CN116132115A - 盗链防护方法、装置、电子设备和计算机可读存储介质 - Google Patents

盗链防护方法、装置、电子设备和计算机可读存储介质 Download PDF

Info

Publication number
CN116132115A
CN116132115A CN202211676890.9A CN202211676890A CN116132115A CN 116132115 A CN116132115 A CN 116132115A CN 202211676890 A CN202211676890 A CN 202211676890A CN 116132115 A CN116132115 A CN 116132115A
Authority
CN
China
Prior art keywords
resource
path
target
static
static resource
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211676890.9A
Other languages
English (en)
Inventor
甘一君
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202211676890.9A priority Critical patent/CN116132115A/zh
Publication of CN116132115A publication Critical patent/CN116132115A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提供一种盗链防护方法、装置、电子设备和计算机可读存储介质,该方法的一具体实施方式包括:接收资源访问请求;所述资源访问请求用于请求获取目标静态资源;判断资源访问模型中是否存在与所述目标静态资源匹配的目标前置路径信息;所述资源访问模型中存储有多个静态资源,以及各个静态资源所对应的前置路径信息;若否,对所述资源访问请求执行盗链防护操作。该方法提高了盗链防护过程的安全性,拓宽了适用范围,提高了用户体验。

Description

盗链防护方法、装置、电子设备和计算机可读存储介质
技术领域
本申请涉及信息安全领域,具体而言,涉及一种盗链防护方法、装置、电子设备和计算机可读存储介质。
背景技术
盗链是指服务器通过某些技术手段获取其他服务器上的资源,然后直接在服务器自身的网站上向用户提供其它服务器上的服务资源。这一做法对于盗链者(服务器自身)可以减轻自己的负担,但对于被盗链者(其他服务器)则增加了负担。这里,常见的被盗资源一般都是如图片、音乐、软件等静态资源。
防盗链是指作为服务器,通过某些技术手段阻止其他服务器盗用自身服务器的资源,同时不影响合法用户的正常访问。现如今WAF(也即Web Application Firewall,网站应用级入侵防御系统,简称为WAF)常见的防盗链方法主要为三大类:根据http(也即HyperText Transfer Protocol,超文本传输协议,简称为http)请求的来源地址进行防护(也即referer防护)、根据签名信息进行防护以及通过登录验证进行防护。
根据http请求的来源地址进行防护时,可以通过请求头部识别请求源,当请求源不为合法源时则判定可能存在盗链行为。但该请求在两种情况下不会被发送。其一为源页面采用了标识本地文件的统一资源定位符(uniform resource locator,简称URL);其二为当前请求的页面属于基于http请求得到的页面,而其来源页面属于基于https(HypertextTransfer Protocol Secure,简称https,也即在安全传输层上发送的http请求)请求得到的页面。
根据签名信息进行防护时,通常是在响应头部或响应体中插入动态签名,插入位置例如可以包括储存在用户本地终端上的数据(也即cookie)、资源的URL、文件名等,其生成元素例如可以包括时间戳、随机字符、用户会话数据等。当WAF接收到请求时,可以判断当前请求中的动态签名是否合法。
通过登录验证进行防护时,可以在用户访问过程中不定时进行登录认证。认证方式可以包括图形认证、用户名密码认证等。
针对于根据http请求的来源地址进行防护的防盗链方法,盗链者可以伪造referer信息来躲避防护,安全性低;针对于根据签名信息进行防护的防盗链方法,正常用户无法匿名访问,适用范围窄;针对于通过登录验证进行防护的防盗链方法,用户访问体验差。
发明内容
本申请实施例的目的在于提供一种盗链防护方法、装置、电子设备和计算机可读存储介质,用以提高盗链防护过程的安全性、拓宽适用范围以及提高用户体验。
第一方面,本申请实施例提供了一种可以应用于防火墙的盗链防护方法,该方法包括:接收资源访问请求;所述资源访问请求用于请求获取目标静态资源;判断资源访问模型中是否存在与所述目标静态资源匹配的目标前置路径信息;所述资源访问模型中存储有多个静态资源,以及各个静态资源所对应的前置路径信息;若否,对所述资源访问请求执行盗链防护操作。这样,通过目标前置路径信息判断是否为盗链行为。由于目标前置路径信息不能被伪造,因此其安全性更高;并且,由于不需要通过签名或者登录进行认证,继而正常用户也可以匿名访问,拓宽了适用范围,提高了用户体验。
可选地,所述资源访问模型预先基于以下步骤创建:获取目标防护主机上的多个初始静态资源;针对每一个所述初始静态资源,根据该初始静态资源的访问路径,生成对应的前置路径信息;判断每一个所述初始静态资源是否被真实访问,并将被真实访问过的初始静态资源确定为有效资源;存储所述有效资源以及对应的前置路径信息,得到所述资源访问模型。这样,针对于没有在该资源访问模型中查找到目标前置路径信息的资源访问请求,可以视为其存在盗链行为,安全性较高。
可选地,所述根据该初始静态资源的访问路径,生成对应的前置路径信息,包括:确定所述初始静态资源对应的上级路径、当前路径以及次级路径;所述上级路径表征所述初始静态资源所依附的上一级静态资源的路径;所述次级路径表征所述初始静态资源内嵌的下一级静态资源的路径;根据所述上级路径、当前路径以及所述次级路径,确定所述访问路径。这样,可以逐层确定出初始静态资源的上级路径、当前路径以及次级路径,得到其访问路径,确保该访问路径的准确性。
可选地,所述判断每一个所述初始静态资源是否被真实访问,包括:判断请求获取该初始静态资源的响应信息是否表征响应成功;若所述响应信息表征响应成功,则确定所述初始静态资源被真实访问。这样,通过响应信息确定初始静态资源是否被真实访问,能够确定出可被盗用的有效资源。
可选地,所述获取目标防护主机上的多个初始静态资源,包括:获取处于定义的学习周期内的多个静态资源,得到初始静态资源。这样,可以使资源访问模型的判断结果更加可信。
可选地,所述判断资源访问模型中是否存在与所述目标静态资源匹配的目标前置路径信息,包括:根据所述目标静态资源的访问路径,判断是否存在对应的前置路径信息;若是,判断所述目标静态资源是否为有效资源;若是,将所述目标静态资源所对应的前置路径信息确定为所述目标前置路径信息。这样,通过资源访问模型判断资源访问请求是否存在盗链行为时,能够得到较为准确的判断结果,提高了盗链防护过程的安全性。
可选地,在所述接收资源访问请求之后,所述盗链防护方法还包括:判断所述资源访问请求的来源是否为可信源;若是,判断所述资源访问请求所访问的主机域名是否属于预设防护域;其中,在所述主机域名属于预设防护域时,判断资源访问模型中是否存在与所述目标静态资源匹配的目标前置路径信息。这样,可以先筛选出部分存在盗链行为的资源访问请求进行防护,优化了盗链防护过程,在一定程度上也减轻了后续资源访问模型的处理压力。
第二方面,本申请实施例提供了一种可以应用于防火墙的盗链防护装置,该装置包括:接收模块,用于接收资源访问请求;所述资源访问请求用于请求获取目标静态资源;路径判断模块,用于判断资源访问模型中是否存在与所述目标静态资源匹配的目标前置路径信息;所述资源访问模型中存储有多个静态资源,以及各个静态资源所对应的前置路径信息;防护模块,用于在确定资源访问模型中不存在与所述目标静态资源匹配的目标前置路径信息时,对所述资源访问请求执行盗链防护操作。这样,通过目标前置路径信息判断是否为盗链行为。由于目标前置路径信息不能被伪造,因此其安全性更高;并且,由于不需要通过签名或者登录进行认证,继而正常用户也可以匿名访问,拓宽了适用范围,提高了用户体验。
第三方面,本申请实施例提供一种电子设备,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如上述第一方面提供的所述方法中的步骤。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时运行如上述第一方面提供的所述方法中的步骤。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种盗链防护方法的流程图;
图2为本申请实施例提供的一种盗链防护装置的结构框图;
图3为本申请实施例提供的一种用于执行盗链防护方法的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
应当说明的是,在不冲突的情况下,本申请中的实施例或者实施例中的技术特征可以进行结合。
相关技术中,在防盗链的过程中存在安全性低、适用范围窄、用户体验差的问题;为了解决该问题,本申请提供一种盗链防护方法、装置、电子设备和计算机可读存储介质;进一步地,可以通过分析资源访问请求的行为对其进行合法性判断,以达到防盗链的目的。这里的行为例如可以包括资源访问请求的访问行为。
上述盗链防护方法,通过资源访问请求的访问行为进行判断,由于该访问行为不能被伪造,因此安全性较高;并且不需要通过签名或者登录进行认证,继而正常用户也可以匿名访问,拓宽了适用范围,提高了用户体验。
在一些应用场景中,上述盗链防护方法可以应用于防火墙,也可以应用于具有防火墙功能的其他网元。也即,防火墙或者具有防火墙功能的网元通过分析资源访问请求的行为,对该资源访问请求进行合法性判断,当其不合法时,可以视为其存在盗链行为,继而可以进行防护。
以上相关技术中的方案所存在的缺陷,均是发明人在经过实践并仔细研究后得出的结果,因此,上述问题的发现过程以及下文中本发明实施例针对上述问题所提出的解决方案,都应该是发明人在本发明过程中对本发明做出的贡献。
请参考图1,其示出了本申请实施例提供的一种盗链防护方法的流程图。如图1所示,该盗链防护方法包括以下步骤101至步骤103。
步骤101,接收资源访问请求;所述资源访问请求用于请求获取目标静态资源;
在一些应用场景中,防火墙可以接收资源访问请求。该资源访问请求例如可以基于http、https等协议发送。
上述资源访问请求可以用于请求获取目标静态资源。在一些应用场景中,该资源访问请求可以由客户端基于用户指示发送,继而上述的目标静态资源例如可以包括客户端指示获取的图像资源、文字资源等静态资源。
步骤102,判断资源访问模型中是否存在与所述目标静态资源匹配的目标前置路径信息;所述资源访问模型中存储有多个静态资源,以及各个静态资源所对应的前置路径信息;
上述资源访问模型可以是预先创建好的。例如,可以预先获取多个静态资源。然后针对每一个静态资源,可以确定该静态资源的前置路径信息。这里,静态资源的前置路径信息可以视为静态资源所在位置的前一级路径信息。
在一些应用场景中,防火墙获取了多个静态资源,并确定了每一个静态资源所对应的前置路径信息之后,可以将各个静态资源与对应的前置路径信息关联存储在数据库中,该数据库也即资源访问模型。
在这些应用场景中,防火墙接收到资源访问请求之后,可以判断资源访问模型中是否存在与目标静态资源相匹配的目标前置路径信息。具体的,可以先判断资源访问模型中是否存在目标静态资源,若存在则进一步查找与之对应的前置路径信息,该前置路径信息也即目标前置路径信息。
步骤103,若否,对所述资源访问请求执行盗链防护操作。
在一些应用场景中,防火墙确定了在资源访问模型中不存在目标前置路径信息之后,可以确认该资源访问请求欲执行盗链行为,继而可以执行盗链防护操作。上述盗链防护操作例如可以包括拦截、告警等操作。
在本实施例中,上述步骤101至步骤103通过目标前置路径信息判断是否为盗链行为。由于目标前置路径信息不能被伪造,因此其安全性更高;并且,由于不需要通过签名或者登录进行认证,继而正常用户也可以匿名访问,拓宽了适用范围,提高了用户体验。
在一些可选的实现方式中,所述资源访问模型预先基于以下步骤创建:
步骤1,获取目标防护主机上的多个初始静态资源;
在一些应用场景中,在构建资源访问模型时,可以先获取目标防护主机上的多个初始静态资源。上述目标防护主机例如可以视为目标静态资源所在的服务器。上述初始静态资源可以视为目标防护主机能够提供的静态资源。应当说明的是,在构建资源访问模型时,可以获取多个目标防护主机上尽可能多的初始静态资源,以得到较为完备的资源访问模型。
步骤2,针对每一个所述初始静态资源,根据该初始静态资源的访问路径,生成对应的前置路径信息;
获取到多个初始静态资源之后,可以确定各个初始静态资源的前置路径信息。具体的,可以根据每一个初始静态资源的访问路径,生成对应的前置路径信息。
在一些可选的实现方式中,所述步骤2中的根据该初始静态资源的访问路径,生成对应的前置路径信息,包括以下子步骤:
子步骤21,确定所述初始静态资源对应的上级路径、当前路径以及次级路径;所述上级路径表征所述初始静态资源所依附的上一级静态资源的路径;所述次级路径表征所述初始静态资源内嵌的下一级静态资源的路径;
在一些应用场景中,每个资源访问请求的静态资源可能来自于其他静态资源,也可能内嵌有其他静态资源。因此,可以将内嵌该初始静态资源的上级静态资源的路径确定为上级路径,并可以将该初始静态资源内嵌的下级静态资源的路径确定为下级路径。上述当前路径也即当前的初始静态资源的路径。
子步骤22,根据所述上级路径、当前路径以及所述次级路径,确定所述访问路径。
在这些应用场景中,可以对初始静态资源所对应的上级路径、当前路径以及次级路径逐层深入,确定出初始静态资源的访问路径。
在本实现方式中,可以逐层确定出初始静态资源的上级路径、当前路径以及次级路径,得到其访问路径,确保该访问路径的准确性。
应当说明的是,针对于每一个初始静态资源,可以逐层记录该初始静态资源的路径,继而能够在确定某个初始静态资源的访问路径时,能够快速定位到相应的位置,提高处理效率。
步骤3,判断每一个所述初始静态资源是否被真实访问,并将被真实访问过的初始静态资源确定为有效资源;
在一些应用场景中,初始静态资源存在无效的情况,也即资源访问请求在请求获取某个初始静态资源时,存在服务器不能提供该初始静态资源对应的资源内容的情况。因此,可以确定每一个初始静态资源是否被真实访问,从而确定其是否为有效资源。在这些应用场景中,如果确定了某个初始静态资源能够被真实访问,则可以确定该初始静态资源为有效资源。
在一些可选的实现方式中,所述判断该初始静态资源是否被真实访问,包括:判断请求获取该初始静态资源的响应信息是否表征响应成功;若所述响应信息表征响应成功,则确定所述初始静态资源被真实访问。
在一些应用场景中,服务器在接收到资源访问请求时,可以作出响应。如果该响应信息表征响应成功,则可以确定该资源访问请求所请求的初始静态资源能够被正常访问。
例如,服务器中存在某个资源访问请求所请求的初始静态资源时,其可以返回表征自身存在该初始静态资源,并且可以成功发送该初始静态资源的状态信息。继而,若接收到该状态信息,则可以确定该初始静态资源能够被真实访问。上述的状态信息例如可以包括数字、字符或者其结合等。
在这些应用场景中,例如可以利用旁路监控或串联监控的方式,根据服务器的端口号、域名与可信任源过滤与服务器进行交互的数据报文。继而可以从这些数据报文中得到上述的响应信息。
在本实现方式中,通过响应信息确定初始静态资源是否被真实访问,能够确定出可被盗用的有效资源。
步骤4,存储所述有效资源以及对应的前置路径信息,得到所述资源访问模型。
在一些应用场景中,可以关联存储有效资源以及与之对应的前置路径信息,得到资源访问模型。这样,在接收到目标静态资源时,可以快速准确地查找到对应的目标前置路径信息。
在本实现方式中,通过上述步骤1至步骤4可以构建出资源访问模型,针对于没有在该资源访问模型中查找到目标前置路径信息的资源访问请求,可以视为其存在盗链行为,安全性较高。
应当说明的是,上述资源访问模型的构建过程可以在防火墙上完成,也可以在其他服务端上完成。这里的其他服务端例如可以包括代理服务器,该代理服务器可以基于上述步骤1至步骤4构建出资源访问模型之后,将该资源访问模型应用于防火墙上。
在一些可选的实现方式中,所述获取目标防护主机上的多个初始静态资源,包括:获取处于定义的学习周期内的多个静态资源,得到初始静态资源。
在一些应用场景中,为了使资源访问模型的判断结果更加可信,可以将业务高峰期定义为学习周期。该学习周期例如可以包括3天、5天等。在这些应用场景中,可以预定义一个或多个学习周期,以能够提供更多贴切的数据,得到较为完备的资源访问模型。
在一些应用场景中,可以通过建表的方式体现上述资源访问模型的构建过程。例如,在获取了多个初始静态资源之后,可以构建初始资源框架表,该初始资源框架表可以记录初始静态资源对应的诸如资源类型、资源名称、上级静态资源、下级静态资源、统一定位标识符等信息。具体的,可以将每一个初始静态资源与预设库表中的静态资源进行对比,判断是否存在与预设库表匹配的上级静态资源、下级静态资源、统一定位标识符等。如果存在,则可以进一步基于其响应信息获取该初始静态资源的路径信息。然后可以基于每一个初始静态资源的资源名称、资源类型以及路径信息构建出该初始资源框架表。
构建出初始资源框架表之后,可以针对于每一个初始静态资源,根据该初始静态资源的访问路径,生成对应的前置路径信息,得到资源访问跟
踪表。例如,可以遍历初始资源框架表中的资源名称、资源类型以及路径5信息,并可以做去重处理,将处理后的初始静态资源的相关信息进行整理,
构建资源访问跟踪表。
构建出资源访问跟踪表之后,可以判断每一个所述初始静态资源是否被真实访问,并将被真实访问过的初始静态资源确定为有效资源,继而得到有效资源访问表。
0继而,将初始资源框架表、资源访问跟踪表以及有效资源表进行整合,
即可得到资源访问模型。
在一些可选的实现方式中,上述步骤102中所述的判断资源访问模型中是否存在与所述目标静态资源匹配的目标前置路径信息,包括以下子步骤:
子步骤1021,根据所述目标静态资源的访问路径,判断是否存在对应的前置路径信息;
子步骤1022,若根据目标静态资源的访问路径确定存在与之对应的前置路径信息时,判断所述目标静态资源是否为有效资源;
子步骤1023,若确定出目标静态资源为有效资源,将所述目标静态资0源所对应的前置路径信息确定为所述目标前置路径信息。
在利用上述步骤1至步骤4构建出资源访问模型之后,防火墙可以将其用于判断资源访问请求是否存在盗链行为。继而,上述子步骤1021至子步骤1023的判断过程可以与上述步骤1至步骤4的相关部分相同或相似,此处不赘述。
在本实现方式中,通过资源访问模型判断资源访问请求是否存在盗链行为时,能够得到较为准确的判断结果,提高了盗链防护过程的安全性。
在一些可选的实现方式中,在所述接收资源访问请求之后,所述盗链防护方法还包括:判断所述资源访问请求的来源是否为可信源;若是,判断所述资源访问请求所访问的主机域名是否属于预设防护域;其中,在所
述主机域名属于预设防护域时,判断资源访问模型中是否存在与所述目标5静态资源匹配的目标前置路径信息。
在一些应用场景中,防火墙在接收到资源访问请求之后,可以判断其来源是否为可信源。例如,可以判断发送该资源访问请求的客户端所处的互联网协议地址(InternetProtocol Address,简称IP地址)是否在预先设置的可信名单内。若在,可以视为该资源访问请求的来源为可信源。
进一步的,防火墙确认了资源访问请求为可信源发送的之后,可以继续判断该资源访问请求所访问的主机域名是否属于预设防护域。例如,可以预先设置IP地址形式或者域名形式的防护域名单。这样,在接收到资源访问请求之后,可以判断其所访问的主机域名是否在预设的防护域名单内,若在,可以继续执行上述的步骤101。
在本实现方式中,通过优先对资源访问请求的来源以及所访问的主机域名进行判断,可以先筛选出部分存在盗链行为的资源访问请求进行防护,优化了盗链防护过程,在一定程度上也减轻了后续资源访问模型的处理压力。
请参考图2,其示出了本申请实施例提供的一种盗链防护装置的结构框0图,该盗链防护装置可以是电子设备上的模块、程序段或代码。应理解,该装置与上述图1方法实施例对应,能够执行图1方法实施例涉及的各个步骤,该装置具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
可选地,上述盗链防护装置包括接收模块201、路径判断模块202以及5防护模块203。其中,接收模块201,用于接收资源访问请求;所述资源访问请求用于请求获取目标静态资源;路径判断模块202,用于判断资源访问模型中是否存在与所述目标静态资源匹配的目标前置路径信息;所述资源访问模型中存储有多个静态资源,以及各个静态资源所对应的前置路径信息;防护模块203,用于在确定资源访问模型中不存在与所述目标静态资源匹配的目标前置路径信息时,对所述资源访问请求执行盗链防护操作。
可选地,所述资源访问模型预先基于以下步骤创建:获取目标防护主机上的多个初始静态资源;针对每一个所述初始静态资源,根据该初始静态资源的访问路径,生成对应的前置路径信息;判断每一个所述初始静态资源是否被真实访问,并将被真实访问过的初始静态资源确定为有效资源;存储所述有效资源以及对应的前置路径信息,得到所述资源访问模型。
可选地,所述根据该初始静态资源的访问路径,生成对应的前置路径信息,包括:确定所述初始静态资源对应的上级路径、当前路径以及次级路径;所述上级路径表征所述初始静态资源所依附的上一级静态资源的路径;所述次级路径表征所述初始静态资源内嵌的下一级静态资源的路径;根据所述上级路径、当前路径以及所述次级路径,确定所述访问路径。
可选地,所述判断每一个所述初始静态资源是否被真实访问,包括:判断请求获取该初始静态资源的响应信息是否表征响应成功;若所述响应信息表征响应成功,则确定所述初始静态资源被真实访问。
可选地,所述获取目标防护主机上的多个初始静态资源,包括:获取处于定义的学习周期内的多个静态资源,得到初始静态资源。
可选地,所述路径判断模块202进一步用于:根据所述目标静态资源的访问路径,判断是否存在对应的前置路径信息;若是,判断所述目标静态资源是否为有效资源;若是,将所述目标静态资源所对应的前置路径信息确定为所述目标前置路径信息。
可选地,在所述接收资源访问请求之后,所述盗链防护装置还包括判断模块,该判断模块用于:判断所述资源访问请求的来源是否为可信源;若是,判断所述资源访问请求所访问的主机域名是否属于预设防护域;其中,在所述主机域名属于预设防护域时,判断资源访问模型中是否存在与所述目标静态资源匹配的目标前置路径信息。
需要说明的是,本领域技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法实施例中的对5应过程,在此不再重复描述。
请参照图3,图3为本申请实施例提供的一种用于执行盗链防护方法的电子设备的结构示意图,所述电子设备可以包括:至少一个处理器301,例如CPU,至少一个通信接口302,至少一个存储器303和至少一个通信总线304。其中,通信总线304用于实现这些组件直接的连接通信。其中,本0申请实施例中设备的通信接口302用于与其他节点设备进行信令或数据的通信。存储器303可以是高速RAM存储器,也可以是非易失性的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器303可选的还可以是至少一个位于远离前述处理器的存储装置。存储器303中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器301执行时,电5子设备可以执行上述图1所示方法过程。
可以理解,图3所示的结构仅为示意,所述电子设备还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,0所述计算机程序被处理器执行时,可以执行如图1所示方法实施例中电子设备所执行的方法过程。
本申请实施例提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实5施例所提供的方法,例如,该方法可以包括:接收资源访问请求;所述资源访问请求用于请求获取目标静态资源;判断资源访问模型中是否存在与所述目标静态资源匹配的目标前置路径信息;所述资源访问模型中存储有多个静态资源,以及各个静态资源所对应的前置路径信息;若否,对所述资源访问请求执行盗链防护操作。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种盗链防护方法,其特征在于,应用于防火墙,该方法包括:
接收资源访问请求;所述资源访问请求用于请求获取目标静态资源;
判断资源访问模型中是否存在与所述目标静态资源匹配的目标前置路径信息;所述资源访问模型中存储有多个静态资源,以及各个静态资源所对应的前置路径信息;
若否,对所述资源访问请求执行盗链防护操作。
2.根据权利要求1所述的方法,其特征在于,所述资源访问模型预先基于以下步骤创建:
获取目标防护主机上的多个初始静态资源;
针对每一个所述初始静态资源,根据该初始静态资源的访问路径,生成对应的前置路径信息;
判断每一个所述初始静态资源是否被真实访问,并将被真实访问过的初始静态资源确定为有效资源;
存储所述有效资源以及对应的前置路径信息,得到所述资源访问模型。
3.根据权利要求2所述的方法,其特征在于,所述根据该初始静态资源的访问路径,生成对应的前置路径信息,包括:
确定所述初始静态资源对应的上级路径、当前路径以及次级路径;所述上级路径表征所述初始静态资源所依附的上一级静态资源的路径;所述次级路径表征所述初始静态资源内嵌的下一级静态资源的路径;
根据所述上级路径、当前路径以及所述次级路径,确定所述访问路径。
4.根据权利要求2所述的方法,其特征在于,所述判断每一个所述初始静态资源是否被真实访问,包括:
判断请求获取该初始静态资源的响应信息是否表征响应成功;
若所述响应信息表征响应成功,则确定所述初始静态资源被真实访问。
5.根据权利要求2所述的方法,其特征在于,所述获取目标防护主机上的多个初始静态资源,包括:
获取处于定义的学习周期内的多个静态资源,得到初始静态资源。
6.根据权利要求2-5任一项所述的方法,其特征在于,所述判断资源访问模型中是否存在与所述目标静态资源匹配的目标前置路径信息,包括:
根据所述目标静态资源的访问路径,判断是否存在对应的前置路径信息;
若是,判断所述目标静态资源是否为有效资源;
若是,将所述目标静态资源所对应的前置路径信息确定为所述目标前置路径信息。
7.根据权利要求1-5任一项所述的方法,其特征在于,在所述接收资源访问请求之后,所述方法还包括:
判断所述资源访问请求的来源是否为可信源;
若是,判断所述资源访问请求所访问的主机域名是否属于预设防护域;
其中,在所述主机域名属于预设防护域时,判断资源访问模型中是否存在与所述目标静态资源匹配的目标前置路径信息。
8.一种盗链防护装置,其特征在于,应用于防火墙,该装置包括:
接收模块,用于接收资源访问请求;所述资源访问请求用于请求获取目标静态资源;
路径判断模块,用于判断资源访问模型中是否存在与所述目标静态资源匹配的目标前置路径信息;所述资源访问模型中存储有多个静态资源,以及各个静态资源所对应的前置路径信息;
防护模块,用于在确定资源访问模型中不存在与所述目标静态资源匹配的目标前置路径信息时,对所述资源访问请求执行盗链防护操作。
9.一种电子设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-7任一所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时运行如权利要求1-7任一所述的方法。
CN202211676890.9A 2022-12-26 2022-12-26 盗链防护方法、装置、电子设备和计算机可读存储介质 Pending CN116132115A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211676890.9A CN116132115A (zh) 2022-12-26 2022-12-26 盗链防护方法、装置、电子设备和计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211676890.9A CN116132115A (zh) 2022-12-26 2022-12-26 盗链防护方法、装置、电子设备和计算机可读存储介质

Publications (1)

Publication Number Publication Date
CN116132115A true CN116132115A (zh) 2023-05-16

Family

ID=86303829

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211676890.9A Pending CN116132115A (zh) 2022-12-26 2022-12-26 盗链防护方法、装置、电子设备和计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN116132115A (zh)

Similar Documents

Publication Publication Date Title
Alaca et al. Device fingerprinting for augmenting web authentication: classification and analysis of methods
CN105939326B (zh) 处理报文的方法及装置
US9398047B2 (en) Methods and systems for phishing detection
US9282114B1 (en) Generation of alerts in an event management system based upon risk
CN107077410B (zh) 分析客户端应用行为以检测异常并且阻止访问
EP2673708B1 (en) DISTINGUISH VALID USERS FROM BOTS, OCRs AND THIRD PARTY SOLVERS WHEN PRESENTING CAPTCHA
US20150271202A1 (en) Method, device, and system for detecting link layer hijacking, user equipment, and analyzing server
CN109194671B (zh) 一种异常访问行为的识别方法及服务器
CN107046544B (zh) 一种识别对网站的非法访问请求的方法和装置
US20110283174A1 (en) Optimizing Security Seals on Web Pages
US11770385B2 (en) Systems and methods for malicious client detection through property analysis
CN111786966A (zh) 浏览网页的方法和装置
CN111641658A (zh) 一种请求拦截方法、装置、设备及可读存储介质
CN107612926B (zh) 一种基于客户端识别的一句话WebShell拦截方法
CN110493225B (zh) 一种请求传输方法、装置、设备及可读存储介质
CN110958239B (zh) 访问请求的校验方法和装置、存储介质及电子装置
CN111079138A (zh) 异常访问检测方法、装置、电子设备及可读存储介质
CN114616795A (zh) 用于防止重试或重放攻击的安全机制
CN111988275A (zh) 一种单点登录方法、单点登录服务器集群及电子设备
CN116324766A (zh) 通过浏览简档优化抓取请求
CN113496024B (zh) 一种Web页面的登录方法、装置、存储介质及电子设备
CN115118504B (zh) 知识库更新方法、装置、电子设备及存储介质
CN111371811A (zh) 一种资源调用方法、资源调用装置、客户端及业务服务器
CN116132115A (zh) 盗链防护方法、装置、电子设备和计算机可读存储介质
CN113609425A (zh) 网页数据处理方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination