[发明专利]一种基于CDN节点日志的CC防护方法

说明书

本发明公开了一种基于CDN节点日志的CC防护方法，包括以下步骤：步骤1：获取CDN节点日志中的IP请求信息，根据IP请求信息分析判断是否为攻击；步骤2：若判断为正常请求则放行，若判断为攻击则从IP请求信息中提取特征加入攻击特征库，然后获取云端性能负荷和源站服务器性能负荷；步骤3：根据步骤2提取得到的云端负荷性能和源站服务器负荷性能与预设的阈值进行比较，若云端性能负荷与源站服务器性能负荷均低于其预设阈值则判定为正常，不进行拦截；若云端性能负荷和源站服务器性能负荷任一负荷判定为异常，则将异常IP进行拦截；本发明在拦截过程中结合云端性能状态和源站性能状态进行不同力度的拦截，减少了误拦截的概率和风险。

技术领域

本发明涉及一种CC防护方法，具体涉及一种基于CDN节点日志的CC防护方法。

背景技术

CC攻击是常见的一种拒绝服务攻击技术，能够极大的影响站点服务的可用性和稳定性；目前CC主要的防护策略是云端厂商单方面判断后拦截，未结合源站服务器性能负荷；无法充分利用源站资源或使过多的请求到达源站而让源站出现性能过载的问题；在一些特殊环境下（本身为高频调用特征的接口请求用CC引擎分析会大概率地判断为攻击，而对于源站的实际生产环境来说却是预期中的正常情形）会导致误拦截。

现有的CC防护一般基于日志中的IP请求信息，对IP请求信息进行分析根据分析结果进行拦截；这种防护方法仅仅在云端提供特征和设定拦截规则并单方面执行拦截，未根据云端性能负荷和源站性能负荷进行拦截力度的调整；还有在服务器运行时对所确定的监控指标进行实时监控，并根据监控数据计算服务器整体负荷状况；并根据整体负荷状况进行相应处理，分为正常处理阶段、清洗流量阶段和丢弃请求阶段。但是该防护方法会在站点使用过程中仅仅考虑到了防御端（即云端服务器性能状态），未参考源站服务器的性能状态并实时调整防御力度；假设云端负荷状态正常，而业务请求使源站负荷异常，那么仍然会使源站无法正常运行，从而无法在整体提供可用服务。

发明内容

本发明提供一种可减少误拦截的概率和风险的基于CDN节点日志的CC防护方法。

本发明采用的技术方案是：一种基于CDN节点日志的CC防护方法，包括以下步骤：

步骤1：获取CDN节点日志中的IP请求信息，根据IP请求信息分析判断是否为攻击；

步骤2：若判断为正常请求则放行，若判断为攻击则从IP请求信息中提取特征加入攻击特征库，然后获取云端性能负荷和源站服务器性能负荷；

步骤3：根据步骤2提取得到的云端性能负荷和源站服务器性能负荷与预设的阈值进行比较，若云端性能负荷与源站服务器性能负荷均低于其预设阈值则判定为正常，不进行拦截；若云端性能负荷和源站服务器性能负荷任一负荷判定为异常，则将异常IP进行拦截。

进一步的，所述步骤2中的云端性能负荷为云端防护节点负载值和所有CPU逻辑核心数的比值m，预设阈值为a。

进一步的，所述步骤2中的源站服务器性能负荷为源站服务器当前负载值和所有CPU逻辑核心数的比值n，预设阈值为b。

进一步的，所述步骤3判断过程如下：

若m＜a且n＜b则不进行任何拦截；

若m≥a，则云端将异常IP在网络层进行拦截；

其他情况云端均将异常IP在应用层进行拦截。

进一步的，所述步骤1中基于名单、攻击特征库对IP请求信息进行如下分析：

将IP请求信息中的源IP与黑名单进行匹配，若源IP与黑名单中的任一源IP匹配，则输出分析结果为“匹配”；

若源IP于黑名单中的任一源IP不匹配，则统计源IP最近的访问频度并与源IP访问频度阈值进行比较，若超过源IP访问频度阈值，则输出分析结果为“超过阈值”；