一种网络攻击的监控方法及系统技术方案

本发明专利技术公开了一种网络攻击的监控方法及系统,所述方法包括：定时获取防火墙当前接入的用户的连接状态；比较当前获取的用户连接状态与上次获取的用户连接状态，将连接状态未变化的用户计数加1；将状态计数超过预设次数的用户连接判定为死亡连接；判断死亡连接用户的当前死亡连接数相对于上次死亡连接数的增长率是否超过预定值；当死亡连接用户的当前死亡连接数相对于上次死亡连接数的增长率超过预定值时，则删除该用户连接。根据本发明专利技术可以定时对防火墙当前接入的用户的连接状态进行统计，当发现有异常用户时记录该异常用户的连接状态，且在异常用户的连接状态抖动加剧时删除该异常用户，有效地提高了处理网络攻击的效率，还保证了用户的访问体验。

【技术实现步骤摘要】
一种网络攻击的监控方法及系统
本专利技术属于计算机网络
，具体涉及一种网络攻击的监控方法及系统。
技术介绍
防火墙设备经常用作局域网络的出口网管，其重要性相当于网络中的防盗门，用来控制用户的上网行为和访问限制，防火墙通常会对网络的基本访问情况进行归类并一一限制。但即使这样，也会出现仿真的网络攻击，此种攻击可以轻松的绕过防火墙所设置的访问控制，黑客通常的做法是模拟一个真实存在的用户IP地址，并借用此用户的IP地址进行访问连接，从协议层面分一个IP地址可以分为UDP类型和TCP类型两种，每种类型又可以进行6.5万个连接，相当于黑客只要取用I个有效的IP地址进行欺骗，就可以对局域网内发起13w的连接请求，如果再增加η个不同的访问目标地址，又可以进行η倍数的攻击，其危害相当于针对一个100台设备的局域网络配置有一个IOOw连接性能的防火墙。结果，一个黑客只需使用一个有效源IP地址和8个有效目标的IP地址就可以轻松攻击掉这台防护m ο对于此种情况，多数网络设备普遍采用被动的防护攻击方式，即通过防火墙对每个用户的状态进行跟踪，当防火墙的数据连接达到上限时，就删除最早先建立的连接本文档来自技高网...

【技术保护点】
一种网络攻击的监控方法,其特征在于，包括以下步骤：步骤S1，定时获取防火墙当前接入的用户的连接状态；步骤S2，比较当前获取的用户连接状态与上次获取的用户连接状态，将连接状态未变化的用户计数加1；步骤S3，将状态计数超过预设次数的用户连接判定为死亡连接；步骤S4，判断死亡连接用户的当前死亡连接数相对于上次死亡连接数的增长率是否超过预定值；步骤S5，当死亡连接用户的当前死亡连接数相对于上次死亡连接数的增长率超过预定值时，则删除该用户连接。

【技术特征摘要】
1.一种网络攻击的监控方法，其特征在于，包括以下步骤: 步骤SI，定时获取防火墙当前接入的用户的连接状态； 步骤S2，比较当前获取的用户连接状态与上次获取的用户连接状态，将连接状态未变化的用户计数加I ; 步骤S3，将状态计数超过预设次数的用户连接判定为死亡连接； 步骤S4，判断死亡连接用户的当前死亡连接数相对于上次死亡连接数的增长率是否超过预定值； 步骤S5，当死亡连接用户的当前死亡连接数相对于上次死亡连接数的增长率超过预定值时，则删除该用户连接。2.根据权利要求1所述的方法，其特征在于，将所述被判定为死亡连接的用户判定为死亡连接用户，将死亡连接用户的连接状态未变化的计数判定为死亡连接数。3.根据权利要求1所述的方法，其特征在于，所述步骤S4还包括: 步骤S41，对用户连接状态报告进行统计，统计出所有认定为死亡连接的用户； 步骤S42，将认定为死亡连接用户的当前死亡连接数与该死亡连接用户的上次死亡连接数进行比较，判断当前死亡连接数相对于上次死亡连接数的增长率是否超过预定值。4.根据权利要求 1所述的方法，其特征在于，所述步骤S5还包括: 步骤S51，将当前死亡连接数相对于上次死亡连接数的增长率超过预定值的死亡连接用户认定为攻击用户； 步骤S52，防火墙监控设备将认定为攻击用户的用户形成攻击用户列表，将该列表发送给防火墙； 步骤S53，防火墙收到列表后删除列表中的连接用户。5.根据权利要求4所述的方法，其特征在于，将所述删除的连接用户列入防火墙黑名单。6.一种网络攻击的监控系统，其特征在于，包括: 用户连接状态监视单元(I)，用于定时获取防火墙当前接入的用户的连接状态； 用户连接状态计数单元(2)，连接到所述用户连接状态监视单元(I)，用于将用户连接状态监视单元(I)当前获取的用户连接状态与上次获取的用户连接状态相比较，将连接状态未变化的用户计数加I ; 死亡连接判定单元(3)，连接到所述用户连接状...

【专利技术属性】
技术研发人员：陈海滨，刘鹏，于立洋，章敏，王禹，王智民，
申请(专利权)人：汉柏科技有限公司，
类型：发明
国别省市：天津;12