专利名称:一种用户终端访问互联网的方法、系统及装置的制作方法
技术领域:
本发明涉及互联网技术领域,尤其涉及一种用户终端访问互联网的方法、系统及
直O
背景技术:
对互联网技术中基于动态脚本网页的网站,一般在该网站内都部署有供终端访问 的数据库。终端访问互联网内该类型的网站时,通过网站(WEB)服务器与网站内部署的数 据库进行信息交互。图1为现有技术中终端访问互联网内某网站的实施过程,该过程包括 以下步骤SlOl 用户终端向WEB服务器发送访问某网站的访问请求信息,其中,该访问请求 信息中包含访问网站的标识信息,以及所述用户终端的标识信息。S102 =WEB服务器接收通过第一防火墙透传的所述访问请求信息。S103:TOB服务器将接收的所述访问请求信息进行整理,将所述访问请求信息转 换为SQL语句的格式。S104 =WEB服务器将转换后的SQL语句的格式的访问请求信息通过第二防火墙发 送到互联网内的该网站。S105:该网站通过第二防火墙接收TOB服务器发送的访问请求信息,并允许所述 用户终端访问其数据库。上述过程用户终端访问互联网的过程中,当用户终端发送的访问请求信息中包含 攻击企图时,由于该访问请求信息为应用层的数据,而防火墙无法识别该访问请求信息的 合法性,因此该访问请求信息中包含的攻击企图会被发送到WEB服务器,而现有技术中TOB 服务器自身也没有检测能力,因此该访问请求信息中包含的攻击企图会发送到网站的数据 库内,从而形成注入攻击,注入攻击可能会篡改网站数据库内的内容,更有甚者还会盗取管 理员权限,瓦解整个网站的安全。现有技术中为了防止脚本网页网站受攻击,可以增强该网页内脚本参数的检查力 度,或在网页中嵌入固定的检查脚本实现对脚本网页网站的保护。但是由于上述第一种方 法基于人为因素,无法有效的保护脚本网页,而第二种方法需要对网站中的每个网页都植 入检查脚本的代码,过程繁琐,实施方式不灵活,并且当需修改检查脚本时,又要浪费大量 的人力物力资源。
发明内容
有鉴于此,本发明实施例提供一种用户终端访问互联网的方法、系统及装置,用以 解决现有技术中用户终端访问互联网不安全,造成互联网内的网站受攻击的技术问题。本发明实施例提供的一种用户终端访问互联网的方法,包括服务器接收到用户终端发送的访问请求信息,获取所述访问请求信息中携带的标 识请求内容的参数信息;
将获取的所述参数信息,与保存的关键字库中的关键字进行匹配;当匹配不成功时,确定所述访问请求信息中不包含攻击信息,控制所述用户终端 访问互联网;否则,禁止所述用户终端访问互联网。本发明实施例提供的一种用户终端访问互联网的系统,包括服务器,用于接收到用户终端发送的访问请求信息,获取所述访问请求信息中携 带的标识请求内容的参数信息,将获取的所述参数信息,与保存的关键字库中用于识别攻 击信息的关键字信息进行匹配,当匹配不成功时,确定所述访问请求信息中不包含攻击信 息,控制所述用户终端访问互联网,否则,禁止所述用户终端访问互联网;用户终端,用于向所述服务器发送访问请求信息,并根据所述服务器的控制访问 互联网。本发明实施例提供的一种服务器,包括获取模块,用于获取接收到的用户终端发送的访问请求信息中携带的标识请求内 容的参数信息;匹配模块,用于将获取的所述参数信息,与保存的关键字库中用于识别攻击信息 的关键字信息进行匹配;控制模块,用于在所述获取的参数信息与保存的关键字库中的关键字匹配不成功 时,确定所述访问请求信息中不包含攻击信息,控制所述用户终端访问互联网,否则,禁止 所述用户终端访问互联网。本发明实施例提供了一种用户终端访问互联网的方法、系统及装置,该方法包括 服务器获取用户终端发送的访问请求信息携带的参数信息,将获取的参数信息,与保存的 关键字库中的关键字进行匹配,当匹配成功时,禁止用户终端访问互联网。由于在本发明实 施例中服务器将获取的访问请求信息的参数信息与保存的关键字库中的关键字进行匹配, 从而确定该访问请求信息中是否携带攻击信息,当该访问请求信息中携带攻击信息中,禁 止该用户终端访问互联网,从而保证了用户终端访问互联网的安全性,使互联网免受攻击。
图1为现有技术中终端访问互联网内某网站的实施过程;图2为本发明实施提供的用户终端访问互联网的实施过程;图3为本发明实施提供的据保存的单关键字子库中的关键字与参数信息是否匹 配,确定用户终端是否能够访问互联网的实施过程;图4为本发明实施提供的当服务器中保存的为关键字组子库中的关键字时,用户 终端访问互联网的过程;图5为本发明实施提供的将单关键字子库以及关键字组子库中的关键字与该参 数信息进行匹配,从而确定用户终端是否访问互联网的过程;图6为本发明实施提供的一种用户终端访问互联网的系统结构示意图;图7为本发明实施提供的一种服务器的结构示意图。
具体实施例方式本发明实施例为了有效的保证用户终端接入互联网的安全性,提供了一种用户终 端访问互联网的方法,该方法包括服务器获取用户终端发送的访问请求信息携带的标识 请求内容的参数信息,将获取的参数信息,与保存的关键字库中用于识别攻击信息的关键 字信息进行匹配,当匹配不成功时,确定所述访问请求信息中不包含攻击信息,控制所述用 户终端访问互联网,否则,禁止用户终端访问互联网。由于在本发明实施例中服务器将获取 的访问请求信息的参数信息与保存的关键字库中的关键字进行匹配,从而确定该访问请求 信息中是否携带攻击信息,当该访问请求信息中携带攻击信息中,禁止该用户终端访问互 联网,从而保证了用户终端访问互联网的安全性,使互联网免受攻击。下面结合说明书附图,对本发明实施例进行详细说明。图2为本发明实施例提供的用户终端访问互联网的实施过程,该过程包括以下步 骤S201 用户终端向服务器发送访问互联网的访问请求信息。其中所述访问请求信息中包含访问网站的标识信息,以及所述用户终端的标识信 肩、οS202 服务器根据接收到的访问请求信息,获取所述访问请求信息中携带的标识 请求内容的参数信息。由于每种访问请求信息都具有一定的格式信息,即该访问请求信息中每个字段都 有具体的含义,因此当服务器接收到该访问请求信息后,对该访问请求进行解析,根据该访 问请求信息的格式信息,获取该访问请求信息中携带的标识请求内容的参数信息。S203 服务器将获取的参数信息,与保存的关键字库中用于识别攻击信息的关键 字进行匹配,确定匹配是否成功,当不成功时,进行步骤S204,否则,进行步骤S205。其中服务器保存的关键字库包括单关键字子库和/或关键字组子库。当该关键字库为单关键字子库时,将获取的参数信息与保存的关键字库中用于识 别攻击信息的关键字信息进行匹配包括根据获取的参数信息中的每个字符串,在保存的 单关键字子库中搜索,针对参数信息中的每个字符串,确定该字符串是否与保存的单关键 字子库中的关键字匹配。当该关键字库为关键字组子库时,将获取的参数信息与保存的关键字库中用于识 别攻击信息的关键字信息进行匹配包括将所述关键字组库中的每个关键字组,及所述每 个关键字组对应的格式,与获取的参数信息进行匹配。S204:当匹配不成功时,确定所述访问请求信息中不包含攻击信息,控制所述用户 终端访问互联网。确定所述访问请求信息中不包含攻击信息包括当与保存的单关键字子库中的关 键字匹配时,当所述参数信息中的每个字符串,与保存的单关键字子库中的关键字都不匹 配时,确定该访问请求信息中不包含攻击信息。当与保存的关键字组子库中的关键字匹配时,当参数信息中不包含组合关键字, 或所述参数信息中包含组合关键字,且所述参数信息的格式与所述组合关键字对应的格式 不匹配时,确定所述访问请求信息中不包含攻击信息。S205 服务器确定所述访问请求信息中包含攻击信息,禁止所述用户终端访问互联网。当服务器确定所述访问请求信息中包含攻击信息时,服务器直接向用户终端返回 禁止访问互联网的响应信息,禁止所述用户终端访问互联网。由于在本发明实施例中在服务器中预先保存了关键字库,当服务器接收到用户终 端的访问请求信息时,将该访问请求信息中携带的标识访问内容的参数信息与关键字库中 用于识别攻击信息的关键字信息进行匹配,确定该访问请求信息中是否存在攻击信息,当 该访问请求信息中携带攻击信息时,服务器禁止该用户终端访问互联网,因此本发明实施 例提供的用户终端访问互联网的方法有效的过滤了包含攻击信息的访问请求信息,从而保 证了用户终端访问互联网的安全性,使互联网免受攻击。在本发明实施例中对用户终端访问请求信息中包含的参数信息,进行匹配并控制 该用户终端是否访问互联网的服务器可以为WEB服务器,也可以为应用服务器。通过在对 用户终端访问互联网进行控制的装置内部部署进行访问请求信息携带参数信息获取的模 块,与关键字库中的关键字进行匹配的模块,以及实现对用户终端访问控制的模块,实现用 户终端访问互联网的安全性,使互联网内的网站免受攻击的影响。并且该装置也同样可以 通过嵌入式技术部署在服务器内。当服务器中部署了对用户终端访问互联网进行控制的装置时,该装置由服务器进 程加载,当服务器接收到用户终端发送的访问请求信息时,服务器进程调用该装置,通过该 装置对接收到的用户终端的访问请求信息进行解析,并根据读取的配置文件中的关键字库 中的关键字,对解析后获得的参数信息进行匹配,根据匹配的结果确定是否允许该用户终 端访问互联网。由于在本发明实施例中服务器中保存的关键字库可以为单关键字子库,也可以为 关键字组子库,服务器根据解析获取的用户终端访问请求信息中的参数信息,与关键字库 中用于识别攻击信息的关键字信息进行匹配,从而确定是否允许用户终端访问互联网。当服务器中保存的关键字库为单关键字子库时,该单关键字子库中包含多个单 个的关键字,该单个的关键字可以为数据库操作命令,或数据库操作函数,例如可以为 select、insert、openrowset、pwdencrypt、exec等关键字。服务器接收到用户终端发送的 访问请求信息时,解析该访问请求信息,根据该访问请求信息的格式,获取该访问请求信息 中携带的标识访问内容的参数信息,由于该参数信息包含多个字符串,针对参数信息中的 每个字符串,根据该字符串,在保存的单关键字子库中的关键字中进行搜索,确定在单关键 字子库中是否能够搜索到与该字符串匹配的关键字,确定该字符串是否与保存的单关键字 子库中的关键字匹配。当能够搜索到与该字符串匹配的关键字时,确定该字符串与该关键字匹配。当该 参数信息中的任意一个字符串与单关键字子库中的关键字匹配时,确定该参数信息与该单 关键字子库中的关键字匹配,从而确定该访问请求信息中携带攻击信息,禁止该用户终端 访问互联网。当该参数信息中所有的字符串都与单关键字子库中的关键字不匹配时,确定 该参数信息与该单关键字子库中的关键字不匹配,从而确定该访问请求信息中没有携带攻 击信息,控制该用户终端访问互联网。图3为本发明实施例中服务器根据保存的单关键字子库中的关键字与参数信息 是否匹配,确定用户终端是否能够访问互联网的实施过程,该过程包括以下步骤
S301 服务器接收用户终端发送的访问请求信息,其中该访问请求信息中包含访 问网站的标识信息,以及所述用户终端的标识信息。S302:服务器根据所述访问请求信息的格式信息,对该访问请求信息进行解析,获 取所述访问请求信息中携带的标识访问内容的参数信息。S303:将获取的参数信息中包含的每个字符串与保存的单关键字子库中的关键字 进行匹配,确定所述参数信息中是否存在至少一个字符串与保存的单关键字子库中的关键 字相匹配,当判断结果为是时,进行步骤S304,否则,进行步骤S305。S304 确定所述访问请求信息中包含攻击信息,向用户终端返回禁止访问互联网 的响应信息。S305:确定所述访问请求信息中不包含攻击信息,将用户终端的访问请求发送到 对应的互联网网站,控制所述用户终端访问互联网。由于攻击信息也可能表现为组合的字符串,或者组合字符串的更加复杂的编码转 换方式,因此单单依靠单关键字子库无法有效的识别访问请求信息中是否包含攻击信息, 因此在本发明实施例中可以在服务器中保存关键字组子库,该关键字组子库中包含组合关 键字,并且还可以包含每个组合关键字对应的格式,该组合关键字例如可以为inner join、 group by λ backup database、delete from 等关键字。当访问请求信息中包含的攻击信息中携带组合关键字时,该攻击信息为了防止被 识别,在组合关键字的两个不同关键字之间会存在不确定数量的空格,因此在本发明实施 例中为了有效的识别攻击信息,可以在服务器中保存关键字组子库,该关键字子库中保存 有组合关键字信息以及与每个组合关键字对应的格式信息。在本发明实施例中为了有效的识别访问请求信息中是否包含攻击信息,保存的组 合关键字对应的格式可以根据常见的攻击信息的格式确定,例如攻击信息中一般都包含组 合关键字,并且组合关键字为固定不变的,则该组合关键字可以采用成对的双引号引起,对 于攻击信息其中还可能包含一些其他字符,在本发明实施例中可以采用某一个特殊字符代 表任意非关键字的字符,这里特殊字符为一般不会在访问请求信息中出现的字符,例如可 以为@,并且为了标识某一字符出现的次数,在本发明实施例中还可以采用大括号{}表示 某一字符出现的次数,当采用单大括号H时,表示该大括号中的字符出现一次,当某一字 符出现两次以上时,可以采用双大括号{{}}其中最里面的大括号中写入该某一字符。例如当组合关键字为delete from时,该组合关键字对应的格式信息可以为 {{@}} ”delete” {{}},,from,,{{§}},这里任意一个非关键字的字符采用特殊字符@表示,该 格式信息的含义为,位于组合关键字中一个关键字” delete”之前包含出现至少两次的一个 任意字符,在组合关键字” delete”和” from”之间包含出现至少两次的空格,在组合关键字 中的一个关键字” from”之后包含出现至少两次的一个任意字符。当服务器采用该组合关 键字对应的格式信息与解析获取的参数信息进行匹配时,确定该参数信息包含的字符中是 否出现组合关键字中的delete,当出现时,确定该参数信息中包含的字符delete之前是否 包含出现至少两次的一个任意字符,当确定该参数信息中在字符delete之前包含出现至 少两次的一个任意字符时,确定该参数信息中字符delete之后是否包含组合关键字中的 另一个关键字from,并且该组合关键字的两个关键字之间包含出现至少两次的空格,并且 依次判断参数信息中字符from之后是否包含出现至少两次的一个任意字符。从而确定该访问请求信息中的参数信息是否与保存的关键字组子库中的组合关键字对应的格式信息 相匹配。采用关键字组中的关键字与参数信息进行匹配,可以将参数信息中包含攻击信息 的组合关键字的形式,以及包含组合关键字编码转换方式后的形式识别出来,从而禁止对 应的用户终端访问互联网。在本发明实施例中可以根据攻击信息常见的格式设置服务器中保存的关键字组 子库中的组合关键字以及组合关键字对应的格式,并且每个组合关键字可以对应一个或者 两个以上的格式,在根据参数信息与关键字组子库中的关键字进行匹配时,可以一一进行 匹配。图4为本发明实施例提供的当服务器中保存的为关键字组子库中的关键字时,用 户终端访问互联网的过程,该过程包括以下步骤S401 服务器接收用户终端发送的访问请求信息,其中,该访问请求信息中包含访 问网站的标识信息,以及所述用户终端的标识信息。S402:服务器根据所述访问请求信息的格式信息,对该访问请求信息进行解析,获 取所述访问请求信息中携带的标识访问内容的参数信息。S403:将获取的参数信息中包含的字符串与保存的关键字组子库中的组合关键 字,以及组合关键字对应的每个格式信息进行匹配,确定该参数信息中是否不包含组合关 键字,或包含组合关键字,但该参数信息的格式与所述组合关键字对应的格式不匹配,当判 断结果为是时,进行步骤S404,否则,进行步骤S405。S404:确定所述访问请求信息中不包含攻击信息,将用户终端的访问请求发送到 对应的互联网网站,控制所述用户终端访问互联网。S405 确定所述访问请求信息中包含攻击信息,向用户终端返回禁止访问互联网 的响应信息。在本发明实施例中服务器可以只采用关键字库中的单关键字子库中的关键字与 解析获得的参数信息进行匹配,确定携带该参数信息的访问请求信息是否包含攻击信息, 也可以只采用关键字库中的关键字组子库中的关键字与解析获得的参数信息进行匹配,确 定携带该参数信息的访问请求信息是否包含攻击信息,当然也可以采用单关键字子库中的 关键字与关键字组子库中的关键字两者组合的方式,与解析获得参数信息进行匹配,确定 携带该参数信息的访问请求信息是否包含攻击信息。服务器可以根据解析获得该访问请求信息中携带的参数信息包含的的字符串的 多少,确定采用的关键字库,例如当该访问请求信息中携带的参数信息较少时,即该参数信 息中包含的字符串较少,例如参数信息中包含的字符串数量小于设定的阈值时,则采用单 关键字子库中的关键字与该参数信息中的字符串进行匹配,当该参数信息包含的字符串较 多,例如参数信息中包含的字符串的数量大于设定的阈值时,则采用关键字组子库中的组 合关键字及每个组合关键字对应的格式与该参数信息进行匹配。图5为本发明实施例中将单关键字子库以及关键字组子库中的关键字与该参数 信息进行匹配,从而确定用户终端是否访问互联网的过程,该过程包括以下步骤S501 服务器接收用户终端发送的访问请求信息,其中该访问请求信息中包含访 问网站的标识信息,以及所述用户终端的标识信息。
S502:服务器根据所述访问请求信息的格式信息,对该访问请求信息进行解析,获 取所述访问请求信息中携带的标识访问内容的参数信息。S503 判断该参数信息中包含的字符串的数量是否小于设定的阈值,当判断结果 为是时,进行步骤S504,否则,进行步骤S505。S504:将获取的参数信息中包含的每个字符串与保存的单关键字子库中的关键字 进行匹配,确定所述参数信息中是否存在至少一个字符串与保存的单关键字子库中的关键 字相匹配,当判断结果为是时,进行步骤S506,否则,进行步骤S507。S505:将获取的参数信息中包含的字符串与保存的关键字组子库中的组合关键 字,以及组合关键字对应的每个格式信息进行匹配,确定该参数信息中是否不包含组合关 键字,或包含组合关键字,但该参数信息的格式与所述组合关键字对应的格式不匹配,当判 断结果为是时,进行步骤S507,否则,进行步骤S506。S506 确定所述访问请求信息中包含攻击信息,向用户终端返回禁止访问互联网 的响应信息。S507:确定所述访问请求信息中不包含攻击信息,将用户终端的访问请求发送到 对应的互联网网站,控制所述用户终端访问互联网。或者,在本发明实施例中结合单关键字子库及关键字组子库中的关键字对访问请 求信息中的参数信息进行匹配时,可以分别采用单关键字子库中的关键字及关键字组子库 中的关键字对该参数信息进行匹配,只要存在一个关键字或一个组合关键字与该参数信息 相匹配,即确定该参数信息对应的访问请求信息中包含攻击信息,从而禁止对应的用户终 端访问互联网,在这里分别根据单关键字子库以及关键字组子库中的关键字与参数信息进 行匹配的过程,在上述实施方式中已经详细描述,在这里就不一一赘述。在本发明实施中当发现新的关键字,组合关键字,或组合关键字的格式时,需要修 改服务器中保存的关键字库中的关键字信息时,直接在服务器保存的关键字信息中进行相 应信息的修改即可,从而使该实施方式更加具有灵活性。同时对于修改服务器中保存的关 键字库中的其他信息,可以直接针对该服务器保存的该关键字库中的相应信息进行修改, 从而增加该实施方式的易用性以及通用性。图6为本发明实施例提供的一种用户终端访问互联网的系统的结构示意图,该系 统包括服务器61,用于接收到用户终端发送的访问请求信息,获取所述访问请求信息中 携带的标识请求内容的参数信息,将获取的所述参数信息,与保存的关键字库中用于识别 攻击信息的关键字信息进行匹配,当匹配不成功时,确定所述访问请求信息中不包含攻击 信息,控制所述用户终端访问互联网,否则,禁止所述用户终端访问互联网;用户终端62,用于向所述服务器发送访问请求信息,并根据所述服务器的控制访 问互联网。所述服务器包括网站服务器及应用服务器。图7为本发明实施例提供的一种服务器的结构示意图,该服务器包括获取模块71,用于获取接收到的用户终端发送的访问请求信息中携带的标识请求 内容的参数信息;匹配模块72,用于将获取的所述参数信息,与保存的关键字库中用于识别攻击信息的关键字信息进行匹配; 控制模块73,用于在所述获取的参数信息与保存的关键字库中的关键字匹配不成 功时,确定所述访问请求信息中不包含攻击信息,控制所述用户终端访问互联网,否则,禁 止所述用户终端访问互联网。
所述匹配模块72包括存储单元721,用于保存单关键字子库中用于识别攻击信息的关键字;匹配单元722,用于根据获取的所述参数信息中的每个字符串,在保存的单关键字 子库中搜索,针对参数信息中的每个字符串,确定该字符串是否与保存的单关键字子库中 的关键字匹配。所述控制模块73具体用于当所述参数信息中的每个字符串,与保存的单关键字子库中的关键字都不匹配 时,确定所述访问请求信息中不包含攻击信息。所述存储单元721还用于,保存关键字组子库中用于识别攻击信息的每个组合关 键字;所述匹配单元722还用于,将所述关键字组库中的每个组合关键字,及所述每个 组合关键字对应的格式,与获取的参数信息进行匹配。所述控制模块73具体用于当所述参数信息中不包含组合关键字,或所述参数信息中包含组合关键字,且所 述参数信息的格式与所述组合关键字对应的格式不匹配时,确定所述访问请求信息中不包 含所述攻击信息。本发明实施例提供了一种用户终端访问互联网的方法、系统及装置,该方法包括 服务器获取用户终端发送的访问请求信息携带的参数信息,将获取的参数信息,与保存的 关键字库中的关键字进行匹配,当匹配成功时,禁止用户终端访问互联网。由于在本发明实 施例中服务器将获取的访问请求信息的参数信息与保存的关键字库中的关键字进行匹配, 从而确定该访问请求信息中是否携带攻击信息,当该访问请求信息中携带攻击信息中,禁 止该用户终端访问互联网,从而保证了用户终端访问互联网的安全性,使互联网免受攻击。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精 神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围 之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种用户终端访问互联网的方法,其特征在于,所述方法包括接收到用户终端发送的访问请求信息,获取所述访问请求信息中携带的标识请求内容 的参数信息;将获取的所述参数信息,与保存的关键字库中用于识别攻击信息的关键字信息进行匹配;当匹配不成功时,确定所述访问请求信息中不包含攻击信息,控制所述用户终端访问 互联网;否则,禁止所述用户终端访问互联网。
2.如权利要求1所述的方法,其特征在于,获取所述访问请求信息中携带的标识请求 内容的参数信息包括对所述访问请求信息进行解析,根据所述访问请求信息的格式信息,获取所述访问请 求信息中携带的标识请求内容的参数信息。
3.如权利要求1所述的方法,其特征在于,所述关键字库包括单关键字子库和/或关键字组子库。
4.如权利要求3所述的方法,其特征在于,所述单关键字子库中用于识别攻击信息的 关键字信息包括数据库操作命令信息和数据库操作函数信息。
5.如权利要求3所述的方法,其特征在于,当所述关键字库为单关键字子库时,将获取 的所述参数信息,与保存的关键字库中用于识别攻击信息的关键字信息进行匹配包括根据获取的所述参数信息中的每个字符串,在保存的单关键字子库中搜索;针对所述参数信息中的每个字符串,确定该字符串是否与保存的单关键字子库中的关 键字匹配。
6.如权利要求5所述的方法,其特征在于,确定所述访问请求信息中不包含攻击信息 包括当所述参数信息中的每个字符串,与保存的单关键字子库中的关键字都不匹配时,确 定所述访问请求信息中不包含攻击信息。
7.如权利要求3所述的方法,其特征在于,当所述关键字库为关键字组子库时,将获取 的所述参数信息,与保存的关键字库中用于识别攻击信息的关键字信息进行匹配包括将所述关键字组库中的每个组合关键字,及所述每个组合关键字对应的格式,与获取 的参数信息进行匹配。
8.如权利要求7所述的方法,其特征在于,确定所述访问请求信息中不包含攻击信息 包括当所述参数信息中不包含组合关键字,或所述参数信息中包含组合关键字,且所述参 数信息的格式与所述组合关键字对应的格式不匹配时,确定所述访问请求信息中不包含所 述攻击信息。
9.一种用户端访问互联网的系统,其特征在于,所述系统包括服务器,用于接收到用户终端发送的访问请求信息,获取所述访问请求信息中携带的 标识请求内容的参数信息,将获取的所述参数信息,与保存的关键字库中用于识别攻击信 息的关键字信息进行匹配,当匹配不成功时,确定所述访问请求信息中不包含攻击信息,控制所述用户终端访问互联网,否则,禁止所述用户终端访问互联网;用户终端,用于向所述服务器发送访问请求信息,并根据所述服务器的控制访问互联网。
10.如权利要求9所述的系统,其特征在于,所述服务器包括 网站服务器及应用服务器。
11.一种服务器,其特征在于,所述服务器包括获取模块,用于获取接收到的用户终端发送的访问请求信息中携带的标识请求内容的 参数信息;匹配模块,用于将获取的所述参数信息,与保存的关键字库中用于识别攻击信息的关 键字信息进行匹配;控制模块,用于在所述获取的参数信息与保存的关键字库中的关键字匹配不成功时, 确定所述访问请求信息中不包含攻击信息,控制所述用户终端访问互联网,否则,禁止所述 用户终端访问互联网。
12.如权利要求11所述的服务器,其特征在于,所述匹配模块包括 存储单元,用于保存单关键字子库中用于识别攻击信息的关键字;匹配单元,用于根据获取的所述参数信息中的每个字符串,在保存的单关键字子库中 搜索,针对参数信息中的每个字符串,确定该字符串是否与保存的单关键字子库中的关键 字匹配。
13.如权利要求12所述的服务器,其特征在于,所述控制模块具体用于当所述参数信息中的每个字符串,与保存的单关键字子库中的关键字都不匹配时,确 定所述访问请求信息中不包含攻击信息。
14.如权利要求11所述的服务器,其特征在于,所述存储单元还用于,保存关键字组子库中用于识别攻击信息的每个组合关键字; 所述匹配单元还用于,将所述关键字组库中的每个组合关键字,及所述每个组合关键 字对应的格式,与获取的参数信息进行匹配。
15.如权利要求14所述的服务器,其特征在于,所述控制模块具体用于当所述参数信息中不包含组合关键字,或所述参数信息中包含组合关键字,且所述参 数信息的格式与所述组合关键字对应的格式不匹配时,确定所述访问请求信息中不包含所 述攻击信息。
全文摘要
本发明公开了一种用户终端访问互联网的方法、系统及装置,用以解决现有技术中用户终端访问互联网不安全,造成互联网内的网站受攻击的问题。该方法服务器获取用户终端发送的访问请求信息携带的参数信息,将获取的参数信息,与保存的关键字库中的关键字进行匹配,当匹配成功时,禁止用户终端访问互联网。由于在本发明实施例中服务器将获取的访问请求信息的参数信息与保存的关键字库中的关键字进行匹配,从而确定该访问请求信息中是否携带攻击信息,当该访问请求信息中携带攻击信息中,禁止该用户终端访问互联网,从而保证了用户终端访问互联网的安全性,使互联网免受攻击。
文档编号G06F17/30GK102082810SQ200910238658
公开日2011年6月1日 申请日期2009年11月30日 优先权日2009年11月30日
发明者刘晓峰, 周卫东, 梁耿 申请人:中国移动通信集团广西有限公司