專利名稱:一種智能化多層過濾安全裝置及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)技術(shù)和安全領(lǐng)域�,特別涉及一種智能化多層過濾安全裝置及方法。
背景技術(shù):
在web系統(tǒng)中���,黑客可通過多種方式攻擊系統(tǒng)或竊取信息����,為了防止系統(tǒng)被攻擊或信息被竊取�,一般都會采用過濾裝置,但現(xiàn)有的過濾裝置存在以下缺點:1����、大多數(shù)系統(tǒng)都是具體功能來做驗證,沒有統(tǒng)一驗證的功能,這往往很可能會造成遺漏�。2、大多數(shù)系統(tǒng)都是只對特殊字符做過濾���,沒有全面��、多層的過濾���。3、大多數(shù)系統(tǒng)都是真正處理的時候進(jìn)行驗證�,不能講非法請求在提交處理前進(jìn)行過濾。這意味著現(xiàn)有的過濾裝置不能有效節(jié)約系統(tǒng)資源��、也不能全面���、徹底防止非法攻擊。本發(fā)明是在提交處理前進(jìn)行統(tǒng)一過濾�����,非法請求直接不進(jìn)行處理�。這樣既可以節(jié)省系統(tǒng)資源,也可以全面���、徹底防止非法攻擊���。
發(fā)明內(nèi)容
本發(fā)明的目的是為了克服現(xiàn)有技術(shù)中的不足之處�,提供一種能統(tǒng)一處理所有系統(tǒng)請求�、能進(jìn)行多層過濾,全面����、徹底有效防止非法攻擊的智能化多層過濾安全裝置及方法為了達(dá)到上述目的,本發(fā)明采用以下方案:本發(fā)明公開了一種智能化多層過濾安全裝置����,其特征在于用于統(tǒng)一處理WEB系統(tǒng)的所有請求;包括:請求來源檢查模塊��,用于檢查請求來源是否為本系統(tǒng)連接,若為本系統(tǒng)連接,則將請求送入URL檢查模塊進(jìn)行檢查�;URL檢查模塊,用于檢查請求是否有敏感字符�,判斷URL是否合法,若合法����,則將請求送入?yún)?shù)值檢查模塊進(jìn)行檢查;參數(shù)值檢查模塊�,用于檢查參數(shù)值是否有非法內(nèi)容�����,判斷參數(shù)值是否合法�����,若合法����,則將請求送入上傳文件檢查模塊進(jìn)行檢查����;上傳文件檢查模塊,用于檢查上傳文件是否合法��,若合法�,則響應(yīng)請求。如上所述的一種智能化多層過濾安全裝置�,其特征在于所述的敏感字符包括有〈、>�����、���,����、����;、&���、#�、"���、$��、~�����。本發(fā)明還公開了一種智能化多層過濾方法�����,其特征在于��,包括以下步驟:S1�����、將web系統(tǒng)接收到的請求送入過濾器����;S2、對過濾器中的請求進(jìn)行來源檢查���,驗證所述請求是否為系統(tǒng)內(nèi)部鏈接�,如果是系統(tǒng)內(nèi)部鏈接���,則進(jìn)行步驟S3��,否則丟棄不處理�����;
S3��、對請求進(jìn)行URL檢查��,檢查請求是否有敏感字符����,判斷URL是否合法����,若合法,則進(jìn)行步驟S4��,否則丟棄不處理�;S4、對請求進(jìn)行參數(shù)值檢查���,檢查參數(shù)值是否有非法內(nèi)容�����,判斷參數(shù)值是否合法����,若合法并需要進(jìn)行上傳���,則進(jìn)行步驟S5�,否則丟棄不處理��;S5、對需求上傳的文件進(jìn)行檢查����,判斷上傳的文件是否合法,若合法��,則響應(yīng)請求��。綜上所述�����,本發(fā)明的有益效果:一�����、本發(fā)明智能化多層過濾安全裝置使用過濾器統(tǒng)一處理����,所有請求均需通過過濾器。一次配置�,永久使用,不需要處處驗證�����。二、在過濾器中進(jìn)行多層檢查��,有效防止URL注入攻擊���、防止表單提交敏感字符、防止上傳非法文件��。三�����、判斷請求的發(fā)起方�,只有正常操作系統(tǒng)的才是合法的,發(fā)起方不是系統(tǒng)內(nèi)部鏈接的均不處理�,有效防止工具類的攻擊。
圖1為本發(fā)明智能化多層過濾安全裝置的方框圖����;圖2為本發(fā)明智能化多層過濾安全方法的流程圖。
具體實施例方式本發(fā)明公開一種基于緩存及異步處理技術(shù)的用戶行為采集方法及系統(tǒng)��,為使本發(fā)明的目的�����、技術(shù)方案及效果更加清楚、明確��,以下對結(jié)合附圖以及具體實施方式
本發(fā)明進(jìn)一步詳細(xì)說明�����。應(yīng)當(dāng)理解��,此處所描述的具體實施例僅僅用以解釋本發(fā)明����,并不用于限定本發(fā)明。圖2為于智能化多層過濾安全方法的流程圖����,如圖所示,本發(fā)明一種智能化多層過濾安全方法�����,包括:S1���、將web系統(tǒng)接收到的請求送入過濾器�;過濾器統(tǒng)一處理,所有請求均需通過過濾器����,一次配置,永久使用�,不需要處處驗證。S2��、對過濾器中的請求進(jìn)行來源檢查�����,驗證所述請求是否為系統(tǒng)內(nèi)部鏈接��,如果是系統(tǒng)內(nèi)部鏈接���,則進(jìn)行步驟S3,否則丟棄不處理����;例如用戶只能訪問id=l的資源,但可以在瀏覽器地址欄里強(qiáng)行訪問id=2的資源���。加上過濾器后��,手動在瀏覽器輸入id=2�,過濾器會發(fā)現(xiàn)這個請求的來源不是系統(tǒng)內(nèi)的鏈接,因為是手動輸入的請求�,所以會阻止訪問。通過判斷請求的發(fā)起方的合法性����,只有正常操作系統(tǒng)的才是合法的,發(fā)起方不是系統(tǒng)內(nèi)部鏈接的均不處理����,有效防止工具類的攻擊。S3�、對請求進(jìn)行URL檢查,檢查請求是否有敏感字符��,判斷URL是否合法�,若合法,則進(jìn)行步驟S4����,否則丟棄不處理;例如:提交表單����,輸入特殊字符如“&#”則會提示不合法�,提交失敗��,通過檢查請求是否有敏感字符��,有效防止URL注入攻擊�。S4、對請求進(jìn)行參數(shù)值檢查��,檢查參數(shù)值是否有非法內(nèi)容��,判斷參數(shù)值是否合法�����,若合法并需要進(jìn)行上傳����,則進(jìn)行步驟S5�����,否則丟棄不處理��;
S5���、對需求上傳的文件進(jìn)行檢查���,判斷上傳的文件是否合法����,若合法�,則響應(yīng)請求,否則丟棄不處理��。例如:上傳非法文件�,如aa.exe,則會提示上傳文件不合法,系統(tǒng)將不上傳aa.exe這個文件����。本發(fā)明智能化多層過濾安全方法中所有請求均經(jīng)過過濾器,先檢查請求來源是否是本系統(tǒng)鏈接���,如果是則繼續(xù)后續(xù)檢查��,如果不是則認(rèn)為非法��。先檢查請求URL中是否有敏感字符���,再檢查參數(shù)值是否有非法內(nèi)容���,如果是進(jìn)行上傳,判斷上傳的文件是否合法�。請求統(tǒng)一處理、并進(jìn)行多層過濾��,能全面��、徹底有效防止非法攻擊����。本發(fā)明還公開了一種智能化多層過濾安全裝置,如圖1所示����,用于統(tǒng)一處理WEB系統(tǒng)的所有請求;包括:請求來源檢查模塊110�����,用于檢查請求來源是否為本系統(tǒng)連接�,若為本系統(tǒng)連接���,則將請求送入URL檢查模塊進(jìn)行檢查��;請求來源檢查模塊110��,對過濾器中的請求進(jìn)行來源檢查�����,驗證所述請求是否為系統(tǒng)內(nèi)部鏈接��,如果是系統(tǒng)內(nèi)部鏈接�����,則進(jìn)行請求進(jìn)行URL檢查���,否則丟棄不處理�����;具體與上述方法步驟S2相同����。URL檢查模塊120�,用于檢查請求是否有敏感字符,判斷URL是否合法�,若合法���,則將請求送入?yún)?shù)值檢查模塊進(jìn)行檢查;URL檢查模塊120�����,對請求進(jìn)行URL檢查�����,檢查請求是否有如〈��、>��、’�、;�、&、#�、〃、$�����、
~等的敏感字符����,判斷URL是否合法,若合法����,則進(jìn)行參數(shù)值檢查,否則丟棄不處理���;具體與上述方法步驟S3相同��。參數(shù)值檢查模塊130���,用于檢查參數(shù)值是否有非法內(nèi)容,判斷參數(shù)值是否合法�����,若合法�,則將請求送入上傳文件檢查模塊進(jìn)行檢查;參數(shù)值檢查模塊130�,對請求進(jìn)行參數(shù)值檢查,檢查參數(shù)值是否有非法內(nèi)容����,判斷參數(shù)值是否合法�����,若合法并需要進(jìn)行上傳���,則進(jìn)行上傳文件合法性檢查,否則丟棄不處理��;具體與上述方法步驟S4相同�����。上傳文件檢查模塊140��,用于檢查上傳文件是否合法����,若合法,則響應(yīng)請求���。上傳文件檢查模塊140�,對需求上傳的文件進(jìn)行檢查���,判斷上傳的文件是否合法�,若合法����,則響應(yīng)請求,否則丟棄不處理���。顯然����,本領(lǐng)域技術(shù)人員應(yīng)該明白���,上述的本發(fā)明的各模塊或各步驟可以用通用的計算裝置來實現(xiàn)�����,它們可以集中在單個計算裝置上����,或者分布在多個計算裝置所組成的網(wǎng)絡(luò)上�����,可選地,他們可以用計算機(jī)裝置可執(zhí)行的程序代碼來實現(xiàn)��,從而可以將它們存儲在存儲裝置中由計算裝置來執(zhí)行�,或者將它們分別制作成各個集成電路模塊,或者將它們中的多個模塊或步驟制作成單個集成電路模塊來實現(xiàn)�。這樣,本發(fā)明不限制于任何特定的硬件和軟件的結(jié)合����。以上所述僅為本發(fā)明的優(yōu)選實施例,并不用于限制本發(fā)明���,對于本領(lǐng)域技術(shù)人員而言���,本發(fā)明可以有各種改動和變化。凡在本發(fā)明的精神和原理之內(nèi)所作的任何修改�、等同替換、改進(jìn)等���,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)�。
權(quán)利要求
1.一種智能化多層過濾安全裝置�����,其特征在于用于統(tǒng)一處理WEB系統(tǒng)的所有請求;包括: 請求來源檢查模塊����,用于檢查請求來源是否為本系統(tǒng)連接,若為本系統(tǒng)連接�����,則將請求送入URL檢查模塊進(jìn)行檢查�; URL檢查模塊��,用于檢查請求是否有敏感字符����,判斷URL是否合法,若合法�����,則將請求送入?yún)?shù)值檢查模塊進(jìn)行檢查�����; 參數(shù)值檢查模塊�,用于檢查參數(shù)值是否有非法內(nèi)容����,判斷參數(shù)值是否合法����,若合法,則將請求送入上傳文件檢查模塊進(jìn)行檢查���; 上傳文件檢查模塊��,用于檢查上傳文件是否合法����,若合法����,則響應(yīng)請求。
2.根據(jù)權(quán)利要求1所述的一種智能化多層過濾安全裝置���,其特征在于所述的敏感字符包括有〈��、>���、’�����、��;��、&����、#�、〃�、$、'
3.一種智能化多層過濾方法����,其特征在于,包括以下步驟: S1�����、將web系統(tǒng)接收到的請求送入過濾器�����; S2、對過濾器中的請求進(jìn)行來源檢查�����,驗證所述請求是否為系統(tǒng)內(nèi)部鏈接��,如果是系統(tǒng)內(nèi)部鏈接��,則進(jìn)行步驟S3����,否則丟棄不處理; S3�����、對請求進(jìn)行URL檢查��,檢查請求是否有敏感字符���,判斷URL是否合法���,若合法,則進(jìn)行步驟S4�,否則丟棄不處理����; S4����、對請求進(jìn)行參數(shù)值檢查,檢查參數(shù)值是否有非法內(nèi)容���,判斷參數(shù)值是否合法�,若合法并需要進(jìn)行上傳��,則進(jìn)行步驟S5�,否則丟棄不處理�����; S5��、對需求上傳的文件進(jìn)行檢查�,判斷上傳的文件是否合法,若合法�����,則響應(yīng)請求,否則丟棄不處理��。
全文摘要
本發(fā)明公開了一種智能化多層過濾安全裝置及方法�����,該裝置包括請求來源檢查模塊��;URL檢查模塊�����;參數(shù)值檢查模塊�;上傳文件檢查模塊。該方法S1���、將web系統(tǒng)接收到的請求送入過濾器���;S2、對過濾器中的請求進(jìn)行來源檢查���,驗證請求是否為系統(tǒng)內(nèi)部鏈接���,如果是系統(tǒng)內(nèi)部鏈接����,則進(jìn)行步驟S3�,否則丟棄不處理;S3��、對請求進(jìn)行URL檢查�,檢查請求是否有敏感字符,判斷URL是否合法��,若合法�,則進(jìn)行步驟S4,否則丟棄不處理���;S4�����、對請求進(jìn)行參數(shù)值檢查,檢查參數(shù)值是否有非法內(nèi)容�,判斷參數(shù)值是否合法,若合法并需要進(jìn)行上傳��,則進(jìn)行步驟S5,否則丟棄不處理�;S5、對需求上傳的文件進(jìn)行檢查��,判斷上傳的文件是否合法���,若合法���,則響應(yīng)請求。
文檔編號H04L29/06GK103209184SQ20131010233
公開日2013年7月17日 申請日期2013年3月27日 優(yōu)先權(quán)日2013年3月27日
發(fā)明者陳熾昌, 陳曦, 鐘瓊閣, 林葉明, 陳倩 申請人:廣東全通教育股份有限公司