本发明涉及网络安全,具体为一种web网站安全隔离防护方法及系统。
背景技术:
1、在互联网时代,越来越多的企业都逐渐充分利用网络和信息相关技术的成果,积极推广web网站建设,很多都拥有自己的web网站,公文收发、信息传递、网络协同工作、网上社区和虚拟媒体等与人类在互联网时代紧密联系的网络运用,已经成为工作与生活中不可或缺的一部分,人们在享受互联网的便捷的同时,也面临着越来越多的安全威胁和潜在的安全隐患,稍微不注意就可能造成巨大经济利益损失。
2、更多的合作伙伴通过互联网进行数据交互,移动生产,远程办公,it外包厂商等通过互联网接入企业内部网络的情况将更加频繁,互联网接入风险增加,web服务日益成为网络攻击的重点目标,网页篡改、暴力破解、零日漏洞攻击、数据泄露等安全事件频发,用户通过浏览器访问网站,由于web页面越来越依赖脚本语言,恶意攻击者正在利用脚本作为新的攻击媒介来窃取敏感信息,现有依靠基于签名的传统应用安全防护系统,存在对web请求理解不一致从而导致攻击绕过,在误杀和漏报之间不能很好做出平衡,在面对大量网页中潜在的网络威胁动态变化时难以进行有效的防护,因此,提供一种用于web网站访问的安全隔离防护系统,解决上述背景描述的问题。
技术实现思路
1、鉴于上述存在的问题,提出了本发明。
2、因此,本发明解决的技术问题是:现有的web网站访问的安全防护方法存在准确度低,平衡性差,效率低,以及如何隐藏原web网站暴露面信息,隔离用户在线浏览活动对网站发起的恶意软件攻击和web网络攻击的问题。
3、为解决上述技术问题,本发明提供如下技术方案:一种web网站安全隔离防护方法,包括采集用户终端访问web网站产生的流量数据,计算用户终端访问的web网站暴露概率;基于暴露概率阈值为用户提供不同隔离区的远程浏览器,进行防护策略管理;对web网站内容进行渲染通过协议输出页面内容至浏览器,用户通过浏览器访问web网站进行会话操作。
4、作为本发明所述的web网站安全隔离防护方法的一种优选方案,其中:所述流量数据包括http请求头、http请求体、http响应头以及http响应体;http请求头为用户终端发送给web服务器的元数据包括浏览器类型、可接受的响应内容类型以及cookies;http请求体为用户终端发送给web服务器的请求内容包括单数据以及上传的文件;http响应头为web服务器返回给用户终端的元数据包括响应状态码、响应的内容类型以及设置cookie;http响应体为web服务器返回给用户终端的响应内容包括html页面、图片以及脚本文件。
5、作为本发明所述的web网站安全隔离防护方法的一种优选方案,其中:所述计算用户终端访问的web网站暴露概率包括基于流量数据,计算用户终端访问的web网站暴露概率p,表示为:
6、
7、其中,t1表示为初始时间点,t2表示为最终时间点,w为权重因子变量,w为流量数据权重因子,s为用户终端的安全等级因子,g为web网站的安全等级因子,t为用户访问web网站的时间分布。
8、作为本发明所述的web网站安全隔离防护方法的一种优选方案,其中:所述提供不同隔离区的远程浏览器包括通过websocket私有子协议将用户终端浏览器与隔离容器中的远程浏览器建立通信连接,基于暴露概率阈值为用户提供不同隔离区的远程浏览器;当暴露概率大于40%时,用户通信连接中断,不提供远程浏览器;当暴露概率大于10%小于40%时,为用户提供b类隔离区的远程浏览器,b类隔离区中的远程浏览器限速至100kbps,满足用户图文浏览操作;当暴露概率小于10%时,为用户提供a类隔离区的远程浏览器,a类隔离区中的远程浏览器无限速。
9、作为本发明所述的web网站安全隔离防护方法的一种优选方案,其中:所述提供不同隔离区的远程浏览器还包括通过远程浏览器对用户终端访问web网站进行防护策略管理,管理内容包括将网页暴露面信息隐藏、防爬虫、ip黑白名单、url黑白名单、文件上传下载、复制、剪切、粘贴以及打印,隔离用户在线浏览活动对网站发起的恶意软件攻击和web网络攻击。
10、作为本发明所述的web网站安全隔离防护方法的一种优选方案,其中:所述进行防护策略管理包括限制b类隔离区的远程浏览器操作时长,记录用户在b类隔离区的远程浏览器中进行的操作,实时更新web网站暴露概率p;用户在b类隔离区的远程浏览器中进行操作时长每达到一小时,实时暴露概率增加5%,基于增加后的实时暴露概率阈值对用户通信连接进行处理;当实时暴露概率基于初始暴露概率提升幅度大于20%时,用户通信连接中断,不提供远程浏览器进行操作;当实时暴露概率基于初始暴露概率降低幅度大于20%时,为用户提供一小时a类隔离区的远程浏览器进行操作,使用时遵循暴露概率阈值对应隔离区的分配。
11、作为本发明所述的web网站安全隔离防护方法的一种优选方案,其中:所述对web网站内容进行渲染包括重构网页可视内容的原始图像画面,通过websocket私有子协议发送到用户终端浏览器,用户通过浏览器访问web网站进行会话操作。
12、本发明的另外一个目的是提供一种web网站安全隔离防护系统,其能通过基于暴露概率阈值为用户提供不同隔离区的远程浏览器,进行防护策略管理,解决了目前的web网站访问的安全防护含有效率低的问题。
13、作为本发明所述的web网站安全隔离防护系统的一种优选方案,其中:包括数据采集计算模块,隔离防护模块,网站渲染模块;所述数据采集计算模块用于采集用户终端访问web网站产生的流量数据,计算用户终端访问的web网站暴露概率;所述隔离防护模块用于基于暴露概率阈值为用户提供不同隔离区的远程浏览器,进行防护策略管理;所述网站渲染模块用于对web网站内容进行渲染通过协议输出页面内容至浏览器,用户通过浏览器访问web网站进行会话操作。
14、一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序是实现web网站安全隔离防护方法的步骤。
15、一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现web网站安全隔离防护方法的步骤。
16、本发明的有益效果:本发明提供的web网站安全隔离防护方法通过计算用户终端访问的web网站暴露概率,评估该网站的安全性和风险程度,有针对性地制定防护方案,并能够采取相应的措施来增强安全性;根据用户访问的web网站暴露概率,为用户提供具有不同安全级别的远程浏览器,以避免潜在的安全威胁,增加了用户系统的安全性,降低了遭受web网站攻击的风险,提高了网站安全防护的效率;将网页内容重构为图像画面,发送到用户终端浏览器进行展示,整个过程网站原始数据与用户零接触,无法通过离线方式缓存数据,有效防止网页爬虫攻击,本发明在安全性、效率以及预防攻击方面都取得更加良好的效果。
1.一种web网站安全隔离防护方法,其特征在于,包括:
2.如权利要求1所述的web网站安全隔离防护方法,其特征在于:所述流量数据包括http请求头、http请求体、http响应头以及http响应体;
3.如权利要求2所述的web网站安全隔离防护方法,其特征在于:所述计算用户终端访问的web网站暴露概率包括基于流量数据,计算用户终端访问的web网站暴露概率p,表示为:
4.如权利要求3所述的web网站安全隔离防护方法,其特征在于:所述提供不同隔离区的远程浏览器包括通过websocket私有子协议将用户终端浏览器与隔离容器中的远程浏览器建立通信连接,基于暴露概率阈值为用户提供不同隔离区的远程浏览器;
5.如权利要求4所述的web网站安全隔离防护方法,其特征在于:所述提供不同隔离区的远程浏览器还包括通过远程浏览器对用户终端访问web网站进行防护策略管理,管理内容包括将网页暴露面信息隐藏、防爬虫、ip黑白名单、url黑白名单、文件上传下载、复制、剪切、粘贴以及打印,隔离用户在线浏览活动对网站发起的恶意软件攻击和web网络攻击。
6.如权利要求5所述的web网站安全隔离防护方法,其特征在于:所述进行防护策略管理包括限制b类隔离区的远程浏览器操作时长,记录用户在b类隔离区的远程浏览器中进行的操作,实时更新web网站暴露概率p;
7.如权利要求6所述的web网站安全隔离防护方法,其特征在于:所述对web网站内容进行渲染包括重构网页可视内容的原始图像画面,通过websocket私有子协议发送到用户终端浏览器,用户通过浏览器访问web网站进行会话操作。
8.一种采用如权利要求1~7任一所述的web网站安全隔离防护方法的系统,其特征在于:包括数据采集计算模块,隔离防护模块,网站渲染模块;
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的web网站安全隔离防护方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的web网站安全隔离防护方法的步骤。