[发明专利]基于传输通道覆盖的网络安全防火墙系统及其工作方法

权利要求书

1.一种基于传输通道覆盖的网络安全防火墙系统，用于针对ddos攻击进行计算机安全防御，其特征在于，包括：

若干普通通道模块，用于在外部数据进入计算机时对外部数据提供一个暂时的传输通道；

第一IP地址检验模块，用于检验外部数据的IP地址的数值；

若干特征通道模块，用于根据第一IP地址检验模块检验的IP地址的数值进行外部数据的传输；

防火墙模块，用于判定外部数据是否为ddos攻击数据以及对外部数据进行响应；

若干防火墙扩展模块，用于控制所述特征通道模块的开启与关闭，且与所述特征通道模块一一对应，且受所述防火墙模块控制；

时间记录模块，用于按照互联网时间进行外部数据传输的时间记录；

流量检测模块，用于检测当前外部数据的流量；

流量记录模块，用于记录所述流量检测模块检测的每一天内外部数据流量以及根据所述时间记录模块的记录时间对外部数据的流量的变化状况进行记录。

2.根据权利要求1所述的一种基于传输通道覆盖的网络安全防火墙系统，其特征在于：所述防火墙模块包括：

对比模块，用于对比所述流量检测模块检测的当前计时时间的外部数据流量与所述流量记录模块在相同计时时间上的外部数据流量；

第一解析模块，用于对所述普通通道模块中传输的外部数据的IP地址进行解析；

第二解析模块，用于对所述特征通道模块中传输的外部数据的IP地址进行解析并拦截未成功解析的IP地址；

判定模块，用于在所述对比模块的对比结果以及所述解析模块的解析结果下判断当前外部数据流量是否为ddos攻击数据；

衔接模块，用于衔接所述普通通道模块与所述特征通道模块。

3.根据权利要求2所述的一种基于传输通道覆盖的网络安全防火墙系统，其特征在于：所述防火墙扩展模块包括：

复制模块，用于复制进入所述特征通道模块传输的外部数据；

安置模块，用于将所述复制模块复制的外部数据前置于进入所述特征通道模块的后续外部数据。

4.根据权利要求3所述的一种基于传输通道覆盖的网络安全防火墙系统，其特征在于：对于判定为ddos攻击数据的外部数据，所述防火墙模块通过所述衔接模块根据所述第一IP地址检验模块检验的IP地址数值进行数据传输导向。

5.根据权利要求4所述的一种基于传输通道覆盖的网络安全防火墙系统，其特征在于：所述防火墙扩展模块协同所述特征通道模块提供非ddos网络数据的传输通道。

6.根据权利要求5所述的一种基于传输通道覆盖的网络安全防火墙系统，其特征在于：还包括第二IP地址检验模块，所述第二IP地址检验模块用于追踪已知非ddos攻击数据的IP地址，计算机通过所述第二IP地址检验模块向非ddos攻击数据的IP地址申请网络数据。

7.一种基于传输通道覆盖的网络安全防火墙系统的工作方法，采用权利要求6所述的一种基于传输通道覆盖的网络安全防火墙系统，其特征在于：包括以下步骤：

S1：所述流量检测模块检测当前网络数据流量；

S2：所述流量记录模块预测网络数据流量的变化曲线；

S3：所述对比模块根据所述时间记录模块记录的当前时间对比当前网络数据流量与所述流量记录模块的预测网络数据流量；

S4：所述第一IP地址检验模块检验所述普通通道模块中传输的外部数据的IP地址的数值；

S5：所述第一解析模块解析所述第一IP地址检验模块检验的IP地址；

S6：所述判定模块判断所述第一解析模块解析IP地址的时间是否超过时间阈值，若是，则判定为ddos攻击数据并进入S7；

S7：防火墙模块选定若干特征通道模块进行ddos攻击数据的传输；

S8：所述第二解析模块拦截未通过解析的IP地址的ddos攻击数据；

S9：所述防火墙模块消除被隔离的ddos攻击数据。

8.根据权利要求7所述的一种基于传输通道覆盖的网络安全防火墙系统的工作方法，其特征在于：对于所述S6，还包括以下步骤：

S6：所述判定模块判断所述第一解析模块解析IP地址的时间是否超过时间阈值，若否，则暂时判定为非ddos攻击数据并进入S61；

S61：所述对比模块根据当前时间判断当前网络数据流量是否超过预测的当前网络数据流量的阈值，若是，则判定为ddos攻击数据并进入所述S7；若否，则判定为非ddos攻击数据并进入S62；

S62：所述防火墙模块选定若干特征通道模块进行非ddos攻击数据的传输；

S63：所述复制模块复制进入所述特征通道模块的非ddos攻击数据；

S64：所述安置模块将所述复制模块复制的外部数据前置于进入所述特征通道模块的后续外部数据。