[发明专利]内容分发网络安全检测方法及系统

权利要求书

1.一种内容分发网络安全检测方法，包括：

获取内容分发网络节点复制的网络流量数据得到全量网络流量数据；

对获取的全量网络流量数据按预设入侵检测规则进行安全分析；

根据分析结果确定是否存在安全告警。

2.如权利要求1所述的内容分发网络安全检测方法，其特征在于，所述对获取的全量网络流量数据按预设入侵检测规则进行安全分析包括：

从所述全量网络流量数据中选择预设协议对应的预设目标字段数据；

对选择的预设目标字段数据采用预设安全校验算法进行计算得到安全校验值；

将得到的安全校验值与预设安全校验值进行比较，得到比较结果；

或，

从所述全量网络流量数据中选择目标地址信息，所述目标地址信息包括目标IP地址和目标域名信息；

将选择的目标地址信息和预设地址黑名单中的恶意地址信息进行匹配。

3.如权利要求1或2所述的内容分发网络安全检测方法，其特征在于，得到所述全量网络流量数据之后，还包括：

从所述全量网络流量数据中抽取预设协议的会话信息得到会话数据；

对得到的会话数据按预设会话数据分析规则进行安全分析。

4.如权利要求3所述的内容分发网络安全检测方法，其特征在于，所述对得到的会话数据按预设会话数据分析规则进行安全分析包括：

将获取的会话数据与预设会话模型进行匹配，所述预设会话模型包括白名单会话和黑名单会话，当某一会话数据落入所述黑名单会话时，判定该会话数据为攻击会话数据，当某一会话数据落入所述黑名单会话和白名单会话之外时，判定该会话数据为疑似攻击会话数据；

和/或，

从所述会话数据中提取重定向信息；

获取所述重定向消息的消息头中的定位字段；

判断所述定位字段是否指向预设恶意位置。

5.如权利要求1或2所述的内容分发网络安全检测方法，其特征在于，得到所述全量网络流量数据之后，还包括：

从所述全量网络流量数据中抽取预设目标对象之预设资源的访问数据得到统计数据；

对得到的统计数据按预设统计数据分析规则进行安全分析。

6.如权利要求5所述的内容分发网络安全检测方法，其特征在于，所述对得到的统计数据按预设统计数据分析规则进行安全分析包括：

从所述统计数据中获取预设协议统计组的流量进行统计，所述预设协议统计组由源IP地址、源端口、目的IP地址、目的端口、以及预设协议组成；

当某一预设协议统计组的流量超过对应的流量阈值时，对该协议统计组对应的流量数据包的特征进行分析，判断是否符合恶意数据包特征；

和/或，

从所述统计数据中根据对所述预设资源的访问情况统计出热点资源；

判断所述热点资源中是否存在恶意资源。

7.如权利要求1-3任一项所述的内容分发网络安全检测方法，其特征在于，还包括：

获取内容分发网络节点日志信息，所述日志信息包括内容分发网络节点的主机的系统日志、数据设备告警日志以及应用系统访问日志中的至少一种；

对获取的日志分析按预设日志信息分析规则进行分析。

8.一种内容分发网络安全检测系统，包括节点分析设备和中心服务器；

节点分析设备，与内容分发网络节点连接，用于获取所述内容分发网络节点复制的网络流量数据得到全量网络流量数据，以及用于对获取的网络流量数据按从所述中心服务器获取的预设入侵检测规则进行安全分析，根据分析结果确定是否存在安全告警。

9.如权利要求8所述的内容分发网络安全检测系统，其特征在于，还包括与所述中心服务器连接的中心分析设备；

所述节点分析设备还用于得到所述全量网络流量数据之后，从所述全量网络流量数据中抽取预设协议的会话信息得到会话数据并通过所述中心服务器发给所述中心分析设备；

所述中心分析设备用于对得到的会话数据按预设会话数据分析规则进行安全分析。

10.如权利要求8所述的内容分发网络安全检测系统，其特征在于，还包括与所述中心服务器连接的中心分析设备；

所述节点分析设备还用于得到所述全量网络流量数据之后，从所述全量网络流量数据中抽取预设目标对象之预设资源的访问数据得到统计数据并通过所述中心服务器发给所述中心分析设备；

所述中心分析设备用于对得到的统计数据按预设会话数据分析规则进行安全分析。