CN109981656B - 一种基于cdn节点日志的cc防护方法 - Google Patents
一种基于cdn节点日志的cc防护方法 Download PDFInfo
- Publication number
- CN109981656B CN109981656B CN201910248678.4A CN201910248678A CN109981656B CN 109981656 B CN109981656 B CN 109981656B CN 201910248678 A CN201910248678 A CN 201910248678A CN 109981656 B CN109981656 B CN 109981656B
- Authority
- CN
- China
- Prior art keywords
- cloud
- load
- source
- request
- source station
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于CDN节点日志的CC防护方法,包括以下步骤:步骤1:获取CDN节点日志中的IP请求信息,根据IP请求信息分析判断是否为攻击;步骤2:若判断为正常请求则放行,若判断为攻击则从IP请求信息中提取特征加入攻击特征库,然后获取云端性能负荷和源站服务器性能负荷;步骤3:根据步骤2提取得到的云端负荷性能和源站服务器负荷性能与预设的阈值进行比较,若云端性能负荷与源站服务器性能负荷均低于其预设阈值则判定为正常,不进行拦截;若云端性能负荷和源站服务器性能负荷任一负荷判定为异常,则将异常IP进行拦截;本发明在拦截过程中结合云端性能状态和源站性能状态进行不同力度的拦截,减少了误拦截的概率和风险。
Description
技术领域
本发明涉及一种CC防护方法,具体涉及一种基于CDN节点日志的CC防护方法。
背景技术
CC攻击是常见的一种拒绝服务攻击技术,能够极大的影响站点服务的可用性和稳定性;目前CC主要的防护策略是云端厂商单方面判断后拦截,未结合源站服务器性能负荷;无法充分利用源站资源或使过多的请求到达源站而让源站出现性能过载的问题;在一些特殊环境下(本身为高频调用特征的接口请求用CC引擎分析会大概率地判断为攻击,而对于源站的实际生产环境来说却是预期中的正常情形)会导致误拦截。
现有的CC防护一般基于日志中的IP请求信息,对IP请求信息进行分析根据分析结果进行拦截;这种防护方法仅仅在云端提供特征和设定拦截规则并单方面执行拦截,未根据云端性能负荷和源站性能负荷进行拦截力度的调整;还有在服务器运行时对所确定的监控指标进行实时监控,并根据监控数据计算服务器整体负荷状况;并根据整体负荷状况进行相应处理,分为正常处理阶段、清洗流量阶段和丢弃请求阶段。但是该防护方法会在站点使用过程中仅仅考虑到了防御端(即云端服务器性能状态),未参考源站服务器的性能状态并实时调整防御力度;假设云端负荷状态正常,而业务请求使源站负荷异常,那么仍然会使源站无法正常运行,从而无法在整体提供可用服务。
发明内容
本发明提供一种可减少误拦截的概率和风险的基于CDN节点日志的CC防护方法。
本发明采用的技术方案是:一种基于CDN节点日志的CC防护方法,包括以下步骤:
步骤1:获取CDN节点日志中的IP请求信息,根据IP请求信息分析判断是否为攻击;
步骤2:若判断为正常请求则放行,若判断为攻击则从IP请求信息中提取特征加入攻击特征库,然后获取云端性能负荷和源站服务器性能负荷;
步骤3:根据步骤2提取得到的云端性能负荷和源站服务器性能负荷与预设的阈值进行比较,若云端性能负荷与源站服务器性能负荷均低于其预设阈值则判定为正常,不进行拦截;若云端性能负荷和源站服务器性能负荷任一负荷判定为异常,则将异常IP进行拦截。
进一步的,所述步骤2中的云端性能负荷为云端防护节点负载值和所有CPU逻辑核心数的比值m,预设阈值为a。
进一步的,所述步骤2中的源站服务器性能负荷为源站服务器当前负载值和所有CPU逻辑核心数的比值n,预设阈值为b。
进一步的,所述步骤3判断过程如下:
若m<a且n<b则不进行任何拦截;
若m≥a,则云端将异常IP在网络层进行拦截;
其他情况云端均将异常IP在应用层进行拦截。
进一步的,所述步骤1中基于名单、攻击特征库对IP请求信息进行如下分析:
将IP请求信息中的源IP与黑名单进行匹配,若源IP与黑名单中的任一源IP匹配,则输出分析结果为“匹配”;
若源IP于黑名单中的任一源IP不匹配,则统计源IP最近的访问频度并与源IP访问频度阈值进行比较,若超过源IP访问频度阈值,则输出分析结果为“超过阈值”;
若没有超过源IP访问频度阈值,则从IP请求信息中提取HTTP头信息并与HTTP头信息频度阈值进行比较,若超过HTTP头信息频度阈值,则输出分析结果为“超过阈值”;
若没有超过HTTP头信息频度阈值,则将IP请求信息中的请求内容与攻击特征库进行匹配,若请求内容与特征库匹配成功,则输出分析结果为“匹配”,否则输出分析结果为“正常”;
若分析结果为“正常”则判断IP请求正常,否则判断为攻击。
本发明的有益效果是:
(1)本发明在拦截过程中结合云端性能状态和源站性能状态进行不同程度的拦截,当云端性能状态和源站性能状态均为正常时,识别出的攻击IP不进行拦截,减少了误拦截的概率和风险;
(2)本发明中当云端性能状态为“异常”时,对识别出的攻击IP进行网络层拦截,进一步避免因防御力度不够导致的性能过载问题。
附图说明
图1为本发明流程示意图。
图2为本发明防护架构示意图。
具体实施方式
下面结合附图和具体实施例对本发明做进一步说明。
如图1所示,一种基于CDN节点日志的CC防护方法,包括以下步骤:
步骤1:获取CDN节点日志中的IP请求信息,根据IP请求信息分析判断是否为攻击;
基于名单、攻击特征库对IP请求信息进行如下分析:
将IP请求信息中的源IP与黑名单进行匹配,若源IP与黑名单中的任一源IP匹配,则输出分析结果为“匹配”;
若源IP于黑名单中的任一源IP不匹配,则统计源IP最近的访问频度并与源IP访问频度阈值进行比较,若超过源IP访问频度阈值,则输出分析结果为“超过阈值”;
若没有超过源IP访问频度阈值,则从IP请求信息中提取HTTP头信息并与HTTP头信息频度阈值进行比较,若超过HTTP头信息频度阈值,则输出分析结果为“超过阈值”;
若没有超过HTTP头信息频度阈值,则将IP请求信息中的请求内容与攻击特征库进行匹配,若请求内容与特征库匹配成功,则输出分析结果为“匹配”,否则输出分析结果为“正常”;
若分析结果为“正常”则判断IP请求正常,否则判断为攻击。
步骤2:若判断为正常请求则放行,若判断为攻击则从IP请求信息中提取特征加入攻击特征库,然后获取云端性能负荷和源站服务器性能负荷。
步骤3:根据步骤2提取得到的云端负荷性能和源站服务器负荷性能与预设的阈值进行比较,若负荷云端与源站负荷均低于其预设阈值则不进行拦截,若云端和源站任一负荷高于预设阈值则将IP作为异常进行拦截。
云端性能负荷为云端防护节点负载值和所有CPU逻辑核心数的比值m,默认指定状态判定阈值为85%(技术人员可根据实际情况部署并压测后指定),若m小于85%则判定为“正常”,高于85%为“异常”。
源站服务器性能负荷为源站服务器当前负载值和所有CPU逻辑核心数的比值n,默认指定状态判定阈值为85%(技术人员可根据实际情况部署并压测后指定)若n小于85%则判定为“正常”,高于85%为“异常”。
若源站和云端的性能负荷状态均为“正常”,则不进行任何拦截。
若云端性能负荷状态为“异常”,则云端将异常IP在网络层进行拦截。
其他所有情况云端均将异常的IP在应用层进行拦截。
本发明结合云端服务器和源站服务器性能状态选择不同防御力度的拦截方法,当云端服务器和源站服务器性能状态均正常时,即使有攻击被视为CC,也会放行以此减少特殊场景下(虽然特征为CC攻击,但不会造成云端及源站服务的性能异常)的误拦截;减少了误拦截的概率和风险;当云端性能状态为异常时,对识别出的攻击IP进行网络层拦截,进一步避免因防御力度不够导致的性能过载问题;其他情况下,进行应用层拦截,避免该IP作为公网出口时,后端的所有用户请求均在网络层被拦截。
本发明中的云端指云防服务承接用户请求的集群。
源站指后端真实处理用户请求的服务器。
Claims (5)
1.一种基于CDN节点日志的CC防护方法,其特征在于,包括以下步骤:
步骤1:获取CDN节点日志中的IP请求信息,根据IP请求信息分析判断是否为攻击;
步骤2:若判断为正常请求则放行,若判断为攻击则从IP请求信息中提取特征加入攻击特征库,然后获取云端性能负荷和源站服务器性能负荷;
步骤3:根据步骤2提取得到的云端性能负荷和源站服务器性能负荷与预设的阈值进行比较,若云端性能负荷与源站服务器性能负荷均低于其预设阈值则判定为正常,不进行拦截;若云端性能负荷和源站服务器性能负荷任一负荷判定为异常,则将异常IP进行拦截。
2.根据权利要求1所述的一种基于CDN节点日志的CC防护方法,其特征在于,所述步骤2中的云端性能负荷为云端防护节点负载值和所有CPU逻辑核心数的比值m,预设阈值为a。
3.根据权利要求2所述的一种基于CDN节点日志的CC防护方法,其特征在于,所述步骤2中的源站服务器性能负荷为源站服务器当前负载值和所有CPU逻辑核心数的比值n,预设阈值为b。
4.根据权利要求3所述的一种基于CDN节点日志的CC防护方法,其特征在于,所述步骤3判断过程如下:
若m<a且n<b则不进行任何拦截;
若m≥a,则云端将异常IP在网络层进行拦截;
其他情况云端均将异常IP在应用层进行拦截。
5.根据权利要求1所述的一种基于CDN节点日志的CC防护方法,其特征在于,所述步骤1中基于名单、攻击特征库对IP请求信息进行如下分析:
将IP请求信息中的源IP与黑名单进行匹配,若源IP与黑名单中的任一源IP匹配,则输出分析结果为“匹配”;
若源IP与 黑名单中的任一源IP不匹配,则统计源IP最近的访问频度并与源IP访问频度阈值进行比较,若超过源IP访问频度阈值,则输出分析结果为“超过阈值”;
若没有超过源IP访问频度阈值,则从IP请求信息中提取HTTP头信息并与HTTP头信息频度阈值进行比较,若超过HTTP头信息频度阈值,则输出分析结果为“超过阈值”;
若没有超过HTTP头信息频度阈值,则将IP请求信息中的请求内容与攻击特征库进行匹配,若请求内容与特征库匹配成功,则输出分析结果为“匹配”,否则输出分析结果为“正常”;
若分析结果为“正常”则判断IP请求正常,否则判断为攻击。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910248678.4A CN109981656B (zh) | 2019-03-29 | 2019-03-29 | 一种基于cdn节点日志的cc防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910248678.4A CN109981656B (zh) | 2019-03-29 | 2019-03-29 | 一种基于cdn节点日志的cc防护方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109981656A CN109981656A (zh) | 2019-07-05 |
CN109981656B true CN109981656B (zh) | 2021-03-19 |
Family
ID=67081609
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910248678.4A Active CN109981656B (zh) | 2019-03-29 | 2019-03-29 | 一种基于cdn节点日志的cc防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109981656B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110855629B (zh) * | 2019-10-21 | 2022-02-11 | 新华三信息安全技术有限公司 | Ip地址的匹配方法、匹配表的生成方法及相关装置 |
CN112910839B (zh) * | 2021-01-12 | 2023-04-25 | 杭州迪普科技股份有限公司 | 一种dns攻击的防御方法和装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101478540A (zh) * | 2008-12-31 | 2009-07-08 | 成都市华为赛门铁克科技有限公司 | 一种防御挑战黑洞攻击的方法及装置 |
EP2109282A1 (en) * | 2008-04-11 | 2009-10-14 | Deutsche Telekom AG | Method and system for mitigation of distributed denial of service attacks based on IP neighbourhood density estimation |
CN102137111A (zh) * | 2011-04-20 | 2011-07-27 | 北京蓝汛通信技术有限责任公司 | 一种防御cc攻击的方法、装置和内容分发网络服务器 |
CN104065644A (zh) * | 2014-05-28 | 2014-09-24 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
CN108270755A (zh) * | 2017-01-03 | 2018-07-10 | 中国移动通信有限公司研究院 | 一种域名级的自适应抗ddos攻击的方法和装置 |
CN108712446A (zh) * | 2018-06-19 | 2018-10-26 | 中国联合网络通信集团有限公司 | 一种内容中心网络中兴趣包洪泛攻击的防御方法及装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7391725B2 (en) * | 2004-05-18 | 2008-06-24 | Christian Huitema | System and method for defeating SYN attacks |
US20180324211A1 (en) * | 2017-05-05 | 2018-11-08 | Manish Doshi | System and method for prevening denial of service attacks |
-
2019
- 2019-03-29 CN CN201910248678.4A patent/CN109981656B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2109282A1 (en) * | 2008-04-11 | 2009-10-14 | Deutsche Telekom AG | Method and system for mitigation of distributed denial of service attacks based on IP neighbourhood density estimation |
CN101478540A (zh) * | 2008-12-31 | 2009-07-08 | 成都市华为赛门铁克科技有限公司 | 一种防御挑战黑洞攻击的方法及装置 |
CN102137111A (zh) * | 2011-04-20 | 2011-07-27 | 北京蓝汛通信技术有限责任公司 | 一种防御cc攻击的方法、装置和内容分发网络服务器 |
CN104065644A (zh) * | 2014-05-28 | 2014-09-24 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
CN108270755A (zh) * | 2017-01-03 | 2018-07-10 | 中国移动通信有限公司研究院 | 一种域名级的自适应抗ddos攻击的方法和装置 |
CN108712446A (zh) * | 2018-06-19 | 2018-10-26 | 中国联合网络通信集团有限公司 | 一种内容中心网络中兴趣包洪泛攻击的防御方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN109981656A (zh) | 2019-07-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109257293B (zh) | 一种用于网络拥堵的限速方法、装置及网关服务器 | |
CN108173812B (zh) | 防止网络攻击的方法、装置、存储介质和设备 | |
US20160072702A1 (en) | Multipath transmission based packet traffic control method and apparatus | |
US10476629B2 (en) | Performing upper layer inspection of a flow based on a sampling rate | |
CN101707601B (zh) | 入侵防御检测方法、装置和网关设备 | |
CN109981656B (zh) | 一种基于cdn节点日志的cc防护方法 | |
CN101715192B (zh) | 滤除垃圾电话的方法、装置和系统 | |
CN110708250A (zh) | 一种提高数据转发性能的方法、电子设备及存储介质 | |
US11507076B2 (en) | Network analysis program, network analysis device, and network analysis method | |
WO2021068489A1 (zh) | 路由路径智能选择方法、装置、设备及可读存储介质 | |
CN111092900A (zh) | 服务器异常连接和扫描行为的监控方法和装置 | |
US20220329609A1 (en) | Network Security Protection Method and Protection Device | |
CN114070800B (zh) | 一种结合深度包检测和深度流检测的secs2流量快速识别方法 | |
CN101707618A (zh) | 认证控制方法、装置、系统和认证服务器 | |
JP7434690B2 (ja) | ユーザ機器ueのユーザデータを検出するための方法、装置、システム、デバイスおよびコンピュータプログラム | |
CN107547561B (zh) | 一种进行ddos攻击防护处理的方法及装置 | |
CN114338403A (zh) | 一种监控网络意图的方法、网络意图监控系统及存储介质 | |
CN110198294B (zh) | 安全攻击检测方法及装置 | |
CN113055427B (zh) | 一种基于业务的服务器集群接入方法及装置 | |
KR101587845B1 (ko) | 디도스 공격을 탐지하는 방법 및 장치 | |
CN114500237A (zh) | 一种通信方法和系统 | |
CN109104702B (zh) | 信息拦截方法、装置及存储介质 | |
WO2023273843A1 (zh) | 安全防御方法、装置、设备及存储介质 | |
CN108810829A (zh) | 一种彩信拦截处理方法及装置 | |
CN114172674B (zh) | 一种异常数据检测方法、装置、设备及计算机介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP02 | Change in the address of a patent holder |
Address after: 9/F, Block C, No. 28 Tianfu Avenue North Section, Chengdu High tech Zone, China (Sichuan) Pilot Free Trade Zone, Chengdu City, Sichuan Province, 610000 Patentee after: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. Address before: 610000, 11th floor, building 2, No. 219, Tianfu Third Street, hi tech Zone, Chengdu, Sichuan Province Patentee before: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. |
|
CP02 | Change in the address of a patent holder |