專利名稱:識別對網(wǎng)站的非法訪問請求的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域��,尤其涉及一種識別對網(wǎng)站的非法訪問請求的方法及裝置�����。
背景技術(shù):
目前網(wǎng)站的安全問題日益嚴重�����,網(wǎng)站管理者可以采用很多措施來防止服務(wù)器遭受攻擊和入侵,其中及時查看網(wǎng)頁(Web)服務(wù)器的日志記錄是最直接����、最常用,而且是一種比較有效的方法��。通過對Web服務(wù)器日志文件的監(jiān)測�����,可以尋找可疑的活動跡象�,得到黑客入侵手法和相關(guān)操作,以及系統(tǒng)的漏洞所在��,從而進行防范���。
但是�,在日志文件中找出攻擊Web服務(wù)器的蛛絲馬跡不是非常簡單明了的一件事�,因為日志文件中條目繁多,這就需要管理員有豐富的知識和經(jīng)驗�,并且有足夠的細心和耐心。
類似地�����,現(xiàn)有的一種識別非法http請求的方案是,根據(jù)已知攻擊策略(例如跨站攻擊�����,sql注入攻擊)����,制定對應匹配策略(判斷請求中的非法字符以及非法關(guān)鍵字)來攔截非法請求。實現(xiàn)該方案的途徑是利用專門的硬件防火墻來加載相應規(guī)則進行過濾���。
現(xiàn)有技術(shù)中���,不論是根據(jù)日志文件來識別非法請求��,還是根據(jù)預定的匹配策略來攔截非法請求�,都是類似于黑名單過濾的方法����,其存在如下缺點:只能識別或攔截已知的特定的攻擊類型�����,不夠靈活;不能識別一些不存在于黑名單中的非法請求�����;成本較高。
而且��,現(xiàn)有方案沒有充分利用日志文件中所包含的豐富的信息�����。發(fā)明內(nèi)容
有鑒于此,本發(fā)明的目的是提供一種別對網(wǎng)站的非法訪問請求的方法及裝置�����,能夠準確、方便地獲取請求參數(shù)的合法范圍�����,有利于根據(jù)獲取到的合法范圍對非法請求進行準確的識別和攔截����。
為實現(xiàn)上述目的�,本發(fā)明提供技術(shù)方案如下:
一種識別對網(wǎng)站的非法訪問請求的方法,包括:
獲取網(wǎng)站的http訪問請求參數(shù)的合法范圍,并將所述合法范圍作為參數(shù)的有效性規(guī)則進行加載�����;
截獲用戶瀏覽器對網(wǎng)站的http訪問請求�����;
將截獲到的http訪問請求與參數(shù)的有效性規(guī)則進行匹配,根據(jù)匹配結(jié)果確定截獲到的http訪問請求是否合法。
可選地,所述獲取網(wǎng)站的http訪問請求參數(shù)的合法范圍具體包括:
獲取網(wǎng)站的http訪問日志文件���;
從所述日志文件中篩選出合法http請求對應的日志記錄��,得到合法的日志記錄集合;
根據(jù)所述合法的日志記錄集合��,提取訪問請求參數(shù)的合法范圍�����。
可選地,訪問請求參數(shù)的合法范圍為如下中的一個或多個:
允許的參數(shù)名稱�����;參數(shù)的類型���;參數(shù)值的最大長度;參數(shù)值中允許出現(xiàn)的特殊字符���。
可選地�����,所述根據(jù)所述合法的日志記錄集合��,提取訪問請求參數(shù)的合法范圍���,具體包括:
從所述日志記錄集合中獲取各http請求對應的請求方法和請求資源���;
對于每一個請求資源,獲取對應的參數(shù)名稱-參數(shù)值列表��;
根據(jù)所述參數(shù)名稱-參數(shù)值列表獲取參數(shù)的合法范圍��。
可選地��,所述將截獲到的http訪問請求與參數(shù)的有效性規(guī)則進行匹配���,根據(jù)匹配結(jié)果確定截獲到的http訪問請求是否合法��,具體包括:
對http訪問請求進行解析,得到請求的資源�、請求的方法以及請求參數(shù)�����;
將解析結(jié)果與所述有效性規(guī)則進行匹配�����,匹配成功,則確定http訪問請求合法��,匹配失敗���,則確定http訪問請求非法。
一種識別對網(wǎng)站的非法訪問請求的裝置���,包括:
加載模塊���,用于獲取網(wǎng)站的http訪問請求參數(shù)的合法范圍,并將所述合法范圍作為參數(shù)的有效性規(guī)則進行加載����;
截獲模塊,用于截獲用戶瀏覽器對網(wǎng)站的http訪問請求�;
匹配模塊,用于將截獲到的http訪問請求與參數(shù)的有效性規(guī)則進行匹配��,根據(jù)匹配結(jié)果確定截獲到的http訪問請求是否合法�����。
可選地���,所述加載模塊具體用于:
獲取網(wǎng)站的http訪問日志文件����;
從所述日志文件中篩選出合法http請求對應的日志記錄,得到合法的日志記錄集合;
根據(jù)所述合法的日志記錄集合��,提取訪問請求參數(shù)的合法范圍��。
可選地����,訪問請求參數(shù)的合法范圍為如下中的一個或多個:
允許的參數(shù)名稱;參數(shù)的類型�����;參數(shù)值的最大長度�;參數(shù)值中允許出現(xiàn)的特殊字符。
可選地�����,所述根據(jù)所述合法的日志記錄集合�,提取訪問請求參數(shù)的合法范圍,具體包括:
從所述日志記錄集合中獲取各http請求對應的請求方法和請求資源���;
對于每一個請求資源�,獲取對應的參數(shù)名稱-參數(shù)值列表;
根據(jù)所述參數(shù)名稱-參數(shù)值列表獲取參數(shù)的合法范圍����。
可選地,所述匹配模塊具體用于:
對http訪問請求進行解析,得到請求的資源����、請求的方法以及請求參數(shù)���;
將解析結(jié)果與所述有效性規(guī)則進行匹配����,匹配成功��,則確定http訪問請求合法����,匹配失敗,則確定http訪問請求非法����。�����。
根據(jù)本發(fā)明的上述技術(shù)方案��,不需要人工分析���,能夠自動從網(wǎng)站訪問日志文件中獲取http請求參數(shù)的合法范圍,得到參數(shù)有效性規(guī)則(類似于白名單過濾),根據(jù)該參數(shù)有效性規(guī)則就能夠?qū)崿F(xiàn)對非法請求進行準確的識別和攔截�����。
圖1是根據(jù)本發(fā)明一個實施例的分析網(wǎng)站訪問請求參數(shù)合法范圍的方法流程圖2是根據(jù)本發(fā)明一個實施例的識別對網(wǎng)站的非法訪問請求的方法流程圖3是根據(jù)本發(fā)明一個實施例的分析網(wǎng)站訪問請求參數(shù)合法范圍的裝置結(jié)構(gòu)圖4是根據(jù)本發(fā)明一個實施例的識別對網(wǎng)站的非法訪問請求的裝置結(jié)構(gòu)圖���。
具體實施方式
為便于更好的理解本發(fā)明��,這里首先對網(wǎng)站的訪問日志文件進行簡單介紹���。
IIS是Internet Information Server的縮寫,意思是因特網(wǎng)信息服務(wù)�����。IIS的WEB日志就是IIS下網(wǎng)站的運行記錄,每次訪問者向網(wǎng)站發(fā)送一個http請求���,不管這個訪問是否成功�,日志文件都會進行記錄�。
日志包括下列信息:誰訪問了站點,訪問者查看了哪些內(nèi)容以及最后一次查看信息的時間等��。由于IIS忠誠的記錄下所有訪問Web服務(wù)的相關(guān)記錄�����,因此充分利用日志����,就可以進行入侵檢測����、流量統(tǒng)計分析,解決IIS服務(wù)器故障���,以及解決頁面故障�。
IIS6.0 的 WEB 日志文件默認存放位置為 % systemroot % \system32\LogFiles,默認每天一個日志�。如果不對日志文件進行保護,會很容易被入侵者找到并把日志中的痕跡去掉,因此建議不使用默認的目錄����,更換一個記錄日志的路徑,同時設(shè)置日志文件訪問權(quán)限�����,只允許管理員和SYSTEM(系統(tǒng))為完全控制的權(quán)限�����。
日志文件的名稱格式是:ex+年份的末兩位數(shù)字+月份+日期�����,如2002年8月10日的WEB日志文件是ex020810.log����。IIS的日志文件都是文本文件,可以使用任何編輯器打開��,例如記事本程序��,建議使用UltraEdit編輯器進行編輯�。
日志格式是固定的ASCII格式����,按萬維網(wǎng)聯(lián)盟(World Wide Web Consortium, W3C)標準進行記錄�。
日志文件開頭四行是說明信息,如下:
#Software 生成軟件
#Version 版本
#Date日志發(fā)生日期
#Fields字段�����,顯示記錄信息的格式�����,可由IIS自定義�。
日志的主體是一條一條的請求信息,請求信息的格式是由字段定義的���,每個字段間用空格隔開。
常用字段解釋如下:
data發(fā)生請求的日期����;
time發(fā)生請求的時間;
s-sitename滿足請求的站點實例編號����;
s-1p生成日志項的服務(wù)器IP地址;
cs-method請求方法,即客戶端試圖執(zhí)行的操作(例如GET或POST方法)��;
cs-ur1-stem 訪問的資源�,例如 Index, htm ;
cs-ur1-query訪問地址的附帶參數(shù),如果沒有參數(shù)則用連字符表示�����;
s-port客戶端連接到的端口號����;
cs-username訪問服務(wù)器的已通過身份驗證的用戶名稱,匿名用戶用連字符來表示�;
c-1p訪問服務(wù)器的客戶端IP地址;
cs-version客戶端協(xié)議版本����;
cs (User-Agent)客戶端使用的瀏覽器類型;
cs(Referer)引用站點(用戶上次訪問的站點�,此站點提供與當前站點的鏈接);
sc-status響應狀態(tài)碼�����,常見的有200表示成功�����,403表示沒有權(quán)限,404表示找不到該頁面�,500表示程序有錯;
sc-substatus 子狀態(tài)代碼��;
sc-win32-status Windows 狀態(tài)代碼����。
下面列舉說明日志文件的格式(每個日志文件都有如下的頭4行):
#Software:Microsoft Internet Information Services6.0
#Version:1.0
#Date: 2008-03-31 08:00:03
#Fields:date time s-sitename s_ip cs-method cs-ur1-stem cs-ur1-querys-port cs—username c-1p
cs (User-Agent)sc-status sc-substatus sc-win32_status
2008-03-31 08: 02: 34W3SVC72812902 192.168.1.133 GET/login.htm-80-192.168.1.127
Moz i I la/4.0+ (compatible ;+MSIE+7.0 �;+ff indows+NT + 5.2 ;+ (Rl + 1.5)�;+.NET+CLR+1.1.4322) 20000
上面各行分別清楚地記下了遠程客戶端的:
訪問時間2008-03-31 08:02:34
所訪問服務(wù)器的IP地址192.168.1.133
執(zhí)行的操作GET/login.htm
訪問端口 80
客戶端IP 地址 192.168.1.127
瀏覽器類型Mozilla/4.0+
HTTP響應狀態(tài)碼200
本發(fā)明正是根據(jù)網(wǎng)站的日志文件來分析網(wǎng)站訪問請求參數(shù)的合法范圍,在得到請求參數(shù)的合法范圍后����,將該合法范圍視為參數(shù)的有效性規(guī)則,根據(jù)參數(shù)的有效性規(guī)則����,就可以對非法訪問請求進行識別�。
以下結(jié)合附圖對本發(fā)明進行詳細描述。
圖1是根據(jù)本發(fā)明一個實施例的分析網(wǎng)站訪問請求參數(shù)合法范圍的方法流程圖���。參照圖1���,所述方法可以包括如下步驟:
步驟101�,獲取網(wǎng)站的http訪問日志文件���;
步驟102�,從所述日志文件中篩選出合法http請求對應的日志記錄�,得到合法的日志記錄集合;
日志文件中每個http請求對應一條日志記錄����,可以將響應狀態(tài)碼為200的日志記錄作為合法http請求對應的日志記錄。
步驟103�,根據(jù)所述合法的日志記錄集合提取訪問請求參數(shù)的合法范圍。
進一步���,在提取到參數(shù)的合法范圍之后����,還可以將參數(shù)的合法范圍作為xml文件輸出���。xml格式相對純文本格式有如下優(yōu)點:便于數(shù)據(jù)交換��;清晰表明數(shù)據(jù)之間的關(guān)系����;邏輯更強,便于程序讀取�����。
其中��,參數(shù)的合法范圍可以為如下中的一個或多個:
允許的參數(shù)名稱��;參數(shù)的類型(例如���,字符型��、數(shù)值型等)�����;參數(shù)值的最大長度�����;參數(shù)值中允許出現(xiàn)的特殊字符(在本發(fā)明中��,將數(shù)字和字母視為常規(guī)字符��,除此之外的視為特殊字符��,例如�����,將下劃線���、美元符號等都視為特殊字符)。
由于合法的日志記錄集合中的各條日志記錄對應的是合法http請求���,因此��,其中的各種參數(shù)則為合法參數(shù)�,根據(jù)這些合法參數(shù)可以得到訪問請求參數(shù)的合法范圍���,具體可以包括如下步驟:
步驟SI,從所述日志記錄集合中獲取各http請求對應的請求方法和請求資源���;
請求方法可以是get,post等。在本發(fā)明中��,可以將所述日志記錄集合中的各請求資源識別為合法的請求資源,其中��,所述請求資源可以用URL進行標識���。
步驟S2�����,對于每一個請求資源����,獲取對應的參數(shù)名稱-參數(shù)值列表�����;
由于每個請求資源可能對應多條日志記錄��,因此��,該請求資源對應的參數(shù)名稱可以被識別為合法參數(shù)名稱(允許的參數(shù)名稱)�。并且,對于該請求資源下的某個參數(shù)名稱���,可能對應多個參數(shù)值����,于是,對這些參數(shù)值就行統(tǒng)計�����,就能得到所述參數(shù)名稱-參數(shù)值列表�����。
步驟S3��,根據(jù)所述參數(shù)名稱-參數(shù)值列表獲取參數(shù)的合法范圍���。
其中,針對參數(shù)值允許的最大長度��,可以選取所述參數(shù)名稱-參數(shù)值列表中存在的參數(shù)值的最大長度作為相應參數(shù)名稱對應的參數(shù)值所允許的最大長度��。
針對參數(shù)值允許的特殊字符�,可以針對所有參數(shù)名稱,將參數(shù)值中出現(xiàn)的特殊字符以及頻率進行統(tǒng)計�����,將出現(xiàn)頻率高與預設(shè)門限的特殊字符認為是對應參數(shù)值中可以出現(xiàn)的特殊字符。
假設(shè)已經(jīng)篩選出了如下的合法日志記錄集合:
test, com/a.php userid = 10&product_name = good&price = 123.4
test, com/a.php userid = 20&product_name = 1234&price = 100
test, com/a.php userid = 303&product_name = a-b&price = 10
test, com/a.php userid = 40&product_name = a-c&price = I
test2.com/a.php userid = 10&product_name = _asd&price = 123
則針對參數(shù)值允許的最大長度:a.php下的userid出現(xiàn)的最大長度為3(第三條),product_name出現(xiàn)的最大長度為4����。因此最后生成出來的規(guī)則為:a.php下userid參數(shù)對應的參數(shù)值最大長度為3,product_name參數(shù)對應的參數(shù)值最大長度為4�����。
針對參數(shù)值中允許出的特殊字符:根據(jù)上述日志�����,可以做如下統(tǒng)計�����,針對product_name 參數(shù):
特殊字符次數(shù)
-(橫線)2
_ (下劃線) I
假如設(shè)置如果出現(xiàn)的特殊字符次數(shù)大于等于2次�,就認為該特殊字符是可以出現(xiàn)的,則可以認為_(橫線)為允許出現(xiàn)的特殊字符�。
進一步,還可以生成如下規(guī)則:網(wǎng)站的所有pr0duCt_name中可以出現(xiàn)_(橫線)���,但不允許出現(xiàn)_(下劃線)��。
另外�����,針對參數(shù)值允許的最大長度��,本發(fā)明實施例還提供一種監(jiān)督學習的方法�,SP將合法日志記錄集合中的一部分日志記錄作為訓練集,余下部分作為測試集��,通過不斷調(diào)整預測函數(shù)的參數(shù)�����,并用測試集驗證函數(shù)的準確性�����,從而獲得最佳的預測函數(shù)�����。
假設(shè)現(xiàn)在有10條針對特定url訪問的帶參數(shù)的記錄����,可以將前5條作為訓練集,后5條作為測試集��,學習函數(shù)通過前5條記錄推測出參數(shù)值的最大長度��,然后利用后5條作為測試���,判斷該最大長度是否合理���。
針對參數(shù)值中允許出現(xiàn)的特殊字符,本發(fā)明實施例還提供一種演繹推理的方法��,即建立特征庫����,存儲所有已學習網(wǎng)站中字段(參數(shù)名稱)允許的特殊字符及出現(xiàn)頻度(同名字段進行累計),并認為特征庫中某字段出現(xiàn)頻度高的特殊字段是該字段普遍具有的屬性���,那么�����,特征庫中某字段出現(xiàn)頻度高的特殊字符為待學習網(wǎng)站同名字段(在該字段允許特殊字符的前提下)允許的特殊字符�。
進一步����,本發(fā)明實施例還提供一種增量式學習方法來獲取訪問參數(shù)的合法范圍�。增量式學習即:在已有的該網(wǎng)站的規(guī)則的基礎(chǔ)上��,通過該網(wǎng)站的訪問日志文件����,提取其中的url、請求參數(shù)等信息�,結(jié)合上述的學習思路獲取指定url的參數(shù)長度以及參數(shù)中可能出現(xiàn)的特殊字符,將這些信息記錄下來并存入數(shù)據(jù)庫中����。
舉個簡單的例子:
針對www.test, com網(wǎng)站�,已經(jīng)有2條規(guī)則,例如www.test, com/a.php允許的參數(shù)的個數(shù)為2,參數(shù)值允許的最大長度為5�,現(xiàn)在www.test, com又有新的日志,根據(jù)日志結(jié)合現(xiàn)有的規(guī)則可以補充和完善現(xiàn)有的規(guī)則�,完善出a.php允許的參數(shù)的個數(shù)為3,參數(shù)值允許的最大長度為10����。
上述方法可以用軟件實現(xiàn),也可以用硬件實現(xiàn)����。當用軟件實現(xiàn)時����,該程序可以運行在python環(huán)境下,并以mysql為支持,例如,運行在Iinux系統(tǒng)中����。
根據(jù)本發(fā)明實施例的上述技術(shù)方案,不需要人工分析���,能夠自動從網(wǎng)站訪問日志文件中獲取http請求參數(shù)的合法范圍��。
進一步���,在得到了 http請求參數(shù)的合法范圍之后,就可以將該合法范圍作為參數(shù)有效性規(guī)則���,根據(jù)該參數(shù)有效性規(guī)則就能夠?qū)崿F(xiàn)對非法請求進行準確的識別和攔截���。
圖2是根據(jù)本發(fā)明一個實施例的識別對網(wǎng)站的非法訪問請求的方法流程圖。參照圖2�����,所述方法可以包括如下步驟:
步驟201,獲取網(wǎng)站的http訪問請求參數(shù)的合法范圍,并將所述合法范圍作為參數(shù)的有效性規(guī)則進行加載(或存儲)�;
步驟202,截獲用戶瀏覽器對網(wǎng)站的http訪問請求���;
步驟203���,將截獲到的http訪問請求與參數(shù)的有效性規(guī)則進行匹配,根據(jù)匹配結(jié)果確定截獲到的http訪問請求是否合法��。
可以對http訪問請求進行解析�����,獲取請求的資源���、請求的方法以及各種參數(shù)�,然后����,將解析結(jié)果與所述有效性規(guī)則進行匹配���,匹配成功���,則確定http訪問請求合法�,否則��,確定http訪問請求非法��。
步驟203中����,匹配過程具體可以包括:
判斷請求的資源是否合法,在進行訪問請求參數(shù)的合法范圍分析中����,可以得到合法資源列表,通過判斷請求的資源是否在合法的資源列表中即可確定請求的資源是否可否����;
判斷請求類型(get/post)是否合法;
識別參數(shù)的類型(數(shù)字/字符串)�、參數(shù)值的長度是否合法。
根據(jù)上述方法�����,針對一個網(wǎng)站的請求,根據(jù)對應的參數(shù)有效性規(guī)則進行識別�����,如果有效則可以將請求轉(zhuǎn)發(fā)到真實網(wǎng)站���,否則直接攔截���,同時記錄本次請求的相關(guān)信息,以便之后完善相應的規(guī)則��。
進一步�����,還可以將非法的請求的相關(guān)信息記錄到日志文件中���。
作為一種實現(xiàn)方式��,本發(fā)明實施例的上述識別非法請求的方法可以根據(jù)已有的參數(shù)有效性規(guī)則��,并結(jié)合ngnix程序來攔截非法請求�����。根據(jù)參數(shù)的有效范圍來識別合法的請求����,相比傳統(tǒng)方法更加智能���、高效���。同時,利用高效的nginx服務(wù)器來支持過濾請求,能夠大大降低成本����。
以下分別給出實現(xiàn)上述獲取方法和識別方法的裝置。
圖3是根據(jù)本發(fā)明一個實施例的分析網(wǎng)站訪問請求參數(shù)合法范圍的裝置結(jié)構(gòu)圖���。參照圖3�����,所述裝置可以包括獲取模塊31�、篩選模塊32和分析模塊33�����,其中:
獲取模塊31用于獲取網(wǎng)站的http訪問日志文件;
篩選模塊32用于從所述日志文件中篩選出合法http請求對應的日志記錄����,得到合法的日志記錄集合;
分析模塊33用于根據(jù)所述合法的日志記錄集合�����,提取訪問請求參數(shù)的合法范圍���。
所述裝置的具體工作原理可參見圖1所示的方法����,這里不再贅述��。
圖4是根據(jù)本發(fā)明一個實施例的識別對網(wǎng)站的非法訪問請求的裝置結(jié)構(gòu)圖�。參照圖4,所述裝置可以包括:加載模塊41�、截獲模塊42和匹配模塊43,其中:
加載模塊41用于獲取網(wǎng)站的http訪問請求參數(shù)的合法范圍���,并將所述合法范圍作為參數(shù)的有效性規(guī)則進行加載��;
截獲模塊42用于截獲用戶瀏覽器對網(wǎng)站的http訪問請求�����;
匹配模塊43用于將截獲到的http訪問請求與參數(shù)的有效性規(guī)則進行匹配��,根據(jù)匹配結(jié)果確定截獲到的http訪問請求是否合法�。
所述裝置的具體工作原理可參見圖2所示的方法�,這里不再贅述。
需要說明的是����,在附圖的流程圖示出的步驟可以在諸如設(shè)置有一組計算機可執(zhí)行指令的計算機系統(tǒng)中執(zhí)行,并且����,雖然在流程圖中示出了邏輯順序,但是在某些情況下�,可以以不同于此處的順序執(zhí)行所示出或描述的步驟。另外��,本領(lǐng)域的技術(shù)人員應該明白���,上述的本發(fā)明的各模塊或各步驟可以用通用的計算裝置來實現(xiàn)����,它們可以集中在單個的計算裝置上,或者分布在多個計算裝置所組成的網(wǎng)絡(luò)上��,可選地����,它們可以用計算裝置可執(zhí)行的程序代碼來實現(xiàn),從而���,可以將它們存儲在存儲裝置中由計算裝置來執(zhí)行�,或者將它們分別制作成各個集成電路模塊���,或者將它們中的多個模塊或步驟制作成單個集成電路模塊來實現(xiàn)��。這樣���,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合。
以上所述僅為本發(fā)明的較佳實施例而已���,并不用以限制本發(fā)明��,凡在本發(fā)明的精神和原則之內(nèi)�����,所做的任何修改�����、等同替換�、改進等����,均應包含在本發(fā)明保護的范圍之內(nèi)。
權(quán)利要求
1.一種識別對網(wǎng)站的非法訪問請求的方法���,其特征在于�,包括: 獲取網(wǎng)站的http訪問請求參數(shù)的合法范圍����,并將所述合法范圍作為參數(shù)的有效性規(guī)則進行加載; 截獲用戶瀏覽器對網(wǎng)站的http訪問請求���; 將截獲到的http訪問請求與參數(shù)的有效性規(guī)則進行匹配����,根據(jù)匹配結(jié)果確定截獲到的http訪問請求是否合法�����。
2.如權(quán)利要求1所述的方法,其特征在于�����,所述獲取網(wǎng)站的http訪問請求參數(shù)的合法范圍具體包括: 獲取網(wǎng)站的http訪問日志文件��; 從所述日志文件中篩選出合法http請求對應的日志記錄�,得到合法的日志記錄集合; 根據(jù)所述合法的日志記錄集合����,提取訪問請求參數(shù)的合法范圍。
3.如權(quán)利要求2所述的方法�����,其特征在于����,訪問請求參數(shù)的合法范圍為如下中的一個或多個: 允許的參數(shù)名稱;參數(shù)的類型����;參數(shù)值的最大長度���;參數(shù)值中允許出現(xiàn)的特殊字符。
4.如權(quán)利要求3所述的方法���,其特征在于���,所述根據(jù)所述合法的日志記錄集合,提取訪問請求參數(shù)的合法范圍����,具體包括: 從所述日志記錄集合中獲取各http請求對應的請求方法和請求資源���; 對于每一個請求資源�����,獲取對應的參數(shù)名稱-參數(shù)值列表����; 根據(jù)所述參數(shù)名稱-參數(shù)值列表獲取參數(shù)的合法范圍��。
5.如權(quán)利要求1至4中任一項所述的方法�,其特征在于�,所述將截獲到的http訪問請求與參數(shù)的有效性規(guī)則進行匹配����,根據(jù)匹配結(jié)果確定截獲到的http訪問請求是否合法,具體包括: 對http訪問請求進行解析��,得到請求的資源�、請求的方法以及請求參數(shù); 將解析結(jié)果與所述有效性規(guī)則進行匹配�����,匹配成功�����,則確定http訪問請求合法�����,匹配失敗�����,則確定http訪問請求非法。
6.一種識別對網(wǎng)站的非法訪問請求的裝置���,其特征在于�����,包括: 加載模塊���,用于獲取網(wǎng)站的http訪問請求參數(shù)的合法范圍,并將所述合法范圍作為參數(shù)的有效性規(guī)則進行加載�; 截獲模塊,用于截獲用 戶瀏覽器對網(wǎng)站的http訪問請求���; 匹配模塊���,用于將截獲到的http訪問請求與參數(shù)的有效性規(guī)則進行匹配���,根據(jù)匹配結(jié)果確定截獲到的http訪問請求是否合法����。
7.如權(quán)利要求6所述的裝置����,其特征在于���,所述加載模塊具體用于: 獲取網(wǎng)站的http訪問日志文件; 從所述日志文件中篩選出合法http請求對應的日志記錄�,得到合法的日志記錄集合; 根據(jù)所述合法的日志記錄集合���,提取訪問請求參數(shù)的合法范圍�����。
8.如權(quán)利要求7所述的裝置����,其特征在于���,訪問請求參數(shù)的合法范圍為如下中的一個或多個: 允許的參數(shù)名稱�;參數(shù)的類型���;參數(shù)值的最大長度��;參數(shù)值中允許出現(xiàn)的特殊字符��。
9.如權(quán)利要求8所述的裝置���,其特征在于����,所述根據(jù)所述合法的日志記錄集合��,提取訪問請求參數(shù)的合法范圍�,具體包括: 從所述日志記錄集合中獲取各http請求對應的請求方法和請求資源; 對于每一個請求資源��,獲取對應的參數(shù)名稱-參數(shù)值列表���; 根據(jù)所述參數(shù)名稱-參數(shù)值列表獲取參數(shù)的合法范圍��。
10.如權(quán)利要求6至9中任一項所述的裝置��,其特征在于�,所述匹配模塊具體用于: 對http訪問請求進行解析��,得到請求的資源���、請求的方法以及請求參數(shù); 將解析結(jié)果與所述有效性規(guī)則進行匹配,匹配成功���,則確定http訪問請求合法�����,匹配失敗�����,則確定http訪問請求非法���。
全文摘要
本發(fā)明提供一種識別對網(wǎng)站的非法訪問請求的方法及裝置,屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域��。所述方法包括獲取網(wǎng)站的http訪問請求參數(shù)的合法范圍�����,并將所述合法范圍作為參數(shù)的有效性規(guī)則進行加載�����;截獲用戶瀏覽器對網(wǎng)站的http訪問請求��;將截獲到的http訪問請求與參數(shù)的有效性規(guī)則進行匹配,根據(jù)匹配結(jié)果確定截獲到的http訪問請求是否合法�。本發(fā)明能夠準確、方便地獲取請求參數(shù)的合法范圍��,有利于根據(jù)獲取到的合法范圍對非法請求進行準確的識別和攔截�。
文檔編號H04L29/06GK103166966SQ201310072219
公開日2013年6月19日 申請日期2013年3月7日 優(yōu)先權(quán)日2013年3月7日
發(fā)明者陳逸 申請人:星云融創(chuàng)(北京)信息技術(shù)有限公司