技术领域
[0001] 本
发明涉及网络安全技术,具体涉及终端web防护技术。
背景技术
[0002] 随着
大数据的发展,
服务器每天处理的数据量非常的巨大,其存在的各类隐私安全问题,使得服务器非常容易受到攻击。一旦被黑客或者不法分子盯上,服务器遭受这些攻击,带来的后果将是无法估量的。
[0003] 针对服务器攻击,目前采用的都是添加防护系统、各类杀毒
软件;但是这类技术存在诸多的
缺陷,在实际应用过程中,并不能够有效解决问题。
[0004] 据此,人们设计出了利用
云端或者本地安装防护软件的方案,这类安全防护方案对攻击的类型过滤不多,并且缺少实时统计用户服务器被攻击的数据,并且用户如果要防护自己的服务器可能需要联系厂商,过程繁琐。
发明内容
[0005] 针对现有服务器采用的安全防护技术所存在的问题,需要一种新的服务器防护技术。
[0006] 为此,本发明的目的在于提供一种终端web防护系统,同时据此提供一种终端web防护方法,能够快速便捷对提高服务器的防护能
力。
[0007] 为了达到上述目的,本发明提供的终端web防护系统,包括:
[0008] 初始化模
块,所述初始化模块完成权限授权,根据对应的权限完成配置加载、语义引擎加载、
机器学习模型加载以及规则加载;
[0009] 报文解析模块,所述报文解析模块包括报文解析引擎和报文解码引擎;
[0010] 攻击检测模块,所述攻击检测模块包括规则检测引擎、语义检测引擎、机器学习检测引擎;
[0011] 过虑防护模块,所述过虑防护模块包括防护引擎;
[0012] 攻击日志收集模块,包括攻击日志平台,日志存储单元,统计分析单元自以及攻击日志队列。
[0013] 进一步的,所述规则检测引擎进行SQL注入检测,XSS注入检测,以及PHP注入检测。
[0014] 进一步的,所述语义分析引擎进行JAVA注入检测,CSRF注入检测,以及SSRF注入检测。
[0015] 进一步的,所述机器学习检测引擎进行文件包含攻击检测,文件上传攻击检测以及PHP代码注入检测。
[0016] 为了达到上述目的,本发明提供的终端web防护方法,包括:
[0017] (1)针对待处理服务器的域名信息,选择对应防护版本和授权时间,向云端提交授权
申请;
[0018] (2)在授权申请通过后,下载对应版本
权利要求1-4中任一项所述的终端web防护系统,下载完毕后安装到通过授权申请的域名服务器上;
[0019] (3)终端web防护系统对域名服务器进行实时防护,并进行攻击信息收集。
[0020] 进一步的,所述步骤(1)中待处理服务器的域名信息保存到云端中心
数据库。
[0021] 进一步的,所述步骤(3)中由终端web防护系统将收集到的攻击统计信息,传给云端控制中心,根据
请求从云端控制中心调取。
[0022] 本发明提供的方案能够使得用户快速高效的为对应的服务器添加安全防护,本地防护更加安全,自由选择防护软件版本和时间,操作便捷。
[0023] 同时,本方案还能够实时统计攻击数据,用户能够实时监控自己的服务器,能够查看实时攻击信息。
附图说明
[0024] 以下结合附图和具体实施方式来进一步说明本发明。
[0025] 图1为本发明实例中终端web防护系统的构成示例图;
[0026] 图2为本发明实例中攻击检测模块的构成示意图;
[0027] 图3为本发明实例中进行终端web防护的实施
流程图。
具体实施方式
[0028] 为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
[0029] 参见图1,其所示为本实例给出的基于Nginx反向代理的终端web防护系统的系统组成示例图。
[0030] 该基于Nginx反向代理的终端web防护系统主要包括终端web防护软件程序,该终端web防护程序存储在相应的计算机可读介质中,并可运行在相应的计算机设备中,由计算机设备中的处理器调用执行时能够基于Nginx反向代理快速高效的为服务器添加安全防护。
[0031] 反向代理服务器可以作为内容服务器的替身,也可以作为内容服务器集群的负载均衡器,代理服务器来接受Internet上的连接请求,然后将请求转发给内部网络上的服务器;并将从服务器上得到的结果返回给Internet上请求连接的客户端。
[0032] 由图可知,该终端web防护系统100主要包括:初始化模块110、报文解析模块120、攻击检测模块130、过虑防护模块140、攻击日志收集模块150。
[0033] 其中,初始化模块110完成权限授权,根据对应的权限完成配置加载、语义引擎加载、机器学习模型加载以及规则加载,据此配合完成系统的初始化配置。
[0034] 报文解析模块120包括报文解析引擎和报文解码引擎,由此完成报文的解析和解码。
[0035] 攻击检测模块130包括规则检测引擎、语义检测引擎、机器学习检测引擎,由此完成各项检测。
[0036] 参见图2,规则检测引擎进行SQL注入检测,XSS注入检测,以及PHP注入检测。
[0037] 语义分析引擎进行JAVA注入检测,CSRF注入检测,以及SSRF注入检测。
[0038] 机器学习检测引擎进行文件包含攻击检测,文件上传攻击检测以及PHP代码注入检测。
[0039] 本攻击检测模块中拥有精准、高效的攻击检测规则800多条,
覆盖所有的攻击类型,同时使用基于大数据和机器学习建模的语义分析和机器学习分析引擎,针对可疑sql注入、xss注入和webshell攻击做深入检测,打造高效、精准和智能的立体检测体系,最大程度减少误报和漏报,为
网站的安全保驾护航。
[0040] 过虑防护模块140包括防护引擎,用于完成系统各项防护。
[0041] 攻击日志收集模块150,包括攻击日志平台,日志存储单元,统计分析单元自以及攻击日志队列,由此完成各种攻击的信息的收集和统计。
[0042] 由此构成的终端web防护系统能够高效处理超高并发请求的同时,能对请求进行深入的攻击检测和防护;内置全面、高效、精准的漏洞攻击检测规则,全方位保护web网站免受攻击;可对请求报文进行深度解码,避免通过多重复杂编码绕过防护进行攻击;同时基于机器学习打造高效精准和智能的立体检测体系,最大程序减少误报和漏报,为网站的安全保驾护航。
[0043] 再者,本系统拥有灵活方便部署方式,可根据需要选择公有化或私有化部署;同时可提供不同版本,以超高的性价比提供灵活多样的防护体系
[0044] 本基于Nginx反向代理的终端web防护系统在应用时,用户可通过在线注册网站,添加服务器域名等信息,能够实现在线操作,又能够给用户提供各种详细的统计数据,由此能够快速高效的解决用户需要防护自己的服务器繁琐的问题。作为举例,以下说明一下利用本基于Nginx反向代理的终端web防护系统对服务器进行在线快速添加安全防护的过程。
[0045] 本应用实例,形成终端web防护的云端网站,可提供终端客户端web防护软件下载,并据此进行部署。这里的客户端web防护软件基于本实例中的终端web防护系统来形成,在安装到相应的域名服务器上后,可对该域名服务器进行实时的防护。
[0046] 参见图3,其所示为本实例基于Nginx反向代理进行终端web防护的实施流程,整个流程包括如下步骤:
[0047] (1)用户注册本网站并登陆。
[0048] 注册后可以在线申请域名防护,在线查看域名状况。
[0049] (2)添加自己的域名信息,选择对应防护版本、授权时间,向云端提交授权申请,并等待软件代理商通过,在软件代理商授权通过之前可撤销申请。
[0050] 用户登录后,可在域名管理模块添加域名信息,用户注册时需要选择对应的软件代理商,版本由软件代理商提供。
[0051] 将用户的域名信息保存中心数据库,避免重复添加,以及后续安装客户端的时候匹配到对应域名,实现对对应域名的防护。
[0052] 再者,用户根据对应的
操作系统、过滤规则的数量来确定的对应的防护软件版本。
[0053] (3)软件代理商通过授权申请后,对应域名的状态改变,使得域名由最开始的未授权-申请通过后的已授权状态;针对该授权的域名,根据该域名提交申请时所选择的版本,提供对应版本的客户端防护软件下载;用户可将客户端防护软件下载到本地,并安装到通过授权申请的域名的服务器上。
[0054] (4)安装域名服务器上的客户端防护软件,根据其上的初始化模块来完成软件配置,同时基于报文解析模块、攻击检测模块、过虑防护模块、攻击日志收集模块,实现对服务器的实时保护和攻击收集。同时,用户可以查看域名实时攻击状态,攻击类型,攻击源ip等各类丰富的统计信息。
[0055] 这里的统计信息是客户端软件收集而来,传给云端网站的控制中心,然后可根据请求从控制中心调取查询来形成,如可根据时间、域名等属性来统计。
[0056] 由上实例可知,本方案能够高效且实时的为对应的服务器添加安全防护,大大提高服务器的本地安全性能。
[0057] 最后需要说明的,上述本发明的方法,或特定系统单元、或其部份单元,为纯软件架构,可以透过程序代码布设于实体媒体,如
硬盘、光盘片、或是任何
电子装置(如智能型手机、计算机可读取的储存媒体),当机器加载程序代码且执行(如智能型手机加载且执行),机器成为用以实行本发明的装置。上述本发明的方法与装置亦可以程序代码型态透过一些传送媒体,如
电缆、光纤、或是任何传输型态进行传送,当程序代码被机器(如智能型手机)接收、加载且执行,机器成为用以实行本发明的装置。
[0058] 以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述
实施例的限制,上述实施例和
说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
