CN101902456B - 一种Web网站安全防御系统 - Google Patents
一种Web网站安全防御系统 Download PDFInfo
- Publication number
- CN101902456B CN101902456B CN 201010110771 CN201010110771A CN101902456B CN 101902456 B CN101902456 B CN 101902456B CN 201010110771 CN201010110771 CN 201010110771 CN 201010110771 A CN201010110771 A CN 201010110771A CN 101902456 B CN101902456 B CN 101902456B
- Authority
- CN
- China
- Prior art keywords
- web
- safety detector
- website
- domain name
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种Web网站安全防御系统,包括流量牵引器及Web安全检测器;所述流量牵引器与DNS服务器相连,用于从DNS服务器接收客户端的DNS域名解析请求,将该域名解析为所述Web安全检测器的IP地址,返回给所述客户端;所述Web安全检测器用于接收HTTP请求消息,对该HTTP请求消息进行入侵检测,如果未发现异常,则将该HTTP请求消息转发给该HTTP请求消息所指向的Web网站。本发明部署位置不受串行部署的限制,支持分布式部署,无需修改Web客户端和Web服务器配置,节省安全方面的成本,并且兼容性好,可伸缩性强。
Description
技术领域
本发明涉及网络安全领域,具体涉及一种Web网站安全防御系统。
背景技术
中国互联网络信息中心(CNNIC)发布的《第23次中国互联网络发展状况统计报告》显示,截至2008年底,中国的网站数达到287.8万个。2008年中国网站数较2007年增长91.4%,是2000年以来增长最快的一年。截至2008年底,中国网页总数超过160亿个,较2007年增长90%。网页的增长速度与网站的增速基本一致。
但与此同时,国内Web网站的安全状况堪忧。据不完全统计,国内有60%以上的网站都存在Web安全漏洞,包括各种SQL注入漏洞、跨站脚本攻击漏洞等,并且很多网站已经遭受到各种Web攻击,例如网页被挂马、网站SQL注入、网页被篡改等等,并且这种Web攻击趋势正在愈演愈烈。
为保障Web网站的安全,有经济实力的企事业单位一般都购买和部署专门的Web安全网关(一般也成为Web应用防火墙,以下简称为Web应用防火墙)来防御针对其Web网站的安全攻击。Web应用防火墙属于一种网关型设备,它作为Web服务器安全的最后一道防线,以串接方式部署在Web服务器的最前面,扫描进入Web服务器的所有HTTP请求,当发现针对Web服务器的恶意入侵时,将阻止该HTTP请求提交到后台的Web服务器,从而最大限度的保障Web服务器的安全。与此同时,一些Web应用防火墙还对返回给Web客户端的HTML页面进行内容扫描,当发现恶意代码时,将阻止该HTML页面发送到Web客户端,从而保障Web客户端免遭恶意代码的侵袭。
Web应用防火墙能够在很大程度上保障Web网站的安全,但是,常见的Web应用防火墙都是网关设备,它以串行方式部署在Web服务器的前面,形成一种各自为政的Web网站安全防御架构(如图1所示)。
但是,这种各自为政的Web网站安全防御架构在实际应用中会带来很多限制,这主要表现在以下几个方面:
当前的Web应用防火墙都是网关设备,它必须以串行方式部署在Web网站的前面,这种部署上的限制在现实情况中导致很多不便;
当前,很多企业为了业务上的方便,部署了多个Web网站,并且,这些Web网站分布在不同的地方,这样他们不得不为每个网站购买一个Web应用防火墙设备来保障其各个网站的安全,这将导致在安全方面的巨大开销;
由于经费方面的限制,成千上万的企业是通过租用IDC(Internet DataCenter,互联网数据中心)的Web空间来构建其Web网站的,没有财力去购买这种几万元的Web应用防火墙来保障其Web网站的安全。
发明内容
本发明要解决的技术问题是提供一种Web网站安全防御系统,部署位置不受串行部署的限制,支持分布式部署,无需修改Web客户端和Web服务器配置,节省安全方面的成本,并且兼容性好,可伸缩性强。
为了解决上述问题,本发明提供了一种Web网站安全防御系统,包括:
流量牵引器及Web安全检测器;
所述流量牵引器与DNS服务器相连,用于从DNS服务器接收客户端的DNS域名解析请求,将该域名解析为所述Web安全检测器的IP地址,返回给所述客户端;
所述Web安全检测器用于接收HTTP请求消息,对该HTTP请求消息进行入侵检测,如果未发现异常,则将该HTTP请求消息转发给该HTTP请求消息所指向的Web网站。
进一步地,所述Web安全检测器包括一个或多个,各Web安全检测器的IP地址互不相同。
进一步地,所述流量牵引器将域名解析为所述Web安全检测器的IP地址具体包括:
所述流量牵引器保存各Web安全检测器的IP地址,从各Web安全检测器中选取负载最轻的Web安全检测器,将所述域名解析为该负载最轻的Web安全检测器的IP地址。
进一步地,所述流量牵引器将域名解析为所述Web安全检测器的IP地址具体包括:
所述流量牵引器保存各Web安全检测器的IP地址,将所述域名解析为所述各Web安全检测器所对应的IP地址的集合。
进一步地,所述Web安全检测器分散部署在互联网中;
所述流量牵引器将域名解析为所述Web安全检测器的IP地址具体包括:
所述流量牵引器保存各Web安全检测器的IP地址,将所述域名解析为距离发送所述DNS域名解析请求的客户端最近的Web安全检测器的IP地址。
进一步地,所述Web安全检测器还用于接收Web网站返回的HTTP响应消息,对其中携带的HTTP文件对象进行内容安全扫描,如果未发现异常则将所述HTTP响应消息转发给该HTTP响应消息的目的客户端。
进一步地,所述的系统还包括:
Web安全日志库;
所述Web安全检测器还用于当发现异常时产生Web安全报警日志;
所述Web安全日志库用于接收来自Web安全检测器的Web安全报警日志并保存。
进一步地,所述Web安全检测器具体包括:
Web代理模块,用于接收由客户端发往受保护Web服务器的HTTP请求消息,交给所述安全模块进行入侵检测,接收所述安全模块返回的入侵检测结果,如果该入侵检测结果为检测到Web攻击,则拒绝转发,否则转发该HTTP请求消息到该HTTP请求消息所指向的Web网站;以及当接收到来自Web网站的HTTP响应消息后,抽取出该HTTP响应消息中携带的HTTP文件对象,交给所述安全模块进行安全扫描,接收所述安全模块返回的安全扫描结果,如果该安全扫描结果为检测到恶意代码,则拒绝转发或用一个预先制作好的提示页面替换包含恶意代码的HTML页面后发给相应的客户端,否则转发该HTTP相应消息到相应的客户端;
所述安全模块用于当收到所述Web代理模块发送的HTTP请求消息时,对该HTTP请求消息进行入侵检测,返回入侵检测结果;当收到所述Web代理模块发送的HTTP文件对象时,对该HTTP文件对象进行安全扫描,返回安全扫描结果。
进一步地,所述流量牵引器具体包括:
DNS服务模块及网站域名注册模块。
所述DNS服务模块用于从DNS服务器接收客户端发送来的DNS域名解析请求,将该域名解析为所述Web安全检测器的IP地址,返回给所述客户端;
所述网站域名注册模块用于对所有受保护的Web网站的注册,当一个受保护的Web网站被注册成功后,记录该Web网站的域名及其对应的IP地址。
进一步地,所述Web安全检测器转发所述HTTP请求消息时,根据该HTTP请求消息中的目标域名查询所述网站域名注册模块的记录,找到该域名对应的IP地址,将所述HTTP请求消息转发到所找到的IP地址。
本发明的技术方案不受传统Web应用防火墙部署位置的限制,允许为多个Web网站同时提供Web安全防护,可以大大节省企业在安全方面的开销;也允许有实力的安全服务公司部署一个公共的Web网站安全防御系统,使得成千上万的中小企业网站可以租用该公共Web安全防御系统提供的Web安全防御服务来保障其Web网站的安全,也可大大节约费用开支;而且本发明的Web网站安全防御系统对Web客户端和受保护的Web网站来说是透明的,无须对Web客户端和受保护的Web网站程序代码进行任何修改,兼容性好;另外,本发明所述开放式Web网站安全防御系统伸缩性强,可以根据需要本系统增加或减少Web安全检测器。
附图说明
图1为传统的Web网站安全防御的架构示意图;
图2为实施例一的Web网站安全防御系统的架构示意图;
图3为实施例一的Web网站安全防御系统的结构示意图;
图4为实施例一中包含Web安全日志库的Web网站安全防御系统的结构示意图;
图5为实施例一的Web网站安全防御系统中Web安全检测器的结构示意图;
图6为实施例一的Web网站安全防御系统中流量牵引器的结构示意图;
图7为实施例一中,某Web客户端访问Web网站安全防御系统保护的Web网站的流程示意图;
图8为实施例一中,某Web客户端访问受保护Web网站过程的实例。
具体实施方式
下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
实施例一,一种Web网站安全防御系统,如图2所示,设置于公共互联网中、Web客户端和受保护的Web网站之间,以使得Web客户端用户——不管是正常用户还是恶意用户——通过该Web网站安全防御系统来访问受保护的Web网站。
本实施例的Web网站安全防御系统采用DNS接管技术来实现HTTP流量的流量牵引,使得原本直接发往受保护Web网站的所有HTTP流量必须先流经本实施例提供的Web网站安全防御系统后再发往受保护Web网站,这样,本实施例的Web网站安全防御系统有机会对所有发往受保护Web网站的HTTP流量进行安全检测。由于采用了流量牵引技术,因此,在物理网络连接上并不要求该Web网站安全防御系统串联到Web客户端和受保护的Web网站之间,它可以部署在互联网上任何位置。
本实施例的Web网站安全防御系统作为Web客户端和Web服务器之间的访问中介真实存在,但对Web客户端和Web服务器两端来说都是透明的,它犹如一朵漂浮在互联网络上的“云”,负责检测Web客户端和受保护Web网站之间的所有HTTP流量。本实施例的Web网站安全防御系统可以在传统的分布式计算平台上实施,也可以采用最新的基于互联网的分布式计算平台实现,比如“云计算”平台。
本实施例的Web网站安全防御系统类似于一个HTTP流量的“集散中心”,采用DNS接管技术来实现对所有发往受保护Web网站的HTTP流量的“集散”,使得所有原本直接发往受保护Web网站的HTTP流量必须先在开放式Web网站安全防御系统“聚集”后,经过安全扫描再“分发”到受保护的Web网站;这样,将有机会对转发的HTTP请求消息和HTTP响应消息进行安全检查。
本实施例的所述Web网站安全防御系统如图3所示,包括:
流量牵引器及Web安全检测器;
所述流量牵引器与DNS服务器相连,用于从DNS服务器接收客户端的DNS域名解析请求,将该域名解析为所述Web安全检测器的IP地址,返回给所述客户端;可以直接返回,也可通过所述DNS服务器或其它设备返回;
所述Web安全检测器用于接收HTTP请求消息,对该HTTP请求消息进行入侵检测,如果未发现异常,则将该HTTP请求消息转发给该HTTP请求消息所指向的Web网站。
本实施例的所述流量牵引器将原本从Web客户端直接发往受保护Web网站的HTTP流量“牵引”至本发明所述Web网站安全防御系统;所述Web安全检测器作为Web客户端和受保护Web网站之间的数据传输代理,基于应用层代理技术创建从Web客户端到指定的Web网站的数据传输通道,转发Web客户端和受保护Web网站之间的所有安全的HTTP流量。
本实施例中的Web安全检测器并不同于传统的Web代理,传统的Web代理在使用时对用户来说是不透明的,需要Web客户端知道Web代理的IP地址。而本实施例中的Web安全检测器对Web客户端来说是透明的,无需Web客户端做任何配置的修改;在Web访问中,Web客户端通过域名解析得到Web安全检测器的IP地址;因此,从Web客户的角度来看,Web客户要访问的Web网站好像是在Web安全检测器上,可以像平常一样采用HTTP协议访问Web安全检测器。
当使用了本实施例的Web网站安全防御系统后,为防止恶意Web客户端绕过该Web网站安全防御系统直接对受保护的Web网站发起攻击,Web网站管理员可以对其Web网站服务器做一些限制措施,比如可以限制受保护的Web网站只接收来自本实施例的Web网站防御系统转发的HTTP请求消息,也可以限制受保护Web网站只接收携带了本实施例的Web网站防御系统签名的HTTP流量,从而对这些Web网站进行安全防御。
本实施例中,所述Web安全检测器包括一个或多个,各Web安全检测器的IP地址互不相同;可以但不限于采用Web安全检测器池存放该一个或多个Web安全检测器。
本实施例中,所述Web安全检测器池中的Web安全检测器可以根据需要进行添加和删除,而不影响本Web网站安全防御系统的正常工作,只要保证至少存在一个Web安全检测器即可。
本实施例的一种实施方式中,所述流量牵引器将域名解析为所述Web安全检测器的IP地址具体包括:
所述流量牵引器保存各Web安全检测器的IP地址,从各Web安全检测器中选取负载最轻的Web安全检测器,将所述域名解析为该负载最轻的Web安全检测器的IP地址。
本实施例的另一种实施方式中,所述流量牵引器将域名解析为所述Web安全检测器的IP地址具体包括:
所述流量牵引器保存各Web安全检测器的IP地址,将所述域名解析为所述各Web安全检测器所对应的IP地址的集合。
本实施例的又一种实施方式中,所述Web安全检测器可以分散部署在互联网中;该实施方式中,所述流量牵引器将域名解析为所述Web安全检测器的IP地址具体包括:
所述流量牵引器保存各Web安全检测器的IP地址,将所述域名解析为距离发送所述DNS域名解析请求的客户端最近的Web安全检测器的IP地址,从而提高整个系统的工作效率。
在本实施例中,为实现将距离最近的Web安全检测器的IP地址返回给发送所述DNS域名解析请求的客户端,可以依据公知的IP地址分配表来实现,原则是尽量确保发送DNS域名解析请求的客户端和为其服务的Web安全检测器在同一个网络管理域中。比如,如果发现该DNS请求来自中国电信网络,并且在中国电信网络上存在本实施例中所述的Web安全检测器,则返回部署在中国电信网络上的某一个或多个Web安全检测器的对应IP地址作为本次DNS域名解析结果。
本实施例中,所述Web安全检测器还用于接收Web网站返回的HTTP响应消息,对其中携带的HTTP文件对象进行内容安全扫描,如果未发现异常则将所述HTTP响应消息转发给相应的客户端,即该HTTP响应消息的目的客户端。
所述HTTP文件对象包括HTML网页和任何可能包含恶意代码的文件或文档。所述Web安全检测器可以采用公知的任意恶意代码检测技术对文件内容进行扫描。
本实施例中,所述Web安全检测器在对接收到的来自Web客户端的HTTP请求进行入侵检测时,检测内容包括但不限于SQL注入攻击和跨站脚本攻击等内容。在具体实施时,可以采用公知的任意SQL注入攻击和跨站脚本攻击检测算法来实现。
本实施例中,如果所述Web安全检测器在进行安全扫描/入侵检测时发现异常,则不进行转发。所述Web安全检测器当发现HTTP响应消息中包含的HTML页面包含恶意代码时,也可以用一个提示页面替换原先的包含恶意代码的HTML页面,还可以进一步可通过电子邮件等方式通知该Web网站管理人员,以便该Web网站管理人员能够及时对该HTML页面进行修复。
本实施例中,如图4所示,所述Web网站安全防御系统还可以包括一个Web安全日志库;
所述Web安全检测器还用于当发现异常时产生Web安全报警日志;
所述Web安全日志库用于接收并保存来自Web安全检测器的Web安全报警日志,并允许受保护Web网站的网站管理员获取其Web网站相关的安全日志记录信息,从而在其Web网站出现安全问题时,可以基于这些Web安全日志进行事后的取证分析。
本实施例中,所述Web安全检测器如图5所示,包括:安全模块和Web代理模块;
所述Web代理模块用于接收由客户端发往受保护Web服务器的HTTP请求消息,交给所述安全模块进行入侵检测,接收所述安全模块返回的入侵检测结果,如果该入侵检测结果为检测到Web攻击,则拒绝转发,否则转发该HTTP请求消息到该HTTP请求消息所指向的Web网站;以及当接收到来自Web网站的HTTP响应消息后,抽取出该HTTP响应消息中携带的HTTP文件对象,交给所述安全模块进行安全扫描,接收所述安全模块返回的安全扫描结果,如果该安全扫描结果为检测到恶意代码,则拒绝转发或用一个预先制作好的提示页面替换包含恶意代码的HTML页面后发给相应的客户端,否则转发该HTTP相应消息到相应的客户端;
所述安全模块用于当收到所述Web代理模块发送的HTTP请求消息时,对该HTTP请求消息进行入侵检测,返回入侵检测结果;当收到所述Web代理模块发送的HTTP文件对象时,对该HTTP文件对象进行安全扫描,返回安全扫描结果。
本实施例中,所述流量牵引器如图6所示,包括:DNS服务模块及网站域名注册模块。
所述DNS服务模块用于模拟一个标准的DNS服务,并执行对所有受保护Web网站域名的DNS解析任务;从外部的DNS服务器接收客户端发送来DNS域名解析请求,将该域名解析为所述Web安全检测器的IP地址,然后返回给所述客户端。
与标准DNS服务不同的是,所述DNS服务模块在解析受保护Web网站域名时,返回的并不是该Web网站域名所对应的真实IP地址,而是Web安全检测器池中某一Web安全检测器所对应的单个IP地址或者是一组Web安全检测器所对应的IP地址集合,这样,任何Web客户端使用Web网站域名访问受保护Web网站时,会把原本直接发往受保护Web网站的HTTP流量首先发给某一Web安全检测器,这样该Web安全检测器有机会对提交到受保护Web网站的HTTP请求消息进行入侵检测,以及对返回的HTTP响应消息中携带的HTTP文件对象进行内容安全检测。
具体实施过程中,所述DNS服务模块在解析受保护Web网站域名时,可以采用两种实施方式:1)DNS服务模块将Web安全检测器池中所有Web安全检测器的IP地址列表作为DNS域名解析结果返回给Web客户端,由Web客户端从中挑选一个Web安全检测器执行本次Web访问任务;2)流量牵引器通过与Web安全检测器池通信,得到当前Web安全检测器池中负载最轻的Web安全检测器、或距离发送所述DNS域名解析请求的客户端最近的Web安全检测器,然后将该Web安全检测器的IP地址作为DNS域名解析结果返回给Web客户端。
所述网站域名注册模块用于对所有受保护的Web网站的注册管理。网站域名注册模块负责完成对所有受保护网站的注册工作;可以维护一个“域名-真实IP列表”,当一个受保护的Web网站被注册成功后,网站域名注册模块为该Web网站在所述“域名-真实IP列表”中创建一条记录,记录该Web网站的域名及其对应的真实IP地址。实际应用时,可以用“域名-真实IP列表”之外的方式来记录Web网站的域名及其对应的真实IP地址。
实际应用中,也可以采用其它形式保存网站域名所对应的真实IP地址。
所述Web安全检测器在转发发往受保护Web网站的HTTP请求消息时,根据所述HTTP请求消息中的HOST字符串得到该HTTP请求消息所指向的Web网站的域名;查询所述“域名-真实IP列表”,以得到该域名对应的真实IP地址,这样,Web安全检测器就能够转发所述HTTP请求消息到所找到的IP地址,即:Web安全检测器创建到该HTTP请求消息所指向的Web网站的TCP连接,然后再转发所述HTTP请求消息到该HTTP请求消息所指向的Web网站。
为了确保针对受保护Web网站域名的所有DNS域名解析请求能够转发到本发明所述流量牵引器中的DNS服务模块,需要简单地调整原先负责解析受保护Web网站域名的外部DNS服务器的配置,要求该外部DNS服务器将所有针对受保护Web网站域名的DNS请求转发到本发明所述流量牵引器中的DNS服务模块。
本实施例的一种实施方式中,所述流量牵引器还用于保存各受保护Web网站的域名,从所述外部DNS服务器接收所有DNS域名解析请求,接收后先判断请求解析的域名是否与所保存的受保护Web网站的域名之一匹配;如果匹配,则进行解析;否则返回给DNS服务器解析。
如图7所示,一个Web客户端使用Web网站域名访问受保护Web网站实例的具体流程如下:
701、Web客户端向原先的负责解析受保护Web网站域名的外部DNS服务器发送DNS域名解析请求;
702、该外部DNS服务器将当前DNS域名解析请求转发到所述流量牵引器;
703、所述流量牵引器中的DNS服务模块负责对该受保护Web网站域名进行解析,它与Web安全检测器池通信,获得当前池中负载最轻的Web安全检测器,并将该Web安全检测器所对应的IP地址作为本次DNS域名解析结果返回给Web客户端;
704、Web客户端建立起到所选Web安全检测器的TCP连接,并发送HTTP请求消息到所选Web安全检测器;
705、所选Web安全检测器接收到HTTP请求消息后,对当前HTTP请求消息执行入侵检测;
706、所选Web安全检测器依据入侵检测结果执行下一步动作:如果发现Web攻击,则执行步骤712;否则执行步骤707;
707、所选Web安全检测器从当前HTTP请求消息的“HOST”域中取出Web客户端需要访问的Web网站域名,查找流量牵引器中维护的“域名-真实IP列表”得到该Web网站域名所对应的真实IP地址,创建到该Web网站所在服务器的TCP连接,并转发当前HTTP请求消息到该Web网站所在服务器;
708、所选Web安全检测器等待并接收从受保护Web网站服务器返回的HTTP响应消息,并从当前HTTP响应消息中抽取出HTTP文件对象,对其进行内容安全扫描;
709、依据扫描结果决定下一步动作:如果没有检测到恶意代码,则执行步骤710;如果检测到恶意代码,则执行步骤711;
710、直接转发当前HTTP响应消息到Web客户端,结束;
711、丢弃当前HTTP响应消息,转发一个包含有预先制作的带有警告信息的HTML页面的HTTP响应消息给Web客户端,结束;
712、拒绝转发该HTTP请求消息,终止当前TCP连接,结束。
图8给出了另一个实例,举例说明某Web客户端是如何通过受保护Web网站域名访问受保护Web网站的。这里假设受本文所述开放式Web网站安全防御系统保护的两个Web网站的域名分别为www.abc.com和www.def.com,这两个Web网站所对应的真实IP地址分别为3.3.3.3和4.4.4.4;假设负责这两个Web网站域名解析的DNS服务器为图8中的“外部DNS服务器”;在该实例中存在两台Web安全检测器,其IP地址分别为1.1.1.1和2.2.2.2。为了使得“Web网站1”和“Web网站2”能够受到本发明所述开放式Web安全防御系统的保护,它们的网站管理员将这两个Web网站的网站域名和网站服务器的真实IP地址信息向本发明所述Web网站安全防御系统中的流量牵引器进行注册,并修改了原先负责为“Web网站1”和“Web网站2”进行DNS域名解析的“外部DNS服务器”的配置,使得针对“Web网站1”和“Web网站2”网站域名的所有DNS域名解析请求都发送到本发明所述开放式Web安全防御系统中的流量牵引器。
现在来看看某客户端是如何使用Web网站域名访问受本发明所述开放式Web网站安全防御系统保护的“Web网站1”(假设其网站域名为www.abc.com)。
801、Web客户端向原先的“外部DNS服务器”发起针对“Web网站1”域名(www.abc.com)的DNS域名解析请求;
802、该DNS域名解析请求被转发到本发明所述开放式Web网站安全防御系统中的流量牵引器;
803、所述流量牵引器中的DNS服务模块接收到针对受保护Web网站域名的DNS域名解析请求后,与所述系统中的Web安全检测器池进行通信,获得当前系统中负载最轻的Web安全检测器为“Web安全检测器1”,于是将“Web安全检测器1”的IP地址(1.1.1.1)作为本次域名解析结果返回给Web客户端;
804、Web客户端发起对“Web安全检测器1”的TCP连接请求,在TCP连接请求建立成功后,发送一个HTTP请求消息给“Web安全检测器1”;
805、“Web安全检测器1”接收到该HTTP请求消息后,首先对该HTTP请求消息进行入侵检测,检测结果为没有发现Web攻击,因此,“Web安全检测器1”从当前HTTP请求消息的HOST域中提取“Web网站1”的真实域名(www.abc.com),然后查找所述系统中流量牵引器的“域名-真实IP列表”,得到www.abc.com域名所对应的真实IP地址为3.3.3.3,最后,“Web安全检测器1”创建到“Web网站1”主机(地址为3.3.3.3)的TCP连接,并将当前HTTP请求消息转发给“Web网站1”。
806、“Web安全检测器1”接收从“Web网站1”服务器返回的HTTP响应消息,提出其中携带的HTTP文件对象,并对其进行内容安全扫描,扫描结果提示发现恶意代码,因此替换该HTTP文件对象为一个包含告警信息的HTML页面;
807、“Web安全检测器1”转发替换后的HTTP响应消息到Web客户端,整个过程结束。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明的权利要求的保护范围。
Claims (10)
1.一种Web网站安全防御系统,其特征在于,包括:
流量牵引器及Web安全检测器;
所述流量牵引器与DNS服务器相连,用于从DNS服务器接收客户端的DNS域名解析请求,将该域名解析为所述Web安全检测器的IP地址,返回给所述客户端;
所述Web安全检测器用于接收HTTP请求消息,对该HTTP请求消息进行入侵检测,如果未发现异常,则将该HTTP请求消息转发给该HTTP请求消息所指向的Web网站。
2.如权利要求1所述的系统,其特征在于:
所述Web安全检测器包括一个或多个,各Web安全检测器的IP地址互不相同。
3.如权利要求2所述的系统,其特征在于,所述流量牵引器将域名解析为所述Web安全检测器的IP地址具体包括:
所述流量牵引器保存各Web安全检测器的IP地址,从各Web安全检测器中选取负载最轻的Web安全检测器,将所述域名解析为该负载最轻的Web安全检测器的IP地址。
4.如权利要求2所述的系统,其特征在于,所述流量牵引器将域名解析为所述Web安全检测器的IP地址具体包括:
所述流量牵引器保存各Web安全检测器的IP地址,将所述域名解析为所述各Web安全检测器所对应的IP地址的集合。
5.如权利要求2所述的系统,其特征在于:
所述Web安全检测器分散部署在互联网中;
所述流量牵引器将域名解析为所述Web安全检测器的IP地址具体包括:
所述流量牵引器保存各Web安全检测器的IP地址,将所述域名解析为距离发送所述DNS域名解析请求的客户端最近的Web安全检测器的IP地址。
6.如权利要求1到5中任一项所述的系统,其特征在于:
所述Web安全检测器还用于接收Web网站返回的HTTP响应消息,对其中携带的HTTP文件对象进行内容安全扫描,如果未发现异常则将所述HTTP响应消息转发给该HTTP响应消息的目的客户端。
7.如权利要求1到5中任一项所述的系统,其特征在于,还包括:
Web安全日志库;
所述Web安全检测器还用于当发现异常时产生Web安全报警日志;
所述Web安全日志库用于接收来自Web安全检测器的Web安全报警日志并保存。
8.如权利要求1到5中任一项所述的系统,其特征在于,所述Web安全检测器具体包括:安全模块和Web代理模块;
所述Web代理模块用于接收由客户端发往受保护Web服务器的HTTP请求消息,交给所述安全模块进行入侵检测,接收所述安全模块返回的入侵检测结果,如果该入侵检测结果为检测到Web攻击,则拒绝转发,否则转发该HTTP请求消息到该HTTP请求消息所指向的Web网站;以及当接收到来自Web网站的HTTP响应消息后,抽取出该HTTP响应消息中携带的HTTP文件对象,交给所述安全模块进行安全扫描,接收所述安全模块返回的安全扫描结果,如果该安全扫描结果为检测到恶意代码,则拒绝转发或用一个预先制作好的提示页面替换包含恶意代码的HTML页面后发给相应的客户端,否则转发该HTTP相应消息到相应的客户端;
所述安全模块用于当收到所述Web代理模块发送的HTTP请求消息时,对该HTTP请求消息进行入侵检测,返回入侵检测结果;当收到所述Web代理模块发送的HTTP文件对象时,对该HTTP文件对象进行安全扫描,返回安全扫描结果。
9.如权利要求1到5中任一项所述的系统,其特征在于,所述流量牵引器具体包括:
DNS服务模块及网站域名注册模块;
所述DNS服务模块用于从DNS服务器接收客户端发送来的DNS域名解析请求,将该域名解析为所述Web安全检测器的IP地址,返回给所述客户端;
所述网站域名注册模块用于对所有受保护的Web网站的注册,当一个受保护的Web网站被注册成功后,记录该Web网站的域名及其对应的IP地址。
10.如权利要求9所述的系统,其特征在于,
所述Web安全检测器转发所述HTTP请求消息时,根据该HTTP请求消息中的目标域名查询所述网站域名注册模块的记录,找到该域名对应的IP地址,将所述HTTP请求消息转发到所找到的IP地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010110771 CN101902456B (zh) | 2010-02-09 | 2010-02-09 | 一种Web网站安全防御系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010110771 CN101902456B (zh) | 2010-02-09 | 2010-02-09 | 一种Web网站安全防御系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101902456A CN101902456A (zh) | 2010-12-01 |
| CN101902456B true CN101902456B (zh) | 2013-04-03 |
Family
ID=43227658
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010110771 Expired - Fee Related CN101902456B (zh) | 2010-02-09 | 2010-02-09 | 一种Web网站安全防御系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101902456B (zh) |
Families Citing this family (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102185859A (zh) * | 2011-05-09 | 2011-09-14 | 北京艾普优计算机系统有限公司 | 计算机系统和数据交互方法 |
| CN102541674B (zh) * | 2011-12-26 | 2014-04-23 | 运软网络科技(上海)有限公司 | 自主元素模型控制系统、方法及服务器受侵保护检测系统 |
| CN103188255A (zh) * | 2011-12-31 | 2013-07-03 | 北京市国路安信息技术有限公司 | 一种应用代理与安全模块分离的网络安全保护方法 |
| CN103428041B (zh) * | 2012-05-22 | 2017-03-15 | 同方股份有限公司 | 一种基于云的端到端流量内容检测系统和检测方法 |
| CN103428249B (zh) * | 2012-05-23 | 2016-02-03 | 深圳市腾讯计算机系统有限公司 | 一种http请求包的收集及处理方法、系统和服务器 |
| CN103001880B (zh) * | 2012-11-30 | 2015-11-25 | 北京百度网讯科技有限公司 | 基于非标准ospf路由协议的流量牵引方法及设备 |
| CN103326894B (zh) * | 2013-05-29 | 2016-12-28 | 深信服网络科技(深圳)有限公司 | Dns隧道检测的方法和装置 |
| CN104468459B (zh) * | 2013-09-12 | 2018-10-02 | 深圳市腾讯计算机系统有限公司 | 一种漏洞检测方法及装置 |
| CN103581340B (zh) * | 2013-11-25 | 2017-02-15 | 星云融创(北京)科技有限公司 | 一种将域名接入到代理网关的方法及装置 |
| CN103856487A (zh) * | 2014-02-28 | 2014-06-11 | 汉柏科技有限公司 | 一种对授权域dns服务器的防护方法及系统 |
| CN104935551B (zh) * | 2014-03-18 | 2018-09-04 | 杭州迪普科技股份有限公司 | 一种网页篡改防护装置及方法 |
| CN104967589B (zh) * | 2014-05-27 | 2019-02-05 | 腾讯科技(深圳)有限公司 | 一种安全性检测方法、装置和系统 |
| CN104010051B (zh) * | 2014-06-05 | 2017-12-08 | 胡汉强 | 一种访问网络的方法及管理服务器 |
| CN105516053B (zh) * | 2014-09-22 | 2020-05-15 | 奇安信科技集团股份有限公司 | 网站安全检测方法及装置 |
| CN105512559B (zh) | 2014-10-17 | 2019-09-17 | 阿里巴巴集团控股有限公司 | 一种用于提供访问页面的方法与设备 |
| CN104486454B (zh) * | 2014-11-24 | 2018-07-13 | 北京百度网讯科技有限公司 | 网络数据的处理方法、域名解析方法及装置 |
| CN106161362A (zh) * | 2015-04-03 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种网络应用防护方法与设备 |
| CN104735090A (zh) * | 2015-04-17 | 2015-06-24 | 北京汉柏科技有限公司 | 一种web服务器网页防篡改的方法和系统 |
| CN106341377A (zh) * | 2015-07-15 | 2017-01-18 | 威海捷讯通信技术有限公司 | 一种Web服务器免受攻击的方法及装置 |
| CN104967628B (zh) * | 2015-07-16 | 2017-12-26 | 浙江大学 | 一种保护web应用安全的诱骗方法 |
| CN106534051B (zh) * | 2015-09-11 | 2020-02-14 | 阿里巴巴集团控股有限公司 | 一种针对访问请求的处理方法和装置 |
| CN106446720B (zh) * | 2016-09-08 | 2019-02-01 | 上海携程商务有限公司 | Ids规则的优化系统及优化方法 |
| CN107888546B (zh) * | 2016-09-29 | 2021-10-01 | 腾讯科技(深圳)有限公司 | 网络攻击防御方法、装置以及系统 |
| CN108696400A (zh) * | 2017-04-12 | 2018-10-23 | 北京京东尚科信息技术有限公司 | 网络监测方法和装置 |
| CN107124423A (zh) * | 2017-05-12 | 2017-09-01 | 深信服科技股份有限公司 | 一种基于云计算的业务系统访问方法及系统 |
| CN107493272A (zh) * | 2017-08-01 | 2017-12-19 | 杭州迪普科技股份有限公司 | 一种流量清洗方法、装置和系统 |
| CN109587102A (zh) * | 2017-09-29 | 2019-04-05 | 北京上元信安技术有限公司 | 一种Web应用防火墙、防护系统及访问方法 |
| CN109787939A (zh) * | 2017-11-14 | 2019-05-21 | 北京星河星云信息技术有限公司 | 一种云安全防御系统及其用户建立方法 |
| US10841281B2 (en) * | 2018-03-26 | 2020-11-17 | Kuo Chiang | Methods for preventing or detecting computer attacks in a cloud-based environment and apparatuses using the same |
| CN109617932B (zh) * | 2019-02-21 | 2021-07-06 | 北京百度网讯科技有限公司 | 用于处理数据的方法和装置 |
| CN109889530B (zh) * | 2019-03-05 | 2020-10-27 | 北京长亭未来科技有限公司 | Web应用防火墙系统及计算机存储介质 |
| CN111200516A (zh) * | 2019-12-19 | 2020-05-26 | 深圳市光联世纪信息科技有限公司 | 一种智能客户终端系统 |
| CN111988280A (zh) * | 2020-07-24 | 2020-11-24 | 网宿科技股份有限公司 | 服务器与请求处理方法 |
| CN112039846B (zh) * | 2020-07-24 | 2023-08-15 | 网宿科技股份有限公司 | 请求处理方法与安全防护系统 |
| CN112039845A (zh) * | 2020-07-24 | 2020-12-04 | 网宿科技股份有限公司 | 请求处理方法与安全防护系统 |
| CN112202776A (zh) * | 2020-09-29 | 2021-01-08 | 中移(杭州)信息技术有限公司 | 源站防护方法和网络设备 |
| CN113852611B (zh) * | 2021-09-09 | 2023-05-09 | 上海理想信息产业(集团)有限公司 | 网站拦截平台的ip引流方法、计算机设备及存储介质 |
| CN114553460A (zh) * | 2021-12-20 | 2022-05-27 | 东方博盾(北京)科技有限公司 | 一种互联网影子防御方法和系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101116068A (zh) * | 2004-10-28 | 2008-01-30 | 思科技术公司 | 数据中心环境中的入侵检测 |
| CN101577729A (zh) * | 2009-06-10 | 2009-11-11 | 上海宝信软件股份有限公司 | DNS重定向与Http重定向相结合的旁路阻断方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7610375B2 (en) * | 2004-10-28 | 2009-10-27 | Cisco Technology, Inc. | Intrusion detection in a data center environment |
-
2010
- 2010-02-09 CN CN 201010110771 patent/CN101902456B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101116068A (zh) * | 2004-10-28 | 2008-01-30 | 思科技术公司 | 数据中心环境中的入侵检测 |
| CN101577729A (zh) * | 2009-06-10 | 2009-11-11 | 上海宝信软件股份有限公司 | DNS重定向与Http重定向相结合的旁路阻断方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101902456A (zh) | 2010-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101902456B (zh) | 一种Web网站安全防御系统 | |
| KR101689299B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| CA2606998C (en) | Detecting unwanted electronic mail messages based on probabilistic analysis of referenced resources | |
| CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| EP1244967B1 (en) | Method for automatic intrusion detection and deflection in a network | |
| US7921063B1 (en) | Evaluating electronic mail messages based on probabilistic analysis | |
| CN101667979B (zh) | 基于链接域名和用户反馈的反钓鱼邮件系统及方法 | |
| Bin et al. | A DNS based anti-phishing approach | |
| CN101213812B (zh) | 用于根据指定的源/目的地ip地址对,在ip网络中防御服务拒绝攻击的方法和设备 | |
| CN105580333A (zh) | 评估可疑网络通信 | |
| CN101471897A (zh) | 对电子通讯中可能的错误拼写地址的启发性检测方法 | |
| CN110362992A (zh) | 在基于云端环境中阻挡或侦测计算机攻击的方法和设备 | |
| Jin et al. | Design of detecting botnet communication by monitoring direct outbound DNS queries | |
| CN105530251A (zh) | 识别钓鱼网站的方法及装置 | |
| JP4693174B2 (ja) | 中間ノード | |
| Maroofi et al. | From Defensive Registration to Subdomain Protection: Evaluation of Email Anti-Spoofing Schemes for High-Profile Domains. | |
| Špaček et al. | Current issues of malicious domains blocking | |
| CN109271790A (zh) | 一种基于流量分析的恶意站点访问拦截方法及检测系统 | |
| Ahmad et al. | Overview of phishing landscape and homographs in Arabic domain names | |
| Yoshioka et al. | Vulnerability in public malware sandbox analysis systems | |
| Nosyk et al. | Unveiling the weak links: exploring DNS infrastructure vulnerabilities and fortifying defenses | |
| CN110769004B (zh) | 在dns客户端或代理服务器使用的dns防污染方法 | |
| Jin et al. | A detour strategy for visiting phishing URLs based on dynamic DNS response policy zone | |
| Rathgeb et al. | The e-mail honeypot system concept, implementation and field test results | |
| Song et al. | A methodology for analyzing overall flow of spam-based attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130403 Termination date: 20190209 |