CN110881044B - 一种计算机防火墙动态防御安全平台 - Google Patents

Abstract

本发明公开了一种计算机防火墙动态防御安全平台，通过平台配置Web基础防护、标准防护、高级防护及其他多重安全防护手段，动态混淆前端页面的请求数据与真实URL地址数据，前端数据请求与服务器数据输出均通过数据混淆掩盖真实地址信息，避免外部如自动漏洞扫描入侵、撞库盗用账户、自动化攻击、高级DDOS攻击等网络攻击手段入侵；通过动态防御安全平台的安全防御手段，将被动式安全防护方式提升为主动式安全防护，利用动态封装、动态验证主动封锁系统存在的漏洞，确保服务器数据输出数据URL地址的时效性、唯一性，降低业务交易的安全风险、身份风险，降低应用系统的漏洞入侵风险、违规操作访问风险和数据泄露风险。

Description

一种计算机防火墙动态防御安全平台

技术领域

本发明涉及计算机防火墙技术领域，具体为一种计算机防火墙动态防御安全平台。

背景技术

随着信息安全技术的进步与安全意识的提升，许多企业已经能够有效地对抗各类已知的安全威胁。然而，“安全”一词本身就具有相对性。传统安全机制通常采取“后发制人”的策略，然而在如今快速变化和演进的新兴攻击手段面前，特别是面对基于未知漏洞和模拟合法操作的自动化攻击时，常常会变得束手无收。

当前网络安全机制的脆弱性所带来的后果让人触点惊心。尽管最行各业在安全领域投入大量资金，仍然难以达到令人满意的效果。人们不得不问“原因何在”？

古人说“逆水行舟，不进则退”，而答案恰恰就在这里。传统的安全技术不论是基于签名还是规则，无一例外都需要对已知的恶意行为进行分析，撰写攻击特征签名以行为规则，然后才能针对性的进行阻挡。这就像医疗领域中标准的疾控流程-新的致病细菌出现>研究病理特征>研发对应的特效药>治疗患者。显而易见，这种传统模式难以避免从发现问题到解决问题期间所在“无药可医”的空窗到。当新的漏洞以攻击出现时，网络安全人员则不得不重复这个过程，周而复得，陷入处处被动、疲于奔命的死循环。防守者始终墨守成规，而攻击者的手段却呈现不断变化、持续演进的趋势。传统的安全技术在应对这些潜在的未知威胁方面，可以说是“心有余而力不足”。

为此，本发明提出一种计算机防火墙动态防御安全平台，通过平台增加被保护站点地址，通过平台配置Web基础防护、标准防护、高级防护及其他多重安全防护手段，动态混淆前端页面的请求数据与真实URL地址数据，前端数据请求与服务器数据输出均通过数据混淆掩盖真实地址信息，避免外部如自动漏洞扫描入侵、撞库盗用账户、自动化攻击、高级DDOS攻击等网络攻击手段入侵。

通过动态防御安全平台的安全防御手段，将被动式安全防护方式提升为主动式安全防护，利用动态封装、动态验证主动封锁系统存在的漏洞，确保服务器数据输出数据URL地址的时效性、唯一性，降低业务交易的安全风险、身份风险，降低应用系统的漏洞入侵风险、违规操作访问风险和数据泄露风险。

发明内容

本发明的目的在于提供一种计算机防火墙动态防御安全平台，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：

一种计算机防火墙动态防御安全平台，本发明的目的在于提供一种计算机防火墙动态防御安全平台，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：一种计算机防火墙动态防御安全平台，包括混淆系统、日志分析系统、验证系统、Portal管理系统、Redis缓存系统和后端业务系统；

所述混淆系统：对所有的请求报文根据需求进行混淆后，重新退回各浏览器端，接受混淆后的URL请求并完成URL的还原；且所述混淆系统包括HTML响应混淆、响应Header头混淆、混淆还原、混淆加密要求、深度混淆和混淆黑白名单；

所述日志分析系统：对混淆系统的请求日志进行分析，用于发现异常访问的IP，并将异常IP登记到Redis缓存系统中；且所述日志分析系统包括用户请求日志、疑似攻击拦截、疑似机器人攻击分析和动态token验证；

所述验证系统：接收混淆系统的重定向，对客户端的请求进行验证并将验证通过后的IP从Redis缓存系统剔除；且所述验证系统包括疑似机器人攻击验证和浏览器真实性验证；

所述Portal管理系统：动态防护管理系统的web管理，提供白名单管理功能、系统参数配置、license管理以及用户角色权限等维护性功能；且所述Portal管理系统包括告警管理、保护设置、配置管理、报表分析和系统管理；

所述Redis缓存系统：用于登记异常IP；

所述后端业务系统：真实业务处理系统。

作为本发明一种优选的技术方案，所述HTML响应混淆、响应Header头混淆、混淆还原、混淆加密要求、深度混淆和混淆黑白名单的详解如下：

(1)HTML响应混淆：是将服务器对客户端的响应报文，并且类型是Content-Type：text/html；的报文进行动态混淆，混淆的类容包括链接类型标签和表单提交类型，其中链接类型标签包括href＝”XXXXX”>、action＝”XXXX”、src＝”xxxxx”和url＝”xxxx”，表单提交类型包括<input name＝”XXX”和<textarea name＝””；不混淆的类容包括图片类、CSS类型和JS类型的标签类型、以“<img”开始的标签且标签内含有“src＝”的图片类型的链接识别、以“<link”开始的标签，且标签内含有“type＝"text/css"”或“rel＝"stylesheet"”的CSS类型的链接识别以及以“<script”开头，且标签内含有“src＝”的JS类型的链接识别；

对所述HTML响应混淆的处理流程包括以下几个步骤：

S1、混淆系统对后端业务系统发给浏览器响应报文进行拦截；

S2、检查当前URL是否属于URL白名单；

S3、如果是则放通拦截；

S4、如果不是则对报文里的链接及输入表单进行混淆；

S5、放通拦截；

(1)响应Header头混淆：是对于服务端返回各客户端的cookie进行混淆，混淆后仍需要保持键值对的格式；

例如cookie值为：name＝hdlhd；password＝hdlh！234；混淆后的应为xxxx＝yyyy；aaa＝bbbb；

(3)混淆还原：是接收客户端混淆后的URL及各种参数的请求，并将混淆还原后推送回后端业务系统；其中，客户端发起的请求包括：混淆+不混淆的请求或参数的组合请求、正常的URL请求或者历史的URL请求；

所述混淆还原处理流程包括以下几个步骤：

S1、混淆系统接收客户端的请求；

S2、混淆系统对请求的URL及参数进行识别，验证它们是否包含混淆系统的特征码；

S3、如果识别成功则进入正常解码流程；

S4、否则进入异常解码流程；

S5、完成；

(4)混淆加密要求：对于混淆的URL只在当前会话有效，以服务器返回各客户的cookie为KEY，如果当前页面没有cookie则使用当前服务器的时间戳为加密KEY；其中，对于使用服务器时间戳为KEY的混淆内容，解码时判断时间戳是否生效，默认时间戳在5分钟内有效；

(5)深度混淆：是对响应页面中的<a>标签和<input>标签在URL和变量混淆的基础上使用异或加密进行全标签加密，并将加密后的密文采用<script>_$hdlh(“密文”)</script>替换原标签的内容，同时在报文的最后加上<script>function_$dcodeHdlh(para){}</script>JS脚本，用于解密；

所述深度混淆的业务流程包括以下几个步骤：

S1、在HMTL响应混淆的基础上；

S2、获取所有的<a>标签和<input>标签；

S3、采用简单的异或加密进行加密处理；

S4、使用<script>_$hdlh(“密文”)</script>标签替换<a>标签和<input>标签；

S5、在响应报文的基础上增加JS的解密函数dcodeHdlh；

S6、完成；

(6)混淆黑白名单：系统可以通过配置的方式指定具体哪些URL不进行混淆，混淆系统对于URL的匹配支持正则匹配的方式；

具体如下：后台混淆系统启动时加载$conf/url.conf配置文件，当url.conf变化时采用openresty-s reload的方式进行重新加载；其中url.conf格式：采用每个URL为一行；

所述混淆黑白名单包括普通业务流程和名单变更流程两个部分，其中，普通业务流程包括以下几个步骤：

S1、混淆系统启动后自动加载$conf/url.conf文件；

S2、混淆系统根据每个请求的URL和url.conf文件进行比较匹配；

S3、如匹配成功则不进行混淆；

S4、如果匹配失败则进行HTML混淆；

S5、将数据报文推送给流量器渲染；

S6、完成；

名单变更流程包括以下几个步骤：

S1、后台管理系统对url.conf进行修改后并且保存；

S2、后台管理系统执行openresty–s reload进行重新加载配置；

S3、完成。

作为本发明一种优选的技术方案，所述用户请求日志、疑似攻击拦截、疑似机器人攻击分析和动态token的详解如下：

(1)用户请求日志：是将nginx的日志以socket的方式写入远程的日志收集系统，其中，日志格式为：页面是否已保护|攻击类型|请求时间|IP|端口|cookie|http_user_agent|http_referer|status状态|request请求|post参数；

所述用户请求日志的业务流程包括以下几个步骤：

S1、在lua中将nginx日志按格式要求拼凑一行记录；

S2、将日志记录发送到分析服务器所在IP和远程端口，其中远程端口为8012端口；

S3、以udp协议发送；

S4、完成；

(2)疑似攻击拦截：混淆系统接收分析系统的指令对异常访问的IP进行拦截处理并重新到验证系统进行二次验证；原客户请求的URL会封装在__hdlh_source_url参数中,原业务系统的POST参数也会原封不动地推回给验证系统，IP地址封装在__hdlh_client_ip参数中；

所述疑似攻击拦截的业务流程包括以下几个步骤：

S1、分析系统将疑似攻击行为的IP登记到Redis缓存系统中；

S2、混淆系统从每次请求中摘取IP地址，并到REDIS中检查当前IP否存在异常记录；

S3、如存在异常记录则将请求重定向到验证系统；

S4、如不存在异常记录则正常走业务流程；

S5、完成；

(3)疑似机器人攻击分析：是采用高频分析发现当前IP请求是否正常，如果行为异常则将IP写入Redis缓存系统中，Redis key格式：attack$ip，如疑似IP为192.168.2.171，则KEY值attack192.168.2.171,值1；有效期为10分钟，10分钟后此自动删除；

(4)动态token验证：使用lua在header_filter_by_lua_file中对请求进行拦截后加上随机token，同时在将token存入Redis缓存系统中，在access_by_lua_file环节验证token是否正常。

作为本发明一种优选的技术方案，所述疑似机器人攻击验证和浏览器真实性验证的详解如下：

(1)疑似机器人攻击验证：接收到混淆模块的客户请求重新定向后，进入验证模式，其中，验证模式的原则为：需要人共参与才能进行完成；验证完成后在Redis中将IP删除，KEY格式attack$ip，如attack192.168.2.171；

(2)浏览器真实性验证：是通过页面加载JS脚本，使用JS验证当前的请求操作是否是浏览器的真实操作，还是后台脚本的请求；

将验证结果POST回$https：//$ip/authchek项目，POST$https：//$ip/authchek？__hdlh_ip＝$ip&__hdlh_chek＝true/false&__hdlh_source_url＝$url；其中，__hdlh_ip表示当前客户端的IP地址，__hdlh_check表示验证是否通过，__hdlh_source_url表示当前所在页面的URL地址。

作为本发明一种优选的技术方案，所述告警管理、保护设置、配置管理、报表分析和系统管理的详解如下：

(1)告警管理：提供系统告警事件的查看和告警解除功能；其中，告警事件包括：高频访问和系统注入；

告警事件以列表的形式展现，列表的内容包括：告警类型、IP、时间、日志情况，提供关键字和IP和时间检索功能；

(2)保护设置：提供站点的保护配置功能，包括基础设置、Web标准设置、高级防护设置、全局设置、后台配置文件修改和其他；

其中，

A、基础设置：提供站点的保护配置功能，点击被保护的站点链接后进入此功能；

具体包括：开启防护设置(开启/停止)，开启后最少得选择“web标准防护”、站点入口、请求无响应策略(重定向站点首页，拒绝，返回空白页)；

B、Web标准设置：提供站点的保护配置功能；

具体包括：URL白名单、IP黑名单、IPCC功能；

C、高级防护设置：

具体包括：启用提交数据隐身功能、启用cookie隐身功能、启用URL隐身功能、cookie反劫持；

D、全局设置：

具体包括：替换主机名、Flash跨域访问、最大上传文件大小、源地址和更改错误页面模板；

E、后台配置文件修改：主要阐明页面上的参数和后台配置文件中的变量对应关系；

F、其他：提供站点的保护配置功能；

具体包括：HTTP头信息设置、允许访问的HTTP请求方法、检查是否打开调试工具、HTTP跳转HTTPS；

启动所述保护设置的注意事项包括：1)、存盘时需校验服务器的IP地址是否正确；2)、存盘前检测服务器是否畅通，并将检测结果提示给用户；3)、列表信息包括：站点名称、站点地址、防护状态、操作，其中防护状态包括防护中和已停止；4)、站点代码自动生成，且不允许用户修改；

(3)配置管理：包括URL白名单管理和IP黑白名单管理；

A、URL白名单管理：提供URL白名单的维护功能；

白名单用于混淆系统识别当前URL是否需要进行混淆，要求支持正则匹配要求；

系统在运行请进行加载到内存，如有修改可以采用如下命令重新加载：

Openresty–s reload

1、存储位置：$openresty/lualib/waf/wafconf/url；

2、格式：一行一条URL；

3、存储成功后执行，openresty–s reload；

B、IP黑白名单管理：提供IP黑白名单的维护功能；

黑名单：拒绝此类IP访问防护站点；

白名单：此类IP访问系统时不做任何防护处理；

列表信息包括：IP、类型；

用户点击保存按钮后,

白名单存储到文件$openresty/lualib/waf/wafconf/whiteip；

黑名单存储到文件$openresty/lualib/waf/wafconf/blackip；

按文本格式存储，一行一条记录；

存储成功后执行，openresty–s reload；

(4)报表分析：提供统计当前系统统计数据；

具体包括：系统请求次数、已保护请求数、异常请求数、已阻止攻击数、提供按时间查询功能；

(5)系统管理：

具体包括：

A、操作日志查询：对于所有后台操作日志的查询；

B、账号管理：主要是针对于登录账号的增删改查进行维护；

C、模块管理：针对于系统模块管理；

D、字典管理；

E、角色管理。

作为本发明一种优选的技术方案，所述动态防御安全平台上还设置有加密算法模块，所述加密算法模块分为URL加密算法以及POST参数加密算法；

其中，

A、URL加密算法：对URL进行混淆后，算法如下：

S1、对URL进行base64编码，定义为P1；

S2、对COOKIE值进行编码，定义为P2；

S3、产生随机数R；

S4、在P1的下标为R的位置插入P2，转成P4；

S5、在P4下标为6的位置登记P1的长度R和P2的长度，格式为：p1的长度是4位，R的长度1位，P2长度3位的数字字符串，转成P5；

S6、剔除URL中的hdlh_token＝XXX的传参；

举例：

P1的base64后的值AAAAAAAAAA；

P2的base64后的值CCCCCC；

R的值3；

P4的值应该是：AAAACCCCCCAAAAAA；

P5的值应该是AAAACCC00103006CCCAAAAAA；

B、POST参数加密算法：对提交的POST参数进行加密，算法如下：

S1、假设参数P；

S2、计算P的字符长度L；

S3、将P按L/进行对调P2,如果长度是基数，将最后一位追加到字符串后面；

S4、将P2进行逆转；

S5、将P2加上hdlh_标识头,并BSAE64编码；

作为本发明一种优选的技术方案，所述的正常解码流程和异常解码流程分别包括以下几个操作步骤：

正常解码流程：

S1、对URL和参数进行解码，并检查当前URL是否在有效时间内；

S2、如果识别成功执行后端正常业务流程；

S3、如果识别不成功则重定向到验证系统；

S4、完成；

异常解码流程：

S1、检查当前的URL是否是白名单；

S2、如果是执行后端正常业务流程；

S3、如果不是则重定向到验证系统；

S4、完成。

一种计算机防火墙动态防御安全平台的操作方法，包括以下几个步骤：

S1、打开PC浏览器，在浏览器地址框输入登录动态防御安全平台所在服务器地址，进入平台登录界面，登录动态防御安全平台需持有账号和密码，输入特定账号、密码及动态验证码即完成登陆；

S2、登陆完成后自动切换到系统概要页面，系统概要页面内容查看系统版本号、编译号，查看当前受保护站点数量信息和集群节点信息；

S3、点击导航栏“告警管理”栏目进入告警管理界面，提供系统告警事件的查看和告警解除功能；

S4、点击导航栏“保护设置”栏目进入保护设置界面功能，提供站点的保护配置功能，包括“启动站点信息配置”，“添加被保护站点”；

S5、点击导航栏“报表分析”栏目进入报表分析界面功能，提供统计当前系统统计数据；

S6、点击导航栏“配置管理”栏目进入配置管理界面功能；

S7、点击导航栏“系统管理”栏目进入系统管理界面功能。

与现有技术相比，本发明的有益效果是：本发明一种计算机防火墙动态防御安全平台，通过平台配置Web基础防护、标准防护、高级防护及其他多重安全防护手段，动态混淆前端页面的请求数据与真实URL地址数据，前端数据请求与服务器数据输出均通过数据混淆掩盖真实地址信息，避免外部如自动漏洞扫描入侵、撞库盗用账户、自动化攻击、高级DDOS攻击等网络攻击手段入侵；通过动态防御安全平台的安全防御手段，将被动式安全防护方式提升为主动式安全防护，利用动态封装、动态验证主动封锁系统存在的漏洞，确保服务器数据输出数据URL地址的时效性、唯一性，降低业务交易的安全风险、身份风险，降低应用系统的漏洞入侵风险、违规操作访问风险和数据泄露风险。

具体实施方式

下面对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1：本发明提供一种技术方案：一种计算机防火墙动态防御安全平台，包括混淆系统、日志分析系统、验证系统、Portal管理系统、Redis缓存系统和后端业务系统；

所述混淆系统：对所有的请求报文根据需求进行混淆后，重新退回各浏览器端，接受混淆后的URL请求并完成URL的还原；且所述混淆系统包括HTML响应混淆、响应Header头混淆、混淆还原、混淆加密要求、深度混淆和混淆黑白名单；

所述日志分析系统：对混淆系统的请求日志进行分析，用于发现异常访问的IP，并将异常IP登记到Redis缓存系统中；且所述日志分析系统包括用户请求日志、疑似攻击拦截、疑似机器人攻击分析和动态token验证；

所述验证系统：接收混淆系统的重定向，对客户端的请求进行验证并将验证通过后的IP从Redis缓存系统剔除；且所述验证系统包括疑似机器人攻击验证和浏览器真实性验证；

所述Portal管理系统：动态防护管理系统的web管理，提供白名单管理功能、系统参数配置、license管理以及用户角色权限等维护性功能；且所述Portal管理系统包括告警管理、保护设置、配置管理、报表分析和系统管理；

所述Redis缓存系统：用于登记异常IP；

所述后端业务系统：真实业务处理系统。

进一步的，所述HTML响应混淆、响应Header头混淆、混淆还原、混淆加密要求、深度混淆和混淆黑白名单的详解如下：

(1)HTML响应混淆：是将服务器对客户端的响应报文，并且类型是Content-Type：text/html；的报文进行动态混淆，混淆的类容包括链接类型标签和表单提交类型，其中链接类型标签包括href＝”XXXXX”>、action＝”XXXX”、src＝”xxxxx”和url＝”xxxx”，表单提交类型包括<input name＝”XXX”和<textarea name＝””；不混淆的类容包括图片类、CSS类型和JS类型的标签类型、以“<img”开始的标签且标签内含有“src＝”的图片类型的链接识别、以“<link”开始的标签，且标签内含有“type＝"text/css"”或“rel＝"stylesheet"”的CSS类型的链接识别以及以“<script”开头，且标签内含有“src＝”的JS类型的链接识别；

对所述HTML响应混淆的处理流程包括以下几个步骤：

S1、混淆系统对后端业务系统发给浏览器响应报文进行拦截；

S2、检查当前URL是否属于URL白名单；

S3、如果是则放通拦截；

S4、如果不是则对报文里的链接及输入表单进行混淆；

S5、放通拦截；

(2)响应Header头混淆：是对于服务端返回各客户端的cookie进行混淆，混淆后仍需要保持键值对的格式；例如cookie值为：name＝hdlhd；password＝hdlh！234；混淆后的应为xxxx＝yyyy；aaa＝bbbb；

(3)混淆还原：是接收客户端混淆后的URL及各种参数的请求，并将混淆还原后推送回后端业务系统；其中，客户端发起的请求包括：混淆+不混淆的请求或参数的组合请求、正常的URL请求或者历史的URL请求；

所述混淆还原处理流程包括以下几个步骤：

S1、混淆系统接收客户端的请求；

S2、混淆系统对请求的URL及参数进行识别，验证它们是否包含混淆系统的特征码；

S3、如果识别成功则进入正常解码流程；

S4、否则进入异常解码流程；

S5、完成；

(4)混淆加密要求：对于混淆的URL只在当前会话有效，以服务器返回各客户的cookie为KEY，如果当前页面没有cookie则使用当前服务器的时间戳为加密KEY；其中，对于使用服务器时间戳为KEY的混淆内容，解码时判断时间戳是否生效，默认时间戳在5分钟内有效；

(5)深度混淆：是对响应页面中的<a>标签和<input>标签在URL和变量混淆的基础上使用异或加密进行全标签加密，并将加密后的密文采用<script>_$hdlh(“密文”)</script>替换原标签的内容，同时在报文的最后加上<script>function_$dcodeHdlh(para){}</script>JS脚本，用于解密；

所述深度混淆的业务流程包括以下几个步骤：

S1、在HMTL响应混淆的基础上；

S2、获取所有的<a>标签和<input>标签；

S3、采用简单的异或加密进行加密处理；

S4、使用<script>_$hdlh(“密文”)</script>标签替换<a>标签和<input>标签；

S5、在响应报文的基础上增加JS的解密函数dcodeHdlh；

S6、完成；

(6)混淆黑白名单：系统可以通过配置的方式指定具体哪些URL不进行混淆，混淆系统对于URL的匹配支持正则匹配的方式；

具体如下：后台混淆系统启动时加载$conf/url.conf配置文件，当url.conf变化时采用openresty-s reload的方式进行重新加载；其中url.conf格式：采用每个URL为一行；

所述混淆黑白名单包括普通业务流程和名单变更流程两个部分，其中，普通业务流程包括以下几个步骤：

S1、混淆系统启动后自动加载$conf/url.conf文件；

S2、混淆系统根据每个请求的URL和url.conf文件进行比较匹配；

S3、如匹配成功则不进行混淆；

S4、如果匹配失败则进行HTML混淆；

S5、将数据报文推送给流量器渲染；

S6、完成；

名单变更流程包括以下几个步骤：

S1、后台管理系统对url.conf进行修改后并且保存；

S2、后台管理系统执行openresty–s reload进行重新加载配置；

S3、完成。

进一步的，所述用户请求日志、疑似攻击拦截、疑似机器人攻击分析和动态token的详解如下：

(1)用户请求日志：是将nginx的日志以socket的方式写入远程的日志收集系统，其中，日志格式为：页面是否已保护|攻击类型|请求时间|IP|端口|cookie|http_user_agent|http_referer|status状态|request请求|post参数；

所述用户请求日志的业务流程包括以下几个步骤：

S1、在lua中将nginx日志按格式要求拼凑一行记录；

S2、将日志记录发送到分析服务器所在IP和远程端口，其中远程端口为8012端口；

S3、以udp协议发送；

S4、完成；

(2)疑似攻击拦截：混淆系统接收分析系统的指令对异常访问的IP进行拦截处理并重新到验证系统进行二次验证；原客户请求的URL会封装在__hdlh_source_url参数中,原业务系统的POST参数也会原封不动地推回给验证系统，IP地址封装在__hdlh_client_ip参数中；

所述疑似攻击拦截的业务流程包括以下几个步骤：

S1、分析系统将疑似攻击行为的IP登记到Redis缓存系统中；

S2、混淆系统从每次请求中摘取IP地址，并到Redis中检查当前IP否存在异常记录；

S3、如存在异常记录则将请求重定向到验证系统；

S4、如不存在异常记录则正常走业务流程；

S5、完成；

(3)疑似机器人攻击分析：是采用高频分析发现当前IP请求是否正常，如果行为异常则将IP写入Redis缓存系统中，Redis key格式：attack$ip，如疑似IP为192.168.2.171，则KEY值attack192.168.2.171,值1；有效期为10分钟，10分钟后此自动删除；

(4)动态token验证：使用lua在header_filter_by_lua_file中对请求进行拦截后加上随机token，同时在将token存入Redis缓存系统中，在access_by_lua_file环节验证token是否正常。

进一步的，所述疑似机器人攻击验证和浏览器真实性验证的详解如下：

(1)疑似机器人攻击验证：接收到混淆模块的客户请求重新定向后，进入验证模式，其中，验证模式的原则为：需要人共参与才能进行完成；验证完成后在Redis中将IP删除，KEY格式attack$ip，如attack192.168.2.171；

(2)浏览器真实性验证：是通过页面加载JS脚本，使用JS验证当前的请求操作是否是浏览器的真实操作，还是后台脚本的请求；

将验证结果POST回$https：//$ip/authchek项目，POST$https：//$ip/authchek？__hdlh_ip＝$ip&__hdlh_chek＝true/false&__hdlh_source_url＝$url；其中，__hdlh_ip表示当前客户端的IP地址，__hdlh_check表示验证是否通过，__hdlh_source_url表示当前所在页面的URL地址。

进一步的，所述告警管理、保护设置、配置管理、报表分析和系统管理的详解如下：

(1)告警管理：提供系统告警事件的查看和告警解除功能；其中，告警事件包括：高频访问和系统注入；

告警事件以列表的形式展现，列表的内容包括：告警类型、IP、时间、日志情况，提供关键字和IP和时间检索功能；

(2)保护设置：提供站点的保护配置功能，包括基础设置、Web标准设置、高级防护设置、全局设置、后台配置文件修改和其他；

其中，

A、基础设置：提供站点的保护配置功能，点击被保护的站点链接后进入此功能；

具体包括：开启防护设置(开启/停止)，开启后最少得选择“web标准防护”、站点入口、请求无响应策略(重定向站点首页，拒绝，返回空白页)；

B、Web标准设置：提供站点的保护配置功能；

具体包括：URL白名单、IP黑名单、IPCC功能；

C、高级防护设置：

具体包括：启用提交数据隐身功能、启用cookie隐身功能、启用URL隐身功能、cookie反劫持；

D、全局设置：

具体包括：替换主机名、Flash跨域访问、最大上传文件大小、源地址和更改错误页面模板；

E、后台配置文件修改：主要阐明页面上的参数和后台配置文件中的变量对应关系；

F、其他：提供站点的保护配置功能；

具体包括：HTTP头信息设置、允许访问的HTTP请求方法、检查是否打开调试工具、HTTP跳转HTTPS；

启动所述保护设置的注意事项包括：1、存盘时需校验服务器的IP地址是否正确；2存盘前检测服务器是否畅通，并将检测结果提示给用户；3、列表信息包括：站点名称、站点地址、防护状态、操作，其中防护状态包括防护中和已停止；4、站点代码自动生成，且不允许用户修改；

(3)配置管理：包括URL白名单管理和IP黑白名单管理；

A、URL白名单管理：提供URL白名单的维护功能；

白名单用于混淆系统识别当前URL是否需要进行混淆，要求支持正则匹配要求；

系统在运行请进行加载到内存，如有修改可以采用如下命令重新加载：

Openresty–s reload

1、存储位置：$openresty/lualib/waf/wafconf/url；

2、格式：一行一条URL；

3、存储成功后执行，openresty–s reload；

B、IP黑白名单管理：提供IP黑白名单的维护功能；

黑名单：拒绝此类IP访问防护站点；

白名单：此类IP访问系统时不做任何防护处理；

列表信息包括：IP、类型；

用户点击保存按钮后,

白名单存储到文件$openresty/lualib/waf/wafconf/whiteip；

黑名单存储到文件$openresty/lualib/waf/wafconf/blackip；

按文本格式存储，一行一条记录；

存储成功后执行，openresty–s reload；

(4)报表分析：提供统计当前系统统计数据；

具体包括：系统请求次数、已保护请求数、异常请求数、已阻止攻击数、提供按时间查询功能；

(5)系统管理：

具体包括：

A、操作日志查询：对于所有后台操作日志的查询；

B、账号管理：主要是针对于登录账号的增删改查进行维护；

C、模块管理：针对于系统模块管理；

D、字典管理；

E、角色管理。

进一步的，所述动态防御安全平台上还设置有加密算法模块，所述加密算法模块分为URL加密算法以及POST参数加密算法；

其中，

A、URL加密算法：对URL进行混淆后，算法如下：

S1、对URL进行base64编码，定义为P1；

S2、对COOKIE值进行编码，定义为P2；

S3、产生随机数R；

S4、在P1的下标为R的位置插入P2，转成P4；

S5、在P4下标为6的位置登记P1的长度R和P2的长度，格式为：p1的长度是4位，R的长度1位，P2长度3位的数字字符串，转成P5；

S6、剔除URL中的hdlh_token＝XXX的传参；

举例：

P1的base64后的值AAAAAAAAAA；

P2的base64后的值CCCCCC；

R的值3；

P4的值应该是：AAAACCCCCCAAAAAA；

P5的值应该是AAAACCC00103006CCCAAAAAA；

B、POST参数加密算法：对提交的POST参数进行加密，算法如下：

S1、假设参数P；

S2、计算P的字符长度L；

S3、将P按L/进行对调P2,如果长度是基数，将最后一位追加到字符串后面；

S4、将P2进行逆转；

S5、将P2加上hdlh_标识头,并BSAE64编码；

进一步的，权利要求2第(3)条所述的正常解码流程和异常解码流程分别包括以下几个操作步骤：

正常解码流程：

S1、对URL和参数进行解码，并检查当前URL是否在有效时间内；

S2、如果识别成功执行后端正常业务流程；

S3、如果识别不成功则重定向到验证系统；

S4、完成；

异常解码流程：

S1、检查当前的URL是否是白名单；

S2、如果是执行后端正常业务流程；

S3、如果不是则重定向到验证系统；

S4、完成。

一种计算机防火墙动态防御安全平台的操作方法，包括以下几个步骤：

S1、打开PC浏览器，在浏览器地址框输入登录动态防御安全平台所在服务器地址，进入平台登录界面，登录动态防御安全平台需持有账号和密码，输入特定账号、密码及动态验证码即完成登陆；

S2、登陆完成后自动切换到系统概要页面，系统概要页面内容查看系统版本号、编译号，查看当前受保护站点数量信息和集群节点信息；

S3、点击导航栏“告警管理”栏目进入告警管理界面，提供系统告警事件的查看和告警解除功能；

S4、点击导航栏“保护设置”栏目进入保护设置界面功能，提供站点的保护配置功能，包括“启动站点信息配置”，“添加被保护站点”；

S5、点击导航栏“报表分析”栏目进入报表分析界面功能，提供统计当前系统统计数据；

S6、点击导航栏“配置管理”栏目进入配置管理界面功能；

S7、点击导航栏“系统管理”栏目进入系统管理界面功能。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims (6)

1.一种计算机防火墙动态防御安全平台，其特征在于：包括混淆系统、日志分析系统、验证系统、Portal管理系统、Redis缓存系统和后端业务系统；

所述混淆系统：对所有的请求报文根据需求进行混淆后，重新退回各浏览器端，接受混淆后的URL请求并完成URL的还原；且所述混淆系统包括HTML响应混淆、响应Header头混淆、混淆还原、混淆加密要求、深度混淆和混淆黑白名单；

所述日志分析系统：对混淆系统的请求日志进行分析，用于发现异常访问的IP，并将异常IP登记到Redis缓存系统中；且所述日志分析系统包括用户请求日志、疑似攻击拦截、疑似机器人攻击分析和动态token验证；

所述验证系统：接收混淆系统的重定向，对客户端的请求进行验证并将验证通过后的IP从Redis缓存系统剔除；且所述验证系统包括疑似机器人攻击验证和浏览器真实性验证；

所述Portal管理系统：动态防护管理系统的web管理，提供白名单管理功能、系统参数配置、license管理以及用户角色权限维护性功能；且所述Portal管理系统包括告警管理、保护设置、配置管理、报表分析和系统管理；

所述Redis缓存系统：用于登记异常IP；

所述后端业务系统：真实业务处理系统；

所述HTML响应混淆、响应Header头混淆、混淆还原、混淆加密要求、深度混淆和混淆黑白名单的详解如下：

HTML响应混淆：是将服务器对客户端的响应报文，并且类型是Content-Type：text/html的报文进行动态混淆，混淆的类容包括链接类型标签和表单提交类型，其中链接类型标签包括href=”XXXXX”>、action=”XXXX”、src=”XXXXX”和url=”XXXX”，表单提交类型包括<input name=”XXX”和<textarea name=””；不混淆的类容包括图片类、CSS类型和JS类型的标签类型、以“<img”开始的标签且标签内含有“src=”的图片类型的链接识别、以“<link”开始的标签，且标签内含有“type="text/css"”或“rel="stylesheet"”的CSS类型的链接识别以及以“<script”开头，且标签内含有“src=”的JS类型的链接识别；

对所述HTML响应混淆的处理流程包括以下几个步骤：

S1、混淆系统对后端业务系统发给浏览器响应报文进行拦截；

S2、检查当前URL是否属于URL白名单；

S3、如果是则放通拦截；

S4、如果不是则对报文里的链接及输入表单进行混淆；

S5、放通拦截；

响应Header头混淆：是对于服务端返回各客户端的cookie进行混淆，混淆后仍需要保持键值对的格式；

（3）混淆还原：是接收客户端混淆后的URL及各种参数的请求，并将混淆还原后推送回后端业务系统；其中，客户端发起的请求包括：混淆+不混淆的请求或参数的组合请求、正常的URL请求或者历史的URL请求；

所述混淆还原处理流程包括以下几个步骤：

S1、混淆系统接收客户端的请求；

S2、混淆系统对请求的URL及参数进行识别，验证它们是否包含混淆系统的特征码；

S3、如果识别成功则进入正常解码流程；

S4、否则进入异常解码流程；

S5、完成；

（4）混淆加密要求：对于混淆的URL只在当前会话有效，以服务器返回各客户的cookie为KEY，如果当前页面没有cookie则使用当前服务器的时间戳为加密KEY；其中，对于使用服务器时间戳为KEY的混淆内容，解码时判断时间戳是否生效，默认时间戳在5分钟内有效；

（5）深度混淆：是对响应页面中的<a>标签和<input>标签在URL和变量混淆的基础上使用异或加密进行全标签加密，并将加密后的密文采用<script>_$hdlh(“密文”)</script>替换原标签的内容，同时在报文的最后加上<script>function _$dcodeHdlh( para ){ }</script> JS脚本，用于解密；

所述深度混淆的业务流程包括以下几个步骤：

S1、在HMTL响应混淆的基础上；

S2、获取所有的<a>标签和<input>标签；

S3、采用简单的异或加密进行加密处理；

S4、使用<script>_$hdlh(“密文”) </script>标签替换<a>标签和<input>标签；

S5、在响应报文的基础上增加JS的解密函数dcodeHdlh ；

S6、完成；

（6）混淆黑白名单：系统可以通过配置的方式指定具体哪些URL不进行混淆，混淆系统对于URL的匹配支持正则匹配的方式；

具体如下：后台混淆系统启动时加载 $conf/url.conf配置文件，当url.conf变化时采用openresty-s reload的方式进行重新加载；其中url.conf格式：采用每个URL为一行；

所述混淆黑白名单包括普通业务流程和名单变更流程两个部分，其中，普通业务流程包括以下几个步骤：

S1、混淆系统启动后自动加载$conf/url.conf文件；

S2、混淆系统根据每个请求的URL和url.conf文件进行比较匹配；

S3、如匹配成功则不进行混淆；

S4、如果匹配失败则进行HTML混淆；

S5、将数据报文推送给流量器渲染；

S6、完成；

名单变更流程包括以下几个步骤：

S1、后台管理系统对url.conf进行修改后并且保存；

S2、后台管理系统执行 openresty–s reload 进行重新加载配置；

S3、完成。

2.根据权利要求1所述的一种计算机防火墙动态防御安全平台，其特征在于：所述用户请求日志、疑似攻击拦截、疑似机器人攻击分析和动态token的详解如下：

（1）用户请求日志：是将nginx的日志以socket的方式写入远程的日志收集系统，其中，日志格式为：页面是否已保护|攻击类型|请求时间|IP|端口|cookie |http_user_agent |http_referer|status状态|request请求|post参数；

所述用户请求日志的业务流程包括以下几个步骤：

S1、在lua中将nginx日志按格式要求拼凑一行记录；

S2、将日志记录发送到分析服务器所在IP和远程端口，其中远程端口为8012端口；

S3、以udp协议发送；

S4、完成；

（2）疑似攻击拦截：混淆系统接收分析系统的指令对异常访问的IP进行拦截处理并重新到验证系统进行二次验证；原客户请求的URL会封装在__hdlh_source_url参数中,原业务系统的POST参数也会原封不动地推回给验证系统，IP地址封装在__hdlh_client_ip参数中；

所述疑似攻击拦截的业务流程包括以下几个步骤：

S1、分析系统将疑似攻击行为的IP登记到Redis缓存系统中；

S2、混淆系统从每次请求中摘取IP地址，并到Redis缓存系统中检查当前IP 否存在异常记录；

S3、如存在异常记录则将请求重定向到验证系统；

S4、如不存在异常记录则正常走业务流程；

S5、完成；

（3）疑似机器人攻击分析：是采用高频分析发现当前IP请求是否正常，如果行为异常则将IP写入Redis缓存系统中，Redis key格式：attack$ip，有效期为10分钟，10分钟后此IP自动删除；

（4）动态token验证：使用lua在header_filter_by_lua_file中对请求进行拦截后加上随机token，同时在将token存入Redis缓存系统中，在access_by_lua_file环节验证token是否正常。

3.根据权利要求1所述的一种计算机防火墙动态防御安全平台，其特征在于：所述疑似机器人攻击验证和浏览器真实性验证的详解如下：

疑似机器人攻击验证：接收到混淆模块的客户请求重新定向后，进入验证模式，其中，验证模式的原则为：需要人共参与才能进行完成；验证完成后在Redis缓存系统中将IP删除，KEY格式attack$ip；

（2）浏览器真实性验证：是通过页面加载JS脚本，使用JS验证当前的请求操作是否是浏览器的真实操作，还是后台脚本的请求；

将验证结果POST回$https：//$ip/authchek项目，POST $https：//$ip/authchek__hdlh_ip=$ip&__hdlh_chek=true/false&__hdlh_source_url=$url；其中，__hdlh_ip表示当前客户端的IP地址，__hdlh_check表示验证是否通过，__hdlh_source_url表示当前所在页面的URL地址。

4.根据权利要求1所述的一种计算机防火墙动态防御安全平台，其特征在于：所述告警管理、保护设置、配置管理、报表分析和系统管理的详解如下：

（1）告警管理：提供系统告警事件的查看和告警解除功能；其中，告警事件包括：高频访问和系统注入；

告警事件以列表的形式展现，列表的内容包括：告警类型、IP、时间、日志情况，提供关键字和IP和时间检索功能；

（2）保护设置：提供站点的保护配置功能，包括基础设置、Web标准设置、高级防护设置、全局设置、后台配置文件修改和其他；

其中，

A、基础设置：提供站点的保护配置功能，点击被保护的站点链接后进入此功能；

B、Web标准设置：提供站点的保护配置功能；

具体包括：URL白名单、IP黑名单、IPCC功能；

C、高级防护设置：

具体包括：启用提交数据隐身功能、启用cookie隐身功能、启用URL隐身功能、启用cookie反劫持功能；

D、全局设置：

具体包括：替换主机名，设置Flash跨域访问、最大上传文件大小和源地址参数，更改错误页面模板；

E、后台配置文件修改：主要阐明页面上的参数和后台配置文件中的变量对应关系；

F、其他：提供站点的保护配置功能；

具体包括：HTTP头信息设置、允许访问的HTTP请求方法、检查是否打开调试工具、HTTP跳转HTTPS；

启动所述保护设置的注意事项包括：1）、存盘时需校验服务器的IP地址是否正确；2）、存盘前检测服务器是否畅通，并将检测结果提示给用户；3）、列表信息包括：站点名称、站点地址、防护状态、操作，其中防护状态包括防护中和已停止；4）、站点代码自动生成，且不允许用户修改；

（3）配置管理：包括URL白名单管理和IP黑白名单管理；

A、URL白名单管理：提供URL白名单的维护功能；

白名单用于混淆系统识别当前URL是否需要进行混淆，要求支持正则匹配要求；

系统在运行请进行加载到内存，如有修改可以采用如下命令重新加载：

Openresty–s reload

1）、存储位置： $openresty/lualib/waf/wafconf /url；

2）、格式：一行一条URL；

3）、存储成功后执行，openresty–s reload；

B、IP黑白名单管理：提供IP黑白名单的维护功能；

黑名单：拒绝此类IP访问防护站点；

白名单：此类IP访问系统时不做任何防护处理；

列表信息包括：IP、类型；

用户点击保存按钮后,

白名单存储到文件$openresty/lualib/waf/wafconf/whiteip；

黑名单存储到文件$openresty/lualib/waf/wafconf/blackip；

按文本格式存储，一行一条记录；

存储成功后执行，openresty–s reload；

（4）报表分析：提供统计当前系统统计数据；

具体包括：系统请求次数、已保护请求数、异常请求数、已阻止攻击数、提供按时间查询功能；

（5）系统管理：

具体包括：

操作日志查询：对于所有后台操作日志的查询；

账号管理：主要是针对于登录账号的增删改查进行维护；

模块管理：针对于系统模块管理；

字典管理；

角色管理。

5.根据权利要求1所述的一种计算机防火墙动态防御安全平台，其特征在于：所述动态防御安全平台上还设置有加密算法模块，所述加密算法模块分为URL加密算法以及POST参数加密算法；

其中，

A、URL加密算法：对URL进行混淆后，算法如下：

S1、对URL进行base64编码，定义编码结果为P1；

S2、对COOKIE值进行编码，定义编码结果为P2；

S3、产生随机数R；

S4、在P1的下标为R的位置插入P2，转成P4；

S5、在P4下标为6的位置登记P1的长度R和P2的长度，格式为：p1的长度是4位，R的长度1位，P2长度3位的数字字符串，转成P5；

S6、剔除URL 中的hdlh_token=XXX的传参；

B、POST参数加密算法：对提交的POST参数进行加密，算法如下：

S1、假设参数P；

S2、计算P的字符长度L；

S3、将P按L/进行对调P2,如果长度是基数，将最后一位追加到字符串后面；

S4、将P2进行逆转；

S5、将P2加上hdlh_标识头, 并BSAE64编码。

6.根据权利要求1所述的一种计算机防火墙动态防御安全平台，其特征在于：所述的正常解码流程和异常解码流程分别包括以下几个操作步骤：

正常解码流程：

S1、对URL和参数进行解码，并检查当前URL是否在有效时间内；

S2、如果是执行后端正常业务流程；

S3、如果否则重定向到验证系统；

S4、完成；

异常解码流程：

S1、检查当前的URL是否在白名单；

S2、如果是执行后端正常业务流程；

S3、如果不是则重定向到验证系统；

S4、完成。