CN102045348A - 一种防盗链系统及方法 - Google Patents
一种防盗链系统及方法 Download PDFInfo
- Publication number
- CN102045348A CN102045348A CN2010105694468A CN201010569446A CN102045348A CN 102045348 A CN102045348 A CN 102045348A CN 2010105694468 A CN2010105694468 A CN 2010105694468A CN 201010569446 A CN201010569446 A CN 201010569446A CN 102045348 A CN102045348 A CN 102045348A
- Authority
- CN
- China
- Prior art keywords
- user
- website
- visit
- unit
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种防盗链系统及方法,所述系统包括设置在本网站入口处的入口防御模块以及为所述入口防御模块提供黑名单的深度反向解析模块;所述入口防御模块包括黑名单验证单元、指定入口单元、登记单元以及验证单元,用于对于普通渠道所引入的访问本网站的用户请求,验证所述普通渠道是否在黑名单中,通过在网站的访问入口处,对用户的访问渠道进行黑名单验证,并在验证通过之后记录用户信息,在此后的每步访问中都要验证该用户信息是否登记过,所述深度反向解析模块包括提取单元、分析单元以及添加黑名单单元,用于对用户的访问记录分析并根据分析结果添加黑名单。本发明规范用户按照正常流程进行访问,灵活经济地避免了盗链的产生。
Description
技术领域
本发明涉及互联网安全领域,尤其涉及一种防盗链系统及方法。
背景技术
随着互联网的蓬勃发展,大量的安全问题应运而生,盗链就是其中的一方面。盗链是指服务提供商自己不提供服务的内容,通过技术手段直接在自己的网站上向最终用户提供其它服务提供商的服务内容,来骗取最终用户的浏览和点击率。
盗链所带来的危害主要有:
1.网站盗链会大量消耗被盗链网站的带宽,而真正的点击率也许会很小,严重损害了被盗链网站的利益;
2.如果盗链网站还有色情、反动内容,更会对被盗链网站的名誉造成严重影响;
3.就无线互联网络自身特点来说,存在着很多的流量及费用消耗,会给访问用户及被盗链网站之间造成大量的误解和纠纷。
综上所述,互联网尤其是无线互联网领域,盗链安全防护势在必行。
在无线互联网应用领域,防盗链安全问题基本靠硬件(如硬件防火墙等)来解决。硬件防护的方式大致有两种,一种是通过访问来源限制方式来进行,如图1所示,硬件防护的访问来源限制方式需要事先添加好限制访问的IP和域名,这样在用户请求访问时,验证该用户是否来源于限制的IP或域名,而对于被限制的IP及域名引入的请求,禁止其访问。另一种是资源防护方式,如图2所示,硬件防护的资源防护禁止用户经由其他网站直接获取本站资源。这样由上述两种方式可以看出采用硬件防护的特点是:可以对访问来源进行限制;对盗链相关的共性问题进行防护;需要购买相关硬件实现防护;侧重于对系统资源盗链的防护,并且对客户端下载资源进行线程控制及流量控制。
因此,硬件防护需相关硬件支持,因而缺乏灵活性和经济性,并且硬件防护针对盗链方面的共性问题进行防护,缺少对特定行为(如计费等)的针对性,尤其缺少对于无线互联网领域自身一些特性(如合作方通过push推荐内容给用户,用户使用客户端直接访问推荐内容)的支持。
发明内容
本发明的实施例旨在提供一种防盗链系统及方法,以解决在防止互联网盗链中硬件防护的所存在的缺乏灵活性以及不够经济的问题。
为实现上述目的,本发明的实施例提供了一种防盗链系统,用来防止其它网站盗用本网站的资源,所述系统包括设置在本网站入口处的入口防御模块以及为所述入口防御模块提供黑名单的深度反向解析模块;
其中,所述入口防御模块包括:
黑名单验证单元,用于对于普通渠道所引入的访问所述本网站的用户请求,验证所述普通渠道是否在所述黑名单中,
指定入口单元,用于对所述黑名单验证单元验证出不在所述黑名单中的普通渠道指定其访问的入口,
登记单元,用于记录经由所述指定入口单元指定入口进行访问的用户信息,
验证单元,用于在用户访问所述本网站的页面时,验证该用户是否已经被记录过信息,对于没有记录过信息的用户禁止其访问;
其中,所述深度反向解析模块包括:
提取单元,用于定期提取用户的访问记录,
分析单元,用于根据所述访问记录分析用户访问本网站所经由的普通渠道的IP地址和用户所访问的页面内容,
添加黑名单单元,用于根据所述分析单元的分析结果将IP地址不在所述本网站规定范围内和/或所述访问的页面内容中含有敏感内容的普通渠道添加到所述黑名单中,阻止该普通渠道引入的后续访问。
根据本发明的一个实施例,对于来自VIP渠道的访问,所述入口防御模块还包括VIP渠道处理单元,用于在所述本网站入口处,对于经由VIP渠道访问所述本网站的用户请求,直接为其指定其访问的入口并记录该用户信息。
根据本发明的一个实施例,本发明还能针对特定行为进行针对防护,因此所述入口防御模块还包括:
特定页面验证单元,用于在所述用户访问所述本网站的页面为特定行为信息展示页面时,验证该用户是否已经被记录过信息;
特定行为验证单元,用于在所述特定页面验证单元验证通过后根据所述用户的身份信息以及特定行为标记生成关键字并记录下来,在所述用户请求特定行为时再次通过由用户的身份信息以及特定行为标记生成的关键字验证所述用户是否在该特定行为信息展示页面已经被记录过信息,是则允许所述用户进行特定行为,否则提示该用户按照正常流程访问。
根据本发明的一个实施例,所述入口防御模块还包括关键字生成单元,用于根据所述用户身份信息和所述指定的入口标记来生成关键字;其中所述登记单元将所生成的关键字存储下来;其中所述验证单元通过由所述用户身份信息和所述指定的入口标记所生成的关键字来进行查询验证该用户是否已经被记录过信息。
根据本发明的一个实施例,所述深度反向解析模块还包括:
IP地址解析单元,用于在分析用户访问本网站所经由的普通渠道的IP地址时,查找所述IP地址隶属的国家及地区信息是否在所述本网站规定的合法地域范围内,是则获取所述用户所访问的页面内容,否则将所述普通渠道添加到所述黑名单中。
根据本发明的一个实施例,所述深度反向解析模块还包括:
页面内容解析单元,用于在分析用户所访问的页面内容时,解析所述页面内容以提取出其中的文字内容和图像内容,检测所述文字内容和图像内容的合法性,将该用户访问不合法的文字内容和图像内容所经由的普通渠道添加到所述黑名单中。
根据本发明的一个实施例,所述页面内容解析单元中检测文字内容的合法性是通过将所述文字内容的文字特征提取出来并与敏感词资料库中的关键字进行匹配来完成。
根据本发明的一个实施例,所述深度反向解析模块还包括:
图像文字判断单元,用于对所述图像内容中的文字描述信息进行合法性判断;
图像判断单元,用于对于判断具有合法文字描述信息的图像内容中的图像分离出其皮肤区域,对所述皮肤区域进行皮肤特征、纹理特征以及区域特征进行比对,对于过滤出的疑似敏感图像转入后台审核确认,若确认为具有敏感图像的图像内容,则将用户访问不合法的图像内容所经由的普通渠道添加到所述黑名单中。
根据本发明的一个实施例,本发明还能针对无线互联网领域自身一些特性(如合作方通过push推荐内容给用户,用户使用客户端直接访问推荐内容)的支持进行访问,因而所述系统还包括定向认证模块,用于在用户根据所述本网站的合作方网站访问所推荐所述本网站的页面时,在访问时效内验证所述用户携带的验证码与定向认证模块中所记录的验证码是否一致,是则允许所述用户访问,否则认定用户访问不合法。
根据本发明的一个实施例,所述定向认证模块还用于在所述合作方网站向用户推荐所述本网站的页面之前,接收所述合作方网站发送的用户身份信息,将所述用户身份信息、由接收用户身份信息的当前时间所生成的流水号以及所述合作方网站的渠道信息生成关键字并同时将其组合加密生成验证码,根据所述关键字存储所述验证码,同时将所述流水号和所述验证码返回给所述合作方网站。
根据本发明的一个实施例,所述定向认证模块还包括:
查找单元,用于根据用户的身份信息、流水号以及所述合作方网站的渠道信息生成的关键字,查找所述本网站存储器内的验证码;
判断单元,用于判断所述查找单元查找到的验证码是否在访问时效内;
比较单元,用于在所述判断单元判断出所述验证码在访问时效内时,对比所述用户携带的验证码是否与所述查找到的验证码相一致,是则允许所述用户的访问行为,否则认定用户访问不合法。
本发明还提供一种防盗链方法,用来防止其它网站盗用本网站的资源,所述方法包括:
入口防御的步骤,具体为:
在本网站入口处对于普通渠道所引入的访问所述本网站的用户请求,验证所述普通渠道是否在所述黑名单中,
对验证出不在所述黑名单中的普通渠道指定其访问的入口,
记录经由所述指定的入口进行访问的用户信息,
在用户访问所述本网站的页面时,验证该用户是否已经被记录过信息,对于没有记录过信息的用户禁止其访问;
深度反向解析的步骤,具体为:
定期提取用户的访问记录;
根据所述访问记录分析用户访问本网站所经由的普通渠道的IP地址和用户所访问的页面内容,获得分析结果;
根据所述分析结果将IP地址不在所述本网站规定范围内和/或所述访问的页面内容中含有敏感内容的普通渠道添加到所述黑名单中,阻止该普通渠道引入的后续访问。
根据本发明的一个实施例,所述入口防御的步骤还包括VIP渠道处理步骤:在所述本网站入口处,对于经由VIP渠道访问所述本网站的用户请求,直接为其指定其访问的入口并记录该用户信息。
根据本发明的一个实施例,所述入口防御步骤还包括:
特定页面验证步骤,在所述用户访问所述本网站的页面为特定行为信息展示页面时,验证该用户是否已经被记录过信息;
特定行为验证步骤,对于验证记录过信息的所述用户,根据所述用户的身份信息以及特定行为标记生成关键字并记录下来,在所述用户请求特定行为时再次通过由用户的身份信息以及特定行为标记生成的关键字验证所述用户是否在该特定行为信息展示页面已经被记录过信息,是则允许所述用户进行特定行为,否则提示该用户按照正常流程访问。
根据本发明的一个实施例,所述方法还包括定向认证步骤:在用户根据所述本网站的合作方网站访问所推荐所述本网站的页面时,在访问时效内验证所述用户携带的验证码与所述本网站中已记录的验证码是否一致,是则允许所述用户访问,否则认定用户访问不合法。
根据本发明的一个实施例,所述定向认证步骤还包括:在所述合作方网站向用户推荐所述本网站的页面之前,接收所述合作方网站发送的用户身份信息,将所述用户身份信息、由接收用户身份信息的当前时间所生成的流水号以及所述合作方网站的渠道信息生成关键字并同时将其组合加密生成验证码,根据所述关键字存储所述验证码,同时将所述流水号和所述验证码返回给所述合作方网站。
根据本发明的一个实施例,所述定向认证步骤具体为:
根据用户的身份信息、流水号以及所述合作方网站的渠道信息生成的关键字,查找所述本网站存储器内的验证码;
判断查找到的验证码是否在访问时效内;
在判断出所述验证码在访问时效内时,对比所述用户携带的验证码是否与所述查找到的验证码相一致,是则允许所述用户的访问行为,否则认定用户访问不合法。
由上述技术方案可知,本发明的实施例通过入口防御模块规范系统入口,在入口处记录用户访问信息,并在需在各防御处验证用户是否从规定入口进入;深度反向解析模块验证渠道IP地域范围合法性,并主动反向解析渠道页面内容,以及文字内容和图像内容安全检测,而还可以设置定向认证模块来根据待推荐用户信息为合作方提供生成验证码,并在用户访问时,将已存的验证码与用户所携带的验证码进行比对认证,从而本发明采用在网站系统入口处记录、合作方推荐验证码比对、IP地址地域性过滤、渠道页面反向主动解析以及文字、图像内容安全检测等技术,使防盗链的防御更全面、更主动。
附图说明
图1为一种硬件防护方式的访问来源限制模块流程图;
图2为一种硬件防护方式的资源防护模块流程图;
图3为根据本发明的一个实施例的一种防盗链系统的功能框图;
图4为根据本发明的一个实施例的入口防御步骤的处理流程图;
图5为根据本发明的另一个实施例的入口防御步骤的处理流程图;
图6为根据本发明的一个实施例的入口防御步骤对于特定行为处理的流程框图;
图7为根据本发明的一个实施例的深度反向解析步骤的处理流程图;
图8为根据本发明的一个实施例的深度反向解析步骤解析文字和图像的流程图;
图9为根据本发明的一个实施例的定向认证步骤对于合作方处理的流程图;
图10为根据本发明的一个实施例的定向认证步骤对于用户访问处理的流程图。
具体实施方式
下面将详细描述本发明的具体实施例。应当注意,这里描述的实施例只用于举例说明,并不用于限制本发明。
本发明的构思在于通过在网站的访问入口处,对用户的访问渠道进行黑名单验证,并在验证通过之后记录用户信息,在此后的每步访问中都要验证该用户信息是否登记过,从而规范用户按照正常流程进行访问,以避免盗链的产生。
根据本发明的一实施例,所述防盗链系统和方法由在本网站的服务器上运行软件程序来实现。
根据本发明的一实施例,本发明的防盗链系统主要由设置在网站入口处的入口防御模块以及为所述入口防御模块提供黑名单的深度反向解析模块组成。
如图3所示,其中所述入口防御模块,包括:
黑名单验证单元,用于对于普通渠道所引入的访问所述本网站的用户请求,验证所述普通渠道是否在所述黑名单中;
指定入口单元,用于对所述黑名单验证单元验证出不在所述黑名单中的普通渠道指定其访问的入口;
登记单元,用于记录经由所述指定入口单元指定入口进行访问的用户信息;
验证单元,用于在用户访问所述本网站的页面时,验证该用户是否已经被记录过信息,对于没有记录过信息的用户禁止其访问;
根据本发明的一实施例,本发明的入口防御模块可以由在本网站的服务器上运行软件程序来实现。
也即,所述入口防御模块可通过如图4所示的流程图来执行入口防御的功能,如图4所示,入口防御模块在网站系统入口处,对于经过普通渠道访问网站系统的用户请求,验证所述普通渠道是否在所述深度反向解析模块所提供的黑名单中,对于经由不在所述黑名单中的普通渠道进行访问的用户限定其由指定的入口访问,并在该入口处记录该用户信息,在该用户此后的每步访问中,验证该用户是否已经被记录过信息,对于没有记录过的用户禁止其访问,并根据一实施例,进一步提示该用户按照正常流程访问。
其它网站链接本网站的情况根据网站渠道来源,可分为普通渠道来源和VIP渠道来源。对于VIP渠道来源,本申请初步承认其合法性。而对于普通渠道来源,则首先要进行黑名单过滤,看该渠道信息是否存在于黑名单中,如果存在,则禁止来源于此渠道的访问。对于通过黑名单过滤的普通来源的访问,以及由VIP渠道引入的访问,限定其由指定的入口进入系统。也即,如果是普通渠道所引入的访问,则采用如图4所示的步骤流程,而如果不知道该渠道为何种渠道,则需要进行判断其是否为VIP渠道,只有该渠道为VIP访问的前提下才不进行黑名单的过滤。同时,如图4和图5所示的流程图,在指定的入口处,对于通过指定的入口进入系统的用户记录其身份信息(比如手机号),这里还同时根据用户的身份信息及入口标记产生一个关键字,并将其记录下来。根据一实施例,考虑到大吞吐量应用的效率问题,本发明可以采用缓存存储所记录的信息。用户在进入系统入口后要对系统内部页面进行访问之前,需要进行用户身份的验证,也即,验证用户是否在入口处记录过其身份信息,这里可以根据用户的身份信息以及入口标记形成的关键字,查询相应记录,以验证用户是否经过正规入口进行的访问。验证通过后,用户就可以正常访问系统内部页面,否则若验证没通过,就会禁止其访问,并进一步会提示用户按照正常流程访问。
而对于系统的一些特定行为(如计费、获取资源等),用户在进行该特定行为之前,会出现信息展示页面(如计费行为前的费用信息展示页面),不仅会在访问信息展示页时验证用户身份信息是否在入口处记录过,而且,还同样会在访问该信息展示页时根据用户信息以及该行为的特定标记产生一个关键字,并记录到缓存中,而在用户进一步请求特定行为时(如计费等),再根据用户信息及该行为的特定标记产生的关键字到缓存中进行查询,以再次验证用户是否在该行为相应的信息展示页面记录过,从而再次确定用户是否按正常流程产生该行为,对特定行为进行双重保护。这里入口防御模块对于特定行为的整个验证处理流程如图6所示。
这里入口防御模块用户进入特定行为信息展示页前,同样会验证用户是否在入口处记录过信息,从而使防护行为环环相扣,保证对盗链防护的严谨性。因此,入口防御模块不但实现了硬件防护中资源防护模块对资源的保护,而且严格规范了用户按正常流程进行访问,系统入口处记录身份,内部访问步步验证,特殊行为信息记录,行为产生记录验证,防护更严谨。
上述入口防御模块中进行普通渠道过滤的黑名单,是由深度反向解析模块提供的。如图3所示,其中所述深度反向解析模块包括:
提取单元,用于定期提取用户的访问记录;
分析单元,用于根据所述访问记录分析用户访问本网站所经由的普通渠道的IP地址和用户所访问的页面内容;
添加黑名单单元,用于根据所述分析单元的分析结果将IP地址不在所述本网站规定范围内和/或所述访问的页面内容中含有敏感内容的普通渠道添加到所述黑名单中,阻止该普通渠道引入的后续访问。
根据本发明的一实施例,本发明的深度反向解析模块可以由在本网站的服务器上运行软件程序来实现。
也即,深度反向解析模块可通过如图7所示的流程图来执行解析的功能,在图7中,深度反向解析模块定期提取用户的访问记录,根据所述访问记录分析用户访问本网站所经由的普通渠道的IP地址和用户所访问的页面内容,并根据分析结果将IP地址不在所述本网站规定范围内和/或经由普通渠道所访问的页面内容中含有敏感内容的普通渠道添加到黑名单中,阻止该普通渠道引入的后续访问。
深度反向解析模块实现了与硬件防护的访问来源限制模块相同的效果,并在此基础上对访问来源的页面内容进行反向主动解析,防御更主动。如图7所示,深度反向解析模块在由软件所执行的定期对应用的访问记录进行解析的过程中,对于每一条用户访问记录,首先查询引入该请求的渠道是否为VIP渠道,对于由VIP渠道引入的请求将不再解析。对于普通渠道的请求,查询此渠道是否在黑名单中已有记录,如果已在黑名单中,则也不对此类请求进行分析。对于不在黑名单中的源自普通渠道的请求,首先获取该渠道的IP,并到IP地址信息库中,查找该IP隶属的国家及地区信息。如果该IP隶属的国家及地区不在系统规定的合法地域范围内,则将该渠道信息加入到黑名单中,以阻止由该渠道引入的后续访问。对于IP地域验证合法的请求,则通过请求头信息中的referer字段(referer字段采用URL的格式,来表示从哪里链接了当前的网页或文件)反向获取引用渠道的页面内容。解析获取的页面以提取出其中的文字内容和图像内容。检测文字和图像内容的合法性,对于页面中含有敏感内容的渠道,将其添加到黑名单中,以阻止该渠道引入的后续访问。
如图8所示,对于文字内容的检测判断,是通过建立完备的敏感词资料库,并将文字内容与资料库中的关键字进行匹配来完成的。具体为首先建立过滤模板,用于表达过滤需求;其次从待过滤文本中提取特征向量,用于表达待过滤内容的主题;最后过滤模板与待过滤内容进行匹配。内容如果不匹配则为合法内容。
对于图像内容的检测判断,是采用概要过滤加人工审核的半自动化方式进行处理的。首先对图像的文字描述信息采取文字内容检测的方式进行合法性判断;然后采用皮肤检测从图像中分离出皮肤区域,最后通过对皮肤区域进行皮肤特征、纹理特征以及区域形状特征等特征提取比对,过滤出敏感的图像。这样过滤出的图像,有一定的准确率,但并不能作为是否将渠道置入黑名单的依据,而只能把图像作为疑似敏感图像,并将图像与图像所属渠道的信息记录下来,并由专人在管理后台进行审核,如确定为敏感图像,则将渠道添加到黑名单中以阻止其引入的后续访问。
根据本发明的一个实施例,本发明还包括定向认证模块,用于在用户根据所述本网站的合作方网站的推荐访问所述本网站的页面时,在访问时效内验证所述用户携带的验证码与定向认证模块中所记录的验证码是否一致,是则允许所述用户访问,否则认定用户访问不合法。
设置定向认证模块的原因是无线互联网络存在其特殊性,在应用中存在着合作方网站(例如VIP渠道)通过发送信息(如push)等手段将本网站系统的某些资源直接推荐给用户。为了提高用户的体验,这里合作方网站推荐的访问地址,是引导用户跳过系统的入口直接进入系统内部对应位置,比如计费网页来产生计费并获取资源。这种情况因为绕过了入口,无法进行入口防御,这种情况则交由定向认证模块进行防御。
所述定向认证模块验证的验证码是合作方网站在用户推荐本网站网址时一起发送给用户的,因此,这需要在合作方网站发送之前,先生成验证码。如图9所示,定向认证模块规定了合作方网站在向用户推荐本网站内容前,先将用户信息发送到定向认证模块进行身份记录。而定向认证模块在收到合作方网站的请求后,首先检测合作方网站的访问IP是否为事先约定好的访问IP,以及其访问密码是否与数据库中存储的该访问IP对应的访问密码匹配。访问IP及密码验证通过后,则根据合作方网站请求的当前时间产生一个流水号,将流水号、用户身份信息及渠道信息组合并加密产生一个验证码,为了便于后续的验证查询,还可以根据流水号、用户身份信息(如手机号)、合作方网站的渠道信息产生一个关键字,根据关键字与验证码的对应关系将验证码存储在如缓存的存储器中,同时对其设定存储时效。然后将流水号及验证码返回给合作方网站。合作方网站得到返回结果后,将流水号及验证码以参数的形式加入到推荐地址中,并将其发送给对应用户。
如图10所示,当用户访问推荐地址时,则首先进入定向认证模块进行身份认证,定向认证模块会同样根据用户身份信息、用户携带的流水号及对应渠道信息产生的关键字到缓存中进行查找,如果查找到存储记录,并且查找到的验证码与用户携带的验证码匹配无误,则允许用户进行相应行为。用户需在限定时效内进行访问,若验证码过期,则不再能查找到对应验证码记录,则认定用户访问不合法,这也是从时间维度上对系统的保护。
根据本发明的一个实施例,所述定向认证模块在对用户身份进行验证时,具体包括查找单元,用于根据用户的身份信息、流水号以及所述合作方网站的渠道信息生成的关键字,查找所述本网站存储器内的验证码;判断单元,用于判断所述查找单元查找到的验证码是否在访问时效内;比较单元,用于在所述判断单元判断出所述验证码在访问时效内时,对比所述用户携带的验证码是否与所述查找到的验证码相一致,是则允许所述用户的访问行为,否则认定用户访问不合法。
根据本发明的一个实施例,本发明的以上模块、单元、步骤中任一个都可以通过在本网站的服务器中运行软件程序来实现。
根据本发明的实施例,本发明的入口防御模块规范系统入口,在入口处记录用户访问信息,并在需在各防御处验证用户是否从规定入口进入;深度反向解析模块验证渠道IP地域范围合法性,并主动反向解析渠道页面内容,以及文字内容和图像内容安全检测,而还可以设置定向认证模块来根据待推荐用户信息为合作方网站提供生成验证码,并在用户访问时,将已存的验证码与用户所携带的验证码进行比对认证,从而本发明采用在网站系统入口处记录、合作方网站推荐验证码比对、IP地址地域性过滤、渠道页面反向主动解析以及文字、图像内容安全检测等技术,使防盗链的防御更全面、更主动。由于在现有无线互联网应用领域,一般使用纯硬件方式进行盗链防护,而本发明针对无线互联网领域的资源应用(比如计费应用)的特点用纯软件形式对盗链相关的各种安全问题进行防控,更加灵活,更加经济。
虽然已参照几个典型实施例描述了本发明,但应当理解,所用的术语是说明和示例性、而非限制性的术语。由于本发明能够以多种形式具体实施而不脱离发明的精神或实质,所以应当理解,上述实施例不限于任何前述的细节,而应在随附权利要求所限定的精神和范围内广泛地解释,因此落入权利要求或其等效范围内的全部变化和改型都应为随附权利要求所涵盖。
Claims (17)
1.一种防盗链系统,用来防止其它网站盗用本网站的资源,其特征在于,所述系统包括设置在所述本网站的入口处的入口防御模块以及为所述入口防御模块提供黑名单的深度反向解析模块;
其中,所述入口防御模块包括:
黑名单验证单元,用于对于普通渠道所引入的访问所述本网站的用户请求,验证所述普通渠道是否在所述黑名单中,
指定入口单元,用于对所述黑名单验证单元验证出不在所述黑名单中的普通渠道指定其访问的入口,
登记单元,用于记录经由所述指定入口单元指定入口进行访问的用户信息,
验证单元,用于在用户访问所述本网站的页面时,验证该用户是否已经被记录过信息,对于没有记录过信息的用户禁止其访问;
其中,所述深度反向解析模块包括:
提取单元,用于定期提取用户的访问记录,
分析单元,用于根据所述访问记录分析用户访问本网站所经由的普通渠道的IP地址和用户所访问的页面内容,
添加黑名单单元,用于根据所述分析单元的分析结果将IP地址不在所述本网站规定范围内和/或所述访问的页面内容中含有敏感内容的普通渠道添加到所述黑名单中,阻止该普通渠道引入的后续访问。
2.根据权利要求1所述的防盗链系统,其特征在于,所述入口防御模块还包括VIP渠道处理单元,用于在所述本网站入口处,对于经由VIP渠道访问所述本网站的用户请求,直接为其指定其访问的入口并记录该用户信息。
3.根据权利要求1所述的防盗链系统,其特征在于,所述入口防御模块还包括:
特定页面验证单元,用于在所述用户访问所述本网站的页面为特定行为信息展示页面时,验证该用户是否已经被记录过信息;
特定行为验证单元,用于在所述特定页面验证单元验证通过后根据所述用户的身份信息以及特定行为标记生成关键字并记录下来,在所述用户请求特定行为时再次通过由用户的身份信息以及特定行为标记生成的关键字验证所述用户是否在该特定行为信息展示页面已经被记录过信息,是则允许所述用户进行特定行为,否则提示该用户按照正常流程访问。
4.根据权利要求1-3任意一项所述的防盗链系统,其特征在于,所述入口防御模块还包括关键字生成单元,用于根据所述用户身份信息和所述指定的入口标记来生成关键字;其中所述登记单元将所生成的关键字存储下来;其中所述验证单元通过由所述用户身份信息和所述指定的入口标记所生成的关键字来进行查询验证该用户是否已经被记录过信息。
5.根据权利要求1所述的防盗链系统,其特征在于,所述深度反向解析模块还包括:
IP地址解析单元,用于在分析用户访问本网站所经由的普通渠道的IP地址时,查找所述IP地址隶属的国家及地区信息是否在所述本网站规定的合法地域范围内,是则获取所述用户所访问的页面内容,否则将所述普通渠道添加到所述黑名单中。
6.根据权利要求1或5所述的防盗链系统,其特征在于,所述深度反向解析模块还包括:
页面内容解析单元,用于在分析用户所访问的页面内容时,解析所述页面内容以提取出其中的文字内容和图像内容,检测所述文字内容和图像内容的合法性,将该用户访问不合法的文字内容和图像内容所经由的普通渠道添加到所述黑名单中。
7.根据权利要求6所述的防盗链系统,其特征在于,所述页面内容解析单元中检测文字内容的合法性是通过将所述文字内容的文字特征提取出来并与敏感词资料库中的关键字进行匹配来完成。
8.根据权利要求6所述的防盗链系统,其特征在于,所述深度反向解析模块还包括:
图像文字判断单元,用于对所述图像内容中的文字描述信息进行合法性判断;
图像判断单元,用于对于判断具有合法文字描述信息的图像内容中的图像分离出其皮肤区域,对所述皮肤区域进行皮肤特征、纹理特征以及区域特征进行比对,对于过滤出的疑似敏感图像转入后台审核确认,若确认为具有敏感图像的图像内容,则将用户访问不合法的图像内容所经由的普通渠道添加到所述黑名单中。
9.根据权利要求1所述的防盗链系统,其特征在于,所述系统还包括定向认证模块,用于在用户根据所述本网站的合作方网站的推荐访问所述本网站的页面时,在访问时效内验证所述用户携带的验证码与定向认证模块中所记录的验证码是否一致,是则允许所述用户访问,否则认定用户访问不合法。
10.根据权利要求9所述的防盗链系统,其特征在于,所述定向认证模块还用于在所述合作方网站向用户推荐所述本网站的页面之前,接收所述合作方网站发送的用户身份信息,将所述用户身份信息、由接收用户身份信息的当前时间所生成的流水号以及所述合作方网站的渠道信息生成关键字并同时将其组合加密生成验证码,根据所述关键字存储所述验证码,同时将所述流水号和所述验证码返回给所述合作方网站。
11.根据权利要求9所述的防盗链系统,其特征在于,所述定向认证模块还包括:
查找单元,用于根据用户的身份信息、流水号以及所述合作方网站的渠道信息生成的关键字,查找所述本网站存储器内的验证码;
判断单元,用于判断所述查找单元查找到的验证码是否在访问时效内;
比较单元,用于在所述判断单元判断出所述验证码在访问时效内时,对比所述用户携带的验证码是否与所述查找到的验证码相一致,是则允许所述用户的访问行为,否则认定用户访问不合法。
12.一种防盗链方法,用来防止其它网站盗用本网站的资源,其特征在于,所述方法包括:
入口防御的步骤,具体为:
在本网站入口处对于普通渠道所引入的访问所述本网站的用户请求,验证所述普通渠道是否在所述黑名单中,
对验证出不在所述黑名单中的普通渠道指定其访问的入口,
记录经由所述指定的入口进行访问的用户信息,
在用户访问所述本网站的页面时,验证该用户是否已经被记录过信息,对于没有记录过信息的用户禁止其访问;
深度反向解析的步骤,具体为:
定期提取用户的访问记录;
根据所述访问记录分析用户访问本网站所经由的普通渠道的IP地址和用户所访问的页面内容,获得分析结果;
根据所述分析结果将IP地址不在所述本网站规定范围内和/或所述访问的页面内容中含有敏感内容的普通渠道添加到所述黑名单中,阻止该普通渠道引入的后续访问。
13.根据权利要求12所述的防盗链方法,其特征在于,所述入口防御的步骤还包括VIP渠道处理步骤:在所述本网站的入口处,对于经由VIP渠道访问所述本网站的用户请求,直接为其指定其访问的入口并记录该用户信息。
14.根据权利要求12所述的防盗链方法,其特征在于,所述入口防御步骤还包括:
特定页面验证步骤,在所述用户访问所述本网站的页面为特定行为信息展示页面时,验证该用户是否已经被记录过信息;
特定行为验证步骤,对验证已经记录过信息的所述用户,根据所述用户的身份信息以及特定行为标记生成关键字并记录下来,在所述用户请求特定行为时再次通过由用户的身份信息以及特定行为标记生成的关键字验证所述用户是否在该特定行为信息展示页面已经被记录过信息,是则允许所述用户进行特定行为,否则提示该用户按照正常流程访问。
15.根据权利要求12所述的防盗链方法,其特征在于,所述方法还包括定向认证步骤:在用户根据所述本网站的合作方网站的推荐访问所述本网站的页面时,在访问时效内验证所述用户携带的验证码与所述本网站中已记录的验证码是否一致,是则允许所述用户访问,否则认定用户访问不合法。
16.根据权利要求15所述的防盗链方法,其特征在于,所述定向认证步骤还包括:在所述合作方网站向用户推荐所述本网站的页面之前,接收所述合作方网站发送的用户身份信息,将所述用户身份信息、由接收用户身份信息的当前时间所生成的流水号以及所述合作方网站的渠道信息生成关键字并同时将其组合加密生成验证码,根据所述关键字存储所述验证码,同时将所述流水号和所述验证码返回给所述合作方网站。
17.根据权利要求15所述的防盗链方法,其特征在于,所述定向认证步骤具体为:
根据用户的身份信息、流水号以及所述合作方网站的渠道信息生成的关键字,查找所述本网站存储器内的验证码;
判断查找到的验证码是否在访问时效内;
在判断出所述验证码在访问时效内时,对比所述用户携带的验证码是否与所述查找到的验证码相一致,是则允许所述用户的访问行为,否则认定用户访问不合法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010569446 CN102045348B (zh) | 2010-12-01 | 2010-12-01 | 一种防盗链系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010569446 CN102045348B (zh) | 2010-12-01 | 2010-12-01 | 一种防盗链系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102045348A true CN102045348A (zh) | 2011-05-04 |
| CN102045348B CN102045348B (zh) | 2013-08-07 |
Family
ID=43911119
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010569446 Expired - Fee Related CN102045348B (zh) | 2010-12-01 | 2010-12-01 | 一种防盗链系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102045348B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102752300A (zh) * | 2012-06-28 | 2012-10-24 | 用友软件股份有限公司 | 动态防盗链系统和动态防盗链方法 |
| CN103581897A (zh) * | 2012-08-07 | 2014-02-12 | 苏州简拔林网络科技有限公司 | 一种手机号码识别系统及识别方法 |
| CN103581215A (zh) * | 2012-07-19 | 2014-02-12 | 百度在线网络技术(北京)有限公司 | 用于图片盗链的处理系统及方法 |
| CN103701796A (zh) * | 2013-12-23 | 2014-04-02 | 山东中创软件商用中间件股份有限公司 | 一种基于hash技术的防盗链系统和方法 |
| CN104410634A (zh) * | 2014-11-27 | 2015-03-11 | 成都远为天胜科技有限公司 | 高带宽网络安全平台 |
| CN104469496A (zh) * | 2014-12-11 | 2015-03-25 | 北京国双科技有限公司 | 用于视频播放器的盗链检测方法和装置 |
| CN105847262A (zh) * | 2016-03-31 | 2016-08-10 | 乐视控股(北京)有限公司 | 防盗链方法及系统 |
| CN105930338A (zh) * | 2016-03-31 | 2016-09-07 | 乐视控股(北京)有限公司 | 防盗链方法及系统 |
| WO2017092250A1 (zh) * | 2015-11-30 | 2017-06-08 | 乐视控股(北京)有限公司 | 一种盗链的检测方法及装置 |
| CN109218320A (zh) * | 2018-09-25 | 2019-01-15 | 中国平安人寿保险股份有限公司 | 网站链路安全性验证方法、装置、计算机设备及存储介质 |
| US10212166B2 (en) | 2014-03-24 | 2019-02-19 | Huawei Technologies Co., Ltd. | File downloading method, apparatus, and system |
| CN111404898A (zh) * | 2020-03-06 | 2020-07-10 | 北京创世云科技有限公司 | 一种防盗链的方法、装置、存储介质及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1761204A (zh) * | 2005-11-18 | 2006-04-19 | 郑州金惠计算机系统工程有限公司 | 在互联网上堵截色情图像与不良信息的系统 |
| CN101102255A (zh) * | 2007-08-13 | 2008-01-09 | 腾讯科技(深圳)有限公司 | 对包括超链接的即时通讯信息的处理方法及装置 |
| CN101216923A (zh) * | 2008-01-07 | 2008-07-09 | 中国工商银行股份有限公司 | 提高网上银行交易数据安全性的系统及方法 |
| CN101262648A (zh) * | 2008-04-24 | 2008-09-10 | 中兴通讯股份有限公司 | 一种处理垃圾短信的方法和系统 |
| CN101539936A (zh) * | 2009-04-30 | 2009-09-23 | 中国工商银行股份有限公司 | 一种假冒网站检测方法及设备 |
-
2010
- 2010-12-01 CN CN 201010569446 patent/CN102045348B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1761204A (zh) * | 2005-11-18 | 2006-04-19 | 郑州金惠计算机系统工程有限公司 | 在互联网上堵截色情图像与不良信息的系统 |
| CN101102255A (zh) * | 2007-08-13 | 2008-01-09 | 腾讯科技(深圳)有限公司 | 对包括超链接的即时通讯信息的处理方法及装置 |
| CN101216923A (zh) * | 2008-01-07 | 2008-07-09 | 中国工商银行股份有限公司 | 提高网上银行交易数据安全性的系统及方法 |
| CN101262648A (zh) * | 2008-04-24 | 2008-09-10 | 中兴通讯股份有限公司 | 一种处理垃圾短信的方法和系统 |
| CN101539936A (zh) * | 2009-04-30 | 2009-09-23 | 中国工商银行股份有限公司 | 一种假冒网站检测方法及设备 |
Non-Patent Citations (1)
| Title |
|---|
| 袁楷等: "流媒体服务器防盗链系统", 《企业技术开发》, vol. 26, no. 1, 31 January 2007 (2007-01-31) * |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102752300A (zh) * | 2012-06-28 | 2012-10-24 | 用友软件股份有限公司 | 动态防盗链系统和动态防盗链方法 |
| CN103581215A (zh) * | 2012-07-19 | 2014-02-12 | 百度在线网络技术(北京)有限公司 | 用于图片盗链的处理系统及方法 |
| CN103581897A (zh) * | 2012-08-07 | 2014-02-12 | 苏州简拔林网络科技有限公司 | 一种手机号码识别系统及识别方法 |
| CN103581897B (zh) * | 2012-08-07 | 2016-08-31 | 苏州简拔林网络科技有限公司 | 一种手机号码识别系统及识别方法 |
| CN103701796A (zh) * | 2013-12-23 | 2014-04-02 | 山东中创软件商用中间件股份有限公司 | 一种基于hash技术的防盗链系统和方法 |
| US10212166B2 (en) | 2014-03-24 | 2019-02-19 | Huawei Technologies Co., Ltd. | File downloading method, apparatus, and system |
| CN104410634A (zh) * | 2014-11-27 | 2015-03-11 | 成都远为天胜科技有限公司 | 高带宽网络安全平台 |
| CN104469496A (zh) * | 2014-12-11 | 2015-03-25 | 北京国双科技有限公司 | 用于视频播放器的盗链检测方法和装置 |
| CN104469496B (zh) * | 2014-12-11 | 2018-04-03 | 北京国双科技有限公司 | 用于视频播放器的盗链检测方法和装置 |
| WO2017092250A1 (zh) * | 2015-11-30 | 2017-06-08 | 乐视控股(北京)有限公司 | 一种盗链的检测方法及装置 |
| CN105930338A (zh) * | 2016-03-31 | 2016-09-07 | 乐视控股(北京)有限公司 | 防盗链方法及系统 |
| CN105847262A (zh) * | 2016-03-31 | 2016-08-10 | 乐视控股(北京)有限公司 | 防盗链方法及系统 |
| CN109218320A (zh) * | 2018-09-25 | 2019-01-15 | 中国平安人寿保险股份有限公司 | 网站链路安全性验证方法、装置、计算机设备及存储介质 |
| CN109218320B (zh) * | 2018-09-25 | 2022-09-09 | 中国平安人寿保险股份有限公司 | 网站链路安全性验证方法、装置、计算机设备及存储介质 |
| CN111404898A (zh) * | 2020-03-06 | 2020-07-10 | 北京创世云科技有限公司 | 一种防盗链的方法、装置、存储介质及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102045348B (zh) | 2013-08-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102045348B (zh) | 一种防盗链系统及方法 | |
| US8286248B1 (en) | System and method of web application discovery via capture and analysis of HTTP requests for external resources | |
| Pan et al. | Anomaly based web phishing page detection | |
| CN102891826B (zh) | 网页访问的控制方法、设备和系统 | |
| CN103825887B (zh) | 基于https加密的网站过滤方法和系统 | |
| CN103067409B (zh) | 一种web盗链防护方法及其网关系统 | |
| CN106789939B (zh) | 一种钓鱼网站检测方法和装置 | |
| CN102394885A (zh) | 基于数据流的信息分类防护自动化核查方法 | |
| US9021085B1 (en) | Method and system for web filtering | |
| CN103118035B (zh) | 分析网站访问请求参数合法范围的方法及装置 | |
| CN101552674B (zh) | 伪网站的识别方法和系统 | |
| CN104079531A (zh) | 一种盗链检测方法、系统及装置 | |
| CN106713318B (zh) | 一种web站点安全防护方法及系统 | |
| CN103166966A (zh) | 识别对网站的非法访问请求的方法及装置 | |
| CN106330968B (zh) | 一种访问设备的身份认证方法及装置 | |
| CN107800686A (zh) | 一种钓鱼网站识别方法和装置 | |
| de Zayas | Carpenter v. United States and the Emerging Expectation of Privacy in Data Comprehensiveness Applied to Browsing History | |
| Malderle et al. | Gathering and analyzing identity leaks for a proactive warning of affected users | |
| CN108924143B (zh) | 一种远程勘验系统及方法 | |
| IT202000006340A1 (it) | Metodo per monitorare e proteggere l’accesso ad un servizio online | |
| Fietkau et al. | The elephant in the background: A quantitative approachto empower users against web browser fingerprinting | |
| CN112583804B (zh) | 一种可实时进行网络违法行为追踪取证的监测管理系统 | |
| CN101702168A (zh) | 基于二代身份证关键信息的信息查询方法 | |
| CN108282443A (zh) | 一种爬虫行为识别方法和装置 | |
| CN101257519B (zh) | 防止不经过wap网关非法订购的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130807 Termination date: 20151201 |
|
| EXPY | Termination of patent right or utility model |