CN109688242A - 一种云防护系统及方法 - Google Patents
一种云防护系统及方法 Download PDFInfo
- Publication number
- CN109688242A CN109688242A CN201811612499.6A CN201811612499A CN109688242A CN 109688242 A CN109688242 A CN 109688242A CN 201811612499 A CN201811612499 A CN 201811612499A CN 109688242 A CN109688242 A CN 109688242A
- Authority
- CN
- China
- Prior art keywords
- subsystem
- cleaning
- node
- domain name
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种云防护系统,包括云盾域名解析子系统和流量清洗子系统;云盾域名解析子系统在接收到域名解析请求时,在流量清洗子系统中确定当前可用清洗节点,并将当前可用清洗节点的IP地址返回给用户,当前可用清洗节点在接收到业务访问请求时,基于当前使用的安全防护策略,对业务访问请求进行流量清洗,在确定其正常时,将业务访问请求发送给业务站点,并接收业务站点返回的响应数据,将该响应数据返回给用户。应用本发明实施例所提供的技术方案,通过云盾域名解析子系统将业务数据牵引至流量清洗子系统,实现对云平台中的业务的安全防护,提高了云平台业务运行安全性。本发明还公开了一种云防护方法,具有相应技术效果。
Description
技术领域
本发明涉及计算机安全技术领域,特别是涉及一种云防护系统及方法。
背景技术
随着云计算技术的快速发展,云平台的应用越来越广泛,越来越多的政企业务迁移到了公有云平台或者政务云平台。
因为云平台向客户提供的是虚拟机而非实体机,所以传统的通过在业务出口部署硬件安全设备进行防护的方案在云平台中并不适用。而随着自动化攻击工具的增多,黑客攻击成本逐步降低,客户业务遭受的攻击越来越多,如何对云平台中的业务进行安全防护,是目前本领域技术人员急需解决的技术问题。
发明内容
本发明的目的是提供一种云防护系统及方法,以对云平台中的业务进行安全防护,提高云平台业务运行安全性。
为解决上述技术问题,本发明提供如下技术方案:
一种云防护系统,包括云盾域名解析子系统和流量清洗子系统;其中,
所述云盾域名解析子系统,用于在接收到用户通过根域名解析服务器发送的域名解析请求时,在所述流量清洗子系统中确定当前可用清洗节点,并将所述当前可用清洗节点的IP地址通过所述根域名解析服务器返回给所述用户,以使所述用户基于所述当前可用清洗节点的IP地址发送业务访问请求;
所述当前可用清洗节点,用于在接收到所述用户的业务访问请求时,基于当前使用的安全防护策略,对所述业务访问请求进行流量清洗,并确定所述业务访问请求是否为正常请求,如果是,则将所述业务访问请求发送给云平台中对应的业务站点,并接收所述业务站点返回的响应数据,将所述业务站点返回的响应数据返回给所述用户。
在本发明的一种具体实施方式中,所述流量清洗子系统包括的清洗节点部署有多条线路,各线路之间互为冗余;
所述云盾域名解析子系统,还用于对所述流量清洗子系统中的清洗节点进行线路监测,并具体用于在所述流量清洗子系统中确定当前可用清洗节点之后,根据线路监测结果,确定所述当前可用清洗节点的可用线路,将所述当前可用清洗节点的所述可用线路对应的IP地址通过所述根域名解析服务器返回给所述用户。
在本发明的一种具体实施方式中,所述流量清洗子系统包括主清洗节点和备用清洗节点;
所述云盾域名解析子系统,还用于对所述流量清洗子系统中每个清洗节点进行节点监测,并具体用于根据节点监测结果,在所述流量清洗子系统中确定当前可用清洗节点。
在本发明的一种具体实施方式中,还包括故障监测设备;
所述故障监控设备,用于对所述流量清洗子系统中每个清洗节点进行故障监测,将硬件故障节点信息发送给所述云盾域名解析子系统;
所述云盾域名解析子系统,还用于根据所述硬件故障节点信息,将相应的硬件故障清洗节点加入黑名单。
在本发明的一种具体实施方式中,还包括永久在线子系统,所述永久在线子系统中预先缓存有所述业务站点的全站静态文件;
所述当前可用清洗节点,还用于在确定所述业务站点不可用时,将所述业务访问请求发送给所述永久在线子系统,并接收所述永久在线子系统返回的响应数据,将所述永久在线子系统返回的响应数据返回给所述用户。
在本发明的一种具体实施方式中,还包括中心端,
所述中心端,用于接收所述流量清洗子系统的清洗节点和全网防火墙上报的日志数据,根据接收到的日志数据,生成安全防护策略,并将所述安全防护策略下发给所述流量清洗子系统,以使所述流量清洗子系统中每个清洗节点更新当前使用的安全防护策略,并基于更新后的所述安全防护策略对接收到的业务访问请求进行流量清洗。
在本发明的一种具体实施方式中,
所述中心端,还用于根据接收到的日志数据,生成安全统计数据。
在本发明的一种具体实施方式中,
所述中心端,还用于在监测到告警事件时,输出告警信息。
在本发明的一种具体实施方式中,所述流量清洗子系统的清洗节点中部署有防护单元,所述防护单元包括Web应用程序防火墙WAF防护模块、入侵防御系统IPS防护模块、挑战黑洞CC攻击防护模块中的至少一个。
在本发明的一种具体实施方式中,所述云盾域名解析子系统包括多个分布式部署的域名解析集群。
一种云防护方法,应用于云防护系统,所述云防护系统包括云盾域名解析子系统和流量清洗子系统;所述方法包括:
所述云盾域名解析子系统在接收到用户通过根域名解析服务器发送的域名解析请求时,在所述流量清洗子系统中确定当前可用清洗节点;
所述云盾域名解析子系统将所述当前可用清洗节点的IP地址通过所述根域名解析服务器返回给所述用户,以使所述用户基于所述当前可用清洗节点的IP地址发送业务访问请求;
所述当前可用清洗节点在接收到所述用户的业务访问请求时,基于当前使用的安全防护策略,对所述业务访问请求进行流量清洗,并确定所述业务访问请求是否为正常请求;
如果所述业务请求为正常请求,则所述当前可用清洗节点将所述业务访问请求发送给云平台中对应的业务站点;
所述当前可用清洗节点接收所述业务站点返回的响应数据,将所述业务站点返回的响应数据返回给所述用户。
在本发明的一种具体实施方式中,所述流量清洗子系统包括的清洗节点部署有多条线路,各线路之间互为冗余;所述方法还包括:
所述云盾域名解析子系统对所述流量清洗子系统中的清洗节点进行线路监测;
相应的,所述所述云盾域名解析子系统将所述当前可用清洗节点的IP地址通过所述根域名解析服务器返回给所述用户,包括:
所述云盾域名解析子系统根据线路监测结果,确定所述当前可用清洗节点的可用线路,将所述当前可用清洗节点的所述可用线路对应的IP地址通过所述根域名解析服务器返回给所述用户。
在本发明的一种具体实施方式中,所述流量清洗子系统包括主清洗节点和备用清洗节点;所述方法还包括:
所述云盾域名解析子系统对所述流量清洗子系统中每个清洗节点进行节点监测;
相应的,所述在所述流量清洗子系统中确定当前可用清洗节点,包括:
根据节点监测结果,在所述流量清洗子系统中确定当前可用清洗节点。
在本发明的一种具体实施方式中,所述云防护系统还包括故障监测设备;所述方法还包括:
所述故障监控设备对所述流量清洗子系统中每个清洗节点进行故障监测,将硬件故障节点信息发送给所述云盾域名解析子系统;
所述云盾域名解析子系统根据所述硬件故障节点信息,将相应的硬件故障清洗节点加入黑名单。
在本发明的一种具体实施方式中,所述云防护系统还包括永久在线子系统,所述永久在线子系统中预先缓存有所述业务站点的全站静态文件;所述方法还包括:
所述当前可用清洗节点在确定所述业务站点不可用时,将所述业务访问请求发送给所述永久在线子系统,并接收所述永久在线子系统返回的响应数据,将所述永久在线子系统返回的响应数据返回给所述用户。
在本发明的一种具体实施方式中,所述云防护系统还包括中心端,所述方法还包括:
所述中心端接收所述流量清洗子系统的清洗节点和全网防火墙上报的日志数据,根据接收到的日志数据,生成安全防护策略,并将所述安全防护策略下发给所述流量清洗子系统,以使所述流量清洗子系统中每个清洗节点更新当前使用的安全防护策略,并基于更新后的所述安全防护策略对接收到的业务访问请求进行流量清洗。
应用本发明实施例所提供的技术方案,云盾域名解析子系统在接收到用户通过根域名解析服务器发送的域名解析请求时,在流量清洗子系统中确定当前可用清洗节点,并将当前可用清洗节点的IP地址通过根域名解析服务器返回给用户,以使用户基于当前可用清洗节点的IP地址发送业务访问请求,当前可用清洗节点在接收到用户的业务访问请求时,基于当前使用的安全防护策略,对业务访问请求进行流量清洗,在确定业务访问请求为正常请求时,将业务访问请求发送给云平台中对应的业务站点,并接收业务站点返回的响应数据,将该响应数据返回给用户。通过云盾域名解析子系统将业务数据牵引至流量清洗子系统,可以拦截掉恶意访问,将正常业务访问请求转发给业务站点,实现对云平台中的业务的安全防护,提高了云平台业务运行安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中一种云防护系统的整体结构示意图;
图2为本发明实施例中云防护系统具体访问防护过程的一种示意图;
图3为本发明实施例中云防护系统具体访问防护过程的另一种示意图;
图4为本发明实施例中云防护系统具体访问防护过程的另一种示意图;
图5为本发明实施例中云防护系统具体访问防护过程的另一种示意图;
图6为本发明实施例中一种云防护方法的实施流程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的核心是提供一种云防护系统,该云防护系统包括云盾域名解析子系统和流量清洗子系统,其中:
云盾域名解析子系统,用于在接收到用户通过根域名解析服务器发送的域名解析请求时,在流量清洗子系统中确定当前可用清洗节点,并将当前可用清洗节点的IP地址通过根域名解析服务器返回给用户,以使用户基于当前可用清洗节点的IP地址发送业务访问请求;
当前可用清洗节点,用于在接收到用户的业务访问请求时,基于当前使用的安全防护策略,对业务访问请求进行流量清洗,并确定业务访问请求是否为正常请求,如果是,则将业务访问请求发送给云平台中对应的业务站点,并接收业务站点返回的响应数据,将业务站点返回的响应数据返回给用户。
如图1所示,为本发明实施例所提供的云防护系统的整体结构示意图。该云防护系统包括云盾域名解析子系统和流量清洗子系统。流量清洗子系统可以包括一个或多个清洗节点,图1仅示出了一个清洗节点。流量清洗子系统中的清洗节点可以包含三层:路由层、超融合层和回源层,可以在多个地区分布式部署多个清洗节点,各个清洗节点之间互为冗余。其中,路由层可以根据访问的域名将流量分发至具体的防护单元进行流量清洗;超融合层可部署多个防护单元,防护单元包括WAF(Web Application Firewall,Web应用程序防火墙)防护模块、IPS(Intrusion Prevention System,入侵防御系统)防护模块、CC(Challenge Collapsar,挑战黑洞)攻击防护模块中的至少一个,负责将攻击流量过滤掉;回源层在接收到经过清洗之后的正常请求后,将正常请求转发给业务站点,进行正常的业务开展。
超融合是将虚拟计算平台和存储融合在一起,将每台服务器里面自带的硬盘组成存储池,以虚拟化的形式提供数据中心所需要的计算、网络、安全以及存储等IT基础架构。
客户根据实际需要可以在云平台中建立业务站点,对外提供相关业务服务。用户在需要访问时,可以在客户端中输入业务站点域名信息,客户端向根域名解析服务器发送域名解析请求。根域名解析服务器中可以预先配置云盾域名解析子系统的地址,当根域名解析服务器接收到域名解析请求时,可以根据预先设定的配置,将域名解析请求转发给云盾域名解析子系统。
具体的,客户可以修改域名的DNS解析记录,使NS(Name Server)指向云盾域名解析子系统,或者,将CNAME(别名记录)配置为云盾域名解析子系统分配的域名,将域名解析权交由云盾域名解析子系统,以将客户域名解析到流量清洗子系统中清洗节点的入口IP地址。
云盾域名解析子系统可以包括多个分布式部署的域名解析集群,如图1所示的云盾域名解析子系统中部署的DNS(Domain Name System,域名系统)集群,各DNS集群可部署在不同区域,如华南地区、华北地区等。采用分布式部署方式,当其中某个域名解析服务器或者域名解析集群故障时,可以由其他域名解析集群提供服务,保证客户业务的可靠性。
云盾域名解析子系统在接收到根域名解析服务器转发的域名解析请求时,可以在流量清洗子系统中确定当前可用清洗节点。具体的,可以根据清洗节点负载情况,在将负载较小的清洗节点中选择一个作为当前可用清洗节点,还可以根据清洗节点所在区域,选择与用户所在区域相同的清洗节点作为当前可用清洗节点。当然,还可以根据预先设定的其他确定规则,在流量清洗子系统中确定当前可用清洗节点。
将当前可用清洗节点的IP地址通过根域名解析服务器返回给用户,这样,用户可以基于当前可用清洗节点的IP地址发送业务访问请求,即业务访问请求中携带当前可用清洗节点的IP地址。
因业务访问请求中携带当前可用清洗节点的IP地址,所以该业务访问请求将到达当前可用清洗节点。流量清洗子系统的每个清洗节点中可以预先存储有安全防护策略,该安全防护策略可以是运维人员手动配置的,还可以是根据客户设定的黑白名单生成的,还可以是通过其他安全共享方式获得的。
当前可用清洗节点在接收到用户的业务访问请求时,可以基于当前使用的安全防护策略,对业务访问请求进行流量清洗,并确定业务访问请求是否为正常请求,如果是正常请求,则可以将业务访问请求发送给云平台中对应的业务站点。业务站点接收到业务访问请求后,可以返回相应的响应数据。当前可用清洗节点接收到业务站点返回的响应数据后,可以将该响应数据返回给用户,实现对用户发送的业务访问请求的响应。
当然,如果确定业务访问请求为非正常请求,则可以将该业务访问请求对应流量过滤掉,并将该事件记录到相应的安全防护日志中。
为便于理解,以用户要请求访问http://www.test.com/1.jpg为例进行说明,访问防护过程如图2所示:
1、用户向根域名解析服务器发送域名解析请求,请求解析www.test.com;
2、根域名解析服务器将域名解析请求转发给云盾域名解析子系统;
3、云盾域名解析子系统向根域名解析服务器返回当前可用清洗节点的IP地址;
4、根域名解析服务器向用户返回当前可用清洗节点的IP地址;
5、用户基于当前可用清洗节点的IP地址发起业务访问请求;
6、当前可用清洗节点对业务访问请求进行流量清洗,确定正常后,将业务访问请求转发给业务站点;
7、当前可用清洗节点接收业务站点返回的响应数据;
8、当前可用清洗节点向用户返回业务站点返回的响应数据,用户获取到相应数据。
应用本发明实施例所提供的系统,云盾域名解析子系统在接收到用户通过根域名解析服务器发送的域名解析请求时,在流量清洗子系统中确定当前可用清洗节点,并将当前可用清洗节点的IP地址通过根域名解析服务器返回给用户,以使用户基于当前可用清洗节点的IP地址发送业务访问请求,当前可用清洗节点在接收到用户的业务访问请求时,基于当前使用的安全防护策略,对业务访问请求进行流量清洗,在确定业务访问请求为正常请求时,将业务访问请求发送给云平台中对应的业务站点,并接收业务站点返回的响应数据,将该响应数据返回给用户。通过云盾域名解析子系统将业务数据牵引至流量清洗子系统,可以拦截掉恶意访问,将正常业务访问请求转发给业务站点,实现对云平台中的业务的安全防护,提高了云平台业务运行安全性。
在本发明的一个实施例中,流量清洗子系统包括的清洗节点部署有多条线路,各线路之间互为冗余;
云盾域名解析子系统,还用于在对流量清洗子系统中的清洗节点进行线路监测,并具体用于在流量清洗子系统中确定当前可用清洗节点之后,根据线路监测结果,确定当前可用清洗节点的可用线路,将当前可用清洗节点的可用线路对应的IP地址通过根域名解析服务器返回给用户。
在本发明实施例中,流量清洗子系统可以包括多个清洗节点,这些清洗节点可以在多个地区分布式部署。对于每个清洗节点,可以根据网络运营商的不同部署有多条线路,各线路之间互为冗余备份,同一清洗节点的不同线路对应不同IP地址。
在实际应用中,云盾域名解析子系统可以对流量清洗子系统中的清洗节点进行实时线路监测,以确定清洗节点的每条线路是否畅通。在流量清洗子系统中确定当前可用清洗节点之后,可以根据线路监测结果,确定该当前可用清洗节点的可用线路。即如果监测到当前可用清洗节点的某条线路因硬件故障、遭受DDOS攻击等布恩那个正常服务时,云盾域名解析子系统可以将用户的业务访问请求调度到正常的线路进行服务,避免选择当前可用清洗节点的问题线路影响业务进行,提高了网络的可靠性。
如果当前可用清洗节点有多条线路处于连通状态,则进一步可以根据用户所用网络选择当前可用清洗节点的一条线路作为可用线路。具体的,可以选择与用户所用网络属于相同运营商的线路,这样可以使得响应速度更快。
如当前可用清洗节点部署有运营商1的线路1、运营商2的线路2和运营商3的线路3,云盾域名解析子系统进行线路监测时,监测到线路1和线路2为连通状态,线路3为断开状态,用户所用网络属于运营商1,则最终可选择当前可用清洗节点的线路1作为可用线路。
确定当前可用清洗节点的可用线路后,可以将当前可用清洗节点的可用线路对应的IP地址通过根域名解析服务器返回给用户。
在本发明的一个实施例中,流量清洗子系统可以包括主清洗节点和备用清洗节点;
云盾域名解析子系统,还用于对流量清洗子系统中每个清洗节点进行节点监测,并具体用于根据节点监测结果,在流量清洗子系统中确定当前可用清洗节点。
在本发明实施例中,流量清洗子系统可以包括主清洗节点和备用清洗节点。云盾域名解析子系统可以对流量清洗子系统中每个清洗节点进行实时节点监测,确定每个清洗节点当前是否处于网络畅通状态。根据节点监测结果,可以在流量清洗子系统中确定当前可用清洗节点。如果确定要使用流量清洗子系统中某个主清洗节点,但是根据节点监测结果,确定该主清洗节点处于网络断开状态,则可以选择该主清洗节点的备用清洗节点作为当前可用清洗节点。如图3所示,主清洗节点网络故障,由处于正常状态的备用清洗节点作为当前可用清洗节点执行相关操作。
即如果某清洗节点因网络硬件故障、遭受DDOS攻击等导致整个节点不能对外提供服务时,云盾域名解析子系统可以自动识别并将客户业务请求调度到正常的节点进行服务,避免影响业务的正常进行,提高了网络可靠性。
在本发明的一个实施例中,该系统还可以包括故障监测设备;
故障监测设备,用于对流量清洗子系统中每个清洗节点进行故障监测,将硬件故障节点信息发送给云盾域名解析子系统;
云盾域名解析子系统,还用于根据硬件故障节点信息,将相应的硬件故障清洗节点加入黑名单。
在本发明实施例中,云防护系统还可以包括故障监测设备,该故障监测设备可以对流量清洗子系统中每个清洗节点通过对硬件状态、节点流量、过节点业务访问情况等进行实时监控,通过一定算法判断是否发生硬件故障,如图4所示。举例而言,如果在设定时长内一直没有流量经过某清洗节点,则可以判断该清洗节点发生硬件故障。
如果故障监测设备发现有清洗节点发生硬件故障,则将硬件故障节点信息发送给云盾域名解析子系统,如图4所示。云盾域名解析子系统根据接收到的硬件故障节点信息,确定出发生硬件故障的清洗节点,并将相应的硬件故障清洗节点加入黑名单。因为发生硬件故障的清洗节点需要运维人员更换硬件或者其他复杂操作才能完成修复,恢复时间较长,将硬件故障清洗节点加入黑名单,这样云盾域名解析子系统在确定当前可用清洗节点时,黑名单中的清洗节点将不再被选用,避免这样的清洗节点被选择而影响业务的正常进行。
当然,如果故障监测设备监测到硬件故障节点恢复,则可以向云盾域名解析子系统发送相应的恢复信息,云盾域名解析子系统可以将相应的清洗节点从黑名单中清除,以便在有需要时可以将客户业务流量引入到该清洗节点。
在本发明的一个实施例中,该系统还可以包括永久在线子系统,永久在线子系统中预先缓存有业务站点的全站静态文件;
当前可用清洗节点,还用于在确定业务站点不可用时,将业务访问请求发送给永久在线子系统,并接收永久在线子系统返回的响应数据,将永久在线子系统返回的响应数据返回给用户。
在实际应用中,云平台中部署的业务站点可能会因为一些网络或者其他方面的原因出现问题,导致该业务站点无法对外提供业务服务。在云防护系统中部署永久在线子系统,并预先缓存业务站点的全站静态文件,这样在当前可用清洗节点确定业务站点不可用时,可以将业务访问请求发送给永久在线子系统,如图1所示,永久在线子系统可以包括接入层、服务层、分布式文件系统和爬虫。因为永久在线子系统中缓存有业务站点的全站静态文件,所以,永久在线子系统可以对业务访问请求作出正确响应,并返回响应数据。当前可用清洗节点可以将永久在线子系统返回的响应数据返回给用户,如图5所示。可以保证业务连续性,用户感受不到业务系统变化,待业务站点恢复之后可以再切换至真实的业务站点。
在本发明的一个实施例中,该系统还可以包括中心端;
中心端,用于接收流量清洗子系统的清洗节点和全网防火墙上报的日志数据,根据接收到的日志数据,生成安全防护策略,并将安全防护策略下发给流量清洗子系统,以使流量清洗子系统中每个清洗节点更新当前使用的安全防护策略,并基于更新后的安全防护策略对接收到的业务访问请求进行流量清洗。
在本发明实施例中,云防护系统还可以包括中心端,如图1所示。
流量清洗子系统中的清洗节点在对业务访问请求进行流量清洗后,如果发现攻击流量或者其他异常流量,可以对这些流量进行过滤操作。同时,可以将这些事件记录到安全防护日志中,同时可以基于业务访问请求记录业务访问日志,并将安全防护日志和业务访问日志等上报给中心端。当然,在实际应用中,全网防火墙也可以向中心端上报安全日志。
如图1所示,中心端可以接收流量清洗子系统的清洗节点和全网防火墙上报的日志数据,存储在HDFS(Hadoop Distributed File System,Hadoop分布式文件系统)中,可以对接收到的日志数据和第三方获取的安全数据进行综合分析,识别新型攻击特征、系统漏洞、业务漏洞、黑客指纹等,实时生成安全防护策略,并通过策略管理模块将安全防护策略下发给流量清洗子系统。流量清洗子系统中每个清洗节点可以据此更新当前使用的安全防护策略,并基于更新后的安全防护策略对接收到的业务访问请求进行流量清洗,快速防护。
在本发明实施例中,中心端还可以根据接收到的日志数据,生成安全统计数据。这样客户可以全程掌握业务当前的安全状况、攻击对抗数据等。通过实时分析安全日志,过滤掉误判日志,可以向客户展示有效的攻击。对于需要处理的攻击事件,可以进行自动化或者人工处理,保证客户业务的安全。
另外,客户添加业务时,中心端通过策略管理模块可以为业务生成DNS配置策略、永久在线策略、流量转发策略等,保证客户业务的正常开展。可以通过WEB服务器为客户提供WEB页面,以使客户能够实时掌握业务安全状况、攻防情况等。如图1所示。
中心端还可以在监测到告警事件时,输出告警信息。具体的,如图1所示,可以通过告警服务器监测告警事件,并通过短信、微信、邮件等方式发出实时告警。
本发明实施例所提供的云防护系统不需要修改客户网络拓扑,对客户是零部署、零运维。
相应于上面的系统实施例,本发明实施例还提供了一种云防护方法,应用于云防护系统,云防护系统包括云盾域名解析子系统和流量清洗子系统;下文描述的一种云防护方法与上文描述的一种云防护系统可相互对应参照。
如图6所示,该方法包括以下步骤:
S610:云盾域名解析子系统在接收到用户通过根域名解析服务器发送的域名解析请求时,在流量清洗子系统中确定当前可用清洗节点;
S620:云盾域名解析子系统将当前可用清洗节点的IP地址通过根域名解析服务器返回给用户,以使用户基于当前可用清洗节点的IP地址发送业务访问请求;
S630:当前可用清洗节点在接收到用户的业务访问请求时,基于当前使用的安全防护策略,对业务访问请求进行流量清洗,并确定业务访问请求是否为正常请求;
S640:如果业务请求为正常请求,则当前可用清洗节点将业务访问请求发送给云平台中对应的业务站点;
S650:当前可用清洗节点接收业务站点返回的响应数据,将业务站点返回的响应数据返回给用户。
应用本发明实施例所提供的方法,云盾域名解析子系统在接收到用户通过根域名解析服务器发送的域名解析请求时,在流量清洗子系统中确定当前可用清洗节点,并将当前可用清洗节点的IP地址通过根域名解析服务器返回给用户,以使用户基于当前可用清洗节点的IP地址发送业务访问请求,当前可用清洗节点在接收到用户的业务访问请求时,基于当前使用的安全防护策略,对业务访问请求进行流量清洗,在确定业务访问请求为正常请求时,将业务访问请求发送给云平台中对应的业务站点,并接收业务站点返回的响应数据,将该响应数据返回给用户。通过云盾域名解析子系统将业务数据牵引至流量清洗子系统,可以拦截掉恶意访问,将正常业务访问请求转发给业务站点,实现对云平台中的业务的安全防护,提高了云平台业务运行安全性。
在本发明的一种具体实施方式中,流量清洗子系统包括的清洗节点部署有多条线路,各线路之间互为冗余;方法还包括:
云盾域名解析子系统对流量清洗子系统中的清洗节点进行线路监测;
相应的,云盾域名解析子系统将当前可用清洗节点的IP地址通过根域名解析服务器返回给用户,包括:
云盾域名解析子系统根据线路监测结果,确定当前可用清洗节点的可用线路,将当前可用清洗节点的可用线路对应的IP地址通过根域名解析服务器返回给用户。
在本发明的一种具体实施方式中,流量清洗子系统包括主清洗节点和备用清洗节点;方法还包括:
云盾域名解析子系统对流量清洗子系统中每个清洗节点进行节点监测;
相应的,在流量清洗子系统中确定当前可用清洗节点,包括:
根据节点监测结果,在流量清洗子系统中确定当前可用清洗节点。
在本发明的一种具体实施方式中,云防护系统还包括故障监测设备;方法还包括:
故障监控设备对流量清洗子系统中每个清洗节点进行故障监测,将硬件故障节点信息发送给云盾域名解析子系统;
云盾域名解析子系统根据硬件故障节点信息,将相应的硬件故障清洗节点加入黑名单。
在本发明的一种具体实施方式中,云防护系统还包括永久在线子系统,永久在线子系统中预先缓存有业务站点的全站静态文件;方法还包括:
当前可用清洗节点在确定业务站点不可用时,将业务访问请求发送给永久在线子系统,并接收永久在线子系统返回的响应数据,将永久在线子系统返回的响应数据返回给用户。
在本发明的一种具体实施方式中,云防护系统还包括中心端,方法还包括:
中心端接收流量清洗子系统的清洗节点和全网防火墙上报的日志数据,根据接收到的日志数据,生成安全防护策略,并将安全防护策略下发给流量清洗子系统,以使流量清洗子系统中每个清洗节点更新当前使用的安全防护策略,并基于更新后的安全防护策略对接收到的业务访问请求进行流量清洗。
在本发明的一种具体实施方式中,方法还包括:
中心端根据接收到的日志数据,生成安全统计数据。
在本发明的一种具体实施方式中,方法还包括:
中心端在监测到告警事件时,输出告警信息。
在本发明的一种具体实施方式中,流量清洗子系统的清洗节点中部署有防护单元,防护单元包括Web应用程序防火墙WAF防护模块、入侵防御系统IPS防护模块、挑战黑洞CC攻击防护模块中的至少一个。
在本发明的一种具体实施方式中,云盾域名解析子系统包括多个分布式部署的域名解析集群。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (16)
1.一种云防护系统,其特征在于,包括云盾域名解析子系统和流量清洗子系统;其中,
所述云盾域名解析子系统,用于在接收到用户通过根域名解析服务器发送的域名解析请求时,在所述流量清洗子系统中确定当前可用清洗节点,并将所述当前可用清洗节点的IP地址通过所述根域名解析服务器返回给所述用户,以使所述用户基于所述当前可用清洗节点的IP地址发送业务访问请求;
所述当前可用清洗节点,用于在接收到所述用户的业务访问请求时,基于当前使用的安全防护策略,对所述业务访问请求进行流量清洗,并确定所述业务访问请求是否为正常请求,如果是,则将所述业务访问请求发送给云平台中对应的业务站点,并接收所述业务站点返回的响应数据,将所述业务站点返回的响应数据返回给所述用户。
2.根据权利要求1所述的系统,其特征在于,所述流量清洗子系统包括的清洗节点部署有多条线路,各线路之间互为冗余;
所述云盾域名解析子系统,还用于对所述流量清洗子系统中的清洗节点进行线路监测,并具体用于在所述流量清洗子系统中确定当前可用清洗节点之后,根据线路监测结果,确定所述当前可用清洗节点的可用线路,将所述当前可用清洗节点的所述可用线路对应的IP地址通过所述根域名解析服务器返回给所述用户。
3.根据权利要求1所述的系统,其特征在于,所述流量清洗子系统包括主清洗节点和备用清洗节点;
所述云盾域名解析子系统,还用于对所述流量清洗子系统中每个清洗节点进行节点监测,并具体用于根据节点监测结果,在所述流量清洗子系统中确定当前可用清洗节点。
4.根据权利要求1所述的系统,其特征在于,还包括故障监测设备;
所述故障监控设备,用于对所述流量清洗子系统中每个清洗节点进行故障监测,将硬件故障节点信息发送给所述云盾域名解析子系统;
所述云盾域名解析子系统,还用于根据所述硬件故障节点信息,将相应的硬件故障清洗节点加入黑名单。
5.根据权利要求1所述的系统,其特征在于,还包括永久在线子系统,所述永久在线子系统中预先缓存有所述业务站点的全站静态文件;
所述当前可用清洗节点,还用于在确定所述业务站点不可用时,将所述业务访问请求发送给所述永久在线子系统,并接收所述永久在线子系统返回的响应数据,将所述永久在线子系统返回的响应数据返回给所述用户。
6.根据权利要求1至5之中任一项所述的系统,其特征在于,还包括中心端,
所述中心端,用于接收所述流量清洗子系统的清洗节点和全网防火墙上报的日志数据,根据接收到的日志数据,生成安全防护策略,并将所述安全防护策略下发给所述流量清洗子系统,以使所述流量清洗子系统中每个清洗节点更新当前使用的安全防护策略,并基于更新后的所述安全防护策略对接收到的业务访问请求进行流量清洗。
7.根据权利要求6所述的系统,其特征在于,
所述中心端,还用于根据接收到的日志数据,生成安全统计数据。
8.根据权利要求7所述的系统,其特征在于,
所述中心端,还用于在监测到告警事件时,输出告警信息。
9.根据权利要求6所述的系统,其特征在于,所述流量清洗子系统的清洗节点中部署有防护单元,所述防护单元包括Web应用程序防火墙WAF防护模块、入侵防御系统IPS防护模块、挑战黑洞CC攻击防护模块中的至少一个。
10.根据权利要求6所述的系统,其特征在于,所述云盾域名解析子系统包括多个分布式部署的域名解析集群。
11.一种云防护方法,其特征在于,应用于云防护系统,所述云防护系统包括云盾域名解析子系统和流量清洗子系统;所述方法包括:
所述云盾域名解析子系统在接收到用户通过根域名解析服务器发送的域名解析请求时,在所述流量清洗子系统中确定当前可用清洗节点;
所述云盾域名解析子系统将所述当前可用清洗节点的IP地址通过所述根域名解析服务器返回给所述用户,以使所述用户基于所述当前可用清洗节点的IP地址发送业务访问请求;
所述当前可用清洗节点在接收到所述用户的业务访问请求时,基于当前使用的安全防护策略,对所述业务访问请求进行流量清洗,并确定所述业务访问请求是否为正常请求;
如果所述业务请求为正常请求,则所述当前可用清洗节点将所述业务访问请求发送给云平台中对应的业务站点;
所述当前可用清洗节点接收所述业务站点返回的响应数据,将所述业务站点返回的响应数据返回给所述用户。
12.根据权利要求11所述的方法,其特征在于,所述流量清洗子系统包括的清洗节点部署有多条线路,各线路之间互为冗余;所述方法还包括:
所述云盾域名解析子系统对所述流量清洗子系统中的清洗节点进行线路监测;
相应的,所述所述云盾域名解析子系统将所述当前可用清洗节点的IP地址通过所述根域名解析服务器返回给所述用户,包括:
所述云盾域名解析子系统根据线路监测结果,确定所述当前可用清洗节点的可用线路,将所述当前可用清洗节点的所述可用线路对应的IP地址通过所述根域名解析服务器返回给所述用户。
13.根据权利要求11所述的方法,其特征在于,所述流量清洗子系统包括主清洗节点和备用清洗节点;所述方法还包括:
所述云盾域名解析子系统对所述流量清洗子系统中每个清洗节点进行节点监测;
相应的,所述在所述流量清洗子系统中确定当前可用清洗节点,包括:
根据节点监测结果,在所述流量清洗子系统中确定当前可用清洗节点。
14.根据权利要求11所述的方法,其特征在于,所述云防护系统还包括故障监测设备;所述方法还包括:
所述故障监控设备对所述流量清洗子系统中每个清洗节点进行故障监测,将硬件故障节点信息发送给所述云盾域名解析子系统;
所述云盾域名解析子系统根据所述硬件故障节点信息,将相应的硬件故障清洗节点加入黑名单。
15.根据权利要求11所述的方法,其特征在于,所述云防护系统还包括永久在线子系统,所述永久在线子系统中预先缓存有所述业务站点的全站静态文件;所述方法还包括:
所述当前可用清洗节点在确定所述业务站点不可用时,将所述业务访问请求发送给所述永久在线子系统,并接收所述永久在线子系统返回的响应数据,将所述永久在线子系统返回的响应数据返回给所述用户。
16.根据权利要求11至15之中任一项所述的方法,其特征在于,所述云防护系统还包括中心端,所述方法还包括:
所述中心端接收所述流量清洗子系统的清洗节点和全网防火墙上报的日志数据,根据接收到的日志数据,生成安全防护策略,并将所述安全防护策略下发给所述流量清洗子系统,以使所述流量清洗子系统中每个清洗节点更新当前使用的安全防护策略,并基于更新后的所述安全防护策略对接收到的业务访问请求进行流量清洗。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811612499.6A CN109688242B (zh) | 2018-12-27 | 2018-12-27 | 一种云防护系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811612499.6A CN109688242B (zh) | 2018-12-27 | 2018-12-27 | 一种云防护系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109688242A true CN109688242A (zh) | 2019-04-26 |
| CN109688242B CN109688242B (zh) | 2022-03-22 |
Family
ID=66190502
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811612499.6A Active CN109688242B (zh) | 2018-12-27 | 2018-12-27 | 一种云防护系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109688242B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111031054A (zh) * | 2019-12-19 | 2020-04-17 | 紫光云(南京)数字技术有限公司 | 一种cc防护方法 |
| CN112073409A (zh) * | 2020-09-04 | 2020-12-11 | 杭州安恒信息技术股份有限公司 | 攻击流量清洗方法、装置、设备及计算机可读存储介质 |
| CN113315853A (zh) * | 2021-05-26 | 2021-08-27 | 杭州安恒信息技术股份有限公司 | 一种云防护节点调度方法、系统及存储介质 |
| CN114257566A (zh) * | 2020-09-11 | 2022-03-29 | 北京金山云网络技术有限公司 | 域名访问方法、装置和电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103023924A (zh) * | 2012-12-31 | 2013-04-03 | 网宿科技股份有限公司 | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 |
| CN106131031A (zh) * | 2016-07-19 | 2016-11-16 | 北京兰云科技有限公司 | 一种DDoS流量清洗处理的方法及装置 |
| CN106790091A (zh) * | 2016-12-23 | 2017-05-31 | 深圳市深信服电子科技有限公司 | 一种云安全防护系统以及流量清洗方法 |
| CN107124423A (zh) * | 2017-05-12 | 2017-09-01 | 深信服科技股份有限公司 | 一种基于云计算的业务系统访问方法及系统 |
| CN107623663A (zh) * | 2016-07-15 | 2018-01-23 | 阿里巴巴集团控股有限公司 | 处理网络流量的方法及装置 |
| US20180139215A1 (en) * | 2016-11-16 | 2018-05-17 | Microsoft Technology Licensing, Llc | Systems and methods for detecting an attack on an auto-generated website by a virtual machine |
| CN109088878A (zh) * | 2018-09-03 | 2018-12-25 | 中新网络信息安全股份有限公司 | 一种抗拒绝云防护系统的报文处理方法 |
-
2018
- 2018-12-27 CN CN201811612499.6A patent/CN109688242B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103023924A (zh) * | 2012-12-31 | 2013-04-03 | 网宿科技股份有限公司 | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 |
| CN107623663A (zh) * | 2016-07-15 | 2018-01-23 | 阿里巴巴集团控股有限公司 | 处理网络流量的方法及装置 |
| CN106131031A (zh) * | 2016-07-19 | 2016-11-16 | 北京兰云科技有限公司 | 一种DDoS流量清洗处理的方法及装置 |
| US20180139215A1 (en) * | 2016-11-16 | 2018-05-17 | Microsoft Technology Licensing, Llc | Systems and methods for detecting an attack on an auto-generated website by a virtual machine |
| CN106790091A (zh) * | 2016-12-23 | 2017-05-31 | 深圳市深信服电子科技有限公司 | 一种云安全防护系统以及流量清洗方法 |
| CN107124423A (zh) * | 2017-05-12 | 2017-09-01 | 深信服科技股份有限公司 | 一种基于云计算的业务系统访问方法及系统 |
| CN109088878A (zh) * | 2018-09-03 | 2018-12-25 | 中新网络信息安全股份有限公司 | 一种抗拒绝云防护系统的报文处理方法 |
Non-Patent Citations (1)
| Title |
|---|
| 宁建创: "运营商的云安全研究与设计", 《信息安全与技术》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111031054A (zh) * | 2019-12-19 | 2020-04-17 | 紫光云(南京)数字技术有限公司 | 一种cc防护方法 |
| CN112073409A (zh) * | 2020-09-04 | 2020-12-11 | 杭州安恒信息技术股份有限公司 | 攻击流量清洗方法、装置、设备及计算机可读存储介质 |
| CN114257566A (zh) * | 2020-09-11 | 2022-03-29 | 北京金山云网络技术有限公司 | 域名访问方法、装置和电子设备 |
| CN113315853A (zh) * | 2021-05-26 | 2021-08-27 | 杭州安恒信息技术股份有限公司 | 一种云防护节点调度方法、系统及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109688242B (zh) | 2022-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Aceto et al. | A comprehensive survey on internet outages | |
| CN109688242A (zh) | 一种云防护系统及方法 | |
| US9548961B2 (en) | Detecting adverse network conditions for a third-party network site | |
| Shi et al. | Detecting prefix hijackings in the internet with argus | |
| Dainotti et al. | Analysis of country-wide internet outages caused by censorship | |
| US6775657B1 (en) | Multilayered intrusion detection system and method | |
| AU2004282937B2 (en) | Policy-based network security management | |
| CN101313280B (zh) | 基于池的网络诊断系统和方法 | |
| US7007299B2 (en) | Method and system for internet hosting and security | |
| Qiu et al. | Detecting bogus BGP route information: Going beyond prefix hijacking | |
| Pletinckx et al. | Malware coordination using the blockchain: An analysis of the cerber ransomware | |
| US20100325493A1 (en) | Root cause analysis method, apparatus, and program for it apparatuses from which event information is not obtained | |
| Khare et al. | Concurrent prefix hijacks: Occurrence and impacts | |
| CN113645213A (zh) | 一种基于vpn技术的多终端网络管理监控系统 | |
| US11438376B2 (en) | Problematic autonomous system routing detection | |
| CN113794590B (zh) | 处理网络安全态势感知信息的方法、装置及系统 | |
| Hershey et al. | Procedure for detection of and response to distributed denial of service cyber attacks on complex enterprise systems | |
| RU2675900C1 (ru) | Способ защиты узлов виртуальной частной сети связи от ddos-атак за счет управления количеством предоставляемых услуг связи абонентам | |
| Milolidakis et al. | Detecting network disruptions at colocation facilities | |
| CN115102865A (zh) | 一种网络安全设备拓扑管理方法及系统 | |
| Oe et al. | An implementation of a hierarchical IP traceback architecture | |
| Su et al. | Towards real-time route leak events detection | |
| Okafor et al. | Vulnerability bandwidth depletion attack on distributed cloud computing network: A qos perspective | |
| KR100623554B1 (ko) | 인터넷서비스 생존성 확보를 위한 dns/dhcp 서버침입감내기술 | |
| Guasch Albareda | Smart Grid Support Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |