基于CDN技术的安全防护方法

技术领域

本发明涉及内容分发网络CDN技术领域，具体为基于CDN技术的安全防护方法。

背景技术

随着互联网业务的繁荣，以DDos(分布式拒绝服务攻击)为代表的网络攻击事件不断涌现，严重阻碍了互联网应用的发展。面对这类挑战，CDN基于其广泛分布的边缘节点，并结合智能攻击流量检测以及流量清洗技术，能够避免攻击流量把内容源站打垮，从而保护各类互联网业务的正常、平稳运行。

现有技术中，当前全球互联网流量的一半以上是通过CDN进行加速的。随着互联网协议的不断迭代和升级，产生了用于解决安全性、性能、互动性等各方面问题的越来越多的网络协议。接入网关直接与用户交互，接收用户的请求，对不同的网络协议进行处理和卸载。同时，接入网关需要为用户提供限流、限速、防盗链等丰富的产品化功能。针对部分无法产品化的定制化需求，其还提供可编程扩展的能力，供用户自己实现定制化逻辑。随着无线接入带宽的不断增长，各类互联网短视频、长视频业务取得了爆发式的增长，CDN市场也随之驶入了高速发展的轨道。2018年全球CDN市场规模达到了90亿美元。据MarketsandMarkets公司发布的数据推测，预计为了几年CDN的市场规模仍将持续快速增长，2022年全球CDN市场规模预计将达到308.9亿美元。CDN因其解决了互联网内容的加速问题以及互联网应用的安全防护问题而逐渐发展成了互联网的基础设施，促进了电子商务、短视频、直播等各类互联网应用的繁荣发展。政府行业网站及互联网金融、游戏加速等领域都具有很强的网络防攻击需求。例如，对于政府类网站来讲，在会议或者特殊时段，需要保障网络的可用性，防止其遭受DDos攻击或者CC(Challenge Collapsar)攻击而不能被访问；对于互联网金融业务来讲，金融数据是恶意爬虫攻击的首要对象，其站点性能、网络安全以及内容安全需要同时兼顾。对于DDos攻击，CDN平台部署了抗D清洗中心。当DDos攻击发生时，抗D清洗中心会对包含DDos攻击在内的访问流量进行智能模式识别，并将DDos流量切换到抗D清洗中心，以避免影响用户的正常使用。

但是，随着信息时代的发展以及移动互联应用大爆发，现阶段技术已经满足不了大流量视频业务，越来越多应用通过运用CDN技术解决低延迟，低效率问题。

发明内容

本发明的目的在于提供基于CDN技术的安全防护方法，以解决上述背景技术中提出的随着信息时代的发展以及移动互联应用大爆发，现阶段技术已经满足不了大流量视频业务，越来越多应用通过运用CDN技术解决低延迟，低效率问题的问题。

为实现上述目的，本发明提供如下技术方案：基于CDN技术的安全防护方法，所述方法包括以下步骤：

ELB将收到的客户端四层建连请求按照调度策略均衡地转发给Cache服务器；

进行ELB四层请求分发；

边缘节点自身的DDoS防御通过ELB实现；

CDN边缘节点被攻击时，第一时间通过节点防御能力进行一定程度的DDoS攻击防护，更大流量的攻击通过DDoS防护智能调度机制将流量牵引到大流量防御节点进行清洗。

优选的，ELB使用Direct Routing，直接路由转发的三角模式，即客户端请求数据经过ELB转发给后端Cache服务器，而Cache服务器直接回复给客户端，不经过ELB，形成一个三角数据流。

优选的，ELB设备直接清洗掉非服务端口的流量，比如一个TCP服务的IP，针对UDPFlood会直接丢弃所有UDP报文，起到了类似ACL的作用，ELB集成了SYN Flood防御、分片攻击防御、会话检测、畸形报文检测以及协议合规检测安全功能，进行四层的攻击流量清洗，避免异常流量对节点服务的影响。

优选的，ELB四层请求分发流程具体步骤如下:

客户端发起的建连请求及后续报文经过公网传输到达CON节点后，被传递给ELB设备；

ELB设备根据调度算法对所有四层是建连请求进行分发，将其转发给后设备；

Cache设备处理完客户端的请求后，将响应报文直接传递给客户端，不在经过ELB设备的处理。

优选的，请求方面的异常报文通过ELB内置的异常报文检测逻辑，阻断异常报文，避免转发给Cache服务器，从而保护节点的服务。

优选的，边缘节点自身的DDoS防御通过ELB实现的具体操作包括：

基于全网的网络攻击处理则由中心根据全网数据生成策略，每个边缘节点进行全方位流量统计，统计每个IP的总流量及各协议的成分流量，并实时将数据上传到中心，即安全大脑；安全大脑基于全网数据进行分析，并结合历史流量基线和节点服务情况进行智能决策，执行将业务流量智能解析到相邻节点、网络黑洞等措施；对于超大流量攻击的场景，CDN通过智能防护调度系统进行处理。

优选的，DDoS防护智能调度机制的具体操作包括：

业务流量默认通过边缘加速节点分发，最大程度确保加速效果和用户体验；

当检测到大流量DDoS攻击之后，智能调度根据攻击强度以及服务影响等因素决策是否由防御节点进行DDoS清洗，同时根据攻击情况进行区域调度或全局调度；

当DDoS攻击停止后，智能调度系统自动决定将防御节点服务的业务流量调度回边缘加速节点，尽最大可能地保证正常加速效果。

与现有技术相比，本发明的有益效果是：

本发明提出的基于CDN技术的安全防护方法，基于已有的内容分发网络CDN技术，结合网站应用级入侵防御系统(Web Application Firewall，WAF)的方式防护Web服务器。其中，通过CDN过滤DDoS攻击，WAF阻挡恶意Web攻击，结合两者能有效阻断传统防火墙无法隔离的网络攻击。互联网每天都发生着成百万次网络攻击，例如DDoS等流量攻击会通过大量请求将源站资源耗尽，导致正常用户无法访问。CDN技术凭借广泛分布的节点，将DDoS攻击分散到其他节点，减少攻击危害，使业务安全性得以提升。此外，CDN还为用户提供了一系列缓存，通过控制台对业务运行情况进行监控，用户可根据自身需求制定缓存策略，从而进一步提升访问体验。

附图说明

图1为本发明DDOS防护智能调度机制的流程图。

具体实施方式

为了使本发明的目的、技术方案进行清楚、完整地描述，及优点更加清楚明白，以下结合附图对本发明实施例进行进一步详细说明。应当理解，此处所描述的具体实施例是本发明一部分实施例，而不是全部的实施例，仅仅用以解释本发明实施例，并不用于限定本发明实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

请参阅图1，本发明提供一种技术方案：基于CDN技术的安全防护方法，所述方法包括以下步骤：

ELB将收到的客户端四层建连请求按照调度策略均衡地转发给Cache服务器；

进行ELB四层请求分发；

边缘节点自身的DDoS防御通过ELB实现；

CDN边缘节点被攻击时，第一时间通过节点防御能力进行一定程度的DDoS攻击防护，更大流量的攻击通过DDoS防护智能调度机制将流量牵引到大流量防御节点进行清洗。

实施例二

在实施例一的基础上，具体实现包括：

(1)ELB是CDN边缘节点处理网络流量的首要环节，ELB会将收到的客户端四层建连请求按照调度策略均衡地转发给Cache服务器。一般CDN业务具有请求小、响应大的特点，因此，ELB使用DR(Direct Routing，直接路由)转发的三角模式，即：客户端请求数据经过ELB转发给后端Cache服务器，而Cache服务器直接回复给客户端，不经过ELB，形成一个三角数据流。安全方面，ELB设备会直接清洗掉非服务端口的流量，比如一个TCP服务的IP，针对UDPFlood会直接丢弃所有UDP报文，起到了类似ACL的作用。同时，ELB还集成了SYN Flood防御、分片攻击防御、会话检测、畸形报文检测以及协议合规检测等安全功能，进行四层的攻击流量清洗，避免异常流量对节点服务的影响。

(2)ELB四层请求分发流程具体步骤如下:

1.客户端发起的建连请求及后续报文经过公网传输到达CON节点后，被传递给ELB设备。

2.ELB设备根据调度算法对所有四层是建连请求进行分发，将其转发给后设备。

3.Cache设备处理完客户端的请求后，将响应报文直接传递给客户端，不在经过ELB设备的处理。

在这个流程中，请求方面的异常报文都要通过ELB内置的异常报文检测逻辑，会阻断异常报文，避免转发给Cache服务器，从而保护节点的服务。

(3)边缘节点自身的DDoS防御主要通过上文提到的ELB实现。基于全网的网络攻击处理则由中心根据全网数据生成策略，每个边缘节点都会进行全方位流量统计，统计每个IP的总流量及各协议的成分流量，并实时将数据上传到中心，即安全大脑。安全大脑基于全网数据进行分析，并结合历史流量基线和节点服务情况进行智能决策，执行将业务流量智能解析到相邻节点、网络黑洞等措施。对于超大流量攻击的场景，CDN通过智能防护调度系统进行处理。

(4)CDN边缘节点被攻击时，第一时间通过本节点防御能力进行一定程度的DDoS攻击防护，更大流量的攻击通过DDoS防护智能调度机制将流量牵引到大流量防御节点进行清洗。

(5)DDoS防护智能调度机制的策略是，业务流量默认通过边缘加速节点分发，最大程度确保加速效果和用户体验。当检测到大流量DDoS攻击之后，智能调度会根据攻击强度以及服务影响等因素决策是否由防御节点进行DDoS清洗，同时根据攻击情况进行区域调度或全局调度，而当DDoS攻击停止后，智能调度系统会自动决定将防御节点服务的业务流量调度回边缘加速节点，尽最大可能地保证正常加速效果。DDoS防护智能调度机制最核心的就是边缘加速、智能调度、大流量防御二部分，在边缘加速的基础上具备全面的DDoS攻击检测及智能调度的能力，并结合大流量防御节点的清洗，兼顾加速与安全。

CDN安全防护包括四层DDos、七层CC及Web攻击防御。攻击风险来自于针对CDN服务器的入侵及恶意攻击，另外更多的攻击部分来自于CDN服务的众多域名，其攻击的目标是某一个域名，可能会对该域名的服务IP进行攻击，也可能直接对该域名进行恶意访问。因此，CDN安全防护主要从两个方面进行防御，一方面对CDN服务器进行访问控制，另一方面在服务域名被攻击时进行快速检测，以及针对攻击域名进行定位及处置。

a)CDN安全架构立足于CDN全球边缘加速节点，将更多的安全能力部署到CDN边缘，更接近于在互联网访问的入口检测攻击和拦截恶意请求。一旦检测到攻击，边缘节点的智能防御机制就会在第一时间启动。同时，CDN的安全大脑基于全网数据分析，形成基于单节点或全网的精准防护策略，并实时执行。

b)针对大流量DDos攻击的场景，安全大脑会启动智能调度策略，将攻击流量调度到大流量防御节点去清洗。

c)CDN边缘节点的服务请求依次经过以下三个环节进行处理

四层负载均衡

七层负载均衡及业务逻辑处理

缓存系统。缓存系统和七层负载均衡被部署在同一组服务器中，该组服务器被统称为Cache服务器。

d)CDN的安全防护主要分为两部分：四层负载均衡及DDos防护、应用层防护。CDN在主要通过边缘的负载均衡网元提供高带宽

e)高可用服务能力的同时进行了DDos清洗、CC防御，且结合四七层能力，实现多层次清洗，缓解边缘节点的攻击。与此同时，CDN可将服务请求的数据上传到中心，并结合智能调度、路由黑洞、机器流量管理、精准访问控制等多种策略，全网精准压制攻击

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。