基于动态域名的web应用安全防护方法、系统及服务器技术方案

本发明专利技术属于互联网安全领域，特别涉及一种基于动态域名的web应用安全防护方法、系统及服务器，该系统包含：用于提供在线服务并允许身份认证通过的客户端用户进行访问的应用程序服务器，由分布式计算机组成并通过在计算机上部署代理服务软件来代理转发客户端和服务器之间数据流量的代理节点，用于对客户端用户进行身份认证并对认证通过的用户分配有效代理节点的认证服务器，用于检测和收集用户异常行为并触发认证服务器重新动态分配有效代理节点至异常用户的管理服务器，及围绕应用程序服务器设置并用于利用有效代理节点列表来限制入站流量的多路由器。本发明专利技术可阻断分布式拒绝服务攻击，保护租户正常访问web服务器，有效抵御外部DDos攻击和内部攻击。抵御外部DDos攻击和内部攻击。抵御外部DDos攻击和内部攻击。

【技术实现步骤摘要】
基于动态域名的web应用安全防护方法、系统及服务器


[0001]本专利技术属于互联网安全领域，特别涉及一种基于动态域名的web应用安全防护方法、系统及服务器。

技术介绍

[0002]随着互联网的发展，日常生活已经离不开Web应用，比如淘宝、12306买票、远程办公等。国际知名厂商Symantec的一项调查表明，世界上90％的漏洞是Web漏洞。Web应用安全问题成为了当前面临最大的安全隐患，例如SQL注入、跨站脚本、域名劫持、DDoS等主流攻击主要是针对Web系统，而目前Web应用配置的静态性使其容易遭受攻击。目前国内外针对Web系统的 DDoS攻击防御已有一定的研究，如：基于IP地址过滤的技术，该技术从用户分类的角度分析不同用户所表现出的流量特征，并针对不同用户采取不同的策略；将一个轻量级的DDoS攻击阻塞程序部署在SDN控制器上，该阻塞程序可区分合法用户和僵尸主机，将合法用户引至真实Web服务端口；根据目的IP地址熵的变化对SDN网络中的域名劫持攻击进行检测，取得了良好效果；使用一种名为Apache Spark的DDoS攻击检测和缓解技术，该技术可对DDoS攻击行为进行分析，然后通过控制器反馈分析结果，从而更好的进行针对性的防御；名为“MulitQ”的多队列SDN控制器调度算法，利用轮询机制处理不同交换机发送过来的流请求，该算法能在一定程度上缓解针对域名的攻击对内部SDN交换机的影响；利用SDN网络控制面和数据转发平面的工作原理，制定DDoS攻击防御策略，取得一定效果；及基于FlowRanger队列优先级的Web攻击检测算法，提高控制器防御分布式气绝服务攻击的能力。但上述的web系统防护方案需要对现有网络和/或部署的信息系统进行改造，增加开发部署成本。

技术实现思路

[0003]为此，本专利技术提供一种基于动态域名的web应用安全防护方法、系统及服务器，能够降低攻防双方的不对称地位对网络系统安全的影响和网络防御成本，保护web服务器正常访问和防止分布式拒绝服务(DDoS)攻击，能够通过认证服务器、代理节点、过滤器三道防线来形成纵深防护体系，有效抵御外部的DDos攻击和内部人员攻击。
[0004]按照本专利技术所提供的设计方案，一种基于动态域名的web应用安全防护系统，包含：用于提供在线服务并允许身份认证通过的客户端用户进行访问的应用程序服务器，由分布式计算机组成并通过在计算机上部署代理服务软件来代理转发客户端和服务器之间数据流量的代理节点，及用于防御系统内外部攻击的多级防护架构，所述多级防护架构包含：用于对客户端用户进行身份认证并对认证通过的用户分配有效代理节点的认证服务器，用于检测和收集用户异常行为并触发认证服务器重新动态分配有效代理节点至异常用户的管理服务器，及围绕应用程序服务器设置并用于通过利用有效代理节点列表来限制入站流量的多路由器。
[0005]作为本专利技术基于动态域名的web应用安全防护系统，进一步地，管理服务器通过设
置在各代理节点上的监控程序检测代理节点域名信息是否存在泄漏风险及访问者用户异常信息。
[0006]作为本专利技术基于动态域名的web应用安全防护系统，进一步地，还包含：用于隔离内部共谋攻击的隔离模块，该隔离模块将代理节点按照预设比例划分为活动代理节点列表、混洗代理节点列表和预备代理节点列表，其中，活动代理节点列表用于存储开启代理服务并随机分配给客户端用户的活动代理节点，混洗代理节点列表用于存储未开启代理服务并在活动代理节点受攻击时为该活动代理节点客户端用户提供代理服务的混洗代理节点，预备代理节点列表用于存储未开启代理服务并对各代理节点受攻击时进行动态替换的预备代理节点，利用混洗代理节点并通过洗牌算法寻找共谋攻击者。
[0007]进一步地，本专利技术还提供一种基于动态域名的web应用安全防护方法，包含：针对客户端用户的访问请求，认证服务器对用户进行身份认证，并向认证通过的合法用户从代理节点池中随机分配代理节点，合法用户通过该代理节点获取应用程序服务器数据，代理节点和客户端用户之间形成多对一映射关系；同时，管理服务器监测代理节点及用户访问异常信息，并从代理节点列表中移除受攻击代理节点，身份认证服务器对使用该受攻击代理节点的合法用户重新分配有效代理节点；围绕应用程序服务器部署的过滤器对入站流量进行过滤，仅允许合法代理节点入站流量。
[0008]作为本专利技术基于动态域名的web应用安全防护方法，进一步地，多对一映射关系中，依据应用服务类型每个代理节点设置容纳至少1个客户端用户，每个客户端用户仅被指派到一个代理节点。
[0009]作为本专利技术基于动态域名的web应用安全防护方法，进一步地，将代理节点池中代理节点按照预设比例划分为活动代理节点列表、混洗代理节点列表和预备代理节点列表，其中，活动代理节点列表用于存储开启代理服务并随机分配给客户端用户的活动代理节点，混洗代理节点列表用于存储未开启代理服务并在活动代理节点受攻击时为该活动代理节点客户端用户提供代理服务的混洗代理节点，预备代理节点列表用于存储未开启代理服务并对各代理节点受攻击时进行动态替换的预备代理节点。
[0010]作为本专利技术基于动态域名的web应用安全防护方法，进一步地，将受攻击代理节点所属客户端用户通过混洗代理节点集中服务，利用洗牌算法寻找内部共谋攻击者，同时取消该代理节点用户权限。
[0011]作为本专利技术基于动态域名的web应用安全防护方法，进一步地，洗牌算法中，设置用于存储合法客户端用户的正常用户列表和用于存储异常行为客户端用户的可疑用户列表，管理服务器监测到代理节点受攻击时，将受攻击的代理节点所有客户端用户移出正常用户列表，从混洗代理节点列表中随机分配混洗代理节点至受攻击的代理节点客户端用户，并将受攻击的代理节点移出活动代理节点，对可疑用户列表中客户端用户进行筛查来查找出内部共谋攻击者。
[0012]作为本专利技术基于动态域名的web应用安全防护方法，进一步地，对可疑用户列表中客户端用户进行筛查中，通过管理服务器监测代理节点受攻击行为，寻找随机分配的混洗代理节点中受到攻击的代理节点客户端用户，并将未受攻击的混洗代理节点客户端用户重新纳入正常用户列表，从预备代理节点列表中随机选取代理节点分配给该重新纳入正常用户列表的客户端用户，该从预备代理节点列表中随机选取的代理节点移入活动代理节点列
表，并再次从混洗代理节点列表中随机分配混洗代理节点至受攻击的代理节点客户端用户，迭代执行重复监测内容，直至查找出内部共谋攻击者。
[0013]本专利技术的有益效果：
[0014]本专利技术通过使用一组动态数据包间接代理客户端和服务器之间转发的数据流量，可以有效地阻止外部攻击者直接攻击网络基础设施的意图；对于内部共谋攻击者，可通过定时更换客户端与服务器之间的代理节点，来减轻内部攻击的风险并过滤掉假阳性客户端；且具有强大的可嵌入性，开发部署成本低，系统可随时扩展，具有较强的可行性。并进一步利用仿真实验表明，本案方案可以有效控制跳变开销，同时增强网络智能防御的动态性、欺骗性和对抗性，为网络主动防御提供思路和本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于动态域名的web应用安全防护系统，包含：用于提供在线服务并允许身份认证通过的客户端用户进行访问的应用程序服务器，由分布式计算机组成并通过在计算机上部署代理服务软件来代理转发客户端和服务器之间数据流量的代理节点，及用于防护系统内外部攻击的多级防护架构，其特征在于，所述多级防护架构包含：用于对客户端用户进行身份认证并对认证通过的用户分配有效代理节点的认证服务器，用于检测和收集用户异常行为并触发认证服务器重新动态分配有效代理节点至异常用户的管理服务器，及围绕应用程序服务器设置并用于通过利用有效代理节点列表来限制入站流量的多路由器。2.根据权利要求1所述的基于动态域名的web应用安全防护系统，其特征在于，管理服务器通过设置在各代理节点上的监控程序检测代理节点域名信息是否存在泄漏风险及访问者用户异常信息。3.根据权利要求1所述的基于动态域名的web应用安全防护系统，其特征在于，还包含：用于隔离内部可疑攻击者的隔离模块，该隔离模块将代理节点按照预设比例划分为活动代理节点列表、混洗代理节点列表和预备代理节点列表，其中，活动代理节点列表用于存储开启代理服务并随机分配给客户端用户的活动代理节点，混洗代理节点列表用于存储未开启代理服务并在活动代理节点受攻击时为该活动代理节点客户端用户提供代理服务的混洗代理节点，预备代理节点列表用于存储未开启代理服务并对各代理节点受攻击时进行动态替换的预备代理节点，利用混洗代理节点并通过洗牌算法寻找内部可疑攻击者。4.一种基于动态域名的web应用安全防护方法，其特征在于，基于权利要求1所述的系统实现，其实现过程包含如下内容：针对客户端用户的访问请求，认证服务器对用户进行身份认证，并向认证通过的合法用户从代理节点池中随机分配代理节点，合法用户通过该代理节点获取应用程序服务器数据，代理节点和客户端用户之间形成多对一映射关系；同时，管理服务器监测代理节点及用户访问异常信息，并从代理节点列表中移除受攻击代理节点，身份认证服务器对使用该受攻击代理节点的合法用户重新分配有效代理节点；围绕应用程序服务器部署的过滤器对入站流量进行过滤，仅允许合法代理节点入站流量。5.根据权利要求4所述的基于动态域名的web应用安全防护方法，其特征在于，多对一映射关系中，...

【专利技术属性】
技术研发人员：胡浩，宋莹炯，刘玉岭，刘桂林，周逸群，蒲志东，刘子涵，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：