(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111494318.6 (22)申请日 2021.12.08 (71)申请人 焦点科技股份有限公司 地址 210032 江苏省南京市高新 开发区星 火路软件大厦A座12F (72)发明人 袁霸　汤传东　 (74)专利代理 机构 南京瑞弘专利商标事务所 (普通合伙) 32249 代理人 陈建和 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) (54)发明名称 一种基于Servlet拦截器的安全防护方法 (57)摘要 本发明公开了一种基于Servlet拦截器的安 全防护方法， 其特征在于， 包括： 构建拦截器； 配 置服务器端获取访问上下文信息的对象； 滥用检 测指标项的累加计算及比对； 基于用户名和访问 时间生成解密密钥并返回浏览器端； 比对用户输 入的解禁密钥与拦截器中的解禁密钥； 各拦截器 拦截获取不同类型的请求数据， 执行黑白名单校 验； 调用预设在拦截器中的攻击检测方法的组 件， 检测用户输入数据、 系统输出数据中是否存 在攻击数据。 达到形成对不同级别安全问题的识 别， 和执行不同程度的监控处理， 实现分级防控， 不仅减少人力对漏洞问题的监测及处理， 更重要 的是提升了安全防控的覆盖面， 最终提高防控效 率的效果。 权利要求书3页 说明书9页 附图2页 CN 114157504 A 2022.03.08 CN 114157504 A 1.一种基于Servlet拦截器的安全防护方法， 其特 征在于， 具体流 程包括： 步骤1:构 建拦截器； 具体是为不同的请求数据处理阶段构 建Servlet拦截器， 拦截获取 不同类型 的请求数据； 所述请求数据的类型包含用户输入数据及系统输出数据； 所述用户 输入数据是从请求报文的请求行、 请求头和请求体中获取 的请求路径、 请求资源的地址及 请求参数的数据， 所述输出数据是从响应报文中获取服务端输出至浏览器端的响应请求的 数据； 步骤2： 配置服务器端获取访问上下文信 息的对象； 具体是配置从请求报文中采集请求 地址和Cookie的访问信息； 待获取所述访问信息后构建访问上下文信息的内容， 包含请求 地址、 用户名、 访问时间、 访问间隔、 访问频次； 所述访问间隔是取同一用户本次访问与上一 次访问的时间差； 所述访问频次是取访问间隔内产生的请求访问网页地址的次数， 包含访 问同一个网页地址的次数及 访问不同网页地址的次数； 步骤3： 滥用检测指标项的累加计算及比对； 基于步骤2获得访问上下文信息和Cookie 信息， 以用户名为单位， 累加计算滥用指标项的数值， 所述滥用指标项的数值包括用户访问 次数、 用户访问频率、 用户的资源请求数、 用户开启会话数， 将滥用检测指标的数值与预设 的指标阈值比对， 若滥用检测指标的数值全部小于预设的指标阈值， 判定为通过滥用检测， 执行步骤6； 若用户访问次数、 用户访问频率、 用户的资源请求数 的任一数值大于等于预设 指标的阈值， 判定为未通过滥用检测， 生成访问受限事件， 修改预设在拦截器内的会话封禁 状态值为已封禁； 执行步骤4； 若用户开启会话数的数值大于等于预设指标的阈值， 判定为 未通过滥用检测， 生成严重 封禁事件， 修改预设在拦截器内的用户封禁 状态值为已封禁； 步骤4： 基于用户名和访问时间生成解密密钥并返回浏览器端： 以访问时间生成访问时 间戳； 组合用户名和访问时间戳， 并对组合内容执行哈希计算， 形成哈希值； 拼接用户名、 访 问时间戳与所述哈希值， 形成解禁密钥； 储存解禁密钥 在拦截器中， 并写入由拦截器动态 生 成的页面中， 返回至浏览器端显示； 步骤5： 比对用户输入的解禁密钥与拦截器 中的解禁密钥； 经比对， 若比对一致， 判定通 过滥用检测， 修改预设在拦截器内的会话封禁状态值为解禁， 同时将4个滥用检测指标的数 值全部归0， 执行步骤6； 若比对不一致， 后台统计的解禁密码错误次数的数值加1， 继续 获取 用户输入的解禁密钥比对； 若解禁密码错误次数超过预设阈值， 生成严重封禁事件， 修改拦 截器内的用户封禁 状态值为已封禁， 终止用户访问； 步骤6： 各拦截器拦截获取不同类型的请求数据， 执行黑白名单校验； 处于不同请求处 理阶段的拦截器提取预设在内部的黑白名单， 对拦截获取的用户输入数据和系统输出数据 执行黑白名单比对， 针对用户输入数据， 若 所述数据中的请求路径、 请求资源的地址及请求 参数的任一数据存在于黑名单中， 执行步骤7； 若所述数据中的请求路径、 请求资源的地址 及请求参数均存在于黑名单中均存在于白名单中， 将数据传至后台服务器； 针对系统输出 数据， 若存在于拦截器的黑名单中， 执行步骤7； 若存在于拦截器的 白名单中， 将用系统输出 数据传至浏览器端； 步骤7： 调用预设在拦截器 中的攻击检测方法的组件， 检测步骤6中的用户输入数据、 系 统输出数据中是否存在攻击数据； 所述攻击数据是指未通过攻击检测方法的数据； 经检测， 若用户输入数据、 系统输出数据通过攻击检测方法的检测， 判定不存在攻击数据， 将用户输 入数据传至后台服务器， 将系统输出数据传至浏览器端； 若用户输入 数据、 系统输出数据未权　利　要　求　书 1/3 页 2 CN 114157504 A 2通过任一攻击检测方法的检测， 判定存在攻击数据， 从用户输入数据中清除攻击数据后， 生 成数据清洗结果传至后台服务器， 将系统输出数据清除攻击数据后， 生成数据清洗结果传 至浏览器端， 同步将未通过检测的数据与数据清洗结果存 入缓存中。 2.如权利要求1所述的一种基于Servlet拦截器的安全防护方法， 其特征在于， 所述步 骤1中构建Servlet拦截器具体为： 对应请求路径接收、 请求参数接收、 文件上传参数接收、 系统输出 的4个数据 处理阶段， 分别构建请求体拦截器、 请求参数拦截器、 文件上传参数拦 截器、 输出表达式拦截器； 所述步骤1中的用户输入数据包含从请求行中获取 的请求路径、 请求资源的地址， 以及从请求体中获取的文件上传参数和请求参数， 所述参数包括： 网页 表 单内上传的文件数据、 网页表单内填写的数据、 以ajax技 术传输的网页表单 数据； 所述步骤1中构建S ervlet拦截器， 具体是在S ervlet拦截器的配置文件web.xml中配置 滥用检测指标项的数值统计方法及数值阈值； 配置数值累加器用于累加计算滥用检测指 标， 按照数值统计方法执行滥用检测指标项的数值统计； 配置存储器用于储存用户封禁状 态值、 会话封禁状态值、 滥用检测指标项的数值、 解禁密钥； 所述封禁状态值包含已封禁和 解禁； 配置事件监听器用于监听到生成的任一事件时， 通知下游服务器执行事件处理， 所述 事件处理包括日志文件打印、 修改用户封禁状态值、 修改会话封禁状态值、 邮件报警、 事件 分类统计； 配置攻击检测方法的组件及黑白名单； 所述攻击检测方法的组件包括XSS漏铜检 测组件、 SQL漏洞检测组件、 敏感词检测组件； 所述黑白名单包括请求路径 黑白名单、 请求资 源地址黑白名单、 请求参数黑白名单； 在所述请求体拦截器中配置请求路径黑白名单； 所述 请求参数拦截器中配置请求参数黑白名单； 所述文件上传参数拦截器中配置请求路径黑白 名单、 请求资源地址黑白名单、 请求 参数黑白名单。 3.如权利要求2所述的一种基于Servlet拦截器的安全防护方法， 其特征在于： 在所述 步骤1中， 所述XSS漏洞检测方法的组件是Antisamy组件； 所述SQL漏洞检测方法的组件是 Libinjection组件。 4.如权利要求3所述的一种基于Servlet拦截器的安全防护方法， 其特征在于： 在所述 步骤3中， 累加计算滥用检测指标的数值具体包含： 累加用户访问不同网页地址的次数， 更 新为当前 的用户访问次数 的值； 累加用户访问相同网页地址的次数， 更新为当前 的资源请 求数的值； 累进访问间隔， 利用累进算法计算并更新当前的用户访问频率的值； 以Cookie判 定用户的会话状态， 若请求头中未含有Cookie， 则判定是第一次会话， 用户开启会话数的值 加1； 否则维持用户开启会话数不变； 在执行所述步骤3 中， 判断是否执行滥用检测指标项的累加计算， 具体是在预设的请求 路径黑白名单中检索是否存在用户输入数据中的请求路径， 若请求路径在请求路径黑名单 中， 判定执行滥用检测指标项的累加计算， 若请求路径在预设的请求路径白名单中， 判定不 执行滥用检测指标项的累加计算， 获取用户输入数据， 执 行步骤6。 5.如权利要求4所述的一种基于Servlet拦截器的安全防护方法， 其特征在于： 在所述 步骤4的生成解禁密钥时， 后台累加计算的滥用警告次数 的数值加1， 用户被封禁次数 的数 值加1； 滥用警告次数的数值与用户被封禁次数的数值中任一数值超过预设阈值， 生成严重 封禁事件， 修改拦截器中储 存的用户封禁 状态值为已封禁， 终止用户访问。 6.如权利要求5所述的一种基于Servlet拦截器的安全防护方法， 其特征在于： 在所述 步骤4和步骤5中， 当用户的封禁状态值变更为已封禁时， 后台累加计算的滥用警告次数、 用权　利　要　求　书 2/3 页 3 CN 114157504 A 3