CN113641934A - 一种用于网站安全访问的隔离防御系统 - Google Patents
一种用于网站安全访问的隔离防御系统 Download PDFInfo
- Publication number
- CN113641934A CN113641934A CN202110899321.XA CN202110899321A CN113641934A CN 113641934 A CN113641934 A CN 113641934A CN 202110899321 A CN202110899321 A CN 202110899321A CN 113641934 A CN113641934 A CN 113641934A
- Authority
- CN
- China
- Prior art keywords
- micro
- module
- user client
- container
- web
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/958—Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及网站安全访问技术领域,公开了一种用于网站安全访问的隔离防御系统,包括管理控制模块,Web代理模块,隔离编排模块,微容器模块;管理控制模块,预分配用户客户端对应的帐号与密码,并建立帐号与远程浏览器类型的关联,远程浏览器类型与微容器模块进行关联;Web代理模块,接收来自用户客户端浏览器访问Web网站的流量,对用户客户端预分配帐号的真实性进行验证,验证通过后,放行用户客户端访问Web网站的流量;隔离编排模块,为用户客户端分配独立且与用户客户端完全隔离的微容器环境,并提供单独的远程浏览器;微容器模块,用户客户端浏览器通过微容器模块发布的远程浏览器访问Web网站。本发明通过隔离技术达到净化用户访问Web网站流量,有效防御Web威胁的目的。
Description
技术领域
本发明涉及网站安全访问技术领域,具体公开了一种用于网站安全访问的隔离防御系统。
背景技术
过去30多年来,互联网无疑给世界带来了革命性的转变,浏览器的易用性为个人,尤其是企业带来了前所未有的生产力提高,然而每天都有新的Web网站涌现,随着当今恶意软件的爆炸式增长,Web服务日益成为网络攻击的重点目标,DNS攻击、暴力破解、零日漏洞利用、高级持续性攻击依然让网站弱不禁风,数据泄露、网页篡改、网页挂马、钓鱼攻击、拒绝服务、敏感信息泄露等安全事件频繁出现,而企业员工通过浏览器访问Web网站可能导致恶意软件、勒索软件运行,甚至触发零日攻击,面对大量网页中潜在的网络威胁动态变化。
据统计,多达40%的基于Web的恶意软件是零日攻击威胁,2020年上半年中国互联网安全报告显示,相关机构监测并拦截Web应用攻击42.24亿次,为2019年同期的9倍,攻击数量呈爆发式增长,近50%的Web应用攻击集中在政府机构和零售业,占比26.29%,零售业位居第二,占比23.23%,调查还发现60%的企业在某个时候因员工使用终端浏览器浏览网页而直接感染勒索软件、其他恶意软件或其他威胁,30%的的企业因遭受其攻击导致数据丢失。
这些攻击的传播途径来自于员工办公电脑上的浏览器,由于浏览器原生漏洞超过300个,随时都会产生新的漏洞,每个浏览器厂商的产品都有几十个,当前企业Web网站的防御主要依靠基于签名的传统应用攻击防护系统,对HTTP协议实现了自解析,可能存在与Web服务器对HTTP请求的理解不一致从而导致攻击绕过,在误杀和漏报之间不能很好的平衡,解析太过细化又存在可轻易被欺骗导致绕过的特点,加之当今网络攻击最危险的攻击向量往往藏匿于HTTPS加密流量当中,导致企业安全管理者无法通过传统的应用攻击防护系统阻止威胁,如偷渡式下载,合法站点上嵌入恶意软件以及恶意广告,浏览器插件,特别是应对越来越多的零日攻击。企业需要一种具有成本效益的方法来降低这些安全风险,以平衡员工对Web网站访问的需求,同时从根本上转变如何抵御易受攻击的浏览器和Web网站,因此,提供一种用于网站安全访问的隔离防御系统,用于解决上述背景技术所描述的问题。
发明内容
本发明意在提供一种用于网站安全访问的隔离防御系统,用于解决上述背景技术所描述的问题。
为了达到上述目的,本发明的基础方案如下:一种用于网站安全访问的隔离防御系统,包括管理控制模块,Web代理模块,隔离编排模块,微容器模块;管理控制模块,预分配对应的帐号与密码,并建立帐号与远程浏览器类型的关联,远程浏览器类型与微容器模块进行关联;Web代理模块,接收来自用户客户端浏览器访问Web网站的流量,对用户客户端预分配帐号的真实性进行验证,验证通过后,放行用户客户端访问Web网站的流量;隔离编排模块,为用户客户端分配独立且与用户客户端完全隔离的微容器环境,并提供单独的远程浏览器;微容器模块,用户客户端浏览器通过微容器模块发布的远程浏览器访问Web网站。
进一步,管理控制模块包括帐号管理和策略管理组件;帐号管理组件,为每个用户客户端预分配对应的帐号与密码,并建立帐号与远程浏览器类型的关联,远程浏览器类型与微容器模块进行关联;策略管理组件,用于用户客户端对Web网站访问控制策略,基于B/S架构提供系统管理员访问和配置界面,并受密码保护。
有益效果:用于客户端对Web网站访问建立身份认证机制,形成控制策略,如白名单、黑名单、剪贴板权限、文件下载。
进一步,Web代理模块,提供WebSocket通讯协议且通过该协议发送客户端用户的键盘输入、鼠标和滚轮操作事件到微容器环境,同时将在微容器环境的远程浏览器访问Web网站的画面传递给用户客户端浏览器。
进一步,隔离编排模块,用于HTML布局、标记、格式和页面管理以及每个微容器环境的创建和销毁,每个浏览会话结束时自动物理销毁微容器环境数据和浏览环境数据。
有益效果:确保每个远程浏览器会话始终可用以满足操作浏览需求,每个浏览会话结束时自动物理销毁微容器和浏览环境数据,因此,如果用户遇到任何恶意文件,则在远程会话结束时将其清除,当用户再次连接到微容器时,将获得干净的新容器,其中没有任何恶意软件。
进一步,容器模块包含Web渲染组件和远程浏览器组件;Web渲染组件,提取访问Web网站的画面进行图像信息渲染,并通过WebSocket通讯协议传递给用户客户端画面,用户并不接收数据;执行管理控制模块下发的策略指令,如不允许访问某些网站,或不允许将微容器环境交互的数据粘贴到用户客户端环境中。
有益效果:确保访问过程中的防止恶意软件传播到用户终端环境。
本发明的原理以及有益效果:(1)现有基于签名的传统应用攻击防护系统,因为无法穷举和无法实时验证Web网站的安全性,无法解决终端感染恶意软件或Web网站被攻击,本系统采用了将用户访问Web网站的位置在与其终端相隔离的微容器环境中,在每个微容器环境中开启远程浏览器将网站呈现为安全的媒体流,反馈图像画面到终端用户的浏览器,提供自然的交互式用户体验,由于用户的所有操作都与终端隔离,从根本上改变了企业保护用户终端、数据和关键业务系统免受基于Web威胁(恶意软件、勒索软件运行,零日攻击等)的方式,防御效果达到100%。
(2)本系统引入帐号(即身份)验证的概念,对客户端访问Web网站前对其进行身份验证,为非法入侵者设置了一道屏障。
(3)本系统使用了无客户端的远程隔离技术,所以无需在用户客户端使用加载任何终端插件,并且兼容PC、Mac、iOS、Android、Linux端点设备。
(4)本系统为用户提供一次性浏览器环境,一旦浏览会话关闭,整个浏览器环境将重置为已知的良好状态,因此,无论是否检测到任何攻击威胁,都可以防止在该会话期间遇到的任何恶意代码到达用户终端或在网络中持续存在,通过这种方式可主动应对已知,未知和零日威胁,有效地补充了其他的安全措施,并为Web安全提供了深度防御的分层方法。
当然,实施申请的方案并不一定需要同时达到以上所述的所有技术效果。
附图说明
图1为本发明实施例中用于网站安全访问的隔离防御系统的视图;
图2为本发明实施例中用于网站安全访问的隔离防御系统的工作视图。
具体实施方式
面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
在本发明的描述中,需要理解的是,术语“上”、“下”、“前”、“后”、“左”、“右”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
实施例:
基本如附图1和附图2所示,一种用于网站安全访问的隔离防御系统,包括管理控制模块,Web代理模块,隔离编排模块,微容器模块,管理控制模块包括帐号管理组件和策略管理组件,微容器模块包含Web渲染组件和远程浏览器组件。
帐号管理组件为每个客户端预分配对应的帐号与密码,并建立帐号与远程浏览器类型的关联,远程浏览器类型与微容器进行关联;策略管理组件,用于客户端对Web网站访问控制策略,如白名单、黑名单、剪贴板权限、文件下载;基于B/S架构提供系统管理员访问和配置界面,并受密码保护。
Web代理模块接收来自客户端浏览器访问Web网站的流量,对客户端预分配帐号的真实性进行验证,验证通过后,放行客户端访问Web网站的流量。提供WebSocket通讯协议,可通过该协议发送客户端用户的键盘输入、鼠标和滚轮操作事件到微容器环境,同时将在微容器环境远程浏览器访问Web网站的画面传递给客户端浏览器。
隔离编排模块,作为该系统微容器的灵活虚拟资源运行编排引擎,为每个客户端分配独立且与客户端完全隔离的容器环境,提供单独的远程浏览器,其HTML布局、标记、格式、页面管理,以及每个微容器的创建和销毁由隔离编排模块维护,确保每个远程浏览器会话始终可用以满足操作浏览需求,每个浏览会话结束时自动物理销毁微容器和浏览环境数据,因此,如果用户遇到任何恶意文件,则在远程会话结束时将其清除,当用户再次连接到微容器时,将获得干净的新容器,其中没有任何恶意软件。
微容器模块,是一个单独的容器环境,提供用户客户端所需的远程浏览器,使用Web渲染组件,提取访问Web网站的画面进行图像信息渲染,并通过WebSocket通讯协议传递给用户客户端画面,用户并不接收数据;执行管理控制模块下发的策略指令,如不允许访问某些网站,或不允许将微容器交互的数据粘贴到客户端环境中。
一种用于网站安全访问的隔离防御系统的防御方法,包括如下步骤:
步骤一:管理控制模块的帐号组件为客户端分配用户帐号和密码,建立帐号与微容器远程浏览器类型的对应关系,远程浏览器类型由本系统管理员定义,可以是Firefox,Chrome或者其他浏览器类型,策略管理组件,用于客户端对Web网站访问控制策略,如白名单、黑名单、剪贴板权限、文件下载;基于B/S架构提供系统管理员访问和配置界面,并受密码保护。
步骤二:用户在用户客户端浏览器中输入Web网站地址,其访问流量通过网络传递到本系统的WEB代理模块。
步骤三:WEB代理模块将用户的流量发回用户的客户端浏览器,并弹出帐号和密码验证的输入框。
步骤四:用户输入正确的帐号和密码验证通过后,发送请求获取微容器环境。
步骤五:隔离编排模块为用户创建独立运行的微容器环境,并提供远程浏览器。
步骤六:微容器模块通过Web渲染引擎与Web代理模块的WebSocket协议建立通信。
步骤七:用户使用远程浏览器访问Web网站,接收Web网站流量并进行图像信息渲染,通过WebSocket传递给客户端用户画面。
以上所述的仅是本发明的实施例,方案中公知的具体结构和/或特性等常识在此未作过多描述。应当指出,对于本领域的技术人员来说,在不脱离本发明结构的前提下,还可以作出若干变形和改进,这些也应该视为本发明的保护范围,这些都不会影响本发明实施的效果和专利的实用性。本申请要求的保护范围应当以其权利要求的内容为准,说明书中的具体实施方式等记载可以用于解释权利要求的内容。
Claims (5)
1.一种用于网站安全访问的隔离防御系统,其特征在于:包括管理控制模块,Web代理模块,隔离编排模块,微容器模块;
管理控制模块,预分配对应的帐号与密码,并建立帐号与远程浏览器类型的关联,远程浏览器类型与微容器模块进行关联;
Web代理模块,接收来自用户客户端浏览器访问Web网站的流量,对用户客户端预分配帐号的真实性进行验证,验证通过后,放行用户客户端访问Web网站的流量;
隔离编排模块,为用户客户端分配独立且与用户客户端完全隔离的微容器环境,并提供单独的远程浏览器;
微容器模块,用户客户端浏览器通过微容器模块发布的远程浏览器访问Web网站。
2.根据权利要求1所述的用于网站安全访问的隔离防御系统,其特征在于:管理控制模块包括帐号管理和策略管理组件;
帐号管理组件,为每个用户客户端预分配对应的帐号与密码,并建立帐号与远程浏览器类型的关联,远程浏览器类型与微容器模块进行关联;
策略管理组件,用于用户客户端对Web网站访问控制策略,基于B/S架构提供系统管理员访问和配置界面,并受密码保护。
3.根据权利要求2所述的用于网站安全访问的隔离防御系统,其特征在于:Web代理模块,提供WebSocket通讯协议且通过该协议发送客户端用户的键盘输入、鼠标和滚轮操作事件到微容器环境,同时将在微容器环境的远程浏览器访问Web网站的画面传递给用户客户端浏览器。
4.根据权利要求3所述的用于网站安全访问的隔离防御系统,其特征在于:隔离编排模块,用于HTML布局、标记、格式和页面管理以及每个微容器环境的创建和销毁,每个浏览会话结束时自动物理销毁微容器环境数据和浏览环境数据。
5.根据权利要求4所述的用于网站安全访问的隔离防御系统,其特征在于:微容器模块包含Web渲染组件和远程浏览器组件;
Web渲染组件,提取访问Web网站的画面进行图像信息渲染,并通过WebSocket通讯协议传递给用户客户端画面,用户并不接收数据;
执行管理控制模块下发的策略指令,如不允许访问某些网站,或不允许将微容器环境交互的数据粘贴到用户客户端环境中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110899321.XA CN113641934A (zh) | 2021-08-05 | 2021-08-05 | 一种用于网站安全访问的隔离防御系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110899321.XA CN113641934A (zh) | 2021-08-05 | 2021-08-05 | 一种用于网站安全访问的隔离防御系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113641934A true CN113641934A (zh) | 2021-11-12 |
Family
ID=78419873
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110899321.XA Pending CN113641934A (zh) | 2021-08-05 | 2021-08-05 | 一种用于网站安全访问的隔离防御系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113641934A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116167057A (zh) * | 2023-04-19 | 2023-05-26 | 国网江苏省电力有限公司信息通信分公司 | 基于关键代码语义检测的代码动态安全加载方法及装置 |
CN116827668A (zh) * | 2023-07-31 | 2023-09-29 | 江苏云涌电子科技股份有限公司 | 一种基于零信任架构的数据防泄漏系统及方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2792103A1 (en) * | 2011-12-16 | 2014-10-22 | Intel Corporation | Secure user attestation and authentication to a remote server |
CN104461499A (zh) * | 2014-10-30 | 2015-03-25 | 广东欧珀移动通信有限公司 | 设置默认应用的方法、装置及移动终端 |
CN111400704A (zh) * | 2020-03-20 | 2020-07-10 | 广州赛讯信息技术有限公司 | 实现web访问安全审计方法、装置、设备及计算机可读介质 |
CN111917742A (zh) * | 2020-07-15 | 2020-11-10 | 北京钛星数安科技有限公司 | 终端网页浏览隔离保护系统 |
CN111931170A (zh) * | 2020-07-15 | 2020-11-13 | 北京钛星数安科技有限公司 | 一种网站应用隔离防护系统 |
-
2021
- 2021-08-05 CN CN202110899321.XA patent/CN113641934A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2792103A1 (en) * | 2011-12-16 | 2014-10-22 | Intel Corporation | Secure user attestation and authentication to a remote server |
CN104461499A (zh) * | 2014-10-30 | 2015-03-25 | 广东欧珀移动通信有限公司 | 设置默认应用的方法、装置及移动终端 |
CN111400704A (zh) * | 2020-03-20 | 2020-07-10 | 广州赛讯信息技术有限公司 | 实现web访问安全审计方法、装置、设备及计算机可读介质 |
CN111917742A (zh) * | 2020-07-15 | 2020-11-10 | 北京钛星数安科技有限公司 | 终端网页浏览隔离保护系统 |
CN111931170A (zh) * | 2020-07-15 | 2020-11-13 | 北京钛星数安科技有限公司 | 一种网站应用隔离防护系统 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116167057A (zh) * | 2023-04-19 | 2023-05-26 | 国网江苏省电力有限公司信息通信分公司 | 基于关键代码语义检测的代码动态安全加载方法及装置 |
CN116167057B (zh) * | 2023-04-19 | 2023-07-28 | 国网江苏省电力有限公司信息通信分公司 | 基于关键代码语义检测的代码动态安全加载方法及装置 |
CN116827668A (zh) * | 2023-07-31 | 2023-09-29 | 江苏云涌电子科技股份有限公司 | 一种基于零信任架构的数据防泄漏系统及方法 |
CN116827668B (zh) * | 2023-07-31 | 2024-02-23 | 江苏云涌电子科技股份有限公司 | 一种基于零信任架构的数据防泄漏系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7752662B2 (en) | Method and apparatus for high-speed detection and blocking of zero day worm attacks | |
Sinha et al. | Information Security threats and attacks with conceivable counteraction | |
US20080222736A1 (en) | Scrambling HTML to prevent CSRF attacks and transactional crimeware attacks | |
US20070245137A1 (en) | HTTP cookie protection by a network security device | |
US20150082424A1 (en) | Active Web Content Whitelisting | |
Atashzar et al. | A survey on web application vulnerabilities and countermeasures | |
Gupta et al. | Taxonomy of cloud security | |
CN113641934A (zh) | 一种用于网站安全访问的隔离防御系统 | |
Jingyao et al. | Securing a network: how effective using firewalls and VPNs are? | |
Mary | Shellshock attack on linux systems-bash | |
Tomar et al. | Cyber Security Methodologies and Attack Management | |
Khandelwal et al. | Frontline techniques to prevent web application vulnerability | |
Iftikhar et al. | BOTNETs: A Network Security Issue | |
Desai et al. | System insecurity–firewalls | |
Sawyer | Potential threats and mitigation tools for Network Attacks | |
Tselios et al. | Improving Network, Data and Application Security for SMEs | |
Stoleriu et al. | Modern Cyber Security Attacks, Detection Strategies, and Countermeasures Procedures | |
Gregorio et al. | Hacking in the cloud | |
Hu | Security Problems and Countermeasures of Network Accounting Information System | |
Franklin | Protecting the web server and applications | |
Milind | Study Guide | |
Prasad et al. | Social Networking Sites | |
Bekzod | CYBERSECURITY: THREATS, CHALLENGES, SOLUTIONS | |
Kolawole et al. | Practical Approaches to Securing an IT Environment | |
Uda | Protocol and method for preventing attacks from the web |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |