CN112825517B - 安全加速风控调度方法及设备 - Google Patents
安全加速风控调度方法及设备 Download PDFInfo
- Publication number
- CN112825517B CN112825517B CN201911146997.0A CN201911146997A CN112825517B CN 112825517 B CN112825517 B CN 112825517B CN 201911146997 A CN201911146997 A CN 201911146997A CN 112825517 B CN112825517 B CN 112825517B
- Authority
- CN
- China
- Prior art keywords
- node pool
- node
- service system
- access request
- pool
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明的目的是提供一种安全加速风控调度方法及设备,本发明在CDN加速资源的基础上增加了抗DDoS攻击的高防节点池,并且通过一套基于标签的风控标签系统来实现业务系统的风险标注,标签系统中可以根据业务系统的风险情况,标注业务系统对应的高防节点池或CDN加速节点池,调度系统可以通过标签系统中的标注将访问请求调度到不同的节点资源池,包括CDN加速节点池和高防节点池,以隔离开威胁。本发明可以解决CDN加速和高防IP无法融合使用的问题,在同一个平台同时为业务系统提供DDoS防护和CDN加速服务,同时满足系统对加速和抗DDoS攻击的需求。
Description
技术领域
本发明涉及安全加速风控调度方法及设备。
背景技术
随着DDoS攻击愈来愈严重,攻击频率越来越高,涉及的行业也越来越广泛。电商、视频、金融、游戏、政企部门业务系统等均随时有可能遭受DDoS攻击,带来的影响也是非常广泛的,甚至是致命的。针对攻击各厂商提供了多种解决方案,常见方式有高防服务器和高防IP方式。
高防IP作为企业上云采用的最多的解决方案,其受市场接受程度较高,基本已成为需要抗DDoS攻击并且注重企业业务系统安全防护的企业的首选。
高防IP因其成本较高,一般企业在选购的时候均按照个数进行购买,在为带宽流量小、加速要求不高的业务系统提供服务时,其访问速度及稳定性可以达到客户要求。但面对同时要求CDN加速及抗DDoS需求的系统时,无法给用户提供很好的用户体验,例如电商系统,其核心需求为用户访问速度,用户的访问速度直接关系到用户留存,购物体验,CDN加速为其必备需求,但是其同时有可能遭受DDoS攻击,在遭受DDoS攻击时CDN边缘节点无法提供流量清洗服务,因CDN系统资源多为共享资源,CDN网络中一个用户遭受攻击可能影响CDN网络中其他用户。并且不同风险等级的用户很有可能使用相同资源,导致风险集中化,或者低风险用户业务系统可用性。
现有方案一:仅采用高防IP资源池,此种方案一般只会购买数个高防IP,针对对加速效果要求不大的系统基本可以满足业务需求。但针对需要CDN业务服务的系统,如全球加速,在此种情况下会导致业务系统无攻击的时候访问体验也很差,无法满足用户访问体验。并且因为采用的高防资源池,在无攻击的时候也有可能因为高防厂商其他客户有攻击导致自身系统被影响。此种方案在有攻击时可以被客户接受,在无攻击时因受限于资源数量及分布情况,无法满足用户更高的加速需求,并且针对攻击来说,大多数时间中是无攻击的。
现有方案二:人工切换方案,分别购买CDN服务和高防IP服务,同时获得两个服务的cname地址,当收到CDN提醒或者发现用户访问明显变慢甚至不能访问,采用人工方式进行快速切换,在DNS解析厂商处修改解析,修改为高防IP厂商提供的cname地址,当攻击结束后再手动将系统切换到cdn厂商cname地址。此种方案不灵活,实效性差,无法做到快速切换。一旦有攻击会导致系统服务体验变差,甚至是无法访问。
发明内容
本发明的一个目的是提供一种安全加速风控调度方法及设备。
根据本发明的一个方面,提供了一种安全加速风控调度方法,该方法包括:
接收访问请求,确定所述访问请求对应的高防节点池或CDN加速节点池;
通过所述高防节点池中的节点将所述访问请求发送到对应的真实服务器,并通过所述高防节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据;或,通过所述CDN加速节点池中的节点将所述访问请求发送到对应的真实服务器,并通过所述CDN加速节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据。
进一步的,上述方法中,接收访问请求,确定所述访问请求对应的高防节点池或CDN加速节点池,包括:
接收访问请求,确定所述访问请求对应的业务系统;
确定所述业务系统所属的节点池所对应的高防节点池或CDN加速节点池;
通过所述高防节点池中的节点将所述访问请求发送到对应的真实服务器,并通过所述高防节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据;或,通过所述CDN加速节点池中的节点将所述访问请求发送到对应的真实服务器,并通过所述CDN加速节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据,包括:
通过所述高防节点池中的节点将所述访问请求发送到所述业务系统对应的真实服务器,并通过所述高防节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据;或,通过所述CDN加速节点池中的节点将所述访问请求发送到对应的真实服务器,并通过所述CDN加速节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据。
进一步的,上述方法中,确定所述业务系统所属的节点池所对应的高防节点池或CDN加速节点池之前,还包括:
若业务系统的预测受攻击风险小于等于预设阈值,则将该业务系统所属的节点池对应为CDN加速节点池;
若业务系统的预测受攻击风险大于预设阈值,则将该业务系统所属的节点池对应为高防节点池。
进一步的,上述方法中,若业务系统的预测受攻击风险小于等于预设阈值,则将该业务系统所属的节点池对应为CDN加速节点池之后,还包括:
若业务系统的历史或当前攻击数据大于预设阈值,则将所述业务系统所属的节点池切换对应为高防节点池。
进一步的,上述方法中,若业务系统的预测受攻击风险大于预设阈值,则将该业务系统所属的节点池对应为高防节点池之后,还包括:
若业务系统的历史或当前攻击数据小于等于预设阈值,则将所述业务系统所属的节点池切换对应为CDN加速节点池。
进一步的,上述方法中,若业务系统的历史或当前攻击数据大于预设阈值,则将所述业务系统所属的节点池切换对应为高防节点池,或,若业务系统的历史或当前攻击数据小于等于预设阈值,则将所述业务系统所属的节点池切换对应为CDN加速节点池之前,还包括:
通过探针节点检测高防节点池和CDN加速节点池的的可用性数据;
通过Agent监测模块检测高防节点池和CDN加速节点池所在服务器负载性能数据;
通过DDoS攻击监测系统监测高防节点池和CDN加速节点池是否遭受DDoS攻击的数据;
根据所述可用性数据、服务器负载性能数据及是否遭受DDoS攻击的数据,得到业务系统的历史或当前攻击数据。
进一步的,上述方法中,通过所述CDN加速节点池中的节点将所述访问请求发送到所述业务系统对应的真实服务器,并通过CDN加速节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据之后,还包括:
接收访问请求,确定所述访问请求对应的业务系统;
当监测到对应的业务系统受到攻击时,将所述业务系统所属的节点池切换对应为高防节点池;
通过切换后的高防节点池将所述访问请求发送到所述业务系统对应的真实服务器,并通过所述高防节点池从所述真实服务器获取所述访问请求对应的反馈数据。
根据本发明的另一面,还提供一种安全加速风控调度设备,其中,该设备包括:
智能调度系统,用于确定所述访问请求对应的高防节点池或CDN加速节点池;
智能DNS系统,用于通过所述高防节点池中的节点将所述访问请求发送到对应的真实服务器,并通过所述高防节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据;或,通过所述CDN加速节点池中的节点将所述访问请求发送到对应的真实服务器,并通过所述CDN加速节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据。
根据本发明的另一面,还提供一种基于计算的设备,其中,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
接收访问请求,确定所述访问请求对应的高防节点池或CDN加速节点池;
通过所述高防节点池中的节点将所述访问请求发送到对应的真实服务器,并通过所述高防节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据;或,通过所述CDN加速节点池中的节点将所述访问请求发送到对应的真实服务器,并通过所述CDN加速节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据。
根据本发明的另一面,还提供一种计算机可读存储介质,其上存储有计算机可执行指令,其中,该计算机可执行指令被处理器执行时使得该处理器:
接收访问请求,确定所述访问请求对应的高防节点池或CDN加速节点池;
通过所述高防节点池中的节点将所述访问请求发送到对应的真实服务器,并通过所述高防节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据;或,通过所述CDN加速节点池中的节点将所述访问请求发送到对应的真实服务器,并通过所述CDN加速节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据。
与现有技术相比,本发明可以解决CDN加速和高防IP无法融合使用的问题,在同一个平台同时为业务系统提供DDoS防护和CDN加速服务,同时满足系统对加速和抗DDoS攻击的需求。
本发明在CDN加速资源的基础上增加了抗DDoS攻击的高防节点池,并且通过一套基于标签的风控标签系统来实现业务系统的风险标注,标签系统中可以根据业务系统的风险情况,标注业务系统对应的高防节点池或CDN加速节点池,调度系统可以通过标签系统中的标注将访问请求调度到不同的节点资源池,包括CDN加速节点池和高防节点池,以隔离开威胁。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1示出本发明一实施例的安全加速风控调度系统的示意图;
图2示出本发明一实施例的标签的组织形式图;
图3示出本发明一实施例的组织实例图;
图4示出本发明一实施例的cname进行相关线路解析图;
图5示出本发明一实施例的智能DNS系统原理图;
图6示出本发明一实施例的智能分析模块原理图;
图7示出本发明一实施例的节点池的示意图;
图8示出本发明一实施例的节点池的组织方式示意图;
图9示出本发明一实施例的节点池的监控示意图;
图10示出本发明一实施例的智能调度系统的原理图;
图11示出本发明一实施例的故障处置模块的原理图;
图12示出本发明一实施例的从业务系统接入开始的流程图。
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
下面结合附图对本发明作进一步详细描述。
在本申请一个典型的配置中,终端、服务网络的设备和可信方均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
如图1所示,本发明的安全加速风控调度系统一实施例中,包括标签系统、智能DNS系统、CDN模块、智能分析系统、CDN加速节点池、高防节点池、监控系统、智能调度系统、故障处置模块,其中:
所述标签系统,用来统一管理平台所有标签,如一级分类涉及账户类型、行业类型、服务等级、DDoS攻击风险、业务类型等多维度标签,因不同行业不同类型的用户其遭受攻击的可能性不同,通过各种类型标签来标注其可能遭受攻击的情况,可以将不同风险级别的业务系统在遭受攻击时调度到不同高防节点池中;同时服务等级等标签可以用来调度不同可用性的资源,保障防御效果的同时保证服务稳定性与健壮性;标签系统的标签可根据情况增加相关。在域名及套餐首次配置阶段可以进行标签标注,后续由程序自动进行标注并配合以人工修正。套餐是针对单个用户账号的调度方式,一个账号可以支持多个套餐,套餐中可以包含多个域名,此时域名标签不影响套餐调度,套餐调度由套餐所被打上的标签决定,套餐的标签和域名打标签方式一致,初始由人工进行标注,套餐标签由其下所有业务系统决定,如套餐中风险等级按照套餐中所有业务系统被攻击情况来进行打标签;调度的最小粒度可以支持单个标签,多数情况下可以采用组合标签如用户类型、服务等级、备案信息、行业、风险等级等需要提供一个标签组合后提供对应的节点池调度;在开通服务时可以给其业务系统标注一组标签,或者开通一个套餐为一个套餐打标签,可以让域名附属于此套餐,附属后此套餐下的所有业务系统遭受攻击都会标记为此套餐的攻击,可以对套餐进行标签更换及资源调度;域名使用对应套餐下IP资源。
具体的,标签的组织方式可以采用树状模式根据需要可以一直分级,标签的组织形式可如图2所示。
标签的组织实例可如图3所示。
所述智能DNS系统可以用来进行解析服务,业务系统在接入平台后,将为其分配cname地址,cname地址系统唯一,智能DNS系统可以根据业务系统的域名/套餐和资源节点池中IP标签(通过标签系统获取标签打到IP上)的对应关系调度到相应资源节点池后由分配给对应cname进行相关线路解析;如图4所示,当检测到业务系统遭受DDoS攻击时将会进行加速节点池和高防节点池的切换,进行解析IP替换,并保证解析快速同步与生效;
如图5所示,本发明一实施例的可以提供CDN模块,同时保证业务系统的真实的源服务器(server)IP被隐藏,保证攻击者无法针对源服务器发起攻击;业务系统唯一cname地址可以由CDN模块提供,智能DNS系统可以根据调度情况改动cname地址到相关IP地址上,实现IP资源节点池替换。
如图6所示,智能分析模块通过业务系统的历史及当前攻击日志信息,实时更换其风险等级标签将之前标签替换,如初始风险等级标签为低危(低危可分配CDN加速节点池节点),使用防护后系统防护资源遭受的攻击超过了低危标签定义的防御范围,攻击超过低危,业务系统自动更换其标签为高危,通过接口触发调度系统进行一次调度,调度高危风险池资源,来实现业务系统风险标志自动更新维护;初始风险等级可以包括行业、风险等级、企业规模等多维度信息,根据平台统计出的各种行业威胁情况等来确定,例如游戏行业是DDoS攻击的重点行业,因此游戏客户在接入的时候风险等级初始级别便会被定义为高危;根据实际业务情况,系统可以更换其他标签如备案标签等;
CDN加速节点池可以提供CDN加速资源管理及维护,CDN加速节点池可以根据区域、可用率、运营商等各种信息打上标签,标签来源标签系统;
高防节点池可以提供高防IP资源管理及维护,高防节点池可以根据抗DDoS风险能力、地理位置、运营商、可用率等各种信息打上标签,标签来源标签系统;高防IP资源池分为多个高防节点池。
CDN加速节点池、高防节点池和业务系统对应的域名以及套餐(一个套餐可以支持多个业务系统域名,或者非域名,业务系统有可能只有IP)处分别对应打标签,标签全部通过所述标签系统获取,域名和套餐处所打标签和节点池标签对应上才可以进行资源调度,例如域名被打上了“游戏”标签,节点池A也有标签“游戏”才可以对应,否则对应不上,即二者所打标签相同;如果标签没有对应,可以将调度失败记录调度日志发出告警信息给相关管理员。打标签的具体可步骤如下:
步骤一:如图7所示,可以将节点池中资源通过调用标签系统打上各种类型标签;
步骤二:域名或套餐通过调用标签系统打上各种类型标签;
步骤三:触发智能DNS系统进行调度;
步骤四:智能DNS系统根据域名或套餐处标签和节点池标签进行匹配,如果匹配上资源调度成功,否则失败;
节点池可以具有两种组织方式,树状分级模式和平行关系,例如,树状分级模式可如图8所示。此处组织方式无需和标签系统的标签组织方式完全一致;
监控系统可以对图1中的CDN加速节点池和高防节点池中的IP(包括CDN加速节点池和高防节点池中的IP)可用率、负载、受攻击情况、链路情况等进行监控,以得到业务系统的历史或当前攻击数据,如图9所示,具体监控可以由分布在全国各地的探针节点、Agent及DDoS攻击监测系统完成,探针节点主要检测节点池中IP的可用性、Agent监测模块主要监测节点池IP所在服务器负载等系统性能、DDoS监测主要用来监测IP是否遭受到了DDoS攻击;所述分布在全国各地的探针节点、Agent及DDoS攻击监测系统三者在监控上无时序性;分别监控不同维度数据;
如图10所示,智能调度系统模块可以负责资源节点池调取和分配,根据业务系统被打标签和节点资源池资源被打标签进行匹配,匹配完成后将IP资源调取分配给cname,更改cname解析到新的IP上。根据业务系统一段时间内攻击情况及历史情况通过更换标签来调度到不同资源池;如连续数天无任何攻击系统将自动将其调度到CDN资源池;当再次有攻击后将按照当前攻击大小及历史统计结果确定攻击威胁等级标签,并进行高防资源池资源调度。
如图11所示,故障处置模块可以用于当调用的某个节点IP(包括CDN加速节点池节点和高防节点池节点)可用性降低到不符合要求时,系统提供回源、暂停、重新调度、智能回源等多种处置方式来保证业务可用性。
如:
重新调度:根据业务系统当前所打标签重新调取可用资源,将不可用资源自动剔除。重新调取的节点分配到cname上;高防资源和CDN资源主要通过风险等级标签进行区分调度;
暂停:暂停不可用节点,将其直接从已分配资源中剔除,当此节点恢复后重新启用;
回源:将源服务器直接暴露,与其他可用节点IP一同对外解析;
智能回源:当分配给业务系统的多个节点IP中只要还有一个可用就不进行回源,当所有分配的资源均无法使用时将服务器IP暴露,访客直接访问业务服务器IP。
如图12所示,从业务系统接入开始整个流程可以如下:
步骤一:业务系统接入平台,平台生成cname地址;
步骤二:为业务系统打上服务等级、加速区域、DDoS风险等级等各类型标签,根据平台历史数据区分不同业务系统到不同资源池中,如业务系统检测到游戏行业攻击风险一直为高危,则游戏客户业务接入时便将风险等级标签打上高危标签;
步骤三:调度系统根据所打标签为其分配CDN加速节点池和高防节点池;
步骤四:当业务系统首次启用CDN资源池时,cname默认解析到CDN资源上,此时可以隐藏源服务器IP并且提供全球加速,用户访问体验度高;
步骤五:智能分析系统与监控系统按照监控频率对资源进行可用性、负载及DDoS攻击情况进行监控,并根据监控结果动态调整业务系统所打标签;
步骤六:如果监控到业务系统受到DDoS攻击,通过DDoS防御平台按照攻击大小调用标签系统风险等级标签重新自动切换业务系统标签;并触发一次调度,调度到新资源;
步骤七:智能调度系统根据所打标签将业务系统所用资源切换到对应风险级别节点池;风险级别主要为DDoS攻击大小,如0-100G、100-200等等;不同攻击大小对应的风险标签不同,通过调用标签系统API更换业务系统标签来调用到不同防御类型资源池;更换标签后触发一次调度系统调度,获取新的资源;
步骤七:持续监控,当发现预设时间内无攻击后,通过调用标签系统标签,重新打标签自动将节点池切换回CDN加速节点池;
步骤八:持续监控,一旦监测到业务系统有DDoS后,通过实时DDoS攻击大小及DDoS攻击历史记录分析结果调用标签系统标签,重新打风险标签,并触发一次智能调度系统调度自动调取对应高防节点池;
另外,访客访问整个流程可以如下:
步骤一:访客发起访问请求;
步骤二:通过解析cname地址获取节点IP(高防节点池IP或者是CDN加速节点池IP,具体需看当前cname解析到了哪个节点池的IP);
步骤三:节点IP将请求转发给真实服务器Server;
步骤四:真实服务器Server将数据返回给节点IP;
步骤五:节点IP将数据返回给访客;
整个过程访客与真实Server完全隔离,由节点IP通过反向代理代理真实Server与访客进行交互。
本发明提供一种安全加速风控调度方法,所述方法包括:
接收访问请求,确定所述访问请求对应的高防节点池或CDN加速节点池;
通过所述高防节点池中的节点将所述访问请求发送到对应的真实服务器,并通过所述高防节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据;或,通过所述CDN加速节点池中的节点将所述访问请求发送到对应的真实服务器,并通过所述CDN加速节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据。
在此,本发明可以解决CDN加速和高防IP无法融合使用的问题,在同一个平台同时为真实服务器提供DDoS防护和CDN加速服务,同时满足系统对加速和抗DDoS攻击的需求。
本发明提供一种安全加速风控调度方法,所述方法包括:
步骤S1,接收访问请求,确定所述访问请求对应的业务系统;
步骤S2,确定所述业务系统所属的节点池所对应的高防节点池或CDN加速节点池;
步骤S3,通过所述高防节点池或CDN加速节点池中的节点将所述访问请求发送到所述业务系统对应的真实服务器,并通过所述高防节点池或CDN加速节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据。
在此,调度系统作为资源分配的基础组件,CDN(Content Delivery Network,即内容分发网络)系统均会具备,但是其主要用来为用户调度可用的加速资源,根据带宽、性能、链路等情况来提供资源调用。本发明的CDN系统包括CDN加速节点池。
高防节点池中IP有高防IP组成,具备清洗DDoS攻击能力的资源称为高防,如高防IP指具备清洗DDoS攻击能力的IP。
真实服务器是指被保护的服务器,这些服务器是隐藏在CDN加速节点或高防节点之后,外界无法获得。
这里的高防节点池或CDN加速节点池中的节点起到转发请求,隐藏真实服务器的目的,攻击都引导到了高防节点池或CDN加速节点池中的节点上,由高防节点池或CDN加速节点池中的节点进行清洗。
本发明可以解决CDN加速和高防IP无法融合使用的问题,在同一个平台同时为业务系统提供DDoS防护和CDN加速服务,同时满足系统对加速和抗DDoS攻击的需求。
本发明在CDN加速资源的基础上增加了抗DDoS攻击的高防节点池,并且通过一套基于标签的风控标签系统来实现业务系统的风险标注,标签系统中可以根据业务系统的风险情况,标注业务系统对应的高防节点池或CDN加速节点池,调度系统可以通过标签系统中的标注将访问请求调度到不同的节点资源池,包括CDN加速节点池和高防节点池,以隔离开威胁。
本发明基于CDN架构,通过由高防节点池或CDN加速节点池在访客与业务系统的真实服务器之间中转访问请求和对应的访问数据,以隐藏业务系统的真实服务器IP,来确保业务系统真实服务器IP不被外界获取,由此保证攻击不会攻击到用户服务器。
本发明的安全加速风控调度方法一实施例中,步骤S2,确定所述业务系统所属的节点池所对应的高防节点池或CDN加速节点池之前,还包括:
若业务系统的预测受攻击风险小于等于预设阈值,则将该业务系统所属的节点池对应为CDN加速节点池;
若业务系统的预测受攻击风险大于预设阈值,则将该业务系统所属的节点池所对应为高防节点池。
在此,所述攻击风险可以是各种风险预测指标,例如,可以包括攻击数据、攻击时间、攻击频率等等。
可以根据业务系统的预测受攻击风险的智能分析结果自动为业务系统打上标签由此来调度至对应的CDN加速节点池或由防御能力的高防节点池。
可以通过打标签的形式自动切换业务系统对应的节点池的类型,如在业务系统无攻击的时候,调度至CDN加速资源节点池,提供全球加速;在有攻击的时候自动切换系统至高防资源池,保证系统防御。
本发明的安全加速风控调度方法一实施例中,若业务系统的预测受攻击风险小于等于预设阈值,则将该业务系统所属的节点池对应为CDN加速节点池之后,还包括:
若业务系统的历史或当前攻击数据大于预设阈值,则将所述业务系统所属的节点池切换对应为高防节点池。
在此,可以通过在业务系统接入时预估,接入后智能分析,为每个接入到安全加速平台中的业务系统打上不同标签,通过标签将不同DDoS攻击风险等级的系统调度到不同防御等级的高防节点池中,防止攻击风险集中化。
当首次通过人工打完标签后,后续平台可以根据业务系统的受攻击情况对业务系统自动更换标签,并根据标签自动切换防御节点池;通过调度系统程序自动实现CDN加速节点池和高防IP节点池自动切换,释放人力成本,提高运营效率。
本发明的安全加速风控调度方法一实施例中,若业务系统的预测受攻击风险大于预设阈值,则将该业务系统所属的节点池对应为高防节点池之后,还包括:
若业务系统的历史或当前攻击数据小于等于预设阈值,则将所述业务系统所属的节点池切换对应为CDN加速节点池。
在此,当攻击结束后自动将资源池切回到CDN加速节点池,保证其访问速度及用户体验。
当首次通过人工打完标签后,后续平台可以根据业务系统的受攻击情况对业务系统自动更换标签,并根据标签自动切换防御节点池;通过调度系统程序自动实现CDN加速节点池和高防IP节点池自动切换,释放人力成本,提高运营效率。
本发明的安全加速风控调度方法一实施例中,若业务系统的历史或当前攻击数据大于预设阈值,则将所述业务系统所属的节点池切换对应为高防节点池,或,若业务系统的历史或当前攻击数据小于等于预设阈值,则将所述业务系统切换对应为CDN加速节点池之前,还包括:
通过探针节点检测高防节点池和CDN加速节点池的的可用性数据;
通过Agent监测模块检测高防节点池和CDN加速节点池所在服务器负载性能数据;
通过DDoS攻击监测系统监测高防节点池和CDN加速节点池是否遭受到了DDoS攻击的数据;
根据所述可用性数据、服务器负载性能数据及是否遭受到了DDoS攻击的数据,得到业务系统的历史或当前攻击数据。
本发明的安全加速风控调度方法一实施例中,步骤S3,通过所述CDN加速节点池将所述访问请求发送到所述业务系统对应的真实服务器,并通过CDN加速节点池从所述真实服务器获取所述访问请求对应的反馈数据之后,还包括:
步骤S4,接收访问请求,确定所述访问请求对应的业务系统;
步骤S5,当监测到对应的业务系统受到攻击时,将所述业务系统所属的节点池切换对应为高防节点池;
步骤S6,通过切换后的高防节点池中的节点将所述访问请求发送到所述业务系统所属的节点池对应的真实服务器,并通过所述高防节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据。
在此,可以根据业务系统遭受攻击的情况来确定是将访问请求调度至CDN加速节点池还是调度到高防节点池。
根据本发明的另一面,还提供一种安全加速风控调度设备,其中,该设备包括:
智能调度系统,用于确定所述访问请求对应的高防节点池或CDN加速节点池;
智能DNS系统,用于通过所述高防节点池中的节点将所述访问请求发送到对应的真实服务器,并通过所述高防节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据;或,通过所述CDN加速节点池中的节点将所述访问请求发送到对应的真实服务器,并通过所述CDN加速节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据。
根据本发明的另一面,还提供一种基于计算的设备,其中,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
接收访问请求,确定所述访问请求对应的高防节点池或CDN加速节点池;
通过所述高防节点池中的节点将所述访问请求发送到对应的真实服务器,并通过所述高防节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据;或,通过所述CDN加速节点池中的节点将所述访问请求发送到对应的真实服务器,并通过所述CDN加速节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据。
根据本发明的另一面,还提供一种计算机可读存储介质,其上存储有计算机可执行指令,其中,该计算机可执行指令被处理器执行时使得该处理器:
接收访问请求,确定所述访问请求对应的高防节点池或CDN加速节点池;
通过所述高防节点池中的节点将所述访问请求发送到对应的真实服务器,并通过所述高防节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据;或,通过所述CDN加速节点池中的节点将所述访问请求发送到对应的真实服务器,并通过所述CDN加速节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据。
与现有技术相比,本发明可以解决CDN加速和高防IP无法融合使用的问题,在同一个平台同时为业务系统提供DDoS防护和CDN加速服务,同时满足系统对加速和抗DDoS攻击的需求。
本发明在CDN加速资源的基础上增加了抗DDoS攻击的高防节点池,并且通过一套基于标签的风控标签系统来实现业务系统的风险标注,标签系统中可以根据业务系统的风险情况,标注业务系统对应的高防节点池或CDN加速节点池,调度系统可以通过标签系统中的标注将访问请求调度到不同的节点资源池,包括CDN加速节点池和高防节点池,以隔离开威胁。
本发明的各设备和存储介质实施例的详细内容,具体可参见各方法实施例的对应部分,在此,不再赘述。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
需要注意的是,本发明可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本发明的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本发明的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本发明的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
另外,本发明的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本发明的方法和/或技术方案。而调用本发明的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输,和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此,根据本发明的一个实施例包括一个装置,该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该装置运行基于前述根据本发明的多个实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (9)
1.一种安全加速风控调度方法,其中,该方法包括:
接收访问请求,确定所述访问请求对应的不同风险级别的业务系统;将业务系统的风险级别标签和高防节点池或CDN加速节点池的风险级别标签进行匹配,根据匹配结果确定所述业务系统所属的节点池所对应的高防节点池或CDN加速节点池;
通过所述高防节点池中的节点将所述访问请求发送到所述业务系统对应的真实服务器,并通过所述高防节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据;或,通过所述CDN加速节点池中的节点将所述访问请求发送到所述业务系统对应的真实服务器,并通过所述CDN加速节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据。
2.根据权利要求1所述的方法,其中,确定所述业务系统所属的节点池所对应的高防节点池或CDN加速节点池之前,还包括:
若业务系统的预测受攻击风险小于等于预设阈值,则将该业务系统所属的节点池对应为CDN加速节点池;
若业务系统的预测受攻击风险大于预设阈值,则将该业务系统所属的节点池对应为高防节点池。
3.根据权利要求2所述的方法,其中,若业务系统的预测受攻击风险小于等于预设阈值,则将该业务系统所属的节点池对应为CDN加速节点池之后,还包括:
若业务系统的历史或当前攻击数据大于预设阈值,则将所述业务系统所属的节点池切换对应为高防节点池。
4.根据权利要求2所述的方法,其中,若业务系统的预测受攻击风险大于预设阈值,则将该业务系统所属的节点池对应为高防节点池之后,还包括:
若业务系统的历史或当前攻击数据小于等于预设阈值,则将所述业务系统所属的节点池切换对应为CDN加速节点池。
5.根据权利要求3或4所述的方法,其中,若业务系统的历史或当前攻击数据大于预设阈值,则将所述业务系统所属的节点池切换对应为高防节点池,或,若业务系统的历史或当前攻击数据小于等于预设阈值,则将所述业务系统所属的节点池切换对应为CDN加速节点池之前,还包括:
通过探针节点检测高防节点池和CDN加速节点池的可用性数据;
通过Agent监测模块检测高防节点池和CDN加速节点池所在服务器负载性能数据;
通过DDoS攻击监测系统监测高防节点池和CDN加速节点池是否遭受DDoS攻击的数据;
根据所述可用性数据、服务器负载性能数据及是否遭受DDoS攻击的数据,得到业务系统的历史或当前攻击数据。
6.根据权利要求1所述的方法,其中,通过所述CDN加速节点池中的节点将所述访问请求发送到所述业务系统对应的真实服务器,并通过CDN加速节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据之后,还包括:
接收访问请求,确定所述访问请求对应的业务系统;
当监测到对应的业务系统受到攻击时,将所述业务系统所属的节点池切换对应为高防节点池;
通过切换后的高防节点池中的节点将所述访问请求发送到所述业务系统对应的真实服务器,并通过所述高防节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据。
7.一种安全加速风控调度设备,其中,该设备包括:
智能调度系统,用于接收访问请求,确定所述访问请求对应的不同风险级别的业务系统;将业务系统的风险级别标签和高防节点池或CDN加速节点池的风险级别标签进行匹配,根据匹配结果确定所述业务系统所属的节点池所对应的高防节点池或CDN加速节点池;
通过所述高防节点池中的节点将所述访问请求发送到所述业务系统对应的真实服务器,并通过所述高防节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据;或,通过所述CDN加速节点池中的节点将所述访问请求发送到所述业务系统对应的真实服务器,并通过所述CDN加速节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据。
8.一种基于计算的设备,其中,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
接收访问请求,接收访问请求,确定所述访问请求对应的不同风险级别的业务系统;将业务系统的风险级别标签和高防节点池或CDN加速节点池的风险级别标签进行匹配,根据匹配结果确定所述业务系统所属的节点池所对应的高防节点池或CDN加速节点池;
通过所述高防节点池中的节点将所述访问请求发送到所述业务系统对应的真实服务器,并通过所述高防节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据;或,通过所述CDN加速节点池中的节点将所述访问请求发送到所述业务系统对应的真实服务器,并通过所述CDN加速节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据。
9.一种计算机可读存储介质,其上存储有计算机可执行指令,其中,该计算机可执行指令被处理器执行时使得该处理器:
接收访问请求,接收访问请求,确定所述访问请求对应的不同风险级别的业务系统;将业务系统的风险级别标签和高防节点池或CDN加速节点池的风险级别标签进行匹配,根据匹配结果确定所述业务系统所属的节点池所对应的高防节点池或CDN加速节点池;
通过所述高防节点池中的节点将所述访问请求发送到所述业务系统对应的真实服务器,并通过所述高防节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据;或,通过所述CDN加速节点池中的节点将所述访问请求发送到所述业务系统对应的真实服务器,并通过所述CDN加速节点池中的节点从所述真实服务器获取所述访问请求对应的反馈数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911146997.0A CN112825517B (zh) | 2019-11-21 | 2019-11-21 | 安全加速风控调度方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911146997.0A CN112825517B (zh) | 2019-11-21 | 2019-11-21 | 安全加速风控调度方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112825517A CN112825517A (zh) | 2021-05-21 |
| CN112825517B true CN112825517B (zh) | 2023-01-03 |
Family
ID=75907296
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911146997.0A Active CN112825517B (zh) | 2019-11-21 | 2019-11-21 | 安全加速风控调度方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112825517B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103023924A (zh) * | 2012-12-31 | 2013-04-03 | 网宿科技股份有限公司 | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 |
| CN106302313A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 基于调度系统的DDoS防御方法和DDoS防御系统 |
| WO2017088397A1 (zh) * | 2015-11-25 | 2017-06-01 | 乐视控股(北京)有限公司 | 用于CDN服务器群组的DDoS攻击防护方法及系统 |
| CN107426241A (zh) * | 2017-08-25 | 2017-12-01 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络安全防护的方法及装置 |
| CN107517195A (zh) * | 2016-06-17 | 2017-12-26 | 阿里巴巴集团控股有限公司 | 一种内容分发网络定位攻击域名的方法和装置 |
-
2019
- 2019-11-21 CN CN201911146997.0A patent/CN112825517B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103023924A (zh) * | 2012-12-31 | 2013-04-03 | 网宿科技股份有限公司 | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 |
| CN106302313A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 基于调度系统的DDoS防御方法和DDoS防御系统 |
| WO2017088397A1 (zh) * | 2015-11-25 | 2017-06-01 | 乐视控股(北京)有限公司 | 用于CDN服务器群组的DDoS攻击防护方法及系统 |
| CN107517195A (zh) * | 2016-06-17 | 2017-12-26 | 阿里巴巴集团控股有限公司 | 一种内容分发网络定位攻击域名的方法和装置 |
| CN107426241A (zh) * | 2017-08-25 | 2017-12-01 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络安全防护的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112825517A (zh) | 2021-05-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11805148B2 (en) | Modifying incident response time periods based on incident volume | |
| US10904277B1 (en) | Threat intelligence system measuring network threat levels | |
| US9164950B2 (en) | Use tag clouds to visualize components related to an event | |
| US11586673B2 (en) | Data writing and reading method and apparatus, and cloud storage system | |
| KR20180095798A (ko) | 애플리케이션들의 보안 및 위험 평가 및 테스팅을 위한 시스템들 및 방법들 | |
| US10313215B2 (en) | Monitoring of computer network resources having service level objectives | |
| US20170140315A1 (en) | Managing incident tickets in a cloud managed service environment | |
| US20080229421A1 (en) | Adaptive data collection for root-cause analysis and intrusion detection | |
| CN109039803A (zh) | 一种处理回调通知消息的方法、系统及计算机设备 | |
| CN107819754B (zh) | 一种防劫持方法、监控服务器、终端及系统 | |
| CN106789301A (zh) | 一种生成web网关的运行日志的方法及装置 | |
| US9218205B2 (en) | Resource management in ephemeral environments | |
| CN112825517B (zh) | 安全加速风控调度方法及设备 | |
| KR20110037969A (ko) | 모니터링 시스템에서의 메시지의 타겟화된 사용자 통지 | |
| CN108156061B (zh) | esb监控服务平台 | |
| CN108154343B (zh) | 一种企业级信息系统的应急处理方法及系统 | |
| CN112769849B (zh) | 一种病毒确诊与阻断的方法、系统、设备及存储介质 | |
| WO2021127232A1 (en) | Systems, methods, and devices for logging activity of a security platform | |
| CN117348951B (zh) | 应用于linux内核的容器感知装置和容器感知方法 | |
| CN112511580B (zh) | 消息推送的方法、装置、存储介质和设备 | |
| US20230214681A1 (en) | Model Decisions Based On Speculative Execution | |
| US11159429B2 (en) | Real-time cloud container communications routing | |
| US20040268362A1 (en) | Method, apparatus and program storage device for providing a two-step communication scheme | |
| CN110502333B (zh) | 一种访问请求的处理方法和云存储系统 | |
| CN112511580A (zh) | 消息推送的方法、装置、存储介质和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |