一种数据对冲式的计算机网络安全系统及其工作方法技术方案

本发明专利技术涉及一种数据对冲式的计算机网络安全系统及其工作方法，包括：第一防火墙模块，阻隔外部数据的传输；外部数据识别模块，识别互联网的外部数据；协议识别模块，识别外部数据中的用户数据报协议数据包及大小；IP地址检验模块，检验外部数据以及用户数据报协议数据包的IP地址；IP地址判断模块，判断外部数据的IP地址与用户数据报协议数据包的IP地址的一致性；攻击判定模块，判定UDP Flood攻击数据；目标识别模块，判定UDP Flood攻击数据的攻击目标；对冲数据模块，根据目标识别模块判定的UDP Flood攻击数据的攻击目标提供相应的对冲数据并将对冲数据混入UDP Flood攻击数据；执行模块，进行指定的数据冲击；第二防火墙模块，隔离混合数据中的UDP Flood攻击数据。

A computer network security system based on data offset and its working method

【技术实现步骤摘要】
一种数据对冲式的计算机网络安全系统及其工作方法
本专利技术涉及网络安全领域，尤其涉及一种数据对冲式的计算机网络安全系统及其工作方法。
技术介绍
自从计算机问世以来，网络安全问题一直存在，使用者并未给予足够的重视，但是随着信息技术的发展，网络安全问题日益突出。网络安全中最大和最具挑战性的问题之一是分布式拒绝服务(DistributedDenialofService，简称DDoS)攻击，DDoS攻击是一种分布式大规模攻击方式，通过控制互联网上傀儡机对目标服务器发动攻击，产生的大量数据流涌向目标服务器，消耗服务器系统资源和带宽，或把链接占满，从而影响合法用户的访问。而UDPFlood攻击是日益猖獗的一种DDoS攻击，攻击者利用大量UDP小包发动攻击，造成企业和用户的网络瘫痪，无法提供正常的服务，因此，亟需提供一种可以有效检测并预防UDPFlood攻击的网络安全系统。
技术实现思路
专利技术目的：针对亟需提供一种可以有效检测并预防UDPFlood攻击的网络安全系统的问题，本专利技术提供一种数据对冲式的计算机网络安全系统及其工作方法。技术方案：一种数据对冲式的计算机网络安全系统，用于针对UDPFlood攻击进行网络安全防御，包括：第一防火墙模块，用于阻隔所有外部数据的传输；外部数据识别模块，用于识别互联网发送至计算机的外部数据；协议识别模块，用于识别外部数据中的用户数据报协议数据包以及用户数据报协议数据包的大小；IP地址检验模块，用于检验传输至计算机的外部数据的IP地址以及外部数据中用户数据报协议数据包的IP地址；IP地址判断模块，用于判断传输至计算机的外部数据的IP地址与外部数据中用户数据报协议数据包的IP地址的一致性；攻击判定模块，用于根据所述协议识别模块以及所述IP地址判断模块的工作内容判定UDPFlood攻击数据；目标识别模块，用于判定UDPFlood攻击数据的攻击目标；对冲数据模块，用于根据所述目标识别模块判定的UDPFlood攻击数据的攻击目标提供相应的对冲数据并将对冲数据混入UDPFlood攻击数据；执行模块，用于利用对冲数据模块提供的对冲数据对UDPFlood攻击数据的攻击目标进行指定的数据冲击；第二防火墙模块，用于隔离混合数据中的UDPFlood攻击数据。作为本专利技术的一种优选方式，当所述攻击判定模块判定出具有UDPFlood攻击数据后，所述第一防火墙模块阻止所有外部数据的传输；当所述对冲数据模块提供对冲数据后，所述第一防火墙模块允许所有外部数据传输。作为本专利技术的一种优选方式，对于所述目标识别模块，识别的目标包括DNS服务器、Radius认证服务器以及流媒体视频服务器。作为本专利技术的一种优选方式，所述协议识别模块设定数据包阈值，所述协议识别模块根据数据包阈值判断当前用户数据报协议数据包所在外部数据是否为UDPFlood攻击数据。作为本专利技术的一种优选方式，所述攻击判定模块判定UDPFlood攻击数据的依据包括外部数据所传输的用数据报协议数据包大小以及外部数据的IP地址与外部数据中用户数据报协议数据包的IP地址的一致性。作为本专利技术的一种优选方式，所述对冲数据模块包括：数据模拟模块，用于根据历史数据包模拟出UDPFlood攻击数据的攻击目标对应的临时数据包；紧急数据添加模块，用于向所述数据模拟模块模拟的临时数据包添加紧急加密数据。一种数据对冲式的计算机网络安全系统的工作方法，包括以下步骤：S01：所述外部数据识别模块识别互联网发送至计算机的外部数据；S02：所述协议识别模块从外部数据中识别用户数据报协议数据包；S03：所述协议识别模块判定用户数据报协议数据包的大小是否小于数据包阈值，若是，进入S04；S04：所述IP地址检验模块检验当前外部数据的IP地址以及当前外部数据中用户数据报协议数据包的IP地址；S05：所述IP地址判断模块判断当前外部数据的IP地址与当前外部数据中用户数据报协议数据包的IP地址是否一致，若否，则进入S06；S06：所述攻击判定模块判定当前存在UDPFlood攻击数据；S07：所述第一防火墙模块开启第一防火墙；S08：所述目标识别模块识别所述第一防火墙模块关闭前传输的外部数据中UDPFlood攻击数据的攻击目标；S09：所述对冲数据模块通过所述数据模拟模块模拟临时数据包；S10：所述紧急数据添加模块向临时数据包中添加紧急加密数据并形成对冲数据；S11：所述执行模块利用对冲数据向UDPFlood攻击数据的攻击目标发起攻击；S12：所述第一防火墙模块关闭第一防火墙；S13：所述第二防火墙模块隔离无法被UDPFlood攻击数据的攻击目标解析的数据包。作为本专利技术的一种优选方式，对于所述S07，所述第一防火墙模块对应所述第一防火墙，在外部数据传输的路径上，所述第一防火墙模块设置于传输路径的开端。作为本专利技术的一种优选方式，在所述S10中，所述加密数据为计算机内部警告数据。本专利技术实现以下有益效果：通过在UDPFlood攻击数据的UDP小包前添加易隔离的模拟木马数据，使得UDPFlood攻击数据变得不连贯，无法持续的用大量UDP小包对DNS服务器、Radius认证服务器以及流媒体视频服务器进行冲击，从而使得计算机的防火墙系统在可以及时处理模拟木马数据的同时对UDP小包进行处理，使得UDPFlood攻击数据无法在短时间内产生有效的攻击，从而使得计算机获得更长的UDPFlood攻击数据的处理时间，便于计算机进行防御。附图说明此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并于说明书一起用于解释本公开的原理。图1为本专利技术系统框架图；图2为本专利技术工作步骤图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。实施例一：参考图为图1-2。一种数据对冲式的计算机网络安全系统，用于针对UDPFlood攻击进行网络安全防御，包括：第一防火墙模块1，用于阻隔所有外部数据的传输；外部数据识别模块2，用于识别互联网发送至计算机的外部数据；协议识别模块3，用于识别外部数据中的用户数据报协议数据包以及用户数据报协议数据包的大小；IP地址检验模块4，用于检验传输至计算机的外部数据的IP地址以及外部数据中用户数据报协议数据包的IP地址；IP地址判断模块5，用于判断传输至计算机的外部数据的IP地址与外部数据中用户数据报协议数据包的IP地址的一致性；攻击判定模块6，用于根据所述协议识别模块3以及所述IP地址判断模块5的工作内容判定UDPFlood攻击数据；目标识别模块7，用于判定UDPFlood攻击数本文档来自技高网...

【技术保护点】
1.一种数据对冲式的计算机网络安全系统，用于针对UDP Flood攻击进行网络安全防御，其特征在于，包括：/n第一防火墙模块，用于阻隔所有外部数据的传输；/n外部数据识别模块，用于识别互联网发送至计算机的外部数据；/n协议识别模块，用于识别外部数据中的用户数据报协议数据包以及用户数据报协议数据包的大小；/nIP地址检验模块，用于检验传输至计算机的外部数据的IP地址以及外部数据中用户数据报协议数据包的IP地址；/nIP地址判断模块，用于判断传输至计算机的外部数据的IP地址与外部数据中用户数据报协议数据包的IP地址的一致性；/n攻击判定模块，用于根据所述协议识别模块以及所述IP地址判断模块的工作内容判定UDP Flood攻击数据；/n目标识别模块，用于判定UDP Flood攻击数据的攻击目标；/n对冲数据模块，用于根据所述目标识别模块判定的UDP Flood攻击数据的攻击目标提供相应的对冲数据并将对冲数据混入UDP Flood攻击数据；/n执行模块，用于利用对冲数据模块提供的对冲数据对UDP Flood攻击数据的攻击目标进行指定的数据冲击；/n第二防火墙模块，用于隔离混合数据中的UDP Flood攻击数据。/n...

【技术特征摘要】
1.一种数据对冲式的计算机网络安全系统，用于针对UDPFlood攻击进行网络安全防御，其特征在于，包括：
第一防火墙模块，用于阻隔所有外部数据的传输；
外部数据识别模块，用于识别互联网发送至计算机的外部数据；
协议识别模块，用于识别外部数据中的用户数据报协议数据包以及用户数据报协议数据包的大小；
IP地址检验模块，用于检验传输至计算机的外部数据的IP地址以及外部数据中用户数据报协议数据包的IP地址；
IP地址判断模块，用于判断传输至计算机的外部数据的IP地址与外部数据中用户数据报协议数据包的IP地址的一致性；
攻击判定模块，用于根据所述协议识别模块以及所述IP地址判断模块的工作内容判定UDPFlood攻击数据；
目标识别模块，用于判定UDPFlood攻击数据的攻击目标；
对冲数据模块，用于根据所述目标识别模块判定的UDPFlood攻击数据的攻击目标提供相应的对冲数据并将对冲数据混入UDPFlood攻击数据；
执行模块，用于利用对冲数据模块提供的对冲数据对UDPFlood攻击数据的攻击目标进行指定的数据冲击；
第二防火墙模块，用于隔离混合数据中的UDPFlood攻击数据。


2.根据权利要求1所述的一种数据对冲式的计算机网络安全系统，其特征在于：当所述攻击判定模块判定出具有UDPFlood攻击数据后，所述第一防火墙模块阻止所有外部数据的传输；当所述对冲数据模块提供对冲数据后，所述第一防火墙模块允许所有外部数据传输。


3.根据权利要求2所述的一种数据对冲式的计算机网络安全系统，其特征在于：对于所述目标识别模块，识别的目标包括DNS服务器、Radius认证服务器以及流媒体视频服务器。


4.根据权利要求3所述的一种数据对冲式的计算机网络安全系统，其特征在于：所述协议识别模块设定数据包阈值，所述协议识别模块根据数据包阈值判断当前用户数据报协议数据包所在外部数据是否为UDPFlood攻击数据。


5.根据权利要求4所述的一种数据对冲式的计算机网络安全系统，其特征在于：所述攻击判定模块判定UDPFlood攻击数据的依据包括外部数据所传输的用数据报协议数据包大小以及外部数据的IP地址与外部数据中用户数据报...

【专利技术属性】
技术研发人员：徐建红，
申请(专利权)人：太仓红码软件技术有限公司，
类型：发明
国别省市：江苏;32