(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111563095.4 (22)申请日 2021.12.20 (71)申请人 东方博盾 （北京） 科技有限公司 地址 100000 北京市大兴区北京经济技 术 开发区西环南路26号原30号楼A座2层 207室 (72)发明人 高振宇　高申　 (74)专利代理 机构 北京中企鸿阳知识产权代理 事务所(普通 合伙) 11487 专利代理师 苏艳　孙海波 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/4511(2022.01) (54)发明名称 一种互联网影 子防御方法和系统 (57)摘要 本发明提出了一种互联网影子防御方法及 系统， 包括： 步骤S1： 建立影子网站， 其使用的Web 服务器上至少有两个基于TCP/IP的通信网口； 分 别配有两个公网IP地址： IP2和IP3； 远程复制网 站； 更新域名设定： 到DNS域名服务器里， 将原网 站的域名绑定的IP1地址， 换成IP2； 设定原网站 的IP1地址为只接受来自影子网站的IP3地址的 访问， 拒绝所有来自其他的IP的访问； 进而使用 https、 sslVPN、 IPsecVPN等技术完成IP1和IP3之 间的通信保护； 影子网站开始工作， 所有来自互 联网的访问， 无论是善意的还是恶意的都会根据 域名的信息指向影子网站的IP2网口； 隐身： 至 此， 原网站完成了 “隐身”： 原网站不再直接接受 来自互联网的访问， 也不再直接承受来自的互联 网的攻击 。 权利要求书3页 说明书10页 附图4页 CN 114553460 A 2022.05.27 CN 114553460 A 1.一种互联网影子防御方法， 其特 征在于， 包括如下步骤： 步骤S1： 建立影子网站， 其使用的Web服务器上至少有两个基于TCP/IP的通信网口； 分 别配有两个公网IP地址： IP2和IP3； 其中IP2作为对外发布的IP地址用， IP3作为与原网站的 IP1地址通信用的IP地址使用； IP2和IP3都通向互联网； 步骤S2:远程复制网站： 从IP3使用https或http访问原网站的IP1地址， 把整个网站复制 到影子网站的Web服务器里； 不包括原网站里的应用程序、 动态文件以及数据库； 不影响原 网站的正常工作； 步骤S3:更新 域名设定： 到DNS域名服 务器里， 将原网站的域名绑定的IP1地址， 换成IP2； 步骤S4:设定原网站的IP1地址为只接受来自影子网站的IP3地址的访问， 拒绝所有来自 其他的IP的访问； 进 而使用https、 ssl VPN、 IPsec  VPN技术完成IP1和IP3之间的通信保护； 步骤S5:影子网站开始工作， 所有来自互联网的访问， 无论是善意的还是恶意的都会根 据域名的信息指向影子网站的IP2网口； 然后将由影子网站的Web服务器来接 受所有来自访 问者浏览器的请求， 并回复由原网站预定的内容和服务； 访问者和攻击者看到的网页内容 将和原网站完全一 致； 网站的功能也与原网站一 致； 步骤S6： 隐身： 至此， 原网站完成了 “隐身”： 原网站不再直接接受来自互联网的访问， 也 不再直接承受来 自的互联网的攻击， 无论是 “已知攻击 ”还是“未知攻击 ”； 没有人可以依据 域名找到原网站； 原网站的内容以及后面的应用程序和数据都安全， 消减了互联网暴露点； 攻击者攻击的仅 仅是影子 。 2.如权利要求1所述的互联网影子防御方法， 其特征在于， 在所述步骤S6之后， 还包括 如下步骤： 自我痊愈和 远程网站 内容的动态同步： 当3Gweb的隔离区接收到一个请求， 会先 检查被请求的文件是否在隔离区里存在； 如果没有存在或被篡改， 则自动向无菌区发一个 恢复请求； 如果无菌区发现存在着对应的原文件， 则可以判断被请求的文件在 隔离区里被 恶意删除了或被篡改了； 马上会找出对应的原始文件生成免疫化变换格式的文件， 并送 回 到隔离区； 如果在无菌区找不到该对应的原文件， 则启动远程同步子模块程序， 使用http或 为了安全使用https通信协议 向远程网站发出请求； 如果得到了回应的文件， 则 可以判断， 在隔离区里被请求的文件为原网站更新的文件， 3 Gweb会把这个刚得到的新文件存在盘里， 实现了网站内容自动同步； 同时， 把这个新文件被自动进行免疫化变换后送回到隔离区， 否 则， 送回一个错误信号， 表明被请求的文件不存在； 被送 回到隔离区的文件一面被存盘， 一 面在计算机内存中回恢复成原html格式， 用ht tp或https通信协议送还给浏览器。 3.如权利 要求2所述的互联网影子防御方法， 其特征在于， 还包括如 下步骤： 3Gweb的隔 离区接收到一个请求， 如果检查被请求的文件存在， 则检查该文件是不是被黑客植入的木 马病毒、 后门程序的恶意文件； 如果是 的话， 马上变换文件名字并移到专门的文件夹里， 做 证据留存， 并删除该文件， 送回一个错 误信号： 该文件不存在。 4.如权利要求3所述的互联网影子防御方法， 其特征在于， 还包括如下步骤： 如果前述 该文件不是被植入的恶意文件， 则进 行篡改检查； 如果判断被篡改了的话， 则自动向无菌区 发一个恢复请求， 重新 获取一个正确的文件， 将 被篡改的文件移除到专门的文件夹里， 做证 据留存； 同时保存刚从无菌区获取的正确文件； 实现自我痊愈； 如果判断没有被篡改的话， 该文件会被自动恢复成原html格式， 用ht tp或https通信协议送还给浏览器。 5.如权利要求4所述的互联网影子防御方法， 其特征在于， 还包括如下步骤： 隔离：权　利　要　求　书 1/3 页 2 CN 114553460 A 23Gweb的、 隔离区里的防火墙和WAF、 无菌区里的第二道防火墙， 与隔离区和无菌区之间的物 理隔离构成了多层防线， 提供了前所未有的抗渗透系统； 防止攻击者从IP2入侵3Gweb之后 再进攻原网站； 隔离 了原网站与互联网这 一最大攻击传染源的直接 接触。 6.如权利要求1所述的互联网影子防御 方法， 其特征在于： 所述互联网影子防御 方法实 现远程网站不停顿迁移的技 术和远程网站内容的动态同步 技术。 7.一种互联网影子防御系统， 其特征在于， 包括： IDC机房、 Web服务器、 域名服务器、 远 程云平台和远程IDC机房， 所述IDC机房、 Web服务器、 域名服务器、 远程云平台和远程IDC机 房均通到互联网， 其中， 所述IDC机房包括： 互联网接续装置、 双路电源、 不停电电源、 备份柴油机组、 空调系统、 机柜、 路由器 设备， 所述ID C机房用于放置多台Web服务器； 所述ID C机房用于建立影子网站， 其使用的Web服务器上至少有两个基于TCP/IP的通信网口； 分别配有两个公网IP地址： IP2 和IP3； 其中IP2作为对外发布的IP地址用， IP3作为与原网站的IP1地址通信用的IP地址使 用； IP2和IP3都通向互联网； 用于设定原网站的IP1地址为只接受来自影子网站的IP3地址的 访问， 拒绝所有来自其他的IP的访问； 进而使用https、 sslVPN、 IPsec  VPN技术完成IP1和IP3 之间的通信保护， 以使 得IDC机房和3GWeb服务器、 客户远程服务器之间， 通过安全措施设置 为点对点通信， 客户远程服务器只与IDC机房对接； 以及所述IDC机房还用于影子网站开始 工作， 所有来自互联网的访问， 无论是善意的还是恶意的都会根据域名的信息指向影子网 站的IP2网口； 然后将由影子网站的Web服务器来接受所有来自访问者浏览器的请求， 并回 复由原网站预定的内容和服务； 访问者和攻击者看到的网页内容将和原网站完全一致； 网 站的功能也与 原网站一致； 至此， 原网站完成了 “隐身”： 原网站不再直接接受来自互联网的 访问， 也不再直接承受来自的互联网的攻击， 无论是 “已知攻击 ”还是“未知攻击 ”； 没有人可 以依据域名找到原网站； 原网站的内容以及后面的应用程序和数据都安全， 消减了互联网 暴露点； 攻击者 攻击的仅 仅是影子； 所述域名服务器包括： 在IDC机房内的域名服务器和/或为远程原网站提供域名解析服 务的域名服务器， 用于到DNS域名服务器里， 将原网站的域名绑定的IP1地址， 换成IP； 其中， 所述域名服务器设在客户侧或者所述 IDC机房中； 所述远程云平台包括： 私有云计算平台和公有云计算平台， 用于承载原网站和web系 统； 包括web、 应用服 务器和数据库服 务器的三段式架构网站和web系统。 所述远程IDC机房包括： 原网站和web系统将布置机房里的通用服务器上， 包括web、 应 用服务器和数据库服务器的三段式架构网站和web系统， 所述远程IDC机房用于从IP3使用 https或http访问原网站的IP1地址， 把整个网站复制到影子网站的Web服务器里； 不包括原 网站里的应用程序、 动态文件以及数据库； 不影响原网站的正常工作。 8.如权利要求7所述的互联网影子防御系统， 其特征在于， 自我痊愈和远程网站内容的 动态同步： 当3Gweb的隔离区接收到一个请求， 会先检查被请求的文件是否在隔离区里存 在； 如果没有存在或被篡改， 则自动向无菌区发一个恢复请求； 如果无菌区发现存在着对应 的原文件， 则可以判断被请求的文件在 隔离区里被恶意删除了或被篡改了； 马上