CN103209184A - 一种智能化多层过滤安全装置及方法 - Google Patents

Abstract

本发明公开了一种智能化多层过滤安全装置及方法，该装置包括：请求来源检查模块；URL检查模块；参数值检查模块；上传文件检查模块。该方法：S1、将web系统接收到的请求送入过滤器；S2、对过滤器中的请求进行来源检查，验证请求是否为系统内部链接，如果是系统内部链接，则进行步骤S3，否则丢弃不处理；S3、对请求进行URL检查，检查请求是否有敏感字符，判断URL是否合法，若合法，则进行步骤S4，否则丢弃不处理；S4、对请求进行参数值检查，检查参数值是否有非法内容，判断参数值是否合法，若合法并需要进行上传，则进行步骤S5，否则丢弃不处理；S5、对需求上传的文件进行检查，判断上传的文件是否合法，若合法，则响应请求。

Description

一种智能化多层过滤安全装置及方法

技术领域

本发明涉及网络技术和安全领域，特别涉及一种智能化多层过滤安全装置及方法。

背景技术

在web系统中，黑客可通过多种方式攻击系统或窃取信息，为了防止系统被攻击或信息被窃取，一般都会采用过滤装置，但现有的过滤装置存在以下缺点：

1、大多数系统都是具体功能来做验证，没有统一验证的功能，这往往很可能会造成遗漏。

2、大多数系统都是只对特殊字符做过滤，没有全面、多层的过滤。

3、大多数系统都是真正处理的时候进行验证，不能讲非法请求在提交处理前进行过滤。

这意味着现有的过滤装置不能有效节约系统资源、也不能全面、彻底防止非法攻击。

本发明是在提交处理前进行统一过滤，非法请求直接不进行处理。这样既可以节省系统资源，也可以全面、彻底防止非法攻击。

发明内容

本发明的目的是为了克服现有技术中的不足之处，提供一种能统一处理所有系统请求、能进行多层过滤，全面、彻底有效防止非法攻击的智能化多层过滤安全装置及方法

为了达到上述目的，本发明采用以下方案：

本发明公开了一种智能化多层过滤安全装置，其特征在于用于统一处理WEB系统的所有请求；包括：

请求来源检查模块,用于检查请求来源是否为本系统连接，若为本系统连接，则将请求送入URL检查模块进行检查；

URL检查模块，用于检查请求是否有敏感字符，判断URL是否合法，若合法，则将请求送入参数值检查模块进行检查；

参数值检查模块，用于检查参数值是否有非法内容，判断参数值是否合法，若合法，则将请求送入上传文件检查模块进行检查；

上传文件检查模块，用于检查上传文件是否合法，若合法，则响应请求。

如上所述的一种智能化多层过滤安全装置，其特征在于所述的敏感字符包括有<、>、'、;、&、#、"、$、^。

本发明还公开了一种智能化多层过滤方法，其特征在于，包括以下步骤：

S1、将web系统接收到的请求送入过滤器；

S2、对过滤器中的请求进行来源检查，验证所述请求是否为系统内部链接，如果是系统内部链接，则进行步骤S3，否则丢弃不处理；

S3、对请求进行URL检查，检查请求是否有敏感字符，判断URL是否合法，若合法，则进行步骤S4，否则丢弃不处理；

S4、对请求进行参数值检查，检查参数值是否有非法内容，判断参数值是否合法，若合法并需要进行上传，则进行步骤S5，否则丢弃不处理；

S5、对需求上传的文件进行检查，判断上传的文件是否合法，若合法，则响应请求。

综上所述，本发明的有益效果：

一、本发明智能化多层过滤安全装置使用过滤器统一处理，所有请求均需通过过滤器。一次配置，永久使用，不需要处处验证。

二、在过滤器中进行多层检查，有效防止URL注入攻击、防止表单提交敏感字符、防止上传非法文件。

三、判断请求的发起方，只有正常操作系统的才是合法的，发起方不是系统内部链接的均不处理，有效防止工具类的攻击。

附图说明

图1为本发明智能化多层过滤安全装置的方框图；

图2为本发明智能化多层过滤安全方法的流程图。

具体实施方式

本发明公开一种基于缓存及异步处理技术的用户行为采集方法及系统，为使本发明的目的、技术方案及效果更加清楚、明确，以下对结合附图以及具体实施方式本发明进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

图2为于智能化多层过滤安全方法的流程图，如图所示，本发明一种智能化多层过滤安全方法，包括：

S1、将web系统接收到的请求送入过滤器；

过滤器统一处理，所有请求均需通过过滤器，一次配置，永久使用，不需要处处验证。

S2、对过滤器中的请求进行来源检查，验证所述请求是否为系统内部链接，如果是系统内部链接，则进行步骤S3，否则丢弃不处理；

例如用户只能访问id=1的资源，但可以在浏览器地址栏里强行访问id=2的资源。加上过滤器后，手动在浏览器输入id=2，过滤器会发现这个请求的来源不是系统内的链接，因为是手动输入的请求，所以会阻止访问。通过判断请求的发起方的合法性，只有正常操作系统的才是合法的，发起方不是系统内部链接的均不处理，有效防止工具类的攻击。

S3、对请求进行URL检查，检查请求是否有敏感字符，判断URL是否合法，若合法，则进行步骤S4，否则丢弃不处理；

例如：提交表单，输入特殊字符如“&#”则会提示不合法，提交失败，通过检查请求是否有敏感字符，有效防止URL注入攻击。

S4、对请求进行参数值检查，检查参数值是否有非法内容，判断参数值是否合法，若合法并需要进行上传，则进行步骤S5，否则丢弃不处理；

S5、对需求上传的文件进行检查，判断上传的文件是否合法，若合法，则响应请求，否则丢弃不处理。

例如：上传非法文件，如aa.exe，则会提示上传文件不合法，系统将不上传aa.exe这个文件。

本发明智能化多层过滤安全方法中所有请求均经过过滤器，先检查请求来源是否是本系统链接，如果是则继续后续检查，如果不是则认为非法。先检查请求URL中是否有敏感字符，再检查参数值是否有非法内容，如果是进行上传，判断上传的文件是否合法。请求统一处理、并进行多层过滤，能全面、彻底有效防止非法攻击。

本发明还公开了一种智能化多层过滤安全装置，如图1所示，用于统一处理WEB系统的所有请求；包括：

请求来源检查模块110,用于检查请求来源是否为本系统连接，若为本系统连接，则将请求送入URL检查模块进行检查；

请求来源检查模块110，对过滤器中的请求进行来源检查，验证所述请求是否为系统内部链接，如果是系统内部链接，则进行请求进行URL检查，否则丢弃不处理；具体与上述方法步骤S2相同。

URL检查模块120，用于检查请求是否有敏感字符，判断URL是否合法，若合法，则将请求送入参数值检查模块进行检查；

URL检查模块120，对请求进行URL检查，检查请求是否有如<、>、'、;、&、#、"、$、^等的敏感字符，判断URL是否合法，若合法，则进行参数值检查，否则丢弃不处理；具体与上述方法步骤S3相同。

参数值检查模块130，用于检查参数值是否有非法内容，判断参数值是否合法，若合法，则将请求送入上传文件检查模块进行检查；

参数值检查模块130，对请求进行参数值检查，检查参数值是否有非法内容，判断参数值是否合法，若合法并需要进行上传，则进行上传文件合法性检查，否则丢弃不处理；具体与上述方法步骤S4相同。

上传文件检查模块140，用于检查上传文件是否合法，若合法，则响应请求。

上传文件检查模块140，对需求上传的文件进行检查，判断上传的文件是否合法，若合法，则响应请求，否则丢弃不处理。

显然，本领域技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个计算装置上，或者分布在多个计算装置所组成的网络上，可选地，他们可以用计算机装置可执行的程序代码来实现，从而可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件的结合。

以上所述仅为本发明的优选实施例，并不用于限制本发明，对于本领域技术人员而言，本发明可以有各种改动和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (3)

1.一种智能化多层过滤安全装置，其特征在于用于统一处理WEB系统的所有请求；包括：

请求来源检查模块,用于检查请求来源是否为本系统连接，若为本系统连接，则将请求送入URL检查模块进行检查；

URL检查模块，用于检查请求是否有敏感字符，判断URL是否合法，若合法，则将请求送入参数值检查模块进行检查；

参数值检查模块，用于检查参数值是否有非法内容，判断参数值是否合法，若合法，则将请求送入上传文件检查模块进行检查；

上传文件检查模块，用于检查上传文件是否合法，若合法，则响应请求。

2.根据权利要求1所述的一种智能化多层过滤安全装置，其特征在于所述的敏感字符包括有<、>、'、;、&、#、"、$、^。

3.一种智能化多层过滤方法，其特征在于，包括以下步骤：

S1、将web系统接收到的请求送入过滤器；

S2、对过滤器中的请求进行来源检查，验证所述请求是否为系统内部链接，如果是系统内部链接，则进行步骤S3，否则丢弃不处理；

S3、对请求进行URL检查，检查请求是否有敏感字符，判断URL是否合法，若合法，则进行步骤S4，否则丢弃不处理；

S4、对请求进行参数值检查，检查参数值是否有非法内容，判断参数值是否合法，若合法并需要进行上传，则进行步骤S5，否则丢弃不处理；

S5、对需求上传的文件进行检查，判断上传的文件是否合法，若合法，则响应请求，否则丢弃不处理。

Images