[发明专利]基于内容分发网络的分布式防恶意攻击方法和系统

说明书

技术领域

本发明涉及内容分发网络（CDN）的网络安全技术，尤其涉及针对动态请求恶意攻击源的识别和分布式防范技术。

背景技术

基于安全网络针对恶意攻击源的智能识别和防范的基本思想是，由于客户动态请求的响应内容不能被缓存，CDN接入商只为其提供加速通道，所以对于用户的动态请求，CDN都需要回客户源拉取内容再返回给客户端。一旦攻击发生，随着请求数增多，对源站的服务会造成影响。此系统可以根据回源请求频率动态分析用户的行为，智能判断是否为攻击行为，一旦确认某个用户IP存在攻击行为，马上把它拉入黑名单，禁止其在一段时间内继续访问该web站点，这样就使得大部分的恶意请求在CDN的网络内部被限制掉，从而不会到达客户源站。

并且针对不同地区的分布式大流量攻击，分布式的CDN模式可以让多个节点分摊攻击量，最终到客户源站的攻击绝大部分被限制在CDN网络外，从而保证源站稳定运行，确保非恶意用户的正常访问。

目前的防动态请求攻击的实现方案如图1所示：

恶意请求直接连到源站防火墙，利用现有防火墙技术或者硬件，比如IPtable和apache自带的防恶意请求模块，判断恶意动态攻击行为。防火墙上根据设置的安全规则，判定是否属于攻击，如果是攻击则防火墙禁止访问，若不是攻击，则放行请求，源站正常响应。

现有的恶意动态请求方案存在以下的弊端：

1.现有硬件防火墙价格高昂，而且需要人力维护；增加运营成本。并且现有单一的防火墙，很难承担分布式大流量攻击。

2.软件防火墙防攻击能力有限，而且防范规则比较单一。

3.无论是硬件还是软件防火墙都没有办法让源站隐藏起来。

总体说来，当前的防动态请求攻击方案，无法保证源站完全隐藏，攻击者很简单就可以发现源站，并对其实施攻击。

发明内容

本发明的目的在于解决上述问题，提供了一种基于内容分发网络的分布式防恶意攻击方法和系统，利用CDN的分布式网络分摊攻击量，并且利用恶意攻击识别技术，识别出攻击IP，把攻击用户限制在CDN网络内部，最大限度的减少连接到客户源站的恶意请求。

本发明的技术方案为：本发明揭示了一种基于内容分发网络的分布式防恶意攻击方法，包括：

识别不同区域的恶意攻击请求；

将不同区域的恶意攻击请求分配到各区域独立的内容分发网络防攻击节点组，实现分布式分摊大流量的恶意攻击；

在内容分发网络防攻击节点组中，将分配到各自区域的恶意攻击再次分摊到不同的防攻击节点机器；

防攻击节点机器对于识别为恶意攻击的请求，禁止其继续访问，对识别为非恶意攻击的请求，将请求转发给源站，以使源站收到请求后作出正常响应。

根据本发明的基于内容分发网络的分布式防恶意攻击方法的一实施例，对于防攻击节点机器对恶意攻击的识别和处理进一步包括：

内容分发网络的防攻击节点机器通过黑名单判断请求用户的IP是否为攻击IP，若不在黑名单中则动态请求正常连接回源。

根据本发明的基于内容分发网络的分布式防恶意攻击方法的一实施例，对于防攻击节点机器对恶意攻击的识别和处理进一步包括：

在黑名单判断的同时，针对用户访问IP次数进行计数，在单位时间内判断用户的动态请求次数是否超过预设值，一旦达到预设值则判断该用户为攻击者，将该用户的IP列入黑名单；

同时打开计时器，从判断为攻击者的时刻起至预设的时间段内，所有来自该用户IP的请求都不能正常回源动态请求。

根据本发明的基于内容分发网络的分布式防恶意攻击方法的一实施例，对于防攻击节点机器对恶意攻击的识别和处理进一步包括：

如果请求IP在黑名单中的时间超过了预设值，则将该请求IP从黑名单中去除，以使下次访问的时候重新开始对用户访问IP次数进行计数。

本发明还揭示了一种基于内容分发网络的分布式防恶意攻击系统，包括：

请求区域识别装置，识别不同区域的恶意攻击请求；

区域分配装置，将不同区域的恶意攻击请求分配到各区域独立的内容分发网络防攻击节点组，实现分布式分摊大流量的恶意攻击；

节点机器分摊装置，在内容分发网络防攻击节点组中，将分配到各自区域的恶意攻击再次分摊到不同的防攻击节点机器；

恶意攻击请求处理装置，防攻击节点机器对于识别为恶意攻击的请求，禁止其继续访问，对识别为非恶意攻击的请求，将请求转发给源站，以使源站收到请求后作出正常响应。