[发明专利]一种防范API网关泛洪攻击的系统及方法

说明书

本发明公开了一种防范API网关泛洪攻击的系统及方法，属于网络安全技术领域。本发明的防范API网关泛洪攻击的系统包括API网关、API网关数据库，还包括API密钥过滤器，API密钥过滤器包括密钥解析器、布隆过滤器和请求拦截器；密钥解析器用于从请求API服务的请求中提取API密钥并判断API密钥长度是否有效，布隆过滤器用于过滤未授权的API密钥，并将判断为未授权的请求转给请求拦截器，请求拦截器对无效请求进行拦截处理；所述API网关还包括过滤器维护模块，用于维护API密钥过滤器。该发明的防范API网关泛洪攻击的系统对API网关认证服务的泛洪攻击的高效过滤拦截，具有很好的推广应用价值。

技术领域

本发明涉及网络安全技术领域，具体提供一种防范API网关泛洪攻击的系统及方法。

背景技术

应用程序编程接口(Application Programming Interface，以下简称API)，是一种规定多种软件系统间交互行为的计算接口。它定义了可以进行的调用或请求的类型，如何进行调用，应使用的数据格式，以及软件交互双方应遵循的约定等。它还可以提供扩展机制，以便用户可以以各种方式扩展现有功能。在不同程度上。API可以是完全定制的，特定于组件，也可以基于行业标准进行设计以确保互操作性。通过信息隐藏，API支持模块化编程，从而允许用户独立于实现使用接口。

微服务架构是面向服务的架构(SOA)结构样式的变体，将应用程序安排为一组松散耦合的服务。在微服务架构中，服务是细粒度的，协议是轻量级的。微服务没有单一定义。随着时间的流逝，业界已形成共识。经常被引用的一些定义特征包括：

1.在一个微服务架构(MSA)服务通常是程序，超过一个通信网络以满足使用技术无关目标协议(如HTTP)。

2.微服务架构中的服务可以独立部署。

3.服务是围绕业务功能组织的。

4.可以根据最适合的语言，使用不同的编程语言，数据库，硬件和软件环境来实现服务。

5.服务规模小，支持消息传递，受上下文限制，自主开发，可独立部署，去中心化以及通过自动化流程构建和发布。

API网关(Application Programming Interface Gateway)接收所有客户端请求，并将这些请求通过请求路由、请求合成和协议转换路由到适合的微服务。典型的应用场景是，API网关通过调用多个微服务来处理一次请求，并将处理结果组合后通过最优的路径返回给微服务的调用方。API网关可以在web协议和对web不友好的内部协议类型间转换。

一个API网关的典型应用是电子商务网站。电子商务网站使用API网关为移动客户端提供一个可以使用一次请求获取所有产品信息的入口。API网关调用不同的服务，例如产品信息和产品评价，最后将这些服务的响应结果组合在一起返回给调用者。

泛洪攻击是拒绝服务攻击(denial-of-service attack，以下简称DoS攻击)的一种。拒绝服务攻击是一种网络攻击，在这种攻击中，犯罪者试图通过暂时或无限期地中断连接到Internet的主机的服务，使机器或网络资源无法供其预期的用户使用。拒绝服务通常是通过向目标机器或资源中注入多余的请求来实现的，以使系统超载并阻止某些或所有合法请求得到满足。

在分布式拒绝服务攻击(distributed denial-of-service attack，以下简称DDoS攻击)中，淹没受害者的传入流量来自许多不同的来源。这有效地使得不可能仅通过阻止单个来源来阻止攻击。

DoS或DDoS攻击类似于一群人拥挤商店的入口门，使合法客户难以进入，从而破坏了交易。拒绝服务(DoS)攻击的犯罪分子通常将目标锁定在知名Web服务器(例如银行或信用卡支付网关)上的站点或服务。