[发明专利]分析网站访问请求参数合法范围的方法及装置

说明书

技术领域

本发明涉及网络安全领域，尤其涉及一种分析网站访问请求参数合法范围的方法及装置。

背景技术

目前网站的安全问题日益严重，网站管理者可以采用很多措施来防止服务器遭受攻击和入侵，其中及时查看网页(Web)服务器的日志记录是最直接、最常用，而且是一种比较有效的方法。通过对Web服务器日志文件的监测，可以寻找可疑的活动迹象，得到黑客入侵手法和相关操作，以及系统的漏洞所在，从而进行防范。

但是，在日志文件中找出攻击Web服务器的蛛丝马迹不是非常简单明了的一件事，因为日志文件中条目繁多，这就需要管理员有丰富的知识和经验，并且有足够的细心和耐心。

类似地，现有的一种识别非法http请求的方案是，根据已知攻击策略(例如跨站攻击，sql注入攻击)，制定对应匹配策略(判断请求中的非法字符以及非法关键字)来拦截非法请求。实现该方案的途径是利用专门的硬件防火墙来加载相应规则进行过滤。

现有技术中，不论是根据日志文件来识别非法请求，还是根据预定的匹配策略来拦截非法请求，都是类似于黑名单过滤的方法，其存在如下缺点：只能识别或拦截已知的特定的攻击类型，不够灵活；不能识别一些不存在于黑名单中的非法请求；成本较高。

而且，现有方案没有充分利用日志文件中所包含的丰富的信息。

发明内容

有鉴于此，本发明的目的是提供一种分析网站访问请求参数合法范围的方法及装置，能够准确、方便地获取请求参数的合法范围，有利于根据获取到的合法范围对非法请求进行准确的识别和拦截。

为实现上述目的，本发明提供技术方案如下：

一种分析网站访问请求参数合法范围的方法，包括：

获取网站的http访问日志文件；

从所述日志文件中筛选出合法http请求对应的日志记录，得到合法的日志记录集合；

根据所述合法的日志记录集合，提取访问请求参数的合法范围。

可选地，所述合法http请求对应的日志记录为：响应状态码为200的http请求对应的日志记录。

可选地，访问请求参数的合法范围为如下中的一个或多个：允许的参数名称；参数的类型；参数值的最大长度；参数值中允许出现的特殊字符。

可选地，所述根据所述合法的日志记录集合，提取访问请求参数的合法范围，具体包括：

从所述日志记录集合中获取各http请求对应的请求方法和请求资源；

对于每一个请求资源，获取对应的参数名称-参数值列表；

根据所述参数名称-参数值列表获取参数的合法范围。

可选地，所述方法还包括：将访问请求参数的合法范围作为xml文件输出。

一种分析网站访问请求参数合法范围的装置，包括：

获取模块，用于获取网站的http访问日志文件；

筛选模块，用于从所述日志文件中筛选出合法http请求对应的日志记录，得到合法的日志记录集合；

分析模块，用于根据所述合法的日志记录集合，提取访问请求参数的合法范围。

可选地，所述合法http请求对应的日志记录为：响应状态码为200的http请求对应的日志记录。

可选地，访问请求参数的合法范围为如下中的一个或多个：

允许的参数名称；参数的类型；参数值的最大长度；参数值中允许出现的特殊字符。

可选地，所述分析模块具体用于：

从所述日志记录集合中获取各http请求对应的请求方法和请求资源；

对于每一个请求资源，获取对应的参数名称-参数值列表；

根据所述参数名称-参数值列表获取参数的合法范围。

可选地，所述装置还包括：输出模块，用于将访问请求参数的合法范围作为xml文件输出。

根据本发明的上述技术方案，不需要人工分析，能够自动从网站访问日志文件中获取http请求参数的合法范围，得到参数有效性规则(类似于白名单过滤)，根据该参数有效性规则就能够实现对非法请求进行准确的识别和拦截。

附图说明

图1是根据本发明一个实施例的分析网站访问请求参数合法范围的方法流程图；

图2是根据本发明一个实施例的识别对网站的非法访问请求的方法流程图；

图3是根据本发明一个实施例的分析网站访问请求参数合法范围的装置结构图；

图4是根据本发明一个实施例的识别对网站的非法访问请求的装置结构图。

具体实施方式

为便于更好的理解本发明，这里首先对网站的访问日志文件进行简单介绍。