CN110119616A - Web应用安全防护系统 - Google Patents
Web应用安全防护系统 Download PDFInfo
- Publication number
- CN110119616A CN110119616A CN201910314400.2A CN201910314400A CN110119616A CN 110119616 A CN110119616 A CN 110119616A CN 201910314400 A CN201910314400 A CN 201910314400A CN 110119616 A CN110119616 A CN 110119616A
- Authority
- CN
- China
- Prior art keywords
- module
- web application
- unit
- log
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种WEB应用安全防护系统,包括相连接的管理监控单元、代码检测单元和代码检测单元,管理监控单元用于提供可独立部署运行的应用程序,并对应用程序进行管理和监控。本发明可对WEB应用的全生命周期提供安全保障支持,可对多个系统多个环境进行集中式的安全监控,降低运维成本,安全规则可定制、可扩展,运维人员可以更加有效地对新发现的漏洞进行防护,开发人员可以在开发过程中得到及时有效的提醒,可更加有效地防止各类针对WEB应用的攻击,可以识别发现未在请求阶段被拦截的攻击,为运维人员扩展新规则提供依据和参考,可实现只部署一次,所有新增的WEB应用系统即可以受到保护。
Description
技术领域
本发明涉及WEB应用系统的安全防护领域,特别涉及一种WEB应用安全防护系统。
背景技术
随着科学技术的突飞猛进,互联网以及移动互联网的蓬勃发展,越来越多的应用程序使用WEB的方式提供服务或依赖于WEB应用系统提供的服务接口提供服务。对于WEB应用系统的安全防护,传统的安全手段(通信加密、防火墙、操作系统补丁、防病毒软件等)只能对操作系统级和网络信令协议级的漏洞进行防护,对于应用系统本身的漏洞无法提供有效的防护;另一方面,由于技术门槛等原因,越来越多的网络攻击行为是针对应用系统本身的漏洞进行攻击,WEB应用系统面临更加严峻的安全考验。
对于WEB应用系统本身的安全保证,现有的方式如下:1)开发阶段,督促开发者注意安全问题,禁止引入存在安全问题的组件,提高代码质量;2)部署上线前对代码进行审查,并使用安全扫描工具进行扫描,并要求修补审查和扫描中发现的漏洞后才允许上线;3)定期升级安全扫描工具,并对已上线运行的系统进行扫描,如新发现的漏洞,通知开发团队进行限期整改。
这些方式明显存在如下不足:1)对于开发阶段的安全保证没有形成可执行的规范,只能依靠开发人员的自觉性;2)只能对已知的安全漏洞进行防护,对新出现的安全漏洞无法及时应对;3)发现新漏洞后,必须依赖开发团队进行整改修复,运维人员无法提供有效防护;4)当存在发生或可能已发生的攻击时,无法进行拦截和告警,运维人员无法在安全事故发生前进行应对。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种可对WEB应用的全生命周期提供安全保障支持,可对多个系统多个环境进行集中式的安全监控,降低运维成本,安全规则可定制、可扩展,运维人员可以更加有效地对新发现的漏洞进行防护,开发人员可以在开发过程中得到及时有效的提醒,可更加有效地防止各类针对WEB应用的攻击,可以识别发现未在请求阶段被拦截的攻击,为运维人员扩展新规则提供依据和参考,可实现只部署一次,所有新增的WEB应用系统即可以受到保护的WEB应用安全防护系统。
本发明解决其技术问题所采用的技术方案是:构造一种WEB应用安全防护系统,包括:
管理监控单元:用于提供可独立部署运行的应用程序,并对所述应用程序进行管理和监控;
代码检测单元:用于以开发工具插件的形式提供代码检测功能;
站点防护单元:用于作为嵌入WEB服务器的运行单元,嵌入到所述站点防护单元的WEB服务器在启动时会自动启动所述站点防护单元;
所述管理监控单元、代码检测单元和站点防护单元相连接。
在本发明所述的WEB应用安全防护系统中,所述管理监控单元进一步包括:
配置管理模块:用于对各类安全规则进行管理和应用;
日志管理模块:用于统一对接入所述WEB应用安全防护系统的应用的安全日志进行管理查阅;
数据服务模块:用于为所述代码检测单元和站点防护单元提供统一的数据服务接口;
监控告警模块:用于定时对安全日志进行分析,当分析结果触发告警规则时,则发送告警提醒;
所述配置管理模块、日志管理模块、数据服务模块和监控告警模块相连接。
在本发明所述的WEB应用安全防护系统中,所述代码检测单元和站点防护单元能通过所述数据服务接口获取相应的配置信息,并上报安全日志。
在本发明所述的WEB应用安全防护系统中,所述监控告警模块通过邮件、短信或即时通讯消息方式发送告警提醒。
在本发明所述的WEB应用安全防护系统中,所述代码检测单元进一步包括:
配置装载模块:用于在插件启动时,通过被调用后加载所述管理监控单元通过所述数据服务模块提供的代码检测规则,并和本地配置文件中的检测规则进行合并;
代码校验模块:用于在开发人员进行开发时,实时对当前打开的文件进行检测,并提示检测发现的安全问题;
编译检测模块:用于在开发人员进行程序编译时被调用,对整个开发工程的代码和引用资源进行检测,识别其中存在的安全问题,并在编译窗口输出检测结果;
日志上报模块:用于依据配置对部分安全检测结果进行上报,为开发阶段的安全管理提供依据;
所述配置装载模块、代码校验模块、编译检测模块和日志上报模块相连接。
在本发明所述的WEB应用安全防护系统中,所述站点防护单元进一步包括:
配置解析模块:用于自动从所述数据服务模块的接口中同步配置数据,解析并缓存到数据缓存模块中;
数据缓存模块:用于为所述配置解析模块、入站检测模块、出站检测模块和日志上报模块提供数据缓存接口和临时黑名单接口;
入站检测模块:用于依据应用配置情况在WEB应用系统之前对入站请求报求进行检测,对存在攻击嫌疑的请求进行拦截,并生成记录日志;
出站检测模块:用于对WEB应用系统的响应内容进行检测,依据应用配置情况对不符合出站规则的内容进行补全、屏蔽和拦截,并生成记录日志;
日志上报模块:用于为所述配置解析模块、数据缓存模块、入站检测模块和出站检测模块的日志功能提供统一的接口,当所述站点防护单元与所述管理监控单元暂时断开连接时,所述日志上报模块利用所述数据缓存模块的接口对日志进行缓存,待连接恢复时再进行上报;
所述配置解析模块、数据缓存模块、入站检测模块、出站检测模块和日志上报模块相连接。
实施本发明的WEB应用安全防护系统,具有以下有益效果:通过设置管理监控单元、代码检测单元和站点防护单元,本发明可对WEB应用的全生命周期提供安全保障支持,可对多个系统多个环境进行集中式的安全监控,降低运维成本,安全规则可定制、可扩展,运维人员可以更加有效地对新发现的漏洞进行防护,开发人员可以在开发过程中得到及时有效的提醒,可更加有效地防止各类针对WEB应用的攻击,可以识别发现未在请求阶段被拦截的攻击,为运维人员扩展新规则提供依据和参考,可实现只部署一次,所有新增的WEB应用系统即可以受到保护。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明WEB应用安全防护系统一个实施例中的结构示意图;
图2为所述实施例中管理监控单元的结构示意图;
图3为所述实施例中代码检测单元的结构示意图;
图4为所述实施例中站点防护单元的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明WEB应用安全防护系统实施例中,该WEB应用安全防护系统的结构示意图如图1所示。图1中,该WEB应用安全防护系统包括相连接的管理监控单元1、代码检测单元2和站点防护单元3。其中,管理监控单元1用于提供可独立部署运行的应用程序,并对应用程序进行管理和监控。代码检测单元2用于以开发工具插件的形式提供代码检测功能;站点防护单元3用于作为嵌入WEB服务器的运行单元,嵌入到站点防护单元的WEB服务器在启动时会自动启动本站点防护单元3。
本发明可对WEB应用的全生命周期提供安全保障支持,可对多个系统多个环境进行集中式的安全监控,降低运维成本,安全规则可定制、可扩展,运维人员可以更加有效地对新发现的漏洞进行防护,无需等待开发团队的处理,开发人员也可以在开发过程中得到及时有效的提醒,从源头对安全进行保障;站点防护单元3提供入站、出站双向防护,可更加有效地防止各类针对WEB应用的攻击;同时针对出站响应内容的监控,可以识别发现未在请求阶段被拦截的攻击,为运维人员扩展新规则提供依据和参考;结合虚拟机平台或云平台使用,可实现只部署一次,所有新增的WEB应用系统即可以受到保护。
此外,本发明实施时无需额外增加硬件设置,实施成本非常低;对WEB应用系统没有侵入性,无需改变WEB应用系统的管理和发布方式;与WEB应用系统的数据交互没有经过网络IO,对WEB应用系统的性能影响非常小;可提供跨平台支持。
图2为本实施例中管理监控单元的结构示意图,图2中,该管理监控单元1进一步包括相连接的配置管理模块11、日志管理模块12、数据服务模块13和监控告警模块14;其中,配置管理模块11用于对各类安全规则进行管理和应用;日志管理模块12用于统一对接入WEB应用安全防护系统的应用的安全日志进行管理查阅;数据服务模块13用于为代码检测单元2和站点防护单元3提供统一的数据服务接口,代码检测单元2和站点防护单元3可通过数据服务接口获取相应的配置信息,并上报安全日志;监控告警模块14用于定时对安全日志进行分析,当分析结果触发告警规则时,则发送告警提醒,值得一提的是,可以通过邮件、短信以及即时通讯消息等方式发送告警提醒。
图3为本实施例中代码检测单元的结构示意图,图3中,该代码检测单元2进一步包括相连接的配置装载模块21、代码校验模块22、编译检测模块23和日志上报模块24。其中,配置装载模块21用于在插件启动时,通过被调用后加载管理监控单元1通过数据服务模块13提供的代码检测规则,并和本地配置文件中的检测规则进行合并。代码校验模块22用于在开发人员进行开发时,会实时对当前打开的文件进行检测,并提示检测发现的安全问题。编译检测模块23用于在开发人员进行程序编译时被调用,对整个开发工程的代码和引用资源进行检测,识别其中存在的安全问题,并在编译窗口输出检测结果。日志上报模块24用于依据配置对部分安全检测结果进行上报,为开发阶段的安全管理提供依据。
图4为本实施例中站点防护单元的结构示意图,图4中,该站点防护单元3进一步包括相连接的配置解析模块31、数据缓存模块32、入站检测模块33、出站检测模块34和日志上报模块35。其中,配置解析模块31用于自动从数据服务模块13的接口中同步配置数据,解析并缓存到数据缓存模块32中;数据缓存模块32用于为配置解析模块31、入站检测模块33、出站检测模块34和日志上报模块35提供数据缓存接口和临时黑名单接口;入站检测模块33用于依据应用配置情况在WEB应用系统之前对入站请求报求进行检测,对存在攻击嫌疑的请求进行拦截,并生成记录日志;出站检测模块34用于对WEB应用系统的响应内容进行检测,依据应用配置情况对不符合出站规则的内容进行补全、屏蔽和拦截,并生成记录日志;日志上报模块35用于为配置解析模块31、数据缓存模块32、入站检测模块33和出站检测模块34的日志功能提供统一的接口,当站点防护单元3与管理监控单元1暂时断开连接时,日志上报模块35利用数据缓存模块32的接口对日志进行缓存,待连接恢复时再进行上报。
值得一提的是,若只考虑WEB应用系统运行期的安全保证,可对将站点防护单元3的功能进行独立部署形成安全网关来替代本方案;但和本发明的技术方案相比,安全网关方案存在如下缺陷:1)需要增加额外的硬件设备部署安全网关服务,实施成本较高;2)需要更改WEB应用系统的发布管理方式,增加网关转发配置环节;3)安全网关与WEB应用系统之间的通信必须经过网络IO,对WEB应用系统的响应速度会有明显的影响;4)当WEB应用系统的规模扩张时,网关的部署规模必须同步进行扩张;5)由于所有的WEB应用系统都经过网关进行转发,当发生DDOS攻击或针对安全网关本身攻击时会造成单点故障,导致所有使用安全网关的WEB应用系统都无法使用。
总之,通过设置管理监控单元1、代码检测单元2和站点防护单元3,本发明不需要系统自身改造来提升安全级别,而是针对WEB应用安全防护系统所在的外围环境形成安全生存区域;类似防病毒软件原理,可以定期更新防护规则,提升安全防护能力,进而使WEB应用安全防护系统提升到特定的安全级别要求;当服务器环境、网络环境发生变化时可以灵活调整应对,施工量极小。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种WEB应用安全防护系统,其特征在于,包括:
管理监控单元:用于提供可独立部署运行的应用程序,并对所述应用程序进行管理和监控;
代码检测单元:用于以开发工具插件的形式提供代码检测功能;
站点防护单元:用于作为嵌入WEB服务器的运行单元,嵌入到所述站点防护单元的WEB服务器在启动时会自动启动所述站点防护单元;
所述管理监控单元、代码检测单元和站点防护单元相连接。
2.根据权利要求1所述的WEB应用安全防护系统,其特征在于,所述管理监控单元进一步包括:
配置管理模块:用于对各类安全规则进行管理和应用;
日志管理模块:用于统一对接入所述WEB应用安全防护系统的应用的安全日志进行管理查阅;
数据服务模块:用于为所述代码检测单元和站点防护单元提供统一的数据服务接口;
监控告警模块:用于定时对安全日志进行分析,当分析结果触发告警规则时,则发送告警提醒;
所述配置管理模块、日志管理模块、数据服务模块和监控告警模块相连接。
3.根据权利要求2所述的WEB应用安全防护系统,其特征在于,所述代码检测单元和站点防护单元能通过所述数据服务接口获取相应的配置信息,并上报安全日志。
4.根据权利要求3所述的WEB应用安全防护系统,其特征在于,所述监控告警模块通过邮件、短信或即时通讯消息方式发送告警提醒。
5.根据权利要求2至4任意一项所述的WEB应用安全防护系统,其特征在于,所述代码检测单元进一步包括:
配置装载模块:用于在插件启动时,通过被调用后加载所述管理监控单元通过所述数据服务模块提供的代码检测规则,并和本地配置文件中的检测规则进行合并;
代码校验模块:用于在开发人员进行开发时,实时对当前打开的文件进行检测,并提示检测发现的安全问题;
编译检测模块:用于在开发人员进行程序编译时被调用,对整个开发工程的代码和引用资源进行检测,识别其中存在的安全问题,并在编译窗口输出检测结果;
日志上报模块:用于依据配置对部分安全检测结果进行上报,为开发阶段的安全管理提供依据;
所述配置装载模块、代码校验模块、编译检测模块和日志上报模块相连接。
6.根据权利要求2至4任意一项所述的WEB应用安全防护系统,其特征在于,所述站点防护单元进一步包括:
配置解析模块:用于自动从所述数据服务模块的接口中同步配置数据,解析并缓存到数据缓存模块中;
数据缓存模块:用于为所述配置解析模块、入站检测模块、出站检测模块和日志上报模块提供数据缓存接口和临时黑名单接口;
入站检测模块:用于依据应用配置情况在WEB应用系统之前对入站请求报求进行检测,对存在攻击嫌疑的请求进行拦截,并生成记录日志;
出站检测模块:用于对WEB应用系统的响应内容进行检测,依据应用配置情况对不符合出站规则的内容进行补全、屏蔽和拦截,并生成记录日志;
日志上报模块:用于为所述配置解析模块、数据缓存模块、入站检测模块和出站检测模块的日志功能提供统一的接口,当所述站点防护单元与所述管理监控单元暂时断开连接时,所述日志上报模块利用所述数据缓存模块的接口对日志进行缓存,待连接恢复时再进行上报;
所述配置解析模块、数据缓存模块、入站检测模块、出站检测模块和日志上报模块相连接。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910314400.2A CN110119616B (zh) | 2019-04-18 | 2019-04-18 | Web应用安全防护系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910314400.2A CN110119616B (zh) | 2019-04-18 | 2019-04-18 | Web应用安全防护系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110119616A true CN110119616A (zh) | 2019-08-13 |
CN110119616B CN110119616B (zh) | 2021-05-28 |
Family
ID=67521101
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910314400.2A Expired - Fee Related CN110119616B (zh) | 2019-04-18 | 2019-04-18 | Web应用安全防护系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110119616B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102750469A (zh) * | 2012-05-18 | 2012-10-24 | 北京邮电大学 | 一种基于开放平台的安全检测系统及其检测方法 |
CN103116543A (zh) * | 2013-01-25 | 2013-05-22 | 中国电力科学研究院 | 白黑盒结合的Web应用安全检测方法 |
CN104346573A (zh) * | 2013-07-31 | 2015-02-11 | 广州市品高软件开发有限公司 | 一种web应用系统信息安全框架的实现方法及装置 |
CN106339237A (zh) * | 2016-08-16 | 2017-01-18 | 税友软件集团股份有限公司 | 针对JavaEE领域WEB应用的插件加载框架及方法 |
CN109358911A (zh) * | 2018-09-29 | 2019-02-19 | 福建星网智慧软件有限公司 | 一种分布式系统动态集成web应用的方法及系统 |
-
2019
- 2019-04-18 CN CN201910314400.2A patent/CN110119616B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102750469A (zh) * | 2012-05-18 | 2012-10-24 | 北京邮电大学 | 一种基于开放平台的安全检测系统及其检测方法 |
CN103116543A (zh) * | 2013-01-25 | 2013-05-22 | 中国电力科学研究院 | 白黑盒结合的Web应用安全检测方法 |
CN104346573A (zh) * | 2013-07-31 | 2015-02-11 | 广州市品高软件开发有限公司 | 一种web应用系统信息安全框架的实现方法及装置 |
CN106339237A (zh) * | 2016-08-16 | 2017-01-18 | 税友软件集团股份有限公司 | 针对JavaEE领域WEB应用的插件加载框架及方法 |
CN109358911A (zh) * | 2018-09-29 | 2019-02-19 | 福建星网智慧软件有限公司 | 一种分布式系统动态集成web应用的方法及系统 |
Non-Patent Citations (3)
Title |
---|
段国云 等: "一种Web程序防篡改系统的设计与实现", <计算机工程> * |
王勇: "基于Web站点模板进行攻击防护的技术研究", 《中国高新技术企业》 * |
陈世林 等: "Web应用增强安全模型", 《信息安全域通信保密》 * |
Also Published As
Publication number | Publication date |
---|---|
CN110119616B (zh) | 2021-05-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104468267B (zh) | 一种配电自动化系统信息安全渗透测试方法 | |
US20160241574A1 (en) | Systems and methods for determining trustworthiness of the signaling and data exchange between network systems | |
US7506056B2 (en) | System analyzing configuration fingerprints of network nodes for granting network access and detecting security threat | |
CN108664793B (zh) | 一种检测漏洞的方法和装置 | |
CN105939311A (zh) | 一种网络攻击行为的确定方法和装置 | |
KR101414084B1 (ko) | 모바일 단말의 악성 어플리케이션 탐지 시스템 및 방법 | |
EP2835948B1 (en) | Method for processing a signature rule, server and intrusion prevention system | |
CN104468546B (zh) | 一种网络信息处理方法及防火墙装置、系统 | |
CN113014571B (zh) | 一种访问请求处理的方法、装置及存储介质 | |
Uemura et al. | Availability analysis of an intrusion tolerant distributed server system with preventive maintenance | |
CN105227559A (zh) | 一种积极的自动检测http攻击的信息安全管理框架 | |
CN112615848B (zh) | 漏洞修复状态检测方法及系统 | |
CN104346573A (zh) | 一种web应用系统信息安全框架的实现方法及装置 | |
CN105978908A (zh) | 一种非实时信息网站安全保护方法和装置 | |
RU2739864C1 (ru) | Система и способ корреляции событий для выявления инцидента информационной безопасности | |
CN110119616A (zh) | Web应用安全防护系统 | |
CN109785537B (zh) | 一种atm机的安全防护方法及装置 | |
CN114826790B (zh) | 一种区块链监测方法、装置、设备及存储介质 | |
Faria et al. | An advertising overflow attack against android exposure notification system impacting covid-19 contact tracing applications | |
CN112422501B (zh) | 正反向隧道防护方法、装置、设备及存储介质 | |
CN114448698A (zh) | 一种联盟链dos攻击的测试方法和系统 | |
CN109150666A (zh) | 一种预防网站宕机的方法 | |
CN113411318B (zh) | 一种网站关停方法、装置及相关设备 | |
CN109474644B (zh) | 安全防护方法、装置、设备、waf及可读存储介质 | |
CN114866254B (zh) | 一种bmc安全防护方法、设备及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20210528 |
|
CF01 | Termination of patent right due to non-payment of annual fee |