本发明涉及互联网网络的领域,尤其涉及基于iptable的流量过滤控制方法和系统。
背景技术:
::1、智能手机或便携式计算机等用户端接入到互联网后,会不可避免地受到攻击,这些攻击可包括但不限于是木马病毒攻击或流量攻击。其中,流量攻击主要是在短时间内向用户端发送大量syn包,使得用户端处于数据包接收极限状态,导致用户端发生死机等问题。为了避免用户端受到流量攻击,通常会在用户端内部安装相应的防火墙或者保护软件,但是安装防火墙或者保护软件后需要定期进行更新,才能保证防火墙或者保护软件对流量攻击进行有效全面的拦截,增加对流量攻击的防护成本,无法快速和准确对用户端进行流量过滤和控制,不能降低用户端对来自网络传输的数据流量接收负荷。技术实现思路1、本发明的目的在于提供基于iptable的流量过滤控制方法和系统,其基于用户端在网络内部所有输入网络链路的数据输入属性信息,对所有输入网络链路设置iptable代理,将输入网络链路划分到相应的安全框架中;利用iptable代理,获取输入网络链路的数据流状态信息,以此判断输入网络链路是否发生数据流量异常事件,并得到发生数据流量异常事件的输入网络链路的异常数据包属性信息,从而确定输入网络链路需要进行流量过滤拦截的数据包成分;对发生数据流量异常事件的输入网络链路进行流量过滤后,基于流量过滤的结果,调整发生数据流量异常事件的输入网络链路的工作状态,在不需要在用户端内部设置防火墙的情况下能够对用户端进行准确全面的流量控制,降低用户端的数据流量接收负荷。2、本发明是通过以下技术方案实现:3、基于iptable的流量过滤控制方法,包括:4、基于用户端当前连接的网络状态信息,确定所述用户端在网络内部的所有输入网络链路;对所述输入网络链路进行识别,得到所述输入网络链路的数据输入属性信息,并基于所述数据输入属性信息,对所有输入网络链路设置相应的iptable代理;5、基于所述iptable代理,获取所述输入网络链路的数据流状态信息;对所述数据流状态信息进行分析,判断所述输入网络链路是否发生数据流量异常事件;对发生数据流量异常事件的输入网络链路进行异常数据流成分标识处理,得到发生数据流量异常事件的输入网络链路的异常数据包属性信息;6、基于所述异常数据包属性信息,对发生数据流量异常事件的输入网络链路进行流量过滤;并基于所述流量过滤的结果,调整所述发生数据流量异常事件的输入网络链路的工作状态。7、可选地,基于用户端当前连接的网络状态信息,确定所述用户端在网络内部的所有输入网络链路;对所述输入网络链路进行识别,得到所述输入网络链路的数据输入属性信息,并基于所述数据输入属性信息,对所有输入网络链路设置相应的iptable代理,包括:8、基于用户端当前接入的网络网关地址,确定所述用户端当前连接的所有网络链路;再基于所有网络链路各自的上行数据和下行数据传输数据量,从所有网络链路中确定所述用户端在网络内部的所有输入网络链路;9、对所述输入网络链路进行识别,得到所述输入网络链路的数据输入速度信息,并基于所述数据输入速度信息,将所有输入网络链路划分为若干输入网络链路集合;其中,每个输入网络链路集合下属所有输入网络链路的数据输入速度处于同一数据输入速度范围,并且不同输入网络链路集合对应的数据输入速度范围互不相同;10、基于每个输入网络链路集合对应的数据输入速度范围,对每个输入网络链路集合设置具有匹配数据处理速度的iptable代理。11、可选地,基于所述iptable代理,获取所述输入网络链路的数据流状态信息;对所述数据流状态信息进行分析,判断所述输入网络链路是否发生数据流量异常事件;对发生数据流量异常事件的输入网络链路进行异常数据流成分标识处理,得到发生数据流量异常事件的输入网络链路的异常数据包属性信息,包括:12、基于所述iptable代理,对所述输入网络链路进行数据流采样处理,得到数据流样本,并对所述数据流样本进行分析,得到所述输入网络链路中传输的syn包的来源端地址信息和传输频率信息,以此作为所述输入网络链路的数据流状态信息;13、基于所述来源端地址信息和所述传输频率信息,判断所述输入网络链路当前是否发生syn包流量攻击异常事件;对发生syn包流量攻击异常事件的输入网络链路进行syn包传输时间标识处理,得到发生syn包流量攻击异常事件的输入网络链路的syn包传输时间信息。14、可选地,基于所述异常数据包属性信息,对发生数据流量异常事件的输入网络链路进行流量过滤;并基于所述流量过滤的结果,调整所述发生数据流量异常事件的输入网络链路的工作状态,包括:15、基于发生syn包流量攻击异常事件的输入网络链路的syn包传输时间信息,对发生syn包流量攻击异常事件的输入网络链路进行syn包拦截处理,从而减小发生syn包流量攻击异常事件的输入网络链路的syn包数据流量;获取发生syn包流量攻击异常事件的输入网络链路进行syn包拦截处理后的平均数据流量值,若所述平均数据流量值大于或等于预设流量阈值,则停止发生syn包流量攻击异常事件的输入网络链路向所述用户端传输数据;否则,保持发生syn包流量攻击异常事件的输入网络链路当前对所述用户端的传输数据状态不变。16、基于iptable的流量过滤控制系统,包括:17、用户端网络链路识别模块,用于基于用户端当前连接的网络状态信息,确定所述用户端在网络内部的所有输入网络链路;18、iptable代理设置模块,用于对所述输入网络链路进行识别,得到所述输入网络链路的数据输入属性信息,并基于所述数据输入属性信息,对所有输入网络链路设置相应的iptable代理;19、数据流量异常事件判断模块,用于基于所述iptable代理,获取所述输入网络链路的数据流状态信息;对所述数据流状态信息进行分析,判断所述输入网络链路是否发生数据流量异常事件;20、异常数据包识别模块,用于对发生数据流量异常事件的输入网络链路进行异常数据流成分标识处理,得到发生数据流量异常事件的输入网络链路的异常数据包属性信息;21、流量过滤模块,用于基于所述异常数据包属性信息,对发生数据流量异常事件的输入网络链路进行流量过滤;22、网络链路工作状态调整模块,用于基于所述流量过滤的结果,调整所述发生数据流量异常事件的输入网络链路的工作状态。23、可选地,所述用户端网络链路识别模块用于基于用户端当前连接的网络状态信息,确定所述用户端在网络内部的所有输入网络链路,包括:24、基于用户端当前接入的网络网关地址,确定所述用户端当前连接的所有网络链路;再基于所有网络链路各自的上行数据和下行数据传输数据量,从所有网络链路中确定所述用户端在网络内部的所有输入网络链路;25、所述iptable代理设置模块用于对所述输入网络链路进行识别,得到所述输入网络链路的数据输入属性信息,并基于所述数据输入属性信息,对所有输入网络链路设置相应的iptable代理,包括:26、对所述输入网络链路进行识别,得到所述输入网络链路的数据输入速度信息,并基于所述数据输入速度信息,将所有输入网络链路划分为若干输入网络链路集合;其中,每个输入网络链路集合下属所有输入网络链路的数据输入速度处于同一数据输入速度范围,并且不同输入网络链路集合对应的数据输入速度范围互不相同;27、基于每个输入网络链路集合对应的数据输入速度范围,对每个输入网络链路集合设置具有匹配数据处理速度的iptable代理。28、可选地,所述数据流量异常事件判断模块用于基于所述iptable代理,获取所述输入网络链路的数据流状态信息;对所述数据流状态信息进行分析,判断所述输入网络链路是否发生数据流量异常事件,包括:29、基于所述iptable代理,对所述输入网络链路进行数据流采样处理,得到数据流样本,并对所述数据流样本进行分析,得到所述输入网络链路中传输的syn包的来源端地址信息和传输频率信息,以此作为所述输入网络链路的数据流状态信息;30、基于所述来源端地址信息和所述传输频率信息,判断所述输入网络链路当前是否发生syn包流量攻击异常事件;31、所述异常数据包识别模块用于对发生数据流量异常事件的输入网络链路进行异常数据流成分标识处理,得到发生数据流量异常事件的输入网络链路的异常数据包属性信息,包括:32、对发生syn包流量攻击异常事件的输入网络链路进行syn包传输时间标识处理,得到发生syn包流量攻击异常事件的输入网络链路的syn包传输时间信息。33、可选地,所述流量过滤模块用于基于所述异常数据包属性信息,对发生数据流量异常事件的输入网络链路进行流量过滤,包括:34、基于发生syn包流量攻击异常事件的输入网络链路的syn包传输时间信息,对发生syn包流量攻击异常事件的输入网络链路进行syn包拦截处理,从而减小发生syn包流量攻击异常事件的输入网络链路的syn包数据流量;35、所述网络链路工作状态调整模块用于基于所述流量过滤的结果,调整所述发生数据流量异常事件的输入网络链路的工作状态,包括:36、获取发生syn包流量攻击异常事件的输入网络链路进行syn包拦截处理后的平均数据流量值,若所述平均数据流量值大于或等于预设流量阈值,则停止发生syn包流量攻击异常事件的输入网络链路向所述用户端传输数据;否则,保持发生syn包流量攻击异常事件的输入网络链路当前对所述用户端的传输数据状态不变。37、与现有技术相比,本发明具有如下有益效果:38、本技术提供的基于iptable的流量过滤控制方法和系统基于用户端在网络内部所有输入网络链路的数据输入属性信息,对所有输入网络链路设置iptable代理,将输入网络链路划分到相应的安全框架中;利用iptable代理,获取输入网络链路的数据流状态信息,以此判断输入网络链路是否发生数据流量异常事件,并得到发生数据流量异常事件的输入网络链路的异常数据包属性信息,从而确定输入网络链路需要进行流量过滤拦截的数据包成分;对发生数据流量异常事件的输入网络链路进行流量过滤后,基于流量过滤的结果,调整发生数据流量异常事件的输入网络链路的工作状态,在不需要在用户端内部设置防火墙的情况下能够对用户端进行准确全面的流量控制,降低用户端的数据流量接收负荷。当前第1页12当前第1页12