CN115277201B - 一种动态代码封装的网站防御系统 - Google Patents

一种动态代码封装的网站防御系统 Download PDF

Info

Publication number
CN115277201B
CN115277201B CN202210895840.3A CN202210895840A CN115277201B CN 115277201 B CN115277201 B CN 115277201B CN 202210895840 A CN202210895840 A CN 202210895840A CN 115277201 B CN115277201 B CN 115277201B
Authority
CN
China
Prior art keywords
client
dynamic
module
website
access request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210895840.3A
Other languages
English (en)
Other versions
CN115277201A (zh
Inventor
党芳芳
李丁丁
刘晗
闫丽景
李帅
宋一凡
王磊
王浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Henan Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Henan Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Information and Telecommunication Branch of State Grid Henan Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202210895840.3A priority Critical patent/CN115277201B/zh
Publication of CN115277201A publication Critical patent/CN115277201A/zh
Application granted granted Critical
Publication of CN115277201B publication Critical patent/CN115277201B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种动态代码封装的网站防御系统,有效的解决了传统网站防御手段无法在新兴安全问题上实现较好的防御效果的问题。本发明提供的动态封装模块、动态令牌模块、动态加密模块、动态算法模块来提高访问请求以及返回代码的安全性,并在网站防御系统中设置动态传感器模块对客户端的特征信息进行采集,而在网站防御系统中设置的数据采集模块则将采集到的异常访问信息提供给网站防御系统,利用动态分析模块、动态流量管理模块为客户端动态分配流量带宽,从而进一步保证保证了客户端、网站服务器的安全。

Description

一种动态代码封装的网站防御系统
技术领域
本发明涉及网站防御领域,特别是一种动态代码封装的网站防御系统。
背景技术
随着信息化技术在电网公司生产、经营、管理中的支撑和引领作用不断增强,公司内部运转和对外服务依托大量业务系统及网站,涉及数据信息、业务信息和个人信息等内容越来越多,网站应用及其所承载的数据已成为黑客攻击的重灾区,恶意网络攻击者通过网站对可公开访问的业务系统发起攻击,极易导致数据失泄事件及业务系统停运事件发生,电网公司的网络安全管理面临极大挑战。
电网公司利用已部署的防火墙、入侵防御检测等传统安全防护设备建成了分区分域的多维网络安全防御体系,并取得了较好的防护效果。但当前针对电网公司的网站的攻击出现了大量复杂多变的自动化攻击手段,如:恶意漏洞探测、撞库、应用层拒绝服务攻击、恶意爬虫、数据篡改等,此类自动化攻击手段效率高、成本低、危害大,传统安全防护手段在面对新兴安全威胁时防护瓶颈凸显。首先,传统安全防护设备大多通过配置用户访问规则及策略来识别和阻断如跨站脚本攻击、恶意木马上传等安全威胁,而针对未知的零日漏洞响应滞后且被动,表现较差;同时,通过工具发起的自动化多源低频扫描攻击已成为新型攻击手段,传统封禁攻击地址的方式已经跟不上攻击者的攻击节奏,新型安全问题与传统网站防御手段之间已在识别能力、阻拦效果、响应速度上出现了明显的攻守不均衡情况,探索新型网站防御技术刻不容缓。
因此本发明提供一种的新的方案来解决此问题。
发明内容
针对现有技术存在的不足,本发明的目的是提供一种动态代码封装的网站防御系统,有效的解决了传统网站防御手段无法在新兴安全问题上实现较好的防御效果的问题。
其解决的技术方案是,一种动态代码封装的网站防御系统,所述网站防御系统包括管理控制台、动态封装模块、动态令牌模块、动态加密模块、动态算法模块、动态传感器模块、动态信誉模块、数据采集模块、动态分析模块、动态流量管理模块、请求处理模块、客户端、网站服务器;
所述客户端发送的访问请求经请求处理模块进行安全性验证后传输至管理控制台,管理控制台则控制网站服务器根据访问请求发送返回代码至客户端;
管理员利用管理控制台提供的动态代码封装操作界面,并配置被访问网站服务器的接入模式、加密方式、动态封装模式、攻击判决模式、响应模式、访问控制策略;
所述动态封装模块以不同格式来对客户端的访问请求和网站服务器发送的返回代码进行封装;
所述动态令牌模块在客户端发起访问请求前向客户端发放令牌,客户端访问网站服务器期间通过动态令牌模块对客户端所持令牌进行实时校验;
所述动态加密模块用于加密来自客户端的访问请求和网站服务器返回的数据;
所述动态算法模块提供多种算法并与动态封装模块共同对客户端与网站服务器之间的交互数据进行不同算法模式下的封装;
所述动态信誉模块对客户端向网站服务器发起的访问请求进行可信度评估,评估得出的信誉值保存至信誉值数据库,并根据动态分析模块的分析对信誉值进行修改;
所述动态传感器模块用于收集客户端的特征信息;
所述数据采集模块从多个数据源中采集异常访问信息并提供给网站防御系统,其中数据源包括威胁情报系统、客户端异常访问行为,从而形成风险数据库;
所述动态分析模块对动态传感器模块、数据采集模块所收集到的客户端的特征信息与风险数据库进行关联分析;
所述动态流量管理模块根据动态信誉模块评估的信誉值,为客户端动态分配流量带宽。
进一步地,所述网站防御系统所使用的网站防御方法的具体步骤包括如下:
S1、管理员通过管理控制台将网站防御系统设置为代理模式,并设置代理检测模块,代理检测模块对客户端向网站服务器发起的访问请求进行恶意行为检测,并根据检测出的恶意行为设置触发动作;
S2、网站防御系统的动态传感器模块对客户端的信息进行随机采集;
S3、网站防御系统的动态分析模块对采集到的各种数据进行关联分析,通过动态信誉模块对客户端信誉值进行动态评估,结合动态流量管理模块对用户访问流量进行调整;
S4、客户端向网站服务器发起访问请求,网站防御系统的请求处理模块接收访问请求,在网站防御系统的动态封装模块、动态令牌模块、动态加密模块和动态算法模块的共同作用下对访问请求进行加密后并发送至网站服务器;
S5、网站服务器针对客户端的访问请求进行内容反馈,请求处理模块对网站服务器的返回代码进行封装;
S6、网站防御封装系统将封装后的返回代码传输至客户端进行展示。
进一步地,所述动态信誉模块评估的客户端的信誉值具体步骤为:
A1、令动态信誉模块评估的客户端的信誉值为v,取值范围为0至V,V1和V2分别表示第一信誉值与第二信誉值,且0≤V1≤V2≤V;
A2、认定信誉值低于第一信誉值的客户端为高危用户,可以完全阻止来自该客户端的访问请求;
A3、认定信誉值等于或高于第一信誉值但低于第二信誉值的客户端为中危客户,为其选择低带宽;
A4、认定信誉值高于第二信誉值的客户端为正常用户,为其选择高带宽。
进一步地,所述动态流量管理模块根据动态信誉模块评估的信誉值,为客户端动态分配流量带宽的具体步骤为:
B1、定义分配给客户端的流量上限值为F,网站服务器所容纳的最大访问流量为T,T1和T2分别表示流量第一阈值与流量第二阈值,且T1的取值范围为(0,T/2],而T2取值范围为(T1,T],则流量上限值F的计算公式如下:
其中,nF≤T,n为同一时间内访问网站服务器的客户端数量,分别利用流量第一阈值T1与流量第二阈值T2判断出低带宽与高带宽;
B2、当代理检测模块在访问请求中检测出恶意行为时,则动态流量管理模块对客户端和网站服务器之间的流量带宽进行限制,设流量限制算子为α,客户端真实流量为f,其具体计算公式如下:
限制后的流量fnew计算公式如下:
客户端的真实流量f<T1时,称其为低流量客户端,客户端的真实流量T1≤f<T2时,称其为中流量客户端,客户端真实流量T2≤f<T时,称其为高流量客户端。
进一步地,所述步骤S4中网站防御系统生成从客户端发送到网站服务器的访问请求的具体步骤为:
C1、网站防御系统中的请求处理模块接收客户端发往网站服务器的访问请求;
C2、网站防御系统中的请求处理模块对客户端的访问请求进行处理,重新形成报头、代理Cookie集、和目标地址;
C3、动态令牌模块形成令牌集,所述令牌集包括发送到客户端的令牌、由客户端编译的令牌;
C4、动态加密模块和动态算法模块共同形成签名数据及加密请求,其中签名数据包括从客户端收集的客户端特征信息,加密请求包括发送到网站服务器的加密的访问请求;
C5、动态封装模块生成封装后的访问请求发往网站服务器。
进一步地,所述步骤S5将网站防御系统作为代理,对网站服务器发送到客户端的返回代码进行封装的具体步骤为:
D1、网站服务器根据客户端的访问请求,形成返回代码发送至代理,代理的请求处理模块接收网站服务器发往客户端的返回代码;
D2、请求处理模块对网站服务器的返回代码进行处理,得到返回代码的报头与代理Cookie集;
D3、网站服务器根据客户端访问请求,形成封装代码;
D4、网站防御系统的动态加密模块在封装代码中加入加密算法和客户端签名数据,该加密算法对网站服务器发送到客户端的返回代码进行加密,客户端签名数据则用以验证客户端身份的真实性;
D5、网站防御系统的动态令牌模块在封装代码中加入令牌;
D6、网站防御系统生成发往客户端的返回代码。
本发明实现了如下有益效果:
本发明提供的网站防御系统作为代理部署在客户端与服务器之间,对网站服务器发送的返回代码进行动态封装,将可能被攻击的返回代码进行加密以及语言翻译后转化为攻击者难以解析的内容,代理在每次封装过程中所采用的算法不同,可以根据选择性算法或随机算法选择要封装的代码,确保攻击者无法预测服务器行为,若代理检测到客户端报文格式不正确,则可触发适当的安全措施来调整与客户端的通信方式,本申请提供的网站防御系统在保证客户端与服务器正常交互的基础上,大幅提高攻击者开展网络攻击的难度,有效应对各类新兴及自动化攻击和未知安全威胁带来的挑战,降低因网络安全攻击导致的数据失泄密风险,保证了数据请求以及返回数据的安全性,也避免了客户端、网站服务器被网络攻击进行攻击的可能性,进一步保证了客户端、网站服务器的安全,也避免了传统网站防御手段无法在新兴安全问题上实现较好的防御效果的问题的出现。
附图说明
图1是本发明提供的网站防御系统与客户端、网站服务器的框图。
具体实施方式
为有关本发明的前述及其他技术内容、特点与功效,在以下配合参考附图1对实施例的详细说明中,将可清楚的呈现。以下实施例中所提到的结构内容,均是以说明书附图为参考。
下面将参照附图描述本发明的各示例性的实施例。
一种动态代码封装的网站防御系统,应用于客户端与网站服务器之间,所述网站防御系统包括管理控制台、动态封装模块、动态令牌模块、动态加密模块、动态算法模块、动态传感器模块、动态信誉模块、数据采集模块、动态分析模块、动态流量管理模块、请求处理模块;
所述客户端发送的访问请求经请求处理模块进行安全性验证后传输至管理控制台,管理控制台则控制网站服务器根据访问请求发送返回代码至客户端;
管理员利用管理控制台提供的动态代码封装操作界面,并配置被访问网站服务器的接入模式、加密方式、动态封装模式、攻击判决模式、响应模式、访问控制策略;
所述动态封装模块以不同格式来对客户端的访问请求和网站服务器发送的返回代码进行封装;
所述动态令牌模块在客户端发起访问请求前向客户端发放令牌,客户端访问网站服务器期间通过动态令牌模块对客户端所持令牌进行实时校验;
所述动态加密模块用于加密来自客户端的访问请求和网站服务器返回的数据;
所述动态算法模块提供多种算法并与动态封装模块共同对客户端与网站服务器之间的交互数据进行不同算法模式下的封装;
所述动态信誉模块对客户端向网站服务器发起的访问请求进行可信度评估,评估得出的信誉值保存至信誉值数据库,作为客户端设备访问网站的依据之一,其中动态信誉模块根据动态分析模块的分析对信誉值进行修改;
所述动态传感器模块用于收集客户端的特征信息,所述特征信息包括客户端采集到的浏览器指纹信息、客户端运行环境检测信息、客户端发起的访问行为跟踪信息,其中访问行为跟踪信息包括访问对象、访问频率、鼠标及键盘操作信息;
所述数据采集模块从多个数据源中采集异常访问信息并提供给网站防御系统,其中数据源包括威胁情报系统、客户端异常访问行为,从而形成风险数据库,威胁情报系统是指用户单独采购的情报类系统或设备;
所述动态分析模块对动态传感器模块、数据采集模块所收集到的客户端的特征信息与风险数据库进行关联分析,以确定客户端设备是否表现出风险数据库中记录的异常访问信息;
所述动态流量管理模块根据动态信誉模块评估的信誉值,为客户端动态分配流量带宽。
所述网站防御系统所使用的网站防御方法的具体步骤包括如下:
S1、管理员通过管理控制台将网站防御系统设置为代理模式,并设置代理检测模块,所述代理检测模块对客户端向网站服务器发起的访问请求进行恶意行为检测,并根据检测出的恶意行为设置触发动作,对访问请求进行调整,其中恶意行为包括恶意程序上传检测、口令爆破检测、自动化攻击检测,触发动作包括允许访问、禁止访问、限制访问;
S2、网站防御系统的动态传感器模块对客户端的信息进行随机采集,所述信息包括客户端设备运行环境信息、浏览器指纹信息、疑似攻击行为信息,防止恶意客户端访问,而且每次随机采集检测的项目与数量,以增加恶意行为的伪装难度,大幅提高攻击成本;
S3、网站防御系统的动态分析模块对采集到的各种数据进行关联分析,通过动态信誉模块对客户端信誉值进行动态评估,结合动态流量管理模块对用户访问流量进行调整;
S4、客户端向网站服务器发起访问请求,网站防御系统的请求处理模块接收访问请求,在网站防御系统的动态封装模块、动态令牌模块、动态加密模块和动态算法模块的共同作用下对访问请求进行加密后并发送至网站服务器;
S5、网站服务器针对客户端的访问请求进行内容反馈,请求处理模块对网站服务器的返回代码进行封装;
S6、网站防御封装系统将封装后的返回代码传输至客户端进行展示。
所述动态信誉模块评估的客户端的信誉值具体步骤为:
A1、令动态信誉模块评估的客户端的信誉值为v,取值范围为0至V,V1和V2分别表示第一信誉值与第二信誉值,且0≤V1≤V2≤V;
A2、认定信誉值低于第一信誉值的客户端为高危用户,可以完全阻止来自该客户端的访问请求;
A3、认定信誉值等于或高于第一信誉值但低于第二信誉值的客户端为中危客户,为其选择低带宽;
A4、认定信誉值高于第二信誉值的客户端为正常用户,为其选择高带宽。
所述动态流量管理模块则根据代理检测模块的检测结果分配客户端与网站服务器交互时客户端所能占用的流量带宽;
所述动态流量管理模块根据动态信誉模块评估的信誉值,为客户端动态分配流量带宽的具体步骤为:
B1、定义分配给客户端的流量上限值为F,网站服务器所容纳的最大访问流量为T,T1和T2分别表示流量第一阈值与流量第二阈值,且T1的取值范围为(0,T/2],而T2取值范围为(T1,T],则流量上限值F的计算公式如下:
其中,nF≤T,n为同一时间内访问网站服务器的客户端数量,分别利用流量第一阈值T1与流量第二阈值T2判断出低带宽与高带宽;
B2、当代理检测模块在访问请求中检测出恶意行为时,则动态流量管理模块对客户端和网站服务器之间的流量带宽进行限制,设流量限制算子为α,客户端真实流量为f,其具体计算公式如下:
限制后的流量fnew计算公式如下:
客户端的真实流量f<T1时,称其为低流量客户端,客户端的真实流量T1≤f<T2时,称其为中流量客户端,客户端的真实流量T2≤f<T时,称其为高流量客户端,当代理检测模块检测出低流量客户端出现恶意访问时,网站防御系统以监测为主,不进行大幅度限流;在中流量客户端出现恶意访问时,网站防御系统将进行一定幅度的限流;在高流量客户端出现恶意访问时,则进行大幅度的限流。
所述步骤S4中网站防御系统将客户端输出的访问请求发送到网站服务器的具体步骤为:
C1、网站防御系统中的请求处理模块接收客户端发往网站服务器的访问请求;
C2、网站防御系统中的请求处理模块对客户端的访问请求进行处理,重新形成报头、代理Cookie集和目标地址,报头内容包含目标IP地址、路由信息、校验和信息等的标准分组报头;代理Cookie集包含代理Cookie的副本或子集副本,用于识别客户端的身份属性和客户端与网站服务器的会话属性;目标地址包含指示客户端希望访问的网站服务器的地址;
C3、动态令牌模块形成令牌集,所述令牌集包括发送到客户端的令牌、由客户端编译的令牌,该令牌集包含要由网站服务器解码和读取的私有会话信息;
C4、动态加密模块和动态算法模块共同形成签名数据及加密请求,其中签名数据包括从客户端收集的客户端特征信息,以验证客户端是否具有良好信誉;加密请求包括发送到网站服务器的加密的访问请求,该加密请求随后可由网站服务器使用令牌集中包含的解密密钥进行解密;
C5、动态封装模块将封装后的访问请求发往网站服务器。
所述步骤S5将网站防御系统作为代理,对网站服务器发送到客户端的返回代码进行封装的具体步骤为:
D1、网站服务器根据客户端的访问请求,形成返回代码发送至代理,代理的请求处理模块接收网站服务器发往客户端的返回代码;
D2、请求处理模块对网站服务器的返回代码进行处理,得到返回代码的报头与代理Cookie集,其中报头内容包含目标IP地址、路由信息、校验和信息等的标准分组报头;代理Cookie集内容包含发送到客户端浏览器并保存在客户端上的Cookie,用于识别客户端的身份属性或客户端与网站服务器会话的属性;
D3、网站服务器根据客户端访问请求,形成封装代码;
D4、网站防御系统的动态加密模块在封装代码中加入加密算法和客户端签名数据,该加密算法对网站服务器发送到客户端的返回代码进行加密,客户端签名数据则用以验证客户端身份的真实性;
D5、网站防御系统的动态令牌模块在封装代码中加入令牌,令牌包含客户端与网站服务器之间的会话信息,例如客户端标识、所使用的加密算法、所使用的封装数据的类型、将原始返回代码映射到加密数据的密钥等;
D6、网站防御系统生成发往客户端的返回代码。
所述在客户端、网站防御系统和网站服务器之间传输的访问请求包括以下步骤,其中网站防御系统因设置为代理模式,故将网站防御系统称为代理:
步骤201:客户端首次向网站服务器发起访问请求;
步骤202:代理从客户端接收访问请求,代理分析访问请求中是否存在可能触发警报的属性,例如访问请求通过不适当的链接发送、客户端被标识为“黑名单”设备、初始请求包含恶意签名等,如果未触发警报,则代理将访问请求转发给网站服务器;
步骤203:网站服务器响应客户端的首次访问请求,随后将返回代码发送至代理;
步骤204:代理向客户端转发网站服务器的返回代码,代理中的动态封装模块向客户端分发令牌、动态加密模块向客户端分发加密算法,用作客户端后续的访问请求的加密和客户端身份的验证;
步骤205:客户端再次发起访问请求并通过代理分发的加密算法对访问请求进行加密,代理通过动态传感器模块动态轮询客户端设备的特征信息;
步骤206:代理通过动态封装模块封装网站服务器发送给客户端的返回代码,代理通过动态信誉模块检测来自客户端的恶意攻击行为,同时将更新后的验证令牌提供给需要通过动态令牌模块进行验证的客户端;
步骤207:代理接收来自客户端的解密请求与客户端被赋予的令牌;
步骤208:代理通过令牌对客户端身份进行验证,验证通过后,再对客户端访问请求进行解密,并将解密后的访问请求转发至网站服务器;
步骤209:网站服务器将返回代码发送至代理。
步骤210:客户端接收经代理动态封装后的返回代码,并进行展示。
所述的动态加密模块的具体动态加密过程如下:
步骤301:动态加密模块开始执行动态加密流程;
步骤302:代理接收来自客户端发往网站服务器的访问请求,动态加密模块开始对客户端访问请求执行动态加密;
步骤303:在动态加密模块中已有的加密算法中选择用于与客户端通信的加密算法;
步骤304:将动态加密模块选择的加密算法发送到客户端;
步骤305:使用所选择的加密算法与客户端进行通信;
步骤306:基于多个因素来确定通信是否结束,例如客户端与网站服务器之间空闲时间过长、客户端主动终止通信、客户端存在较多恶意访问行为等,以上条件均可作为客户端与网站服务器之间通信结束的判定条件;
步骤307:若通信尚未终止,确定是否从客户端接收到新的访问请求;
步骤308:如果从客户端设备接收到新的访问请求,确定用于加密新的访问请求的加密算法是否与步骤305选择的加密算法是不是相同,若确定新的访问请求是使用在步骤305中选择相同的加密算法,则返回到步骤305继续使用所选择的加密算法与客户端设备通信;
步骤309:若确定用于加密新的访问请求未加密或者加密算法不同于在步骤305选择的加密算法,则修改与客户端相关联的风险配置文件,然后返回到步骤305,以根据修改后的风险配置文件继续与客户端通信;
步骤310:如果没有检测到来自客户端设备的新的访问请求,则确定是否触发算法改变,若确定没有触发算法改变,则返回到步骤305,以继续使用所选择的加密算法与客户端设备通信。
步骤311:如果确定触发算法改变,则选择用于与客户端设备通信的不同加密算法,然后返回到步骤304;
步骤312:若客户端与网站服务器的通信已结束,则完成动态加密,结束流程。
所述动态代码封装模块进行代码封装具体包括如下步骤:
步骤401:由动态代码封装模块对网站服务器的返回代码执行动态代码封装,代理接收由网站服务器响应客户端请求后返回代码;
步骤402:网站服务器向代理发送返回代码,此代码通常是响应来自客户端的访问请求而发送,例如会话、链接、表单或用户信息等;
步骤403:代理决定是否将返回代码翻译成不同的语言,代理在执行代码封装之前先将所有代码翻译成单个通用代码,例如超文本标记语HTML;
步骤404:如果代理决定进行返回代码翻译,则代理选择代码要翻译成的语言;
步骤405:代理将来自网站服务器的返回代码翻译成步骤404所选择的新语言;
步骤406:若不进行返回代码翻译,则代理分析来自网站服务器的返回代码以确定要封装的部分,代理可以搜索表单请求,或搜索保护代码部分的元数据,并使用管理员选择的算法来标识要封装的代码部分,同时,管理员定义被保护的代码属性,并由代理查找这些属性以选择代码的确定部分进行封装;
步骤407:代理确定是否选择第二种语言进行二次封装,或者是否使用默认的第二种封装语言;
步骤408:如果代理被配置为选择第二语言,则代理选择第二语言;
步骤409:代理对需要封装的代码用第二种语言进行封装;
步骤410:代理确定是否被配置为对部分或全部标识符进行加扰,并且将根据管理员提供的设置对标识符进行加扰,标识符与封装的代码具有关联性,其中加扰为对原有标识符通过特定的算法重新加密计算后进行干扰;
步骤411:如果代理被配置为对标识符进行加扰,则代理将添加扰标识符。解密加扰标识符的密钥通常将嵌入令牌中,以便当客户端返回与加扰标识符相关联的信息时,代理能够解密加扰信息;
步骤412:代理向客户端发送封装代码和非封装代码,并在客户端浏览器中呈现,以及可由代理用于解密返回请求的令牌;
步骤413:在代理接收到来自客户端的访问请求后,代理解码该访问请求,并确定该访问请求是否为该客户端发起,格式是否错误;
步骤414:如果访问请求格式不正确,则发送警报,该警报修改客户端设备的风险配置文件,通知并更新对应的设备和模块,对客户端风险行为进行识别;
步骤415:如果访问请求的格式正确,则由代理对访问请求进行解码,随后将请求发送到服务器。
所述动态分析模块测试信誉值的步骤为:
步骤501:由动态分析模块对客户端执行动态信誉测试;
步骤502:接收来自客户端发往服务器的访问请求;
步骤503:选择一组客户端特征信息以测试客户端安全状况,由安装在客户端上的小型应用执行命令,以轮询与客户端特征集相关联的客户端特征信息;
步骤504:向客户端发送与所选客户端特征信息相关的命令,一旦检索到客户端特征信息是正确的,将该特征信息嵌入加密令牌中,并将加密令牌与客户端特征信息一起发送回代理,以便后续检测客户端身份的真实性;
步骤505:代理在接收到客户端的访问请求时,根据预定基准验证客户端特征信息,以得到客户端的信誉值;
步骤506:基于客户端信誉值修改与客户端相关联的客户端配置文件;
步骤507:确定客户端与网站服务器之间的通信是否结束;
步骤508:当客户端与网站服务器之间的通信未结束时,确定是否触发客户端的特性信息的改变测试,其中改变测试是指重新选择一组客户端特征信息进行信誉值测试,若改变测试后客户端信誉值发生变化,可选取测试信誉值较高的一组客户端特征信息作为后续客户端信誉值测试的对象;
步骤509:如果不进行客户端的特征信息的改变测试,则代理继续与客户端通信;
步骤510:如果进行客户端特征信息的改变测试,则代理选择一组新的客户端特征信息来测试客户端设备,优选新的客户特征集,且该特征不同于先前的客户特征集,且客户端特征信息的数量也可以不同,随后返回到步骤504,向客户端设备发送与这组新的客户端特征信息相关的命令;
步骤511:客户端信誉值测试完成后,则完成动态分析模块检测,输出客户端信誉值,结束流程。
本发明在具体使用的时候,将网站防御系统设置在客户端与网站服务器之间,利用网络防御系统中设置的动态封装模块、动态令牌模块、动态加密模块、动态算法模块、动态信誉模块、动态分析模块、动态流量管理模块、请求处理模块对客户端发送至网站服务器的访问请求以及网站服务器发送至客户端的返回代码进行相应地处理,即动态封装模块、动态令牌模块、动态加密模块、动态算法模块来提高访问请求以及返回代码的安全性,并在网站防御系统中设置动态传感器模块对客户端的特征信息进行采集,而在网站防御系统中设置的数据采集模块则将采集到的异常访问信息提供给网站防御系统,利用动态分析模块、动态流量管理模块为客户端动态分配流量带宽,从而进一步保证访问请求以及返回代码的安全。
本发明实现了如下有益效果:
本发明提供的网站防御系统作为代理部署在客户端与服务器之间,对网站服务器发送的返回代码进行动态封装,将可能被攻击的返回代码进行加密以及语言翻译后转化为攻击者难以解析的内容,代理在每次封装过程中所采用的算法不同,可以根据选择性算法或随机算法选择要封装的代码,确保攻击者无法预测服务器行为,若代理检测到客户端报文格式不正确,则可触发适当的安全措施来调整与客户端的通信方式,本申请提供的网站防御系统在保证客户端与服务器正常交互的基础上,大幅提高攻击者开展网络攻击的难度,有效应对各类新兴及自动化攻击和未知安全威胁带来的挑战,降低因网络安全攻击导致的数据失泄密风险,保证了数据请求以及返回数据的安全性,也避免了客户端、网站服务器被网络攻击进行攻击的可能性,进一步保证了客户端、网站服务器的安全,也避免了传统网站防御手段无法在新兴安全问题上实现较好的防御效果的问题的出现。

Claims (4)

1.一种动态代码封装的网站防御系统,其特征在于,所述网站防御系统包括管理控制台、动态封装模块、动态令牌模块、动态加密模块、动态算法模块、动态传感器模块、动态信誉模块、数据采集模块、动态分析模块、动态流量管理模块、请求处理模块、客户端、网站服务器;
所述客户端发送的访问请求经请求处理模块进行安全性验证后传输至管理控制台,管理控制台则控制网站服务器根据访问请求发送返回代码至客户端;
管理员利用管理控制台提供的动态代码封装操作界面,并配置被访问网站服务器的接入模式、加密方式、动态封装模式、攻击判决模式、响应模式、访问控制策略;
所述动态封装模块以不同格式来对客户端的访问请求和网站服务器发送的返回代码进行封装;
所述动态令牌模块在客户端发起访问请求前向客户端发放令牌,客户端访问网站服务器期间通过动态令牌模块对客户端所持令牌进行实时校验;
所述动态加密模块用于加密来自客户端的访问请求和网站服务器返回的数据;
所述动态算法模块提供多种算法并与动态封装模块共同对客户端与网站服务器之间的交互数据进行不同算法模式下的封装;
所述动态信誉模块对客户端向网站服务器发起的访问请求进行可信度评估,评估得出的信誉值保存至信誉值数据库,并根据动态分析模块的分析对信誉值进行修改;
所述动态传感器模块用于收集客户端的特征信息;
所述数据采集模块从多个数据源中采集异常访问信息并提供给网站防御系统,其中数据源包括威胁情报系统、客户端异常访问行为,从而形成风险数据库;
所述动态分析模块对动态传感器模块、数据采集模块所收集到的客户端的特征信息与风险数据库进行关联分析;
所述所述动态流量管理模块根据动态信誉模块评估的信誉值,为客户端动态分配流量带宽;
所述网站防御系统所使用的网站防御方法的具体步骤包括如下:
S1、管理员通过管理控制台将网站防御系统设置为代理模式,并设置代理检测模块,代理检测模块对客户端向网站服务器发起的访问请求进行恶意行为检测,并根据检测出的恶意行为设置触发动作;
S2、网站防御系统的动态传感器模块对客户端的信息进行随机采集;
S3、网站防御系统的动态分析模块对采集到的各种数据进行关联分析,通过动态信誉模块对客户端信誉值进行动态评估,结合动态流量管理模块对用户访问流量进行调整;
S4、客户端向网站服务器发起访问请求,网站防御系统的请求处理模块接收访问请求,在网站防御系统的动态封装模块、动态令牌模块、动态加密模块和动态算法模块的共同作用下对访问请求进行加密后并发送至网站服务器;
S5、网站服务器针对客户端的访问请求进行内容反馈,请求处理模块对网站服务器的返回代码进行封装;
S6、网站防御封装系统将封装后的返回代码传输至客户端进行展示;
所述动态信誉模块评估的客户端的信誉值具体步骤为:
A1、令动态信誉模块评估的客户端的信誉值为v,取值范围为0至V,V1和V2分别表示第一信誉值与第二信誉值,且0≤V1≤V2≤V;
A2、认定信誉值低于第一信誉值的客户端为高危用户,可以完全阻止来自该客户端的访问请求;
A3、认定信誉值等于或高于第一信誉值但低于第二信誉值的客户端为中危客户,为其选择低带宽;
A4、认定信誉值高于第二信誉值的客户端为正常用户,为其选择高带宽。
2.如权利要求1所述的一种动态代码封装的网站防御系统,其特征在于,所述动态流量管理模块根据动态信誉模块评估的信誉值,为客户端动态分配流量带宽的具体步骤为:
B1、定义分配给客户端的流量上限值为F,网站服务器所容纳的最大访问流量为T,T1和T2分别表示流量第一阈值与流量第二阈值,且T1的取值范围为(0,T/2],而T2取值范围为(T1,T],则流量上限值F的计算公式如下:
其中,nF≤T,n为同一时间内访问网站服务器的客户端数量,分别利用流量第一阈值T1与流量第二阈值T2判断出低带宽与高带宽;
B2、当代理检测模块在访问请求中检测出恶意行为时,则动态流量管理模块客户端和网站服务器之间的流量带宽进行限制,设流量限制算子为α,客户端真实流量为f,其具体计算公式如下:
限制后的流量fnew计算公式如下:
客户端的真实流量f<T1时,称其为低流量客户端,客户端的真实流量T1≤f<T2时,称其为中流量客户端,客户端真实流量T2≤f<T时,称其为高流量客户端。
3.如权利要求1所述的一种动态代码封装的网站防御系统,其特征在于,所述步骤S4中网站防御系统生成从客户端发送到网站服务器的访问请求的具体步骤为:
C1、网站防御系统中的请求处理模块接收客户端发往网站服务器的访问请求;
C2、网站防御系统中的请求处理模块对客户端的访问请求进行处理,重新形成报头、代理Cookie集和目标地址;
C3、动态令牌模块形成令牌集,所述令牌集包括发送到客户端的令牌、由客户端编译的令牌;
C4、动态加密模块和动态算法模块共同形成签名数据及加密请求,其中签名数据包括从客户端收集的客户端特征信息,加密请求包括发送到网站服务器的加密的访问请求;
C5、动态封装模块封装后的访问请求发往网站服务器。
4.如权利要求1所述的一种动态代码封装的网站防御系统,其特征在于,所述步骤S5将网站防御系统作为代理,对网站服务器发送到客户端的返回代码进行封装的具体步骤为:
D1、网站服务器根据客户端的访问请求,形成返回代码发送至代理,代理的请求处理模块接收网站服务器发往客户端的返回代码;
D2、请求处理模块对网站服务器的返回代码进行处理,得到返回代码的报头与代理Cookie集;
D3、网站服务器根据客户端访问请求,形成封装代码;
D4、网站防御系统的动态加密模块在封装代码中加入加密算法和客户端签名数据,该加密算法对网站服务器发送到客户端的返回代码进行加密,客户端签名数据则用以验证客户端身份的真实性;
D5、网站防御系统的动态令牌模块在封装代码中加入令牌;
D6、网站防御系统生成发往客户端的返回代码。
CN202210895840.3A 2022-07-27 2022-07-27 一种动态代码封装的网站防御系统 Active CN115277201B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210895840.3A CN115277201B (zh) 2022-07-27 2022-07-27 一种动态代码封装的网站防御系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210895840.3A CN115277201B (zh) 2022-07-27 2022-07-27 一种动态代码封装的网站防御系统

Publications (2)

Publication Number Publication Date
CN115277201A CN115277201A (zh) 2022-11-01
CN115277201B true CN115277201B (zh) 2023-09-26

Family

ID=83770029

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210895840.3A Active CN115277201B (zh) 2022-07-27 2022-07-27 一种动态代码封装的网站防御系统

Country Status (1)

Country Link
CN (1) CN115277201B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116545650B (zh) * 2023-04-03 2024-01-30 中国华能集团有限公司北京招标分公司 一种网络动态防御方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105282160A (zh) * 2015-10-23 2016-01-27 绵阳师范学院 基于信誉的动态访问控制方法
WO2016040506A1 (en) * 2014-09-13 2016-03-17 Advanced Elemental Technologies, Inc. Methods and systems for secure and reliable identity-based computing
CN109688119A (zh) * 2018-12-14 2019-04-26 北京科技大学 一种云计算中的可匿名追踪性身份认证方法
CN111464503A (zh) * 2020-03-11 2020-07-28 中国人民解放军战略支援部队信息工程大学 基于随机多维变换的网络动态防御方法、装置及系统
CN113079132A (zh) * 2021-02-26 2021-07-06 西安电子科技大学 海量物联网设备认证方法、存储介质、信息数据处理终端
CN113839945A (zh) * 2021-09-23 2021-12-24 北京交通大学 一种基于身份的可信接入控制系统和方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9374369B2 (en) * 2012-12-28 2016-06-21 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016040506A1 (en) * 2014-09-13 2016-03-17 Advanced Elemental Technologies, Inc. Methods and systems for secure and reliable identity-based computing
CN105282160A (zh) * 2015-10-23 2016-01-27 绵阳师范学院 基于信誉的动态访问控制方法
CN109688119A (zh) * 2018-12-14 2019-04-26 北京科技大学 一种云计算中的可匿名追踪性身份认证方法
CN111464503A (zh) * 2020-03-11 2020-07-28 中国人民解放军战略支援部队信息工程大学 基于随机多维变换的网络动态防御方法、装置及系统
CN113079132A (zh) * 2021-02-26 2021-07-06 西安电子科技大学 海量物联网设备认证方法、存储介质、信息数据处理终端
CN113839945A (zh) * 2021-09-23 2021-12-24 北京交通大学 一种基于身份的可信接入控制系统和方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Mesh网络中基于节点信誉度和标识的可信认证;罗旬等;信息技术(第06期);全文 *

Also Published As

Publication number Publication date
CN115277201A (zh) 2022-11-01

Similar Documents

Publication Publication Date Title
CN108471432B (zh) 防止网络应用程序接口被恶意攻击的方法
US8302170B2 (en) Method for enhancing network application security
CN111464503B (zh) 基于随机多维变换的网络动态防御方法、装置及系统
CN110677234B (zh) 一种基于同态加密区块链的隐私保护方法与系统
CN113037477A (zh) 一种基于Intel SGX的Kerberos安全增强方法
CN106411948A (zh) 一种基于json验证码的安全认证拦截的方法
CN115277201B (zh) 一种动态代码封装的网站防御系统
CN113918967A (zh) 基于安全校验的数据传输方法、系统、计算机设备、介质
Akhtar et al. A systemic security and privacy review: Attacks and prevention mechanisms over IOT layers
CN106850592B (zh) 一种信息处理方法、服务器及终端
KR20130085473A (ko) 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템
US20230179433A1 (en) Systems and Methods for Distributed, Stateless, and Dynamic Browser Challenge Generation and Verification
CN116743470A (zh) 业务数据加密处理方法及装置
CN114938313B (zh) 一种基于动态令牌的人机识别方法及装置
Pansa et al. Architecture and protocols for secure LAN by using a software-level certificate and cancellation of ARP protocol
CN114039748A (zh) 身份验证方法、系统、计算机设备和存储介质
Rani et al. Classification of Security Issues and Cyber Attacks in Layered Internet of Things
CN108289102B (zh) 一种微服务接口安全调用装置
Joseph et al. Cookie based protocol to defend malicious browser extensions
CN115118455B (zh) 面向网页安全的基于属性加密访问控制反爬虫系统及方法
Rahimi A Study of the Landscape of Security Issues, Vulnerabilities, and Defense Mechanisms in Web Based Applications
US11356415B2 (en) Filter for suspicious network activity attempting to mimic a web browser
Liu et al. Design of network terminal data security protection system in cloud computing environment
Li et al. Research on the Security Protection of Secondary Distribution System Based on Software Defined Perimeters
Kaur et al. Potential Security Requirements in IoT to Prevent Attacks and Threats

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant