本發(fā)明涉及網(wǎng)絡安全技術領域，具體是涉及一種網(wǎng)站防攻擊驗證系統(tǒng)及方法。

背景技術：

目前視頻直播網(wǎng)站在日常執(zhí)行各種業(yè)務時，需要保存各種敏感信息，例如用戶個人身份信息、信用卡支付數(shù)據(jù)和網(wǎng)站商業(yè)信息，因此極易成為不法用戶的攻擊目標。為了保護用戶和網(wǎng)站的利益，需要對請求連接的客戶端進行驗證以防御不法用戶的各種非法請求或者網(wǎng)絡攻擊，客戶端一般指瀏覽器或者app應用。但是互聯(lián)網(wǎng)網(wǎng)站，尤其是視頻直播網(wǎng)站的用戶眾多，訪問量巨大，如何既保證合法用戶對網(wǎng)站的訪問和維持網(wǎng)站的正常運行，又能夠確保合法用戶和網(wǎng)站的安全，已經(jīng)成為急需解決的問題。

技術實現(xiàn)要素：

針對現(xiàn)有技術中存在的缺陷，本發(fā)明的主要目的在于提供一種網(wǎng)站防攻擊驗證系統(tǒng)，本發(fā)明的另一目的在于提供一種網(wǎng)站防攻擊驗證方法，采用驗證鑒權密碼的方式，既能夠保證安全用戶的請求不受影響，也能有效地攔截非安全用戶的連接請求，防范對網(wǎng)站的非法請求和網(wǎng)絡攻擊，確保網(wǎng)站安全運行。

本發(fā)明提供一種網(wǎng)站防攻擊驗證系統(tǒng)，包括：

一級檢測模塊，用于使用鑒權密碼檢測用戶是否為系統(tǒng)認定過的安全用戶；

二級檢測模塊，用于通過用戶請求訪問的統(tǒng)一資源定位器 URL、用戶訪問時間和用戶IP判斷一級檢測模塊認定的非安全用戶的用戶行為是否為網(wǎng)絡攻擊。

在上述技術方案的基礎上，所述鑒權密碼包括第一鑒權密碼以及與所述第一鑒權密碼配對的第二鑒權密碼；所述系統(tǒng)還包括密碼生成模塊，所述密碼生成模塊用于向所述二級檢測模塊認定的用戶行為屬于網(wǎng)絡攻擊的用戶發(fā)送驗證碼，將驗證碼加密生成第一鑒權密碼，并判斷該用戶輸入的驗證碼是否正確，驗證碼正確后，生成與第一鑒權密碼配對的第二鑒權密碼，并將所述第一鑒權密碼和第二鑒權密碼發(fā)送到輸入正確的用戶瀏覽器的cookie中，并將所述第一鑒權密碼發(fā)送到輸入錯誤的用戶瀏覽器的cookie中，以及將驗證碼錯誤信息發(fā)送給輸入錯誤的用戶。

在上述技術方案的基礎上，所述第二鑒權密碼包括所述驗證碼和密鑰。

在上述技術方案的基礎上，所述密碼生成模塊使用HMACMD5加密算法將驗證碼加密生成所述第一鑒權密碼，并將驗證碼和密鑰加密生成所述第二鑒權密碼。

在上述技術方案的基礎上，所述系統(tǒng)還包括存儲模塊，所述存儲模塊用于保存所述驗證碼、密鑰、鑒權密碼、以及監(jiān)控表，所述監(jiān)控表記錄需監(jiān)控的URL、需監(jiān)控時間段和需監(jiān)控用戶IP。

在上述技術方案的基礎上，所述需監(jiān)控時間段記錄每個URL需監(jiān)控的時間段。

在上述技術方案的基礎上，二級檢測模塊將通過大數(shù)據(jù)分析得到的需監(jiān)控的URL和需監(jiān)控用戶IP存入所述監(jiān)控表中。

本發(fā)明還提供一種網(wǎng)站防攻擊驗證方法，包括以下步驟：

S1.一級檢測模塊使用鑒權密碼檢測用戶是否為系統(tǒng)認定過的 安全用戶，所述鑒權密碼包括第一鑒權密碼以及與所述第一鑒權密碼配對的第二鑒權密碼，若是，進入S4；若否，進入S2；

S2.二級檢測模塊通過用戶請求訪問的統(tǒng)一資源定位器URL、用戶訪問時間和用戶IP判斷一級檢測模塊認定的非安全用戶的用戶行為是否為網(wǎng)絡攻擊；若否，進入S6；若是，進入S3；

S3.密碼生成模塊向所述二級檢測模塊認定的用戶行為屬于網(wǎng)絡攻擊的用戶發(fā)送驗證碼，將驗證碼加密生成第一鑒權密碼，并判斷該用戶輸入的驗證碼是否正確，若否，進入S4；若是，進入S5；

S4.將所述第一鑒權密碼和驗證碼錯誤信息發(fā)送給輸入錯誤的用戶，結(jié)束；

S5.生成與所述第一鑒權密碼配對的第二鑒權密碼，將所述第一鑒權密碼和第二鑒權密碼發(fā)送到輸入正確的用戶瀏覽器的cookie中；

S6.顯示用戶請求的內(nèi)容，結(jié)束。

在上述技術方案的基礎上，步驟S1具體包括：

一級檢測模塊接收用戶發(fā)送的請求，并檢測用戶瀏覽器的cookie中是否有鑒權密碼，以及鑒權密碼是否配對，若用戶瀏覽器的cookie中有鑒權密碼且配對，則判斷該用戶為系統(tǒng)認定過的安全用戶。

在上述技術方案的基礎上，步驟S2具體包括：

二級檢測模塊依次檢測用戶請求訪問的URL、用戶訪問時間和用戶IP是否為需監(jiān)控的URL、需監(jiān)控時間段和需監(jiān)控用戶IP，若二級檢測模塊的檢測結(jié)果均為是，則判斷該用戶行為為網(wǎng)絡攻擊。

與現(xiàn)有技術相比，本發(fā)明的優(yōu)點如下：

(1)本發(fā)明包括一級檢測模塊和二級檢測模塊，一級檢測模塊 用于使用鑒權密碼檢測用戶是否為系統(tǒng)認定過的安全用戶，二級檢測模塊用于通過用戶請求訪問的統(tǒng)一資源定位器URL、用戶訪問時間和用戶IP判斷一級檢測模塊認定的非安全用戶的用戶行為是否為網(wǎng)絡攻擊。因此，既能夠保證安全用戶的請求不受影響，也能有效地攔截非安全用戶的連接請求，防范對網(wǎng)站的非法請求和網(wǎng)絡攻擊，確保網(wǎng)站安全運行。

(2)本發(fā)明包括密碼生成模塊，密碼生成模塊用于向二級檢測模塊認定的用戶行為屬于網(wǎng)絡攻擊的用戶發(fā)送驗證碼，將驗證碼加密生成第一鑒權密碼，并判斷該用戶輸入的驗證碼是否正確，驗證碼正確后，生成與第一鑒權密碼配對的第二鑒權密碼，并將第一鑒權密碼和第二鑒權密碼發(fā)送到輸入正確的用戶瀏覽器的cookie中，完成對安全用戶的認定。以及將第一鑒權密碼發(fā)送到輸入錯誤的用戶瀏覽器的cookie中，以及將驗證碼錯誤信息發(fā)送給輸入錯誤的用戶，對網(wǎng)絡攻擊用戶的連接請求進行攔截。

(3)本發(fā)明中的密碼生成模塊使用HMACMD5加密算法將驗證碼加密生成鑒權密碼，鑒權密碼包括第一鑒權密碼和與第一鑒權密碼配對的第二鑒權密碼，其中，第一鑒權密碼包括驗證碼，第二鑒權密碼包括驗證碼和密鑰。因此，鑒權密碼安全性高，能夠確保網(wǎng)站的安全運行。

(4)本發(fā)明中的二級檢測模塊將通過大數(shù)據(jù)分析得到的需監(jiān)控的URL和用戶IP存入監(jiān)控表中。監(jiān)控表記錄需監(jiān)控的URL、需監(jiān)控時間段和需監(jiān)控用戶IP，需監(jiān)控時間段記錄每個URL需監(jiān)控的時間段，因此，能夠根據(jù)實際情況采取靈活應對措施，確保對需監(jiān)控的URL、需監(jiān)控時間段和用戶IP的合理管控。

附圖說明

圖1是本發(fā)明實施例網(wǎng)站防攻擊驗證系統(tǒng)框圖；

圖2是本發(fā)明實施例網(wǎng)站防攻擊驗證方法流程圖。

附圖標記：

一級檢測模塊1，二級檢測模塊2，密碼生成模塊3，存儲模塊4。

具體實施方式

術語說明：

Lua為嵌入服務器的腳本語言。

Nginx是一款輕量級的Web服務器、反向代理服務器及電子郵件(IMAP/POP3)代理服務器。

驗證碼是用戶識別圖片進行行為驗證。

TCP(Transmission Control Protocol傳輸控制協(xié)議)。

MD5(Message Digest Algorithm消息摘要算法第五版)為計算機安全領域廣泛使用的一種散列函數(shù)，用以提供消息的完整性保護。

HMAC(Hash-based Message Authentication Code)是密鑰相關的哈希運算消息認證碼，HMAC運算利用哈希算法，以一個密鑰和一個消息為輸入，生成一個消息摘要作為輸出。

HMACMD5是從MD5哈希函數(shù)構造的一種鍵控哈希算法，被用作基于哈希的消息驗證代碼。此HMAC進程將密鑰與消息數(shù)據(jù)混合，使用哈希函數(shù)對混合結(jié)果進行哈希計算，將所得哈希值與該密鑰混合，然后再次應用哈希函數(shù)。輸出的哈希值長度為128位。

下面結(jié)合附圖及具體實施例對本發(fā)明作進一步的詳細描述。

參見圖1所示，本發(fā)明實施例提供一種網(wǎng)站防攻擊驗證系統(tǒng)，包括一級檢測模塊1、二級檢測模塊2、密碼生成模塊3和存儲模塊4。該系統(tǒng)保存在服務器端，其中：

一級檢測模塊1，用于使用鑒權密碼檢測用戶是否為系統(tǒng)認定過的安全用戶；

二級檢測模塊2，用于通過用戶請求訪問的統(tǒng)一資源定位器URL、用戶訪問時間和用戶IP判斷一級檢測模塊1認定的非安全用戶的用戶行為是否為網(wǎng)絡攻擊。

本發(fā)明包括一級檢測模塊1和二級檢測模塊2，一級檢測模塊1用于使用鑒權密碼檢測用戶是否為系統(tǒng)認定過的安全用戶，二級檢測模塊2用于通過用戶請求訪問的統(tǒng)一資源定位器URL、用戶訪問時間和用戶IP判斷一級檢測模塊認定的非安全用戶的用戶行為是否為網(wǎng)絡攻擊。因此，既能夠保證安全用戶的請求不受影響，也能有效地攔截非安全用戶的連接請求，防范對網(wǎng)站的非法請求和網(wǎng)絡攻擊，確保網(wǎng)站安全運行。

鑒權密碼包括第一鑒權密碼以及與第一鑒權密碼配對的第二鑒權密碼。密碼生成模塊3用于向二級檢測模塊2認定的用戶行為屬于網(wǎng)絡攻擊的用戶發(fā)送驗證碼，將驗證碼加密生成第一鑒權密碼，并判斷該用戶輸入的驗證碼是否正確，驗證碼正確后，生成第二鑒權密碼，并將第一鑒權密碼和第二鑒權密碼發(fā)送到輸入正確的用戶瀏覽器的cookie中，以及將第一鑒權密碼發(fā)送到輸入正確的用戶瀏覽器的cookie中，以及將驗證碼錯誤信息發(fā)送給輸入錯誤的用戶。

在高并發(fā)量請求時，如果將用于驗證用戶的鑒權密碼存儲在服務器端將產(chǎn)生的大量TCP連接，為了避免服務器端性能下降，因此本發(fā)明將用于驗證用戶的鑒權密碼存儲在用戶瀏覽器的cookie中。

本發(fā)明中的密碼生成模塊3將第一鑒權密碼和與第一鑒權密碼配對的第二鑒權密碼發(fā)送到輸入正確的用戶瀏覽器的cookie中，完成對安全用戶的認定，并將第一鑒權密碼發(fā)送到輸入錯誤的用戶瀏 覽器的cookie中，以及將驗證碼錯誤信息發(fā)送給輸入錯誤的用戶，對網(wǎng)絡攻擊用戶的連接請求進行攔截。

第二鑒權密碼包括驗證碼和密鑰。

密碼生成模塊3使用HMACMD5加密算法將驗證碼加密生成第一鑒權密碼，并將驗證碼和密鑰加密生成第二鑒權密碼。

本發(fā)明中的密碼生成模塊3使用HMACMD5加密算法將驗證碼加密生成鑒權密碼，鑒權密碼包括第一鑒權密碼和與第一鑒權密碼配對的第二鑒權密碼，其中，第一鑒權密碼包括驗證碼，第二鑒權密碼包括驗證碼和密鑰。因此，鑒權密碼安全性高，能夠確保網(wǎng)站的安全運行。

存儲模塊4用于保存驗證碼、密鑰、鑒權密碼、以及監(jiān)控表，監(jiān)控表記錄需監(jiān)控的URL、需監(jiān)控時間段和需監(jiān)控用戶IP。

需監(jiān)控時間段記錄每個URL需監(jiān)控的時間段。

二級檢測模塊2將通過大數(shù)據(jù)分析得到的需監(jiān)控的URL和需監(jiān)控用戶IP存入監(jiān)控表中。

本發(fā)明中的二級檢測模塊2將通過大數(shù)據(jù)分析得到的需監(jiān)控的URL和用戶IP存入監(jiān)控表中。監(jiān)控表記錄需監(jiān)控的URL、需監(jiān)控時間段和需監(jiān)控用戶IP，需監(jiān)控時間段記錄每個URL需監(jiān)控的時間段，因此，能夠根據(jù)實際情況采取靈活應對措施，確保對需監(jiān)控的URL、需監(jiān)控時間段和用戶IP的合理管控。

一級檢測模塊1、二級檢測模塊2和密碼生成模塊3可以使用lua腳本語言在基于Nginx服務器的服務器端上實現(xiàn)上述功能。

參見圖2所示，本發(fā)明實施例還提供一種網(wǎng)站防攻擊驗證方法，包括以下步驟：

S1.一級檢測模塊使用鑒權密碼檢測用戶是否為系統(tǒng)認定過的 安全用戶，鑒權密碼包括第一鑒權密碼以及與第一鑒權密碼配對的第二鑒權密碼，若是，進入S4；若否，進入S2。

步驟S1具體包括：

一級檢測模塊接收用戶發(fā)送的請求，并檢測用戶瀏覽器的cookie中是否有鑒權密碼，以及鑒權密碼是否配對，若用戶瀏覽器的cookie中有鑒權密碼且配對，則判斷該用戶為系統(tǒng)認定過的安全用戶。

S2.二級檢測模塊通過用戶請求訪問的統(tǒng)一資源定位器URL、用戶訪問時間和用戶IP判斷一級檢測模塊認定的非安全用戶的用戶行為是否為網(wǎng)絡攻擊；若否，進入S6；若是，進入S3。

步驟S2具體包括：

二級檢測模塊2依次檢測用戶請求訪問的URL、用戶訪問時間和用戶IP是否為需監(jiān)控的URL、需監(jiān)控時間段和需監(jiān)控用戶IP，若二級檢測模塊2的檢測結(jié)果均為是，則判斷該用戶行為為網(wǎng)絡攻擊。

S3.密碼生成模塊3向二級檢測模塊2認定的用戶行為屬于網(wǎng)絡攻擊的用戶發(fā)送驗證碼，將驗證碼加密生成第一鑒權密碼，并判斷該用戶輸入的驗證碼是否正確，若否，進入S4；若是，進入S5。

S4.將第一鑒權密碼和驗證碼錯誤信息發(fā)送給輸入錯誤的用戶，結(jié)束。

S5.生成與第一鑒權密碼配對的第二鑒權密碼，將第一鑒權密碼和第二鑒權密碼發(fā)送到輸入正確的用戶瀏覽器的cookie中。

S6.顯示用戶請求的內(nèi)容，結(jié)束。

本發(fā)明不局限于上述實施方式，對于本技術領域的普通技術人員來說，在不脫離本發(fā)明原理的前提下，還可以做出若干改進和潤飾， 這些改進和潤飾也視為本發(fā)明的保護范圍之內(nèi)。本說明書中未作詳細描述的內(nèi)容屬于本領域?qū)I(yè)技術人員公知的現(xiàn)有技術。