专利名称:一种防盗链系统及方法
技术领域:
本发明涉及互联网安全领域,尤其涉及一种防盗链系统及方法。
技术背景
随着互联网的蓬勃发展,大量的安全问题应运而生,盗链就是其中的一方面。盗链 是指服务提供商自己不提供服务的内容,通过技术手段直接在自己的网站上向最终用户提 供其它服务提供商的服务内容,来骗取最终用户的浏览和点击率。
盗链所带来的危害主要有
1.网站盗链会大量消耗被盗链网站的带宽,而真正的点击率也许会很小,严重损 害了被盗链网站的利益;
2.如果盗链网站还有色情、反动内容,更会对被盗链网站的名誉造成严重影响;
3.就无线互联网络自身特点来说,存在着很多的流量及费用消耗,会给访问用户 及被盗链网站之间造成大量的误解和纠纷。
综上所述,互联网尤其是无线互联网领域,盗链安全防护势在必行。
在无线互联网应用领域,防盗链安全问题基本靠硬件(如硬件防火墙等)来解决。 硬件防护的方式大致有两种,一种是通过访问来源限制方式来进行,如图1所示,硬件防护 的访问来源限制方式需要事先添加好限制访问的IP和域名,这样在用户请求访问时,验证 该用户是否来源于限制的IP或域名,而对于被限制的IP及域名引入的请求,禁止其访问。 另一种是资源防护方式,如图2所示,硬件防护的资源防护禁止用户经由其他网站直接获 取本站资源。这样由上述两种方式可以看出采用硬件防护的特点是可以对访问来源进行 限制;对盗链相关的共性问题进行防护;需要购买相关硬件实现防护;侧重于对系统资源 盗链的防护,并且对客户端下载资源进行线程控制及流量控制。
因此,硬件防护需相关硬件支持,因而缺乏灵活性和经济性,并且硬件防护针对盗 链方面的共性问题进行防护,缺少对特定行为(如计费等)的针对性,尤其缺少对于无线互 联网领域自身一些特性(如合作方通过push推荐内容给用户,用户使用客户端直接访问推 荐内容)的支持。发明内容
本发明的实施例旨在提供一种防盗链系统及方法,以解决在防止互联网盗链中硬 件防护的所存在的缺乏灵活性以及不够经济的问题。
为实现上述目的,本发明的实施例提供了一种防盗链系统,用来防止其它网站盗 用本网站的资源,所述系统包括设置在本网站入口处的入口防御模块以及为所述入口防御 模块提供黑名单的深度反向解析模块;
其中,所述入口防御模块包括
黑名单验证单元,用于对于普通渠道所引入的访问所述本网站的用户请求,验证 所述普通渠道是否在所述黑名单中,
指定入口单元,用于对所述黑名单验证单元验证出不在所述黑名单中的普通渠道 指定其访问的入口,
登记单元,用于记录经由所述指定入口单元指定入口进行访问的用户信息,
验证单元,用于在用户访问所述本网站的页面时,验证该用户是否已经被记录过 信息,对于没有记录过信息的用户禁止其访问;
其中,所述深度反向解析模块包括
提取单元,用于定期提取用户的访问记录,
分析单元,用于根据所述访问记录分析用户访问本网站所经由的普通渠道的IP 地址和用户所访问的页面内容,
添加黑名单单元,用于根据所述分析单元的分析结果将IP地址不在所述本网站 规定范围内和/或所述访问的页面内容中含有敏感内容的普通渠道添加到所述黑名单中, 阻止该普通渠道弓I入的后续访问。
根据本发明的一个实施例,对于来自VIP渠道的访问,所述入口防御模块还包括 VIP渠道处理单元,用于在所述本网站入口处,对于经由VIP渠道访问所述本网站的用户请 求,直接为其指定其访问的入口并记录该用户信息。
根据本发明的一个实施例,本发明还能针对特定行为进行针对防护,因此所述入 口防御模块还包括
特定页面验证单元,用于在所述用户访问所述本网站的页面为特定行为信息展示 页面时,验证该用户是否已经被记录过信息;
特定行为验证单元,用于在所述特定页面验证单元验证通过后根据所述用户的身 份信息以及特定行为标记生成关键字并记录下来,在所述用户请求特定行为时再次通过由 用户的身份信息以及特定行为标记生成的关键字验证所述用户是否在该特定行为信息展 示页面已经被记录过信息,是则允许所述用户进行特定行为,否则提示该用户按照正常流 程访问。
根据本发明的一个实施例,所述入口防御模块还包括关键字生成单元,用于根据 所述用户身份信息和所述指定的入口标记来生成关键字;其中所述登记单元将所生成的关 键字存储下来;其中所述验证单元通过由所述用户身份信息和所述指定的入口标记所生成 的关键字来进行查询验证该用户是否已经被记录过信息。
根据本发明的一个实施例,所述深度反向解析模块还包括
IP地址解析单元,用于在分析用户访问本网站所经由的普通渠道的IP地址时,查 找所述IP地址隶属的国家及地区信息是否在所述本网站规定的合法地域范围内,是则获 取所述用户所访问的页面内容,否则将所述普通渠道添加到所述黑名单中。
根据本发明的一个实施例,所述深度反向解析模块还包括
页面内容解析单元,用于在分析用户所访问的页面内容时,解析所述页面内容以 提取出其中的文字内容和图像内容,检测所述文字内容和图像内容的合法性,将该用户访 问不合法的文字内容和图像内容所经由的普通渠道添加到所述黑名单中。
根据本发明的一个实施例,所述页面内容解析单元中检测文字内容的合法性是通 过将所述文字内容的文字特征提取出来并与敏感词资料库中的关键字进行匹配来完成。
根据本发明的一个实施例,所述深度反向解析模块还包括
图像文字判断单元,用于对所述图像内容中的文字描述信息进行合法性判断;
图像判断单元,用于对于判断具有合法文字描述信息的图像内容中的图像分离出 其皮肤区域,对所述皮肤区域进行皮肤特征、纹理特征以及区域特征进行比对,对于过滤出 的疑似敏感图像转入后台审核确认,若确认为具有敏感图像的图像内容,则将用户访问不 合法的图像内容所经由的普通渠道添加到所述黑名单中。
根据本发明的一个实施例,本发明还能针对无线互联网领域自身一些特性(如合 作方通过push推荐内容给用户,用户使用客户端直接访问推荐内容)的支持进行访问,因 而所述系统还包括定向认证模块,用于在用户根据所述本网站的合作方网站访问所推荐所 述本网站的页面时,在访问时效内验证所述用户携带的验证码与定向认证模块中所记录的 验证码是否一致,是则允许所述用户访问,否则认定用户访问不合法。
根据本发明的一个实施例,所述定向认证模块还用于在所述合作方网站向用户推 荐所述本网站的页面之前,接收所述合作方网站发送的用户身份信息,将所述用户身份信 息、由接收用户身份信息的当前时间所生成的流水号以及所述合作方网站的渠道信息生成 关键字并同时将其组合加密生成验证码,根据所述关键字存储所述验证码,同时将所述流 水号和所述验证码返回给所述合作方网站。
根据本发明的一个实施例,所述定向认证模块还包括
查找单元,用于根据用户的身份信息、流水号以及所述合作方网站的渠道信息生 成的关键字,查找所述本网站存储器内的验证码;
判断单元,用于判断所述查找单元查找到的验证码是否在访问时效内;
比较单元,用于在所述判断单元判断出所述验证码在访问时效内时,对比所述用 户携带的验证码是否与所述查找到的验证码相一致,是则允许所述用户的访问行为,否则 认定用户访问不合法。
本发明还提供一种防盗链方法,用来防止其它网站盗用本网站的资源,所述方法 包括
入口防御的步骤,具体为
在本网站入口处对于普通渠道所引入的访问所述本网站的用户请求,验证所述普 通渠道是否在所述黑名单中,
对验证出不在所述黑名单中的普通渠道指定其访问的入口,
记录经由所述指定的入口进行访问的用户信息,
在用户访问所述本网站的页面时,验证该用户是否已经被记录过信息,对于没有 记录过信息的用户禁止其访问;
深度反向解析的步骤,具体为
定期提取用户的访问记录;
根据所述访问记录分析用户访问本网站所经由的普通渠道的IP地址和用户所访 问的页面内容,获得分析结果;
根据所述分析结果将IP地址不在所述本网站规定范围内和/或所述访问的页面 内容中含有敏感内容的普通渠道添加到所述黑名单中,阻止该普通渠道引入的后续访问。
根据本发明的一个实施例,所述入口防御的步骤还包括VIP渠道处理步骤在所 述本网站入口处,对于经由VIP渠道访问所述本网站的用户请求,直接为其指定其访问的入口并记录该用户信息。
根据本发明的一个实施例,所述入口防御步骤还包括
特定页面验证步骤,在所述用户访问所述本网站的页面为特定行为信息展示页面 时,验证该用户是否已经被记录过信息;
特定行为验证步骤,对于验证记录过信息的所述用户,根据所述用户的身份信息 以及特定行为标记生成关键字并记录下来,在所述用户请求特定行为时再次通过由用户的 身份信息以及特定行为标记生成的关键字验证所述用户是否在该特定行为信息展示页面 已经被记录过信息,是则允许所述用户进行特定行为,否则提示该用户按照正常流程访问。
根据本发明的一个实施例,所述方法还包括定向认证步骤在用户根据所述本网 站的合作方网站访问所推荐所述本网站的页面时,在访问时效内验证所述用户携带的验证 码与所述本网站中已记录的验证码是否一致,是则允许所述用户访问,否则认定用户访问 不合法。
根据本发明的一个实施例,所述定向认证步骤还包括在所述合作方网站向用户 推荐所述本网站的页面之前,接收所述合作方网站发送的用户身份信息,将所述用户身份 信息、由接收用户身份信息的当前时间所生成的流水号以及所述合作方网站的渠道信息生 成关键字并同时将其组合加密生成验证码,根据所述关键字存储所述验证码,同时将所述 流水号和所述验证码返回给所述合作方网站。
根据本发明的一个实施例,所述定向认证步骤具体为
根据用户的身份信息、流水号以及所述合作方网站的渠道信息生成的关键字,查 找所述本网站存储器内的验证码;
判断查找到的验证码是否在访问时效内;
在判断出所述验证码在访问时效内时,对比所述用户携带的验证码是否与所述查 找到的验证码相一致,是则允许所述用户的访问行为,否则认定用户访问不合法。
由上述技术方案可知,本发明的实施例通过入口防御模块规范系统入口,在入口 处记录用户访问信息,并在需在各防御处验证用户是否从规定入口进入;深度反向解析模 块验证渠道IP地域范围合法性,并主动反向解析渠道页面内容,以及文字内容和图像内容 安全检测,而还可以设置定向认证模块来根据待推荐用户信息为合作方提供生成验证码, 并在用户访问时,将已存的验证码与用户所携带的验证码进行比对认证,从而本发明采用 在网站系统入口处记录、合作方推荐验证码比对、IP地址地域性过滤、渠道页面反向主动解 析以及文字、图像内容安全检测等技术,使防盗链的防御更全面、更主动。
图1为一种硬件防护方式的访问来源限制模块流程图2为一种硬件防护方式的资源防护模块流程图3为根据本发明的一个实施例的一种防盗链系统的功能框图4为根据本发明的一个实施例的入口防御步骤的处理流程图5为根据本发明的另一个实施例的入口防御步骤的处理流程图6为根据本发明的一个实施例的入口防御步骤对于特定行为处理的流程框图7为根据本发明的一个实施例的深度反向解析步骤的处理流程图8为根据本发明的一个实施例的深度反向解析步骤解析文字和图像的流程图9为根据本发明的一个实施例的定向认证步骤对于合作方处理的流程图10为根据本发明的一个实施例的定向认证步骤对于用户访问处理的流程图。
具体实施方式
下面将详细描述本发明的具体实施例。应当注意,这里描述的实施例只用于举例 说明,并不用于限制本发明。
本发明的构思在于通过在网站的访问入口处,对用户的访问渠道进行黑名单验 证,并在验证通过之后记录用户信息,在此后的每步访问中都要验证该用户信息是否登记 过,从而规范用户按照正常流程进行访问,以避免盗链的产生。
根据本发明的一实施例,所述防盗链系统和方法由在本网站的服务器上运行软件 程序来实现。
根据本发明的一实施例,本发明的防盗链系统主要由设置在网站入口处的入口防 御模块以及为所述入口防御模块提供黑名单的深度反向解析模块组成。
如图3所示,其中所述入口防御模块,包括
黑名单验证单元,用于对于普通渠道所引入的访问所述本网站的用户请求,验证 所述普通渠道是否在所述黑名单中;
指定入口单元,用于对所述黑名单验证单元验证出不在所述黑名单中的普通渠道 指定其访问的入口;
登记单元,用于记录经由所述指定入口单元指定入口进行访问的用户信息;
验证单元,用于在用户访问所述本网站的页面时,验证该用户是否已经被记录过 信息,对于没有记录过信息的用户禁止其访问;
根据本发明的一实施例,本发明的入口防御模块可以由在本网站的服务器上运行 软件程序来实现。
也即,所述入口防御模块可通过如图4所示的流程图来执行入口防御的功能,如 图4所示,入口防御模块在网站系统入口处,对于经过普通渠道访问网站系统的用户请求, 验证所述普通渠道是否在所述深度反向解析模块所提供的黑名单中,对于经由不在所述黑 名单中的普通渠道进行访问的用户限定其由指定的入口访问,并在该入口处记录该用户信 息,在该用户此后的每步访问中,验证该用户是否已经被记录过信息,对于没有记录过的用 户禁止其访问,并根据一实施例,进一步提示该用户按照正常流程访问。
其它网站链接本网站的情况根据网站渠道来源,可分为普通渠道来源和VIP渠道 来源。对于VIP渠道来源,本申请初步承认其合法性。而对于普通渠道来源,则首先要进行 黑名单过滤,看该渠道信息是否存在于黑名单中,如果存在,则禁止来源于此渠道的访问。 对于通过黑名单过滤的普通来源的访问,以及由VIP渠道引入的访问,限定其由指定的入 口进入系统。也即,如果是普通渠道所引入的访问,则采用如图4所示的步骤流程,而如果 不知道该渠道为何种渠道,则需要进行判断其是否为VIP渠道,只有该渠道为VIP访问的前 提下才不进行黑名单的过滤。同时,如图4和图5所示的流程图,在指定的入口处,对于通 过指定的入口进入系统的用户记录其身份信息(比如手机号),这里还同时根据用户的身 份信息及入口标记产生一个关键字,并将其记录下来。根据一实施例,考虑到大吞吐量应用的效率问题,本发明可以采用缓存存储所记录的信息。用户在进入系统入口后要对系统内 部页面进行访问之前,需要进行用户身份的验证,也即,验证用户是否在入口处记录过其身 份信息,这里可以根据用户的身份信息以及入口标记形成的关键字,查询相应记录,以验证 用户是否经过正规入口进行的访问。验证通过后,用户就可以正常访问系统内部页面,否则 若验证没通过,就会禁止其访问,并进一步会提示用户按照正常流程访问。
而对于系统的一些特定行为(如计费、获取资源等),用户在进行该特定行为之 前,会出现信息展示页面(如计费行为前的费用信息展示页面),不仅会在访问信息展示页 时验证用户身份信息是否在入口处记录过,而且,还同样会在访问该信息展示页时根据用 户信息以及该行为的特定标记产生一个关键字,并记录到缓存中,而在用户进一步请求特 定行为时(如计费等),再根据用户信息及该行为的特定标记产生的关键字到缓存中进行 查询,以再次验证用户是否在该行为相应的信息展示页面记录过,从而再次确定用户是否 按正常流程产生该行为,对特定行为进行双重保护。这里入口防御模块对于特定行为的整 个验证处理流程如图6所示。
这里入口防御模块用户进入特定行为信息展示页前,同样会验证用户是否在入口 处记录过信息,从而使防护行为环环相扣,保证对盗链防护的严谨性。因此,入口防御模块 不但实现了硬件防护中资源防护模块对资源的保护,而且严格规范了用户按正常流程进行 访问,系统入口处记录身份,内部访问步步验证,特殊行为信息记录,行为产生记录验证,防 护更严谨。
上述入口防御模块中进行普通渠道过滤的黑名单,是由深度反向解析模块提供 的。如图3所示,其中所述深度反向解析模块包括
提取单元,用于定期提取用户的访问记录;
分析单元,用于根据所述访问记录分析用户访问本网站所经由的普通渠道的IP 地址和用户所访问的页面内容;
添加黑名单单元,用于根据所述分析单元的分析结果将IP地址不在所述本网站 规定范围内和/或所述访问的页面内容中含有敏感内容的普通渠道添加到所述黑名单中, 阻止该普通渠道弓I入的后续访问。
根据本发明的一实施例,本发明的深度反向解析模块可以由在本网站的服务器上 运行软件程序来实现。
也即,深度反向解析模块可通过如图7所示的流程图来执行解析的功能,在图7 中,深度反向解析模块定期提取用户的访问记录,根据所述访问记录分析用户访问本网站 所经由的普通渠道的IP地址和用户所访问的页面内容,并根据分析结果将IP地址不在所 述本网站规定范围内和/或经由普通渠道所访问的页面内容中含有敏感内容的普通渠道 添加到黑名单中,阻止该普通渠道引入的后续访问。
深度反向解析模块实现了与硬件防护的访问来源限制模块相同的效果,并在此基 础上对访问来源的页面内容进行反向主动解析,防御更主动。如图7所示,深度反向解析 模块在由软件所执行的定期对应用的访问记录进行解析的过程中,对于每一条用户访问记 录,首先查询引入该请求的渠道是否为VIP渠道,对于由VIP渠道引入的请求将不再解析。 对于普通渠道的请求,查询此渠道是否在黑名单中已有记录,如果已在黑名单中,则也不对 此类请求进行分析。对于不在黑名单中的源自普通渠道的请求,首先获取该渠道的IP,并到IP地址信息库中,查找该IP隶属的国家及地区信息。如果该IP隶属的国家及地区不在系 统规定的合法地域范围内,则将该渠道信息加入到黑名单中,以阻止由该渠道引入的后续 访问。对于IP地域验证合法的请求,则通过请求头信息中的referer字段(referer字段 采用URL的格式,来表示从哪里链接了当前的网页或文件)反向获取引用渠道的页面内容。 解析获取的页面以提取出其中的文字内容和图像内容。检测文字和图像内容的合法性,对 于页面中含有敏感内容的渠道,将其添加到黑名单中,以阻止该渠道引入的后续访问。
如图8所示,对于文字内容的检测判断,是通过建立完备的敏感词资料库,并将文 字内容与资料库中的关键字进行匹配来完成的。具体为首先建立过滤模板,用于表达过滤 需求;其次从待过滤文本中提取特征向量,用于表达待过滤内容的主题;最后过滤模板与 待过滤内容进行匹配。内容如果不匹配则为合法内容。
对于图像内容的检测判断,是采用概要过滤加人工审核的半自动化方式进行处理 的。首先对图像的文字描述信息采取文字内容检测的方式进行合法性判断;然后采用皮肤 检测从图像中分离出皮肤区域,最后通过对皮肤区域进行皮肤特征、纹理特征以及区域形 状特征等特征提取比对,过滤出敏感的图像。这样过滤出的图像,有一定的准确率,但并不 能作为是否将渠道置入黑名单的依据,而只能把图像作为疑似敏感图像,并将图像与图像 所属渠道的信息记录下来,并由专人在管理后台进行审核,如确定为敏感图像,则将渠道添 加到黑名单中以阻止其引入的后续访问。
根据本发明的一个实施例,本发明还包括定向认证模块,用于在用户根据所述本 网站的合作方网站的推荐访问所述本网站的页面时,在访问时效内验证所述用户携带的验 证码与定向认证模块中所记录的验证码是否一致,是则允许所述用户访问,否则认定用户 访问不合法。
设置定向认证模块的原因是无线互联网络存在其特殊性,在应用中存在着合作方 网站(例如VIP渠道)通过发送信息(如push)等手段将本网站系统的某些资源直接推荐 给用户。为了提高用户的体验,这里合作方网站推荐的访问地址,是引导用户跳过系统的入 口直接进入系统内部对应位置,比如计费网页来产生计费并获取资源。这种情况因为绕过 了入口,无法进行入口防御,这种情况则交由定向认证模块进行防御。
所述定向认证模块验证的验证码是合作方网站在用户推荐本网站网址时一起发 送给用户的,因此,这需要在合作方网站发送之前,先生成验证码。如图9所示,定向认证 模块规定了合作方网站在向用户推荐本网站内容前,先将用户信息发送到定向认证模块进 行身份记录。而定向认证模块在收到合作方网站的请求后,首先检测合作方网站的访问IP 是否为事先约定好的访问IP,以及其访问密码是否与数据库中存储的该访问IP对应的访 问密码匹配。访问IP及密码验证通过后,则根据合作方网站请求的当前时间产生一个流水 号,将流水号、用户身份信息及渠道信息组合并加密产生一个验证码,为了便于后续的验证 查询,还可以根据流水号、用户身份信息(如手机号)、合作方网站的渠道信息产生一个关 键字,根据关键字与验证码的对应关系将验证码存储在如缓存的存储器中,同时对其设定 存储时效。然后将流水号及验证码返回给合作方网站。合作方网站得到返回结果后,将流 水号及验证码以参数的形式加入到推荐地址中,并将其发送给对应用户。
如图10所示,当用户访问推荐地址时,则首先进入定向认证模块进行身份认证, 定向认证模块会同样根据用户身份信息、用户携带的流水号及对应渠道信息产生的关键字到缓存中进行查找,如果查找到存储记录,并且查找到的验证码与用户携带的验证码匹配 无误,则允许用户进行相应行为。用户需在限定时效内进行访问,若验证码过期,则不再能 查找到对应验证码记录,则认定用户访问不合法,这也是从时间维度上对系统的保护。
根据本发明的一个实施例,所述定向认证模块在对用户身份进行验证时,具体包 括查找单元,用于根据用户的身份信息、流水号以及所述合作方网站的渠道信息生成的关 键字,查找所述本网站存储器内的验证码;判断单元,用于判断所述查找单元查找到的验证 码是否在访问时效内;比较单元,用于在所述判断单元判断出所述验证码在访问时效内时, 对比所述用户携带的验证码是否与所述查找到的验证码相一致,是则允许所述用户的访问 行为,否则认定用户访问不合法。
根据本发明的一个实施例,本发明的以上模块、单元、步骤中任一个都可以通过在 本网站的服务器中运行软件程序来实现。
根据本发明的实施例,本发明的入口防御模块规范系统入口,在入口处记录用户 访问信息,并在需在各防御处验证用户是否从规定入口进入;深度反向解析模块验证渠道 IP地域范围合法性,并主动反向解析渠道页面内容,以及文字内容和图像内容安全检测,而 还可以设置定向认证模块来根据待推荐用户信息为合作方网站提供生成验证码,并在用户 访问时,将已存的验证码与用户所携带的验证码进行比对认证,从而本发明采用在网站系 统入口处记录、合作方网站推荐验证码比对、IP地址地域性过滤、渠道页面反向主动解析以 及文字、图像内容安全检测等技术,使防盗链的防御更全面、更主动。由于在现有无线互联 网应用领域,一般使用纯硬件方式进行盗链防护,而本发明针对无线互联网领域的资源应 用(比如计费应用)的特点用纯软件形式对盗链相关的各种安全问题进行防控,更加灵活, 更加经济。
虽然已参照几个典型实施例描述了本发明,但应当理解,所用的术语是说明和示 例性、而非限制性的术语。由于本发明能够以多种形式具体实施而不脱离发明的精神或实 质,所以应当理解,上述实施例不限于任何前述的细节,而应在随附权利要求所限定的精神 和范围内广泛地解释,因此落入权利要求或其等效范围内的全部变化和改型都应为随附权 利要求所涵盖。
权利要求
1.一种防盗链系统,用来防止其它网站盗用本网站的资源,其特征在于,所述系统包括 设置在所述本网站的入口处的入口防御模块以及为所述入口防御模块提供黑名单的深度 反向解析模块;其中,所述入口防御模块包括黑名单验证单元,用于对于普通渠道所引入的访问所述本网站的用户请求,验证所述 普通渠道是否在所述黑名单中,指定入口单元,用于对所述黑名单验证单元验证出不在所述黑名单中的普通渠道指定 其访问的入口,登记单元,用于记录经由所述指定入口单元指定入口进行访问的用户信息, 验证单元,用于在用户访问所述本网站的页面时,验证该用户是否已经被记录过信息, 对于没有记录过信息的用户禁止其访问; 其中,所述深度反向解析模块包括 提取单元,用于定期提取用户的访问记录,分析单元,用于根据所述访问记录分析用户访问本网站所经由的普通渠道的IP地址 和用户所访问的页面内容,添加黑名单单元,用于根据所述分析单元的分析结果将IP地址不在所述本网站规定 范围内和/或所述访问的页面内容中含有敏感内容的普通渠道添加到所述黑名单中,阻止 该普通渠道引入的后续访问。
2.根据权利要求1所述的防盗链系统,其特征在于,所述入口防御模块还包括VIP渠道 处理单元,用于在所述本网站入口处,对于经由VIP渠道访问所述本网站的用户请求,直接 为其指定其访问的入口并记录该用户信息。
3.根据权利要求1所述的防盗链系统,其特征在于,所述入口防御模块还包括特定页面验证单元,用于在所述用户访问所述本网站的页面为特定行为信息展示页面 时,验证该用户是否已经被记录过信息;特定行为验证单元,用于在所述特定页面验证单元验证通过后根据所述用户的身份信 息以及特定行为标记生成关键字并记录下来,在所述用户请求特定行为时再次通过由用户 的身份信息以及特定行为标记生成的关键字验证所述用户是否在该特定行为信息展示页 面已经被记录过信息,是则允许所述用户进行特定行为,否则提示该用户按照正常流程访 问。
4.根据权利要求1-3任意一项所述的防盗链系统,其特征在于,所述入口防御模块还 包括关键字生成单元,用于根据所述用户身份信息和所述指定的入口标记来生成关键字; 其中所述登记单元将所生成的关键字存储下来;其中所述验证单元通过由所述用户身份信 息和所述指定的入口标记所生成的关键字来进行查询验证该用户是否已经被记录过信息。
5.根据权利要求1所述的防盗链系统,其特征在于,所述深度反向解析模块还包括 IP地址解析单元,用于在分析用户访问本网站所经由的普通渠道的IP地址时,查找所述IP地址隶属的国家及地区信息是否在所述本网站规定的合法地域范围内,是则获取所 述用户所访问的页面内容,否则将所述普通渠道添加到所述黑名单中。
6.根据权利要求1或5所述的防盗链系统,其特征在于,所述深度反向解析模块还包括页面内容解析单元,用于在分析用户所访问的页面内容时,解析所述页面内容以提取 出其中的文字内容和图像内容,检测所述文字内容和图像内容的合法性,将该用户访问不 合法的文字内容和图像内容所经由的普通渠道添加到所述黑名单中。
7.根据权利要求6所述的防盗链系统,其特征在于,所述页面内容解析单元中检测文 字内容的合法性是通过将所述文字内容的文字特征提取出来并与敏感词资料库中的关键 字进行匹配来完成。
8.根据权利要求6所述的防盗链系统,其特征在于,所述深度反向解析模块还包括 图像文字判断单元,用于对所述图像内容中的文字描述信息进行合法性判断;图像判断单元,用于对于判断具有合法文字描述信息的图像内容中的图像分离出其皮 肤区域,对所述皮肤区域进行皮肤特征、纹理特征以及区域特征进行比对,对于过滤出的疑 似敏感图像转入后台审核确认,若确认为具有敏感图像的图像内容,则将用户访问不合法 的图像内容所经由的普通渠道添加到所述黑名单中。
9.根据权利要求1所述的防盗链系统,其特征在于,所述系统还包括定向认证模块,用 于在用户根据所述本网站的合作方网站的推荐访问所述本网站的页面时,在访问时效内验 证所述用户携带的验证码与定向认证模块中所记录的验证码是否一致,是则允许所述用户 访问,否则认定用户访问不合法。
10.根据权利要求9所述的防盗链系统,其特征在于,所述定向认证模块还用于在所 述合作方网站向用户推荐所述本网站的页面之前,接收所述合作方网站发送的用户身份信 息,将所述用户身份信息、由接收用户身份信息的当前时间所生成的流水号以及所述合作 方网站的渠道信息生成关键字并同时将其组合加密生成验证码,根据所述关键字存储所述 验证码,同时将所述流水号和所述验证码返回给所述合作方网站。
11.根据权利要求9所述的防盗链系统,其特征在于,所述定向认证模块还包括查找单元,用于根据用户的身份信息、流水号以及所述合作方网站的渠道信息生成的 关键字,查找所述本网站存储器内的验证码;判断单元,用于判断所述查找单元查找到的验证码是否在访问时效内; 比较单元,用于在所述判断单元判断出所述验证码在访问时效内时,对比所述用户携 带的验证码是否与所述查找到的验证码相一致,是则允许所述用户的访问行为,否则认定 用户访问不合法。
12.一种防盗链方法,用来防止其它网站盗用本网站的资源,其特征在于,所述方法包括入口防御的步骤,具体为在本网站入口处对于普通渠道所引入的访问所述本网站的用户请求,验证所述普通渠 道是否在所述黑名单中,对验证出不在所述黑名单中的普通渠道指定其访问的入口, 记录经由所述指定的入口进行访问的用户信息,在用户访问所述本网站的页面时,验证该用户是否已经被记录过信息,对于没有记录 过信息的用户禁止其访问;深度反向解析的步骤,具体为 定期提取用户的访问记录;根据所述访问记录分析用户访问本网站所经由的普通渠道的IP地址和用户所访问的 页面内容,获得分析结果;根据所述分析结果将IP地址不在所述本网站规定范围内和/或所述访问的页面内容 中含有敏感内容的普通渠道添加到所述黑名单中,阻止该普通渠道引入的后续访问。
13.根据权利要求12所述的防盗链方法,其特征在于,所述入口防御的步骤还包括VIP 渠道处理步骤在所述本网站的入口处,对于经由VIP渠道访问所述本网站的用户请求,直 接为其指定其访问的入口并记录该用户信息。
14.根据权利要求12所述的防盗链方法,其特征在于,所述入口防御步骤还包括特定页面验证步骤,在所述用户访问所述本网站的页面为特定行为信息展示页面时, 验证该用户是否已经被记录过信息;特定行为验证步骤,对验证已经记录过信息的所述用户,根据所述用户的身份信息以 及特定行为标记生成关键字并记录下来,在所述用户请求特定行为时再次通过由用户的身 份信息以及特定行为标记生成的关键字验证所述用户是否在该特定行为信息展示页面已 经被记录过信息,是则允许所述用户进行特定行为,否则提示该用户按照正常流程访问。
15.根据权利要求12所述的防盗链方法,其特征在于,所述方法还包括定向认证步骤 在用户根据所述本网站的合作方网站的推荐访问所述本网站的页面时,在访问时效内验证 所述用户携带的验证码与所述本网站中已记录的验证码是否一致,是则允许所述用户访 问,否则认定用户访问不合法。
16.根据权利要求15所述的防盗链方法,其特征在于,所述定向认证步骤还包括在所 述合作方网站向用户推荐所述本网站的页面之前,接收所述合作方网站发送的用户身份信 息,将所述用户身份信息、由接收用户身份信息的当前时间所生成的流水号以及所述合作 方网站的渠道信息生成关键字并同时将其组合加密生成验证码,根据所述关键字存储所述 验证码,同时将所述流水号和所述验证码返回给所述合作方网站。
17.根据权利要求15所述的防盗链方法,其特征在于,所述定向认证步骤具体为根据用户的身份信息、流水号以及所述合作方网站的渠道信息生成的关键字,查找所述本网站存储器内的验证码;判断查找到的验证码是否在访问时效内;在判断出所述验证码在访问时效内时,对比所述用户携带的验证码是否与所述查找到 的验证码相一致,是则允许所述用户的访问行为,否则认定用户访问不合法。
全文摘要
本发明公开了一种防盗链系统及方法,所述系统包括设置在本网站入口处的入口防御模块以及为所述入口防御模块提供黑名单的深度反向解析模块;所述入口防御模块包括黑名单验证单元、指定入口单元、登记单元以及验证单元,用于对于普通渠道所引入的访问本网站的用户请求,验证所述普通渠道是否在黑名单中,通过在网站的访问入口处,对用户的访问渠道进行黑名单验证,并在验证通过之后记录用户信息,在此后的每步访问中都要验证该用户信息是否登记过,所述深度反向解析模块包括提取单元、分析单元以及添加黑名单单元,用于对用户的访问记录分析并根据分析结果添加黑名单。本发明规范用户按照正常流程进行访问,灵活经济地避免了盗链的产生。
文档编号H04L29/06GK102045348SQ20101056944
公开日2011年5月4日 申请日期2010年12月1日 优先权日2010年12月1日
发明者李特恩 申请人:北京迅捷英翔网络科技有限公司