一种基于云终端的数据安全防御系统、方法及云终端安全系统的制作方法
【技术领域】
[0001]本发明涉及一种网络通信安全领域,特别是涉及一种基于云终端的数据安全防御系统、方法及云终端安全系统。
【背景技术】
[0002]云计算是近年来发展的网络技术,它是将计算任务分布在大量计算机构成的资源池上,使得各种应用系统能够根据自身需要获得计算力、存储空间及各种软件服务。
[0003]云计算在为人类提供极大便利的同时,也带来一些安全隐患,除了传统的网络攻击,如黑客攻击、漏洞扫描、入侵等手段、对云平台威胁最大的是DDos (Distributed Denialof Service,分布式拒绝服务)攻击,DDos是Dos的一种,当多个处于不同位置的攻击源同时向一个或多个目标发起攻击,致使目标机或网络无法提供正常服务,就称其为分布式拒绝服务攻击。
[0004]基于网络传递服务的计算模式受到DDos攻击时所受影响比较大,特别是在云计算的环境下,有很多用户选择使用云服务及虚拟化数据中心,这样情况下,用户基础设施及存储大量数据的虚拟数据中心会成为DDoS攻击的重要目标。由于多用户的普及,针对企业资源发起的DDoS攻击,还可能产生连锁反应,牵连采用该企业主机托管的用户。由于DDoS攻击是利用TCP/IP协议的固有缺陷,因此很难设计一个完善的解决方案。
【发明内容】
[0005]鉴于以上所述现有技术的缺点,本发明的目的在于提供一种基于云终端的数据安全防御系统、方法及云终端安全系统,用于解决现有技术中当出现大规模攻击时云终端不能正常运行的问题。
[0006]为实现上述目的及其他相关目的,本发明提供一种基于云终端的数据安全防御系统、方法及云终端的安全系统;
[0007]—种基于云终端的数据安全防御系统,所述云终端包括有若干服务器,所述系统包括:网络监测管理模块,用于实时监控云终端的网络状况,当监控到云终端受到攻击时,限制对云终端的访问,启动反中转模块,将当前的访问数据包引导至反中转模块;与所述网络监测管理模块连接的反中转模块,用于将所述当前的访问数据包拦截下来,对所拦截的当前的访问数据包中的合法访问数据包发送给正中转站模块;及与所述反中转模块及所述网络检测管理模块均连接的正中转模块,用于接收并暂存所述合法访问数据包。
[0008]于本发明的一实施方式中,所述网络监测管理模块与所述云终端连接,所述网络监管管理模块具体包括:网络异常判断单元,用于判断云终端的网络是否出现异常,当判断出现异常时,确认所述云终端处于被攻击状态;与所述网络异常判断单元连接的启动单元,用于在当前网络处于被攻击状态时,启动所述反中转模块;与所述网络异常判断单元连接的限制单元,用于在当前网络处于被攻击状态时,限制对云终端的服务器的数据访问;与所述启动单元连接的引导单元,用于向所述反中转模块发送引导信息,以将所述当前的访问数据包引导至所述反中转模块。
[0009]于本发明的一实施方式中,所述反中转模块通过路由器与所述云终端连接,所述反中转模块具体包括:信息接收单元,用于接收所述网络监测管理模块所发送的信息,所述发送的信息包括当前云终端处于被攻击状态的信息;与所述信息接收单元连接的暂停服务命令单元,用于在当前云终端处于被攻击状态时,向对应的路由器发出暂停服务命令;与所述信息接收单元连接的拦截单元,用于对当前的访问数据包进行拦截,并将拦截的数据暂存下来;与所述拦截单元连接的分析单元,用于对所拦截的当前的访问数据包当前的访问数据包进行分析,识别出非法访问数据包及合法访问数据包,将所述合法访问数据包发送给所述正中转站模块。
[0010]于本发明的一实施方式中,所述系统还包括:与所述反中转模块连接的密码管理模块,用于在所述云终端处于被攻击状态时,对当前的访问数据包当前的访问数据包合法客户端发送的访问数据包进行标识,并将标识结果反馈给所述反中转模块,便于所述反中转模块基于所述标识进行识别。
[0011]于本发明的一实施方式中,所述密码管理模块具体包括:密码生成单元,用于根据与所述云终端连接的合法客户端的身份信息生成对应密码;密码发送单元,用于向所述合法客户端发送所述密码,使得所述合法客户端基于该密码向所述反中转模块发送携带所述密码的访问数据包;反馈单元,用于将所生成的密码反馈给所述反中转模块。
[0012]于本发明的一实施方式中,所述信息接收单元还用于接收所述反馈单元反馈的信息;所述分析单元具体用于:根据所述生成的密码对所拦截的当前的访问数据包当前的访问数据包进行识别,识别出非法访问数据包及合法访问数据包;所述反中转模块还包括:调运单元,用于将所述合法访问数据包转运到所述中转模块。
[0013]于本发明的一实施方式中,所述数据安全防御系统还包括:数据清理模块,用于将所述非法访问数据包进行销毁;所述调运单元还用于将所述非法访问数据包转运到所述数据清理模块中进行销毁。
[0014]于本发明的一实施方式中,所述中转模块还用于:接收所述网络监测管理模块反馈的云终端的网络恢复正常状态时,将所述合法访问数据包给所述云终端。
[0015]本发明还提供一种云终端安全系统,包括若干个服务器,包括基于云终端的数据安全防御系统,所述系统包括:网络监测管理模块,用于实时监控云终端的网络状况,当监控到云终端受到攻击时,限制对云终端的访问,启动反中转模块,将当前的访问数据包引导至反中转模块;与所述网络监测管理模块连接的反中转模块,用于将所述当前的访问数据包拦截下来,对所拦截的当前的访问数据包中的合法访问数据包发送给正中转站模块;及与所述反中转模块及所述网络检测管理模块均连接的正中转模块,用于接收并暂存所述合法访问数据包。
[0016]本发明还包括一种基于云终端的数据安全防御方法,所述云终端包括有若干服务器,所述数据安全防御方法包括:实时监控云终端的网络状况;当监控到云终端受到攻击时,限制对云终端的访问;将当前的访问数据包进行拦截;及将所拦截的当前的访问数据包中的合法访问数据包存储下来,所述当前的访问数据包包括合法访问数据包及非法访问数据包。
[0017]本发明的一种基于云终端的数据安全防御系统、方法及云终端安全系统,至少具有以下有益效果:由于实时监控云终端的网络状况,当判断云终端受到攻击时,及时将访问数据包进行拦截,控制路由器的运行,防止因大量数据涌向云终端而导致其不能正常运行当云终端的网络恢复正常时,将合法访问数据包发送给对应的地方,可有效地防止云终端受攻击,提高云终端的防御效率。
【附图说明】
[0018]图1是本发明的一种基于云终端的数据安全防御系统的结构图;
[0019]图2是本发明的一种基于云终端的数据安全防御系统在云环境中的实际示例图;
[0020]图3是本发明的一种基于云终端的网络检测管理模块1的具体结构图;
[0021]图4是本发明的一种基于云终端的数据安全防御系统的反中转模块2的具体结构图;
[0022]图5是本发明的一种基于云终端的数据安全防御系统的密码管理模块4的具体结构图;
[0023]图6是本发明的一种基于云终端的安全防御方法的流程图。
[0024]元件标号说明:
[0025]1网络检测管理模块
[0026]2反中转模块
[0027]3正中转模块
[0028]4密码管理模块
[0029]5数据清理模块
[0030]11网络异常判断单元
[0031]12启动单元
[0032]13限制单元
[0033]14引导单元
[0034]21信息接收单元
[0035]22暂停服务命令单元
[0036]23拦截单元
[0037]24分析单元
[0038]25调运单元
[0039]41密码生成单元
[0040]42密码发送单元
[0041]43反馈单元
[0042]S1 ?S4 步骤
【具体实施方式】
[0043]以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的【具体实施方式】加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
[0044]需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
[0045]实施例1
[0046]请参阅图