CN113938308A - 应用集群安全防护系统、方法、电子设备及存储介质 - Google Patents
应用集群安全防护系统、方法、电子设备及存储介质 Download PDFInfo
- Publication number
- CN113938308A CN113938308A CN202111236264.3A CN202111236264A CN113938308A CN 113938308 A CN113938308 A CN 113938308A CN 202111236264 A CN202111236264 A CN 202111236264A CN 113938308 A CN113938308 A CN 113938308A
- Authority
- CN
- China
- Prior art keywords
- request
- domain name
- blacklist
- waf
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种应用集群安全防护系统、方法、电子设备及存储介质,该系统包括:域名服务器、前置访问控制器、WAF网关和流量监测系统;其中,域名服务器,用于接收客户端发送的域名访问请求,对其解析得到域名访问请求对应的IP地址,并将IP地址引流至前置访问控制器;前置访问控制器,用于基于IP黑名单对该IP地址进行第一层过滤,得到第一请求,WAF网关,用于接收第一请求,并基于异常请求识别规则对第一请求进行第二层过滤,得到第二请求;将第二请求发送至应用集群中的应用系统进行处理;流量监测系统,用于收集并分析WAF网关的日志数据,并根据其更新IP黑名单。可以承接大量流量并进行正常工作,提高防护效率和安全性。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种应用集群安全防护系统、方法、电子设备及存储介质。
背景技术
随着网络技术的发展,基于Web网络的应用在全球被越来越多的公司和机构使用,当客户面临业务高峰或者被人DDOS(Distributed denial of service attack,分布式拒绝服务攻击)攻击时,网络应用防火墙(Web Application Firewall,简称WAF)作为一个串接在用户网络中的网关型设备起着至关重要的作用。
现有技术中,WAF部署在Web应用程序前面,用于检测、阻断异常流量,通过代理技术代理来自外部的流量汇总成请求包,并对请求包进行解析,进一步通过安全规则库的攻击规则与解析后的请求包进行匹配,如果成功匹配规则库中的规则,就会识别为异常请求并进行请求阻断。
但是,上述方法WAF吞吐流量是有限的,若流量激增,WAF承接的流量超出性能限制之后,无法正常工作,而且WAF防护方式是被动的,容易被多次试错绕过,防护效率低。
发明内容
本申请提供一种应用集群安全防护系统、方法、电子设备及存储介质,可以承接大量流量并进行正常工作,而且主动对异常请求并进行请求阻断,提高防护效率和安全性。
第一方面,本申请提供一种应用集群安全防护系统,所述系统包括:域名服务器、前置访问控制器、Web应用防火墙WAF网关和流量监测系统;
所述域名服务器,用于接收客户端发送的域名访问请求,对其解析得到所述域名访问请求对应的IP地址,并将所述域名访问请求对应的IP地址引流至前置访问控制器;
所述前置访问控制器,用于基于IP黑名单对所述域名访问请求对应的IP地址进行第一层过滤,得到第一请求,所述IP黑名单基于所述流量监测系统实时更新;
所述WAF网关,用于接收所述第一请求,并基于异常请求识别规则对所述第一请求进行第二层过滤,得到第二请求;将所述第二请求发送至应用集群中相应的应用系统进行处理;
所述流量监测系统,用于收集并分析所述WAF网关的日志数据,并根据所述日志数据更新IP黑名单。
可选的,所述域名服务器具体用于:
接收客户端发送的域名访问请求,并对所述域名访问请求中的域名配置别名记录CNAME;
对配置所述CNAME的所述域名访问请求进行解析,得到的所述域名访问请求对应的IP地址;
将所述域名访问请求对应的IP地址引流至所述前置访问控制器。
可选的,所述流量监测系统包括实时日志平台、日志分析模块和动态数据库;所述动态数据库包括IP黑名单库、异常请求识别规则库;
所述实时日志平台,用于收集所述WAF网关的日志数据,并向所述日志分析模块提供所述日志数据;所述日志数据包括访问日志与拦截日志;
所述日志分析模块,用于读取所述日志数据中的拦截日志,所述拦截日志中包括异常请求;并读取所述日志数据中的访问日志,基于所述异常请求识别规则识别所述访问日志中的异常请求;提取所述拦截日志中的异常请求对应的IP地址以及所述访问日志中的异常请求,并将提取到IP地址写入所述动态数据库中的所述IP黑名单库。
可选的,所述流量监测系统还包括响应模块,所述动态数据库还包括IP白名单库;所述响应模块用于:
定时读取所述IP黑名单库中的IP黑名单和与所述IP白名单库中的IP白名单,并计算所述IP黑名单与所述IP白名单的差集,得到异常IP集合;
将所述异常IP集合中的IP黑名单与前置访问控制器中的IP黑名单进行比对;
若比对信息不一致,则将所述异常IP集合中的IP黑名单写入前置访问控制器中的IP黑名单;
向运维人员发送所述前置访问控制器中的IP黑名单的变动信息,以提示运维人员所述前置访问控制器中的IP黑名单发生更改。
可选的,所述实时日志平台还用于:
将所述第二请求进行可视化显示,以供运维人员针对所述第二请求进行数据分析,筛选出所述第二请求中的异常请求,并提取所述异常请求中的关键字;
相应的,所述动态数据库还用于,接收运维人员输入的关键字并基于该关键字更改异常请求识别规则库。
可选的,所述流量监测系统还用于:
将所述IP黑名单库中IP黑名单和所述IP白名单库中IP白名单进行可视化显示;
获取运维人员输入的对所述IP黑名单和/或所述IP白名单进行的操作指令;所述操作指令包括下述至少一项:增加指令、删除指令、更改指令和查询指令;
对所述IP黑名单和/或所述IP白名单进行下述至少一项操作:基于所述增加指令,在所述IP黑名单和/或所述IP白名单中增加IP地址;基于所述删除指令,在所述IP黑名单和/或所述IP白名单中删除IP地址;基于所述更改指令,在所述IP黑名单和/或所述IP白名单中更改IP地址;基于所述查询指令,在所述IP黑名单和/或所述IP白名单中查询IP地址。
可选的,所述异常请求识别规则包括但不限于:第一请求中的请求代码连续且第一请求中的关键字与预设关键字相同;所述WAF网关具体用于:判断所述第一请求是否符合异常请求识别规则
若是,则对所述第一请求进行拦截,并将拦截的所述第一请求对应的IP地址写入IP黑名单库;
若否,则确定所述第一请求为经过过滤的第二请求。
可选的,所述WAF网关的数量为M个;N个WAF网关用于接收所述第一请求中的部分请求,M-N个WAF网关用于接收所述第一请求中的除部分请求外的其他请求;
若m个WAF网关发生异常,则由剩余的M-m个WAF网关接收所述第一请求;
其中,M为大于N、m的正整数。
第二方面,本申请还提供了一种应用集群安全防护方法,应用于前置访问控制器,所述方法包括:
获取域名服务器对从客户端接收到的域名访问请求解析后得到的所述域名访问请求对应的IP地址;
基于IP黑名单对所述域名访问请求对应的IP地址进行第一层过滤,得到第一请求,所述IP黑名单基于流量监测系统实时更新;
将所述第一请求发送给WAF网关,以使所述WAF网关基于异常请求识别规则对所述第一请求进行第二层过滤,得到第二请求,并将所述第二请求发送至应用集群中相应的应用系统进行处理。
第三方面,本申请还提供了一种应用集群安全防护方法,应用于域名服务器,所述方法包括:
接收客户端发送的域名访问请求,并对所述域名访问请求中的域名配置别名记录CNAME;
对配置所述CNAME的所述域名访问请求进行解析,得到的所述域名访问请求对应的IP地址;
将所述域名访问请求对应的IP地址引流至所述前置访问控制器,以使所述前置访问控制器基于IP黑名单对所述域名访问请求对应的IP地址进行第一层过滤,得到第一请求,并将第一请求发送给WAF网关,所述WAF网关用于基于异常请求识别规则对所述第一请求进行第二层过滤,得到第二请求,并将所述第二请求发送至应用集群中相应的应用系统进行处理。
第四方面,本申请还提供了一种电子设备,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如第二方面或第三方面中所述的方法。
第五方面,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如第二方面或第三方面中所述的方法。
综上所述,本申请提供一种应用集群安全防护系统、方法、电子设备及存储介质,该系统可以包括:域名服务器、前置访问控制器、网络应用防火墙WAF网关和流量监测系统;其中,域名服务器可以接收客户端发送的域名访问请求,并对其解析得到域名访问请求对应的IP地址,进一步的,将域名访问请求对应的IP地址引流至前置访问控制器;相应的,前置访问基于IP黑名单对域名访问请求对应的IP地址进行第一层过滤,得到第一请求,并将第一请求发送给WAF网关,相应的,WAF网关接收该第一请求,并基于异常请求识别规则对第一请求进行第二层过滤,得到第二请求;进一步的,可以将第二请求发送至应用集群中相应的应用系统进行处理;其中,IP黑名单基于流量监测系统进行实时更新。这样,本申请通过利用域名服务器先将所有的域名访问请求引流至前置访问控制器进行过滤,不仅过滤了大量异常请求,还隐藏了WAF网关地址,降低了WAF网关的防护压力以及被多次试错绕过的几率;通过利用流量监测系统,协同前置访问控制器与WAF网关进行动态联防,主动识别异常请求并进行请求阻断,提高了防护效率和安全性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例提供的一种应用场景示意图;
图2为本申请实施例提供的一种应用集群安全防护系统的结构示意图;
图3为本申请实施例提供的一种部署前置访问控制器的结构示意图;
图4为本申请实施例提供的一种部署WAF网关的结构示意图;
图5为本申请实施例提供的一种搭建应用集群的结构示意图;
图6为本申请实施例提供的一种流量监测系统的结构示意图;
图7为本申请实施例提供的一种异常IP集合的结构示意图;
图8为本申请实施例提供的一种部署流量监测系统的结构示意图;
图9为本申请实施例提供的一种具体的部署流量监测系统的结构示意图;
图10为本申请实施例提供的一种部署多个WAF网关的结构示意图;
图11为本申请实施例提供的一种具体的应用集群安全防护系统的结构示意图;
图12是本申请实施例提供的一种应用集群安全防护方法的流程示意图;
图13是本申请实施例提供的一种应用集群安全防护装置的结构示意图;
图14是本申请实施例提供的另一种应用集群安全防护方法的流程示意图;
图15是本申请实施例提供的另一种应用集群安全防护装置的结构示意图;
图16为本申请实施例提供的一种电子设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
为了便于清楚描述本申请实施例的技术方案,在本申请的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。例如,第一设备和第二设备仅仅是为了区分不同的设备,并不对其先后顺序进行限定。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
需要说明的是,本申请中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
下面结合附图对本申请实施例进行介绍。图1为本申请实施例提供的一种应用场景示意图,本申请提供的一种应用集群安全防护系统可以应用于如图1所示的应用场景中。该应用场景包括:终端设备101,系统服务器102,显示设备103和运维人员104。终端设备101中的Web应用程序客户端可以向系统服务器102发送请求,相应的,系统服务器102接收该请求并对其进行处理,在处理过程中,系统服务器102对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,为Web应用提供防护。
可以理解的是,系统服务器102可以将接收的请求利用显示设备103进行可视化显示,供运维人员104针对显示的请求进行数据分析,人工筛选出异常请求进行删除。
上述终端设备可以是无线终端也可以是有线终端。无线终端可以是指向用户提供语音和/或其他业务数据连通性的设备,具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。无线终端可以经无线接入网(Radio Access Network,简称RAN)与一个或多个核心网设备进行通信,无线终端可以是移动终端,如移动电话(或称为“蜂窝”电话)和具有移动终端的计算机,例如,可以是便携式、袖珍式、手持式、计算机内置的移动装置,它们与无线接入网交换语言和/或数据。再例如,无线终端还可以是个人通信业务(Personal Communication Service,简称PCS)电话、无绳电话、会话发起协议(SessionInitiation Protocol,简称SIP)话机、无线本地环路(Wireless Local Loop,简称WLL)站、个人数字助理(Personal Digital Assistant,简称PDA)等设备。无线终端也可以称为系统、订户单元(Subscriber Unit)、订户站(Subscriber Station),移动站(MobileStation)、移动台(Mobile)、远程站(Remote Station)、远程终端(Remote Terminal)、接入终端(Access Terminal)、用户终端(User Terminal)、用户代理(User Agent)、用户设备(User Device or User Equipment),在此不作限定。可选的,上述终端设备还可以是智能手机、平板电脑等设备。
现有技术中,将WAF部署在Web应用程序前面,用于检测、阻断异常流量,通过代理技术代理来自外部的流量汇总成请求包,并对请求包进行解析,进一步通过安全规则库的攻击规则与解析后的请求包进行匹配,如果成功匹配规则库中的规则,就会识别为异常请求并进行请求阻断。
但是,上述方法WAF吞吐流量是有限的,若流量激增,WAF承接的流量超出性能限制之后,无法正常工作,例如攻击者对WAF进行多次试错绕过、扫描探测或者是DDoS(Distributed Denial of Service,分布式拒绝服务)攻击,WAF服务器将承载大量的异常请求,不能正常工作,而且WAF防护方式是被动的,容易被多次试错绕过,防护效率低。
因此,本申请提供一种应用集群安全防护系统,该系统可以利用域名服务器接收客户端发送的域名访问请求,并对该域名访问请求进行解析,解析之后将域名访问请求对应的IP地址引流至前置访问控制器;进一步的,前置访问控制器基于自身的IP黑名单对域名访问请求对应的IP地址进行过滤,然后将过滤后的请求发送给WAF网关,相应的,WAF网关接收该过滤后的请求并基于异常请求识别规则对该过滤后的请求再次进行过滤,进一步的,将过滤完之后的请求发送至应用集群中相应的应用系统进行处理;其中,IP黑名单是基于流量监测系统实时更新的。这样,本申请通过利用域名服务器先将所有的域名访问请求引流至前置访问控制器进行过滤,不仅过滤了大量异常请求,还隐藏了WAF网关地址,降低了WAF网关的防护压力以及被多次试错绕过的几率;通过利用流量监测系统,协同前置访问控制器与WAF网关进行动态联防,主动识别异常请求并进行请求阻断,提高了防护效率和安全性。
图2为本申请实施例提供的一种应用集群安全防护系统的结构示意图,如图2所示,该应用集群安全防护系统包括:
域名服务器、前置访问控制器、网络应用防火墙WAF网关和流量监测系统;
所述域名服务器,用于接收客户端发送的域名访问请求,对其解析得到所述域名访问请求对应的IP地址,并将所述域名访问请求对应的IP地址引流至前置访问控制器;
所述前置访问控制器,用于基于IP黑名单对所述域名访问请求对应的IP地址进行第一层过滤,得到第一请求,所述IP黑名单基于所述流量监测系统实时更新;
所述WAF网关,用于接收所述第一请求,并基于异常请求识别规则对所述第一请求进行第二层过滤,得到第二请求;将所述第二请求发送至应用集群中相应的应用系统进行处理;
所述流量监测系统,用于收集并分析所述WAF网关的日志数据,并根据所述日志数据更新IP黑名单。
本申请实施例中,域名服务器(Domain Name Serve,简称DNS)可以指的是进行域名(domain name)和与之相对应的IP地址(IP address)转换的服务器,用于将客户端的发送的域名访问请求引流至前置访问控制器。
其中,IP地址(Internet Protocol Address)可以称为互联网协议地址,也称为网际协议地址,可以指的是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,用于区分物理地址的差异;IP地址通常为32位的二进制数,被分割为4个“8位二进制数”(也就是4个字节),例如,某个IP地址为11000000 101010000000000100000110,即192.168.1.6。
本申请实施例中,部署了前置访问控制器,该前置访问控制器可以基于IP黑名单对域名访问请求对应的IP地址进行过滤,过滤掉异常请求,还可以进行IP访问限频,限制单IP在每一秒钟的访问次数;而且该前置访问控制器还可以隐藏源站入口(即WAF网关)地址,例如,当用户访问域名时,DNS对域名解析后的IP地址并不直接指向源站入口,而是指向前置访问控制器,再由前置访问控制器转发请求至源站入口,达到隐藏源站入口的目的,避免攻击者针对隐藏源站入口直接进行攻击,提升安全性。
IP黑名单可以指的是对一些IP地址进行限制,禁止IP黑名单中的这些IP地址访问网站,而IP黑名单基于流量监测系统可以实时更新。
示例性的,图3为本申请实施例提供的一种部署前置访问控制器的结构示意图,如图3所示,用户通过客户端向域名服务器发送域名访问请求,进一步,前置访问控制器接收域名服务器解析过后的域名访问请求,该前置访问控制器基于IP黑名单对域名访问请求进行过滤;进一步的,将过滤后的请求转发至WAF网关(源站公网入口)进行处理。
本申请实施例中,网络应用防火墙WAF用来控制对Web应用的访问,可以对HTTP的请求进行异常检测,拒绝不符合HTTP标准的请求,而WAF网关指的是源站公网入口。
异常请求识别规则可以指的是用来判断请求是否为异常请求的规则,例如,某请求中含有特殊的关键字,通过异常请求识别规则可以识别该请求为异常请求,异常请求识别规则基于异常请求识别规则库来实现,异常请求识别规则库中包括需拦截请求中的关键字或者某些特殊业务名称等,异常请求识别规则库由运维人员进行维护,异常请求识别规则也可以由运维人员进行设置,本申请实施例对异常请求识别规则和异常请求识别规则库中包含的内容不作具体限定。
示例性的,图4为本申请实施例提供的一种部署WAF网关的结构示意图,如图4所示,部署WAF网关,作为应用的公网入口,该WAF网关接收请求并将过滤后的请求发送给后端的应用系统中,应用被部署在内网服务器中。
可以理解的是,WAF网关作为公网入口,若应用集群直接暴露到公网时危险性高,故将应用集群部署在内网中,由WAF网关服务器作为应用集群的公网入口,由WAF网关将请求发送至处于内网的应用集群中。
优选的,可以在一台服务器上部署Nginx(即HTTP和反向代理Web服务器),并基于Nginx中的ModSecurity(Web应用程序防火墙)模块搭建WAF使其具备反向代理与HTTP请求内容检测的能力。
本申请实施例中,应用集群可以指的是若干个相互独立的应用系统,而应用系统一般由计算机硬件系统、系统软件、应用软件组成,例如,应用集群可以为kubernetes集群,应用系统可以为各种管理系统、需求管理系统、企业管理系统等。
示例性的,图5为本申请实施例提供的一种搭建应用集群的结构示意图,如图5所示,为了更好的集中多个应用的网络行为,集中对所有请求进行行为分析并快速响应,故可以搭建应用集群对若干个应用系统进行统一防护,例如,在WAF网关接收请求并将请求过滤后可以发送给应用集群中的应用1或应用2,可以提高防护效率。
因此,通过利用域名服务器将所有的域名访问请求引流至前置访问控制器,而通过利用前置访问控制器不仅过滤了大量异常请求,还隐藏了WAF网关地址,降低了WAF网关的防护压力以及被多次试错绕过的几率;通过利用流量监测系统,协同前置访问控制器与WAF网关进行动态联防,主动识别异常请求并进行请求阻断,提高了防护效率和安全性。
可选的,所述域名服务器具体用于:
接收客户端发送的域名访问请求,并对所述域名访问请求中的域名配置别名记录CNAME;
对配置所述CNAME的所述域名访问请求进行解析,得到的所述域名访问请求对应的IP地址;
将所述域名访问请求对应的IP地址引流至所述前置访问控制器。
本申请实施例中,CNAME可以称为规范名字,也可以称为别名记录。这种记录允许将多个名字映射到同一服务器IP。如果需要将域名指向另一个域名,再由另一个域名提供IP地址,就需要添加CNAME记录。
优选的,可利用云服务商的CDN服务作为前置访问控制器,其中,CDN(ContentDelivery Network,内容分发网络)可以指的是一种新型网络内容服务体系,其基于IP网络而构建,基于内容访问与应用的效率要求、质量要求和内容秩序而提供内容的分发和服务,它可以避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输得更快、更稳定。
具体的,域名服务器在接收客户端发送的域名访问请求后,对该域名访问请求中的域名配置CNAME;进一步的,将对配置了CNAME的域名访问请求进行解析,得到该域名访问请求对应的IP地址,并将该域名访问请求对应的IP地址引流到CDN,再由CDN过滤请求并根据过滤后请求对应的IP地址转发至相应的WAF网关,达到隐藏WAF网关(即源站入口)的目的。
因此,通过将域名访问请求配置CNAME的方式,将域名访问请求统一引流至前置访问控制器先进行过滤,提高处理速率。
可选的,所述流量监测系统包括实时日志平台、日志分析模块和动态数据库;所述动态数据库包括IP黑名单库、异常请求识别规则库;
所述实时日志平台,用于收集所述WAF网关的日志数据,并向所述日志分析模块提供所述日志数据;所述日志数据包括访问日志与拦截日志;
所述日志分析模块,用于读取所述日志数据中的拦截日志,所述拦截日志中包括异常请求;并读取所述日志数据中的访问日志,基于所述异常请求识别规则识别所述访问日志中的异常请求;提取所述拦截日志中的异常请求对应的IP地址以及所述访问日志中的异常请求,并将提取到IP地址写入所述动态数据库中的所述IP黑名单库。
本申请实施例中,访问日志可以指的是当访问者访问网站时,访问者的各种操作被网络服务器写入的文件,例如,浏览某个网页的记录的行式被网络服务器写到一个文件中,这个文件即为访问日志。
拦截日志可以指的是被网络服务器写入拦截的某个访问者的各种操作的文件,其中,访问日志和拦截日志中的请求都有相对应的IP地址。
IP黑名单库可以指的是包含IP黑名单中的所有IP地址的数据库,该IP黑名单库可以实时更新。
优选的,实时日志平台可以使用开源系统的ELK,该ELK由ElasticSearch、Logstash和Kiabana三个开源工具组成,其中,ElasticSearch是个开源分布式搜索引擎,Logstash是一个完全开源的工具,可以用于对日志进行收集、分析、过滤,并将其存储供以后使用,Kibana也是一个开源的工具,可以用于为Logstash和ElasticSearch提供的日志分析的可视化界面,还用于汇总、搜索、分析日志数据。
优选的,日志分析模块可以为一个能够实现本申请中日志分析模块所述功能的应用程序;而动态数据库可以为开源的Mysql数据库。
示例性的,图6为本申请实施例提供的一种流量监测系统的结构示意图,如图6所示,流量监测系统可以包括:实时日志平台、日志分析模块、动态数据库和响应模块;其中,响应模块可以实时读取动态数据库中的数据,日志分析模块,不仅可以读取动态数据库中的数据并可以将新的数据写入动态数据库中,还可以将读取实时日志平台收集的日志数据。
具体的,实时日志平台可以收集WAF网关的访问日志和拦截日志,并向日志分析模块提供该访问日志和拦截日志;进一步的,日志分析模块接收该访问日志和拦截日志并进行读取,并基于异常请求识别规则识别到访问日志中的异常请求和拦截日志中的异常请求,进一步的,提取拦截日志中的异常请求对应的IP地址以及访问日志中的异常请求,并将提取到IP地址写入动态数据库中的IP黑名单库,相应的,响应模块可以读取IP黑名单库中的黑名单。
因此,利用流量监测系统可以实时更新IP黑名单库中的黑名单,可以提高处理的准确性。
可选的,所述流量监测系统还包括响应模块,所述动态数据库还包括IP白名单库;所述响应模块用于:
定时读取所述IP黑名单库中的IP黑名单和与所述IP白名单库中的IP白名单,并计算所述IP黑名单与所述IP白名单的差集,得到异常IP集合;
将所述异常IP集合中的IP黑名单与前置访问控制器中的IP黑名单进行比对;
若比对信息不一致,则将所述异常IP集合中的IP黑名单写入前置访问控制器中的IP黑名单;
向运维人员发送所述前置访问控制器中的IP黑名单的变动信息,以提示运维人员所述前置访问控制器中的IP黑名单发生更改。
本申请实施例中,IP白名单可以指的是允许访问网站的一些IP地址,而IP白名单库可以指的是包含IP白名单中的所有IP地址的数据库,IP白名单库中的数据可以通过运维人员进行更改。
示例性的,图7为本申请实施例提供的一种异常IP集合的结构示意图,如图7所示,IP黑名单库中有IP黑名单,IP白名单库中有IP白名单,除IP黑名单库与IP白名单库的交集为IP黑名单与IP白名单的差集,即异常IP集合。
可选的,流量监测系统还包括响应模块,示例性的,图8为本申请实施例提供的一种部署流量监测系统的结构示意图,主要以流量监测系统中的响应模块的功能为例,如图8所示,流量监测系统中的响应模块实时读取动态数据库中IP黑名单库中的IP黑名单和与IP白名单库中的IP白名单,并计算IP黑名单与IP白名单的差集,得到异常IP集合;进一步的,该响应模块将异常IP集合中的IP黑名单与前置访问控制器中的IP黑名单进行比对;若比对信息不一致,则将异常IP集合中的IP黑名单写入前置访问控制器中的IP黑名单中,还可以将前置访问控制器中的IP黑名单的变动信息发送给运维人员,以提示运维人员前置访问控制器中的IP黑名单发生了变化,例如,某某IP触发了异常请求识别规则被写入前置访问控制器中的黑名单。
可以理解的是,流量监测系统中的实时日志平台实时从WAF网关中收集日志后,运维人员也可以根据异常请求识别规则识别攻击者,并将异常的IP写入到前置访问控制器的黑名单中。
因此,响应模块可以更新前置访问控制器中的IP黑名单,提高筛选异常请求的准确率。
可选的,所述实时日志平台还用于:
将所述第二请求进行可视化显示,以供运维人员针对所述第二请求进行数据分析,筛选出所述第二请求中的异常请求,并提取所述异常请求中的关键字;
相应的,所述动态数据库还用于,接收运维人员输入的关键字并基于该关键字更改异常请求识别规则库。
示例性的,实时日志平台将日志数据进行可视化展示,供运维人员对访问请求进行行为分析,针对未被WAF拦截的可疑请求行为或攻击脚本,运维人员可以有针对性的分析挖掘异常请求,进一步的,将异常请求中的关键字输入动态数据库中,该动态数据库可以基于该关键字更改异常请求识别规则库,也可以自定义异常请求识别规则。
需要说明的是,运维人员分析挖掘异常请求可以通过关键字,也可以通过判断请求是否为存在的业务等方式,本申请实施例对运维人员判断是否为异常请求的方式不作具体限定。
可以理解的是,运维人员可以利用实时日志平台,对WAF网关中的所有请求日志进行数据分析,针对未被WAF拦截的可疑请求行为或攻击脚本,可以有针对性的分析挖掘可疑行为,并自定义将异常请求识别规则写入到动态数据库中的异常请求识别规则库中。
因此,运维人员可以通过与流量监测系统进行交互,相互促进,提高安全防护性能。
可选的,所述流量监测系统还用于:
将所述IP黑名单库中IP黑名单和所述IP白名单库中IP白名单进行可视化显示;
获取运维人员输入的对所述IP黑名单和/或所述IP白名单进行的操作指令;所述操作指令包括下述至少一项:增加指令、删除指令、更改指令和查询指令;
对所述IP黑名单和/或所述IP白名单进行下述至少一项操作:基于所述增加指令,在所述IP黑名单和/或所述IP白名单中增加IP地址;基于所述删除指令,在所述IP黑名单和/或所述IP白名单中删除IP地址;基于所述更改指令,在所述IP黑名单和/或所述IP白名单中更改IP地址;基于所述查询指令,在所述IP黑名单和/或所述IP白名单中查询IP地址。
示例性的,运维人员可以根据实际情况对IP黑名单与IP白名单进行手动的增删改查,在图1的应用场景下,显示设备103可以将IP黑名单库中IP黑名单和IP白名单库中IP白名单进行可视化显示,进一步的,运维人员104可以根据实际情况对IP黑名单与IP白名单进行更改,例如,运维人员104将IP黑名单中的某IP地址删除,相应的,系统服务器102会收到删除某IP地址的指令,进一步的,系统服务器102基于删除指令,在IP黑名单中删除某IP地址。
需要说明的是,上述操作指令可以为一个,也可以为多个,相应的,服务器会执行相应的操作,而且可以针对IP黑名单和/或IP白名单一起执行操作,例如可以删除IP黑名单中的某个IP地址,同时也可以增加IP白名单中的某个IP地址。
因此,运维人员可以控制流量监测系统根据实际情况对IP黑名单与IP白名单进行手动的增删改查,可以实时修改,适用范围广。
示例性的,图9为本申请实施例提供的一种具体的部署流量监测系统的结构示意图,如图9所示,流量监测系统包括:实时日志平台、日志分析模块、动态数据库和响应模块,运维人员将IP黑名单和/或IP白名单中的IP地址进行增删改查,进一步的,可以将修改的信息通知给流量监测系统,而流量监测系统中的响应模块将IP黑名单与IP白名单进行手动的增删改查后的信息写入前置访问控制器中;流量监测系统中的实时日志平台还可以收集日志,并将日志进行可视化显示,以供运维人员针对日志进行数据分析,筛选出日志中的异常请求,并提取所述异常请求中的关键字;进一步的,运维人员将异常请求中关键字写入动态数据库,动态数据库可以基于该关键字更改异常请求识别规则库。
可选的,所述异常请求识别规则包括但不限于:第一请求中的请求代码连续且第一请求中的关键字与预设关键字相同;所述WAF网关具体用于:判断所述第一请求是否符合异常请求识别规则。
若是,则对所述第一请求进行拦截,并将拦截的所述第一请求对应的IP地址写入IP黑名单库;
若否,则确定所述第一请求为经过过滤的第二请求。
本申请实施例中,预设关键字可以指的是设定的可以判断请求存在异常的关键字,而异常请求识别规则可以包括:请求中的请求代码连续且请求中的关键字与预设关键字相同。
示例性的,发往应用集群的请求都需经过WAF网关,该WAF可以针对第一请求的内容基于异常请求识别规则进行检测,若请求检测异常则将异常的第一请求直接拦截阻断,例如,第一请求包括5个请求,该5个请求中的请求代码为111,112,113,150,210,且前3个都有关键字PHP,则基于异常请求识别规则可以判断前3个请求为异常请求,进一步的,可以将拦截的前3个请求对应的IP地址写入IP黑名单库;若第一请求均符合异常请求识别规则,则将第一请求发送至后端的应用集群。
可以理解的是,该异常请求识别规则也可以只包括请求中的请求代码连续或者请求中的关键字与预设关键字相同,也可以为其他的规则,本申请实施例对此不作具体限定。
因此,可以基于异常请求识别规则为对请求进行筛选过滤,提高过滤的效率。
可选的,所述WAF网关的数量为M个;N个WAF网关用于接收所述第一请求中的部分请求,M-N个WAF网关用于接收所述第一请求中的除部分请求外的其他请求;
若m个WAF网关发生异常,则由剩余的M-m个WAF网关接收所述第一请求;
其中,M为大于N、m的正整数。
优选的,若第一请求中的请求的数量为M个WAF网关的整数倍,则第一请求均匀下发给M个WAF网关,例如,第一请求中的请求的数量为10个,WAF网关的数量为2个,则每个WAF网关接收的请求的数量均为5个;若第一请求中的请求的数量除以M个WAF网关还有余数,则可以将余数的请求下发给任意一个WAF网关,例如,第一请求中的请求的数量为9个,WAF网关的数量为2个,则第一个WAF网关接收的请求的数量均为5个,第二个WAF网关接收的请求的数量均为4个。
需要说明的是,若上述2个WAF网关中的任意一个WAF网关发生异常,则由剩余的那一个WAF网关接收所有请求。
可以理解的是,本申请实施例对WAF网关的数量M不作具体限定;其中,对N个WAF网关用于接收第一请求中的部分请求中的数量N和部分请求不作具体限定,对发生异常的WAF网关的数量m不作具体限定,可以为任意的正整数,但是向WAF网关分配第一请求尽量均衡。
示例性的,图10为本申请实施例提供的一种部署多个WAF网关的结构示意图,以部署两个WAF网关为例,如图10所示,部署双主且互备的两台WAF网关服务器,分别为WAF网关1和WAF网关2,可以将请求均衡的下发给WAF网关1和WAF网关2,进一步的,WAF网关1和WAF网关2将请求进行过滤后转发给相应的应用系统。
因此,通过部署多个WAF网关,加强防护系统的健壮性,达到负载均衡。
示例性的,图11为本申请实施例提供的一种具体的应用集群安全防护系统的结构示意图,如图11所示,用户访问客户端,客户端向前置访问控制器发送经过DNS解析后的域名访问请求,前置访问控制器对解析后的域名访问请求进行第一层过滤,并将过滤后的请求下发给WAF网关,WAF网关对经过第一层过滤后的请求进行第二层过滤,过滤之后将经过第二层过滤的请求转发给应用集群。
需要说明的是,流量监测系统是串联前置访问控制器与WAF网关进行动态联防的关键,也是主要与运维人员交互的系统,其描述的具体实施例内容可以参见图9实施例的描述,在此不再赘述。
示例性的,图12是本申请实施例提供的一种应用集群安全防护方法的流程示意图,应用于前置访问控制器,所述方法包括:
S1201、获取域名服务器对从客户端接收到的域名访问请求解析后得到的所述域名访问请求对应的IP地址。
S1202、基于IP黑名单对所述域名访问请求对应的IP地址进行第一层过滤,得到第一请求,所述IP黑名单基于流量监测系统实时更新。
S1203、将所述第一请求发送给WAF网关,以使所述WAF网关基于异常请求识别规则对所述第一请求进行第二层过滤,得到第二请求,并将所述第二请求发送至应用集群中相应的应用系统进行处理。
本实施例中方法的具体实现原理和效果均可以参见前述实施例,此处不再赘述。
图13是本申请实施例提供的一种应用集群安全防护装置的结构示意图。如图13所示,该装置包括:获取模块1310、过滤模块1320、发送模块1330。
其中,获取模块1310,用于获取域名服务器对从客户端接收到的域名访问请求解析后得到的所述域名访问请求对应的IP地址;
过滤模块1320,用于基于IP黑名单对所述域名访问请求对应的IP地址进行第一层过滤,得到第一请求,所述IP黑名单基于流量监测系统实时更新;
发送模块1330,用于将所述第一请求发送给WAF网关,以使所述WAF网关基于异常请求识别规则对所述第一请求进行第二层过滤,得到第二请求,并将所述第二请求发送至应用集群中相应的应用系统进行处理。
本申请实施例提供的应用集群安全防护装置,可以执行本申请任意实施例提供的应用集群安全防护方法,具备执行方法相应的功能模块和有益效果。
示例性的,图14是本申请实施例提供的另一种应用集群安全防护方法的流程示意图,应用于域名服务器,所述方法包括:
S1401、接收客户端发送的域名访问请求,并对所述域名访问请求中的域名配置别名记录CNAME。
S1402、对配置所述CNAME的所述域名访问请求进行解析,得到的所述域名访问请求对应的IP地址。
S1403、将所述域名访问请求对应的IP地址引流至所述前置访问控制器,以使所述前置访问控制器基于IP黑名单对所述域名访问请求对应的IP地址进行第一层过滤,得到第一请求,并将第一请求发送给WAF网关,所述WAF网关用于基于异常请求识别规则对所述第一请求进行第二层过滤,得到第二请求,并将所述第二请求发送至应用集群中相应的应用系统进行处理。
本实施例中方法的具体实现原理和效果均可以参见前述实施例,此处不再赘述。
图15是本申请实施例提供的另一种应用集群安全防护装置的结构示意图。如图15所示,该装置包括:接收模块1510、解析模块1520、引流模块1530。
其中,接收模块1510,用于接收客户端发送的域名访问请求,并对所述域名访问请求中的域名配置别名记录CNAME;
解析模块1520,用于对配置所述CNAME的所述域名访问请求进行解析,得到的所述域名访问请求对应的IP地址;
引流模块1530,用于将所述域名访问请求对应的IP地址引流至所述前置访问控制器,以使所述前置访问控制器基于IP黑名单对所述域名访问请求对应的IP地址进行第一层过滤,得到第一请求,并将第一请求发送给WAF网关,所述WAF网关用于基于异常请求识别规则对所述第一请求进行第二层过滤,得到第二请求,并将所述第二请求发送至应用集群中相应的应用系统进行处理。
本申请实施例提供的另一种应用集群安全防护装置,可以执行本申请任意实施例提供的应用集群安全防护方法,具备执行方法相应的功能模块和有益效果。
本申请实施例还提供一种电子设备的结构示意图,图16为本申请实施例提供的一种电子设备的结构示意图,如图16所示,该电子设备可以包括:处理器1602以及与所述处理器通信连接的存储器1601;该存储器1601存储计算机程序;该处理器1602执行该存储器1601存储的计算机程序,使得该处理器1602执行上述任一实施例所述的方法。
其中,存储器1601和处理器1602可以通过总线1603连接。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质存储有计算机程序执行指令,计算机执行指令被处理器执行时用于实现如本申请前述任一实施例中的应用集群安全防护方法。
本申请实施例还提供一种运行指令的芯片,该芯片用于执行如本申请前述任一实施例中由电子设备所执行的应用集群安全防护方法。
本申请实施例还提供一种计算机程序产品,该程序产品包括计算机程序,该计算机程序被处理器执行时可实现如本申请前述任一实施例中由电子设备所执行的应用集群安全防护方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个单元中。上述模块成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能模块的形式实现的集成的模块,可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器执行本申请各个实施例所述方法的部分步骤。
应理解,上述处理器可以是中央处理单元(Central Processing Unit,简称CPU),还可以是其它通用处理器、数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合申请所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器可能包含高速随机存取存储器(Random Access memory,简称RAM),也可能还包括非不稳定的存储器(Non-volatile Memory,简称NVM),例如至少一个磁盘存储器,还可以为U盘、移动硬盘、只读存储器、磁盘或光盘等。
总线可以是工业标准体系结构(Industry Standard Architecture,简称ISA)总线、外部设备互连(Peripheral Component Interconnect,简称PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,简称EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。
上述存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。存储介质可以是通用或专用计算机能够存取的任何可用介质。
一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于专用集成电路(Application Specific Integrated Circuits,简称ASIC)中。当然,处理器和存储介质也可以作为分立组件存在于电子设备或主控设备中。
以上所述,仅为本申请实施例的具体实施方式,但本申请实施例的保护范围并不局限于此,任何在本申请实施例揭露的技术范围内的变化或替换,都应涵盖在本申请实施例的保护范围之内。因此,本申请实施例的保护范围应以所述权利要求的保护范围为准。
Claims (12)
1.一种应用集群安全防护系统,其特征在于,包括:域名服务器、前置访问控制器、网络应用防火墙WAF网关和流量监测系统;
所述域名服务器,用于接收客户端发送的域名访问请求,对其解析得到所述域名访问请求对应的IP地址,并将所述域名访问请求对应的IP地址引流至前置访问控制器;
所述前置访问控制器,用于基于IP黑名单对所述域名访问请求对应的IP地址进行第一层过滤,得到第一请求,所述IP黑名单基于所述流量监测系统实时更新;
所述WAF网关,用于接收所述第一请求,并基于异常请求识别规则对所述第一请求进行第二层过滤,得到第二请求;将所述第二请求发送至应用集群中相应的应用系统进行处理;
所述流量监测系统,用于收集并分析所述WAF网关的日志数据,并根据所述日志数据更新IP黑名单。
2.根据权利要求1所述的系统,其特征在于,所述域名服务器具体用于:
接收客户端发送的域名访问请求,并对所述域名访问请求中的域名配置别名记录CNAME;
对配置所述CNAME的所述域名访问请求进行解析,得到的所述域名访问请求对应的IP地址;
将所述域名访问请求对应的IP地址引流至所述前置访问控制器。
3.根据权利要求1所述的系统,其特征在于,所述流量监测系统包括实时日志平台、日志分析模块和动态数据库;所述动态数据库包括IP黑名单库、异常请求识别规则库;
所述实时日志平台,用于收集所述WAF网关的日志数据,并向所述日志分析模块提供所述日志数据;所述日志数据包括访问日志与拦截日志;
所述日志分析模块,用于读取所述日志数据中的拦截日志,所述拦截日志中包括异常请求;并读取所述日志数据中的访问日志,基于所述异常请求识别规则识别所述访问日志中的异常请求;提取所述拦截日志中的异常请求对应的IP地址以及所述访问日志中的异常请求,并将提取到IP地址写入所述动态数据库中的所述IP黑名单库。
4.根据权利要求3所述的系统,其特征在于,所述流量监测系统还包括响应模块,所述动态数据库还包括IP白名单库;所述响应模块用于:
定时读取所述IP黑名单库中的IP黑名单和与所述IP白名单库中的IP白名单,并计算所述IP黑名单与所述IP白名单的差集,得到异常IP集合;
将所述异常IP集合中的IP黑名单与前置访问控制器中的IP黑名单进行比对;
若比对信息不一致,则将所述异常IP集合中的IP黑名单写入前置访问控制器中的IP黑名单;
向运维人员发送所述前置访问控制器中的IP黑名单的变动信息,以提示运维人员所述前置访问控制器中的IP黑名单发生更改。
5.根据权利要求3所述的系统,其特征在于,所述实时日志平台还用于:
将所述第二请求进行可视化显示,以供运维人员针对所述第二请求进行数据分析,筛选出所述第二请求中的异常请求,并提取所述异常请求中的关键字;
相应的,所述动态数据库还用于,接收运维人员输入的关键字并基于该关键字更改异常请求识别规则库。
6.根据权利要求4所述的系统,其特征在于,所述流量监测系统还用于:
将所述IP黑名单库中IP黑名单和所述IP白名单库中IP白名单进行可视化显示;
获取运维人员输入的对所述IP黑名单和/或所述IP白名单进行的操作指令;所述操作指令包括下述至少一项:增加指令、删除指令、更改指令和查询指令;
对所述IP黑名单和/或所述IP白名单进行下述至少一项操作:基于所述增加指令,在所述IP黑名单和/或所述IP白名单中增加IP地址;基于所述删除指令,在所述IP黑名单和/或所述IP白名单中删除IP地址;基于所述更改指令,在所述IP黑名单和/或所述IP白名单中更改IP地址;基于所述查询指令,在所述IP黑名单和/或所述IP白名单中查询IP地址。
7.根据权利要求1-6任一项所述的系统,其特征在于,所述异常请求识别规则包括但不限于:第一请求中的请求代码连续且第一请求中的关键字与预设关键字相同;所述WAF网关具体用于:判断所述第一请求是否符合异常请求识别规则
若是,则对所述第一请求进行拦截,并将拦截的所述第一请求对应的IP地址写入IP黑名单库;
若否,则确定所述第一请求为经过过滤的第二请求。
8.根据权利要求1-6任一项所述的系统,其特征在于,所述WAF网关的数量为M个;N个WAF网关用于接收所述第一请求中的部分请求,M-N个WAF网关用于接收所述第一请求中的除部分请求外的其他请求;
若m个WAF网关发生异常,则由剩余的M-m个WAF网关接收所述第一请求;
其中,M为大于N、m的正整数。
9.一种应用集群安全防护方法,其特征在于,应用于前置访问控制器,所述方法包括:
获取域名服务器对从客户端接收到的域名访问请求解析后得到的所述域名访问请求对应的IP地址;
基于IP黑名单对所述域名访问请求对应的IP地址进行第一层过滤,得到第一请求,所述IP黑名单基于流量监测系统实时更新;
将所述第一请求发送给WAF网关,以使所述WAF网关基于异常请求识别规则对所述第一请求进行第二层过滤,得到第二请求,并将所述第二请求发送至应用集群中相应的应用系统进行处理。
10.一种应用集群安全防护方法,其特征在于,应用于域名服务器,所述方法包括:
接收客户端发送的域名访问请求,并对所述域名访问请求中的域名配置别名记录CNAME;
对配置所述CNAME的所述域名访问请求进行解析,得到的所述域名访问请求对应的IP地址;
将所述域名访问请求对应的IP地址引流至所述前置访问控制器,以使所述前置访问控制器基于IP黑名单对所述域名访问请求对应的IP地址进行第一层过滤,得到第一请求,并将第一请求发送给WAF网关,所述WAF网关用于基于异常请求识别规则对所述第一请求进行第二层过滤,得到第二请求,并将所述第二请求发送至应用集群中相应的应用系统进行处理。
11.一种电子设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求9或10中所述的方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求9或10中所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111236264.3A CN113938308B (zh) | 2021-10-22 | 2021-10-22 | 应用集群安全防护系统、方法、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111236264.3A CN113938308B (zh) | 2021-10-22 | 2021-10-22 | 应用集群安全防护系统、方法、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113938308A true CN113938308A (zh) | 2022-01-14 |
CN113938308B CN113938308B (zh) | 2023-07-04 |
Family
ID=79283872
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111236264.3A Active CN113938308B (zh) | 2021-10-22 | 2021-10-22 | 应用集群安全防护系统、方法、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113938308B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114609985A (zh) * | 2022-03-11 | 2022-06-10 | 傲普(上海)新能源有限公司 | 一种ems系统的控制方法、装置、介质及设备 |
CN114710491A (zh) * | 2022-03-31 | 2022-07-05 | 深圳昂楷科技有限公司 | 一种数据库集群的防护方法、数据库防火墙及介质 |
CN114726650A (zh) * | 2022-05-17 | 2022-07-08 | 北京航天驭星科技有限公司 | 任务请求处理方法、装置、电子设备及计算机可读介质 |
CN115174144A (zh) * | 2022-05-30 | 2022-10-11 | 江苏安几科技有限公司 | 零信任网关自安全检测方法及装置 |
CN115412359A (zh) * | 2022-09-02 | 2022-11-29 | 中国电信股份有限公司 | Web应用安全防护方法和装置、电子设备、存储介质 |
CN115694885A (zh) * | 2022-09-14 | 2023-02-03 | 华能信息技术有限公司 | 一种数据安全策略管理方法及系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140059433A1 (en) * | 2012-08-23 | 2014-02-27 | Endgame Systems, Inc. | Method and Apparatus for Enhanced Network Data Processing and Customizable User Interface |
US20150256545A1 (en) * | 2014-03-07 | 2015-09-10 | Verite Group, Inc. | Cloud-based network security and access control |
US9177293B1 (en) * | 2006-07-21 | 2015-11-03 | Cousins Intellectual Properties Llc | Spam filtering system and method |
CN106657374A (zh) * | 2017-01-04 | 2017-05-10 | 贵州力创科技发展有限公司 | 互联网流量流向大数据智能分析决策方法及系统 |
CN108063833A (zh) * | 2016-11-07 | 2018-05-22 | 中国移动通信有限公司研究院 | Http dns解析报文处理方法及装置 |
CN109922083A (zh) * | 2019-04-10 | 2019-06-21 | 武汉金盛方圆网络科技发展有限公司 | 一种网络协议流量控制系统 |
CN112511384A (zh) * | 2020-11-26 | 2021-03-16 | 广州品唯软件有限公司 | 流量数据处理方法、装置、计算机设备和存储介质 |
-
2021
- 2021-10-22 CN CN202111236264.3A patent/CN113938308B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9177293B1 (en) * | 2006-07-21 | 2015-11-03 | Cousins Intellectual Properties Llc | Spam filtering system and method |
US20140059433A1 (en) * | 2012-08-23 | 2014-02-27 | Endgame Systems, Inc. | Method and Apparatus for Enhanced Network Data Processing and Customizable User Interface |
US20150256545A1 (en) * | 2014-03-07 | 2015-09-10 | Verite Group, Inc. | Cloud-based network security and access control |
CN108063833A (zh) * | 2016-11-07 | 2018-05-22 | 中国移动通信有限公司研究院 | Http dns解析报文处理方法及装置 |
CN106657374A (zh) * | 2017-01-04 | 2017-05-10 | 贵州力创科技发展有限公司 | 互联网流量流向大数据智能分析决策方法及系统 |
CN109922083A (zh) * | 2019-04-10 | 2019-06-21 | 武汉金盛方圆网络科技发展有限公司 | 一种网络协议流量控制系统 |
CN112511384A (zh) * | 2020-11-26 | 2021-03-16 | 广州品唯软件有限公司 | 流量数据处理方法、装置、计算机设备和存储介质 |
Non-Patent Citations (3)
Title |
---|
刘文良;: "对统一威胁管理模型的研究", 信息安全与技术, no. 07 * |
张帅;贾如春;: "基于ARM11嵌入式防火墙的设计与实现", 激光杂志, no. 09 * |
胡小梅;刘嘉勇;: "基于DNS劫持的流量监测系统设计与实现", 网络安全技术与应用, no. 01 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114609985A (zh) * | 2022-03-11 | 2022-06-10 | 傲普(上海)新能源有限公司 | 一种ems系统的控制方法、装置、介质及设备 |
CN114609985B (zh) * | 2022-03-11 | 2024-01-26 | 傲普(上海)新能源有限公司 | 一种ems系统的控制方法、装置、介质及设备 |
CN114710491A (zh) * | 2022-03-31 | 2022-07-05 | 深圳昂楷科技有限公司 | 一种数据库集群的防护方法、数据库防火墙及介质 |
CN114710491B (zh) * | 2022-03-31 | 2024-04-26 | 深圳昂楷科技有限公司 | 一种数据库集群的防护方法、数据库防火墙及介质 |
CN114726650A (zh) * | 2022-05-17 | 2022-07-08 | 北京航天驭星科技有限公司 | 任务请求处理方法、装置、电子设备及计算机可读介质 |
CN114726650B (zh) * | 2022-05-17 | 2022-08-23 | 北京航天驭星科技有限公司 | 任务请求处理方法、装置、电子设备及计算机可读介质 |
CN115174144A (zh) * | 2022-05-30 | 2022-10-11 | 江苏安几科技有限公司 | 零信任网关自安全检测方法及装置 |
CN115412359A (zh) * | 2022-09-02 | 2022-11-29 | 中国电信股份有限公司 | Web应用安全防护方法和装置、电子设备、存储介质 |
CN115412359B (zh) * | 2022-09-02 | 2024-03-19 | 中国电信股份有限公司 | Web应用安全防护方法和装置、电子设备、存储介质 |
CN115694885A (zh) * | 2022-09-14 | 2023-02-03 | 华能信息技术有限公司 | 一种数据安全策略管理方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN113938308B (zh) | 2023-07-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113938308B (zh) | 应用集群安全防护系统、方法、电子设备及存储介质 | |
CN112637220B (zh) | 一种工控系统安全防护方法及装置 | |
KR101689298B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
US9569471B2 (en) | Asset model import connector | |
CN102841990B (zh) | 一种基于统一资源定位符的恶意代码检测方法和系统 | |
CN112685737A (zh) | 一种app的检测方法、装置、设备及存储介质 | |
CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
CN111786966A (zh) | 浏览网页的方法和装置 | |
CN111740868A (zh) | 告警数据的处理方法和装置及存储介质 | |
CN107085684B (zh) | 程序特征的检测方法和装置 | |
US11159548B2 (en) | Analysis method, analysis device, and analysis program | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
CN113746849A (zh) | 一种网络中的设备识别方法、装置、设备及存储介质 | |
CN115017502A (zh) | 一种流量处理方法、及防护系统 | |
CN112667875A (zh) | 一种数据获取、数据分析方法、装置、设备及存储介质 | |
CN112583827A (zh) | 一种数据泄露检测方法及装置 | |
CN112559595A (zh) | 安全事件挖掘方法、装置、存储介质及电子设备 | |
CN110224975B (zh) | Apt信息的确定方法及装置、存储介质、电子装置 | |
US20160285905A1 (en) | System and method for detecting mobile cyber incident | |
CN107332856B (zh) | 地址信息的检测方法、装置、存储介质和电子装置 | |
CN115314271A (zh) | 一种访问请求的检测方法、系统及计算机存储介质 | |
CN114285639A (zh) | 一种网站安全防护方法及装置 | |
CN104363256B (zh) | 一种手机病毒的识别和控制方法、设备与系统 | |
KR100870871B1 (ko) | 액세스레벨에서의 유해트래픽 차단장치 및 보안시스템 | |
CN111212039A (zh) | 基于dns流量的主机挖矿行为检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |