CN109561051A - 内容分发网络安全检测方法及系统 - Google Patents
内容分发网络安全检测方法及系统 Download PDFInfo
- Publication number
- CN109561051A CN109561051A CN201710882559.5A CN201710882559A CN109561051A CN 109561051 A CN109561051 A CN 109561051A CN 201710882559 A CN201710882559 A CN 201710882559A CN 109561051 A CN109561051 A CN 109561051A
- Authority
- CN
- China
- Prior art keywords
- data
- analysis
- session
- network
- default
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供一种内容分发网络安全检测方法及系统,内容分发网络节点对其所有流量进行复制,进而可获取到内容分发网络节点复制的网络流量数据得到全量网络流量数据,然后对获取的网络流量数据按预设入侵检测规则进行安全分析,根据分析结果确定是否存在安全告警,实现对内容分发网络的安全检测,且本发明是对内容分发网络节点所转发的流量进行分析,分析结果准确可靠,可及时有效的发现潜在安全威胁,保护用户以及服务提供商的合法利益,提升安全性,降低安全风险。
Description
技术领域
本发明涉及通信领域,尤其涉及一种内容分发网络安全检测方法及系统。
背景技术
随着互联网的发展和广泛应用,越来越多的服务提供商利用CDN(ContentDelivery Network内容分发网络)技术对网站资源尤其视频内容进行加速,以节约带宽、提升用户体验。融合CDN是在传统CDN基础上实现多业务的融合承载,以及多种终端统一接入的技术,提供机顶盒、PC、移动设备等多种终端上各种业务的内容分发网络,从而满足海量用户的个性化需求。其业务能力包括视频服务、Web加速、应用加速、文件加速等。
业务的发展也给网络安全带来更大的挑战,同时各国政府对互联网安全的治理也更加重视,我国更是出台了相关法案和行业准则来规范网络安全。然而当前的安全措施还主要针对网络设备和主机设备,对网络风险的防范还存在一定的滞后性和被动性。融合CDN作为多种业务的加速通道,如果对其承载的流量合理监控和分析,可及时有效的发现潜在安全威胁,保护用户以及服务提供商的合法利益,降低安全风险,因此如何实现内容分发网络的安全检测是目前亟需解决的问题。
发明内容
本发明实施例提供的一种内容分发网络安全检测方法及系统,主要解决的技术问题是实现内容分发网络的安全检测,降低安全风险。
为解决上述技术问题,本发明实施例提供一种内容分发网络安全检测方法,包括:
获取内容分发网络节点复制的网络流量数据得到全量网络流量数据;
对获取的全量网络流量数据按预设入侵检测规则进行安全分析;
根据分析结果确定是否存在安全告警。
本发明实施例还提供一种内容分发网络安全检测系统,包括节点分析设备和中心服务器;
节点分析设备,与内容分发网络节点连接,用于获取所述内容分发网络节点复制的网络流量数据得到全量网络流量数据,以及用于对获取的网络流量数据按从所述中心服务器获取的预设入侵检测规则进行安全分析,根据分析结果确定是否存在安全告警。
本发明的有益效果是:
根据本发明实施例提供的内容分发网络安全检测方法及系统,内容分发网络节点对其所有流量进行复制,进而可获取到内容分发网络节点复制的网络流量数据得到全量网络流量数据,然后对获取的网络流量数据按预设入侵检测规则进行安全分析,根据分析结果确定是否存在安全告警,实现对内容分发网络的安全检测,且本发明是对内容分发网络节点所转发的流量进行分析,分析结果准确可靠,可及时有效的发现潜在安全威胁,保护用户以及服务提供商的合法利益,提升安全性,降低安全风险。
本发明其他特征和相应的有益效果在说明书的后面部分进行阐述说明,且应当理解,至少部分有益效果从本发明说明书中的记载变的显而易见。
附图说明
图1为本发明实施例一的内容分发网络安全检测方法流程图;
图2为本发明实施例一的对全量网络流量数据按进行安全分析流程图一;
图3为本发明实施例一的对全量网络流量数据按进行安全分析流程图二;
图4为本发明实施例一的生成会话数据流程图;
图5为本发明实施例一的会话数据安全分析流程图;
图6为本发明实施例一的生成统计数据流程图;
图7为本发明实施例二的内容分发网络安全检测系统结构图;
图8为本发明实施例三的内容分发网络安全检测系统结构图;
图9为本发明实施例三的内容分发网络安全检测流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下面通过具体实施方式结合附图对本发明实施例作进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
实施例一:
本实施例提供的内容分发网络安全检测方法适用于融合内容分发网络。针对需要待检测的CDN(Content Delivery Network内容分发网络)节点,该CDN 节点需要将自身转发的流量数据进行复制以发给与该CDN节点连接的节点分析设备,以供节点分析设备进行安全分析。本实施例中,针对个待检测的CDN节点可以分别设置一个节点分析设备,以满足对大数据量进行及时快速的分析。当然也可以多个CDN节点共用一个节点分析设备,具体可以根据具体需求灵活设定。具体的,在节点分析设备侧,内容分发网络安全检测方法参见图1所示,包括:
S101:获取内容分发网络节点复制的网络流量数据得到全量网络流量数据。
本实施例中,CDN节点对其转发的所有数据流量都要复制一份以作为后面进行安全分析的源数据,本实施例中对从CDN节点获取的网络流量数据称为全量网络流量数据。
S102:对获取的全量网络流量数据按预设入侵检测规则进行安全分析。
本实施例中的预设入侵检测规则可以是能从全量网络流量数据中检测出非法数据或威胁数据的任何检测规则。例如可以通过安全算法进行计算,也可以通过信誉检测规则进行检测。
S103:根据分析结果确定是否存在安全告警。
根据S102的分析结果即可确定出是否存在安全告警。本实施例中在确定存在安全告警后,还可发出相应的告警信息进行告警,和/或在存在自动修复策略时,调用相应的自动修复策略进行自动修复。
在本实施例中,S102对获取的全量网络流量数据按预设入侵检测规则进行安全分析可以采用以下方式中的任意一种:
方式一:参见图2所示,包括:
S201:从全量网络流量数据中选择预设协议对应的预设目标字段数据。
本实施例中的预设协议可以是超文本传输协议(HyperText Transfer Protocol,http)、HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer) 协议等。本实施例中的目标字段数据包括但不限于IP地址、文本字符串、主机名、电子邮件地址、文件名等。
S202:对选择的预设目标字段数据采用预设安全校验算法进行计算得到安全校验值。
本实施例中的预设安全校验算法包括但不限于哈希值计算、正则表达式匹配计算等算法。
S203:将得到的安全校验值与预设安全校验值进行比较,得到比较结果。进而根据比较结果就可以确定出是否存在安全告警。
方式二:参见图3所示,包括:
S301:从获取的全量网络流量数据中选择目标地址信息,该目标地址信息包括目标IP地址和目标域名信息。
S302:将选择的目标地址信息和预设地址黑名单中的恶意地址信息进行匹配。当与其中任意一个恶意地址匹配成功时,则确定存在安全告警。
本实施例中的预设地址黑名单中包含了曾参与网络攻击行为的各种恶意地址或其他被列为黑名单的恶意地址等。当然,本实施例也可以设置相反的白名单,当目标地址不在该白名单中时则确定存在安全告警。
在本实施例中,除了通过上述在CDN节点侧进行网路安全检测外,为了进一步提升网络安全性和分析检测的准确性,本实施例还可从得到的全量网络数据中得到会话数据和统计数据中的至少一种,并基于得到的会话数据和统计数据做进一步安全检测。本实施例中可以针对个CDN节点的会话数据和统计数据进行单独分析,也可以结合各个CDN节点的会话数据和统计数据进行联合分析,具体可以根据具体需求灵活设定。本实施例分别对会话数据和统计数据进行分析的过程进行示例说明。
需要对会话数据进行安全性检测时,该过程参见图4所示,包括:
S401:从全量网络流量数据中抽取预设协议的会话信息得到会话数据。
其中会话数据来自于依据CDN预设协议从全量数据包抽取的会话信息,如 CDN节点运行过程中得到一段HTTP协议的交互中提取双方的会话信息——双方于某时间戳发送HTTP协议请求或响应及其主要信息。
S402:对得到的会话数据按预设会话数据分析规则进行安全分析。
本实施例中对得到的会话数据进行分析是采用的预设会话数据分析规则也可以灵活设定,例如,在一种示例中,可以采用以下两种分析方式中的至少一种:
方式一:将获取的会话数据与预设会话模型进行匹配,该预设会话模型包括白名单会话和黑名单会话,当某一会话数据落入黑名单会话时,判定该会话数据为攻击会话数据,当某一会话数据落入黑名单会话和白名单会话之外时,判定该会话数据为疑似攻击会话数据;当某一会话数据落入白名单会话时,则判定该会话数据为安全会话数据。
例如,预设会话模型包括“源IP/源端口/目的IP/目的端口/协议”五元组白名单(其中白名单配置为明确的地址端口,或者地址端口的范围,也即白名单会话),以及已知的恶意外部非法网站或攻击源服务器(也即黑名单会话)。关联统计某台CDN节点主机某时间段内和其它设备的会话交互行为,初步发现非法攻击痕迹,如该节点和外部节点的会话交互位于交互模型白名单之外,或者对端地址刚好位于恶意服务器列表范围内,则对该交互行为生成告警信息。
方式二:参见图5所示,包括:
S501:从会话数据中提取重定向信息(例如包括但不限于异常302)。
S502:获取重定向消息的消息头中的定位字段(如Location字段)。
S503:判断定位字段是否指向预设恶意位置(CP)。
需要对统计数据进行安全性检测时,该过程参见图6所示,包括:
S601:从全量网络流量数据中抽取预设目标对象之预设资源的访问数据得到统计数据。例如统计数据包括某时间段内CDN所承载的终端向特定目标(例如特定网站)请求特定资源(例如视频、音乐等)的统计信息。
S602:对得到的统计数据按预设统计数据分析规则进行安全分析。
本实施例中对得到的统计数据进行分析是采用的预设统计数据分析规则也可以灵活设定,例如,在一种示例中,可以采用以下两种分析方式中的至少一种:
方式一:从统计数据中获取预设协议统计组的流量进行统计,该预设协议统计组由源IP地址、源端口、目的IP地址、目的端口、以及预设协议组成,也即五元组;
当某一预设协议统计组的流量超过对应的流量阈值时,对该协议统计组对应的流量数据包的特征进行分析,判断是否符合恶意数据包特征。本实施例中具体可以仅对流量排名在前N位的进行安全分析。
方式二:从统计数据中根据对预设资源的访问情况统计出热点资源,判断热点资源中是否存在恶意资源,从而便于知晓当前舆情热点以及及时控制非法资源的传播。
进一步,在本实施例中,为了进一步提升内容分发网络安全检测的全面性和安全性,还可获取内容分发网络节点日志信息,该日志信息包括内容分发网络节点的主机的系统(syslo)日志、数据设备(防火墙、交换机等)告警日志以及应用系统访问日志(如web系统的access_log日志)中的至少一种。
对获取的日志分析按预设日志信息分析规则进行分析,例如应用系统访问日志中获取到CDN节点访问的热点资源信息,便于知晓当前舆情热点以及及时控制非法资源的传播。
本发明实施例提供的内容分发网络安全检测方法,有效的利用了融合CDN 对网络加速资源和流量的承载,通过流量采集以及预设的分析规则,可及时有效的发现网络安全隐患和非法信息传播。并可进一步扩展其它增值业务应用。
实施例二:
本实施例提供了一种内容分发网络安全检测系统,参见图7所示,包括节点分析设备71和中心服务器72;
节点分析设备72,与内容分发网络节点连接,用于获取内容分发网络节点复制的网络流量数据得到全量网络流量数据,以及用于对获取的网络流量数据按从所述中心服务器获取的预设入侵检测规则进行安全分析,根据分析结果确定是否存在安全告警。
本实施例中的预设协议可以是超文本传输协议(HyperText Transfer Protocol,http)、HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer) 协议等。本实施例中的目标字段数据包括但不限于IP地址、文本字符串、主机名、电子邮件地址、文件名等。本实施例中的预设安全校验算法包括但不限于哈希值计算、正则表达式匹配计算等算法。节点分析设备71根据分析结果即可确定出是否存在安全告警。本实施例中在确定存在安全告警后,还可发出相应的告警信息进行告警,和/或在存在自动修复策略时,调用相应的自动修复策略进行自动修复。
节点分析设备71对获取的全量网络流量数据按预设入侵检测规则进行安全分析可以采用以下方式中的任意一种:
方式一:从全量网络流量数据中选择预设协议对应的预设目标字段数据,对选择的预设目标字段数据采用预设安全校验算法进行计算得到安全校验值,将得到的安全校验值与预设安全校验值进行比较,得到比较结果。进而根据比较结果就可以确定出是否存在安全告警。
本实施例中的目标字段数据包括但不限于IP地址、文本字符串、主机名、电子邮件地址、文件名等。本实施例中的预设安全校验算法包括但不限于哈希值计算、正则表达式匹配计算等算法。
方式二:从获取的全量网络流量数据中选择目标地址信息,该目标地址信息包括目标IP地址和目标域名信息,将选择的目标地址信息和预设地址黑名单中的恶意地址信息进行匹配。当与其中任意一个恶意地址匹配成功时,则确定存在安全告警。本实施例中的预设地址黑名单中包含了曾参与网络攻击行为的各种恶意地址或其他被列为黑名单的恶意地址等。当然,本实施例也可以设置相反的白名单,当目标地址不在该白名单中时则确定存在安全告警。
在本实施例中,除了通过上述在CDN节点侧进行网路安全检测外,为了进一步提升网络安全性和分析检测的准确性,本实施例节点分析设备71还可从得到的全量网络数据中得到会话数据和统计数据中的至少一种,并基于得到的会话数据和统计数据做进一步安全检测。本实施例中可以针对个CDN节点的会话数据和统计数据进行单独分析,也可以结合各个CDN节点的会话数据和统计数据进行联合分析,具体可以根据具体需求灵活设定。本实施例分别对会话数据和统计数据进行分析的过程进行示例说明。
参见图7所示,本实施例中的内容分发网络安全检测系统还包括与中心服务器连接的中心分析设备73;
节点分析设备71还用于得到全量网络流量数据之后,从全量网络流量数据中抽取预设协议的会话信息得到会话数据并通过所述中心服务器发给中心分析设备73;
中心分析设备73用于对得到的会话数据按预设会话数据分析规则进行安全分析。例如,在一种示例中,中心分析设备73将获取的会话数据与预设会话模型进行匹配,该预设会话模型包括白名单会话和黑名单会话,当某一会话数据落入黑名单会话时,判定该会话数据为攻击会话数据,当某一会话数据落入黑名单会话和白名单会话之外时,判定该会话数据为疑似攻击会话数据;当某一会话数据落入白名单会话时,则判定该会话数据为安全会话数据。
在另一种示例中,中心分析设备73从会话数据中提取重定向信息(例如包括但不限于异常302),获取重定向消息的消息头中的定位字段(如Location字段),判断定位字段是否指向预设恶意位置(CP)。
在另一示例中,节点分析设备71还用于得到全量网络流量数据之后,从全量网络流量数据中抽取预设目标对象之预设资源的访问数据得到统计数据并通过中心服务器72发给中心分析设备73;
中心分析设备73用于对得到的统计数据按预设会话数据分析规则进行安全分析。
中心分析设备73对统计数据进行安全性检测时,中心分析设备73从全量网络流量数据中抽取预设目标对象之预设资源的访问数据得到统计数据,对得到的统计数据按预设统计数据分析规则进行安全分析。本实施例中对得到的统计数据进行分析是采用的预设统计数据分析规则也可以灵活设定,例如,在一种示例中,中心分析设备73可以采用以下两种分析方式中的至少一种:
方式一:从统计数据中获取预设协议统计组的流量进行统计,该预设协议统计组由源IP地址、源端口、目的IP地址、目的端口、以及预设协议组成,也即五元组;
方式二:从统计数据中根据对预设资源的访问情况统计出热点资源,判断热点资源中是否存在恶意资源,从而便于知晓当前舆情热点以及及时控制非法资源的传播。
进一步,在本实施例中,为了进一步提升内容分发网络安全检测的全面性和安全性,CDN节点还可将其日志信息通过中心服务器发给中心分析设备73,该日志信息包括内容分发网络节点的主机的系统(syslo)日志、数据设备(防火墙、交换机等)告警日志以及应用系统访问日志(如web系统的access_log 日志)中的至少一种。
中心分析设备73对获取的日志分析按预设日志信息分析规则进行分析,例如应用系统访问日志中获取到CDN节点访问的热点资源信息,便于知晓当前舆情热点以及及时控制非法资源的传播。
本发明实施例提供的内容分发网络安全检测系统,有效的利用了融合CDN 对网络加速资源和流量的承载,通过节点分析设备71、中心分析设备73与CDN 节点和中心服务器的配合,实现流量采集以及通过预设的分析规则进行安全分析,可及时有效的发现网络安全隐患和非法信息传播。并可进一步扩展其它增值业务应用。
实施例三:
为了更好的理解本发明,本实施例结合融合CDN系统对本发明做进一步说明。参见图8所示,节点分析设备包括流量采集模块81和入侵检测模块82;
流量采集模块81旁路部署在CDN节点,采集流量数据存储并生成会话、统计等信息,传送(可以定期传送,也有采用其他传送规则进行传送)到中心分析设备的信息收集器模块。
入侵检测模块82:部署在流量采集模块侧实时分析流量信息,依据规则库中预设的入侵检测规则判断流量是否判断安全威胁。
中心分析设备包括:
信息收集模块83,用于收集来自CDN节点的日志信息、流量采集模块81 的会话数据和统计数据、业务系统的相关日志信息,进行汇总存储并传送到数据分析处理模块84。
数据分析处理模块84,获取来自信息收集模块83的数据,依据规则库中预先设置的会话数据分析规则和统计数据分析规则判断流量是否存在异常数据等安全威胁。
威胁告警模块85,收取数据分析处理模块84和入侵检测模块82生成的威胁告警并展现或进一步传送到上级告警单位。
本实施例中的规则库可以设置于中心服务器上,另外本实施例还可包括规则库维护模块86,用于对规则库中的各规则进行新增、删除、修改等维护。规则库维护模块86可以是一个独立于中心服务器的设备,也可以是位于中心服务器内的设备。
基于上述系统,进行安全检测的过程参见图9所示,包括:
在CDN节点侧以旁路方式部署流量采集模块,接收该CDN节点复制的网络流量并存储分析,根据具体场景存储全量的捕获数据得到全量数据,并从全量数据中提取相应的数据生成会话数据、统计数据。
在融合CDN中心节点部署规则库维护模块,维护流量和日志检测的规则库,实现规则的增删改操作。
在流量采集模块一侧部署入侵检测模块,从规则库维护模块拉取对应的规则判别流量采集模块存储的全量网络流量数据是否存在安全威胁,并将威胁上报威胁告警模块。
在融合CDN中心节点部署信息收集模块,收集来自数据设备或者防火墙等网络设备的告警日志信息、来自流量采集模块的会话数据和统计数据、来自业务系统的访问日志等信息,进行存储并分发到数据分析处理模块进一步处理。
在融合CDN中心节点部署数据分析处理模块,对信息收集模块的数据采用分布式大数据方式,结合规则库分析其中存在的网络安全隐患,并上报到威胁告警模块。
在融合CDN中心节点部署威胁告警模块,接收来自入侵检测模块和数据分析处理模块上报的安全威胁告警,实现告警信息的展示,并和上级告警处理模块对接,进一步发送告警信息。
以上过程具体包括:
在CDN节点侧旁路部署流量采集模块,实施流量采集。
规则库通过维护界面更新,用于实施采集流量的入侵检测。入侵检测规则类型分为两种:用于模式匹配算法以及基于信誉的检测规则。前者是预设协议下的预设目标字段(异常字符串文本或者文本)操作规则,具体来说预设目标字段可以包括IP地址、文本字符串、主机名、电子邮件地址、文件名,并对上述字段按照预设校验算法(例如哈希值计算、正则表达式匹配等计算模式)进行计算得到校验值;信誉的检测规则则是表示某些IP和域名等曾参与网络攻击行为的黑名单。
规则库在规则更新后将新规则推送到流量采集模块,流量采集模块据此更新规则并对采集的流量进行检测。一方面针对预设协议,根据模式匹配的特征串以及串操作规则,对流量内容进行匹配或计算,检测出符合规则的恶意或非法内容。其中分析CDN承载的传输协议数据包有效载荷,通常为http协议,探测载荷中潜在的恶意软件传输、非法内容传播、网络攻击。网络攻击载荷包含口令猜测、SQL注入、XSS等WEB攻击。另一方面针对交互的IP和域名信息检测信誉规则。对匹配到规则的非法或恶意流量,传送到威胁告警模块。
流量采集模块对流量的全量数据包进行处理,生成统计数据和会话数据。其中会话数据来自于依据CDN特定传输协议从全量数据包抽取的会话信息,如 CDN节点运行过程中得到一段HTTP协议的交互中提取双方的会话信息——双方于某时间戳发送HTTP协议请求或响应及其主要信息;统计数据则包括某时间段内CDN所承载的终端向特定目标请求特定资源的统计信息。
融合CDN中心区域部署信息收集模块,一方面收集来自CDN节点网元的日志数据,包括主机的syslog日志、数据设备(防火墙、交换机等)告警日志、应用系统访问日志(如web系统的access_log日志);另一方面收集来自流量采集模块上报的会话数据和统计数据。信息收集模块将采集的信息推送到中心节点的数据分析平台。
数据分析处理模块综合信息收集模块推送的数据进行数据分析,包括以下过程:
针对统计数据,可以针对源IP/源端口/目的IP/目的端口/协议五元组统计排名在前N位的流量,通过规则库配置流量阈值,对超过阈值的异常流量生成告警信息,如某节点主机某协议的流量远远超过阈值,分析其流量特征是否为异于常规业务流量的攻击流量,此时需要关联CDN节点侧的网络流量采集模块,向其发出指令对采集的流量中符合超阈值传输的数据包进行恶意数据包特征分析,其中恶意数据包特征又包括攻击源信息(真实或伪造的、固定或分布的攻击源)、该攻击源传输流量统计、数据包大小、数据包特征串(固定部分及随机部分)、TCP/IP数据包头特征、应用包头特征等。对分析符合规则库的异常流量行为实施告警。
针对会话数据,通过规则库配置CDN节点和其它设备网元的交互模型,包括“源IP/源端口/目的IP/目的端口/协议”五元组白名单(其中白名单配置为明确的地址端口,或者地址端口的范围),以及已知的恶意外部非法网站或攻击源服务器。关联统计某台CDN节点主机某时间段内和其它设备的交互行为,初步发现非法攻击痕迹,如该节点和外部节点的交互位于交互模型白名单之外,或者对端地址刚好位于恶意服务器列表范围内,则对该交互行为生成告警信息。
针对会话数据中的HTTP会话信息,获取异常302等重定向消息,对其中的消息头进一步分析,如Location字段是否指向某个恶意劫持CP等,最终判断是否为非法流量劫持。
针对统计数据和应用系统访问日志,还可定期上报通过CDN节点访问的热点资源信息,便于知晓当前舆情热点以及及时控制非法资源的传播。
数据分析处理模块则可将异常告警威胁信息和统计信息上传到威胁告警模块进行告警和展示,便于进一步分析处置。威胁告警模块根据需求对接上级管控平台。
与现有技术相比较,与现有技术相比较,本发明有效的利用了融合CDN对网络加速资源和流量的承载,通过流量采集模块、规则库维护模块以及数据分析平台的部署和应用,及时有效的发现网络安全隐患和非法信息传播。并可通过上述平台进一步扩展其它增值业务应用。
显然,本领域的技术人员应该明白,上述本发明实施例的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在计算机存储介质(ROM/RAM、磁碟、光盘)中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。所以,本发明不限制于任何特定的硬件和软件结合。
以上内容是结合具体的实施方式对本发明实施例所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (10)
1.一种内容分发网络安全检测方法,包括:
获取内容分发网络节点复制的网络流量数据得到全量网络流量数据;
对获取的全量网络流量数据按预设入侵检测规则进行安全分析;
根据分析结果确定是否存在安全告警。
2.如权利要求1所述的内容分发网络安全检测方法,其特征在于,所述对获取的全量网络流量数据按预设入侵检测规则进行安全分析包括:
从所述全量网络流量数据中选择预设协议对应的预设目标字段数据;
对选择的预设目标字段数据采用预设安全校验算法进行计算得到安全校验值;
将得到的安全校验值与预设安全校验值进行比较,得到比较结果;
或,
从所述全量网络流量数据中选择目标地址信息,所述目标地址信息包括目标IP地址和目标域名信息;
将选择的目标地址信息和预设地址黑名单中的恶意地址信息进行匹配。
3.如权利要求1或2所述的内容分发网络安全检测方法,其特征在于,得到所述全量网络流量数据之后,还包括:
从所述全量网络流量数据中抽取预设协议的会话信息得到会话数据;
对得到的会话数据按预设会话数据分析规则进行安全分析。
4.如权利要求3所述的内容分发网络安全检测方法,其特征在于,所述对得到的会话数据按预设会话数据分析规则进行安全分析包括:
将获取的会话数据与预设会话模型进行匹配,所述预设会话模型包括白名单会话和黑名单会话,当某一会话数据落入所述黑名单会话时,判定该会话数据为攻击会话数据,当某一会话数据落入所述黑名单会话和白名单会话之外时,判定该会话数据为疑似攻击会话数据;
和/或,
从所述会话数据中提取重定向信息;
获取所述重定向消息的消息头中的定位字段;
判断所述定位字段是否指向预设恶意位置。
5.如权利要求1或2所述的内容分发网络安全检测方法,其特征在于,得到所述全量网络流量数据之后,还包括:
从所述全量网络流量数据中抽取预设目标对象之预设资源的访问数据得到统计数据;
对得到的统计数据按预设统计数据分析规则进行安全分析。
6.如权利要求5所述的内容分发网络安全检测方法,其特征在于,所述对得到的统计数据按预设统计数据分析规则进行安全分析包括:
从所述统计数据中获取预设协议统计组的流量进行统计,所述预设协议统计组由源IP地址、源端口、目的IP地址、目的端口、以及预设协议组成;
当某一预设协议统计组的流量超过对应的流量阈值时,对该协议统计组对应的流量数据包的特征进行分析,判断是否符合恶意数据包特征;
和/或,
从所述统计数据中根据对所述预设资源的访问情况统计出热点资源;
判断所述热点资源中是否存在恶意资源。
7.如权利要求1-3任一项所述的内容分发网络安全检测方法,其特征在于,还包括:
获取内容分发网络节点日志信息,所述日志信息包括内容分发网络节点的主机的系统日志、数据设备告警日志以及应用系统访问日志中的至少一种;
对获取的日志分析按预设日志信息分析规则进行分析。
8.一种内容分发网络安全检测系统,包括节点分析设备和中心服务器;
节点分析设备,与内容分发网络节点连接,用于获取所述内容分发网络节点复制的网络流量数据得到全量网络流量数据,以及用于对获取的网络流量数据按从所述中心服务器获取的预设入侵检测规则进行安全分析,根据分析结果确定是否存在安全告警。
9.如权利要求8所述的内容分发网络安全检测系统,其特征在于,还包括与所述中心服务器连接的中心分析设备;
所述节点分析设备还用于得到所述全量网络流量数据之后,从所述全量网络流量数据中抽取预设协议的会话信息得到会话数据并通过所述中心服务器发给所述中心分析设备;
所述中心分析设备用于对得到的会话数据按预设会话数据分析规则进行安全分析。
10.如权利要求8所述的内容分发网络安全检测系统,其特征在于,还包括与所述中心服务器连接的中心分析设备;
所述节点分析设备还用于得到所述全量网络流量数据之后,从所述全量网络流量数据中抽取预设目标对象之预设资源的访问数据得到统计数据并通过所述中心服务器发给所述中心分析设备;
所述中心分析设备用于对得到的统计数据按预设会话数据分析规则进行安全分析。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710882559.5A CN109561051A (zh) | 2017-09-26 | 2017-09-26 | 内容分发网络安全检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710882559.5A CN109561051A (zh) | 2017-09-26 | 2017-09-26 | 内容分发网络安全检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109561051A true CN109561051A (zh) | 2019-04-02 |
Family
ID=65862449
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710882559.5A Withdrawn CN109561051A (zh) | 2017-09-26 | 2017-09-26 | 内容分发网络安全检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109561051A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110113336A (zh) * | 2019-05-06 | 2019-08-09 | 四川英得赛克科技有限公司 | 一种用于变电站网络环境的网络流量异常分析与识别方法 |
| CN110336811A (zh) * | 2019-06-29 | 2019-10-15 | 上海淇馥信息技术有限公司 | 一种基于蜜罐系统的网络威胁分析方法、装置和电子设备 |
| CN110493053A (zh) * | 2019-08-22 | 2019-11-22 | 北京首都在线科技股份有限公司 | 融合内容分发网络的监控方法、装置、终端和存储介质 |
| CN111565196A (zh) * | 2020-05-21 | 2020-08-21 | 杭州安恒信息技术股份有限公司 | 一种KNXnet/IP协议入侵检测方法、装置、设备及介质 |
| CN111585830A (zh) * | 2020-03-25 | 2020-08-25 | 国网思极网安科技(北京)有限公司 | 一种用户行为分析方法、装置、设备及存储介质 |
| CN111934935A (zh) * | 2020-08-18 | 2020-11-13 | 成都深思科技有限公司 | 一种基于会话放大的高速网络流量构造方法 |
| CN112487434A (zh) * | 2020-11-05 | 2021-03-12 | 杭州孝道科技有限公司 | 一种应用软件自适应安全防护方法 |
| CN113472687A (zh) * | 2021-07-15 | 2021-10-01 | 北京京东振世信息技术有限公司 | 一种数据处理方法和装置 |
| CN114095403A (zh) * | 2020-07-30 | 2022-02-25 | 阿里巴巴集团控股有限公司 | 网络数据处理系统、方法、网元设备和服务器 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040019781A1 (en) * | 2002-07-29 | 2004-01-29 | International Business Machines Corporation | Method and apparatus for improving the resilience of content distribution networks to distributed denial of service attacks |
| CN103023924A (zh) * | 2012-12-31 | 2013-04-03 | 网宿科技股份有限公司 | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 |
| CN103414608A (zh) * | 2013-08-15 | 2013-11-27 | 网宿科技股份有限公司 | 快速的web流量采集统计系统和方法 |
| US20150215334A1 (en) * | 2012-09-28 | 2015-07-30 | Level 3 Communications, Llc | Systems and methods for generating network threat intelligence |
| CN106657141A (zh) * | 2017-01-19 | 2017-05-10 | 西安电子科技大学 | 基于网络流量分析的安卓恶意软件实时检测方法 |
| CN106789351A (zh) * | 2017-01-24 | 2017-05-31 | 华南理工大学 | 一种基于sdn的在线入侵防御方法和系统 |
-
2017
- 2017-09-26 CN CN201710882559.5A patent/CN109561051A/zh not_active Withdrawn
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040019781A1 (en) * | 2002-07-29 | 2004-01-29 | International Business Machines Corporation | Method and apparatus for improving the resilience of content distribution networks to distributed denial of service attacks |
| US20150215334A1 (en) * | 2012-09-28 | 2015-07-30 | Level 3 Communications, Llc | Systems and methods for generating network threat intelligence |
| CN103023924A (zh) * | 2012-12-31 | 2013-04-03 | 网宿科技股份有限公司 | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 |
| CN103414608A (zh) * | 2013-08-15 | 2013-11-27 | 网宿科技股份有限公司 | 快速的web流量采集统计系统和方法 |
| CN106657141A (zh) * | 2017-01-19 | 2017-05-10 | 西安电子科技大学 | 基于网络流量分析的安卓恶意软件实时检测方法 |
| CN106789351A (zh) * | 2017-01-24 | 2017-05-31 | 华南理工大学 | 一种基于sdn的在线入侵防御方法和系统 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110113336A (zh) * | 2019-05-06 | 2019-08-09 | 四川英得赛克科技有限公司 | 一种用于变电站网络环境的网络流量异常分析与识别方法 |
| CN110336811A (zh) * | 2019-06-29 | 2019-10-15 | 上海淇馥信息技术有限公司 | 一种基于蜜罐系统的网络威胁分析方法、装置和电子设备 |
| CN110493053A (zh) * | 2019-08-22 | 2019-11-22 | 北京首都在线科技股份有限公司 | 融合内容分发网络的监控方法、装置、终端和存储介质 |
| CN111585830A (zh) * | 2020-03-25 | 2020-08-25 | 国网思极网安科技(北京)有限公司 | 一种用户行为分析方法、装置、设备及存储介质 |
| CN111565196A (zh) * | 2020-05-21 | 2020-08-21 | 杭州安恒信息技术股份有限公司 | 一种KNXnet/IP协议入侵检测方法、装置、设备及介质 |
| CN111565196B (zh) * | 2020-05-21 | 2022-02-01 | 杭州安恒信息技术股份有限公司 | 一种KNXnet/IP协议入侵检测方法、装置、设备及介质 |
| CN114095403A (zh) * | 2020-07-30 | 2022-02-25 | 阿里巴巴集团控股有限公司 | 网络数据处理系统、方法、网元设备和服务器 |
| CN111934935A (zh) * | 2020-08-18 | 2020-11-13 | 成都深思科技有限公司 | 一种基于会话放大的高速网络流量构造方法 |
| CN111934935B (zh) * | 2020-08-18 | 2023-04-11 | 成都锋卫科技有限公司 | 一种基于会话放大的高速网络流量构造方法 |
| CN112487434A (zh) * | 2020-11-05 | 2021-03-12 | 杭州孝道科技有限公司 | 一种应用软件自适应安全防护方法 |
| CN113472687A (zh) * | 2021-07-15 | 2021-10-01 | 北京京东振世信息技术有限公司 | 一种数据处理方法和装置 |
| CN113472687B (zh) * | 2021-07-15 | 2023-12-05 | 北京京东振世信息技术有限公司 | 一种数据处理方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109561051A (zh) | 内容分发网络安全检测方法及系统 | |
| US11924170B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
| KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
| EP2863611B1 (en) | Device for detecting cyber attack based on event analysis and method thereof | |
| KR101812403B1 (ko) | SDN에서의 DoS공격 방어시스템 및 이의 구현방법 | |
| US7478429B2 (en) | Network overload detection and mitigation system and method | |
| Durcekova et al. | Sophisticated denial of service attacks aimed at application layer | |
| Blenn et al. | Quantifying the spectrum of denial-of-service attacks through internet backscatter | |
| CN107347047B (zh) | 攻击防护方法和装置 | |
| US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
| CN107645478B (zh) | 网络攻击防御系统、方法及装置 | |
| KR20100075043A (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
| CN109327426A (zh) | 一种防火墙攻击防御方法 | |
| KR20140027616A (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
| CN106357685A (zh) | 一种防御分布式拒绝服务攻击的方法及装置 | |
| Lee et al. | Study of detection method for spoofed IP against DDoS attacks | |
| CN114301706B (zh) | 基于目标节点中现有威胁的防御方法、装置及系统 | |
| CN107968765A (zh) | 一种网络入侵检测方法及服务器 | |
| Xiao et al. | A novel approach to detecting DDoS attacks at an early stage | |
| CN115017502A (zh) | 一种流量处理方法、及防护系统 | |
| Chiu et al. | Detection and defense of DDoS attack and flash events by using Shannon entropy | |
| Seo et al. | Abnormal behavior detection to identify infected systems using the APChain algorithm and behavioral profiling | |
| Weigert et al. | Community-based analysis of netflow for early detection of security incidents | |
| Alsharabi et al. | Detecting Unusual Activities in Local Network Using Snort and Wireshark Tools | |
| Dong et al. | InterestFence: Countering interest flooding attacks by using hash-based security labels |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20190402 |
|
| WW01 | Invention patent application withdrawn after publication |