[发明专利]一种防机器人攻击的方法及系统

说明书

技术领域

本发明涉及网络数据通信安全技术领域，尤其涉及一种防机器人攻击的方法及系统。

背景技术

随着互联网金融的发展，越来越多的金融服务都可以足不出户，在网上完成。网络信息量和访问量呈现出海量增长的趋势，金融系统承受着巨大的访问压力。如果不能对用户请求的频度和有效时间做出控制，用户可以在任意时间频繁的请求交易，这样很容易导致后台服务器压力过大，造成网络堵塞。更严重的情况，面对一些恶意的访问攻击(如机器人程序)，在短时间内大量的发起并发请求时，势必造成服务器资源耗尽、甚至宕机的严重后果。

现有的访问控制技术，有的使用webserver(web服务器)的连接数进行限制，有的使用控制网络带宽流量。但存在以下缺点：使用http连接数进行限制，只能在访问连接数上对系统进行保护，不能针对某一个会话(session)进行频度的控制。比如，机器人攻击程序并不需要占用很多连接数，但是他会高频的发起交易，远远超过人为的交互频率。

发明内容

为解决上述技术问题，本发明实施例提供了一种防机器人攻击的方法及系统。

一方面，本发明实施例提供了一种防机器人攻击的方法，所述方法包括：

接收用户发起的交易请求；

获取所述交易请求的配置参数，根据所述配置参数判断所述交易请求是否受访问控制；

如所述交易请求受到访问控制，获取所述交易请求对应的访问控制规则；

根据所述访问控制规则，判断所述交易请求的访问次数是否达到预设周期内的允许访问上限；

如已达到上限，则拒绝所述交易请求。

在一实施例中，获取所述交易请求的配置参数，根据所述配置参数判断所述交易请求是否受访问控制，包括：

获取所述交易请求的市场细分信息、客户信息、操作员信息及渠道信息；

判断所述市场细分信息、客户信息、操作员信息及渠道信息是否与预定义的交易配置信息相同；

如相同，判定所述交易请求受访问控制；否则不受访问控制。

在一实施例中，获取所述交易请求的配置参数，根据所述配置参数判断所述交易请求是否受访问控制，包括：

获取所述交易请求的配置参数，判断所述配置参数中是否包括访问控制声明；

当所述配置参数中包括访问控制声明时，判定所述交易请求受访问控制；否则不受访问控制。

在一实施例中，所述访问控制规则至少包括一个访问限制，各访问限制规定了不同周期内允许访问次数的上限，所述判断所述交易请求的访问次数是否达到预设周期内的允许访问上限，包括：

查询历史访问记录，分别判断所述交易请求的当前访问次数是否超过各访问限制在其预设周期内的允许访问次数的上限。

在一实施例中，当所述交易请求的访问次数未达到预设周期内的允许访问上限时，所述方法还包括：更新历史访问记录。

另一方面，本发明实施例还提供一种防机器人攻击的系统，所述系统包括：

信息接收单元，用于接收用户发起的交易请求；

访问控制判断单元，用于获取所述交易请求的配置参数，根据所述配置参数判断所述交易请求是否受访问控制；

规则获取单元，当所述交易请求受到访问控制时，用于获取所述交易请求对应的访问控制规则；

访问控制过滤单元，用于根据所述访问控制规则，判断所述交易请求的访问次数是否达到预设周期内的允许访问上限，如已达到上限，则拒绝所述交易请求。

在一实施例中，所述访问控制判断单元具体用于：

获取所述交易请求的市场细分信息、客户信息、操作员信息及渠道信息；

判断所述市场细分信息、客户信息、操作员信息及渠道信息是否与预定义的交易配置信息相同，如相同，判定所述交易请求受访问控制，否则不受访问控制。

在一实施例中，所述访问控制判断单元还用于：

获取所述交易请求的配置参数，判断所述配置参数中是否包括访问控制声明；

当所述配置参数中包括访问控制声明时，判定所述交易请求受访问控制；否则不受访问控制。

在一实施例中，所述访问控制规则至少包括一个访问限制，各访问限制规定了不同周期内允许访问次数的上限，所述访问控制过滤单元具体用于：

查询历史访问记录，分别判断所述交易请求的当前访问次数是否超过各访问限制在其预设周期内的允许访问次数的上限。

在一实施例中，所述系统还包括：