CN113872929B - 基于动态域名的web应用安全防护方法、系统及服务器 - Google Patents

基于动态域名的web应用安全防护方法、系统及服务器 Download PDF

Info

Publication number
CN113872929B
CN113872929B CN202110938815.4A CN202110938815A CN113872929B CN 113872929 B CN113872929 B CN 113872929B CN 202110938815 A CN202110938815 A CN 202110938815A CN 113872929 B CN113872929 B CN 113872929B
Authority
CN
China
Prior art keywords
proxy
nodes
proxy node
client
list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110938815.4A
Other languages
English (en)
Other versions
CN113872929A (zh
Inventor
胡浩
宋莹炯
刘玉岭
刘桂林
周逸群
蒲志东
刘子涵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Information Engineering University of PLA Strategic Support Force
Original Assignee
Institute of Information Engineering of CAS
Information Engineering University of PLA Strategic Support Force
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS, Information Engineering University of PLA Strategic Support Force filed Critical Institute of Information Engineering of CAS
Priority to CN202110938815.4A priority Critical patent/CN113872929B/zh
Publication of CN113872929A publication Critical patent/CN113872929A/zh
Application granted granted Critical
Publication of CN113872929B publication Critical patent/CN113872929B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明属于互联网安全领域,特别涉及一种基于动态域名的web应用安全防护方法、系统及服务器,该系统包含:用于提供在线服务并允许身份认证通过的客户端用户进行访问的应用程序服务器,由分布式计算机组成并通过在计算机上部署代理服务软件来代理转发客户端和服务器之间数据流量的代理节点,用于对客户端用户进行身份认证并对认证通过的用户分配有效代理节点的认证服务器,用于检测和收集用户异常行为并触发认证服务器重新动态分配有效代理节点至异常用户的管理服务器,及围绕应用程序服务器设置并用于利用有效代理节点列表来限制入站流量的多路由器。本发明可阻断分布式拒绝服务攻击,保护租户正常访问web服务器,有效抵御外部DDos攻击和内部攻击。

Description

基于动态域名的web应用安全防护方法、系统及服务器
技术领域
本发明属于互联网安全领域,特别涉及一种基于动态域名的web应用安全防护方法、系统及服务器。
背景技术
随着互联网的发展,日常生活已经离不开Web应用,比如淘宝、12306买票、远程办公等。国际知名厂商Symantec的一项调查表明,世界上90%的漏洞是Web漏洞。Web应用安全问题成为了当前面临最大的安全隐患,例如SQL注入、跨站脚本、域名劫持、DDoS等主流攻击主要是针对Web系统,而目前Web应用配置的静态性使其容易遭受攻击。目前国内外针对Web系统的 DDoS攻击防御已有一定的研究,如:基于IP地址过滤的技术,该技术从用户分类的角度分析不同用户所表现出的流量特征,并针对不同用户采取不同的策略;将一个轻量级的DDoS攻击阻塞程序部署在SDN控制器上,该阻塞程序可区分合法用户和僵尸主机,将合法用户引至真实Web服务端口;根据目的IP地址熵的变化对SDN网络中的域名劫持攻击进行检测,取得了良好效果;使用一种名为Apache Spark的DDoS攻击检测和缓解技术,该技术可对DDoS攻击行为进行分析,然后通过控制器反馈分析结果,从而更好的进行针对性的防御;名为“MulitQ”的多队列SDN控制器调度算法,利用轮询机制处理不同交换机发送过来的流请求,该算法能在一定程度上缓解针对域名的攻击对内部SDN交换机的影响;利用SDN网络控制面和数据转发平面的工作原理,制定DDoS攻击防御策略,取得一定效果;及基于FlowRanger队列优先级的Web攻击检测算法,提高控制器防御分布式气绝服务攻击的能力。但上述的web系统防护方案需要对现有网络和/或部署的信息系统进行改造,增加开发部署成本。
发明内容
为此,本发明提供一种基于动态域名的web应用安全防护方法、系统及服务器,能够降低攻防双方的不对称地位对网络系统安全的影响和网络防御成本,保护web服务器正常访问和防止分布式拒绝服务(DDoS)攻击,能够通过认证服务器、代理节点、过滤器三道防线来形成纵深防护体系,有效抵御外部的DDos攻击和内部人员攻击。
按照本发明所提供的设计方案,一种基于动态域名的web应用安全防护系统,包含:用于提供在线服务并允许身份认证通过的客户端用户进行访问的应用程序服务器,由分布式计算机组成并通过在计算机上部署代理服务软件来代理转发客户端和服务器之间数据流量的代理节点,及用于防御系统内外部攻击的多级防护架构,所述多级防护架构包含:用于对客户端用户进行身份认证并对认证通过的用户分配有效代理节点的认证服务器,用于检测和收集用户异常行为并触发认证服务器重新动态分配有效代理节点至异常用户的管理服务器,及围绕应用程序服务器设置并用于通过利用有效代理节点列表来限制入站流量的多路由器。
作为本发明基于动态域名的web应用安全防护系统,进一步地,管理服务器通过设置在各代理节点上的监控程序检测代理节点域名信息是否存在泄漏风险及访问者用户异常信息。
作为本发明基于动态域名的web应用安全防护系统,进一步地,还包含:用于隔离内部共谋攻击的隔离模块,该隔离模块将代理节点按照预设比例划分为活动代理节点列表、混洗代理节点列表和预备代理节点列表,其中,活动代理节点列表用于存储开启代理服务并随机分配给客户端用户的活动代理节点,混洗代理节点列表用于存储未开启代理服务并在活动代理节点受攻击时为该活动代理节点客户端用户提供代理服务的混洗代理节点,预备代理节点列表用于存储未开启代理服务并对各代理节点受攻击时进行动态替换的预备代理节点,利用混洗代理节点并通过洗牌算法寻找共谋攻击者。
进一步地,本发明还提供一种基于动态域名的web应用安全防护方法,包含:针对客户端用户的访问请求,认证服务器对用户进行身份认证,并向认证通过的合法用户从代理节点池中随机分配代理节点,合法用户通过该代理节点获取应用程序服务器数据,代理节点和客户端用户之间形成多对一映射关系;同时,管理服务器监测代理节点及用户访问异常信息,并从代理节点列表中移除受攻击代理节点,身份认证服务器对使用该受攻击代理节点的合法用户重新分配有效代理节点;围绕应用程序服务器部署的过滤器对入站流量进行过滤,仅允许合法代理节点入站流量。
作为本发明基于动态域名的web应用安全防护方法,进一步地,多对一映射关系中,依据应用服务类型每个代理节点设置容纳至少1个客户端用户,每个客户端用户仅被指派到一个代理节点。
作为本发明基于动态域名的web应用安全防护方法,进一步地,将代理节点池中代理节点按照预设比例划分为活动代理节点列表、混洗代理节点列表和预备代理节点列表,其中,活动代理节点列表用于存储开启代理服务并随机分配给客户端用户的活动代理节点,混洗代理节点列表用于存储未开启代理服务并在活动代理节点受攻击时为该活动代理节点客户端用户提供代理服务的混洗代理节点,预备代理节点列表用于存储未开启代理服务并对各代理节点受攻击时进行动态替换的预备代理节点。
作为本发明基于动态域名的web应用安全防护方法,进一步地,将受攻击代理节点所属客户端用户通过混洗代理节点集中服务,利用洗牌算法寻找内部共谋攻击者,同时取消该代理节点用户权限。
作为本发明基于动态域名的web应用安全防护方法,进一步地,洗牌算法中,设置用于存储合法客户端用户的正常用户列表和用于存储异常行为客户端用户的可疑用户列表,管理服务器监测到代理节点受攻击时,将受攻击的代理节点所有客户端用户移出正常用户列表,从混洗代理节点列表中随机分配混洗代理节点至受攻击的代理节点客户端用户,并将受攻击的代理节点移出活动代理节点,对可疑用户列表中客户端用户进行筛查来查找出内部共谋攻击者。
作为本发明基于动态域名的web应用安全防护方法,进一步地,对可疑用户列表中客户端用户进行筛查中,通过管理服务器监测代理节点受攻击行为,寻找随机分配的混洗代理节点中受到攻击的代理节点客户端用户,并将未受攻击的混洗代理节点客户端用户重新纳入正常用户列表,从预备代理节点列表中随机选取代理节点分配给该重新纳入正常用户列表的客户端用户,该从预备代理节点列表中随机选取的代理节点移入活动代理节点列表,并再次从混洗代理节点列表中随机分配混洗代理节点至受攻击的代理节点客户端用户,迭代执行重复监测内容,直至查找出内部共谋攻击者。
本发明的有益效果:
本发明通过使用一组动态数据包间接代理客户端和服务器之间转发的数据流量,可以有效地阻止外部攻击者直接攻击网络基础设施的意图;对于内部共谋攻击者,可通过定时更换客户端与服务器之间的代理节点,来减轻内部攻击的风险并过滤掉假阳性客户端;且具有强大的可嵌入性,开发部署成本低,系统可随时扩展,具有较强的可行性。并进一步利用仿真实验表明,本案方案可以有效控制跳变开销,同时增强网络智能防御的动态性、欺骗性和对抗性,为网络主动防御提供思路和借鉴,具有较好的应用前景。
附图说明:
图1为实施例中基于动态域名的web应用安全防护系统框架示意;
图2为实施例中DMTD纵深防御原理示意;
图3为实施例中洗牌算法原理示意;
图4为实施例中过滤器配置流程示意;
图5为实施例中攻击速率对服务率的影响分析示意;
图6为实施例中响应时间与攻击速率对比结果示意;
图7为实施例中跳变资源消耗性能测试结果示意。
具体实施方式:
为使本发明的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本发明作进一步详细的说明。
本发明核心思想是通过移动要保护的对象来达到安全防护的预期目标。为了降低攻防双方的不对称地位对网络系统安全的影响和网络防御成本。本发明实施例,提供一种基于动态域名的web应用安全防护系统,包含:用于提供在线服务并允许身份认证通过的客户端用户进行访问的应用程序服务器,由分布式计算机组成并通过在计算机上部署代理服务软件来代理转发客户端和服务器之间数据流量的代理节点,及用于防御系统内外部攻击的多级防护架构,所述多级防护架构包含:用于对客户端用户进行身份认证并对认证通过的用户分配有效代理节点的认证服务器,用于检测和收集用户异常行为并触发认证服务器重新动态分配有效代理节点至异常用户的管理服务器,及围绕应用程序服务器设置并用于通过利用有效代理节点列表来限制入站流量的多路由器。
本案方案中,基于动态域名的动态防御(简称DMTD)采用移动目标保护策略,通过秘密的移动代理节点来代理所有客户端与受保护的服务器之间的访问请求。同时在服务器与路由器之间过滤器,只允许来自合法代理节点的访问请求,防止因服务器地址泄露造成的非法访问。
作为本发明实施例中基于动态域名的web应用安全防护系统,进一步地,管理服务器通过设置在各代理节点上的监控程序检测代理节点域名信息是否存在泄漏风险及访问者用户异常信息。
在目标环境不确定的情况下,攻击者通常先执行侦察攻击,即IP和端口扫描,以精确定位,随后实施DDos攻击目标。系统工作原理参见图1所示,应用程序服务器:提供了想要保护的在线服务(例如,在线银行,在线证券交易所,电子政务系统),并允许经过身份认证的客户进行访问。代理节点可以是一组动态的和分布式的计算机,每台部署有代理服务软件。认证服务器作为纵深防御的第一道防线,负责对客户端进行身份认证,通过认证后为客户端分配一个有效的代理节点。管理服务器作为纵深防御的第二道防线部署用户异常行为检测的服务端,收集所有异常客户的行为信息,发现异常用户随即触发域名跳变,使认证服务器重新分配给异常代理节点服务的正常用户一个合法有效的代理节点。过滤器作为纵深防御的第三道防线,由围绕应用服务器放置的多个路由器组成,仅允许来自有效代理节点列表的入站流量。
作为本发明实施例中基于动态域名的web应用安全防护系统,进一步地,还包含:用于隔离内部共谋攻击者的隔离模块,该隔离模块将代理节点按照预设比例划分为活动代理节点列表、混洗代理节点列表和预备代理节点列表,其中,活动代理节点列表用于存储开启代理服务并随机分配给客户端用户的活动代理节点,混洗代理节点列表用于存储未开启代理服务,并在活动代理节点受攻击时,为该活动代理节点客户端用户提供代理服务,预备代理节点列表指用于存储未开启代理服务,并对各代理节点受攻击时进行动态替换的预备代理节点,利用混洗代理节点并通过洗牌算法寻找与外部攻击进行共谋攻击的内部可疑客户端。
所有代理节点的域名信息都是“秘密”的,客户端只有在成功认证后才能获取代理节点的域名信息。代理节点在“移动”,一旦一个活动代理节点被攻击,它将停止代理服务,代理节点服务的客户端将被迁移至“混洗代理节点”。因而不仅使能够抵御外部DDoS攻击,而且可以发现并隔离向外部攻击者泄露秘密代理的客户端。当原始代理受到攻击时,通过将客户分配给新的“混洗代理节点”实现代理节点的移动和可疑客户端的隔离。
进一步地,基于上述的系统,本发明实施例还提供一种基于动态域名的web应用安全防护方法,包含:针对客户端用户的访问请求,认证服务器对用户进行身份认证,并向认证通过的合法用户从代理节点池中随机分配代理节点,合法用户通过该代理节点获取应用程序服务器数据,代理节点和客户端用户之间形成多对一映射关系;同时,管理服务器监测代理节点及用户访问异常信息,并从代理节点列表中移除受攻击代理节点,身份认证服务器对使用该受攻击代理节点的合法用户重新分配有效代理节点;围绕应用程序服务器部署的过滤器对入站流量进行过滤,仅允许合法代理节点入站流量。
通过使用一组动态数据包间接代理客户端和服务器之间转发的数据流量,可以有效地阻止外部攻击者直接攻击网络基础设施的意图。对于内部共谋攻击者,系统可以通过定时更换客户端与服务器之间的代理节点,来减轻内部攻击的风险并过滤掉无辜的客户端。
作为本发明实施例中基于动态域名的web应用安全防护方法,进一步地,多对一映射关系中,依据应用服务类型每个代理节点设置容纳至少1个客户端用户,每个客户端用户仅被指派到一个代理节点。进一步地,将代理节点池中代理节点按照预设比例划分为活动代理节点列表、混洗代理节点列表和预备代理节点列表,其中,活动代理节点列表用于存储开启代理服务并随机分配给客户端用户的活动代理节点,混洗代理节点列表用于存储未开启代理服务并在活动代理节点受攻击时为该活动代理节点客户端用户提供代理服务的混洗代理节点,预备代理节点列表用于存储未开启代理服务并对各代理节点受攻击时进行动态替换的预备代理节点。进一步地,将受攻击代理节点所属客户端用户通过混洗代理节点集中服务,利用洗牌算法寻找内部攻击者节点,同时取消该代理节点用户权限。
参见图2所示,应用服务器的域名地址对于客户端来说是秘密信息,客户端要访问应用服务器,首先需要向认证服务器进行身份认证(网络边界),通过认证后,认证服务器将会随机分配给合法客户端一个有效的代理节点域名,合法客户端就可以通过代理节点访问获取应用服务器的数据。当攻击者突破第一道防线(合法客户端可能会受到攻击者的攻击,并成为内部攻击者),通过非法的手段获取到有效的代理节点的域名时,应用服务器系统存在数据信息泄露的风险,此时管理服务器会通过分布在各个系统节点上的监控程序监测到对应的有效代理节点域名信息是否存在信息泄露的风险,并获取访问者的异常信息,管理服务器随后及时从有效的代理节点列表中移除存在泄露风险的代理节点,身份认证服务器对使用该代理节点的其他合法用户重新分配一个有效代理节点,存在泄露风险的代理节点开启流量分析反查,锁定造成泄露的用户访问信息,留下非法攻击的证据。当攻击者突破第二道防线,通过应用服务器的实际网络地址,并对应用服务器发起DDoS攻击,围绕部署在应用服务器的过滤器只允许合法代理节点的入站流量,有效的阻断了外部的异常访问。
由于攻击者只需要知道目标的域名或IP通过端口扫描获取开放端口即可发起DDos攻击,因此一种有效的防御方法是通过加密手段仅向合法客户端发送必要的代理节点的域名信息,合法客户端是经过管理服务器的认证的,加密手段保证了信息通信的机密性,客户端接收域名信息的时机有两种,一、分配的代理节点受到攻击,二、分配的代理节点超过有效运行时间。管理服务器对应发送新代理节点的域名信息。为了实现此目标,必须区分合法用户和攻击者。但是,IP欺骗、行为模仿、身份盗用和恶意软件感染等攻击情况下会增加检测难度。此外,合法客户端可能会受到攻击者劫持,并成为“内部攻击者”。因此,本案实施例中,用于检测隐藏于合法客户端的“内部攻击者”,DMTD的代理节点池中可分为空闲代理节点、服务代理节点、混洗代理节点,空闲代理节点在运行时动态替换受到攻击的代理节点。所有代理节点的域名对于非合法用户来说具有隐匿性。从客户端到代理节点的映射是多对一的关系,每个代理节点可以容纳多个相同应用的客户端,而每个客户端仅被指派到一个代理节点。如果代理节点受到攻击,它将被关闭,并且将激活位于不同网络位置的新空闲代理节点以进行替换。连接到受攻击的代理节点的所属客户端都将用混洗代理节点进行集中服务,直至找到“内部攻击者”。身份认证服务器可以将新的分配推送到受影响的客户端,也可以对客户端重新进行身份认证以确保安全。其中,将代理节点替换和客户端重新分配的总体过程可称为“域名变换”。利用秘密移动代理节点提高防御DDoS攻击的敏捷性和灵活性。相比一般的DdoS攻击方法,DMTD的代理节点始终保持机密和变换性。仅为合法认证的客户端分配代理,增强了防御大规模复杂攻击的敏捷性,同时减少了客户端对代理资源量的依赖
作为本发明实施例中基于动态域名的web应用安全防护方法,进一步地,洗牌算法中,设置用于存储合法客户端用户的正常用户列表和用于存储异常行为客户端用户的可疑用户列表,管理服务器监测到代理节点受攻击时,将受攻击的代理节点的所有客户端用户移出正常用户列表,从混洗代理节点列表中随机分配混洗代理节点至受攻击的代理节点客户端用户,并将受攻击的代理节点移出活动代理节点,对可疑用户列表中客户端用户进行筛查来查找内部共谋攻击者。
当攻击者通过社会工程学在内部可信任主机上植入控制程序,从而窃取合法客户端的身份信息进行身份认证,并窃听合法客户端的网络连接。一旦内部人员发现某些代理节点的IP 地址或者域名信息,他们将通知外部攻击者,由外部攻击者对这些暴露的代理节点进行DDoS 攻击,本案实施例中将这类攻击称为“内部协助DDoS攻击”的共谋攻击者。此类攻击会将严重威胁秘密代理节点的安全性。尽管可以即时进行域名的变换,代理节点的更换,但是始终无法确认受攻击的客户端,无法从源头上解决代理节点的安全性。当代理节点受到“共谋攻击”时,仅通过查看代理节点的攻击流量和连接数,无法确定哪些合法客户端是受到攻击者的入侵和监听,本案实施例中,通过利用洗牌算法,客户端代理洗牌混洗机制,以隔离“共谋攻击”,并确保尽可能多的合法客户端能够访问服务。
作为本发明实施例中基于动态域名的web应用安全防护方法,进一步地,对可疑用户列表中客户端用户进行筛查中,通过管理服务器监测代理节点受攻击行为,寻找随机分配的混洗代理节点中受到攻击的代理节点客户端用户,并将未受攻击的混洗代理节点客户端用户重新纳入正常用户列表,从预备代理节点列表中随机选取代理节点分配给该重新纳入正常用户列表的客户端用户,该从预备代理节点列表中随机选取的代理节点移入活动代理节点列表,并再次从混洗代理节点列表中随机分配混洗代理节点至受攻击的代理节点客户端用户,迭代执行重复监测内容,直至查找出内部共谋攻击者。
假设经过身份认证的合法用户有1000个,代理节点有100个,假设这1000个经过身份认证的合法用户只有一个用户被外部攻击者控制并试图发起DDos攻击,本文把这个用户称为“内部攻击者”。将这个100个代理节点按照1:1:8的比例分配活动代理节点,混洗代理节点和预备代理节点,其中,活动代理节点开启代理服务,用于随机分配给1000用户客户端;混洗代理节点未开启代理服务,用于当活动代理节点受攻击时为该代理节点服务的客户端提供代理服务,并通过洗牌算法找到实施共谋攻击的可疑客户端;预备代理节点未开启代理服务保证代理节点受攻击时进行快速的反应和保障。当攻击者通过“内部攻击者”,分析该用户访问应用客户端时的流量数据时,攻击者分析得到代理节点的地址信息,对代理节点进行了 DDOS攻击,动态防护系统通过部署在各个代理节点的监控程序,检测到该代理节点受到了攻击。此时对该受攻击的代理节点的所有用户(可疑用户组SuspiciousGroup)移出正常用户列表,进入可疑用户列表。混洗代理节点列表中的混洗代理节点随机分配给这些用户客户端(完成了一次跳变)。并将受攻击的代理节点移出活动代理节点。此时内部攻击者将共谋攻击者加入可疑用户列表,并拥有一个重新分配的混洗代理节点的地址。此时当内部攻击者共谋攻击者再次对重新分配的代理节点进行DDos攻击时,此时其他未受攻击的混洗代理节点服务的可疑用户可以证明不是要寻找的“内部攻击者”,将这些已经被排除疑点的用户重新纳入到正常用户列表,并从预备代理节点中随机选择一个代理节点a分配给这些用户,与此同时代理节点a移入活动代理节点列表。对于混洗代理节点中被受到攻击的代理节点所服务的用户再次重复操作5,随着可疑代理节点列表中的可疑代理节点数越来越少,“内部攻击者”将清洗出来,管理人员将及时取消“内部攻击者”的用户访问权限。此时再将混洗代理节点中随机选择一个未被攻击的代理节点从混洗代理节点移入预备代理节点列表并关闭代理服务。经过一系列的混洗,可在第一时间隔离可疑节点,进而得到“内部攻击者”,并对他取消了访问的权限,从而保护了应用服务器的安全。参见图3所示,客户端到代理的一轮混洗为及时隔离可疑的客户端。通过重复进行从客户到代理的洗牌,可以恢复大多数可信的合法的客户端,同时缩小可疑客户端的范围,直至找到“内部攻击者”。
为验证本案方案有效性,下面结合试验数据做进一步解释说明:
认证服务器,管理服务器和代理节点,web应用服务器部署在腾讯云上,客户端采用微信小程序,过滤器采用openWrt为智能路由器进行过滤。客户端采用微信小程序作为模拟的客户端,对需要安全防护的客户端进行改造,需认证服务器实现提供的客户端专用API接口,接入动态防御的系统服务。认证服务器采用centos7.6操作系统,部署基于springBoot架构的认证服务,并为客户端的接入提供各个安全服务API接口。管理服务器采用centos7.6操作系统,部署基于springBoot架构的java WebSocket通信服务端,控制系统的认证服务器及代理节点,通过WebSocket和国密SM4加密算法分发控制命令。代理节点服务器采用 centos7.6操作系统,模拟的5台代理节点服务器部署在腾讯云上,通过不同地域的ip地址进行有效的地址分割,增强ip地址关联破译的难度。部署基于springBoot架构的java WebSocket通信客户端管理服务器实时对代理节点进行有效的管控,是实现洗牌算法的理论基础。代理程序采用烧录openWrt智能软路由的RT5350单片机实现入站流量的精确管控,配置流程如图4所示。动态防护系统安全强度的分析如下:
1)跳变的地址空间,若跳变地址空间中IP地址池的数量为NIP。那么跳变地址空间数量为
|SvIP|=NIP(NIP-1)
其中除去IPSrc=PDst的情况。
当网络中存在nvIP个连接要进行网络跳变,则需要的地址空间大小为2nvIP,跳变后剩余的地址空间为|SvIP|-2nvIP。由跳变空间选择约束可知,若每次跳变有a|SvIP|地址被分配,α∈(0,1)一般取值为0.75,则跳变后未被使用的合理代理端数量为(1-α)|SvIP|。由 (1-α)|SvIP|≤|SvIP|-2nvIP
可得
当NIP=216时,本文方案可同时支持1.51×109个会话同时跳变。由于实际配置的内网中网络地址数量不会超过65535个,因此当内网所有地址同时跳变时,每个节点的跳变空间为2.30×104,具备足够大的跳变空间。
2)抗扫描攻击概率,假设网络中有nl个目标节点,节点空间为m,扫描宽度为w,扫描频度为1/TSCN,跳变频度为1/THP,则扫描的地址数量为ns=w·t/TSCN,ns≤m;扫描频度和跳变频率比为r=THP/TSCN。由于主动扫描绝大部分是通过非重复的均匀扫描收集活跃的主机节点信息,在静态网络中THP=∞,恶意敌手成功扫描到x个地址的概率服从超几何分布,恶意敌手成功实施扫描的概率为
在基于地址跳变的动态防护系统中,由于主机节点的地址发生跳变,经过时间T,跳变的地址数量为(取整),扫描到x个目标地址的概率近似服从地址空间为/>的超几何分布,恶意敌手成功实施扫描的概率可表示为
通过比较
令a=m-nl,b=nl-x,c=m,
因为c>a所以可知Y<0可知Pmoving-Pstatic<0,本方案相较于静态网络防御方法,可有效降低恶意敌手成功扫描的概率。
为测试本案方案有效性,通过模拟一次完整的针对Web服务器的DDoS攻击防御过程,在未启动域名跳变机制,启动域名跳变机制情况下对系统的系统开销、服务性能、防御效果和通信影响进行测试。根据设计的测试方案,对系统的各项功能以及性能指标进行采集分析。
表1实验硬件环境设置
在功能测试中,本案方案能够按照预期目标,实现身份认证,代理域名跳变防御,过滤环入站流量屏蔽。根据开启域名跳变机制与未开启域名跳变机制的攻击效果,在域名跳变机制下,为攻击的阻断和隔离提供了有效安全机制。在性能测试中,通过响应时间测试实验,得到本方案不同攻击方式下的攻击速率比较和不同的域名跳变策略的服务器响应时间,如图 6所示;本方案得到不同DDoS入侵检测的方式下入侵阻断率和隔离率;服务性能测试本方案在不同域名跳变策略下的服务率如图5所示;跳变资源消耗测试本方案不同跳变策略下的 CPU占比,如图7所示。
通过以上实验数据可知,本案方案不需要对现有的网络和部署的信息系统进行改造。利用配发的代理服务器、认证服务器、过滤器等实现对Web应用服务器的保护。用户部署模式简单,既可以基于云模式集中部署,也可以多级分布式部署;且可以同时为多个应用服务器提供安全动态防护服务,实现安全服务共享,降低系统部署成本。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。
基于上述的方法和/或系统,本发明实施例还提供一种服务器,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述的方法。
基于上述的方法和/或系统,本发明实施例还提供一种计算机可读介质,其上存储有计算机程序,其中,该程序被处理器执行时实现上述的方法。
在这里示出和描述的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制,因此,示例性实施例的其他示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。

Claims (2)

1.一种基于动态域名的web应用安全防护方法,其特征在于,基于动态域名的web应用安全防护系统实现,该系统包含:用于提供在线服务并允许身份认证通过的客户端用户进行访问的应用程序服务器,由分布式计算机组成并通过在计算机上部署代理服务软件来代理转发客户端和服务器之间数据流量的代理节点,及用于防护系统内外部攻击的多级防护架构,所述多级防护架构包含:用于对客户端用户进行身份认证并对认证通过的用户分配有效代理节点的认证服务器,用于检测和收集用户异常行为并触发认证服务器重新动态分配有效代理节点至异常用户的管理服务器,围绕应用程序服务器设置并用于通过利用有效代理节点列表来限制入站流量的多路由器,用于隔离内部可疑攻击者的隔离模块,该隔离模块将代理节点按照预设比例划分为活动代理节点列表、混洗代理节点列表和预备代理节点列表,其中,活动代理节点列表用于存储开启代理服务并随机分配给客户端用户的活动代理节点,混洗代理节点列表用于存储未开启代理服务并在活动代理节点受攻击时为该活动代理节点客户端用户提供代理服务的混洗代理节点,预备代理节点列表用于存储未开启代理服务并对各代理节点受攻击时进行动态替换的预备代理节点,利用混洗代理节点并通过洗牌算法寻找内部可疑攻击者;且管理服务器通过设置在各代理节点上的监控程序检测代理节点域名信息是否存在泄漏风险及访问者用户异常信息;web应用安全防护实现过程包含如下内容:
针对客户端用户的访问请求,认证服务器对用户进行身份认证,并向认证通过的合法用户从代理节点池中随机分配代理节点,合法用户通过该代理节点获取应用程序服务器数据,代理节点和客户端用户之间形成多对一映射关系,且多对一映射关系中,依据应用服务类型每个代理节点设置容纳至少1个客户端用户,每个客户端用户仅被指派到一个代理节点;同时,管理服务器监测代理节点及用户访问异常信息,并从代理节点列表中移除受攻击代理节点,身份认证服务器对使用该受攻击代理节点的合法用户重新分配有效代理节点;围绕应用程序服务器部署的过滤器对入站流量进行过滤,仅允许合法代理节点入站流量;其中,将代理节点池中代理节点按照预设比例划分为活动代理节点列表、混洗代理节点列表和预备代理节点列表,其中,活动代理节点列表用于存储开启代理服务并随机分配给客户端用户的活动代理节点,混洗代理节点列表用于存储未开启代理服务并在活动代理节点受攻击时为该活动代理节点客户端用户提供代理服务的混洗代理节点,预备代理节点列表用于存储未开启代理服务并对各代理节点受攻击时进行动态替换的预备代理节点;将受攻击代理节点所属客户端用户通过混洗代理节点集中服务,利用洗牌算法寻找内部可疑攻击者,同时取消该代理节点用户权限,且在洗牌算法中,设置用于存储合法客户端用户的正常用户列表和用于存储异常行为客户端用户的可疑用户列表,管理服务器监测到代理节点受攻击时,将受攻击的代理节点所有客户端用户移出正常用户列表,从混洗代理节点列表中随机分配混洗代理节点至受攻击的代理节点客户端用户,并将受攻击的代理节点移出活动代理节点,对可疑用户列表中客户端用户进行筛查来查找出内部共谋攻击者;对可疑用户列表中客户端用户进行筛查中,通过管理服务器监测代理节点受攻击行为,寻找随机分配的混洗代理节点中受到攻击的代理节点客户端用户,并将未受攻击的混洗代理节点客户端用户重新纳入正常用户列表,从预备代理节点列表中随机选取代理节点分配给该重新纳入正常用户列表的客户端用户,该从预备代理节点列表中随机选取的代理节点移入活动代理节点列表,并再次从混洗代理节点列表中随机分配混洗代理节点至受攻击的代理节点客户端用户,迭代执行重复监测内容,直至查找出共谋攻击者。
2.一种服务器,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现权利要求1所述的方法。
CN202110938815.4A 2021-08-16 2021-08-16 基于动态域名的web应用安全防护方法、系统及服务器 Active CN113872929B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110938815.4A CN113872929B (zh) 2021-08-16 2021-08-16 基于动态域名的web应用安全防护方法、系统及服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110938815.4A CN113872929B (zh) 2021-08-16 2021-08-16 基于动态域名的web应用安全防护方法、系统及服务器

Publications (2)

Publication Number Publication Date
CN113872929A CN113872929A (zh) 2021-12-31
CN113872929B true CN113872929B (zh) 2023-08-29

Family

ID=78990381

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110938815.4A Active CN113872929B (zh) 2021-08-16 2021-08-16 基于动态域名的web应用安全防护方法、系统及服务器

Country Status (1)

Country Link
CN (1) CN113872929B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104468250A (zh) * 2013-09-17 2015-03-25 深圳市共进电子股份有限公司 Tr069测试中的消息处理方法和系统
CN105208026A (zh) * 2015-09-29 2015-12-30 努比亚技术有限公司 一种防止恶意攻击方法及网络系统
CN109347830A (zh) * 2018-10-23 2019-02-15 中国人民解放军战略支援部队信息工程大学 一种网络动态防御系统及方法
CN110012038A (zh) * 2019-05-29 2019-07-12 中国人民解放军战略支援部队信息工程大学 一种网络攻击防御方法及系统
US10615968B1 (en) * 2018-02-02 2020-04-07 EMC IP Holding Company LLC Shuffling cryptographic keys stored in clouds of a multi-cloud environment
CN111385235A (zh) * 2018-12-27 2020-07-07 北京卫达信息技术有限公司 一种基于动态变换的DDoS攻击防御系统和方法
CN111596953A (zh) * 2020-05-08 2020-08-28 Oppo(重庆)智能科技有限公司 版本管理系统、开发数据传输控制方法及相关装置
CN112311783A (zh) * 2020-10-24 2021-02-02 尺度财金(北京)智能科技有限公司 一种认证反向代理方法及系统
CN113206858A (zh) * 2021-05-13 2021-08-03 南京邮电大学 基于物联网DDoS攻击的移动目标防御方法
CN114389890A (zh) * 2022-01-20 2022-04-22 网宿科技股份有限公司 一种用户请求的代理方法、服务器及存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8195952B2 (en) * 2004-12-14 2012-06-05 International Business Machines Corporation System and method of facilitating the identification of a computer on a network
US20100088766A1 (en) * 2008-10-08 2010-04-08 Aladdin Knoweldge Systems Ltd. Method and system for detecting, blocking and circumventing man-in-the-middle attacks executed via proxy servers
US20190228313A1 (en) * 2018-01-23 2019-07-25 Insurance Services Office, Inc. Computer Vision Systems and Methods for Unsupervised Representation Learning by Sorting Sequences

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104468250A (zh) * 2013-09-17 2015-03-25 深圳市共进电子股份有限公司 Tr069测试中的消息处理方法和系统
CN105208026A (zh) * 2015-09-29 2015-12-30 努比亚技术有限公司 一种防止恶意攻击方法及网络系统
US10615968B1 (en) * 2018-02-02 2020-04-07 EMC IP Holding Company LLC Shuffling cryptographic keys stored in clouds of a multi-cloud environment
CN109347830A (zh) * 2018-10-23 2019-02-15 中国人民解放军战略支援部队信息工程大学 一种网络动态防御系统及方法
CN111385235A (zh) * 2018-12-27 2020-07-07 北京卫达信息技术有限公司 一种基于动态变换的DDoS攻击防御系统和方法
CN110012038A (zh) * 2019-05-29 2019-07-12 中国人民解放军战略支援部队信息工程大学 一种网络攻击防御方法及系统
CN111596953A (zh) * 2020-05-08 2020-08-28 Oppo(重庆)智能科技有限公司 版本管理系统、开发数据传输控制方法及相关装置
CN112311783A (zh) * 2020-10-24 2021-02-02 尺度财金(北京)智能科技有限公司 一种认证反向代理方法及系统
CN113206858A (zh) * 2021-05-13 2021-08-03 南京邮电大学 基于物联网DDoS攻击的移动目标防御方法
CN114389890A (zh) * 2022-01-20 2022-04-22 网宿科技股份有限公司 一种用户请求的代理方法、服务器及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
一种保护代理的移动目标防御方法;蒋亚平;郭梦佳;张安康;;湖北民族大学学报(自然科学版)(第02期);全文 *

Also Published As

Publication number Publication date
CN113872929A (zh) 2021-12-31

Similar Documents

Publication Publication Date Title
Mell et al. A denial-of-service resistant intrusion detection architecture
Bakr et al. A survey on mitigation techniques against ddos attacks on cloud computing architecture
CN113206858B (zh) 基于物联网DDoS攻击的移动目标防御方法
Sun et al. Protecting enterprise networks through attack surface expansion
CN115051836B (zh) 基于sdn的apt攻击动态防御方法及系统
Tripathi et al. Analysis of various ARP poisoning mitigation techniques: A comparison
Khalaf et al. A simulation study of syn flood attack in cloud computing environment
Mishra et al. Analysis of cloud computing vulnerability against DDoS
Kansal et al. Proactive DDoS attack detection and isolation
Satheesh et al. Certain improvements to Location aided packet marking and DDoS attacks in internet
Zhou et al. Overview on moving target network defense
Srivastava et al. A Review on Protecting SCADA Systems from DDOS Attacks
Kansal et al. DDoS attack isolation using moving target defense
Mary et al. An algorithm for moderating DoS attack in web based application
CN113810404A (zh) 一种基于sdn网络的网络全视图变换动态防御系统及方法
Sattar et al. A delay-based countermeasure against the discovery of default rules in firewalls
Zheng et al. The impact of address changes and host diversity on the effectiveness of moving target defense strategy
CN106357661B (zh) 一种基于交换机轮换的分布式拒绝服务攻击防御方法
Prasad et al. IP traceback for flooding attacks on Internet threat monitors (ITM) using Honeypots
CN113872929B (zh) 基于动态域名的web应用安全防护方法、系统及服务器
Prasad et al. Flooding attacks to internet threat monitors (ITM): modeling and counter measures using botnet and honeypots
Pareek et al. Different type network security threats and solutions, a review
CN114157479B (zh) 一种基于动态欺骗的内网攻击防御方法
Emmanuel et al. On the internal workings of botnets: A review
Kaur et al. Secure Overlay Services (SOS): a critical analysis

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant