基于防火墻的異常連接自動(dòng)識(shí)別清理方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開(kāi)了一種基于防火墻的異常連接的自動(dòng)識(shí)別清理方法及系統(tǒng)����,方法包括:S1、獲取時(shí)間段內(nèi)防火墻上的基于源IP的連接數(shù)���,將每個(gè)源IP的IP地址以及連接數(shù)存儲(chǔ)至連接數(shù)信息庫(kù)中����;S2����、判斷目標(biāo)源IP的連接數(shù)是否大于報(bào)警閾值,若是����,執(zhí)行步驟S3���;S3、將目標(biāo)源IP存儲(chǔ)至可疑IP信息庫(kù)中��,并在可疑IP信息庫(kù)中記錄目標(biāo)源IP的連續(xù)存儲(chǔ)次數(shù)�����;S4�、判斷目標(biāo)源IP的連續(xù)存儲(chǔ)次數(shù)是否大于設(shè)定閾值,若是���,則執(zhí)行步驟S5�����,若否����,則返回步驟S1�����;S5��、在防火墻上添加IP封鎖策略,根據(jù)IP封鎖策略封鎖目標(biāo)源IP���。本發(fā)明利用防火墻的封鎖策略封鎖惡意IP,使得網(wǎng)站的可用連接數(shù)處于正常狀態(tài)���,保證了網(wǎng)站的穩(wěn)定性�。
【專利說(shuō)明】
基于防火墻的異常連接自動(dòng)識(shí)別清理方法及系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及一種基于防火墻的異常連接的自動(dòng)識(shí)別清理方法及系統(tǒng)����。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,在線網(wǎng)站的規(guī)模越來(lái)越大�����,業(yè)務(wù)種類越來(lái)越豐富���,為了使網(wǎng)站更加的穩(wěn)定�����,需要對(duì)許多參數(shù)進(jìn)行有效的監(jiān)控��,其中連接數(shù)就是一個(gè)很重要的參數(shù)����。如果某個(gè)惡意IP (網(wǎng)絡(luò)之間互連的協(xié)議)發(fā)起了大量連接請(qǐng)求,網(wǎng)站的連接數(shù)大量增加�����,這樣會(huì)造成正常IP訪問(wèn)滯后或者失敗��。通常情況下�����,網(wǎng)站運(yùn)維工作者可以通過(guò)流量統(tǒng)計(jì)工具發(fā)現(xiàn)惡意IP�,然后在防火墻上通過(guò)手動(dòng)操作封鎖惡意IP的訪問(wèn)。在這個(gè)過(guò)程中存在大量的人工操作���,存在人為操作失誤的風(fēng)險(xiǎn)�����,并且無(wú)法達(dá)到及時(shí)封鎖���,時(shí)效性無(wú)法滿足網(wǎng)站穩(wěn)定性的要求。
【發(fā)明內(nèi)容】
[0003]本發(fā)明要解決的技術(shù)問(wèn)題是為了克服現(xiàn)有技術(shù)中在防火墻上需要手動(dòng)操作封鎖惡意IP的訪問(wèn),導(dǎo)致需要大量的人工操作���、無(wú)法實(shí)現(xiàn)及時(shí)封鎖�����、時(shí)效性無(wú)法滿足要求的缺陷�����,提供一種基于防火墻的異常連接自動(dòng)識(shí)別清理方法及系統(tǒng)。
[0004]本發(fā)明是通過(guò)下述技術(shù)方案來(lái)解決上述技術(shù)問(wèn)題的:
[0005]本發(fā)明提供了一種基于防火墻的異常連接自動(dòng)識(shí)別清理方法�,其特點(diǎn)在于,包括以下步驟:
[0006]S1�、獲取一時(shí)間段內(nèi)防火墻上的基于源IP的連接數(shù),將每個(gè)源IP的IP地址以及連接數(shù)存儲(chǔ)至連接數(shù)信息庫(kù)中��;
[0007]S2����、判斷目標(biāo)源IP的連接數(shù)是否大于一報(bào)警閾值,并在判斷為是時(shí)���,執(zhí)行步驟S3;
[0008]S3���、將所述目標(biāo)源IP存儲(chǔ)至一可疑IP信息庫(kù)中����,并在所述可疑IP信息庫(kù)中記錄所述目標(biāo)源IP的連續(xù)存儲(chǔ)次數(shù)����;
[0009]S4、判斷所述目標(biāo)源IP的連續(xù)存儲(chǔ)次數(shù)是否大于一設(shè)定閾值�����,若是��,則執(zhí)行步驟&���,若否����,則返回步驟S1;
[0010]S5��、在防火墻上添加IP封鎖策略�����,根據(jù)所述IP封鎖策略封鎖所述目標(biāo)源IP。
[0011 ] 較佳地�,步驟SdP S2之間還包括:
[0012]Sn、檢測(cè)目標(biāo)源IP的連接數(shù)是否為異常值�,若是,則執(zhí)行步驟S2�����,若否���,則返回步驟Si��;
[0013]步驟S2中則判斷所述目標(biāo)源IP的異常值是否大于所述報(bào)警閾值。
[0014]較佳地�,步驟&中還在判斷為否時(shí)將所述可疑IP信息庫(kù)中記錄的所述目標(biāo)源IP的連續(xù)存儲(chǔ)次數(shù)清零,并返回步驟S1���。
[0015]較佳地���,步驟S1中還將每個(gè)源IP發(fā)出連接請(qǐng)求時(shí)的時(shí)間信息存儲(chǔ)至所述連接數(shù)信息庫(kù)中。
[0016]較佳地�,步驟S5中還為所述IP封鎖策略設(shè)置一策略時(shí)效。
[0017]本發(fā)明的目的在于還提供了一種基于防火墻的異常連接自動(dòng)識(shí)別清理系統(tǒng)����,其特點(diǎn)在于���,包括:
[0018]連接數(shù)獲取模塊,用于獲取一時(shí)間段內(nèi)防火墻上的基于源IP的連接數(shù)�,將每個(gè)源IP的IP地址以及連接數(shù)存儲(chǔ)至連接數(shù)信息庫(kù)中;
[0019]第一判斷模塊����,用于判斷目標(biāo)源IP的連接數(shù)是否大于一報(bào)警閾值,并在判斷為是時(shí)���,調(diào)用一存儲(chǔ)模塊����;
[0020]所述存儲(chǔ)模塊用于將所述目標(biāo)源IP存儲(chǔ)至一可疑IP信息庫(kù)中�����,并在所述可疑IP信息庫(kù)中記錄所述目標(biāo)源IP的連續(xù)存儲(chǔ)次數(shù)���;
[0021 ]第二判斷模塊�,用于判斷所述目標(biāo)源IP的連續(xù)存儲(chǔ)次數(shù)是否大于一設(shè)定閾值���,若是�,則調(diào)用一封鎖模塊,若否�,則調(diào)用所述連接數(shù)獲取模塊;
[0022]所述封鎖模塊用于在防火墻上添加IP封鎖策略����,根據(jù)所述IP封鎖策略封鎖所述目標(biāo)源IP。
[0023]較佳地��,所述異常連接自動(dòng)識(shí)別清理系統(tǒng)還包括檢測(cè)模塊�����,所述連接數(shù)獲取模塊用于調(diào)用所述檢測(cè)模塊�,所述檢測(cè)模塊用于檢測(cè)目標(biāo)源IP的連接數(shù)是否為異常值,若是����,則調(diào)用所述第一判斷模塊�����,若否���,則調(diào)用所述連接數(shù)獲取模塊����;
[0024]所述第一判斷模塊用于判斷所述目標(biāo)源IP的異常值是否大于所述報(bào)警閾值。
[0025]較佳地���,所述第一判斷模塊還用于在判斷為否時(shí)將所述可疑IP信息庫(kù)中記錄的所述目標(biāo)源IP的連續(xù)存儲(chǔ)次數(shù)清零�����,并調(diào)用所述連接數(shù)獲取模塊����。
[0026]較佳地����,所述連接數(shù)獲取模塊還用于將每個(gè)源IP發(fā)出連接請(qǐng)求時(shí)的時(shí)間信息存儲(chǔ)至所述連接數(shù)信息庫(kù)中。
[0027]較佳地��,所述封鎖模塊還用于為所述IP封鎖策略設(shè)置一策略時(shí)效����。
[0028]本發(fā)明的積極進(jìn)步效果在于:本發(fā)明通過(guò)收集防火墻上的IP連接數(shù)信息,并進(jìn)行實(shí)時(shí)異常值分析�,快速定位引起網(wǎng)站連接數(shù)異常的源IP�,進(jìn)而利用防火墻的封鎖策略封鎖惡意IP����,使得網(wǎng)站的可用連接數(shù)處于正常狀態(tài),保證了網(wǎng)站的穩(wěn)定性���。同時(shí)�����,采用嚴(yán)格的檢測(cè)標(biāo)準(zhǔn)�,降低誤封鎖IP的概率��,標(biāo)準(zhǔn)化的封鎖策略�����,提高了效率�����,有效地避免了人為操作的產(chǎn)生����。
【附圖說(shuō)明】
[0029]圖1為本發(fā)明的較佳實(shí)施例的基于防火墻的異常連接自動(dòng)識(shí)別清理方法的流程圖。
[0030]圖2為本發(fā)明的較佳實(shí)施例的基于防火墻的異常連接自動(dòng)識(shí)別清理系統(tǒng)的模塊示意圖���。
【具體實(shí)施方式】
[0031]下面通過(guò)實(shí)施例的方式進(jìn)一步說(shuō)明本發(fā)明�����,但并不因此將本發(fā)明限制在所述的實(shí)施例范圍之中�����。
[0032]如圖1所示��,本發(fā)明的基于防火墻的異常連接自動(dòng)識(shí)別清理方法包括以下步驟:
[0033]步驟101���、獲取一時(shí)間段內(nèi)防火墻上的基于源IP的連接數(shù),將每個(gè)源IP的IP地址以及連接數(shù)存儲(chǔ)至連接數(shù)信息庫(kù)中���;
[0034]優(yōu)選地��,步驟101中還將每個(gè)源IP發(fā)出連接請(qǐng)求時(shí)的時(shí)間信息存儲(chǔ)至所述連接數(shù)信息庫(kù)中�;具體可以通過(guò)防火墻API(應(yīng)用程序編程接口)對(duì)防火墻上的基于源IP的連接數(shù)信息進(jìn)行收集��,并將收集到的連接數(shù)信息���,以IP為單位建立每個(gè)IP的連接數(shù)時(shí)間序列存儲(chǔ)至所述連接數(shù)信息庫(kù)中�����;
[0035]步驟102��、檢測(cè)目標(biāo)源IP的連接數(shù)是否為異常值��,若是����,則執(zhí)行步驟103,若否���,則返回步驟101;
[0036]其中���,目標(biāo)源IP可以為所述連接數(shù)信息庫(kù)中存儲(chǔ)的任意一個(gè)或多個(gè)IP,步驟102中具體可采用現(xiàn)有的時(shí)間序列異常值檢測(cè)算法進(jìn)行檢測(cè)���,從而可以最大程度地降低誤報(bào)的情況出現(xiàn)���;
[0037]步驟103、判斷目標(biāo)源IP的異常值是否大于一報(bào)警閾值,并在判斷為是時(shí)�����,執(zhí)行步驟104��,在判斷為否時(shí)將可疑IP信息庫(kù)中記錄的所述目標(biāo)源IP的連續(xù)存儲(chǔ)次數(shù)清零�,并返回步驟101;
[0038]步驟103中通過(guò)對(duì)目標(biāo)源IP的異常值與預(yù)先設(shè)定的報(bào)警閾值進(jìn)行比較��,對(duì)連接數(shù)(即異常值)大于報(bào)警閾值的源IP進(jìn)行監(jiān)控����;
[0039]步驟104、將所述目標(biāo)源IP存儲(chǔ)至一可疑IP信息庫(kù)中��,并在所述可疑IP信息庫(kù)中記錄所述目標(biāo)源IP的連續(xù)存儲(chǔ)次數(shù)�;
[0040]其中,所述目標(biāo)源IP的連續(xù)存儲(chǔ)次數(shù)可以進(jìn)行疊加���;
[0041]步驟105�、判斷所述目標(biāo)源IP的連續(xù)存儲(chǔ)次數(shù)是否大于一設(shè)定閾值�����,若是,則執(zhí)行步驟106��,若否�����,則返回步驟101;
[0042]步驟106����、在防火墻上添加IP封鎖策略,根據(jù)所述IP封鎖策略封鎖所述目標(biāo)源IP����。
[0043]在步驟106中,對(duì)于需要清理的源IP(即惡意IP)���,利用預(yù)先制定的封鎖策略模板��,生成防火墻的IP封鎖策略����,并且調(diào)用防火墻API下發(fā)生成的IP封鎖策略�,實(shí)現(xiàn)對(duì)惡意IP的封鎖,實(shí)現(xiàn)異常連接的清理�。優(yōu)選地���,步驟106中還為所述IP封鎖策略設(shè)置一策略時(shí)效(例如半個(gè)小時(shí)等),若策略時(shí)效已過(guò)�,則防火墻會(huì)自動(dòng)釋放所述IP封鎖策略。
[0044]如圖2所示���,本發(fā)明的基于防火墻的異常連接自動(dòng)識(shí)別清理系統(tǒng)包括連接數(shù)獲取模塊1、第一判斷模塊2��、存儲(chǔ)模塊3�����、第二判斷模塊4����、封鎖模塊5以及檢測(cè)模塊6。
[0045]其中����,所述連接數(shù)獲取模塊I用于獲取一時(shí)間段內(nèi)防火墻上的基于源IP的連接數(shù),將每個(gè)源IP的IP地址以及連接數(shù)存儲(chǔ)至連接數(shù)信息庫(kù)中�,并調(diào)用所述檢測(cè)模塊6;
[0046]優(yōu)選地,所述連接數(shù)獲取模塊I還將每個(gè)源IP發(fā)出連接請(qǐng)求時(shí)的時(shí)間信息存儲(chǔ)至所述連接數(shù)信息庫(kù)中��;
[0047]所述檢測(cè)模塊6會(huì)檢測(cè)目標(biāo)源IP的連接數(shù)是否為異常值,若是����,則調(diào)用所述第一判斷模塊2,若否�����,則調(diào)用所述連接數(shù)獲取模塊I;
[0048]所述第一判斷模塊2則判斷所述目標(biāo)源IP的異常值是否大于一報(bào)警閾值�,若是,則調(diào)用所述存儲(chǔ)模塊3���,所述存儲(chǔ)模塊3用于將所述目標(biāo)源IP存儲(chǔ)至可疑IP信息庫(kù)中���,并在所述可疑IP信息庫(kù)中記錄所述目標(biāo)源IP的連續(xù)存儲(chǔ)次數(shù);
[0049]所述第一判斷模塊2在判斷為否時(shí)��,則將可疑IP信息庫(kù)中記錄的所述目標(biāo)源IP的連續(xù)存儲(chǔ)次數(shù)清零�,并調(diào)用所述連接數(shù)獲取模塊I;
[0050]所述第二判斷模塊4則判斷所述目標(biāo)源IP的連續(xù)存儲(chǔ)次數(shù)是否大于一設(shè)定閾值,若是����,則調(diào)用所述封鎖模塊5,若否���,則調(diào)用所述連接數(shù)獲取模塊I;
[0051]所述封鎖模塊5會(huì)在防火墻上添加IP封鎖策略�,根據(jù)所述IP封鎖策略封鎖所述目標(biāo)源IP。
[0052]其中�����,優(yōu)選地�����,所述封鎖模塊5還為所述IP封鎖策略設(shè)置策略時(shí)效����,一旦策略時(shí)效已過(guò)���,則防火墻會(huì)自動(dòng)釋放所述IP封鎖策略���。
[0053]雖然以上描述了本發(fā)明的【具體實(shí)施方式】,但是本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解����,這些僅是舉例說(shuō)明,本發(fā)明的保護(hù)范圍是由所附權(quán)利要求書(shū)限定的��。本領(lǐng)域的技術(shù)人員在不背離本發(fā)明的原理和實(shí)質(zhì)的前提下,可以對(duì)這些實(shí)施方式做出多種變更或修改����,但這些變更和修改均落入本發(fā)明的保護(hù)范圍。
【主權(quán)項(xiàng)】
1.一種基于防火墻的異常連接自動(dòng)識(shí)別清理方法����,其特征在于,包括以下步驟: S1�、獲取一時(shí)間段內(nèi)防火墻上的基于源IP的連接數(shù),將每個(gè)源IP的IP地址以及連接數(shù)存儲(chǔ)至連接數(shù)信息庫(kù)中��; &���、判斷目標(biāo)源IP的連接數(shù)是否大于一報(bào)警閾值�����,并在判斷為是時(shí)����,執(zhí)行步驟S3; 53�����、將所述目標(biāo)源IP存儲(chǔ)至一可疑IP信息庫(kù)中,并在所述可疑IP信息庫(kù)中記錄所述目標(biāo)源IP的連續(xù)存儲(chǔ)次數(shù)����; 54、判斷所述目標(biāo)源IP的連續(xù)存儲(chǔ)次數(shù)是否大于一設(shè)定閾值�,若是,則執(zhí)行步驟S5��,若否��,則返回步驟S1; 55��、在防火墻上添加IP封鎖策略�,根據(jù)所述IP封鎖策略封鎖所述目標(biāo)源IP�����。2.如權(quán)利要求1所述的異常連接自動(dòng)識(shí)別清理方法��,其特征在于��,步驟SdPSsi間還包括: Sn��、檢測(cè)目標(biāo)源IP的連接數(shù)是否為異常值��,若是,則執(zhí)行步驟&���,若否��,則返回步驟S1; 步驟S2中則判斷所述目標(biāo)源IP的異常值是否大于所述報(bào)警閾值���。3.如權(quán)利要求1所述的異常連接自動(dòng)識(shí)別清理方法,其特征在于�����,步驟S2中還在判斷為否時(shí)將所述可疑IP信息庫(kù)中記錄的所述目標(biāo)源IP的連續(xù)存儲(chǔ)次數(shù)清零��,并返回步驟Si��。4.如權(quán)利要求1所述的異常連接自動(dòng)識(shí)別清理方法����,其特征在于,步驟S1中還將每個(gè)源IP發(fā)出連接請(qǐng)求時(shí)的時(shí)間信息存儲(chǔ)至所述連接數(shù)信息庫(kù)中����。5.如權(quán)利要求1-4中任意一項(xiàng)所述的異常連接自動(dòng)識(shí)別清理方法,其特征在于,步驟S5中還為所述IP封鎖策略設(shè)置一策略時(shí)效����。6.一種基于防火墻的異常連接自動(dòng)識(shí)別清理系統(tǒng),其特征在于����,包括: 連接數(shù)獲取模塊,用于獲取一時(shí)間段內(nèi)防火墻上的基于源IP的連接數(shù)����,將每個(gè)源IP的IP地址以及連接數(shù)存儲(chǔ)至連接數(shù)信息庫(kù)中; 第一判斷模塊����,用于判斷目標(biāo)源IP的連接數(shù)是否大于一報(bào)警閾值,并在判斷為是時(shí)�,調(diào)用一存儲(chǔ)模塊; 所述存儲(chǔ)模塊用于將所述目標(biāo)源IP存儲(chǔ)至一可疑IP信息庫(kù)中��,并在所述可疑IP信息庫(kù)中記錄所述目標(biāo)源IP的連續(xù)存儲(chǔ)次數(shù)���; 第二判斷模塊,用于判斷所述目標(biāo)源IP的連續(xù)存儲(chǔ)次數(shù)是否大于一設(shè)定閾值���,若是���,則調(diào)用一封鎖模塊�����,若否�,則調(diào)用所述連接數(shù)獲取模塊����; 所述封鎖模塊用于在防火墻上添加IP封鎖策略,根據(jù)所述IP封鎖策略封鎖所述目標(biāo)源IPo7.如權(quán)利要求6所述的異常連接自動(dòng)識(shí)別清理系統(tǒng)�,其特征在于,所述異常連接自動(dòng)識(shí)別清理系統(tǒng)還包括檢測(cè)模塊���,所述連接數(shù)獲取模塊用于調(diào)用所述檢測(cè)模塊�,所述檢測(cè)模塊用于檢測(cè)目標(biāo)源IP的連接數(shù)是否為異常值���,若是��,則調(diào)用所述第一判斷模塊�,若否�����,則調(diào)用所述連接數(shù)獲取模塊; 所述第一判斷模塊用于判斷所述目標(biāo)源IP的異常值是否大于所述報(bào)警閾值����。8.如權(quán)利要求6所述的異常連接自動(dòng)識(shí)別清理系統(tǒng),其特征在于��,所述第一判斷模塊還用于在判斷為否時(shí)將所述可疑IP信息庫(kù)中記錄的所述目標(biāo)源IP的連續(xù)存儲(chǔ)次數(shù)清零��,并調(diào)用所述連接數(shù)獲取模塊��。9.如權(quán)利要求6所述的異常連接自動(dòng)識(shí)別清理系統(tǒng)��,其特征在于���,所述連接數(shù)獲取模塊還用于將每個(gè)源IP發(fā)出連接請(qǐng)求時(shí)的時(shí)間信息存儲(chǔ)至所述連接數(shù)信息庫(kù)中��。10.如權(quán)利要求6-9中任意一項(xiàng)所述的異常連接自動(dòng)識(shí)別清理系統(tǒng)����,其特征在于��,所述封鎖模塊還用于為所述IP封鎖策略設(shè)置一策略時(shí)效�����。
【文檔編號(hào)】H04L29/06GK106060053SQ201610407787
【公開(kāi)日】2016年10月26日
【申請(qǐng)日】2016年6月12日
【發(fā)明人】吳善鵬, 雷兵, 田國(guó)華, 朱志博
【申請(qǐng)人】上海攜程商務(wù)有限公司