CN105306465A - 网站安全访问实现方法及装置 - Google Patents
网站安全访问实现方法及装置 Download PDFInfo
- Publication number
- CN105306465A CN105306465A CN201510728012.0A CN201510728012A CN105306465A CN 105306465 A CN105306465 A CN 105306465A CN 201510728012 A CN201510728012 A CN 201510728012A CN 105306465 A CN105306465 A CN 105306465A
- Authority
- CN
- China
- Prior art keywords
- address
- attack
- access
- rule
- website
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
本发明实施例提供一种网站安全访问实现方法及装置,包括:接收用户发送的网站访问请求;根据其中包括的IP地址和根据访问日志文件设置的阻止规则,判断该IP地址是否是有攻击的IP地址或可能有攻击的IP地址;当判断出不是有攻击的IP地址和可能有攻击的IP地址,允许访问网站;当判断出是有攻击的IP地址,拒绝访问网站;当判断出是可能有攻击的IP地址,向用户获取验证码进行安全验证,验证通过时允许访问网站;验证不通过时拒绝访问网站。该方法能够根据动态访问日志动态调整访问限制规则,实现网络安全访问的动态调整,从而提高网络安全访问规则设置的灵活性和自动化程度。
Description
技术领域
本发明涉及网络技术领域,尤指一种基于nginx的网站安全访问实现方法及装置。
背景技术
Nginx是一个高性能的超文本传输协议(HyperTextTransferProtocol,HTTP)和反向代理服务器,也是一个交互式邮件存取协议(InternetMailAccessProtocol,IMAP)/邮局协议3(PostOfficeProtocol3,POP3)/简单邮件传输协议(SimpleMailTransferProtocol,SMTP)代理服务器。
Nginx系统中实现网站安全访问是很重要的,其防挑战黑洞(ChallengeCollapsar,CC)攻击的实现方案备受关注。在Nginx系统中通过nginxhttp功能模块(ngx_http_limit_ip_module)实现网站的安全访问控制与管理,限制非安全的访问。
现有的nginx的限制请求(limit_req)模块仅提供了基于对端地址(remoteip)的请求数和访问速度的限制。限制连接(limit_conn)模块仅提供了基于远端地址(remoteip)的连接数的限制。虽然可以通过配置文件限制或阻止(block)某些remoteip访问,但是不能动态添加阻止(block)规则,每次修改block规则都需要重启nginx自提进程,且自动化程度不高,不能和后端日志分析模块配合动态的block某些ip的访问。
发明内容
本发明实施例提供一种网站安全访问实现方法及装置,能够动态的调整访问过程中的阻止规则,实现动态的阻止部分不安全用户的访问,实现了安全访问的灵活控制,且自动化程度高。
本发明实施例提供了一种网站安全访问实现方法,包括:
接收用户发送的网站访问请求;
根据所述网站访问请求中包括的IP地址和根据访问日志文件设置的阻止规则,判断该IP地址是否是有攻击的IP地址或可能有攻击的IP地址;
当判断出发送所述网站访问请求的IP地址不是有攻击的IP地址和可能有攻击的IP地址,允许访问网站;
当判断出发送所述网站访问请求的IP地址是有攻击的IP地址,拒绝访问网站;
当判断出发送所述网站访问请求的IP地址是可能有攻击的IP地址,向用户获取验证码进行安全验证,当所述验证码验证通过时,允许访问网站;当所述验证码验证不通过时,拒绝访问网站。
在一些可选的实施例中,上述方法还包括:
实时获取网站的访问日志文件;
根据所述访问日志文件,确定有攻击IP地址和可能有攻击的IP地址,对有攻击的IP地址和可能有攻击的IP地址设置相应的阻止规则。
在一些可选的实施例中,所述对有攻击的IP地址和可能有攻击的IP地址设置相应的阻止规则,具体包括:
对有攻击的IP地址和可能有攻击的IP地址分别设置对应的阻止动作和有效时长;其中,有攻击的IP地址和可能有攻击的IP地址的阻止动作分别为拒绝访问和需要判定。
在一些可选的实施例中,所述向用户获取验证码进行安全验证后,还包括:
当验证码验证通过时,将该IP地址暂时标记为没有攻击的IP地址;当验证码验证不通过时,将该IP地址暂时标记为有攻击的IP地址;
当暂时标记的有效时间到期时,重新触发对该IP地址攻击性确定,并根据确定结果设置相应的阻止规则。
在一些可选的实施例中,上述方法还包括:
当需要设置、变更阻止规则时,通过调用设置接口对IP地址设置、变更阻止规则;
当需要删除阻止规则时,通过调用删除del接口删除阻止规则;
当需要查看阻止规则时,调用查找get接口获取有效的阻止规则,并展示。
本发明实施例提供了一种网站安全访问实现装置,包括:
设置模块,用于根据访问日志文件对有攻击的IP地址和可能有攻击的IP地址设置阻止规则;
接收模块,用于接收用户发送的网站访问请求;
判断模块,用于根据所述网站访问请求中包括的IP地址和所述设置模块中根据访问日志文件设置的阻止规则,判断该IP地址是否是有攻击的IP地址或可能有攻击的IP地址;
执行模块,用于当判断出发送所述网站访问请求的IP地址不是有攻击的IP地址和可能有攻击的IP地址,允许访问网站;当判断出发送所述网站访问请求的IP地址是有攻击的IP地址,拒绝访问网站;当判断出发送所述网站访问请求的IP地址是可能有攻击的IP地址,向用户获取验证码进行安全验证,当所述验证码验证通过时,允许访问网站;当所述验证码验证不通过时,拒绝访问网站。
在一些可选的实施例中,所述设置模块,具体用于:
实时获取网站的访问日志文件;
根据所述访问日志文件,确定有攻击IP地址和可能有攻击的IP地址,对有攻击的IP地址和可能有攻击的IP地址设置相应的阻止规则。
在一些可选的实施例中,所述设置模块,具体用于:
对有攻击的IP地址和可能有攻击的IP地址分别设置对应的阻止动作和有效时长;其中,有攻击的IP地址和可能有攻击的IP地址的阻止动作分别为拒绝访问和需要判定。
在一些可选的实施例中,所述设置模块,具体用于:
当验证码验证通过时,将该IP地址暂时标记为没有攻击的IP地址;当验证码验证不通过时,将该IP地址暂时标记为有攻击的IP地址;
当暂时标记的有效时间到期时,重新触发对该IP地址攻击性确定,并根据确定结果设置相应的阻止规则。
在一些可选的实施例中,所述设置模块,具体用于:
当需要设置、变更阻止规则时,通过调用设置接口对IP地址设置、变更阻止规则;
当需要删除阻止规则时,通过调用删除del接口删除阻止规则;
当需要查看阻止规则时,调用查找get接口获取有效的阻止规则,并展示。
上述技术方案具有如下有益效果:根据访问日志文件对有攻击的IP地址和可能有攻击的IP地址设置的阻止规则,实现根据动态访问日志动态调整访问限制规则,实时调整允许访问的用户和不允许访问的用户,动态的阻止部分不安全用户的访问,从而提高网络安全访问规则设置的灵活性和自动化程度;当用户访问网站时,根据动态调整后的规则对用户进行安全访问判定,从而能够更好地保证用户的安全访问。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一中网站安全访问实现方法的流程图;
图2是本发明实施例二中网站安全访问实现方法的流程图;
图3是本发明实施例三中输入验证码的阻止规则设置流程图;
图4是本发明实施例四中网站安全访问实现原理图;
图5是本发明实施例中网站安全访问装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种网站安全访问实现方法及装置,通过动态设置、调整访问过程中的阻止规则,实现动态的阻止部分用户的访问,达到动态管理和控制安全访问用户的目的。下面通过具体的实施例进行详细说明。
实施例一
本发明实施例一提供一种网站安全访问实现方法,其流程如图1所示,包括如下步骤:
步骤S101:接收用户发送的网站访问请求。
用户想要访问网站时,会发送网站访问请求,网站访问请求中至少包含发送请求的用户的IP地址信息。
步骤S102:根据网站访问请求中包括的IP地址和根据访问日志文件设置的阻止规则,判断该IP地址是否是有攻击的IP地址。
其中,阻止规则为根据访问日志文件对有攻击的IP地址和可能有攻击的IP地址设置的阻止规则。可以实时或周期性的获取访问日志文件,并在发现有攻击的IP地址和可能有攻击的IP地址时更新阻止规则。
即可以通过获取访问日志文件,对访问日志文件中的访问日志进行分析,分析出有攻击的IP地址、和可能有攻击的IP地址、没有攻击性的IP地址,针对这些IP地址分别设置阻止(block)规则。例如针对IP地址的block动作可以包括允许访问、需要判定、拒绝访问(allow、verify、deny),其有效时长可以设置不同时长,例如对拒绝访问的IP地址的设置的有效时长稍长一些,对需要判定的IP地址设置的有效时长稍短一些等等,具体时长值可以根据需要设定。其中允许访问针对有攻击的IP地址和可能有攻击的IP地址之外的其他IP地址。
例如:对拒绝访问的IP地址的设置的有效时长为1小时、几小时、1天或无限长;对需要判定的IP地址设置的有效时长半小时、半天或更短的时长。当根据访问日志文件确定出有攻击的IP和可能有攻击的IP之后,如果是阻止规则中已经记录过的IP地址,则可以更新其有效时长。
当网站访问请求中包括的IP地址不是有攻击的IP地址和可能有攻击的IP地址时,执行步骤S103;当网站访问请求中包括的IP地址为有攻击的IP地址时,执行步骤S104;当网站访问请求中包括的IP地址为可能有攻击的IP地址时,执行步骤S105。
步骤S103:当判断出发送网站访问请求的IP地址不是有攻击的IP地址和可能有攻击的IP地址,允许访问网站。
调用存储的最新的阻止规则,对接收到的网站访问请求中的IP地址进行验证,若其中包括的IP地址不是有攻击的IP地址,也不是可能有攻击的IP地址,则允许其访问网站。实际应用中,可以通过白名单标记没有攻击的IP地址;也可以将有攻击的IP地址和可能有攻击的IP地址标记出来,不在这个范围内的则认为是没有攻击的IP地址。
步骤S104:当判断出发送网站访问请求的IP地址是有攻击的IP地址,拒绝访问网站。
调用存储的最新的阻止规则,对接收到的网站访问请求中的IP地址进行验证,若其中包括的IP地址为有攻击的IP地址,则拒绝其访问网站。
步骤S105:当判断出发送网站访问请求的IP地址是可能有攻击的IP地址,向用户获取验证码进行安全验证。
调用存储的最新的阻止规则,对接收到的网站访问请求中的IP地址进行验证,若其中包括的IP地址为可能有攻击的IP地址,则向用户发送验证码获取请求,要求用户通过验证码输入窗口输入验证码,获取到用户输入的验证码后,通过验证码进行安全验证。
步骤S106:判断获取到的验证码是否验证通过。若是,执行步骤S107;若否,执行步骤S108。
步骤S107:允许访问网站。
当验证码验证通过时,认为该网站访问请求中包括的IP地址为安全的,没有攻击的IP地址,允许访问网站。
步骤S108:拒绝访问网站。
当验证码验证不通过时,认为该网站访问请求中包括的IP地址为不安全的,有攻击的IP地址,拒绝访问网站。
实施例二
本发明实施例二提供一种网站安全访问实现方法,在实施例一所述的进行访问安全验证之前,还包括设定阻止规则的过程,本实施例的方法流程如图2所示,包括如下步骤:
步骤S201:实时或周期性获取网站的访问日志文件。
Nginx系统把访问日志文件通过flume系统实时的推送到storm系统的kafka队列里,从而实现实时获取网站的访问日志文件。也可以设置获取周期,周期性的获取访问日志文件。
其中,Flume是一个高可用的,高可靠的,分布式的海量日志采集、聚合和传输的系统,Flume支持在日志系统中定制各类数据发送方,用于收集数据;同时,Flume提供对数据进行简单处理,并写到各种数据接受方(可定制)的能力。Storm是一种实时处理系统。Kafka是用于日志处理的分布式消息队列。
步骤S202:根据获取的访问日志文件,确定有攻击IP地址和可能有攻击的IP地址。
步骤S203:对有攻击的IP地址和可能有攻击的IP地址设置相应的阻止规则。
对有攻击的IP地址和可能有攻击的IP地址分别设置对应的阻止动作和有效时长;其中,有攻击的IP地址和可能有攻击的IP地址的阻止动作分别为拒绝访问和需要判定,其他不在有攻击的IP地址和可能有攻击的IP地址名单中的IP地址其动作为允许访问。
当需要设置、变更阻止规则时,通过调用设置(set)接口对IP地址设置、变更阻止规则;当需要删除阻止规则时,通过调用删除(del)接口删除阻止规则;当需要查看阻止规则时,调用查找(get)接口获取有效的阻止规则,并展示。
本发明中用于设置规则的模块(设置模块,ngx_http_limit_ip_module)可以通过统一资源定位符(UniversalResourceLocator,URL)接口动态设置、删除以及查询对某些远程IP(remoteip)地址或要访问的主机域名(hostname)的block规则且不用重启nginx进程,可以高效的配合日志分析模块限制某些IP的恶意访。具体可以调用设置、查找、删除(set、get、del)三个接口用于设置规则、显示(查找)规则以及删除规则。
storm通过nginx的访问日志文件分析出有攻击IP地址或可能有攻击IP地址,storm辅助服务通过调用set接口,把该remoteip以及定义好的block动作(allow、verify、deny)、有效时长等设置到nginx共享内存中。如果storm分析出的remoteip不确定是攻击IP,set一个动作是verify的且时长短一点的规则;如果可以确认remoteip是攻击ip,set一个动作是deny且相对时长长一点的规则。
上述设置阻止规则的步骤,根据网站的访问日志文件的更新,实时进行阻止规则的设置和更新,也可以设定一定的更新周期,周期性的进行阻止规则的设置和更新。
步骤S204:接收用户发送的网站访问请求。
Nginx把访问日志文件通过flume实时的推送到storm的kafka队列里
步骤S205:根据网站访问请求中包括的IP地址和预先设置的阻止规则,判断该IP地址是否是有攻击的IP地址或可能有攻击的IP地址。
当网站访问请求中包括的IP地址不是有攻击的IP地址和可能有攻击的IP地址时,执行步骤S206;当网站访问请求中包括的IP地址为有攻击的IP地址时,执行步骤S207;当网站访问请求中包括的IP地址为可能有攻击的IP地址时,执行步骤S208。
步骤S206:当判断出发送网站访问请求的IP地址不是有攻击的IP地址和可能有攻击的IP地址,允许访问网站。
可以通过在nginx配置文件中设置一个变量,判断该变量的值,确定对应的阻止(block)动作,允许访问(allow)为默认动作不做处理。
步骤S207:当判断出发送网站访问请求的IP地址是有攻击的IP地址,拒绝访问网站。
拒绝访问(deny)针对有攻击IP地址,可以直接返回设定的代码(如404)或断开链接。对应的实际动作都可以在配置文件中设置。
步骤S208:当判断出发送网站访问请求的IP地址是可能有攻击的IP地址,向用户获取验证码进行安全验证。
需要判定(verify)针对可能有攻击的IP地址,此时,可以反向代理到一个验证码网页,让用户通过客户端输入验证码,如果输入了验证码,验证通过说明该remoteip不是攻击IP地址,验证码后端把该IP地址同步到storm辅助服务,storm辅助服务处记录该remoteip为没有攻击的IP地址(即白名单)一段时间且调用del接口删掉对该IP地址为攻击IP地址的相应block规则。如果一段时间没输入验证码,即被设定为没有攻击的IP地址一段时间后,storm分析nginx的访问日志文件会再次触发对该remoteip的block设置。
步骤S209:判断获取到的验证码是否验证通过。
若是,执行步骤S210;若否,执行步骤S211。
步骤S210:允许访问网站。
步骤S211:拒绝访问网站。
实施例三
本发明实施例三提供一种网站安全访问实现方法,在实施例一和实施例二的方法基础上,增加对被判定为可能有攻击的IP地址,在输入验证码后的一些阻止规则设置操作,其流程如图3所示,包括如下步骤:
步骤S301:向用户获取验证码进行安全验证。
对可能有攻击的IP地址,此时,可以反向代理到一个验证码网页,让用户通过客户端输入验证码。如果输入了验证码,获取到验证码后进行安全验证。
步骤S302:验证码是否验证通过。
当验证码验证通过时,执行步骤S303;当验证码验证不通过时,执行步骤S304。
步骤S303:当验证码验证通过时,将该IP地址暂时标记为没有攻击的IP地址。
当验证码验证通过时,说明该remoteip不是攻击IP地址,验证码后端把该IP地址同步到storm辅助服务,storm辅助服务处记录该remoteip为没有攻击的IP地址(即白名单)一段时间且调用del接口删掉对该IP地址为攻击IP地址的相应block规则。
步骤S304:当验证码验证不通过时,将该IP地址暂时标记为有攻击的IP地址。
当验证码验证不通过时,说明该remoteip是有攻击IP地址,验证码后端把该IP地址同步到storm辅助服务,storm辅助服务处记录该remoteip为有攻击的IP地址一段时间。
步骤S305:当暂时标记的有效时间到期时,重新触发对该IP地址攻击性确定,并根据确定结果设置相应的阻止规则。
例如:被暂时标记为没有攻击的IP地址后,如果一段时间没输入验证码,即被设定为没有攻击的IP地址一段时间后,storm分析nginx的访问日志文件会再次触发对该remoteip的block设置。
实施例四
图4所述为本实施例中提供的网站安全访问实现原理图。其中,虚线代表的是用户请求数据流,实线代表的是规则设置和调用的数据流。
本发明的方法在具体实现时,相当于设置了一个新的模块,本模块能够实现动态的阻止规则设置和访问验证。
通过在配置文件中设置‘sae_limit_cache_zone_sizexxx;’申请一块选定大小为的共享内存,初始化为近期最少使用算法(LeastRecentlyUsed,LRU)的红黑树。通过在配置文件中设置‘sae_limit_ip;’提供阻止规则的查询、删除设置接口。其中,‘sae_limit_cache_zone_sizexxx;’是配置文件指令,含义是申请一块大小为xxx的内存,用来存放规则。‘sae_limit_ip;’也是配置文件指令,含义是设置阻止规则所要限制的IP地址。
当storm接口或者网络管理员调用set规则接口时,某个进程接到这个调用请求后解析该set规则的参数,即IP地址是一个网段还是单IP地址,如果是一个网段,解析出网络号、起始主机号和结束主机号。判断是否设置了有效时长,如果没设置取默认值,是否设置了阻止动作,如果没设置默认为空。
锁定(lock)共享内存后,通过网络号或者单IP地址为关键字(key)查找红黑树节点(rbtreenode),如果找到了rbtreenode,更新该阻止规则的失效时间、阻止动作等,如果阻止动作为空且节点的动作是verify,更新为deny。如果没找到malloc(分配内存的函数)一个rbtreenode,如果分配的共享内存已经用完,释放掉一个或者两个甚至更多的规则失效的节点后再次malloc一个rbtreenode。把解析后的参数设置到红黑树节点上插入到红黑树后返回成功。如果动作为空即set规则时没有指定该规则的动作,那么默认为verify。当storm接口或者网络管理员调用提供的del规则接口时,某个进程接到这个请求后解析该del规则的参数,根据参数的网络号或者单IP地址锁定共享内存查找到红黑树上的该节点删除后返回成功。如果网络管理员调用本模块提供的get规则接口时,本模块某个进程接受到请求,遍历共享内存红黑树的规则节点,判断还生效的规则,拼成JSON格式返回。JSON(JavaScriptObjectNotation)是一种轻量级的数据交换格式。
本发明中通过在配置文件中的下列语句设置阻止规则的相关动作:‘if($sae_limit_act~“verify”){proxy_passhttp://xxx.php;}if($sae_limit_act~“deny”){return404;}’,该语句含义是如果是verify就反向代理到一个验证码页面;如果是deny就返回404页面不存在,或者在nginx可以直接返回444.代表直接断开链接。每一个网站访问请求到来的时候,根据网站访问请求的remoteip解析后查找共享内存的红黑树是否有生效的阻止规则,如果有设置阻止动作的值,则根据设置语句$sae_limit_act的值执行对应的动作,如果没有则默认为“allow”。Nginx系统根据$sae_limit_act的值以及设置的真正的动作(proxyreturn)决定对该请求的处理。
服务器的前段部署了nginx系统+限制IP(limitip)模块的集群,作为整个网站的前端反向代理模块。后面通过flume把前端nginx反向代理的请求日志推送到kafka里,storm通过实时的分析kafka中的日志,来确定出攻击IP地址或者被攻击的域名。当分析出有攻击的IP或域名时,通过调用规则网络接口(ruleswebapi),把规则传递过来,规则网络接口通过过滤白名单后把规则同步到前端的多台nginx+limitip模块的共享内存。当有remoteip再次请求时,限制IP模块通过查找比对remoteip和共享内存的规则,从而对该请求做相应的处理。
如果阻止动作是‘verify’,说明storm模块并不确定该remoteip是cc攻击(或者说是机器人请求),那么该网站访问请求就会被反向代理到验证码服务,为用户返回一个验证码页面,当用户输入正确的验证码后跳转到用户请求的页面,同时验证码服务需要把该remoteip设置到规则网络接口服务,作为白名单规则且有效时长为一小时,规则网络接口会调用限制IP模块的del接口,删掉该remoteip的规则。当storm的规则传递请求再有该remoteip的规则时,会验证该remoteip是否属于白名单,如果属于白名单就再调用限制IP模块的set接口设置规则。如果在verify规则有效时间内没有输入正确的验证码,而storm模块又传递了该remoteip的不确定动作的规则,那么在限制IP模块会直接设置该remoteip的规则对应的动作为‘deny’。
如果阻止动作是‘deny’,说明storm模块或限制IP模块已经确定该remoteip是攻击ip,前端nginx直接返回403(禁止访问)或者444(断开链接).
如果阻止动作是‘allow’,说明没有匹配的规则,是正常的请求,反向代理到后端服务。
网络管理员也可以直接调用limitipmod提供的接口设置、查找、删除规则。
基于同一发明构思,本发明实施例还提供一种网站安全访问实现装置,其结构如图5所示,包括:设置模块501、接收模块502、判断模块503和执行模块504。
设置模块501,用于根据访问日志文件对有攻击的IP地址和可能有攻击的IP地址设置阻止规则。
接收模块502,用于接收用户发送的网站访问请求。
判断模块503,用于根据网站访问请求中包括的IP地址和设置模块501中根据访问日志文件设置的阻止规则,判断该IP地址是否是有攻击的IP地址或可能有攻击的IP地址。
执行模块504,用于当判断出发送网站访问请求的IP地址不是有攻击的IP地址和可能有攻击的IP地址,允许访问网站;当判断出发送网站访问请求的IP地址是有攻击的IP地址,拒绝访问网站;当判断出发送网站访问请求的IP地址是可能有攻击的IP地址,向用户获取验证码进行安全验证,当验证码验证通过时,允许访问网站;当验证码验证不通过时,拒绝访问网站。
优选的,上述设置模块501,具体用于:实时或周期性获取网站的访问日志文件;根据所述访问日志文件,确定有攻击IP地址和可能有攻击的IP地址,对有攻击的IP地址和可能有攻击的IP地址设置相应的阻止规则。
优选的,上述设置模块501,具体用于:对有攻击的IP地址和可能有攻击的IP地址分别设置对应的阻止动作和有效时长;其中,有攻击的IP地址和可能有攻击的IP地址的阻止动作分别为拒绝访问和需要判定。
优选的,上述设置模块501,具体用于:当验证码验证通过时,将该IP地址暂时标记为没有攻击的IP地址;当验证码验证不通过时,将该IP地址暂时标记为有攻击的IP地址;
当暂时标记的有效时间到期时,重新触发对该IP地址攻击性确定,并根据确定结果设置相应的阻止规则。
优选的,上述设置模块501,具体用于:当需要设置、变更阻止规则时,通过调用设置接口对IP地址设置、变更阻止规则;当需要删除阻止规则时,通过调用删除del接口删除阻止规则;当需要查看阻止规则时,调用查找get接口获取有效的阻止规则,并展示。
本发明实施例提供的上述网站安全访问实现方法及装置,通过分析网站的访问日志文件,实时监控有攻击的IP地址,进行动态的阻止规则设置,有效限配合日志分析服务动态的限制攻击IP的请求,通过提供设置、删除接口,方便的进行阻止规则的设置和删除,实现自动化的动态更新阻止规则;通过设置查找接口方便管理员查询阻止规则。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrativelogicalblock),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrativecomponents),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
本发明实施例中所描述的各种说明性的逻辑块,或单元都可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于用户终端中。可选地,处理器和存储媒介也可以设置于用户终端中的不同的部件中。
在一个或多个示例性的设计中,本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网站安全访问实现方法,其特征在于,包括:
接收用户发送的网站访问请求;
根据所述网站访问请求中包括的IP地址和根据访问日志文件设置的阻止规则,判断该IP地址是否是有攻击的IP地址或可能有攻击的IP地址;
当判断出发送所述网站访问请求的IP地址不是有攻击的IP地址和可能有攻击的IP地址,允许访问网站;
当判断出发送所述网站访问请求的IP地址是有攻击的IP地址,拒绝访问网站;
当判断出发送所述网站访问请求的IP地址是可能有攻击的IP地址,向用户获取验证码进行安全验证,当所述验证码验证通过时,允许访问网站;当所述验证码验证不通过时,拒绝访问网站。
2.如权利要求1所述的方法,其特征在于,还包括:
实时或周期性获取网站的访问日志文件;
根据所述访问日志文件,确定有攻击IP地址和可能有攻击的IP地址,对有攻击的IP地址和可能有攻击的IP地址设置相应的阻止规则。
3.如权利要求2所述的方法,其特征在于,所述对有攻击的IP地址和可能有攻击的IP地址设置相应的阻止规则,具体包括:
对有攻击的IP地址和可能有攻击的IP地址分别设置对应的阻止动作和有效时长;其中,有攻击的IP地址和可能有攻击的IP地址的阻止动作分别为拒绝访问和需要判定。
4.如权利要求1所述的方法,其特征在于,所述向用户获取验证码进行安全验证后,还包括:
当验证码验证通过时,将该IP地址暂时标记为没有攻击的IP地址;当验证码验证不通过时,将该IP地址暂时标记为有攻击的IP地址;
当暂时标记的有效时间到期时,重新触发对该IP地址攻击性确定,并根据确定结果设置相应的阻止规则。
5.如权利要求1所述的方法,其特征在于,还包括:
当需要设置、变更阻止规则时,通过调用设置接口对IP地址设置、变更阻止规则;
当需要删除阻止规则时,通过调用删除del接口删除阻止规则;
当需要查看阻止规则时,调用查找get接口获取有效的阻止规则,并展示。
6.一种网站安全访问实现装置,其特征在于,包括:
设置模块,用于根据访问日志文件对有攻击的IP地址和可能有攻击的IP地址设置阻止规则;
接收模块,用于接收用户发送的网站访问请求;
判断模块,用于根据所述网站访问请求中包括的IP地址和所述设置模块中根据访问日志文件设置的阻止规则,判断该IP地址是否是有攻击的IP地址或可能有攻击的IP地址;
执行模块,用于当判断出发送所述网站访问请求的IP地址不是有攻击的IP地址和可能有攻击的IP地址,允许访问网站;当判断出发送所述网站访问请求的IP地址是有攻击的IP地址,拒绝访问网站;当判断出发送所述网站访问请求的IP地址是可能有攻击的IP地址,向用户获取验证码进行安全验证,当所述验证码验证通过时,允许访问网站;当所述验证码验证不通过时,拒绝访问网站。
7.如权利要求6所述的装置,其特征在于,所述设置模块,具体用于:
实时或周期性获取网站的访问日志文件;
根据所述访问日志文件,确定有攻击IP地址和可能有攻击的IP地址,对有攻击的IP地址和可能有攻击的IP地址设置相应的阻止规则。
8.如权利要求6所述的装置,其特征在于,所述设置模块,具体用于:
对有攻击的IP地址和可能有攻击的IP地址分别设置对应的阻止动作和有效时长;其中,有攻击的IP地址和可能有攻击的IP地址的阻止动作分别为拒绝访问和需要判定。
9.如权利要求6所述的装置,其特征在于,所述设置模块,具体用于:
当验证码验证通过时,将该IP地址暂时标记为没有攻击的IP地址;当验证码验证不通过时,将该IP地址暂时标记为有攻击的IP地址;
当暂时标记的有效时间到期时,重新触发对该IP地址攻击性确定,并根据确定结果设置相应的阻止规则。
10.如权利要求6所述的装置,其特征在于,所述设置模块,具体用于:
当需要设置、变更阻止规则时,通过调用设置接口对IP地址设置、变更阻止规则;
当需要删除阻止规则时,通过调用删除del接口删除阻止规则;
当需要查看阻止规则时,调用查找get接口获取有效的阻止规则,并展示。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510728012.0A CN105306465B (zh) | 2015-10-30 | 2015-10-30 | 网站安全访问实现方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510728012.0A CN105306465B (zh) | 2015-10-30 | 2015-10-30 | 网站安全访问实现方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105306465A true CN105306465A (zh) | 2016-02-03 |
| CN105306465B CN105306465B (zh) | 2019-01-18 |
Family
ID=55203216
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510728012.0A Active CN105306465B (zh) | 2015-10-30 | 2015-10-30 | 网站安全访问实现方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105306465B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106230835A (zh) * | 2016-08-04 | 2016-12-14 | 摩贝(上海)生物科技有限公司 | 基于Nginx日志分析和IPTABLES转发的反恶意访问的方法 |
| CN106549932A (zh) * | 2016-08-31 | 2017-03-29 | 北京安天电子设备有限公司 | 一种基于日志分析的主机安全防护方法及系统 |
| CN109246064A (zh) * | 2017-07-11 | 2019-01-18 | 阿里巴巴集团控股有限公司 | 安全访问控制、网络访问规则的生成方法、装置及设备 |
| CN109495467A (zh) * | 2018-11-07 | 2019-03-19 | 深圳前海微众银行股份有限公司 | 拦截规则的更新方法、设备及计算机可读存储介质 |
| CN109688097A (zh) * | 2018-09-07 | 2019-04-26 | 平安科技(深圳)有限公司 | 网站防护方法、网站防护装置、网站防护设备及存储介质 |
| CN110035075A (zh) * | 2019-04-03 | 2019-07-19 | 北京奇安信科技有限公司 | 钓鱼网站的检测方法、装置、计算机设备及存储介质 |
| CN110912902A (zh) * | 2019-11-27 | 2020-03-24 | 杭州安恒信息技术股份有限公司 | 一种访问请求处理的方法、系统、设备及可读存储介质 |
| CN111163097A (zh) * | 2019-12-31 | 2020-05-15 | 新浪网技术(中国)有限公司 | 一种Web应用防火墙的实现系统及方法 |
| CN111327615A (zh) * | 2020-02-21 | 2020-06-23 | 浙江德迅网络安全技术有限公司 | 一种cc攻击防护方法及其系统 |
| CN112422577A (zh) * | 2020-11-25 | 2021-02-26 | 北京微步在线科技有限公司 | 预防原始地址欺骗攻击的方法,装置、服务器和存储介质 |
| CN114785552A (zh) * | 2022-03-23 | 2022-07-22 | 杭州迪普科技股份有限公司 | 基于nginx的检测及防护CC攻击的系统及方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101662480A (zh) * | 2009-09-01 | 2010-03-03 | 卡斯柯信号有限公司 | 一种基于访问控制的日志系统 |
| CN103166966A (zh) * | 2013-03-07 | 2013-06-19 | 星云融创(北京)信息技术有限公司 | 识别对网站的非法访问请求的方法及装置 |
| CN103176987A (zh) * | 2011-12-21 | 2013-06-26 | 中国电信股份有限公司 | 一种数据库访问控制方法和装置 |
| US20140059646A1 (en) * | 1997-03-10 | 2014-02-27 | Sonicwall, Inc. | Query Interface to Policy Server |
| CN104079557A (zh) * | 2014-05-22 | 2014-10-01 | 汉柏科技有限公司 | 一种cc攻击的防护方法及装置 |
| CN104902008A (zh) * | 2015-04-26 | 2015-09-09 | 成都创行信息科技有限公司 | 一种针对爬虫的数据处理方法 |
-
2015
- 2015-10-30 CN CN201510728012.0A patent/CN105306465B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140059646A1 (en) * | 1997-03-10 | 2014-02-27 | Sonicwall, Inc. | Query Interface to Policy Server |
| CN101662480A (zh) * | 2009-09-01 | 2010-03-03 | 卡斯柯信号有限公司 | 一种基于访问控制的日志系统 |
| CN103176987A (zh) * | 2011-12-21 | 2013-06-26 | 中国电信股份有限公司 | 一种数据库访问控制方法和装置 |
| CN103166966A (zh) * | 2013-03-07 | 2013-06-19 | 星云融创(北京)信息技术有限公司 | 识别对网站的非法访问请求的方法及装置 |
| CN104079557A (zh) * | 2014-05-22 | 2014-10-01 | 汉柏科技有限公司 | 一种cc攻击的防护方法及装置 |
| CN104902008A (zh) * | 2015-04-26 | 2015-09-09 | 成都创行信息科技有限公司 | 一种针对爬虫的数据处理方法 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106230835A (zh) * | 2016-08-04 | 2016-12-14 | 摩贝(上海)生物科技有限公司 | 基于Nginx日志分析和IPTABLES转发的反恶意访问的方法 |
| CN106549932A (zh) * | 2016-08-31 | 2017-03-29 | 北京安天电子设备有限公司 | 一种基于日志分析的主机安全防护方法及系统 |
| CN109246064A (zh) * | 2017-07-11 | 2019-01-18 | 阿里巴巴集团控股有限公司 | 安全访问控制、网络访问规则的生成方法、装置及设备 |
| CN109688097B (zh) * | 2018-09-07 | 2023-03-24 | 平安科技(深圳)有限公司 | 网站防护方法、网站防护装置、网站防护设备及存储介质 |
| CN109688097A (zh) * | 2018-09-07 | 2019-04-26 | 平安科技(深圳)有限公司 | 网站防护方法、网站防护装置、网站防护设备及存储介质 |
| CN109495467B (zh) * | 2018-11-07 | 2020-12-15 | 深圳前海微众银行股份有限公司 | 拦截规则的更新方法、设备及计算机可读存储介质 |
| CN109495467A (zh) * | 2018-11-07 | 2019-03-19 | 深圳前海微众银行股份有限公司 | 拦截规则的更新方法、设备及计算机可读存储介质 |
| CN110035075A (zh) * | 2019-04-03 | 2019-07-19 | 北京奇安信科技有限公司 | 钓鱼网站的检测方法、装置、计算机设备及存储介质 |
| CN110912902A (zh) * | 2019-11-27 | 2020-03-24 | 杭州安恒信息技术股份有限公司 | 一种访问请求处理的方法、系统、设备及可读存储介质 |
| CN110912902B (zh) * | 2019-11-27 | 2022-04-19 | 杭州安恒信息技术股份有限公司 | 一种访问请求处理的方法、系统、设备及可读存储介质 |
| CN111163097A (zh) * | 2019-12-31 | 2020-05-15 | 新浪网技术(中国)有限公司 | 一种Web应用防火墙的实现系统及方法 |
| CN111327615A (zh) * | 2020-02-21 | 2020-06-23 | 浙江德迅网络安全技术有限公司 | 一种cc攻击防护方法及其系统 |
| CN112422577A (zh) * | 2020-11-25 | 2021-02-26 | 北京微步在线科技有限公司 | 预防原始地址欺骗攻击的方法,装置、服务器和存储介质 |
| CN114785552A (zh) * | 2022-03-23 | 2022-07-22 | 杭州迪普科技股份有限公司 | 基于nginx的检测及防护CC攻击的系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105306465B (zh) | 2019-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105306465A (zh) | 网站安全访问实现方法及装置 | |
| CN108206802B (zh) | 检测网页后门的方法和装置 | |
| US9503468B1 (en) | Detecting suspicious web traffic from an enterprise network | |
| CN104219200B (zh) | 一种防范dns缓存攻击的装置和方法 | |
| US9258289B2 (en) | Authentication of IP source addresses | |
| CN102624706B (zh) | 一种dns隐蔽信道的检测方法 | |
| US9231972B2 (en) | Malicious website identifying method and system | |
| TW201703483A (zh) | 用於改善分散式網路中分析之方法及系統 | |
| CN102137111A (zh) | 一种防御cc攻击的方法、装置和内容分发网络服务器 | |
| CN109688097A (zh) | 网站防护方法、网站防护装置、网站防护设备及存储介质 | |
| CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
| CN109922030B (zh) | 基于Android设备的全局网络访问控制方法 | |
| JP5813810B2 (ja) | ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム | |
| CN104333567A (zh) | 采用安全即服务的web缓存 | |
| CN104951480A (zh) | 一种cdn系统中资源存储的索引装置及方法 | |
| JP2012094071A (ja) | フィルタリング方法、フィルタリングシステム及びフィルタリングプログラム | |
| CN104301311A (zh) | Dns过滤网络数据内容的方法及设备 | |
| CN113238923B (zh) | 基于状态机的业务行为溯源方法及系统 | |
| CN106411819A (zh) | 一种识别代理互联网协议地址的方法及装置 | |
| CN114466054A (zh) | 数据处理方法、装置、设备,及计算机可读存储介质 | |
| CN102754488A (zh) | 用户访问的控制方法、装置及系统 | |
| CN109803030A (zh) | 一种匿名中间代理服务器及其通信方法 | |
| CN103916489A (zh) | 一种单域名多ip的域名解析方法及系统 | |
| CN109451094B (zh) | 一种获取源站ip地址方法、系统、电子设备和介质 | |
| CN116015721A (zh) | 一种违规外联检测方法、系统、电子设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230406 Address after: Room 501-502, 5/F, Sina Headquarters Scientific Research Building, Block N-1 and N-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing, 100193 Patentee after: Sina Technology (China) Co.,Ltd. Address before: 100080, International Building, No. 58 West Fourth Ring Road, Haidian District, Beijing, 20 floor Patentee before: Sina.com Technology (China) Co.,Ltd. |
|
| TR01 | Transfer of patent right |