本申请提供一种用于业务服务安全加固的方法及系统、计算设备和计算机可读存储介质,其中所述方法包括:部署代理服务,在代理服务中根据第一周期对第一访问请求进行限流;在业务层对来自所述代理服务的第二访问请求进行全局计数,并根据第二周期对所述第二访问请求进行限流;其中第一周期的数量级小于所述第二周期。在该方法中通过将前端通过代理服务和业务端的全局访问控制相结合的双重限流方式对已有的业务服务实现快速的安全加固,对各种大流量攻击能都起到较好的防护作用,同时也无需对原有的业务系统进行较大的修改,极大的节约了项目的开发成本。了项目的开发成本。了项目的开发成本。
【技术实现步骤摘要】
一种用于业务服务安全加固的方法及系统
[0001]本申请涉及计算机安全
,特别涉及一种用于业务服务安全加固的方法及系统、计算设备和计算机可读存储介质。
技术介绍
[0002]目前,运行在线上的业务平台在提供互联网服务时经常会遭受到外部攻击,例如DDOS攻击、CC攻击等,此类攻击会导致业务平台的相关硬件资源迅速耗尽,从而无法及时响应正常的业务请求。现有技术一般采用限流的方法,但常规的限流方法实现方式较为繁琐且成本较高,需要对原来的系统做较大的改动。因此亟需一种高效、完备的线上服务的安全加固方案。
技术实现思路
[0003]有鉴于此,本申请实施例提供了一种用于业务服务安全加固的方法及系统、计算设备和计算机可读存储介质,以解决现有技术中存在的技术缺陷。
[0004]根据本申请实施例的第一方面,提供了一种用于业务服务安全加固的方法,包括:
[0005]部署代理服务,在代理服务中根据第一周期对第一访问请求进行限流;
[0006]在业务层对来自所述代理服务的第二访问请求进行全局计数,并根据第二周期对所述第二访问请求进行限流;
[0007]所述第一周期的数量级小于所述第二周期。
[0008]根据本申请实施例的第二方面,提供了一种用于业务服务安全加固的系统,包括:
[0009]代理服务模块,所述代理服务模块根据第一周期对第一访问请求进行限流;
[0010]业务层访问控制模块,对来自所述代理服务模块的第二访问请求进行全局计数,并根据第二周期对所述第二访问请求进行限流;
[0011]所述第一周期的数量级小于所述第二周期。
[0012]根据本申请实施例的第三方面,提供了一种服务器,在服务器上部署了用于业务服务安全加固的系统。
[0013]根据本申请实施例的第四方面,提供了一种计算设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机指令,所述处理器执行所述指令时实现所述用于业务服务安全加固的方法的步骤。
[0014]根据本申请实施例的第五方面,提供了一种计算机可读存储介质,其存储有计算机指令,该指令被处理器执行时实现所述用于业务服务安全加固的方法的步骤。
[0015]与现有技术相比,本申请实施例在不对原有系统进行大面积修改的前提下,通过将前端通过代理服务和业务端的全局访问控制相结合的双重限流方式对已有的业务服务实现快速的安全加固,对各种大流量攻击能都起到较好的防护作用,同时也无需对原有的业务系统进行较大的修改,节约了项目的开发成本。
附图说明
[0016]图1是本申请实施例提供的计算设备的结构框图;
[0017]图2是本申请实施例提供的一种用于业务服务安全加固的方法的流程示意图;
[0018]图3是本申请实施例提供的一种用于业务服务安全加固的方法的架构示意图;
[0019]图4是本申请实施例提供的一种用于业务服务安全加固的方法中业务层访问控制的流程示意图;
[0020]图5是本申请实施例提供的一种用于业务服务安全加固的系统的结构示意图。
具体实施方式
[0021]在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是本申请能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似推广,因此本申请不受下面公开的具体实施的限制。
[0022]在本申请一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请一个或多个实施例。在本申请一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本申请一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
[0023]应当理解,尽管在本申请一个或多个实施例中可能采用术语第一、第二等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请一个或多个实施例范围的情况下,第一也可以被称为第二,类似地,第二也可以被称为第一。取决于语境,如在此所使用的词语“如果”可以被解释成为“响应于确定”。
[0024]在本申请中,提供了一种用于业务服务安全加固的方法及系统、计算设备和计算机可读存储介质,在下面的实施例中逐一进行详细说明。
[0025]图1示出了根据本申请一实施例的计算设备100的结构框图。该计算设备100的部件包括但不限于存储器110和处理器120。处理器120与存储器110通过总线130相连接,数据库150用于保存数据。
[0026]计算设备100还包括接入设备140,接入设备140使得计算设备100能够经由一个或多个网络160通信。这些网络的示例包括公用交换电话网(PSTN)、局域网(LAN)、广域网(WAN)、个域网(PAN)或诸如因特网的通信网络的组合。接入设备140可以包括有线或无线的任何类型的网络接口(例如,网络接口卡(NIC))中的一个或多个,诸如IEEE802.11无线局域网(WLAN)无线接口、全球微波互联接入(Wi
‑
MAX)接口、以太网接口、通用串行总线(USB)接口、蜂窝网络接口、蓝牙接口、近场通信(NFC)接口,等等。
[0027]在本申请的一个实施例中,计算设备100的上述部件以及图1中未示出的其他部件也可以彼此相连接,例如通过总线。应当理解,图1所示的计算设备结构框图仅仅是出于示例的目的,而不是对本申请范围的限制。本领域技术人员可以根据需要,增添或替换其他部件。
[0028]计算设备100可以是任何类型的静止或移动计算设备,包括移动计算机或移动计算设备(例如,平板计算机、个人数字助理、膝上型计算机、笔记本计算机、上网本等)、移动
电话(例如,智能手机)、可佩戴的计算设备(例如,智能手表、智能眼镜等)或其他类型的移动设备,或者诸如台式计算机或PC的静止计算设备。计算设备100还可以是移动式或静止式的服务器。
[0029]在现有技术中,通常在网关服务器处对访问流量进行控制,例如在现有技术CN110933097A和CN 111355626 A中,在网关服务器上通过Nginx和Lua相结合的方式,采用Lua语言提供控制Nginx中API的路由与转发以及监控的接口,实现了复杂的流量控制功能。但是,该方案的实现需要熟练掌握lua脚本语言,且需要对原有的Nginx配置进行大量修改,因此对正常运行的业务服务系统来说,改造的成本较高。因此,需要一种简洁、低成本的方式,在尽量不破坏原有系统架构的情况下完成流量的控制。
[0030]因此,在本申请实施例中,为了解决上述问题,提出了一种用于业务服务安全加固的方法,包括步骤202至步骤204:
[0031]步骤202:部署代理服务,在代理服务上根据第一周期对第一访问请求进行限流。
[0032]在现有技术中,业务服务的前端通常都存在代理服务,用于直接接收所本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于业务服务安全加固的方法,其特征在于,包括:部署代理服务,在代理服务中根据第一周期对第一访问请求进行限流;在业务层对来自所述代理服务的第二访问请求进行全局计数,并根据第二周期对所述第二访问请求进行限流;所述第一周期的数量级小于所述第二周期。2.根据权利要求1所述的方法,其中,在代理服务中根据第一周期对第一访问请求进行限流包括:在所述代理服务中限制每个ip在单个代理进程中的第一周期访问次数。3.根据权利要求2所述的方法,其中,在所述代理服务中限制每个ip在单个代理进程中的周期访问次数包括:将每个ip在单个代理进程中的第一周期访问次数与第一阈值进行比较,当所述第一周期访问次数大于第一阈值时,对该IP的访问进行限制。4.根据权利要求3所述的方法,还包括,部署多个代理服务器,在每个代理服务器上通过代理服务软件实现上述限流功能,所述代理服务软件包括但不限于HAProxy。5.根据权利要求1所述的方法,其中,在业务层对来自所述代理服务的第二访问请求进行全局计数,并根据第二周期对所述第二访问请求进行限流包括:业务层获取第二访问请求的IP在第二周期内访问业务层的次数,当所述访问业务层的次数大于第二阈值时,拦截该访问请求并拒绝服务;当所述访问业务层的次数小于第二阈值时,将该访问请求转发到业务流程正常执行,并将其对应的IP在第二周期内对业务层的访问...
【专利技术属性】
技术研发人员:梁前武,张洁,请求不公布姓名,李建良,郭子文,何雨泉,乐坚强,林逸,
申请(专利权)人:北京云游互动网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。