服务器侵入检测方法及网关设备与流程
本发明涉及网络安全技术领域,尤其涉及一种服务器侵入检测方法及网关设备。
背景技术:
随着网络科技的发展,网络安全已成为网络通信非常关键的因素。在维护网络安全中,为了检测服务器是否被黑客侵入,现有技术一般是通过在服务器上部署检测工具或检测设备,通过检测工具或检测设备来检测服务器是否被黑客侵入。由于每台服务器都需要部署检测工具或检测设备,导致检测服务器是否被侵入的成本较高。
技术实现要素:
本发明的主要目的在于提出一种服务器侵入检测方法及网关设备,旨在解决现有技术中检测服务器是否被侵入成本较高的技术问题。
为实现上述目的,本发明提供一种服务器侵入检测方法,所述服务器侵入检测方法包括以下步骤:
网关设备在接收到客户端发送的访问请求时,转发所述访问请求至对应的服务器,以供所述服务器根据所述访问请求反馈相应的网站内容;
在接收到服务器反馈的所述网站内容时,根据所述网站内容检测所述服务器是否被侵入;
在检测到所述服务器未被侵入时,将接收到的网站内容转发至所述客户端。
优选地,所述在接收到服务器反馈的所述网站内容时,根据所述网站内容检测所述服务器是否被侵入的步骤包括:
在接收到服务器反馈的所述网站内容时,对所述网站内容进行黑链检测;
在检测到黑链时,判断所述服务器被侵入;
在未检测到黑链时,判断所述服务器未被侵入。
优选地,所述对所述网站内容进行黑链检测的步骤包括:
检测所述网站内容中是否包含黑链标签或黑链特征,其中,在检测到所述网站内容中包含黑链标签或黑链特征时,确定检测到黑链。
优选地,所述服务器侵入检测方法还包括步骤:
在检测到所述服务器被侵入时,显示相应的服务器被侵入提示信息。
优选地,所述服务器侵入检测方法还包括步骤:
在检测到所述服务器被侵入时,对接收到的网站内容进行相应处理,并将处理后的网站内容发送至所述客户端。
此外,为实现上述目的,本发明还提出一种网关设备,所述网关设备包括:
通讯模块,用于网关设备在接收到客户端发送的访问请求时,转发所述访问请求至对应的服务器,以供所述服务器根据所述访问请求反馈相应的网站内容;
检测模块,用于在接收到服务器反馈的所述网站内容时,根据所述网站内容检测所述服务器是否被侵入;
处理模块,用于在检测到所述服务器未被侵入时,将接收到的网站内容转发至所述客户端。
优选地,所述检测模块包括:
检测单元,用于在接收到服务器反馈的所述网站内容时,对所述网站内容进行黑链检测;
判断单元,用于在检测到黑链时,判断所述服务器被侵入;在未检测到黑链时,判断所述服务器未被侵入。
优选地,所述检测单元用于:
检测所述网站内容中是否包含黑链标签或黑链特征,其中,在检测到所述网站内容中包含黑链标签或黑链特征时,确定检测到黑链。
优选地,所述处理模块还用于:
在检测到所述服务器被侵入时,发送相应的服务器被侵入提示信息。
优选地,所述处理模块还用于:
在检测到所述服务器被侵入时,对接收到的网站内容进行相应处理,并将处理后的网站内容发送至所述客户端。
本发明提出的服务器侵入检测方法及网关设备,在该服务器侵入检测方法中,当网关设备接收到客户端发送的访问请求时,转发该访问请求至对应服务器,之后,网关设备在接收到服务器反馈的响应该访问请求的网站内容时,根据接收到的网站内容检测服务器是否被侵入,因此省去了在服务器部署检测工具或检测设备,降低了检测服务器是否被侵入的成本。
附图说明
图1为本发明服务器侵入检测方法第一实施例的流程示意图;
图2为实现本发明各个实施例的网络通信系统示意图;
图3为本发明服务器侵入检测方法第二实施例中根据所述网站内容检测所述服务器是否被侵入的细化流程示意图;
图4为本发明网关设备第一实施例的功能模块示意图;
图5为本发明网关设备第二实施例中检测模块的细化功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种服务器侵入检测方法,参照图1,图1为本发明服务器侵入检测方法第一实施例的流程示意图。
在本实施例中,该服务器侵入检测方法包括以下步骤:
步骤s10,网关设备在接收到客户端发送的访问请求时,转发所述访问请求至对应的服务器,以供所述服务器根据所述访问请求反馈相应的网站内容;
在本实施例中,如图2所示,客户端、网关设备和服务器组成一个网络通信系统。其中,客户端包括浏览器等,服务器包括网站等,网关设备包括但不限于防火墙、交换机等。当客户端需要访问服务器时,客户端发送相应的访问请求至对应的网关设备,当网关设备接收到客户端发送的该访问请求时,将该访问请求转发至对应的服务器。当服务器接收到网关设备发送过来的该 访问请求时,响应该访问请求,将该访问请求对应的网站内容反馈至网关设备。
步骤s20,在接收到服务器反馈的所述网站内容时,根据所述网站内容检测所述服务器是否被侵入;
当网关设备接收到服务器反馈的网站内容时,不是直接执行将接收到的网站内容转发至客户端的操作,而是先对该网站内容进行检测,通过对网站内容的检测判断服务器是否遭到黑客攻击,服务器是否被侵入。例如,通过检测网站内容是否篡改或是否植入黑链来判断服务器是否被侵入。当检测到网站内容被篡改或者植入了黑链时,则判断服务器被侵入。
因此,在本实施例中,通过网关设备来检测服务器是否被侵入,使得不需要通过人工检测服务器是否被侵入,也即避免了人工检测无法及时,有效进行检测,费时费力的弊端;同样,也不需要额外购买其他检测工具或检测设备,对每台服务器都部署检测工具或检测设备,节约了成本;并且,网关设备仅在接收到服务器发送的网站内容时才进行检测服务器是否被侵入,不需要主动扫描服务器的文件,从而避免了消耗服务器的处理性能的问题。
步骤s30,在检测到所述服务器未被侵入时,将接收到的网站内容转发至所述客户端。
本实施例中,网关设备在对接收到的网站内容进行检测,判断服务器是否被侵入后,根据检测结果执行相应的处理。例如,当检测到服务器未被侵入时,也即服务器正常运行时,则将接收到的网站内容转发至客户端,以供客户端在接收到该网站内容时,根据该网站内容执行相应操作。当检测到服务器被侵入时,则不转发接收到的网站内容至客户端。
本实施例提供的方案,当网关设备接收到客户端发送的访问请求时,转发该访问请求至对应服务器,之后,网关设备在接收到服务器反馈的响应该访问请求的网站内容时,检测服务器是否被侵入,因此不需要在服务器部署检测工具或检测设备,降低了检测服务器是否被侵入的成本。
进一步地,如图3所示,基于第一实施例提出本发明服务器侵入检测方法第二实施例。在本实施例中,所述步骤s20包括:
步骤s21,在接收到服务器反馈的所述网站内容时,对所述网站内容进行 黑链检测;
步骤s22,根据黑链的检测结果判断所述服务器是否被侵入,其中,在检测到黑链时,判断所述服务器被侵入;在未检测到黑链时,判断所述服务器未被侵入。
黑链是seo(searchengineoptimization,搜素引擎优化)手法中相当普遍的一种手段,通过不合法的手段侵入一些搜索引擎权重高的正常网站(比较如教育网站、政府网站),然后在这些正常的网站里面插入特定的关键字,欺骗搜索引擎去收录。由于这些网站本身的权重比较高,在搜索引擎搜索此关键字时,会优先显示这类网站。通过黑链这种手段,欺骗搜索引擎使自己的网站访问量迅速提升,是一种高效提升网站排名的方式,其潜藏的利益吸引了诸多黑客,并逐步行成一个基于黑链的庞大黑色产业链。在这个产业链的背后,是成千上万个已经被侵入的服务器,这也直接说明黑链的影响存在极大的广泛性。简而言之,因为黑链的普遍性和广泛性,以检测黑链来判断服务器是否被侵入的整体效果很客观。
因此,在本实施例中,当网关设备接收到服务器反馈的响应访问请求的网站内容时,对接收到的网站内容进行黑链检测。当检测到黑链时,则判断该服务器被侵入,当未检测到黑链时,则判断所述服务器未被侵入。具体地,本实施例中,所述步骤s21包括:
步骤a,检测所述网站内容中是否包含黑链标签或黑链特征,其中,在检测到所述网站内容中包含黑链标签或黑链特征时,确定检测到黑链。
由于黑链基本是html标签形式存在,并通过css、javascript等方式来达到隐藏的效果,比如将黑链显示在超过浏览器屏幕边缘的地方,不让浏览器等客户端显示出来,或者是将字体大小修改缩小到用户肉眼无法辨别。通常,黑链具有常用的黑链标签(例如</a>标签)、常用的黑链特征(例如<divstyle=”position:absolute;top:-***px;left:-***px;”>)、以及外链、关键字等。因此,在本实施例中,当网关设备接收到服务器反馈的网站内容,对该网站内容进行黑链检测时,检测该网站内容中是否包含黑链标签或黑链特征。在检测到黑链标签或黑链特征时,则确定检测到了黑链。
优选地,为了提高检测效率,可先进行去重/过滤操作,例如,设置一预设时间t,在该预设时间t内已检测过的网站内容不再进行检测。又如,对非 html、javascript、css等格式文件不进行检测。在进行去重/过滤操作后,还可执行页面缓存操作。例如,将html、javascript、css等格式页面缓存为文件后再进行黑链检测。进一步地,当检测到黑链时,为了降低或避免误判,对黑链进行误判处理。例如,通过设定权重值、检测外链属性、非法关键字匹配、原页面性质对比等方式进行误判处理。
本领域技术人员可以理解的是,黑链检测方式不限于上述一种方式,还可以通过其他方式对黑链进行检测,在此不再赘述。不管通过哪种方式,只要能通过在网关设备上准确的检测到黑链,就能实现服务器侵入检测。
进一步地,在本实施例中,所述服务器侵入检测方法还包括步骤:
步骤b,在检测到所述服务器被侵入时,发送相应的服务器被侵入提示信息。
在本实施例中,当网关设备检测到服务器未被侵入时,也即服务器正常运行时,网关设备将服务器反馈的网站内容转发至客户端,以供客户端在接收到该网站内容时,根据该网站内容执行相应操作。当网关设备检测到服务器被侵入时,则网关设备显示相应的服务器被侵入提示信息,例如,网关设备执行报警、将检测到的黑链所在位置进行高亮显示等操作,以便维护人员对黑链进行清除。
进一步地,本实施例中,所述服务器侵入检测方法还包括步骤:
步骤c,在检测到所述服务器被侵入时,对接收到的网站内容进行相应处理,并将处理后的网站内容发送至所述客户端。
当网关设备检测到服务器被侵入时,除了可以显示相应的服务器被侵入提示信息外,还对接收到的网站内容进行相应处理,并将处理后的网站内容发送至客户端。例如,当网关设备检测到黑链时,网关设备对检测到的黑链进行清除处理,并将清除黑链后的网站内容发送至客户端。
本实施例提供的方案,网关设备通过对接收到的网站内容进行黑链检测,在检测到黑链时,则判断所述服务器被侵入,由于黑链检测高效、便捷,因此,提高了服务器是否被侵入的检测效率。
本发明进一步提供一种网关设备,如图4所示,图4为本发明网关设备第一实施例的功能模块示意图。
在本实施例中,该网关设备包括:
通讯模块10,用于网关设备在接收到客户端发送的访问请求时,转发所述访问请求至对应的服务器,以供所述服务器根据所述访问请求反馈相应的网站内容;
在本实施例中,如图2所示,客户端、网关设备和服务器组成一个网络通信系统。其中,客户端包括浏览器等,服务器包括网站等,网关设备包括但不限于防火墙、交换机等。当客户端需要访问服务器时,客户端发送相应的访问请求至对应的网关设备,当网关设备接收到客户端发送的该访问请求时,网关设备的通讯模块10将该访问请求转发至对应的服务器。当服务器接收到网关设备发送过来的该访问请求时,响应该访问请求,将该访问请求对应的网站内容反馈至网关设备。
检测模块20,用于在接收到服务器反馈的所述网站内容时,根据所述网站内容检测所述服务器是否被侵入;
当网关设备接收到服务器反馈的网站内容时,不是直接执行将接收到的网站内容转发至客户端的操作,而是通过检测模块20先对该网站内容进行检测,通过对网站内容的检测判断服务器是否遭到黑客攻击,服务器是否被侵入。例如,检测模块20通过检测网站内容是否篡改或是否植入黑链来判断服务器是否被侵入。当检测模块20检测到网站内容被篡改或者植入了黑链时,则判断服务器被侵入。
因此,在本实施例中,通过网关设备来检测服务器是否被侵入,使得不需要通过人工检测服务器是否被侵入,也即避免了人工检测无法及时,有效进行检测,费时费力的弊端;同样,也不需要额外购买其他检测工具或检测设备,对每台服务器都部署检测工具或检测设备,节约了成本;并且,检测模块20仅在接收到服务器发送的网站内容时才进行检测服务器是否被侵入,不需要主动扫描服务器的文件,从而避免了消耗服务器的处理性能的问题。
处理模块30,用于在检测到所述服务器未被侵入时,将接收到的网站内容转发至所述客户端。
本实施例中,检测模块20在对接收到的网站内容进行检测,判断服务器是否被侵入后,处理模块30根据检测结果执行相应的处理。例如,当检测模块20检测到服务器未被侵入时,也即服务器正常运行时,则处理模块30将接 收到的网站内容转发至客户端,以供客户端在接收到该网站内容时,根据该网站内容执行相应操作。当检测模块20检测到服务器被侵入时,则处理模块30不转发接收到的网站内容至客户端。
本实施例提供的方案,当网关设备接收到客户端发送的访问请求时,通讯模块10转发该访问请求至对应服务器,之后,网关设备在接收到服务器反馈的响应该访问请求的网站内容时,检测模块20检测服务器是否被侵入,因此不需要在服务器部署检测工具或检测设备,降低了检测服务器是否被侵入的成本。
进一步地,如图5所示,基于第一实施例提出本发明网关设备第二实施例。在本实施例中,所述检测模块20包括:
检测单元21,用于在接收到服务器反馈的所述网站内容时,对所述网站内容进行黑链检测;
判断单元22,用于根据黑链的检测结果判断所述服务器是否被侵入,其中,在检测到黑链时,判断所述服务器被侵入;在未检测到黑链时,判断所述服务器未被侵入。
黑链是seo(searchengineoptimization,搜素引擎优化)手法中相当普遍的一种手段,通过不合法的手段侵入一些搜索引擎权重高的正常网站(比较如教育网站、政府网站),然后在这些正常的网站里面插入特定的关键字,欺骗搜索引擎去收录。由于这些网站本身的权重比较高,在搜索引擎搜索此关键字时,会优先显示这类网站。通过黑链这种手段,欺骗搜索引擎使自己的网站访问量迅速提升,是一种高效提升网站排名的方式,其潜藏的利益吸引了诸多黑客,并逐步行成一个基于黑链的庞大黑色产业链。在这个产业链的背后,是成千上万个已经被侵入的服务器,这也直接说明黑链的影响存在极大的广泛性。简而言之,因为黑链的普遍性和广泛性,以检测黑链来判断服务器是否被侵入的整体效果很客观。
因此,在本实施例中,当网关设备接收到服务器反馈的响应访问请求的网站内容时,检测单元21对接收到的网站内容进行黑链检测。当检测单元21检测到黑链时,判断单元22判断该服务器被侵入;当检测单元21未检测到黑链时,判断单元22判断该服务器未被侵入。具体地,本实施例中,所述检测 单元21用于:
检测所述网站内容中是否包含黑链标签或黑链特征,其中,在检测到所述网站内容中包含黑链标签或黑链特征时,确定检测到黑链。
由于黑链基本是html标签形式存在,并通过css、javascript等方式来达到隐藏的效果,比如将黑链显示在超过浏览器屏幕边缘的地方,不让浏览器等客户端显示出来,或者是将字体大小修改缩小到用户肉眼无法辨别。通常,黑链具有常用的黑链标签(例如</a>标签)、常用的黑链特征(例如<divstyle=”position:absolute;top:-***px;left:-***px;”>)、以及外链、关键字等。因此,在本实施例中,当网关设备接收到服务器反馈的网站内容,检测单元21对该网站内容进行黑链检测时,检测该网站内容中是否包含黑链标签或黑链特征。在检测单元21检测到黑链标签或黑链特征时,则确定检测到了黑链。
优选地,为了提高检测效率,检测单元21可先进行去重/过滤操作,例如,设置一预设时间t,在该预设时间t内已检测过的网站内容不再进行检测。又如,对非html、javascript、css等格式文件不进行检测。在进行去重/过滤操作后,还可执行页面缓存操作。例如,将html、javascript、css等格式页面缓存为文件后再进行黑链检测。进一步地,当检测到黑链时,为了降低或避免误判,检测单元21对黑链进行误判处理。例如,通过设定权重值、检测外链属性、非法关键字匹配、原页面性质对比等方式进行误判处理。
本领域技术人员可以理解的是,黑链检测方式不限于上述一种方式,还可以通过其他方式对黑链进行检测,在此不再赘述。不管通过哪种方式,只要检测单元21能通过在网关设备上准确的检测到黑链,就能实现服务器侵入检测。
进一步地,在本实施例中,所述处理模块30还用于:
在检测到所述服务器被侵入时,发送相应的服务器被侵入提示信息。
在本实施例中,当检测模块20检测到服务器未被侵入时,也即服务器正常运行时,处理模块30将服务器反馈的网站内容转发至客户端,以供客户端在接收到该网站内容时,根据该网站内容执行相应操作。当检测模块20检测到服务器被侵入时,则处理模块30显示相应的服务器被侵入提示信息,例如,处理模块30执行报警、将检测到的黑链所在位置进行高亮显示等操作,以便维护人员对黑链进行清除。
进一步地,本实施例中,所述处理模块30还用于:
在检测到所述服务器被侵入时,对接收到的网站内容进行相应处理,并将处理后的网站内容发送至所述客户端。
当检测模块20检测到服务器被侵入时,处理模块30除了可以显示相应的服务器被侵入提示信息外,还对接收到的网站内容进行相应处理,并将处理后的网站内容发送至客户端。例如,当检测模块20检测到黑链时,处理模块30对检测到的黑链进行清除处理,并将清除黑链后的网站内容发送至客户端。
本实施例提供的方案,检测模块20通过对接收到的网站内容进行黑链检测,在检测到黑链时,则判断所述服务器被侵入,由于黑链检测高效、便捷,因此,提高了服务器是否被侵入的检测效率。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
- 还没有人留言评论。精彩留言会获得点赞!