CN113904803A - 一种基于拟态防御的业务处理方法及系统 - Google Patents

一种基于拟态防御的业务处理方法及系统 Download PDF

Info

Publication number
CN113904803A
CN113904803A CN202111036417.XA CN202111036417A CN113904803A CN 113904803 A CN113904803 A CN 113904803A CN 202111036417 A CN202111036417 A CN 202111036417A CN 113904803 A CN113904803 A CN 113904803A
Authority
CN
China
Prior art keywords
random data
request
service
online heterogeneous
url
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111036417.XA
Other languages
English (en)
Other versions
CN113904803B (zh
Inventor
周俊珂
郭义伟
冯志峰
鲍尚策
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Comleader Information Technology Co Ltd
Henan Xinda Wangyu Technology Co Ltd
Original Assignee
Zhuhai Comleader Information Technology Co Ltd
Henan Xinda Wangyu Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhuhai Comleader Information Technology Co Ltd, Henan Xinda Wangyu Technology Co Ltd filed Critical Zhuhai Comleader Information Technology Co Ltd
Priority to CN202111036417.XA priority Critical patent/CN113904803B/zh
Publication of CN113904803A publication Critical patent/CN113904803A/zh
Application granted granted Critical
Publication of CN113904803B publication Critical patent/CN113904803B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • G06F16/9566URL specific, e.g. using aliases, detecting broken or misspelled links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明提供了一种基于拟态防御的业务处理方法及系统,所述方法包括以下步骤:步骤1,客户端生成包含随机数据的登录请求并传输至输入分发代理器;步骤2,输入分发代理器将包含随机数据的登录请求转发至第一URL分类器;第一URL分类器将包含随机数据的登录请求传输至某一个在线异构执行体;步骤3,该在线异构执行体在接收到包含随机数据的登录请求后,生成当前业务处理令牌,并传输至状态同步装置;状态同步装置接收到该在线异构执行体返回的当前业务处理令牌后,将当前业务处理令牌存储至缓存数据库等。因此,本发明在整个业务处理系统拟态化加固时,有效解决了拟态环境下因异构执行体产生随机数据而业务异常的问题。

Description

一种基于拟态防御的业务处理方法及系统
技术领域
本发明涉及拟态防御技术领域,具体的说,涉及了一种基于拟态防御的业务处理方法及系统。
背景技术
为了提高业务处理的效率,金融、政务和医疗等领域推广远程办理业务或者在自助终端进行自助办理,同时保证用户资金的安全或者防止用户敏感数据泄露,需要进行安全验证。
除了安全验证,远程办理业务或者在自助终端进行自助办理,所用到的客户端(或者自主终端)和服务器的网络安全也发挥着至关重要的作用;网络空间现有防御体系是基于威胁特征感知的精确防御,无法防范未知威胁。
网络空间拟态防御(Cyber Mimic Defense,CMD)是国内研究团队首创的主动防御理论,为应对网络空间中不同领域相关应用层次上基于未知漏洞、后门、病毒或木马等未知威胁,提供具有普适创新意义的防御理论和方法。
然而,在拟态防御的DHR架构下,基于相同的访问请求(一个请求同时分发到不同的异构执行体),各个在线异构执行体会产生不同的随机数据(比如验证码、动态验证数据等),由于拟态防御的裁决理论是对输出数据进行裁决,因而造成裁决异常,导致在拟态环境下含有随机数据的业务处理不能正常进行。
为了解决以上存在的问题,人们一直在寻求一种理想的技术解决方案。
发明内容
为了解决在拟态环境下因异构执行体产生随机数据而业务异常的问题,本发明提供一种基于拟态防御的业务处理方法及系统。
为了实现上述目的,本发明所采用的技术方案是:
本发明第一方面提供一种基于拟态防御的业务处理方法,包括以下步骤:
步骤1,客户端生成包含随机数据的登录请求并传输至输入分发代理器;
步骤2,所述输入分发代理器接收包含随机数据的登录请求,并转发至第一URL分类器;
所述第一URL分类器将包含随机数据的登录请求进行第一重定向处理后,传输至某一个在线异构执行体;
步骤3,该在线异构执行体在接收到包含随机数据的登录请求后,生成当前业务处理令牌,并传输至状态同步装置;其中,所述当前业务处理令牌作为客户端调用各个在线异构执行体的拟态服务模块进行业务处理的统一令牌;
步骤4,所述状态同步装置将接收到的当前业务处理令牌存储至缓存数据库,并经输出裁决器将包含当前业务处理令牌的登录成功状态信息传输至客户端;
步骤5,客户端存储所述当前业务处理令牌,生成不含随机数据的业务请求传输至所述输入分发代理器;其中,所述不含随机数据的业务请求包括当前业务处理令牌;
步骤6,所述输入分发代理器将接收到的不含随机数据的业务请求转发至第二URL分类器;
所述第二URL分类器将不含随机数据的业务请求进行第二重定向处理后,传输至各个在线异构执行体;
步骤7,各个在线异构执行体基于所述当前业务处理令牌对所述业务请求进行状态校验,校验通过后,生成所述业务请求对应的业务处理结果,并传输至所述输出裁决器;
步骤8,所述输出裁决器对各个在线异构执行体返回的业务处理结果进行裁决,并将裁决结果传输至所述客户端。
本发明第二方面提供一种基于拟态防御的业务处理系统,所述基于拟态防御的业务处理系统包括客户端、输入分发代理器、状态同步装置、第一URL分类器、第二URL分类器、输出裁决器和N个在线异构执行体,其中,
所述客户端,与所述输入分发代理器通信连接,用于生成包含随机数据的登录请求并传输至所述输入分发代理器,还用于存储所述当前业务处理令牌,生成不含随机数据的业务请求并传输至所述输入分发代理器;其中,所述不含随机数据的业务请求包括当前业务处理令牌;
所述输入分发代理器,还分别与所述第一URL分类器和所述第二URL分类器通信连接,用于将包含随机数据的登录请求传输至所述第一URL分类器,或者将不含随机数据的业务请求传输至所述第二URL分类器;
所述第一URL分类器,还与某一个在线异构执行体通信连接,用于将包含随机数据的登录请求进行第一重定向处理后,传输至某一个在线异构执行体;
所述状态同步装置,分别与各个在线异构执行体和所述输出裁决器通信连接,用于接收某一个在线异构执行体返回的当前业务处理令牌,并存储至缓存数据库;还用于在接收到当前业务处理令牌后,向所述输出裁决器发送包含当前业务处理令牌的登录成功状态信息;其中,所述当前业务处理令牌作为客户端调用各个在线异构执行体的拟态服务模块进行业务处理的统一令牌;
所述第二URL分类器,还分别与所述状态同步装置和各个在线异构执行体通信连接,用于将不含随机数据的业务请求进行第二重定向处理后,传输至各个在线异构执行体;
各个在线异构执行体,还与所述输出裁决器通信连接,用于基于所述当前业务处理令牌对所述业务请求进行状态校验,校验通过后,生成所述业务请求对应的业务处理结果,并传输至所述输出裁决器;
所述输出裁决器,还与所述客户端通信连接,用于将来自状态同步装置的包含当前业务处理令牌的登录成功状态信息转发至所述客户端,还用于对各个在线异构执行体返回的业务处理结果进行裁决,并将裁决结果传输至所述客户端。
本发明相对现有技术具有突出的实质性特点和显著的进步,具体的说:
1)本发明在调用各个在线异构执行体的拟态服务模块进行业务处理时,客户端发出含有随机业务数据的请求,通过随机数据URL分类器,分发到单个执行体上,并将返回状态数据保存到状态同步装置;其他执行体实时从状态同步装置中同步状态信息,并执行后续的正常业务处理;因此,本发明在整个业务处理系统拟态化加固时,有效解决了拟态环境下因异构执行体产生随机数据而业务异常的问题,同时有效降低了拟态化的难度和工作量;
2)相对传统业务处理流程,本发明预先配置所述基于拟态防御的业务处理系统,在进行登录认证时,无需各个在线异构执行体都产生随机数据(比如验证码、动态验证数据等),只通过所述第一URL分类器向某一个在线异构执行体发送访问请求;因此,输出裁决器只接收到一个在线异构执行体返回的随机数据,通过引入状态同步装置及业务处理流程的改进,实现随机状态归一化,避免发生各个在线异构执行体都产生随机数据导致输出裁决器裁决异常引起无法进行后续正常业务处理的情况;
3)各个在线异构执行体响应于接收到的不含随机数据的业务请求,分别从所述状态同步装置中读取所述当前业务处理令牌;因此,各个在线异构执行体也是依赖某一个在线异构执行体生成的当前业务处理令牌进行安全验证,从而在保证安全可靠的基础上,将拟态环境下的状态校验过程转换为非拟态或者常规的校验过程。
附图说明
图1是本发明的基于拟态防御的业务处理方法的时序图;
图2是本发明的基于拟态防御的业务处理系统的结构示意图。
具体实施方式
下面通过具体实施方式,对本发明的技术方案做进一步的详细描述。
URL,统一资源定位系统(全称uniform resource locator),是因特网的万维网服务程序上用于指定信息位置的表示方法。
实施例1
附图1示出了一种基于拟态防御的业务处理方法的时序图,所述基于拟态防御的业务处理方法包括以下步骤:
步骤1,客户端生成包含随机数据的登录请求并传输至输入分发代理器;
步骤2,所述输入分发代理器接收包含随机数据的登录请求,并转发至第一URL分类器;
所述第一URL分类器将包含随机数据的登录请求进行第一重定向处理后,传输至某一个在线异构执行体;
步骤3,该在线异构执行体在接收到包含随机数据的登录请求后,生成当前业务处理令牌,并传输至状态同步装置;其中,所述当前业务处理令牌作为客户端调用各个在线异构执行体的拟态服务模块进行业务处理的统一令牌;
步骤4,所述状态同步装置将接收到的当前业务处理令牌存储至缓存数据库,并经输出裁决器将包含当前业务处理令牌的登录成功状态信息传输至客户端;
步骤5,客户端存储所述当前业务处理令牌,生成不含随机数据的业务请求传输至所述输入分发代理器;其中,所述不含随机数据的业务请求包括当前业务处理令牌;
步骤6,所述输入分发代理器将接收到的不含随机数据的业务请求转发至第二URL分类器;
所述第二URL分类器将不含随机数据的业务请求进行第二重定向处理后,传输至各个在线异构执行体;
步骤7,各个在线异构执行体基于所述当前业务处理令牌对所述业务请求进行状态校验,校验通过后,生成所述业务请求对应的业务处理结果,并传输至所述输出裁决器;
步骤8,所述输出裁决器对各个在线异构执行体返回的业务处理结果进行裁决,并将裁决结果传输至所述客户端。
其中,所述第一URL分类器为随机数据URL分类器,第二URL分类器为正常数据URL分类器,所述缓存数据库为文件共享数据库。
需要说明的是,所述包含随机数据的登录请求中的随机数据来自某一个在线异构执行体;因此,所述基于拟态防御的业务处理方法,在步骤1之前,还执行步骤0:
预先编写拟态服务模块所提供的业务处理类型对应的URL,并分别存储在客户端和所述输入分发代理器中;
用户通过客户端选取待访问的URL后,所述客户端将待访问的URL转发至所述输入分发代理器;
所述输入分发代理器对待访问的URL进行正则匹配,若匹配成功,则通过所述第一URL分类器向某一个在线异构执行体发送访问请求;
响应于接收到的访问请求,该在线异构执行体经所述输出裁决器向所述客户端返回登录界面,所述登录界面中包含当前业务处理对应的随机数据。
可以理解,在用户试图通过客户端调用各个在线异构执行体中需要认证的拟态服务模块进行业务处理时,需要经客户端向发送访问请求;初次的访问请求是不包含当前业务处理令牌的,因此,某一个在线异构执行体会将用户重定向到登录界面,使用户进行登录验证。
需要说明的是,访问请求和包含随机数据的登录请求,通过所述第一URL分类器转发至同一个在线异构执行体。
具体的,所述访问请求可以为http请求;该在线异构执行体可以为所有在线异构执行体中的某一个,也可以为按照预设自定义规则挑选出的一个在线异构执行体。所述预设自定义规则可以为在线运行时长最短、各个在线异构执行体的可信权重(随裁决结果更新)等。
进一步的,所述步骤0中,通过所述第一URL分类器向某一个在线异构执行体发送访问请求时,执行:
所述第一URL分类器,实时监测是否接收到所述输入分发代理器转发的访问请求;响应于接收到的访问请求,所述第一URL分类器获取某一个在线异构执行体的地址信息,并基于获得到的地址信息对接收到的访问请求进行第一重定向处理,以向某一个在线异构执行体发送访问请求;
接收所述访问请求的在线异构执行体与接收所述包含随机数据的登录请求的在线异构执行体为同一个在线异构执行体。
进一步的,所述步骤6中,所述第二URL分类器将不含随机数据的业务请求进行第二重定向处理时,执行:
所述第二URL分类器,实时监测是否接收到所述输入分发代理器转发的不含随机数据的业务请求;响应于接收到的不含随机数据的业务请求,所述第二URL分类器获取所有在线异构执行体的地址信息,基于每个在线异构执行体的地址信息对接收到的不含随机数据的业务请求进行第二重定向处理,以向所有在线异构执行体发送不含随机数据的业务请求。
进一步的,所述步骤7中,各个在线异构执行体基于所述当前业务处理令牌对所述业务请求进行状态校验时,执行:
各个在线异构执行体,实时监测是否接收到不含随机数据的业务请求;
响应于接收到的不含随机数据的业务请求,分别从所述状态同步装置中读取所述当前业务处理令牌;
判断读取到的当前业务处理令牌与所述不含随机数据的业务请求中的当前业务处理令牌是否一致,若一致,则判定校验通过,否则判定校验不通过。
在一种具体实施方式中,所述输入分发代理器基于正则匹配,将包含随机数据的登录请求URL转发至第一URL分类器,或者将不含随机数据的业务请求URL转发至第二URL分类器。例如,re.findall(r”/index.php/user/login.*”, request.url),如果所述输入分发代理器能匹配到,则转发到第一URL分类器;否则会转发到第二URL分类器。
为了在实现拟态化改造的同时,避免发生各个在线异构执行体都产生随机数据导致输出裁决器裁决异常引起无法进行后续正常业务处理的情况;所述第一URL分类器和所述第二URL分类器分别预置的不同重定向规则,所述第一URL分类器的重定向规则会将访问请求和包含随机数据的登录请求转发到某一个执行体,而不会传输给所有在线异构执行体,保证校验过程的非拟态化;所述第二URL分类器会将业务处理请求分发给所有在线异构执行体,实现业务处理结果拟态化。
需要说明的是,通过所述基于拟态防御的业务处理方法进行业务处理时,默认收到一个在线异构执行体当前业务处理令牌(例如,认证过的token),就会判定客户端已登陆成功。也就是说,N个在线异构执行体中的一个在线异构执行体会返回的当前业务处理令牌,其他在线异构执行体不会生成当前业务处理令牌。
一方面,所述状态同步装置与各个在线异构执行体和输出裁决器有数据交互,不与客户端有直接的数据交互,因此,所述状态同步装置不易被用户感知;另一方面,各个在线异构执行体是基于临时从所述状态同步装置读取到的当前业务处理令牌对所述业务请求进行状态校验的;因此,一个在线异构执行体返回的当前业务处理令牌,能够被其他在线异构执行体认可,且不会带来额外安全风险。
实施例2
需要说明的是,所述当前业务处理令牌为执行体返回的登录状态信息,具体的,所述登录状态信息可以为认证过的信息token,也可以为认证过的信息Cookie。
在一种具体实施方式中,所述当前业务处理令牌可以为某一个在线异构执行体认证过token,不同的客户端对应不同的token;token是用于验证当前客户端是否已经完成了系统登录;在用户没有注销登录之前,token是有效的,不用每次访问都生成。
具体的,Token为某个在线异构执行体生成的一串字符串,作为客户端进行后续业务请求的一个令牌;当第一次登录后,某个在线异构执行体生成一个Token,便将此Token返回给客户端,以后该客户端只需带上这个Token前来请求数据即可,无需再次传输用户名和密码。
在其他实施例中,所述当前业务处理令牌也可以为某一个在线异构执行体返回的认证过Cookie。具体的,Cookie为一段不超过4KB的小型文本数据,由一个名称(Name)、一个值(Value)和其它几个用于控制Cookie有效期、安全性、使用范围的可选属性组成。
为了保证业务处理结果的安全可靠性,需要保证当前业务处理令牌不是永久有效,因此,本实施例中,所述基于拟态防御的业务处理方法还包括步骤9:
响应于接收到的注销登录指令,所述状态同步装置对缓存数据库中的当前业务处理令牌执行删除操作。
需要说明的是,在一次业务处理过程中,在客户端登录成功之后至客户端发送注销登录指令之前,当前业务处理令牌是有效的,客户端每次调用各个在线异构执行体的拟态服务模块进行业务处理,所述状态同步装置无需重新获得新的当前业务处理令牌;
在客户端发送注销登录指令之后,若要再次调用各个在线异构执行体的拟态服务模块进行业务处理,所述状态同步装置需要重新获得新的当前业务处理令牌。
实施例3
在上述实施例的基础上,本实施例给出了一种基于拟态防御的业务处理系统的具体实施方式;
如附图2所示,所述基于拟态防御的业务处理系统包括客户端、输入分发代理器、状态同步装置、第一URL分类器、第二URL分类器、输出裁决器和N个在线异构执行体,其中,
所述客户端,与所述输入分发代理器通信连接,用于生成包含随机数据的登录请求并传输至所述输入分发代理器,还用于存储所述当前业务处理令牌,生成不含随机数据的业务请求并传输至所述输入分发代理器;其中,所述不含随机数据的业务请求包括当前业务处理令牌;
所述输入分发代理器,还分别与所述第一URL分类器和所述第二URL分类器通信连接,用于将包含随机数据的登录请求传输至所述第一URL分类器,或者将不含随机数据的业务请求传输至所述第二URL分类器;
所述第一URL分类器,还与某一个在线异构执行体通信连接,用于将包含随机数据的登录请求进行第一重定向处理后,传输至某一个在线异构执行体;
所述状态同步装置,分别与各个在线异构执行体和所述输出裁决器通信连接,用于接收某一个在线异构执行体返回的当前业务处理令牌,并存储至缓存数据库;还用于在接收到当前业务处理令牌后,向所述输出裁决器发送包含当前业务处理令牌的登录成功状态信息;其中,所述当前业务处理令牌作为客户端调用各个在线异构执行体的拟态服务模块进行业务处理的统一令牌;
所述第二URL分类器,还分别与所述状态同步装置和各个在线异构执行体通信连接,用于将不含随机数据的业务请求进行第二重定向处理后,传输至各个在线异构执行体;
各个在线异构执行体,还与所述输出裁决器通信连接,用于基于所述当前业务处理令牌对所述业务请求进行状态校验,校验通过后,生成所述业务请求对应的业务处理结果,并传输至所述输出裁决器;
所述输出裁决器,还与所述客户端通信连接,用于将来自状态同步装置的包含当前业务处理令牌的登录成功状态信息转发至所述客户端,还用于对各个在线异构执行体返回的业务处理结果进行裁决,并将裁决结果传输至所述客户端。
进一步的,在进行业务处理之前,对所述客户端和所述输入分发代理器进行预配置:
所述客户端,还用于存储预先编写的拟态服务模块所提供的业务处理类型对应的URL,以使用户基于URL选择所需的业务处理类型;
所述输入分发代理器,还用于存储预先编写的拟态服务模块所提供的业务处理类型对应的URL,以在接收到包含随机数据的登录请求或者不含随机数据的业务请求后,基于正则匹配,将包含随机数据的登录请求URL转发至第一URL分类器,或者将不含随机数据的业务请求URL转发至第二URL分类器。
进一步的,所述第一URL分类器,用于将包含随机数据的登录请求进行第一重定向处理时,执行:
实时监测是否接收到所述输入分发代理器转发的访问请求;
响应于接收到的访问请求,获取某一个在线异构执行体的地址信息,并基于获得到的地址信息对接收到的访问请求进行第一重定向处理,以向某一个在线异构执行体发送访问请求。
进一步的,所述第二URL分类器,用于将不含随机数据的业务请求进行第二重定向处理时,执行:
实时监测是否接收到所述输入分发代理器转发的不含随机数据的业务请求;
响应于接收到的不含随机数据的业务请求,获取所有在线异构执行体的地址信息,基于每个在线异构执行体的地址信息对接收到的不含随机数据的业务请求进行第二重定向处理,以向所有在线异构执行体发送不含随机数据的业务请求。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。

Claims (10)

1.一种基于拟态防御的业务处理方法,其特征在于,包括以下步骤:
步骤1,客户端生成包含随机数据的登录请求并传输至输入分发代理器;
步骤2,所述输入分发代理器接收包含随机数据的登录请求,并转发至第一URL分类器;
所述第一URL分类器将包含随机数据的登录请求进行第一重定向处理后,传输至某一个在线异构执行体;
步骤3,该在线异构执行体在接收到包含随机数据的登录请求后,生成当前业务处理令牌,并传输至状态同步装置;其中,所述当前业务处理令牌作为客户端调用各个在线异构执行体的拟态服务模块进行业务处理的统一令牌;
步骤4,所述状态同步装置将接收到的当前业务处理令牌存储至缓存数据库,并经输出裁决器将包含当前业务处理令牌的登录成功状态信息传输至客户端;
步骤5,客户端存储所述当前业务处理令牌,生成不含随机数据的业务请求传输至所述输入分发代理器;其中,所述不含随机数据的业务请求包括当前业务处理令牌;
步骤6,所述输入分发代理器将接收到的不含随机数据的业务请求转发至第二URL分类器;
所述第二URL分类器将不含随机数据的业务请求进行第二重定向处理后,传输至各个在线异构执行体;
步骤7,各个在线异构执行体基于所述当前业务处理令牌对所述业务请求进行状态校验,校验通过后,生成所述业务请求对应的业务处理结果,并传输至所述输出裁决器;
步骤8,所述输出裁决器对各个在线异构执行体返回的业务处理结果进行裁决,并将裁决结果传输至所述客户端。
2.根据权利要求1所述的基于拟态防御的业务处理方法,其特征在于:在步骤1之前,还执行步骤0:
预先编写拟态服务模块所提供的业务处理类型对应的URL,并分别存储在客户端和所述输入分发代理器中;
用户通过客户端选取待访问的URL后,所述客户端将待访问的URL转发至所述输入分发代理器;
所述输入分发代理器对待访问的URL进行正则匹配,若匹配成功,则通过所述第一URL分类器向某一个在线异构执行体发送访问请求;
响应于接收到的访问请求,该在线异构执行体经所述输出裁决器向所述客户端返回登录界面,所述登录界面中包含当前业务处理对应的随机数据。
3.根据权利要求2所述的基于拟态防御的业务处理方法,其特征在于,步骤0中,通过所述第一URL分类器向某一个在线异构执行体发送访问请求时,执行:
所述第一URL分类器,实时监测是否接收到所述输入分发代理器转发的访问请求;
响应于接收到的访问请求,所述第一URL分类器获取某一个在线异构执行体的地址信息,并基于获得到的地址信息对接收到的访问请求进行第一重定向处理,以向某一个在线异构执行体发送访问请求;
接收所述访问请求的在线异构执行体与接收所述包含随机数据的登录请求的在线异构执行体为同一个在线异构执行体。
4.根据权利要求1所述的基于拟态防御的业务处理方法,其特征在于,步骤6中,所述第二URL分类器将不含随机数据的业务请求进行第二重定向处理时,执行:
所述第二URL分类器,实时监测是否接收到所述输入分发代理器转发的不含随机数据的业务请求;
响应于接收到的不含随机数据的业务请求,所述第二URL分类器获取所有在线异构执行体的地址信息,基于每个在线异构执行体的地址信息对接收到的不含随机数据的业务请求进行第二重定向处理,以向所有在线异构执行体发送不含随机数据的业务请求。
5.根据权利要求1所述的基于拟态防御的业务处理方法,其特征在于,步骤7中,各个在线异构执行体基于所述当前业务处理令牌对所述业务请求进行状态校验时,执行:
各个在线异构执行体,实时监测是否接收到不含随机数据的业务请求;
响应于接收到的不含随机数据的业务请求,分别从所述状态同步装置中读取所述当前业务处理令牌;
判断读取到的当前业务处理令牌与所述不含随机数据的业务请求中的当前业务处理令牌是否一致,若一致,则判定校验通过,否则判定校验不通过。
6.根据权利要求1所述的基于拟态防御的业务处理方法,其特征在于,还包括步骤9:
响应于接收到的注销登录指令,所述状态同步装置对缓存数据库中的当前业务处理令牌执行删除操作。
7.一种基于拟态防御的业务处理系统,其特征在于:包括客户端、输入分发代理器、状态同步装置、第一URL分类器、第二URL分类器、输出裁决器和N个在线异构执行体,其中,
所述客户端,与所述输入分发代理器通信连接,用于生成包含随机数据的登录请求并传输至所述输入分发代理器,还用于存储所述当前业务处理令牌,生成不含随机数据的业务请求并传输至所述输入分发代理器;其中,所述不含随机数据的业务请求包括当前业务处理令牌;
所述输入分发代理器,还分别与所述第一URL分类器和所述第二URL分类器通信连接,用于将包含随机数据的登录请求传输至所述第一URL分类器,或者将不含随机数据的业务请求传输至所述第二URL分类器;
所述第一URL分类器,还与某一个在线异构执行体通信连接,用于将包含随机数据的登录请求进行第一重定向处理后,传输至某一个在线异构执行体;
所述状态同步装置,分别与各个在线异构执行体和所述输出裁决器通信连接,用于接收某一个在线异构执行体返回的当前业务处理令牌,并存储至缓存数据库;还用于在接收到当前业务处理令牌后,向所述输出裁决器发送包含当前业务处理令牌的登录成功状态信息;其中,所述当前业务处理令牌作为客户端调用各个在线异构执行体的拟态服务模块进行业务处理的统一令牌;
所述第二URL分类器,还分别与所述状态同步装置和各个在线异构执行体通信连接,用于将不含随机数据的业务请求进行第二重定向处理后,传输至各个在线异构执行体;
各个在线异构执行体,还与所述输出裁决器通信连接,用于基于所述当前业务处理令牌对所述业务请求进行状态校验,校验通过后,生成所述业务请求对应的业务处理结果,并传输至所述输出裁决器;
所述输出裁决器,还与所述客户端通信连接,用于将来自状态同步装置的包含当前业务处理令牌的登录成功状态信息转发至所述客户端,还用于对各个在线异构执行体返回的业务处理结果进行裁决,并将裁决结果传输至所述客户端。
8.根据权利要求7所述的基于拟态防御的业务处理系统,其特征在于:
所述客户端,还用于存储预先编写的拟态服务模块所提供的业务处理类型对应的URL,以使用户基于URL选择所需的业务处理类型;
所述输入分发代理器,还用于存储预先编写的拟态服务模块所提供的业务处理类型对应的URL,以在接收到包含随机数据的登录请求或者不含随机数据的业务请求后,基于正则匹配,将包含随机数据的登录请求URL转发至第一URL分类器,或者将不含随机数据的业务请求URL转发至第二URL分类器。
9.根据权利要求7所述的基于拟态防御的业务处理系统,其特征在于:所述第一URL分类器,用于将包含随机数据的登录请求进行第一重定向处理时,执行:
实时监测是否接收到所述输入分发代理器转发的访问请求;
响应于接收到的访问请求,获取某一个在线异构执行体的地址信息,并基于获得到的地址信息对接收到的访问请求进行第一重定向处理,以向某一个在线异构执行体发送访问请求。
10.根据权利要求7所述的基于拟态防御的业务处理系统,其特征在于:所述第二URL分类器,用于将不含随机数据的业务请求进行第二重定向处理时,执行:
实时监测是否接收到所述输入分发代理器转发的不含随机数据的业务请求;
响应于接收到的不含随机数据的业务请求,获取所有在线异构执行体的地址信息,基于每个在线异构执行体的地址信息对接收到的不含随机数据的业务请求进行第二重定向处理,以向所有在线异构执行体发送不含随机数据的业务请求。
CN202111036417.XA 2021-09-06 2021-09-06 一种基于拟态防御的业务处理方法及系统 Active CN113904803B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111036417.XA CN113904803B (zh) 2021-09-06 2021-09-06 一种基于拟态防御的业务处理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111036417.XA CN113904803B (zh) 2021-09-06 2021-09-06 一种基于拟态防御的业务处理方法及系统

Publications (2)

Publication Number Publication Date
CN113904803A true CN113904803A (zh) 2022-01-07
CN113904803B CN113904803B (zh) 2023-09-08

Family

ID=79188529

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111036417.XA Active CN113904803B (zh) 2021-09-06 2021-09-06 一种基于拟态防御的业务处理方法及系统

Country Status (1)

Country Link
CN (1) CN113904803B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114629705A (zh) * 2022-03-15 2022-06-14 河南信大网御科技有限公司 一种拟态系统license授权配置方法及系统
CN115242804A (zh) * 2022-06-10 2022-10-25 河南信大网御科技有限公司 一种拟态执行体随机数检测方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015170219A (ja) * 2014-03-07 2015-09-28 株式会社日立システムズ アクセス管理方法およびアクセス管理システム
CN111475831A (zh) * 2020-06-22 2020-07-31 南京红阵网络安全技术研究院有限公司 一种基于拟态防御的数据访问控制方法及系统
CN111669436A (zh) * 2020-05-21 2020-09-15 河南信大网御科技有限公司 拟态系统的ssh远程连接方法、拟态架构和可读存储介质
CN111865576A (zh) * 2020-07-03 2020-10-30 北京天空卫士网络安全技术有限公司 一种同步url分类数据的方法和装置
WO2021169080A1 (zh) * 2020-02-27 2021-09-02 南京红阵网络安全技术研究院有限公司 基于部分同态加密算法的拟态防御裁决方法和系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015170219A (ja) * 2014-03-07 2015-09-28 株式会社日立システムズ アクセス管理方法およびアクセス管理システム
WO2021169080A1 (zh) * 2020-02-27 2021-09-02 南京红阵网络安全技术研究院有限公司 基于部分同态加密算法的拟态防御裁决方法和系统
CN111669436A (zh) * 2020-05-21 2020-09-15 河南信大网御科技有限公司 拟态系统的ssh远程连接方法、拟态架构和可读存储介质
CN111475831A (zh) * 2020-06-22 2020-07-31 南京红阵网络安全技术研究院有限公司 一种基于拟态防御的数据访问控制方法及系统
CN111865576A (zh) * 2020-07-03 2020-10-30 北京天空卫士网络安全技术有限公司 一种同步url分类数据的方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
付琳;邵培南;应飞;解维;: "拟态通用运行环境的框架设计", 计算机工程, vol. 46, no. 03, pages 24 - 33 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114629705A (zh) * 2022-03-15 2022-06-14 河南信大网御科技有限公司 一种拟态系统license授权配置方法及系统
CN114629705B (zh) * 2022-03-15 2023-09-08 河南信大网御科技有限公司 一种拟态系统license授权配置方法及系统
CN115242804A (zh) * 2022-06-10 2022-10-25 河南信大网御科技有限公司 一种拟态执行体随机数检测方法

Also Published As

Publication number Publication date
CN113904803B (zh) 2023-09-08

Similar Documents

Publication Publication Date Title
US20200236147A1 (en) Brokered authentication with risk sharing
US11140152B2 (en) Dynamic risk detection and mitigation of compromised customer log-in credentials
CN102480490B (zh) 一种用于防止csrf攻击的方法和设备
US10778668B2 (en) HTTP session validation module
Zeller et al. Cross-site request forgeries: Exploitation and prevention
US9491155B1 (en) Account generation based on external credentials
US8474019B2 (en) Securing asynchronous client server transactions
JP5191376B2 (ja) リスクベース認証システムおよび危険度情報取得サーバならびにリスクベース認証方法
US12063205B1 (en) Private network request forwarding
US10318718B2 (en) Voice authentication within messaging systems
US10171495B1 (en) Detection of modified requests
US10015191B2 (en) Detection of man in the browser style malware using namespace inspection
CN113904803B (zh) 一种基于拟态防御的业务处理方法及系统
US9104838B2 (en) Client token storage for cross-site request forgery protection
CN114616795B (zh) 用于防止重试或重放攻击的安全机制
CN110069909A (zh) 一种免密登录第三方系统的方法及装置
CN106878244B (zh) 一种真实性证明信息提供方法及装置
CN111881337B (zh) 一种基于Scrapy框架的数据采集方法、系统及存储介质
WO2019237950A1 (zh) 安全验证方法和装置
Wedman et al. An analytical study of web application session management mechanisms and HTTP session hijacking attacks
US9282094B1 (en) Transparent adaptive authentication and transaction monitoring
US10621562B2 (en) Secure payment processing within messaging systems
CN107911379B (zh) 一种cas服务器
US10587597B1 (en) Data exfiltration control
Hwang et al. An SMS--based one--time--password scheme with client--side validation

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant