一种网络攻击的监控方法及系统的制作方法

一种网络攻击的监控方法及系统的制作方法
【专利摘要】本发明公开了一种网络攻击的监控方法及系统,所述方法包括：定时获取防火墙当前接入的用户的连接状态；比较当前获取的用户连接状态与上次获取的用户连接状态，将连接状态未变化的用户计数加1；将状态计数超过预设次数的用户连接判定为死亡连接；判断死亡连接用户的当前死亡连接数相对于上次死亡连接数的增长率是否超过预定值；当死亡连接用户的当前死亡连接数相对于上次死亡连接数的增长率超过预定值时，则删除该用户连接。根据本发明可以定时对防火墙当前接入的用户的连接状态进行统计，当发现有异常用户时记录该异常用户的连接状态，且在异常用户的连接状态抖动加剧时删除该异常用户，有效地提高了处理网络攻击的效率，还保证了用户的访问体验。
【专利说明】一种网络攻击的监控方法及系统
【技术领域】
[0001]本发明属于计算机网络【技术领域】，具体涉及一种网络攻击的监控方法及系统。
【背景技术】
[0002]防火墙设备经常用作局域网络的出口网管，其重要性相当于网络中的防盗门，用来控制用户的上网行为和访问限制，防火墙通常会对网络的基本访问情况进行归类并一一限制。但即使这样，也会出现仿真的网络攻击，此种攻击可以轻松的绕过防火墙所设置的访问控制，黑客通常的做法是模拟一个真实存在的用户IP地址，并借用此用户的IP地址进行访问连接，从协议层面分一个IP地址可以分为UDP类型和TCP类型两种，每种类型又可以进行6.5万个连接，相当于黑客只要取用I个有效的IP地址进行欺骗，就可以对局域网内发起13w的连接请求，如果再增加η个不同的访问目标地址，又可以进行η倍数的攻击，其危害相当于针对一个100台设备的局域网络配置有一个IOOw连接性能的防火墙。结果，一个黑客只需使用一个有效源IP地址和8个有效目标的IP地址就可以轻松攻击掉这台防护
m ο
[0003]对于此种情况，多数网络设备普遍采用被动的防护攻击方式，即通过防火墙对每个用户的状态进行跟踪，当防火墙的数据连接达到上限时，就删除最早先建立的连接用户。现有技术的这种方式虽然可以应急处理受到攻击后的网络，但同时也会误删掉有效的用户访问，导致有效用户受到影响。
[0004]因此，有必要提供一种网络攻击的监控方法及系统，既能应急处理遭受攻击的网络，又能避免误删有效的用户访问。

【发明内容】

[0005]本发明的目的是提供一种网络攻击的监控方法及系统，既能应急处理遭受攻击的网络，又能避免误删有效的用户访问，以克服现有技术存在应急处理遭受攻击的网络的同时会误删有效的用户访问的缺陷。
[0006]根据本发明的一个方面，提供一种网络攻击的监控方法，包括以下步骤:步骤SI，定时获取防火墙当前接入的用户的连接状态；步骤S2，比较当前获取的用户连接状态与上次获取的用户连接状态，将连接状态未变化的用户计数加I ;步骤S3，将状态计数超过预设次数的用户连接判定为死亡连接；步骤S4，判断死亡连接用户的当前死亡连接数相对于上次死亡连接数的增长率是否超过预定值；步骤S5，当死亡连接用户的当前死亡连接数相对于上次死亡连接数的增长率超过预定值时，则删除该用户连接。
[0007]其中，在上述发明中，将所述被判定为死亡连接的用户判定为死亡连接用户，将死亡连接用户的连接状态未变化的计数判定为死亡连接数。
[0008]其中，在上述发明中，所述步骤S4还包括:步骤S41，对用户连接状态报告进行统计，统计出所有认定为死亡连接的用户；步骤S42，将认定为死亡连接用户的当前死亡连接数与该死亡连接用户的上次死亡连接数进行比较，判断当前死亡连接数相对于上次死亡连接数的增长率是否超过预定值。
[0009]其中，在上述发明中，所述步骤S5还包括:步骤S51，将当前死亡连接数相对于上次死亡连接数的增长率超过预定值的死亡连接用户认定为攻击用户；步骤S52，防火墙监控设备将认定为攻击用户的用户形成攻击用户列表，将该列表发送给防火墙；步骤S53，防火墙收到列表后删除列表中的连接用户。
[0010]其中，在上述发明中，将所述删除的连接用户列入防火墙黑名单。
[0011]根据本发明的另一个方面，提供一种网络攻击的监控系统，包括:用户连接状态监视单元，用于定时获取防火墙当前接入的用户的连接状态；用户连接状态计数单元，连接到所述用户连接状态监视单元，用于将用户连接状态监视单元当前获取的用户连接状态与上次获取的用户连接状态相比较，将连接状态未变化的用户计数加I;死亡连接判定单元，连接到所述用户连接状态计数单元，用于在用户连接状态计数单元统计的用户状态计数超过预设次数时，将该用户连接判定为死亡连接；死亡连接数判断单元，连接到所述死亡连接判定单元，用于判断死亡连接判定单元判定的死亡连接用户的当前死亡连接数相对于上次死亡连接数的增长率是否超过预定值；用户连接删除单元，连接到死亡连接数判断单元，用于在死亡连接数判断单元判断出死亡连接用户的当前死亡连接数相对于上次死亡连接数的增长率超过预定值时，删除该用户连接。
[0012]其中，在上述发明中，所述死亡连接判定单元将被判定为死亡连接的用户判定为死亡连接用户，将死亡连接用户的连接状态未变化的计数判定为死亡连接数。
[0013]其中，在上述发明中，所述死亡连接数判断单元包括用户连接状态报告统计模块和比较模块，所述用户连接状态报告统计模块用于对用户连接状态报告进行统计，统计出所有认定为死亡连接的用户；所述比较模块用于将认定为死亡连接用户的当前死亡连接数与该死亡连接用户的上次死亡连接数进行比较，判断当前死亡连接数相对于上次死亡连接数的增长率是否超过预定值。
[0014]其中，在上述发明中，所述用户连接删除单元包括攻击用户认定模块、攻击用户列表发送模块和用户连接删除模块，所述攻击用户认定模块用于将当前死亡连接数相对于上次死亡连接数的增长率超过预定值的死亡连接用户认定为攻击用户；所述攻击用户列表发送模块用于将认定为攻击用户的用户形成攻击用户列表，将该列表发送给用户连接删除模块；所述用户连接删除模块用于在收到列表后调用防火墙删除列表中的连接用户。
[0015]其中，在上述发明中，所述用户连接删除模块调用防火墙删除列表中的连接用户的同时，将该用户列入防火墙黑名单。
[0016]根据本发明的一种网络攻击的监控方法及系统，定时对防火墙当前接入的用户的连接状态进行统计，并将本次统计报告与上次统计报告进行比对，当发现有异常用户时记录该异常用户的连接状态，且在异常用户的连接状态抖动加剧时删除该异常用户，实现了既能应急处理遭受攻击的网络又能避免误删有效的用户访问的目的，有效地提高了处理网络攻击的效率，还保证了用户的访问体验。
【专利附图】

【附图说明】
[0017]图1显示了现有技术的网络攻击监控的原理图；
[0018]图2显示了本发明的网络攻击监控的原理图；[0019]图3显示了本发明优选实施例的网络攻击的监控方法的流程图；
[0020]图4显示了图3中步骤S4的流程图；
[0021]图5显示了图3中步骤S5的流程图；
[0022]图6显示了本发明优选实施例的网络攻击的监控系统的结构示意图；
[0023]图7显示了本发明优选实施例的死亡连接数判断单元的结构示意图；
[0024]图8显示了本发明优选实施例的用户连接删除单元的结构示意图。
【具体实施方式】
[0025]为使本发明的目的、技术方案和优点更加清楚明了，下面结合【具体实施方式】并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。
[0026]图1显示了现有技术的网络攻击监控的原理图。
[0027]如图1所示，在现有技术中，当网络遭受黑客以有效源IP地址的方式发送大量连接请求的攻击时，多数网络监控设备普遍采用被动的防护攻击方式，即通过防火墙对每个用户的状态进行跟踪，当防火墙的数据连接达到上限时，就删除最早先建立的连接用户。例如，防火墙当前连接有正常用户1、正常用户2和攻击用户3，当连接数据达到上限时，防火墙最先会删除最早接入的正常用户I。此种方式可以应急处理受到攻击后的网络，但同时也会误删掉有效的用户访问(正常用户I)，导致有效用户受到影响。
[0028]图2显示了本发明的网络攻击监控的原理图。
[0029]如图2所示，在本发明中，网络监控设备定时对防火墙当前接入的用户状态进行统计，例如防火墙当前连接有正常用户1、正常用户2和攻击用户3，当发现攻击用户3的连接状态异常时，网络监控设备记录该攻击用户3的连接状态，判断攻击用户3的连接状态抖动是否加剧，如果抖动加剧则及时删除攻击用户3，而不会误删正常用户I或正常用户2，既能主动应急处理受到攻击后的网络，还保证了正常用户的访问体验。
[0030]图3显示了本发明优选实施例的网络攻击的监控方法的流程图；图4显示了图3中步骤S4的流程图；图5显示了图3中步骤S5的流程图。
[0031]如图3所示，本发明优选实施例的网络攻击的监控方法包括以下步骤:
[0032]步骤SI，定时获取防火墙当前接入用户的连接状态。
[0033]具体而言，防火墙每隔预定时间(例如每隔3秒钟)对防火墙当前接入用户的连接状态进行统计以得到用户连接状态报告，将用户连接状态报告发送至网络监控设备，使得网络监控设备可以获取防火墙当前所有接入用户的连接状态，网络监控设备将发送过来的用户连接状态报告作为当前的网络设备状态的快照保存。
[0034]步骤S2，比较当前获取的用户连接状态与上次获取的用户连接状态，将连接状态未变化的用户计数加I。
[0035]通常来说，正常用户不会一直发送连接请求，即任一时刻用户接入防火墙的连接状态会有不同。在步骤S2中，将当前获取的用户连接状态与上次获取的用户连接状态相比较，判断当前获取的用户连接状态中是否还存在连接状态未发生变化的用户。
[0036]具体来说，网络监控设备将当前获取的用户连接状态报告与前一次获取的用户连接状态报告进行比较，判断当前获取的报告中是否还存在连接状态未发生变化的用户，如果有，则对该用户的状态计数加I。
[0037]步骤S3，将状态计数超过预设次数的用户连接判定为死亡连接。
[0038]本步骤中，如果发现某个用户的连接状态计数超过预设次数，则表明该用户连续多次存在连接状态未发生变化的情况，可以将该用户初步判定为死亡连接，该用户为死亡连接用户，死亡连接用户的连接状态未变化的计数为死亡连接数。
[0039]如果发现某个用户的连接状态计数未超过预设次数(即用户的连接状态计数小于或等于预设次数)，则表明该用户并不存在连接状态连续多次未发生变化的情况，可以将该用户判定为正常用户。
[0040]这里预设次数的大小可以根据网络系统的带宽，防火墙和服务器性能等参数灵活确定，优选的，预设次数设置为30次，即将状态计数超过30次数的用户连接判定为死亡连接。
[0041]步骤S4，判断死亡连接用户的当前死亡连接数相对于上次死亡连接数的增长率是否超过预定值。
[0042]其中，本步骤如图4所示，包括下述子步骤:
[0043]步骤S41，对用户连接状态报告进行统计，统计出所有认定为死亡连接的用户。
[0044]步骤S42，将认定为死亡连接用户的当前死亡连接数与该死亡连接用户的上次死亡连接数进行比较，判断当前死亡连接数相对于上次死亡连接数的增长率是否超过预定值。
[0045]具体来说，将死亡连接用户在当前的连接状态计数周期中得到的连接状态未变化的计数与该死亡连接用户在上一次的连接状态计数周期中得到的连接状态未变化的计数进行比较，判断当前死亡连接数相对于上次死亡连接数的增长率是否超过预定值。在比较结果中，如果当前死亡连接数相对于上次死亡连接数的增长率超过预定值，例如超过20%(即死亡连接数增长大于或等于20% )，则进入下一步骤S5，可以将该死亡连接用户进一步认定为攻击用户；否则，返回步骤SI进入下一个连接状态计数周期。
[0046]步骤S5，当死亡连接用户的当前死亡连接数相对于上次死亡连接数的增长率超过预定值时，则删除该用户连接。
[0047]本步骤中，如果发现某个死亡连接用户的当前死亡连接数相对于上次死亡连接数的增长率超过预定值，例如20%，则可以认定为该死亡连接用户是攻击用户，其正在对网络进行攻击。
[0048]进一步，本步骤如图5所示，还包括下述子步骤:
[0049]步骤S51，将当前死亡连接数相对于上次死亡连接数的增长率超过预定值的死亡连接用户认定为攻击用户。
[0050]步骤S52，防火墙监控设备将认定为攻击用户的用户形成攻击用户列表，将该列表发送给防火墙。
[0051]步骤S53，防火墙收到列表后删除列表中的连接用户。根据收到的列表，防火墙及时地将攻击用户删除，以保证在网络受到攻击时，无效连接被删除，有效用户连接被保留。
[0052]优选地，在步骤S53中，将删除的连接用户列入防火墙黑名单，以防止网络再次收到该用户攻击。[0053]通过采用上述流程，使用连接状态快照和快照对比的方式来记录用户的连接状态，当连接状态异常时记录异常连接状态，当异常连接状态抖动加剧时，提前做出判断并实施相应的处理动作，有效地提高了处理网络攻击的效率，还保证了用户的访问体验。
[0054]图6显示了本发明优选实施例的网络攻击的监控系统的结构示意图；图7显示了本发明优选实施例的死亡连接数判断单元的结构示意图；图8显示了本发明优选实施例的用户连接删除单元的结构示意图。
[0055]如图6所示，本发明优选实施例的网络攻击的监控系统包括下述部件:用户连接状态监视单元1、用户连接状态计数单元2、死亡连接判定单元3、死亡连接数判断单元4以及用户连接删除单元5。
[0056]用户连接状态监视单元1，用于定时获取防火墙当前接入的用户的连接状态。具体地，用户连接状态监视单元I每隔预定时间(例如每隔3秒钟)对防火墙当前接入用户的连接状态进行统计以得到用户连接状态报告，将用户连接状态报告发送至用户连接状态计数单元2，使得用户连接状态计数单元2可以获取防火墙当前所有接入用户的连接状态，用户连接状态计数单元2将发送过来的用户连接状态报告作为当前的网络设备状态的快照保存。
[0057]用户连接状态计数单元2，连接到用户连接状态监视单元1，用于将用户连接状态监视单元I当前获取的用户连接状态与上次获取的用户连接状态相比较，将连接状态未变化的用户计数加I。通常来说，正常用户不会一直发送连接请求，即任一时刻用户接入防火墙的连接状态会有不同。用户连接状态计数单元2将当前获取的用户连接状态与上次获取的用户连接状态相比较，判断当前获取的用户连接状态中是否还存在连接状态未发生变化的用户。具体来说，用户连接状态计数单元2将当前获取的用户连接状态报告与前一次获取的用户连接状态报告进行比较，判断当前获取的报告中是否还存在连接状态未发生变化的用户，如果有，则对该用户的状态计数加1，并将记录的用户状态计数发送至死亡连接判定单元3。
[0058]死亡连接判定单元3，连接到用户连接状态计数单元2，用于在用户连接状态计数单元2统计的用户状态计数超过预设次数时，将该用户连接判定为死亡连接。具体来说，如果发现某个用户的连接状态计数超过预设次数，则表明该用户连续多次存在连接状态未发生变化的情况，死亡连接判定单元3则将该用户初步判定为死亡连接，该用户为死亡连接用户，死亡连接用户的连接状态未变化的计数为死亡连接数；如果发现某个用户的连接状态计数未超过预设次数(即用户的连接状态计数小于或等于预设次数)，则表明该用户并不存在连接状态连续多次未发生变化的情况，死亡连接判定单元3则将该用户判定为正常用户。其中，预设次数的大小可以根据网络系统的带宽，防火墙和服务器性能等参数灵活确定，优选的，预设次数设置为30次，即将状态计数超过30次数的用户连接判定为死亡连接。
[0059]死亡连接数判断单元4，连接到死亡连接判定单元3，用于判断死亡连接判定单元3判定的死亡连接用户的当前死亡连接数相对于上次死亡连接数的增长率是否超过预定值。
[0060]其中，死亡连接数判断单元4的结构如图7所示，包括用户连接状态报告统计模块41和比较模块42。
[0061]用户连接状态报告统计模块41，用于对用户连接状态报告进行统计，统计出所有认定为死亡连接的用户。
[0062]比较模块42，连接到用户连接状态报告统计模块41，用于将认定为死亡连接用户的当前死亡连接数与该死亡连接用户的上次死亡连接数进行比较，判断当前死亡连接数相对于上次死亡连接数的增长率是否超过预定值。
[0063]具体来说，比较模块42收到用户连接状态报告统计模块41统计出的死亡连接用户的死亡连接数后，将死亡连接用户在当前的连接状态计数周期中得到的连接状态未变化的计数与该死亡连接用户在上一次的连接状态计数周期中得到的连接状态未变化的计数进行比较，判断当前死亡连接数相对于上次死亡连接数的增长率是否超过预定值。在比较结果中，如果当前死亡连接数相对于上次死亡连接数的增长率超过预定值，例如超过20%(即死亡连接数增长大于或等于20% )，比较模块42将该死亡连接用户进一步认定为攻击用户。
[0064]用户连接删除单元5，连接到死亡连接数判断单元4，用于在死亡连接数判断单元4判断出死亡连接用户的当前死亡连接数相对于上次死亡连接数的增长率超过预定值时，删除该用户连接。
[0065]其中，用户连接删除单元5的结构如图8所示，包括攻击用户认定模块51、攻击用户列表发送模块52和用户连接删除模块53。
[0066]攻击用户认定模块51，用于将当前死亡连接数相对于上次死亡连接数的增长率超过预定值的死亡连接用户认定为攻击用户。
[0067]攻击用户列表发送模块52，用于将认定为攻击用户的用户形成攻击用户列表，将该列表发送给用户连接删除模块53。
[0068]用户连接删除模块53，用于在收到列表后调用防火墙删除列表中的连接用户。根据收到的列表，用户连接删除模块53调用防火墙及时地将攻击用户删除，以保证在网络受到攻击时，无效连接被删除，有效用户连接被保留。优选地，用户连接删除模块53调用防火墙删除列表中的连接用户的同时，将该用户列入防火墙黑名单，防止网络再次收到该用户攻击。
[0069]如上所述，根据本发明的一种网络攻击的监控方法及系统，定时对防火墙当前接入的用户的连接状态进行统计，并将本次统计报告与上次统计报告进行比对，当发现有异常用户时记录该异常用户的连接状态，且在异常用户的连接状态抖动加剧时删除该异常用户，实现了既能应急处理遭受攻击的网络又能避免误删有效的用户访问的目的，有效地提高了处理网络攻击的效率，还保证了用户的访问体验。
[0070]应当理解的是，本发明的上述【具体实施方式】仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
【权利要求】
1.一种网络攻击的监控方法，其特征在于，包括以下步骤: 步骤SI，定时获取防火墙当前接入的用户的连接状态； 步骤S2，比较当前获取的用户连接状态与上次获取的用户连接状态，将连接状态未变化的用户计数加I ; 步骤S3，将状态计数超过预设次数的用户连接判定为死亡连接； 步骤S4，判断死亡连接用户的当前死亡连接数相对于上次死亡连接数的增长率是否超过预定值； 步骤S5，当死亡连接用户的当前死亡连接数相对于上次死亡连接数的增长率超过预定值时，则删除该用户连接。
2.根据权利要求1所述的方法，其特征在于，将所述被判定为死亡连接的用户判定为死亡连接用户，将死亡连接用户的连接状态未变化的计数判定为死亡连接数。
3.根据权利要求1所述的方法，其特征在于，所述步骤S4还包括: 步骤S41，对用户连接状态报告进行统计，统计出所有认定为死亡连接的用户； 步骤S42，将认定为死亡连接用户的当前死亡连接数与该死亡连接用户的上次死亡连接数进行比较，判断当前死亡连接数相对于上次死亡连接数的增长率是否超过预定值。
4.根据权利要求 1所述的方法，其特征在于，所述步骤S5还包括: 步骤S51，将当前死亡连接数相对于上次死亡连接数的增长率超过预定值的死亡连接用户认定为攻击用户； 步骤S52，防火墙监控设备将认定为攻击用户的用户形成攻击用户列表，将该列表发送给防火墙； 步骤S53，防火墙收到列表后删除列表中的连接用户。
5.根据权利要求4所述的方法，其特征在于，将所述删除的连接用户列入防火墙黑名单。
6.一种网络攻击的监控系统，其特征在于，包括: 用户连接状态监视单元(I)，用于定时获取防火墙当前接入的用户的连接状态； 用户连接状态计数单元(2)，连接到所述用户连接状态监视单元(I)，用于将用户连接状态监视单元(I)当前获取的用户连接状态与上次获取的用户连接状态相比较，将连接状态未变化的用户计数加I ; 死亡连接判定单元(3)，连接到所述用户连接状态计数单元(2)，用于在用户连接状态计数单元(2)统计的用户状态计数超过预设次数时，将该用户连接判定为死亡连接； 死亡连接数判断单元(4)，连接到所述死亡连接判定单元(3)，用于判断死亡连接判定单元(3)判定的死亡连接用户的当前死亡连接数相对于上次死亡连接数的增长率是否超过预定值； 用户连接删除单元(5)，连接到死亡连接数判断单元(4)，用于在死亡连接数判断单元(4)判断出死亡连接用户的当前死亡连接数相对于上次死亡连接数的增长率超过预定值时，删除该用户连接。
7.根据权利要求6所述的系统，其特征在于，所述死亡连接判定单元(3)将被判定为死亡连接的用户判定为死亡连接用户，将死亡连接用户的连接状态未变化的计数判定为死亡连接数。
8.根据权利要求6所述的系统，其特征在于，所述死亡连接数判断单元(4)包括用户连接状态报告统计模块(41)和比较模块(42)，其中， 所述用户连接状态报告统计模块(41)用于对用户连接状态报告进行统计，统计出所有认定为死亡连接的用户； 所述比较模块(42)用于将认定为死亡连接用户的当前死亡连接数与该死亡连接用户的上次死亡连接数进行比较，判断当前死亡连接数相对于上次死亡连接数的增长率是否超过预定值。
9.根据权利要求6所述的系统，其特征在于，所述用户连接删除单元(5)包括攻击用户认定模块(51)、攻击用户列表发送模块(52)和用户连接删除模块(53)，其中， 所述攻击用户认定模块(51)用于将当前死亡连接数相对于上次死亡连接数的增长率超过预定值的死亡连接用户认定为攻击用户； 所述攻击用户列表发送模块(52)用于将认定为攻击用户的用户形成攻击用户列表，将该列表发送给用户连接删除模块(53)； 所述用户连接删除模块(53)用于在收到列表后调用防火墙删除列表中的连接用户。
10.根据权利要求9所述 的系统，其特征在于，所述用户连接删除模块(53)调用防火墙删除列表中的连接用户的同时，将该用户列入防火墙黑名单。
【文档编号】H04L29/06GK103997488SQ201410187947
【公开日】2014年8月20日 申请日期:2014年5月6日 优先权日:2014年5月6日
【发明者】陈海滨, 刘鹏, 于立洋, 章敏, 王禹, 王智民 申请人:汉柏科技有限公司