基于防火墙的异常连接自动识别清理方法及系统的制作方法

基于防火墙的异常连接自动识别清理方法及系统的制作方法
【专利摘要】本发明公开了一种基于防火墙的异常连接的自动识别清理方法及系统，方法包括：S1、获取时间段内防火墙上的基于源IP的连接数，将每个源IP的IP地址以及连接数存储至连接数信息库中；S2、判断目标源IP的连接数是否大于报警阈值，若是，执行步骤S3；S3、将目标源IP存储至可疑IP信息库中，并在可疑IP信息库中记录目标源IP的连续存储次数；S4、判断目标源IP的连续存储次数是否大于设定阈值，若是，则执行步骤S5，若否，则返回步骤S1；S5、在防火墙上添加IP封锁策略，根据IP封锁策略封锁目标源IP。本发明利用防火墙的封锁策略封锁恶意IP，使得网站的可用连接数处于正常状态，保证了网站的稳定性。
【专利说明】
基于防火墙的异常连接自动识别清理方法及系统
技术领域
[0001]本发明涉及一种基于防火墙的异常连接的自动识别清理方法及系统。
【背景技术】
[0002]随着互联网技术的不断发展，在线网站的规模越来越大，业务种类越来越丰富，为了使网站更加的稳定，需要对许多参数进行有效的监控，其中连接数就是一个很重要的参数。如果某个恶意IP (网络之间互连的协议)发起了大量连接请求，网站的连接数大量增加，这样会造成正常IP访问滞后或者失败。通常情况下，网站运维工作者可以通过流量统计工具发现恶意IP，然后在防火墙上通过手动操作封锁恶意IP的访问。在这个过程中存在大量的人工操作，存在人为操作失误的风险，并且无法达到及时封锁，时效性无法满足网站稳定性的要求。

【发明内容】

[0003]本发明要解决的技术问题是为了克服现有技术中在防火墙上需要手动操作封锁恶意IP的访问，导致需要大量的人工操作、无法实现及时封锁、时效性无法满足要求的缺陷，提供一种基于防火墙的异常连接自动识别清理方法及系统。
[0004]本发明是通过下述技术方案来解决上述技术问题的:
[0005]本发明提供了一种基于防火墙的异常连接自动识别清理方法，其特点在于，包括以下步骤:
[0006]S1、获取一时间段内防火墙上的基于源IP的连接数，将每个源IP的IP地址以及连接数存储至连接数信息库中；
[0007]S2、判断目标源IP的连接数是否大于一报警阈值，并在判断为是时，执行步骤S3;
[0008]S3、将所述目标源IP存储至一可疑IP信息库中，并在所述可疑IP信息库中记录所述目标源IP的连续存储次数；
[0009]S4、判断所述目标源IP的连续存储次数是否大于一设定阈值，若是，则执行步骤&，若否，则返回步骤S1;
[0010]S5、在防火墙上添加IP封锁策略，根据所述IP封锁策略封锁所述目标源IP。
[0011 ] 较佳地，步骤SdP S2之间还包括:
[0012]Sn、检测目标源IP的连接数是否为异常值，若是，则执行步骤S2，若否，则返回步骤Si；
[0013]步骤S2中则判断所述目标源IP的异常值是否大于所述报警阈值。
[0014]较佳地，步骤&中还在判断为否时将所述可疑IP信息库中记录的所述目标源IP的连续存储次数清零，并返回步骤S1。
[0015]较佳地，步骤S1中还将每个源IP发出连接请求时的时间信息存储至所述连接数信息库中。
[0016]较佳地，步骤S5中还为所述IP封锁策略设置一策略时效。
[0017]本发明的目的在于还提供了一种基于防火墙的异常连接自动识别清理系统，其特点在于，包括:
[0018]连接数获取模块，用于获取一时间段内防火墙上的基于源IP的连接数，将每个源IP的IP地址以及连接数存储至连接数信息库中；
[0019]第一判断模块，用于判断目标源IP的连接数是否大于一报警阈值，并在判断为是时，调用一存储模块；
[0020]所述存储模块用于将所述目标源IP存储至一可疑IP信息库中，并在所述可疑IP信息库中记录所述目标源IP的连续存储次数；
[0021 ]第二判断模块，用于判断所述目标源IP的连续存储次数是否大于一设定阈值，若是，则调用一封锁模块，若否，则调用所述连接数获取模块；
[0022]所述封锁模块用于在防火墙上添加IP封锁策略，根据所述IP封锁策略封锁所述目标源IP。
[0023]较佳地，所述异常连接自动识别清理系统还包括检测模块，所述连接数获取模块用于调用所述检测模块，所述检测模块用于检测目标源IP的连接数是否为异常值，若是，则调用所述第一判断模块，若否，则调用所述连接数获取模块；
[0024]所述第一判断模块用于判断所述目标源IP的异常值是否大于所述报警阈值。
[0025]较佳地，所述第一判断模块还用于在判断为否时将所述可疑IP信息库中记录的所述目标源IP的连续存储次数清零，并调用所述连接数获取模块。
[0026]较佳地，所述连接数获取模块还用于将每个源IP发出连接请求时的时间信息存储至所述连接数信息库中。
[0027]较佳地，所述封锁模块还用于为所述IP封锁策略设置一策略时效。
[0028]本发明的积极进步效果在于:本发明通过收集防火墙上的IP连接数信息，并进行实时异常值分析，快速定位引起网站连接数异常的源IP，进而利用防火墙的封锁策略封锁恶意IP，使得网站的可用连接数处于正常状态，保证了网站的稳定性。同时，采用严格的检测标准，降低误封锁IP的概率，标准化的封锁策略，提高了效率，有效地避免了人为操作的产生。
【附图说明】
[0029]图1为本发明的较佳实施例的基于防火墙的异常连接自动识别清理方法的流程图。
[0030]图2为本发明的较佳实施例的基于防火墙的异常连接自动识别清理系统的模块示意图。
【具体实施方式】
[0031]下面通过实施例的方式进一步说明本发明，但并不因此将本发明限制在所述的实施例范围之中。
[0032]如图1所示，本发明的基于防火墙的异常连接自动识别清理方法包括以下步骤:
[0033]步骤101、获取一时间段内防火墙上的基于源IP的连接数，将每个源IP的IP地址以及连接数存储至连接数信息库中；
[0034]优选地，步骤101中还将每个源IP发出连接请求时的时间信息存储至所述连接数信息库中；具体可以通过防火墙API(应用程序编程接口)对防火墙上的基于源IP的连接数信息进行收集，并将收集到的连接数信息，以IP为单位建立每个IP的连接数时间序列存储至所述连接数信息库中；
[0035]步骤102、检测目标源IP的连接数是否为异常值，若是，则执行步骤103，若否，则返回步骤101;
[0036]其中，目标源IP可以为所述连接数信息库中存储的任意一个或多个IP，步骤102中具体可采用现有的时间序列异常值检测算法进行检测，从而可以最大程度地降低误报的情况出现；
[0037]步骤103、判断目标源IP的异常值是否大于一报警阈值，并在判断为是时，执行步骤104，在判断为否时将可疑IP信息库中记录的所述目标源IP的连续存储次数清零，并返回步骤101;
[0038]步骤103中通过对目标源IP的异常值与预先设定的报警阈值进行比较，对连接数(即异常值)大于报警阈值的源IP进行监控；
[0039]步骤104、将所述目标源IP存储至一可疑IP信息库中，并在所述可疑IP信息库中记录所述目标源IP的连续存储次数；
[0040]其中，所述目标源IP的连续存储次数可以进行叠加；
[0041]步骤105、判断所述目标源IP的连续存储次数是否大于一设定阈值，若是，则执行步骤106，若否，则返回步骤101;
[0042]步骤106、在防火墙上添加IP封锁策略，根据所述IP封锁策略封锁所述目标源IP。
[0043]在步骤106中，对于需要清理的源IP(即恶意IP)，利用预先制定的封锁策略模板，生成防火墙的IP封锁策略，并且调用防火墙API下发生成的IP封锁策略，实现对恶意IP的封锁，实现异常连接的清理。优选地，步骤106中还为所述IP封锁策略设置一策略时效(例如半个小时等)，若策略时效已过，则防火墙会自动释放所述IP封锁策略。
[0044]如图2所示，本发明的基于防火墙的异常连接自动识别清理系统包括连接数获取模块1、第一判断模块2、存储模块3、第二判断模块4、封锁模块5以及检测模块6。
[0045]其中，所述连接数获取模块I用于获取一时间段内防火墙上的基于源IP的连接数，将每个源IP的IP地址以及连接数存储至连接数信息库中，并调用所述检测模块6;
[0046]优选地，所述连接数获取模块I还将每个源IP发出连接请求时的时间信息存储至所述连接数信息库中；
[0047]所述检测模块6会检测目标源IP的连接数是否为异常值，若是，则调用所述第一判断模块2，若否，则调用所述连接数获取模块I;
[0048]所述第一判断模块2则判断所述目标源IP的异常值是否大于一报警阈值，若是，则调用所述存储模块3，所述存储模块3用于将所述目标源IP存储至可疑IP信息库中，并在所述可疑IP信息库中记录所述目标源IP的连续存储次数；
[0049]所述第一判断模块2在判断为否时，则将可疑IP信息库中记录的所述目标源IP的连续存储次数清零，并调用所述连接数获取模块I;
[0050]所述第二判断模块4则判断所述目标源IP的连续存储次数是否大于一设定阈值，若是，则调用所述封锁模块5，若否，则调用所述连接数获取模块I;
[0051]所述封锁模块5会在防火墙上添加IP封锁策略，根据所述IP封锁策略封锁所述目标源IP。
[0052]其中，优选地，所述封锁模块5还为所述IP封锁策略设置策略时效，一旦策略时效已过，则防火墙会自动释放所述IP封锁策略。
[0053]虽然以上描述了本发明的【具体实施方式】，但是本领域的技术人员应当理解，这些仅是举例说明，本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下，可以对这些实施方式做出多种变更或修改，但这些变更和修改均落入本发明的保护范围。
【主权项】
1.一种基于防火墙的异常连接自动识别清理方法，其特征在于，包括以下步骤: S1、获取一时间段内防火墙上的基于源IP的连接数，将每个源IP的IP地址以及连接数存储至连接数信息库中； &、判断目标源IP的连接数是否大于一报警阈值，并在判断为是时，执行步骤S3; 53、将所述目标源IP存储至一可疑IP信息库中，并在所述可疑IP信息库中记录所述目标源IP的连续存储次数； 54、判断所述目标源IP的连续存储次数是否大于一设定阈值，若是，则执行步骤S5，若否，则返回步骤S1; 55、在防火墙上添加IP封锁策略，根据所述IP封锁策略封锁所述目标源IP。2.如权利要求1所述的异常连接自动识别清理方法，其特征在于，步骤SdPSsi间还包括: Sn、检测目标源IP的连接数是否为异常值，若是，则执行步骤&，若否，则返回步骤S1; 步骤S2中则判断所述目标源IP的异常值是否大于所述报警阈值。3.如权利要求1所述的异常连接自动识别清理方法，其特征在于，步骤S2中还在判断为否时将所述可疑IP信息库中记录的所述目标源IP的连续存储次数清零，并返回步骤Si。4.如权利要求1所述的异常连接自动识别清理方法，其特征在于，步骤S1中还将每个源IP发出连接请求时的时间信息存储至所述连接数信息库中。5.如权利要求1-4中任意一项所述的异常连接自动识别清理方法，其特征在于，步骤S5中还为所述IP封锁策略设置一策略时效。6.一种基于防火墙的异常连接自动识别清理系统，其特征在于，包括: 连接数获取模块，用于获取一时间段内防火墙上的基于源IP的连接数，将每个源IP的IP地址以及连接数存储至连接数信息库中； 第一判断模块，用于判断目标源IP的连接数是否大于一报警阈值，并在判断为是时，调用一存储模块； 所述存储模块用于将所述目标源IP存储至一可疑IP信息库中，并在所述可疑IP信息库中记录所述目标源IP的连续存储次数； 第二判断模块，用于判断所述目标源IP的连续存储次数是否大于一设定阈值，若是，则调用一封锁模块，若否，则调用所述连接数获取模块； 所述封锁模块用于在防火墙上添加IP封锁策略，根据所述IP封锁策略封锁所述目标源IPo7.如权利要求6所述的异常连接自动识别清理系统，其特征在于，所述异常连接自动识别清理系统还包括检测模块，所述连接数获取模块用于调用所述检测模块，所述检测模块用于检测目标源IP的连接数是否为异常值，若是，则调用所述第一判断模块，若否，则调用所述连接数获取模块； 所述第一判断模块用于判断所述目标源IP的异常值是否大于所述报警阈值。8.如权利要求6所述的异常连接自动识别清理系统，其特征在于，所述第一判断模块还用于在判断为否时将所述可疑IP信息库中记录的所述目标源IP的连续存储次数清零，并调用所述连接数获取模块。9.如权利要求6所述的异常连接自动识别清理系统，其特征在于，所述连接数获取模块还用于将每个源IP发出连接请求时的时间信息存储至所述连接数信息库中。10.如权利要求6-9中任意一项所述的异常连接自动识别清理系统，其特征在于，所述封锁模块还用于为所述IP封锁策略设置一策略时效。
【文档编号】H04L29/06GK106060053SQ201610407787
【公开日】2016年10月26日
【申请日】2016年6月12日
【发明人】吴善鹏, 雷兵, 田国华, 朱志博
【申请人】上海携程商务有限公司