CN110177103B - 一种基于网页地址转换的动态web安全防护方法与系统 - Google Patents

一种基于网页地址转换的动态web安全防护方法与系统 Download PDF

Info

Publication number
CN110177103B
CN110177103B CN201910453288.0A CN201910453288A CN110177103B CN 110177103 B CN110177103 B CN 110177103B CN 201910453288 A CN201910453288 A CN 201910453288A CN 110177103 B CN110177103 B CN 110177103B
Authority
CN
China
Prior art keywords
url
pseudo
visitor
urls
security protection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910453288.0A
Other languages
English (en)
Other versions
CN110177103A (zh
Inventor
吴青松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Shaoshao Technology Co ltd
Jiangsu Kuaiye Information Technology Co ltd
Original Assignee
Nanjing Shaoshao Technology Co ltd
Jiangsu Kuaiye Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Shaoshao Technology Co ltd, Jiangsu Kuaiye Information Technology Co ltd filed Critical Nanjing Shaoshao Technology Co ltd
Priority to CN201910453288.0A priority Critical patent/CN110177103B/zh
Publication of CN110177103A publication Critical patent/CN110177103A/zh
Application granted granted Critical
Publication of CN110177103B publication Critical patent/CN110177103B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2521Translation architectures other than single NAT servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2539Hiding addresses; Keeping addresses anonymous
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于网页地址转换的动态web安全防护方法与系统,它涉及网站安全防护技术领域。其步骤为:自动动态学习受保护网站或web应用对象的所有URL,维护真实URL库;为每个访客根据访问终端属性及会话特征生成唯一标识clentid,为每个访客生成不同的伪URL;将伪URL转换到真URL,维护目的网址转换映射关系;访客通过GET方式访问网页,直接访问伪URL就能访问到目标应用对象,除了伪URL以外的访问请求字符默认全部阻止;开启通用WAF防御策略,针对访客通过POST方式提交的网页信息中的非法行为予以过滤。本发明支持动态安全防御,能够有效防御未知攻击,使攻击者无法实施攻击,安全性高。

Description

一种基于网页地址转换的动态web安全防护方法与系统
技术领域
本发明涉及的是网站安全防护技术领域,具体涉及一种基于网页地址转换的动态web安全防护方法与系统。
背景技术
目前,对于网站安全防护都是采用静态安全防御,通过静态特征对比来实现安全攻击行为识别和阻止,进行已知攻击行为的过滤,这种方法的缺点是无法防御未知的攻击行为,安全性不高。基于此,设计一种基于网页地址转换的动态web安全防护方法与系统尤为必要。
发明内容
针对现有技术上存在的不足,本发明目的是在于提供一种基于网页地址转换的动态web安全防护方法与系统,支持动态安全防御,能够有效防御未知攻击,使攻击者无法实施攻击,安全性高,易于推广使用。
为了实现上述目的,本发明是通过如下的技术方案来实现:一种基于网页地址转换的动态web安全防护方法,其步骤为:
(1)自动动态学习受保护网站或web应用对象的所有URL,维护一个真实URL库;
(2)为每个访客根据访问终端属性及会话特征生成一个唯一标识clentid,根据clientid和当前时间戳为每个访客生成不同的伪URL;
(3)将伪URL转换到真URL,维护目的网址转换映射关系;
(4)访客通过GET方式访问网页,直接访问伪URL就能访问到目标应用对象,除了伪URL以外的访问请求字符默认全部阻止;
(5)开启通用WAF防御策略,针对访客通过POST方式提交的网页信息中的非法行为予以过滤。
作为优选,所述的步骤(1)中当目标对象有新增URL,能及时进行同步更新URL库。
作为优选,所述的步骤(2)中的伪URL均具有有效期,过期会为该访客重新生成新的伪URL,且甲访客的伪URL只对甲访客有效,其他访客即使获得地址也无法访问该伪URL。
作为优选,所述的步骤(3)中的将伪URL转换到真URL,进行目的网址转换,对网页地址转换策略各字段进行了定义,形成了完整的转换列表。
一种基于网页地址转换的动态web安全防护系统,基于nginx开发而成,安装于一台Linux服务器,部署于目标web服务器前端作为反向代理,系统采用串联或旁接结构:采用串联部署时,WAT反向代理服务器与网站或WEB应用服务器相串接,通过互联网与访客终端相连接;采用旁接部署时,WAT反向代理服务器与网站或WEB应用服务器分别通过互联网与访客终端相连接,WAT反向代理服务器与网站或WEB应用服务器可以位于不同物理位置,需要将目标网站的域名配置到此反向代理服务器上。
本发明的有益效果:本发明将传统WAF功能与WAT技术进行了整合,达到既能用传统的静态WAF技术识别已知攻击,也能通过创新的动态WAT技术屏蔽未知攻击的目的,该方法支持动态安全防御,有效防御未知攻击,使攻击者无法实施攻击,安全性更高。
附图说明
下面结合附图和具体实施方式来详细说明本发明;
图1为本发明安全防护系统的串联部署示意图;
图2为本发明安全防护系统的旁接部署示意图。
具体实施方式
为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实施方式,进一步阐述本发明。
参照图1-2,本具体实施方式采用以下技术方案:一种基于网页地址转换的动态web安全防护方法,其步骤为:
(1)自动动态学习受保护网站或web应用对象的所有URL,维护一个真实URL库;当目标对象有新增URL,能及时进行同步更新URL库。
(2)为每个访客根据访问终端属性及会话特征生成一个唯一标识clentid,根据clientid和当前时间戳为每个访客生成不同的伪URL;该伪URL均具有有效期,过期会为该访客重新生成新的伪URL,且甲访客的伪URL只对甲访客有效,其他访客即使获得地址也无法访问该伪URL。
(3)将伪URL转换到真URL,维护目的网址转换映射关系;将伪URL转换到真URL,进行目的网址转换,对网页地址转换策略各字段进行了定义,形成了完整的转换列表。
(4)访客通过GET方式访问网页,直接访问伪URL就能访问到目标应用对象,除了伪URL以外的访问请求字符默认全部阻止。
(5)开启通用WAF防御策略,针对访客通过POST方式提交的网页信息中的非法行为予以过滤。
一种基于网页地址转换的动态web安全防护系统,该系统基于nginx开发而成,安装于一台Linux服务器,部署于目标web服务器前端作为反向代理,该系统可以采用串联,也可采用旁接结构:其中采用串联部署时,WAT反向代理服务器与网站或WEB应用服务器相串接,通过互联网与访客终端相连接;采用旁接部署时,WAT反向代理服务器与网站或WEB应用服务器分别通过互联网与访客终端相连接,WAT反向代理服务器与网站或WEB应用服务器可以位于不同物理位置,需要将目标网站的域名配置到此反向代理服务器上。
本具体实施方式采用网页地址转换策略,其目的是能为真实网页地址生成伪网址,将目标网站的所有网址URL进行隐藏(网站首页除外),从而强制网站访问者访问的都是伪网址,网站访客直接使用真网址是无法访问网站的。网页地址转换策略各字段如表1所示:
表1 网页地址转换策略各字段表
Figure RE-DEST_PATH_IMAGE002AA
本具体实施方式率先实现了网页地址转换(Webpage Address Translation,英文缩写:WAT),通过网页地址转换(WAT)技术,实现了针对受保护的web应用系统的URL隐藏,从而达到安全防御的目的,该方法将传统WAF功能与WAT技术进行了整合,既能用传统的静态WAF技术识别已知攻击,也能通过创新的动态WAT技术屏蔽未知攻击,让黑客的攻击行为无从下手。
本具体实施方式通过借鉴网络地址转换(NAT)思路设计而成的网页地址转换(WAT)实现方法,支持动态安全防御,将真实URL隐藏,并且伪URL不断变换,有效防御未知攻击,从而使攻击者无法实施攻击,具有广阔的市场应用前景。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (4)

1.一种基于网页地址转换的动态web安全防护方法,其特征在于,其步骤为:
(1)自动动态学习受保护网站或web应用对象的所有URL,维护一个真实URL库;
(2)为每个访客根据访问终端属性及会话特征生成一个唯一标识clentid,根据clientid和当前时间戳为每个访客生成不同的伪URL;
(3)将伪URL转换到真URL,维护目的网址转换映射关系;
(4)访客通过GET方式访问网页,直接访问伪URL就能访问到目标应用对象,除了伪URL以外的访问请求字符默认全部阻止;
(5)开启通用WAF防御策略,针对访客通过POST方式提交的网页信息中的非法行为予以过滤。
2.根据权利要求1所述的一种基于网页地址转换的动态web安全防护方法,其特征在于,所述的步骤(1)中当目标对象有新增URL,能及时进行同步更新URL库。
3.根据权利要求1所述的一种基于网页地址转换的动态web安全防护方法,其特征在于,所述的步骤(2)中的伪URL均具有有效期,过期会为该访客重新生成新的伪URL,且甲访客的伪URL只对甲访客有效,其他访客即使获得地址也无法访问该伪URL。
4.根据权利要求1所述的一种基于网页地址转换的动态web安全防护方法,其特征在于,所述的步骤(3)中的将伪URL转换到真URL, 进行目的网址转换,对网页地址转换策略各字段进行了定义,形成了完整的转换列表。
CN201910453288.0A 2019-05-28 2019-05-28 一种基于网页地址转换的动态web安全防护方法与系统 Active CN110177103B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910453288.0A CN110177103B (zh) 2019-05-28 2019-05-28 一种基于网页地址转换的动态web安全防护方法与系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910453288.0A CN110177103B (zh) 2019-05-28 2019-05-28 一种基于网页地址转换的动态web安全防护方法与系统

Publications (2)

Publication Number Publication Date
CN110177103A CN110177103A (zh) 2019-08-27
CN110177103B true CN110177103B (zh) 2022-04-12

Family

ID=67695796

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910453288.0A Active CN110177103B (zh) 2019-05-28 2019-05-28 一种基于网页地址转换的动态web安全防护方法与系统

Country Status (1)

Country Link
CN (1) CN110177103B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110808955B (zh) * 2019-09-29 2021-11-16 烽火通信科技股份有限公司 一种实现url动态变换的系统及方法
CN111008345B (zh) * 2019-11-28 2020-12-15 蜂助手股份有限公司 一种访问定点访问url的方法及系统
CN112260983B (zh) * 2020-07-01 2023-04-18 北京沃东天骏信息技术有限公司 一种身份验证方法、装置、设备及计算机可读存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998032066A1 (en) * 1997-01-20 1998-07-23 British Telecommunications Public Limited Company Data access control
CN104954384A (zh) * 2015-06-24 2015-09-30 浙江大学 一种保护Web应用安全的url拟态方法
CN106464732A (zh) * 2014-06-03 2017-02-22 阿姆Ip有限公司 从数据处理设备访问以及提供对于远程资源的访问的方法
CN106657044A (zh) * 2016-12-12 2017-05-10 杭州电子科技大学 一种用于提高网站系统安全防御的网页地址跳变方法
CN108965203A (zh) * 2017-05-18 2018-12-07 腾讯科技(深圳)有限公司 一种资源访问方法及服务器

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10083322B2 (en) * 2015-07-30 2018-09-25 International Business Machines Corporation Obscuring user web usage patterns

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998032066A1 (en) * 1997-01-20 1998-07-23 British Telecommunications Public Limited Company Data access control
CN106464732A (zh) * 2014-06-03 2017-02-22 阿姆Ip有限公司 从数据处理设备访问以及提供对于远程资源的访问的方法
CN104954384A (zh) * 2015-06-24 2015-09-30 浙江大学 一种保护Web应用安全的url拟态方法
CN106657044A (zh) * 2016-12-12 2017-05-10 杭州电子科技大学 一种用于提高网站系统安全防御的网页地址跳变方法
CN108965203A (zh) * 2017-05-18 2018-12-07 腾讯科技(深圳)有限公司 一种资源访问方法及服务器

Also Published As

Publication number Publication date
CN110177103A (zh) 2019-08-27

Similar Documents

Publication Publication Date Title
CN110177103B (zh) 一种基于网页地址转换的动态web安全防护方法与系统
US9258289B2 (en) Authentication of IP source addresses
US10193929B2 (en) Methods and systems for improving analytics in distributed networks
CN103152357B (zh) 一种针对dns服务的防御方法、装置和系统
US8719937B2 (en) Methods and systems for network attack detection and prevention through redirection
US20170041333A1 (en) Domain classification based on domain name system (dns) traffic
WO2018121331A1 (zh) 攻击请求的确定方法、装置及服务器
US20100057895A1 (en) Methods of Providing Reputation Information with an Address and Related Devices and Computer Program Products
TWI439091B (zh) 防禦網路釣魚的網路通訊系統及方法
CN102685145A (zh) 一种基于dns数据包的僵尸网络域名发现方法
JP5415390B2 (ja) フィルタリング方法、フィルタリングシステム及びフィルタリングプログラム
EP3570504B1 (en) Attack countermeasure determination device, attack countermeasure determination method, and attack countermeasure determination program
ATE360319T1 (de) System und verfahren zur verteidigung gegen denial-of-service angriffe auf die netzwerkknoten
CN104601540A (zh) 一种跨站脚本XSS攻击防御方法及Web服务器
CN104580249A (zh) 一种基于日志的僵木蠕网络分析方法和系统
CN104967628A (zh) 一种保护web应用安全的诱骗方法
CN104158799A (zh) 一种基于url动态映射的http ddos防御方法
CN102882889A (zh) 基于钓鱼网站ip集中性的收集与鉴定的方法和系统
CN107786539A (zh) 一种基于dns进行防cc攻击的方法
CN111953638B (zh) 网络攻击行为检测方法、装置及可读存储介质
CN106453598B (zh) 一种基于http协议的代理扫描方法
US11658995B1 (en) Methods for dynamically mitigating network attacks and devices thereof
CN109413220B (zh) 一种以别名方式接入ddos云防护系统中避免dns传播的方法
Marx et al. Context-aware IPv6 address hopping
CN110581843B (zh) 一种拟态Web网关多应用流量定向分配方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant