本发明专利技术公开了基于内容分发网络的分布式防恶意攻击方法和系统,利用CDN的分布式网络分摊攻击量,并且利用恶意攻击识别技术,识别出攻击IP,把攻击用户限制在CDN网络内部,最大限度的减少连接到客户源站的恶意请求。其技术方案为:方法包括:识别不同区域的恶意攻击请求;将不同区域的恶意攻击请求分配到各区域独立的内容分发网络防攻击节点组,实现分布式分摊大流量的恶意攻击;在内容分发网络防攻击节点组中,将分配到各自区域的恶意攻击再次分摊到不同的防攻击节点机器;防攻击节点机器对于识别为恶意攻击的请求,禁止其继续访问,对识别为非恶意攻击的请求,将请求转发给源站,以使源站收到请求后作出正常响应。
【技术实现步骤摘要】
本专利技术涉及内容分发网络(⑶N)的网络安全技术,尤其涉及针对动态请求恶意攻击源的识别和分布式防范技术。
技术介绍
基于安全网络针对恶意攻击源的智能识别和防范的基本思想是,由于客户动态请求的响应内容不能被缓存,CDN接入商只为其提供加速通道,所以对于用户的动态请求,CDN 都需要回客户源拉取内容再返回给客户端。一旦攻击发生,随着请求数增多,对源站的服务会造成影响。此系统可以根据回源请求频率动态分析用户的行为,智能判断是否为攻击行为,一旦确认某个用户IP存在攻击行为,马上把它拉入黑名单,禁止其在一段时间内继续访问该web站点,这样就使得大部分的恶意请求在CDN的网络内部被限制掉,从而不会到达客户源站。并且针对不同地区的分布式大流量攻击,分布式的CDN模式可以让多个节点分摊攻击量,最终到客户源站的攻击绝大部分被限制在CDN网络外,从而保证源站稳定运行,确保非恶意用户的正常访问。目前的防动态请求攻击的实现方案如图I所示恶意请求直接连到源站防火墙,利用现有防火墙技术或者硬件,比如IPtable和 apache自带的防恶意请求模块,判断恶意动态攻击行为。防火墙上根据设置的安全规则,判定是否属于攻击,如果是攻击则防火墙禁止访问,若不是攻击,则放行请求,源站正常响应。现有的恶意动态请求方案存在以下的弊端I.现有硬件防火墙价格高昂,而且需要人力维护;增加运营成本。并且现有单一的防火墙,很难承担分布式大流量攻击。2.软件防火墙防攻击能力有限,而且防范规则比较单一。3.无论是硬件还是软件防火墙都没有办法让源站隐藏起来。总体说来,当前的防动态请求攻击方案,无法保证源站完全隐藏,攻击者很简单就可以发现源站,并对其实施攻击。
技术实现思路
本专利技术的目的在于解决上述问题,提供了一种基于内容分发网络的分布式防恶意攻击方法和系统,利用CDN的分布式网络分摊攻击量,并且利用恶意攻击识别技术,识别出攻击IP,把攻击用户限制在CDN网络内部,最大限度的减少连接到客户源站的恶意请求。本专利技术的技术方案为本专利技术揭示了一种基于内容分发网络的分布式防恶意攻击方法,包括识别不同区域的恶意攻击请求;将不同区域的恶意攻击请求分配到各区域独立的内容分发网络防攻击节点组,实现分布式分摊大流量的恶意攻击;在内容分发网络防攻击节点组中,将分配到各自区域的恶意攻击再次分摊到不同的防攻击节点机器;防攻击节点机器对于识别为恶意攻击的请求,禁止其继续访问,对识别为非恶意攻击的请求,将请求转发给源站,以使源站收到请求后作出正常响应。 根据本专利技术的基于内容分发网络的分布式防恶意攻击方法的一实施例,对于防攻击节点机器对恶意攻击的识别和处理进一步包括内容分发网络的防攻击节点机器通过黑名单判断请求用户的IP是否为攻击IP,若不在黑名单中则动态请求正常连接回源。根据本专利技术的基于内容分发网络的分布式防恶意攻击方法的一实施例,对于防攻击节点机器对恶意攻击的识别和处理进一步包括在黑名单判断的同时,针对用户访问IP次数进行计数,在单位时间内判断用户的动态请求次数是否超过预设值,一旦达到预设值则判断该用户为攻击者,将该用户的IP列入黑名单;同时打开计时器,从判断为攻击者的时刻起至预设的时间段内,所有来自该用户IP的请求都不能正常回源动态请求。根据本专利技术的基于内容分发网络的分布式防恶意攻击方法的一实施例,对于防攻击节点机器对恶意攻击的识别和处理进一步包括如果请求IP在黑名单中的时间超过了预设值,则将该请求IP从黑名单中去除,以使下次访问的时候重新开始对用户访问IP次数进行计数。本专利技术还揭示了一种基于内容分发网络的分布式防恶意攻击系统,包括请求区域识别装置,识别不同区域的恶意攻击请求;区域分配装置,将不同区域的恶意攻击请求分配到各区域独立的内容分发网络防攻击节点组,实现分布式分摊大流量的恶意攻击;节点机器分摊装置,在内容分发网络防攻击节点组中,将分配到各自区域的恶意攻击再次分摊到不同的防攻击节点机器;恶意攻击请求处理装置,防攻击节点机器对于识别为恶意攻击的请求,禁止其继续访问,对识别为非恶意攻击的请求,将请求转发给源站,以使源站收到请求后作出正常响应。根据本专利技术的基于内容分发网络的分布式防恶意攻击系统的一实施例,恶意攻击请求处理装置进一步包括黑名单判断模块,内容分发网络的防攻击节点机器通过黑名单判断请求用户的IP是否为攻击IP,若不在黑名单中则动态请求正常连接回源。根据本专利技术的基于内容分发网络的分布式防恶意攻击系统的一实施例,恶意攻击请求处理装置进一步包括访问计数模块,在黑名单判断的同时,针对用户访问IP次数进行计数,在单位时间内判断用户的动态请求次数是否超过预设值,一旦达到预设值则判断该用户为攻击者,将该用户的IP列入黑名单,同时打开计时器,从判断为攻击者的时刻起至预设的时间段内,所有来自该用户IP的请求都不能正常回源动态请求。根据本专利技术的基于内容分发网络的分布式防恶意攻击系统的一实施例,恶意攻击请求处理装置进一步包括黑名单更新模块,如果请求IP在黑名单中的时间超过了预设值,则将该请求IP从黑名单中去除,以使下次访问的时候重新开始对用户访问IP次数进行计数。本专利技术点对比现有技术有如下的有益效果本专利技术的方案是利用动态智能技术把不同地区的攻击用户,分配到不同的CDN防攻击节点组,利用负载均衡算法把相同地区的防攻击节点中的攻击量分摊到多台防攻击节点机器。每台防攻击节点机器利用恶意攻击识别技术分析出攻击用户,然后限制这个用户IP的访问。相对于现有技术,恶意动态攻击在本专利技术的方案中是在CDN网络内部被智能识别并且被防范,且这个过程都在CDN网络内部处理,对源站毫无影响,至此不但可以尽量保证到源站的都为正常请求,保证源站后台稳定。而且处理过程完全和源站分离开来,减小源站带宽消耗,另外由于不需要继续部署防火墙,可以减少硬件成本和维护成本。附图说明图I示出了现有的恶意动态请求的防范方案的流程图。图2示出了本专利技术的基于内容分发网络的分布式防恶意攻击方法的较佳实施例的流程图。图3示出了本专利技术的防攻击节点机器内部识别和防范恶意攻击的子流程图。图4示出了本专利技术的基于内容分发网络的分布式防恶意攻击系统的较佳实施例的原理图。图5示出了图4系统实施例的运行流程的示意图。具体实施例方式下面结合附图和实施例对本专利技术作进一步的描述。基于内容分发网络的分布式防恶意攻击方法的实施例图2示出了本专利技术的基于内容分发网络的分布式防恶意攻击方法的较佳实施例的流程。请参见图2,本实施例的分布式防恶意攻击方法的实施步骤详述如下。步骤SlO :识别不同区域的恶意攻击请求。通过现有的智能分摊技术,能够识别不同区域的攻击请求。步骤Sll :将不同区域的恶意攻击请求分配到各区域独立的内容分发网络防攻击节点组,实现分布式分摊大流量的恶意攻击。步骤S12 :在内容分发网络防攻击节点组中,将分配到各自区域的恶意攻击再次分摊到不同的防攻击节点机器。利用现有的应用层负载均衡技术,能够将分配到各自区域的恶意攻击再次分摊到不同的防攻击节点机器。步骤S13 :防攻击节点机器对于识别为恶意攻击的请求,禁止其继续访问,对识别为非恶意攻击的请求,将请求转发给源站,以使源站收到请求后作出正常响应。只将识别为非恶意攻击的请求转发给源站,在对源站毫无影响和压力的情况下,保本文档来自技高网...
【技术保护点】
一种基于内容分发网络的分布式防恶意攻击方法,包括:识别不同区域的恶意攻击请求;将不同区域的恶意攻击请求分配到各区域独立的内容分发网络防攻击节点组,实现分布式分摊大流量的恶意攻击;在内容分发网络防攻击节点组中,将分配到各自区域的恶意攻击再次分摊到不同的防攻击节点机器;防攻击节点机器对于识别为恶意攻击的请求,禁止其继续访问,对识别为非恶意攻击的请求,将请求转发给源站,以使源站收到请求后作出正常响应。
【技术特征摘要】
1.一种基于内容分发网络的分布式防恶意攻击方法,包括 识别不同区域的恶意攻击请求; 将不同区域的恶意攻击请求分配到各区域独立的内容分发网络防攻击节点组,实现分布式分摊大流量的恶意攻击; 在内容分发网络防攻击节点组中,将分配到各自区域的恶意攻击再次分摊到不同的防攻击节点机器; 防攻击节点机器对于识别为恶意攻击的请求,禁止其继续访问,对识别为非恶意攻击的请求,将请求转发给源站,以使源站收到请求后作出正常响应。2.根据权利要求I所述的基于内容分发网络的分布式防恶意攻击方法,其特征在于,对于防攻击节点机器对恶意攻击的识别和处理进一步包括 内容分发网络的防攻击节点机器通过黑名单判断请求用户的IP是否为攻击IP,若不在黑名单中则动态请求正常连接回源。3.根据权利要求2所述的基于内容分发网络的分布式防恶意攻击方法,其特征在于,对于防攻击节点机器对恶意攻击的识别和处理进一步包括 在黑名单判断的同时,针对用户访问IP次数进行计数,在单位时间内判断用户的动态请求次数是否超过预设值,一旦达到预设值则判断该用户为攻击者,将该用户的IP列入黑名单; 同时打开计时器,从判断为攻击者的时刻起至预设的时间段内,所有来自该用户IP的请求都不能正常回源动态请求。4.根据权利要求3所述的基于内容分发网络的分布式防恶意攻击方法,其特征在于,对于防攻击节点机器对恶意攻击的识别和处理进一步包括 如果请求IP在黑名单中的时间超过了预设值,则将该请求IP从黑名单中去除,以使下次访问的时候重新开始对用户访问IP次数进行计数。5.一种基于内容分发网络的...
【专利技术属性】
技术研发人员:洪珂,郭文强,王开辉,
申请(专利权)人:网宿科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。