后，防护系统200可以获取与该访问请求等级相对应的处理方案，利用该处理方案来对目标访问请求进行相应处理。例如，对于最低的访问请求等级所对应的处理方案可以是将访问请求放行，在这种情况下，防护系统200可以将目标访问请求转发至业务服务器300，以使得业务服务器300对该目标访问请求做出响应；又如，对于最高的访问请求等级所对应的处理方案可以是将访问请求拦截，在这种情况下，防护系统则将该目标访问请求进行拦截处理，以使业务服务器300不接收该目标访问请求，以采用更全面的方式实现对各种访问请求进行处理，避免业务服务器300受到业务信息资源的损失。

上述访问请求处理方法，获取源访问请求并提取其请求字段特征，根据请求字段特征识别该源访问请求是否属于恶意攻击流量，若否，则将该源访问请求作为目标访问请求输入到预先构建的访问行为分析模型，获取访问行为分析模型输出的访问行为可信度，进而根据该访问行为可信度确定出目标访问请求的访问请求等级，最后按照该访问请求等级对目标访问请求做出相应的处理。该方案能够对访问请求进行二级处理，先根据其请求字段特征识别是否为恶意攻击流量，如果不是则进一步基于预先构建好的访问行为分析模型对该访问请求进行分析得出访问行为可信度，然后确定该访问请求所对应的访问请求等级，能够根据不同的访问请求等级对不同的访问请求进行分类，以按照不同访问请求等级来对不同访问请求做出相应的处理，从而实现准确处理访问请求的效果。

在一个实施例中，步骤s205中的根据访问行为可信度确定目标访问请求的访问请求等级，具体可以包括如下步骤：

根据访问行为可信度与预设阈值的比较结果，确定访问行为可信度所属的数值区间；基于预设的数值区间与访问请求等级之间的对应关系，获取与目标访问请求对应的访问请求等级。

本实施例主要是防护系统200根据访问行为可信度确定目标访问请求的访问请求等级的具体过程。其中，防护系统200可以预先划分多个数值区间，以使不同的访问行为可信度能够归属于不同的数值区间，该数值区间可以利用多个预设阈值进行划分，例如将第一阈值与第二阈值之间的参数值范围设为第一数值区间、将第二阈值与第三阈值之间的参数值范围设为第二数值区间等等，这样，防护系统200可以将访问行为可信度于这些预设阈值进行比较，根据比较结果即可确定访问行为可信度所属的数值区间。此外，各数值区间需要与不同的访问请求等级相互对应，由此防护系统200可以先构建各个数值区间与各访问请求等级之间一一对应的对应关系，这样，在防护系统200确定访问行为可信度所属的数值区间以后，可以基于该对应关系获取到与访问行为可信度对应的访问请求等级，也就是得到了与目标访问请求对应的访问请求等级。

示例性的，访问行为可信度可以被设定在0至100范围内，而预设阈值可以包括10和60，则数值区间可以被划分为第一数值区间：0至10、第二数值区间：10至60以及第三数值区间：60至100，然后设定第一数值区间对应的访问请求等级为正常访问请求，第二数值区间对应的访问请求等级为第一恶意访问请求，而第三数值区间对应的访问请求等级为第二恶意访问请求，其中，第一恶意访问请求可以对应于低频恶意请求，而第二恶意访问请求相应可以是高频恶意请求。基于这种设定方式，防护系统200在得到访问行为可信度以后，可以找到该访问行为可信度所属的数值区间，并且还可以进一步根据其所属的数值区间确定对应的访问请求等级，该访问请求等级也就是目标访问请求所对应的访问请求等级，可以包括但不限于是正常访问请求、低频恶意请求和高频恶意请求。

在一个实施例中，步骤s206中的按照访问请求等级对目标访问请求进行相应处理，可以包括如下步骤：

当访问请求等级为正常访问请求时，将目标访问请求发送至目标业务服务器进行响应；当访问请求等级为第一恶意访问请求时，获取对访问终端的身份验证结果，根据身份验证结果对目标访问请求进行处理；其中，该访问终端是指发起目标访问请求的终端；而当访问请求等级为第二恶意访问请求时，拦截目标访问请求。

本实施例主要是为防护系统200提供在各种访问请求等级下的各种处理方案。基于上述实施例对各种访问请求等级的描述可以知道，访问请求等级可以包括正常访问请求、第一恶意访问请求和第二恶意访问请求，可以按照危险等级来对不同的恶意访问进行划分，第一恶意访问请求可以具体对应于危险等级较低的低频恶意访问请求，而第二恶意访问请求则可对应于危险等级较高的高频恶意访问请求，也就是说，第二恶意访问请求的危险等级会高于第一恶意访问请求，本实施例可以为这三种访问请求等级提供相应的处理方案。

具体的，当访问请求等级为正常访问请求时，防护系统200可以将该目标访问请求放行，即可以将该目标访问请求以转发的形式发送给目标业务服务器(即业务服务器300)，而该目标访问请求还可以进一步作为访问行为分析模型的参考样本，继续落地数据，用于该访问行为分析模型的模型训练当中。当访问请求等级为低频恶意请求时，防护系统200可以将该目标访问请求列为可疑访问请求，即判断该访问请求可能对业务服务器300的安全造成一定隐患，基于此，防护系统200可以对发起该目标访问请求的访问终端100进行身份验证，获取该访问终端100的身份验证结果，判断该访问终端100是否由真实的用户而非机器人操作，从而基于该身份验证结果对目标访问请求进行处理，如果是真实用户，则可以将目标访问请求放行给业务服务器300，如果不是真实用户，则可以将该目标访问请求进行拦截，进一步的，该低频恶意请求可以作为黑样本落地数据样本，用于访问行为分析模型的模型训练当中。而当访问请求等级为高频恶意请求时，防护系统200可以判断出该目标访问请求会对业务服务器300的业务信息资源造成损害，一方面可以直接将该目标访问请求进行拦截，保护业务流量，另一方面还将该目标访问请求作为黑样本落地数据样子，用于访问行为分析模型的模型训练当中，从而实现在至少三种访问请求等级下，为防护系统200提供不同的处理方案，确保业务服务器的业务信息资源的安全性。

在一些实施例当中，进一步的，上述获取对访问终端的身份验证结果，可以具体包括如下步骤：

获取动态生成的身份验证信息；将身份验证信息发送至访问终端，以使所述访问终端生成与身份验证信息对应的待校验信息；获取访问终端生成的待校验信息；对待校验信息进行校验，得到身份验证结果。

本实施例中，防护系统200可以获取动态生成的身份验证信息，该身份验证信息是用于对访问终端100进行身份验证的信息，而该身份验证信息可以是防护系统200周期性动态生成的，利用动态生成的身份验证信息对访问终端100进行身份验证，增加了黑客破解该身份验证信息的时间成本，以达到有效防护的效果。其中，该防护系统200可以在生成身份验证信息后，发送给访问终端100进行验证，访问终端100会生成与该身份验证信息对应的待校验信息，供防护系统200进行校验，由此防护系统200基于该待校验信息的校验结果可以得到访问终端100的身份验证结果。

举例来说，防护系统200可以生成需要动态滑动的验证码及其校验值，然后将该需要动态滑动的验证码发送给访问终端100，访问终端100可以将该需要动态滑动的验证码进行展示，如果该访问终端100是由真实用户所操作，则真实用户会在访问终端100上拖动验证码，以使访问终端100生成待校验值，然后访问终端100将该待校验值发送给防护系统200，防护系统200可以将待校验值于校验值进行比较，根据比较结果确定访问终端100是否由用户操作，如果是，则访问终端100的身份验证结果为合法的访问终端，否则可以认为该访问终端100是非法的访问终端。其中，对于合法的访问终端100，防护系统200可以将其发起的目标访问请求放行至业务服务器300进行响应，而对于非法的访问终端100，则可以将其目标访问请求直接拦截，在低频恶意请求情况下，访问终端进行准确身份验证的基础上，实现对业务服务器300进行安全防护的效果。

在一个实施例中，提供了一种访问请求处理方法，如图3所示，图3为另一个实施例中访问请求处理方法的流程示意图，该访问请求处理方法可以包括如下步骤：

步骤s301，获取源访问请求，提取该源访问请求的请求字段特征；

步骤s302，根据请求字段特征识别该源访问请求是否属于恶意攻击流量；若是，则执行步骤s303；若否，则执行步骤s304；

步骤s303，拦截源访问请求；

步骤s304，将源访问请求设为目标访问请求，将述目标访问请求输入到预先构建的访问行为分析模型，获取访问行为分析模型输出的访问行为可信度；

步骤s305，根据访问行为可信度与预设阈值的比较结果，确定访问行为可信度所属的数值区间；基于预设的数值区间与访问请求等级之间的对应关系，获取与目标访问请求对应的访问请求等级；

步骤s306，当访问请求等级为正常访问请求时，将目标访问请求发送至业务服务器进行响应；

步骤s307，当访问请求等级为低频恶意访问请求时，获取对访问终端的身份验证结果，根据身份验证结果对目标访问请求进行处理；

步骤s308，当访问请求等级为高频恶意访问请求时，拦截目标访问请求。

上述实施例提供的访问请求处理方法，能否首先基于源访问请求的请求字段特征识别其是否为恶意攻击流量，如果是，在可以直接拦截该请求，以达到提高访问请求处理效率的目的。而如果不是，则可以进一步作为目标访问请求输入到访问行为分析模型获取访问行为可信度，确定相应的访问请求等级，从而基于不同的访问请求等级所对应的处理方案进行响应处理，为业务服务器提供更高效、更全面的访问请求处理方式，以防止黑客对业务服务器采取的恶意攻击行为，减少业务信息资源的损失。

在一个实施例中，提供了一种访问请求处理装置，如图4所示，图4为一个实施例中访问请求处理装置的结构框图，该访问请求处理装置400可以包括：

特征提取模块401，用于获取源访问请求，提取源访问请求的请求字段特征；

流量识别模块402，用于根据请求字段特征识别源访问请求是否属于恶意攻击流量；

请求设置模块403，用于若否，则将源访问请求设为目标访问请求；

可信度获取模块404，用于将目标访问请求输入到预先构建的访问行为分析模型，获取访问行为分析模型输出的目标访问请求对应的访问行为可信度；

等级确定模块405，用于根据访问行为可信度确定目标访问请求的访问请求等级；

请求处理模块406，用于按照访问请求等级对目标访问请求进行相应处理。

在一个实施例中，访问请求处理装置400，还可以包括：

源请求拦截模块，用于若源访问请求属于恶意攻击流量，则拦截源访问请求。

在一个实施例中，等级确定模块405，进一步用于根据访问行为可信度与预设阈值的比较结果，确定访问行为可信度所属的数值区间；基于预设的数值区间与访问请求等级之间的对应关系，获取与目标访问请求对应的访问请求等级。

在一个实施例中，请求处理模块406，进一步用于当访问请求等级为正常访问请求时，将目标访问请求发送至目标业务服务器进行响应；当访问请求等级为第一恶意访问请求时，获取对访问终端的身份验证结果，根据身份验证结果对目标访问请求进行处理；其中，访问终端为发起目标访问请求的终端；当访问请求等级为第二恶意访问请求时，拦截目标访问请求。

在一个实施例中，请求处理模块406，进一步用于获取动态生成的身份验证信息；将身份验证信息发送至访问终端，以使访问终端生成与身份验证信息对应的待校验信息；获取访问终端生成的待校验信息；对待校验信息进行校验，得到身份验证结果。

在一个实施例中，还提供了一种访问请求处理系统，如图5所示，图5为一个实施例中访问请求处理系统的结构框图，该访问请求处理系统500可以包括：请求防护模块、处理服务模块和人工智能分析引擎模块；其中，

请求防护模块，可以用于获取源访问请求，将源访问请求发送至处理服务模块；

处理服务模块，用于提取源访问请求的请求字段特征，根据请求字段特征识别源访问请求是否属于恶意攻击流量，若否，则将源访问请求设为目标访问请求，将目标访问请求发送至人工智能分析引擎模块；

人工智能分析引擎模块，用于通过预先构建的访问行为分析模型对目标访问请求进行分析，将分析得到的访问行为可信度发送至处理服务模块；

处理服务模块，还用于根据访问行为可信度确定目标访问请求的访问请求等级，按照访问请求等级对目标访问请求进行相应处理。

上述实施例提供的访问请求处理系统，可以先由请求防护模块获取访问终端100发送的源访问请求，然后请求防护模块可以将源访问请求转发至处理服务模块，处理服务模块则可以先提取该源访问请求的请求字段特征，并根据该请求字段特征识别源访问请求是否属于恶意攻击流量，如果该源访问请求不属于恶意攻击流量，则可以将该源访问请求设为目标访问请求，然后将该目标访问请求发送给人工智能分析引擎模块，该人工智能分析引擎模块，可以通过预先构建的访问行为分析模型对目标访问请求进行分析，将分析得到的访问行为可信度输出反馈至处理服务模块，由处理服务模块在接收到访问行为可信度后，进一步基于该访问行为可信度确定目标访问请求的访问请求等级，按照访问请求等级对目标访问请求进行相应处理。

在一些实施例当中，上述处理服务模块，还可以用于若识别出源访问请求属于恶意攻击流量，则该处理服务模块可以发生拦截指令给请求防护模块，以使请求防护模块拦截该源访问请求。而如果该源访问请求不属于恶意攻击流量，则可以作为目标访问请求转发给人工智能分析引擎模块进行分析。

在一些实施例中，处理服务模块还可以用于根据访问行为可信度与预设阈值的比较结果，确定访问行为可信度所属的数值区间；基于预设的数值区间与访问请求等级之间的对应关系，获取与目标访问请求对应的访问请求等级。

进一步的，访问请求等级可以包括正常访问请求、低频恶意请求和高频恶意请求。其中，当访问请求等级为正常访问请求时，处理服务模块可以用于将该目标访问请求通过请求防护模块放行至业务服务器300进行响应；当访问请求等级为低频恶意请求时，处理服务模块可以获取对访问终端100的身份验证结果，根据身份验证结果对目标访问请求进行处理；当访问请求等级为高频恶意请求时，处理服务模块可以向请求防护模块发送拦截指令，以使请求防护模块拦截该目标访问请求。

在一些实施例中，处理服务模块可以进一步用于获取动态生成的身份验证信息，将身份验证信息发送至访问终端，以使访问终端生成与身份验证信息对应的待校验信息，获取访问终端生成的待校验信息，对待校验信息进行校验，得到访问终端的身份验证结果。

为更清晰阐述本申请各实施例的技术方案，下面将上述访问请求处理方法应用于web应用防护系统(也称：网站应用级入侵防御系统，webapplicationfirewall，简称waf)进行介绍，而web应用防火墙是通过执行一系列针对http/https的安全策略来专门为web应用提供保护的一款产品。具体的，如图6所示，图6为一个应用示例中web应用防护系统的整体结构图，以下结合图7对如图6所示的web应用防护系统的工作原理进行说明，图7为一个应用示例中防护逻辑的处理流程图。

具体来说，waf防护模块可以通过采集用户从核心网关传来的业务流量，然后将该业务流量转发给waf处理服务模块进行流量识别，该waf防护模块的主要功能在于根据waf处理服务模块返回的鉴权结果来判断是否将业务流量进行拦截，还是正常放行业务流量给业务服务器。waf处理服务模块通过waf防护模块收集上来的业务流量，并对这些业务流量进行解码分析识别，对其中http的host字段、http的请求头字段、http的cgi字段、http的get参数字段、http的postbody字段、http的请求方法字段、http的user_agent字段、http的referer字段和http的cookie字段，利用黑客payload特征引擎进行识别分析，识别出其中的恶意攻击流量，直接返回拦截指令给waf防护模块对这些恶意攻击流量进行拦截，以保护业务服务器的业务信息资源的安全。而对于对应无法判断的非攻击流量，可以转发给人工智能分析引擎模块进行分析处理。人工智能分析引擎模块，主要通过科学计算分析用户的访问请求数据，进行建模计算，从而将可以通过前端的waf处理服务模块将业务请求无法判断的非攻击流量入库，为用户访问行为的信用度打分，从而结合安全大数据，划分出正常用户、低频恶意请求和高频恶意请求三个访问请求等级，由此可以进一步的根据人工智能分析引擎模块建模分析出来的三个访问请求等级进行分场景处理：

场景一：识别出正常用户：

通过人工智能分析引擎模块打分计算出来的小于10分作为正常用户请求，并作为用户基础模型参考样本，继续落地数据。

场景二：识别低频恶意请求：

通过人工智能分析引擎模块打分计算出来的大于10分小于60分作为低频恶意请求，继续作为黑样本落地数据样本，同时生成需要动态滑动验证码和校验值给waf处理服务模块，让waf处理服务模块下发给waf防护模块对用户的访问请求进行识别。其中，如果是真实用户会拖动验证码生成待校验值，然后访问终端会将该待校验值返回给waf处理服务模块，waf处理服务模块对其进行核对判断待校验值是否正确，正确则将业务流量放行。这样能够有效阻击同一个出口网关ip中的黑客自动化工具请求。而且，由于验证码算法是周期动态生成的，这样也增加了黑客破解验证码时间成本，有效提高对业务服务器进行安全防护的效果。

场景三：识别高频恶意请求：

通过人工智能分析引擎模块打分计算出来的大于60分作为高频恶意请求，继续作为黑样本落地数据样本，同时通知waf处理服务模块，让waf处理服务模块下发给waf防护模块对用户的访问请求直接拦截防护，保护业务服务器的业务流量安全。

上述web应用防护系统，能够为业务服务器提供更高效、更全面的业务信息资源安全防护，实现对黑客恶意行为攻击进行防护拦截，减少业务的损失。

图8示出了一个实施例中计算机设备的内部结构图。该计算机设备具体可以是图1中的防护系统200。如图8所示，图8为一个实施例中计算机设备的结构框图，该计算机设备包括该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，存储器包括非易失性存储介质和内存储器。该计算机设备的非易失性存储介质存储有操作系统，还可存储有计算机程序，该计算机程序被处理器执行时，可使得处理器实现访问请求处理方法。该内存储器中也可储存有计算机程序，该计算机程序被处理器执行时，可使得处理器执行访问请求处理方法。

本领域技术人员可以理解，图8中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器存储有计算机程序，计算机程序被处理器执行时，使得处理器执行上述访问请求处理方法的步骤。此处访问请求处理方法的步骤可以是上述各个实施例的访问请求处理方法中的步骤。

在一个实施例中，提供了一种计算机可读存储介质，存储有计算机程序，计算机程序被处理器执行时，使得处理器执行上述访问请求处理方法的步骤。此处访问请求处理方法的步骤可以是上述各个实施例的访问请求处理方法中的步骤。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一非易失性计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本申请专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。