CN107426241B - 一种网络安全防护的方法及装置 - Google Patents

一种网络安全防护的方法及装置 Download PDF

Info

Publication number
CN107426241B
CN107426241B CN201710742256.3A CN201710742256A CN107426241B CN 107426241 B CN107426241 B CN 107426241B CN 201710742256 A CN201710742256 A CN 201710742256A CN 107426241 B CN107426241 B CN 107426241B
Authority
CN
China
Prior art keywords
cdn node
request message
server
node server
attacked
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710742256.3A
Other languages
English (en)
Other versions
CN107426241A (zh
Inventor
杨雪皎
赵跃明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
NSFOCUS Information Technology Co Ltd
Beijing NSFocus Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NSFOCUS Information Technology Co Ltd, Beijing NSFocus Information Security Technology Co Ltd filed Critical NSFOCUS Information Technology Co Ltd
Priority to CN201710742256.3A priority Critical patent/CN107426241B/zh
Publication of CN107426241A publication Critical patent/CN107426241A/zh
Application granted granted Critical
Publication of CN107426241B publication Critical patent/CN107426241B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/568Storing data temporarily at an intermediate stage, e.g. caching

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请实施例中公开了一种网络安全防护的方法及装置,该方法为确定接收到用户终端发送的请求消息时,计算被攻击状态表征被攻击的CDN节点服务器的数目,与所有CDN节点的总数目的比值,获得攻击占比;确定攻击占比不低于第一预设门限值并且不高于第二预设门限值时,为请求消息分配一个安全状态表征未被攻击的CDN节点服务器或安全防护服务器,将请求消息发送至分配的CDN节点服务器或者安全防护服务器,获得请求消息相应的响应消息。这样,为请求消息分配未遭受影响的CDN节点服务器或安全防护服务器,在有效防护网络攻击的同时,提高请求消息的响应速度,进一步地,不需要通过黑名单进行数据丢弃,避免了正常数据的错误丢弃。

Description

一种网络安全防护的方法及装置
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络安全防护的方法及装置。
背景技术
随着通信技术的发展,为使用户可以就近取得所需内容,解决网络拥挤的问题,提高用户访问网站的响应速度,内容分发网络(Content Delivery Network,CDN)应运而生。所谓CDN技术,是在网络边缘放置若干节点服务器,构成智能虚拟网络,进而实时地根据网络流量、各节点的连接、负载状况、用户终端,以及响应时间等综合信息,将用户的请求消息重新导向到距离用户最近的节点服务器上。进一步地,由于网络攻击的剧增,因此,在CDN系统中增加网络安全防护功能已经成为大势所趋。
现有技术下,CDN系统的网络安全防护,主要采用以下两种方式:
第一种方式为:在向CDN服务商购买CDN安全防护服务后,客户人工确定出现网络攻击时,手动启动CDN安全防护服务。CDN安全防护服务可以通过域名系统(Domain NameSystem,DNS)替换的方式将用户发送的数据发送至CDN服务商部署的安全防护服务器,并通过安全防护服务器对接收的数据进行过滤处理,以及将过滤处理后的数据发送至目标服务器。
但是,采用第一种方式,由于在出现网络攻击后,才启动CDN安全防护服务,因此,业务已经受到了网络攻击,安全防护比较滞后,进一步地,由于启动CDN安全防护后,无法使用CDN节点服务器,也就无法使用CDN加速功能,这降低了网络传输的速率。
第二种方式为:CDN中心服务器提取各个攻击源的互联网协议(InternetProtocol,IP)地址,获得IP黑名单集合,并将获得的IP黑名单集合,发送至网络边缘的CDN节点服务器。进一步地,CDN节点服务器将包含IP黑名单集合中任意一个IP地址的接收数据进行丢弃,并将其他接收数据发送至目标服务器。
但是,采用第二种方式,由于正常的数据可能也包含IP黑名单集合中的IP地址,因此,存在将正常的数据进行丢弃的问题。
发明内容
本申请实施例提供一种网络安全防护的方法及装置,用于在保障在有效防护网络攻击的同时,提高请求消息的响应速度。
本申请实施例提供的具体技术方案如下:
一种网络安全防护的方法,包括:
确定接收到用户终端发送的请求消息时,获取本地存储的各个CDN节点服务器的被攻击状态;
计算被攻击状态表征被攻击的CDN节点服务器的数目,与所有CDN节点的总数目的比值,获得攻击占比;
确定攻击占比不低于第一预设门限值并且不高于第二预设门限值时,为请求消息分配一个安全状态表征未被攻击的CDN节点服务器或安全防护服务器;
将请求消息发送至分配的CDN节点服务器或安全防护服务器,并通过分配的CDN节点服务器或安全防护服务器,获得请求消息的响应消息。
较佳的,在确定接收到用户终端发送的请求消息时,获取本地存储的各个CDN节点服务器的被攻击状态之前,具体包括:
分别针对每一个CDN节点服务器执行以下步骤:
按照预设的时长,对一个CDN节点服务器进行业务测试,获得一个CDN节点服务器的业务测试的成功率;
判断一个CDN节点服务器的业务测试的成功率是否低于预设安全门
限值,若是,则判定一个CDN节点服务器被攻击,并将一个CDN节点服
务器的被攻击状态设置为被攻击;
否则,判定一个CDN节点服务器未被攻击,并将一个CDN节点服务
器的被攻击状态设置为未被攻击。
较佳的,在获得攻击占比之后,在将请求消息发送至分配的CDN节点服务器或安全防护服务器之前,进一步包括:
确定攻击占比低于第一预设门限值时,按照预设的负载均衡算法,为请求消息分配的一个安全状态表征未被攻击的CDN节点服务器;或者,
确定攻击占比高于第二预设门限值时,为请求消息分配安全防护服务器进行安全防护。
较佳的,将请求消息发送至分配的CDN节点服务器或安全防护服务器,并通过分配的CDN节点服务器或安全防护服务器,获得请求消息的响应消息,具体包括:
将请求消息发送至分配的CDN节点服务器,并通过分配的CDN节点服务器返回请求消息相应的响应消息;或者,
将请求消息发送至安全防护服务器,并触发安全防护服务器对请求消息进行过滤处理并将过滤处理后的请求消息发送至相应的目标服务器,以及接收目标服务器基于接收的请求消息反馈的响应消息,其中,目标服务器是基于请求消息中包含的域名确定的。
较佳的,通过分配的CDN节点服务器返回请求消息相应的响应消息,包括:
若分配的CDN节点服务器的缓存中包含请求消息的响应消息,则接收分配的CDN节点服务器直接基于请求消息返回的响应消息;或者,
若分配的CDN节点服务器的缓存中不包含请求消息的响应消息,则触发分配的CDN节点服务器将请求消息发送至相应的目标服务器,以及接收目标服务器基于请求消息返回的响应消息。
一种网络安全防护的装置,包括:
获取单元,用于确定接收到用户终端发送的请求消息时,获取本地存储的各个CDN节点服务器的被攻击状态;
确定单元,用于计算被攻击状态表征被攻击的CDN节点服务器的数目,与所有CDN节点的总数目的比值,获得攻击占比;
分配单元,用于确定攻击占比不低于第一预设门限值并且不高于第二预设门限值时,为请求消息分配一个安全状态表征未被攻击的CDN节点服务器或安全防护服务器;
响应单元,用于将请求消息发送至分配的CDN节点服务器或安全防护服务器,并通过分配的CDN节点服务器或安全防护服务器,获得请求消息的响应消息。
较佳的,在确定接收到用户终端发送的请求消息时,获取本地存储的各个CDN节点服务器的被攻击状态之前,获取单元具体用于:
分别针对每一个CDN节点服务器执行以下步骤:
按照预设的时长,对一个CDN节点服务器进行业务测试,获得一个CDN节点服务器的业务测试的成功率;
判断一个CDN节点服务器的业务测试的成功率是否低于预设安全门限值,若是,则判定一个CDN节点服务器被攻击,并将一个CDN节点服务器的被攻击状态设置为被攻击;
否则,判定一个CDN节点服务器未被攻击,并将一个CDN节点服务器的被攻击状态设置为未被攻击。
较佳的,在获得攻击占比之后,在将请求消息发送至分配的CDN节点服务器或安全防护服务器之前,分配单元还用于:
确定攻击占比低于第一预设门限值时,按照预设的负载均衡算法,为请求消息分配的一个安全状态表征未被攻击的CDN节点服务器;或者,
确定攻击占比高于第二预设门限值时,为请求消息分配安全防护服务器进行安全防护。
较佳的,在将请求消息发送至分配的CDN节点服务器或安全防护服务器,并通过分配的CDN节点服务器或安全防护服务器,获得请求消息的响应消息时,响应单元具体用于:
将请求消息发送至分配的CDN节点服务器,并通过分配的CDN节点服务器返回请求消息相应的响应消息;或者,
将请求消息发送至安全防护服务器,并触发安全防护服务器对请求消息进行过滤处理并将过滤处理后的请求消息发送至相应的目标服务器,以及接收目标服务器基于接收的请求消息反馈的响应消息,其中,目标服务器是基于请求消息中包含的域名确定的。
较佳的,在通过分配的CDN节点服务器返回请求消息相应的响应消息,响应单元还用于:
若分配的CDN节点服务器的缓存中包含请求消息的响应消息,则接收分配的CDN节点服务器直接基于请求消息返回的响应消息;或者,
若分配的CDN节点服务器的缓存中不包含请求消息的响应消息,则触发分配的CDN节点服务器将请求消息发送至相应的目标服务器,以及接收目标服务器基于请求消息返回的响应消息。
本申请实施例中,确定接收到用户终端发送的请求消息时,获取本地存储的各个CDN节点服务器的被攻击状态;计算被攻击状态表征被攻击的CDN节点服务器的数目,与所有CDN节点的总数目的比值,获得攻击占比;确定攻击占比不低于第一预设门限值并且不高于第二预设门限值时,为请求消息分配一个安全状态表征未被攻击的CDN节点服务器或安全防护服务器;将请求消息发送至分配的CDN节点服务器或安全防护服务器,并通过分配的CDN节点服务器或安全防护服务器,获得请求消息的响应消息。这样,可以确定网络攻击的范围,进而为请求消息分配未遭受影响的CDN节点服务器或安全防护服务器,在有效防护网络攻击的同时,提高请求消息的响应速度,进一步地,不需要通过黑名单进行数据丢弃,避免了正常数据的错误丢弃。
附图说明
图1a为本申请实施例中网络安全防护系统的架构示意图;
图1b为本申请实施例一中网络安全防护的方法的流程图;
图2为本申请实施例二中网络安全防护的方法的流程图;
图3为本申请实施例三中网络安全防护的方法的流程图;
图4为本申请实施例四中网络安全防护的方法的流程图;
图5为本申请实施例中网络安全防护的装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,并不是全部的实施例。基于本申请实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了在保障请求消息获得正常响应的同时,提高请求消息的响应速度。,本申请实施例中,设计了一种网络安全防护的方法,该方法为根据CDN节点服务器的攻击占比,为请求消息分配一个安全状态表征未被攻击的CDN节点服务器或安全防护服务器,进而通过分配的CDN节点服务器或安全防护服务器对请求消息获得相应的响应消息。
参阅图1a所示,为本申请实施例中CDN系统的架构的示意图。
本申请实施例中,CDN系统包括用户终端、控制服务器、DNS服务器,网络安全检测模块、CDN节点服务器、安全防护服务器和目标服务器。
其中,网络安全检测模块可以部署在控制服务器中,也可以单独部署在一个网络设备中。控制服务器用于通过网络安全检测模块对各个CDN节点服务器的被攻击状态进行检测,获得各个CDN节点服务器的被攻击状态,并计算CDN节点服务器的攻击占比,进而通过攻击占比确定当前的工作模式。
其中,安全防护服务器用于对请求消息进行过滤处理。安全防护服务器还可以为解决一些定制化的特殊防护需求,自定义防护模块,还可以包含抗分布式拒绝服务(Distributed Denial of Service,DDOS)模块或网站应用级入侵防御系统(WebApplication Firewall,WAF)防护模块等。
下面结合附图对本申请优选的实施方式进行详细说明。
在对CDN系统进行网络安全防护之前,先确定各个CDN节点服务器的被攻击状态,具体步骤如下:
以一个CDN节点服务器为例,首先,控制服务器按照预设的时长,对一个CDN节点服务器进行业务测试,获得一个CDN节点服务器的业务测试的成功率,并根据预设的时长进行周期性更新。
可选的,预设的时长可以为5s,业务测试可以是测试发送的业务请求消息是否获得了相应的响应消息。
然后,控制服务器判断一个CDN节点服务器的业务测试的成功率是否低于预设安全门限值,若是,则判定一个CDN节点服务器被攻击,并将一个CDN节点服务器的被攻击状态设置为被攻击,否则,判定一个CDN节点服务器未被攻击,并将一个CDN节点服务器的被攻击状态设置为未被攻击。
这样,控制服务器就可以将各个CDN节点服务器的被攻击状态在本地进行存储。以便在后续的步骤中,可以直接获取。
参阅图1b所示,本申请实施例一中,对网络安全防护的具体流程如下:
步骤100:用户终端向控制服务器发送请求消息。
步骤110:控制服务器接收用户终端发送的请求消息,并获取本地存储的各个CDN节点服务器的被攻击状态。
这样,控制服务器就可以实时获取各个CDN节点服务器的被攻击状态,从而确定CDN节点服务器是否被网络攻击。
步骤120:控制服务器基于各个CDN节点服务器的被攻击状态,确定CDN节点服务器的攻击占比。
具体的,控制服务器基于被攻击状态表征被攻击的CDN节点服务器的个数与CDN节点服务器的总数目的比值,确定CDN节点服务器的攻击占比。
其中,控制服务器通过网络安全检测模块对各个CDN节点服务器的被攻击状态进行监测,获得各个CDN节点服务器的被攻击状态,并计算CDN节点服务器的攻击占比。网络安全检测模块可以部署在控制服务器中,也可以单独部署在一个网络设备中。
这样,就可以根据CDN节点服务器的攻击占比,确定网络攻击的程度。
步骤130:控制服务器根据攻击占比,为请求消息分配CDN节点服务器或安全防护服务器。
具体的,首先,控制服务器根据攻击占比,确定工作模式,并根据确定的工作模式,为请求消息分配CDN节点服务器或安全防护服务器。
其中,工作模式包括:正常访问模式、限定访问模式和安全防护模式。
正常访问模式为:确定攻击占比低于第一预设门限值时,按照预设的负载均衡算法,为请求消息分配的一个安全状态表征未被攻击的CDN节点服务器。
所谓负载均衡是指通过一种廉价有效透明的方法扩展现有网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。
可选的,负载均衡算法可以为加权轮询算法、加权最小连接算法、原地址哈希法等。
例如,第一预设门限值为0.3,攻击占比为0.2,则确定攻击占比0.2低于第一预设门限值0.3,则按照DNS负载均衡算法为请求消息分配的一个安全状态表征未被攻击的CDN节点服务器。
这样,就可以在网络攻击较少的时候,排除被攻击的CDN节点服务器,选择未被攻击的CDN节点服务器对请求消息进行后续的响应处理。
限定访问模式为:确定攻击占比不低于第一预设门限值并且不高于第二预设门限值时,为请求消息随机分配一个安全状态表征未被攻击的CDN节点服务器或安全防护服务器。
其中,安全状态表征未被攻击的CDN节点服务器和安全防护服务器两者被分配的概率是预先设置的。可选的,安全状态表征未被攻击的CDN节点服务器和安全防护服务器两者被分配的概率均为0.5。
例如,预先设置安全状态表征未被攻击的CDN节点服务器和安全防护服务器两者被分配的概率均为0.5,第一预设门限值为0.3,第二预设门限值为0.6。控制服务器获得的攻击占比为0.5,则判定攻击占比0.5高于第一预设门限值并低于第二预设门限值,为接收的请求消息随机分配一个安全状态表征未被攻击的CDN节点服务器或安全防护服务器。
这样,就可以在网络攻击达到一定程度时,将一部分请求消息发送至未被攻击的CDN节点服务器,并将其它的请求消息发送至安全防护服务器。在保障请求消息获得正常响应的同时,最大程度的提高请求消息的响应速度。
安全防护模式为:确定攻击占比高于第二预设门限值时,为请求消息分配安全防护服务器进行防护。
例如,第二预设门限值为0.6,攻击占比为0.8,则控制服务器判定攻击占比0.8高于第二预设门限值0.6,则直接为请求消息分配安全防护服务器进行安全防护。
这样,在网络攻击较为严重时,将所有请求消息都发送至安全防护服务器。
这是由于采用安全防护服务器时,就无法采用CDN节点服务器的加速功能,降低了传输速率,因此,根据攻击占比,即网络攻击的严重程度,对各个未被攻击的CDN节点服务器和安全防护服务器进行实时调整,在保障请求消息获得正常响应的同时,最大程度的提高请求消息的响应速度。
步骤140:控制服务器将请求消息发送至分配的CDN节点服务器或安全防护服务器,并通过分配的CDN节点服务器或安全防护服务器,获得请求消息相应的响应消息。
具体的,执行步骤140时,可以采用以下两种方式:
第一种方式为:首先,将请求消息发送至分配的CDN节点服务器。
然后,上述CDN节点服务器判断缓存中是否包含请求消息的响应消息,若是,则直接在缓存中获取并返回请求消息相应的响应消息,否则,获取请求消息中包含的域名,并将请求消息发送至上述域名对应的目标服务器。
进一步地,目标服务器基于接收的请求消息,向CDN节点服务器返回相应的响应消息。
这样,CDN节点服务器就可以直接获取本地缓存的请求消息的响应消息,或者,确定缓存中未包含相应的响应消息时,目标服务器返回的请求消息的响应消息。这是由于通过CDN节点服务器获取请求消息的响应消息,可以极大地提高业务处理效率,减少时间成本,提高了用户体验。
第二种方式为:首先,将请求消息发送至分配的安全防护服务器。
然后,安全防护服务器对请求消息进行过滤处理,并获取请求消息中包含的域名,以及将过滤处理后的请求消息发送至上述域名对应的目标服务器。
进一步地,目标服务器基于接收的请求消息向安全防护服务器返回相应的响应消息。
这样,就可以通过安全防护服务器对请求消息进行过滤处理,保证了网络安全。
根据CDN节点服务器的攻击占比,确定的工作模式的不同,本申请实施例中,分别通过三个应用场景对上述实施例进行进一步详细说明。
参阅图2所示,本申请实施例二中,第一个应用场景为:控制服务器根据攻击占比,确定工作模式为正常工作模式。网络安全防护的具体流程如下:
步骤200:用户终端向控制服务器发送请求消息。
步骤210:控制服务器接收用户终端发送的请求消息,并获取本地存储的各个CDN节点服务器的被攻击状态。
这样,控制服务器就可以实时获取各个CDN节点服务器的被攻击状态,从而确定CDN节点服务器是否被网络攻击。
步骤220:控制服务器基于各个CDN节点服务器的被攻击状态,确定CDN节点服务器的攻击占比。
具体的,控制服务器基于被攻击状态表征被攻击的CDN节点服务器的个数与CDN节点服务器的总数目的比值,确定CDN节点服务器的攻击占比。
其中,控制服务器通过网络安全检测模块对各个CDN节点服务器的被攻击状态进行监测,获得各个CDN节点服务器的被攻击状态,并计算CDN节点服务器的攻击占比。网络安全检测模块可以部署在控制服务器中,也可以单独部署在一个网络设备中。
这样,就可以根据CDN节点服务器的攻击占比,确定网络攻击的程度。
步骤230:控制服务器根据攻击占比,确定工作模式为正常访问模式,并为请求消息分配未被攻击的CDN节点服务器。
具体的,控制服务器确定攻击占比低于第一预设门限值,确定工作模式为正常访问模式,按照预设的负载均衡算法,为请求消息分配的一个安全状态表征未被攻击的CDN节点服务器。
这样,就可以在网络攻击较少的时候,排除被攻击的CDN节点服务器,选择未被攻击的CDN节点服务器对请求消息进行后续的响应处理。
步骤240:控制服务器将请求消息发送至分配的未被攻击的CDN节点服务器。
步骤250:CDN节点服务器接收请求消息,并判断缓存中是否存储有相应的响应消息,若是,执行步骤260,否则,执行步骤270。
步骤260:CDN节点服务器直接在缓存中获取请求消息相应的响应消息,并将获取的响应消息返回至用户终端。
步骤270:CDN节点服务器向目标服务器发送请求消息。
步骤280:目标服务器接收请求消息,并将请求消息相应的响应消息通过CDN节点服务器返回至用户终端。
参阅图3所示,本申请实施例三中,第二个应用场景为:控制服务器根据攻击占比,确定工作模式为限定工作模式,网络安全防护的具体流程如下:
步骤300:用户终端向控制服务器发送请求消息。
步骤301:控制服务器接收用户终端发送的请求消息,并获取本地存储的各个CDN节点服务器的被攻击状态。
这样,控制服务器就可以实时获取各个CDN节点服务器的被攻击状态,从而确定CDN节点服务器是否被网络攻击。
步骤302:控制服务器基于各个CDN节点服务器的被攻击状态,确定CDN节点服务器的攻击占比。
具体的,控制服务器基于被攻击状态表征被攻击的CDN节点服务器的个数与CDN节点服务器的总数目的比值,确定CDN节点服务器的攻击占比。
其中,控制服务器通过网络安全检测模块对各个CDN节点服务器的被攻击状态进行监测,获得各个CDN节点服务器的被攻击状态,并计算CDN节点服务器的攻击占比。网络安全检测模块可以部署在控制服务器中,也可以单独部署在一个网络设备中。
这样,就可以根据CDN节点服务器的攻击占比,确定网络攻击的程度。
步骤303:控制服务器根据攻击占比,确定工作模式为限定访问模式,若为请求消息分配一个未被攻击的CDN节点服务器,则执行步骤308,否则,执行步骤304。
具体的,控制服务器确定攻击占比不低于第一预设门限值并且不高于第二预设门限值,确定工作模式为限定访问模式,则为请求消息随机分配一个安全状态表征未被攻击的CDN节点服务器或安全防护服务器。若为请求消息随机分配安全防护服务器,则执行步骤304,否则,执行步骤308。
步骤304:控制服务器将请求消息发送至安全防护服务器。
步骤305:安全防护服务器对接收的请求消息进行过滤处理。
步骤306:安全防护服务器将过滤后的请求消息发送至目标服务器。
步骤307:目标服务器将请求消息的响应消息通过CDN节点服务器返回至用户终端。
步骤308:控制服务器将请求消息发送至分配的未被攻击的CDN节点服务器。
步骤309:CDN节点服务器接收请求消息,并判断缓存中是否存储有相应的响应消息,若是,执行步骤310,否则,执行步骤311。
步骤310:CDN节点服务器直接在缓存中获取请求消息相应的响应消息,并将获取的响应消息返回至用户终端。
步骤311:CDN节点服务器向目标服务器发送请求消息。
步骤312:目标服务器接收请求消息,并将请求消息相应的响应消息通过CDN节点服务器返回至用户终端。
参阅图4所示,本申请实施例四中,第三个应用场景为:控制服务器根据攻击占比,确定工作模式为安全防护模式,网络安全防护的具体流程如下:
步骤400:用户终端向控制服务器发送请求消息。
步骤410:控制服务器接收用户终端发送的请求消息,并获取本地存储的各个CDN节点服务器的被攻击状态。
这样,控制服务器就可以实时获取各个CDN节点服务器的被攻击状态,从而确定CDN节点服务器是否被网络攻击。
步骤420:控制服务器基于各个CDN节点服务器的被攻击状态,确定CDN节点服务器的攻击占比。
具体的,控制服务器基于被攻击状态表征被攻击的CDN节点服务器的个数与CDN节点服务器的总数目的比值,确定CDN节点服务器的攻击占比。
其中,控制服务器通过网络安全检测模块对各个CDN节点服务器的被攻击状态进行监测,获得各个CDN节点服务器的被攻击状态,并计算CDN节点服务器的攻击占比。网络安全检测模块可以部署在控制服务器中,也可以单独部署在一个网络设备中。
这样,就可以根据CDN节点服务器的攻击占比,确定网络攻击的程度。
步骤430:控制服务器根据攻击占比,确定工作模式为安全防护模式。
具体的,控制服务器确定攻击占比高于第二预设门限值,确定工作模式为安全防护模式,则为请求消息分配安全防护服务器进行安全防护。
步骤440:控制服务器将请求消息发送至安全防护服务器。
步骤450:安全防护服务器对请求消息进行过滤处理。
步骤460:安全防护服务器将过滤处理后的请求消息发送至目标服务器。
步骤470:目标服务器接收请求消息,并将请求消息相应的响应消息通过CDN节点服务器返回至用户终端。
基于上述实施例,参阅图5所示,网络安全防护的装置的结构示意图,本申请实施例中,网络安全防护的装置具体包括:
获取单元50,用于确定接收到用户终端发送的请求消息时,获取本地存储的各个CDN节点服务器的被攻击状态;
确定单元51,用于计算被攻击状态表征被攻击的CDN节点服务器的数目,与所有CDN节点的总数目的比值,获得攻击占比;
分配单元52,用于确定攻击占比不低于第一预设门限值并且不高于第二预设门限值时,为请求消息分配一个安全状态表征未被攻击的CDN节点服务器或安全防护服务器;
响应单元53,用于将请求消息发送至分配的CDN节点服务器或安全防护服务器,并通过分配的CDN节点服务器或安全防护服务器,获得请求消息的响应消息。
较佳的,在确定接收到用户终端发送的请求消息时,获取本地存储的各个CDN节点服务器的被攻击状态之前,获取单元50具体用于:
分别针对每一个CDN节点服务器执行以下步骤:
按照预设的时长,对一个CDN节点服务器进行业务测试,获得一个CDN节点服务器的业务测试的成功率;
判断一个CDN节点服务器的业务测试的成功率是否低于预设安全门限值,若是,则判定一个CDN节点服务器被攻击,并将一个CDN节点服务器的被攻击状态设置为被攻击;
否则,判定一个CDN节点服务器未被攻击,并将一个CDN节点服务器的被攻击状态设置为未被攻击。
较佳的,在获得攻击占比之后,在将请求消息发送至分配的CDN节点服务器或安全防护服务器之前,分配单元52还用于:
确定攻击占比低于第一预设门限值时,按照预设的负载均衡算法,为请求消息分配的一个安全状态表征未被攻击的CDN节点服务器;或者,
确定攻击占比高于第二预设门限值时,为请求消息分配安全防护服务器进行安全防护。
较佳的,在将请求消息发送至分配的CDN节点服务器或安全防护服务器,并通过分配的CDN节点服务器或安全防护服务器,获得请求消息的响应消息时,响应单元53具体用于:
将请求消息发送至分配的CDN节点服务器,并通过分配的CDN节点服务器返回请求消息相应的响应消息;或者,
将请求消息发送至安全防护服务器,并触发安全防护服务器对请求消息进行过滤处理并将过滤处理后的请求消息发送至相应的目标服务器,以及接收目标服务器基于接收的请求消息反馈的响应消息,其中,目标服务器是基于请求消息中包含的域名确定的。
较佳的,在通过分配的CDN节点服务器返回请求消息相应的响应消息,响应单元53还用于:
若分配的CDN节点服务器的缓存中包含请求消息的响应消息,则接收分配的CDN节点服务器直接基于请求消息返回的响应消息;或者,
若分配的CDN节点服务器的缓存中不包含请求消息的响应消息,则触发分配的CDN节点服务器将请求消息发送至相应的目标服务器,以及接收目标服务器基于请求消息返回的响应消息。
本申请实施例中,确定接收到用户终端发送的请求消息时,获取本地存储的各个CDN节点服务器的被攻击状态;计算被攻击状态表征被攻击的CDN节点服务器的数目,与所有CDN节点的总数目的比值,获得攻击占比;确定攻击占比不低于第一预设门限值并且不高于第二预设门限值时,为请求消息分配一个安全状态表征未被攻击的CDN节点服务器或安全防护服务器;将请求消息发送至分配的CDN节点服务器或安全防护服务器,并通过分配的CDN节点服务器或安全防护服务器,获得请求消息的响应消息。这样,可以确定网络攻击的范围,进而为请求消息分配未遭受影响的CDN节点服务器或安全防护服务器,在有效防护网络攻击的同时,提高请求消息的响应速度,进一步地,不需要通过黑名单进行数据丢弃,避免了正常数据的错误丢弃。
本领域内的技术人员应明白,本申请实施例中的实施例可提供为方法、系统、或计算机程序产品。因此,本申请实施例中可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例中可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请实施例中是参照根据本申请实施例中实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请实施例中的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请实施例中范围的所有变更和修改。
显然,本领域的技术人员可以对本申请实施例中实施例进行各种改动和变型而不脱离本申请实施例中实施例的精神和范围。这样,倘若本申请实施例中实施例的这些修改和变型属于本申请实施例中权利要求及其等同技术的范围之内,则本申请实施例中也意图包含这些改动和变型在内。

Claims (10)

1.一种网络安全防护的方法,其特征在于,包括:
确定接收到用户终端发送的请求消息时,获取本地存储的各个内容分发网络CDN节点服务器的被攻击状态;
计算被攻击状态表征被攻击的CDN节点服务器的数目,与所有CDN节点服务器的总数目的比值,获得攻击占比;
确定所述攻击占比不低于第一预设门限值并且不高于第二预设门限值时,为所述请求消息分配一个安全状态表征未被攻击的CDN节点服务器或安全防护服务器;
将所述请求消息发送至分配的CDN节点服务器或安全防护服务器,并通过所述分配的CDN节点服务器或安全防护服务器,获得所述请求消息的响应消息。
2.如权利要求1所述的方法,其特征在于,在确定接收到用户终端发送的请求消息时,获取本地存储的各个CDN节点服务器的被攻击状态之前,具体包括:
分别针对每一个CDN节点服务器执行以下步骤:
按照预设的时长,对一个CDN节点服务器进行业务测试,获得所述一个CDN节点服务器的业务测试的成功率;
判断所述一个CDN节点服务器的业务测试的成功率是否低于预设安全门限值,若是,则判定所述一个CDN节点服务器被攻击,并将所述一个CDN节点服务器的被攻击状态设置为被攻击;
否则,判定所述一个CDN节点服务器未被攻击,并将所述一个CDN节点服务器的被攻击状态设置为未被攻击。
3.如权利要求1所述的方法,其特征在于,在获得攻击占比之后,在将所述请求消息发送至分配的CDN节点服务器或安全防护服务器之前,进一步包括:
确定所述攻击占比低于所述第一预设门限值时,按照预设的负载均衡算法,为所述请求消息分配一个安全状态表征未被攻击的CDN节点服务器;或者,
确定所述攻击占比高于所述第二预设门限值时,为所述请求消息分配安全防护服务器进行安全防护。
4.如权利要求3所述的方法,其特征在于,将所述请求消息发送至分配的CDN节点服务器或安全防护服务器,并通过所述分配的CDN节点服务器或安全防护服务器,获得所述请求消息的响应消息,具体包括:
将所述请求消息发送至所述分配的CDN节点服务器,并通过所述分配的CDN节点服务器返回所述请求消息相应的响应消息;或者,
将所述请求消息发送至所述安全防护服务器,并触发所述安全防护服务器对所述请求消息进行过滤处理并将过滤处理后的请求消息发送至相应的目标服务器,以及接收所述目标服务器基于接收的请求消息反馈的响应消息,其中,所述目标服务器是基于所述请求消息中包含的域名确定的。
5.如权利要求4所述的方法,其特征在于,通过所述分配的CDN节点服务器返回所述请求消息相应的响应消息,包括:
若所述分配的CDN节点服务器的缓存中包含所述请求消息的响应消息,则接收所述分配的CDN节点服务器直接基于所述请求消息返回的响应消息;或者,
若所述分配的CDN节点服务器的缓存中不包含所述请求消息的响应消息,则触发所述分配的CDN节点服务器将所述请求消息发送至相应的目标服务器,以及接收所述目标服务器基于所述请求消息返回的响应消息。
6.一种网络安全防护的装置,其特征在于,包括:
获取单元,用于确定接收到用户终端发送的请求消息时,获取本地存储的各个内容分发网络CDN节点服务器的被攻击状态;
确定单元,用于计算被攻击状态表征被攻击的CDN节点服务器的数目,与所有CDN节点服务器的总数目的比值,获得攻击占比;
分配单元,用于确定所述攻击占比不低于第一预设门限值并且不高于第二预设门限值时,为所述请求消息分配一个安全状态表征未被攻击的CDN节点服务器或安全防护服务器;
响应单元,用于将所述请求消息发送至分配的CDN节点服务器或安全防护服务器,并通过所述分配的CDN节点服务器或安全防护服务器,获得所述请求消息的响应消息。
7.如权利要求6所述的装置,其特征在于,在确定接收到用户终端发送的请求消息时,获取本地存储的各个CDN节点服务器的被攻击状态之前,所述获取单元具体用于:
分别针对每一个CDN节点服务器执行以下步骤:
按照预设的时长,对一个CDN节点服务器进行业务测试,获得所述一个CDN节点服务器的业务测试的成功率;
判断所述一个CDN节点服务器的业务测试的成功率是否低于预设安全门限值,若是,则判定所述一个CDN节点服务器被攻击,并将所述一个CDN节点服务器的被攻击状态设置为被攻击;
否则,判定所述一个CDN节点服务器未被攻击,并将所述一个CDN节点服务器的被攻击状态设置为未被攻击。
8.如权利要求6所述的装置,其特征在于,在获得攻击占比之后,在将所述请求消息发送至分配的CDN节点服务器或安全防护服务器之前,所述分配单元还用于:
确定所述攻击占比低于所述第一预设门限值时,按照预设的负载均衡算法,为所述请求消息分配一个安全状态表征未被攻击的CDN节点服务器;或者,
确定所述攻击占比高于所述第二预设门限值时,为所述请求消息分配安全防护服务器进行安全防护。
9.如权利要求8所述的装置,其特征在于,在将所述请求消息发送至分配的CDN节点服务器或安全防护服务器,并通过所述分配的CDN节点服务器或安全防护服务器,获得所述请求消息的响应消息时,所述响应单元具体用于:
将所述请求消息发送至所述分配的CDN节点服务器,并通过所述分配的CDN节点服务器返回所述请求消息相应的响应消息;或者,
将所述请求消息发送至所述安全防护服务器,并触发所述安全防护服务器对所述请求消息进行过滤处理并将过滤处理后的请求消息发送至相应的目标服务器,以及接收所述目标服务器基于接收的请求消息反馈的响应消息,其中,所述目标服务器是基于所述请求消息中包含的域名确定的。
10.如权利要求9所述的装置,其特征在于,在通过所述分配的CDN节点服务器返回所述请求消息相应的响应消息,所述响应单元还用于:
若所述分配的CDN节点服务器的缓存中包含所述请求消息的响应消息,则接收所述分配的CDN节点服务器直接基于所述请求消息返回的响应消息;或者,
若所述分配的CDN节点服务器的缓存中不包含所述请求消息的响应消息,则触发所述分配的CDN节点服务器将所述请求消息发送至相应的目标服务器,以及接收所述目标服务器基于所述请求消息返回的响应消息。
CN201710742256.3A 2017-08-25 2017-08-25 一种网络安全防护的方法及装置 Active CN107426241B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710742256.3A CN107426241B (zh) 2017-08-25 2017-08-25 一种网络安全防护的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710742256.3A CN107426241B (zh) 2017-08-25 2017-08-25 一种网络安全防护的方法及装置

Publications (2)

Publication Number Publication Date
CN107426241A CN107426241A (zh) 2017-12-01
CN107426241B true CN107426241B (zh) 2020-02-07

Family

ID=60434370

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710742256.3A Active CN107426241B (zh) 2017-08-25 2017-08-25 一种网络安全防护的方法及装置

Country Status (1)

Country Link
CN (1) CN107426241B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112825517B (zh) * 2019-11-21 2023-01-03 上海云盾信息技术有限公司 安全加速风控调度方法及设备
CN113315743B (zh) * 2020-02-27 2023-04-18 阿里巴巴集团控股有限公司 防御处理方法、装置、设备和存储介质
CN112202643B (zh) * 2020-10-12 2022-03-29 成都知道创宇信息技术有限公司 网络检测方法、装置、测试主机及存储介质
CN113852607B (zh) * 2021-09-01 2023-06-13 中国铁道科学研究院集团有限公司 评估网络安全性能的方法及装置
CN114268489A (zh) * 2021-12-21 2022-04-01 福建瑞网科技有限公司 一种网络安全防护方法及装置
CN116760641B (zh) * 2023-08-18 2023-12-15 中国电子信息产业集团有限公司第六研究所 一种卫星安全通信监测方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103701795A (zh) * 2013-12-20 2014-04-02 北京奇虎科技有限公司 拒绝服务攻击的攻击源的识别方法和装置
US9215248B1 (en) * 2012-08-31 2015-12-15 Fastly Inc. User access rate limiting among content delivery nodes
CN106130816A (zh) * 2016-06-24 2016-11-16 腾讯科技(深圳)有限公司 一种内容分发网络监控方法、监控服务器及系统
CN106911511A (zh) * 2017-03-10 2017-06-30 网宿科技股份有限公司 一种cdn客户源站的防护方法和系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9215248B1 (en) * 2012-08-31 2015-12-15 Fastly Inc. User access rate limiting among content delivery nodes
CN103701795A (zh) * 2013-12-20 2014-04-02 北京奇虎科技有限公司 拒绝服务攻击的攻击源的识别方法和装置
CN106130816A (zh) * 2016-06-24 2016-11-16 腾讯科技(深圳)有限公司 一种内容分发网络监控方法、监控服务器及系统
CN106911511A (zh) * 2017-03-10 2017-06-30 网宿科技股份有限公司 一种cdn客户源站的防护方法和系统

Also Published As

Publication number Publication date
CN107426241A (zh) 2017-12-01

Similar Documents

Publication Publication Date Title
CN107426241B (zh) 一种网络安全防护的方法及装置
US10200402B2 (en) Mitigating network attacks
CN101815033B (zh) 负载均衡的方法、设备及系统
US11671402B2 (en) Service resource scheduling method and apparatus
CN105577608B (zh) 网络攻击行为检测方法和装置
CN107493276B (zh) 一种网络安全防护的方法及装置
CN106790340B (zh) 一种链路调度方法及装置
CN108833450B (zh) 一种实现服务器防攻击方法及装置
CN108092940B (zh) 一种dns的防护方法及相关设备
CN102932380A (zh) 基于内容分发网络的分布式防恶意攻击方法和系统
EP3926924A1 (en) Method and system for providing edge service, and computing device
CN107154915A (zh) 防御分布式拒绝服务DDoS攻击的方法、装置及系统
CN106470253B (zh) Ip地址回收方法和装置
CN111224924B (zh) 流量处理方法、装置、电子设备及存储介质
CN112272166A (zh) 一种流量处理方法、装置、设备及机器可读存储介质
CN110858986A (zh) 带宽调整方法、装置、通信设备及计算机可读存储介质
CN110247893B (zh) 一种数据传输方法和sdn控制器
CN109743357B (zh) 一种业务访问连续性的实现方法及装置
CN109951426B (zh) 异常域名确定方法、异常流量处理方法、装置及系统
CN107395554B (zh) 流量攻击的防御处理方法及装置
CN106888192A (zh) 一种抵抗dns攻击的方法及装置
CN107995125B (zh) 一种流量调度方法及装置
CN113992685B (zh) 一种服务控制器确定方法、系统及装置
CN114697088B (zh) 一种确定网络攻击的方法、装置及电子设备
CN107547551B (zh) 报文过滤方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Co-patentee after: NSFOCUS TECHNOLOGIES Inc.

Patentee after: NSFOCUS Technologies Group Co.,Ltd.

Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Co-patentee before: NSFOCUS TECHNOLOGIES Inc.

Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd.