一种基于CDN的云安全防护方法与流程

本发明涉及到计算机网络中CDN安全防护领域，具体涉及到一种基于CDN的云安全防护方法。

背景技术：

随着互联网的深度发展，越来越多的行业加入到互联网浪潮中，产生无数基于互联网的应用，提供基于文字、图片、视频、大数据服务等等。但随着应用和用户数的井喷的发展，网络游戏产业逐渐成熟，特别是网络视频等需要高带宽的内容，应用服务对服务器和网络带宽的要求越来越高，外加不同地域的网络基础设施建设水平良莠不齐，信息在网络间传输的压力越来越大，导致用户与内容提供商之间信息传输愈来愈慢，降低了互联网应用的使用体验。

为了解决上述技术难题，基于分布式网络的内容存储与分发的互联网服务诞生了，即CDN(Content Delivery Network)。CDN是构建在网络之上的内容分发网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。

CDN的基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节，使内容传输的更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络，CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容，解决Internet网络拥挤的状况，提高用户访问网站的响应速度。

CDN的出现在一定程度上优化了信息在网络中的传输，提高服务的响应速度，向最终用户提供尽可能好的体验。但是在互联网信息浪潮中还存在另一个普遍又难以解决的问题，即网络安全问题。服务提供商需要对用户数据，关键资产信息等做安全防护，以防止被恶意的盗取、利用。但由于安全问题的相关解决方案门槛较高，加上攻防技术的不断提高，安全问题一直是互联网应用的热点问题。

当前的CDN服务基本都是以内容的缓存、分发为主要业务，部分利用利用带宽的优势提供DDOS和CC服务。在CDN节点上没有提供安全防护业务。如果互联网服务内容的提供商接入CDN后，为了业务安全，需要在自己的服务器上部署安全防护装置，增加了产品的运营成本。如图1所示，如果两个内容提供者，他们接入了CDN服务网络，但是为了业务的安全，他们需要在自己的内容服务器前端增加安全防护的装置，来实现业务以及数据的安全。其存在如下不足：1)如果有多个内容服务器，可能需要多个配套的安全防护装置；当需要进行安全防护升级的时候，需要将每个安全防护的逐个升级，增加运营成本。2)由于业务的响应时效问题，如果相关的安全模块逻辑太复杂会降低正常业务的响应时间，反之，又会增加安全风险；如果遇到大规模的集中攻击，可能会导致服务器的瘫痪，影响服务的稳定性。3)当所有内容服务器都存在一个安全漏洞时，漏洞的修复效率取决于各个服务商的修复速度，由于服务商的安全敏感度以及能力问题，会增加漏洞的危险性。

注：CDN：Content Delivery Network，内容分发网络；WAF：Web Application Firewall，Web应用防护系统；DdoS：Distributed Denial of Service，分布式拒绝服务；CC：ChallengeCollapsar，攻击者借助代理服务器生成指向受害主机的合法请求，实现DDOS和伪装。

技术实现要素：

本发明所要解决的技术问题是提供一种基于CDN的云安全防护方法，使接入CDN的站点，在拥有CDN的网络传输优化等优点的同时，还具备了云端安全防护功能。

为解决上述技术问题，本发明采用的技术方案是：

一种基于CDN的云安全防护方法，包括以下步骤：

步骤1、用户向内容服务器发起一个访问请求，根据CDN的DNS策略，访问请求被路由到一个最优的CDN节点；

步骤2、根据步骤1中最优的CDN节点的安全防护装置处理用户的访问请求是否为正常访问请求，根据访问请求类型，相应地执行步骤3、步骤4或者步骤5；

步骤3、若访问请求被云安全防护装置判决为正常访问，访问请求被放行；CDN节点查询此次访问请求是否有可用缓存，如果有则返回，否则将访问请求发送到源站，获取最新请求结果；

步骤4、若访问请求被云安全防护装置判决为非法访问，直接拦截或丢弃；

步骤5、若当前的安全拦截装置不能完全确定当前的访问请求是否合法，但是访问请求信息中包含可疑的发起IP信息或者不正常的请求长度特征，判决此次访问请求为可疑访问请求；

步骤5.1、所述可疑访问请求暂时按照合法访问请求流程处理，并返回用户结果；

步骤5.2、将当前的访问请求的日志信息发送给云分析中心，云分析中心经过大数据处理分析，判断访问请求是否是恶意访问请求，如果是恶意访问请求，生成响应的拦截规则，并同步到所有的CDN节点。

根据上述方案，在步骤5.2中，云分析中心的数据处理分析，还结合了人工过滤筛选。

与现有技术相比，本发明的有益效果是：1)提供了传统的CDN的功能，请求加速等功能。2)用户接入CDN后，不仅仅实现了请求加速，而且实现了安全防护的能力。3)利用CDN接入节点的集群采集的大数据样本以及云分析能力，能及时发现恶意请求，并且可以快速实现全网的恶意请求规则库的更新，达到拦截功能。

附图说明

图1是常见CDN服务的网络架构示意图。

图2是本发明云安全CDN的网络架构示意图。

图3是本发明一种基于CDN的云安全防护方法的流程示意图。

图中：1-用户；2-CDN节点；3-安全防护；4-内容服务器；5-云分析。

具体实施方式

下面结合附图和具体实施方式对本发明作进一步详细的说明。为了降低内容提供商的安全运营成本，在传统的CDN的基础上构建安全防护功能，实现一套集成安全防护的CDN的解决方案。利用CDN自身的带宽优势，以及集群优势，通过前置接入的公用安全防护模块，如DDOS、CC、waf，以及针对用户实现的个性化自定义的安全防护组件，在CDN的节点上屏蔽非法攻击等恶意请求，极大地减轻了接入CDN的内容服务器的恶意请求流量，提高后端的防护稳定性。而且通过接入数据的大数据分析，可以更及时地发现全网的攻击样本，利用集群的优势，实现高效全网协同防御。

如图2所示，图2给出了基于云安全防护的CDN网络架构图。和图1相比，本发明方法在传统的CND节点之前增加了云安全防护装置，接入CDN的内容服务器不再需要安全防护装置。云安全防护装置根据功能可以划分多个模块，如抗DDOS模块，抗CC模块，WAF防护模块等等。根据防护规则属性可以分为公共防护模块，自定义防护模块(主要解决一些源站的特殊防护逻辑)。如图3所示，本发明方法详述如下。

第一种情况：正常合法的访问请求

1)用户向内容服务器发起一个访问请求。

2)用户的访问请求根据CDN的DNS策略，被路由到一个最优的CDN节点。

3)该访问请求被云安全防护装置判决为正常访问，被放行。

4)CDN节点查询该访问请求是否有可用缓存，如果有则返回，否则将访问请求发送到源站获取最新请求结果。

5)CDN如果能缓存该访问请求结果，则缓存，并将最新的结果返回用户。

第二种情况：非法访问请求

1)用户向内容服务器发起一个访问请求。

2)用户的访问请求根据CDN的DNS策略，被路由到一个最优的CDN节点。

3)该访问请求被云安全防护装置判决为非法访问，直接拦截。

这种情况下，用户的访问请求不会到达后面的内容服务器去，减轻了内容服务器的攻击压力。

第三种情况：可疑访问请求

1)用户向内容服务器发起一个访问请求。

2)用户的访问请求根据CDN的DNS策略，被路由到一个最优的CDN节点。

3)如果当前的安全拦截装置不能完全确定当前的访问请求是否合法，但是访问请求信息中包含可疑的发起IP信息或者不正常的访问请求长度等特征，会判决为可疑访问请求。该类型会暂时按照合法访问请求流程处理，并返回用户结果，如第一种情况。同时会把该访问请求的日志信息发送给云分析中心，云分析中心经过大数据处理分析，部分需结合人工过滤筛选，判断访问请求是否是恶意访问请求，如果是恶意访问请求，会生成响应的拦截规则，并同步到所有的CDN节点，实现全网的安全拦截防护。并且只要一个攻击样本被发现，能及时覆盖全部接入CDN的内容服务器的相关的攻击防护。