您好,请登录或注册会员中心

联成天御防护系统

产品简介


随着互联网信息技术的高速发展,Web 在线应用服务得到广泛应用,企业已经能够有 效地对抗各类已知的安全威胁,然而随着黑客技术的快速演进,利用未知漏洞的攻击行为、 模拟合法操作对网页发起的各种自动化攻击等新兴安全威胁,传统的安全防护技术几乎束 手无策。

传统的安全技术不论是基于签名或规则,都需要对已知的恶意行为进行分析,撰写攻击 特征签名或行为规则。对于未知的攻击行为,传统的安全技术必须等待签名或规则的更新才 能有效防御,因而出现防御空窗期。由于用户习惯在不同系统使用相同的用户名和密码,导 致只要互联网上有系统用户名和密码被泄露,攻击者就可以通过“撞库”等攻击手法轻而易 举的获得其他系统的账号和密码,从而侵入其他系统。许多企业已经建立了安全管理平台, 以协助企业从海量的安全日志中过滤出关键的安全事件。然而,新兴的安全攻击手段可以有 效躲避传统安全技术的侦测,而不会触发任何安全警报,这使得安全管理平台几乎无用武之地。

现在的行业威胁已经跟传统威胁完全不一样。

1.png

联成天御防护系统是由南京联成科技发展股份有限公司针对应用服务器开发的一款网 络安全保护系统。天御防护系统采用反向代理技术,通过对网页底层代码的持续变幻来应对 传统安全产品无法有效抵御的网络攻击,核心防御引擎主要由四大模块组成,代码变幻、取 证变幻、输入变幻、令牌变幻。主要功能为网页自动化攻击防护、网页过滤、用户权限管理、 安全事件分析等功能。用于防止下列自动化攻击:自动化漏洞扫描、自动化密码猜测、自动 化帐号盗用、自动化恶意抢购、自动化交易欺诈、自动化投票操控、违反业务逻辑、内容搜 刮、垃圾信息、网页后门、APT 攻击、中间人攻击及应用层 DDoS 等传统安全产品无法有 效抵御的攻击行为。


      技术方案设计原则


       为了保证系统安全、稳定、高效地运行以及今后升级的需要,方案满足以下原则:

              a. 安全性:产品提供多种安全保障手段,防止由于产品自身安全问题导致被保护的网 站出现安全问题。

              b. 可靠性:有完善的高可用方案,保证业务应用及产品本身的高可靠连续运行。

              c. 可扩展性:计算资源、存储资源和网络资源及系统软件应具有良好的可扩展性能, 能在确保平台正常运行条件下对系统进行扩容和调整,优化和提升系统的运营能 力和性能。

              d. 可升级性:要求保证未来至少 5 年的持续研发能力和扩展能力,并提供与未来替 代产品的平滑迁移能力。

              e. 开放性:产品应提供多个网站的保护能力,在产品许可和系统性能准许的情况下, 可以对多个网站进行保护。

              f. 易用性:产品应具有良好的操作界面,可以通过操作界面完成维护与管理。

 

      防御引擎架构及技术原理

       1、防御引擎架构

       联成天御防护系统防御技术是通过对服务器网页底层代码的持续变幻,保障服务器行 为的“不可预测性”,以有效抵御各类新兴自动化攻击和各种安全威胁,是目前对抗自动化 攻击有效的手段。

     联成天御防护系统防御引擎:

2.png


       2、技术实现原理

           a. 代码变幻

  代码变幻指对应用服务器返回的页面代码通过 Javascript 实时变幻算法进行处理,返 回到客户端的代码不具有可识别性。无论人还是工具,都无法看到页面的表单、Javascript 代码、href 链接等信息,成功地隐藏了可攻击的入口。另一方面, 没有这些信息, 攻击者及其自动化工具便无法判断应用程序的后续逻辑,无法预测应用服务器行为,有效避免成为网 络上容易被攻击的目标,以提升攻击难度。

            b.  取证变幻

       取证变幻指在网页内插入对客户端环境的取证检查代码,检查浏览器属性和终端环境, 每次均随机选取检测项目与数量(如浏览器、键鼠事件),以增加应用的不可预测性,提升攻 击者或自动化工具假冒合法客户端的难度。由于变幻算法实时生成、并非固定,攻击者在极有限时间内无法逆向算法,对于请求数 据读不懂、改不了、没法构造有效数据,可有效防止中间人攻击和撞库攻击。

       c. 令牌变幻

       令牌变幻是指通过给合法请求授予一次性令牌授权,每次刷新自动变幻,保障业务逻辑 的正确执行,且能有效抵御越权访问、网页后门、重放攻击、应用层 DDoS 等自动化恶意 攻击行为。


        软件功能模块

        1、产品功能菜单

              a. 功能菜单

          联成天御防护系统管理界面有系统概要、警报、保护设置、安全日志和系统六大功能模块:

                 1)描述:主要用来查看被保护站点的状态信息;

                 2)告警:主要记录联成天御防护系统自身的告警信息;

                 3)保护设置:是系统核心功能配置模块,用于配置对站点的保护及具体策略设置等,可调整保护级别,白名单等;

                 4)数据分析:主要用于通过天御防护系统系统的流量进行分析,记录正常流量及异常 流量,并从多个维度输出各种报表。

                 5)安全信息:主要记录异常请求的详细信息,包括主机 IP、时间、异常类型等。

                 6)系统:其他对系统的所有功能设置项,包括系统升级、网络配置、日志存储等功能菜单。

              b. 其他功能说明

                 1)能够阻止开发者工具对网页代码进行调试;

                 2)对网页代码中的 URL 地址、表单、JavaScript 进行变化,每次变幻的内容均不相同;

                 3)具有网页 URL 完整性检查和一次性令牌;

                 4)每次采用不同的算法对网页 Cookie 进行加密的;每次采用固定算法加密的;

                 5)通过网页完整性检查,防止返回的网页被篡改。

           2、主要防护功能

                 联成天御防护系统通过网页底层代码变幻,对 WEB 应用提供安全防护。 

                 按业务安全类和攻击安全类主要自动攻击:


业务安全类

攻击安全类

 

l

撞库(暴力破解、字典攻击等)

 

l

漏洞扫描

 

l

自动化虚拟账号注册

 

l

漏洞利用



l      自动化账号盗用

l      越权访问

l      自动化提交垃圾信息

l      APT 攻击

l      网站内容搜刮

l      应用层 DDoS

l      网站恶意爬虫

l      已知攻击行为

l      违反业务逻辑的操作

l      未知攻击行为



   3.  软件模块清单

        联成天御防护系统软件模块清单:


序号

产品功能模块

功能描述

 

1

 

代码变幻

代码变幻模块对页面代码进行实时变幻,隐藏攻击入口, 使攻击者无法判断页面后续逻辑

 

2

 

取证变幻

取证变幻模块在网页内插入对客户端环境的取证检查代 码,检查浏览器属性和终端环境

 

3

 

输入变幻

输入变幻模块对输入的请求数据进行输入变幻,防止数据 窃听、请求伪造等恶意篡改

 

4

 

令牌变幻

令牌变幻是指通过给合法请求授予一次性令牌授权,每次 刷新自动变幻

 

5

 

日志管理

 

包含日志管理分析平台,对防御的日志进行统一管理分析,支持 NAS 存储

     6
     报表分析报表分析模块对各种流量进行分析,提供多种报表展示



系统部署拓扑示意图

3.jpg



联成天御防护系统,旁路部署在应用负载均衡设备上,把正常应用服务流程优先导入到 天御防护系统,天御防护系统采用反向代理技术,逻辑串联在应用服务器之前,通过实时变 幻引擎,对应用服务器实施防护,无需对应用服务器做任何配置变更,天御防护系统支持在 线横向弹性扩展,不会影响正常应用服务。



>