CN110581843B - 一种拟态Web网关多应用流量定向分配方法 - Google Patents

一种拟态Web网关多应用流量定向分配方法 Download PDF

Info

Publication number
CN110581843B
CN110581843B CN201910772335.8A CN201910772335A CN110581843B CN 110581843 B CN110581843 B CN 110581843B CN 201910772335 A CN201910772335 A CN 201910772335A CN 110581843 B CN110581843 B CN 110581843B
Authority
CN
China
Prior art keywords
web
http request
mimicry
gateway
web gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910772335.8A
Other languages
English (en)
Other versions
CN110581843A (zh
Inventor
陈双喜
吴春明
吴安邦
刘江宜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University ZJU
Original Assignee
Zhejiang University ZJU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University ZJU filed Critical Zhejiang University ZJU
Priority to CN201910772335.8A priority Critical patent/CN110581843B/zh
Publication of CN110581843A publication Critical patent/CN110581843A/zh
Application granted granted Critical
Publication of CN110581843B publication Critical patent/CN110581843B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种拟态Web网关多应用流量定向分配方法,该方法通过一个流量分配模块来处理拟态Web网关接收到的HTTP请求,能够自动过滤掉非法请求并将合法请求转发到对应的Web应用所在的服务器,为受拟态Web网关保护的多个Web应用提供了统一的入口;实现三种流量定向分配模式,包括1对n分配、m对1分配和m对n分配。本发明可在不影响高并发访问连接数和吞吐量的前提下,提升Web应用的安全性;通过本发明提出的拟态Web网关多应用流量定向分配方法,可保障正常业务的功能和性能,增强Web应用应对已知漏洞和未知后门的攻击的能力。

Description

一种拟态Web网关多应用流量定向分配方法
技术领域
本发明属于网络安全技术领域,具体属于拟态Web网关领域,尤其涉及一种拟态Web网关多应用流量定向分配方法。
背景技术
传统网络安全防御技术主要有防火墙、认证技术、访问控制、入侵检测、漏洞扫描、信息加密等。这些安全技术虽然能够在一定程度上保护Web应用的安全,但也因其被动防御的特点难以应对日益复杂的网络攻击。
针对传统网络安全防御技术的不足,网络空间拟态防御应运而生。拟态Web网关基于拟态防御的思想,通过动态、异构、冗余、自愈的架构设计实现了主动防御网络攻击,不但能够有效的保护了Web应用的安全,而且能够在一定程度上防御未知攻击。作为一种主动的前摄性防护方式,拟态Web网关需要具备为多个Web应用提供防护的能力,并提供统一的入口。此时就需要一种流量分配方法来将拟态Web网关的流量重定向到相应的Web服务器。
为了实现拟态Web网关的流量定向分配,结合拟态防御的思想,本发明提出了一种拟态Web网关多应用流量定向分配方法。
发明内容
本发明的目的在于针对现有技术的不足,提供一种拟态Web网关多应用流量定向分配方法。
本发明的目的是通过以下技术方案来实现的:一种拟态Web网关多应用流量定向分配方法,通过在单个或多个端口上运行流量分配模块,实现以下三种流量定向分配模式:
(1)拟态Web网关在1个特定端口上运行流量分配模块,为n个Web应用提供防护;客户端访问任意Web应用时必须通过拟态Web网关的该特定端口,然后由拟态Web网关根据用户的配置将客户端的HTTP请求代理到对应Web应用所在的服务器上;
(2)拟态Web网关在m个端口上运行流量分配模块,为1个Web应用提供防护;客户端访问该Web应用时可以通过拟态Web网关m个端口中的任意一个,然后由拟态Web网关根据用户的配置将客户端的HTTP请求代理到Web应用所在的服务器上;
(3)拟态Web网关在m个端口上运行流量分配模块,为n个Web应用提供防护;客户端访问任意Web应用时可以通过拟态Web网关m个端口中的任意一个端口,然后由拟态Web网关根据用户的配置将客户端的HTTP请求代理到Web应用所在的服务器上。
进一步地,所述流量分配模块通过监听固定的端口来处理拟态Web网关接收到的HTTP请求,包括以下步骤:
(2.1)对于拟态Web网关接收到的HTTP请求数据包,从HTTP请求头中提取出该请求的URL;
(2.2)从步骤(2.1)提取的URL中提取HTTP请求的域名;
(2.3)在合法的域名集合中查找步骤(2.2)提取的HTTP请求的域名是否存在,如存在则认为该HTTP请求合法,否则认为该HTTP请求不合法;
(2.4)根据步骤(2.3)的判断结果做出对应的处理:如果判断HTTP请求为合法的,则根据配置文件将该请求转发到对应Web应用所在的后台服务器中;如果判断HTTP请求为不合法的,则不转发该请求,直接返回一个错误页面。
进一步地,所述步骤(2.3)中合法的域名集合从配置文件中获取;所述配置文件中保存了受拟态Web网关保护的Web应用的域名和后台IP地址组成的键值对。
本发明的有益效果是:本发明通过在单个或多个端口上运行流量分配模块,实现三种流量定向分配模式,可在不影响高并发访问连接数和吞吐量的前提下,提升Web应用的安全性;通过本发明提出的拟态Web网关多应用流量定向分配方法,可保障正常业务的功能和性能,增强Web应用应对已知漏洞和未知后门的攻击的能力。
附图说明
图1为流量分配模块的执行流程图;
图2是1对n分配的示意图;
图3是m对1分配的示意图;
图4是m对n分配的示意图。
具体实施方式
本发明一种拟态Web网关多应用流量定向分配方法,能够通过流量分配使拟态Web网关具备为多个Web应用提供拟态防护的能力,该分配方法中包含流量分配模块,执行流程图如图1所示;通过配置流量分配模块,可以实现1对n、m对1、m对n三种流量定向分配方式,m、n为大于1的自然数,如图2~4所示;在实际使用过程中,可以通过人工或者自动配置的方式,选择合适的分配方式,具体为:
本发明中包含一个流量分配模块,通过监听固定的端口来处理拟态Web网关接收到的HTTP请求,包括以下步骤:
(1)获取HTTP请求的URL(Uniform Resource Locator,统一资源定位符):HTTP请求中都包含一个URL,用于唯一定位服务器中的资源;对于拟态Web网关接收到的HTTP请求数据包,从HTTP请求头中提取出该请求的URL;
(2)获取HTTP请求的域名:进一步从步骤(1)提取的URL中提取HTTP请求的域名;通常情况下,每个Web应用都拥有不同的域名,通过HTTP请求的域名即可判定客户端想要访问的是哪一个Web应用;
(3)判断HTTP请求的域名是否为合法的域名:在合法的域名集合中查找步骤(2)提取的HTTP请求的域名是否存在,如存在则认为该HTTP请求合法,否则认为该HTTP请求不合法;所述合法的域名集合从配置文件中获取;所述配置文件中保存了受拟态Web网关保护的Web应用的域名和后台IP地址组成的键值对;
(4)根据步骤(3)的判断结果做出对应的处理:如果判断HTTP请求为合法的,则根据配置文件将该请求转发到对应Web应用所在的后台服务器中;如果判断HTTP请求为不合法的,则不转发该请求,直接返回一个错误页面。
通过在单个或多个端口上运行流量分配模块,本发明可以实现如下三种流量定向分配模式:
(a)1对n分配:此流量分配方式表示拟态Web网关在1个特定端口上运行流量分配模块,为n个Web应用提供防护;客户端访问任意Web应用时必须通过拟态Web网关的该特定端口,然后由拟态Web网关根据用户的配置将客户端的HTTP请求代理到对应Web应用所在的服务器上;
(b)m对1分配:此流量分配方式表示拟态Web网关在m个端口上运行流量分配模块,为1个Web应用提供防护;客户端访问该Web应用时可以通过拟态Web网关m个端口中的任意一个,然后由拟态Web网关根据用户的配置将客户端的HTTP请求代理到Web应用所在的服务器上;
(c)m对n分配:此流量分配方式表示拟态Web网关在m个端口上运行流量分配模块,为n个Web应用提供防护;客户端访问任意Web应用时可以通过拟态Web网关m个端口中的任意一个端口,然后由拟态Web网关根据用户的配置将客户端的HTTP请求代理到Web应用所在的服务器上。
实施例
由于1对n分配和m对1分配都是m对n分配的特例,因此下面将以m对n分配为例说明如何使用本发明定向分配流量。为了简单而又不失一般性,我们假设m=3,n=3,三个Web应用的域名分别为www.aaa.com、www.bbb.com和www.ccc.com,Web应用所在服务器的IP地址分别为192.168.0.1、192.168.0.2和192.168.0.3。
首先配置拟态Web网关的第1个端口,令流量分配模块监听8000端口,并转发Web应用1和Web应用2的流量。为此在流量分配模块的配置文件中加入以下内容:
Figure BDA0002173987120000041
接下来配置拟态Web网关的第2个端口,令流量分配模块监听8001端口,并转发Web应用2和Web应用3的流量。为此在流量分配模块的配置文件中加入以下内容:
Figure BDA0002173987120000042
最后配置拟态Web网关的第3个端口,令流量分配模块监听8002端口,并转发Web应用1和Web应用3的流量。为此在流量分配模块的配置文件中加入以下内容:
Figure BDA0002173987120000043
通过以上配置,拟态Web网关就能够为3个Web应用提供防护了,此时可以通过拟态Web网关的8000端口和8002端口访问Web应用1,通过8000端口和8001端口访问Web应用2,通过8001端口和8002端口访问Web应用3。

Claims (3)

1.一种拟态Web网关多应用流量定向分配方法,其特征在于,通过在单个或多个端口上运行流量分配模块,实现以下三种流量定向分配模式:
(1)拟态Web网关在1个特定端口上运行流量分配模块,为n个Web应用提供防护;客户端访问任意Web应用时必须通过拟态Web网关的该特定端口,然后由拟态Web网关根据用户的配置将客户端的HTTP请求代理到对应Web应用所在的服务器上;
(2)拟态Web网关在m个端口上运行流量分配模块,为1个Web应用提供防护;客户端访问该Web应用时通过拟态Web网关m个端口中的任意一个,然后由拟态Web网关根据用户的配置将客户端的HTTP请求代理到Web应用所在的服务器上;
(3)拟态Web网关在m个端口上运行流量分配模块,为n个Web应用提供防护;客户端访问任意Web应用时通过拟态Web网关m个端口中的任意一个端口,然后由拟态Web网关根据用户的配置将客户端的HTTP请求代理到Web应用所在的服务器上。
2.根据权利要求1所述拟态Web网关多应用流量定向分配方法,其特征在于,所述流量分配模块通过监听固定的端口来处理拟态Web网关接收到的HTTP请求,包括以下步骤:
(2.1)对于拟态Web网关接收到的HTTP请求数据包,从HTTP请求头中提取出该请求的URL;
(2.2)从步骤(2.1)提取的URL中提取HTTP请求的域名;
(2.3)在合法的域名集合中查找步骤(2.2)提取的HTTP请求的域名是否存在,如存在则认为该HTTP请求合法,否则认为该HTTP请求不合法;
(2.4)根据步骤(2.3)的判断结果做出对应的处理:如果判断HTTP请求为合法的,则根据配置文件将该请求转发到对应Web应用所在的后台服务器中;如果判断HTTP请求为不合法的,则不转发该请求,直接返回一个错误页面。
3.根据权利要求2所述拟态Web网关多应用流量定向分配方法,其特征在于,所述步骤(2.3)中合法的域名集合从配置文件中获取;所述配置文件中保存了受拟态Web网关保护的Web应用的域名和后台IP地址组成的键值对。
CN201910772335.8A 2019-08-21 2019-08-21 一种拟态Web网关多应用流量定向分配方法 Active CN110581843B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910772335.8A CN110581843B (zh) 2019-08-21 2019-08-21 一种拟态Web网关多应用流量定向分配方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910772335.8A CN110581843B (zh) 2019-08-21 2019-08-21 一种拟态Web网关多应用流量定向分配方法

Publications (2)

Publication Number Publication Date
CN110581843A CN110581843A (zh) 2019-12-17
CN110581843B true CN110581843B (zh) 2020-12-15

Family

ID=68811608

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910772335.8A Active CN110581843B (zh) 2019-08-21 2019-08-21 一种拟态Web网关多应用流量定向分配方法

Country Status (1)

Country Link
CN (1) CN110581843B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111866030B (zh) * 2020-09-21 2021-01-05 之江实验室 一种拟态边缘网关的工业协议识别装置及方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104519062A (zh) * 2014-12-17 2015-04-15 深圳市航盛电子股份有限公司 一种创建多对socket端口连接的方法及系统

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102130797B (zh) * 2011-03-17 2013-10-02 国家广播电影电视总局广播科学研究院 网络测试方法及装置
CN103457843A (zh) * 2012-05-30 2013-12-18 阿里巴巴集团控股有限公司 通信方法和系统、中继网关装置、应用服务器和客户端
CN104951711B (zh) * 2015-06-24 2017-11-07 浙江大学 一种保护web应用安全的网站结构拟态方法
CN104994104B (zh) * 2015-07-06 2018-03-16 浙江大学 基于web安全网关的服务器指纹拟态和敏感信息拟态方法
CN106411937B (zh) * 2016-11-15 2017-12-29 中国人民解放军信息工程大学 基于拟态防御架构的零日攻击检测、分析和响应系统及其方法
CN106534198B (zh) * 2016-12-22 2019-10-08 深圳市艾森魏尔科技有限公司 一种智能家居网关和控制端在局域网多对多通信方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104519062A (zh) * 2014-12-17 2015-04-15 深圳市航盛电子股份有限公司 一种创建多对socket端口连接的方法及系统

Also Published As

Publication number Publication date
CN110581843A (zh) 2019-12-17

Similar Documents

Publication Publication Date Title
CN114095198B (zh) 用于网络安全应用的高效加密sni过滤的方法和系统
US7039721B1 (en) System and method for protecting internet protocol addresses
US7900240B2 (en) Multilayer access control security system
EP3270564B1 (en) Distributed security provisioning
US7260639B2 (en) Method and system for protecting web sites from public internet threats
US10505985B1 (en) Hostname validation and policy evasion prevention
EP2715522B1 (en) Using dns communications to filter domain names
US8549646B2 (en) Methods, media and systems for responding to a denial of service attack
US8060927B2 (en) Security state aware firewall
CN111034150A (zh) 高效ssl/tls代理
US20110154477A1 (en) Dynamic content-based routing
US20070022474A1 (en) Portable firewall
EP4022876B1 (en) Preventing a network protocol over an encrypted channel, and applications thereof
JP5864598B2 (ja) ユーザにサービスアクセスを提供する方法およびシステム
Rajendran DNS amplification & DNS tunneling attacks simulation, detection and mitigation approaches
Wankhede Study of network-based DoS attacks
US7047564B2 (en) Reverse firewall packet transmission control system
CN110581843B (zh) 一种拟态Web网关多应用流量定向分配方法
US20160205135A1 (en) Method and system to actively defend network infrastructure
Jadhav et al. Detection and mitigation of ARP spoofing attack
Ali et al. Software defined network (SDN) security against address resolution protocol poisoning attack
Radha et al. DEEPAV2: A DNS monitor tool for prevention of public IP DNS rebinding attack
Rietz Optimization of network intrusion detection processes
Ouyang et al. MLCC: A Multi Layered Correlative Control Mechanism for the VPN Topology
Rietz Optimization of Network Intrusion Detection Processes

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant