專利名稱:一種網(wǎng)絡(luò)設(shè)備攻擊防范方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)��,尤其涉及一種網(wǎng)絡(luò)設(shè)備攻擊防范方法及裝置�����。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和普及,網(wǎng)絡(luò)設(shè)備的安全可靠變得越來越重要��,也越來越多的受到人們的重視��。目前網(wǎng)絡(luò)上對于網(wǎng)絡(luò)設(shè)備的攻擊日趨頻繁���,而且手段也越發(fā)多樣���,這給網(wǎng)絡(luò)設(shè)備自身的安全和整個網(wǎng)絡(luò)的安全穩(wěn)定帶來了巨大的挑戰(zhàn)。為了增強這些網(wǎng)絡(luò)設(shè)備的安全防范性能����,使其具有更強的抗網(wǎng)絡(luò)攻擊能力和更好的網(wǎng)絡(luò)適應(yīng)性,需要對網(wǎng)絡(luò)設(shè)備攻擊防范技術(shù)做進(jìn)一步的研究����。目前對于網(wǎng)絡(luò)設(shè)備的攻擊手段主要有拒絕服務(wù)型(DoS,Deny of Service)攻擊���、 掃描窺探攻擊和畸形報文攻擊三大類。拒絕服務(wù)型攻擊是使用大量的數(shù)據(jù)包攻擊網(wǎng)絡(luò)設(shè)備�����,使網(wǎng)絡(luò)設(shè)備無法接受正常用戶的請求,或者使網(wǎng)絡(luò)設(shè)備掛起不能提供正常的工作���。DoS 攻擊主要有SYN Flood�、Fraggle等���。拒絕服務(wù)型攻擊和其他類型的攻擊的不同之處在于 攻擊者并不是去尋找進(jìn)入內(nèi)部網(wǎng)絡(luò)的入口����,而是阻止合法用戶訪問資源或路由器���,比如發(fā)送大量的協(xié)議請求報文到處理器�,造成處理器一直處理這些請求而沒法響應(yīng)其他用戶的合法請求����。掃描窺探攻擊是利用Ping掃射(包括ICMP和TCP)來標(biāo)識網(wǎng)絡(luò)設(shè)備,從而準(zhǔn)確的指出潛在的目標(biāo)利用TCP和UDP端口掃描�,就能檢測出操作系統(tǒng)和監(jiān)聽者的潛在服務(wù)。攻擊者通過掃描窺探就能大致了解目標(biāo)網(wǎng)絡(luò)設(shè)備提供的服務(wù)種類和潛在的安全漏洞�,為進(jìn)一步侵入網(wǎng)絡(luò)設(shè)備做好準(zhǔn)備?;螆笪墓羰峭ㄟ^向網(wǎng)絡(luò)設(shè)備發(fā)送有缺陷的IP報文,使得網(wǎng)絡(luò)設(shè)備在處理這樣的IP包時會出現(xiàn)崩潰����,給網(wǎng)絡(luò)設(shè)備帶來損失����?�;螆笪墓糁饕蠵ing of Death���、Teardrop ·ο上述這幾種攻擊類型當(dāng)中大多數(shù)手段是利用網(wǎng)絡(luò)設(shè)備的CPU處理能力有限�����,通過在短時間內(nèi)集中大量的數(shù)據(jù)包來沖擊網(wǎng)絡(luò)設(shè)備的CPU���,從而使得網(wǎng)絡(luò)設(shè)備的CPU疲于響應(yīng)攻擊報文,導(dǎo)致其他正常的數(shù)據(jù)和報文得不到有效處理來達(dá)到攻擊的目的�����。
發(fā)明內(nèi)容
本發(fā)明提供一種網(wǎng)絡(luò)設(shè)備攻擊防范方法及裝置�,通過對網(wǎng)絡(luò)設(shè)備接收到的報文的分析檢測,實現(xiàn)對特定端口的特定報文類型或特定主機的報文攻擊防范�。本發(fā)明技術(shù)方案包括一種網(wǎng)絡(luò)設(shè)備攻擊防范方法�����,包括步驟A、檢測周期開始���,解析網(wǎng)絡(luò)設(shè)備接收到的報文���,分別計數(shù)網(wǎng)絡(luò)設(shè)備各端口收到的每種報文的數(shù)目,同時分別計數(shù)來自不同主機的報文數(shù)目�;B、檢測周期結(jié)束����,獲取各項計數(shù)結(jié)果,若某個端口收到的某種報文的速率大于其對應(yīng)的預(yù)設(shè)閾值���,則確定該端口收到的該類報文存在攻擊行為�����,若來自某個主機的報文速率大于其對應(yīng)的預(yù)設(shè)閾值��,則確定來自該主機的報文存在攻擊行為�;C�����、丟棄存在攻擊行為的報文。
進(jìn)一步地�����,所述步驟B中�����,若本檢測周期內(nèi)未發(fā)生攻擊行為���,且之前的檢測周期中也未發(fā)生過攻擊行為���,則清除所有端口及主機的報文計數(shù)值。進(jìn)一步地���,所述步驟B中��,若本檢測周期內(nèi)未發(fā)生攻擊行為��,然而之前的檢測周期中發(fā)生過攻擊行為���,則判斷發(fā)生過攻擊行為的端口或主機的未再發(fā)生攻擊行為的周期是否達(dá)到預(yù)設(shè)的閾值���,若達(dá)到�,則解除發(fā)生過攻擊行為的端口或主機的報文丟棄措施,同時將其報文計數(shù)值清除����,否則,將發(fā)生過攻擊行為的端口或主機對應(yīng)的未再發(fā)生攻擊行為的周期計數(shù)值加一��。進(jìn)一步地�,所述步驟A中報文計數(shù)的具體過程為根據(jù)接收到的報文的端口號及報文類型信息,分別計數(shù)網(wǎng)絡(luò)設(shè)備各端口收到的每種報文的數(shù)目�����,將結(jié)果存儲到以設(shè)備端口為索引的全局?jǐn)?shù)組中�;同時根據(jù)接收到的報文中的主機信息,分別計數(shù)來自不同主機的報文數(shù)目���,將結(jié)果存儲到主機信息鏈表中�����。進(jìn)一步地����,在確定某個端口收到的某種報文存在攻擊行為時,將該端口中該類報文的攻擊行為標(biāo)志位置位��;在確定來自某個主機的報文存在攻擊行為時����,將該主機的攻擊行為標(biāo)志位置位。進(jìn)一步地�,所述檢測周期為1秒。一種網(wǎng)絡(luò)設(shè)備攻擊防范裝置��,包括報文計數(shù)模塊���,用于在檢測周期開始后解析網(wǎng)絡(luò)設(shè)備接收到的報文��,分別計數(shù)網(wǎng)絡(luò)設(shè)備各端口收到的每種報文的數(shù)目�,同時分別計數(shù)來自不同主機的報文數(shù)目���;攻擊行為確定模塊�����,用于在檢測周期結(jié)束后獲取各項計數(shù)結(jié)果����,若某個端口收到的某種報文的速率大于其對應(yīng)的預(yù)設(shè)閾值,則確定該端口收到的該類報文存在攻擊行為�����, 若來自某個主機的報文速率大于其對應(yīng)的預(yù)設(shè)閾值�,則確定來自該主機的報文存在攻擊行為���;攻擊處理模塊�,用于丟棄存在攻擊行為的報文�����。進(jìn)一步地��,若所述攻擊行為確定模塊判定本檢測周期內(nèi)未發(fā)生攻擊行為�����,且之前的檢測周期中也未發(fā)生過攻擊行為�����,則通知報文計數(shù)模塊清除所有端口及主機的報文計數(shù)值。進(jìn)一步地���,若所述攻擊行為確定模塊判定本檢測周期內(nèi)未發(fā)生攻擊行為��,然而之前的檢測周期中發(fā)生過攻擊行為���,則判斷發(fā)生過攻擊行為的端口或主機的未再發(fā)生攻擊行為的周期是否達(dá)到預(yù)設(shè)的閾值,若達(dá)到�,則通知攻擊處理模塊解除發(fā)生過攻擊行為的端口或主機的報文丟棄措施,同時通知報文計數(shù)模塊將發(fā)生過攻擊行為的端口或主機的報文計數(shù)值清除���,否則����,將發(fā)生過攻擊行為的端口或主機對應(yīng)的未再發(fā)生攻擊行為的周期計數(shù)值加一�����。進(jìn)一步地���,所述檢測周期為1秒����。本發(fā)明有益效果如下本發(fā)明能夠?qū)W(wǎng)絡(luò)設(shè)備的具體端口以及由其送至網(wǎng)絡(luò)設(shè)備的報文進(jìn)行全面的監(jiān)控,可以具體針對協(xié)議報文的類型和特定主機進(jìn)行防范����,從而達(dá)到了防范網(wǎng)絡(luò)設(shè)備攻擊的目的。
圖1為本發(fā)明所述網(wǎng)絡(luò)設(shè)備攻擊防范方法的流程圖���;圖2為本發(fā)明中網(wǎng)絡(luò)設(shè)備CPU收包驅(qū)動對報文的檢測分類流程圖�;圖3為本發(fā)明中檢測到端口上有攻擊網(wǎng)絡(luò)設(shè)備CPU行為后的處理流程圖�����;圖4為本發(fā)明所述網(wǎng)絡(luò)設(shè)備攻擊防范裝置的結(jié)構(gòu)框圖�����。
具體實施例方式本發(fā)明的主要技術(shù)構(gòu)思是在網(wǎng)絡(luò)設(shè)備的收包部分對接收到的報文進(jìn)行分析檢測���, 判定攻擊行為是否存在,并根據(jù)分析判定的結(jié)果實施相應(yīng)的動作措施��,以達(dá)到防范網(wǎng)絡(luò)設(shè)備受到報文攻擊的目的���。具體來說就是在檢測周期開始后��,網(wǎng)絡(luò)設(shè)備CPU的收包驅(qū)動中檢測經(jīng)由硬件送至CPU的報文�,從報文中讀取端口號,同時分析報文內(nèi)容�����,將其分類�,比如為ARP(Address Resolution Protocol,地址角軍析協(xié)議) 艮文、IGMP(Internet Group Management Protocol,網(wǎng)際組管理協(xié)議) 艮文���、ICMP(Internet Control Message Protocol,網(wǎng)際控制信息協(xié)議)報文���、DHCP (Dynamic Host Configuration Protocol,動態(tài)主機配置協(xié)議)/PPPOE (Point-to-Point Protocol over Ethernet,以太網(wǎng)的點對點協(xié)議)報文����、 BPDU (Bridge Protocol Data Unit,網(wǎng)橋協(xié)議數(shù)據(jù)單元)報文��、還是其他報文等等����,并對各端口送至CPU的各種類型報文的數(shù)目分別進(jìn)行計數(shù)�。同時在分析報文之后將其中的主機信息提取出來�,記錄到主機信息鏈表中,同時計數(shù)該主機送來的報文��。待檢測周期結(jié)束時��,檢測進(jìn)程主動獲取CPU收包驅(qū)動中的各項計數(shù)結(jié)果���,并和預(yù)先設(shè)定的標(biāo)準(zhǔn)進(jìn)行比較���,若檢測到某端口送至CPU的某種報文速率大于其對應(yīng)的預(yù)設(shè)閾值,即可以認(rèn)定CPU受到來自該端口的該種類型的報文攻擊(比如端口送至CPU的ARP報文速率大于lOpps��,即可以認(rèn)定CPU 受到來自該端口的ARP報文的攻擊)�����,以及是來自具體哪個主機的攻擊��;若檢測到來自某個主機的報文速率大于其對應(yīng)的預(yù)設(shè)閾值��,即可以認(rèn)定CPU受到來自該主機的報文攻擊�。然后對各相關(guān)計數(shù)器和標(biāo)志位進(jìn)行賦值或清除操作���,CPU的收包驅(qū)動便可以根據(jù)這些被置位的標(biāo)志位來決定丟棄送至CPU的被認(rèn)定為攻擊的報文��。下面結(jié)合各個附圖對本發(fā)明的具體實現(xiàn)過程予以進(jìn)一步詳細(xì)的說明�。請參閱圖1,該圖為本發(fā)明所述網(wǎng)絡(luò)設(shè)備攻擊防范方法的流程圖�����,本發(fā)明所述網(wǎng)絡(luò)設(shè)備攻擊防范方法屬于一種基于軟件分析實現(xiàn)對網(wǎng)絡(luò)設(shè)備CPU攻擊的防范方法�,主要包括以下步驟步驟一、設(shè)置各項參數(shù)���。具體包括網(wǎng)絡(luò)設(shè)備CPU攻擊的檢測周期����,默認(rèn)設(shè)置為Is ����;端口上判定報文攻擊網(wǎng)絡(luò)設(shè)備CPU的報文速率閾值,判定某個主機攻擊網(wǎng)絡(luò)設(shè)備CPU的報文速率閾值�;初始化各端口的各類計數(shù)器和標(biāo)志位的值;同時�����,開辟一個主機信息鏈表,鏈表中的各節(jié)點中記錄了每個發(fā)送報文到網(wǎng)絡(luò)設(shè)備CPU的主機的IP地址和其送至CPU的報文計數(shù)��,以及該主機是否存在攻擊行為的標(biāo)志位�。步驟二、啟動檢測任務(wù)進(jìn)程�����。請參閱圖2�,該圖為本發(fā)明中網(wǎng)絡(luò)設(shè)備CPU收包驅(qū)動對報文的檢測分類流程圖,由圖中可見���,網(wǎng)絡(luò)設(shè)備CPU收包驅(qū)動中對接收到的報文進(jìn)行內(nèi)容分析歸類��,屬于哪個端口接收到的哪種類型的報文就將其計數(shù)值相應(yīng)增加��,并將結(jié)果存儲到以端口為索引的全局?jǐn)?shù)組結(jié)構(gòu)中去���;接著提取報文中的主機信息����,遍歷主機信息鏈表,若已有記錄��,則將節(jié)點中的報文計數(shù)加1,否則將其記錄到鏈表中新的節(jié)點�,并將報文計數(shù)加1。步驟三�、確定網(wǎng)絡(luò)設(shè)備各端口或者某個特定主機是否存在利用報文攻擊網(wǎng)絡(luò)設(shè)備 CPU的行為。請參閱圖3��,該圖為本發(fā)明中檢測到端口上有攻擊網(wǎng)絡(luò)設(shè)備CPU行為后的處理流程圖����,如圖中可見,檢測周期結(jié)束時���,檢測進(jìn)程主動獲取全局?jǐn)?shù)組的值���,并以端口為索引,將數(shù)組結(jié)構(gòu)中的各項結(jié)果與開始階段設(shè)定的閾值進(jìn)行比對�����,若有達(dá)到或超過設(shè)定閾值的項存在��,則表明存在攻擊CPU的行為���,則將相應(yīng)端口的數(shù)組結(jié)構(gòu)中攻擊CPU的標(biāo)志位以及報文類型標(biāo)志位置位���。同時��,根據(jù)主機信息鏈表中記錄的各個主機發(fā)送的報文數(shù)判定是否存在有惡意攻擊行為的主機���,若有,則將該主機信息存到一個記錄攻擊行為主機的數(shù)組中去�。步驟四、檢測到端口或主機存在報文攻擊CPU的行為之后的處理���。在檢測到端口或主機存在報文攻擊CPU的行為后��,置位全局?jǐn)?shù)組中相應(yīng)元素結(jié)構(gòu)中的相應(yīng)標(biāo)志位或主機信息鏈表中相應(yīng)節(jié)點的標(biāo)志位�����,根據(jù)標(biāo)志位即可知道具體CPU受到哪個端口何種類型(或特定主機)的報文攻擊�,(設(shè)為X端口 Y型報文攻擊)�����,然后設(shè)置丟棄X端口 Y(或該特定主機)報文的標(biāo)識變量����。CPU收包驅(qū)動中根據(jù)上述置位標(biāo)志量來決定丟棄哪(幾)個端口的哪(幾)種類型的報文,或者丟棄某個特定主機的報文�����。若本檢測周期內(nèi)沒有攻擊行為發(fā)生�����,進(jìn)一步地��,若某端口或鏈表中主機的攻擊CPU 的標(biāo)志位當(dāng)前被置位(即之前被檢測出存在攻擊行為但尚未被認(rèn)定攻擊已經(jīng)結(jié)束)�����,則給全局?jǐn)?shù)組相應(yīng)元素結(jié)構(gòu)或鏈表節(jié)點中的未再發(fā)生攻擊行為的周期計數(shù)值加1���,否則���,將端口和鏈表各節(jié)點上的各項計數(shù)值清零,然后返回步驟二���,進(jìn)入下一個檢測周期�。若自前次被認(rèn)定存在攻擊行為之后的連續(xù)N個周期(N為預(yù)設(shè)的閾值,可設(shè)定)內(nèi)都未再被認(rèn)定發(fā)生新的攻擊行為(即端口或主機的攻擊CPU的標(biāo)志位當(dāng)前被置位�����,且未發(fā)生攻擊的周期計數(shù)值達(dá)到N次)��,則認(rèn)為該端口或主機已經(jīng)恢復(fù)正常�����,可以解除對端口或主機送至CPU的報文的限制措施�����,并將端口或主機攻擊CPU的標(biāo)志位和各項計數(shù)器的值清零��,返回步驟二����,進(jìn)入下一個檢測周期。相應(yīng)于本發(fā)明上述方法����,本發(fā)明還提供了一種網(wǎng)絡(luò)設(shè)備攻擊防范裝置,請參閱圖 4����,該圖為本發(fā)明所述網(wǎng)絡(luò)設(shè)備攻擊防范裝置的結(jié)構(gòu)框圖�����,其主要包括報文計數(shù)模塊,用于在檢測周期開始后解析網(wǎng)絡(luò)設(shè)備接收到的報文��,分別計數(shù)網(wǎng)絡(luò)設(shè)備各端口收到的每種報文的數(shù)目�,同時分別計數(shù)來自不同主機的報文數(shù)目;所述檢測周期為1秒�。攻擊行為確定模塊,用于在檢測周期結(jié)束后獲取各項計數(shù)結(jié)果�����,若某個端口收到的某種報文的速率大于其對應(yīng)的預(yù)設(shè)閾值���,則確定該端口收到的該類報文存在攻擊行為�����, 若來自某個主機的報文數(shù)目大于其對應(yīng)的預(yù)設(shè)閾值�����,則確定來自該主機的報文存在攻擊行為�。攻擊處理模塊,用于丟棄存在攻擊行為的報文�。其中,若所述攻擊行為確定模塊判定本檢測周期內(nèi)未發(fā)生攻擊行為���,且之前的檢測周期中也未發(fā)生過攻擊行為��,則通知報文計數(shù)模塊清除所有端口及主機的報文計數(shù)值����;若所述攻擊行為確定模塊判定本檢測周期內(nèi)未發(fā)生攻擊行為����,然而之前的檢測周期中發(fā)生過攻擊行為,則判斷發(fā)生過攻擊行為的端口或主機的未再發(fā)生攻擊行為的周期是否達(dá)到預(yù)設(shè)的閾值�,若達(dá)到,則通知攻擊處理模塊解除發(fā)生過攻擊行為的端口或主機的報文丟棄措施��,同時通知報文計數(shù)模塊將發(fā)生過攻擊行為的端口或主機的報文計數(shù)值清除�����, 否則��,將發(fā)生過攻擊行為的端口或主機對應(yīng)的未再發(fā)生攻擊行為的周期計數(shù)值加一。
顯然�,本領(lǐng)域的技術(shù)人員可以對本發(fā)明進(jìn)行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣�����,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)����,則本發(fā)明也意圖包含這些改動和變型在內(nèi)���。
權(quán)利要求
1.一種網(wǎng)絡(luò)設(shè)備攻擊防范方法���,其特征在于,包括步驟A��、檢測周期開始���,解析網(wǎng)絡(luò)設(shè)備接收到的報文���,分別計數(shù)網(wǎng)絡(luò)設(shè)備各端口收到的每種報文的數(shù)目,同時分別計數(shù)來自不同主機的報文數(shù)目���;B�����、檢測周期結(jié)束����,獲取各項計數(shù)結(jié)果,若某個端口收到的某種報文的速率大于其對應(yīng)的預(yù)設(shè)閾值���,則確定該端口收到的該類報文存在攻擊行為���,若來自某個主機的報文速率大于其對應(yīng)的預(yù)設(shè)閾值,則確定來自該主機的報文存在攻擊行為�����;C�����、丟棄存在攻擊行為的報文����。
2.如權(quán)利要求1所述的方法����,其特征在于�,所述步驟B中,若本檢測周期內(nèi)未發(fā)生攻擊行為���,且之前的檢測周期中也未發(fā)生過攻擊行為�,則清除所有端口及主機的報文計數(shù)值��。
3.如權(quán)利要求1或2所述的方法�����,其特征在于�,所述步驟B中�����,若本檢測周期內(nèi)未發(fā)生攻擊行為���,然而之前的檢測周期中發(fā)生過攻擊行為�����,則判斷發(fā)生過攻擊行為的端口或主機的未再發(fā)生攻擊行為的周期是否達(dá)到預(yù)設(shè)的閾值�,若達(dá)到,則解除發(fā)生過攻擊行為的端口或主機的報文丟棄措施����,同時將其報文計數(shù)值清除,否則�,將發(fā)生過攻擊行為的端口或主機對應(yīng)的未再發(fā)生攻擊行為的周期計數(shù)值加一。
4.如權(quán)利要求1所述的方法�,其特征在于,所述步驟A中報文計數(shù)的具體過程為根據(jù)接收到的報文的端口號及報文類型信息�,分別計數(shù)網(wǎng)絡(luò)設(shè)備各端口收到的每種報文的數(shù)目,將結(jié)果存儲到以設(shè)備端口為索引的全局?jǐn)?shù)組中�;同時根據(jù)接收到的報文中的主機信息,分別計數(shù)來自不同主機的報文數(shù)目���,將結(jié)果存儲到主機信息鏈表中�。
5.如權(quán)利要求1所述的方法�,其特征在于,在確定某個端口收到的某種報文存在攻擊行為時�,將該端口中該類報文的攻擊行為標(biāo)志位置位;在確定來自某個主機的報文存在攻擊行為時����,將該主機的攻擊行為標(biāo)志位置位���。
6.如權(quán)利要求1所述的方法,其特征在于��,所述檢測周期為1秒����。
7.—種網(wǎng)絡(luò)設(shè)備攻擊防范裝置,其特征在于�����,包括報文計數(shù)模塊����,用于在檢測周期開始后解析網(wǎng)絡(luò)設(shè)備接收到的報文,分別計數(shù)網(wǎng)絡(luò)設(shè)備各端口收到的每種報文的數(shù)目�����,同時分別計數(shù)來自不同主機的報文數(shù)目���;攻擊行為確定模塊,用于在檢測周期結(jié)束后獲取各項計數(shù)結(jié)果����,若某個端口收到的某種報文的速率大于其對應(yīng)的預(yù)設(shè)閾值��,則確定該端口收到的該類報文存在攻擊行為��,若來自某個主機的報文速率大于其對應(yīng)的預(yù)設(shè)閾值���,則確定來自該主機的報文存在攻擊行為;攻擊處理模塊�����,用于丟棄存在攻擊行為的報文��。
8.如權(quán)利要求7所述的裝置��,其特征在于����,若所述攻擊行為確定模塊判定本檢測周期內(nèi)未發(fā)生攻擊行為,且之前的檢測周期中也未發(fā)生過攻擊行為��,則通知報文計數(shù)模塊清除所有端口及主機的報文計數(shù)值��。
9.如權(quán)利要求7或8所述的裝置,其特征在于����,若所述攻擊行為確定模塊判定本檢測周期內(nèi)未發(fā)生攻擊行為,然而之前的檢測周期中發(fā)生過攻擊行為�����,則判斷發(fā)生過攻擊行為的端口或主機的未再發(fā)生攻擊行為的周期是否達(dá)到預(yù)設(shè)的閾值�,若達(dá)到,則通知攻擊處理模塊解除發(fā)生過攻擊行為的端口或主機的報文丟棄措施�����,同時通知報文計數(shù)模塊將發(fā)生過攻擊行為的端口或主機的報文計數(shù)值清除����,否則,將發(fā)生過攻擊行為的端口或主機對應(yīng)的未再發(fā)生攻擊行為的周期計數(shù)值加一���。
10.如權(quán)利要求7所述的裝置�����,其特征在于,所述檢測周期為1秒。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)設(shè)備攻擊防范方法及裝置�����,所述方法包括檢測周期開始�,解析網(wǎng)絡(luò)設(shè)備接收到的報文,分別計數(shù)網(wǎng)絡(luò)設(shè)備各端口收到的每種報文的數(shù)目�,同時分別計數(shù)來自不同主機的報文數(shù)目;檢測周期結(jié)束���,獲取各項計數(shù)結(jié)果���,若某個端口收到的某種報文的速率大于其對應(yīng)的預(yù)設(shè)閾值,則確定該端口收到的該類報文存在攻擊行為��,若來自某個主機的報文速率大于其對應(yīng)的預(yù)設(shè)閾值�,則確定來自該主機的報文存在攻擊行為;丟棄存在攻擊行為的報文����。所述裝置包括報文計數(shù)模塊、攻擊行為確定模塊和攻擊處理模塊��。本發(fā)明可以具體針對協(xié)議報文的類型和特定主機進(jìn)行防范���,從而達(dá)到了防范網(wǎng)絡(luò)設(shè)備攻擊的目的�����。
文檔編號H04L12/26GK102487339SQ20101056790
公開日2012年6月6日 申請日期2010年12月1日 優(yōu)先權(quán)日2010年12月1日
發(fā)明者吳軍, 胡扶同 申請人:中興通訊股份有限公司