[发明专利]一种网络安全防护方法及系统

说明书

本发明属于信息处理技术领域，具体公开了一种网络安全防护方法和系统。该方法包括：基于总出口流表数，得出某时间段的实时总流表数面积；计算对应时间段的所述实时总流表数面积和标准总流表数面积的比值，所述标准总流表数面积是基于历史出口流表数得出的所述时间段内平均总流表数面积；在所述实时总流表数面积和标准总流表数面积的比值超过预设范围时，确定微服务系统在所述时间段内出现网络流量攻击。该方法可提高了网络攻击判定的效率，并能快速对发起网络攻击进行定位。

技术领域

本发明涉及信息处理技术领域，具体涉及一种网络安全防护方法及系统。

背景技术

微服务架构指将大型复杂软件系统拆分为多个松耦合微服务模块，这种模式正逐渐替代传统的SOA软件架构，但是微服务架构中各模块之间的网络通信量会大大增加，出现网络流量攻击的概率也会相应增加。

目前，对微服务架构的安全防护大多照搬传统软件架构的安全防护模式进行，即，将整个微服务系统看做一个整体进行监测，需要占用大量的资源判断受到网络攻击，如果发现网络攻击，还需要遍历所有容器，占用大量的运算资源，且定位耗时很长，排查故障的效率低。

发明内容

为此，本发明提供一种网络安全防护方法及系统，以解决现有技术中由于需要占用大量资源去判断和定位网络攻击而导致效率低的问题。

为了实现上述目的，本发明第一方面提供一种网络安全防护方法，所述方法包括：

基于总出口流表数，得出某时间段的实时总流表数面积；

计算对应时间段的所述实时总流表数面积和标准总流表数面积的比值，所述标准总流表数面积是基于历史出口流表数得出的所述时间段内平均总流表数面积；

在所述实时总流表数面积和标准总流表数面积的比值超过预设范围时，确定微服务系统在所述时间段内出现网络流量攻击。

优选地，在连续多个时间段内出现网络流量攻击时，确定微服务系统受到网络流量攻击。

优选地，所述确定微服务系统受到网络流量攻击之后，还包括：

对所述微服务系统内不同层级自上而下逐级排查，确定发起所述网络流量攻击的最低层级中的具体位置。

其中，所述对所述微服务系统内自上而下不同层级逐级排查，确定发起流量攻击的最低层级中的具体位置，包括：

基于第n层级中各模块的实时流表数，得出各模块的实时模块流表数面积，其中，n为正整数，n值越大，层级越低；

计算各模块对应的实时模块流表数面积和标准模块流表数面积的比值，所述标准模块流表数面积是基于各模块的历史出口流表数得出的平均模块流表数面积；

确定第n层级中实时模块流表数面积和标准模块流表数面积的比值超过预设范围的模块，从而确定第n层级中发起流量攻击的模块。

优选地，所述确定发起流量攻击的最低层级中的具体位置之后，还包括：

获取所述最低层级中发起流量攻击的模块的具体位置的IP地址；

将所述IP地址发送至控制器和/或告警模块；

所述控制器修改流表的转发策略，所述告警模块发出告警信息。

为了实现上述目的，本发明第二方面提供一种网络安全防护系统，包括：

监控模块，基于总出口流表数，得出某时间段的实时总流表数面积；

计算模块，计算对应时间段的所述实时总流表数面积和标准总流表数面积的比值，所述标准总流表数面积是基于历史出口流表数得出的所述时间段内平均总流表数面积；