一種網(wǎng)絡(luò)攻擊的監(jiān)控方法及系統(tǒng)的制作方法
【專(zhuān)利摘要】本發(fā)明公開(kāi)了一種網(wǎng)絡(luò)攻擊的監(jiān)控方法及系統(tǒng),所述方法包括:定時(shí)獲取防火墻當(dāng)前接入的用戶(hù)的連接狀態(tài);比較當(dāng)前獲取的用戶(hù)連接狀態(tài)與上次獲取的用戶(hù)連接狀態(tài)�����,將連接狀態(tài)未變化的用戶(hù)計(jì)數(shù)加1����;將狀態(tài)計(jì)數(shù)超過(guò)預(yù)設(shè)次數(shù)的用戶(hù)連接判定為死亡連接�����;判斷死亡連接用戶(hù)的當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率是否超過(guò)預(yù)定值�����;當(dāng)死亡連接用戶(hù)的當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率超過(guò)預(yù)定值時(shí)��,則刪除該用戶(hù)連接����。根據(jù)本發(fā)明可以定時(shí)對(duì)防火墻當(dāng)前接入的用戶(hù)的連接狀態(tài)進(jìn)行統(tǒng)計(jì)�����,當(dāng)發(fā)現(xiàn)有異常用戶(hù)時(shí)記錄該異常用戶(hù)的連接狀態(tài)��,且在異常用戶(hù)的連接狀態(tài)抖動(dòng)加劇時(shí)刪除該異常用戶(hù)���,有效地提高了處理網(wǎng)絡(luò)攻擊的效率,還保證了用戶(hù)的訪(fǎng)問(wèn)體驗(yàn)����。
【專(zhuān)利說(shuō)明】一種網(wǎng)絡(luò)攻擊的監(jiān)控方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)【技術(shù)領(lǐng)域】���,具體涉及一種網(wǎng)絡(luò)攻擊的監(jiān)控方法及系統(tǒng)。
【背景技術(shù)】
[0002]防火墻設(shè)備經(jīng)常用作局域網(wǎng)絡(luò)的出口網(wǎng)管��,其重要性相當(dāng)于網(wǎng)絡(luò)中的防盜門(mén)���,用來(lái)控制用戶(hù)的上網(wǎng)行為和訪(fǎng)問(wèn)限制�����,防火墻通常會(huì)對(duì)網(wǎng)絡(luò)的基本訪(fǎng)問(wèn)情況進(jìn)行歸類(lèi)并一一限制���。但即使這樣,也會(huì)出現(xiàn)仿真的網(wǎng)絡(luò)攻擊���,此種攻擊可以輕松的繞過(guò)防火墻所設(shè)置的訪(fǎng)問(wèn)控制����,黑客通常的做法是模擬一個(gè)真實(shí)存在的用戶(hù)IP地址�����,并借用此用戶(hù)的IP地址進(jìn)行訪(fǎng)問(wèn)連接����,從協(xié)議層面分一個(gè)IP地址可以分為UDP類(lèi)型和TCP類(lèi)型兩種����,每種類(lèi)型又可以進(jìn)行6.5萬(wàn)個(gè)連接�����,相當(dāng)于黑客只要取用I個(gè)有效的IP地址進(jìn)行欺騙���,就可以對(duì)局域網(wǎng)內(nèi)發(fā)起13w的連接請(qǐng)求�,如果再增加η個(gè)不同的訪(fǎng)問(wèn)目標(biāo)地址�,又可以進(jìn)行η倍數(shù)的攻擊,其危害相當(dāng)于針對(duì)一個(gè)100臺(tái)設(shè)備的局域網(wǎng)絡(luò)配置有一個(gè)IOOw連接性能的防火墻����。結(jié)果���,一個(gè)黑客只需使用一個(gè)有效源IP地址和8個(gè)有效目標(biāo)的IP地址就可以輕松攻擊掉這臺(tái)防護(hù)
m ο
[0003]對(duì)于此種情況��,多數(shù)網(wǎng)絡(luò)設(shè)備普遍采用被動(dòng)的防護(hù)攻擊方式���,即通過(guò)防火墻對(duì)每個(gè)用戶(hù)的狀態(tài)進(jìn)行跟蹤�,當(dāng)防火墻的數(shù)據(jù)連接達(dá)到上限時(shí)���,就刪除最早先建立的連接用戶(hù)?����,F(xiàn)有技術(shù)的這種方式雖然可以應(yīng)急處理受到攻擊后的網(wǎng)絡(luò)��,但同時(shí)也會(huì)誤刪掉有效的用戶(hù)訪(fǎng)問(wèn)����,導(dǎo)致有效用戶(hù)受到影響�。
[0004]因此,有必要提供一種網(wǎng)絡(luò)攻擊的監(jiān)控方法及系統(tǒng)����,既能應(yīng)急處理遭受攻擊的網(wǎng)絡(luò),又能避免誤刪有效的用戶(hù)訪(fǎng)問(wèn)���。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的是提供一種網(wǎng)絡(luò)攻擊的監(jiān)控方法及系統(tǒng)�,既能應(yīng)急處理遭受攻擊的網(wǎng)絡(luò)����,又能避免誤刪有效的用戶(hù)訪(fǎng)問(wèn)��,以克服現(xiàn)有技術(shù)存在應(yīng)急處理遭受攻擊的網(wǎng)絡(luò)的同時(shí)會(huì)誤刪有效的用戶(hù)訪(fǎng)問(wèn)的缺陷��。
[0006]根據(jù)本發(fā)明的一個(gè)方面���,提供一種網(wǎng)絡(luò)攻擊的監(jiān)控方法,包括以下步驟:步驟SI�����,定時(shí)獲取防火墻當(dāng)前接入的用戶(hù)的連接狀態(tài)����;步驟S2,比較當(dāng)前獲取的用戶(hù)連接狀態(tài)與上次獲取的用戶(hù)連接狀態(tài)�,將連接狀態(tài)未變化的用戶(hù)計(jì)數(shù)加I ;步驟S3,將狀態(tài)計(jì)數(shù)超過(guò)預(yù)設(shè)次數(shù)的用戶(hù)連接判定為死亡連接���;步驟S4���,判斷死亡連接用戶(hù)的當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率是否超過(guò)預(yù)定值;步驟S5�,當(dāng)死亡連接用戶(hù)的當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率超過(guò)預(yù)定值時(shí),則刪除該用戶(hù)連接��。
[0007]其中����,在上述發(fā)明中,將所述被判定為死亡連接的用戶(hù)判定為死亡連接用戶(hù)�����,將死亡連接用戶(hù)的連接狀態(tài)未變化的計(jì)數(shù)判定為死亡連接數(shù)�����。
[0008]其中����,在上述發(fā)明中,所述步驟S4還包括:步驟S41���,對(duì)用戶(hù)連接狀態(tài)報(bào)告進(jìn)行統(tǒng)計(jì)�����,統(tǒng)計(jì)出所有認(rèn)定為死亡連接的用戶(hù)���;步驟S42��,將認(rèn)定為死亡連接用戶(hù)的當(dāng)前死亡連接數(shù)與該死亡連接用戶(hù)的上次死亡連接數(shù)進(jìn)行比較�����,判斷當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率是否超過(guò)預(yù)定值���。
[0009]其中,在上述發(fā)明中����,所述步驟S5還包括:步驟S51,將當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率超過(guò)預(yù)定值的死亡連接用戶(hù)認(rèn)定為攻擊用戶(hù)��;步驟S52���,防火墻監(jiān)控設(shè)備將認(rèn)定為攻擊用戶(hù)的用戶(hù)形成攻擊用戶(hù)列表���,將該列表發(fā)送給防火墻;步驟S53����,防火墻收到列表后刪除列表中的連接用戶(hù)�����。
[0010]其中,在上述發(fā)明中���,將所述刪除的連接用戶(hù)列入防火墻黑名單����。
[0011]根據(jù)本發(fā)明的另一個(gè)方面�,提供一種網(wǎng)絡(luò)攻擊的監(jiān)控系統(tǒng),包括:用戶(hù)連接狀態(tài)監(jiān)視單元����,用于定時(shí)獲取防火墻當(dāng)前接入的用戶(hù)的連接狀態(tài);用戶(hù)連接狀態(tài)計(jì)數(shù)單元�,連接到所述用戶(hù)連接狀態(tài)監(jiān)視單元,用于將用戶(hù)連接狀態(tài)監(jiān)視單元當(dāng)前獲取的用戶(hù)連接狀態(tài)與上次獲取的用戶(hù)連接狀態(tài)相比較�,將連接狀態(tài)未變化的用戶(hù)計(jì)數(shù)加I;死亡連接判定單元,連接到所述用戶(hù)連接狀態(tài)計(jì)數(shù)單元��,用于在用戶(hù)連接狀態(tài)計(jì)數(shù)單元統(tǒng)計(jì)的用戶(hù)狀態(tài)計(jì)數(shù)超過(guò)預(yù)設(shè)次數(shù)時(shí)�,將該用戶(hù)連接判定為死亡連接;死亡連接數(shù)判斷單元����,連接到所述死亡連接判定單元�,用于判斷死亡連接判定單元判定的死亡連接用戶(hù)的當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率是否超過(guò)預(yù)定值����;用戶(hù)連接刪除單元,連接到死亡連接數(shù)判斷單元��,用于在死亡連接數(shù)判斷單元判斷出死亡連接用戶(hù)的當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率超過(guò)預(yù)定值時(shí)��,刪除該用戶(hù)連接�。
[0012]其中,在上述發(fā)明中��,所述死亡連接判定單元將被判定為死亡連接的用戶(hù)判定為死亡連接用戶(hù)�,將死亡連接用戶(hù)的連接狀態(tài)未變化的計(jì)數(shù)判定為死亡連接數(shù)。
[0013]其中��,在上述發(fā)明中�,所述死亡連接數(shù)判斷單元包括用戶(hù)連接狀態(tài)報(bào)告統(tǒng)計(jì)模塊和比較模塊,所述用戶(hù)連接狀態(tài)報(bào)告統(tǒng)計(jì)模塊用于對(duì)用戶(hù)連接狀態(tài)報(bào)告進(jìn)行統(tǒng)計(jì)�����,統(tǒng)計(jì)出所有認(rèn)定為死亡連接的用戶(hù)��;所述比較模塊用于將認(rèn)定為死亡連接用戶(hù)的當(dāng)前死亡連接數(shù)與該死亡連接用戶(hù)的上次死亡連接數(shù)進(jìn)行比較,判斷當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率是否超過(guò)預(yù)定值�。
[0014]其中,在上述發(fā)明中���,所述用戶(hù)連接刪除單元包括攻擊用戶(hù)認(rèn)定模塊����、攻擊用戶(hù)列表發(fā)送模塊和用戶(hù)連接刪除模塊��,所述攻擊用戶(hù)認(rèn)定模塊用于將當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率超過(guò)預(yù)定值的死亡連接用戶(hù)認(rèn)定為攻擊用戶(hù)��;所述攻擊用戶(hù)列表發(fā)送模塊用于將認(rèn)定為攻擊用戶(hù)的用戶(hù)形成攻擊用戶(hù)列表����,將該列表發(fā)送給用戶(hù)連接刪除模塊��;所述用戶(hù)連接刪除模塊用于在收到列表后調(diào)用防火墻刪除列表中的連接用戶(hù)���。
[0015]其中���,在上述發(fā)明中,所述用戶(hù)連接刪除模塊調(diào)用防火墻刪除列表中的連接用戶(hù)的同時(shí)�,將該用戶(hù)列入防火墻黑名單���。
[0016]根據(jù)本發(fā)明的一種網(wǎng)絡(luò)攻擊的監(jiān)控方法及系統(tǒng),定時(shí)對(duì)防火墻當(dāng)前接入的用戶(hù)的連接狀態(tài)進(jìn)行統(tǒng)計(jì)��,并將本次統(tǒng)計(jì)報(bào)告與上次統(tǒng)計(jì)報(bào)告進(jìn)行比對(duì)����,當(dāng)發(fā)現(xiàn)有異常用戶(hù)時(shí)記錄該異常用戶(hù)的連接狀態(tài),且在異常用戶(hù)的連接狀態(tài)抖動(dòng)加劇時(shí)刪除該異常用戶(hù)����,實(shí)現(xiàn)了既能應(yīng)急處理遭受攻擊的網(wǎng)絡(luò)又能避免誤刪有效的用戶(hù)訪(fǎng)問(wèn)的目的,有效地提高了處理網(wǎng)絡(luò)攻擊的效率����,還保證了用戶(hù)的訪(fǎng)問(wèn)體驗(yàn)。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0017]圖1顯示了現(xiàn)有技術(shù)的網(wǎng)絡(luò)攻擊監(jiān)控的原理圖�;
[0018]圖2顯示了本發(fā)明的網(wǎng)絡(luò)攻擊監(jiān)控的原理圖;[0019]圖3顯示了本發(fā)明優(yōu)選實(shí)施例的網(wǎng)絡(luò)攻擊的監(jiān)控方法的流程圖�����;
[0020]圖4顯示了圖3中步驟S4的流程圖�����;
[0021]圖5顯示了圖3中步驟S5的流程圖;
[0022]圖6顯示了本發(fā)明優(yōu)選實(shí)施例的網(wǎng)絡(luò)攻擊的監(jiān)控系統(tǒng)的結(jié)構(gòu)示意圖���;
[0023]圖7顯示了本發(fā)明優(yōu)選實(shí)施例的死亡連接數(shù)判斷單元的結(jié)構(gòu)示意圖�����;
[0024]圖8顯示了本發(fā)明優(yōu)選實(shí)施例的用戶(hù)連接刪除單元的結(jié)構(gòu)示意圖�。
【具體實(shí)施方式】
[0025]為使本發(fā)明的目的�����、技術(shù)方案和優(yōu)點(diǎn)更加清楚明了����,下面結(jié)合【具體實(shí)施方式】并參照附圖����,對(duì)本發(fā)明進(jìn)一步詳細(xì)說(shuō)明。應(yīng)該理解���,這些描述只是示例性的���,而并非要限制本發(fā)明的范圍���。此外,在以下說(shuō)明中�,省略了對(duì)公知結(jié)構(gòu)和技術(shù)的描述,以避免不必要地混淆本發(fā)明的概念�����。
[0026]圖1顯示了現(xiàn)有技術(shù)的網(wǎng)絡(luò)攻擊監(jiān)控的原理圖��。
[0027]如圖1所示�,在現(xiàn)有技術(shù)中,當(dāng)網(wǎng)絡(luò)遭受黑客以有效源IP地址的方式發(fā)送大量連接請(qǐng)求的攻擊時(shí)��,多數(shù)網(wǎng)絡(luò)監(jiān)控設(shè)備普遍采用被動(dòng)的防護(hù)攻擊方式�����,即通過(guò)防火墻對(duì)每個(gè)用戶(hù)的狀態(tài)進(jìn)行跟蹤���,當(dāng)防火墻的數(shù)據(jù)連接達(dá)到上限時(shí)���,就刪除最早先建立的連接用戶(hù)。例如,防火墻當(dāng)前連接有正常用戶(hù)1�����、正常用戶(hù)2和攻擊用戶(hù)3����,當(dāng)連接數(shù)據(jù)達(dá)到上限時(shí),防火墻最先會(huì)刪除最早接入的正常用戶(hù)I��。此種方式可以應(yīng)急處理受到攻擊后的網(wǎng)絡(luò)����,但同時(shí)也會(huì)誤刪掉有效的用戶(hù)訪(fǎng)問(wèn)(正常用戶(hù)I),導(dǎo)致有效用戶(hù)受到影響����。
[0028]圖2顯示了本發(fā)明的網(wǎng)絡(luò)攻擊監(jiān)控的原理圖�����。
[0029]如圖2所示�����,在本發(fā)明中,網(wǎng)絡(luò)監(jiān)控設(shè)備定時(shí)對(duì)防火墻當(dāng)前接入的用戶(hù)狀態(tài)進(jìn)行統(tǒng)計(jì)���,例如防火墻當(dāng)前連接有正常用戶(hù)1���、正常用戶(hù)2和攻擊用戶(hù)3,當(dāng)發(fā)現(xiàn)攻擊用戶(hù)3的連接狀態(tài)異常時(shí)�����,網(wǎng)絡(luò)監(jiān)控設(shè)備記錄該攻擊用戶(hù)3的連接狀態(tài)��,判斷攻擊用戶(hù)3的連接狀態(tài)抖動(dòng)是否加劇���,如果抖動(dòng)加劇則及時(shí)刪除攻擊用戶(hù)3����,而不會(huì)誤刪正常用戶(hù)I或正常用戶(hù)2�����,既能主動(dòng)應(yīng)急處理受到攻擊后的網(wǎng)絡(luò)�����,還保證了正常用戶(hù)的訪(fǎng)問(wèn)體驗(yàn)。
[0030]圖3顯示了本發(fā)明優(yōu)選實(shí)施例的網(wǎng)絡(luò)攻擊的監(jiān)控方法的流程圖����;圖4顯示了圖3中步驟S4的流程圖;圖5顯示了圖3中步驟S5的流程圖�。
[0031]如圖3所示,本發(fā)明優(yōu)選實(shí)施例的網(wǎng)絡(luò)攻擊的監(jiān)控方法包括以下步驟:
[0032]步驟SI����,定時(shí)獲取防火墻當(dāng)前接入用戶(hù)的連接狀態(tài)。
[0033]具體而言�����,防火墻每隔預(yù)定時(shí)間(例如每隔3秒鐘)對(duì)防火墻當(dāng)前接入用戶(hù)的連接狀態(tài)進(jìn)行統(tǒng)計(jì)以得到用戶(hù)連接狀態(tài)報(bào)告���,將用戶(hù)連接狀態(tài)報(bào)告發(fā)送至網(wǎng)絡(luò)監(jiān)控設(shè)備����,使得網(wǎng)絡(luò)監(jiān)控設(shè)備可以獲取防火墻當(dāng)前所有接入用戶(hù)的連接狀態(tài)�,網(wǎng)絡(luò)監(jiān)控設(shè)備將發(fā)送過(guò)來(lái)的用戶(hù)連接狀態(tài)報(bào)告作為當(dāng)前的網(wǎng)絡(luò)設(shè)備狀態(tài)的快照保存�。
[0034]步驟S2,比較當(dāng)前獲取的用戶(hù)連接狀態(tài)與上次獲取的用戶(hù)連接狀態(tài)��,將連接狀態(tài)未變化的用戶(hù)計(jì)數(shù)加I。
[0035]通常來(lái)說(shuō)�,正常用戶(hù)不會(huì)一直發(fā)送連接請(qǐng)求,即任一時(shí)刻用戶(hù)接入防火墻的連接狀態(tài)會(huì)有不同��。在步驟S2中���,將當(dāng)前獲取的用戶(hù)連接狀態(tài)與上次獲取的用戶(hù)連接狀態(tài)相比較�����,判斷當(dāng)前獲取的用戶(hù)連接狀態(tài)中是否還存在連接狀態(tài)未發(fā)生變化的用戶(hù)�。
[0036]具體來(lái)說(shuō)�����,網(wǎng)絡(luò)監(jiān)控設(shè)備將當(dāng)前獲取的用戶(hù)連接狀態(tài)報(bào)告與前一次獲取的用戶(hù)連接狀態(tài)報(bào)告進(jìn)行比較����,判斷當(dāng)前獲取的報(bào)告中是否還存在連接狀態(tài)未發(fā)生變化的用戶(hù),如果有��,則對(duì)該用戶(hù)的狀態(tài)計(jì)數(shù)加I���。
[0037]步驟S3�����,將狀態(tài)計(jì)數(shù)超過(guò)預(yù)設(shè)次數(shù)的用戶(hù)連接判定為死亡連接���。
[0038]本步驟中����,如果發(fā)現(xiàn)某個(gè)用戶(hù)的連接狀態(tài)計(jì)數(shù)超過(guò)預(yù)設(shè)次數(shù)���,則表明該用戶(hù)連續(xù)多次存在連接狀態(tài)未發(fā)生變化的情況�,可以將該用戶(hù)初步判定為死亡連接����,該用戶(hù)為死亡連接用戶(hù),死亡連接用戶(hù)的連接狀態(tài)未變化的計(jì)數(shù)為死亡連接數(shù)���。
[0039]如果發(fā)現(xiàn)某個(gè)用戶(hù)的連接狀態(tài)計(jì)數(shù)未超過(guò)預(yù)設(shè)次數(shù)(即用戶(hù)的連接狀態(tài)計(jì)數(shù)小于或等于預(yù)設(shè)次數(shù))���,則表明該用戶(hù)并不存在連接狀態(tài)連續(xù)多次未發(fā)生變化的情況,可以將該用戶(hù)判定為正常用戶(hù)�。
[0040]這里預(yù)設(shè)次數(shù)的大小可以根據(jù)網(wǎng)絡(luò)系統(tǒng)的帶寬,防火墻和服務(wù)器性能等參數(shù)靈活確定��,優(yōu)選的����,預(yù)設(shè)次數(shù)設(shè)置為30次,即將狀態(tài)計(jì)數(shù)超過(guò)30次數(shù)的用戶(hù)連接判定為死亡連接�����。
[0041]步驟S4����,判斷死亡連接用戶(hù)的當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率是否超過(guò)預(yù)定值。
[0042]其中��,本步驟如圖4所示����,包括下述子步驟:
[0043]步驟S41,對(duì)用戶(hù)連接狀態(tài)報(bào)告進(jìn)行統(tǒng)計(jì)���,統(tǒng)計(jì)出所有認(rèn)定為死亡連接的用戶(hù)���。
[0044]步驟S42,將認(rèn)定為死亡連接用戶(hù)的當(dāng)前死亡連接數(shù)與該死亡連接用戶(hù)的上次死亡連接數(shù)進(jìn)行比較����,判斷當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率是否超過(guò)預(yù)定值����。
[0045]具體來(lái)說(shuō)�,將死亡連接用戶(hù)在當(dāng)前的連接狀態(tài)計(jì)數(shù)周期中得到的連接狀態(tài)未變化的計(jì)數(shù)與該死亡連接用戶(hù)在上一次的連接狀態(tài)計(jì)數(shù)周期中得到的連接狀態(tài)未變化的計(jì)數(shù)進(jìn)行比較,判斷當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率是否超過(guò)預(yù)定值�。在比較結(jié)果中,如果當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率超過(guò)預(yù)定值�,例如超過(guò)20%(即死亡連接數(shù)增長(zhǎng)大于或等于20% ),則進(jìn)入下一步驟S5�����,可以將該死亡連接用戶(hù)進(jìn)一步認(rèn)定為攻擊用戶(hù)�����;否則����,返回步驟SI進(jìn)入下一個(gè)連接狀態(tài)計(jì)數(shù)周期。
[0046]步驟S5�����,當(dāng)死亡連接用戶(hù)的當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率超過(guò)預(yù)定值時(shí),則刪除該用戶(hù)連接���。
[0047]本步驟中,如果發(fā)現(xiàn)某個(gè)死亡連接用戶(hù)的當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率超過(guò)預(yù)定值��,例如20%��,則可以認(rèn)定為該死亡連接用戶(hù)是攻擊用戶(hù)���,其正在對(duì)網(wǎng)絡(luò)進(jìn)行攻擊�����。
[0048]進(jìn)一步��,本步驟如圖5所示��,還包括下述子步驟:
[0049]步驟S51�����,將當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率超過(guò)預(yù)定值的死亡連接用戶(hù)認(rèn)定為攻擊用戶(hù)�。
[0050]步驟S52,防火墻監(jiān)控設(shè)備將認(rèn)定為攻擊用戶(hù)的用戶(hù)形成攻擊用戶(hù)列表��,將該列表發(fā)送給防火墻���。
[0051]步驟S53����,防火墻收到列表后刪除列表中的連接用戶(hù)�����。根據(jù)收到的列表����,防火墻及時(shí)地將攻擊用戶(hù)刪除,以保證在網(wǎng)絡(luò)受到攻擊時(shí)���,無(wú)效連接被刪除����,有效用戶(hù)連接被保留���。
[0052]優(yōu)選地����,在步驟S53中,將刪除的連接用戶(hù)列入防火墻黑名單�,以防止網(wǎng)絡(luò)再次收到該用戶(hù)攻擊。[0053]通過(guò)采用上述流程�����,使用連接狀態(tài)快照和快照對(duì)比的方式來(lái)記錄用戶(hù)的連接狀態(tài)����,當(dāng)連接狀態(tài)異常時(shí)記錄異常連接狀態(tài)���,當(dāng)異常連接狀態(tài)抖動(dòng)加劇時(shí)�,提前做出判斷并實(shí)施相應(yīng)的處理動(dòng)作����,有效地提高了處理網(wǎng)絡(luò)攻擊的效率,還保證了用戶(hù)的訪(fǎng)問(wèn)體驗(yàn)���。
[0054]圖6顯示了本發(fā)明優(yōu)選實(shí)施例的網(wǎng)絡(luò)攻擊的監(jiān)控系統(tǒng)的結(jié)構(gòu)示意圖����;圖7顯示了本發(fā)明優(yōu)選實(shí)施例的死亡連接數(shù)判斷單元的結(jié)構(gòu)示意圖;圖8顯示了本發(fā)明優(yōu)選實(shí)施例的用戶(hù)連接刪除單元的結(jié)構(gòu)示意圖�����。
[0055]如圖6所示�����,本發(fā)明優(yōu)選實(shí)施例的網(wǎng)絡(luò)攻擊的監(jiān)控系統(tǒng)包括下述部件:用戶(hù)連接狀態(tài)監(jiān)視單元1���、用戶(hù)連接狀態(tài)計(jì)數(shù)單元2��、死亡連接判定單元3����、死亡連接數(shù)判斷單元4以及用戶(hù)連接刪除單元5����。
[0056]用戶(hù)連接狀態(tài)監(jiān)視單元1,用于定時(shí)獲取防火墻當(dāng)前接入的用戶(hù)的連接狀態(tài)���。具體地�����,用戶(hù)連接狀態(tài)監(jiān)視單元I每隔預(yù)定時(shí)間(例如每隔3秒鐘)對(duì)防火墻當(dāng)前接入用戶(hù)的連接狀態(tài)進(jìn)行統(tǒng)計(jì)以得到用戶(hù)連接狀態(tài)報(bào)告�,將用戶(hù)連接狀態(tài)報(bào)告發(fā)送至用戶(hù)連接狀態(tài)計(jì)數(shù)單元2,使得用戶(hù)連接狀態(tài)計(jì)數(shù)單元2可以獲取防火墻當(dāng)前所有接入用戶(hù)的連接狀態(tài)�����,用戶(hù)連接狀態(tài)計(jì)數(shù)單元2將發(fā)送過(guò)來(lái)的用戶(hù)連接狀態(tài)報(bào)告作為當(dāng)前的網(wǎng)絡(luò)設(shè)備狀態(tài)的快照保存�。
[0057]用戶(hù)連接狀態(tài)計(jì)數(shù)單元2,連接到用戶(hù)連接狀態(tài)監(jiān)視單元1�,用于將用戶(hù)連接狀態(tài)監(jiān)視單元I當(dāng)前獲取的用戶(hù)連接狀態(tài)與上次獲取的用戶(hù)連接狀態(tài)相比較,將連接狀態(tài)未變化的用戶(hù)計(jì)數(shù)加I�����。通常來(lái)說(shuō)���,正常用戶(hù)不會(huì)一直發(fā)送連接請(qǐng)求,即任一時(shí)刻用戶(hù)接入防火墻的連接狀態(tài)會(huì)有不同�。用戶(hù)連接狀態(tài)計(jì)數(shù)單元2將當(dāng)前獲取的用戶(hù)連接狀態(tài)與上次獲取的用戶(hù)連接狀態(tài)相比較,判斷當(dāng)前獲取的用戶(hù)連接狀態(tài)中是否還存在連接狀態(tài)未發(fā)生變化的用戶(hù)���。具體來(lái)說(shuō)��,用戶(hù)連接狀態(tài)計(jì)數(shù)單元2將當(dāng)前獲取的用戶(hù)連接狀態(tài)報(bào)告與前一次獲取的用戶(hù)連接狀態(tài)報(bào)告進(jìn)行比較�����,判斷當(dāng)前獲取的報(bào)告中是否還存在連接狀態(tài)未發(fā)生變化的用戶(hù)�,如果有,則對(duì)該用戶(hù)的狀態(tài)計(jì)數(shù)加1���,并將記錄的用戶(hù)狀態(tài)計(jì)數(shù)發(fā)送至死亡連接判定單元3���。
[0058]死亡連接判定單元3,連接到用戶(hù)連接狀態(tài)計(jì)數(shù)單元2�,用于在用戶(hù)連接狀態(tài)計(jì)數(shù)單元2統(tǒng)計(jì)的用戶(hù)狀態(tài)計(jì)數(shù)超過(guò)預(yù)設(shè)次數(shù)時(shí),將該用戶(hù)連接判定為死亡連接�。具體來(lái)說(shuō),如果發(fā)現(xiàn)某個(gè)用戶(hù)的連接狀態(tài)計(jì)數(shù)超過(guò)預(yù)設(shè)次數(shù)����,則表明該用戶(hù)連續(xù)多次存在連接狀態(tài)未發(fā)生變化的情況,死亡連接判定單元3則將該用戶(hù)初步判定為死亡連接�����,該用戶(hù)為死亡連接用戶(hù)���,死亡連接用戶(hù)的連接狀態(tài)未變化的計(jì)數(shù)為死亡連接數(shù)���;如果發(fā)現(xiàn)某個(gè)用戶(hù)的連接狀態(tài)計(jì)數(shù)未超過(guò)預(yù)設(shè)次數(shù)(即用戶(hù)的連接狀態(tài)計(jì)數(shù)小于或等于預(yù)設(shè)次數(shù))��,則表明該用戶(hù)并不存在連接狀態(tài)連續(xù)多次未發(fā)生變化的情況���,死亡連接判定單元3則將該用戶(hù)判定為正常用戶(hù)。其中�,預(yù)設(shè)次數(shù)的大小可以根據(jù)網(wǎng)絡(luò)系統(tǒng)的帶寬,防火墻和服務(wù)器性能等參數(shù)靈活確定��,優(yōu)選的�����,預(yù)設(shè)次數(shù)設(shè)置為30次��,即將狀態(tài)計(jì)數(shù)超過(guò)30次數(shù)的用戶(hù)連接判定為死亡連接���。
[0059]死亡連接數(shù)判斷單元4,連接到死亡連接判定單元3��,用于判斷死亡連接判定單元3判定的死亡連接用戶(hù)的當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率是否超過(guò)預(yù)定值����。
[0060]其中�,死亡連接數(shù)判斷單元4的結(jié)構(gòu)如圖7所示����,包括用戶(hù)連接狀態(tài)報(bào)告統(tǒng)計(jì)模塊41和比較模塊42。
[0061]用戶(hù)連接狀態(tài)報(bào)告統(tǒng)計(jì)模塊41�,用于對(duì)用戶(hù)連接狀態(tài)報(bào)告進(jìn)行統(tǒng)計(jì),統(tǒng)計(jì)出所有認(rèn)定為死亡連接的用戶(hù)�����。
[0062]比較模塊42�����,連接到用戶(hù)連接狀態(tài)報(bào)告統(tǒng)計(jì)模塊41���,用于將認(rèn)定為死亡連接用戶(hù)的當(dāng)前死亡連接數(shù)與該死亡連接用戶(hù)的上次死亡連接數(shù)進(jìn)行比較���,判斷當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率是否超過(guò)預(yù)定值。
[0063]具體來(lái)說(shuō)����,比較模塊42收到用戶(hù)連接狀態(tài)報(bào)告統(tǒng)計(jì)模塊41統(tǒng)計(jì)出的死亡連接用戶(hù)的死亡連接數(shù)后,將死亡連接用戶(hù)在當(dāng)前的連接狀態(tài)計(jì)數(shù)周期中得到的連接狀態(tài)未變化的計(jì)數(shù)與該死亡連接用戶(hù)在上一次的連接狀態(tài)計(jì)數(shù)周期中得到的連接狀態(tài)未變化的計(jì)數(shù)進(jìn)行比較��,判斷當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率是否超過(guò)預(yù)定值。在比較結(jié)果中���,如果當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率超過(guò)預(yù)定值����,例如超過(guò)20%(即死亡連接數(shù)增長(zhǎng)大于或等于20% )����,比較模塊42將該死亡連接用戶(hù)進(jìn)一步認(rèn)定為攻擊用戶(hù)。
[0064]用戶(hù)連接刪除單元5���,連接到死亡連接數(shù)判斷單元4���,用于在死亡連接數(shù)判斷單元4判斷出死亡連接用戶(hù)的當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率超過(guò)預(yù)定值時(shí),刪除該用戶(hù)連接����。
[0065]其中,用戶(hù)連接刪除單元5的結(jié)構(gòu)如圖8所示�,包括攻擊用戶(hù)認(rèn)定模塊51����、攻擊用戶(hù)列表發(fā)送模塊52和用戶(hù)連接刪除模塊53���。
[0066]攻擊用戶(hù)認(rèn)定模塊51,用于將當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率超過(guò)預(yù)定值的死亡連接用戶(hù)認(rèn)定為攻擊用戶(hù)��。
[0067]攻擊用戶(hù)列表發(fā)送模塊52����,用于將認(rèn)定為攻擊用戶(hù)的用戶(hù)形成攻擊用戶(hù)列表,將該列表發(fā)送給用戶(hù)連接刪除模塊53����。
[0068]用戶(hù)連接刪除模塊53,用于在收到列表后調(diào)用防火墻刪除列表中的連接用戶(hù)��。根據(jù)收到的列表����,用戶(hù)連接刪除模塊53調(diào)用防火墻及時(shí)地將攻擊用戶(hù)刪除,以保證在網(wǎng)絡(luò)受到攻擊時(shí)��,無(wú)效連接被刪除�����,有效用戶(hù)連接被保留。優(yōu)選地���,用戶(hù)連接刪除模塊53調(diào)用防火墻刪除列表中的連接用戶(hù)的同時(shí)����,將該用戶(hù)列入防火墻黑名單���,防止網(wǎng)絡(luò)再次收到該用戶(hù)攻擊�。
[0069]如上所述��,根據(jù)本發(fā)明的一種網(wǎng)絡(luò)攻擊的監(jiān)控方法及系統(tǒng)�,定時(shí)對(duì)防火墻當(dāng)前接入的用戶(hù)的連接狀態(tài)進(jìn)行統(tǒng)計(jì),并將本次統(tǒng)計(jì)報(bào)告與上次統(tǒng)計(jì)報(bào)告進(jìn)行比對(duì)�,當(dāng)發(fā)現(xiàn)有異常用戶(hù)時(shí)記錄該異常用戶(hù)的連接狀態(tài),且在異常用戶(hù)的連接狀態(tài)抖動(dòng)加劇時(shí)刪除該異常用戶(hù)���,實(shí)現(xiàn)了既能應(yīng)急處理遭受攻擊的網(wǎng)絡(luò)又能避免誤刪有效的用戶(hù)訪(fǎng)問(wèn)的目的�����,有效地提高了處理網(wǎng)絡(luò)攻擊的效率�����,還保證了用戶(hù)的訪(fǎng)問(wèn)體驗(yàn)���。
[0070]應(yīng)當(dāng)理解的是,本發(fā)明的上述【具體實(shí)施方式】?jī)H僅用于示例性說(shuō)明或解釋本發(fā)明的原理�����,而不構(gòu)成對(duì)本發(fā)明的限制�����。因此�,在不偏離本發(fā)明的精神和范圍的情況下所做的任何修改、等同替換��、改進(jìn)等��,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)���。此外��,本發(fā)明所附權(quán)利要求旨在涵蓋落入所附權(quán)利要求范圍和邊界�、或者這種范圍和邊界的等同形式內(nèi)的全部變化和修改例�����。
【權(quán)利要求】
1.一種網(wǎng)絡(luò)攻擊的監(jiān)控方法,其特征在于����,包括以下步驟: 步驟SI,定時(shí)獲取防火墻當(dāng)前接入的用戶(hù)的連接狀態(tài)�����; 步驟S2����,比較當(dāng)前獲取的用戶(hù)連接狀態(tài)與上次獲取的用戶(hù)連接狀態(tài),將連接狀態(tài)未變化的用戶(hù)計(jì)數(shù)加I ; 步驟S3�,將狀態(tài)計(jì)數(shù)超過(guò)預(yù)設(shè)次數(shù)的用戶(hù)連接判定為死亡連接; 步驟S4���,判斷死亡連接用戶(hù)的當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率是否超過(guò)預(yù)定值�; 步驟S5��,當(dāng)死亡連接用戶(hù)的當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率超過(guò)預(yù)定值時(shí)����,則刪除該用戶(hù)連接���。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于��,將所述被判定為死亡連接的用戶(hù)判定為死亡連接用戶(hù)����,將死亡連接用戶(hù)的連接狀態(tài)未變化的計(jì)數(shù)判定為死亡連接數(shù)���。
3.根據(jù)權(quán)利要求1所述的方法���,其特征在于,所述步驟S4還包括: 步驟S41���,對(duì)用戶(hù)連接狀態(tài)報(bào)告進(jìn)行統(tǒng)計(jì)�,統(tǒng)計(jì)出所有認(rèn)定為死亡連接的用戶(hù)�; 步驟S42,將認(rèn)定為死亡連接用戶(hù)的當(dāng)前死亡連接數(shù)與該死亡連接用戶(hù)的上次死亡連接數(shù)進(jìn)行比較���,判斷當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率是否超過(guò)預(yù)定值�����。
4.根據(jù)權(quán)利要求 1所述的方法�,其特征在于,所述步驟S5還包括: 步驟S51��,將當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率超過(guò)預(yù)定值的死亡連接用戶(hù)認(rèn)定為攻擊用戶(hù)�����; 步驟S52�����,防火墻監(jiān)控設(shè)備將認(rèn)定為攻擊用戶(hù)的用戶(hù)形成攻擊用戶(hù)列表�,將該列表發(fā)送給防火墻; 步驟S53�,防火墻收到列表后刪除列表中的連接用戶(hù)。
5.根據(jù)權(quán)利要求4所述的方法��,其特征在于�����,將所述刪除的連接用戶(hù)列入防火墻黑名單����。
6.一種網(wǎng)絡(luò)攻擊的監(jiān)控系統(tǒng)�,其特征在于�����,包括: 用戶(hù)連接狀態(tài)監(jiān)視單元(I)���,用于定時(shí)獲取防火墻當(dāng)前接入的用戶(hù)的連接狀態(tài)���; 用戶(hù)連接狀態(tài)計(jì)數(shù)單元(2)��,連接到所述用戶(hù)連接狀態(tài)監(jiān)視單元(I)�����,用于將用戶(hù)連接狀態(tài)監(jiān)視單元(I)當(dāng)前獲取的用戶(hù)連接狀態(tài)與上次獲取的用戶(hù)連接狀態(tài)相比較���,將連接狀態(tài)未變化的用戶(hù)計(jì)數(shù)加I ; 死亡連接判定單元(3)��,連接到所述用戶(hù)連接狀態(tài)計(jì)數(shù)單元(2)���,用于在用戶(hù)連接狀態(tài)計(jì)數(shù)單元(2)統(tǒng)計(jì)的用戶(hù)狀態(tài)計(jì)數(shù)超過(guò)預(yù)設(shè)次數(shù)時(shí),將該用戶(hù)連接判定為死亡連接����; 死亡連接數(shù)判斷單元(4)����,連接到所述死亡連接判定單元(3)�����,用于判斷死亡連接判定單元(3)判定的死亡連接用戶(hù)的當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率是否超過(guò)預(yù)定值��; 用戶(hù)連接刪除單元(5)��,連接到死亡連接數(shù)判斷單元(4)��,用于在死亡連接數(shù)判斷單元(4)判斷出死亡連接用戶(hù)的當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率超過(guò)預(yù)定值時(shí)���,刪除該用戶(hù)連接����。
7.根據(jù)權(quán)利要求6所述的系統(tǒng)���,其特征在于�����,所述死亡連接判定單元(3)將被判定為死亡連接的用戶(hù)判定為死亡連接用戶(hù)���,將死亡連接用戶(hù)的連接狀態(tài)未變化的計(jì)數(shù)判定為死亡連接數(shù)���。
8.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于���,所述死亡連接數(shù)判斷單元(4)包括用戶(hù)連接狀態(tài)報(bào)告統(tǒng)計(jì)模塊(41)和比較模塊(42)��,其中����, 所述用戶(hù)連接狀態(tài)報(bào)告統(tǒng)計(jì)模塊(41)用于對(duì)用戶(hù)連接狀態(tài)報(bào)告進(jìn)行統(tǒng)計(jì)���,統(tǒng)計(jì)出所有認(rèn)定為死亡連接的用戶(hù); 所述比較模塊(42)用于將認(rèn)定為死亡連接用戶(hù)的當(dāng)前死亡連接數(shù)與該死亡連接用戶(hù)的上次死亡連接數(shù)進(jìn)行比較�����,判斷當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率是否超過(guò)預(yù)定值����。
9.根據(jù)權(quán)利要求6所述的系統(tǒng)����,其特征在于���,所述用戶(hù)連接刪除單元(5)包括攻擊用戶(hù)認(rèn)定模塊(51)����、攻擊用戶(hù)列表發(fā)送模塊(52)和用戶(hù)連接刪除模塊(53)���,其中����, 所述攻擊用戶(hù)認(rèn)定模塊(51)用于將當(dāng)前死亡連接數(shù)相對(duì)于上次死亡連接數(shù)的增長(zhǎng)率超過(guò)預(yù)定值的死亡連接用戶(hù)認(rèn)定為攻擊用戶(hù)�����; 所述攻擊用戶(hù)列表發(fā)送模塊(52)用于將認(rèn)定為攻擊用戶(hù)的用戶(hù)形成攻擊用戶(hù)列表���,將該列表發(fā)送給用戶(hù)連接刪除模塊(53)�����; 所述用戶(hù)連接刪除模塊(53)用于在收到列表后調(diào)用防火墻刪除列表中的連接用戶(hù)����。
10.根據(jù)權(quán)利要求9所述 的系統(tǒng),其特征在于�,所述用戶(hù)連接刪除模塊(53)調(diào)用防火墻刪除列表中的連接用戶(hù)的同時(shí),將該用戶(hù)列入防火墻黑名單���。
【文檔編號(hào)】H04L29/06GK103997488SQ201410187947
【公開(kāi)日】2014年8月20日 申請(qǐng)日期:2014年5月6日 優(yōu)先權(quán)日:2014年5月6日
【發(fā)明者】陳海濱, 劉鵬, 于立洋, 章敏, 王禹, 王智民 申請(qǐng)人:漢柏科技有限公司