一种大量IP地址快速封禁的解决方法技术

本发明专利技术涉及网络数据处理技术领域，尤其涉及一种大量IP地址快速封禁的解决方法，包括：利用识别模块将异常访问和/或异常操作的IP地址记为异常iP进行记录，并将异常IP地址转化为对应的hash值，并根据访问频率进行判断，将对应异常IP地址的hash值进行封禁或将IP地址传输至处理模块；当获取访问IP时，对照存储模块中的hash值，并将对应异常IP地址的IP地址进行封禁；当识别到新的异常访问和/或异常操作的IP地址时，更新异常IP列表。利用将异常IP地址进行识别的方式并不断更新的方式，利用缓存在网络协议前将异常IP地址进行封禁，在有效提升了网络安全性的同时，有效提升了系统对海量异常IP地址进行封禁的处理效率。常IP地址进行封禁的处理效率。常IP地址进行封禁的处理效率。

【技术实现步骤摘要】
一种大量IP地址快速封禁的解决方法


[0001]本专利技术涉及网络数据处理
，尤其涉及一种大量IP地址快速封禁的解决方法。

技术介绍

[0002]随着网络技术的不断发展，对于系统的攻击和防御技术手段也在不断发展，对于异常IP地址的封禁技术，现有的IP地址封禁大都是通过ipset和iptables结合，由于经过协议栈、网络安全框架和iptables策略，导致查找匹配慢，针对海量异常IP场景，系统将会变得很慢。中国专利公开号：CN113709005A公开了一种基于IPtables的自定义IP流量统计方法及系统，利用自定义IP并进行统计的方式，显示瞬时网络流量，从而实现流量显示以及统计；中国专利公开号：CN113315791A公开了一种基于代理模块的主机防护方法和电子装置，利用设置代理模块的方式，解决在多个IP尝试登录的次数均未达到脚本所设置的阈值时，导致主机被爆破的问题，实现了提高网络安全的技术效果；中国专利公开号：CN114598525A公开了一种针对网络攻击的IP自动封禁的方法和装置，通过获取多个网络安全设备的日志数据，将获取的日志数据解析为统一的格式，对各访问IP地址进行风险评估，确定各访问IP地址是否为高风险，并封禁高风险的访问IP地址。
[0003]由此可见，上述技术方案存在以下问题：当封锁IP数量达到一定数目时，其封锁策略本身会导致系统整体运行速度减慢的问题。

技术实现思路

[0004]为此，本专利技术提供一种大量IP地址快速封禁的解决方法，用以克服现有技术中当封锁IP数量达到一定数目时，其封锁策略本身会导致系统整体运行速度减慢，从而导致系统对海量异常IP地址进行封禁的处理效率降低的问题。
[0005]为实现上述目的，本专利技术提供一种大量IP地址快速封禁的解决方法，包括：
[0006]步骤S1，利用识别模块将异常访问和/或异常操作的IP地址记为异常iP进行记录，并传输至处理模块；
[0007]步骤S2，当所述处理模块获取所述异常IP地址时，将异常IP地址转化为对应的hash值，并存入存储模块以及所述识别模块；
[0008]步骤S3，当所述识别模块在识别到若干访问IP地址进行访问时，根据访问频率进行判断，根据对应所述异常IP地址的hash值进行封禁或将IP地址传输至所述处理模块；
[0009]步骤S4，当所述处理模块获取访问IP时，处理模块对照所述存储模块中的hash值，并将对应异常IP地址的IP地址进行封禁；
[0010]步骤S5，当所述识别模块识别到新的异常访问和/或异常操作的IP地址时，将对应IP地址标记为异常IP地址并传输至所述处理模块。
[0011]进一步地，当所述识别模块获取若干IP地址的连续若干次访问请求时，识别模块根据各IP地址的访问请求频率进行判断，对于第i个IP地址，其发出访问请求的间隔时间为
ti，其中i＝1，2，3，
…
，n，n为最大IP数量，识别模块中设有第一预设时长间隔tα以及第二预设时长间隔tβ，其中，0＜tα＜tβ，其中第一预设时长间隔tα为最小正常时间间隔，第二预设时长间隔tβ为最大连续时间间隔，识别模块将ti与tα以及tβ进行比较，以确定对应IP地址连续访问的合理性，
[0012]若ti＜tα，所述识别模块判定第i个IP地址异常，并将对应IP地址作为异常IP传输至所述处理模块；
[0013]若tα≤ti≤tβ，所述识别模块判定第i个IP地址有异常概率，并根据第i个IP地址的连续访问次数进行进一步判断；
[0014]若tβ＜ti，所述识别模块判定第i个IP地址正常，并将对应IP地址放行。
[0015]进一步地，当所述识别模块判定第i个IP地址有异常概率时，所述识别模块对第i个IP地址的连续访问次数Ti进行判断，以确定第i个IP地址连续访问的合理性，识别模块中设有预设连续访问次数Tα，其中，0＜T0，预设连续访问次数Tα为最大正常连续访问次数，识别模块将Ti与Tα进行比较，以确定第i个IP地址的访问合理性，
[0016]若Ti≤Tα，所述识别模块判定第i个IP地址正常，并将对应IP地址放行；
[0017]若Tα＜Ti，所述识别模块判定第i个IP地址异常，并将对应IP地址作为异常IP传输至所述处理模块。
[0018]进一步地，当所述处理模块获取所述识别模块传输的所述异常IP地址时，处理模块将异常IP转换为对应的异常hash值，并将对应的异常hash值传输至识别模块以及所述存储模块。
[0019]进一步地，当所述识别模块在预设时长内，接收到若干IP地址申请访问时，识别模块对访问总体密度进行判断，对于第j个预设时长，识别模块收到的IP地址访问申请量为Fj，其中，j＝1，2，3，
…
，m，m为预设时长的最大数量，识别模块中存有第一预设访问申请量Fα以及第二预设访问申请量Fβ，其中，0＜Fα＜Fβ，第一预设访问申请量Fα为最大正常访问申请量，第二预设访问申请量Fβ为最大访问申请量阈值，识别模块将Fj与Fα以及Fβ进行比较，以确定第j个预设时长内的访问密度，
[0020]若Fj≤Fα，所述识别模块判定第j个预设时长内总体访问密度正常，并将各访问IP地址传输至所述处理模块，以对对应IP地址的访问合理性进行判断；
[0021]若Fα＜Fj≤Fβ，所述识别模块判定第j个预设时长内总体访问密度大，存在大量IP地址同时发出访问请求，识别模块将各访问IP转化为对应的hash值，并根据所述异常hash值将对应的IP进行封禁；
[0022]若Fβ＜Fj，所述识别模块判定受到攻击，并断开网络连接进行熔断。
[0023]进一步地，当所述识别模块将申请访问的各IP地址传输至所述处理模块时，处理模块将各IP地址转换为hash值，并依此与所述存储模块中存储的异常hash值进行比对，并将异常hash值对应的所述IP地址封禁。
[0024]进一步地，当所述处理模块放行单个IP地址并接入内部网路时，其进行的若干信息存取操作由内部网络进行识别，当内部网络识别到单个IP地址存在破坏性操作时，将对应的IP地址传输至处理模块，同时，处理模块将所述IP地址转换为hash值，并将所述hash值传输至所述存储模块以及所述识别模块进行更新。
[0025]进一步地，当所述存储模块存储的ip地址达到预设数量时，存储模块按各所述异
常IP地址对应的加入异常IP地址次序从小到大依次移除。
[0026]进一步地，当所述识别模块判定访问密度大时，所述识别模块根据存储在其内的所述异常IP地址的异常hash值直接将对应的异常IP地址封禁，同时将其余IP地址放行。
[0027]进一步地，当所述识别模块判定访问密度大时，识别模块在封禁各所述异常IP地址时，不再更新所述处理模块传输的异常hash值。
[0028]与现有技术相比，本专利技术的有益效果在于，利用将异常IP地址进行识别的方式并不断更新的方式，利用缓存在网络协议前将异常IP地址本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种大量IP地址快速封禁的解决方法，其特征在于，包括：步骤S1，利用识别模块将异常访问和/或异常操作的IP地址记为异常iP进行记录，并传输至处理模块；步骤S2，当所述处理模块获取所述异常IP地址时，将异常IP地址转化为对应的hash值，并存入存储模块以及所述识别模块；步骤S3，当所述识别模块在识别到若干访问IP地址进行访问时，根据访问频率进行判断，根据对应所述异常IP地址的hash值进行封禁或将IP地址传输至所述处理模块；步骤S4，当所述处理模块获取访问IP时，处理模块对照所述存储模块中的hash值，并将对应异常IP地址的IP地址进行封禁；步骤S5，当所述识别模块识别到新的异常访问和/或异常操作的IP地址时，将对应I P地址标记为异常I P地址并传输至所述处理模块。2.根据权利要求1所述的大量IP地址快速封禁的解决方法，其特征在于，当所述识别模块获取若干IP地址的连续若干次访问请求时，识别模块根据各IP地址的访问请求频率进行判断，对于第i个IP地址，其发出访问请求的间隔时间为ti，其中i＝1，2，3，
…
，n，n为最大IP数量，识别模块中设有第一预设时长间隔tα以及第二预设时长间隔tβ，其中，0＜tα＜tβ，其中第一预设时长间隔tα为最小正常时间间隔，第二预设时长间隔tβ为最大连续时间间隔，识别模块将ti与tα以及tβ进行比较，以确定对应IP地址连续访问的合理性，若ti＜tα，所述识别模块判定第i个IP地址异常，并将对应IP地址作为异常IP传输至所述处理模块；若tα≤ti≤tβ，所述识别模块判定第i个IP地址有异常概率，并根据第i个IP地址的连续访问次数进行进一步判断；若tβ＜ti，所述识别模块判定第i个IP地址正常，并将对应IP地址放行。3.根据权利要求2所述的大量IP地址快速封禁的解决方法，其特征在于，当所述识别模块判定第i个IP地址有异常概率时，所述识别模块对第i个IP地址的连续访问次数Ti进行判断，以确定第i个IP地址连续访问的合理性，识别模块中设有预设连续访问次数Tα，其中，0＜T0，预设连续访问次数Tα为最大正常连续访问次数，识别模块将Ti与Tα进行比较，以确定第i个IP地址的访问合理性，若Ti≤Tα，所述识别模块判定第i个IP地址正常，并将对应IP地址放行；若Tα＜Ti，所述识别模块判定第i个IP地址异常，并将对应IP地址作为异常IP传输至所述处理模块。4.根据权利要求3所述的大量IP地址快速封禁的解决方法，其特征在于，当所述处理模块获取所述识别模块传输的所述异常IP地址时，处理模块将异常IP转换为对应的异常hash值，并...

【专利技术属性】
技术研发人员：张鹏，史志敏，余涛，
申请(专利权)人：北京哈工信息产业股份有限公司，
类型：发明
国别省市：