一种网站防攻击验证系统及方法与流程

本发明涉及网络安全技术领域，具体是涉及一种网站防攻击验证系统及方法。

背景技术：

目前视频直播网站在日常执行各种业务时，需要保存各种敏感信息，例如用户个人身份信息、信用卡支付数据和网站商业信息，因此极易成为不法用户的攻击目标。为了保护用户和网站的利益，需要对请求连接的客户端进行验证以防御不法用户的各种非法请求或者网络攻击，客户端一般指浏览器或者app应用。但是互联网网站，尤其是视频直播网站的用户众多，访问量巨大，如何既保证合法用户对网站的访问和维持网站的正常运行，又能够确保合法用户和网站的安全，已经成为急需解决的问题。

技术实现要素：

针对现有技术中存在的缺陷，本发明的主要目的在于提供一种网站防攻击验证系统，本发明的另一目的在于提供一种网站防攻击验证方法，采用验证鉴权密码的方式，既能够保证安全用户的请求不受影响，也能有效地拦截非安全用户的连接请求，防范对网站的非法请求和网络攻击，确保网站安全运行。

本发明提供一种网站防攻击验证系统，包括：

一级检测模块，用于使用鉴权密码检测用户是否为系统认定过的安全用户；

二级检测模块，用于通过用户请求访问的统一资源定位器 URL、用户访问时间和用户IP判断一级检测模块认定的非安全用户的用户行为是否为网络攻击。

在上述技术方案的基础上，所述鉴权密码包括第一鉴权密码以及与所述第一鉴权密码配对的第二鉴权密码；所述系统还包括密码生成模块，所述密码生成模块用于向所述二级检测模块认定的用户行为属于网络攻击的用户发送验证码，将验证码加密生成第一鉴权密码，并判断该用户输入的验证码是否正确，验证码正确后，生成与第一鉴权密码配对的第二鉴权密码，并将所述第一鉴权密码和第二鉴权密码发送到输入正确的用户浏览器的cookie中，并将所述第一鉴权密码发送到输入错误的用户浏览器的cookie中，以及将验证码错误信息发送给输入错误的用户。

在上述技术方案的基础上，所述第二鉴权密码包括所述验证码和密钥。

在上述技术方案的基础上，所述密码生成模块使用HMACMD5加密算法将验证码加密生成所述第一鉴权密码，并将验证码和密钥加密生成所述第二鉴权密码。

在上述技术方案的基础上，所述系统还包括存储模块，所述存储模块用于保存所述验证码、密钥、鉴权密码、以及监控表，所述监控表记录需监控的URL、需监控时间段和需监控用户IP。

在上述技术方案的基础上，所述需监控时间段记录每个URL需监控的时间段。

在上述技术方案的基础上，二级检测模块将通过大数据分析得到的需监控的URL和需监控用户IP存入所述监控表中。

本发明还提供一种网站防攻击验证方法，包括以下步骤：

S1.一级检测模块使用鉴权密码检测用户是否为系统认定过的 安全用户，所述鉴权密码包括第一鉴权密码以及与所述第一鉴权密码配对的第二鉴权密码，若是，进入S4；若否，进入S2；

S2.二级检测模块通过用户请求访问的统一资源定位器URL、用户访问时间和用户IP判断一级检测模块认定的非安全用户的用户行为是否为网络攻击；若否，进入S6；若是，进入S3；

S3.密码生成模块向所述二级检测模块认定的用户行为属于网络攻击的用户发送验证码，将验证码加密生成第一鉴权密码，并判断该用户输入的验证码是否正确，若否，进入S4；若是，进入S5；

S4.将所述第一鉴权密码和验证码错误信息发送给输入错误的用户，结束；

S5.生成与所述第一鉴权密码配对的第二鉴权密码，将所述第一鉴权密码和第二鉴权密码发送到输入正确的用户浏览器的cookie中；

S6.显示用户请求的内容，结束。

在上述技术方案的基础上，步骤S1具体包括：

一级检测模块接收用户发送的请求，并检测用户浏览器的cookie中是否有鉴权密码，以及鉴权密码是否配对，若用户浏览器的cookie中有鉴权密码且配对，则判断该用户为系统认定过的安全用户。

在上述技术方案的基础上，步骤S2具体包括：

二级检测模块依次检测用户请求访问的URL、用户访问时间和用户IP是否为需监控的URL、需监控时间段和需监控用户IP，若二级检测模块的检测结果均为是，则判断该用户行为为网络攻击。

与现有技术相比，本发明的优点如下：

(1)本发明包括一级检测模块和二级检测模块，一级检测模块 用于使用鉴权密码检测用户是否为系统认定过的安全用户，二级检测模块用于通过用户请求访问的统一资源定位器URL、用户访问时间和用户IP判断一级检测模块认定的非安全用户的用户行为是否为网络攻击。因此，既能够保证安全用户的请求不受影响，也能有效地拦截非安全用户的连接请求，防范对网站的非法请求和网络攻击，确保网站安全运行。

(2)本发明包括密码生成模块，密码生成模块用于向二级检测模块认定的用户行为属于网络攻击的用户发送验证码，将验证码加密生成第一鉴权密码，并判断该用户输入的验证码是否正确，验证码正确后，生成与第一鉴权密码配对的第二鉴权密码，并将第一鉴权密码和第二鉴权密码发送到输入正确的用户浏览器的cookie中，完成对安全用户的认定。以及将第一鉴权密码发送到输入错误的用户浏览器的cookie中，以及将验证码错误信息发送给输入错误的用户，对网络攻击用户的连接请求进行拦截。

(3)本发明中的密码生成模块使用HMACMD5加密算法将验证码加密生成鉴权密码，鉴权密码包括第一鉴权密码和与第一鉴权密码配对的第二鉴权密码，其中，第一鉴权密码包括验证码，第二鉴权密码包括验证码和密钥。因此，鉴权密码安全性高，能够确保网站的安全运行。

(4)本发明中的二级检测模块将通过大数据分析得到的需监控的URL和用户IP存入监控表中。监控表记录需监控的URL、需监控时间段和需监控用户IP，需监控时间段记录每个URL需监控的时间段，因此，能够根据实际情况采取灵活应对措施，确保对需监控的URL、需监控时间段和用户IP的合理管控。

附图说明

图1是本发明实施例网站防攻击验证系统框图；

图2是本发明实施例网站防攻击验证方法流程图。

附图标记：

一级检测模块1，二级检测模块2，密码生成模块3，存储模块4。

具体实施方式

术语说明：

Lua为嵌入服务器的脚本语言。

Nginx是一款轻量级的Web服务器、反向代理服务器及电子邮件(IMAP/POP3)代理服务器。

验证码是用户识别图片进行行为验证。

TCP(Transmission Control Protocol传输控制协议)。

MD5(Message Digest Algorithm消息摘要算法第五版)为计算机安全领域广泛使用的一种散列函数，用以提供消息的完整性保护。

HMAC(Hash-based Message Authentication Code)是密钥相关的哈希运算消息认证码，HMAC运算利用哈希算法，以一个密钥和一个消息为输入，生成一个消息摘要作为输出。

HMACMD5是从MD5哈希函数构造的一种键控哈希算法，被用作基于哈希的消息验证代码。此HMAC进程将密钥与消息数据混合，使用哈希函数对混合结果进行哈希计算，将所得哈希值与该密钥混合，然后再次应用哈希函数。输出的哈希值长度为128位。

下面结合附图及具体实施例对本发明作进一步的详细描述。

参见图1所示，本发明实施例提供一种网站防攻击验证系统，包括一级检测模块1、二级检测模块2、密码生成模块3和存储模块4。该系统保存在服务器端，其中：

一级检测模块1，用于使用鉴权密码检测用户是否为系统认定过的安全用户；

二级检测模块2，用于通过用户请求访问的统一资源定位器URL、用户访问时间和用户IP判断一级检测模块1认定的非安全用户的用户行为是否为网络攻击。

本发明包括一级检测模块1和二级检测模块2，一级检测模块1用于使用鉴权密码检测用户是否为系统认定过的安全用户，二级检测模块2用于通过用户请求访问的统一资源定位器URL、用户访问时间和用户IP判断一级检测模块认定的非安全用户的用户行为是否为网络攻击。因此，既能够保证安全用户的请求不受影响，也能有效地拦截非安全用户的连接请求，防范对网站的非法请求和网络攻击，确保网站安全运行。

鉴权密码包括第一鉴权密码以及与第一鉴权密码配对的第二鉴权密码。密码生成模块3用于向二级检测模块2认定的用户行为属于网络攻击的用户发送验证码，将验证码加密生成第一鉴权密码，并判断该用户输入的验证码是否正确，验证码正确后，生成第二鉴权密码，并将第一鉴权密码和第二鉴权密码发送到输入正确的用户浏览器的cookie中，以及将第一鉴权密码发送到输入正确的用户浏览器的cookie中，以及将验证码错误信息发送给输入错误的用户。

在高并发量请求时，如果将用于验证用户的鉴权密码存储在服务器端将产生的大量TCP连接，为了避免服务器端性能下降，因此本发明将用于验证用户的鉴权密码存储在用户浏览器的cookie中。

本发明中的密码生成模块3将第一鉴权密码和与第一鉴权密码配对的第二鉴权密码发送到输入正确的用户浏览器的cookie中，完成对安全用户的认定，并将第一鉴权密码发送到输入错误的用户浏 览器的cookie中，以及将验证码错误信息发送给输入错误的用户，对网络攻击用户的连接请求进行拦截。

第二鉴权密码包括验证码和密钥。

密码生成模块3使用HMACMD5加密算法将验证码加密生成第一鉴权密码，并将验证码和密钥加密生成第二鉴权密码。

本发明中的密码生成模块3使用HMACMD5加密算法将验证码加密生成鉴权密码，鉴权密码包括第一鉴权密码和与第一鉴权密码配对的第二鉴权密码，其中，第一鉴权密码包括验证码，第二鉴权密码包括验证码和密钥。因此，鉴权密码安全性高，能够确保网站的安全运行。

存储模块4用于保存验证码、密钥、鉴权密码、以及监控表，监控表记录需监控的URL、需监控时间段和需监控用户IP。

需监控时间段记录每个URL需监控的时间段。

二级检测模块2将通过大数据分析得到的需监控的URL和需监控用户IP存入监控表中。

本发明中的二级检测模块2将通过大数据分析得到的需监控的URL和用户IP存入监控表中。监控表记录需监控的URL、需监控时间段和需监控用户IP，需监控时间段记录每个URL需监控的时间段，因此，能够根据实际情况采取灵活应对措施，确保对需监控的URL、需监控时间段和用户IP的合理管控。

一级检测模块1、二级检测模块2和密码生成模块3可以使用lua脚本语言在基于Nginx服务器的服务器端上实现上述功能。

参见图2所示，本发明实施例还提供一种网站防攻击验证方法，包括以下步骤：

S1.一级检测模块使用鉴权密码检测用户是否为系统认定过的 安全用户，鉴权密码包括第一鉴权密码以及与第一鉴权密码配对的第二鉴权密码，若是，进入S4；若否，进入S2。

步骤S1具体包括：

一级检测模块接收用户发送的请求，并检测用户浏览器的cookie中是否有鉴权密码，以及鉴权密码是否配对，若用户浏览器的cookie中有鉴权密码且配对，则判断该用户为系统认定过的安全用户。

S2.二级检测模块通过用户请求访问的统一资源定位器URL、用户访问时间和用户IP判断一级检测模块认定的非安全用户的用户行为是否为网络攻击；若否，进入S6；若是，进入S3。

步骤S2具体包括：

二级检测模块2依次检测用户请求访问的URL、用户访问时间和用户IP是否为需监控的URL、需监控时间段和需监控用户IP，若二级检测模块2的检测结果均为是，则判断该用户行为为网络攻击。

S3.密码生成模块3向二级检测模块2认定的用户行为属于网络攻击的用户发送验证码，将验证码加密生成第一鉴权密码，并判断该用户输入的验证码是否正确，若否，进入S4；若是，进入S5。

S4.将第一鉴权密码和验证码错误信息发送给输入错误的用户，结束。

S5.生成与第一鉴权密码配对的第二鉴权密码，将第一鉴权密码和第二鉴权密码发送到输入正确的用户浏览器的cookie中。

S6.显示用户请求的内容，结束。

本发明不局限于上述实施方式，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰， 这些改进和润饰也视为本发明的保护范围之内。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。