CN111931170A - 一种网站应用隔离防护系统 - Google Patents
一种网站应用隔离防护系统 Download PDFInfo
- Publication number
- CN111931170A CN111931170A CN202010681873.9A CN202010681873A CN111931170A CN 111931170 A CN111931170 A CN 111931170A CN 202010681873 A CN202010681873 A CN 202010681873A CN 111931170 A CN111931170 A CN 111931170A
- Authority
- CN
- China
- Prior art keywords
- service module
- module
- rendering
- remote browser
- docker
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及网站应用隔离防护技术领域,具体提出了一种网站应用隔离防护系统,该系统包括客户端框架模块、网关服务模块、DNS服务模块、远程浏览器服务模块和docker调度服务模块,本发明采用主动隔离防护方法,使用一个完全独立远程浏览器运行网站应用,并将运行结果转化为视觉协议发送到客户端浏览器展示,这样来实现动态脚本、api请求、用户状态、超链接、web服务器等信息的隐藏,攻击者就无法针对性地寻找漏洞攻击,本方案不采用检测机制,不判断行为的“好”或“坏”,在虚拟环境执行完就被销毁。
Description
技术领域
本发明涉及网站应用隔离防护技术领域,具体为一种网站应用隔离防护系统。
背景技术
现在互联网上的web应用越来越多,随之出现的漏洞数量逐年递增,2017年上半年的漏洞数量已经超出了过去全年的漏洞总量;漏洞出现的速度越来越快,平均每月出现1335个,每天出现45个。
赛门铁克2017年互联网威胁报告中每天平均检测到229,000个基于Web的攻击,99.7%的网站都包含一个严重漏洞,Web应用中的平均漏洞数量为11个2017年,主流Web浏览器漏洞达到876个之多。
Kaspersky Web安全威胁分析报告中,在每天的业务中,不仅SQL注入、Cookie篡改等传统攻击手法带来非常大的困扰,同时不可避免的面对着各式各样扫描探测、路径遍历、暴力破解、网站数据窃取等攻击行为。
当前网站应用的安全防护主要是依赖WAF。WAF的核心原理,就是解析HTTP请求(协议解析模块),规则检测(规则模块),做不同的防御动作(动作模块),并将防御过程(日志模块)记录下来。而静态规则因为缺乏上下文理解,经常会出现未/误匹配的情况,往往在防御过程中被轻松绕过或者出现“杀敌一千、自损八百”的情况。WAF存在的问题:
基于“特征匹配原则”的传统防御思路,永远比不过新型的安全威胁如“zero-day”。
无法完全屏蔽攻击工具对网站的自动化攻击如Burpsuite、Fiddler、Wvs、SQLmap等。
源代码、API、爬虫、网页打印等操作难以防御,都会造成网站敏感数据的泄露。
策略宽泛会导致警报、误报多,太紧会影响业务。安全性与可用性难以平衡。同时定义防护策略也需要高水平的技术人员。
传统安全解決方案和威胁防护产品尝试区分出好与坏的內容或是白名单或黑名单,事实证明这些做法都存在问题。恶意软件开发人员已经证明他们可以规避各种安全设备的侦测。先进恶意软件现在有能力判断自己是否位位于沙箱境中,能在被拦截或被分析之前就自行刪除。
发明内容
本发明的目的在于提供一种网站应用隔离防护系统,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种网站应用隔离防护系统,该系统包括客户端框架模块、网关服务模块、DNS服务模块、远程浏览器服务模块和docker调度服务模块;
所述客户端框架模块分别与网关服务模块、远程浏览器服务模块以及docker调度服务模块电性连接,所述远程浏览器服务模块与docker调度服务模块电性连接,所述DNS服务模块与远程浏览器服务模块电性连接。
优选的,所述客户端框架模块用于解密流量并重新渲染网页,抓取键盘和鼠标事件并发送到远程浏览器服务模块中。
优选的,所述网关服务模块用于对流量进行合法验证、改写、重定向。
优选的,所述DNS服务模块用于对内部的私有域名进行解析,并可以确保原有的web应用不进行任何的改动就可以直接加入web隔离防护。
优选的,所述远程浏览器服务模块用于获取web应用的资源,在执行之后提取web应用的渲染结果,并对渲染结果进行编码,并通过websocket协议发送给客户端框架模块进行渲染;所述远程浏览器服务模块还用于接收websocket发送过来的键盘鼠标事件,并将键盘和鼠标事件转化为页面渲染变化,并在客户端框架模块进行重新渲染。
优选的,所述docker调度服务模块用于为每一个真实的用户访问分配一个独立隔离的docker容器,用户的操作都会在容器中执行并得到结果,用户访问结束之后,容器就会被销毁,同时物理删除容器中的所有数据。
与现有技术相比,本发明的有益效果是:
(1)本方案采用主动隔离防护方法,使用一个完全独立远程浏览器运行网站应用,并将运行结果转化为视觉协议发送到客户端浏览器展示。这样来实现动态脚本、api请求、用户状态、超链接、web服务器等信息的隐藏;
(2)本方案中隔离防护方法不采用检测机制,不判断行为的“好”或“坏”,在虚拟环境执行完就被销毁;
(3)本方案中隔离防护方法把原网站的链接屏蔽了,这样爬虫就无法爬取信息,自动化扫描攻击就无用武之地;该方法把api请求隐藏了,攻击者就无法伪造请求进行攻击;该方法把动态脚本隐藏了,攻击者就无法针对性地寻找漏洞攻击。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明中防护系统的工作流程图;
图2为本发明中防护系统的模块框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
参见图2,本发明提供一种网站应用隔离防护系统,该系统包括客户端框架模块、网关服务模块、DNS服务模块、远程浏览器服务模块和docker调度服务模块;
客户端框架模块分别与网关服务模块、远程浏览器服务模块以及docker调度服务模块电性连接,远程浏览器服务模块与docker调度服务模块电性连接,DNS服务模块与远程浏览器服务模块电性连接。
其中,客户端框架模块用于解密流量并重新渲染网页,抓取键盘和鼠标事件并发送到远程浏览器服务模块中;网关服务模块用于对流量进行合法验证、改写、重定向;DNS服务模块用于对内部的私有域名进行解析,并可以确保原有的web应用不进行任何的改动就可以直接加入web隔离防护;远程浏览器服务模块用于获取web应用的资源,在执行之后提取web应用的渲染结果,并对渲染结果进行编码,并通过websocket协议发送给客户端框架模块进行渲染;远程浏览器服务模块还用于接收websocket发送过来的键盘鼠标事件,并将键盘和鼠标事件转化为页面渲染变化,并在客户端框架模块进行重新渲染;docker调度服务模块用于为每一个真实的用户访问分配一个独立隔离的docker容器,用户的操作都会在容器中执行并得到结果,用户访问结束之后,容器就会被销毁,同时物理删除容器中的所有数据。
参阅附图1,本方案工作步骤如下:
1、用户在浏览器中输入域名访问web应用,将访问流量发送到我们的网关服务器
2、网关服务器将用户的流量进行劫持,并发回我们的客户端框架代码
3、客户端浏览器拿到客户端框架代码之后开始执行框架代码
4、发送请求获取一个独立隔离的容器环境
5、与容器环境中的远程浏览器建立websocket连接
6、客户端与远程浏览器进行交互,接收渲染流量并进行重新渲染,发送事件给远程浏览器进行执行。
在本说明书的描述中,参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。
Claims (6)
1.一种网站应用隔离防护系统,其特征在于,该系统包括客户端框架模块、网关服务模块、DNS服务模块、远程浏览器服务模块和docker调度服务模块;
所述客户端框架模块分别与网关服务模块、远程浏览器服务模块以及docker调度服务模块电性连接,所述远程浏览器服务模块与docker调度服务模块电性连接,所述DNS服务模块与远程浏览器服务模块电性连接。
2.根据权利要求1所述的一种网站应用隔离防护系统,其特征在于:所述客户端框架模块用于解密流量并重新渲染网页,抓取键盘和鼠标事件并发送到远程浏览器服务模块中。
3.根据权利要求1所述的一种网站应用隔离防护系统,其特征在于:所述网关服务模块用于对流量进行合法验证、改写、重定向。
4.根据权利要求1所述的一种网站应用隔离防护系统,其特征在于:所述DNS服务模块用于对内部的私有域名进行解析,并可以确保原有的web应用不进行任何的改动就可以直接加入web隔离防护。
5.根据权利要求1所述的一种网站应用隔离防护系统,其特征在于:所述远程浏览器服务模块用于获取web应用的资源,在执行之后提取web应用的渲染结果,并对渲染结果进行编码,并通过websocket协议发送给客户端框架模块进行渲染;所述远程浏览器服务模块还用于接收websocket发送过来的键盘鼠标事件,并将键盘和鼠标事件转化为页面渲染变化,并在客户端框架模块进行重新渲染。
6.根据权利要求1所述的一种网站应用隔离防护系统,其特征在于:所述docker调度服务模块用于为每一个真实的用户访问分配一个独立隔离的docker容器,用户的操作都会在容器中执行并得到结果,用户访问结束之后,容器就会被销毁,同时物理删除容器中的所有数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010681873.9A CN111931170A (zh) | 2020-07-15 | 2020-07-15 | 一种网站应用隔离防护系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010681873.9A CN111931170A (zh) | 2020-07-15 | 2020-07-15 | 一种网站应用隔离防护系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111931170A true CN111931170A (zh) | 2020-11-13 |
Family
ID=73313742
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010681873.9A Pending CN111931170A (zh) | 2020-07-15 | 2020-07-15 | 一种网站应用隔离防护系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111931170A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112491974A (zh) * | 2020-11-11 | 2021-03-12 | 恒安嘉新(北京)科技股份公司 | 远程浏览方法、装置、存储介质、终端设备及服务器 |
| CN112836161A (zh) * | 2021-01-29 | 2021-05-25 | 北京钛星数安科技有限公司 | 一种实现在远程浏览器系统的高速渲染方法 |
| CN113641934A (zh) * | 2021-08-05 | 2021-11-12 | 吕波 | 一种用于网站安全访问的隔离防御系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102843394A (zh) * | 2011-06-22 | 2012-12-26 | 腾讯科技(深圳)有限公司 | 网络应用的框架装置及运行方法 |
| CN104704448A (zh) * | 2012-08-31 | 2015-06-10 | 思杰系统有限公司 | 本地和远程计算环境之间的反向无缝集成 |
| CN109587122A (zh) * | 2018-11-20 | 2019-04-05 | 四川长虹电器股份有限公司 | 基于WAF系统功能实现自我保障Web子系统安全的系统及方法 |
-
2020
- 2020-07-15 CN CN202010681873.9A patent/CN111931170A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102843394A (zh) * | 2011-06-22 | 2012-12-26 | 腾讯科技(深圳)有限公司 | 网络应用的框架装置及运行方法 |
| CN104704448A (zh) * | 2012-08-31 | 2015-06-10 | 思杰系统有限公司 | 本地和远程计算环境之间的反向无缝集成 |
| CN109587122A (zh) * | 2018-11-20 | 2019-04-05 | 四川长虹电器股份有限公司 | 基于WAF系统功能实现自我保障Web子系统安全的系统及方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112491974A (zh) * | 2020-11-11 | 2021-03-12 | 恒安嘉新(北京)科技股份公司 | 远程浏览方法、装置、存储介质、终端设备及服务器 |
| CN112836161A (zh) * | 2021-01-29 | 2021-05-25 | 北京钛星数安科技有限公司 | 一种实现在远程浏览器系统的高速渲染方法 |
| CN113641934A (zh) * | 2021-08-05 | 2021-11-12 | 吕波 | 一种用于网站安全访问的隔离防御系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Zhang et al. | Crawlphish: Large-scale analysis of client-side cloaking techniques in phishing | |
| Melicher et al. | Riding out domsday: Towards detecting and preventing dom cross-site scripting | |
| US9973519B2 (en) | Protecting a server computer by detecting the identity of a browser on a client computer | |
| CA2966408C (en) | A system and method for network intrusion detection of covert channels based on off-line network traffic | |
| US8949990B1 (en) | Script-based XSS vulnerability detection | |
| Kartaltepe et al. | Social network-based botnet command-and-control: emerging threats and countermeasures | |
| CN102104601B (zh) | 一种基于渗透技术的web漏洞扫描方法和漏洞扫描器 | |
| Kirda et al. | Client-side cross-site scripting protection | |
| Liao et al. | Application layer DDoS attack detection using cluster with label based on sparse vector decomposition and rhythm matching | |
| US20190222607A1 (en) | System and method to detect and block bot traffic | |
| CN111931170A (zh) | 一种网站应用隔离防护系统 | |
| US20190222587A1 (en) | System and method for detection of attacks in a computer network using deception elements | |
| Cui et al. | A survey on xss attack detection and prevention in web applications | |
| CN111464526A (zh) | 一种网络入侵检测方法、装置、设备及可读存储介质 | |
| Zhang et al. | Detecting malicious activities with user‐agent‐based profiles | |
| Samarasinghe et al. | On cloaking behaviors of malicious websites | |
| Malviya et al. | Development of web browser prototype with embedded classification capability for mitigating Cross-Site Scripting attacks | |
| Baykara et al. | A novel hybrid approach for detection of web-based attacks in intrusion detection systems | |
| Roy et al. | A large-scale analysis of phishing websites hosted on free web hosting domains | |
| Priyadarshini et al. | A cross platform intrusion detection system using inter server communication technique | |
| Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
| US20220210180A1 (en) | Automated Detection of Cross Site Scripting Attacks | |
| Takata et al. | Website forensic investigation to identify evidence and impact of compromise | |
| Takata et al. | Fine-grained analysis of compromised websites with redirection graphs and javascript traces | |
| Chen et al. | A proactive approach to intrusion detection and malware collection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |