[发明专利]一种智能化多层过滤安全装置及方法

说明书

技术领域

本发明涉及网络技术和安全领域，特别涉及一种智能化多层过滤安全装置及方法。

背景技术

在web系统中，黑客可通过多种方式攻击系统或窃取信息，为了防止系统被攻击或信息被窃取，一般都会采用过滤装置，但现有的过滤装置存在以下缺点：

1、大多数系统都是具体功能来做验证，没有统一验证的功能，这往往很可能会造成遗漏。

2、大多数系统都是只对特殊字符做过滤，没有全面、多层的过滤。

3、大多数系统都是真正处理的时候进行验证，不能讲非法请求在提交处理前进行过滤。

这意味着现有的过滤装置不能有效节约系统资源、也不能全面、彻底防止非法攻击。

本发明是在提交处理前进行统一过滤，非法请求直接不进行处理。这样既可以节省系统资源，也可以全面、彻底防止非法攻击。

发明内容

本发明的目的是为了克服现有技术中的不足之处，提供一种能统一处理所有系统请求、能进行多层过滤，全面、彻底有效防止非法攻击的智能化多层过滤安全装置及方法

为了达到上述目的，本发明采用以下方案：

本发明公开了一种智能化多层过滤安全装置，其特征在于用于统一处理WEB系统的所有请求；包括：

请求来源检查模块,用于检查请求来源是否为本系统连接，若为本系统连接，则将请求送入URL检查模块进行检查；

URL检查模块，用于检查请求是否有敏感字符，判断URL是否合法，若合法，则将请求送入参数值检查模块进行检查；

参数值检查模块，用于检查参数值是否有非法内容，判断参数值是否合法，若合法，则将请求送入上传文件检查模块进行检查；

上传文件检查模块，用于检查上传文件是否合法，若合法，则响应请求。

如上所述的一种智能化多层过滤安全装置，其特征在于所述的敏感字符包括有<、>、'、;、&、#、、$、^。

本发明还公开了一种智能化多层过滤方法，其特征在于，包括以下步骤：

S1、将web系统接收到的请求送入过滤器；

S2、对过滤器中的请求进行来源检查，验证所述请求是否为系统内部链接，如果是系统内部链接，则进行步骤S3，否则丢弃不处理；

S3、对请求进行URL检查，检查请求是否有敏感字符，判断URL是否合法，若合法，则进行步骤S4，否则丢弃不处理；

S4、对请求进行参数值检查，检查参数值是否有非法内容，判断参数值是否合法，若合法并需要进行上传，则进行步骤S5，否则丢弃不处理；

S5、对需求上传的文件进行检查，判断上传的文件是否合法，若合法，则响应请求。

综上所述，本发明的有益效果：

一、本发明智能化多层过滤安全装置使用过滤器统一处理，所有请求均需通过过滤器。一次配置，永久使用，不需要处处验证。

二、在过滤器中进行多层检查，有效防止URL注入攻击、防止表单提交敏感字符、防止上传非法文件。

三、判断请求的发起方，只有正常操作系统的才是合法的，发起方不是系统内部链接的均不处理，有效防止工具类的攻击。

附图说明

图1为本发明智能化多层过滤安全装置的方框图；

图2为本发明智能化多层过滤安全方法的流程图。

具体实施方式

本发明公开一种基于缓存及异步处理技术的用户行为采集方法及系统，为使本发明的目的、技术方案及效果更加清楚、明确，以下对结合附图以及具体实施方式本发明进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

图2为于智能化多层过滤安全方法的流程图，如图所示，本发明一种智能化多层过滤安全方法，包括：

S1、将web系统接收到的请求送入过滤器；

过滤器统一处理，所有请求均需通过过滤器，一次配置，永久使用，不需要处处验证。

S2、对过滤器中的请求进行来源检查，验证所述请求是否为系统内部链接，如果是系统内部链接，则进行步骤S3，否则丢弃不处理；

例如用户只能访问id=1的资源，但可以在浏览器地址栏里强行访问id=2的资源。加上过滤器后，手动在浏览器输入id=2，过滤器会发现这个请求的来源不是系统内的链接，因为是手动输入的请求，所以会阻止访问。通过判断请求的发起方的合法性，只有正常操作系统的才是合法的，发起方不是系统内部链接的均不处理，有效防止工具类的攻击。