[发明专利]一种WEB动态安全防御方法和系统

说明书

本发明揭露了一种WEB动态安全防御方法和系统，本发明基于移动目标防御技术思路，提供一种面向WEB服务系统的主动动态防御机制，在受保护的WEB应用服务系统未受到攻击时，主动变换服务入口或资源地址，不但有效隐藏保护了服务器后台的信息，而且通过随机化动态编码技术方式实现了系统受攻击面的动态化和不确定性，提高了网络攻击实施的难度，有效加强了WEB应用服务系统的抗攻击能力。

技术领域

本发明涉及信息安全领域，特别是一种WEB动态安全防御方法和系统。

背景技术

信息安全的重要性已经上升到国家战略层面。虽然传统信息安全设备商与服务商提供了诸多解决方案，国家的法律法规以及相关标准也规定了严格的安全管理制度，但是信息安全问题仍然无法杜绝。例如，网页防篡改事件，网站挂马事件，网站数据加密勒索事件等时有发生并造成经济损失以及恶劣的社会影响。

剖析网络安全现状，造成信息安全领域“易攻难守”局面的原因，主要是传统的WEB应用安全的防护方案存在“短板”。现有信息安全采取的是“查漏补缺”的防御方式，而安全漏洞往往具有不可预知性。“事后补救”安全防御机制造成了的信息防御态势被动的局面。因此，传统的边界防御安全机制，对已知的为威胁和漏洞具备防御效果，但是对未知缺陷和威胁如未知漏洞后门、未知病毒木马等造成的系统脆弱性）缺乏良好防御手段，陷入“治标不治本”的困境。因此需要一种有效的安全机制，打破漏洞与安全间的因果关系，做到“有没有漏洞，都能确保安全”，扭转信息安全防御被动的态势。

目前WEB应用安全往往采用应用防火墙或者入侵防御设备进行防护，这些设备采用传统的基于规则匹配的防御方式，无法实现对漏洞完备防御，一方面，对未知缺陷和威胁缺乏有效的防御手段，在攻防态势上完全被动，无法主动防御新出现的漏洞及威胁风险，如果相关补丁不及时极易造成“零天攻击”风险。另一方面，传统的应用防火墙WAF）在安全规则全开的情况下，性能下降严重，甚至于宕机的情况出现，而在现实中，应用系统的相关漏洞随着时间推移会不断暴露积累，不可避免造成传统防御产品种规则库不断增大扩容，考虑到性能可行性因素，使得应用系统的维护将陷入安全与运行之间的两难境地。

因此设计一种可以有效地隐藏后台真实资源地址，对资源地址的动态化处理，使得网络攻击者的攻击目标动态化，从而提高WEB应用抗攻击能力的系统具有重要的现实意义和广阔的应用前景。

发明内容

本发明其中一个目的在于提供一种WEB动态安全防御方法和系统，所述方法采用动态主动防御的方式，本发明优选地在采用代理服务器的方式对原有WEB应用服务系统实施防护。

本发明在不影响业务流程以及用户体验的前提下，实现了WEB资源地址的虚拟化以及一次性编码变换，使得网络攻击者的攻击目标动态化、无法预测攻击切入口，并且有效隐藏服务器后台信息。

本发明实现一种主动防护机制和动态防御机制，在受保护的WEB应用服务系统未受到攻击时，主动变换服务入口或资源地址，并通过随机化动态编码技术方式实现了系统受攻击面的动态化和不确定性，提高了网络攻击实施的难度，有效加强了WEB应用服务系统的抗攻击能力。

本发明提供一种WEB动态安全防御方法，用于对网络服务入口以及资源地址等相关信息随机化动态编码，其中所述相关信息包括服务入口、资源地址、URI统一资源标识符、文件信息、页面信息、目录、网络地址中的至少一种，包括如下步骤：

S01、WEB终端10向服务端发起WEB请求，所述服务端包括WEB反向代理20和WEB应用服务端30，所述WEB请求在传送至服务端时先经WEB反向代理20接收处理;

S02、所述WEB反向代理20接收所述WEB请求，通过安全编码模块21完成对WEB请求数据包的解析和译码处理工作，并转发至WEB应用服务端30；

S03、WEB应用服务端30接收到所述WEB请求数据包，根据原有应用逻辑完成请求资源或者数据的处理，并完成WEB响应数据包的创建；