本發明公開了一種防止網絡被攻擊的方法，該方法包括：將第一組網絡設備配置MAC地址互不相同的主WAN接口和輔助WAN接口，監控到主WAN接口受到DDoS攻擊時激活輔助WAN接口；建立第二層防御體系，將第二組網絡設備中配置應用層負載均衡子系統、消息隊列子系統、實時計算子系統并且配置負載均衡代理；將應用層負載均衡子系統配置為接收用戶請求；將負載均衡代理配置為讀取用戶請求并寫入消息隊列子系統；將消息隊列子系統配置為對寫入的用戶請求進行緩存；將實時計算子系統配置為對緩存的用戶請求中的數據進行分析生成封禁規則；將負載均衡代理配置為提取封禁規則應用于應用層負載均衡子系統。該方法可有效防止DDoS攻擊、網絡滲透攻擊及異常數據訪問。

技術領域

本發明是關于網絡安全領域，特別是關于一種防止網絡被攻擊的方法。

背景技術

隨著互聯網技術的發展，互聯網的用戶量及產生的互聯網信息非常龐大，同時面對網絡服務器的攻擊行為越來越多，如DDOS攻擊(分布式拒絕服務攻擊)、網絡滲透攻擊等。目前在服務器端還沒有非常有效的防止網絡被攻擊的方法。一旦發生攻擊事件，就可能會導致服務器無法正常工作，甚至導致網絡信息被泄露等更加嚴重的問題。因此，急需提出一種有效的防止網絡被攻擊的方法。

公開于該背景技術部分的信息僅僅旨在增加對本發明的總體背景的理解，而不應當被視為承認或以任何形式暗示該信息構成已為本領域一般技術人員所公知的現有技術。

發明內容

本發明的目的在于提供一種防止網絡被攻擊的方法，其能夠有效防止DDoS攻擊和網絡滲透攻擊。

為實現上述目的，本發明提供了一種防止網絡被攻擊的方法，所述網絡中包括多組網絡設備，該方法包括：建立第一層防御體系，即將第一組網絡設備配置主WAN接口和輔助WAN接口，所述主WAN接口的MAC地址和所述輔助WAN接口的MAC地址互不相同，監控到所述主WAN接口受到DDoS攻擊時，激活所述輔助WAN接口；建立第二層防御體系，即將第二組網絡設備中配置應用層負載均衡子系統、消息隊列子系統、實時計算子系統并且將所述應用層負載均衡子系統中配置負載均衡代理；將所述應用層負載均衡子系統配置為接收用戶請求；將所述負載均衡代理配置為讀取所述用戶請求并將所述用戶請求寫入所述消息隊列子系統；將所述消息隊列子系統配置為對寫入的所述用戶請求進行緩存；將所述實時計算子系統配置為對緩存的所述用戶請求中的數據進行分析，并根據分析結果生成封禁規則，該封禁規則緩存在所述消息隊列子系統中；將所述負載均衡代理配置為提取所述封禁規則應用于所述應用層負載均衡子系統形成物理級防御體系。

在一優選的實施方式中，激活所述輔助WAN接口包括：斷開所述主WAN接口的網絡層連接；釋放所述主WAN接口的IP地址，釋放所述主WAN接口相關的數據配置，刪除所述主WAN接口的路由信息；獲取所述輔助WAN接口的IP地址，根據獲得的輔助WAN接口的IP地址更新路由信息；建立所述輔助WAN接口的網絡層連接。

在一優選的實施方式中，將所述實時計算子系統配置為對緩存的所述用戶請求中的數據進行分析包括：將所述實時計算子系統配置為對指定時間周期內獲取的所述用戶請求所對應的源IP地址進行計數，當一個源IP地址的計數超過指定閥值時，將該源IP地址加入封禁規則。

在一優選的實施方式中，將所述實時計算子系統配置為對緩存的所述用戶請求中的數據進行分析包括：將所述實時計算子系統配置為對指定時間周期內獲取的所述用戶請求所對應的目的IP地址進行計數，當一個目的IP地址的計數超過指定閥值時，所述實時計算子系統對與該目的IP地址相對應的用戶請求所對應的源IP地址進行統計，并將統計數量最高的一個和多個源IP地址加入封禁規則。

在一優選的實施方式中，將所述實時計算子系統配置為對緩存的所述用戶請求中的數據進行分析包括：將所述實時計算子系統配置為將所述用戶請求中的指定的特征與預先存儲的特征列表進行匹配，當存在匹配的特征時，將具有存在匹配的特征的用戶請求所對應的IP地址加入封禁規則。