CN107171834A - 基于网关预警池的短信网关服务平台监控预警系统及方法 - Google Patents

基于网关预警池的短信网关服务平台监控预警系统及方法 Download PDF

Info

Publication number
CN107171834A
CN107171834A CN201710312510.6A CN201710312510A CN107171834A CN 107171834 A CN107171834 A CN 107171834A CN 201710312510 A CN201710312510 A CN 201710312510A CN 107171834 A CN107171834 A CN 107171834A
Authority
CN
China
Prior art keywords
early warning
request
platform
gateway
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710312510.6A
Other languages
English (en)
Other versions
CN107171834B (zh
Inventor
康钟荣
李伟
杨万宝
董奎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Changhong Electric Co Ltd
Original Assignee
Sichuan Changhong Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Changhong Electric Co Ltd filed Critical Sichuan Changhong Electric Co Ltd
Priority to CN201710312510.6A priority Critical patent/CN107171834B/zh
Publication of CN107171834A publication Critical patent/CN107171834A/zh
Application granted granted Critical
Publication of CN107171834B publication Critical patent/CN107171834B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/214Monitoring or handling of messages using selective forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/56Unified messaging, e.g. interactions between e-mail, instant messaging or converged IP messaging [CPM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/58Message adaptation for wireless communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种基于网关预警池的短信网关服务平台监控预警系统及方法,用于排除网关服务平台在业务层面和平台层面的安全隐患,该方法中包含该系统,系统中的校验模块可对平台收到的请求及平台的运行状况进行平台安全层面及业务层面的监控、校验,若校验出不利于平台安全信息则判定其为非法请求,拦截该非法请求并保存相关信息,同时触发对应的预警,生成相应预警信息并将非法请求及预警信息推送至网关预警池中相应的网关预警队列,最终通过信息推送引擎将预警信息推送通知相关预警联系人。本发明可及时过滤并排除短信网关服务平台潜在的各种安全隐患,提高了平台网关服务的安全性与可靠性。

Description

基于网关预警池的短信网关服务平台监控预警系统及方法
技术领域
本发明涉及计算机技术与云端服务监控技术领域,特别涉及一种基于网关预警池的短信网关服务平台监控预警系统及方法。
背景技术
短信网关服务平台是基于移动手机各种不同业务应用系统与用户之间的门户层之一,向用户提供短信接入方式,负责应用系统与运营商的短信中心的数据交换,一般将业务方的外部短信数据协议的交易请求,转换成应用系统内部统一的交易格式,再外发至短信中心,最终传递给手机用户。
接入了多个业务方的短信网关服务平台,在具备网关服务的可用性及快速响应等性能的同时,需要对平台网关服务的安全性、可靠性等给予保障,常见的平台服务安全隐患如:来自某个业务方服务器的恶意网关攻击、单次服务请求后的重放攻击、平台服务路由的不可达、非业务方服务器的服务请求或攻击等。这些网关服务平台的安全隐患,大致可分为两类,一类是业务设计层面的,如业务方对短信平台发起无额度限制的服务请求,一类是平台架构层面的,如对发起服务请求的业务方身份的校验;一般,业务设计层面的安全隐患需通过业务逻辑的调整来达到目的,平台架构层面的隐患则需要适时调整平台的架构体系与结构,因此,业务层面或平台层面的安全隐患都需要通过相应的技术方案及技术手段来解决。
发明内容
针对上述背景技术中的技术问题,本发明提供一种基于网关预警池的短信网关服务平台监控预警系统,用于排除网关服务平台在业务层面和平台层面的安全隐患,该系统包括:
读取模块、校验模块、记录存储模块、信息生成中心、网关预警池和信息推送引擎,所述网关预警池中还构建有若干个网关预警队列,且每个所述网关预警队列均关联有预警联系人;所述读取模块与所述平台电连接,所述校验模块分别与所述读取模块及所述平台电连接,所述记录存储模块分别与所述读取模块、所述平台及所述校验模块电连接,所述信息生成中心与所述网关预警池电连接,所述网关预警池与所述校验模块电连接,所述信息推送引擎与所述网关预警池电连接;
所述读取模块为所述校验模块读取校验需求的信息;所述校验模块用于对所述平台收到的请求进行校验或对平台运行数据进行校验,拦截校验中判定出的非法请求;所述记录存储模块用于记录存储平台收到的请求信息及平台业务方信息及平台运行信息,所述信息生成中心用于根据所述非法请求生成相应预警信息,所述网关预警池用于推送所述非法请求及所述预警信息至所述网关预警队列,所述网关预警队列用于存储所述非法请求及所述预警信息,所述推送引擎用于将所述预警信息推送至所述预警联系人。
同时,本发明还提供了一种基于网关预警池的短信网关服务平台监控预警方法:
包含基于网关预警池的短信网关服务平台监控预警系统,所述系统包括读取模块、校验模块、记录存储模块、信息生成中心、网关预警池和信息推送引擎,所述网关预警池中还构建有若干个网关预警队列,且每个所述网关预警队列均关联有预警联系人;所述读取模块与所述平台电连接,所述校验模块分别与所述读取模块及所述平台电连接,所述记录存储模块分别与所述读取模块、所述平台及所述校验模块电连接,所述信息生成中心与所述网关预警池电连接,所述网关预警池与所述校验模块电连接,所述信息推送引擎与所述网关预警池电连接;
所述读取模块为所述校验模块读取校验需求的信息;所述校验模块用于对所述平台收到的请求进行校验或对平台运行数据进行校验,拦截校验中判定出的非法请求;所述记录存储模块用于记录存储平台收到的请求信息及平台业务方信息及平台运行信息,所述信息生成中心用于根据所述非法请求生成相应预警信息,所述网关预警池用于推送所述非法请求及所述预警信息至所述网关预警队列,所述网关预警队列用于存储所述非法请求及所述预警信息,所述推送引擎用于将所述预警信息推送至所述预警联系人;
具体方法步骤如下:
A.所述读取模块读取如下信息:所述平台收到的请求、该请求发送方信息、所述记录存储模块中平台业务方信息,其中,所述平台业务方信息和所述请求发送方信息均包含授权密钥标识数据即AK标识数据,所述AK标识数据为业务方在接入平台时所配置的唯一身份标识数据;
B.所述校验模块根据所述读取模块读取的信息,校验所述请求发送方信息中是否具有正确的AK标识,从而判断该请求发送方是否为平台业务方;
C.若所述校验模块判断该请求为平台业务方发送的请求则进入步骤D,若所述校验模块判断该请求不是平台业务方发送的请求则进入步骤E;
D.所述校验模块根据所述读取模块读取的信息对该请求进行业务方请求系列校验;通过了所述系列校验的请求则进入步骤F,未通过所述系列校验中任一校验的请求即被所述校验模块判定为非法请求并进入步骤G;
E.所述记录存储模块保存该请求的数据信息,所述校验模块拦截该请求,并根据所述读取模块读取的信息对该请求进行频率校验,校验在n2分钟内,平台收到该发送方的请求个数是否小于N2个,且未通过所述频率校验的请求将被所述校验模块判定为非法请求并进入步骤G;
F.所述校验模块将通过了所述系列校验的请求返回所述平台处理,所述记录存储模块记录并保存该请求的数据信息,同时在该请求对应的内容模板的所述当前计数周期内,平台已处理的请求的计数上加一;
G.所述校验模块停止校验,并将所述非法请求推送至所述网关预警池,所述信息生成中心根据所述非法请求生产对应的预警信息,所述网关预警池将所述非法请求及所述预警信息推送至相应的所述网关预警队列,所述推送引擎再将所述网关预警队列中所述预警信息推送至所述网关预警队列关联的所述预警联系人;
步骤D中所述系列校验包括以下校验:
IP白名单校验,即校验该请求发送方IP是否属于该业务方的应用IP;
服务签名风险校验,所述服务签名风险校验包含服务签名校验和风险校验,对签名校验失败的请求才启动所述风险校验,且未通过所述风险校验的请求才判定为非法请求;其中,所述服务签名校验为:校验该请求服务签名是否与该业务方服务签名一致;所述风险校验为:在n1分钟内,该业务方签名校验失败的次数是否小于N1次;
内容模板校验,即校验该请求的内容是否与该业务方申请的内容模板相匹配;
内容重放校验,即校验在n3分钟内,平台是否处理过该业务方发出的相同内容的请求;
发送服务阈值校验,即校验该请求所对应的内容模板在该业务方的当前计数周期内,平台已处理的请求的计数是否小于发送服务阈值,业务方对其申请的每个模板均有约定:在一定的周期内,发送该模板对应内容的请求个数不能超过约定值,所述计数周期即业务方约定的所述周期,所述发送服务阈值即所述约定值;
其中n1、n2、n3均是大于0的实数,N1、N2均是正整数。
进一步的,所述服务签名校验包括:本次请求的时间戳与服务器当前时间戳校验、业务端与平台端约定签名方式的校验和/或约定的签名核心内容校验。
进一步的,所述步骤D的所述服务签名风险校验中,对于进入并通过所述风险校验的请求,所述校验模块判定该请求为错误请求,且所述校验模块拦截所述错误请求,并向该请求发送方返回提示信息。
进一步的,所述信息推送引擎推送所述预警信息的推送渠道包括短信、邮件和/或语音通知。
进一步的,所述网关预警队列由一个平台安全网关预警队列和多个业务方网关预警队列构成,一个平台业务方对应一个所述业务方网关预警队列,所述平台安全网关预警队列关联的所述预警联系人为平台维护人员,所述业务方网关预警队列关联的所述预警联系人为对应的业务方负责人。
进一步的,所述步骤G包括:
G1平台层面预警:所述校验模块停止校验,并将所述非法请求推送至所述网关预警池,所述信息生成中心根据所述非法请求生产对应的预警信息,所述网关预警池将所述非法请求及所述预警信息推送至所述平台安全网关预警队列,所述推送引擎再将所述平台安全网关预警队列中所述预警信息推送至所述平台维护人员;
G2业务层面预警:所述校验模块停止校验,并将所述非法请求推送至所述业务方网关预警池,所述信息生成中心根据所述非法请求生产对应的预警信息,所述网关预警池将所述非法请求及所述预警信息推送至对应的所述业务方网关预警队列,所述推送引擎再将所述业务方网关预警队列中所述预警信息推送至关联的所述业务方负责人。
进一步的,在所述步骤D中的所述系列校验中,在所述IP白名单校验中判定的非法请求同时进入所述G1平台层面预警及所述G2业务层面预警,在所述风险校验中判定的非法请求进入所述G1平台层面预警,在所述内容模板校验、所述内容重放校验及所述发送服务阈值校验中判定的非法请求进入所述G2业务层面预警;在所述步骤E的所述频率校验中判定的非法请求进入所述G1平台层面预警。
进一步的,所述记录保存模块记录并保存平台各项运行数据,所述读取模块读取当前监控周期内平台所述运行数据,所述校验模块对所述运行数据进行安全校验,从而判断所述平台在当前监控周期内运行状况;若所述运行数据未通过所述安全校验,则所述校验模块将所述运行数据判定为非法请求且进入所述G1平台层面预警;所述安全校验为:校验所述运行数据与预设标准运行数据的差值是否在安全差值范围内。
进一步的,所述运行数据至少包括所述平台的服务响应时间、服务可用性。
与现有技术相比,本发明具有的有益效果为:短信网关服务平台通过对业务方的网关服务请求进行监控,对业务层面和平台层面的安全隐患进行过滤与校验,对于被判定为非法的服务请求,将被拦截同时自动触发对应层面的预警,非法请求记录被推送到网关预警池中的相应预警队列,最终通过网关预警信息推送引擎向预警联系人发送预警提示信,及时过滤并排除了短信网关服务平台出现的各种安全隐患,且同时还对平台自身的运行状况进行监控,当平台非正常运行时,可及时通知相关负责人,提高了平台网关服务的安全性与可靠性。
附图说明
图1是本发明所述的基于网关预警池的短信网关服务平台监控预警系统的结构示意图;
图2是本发明所述的基于网关预警池的短信网关服务平台监控预警方法的流程示意图;
图3是本发明所述的业务方请求系列校验所包含的校验的示意图;
图4是本发明所述的对平台运行状况的监控及预警方法的流程示意图。
具体实施方式
下面结合本发明的实施例对本发明作进一步的阐述和说明。
实施例一
如图1所示,一种基于网关预警池的短信网关服务平台监控预警系统,用于排除平台的安全隐患,包括:
读取模块、校验模块、记录存储模块、信息生成中心、网关预警池和信息推送引擎,网关预警池中还构建有若干个网关预警队列,且每个网关预警队列均关联有预警联系人;读取模块与平台电连接,校验模块分别与读取模块及平台电连接,记录存储模块分别与读取模块、平台及校验模块电连接,信息生成中心与网关预警池电连接,网关预警池与校验模块电连接,信息推送引擎与网关预警池电连接;读取模块用于读取平台收到的请求的信息和该请求发送方的信息,以及记录存储模块中存储的信息;校验模块用于对读取模块读取到的请求进行校验,并拦截校验中判定出的非法请求;记录存储模块用于记录存储平台收到的请求信息及平台业务方信息,信息生成中心用于根据非法请求生成相应预警信息,网关预警池用于推送非法请求及预警信息至网关预警队列,网关预警队列用于存储非法请求及预警信息,推送引擎用于将预警信息推送至预警联系人。
具体来说,平台收到请求后,读取模块即读取如下信息:该请求内容信息、该请求发送方信息、记录存储模块中平台业务方信息,其中,平台业务方在接入平台时均配置有一种身份标识,校验模块根据上述信息,首先校验该请求发送方信息中是否具有正确的身份标识数据,从而判断该请求发送方是否为平台业务方,若该请求通过了身份标识的校验,即校验模块判定该请求为业务方发出的请求,则校验模块对该请求进一步进行业务方请求系列校验;若该请求未通过身份标识的校验,即校验模块判定该请求为非业务方发出的请求,则校验模块拦截该请求,并对该请求进一步进行频率校验。
简言之,平台收到请求后,校验模块根据读取模块读取的相关信息,首先判断该请求发送方是否为平台业务方,若是平台业务方发出的请求,则校验模块进一步对该请求的内容及业务方身份信息进行进一步校验,若该请求不是业务方发出的请求,那么说明对平台安全有安全隐患,因此,校验模块进一步对该请求进行校验,确定其对平台安全是否具有威胁。
若该请求在校验模块对其进行初步的身份校验时即被判定为非业务方发出的请求,则校验模块对该发送方向平台发送请求的频率进行校验,若校验发现该发送方向平台发送请求的频率异常,则说明该发送方对平台安全是否具有威胁,则该请求被校验模块判定为非法请求,并触发对应预警,即校验模块拦截该非法请求,并将其推送至网关预警池,信息生成中心生成提醒平台人员对该发送方进行处理的预警信息,网关预警池再将该非法请求及预警信息推送至平台方的网关预警队列,再由推送引擎将该预警信息推送至平台预警联系人,最后,记录存储模块记录并保存本次请求及其校验信息,则本系统针对该次请求的监控及预警结束。
对于被判断为业务方发出的请求,校验模块进一步对其进行业务层面及平台层面的系列校验,该请求未通过任一校验即未通过业务层面及平台层面的系列校验,则该请求被校验模块判定为非法请求,并触发对应预警,即校验模块拦截该非法请求,并将其推送至网关预警池,信息生成中心则根据网关预警池中该非法请求的具体类型,生成相应预警信息,网关预警池再将该非法请求预警信息推送至对应的网关预警队列,再由推送引擎将该预警信息通过推送渠道推送至该网关预警队列关联的预警联系人,从而提醒该联系人对该异常及时处理,最后,记录存储模块记录并保存本次请求及其校验信息,则本系统针对该次请求的监控及预警结束。
简言之,即使该请求被初步判定为业务方发出的请求,但仍不能确认该请求对平台安全无安全隐患,故校验模块还需对该请求进行业务层面及平台层面的系列校验,在该系列校验中,若该请求未通过某一校验,即说明该请求至少存在某一层面的安全隐患,则无需对该请求继续校验,校验模块可直接拦截该请求,并判定该请求为非法请求,同时触发相应预警,并对平台或该请求对应业务方进行预警警告。
若该请求通过了业务层面及平台层面的系列校验,则可确定该请求为安全请求,可返回平台处理,则校验模块将该请求返回平台继续处理,最后,记录存储模块记录并保存本次请求及其校验信息,则本系统针对该次请求的监控及预警结束。
为了进一步保障网关服务平台的稳定运行,读取模块可读取平台的各项实际运行数据,校验模块再对该实际运行数据进行校验,即将该实际运行数据和标准运行值进行比较,若其差值在正常差值范围内,则说明当前平台运行正常,记录存储模块记录并保存本次实际运行数据,则本次该系统针对平台运行监控结束。
若该实际运行数据和标准运行值的差值超出正常差值范围,则说明当前平台运行不正常需要维护,则校验模块将本次获得的运行数据视作一次非法请求,触发平台层面预警,信息生成中心生成提醒平台人员及时对平台进行维护处理的预警信息,网关预警池再将该非法请求及预警信息推送至平台方的网关预警队列,再由推送引擎将该预警信息推送至平台预警联系人,最后,记录存储模块记录并保存本次数据,则本次该系统针对平台运行监控结束。
实施例二
如图2所示,根据上述实施例提出的一种基于网关预警池的短信网关服务平台监控预警系统,本实施例提出了一种基于网关预警池的短信网关服务平台监控预警方法,包含了上述实施例中所述的基于网关预警池的短信网关服务平台监控预警系统,本方法中针对服务请求的监控预警步骤包括:
首先利用读取模块及记录存储模块提供的信息,校验模块对平台收到的请求进行校验,初步判断该请求是否为平台业务方发出的请求;
若判断该请求不是平台业务方发送的请求,则该请求发送方对平台安全可能具有威胁,校验模块进一步该请求进行平台安全层面的频率校验;
若该请求通过频率校验,则说明请求发送方对平台安全无威胁,仅将该请求拦截并记录保存相关信息即可;
若该请求未通过频率校验,则说明请求发送方对平台安全具有威胁,则应触发平台层面预警生成相应预警信息,信息推送引擎将预警信息实时推送给预警队列中所关联的预警联系人,通知提醒平台联系人及时对该发送方作出处理,同时记录保存该请求相关信息,则针对本次请求的监控及预警步骤结束;
若判断该请求在初步身份校验中被判断为平台业务方发送的请求,则校验模块再对该请求进行业务方请求系列校验,具体包括平台安全层面及业务安全层面的相关校验;
若该请求不能通过校验模块对其进行的平台安全层面及业务安全层面的系列校验中的任一校验,则说明该请求均有安全隐患,则停止校验并直接拦截该请求,同时判定该请求为非法请求并触发相应预警,即针对该非法请求生成相应的预警信息,信息推送引擎将预警信息实时推送给预警队列中所关联的预警联系人,通知提醒对应预警联系人及时处理,同时记录保存该非法请求相关信息,则针对本次非法请求的监控及预警步骤结束;
若该请求能通过校验模块对其进行的平台安全层面及业务安全层面的系列校验,则说明该请求为安全请求,可返回平台处理,则将该请求返回平台继续处理,最后,记录并保存本次请求及其校验信息且在该业务方账号下的本次请求对应的内容模板下的服务请求计数上加一,则针对本次请求的监控及预警步骤结束。
具体来说,在对平台收到的请求的监控及预警过程中,首先对请求的发送方身份标识进行校验,进而判断该请求是否为平台业务方发出的请求,一般在业务方接入平台时,平台即会为每个业务方配置不同的身份标识,且该身份标识最好是平台业务方的唯一身份标识,优选的该身份标识为授权密钥标识即AK标识;
若校验得出该请求不是业务方发出的请求,则立即拦截该请求,并进一步校验判断该请求发送方对平台是否有恶意攻击的意图,一般可根据该请求发送方对平台发送请求的频率来判断,可预先设定一个最大安全频率值,若计算得出该请求发送方对平台发送请求的频率超过该最大安全频率值,则判定该请求发送方对平台有恶意攻击的意图,若该请求发送方对平台发送请求的频率未超过该最大安全频率值,则判定该请求发送方对平台无恶意攻击的意图,仅拦截该请求,并记录保存该请求信息即可结束对本次请求的监控预警;为了便于辨别该非业务方向平台发送请求是否有恶意攻击的意图,也可预先设定在一定时间范围内,平台收到同一非业务方的请求的个数不能超过最大预设值,如在1分钟内,收到同一非业务方的请求的个数不能超过10个,否则该请求发送方对平台有恶意攻击的意图。
若判定该请求发送方对平台有恶意攻击的意图,则应将该请求判定为属于恶意攻击的非法请求,并及时推送至网关预警池,同时,信息生成中心针对该非法请求,生成相应的预警信息,如:提醒平台预警联系人对恶意IP攻击做出处理,一般可人工屏蔽相应IP的服务请求,由于对平台的恶意攻击属于针对平台层面的安全隐患,故该非法请求及预警信息应被网关预警池推送至平台安全网关预警队列,并由信息推送引擎将该预警信息推送至平台预警联系人,一般为平台方管理或运维人员,最后记录并保存该请求相关信息即可结束对本次请求的监控预警。
若校验得出该请求是业务方发出的请求,则对该请求进一步进行业务方请求系列校验,如图3所示,该业务方请求系列校验具体包括IP白名单校验、服务签名风险校验、内容模板校验、内容重放校验、发送服务阈值校验,该请求未通过上述任一校验则将被拦截判定为非法请求;
其中,服务签名风险校验属于针对网关服务平台架构层面的安全监控,平台层面校验出的非法服务请求推送到网关预警池中的平台安全网关预警队列;内容模板校验、内容重放校验、发送服务阈值校验均属于针对业务方业务层面的网关服务安全监控,业务层面校验出是业务方非法服务请求推送到网关预警池中的业务方网关预警队列;IP白名单校验同时属于平台架构层面及业务层面的安全监控,其校验出的非法请求被同时推送到网关预警池中的平台安全网关预警队列和业务方网关预警队列。
具体的,IP白名单校验为校验该请求发送方IP是否属于其身份标识对应业务方的应用IP,业务方在接入网关服务平台的同时,平台方会将业务方应用所在服务器的IP集合加入到平台的IP白名单中,若来自业务方的网关服务请求中,发起服务请求的服务器IP不在IP白名单之列,则本次请求将被拦截判定为非法请求,本次非法请求信息将被同时推送到网关预警池中该业务方的网关预警队列和平台安全网关预警队列,生成的相应的业务方预警信息为通知业务检查服务器IP变更记录并向平台方申请核实,平台安全预警信息为通知平台管理与运维人员检查该业务方的服务器IP配置数据是否正确并作出处理。
服务签名风险校验具体为:短信平台对业务方服务请求做签名校验,网关服务的签名方式很多,主要内容包含了对业务方的AK与SK验证、对本次请求的时间戳与服务器当前时间戳校验、业务端与平台端约定签名方式的校验、约定的签名核心内容校验等,当平台对业务方的服务请求签名校验失败时,平台向本次请求返回签名校验失败的提示信息,并核对该业务方在一定时间内签名校验失败的次数,若一定时间内同一业务方发起的请求签名校验失败次数达到一定上限,则短信平台将业务方本次请求视为非法请求、恶意业务请求,并将该非法请求信息推送到网关预警池中的平台安全预警队列,生成的相应预警信息为提醒平台方管理或运维人员对业务方的资质或身份合法性进行检查。
内容模板校验具体为:业务方发起的服务请求中,若请求短信内容与业务方所申请的短信模板不匹配,则平台将本次服务请求判定为业务层面的非法请求,将本次非法请求信息推送到网关预警池中该业务方的网关预警队列,相应的预警信息为提醒业务方联系人检查其应用中接入短信平台的逻辑以及所配置模板是否正确。
内容重放校验具体为:对于通过了平台安全过滤并获得了响应返回即已被平台处理了的服务请求,根据服务请求的内容和校验信息,若在短时间内平台收到了完全相同的服务请求,则平台方将本次请求判定为重放攻击,属于恶意的业务方非法请求,将本次非法请求信息推送到网关预警池中该业务方的网关预警队列,相应的预警信息为提醒业务方联系人跟踪本次服务请求并在业务端做出处理。
发送服务阈值校验具体为:根据与业务方的约定,预先对每个业务方的每个短信模板,按一定的时间期限设定网关服务请求上限阈值,对于业务方的每一次请求,需校验业务方账号的设定期限内的服务成功请求计数,是否已达发送的上限阈值,未达上限则通过本次发送服务阈值校验,且若最终平台处理本次服务请求,即在业务方账号下的服务请求计数上加一,校验未通过则平台方不能处理本次服务请求,本次请求在业务上属于非法请求,将本次非法请求信息推送到网关预警池中该业务方的网关预警队列,相应的预警信息为通知业务方修改网关服务请求上限阈值。
为了保障平台运行的更稳定,为短信平台配置一个检测网关服务状态的Health服务,如图4所示,对平台运行状况的监控及预警方法主要包括:首先实时获取服务可用性、服务响应时间等平台运行数据,并将该数据进行安全校验,即判断该数据与预设标准运行数据的差值是否超过最大安全差值,若超过该最大安全差值,即Health服务执行得到的结果不利于网关服务的正常运作,则向网关预警池中的平台安全预警队列推送预警信息,并保存本次获取的平台运行数及校验信息,相应的预警信息为提醒平台方管理或运维人员检查平台的服务器状态、网络服务等,排除故障确保平台网关服务的快速响应;若Health服务执行得到的结果为平台运作正常,则保存本次获取的平台运行数及校验信息,并进入下一次Health服务。
作为优选的,信息推送引擎根据网关服务平台的实际情况,集成短信、邮件、语音通知等预警信息推送渠道,用于实时将网关服务预警信息推送到相应联系人并通知及时处理业务方或平台方的服务异常请求。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。

Claims (10)

1.一种基于网关预警池的短信网关服务平台监控预警系统,用于排除平台的安全隐患,其特征在于:
包含读取模块、校验模块、记录存储模块、信息生成中心、网关预警池和信息推送引擎,所述网关预警池中还构建有若干个网关预警队列,且每个所述网关预警队列均关联有预警联系人;所述读取模块与所述平台电连接,所述校验模块分别与所述读取模块及所述平台电连接,所述记录存储模块分别与所述读取模块、所述平台及所述校验模块电连接,所述信息生成中心与所述网关预警池电连接,所述网关预警池与所述校验模块电连接,所述信息推送引擎与所述网关预警池电连接;
所述读取模块为所述校验模块读取校验需求的信息;所述校验模块用于对所述平台收到的请求进行校验或对平台运行数据进行校验,拦截校验中判定出的非法请求;所述记录存储模块用于记录存储平台收到的请求信息及平台业务方信息及平台运行信息,所述信息生成中心用于根据所述非法请求生成相应预警信息,所述网关预警池用于推送所述非法请求及所述预警信息至所述网关预警队列,所述网关预警队列用于存储所述非法请求及所述预警信息,所述推送引擎用于将所述预警信息推送至所述预警联系人。
2.一种基于网关预警池的短信网关服务平台监控预警方法,其特征在于,包含基于网关预警池的短信网关服务平台监控预警系统,所述系统包括读取模块、校验模块、记录存储模块、信息生成中心、网关预警池和信息推送引擎,所述网关预警池中还构建有若干个网关预警队列,且每个所述网关预警队列均关联有预警联系人;所述读取模块与所述平台电连接,所述校验模块分别与所述读取模块及所述平台电连接,所述记录存储模块分别与所述读取模块、所述平台及所述校验模块电连接,所述信息生成中心与所述网关预警池电连接,所述网关预警池与所述校验模块电连接,所述信息推送引擎与所述网关预警池电连接;
所述读取模块为所述校验模块读取校验需求的信息;所述校验模块用于对所述平台收到的请求进行校验或对平台运行数据进行校验,拦截校验中判定出的非法请求;所述记录存储模块用于记录存储平台收到的请求信息及平台业务方信息及平台运行信息,所述信息生成中心用于根据所述非法请求生成相应预警信息,所述网关预警池用于推送所述非法请求及所述预警信息至所述网关预警队列,所述网关预警队列用于存储所述非法请求及所述预警信息,所述推送引擎用于将所述预警信息推送至所述预警联系人;
具体方法步骤如下:
A.所述读取模块读取如下信息:所述平台收到的请求、该请求发送方信息、所述记录存储模块中平台业务方信息,其中,所述平台业务方信息和所述请求发送方信息均包含授权密钥标识数据即AK标识数据,所述AK标识数据为业务方在接入平台时所配置的唯一身份标识数据;
B.所述校验模块根据所述读取模块读取的信息,校验所述请求发送方信息中是否具有正确的AK标识,从而判断该请求发送方是否为平台业务方;
C.若所述校验模块判断该请求为平台业务方发送的请求则进入步骤D,若所述校验模块判断该请求不是平台业务方发送的请求则进入步骤E;
D.所述校验模块根据所述读取模块读取的信息对该请求进行业务方请求系列校验;通过了所述系列校验的请求则进入步骤F,未通过所述系列校验中任一校验的请求即被所述校验模块判定为非法请求并进入步骤G;
E.所述记录存储模块保存该请求的数据信息,所述校验模块拦截该请求,并根据所述读取模块读取的信息对该请求进行频率校验,所述频率校验为:校验在n2分钟内,平台收到该发送方的请求个数是否小于N2个,且未通过所述频率校验的请求将被所述校验模块判定为非法请求并进入步骤G;
F.所述校验模块将通过了所述系列校验的请求返回所述平台处理,所述记录存储模块记录并保存该请求的数据信息,同时在该请求对应的内容模板的所述当前计数周期内,平台已处理的请求的计数上加一;
G.所述校验模块停止校验,并将所述非法请求推送至所述网关预警池,所述信息生成中心根据所述非法请求生产对应的预警信息,所述网关预警池将所述非法请求及所述预警信息推送至相应的所述网关预警队列,所述推送引擎再将所述网关预警队列中所述预警信息推送至所述网关预警队列关联的所述预警联系人;
所述步骤D中所述系列校验包括以下校验:
IP白名单校验,即校验该请求发送方IP是否属于该业务方的应用IP;
服务签名风险校验,所述服务签名风险校验包含服务签名校验和风险校验,对签名校验失败的请求才启动所述风险校验,且未通过所述风险校验的请求才判定为非法请求;其中,所述服务签名校验为:校验该请求服务签名是否与该业务方服务签名一致;所述风险校验为:在n1分钟内,该业务方签名校验失败的次数是否小于N1次;
内容模板校验,即校验该请求的内容是否与该业务方申请的内容模板相匹配;
内容重放校验,即校验在n3分钟内,平台是否处理过该业务方发出的相同内容的请求;
发送服务阈值校验,即校验该请求所对应的内容模板在该业务方的当前计数周期内,平台已处理的请求的计数是否小于发送服务阈值,业务方对其申请的每个模板均有约定:在一定的约定周期内,发送该模板对应内容的请求个数不能超过约定值,所述计数周期即所述约定周期,所述发送服务阈值即所述约定值;
其中n1、n2、n3均是大于0的实数,N1、N2均是正整数。
3.根据权利要求2所述的基于网关预警池的短信网关服务平台监控预警方法,其特征在于,所述服务签名校验至少包括:本次请求的时间戳与服务器当前时间戳校验、业务端与平台端约定签名方式的校验和/或约定的签名核心内容校验。
4.根据权利要求2所述的基于网关预警池的短信网关服务平台监控预警方法,其特征在于,所述步骤D的所述服务签名风险校验中,对于进入所述风险校验并通过所述风险校验的请求,所述校验模块判定该请求为错误请求,且所述校验模块拦截所述错误请求,并向该请求发送方返回提示信息。
5.根据权利要求2所述的基于网关预警池的短信网关服务平台监控预警方法,其特征在于,所述信息推送引擎推送所述预警信息的推送渠道包括短信、邮件和/或语音通知。
6.根据权利要求1至5中任一所述的基于网关预警池的短信网关服务平台监控预警方法,其特征在于,所述网关预警队列由一个平台安全网关预警队列和多个业务方网关预警队列构成,一个平台业务方对应一个所述业务方网关预警队列,所述平台安全网关预警队列关联的所述预警联系人为平台维护人员,所述业务方网关预警队列关联的所述预警联系人为对应的业务方负责人。
7.根据权利要求6所述的基于网关预警池的短信网关服务平台监控预警方法,其特征在于,所述步骤G包括:
G1平台层面预警:所述校验模块停止校验,并将所述非法请求推送至所述网关预警池,所述信息生成中心根据所述非法请求生产对应的预警信息,所述网关预警池将所述非法请求及所述预警信息推送至所述平台安全网关预警队列,所述推送引擎再将所述平台安全网关预警队列中所述预警信息推送至所述平台维护人员;
G2业务层面预警:所述校验模块停止校验,并将所述非法请求推送至所述业务方网关预警池,所述信息生成中心根据所述非法请求生产对应的预警信息,所述网关预警池将所述非法请求及所述预警信息推送至对应的所述业务方网关预警队列,所述推送引擎再将所述业务方网关预警队列中所述预警信息推送至关联的所述业务方负责人。
8.根据权利要求7所述的基于网关预警池的短信网关服务平台监控预警方法,其特征在于,
在所述步骤D中的所述系列校验中,在所述IP白名单校验中判定的非法请求同时进入所述G1平台层面预警及所述G2业务层面预警,在所述风险校验中判定的非法请求进入所述G1平台层面预警,在所述内容模板校验、所述内容重放校验及所述发送服务阈值校验中判定的非法请求进入所述G2业务层面预警;
在所述步骤E的所述频率校验中判定的非法请求进入所述G1平台层面预警。
9.根据权利要求7所述的基于网关预警池的短信网关服务平台监控预警方法,其特征在于,所述记录保存模块记录并保存平台各项运行数据,所述读取模块读取当前平台所述运行数据,所述校验模块对所述运行数据进行安全校验,从而判断所述平台在当前运行状况;若所述运行数据未通过所述安全校验,则所述校验模块将所述运行数据判定为非法请求且进入所述G1平台层面预警;
所述安全校验为:校验所述运行数据与预设标准运行数据的差值是否超过最大安全差值。
10.根据权利要求9所述的基于网关预警池的短信网关服务平台监控预警方法,其特征在于,所述运行数据至少包括所述平台的服务响应时间、服务可用性。
CN201710312510.6A 2017-05-05 2017-05-05 基于网关预警池的短信网关服务平台监控预警系统及方法 Active CN107171834B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710312510.6A CN107171834B (zh) 2017-05-05 2017-05-05 基于网关预警池的短信网关服务平台监控预警系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710312510.6A CN107171834B (zh) 2017-05-05 2017-05-05 基于网关预警池的短信网关服务平台监控预警系统及方法

Publications (2)

Publication Number Publication Date
CN107171834A true CN107171834A (zh) 2017-09-15
CN107171834B CN107171834B (zh) 2020-01-31

Family

ID=59813806

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710312510.6A Active CN107171834B (zh) 2017-05-05 2017-05-05 基于网关预警池的短信网关服务平台监控预警系统及方法

Country Status (1)

Country Link
CN (1) CN107171834B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107801165A (zh) * 2017-10-31 2018-03-13 平安科技(深圳)有限公司 业务短信推送方法、装置、计算机设备和存储介质
CN108347374A (zh) * 2018-01-22 2018-07-31 广州欧赛斯信息科技有限公司 一种阻止非法消息的消息推送方法、系统及装置
CN111198804A (zh) * 2019-12-30 2020-05-26 中电工业互联网有限公司 基于网关的工业互联网平台第三方微服务监控预警方法
CN111277608A (zh) * 2020-02-17 2020-06-12 腾讯科技(深圳)有限公司 基于区块链的安全风险信息管理方法、装置、设备及介质
CN111314381A (zh) * 2020-03-20 2020-06-19 重庆富民银行股份有限公司 安全隔离网关
CN115242745A (zh) * 2022-07-19 2022-10-25 南京鼎山信息科技有限公司 基于5g通信网络的短信推送系统及方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101374080A (zh) * 2007-08-24 2009-02-25 上海合胜计算机科技有限公司 短信网关服务器的监控方法
CN101917423A (zh) * 2010-08-05 2010-12-15 上海酷族信息技术有限公司 数据库安全防范的操作方法
CN105939311A (zh) * 2015-08-11 2016-09-14 杭州迪普科技有限公司 一种网络攻击行为的确定方法和装置
CN106453411A (zh) * 2016-11-29 2017-02-22 四川长虹电器股份有限公司 一种支持多通道的短信网关接入方法及系统
US9584436B1 (en) * 2014-05-07 2017-02-28 Skyport Systems, Inc. Method and system for managing class of service in a network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101374080A (zh) * 2007-08-24 2009-02-25 上海合胜计算机科技有限公司 短信网关服务器的监控方法
CN101917423A (zh) * 2010-08-05 2010-12-15 上海酷族信息技术有限公司 数据库安全防范的操作方法
US9584436B1 (en) * 2014-05-07 2017-02-28 Skyport Systems, Inc. Method and system for managing class of service in a network
CN105939311A (zh) * 2015-08-11 2016-09-14 杭州迪普科技有限公司 一种网络攻击行为的确定方法和装置
CN106453411A (zh) * 2016-11-29 2017-02-22 四川长虹电器股份有限公司 一种支持多通道的短信网关接入方法及系统

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107801165A (zh) * 2017-10-31 2018-03-13 平安科技(深圳)有限公司 业务短信推送方法、装置、计算机设备和存储介质
CN107801165B (zh) * 2017-10-31 2020-02-18 平安科技(深圳)有限公司 业务短信推送方法、装置、计算机设备和存储介质
CN108347374A (zh) * 2018-01-22 2018-07-31 广州欧赛斯信息科技有限公司 一种阻止非法消息的消息推送方法、系统及装置
CN108347374B (zh) * 2018-01-22 2021-06-29 广州欧赛斯信息科技有限公司 一种阻止非法消息的消息推送方法及装置
CN111198804A (zh) * 2019-12-30 2020-05-26 中电工业互联网有限公司 基于网关的工业互联网平台第三方微服务监控预警方法
CN111198804B (zh) * 2019-12-30 2023-09-05 中电工业互联网有限公司 基于网关的工业互联网平台第三方微服务监控预警方法
CN111277608A (zh) * 2020-02-17 2020-06-12 腾讯科技(深圳)有限公司 基于区块链的安全风险信息管理方法、装置、设备及介质
CN111277608B (zh) * 2020-02-17 2021-06-11 腾讯科技(深圳)有限公司 基于区块链的安全风险信息管理方法、装置、设备及存储介质
CN111314381A (zh) * 2020-03-20 2020-06-19 重庆富民银行股份有限公司 安全隔离网关
CN115242745A (zh) * 2022-07-19 2022-10-25 南京鼎山信息科技有限公司 基于5g通信网络的短信推送系统及方法
CN115242745B (zh) * 2022-07-19 2023-08-15 南京鼎山信息科技有限公司 基于5g通信网络的短信推送系统及方法

Also Published As

Publication number Publication date
CN107171834B (zh) 2020-01-31

Similar Documents

Publication Publication Date Title
CN107171834A (zh) 基于网关预警池的短信网关服务平台监控预警系统及方法
CN107005572A (zh) 用于无反作用地检测数据的方法和装置
CN109510796A (zh) 一种设备绑定方法及系统
CN1971656A (zh) 一种能对机动车和驾驶员进行可靠管理的电子检测系统
CN107945595A (zh) 考试系统与考试客户端
EP3987743A1 (en) Systems and methods for authentication and fraud detection
CN108259680A (zh) 诈骗电话识别方法、装置以及用于识别诈骗电话的服务器
CN108230525A (zh) 门禁管理方法及门禁管理装置
CN112766890A (zh) 会议准入方法、装置、电子设备及存储介质
CN110049028A (zh) 监控域控管理员的方法、装置、计算机设备及存储介质
CN108769016A (zh) 一种业务报文的处理方法及装置
US8359009B2 (en) Method for the reliable and targeted suppression of alarms in a monitoring and control center
CN112671801B (zh) 一种网络安全检测方法和系统
CN110061981A (zh) 一种攻击检测方法及装置
JP2002041468A (ja) 不正アクセス防止サービスシステム
CN107509190A (zh) 一种短消息监控方法、装置和监控中心
KR100616240B1 (ko) 피싱 방지 방법
CN107707387A (zh) 基于复合物联网的水表故障推送方法及物联网系统
CN106888439B (zh) 信息处理系统及其信息处理方法
CN207489116U (zh) 一种小区拜访人员的验证系统
CN116010551A (zh) 聊天文本检测方法及其装置、设备、介质
CN107612734A (zh) 基于复合物联网的燃气表故障推送方法及物联网系统
CN107835220A (zh) 基于复合物联网的热量表故障推送方法及物联网系统
CN109215182A (zh) 一种基于互联网技术的化学试剂管理方法及系统
US11451538B2 (en) Methods and systems of authenticating of personal communications

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant