CN105471835A - 提升防火墙处理性能的方法及系统 - Google Patents
提升防火墙处理性能的方法及系统 Download PDFInfo
- Publication number
- CN105471835A CN105471835A CN201510481214.XA CN201510481214A CN105471835A CN 105471835 A CN105471835 A CN 105471835A CN 201510481214 A CN201510481214 A CN 201510481214A CN 105471835 A CN105471835 A CN 105471835A
- Authority
- CN
- China
- Prior art keywords
- compartment wall
- fire compartment
- connection table
- table item
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0823—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
- H04L41/083—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability for increasing network speed
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Alarm Systems (AREA)
Abstract
本发明公开了一种提升防火墙处理性能的方法及系统,其中所述方法包括:配置一用以判别网络环境是否存在网络攻击的表项数量阈值;获取防火墙所存在的连接表项数量的变化幅度;根据所述连接表项数量的变化幅度与所述表项数量阈值的比较结果,判定当前网络环境中是否存在网络攻击威胁;其中,若当前网络环境中存在网络攻击威胁,则开启所述防火墙的抗网络攻击功能以对进入防火墙的流量进行攻击检测;若当前网络环境中不存在网络攻击威胁,则关闭所述防火墙的抗网络攻击功能。本发明的方法及系统大大提升防火墙的性能,有效提升防火墙转发数据包的速率。
Description
技术领域
本发明属于计算机网络技术领域,具体涉及一种提升防火墙处理性能的方法及系统。
背景技术
当前,网络在人们的生活中占据着举足轻重的地位,足不出户就可通过网络进行购物、聊天、理财,还可预定饭店、车票、宾馆等,甚至还可进行家庭工作。在享受互联网给我们日常生活带来的便利的同时,也给网络攻击者更多的可乘之机,给我们的财产安全造成损失。
分布式拒绝服务攻击(DistributedDenialofService,DDoS)是当前网络环境中威胁最大的攻击之一,其攻击目标主要是针对服务器或者大型网站。它主要是通过一些恶意手段使目标服务器的处理器达到满载,从而耗尽服务器的资源,进而使计算机用户无法实现对服务器的正常访问。
目前,很多防火墙(Firewall)都提供抗网络攻击的服务,此类防火墙通过开启防火墙的网络攻击检测功能来避免服务器受到DDoS攻击。然而,现有技术中的防火墙通常是一直开启着抗DDoS攻击功能,该抗DDoS攻击功能一旦开启,则会对计算机中所有进来的数据包逐一进行攻击检测,这样会降低防火墙的处理性能,导致防火墙转发数据包的速率下降。
发明内容
本发明的目的在于提供一种提升防火墙处理性能的方法,该方法根据实时监测到的防火墙的连接表项数量的变化幅度,将其与预先设置的阈值相比较,以确定当前网络环境中是否存在攻击威胁,并相应地确定是否需要开启或关闭防火墙的抗网络攻击功能,从而提升防火墙的性能及转发数据包的速率。
本发明的另一目的在于提供一种提升防火墙处理性能的系统,该系统根据实时监测到的防火墙的连接表项数量的变化幅度,将其与预先设置的阈值相比较,以确定当前网络环境中是否存在攻击威胁,并相应地确定是否需要开启或关闭防火墙的抗网络攻击功能,从而提升防火墙的性能及转发数据包的速率。
根据本发明的一个方面,提供一种提升防火墙处理性能的方法,包括如下步骤:配置一用以判别网络环境是否存在网络攻击的表项数量阈值;获取防火墙所存在的连接表项数量的变化幅度;根据所述连接表项数量的变化幅度与所述表项数量阈值的比较结果,判定当前网络环境中是否存在网络攻击威胁;其中,若当前网络环境中存在网络攻击威胁,则开启所述防火墙的抗网络攻击功能以对进入防火墙的流量进行攻击检测;若当前网络环境中不存在网络攻击威胁,则关闭所述防火墙的抗网络攻击功能。
作为本发明进一步的改进,所述“获取防火墙所存在的连接表项数量的变化幅度”的步骤具体包括:防火墙每隔t1时间对连接表项数量进行一次统计;防火墙每隔t2时间计算该时间间隔内所统计到连接表项数量的平均值Ma,其中Ma=(S1+S2+…+Sn)/n;t2=n*t1;将本次统计到的连接表项数量的平均值Ma与上一个t2时间所统计到的连接表项数量的平均值Mb进行比较,获取两个平均值之间的差值。
作为本发明进一步的改进,所述“根据所述连接表项数量的变化幅度与所述表项数量阈值的比较结果,确定当前网络环境中是否存在网络攻击威胁”的步骤具体包括:若本次统计到的连接表项数量的平均值Ma大于上一个t2时间所统计到的连接表项数量的平均值Mb,并且两个平均值之间的差值大于所述表项数量阈值,则判定当前网络环境存在DDoS攻击威胁;若本次统计到的连接表项数量的平均值Ma小于上一个t2时间所统计到的连接表项数量的平均值Mb,并且两个平均值之间的差值大于所述表项数量阈值,则判定当前网络环境不存在DDoS攻击威胁。
作为本发明进一步的改进,所述t1=10min,所述t2=60min,所述表项数量阈值设定为50。
作为本发明进一步的改进,所述方法还具体包括:接收报文;在开启所述防火墙的抗网络攻击功能后,根据所述报文查询连接表中是否有与当前报文相对应的连接表项;所述连接表包括五元组信息,所述五元组信息包括源IP地址、目的IP地址、源端口、目的端口及协议类型;根据查询结果,执行相应的报文转发动作或报文丢弃动作。
相应地,根据本发明的一个方面,提供一种提升防火墙处理性能的系统,包括如下单元:阈值配置单元、表项数量监测单元及防火墙开关单元,其中,阈值配置单元用于配置一用以判别网络环境是否存在网络攻击的表项数量阈值;表项数量监测单元用于获取防火墙所存在的连接表项数量的变化幅度;防火墙开关单元用于根据所述连接表项数量的变化幅度与所述表项数量阈值的比较结果,判定当前网络环境中是否存在网络攻击威胁;其中,若当前网络环境中存在网络攻击威胁,则开启所述防火墙的抗网络攻击功能以对进入防火墙的流量进行攻击检测;若当前网络环境中不存在网络攻击威胁,则关闭所述防火墙的抗网络攻击功能。
作为本发明进一步的改进,所述表项数量监测单元具体用于:每隔t1时间对连接表项数量进行一次统计;每隔t2时间计算该时间间隔内所统计到连接表项数量的平均值Ma,其中Ma=(S1+S2+…+Sn)/n;t2=n*t1;将本次统计到的连接表项数量的平均值Ma与上一个t2时间所统计到的连接表项数量的平均值Mb进行比较,获取两个平均值之间的差值。
作为本发明进一步的改进,
所述防火墙开关单元具体用于:若本次统计到的连接表项数量的平均值Ma大于上一个t2时间所统计到的连接表项数量的平均值Mb,并且两个平均值之间的差值大于所述表项数量阈值,则判定当前网络环境存在DDoS攻击威胁;若本次统计到的连接表项数量的平均值Ma小于上一个t2时间所统计到的连接表项数量的平均值Mb,并且两个平均值之间的差值大于所述表项数量阈值,则判定当前网络环境不存在DDoS攻击威胁。
优选地,所述t1=10min,所述t2=60min,所述表项数量阈值设定为50。
作为本发明进一步的改进,所述系统还包括:报文接收单元,用于接收报文;表项匹配单元,用于在防火墙开关单元开启所述防火墙的抗网络攻击功能后,根据所述报文查询连接表中是否有与当前报文相对应的连接表项;所述连接表包括五元组信息,所述五元组信息包括源IP地址、目的IP地址、源端口、目的端口及协议类型;报文处理单元,用于根据查询结果,执行相应的报文转发动作或报文丢弃动作。
本发明所提供的提升防火墙处理性能的方法,其通过预先配置一表项数量阈值,并实时监测当前防火墙中所存在的连接表项数量的变化幅度,并将该连接表项数量的变化幅度与预先配置的表项数量阈值进行比较,从而判别当前网络环境中是否存在攻击威胁,进而确定是否需要开启或者关闭防火墙中的抗网络攻击功能。本方法通过实时监测的连接表项数量来相应控制防火墙中抗网络攻击功能的开启或关闭,如此在不存在网络攻击时,则无需对网络环境中的数据包进行安全监测,从而避免防火墙中抗网络攻击功能的一直开启给防火墙性能造成的损害,大大提升防火墙的性能,有效提升防火墙转发数据包的速率。
相应地,本发明所提供的提升防火墙处理性能的系统,其包括阈值配置单元、表项数量监测单元及判断及执行单元,阈值配置单元用于配置一表项数量阈值,表项数量监测单元用于实时监测当前防火墙中所存在的连接表项数量的变化幅度,判断及执行单元用于将该连接表项数量的变化幅度与预先配置的表项数量阈值进行比较,从而判别当前网络环境中是否存在攻击威胁,进而确定是否需要开启或者关闭防火墙中的抗网络攻击功能。本系统通过实时监测的连接表项数量来相应控制防火墙中抗网络攻击功能的开启或关闭,如此在不存在网络攻击时,则无需对网络环境中的数据包进行安全监测,从而避免防火墙中抗网络攻击功能的一直开启给防火墙性能造成的损害,大大提升防火墙的性能,有效提升防火墙转发数据包的速率。
附图说明
图1是本发明实施例中提升防火墙处理性能的方法的基本流程示意图;
图2是本发明优选实施例中图1所述方法中步骤102的具体流程示意图;
图3本发明实施例中提升防火墙处理性能的系统的功能模块示意图;
图4本发明优选实施例中图3中表项数量监测单元20的具体功能模块示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
图1是本发明实施例中提升防火墙处理性能的方法的基本流程示意图。本实施例中,该方法包括如下步骤:
步骤101:配置一用以判别网络环境是否存在网络攻击的表项数量阈值。
本发明某些实施例中,该表项数量阈值可为一个或者多个离散的具体数值,也可以是一个数值区间,关于该表项数量阈值的具体配置方法将在下文详述。
本发明具体一实施例中,以SPI(StatefulPacketInspection,状态包检测)状态防火墙为例,SPI防火墙的处理规则是通过跟踪整个报文的交互过程,建立会话连接表(Session)来描述其上下文环境。一个会话连接表项包含源IP地址、目的IP地址、源端口、目的端口及协议类型五元组信息。系统根据所接收到的报文来查询所述连接表中是否有与当前报文相对应的连接表项,并根据查询结果确定当前报文的丢弃或者转发动作。
步骤102:获取防火墙所存在的连接表项数量的变化幅度。其中,本发明实施例中,所述防火墙所抗网络攻击包括分布式拒绝服务(DistributedDenialofService,DDoS)或拒绝服务(DenialofService,DoS)。当然,本发明的防火墙所能防范的网络攻击的类型不限于此。本领域技术人员熟知的是,网络环境在正常状态及受攻击的状态时,其防火墙所存在的连接表项数量会表现出较为明显的不同,即在网络环境遭受到攻击时,连接表项数量会较正常状态明显增加。其中,连接表项数量可通过计算机系统进行实时监测。
步骤103:根据所述连接表项数量的变化幅度与所述表项数量阈值的比较结果,判定当前网络环境中是否存在网络攻击威胁。其中,在本发明具体实施例中,若连接表项数量的变化幅度大于表项数量阈值,可结合连接表项数量的变化趋势,确定当前网络环境中是否存在网络攻击威胁。
步骤104:若判定当前网络环境中存在网络攻击威胁,则开启防火墙的抗网络攻击功能,从而对进入防火墙的数据流量进行攻击检测。
步骤105:若判定当前网络环境中不存在网络攻击威胁,则关闭所述抗网络攻击功能,从而停止对进入防火墙的数据流量进行攻击检测。
可见,通过本实施例的方法在存在网络攻击威胁的情况下才开启防火墙的抗网络攻击功能,无须任何情况下都开启所述抗网络攻击功能对进入防火墙的数据包逐一进行攻击检测。大大提升了防火墙的性能,有效提升防火墙转发数据包的速率。
图2是本发明优选实施例中图1所述方法中步骤102的具体流程示意图。请参照图2所示,在本实施例中,步骤102中所述“获取防火墙所存在的连接表项数量的变化幅度”的步骤具体包括:
步骤1021、防火墙每隔t1时间对连接表项数量进行一次统计;
步骤1022、防火墙每隔t2时间计算该时间间隔内所统计到连接表项数量的平均值Ma,其中Ma=(S1+S2+…+Sn)/n;t2=n*t1;
步骤1023、将本次统计到的连接表项数量的平均值Ma与上一个t2时间所统计到的连接表项数量的平均值Mb进行比较,获取两个平均值之间的差值。其中,在本发明示范性的实施例中,所述t1=10min,所述t2=60min,所述表项数量阈值设定为50,当然表项数量阈值可以根据实际情况进行修改。此外值得注意的是,本发明获取防火墙所存在的连接表项数量的变化幅度的具体方法不限于上述实施例。
优选地,可结合连接表项数量的变化趋势,确定当前网络环境中是否存在网络攻击威胁。具体地,在本实施例中,本次统计到的连接表项数量的平均值Ma大于上一个t2时间所统计到的连接表项数量的平均值Mb,并且两个平均值之间的差值大于所述表项数量阈值,则判定当前网络环境存在DDoS攻击威胁;若本次统计到的连接表项数量的平均值Ma小于上一个t2时间所统计到的连接表项数量的平均值Mb,并且两个平均值之间的差值大于所述表项数量阈值,则判定当前网络环境不存在DDoS攻击威胁。
优选地,配置表项数量阈值的步骤具体通过如下方式来实现:
记录所述防火墙的连接表项数量,其中,因防火墙的连接表项数量在正常状态及遭受攻击威胁时会表现出波动,网络系统可将计算机在运行过程中防火墙的连接表项数量的变动记录下来,并存储于相应的存储介质中。所述存储介质包括计算机硬盘内、或者普通服务器中、或者云端服务器中。网络系统将所记录的防火墙的连接表项数量进行统计,从而形成所述防火墙在特定的统计周期内的连接表项数量的统计数据;本发明具体实施例中,统计周期可包括日、或周、或月、或者季度等任何时间段。统计数据中包括防火墙的连接表项数量在特定统计周期内的一个或者多个最大值及平均值。根据所述连接表项数量的统计数据来确定所述表项数量阈值。其中,本发明某些实施例中,用户可以特定的“show”命令来查看防火墙连接表存在数量的统计数据,并根据该统计数据相应配置表项数量阈值的大小。
具体地,可通过如下方式来确定表项数量阈值:
首先,获取连接表项数量在特定的统计周期内的平均值及最大值;之后,任意提取所述平均值与所述最大值之间的一中间值,并将该中间值确定为所述表项数量阈值。例如,用户通过查看防火墙在单天内连接表项数量的统计数据,并获取到该天内连接表项数量的最大值为a,平均值为b,则用户可任意选取区间(a,b)内的一个中间值来作为表项数量阈值。当然,用户也可选取单周内、单月内、单个季度内的统计数据,并以其作为参考来确定表项数量阈值的大小。值得一提的是,本发明的表项数量阈值的配置方法不限于上述实施例,在本发明其他可行的实施例中,用户可以根据实际需求对阈值配置规则进行相应的调整。
优选地,该方法还包括如下步骤:在所述连接表项数量的变化幅度大于所述表项数量阈值时,开启所述防火墙的抗网络攻击功能;接收报文并根据所述报文进行查询连接表,查询所述连接表中是否有与当前报文相对应的连接表项;所述连接表包括五元组信息,所述五元组信息包括源IP地址、目的IP地址、源端口、目的端口及协议类型;根据查询结果,执行相应的报文转发动作或报文丢弃动作,若查询到与当前报文相匹配的连接表项,则将该报文进行转发;若未查询到与当前报文相匹配的连接表项,则将该报文进行丢弃。
可见,通过本实施例的方法在存在网络攻击威胁的情况下才开启防火墙的抗网络攻击功能,无须任何情况下都开启所述抗网络攻击功能对进入防火墙的数据包逐一进行攻击检测。大大提升了防火墙的性能,有效提升防火墙转发数据包的速率。此外值得注意的是,本发明获取防火墙所存在的连接表项数量的变化幅度的具体方法不限于本实施例。
图3是本发明实施例中提升防火墙处理性能的系统的功能模块示意图。参图3所示,该提升防火墙处理性能的系统100,包括如下基本单元:阈值配置单元10、表项数量监测单元20及防火墙开关单元30。
阈值配置单元10,用于配置一用以判别网络环境是否存在网络攻击的表项数量阈值;本发明某些实施例中,该表项数量阈值可为一个或者多个离散的具体数值,也可以是一个数值区间,关于该表项数量阈值的具体配置通过如下方式来实现:记录所述防火墙的连接表项数量,以形成所述防火墙在特定的统计周期内的连接表项数量的统计数据;其中,因防火墙的连接表项数量在正常状态及遭受攻击威胁时会表现出波动,网络系统可将计算机在运行过程中防火墙的连接表项数量的变动记录下来,并存储于相应的存储介质中。所述存储介质包括计算机硬盘内、或者普通服务器中、或者云端服务器中。本发明具体实施例中,统计周期可包括日、或周、或月、或者季度等任何时间段。统计数据中包括防火墙的连接表项数量在特定统计周期内的一个或者多个最大值及平均值。
表项数量监测单元20,用于实时监测当前防火墙所存在的连接表项数量的变化幅度;本发明实施例中,所述防火墙所抗网络攻击包括分布式拒绝服务(DistributedDenialofService,DDoS)或拒绝服务(DenialofService,DoS)。当然,本发明的防火墙所能防范的网络攻击的类型不限于此。
防火墙开关单元30,用于根据所述连接表项数量的变化幅度与所述表项数量阈值的比较结果,判定当前网络环境中是否存在网络攻击威胁;其中,若当前网络环境中存在网络攻击威胁,则开启所述防火墙的抗网络攻击功能以对进入防火墙的流量进行攻击检测;若当前网络环境中不存在网络攻击威胁,则关闭所述防火墙的抗网络攻击功能。
可见,通过本实施例的系统在存在网络攻击威胁的情况下才开启防火墙的抗网络攻击功能,无须任何情况下都开启所述抗网络攻击功能对进入防火墙的数据包逐一进行攻击检测。大大提升了防火墙的性能,有效提升防火墙转发数据包的速率。
图4本发明优选实施例中图3中表项数量监测单元20的具体功能模块示意图。优选地,所述表项数量监测单元20具体实现如下功能:
统计单元201、用于每隔t1时间对连接表项数量进行一次统计;
计算单元202、用于每隔t2时间计算该时间间隔内所统计到连接表项数量的平均值Ma,其中Ma=(S1+S2+…+Sn)/n;t2=n*t1;
比较单元203、用于将本次统计到的连接表项数量的平均值Ma与上一个t2时间所统计到的连接表项数量的平均值Mb进行比较,获取两个平均值之间的差值。其中,优选地,所述t1=10min,所述t2=60min,所述表项数量阈值设定为50,当然表项数量阈值可以根据实际情况进行修改。
优选地,若本次统计到的连接表项数量的平均值Ma大于上一个t2时间所统计到的连接表项数量的平均值Mb,并且两个平均值之间的差值大于所述表项数量阈值,则判定当前网络环境存在DDoS攻击威胁;若本次统计到的连接表项数量的平均值Ma小于上一个t2时间所统计到的连接表项数量的平均值Mb,并且两个平均值之间的差值大于所述表项数量阈值,则判定当前网络环境不存在DDoS攻击威胁。
优选地,可根据所述连接表项数量的统计数据来确定所述表项数量阈值。本发明优选的实施例中,所述阈值配置单元10用于:获取所述连接表项数量在特定的统计周期内的平均值及最大值;任意提取所述平均值与所述最大值之间的一中间值,并将该中间值确定为所述表项数量阈值。值得一提的是,本发明的表项数量阈值的配置方法不限于于此,用户可以根据实际需求对阈值配置规则进行相应的调整。
优选地,所述系统还包括报文接收单元40、表项匹配单元50及报文处理单元60,其中,报文接收单元40,用于接收报文,并在当前防火墙所存在的连接表项数量的变化幅度大于所述表项数量阈值时,开启所述防火墙的抗网络攻击功能;表项匹配单元50,用于根据所述报文进行查询连接表,查询所述连接表中是否有与当前报文相对应的连接表项;所述连接表包括五元组信息,所述五元组信息包括源IP地址、目的IP地址、源端口、目的端口及协议类型;报文处理单元60,用于根据查询结果,执行相应的报文转发动作或报文丢弃动作,若查询到与当前报文相匹配的连接表项,则将该报文进行转发;若未查询到与当前报文相匹配的连接表项,则将该报文进行丢弃。
综上所述,本发明所提供的提升防火墙处理性能的系统,其通过预先配置一表项数量阈值,并实时监测当前防火墙中所存在的连接表项数量的变化幅度,并将该连接表项数量的变化幅度与预先配置的表项数量阈值进行比较,从而判别当前网络环境中是否存在攻击威胁,进而确定是否需要开启或者关闭防火墙中的抗网络攻击功能。本系统通过实时监测的连接表项数量来相应控制防火墙中抗网络攻击功能的开启或关闭,如此在不存在网络攻击时,则无需对网络环境中的数据包进行安全监测,从而避免防火墙中抗网络攻击功能的一直开启给防火墙性能造成的损害,大大提升防火墙的性能,有效提升防火墙转发数据包的速率。
以上所描述的系统及其功能模块实施方式仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施方式方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (10)
1.一种提升防火墙处理性能的方法,其特征在于,所述方法包括如下步骤:
配置一用以判别网络环境是否存在网络攻击的表项数量阈值;
获取防火墙所存在的连接表项数量的变化幅度;
根据所述连接表项数量的变化幅度与所述表项数量阈值的比较结果,判定当前网络环境中是否存在网络攻击威胁;其中,若当前网络环境中存在网络攻击威胁,则开启所述防火墙的抗网络攻击功能以对进入防火墙的流量进行攻击检测;若当前网络环境中不存在网络攻击威胁,则关闭所述防火墙的抗网络攻击功能。
2.根据权利要求1所述的提升防火墙处理性能的方法,其特征在于,所述“获取防火墙所存在的连接表项数量的变化幅度”的步骤具体包括:
防火墙每隔t1时间对连接表项数量进行一次统计;
防火墙每隔t2时间计算该时间间隔内所统计到连接表项数量的平均值Ma,其中Ma=(S1+S2+…+Sn)/n;t2=n*t1;
将本次统计到的连接表项数量的平均值Ma与上一个t2时间所统计到的连接表项数量的平均值Mb进行比较,获取两个平均值之间的差值。
3.根据权利要求2所述的提升防火墙处理性能的方法,其特征在于,所述“根据所述连接表项数量的变化幅度与所述表项数量阈值的比较结果,确定当前网络环境中是否存在网络攻击威胁”的步骤具体包括:
若本次统计到的连接表项数量的平均值Ma大于上一个t2时间所统计到的连接表项数量的平均值Mb,并且两个平均值之间的差值大于所述表项数量阈值,则判定当前网络环境存在DDoS攻击威胁;
若本次统计到的连接表项数量的平均值Ma小于上一个t2时间所统计到的连接表项数量的平均值Mb,并且两个平均值之间的差值大于所述表项数量阈值,则判定当前网络环境不存在DDoS攻击威胁。
4.根据权利要求3所述的提升防火墙处理性能的方法,其特征在于,所述t1=10min,所述t2=60min,所述表项数量阈值设定为50。
5.根据权利要求3所述的提升防火墙处理性能的方法,其特征在于,所述方法还具体包括如下步骤:
接收报文;
在开启所述防火墙的抗网络攻击功能后,根据所述报文查询连接表中是否有与当前报文相对应的连接表项;所述连接表包括五元组信息,所述五元组信息包括源IP地址、目的IP地址、源端口、目的端口及协议类型;
根据查询结果,执行相应的报文转发动作或报文丢弃动作。
6.一种提升防火墙处理性能的系统,其特征在于,所述系统包括如下单元:
阈值配置单元,用于配置一用以判别网络环境是否存在网络攻击的表项数量阈值;
表项数量监测单元,用于获取防火墙所存在的连接表项数量的变化幅度;
防火墙开关单元,用于根据所述连接表项数量的变化幅度与所述表项数量阈值的比较结果,判定当前网络环境中是否存在网络攻击威胁;其中,若当前网络环境中存在网络攻击威胁,则开启所述防火墙的抗网络攻击功能以对进入防火墙的流量进行攻击检测;若当前网络环境中不存在网络攻击威胁,则关闭所述防火墙的抗网络攻击功能。
7.根据权利要求6所述的提升防火墙处理性能的系统,其特征在于,所述表项数量监测单元具体用于:
每隔t1时间对连接表项数量进行一次统计;
每隔t2时间计算该时间间隔内所统计到连接表项数量的平均值Ma,其中Ma=(S1+S2+…+Sn)/n;t2=n*t1;
将本次统计到的连接表项数量的平均值Ma与上一个t2时间所统计到的连接表项数量的平均值Mb进行比较,获取两个平均值之间的差值。
8.根据权利要求7所述的提升防火墙处理性能的系统,其特征在于,所述防火墙开关单元具体用于:
若本次统计到的连接表项数量的平均值Ma大于上一个t2时间所统计到的连接表项数量的平均值Mb,并且两个平均值之间的差值大于所述表项数量阈值,则判定当前网络环境存在DDoS攻击威胁;
若本次统计到的连接表项数量的平均值Ma小于上一个t2时间所统计到的连接表项数量的平均值Mb,并且两个平均值之间的差值大于所述表项数量阈值,则判定当前网络环境不存在DDoS攻击威胁。
9.根据权利要求7所述的提升防火墙处理性能的系统,其特征在于,所述t1=10min,所述t2=60min,所述表项数量阈值设定为50。
10.根据权利要求6所述的提升防火墙处理性能的系统,所述系统还包括:
报文接收单元,用于接收报文;
表项匹配单元,用于在防火墙开关单元开启所述防火墙的抗网络攻击功能后,根据所述报文查询连接表中是否有与当前报文相对应的连接表项;所述连接表包括五元组信息,所述五元组信息包括源IP地址、目的IP地址、源端口、目的端口及协议类型;
报文处理单元,用于根据查询结果,执行相应的报文转发动作或报文丢弃动作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510481214.XA CN105471835A (zh) | 2015-08-03 | 2015-08-03 | 提升防火墙处理性能的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510481214.XA CN105471835A (zh) | 2015-08-03 | 2015-08-03 | 提升防火墙处理性能的方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105471835A true CN105471835A (zh) | 2016-04-06 |
Family
ID=55609107
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510481214.XA Pending CN105471835A (zh) | 2015-08-03 | 2015-08-03 | 提升防火墙处理性能的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105471835A (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107395579A (zh) * | 2017-07-07 | 2017-11-24 | 中国电子科技集团公司第三十四研究所 | 一种用于光子防火墙的连续光信号采样和还原方法 |
CN107547551A (zh) * | 2017-09-06 | 2018-01-05 | 新华三信息安全技术有限公司 | 报文过滤方法、装置、设备及存储介质 |
CN108270737A (zh) * | 2016-12-30 | 2018-07-10 | 中国移动通信集团公司 | 一种防范网络攻击的方法及装置 |
CN109842587A (zh) * | 2017-11-27 | 2019-06-04 | 北京京东尚科信息技术有限公司 | 监测系统安全的方法和装置 |
CN110098983A (zh) * | 2019-05-28 | 2019-08-06 | 上海优扬新媒信息技术有限公司 | 一种异常流量的检测方法及装置 |
CN110519248A (zh) * | 2019-08-19 | 2019-11-29 | 光通天下网络科技股份有限公司 | DDoS攻击判定及流量清洗的方法、装置和电子设备 |
US11516670B2 (en) | 2020-07-06 | 2022-11-29 | T-Mobile Usa, Inc. | Security system for vulnerability-risk-threat (VRT) detection |
US11622273B2 (en) * | 2020-07-06 | 2023-04-04 | T-Mobile Usa, Inc. | Security system for directing 5G network traffic |
US11743729B2 (en) | 2020-07-06 | 2023-08-29 | T-Mobile Usa, Inc. | Security system for managing 5G network traffic |
US11770713B2 (en) * | 2020-07-06 | 2023-09-26 | T-Mobile Usa, Inc. | Distributed security system for vulnerability-risk-threat (VRT) detection |
US11800361B2 (en) | 2020-07-06 | 2023-10-24 | T-Mobile Usa, Inc. | Security system with 5G network traffic incubation |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102891829A (zh) * | 2011-07-18 | 2013-01-23 | 航天信息股份有限公司 | 检测与防御分布式拒绝服务攻击的方法及系统 |
US8656493B2 (en) * | 2006-05-22 | 2014-02-18 | Neuraliq, Inc. | Decoy network technology with automatic signature generation for intrusion detection and intrusion prevention systems |
CN104079563A (zh) * | 2014-06-10 | 2014-10-01 | 汉柏科技有限公司 | 一种抗ddos攻击的控制方法和装置 |
CN104125213A (zh) * | 2014-06-18 | 2014-10-29 | 汉柏科技有限公司 | 一种防火墙抗分布式拒绝服务ddos攻击的方法和装置 |
CN104202329A (zh) * | 2014-09-12 | 2014-12-10 | 北京神州绿盟信息安全科技股份有限公司 | DDoS攻击检测方法和装置 |
-
2015
- 2015-08-03 CN CN201510481214.XA patent/CN105471835A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8656493B2 (en) * | 2006-05-22 | 2014-02-18 | Neuraliq, Inc. | Decoy network technology with automatic signature generation for intrusion detection and intrusion prevention systems |
CN102891829A (zh) * | 2011-07-18 | 2013-01-23 | 航天信息股份有限公司 | 检测与防御分布式拒绝服务攻击的方法及系统 |
CN104079563A (zh) * | 2014-06-10 | 2014-10-01 | 汉柏科技有限公司 | 一种抗ddos攻击的控制方法和装置 |
CN104125213A (zh) * | 2014-06-18 | 2014-10-29 | 汉柏科技有限公司 | 一种防火墙抗分布式拒绝服务ddos攻击的方法和装置 |
CN104202329A (zh) * | 2014-09-12 | 2014-12-10 | 北京神州绿盟信息安全科技股份有限公司 | DDoS攻击检测方法和装置 |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108270737A (zh) * | 2016-12-30 | 2018-07-10 | 中国移动通信集团公司 | 一种防范网络攻击的方法及装置 |
CN107395579B (zh) * | 2017-07-07 | 2020-05-12 | 中国电子科技集团公司第三十四研究所 | 一种用于光子防火墙的连续光信号采样和还原方法 |
CN107395579A (zh) * | 2017-07-07 | 2017-11-24 | 中国电子科技集团公司第三十四研究所 | 一种用于光子防火墙的连续光信号采样和还原方法 |
CN107547551A (zh) * | 2017-09-06 | 2018-01-05 | 新华三信息安全技术有限公司 | 报文过滤方法、装置、设备及存储介质 |
CN107547551B (zh) * | 2017-09-06 | 2020-09-25 | 新华三信息安全技术有限公司 | 报文过滤方法、装置、设备及存储介质 |
CN109842587A (zh) * | 2017-11-27 | 2019-06-04 | 北京京东尚科信息技术有限公司 | 监测系统安全的方法和装置 |
CN109842587B (zh) * | 2017-11-27 | 2021-11-12 | 北京京东尚科信息技术有限公司 | 监测系统安全的方法和装置 |
CN110098983B (zh) * | 2019-05-28 | 2021-06-04 | 上海优扬新媒信息技术有限公司 | 一种异常流量的检测方法及装置 |
CN110098983A (zh) * | 2019-05-28 | 2019-08-06 | 上海优扬新媒信息技术有限公司 | 一种异常流量的检测方法及装置 |
CN110519248B (zh) * | 2019-08-19 | 2020-11-24 | 光通天下网络科技股份有限公司 | DDoS攻击判定及流量清洗的方法、装置和电子设备 |
CN110519248A (zh) * | 2019-08-19 | 2019-11-29 | 光通天下网络科技股份有限公司 | DDoS攻击判定及流量清洗的方法、装置和电子设备 |
US11516670B2 (en) | 2020-07-06 | 2022-11-29 | T-Mobile Usa, Inc. | Security system for vulnerability-risk-threat (VRT) detection |
US11622273B2 (en) * | 2020-07-06 | 2023-04-04 | T-Mobile Usa, Inc. | Security system for directing 5G network traffic |
US11743729B2 (en) | 2020-07-06 | 2023-08-29 | T-Mobile Usa, Inc. | Security system for managing 5G network traffic |
US11770713B2 (en) * | 2020-07-06 | 2023-09-26 | T-Mobile Usa, Inc. | Distributed security system for vulnerability-risk-threat (VRT) detection |
US11800361B2 (en) | 2020-07-06 | 2023-10-24 | T-Mobile Usa, Inc. | Security system with 5G network traffic incubation |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105471835A (zh) | 提升防火墙处理性能的方法及系统 | |
US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
CN109951500B (zh) | 网络攻击检测方法及装置 | |
CN103297433B (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
EP3068095B1 (en) | Monitoring apparatus and method | |
US10666680B2 (en) | Service overload attack protection based on selective packet transmission | |
CN100384153C (zh) | 一种基于IPv6的网络性能分析报告系统及实现方法 | |
KR101391781B1 (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
CN101018121B (zh) | 日志的聚合处理方法及聚合处理装置 | |
US20140165207A1 (en) | Method for detecting anomaly action within a computer network | |
US9900327B2 (en) | Method for detecting an attack in a computer network | |
RU2480937C2 (ru) | Система и способ уменьшения ложных срабатываний при определении сетевой атаки | |
CN103023924A (zh) | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 | |
US20200195672A1 (en) | Analyzing user behavior patterns to detect compromised nodes in an enterprise network | |
KR20130014226A (ko) | 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법 | |
CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
US10951637B2 (en) | Distributed detection of malicious cloud actors | |
CN110769007B (zh) | 一种基于异常流量检测的网络安全态势感知方法及装置 | |
CN101572609A (zh) | 检测拒绝服务攻击的方法及其装置 | |
CN108183884B (zh) | 一种网络攻击判定方法及装置 | |
CN108737344A (zh) | 一种网络攻击防护方法和装置 | |
CN108712365B (zh) | 一种基于流量日志的DDoS攻击事件检测方法及系统 | |
Leu et al. | Detecting DoS and DDoS attacks using chi-square | |
Santosa et al. | Analysis of educational institution DNS network traffic for insider threats |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination |