[发明专利]应用集群安全防护系统、方法、电子设备及存储介质

权利要求书

1.一种应用集群安全防护系统，其特征在于，包括：域名服务器、前置访问控制器、网络应用防火墙WAF网关和流量监测系统；

所述域名服务器，用于接收客户端发送的域名访问请求，对其解析得到所述域名访问请求对应的IP地址，并将所述域名访问请求对应的IP地址引流至前置访问控制器；

所述前置访问控制器，用于基于IP黑名单对所述域名访问请求对应的IP地址进行第一层过滤，得到第一请求，所述IP黑名单基于所述流量监测系统实时更新；

所述WAF网关，用于接收所述第一请求，并基于异常请求识别规则对所述第一请求进行第二层过滤，得到第二请求；将所述第二请求发送至应用集群中相应的应用系统进行处理；

所述流量监测系统，用于收集并分析所述WAF网关的日志数据，并根据所述日志数据更新IP黑名单；

其中，所述异常请求识别规则包括但不限于：第一请求中的请求代码连续且第一请求中的关键字与预设关键字相同；所述WAF网关具体用于：判断所述第一请求是否符合异常请求识别规则；

若是，则对所述第一请求进行拦截，并将拦截的所述第一请求对应的IP地址写入IP黑名单库；

若否，则确定所述第一请求为经过过滤的第二请求。

2.根据权利要求1所述的系统，其特征在于，所述域名服务器具体用于：

接收客户端发送的域名访问请求，并对所述域名访问请求中的域名配置别名记录CNAME；

对配置所述CNAME的所述域名访问请求进行解析，得到的所述域名访问请求对应的IP地址；

将所述域名访问请求对应的IP地址引流至所述前置访问控制器。

3.根据权利要求1所述的系统，其特征在于，所述流量监测系统包括实时日志平台、日志分析模块和动态数据库；所述动态数据库包括IP黑名单库、异常请求识别规则库；

所述实时日志平台，用于收集所述WAF网关的日志数据，并向所述日志分析模块提供所述日志数据；所述日志数据包括访问日志与拦截日志；

所述日志分析模块，用于读取所述日志数据中的拦截日志，所述拦截日志中包括异常请求；并读取所述日志数据中的访问日志，基于所述异常请求识别规则识别所述访问日志中的异常请求；提取所述拦截日志中的异常请求对应的IP地址以及所述访问日志中的异常请求，并将提取到IP地址写入所述动态数据库中的所述IP黑名单库。

4.根据权利要求3所述的系统，其特征在于，所述流量监测系统还包括响应模块，所述动态数据库还包括IP白名单库；所述响应模块用于：

定时读取所述IP黑名单库中的IP黑名单和与所述IP白名单库中的IP白名单，并计算所述IP黑名单与所述IP白名单的差集，得到异常IP集合；

将所述异常IP集合中的IP黑名单与前置访问控制器中的IP黑名单进行比对；

若比对信息不一致，则将所述异常IP集合中的IP黑名单写入前置访问控制器中的IP黑名单；

向运维人员发送所述前置访问控制器中的IP黑名单的变动信息，以提示运维人员所述前置访问控制器中的IP黑名单发生更改。

5.根据权利要求3所述的系统，其特征在于，所述实时日志平台还用于：

将所述第二请求进行可视化显示，以供运维人员针对所述第二请求进行数据分析，筛选出所述第二请求中的异常请求，并提取所述异常请求中的关键字；

相应的，所述动态数据库还用于，接收运维人员输入的关键字并基于该关键字更改异常请求识别规则库。