CN106060053A - 基于防火墙的异常连接自动识别清理方法及系统 - Google Patents

基于防火墙的异常连接自动识别清理方法及系统 Download PDF

Info

Publication number
CN106060053A
CN106060053A CN201610407787.2A CN201610407787A CN106060053A CN 106060053 A CN106060053 A CN 106060053A CN 201610407787 A CN201610407787 A CN 201610407787A CN 106060053 A CN106060053 A CN 106060053A
Authority
CN
China
Prior art keywords
connection
target source
source
module
connection number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610407787.2A
Other languages
English (en)
Inventor
吴善鹏
雷兵
田国华
朱志博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Ctrip Business Co Ltd
Original Assignee
Shanghai Ctrip Business Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Ctrip Business Co Ltd filed Critical Shanghai Ctrip Business Co Ltd
Priority to CN201610407787.2A priority Critical patent/CN106060053A/zh
Publication of CN106060053A publication Critical patent/CN106060053A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Alarm Systems (AREA)

Abstract

本发明公开了一种基于防火墙的异常连接的自动识别清理方法及系统,方法包括:S1、获取时间段内防火墙上的基于源IP的连接数,将每个源IP的IP地址以及连接数存储至连接数信息库中;S2、判断目标源IP的连接数是否大于报警阈值,若是,执行步骤S3;S3、将目标源IP存储至可疑IP信息库中,并在可疑IP信息库中记录目标源IP的连续存储次数;S4、判断目标源IP的连续存储次数是否大于设定阈值,若是,则执行步骤S5,若否,则返回步骤S1;S5、在防火墙上添加IP封锁策略,根据IP封锁策略封锁目标源IP。本发明利用防火墙的封锁策略封锁恶意IP,使得网站的可用连接数处于正常状态,保证了网站的稳定性。

Description

基于防火墙的异常连接自动识别清理方法及系统
技术领域
本发明涉及一种基于防火墙的异常连接的自动识别清理方法及系统。
背景技术
随着互联网技术的不断发展,在线网站的规模越来越大,业务种类越来越丰富,为了使网站更加的稳定,需要对许多参数进行有效的监控,其中连接数就是一个很重要的参数。如果某个恶意IP(网络之间互连的协议)发起了大量连接请求,网站的连接数大量增加,这样会造成正常IP访问滞后或者失败。通常情况下,网站运维工作者可以通过流量统计工具发现恶意IP,然后在防火墙上通过手动操作封锁恶意IP的访问。在这个过程中存在大量的人工操作,存在人为操作失误的风险,并且无法达到及时封锁,时效性无法满足网站稳定性的要求。
发明内容
本发明要解决的技术问题是为了克服现有技术中在防火墙上需要手动操作封锁恶意IP的访问,导致需要大量的人工操作、无法实现及时封锁、时效性无法满足要求的缺陷,提供一种基于防火墙的异常连接自动识别清理方法及系统。
本发明是通过下述技术方案来解决上述技术问题的:
本发明提供了一种基于防火墙的异常连接自动识别清理方法,其特点在于,包括以下步骤:
S1、获取一时间段内防火墙上的基于源IP的连接数,将每个源IP的IP地址以及连接数存储至连接数信息库中;
S2、判断目标源IP的连接数是否大于一报警阈值,并在判断为是时,执行步骤S3
S3、将所述目标源IP存储至一可疑IP信息库中,并在所述可疑IP信息库中记录所述目标源IP的连续存储次数;
S4、判断所述目标源IP的连续存储次数是否大于一设定阈值,若是,则执行步骤S5,若否,则返回步骤S1
S5、在防火墙上添加IP封锁策略,根据所述IP封锁策略封锁所述目标源IP。
较佳地,步骤S1和S2之间还包括:
S11、检测目标源IP的连接数是否为异常值,若是,则执行步骤S2,若否,则返回步骤S1
步骤S2中则判断所述目标源IP的异常值是否大于所述报警阈值。
较佳地,步骤S2中还在判断为否时将所述可疑IP信息库中记录的所述目标源IP的连续存储次数清零,并返回步骤S1
较佳地,步骤S1中还将每个源IP发出连接请求时的时间信息存储至所述连接数信息库中。
较佳地,步骤S5中还为所述IP封锁策略设置一策略时效。
本发明的目的在于还提供了一种基于防火墙的异常连接自动识别清理系统,其特点在于,包括:
连接数获取模块,用于获取一时间段内防火墙上的基于源IP的连接数,将每个源IP的IP地址以及连接数存储至连接数信息库中;
第一判断模块,用于判断目标源IP的连接数是否大于一报警阈值,并在判断为是时,调用一存储模块;
所述存储模块用于将所述目标源IP存储至一可疑IP信息库中,并在所述可疑IP信息库中记录所述目标源IP的连续存储次数;
第二判断模块,用于判断所述目标源IP的连续存储次数是否大于一设定阈值,若是,则调用一封锁模块,若否,则调用所述连接数获取模块;
所述封锁模块用于在防火墙上添加IP封锁策略,根据所述IP封锁策略封锁所述目标源IP。
较佳地,所述异常连接自动识别清理系统还包括检测模块,所述连接数获取模块用于调用所述检测模块,所述检测模块用于检测目标源IP的连接数是否为异常值,若是,则调用所述第一判断模块,若否,则调用所述连接数获取模块;
所述第一判断模块用于判断所述目标源IP的异常值是否大于所述报警阈值。
较佳地,所述第一判断模块还用于在判断为否时将所述可疑IP信息库中记录的所述目标源IP的连续存储次数清零,并调用所述连接数获取模块。
较佳地,所述连接数获取模块还用于将每个源IP发出连接请求时的时间信息存储至所述连接数信息库中。
较佳地,所述封锁模块还用于为所述IP封锁策略设置一策略时效。
本发明的积极进步效果在于:本发明通过收集防火墙上的IP连接数信息,并进行实时异常值分析,快速定位引起网站连接数异常的源IP,进而利用防火墙的封锁策略封锁恶意IP,使得网站的可用连接数处于正常状态,保证了网站的稳定性。同时,采用严格的检测标准,降低误封锁IP的概率,标准化的封锁策略,提高了效率,有效地避免了人为操作的产生。
附图说明
图1为本发明的较佳实施例的基于防火墙的异常连接自动识别清理方法的流程图。
图2为本发明的较佳实施例的基于防火墙的异常连接自动识别清理系统的模块示意图。
具体实施方式
下面通过实施例的方式进一步说明本发明,但并不因此将本发明限制在所述的实施例范围之中。
如图1所示,本发明的基于防火墙的异常连接自动识别清理方法包括以下步骤:
步骤101、获取一时间段内防火墙上的基于源IP的连接数,将每个源IP的IP地址以及连接数存储至连接数信息库中;
优选地,步骤101中还将每个源IP发出连接请求时的时间信息存储至所述连接数信息库中;具体可以通过防火墙API(应用程序编程接口)对防火墙上的基于源IP的连接数信息进行收集,并将收集到的连接数信息,以IP为单位建立每个IP的连接数时间序列存储至所述连接数信息库中;
步骤102、检测目标源IP的连接数是否为异常值,若是,则执行步骤103,若否,则返回步骤101;
其中,目标源IP可以为所述连接数信息库中存储的任意一个或多个IP,步骤102中具体可采用现有的时间序列异常值检测算法进行检测,从而可以最大程度地降低误报的情况出现;
步骤103、判断目标源IP的异常值是否大于一报警阈值,并在判断为是时,执行步骤104,在判断为否时将可疑IP信息库中记录的所述目标源IP的连续存储次数清零,并返回步骤101;
步骤103中通过对目标源IP的异常值与预先设定的报警阈值进行比较,对连接数(即异常值)大于报警阈值的源IP进行监控;
步骤104、将所述目标源IP存储至一可疑IP信息库中,并在所述可疑IP信息库中记录所述目标源IP的连续存储次数;
其中,所述目标源IP的连续存储次数可以进行叠加;
步骤105、判断所述目标源IP的连续存储次数是否大于一设定阈值,若是,则执行步骤106,若否,则返回步骤101;
步骤106、在防火墙上添加IP封锁策略,根据所述IP封锁策略封锁所述目标源IP。
在步骤106中,对于需要清理的源IP(即恶意IP),利用预先制定的封锁策略模板,生成防火墙的IP封锁策略,并且调用防火墙API下发生成的IP封锁策略,实现对恶意IP的封锁,实现异常连接的清理。优选地,步骤106中还为所述IP封锁策略设置一策略时效(例如半个小时等),若策略时效已过,则防火墙会自动释放所述IP封锁策略。
如图2所示,本发明的基于防火墙的异常连接自动识别清理系统包括连接数获取模块1、第一判断模块2、存储模块3、第二判断模块4、封锁模块5以及检测模块6。
其中,所述连接数获取模块1用于获取一时间段内防火墙上的基于源IP的连接数,将每个源IP的IP地址以及连接数存储至连接数信息库中,并调用所述检测模块6;
优选地,所述连接数获取模块1还将每个源IP发出连接请求时的时间信息存储至所述连接数信息库中;
所述检测模块6会检测目标源IP的连接数是否为异常值,若是,则调用所述第一判断模块2,若否,则调用所述连接数获取模块1;
所述第一判断模块2则判断所述目标源IP的异常值是否大于一报警阈值,若是,则调用所述存储模块3,所述存储模块3用于将所述目标源IP存储至可疑IP信息库中,并在所述可疑IP信息库中记录所述目标源IP的连续存储次数;
所述第一判断模块2在判断为否时,则将可疑IP信息库中记录的所述目标源IP的连续存储次数清零,并调用所述连接数获取模块1;
所述第二判断模块4则判断所述目标源IP的连续存储次数是否大于一设定阈值,若是,则调用所述封锁模块5,若否,则调用所述连接数获取模块1;
所述封锁模块5会在防火墙上添加IP封锁策略,根据所述IP封锁策略封锁所述目标源IP。
其中,优选地,所述封锁模块5还为所述IP封锁策略设置策略时效,一旦策略时效已过,则防火墙会自动释放所述IP封锁策略。
虽然以上描述了本发明的具体实施方式,但是本领域的技术人员应当理解,这些仅是举例说明,本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下,可以对这些实施方式做出多种变更或修改,但这些变更和修改均落入本发明的保护范围。

Claims (10)

1.一种基于防火墙的异常连接自动识别清理方法,其特征在于,包括以下步骤:
S1、获取一时间段内防火墙上的基于源IP的连接数,将每个源IP的IP地址以及连接数存储至连接数信息库中;
S2、判断目标源IP的连接数是否大于一报警阈值,并在判断为是时,执行步骤S3
S3、将所述目标源IP存储至一可疑IP信息库中,并在所述可疑IP信息库中记录所述目标源IP的连续存储次数;
S4、判断所述目标源IP的连续存储次数是否大于一设定阈值,若是,则执行步骤S5,若否,则返回步骤S1
S5、在防火墙上添加IP封锁策略,根据所述IP封锁策略封锁所述目标源IP。
2.如权利要求1所述的异常连接自动识别清理方法,其特征在于,步骤S1和S2之间还包括:
S11、检测目标源IP的连接数是否为异常值,若是,则执行步骤S2,若否,则返回步骤S1
步骤S2中则判断所述目标源IP的异常值是否大于所述报警阈值。
3.如权利要求1所述的异常连接自动识别清理方法,其特征在于,步骤S2中还在判断为否时将所述可疑IP信息库中记录的所述目标源IP的连续存储次数清零,并返回步骤S1
4.如权利要求1所述的异常连接自动识别清理方法,其特征在于,步骤S1中还将每个源IP发出连接请求时的时间信息存储至所述连接数信息库中。
5.如权利要求1-4中任意一项所述的异常连接自动识别清理方法,其特征在于,步骤S5中还为所述IP封锁策略设置一策略时效。
6.一种基于防火墙的异常连接自动识别清理系统,其特征在于,包括:
连接数获取模块,用于获取一时间段内防火墙上的基于源IP的连接数,将每个源IP的IP地址以及连接数存储至连接数信息库中;
第一判断模块,用于判断目标源IP的连接数是否大于一报警阈值,并在判断为是时,调用一存储模块;
所述存储模块用于将所述目标源IP存储至一可疑IP信息库中,并在所述可疑IP信息库中记录所述目标源IP的连续存储次数;
第二判断模块,用于判断所述目标源IP的连续存储次数是否大于一设定阈值,若是,则调用一封锁模块,若否,则调用所述连接数获取模块;
所述封锁模块用于在防火墙上添加IP封锁策略,根据所述IP封锁策略封锁所述目标源IP。
7.如权利要求6所述的异常连接自动识别清理系统,其特征在于,所述异常连接自动识别清理系统还包括检测模块,所述连接数获取模块用于调用所述检测模块,所述检测模块用于检测目标源IP的连接数是否为异常值,若是,则调用所述第一判断模块,若否,则调用所述连接数获取模块;
所述第一判断模块用于判断所述目标源IP的异常值是否大于所述报警阈值。
8.如权利要求6所述的异常连接自动识别清理系统,其特征在于,所述第一判断模块还用于在判断为否时将所述可疑IP信息库中记录的所述目标源IP的连续存储次数清零,并调用所述连接数获取模块。
9.如权利要求6所述的异常连接自动识别清理系统,其特征在于,所述连接数获取模块还用于将每个源IP发出连接请求时的时间信息存储至所述连接数信息库中。
10.如权利要求6-9中任意一项所述的异常连接自动识别清理系统,其特征在于,所述封锁模块还用于为所述IP封锁策略设置一策略时效。
CN201610407787.2A 2016-06-12 2016-06-12 基于防火墙的异常连接自动识别清理方法及系统 Pending CN106060053A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610407787.2A CN106060053A (zh) 2016-06-12 2016-06-12 基于防火墙的异常连接自动识别清理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610407787.2A CN106060053A (zh) 2016-06-12 2016-06-12 基于防火墙的异常连接自动识别清理方法及系统

Publications (1)

Publication Number Publication Date
CN106060053A true CN106060053A (zh) 2016-10-26

Family

ID=57171140

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610407787.2A Pending CN106060053A (zh) 2016-06-12 2016-06-12 基于防火墙的异常连接自动识别清理方法及系统

Country Status (1)

Country Link
CN (1) CN106060053A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110035068A (zh) * 2019-03-14 2019-07-19 微梦创科网络科技(中国)有限公司 一种反抓站系统的禁封方法及装置
CN111245785A (zh) * 2019-12-30 2020-06-05 中国建设银行股份有限公司 防火墙封禁和解禁ip的方法、系统、设备和介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1722674A (zh) * 2004-07-15 2006-01-18 联想网御科技(北京)有限公司 一种防火墙及其访问限制方法
CN1783834A (zh) * 2004-11-29 2006-06-07 联想计算机系统技术服务有限公司 防火墙因特网协议地址并发连接数控制方法
CN102231888A (zh) * 2011-06-24 2011-11-02 中兴通讯股份有限公司 一种监控方法和装置
CN102437943A (zh) * 2011-12-31 2012-05-02 深圳市共进电子股份有限公司 一种使用3g数据卡上网的方法及设备
CN102761485A (zh) * 2012-07-06 2012-10-31 汉柏科技有限公司 网络设备处理连接的方法及系统
CN104113559A (zh) * 2014-08-13 2014-10-22 浪潮电子信息产业股份有限公司 一种防御tcp全链接攻击的方法
CN104702623A (zh) * 2015-03-27 2015-06-10 携程计算机技术(上海)有限公司 Ip封锁方法及系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1722674A (zh) * 2004-07-15 2006-01-18 联想网御科技(北京)有限公司 一种防火墙及其访问限制方法
CN1783834A (zh) * 2004-11-29 2006-06-07 联想计算机系统技术服务有限公司 防火墙因特网协议地址并发连接数控制方法
CN102231888A (zh) * 2011-06-24 2011-11-02 中兴通讯股份有限公司 一种监控方法和装置
CN102437943A (zh) * 2011-12-31 2012-05-02 深圳市共进电子股份有限公司 一种使用3g数据卡上网的方法及设备
CN102761485A (zh) * 2012-07-06 2012-10-31 汉柏科技有限公司 网络设备处理连接的方法及系统
CN104113559A (zh) * 2014-08-13 2014-10-22 浪潮电子信息产业股份有限公司 一种防御tcp全链接攻击的方法
CN104702623A (zh) * 2015-03-27 2015-06-10 携程计算机技术(上海)有限公司 Ip封锁方法及系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110035068A (zh) * 2019-03-14 2019-07-19 微梦创科网络科技(中国)有限公司 一种反抓站系统的禁封方法及装置
CN110035068B (zh) * 2019-03-14 2021-10-01 微梦创科网络科技(中国)有限公司 一种反抓站系统的禁封方法及装置
CN111245785A (zh) * 2019-12-30 2020-06-05 中国建设银行股份有限公司 防火墙封禁和解禁ip的方法、系统、设备和介质

Similar Documents

Publication Publication Date Title
US11087329B2 (en) Method and apparatus of identifying a transaction risk
CN105407103B (zh) 一种基于多粒度异常检测的网络威胁评估方法
US11032323B2 (en) Parametric analysis of integrated operational technology systems and information technology systems
TWI591508B (zh) Methods and devices for identifying website users
EP3748501B1 (en) Service metric analysis from structured logging schema of usage data
CN105243252B (zh) 一种账户风险评估的方法及装置
CN102929773B (zh) 信息采集方法和装置
CN114978568A (zh) 使用机器学习进行数据中心管理
WO2017133522A1 (zh) 告警信息的处理方法、装置和系统、计算机存储介质
CN102447707B (zh) 一种基于映射请求的DDoS检测与响应方法
CN108259202A (zh) 一种ca监测预警方法和ca监测预警系统
KR102061833B1 (ko) 사이버 침해 사고 조사 장치 및 방법
CN105447385B (zh) 一种多层次检测的应用型数据库蜜罐实现系统及方法
CN103607291A (zh) 用于电力二次系统内网安全监视平台的告警解析归并方法
CN111181800A (zh) 测试数据处理方法、装置、电子设备及存储介质
CN107666468A (zh) 网络安全检测方法和装置
CN106254125A (zh) 基于大数据的安全事件相关性分析的方法及系统
CN113947152A (zh) 一种基于行为认知的网络信任关系树生成方法
CN113923009A (zh) 一种网络安全事件溯源分析方法、装置、介质及电子设备
CN107332802A (zh) 一种防火墙策略监控方法及装置
CN106060053A (zh) 基于防火墙的异常连接自动识别清理方法及系统
CN109005156A (zh) 账号共用的确定方法及装置
Sen et al. Towards an approach to contextual detection of multi-stage cyber attacks in smart grids
CN109743339A (zh) 电力厂站的网络安全监测方法和装置、计算机设备
WO2024088025A1 (zh) 一种基于多维数据的5gc网元自动化纳管方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20161026