專利名稱:計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)交互方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)交互方法。
背景技術(shù):
隨著計(jì)算機(jī)技術(shù)的發(fā)展����,網(wǎng)絡(luò)安全日益引起人們的重視。圖1是根據(jù)現(xiàn)有技術(shù)的一種計(jì)算機(jī)網(wǎng)絡(luò)的基本結(jié)構(gòu)示意圖�����。如圖1所示�,多個(gè)終端設(shè)備11 (圖中以省略方式示出多個(gè))與域名解析服務(wù)器12連接�,并且與網(wǎng)站服務(wù)器13連接�����,從而實(shí)現(xiàn)與網(wǎng)站服務(wù)器13 的數(shù)據(jù)交互����。網(wǎng)站服務(wù)器13可以向終端設(shè)備11提供各種網(wǎng)絡(luò)服務(wù)����。目前防火墻、入侵防御UTM�����、防病毒網(wǎng)關(guān)�����、殺毒軟件等安全產(chǎn)品均采用安全檢查的方式保證網(wǎng)絡(luò)安全���,入侵檢測(cè)產(chǎn)品采用安全監(jiān)控方式保護(hù)網(wǎng)絡(luò)安全�。在各種網(wǎng)絡(luò)攻擊手段層出不窮的情況下��,現(xiàn)有的上述網(wǎng)絡(luò)安全措施對(duì)于網(wǎng)絡(luò)攻擊的防御能力不佳,影響到網(wǎng)站服務(wù)器的數(shù)據(jù)安全?��,F(xiàn)有技術(shù)中的網(wǎng)絡(luò)安全措施對(duì)于網(wǎng)絡(luò)攻擊的防御能力不佳����,對(duì)于該問(wèn)題�,目前尚未提出有效解決方案。
發(fā)明內(nèi)容
本發(fā)明的主要目的是提供一種計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)交互方法�,以解決現(xiàn)有技術(shù)中的網(wǎng)絡(luò)安全措施對(duì)于網(wǎng)絡(luò)攻擊的防御能力不佳的問(wèn)題。為了實(shí)現(xiàn)上述目的�����,根據(jù)本發(fā)明的一個(gè)方面���,提供了一種計(jì)算機(jī)系統(tǒng)���。本發(fā)明的計(jì)算機(jī)系統(tǒng)用于終端設(shè)備與網(wǎng)站服務(wù)器之間的數(shù)據(jù)交互,所述計(jì)算機(jī)系統(tǒng)包括一個(gè)或多個(gè)域名解析服務(wù)器以及一個(gè)或多個(gè)替身服務(wù)器���,其中所述域名解析服務(wù)器�����,用于接收所述終端設(shè)備發(fā)送的用于訪問(wèn)所述網(wǎng)站服務(wù)器的請(qǐng)求信息���,并且根據(jù)預(yù)存的網(wǎng)站域名對(duì)應(yīng)地址�,確定終端設(shè)備請(qǐng)求所要發(fā)往的替身服務(wù)器�����;所述替身服務(wù)器���,用于接收所述終端設(shè)備針對(duì)所述網(wǎng)站服務(wù)器的訪問(wèn)信息并對(duì)該訪問(wèn)信息進(jìn)行安全檢查,僅在該訪問(wèn)信息通過(guò)安全檢查的情況下將該訪問(wèn)信息轉(zhuǎn)發(fā)給所述網(wǎng)站服務(wù)器�����。進(jìn)一步地�����,所述替身服務(wù)器還用于將所述網(wǎng)站服務(wù)器針對(duì)所述訪問(wèn)信息的響應(yīng)信息發(fā)送給所述終端設(shè)備���。進(jìn)一步地���,所述替身服務(wù)器還用于對(duì)所述響應(yīng)信息使用預(yù)設(shè)方式進(jìn)行安全過(guò)濾處理���。進(jìn)一步地,所述替身服務(wù)器還用于探測(cè)網(wǎng)站的網(wǎng)頁(yè)代碼存在的漏洞��,然后根據(jù)所述漏洞的特征生成防護(hù)規(guī)則����,再按照所述防護(hù)規(guī)則對(duì)所述網(wǎng)站服務(wù)器進(jìn)行防護(hù)。根據(jù)本發(fā)明的另一方面��,提供了一種數(shù)據(jù)交互的方法����。本發(fā)明的數(shù)據(jù)交互的方法包括域名解析服務(wù)器接收終端設(shè)備發(fā)送的用于訪問(wèn)網(wǎng)站服務(wù)器的請(qǐng)求信息,然后根據(jù)預(yù)存的網(wǎng)站域名對(duì)應(yīng)地址���,確定終端設(shè)備請(qǐng)求所要發(fā)往的替身服務(wù)器����;所述替身服務(wù)器接收所述終端設(shè)備針對(duì)所述網(wǎng)站服務(wù)器的訪問(wèn)信息并對(duì)該訪問(wèn)信息進(jìn)行安全檢查����,僅在該訪問(wèn)信息通過(guò)安全檢查的情況下將該訪問(wèn)信息轉(zhuǎn)發(fā)給所述網(wǎng)站服務(wù)器。進(jìn)一步地,所述將該訪問(wèn)信息轉(zhuǎn)發(fā)給所述網(wǎng)站服務(wù)器之后����,所述方法還包括所述替身服務(wù)器對(duì)所述網(wǎng)站服務(wù)器針對(duì)所述訪問(wèn)信息的響應(yīng)信息使用預(yù)設(shè)方式進(jìn)行安全過(guò)濾處理,然后發(fā)送給所述終端設(shè)備�����。進(jìn)一步地��,所述預(yù)設(shè)方式包括驗(yàn)證數(shù)字證書���,和/或�,網(wǎng)絡(luò)地址過(guò)濾���。進(jìn)一步地,本發(fā)明的數(shù)據(jù)交互的方法還包括所述替身服務(wù)器探測(cè)網(wǎng)站的網(wǎng)頁(yè)代碼存在的漏洞��,然后根據(jù)所述漏洞的特征生成防護(hù)規(guī)則�����,再按照所述防護(hù)規(guī)則對(duì)所述網(wǎng)站服務(wù)器進(jìn)行防護(hù)���。進(jìn)一步地���,所述探測(cè)網(wǎng)站的網(wǎng)頁(yè)代碼存在的漏洞包括從匯總多個(gè)檢測(cè)方法形成的檢測(cè)方法表中依次讀取各個(gè)表項(xiàng)�����,使用讀取的表項(xiàng)中的檢測(cè)方法對(duì)所述網(wǎng)頁(yè)代碼進(jìn)行檢測(cè)�。進(jìn)一步地��,所述按照所述防護(hù)規(guī)則對(duì)所述網(wǎng)站服務(wù)器進(jìn)行防護(hù)包括按照所述防護(hù)規(guī)則對(duì)訪問(wèn)網(wǎng)站服務(wù)器的請(qǐng)求進(jìn)行解析得出與防護(hù)規(guī)則相關(guān)的解析結(jié)果����,然后將該解析結(jié)果與防護(hù)規(guī)則進(jìn)行比對(duì),若違反防護(hù)規(guī)則��,就拒絕所述請(qǐng)求��。根據(jù)本發(fā)明實(shí)施例的技術(shù)方案�����,通過(guò)采用替身服務(wù)器����,以及數(shù)字證書和IP地址訪問(wèn)限制��,實(shí)現(xiàn)替身服務(wù)器與真實(shí)服務(wù)器之間的獨(dú)享訪問(wèn)��,只有替身服務(wù)器可訪問(wèn)真實(shí)網(wǎng)站�, 從而有效隱藏真實(shí)網(wǎng)站服務(wù)器的IP地址����、web服務(wù)器類型、數(shù)據(jù)庫(kù)信息等����。可以在替身服務(wù)器內(nèi)集中地采用現(xiàn)有或?qū)?lái)可能出現(xiàn)的各種安全技術(shù)以保證替身服務(wù)器的安全�。另外, 在本實(shí)施例中����,替身服務(wù)器可以根據(jù)探測(cè)到網(wǎng)頁(yè)代碼存在的漏洞的特征生成防護(hù)規(guī)則,再按照該規(guī)則對(duì)輸出網(wǎng)頁(yè)代碼的網(wǎng)站進(jìn)行防護(hù)�����,這樣有助于在發(fā)生黑客攻擊之前就消除網(wǎng)頁(yè)代碼存在的漏洞帶來(lái)的隱患�,從而提高網(wǎng)站防護(hù)的效果����。更為重要的是��,即使替身服務(wù)器由于攻擊而損壞��,也不會(huì)影響到網(wǎng)站服務(wù)器本身的安全�,而且網(wǎng)站服務(wù)器還可以利用其他替身服務(wù)器來(lái)實(shí)現(xiàn)與終端設(shè)備之間的數(shù)據(jù)交互���,因此采用本實(shí)施例的技術(shù)方案有助于進(jìn)一步提高網(wǎng)站服務(wù)器對(duì)于網(wǎng)絡(luò)攻擊的防御能力�����,從而保障網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)安全����。
說(shuō)明書附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解�����,構(gòu)成本申請(qǐng)的一部分����,本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定�����。在附圖中圖1是根據(jù)現(xiàn)有技術(shù)的一種計(jì)算機(jī)網(wǎng)絡(luò)的基本結(jié)構(gòu)示意圖;圖2是根據(jù)本發(fā)明實(shí)施例的計(jì)算機(jī)系統(tǒng)的基本結(jié)構(gòu)的示意圖����;圖3是根據(jù)本發(fā)明實(shí)施例的數(shù)據(jù)交互的方法的基本步驟的示意圖。
具體實(shí)施例方式需要說(shuō)明的是���,在不沖突的情況下��,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合����。下面將參考附圖并結(jié)合實(shí)施例來(lái)詳細(xì)說(shuō)明本發(fā)明�。在本發(fā)明實(shí)施例中,終端設(shè)備例如個(gè)人計(jì)算機(jī)訪問(wèn)真實(shí)網(wǎng)站的域名�,域名解析服務(wù)器將域名對(duì)應(yīng)的IP(網(wǎng)際協(xié)議)地址解析到替身網(wǎng)站的IP地址,以后所有的用戶訪問(wèn)都將發(fā)送到替身服務(wù)器上���,替身服務(wù)器對(duì)所有用戶請(qǐng)求進(jìn)行安全檢查�,過(guò)濾掉攻擊或不安全的請(qǐng)求����。對(duì)于正常請(qǐng)求,替身服務(wù)器將向真實(shí)服務(wù)器發(fā)出相同請(qǐng)求��,獲得需要返回給用戶的結(jié)果�,并對(duì)返回結(jié)果進(jìn)行安全過(guò)濾,防止信息泄露�。圖2是根據(jù)本發(fā)明實(shí)施例的計(jì)算機(jī)系統(tǒng)的基本結(jié)構(gòu)的示意圖,如圖2所示���,本實(shí)施例的計(jì)算機(jī)系統(tǒng)主要包括一個(gè)域名解析服務(wù)器21以及一個(gè)或多個(gè)替身服務(wù)器22 (圖中以省略方式示出多個(gè))���。圖中同時(shí)以省略方式示出了多個(gè)終端設(shè)備23,并示出了網(wǎng)站服務(wù)器 M���。在圖2所示的結(jié)構(gòu)中���,終端設(shè)備訪問(wèn)網(wǎng)站服務(wù)器并接收網(wǎng)站服務(wù)器的響應(yīng),即由網(wǎng)站服務(wù)器向終端設(shè)備提供網(wǎng)絡(luò)服務(wù)器所具有的網(wǎng)絡(luò)服務(wù)功能�����。域名解析服務(wù)器21主要用于接收終端設(shè)備23發(fā)送的用于訪問(wèn)網(wǎng)站服務(wù)器M的請(qǐng)求信息����,并且根據(jù)預(yù)存的一組替身服務(wù)器網(wǎng)絡(luò)地址���,將請(qǐng)求信息發(fā)送給替身服務(wù)器。上述的對(duì)應(yīng)關(guān)系的信息可以保存在域名解析服務(wù)器內(nèi)��。替身服務(wù)器22主要用于接收終端設(shè)備23針對(duì)網(wǎng)站服務(wù)器M的訪問(wèn)信息并對(duì)該訪問(wèn)信息進(jìn)行安全檢查��,僅在該訪問(wèn)信息通過(guò)安全檢查的情況下將該訪問(wèn)信息轉(zhuǎn)發(fā)給網(wǎng)站服務(wù)器24��。上述的網(wǎng)絡(luò)地址可以是網(wǎng)際協(xié)議(IP)地址�����。以下結(jié)合圖3對(duì)本實(shí)施例中的數(shù)據(jù)交互方法作出說(shuō)明��,圖3是根據(jù)本發(fā)明實(shí)施例的數(shù)據(jù)交互的方法的基本步驟的示意圖�,該方法可基于圖2中的計(jì)算機(jī)系統(tǒng)實(shí)現(xiàn)。如圖3所示的流程����,域名解析服務(wù)器接收終端設(shè)備發(fā)送的用于訪問(wèn)網(wǎng)站服務(wù)器的請(qǐng)求信息,然后將請(qǐng)求轉(zhuǎn)發(fā)給替身服務(wù)器���。替身服務(wù)器接收終端設(shè)備針對(duì)網(wǎng)站服務(wù)器的訪問(wèn)信息并對(duì)該訪問(wèn)信息進(jìn)行安全檢查�,發(fā)現(xiàn)是否存在非法訪問(wèn)、sql注入攻擊�、XSS攻擊等,僅在該訪問(wèn)信息通過(guò)安全檢查的情況下將該訪問(wèn)信息轉(zhuǎn)發(fā)給網(wǎng)站服務(wù)器����。當(dāng)網(wǎng)站服務(wù)將請(qǐng)求結(jié)果返回給替身服務(wù)器����,替身服務(wù)器對(duì)返回結(jié)果進(jìn)行安全過(guò)濾后,過(guò)濾帶有病毒或網(wǎng)頁(yè)木馬的網(wǎng)頁(yè)內(nèi)容或網(wǎng)頁(yè)中惡意的URL��,再將結(jié)果發(fā)送給終端設(shè)備��, 避免終端設(shè)備感染病毒木馬等惡意軟件��。在存在多個(gè)替身服務(wù)器的情況下����,如果其中部分替身服務(wù)器由于某種原因例如網(wǎng)絡(luò)攻擊而無(wú)法正常運(yùn)行,域名服務(wù)器能夠探測(cè)到替身服務(wù)器的存活狀態(tài)�,響應(yīng)速度,當(dāng)域名解析服務(wù)器檢測(cè)到某臺(tái)替身服務(wù)器的運(yùn)行情況異常是�,會(huì)將終端設(shè)備請(qǐng)求發(fā)往其他替身服務(wù)器。這樣在終端訪問(wèn)用戶看來(lái)�,多個(gè)替身服務(wù)器組成的集群功能總是能夠保證網(wǎng)站的正常運(yùn)行和安全。本實(shí)施例中的替身服務(wù)器還可以執(zhí)行網(wǎng)站防護(hù)功能,以實(shí)現(xiàn)對(duì)網(wǎng)站的安全防護(hù)或稱作對(duì)網(wǎng)站服務(wù)器進(jìn)行防護(hù)��。以下對(duì)本發(fā)明實(shí)施例的網(wǎng)站防護(hù)方法作出說(shuō)明���。本發(fā)明實(shí)施例的網(wǎng)站防護(hù)方法可由替身服務(wù)器執(zhí)行�,并且可在圖3所示的流程之前�、之后或同時(shí)進(jìn)行,主要包括如下步驟步驟S41 探測(cè)網(wǎng)頁(yè)代碼存在的漏洞�;步驟S43 根據(jù)探測(cè)到的漏洞的特征生成防護(hù)規(guī)則;步驟S45 按照生成的防護(hù)規(guī)則對(duì)輸出所述網(wǎng)頁(yè)代碼的網(wǎng)站服務(wù)器進(jìn)行防護(hù)��。以下對(duì)于上述的步驟作詳細(xì)說(shuō)明�����。網(wǎng)站代碼漏洞主要是由于web網(wǎng)站開(kāi)發(fā)人員在編寫網(wǎng)頁(yè)代碼時(shí)���,沒(méi)有對(duì)用戶的輸入數(shù)據(jù)或者是頁(yè)面中所攜帶的信息(如Cookie)進(jìn)行必要的合法性判斷而形成的可被攻擊者利用的程序缺陷����。網(wǎng)站漏洞在網(wǎng)站代碼編寫過(guò)程中產(chǎn)生�,在網(wǎng)站第一發(fā)布或?qū)W(wǎng)站更新時(shí)被暴露。下面以常見(jiàn)的用戶登錄頁(yè)面/login, jsp代碼對(duì)網(wǎng)頁(yè)的漏洞和防護(hù)規(guī)則作進(jìn)一步說(shuō)明����。本實(shí)施例中作為示例的一個(gè)用戶登錄頁(yè)面/login, jsp代碼如下
<%
String no=new StringO ���; no=request.getParameter(MnoM); String psw=new StringO; psw=request.getParameter(MpswM); Connection con=null; Statement sql=null; ResultSet rs=null;
try {Class.forName(Msun.jdbc.odbcJdbcOdbcDriver"); }
catch(ClassNotFoundException e){} try{con=DriverManager.getConnection("jdbc:odbc:sun","sa","密碼")����; sql=con.createStatement();
String condition=Mselect * from studentlnfo where sid= "++no.+" and psw=
"+","+psw+"m;
rs=sql.executeQuery(condition); if(rs.next()==false)
{out.prmtln("密碼或用戶名不正確!您現(xiàn)在是游客身份!");} else {out.println("登陸成功,歡迎您��,"+rs.getString("name"));} con.close();
}
catch(SQLException el){}
%>以上代碼的漏洞在于未對(duì)用戶輸入的登錄賬號(hào)no和密碼psw進(jìn)行數(shù)據(jù)類型����、字段長(zhǎng)度的校驗(yàn)�����,也未對(duì)用戶輸入進(jìn)行特殊字符的過(guò)濾���。因此�����,如果包含上述代碼的網(wǎng)頁(yè)被發(fā)布����,那么黑客可以通過(guò)檢測(cè)代碼中是否對(duì)登錄賬號(hào)和密碼的數(shù)據(jù)類型、字段長(zhǎng)度作校驗(yàn)����,從而發(fā)現(xiàn)上述漏洞,然后在登錄賬號(hào)輸入框中輸入“1’ or 1 = 1一”���,在密碼輸入框中任意輸入��,并點(diǎn)擊登錄按鈕�,提交登錄請(qǐng)求����。后臺(tái)執(zhí)行代碼將執(zhí)行如下sql語(yǔ)句"select *from studentlnfo where sid =' 1 or 1 = 1”輸出結(jié)果為studenthfo表中的所有用戶賬號(hào)和密碼。步驟S41可以是對(duì)已有的網(wǎng)頁(yè)代碼進(jìn)行探測(cè)��,如果有網(wǎng)頁(yè)發(fā)生更新����,則可以對(duì)更新的網(wǎng)頁(yè)代碼進(jìn)行探測(cè)。因此步驟S41之前還可以對(duì)網(wǎng)站的更新進(jìn)行監(jiān)控����,以確認(rèn)網(wǎng)站是否提供了新的網(wǎng)頁(yè)����。通過(guò)定時(shí)爬行網(wǎng)站發(fā)現(xiàn)網(wǎng)站是否改版或增加頁(yè)面����,通過(guò)檢測(cè)每個(gè)網(wǎng)頁(yè)MD5值來(lái)確認(rèn)網(wǎng)頁(yè)是否發(fā)生更新。具體可以是將網(wǎng)頁(yè)當(dāng)前的MD5值與保存的該網(wǎng)頁(yè)的MD5 值進(jìn)行比較看二者是否相同���。如果不同����,則確認(rèn)網(wǎng)頁(yè)發(fā)生更新��,并且保存當(dāng)前的MD5值���。如果檢查到有網(wǎng)頁(yè)發(fā)生更新,則執(zhí)行步驟S41�,探測(cè)這些網(wǎng)頁(yè)的網(wǎng)頁(yè)代碼。探測(cè)網(wǎng)頁(yè)的網(wǎng)頁(yè)代碼可以采用模擬黑客攻擊的手段來(lái)進(jìn)行��。具體可以先將黑客攻擊的各種手段所依據(jù)的網(wǎng)頁(yè)檢測(cè)方法匯總(例如上述的檢測(cè)代碼中是否對(duì)登錄賬號(hào)和密碼的數(shù)據(jù)類型���、字段長(zhǎng)度作校驗(yàn))�����,形成檢測(cè)方法表�����,每次探測(cè)網(wǎng)頁(yè)時(shí)����,從檢測(cè)方法表中依次讀取各個(gè)表項(xiàng)以及使用表項(xiàng)中的檢測(cè)方法對(duì)網(wǎng)頁(yè)代碼進(jìn)行檢測(cè)。當(dāng)發(fā)現(xiàn)網(wǎng)頁(yè)內(nèi)容發(fā)生變化或新增加網(wǎng)頁(yè)���,就需要對(duì)新增網(wǎng)頁(yè)和發(fā)生變化的網(wǎng)頁(yè)進(jìn)行漏洞檢測(cè)����,為存在安全漏洞的頁(yè)面生成防護(hù)規(guī)則��。網(wǎng)站漏洞防護(hù)規(guī)則是用來(lái)定義正?����;虍惓5木W(wǎng)站訪問(wèn)行為或特征的一組數(shù)據(jù)�。以上面的用戶登錄頁(yè)面為例,考慮如下各項(xiàng)(1)被保護(hù) URL /login. jsp(2)請(qǐng)求類型為post �;(3)變量個(gè)數(shù)和類型變量2個(gè)���,變量名為sicUpsw,sid為數(shù)字�,0 9’,psw為數(shù)字���,0 9��,或字母�,a-z”A-Z�����,�����;(4)變量長(zhǎng)度sid長(zhǎng)度為固定長(zhǎng)度6����,psw長(zhǎng)度為6 8���。則防護(hù)規(guī)則可以定義如下URL = /login, jsp action = post varnum = 2 sid =����,0 9,psw =���,0 9”a-z”A-Z����,sidLength = 6pswLength = 6 8可以建立一個(gè)防護(hù)規(guī)則庫(kù)�����,保存各項(xiàng)防護(hù)規(guī)則�����。在步驟S25中進(jìn)行安全防護(hù)時(shí)�,具體可以是按照防護(hù)規(guī)則庫(kù)中的每個(gè)條目,針對(duì)每個(gè)訪問(wèn)網(wǎng)站的請(qǐng)求例如http請(qǐng)求進(jìn)行解析�,得出與防護(hù)規(guī)則相關(guān)的解析結(jié)果例如訪問(wèn)動(dòng)作action、訪問(wèn)變量��、變量值的長(zhǎng)度和類型等�,并和防護(hù)規(guī)則進(jìn)行比對(duì),當(dāng)發(fā)現(xiàn)違反防護(hù)規(guī)則時(shí)就拒絕用戶請(qǐng)求���?���?梢詫?duì)防護(hù)規(guī)則庫(kù)進(jìn)行升級(jí),具體可以是當(dāng)發(fā)現(xiàn)新網(wǎng)頁(yè)漏洞�,并生成新的防護(hù)規(guī)則后,將新的防護(hù)規(guī)則添加到防護(hù)規(guī)則庫(kù)中���。根據(jù)本發(fā)明實(shí)施例的技術(shù)方案����,通過(guò)采用替身服務(wù)器�,以及數(shù)字證書和IP地址訪問(wèn)限制,實(shí)現(xiàn)替身服務(wù)器與真實(shí)服務(wù)器之間的獨(dú)享訪問(wèn)��,只有替身服務(wù)器可訪問(wèn)真實(shí)網(wǎng)站���, 從而有效隱藏真實(shí)網(wǎng)站服務(wù)器的IP地址��、web服務(wù)器類型、數(shù)據(jù)庫(kù)信息等����?��?梢栽谔嫔矸?wù)器內(nèi)集中地采用現(xiàn)有或?qū)?lái)可能出現(xiàn)的各種安全技術(shù)以保證替身服務(wù)器的安全。另外�����, 在本實(shí)施例中��,替身服務(wù)器可以根據(jù)探測(cè)到網(wǎng)頁(yè)代碼存在的漏洞的特征生成防護(hù)規(guī)則�����,再按照該規(guī)則對(duì)輸出網(wǎng)頁(yè)代碼的網(wǎng)站進(jìn)行防護(hù)��,這樣有助于在發(fā)生黑客攻擊之前就消除網(wǎng)頁(yè)代碼存在的漏洞帶來(lái)的隱患����,從而提高網(wǎng)站防護(hù)的效果。更為重要的是�����,即使替身服務(wù)器由于攻擊而損壞��,也不會(huì)影響到網(wǎng)站服務(wù)器本身的安全,而且網(wǎng)站服務(wù)器還可以利用其他替身服務(wù)器來(lái)實(shí)現(xiàn)與終端設(shè)備之間的數(shù)據(jù)交互�,因此采用本實(shí)施例的技術(shù)方案有助于進(jìn)一步提高網(wǎng)站服務(wù)器對(duì)于網(wǎng)絡(luò)攻擊的防御能力,從而保障網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)安全���。顯然��,本領(lǐng)域的技術(shù)人員應(yīng)該明白�,上述的本發(fā)明的各模塊或各步驟可以用通用的計(jì)算裝置來(lái)實(shí)現(xiàn)����,它們可以集中在單個(gè)的計(jì)算裝置上,或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上�,可選地���,它們可以用計(jì)算裝置可執(zhí)行的程序代碼來(lái)實(shí)現(xiàn)����,從而,可以將它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來(lái)執(zhí)行��,或者將它們分別制作成各個(gè)集成電路模塊�����,或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來(lái)實(shí)現(xiàn)。這樣����,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合��。 以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已�,并不用于限制本發(fā)明,對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō)���,本發(fā)明可以有各種更改和變化��。凡在本發(fā)明的精神和原則之內(nèi)�,所作的任何修改��、等同替換���、改進(jìn)等���,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種計(jì)算機(jī)系統(tǒng)����,用于終端設(shè)備與網(wǎng)站服務(wù)器之間的數(shù)據(jù)交互,其特征在于,所述計(jì)算機(jī)系統(tǒng)包括一個(gè)或多個(gè)域名解析服務(wù)器以及一個(gè)或多個(gè)替身服務(wù)器���,其中所述域名解析服務(wù)器�����,用于接收所述終端設(shè)備發(fā)送的用于訪問(wèn)所述網(wǎng)站服務(wù)器的請(qǐng)求信息�����,并且根據(jù)預(yù)存的網(wǎng)站域名對(duì)應(yīng)地址�,確定終端設(shè)備請(qǐng)求所要發(fā)往的替身服務(wù)器�����;所述替身服務(wù)器�����,用于接收所述終端設(shè)備針對(duì)所述網(wǎng)站服務(wù)器的訪問(wèn)信息并對(duì)該訪問(wèn)信息進(jìn)行安全檢查��,僅在該訪問(wèn)信息通過(guò)安全檢查的情況下將該訪問(wèn)信息轉(zhuǎn)發(fā)給所述網(wǎng)站服務(wù)器���。
2.根據(jù)權(quán)利要求1所述的計(jì)算機(jī)系統(tǒng)��,其特征在于���,所述替身服務(wù)器還用于將所述網(wǎng)站服務(wù)器針對(duì)所述訪問(wèn)信息的響應(yīng)信息發(fā)送給所述終端設(shè)備���。
3.根據(jù)權(quán)利要求2所述的計(jì)算機(jī)系統(tǒng)�,其特征在于,所述替身服務(wù)器還用于對(duì)所述響應(yīng)信息使用預(yù)設(shè)方式進(jìn)行安全過(guò)濾處理���。
4.根據(jù)權(quán)利要求1所述的計(jì)算機(jī)系統(tǒng)�,其特征在于��,所述替身服務(wù)器還用于探測(cè)網(wǎng)站的網(wǎng)頁(yè)代碼存在的漏洞����,然后根據(jù)所述漏洞的特征生成防護(hù)規(guī)則,再按照所述防護(hù)規(guī)則對(duì)所述網(wǎng)站服務(wù)器進(jìn)行防護(hù)����。
5.一種數(shù)據(jù)交互的方法,其特征在于�,包括域名解析服務(wù)器接收終端設(shè)備發(fā)送的用于訪問(wèn)網(wǎng)站服務(wù)器的請(qǐng)求信息,然后根據(jù)預(yù)存的網(wǎng)站域名對(duì)應(yīng)地址�,確定終端設(shè)備請(qǐng)求所要發(fā)往的替身服務(wù)器�����;所述替身服務(wù)器接收所述終端設(shè)備針對(duì)所述網(wǎng)站服務(wù)器的訪問(wèn)信息并對(duì)該訪問(wèn)信息進(jìn)行安全檢查�����,僅在該訪問(wèn)信息通過(guò)安全檢查的情況下將該訪問(wèn)信息轉(zhuǎn)發(fā)給所述網(wǎng)站服務(wù)器�。
6.根據(jù)權(quán)利要求5所述的方法���,其特征在于����,所述將該訪問(wèn)信息轉(zhuǎn)發(fā)給所述網(wǎng)站服務(wù)器之后����,所述方法還包括所述替身服務(wù)器對(duì)所述網(wǎng)站服務(wù)器針對(duì)所述訪問(wèn)信息的響應(yīng)信息使用預(yù)設(shè)方式進(jìn)行安全過(guò)濾處理,然后發(fā)送給所述終端設(shè)備���。
7.根據(jù)權(quán)利要求6所述的方法�����,其特征在于��,所述預(yù)設(shè)方式包括驗(yàn)證數(shù)字證書�,和/或, 網(wǎng)絡(luò)地址過(guò)濾�����。
8.根據(jù)權(quán)利要求5所述的方法�,其特征在于,還包括所述替身服務(wù)器探測(cè)網(wǎng)站的網(wǎng)頁(yè)代碼存在的漏洞�,然后根據(jù)所述漏洞的特征生成防護(hù)規(guī)則�����,再按照所述防護(hù)規(guī)則對(duì)所述網(wǎng)站服務(wù)器進(jìn)行防護(hù)�。
9.根據(jù)權(quán)利要求8所述的方法,其特征在于��,所述探測(cè)網(wǎng)站的網(wǎng)頁(yè)代碼存在的漏洞包括從匯總多個(gè)檢測(cè)方法形成的檢測(cè)方法表中依次讀取各個(gè)表項(xiàng)�����,使用讀取的表項(xiàng)中的檢測(cè)方法對(duì)所述網(wǎng)頁(yè)代碼進(jìn)行檢測(cè)�。
10.根據(jù)權(quán)利要求8所述的方法,其特征在于��,所述按照所述防護(hù)規(guī)則對(duì)所述網(wǎng)站服務(wù)器進(jìn)行防護(hù)包括按照所述防護(hù)規(guī)則對(duì)訪問(wèn)網(wǎng)站服務(wù)器的請(qǐng)求進(jìn)行解析得出與防護(hù)規(guī)則相關(guān)的解析結(jié)果,然后將該解析結(jié)果與防護(hù)規(guī)則進(jìn)行比對(duì)����,若違反防護(hù)規(guī)則,就拒絕所述請(qǐng)求��。
全文摘要
本發(fā)明提供了一種計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)交互方法���,用以解決現(xiàn)有技術(shù)中的網(wǎng)絡(luò)安全措施對(duì)于網(wǎng)絡(luò)攻擊的防御能力不佳的問(wèn)題���。該方法包括域名解析服務(wù)器接收終端設(shè)備發(fā)送的用于訪問(wèn)網(wǎng)站服務(wù)器的請(qǐng)求信息,然后將請(qǐng)求轉(zhuǎn)發(fā)給替身服務(wù)器���,替身服務(wù)器接收終端設(shè)備針對(duì)網(wǎng)站服務(wù)器的訪問(wèn)信息并對(duì)該訪問(wèn)信息進(jìn)行安全檢查�����,僅在該訪問(wèn)信息通過(guò)安全檢查的情況下將該訪問(wèn)信息轉(zhuǎn)發(fā)給網(wǎng)站服務(wù)器���,網(wǎng)站服務(wù)將請(qǐng)求結(jié)果返回給替身服務(wù)器,替身服務(wù)器對(duì)返回結(jié)果進(jìn)行安全過(guò)濾后���,將結(jié)果發(fā)送給終端設(shè)備���。采用本發(fā)明的技術(shù)方案�����,有助于進(jìn)一步提高網(wǎng)站服務(wù)器對(duì)于網(wǎng)絡(luò)攻擊的防御能力���,從而保障網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)安全。
文檔編號(hào)H04L29/06GK102185859SQ20111011890
公開(kāi)日2011年9月14日 申請(qǐng)日期2011年5月9日 優(yōu)先權(quán)日2011年5月9日
發(fā)明者胡紅濤 申請(qǐng)人:北京艾普優(yōu)計(jì)算機(jī)系統(tǒng)有限公司