一种服务器防护方法、装置及可读存储介质与流程

1.本技术涉及信息技术领域，特别是涉及一种服务器防护方法、装置及可读存储介质。


背景技术：

2.近年来，随着互联网的普及以及信息技术的发展，对于大数据时代的信息安全问题成为当前炙手可热的信息技术问题之一，目前的常见的互联网应用防护系统(web application firewall，waf)防御方法，是通过特征库判别漏扫软件中携带的特征信息，来裁决请求信息中的数据来源的合规性。硬件waf自身维护一个特征库，专门持续收录、更新攻击信息的特征。
3.由于现有的waf是通过特征库来辨别当前访问行为是否为漏洞扫描，一旦漏扫的请求中携带了经过垃圾字符填充的特征，或者特征库中不存在的特征，waf就不会识别，此时漏扫行为就会绕过waf，抵达后端的站点服务器，从而可能导致服务器受到攻击，遭受损失，因此防御性能较差，安全性较低。
4.因此寻找一种安全性能更高更加可靠的服务器防护方法是本领域技术人员亟待解决的问题。


技术实现要素：

5.本技术的目的是提供一种服务器防护方法，以便于解决当前服务器防护方法无法防御不在特征库中或被填充后的攻击信息的问题。
6.为解决上述技术问题，本技术提供一种服务器防护方法，包括：
7.接收目标对象发送的访问请求；
8.判断服务器中是否已建立学习模型，所述学习模型为所述服务器进行日常业务时，根据采集得到的日常访问请求，以及所述日常访问请求对应的特征值所建立的模型；
9.若已建立所述学习模型，则根据所述学习模型，获取所述访问请求的特征值，并根据所述访问请求的特征值与所述日常访问请求的特征值进行对比，判断所述访问请求是否安全；
10.若确定所述访问请求不安全，则拦截所述访问请求；
11.若未建立所述学习模型，则根据所述访问请求的回馈信息，建立相应的临时模型。
12.优选地，所述学习模型的建立包括如下步骤：
13.在所述服务器进行日常业务时，采集所述服务器中的所述日常访问请求的特征值，所述特征值包括在各预设时间段内的访问次数，服务器产生响应码为404的所述访问请求数，响应码为404的所述访问请求占总体所述访问请求的比例，响应包的大小；
14.根据各所述预设时间段内采集得到的各数据对应的中位数，最大值与最小值，生成学习模型中的所述预设时间段内的访问次数标准范围，所述服务器产生响应码为404的所述访问请求数标准范围，所述响应码为404的所述访问请求占总体所述访问请求的比例
标准范围，所述响应包的大小标准范围。
15.优选地，所述根据所述学习模型，获取所述访问请求的特征值，并根据所述访问请求的特征值与所述日常访问请求的特征值进行对比，判断所述访问请求是否安全包括：
16.采集所述访问请求在预设时间段内的访问次数，服务器产生响应码为404的所述访问请求数，所述响应码为404的所述访问请求占总体所述访问请求的比例，响应包的大小；
17.分别判断所述访问请求在所述预设时间段内的访问次数、所述服务器产生响应码为404的所述访问请求数、所述响应码为404的所述访问请求占总体所述访问请求的比例、所述响应包的大小是否均包含在所述学习模型中记录的所述日常访问请求对应的各所述标准范围内；
18.若是，则确定所述访问请求安全；
19.若否，则确定所述访问请求不安全。
20.优选地，在所述判断所述服务器中是否已建立学习模型之前，还包括：
21.判断所述服务器是否为可监视服务器；
22.若是，则进入所述判断所述服务器中是否已建立学习模型的步骤。
23.优选地，在所述分别判断所述访问请求在所述预设时间段内的访问次数、所述服务器产生响应码为404的所述访问请求数、所述响应码为404的所述访问请求占总体所述访问请求的比例、所述响应包的大小是否均包含在所述学习模型中记录的所述日常访问请求对应的各所述标准范围内之后，还包括：
24.根据获取得到的所述访问请求的所述预设时间段内的访问次数，所述服务器产生响应码为404的所述访问请求数，所述响应码为404的所述访问请求占总体所述访问请求的比例，所述响应包的大小以及判断结果，对所述学习模型进行相应修改。
25.优选地，该方法还包括：
26.当确定所述访问请求安全后，将所述访问请求发送至所述服务器并进行正常业务处理。
27.优选地，在所述接收目标对象发送的访问请求之后，该方法还包括：
28.记录所述访问请求的ip地址；
29.在确定所述访问请求不安全后，对所述ip地址进行拉黑。
30.为解决上述问题，本技术还提供一种服务器防护装置，包括：
31.接收模块，用于接收目标对象发送的访问请求；
32.判断模块，用于判断所述服务器中是否已建立学习模型，所述学习模型为所述服务器进行日常业务时，根据采集得到的日常访问请求，以及所述日常访问请求对应的特征值所建立的模型，若已建立所述学习模型，开启获取模块，若未建立所述学习模型，开启建立模块；
33.获取模块，用于根据所述学习模型，获取所述访问请求的特征值，并根据所述访问请求的特征值与所述日常访问请求的特征值进行对比，判断所述访问请求是否安全，若判断所述访问请求不安全，则开启拦截模块；
34.拦截模块，用于拦截所述访问请求；
35.建立模块，用于根据所述访问请求的回馈信息，建立相应的临时模型。
36.为解决上述问题，本技术还提供一种服务器防护装置，包括存储器，用于存储计算机程序；
37.处理器，用于执行所述计算机程序时实现如上述的服务器防护方法的步骤。
38.为解决上述问题，本技术还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述的服务器防护方法的步骤。
39.本技术所提供的服务器防护方法，通过建立学习模型，从而获取请求信息中的特征值，并通过该特征值是否属于学习模型中的日常请求信息对应的特征值范围进行判断该请求信息是否符合标准，从而达到防护效果，对于未建立学习模型的服务器，则根据请求信息的反馈信息进行学习模型的建立，然后再根据学习模型进行相应的信息处理，与之前的通过特征库形式的服务器防护方法相比，本技术提供的方法通过建立学习模型的方式进行请求信息的审核以及防护，因此无需记录请求信息特征，在面对全新的ip地址或未记录的用户进行请求时，当前的防护方法由于不存在记录因此无法进行有效防护，而本技术中可以根据模型数据判断该请求信息是否为攻击信息，并对其进行拦截，因此增强了防护功能，安全性能更高。
40.本技术所提供的服务器防护装置及计算机可读存储介质与上述的服务器防护方法对应，有益效果同上。
附图说明
41.为了更清楚地说明本技术实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
42.图1为本技术实施例提供的一种服务器防护方法流程图；
43.图2为本技术实施例提供的一种服务器防护装置示意图；
44.图3为本技术另一实施例提供的服务器防护装置的结构图。
具体实施方式
45.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下，所获得的所有其他实施例，都属于本技术保护范围。
46.本技术的核心是提供一种服务器防护方法，以便于解决当前服务器防护方法无法防御不在特征库中或被填充后的攻击信息的问题。
47.waf是通过执行一系列针对http/https的安全策略来专门为web应用提供保护的一款产品。本技术中所提供的服务器防护方法依然是基于waf所实现的，核心思路在于利用学习模型，从而达到降低服务器风险的效果。
48.为了使本技术领域的人员更好地理解本技术方案，下面结合附图和具体实施方式对本技术作进一步的详细说明。
49.图1为本技术实施例提供的一种服务器防护方法流程图，如图1所示，该方法包括：
50.s11：接收目标对象发送的访问请求；
51.需要说明的是，本实施例中，目标对象即发送访问请求的用户端，即个人主机，个体主机通过互联网的方式对服务器发起访问，该访问即为一条请求信息，且在本实施例中对于访问请求中的具体内容不进行限定，例如访问请求中可能带有附件，或存在多次访问请求等等。
52.s12：判断服务器中是否已建立学习模型，若已建立学习模型，进入s13，若未建立学习模型，进入s15；
53.需要说明的是，学习模型为服务器进行日常业务时，根据采集得到的日常访问请求，以及日常访问请求对应的特征值所建立的模型，本实施例中的学习模型即指代通过硬件的学习能力，从而监控服务器中的日常数据，并以此建立的模型，因此可以依据该模型，采集与日常数据对应的该访问请求中的数据，在本实施例中，对于学习模型的具体内容及建立过程不进行限定，可以理解的是，日常访问请求的特征值对应的即日常访问请求中的服务器正常运行数据，可以选取一项或多项作为特征值，例如单位时间接收到的访问请求的数量，或者是单个访问请求对应的数据包的大小等等，且由于数据本身存在波动，因此日常访问请求中的数据也不完全相同，因此学习模型中记载的日常访问请求的数据一般为一个范围，在本实施例中不进行具体限定，基于服务器的不同，可以对特征值进行一定的改变。
54.对于如何判断服务器中是否已建立学习模型，一般通过检测服务器的防火墙应用进行，与本技术发明点关系较小，在此不进行赘述。
55.s13：根据学习模型，获取访问请求的特征值，并根据访问请求的特征值与日常访问请求的特征值进行对比，判断访问请求是否安全，若访问请求不安全，进入s14；
56.需要说明的是，访问请求的特征值，即依据学习模型中的请求与特征值的对应关系，所采集得到的本次访问请求所对应的预设数据，在本实施例中不进行具体限定，可以理解的是，当访问请求的特征值在日常访问请求的特征值相同，或者以上述文中提出的说法，一般学习模型中记载的为日常访问请求的特征值范围，即当访问请求的特征值在该范围内时，则判定该访问请求正常，若不在该范围内，则判定该访问请求异常。
57.s14：拦截访问请求；
58.在判定访问请求异常后，则拦截访问请求，以避免服务器受到损害，在本实施例中，对于拦截的具体方式，以及拦截访问请求后的处理等等均不进行具体限定。
59.s15：根据访问请求的回馈信息，建立相应的临时模型。
60.需要说明的是，当服务器还未建立学习模型时，一般是即可以根据本次的访问请求的回馈信息建立临时模型，可以理解的是，临时模型所起到的作用与学习模型相同，但由于不是根据日常业务数据建立，因此临时模型中的数据只是基于本次的访问请求，本实施例中的回馈信息即可以理解为本次实施例中所对应的特征值，可以与学习模型采取相同的算法，也由于是临时的模型，而非正式，因此考虑到暂时性和即时性，也可以采取不同的算法，在此不进行具体限定。
61.本技术所提供的服务器防护方法，通过建立学习模型，从而获取请求信息中的特征值，并通过该特征值是否属于学习模型中的日常请求信息对应的特征值范围进行判断该请求信息是否符合标准，从而达到防护效果，对于未建立学习模型的服务器，则根据请求信
息的反馈信息进行学习模型的建立，然后再根据学习模型进行相应的信息处理，与之前的通过特征库形式的服务器防护方法相比，本技术提供的方法通过建立学习模型的方式进行请求信息的审核以及防护，因此无需记录请求信息特征，在面对全新的ip地址或未记录的用户进行请求时，当前的防护方法由于不存在记录因此无法进行有效防护，而本技术中可以根据模型数据判断该请求信息是否为攻击信息，并对其进行拦截，因此增强了防护功能，安全性能更高。
62.上述实施例中，对于学习模型的具体内容以及建立方法未进行限定，在此提出优选方案，学习模型的建立包括如下步骤：
63.在服务器进行日常业务时，采集服务器中的日常访问请求的特征值，特征值包括在各预设时间段内的访问次数，服务器产生响应码为404的访问请求数，响应码为404的访问请求占总体访问请求的比例，响应包的大小；
64.根据各预设时间段内采集得到的各数据对应的中位数，最大值与最小值，生成学习模型中的预设时间段内的访问次数标准范围，服务器产生响应码为404的访问请求数标准范围，响应码为404的访问请求占总体访问请求的比例标准范围，响应包的大小标准范围。
65.需要说明的是，由于大多数攻击信息采用的多次访问手段，同时当用户端访问服务器，发出正常访问请求，会得到网站响应码为2xx或者3xx。如果发出虚构、不合规范的访问请求，网站响应码大多数是404，且由于大多数的攻击信息常常附带有病毒的攻击附件，因此本实施例中限定对于各预设时间段内的访问次数，服务器产生响应码为404的访问请求数，响应码为404的访问请求占总体访问请求的比例，响应包的大小进行采样建模，从而依据上述4个数据，对访问请求的标准进行审核，容易理解的是，预设时间段则为多个采集的时段，例如，每隔5分钟采集一次，并获得多次数据，从而增加访问请求的范围准确率，本实施例中对于时间段的具体时间不进行限定。
66.考虑到用户端服务器时，若访问请求中携带有攻击指令，通常会联系多次攻击，因此采集时间段内的访问次数可以有效识别访问请求是否为攻击请求，而当访问请求中携带有病毒性指令时，通常会发出虚构访问，因此获取404代码既可以有效鉴别攻击请求，且考虑到存在短时间多次正常请求的特殊情况，因此将响应码为404请求占总体的请求比例加入特征值中，最后由于附带有攻击附件的访问请求的响应包比一般请求大，因此将响应包大小加入特征值建模，因此由上述4个数据可以覆盖较大范围的访问请求携带攻击指令的情况，增强了本技术中服务器防护的安全性和适用性。
67.上述实施例中对学习模型如何建立进行了限定，考虑到依据上述学习模型对访问请求的特征值进行采样，在此提出优选方案，根据学习模型，获取访问请求的特征值，并根据访问请求的特征值与日常访问请求的特征值进行对比，判断访问请求是否安全包括：
68.采集访问请求在预设时间段内的访问次数，服务器产生响应码为404的访问请求数，响应码为404的访问请求占总体访问请求的比例，响应包的大小；
69.分别判断访问请求在预设时间段内的访问次数、服务器产生响应码为404的访问请求数、响应码为404的访问请求占总体访问请求的比例、响应包的大小是否均包含在学习模型中记录的日常访问请求对应的各标准范围内；
70.若是，则确定访问请求安全；
71.若否，则确定访问请求不安全。
72.需要说明的是，本实施例中的采集的访问请求的参数与学习模型中的参数相同，且由于考虑到时间段上的影响，因此学习模型采集日常访问请求一次的时间段与本实施例中采集该访问请求的时间段相同，可以理解的是，该时间段从访问请求发送至服务器时开始，此后不进行赘述。
73.根据上述实施例中建立的学习模型，在本实施例中对于访问请求以该具体学习模型进行采样限定，通过采集学习模型中的参数，从而判断访问请求是否满足标准，因此对于新地址的访问请求或者经过包装的访问请求的访问，可以依据请求数，以及响应包等等进行具体判断，因此加强了服务器的安全性能。
74.考虑到由于防护的防火墙是设置在服务器外部，也就是先经过防火墙，再进入服务器，因此一般设置于某个互联网节点中，由于一个互联网节电中包含多个服务器，在此提出优选方案，在判断服务器中是否已建立学习模型之前，还包括：
75.判断服务器是否为可监视服务器；
76.若是，则进入判断服务器中是否已建立学习模型的步骤。
77.可以理解的是，可监视服务器即防火墙中记录的需要保护的服务器，一般通过网络协议的形式体现，因此在节点中不包含在保护协议下的服务器则不进行保护，在上述实施例中，只给出了当服务器是可监视服务器的情况，可以理解的是，当该服务器不是可监视服务器时，即可以直接结束该次访问请求的审核，即结束整个步骤，且在本实施例中，对于如何判断服务器是否为可监视服务器的具体方式不进行限定，例如可以是通过域名的方式查询，或者通过服务器中的协议进行筛选。
78.通过判断服务器是否为可监视服务器，从而减小了整个防护系统的工作量，防止防护系统将资源浪费在非保护服务器中。
79.考虑到在服务器以及信息传递的动态变化，在此提出优选方案，在分别判断访问请求在预设时间段内的访问次数、服务器产生响应码为404的访问请求数、响应码为404的访问请求占总体访问请求的比例、响应包的大小是否均包含在学习模型中记录的日常访问请求对应的各标准范围内之后，还包括：
80.根据获取得到的访问请求的预设时间段内的访问次数，服务器产生响应码为404的访问请求数，响应码为404的访问请求占总体访问请求的比例，响应包的大小以及判断结果，对学习模型进行相应修改。
81.可以理解的是，由于服务器中的网络协议，或用户网速，以及服务器本身用户基数等等多方面的体现，因此服务器中的接收到的请求信息，以及请求信息中的相应参数是动态变化的，因此当判别一个新的访问请求符合规范后，则可以根据该请求的信息，对学习模型中的参数范围进行动态修改，考虑到安全性问题，也可以是每隔一周或一个月等长时间，对正规的访问请求进行统计后，修改学习模型中的参数，从而达到动态调整学习模型的目的。
82.上述实施例中，仅对访问请求不安全时的后续处理进行了限定，在此提出优选方案，该方法还包括：
83.当确定访问请求安全后，将访问请求发送至服务器并进行正常业务处理。
84.可以理解的是，当确定访问请求安全后，则对该访问请求进行正常处理，从而提高
正常访问用户的体验，可以理解的是，考虑到正常访问用户的体验感，可以采取异步的方式进行上述的实施例中的服务器防护方法。
85.考虑到针对攻击用户的长久性防护，在此提出优选方案，在接收目标对象发送的访问请求之后，该方法还包括：
86.记录访问请求的ip地址；
87.在确定访问请求不安全后，对ip地址进行拉黑。
88.通过记录访问请求的ip地址的方式，从而在检测到该访问请求为攻击性请求后将该ip地址拉黑以便于后续不会被相同用户攻击，从而减小防护系统的工作量。
89.在上述实施例中，对于服务器防护方法进行了详细描述，本技术还提供服务器防护装置对应的实施例。需要说明的是，本技术从两个角度对装置部分的实施例进行描述，一种是基于功能模块的角度，另一种是基于硬件的角度。
90.图2为本技术实施例提供的一种服务器防护装置示意图，该装置包括：
91.接收模块10，用于接收目标对象发送的访问请求；
92.判断模块11，用于判断服务器中是否已建立学习模型，学习模型为服务器进行日常业务时，根据采集得到的日常访问请求，以及日常访问请求对应的特征值所建立的模型，若已建立学习模型，开启获取模块，若未建立学习模型，开启建立模块；
93.获取模块12，用于根据学习模型，获取访问请求的特征值，并根据访问请求的特征值与日常访问请求的特征值进行对比，判断访问请求是否安全，若判断访问请求不安全，则开启拦截模块；
94.拦截模块13，用于拦截访问请求；
95.建立模块14，用于根据访问请求的回馈信息，建立相应的临时模型。
96.由于装置部分的实施例与方法部分的实施例相互对应，因此装置部分的实施例及其对应的有益效果请参见方法部分的实施例的描述，这里暂不赘述。
97.图3为本技术另一实施例提供的服务器防护装置的结构图，如图3所示，服务器防护装置包括：存储器20，用于存储计算机程序；
98.处理器21，用于执行计算机程序时实现如上述实施例中所提到的服务器防护方法的步骤。
99.本实施例提供的服务器防护装置可以包括但不限于智能手机、平板电脑、笔记本电脑或台式电脑等。
100.其中，处理器21可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器21可以采用数字信号处理(digital signal processor，dsp)、现场可编程门阵列(field－programmable gate array，fpga)、可编程逻辑阵列(programmable logic array，pla)中的至少一种硬件形式来实现。处理器21也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称中央处理器(central processing unit，cpu)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器21可以在集成有图像处理器(graphics processing unit，gpu)，gpu用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器21还可以包括人工智能(artificial intelligence，ai)处理器，该ai处理器用于处理有关机器学习的计算操作。
101.存储器20可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器20还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。本实施例中，存储器20至少用于存储以下计算机程序201，其中，该计算机程序被处理器21加载并执行之后，能够实现前述任一实施例公开的服务器防护方法的相关步骤。另外，存储器20所存储的资源还可以包括操作系统202和数据203等，存储方式可以是短暂存储或者永久存储。其中，操作系统202可以包括windows、unix、linux等。数据203可以包括但不限于上述服务器防护方法中涉及的数据等。
102.在一些实施例中，服务器防护装置还可包括有显示屏22、输入输出接口23、通信接口24、电源25以及通信总线26。
103.本领域技术人员可以理解，图3中示出的结构并不构成对服务器防护装置的限定，可以包括比图示更多或更少的组件。
104.本技术实施例提供的服务器防护装置，包括存储器和处理器，处理器在执行存储器存储的程序时，能够实现如下方法：上述实施例中提及的服务器防护方法。
105.由于装置部分的实施例与方法部分的实施例相互对应，因此装置部分的实施例及其对应的有益效果请参见方法部分的实施例的描述，这里暂不赘述。
106.最后，本技术还提供一种计算机可读存储介质对应的实施例。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如上述方法实施例中记载的步骤。
107.可以理解的是，如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，执行本技术各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
108.由于可读存储介质部分的实施例与方法部分的实施例相互对应，因此装置部分的实施例及其对应的有益效果请参见方法部分的实施例的描述，这里暂不赘述。
109.以上对本技术所提供的一种服务器防护方法、装置及可读存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以对本技术进行若干改进和修饰，这些改进和修饰也落入本技术权利要求的保护范围内。
110.还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排
除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。