[发明专利]一种移动目标防御智能安全CDN系统

权利要求书

1.一种移动目标防御智能安全CDN服务器端系统，其特征在于：其包括CDN服务器端和云服务器端，所述CDN服务器端包括可疑请求判断模块、反向代理模块，所述云服务器端包括请求分析模块、请求过滤模块、态势感知模块、日志记录模块、MTD模块；

所述可疑请求判断模块主要对用户访问的请求进行判断，如果请求可疑则将其提交至云服务器端进行分析；

所述反向代理模块，若判断用户请求为可疑请求，则将可疑请求发送至云服务器端，再根据云服务器端反馈结果完成对应操作；

所述请求分析模块主要负责安全威胁检测和安全威胁等级评定；

所述请求过滤模块根据请求分析模块进行结果分析，对危险的字段、操作行为进行过滤、转义处理，将安全的结果输出返回至云服务器端；

所述态势感知模块运用网络态势感知技术将网络设备运行状况、网络行为以及用户行为进行整体分析对能够引起网络态势发生变化的所有安全要素进行获取、理解、显示，将新型威胁行为进行提取，对其安全威胁等级进行评估，以构建新态势感知库；

所述日志记录模块将所有的威胁行为与分析结果进行存储；

所述MTD模块的Web服务的响应能够反映当前系统的指纹信息，攻击者能够通过指纹信息对目标进行攻击，该模块通过拦截web服务响应的信息，并修改指纹信息已达到防御的效果。

2.根据权利要求1所述的移动目标防御智能安全CDN服务器端系统，其特征在于：所述CDN服务器端采用OpenResty作为反向代理服务器，所述OpenResty是基于Lua语言与Nginx的Web服务器。

3.一种移动目标防御智能安全CDN服务器端系统的工作流程如下：

首先客户端向服务器发送请求会交给MTD模块生成随机的Banner信息，接着请求会发送给CDN服务器端，所述CDN服务器端收到请求之后，会判断请求是否包含威胁内容，如果请求存在威胁会交给云服务器端进行判断；

所述云服务器端二次分析，通过分析用户的请求流量判定是否存在威胁，存在威胁则会请求态势感知模块对威胁进行等级判定，并做出相应的决策；如果分析之后判定为攻击，则会通知CDN服务器端，终止本次用户的请求，并将随机Banner响应给客户端，如果判定不是攻击流量则会将请求的流量进行二次处理并转交给Web服务器，并返回随机的Banner信息；

上述流程经过都会记录到云日志系统中，云服务器端会调用态势感知模块对日志进行分析与评估，之后会提取出相应的特征信息，特征信息会存入并更新态势感知数据库，下一次威胁分析就会调用最新的数据进行判断；所有请求结果都会生成图表，以供使用者查看。

4.根据权利要求3所述的工作流程，其特征在于：当用户向web端发送请求时，会先请求MTD模块生成随机Banner信息，接着调用nginx的反向代理转发至CDN服务器端，由CDN服务器端初步利用预先定义的规则进行初步的判断，同时会将符合网站运行的安全策略部署在云服务器上。

5.根据权利要求4所述的工作流程，其特征在于：当CDN服务器端发现可疑流量时，会对流量进行威胁等级判断，然后会转交给云服务器端，所述云服务器端会对流量进行再次检验，对于恶意流量会进行拦截，以达到保护网站的效果。

6.根据权利要求5所述的工作流程，其特征在于：所述CDN服务器端采用OpenResty作为反向代理服务器，所述OpenResty是基于Lua语言与Nginx的Web服务器。

7.根据权利要求6所述的工作流程，其特征在于：所述态势感知模块采用B/S架构方法。

8.根据权利要求7所述的工作流程，其特征在于：当用户访问该Web服务时，会经过CDN服务器端进行流量处理，再交由Web服务器进行响应，在Web服务器响应时，响应信息包含Web服务器的指纹内容；用户发起的http请求通过CDN服务器端网络到达Web服务跳，MTD模块对用户请求并不作处理，标记异常请求，然后将该用户请求转发到Web服务器；Web服务器对用户请求回复http响应，发送到Web服务系统，该模块拦截该响应包，并根据当前的Web服务器类型和版本配置修改响应数据包，并将修改后的http响应包发送到用户浏览器端显示；在不同时刻，MTD模块返回的指纹信息响应包都不相同。