[发明专利]一种用于网络防护的动态cookie验证方法及装置

说明书

本发明公开了一种用于网络防护的动态cookie验证方法及装置，可以对客户端传输过来的http请求中的cookie进行验证，在验证后再将http请求发送至服务器进行处理，防止网络攻击者使用大量未经验证的请求来对服务器进行DDOS攻击，消耗服务器的处理资源，造成网络基础设施的瘫痪甚至损毁，同时，对于未通过验证的http请求，通过插入的cookie处理模块对客户端的行为进行判断，在判断客户端的行为是安全正常的机器而不是自动化的恶意程序后，可以对客户端进行筛选防止恶意攻击。

技术领域

本发明属于网络安全领域，主要涉及一种用于网络防护的动态cookie验证方法及装置。

背景技术

自动化和人工智能是当下最火热的词条。两者是把双刃剑，与3C互联网设备结合就会给人们工作生活带来各种便利；跟攻击结合就变成一场灾难，现在的攻击已经形成了多米诺骨牌效应，一触即发。黑客只需要在一个机器人攻击程序上面输入想攻击的网址，设置好参数、测试方法、测试规则，验证问题，然后点击提交。机器人攻击程序就可以扫描了，等扫描出漏洞后，会有漏洞库自动进行匹配，然后发动攻击，黑客所做的就是守株待兔，开动触发键。

单打独斗不是黑客的行事作风。更多的情况下，黑色产业链上下会有组织，有纪律地各司其职分工协作，他们利用智能化自动化的攻击程序，或是暴力破解账号，窃取机密数据，或是通过批量注册小号，自动工具刷取套利。总而言之，只有你想不到，没有他们做不到。

事实上，随着针对Web的高级持续性拒绝服务(APDoS)攻击的崛起，以及复杂机器人程序攻击的容量和覆盖范围的增加，安全攻击变得更具侵略性。特别在运营商、政府、金融、电商、支付等领域，由自动化工具发起的高效大规模攻击(例如：恶意爬虫、撞库、虚假注册、交易篡改、零日攻击等)大幅增加了企业和政府机构在业务、应用和数据层面的安全风险。

机器人攻击的出现，最先面临压力的就是传统安全防护厂商，为应对愈来愈常见的DOS攻击，网络防护技术日渐得到技术人员的重视，并不断发展，现有的网络防护技术常使用如JavaScript的脚本语言对URL进行处理，但这一现有技术存在问题，若要实现通过脚本语言对URL进行处理的技术，需要服务器端和客户端同时对基础的代码进行修改，否则容易导致防护机制无法起到作用。

因此，需要一种更易于实施且更有效的网络防护技术。

发明内容

本发明目的在于针对现有方法的缺陷，提供一种用于网络防护的动态cookie验证方法及装置，避免了传统技术中通过脚本语言对URL进行加密的技术手段带来的，无法适配于不同运行环境的问题，本方法无需客户端或服务器对基础的脚本语言进行修改，可移植性高，便于推向市场，有很高的市场价值。

为解决上述技术问题，本发明通过以下方法方案进行实施：

一种用于网络防护的动态cookie验证方法，包括以下步骤：

S1、客户端发送http请求至服务器；所述http请求中包括请求cookie和请求URL；

S2、使用预设的cookie库对所述请求cookie的cookie信息进行解密及验证；所述cookie信息包括cookie名、cookie值；

若验证成功，则将所述http请求定向至所述请求URL所对应的欲访问页面，并将所述欲访问页面作为返回信息；

若验证失败，则将所述http请求定向至一默认页面，并将所述默认页面作为返回信息；

S3、使用加密算法对所述http请求中的特征字段进行加密生成校验cookie值，并随机生成一校验cookie名，将所述校验cookie值和校验cookie名存入所述cookie库；