CN105429975A - 一种基于云终端的数据安全防御系统、方法及云终端安全系统 - Google Patents
一种基于云终端的数据安全防御系统、方法及云终端安全系统 Download PDFInfo
- Publication number
- CN105429975A CN105429975A CN201510765551.1A CN201510765551A CN105429975A CN 105429975 A CN105429975 A CN 105429975A CN 201510765551 A CN201510765551 A CN 201510765551A CN 105429975 A CN105429975 A CN 105429975A
- Authority
- CN
- China
- Prior art keywords
- cloud terminal
- data bag
- unit
- module
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种基于云终端的数据安全防御系统、方法及云终端安全系统,该数据安全防御系统包括:网络监测管理模块,用于实时监控云终端的网络状况,当监控到云终端受到攻击时,限制对云终端的访问,启动反中转模块,将当前的访问数据包引导至反中转模块;反中转模块,用于将当前的访问数据包拦截下来,对所拦截的当前的访问数据包中的合法访问数据包发送给正中转站模块;及正中转模块,用于接收并暂存所述合法访问数据包。本发明中,由于实时监控云终端的网络状况,当云终端受到攻击时,及时将访问数据包进行拦截,控制路由器的运行,有效地防止云终端受到非法攻击。
Description
技术领域
本发明涉及一种网络通信安全领域,特别是涉及一种基于云终端的数据安全防御系统、方法及云终端安全系统。
背景技术
云计算是近年来发展的网络技术,它是将计算任务分布在大量计算机构成的资源池上,使得各种应用系统能够根据自身需要获得计算力、存储空间及各种软件服务。
云计算在为人类提供极大便利的同时,也带来一些安全隐患,除了传统的网络攻击,如黑客攻击、漏洞扫描、入侵等手段、对云平台威胁最大的是DDos(DistributedDenialofService,分布式拒绝服务)攻击,DDos是Dos的一种,当多个处于不同位置的攻击源同时向一个或多个目标发起攻击,致使目标机或网络无法提供正常服务,就称其为分布式拒绝服务攻击。
基于网络传递服务的计算模式受到DDos攻击时所受影响比较大,特别是在云计算的环境下,有很多用户选择使用云服务及虚拟化数据中心,这样情况下,用户基础设施及存储大量数据的虚拟数据中心会成为DDoS攻击的重要目标。由于多用户的普及,针对企业资源发起的DDoS攻击,还可能产生连锁反应,牵连采用该企业主机托管的用户。由于DDoS攻击是利用TCP/IP协议的固有缺陷,因此很难设计一个完善的解决方案。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种基于云终端的数据安全防御系统、方法及云终端安全系统,用于解决现有技术中当出现大规模攻击时云终端不能正常运行的问题。
为实现上述目的及其他相关目的,本发明提供一种基于云终端的数据安全防御系统、方法及云终端的安全系统;
一种基于云终端的数据安全防御系统,所述云终端包括有若干服务器,所述系统包括:网络监测管理模块,用于实时监控云终端的网络状况,当监控到云终端受到攻击时,限制对云终端的访问,启动反中转模块,将当前的访问数据包引导至反中转模块;与所述网络监测管理模块连接的反中转模块,用于将所述当前的访问数据包拦截下来,对所拦截的当前的访问数据包中的合法访问数据包发送给正中转站模块;及与所述反中转模块及所述网络检测管理模块均连接的正中转模块,用于接收并暂存所述合法访问数据包。
于本发明的一实施方式中,所述网络监测管理模块与所述云终端连接,所述网络监管管理模块具体包括:网络异常判断单元,用于判断云终端的网络是否出现异常,当判断出现异常时,确认所述云终端处于被攻击状态;与所述网络异常判断单元连接的启动单元,用于在当前网络处于被攻击状态时,启动所述反中转模块;与所述网络异常判断单元连接的限制单元,用于在当前网络处于被攻击状态时,限制对云终端的服务器的数据访问;与所述启动单元连接的引导单元,用于向所述反中转模块发送引导信息,以将所述当前的访问数据包引导至所述反中转模块。
于本发明的一实施方式中,所述反中转模块通过路由器与所述云终端连接,所述反中转模块具体包括:信息接收单元,用于接收所述网络监测管理模块所发送的信息,所述发送的信息包括当前云终端处于被攻击状态的信息;与所述信息接收单元连接的暂停服务命令单元,用于在当前云终端处于被攻击状态时,向对应的路由器发出暂停服务命令;与所述信息接收单元连接的拦截单元,用于对当前的访问数据包进行拦截,并将拦截的数据暂存下来;与所述拦截单元连接的分析单元,用于对所拦截的当前的访问数据包当前的访问数据包进行分析,识别出非法访问数据包及合法访问数据包,将所述合法访问数据包发送给所述正中转站模块。
于本发明的一实施方式中,所述系统还包括:与所述反中转模块连接的密码管理模块,用于在所述云终端处于被攻击状态时,对当前的访问数据包当前的访问数据包合法客户端发送的访问数据包进行标识,并将标识结果反馈给所述反中转模块,便于所述反中转模块基于所述标识进行识别。
于本发明的一实施方式中,所述密码管理模块具体包括:密码生成单元,用于根据与所述云终端连接的合法客户端的身份信息生成对应密码;密码发送单元,用于向所述合法客户端发送所述密码,使得所述合法客户端基于该密码向所述反中转模块发送携带所述密码的访问数据包;反馈单元,用于将所生成的密码反馈给所述反中转模块。
于本发明的一实施方式中,所述信息接收单元还用于接收所述反馈单元反馈的信息;所述分析单元具体用于:根据所述生成的密码对所拦截的当前的访问数据包当前的访问数据包进行识别,识别出非法访问数据包及合法访问数据包;所述反中转模块还包括:调运单元,用于将所述合法访问数据包转运到所述中转模块。
于本发明的一实施方式中,所述数据安全防御系统还包括:数据清理模块,用于将所述非法访问数据包进行销毁;所述调运单元还用于将所述非法访问数据包转运到所述数据清理模块中进行销毁。
于本发明的一实施方式中,所述中转模块还用于:接收所述网络监测管理模块反馈的云终端的网络恢复正常状态时,将所述合法访问数据包给所述云终端。
本发明还提供一种云终端安全系统,包括若干个服务器,包括基于云终端的数据安全防御系统,所述系统包括:网络监测管理模块,用于实时监控云终端的网络状况,当监控到云终端受到攻击时,限制对云终端的访问,启动反中转模块,将当前的访问数据包引导至反中转模块;与所述网络监测管理模块连接的反中转模块,用于将所述当前的访问数据包拦截下来,对所拦截的当前的访问数据包中的合法访问数据包发送给正中转站模块;及与所述反中转模块及所述网络检测管理模块均连接的正中转模块,用于接收并暂存所述合法访问数据包。
本发明还包括一种基于云终端的数据安全防御方法,所述云终端包括有若干服务器,所述数据安全防御方法包括:实时监控云终端的网络状况;当监控到云终端受到攻击时,限制对云终端的访问;将当前的访问数据包进行拦截;及将所拦截的当前的访问数据包中的合法访问数据包存储下来,所述当前的访问数据包包括合法访问数据包及非法访问数据包。
本发明的一种基于云终端的数据安全防御系统、方法及云终端安全系统,至少具有以下有益效果:由于实时监控云终端的网络状况,当判断云终端受到攻击时,及时将访问数据包进行拦截,控制路由器的运行,防止因大量数据涌向云终端而导致其不能正常运行当云终端的网络恢复正常时,将合法访问数据包发送给对应的地方,可有效地防止云终端受攻击,提高云终端的防御效率。
附图说明
图1是本发明的一种基于云终端的数据安全防御系统的结构图;
图2是本发明的一种基于云终端的数据安全防御系统在云环境中的实际示例图;
图3是本发明的一种基于云终端的网络检测管理模块1的具体结构图;
图4是本发明的一种基于云终端的数据安全防御系统的反中转模块2的具体结构图;
图5是本发明的一种基于云终端的数据安全防御系统的密码管理模块4的具体结构图;
图6是本发明的一种基于云终端的安全防御方法的流程图。
元件标号说明:
1网络检测管理模块
2反中转模块
3正中转模块
4密码管理模块
5数据清理模块
11网络异常判断单元
12启动单元
13限制单元
14引导单元
21信息接收单元
22暂停服务命令单元
23拦截单元
24分析单元
25调运单元
41密码生成单元
42密码发送单元
43反馈单元
S1~S4步骤
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
实施例1
请参阅图1,为本发明的一种基于云终端的数据安全防御系统的结构图,所述系统包括:网络检测管理模块1、反中转模块2、正中转模块3,该网络检测管理模块1与该反中转模块2及正中转模块3均连接,该反中转模块2与正中转模块3连接。
网络监测管理模块1,用于实时监控云终端的网络状况,当监控到云终端受到攻击时,限制客户端对云终端的访问,启动反中转模块,将当前的访问数据包引导至反中转模块2;
反中转模块2,用于将该当前的访问数据包拦截下来,对所拦截的当前的访问数据包中的合法访问数据包发送给正中转站模块;
其中,该当前的访问数据包具体为大批数据包,包括恶意访问攻击数据包(非法访问数据包)及合法访问数据包。
正中转模块3,用于接收并暂存合法访问数据包。
本实施例中,如图2所示,为本发明的一种基于云终端的数据安全防御系统在云环境中的实际示例图,云终端包括若干服务器,由若干服务器组成云终端,而整个云终端包括若干上述的基于云终端的数据安全防御系统,而客户端(合法用户及非法用户)通过路由器与对应的服务器进行通信。于本发明的一实施方式中,每一个路由器可配备上述一个数据安全防御系统。或者一定范围内的服务器可配置上述一个基于云终端的数据安全防御系统,此处对此不作限制。而在实际使用过程中,可能存在着大量的客户端对云终端进行访问,因而会发送大量的访问数据包,进而导致大量的数据包涌向该云终端,但是该客户端包括合法客户端及非法客户端(非法攻击用户),会发送大量的访问数据包对云终端进行攻击。
本实施例中,所述网络监测管理模块1实时监测云终端的网络状况,此时该网络监测管理模块1可监测云终端的几乎全部路由器的节点处的网络状况,尤其是边界路由器的节点处的网络状况,当监测到路由器的节点处的网络状况出现异常,例如出现大量数据涌向云终端的某个服务器时,可判断为网络状况异常,即云终端处于受攻击状态,此时该网络监测管理模块1启动反中转模块2并将云终端处于受攻击状态的信息反馈给该反中转模块2,该反中转模块2被启动后,及时根据该网络监测管理模块1反馈的信息,限制对应的路由器的运行,限制数据的传输,而将正在传输给云终端的数据包拦截下来,对所拦截的正在传输给云终端的数据包中的合法访问数据包发送给正中转站模块3,该正中转模块3将该合法数据暂存下来,后续可根据实际情况将此合法数据传给云终端的服务器或者传给对应的客户端。
如图3所示,为本发明的一种基于云终端的网络检测管理模块1的具体结构图,该网络检测管理模块1具体包括:
网络异常判断单元11,用于判断云终端的网络是否出现异常,当判断出现异常时,确认云终端处于被攻击状态;
该网络异常判断单元11实时监控云终的网络系统,尤其是云终端网络边界的各个边界路由器的节点处的网络交通状况,当发现通信数据量超过阈值时,即出现大量数据涌向云终端的服务器时,可判断此时云终端的网络异常,或者判断当前网络流量大于预设网络流量时,可认为当前网络异常,又或者,判断当前网络承载力超过极限值,或网络宕机数值(宕机时间或节点)异常、或者不能正常访问网络的运转数值等,上述任何一个出现异常则可判断当前网络出现异常,存在大量数据涌向云终端,云终端处于被攻击状态。其中,上述阈值、极限值等设定根据实际情况而定,此处对此不作限制。
与网络异常判断单元11连接的启动单元12,用于当确认当前网络处于被攻击状态时,启动反中转模块;
与网络异常判断单元11连接的限制单元13,用于当确认当前网络处于被攻击状态时,限制对云终端的服务器的数据访问;
当判断当前网络处于异常时,限定客户端对云终端服务器的数据访问,此时客户端无法向云终端的服务器发送访问数据包,也无法从该服务器中获得反馈数据包。
与启动单元12及该限制单元13连接的引导单元14,用于向反中转模块发送引导信息,以将该当前的访问数据包引导至反中转模块。
该引导单元14向反中转模块2发送引导信息,其中该引导信息包括云终端处于被攻击状态的信息,还可包括正在传输给云终端的数据包的相关信息,其中所述相关信息可包括发送数据的客户端属性、发送时间及数据属性等,此处对此不作限制。此时该引导单元14存储有周边反中转模块2的地址,基于该地址,引导单元14将对应信息发送给反中转模块2。由于此时无法识别那些数据包是合法访问数据包或非法访问数据包,因此需要将此部分数据引导至反中转模块2进行中转等候。
需要说明的是,该网络检测管理模块1还可包括状态信息发送单元,用于将当前云终端处于被攻击的状态信息发送给该反中转模块2及正中转模块3。
如图4所示,为本发明的一种基于云终端的数据安全防御系统的反中转模块2的具体结构图,该反中转模块2具体包括:
信息接收单元21,用于接收网络异常判断单元11所发送的信息,所发送的信息包括当前云终端处于被攻击状态的信息;
与该信息接收单元21连接的暂停服务命令单元22,用于接收到当前云终端处于被攻击状态的信息时,向对应的路由器发出暂停服务命令,使得路由器停止为客户端提供中转服务;
与该信息接收单元21连接的拦截单元23,用于将当前的访问数据包当前的访问数据包进行拦截,并将拦截的数据暂存下来;
与该拦截单元23连接的分析单元24,用于对所拦截的正在传输给所述云终端的数据包进行分析,识别出非法访问数据包及合法访问数据包,将所述合法访问数据包发送给所述正中转站模块。
本实施例中,该信息接收单元21接收到当前云终端处于被攻击状态的信息时,暂停服务命令单元22基于所接收的当前云终端被攻击的信息向对应的路由器(具体可为云终端的周边路由器)发出暂停服务命令,即限制路由器的运行,该路由器接收该命令后,该路由器暂时关闭而不进行提供交通路径等服务,客户端无法与云终端进行数据交互。拦截单元23将该当前的访问数据包当前的访问数据包进行拦截,具体地,将当前访问的数据包拦截下来并暂存,该分析单元24对所拦截的数据包进行分析,识别出非法访问数据包及合法访问数据包之后,将合法访问数据包发送给该正中转站模块3。
在一个优选方案中,上述反中转模块2还包括调运单元25,该数据安全防御系统还可包括:数据清理模块,该调运单元25将该非法访问数据包发送给该数据清理模块,该数据清理模块将该非法访问数据包进行销毁,具体销毁过程可采取删除等手段,此处对此不作限制。
在另外一个方案中,数据清理模块直接设置在该反中转模块2中。
本实施例中,设置该数据清理模块,可对暂存的非法访问数据包进行销毁,可节约存储空间,为下一次云终端受到攻击时存储数据包腾出空间,保证了数据安全防御的可操作性,提高防御效率。
于本发明的一实施方式中,该数据安全防御系统还包括密码管理模块4,该密码管理模块4与该反中转模块2连接,用于在云终端处于被攻击状态时,对拦截的当前的访问数据包当前的访问数据包进行标识,并将标识结果反馈给反中转模块2,便于反中转模块2基于该标识进行识别。
如图5所示,为本发明的一种基于云终端的数据安全防御系统的密码管理模块4的具体结构图,该密码管理模块4具体包括:密码生成单元41、密码发送单元42及反馈单元43,其中,该密码生成单元41与该密码发送单元42连接,该反馈单元43与密码生成单元41连接。
其中,该密码生成单元41根据与云终端连接的合法客户端的身份信息生成对应密码(临时识别暗号);然后该密码发送单元42将生成的密码向合法客户端发送密码,使得合法客户端基于该密码向反中转模块2发送携带密码的数据包(即数据包与密码进行绑定);反馈单元43将所生成的密码反馈给反中转模块2,便于该反中转模块2基于该密码识别出合法访问数据包。
具体地,该合法客户端可基于该密码发送携带密码的数据包,还可将当前已经暂存在该反中转模块2中的合法访问数据包重新发一遍,但此时该数据包携带有密码,此外,还可以通过令牌环来识别合法访问数据包或非法访问数据包,此处对此不作限制。
当反馈单元43将将所生成的密码反馈给该反中转模块2时,该信息接收单元21还用于接收反馈单元43反馈的信息。
进一步地,调运单元还用于将该合法访问数据包转运到所述正中转模块。
于本发明的一实施方式中,该数据安全防御系统还可包括:
用于将非法访问数据包进行销毁的数据清理模块5,该数据清理模块5与该反中转模块2连接。
其中,可通过该调运单元25将非法访问数据包转运到该数据清理模块5
需要说明的是,本实施例中,在云终端的网络恢复正常时,该中转模块3将暂存的合法访问数据包发送给云终端,或者发送给其他的客户端,此处对此不作限制。
为了便于理解,下面简单描述本发明的工作原理:
网络异常判断单元11实时监控云终端运行的网络状态,采集网络数据来判断网络是否正常,其中该网络数据可包括通信数据量、当前网络流量、当前网络承载力、网络宕机数值、网络运转数据等,此时将上述网络数据分别与预设的标准值进行比较,当有一项出现异常则判断为网络异常,表现为大量访问数据包涌向云终端的服务器,认为云终端处于被攻击状态。启动单元12启动与其连接的反中转模块2,限制单元13限制客户端对云终端的服务器的访问,具体可为数据访问,例如发送访问数据包。而引导单元14向反中转模块2发送引导信息,以将当前的访问数据包引导至该反中转模块2,即引导客户端向该反中转模块2发送访问数据包。
该信息接收单元21接收到引导信息后,获知云终端处于被攻击状态,暂停服务命令单元22向云终端的周边对应路由器发出暂停服务命令,该路由器停止为客户端提供中转服务,此时拦截单元23将当前的访问数据包进行拦截,将所拦截的数据包暂存下来。
在一个优选方案中,该信息接收单元21或拦截单元23向密码生成单元41发送识别请求,该识别请求包括所生成的密码及指示该合法客户端在发送访问数据包时应该绑定该生成的密码,便于识别。此时,该密码生成单元41收到该识别请求后,根据自身存储的与云终端连接的合法客户端的身份信息生成对应密码,密码发送单元42将生成的密码发送给对应合法客户端,合法客户端根据该密码进行数据包的绑定,并将需要发送的访问数据包发送给该拦截单元23;该反馈单元43将所生成的密码反馈给该分析单元24,该分析单元24根据所拦截的数据包及所接收的反馈单元43发送的密码将该拦截单元23拦截的数据包进行识别,获得非法访问数据包及合法访问数据包,并将该合法访问数据包发送给正中转模块3,其中,分析单元24根据该密码来识别,当数据包携带密码时即为合法访问数据包,当不携带密码时为非法访问数据包,该密码是一种标识(识别暗号),此处对此不作限定。合法客户端在对数据包进行密码绑定后发送的数据包可包括该拦截单元23已拦截的部分数据包,也可以不包括该拦截单元23已拦截的部分数据包,即合法客户端在接收到该识别请求时,该客户端可以将尚未发送的访问数据包绑定密码,还可以对之前已发生的访问数据包进行密码绑定,将尚未发送的及之前已发送的访问数据包(均已密码绑定)发送出去。
需要说明的是,在判断云终端处于被攻击状态后,客户端(合法客户端及非法攻击用户)依然会继续发送访问数据包,而该拦截单元23继续拦截接收访问数据包,该分析单元24分析的访问数据包包括之前拦截的数据包及当前拦截的数据包。此后,调运单元25将该非法访问数据包发送给数据清理模块进行销毁,将合法访问数据包转运到该正中转模块3中进行暂存,当该网络异常判断单元21侦测到云终端的网络恢复正常时,该状态信息发送单元向该正中转模块3发送当前云终端的网络恢复正常的信息,该正中转模块3将该合法访问数据包发送给云终端的对应服务器,或者根据命令经对应路由器发给对应的客户端,此处对此不作限制。该状态信息发送单元还可向该反中转模块2发送当前云终端的网络恢复正常的信息,该反中转模块2接收到该信息后,自动关闭,等待下一次云终端的网络受到攻击时再启动。
本实施例中,实时监控云终端的网络状况,当判断云终端受到攻击时,及时将访问数据包进行拦截,控制路由器的运行,防止非法访问数据包访问云终端,将非法访问数据包进行销毁,当云终端的网络恢复正常时,将合法访问数据包发送给对应的地方,可有效地防止云终端受攻击,提高云终端的防御效率。
此外,对非法数据进行销毁,可减轻反中转模块的负载,提高其协助安全防御的能力。
基于上述实施例,本发明还提供一种云终端安全系统,该云终端包括若干服务器,还包括如上述实施例所述的基于云终端的数据安全防御系统,其中,该若干服务器通过路由器与客户端连接。本实施例的数据安全防御系统的具体结构及工作原理可参考上述实施例的描述,此处对次不作赘述。
实施例2
基于上述实施例,本发明还提供一种基于云终端的安全防御方法,如图6所示,为本发明的一种基于云终端的安全防御方法的流程图,其中该方法包括步骤:
步骤S1、实时监控云终端的网络状况;
步骤S2、监控到云终端受到攻击时,限制对云终端的访问;
步骤S3、将当前的访问数据包拦截下来;
步骤S4、将所拦截的当前数据包中的合法访问数据包存储下来,所述当前的访问数据包包括合法访问数据包及非法访问数据包。
本实施例中,所述云终端包括有若干服务器,客户端通过路由器与服务器进行通信,于本发明的一实施方式中,每一个路由器可配备上述一个数据安全防御系统。或者一定范围内的服务器可配置上述一个基于云终端的数据安全防御系统,此处对此不作限制。而在实际使用过程中,可能存在着大量的客户端对云终端进行访问,因而会发送大量的访问数据包,进而导致大量的数据包涌向该云终端,但是该客户端包括合法客户端及非法客户端(非法攻击用户),会发送大量的访问数据包对云终端进行攻击。
当监控到云终端受到攻击时,及时限制客户端对云终端的服务器的访问,并将当前的访问数据包拦截下来,对所拦截的数据包进行识别,将合法数据包暂存下来,便于在云终端的网络恢复正常时再发送出去,有效地防止大量数据涌向云终端而对云终端造成威胁。
在本实施例的一个优选方案中,该数据安全防御方法使用上述实施例的一种基于云终端的数据安全防御系统。该系统包括网络检测管理模块、反中转模块、正中转模块,还可包括密码管理、及数据清理模块。
具体地,该网络检测管理模块具体包括:网络异常判断单元、启动单元、限制单元、引导单元及状态信息发送单元;反中转模块具体包括信息接收单元、暂停服务命令单元、拦截单元、分析单元、调用单元;该密码管理模块具体包括:密码生成单元、密码发送单元及反馈单元。
本实施例的基于云终端的数据安全防御方法具体包括:
网络异常判断单元实时监控云终的网络系统,当确认云终端被攻击时,发出当前云终端处于被攻击状态信息。
该网络异常判断单元实时监控云终的网络系统,尤其是云终端网络边界的各个边界路由器的节点处的网络交通状况,当发现通信数据量超过阈值时,即出现大量数据涌向云终端的服务器时,可判断此时云终端的网络异常,或者判断当前网络流量大于预设网络流量时,可认为当前网络异常,又或者,判断当前网络承载力超过极限值,或网络宕机数值(宕机时间或节点)异常、或者不能正常访问网络的运转数值等,上述任何一个出现异常则可判断当前网络出现异常,存在大量数据涌向云终端,云终端处于被攻击状态。其中,上述阈值、极限值等设定根据实际情况而定,此处对此不作限制。此后,状态信息发送单元将当前云终端处于被攻击状态的信息发送给反中转模块及正中转模块。
启动单元向反中转模块发送启动命令,以启动该反中转模块;
状态信息发送单元给信息接收单元及正中转模块发送当前云终端处于被攻击状态的信息;
接着,限制单元限定客户端对云终端服务器的数据访问,此时客户端无法向云终端的服务器发送访问数据包,也无法从该服务器中获得反馈数据包。
而引导单元向反中转模块(具体可向信息接收单元或拦截单元发送,优选为拦截单元)发送引导信息,其中该引导信息包括云终端处于被攻击状态的信息,还可包括正在传输给云终端的数据包的相关信息,其中所述相关信息可包括发送数据的客户端属性、发送时间及数据属性等,此处对此不作限制。此时该引导单元存储有周边反中转模块的地址,基于该地址,引导单元将对应信息发送给反中转模块。由于此时无法识别那些数据包是合法访问数据包或非法访问数据包,因此需要将此部分数据引导至反中转模块进行中转等候。
当信息接收单元接收到当前云终端处于被攻击状态的信息时;暂停服务命令单元基于所接收的当前云终端被攻击的信息向对应的路由器(具体可为云终端的周边路由器)发出暂停服务命令,即限制路由器的运行,该路由器接收该命令后,该路由器暂时关闭而不进行提供交通路径等服务,客户端无法与云终端进行数据交互。
拦截单元基于所获得信息将该当前的访问数据包当前的访问数据包进行拦截,具体地,将当前访问的数据包拦截下来并暂存,该获得信息包括引导信息,还可包括当前云终端处于被攻击状态的信息。
分析单元对所拦截的数据包进行分析,识别出非法访问数据包及合法访问数据包之后,通过调用单元将合法访问数据包发送给该正中转站模块。
具体地,该分析单元可向密码管理模块(具体向密码生成单元发送)发送识别请求信息,该密码管理模块接收到识别请求信息时,根据自身存储的与云终端连接的合法客户端的身份信息生成对应密码;
密码发送单元将生成的密码发送给对应合法客户端,合法客户端根据该密码进行数据包的绑定,并将需要发送的访问数据包发送给该拦截单元;
该反馈单元将所生成的密码反馈给该分析单元;
该分析单元根据所拦截的数据包及所接收的由反馈单元发送的密码将该拦截单元拦截的数据包进行识别,获得非法访问数据包及合法访问数据包;并由将该合法访问数据包发送给正中转模块,其中,分析单元根据该密码来识别,当数据包携带密码时即为合法访问数据包,当不携带密码时为非法访问数据包,该密码是一种标识(识别暗号),此处对此不作限定。合法客户端在对数据包进行密码绑定后发送的数据包可包括该拦截单元已拦截的部分数据包,也可以不包括该拦截单元已拦截的部分数据包,即合法客户端在接收到该识别请求时,该客户端可以将尚未发送的访问数据包绑定密码,还可以对之前已发生的访问数据包进行密码绑定,将尚未发送的及之前已发送的访问数据包(均已密码绑定)发送出去。
在识别出非法访问数据包后,调用单元将该非法访问数据包转运到该数据清理模块,对非法访问数据包进行销毁。
该网络异常判断单元继续监控云终端的网络状况,当判断当前云终端的网络恢复正常时,通过状态信息发送单元向正中转模块发送指令,该指令可以是将该合法访问数据包传给云终端的服务器命令,或者是将该合法访问数据包传给其他客户端的命令,此处对此不作限制。
在判断当前云终端的网络恢复正常时,还可包括步骤:
该状态信息发送单元还向该反中转模块发送当前云终端的网络恢复正常的信息,该反中转模块接收到该信息后,自动关闭,等待下一次云终端的网络受到攻击时再启动。
本实施例的一种基于云终端的数据安全防御方法使用上述实施例所述的一种基于云终端的数据安全防御系统,其中的具体工作原理可参考上述实施例,此处不再赘述。
本发明中,实时监控云终端的网络状况,当判断云终端受到攻击时,及时将访问数据包进行拦截,控制路由器的运行,防止非法访问数据包访问云终端,将非法访问数据包进行销毁,当云终端的网络恢复正常时,将合法访问数据包发送给对应的地方,可有效地防止云终端受攻击,提高云终端的防御效率。
其次,将非法访问数据包进行销毁,当云终端的网络恢复正常时,将合法访问数据包发送给对应的地方,可有效地防止云终端受攻击,提高云终端的防御效率。
再者,对非法数据进行销毁,可减轻反中转模块的负载,提高其协助安全防御的能力。综上所述,本发明的一种基于云终端的数据安全防御系统、方法及云终端安全系统,设置了上述实施例所述的数据安全防御系统,当判断云终端受到攻击时,及时将访问数据包进行拦截,控制路由器的运行,有效地防止云终端受到非法攻击。其次,将非法访问数据包进行销毁,当云终端的网络恢复正常时,将合法访问数据包发送给对应的地方,可有效地防止云终端受攻击,提高云终端的防御效率。对非法数据进行销毁,可减轻反中转模块的负载,提高其协助安全防御的能力。所以,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
Claims (10)
1.一种基于云终端的数据安全防御系统,所述云终端包括有若干服务器,其特征在于,所述系统包括:
网络监测管理模块,用于实时监控云终端的网络状况,当监控到云终端受到攻击时,限制对云终端的访问,启动反中转模块,将当前的访问数据包引导至反中转模块;
与所述网络监测管理模块连接的反中转模块,用于将所述当前的访问数据包拦截下来,对所拦截的当前的访问数据包中的合法访问数据包发送给正中转站模块;及
与所述反中转模块及所述网络检测管理模块均连接的正中转模块,用于接收并暂存所述合法访问数据包。
2.根据权利要求1所述的数据安全防御系统,其特征在于,所述网络监测管理模块与所述云终端连接,所述网络监管管理模块具体包括:
网络异常判断单元,用于判断云终端的网络是否出现异常,当判断出现异常时,确认所述云终端处于被攻击状态;
与所述网络异常判断单元连接的启动单元,用于在当前网络处于被攻击状态时,启动所述反中转模块;
与所述网络异常判断单元连接的限制单元,用于在当前网络处于被攻击状态时,限制对云终端的服务器的数据访问;
与所述启动单元连接的引导单元,用于向所述反中转模块发送引导信息,以将所述当前的访问数据包引导至所述反中转模块。
3.根据权利要求1所述的数据安全防御系统,其特征在于,所述反中转模块通过路由器与所述云终端连接,所述反中转模块具体包括:
信息接收单元,用于接收所述网络监测管理模块所发送的信息,所述发送的信息包括当前云终端处于被攻击状态的信息;
与所述信息接收单元连接的暂停服务命令单元,用于在当前云终端处于被攻击状态时,向对应的路由器发出暂停服务命令;
与所述信息接收单元连接的拦截单元,用于对当前的访问数据包进行拦截,并将拦截的数据暂存下来;
与所述拦截单元连接的分析单元,用于对所拦截的当前的访问数据包当前的访问数据包进行分析,识别出非法访问数据包及合法访问数据包,将所述合法访问数据包发送给所述正中转站模块。
4.根据权利要求1所述的数据安全防御系统,其特征在于,所述系统还包括:
与所述反中转模块连接的密码管理模块,用于在所述云终端处于被攻击状态时,对当前的访问数据包当前的访问数据包合法客户端发送的访问数据包进行标识,并将标识结果反馈给所述反中转模块,便于所述反中转模块基于所述标识进行识别。
5.根据权利要求4所述的数据安全防御系统,其特征在于,所述密码管理模块具体包括:
密码生成单元,用于根据与所述云终端连接的合法客户端的身份信息生成对应密码;
密码发送单元,用于向所述合法客户端发送所述密码,使得所述合法客户端基于该密码向所述反中转模块发送携带所述密码的访问数据包;
反馈单元,用于将所生成的密码反馈给所述反中转模块。
6.根据权利要求5所述的数据安全防御系统,其特征在于,所述信息接收单元还用于接收所述反馈单元反馈的信息;
所述分析单元具体用于:
根据所述生成的密码对所拦截的当前的访问数据包当前的访问数据包进行识别,识别出非法访问数据包及合法访问数据包;
所述反中转模块还包括:
调运单元,用于将所述合法访问数据包转运到所述中转模块。
7.根据权利要求6所述的数据安全防御系统,其特征在于,所述数据安全防御系统还包括:
数据清理模块,用于将所述非法访问数据包进行销毁;
所述调运单元还用于将所述非法访问数据包转运到所述数据清理模块中进行销毁。
8.根据权利要求1所述的数据安全防御系统,其特征在于,所述中转模块还用于:接收所述网络监测管理模块反馈的云终端的网络恢复正常状态时,将所述合法访问数据包给所述云终端。
9.一种云终端安全系统,包括若干个服务器,其特征在于,包括如权利要求1至8任意一项所述的基于云终端的数据安全防御系统。
10.一种基于云终端的数据安全防御方法,所述云终端包括有若干服务器,其特征在于,包括:
实时监控云终端的网络状况;
当监控到云终端受到攻击时,限制对云终端的访问;
将当前的访问数据包进行拦截;及
将所拦截的当前的访问数据包中的合法访问数据包存储下来,所述当前的访问数据包包括合法访问数据包及非法访问数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510765551.1A CN105429975B (zh) | 2015-11-11 | 2015-11-11 | 一种基于云终端的数据安全防御系统、方法及云终端安全系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510765551.1A CN105429975B (zh) | 2015-11-11 | 2015-11-11 | 一种基于云终端的数据安全防御系统、方法及云终端安全系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105429975A true CN105429975A (zh) | 2016-03-23 |
| CN105429975B CN105429975B (zh) | 2018-07-31 |
Family
ID=55507917
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510765551.1A Active CN105429975B (zh) | 2015-11-11 | 2015-11-11 | 一种基于云终端的数据安全防御系统、方法及云终端安全系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105429975B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107231360A (zh) * | 2017-06-08 | 2017-10-03 | 上海斐讯数据通信技术有限公司 | 基于云网络的网络病毒防护方法、安全无线路由器和系统 |
| CN107566320A (zh) * | 2016-06-30 | 2018-01-09 | 中国电信股份有限公司 | 一种网络劫持检测方法、装置与网络系统 |
| CN107710680A (zh) * | 2016-03-29 | 2018-02-16 | 华为技术有限公司 | 网络攻击防御策略发送、网络攻击防御的方法和装置 |
| CN108920970A (zh) * | 2018-07-02 | 2018-11-30 | 北京天华星航科技有限公司 | 数据管理方法、系统以及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127649A (zh) * | 2007-09-30 | 2008-02-20 | 华为技术有限公司 | 一种防御网络攻击的方法和系统 |
| US20090150972A1 (en) * | 2007-12-07 | 2009-06-11 | Moon Yong-Hyuk | Apparatus and method for managing p2p traffic |
| CN101969445A (zh) * | 2010-11-03 | 2011-02-09 | 中国电信股份有限公司 | 防御DDoS和CC攻击的方法和装置 |
| CN102291390A (zh) * | 2011-07-14 | 2011-12-21 | 南京邮电大学 | 一种基于云计算平台的防御拒绝服务攻击的方法 |
| CN103023924A (zh) * | 2012-12-31 | 2013-04-03 | 网宿科技股份有限公司 | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 |
-
2015
- 2015-11-11 CN CN201510765551.1A patent/CN105429975B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127649A (zh) * | 2007-09-30 | 2008-02-20 | 华为技术有限公司 | 一种防御网络攻击的方法和系统 |
| US20090150972A1 (en) * | 2007-12-07 | 2009-06-11 | Moon Yong-Hyuk | Apparatus and method for managing p2p traffic |
| CN101969445A (zh) * | 2010-11-03 | 2011-02-09 | 中国电信股份有限公司 | 防御DDoS和CC攻击的方法和装置 |
| CN102291390A (zh) * | 2011-07-14 | 2011-12-21 | 南京邮电大学 | 一种基于云计算平台的防御拒绝服务攻击的方法 |
| CN103023924A (zh) * | 2012-12-31 | 2013-04-03 | 网宿科技股份有限公司 | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107710680A (zh) * | 2016-03-29 | 2018-02-16 | 华为技术有限公司 | 网络攻击防御策略发送、网络攻击防御的方法和装置 |
| US10798060B2 (en) | 2016-03-29 | 2020-10-06 | Huawei Technologies Co., Ltd. | Network attack defense policy sending method and apparatus, and network attack defending method and apparatus |
| CN107566320A (zh) * | 2016-06-30 | 2018-01-09 | 中国电信股份有限公司 | 一种网络劫持检测方法、装置与网络系统 |
| CN107566320B (zh) * | 2016-06-30 | 2020-05-26 | 中国电信股份有限公司 | 一种网络劫持检测方法、装置与网络系统 |
| CN107231360A (zh) * | 2017-06-08 | 2017-10-03 | 上海斐讯数据通信技术有限公司 | 基于云网络的网络病毒防护方法、安全无线路由器和系统 |
| CN108920970A (zh) * | 2018-07-02 | 2018-11-30 | 北京天华星航科技有限公司 | 数据管理方法、系统以及电子设备 |
| CN108920970B (zh) * | 2018-07-02 | 2019-08-30 | 北京天华星航科技有限公司 | 数据管理方法、系统以及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105429975B (zh) | 2018-07-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107347047B (zh) | 攻击防护方法和装置 | |
| CN102932380B (zh) | 基于内容分发网络的分布式防恶意攻击方法和系统 | |
| CN106850690B (zh) | 一种蜜罐构造方法及系统 | |
| EP3952240A1 (en) | Blockchain-based network security system and processing method | |
| CN109005175A (zh) | 网络防护方法、装置、服务器及存储介质 | |
| CN105429975A (zh) | 一种基于云终端的数据安全防御系统、方法及云终端安全系统 | |
| CN104717212B (zh) | 一种云端虚拟网络安全的防护方法与系统 | |
| CN108965348A (zh) | 网络安全防护方法、设备及计算机可读存储介质 | |
| US20130166677A1 (en) | Role-based access control method and apparatus in distribution system | |
| CN101854359A (zh) | 基于虚拟化计算的权限控制方法 | |
| CN109005164A (zh) | 一种网络系统、设备、网络数据交互方法及存储介质 | |
| US20160205135A1 (en) | Method and system to actively defend network infrastructure | |
| CN110022319A (zh) | 攻击数据的安全隔离方法、装置、计算机设备及存储设备 | |
| CN107241297B (zh) | 通信拦截方法及装置、服务器 | |
| JP7102780B2 (ja) | 不正通信対処システム及び方法 | |
| CN106878251B (zh) | 一种用于分布式的网站程序漏洞扫描系统、方法和装置 | |
| JP6870386B2 (ja) | マルウェア不正通信対処システム及び方法 | |
| KR102027438B1 (ko) | Ddos 공격 차단 장치 및 방법 | |
| CN110581843B (zh) | 一种拟态Web网关多应用流量定向分配方法 | |
| CN114430553A (zh) | 一种面向移动物联网设备欺骗防御的便携式代理服务器 | |
| KR102027434B1 (ko) | 보안 장치 및 이의 동작 방법 | |
| US20100157806A1 (en) | Method for processing data packet load balancing and network equipment thereof | |
| Panja et al. | Monitoring and managing cloud computing security using denial of service bandwidth allowance | |
| US10320751B2 (en) | DNS server selective block and DNS address modification method using proxy | |
| KR102491738B1 (ko) | SDN에서의 분산형 DoS공격 방어방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201215 Address after: Dai Xi Zhen Shang Qiang Lu, Wuxing District, Huzhou City, Zhejiang Province Patentee after: HUZHOU AIDI ELECTRIC Co.,Ltd. Address before: 201616 No. 3666 Sixian Road, Songjiang District, Shanghai Patentee before: Phicomm (Shanghai) Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210623 Address after: 201100 room 509, building 2, No. 508, Chundong Road, Minhang District, Shanghai Patentee after: SHANGHAI TAIYU INFORMATION TECHNOLOGY Co.,Ltd. Address before: Dai Xi Zhen Shang Qiang Lu, Wuxing District, Huzhou City, Zhejiang Province Patentee before: HUZHOU AIDI ELECTRIC Co.,Ltd. |
|
| TR01 | Transfer of patent right |