一種有效防止網(wǎng)絡(luò)攻擊的web網(wǎng)站鏈接動(dòng)態(tài)隱藏方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種WEB網(wǎng)站動(dòng)態(tài)變形加密方法及裝置����,具體的說(shuō)是以加密技術(shù)和腳本技術(shù)為基礎(chǔ)來(lái)對(duì)WEB網(wǎng)站地址的動(dòng)態(tài)化處理。
【背景技術(shù)】
[0002]目前��,金融和互聯(lián)網(wǎng)等領(lǐng)域通常是依賴(lài)WEB網(wǎng)站來(lái)對(duì)互聯(lián)網(wǎng)用戶(hù)或者是移動(dòng)智能終端用戶(hù)提供服務(wù)����,因此,WEB網(wǎng)站的安全顯得十分重要�����。一旦WEB網(wǎng)站被攻擊���,眾多用戶(hù)將因此而遭受巨大的損失,而現(xiàn)有的WEB網(wǎng)站���,由于存在以下諸多技術(shù)上的缺陷��,導(dǎo)致容易遭受來(lái)自各方面的攻擊:
[0003]A����、爬蟲(chóng)攻擊:通過(guò)自動(dòng)化的工具和腳本,獲取整個(gè)WEB網(wǎng)站的目錄和內(nèi)容��,并且可以自動(dòng)提交各種數(shù)據(jù)�����。目前各種搶票���、刷號(hào)軟件�,就是通過(guò)對(duì)網(wǎng)站采取爬蟲(chóng)攻擊�����,實(shí)現(xiàn)各種商業(yè)目的���,例如�,春運(yùn)搶票�����,就是其中一種情形。
[0004]B�、撞庫(kù)攻擊:黑客根據(jù)互聯(lián)網(wǎng)上獲得的或者泄漏的用戶(hù)賬戶(hù)和密碼信息,通過(guò)腳本工具��,自動(dòng)化的向每個(gè)WEB服務(wù)器提交用戶(hù)登陸請(qǐng)求����,通過(guò)大量的登錄嘗試,直至獲取可以登陸的WEB網(wǎng)站的用戶(hù)名和密碼���,然后盜取用戶(hù)的個(gè)人資料����。
[0005]C�、惡意軟件:特別是在金融領(lǐng)域,各種有針對(duì)性的惡意軟件可以產(chǎn)生虛假頁(yè)面冒充真實(shí)WEB網(wǎng)站��,誘騙用戶(hù)輸入真實(shí)的用戶(hù)名和密碼等敏感信息����,或者是通過(guò)惡意軟件截獲用戶(hù)與WEB網(wǎng)站之間的交互數(shù)據(jù),獲取用戶(hù)名和密碼等敏感信息,從而實(shí)現(xiàn)盜號(hào)的目的����。
[0006]為了解決以上所述對(duì)于WEB網(wǎng)站的各類(lèi)攻擊�����,拒絕各種自動(dòng)化工具和腳本的訪問(wèn)請(qǐng)求和撞庫(kù)攻擊��,現(xiàn)有技術(shù)通常是采用驗(yàn)證碼技術(shù)作為輔助手段��,來(lái)阻止各種自動(dòng)化工具和腳本�。也就是,用戶(hù)在訪問(wèn)網(wǎng)站或者在網(wǎng)站上提交數(shù)據(jù)時(shí)�����,必須按網(wǎng)頁(yè)上的要求正確填寫(xiě)驗(yàn)證碼圖片中所顯示的內(nèi)容�,才能夠與網(wǎng)站進(jìn)行下一步的互動(dòng),實(shí)現(xiàn)正常訪問(wèn)��。例如��,在12306網(wǎng)站上預(yù)訂高鐵票時(shí)�����,需要根據(jù)要求輸入不同的圖片。
[0007]但由于互聯(lián)網(wǎng)的用戶(hù)來(lái)源于各個(gè)不同的國(guó)家和區(qū)域�,有著不同的教育和文化背景,為了讓不同的用戶(hù)都能理解問(wèn)題并按要求填寫(xiě)正確的驗(yàn)證碼?���,F(xiàn)有的驗(yàn)證碼主要是提供各種基于數(shù)字和英文字母的組合,來(lái)防范自動(dòng)化程序和腳本撞庫(kù)或攻擊的目的�,同時(shí)也使不同用戶(hù)能正常識(shí)別并輸入驗(yàn)證碼圖片上的內(nèi)容。
[0008]但采用驗(yàn)證碼的方法�����,并不能有效解決對(duì)于WEB網(wǎng)站的各類(lèi)攻擊����,主要是驗(yàn)證碼技術(shù)存在著以下的不足:
[0009]第一,隨著圖片識(shí)別技術(shù)的發(fā)展���,驗(yàn)證碼圖片的內(nèi)容很容易被程序所識(shí)別��,并且識(shí)別的準(zhǔn)確率達(dá)到90%以上�����。這便造成采用驗(yàn)證碼對(duì)于網(wǎng)站的爬蟲(chóng)攻擊起不到防范作用����,無(wú)法起到杜絕搶票、刷號(hào)的問(wèn)題�����。
[0010]第二��,如果設(shè)置的驗(yàn)證碼圖片過(guò)于復(fù)雜�����,便會(huì)導(dǎo)致用戶(hù)體驗(yàn)感下降���,增加用戶(hù)與網(wǎng)站的互動(dòng)難度,導(dǎo)致用戶(hù)有可能需要多次輸入驗(yàn)證碼中的內(nèi)容才能登陸到WEB網(wǎng)站�����。
[0011]而對(duì)于惡意軟件的攻擊��,根據(jù)發(fā)明人多年來(lái)的統(tǒng)計(jì)�����,各種殺毒軟件對(duì)惡意軟件的查殺率不到30%,惡意軟件越來(lái)越智能化和精細(xì)化����,很多惡意軟件只會(huì)在用戶(hù)訪問(wèn)WEB網(wǎng)站時(shí),并且滿(mǎn)足特定的條件下才會(huì)被觸發(fā)����,導(dǎo)致用戶(hù)的敏感信息泄漏。
[0012]因此��,尋找應(yīng)對(duì)各類(lèi)對(duì)于WEB網(wǎng)站的攻擊的有效方法���,一直以來(lái)都是行業(yè)的難題���。
【發(fā)明內(nèi)容】
[0013]本發(fā)明目的在于克服現(xiàn)有技術(shù)的不足,提供一種有效防止網(wǎng)絡(luò)攻擊的WEB網(wǎng)站鏈接動(dòng)態(tài)隱藏方法����,該方法以加解密和腳本技術(shù)為基礎(chǔ),對(duì)瀏覽器端和服務(wù)端相呼應(yīng)的統(tǒng)一資源標(biāo)識(shí)符URI進(jìn)行動(dòng)態(tài)加密隱形���,使每一個(gè)用戶(hù)在訪問(wèn)同一個(gè)網(wǎng)站的訪問(wèn)請(qǐng)求時(shí)�����,看到的網(wǎng)站的結(jié)構(gòu)和路徑都是不一樣的����,但是其獲取到的網(wǎng)站的內(nèi)容是完全一樣的。
[0014]本發(fā)明解決所述技術(shù)問(wèn)題所采用的技術(shù)方案如下:
[0015]一種有效防止網(wǎng)絡(luò)攻擊的WEB網(wǎng)站鏈接動(dòng)態(tài)隱藏方法��,包括以下步驟:
[0016]I)瀏覽器端向服務(wù)器端發(fā)送連接請(qǐng)求����;
[0017]2)服務(wù)器端產(chǎn)生回應(yīng)并驗(yàn)證是否需要對(duì)響應(yīng)的URI進(jìn)行加密��,若否����,則將響應(yīng)的URI直接發(fā)送給瀏覽器端;否則����,將服務(wù)器端響應(yīng)瀏覽器端請(qǐng)求的URI進(jìn)行第一次加密,用加密后的URI替換原來(lái)的URI并連同用于對(duì)瀏覽器端加密的腳本文件一起發(fā)送給瀏覽器端��;
[0018]3)瀏覽器端與服務(wù)器端建立連接并再次發(fā)出訪問(wèn)請(qǐng)求�����,瀏覽器端中的腳步文件對(duì)再次訪問(wèn)請(qǐng)求的URI進(jìn)行第二次加密并發(fā)送或直接發(fā)送;
[0019]4)服務(wù)器端對(duì)瀏覽器端再次請(qǐng)求的URI進(jìn)行第一次解密�����,若第一次解密不成功����,則拒絕瀏覽器端的再次連接請(qǐng)求;否則進(jìn)行第二次解密;若第二次解密不成,則拒絕瀏覽器端的再次連接請(qǐng)求;否則����,根據(jù)瀏覽器端請(qǐng)求作出相應(yīng)的響應(yīng)。
[0020]進(jìn)一步地�,所述步驟3)中,瀏覽器端先驗(yàn)證再次發(fā)出的訪問(wèn)請(qǐng)求URI是否需要加密����,若否,則直接發(fā)送給服務(wù)器端��,否則�,將再次訪問(wèn)請(qǐng)求的URI進(jìn)行第二次加密并發(fā)送。[0021 ]進(jìn)一步地���,所述服務(wù)器端預(yù)先對(duì)加密條件����、加密算法及密鑰的參數(shù)進(jìn)行設(shè)置;所述步驟3)中,所述瀏覽器端預(yù)先對(duì)加密條件及與所述步驟2)中的腳本文件匹配的加密算法���、密鑰進(jìn)行參數(shù)設(shè)置����。
[0022]進(jìn)一步地�,所述步驟2)中第一次加密后的URI及步驟3)中第二次加密后的連接請(qǐng)求URI是隨機(jī)變化且單次有效的。
[0023]進(jìn)一步地����,所述步驟4)中�,第一次解密是對(duì)第二次加密的URI進(jìn)行解密,包括判斷該經(jīng)第二次加密的URI是否超過(guò)有效期���,第二次解密是對(duì)第一次加密的解密�,包括判斷該經(jīng)第一次加密的URI是否超過(guò)有效期����。
[0024]進(jìn)一步地��,所述第一次加密和/或第二次加密是采用非對(duì)稱(chēng)加密算法進(jìn)行加密�。
[0025]本發(fā)明的另一目的在于提供一種實(shí)現(xiàn)上述方法的裝置:
[0026]—種有效防止網(wǎng)絡(luò)攻擊的WEB網(wǎng)站鏈接動(dòng)態(tài)隱藏裝置��,包括瀏覽器端�、服務(wù)器端,以及���,
[0027]WEB頁(yè)面匹配單元�����,用于收集服務(wù)器端發(fā)送的URI并將該URI與其內(nèi)所儲(chǔ)存的URI內(nèi)容進(jìn)行比對(duì)���,判斷是否需要加密;
[0028]加密單元�,用于根據(jù)WEB頁(yè)面匹配單元的判斷結(jié)果對(duì)服務(wù)器端發(fā)送的URI進(jìn)行加密,并將經(jīng)加密的含有對(duì)瀏覽器請(qǐng)求路徑進(jìn)行加密的腳本文件的URI發(fā)送給服務(wù)器端����;
[0029]解密單元,用于對(duì)瀏覽器端所發(fā)送的路徑信息進(jìn)行解密����,把解密結(jié)果反饋給瀏覽器端或服務(wù)器端����。
[0030]進(jìn)一步地���,所述瀏覽器端設(shè)有用于監(jiān)控瀏覽器訪問(wèn)請(qǐng)求并在該訪問(wèn)請(qǐng)求的內(nèi)容與預(yù)設(shè)參數(shù)一致時(shí)觸發(fā)腳本文件對(duì)訪問(wèn)請(qǐng)求的URI進(jìn)行加密的判斷單元�,所述預(yù)設(shè)參數(shù)設(shè)于判斷單元內(nèi)��。
[0031 ]進(jìn)一步地����,所述經(jīng)加密單元及腳本文件加密后的URI中設(shè)有生效時(shí)間標(biāo)記。
[0032]進(jìn)一步地���,所述解密單元包括一次解密單元及二次解密單元��,所述一次解密單元及二次解密單元設(shè)有識(shí)別URI中的生效時(shí)間標(biāo)記并依據(jù)該生效時(shí)間標(biāo)記判斷該URI是否超過(guò)有效期的時(shí)效控制單元�����。
[0033]與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果是:
[0034]1����、通過(guò)對(duì)WEB網(wǎng)站進(jìn)行變形���,也就是隱藏真實(shí)的網(wǎng)站URI,讓撞庫(kù)攻擊找不到攻擊對(duì)象���,從而無(wú)法實(shí)施����,并且在實(shí)施與部署的時(shí)候無(wú)需修改WEB服務(wù)器的程序�����,可以有效的防護(hù)目前危害巨大的撞庫(kù)攻擊�����。
[0035]2��、通過(guò)對(duì)WEB網(wǎng)站進(jìn)行變形讓各種搶票工具和搶票軟件無(wú)法定位網(wǎng)站的登陸URI�,從而無(wú)法進(jìn)行搶票操作,可以有效的防護(hù)目前令人頭疼的各種搶票工具和搶票軟件對(duì)WEB服務(wù)器造成的各種危害和服務(wù)性能下降的問(wèn)題����。
[0036]3、通過(guò)對(duì)WEB網(wǎng)站進(jìn)行變形,讓DDOS工具無(wú)法定位攻擊對(duì)象的URI��,從