CN115589307A - 分布式系统的风险监测方法和装置 - Google Patents
分布式系统的风险监测方法和装置 Download PDFInfo
- Publication number
- CN115589307A CN115589307A CN202211107034.1A CN202211107034A CN115589307A CN 115589307 A CN115589307 A CN 115589307A CN 202211107034 A CN202211107034 A CN 202211107034A CN 115589307 A CN115589307 A CN 115589307A
- Authority
- CN
- China
- Prior art keywords
- traffic
- risk
- flow
- application
- application node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000012544 monitoring process Methods 0.000 title claims abstract description 20
- 239000003550 marker Substances 0.000 claims description 28
- 238000012806 monitoring device Methods 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 3
- 230000006399 behavior Effects 0.000 description 5
- 239000007943 implant Substances 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 210000000349 chromosome Anatomy 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本说明书实施例描述了分布式系统的风险监测方法和装置。根据实施例的方法,分布式系统中的任意一个第一应用节点首先接收链路中传输的第一流量,然后判断该第一流量中是否存在表征风险隐患的风险标记。如果存在,则第一应用节点记录该第一流量在第一应用节点中的流量应用信息上报给云端服务器,以由云端服务器进一步确定该第一流量是否存在风险。如此通过切面代码注入的方式对存在风险隐患的流量进行风险标记,并且在流经应用节点时将流量的执行情况上传给云端服务器,当出现隐私数据泄露等安全隐患时云端服务器可以及时作出相应对策,从而能够提高分布式系统的安全性能。
Description
技术领域
本说明书一个或多个实施例涉及网络安全技术领域,尤其涉及分布式系统的风险监测方法和装置。
背景技术
分布式系统是一种能够处理各项协助的任务并整合出结果的系统,在现如今各种业务愈加复杂和频繁的背景下,其广泛应用于各个场景。
然而,随着业务发展,系统拆分导致系统调用链路愈发复杂,一个看似简单的前端请求可能最终需要调用很多次后端服务才能完成。尤其是通过切面代码注入后,使得各个应用节点的业务功能更加复杂和强大。那么,当请求出现问题时,分布式系统的各个应用节点无法及时知晓并进行上报,从而容易造成隐私数据泄露、SSRF(Server-Side RequestForgery,服务器端请求伪造)等安全隐患。
发明内容
本说明书一个或多个实施例描述了分布式系统的风险监测方法和装置,能够提高分布式系统的安全性能。
根据第一方面,提供了分布式系统的风险监测方法,应用于所述分布式系统的任意一个第一应用节点,包括:
接收所述分布式系统的链路中传输的第一流量;
判断所述第一流量的头部是否包含风险标记;其中,所述风险标记用于表征所述第一流量存在风险隐患;
若所述第一流量的头部存在风险标记,则记录所述第一流量在第一应用节点中的流量应用信息;
将所述流量应用信息上报所述分布式系统的云端服务器,以由所述云端服务器根据所述流量应用信息确定所述第一流量是否存在风险。
在一种可能的实现方式中,
所述第一应用节点为与网关相连接的节点;相应地,包含风险标记的第一流量是由所述网关对所述第一流量的IP进行识别,并在识别出所述第一流量的IP存在风险隐患后,将所述风险标记植入所述第一流量的头部得到的;
或者,
所述第一流量为:所述第一应用节点调用其他应用节点时所产生的调用请求所对应的流量;相应地,包含风险标记的第一流量为所述第一应用节点将所述风险标记植入调用请求的头部后生成的。
在一种可能的实现方式中,所述流量应用信息包括如下中的至少一个:
所述第一流量对应的IP、所述第一应用节点所要调用节点的域名信息、所述第一应用节点调用其他节点的方法签名、所述第一流量在所述第一应用节点的入参和出参、以及所述第一流量在所述第一应用节点的执行时间。
在一种可能的实现方式中,在将所述流量应用信息上报所述分布式系统的云端服务器时,还包括:
调度一个线程接收所述第一流量;其中,该线程分配有唯一的上下文;
将所述风险标记存储至接收有所述第一流量的线程的上下文。
在一种可能的实现方式中,在将所述流量应用信息上报所述分布式系统的云端服务器之后,进一步包括:
判断所述第一应用节点内是否存在对应所述第一流量的线程的上下文;
若存在,从所述第一流量的线程的上下文中获取所述风险标记;
将所述风险标记植入第一调用请求的头部;其中,所述第一调用请求用于调用第二应用节点;以及,
将植入风险标记的第一调用请求传输至所述第二应用节点。
在一种可能的实现方式中,当所述流量应用信息包括域名信息,且所述第一应用节点调用第三应用节点时,云端服务器根据所述流量应用信息确定所述第一流量是否存在风险的方法,包括:
判断所述流量应用信息中的域名信息是否为所述第三应用节点的域名信息;
若是,则确定所述第一流量不存在服务器端请求伪造的风险;
若否,则确定所述第一流量存在服务器端请求伪造的风险。
根据第二方面,提供了分布式系统的风险监测装置,应用于所述分布式系统的任意一个第一应用节点,包括:接收模块、判断模块、记录模块和上报模块;
所述接收模块,配置为接收所述分布式系统的链路中传输的第一流量;
所述判断模块,配置为判断所述接收模块接收到的所述第一流量的头部是否包含风险标记;其中,所述风险标记用于表征所述第一流量存在风险隐患;
所述记录模块,配置为若所述判断模块判断出所述第一流量的头部存在风险标记,则记录所述第一流量在第一应用节点中的流量应用信息;
所述上报模块,配置为将所述记录模块记录的所述流量应用信息上报所述分布式系统的云端服务器,以由所述云端服务器根据所述流量应用信息确定所述第一流量是否存在风险。
在一种可能的实现方式中,所述上报模块在将所述流量应用信息上报所述分布式系统的云端服务器时,还配置为执行如下操作:
调度一个线程接收所述第一流量;其中,该线程分配有唯一的上下文;
将所述风险标记存储至接收有所述第一流量的线程的上下文。
根据第三方面,提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行第一方面中任一所述的方法。
根据第四方面,提供了一种计算设备,包括:存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现上述第一方面中任一所述的方法。
根据本说明书实施例提供的方法和装置,在对分布式系统的任意一个第一应用节点进行风险监测时,首先接收分布式系统的链路中传输的第一流量,然后判断该第一流量的头部是否包含着表征第一流量存在风险隐患的风险标记。如果第一流量的头部存在风险标记,则记录第一流量在第一应用节点中的流量应用信息,并将该流量应用信息上报给分布式系统的云端服务器,从而云端服务器可以根据流量应用信息确定第一流量是否存在风险。也就是说,当分布式系统中传输的流量存在风险隐患时会被标记,而应用节点在判断出流量被标记时,则会记录流量在应用节点中的相关信息并上传给云端服务器进行风险研判。如此能够检测流量在应用节点内部执行时的情况,当出现隐私数据泄露等安全隐患时云端服务器也可以及时作出相应对策,从而能够提高分布式系统的安全性能。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本说明书的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本说明书一个实施例提供的一种分布式系统的风险监测方法的流程图;
图2是本说明书一个实施例提供的一种对风险标记进行存储的方法的流程图;
图3是本说明书一个实施例提供的一种应用节点的调用方法的流程图;
图4是本说明书一个实施例提供的一种分布式系统的监测示意图;
图5是本说明书一个实施例提供的一种分布式系统的风险监测装置的示意图。
具体实施方式
如前所述,随着业务的发展,分布式系统的调用链路越来越复杂,各应用节点之间通信时如果出现攻击、隐私数据泄露等风险,势必会影响到更多的应用节点。因此,有必要对分布式系统中的链路进行追踪。
然而,传统的分布式链路追踪系统通常只关注横向的调用链路信息,即只关注应用节点之间的调用关系,缺乏对应用节点纵向的安全内视和监测。比如,对于分布式链路中的集群A、集群B和集群C,流量依次经过集群A、集群B和集群C,实现集群A调用集群B、集群B调用集群C。传统的分布式链路追踪系统只会记录集群A调用了集群B,集群B调用了集群C,并不会记录流量在集群中应用节点的应用情况,更不会对流量是否具有安全隐患进行监控。因此,传统的方式无法对计算机网络中经常出现的水平越权、敏感信息泄露、AK泄露、以及隐私数据泄露等安全隐患进行安全内视,从而导致安全性能较低。
基于此,本方案考虑使具有风险隐患的流量以被标记的形式在分布式系统的链路中传输。如此当流量具有风险标记时,应用节点可以记录该流量在应用节点中的应用信息并上报给云端服务器,从而云端服务器可以进一步确定该流量是否具有风险,实现对分布式系统的风险监测。
如图1所示,本说明书实施例提供了分布式系统的风险监测方法,该方法应用于分布式系统的任意一个第一应用节点,可以包括如下步骤:
步骤101:接收分布式系统的链路中传输的第一流量;
步骤103:判断第一流量的头部是否包含风险标记;其中,风险标记用于表征第一流量存在风险隐患;
若是,则执行步骤105-107,否则执行步骤109;
步骤105:若第一流量的头部存在风险标记,则记录第一流量在第一应用节点中的流量应用信息;
步骤107:将流量应用信息上报分布式系统的云端服务器,以由云端服务器根据流量应用信息确定第一流量是否存在风险。
步骤109:若第一流量的头部不存在风险标记,则不执行记录第一流量的流量应用信息,以及上报分布式系统的云端服务器的操作。
本实施例中,在对分布式系统的任意一个第一应用节点进行风险监测时,首先接收分布式系统的链路中传输的第一流量,然后判断该第一流量的头部是否包含着表征第一流量存在风险隐患的风险标记。如果第一流量的头部存在风险标记,则记录第一流量在第一应用节点中的流量应用信息,并将该流量应用信息上报给分布式系统的云端服务器,从而云端服务器可以根据流量应用信息确定第一流量是否存在风险,而对于不存在风险标记的流量则不执行该操作。也就是说,当分布式系统中传输的流量存在风险隐患时会被标记,而应用节点在判断出流量被标记时,则会记录流量在应用节点中的相关信息并上传给云端服务器进行风险研判。如此能够检测流量在应用节点内部执行时的情况,当出现隐私数据泄露等安全隐患时云端服务器也可以及时作出相应对策,从而能够提高分布式系统的安全性能。
下面结合具体的实施例对本说明书附图1中的各个步骤进行说明。
首先在步骤101中,接收分布式系统的链路中传输的第一流量。
本说明书提供的分布式系统的风险监测方法应用于分布式系统中的任意一个应用节点中,各节点之间的通信连接构成分布式系统的链路。对于任意一个应用节点,当与其相连接的应用节点发送调用请求等操作时,其所对应的流量为第一流量。而且,为了实现对分布式系统进行监测,考虑对链路中可能存在风险隐患的流量进行风险标记,以进一步进行安全审计。
在一种可能的实现方式中,第一应用节点可以是与分布式系统中的网关相连接的应用节点,那么,相应地风险标记的第一流量是由网关对第一流量的IP进行识别,并在识别出第一流量的IP存在风险隐患后,将风险标记植入第一流量的头部得到的。比如,网关识别出某个IP在短时间内遍历了大量的URL,那么该IP可能存在风险隐患。如此在对应该IP的流量的头部植入风险标记,形成包含风险标记的第一流量。如此,第一流量如同被染色,其在分布式系统的链路中传输时,能够提示各个应用节点该流量可能存在风险隐患。
在另一种可能的实现方式中,第一流量可以是第一应用节点调用其他应用节点时所产生的调用请求所对应的流量。那么,相应地包含风险标记的第一流量为第一应用节点将风险标记植入调用请求的头部后生成的。例如,集群M中的应用准备以超文本传输协议(HyperText Transfer Protocol,HTTP)的方式调用集群N中的应用。那么,集群M可以将风险标记植入调用集群N的HTTP请求的头部,此时HTTP请求所对应的流量即为包含风险标记的第一流量。
在一种可能的实现方式中,将风险标记注入调用请求的头部时可以通过切面代码注入的方式实现。
然后在步骤103中,判断第一流量的头部是否包含风险标记。
如上个步骤所说,当在分布式系统的链路中传输的流量具有风险隐患时,传输的第一流量的头部会包含有表征第一流量存在风险隐患的风险标记。如此,在本步骤中,对于任意一个第一应用节点有流量流入时,可以首先判断流入的流量的头部是否包含风险标记,即确定是否需要对该流量在本应用节点中的情况进行监控,以进一步确定该存在风险隐患的流量是否真的具有风险。
当然,如上个步骤所说,当存在第一应用节点调用其他应用节点时,第一流量为调用请求所对应的流量,此时的风险标记是植入在调用请求的头部的。因此,当第一应用节点被其他的应用节点调用时,或其他应用节点向第一应用节点发送调用请求时,第一应用节点首先判断调用请求的头部是否包含有风险标记,以确定此次调用请求所对应的流量是否具有风险隐患,进而通过监控、上报等方式进一步确定该流量是否真的具有风险。
进一步在步骤105中,若第一流量的头部存在风险标记,则记录第一流量在第一应用节点中的流量应用信息。
本步骤中,当判断出第一流量的头部存在风险标记时,则说明该第一流量由于存在风险隐患被标注过。那么,考虑记录该第一流量在该第一应用节点中的应用情况,进而通过上报给服务器来进一步确定该第一流量是否具有风险。
在一种可能的实现方式中,记录的流量应用信息可以包括第一流量对应的IP、第一应用节点所要调用节点的域名信息、第一应用节点调用其他节点的方法签名、第一流量在第一应用节点的入参和出参、以及第一流量在第一应用节点中的执行时间等中的一个或多个。
比如,当第一应用节点在请求一个外部的网址时,域名信息可以是www.xxx.com,当然还可以是xxx.cn、xxx.edu、xxx.gov等。
当第一应用节点在请求M应用节点时,第一应用节点的方法签名即表示的是利用第一应用节点的某一个方法可以请求到应用节点M的端口,其通常由全类名和方法名构成,可以表示为“全类名+方法名”。
第一流量在第一应用节点的入参表示的是第一应用节点所要请求的参数,第一流量在第一应用节点的出参表示的是请求后的返回值。比如,当第一流量为查询一个会员的信息时,那么可能是利用用户的ID信息去查询,此用户的ID信息和所要请求的网址的域名信息即可构成第一应用节点的入参,而查询后返回的结果则为此时第一应用节点的出参。
由此可见,当第一流量存在风险隐患时,对第一流量在第一应用节点中的应用情况进行记录,实现了对第一流量的监测,进而可以通过上报给云端服务器来进行风险研判。
然后在步骤107中,将流量应用信息上报分布式系统的云端服务器,以由云端服务器根据流量应用信息确定第一流量是否存在风险。
本步骤中,当第一流量存在风险隐患,且记录了第一流量在第一应用节点中的流量应用信息后,考虑将该流量应用信息上报给分布式系统的云端服务器,从而云端服务器可以根据流量应用信息确定该第一流量是否存在风险。
比如,当流量应用信息包括域名信息,且第一应用节点要调用第三应用节点时,云端服务器在根据流量应用信息确定第一流量是否存在风险的方法可以包括:
判断流量应用信息中的域名信息是否为第三应用节点的域名信息;
若是,则确定第一流量不存在服务器端请求伪造的风险;
若否,则确定第一流量存在服务器端请求伪造的风险。
本实施例中,云端服务器在确定第一流量是否存在风险时,首先可以判断流量应用信息中的域名信息是否为第三应用节点的域名信息,如果是则说明此次调用为正常调用,不存在服务器端请求伪造SSRF的风险。而如果不是第三应用节点的域名信息,那么则说明可能是通过伪造地址信息进行的访问,那么则存在服务器端请求伪造SSRF的风险。由此可见,当第一流量存在风险隐患时,通过将记录的流量应用信息上报给云端服务器,云端服务器可以根据流量应用信息中的内容进一步确定出该流量是否真的具有风险。
通过记录的流量应用信息还可以确定第一流量是否具有其他的一些风险。比如,接口的参数是一个数字,一些恶意的爬虫行为在知道参数的规律后会通过递增的方式去不断请求,如接口正常情况下是query/1,那么其可能以query/1,query/2,query/3,query/4,query/5逐次递增的方式一直发请求来查看返回值,如此通过遍历行为的方式也可能窃取到相应的信息,造成隐私数据泄露。而通过记录的请求信息和域名信息等,云端服务器可以进一步判断出该行为是否存在遍历访问的风险,以对该流量作出风险决策。
此外,如图2所示,步骤107在将流量应用信息上报给分布式系统的云端服务器时还可以对风险标记进行存储,比如可以通过如下步骤实现:
步骤201:调度一个线程接收第一流量;其中,该线程分配有唯一的上下文;
步骤203:将风险标记存储至接收有第一流量的线程的上下文。
本实施例中,当第一应用节点将流量应用信息上报给分布式系统的云端服务器的同时,会调度一个线程接收第一流量,并且将风险标记存储在该接收有第一流量的线程的上下文中。由于每个线程是相互独立的,而每个线程都会分配有唯一的上下文。那么,通过将风险流量标记存储在该第一流量的线程的上下文中,表征着该线程只对应第一流量,且该线程的上下文所存储的风险标记唯一对应着该第一流量。如此不仅保证了风险标记所指代的第一流量的唯一性,而且各个线程之间相互独立也使得其他线程无法从该线程的上下文中获取到其中的内容信息,保证了该上下文中的信息不会被篡改和泄露。
此外,每一个线程的上下文都只存在于该线程存在的整个过程,当该线程结束时,上下文会被释放,从而不会占据系统的存储空间,有利于提高系统的执行效率。
当第一应用节点将流量应用信息上报给云端服务器之后,第一应用节点调用第二应用节点时,如图3所示,可以进一步包括如下步骤:
步骤301:判断第一应用节点内是否存在对应第一流量的线程的上下文;
步骤303:若存在,从第一流量的线程的上下文中获取风险标记;
步骤305:将风险标记植入第一调用请求的头部;其中,第一调用请求用于调用第二应用节点;以及,
步骤307:将植入风险标记的第一调用请求传输至第二应用节点。
步骤309:若不存在,则直接将调用请求传输至第二应用节点。
在上一个实施例中,第一应用节点在将流量应用信息上报给云端服务器时,同时通过接收第一流量的线程分配的上下文存储了风险标记。那么,本实施例中当第一应用节点在进一步调用第二应用节点时,首先可以判断第一应用节点内是否存在对应第一流量的线程的上下文。如果存在,则说明该第一流量被标记过,且风险标记存储在上下文中。如此可以从第一流量的线程的上下文中获取出该风险标记,然后将其植入到用于调用第二应用节点的第一调用请求的头部之后,再将第一调用请求传输给第二应用节点。如此,确保风险标记在整个分布式系统的链路中传输,起到染色体的作用,以提示各个应用节点当前流量存在风险隐患,进而通过上报流量应用的关键信息给云端服务器进行风险决策。
当然在步骤109中,如果第一流量的头部不存在风险标记,则不执行记录第一流量的流量应用信息,以及上报分布式系统的云端服务器的操作,即第一流量在分布式系统的链路中正常传输。
下面结合如图4所示的分布式系统的监测示意图对本方案的分布式系统的风险监测方法进行说明。其中分布式系统中包括应用节点A、应用节点B和应用节点C,应用节点A通过RPC方式调用应用节点B,应用节点B通过HTTP方式调用应用节点C。
在一种可能的实现方式中,分布式系统的风险监测方法可以包括如下步骤:
步骤501:网关识别存在安全隐患的IP流量;
例如,某个IP在短时间内遍历了大量的URL,那么该IP对应的流量则为可能存在安全隐患的IP流量。
步骤503:网关将风险标记植入到IP流量的头部;
当流量进入应用节点A时,执行:
步骤505:应用节点A判断IP流量的头部是否存在风险标记。
步骤507:若IP流量的头部存在风险标记,则记录第一流量应用信息;
其中,第一流量应用信息可以包括流量IP对应的IP、域名、应用节点A提供的服务方法签名、IP流量在应用节点A中的发生时间等信息。
若不存在风险标记,则直接将IP流量进行传输。
步骤509:应用节点A将第一流量应用信息上报云端服务器;
云端服务器根据应用节点A上报的第一流量应用信息判断该流量是否存在遍历、嗅探等攻击行为。
步骤511:应用节点A在内部创建当前IP流量所在线程的上下文,并将风险标记存储在上下文中;
当应用节点A以RPC方式调用应用节点B的服务时,执行:
步骤5013:应用节点A判断是否存在上下文;
步骤515:若存在上下文,则从上下文中获取风险标记植入到RPC请求头部;
若不存在,则直接向应用节点B发送调用请求。
步骤517:应用节点B判断RPC请求的头部是否存在风险标记。
步骤519:若存在,则应用节点B创建上下文,并记录在应用节点B中的第二流量应用信息。
其中,第二流量应用信息包括IP、请求方的方法签名、应用节点B提供的服务方法签名、流量在应用节点B中的执行时间等。
步骤521:应用节点B将记录的第二流量应用信息上报给云端服务器。
云端服务器根据上报的第二流量应用信息判断是否存在水平越权、敏感信息泄露等风险行为。
应用节点B后续通过HTTP方式请求应用节点C的服务时,执行:
步骤523:应用节点B判定是否存在上下文;
步骤525:在存在上下文时,从上下文中获取风险标记植入到HTTP请求的头部。
步骤527:记录第三流量应用信息并上报给云端服务器,以由云端服务器确定当前流量是否存在风险行为。
如图5所示,本说明书实施例提供了一种分布式系统的风险监测装置,应用于分布式系统的任意一个第一应用节点,该装置包括:接收模块501、判断模块502、记录模块503和上报模块504;
接收模块501,配置为接收分布式系统的链路中传输的第一流量;
判断模块502,配置为判断接收模块501接收到的第一流量的头部是否包含风险标记;其中,风险标记用于表征第一流量存在风险隐患;
记录模块503,配置为若判断模块502判断出第一流量的头部存在风险标记,则记录第一流量在第一应用节点中的流量应用信息;
上报模块504,配置为将记录模块503记录的流量应用信息上报分布式系统的云端服务器,以由云端服务器根据流量应用信息确定第一流量是否存在风险。
在一种可能的实现方式中,第一应用节点为与网关相连接的节点;此时,接收模块501接收到的包含风险标记的第一流量是由网关对第一流量的IP进行识别,并在识别出第一流量的IP存在风险隐患后,将风险标记植入第一流量的头部得到的;
在一种可能的实现方式中,接收模块501接收到的第一流量为:第一应用节点调用其他应用节点时所产生的调用请求所对应的流量;相应地,包含风险标记的第一流量为第一应用节点将风险标记植入调用请求的头部后生成的。
在一种可能的实现方式中,记录模块503记录的流量应用信息包括如下中的至少一个:
第一流量对应的IP、第一应用节点所要调用节点的域名信息、第一应用节点调用其他节点的方法签名、第一流量在第一应用节点的入参和出参、以及第一流量在第一应用节点的执行时间。
在一种可能的实现方式中,上报模块504在将流量应用信息上报分布式系统的云端服务器时,还被配置成执行如下操作:
调度一个线程接收第一流量;其中,该线程分配有唯一的上下文;
将风险标记存储至接收有第一流量的线程的上下文。
在一种可能的实现方式中,进一步包括:调用模块,其在将流量应用信息上报分布式系统的云端服务器之后被配置成执行如下操作:
判断第一应用节点内是否存在对应第一流量的线程的上下文;
若存在,从第一流量的线程的上下文中获取风险标记;
将风险标记植入第一调用请求的头部;其中,第一调用请求用于调用第二应用节点;以及,
将植入风险标记的第一调用请求传输至第二应用节点。
在一种可能的实现方式中,当流量应用信息包括域名信息,且第一应用节点调用第三应用节点时,云端服务器根据流量应用信息确定第一流量是否存在风险时,配置成执行如下操作:
判断流量应用信息中的域名信息是否为第三应用节点的域名信息;
若是,则确定第一流量不存在服务器端请求伪造的风险;
若否,则确定第一流量存在服务器端请求伪造的风险。
本说明书还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行说明书中任一个实施例中的方法。
本说明书还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现说明书中任一个实施例中的方法。
可以理解的是,本说明书实施例示意的结构并不构成对分布式系统的风险监测装置的具体限定。在说明书的另一些实施例中,分布式系统的风险监测装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各单元之间的信息交互、执行过程等内容,由于与本说明书方法实施例基于同一构思,具体内容可参见本说明书方法实施例中的叙述,此处不再赘述。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本说明书所描述的功能可以用硬件、软件、挂件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。
以上所述的具体实施方式,对本说明书描述的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。
Claims (10)
1.分布式系统的风险监测方法,应用于所述分布式系统的任意一个第一应用节点,包括:
接收所述分布式系统的链路中传输的第一流量;
判断所述第一流量的头部是否包含风险标记;其中,所述风险标记用于表征所述第一流量存在风险隐患;
若所述第一流量的头部存在风险标记,则记录所述第一流量在第一应用节点中的流量应用信息;
将所述流量应用信息上报所述分布式系统的云端服务器,以由所述云端服务器根据所述流量应用信息确定所述第一流量是否存在风险。
2.根据权利要求1所述的方法,其中,
所述第一应用节点为与网关相连接的节点;相应地,包含风险标记的第一流量是由所述网关对所述第一流量的IP进行识别,并在识别出所述第一流量的IP存在风险隐患后,将所述风险标记植入所述第一流量的头部得到的;
或者,
所述第一流量为:所述第一应用节点调用其他应用节点时所产生的调用请求所对应的流量;相应地,包含风险标记的第一流量为所述第一应用节点将所述风险标记植入调用请求的头部后生成的。
3.根据权利要求1所述的方法,所述流量应用信息包括如下中的至少一个:
所述第一流量对应的IP、所述第一应用节点所要调用节点的域名信息、所述第一应用节点调用其他节点的方法签名、所述第一流量在所述第一应用节点的入参和出参、以及所述第一流量在所述第一应用节点的执行时间。
4.根据权利要求1所述的方法,其中,在将所述流量应用信息上报所述分布式系统的云端服务器时,还包括:
调度一个线程接收所述第一流量;其中,该线程分配有唯一的上下文;
将所述风险标记存储至接收有所述第一流量的线程的上下文。
5.根据权利要求4所述的方法,其中,在将所述流量应用信息上报所述分布式系统的云端服务器之后,进一步包括:
判断所述第一应用节点内是否存在对应所述第一流量的线程的上下文;
若存在,从所述第一流量的线程的上下文中获取所述风险标记;
将所述风险标记植入第一调用请求的头部;其中,所述第一调用请求用于调用第二应用节点;以及,
将植入风险标记的第一调用请求传输至所述第二应用节点。
6.根据权利要求1至5中任一所述的方法,其中,当所述流量应用信息包括域名信息,且所述第一应用节点调用第三应用节点时,云端服务器根据所述流量应用信息确定所述第一流量是否存在风险的方法,包括:
判断所述流量应用信息中的域名信息是否为所述第三应用节点的域名信息;
若是,则确定所述第一流量不存在服务器端请求伪造的风险;
若否,则确定所述第一流量存在服务器端请求伪造的风险。
7.分布式系统的风险监测装置,应用于所述分布式系统的任意一个第一应用节点,包括:接收模块、判断模块、记录模块和上报模块;
所述接收模块,配置为接收所述分布式系统的链路中传输的第一流量;
所述判断模块,配置为判断所述接收模块接收到的所述第一流量的头部是否包含风险标记;其中,所述风险标记用于表征所述第一流量存在风险隐患;
所述记录模块,配置为若所述判断模块判断出所述第一流量的头部存在风险标记,则记录所述第一流量在第一应用节点中的流量应用信息;
所述上报模块,配置为将所述记录模块记录的所述流量应用信息上报所述分布式系统的云端服务器,以由所述云端服务器根据所述流量应用信息确定所述第一流量是否存在风险。
8.根据权利要求7所述的装置,其中,所述上报模块在将所述流量应用信息上报所述分布式系统的云端服务器时,还配置为执行如下操作:
调度一个线程接收所述第一流量;其中,该线程分配有唯一的上下文;
将所述风险标记存储至接收有所述第一流量的线程的上下文。
9.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-6中任一项所述的方法。
10.一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现权利要求1-6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211107034.1A CN115589307A (zh) | 2022-09-07 | 2022-09-07 | 分布式系统的风险监测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211107034.1A CN115589307A (zh) | 2022-09-07 | 2022-09-07 | 分布式系统的风险监测方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115589307A true CN115589307A (zh) | 2023-01-10 |
Family
ID=84778341
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211107034.1A Pending CN115589307A (zh) | 2022-09-07 | 2022-09-07 | 分布式系统的风险监测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115589307A (zh) |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100121927A1 (en) * | 2008-11-07 | 2010-05-13 | Samsung Electronics Co., Ltd. | Secure inter-process communication for safer computing environments and systems |
| US7937761B1 (en) * | 2004-12-17 | 2011-05-03 | Symantec Corporation | Differential threat detection processing |
| US20140082184A1 (en) * | 2012-09-14 | 2014-03-20 | Alibaba Group Holding Limited | Method and system for monitoring execution of user request in distributed system |
| WO2015026314A1 (en) * | 2013-08-19 | 2015-02-26 | Hewlett-Packard Development Company, L.P. | Adaptive network security policies |
| WO2017184189A1 (en) * | 2016-04-22 | 2017-10-26 | Sophos Limited | Detecting triggering events for distributed denial of service attacks |
| US20180026944A1 (en) * | 2016-07-21 | 2018-01-25 | AT&T Global Network Services (U.K.) B.V. | Assessing risk associated with firewall rules |
| WO2018094739A1 (zh) * | 2016-11-28 | 2018-05-31 | 华为技术有限公司 | 一种处理业务的方法、业务节点、控制节点和分布式系统 |
| CN110505235A (zh) * | 2019-09-02 | 2019-11-26 | 四川长虹电器股份有限公司 | 一种绕过云waf的恶意请求的检测系统及方法 |
| CN111614624A (zh) * | 2020-04-24 | 2020-09-01 | 支付宝(杭州)信息技术有限公司 | 风险检测方法、装置、系统及存储介质 |
| CN112131013A (zh) * | 2019-06-25 | 2020-12-25 | 顺丰科技有限公司 | 分布式系统中调用链的监控方法、装置、设备及存储介质 |
| CN112860437A (zh) * | 2021-02-22 | 2021-05-28 | 北京罗克维尔斯科技有限公司 | 微服务处理方法和装置 |
| US20220007193A1 (en) * | 2020-07-06 | 2022-01-06 | T-Mobile Usa, Inc. | Security system with 5g network traffic incubation |
| US20220058264A1 (en) * | 2020-08-18 | 2022-02-24 | Micro Focus Llc | Thread-based malware detection |
| CN114117311A (zh) * | 2022-01-25 | 2022-03-01 | 深圳红途科技有限公司 | 数据访问风险检测方法、装置、计算机设备及存储介质 |
-
2022
- 2022-09-07 CN CN202211107034.1A patent/CN115589307A/zh active Pending
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7937761B1 (en) * | 2004-12-17 | 2011-05-03 | Symantec Corporation | Differential threat detection processing |
| US20100121927A1 (en) * | 2008-11-07 | 2010-05-13 | Samsung Electronics Co., Ltd. | Secure inter-process communication for safer computing environments and systems |
| US20140082184A1 (en) * | 2012-09-14 | 2014-03-20 | Alibaba Group Holding Limited | Method and system for monitoring execution of user request in distributed system |
| WO2015026314A1 (en) * | 2013-08-19 | 2015-02-26 | Hewlett-Packard Development Company, L.P. | Adaptive network security policies |
| WO2017184189A1 (en) * | 2016-04-22 | 2017-10-26 | Sophos Limited | Detecting triggering events for distributed denial of service attacks |
| US20180026944A1 (en) * | 2016-07-21 | 2018-01-25 | AT&T Global Network Services (U.K.) B.V. | Assessing risk associated with firewall rules |
| WO2018094739A1 (zh) * | 2016-11-28 | 2018-05-31 | 华为技术有限公司 | 一种处理业务的方法、业务节点、控制节点和分布式系统 |
| CN112131013A (zh) * | 2019-06-25 | 2020-12-25 | 顺丰科技有限公司 | 分布式系统中调用链的监控方法、装置、设备及存储介质 |
| CN110505235A (zh) * | 2019-09-02 | 2019-11-26 | 四川长虹电器股份有限公司 | 一种绕过云waf的恶意请求的检测系统及方法 |
| CN111614624A (zh) * | 2020-04-24 | 2020-09-01 | 支付宝(杭州)信息技术有限公司 | 风险检测方法、装置、系统及存储介质 |
| US20220007193A1 (en) * | 2020-07-06 | 2022-01-06 | T-Mobile Usa, Inc. | Security system with 5g network traffic incubation |
| US20220058264A1 (en) * | 2020-08-18 | 2022-02-24 | Micro Focus Llc | Thread-based malware detection |
| CN112860437A (zh) * | 2021-02-22 | 2021-05-28 | 北京罗克维尔斯科技有限公司 | 微服务处理方法和装置 |
| CN114117311A (zh) * | 2022-01-25 | 2022-03-01 | 深圳红途科技有限公司 | 数据访问风险检测方法、装置、计算机设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111614624B (zh) | 风险检测方法、装置、系统及存储介质 | |
| KR101002421B1 (ko) | 공인 아이피를 공유하는 인터넷 접속 요청 트래픽의 선별적 허용/차단 방법 및 그 방법을 실행하기 위한 공인 아이피 공유 상태 검출 및 차단 시스템 | |
| CN103607385A (zh) | 基于浏览器进行安全检测的方法和装置 | |
| CN112087502B (zh) | 处理请求的方法、装置、设备及存储介质 | |
| CN111726364B (zh) | 一种主机入侵防范方法、系统及相关装置 | |
| CN111083093B (zh) | 调用端能力的方法、装置、电子设备及存储介质 | |
| CN110795174B (zh) | 一种应用程序接口调用方法、装置、设备及可读存储介质 | |
| CN113111359A (zh) | 基于信息安防的大数据资源共享方法及资源共享系统 | |
| CN111552568B (zh) | 云服务调用方法和装置 | |
| CN111240862A (zh) | 一种通用接口平台以及数据转换方法 | |
| CN114422139B (zh) | Api网关请求安全验证方法、装置、电子设备及计算机可读介质 | |
| CN112769871B (zh) | 跨链访问控制方法和装置 | |
| CN111371811B (zh) | 一种资源调用方法、资源调用装置、客户端及业务服务器 | |
| CN107645474A (zh) | 登录开放平台的方法及登录开放平台的装置 | |
| CN112333272A (zh) | 一种微服务数据访问方法、装置、设备及可读存储介质 | |
| KR101160219B1 (ko) | 네트워크 보안을 위한 접속 경로 추적시스템과 추적방법 | |
| CN111740973A (zh) | 一种区块链服务与应用的智能防御系统及方法 | |
| CN115589307A (zh) | 分布式系统的风险监测方法和装置 | |
| CN116049822A (zh) | 应用程序的监管方法、系统、电子设备及存储介质 | |
| CN110995756B (zh) | 调用服务的方法和装置 | |
| CN113824733B (zh) | 一种计算机网络管理系统 | |
| CN114221807B (zh) | 访问请求处理方法、装置、监控设备及存储介质 | |
| CN110489690B (zh) | 监控政务服务应用系统的方法、服务器、设备及存储介质 | |
| CN117768200A (zh) | 一种威胁风险指数分析方法、装置、电子设备及存储介质 | |
| CN117499071A (zh) | 一种数据处理方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |