KR102260435B1 - 데이터 처리 방법 및 장치 - Google Patents

데이터 처리 방법 및 장치 Download PDF

Info

Publication number
KR102260435B1
KR102260435B1 KR1020190142054A KR20190142054A KR102260435B1 KR 102260435 B1 KR102260435 B1 KR 102260435B1 KR 1020190142054 A KR1020190142054 A KR 1020190142054A KR 20190142054 A KR20190142054 A KR 20190142054A KR 102260435 B1 KR102260435 B1 KR 102260435B1
Authority
KR
South Korea
Prior art keywords
domain name
security
eip
data processing
security domain
Prior art date
Application number
KR1020190142054A
Other languages
English (en)
Other versions
KR20200102328A (ko
Inventor
벤준 예
사오옌 왕
빙 황
Original Assignee
베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디. filed Critical 베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디.
Publication of KR20200102328A publication Critical patent/KR20200102328A/ko
Application granted granted Critical
Publication of KR102260435B1 publication Critical patent/KR102260435B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames
    • H04L61/3015Name registration, generation or assignment
    • H04L61/3025Domain name generation or assignment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • H04L61/1511
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames
    • H04L61/301Name conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/663Transport layer addresses, e.g. aspects of transmission control protocol [TCP] or user datagram protocol [UDP] ports

Abstract

본 발명의 실시예는 데이터 처리 방법 및 장치를 개시한다. 상기 방법의 하나의 실시를 위한 형태는, 타겟 도메인 네임에 액세스 하기 위한 액세스 요청을 수신하는 단계; 타겟 도메인 네임을 기설정된 하이시큐리티 도메인 네임으로 변환하는 단계; 도메인 네임 시스템에서 하이시큐리티 도메인 네임에 대응되는 IP를 조회하는 단계; 및 하이시큐리티 도메인 네임에 대응되는 IP에 따라 액세스 요청을 발송하는 단계를 포함하고, 타겟 도메인 네임에 대응되는 EIP가 블랙홀을 작동하면, 도메인 네임 시스템에서 하이시큐리티 도메인 네임에 대응되는 IP는 기설정된 하이시큐리티 IP이고, 그렇지 않으면, 도메인 네임 시스템에서 하이시큐리티 도메인 네임에 대응되는 IP는 타겟 도메인 네임의 EIP이다. 상기 실시형태는 블랙홀 트리거로부터 블랙홀 해제에 이르는 전반 과정에서 사용자가 하이시큐리티 IP의 스케줄링에 참여할 필요 없이 완전히 자동화로 하이시큐리티 IP의 변환을 완료할 수 있다. 상기 양태는 공격을 받은 경우에 서비스의 가용성을 보장하고 또한 정상적인 상황에서 최상의 사용자 서비스 체험을 보장한다.

Description

데이터 처리 방법 및 장치{METHOD AND DEVICE FOR PROCESSING DATA}
본 발명의 실시예는 컴퓨터 기술 분야에 관한 것으로, 구체적으로는 데이터 처리 방법 및 장치에 관한 것이다.
현재 클라우드 룸은 총 대역폭이 제한되어 있어, DDoS(Distributed Denial of Service, 분산 서비스 거부 공격, 네트워크상의 대량의 제어된 컴퓨터에서 시작된 대규모의 공동 서비스 거부 공격을 가리킴) 공격에 대한 EIP(Elastic IP, 탄력적 공인 IP)의 방어 능력이 한정된다. 클라우드 룸의 사용자 EIP가 대규모 DDoS 공격을 받으면, 각 운영자를 호출하여 공격 받은 EIP에 블랙홀을 작동시켜, EIP에 액세스하는 모든 트래픽을 클라우드 룸으로 진입하지 못하도록 차단시키며, 블랙홀은 하루 동안 지속된다. 블랙홀은 전체 클라우드 룸 네트워크에 미치는 DDoS 공격의 영향을 해결하고 대부분 사용자의 서비스 안정성을 보장하나, 해당 EIP를 사용하는 사용자의 경우, 블랙홀 기간 내에는 해당 EIP를 계속 사용하여 서비스를 제공할 수 없게 된다.
EIP가 공격 받은 후 블랙홀 트리거로 인한 서비스 사용 불가를 방지하기 위해, 사용자는 하이시큐리티 IP를 구매하여 더 높은 공격 방어 기능을 누리고 서비스 사용을 보장할 수 있다. 그러나 사용자 서비스에 대한 DDoS 공격은 자주 발생하지 않으며, 일반적인 상황에서 사용자 서비스에 액세스하는 트래픽은 EIP에 직접 액세스하지 않고, 하이시큐리티 IP를 통해 EIP에 도달하므로 체험감이 더 나아지지는 않는다. 하이시큐리티 IP의 수량은 한정되어 있고 동일한 사용자가 구입한 하이시큐리티 IP의 수량도 한정되어 있어, 사용자가 대량의 EIP를 위해 하이시큐리티 서비스를 구매해야 하는 경우에는 이를 만족시킬 수 없게 된다.
본 발명의 실시예는 데이터 처리 방법 및 장치를 제시한다.
제1 양태에 따르면, 본 발명의 실시예는 타겟 도메인 네임에 액세스 하기 위한 액세스 요청을 수신하는 단계; 상기 타겟 도메인 네임을 기설정된 하이시큐리티 도메인 네임으로 변환하는 단계; 도메인 네임 시스템에서 상기 하이시큐리티 도메인 네임에 대응되는 IP를 조회 하는 단계; 및 상기 하이시큐리티 도메인 네임에 대응되는 IP에 따라 상기 액세스 요청을 발송하는 단계를 포함하고, 상기 타겟 도메인 네임에 대응되는 EIP가 블랙홀을 작동하면, 상기 도메인 네임 시스템에서 상기 하이시큐리티 도메인 네임에 대응되는 IP는 기설정된 하이시큐리티 IP이고, 그렇지 않으면, 상기 도메인 네임 시스템에서 상기 하이시큐리티 도메인 네임에 대응되는 IP는 상기 타겟 도메인 네임의 EIP를 포함하는 데이터 처리 방법을 제공한다.
일부 실시예에서, 상기 타겟 도메인 네임을 기설정된 하이시큐리티 도메인 네임으로 변환하는 단계 이전에, 상기 데이터 처리 방법은, 하이시큐리티 도메인 네임을 구축하는 단계; 상기 타겟 도메인 네임에 대응되는 EIP, 상기 EIP가 속하는 영역 및 TCP 서비스에 기반한 포트에 대한 헬스 점검을 구성하는 단계; 상기 하이시큐리티 도메인 네임으로부터 상기 EIP로 파싱하는 기록을 구축하는 단계; 및 상기 타겟 도메인 네임으로부터 상기 하이시큐리티 도메인 네임으로 파싱하는 기록을 구축하는 단계를 더 포함한다.
일부 실시예에서, 상기 데이터 처리 방법은, 상기 EIP가 공격을 받아 블랙홀을 작동시킴을 감지한 것에 응답하여, 하이시큐리티 IP를 구축하는 단계; 상기 하이시큐리티 IP로부터 상기 EIP로 복귀하는 포워딩 규칙을 구축하는 단계; 및 도메인 네임 시스템을 호출하여 하이시큐리티 도메인 네임을 하이시큐리티 IP로 파싱 및 변환하는 단계를 더 포함한다.
일부 실시예에서, 상기 데이터 처리 방법은, 상기 EIP가 블랙홀을 종료함을 감지한 것에 응답하여, 도메인 네임 시스템을 호출하여 하이시큐리티 도메인 네임을 EIP로 파싱 및 변환하는 단계를 더 포함한다.
일부 실시예에서, 상기 데이터 처리 방법은, 상기 하이시큐리티 IP 및 상기 포워딩 규칙을 삭제하는 단계; 및 상기 하이시큐리티 IP를 사용 가능한 풀에 회수하는 단계를 더 포함한다.
제2 양태에 따르면, 본 발명의 실시예는 타겟 도메인 네임에 액세스 하기 위한 액세스 요청을 수신하는 수신 유닛; 상기 타겟 도메인 네임을 기설정된 하이시큐리티 도메인 네임으로 변환하는 변환 유닛; 도메인 네임 시스템에서 상기 하이시큐리티 도메인 네임에 대응되는 IP를 조회하는 조회 유닛; 및 상기 하이시큐리티 도메인 네임에 대응되는 IP에 따라 상기 액세스 요청을 발송하는 발송 유닛을 포함하고, 상기 타겟 도메인 네임에 대응되는 EIP가 블랙홀을 작동하면, 상기 도메인 네임 시스템에서 상기 하이시큐리티 도메인 네임에 대응되는 IP는 기설정된 하이시큐리티 IP이고, 그렇지 않으면, 상기 도메인 네임 시스템에서 상기 하이시큐리티 도메인 네임에 대응되는 IP는 상기 타겟 도메인 네임의 EIP인 데이터 처리 장치를 제공한다.
일부 실시예에서, 상기 데이터 처리 장치는 구성 유닛을 더 포함하고, 상기 구성 유닛은, 상기 타겟 도메인 네임을 기설정된 하이시큐리티 도메인 네임으로 변환하는 단계 이전에, 하이시큐리티 도메인 네임을 구축하고, 상기 타겟 도메인 네임에 대응되는 EIP, 상기 EIP가 속하는 영역 및 TCP 서비스에 기반한 포트에 대한 헬스 점검을 구성하며, 상기 하이시큐리티 도메인 네임으로부터 상기 EIP로 파싱하는 기록을 구축하고, 상기 타겟 도메인 네임으로부터 상기 하이시큐리티 도메인 네임으로 파싱하는 기록을 구축한다.
일부 실시예에서, 상기 데이터 처리 장치는 스케줄링 유닛을 더 포함하고, 상기 스케줄링 유닛은, 상기 EIP가 공격을 받아 블랙홀을 작동시킴을 감지한 것에 응답하여, 하이시큐리티 IP를 구축하고, 상기 하이시큐리티 IP로부터 상기 EIP로 복귀하는 포워딩 규칙을 구축하며, 도메인 네임 시스템을 호출하여 하이시큐리티 도메인 네임을 하이시큐리티 IP로 파싱 및 변환한다.
일부 실시예에서, 상기 스케줄링 유닛은 또한, 상기 EIP가 블랙홀을 종료함을 감지한 것에 응답하여, 도메인 네임 시스템을 호출하여 하이시큐리티 도메인 네임을 EIP로 파싱 및 변환한다.
일부 실시예에서, 상기 스케줄링 유닛은 또한, 상기 하이시큐리티 IP 및 상기 포워딩 규칙을 삭제하고, 상기 하이시큐리티 IP를 사용 가능한 풀에 회수한다.
제3 양태에 따르면, 본 발명의 실시예는 하나 또는 복수의 프로세서; 및 하나 또는 복수의 프로그램이 저장된 저장 장치를 포함하는 전자 기기에 있어서, 하나 또는 복수의 프로그램이 하나 또는 복수의 프로세서에 의해 실행될 경우, 하나 또는 복수의 프로세서가 제1 양태 중 임의의 데이터 처리 방법을 구현하도록 하는 전자 기기를 제공한다.
제4 양태에 따르면, 본 발명의 실시예는 컴퓨터 프로그램이 저장되고, 컴퓨터 프로그램이 프로세서에 의해 실행될 경우 제1 양태 중 임의의 데이터 처리 방법을 구현하는 컴퓨터 판독 가능 매체를 제공한다.
본 발명의 실시예에 의해 제공된 데이터 처리 방법 및 장치에 있어서, 정상적인 상황에서 사용자가 도메인 네임에 액세스하는 트래픽은 직접 EIP에 도달한다. EIP가 공격을 받아 블랙홀을 트리거하면, 액세스 트래픽은 하이시큐리티 IP를 거쳐 다시 EIP에 도달하고, EIP블랙홀이 해제되면, 액세스 트래픽은 자동으로 변환되어 직접 EIP에 도달한다. EIP의 블랙홀 트리거로부터 블랙홀 해제에 이르는 전체 과정은 사용자가 참여할 필요 없이 자동으로 완료되므로, 상기 양태는 공격을 받은 경우에 서비스의 가용성을 보장하고 또한 정상적인 상황에서 최상의 사용자 서비스 체험을 보장한다.
아래 첨부 도면에 도시된 비제한적인 실시예의 상세한 설명에 대한 열독 및 참조를 통해 본 발명의 다른 특징, 목적 및 이점이 보다 명백해질 것이다.
도 1은 본 발명의 일 실시예를 적용 가능한 예시적인 시스템 아키텍처이다.
도 2는 본 발명에 따른 데이터 처리 방법의 일 실시예의 흐름도이다.
도 3a, 도 3b는 본 발명에 따른 데이터 처리 방법의 하나의 응용 상황의 모식도이다.
도 4는 본 발명에 따른 데이터 처리 방법의 다른 실시예의 흐름도이다.
도 5는 본 발명에 따른 데이터 처리 장치의 일 실시예의 구조 모식도이다.
도 6은 본 발명 실시예의 전자 기기를 구현하기에 적합한 컴퓨터 시스템의 구조 모식도이다.
이하 첨부 도면 및 실시예를 결부시켜 본 발명을 더욱 상세히 설명한다. 여기서 설명되는 구체적인 실시예는 관련 발명을 해석하기 위한 것일 뿐 본 발명은 이에 한정되지 않음을 이해할 수 있을 것이다. 이 밖에, 설명의 편의를 위해 도면에는 해당 발명과 관련된 부분만이 도시되었음을 유의해야 한다.
충돌되지 않는 한 본 발명의 실시예 및 실시예의 특징은 서로 결합될 수 있음에 유의해야 한다. 이하 첨부 도면을 참조하고 실시예를 결부시켜 본 발명을 상세히 설명하기로 한다.
도 1은 본 발명의 데이터 처리 방법 또는 데이터 처리 장치를 적용 가능한 실시예의 예시적인 시스템 아키텍처(100)를 도시한다.
도 1에 도시된 바와 같이, 시스템 아키텍처(100)에는 서버(101), DNS(Domain Name System , 도메인 네임 시스템)(102), 클리닝 기기(103) 및 백엔드 서버(104)가 포함될 수 있다. 네트워크는 서버(101), DNS(102), 클리닝 기기(103) 및 백엔드 서버(104) 사이에서 통신 링크를 제공하는 매체에 사용된다. 네트워크는 예를 들어, 유선, 무선 통신 링크 또는 광섬유 케이블 등 다양한 연결 타입을 포함할 수 있다.
클리닝 기기(103)의 IP 주소는, 타겟 도메인 네임에 액세스 하는 데이터를 필터링하고 필터링된 정상적인 트래픽을 소스 스테이션 IP로 복귀시키기 위한 하이시큐리티 IP이다. 하이시큐리티 IP는, 인터넷 서버가 대규모 트래픽의 DDoS 공격을 받은 후 서비스 사용 불가 상황하에 출시된 유료 부가 서비스로서, 사용자는 하이시큐리티 IP를 구성하여 공격 트래픽을 하이시큐리티 IP에 도입시킴으로써 소스 스테이션의 안정성 및 신뢰성을 보장할 수 있다. 사용자는 하이시큐리티 IP를 구입한 후, 도메인 네임을 하이시큐리티 IP로 파싱하는 동시에 하이시큐리티 IP에 포워딩 규칙을 설정한다. 모든 공용 네트워크 트래픽은 모두 하이시큐리티 기계실로 이동되고 포트 프로토콜을 포워딩하는 방식으로, 사용자의 액세스를 하이시큐리티 IP를 통해 소스 스테이션 IP에 포워딩하는 동시에, 악의적인 공격 트래픽을 하이시큐리티 IP에서 클리닝 및 필터링한 후 정상적인 트래픽을 소스 스테이션 IP에 리턴시킴으로써, 소스 스테이션 IP에 안정적으로 액세스하는 보호 서비스를 보장한다.
백엔드 서버(104)는 DDoS의 공격을 받은 서버이고, 그 IP는 EIP이다.
서버(101)는 다양한 서비스를 제공하는 서버일 수 있고, DNS의 내용을 수정할 수 있다. EIP가 블랙홀을 작동할 경우, 서버(101)는 DNS 중 하이시큐리티 도메인 네임에 대응되는 IP를 하이시큐리티 IP로 수정하고, EIP가 블랙홀을 닫을 경우, 서버(101)는 DNS 중 하이시큐리티 도메인 네임에 대응되는 IP를 EIP로 수정한다. 서버(101)는, 목적지가 백엔드 서버인 수신된 액세스 요청의 도메인 네임을 하이시큐리티 도메인 네임으로 수정할 수 있다. EIP가 블랙홀을 작동하면, 서버(101)는 액세스 요청을 하이시큐리티 IP에 대응되는 클리닝 기기에 발송할 수 있으며, 클리닝 기기에 의해 필터링된 후 다시 백엔드 서버에 복귀되고, EIP가 블랙홀을 닫으면, 서버(101)는 액세스 요청을 직접 백엔드 서버에 발송한다.
설명해야 할 것은, 서버는 하드웨어 또는 소프트웨어 일 수 있으며, 서버가 하드웨어인 경우, 복수의 서버로 구성된 분산형 서버 클러스터 또는 단일 서버로 구현될 수 있다. 서버가 소프트웨어 인 경우, 복수의 소프트웨어 또는 소프트웨어 모듈(예를 들어, 분산형 서비스를 제공하기 위한 복수의 소프트웨어 또는 소프트웨어 모듈) 또는 단일 소프트웨어 또는 소프트웨어 모듈로 구현될 수 있으며 여기서 구체적으로 한정하지 않는다.
설명해야 할 것은, 본 발명의 실시예에 의해 제공된 데이터 처리 방법은 일반적으로 서버(101)에 의해 수행되고, 대응되게, 데이터 처리 장치는 일반적으로 서버(101)에 설치된다.
도 1 의 서버, DNS, 클리닝 기기 및 백엔드 서버의 수량은 단지 예시적인 것일 뿐 필요에 따라 임의의 수량의 서버, DNS, 클리닝 기기 및 백엔드 서버가 구비될 수 있음을 이해해야 한다.
계속해서 도 2를 참조하면, 이는 본 발명에 따른 데이터 처리 방법의 일 실시예의 흐름(200)을 도시한다. 상기 데이터 처리 방법은 하기 단계를 포함한다.
단계 (201)에서, 타겟 도메인 네임에 액세스 하기 위한 액세스 요청을 수신한다.
본 실시예에서, 데이터 처리 방법의 수행주체(예를 들어, 도 1에 도시된 서버)는 유선 또는 무선 연결 방식을 통해 네트워크로부터 타겟 도메인 네임에 대응되는 서버에 의해 액세스되는 액세스 요청을 수신할 수 있다. 액세스 요청에는 타겟 도메인 네임이 지시되고 타겟 도메인 네임은 DNS 내에서 EIP에 대응된다.
단계 (202)에서, 타겟 도메인 네임을 기설정된 하이시큐리티 도메인 네임으로 변환한다.
본 실시예에서, 액세스 요청 내의 타겟 도메인 네임을 기설정된 하이시큐리티 도메인 네임으로 변환한다. 하이시큐리티 도메인 네임은 클리닝 기기의 도메인 네임이고, 하이시큐리티 도메인 네임은 DNS 내에서 EIP에 대응될 수 있으며 하이시큐리티 IP에 대응될 수도 있다. EIP가 블랙홀을 작동할 경우, 서버는 DNS 중 하이시큐리티 도메인 네임에 대응되는 IP를 하이시큐리티 IP로 수정하고, EIP가 블랙홀을 닫을 경우, 서버는 DNS 중 하이시큐리티 도메인 네임에 대응되는 IP를 EIP로 수정한다. 여기서 블랙홀은 기계실의 블랙홀일 수 있으며 운영사의 블랙홀일 수도 있다. 대규모 트래픽 공격이 발생하면, DDoS 방어 시스템은 운영사 블랙홀을 호출하고 운영사 측에서 트래픽을 버림으로써, 기계실 대역폭에 대한 DDoS 공격의 압력을 크게 완화시킬 수 있다.
단계 (203)에서, 도메인 네임 시스템에서 하이시큐리티 도메인 네임에 대응되는 IP를 조회한다.
본 실시예에서, 타겟 도메인 네임에 대응되는 EIP가 블랙홀을 작동하면, 도메인 네임 시스템에서 하이시큐리티 도메인 네임에 대응되는 IP는 기설정된 하이시큐리티 IP이고, 그렇지 않으면, 도메인 네임 시스템에서 하이시큐리티 도메인 네임에 대응되는 IP는 타겟 도메인 네임의 EIP이다.
단계 (204)에서, 하이시큐리티 도메인 네임에 대응되는 IP에 따라 액세스 요청을 발송한다.
본 실시예에서, EIP가 블랙홀을 작동하면, 서버는 액세스 요청을 하이시큐리티 IP에 대응되는 클리닝 기기에 발송하고, 클리닝 기기에 의해 필터링된 후 다시 백엔드 서버에 복귀시킬 수 있다. EIP가 블랙홀을 닫으면, 서버는 액세스 요청을 직접 백엔드 서버에 발송할 수 있다.
본 실시예의 일부 선택 가능한 실시형태에서, 단계 (201 - 203)을 수행하기 이전에 하기와 같은 일부 배치를 수행할 수 있다.
1) 스케줄링을 구축하는 구현예에서, 하이시큐리티 도메인 네임이 생성된다. 하이시큐리티 서비스 제공 업체에 의해 제공된 하이시큐리티 도메인 네임 리스트에서 하이시큐리티 도메인 네임을 선택할 수 있으며, 사용자가 하이시큐리티 도메인 네임을 자체로 정의하여 생성할 수도 있다.
2) 스케줄링 구성 구현예에서, 스케줄링할 EIP, EIP가 속하는 영역 및 TCP 서비스에 기반한 포트에 대한 헬스 점검(스케줄링 단계에서 하이시큐리티 기기가 백엔드 서버로 복귀하는 과정에서 네트워크의 원활 여부를 점검하는데 사용됨)을 구성한다. 스케줄링 구현예를 구성한 후 DNS에서 하이시큐리티 도메인 네임으로부터 EIP로 파싱하는 기록을 구축한다.
3) DNS에서 타겟 도메인 네임으로부터 하이시큐리티 도메인 네임으로 파싱하는 CNAME 기록을 구축한다.
계속해서 도 3a, 도 3b를 참조하면, 도 3a, 도 3b는 본 실시예에 따른 데이터 처리 방법의 응용 상황의 모식도이다. 도 3a에 도시된 바와 같이, EIP가 블랙홀을 작동하지 않을 경우, DNS 내의 하이시큐리티 도메인 네임에 대응되는 IP는 타겟 도메인 네임의 EIP이다. 서버는 타겟 도메인 네임의 액세스 요청을 수신할 경우, 타겟 도메인 네임을 하이시큐리티 도메인 네임으로 변환하고, DNS에서 하이시큐리티 도메인 네임에 대응되는 IP(즉 EIP)를 획득한 후, 다시 액세스 요청을 EIP에 대응되는 백엔드 서버에 발송한다. 도 3b에 도시된 바와 같이, EIP가 블랙홀을 작동하면, DNS 내의 하이시큐리티 도메인 네임에 대응되는 IP는 하이시큐리티 IP이다. 서버는 타겟 도메인 네임의 액세스 요청을 수신할 경우, 타겟 도메인 네임을 하이시큐리티 도메인 네임을 변환하고 DNS에서 하이시큐리티 도메인 네임에 대응되는 IP(즉 하이시큐리티 IP)를 획득한 후, 다시 액세스 요청을 하이시큐리티 IP에 대응되는 클리닝 기기에 발송하고, 액세스 요청을 클리닝한 후 전용 라인을 통해 EIP에 대응되는 백엔드 서버에 복귀시킨다.
본 발명의 상기 실시예에 의해 제공된 데이터 처리 방법은 하기 이점을 가진다.
1. 하이시큐리티 IP는 DDOS 공격시에만 사용될 뿐 기타 시간에는 다른 공격을 받은 서버에 공유될 수 있으므로, 사용자는 해당 해결수단의 계약 비용만 지불할 뿐 비싼 IP 방어 비용을 부담 할 필요가 없다. 이는 하이시큐리티 IP의 사용 효율을 크게 향상시킬 뿐만 아니라 여러 사용자가 사용 비용을 분담할 수 있게 된다.
2. 사용자는 콘솔에서 각 EIP에 수동으로 하이시큐리티 IP를 구입할 필요가 없이 일련의 포트 포워팅 규칙을 구성하면 되므로, 사용자가 콘솔에서 구성해야 하는 번거로움을 방지한다.
3. 상기 해결수단은 최상의 사용자 서비스 체험을 보장하며, 정상적인 상황에서 백엔드 서버에 대한 엑세스는 EIP를 통해 직접 도달하므로, EIP가 공격을 받아 블랙홀을 트리거하면 백엔드 서버에 대한 액세스는 하이시큐리티 IP를 통해 EIP에 복귀되어 서비스의 가용성을 보장한다.
4. 하이시큐리티 IP는 필요에 따라 사용할 수 있으므로 이는 사용자가 하이시큐리티 IP를 구입하는 수량에 대한 제한을 제거하여 동일한 사용자가 대량의 EIP에 자동화 스케줄링 서비스를 구성할 수 있게 된다.
도 4를 추가로 참조하면, 이는 데이터 처리 방법의 또 다른 실시예의 흐름(400)을 도시한다. 상기 데이터 처리 방법의 흐름(400)은 하기 단계를 포함한다.
단계 (401)에서, EIP가 공격을 받아 블랙홀을 작동시킴을 감지한 것에 응답하여, 하이시큐리티 IP를 구축한다.
본 실시예에서, 서버는 백엔드 서버에 의해 발송된 블랙홀 작동 메시지를 수신한 후, 하이시큐리티 IP를 구축한다. 하이시큐리티 IP는 서비스 제공 업체에서 구입한 하이시큐리티 IP일 수 있다.
단계 (402)에서, 하이시큐리티 IP로부터 EIP로 복귀하는 포워딩 규칙을 구축한다.
본 실시예에서, 하이시큐리티 IP가 EIP에 복귀되어 포워딩되는 경우 포트의 대응 관계를 구성한다. 예를 들어, 하이시큐리티 IP의 포트(80)는 EIP의 포트(80)에 대응된다. 하이시큐리티 IP가 수신한, 포트가 80인 데이터를 EIP의 포트(80)에 포워딩한다.
단계 (403)에서, 도메인 네임 시스템을 호출하여 하이시큐리티 도메인 네임을 하이시큐리티 IP로 파싱 및 변환한다.
본 실시예에서, DNS 내의 하이시큐리티 도메인 네임에 대응되는 IP를 수정하고, 원래 대응되는 EIP를 하이시큐리티 IP로 수정한다. 이에 따라, EIP가 블랙홀을 작동한 후, DNS 파싱을 거친 결과, 타겟 도메인 네임에 액세스 할 경우, 실제로 액세스되는 것은 하이시큐리티 IP이다. 요청된 트래픽은 우선 하이시큐리티 기계실에 도착한 후 전용 라인을 통해 사용자 EIP로 복귀되고 최종적으로 백엔드 서버에 도달한다.
단계 (404)에서, EIP가 블랙홀을 종료함을 감지한 것에 응답하여, 도메인 네임 시스템을 호출하여 하이시큐리티 도메인 네임을 EIP로 파싱 및 변환한다.
본 실시예에서, EIP블랙홀이 종료되는 경우, 우선 DNS를 호출하여 하이시큐리티 도메인 네임을 EIP로 파싱 및 변환시킨다. 이에 따라, DNS 파싱을 거친 결과, 타겟 도메인 네임에 액세스할 경우, 직접 EIP에 액세스하고 요청된 트래픽은 직접 클라우드 룸에 도달된다.
단계 (405)에서, 하이시큐리티 IP 및 포워딩 규칙을 삭제하고, 하이시큐리티 IP를 사용 가능한 풀에 회수한다.
본 실시예에서, DNS 내의 하이시큐리티 도메인 네임의 IP를 EIP로 변환시키고나서 몇분 뒤 하이시큐리티 IP, 포워딩 규칙을 삭제하고, 하이시큐리티 IP를 사용 가능한 풀에 회수한다.
도 4에서 보아낼 수 있다시피, 도 2에 대응되는 실시예에 비해, 본 실시예의 데이터 처리 방법의 흐름(400)은 DNS를 스케줄링하는 단계를 구현한다. 이에 따라, 본 실시예에 설명된 실시형태는 타겟 도메인 네임에 대응되는 IP를 동적으로 조정할 수 있어, EIP와 하이시큐리티 IP 사이의 자유 변환을 구현할 수 있다.
도 5를 추가로 참조하면, 상기 각 도면에 도시된 방법의 구현으로서, 본 발명은 데이터 처리 장치의 일 실시예를 제공한다. 상기 장치 실시예는 도 2에 도시된 방법 실시예와 대응되며, 구체적으로 각 전자 기기에 적용될 수 있다.
도 5에 도시된 바와 같이, 본 실시예의 데이터 처리 장치(500)는 수신 유닛(501), 변환 유닛(502), 조회 유닛(503) 및 발송 유닛(504)을 포함한다. 여기서, 수신 유닛(501)은 타겟 도메인 네임에 액세스 하기 위한 액세스 요청을 수신하고, 변환 유닛(502)은 타겟 도메인 네임을 기설정된 하이시큐리티 도메인 네임으로 변환하며, 조회 유닛(503)은 도메인 네임 시스템에서 하이시큐리티 도메인 네임에 대응되는 IP를 조회하고, 발송 유닛(504)은 하이시큐리티 도메인 네임에 대응되는 IP에 따라 액세스 요청을 발송한다. 여기서 타겟 도메인 네임에 대응되는 EIP가 블랙홀을 작동하면, 도메인 네임 시스템에서 하이시큐리티 도메인 네임에 대응되는 IP는 기설정된 하이시큐리티 IP이고, 그렇지 않으면, 도메인 네임 시스템에서 하이시큐리티 도메인 네임에 대응되는 IP는 타겟 도메인 네임의 EIP이다.
본 실시예에서, 데이터 처리 장치(500)의 수신 유닛(501), 변환 유닛(502), 조회 유닛(503) 및 발송 유닛(504)의 구체적인 처리는 도 2에 대응되는 실시예의 단계 (201), 단계 (202), 단계 (203), 단계 (204)를 참조할 수 있다.
본 실시예의 일부 선택 가능한 실시형태에서, 장치(500)는 구성 유닛(도면에 도시되지 않음)을 더 포함하고, 상기 구성 유닛은, 타겟 도메인 네임을 기설정된 하이시큐리티 도메인 네임으로 변환하는 단계 이전에, 하이시큐리티 도메인 네임을 구축하고, 타겟 도메인 네임에 대응되는 EIP, EIP가 속하는 영역 및 TCP 서비스에 기반한 포트에 대한 헬스 점검을 구성하며, 하이시큐리티 도메인 네임으로부터 EIP로 파싱하는 기록을 구축하고, 타겟 도메인 네임으로부터 하이시큐리티 도메인 네임으로 파싱하는 기록을 구축한다.
본 실시예의 일부 선택 가능한 실시형태에서, 장치(500)는 스케줄링 유닛(도면에 도시되지 않음)을 더 포함하고, 상기 스케줄링 유닛은, EIP가 공격을 받아 블랙홀을 작동시킴을 감지한 것에 응답하여, 하이시큐리티 IP를 구축하고, 하이시큐리티 IP로부터 EIP로 복귀하는 포워딩 규칙을 구축하며, 도메인 네임 시스템을 호출하여 하이시큐리티 도메인 네임을 하이시큐리티 IP로 파싱 및 변환한다.
본 실시예의 일부 선택 가능한 실시형태에서, 스케줄링 유닛은 또한, EIP가 블랙홀을 종료함을 감지한 것에 응답하여, 도메인 네임 시스템을 호출하여 하이시큐리티 도메인 네임을 EIP로 파싱 및 변환한다.
본 실시예의 일부 선택 가능한 실시형태에서, 스케줄링 유닛은 또한, 하이시큐리티 IP 및 포워딩 규칙을 삭제하고, 하이시큐리티 IP를 사용 가능한 풀에 회수한다.
이하 도 6을 참조하면, 도 6은 본 발명 실시예의 전자 기기(600)(예를 들어, 도 1의 서버)를 구현하기에 적합한 구조 모식도를 도시한다. 도 6에 도시된 서버는 단지 하나의 예시일 뿐, 본 발명의 실시예들의 기능 및 사용 범위에 대해 어떠한 한정도 해서는 안된다.
도 6에 도시된 바와 같이, 전자 기기(600)는 판독 전용 메모리(ROM)(602)에 저장된 프로그램 또는 저장 장치(608)로부터 랜덤 액세스 메모리(RAM)(603)로 로딩된 프로그램에 따라 다양하고 적절한 동작 및 처리를 수행할 수 있는 처리 장치(예를 들어, 중앙 처리 장치, 그래픽 프로세서 등)(601)를 포함할 수 있다. RAM(603)에는 또한 전자 기기(600)의 조작에 필요한 다양한 프로그램 및 데이터가 저장된다. 처리 장치(601), ROM(602) 및 RAM(603)은 버스(604)를 통해 서로 연결된다. 입력/출력(I/O) 인터페이스(605) 역시 버스(604)에 연결된다.
일반적으로, 예를 들어 터치 스크린, 터치 패드, 키보드, 마우스, 카메라, 마이크, 가속도계, 자이로 스코프 등을 포함하는 입력 장치(606); 예를 들어 액정 디스플레이(LCD), 스피커, 진동기 등을 포함하는 출력 장치(607); 예를 들어 자기 테이프, 하드 디스크 등을 포함하는 저장 장치(608); 및 통신 장치(609)는 I/O 인터페이스(605)에 연결될 수 있다. 통신 장치(609)는 전자 기기(600)가 무선 또는 유선으로 다른 장치와 통신하여 데이터를 교환하도록 할 수 있다. 도 6은 다양한 장치를 갖는 전자 기기(600)를 도시하지만, 도시된 장치 모두를 실행하거나 구비할 필요가 없음을 이해해야 한다. 대안적으로 더 많거나 적은 장치들을 실행하거나 구비할 수 있다. 도 6에 도시된 각각의 블록은 하나의 장치를 나타내거나 필요에 따라 여러 장치를 나타낼 수도 있다.
특히, 본 발명의 실시예에 따르면, 상기에서 흐름도를 참조하여 설명한 과정은 컴퓨터 소프트웨어 프로그램으로서 구현될 수 있다. 예를 들어, 본 발명의 실시예는 컴퓨터 판독 가능 매체에 베어링된 컴퓨터 프로그램을 포함하는 컴퓨터 프로그램 제품을 포함하고, 상기 컴퓨터 프로그램은 흐름도에 도시된 방법을 수행하기 위한 프로그램 코드를 포함한다. 이러한 실시예에서, 상기 컴퓨터 프로그램은 통신 장치(609)를 통해 네트워크로부터 다운로드 및 설치될 수 있거나, 또는 저장 장치(608)로부터 설치될 수 있거나, 또는 ROM(602)으로부터 설치될 수 있다. 상기 컴퓨터 프로그램이 처리 장치(601)에 의해 실행될 경우, 본 발명의 방법에 한정된 상기 기능들이 수행된다. 본 발명에 기재된 컴퓨터 판독 가능 매체는 컴퓨터 판독 가능 신호 매체 또는 컴퓨터 판독 가능 매체 또는 이 양자의 임의의 조합 일 수 있음에 유의해야 한다. 컴퓨터 판독 가능 매체는, 예를 들어, 전자, 자기, 광학, 전자기, 적외선 또는 반도체 시스템, 장치 또는 소자, 또는 이들의 임의의 조합 일 수 있지만, 이에 한정되지는 않는다. 컴퓨터 판독 가능 매체의 보다 구체적인 예는 하나 또는 복수의 와이어를 갖는 전기적 연결, 휴대용 컴퓨터 디스크, 하드 디스크, 랜덤 액세스 메모리(RAM), 판독 전용 메모리(ROM), 소거 가능 프로그램 가능 판독 전용 메모리(EPROM 또는 플래시 메모리), 광섬유, 휴대용 컴팩트 디스크 판독 전용 메모리(CD-ROM), 광학 저장 장치, 자기 저장 장치 또는 이들의 임의의 적절한 조합을 포함할 수 있지만, 이에 한정되지는 않는다. 본 발명에서, 컴퓨터 판독 가능 매체는 명령 실행 시스템, 장치 또는 소자 또는 이들과 결합되어 사용될 수 있는 프로그램을 포함하거나 저장할 수 있는 임의의 유형 매체(tangible medium)일 수 있다. 본 발명에서, 컴퓨터 판독 가능 신호 매체는 컴퓨터 판독 가능 프로그램 코드를 베어링하는 베이스 밴드 또는 캐리어의 일부로 전파되는 데이터 신호를 포함할 수 있다. 이러한 전파된 데이터 신호는 전자기 신호, 광학 신호, 또는 상기 임의의 적절한 조합을 포함하지만 이에 한정되지 않는 다양한 형태를 취할 수 있다. 컴퓨터 판독 가능 신호 매체는 또한 명령 실행 시스템, 장치 또는 소자에 사용되거나 이와 결합하여 사용하기 위한 프로그램을 송신, 전파 또는 전송할 수 있는 컴퓨터 판독 가능 매체 이외의 임의의 컴퓨터 판독 가능 매체일 수 있다. 컴퓨터 판독 가능 매체에 포함된 프로그램 코드는 전기선, 광 케이블, RF 등, 또는 상기의 임의의 적절한 조합을 포함하지만 이에 한정되지 않는 임의의 적절한 매체에 의해 전송될 수 있다.
상기 컴퓨터 판독 가능 매체는 기기에 포함될 수 있거나 상기 전자 기기에 조립되지 않고 별도로 존재할 수 있는 컴퓨터 판독 가능 매체를 제공한다. 상기 컴퓨터 판독 가능 매체에는 하나 또는 복수의 프로그램이 베어링되어, 상기 하나 또는 복수의 프로그램이 상기 전자 기기에 의해 실행될 경우 상기 전자 기기로 하여금: 타겟 도메인 네임에 액세스 하기 위한 액세스 요청을 수신하는 단계; 타겟 도메인 네임을 기설정된 하이시큐리티 도메인 네임으로 변환하는 단계; 도메인 네임 시스템에서 하이시큐리티 도메인 네임에 대응되는 IP를 조회하는 단계; 하이시큐리티 도메인 네임에 대응되는 IP에 따라 액세스 요청을 발송하는 단계; 其中, 타겟 도메인 네임에 대응되는 EIP가 블랙홀을 작동하면, 도메인 네임 시스템에서 하이시큐리티 도메인 네임에 대응되는 IP는 기설정된 하이시큐리티 IP이고, 그렇지 않으면, 도메인 네임 시스템에서 하이시큐리티 도메인 네임에 대응되는 IP는 타겟 도메인 네임의 EIP이다.를 수행하도록 한다.
본 발명의 동작을 수행하기 위한 컴퓨터 프로그램 코드는 하나 또는 복수의 프로그래밍 언어, 또는 그들의 조합으로 구축 될 수 있다. 상기 프로그래밍 언어는 Java, Smalltalk, C++를 비롯한 객체 지향 프로그래밍 언어와 "C" 언어 또는 유사한 프로그래밍 언어를 비롯한 기존 절차적 프로그래밍 언어를 포함한다. 프로그램 코드는 완전히 사용자의 컴퓨터에서 실행되거나, 부분적으로 사용자의 컴퓨터에서 실행되거나, 하나의 독립형 소프트웨어 패키지로서 실행되거나, 일부는 사용자의 컴퓨터에서 실행되고 일부는 원격 컴퓨터에서 실행되거나, 또는 완전히 원격 컴퓨터 또는 서버에서 실행될 수 있다. 원격 컴퓨터의 경우 원격 컴퓨터는 구내 정보 통신망(LAN) 또는 광역 통신망(WAN)을 포함한 모든 종류의 네트워크를 통해 사용자의 컴퓨터에 연결되거나 외부 컴퓨터에 연결(예를 들어, 인터넷 서비스 제공 업체를 이용하여 인터넷을 통해 연결)될 수 있다.
도면의 흐름도 및 블록도는 본 발명의 다양한 실시예에 따른 시스템, 방법 및 컴퓨터 프로그램 제품의 가능한 구현의 아키텍처, 기능 및 동작을 도시한다. 이 점에서, 흐름도 또는 블록도의 각 블록은 지정된 논리 기능을 구현하기 위한 하나 또는 복수의 실행 가능한 명령을 포함하는 하나의 모듈, 프로그램 세그먼트 또는 코드의 일부를 나타낼 수 있다. 일부 대안적인 구현에서, 블록에 마크업된 기능은 또한 도면에 도시된 것과 다른 순서로 발생할 수 있음에 유의해야 한다. 예를 들어, 연속적으로 표현 된 2개의 블록은 실제로 병렬로 실행될 수 있고, 관련 기능에 따라 때때로 역순으로 실행될 수도 있다. 또한, 블록도 및/또는 흐름도의 각 블록, 및 블록도 및/또는 흐름도에서 블록의 조합은 지정된 기능 또는 동작을 수행하는 전용 하드웨어 기반 시스템에서 구현될 수 있거나 전용 하드웨어와 컴퓨터 명령어를 조합하여 구현할 수도 있음에 유의해야 한다.
본 발명의 실시예들에 설명된 유닛들은 소프트웨어 또는 하드웨어에 의해 구현될 수 있다. 설명된 유닛은 또한 프로세서, 예를 들어 수신 유닛, 변환 유닛, 조회 유닛 및 송신 유닛을 포함하는 프로세서에 설치될 수도 있다. 여기서 이들 유닛의 명칭은 경우에 따라서는 유닛 자체로 한정되지 않으며, 예를 들어, 수신 유닛은 "타겟 도메인 네임에 액세스하기 위한 액세스 요청을 수신하는 유닛"으로 기술될 수도 있다.
상기 설명은 본 발명의 바람직한 실시예 및 적용된 기술의 원리에 대한 설명일 뿐이다. 본 발명이 속하는 기술분야의 통상의 기술자들은 본 발명에 언급된 본 발명의 범위는 상기 기술특징의 특정 조합에 따른 기술적 해결수단에 한정되지 않으며, 동시에 본 발명의 사상을 벗어나지 않으면서 상기 기술특징 또는 그 균등한 특징에 대해 임의로 조합하여 형성된 다른 기술적 해결수단, 예를 들어, 상기 특징과 본 발명에 공개된(단 이에 한정되지 않음) 유사한 기능을 구비하는 기술적 특징을 서로 교체하여 형성된 기술적 해결수단을 포함함을 이해하여야 한다.

Claims (12)

  1. 데이터 처리 방법에 있어서,
    타겟 도메인 네임에 액세스 하기 위한 액세스 요청을 수신하는 단계;
    상기 타겟 도메인 네임을 기설정된 하이시큐리티(high-security) 도메인 네임으로 변환하는 단계;
    도메인 네임 시스템에서 상기 하이시큐리티 도메인 네임에 대응되는 IP를 조회하는 단계; 및
    상기 하이시큐리티 도메인 네임에 대응되는 IP에 따라 상기 액세스 요청을 발송하는 단계를 포함하고,
    상기 타겟 도메인 네임에 대응되는 EIP가 블랙홀을 작동하면, 상기 도메인 네임 시스템에서 상기 하이시큐리티 도메인 네임에 대응되는 IP는 기설정된 하이시큐리티 IP이고, 그렇지 않으면, 상기 도메인 네임 시스템에서 상기 하이시큐리티 도메인 네임에 대응되는 IP는 상기 타겟 도메인 네임의 EIP인 데이터 처리 방법.
  2. 제1항에 있어서,
    상기 타겟 도메인 네임을 기설정된 하이시큐리티 도메인 네임으로 변환하는 단계 이전에, 상기 데이터 처리 방법은,
    하이시큐리티 도메인 네임을 구축하는 단계;
    상기 타겟 도메인 네임에 대응되는 EIP, 상기 EIP가 속하는 영역 및 TCP 서비스에 기반한 포트에 대한 헬스 점검을 구성하는 단계;
    상기 하이시큐리티 도메인 네임으로부터 상기 EIP로 파싱(parsing)하는 기록을 구축하는 단계; 및
    상기 타겟 도메인 네임으로부터 상기 하이시큐리티 도메인 네임으로 파싱하는 기록을 구축하는 단계를 더 포함하는 데이터 처리 방법.
  3. 제2항에 있어서,
    상기 데이터 처리 방법은,
    상기 EIP가 공격을 받아 블랙홀을 작동시킴을 감지한 것에 응답하여, 하이시큐리티 IP를 구축하는 단계;
    상기 하이시큐리티 IP로부터 상기 EIP로 복귀하는 포워딩 규칙을 구축하는 단계; 및
    도메인 네임 시스템을 호출하여 하이시큐리티 도메인 네임을 하이시큐리티 IP로 파싱 및 변환하는 단계를 더 포함하는 데이터 처리 방법.
  4. 제3항에 있어서,
    상기 데이터 처리 방법은,
    상기 EIP가 블랙홀을 종료함을 감지한 것에 응답하여, 도메인 네임 시스템을 호출하여 하이시큐리티 도메인 네임을 EIP로 파싱 및 변환하는 단계를 더 포함하는 데이터 처리 방법.
  5. 제4항에 있어서,
    상기 데이터 처리 방법은,
    상기 하이시큐리티 IP 및 상기 포워딩 규칙을 삭제하는 단계; 및
    상기 하이시큐리티 IP를 사용 가능한 풀에 회수하는 단계를 더 포함하는 데이터 처리 방법.
  6. 데이터 처리 장치에 있어서,
    타겟 도메인 네임에 액세스 하기 위한 액세스 요청을 수신하는 수신 유닛;
    상기 타겟 도메인 네임을 기설정된 하이시큐리티 도메인 네임으로 변환하는 변환 유닛;
    도메인 네임 시스템에서 상기 하이시큐리티 도메인 네임에 대응되는 IP를 조회하는 조회 유닛; 및
    상기 하이시큐리티 도메인 네임에 대응되는 IP에 따라 상기 액세스 요청을 발송하는 발송 유닛을 포함하고,
    상기 타겟 도메인 네임에 대응되는 EIP가 블랙홀을 작동하면, 상기 도메인 네임 시스템에서 상기 하이시큐리티 도메인 네임에 대응되는 IP는 기설정된 하이시큐리티 IP이고, 그렇지 않으면, 상기 도메인 네임 시스템에서 상기 하이시큐리티 도메인 네임에 대응되는 IP는 상기 타겟 도메인 네임의 EIP인 데이터 처리 장치.
  7. 제6항에 있어서,
    상기 데이터 처리 장치는 구성 유닛을 더 포함하고, 상기 구성 유닛은,
    상기 타겟 도메인 네임을 기설정된 하이시큐리티 도메인 네임으로 변환하는 단계 이전에, 하이시큐리티 도메인 네임을 구축하고,
    상기 타겟 도메인 네임에 대응되는 EIP, 상기 EIP가 속하는 영역 및 TCP 서비스에 기반한 포트에 대한 헬스 점검을 구성하며,
    상기 하이시큐리티 도메인 네임으로부터 상기 EIP로 파싱하는 기록을 구축하고,
    상기 타겟 도메인 네임으로부터 상기 하이시큐리티 도메인 네임으로 파싱하는 기록을 구축하는 데이터 처리 장치.
  8. 제7항에 있어서,
    상기 데이터 처리 장치는 스케줄링 유닛을 더 포함하고, 상기 스케줄링 유닛은,
    상기 EIP가 공격을 받아 블랙홀을 작동시킴을 감지한 것에 응답하여, 하이시큐리티 IP를 구축하고,
    상기 하이시큐리티 IP로부터 상기 EIP로 복귀하는 포워딩 규칙을 구축하며,
    도메인 네임 시스템을 호출하여 하이시큐리티 도메인 네임을 하이시큐리티 IP로 파싱 및 변환하는 데이터 처리 장치.
  9. 제8항에 있어서,
    상기 스케줄링 유닛은 또한,
    상기 EIP가 블랙홀을 종료함을 감지한 것에 응답하여, 도메인 네임 시스템을 호출하여 하이시큐리티 도메인 네임을 EIP로 파싱 및 변환하는 데이터 처리 장치.
  10. 제9항에 있어서,
    상기 스케줄링 유닛은 또한,
    상기 하이시큐리티 IP 및 상기 포워딩 규칙을 삭제하고,
    상기 하이시큐리티 IP를 사용 가능한 풀에 회수하는 데이터 처리 장치.
  11. 하나 또는 복수의 프로세서; 및
    하나 또는 복수의 프로그램이 저장된 저장 장치를 포함하는 전자 기기에 있어서,
    상기 하나 또는 복수의 프로그램이 상기 하나 또는 복수의 프로세서에 의해 실행될 경우, 상기 하나 또는 복수의 프로세서가 제1항 내지 제5항 중 어느 한 항에 따른 데이터 처리 방법을 구현하도록 하는 전자 기기.
  12. 컴퓨터 프로그램이 저장된 컴퓨터 판독 가능 저장 매체에 있어서,
    상기 컴퓨터 프로그램이 프로세서에 의해 실행될 경우 제1항 내지 제5항 중 어느 한 항에 따른 데이터 처리 방법을 구현하는 컴퓨터 판독 가능 저장 매체.
KR1020190142054A 2019-02-21 2019-11-07 데이터 처리 방법 및 장치 KR102260435B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201910129678.2A CN109617932B (zh) 2019-02-21 2019-02-21 用于处理数据的方法和装置
CN201910129678.2 2019-02-21

Publications (2)

Publication Number Publication Date
KR20200102328A KR20200102328A (ko) 2020-08-31
KR102260435B1 true KR102260435B1 (ko) 2021-06-02

Family

ID=66018981

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190142054A KR102260435B1 (ko) 2019-02-21 2019-11-07 데이터 처리 방법 및 장치

Country Status (5)

Country Link
US (1) US20200274897A1 (ko)
JP (1) JP7271396B2 (ko)
KR (1) KR102260435B1 (ko)
CN (1) CN109617932B (ko)
SG (1) SG10201910392XA (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10785188B2 (en) * 2018-05-22 2020-09-22 Proofpoint, Inc. Domain name processing systems and methods
CN110336687B (zh) * 2019-05-09 2022-04-19 上海缤游网络科技有限公司 一种域名切换方法、装置及系统
CN110855633B (zh) * 2019-10-24 2021-10-15 华为终端有限公司 Ddos攻击的防护方法、装置、系统、通信设备和存储介质
CN113315743B (zh) * 2020-02-27 2023-04-18 阿里巴巴集团控股有限公司 防御处理方法、装置、设备和存储介质
CN111510517B (zh) * 2020-06-30 2020-09-15 上海有孚智数云创数字科技有限公司 一种网络动态优化分配方法、分配系统及可读存储介质
CN112437083A (zh) * 2020-11-20 2021-03-02 北京金山云网络技术有限公司 防护云资源被网络攻击的方法、系统和电子设备

Family Cites Families (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004015180A (ja) * 2002-06-04 2004-01-15 Media Do Inc 電子メールの選別転送方法、アドレス変換サーバー
KR20050003598A (ko) * 2003-06-27 2005-01-12 주식회사 케이티 이중화된 도메인 네임 서버를 이용한 도메인 네임 서비스제공 시스템 및 제공 방법
US9148437B1 (en) * 2007-03-27 2015-09-29 Amazon Technologies, Inc. Detecting adverse network conditions for a third-party network site
CN101902456B (zh) * 2010-02-09 2013-04-03 北京启明星辰信息技术股份有限公司 一种Web网站安全防御系统
US20130007882A1 (en) * 2011-06-28 2013-01-03 The Go Daddy Group, Inc. Methods of detecting and removing bidirectional network traffic malware
US9432385B2 (en) * 2011-08-29 2016-08-30 Arbor Networks, Inc. System and method for denial of service attack mitigation using cloud services
US9313205B2 (en) * 2012-04-24 2016-04-12 Iboss, Inc. Restricting communication over an encrypted network connection to internet domains that share common IP addresses and shared SSL certificates
US8613089B1 (en) * 2012-08-07 2013-12-17 Cloudflare, Inc. Identifying a denial-of-service attack in a cloud-based proxy service
US20140173111A1 (en) * 2012-12-19 2014-06-19 Netzero Wireless, Inc. Data usage management systems and methods
US9350706B1 (en) * 2013-03-15 2016-05-24 Centurylink Intellectual Property Llc Network traffic data scrubbing with services offered via anycasted addresses
US9888028B2 (en) * 2013-05-03 2018-02-06 Centurylink Intellectual Property Llc Combination of remote triggered source and destination blackhole filtering
US9197666B2 (en) * 2013-08-26 2015-11-24 Verizon Patent And Licensing Inc. Method and apparatus for mitigating distributed denial of service attacks
US10432658B2 (en) * 2014-01-17 2019-10-01 Watchguard Technologies, Inc. Systems and methods for identifying and performing an action in response to identified malicious network traffic
US9609018B2 (en) * 2014-05-08 2017-03-28 WANSecurity, Inc. System and methods for reducing impact of malicious activity on operations of a wide area network
US10509909B2 (en) * 2014-09-06 2019-12-17 Mazebolt Technologies Ltd. Non-disruptive DDoS testing
US9443104B2 (en) * 2014-09-08 2016-09-13 Protegrity Corporation Tokenization of structured data
US9253206B1 (en) * 2014-12-18 2016-02-02 Docusign, Inc. Systems and methods for protecting an online service attack against a network-based attack
CN104580216B (zh) * 2015-01-09 2017-10-03 北京京东尚科信息技术有限公司 一种对访问请求进行限制的系统和方法
CN106302318A (zh) * 2015-05-15 2017-01-04 阿里巴巴集团控股有限公司 一种网站攻击防御方法及装置
JP2017050832A (ja) * 2015-09-04 2017-03-09 富士通株式会社 ネットワークシステム及びDoS(DenialofService)攻撃の防御方法
CN106534043B (zh) * 2015-09-09 2020-04-24 阿里巴巴集团控股有限公司 一种流量处理方法,设备和系统
US9386037B1 (en) * 2015-09-16 2016-07-05 RiskIQ Inc. Using hash signatures of DOM objects to identify website similarity
US9794281B1 (en) * 2015-09-24 2017-10-17 Amazon Technologies, Inc. Identifying sources of network attacks
CN107135187A (zh) * 2016-02-29 2017-09-05 阿里巴巴集团控股有限公司 网络攻击的防控方法、装置及系统
EP3355514B1 (en) * 2016-03-29 2019-08-21 Huawei Technologies Co., Ltd. Method and device for transmitting network attack defense policy and method and device for defending against network attack
CN107517195B (zh) * 2016-06-17 2021-01-29 阿里巴巴集团控股有限公司 一种内容分发网络定位攻击域名的方法和装置
US20180020002A1 (en) * 2016-07-13 2018-01-18 Frederick J Duca System and method for filtering internet traffic and optimizing same
CN107623663B (zh) * 2016-07-15 2020-12-15 阿里巴巴集团控股有限公司 处理网络流量的方法及装置
US10412100B2 (en) * 2016-08-01 2019-09-10 The Boeing Company System and methods for providing secure data connections in an aviation environment
US10033691B1 (en) * 2016-08-24 2018-07-24 Amazon Technologies, Inc. Adaptive resolution of domain name requests in virtual private cloud network environments
US10341371B2 (en) * 2016-08-31 2019-07-02 Nicira, Inc. Identifying and handling threats to data compute nodes in public cloud
US11025483B1 (en) * 2016-09-27 2021-06-01 Amazon Technologies, Inc. Fault tolerant virtual private network endpoint node
CN107888546B (zh) * 2016-09-29 2021-10-01 腾讯科技(深圳)有限公司 网络攻击防御方法、装置以及系统
CN106411910B (zh) * 2016-10-18 2019-04-05 优刻得科技股份有限公司 一种分布式拒绝服务攻击的防御方法与系统
KR101942158B1 (ko) * 2016-11-04 2019-02-19 주식회사 시큐아이 네트워크 보안 방법 및 그 장치
CN106790744B (zh) * 2016-12-01 2020-09-15 上海云盾信息技术有限公司 Ip调度方法及系统
CN108206814B (zh) * 2016-12-20 2021-03-16 腾讯科技(深圳)有限公司 一种防御dns攻击的方法、装置及系统
US10887341B2 (en) * 2017-03-06 2021-01-05 Radware, Ltd. Detection and mitigation of slow application layer DDoS attacks
US10180914B2 (en) * 2017-04-28 2019-01-15 Cisco Technology, Inc. Dynamic domain name service caching
CN108809910B (zh) * 2017-05-04 2021-01-05 贵州白山云科技股份有限公司 一种域名系统服务器调度方法和系统
CN107493272A (zh) * 2017-08-01 2017-12-19 杭州迪普科技股份有限公司 一种流量清洗方法、装置和系统
CN107404496A (zh) * 2017-09-05 2017-11-28 成都知道创宇信息技术有限公司 一种基于HTTP DNS的DDoS攻击防御及溯源方法
CN107995324B (zh) * 2017-12-04 2021-01-01 奇安信科技集团股份有限公司 一种基于隧道模式的云防护方法及装置
US20190215308A1 (en) * 2018-01-05 2019-07-11 FeyziLogic Co. Selectively securing a premises network
US11012410B2 (en) * 2018-03-13 2021-05-18 Charter Communications Operating, Llc Distributed denial-of-service prevention using floating internet protocol gateway

Also Published As

Publication number Publication date
KR20200102328A (ko) 2020-08-31
SG10201910392XA (en) 2020-09-29
CN109617932A (zh) 2019-04-12
JP2020156071A (ja) 2020-09-24
JP7271396B2 (ja) 2023-05-11
US20200274897A1 (en) 2020-08-27
CN109617932B (zh) 2021-07-06

Similar Documents

Publication Publication Date Title
KR102260435B1 (ko) 데이터 처리 방법 및 장치
CN109561171B (zh) 虚拟私有云服务的配置方法和装置
US11765057B2 (en) Systems and methods for performing end-to-end link-layer and IP-layer health checks between a host machine and a network virtualization device
US8953479B2 (en) System and method for license enforcement for data center monitoring applications
US9444787B2 (en) Non-intrusive method and apparatus for automatically dispatching security rules in cloud environment
CN104333567B (zh) 采用安全即服务的web缓存
US9521053B1 (en) Providing diagnostic metrics for virtual connections over physical connections into a provider network
CN109831548B (zh) 虚拟内容分发网络vCDN节点建立方法及服务器
JP2018518862A (ja) グローバル仮想ネットワーク(gvn)において仮想インタフェースとアドバンストスマートルーティングとを提供するためのシステム及び方法
CN105430059A (zh) 智能客户端路由
CN109639782A (zh) 消息发送平台、方法
US11782748B2 (en) Cloud shell extension framework
JP7277563B2 (ja) ハイブリッドクラウドコンピューティングネットワーク管理
CN103763133B (zh) 一种实现访问控制的方法、设备与系统
CN110995763B (zh) 一种数据处理方法、装置、电子设备和计算机存储介质
JP2019536332A (ja) オンプレミスとオフプレミスとの通信方法、システム、プログラム
CN105704109B (zh) 一种网络接入认证方法及设备
KR20220006605A (ko) 클라우드 통신 방법 및 장치, 사용자 기기, 네트워크 기기
TW201719455A (zh) 詮釋資料伺服器、網路裝置及自動資源管理方法
JP2019109891A (ja) クラスタ化されたアプリケーションの負荷分散のためのロング・ポーリング
CN109194738A (zh) 远程重启方法、路由开发板及硬件底板
JP2022058265A (ja) コンピュータ実装方法、コンピュータシステム、及びコンピュータプログラム(ユーザリクエスト処理のための隔離コンテナの提供)
EP3170089B1 (en) Brokering data access requests and responses
RU2673018C2 (ru) Системы и способы управления конечными точками связи
CN114390088B (zh) 一种edps通过opc ua客户端与opc ua服务端的交互方法以及装置

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant