[发明专利]基于nginx服务器检测和防护CC攻击的方法及系统

权利要求书

1.一种基于nginx服务器检测和防护CC攻击的系统，该系统包括：

nginx服务器配置模块，该nginx服务器配置模块通过nginx服务器配置文件在该系统中配置响应慢日志时间阈值、上传协议；

HTTP响应慢日志生成模块，用于对于请求响应时间差超过所述响应慢日志时间阈值的请求，或者没有响应的请求，生成响应慢日志；

代理服务模块，其用于按照所述上传协议传送所述响应慢日志，响应网络对所述响应慢日志的分析来解析出CC攻击IP并对所解析出的CC攻击IP进行处理；以及

CC攻击分析平台，用于根据请求的特征分析出CC攻击IP，自动将攻击的特征加入黑名单并将黑名单通过socket下发到代理服务模块，以便解析出CC攻击IP并对所解析出的CC攻击IP进行处理。

2.根据权利要求1所述的系统，其中，所述上传协议为syslog协议。

3.根据权利要求1所述的系统，其中，所述HTTP响应慢日志生成模块记录包含日志类型、客户端IP、method、url、host、refer、user-代理、cookie、accept、accept-encoding、accept-language、cache-control、pragma、状态码、字节数、请求时间、请求响应时间差在内的字段。

4.根据权利要求1所述的系统，其中，所述代理服务模块将所述CC攻击分析平台下发的黑名单规则进行转换，在linux平台下转换为iptables规则，而在windows平台下转换为wfp规则，并将动作设置为drop，从而在linux系统下利用iptables下对CC攻击IP进行过滤防护，而在windows系统下利用wfp规则对攻击IP进行过滤防护。

5.根据权利要求3所述的系统，其中所述CC攻击分析平台对于复杂的攻击，提供响应慢日志明细以及各字段统计分析报表，为用户人工分析CC攻击IP提供依据。

6.根据权利要求5所述的系统，其中所述CC攻击分析平台对于响应慢日志，解析出包含日志类型、客户端IP、method、url、host、refer、user-代理、cookie、accept、accept-encoding、accept-language、cache-control、pragma、状态码、字节数、请求时间、请求响应时间差在内的字段并保存到数据库，统计单位时间内HTTP响应慢日志的数量，当超过预设的阈值时启动CC攻击防护，而当低于所述预设的阈值时停止CC攻击防护。

7.根据权利要求6所述的系统，其中所述预设的阈值可参考攻击分析平台HTTP响应慢日志的数量趋势图配置。

8.根据权利要求6所述的系统，其中当单位时间内HTTP响应慢日志的数量超过预设的阈值时通过文字方式通知管理员存在CC攻击，以便及时处理。

9.根据权利要求6所述的系统，其中当启动CC攻击防护时，CC攻击分析平台将当前HTTP响应慢日志各字段和系统内置的黑白名单库中的HTTP响应慢日志各字段进行比较，同时也将HTTP响应慢日志各字段与系统内置的标准浏览器、正常用户访问HTTP响应慢日志各字段组合特征库进行对比，从而及时筛选出攻击IP地址并将筛选出的攻击特征添加到黑名单特征库。