一种攻击数据对应式处理的计算机防火墙系统及工作方法与流程

本发明涉及工业领域，尤其涉及一种攻击数据对应式处理的计算机防火墙系统及工作方法。

背景技术：

自从计算机问世以来，网络安全问题一直存在，使用者并未给予足够的重视，但是随着信息技术的发展，网络安全问题日益突出。网络安全中最大和最具挑战性的问题之一是分布式拒绝服务(distributeddenialofservice，简称ddos)攻击，ddos攻击是一种分布式大规模攻击方式，通过控制互联网上傀儡机对目标服务器发动攻击，产生的大量数据流涌向目标服务器，消耗服务器系统资源和带宽，或把连接占满，从而影响合法用户的访问。而connectionflood攻击是日益猖獗的一种ddos攻击，攻击者利用大量小流量的连接向服务器发动攻击，造成服务器资源被占用，无法提供正常的服务，因此，亟需提供一种可以有效检测并预防connectionflood攻击的网络安全系统。

技术实现要素：

发明目的：

针对亟需提供一种可以有效检测并预防connectionflood攻击的网络安全系统的问题，本发明提供一种攻击数据对应式处理的计算机防火墙系统及工作方法。

技术方案：

一种攻击数据对应式处理的计算机防火墙系统，用于针对connectionflood攻击数据进行计算机安全防御，包括：

外部数据识别模块，用于识别外部网络发送至计算机的外部数据；

ip地址识别模块，用于识别所述外部数据识别模块识别的外部数据的ip地址；

ip地址验证模块，用于验证外部数据的ip地址的真伪；

连接识别模块，用于在所述ip地址验证模块验证为真实ip地址的外部数据中识别出外部数据中包含的连接以及连接数据；

连接流量识别模块，用于识别单个连接的流量大小；

连接数量判定模块，用于以所述ip地址识别模块对ip地址的识别为基础判定同ip地址的连接的数量；

攻击判定模块，用于根据所述连接流量识别模块以及所述连接数量判定模块的工作结果判定connectionflood攻击数据；

时钟信号识别模块，用于识别外部数据中包含的连接数据的时钟信号，包括connectionflood攻击数据中的连接数据的时钟信号以及普通连接数据的时钟信号；

数据模拟模块，用于根据时钟信号进行临时连接数据模拟；

执行模块，用于将临时连接数据与外部数据的连接数据根据时钟信号搭建对应关系；

防火墙模块，用于对服务器进行防护以及处理connectionflood攻击数据。

作为本发明的一种优选方式，对于所述攻击判定模块，在判定connectionflood攻击数据后，根据connectionflood攻击数据的连接发送对象确认connectionflood攻击数据的攻击目标。

作为本发明的一种优选方式，在所述攻击判定模块判定外部数据中包含connectionflood攻击数据后，所述防火墙模块关闭服务器与外部数据传输通道的连接；在所述执行模块执行对应关系的搭建后，所述防火墙模块开启服务器与外部数据传输通道的连接。

作为本发明的一种优选方式，所述攻击判定模块设置流量阈值以及数量阈值，所述攻击判定模块根据连接实际流量大小与流量阈值的对比以及连接实际数量的大小与数量阈值的对比判断外部数据中是否存在connectionflood攻击数据。

作为本发明的一种优选方式，对于所述ip地址验证模块，设置有ip地址历史记录以及互联网ip记录，所述ip地址验证模块根据ip地址历史记录以及互联网ip记录判定当前外部数据对应的ip地址的真伪。

作为本发明的一种优选方式，对于所述执行模块，在搭建临时连接数据与外部数据的连接数据根据时钟信号的对应关系时，在临时连接数据与外部数据的连接数据之间建立连接关系。

一种攻击数据对应式处理的计算机防火墙系统的工作方法，包括以下步骤：

s01：所述外部数据识别模块识别外部网络发送至计算机的外部数据；

s02：所述ip地址识别模块识别外部数据的ip地址；

s03：所述ip地址验证模块判断当前外部数据的ip地址是否为互联网ip记录或ip地址历史记录中已存在的ip地址，若是，则进入s04；

s04：所述连接识别模块识别外部数据中包含的连接以及连接数据；

s05：所述攻击判定模块判断连接数量是否大于数量阈值，若是，则进入s06；

s06：所述攻击识别模块判断连接流量是否小于流量阈值，若是，则判定外部数据中包含connectionflood攻击数据并进入s07；

s07：所述时钟信号识别模块判定外部数据中包含的所有连接数据的时钟信号；

s08：所述数据模块以所述时钟信号识别模块识别的时钟信号为基础模拟临时连接数据；

s09：所述执行模块根据时钟信号建立临时连接数据外部数据的连接数据的连接关系；

s10：所述执行模块向服务器提供建立了连接关系的临时连接数据以及外部数据的连接数据；

s11：所述防火墙模块隔离占用服务器的连接。

作为本发明的一种优选方式，对于所述s10，包括以下步骤：

s101：所述执行模块获取时钟信号；

s102：所述执行模块将时钟信号一致的临时连接数据与外部数据中时钟信号相对应的连接数据建立连接；

s103：所述执行模块向服务器提供所有检测到的时钟信号。

作为本发明的一种优选方式，在所述s102中，外部数据中的连接数据包括connectionflood攻击数据的连接以及普通连接。

本发明实现以下有益效果：

通过对connectionflood攻击数据中带有的连接进行时钟信号的检测，根据时钟信号模拟容易被服务器解析的连接并与攻击数据的连接建立连接关系，从而使得connectionflood攻击数据无法持续进行冲击，从而使得计算机的防火墙系统在可以及时处理模拟出的连接数据的同时对connectionflood攻击数据进行处理，使得connectionflood攻击数据无法在短时间内产生有效的攻击，从而使得计算机获得更长的connectionflood攻击的处理时间，便于计算机进行防御。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并于说明书一起用于解释本公开的原理。

图1为本发明系统框架图；

图2为本发明工作步骤图；

图3为本发明分支工作步骤图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。

实施例一：

参考图为图1-3。一种攻击数据对应式处理的计算机防火墙系统，用于针对connectionflood攻击数据进行计算机安全防御，包括：

外部数据识别模块1，用于识别外部网络发送至计算机的外部数据；

ip地址识别模块2，用于识别所述外部数据识别模块1识别的外部数据的ip地址；

ip地址验证模块3，用于验证外部数据的ip地址的真伪；

连接识别模块4，用于在所述ip地址验证模块3验证为真实ip地址的外部数据中识别出外部数据中包含的连接以及连接数据；

连接流量识别模块5，用于识别单个连接的流量大小；

连接数量判定模块6，用于以所述ip地址识别模块2对ip地址的识别为基础判定同ip地址的连接的数量；

攻击判定模块7，用于根据所述连接流量识别模块5以及所述连接数量判定模块6的工作结果判定connectionflood攻击数据；

时钟信号识别模块8，用于识别外部数据中包含的连接数据的时钟信号，包括connectionflood攻击数据中的连接数据的时钟信号以及普通连接数据的时钟信号；

数据模拟模块9，用于根据时钟信号进行临时连接数据模拟；

执行模块10，用于将临时连接数据与外部数据的连接数据根据时钟信号搭建对应关系；

防火墙模块11，用于对服务器进行防护以及处理connectionflood攻击数据。

作为本发明的一种优选方式，对于所述攻击判定模块7，在判定connectionflood攻击数据后，根据connectionflood攻击数据的连接发送对象确认connectionflood攻击数据的攻击目标。

作为本发明的一种优选方式，在所述攻击判定模块7判定外部数据中包含connectionflood攻击数据后，所述防火墙模块11关闭服务器与外部数据传输通道的连接；在所述执行模块10执行对应关系的搭建后，所述防火墙模块11开启服务器与外部数据传输通道的连接。

作为本发明的一种优选方式，所述攻击判定模块7设置流量阈值以及数量阈值，所述攻击判定模块7根据连接实际流量大小与流量阈值的对比以及连接实际数量的大小与数量阈值的对比判断外部数据中是否存在connectionflood攻击数据。

作为本发明的一种优选方式，对于所述ip地址验证模块3，设置有ip地址历史记录以及互联网ip记录，所述ip地址验证模块3根据ip地址历史记录以及互联网ip记录判定当前外部数据对应的ip地址的真伪。

作为本发明的一种优选方式，对于所述执行模块10，在搭建临时连接数据与外部数据的连接数据根据时钟信号的对应关系时，在临时连接数据与外部数据的连接数据之间建立连接关系。

一种攻击数据对应式处理的计算机防火墙系统的工作方法，包括以下步骤：

s01：所述外部数据识别模块1识别外部网络发送至计算机的外部数据；

s02：所述ip地址识别模块2识别外部数据的ip地址；

s03：所述ip地址验证模块3判断当前外部数据的ip地址是否为互联网ip记录或ip地址历史记录中已存在的ip地址，若是，则进入s04；

s04：所述连接识别模块4识别外部数据中包含的连接以及连接数据；

s05：所述攻击判定模块7判断连接数量是否大于数量阈值，若是，则进入s06；

s06：所述攻击识别模块判断连接流量是否小于流量阈值，若是，则判定外部数据中包含connectionflood攻击数据并进入s07；

s07：所述时钟信号识别模块8判定外部数据中包含的所有连接数据的时钟信号；

s08：所述数据模块以所述时钟信号识别模块8识别的时钟信号为基础模拟临时连接数据；

s09：所述执行模块10根据时钟信号建立临时连接数据外部数据的连接数据的连接关系；

s10：所述执行模块10向服务器提供建立了连接关系的临时连接数据以及外部数据的连接数据；

s11：所述防火墙模块11隔离占用服务器的连接。

作为本发明的一种优选方式，对于所述s10，包括以下步骤：

s101：所述执行模块10获取时钟信号；

s102：所述执行模块10将时钟信号一致的临时连接数据与外部数据中时钟信号相对应的连接数据建立连接；

s103：所述执行模块10向服务器提供所有检测到的时钟信号。

作为本发明的一种优选方式，在所述s102中，外部数据中的连接数据包括connectionflood攻击数据的连接以及普通连接。

在具体实施过程中，计算机连接互联网以及大型局域网服务器系统，当互联网或大型局域网服务器系统向计算机发送数据流时，将该些数据流作为外部数据，外部数据传输至计算机后，外部数据识别模块1对外部数据进行识别，外部数据识别模块1识别外部数据的内容，并判断外部数据内容的安全性，当判定外部数据的内容为不安全数据内容时，直接通过防火墙模块11将外部数据隔离，当判断为安全的数据内容后，允许外部数据继续传输。

在外部数据继续传输的过程中，ip地址识别模块2识别外部数据的ip地址，进而，ip地址验证模块3验证ip地址的真伪，ip地址验证模块3获取计算机记录中成功的从外部网络传输至计算机的数据的ip地址，即安全数据的ip地址，以及互联网上公认的网站的ip地址，例如百度，通过该些已经被作为安全ip地址的ip地址与当前传输的外部数据的ip地址进行对比，当判断当前传输的外部数据的ip地址在上述的作为安全ip地址的ip地址的集合内时，判定该外部数据的ip地址为真实ip地址；若判断当前传输的外部数据的ip地址不在上述的作为安全ip地址的ip地址的集合内时，判断该外部数据的ip地址为伪造ip地址。值得一提的是，上述的判断为防火墙系统的自动判断，当用户已经与一个新ip地址确认有数据传输时，上述判断过程作废。

进而，连接识别模块4识别外部数据中含有的连接以及连接对应的连接数据，进而，连接流量识别模块5识别连接数据的流量大小、连接数量判定模块6分别清算同一个ip地址下的连接数量，攻击判定模块7中设置有流量阈值以及数量阈值，攻击判定模块7先通过数量阈值与一个ip地址下存在的连接数量进行对比，当判断一个ip地址下存在的连接数量小于数量阈值时，判断该ip地址对应的外部数据为安全外部数据，且该ip地址下的外部数据中包含的连接数据为安全连接数据；当判断一个ip地址下存在的连接数量大于数量阈值时，暂时将该ip地址对应的外部数据以及该外部数据内包含的连接数据判断为攻击数据；进而，攻击判定模块7通过流量阈值与该ip地址下对应的单个连接流量大小进行判断，当判断单个连接的流量大于流量阈值时，判断连接对应的外部数据不存在connectionflood攻击数据；当判断单个连接的流量小于流量阈值时，判断连接对应的外部数据存在connectionflood攻击数据。

进而，时钟信号识别模块8识别所有外部数据中包含的连接数据的时钟信号，数据模拟模块9根据时钟信号模拟出临时连接数据，即针对所有的连接数据的始终信号，以该些时钟信号为基础进行模拟，模拟出的临时模拟连接数据为容易被服务器识别的连接，并将以时钟信号为基础模拟的临时连接数据与相应的时钟信号的外部数据的连接数据向对应，例如整体时钟信号段落为a的模拟连接数据与整体时钟信号段落为a的外部数据的连接数据相对应，从而，执行模块10将时钟信号一致的临时模拟连接数据与外部数据的连接数据之间建立连接，使得时钟信号相同的连接数据连接在一起，进而，执行模块10向计算机的服务器提供所有的时钟信号，即相当于通过时钟信号将临时模拟连接数据与外部数据中包含的连接数据进行时钟信号的分类，从而使得服务器能够根据时钟信号进行连接数据的识别。数据模拟模块9模拟出大量的临时模拟连接数据，超过实际传输进计算机的外部数据的连接数据的数量，从而使得外部数据中包含的连接数据中的每一个连接数据都能对应上很多临时模拟连接数据，其中，包含了connectionflood攻击数据的连接数据，从而使得每一个connectionflood攻击数据的连接数据前后都存在大量的临时模拟连接数据，因此便做到了通过临时模拟连接数据将connectionflood攻击数据的连接数据互相隔离，而服务器解析单一的连接数据是较容易的，而临时模拟连接数据是容易被服务器解析的，因此相当于服务器解析connectionflood攻击数据的连接数据时具有相当大的间隔时间，从而使得新传输的外部数据的连接数据能够在间隔时间内获得服务器的解析。

进而，可以设置一个解析时间阈值，防火墙模块11根据解析时间阈值判断当前解析的连接占用的时间，当超过解析时间阈值时，便将当前的连接数据对应的外部数据当做connectionflood攻击数据进行隔离。

上述实施例只为说明本发明的技术构思及特点，其目的是让熟悉该技术领域的技术人员能够了解本发明的内容并据以实施，并不能以此来限制本发明的保护范围。凡根据本发明精神实质所作出的等同变换或修饰，都应涵盖在本发明的保护范围之内。