[发明专利]一种有效防止网络攻击的WEB网站链接动态隐藏方法

说明书

本发明公开了一种有效防止网络攻击的WEB网站链接动态隐藏方法，其包括以下步骤：1)浏览器端向服务器端发送连接请求；2)服务器端验证是否需要对响应的URI进行加密，将需要加密的URI进行第一次加密，并连同用于对浏览器端加密的脚本文件一起发送给浏览器端；3)建立连接后，浏览器端中的脚步文件对再次访问请求的URI进行第二次加密并发送或直接发送；4)服务器端对浏览器端再次请求的URI进行验证并在验证通过后进行第一次解密和第二次解密，若验证不通过或解密不成功，侧返回出错页面。本发明能够提高WEB网站的安全性，防护撞库攻击、网络爬虫等各种攻击。本发明同时还公开了对应于上述方法的装置。

技术领域

本发明涉及一种WEB网站动态变形加密方法及装置，具体的说是以加密技术和脚本技术为基础来对WEB网站地址的动态化处理。

背景技术

目前，金融和互联网等领域通常是依赖WEB网站来对互联网用户或者是移动智能终端用户提供服务，因此，WEB网站的安全显得十分重要。一旦WEB网站被攻击，众多用户将因此而遭受巨大的损失，而现有的WEB网站，由于存在以下诸多技术上的缺陷，导致容易遭受来自各方面的攻击：

A、爬虫攻击：通过自动化的工具和脚本，获取整个WEB网站的目录和内容，并且可以自动提交各种数据。目前各种抢票、刷号软件，就是通过对网站采取爬虫攻击，实现各种商业目的，例如，春运抢票，就是其中一种情形。

B、撞库攻击：黑客根据互联网上获得的或者泄漏的用户账户和密码信息，通过脚本工具，自动化的向每个WEB服务器提交用户登陆请求，通过大量的登录尝试，直至获取可以登陆的WEB网站的用户名和密码，然后盗取用户的个人资料。

C、恶意软件：特别是在金融领域，各种有针对性的恶意软件可以产生虚假页面冒充真实WEB网站，诱骗用户输入真实的用户名和密码等敏感信息，或者是通过恶意软件截获用户与WEB网站之间的交互数据，获取用户名和密码等敏感信息，从而实现盗号的目的。

为了解决以上所述对于WEB网站的各类攻击，拒绝各种自动化工具和脚本的访问请求和撞库攻击，现有技术通常是采用验证码技术作为辅助手段，来阻止各种自动化工具和脚本。也就是，用户在访问网站或者在网站上提交数据时，必须按网页上的要求正确填写验证码图片中所显示的内容，才能够与网站进行下一步的互动，实现正常访问。例如，在12306网站上预订高铁票时，需要根据要求输入不同的图片。

但由于互联网的用户来源于各个不同的国家和区域，有着不同的教育和文化背景，为了让不同的用户都能理解问题并按要求填写正确的验证码。现有的验证码主要是提供各种基于数字和英文字母的组合，来防范自动化程序和脚本撞库或攻击的目的，同时也使不同用户能正常识别并输入验证码图片上的内容。

但采用验证码的方法，并不能有效解决对于WEB网站的各类攻击，主要是验证码技术存在着以下的不足：

第一，随着图片识别技术的发展，验证码图片的内容很容易被程序所识别，并且识别的准确率达到90％以上。这便造成采用验证码对于网站的爬虫攻击起不到防范作用，无法起到杜绝抢票、刷号的问题。

第二，如果设置的验证码图片过于复杂，便会导致用户体验感下降，增加用户与网站的互动难度，导致用户有可能需要多次输入验证码中的内容才能登陆到WEB网站。

而对于恶意软件的攻击，根据发明人多年来的统计，各种杀毒软件对恶意软件的查杀率不到30％，恶意软件越来越智能化和精细化，很多恶意软件只会在用户访问WEB网站时，并且满足特定的条件下才会被触发，导致用户的敏感信息泄漏。

因此，寻找应对各类对于WEB网站的攻击的有效方法，一直以来都是行业的难题。

发明内容