一种数据对冲式的计算机网络安全系统及其工作方法与流程

本发明涉及网络安全领域，尤其涉及一种数据对冲式的计算机网络安全系统及其工作方法。

背景技术：

自从计算机问世以来，网络安全问题一直存在，使用者并未给予足够的重视，但是随着信息技术的发展，网络安全问题日益突出。网络安全中最大和最具挑战性的问题之一是分布式拒绝服务(distributeddenialofservice，简称ddos)攻击，ddos攻击是一种分布式大规模攻击方式，通过控制互联网上傀儡机对目标服务器发动攻击，产生的大量数据流涌向目标服务器，消耗服务器系统资源和带宽，或把链接占满，从而影响合法用户的访问。而udpflood攻击是日益猖獗的一种ddos攻击，攻击者利用大量udp小包发动攻击，造成企业和用户的网络瘫痪，无法提供正常的服务，因此，亟需提供一种可以有效检测并预防udpflood攻击的网络安全系统。

技术实现要素：

发明目的：

针对亟需提供一种可以有效检测并预防udpflood攻击的网络安全系统的问题，本发明提供一种数据对冲式的计算机网络安全系统及其工作方法。

技术方案：

一种数据对冲式的计算机网络安全系统，用于针对udpflood攻击进行网络安全防御，包括：

第一防火墙模块，用于阻隔所有外部数据的传输；

外部数据识别模块，用于识别互联网发送至计算机的外部数据；

协议识别模块，用于识别外部数据中的用户数据报协议数据包以及用户数据报协议数据包的大小；

ip地址检验模块，用于检验传输至计算机的外部数据的ip地址以及外部数据中用户数据报协议数据包的ip地址；

ip地址判断模块，用于判断传输至计算机的外部数据的ip地址与外部数据中用户数据报协议数据包的ip地址的一致性；

攻击判定模块，用于根据所述协议识别模块以及所述ip地址判断模块的工作内容判定udpflood攻击数据；

目标识别模块，用于判定udpflood攻击数据的攻击目标；

对冲数据模块，用于根据所述目标识别模块判定的udpflood攻击数据的攻击目标提供相应的对冲数据并将对冲数据混入udpflood攻击数据；

执行模块，用于利用对冲数据模块提供的对冲数据对udpflood攻击数据的攻击目标进行指定的数据冲击；

第二防火墙模块，用于隔离混合数据中的udpflood攻击数据。

作为本发明的一种优选方式，当所述攻击判定模块判定出具有udpflood攻击数据后，所述第一防火墙模块阻止所有外部数据的传输；当所述对冲数据模块提供对冲数据后，所述第一防火墙模块允许所有外部数据传输。

作为本发明的一种优选方式，对于所述目标识别模块，识别的目标包括dns服务器、radius认证服务器以及流媒体视频服务器。

作为本发明的一种优选方式，所述协议识别模块设定数据包阈值，所述协议识别模块根据数据包阈值判断当前用户数据报协议数据包所在外部数据是否为udpflood攻击数据。

作为本发明的一种优选方式，所述攻击判定模块判定udpflood攻击数据的依据包括外部数据所传输的用数据报协议数据包大小以及外部数据的ip地址与外部数据中用户数据报协议数据包的ip地址的一致性。

作为本发明的一种优选方式，所述对冲数据模块包括：

数据模拟模块，用于根据历史数据包模拟出udpflood攻击数据的攻击目标对应的临时数据包；

紧急数据添加模块，用于向所述数据模拟模块模拟的临时数据包添加紧急加密数据。

一种数据对冲式的计算机网络安全系统的工作方法，包括以下步骤：

s01：所述外部数据识别模块识别互联网发送至计算机的外部数据；

s02：所述协议识别模块从外部数据中识别用户数据报协议数据包；

s03：所述协议识别模块判定用户数据报协议数据包的大小是否小于数据包阈值，若是，进入s04；

s04：所述ip地址检验模块检验当前外部数据的ip地址以及当前外部数据中用户数据报协议数据包的ip地址；

s05：所述ip地址判断模块判断当前外部数据的ip地址与当前外部数据中用户数据报协议数据包的ip地址是否一致，若否，则进入s06；

s06：所述攻击判定模块判定当前存在udpflood攻击数据；

s07：所述第一防火墙模块开启第一防火墙；

s08：所述目标识别模块识别所述第一防火墙模块关闭前传输的外部数据中udpflood攻击数据的攻击目标；

s09：所述对冲数据模块通过所述数据模拟模块模拟临时数据包；

s10：所述紧急数据添加模块向临时数据包中添加紧急加密数据并形成对冲数据；

s11：所述执行模块利用对冲数据向udpflood攻击数据的攻击目标发起攻击；

s12：所述第一防火墙模块关闭第一防火墙；

s13：所述第二防火墙模块隔离无法被udpflood攻击数据的攻击目标解析的数据包。

作为本发明的一种优选方式，对于所述s07，所述第一防火墙模块对应所述第一防火墙，在外部数据传输的路径上，所述第一防火墙模块设置于传输路径的开端。

作为本发明的一种优选方式，在所述s10中，所述加密数据为计算机内部警告数据。

本发明实现以下有益效果：

通过在udpflood攻击数据的udp小包前添加易隔离的模拟木马数据，使得udpflood攻击数据变得不连贯，无法持续的用大量udp小包对dns服务器、radius认证服务器以及流媒体视频服务器进行冲击，从而使得计算机的防火墙系统在可以及时处理模拟木马数据的同时对udp小包进行处理，使得udpflood攻击数据无法在短时间内产生有效的攻击，从而使得计算机获得更长的udpflood攻击数据的处理时间，便于计算机进行防御。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并于说明书一起用于解释本公开的原理。

图1为本发明系统框架图；

图2为本发明工作步骤图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。

实施例一：

参考图为图1-2。一种数据对冲式的计算机网络安全系统，用于针对udpflood攻击进行网络安全防御，包括：

第一防火墙模块1，用于阻隔所有外部数据的传输；

外部数据识别模块2，用于识别互联网发送至计算机的外部数据；

协议识别模块3，用于识别外部数据中的用户数据报协议数据包以及用户数据报协议数据包的大小；

ip地址检验模块4，用于检验传输至计算机的外部数据的ip地址以及外部数据中用户数据报协议数据包的ip地址；

ip地址判断模块5，用于判断传输至计算机的外部数据的ip地址与外部数据中用户数据报协议数据包的ip地址的一致性；

攻击判定模块6，用于根据所述协议识别模块3以及所述ip地址判断模块5的工作内容判定udpflood攻击数据；

目标识别模块7，用于判定udpflood攻击数据的攻击目标；

对冲数据模块8，用于根据所述目标识别模块7判定的udpflood攻击数据的攻击目标提供相应的对冲数据并将对冲数据混入udpflood攻击数据；

执行模块9，用于利用对冲数据模块8提供的对冲数据对udpflood攻击数据的攻击目标进行指定的数据冲击；

第二防火墙模块10，用于隔离混合数据中的udpflood攻击数据。

作为本发明的一种优选方式，当所述攻击判定模块6判定出具有udpflood攻击数据后，所述第一防火墙模块1阻止所有外部数据的传输；当所述对冲数据模块8提供对冲数据后，所述第一防火墙模块1允许所有外部数据传输。

作为本发明的一种优选方式，对于所述目标识别模块7，识别的目标包括dns服务器、radius认证服务器以及流媒体视频服务器。

作为本发明的一种优选方式，所述协议识别模块3设定数据包阈值，所述协议识别模块3根据数据包阈值判断当前用户数据报协议数据包所在外部数据是否为udpflood攻击数据。

作为本发明的一种优选方式，所述攻击判定模块6判定udpflood攻击数据的依据包括外部数据所传输的用数据报协议数据包大小以及外部数据的ip地址与外部数据中用户数据报协议数据包的ip地址的一致性。

作为本发明的一种优选方式，所述对冲数据模块8包括：

数据模拟模块11，用于根据历史数据包模拟出udpflood攻击数据的攻击目标对应的临时数据包；

紧急数据添加模块12，用于向所述数据模拟模块11模拟的临时数据包添加紧急加密数据。

一种数据对冲式的计算机网络安全系统的工作方法，包括以下步骤：

s01：所述外部数据识别模块2识别互联网发送至计算机的外部数据；

s02：所述协议识别模块3从外部数据中识别用户数据报协议数据包；

s03：所述协议识别模块3判定用户数据报协议数据包的大小是否小于数据包阈值，若是，进入s04；

s04：所述ip地址检验模块4检验当前外部数据的ip地址以及当前外部数据中用户数据报协议数据包的ip地址；

s05：所述ip地址判断模块5判断当前外部数据的ip地址与当前外部数据中用户数据报协议数据包的ip地址是否一致，若否，则进入s06；

s06：所述攻击判定模块6判定当前存在udpflood攻击数据；

s07：所述第一防火墙模块1开启第一防火墙；

s08：所述目标识别模块7识别所述第一防火墙模块1关闭前传输的外部数据中udpflood攻击数据的攻击目标；

s09：所述对冲数据模块8通过所述数据模拟模块11模拟临时数据包；

s10：所述紧急数据添加模块12向临时数据包中添加紧急加密数据并形成对冲数据；

s11：所述执行模块9利用对冲数据向udpflood攻击数据的攻击目标发起攻击；

s12：所述第一防火墙模块1关闭第一防火墙；

s13：所述第二防火墙模块10隔离无法被udpflood攻击数据的攻击目标解析的数据包。

作为本发明的一种优选方式，对于所述s07，所述第一防火墙模块1对应所述第一防火墙，在外部数据传输的路径上，所述第一防火墙模块1设置于传输路径的开端。

作为本发明的一种优选方式，在所述s10中，所述加密数据为计算机内部警告数据。

在具体实施过程中，对于各个模块，可以通过外部数据在安全系统中传输时经过的模块的先后对各个模块的“位置”进行简单的排列：第一防火墙模块1、外部数据识别魔块、协议识别模块3、ip地址检验模块4、ip地址判断模块5、攻击判定模块6、目标识别模块7、对冲数据模块8、执行模块9、第二防火墙模块10。

计算机连接互联网，并从互联网上某网站接收数据时，将该数据流作为外部数据，在外部数据传输时，在第一防火墙模块1的控制下的第一防火墙处于关闭状态下，即任何数据都能通过第一防火墙传输至计算机内，且依次传输。在外部数据通过第一防火墙向计算机传输时，首先会经过外部数据识别模块2的识别，外部数据识别模块2识别出该外部数据的数据内容，值得一提的是，外部数据识别模块2通过识别的数据内容判定该内容的安全性，当判定该内容为不安全数据内容时，直接将该外部数据隔离，否则，判定该外部数据可以继续传输。

在判定该外部数据为安全外部数据后，经由协议识别模块3，将对外部数据中的用户数据报协议进行判定，通过源端口号、目标端口号、数据报长度、检验值等对用户数据报协议的报头以及有效载荷字段进行检测，并判定出外部数据中的用户数据报协议，进而，协议识别模块3识别用户数据报协议的数据包，并对数据包的大小进行判断，协议识别模块3设定数据包阈值，当协议识别模块3判断用户数据报协议数据包的大小小于数据包阈值时，协议识别模块3将当前的用户数据报协议数据包作为udp小包，即攻击数据的数据小包，从而判定带有该udp小包的当前的外部数据作为潜在的udpflood攻击数据。

进而，ip地址检验模块4检验该外部数据的ip地址以及该外部数据中对应的用户数据报协议数据包的源ip地址，对于外部数据的ip地址，ip地址判断模块5还会对该ip地址是否为公知的安全ip地址或是在用户使用的该计算机的使用历史中，已经被证明过是安全的ip地址，若否，则直接通过第一防火墙模块1控制第一防火墙拒绝该ip地址对应的外部数据；若是，则判定该ip地址为安全地址，进而，ip地址判断模块5判断当前外部数据的ip地址与该外部数据中带有的用户数据报协议数据包对应的ip地址是否一致，若是，则判定该些用户数据报协议数据包不是udpflood攻击数据所采用的udp小包，进而判定该外部数据不是udpflood攻击数据；若否，则判定此时的用户数据报协议数据包为udpflood攻击数据所采用的udp小包。

在初次判定出当前外部数据为udpflood攻击数据或当前外部数据中可能存在有udpflood攻击数据时，第一防火墙模块1直接控制第一防火墙整体开启，暂时将所有外部数据阻隔。由于隔离之前已经有最开始被识别出的udpflood攻击数据的udp小包进入计算机，因此，udp小包会对攻击目标进行攻击，从而目标识别模块7识别出udp小包的攻击目标，即udpflood攻击数据的攻击目标，进而，对冲数据模块8的数据模拟模块11根据udpflood攻击数据的攻击目标的类别模拟出一个临时数据包，该临时数据包作为计算机本身对系统的一个自我攻击，并且，通过紧急数据添加模块12向临时数据包中添加紧急加密数据，例如普通计算机防火墙系统对一些木马的警告，从而使得系统本身对临时数据的处理具有一定的优先级，从而可以在进行传输的过程中优先处理临时数据，具体的，根据上述过程识别出udpflood攻击数据的udp小包时，对冲数据模块8在外部数据传输至对冲数据模块8的位置前直接添加若干个临时数据包并由执行模块9执行攻击命令，从而使得临时数据包能够在单个udpflood攻击数据攻击前优先进行攻击，而该临时数据包为模拟木马植入，普通防火墙对木马植入的反应通常是迅速的，且防火墙能够很容易的将木马隔离，而在本实施例中，可以设置一个第三防火墙，专门用于在udpflood攻击数据的攻击目标中对临时数据包的处理，当出现第三防火墙无法进行处理的数据时，即udpflood攻击数据的udp小包，第二防火墙模块10通过第二防火墙处理udpflood攻击数据的udp小包。

上述实施例只为说明本发明的技术构思及特点，其目的是让熟悉该技术领域的技术人员能够了解本发明的内容并据以实施，并不能以此来限制本发明的保护范围。凡根据本发明精神实质所作出的等同变换或修饰，都应涵盖在本发明的保护范围之内。