CN107332784A - 一种用于服务器接口的安全防护系统 - Google Patents

一种用于服务器接口的安全防护系统 Download PDF

Info

Publication number
CN107332784A
CN107332784A CN201710464815.9A CN201710464815A CN107332784A CN 107332784 A CN107332784 A CN 107332784A CN 201710464815 A CN201710464815 A CN 201710464815A CN 107332784 A CN107332784 A CN 107332784A
Authority
CN
China
Prior art keywords
parameter
request
server interface
interface
flow restriction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710464815.9A
Other languages
English (en)
Other versions
CN107332784B (zh
Inventor
雷晓鹏
耿荣健
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Gunton Education Training Co Ltd
Original Assignee
Shanghai Gunton Education Training Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Gunton Education Training Co Ltd filed Critical Shanghai Gunton Education Training Co Ltd
Priority to CN201710464815.9A priority Critical patent/CN107332784B/zh
Publication of CN107332784A publication Critical patent/CN107332784A/zh
Application granted granted Critical
Publication of CN107332784B publication Critical patent/CN107332784B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/215Flow control; Congestion control using token-bucket

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种用于服务器接口的安全防护系统,用于与服务器接口连接实现对进入服务器接口的请求的过滤,所述系统包括:流量限制模块,用于对进入服务器接口的请求进行多维度的流量限制;安全限制模块,用于对进入服务器接口的请求进行安全验证,并对验证不通过的请求进行过滤。与现有技术相比,本发明具有模块化程度高、配置灵活以及适用范围广等优点。

Description

一种用于服务器接口的安全防护系统
技术领域
本发明涉及服务器的安全防护领域,尤其是涉及一种用于服务器接口的安全防护系统。
背景技术
现有的服务器接口防护中,对于流量限制主要依靠令牌桶原理限制,参数安全依靠入口参数格式验证及扩展了参数过滤,参数值按照业务需求处理,做参数映射。
令牌桶算法是网络流量整形和速率限制中最常使用的一种算法。典型情况下,令牌桶算法用来控制发送到网络上的数据的数目,并允许突发数据的发送。现有的令牌桶算法,更多的是一套理论,并没有成型的组件可以使用。
参数安全使用基本依靠自己的编码习惯对参数进行简单的处理,比如格式化,范围判断,类型处理等。并且是更多的散落在各自的小项目中,没有完整的整理出来,没有统一的规范,各自为政,不能统一管理,导致最后也容易废弃掉。
发明内容
本发明的目的是针对上述问题提供一种用于服务器接口的安全防护系统。
本发明的目的可以通过以下技术方案来实现:
一种用于服务器接口的安全防护系统,用于与服务器接口连接实现对进入服务器接口的请求的过滤,所述系统包括:
流量限制模块,用于对进入服务器接口的请求进行多维度的流量限制;
安全限制模块,用于对进入服务器接口的请求进行安全验证,并对验证不通过的请求进行过滤。
所述流量限制模块包括:
流量限制参数配置接口,用于接收外界传递的流量限制参数;
流量限制执行组件,用于根据流量限制参数配置接口传递的流量限制参数,对进入服务器接口的请求进行多维度的流量限制。
所述流量限制参数包括总限制参数和单体限制参数。
所述总限制参数包括进入服务器接口的请求的数量限制参数,所述单体限制参数包括对进入服务器接口中单一模块的请求的数量限制参数、对进入服务器接口的单一类型请求的数量限制参数和对进入服务器接口的单一用户的请求的数量限制参数。
所述流量限制执行组件包括:
参数匹配判断器,用于将进入服务器接口的请求与流量限制参数配置接口传递的流量限制参数进行匹配,判断进入服务器接口的请求是否符合要求;
流量限制执行器,用于在参数匹配判断器的匹配结果为是时通过进入服务器接口的请求,在参数匹配判断器的匹配结果为否时阻止进入服务器接口的请求并返回错误。
所述安全限制模块包括:
安全限制参数配置接口,用于接收外界传递的安全限制参数;
请求处理参数配置接口,用于接收外界传递的请求处理参数;
安全限制执行组件,用于根据安全限制参数配置接口传递的安全限制参数,对不符合安全限制的请求进行过滤,根据请求处理参数配置接口传递的请求处理参数对符合安全限制的请求进行请求处理。
所述请求处理包括类型处理、格式处理、参数名处理、参数值处理和回调处理。
与现有技术相比,本发明具有以下有益效果:
(1)将流量限制和安全限制均模块化处理,解决了现有技术中基于令牌桶算法的流量限制无成型组件可用以及参数安全限制没有统一的规范的缺陷,通过二者模块化的配合,使得该安全防护系统可以匹配现有的大部分服务器,用户在使用时只需进行参数的配置即可自动完成安全防护,自动化程度高且适用范围广,且流量限制模块和安全限制模块可以根据用户的需求自行进行顺序的选择,灵活程度高。
(2)流量限制模块包括流量限制参数配置接口和流量限制执行组件,通过流量限制参数配置接口,可以根据用户的需求对进入服务器的请求进行流量上的限制,配置灵活且便于修改,因此可以在不同的服务器上大量应用,适用范围广。
(3)流量限制参数包括总限制参数和单体限制参数,总限制参数中主要是对进入服务器的请求数量进行限制,而单体限制参数则可以对进入服务器单一模块的请求、单一类型的请求或单一用户的请求均进行数量上的限制,从而实现对请求的多维度限制,限制方式全面且可以灵活配置。
(4)流量限制执行组件基于令牌桶算法,通过与流量限制参数配置接口传递的流量限制参数进行匹配,来判断进入服务器接口的请求是否符合流量限制的要求,方法简便且便于系统处理,实用性能强。
(5)安全限制模块包括安全限制参数配置接口、请求处理参数配置接口和安全限制执行组件,除了能根据配置的安全限制参数对不符合安全要求的请求进行过滤外,还可以对进入服务器的请求进行基本处理,降低了后续的工作量。
(6)请求处理包括类型处理、格式处理、参数名处理和回调处理,通过对类型、格式和参数名的相关修改与转换使得进入服务器的请求能快速与服务器相匹配,而回调处理可以将服务器内无法识别的请求进行返回重新处理,避免了服务器无法识别的情况。
附图说明
图1为安全防护系统的结构示意图;
图2为安全防护系统在进行一次安全防护过程中的工作流程图;
其中,1为流量限制模块,2为安全限制模块,3为服务器接口,11为流量限制参数配置接口,12为流量限制执行组件,21为安全限制参数配置接口,22为请求处理参数配置接口,23为安全限制执行组件。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。本实施例以本发明技术方案为前提进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
如图1所示,本实施例中提供了一种用于服务器接口的安全防护系统,用于与服务器接口3连接实现对进入服务器接口3的请求的过滤,该系统包括:流量限制模块1,用于对进入服务器接口3的请求进行多维度的流量限制;安全限制模块2,用于对进入服务器接口3的请求进行安全验证,并对验证不通过的请求进行过滤。
其中,流量限制模块1包括:流量限制参数配置接口11,用于接收外界传递的流量限制参数;流量限制执行组件12,用于根据流量限制参数配置接口11传递的流量限制参数,对进入服务器接口3的请求进行多维度的流量限制。流量限制参数包括总限制参数和单体限制参数。总限制参数包括进入服务器接口3的请求的数量限制参数,单体限制参数包括对进入服务器接口3中单一模块的请求的数量限制参数、对进入服务器接口3的单一类型请求的数量限制参数和对进入服务器接口3的单一用户的请求的数量限制参数。流量限制执行组件12包括:参数匹配判断器,用于将进入服务器接口3的请求与流量限制参数配置接口11传递的流量限制参数进行匹配,判断进入服务器接口3的请求是否符合要求;流量限制执行器,用于在参数匹配判断器的匹配结果为是时通过进入服务器接口3的请求,在参数匹配判断器的匹配结果为否时阻止进入服务器接口3的请求并返回错误。安全限制模块2包括:安全限制参数配置接口21,用于接收外界传递的安全限制参数;请求处理参数配置接口22,用于接收外界传递的请求处理参数;安全限制执行组件23,用于根据安全限制参数配置接口21传递的安全限制参数,对不符合安全限制的请求进行过滤,根据请求处理参数配置接口22传递的请求处理参数对符合安全限制的请求进行请求处理。请求处理包括类型处理、格式处理、参数名处理、参数值处理和回调处理。
下面对上述结构进行具体阐述,本系统采用了组件化的模式,利用composer直接下载,自动完成依赖安装,在使用中仅仅需要简单的配置,流量需要设置某个模块的访问速率(单位时间访问个数),或者是进一步的具体设置,在入口位置调用组件的检测方法,通过会进行下一步。对参数验证主要是选择字段值的类型(可以指定多个),写入规则,在入口接入组件,只用调用入口方法,传入所有的请求参数,就能完成复杂的请求安全过滤功能。
在接口流量限制中,采用了限制访问次数的模式,但是针对同一个请求又采用了多维度的限制模式。不仅仅会限制整个项目访问次数,还可以限制对某个项目的访问次数,单模块,单动作,单用户的限制次数。在接口参数过滤中,采用统一接受到所有的参数,对参数进行处理,主要处理项:类型,格式,参数名,参数值,回调。一旦发现有不符合要求的参数立马返回结果结束,全部处理完毕通过获取安全参数的方法获取到安全参数。具体的实现过程如图2所示(图2中的流程中流量限制只限制了请求次数而没有对单一模块等进行限制),流量限制模块1在启动时读入数组配置,简单的分析URL就能定位出本次请求是某个项目,要访问的模块、动作,以及是否有用户参数,就按照这是数组的key,能得到具体的限制策略。基于策略生成key,在找到key后,存储方式是key加周期的过期时间。同时存入已经请求数量个数。在redis中采用二分叉快速找到key的最大值,以及在周期内请求的数量。判断次数后确定是否进行下一项处理。安全限制模块2首先接收到所有的参数,url分析,读取配置的策略文件,依次处理参数,有通过的返回参数错误信息。通过后存在指定位置,可按照场景存储。最终在业务层处理文件。

Claims (7)

1.一种用于服务器接口的安全防护系统,用于与服务器接口连接实现对进入服务器接口的请求的过滤,其特征在于,所述系统包括:
流量限制模块,用于对进入服务器接口的请求进行多维度的流量限制;
安全限制模块,用于对进入服务器接口的请求进行安全验证,并对验证不通过的请求进行过滤。
2.根据权利要求1所述的用于服务器接口的安全防护系统,其特征在于,所述流量限制模块包括:
流量限制参数配置接口,用于接收外界传递的流量限制参数;
流量限制执行组件,用于根据流量限制参数配置接口传递的流量限制参数,对进入服务器接口的请求进行多维度的流量限制。
3.根据权利要求2所述的用于服务器接口的安全防护系统,其特征在于,所述流量限制参数包括总限制参数和单体限制参数。
4.根据权利要求3所述的用于服务器接口的安全防护系统,其特征在于,所述总限制参数包括进入服务器接口的请求的数量限制参数,所述单体限制参数包括对进入服务器接口中单一模块的请求的数量限制参数、对进入服务器接口的单一类型请求的数量限制参数和对进入服务器接口的单一用户的请求的数量限制参数。
5.根据权利要求2所述的用于服务器接口的安全防护系统,其特征在于,所述流量限制执行组件包括:
参数匹配判断器,用于将进入服务器接口的请求与流量限制参数配置接口传递的流量限制参数进行匹配,判断进入服务器接口的请求是否符合要求;
流量限制执行器,用于在参数匹配判断器的匹配结果为是时通过进入服务器接口的请求,在参数匹配判断器的匹配结果为否时阻止进入服务器接口的请求并返回错误。
6.根据权利要求1所述的用于服务器接口的安全防护系统,其特征在于,所述安全限制模块包括:
安全限制参数配置接口,用于接收外界传递的安全限制参数;
请求处理参数配置接口,用于接收外界传递的请求处理参数;
安全限制执行组件,用于根据安全限制参数配置接口传递的安全限制参数,对不符合安全限制的请求进行过滤,根据请求处理参数配置接口传递的请求处理参数对符合安全限制的请求进行请求处理。
7.根据权利要求6所述的用于服务器接口的安全防护系统,其特征在于,所述请求处理包括类型处理、格式处理、参数名处理、参数值处理和回调处理。
CN201710464815.9A 2017-06-19 2017-06-19 一种用于服务器接口的安全防护系统 Active CN107332784B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710464815.9A CN107332784B (zh) 2017-06-19 2017-06-19 一种用于服务器接口的安全防护系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710464815.9A CN107332784B (zh) 2017-06-19 2017-06-19 一种用于服务器接口的安全防护系统

Publications (2)

Publication Number Publication Date
CN107332784A true CN107332784A (zh) 2017-11-07
CN107332784B CN107332784B (zh) 2020-12-18

Family

ID=60194114

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710464815.9A Active CN107332784B (zh) 2017-06-19 2017-06-19 一种用于服务器接口的安全防护系统

Country Status (1)

Country Link
CN (1) CN107332784B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012019410A1 (zh) * 2010-08-13 2012-02-16 中兴通讯股份有限公司 智能家居内部网络防止非法入侵的方法及装置
CN102868703A (zh) * 2012-09-29 2013-01-09 山东中创软件工程股份有限公司 一种安全控制系统与方法
CN103701709A (zh) * 2013-12-13 2014-04-02 北京京东尚科信息技术有限公司 一种流量控制方法及系统
CN103856455A (zh) * 2012-12-04 2014-06-11 中山大学深圳研究院 一种保护计算机网络避免数据洪水攻击的方法及系统
US20140223558A1 (en) * 2007-12-13 2014-08-07 International Business Machines Corporation Method and device for integrating multiple threat security services
CN106341341A (zh) * 2016-09-05 2017-01-18 广州华多网络科技有限公司 一种请求数据包过滤方法及其系统
CN106713301A (zh) * 2016-12-16 2017-05-24 四川长虹电器股份有限公司 一种面向智能终端的物联网安全防御系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140223558A1 (en) * 2007-12-13 2014-08-07 International Business Machines Corporation Method and device for integrating multiple threat security services
WO2012019410A1 (zh) * 2010-08-13 2012-02-16 中兴通讯股份有限公司 智能家居内部网络防止非法入侵的方法及装置
CN102868703A (zh) * 2012-09-29 2013-01-09 山东中创软件工程股份有限公司 一种安全控制系统与方法
CN103856455A (zh) * 2012-12-04 2014-06-11 中山大学深圳研究院 一种保护计算机网络避免数据洪水攻击的方法及系统
CN103701709A (zh) * 2013-12-13 2014-04-02 北京京东尚科信息技术有限公司 一种流量控制方法及系统
CN106341341A (zh) * 2016-09-05 2017-01-18 广州华多网络科技有限公司 一种请求数据包过滤方法及其系统
CN106713301A (zh) * 2016-12-16 2017-05-24 四川长虹电器股份有限公司 一种面向智能终端的物联网安全防御系统

Also Published As

Publication number Publication date
CN107332784B (zh) 2020-12-18

Similar Documents

Publication Publication Date Title
CN104866326B (zh) 一种集成交换中间件及其实现方法
CN102571396B (zh) 一种通讯网络系统及通讯设备的巡检子系统和巡检方法
TW527794B (en) Data sending and receiving structure among application programs, data sending and receiving method among application programs and computer readable recording medium for recording program executing sending and receiving method among application programs
KR100294969B1 (ko) 월드와이드웹을통해액세스되는소프트웨어애플리케이션용공통사용자인터페이스를제공하는컴퓨터장치및방법
CN110147981A (zh) 基于文本分析的合同风险审核方法、装置及终端设备
CN102710590A (zh) 多承租人服务网关
CN109344611A (zh) 应用的访问控制方法、终端设备及介质
CN107807891A (zh) 信息采集方法及终端设备
CN105516133A (zh) 用户身份的验证方法、服务器及客户端
CN110225104A (zh) 数据获取方法、装置及终端设备
CN110134711A (zh) 大数据的处理方法、装置、设备及计算机可读存储介质
CN112860676B (zh) 应用于大数据挖掘和业务分析的数据清洗方法及云服务器
CN110264222A (zh) 基于数据采集的尽职调查方法、装置及终端设备
CN109040970A (zh) 基于云计算的业务规划办理方法及终端设备
CN103269384A (zh) 富客户端异常处理方法、处理装置及处理系统
CN108055167B (zh) 一种面向应用的接口通信协议建模方法及装置
CN107835089A (zh) 管理资源的方法和装置
CN108830715A (zh) 批量文件部分回盘处理方法和系统
CN101615116B (zh) 一种接口获取方法、装置及系统
CN109840757A (zh) 一种还款方法及还款管理设备
CN107332784A (zh) 一种用于服务器接口的安全防护系统
CN109995767A (zh) 账户单点登录方法、终端设备及存储介质
CN111294241B (zh) 一种可配置物联网设备接入方法
CN110019501A (zh) 一种数据采集方法、装置及终端设备
CN112507668A (zh) 项目数据存证方法、存证系统、终端设备及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 200083 Shanghai, Hongkou District West Bay Road, building B, No. 8, layer

Applicant after: Shanghai Gaodun Education Technology Co.,Ltd.

Address before: 200083 Shanghai, Hongkou District West Bay Road, building B, No. 8, layer

Applicant before: SHANGHAI GAODUN EDUCATION & TRAINING Co.,Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant