一种基于拟态云waf技术的电网防护设备及系统的制作方法

1.本发明涉及一种基于拟态云waf技术的电网防护设备及系统。


背景技术：

2.waf是web应用防火墙(web application firewall)的简称，对来自web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，为web应用提供防护，也称作应用防火墙，是网络安全纵深防御体系里重要的一环。waf属于检测型及纠正型防御控制措施。waf分为硬件waf，软件waf和云waf。
3.云waf具有部署简单，维护成本低的有点被广泛使用。但是云waf技术通过配置代理端口并设定地址映射规则，达到隐藏真实服务器的目的。然而不同的是，云waf系统需要依赖于dns进行访问调度。网站的所有访问流量只有经过指定的dns服务器解析后才会被牵引到云waf系统的防护节点进行过滤。这样一来，如果黑客利用相关手段获取到原始web服务器的ip地址，然后通过强制解析域名的方式，就可以轻松的绕过云waf系统对原始服务器实施攻击。也就是说在实际使用中，云waf存在被绕过的现象，难以实现较好的保护。而电网防护领域方面，其安全性尤为重要，需要对传统云waf技术的防护系统进行优化以提升安全性能。


技术实现要素：

4.本发明的目的在于提供一种基于拟态云waf技术的电网防护设备及系统，以解决上述背景技术中提出的问题。
5.为实现上述目的，本发明提供如下技术方案：
6.一种基于拟态云waf技术的电网防护系统，包括：运行有云waf的云服务器、本地中转服务器和电网控制服务器；
7.本地中转服务器与云服务器通讯；电网控制服务器与本地中转服务器通讯；本地中转服务器设有用于检测数据的第一检测系统；电网控制服务器设有用于检测数据的第二检测系统；
8.第一检测系统包括：数据接收模块，数据存储模块、流量复制检测模块、数据标识模块和数据发送模块；
9.数据接收模块，用于接收外部请求；
10.数据存储模块，存储有云服务器的ip地址并且与数据接收模块通信以存储数据接收模块接收的外部请求；
11.流量复制检测模块，与数据存储模块通信采用流量复制回放的方式提取外部请求的ip地址并判断外部请求的ip地址是否与云服务器的ip地址一致，若不一致则判断为非法请求，若一致则判断为合法请求；若判断为合法请求，数据标识模块调用数据存储模块存储的外部请求添加数据合法标识；
12.数据发送模块将添加有数据合法标识的外部请求转发至电网控制服务器；
13.第二检测系统包括：身份信息存储模块、数据标识验证模块和请求人身份校验模块；
14.身份信息存储模块存储有请求人信息并能够提取外部请求中的请求人信息进行校验；
15.数据标识验证模块对本地中转服务器的数据进行检测判断是否有数据合法标识，若否则不进行下一步动作，若是则进一步由请求人身份校验模块判断外部请求的请求人信息是否在身份信息存储模块中记录，若存在记录则电网控制服务器执行外部请求，若否则电网控制服务器不执行外部请求。
16.作为本发明进一步的方案：数据合法标识设置为数据签名；数据标识验证模块执行数字签名解密操作以判断是否有数据合法标识。
17.作为本发明进一步的方案：数据合法标识设置为特定的加密方式，数据标识验证模块检测判断是否具有该加密方式，若具有该加密方式则进行相应的解密操作，解密后由请求人身份校验模块判断外部请求的请求人信息是否在身份信息存储模块中记录。
18.作为本发明进一步的方案：一种基于拟态云waf技术的电网防护系统的电网防护流程包括以下步骤：
19.步骤1，数据接收模块接收外部请求；
20.步骤2，数据存储模块存储数据接收模块接收的外部请求；
21.步骤3，流量复制检测模块判断外部请求的ip地址是否与云服务器的ip地址一致，若不一致则判断为非法请求结束任务，若一致则判断为合法请求执行步骤4；
22.步骤4，数据标识模块调用数据存储模块存储的外部请求添加数据合法标识；
23.步骤5，数据发送模块将添加有数据合法标识的外部请求转发至电网控制服务器；
24.步骤6，数据标识验证模块判断接收到的数据是否具有数据合法标识，若否则结束任务，若是则执行步骤7，
25.步骤7，请求人身份校验模块判断是否外部请求的请求人信息是否在身份信息存储模块中记录，若存在记录则电网控制服务器执行外部请求，若否则电网控制服务器不执行外部请求。
26.一种基于拟态云waf技术的电网防护设备，包括：第一检测设备和第二检测设备；
27.第一检测设备与云服务器通讯；第二检测设备与第一检测设备通讯；第一检测设备设有用于检测数据的第一检测系统；第二检测设备设有用于检测数据的第二检测系统；
28.第一检测系统包括：数据接收模块，数据存储模块、流量复制检测模块、数据标识模块和数据发送模块；
29.数据接收模块，用于接收外部请求；
30.数据存储模块，存储有云服务器的ip地址并且与数据接收模块通信以存储数据接收模块接收的外部请求；
31.流量复制检测模块，与数据存储模块通信采用流量复制回放的方式提取外部请求的ip地址并判断外部请求的ip地址是否与云服务器的ip地址一致，若不一致则判断为非法请求，若一致则判断为合法请求；若判断为合法请求，数据标识模块调用数据存储模块存储的外部请求添加数据合法标识；
32.数据发送模块将添加有数据合法标识的外部请求转发至第二检测设备；
33.第二检测系统包括：身份信息存储模块、数据标识验证模块和请求人身份校验模块；
34.身份信息存储模块存储有请求人信息并能够提取外部请求中的请求人信息进行校验；
35.数据标识验证模块对第一检测设备的数据进行检测判断是否有数据合法标识，若否则不进行下一步动作，若是则进一步由请求人身份校验模块判断外部请求的请求人信息是否在身份信息存储模块中记录，若存在记录则第二检测设备执行外部请求，若否则第二检测设备不执行外部请求。
36.作为本发明进一步的方案：第二检测设备作为电网控制服务器的一部分，由电网控制服务器运行第二检测系统。
37.作为本发明进一步的方案：第二检测设备独立于电网控制服务器之外，第二检测设备执行外部请求时与电网控制服务器进行通信。
38.作为本发明进一步的方案：一种基于拟态云waf技术的电网防护设备的电网防护流程包括以下步骤：
39.步骤1，数据接收模块接收外部请求；
40.步骤2，数据存储模块存储数据接收模块接收的外部请求；
41.步骤3，流量复制检测模块判断外部请求的ip地址是否与云服务器的ip地址一致，若不一致则判断为非法请求结束任务，若一致则判断为合法请求执行步骤4；
42.步骤4，数据标识模块调用数据存储模块存储的外部请求添加数据合法标识；
43.步骤5，数据发送模块将添加有数据合法标识的外部请求转发至第二检测设备；
44.步骤6，数据标识验证模块判断接收到的数据是否具有数据合法标识，若否则结束任务，若是则执行步骤7，
45.步骤7，请求人身份校验模块判断是否外部请求的请求人信息是否在身份信息存储模块中记录，若存在记录则第二检测设备执行外部请求，若否则第二检测设备不执行外部请求。
46.作为本发明进一步的方案：数据合法标识设置为数据签名；数据标识验证模块执行数字签名解密操作以判断是否有数据合法标识。
47.作为本发明进一步的方案：数据合法标识设置为特定的加密方式，数据标识验证模块检测判断是否具有该加密方式，若具有该加密方式则进行相应的解密操作，解密后由请求人身份校验模块判断外部请求的请求人信息是否在身份信息存储模块中记录。
48.与现有技术相比，本发明的有益效果是：提升了安全性。
49.第一检测系统确认外部请求是否绕过了云服务器。第二检测系统进一步对数据进行再次校验，确保数据来源的真实性。
50.本发明的其他特点和优点将会在下面的具体实施方式、附图中详细的揭露。
附图说明
51.图1为本发明的一种基于拟态云waf技术的电网防护系统的示意图。
52.图2为本发明的一种基于拟态云waf技术的电网防护设备的一个实施例的通讯连接示意图；
53.图3为本发明的一种基于拟态云waf技术的电网防护设备的另一个实施例的通讯连接的示意图；
54.图4是本发明的一种基于拟态云waf技术的电网防护系统的第一检测系统和第二检测系统的示意图。
具体实施方式
55.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
56.如图1至图4所示，一种基于拟态云waf技术的电网防护系统，包括：运行有云waf的云服务器、本地中转服务器和电网控制服务器。
57.本地中转服务器与云服务器通讯。电网控制服务器与本地中转服务器通讯；本地中转服务器设有用于检测数据的第一检测系统。电网控制服务器设有用于检测数据的第二检测系统。
58.第一检测系统包括：数据接收模块，数据存储模块、流量复制检测模块、数据标识模块和数据发送模块。
59.数据接收模块用于接收外部请求。
60.数据存储模块存储有云服务器的ip地址并且与数据接收模块通信以存储数据接收模块接收的外部请求。
61.流量复制检测模块与数据存储模块通信采用流量复制回放的方式提取外部请求的ip地址并判断外部请求的ip地址是否与云服务器的ip地址一致，若不一致则判断为非法请求，若一致则判断为合法请求；若判断为合法请求，数据标识模块调用数据存储模块存储的外部请求添加数据合法标识。
62.数据发送模块将添加有数据合法标识的外部请求转发至电网控制服务器。
63.第二检测系统包括：身份信息存储模块、数据标识验证模块和请求人身份校验模块。
64.身份信息存储模块存储有请求人信息并能够提取外部请求中的请求人信息进行校验。
65.数据标识验证模块对本地中转服务器的数据进行检测判断是否有数据合法标识，若否则不进行下一步动作，若是则进一步由请求人身份校验模块判断外部请求的请求人信息是否在身份信息存储模块中记录，若存在记录则电网控制服务器执行外部请求，若否则电网控制服务器不执行外部请求。
66.作为一种具体的实施方式：数据合法标识设置为数据签名；数据标识验证模块执行数字签名解密操作以判断是否有数据合法标识。
67.作为一种可选的实施方式：数据合法标识设置为特定的加密方式，数据标识验证模块检测判断是否具有该加密方式，若具有该加密方式则进行相应的解密操作，解密后由请求人身份校验模块判断外部请求的请求人信息是否在身份信息存储模块中记录。
68.作为一种具体的实施方式：一种基于拟态云waf技术的电网防护系统的电网防护
流程包括以下步骤：
69.步骤1，数据接收模块接收外部请求；
70.步骤2，数据存储模块存储数据接收模块接收的外部请求；
71.步骤3，流量复制检测模块判断外部请求的ip地址是否与云服务器的ip地址一致，若不一致则判断为非法请求结束任务，若一致则判断为合法请求执行步骤4；
72.步骤4，数据标识模块调用数据存储模块存储的外部请求添加数据合法标识；
73.步骤5，数据发送模块将添加有数据合法标识的外部请求转发至电网控制服务器；
74.步骤6，数据标识验证模块判断接收到的数据是否具有数据合法标识，若否则结束任务，若是则执行步骤7，
75.步骤7，请求人身份校验模块判断是否外部请求的请求人信息是否在身份信息存储模块中记录，若存在记录则电网控制服务器执行外部请求，若否则电网控制服务器不执行外部请求。
76.一种基于拟态云waf技术的电网防护设备，包括：第一检测设备和第二检测设备。
77.第一检测设备与云服务器通讯；第二检测设备与第一检测设备通讯；第一检测设备设有用于检测数据的第一检测系统；第二检测设备设有用于检测数据的第二检测系统。
78.第一检测系统包括：数据接收模块，数据存储模块、流量复制检测模块、数据标识模块和数据发送模块。
79.数据接收模块用于接收外部请求。
80.数据存储模块存储有云服务器的ip地址并且与数据接收模块通信以存储数据接收模块接收的外部请求；
81.流量复制检测模块，与数据存储模块通信采用流量复制回放的方式提取外部请求的ip地址并判断外部请求的ip地址是否与云服务器的ip地址一致，若不一致则判断为非法请求，若一致则判断为合法请求；若判断为合法请求，数据标识模块调用数据存储模块存储的外部请求添加数据合法标识。
82.数据发送模块将添加有数据合法标识的外部请求转发至第二检测设备。
83.第二检测系统包括：身份信息存储模块、数据标识验证模块和请求人身份校验模块。
84.身份信息存储模块存储有请求人信息并能够提取外部请求中的请求人信息进行校验。
85.数据标识验证模块对第一检测设备的数据进行检测判断是否有数据合法标识，若否则不进行下一步动作，若是则进一步由请求人身份校验模块判断外部请求的请求人信息是否在身份信息存储模块中记录，若存在记录则第二检测设备执行外部请求，若否则第二检测设备不执行外部请求。
86.作为一种具体的实施方式，如图2所示，第二检测设备作为电网控制服务器的一部分，由电网控制服务器运行第二检测系统。或者电网控制服务器作为第二检测设备。而本地中转服务器则作为第一检测设备。
87.作为一种可选的实施方式，如图3所示，第二检测设备独立于电网控制服务器之外，第二检测设备执行外部请求时与电网控制服务器进行通信。此时本地中转服务器作为第一检测设备。
88.一种基于拟态云waf技术的电网防护设备的电网防护流程包括以下步骤：
89.步骤1，数据接收模块接收外部请求；
90.步骤2，数据存储模块存储数据接收模块接收的外部请求；
91.步骤3，流量复制检测模块判断外部请求的ip地址是否与云服务器的ip地址一致，若不一致则判断为非法请求结束任务，若一致则判断为合法请求执行步骤4；
92.步骤4，数据标识模块调用数据存储模块存储的外部请求添加数据合法标识；
93.步骤5，数据发送模块将添加有数据合法标识的外部请求转发至第二检测设备；
94.步骤6，数据标识验证模块判断接收到的数据是否具有数据合法标识，若否则结束任务，若是则执行步骤7，
95.步骤7，请求人身份校验模块判断是否外部请求的请求人信息是否在身份信息存储模块中记录，若存在记录则第二检测设备执行外部请求，若否则第二检测设备不执行外部请求。
96.对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
97.此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。