基于传输通道覆盖的网络安全防火墙系统及其工作方法技术方案

技术编号:26072433 阅读:49 留言:0更新日期:2020-10-28 16:46
基于传输通道覆盖的网络安全防火墙系统及其工作方法,包括:若干普通通道模块,在外部数据进入计算机时对外部数据提供一个暂时的传输通道;第一IP地址检验模块,检验外部数据的IP地址的数值;若干特征通道模块,根据第一IP地址检验模块检验的IP地址的数值进行外部数据的传输;防火墙模块,判定外部数据是否为ddos攻击数据以及对外部数据进行响应;若干防火墙扩展模块,控制特征通道模块的开启与关闭;时间记录模块,按照互联网时间进行外部数据传输的时间记录;流量检测模块,检测当前外部数据的流量;流量记录模块,记录流量检测模块检测的每一天内外部数据流量以及根据时间记录模块的记录时间对外部数据的流量的变化状况进行记录。

【技术实现步骤摘要】
基于传输通道覆盖的网络安全防火墙系统及其工作方法
本专利技术涉及网络安全领域,尤其涉及一种基于传输通道覆盖的网络安全防火墙系统及其工作方法。
技术介绍
自从计算机问世以来,网络安全问题一直存在,使用者并未给予足够的重视,但是随着信息技术的发展,网络安全问题日益突出。网络安全中最大和最具挑战性的问题之一是分布式拒绝服务(DistributedDenialofService,简称DDoS)攻击,DDoS攻击是一种分布式大规模流量攻击方式,通过控制互联网上傀儡机对目标服务器发动攻击,产生的大量数据流涌向目标服务器,消耗服务器系统资源和带宽,或把链接占满,从而影响合法用户的访问。DDoS攻击对网络上的主机,服务器乃至网络基础设施均会造成严重危害,大多数情况下,DDoS攻击是无规律可寻的,攻击者利用TCP,UDP和ICMP协议发动攻击,或者是发送合理的数据请求,造成企业和用户的网络瘫痪,无法提供正常的服务,因此,亟需提供一种可以有效预防DDoS的网络安全系统。
技术实现思路
专利技术目的:针对亟需提供一种可以有效预防DDoS的网络安全系统的问题,本专利技术提供一种基于传输通道覆盖的网络安全防火墙系统及其工作方法。技术方案:一种基于传输通道覆盖的网络安全防火墙系统,用于针对ddos攻击进行计算机安全防御,包括:若干普通通道模块,用于在外部数据进入计算机时对外部数据提供一个暂时的传输通道;第一IP地址检验模块,用于检验外部数据的IP地址的数值;若干特征通道模块,用于根据第一IP地址检验模块检验的IP地址的数值进行外部数据的传输;防火墙模块,用于判定外部数据是否为ddos攻击数据以及对外部数据进行响应;若干防火墙扩展模块,用于控制所述特征通道模块的开启与关闭,且与所述特征通道模块一一对应,且受所述防火墙模块控制;时间记录模块,用于按照互联网时间进行外部数据传输的时间记录;流量检测模块,用于检测当前外部数据的流量;流量记录模块,用于记录所述流量检测模块检测的每一天内外部数据流量以及根据所述时间记录模块的记录时间对外部数据的流量的变化状况进行记录。作为本专利技术的一种优选方式,所述防火墙模块包括:对比模块,用于对比所述流量检测模块检测的当前计时时间的外部数据流量与所述流量记录模块在相同计时时间上的外部数据流量;第一解析模块,用于对所述普通通道模块中传输的外部数据的IP地址进行解析;第二解析模块,用于对所述特征通道模块中传输的外部数据的IP地址进行解析并拦截未成功解析的IP地址;判定模块,用于在所述对比模块的对比结果以及所述解析模块的解析结果下判断当前外部数据流量是否为ddos攻击数据;衔接模块,用于衔接所述普通通道模块与所述特征通道模块。作为本专利技术的一种优选方式,所述防火墙扩展模块包括:复制模块,用于复制进入所述特征通道模块传输的外部数据;安置模块,用于将所述复制模块复制的外部数据前置于进入所述特征通道模块的后续外部数据。作为本专利技术的一种优选方式,对于判定为ddos攻击数据的外部数据,所述防火墙模块通过所述衔接模块根据所述第一IP地址检验模块检验的IP地址数值进行数据传输导向。作为本专利技术的一种优选方式,所述防火墙扩展模块协同所述特征通道模块提供非ddos网络数据的传输通道。作为本专利技术的一种优选方式,还包括第二IP地址检验模块,所述第二IP地址检验模块用于追踪已知非ddos攻击数据的IP地址,计算机通过所述第二IP地址检验模块向非ddos攻击数据的IP地址申请网络数据。一种基于传输通道覆盖的网络安全防火墙系统的工作方法,包括以下步骤:S1:所述流量检测模块检测当前网络数据流量;S2:所述流量记录模块预测网络数据流量的变化曲线;S3:所述对比模块根据所述时间记录模块记录的当前时间对比当前网络数据流量与所述流量记录模块的预测网络数据流量;S4:所述第一IP地址检验模块检验所述普通通道模块中传输的外部数据的IP地址的数值;S5:所述第一解析模块解析所述第一IP地址检验模块检验的IP地址;S6:所述判定模块判断所述第一解析模块解析IP地址的时间是否超过时间阈值,若是,则判定为ddos攻击数据并进入S7;S7:防火墙模块选定若干特征通道模块进行ddos攻击数据的传输;S8:所述第二解析模块拦截未通过解析的IP地址的ddos攻击数据;S9:所述防火墙模块消除被隔离的ddos攻击数据。作为本专利技术的一种优选方式,对于所述S6,还包括以下步骤:S6:所述判定模块判断所述第一解析模块解析IP地址的时间是否超过时间阈值,若否,则暂时判定为非ddos攻击数据并进入S61;S61:所述对比模块根据当前时间判断当前网络数据流量是否超过预测的当前网络数据流量的阈值,若是,则判定为ddos攻击数据并进入所述S7;若否,则判定为非ddos攻击数据并进入S62;S62:所述防火墙模块选定若干特征通道模块进行非ddos攻击数据的传输;S63:所述复制模块复制进入所述特征通道模块的非ddos攻击数据;S64:所述安置模块将所述复制模块复制的外部数据前置于进入所述特征通道模块的后续外部数据。本专利技术实现以下有益效果:利用ddos攻击数据在攻击时具有数据流量极大从而阻碍计算机解析IP地址的特点,将超出流量阈值以及数据流量较大的陌生IP地址的数据视为ddos攻击数据,从而使得防火墙在计算机受到ddos攻击数据影响前就做出反应,诱导IP地址数值一致的外部数据统一传输并销毁,使得预防ddos攻击数据具有提前量的步骤,从而能够更加有效的防御ddos攻击数据。附图说明此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并于说明书一起用于解释本公开的原理。图1为本专利技术系统框架图;图2为本专利技术步骤图;图3为本专利技术网络结构图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。实施例一:参考图为图1-3。一种基于传输通道覆盖的网络安全防火墙系统,用于针对ddos攻击进行计算机安全防御,包括:若干普通通道模块1,用于在外部数据进入计算机时对外部数据提供一个暂时的传输通道;第一IP地址检验模块2,用于检验外部数据的IP地址的数值;若干特征通道模块3,用于根据第一IP地址检验模块2检验的IP地址的数值进行外部数据的传输;防火墙模块4,用于判定外部数据是否为ddos攻击数据以及对外部数据进行响应;若干防火墙扩展模块5,用于控制所述特征通道模块3的开启与关闭,且与所述特征通道模块3一一对应,且受所述防火墙模块4控制;时间记录模块6,用于按照互联网时本文档来自技高网...

【技术保护点】
1.一种基于传输通道覆盖的网络安全防火墙系统,用于针对ddos攻击进行计算机安全防御,其特征在于,包括:/n若干普通通道模块,用于在外部数据进入计算机时对外部数据提供一个暂时的传输通道;/n第一IP地址检验模块,用于检验外部数据的IP地址的数值;/n若干特征通道模块,用于根据第一IP地址检验模块检验的IP地址的数值进行外部数据的传输;/n防火墙模块,用于判定外部数据是否为ddos攻击数据以及对外部数据进行响应;/n若干防火墙扩展模块,用于控制所述特征通道模块的开启与关闭,且与所述特征通道模块一一对应,且受所述防火墙模块控制;/n时间记录模块,用于按照互联网时间进行外部数据传输的时间记录;/n流量检测模块,用于检测当前外部数据的流量;/n流量记录模块,用于记录所述流量检测模块检测的每一天内外部数据流量以及根据所述时间记录模块的记录时间对外部数据的流量的变化状况进行记录。/n

【技术特征摘要】
1.一种基于传输通道覆盖的网络安全防火墙系统,用于针对ddos攻击进行计算机安全防御,其特征在于,包括:
若干普通通道模块,用于在外部数据进入计算机时对外部数据提供一个暂时的传输通道;
第一IP地址检验模块,用于检验外部数据的IP地址的数值;
若干特征通道模块,用于根据第一IP地址检验模块检验的IP地址的数值进行外部数据的传输;
防火墙模块,用于判定外部数据是否为ddos攻击数据以及对外部数据进行响应;
若干防火墙扩展模块,用于控制所述特征通道模块的开启与关闭,且与所述特征通道模块一一对应,且受所述防火墙模块控制;
时间记录模块,用于按照互联网时间进行外部数据传输的时间记录;
流量检测模块,用于检测当前外部数据的流量;
流量记录模块,用于记录所述流量检测模块检测的每一天内外部数据流量以及根据所述时间记录模块的记录时间对外部数据的流量的变化状况进行记录。


2.根据权利要求1所述的一种基于传输通道覆盖的网络安全防火墙系统,其特征在于:所述防火墙模块包括:
对比模块,用于对比所述流量检测模块检测的当前计时时间的外部数据流量与所述流量记录模块在相同计时时间上的外部数据流量;
第一解析模块,用于对所述普通通道模块中传输的外部数据的IP地址进行解析;
第二解析模块,用于对所述特征通道模块中传输的外部数据的IP地址进行解析并拦截未成功解析的IP地址;
判定模块,用于在所述对比模块的对比结果以及所述解析模块的解析结果下判断当前外部数据流量是否为ddos攻击数据;
衔接模块,用于衔接所述普通通道模块与所述特征通道模块。


3.根据权利要求2所述的一种基于传输通道覆盖的网络安全防火墙系统,其特征在于:所述防火墙扩展模块包括:
复制模块,用于复制进入所述特征通道模块传输的外部数据;
安置模块,用于将所述复制模块复制的外部数据前置于进入所述特征通道模块的后续外部数据。


4.根据权利要求3所述的一种基于传输通道覆盖的网络安全防火墙系统,其特征在于:对于判定为ddos攻击数据的外部数据,所述防火墙模块通过所述衔接模块根据所述第一IP地址检验模块检验的IP地址数值进行数据传输导向。


5.根据权利要求4所述的一种基于传...

【专利技术属性】
技术研发人员:徐建红
申请(专利权)人:太仓红码软件技术有限公司
类型:发明
国别省市:江苏;32

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1