CN115190107B - 基于泛域名多子系统管理方法、管理终端及可读存储介质 - Google Patents
基于泛域名多子系统管理方法、管理终端及可读存储介质 Download PDFInfo
- Publication number
- CN115190107B CN115190107B CN202210794544.4A CN202210794544A CN115190107B CN 115190107 B CN115190107 B CN 115190107B CN 202210794544 A CN202210794544 A CN 202210794544A CN 115190107 B CN115190107 B CN 115190107B
- Authority
- CN
- China
- Prior art keywords
- domain name
- data
- request
- subsystem
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于泛域名多子系统管理方法、管理终端及可读存储介质,包括代理服务器绑定泛域名,子系统均绑定子域名;客户端解析子域名,客户端向代理服务器发起请求,代理服务器将请求转发至统一平台服务器,同时转发至对应的子系统服务器,统一平台服务器将系统数据返回至子系统服务器;子系统服务器组装系统页面和业务数据,并向客户端展示;本发明利用泛域名解析技术,给各个子系统分配访问地址,使得子系统无需做ip、端口映射就可以直接使用,并且因为子系统访问地址统一分配,通过子域名绑定统一平台服务器,统一平台服务器与各子系统在同域下访问,操作数据在同域下共享,各子系统无需与统一平台服务器做数据同步、单点登录集成。
Description
技术领域
本发明涉及互联网技术领域,具体涉及一种基于泛域名多子系统管理方法、管理终端及可读存储介质。
背景技术
对于大型集团企业,随着集团企业的信息系统不断增多、组织管理的逐渐复杂以及业务方向的多元化,业务系统越来越多。各系统的用户组织数据需要共享、权限需要统一分配,就需要一套支持多子系统管理的基础平台来支撑。
当前,基于不同供应商技术路线和标准,存在不同系统基础平台,但多数都要做用户组织数据同步、单点登录集成、各系统都要单独申请开通访问地址。
现阶段中企业新上一个系统就要单独分配访问地址,同时要与基础平台对接用户组织数据同步、单点登录集成,对企业本来是相同的用户组织数据各系统各存一份,导致用户组织数据不能共享,常会处理因同步异常导致数据不一致性问题,用户组织数据统一维护各系统保持一致难问题,集成开发费用多次投入。
发明内容
本发明所要解决的技术问题是企业内各个子系统相互独立,子系统之间的数据难以保持一致性,目的在于提供一种基于泛域名多子系统管理方法、管理终端及可读存储介质,解决了因同步异常导致数据不一致的问题。
本发明通过下述技术方案实现:
第一方面,一种基于泛域名多子系统管理方法,包括:
代理服务器绑定泛域名,多个子系统均绑定与泛域名对应的子域名;
客户端解析子域名,并获得子域名对应的泛域名指向的IP地址;客户端向代理服务器发起请求;
代理服务器接收请求,并获取子域名对应的访问目录;
代理服务器将请求转发至统一平台服务器,同时根据访问目录将客户端的请求转发至对应的子系统服务器,并建立子系统服务器与客户端的通信;
统一平台服务器查询子系统在统一平台服务器内的系统数据,并将系统数据返回至子系统服务器;所述系统数据包括配置信息和业务数据;
子系统服务器根据配置信息组装系统页面;
子系统服务器组装系统页面和业务数据,并向客户端展示。
具体地,通过客户端对子系统服务器的系统页面操作后,子系统服务器将更新的业务数据返回至统一平台服务器,并对统一平台服务器内的业务数据进行更新。
可选地,所述客户端解析子域名的方法包括:
建立候选DNS解析器列表,包括n个解析器;
发起对子域名的DNS解析请求;
客户端将子域名发送至翻译器请求解析,翻译器将原始DNS请求转为DoH请求,所述翻译器用于实现DNS与DoH互译;
将DoH请求发送至候选DNS解析器列表,通过轮询方式对DoH请求进行解析;
解析器解析完成后,向翻译器返回DoH报文;
翻译器将DoH报文转换为DNS报文,并返回解析结果。
具体地,所述客户端解析子域名的方法还包括:
完成域名解析后,将域名与对应的解析器绑定,并建立域名解析记录表,所述域名解析记录表为某一个域名与某一个解析器的绑定关系表;
在将DoH请求发送至候选DNS解析器列表前,判断域名解析记录表中是否存在该域名的记录;若存在,则将该域名对应的DoH请求发送至域名解析记录表中对应的解析器;
若不存在,则将DoH请求发送至候选DNS解析器列表,通过轮询方式对DoH请求进行解析。
可选地,通过ping值设定n个解析器的轮询权重,计算公式为:其中pk为第k个解析器在全部候选解析器的ping排序中的百分位,pk为第k个解析器在全部候选解析器的ping排序中的百分位,wk为第k个解析器在整个轮询列队中出现的次数和轮询列队总长度之比。
进一步,代理服务器接收请求后,进行入侵主动检测,所述检测方法包括:
设定监听节点并监听接入代理服务器的网络流量,生成流量的监听日志;
将监听日志划分为多个数据分块,对数据分块生成新的第一级键值对;数据分块形式为[数据记录i],数据记录为监听日志中的一行,0<i<j,i为整数,j为监听日志总行数;
Map第一级键值对,从中提取指定字符串;所述指定字符串为源IP、数据帧长度、数据类型和标志位;
对提取的指定字符串的数据类型进行判断,再根据数据类型划分新的第二级键值对;第二级键值对形式为[数据流行,数据记录i,1]、[标志位、数据记录j,1];
根据源IP和数据帧长度将第二级键值对分别进行划分,并重新排序,再次生成新的第三级键值对;第三级键值对的形式为[源IP、数据类型,1]、[数据帧长度,数据类型,1]、[源IP,标志位,1];
将第三级键值对作为Map的输出数据,并将输入Reduce;
将输入的第三级键值对进行划分,并将[源IP、数据类型,1]、[数据帧长度,数据类型,1]、[源IP,标志位,1]键相同的流量进行聚合;
聚合后进行计数,形式为[源IP、数据类型,a]、[数据帧长度,数据类型,b]、[源IP,标志位,c],其中a、b、c为相同类型键聚合后的总数;
设定检测阈值a'、b'、c',并将a、b、c与检测阈值对比,若均小于检测阈值,则判断为合法数据;a、b、c中任意值大于等于检测阈值,则判断为攻击数据;
将合法数据对应的请求转发至统一平台服务器,将攻击数据对应的请求拦截。
可选地,所述数据类型为混合DDoS攻击中涉及的数据类型,包括TCP、ICMP、UDP、HTTP。
可选地,所述检测阈值的设定方法包括:
根据历史的访问流量速率,确定低访问基准点和高访问基准点;所述低访问基准点为M个/秒流量包,所述高访问基准点为N个/秒流量包,M<N;
设定低检测阈值、中检测阈值和高检测阈值;
当监听节点监听接入代理服务器的网络流量的速率小于低访问基准点时,选用低检测阈值;
当监听节点监听接入代理服务器的网络流量的速率位于低访问基准点与高访问基准点之间时,选用中检测阈值;
当监听节点监听接入代理服务器的网络流量的速率大于高访问基准点时,选用高检测阈值。
第二方面,一种基于泛域名多子系统管理终端,包括存储器、处理器以及存储在存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述的一种基于泛域名多子系统管理方法的步骤。
第三方面,一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如上述的一种基于泛域名多子系统管理方法的步骤。
本发明与现有技术相比,具有如下的优点和有益效果:
本发明通过设定一个代理服务器,并将代理服务器绑定泛域名,然后将多个子系统均绑定与泛域名对应的子域名,通过泛域名的通配符实现所有子域名均指向泛域名对的IP地址;
本发明通过代理服务器转发客户端的请求至统一平台服务器和子域名对应的子系统,通过统一平台服务器向子系统发送系统数据,子系统对系统数据进行组装,获得展示页面;
因此,本发明利用泛域名解析技术,给各个子系统分配访问地址,使得子系统无需做ip、端口映射就可以直接使用,并且因为子系统访问地址统一分配,通过子域名绑定统一平台服务器,统一平台服务器与各子系统在同域下访问,操作数据在同域下共享,各子系统无需与统一平台服务器做数据同步、单点登录集成。
附图说明
附图示出了本发明的示例性实施方式,并与其说明一起用于解释本发明的原理,其中包括了这些附图以提供对本发明的进一步理解,并且附图包括在本说明书中并构成本说明书的一部分,并不构成对本发明实施例的限定。
图1是根据本发明所述的基于泛域名多子系统管理方法的流程示意图。
图2是根据本发明所述的实施例二的流程示意图。
图3是根据本发明所述的实施例三的流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合附图和实施方式对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施方式仅用于解释相关内容,而非对本发明的限定。
另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分。
在不冲突的情况下,本发明中的实施方式及实施方式中的特征可以相互组合。下面将参考附图并结合实施方式来详细说明本发明。
客户端可以是可以是手机、平板电脑、电子书阅读器、便携计算机和台式计算机等等。
客户端可以安装有应用程序客户端,或者安装有浏览器,通过浏览器访问应用程序的网页客户端。本发明实施例将应用程序客户端和网页客户端统称为客户端,下文不再特别声明。
客户端将UI界面展示给用户,用户可以通过鼠标、键盘等输入装置输入相关信息。
代理服务器可以是一台服务器,或者由若干台服务器组成的服务器集群,或是一个云计算服务中心。主要用于接受客户端发起的请求,并根据客户端发起的子域名分发请求至不同的服务器。
统一平台服务器可以是一台服务器,或者由若干台服务器组成的服务器集群,或是一个云计算服务中心。主要用于存储各个子系统相关的系统数据。
子系统可以是一台服务器,或者由若干台服务器组成的服务器集群,或是一个云计算服务中心。主要用于与客户端进行通信,并根据统一平台服务器内的系统数据组装页面。
实施例一
泛域名在实际使用中作用是非常广泛的,比如实现无限二级域名功能,提供免费的url转发,在IDC部门实现自动分配免费网址,在大型企业中实现网址分类管理等等,都发挥了巨大的作用:
1.可以让域名支持无限的子域名。
2.在域名前添加任何子域名,均可访问到所指向的WEB地址。
如图1所示,本实施例基于上述原理提供一种基于泛域名多子系统管理方法,包括:
代理服务器绑定泛域名,多个子系统均绑定与泛域名对应的子域名;例如设定代理服务器的域名是aaa.com,那么我们将主机名设置为"*",IP解析到比如:238.112.100.125,大家都知道*是通配符,他表明aaa.com之前的所有子域名都将解析到238.112.100.125,这就意味着例如输入111.aaa.com或者bbb.aaa.com或者123.234.aaa.com都将解析到238.112.100.125。因此在本实施例中,多个子系统对应的子域名,都将解析到代理服务器绑定的IP。
客户端解析子域名,并获得子域名对应的泛域名指向的IP地址;即通过客户端进行DNS解析,获得IP,并将通过IP地址实现客户端与代理服务器的通信。
客户端向代理服务器发起请求;代理服务器接收请求,并获取子域名对应的访问目录;因为每个子系统均有不同的子域名,代理服务器获得客户端发送的请求后,根据其子域名获得对应的访问目录。
代理服务器将请求转发至统一平台服务器,同时根据访问目录将客户端的请求转发至对应的子系统服务器,并建立子系统服务器与客户端的通信;通过代理服务器的分发,将客户端的请求转发至子系统的服务器和统一平台服务器。
统一平台服务器查询子系统在统一平台服务器内的系统数据,并将系统数据返回至子系统服务器;系统数据包括配置信息和业务数据;统一平台服务器根据相关的访问目录,获得子系统的系统数据。
子系统服务器根据配置信息组装系统页面;每个子系统的权限、基础数据均不相同,因此,需要子系统根据配置信息对系统页面进行组装。
子系统服务器组装系统页面和业务数据,并向客户端展示,客户端与子系统服务器的通信,响应浏览。
当用户通过客户端对子系统服务器的系统页面操作后,子系统服务器将更新的业务数据返回至统一平台服务器,并对统一平台服务器内的业务数据进行更新。
子系统、统一平台服务器采用同域名访问,避免出现数据无法及时同步的问题。
通过设定一个代理服务器,并将代理服务器绑定泛域名,然后将多个子系统均绑定与泛域名对应的子域名,通过泛域名的通配符实现所有子域名均指向泛域名对的IP地址;
通过代理服务器转发客户端的请求至统一平台服务器和子域名对应的子系统,通过统一平台服务器向子系统发送系统数据,子系统对系统数据进行组装,获得展示页面;
利用泛域名解析技术,给各个子系统分配访问地址,使得子系统无需做ip、端口映射就可以直接使用,并且因为子系统访问地址统一分配,通过子域名绑定统一平台服务器,统一平台服务器与各子系统在同域下访问,操作数据在同域下共享,各子系统无需与统一平台服务器做数据同步、单点登录集成。
实施例二
在实施例一中,客户端解析子域名一般采用DNS进行解析,DNS的主要功能是将人类可读的域名转换为对应的IP地址。DNS服务主要由三个部分组成:域名空间和资源记录、权威服务器、递归服务器。用户与递归服务器直接沟通,由递归服务器完成后续的解析工作并返回解析结果。
但是,现阶段中这些传统的DNS解析并没有进行加密,所有的查询和响应都以明文的形式暴露在链路上,因此导致了许多安全和隐私问题。例如在用户和递归解析器的通信过程中,用户的IP和请求的域名会同时暴露在链路上,同一网络下的攻击者可以轻易地获取用户的隐私数据,甚至对请求和响应内容进行篡改。
除链路上的隐私泄露以外,在解析器方面也存在着隐私风险,域名解析请求中包含的用户隐私信息对解析器是可见的,解析器可以在向用户提供DNS服务的同时对用户隐私进行收集和滥用。
针对链路上的隐私泄露问题,已经出现了很多基于加密的DNS传输方法并已推出了相关标准,例如DoT和DoH,可以有效避免DNS携带的用户隐私在链路上明文暴露。
DoH是目前广受欢迎且具有代表性的域名解析安全增强方案,其使用加密的HTTPS协议进行DNS解析请求,保护了用户的域名解析请求和接收到的响应,最终达到保护DNS数据完整性和隐私性的目的。但是HTTPS会带来了额外的链接成本和传输开销,相比传统DNS也存在额外延迟,使得整体解析速度降低。
为解决上述问题,如图2所示,本实施例中的客户端解析子域名的方法包括:
建立候选DNS解析器列表,包括n个解析器,且在本实施例中命名为解析器1、解析器2、解析器3、……、解析器n;
客户端中的浏览器或软件发起对子域名的DNS解析请求,客户端系统根据配置的DNS解析器地址将aaa.com发送至翻译器请求解析;
客户端将子域名发送至翻译器请求解析,翻译器根据RFC8484将原始DNS请求转为DoH请求,翻译器用于实现DNS与DoH互译;
判断域名解析记录表中是否存在该aaa.com的解析记录;若存在,则将该域名对应的DoH请求发送至域名解析记录表中对应的解析器;
若不存在,则将DoH请求发送至候选DNS解析器列表,通过轮询方式对DoH请求进行解析,轮询方式为每次用户发起域名解析请求时在候选解析器列表中进行轮询,例如,本次将aaa.com发送至解析器1;
解析器解析完成后,向翻译器返回DoH报文,翻译器将DoH报文转换为DNS报文,并返回解析结果。
然后翻译器记录本次查询情况,即将域名与对应的解析器绑定,并建立域名解析记录表,域名解析记录表为某一个域名与某一个解析器的绑定关系表;即将aaa.com与解析器1进行绑定。
完成aaa.com域名的解析,如果后续需要对bbb.com进行解析,则进行下述步骤:
客户端中的浏览器或软件发起对子域名的DNS解析请求,客户端系统根据配置的DNS解析器地址将bbb.com发送至翻译器请求解析;
客户端将子域名发送至翻译器请求解析,翻译器根据RFC8484将原始DNS请求转为DoH请求,翻译器用于实现DNS与DoH互译;
判断域名解析记录表中是否存在该bbb.com的解析记录;若存在,则将该域名对应的DoH请求发送至域名解析记录表中对应的解析器;
若不存在,则将DoH请求发送至候选DNS解析器列表,通过轮询方式对DoH请求进行解析,轮询方式为每次用户发起域名解析请求时在候选解析器列表中进行轮询,例如,本次将bbb.com发送至解析器2;
解析器解析完成后,向翻译器返回DoH报文,翻译器将DoH报文转换为DNS报文,并返回解析结果。
然后翻译器记录本次查询情况,即将域名与对应的解析器绑定,并建立域名解析记录表,域名解析记录表为某一个域名与某一个解析器的绑定关系表;即将bbb.com与解析器2进行绑定。
当需要第二次处理aaa.com时,则进行下述步骤:
客户端中的浏览器或软件发起对子域名的DNS解析请求,客户端系统根据配置的DNS解析器地址将aaa.com发送至翻译器请求解析;
客户端将子域名发送至翻译器请求解析,翻译器根据RFC8484将原始DNS请求转为DoH请求,翻译器用于实现DNS与DoH互译;
判断域名解析记录表中是否存在该aaa.com的解析记录;存在,则将该aaa.com的DoH请求发送至域名解析记录表中对应的解析器1;
解析器解析完成后,向翻译器返回DoH报文,翻译器将DoH报文转换为DNS报文,并返回解析结果。
在候选解析器选择方式上,采用朴素的轮询方式可以使用户的域名查询隐私在各解析器之间均匀分布。但是基于ping值的加权轮询方式可以使用户获得更好的域名解析服务体验。因此通过ping值设定n个解析器的轮询权重的计算公式为:其中pk为第k个解析器在全部候选解析器的ping排序中的百分位,pk为第k个解析器在全部候选解析器的ping排序中的百分位,wk为第k个解析器在整个轮询列队中出现的次数和轮询列队总长度之比。
在ping排序中相对靠前的解析器将获得更大的权重,因此就会在轮询队列中出现更多次,获得更多的域名解析机会。
以上的多解析器机制通过引入域名解析记录表,可以在多个候选解析器之间分散用户的域名解析请求并保证域名和解析器的固定化。基于记录表的轮询选择方法相比哈希方法更加灵活,能通过定义权重进行性能优化。
本实施例中提出了一种引入域名解析记录表的轮询策略,并进一步提出使用基于ping延迟的加权轮询方法改进多解析器机制的整体性能,本实施例中的轮询方法在请求分散的效果上可以实现均匀分布的最佳分散效果,在性能优化方面,加权轮询方法提升了多解析器机制的整体解析速度。
实施例三
在实施例一中,客户端完成了子域名解析后,需要向代理服务器发起请求,但是随着网络流量的爆炸式增长,恶意网络入侵行为日益猖獗,DDoS攻击一直是全球互联网安全的重要威胁之一。对于复杂的混合型DDoS攻击,本地部署的普通检测防护设备往往无法应对,增加硬件产品又会提高成本,已有的检测DDoS攻击的研究多针对离线数据,难以移植应用于实时防御;在线检测研究则普遍利用简单的计数检测算法,未将DDoS数据报文自身特点纳入考量范畴,忽视了DDoS攻击的本质特征,容易造成误报漏报。
近年,攻击者为实现预期目标不再使用单一攻击手段,而是根据目标系统具体环境灵活组合,发动多种攻击手段,根据攻击者使用的IP数量可将DDoS攻击分为两种攻击模式。第一种攻击模式,攻击者采用的IP数量较少,因此单一IP需要制造巨大的攻击流量,此时从源IP的角度对攻击流量进行检测有较好的检测效果,可设定流量检测阈值对单一IP流量进行筛选检测。第二种攻击模式,由于攻击者使用的IP数量较多,多个IP共同分担总体攻击流量,因此单一IP的攻击流量可能无法达到预定义检测阈值界限,此时应从数据帧长度进行检测,提取每条访问流量的数据帧长度。
因此,为了避免恶意人员对代理服务器发起DDoS攻击代理服务器接收请求后,进行入侵主动检测,如图3所示,检测方法包括:
设定监听节点并监听接入代理服务器的网络流量,生成流量的监听日志;监听节点可以根据需求配置输出参数,包括但不限于监听时间信息、源IP、目的IP、数据帧长度、数据帧协议等,监听日志包含多条网络数据的描述,每条代表该节点监听的一个网络流量数据包
将监听日志经过Split划分为多个数据分块,对数据分块生成新的第一级键值对;数据分块形式为[数据记录i],数据记录为监听日志中的一行,0<i<j,i为整数,j为监听日志总行数;Split完成后进入Map阶段。
Map第一级键值对,从中提取指定字符串;指定字符串为源IP、数据帧长度、数据类型和标志位;
对提取的指定字符串的数据类型进行判断,再根据数据类型划分新的第二级键值对;第二级键值对形式为[数据流行,数据记录i,1]、[标志位、数据记录j,1];数据类型为混合DDoS攻击中涉及的数据类型,包括TCP、ICMP、UDP、HTTP。
根据源IP和数据帧长度将第二级键值对分别进行划分,并重新排序,再次生成新的第三级键值对;第三级键值对的形式为[源IP、数据类型,1]、[数据帧长度,数据类型,1]、[源IP,标志位,1];
将第三级键值对作为Map的输出数据,并将输入Reduce;
将输入的第三级键值对进行划分,并将[源IP、数据类型,1]、[数据帧长度,数据类型,1]、[源IP,标志位,1]这3种键相同的流量进行聚合;
聚合后进行计数,形式为[源IP、数据类型,a]、[数据帧长度,数据类型,b]、[源IP,标志位,c],其中a、b、c为相同类型键聚合后的总数;
设定检测阈值a'、b'、c',并将a、b、c与检测阈值对比,若均小于检测阈值,则判断为合法数据;a、b、c中任意值大于等于检测阈值,则判断为攻击数据;
将合法数据对应的请求转发至统一平台服务器,将攻击数据对应的请求拦截。
在上述方法中,选取合适的检测阈值是实现高精确度检测的关键,为提高检测精度,可根据访问流量速率的差异选择不同的检测阈值。检测系统在进行攻击检测之前,需设定3个不同的检测阈值作为可选项,通过预检测访问流量速率判断该轮次检测的流量模式,流量速率可分为高速、中速、低速3档,依次对应3个由大到小的预定检测阈值。
检测阈值的设定方法包括:
根据历史的访问流量速率,确定低访问基准点和高访问基准点;低访问基准点为M个/秒流量包,高访问基准点为N个/秒流量包,M<N,本实施例中以10000个/秒流量包和100000个/秒流量包为例。
设定低检测阈值、中检测阈值和高检测阈值;
当监听节点监听接入代理服务器的网络流量的速率小于10000个/秒流量包时,选用低检测阈值,检测阈值为500个/秒。
当监听节点监听接入代理服务器的网络流量的速率位于10000个~100000个/秒流量包之间时,选用中检测阈值,检测阈值为1000个/秒。
当监听节点监听接入代理服务器的网络流量的速率大于100000个/秒流量包,选用高检测阈值,检测阈值为1500个/秒。
本实施例针对日趋增多的混合型DDoS攻击提出的检测算法,对比现阶段的检测方法,代理服务器在处理相同输入数据时检测时间没有明显延长,但对DDoS攻击的检测率得到显著提升,非常适合对检测率要求较高的环境,通过流量速率自适应动态调节阈值方法可有效解决单一阈值带来的偏差。同时,算法能够对具体攻击类型及部分攻击参数进行精准识别。通过精准识别,可以将恶意攻击拦截在代理服务器之前,避免其接入代理服务器后分发至子系统和统一平台服务器,从而造成对整个系统的破坏。
实施例四
一种基于泛域名多子系统管理终端,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现如上述的一种基于泛域名多子系统管理方法的步骤。
存储器可用于存储软件程序以及模块,处理器通过运行存储在存储器的软件程序以及模块,从而执行终端的各种功能应用以及数据处理。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的执行程序等。
存储数据区可存储根据终端的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件,闪存器件、或其他易失性固态存储器件。
一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现如上述的一种基于泛域名多子系统管理方法的步骤。
不失一般性,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令数据结构,程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、EPROM、EEPROM、闪存或其他固态存储技术,CD-ROM、DVD或其他光学存储﹑磁带盒﹑磁带﹑磁盘存储或其他磁性存储设备。当然,本领域技术人员可知计算机存储介质不局限于上述几种。上述的系统存储器和大容量存储设备可以统称为存储器。
在本说明书的描述中,参考术语“一个实施例/方式”、“一些实施例/方式”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例/方式或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例/方式或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例/方式或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例/方式或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例/方式或示例以及不同实施例/方式或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
本领域的技术人员应当理解,上述实施方式仅仅是为了清楚地说明本发明,而并非是对本发明的范围进行限定。对于所属领域的技术人员而言,在上述发明的基础上还可以做出其它变化或变型,并且这些变化或变型仍处于本发明的范围内。
Claims (8)
1.一种基于泛域名多子系统管理方法,其特征在于,包括:
代理服务器绑定泛域名,多个子系统均绑定与泛域名对应的子域名;
客户端解析子域名,并获得子域名对应的泛域名指向的IP地址;
客户端向代理服务器发起请求;
代理服务器接收请求,并获取子域名对应的访问目录;
代理服务器将请求转发至统一平台服务器,同时根据访问目录将客户端的请求转发至对应的子系统服务器,并建立子系统服务器与客户端的通信;
统一平台服务器查询子系统在统一平台服务器内的系统数据,并将系统数据返回至子系统服务器;所述系统数据包括配置信息和业务数据;
子系统服务器根据配置信息组装系统页面;
子系统服务器组装系统页面和业务数据,并向客户端展示;
其中,所述客户端解析子域名的方法包括:
建立候选DNS解析器列表,包括n个解析器;
发起对子域名的DNS解析请求;
客户端将子域名发送至翻译器请求解析,翻译器将原始DNS请求转为DoH请求,所述翻译器用于实现DNS与DoH互译;
将DoH请求发送至候选DNS解析器列表,通过轮询方式对DoH请求进行解析;
解析器解析完成后,向翻译器返回DoH报文;
翻译器将DoH报文转换为DNS报文,并返回解析结果;
所述客户端解析子域名的方法还包括:
完成域名解析后,将域名与对应的解析器绑定,并建立域名解析记录表,所述域名解析记录表为某一个域名与某一个解析器的绑定关系表;
在将DoH请求发送至候选DNS解析器列表前,判断域名解析记录表中是否存在该域名的记录;若存在,则将该域名对应的DoH请求发送至域名解析记录表中对应的解析器;
若不存在,则将DoH请求发送至候选DNS解析器列表,通过轮询方式对DoH请求进行解析。
2.根据权利要求1所述的一种基于泛域名多子系统管理方法,其特征在于,通过客户端对子系统服务器的系统页面操作后,子系统服务器将更新的业务数据返回至统一平台服务器,并对统一平台服务器内的业务数据进行更新。
4.根据权利要求1所述的一种基于泛域名多子系统管理方法,其特征在于,代理服务器接收请求后,进行入侵主动检测,所述检测方法包括:
设定监听节点并监听接入代理服务器的网络流量,生成流量的监听日志;
将监听日志划分为多个数据分块,对数据分块生成新的第一级键值对;数据分块形式为[数据记录i],数据记录为监听日志中的一行,0<i<j,i为整数,j为监听日志总行数;
Map第一级键值对,从中提取指定字符串;所述指定字符串为源IP、数据帧长度、数据类型和标志位;
对提取的指定字符串的数据类型进行判断,再根据数据类型划分新的第二级键值对;第二级键值对形式为[数据流行,数据记录i,1]、[标志位、数据记录j,1];
根据源IP和数据帧长度将第二级键值对分别进行划分,并重新排序,再次生成新的第三级键值对;第三级键值对的形式为[源IP、数据类型,1]、[数据帧长度,数据类型,1]、[源IP,标志位,1];
将第三级键值对作为Map的输出数据,并将输入Reduce;
将输入的第三级键值对进行划分,并将[源IP、数据类型,1]、[数据帧长度,数据类型,1]、[源IP,标志位,1]键相同的流量进行聚合;
聚合后进行计数,形式为[源IP、数据类型,a]、[数据帧长度,数据类型,b]、[源IP,标志位,c],其中a、b、c为相同类型键聚合后的总数;
设定检测阈值a'、b'、c',并将a、b、c与检测阈值对比,若均小于检测阈值,则判断为合法数据;a、b、c中任意值大于等于检测阈值,则判断为攻击数据;
将合法数据对应的请求转发至统一平台服务器,将攻击数据对应的请求拦截。
5.根据权利要求4所述的一种基于泛域名多子系统管理方法,其特征在于,所述数据类型为混合DDoS攻击中涉及的数据类型,包括TCP、ICMP、UDP、HTTP。
6.根据权利要求4所述的一种基于泛域名多子系统管理方法,其特征在于,所述检测阈值的设定方法包括:
根据历史的访问流量速率,确定低访问基准点和高访问基准点;所述低访问基准点为M个/秒流量包,所述高访问基准点为N个/秒流量包,M<N;
设定低检测阈值、中检测阈值和高检测阈值;
当监听节点监听接入代理服务器的网络流量的速率小于低访问基准点时,选用低检测阈值;
当监听节点监听接入代理服务器的网络流量的速率位于低访问基准点与高访问基准点之间时,选用中检测阈值;
当监听节点监听接入代理服务器的网络流量的速率大于高访问基准点时,选用高检测阈值。
7.一种基于泛域名多子系统管理终端,包括存储器、处理器以及存储在存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-6中任一项所述的一种基于泛域名多子系统管理方法的步骤。
8.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-6中任一项所述的一种基于泛域名多子系统管理方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210794544.4A CN115190107B (zh) | 2022-07-07 | 2022-07-07 | 基于泛域名多子系统管理方法、管理终端及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210794544.4A CN115190107B (zh) | 2022-07-07 | 2022-07-07 | 基于泛域名多子系统管理方法、管理终端及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115190107A CN115190107A (zh) | 2022-10-14 |
CN115190107B true CN115190107B (zh) | 2023-04-18 |
Family
ID=83517158
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210794544.4A Active CN115190107B (zh) | 2022-07-07 | 2022-07-07 | 基于泛域名多子系统管理方法、管理终端及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115190107B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117118799B (zh) * | 2023-10-20 | 2024-02-27 | 杭州优云科技有限公司 | 一种服务器集群的带外管理方法、装置及电子设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112671779A (zh) * | 2020-12-25 | 2021-04-16 | 赛尔网络有限公司 | 基于DoH服务器的域名查询方法、装置、设备及介质 |
CN112702425A (zh) * | 2020-12-22 | 2021-04-23 | 杭州易安联科技有限公司 | 基于域名泛解析的web应用访问代理方法、装置和系统 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7657629B1 (en) * | 2000-09-26 | 2010-02-02 | Foundry Networks, Inc. | Global server load balancing |
KR100942456B1 (ko) * | 2009-07-23 | 2010-02-12 | 주식회사 안철수연구소 | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 |
EP2676402A4 (en) * | 2011-02-17 | 2015-06-03 | Sable Networks Inc | METHOD AND SYSTEMS FOR DETECTING AND WEAKENING A DISTRIBUTED HIGH FREQUENCY DENIAL OF SERVICE (DDOS) ATTACK |
EP2817924B1 (en) * | 2012-02-23 | 2016-09-07 | Markport Limited | Message flooding prevention in messaging networks |
CN106612290B (zh) * | 2017-01-19 | 2020-04-03 | 河海大学 | 一种面向系统集成的跨域单点登录方法 |
CN106936853B (zh) * | 2017-04-26 | 2020-12-29 | 河海大学 | 基于面向系统集成的跨域单点登录系统进行跨域单点登录的方法 |
RU2726879C2 (ru) * | 2018-12-28 | 2020-07-16 | Акционерное общество "Лаборатория Касперского" | Система и способ подключения протокола безопасного разрешения DNS |
CN110855766A (zh) * | 2019-11-06 | 2020-02-28 | 北京天融信网络安全技术有限公司 | 一种访问Web资源的方法、装置及代理服务器 |
CN110913036A (zh) * | 2019-12-01 | 2020-03-24 | 杭州云缔盟科技有限公司 | 一种基于权威dns识别终端位置的方法 |
CN111064827B (zh) * | 2020-03-18 | 2020-07-07 | 同盾控股有限公司 | 基于域名泛解析的代理检测方法、装置、设备及介质 |
CN112272158A (zh) * | 2020-09-16 | 2021-01-26 | 厦门网宿有限公司 | 一种数据代理方法、系统及代理服务器 |
CN114491371B (zh) * | 2022-01-27 | 2022-09-16 | 佛山众陶联供应链服务有限公司 | 一种web系统前端多系统跳转方法及系统 |
CN114691793A (zh) * | 2022-04-08 | 2022-07-01 | 河钢数字技术股份有限公司 | 一种基于统一平台的主数据管理方法 |
-
2022
- 2022-07-07 CN CN202210794544.4A patent/CN115190107B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112702425A (zh) * | 2020-12-22 | 2021-04-23 | 杭州易安联科技有限公司 | 基于域名泛解析的web应用访问代理方法、装置和系统 |
CN112671779A (zh) * | 2020-12-25 | 2021-04-16 | 赛尔网络有限公司 | 基于DoH服务器的域名查询方法、装置、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115190107A (zh) | 2022-10-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10296748B2 (en) | Simulated attack generator for testing a cybersecurity system | |
US11700273B2 (en) | Rule-based network-threat detection | |
US10097566B1 (en) | Identifying targets of network attacks | |
US10284516B2 (en) | System and method of determining geographic locations using DNS services | |
US7702772B2 (en) | Discovering and determining characteristics of network proxies | |
EP2695358B1 (en) | Selection of service nodes for provision of services | |
US10122722B2 (en) | Resource classification using resource requests | |
US10659335B1 (en) | Contextual analyses of network traffic | |
Jin et al. | Design of detecting botnet communication by monitoring direct outbound DNS queries | |
CN115190107B (zh) | 基于泛域名多子系统管理方法、管理终端及可读存储介质 | |
US20220232042A1 (en) | System and method for cybersecurity analysis and protection using distributed systems | |
Tazaki et al. | MATATABI: multi-layer threat analysis platform with Hadoop | |
Chen et al. | Fault-tolerant control about integrity for descriptor systems | |
US8001243B2 (en) | Distributed denial of service deterrence using outbound packet rewriting | |
Yang et al. | A deep dive into DNS behavior and query failures | |
CN113904843B (zh) | 一种终端异常dns行为的分析方法和装置 | |
CN110769004B (zh) | 在dns客户端或代理服务器使用的dns防污染方法 | |
Bernal et al. | Man-in-the-Middle Attack: Prevention in Wireless LAN | |
Koch et al. | Securing HTTP/3 Web Architecture in the Cloud | |
CN114268605B (zh) | 一种智能dns实现方法、装置及计算机存储介质 | |
CN114189376B (zh) | 一种基于cdn服务平台的云主机状态信息安全监控方法 | |
Park et al. | Security and Privacy in Communication Networks | |
Zedén Yverås et al. | DNS Performance: A study of free, public and popular DNS servers in 2019 | |
Ciric et al. | The Concept of Consumer IP Address Preservation Behind the Load Balancer |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |