[发明专利]一种基于CDN节点日志的CC防护方法

权利要求书

1.一种基于CDN节点日志的CC防护方法，其特征在于，包括以下步骤：

步骤1：获取CDN节点日志中的IP请求信息，根据IP请求信息分析判断是否为攻击；

步骤2：若判断为正常请求则放行，若判断为攻击则从IP请求信息中提取特征加入攻击特征库，然后获取云端性能负荷和源站服务器性能负荷；

步骤3：根据步骤2提取得到的云端性能负荷和源站服务器性能负荷与预设的阈值进行比较，若云端性能负荷与源站服务器性能负荷均低于其预设阈值则判定为正常，不进行拦截；若云端性能负荷和源站服务器性能负荷任一负荷判定为异常，则将异常IP进行拦截。

2.根据权利要求1所述的一种基于CDN节点日志的CC防护方法，其特征在于，所述步骤2中的云端性能负荷为云端防护节点负载值和所有CPU逻辑核心数的比值m，预设阈值为a。

3.根据权利要求2所述的一种基于CDN节点日志的CC防护方法，其特征在于，所述步骤2中的源站服务器性能负荷为源站服务器当前负载值和所有CPU逻辑核心数的比值n，预设阈值为b。

4.根据权利要求3所述的一种基于CDN节点日志的CC防护方法，其特征在于，所述步骤3判断过程如下：

若m＜a且n＜b则不进行任何拦截；

若m≥a，则云端将异常IP在网络层进行拦截；

其他情况云端均将异常IP在应用层进行拦截。

5.根据权利要求1所述的一种基于CDN节点日志的CC防护方法，其特征在于，所述步骤1中基于名单、攻击特征库对IP请求信息进行如下分析：

将IP请求信息中的源IP与黑名单进行匹配，若源IP与黑名单中的任一源IP匹配，则输出分析结果为“匹配”；

若源IP与 黑名单中的任一源IP不匹配，则统计源IP最近的访问频度并与源IP访问频度阈值进行比较，若超过源IP访问频度阈值，则输出分析结果为“超过阈值”；

若没有超过源IP访问频度阈值，则从IP请求信息中提取HTTP头信息并与HTTP头信息频度阈值进行比较，若超过HTTP头信息频度阈值，则输出分析结果为“超过阈值”；

若没有超过HTTP头信息频度阈值，则将IP请求信息中的请求内容与攻击特征库进行匹配，若请求内容与特征库匹配成功，则输出分析结果为“匹配”，否则输出分析结果为“正常”；

若分析结果为“正常”则判断IP请求正常，否则判断为攻击。