一種有效防止網(wǎng)絡(luò)攻擊的web網(wǎng)站鏈接動態(tài)隱藏方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種WEB網(wǎng)站動態(tài)變形加密方法及裝置,具體的說是以加密技術(shù)和腳本技術(shù)為基礎(chǔ)來對WEB網(wǎng)站地址的動態(tài)化處理。
【背景技術(shù)】
[0002]目前,金融和互聯(lián)網(wǎng)等領(lǐng)域通常是依賴WEB網(wǎng)站來對互聯(lián)網(wǎng)用戶或者是移動智能終端用戶提供服務(wù),因此,WEB網(wǎng)站的安全顯得十分重要。一旦WEB網(wǎng)站被攻擊,眾多用戶將因此而遭受巨大的損失,而現(xiàn)有的WEB網(wǎng)站,由于存在以下諸多技術(shù)上的缺陷,導(dǎo)致容易遭受來自各方面的攻擊:
[0003]A、爬蟲攻擊:通過自動化的工具和腳本,獲取整個WEB網(wǎng)站的目錄和內(nèi)容,并且可以自動提交各種數(shù)據(jù)。目前各種搶票、刷號軟件,就是通過對網(wǎng)站采取爬蟲攻擊,實現(xiàn)各種商業(yè)目的,例如,春運搶票,就是其中一種情形。
[0004]B、撞庫攻擊:黑客根據(jù)互聯(lián)網(wǎng)上獲得的或者泄漏的用戶賬戶和密碼信息,通過腳本工具,自動化的向每個WEB服務(wù)器提交用戶登陸請求,通過大量的登錄嘗試,直至獲取可以登陸的WEB網(wǎng)站的用戶名和密碼,然后盜取用戶的個人資料。
[0005]C、惡意軟件:特別是在金融領(lǐng)域,各種有針對性的惡意軟件可以產(chǎn)生虛假頁面冒充真實WEB網(wǎng)站,誘騙用戶輸入真實的用戶名和密碼等敏感信息,或者是通過惡意軟件截獲用戶與WEB網(wǎng)站之間的交互數(shù)據(jù),獲取用戶名和密碼等敏感信息,從而實現(xiàn)盜號的目的。
[0006]為了解決以上所述對于WEB網(wǎng)站的各類攻擊,拒絕各種自動化工具和腳本的訪問請求和撞庫攻擊,現(xiàn)有技術(shù)通常是采用驗證碼技術(shù)作為輔助手段,來阻止各種自動化工具和腳本。也就是,用戶在訪問網(wǎng)站或者在網(wǎng)站上提交數(shù)據(jù)時,必須按網(wǎng)頁上的要求正確填寫驗證碼圖片中所顯示的內(nèi)容,才能夠與網(wǎng)站進(jìn)行下一步的互動,實現(xiàn)正常訪問。例如,在12306網(wǎng)站上預(yù)訂高鐵票時,需要根據(jù)要求輸入不同的圖片。
[0007]但由于互聯(lián)網(wǎng)的用戶來源于各個不同的國家和區(qū)域,有著不同的教育和文化背景,為了讓不同的用戶都能理解問題并按要求填寫正確的驗證碼?,F(xiàn)有的驗證碼主要是提供各種基于數(shù)字和英文字母的組合,來防范自動化程序和腳本撞庫或攻擊的目的,同時也使不同用戶能正常識別并輸入驗證碼圖片上的內(nèi)容。
[0008]但采用驗證碼的方法,并不能有效解決對于WEB網(wǎng)站的各類攻擊,主要是驗證碼技術(shù)存在著以下的不足:
[0009]第一,隨著圖片識別技術(shù)的發(fā)展,驗證碼圖片的內(nèi)容很容易被程序所識別,并且識別的準(zhǔn)確率達(dá)到90%以上。這便造成采用驗證碼對于網(wǎng)站的爬蟲攻擊起不到防范作用,無法起到杜絕搶票、刷號的問題。
[0010]第二,如果設(shè)置的驗證碼圖片過于復(fù)雜,便會導(dǎo)致用戶體驗感下降,增加用戶與網(wǎng)站的互動難度,導(dǎo)致用戶有可能需要多次輸入驗證碼中的內(nèi)容才能登陸到WEB網(wǎng)站。
[0011]而對于惡意軟件的攻擊,根據(jù)發(fā)明人多年來的統(tǒng)計,各種殺毒軟件對惡意軟件的查殺率不到30%,惡意軟件越來越智能化和精細(xì)化,很多惡意軟件只會在用戶訪問WEB網(wǎng)站時,并且滿足特定的條件下才會被觸發(fā),導(dǎo)致用戶的敏感信息泄漏。
[0012]因此,尋找應(yīng)對各類對于WEB網(wǎng)站的攻擊的有效方法,一直以來都是行業(yè)的難題。
【發(fā)明內(nèi)容】
[0013]本發(fā)明目的在于克服現(xiàn)有技術(shù)的不足,提供一種有效防止網(wǎng)絡(luò)攻擊的WEB網(wǎng)站鏈接動態(tài)隱藏方法,該方法以加解密和腳本技術(shù)為基礎(chǔ),對瀏覽器端和服務(wù)端相呼應(yīng)的統(tǒng)一資源標(biāo)識符URI進(jìn)行動態(tài)加密隱形,使每一個用戶在訪問同一個網(wǎng)站的訪問請求時,看到的網(wǎng)站的結(jié)構(gòu)和路徑都是不一樣的,但是其獲取到的網(wǎng)站的內(nèi)容是完全一樣的。
[0014]本發(fā)明解決所述技術(shù)問題所采用的技術(shù)方案如下:
[0015]一種有效防止網(wǎng)絡(luò)攻擊的WEB網(wǎng)站鏈接動態(tài)隱藏方法,包括以下步驟:
[0016]I)瀏覽器端向服務(wù)器端發(fā)送連接請求;
[0017]2)服務(wù)器端產(chǎn)生回應(yīng)并驗證是否需要對響應(yīng)的URI進(jìn)行加密,若否,則將響應(yīng)的URI直接發(fā)送給瀏覽器端;否則,將服務(wù)器端響應(yīng)瀏覽器端請求的URI進(jìn)行第一次加密,用加密后的URI替換原來的URI并連同用于對瀏覽器端加密的腳本文件一起發(fā)送給瀏覽器端;
[0018]3)瀏覽器端與服務(wù)器端建立連接并再次發(fā)出訪問請求,瀏覽器端中的腳步文件對再次訪問請求的URI進(jìn)行第二次加密并發(fā)送或直接發(fā)送;
[0019]4)服務(wù)器端對瀏覽器端再次請求的URI進(jìn)行第一次解密,若第一次解密不成功,則拒絕瀏覽器端的再次連接請求;否則進(jìn)行第二次解密;若第二次解密不成,則拒絕瀏覽器端的再次連接請求;否則,根據(jù)瀏覽器端請求作出相應(yīng)的響應(yīng)。
[0020]進(jìn)一步地,所述步驟3)中,瀏覽器端先驗證再次發(fā)出的訪問請求URI是否需要加密,若否,則直接發(fā)送給服務(wù)器端,否則,將再次訪問請求的URI進(jìn)行第二次加密并發(fā)送。[0021 ]進(jìn)一步地,所述服務(wù)器端預(yù)先對加密條件、加密算法及密鑰的參數(shù)進(jìn)行設(shè)置;所述步驟3)中,所述瀏覽器端預(yù)先對加密條件及與所述步驟2)中的腳本文件匹配的加密算法、密鑰進(jìn)行參數(shù)設(shè)置。
[0022]進(jìn)一步地,所述步驟2)中第一次加密后的URI及步驟3)中第二次加密后的連接請求URI是隨機(jī)變化且單次有效的。
[0023]進(jìn)一步地,所述步驟4)中,第一次解密是對第二次加密的URI進(jìn)行解密,包括判斷該經(jīng)第二次加密的URI是否超過有效期,第二次解密是對第一次加密的解密,包括判斷該經(jīng)第一次加密的URI是否超過有效期。
[0024]進(jìn)一步地,所述第一次加密和/或第二次加密是采用非對稱加密算法進(jìn)行加密。
[0025]本發(fā)明的另一目的在于提供一種實現(xiàn)上述方法的裝置:
[0026]—種有效防止網(wǎng)絡(luò)攻擊的WEB網(wǎng)站鏈接動態(tài)隱藏裝置,包括瀏覽器端、服務(wù)器端,以及,
[0027]WEB頁面匹配單元,用于收集服務(wù)器端發(fā)送的URI并將該URI與其內(nèi)所儲存的URI內(nèi)容進(jìn)行比對,判斷是否需要加密;
[0028]加密單元,用于根據(jù)WEB頁面匹配單元的判斷結(jié)果對服務(wù)器端發(fā)送的URI進(jìn)行加密,并將經(jīng)加密的含有對瀏覽器請求路徑進(jìn)行加密的腳本文件的URI發(fā)送給服務(wù)器端;
[0029]解密單元,用于對瀏覽器端所發(fā)送的路徑信息進(jìn)行解密,把解密結(jié)果反饋給瀏覽器端或服務(wù)器端。
[0030]進(jìn)一步地,所述瀏覽器端設(shè)有用于監(jiān)控瀏覽器訪問請求并在該訪問請求的內(nèi)容與預(yù)設(shè)參數(shù)一致時觸發(fā)腳本文件對訪問請求的URI進(jìn)行加密的判斷單元,所述預(yù)設(shè)參數(shù)設(shè)于判斷單元內(nèi)。
[0031 ]進(jìn)一步地,所述經(jīng)加密單元及腳本文件加密后的URI中設(shè)有生效時間標(biāo)記。
[0032]進(jìn)一步地,所述解密單元包括一次解密單元及二次解密單元,所述一次解密單元及二次解密單元設(shè)有識別URI中的生效時間標(biāo)記并依據(jù)該生效時間標(biāo)記判斷該URI是否超過有效期的時效控制單元。
[0033]與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果是:
[0034]1、通過對WEB網(wǎng)站進(jìn)行變形,也就是隱藏真實的網(wǎng)站URI,讓撞庫攻擊找不到攻擊對象,從而無法實施,并且在實施與部署的時候無需修改WEB服務(wù)器的程序,可以有效的防護(hù)目前危害巨大的撞庫攻擊。
[0035]2、通過對WEB網(wǎng)站進(jìn)行變形讓各種搶票工具和搶票軟件無法定位網(wǎng)站的登陸URI,從而無法進(jìn)行搶票操作,可以有效的防護(hù)目前令人頭疼的各種搶票工具和搶票軟件對WEB服務(wù)器造成的各種危害和服務(wù)性能下降的問題。
[0036]3、通過對WEB網(wǎng)站進(jìn)行變形,讓DDOS工具無法定位攻擊對象的URI,從