[发明专利]网络攻击防御系统和防御网络攻击的方法

说明书

技术领域

本发明涉及网络安全领域，具体地涉及网络攻击防御系统和通过网络攻击防御系统防御网络攻击的方法。

背景技术

随着互联网的飞速发展，网络安全已经成为一个日益显著的问题，黑客通过盗取资料或报复性攻击，使很多公司付出过惨痛的代价。对于典型的互联网公司，网络是及其重要的基础设置，对网络的安全性有着极高的要求，这就要求当网络安全攻击发生时要能够在一定时效内被及时检测出来。

对于网络攻击的检测，主要分为传输层的检测以及应用层的检测，如今所普遍采用的硬件防火墙更多的适合传输层的攻击防范，并且其大多数拦截规则都是基于生产厂商初始设定或管理界面的简单设定，因此其对于应用层无法实现灵活的逻辑判断。

此外，虽然硬件防火墙自身具备硬件加速优势，但是对于大型机房而言，其处理能力仍然具有瓶颈。

发明内容

为了解决现有技术中存在的上述问题，本发明提出了一种网络攻击防御系统以及防御网络攻击的方法。

根据本发明的一个方面，提出了一种网络攻击防御系统。所述系统包括：应用层负载均衡子系统，被配置为接收用户请求，所述应用层负载均衡子系统上容宿(host)有负载均衡代理，所述负载均衡代理被配置为从所述应用层负载均衡子系统读取所述用户请求，以及将所述用户请求写入消息队列子系统；消息队列子系统，连接到所述应用负载均衡子系统，被配置为对由所述负载均衡代理写入的用户请求进行缓存；以及实时计算子系统，连接到所述消息队列子系统，被配置为从所述消息队列子系统获取所缓存的用户请求，对所述用户请求中的数据进行分析，并根据分析结果生成封禁规则，以及将所述封禁规则写入所述消息队列子系统，其中，所述消息队列子系统还被配置为对所述封禁规则进行缓存，以及所述负载均衡代理还被配置为从所述消息队列子系统获取所缓存的封禁规则并将所提取的封禁规则应用于所述应用层负载均衡子系统。

优选地，所述系统还包括：数据存储子系统，连接到所述实时计算子系统，被配置为对所述分析结果、所述封禁规则和/或从用户请求中分析得到的用户访问历史数据进行存储。

优选地，所述系统还包括：管理配置服务器，连接到所述应用层负载均衡子系统、所述消息队列子系统、所述实时计算子系统中，被配置为向所述应用层负载均衡子系统、所述负载均衡代理、所述消息队列子系统和所述实时计算子系统提供配置数据。

优选地，所述应用层负载均衡子系统被配置为从传输层负载均衡服务器接收所述用户请求。

优选地，所述负载均衡代理被配置为对所述用户请求进行压缩，并将经过压缩的用户请求写入消息队列子系统。

优选地，所述实时计算子系统对所述用户请求进行的分析包括计数分析，其中，所述实时计算子系统对指定的时间周期内获取的用户请求所对应的源IP地址进行计数，当针对一个源IP地址的计数超过指定的阈值时，所述实时计算子系统将该源IP地址加入封禁规则。

优选地，所述实时计算子系统对所述用户请求进行的分析包括计数分析，其中，所述实时计算子系统对指定的时间周期内获取的用户请求所对应的目的IP地址进行计数，当针对一个目的IP地址的计数超过指定的阈值时，所述实时计算子系统对与该目的IP地址相对应的用户请求所对应的源IP地址进行统计，并将统计数量最高的一个或多个源IP地址加入封禁规则。

优选地，所述实时计算子系统对所述用户请求进行的分析包括匹配分析，其中，所述实时计算子系统将所述用户请求中的指定的特征与预先存储的特征列表进行匹配，当存在匹配时，将具有存在匹配的特征的用户请求所对应的IP地址加入封禁规则。

优选地，所述管理配置服务器还被配置为：根据流量情况，触发对所述应用层负载均衡子系统、所述消息队列子系统和/或所述实时计算子系统的降级处理。