CN110177103B - 一种基于网页地址转换的动态web安全防护方法与系统 - Google Patents
一种基于网页地址转换的动态web安全防护方法与系统 Download PDFInfo
- Publication number
- CN110177103B CN110177103B CN201910453288.0A CN201910453288A CN110177103B CN 110177103 B CN110177103 B CN 110177103B CN 201910453288 A CN201910453288 A CN 201910453288A CN 110177103 B CN110177103 B CN 110177103B
- Authority
- CN
- China
- Prior art keywords
- url
- pseudo
- visitor
- urls
- security protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2521—Translation architectures other than single NAT servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2539—Hiding addresses; Keeping addresses anonymous
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于网页地址转换的动态web安全防护方法与系统,它涉及网站安全防护技术领域。其步骤为:自动动态学习受保护网站或web应用对象的所有URL,维护真实URL库;为每个访客根据访问终端属性及会话特征生成唯一标识clentid,为每个访客生成不同的伪URL;将伪URL转换到真URL,维护目的网址转换映射关系;访客通过GET方式访问网页,直接访问伪URL就能访问到目标应用对象,除了伪URL以外的访问请求字符默认全部阻止;开启通用WAF防御策略,针对访客通过POST方式提交的网页信息中的非法行为予以过滤。本发明支持动态安全防御,能够有效防御未知攻击,使攻击者无法实施攻击,安全性高。
Description
技术领域
本发明涉及的是网站安全防护技术领域,具体涉及一种基于网页地址转换的动态web安全防护方法与系统。
背景技术
目前,对于网站安全防护都是采用静态安全防御,通过静态特征对比来实现安全攻击行为识别和阻止,进行已知攻击行为的过滤,这种方法的缺点是无法防御未知的攻击行为,安全性不高。基于此,设计一种基于网页地址转换的动态web安全防护方法与系统尤为必要。
发明内容
针对现有技术上存在的不足,本发明目的是在于提供一种基于网页地址转换的动态web安全防护方法与系统,支持动态安全防御,能够有效防御未知攻击,使攻击者无法实施攻击,安全性高,易于推广使用。
为了实现上述目的,本发明是通过如下的技术方案来实现:一种基于网页地址转换的动态web安全防护方法,其步骤为:
(1)自动动态学习受保护网站或web应用对象的所有URL,维护一个真实URL库;
(2)为每个访客根据访问终端属性及会话特征生成一个唯一标识clentid,根据clientid和当前时间戳为每个访客生成不同的伪URL;
(3)将伪URL转换到真URL,维护目的网址转换映射关系;
(4)访客通过GET方式访问网页,直接访问伪URL就能访问到目标应用对象,除了伪URL以外的访问请求字符默认全部阻止;
(5)开启通用WAF防御策略,针对访客通过POST方式提交的网页信息中的非法行为予以过滤。
作为优选,所述的步骤(1)中当目标对象有新增URL,能及时进行同步更新URL库。
作为优选,所述的步骤(2)中的伪URL均具有有效期,过期会为该访客重新生成新的伪URL,且甲访客的伪URL只对甲访客有效,其他访客即使获得地址也无法访问该伪URL。
作为优选,所述的步骤(3)中的将伪URL转换到真URL,进行目的网址转换,对网页地址转换策略各字段进行了定义,形成了完整的转换列表。
一种基于网页地址转换的动态web安全防护系统,基于nginx开发而成,安装于一台Linux服务器,部署于目标web服务器前端作为反向代理,系统采用串联或旁接结构:采用串联部署时,WAT反向代理服务器与网站或WEB应用服务器相串接,通过互联网与访客终端相连接;采用旁接部署时,WAT反向代理服务器与网站或WEB应用服务器分别通过互联网与访客终端相连接,WAT反向代理服务器与网站或WEB应用服务器可以位于不同物理位置,需要将目标网站的域名配置到此反向代理服务器上。
本发明的有益效果:本发明将传统WAF功能与WAT技术进行了整合,达到既能用传统的静态WAF技术识别已知攻击,也能通过创新的动态WAT技术屏蔽未知攻击的目的,该方法支持动态安全防御,有效防御未知攻击,使攻击者无法实施攻击,安全性更高。
附图说明
下面结合附图和具体实施方式来详细说明本发明;
图1为本发明安全防护系统的串联部署示意图;
图2为本发明安全防护系统的旁接部署示意图。
具体实施方式
为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实施方式,进一步阐述本发明。
参照图1-2,本具体实施方式采用以下技术方案:一种基于网页地址转换的动态web安全防护方法,其步骤为:
(1)自动动态学习受保护网站或web应用对象的所有URL,维护一个真实URL库;当目标对象有新增URL,能及时进行同步更新URL库。
(2)为每个访客根据访问终端属性及会话特征生成一个唯一标识clentid,根据clientid和当前时间戳为每个访客生成不同的伪URL;该伪URL均具有有效期,过期会为该访客重新生成新的伪URL,且甲访客的伪URL只对甲访客有效,其他访客即使获得地址也无法访问该伪URL。
(3)将伪URL转换到真URL,维护目的网址转换映射关系;将伪URL转换到真URL,进行目的网址转换,对网页地址转换策略各字段进行了定义,形成了完整的转换列表。
(4)访客通过GET方式访问网页,直接访问伪URL就能访问到目标应用对象,除了伪URL以外的访问请求字符默认全部阻止。
(5)开启通用WAF防御策略,针对访客通过POST方式提交的网页信息中的非法行为予以过滤。
一种基于网页地址转换的动态web安全防护系统,该系统基于nginx开发而成,安装于一台Linux服务器,部署于目标web服务器前端作为反向代理,该系统可以采用串联,也可采用旁接结构:其中采用串联部署时,WAT反向代理服务器与网站或WEB应用服务器相串接,通过互联网与访客终端相连接;采用旁接部署时,WAT反向代理服务器与网站或WEB应用服务器分别通过互联网与访客终端相连接,WAT反向代理服务器与网站或WEB应用服务器可以位于不同物理位置,需要将目标网站的域名配置到此反向代理服务器上。
本具体实施方式采用网页地址转换策略,其目的是能为真实网页地址生成伪网址,将目标网站的所有网址URL进行隐藏(网站首页除外),从而强制网站访问者访问的都是伪网址,网站访客直接使用真网址是无法访问网站的。网页地址转换策略各字段如表1所示:
表1 网页地址转换策略各字段表
本具体实施方式率先实现了网页地址转换(Webpage Address Translation,英文缩写:WAT),通过网页地址转换(WAT)技术,实现了针对受保护的web应用系统的URL隐藏,从而达到安全防御的目的,该方法将传统WAF功能与WAT技术进行了整合,既能用传统的静态WAF技术识别已知攻击,也能通过创新的动态WAT技术屏蔽未知攻击,让黑客的攻击行为无从下手。
本具体实施方式通过借鉴网络地址转换(NAT)思路设计而成的网页地址转换(WAT)实现方法,支持动态安全防御,将真实URL隐藏,并且伪URL不断变换,有效防御未知攻击,从而使攻击者无法实施攻击,具有广阔的市场应用前景。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (4)
1.一种基于网页地址转换的动态web安全防护方法,其特征在于,其步骤为:
(1)自动动态学习受保护网站或web应用对象的所有URL,维护一个真实URL库;
(2)为每个访客根据访问终端属性及会话特征生成一个唯一标识clentid,根据clientid和当前时间戳为每个访客生成不同的伪URL;
(3)将伪URL转换到真URL,维护目的网址转换映射关系;
(4)访客通过GET方式访问网页,直接访问伪URL就能访问到目标应用对象,除了伪URL以外的访问请求字符默认全部阻止;
(5)开启通用WAF防御策略,针对访客通过POST方式提交的网页信息中的非法行为予以过滤。
2.根据权利要求1所述的一种基于网页地址转换的动态web安全防护方法,其特征在于,所述的步骤(1)中当目标对象有新增URL,能及时进行同步更新URL库。
3.根据权利要求1所述的一种基于网页地址转换的动态web安全防护方法,其特征在于,所述的步骤(2)中的伪URL均具有有效期,过期会为该访客重新生成新的伪URL,且甲访客的伪URL只对甲访客有效,其他访客即使获得地址也无法访问该伪URL。
4.根据权利要求1所述的一种基于网页地址转换的动态web安全防护方法,其特征在于,所述的步骤(3)中的将伪URL转换到真URL, 进行目的网址转换,对网页地址转换策略各字段进行了定义,形成了完整的转换列表。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910453288.0A CN110177103B (zh) | 2019-05-28 | 2019-05-28 | 一种基于网页地址转换的动态web安全防护方法与系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910453288.0A CN110177103B (zh) | 2019-05-28 | 2019-05-28 | 一种基于网页地址转换的动态web安全防护方法与系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110177103A CN110177103A (zh) | 2019-08-27 |
CN110177103B true CN110177103B (zh) | 2022-04-12 |
Family
ID=67695796
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910453288.0A Active CN110177103B (zh) | 2019-05-28 | 2019-05-28 | 一种基于网页地址转换的动态web安全防护方法与系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110177103B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110808955B (zh) * | 2019-09-29 | 2021-11-16 | 烽火通信科技股份有限公司 | 一种实现url动态变换的系统及方法 |
CN111008345B (zh) * | 2019-11-28 | 2020-12-15 | 蜂助手股份有限公司 | 一种访问定点访问url的方法及系统 |
CN112260983B (zh) * | 2020-07-01 | 2023-04-18 | 北京沃东天骏信息技术有限公司 | 一种身份验证方法、装置、设备及计算机可读存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1998032066A1 (en) * | 1997-01-20 | 1998-07-23 | British Telecommunications Public Limited Company | Data access control |
CN104954384A (zh) * | 2015-06-24 | 2015-09-30 | 浙江大学 | 一种保护Web应用安全的url拟态方法 |
CN106464732A (zh) * | 2014-06-03 | 2017-02-22 | 阿姆Ip有限公司 | 从数据处理设备访问以及提供对于远程资源的访问的方法 |
CN106657044A (zh) * | 2016-12-12 | 2017-05-10 | 杭州电子科技大学 | 一种用于提高网站系统安全防御的网页地址跳变方法 |
CN108965203A (zh) * | 2017-05-18 | 2018-12-07 | 腾讯科技(深圳)有限公司 | 一种资源访问方法及服务器 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10083322B2 (en) * | 2015-07-30 | 2018-09-25 | International Business Machines Corporation | Obscuring user web usage patterns |
-
2019
- 2019-05-28 CN CN201910453288.0A patent/CN110177103B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1998032066A1 (en) * | 1997-01-20 | 1998-07-23 | British Telecommunications Public Limited Company | Data access control |
CN106464732A (zh) * | 2014-06-03 | 2017-02-22 | 阿姆Ip有限公司 | 从数据处理设备访问以及提供对于远程资源的访问的方法 |
CN104954384A (zh) * | 2015-06-24 | 2015-09-30 | 浙江大学 | 一种保护Web应用安全的url拟态方法 |
CN106657044A (zh) * | 2016-12-12 | 2017-05-10 | 杭州电子科技大学 | 一种用于提高网站系统安全防御的网页地址跳变方法 |
CN108965203A (zh) * | 2017-05-18 | 2018-12-07 | 腾讯科技(深圳)有限公司 | 一种资源访问方法及服务器 |
Also Published As
Publication number | Publication date |
---|---|
CN110177103A (zh) | 2019-08-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110177103B (zh) | 一种基于网页地址转换的动态web安全防护方法与系统 | |
US9258289B2 (en) | Authentication of IP source addresses | |
US10193929B2 (en) | Methods and systems for improving analytics in distributed networks | |
CN103152357B (zh) | 一种针对dns服务的防御方法、装置和系统 | |
US8719937B2 (en) | Methods and systems for network attack detection and prevention through redirection | |
US20170041333A1 (en) | Domain classification based on domain name system (dns) traffic | |
WO2018121331A1 (zh) | 攻击请求的确定方法、装置及服务器 | |
US20100057895A1 (en) | Methods of Providing Reputation Information with an Address and Related Devices and Computer Program Products | |
TWI439091B (zh) | 防禦網路釣魚的網路通訊系統及方法 | |
CN102685145A (zh) | 一种基于dns数据包的僵尸网络域名发现方法 | |
JP5415390B2 (ja) | フィルタリング方法、フィルタリングシステム及びフィルタリングプログラム | |
EP3570504B1 (en) | Attack countermeasure determination device, attack countermeasure determination method, and attack countermeasure determination program | |
ATE360319T1 (de) | System und verfahren zur verteidigung gegen denial-of-service angriffe auf die netzwerkknoten | |
CN104601540A (zh) | 一种跨站脚本XSS攻击防御方法及Web服务器 | |
CN104580249A (zh) | 一种基于日志的僵木蠕网络分析方法和系统 | |
CN104967628A (zh) | 一种保护web应用安全的诱骗方法 | |
CN104158799A (zh) | 一种基于url动态映射的http ddos防御方法 | |
CN102882889A (zh) | 基于钓鱼网站ip集中性的收集与鉴定的方法和系统 | |
CN107786539A (zh) | 一种基于dns进行防cc攻击的方法 | |
CN111953638B (zh) | 网络攻击行为检测方法、装置及可读存储介质 | |
CN106453598B (zh) | 一种基于http协议的代理扫描方法 | |
US11658995B1 (en) | Methods for dynamically mitigating network attacks and devices thereof | |
CN109413220B (zh) | 一种以别名方式接入ddos云防护系统中避免dns传播的方法 | |
Marx et al. | Context-aware IPv6 address hopping | |
CN110581843B (zh) | 一种拟态Web网关多应用流量定向分配方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |