技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)技術(shù)和安全領(lǐng)域，特別涉及一種智能化多層過(guò)濾安全裝置及方法。

背景技術(shù)

在web系統(tǒng)中，黑客可通過(guò)多種方式攻擊系統(tǒng)或竊取信息，為了防止系統(tǒng)被攻擊或信息被竊取，一般都會(huì)采用過(guò)濾裝置，但現(xiàn)有的過(guò)濾裝置存在以下缺點(diǎn)：

1、大多數(shù)系統(tǒng)都是具體功能來(lái)做驗(yàn)證，沒(méi)有統(tǒng)一驗(yàn)證的功能，這往往很可能會(huì)造成遺漏。

2、大多數(shù)系統(tǒng)都是只對(duì)特殊字符做過(guò)濾，沒(méi)有全面、多層的過(guò)濾。

3、大多數(shù)系統(tǒng)都是真正處理的時(shí)候進(jìn)行驗(yàn)證，不能講非法請(qǐng)求在提交處理前進(jìn)行過(guò)濾。

這意味著現(xiàn)有的過(guò)濾裝置不能有效節(jié)約系統(tǒng)資源、也不能全面、徹底防止非法攻擊。

本發(fā)明是在提交處理前進(jìn)行統(tǒng)一過(guò)濾，非法請(qǐng)求直接不進(jìn)行處理。這樣既可以節(jié)省系統(tǒng)資源，也可以全面、徹底防止非法攻擊。

發(fā)明內(nèi)容

本發(fā)明的目的是為了克服現(xiàn)有技術(shù)中的不足之處，提供一種能統(tǒng)一處理所有系統(tǒng)請(qǐng)求、能進(jìn)行多層過(guò)濾，全面、徹底有效防止非法攻擊的智能化多層過(guò)濾安全裝置及方法

為了達(dá)到上述目的，本發(fā)明采用以下方案：

本發(fā)明公開(kāi)了一種智能化多層過(guò)濾安全裝置，其特征在于用于統(tǒng)一處理WEB系統(tǒng)的所有請(qǐng)求；包括：

請(qǐng)求來(lái)源檢查模塊,用于檢查請(qǐng)求來(lái)源是否為本系統(tǒng)連接，若為本系統(tǒng)連接，則將請(qǐng)求送入U(xiǎn)RL檢查模塊進(jìn)行檢查；

URL檢查模塊，用于檢查請(qǐng)求是否有敏感字符，判斷URL是否合法，若合法，則將請(qǐng)求送入?yún)?shù)值檢查模塊進(jìn)行檢查；

參數(shù)值檢查模塊，用于檢查參數(shù)值是否有非法內(nèi)容，判斷參數(shù)值是否合法，若合法，則將請(qǐng)求送入上傳文件檢查模塊進(jìn)行檢查；

上傳文件檢查模塊，用于檢查上傳文件是否合法，若合法，則響應(yīng)請(qǐng)求。

如上所述的一種智能化多層過(guò)濾安全裝置，其特征在于所述的敏感字符包括有<、>、'、;、&、#、、$、^。

本發(fā)明還公開(kāi)了一種智能化多層過(guò)濾方法，其特征在于，包括以下步驟：

S1、將web系統(tǒng)接收到的請(qǐng)求送入過(guò)濾器；

S2、對(duì)過(guò)濾器中的請(qǐng)求進(jìn)行來(lái)源檢查，驗(yàn)證所述請(qǐng)求是否為系統(tǒng)內(nèi)部鏈接，如果是系統(tǒng)內(nèi)部鏈接，則進(jìn)行步驟S3，否則丟棄不處理；

S3、對(duì)請(qǐng)求進(jìn)行URL檢查，檢查請(qǐng)求是否有敏感字符，判斷URL是否合法，若合法，則進(jìn)行步驟S4，否則丟棄不處理；

S4、對(duì)請(qǐng)求進(jìn)行參數(shù)值檢查，檢查參數(shù)值是否有非法內(nèi)容，判斷參數(shù)值是否合法，若合法并需要進(jìn)行上傳，則進(jìn)行步驟S5，否則丟棄不處理；

S5、對(duì)需求上傳的文件進(jìn)行檢查，判斷上傳的文件是否合法，若合法，則響應(yīng)請(qǐng)求。

綜上所述，本發(fā)明的有益效果：

一、本發(fā)明智能化多層過(guò)濾安全裝置使用過(guò)濾器統(tǒng)一處理，所有請(qǐng)求均需通過(guò)過(guò)濾器。一次配置，永久使用，不需要處處驗(yàn)證。

二、在過(guò)濾器中進(jìn)行多層檢查，有效防止URL注入攻擊、防止表單提交敏感字符、防止上傳非法文件。

三、判斷請(qǐng)求的發(fā)起方，只有正常操作系統(tǒng)的才是合法的，發(fā)起方不是系統(tǒng)內(nèi)部鏈接的均不處理，有效防止工具類的攻擊。

附圖說(shuō)明

圖1為本發(fā)明智能化多層過(guò)濾安全裝置的方框圖；

圖2為本發(fā)明智能化多層過(guò)濾安全方法的流程圖。

具體實(shí)施方式

本發(fā)明公開(kāi)一種基于緩存及異步處理技術(shù)的用戶行為采集方法及系統(tǒng)，為使本發(fā)明的目的、技術(shù)方案及效果更加清楚、明確，以下對(duì)結(jié)合附圖以及具體實(shí)施方式本發(fā)明進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解，此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

圖2為于智能化多層過(guò)濾安全方法的流程圖，如圖所示，本發(fā)明一種智能化多層過(guò)濾安全方法，包括：

S1、將web系統(tǒng)接收到的請(qǐng)求送入過(guò)濾器；

過(guò)濾器統(tǒng)一處理，所有請(qǐng)求均需通過(guò)過(guò)濾器，一次配置，永久使用，不需要處處驗(yàn)證。

S2、對(duì)過(guò)濾器中的請(qǐng)求進(jìn)行來(lái)源檢查，驗(yàn)證所述請(qǐng)求是否為系統(tǒng)內(nèi)部鏈接，如果是系統(tǒng)內(nèi)部鏈接，則進(jìn)行步驟S3，否則丟棄不處理；

例如用戶只能訪問(wèn)id=1的資源，但可以在瀏覽器地址欄里強(qiáng)行訪問(wèn)id=2的資源。加上過(guò)濾器后，手動(dòng)在瀏覽器輸入id=2，過(guò)濾器會(huì)發(fā)現(xiàn)這個(gè)請(qǐng)求的來(lái)源不是系統(tǒng)內(nèi)的鏈接，因?yàn)槭鞘謩?dòng)輸入的請(qǐng)求，所以會(huì)阻止訪問(wèn)。通過(guò)判斷請(qǐng)求的發(fā)起方的合法性，只有正常操作系統(tǒng)的才是合法的，發(fā)起方不是系統(tǒng)內(nèi)部鏈接的均不處理，有效防止工具類的攻擊。