CN109981656A - 一种基于cdn节点日志的cc防护方法 - Google Patents

一种基于cdn节点日志的cc防护方法 Download PDF

Info

Publication number
CN109981656A
CN109981656A CN201910248678.4A CN201910248678A CN109981656A CN 109981656 A CN109981656 A CN 109981656A CN 201910248678 A CN201910248678 A CN 201910248678A CN 109981656 A CN109981656 A CN 109981656A
Authority
CN
China
Prior art keywords
load
source
cloud
solicited message
source station
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910248678.4A
Other languages
English (en)
Other versions
CN109981656B (zh
Inventor
王海吉
罗立
詹科
王彦夫
徐开红
陆永林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Zhidaochuangyu Information Technology Co Ltd
Original Assignee
Chengdu Zhidaochuangyu Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Zhidaochuangyu Information Technology Co Ltd filed Critical Chengdu Zhidaochuangyu Information Technology Co Ltd
Priority to CN201910248678.4A priority Critical patent/CN109981656B/zh
Publication of CN109981656A publication Critical patent/CN109981656A/zh
Application granted granted Critical
Publication of CN109981656B publication Critical patent/CN109981656B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Abstract

本发明公开了一种基于CDN节点日志的CC防护方法,包括以下步骤:步骤1:获取CDN节点日志中的IP请求信息,根据IP请求信息分析判断是否为攻击;步骤2:若判断为正常请求则放行,若判断为攻击则从IP请求信息中提取特征加入攻击特征库,然后获取云端性能负荷和源站服务器性能负荷;步骤3:根据步骤2提取得到的云端负荷性能和源站服务器负荷性能与预设的阈值进行比较,若云端性能负荷与源站服务器性能负荷均低于其预设阈值则判定为正常,不进行拦截;若云端性能负荷和源站服务器性能负荷任一负荷判定为异常,则将异常IP进行拦截;本发明在拦截过程中结合云端性能状态和源站性能状态进行不同力度的拦截,减少了误拦截的概率和风险。

Description

一种基于CDN节点日志的CC防护方法
技术领域
本发明涉及一种CC防护方法,具体涉及一种基于CDN节点日志的CC防护方法。
背景技术
CC攻击是常见的一种拒绝服务攻击技术,能够极大的影响站点服务的可用性和稳定性;目前CC主要的防护策略是云端厂商单方面判断后拦截,未结合源站服务器性能负荷;无法充分利用源站资源或使过多的请求到达源站而让源站出现性能过载的问题;在一些特殊环境下(本身为高频调用特征的接口请求用CC引擎分析会大概率地判断为攻击,而对于源站的实际生产环境来说却是预期中的正常情形)会导致误拦截。
现有的CC防护一般基于日志中的IP请求信息,对IP请求信息进行分析根据分析结果进行拦截;这种防护方法仅仅在云端提供特征和设定拦截规则并单方面执行拦截,未根据云端性能负荷和源站性能负荷进行拦截力度的调整;还有在服务器运行时对所确定的监控指标进行实时监控,并根据监控数据计算服务器整体负荷状况;并根据整体负荷状况进行相应处理,分为正常处理阶段、清洗流量阶段和丢弃请求阶段。但是该防护方法会在站点使用过程中仅仅考虑到了防御端(即云端服务器性能状态),未参考源站服务器的性能状态并实时调整防御力度;假设云端负荷状态正常,而业务请求使源站负荷异常,那么仍然会使源站无法正常运行,从而无法在整体提供可用服务。
发明内容
本发明提供一种可减少误拦截的概率和风险的基于CDN节点日志的CC防护方法。
本发明采用的技术方案是:一种基于CDN节点日志的CC防护方法,包括以下步骤:
步骤1:获取CDN节点日志中的IP请求信息,根据IP请求信息分析判断是否为攻击;
步骤2:若判断为正常请求则放行,若判断为攻击则从IP请求信息中提取特征加入攻击特征库,然后获取云端性能负荷和源站服务器性能负荷;
步骤3:根据步骤2提取得到的云端性能负荷和源站服务器性能负荷与预设的阈值进行比较,若云端性能负荷与源站服务器性能负荷均低于其预设阈值则判定为正常,不进行拦截;若云端性能负荷和源站服务器性能负荷任一负荷判定为异常,则将异常IP进行拦截。
进一步的,所述步骤2中的云端性能负荷为云端防护节点负载值和所有CPU逻辑核心数的比值m,预设阈值为a。
进一步的,所述步骤2中的源站服务器性能负荷为源站服务器当前负载值和所有CPU逻辑核心数的比值n,预设阈值为b。
进一步的,所述步骤3判断过程如下:
若m<a且n<b则不进行任何拦截;
若m≥a,则云端将异常IP在网络层进行拦截;
其他情况云端均将异常IP在应用层进行拦截。
进一步的,所述步骤1中基于名单、攻击特征库对IP请求信息进行如下分析:
将IP请求信息中的源IP与黑名单进行匹配,若源IP与黑名单中的任一源IP匹配,则输出分析结果为“匹配”;
若源IP于黑名单中的任一源IP不匹配,则统计源IP最近的访问频度并与源IP访问频度阈值进行比较,若超过源IP访问频度阈值,则输出分析结果为“超过阈值”;
若没有超过源IP访问频度阈值,则从IP请求信息中提取HTTP头信息并与HTTP头信息频度阈值进行比较,若超过HTTP头信息频度阈值,则输出分析结果为“超过阈值”;
若没有超过HTTP头信息频度阈值,则将IP请求信息中的请求内容与攻击特征库进行匹配,若请求内容与特征库匹配成功,则输出分析结果为“匹配”,否则输出分析结果为“正常”;
若分析结果为“正常”则判断IP请求正常,否则判断为攻击。
本发明的有益效果是:
(1)本发明在拦截过程中结合云端性能状态和源站性能状态进行不同程度的拦截,当云端性能状态和源站性能状态均为正常时,识别出的攻击IP不进行拦截,减少了误拦截的概率和风险;
(2)本发明中当云端性能状态为“异常”时,对识别出的攻击IP进行网络层拦截,进一步避免因防御力度不够导致的性能过载问题。
附图说明
图1为本发明流程示意图。
图2为本发明防护架构示意图。
具体实施方式
下面结合附图和具体实施例对本发明做进一步说明。
如图1所示,一种基于CDN节点日志的CC防护方法,包括以下步骤:
步骤1:获取CDN节点日志中的IP请求信息,根据IP请求信息分析判断是否为攻击;
基于名单、攻击特征库对IP请求信息进行如下分析:
将IP请求信息中的源IP与黑名单进行匹配,若源IP与黑名单中的任一源IP匹配,则输出分析结果为“匹配”;
若源IP于黑名单中的任一源IP不匹配,则统计源IP最近的访问频度并与源IP访问频度阈值进行比较,若超过源IP访问频度阈值,则输出分析结果为“超过阈值”;
若没有超过源IP访问频度阈值,则从IP请求信息中提取HTTP头信息并与HTTP头信息频度阈值进行比较,若超过HTTP头信息频度阈值,则输出分析结果为“超过阈值”;
若没有超过HTTP头信息频度阈值,则将IP请求信息中的请求内容与攻击特征库进行匹配,若请求内容与特征库匹配成功,则输出分析结果为“匹配”,否则输出分析结果为“正常”;
若分析结果为“正常”则判断IP请求正常,否则判断为攻击。
步骤2:若判断为正常请求则放行,若判断为攻击则从IP请求信息中提取特征加入攻击特征库,然后获取云端性能负荷和源站服务器性能负荷。
步骤3:根据步骤2提取得到的云端负荷性能和源站服务器负荷性能与预设的阈值进行比较,若负荷云端与源站负荷均低于其预设阈值则不进行拦截,若云端和源站任一负荷高于预设阈值则将IP作为异常进行拦截。
云端性能负荷为云端防护节点负载值和所有CPU逻辑核心数的比值m,默认指定状态判定阈值为85%(技术人员可根据实际情况部署并压测后指定),若m小于85%则判定为“正常”,高于85%为“异常”。
源站服务器性能负荷为源站服务器当前负载值和所有CPU逻辑核心数的比值n,默认指定状态判定阈值为85%(技术人员可根据实际情况部署并压测后指定)若n小于85%则判定为“正常”,高于85%为“异常”。
若源站和云端的性能负荷状态均为“正常”,则不进行任何拦截。
若云端性能负荷状态为“异常”,则云端将异常IP在网络层进行拦截。
其他所有情况云端均将异常的IP在应用层进行拦截。
本发明结合云端服务器和源站服务器性能状态选择不同防御力度的拦截方法,当云端服务器和源站服务器性能状态均正常时,即使有攻击被视为CC,也会放行以此减少特殊场景下(虽然特征为CC攻击,但不会造成云端及源站服务的性能异常)的误拦截;减少了误拦截的概率和风险;当云端性能状态为异常时,对识别出的攻击IP进行网络层拦截,进一步避免因防御力度不够导致的性能过载问题;其他情况下,进行应用层拦截,避免该IP作为公网出口时,后端的所有用户请求均在网络层被拦截。
本发明中的云端指云防服务承接用户请求的集群。
源站指后端真实处理用户请求的服务器。

Claims (5)

1.一种基于CDN节点日志的CC防护方法,其特征在于,包括以下步骤:
步骤1:获取CDN节点日志中的IP请求信息,根据IP请求信息分析判断是否为攻击;
步骤2:若判断为正常请求则放行,若判断为攻击则从IP请求信息中提取特征加入攻击特征库,然后获取云端性能负荷和源站服务器性能负荷;
步骤3:根据步骤2提取得到的云端性能负荷和源站服务器性能负荷与预设的阈值进行比较,若云端性能负荷与源站服务器性能负荷均低于其预设阈值则判定为正常,不进行拦截;若云端性能负荷和源站服务器性能负荷任一负荷判定为异常,则将异常IP进行拦截。
2.根据权利要求1所述的一种基于CDN节点日志的CC防护方法,其特征在于,所述步骤2中的云端性能负荷为云端防护节点负载值和所有CPU逻辑核心数的比值m,预设阈值为a。
3.根据权利要求2所述的一种基于CDN节点日志的CC防护方法,其特征在于,所述步骤2中的源站服务器性能负荷为源站服务器当前负载值和所有CPU逻辑核心数的比值n,预设阈值为b。
4.根据权利要求3所述的一种基于CDN节点日志的CC防护方法,其特征在于,所述步骤3判断过程如下:
若m<a且n<b则不进行任何拦截;
若m≥a,则云端将异常IP在网络层进行拦截;
其他情况云端均将异常IP在应用层进行拦截。
5.根据权利要求1所述的一种基于CDN节点日志的CC防护方法,其特征在于,所述步骤1中基于名单、攻击特征库对IP请求信息进行如下分析:
将IP请求信息中的源IP与黑名单进行匹配,若源IP与黑名单中的任一源IP匹配,则输出分析结果为“匹配”;
若源IP于黑名单中的任一源IP不匹配,则统计源IP最近的访问频度并与源IP访问频度阈值进行比较,若超过源IP访问频度阈值,则输出分析结果为“超过阈值”;
若没有超过源IP访问频度阈值,则从IP请求信息中提取HTTP头信息并与HTTP头信息频度阈值进行比较,若超过HTTP头信息频度阈值,则输出分析结果为“超过阈值”;
若没有超过HTTP头信息频度阈值,则将IP请求信息中的请求内容与攻击特征库进行匹配,若请求内容与特征库匹配成功,则输出分析结果为“匹配”,否则输出分析结果为“正常”;
若分析结果为“正常”则判断IP请求正常,否则判断为攻击。
CN201910248678.4A 2019-03-29 2019-03-29 一种基于cdn节点日志的cc防护方法 Active CN109981656B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910248678.4A CN109981656B (zh) 2019-03-29 2019-03-29 一种基于cdn节点日志的cc防护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910248678.4A CN109981656B (zh) 2019-03-29 2019-03-29 一种基于cdn节点日志的cc防护方法

Publications (2)

Publication Number Publication Date
CN109981656A true CN109981656A (zh) 2019-07-05
CN109981656B CN109981656B (zh) 2021-03-19

Family

ID=67081609

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910248678.4A Active CN109981656B (zh) 2019-03-29 2019-03-29 一种基于cdn节点日志的cc防护方法

Country Status (1)

Country Link
CN (1) CN109981656B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110855629A (zh) * 2019-10-21 2020-02-28 新华三信息安全技术有限公司 Ip地址的匹配方法、匹配表的生成方法及相关装置
CN112910839A (zh) * 2021-01-12 2021-06-04 杭州迪普科技股份有限公司 一种dns攻击的防御方法和装置

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050259644A1 (en) * 2004-05-18 2005-11-24 Microsoft Corporation System and method for defeating SYN attacks
CN101478540A (zh) * 2008-12-31 2009-07-08 成都市华为赛门铁克科技有限公司 一种防御挑战黑洞攻击的方法及装置
EP2109282A1 (en) * 2008-04-11 2009-10-14 Deutsche Telekom AG Method and system for mitigation of distributed denial of service attacks based on IP neighbourhood density estimation
CN102137111A (zh) * 2011-04-20 2011-07-27 北京蓝汛通信技术有限责任公司 一种防御cc攻击的方法、装置和内容分发网络服务器
CN104065644A (zh) * 2014-05-28 2014-09-24 北京知道创宇信息技术有限公司 基于日志分析的cc攻击识别方法和设备
CN108270755A (zh) * 2017-01-03 2018-07-10 中国移动通信有限公司研究院 一种域名级的自适应抗ddos攻击的方法和装置
CN108712446A (zh) * 2018-06-19 2018-10-26 中国联合网络通信集团有限公司 一种内容中心网络中兴趣包洪泛攻击的防御方法及装置
US20180324211A1 (en) * 2017-05-05 2018-11-08 Manish Doshi System and method for prevening denial of service attacks

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050259644A1 (en) * 2004-05-18 2005-11-24 Microsoft Corporation System and method for defeating SYN attacks
EP2109282A1 (en) * 2008-04-11 2009-10-14 Deutsche Telekom AG Method and system for mitigation of distributed denial of service attacks based on IP neighbourhood density estimation
CN101478540A (zh) * 2008-12-31 2009-07-08 成都市华为赛门铁克科技有限公司 一种防御挑战黑洞攻击的方法及装置
CN102137111A (zh) * 2011-04-20 2011-07-27 北京蓝汛通信技术有限责任公司 一种防御cc攻击的方法、装置和内容分发网络服务器
CN104065644A (zh) * 2014-05-28 2014-09-24 北京知道创宇信息技术有限公司 基于日志分析的cc攻击识别方法和设备
CN108270755A (zh) * 2017-01-03 2018-07-10 中国移动通信有限公司研究院 一种域名级的自适应抗ddos攻击的方法和装置
US20180324211A1 (en) * 2017-05-05 2018-11-08 Manish Doshi System and method for prevening denial of service attacks
CN108712446A (zh) * 2018-06-19 2018-10-26 中国联合网络通信集团有限公司 一种内容中心网络中兴趣包洪泛攻击的防御方法及装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110855629A (zh) * 2019-10-21 2020-02-28 新华三信息安全技术有限公司 Ip地址的匹配方法、匹配表的生成方法及相关装置
CN110855629B (zh) * 2019-10-21 2022-02-11 新华三信息安全技术有限公司 Ip地址的匹配方法、匹配表的生成方法及相关装置
CN112910839A (zh) * 2021-01-12 2021-06-04 杭州迪普科技股份有限公司 一种dns攻击的防御方法和装置
CN112910839B (zh) * 2021-01-12 2023-04-25 杭州迪普科技股份有限公司 一种dns攻击的防御方法和装置

Also Published As

Publication number Publication date
CN109981656B (zh) 2021-03-19

Similar Documents

Publication Publication Date Title
US11044264B2 (en) Graph-based detection of lateral movement
CN108429651B (zh) 流量数据检测方法、装置、电子设备及计算机可读介质
US10701035B2 (en) Distributed traffic management system and techniques
EP3544250B1 (en) Method and device for detecting dos/ddos attack, server, and storage medium
US9369479B2 (en) Detection of malware beaconing activities
CN109257293B (zh) 一种用于网络拥堵的限速方法、装置及网关服务器
US9361605B2 (en) System and method for filtering spam messages based on user reputation
CN110896386B (zh) 识别安全威胁的方法、装置、存储介质、处理器和终端
CN113783845B (zh) 确定云服务器上实例风险等级的方法、装置、电子设备及存储介质
CN109981656A (zh) 一种基于cdn节点日志的cc防护方法
CN114338064B (zh) 识别网络流量类型的方法、装置、系统、设备和存储介质
CN115017502A (zh) 一种流量处理方法、及防护系统
CN114726579B (zh) 防御网络攻击的方法、装置、设备、存储介质及程序产品
JP2005011234A (ja) 不正アクセス検出装置、不正アクセス検出方法およびプログラム
CN110198294B (zh) 安全攻击检测方法及装置
US11425100B2 (en) Optimization of redundant usage patterns based on historical data and security constraints
CN114362980B (zh) 协议挂登录账号识别方法、装置、计算机设备和存储介质
CN109842587B (zh) 监测系统安全的方法和装置
CN113596060A (zh) 一种网络安全应急响应方法及系统
CN114760083A (zh) 一种攻击检测文件的发布方法、装置及存储介质
CN111447168A (zh) 一种多维的网络安全预测方法
CN106603473B (zh) 网络安全信息的处理方法及网络安全信息的处理系统
CN111404941B (zh) 网络安全防护方法及网络安全防护装置
EP4254876A1 (en) Methods and systems for detecting denial of service attacks on a network
CN117395255A (zh) 请求处理方法、装置、设备、存储介质和程序产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP02 Change in the address of a patent holder

Address after: 9/F, Block C, No. 28 Tianfu Avenue North Section, Chengdu High tech Zone, China (Sichuan) Pilot Free Trade Zone, Chengdu City, Sichuan Province, 610000

Patentee after: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd.

Address before: 610000, 11th floor, building 2, No. 219, Tianfu Third Street, hi tech Zone, Chengdu, Sichuan Province

Patentee before: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd.

CP02 Change in the address of a patent holder