CN116866051A - 一种多应用场景的cc防御系统 - Google Patents
一种多应用场景的cc防御系统 Download PDFInfo
- Publication number
- CN116866051A CN116866051A CN202310912339.8A CN202310912339A CN116866051A CN 116866051 A CN116866051 A CN 116866051A CN 202310912339 A CN202310912339 A CN 202310912339A CN 116866051 A CN116866051 A CN 116866051A
- Authority
- CN
- China
- Prior art keywords
- module
- management
- detection
- defense system
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000007123 defense Effects 0.000 title claims abstract description 71
- 238000004891 communication Methods 0.000 title claims description 7
- 238000001514 detection method Methods 0.000 claims abstract description 66
- 230000005856 abnormality Effects 0.000 claims abstract description 4
- 230000000903 blocking effect Effects 0.000 claims description 18
- 230000004044 response Effects 0.000 claims description 14
- 238000012795 verification Methods 0.000 claims description 14
- 239000003999 initiator Substances 0.000 claims description 6
- 238000000034 method Methods 0.000 claims description 6
- 230000004048 modification Effects 0.000 claims description 6
- 238000012986 modification Methods 0.000 claims description 6
- 238000007792 addition Methods 0.000 claims description 5
- 238000012217 deletion Methods 0.000 claims description 5
- 230000037430 deletion Effects 0.000 claims description 5
- 230000008260 defense mechanism Effects 0.000 claims description 3
- 238000012545 processing Methods 0.000 claims description 3
- 230000000007 visual effect Effects 0.000 claims description 3
- 239000003795 chemical substances by application Substances 0.000 claims description 2
- 235000014510 cooky Nutrition 0.000 claims description 2
- 238000012544 monitoring process Methods 0.000 claims description 2
- 230000008859 change Effects 0.000 claims 1
- 230000009286 beneficial effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000007547 defect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及CC防御系统技术领域,且公开了一种多应用场景的CC防御系统,包括Web应用防火墙应用网关,其包括起到Web应用防火墙的安全模块WAF,Web化后台管理的前端模块FrontEnd,起到负载均衡、配置证书和数据保护等其他功能性的模块;其中,所述安全模块包含了基于签名检测的规则集模块、基于异常检测模块和日志部分,所述安全模块还包括检测防御系统。该多应用场景的CC防御系统,通过设置Web应用防火墙与检测防御系统,且检测防御系统以独立设备的形式部署在被保护主机的前端,以达到保护目标主机的目的,当受到CC攻击时,由Web应用防火墙与检测防御系统配合,从而有效抵御Web服务器CC攻击,从而满足多应用场景的CC防御需求。
Description
技术领域
本发明涉及CC防御系统技术领域,具体为一种多应用场景的CC防御系统。
背景技术
CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃,CC主要是用来消耗服务器资源的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。
根据CC攻击的特点,CC攻击的方法可分为快CC攻击与慢CC攻击,快CC攻击是单点或多点长时间频繁向服务器发送HTTP请求;慢CC攻击是单点或多点长时间占用多个HTTP请求过程;CC攻击还可分为:直接攻击、代理攻击、僵尸网络攻击三种;直接攻击主要针对有重要缺陷的Web应用程序,一般来说是程序写的有问题的时候才会出现这种情况,比较少见;僵尸网络攻击有点类似于DDOS攻击,从Web应用程序层面上已经无法防御,所以代理攻击是CC攻击者一般会操作一批代理服务器,比方说100个代理,然后每个代理同时发出10个请求,这样Web服务器同时收到1000个并发请求的,并且在发出请求后,立刻断掉代理的连接,避免代理返回的数据将本身的带宽堵死,而不能发送再次请求,这时Web服务器将响应这些请求的进程进行队列,数据库服务器同样如此,这样一来,正常请求将会被排在后面被处理,造成正常请求页面打开极其缓慢或者白屏,无法有效防护服务器的网络安全。
发明内容
(一)解决的技术问题
针对现有技术的不足,本发明提供了一种多应用场景的CC防御系统,具备可满足多应用场景CC防御需求等优点,解决了传统CC防御系统难以满足多应用场景防御需求的问题。
(二)技术方案
为实现上述目的,本发明提供如下技术方案:一种多应用场景的CC防御系统,包括Web应用防火墙应用网关,其包括起到Web应用防火墙的安全模块WAF,Web化后台管理的前端模块FrontEnd,起到负载均衡、配置证书和数据保护等其他功能性的模块;
其中,所述安全模块包含了基于签名检测的规则集模块、基于异常检测模块和日志部分,所述安全模块还包括检测防御系统;
所述检测防御系统以独立设备的形式部署在被保护主机的前端,以达到保护目标主机,同时尽量降低对正常客户访问的影响的目的。
优选的,所述前端模块为管理端功能模块,包括有证书管理、应用管理、异常检测管理、用户管理、日志管理和安全模块管理。
优选的,所述证书管理包括管理人员统一管理证书和私钥,避免用户直接接触到证书私钥,降低证书私钥泄露风险,保障HTTPS通信的安全性,可以对证书进行增删查改操作,并且设置其有效日期,所述应用管理包括管理人员在启动安全监测时必须先配置好受保护应用目标,包含应用名称、HTTP或HTTPS通信、端口与地址、域名、是否使用证书等等,以及是否通过WAF安全检测,根据不同的应用在不同的场景可更改不同的功能。
优选的,所述异常检测管理主要是对配置好的应用是否进行异常检测,但在进行异常检测的时候会影响到系统的性能,因此主要运用到敏感数据和安全性能要求较高的网站上,所述用户管理能够对管理用户人员进行增删查改。
优选的,所述日志管理主要是对CC Log和WAF log进行可视化表格处理,可让管理人员清晰的查看受到的攻击类型、时间、次数以及WAF做出的行为,以便更好的根据实时情况来更改应用配置,所述安全模块管理分为CC安全管理和其他常见安全规则管理两部分,CC安全管理模块主要是对CC规则的设置,可设置对统一URL、Cookie和User Agent在一定时间内最大响应次数,若触发之后WAF会采取的行动,有阻断、验证码等,其他常见的安全管理可认为是安全规则集,可对这些安全规则集进行增删查改,每个安全规则集都有对应的ID、描述、是否启用等在表格中呈现,以便方便人员的管理。
优选的,所述检测防御系统包括检测模块、防御模块、重定向模块和阻断模块,其中重定向模块和阻断模块组成防御模块。
优选的,所述系统首先将收到的请求复制两份,在正常状态下,只有检测模块搜集接收到的请求并进行分析,而防御模块并不产生动作,当检测模块检测到攻击存在时,系统就开始启动防御机制,对同一类型请求数量最多的请求进行重定向操作,重定向模块还需检查客户端对重定向请求的响应,并把响应结果传递给阻断模块,由阻断模块决定是对该客户端执行阻断策略还是将其原请求转发至服务器。
一种多应用场景的CC防御方法,包括以下步骤:
S1、当攻击者向被保护主机发起CC攻击时,Web应用防火墙的安全模块发现大量并发TCP/IP请求,在交付受保护的服务器同时转发给检测防御系统,检测防御系统也执行相应的检测与阻断工作;
S2、当检测防御系统工作至近乎满负荷甚至有拒绝服务的趋势时,发送反馈数据包给Web应用防火墙;
S3、防火墙收到检测防御系统的反馈数据包后,暂停转发数据包,由于CC攻击一般采用的是僵尸网络或者代理服务器,根据这个特性,防火墙根据流量统计的数据向每个请求发起者发送随机验证码并等待响应;
S4、如果某请求发起者回复正确验证码,继续对此IP的数据包进行转发;如果对方对验证码的响应超时,则直接加入黑名单,禁止此IP的任何访问请求;如果没有正确回复验证码,则同样将此IP加人黑名单,禁止此IP的任何访问请求。
(三)有益效果
与现有技术相比,本发明提供了一种多应用场景的CC防御系统,具备以下有益效果:
该多应用场景的CC防御系统,通过设置Web应用防火墙与检测防御系统,且检测防御系统以独立设备的形式部署在被保护主机的前端,以达到保护目标主机的目的,当受到CC攻击时,由Web应用防火墙与检测防御系统配合,从而有效抵御Web服务器CC攻击,从而满足多应用场景的CC防御需求。
附图说明
图1为本发明提出的一种多应用场景的CC防御系统的系统示意图;
图2为本发明提出的一种多应用场景的CC防御系统中管理端功能模块的系统示意图;
图3为本发明提出的一种多应用场景的CC防御系统中检测防御系统的系统示意图。
具体实施方式
下面将结合本发明的实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-3,本实施例中的一种多应用场景的CC防御系统,包括Web应用防火墙应用网关,其包括起到Web应用防火墙的安全模块WAF,Web化后台管理的前端模块FrontEnd,起到负载均衡、配置证书和数据保护等其他功能性的模块。
其中,安全模块包含了基于签名检测的规则集模块、基于异常检测模块和日志部分,安全模块还包括检测防御系统。
检测防御系统以独立设备的形式部署在被保护主机的前端,以达到保护目标主机,同时尽量降低对正常客户访问的影响的目的。
其中,前端模块为管理端功能模块,包括有证书管理、应用管理、异常检测管理、用户管理、日志管理和安全模块管理,证书管理包括管理人员统一管理证书和私钥,避免用户直接接触到证书私钥,降低证书私钥泄露风险,保障HTTPS通信的安全性,可以对证书进行增删查改操作,并且设置其有效日期,应用管理包括管理人员在启动安全监测时必须先配置好受保护应用目标,包含应用名称、HTTP或HTTPS通信、端口与地址、域名、是否使用证书等等,以及是否通过WAF安全检测,根据不同的应用在不同的场景可更改不同的功能;异常检测管理主要是对配置好的应用是否进行异常检测,但在进行异常检测的时候会影响到系统的性能,因此主要运用到敏感数据和安全性能要求较高的网站上,用户管理能够对管理用户人员进行增删查改;日志管理主要是对CC Log和WAF log进行可视化表格处理,可让管理人员清晰的查看受到的攻击类型、时间、次数以及WAF做出的行为,以便更好的根据实时情况来更改应用配置,安全模块管理分为CC安全管理和其他常见安全规则管理两部分,CC安全管理模块主要是对CC规则的设置,可设置对统一URL、Cookie和User Agent在一定时间内最大响应次数,若触发之后WAF会采取的行动,有阻断、验证码等,其他常见的安全管理可认为是安全规则集,可对这些安全规则集进行增删查改,每个安全规则集都有对应的ID、描述、是否启用等在表格中呈现,以便方便人员的管理。
同时,检测防御系统包括检测模块、防御模块、重定向模块和阻断模块,其中重定向模块和阻断模块组成防御模块,系统首先将收到的请求复制两份,在正常状态下,只有检测模块搜集接收到的请求并进行分析,而防御模块并不产生动作,当检测模块检测到攻击存在时,系统就开始启动防御机制,对同一类型请求数量最多的请求进行重定向操作,重定向模块还需检查客户端对重定向请求的响应,并把响应结果传递给阻断模块,由阻断模块决定是对该客户端执行阻断策略还是将其原请求转发至服务器。
另外,一种多应用场景的CC防御方法,包括以下步骤:
S1、当攻击者向被保护主机发起CC攻击时,Web应用防火墙的安全模块发现大量并发TCP/IP请求,在交付受保护的服务器同时转发给检测防御系统,检测防御系统也执行相应的检测与阻断工作;
S2、当检测防御系统工作至近乎满负荷甚至有拒绝服务的趋势时,发送反馈数据包给Web应用防火墙;
S3、防火墙收到检测防御系统的反馈数据包后,暂停转发数据包,由于CC攻击一般采用的是僵尸网络或者代理服务器,根据这个特性,防火墙根据流量统计的数据向每个请求发起者发送随机验证码并等待响应;
S4、如果某请求发起者回复正确验证码,继续对此IP的数据包进行转发;如果对方对验证码的响应超时,则直接加入黑名单,禁止此IP的任何访问请求;如果没有正确回复验证码,则同样将此IP加人黑名单,禁止此IP的任何访问请求。
本发明的有益效果是:
通过设置Web应用防火墙与检测防御系统,且检测防御系统以独立设备的形式部署在被保护主机的前端,以达到保护目标主机的目的,当受到CC攻击时,由Web应用防火墙与检测防御系统配合,从而有效抵御Web服务器CC攻击,从而满足多应用场景的CC防御需求。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (8)
1.一种多应用场景的CC防御系统,其特征在于,包括Web应用防火墙应用网关,其包括起到Web应用防火墙的安全模块WAF,Web化后台管理的前端模块FrontEnd,起到负载均衡、配置证书和数据保护等其他功能性的模块;
其中,所述安全模块包含了基于签名检测的规则集模块、基于异常检测模块和日志部分,所述安全模块还包括检测防御系统;
所述检测防御系统以独立设备的形式部署在被保护主机的前端,以达到保护目标主机,同时尽量降低对正常客户访问的影响的目的。
2.根据权利要求1所述的一种多应用场景的CC防御系统,其特征在于,所述前端模块为管理端功能模块,包括有证书管理、应用管理、异常检测管理、用户管理、日志管理和安全模块管理。
3.根据权利要求1所述的一种多应用场景的CC防御系统,其特征在于,所述证书管理包括管理人员统一管理证书和私钥,避免用户直接接触到证书私钥,降低证书私钥泄露风险,保障HTTPS通信的安全性,可以对证书进行增删查改操作,并且设置其有效日期,所述应用管理包括管理人员在启动安全监测时必须先配置好受保护应用目标,包含应用名称、HTTP或HTTPS通信、端口与地址、域名、是否使用证书等等,以及是否通过WAF安全检测,根据不同的应用在不同的场景可更改不同的功能。
4.根据权利要求1所述的一种多应用场景的CC防御系统,其特征在于,所述异常检测管理主要是对配置好的应用是否进行异常检测,但在进行异常检测的时候会影响到系统的性能,因此主要运用到敏感数据和安全性能要求较高的网站上,所述用户管理能够对管理用户人员进行增删查改。
5.根据权利要求1所述的一种多应用场景的CC防御系统,其特征在于,所述日志管理主要是对CC Log和WAF log进行可视化表格处理,可让管理人员清晰的查看受到的攻击类型、时间、次数以及WAF做出的行为,以便更好的根据实时情况来更改应用配置,所述安全模块管理分为CC安全管理和其他常见安全规则管理两部分,CC安全管理模块主要是对CC规则的设置,可设置对统一URL、Cookie和User Agent在一定时间内最大响应次数,若触发之后WAF会采取的行动,有阻断、验证码等,其他常见的安全管理可认为是安全规则集,可对这些安全规则集进行增删查改,每个安全规则集都有对应的ID、描述、是否启用等在表格中呈现,以便方便人员的管理。
6.根据权利要求1所述的一种多应用场景的CC防御系统,其特征在于,所述检测防御系统包括检测模块、防御模块、重定向模块和阻断模块,其中重定向模块和阻断模块组成防御模块。
7.根据权利要求6所述的一种多应用场景的CC防御系统,其特征在于,所述系统首先将收到的请求复制两份,在正常状态下,只有检测模块搜集接收到的请求并进行分析,而防御模块并不产生动作,当检测模块检测到攻击存在时,系统就开始启动防御机制,对同一类型请求数量最多的请求进行重定向操作,重定向模块还需检查客户端对重定向请求的响应,并把响应结果传递给阻断模块,由阻断模块决定是对该客户端执行阻断策略还是将其原请求转发至服务器。
8.根据权利要求1-7所述的一种多应用场景的CC防御系统,提出一种多应用场景的CC防御方法,其特征在于,包括以下步骤:
S1、当攻击者向被保护主机发起CC攻击时,Web应用防火墙的安全模块发现大量并发TCP/IP请求,在交付受保护的服务器同时转发给检测防御系统,检测防御系统也执行相应的检测与阻断工作;
S2、当检测防御系统工作至近乎满负荷甚至有拒绝服务的趋势时,发送反馈数据包给Web应用防火墙;
S3、防火墙收到检测防御系统的反馈数据包后,暂停转发数据包,由于CC攻击一般采用的是僵尸网络或者代理服务器,根据这个特性,防火墙根据流量统计的数据向每个请求发起者发送随机验证码并等待响应;
S4、如果某请求发起者回复正确验证码,继续对此IP的数据包进行转发;
如果对方对验证码的响应超时,则直接加入黑名单,禁止此IP的任何访问请求;如果没有正确回复验证码,则同样将此IP加人黑名单,禁止此IP的任何访问请求。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310912339.8A CN116866051A (zh) | 2023-07-23 | 2023-07-23 | 一种多应用场景的cc防御系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310912339.8A CN116866051A (zh) | 2023-07-23 | 2023-07-23 | 一种多应用场景的cc防御系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116866051A true CN116866051A (zh) | 2023-10-10 |
Family
ID=88224933
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310912339.8A Pending CN116866051A (zh) | 2023-07-23 | 2023-07-23 | 一种多应用场景的cc防御系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116866051A (zh) |
-
2023
- 2023-07-23 CN CN202310912339.8A patent/CN116866051A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI294726B (zh) | ||
Kargl et al. | Protecting web servers from distributed denial of service attacks | |
US8091132B2 (en) | Behavior-based traffic differentiation (BTD) for defending against distributed denial of service (DDoS) attacks | |
US7478429B2 (en) | Network overload detection and mitigation system and method | |
US7246376B2 (en) | Method and apparatus for security management in a networked environment | |
US8661522B2 (en) | Method and apparatus for probabilistic matching to authenticate hosts during distributed denial of service attack | |
EP1319296B1 (en) | System and process for defending against denial of service attacks on networks nodes | |
KR100908404B1 (ko) | 분산서비스거부공격의 방어방법 및 방어시스템 | |
EP1832084A1 (en) | Network intrusion prevention | |
US20090007266A1 (en) | Adaptive Defense System Against Network Attacks | |
US8543807B2 (en) | Method and apparatus for protecting application layer in computer network system | |
US20070300304A1 (en) | SIP washing machine | |
Arafat et al. | A practical approach and mitigation techniques on application layer DDoS attack in web server | |
KR20110049282A (ko) | 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법 | |
CN110213204B (zh) | 攻击防护方法及装置、设备及可读存储介质 | |
Wankhede | Study of network-based DoS attacks | |
Paharia et al. | DDoS Detection and Mitigation in cloud via FogFiter: a defence mechanism | |
CN116866051A (zh) | 一种多应用场景的cc防御系统 | |
WO2007122495A2 (en) | A framework for protecting resource-constrained network devices from denial-of-service attacks | |
JP2006501527A (ja) | ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム | |
CN108777680B (zh) | 一种在物联网中基于多点防御的ssdp反射攻击的防御方法与防御装置 | |
WO2008086224A2 (en) | Systems and methods for detecting and blocking malicious content in instant messages | |
Fu et al. | An autoblocking mechanism for firewall service | |
Chen | Distributed denial of service attack and defense | |
KR101231801B1 (ko) | 네트워크 상의 응용 계층 보호 방법 및 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |