CN112351012A - 一种网络安全防护方法、装置及系统 - Google Patents

一种网络安全防护方法、装置及系统 Download PDF

Info

Publication number
CN112351012A
CN112351012A CN202011170962.3A CN202011170962A CN112351012A CN 112351012 A CN112351012 A CN 112351012A CN 202011170962 A CN202011170962 A CN 202011170962A CN 112351012 A CN112351012 A CN 112351012A
Authority
CN
China
Prior art keywords
ddos
equipment
service flow
flow
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011170962.3A
Other languages
English (en)
Inventor
唐其彪
范渊
杨勃
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Hangzhou Dbappsecurity Technology Co Ltd
Original Assignee
Hangzhou Dbappsecurity Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dbappsecurity Technology Co Ltd filed Critical Hangzhou Dbappsecurity Technology Co Ltd
Priority to CN202011170962.3A priority Critical patent/CN112351012A/zh
Priority to PCT/CN2020/134892 priority patent/WO2022088405A1/zh
Publication of CN112351012A publication Critical patent/CN112351012A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请公开了一种网络安全防护方法,能够将客户端的业务流量通过DNS引流至DDoS设备;利用DDoS设备对业务流量进行流量清洗,并将清洗后的业务流量传输至云WAF设备;最终利用云WAF设备对清洗后的业务流量进行异常检测,将通过异常检测的业务流量传输至服务端,并拒绝未通过异常检测的业务流量。可见,该方法在网络中同时部署DDoS设备和云WAF设备,其中DDoS设备支持4层和7层抗DDoS功能,能够实现大流量DDoS清洗,云WAF设备支持web应用层防护,保证应用层免受攻击,二者相互配合,显著提升网络整体安全性。此外,本申请还提供了一种网络安全防护装置及系统,其技术效果与上述方法的技术效果相对应。

Description

一种网络安全防护方法、装置及系统
技术领域
本申请涉及网络安全技术领域,特别涉及一种网络安全防护方法、装置及系统。
背景技术
DDoS全称Distributed Denial of Service,就是利用大量合法的分布式服务器对目标发送请求,从而导致正常用户无法获得服务。具体的,DDoS就是利用处于不同位置的网络节点资源(如IDC服务器、个人PC、手机、智能设备、打印机、摄像头等)同时对目标发起大量攻击请求,或者一个攻击者控制位于不同位置的网络节点资源并利用这些网络节点资源同时对目标实施攻击,从而导致目标服务器拥塞而无法对外提供正常服务。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击。
不同于其他恶意篡改数据或劫持类攻击,DDoS简单粗暴,可以达到直接摧毁目标的目的。另外,相对其他攻击手段DDoS的技术要求和发动攻击的成本很低,只需要购买部分服务器权限或控制一批“肉鸡”即可,而且攻击相应速度很快,攻击效果可视。DDoS可以侵蚀带宽或资源,迫使服务中断。
web攻击是指针对Web系统的攻击行为。随着网络技术的发展,针对Web系统的攻击技术层出不穷,导致Web系统遭受攻击事件越来越多。根据相关统计,计算机系统中绝大多数的数泄露事件是由Web攻击导致的,由此可见Web系统的安全防护十分必要。
综上,如何防御DDoS攻击和web攻击,是亟待本领域技术人员解决的问题。
发明内容
本申请的目的是提供一种网络安全防护方法、装置及系统,用以解决DDoS攻击和web攻击导致的网络安全的问题。其具体方案如下:
第一方面,本申请提供了一种网络安全防护方法,包括:
将客户端的业务流量通过DNS引流至DDoS设备;
利用所述DDoS设备对所述业务流量进行流量清洗,并将清洗后的业务流量传输至云WAF设备;
利用所述云WAF设备对所述清洗后的业务流量进行异常检测;将通过异常检测的业务流量传输至服务端,并拒绝未通过异常检测的业务流量。
优选的,所述对所述业务流量进行流量清洗,包括:
检测所述业务流量中是否存在目标攻击类型的报文,若存在,则丢弃,其中所述目标攻击类型包括以下任意一项或多项:SYN Flood、ACK Flood、SYN-ACK Flood、FIN Flood、RST Flood、TCP异常报文攻击、连接耗尽攻击、UDP Flood。
优选的,所述对所述业务流量进行流量清洗,包括:
根据访问控制策略,对所述业务流量进行过滤,其中所述访问控制策略包括以下任意一项或多项:ACL访问控制、地域访问控制、黑名单机制、带宽限制、总连接数限制、连接速率限制。
优选的,所述利用所述DDoS设备对所述业务流量进行流量清洗,包括:
利用所述DDoS设备将所述业务流量发送至高防IP节点,利用所述高防IP节点对所述业务流量进行流量清洗。
优选的,在所述利用所述DDoS设备对所述业务流量进行流量清洗之前,还包括:
将saas中心的安全防护配置下发至DDoS设备。
优选的,在所述将saas中心的安全防护配置下发至DDoS设备之后,还包括:
对安全防护配置进行分类;
在DDoS设备一侧,采用后端进程实时监听saas中心的数据库句柄;若所述数据库句柄发生变化,则确定所述安全防护配置中发生变化的类,并将所述发生变化的类同步至本地。
优选的,所述利用所述云WAF设备对所述清洗后的业务流量进行异常检测,包括:
在所述云WAF设备一侧,采用目标防护方式检测所述清洗后的业务流量中是否存在扫描类攻击,其中所述目标防护方式包括以下任意一项或多项:服务器的连接限速、7层域名的黑白名单限制、机器学习方式。
第二方面,本申请提供了一种网络安全防护装置,包括:
引流模块:用于将客户端的业务流量通过DNS引流至DDoS设备;
流量清洗模块:用于利用所述DDoS设备对所述业务流量进行流量清洗,并将清洗后的业务流量传输至云WAF设备;
应用防护模块:用于利用所述云WAF设备对所述清洗后的业务流量进行异常检测;将通过异常检测的业务流量传输至服务端,并拒绝未通过异常检测的业务流量。
第三方面,本申请提供了一种网络安全防护系统,包括:DDoS设备和云WAF设备;
其中,客户端的业务流量通过DNS引流至DDoS设备;所述DDoS设备对所述业务流量进行流量清洗,并将清洗后的业务流量传输至云WAF设备;所述云WAF设备对所述清洗后的业务流量进行异常检测,将通过异常检测的业务流量传输至服务端,并拒绝未通过异常检测的业务流量。
本申请所提供的一种网络安全防护方法,包括:将客户端的业务流量通过DNS引流至DDoS设备;利用DDoS设备对业务流量进行流量清洗,并将清洗后的业务流量传输至云WAF设备;利用云WAF设备对清洗后的业务流量进行异常检测;将通过异常检测的业务流量传输至服务端,并拒绝未通过异常检测的业务流量。
可见,该方法在网络中同时部署DDoS设备和云WAF设备,其中DDoS设备支持4层和7层抗DDoS功能,能够实现大流量DDoS清洗,云WAF设备支持web应用层防护,保证应用层免受攻击,二者相互配合,显著提升网络整体安全性。
此外,本申请还提供了一种网络安全防护装置及系统,其技术效果与上述方法的技术效果相对应,这里不再赘述。
附图说明
为了更清楚的说明本申请实施例或现有技术的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请所提供的一种网络安全防护方法实施例一的实现流程图;
图2为本申请所提供的一种网络安全防护方法实施例二的整体网络拓扑图;
图3为本申请所提供的一种网络安全防护方法实施例二的sass中心配置下发过程;
图4为本申请所提供的一种网络安全防护方法实施例二的WAF设备拓扑图;
图5为本申请所提供的一种网络安全防护装置实施例的功能框图。
具体实施方式
本申请的核心是提供一种网络安全防护方法、装置及系统,在网络中同时部署DDoS设备和云WAF设备,利用DDoS设备实现大流量DDoS清洗,云WAF设备实现web应用层防护,二者相互配合,显著提升网络整体安全性。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面对本申请提供的一种网络安全防护方法实施例一进行介绍,参见图1,实施例一包括:
S101、将客户端的业务流量通过DNS引流至DDoS设备;
S102、利用所述DDoS设备对所述业务流量进行流量清洗,并将清洗后的业务流量传输至云WAF设备;
S103、利用所述云WAF设备对所述清洗后的业务流量进行异常检测;将通过异常检测的业务流量传输至服务端,并拒绝未通过异常检测的业务流量。
上述业务流量是指客户端向服务端发送的访问请求。DNS全称Domain NameSystem,是指域名系统。DDoS全称Distributed Denial of Service,即分布式拒绝服务,其原理是将多个计算机联合起来作为攻击平台,用虚假的访问来耗光攻击目标的全部服务器资源,导致服务系统瘫痪而正常用户无法访问的情况。
流量清洗技术,是一种应对及防御DDoS攻击的网络安全技术。基于流量清洗技术,可以对业务流量中含有的DDoS攻击流量进行拦截,将正常业务流量传输至下一节点。
WAF是Web应用防火墙(Web Application Firewall)的简称,用于通过执行一系列针对HTTP/HTTPS的安全策略,来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,为Web应用提供防护,也称作应用防火墙,是网络安全纵深防御体系里重要的一环。WAF属于检测型及纠正型防御控制。
基于上述DDoS设备和WAF设备,本实施例能够实现4层(传输层,Transport Layer)和7层(应用层,Application Layer)的安全防护。具体的,本实施例在网络中部署抗4层DDoS设备和云WAF设备,把云WAF设备的源IP设置为DDoS设备的服务IP,通过DNS将客户端的业务流量引流到DDoS设备,利用DDoS设备对业务流量进行流量清洗,并将正常的业务流量传输至云WAF设备,云WAF设备继续进行应用层的安全防护。由于把云WAF设备的源IP设置为DDoS设备的服务IP,支持4层/7层抗DDoS功能,云WAF设备支持web应用层防护,因此本实施例支持百G以上大流量DDoS清洗以及web应用层安全的防护,保护网络和应用免受攻击。
流量清洗过程具体可以包括对各种攻击报文的检测过程,此时,上述对所述业务流量进行流量清洗的过程,具体可以为:检测所述业务流量中是否存在目标攻击类型的报文,若存在,则丢弃,其中所述目标攻击类型包括以下任意一项或多项:SYN Flood、ACKFlood、SYN-ACK Flood、FIN Flood、RST Flood、TCP异常报文攻击、连接耗尽攻击、UDPFlood。
流量清洗过程还可以包括基于某种策略对客户端访问进行限制的过程,此时,上述对所述业务流量进行流量清洗的过程,具体可以为:根据访问控制策略,对所述业务流量进行过滤,其中所述访问控制策略包括以下任意一项或多项:ACL访问控制、地域访问控制、黑名单机制、带宽限制、总连接数限制、连接速率限制。
目前,一般采用netflow引流的方式,通过旁路根据阈值识别到攻击的流量,并引流到DDoS设备进行清洗。但是,这种引流方式存在以下弊端:对于高性能大流量的场景下,源站可能短时间内已经被攻击到宕机,短暂的防护失效导致抗DDoS功能失效,无法对恶意流量进行清洗。针对该问题,本实施例采用DNS引流,进行实时DDoS防护和云WAF防护,避免源站短时间内被攻击到宕机。
在此基础上,本实施例还可以在DDoS设备设置高防IP,实现动态流量的引流。高防IP是指高防御机房提供的IP段,用户可以配置高防IP,将攻击流量转移到高防IP上,恶意攻击流量将在高防IP节点上进行清理和过滤,以保证源站稳定可靠。
在设置高防IP的情况下,上述利用所述DDoS设备对所述业务流量进行流量清洗的过程,具体可以为:利用所述DDoS设备将所述业务流量发送至高防IP节点,利用所述高防IP节点对所述业务流量进行流量清洗。
具体的,可以在web端对DDoS设备进行配置,具体的,在S102之前,还可以包括以下过程:将saas中心的安全防护配置下发至DDoS设备。配置的内容包括但不限于:高防IP,代理方式(正向代理或反向代理),服务IP(本实施例将DDoS设备的服务IP设置为云WAF设备的源IP)。此外,前述流量清洗工作需要页基于一定的安全防护策略实现,还可以在web端对DDoS设备的安全防护策略进行配置。例如,在检测SYN Flood攻击时需要用到的SYN Flood阈值,在基于总连接数限制过滤访问时需要用到的总连接数阈值,在基于连接速率过滤访问时需要用到的连接速率阈值等。
值得一提的是,在防护DDoS中,如何实现配置下发且迅速生效是业界难题。目前的实现方案是web前端主动向DDoS设备下发配置文件,这种方法的缺点是无法实时更新数据,且随着用户的增加,配置的增大,会导致加载时间越来越慢,内存消耗越来越大,甚至最后导致配置不生效问题。
针对上述缺点,本实施例采用后端进程实时监听数据库句柄,当有相关配置数据变化时,实时进行加载到内存中;通过对配置数据进行分类,只加载变化的配置,对于不变的配置不进行重复加载,达到web前端下发的配置实时生效的目的。
具体的,在将saas中心的安全防护配置下发至DDoS设备之后,执行以下操作:对安全防护配置进行分类;在DDoS设备一侧,采用后端进程实时监听saas中心的数据库句柄;若所述数据库句柄发生变化,则确定所述安全防护配置中发生变化的类,并将所述发生变化的类同步至本地。
在实际应用中,上述利用所述云WAF设备对所述清洗后的业务流量进行异常检测的过程,具体为:在所述云WAF设备一侧,采用目标防护方式检测所述清洗后的业务流量中是否存在扫描类攻击,其中所述目标防护方式包括以下任意一项或多项:服务器的连接限速、7层域名的黑白名单限制、机器学习方式。
本实施例所提供一种网络安全防护方法,在网络中同时部署DDoS设备和云WAF设备,其中DDoS设备支持4层和7层抗DDoS功能,能够实现大流量DDoS清洗,云WAF设备支持web应用层防护,保证应用层免受攻击,二者相互配合,显著提升网络整体安全性。
下面开始详细介绍本申请提供的一种网络安全防护方法实施例二。
实施例二中,整体网络拓扑图如图2所示。
客户端的访问请求通过DNS引流到DDoS设备,在DDoS设备进行4层的流量清洗,包含SYN Flood、ACK Flood、SYN-ACK Flood、FIN Flood、RST Flood、TCP异常报文攻击、连接耗尽攻击、UDP Flood。DDoS设备通过自学习模式对防护的对象的流量进行分析,对异常流量进行及时的防护。
WAF设备通过执行一系列针对HTTP/HTTPS的安全策略,来专门对web应用提供保护。WAF初期基于规则防护,基于规则的防护可以提供各种web应用的安全规则,并实时为其更新,用户按照这些规则,可以对应用进行全方面的保护。云WAF同时支持防扫描,防CC功能,webshell上传防护,SQL注入,XML注入、XSS,具备页面挑战功能。同时支持攻击IP sass化展示,支持攻击溯源。支持多租户的展示。
DDoS流量清洗主要包括以下内容:
(1)通过4层反向代理,DDoS设备分别和客户端、源站建立连接,检查连接的合法性,对恶意的连接行为进行直接丢弃。
(2)对大流量攻击,通过ACL访问控制,地域访问控制,黑名单机制,带宽限制,连接数限制,进行有效防护。
(3)根据高防IP建立映射关系,对每个高防IP进行配置ACL访问控制,地域访问控制,黑名单机制,带宽限制,连接数限制,进行有效防护相关配置。
对于高防IP,提供以下两种应用场景:
应用场景一:客户只需要在修改在dns服务器的cname,就可以把客户的流量引流到高防节点IP上。
应用场景二:客户直接购买高防IP,直接将高防IP公布给用户,客户直接访问高防IP。通过高防节点的反向代理再访问源站IP。
sass中心配置下发过程如图3所示。通过sass中心下发防护配置,例如SYN Flood阈值,连接数阈值(简称CC),每秒连接速率阈值(简称CPS),高防IP,服务IP等,将这些下发到DDoS设备。每次DDoS设备重启时,会通过sass化平台导入数据中心进行数据重载,DDoS设备将识别到的攻击IP数据回传到sass中心,通过sass中心进行大数据分析,借助攻击IP库进行攻击溯源。
云WAF设备的拓扑结构如图4所示。DDoS设备单台具备100G带宽的流量,每台DDoS设备可以支持负载均衡数十台云WAF设备的流量防护,WAF设备作为DDoS设备的服务端,DDoS设备通过健康检查探测WAF设备是否存活,DDoS设备提供负载均衡把流量均匀的负载各WAF设备上。
云WAF设备提供以下防护功能:webshell上传,xss,sql注入,扫描攻击,恶意文件限制,恶意请求方法限制,区域访问控制,cc挑战攻击。此外,还可以通过nginx服务器的连接限速,7层域名的黑白名单限制,通过机器学习方式进行扫描类攻击防护,根据nginx的上传文件方式进行post体的防护。
可见,本实施例提供的一种网络安全防护方法,客户在web端向DDoS设备下发相关配置,例如高防IP、服务端IP、代理方式,DDoS设备清洗4层tcp攻击、udp攻击、7层CC攻击,然后通过WAF设备进行云安全相关防护。同时具备ACL访问,区域访问控制,动态攻击流量识别,攻击溯源。显著提升了网络安全性。
下面对本申请实施例提供的一种网络安全防护装置进行介绍,下文描述的网络安全防护装置与上文描述的网络安全防护方法可相互对应参照。
本实施例的网络安全防护装置,如图5所示,包括:
引流模块501:用于将客户端的业务流量通过DNS引流至DDoS设备;
流量清洗模块502:用于利用所述DDoS设备对所述业务流量进行流量清洗,并将清洗后的业务流量传输至云WAF设备;
应用防护模块503:用于利用所述云WAF设备对所述清洗后的业务流量进行异常检测;将通过异常检测的业务流量传输至服务端,并拒绝未通过异常检测的业务流量。
本实施例的网络安全防护装置用于实现前述的网络安全防护方法,因此该装置中的具体实施方式可见前文中的网络安全防护方法的实施例部分,例如,引流模块501、流量清洗模块502、应用防护模块503,分别用于实现上述网络安全防护方法中步骤S101,S102,S103。所以,其具体实施方式可以参照相应的各个部分实施例的描述,在此不再展开介绍。
另外,由于本实施例的网络安全防护装置用于实现前述的网络安全防护方法,因此其作用与上述方法的作用相对应,这里不再赘述。
此外,本申请还提供了一种网络安全防护系统,包括:DDoS设备和云WAF设备;
其中,客户端的业务流量通过DNS引流至DDoS设备;所述DDoS设备对所述业务流量进行流量清洗,并将清洗后的业务流量传输至云WAF设备;所述云WAF设备对所述清洗后的业务流量进行异常检测,将通过异常检测的业务流量传输至服务端,并拒绝未通过异常检测的业务流量。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的方案进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (9)

1.一种网络安全防护方法,其特征在于,包括:
将客户端的业务流量通过DNS引流至DDoS设备;
利用所述DDoS设备对所述业务流量进行流量清洗,并将清洗后的业务流量传输至云WAF设备;
利用所述云WAF设备对所述清洗后的业务流量进行异常检测;将通过异常检测的业务流量传输至服务端,并拒绝未通过异常检测的业务流量。
2.如权利要求1所述的方法,其特征在于,所述对所述业务流量进行流量清洗,包括:
检测所述业务流量中是否存在目标攻击类型的报文,若存在,则丢弃,其中所述目标攻击类型包括以下任意一项或多项:SYN Flood、ACK Flood、SYN-ACK Flood、FIN Flood、RSTFlood、TCP异常报文攻击、连接耗尽攻击、UDP Flood。
3.如权利要求1所述的方法,其特征在于,所述对所述业务流量进行流量清洗,包括:
根据访问控制策略,对所述业务流量进行过滤,其中所述访问控制策略包括以下任意一项或多项:ACL访问控制、地域访问控制、黑名单机制、带宽限制、总连接数限制、连接速率限制。
4.如权利要求2或3所述的方法,其特征在于,所述利用所述DDoS设备对所述业务流量进行流量清洗,包括:
利用所述DDoS设备将所述业务流量发送至高防IP节点,利用所述高防IP节点对所述业务流量进行流量清洗。
5.如权利要求1所述的方法,其特征在于,在所述利用所述DDoS设备对所述业务流量进行流量清洗之前,还包括:
将saas中心的安全防护配置下发至DDoS设备。
6.如权利要求5所述的方法,其特征在于,在所述将saas中心的安全防护配置下发至DDoS设备之后,还包括:
对安全防护配置进行分类;
在DDoS设备一侧,采用后端进程实时监听saas中心的数据库句柄;若所述数据库句柄发生变化,则确定所述安全防护配置中发生变化的类,并将所述发生变化的类同步至本地。
7.如权利要求1所述的方法,其特征在于,所述利用所述云WAF设备对所述清洗后的业务流量进行异常检测,包括:
在所述云WAF设备一侧,采用目标防护方式检测所述清洗后的业务流量中是否存在扫描类攻击,其中所述目标防护方式包括以下任意一项或多项:服务器的连接限速、7层域名的黑白名单限制、机器学习方式。
8.一种网络安全防护装置,其特征在于,包括:
引流模块:用于将客户端的业务流量通过DNS引流至DDoS设备;
流量清洗模块:用于利用所述DDoS设备对所述业务流量进行流量清洗,并将清洗后的业务流量传输至云WAF设备;
应用防护模块:用于利用所述云WAF设备对所述清洗后的业务流量进行异常检测;将通过异常检测的业务流量传输至服务端,并拒绝未通过异常检测的业务流量。
9.一种网络安全防护系统,其特征在于,包括:DDoS设备和云WAF设备;
其中,客户端的业务流量通过DNS引流至DDoS设备;所述DDoS设备对所述业务流量进行流量清洗,并将清洗后的业务流量传输至云WAF设备;所述云WAF设备对所述清洗后的业务流量进行异常检测,将通过异常检测的业务流量传输至服务端,并拒绝未通过异常检测的业务流量。
CN202011170962.3A 2020-10-28 2020-10-28 一种网络安全防护方法、装置及系统 Pending CN112351012A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202011170962.3A CN112351012A (zh) 2020-10-28 2020-10-28 一种网络安全防护方法、装置及系统
PCT/CN2020/134892 WO2022088405A1 (zh) 2020-10-28 2020-12-09 一种网络安全防护方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011170962.3A CN112351012A (zh) 2020-10-28 2020-10-28 一种网络安全防护方法、装置及系统

Publications (1)

Publication Number Publication Date
CN112351012A true CN112351012A (zh) 2021-02-09

Family

ID=74358853

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011170962.3A Pending CN112351012A (zh) 2020-10-28 2020-10-28 一种网络安全防护方法、装置及系统

Country Status (2)

Country Link
CN (1) CN112351012A (zh)
WO (1) WO2022088405A1 (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112968916A (zh) * 2021-05-19 2021-06-15 金锐同创(北京)科技股份有限公司 网络攻击状态识别方法、装置、设备及计算机可读存储介质
CN113114682A (zh) * 2021-04-14 2021-07-13 杭州安恒信息技术股份有限公司 基于DDoS攻击的信息传输方法、装置、设备及介质
CN113726729A (zh) * 2021-07-13 2021-11-30 中国电信集团工会上海市委员会 一种基于双向引流的网站安全防护方法及系统
CN113905058A (zh) * 2021-10-18 2022-01-07 杭州安恒信息技术股份有限公司 一种基于WAF和DDoS高防的防护方法、装置及介质
CN113992423A (zh) * 2021-11-05 2022-01-28 枣庄科技职业学院 一种安全性高的计算机网络防火墙及其使用方法

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114726650B (zh) * 2022-05-17 2022-08-23 北京航天驭星科技有限公司 任务请求处理方法、装置、电子设备及计算机可读介质
CN114884749B (zh) * 2022-07-06 2022-09-16 智联信通科技股份有限公司 一种基于人工智能的网络安全态势感知方法
CN115529164A (zh) * 2022-08-30 2022-12-27 中电云数智科技有限公司 一种waf旁路部署系统和方法
CN115801475B (zh) * 2023-02-14 2023-04-28 江西师范大学 一种基于双重扫描算法的ddos攻击检测方法及系统
CN116545714B (zh) * 2023-05-17 2024-02-20 广州银汉科技有限公司 一种基于规则引擎的防Web攻击反应系统
CN117579385B (zh) * 2024-01-16 2024-03-19 山东星维九州安全技术有限公司 一种快速筛查新型WebShell流量的方法、系统及设备

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104104669A (zh) * 2014-06-17 2014-10-15 上海地面通信息网络有限公司 适用于因特网数据中心领域的抗DDoS攻击防护系统
CN107580005A (zh) * 2017-11-01 2018-01-12 北京知道创宇信息技术有限公司 网站防护方法、装置、网站防护设备及可读存储介质
US20180255095A1 (en) * 2017-03-06 2018-09-06 Radware, Ltd. Distributed denial of service (ddos) defense techniques for applications hosted in cloud computing platforms
CN109325193A (zh) * 2018-10-16 2019-02-12 杭州安恒信息技术股份有限公司 基于机器学习的waf正常流量建模方法以及装置
CN109347814A (zh) * 2018-10-05 2019-02-15 李斌 一种基于Kubernetes构建的容器云安全防护方法与系统
CN110855633A (zh) * 2019-10-24 2020-02-28 华为终端有限公司 分布式拒绝服务ddos攻击的防护方法、装置及系统
CN111294365A (zh) * 2020-05-12 2020-06-16 腾讯科技(深圳)有限公司 攻击流量防护系统、方法、装置、电子设备和存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9015833B2 (en) * 2012-11-07 2015-04-21 Trusteer, Ltd. Defense against DNS DoS attack
CN106411910B (zh) * 2016-10-18 2019-04-05 优刻得科技股份有限公司 一种分布式拒绝服务攻击的防御方法与系统
CN110197065B (zh) * 2018-10-08 2022-12-13 腾讯科技(深圳)有限公司 业务数据处理方法、交换机组和业务数据处理系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104104669A (zh) * 2014-06-17 2014-10-15 上海地面通信息网络有限公司 适用于因特网数据中心领域的抗DDoS攻击防护系统
US20180255095A1 (en) * 2017-03-06 2018-09-06 Radware, Ltd. Distributed denial of service (ddos) defense techniques for applications hosted in cloud computing platforms
CN107580005A (zh) * 2017-11-01 2018-01-12 北京知道创宇信息技术有限公司 网站防护方法、装置、网站防护设备及可读存储介质
CN109347814A (zh) * 2018-10-05 2019-02-15 李斌 一种基于Kubernetes构建的容器云安全防护方法与系统
CN109325193A (zh) * 2018-10-16 2019-02-12 杭州安恒信息技术股份有限公司 基于机器学习的waf正常流量建模方法以及装置
CN110855633A (zh) * 2019-10-24 2020-02-28 华为终端有限公司 分布式拒绝服务ddos攻击的防护方法、装置及系统
CN111294365A (zh) * 2020-05-12 2020-06-16 腾讯科技(深圳)有限公司 攻击流量防护系统、方法、装置、电子设备和存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
于道森: "基于威胁情报的网站安全防护平台", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *
张华志: "网站安全云防护方案", 《信息技术与标准化》 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113114682A (zh) * 2021-04-14 2021-07-13 杭州安恒信息技术股份有限公司 基于DDoS攻击的信息传输方法、装置、设备及介质
CN112968916A (zh) * 2021-05-19 2021-06-15 金锐同创(北京)科技股份有限公司 网络攻击状态识别方法、装置、设备及计算机可读存储介质
CN113726729A (zh) * 2021-07-13 2021-11-30 中国电信集团工会上海市委员会 一种基于双向引流的网站安全防护方法及系统
CN113905058A (zh) * 2021-10-18 2022-01-07 杭州安恒信息技术股份有限公司 一种基于WAF和DDoS高防的防护方法、装置及介质
CN113992423A (zh) * 2021-11-05 2022-01-28 枣庄科技职业学院 一种安全性高的计算机网络防火墙及其使用方法
CN113992423B (zh) * 2021-11-05 2023-01-17 枣庄科技职业学院 一种计算机网络防火墙的使用方法

Also Published As

Publication number Publication date
WO2022088405A1 (zh) 2022-05-05

Similar Documents

Publication Publication Date Title
CN112351012A (zh) 一种网络安全防护方法、装置及系统
US20210281603A1 (en) Techniques for protecting against excessive utilization of cloud services
US11991205B2 (en) Detection and mitigation of slow application layer DDoS attacks
Weaver et al. Very fast containment of scanning worms, revisited
Geva et al. Bandwidth distributed denial of service: Attacks and defenses
RU2480937C2 (ru) Система и способ уменьшения ложных срабатываний при определении сетевой атаки
US20160182542A1 (en) Denial of service and other resource exhaustion defense and mitigation using transition tracking
US20160294871A1 (en) System and method for mitigating against denial of service attacks
EP1678615A2 (en) Policy-based network security management
CN109005175A (zh) 网络防护方法、装置、服务器及存储介质
KR101042291B1 (ko) 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법
WO2020176174A1 (en) Methods, systems, and computer readable media for dynamically remediating a security system entity
Gupta et al. A comprehensive survey on DDoS attacks and recent defense mechanisms
Arafat et al. A practical approach and mitigation techniques on application layer DDoS attack in web server
JP4259183B2 (ja) 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法
CA2469885C (en) Protecting against malicious traffic
Subbulakshmi et al. A unified approach for detection and prevention of DDoS attacks using enhanced support vector machines and filtering mechanisms
US20180191744A1 (en) System and method to implement cloud-based threat mitigation for identified targets
Hong Efficient and secure DNS cyber shelter on DDoS attacks
Singh et al. Performance analysis of emm an edos mitigation technique in cloud computing environment
Aldaoud et al. Detecting and mitigating DHCP attacks in OpenFlow-based SDN networks: a comprehensive approach
Yarımtepe et al. Distributed Denial of Service Prevention Techniques
Buvaneswari et al. Ihoneycol: a collaborative technique for mitigation of DDoS attack
Ibrahim A comprehensive study of distributed denial of service attack with the detection techniques
US20030037260A1 (en) Heuristic profiler for packet screening

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210209

RJ01 Rejection of invention patent application after publication