基于防火墻的異常連接自動識別清理方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種基于防火墻的異常連接的自動識別清理方法及系統(tǒng),方法包括:S1���、獲取時間段內(nèi)防火墻上的基于源IP的連接數(shù)��,將每個源IP的IP地址以及連接數(shù)存儲至連接數(shù)信息庫中�;S2、判斷目標源IP的連接數(shù)是否大于報警閾值�,若是,執(zhí)行步驟S3�;S3、將目標源IP存儲至可疑IP信息庫中�����,并在可疑IP信息庫中記錄目標源IP的連續(xù)存儲次數(shù)��;S4�����、判斷目標源IP的連續(xù)存儲次數(shù)是否大于設(shè)定閾值��,若是�����,則執(zhí)行步驟S5�����,若否,則返回步驟S1��;S5��、在防火墻上添加IP封鎖策略����,根據(jù)IP封鎖策略封鎖目標源IP。本發(fā)明利用防火墻的封鎖策略封鎖惡意IP���,使得網(wǎng)站的可用連接數(shù)處于正常狀態(tài),保證了網(wǎng)站的穩(wěn)定性��。
【專利說明】
基于防火墻的異常連接自動識別清理方法及系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及一種基于防火墻的異常連接的自動識別清理方法及系統(tǒng)��。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展�����,在線網(wǎng)站的規(guī)模越來越大��,業(yè)務(wù)種類越來越豐富��,為了使網(wǎng)站更加的穩(wěn)定,需要對許多參數(shù)進行有效的監(jiān)控���,其中連接數(shù)就是一個很重要的參數(shù)�。如果某個惡意IP (網(wǎng)絡(luò)之間互連的協(xié)議)發(fā)起了大量連接請求�����,網(wǎng)站的連接數(shù)大量增加���,這樣會造成正常IP訪問滯后或者失敗�。通常情況下����,網(wǎng)站運維工作者可以通過流量統(tǒng)計工具發(fā)現(xiàn)惡意IP,然后在防火墻上通過手動操作封鎖惡意IP的訪問�����。在這個過程中存在大量的人工操作���,存在人為操作失誤的風險�����,并且無法達到及時封鎖�,時效性無法滿足網(wǎng)站穩(wěn)定性的要求。
【發(fā)明內(nèi)容】
[0003]本發(fā)明要解決的技術(shù)問題是為了克服現(xiàn)有技術(shù)中在防火墻上需要手動操作封鎖惡意IP的訪問����,導致需要大量的人工操作、無法實現(xiàn)及時封鎖�、時效性無法滿足要求的缺陷,提供一種基于防火墻的異常連接自動識別清理方法及系統(tǒng)�����。
[0004]本發(fā)明是通過下述技術(shù)方案來解決上述技術(shù)問題的:
[0005]本發(fā)明提供了一種基于防火墻的異常連接自動識別清理方法��,其特點在于�,包括以下步驟:
[0006]S1��、獲取一時間段內(nèi)防火墻上的基于源IP的連接數(shù)�����,將每個源IP的IP地址以及連接數(shù)存儲至連接數(shù)信息庫中���;
[0007]S2��、判斷目標源IP的連接數(shù)是否大于一報警閾值����,并在判斷為是時,執(zhí)行步驟S3;
[0008]S3�、將所述目標源IP存儲至一可疑IP信息庫中,并在所述可疑IP信息庫中記錄所述目標源IP的連續(xù)存儲次數(shù)���;
[0009]S4���、判斷所述目標源IP的連續(xù)存儲次數(shù)是否大于一設(shè)定閾值,若是���,則執(zhí)行步驟&��,若否�,則返回步驟S1;
[0010]S5�、在防火墻上添加IP封鎖策略,根據(jù)所述IP封鎖策略封鎖所述目標源IP����。
[0011 ] 較佳地,步驟SdP S2之間還包括:
[0012]Sn、檢測目標源IP的連接數(shù)是否為異常值����,若是,則執(zhí)行步驟S2�,若否,則返回步驟Si�����;
[0013]步驟S2中則判斷所述目標源IP的異常值是否大于所述報警閾值�。
[0014]較佳地,步驟&中還在判斷為否時將所述可疑IP信息庫中記錄的所述目標源IP的連續(xù)存儲次數(shù)清零�,并返回步驟S1。
[0015]較佳地�,步驟S1中還將每個源IP發(fā)出連接請求時的時間信息存儲至所述連接數(shù)信息庫中。
[0016]較佳地����,步驟S5中還為所述IP封鎖策略設(shè)置一策略時效。
[0017]本發(fā)明的目的在于還提供了一種基于防火墻的異常連接自動識別清理系統(tǒng)��,其特點在于����,包括:
[0018]連接數(shù)獲取模塊,用于獲取一時間段內(nèi)防火墻上的基于源IP的連接數(shù)�����,將每個源IP的IP地址以及連接數(shù)存儲至連接數(shù)信息庫中����;
[0019]第一判斷模塊,用于判斷目標源IP的連接數(shù)是否大于一報警閾值�����,并在判斷為是時����,調(diào)用一存儲模塊;
[0020]所述存儲模塊用于將所述目標源IP存儲至一可疑IP信息庫中��,并在所述可疑IP信息庫中記錄所述目標源IP的連續(xù)存儲次數(shù)�����;
[0021 ]第二判斷模塊����,用于判斷所述目標源IP的連續(xù)存儲次數(shù)是否大于一設(shè)定閾值��,若是���,則調(diào)用一封鎖模塊,若否�,則調(diào)用所述連接數(shù)獲取模塊;
[0022]所述封鎖模塊用于在防火墻上添加IP封鎖策略����,根據(jù)所述IP封鎖策略封鎖所述目標源IP。
[0023]較佳地�����,所述異常連接自動識別清理系統(tǒng)還包括檢測模塊����,所述連接數(shù)獲取模塊用于調(diào)用所述檢測模塊,所述檢測模塊用于檢測目標源IP的連接數(shù)是否為異常值��,若是���,則調(diào)用所述第一判斷模塊�����,若否���,則調(diào)用所述連接數(shù)獲取模塊;
[0024]所述第一判斷模塊用于判斷所述目標源IP的異常值是否大于所述報警閾值���。
[0025]較佳地�����,所述第一判斷模塊還用于在判斷為否時將所述可疑IP信息庫中記錄的所述目標源IP的連續(xù)存儲次數(shù)清零���,并調(diào)用所述連接數(shù)獲取模塊。
[0026]較佳地����,所述連接數(shù)獲取模塊還用于將每個源IP發(fā)出連接請求時的時間信息存儲至所述連接數(shù)信息庫中。
[0027]較佳地��,所述封鎖模塊還用于為所述IP封鎖策略設(shè)置一策略時效��。
[0028]本發(fā)明的積極進步效果在于:本發(fā)明通過收集防火墻上的IP連接數(shù)信息��,并進行實時異常值分析�����,快速定位引起網(wǎng)站連接數(shù)異常的源IP,進而利用防火墻的封鎖策略封鎖惡意IP�����,使得網(wǎng)站的可用連接數(shù)處于正常狀態(tài)���,保證了網(wǎng)站的穩(wěn)定性����。同時���,采用嚴格的檢測標準���,降低誤封鎖IP的概率,標準化的封鎖策略��,提高了效率��,有效地避免了人為操作的產(chǎn)生����。
【附圖說明】
[0029]圖1為本發(fā)明的較佳實施例的基于防火墻的異常連接自動識別清理方法的流程圖�����。
[0030]圖2為本發(fā)明的較佳實施例的基于防火墻的異常連接自動識別清理系統(tǒng)的模塊示意圖��。
【具體實施方式】
[0031]下面通過實施例的方式進一步說明本發(fā)明,但并不因此將本發(fā)明限制在所述的實施例范圍之中���。
[0032]如圖1所示��,本發(fā)明的基于防火墻的異常連接自動識別清理方法包括以下步驟:
[0033]步驟101�����、獲取一時間段內(nèi)防火墻上的基于源IP的連接數(shù)�,將每個源IP的IP地址以及連接數(shù)存儲至連接數(shù)信息庫中�;
[0034]優(yōu)選地,步驟101中還將每個源IP發(fā)出連接請求時的時間信息存儲至所述連接數(shù)信息庫中���;具體可以通過防火墻API(應(yīng)用程序編程接口)對防火墻上的基于源IP的連接數(shù)信息進行收集����,并將收集到的連接數(shù)信息���,以IP為單位建立每個IP的連接數(shù)時間序列存儲至所述連接數(shù)信息庫中��;
[0035]步驟102����、檢測目標源IP的連接數(shù)是否為異常值,若是���,則執(zhí)行步驟103�,若否�,則返回步驟101;
[0036]其中,目標源IP可以為所述連接數(shù)信息庫中存儲的任意一個或多個IP���,步驟102中具體可采用現(xiàn)有的時間序列異常值檢測算法進行檢測���,從而可以最大程度地降低誤報的情況出現(xiàn);
[0037]步驟103�����、判斷目標源IP的異常值是否大于一報警閾值��,并在判斷為是時,執(zhí)行步驟104�,在判斷為否時將可疑IP信息庫中記錄的所述目標源IP的連續(xù)存儲次數(shù)清零,并返回步驟101;
[0038]步驟103中通過對目標源IP的異常值與預(yù)先設(shè)定的報警閾值進行比較���,對連接數(shù)(即異常值)大于報警閾值的源IP進行監(jiān)控����;
[0039]步驟104��、將所述目標源IP存儲至一可疑IP信息庫中�,并在所述可疑IP信息庫中記錄所述目標源IP的連續(xù)存儲次數(shù)�����;
[0040]其中���,所述目標源IP的連續(xù)存儲次數(shù)可以進行疊加����;
[0041]步驟105���、判斷所述目標源IP的連續(xù)存儲次數(shù)是否大于一設(shè)定閾值���,若是��,則執(zhí)行步驟106��,若否�����,則返回步驟101;
[0042]步驟106���、在防火墻上添加IP封鎖策略,根據(jù)所述IP封鎖策略封鎖所述目標源IP�。
[0043]在步驟106中,對于需要清理的源IP(即惡意IP)����,利用預(yù)先制定的封鎖策略模板,生成防火墻的IP封鎖策略�����,并且調(diào)用防火墻API下發(fā)生成的IP封鎖策略���,實現(xiàn)對惡意IP的封鎖�����,實現(xiàn)異常連接的清理�����。優(yōu)選地�����,步驟106中還為所述IP封鎖策略設(shè)置一策略時效(例如半個小時等)�����,若策略時效已過��,則防火墻會自動釋放所述IP封鎖策略��。
[0044]如圖2所示����,本發(fā)明的基于防火墻的異常連接自動識別清理系統(tǒng)包括連接數(shù)獲取模塊1�����、第一判斷模塊2、存儲模塊3����、第二判斷模塊4、封鎖模塊5以及檢測模塊6�����。
[0045]其中����,所述連接數(shù)獲取模塊I用于獲取一時間段內(nèi)防火墻上的基于源IP的連接數(shù),將每個源IP的IP地址以及連接數(shù)存儲至連接數(shù)信息庫中���,并調(diào)用所述檢測模塊6;
[0046]優(yōu)選地�����,所述連接數(shù)獲取模塊I還將每個源IP發(fā)出連接請求時的時間信息存儲至所述連接數(shù)信息庫中�����;
[0047]所述檢測模塊6會檢測目標源IP的連接數(shù)是否為異常值��,若是�����,則調(diào)用所述第一判斷模塊2��,若否�,則調(diào)用所述連接數(shù)獲取模塊I;
[0048]所述第一判斷模塊2則判斷所述目標源IP的異常值是否大于一報警閾值,若是��,則調(diào)用所述存儲模塊3��,所述存儲模塊3用于將所述目標源IP存儲至可疑IP信息庫中�,并在所述可疑IP信息庫中記錄所述目標源IP的連續(xù)存儲次數(shù);
[0049]所述第一判斷模塊2在判斷為否時����,則將可疑IP信息庫中記錄的所述目標源IP的連續(xù)存儲次數(shù)清零,并調(diào)用所述連接數(shù)獲取模塊I;
[0050]所述第二判斷模塊4則判斷所述目標源IP的連續(xù)存儲次數(shù)是否大于一設(shè)定閾值�����,若是��,則調(diào)用所述封鎖模塊5�,若否�����,則調(diào)用所述連接數(shù)獲取模塊I;
[0051]所述封鎖模塊5會在防火墻上添加IP封鎖策略,根據(jù)所述IP封鎖策略封鎖所述目標源IP����。
[0052]其中,優(yōu)選地�����,所述封鎖模塊5還為所述IP封鎖策略設(shè)置策略時效�����,一旦策略時效已過�����,則防火墻會自動釋放所述IP封鎖策略����。
[0053]雖然以上描述了本發(fā)明的【具體實施方式】,但是本領(lǐng)域的技術(shù)人員應(yīng)當理解�,這些僅是舉例說明,本發(fā)明的保護范圍是由所附權(quán)利要求書限定的�。本領(lǐng)域的技術(shù)人員在不背離本發(fā)明的原理和實質(zhì)的前提下�,可以對這些實施方式做出多種變更或修改��,但這些變更和修改均落入本發(fā)明的保護范圍�����。
【主權(quán)項】
1.一種基于防火墻的異常連接自動識別清理方法�����,其特征在于����,包括以下步驟: S1、獲取一時間段內(nèi)防火墻上的基于源IP的連接數(shù)�����,將每個源IP的IP地址以及連接數(shù)存儲至連接數(shù)信息庫中��; &����、判斷目標源IP的連接數(shù)是否大于一報警閾值�,并在判斷為是時���,執(zhí)行步驟S3; 53、將所述目標源IP存儲至一可疑IP信息庫中����,并在所述可疑IP信息庫中記錄所述目標源IP的連續(xù)存儲次數(shù); 54��、判斷所述目標源IP的連續(xù)存儲次數(shù)是否大于一設(shè)定閾值�,若是,則執(zhí)行步驟S5��,若否��,則返回步驟S1; 55��、在防火墻上添加IP封鎖策略�����,根據(jù)所述IP封鎖策略封鎖所述目標源IP�����。2.如權(quán)利要求1所述的異常連接自動識別清理方法����,其特征在于����,步驟SdPSsi間還包括: Sn��、檢測目標源IP的連接數(shù)是否為異常值�,若是,則執(zhí)行步驟&�����,若否����,則返回步驟S1; 步驟S2中則判斷所述目標源IP的異常值是否大于所述報警閾值。3.如權(quán)利要求1所述的異常連接自動識別清理方法����,其特征在于,步驟S2中還在判斷為否時將所述可疑IP信息庫中記錄的所述目標源IP的連續(xù)存儲次數(shù)清零�����,并返回步驟Si。4.如權(quán)利要求1所述的異常連接自動識別清理方法�,其特征在于,步驟S1中還將每個源IP發(fā)出連接請求時的時間信息存儲至所述連接數(shù)信息庫中��。5.如權(quán)利要求1-4中任意一項所述的異常連接自動識別清理方法����,其特征在于�����,步驟S5中還為所述IP封鎖策略設(shè)置一策略時效����。6.一種基于防火墻的異常連接自動識別清理系統(tǒng),其特征在于�,包括: 連接數(shù)獲取模塊,用于獲取一時間段內(nèi)防火墻上的基于源IP的連接數(shù)�,將每個源IP的IP地址以及連接數(shù)存儲至連接數(shù)信息庫中; 第一判斷模塊���,用于判斷目標源IP的連接數(shù)是否大于一報警閾值�,并在判斷為是時���,調(diào)用一存儲模塊�����; 所述存儲模塊用于將所述目標源IP存儲至一可疑IP信息庫中�,并在所述可疑IP信息庫中記錄所述目標源IP的連續(xù)存儲次數(shù); 第二判斷模塊�,用于判斷所述目標源IP的連續(xù)存儲次數(shù)是否大于一設(shè)定閾值,若是��,則調(diào)用一封鎖模塊�����,若否�����,則調(diào)用所述連接數(shù)獲取模塊����; 所述封鎖模塊用于在防火墻上添加IP封鎖策略,根據(jù)所述IP封鎖策略封鎖所述目標源IPo7.如權(quán)利要求6所述的異常連接自動識別清理系統(tǒng)�����,其特征在于,所述異常連接自動識別清理系統(tǒng)還包括檢測模塊��,所述連接數(shù)獲取模塊用于調(diào)用所述檢測模塊�,所述檢測模塊用于檢測目標源IP的連接數(shù)是否為異常值,若是��,則調(diào)用所述第一判斷模塊����,若否�����,則調(diào)用所述連接數(shù)獲取模塊�����; 所述第一判斷模塊用于判斷所述目標源IP的異常值是否大于所述報警閾值����。8.如權(quán)利要求6所述的異常連接自動識別清理系統(tǒng),其特征在于�,所述第一判斷模塊還用于在判斷為否時將所述可疑IP信息庫中記錄的所述目標源IP的連續(xù)存儲次數(shù)清零,并調(diào)用所述連接數(shù)獲取模塊��。9.如權(quán)利要求6所述的異常連接自動識別清理系統(tǒng),其特征在于���,所述連接數(shù)獲取模塊還用于將每個源IP發(fā)出連接請求時的時間信息存儲至所述連接數(shù)信息庫中�����。10.如權(quán)利要求6-9中任意一項所述的異常連接自動識別清理系統(tǒng)�����,其特征在于����,所述封鎖模塊還用于為所述IP封鎖策略設(shè)置一策略時效�����。
【文檔編號】H04L29/06GK106060053SQ201610407787
【公開日】2016年10月26日
【申請日】2016年6月12日
【發(fā)明人】吳善鵬, 雷兵, 田國華, 朱志博
【申請人】上海攜程商務(wù)有限公司