CN107277055A - 一种基于离线缓存的网站防护技术 - Google Patents
一种基于离线缓存的网站防护技术 Download PDFInfo
- Publication number
- CN107277055A CN107277055A CN201710656192.5A CN201710656192A CN107277055A CN 107277055 A CN107277055 A CN 107277055A CN 201710656192 A CN201710656192 A CN 201710656192A CN 107277055 A CN107277055 A CN 107277055A
- Authority
- CN
- China
- Prior art keywords
- request
- protective platform
- website
- rear end
- cloud protective
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/568—Storing data temporarily at an intermediate stage, e.g. caching
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及网站防护技术,旨在提供一种基于离线缓存的网站防护技术。该种基于离线缓存的网站防护技术,能利用云防护平台保障后端网站服务器的安全运行,具体工作方式分为两种:学习模式阶段:后端网站服务器在线,且云防护平台对后端网站服务器的正常响应都缓存到云防护平台本地;镜像模式阶段:云防护平台仅使用云防护平台本地缓存的文件,来响应客户端的请求,不再将请求发往后端网站服务器。本发明能快速恢复网站的服务质量,实时监测网站的服务质量,当监测到后端服务异常时,自动切换到离线缓存模式下,访问网站的用户仍然可以正常浏览。
Description
技术领域
本发明是关于网站防护技术领域,特别涉及一种基于离线缓存的网站防护技术。
背景技术
门户网站作为政府和企事业单位重要的形象和宣传媒介非常重要,网络空间中时刻都发生着大量的攻击和入侵行为,尤其是一些0day漏洞的爆发可以极短的时间内导致大批量网站受到严重影响。
基于云防护的网站防护技术可以大批量的缓解网站存在的安全问题,但网站在被植入后门、通过企业内部入侵等情况下仍然面临风险。
发明内容
本发明的主要目的在于克服现有技术中的不足,提供一种当真实服务器攻到攻击或需要维护停机等情况下,用户仍然可以浏览到正常网页内容的网站防护技术。为解决上述技术问题,本发明的解决方案是:
提供一种基于离线缓存的网站防护技术,能利用云防护平台保障后端网站服务器的安全运行,所述基于离线缓存的网站防护技术是指客户端对网站发出请求时,网络流量先经过云防护平台,经过云防护平台的流量清洗后再进行操作,具体工作方式分为两种:
1)学习模式阶段:
在学习模式阶段下,后端网站服务器在线,且云防护平台对后端网站服务器的正常响应都缓存到云防护平台本地;
当客户端向网站发出请求时,云防护平台对请求内容(包括请求头)进行检测是否存在攻击风险;若请求存在攻击风险则直接阻断请求,进行返回(返回403响应码);
若请求无攻击风险,则云防护平台将请求传递给后端网站服务器,后端服务器对请求的响应也先到达云防护平台,云防护平台对响应进行检测是否有敏感内容暴露风险;若存在敏感内容暴露风险则将该响应抛弃,并向客户端返回阻断内容(返回403响应码);若无敏感内容暴露风险,则将后端网站服务器的响应内容缓存在云防护平台本地,缓存后的文件是以客户端请求的uri的MD5值(对请求的url和请求参数部分,使用MD5算法计算出完整请求的uri的MD5值,MD5值为一固定长度值,且具有唯一性)进行命名,并将后端网站服务器的响应转发给客户端;
2)镜像模式阶段:
在镜像模式阶段下,云防护平台仅使用云防护平台本地缓存的文件,来响应客户端的请求,不再将请求发往后端网站服务器;
当客户端向网站发出请求时,云防护平台对请求内容(包括请求头)进行检测是否存在攻击风险;若请求存在攻击风险则直接阻断请求,进行返回(返回403响应码);
若请求不存在攻击风险,云防护平台将客户端请求的uri进行MD5计算(对请求的url和请求参数部分,使用MD5算法计算出完整请求的uri的MD5值,MD5值为一固定长度值,且具有唯一性),得到该客户端请求的uri的MD5值,然后在云防护平台本地缓存的目录中寻找以该MD5值为名的文件进行返回,不再将请求发往后端网站服务器(对于动态页面需要查询数据库等操作则无法进行)。
在本发明中,所述镜像模式阶段,后端网站服务器能处于离线状态(用于进行离线状态检修维护等)。
与现有技术相比,本发明的有益效果是:
本发明能快速地屏蔽可能存在危害的网页内容,当监测到网站出现内容变化时可以快速的采取自恢复技术,防止敏感内容暴露到互联网。
本发明能快速恢复网站的服务质量,实时监测网站的服务质量,当监测到后端服务异常时,自动切换到离线缓存模式下,访问网站的用户仍然可以正常浏览。
附图说明
图1为本发明中学习模式阶段的示意图。
图2为本发明中镜像模式阶段的示意图。
具体实施方式
下面结合附图与具体实施方式对本发明作进一步详细描述:
一种基于离线缓存的网站防护技术,基于云防护平台,采用缓存技术手段,将用户访问过的网页内容进行快速缓存于云防护平台中,并基于流量被动式监测原始服务器的工作状态,一旦后端服务器工作状态异常,将实时启用网站的缓存内容,从而实现了对应的安全防护效果。
云防护平台是指能对网络攻击和入侵行为进行有效分析、计算并拦截的云计算平台;云防护平台能对托管网站的访问流量进行清洗,拦截攻击行为,对正常访问放行以保障后方网站的安全运行。
基于离线缓存的网站防护技术,是指客户端对网站发出请求时,网络流量优先经过云防护平台,经过云防护平台的流量清洗后再进行操作,具体工作方式分为两种:
1)学习模式阶段:
如图1所示,在学习模式阶段下,后端网站服务器须在线,且云防护平台对后端网站服务器的正常响都缓存到云防护平台本地。
当客户端向网站发出请求时,云防护平台对请求内容(包括请求头)进行检测是否存在攻击风险。
若请求存在攻击风险则直接阻断请求,进行返回(返回403响应码)。
若请求无攻击风险,则云防护平台将请求传递给后端网站服务器,后端服务器对请求的响应也先到达云防护平台,云防护平台对响应进行检测是否有敏感内容暴露风险;若存在敏感内容暴露风险则将该响应抛弃,并向客户端返回阻断内容(返回403响应码);若无敏感内容暴露风险,则将后端网站服务器的响应内容缓存在云防护平台本地,缓存后的文件是以客户端请求的uri的MD5值(对请求的url和请求参数部分,使用MD5算法计算出完整请求的uri的MD5值,MD5值为一固定长度值,且具有唯一性)进行命名,并将后端网站服务器的响应转发给客户端。
2)镜像模式阶段:
如图2所示,在镜像模式阶段下,云防护平台仅使用云防护平台本地缓存的文件,来响应客户端的请求,不再将请求发往后端网站服务器,后端网站服务器可以进行离线状态检修维护等。
当客户端向网站发出请求时,云防护平台对请求内容(包括请求头)进行检测是否存在攻击风险。
若请求存在攻击风险则直接阻断请求,进行返回(返回403响应码);
若请求不存在攻击风险,云防护平台将客户端请求的uri进行MD5计算(对请求的url和请求参数部分,使用MD5算法计算出完整请求的uri的MD5值,MD5值为一固定长度值,且具有唯一性),得到该客户端请求的uri的MD5值,然后在云防护平台本地缓存的目录中寻找以该MD5值为名的文件进行返回,不再将请求发往后端网站服务器。
镜像模式下,客户端到达云防护平台的请求,不再发往后端网站服务器,直接到云平台后就截止,因此不管后端服务器是否在线都能对客户端的请求进行响应。但对于动态页面需要查询数据库等操作则无法进行。
最后,需要注意的是,以上列举的仅是本发明的具体实施例。显然,本发明不限于以上实施例,还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形,均应认为是本发明的保护范围。
Claims (2)
1.一种基于离线缓存的网站防护技术,能利用云防护平台保障后端网站服务器的安全运行,其特征在于,所述基于离线缓存的网站防护技术是指客户端对网站发出请求时,网络流量先经过云防护平台,经过云防护平台的流量清洗后再进行操作,具体工作方式分为两种:
1)学习模式阶段:
在学习模式阶段下,后端网站服务器在线,且云防护平台对后端网站服务器的正常响应都缓存到云防护平台本地;
当客户端向网站发出请求时,云防护平台对请求内容进行检测是否存在攻击风险;若请求存在攻击风险则直接阻断请求,进行返回;
若请求无攻击风险,则云防护平台将请求传递给后端网站服务器,后端服务器对请求的响应也先到达云防护平台,云防护平台对响应进行检测是否有敏感内容暴露风险;若存在敏感内容暴露风险则将该响应抛弃,并向客户端返回阻断内容;若无敏感内容暴露风险,则将后端网站服务器的响应内容缓存在云防护平台本地,缓存后的文件是以客户端请求的uri的MD5值进行命名,并将后端网站服务器的响应转发给客户端;
2)镜像模式阶段:
在镜像模式阶段下,云防护平台仅使用云防护平台本地缓存的文件,来响应客户端的请求,不再将请求发往后端网站服务器;
当客户端向网站发出请求时,云防护平台对请求内容进行检测是否存在攻击风险;若请求存在攻击风险则直接阻断请求,进行返回;
若请求不存在攻击风险,云防护平台将客户端请求的uri进行MD5计算,得到该客户端请求的uri的MD5值,然后在云防护平台本地缓存的目录中寻找以该MD5值为名的文件进行返回,不再将请求发往后端网站服务器。
2.根据权利要求1所述的一种基于离线缓存的网站防护技术,其特征在于,所述镜像模式阶段,后端网站服务器能处于离线状态。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710656192.5A CN107277055B (zh) | 2017-08-03 | 2017-08-03 | 一种基于离线缓存的网站防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710656192.5A CN107277055B (zh) | 2017-08-03 | 2017-08-03 | 一种基于离线缓存的网站防护方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107277055A true CN107277055A (zh) | 2017-10-20 |
CN107277055B CN107277055B (zh) | 2020-01-03 |
Family
ID=60075840
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710656192.5A Active CN107277055B (zh) | 2017-08-03 | 2017-08-03 | 一种基于离线缓存的网站防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107277055B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107943954A (zh) * | 2017-11-24 | 2018-04-20 | 杭州安恒信息技术有限公司 | 网页敏感信息的检测方法、装置及电子设备 |
CN109274750A (zh) * | 2018-10-07 | 2019-01-25 | 杭州安恒信息技术股份有限公司 | 一种基于云平台保障网站断线后用户正常访问在线的方法 |
CN110138880A (zh) * | 2019-06-04 | 2019-08-16 | 杭州安恒信息技术股份有限公司 | 基于云平台缓存提升访问速率的方法和装置 |
CN113872809A (zh) * | 2021-09-28 | 2021-12-31 | 绿盟科技集团股份有限公司 | 访问方法、装置、电子设备和存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013154911A1 (en) * | 2012-04-09 | 2013-10-17 | Agnity Inc. | Method and system for secure co-browsing of patient records on communication devices |
CN105359170A (zh) * | 2013-05-24 | 2016-02-24 | 高通股份有限公司 | 修改学习设备的学习能力 |
CN105915516A (zh) * | 2016-04-15 | 2016-08-31 | 杭州华三通信技术有限公司 | 基于安全检测的数据流获取方法及装置 |
-
2017
- 2017-08-03 CN CN201710656192.5A patent/CN107277055B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013154911A1 (en) * | 2012-04-09 | 2013-10-17 | Agnity Inc. | Method and system for secure co-browsing of patient records on communication devices |
CN105359170A (zh) * | 2013-05-24 | 2016-02-24 | 高通股份有限公司 | 修改学习设备的学习能力 |
CN105915516A (zh) * | 2016-04-15 | 2016-08-31 | 杭州华三通信技术有限公司 | 基于安全检测的数据流获取方法及装置 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107943954A (zh) * | 2017-11-24 | 2018-04-20 | 杭州安恒信息技术有限公司 | 网页敏感信息的检测方法、装置及电子设备 |
CN107943954B (zh) * | 2017-11-24 | 2020-07-10 | 杭州安恒信息技术股份有限公司 | 网页敏感信息的检测方法、装置及电子设备 |
CN109274750A (zh) * | 2018-10-07 | 2019-01-25 | 杭州安恒信息技术股份有限公司 | 一种基于云平台保障网站断线后用户正常访问在线的方法 |
CN110138880A (zh) * | 2019-06-04 | 2019-08-16 | 杭州安恒信息技术股份有限公司 | 基于云平台缓存提升访问速率的方法和装置 |
CN113872809A (zh) * | 2021-09-28 | 2021-12-31 | 绿盟科技集团股份有限公司 | 访问方法、装置、电子设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN107277055B (zh) | 2020-01-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107277055A (zh) | 一种基于离线缓存的网站防护技术 | |
US11165818B2 (en) | Systems and methods for preventing denial of service attacks utilizing a proxy server | |
US11070557B2 (en) | Delayed serving of protected content | |
US9083733B2 (en) | Anti-phishing domain advisor and method thereof | |
US9215242B2 (en) | Methods and systems for preventing unauthorized acquisition of user information | |
US9900346B2 (en) | Identification of and countermeasures against forged websites | |
US8286239B1 (en) | Identifying and managing web risks | |
US8024804B2 (en) | Correlation engine for detecting network attacks and detection method | |
US9055097B1 (en) | Social network scanning | |
US11436358B2 (en) | Data based web application firewall | |
CN106302512B (zh) | 一种用于控制访问的方法、设备与系统 | |
WO2007072320A2 (en) | Method for evaluating and accessing a network address | |
US11363039B2 (en) | Detection of data leaks using targeted scanning | |
CN108270778B (zh) | 一种dns域名异常访问检测方法及装置 | |
KR20060117693A (ko) | 웹 보안방법 및 그 장치 | |
WO2018011785A1 (en) | Online assets continuous monitoring and protection | |
CN104951711B (zh) | 一种保护web应用安全的网站结构拟态方法 | |
CN103916398A (zh) | 一种基于Web表单域检测的系统 | |
CN111371748A (zh) | 一种云平台上web防火墙的实现方法 | |
Böhme et al. | Challenges in empirical security research | |
Siddiqui et al. | A comparative analysis of us and Indian laws against phishing attacks | |
CN108156167B (zh) | 一种移动端dns防劫持的方法 | |
CN117879877A (zh) | 应用防护状态验证的方法、装置、电子设备及存储介质 | |
Zhao | Discussion of adaptive intrusion detection technology based on SYN cookie | |
CN113918946A (zh) | 一种主动防护的网页安全防护设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 310051 No. 188 Lianhui Street, Xixing Street, Binjiang District, Hangzhou City, Zhejiang Province Applicant after: Hangzhou Annan information technology Limited by Share Ltd Address before: Zhejiang Zhongcai Building No. 68 Binjiang District road Hangzhou City, Zhejiang Province, the 310051 and 15 layer Applicant before: Dbappsecurity Co.,ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |