一种基于拟态云waf技术的电网防护设备及系统技术方案

本发明专利技术涉及一种基于拟态云waf技术的电网防护设备及系统，一种基于拟态云waf技术的电网防护系统，包括：运行有云waf的云服务器、本地中转服务器和电网控制服务器；本地中转服务器与云服务器通讯；电网控制服务器与本地中转服务器通讯；本地中转服务器设有用于检测数据的第一检测系统；电网控制服务器设有用于检测数据的第二检测系统；第一检测系统包括：数据接收模块，数据存储模块、流量复制检测模块、数据标识模块和数据发送模块；第二检测系统包括：身份信息存储模块、数据标识验证模块和请求人身份校验模块。本发明专利技术的有益之处在于提升了安全性。了安全性。了安全性。

【技术实现步骤摘要】
一种基于拟态云waf技术的电网防护设备及系统


[0001]本专利技术涉及一种基于拟态云waf技术的电网防护设备及系统。

技术介绍

[0002]waf是Web应用防火墙(Web Application Firewall)的简称，对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，为Web应用提供防护，也称作应用防火墙，是网络安全纵深防御体系里重要的一环。waf属于检测型及纠正型防御控制措施。waf分为硬件waf，软件waf和云waf。
[0003]云waf具有部署简单，维护成本低的有点被广泛使用。但是云waf技术通过配置代理端口并设定地址映射规则，达到隐藏真实服务器的目的。然而不同的是，云WAF系统需要依赖于DNS进行访问调度。网站的所有访问流量只有经过指定的DNS服务器解析后才会被牵引到云WAF系统的防护节点进行过滤。这样一来，如果黑客利用相关手段获取到原始WEB服务器的IP地址，然后通过强制解析域名的方式，就可以轻松的绕过云WAF系统对原始服务器实施攻击。也就是说在实际使用中，云waf存在被绕过的现象，难以实现较好的保护。而电网防护领域方面，其安全性尤为重要，需要对传统云waf技术的防护系统进行优化以提升安全性能。

技术实现思路

[0004]本专利技术的目的在于提供一种基于拟态云waf技术的电网防护设备及系统，以解决上述
技术介绍
中提出的问题。
[0005]为实现上述目的，本专利技术提供如下技术方案：
[0006]一种基于拟态云waf技术的电网防护系统，包括：运行有云waf的云服务器、本地中转服务器和电网控制服务器；
[0007]本地中转服务器与云服务器通讯；电网控制服务器与本地中转服务器通讯；本地中转服务器设有用于检测数据的第一检测系统；电网控制服务器设有用于检测数据的第二检测系统；
[0008]第一检测系统包括：数据接收模块，数据存储模块、流量复制检测模块、数据标识模块和数据发送模块；
[0009]数据接收模块，用于接收外部请求；
[0010]数据存储模块，存储有云服务器的IP地址并且与数据接收模块通信以存储数据接收模块接收的外部请求；
[0011]流量复制检测模块，与数据存储模块通信采用流量复制回放的方式提取外部请求的IP地址并判断外部请求的IP地址是否与云服务器的IP地址一致，若不一致则判断为非法请求，若一致则判断为合法请求；若判断为合法请求，数据标识模块调用数据存储模块存储的外部请求添加数据合法标识；
[0012]数据发送模块将添加有数据合法标识的外部请求转发至电网控制服务器；
[0013]第二检测系统包括：身份信息存储模块、数据标识验证模块和请求人身份校验模块；
[0014]身份信息存储模块存储有请求人信息并能够提取外部请求中的请求人信息进行校验；
[0015]数据标识验证模块对本地中转服务器的数据进行检测判断是否有数据合法标识，若否则不进行下一步动作，若是则进一步由请求人身份校验模块判断外部请求的请求人信息是否在身份信息存储模块中记录，若存在记录则电网控制服务器执行外部请求，若否则电网控制服务器不执行外部请求。
[0016]作为本专利技术进一步的方案：数据合法标识设置为数据签名；数据标识验证模块执行数字签名解密操作以判断是否有数据合法标识。
[0017]作为本专利技术进一步的方案：数据合法标识设置为特定的加密方式，数据标识验证模块检测判断是否具有该加密方式，若具有该加密方式则进行相应的解密操作，解密后由请求人身份校验模块判断外部请求的请求人信息是否在身份信息存储模块中记录。
[0018]作为本专利技术进一步的方案：一种基于拟态云waf技术的电网防护系统的电网防护流程包括以下步骤：
[0019]步骤1，数据接收模块接收外部请求；
[0020]步骤2，数据存储模块存储数据接收模块接收的外部请求；
[0021]步骤3，流量复制检测模块判断外部请求的IP地址是否与云服务器的IP地址一致，若不一致则判断为非法请求结束任务，若一致则判断为合法请求执行步骤4；
[0022]步骤4，数据标识模块调用数据存储模块存储的外部请求添加数据合法标识；
[0023]步骤5，数据发送模块将添加有数据合法标识的外部请求转发至电网控制服务器；
[0024]步骤6，数据标识验证模块判断接收到的数据是否具有数据合法标识，若否则结束任务，若是则执行步骤7，
[0025]步骤7，请求人身份校验模块判断是否外部请求的请求人信息是否在身份信息存储模块中记录，若存在记录则电网控制服务器执行外部请求，若否则电网控制服务器不执行外部请求。
[0026]一种基于拟态云waf技术的电网防护设备，包括：第一检测设备和第二检测设备；
[0027]第一检测设备与云服务器通讯；第二检测设备与第一检测设备通讯；第一检测设备设有用于检测数据的第一检测系统；第二检测设备设有用于检测数据的第二检测系统；
[0028]第一检测系统包括：数据接收模块，数据存储模块、流量复制检测模块、数据标识模块和数据发送模块；
[0029]数据接收模块，用于接收外部请求；
[0030]数据存储模块，存储有云服务器的IP地址并且与数据接收模块通信以存储数据接收模块接收的外部请求；
[0031]流量复制检测模块，与数据存储模块通信采用流量复制回放的方式提取外部请求的IP地址并判断外部请求的IP地址是否与云服务器的IP地址一致，若不一致则判断为非法请求，若一致则判断为合法请求；若判断为合法请求，数据标识模块调用数据存储模块存储的外部请求添加数据合法标识；
[0032]数据发送模块将添加有数据合法标识的外部请求转发至第二检测设备；
[0033]第二检测系统包括：身份信息存储模块、数据标识验证模块和请求人身份校验模块；
[0034]身份信息存储模块存储有请求人信息并能够提取外部请求中的请求人信息进行校验；
[0035]数据标识验证模块对第一检测设备的数据进行检测判断是否有数据合法标识，若否则不进行下一步动作，若是则进一步由请求人身份校验模块判断外部请求的请求人信息是否在身份信息存储模块中记录，若存在记录则第二检测设备执行外部请求，若否则第二检测设备不执行外部请求。
[0036]作为本专利技术进一步的方案：第二检测设备作为电网控制服务器的一部分，由电网控制服务器运行第二检测系统。
[0037]作为本专利技术进一步的方案：第二检测设备独立于电网控制服务器之外，第二检测设备执行外部请求时与电网控制服务器进行通信。
[0038]作为本专利技术进一步的方案：一种基于拟态云waf技术的电网防护设备的电网防护流程包括以下步骤：
[0039]步骤1，数据接收模块接收外部请求；
[0040]步骤2，数据存储模块存储数据接收模块接收的外部请求；
[0041]步骤3，流量复制检测模块判断外部请求的IP地址是否与云服务器的IP本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于拟态云waf技术的电网防护系统，其特征在于，包括：运行有云waf的云服务器、本地中转服务器和电网控制服务器；所述本地中转服务器与所述云服务器通讯；所述电网控制服务器与所述本地中转服务器通讯；所述本地中转服务器设有用于检测数据的第一检测系统；所述电网控制服务器设有用于检测数据的第二检测系统；所述第一检测系统包括：数据接收模块，数据存储模块、流量复制检测模块、数据标识模块和数据发送模块；所述数据接收模块，用于接收外部请求；所述数据存储模块，存储有云服务器的IP地址并且与所述数据接收模块通信以存储所述数据接收模块接收的外部请求；所述流量复制检测模块，与所述数据存储模块通信采用流量复制回放的方式提取外部请求的IP地址并判断外部请求的IP地址是否与云服务器的IP地址一致，若不一致则判断为非法请求，若一致则判断为合法请求；若判断为合法请求，所述数据标识模块调用所述数据存储模块存储的外部请求添加数据合法标识；所述数据发送模块将添加有数据合法标识的外部请求转发至所述电网控制服务器；所述第二检测系统包括：身份信息存储模块、数据标识验证模块和请求人身份校验模块；所述身份信息存储模块存储有请求人信息并能够提取外部请求中的请求人信息进行校验；所述数据标识验证模块对所述本地中转服务器的数据进行检测判断是否有数据合法标识，若否则不进行下一步动作，若是则进一步由所述请求人身份校验模块判断外部请求的请求人信息是否在所述身份信息存储模块中记录，若存在记录则所述电网控制服务器执行外部请求，若否则所述电网控制服务器不执行外部请求。2.根据权利要求1所述的一种基于拟态云waf技术的电网防护系统，其特征在于，所述数据合法标识设置为数据签名；所述数据标识验证模块执行数字签名解密操作以判断是否有数据合法标识。3.根据权利要求1所述的一种基于拟态云waf技术的电网防护系统，其特征在于，所述数据合法标识设置为特定的加密方式，所述数据标识验证模块检测判断是否具有该加密方式，若具有该加密方式则进行相应的解密操作，解密后由所述请求人身份校验模块判断外部请求的请求人信息是否在所述身份信息存储模块中记录。4.根据权利要求1所述的一种基于拟态云waf技术的电网防护系统，其特征在于，所述一种基于拟态云waf技术的电网防护系统的电网防护流程包括以下步骤：步骤1，所述数据接收模块接收外部请求；步骤2，所述数据存储模块存储所述数据接收模块接收的外部请求；步骤3，所述流量复制检测模块判断外部请求的IP地址是否与云服务器的IP地址一致，若不一致则判断为非法请求结束任务，若一致则判断为合法请求执行步骤4；步骤4，所述数据标识模块调用所述数据存储模块存储的外部请求添加数据合法标识；步骤5，所述数据发送模块将添加有数据合法标识的外部请求转发至所述电网控制服务器；
步骤6，所述数据标识验证模块判断接收到的数据是否具有数据合法标识，若否则结束任务，若是则执行步骤7，步骤7，所述请求人身份校验模块判断是否外部请求的请求人信息是否在所述身份信息存储模块中记录，若存在记录则所述电网控制服务器执行外部请求，若否则所述电网控制服务器不执行外部请求。5.一种基于拟态云waf技术的电网防护设备，其特征在于，包括：第一检测设备和第二检测设备；所述第一检测设备与所述云服务器通讯；所述第二检测设备与所...

【专利技术属性】
技术研发人员：倪晓璐，孙俊杰，杨天鹏，陶倩敏，羊鑫昌，孙海华，李兵，
申请(专利权)人：浙江富力达泛在物联网科技有限公司，
类型：发明
国别省市：