對網絡攻擊進行檢測的方法和裝置的製作方法

2023-08-09 23:10:16 1

專利名稱：對網絡攻擊進行檢測的方法和裝置的製作方法
技術領域：
本發明涉及計算機應用技術領域，尤其涉及一種對網絡攻擊進行檢測的 方法禾口裝置。
背景技術：
隨著網絡技術的發展，越來越多的企業業務通過互耳關網來實現，與此同 時，網絡安全也成為一個無法迴避的問題擺在人們的面前。傳統上，企業往 往將防火牆作為網絡安全的第一道防線，但由於網絡攻擊技術手段的日益復 雜，單純地依靠防火牆，已經無法防範複雜多變的網絡攻擊行為。入侵檢測 系統作為防火牆的補充，已成為檢測網絡攻擊行為更加有效的技術手段。
入侵檢測系統通過對網絡或系統中的若干關鍵點收集信息，並對收集到 的信息進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻
擊的跡象。入侵檢測系統一般包括3個功能信息收集、信息分析和結果處 理。信息收集的內容包括系統、數據、網絡和用戶活動的狀態和行為。信息 分析主要指通過模式匹配、統計分析等方法從收集的信息中發現各種可疑或 者攻擊行為。結果處理指發現各種攻擊行為之後的後續處理過程，通常指報 警或者網絡隔離等。
現有技術中的一種基於主機統計指標的入侵檢測系統的實現原理示意圖 如圖1所示，該入侵檢測系統的具體處理過程主要包括將入侵;險測設備通過 側掛的方式部署在網絡上，並在入侵檢測設備中設置需要進行檢測的主機的 監控列表。然後，入侵檢測設備根據從網絡中獲取的報文的IP位址的不同， 分別對監控列表中的各個主機按照主機統計指標進行統計，統計各個主機的系統日誌、文件或者目錄的異常變化、程序的可疑行為等，如果某主機的統 計值超過預先設定或者根據訓練預測出的閾值，就對該主機進行報警。
在實現本發明過程中，發明人發現上述基於主機統計指標的入侵檢測系
統中至少存在如下問題由於統計數據量大，這種入侵檢測系統只能監控預 先設定的部分主機。缺少檢測網絡異常的網絡統計指標，對不引起主機異常 的某些攻擊行為不能有效的檢測。例如，在針對目標網絡的地址掃描攻擊 中，攻擊者會給目標網絡內的每臺主機發送一次SYN (Synchronization,同 步)報文，以獲取目標網絡的主機活動情況，但這不會引起任何一個主機的 異常。
現有技術中的 一種基於網絡統計指標來檢測網絡異常的入侵檢測系統的 實現原理示意圖如圖2所示，該入侵檢測系統的具體處理過程主要包括將入 侵檢測設備部署在網絡設備上，該入侵檢測設備從網絡設備獲取報文，然 後，根據獲取的報文對其監視的整個子網按照網絡統計指標進行統計，如果 統計值超過預先設定或者通過訓練預測出的閾值，就對該子網進行報警。
在實現本發明過程中，發明人發現上述基於網絡統計指標來檢測網絡異 常的入侵^r測系統中至少存在如下問題
與主機統計指標相比，網絡統計指標粒度比較粗，對於不引起網絡異常 的某些攻擊行為不能檢測。例如針對某主機的埠掃描，攻擊者會在較短的 時間內訪問目標主機的大量埠 ，但如果網絡內主機較多，這種異常會被淹 沒在正常的網絡流量中。同理，針對某個主機的低速率攻擊也會因為異常流 量被淹沒而無法#:測到。
本發明的實施例提供了 一種對網絡攻擊進行檢測的方法和裝置，以克服 現有技術中的基於主機統計指標的檢測方法不能檢測出不引起主機異常的攻

發明內容
7擊行為、基於網絡統計指標的檢測方法不能檢測出不引起網絡異常的攻擊行 為的問題。
一種對網絡攻擊進行檢測的方法，包括 從網絡設備中獲取報文，對所述報文進行解析；
根據解析結果，對所述報文對應的主機監控列表中的主機按照預先設定 的主才幾統計指標進行主機異常才全測，並且對所述主機監控列表中所有主機組 成的子網按照預先設定的網絡統計指標進行網絡異常衝全測。
一種檢測裝置，包括
報文解析模塊，用於從網絡設備中獲取報文，對所述報文進行解析； 檢測處理模塊，用於根據所述解析結果，對所述報文對應的主機監控列 表中的主機按照預先設定的主機統計指標進行主機異常4全測，並且對所述主 機監控列表中所有主機組成的子網按照預先設定的網絡統計指標進行網絡異 常檢測。
由上述本發明的實施例提供的技術方案可以看出，本發明實施例通過將 基於主機統計指標的檢測方法和基於網絡統計指標的檢測方法有機結合，並 根據異常的具體情況對實時保存的報文數據進行分析，可以保證在系統資源 有限的情況下，對各種攻擊行為進行有效的檢測。


為了更清楚地說明本發明實施例的技術方案，下面將對實施例描述中所 需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發 明的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動性的 前提下，還可以根據這些附圖獲得其他的附圖。
圖1為現有技術中的一種基於主機統計指標的入侵檢測系統的實現原理示 意圖；圖2為現有技術中的 一種基於網絡統計指標來檢測網絡異常的入侵檢測系
統的實現原理示意圖3為本發明實施例一提供的一種對網絡攻擊進行檢測的方法的實現原理 示意圖4為本發明實施例一提供的 一種對網絡攻擊進行檢測的方法的處理流程
圖5為本發明實施例二提供的檢測埠掃描攻擊的方法的處理流程圖； 圖6為本發明實施例三提供的^r測地址掃描攻擊的方法的處理流程圖； 圖7為本發明實施例四提供的檢測SYN Flood (流)形式的DoS攻擊的方 法的處理流程圖8為本發明實施例五提供的檢測SYN Flood (流)形式的DDoS攻擊的
方法的處理流程圖9為本發明實施例提供的一種檢測裝置的結構示意圖。
具體實施例方式
在本發明實施例中，配置主機監控列表，設定針對主機監控列表中的各 個主才幾的主機統計指標和相應的閾值，以及設定針對主機監控列表中所有主 機對應的子網的網絡統計指標和相應的閾值。
然後，從網絡設備中獲取報文，對所述報文進行解析，根據解析結果對 所述才艮文對應的主機監控列表中的主機按照預先i殳定的主才幾統計指標和相應 的閾值，進行主機異常檢測，並且對所述主機監控列表中所有主機組成的子 網按照預先設定的網絡統計指標和相應的閾值，進行網絡異常檢測。
進一步地，將檢測設備以側掛或者直連的方式部署在網絡中的交換機或 者出口路由器處，所述檢測設備通過鏡像或者過濾的方式，獲取通過其所部 署的交換機或者路由器的報文。進一步地，獲取所述報文的源IP或者目的IP位址，當所述報文的源IP或者 目的IP位址屬於所述主機監控列表中的某個主機時，獲取並保存所述報文的 頭部數據；根據所述報文的頭部數據對所述某個主機的相應主機統計指標進 行更新，並且對所述主機監控列表中所有主機組成的子網的相應網絡統計指
標進行更新；根據更新後的所述主機統計指標，以及預先設定的各個主才幾的
主機統計指標的閾值，判斷所述主機監控列表中各個主機是否出現異常，根 據更新後的所述網絡統計指標，以及預先設定的子網的網絡統計指標的閾 值，判斷所述主機監控列表中所有主機對應的子網是否出現異常。
進一步地，當判斷所述主機監控列表中所有主機對應的子網出現了異 常，並且確定是不在所述主機監控列表中的其它主機出現了異常導致了所述 子網異常，則根據預先設定的策略決定是否將所述其它主機添加到所述主機 監控列表中。
為便於對本發明實施例的理解，下面將結合附圖以幾個具體實施例為例 做進一步的解釋說明，且各個實施例並不構成對本發明實施例的限定。
實施例一
該實施例提供的 一種對網絡攻擊進行檢測的方法的實現原理示意圖如圖3 所示，具體處理流程如圖4所示，包括如下處理步驟
步驟41、在入侵檢測設備中配置主機監控列表，設定針對主機監控列表 中的各個主機的主機統計指標，以及針對整個主機監控列表中所有主機對應 的子網的網絡統計指標。
將入侵檢測設備以側掛或者直連的方式部署在網絡內部的交換機或者出 口路由器處。根據指定的監控策略，如重點監控的主機、系統資源的佔有率 等，在入侵檢測設備中預先配置需要監控的主機監控列表。
10然後，根據主機監控列表中各個主機的部署位置及功能，設定針對主機 監控列表中的各個主機的主機統計指標的閾值。該主機統計指標主要包括
單位時間內主機的連接數，單位時間內主機收到的SYN報文的數目，單位時 間內主機收到的ICMP (Internet Control Message Protocol,網際網路消息協 議)報文的數目，單位時間內訪問主機的埠數目，單位時間內訪問主機端 口的次數等。上述主機統計指標由於是針對特定的單個主機進行統計，可以 對偶然的、低流量的攻擊行為進行有效的糹企測，但如果主機監控列表中主機 的數目比較多，將耗費較多的系統資源。
在該實施例中，還需要設定針對整個主機監控列表中所有主機組成的子 網的網絡統計指標的閾值。該網絡統計指標主要包括單位時間內進入網絡 的報文數，單位時間內進入網絡的字節數，單位時間內進入網絡的SYN報文 數等。網絡統計指標是針對整個子網進行統計的，因此只需要耗費很少的系 統資源，但由於檢測粒度比較粗，只能夠檢測某些特定的攻擊行為。
步驟42、入侵檢測設備獲取報文，對報文進行解析，提取並保存報文的 頭部數據。
上述入侵檢測設備通過鏡像或者過濾的方式，獲取通過其所部署的交換 機或者路由器的報文。
對上述獲取的報文進行解析，判斷該報文的源IP或者目的IP位址是否屬 於上述主機監控列表中的某個主機，如果是，提取並保存該報文的頭部數 據，用於後續的攻擊檢測分析；否則，對該報文不作處理，流程結束。
步驟43、根據保存的報文的頭部數據，對主機監控列表中的各個主機按 照主機統計指標進行主機異常檢測，對整個監控列表按照網絡統計指標進行 網絡異常檢測。
在進行網絡攻擊檢測的檢測周期到來後，根據保存的報文的頭部數據，對主機監控列表中的各個主枳』按照主才幾統計指標進行主機異常4全測，對整個 監控列表按照網絡統計指標進行網絡異常檢測。
對上述保存的報文的頭部數據進行分析，根據分析結果對針對該報文對 應的主機的主機統計指標進行更新，同時對針對整個子網的網絡統計指標進 行更新。
比如，通過對某個報文的頭部數據進行分析，確定該報文為SYN報文， 並且該報文的目的IP位址為主機監控列表中某個主機。則對該某個主機的主 機統計指標中的單位時間內主機收到的SYN報文的數目增加一次，同時，對 針對整個子網的網絡統計指標中的單位時間內進入網絡的SYN報文數目增加 一次。
根據上述更新後的各個主機的主機統計指標，以及預先設定的各個主機 的主機統計指標的閾值，判斷各個主機是否出現異常，是否遭到攻擊。
根據上述更新後的針對整個子網的網絡統計指標，以及預先設定的網絡 統計指標的閾值，判斷整個主機監控列表中所有主機組成的子網是否出現異 常，是否遭到攻擊，如果判斷出整個主機監控列表中所有主機組成的子網出 現了異常，並且確定了是不在上述主機監控列表中其它主機出現了異常，則 將該其它主機添加到上述主機監控列表中。
比如，主機監控列表中有主機A，B，C，它們構成的子網為S1，此時外部主 機D發送給主機E的報文，將直接丟棄，不做任何處理。主機D發送給主機A、 B或者C的報文，需要進行處理。如果這些報文引起了子網S1的異常，就對這 些報文進行分析，分析的結果發現異常產生的原因是主機D。此時，可以根據 預先設定的策略決定是否將主機D加入到監控列表中，上述預先設定的策略可 以為如果主機D屬於A、 B、 C所在的本地子網，則將主機D加入到主機監控 列表；如果主機D是一個遠程的外部主機，與本地的網絡無關聯，則不將主機
12D加入到主機監控列表。 實施例二
該實施例提供的檢測埠掃描攻擊的方法的處理流程如圖5所示，包括如 下處理步驟
步驟51 、單位時間內主機監控列表中的某個主機上收到的SYN報文的數 目超過了預先設定的閾值。
步驟52、獲取發送上述SYN報文的源主機，判斷上述某個主機上被上述 源主機訪問的埠的數目是否超過了預先設定的閾值，如果是，比如，上述 某個主機上有80, 79等多個埠被上述源主機訪問，則執行步驟53,否則；
流程結束。
步驟53、確定上述源主機正在對上述某個主機進行埠掃描攻擊。然 後，判斷上述源主機是否在主機監控列表中，如果不在，則根據預先設定的 策略決定是否將源主機加到主機監控列表中。比如，如果上述源主機是希望 監控的主機或者系統資源可用，則將其加入到主機監控列表中。
實施例三
該實施例提供的檢測地址掃描攻擊的方法的處理流程如圖6所示，包括如 下處理步驟
步驟61 、單位時間內整個主機監控列表中的所有主機組成的子網收到的 SYN報文的數目超過了預先設定的閾值。
步驟62、獲取發送上述SYN報文的源主機，判斷上述主機監控列表中被 上述源主機連接的主機的數目是否超過了預先設定的閾值，如果是，則執行步驟63,否則；流程結束。
步驟63、確定上述源主機正在對上述整個主機監控列表中的所有主才幾組 成的子網進行地址掃描攻擊。然後，判斷上述源主機是否在主機監控列表 中，如果不在，則根據預先設定的策略決定是否將源主機加到主機監控列表 中。比如，如果上述源主機是希望監控的主機或者系統資源可用，則將其加 入到主機監控列表中。
實施例四
該實施例提供的檢測SYN Flood (流)形式的DoS攻擊的方法的處理流程 如圖7所示，包括如下處理步驟
步驟71 、單位時間內主機監控列表中的某個主機埠上收到的SYN報文 的數目超過了預先設定的閾值。
步驟72、獲取發送上述SYN報文的源主機，判斷上述源主機訪問上述某 個主機埠的總次數是否超過了預先設定的閾值，如果是，則執行步驟73, 否則；流程結束。
步驟73、判斷上述源主機訪問上述某個主機埠的失敗次數是否超過了 預先設定的閾值，如果是，則執行步驟74,否則；流程結束。
步驟74、確定上述源主機正在對上述某個主機的某個埠進行DoS攻 擊。然後，判斷上述源主機是否在主機監控列表中，如果不在，則根據預先 設定的策略決定是否將源主機加到主機監控列表中。比如，如果上述源主機 是希望監控的主機或者系統資源可用，則將其加入到主機監控列表中。
實施例五
Syn形式的DDoS攻擊是指多個源主機同時向受害主機發送SYN報文。該實施例提供的檢測SYN Flood形式的DDoS攻擊的方法的處理流程如圖8所
示，包括如下處理步驟
步驟81、單位時間內主機監控列表中的某個主機收到的SYN報文的數目 超過了預先設定的閾值。
步驟82、獲取發送上述SYN報文的多個源主機，判斷上述多個源主機的 數目是否超過了預先設定的閾值，如果是，則執行步驟83,否則；流程結束。
步驟83、判斷上述多個源主機中的每個源主機連接上述某個主機的失敗 次數是否超過了預先設定的閾值，如果是，則執行步驟84,否則；流程結束。
步驟84、確定上述多個源主機正在對上述某個主機進行DDoS攻擊。然 後，判斷上述多個源主機是否在主機監控列表中，如果不在，則根據預先設 定的策略決定是否將多個源主機加到主機監控列表中。比如，如果上述多個 源主機是目標網絡內的主4幾，則需要加入到主機監控列表，如果上述多個源 主機是外部的主機，則由管理員或者配置文件決定是否需要加入到主機監控 列表中。
本發明實施例還提供了一種檢測裝置，其具體實現結構如圖9所示，具體 可以包括
報文解析模塊91,用於從網絡設備中獲取報文，對所述報文進行解析； 檢測處理模塊92，用於根據所述解析結果，對所述報文對應的主機監控 列表中的主機按照預先設定的主機統計指標進行主機異常^r測，並且對所述 主機監控列表中所有主機組成的子網按照預先設定的網絡統計指標進行網絡 異常4全測。所述裝置還可以包括
配置處理模塊93，用於配置主機監控列表，設定主機監控列表中的各個 主才幾的主機統計指標和相應的閾值，以及i殳定主才幾監控列表中所有主才幾組成 的子網的網絡統計指標和相應的閾值。
所述檢測處理模塊具體包括
報文頭部數據獲取模塊921 ，用於獲取所述報文的源IP或者目的IP位址， 當所述報文的源IP或者目的IP位址屬於所述主機監控列表中的某個主機時， 獲取並保存所述報文的頭部數據；
更新處理模塊922,用於根據所述報文的頭部數據對所述某個主機的相應 主機統計指標進行更新，並且對所述主才幾監控列表中所有主機組成的子網的 相應網絡統計指標進4亍更新；
異常檢測模塊923，用於根據更新後的所述主機統計指標，以及預先設定 的各個主機的主機統計指標的閾值，判斷所述主機監控列表中各個主機是否 出現異常；以及，根據更新後的所述網絡統計指標和預先設定的子網的網絡 統計指標的閾值，判斷所述主機監控列表中所有主機組成的子網是否出現異 常。
主機監控列表處理模塊924，用於當判斷所述主機監控列表中所有主機組 成的子網出現了異常，並且確定是不在所述主機監控列表中的其它主機異常 導致了所述子網異常，則根據預先設定的策略決定是否將所述其它主機添加 到所述主機監控列表中。
程，是可以通過電腦程式來指令相關的硬體來完成，所述的程序可存儲於 一計算機可讀取存儲介質中，該程序在執行時，可包括如上述各方法的實施 例的流程。其中，所述的存儲介質可為磁碟、光碟、只讀存儲記憶體(Read-Only Memory, ROM)或P逭才幾存A者i己憶體(Random Access Memory, RAM)等。
綜上所述，本發明實施例通過將基於主機統計指標的檢測方法和基於網 絡統計指標的檢測方法有機結合，並根據異常的具體情況對實時保存的報文 數據進行分析，可以保證在系統資源有限的情況下，對各種攻擊行為進行有 效的檢測。比如，能夠檢測出主機監控列表中的主機異常，能夠檢測出整個 主機監控列表中所有主機組成的子網異常、能夠檢測出對主機監控列表中的 主機的埠掃描攻擊和SYN Flood形式的DoS/DDoS攻擊、能夠檢測出對整個 主機監控列表中所有主機組成的子網的地址掃描攻擊。
本發明實施例通過動態更新主機監控列表，可以在系統資源有限的情況 下，提高入侵檢測系統的針對性，更加有效地檢測網絡攻擊。
以上所述，僅為本發明較佳的具體實施方式
，但本發明的保護範圍並不 局限於此，任何熟悉本技術領域的技術人員在本發明揭露的技術範圍內，可 輕易想到的變化或替換，都應涵蓋在本發明的保護範圍之內。因此，本發明 的保護範圍應該以權利要求的保護範圍為準。
權利要求
1、一種對網絡攻擊進行檢測的方法，其特徵在於，包括從網絡設備中獲取報文，對所述報文進行解析；根據解析結果，對所述報文對應的主機監控列表中的主機按照預先設定的主機統計指標進行主機異常檢測，並且對所述主機監控列表中所有主機組成的子網按照預先設定的網絡統計指標進行網絡異常檢測。
2、 根據權利要求1所述的對網絡攻擊進行檢測的方法，其特徵在於，所 述方法還包括配置主機監控列表，設定主機監控列表中的各個主機的主機統計指標和 相應的閾值，以及設定所述主機監控列表中所有主機組成的子網的網絡統計 指標和相應的閾值。
3、 根據權利要求1所述的對網絡攻擊進行檢測的方法，其特徵在於，所 述的從網絡設備中獲取報文，具體包括將檢測設備以側掛或者直連的方式部署在交換機或者出口路由器處，使 所述檢測設備通過鏡像或者過濾的方式，獲取通過所述交換機或者出口路由 器的報文。
4、 根據權利要求1至3任一項所述的對網絡攻擊進行檢測的方法，其特徵 在於，所述的根據解析結果，對所述報文對應的主機監控列表中的主機按照 預先設定的主機統計指標進行主機異常檢測，並且對所述主機監控列表中所 有主機組成的子網按照預先設定的網絡統計指標進行網絡異常檢測，具體包 括獲取所述報文的源IP或者目的IP位址，當所述報文的源IP或者目的IP位址屬於所述主機監控列表中的某個主機時，獲取並保存所述報文的頭部數據；根據所述報文的頭部數據對所述某個主機的相應主機統計指標進行更 新，並且對所述主機監控列表中所有主機組成的子網的相應網絡統計指標進行更新；才艮據更新後的所述主機統計指標，以及預先設定的各個主機的主才幾統計 指標的閾值，判斷所述主機監控列表中各個主機是否出現異常；根據更新後 的所述網絡統計指標，以及預先設定的子網的網絡統計指標的閾值，判斷所 述子網是否出現異常。
5、 根據權利要求4所述的對網絡攻擊進行檢測的方法，其特徵在於，所 述的方法還包括當判斷所述子網出現了異常，並且確定是不在所述主機監控列表中的其 它主機異常導致了所述子網異常，則根據預先設定的策略決定是否將所述其 它主機添加到所述主機監控列表中。
6、 根據權利要求4所述的對網絡攻擊進行檢測的方法，其特徵在於，所 述的方法還包括當確定單位時間內所述主機監控列表中的某個主機上收到的同步報文的 數目超過了預先設定的閾值時，獲取發送所述同步報文的源主機，如果所述 某個主機上被所述源主機訪問的埠的數目超過了預先設定的閾值，則確定 所述源主機正在對所述某個主機進行埠掃描攻擊；當所述源主機不在所述主機監控列表中時，根據預先設定的策略決定是 否將所述源主機添加到所述主機監控列表中。
7、 根據權利要求4所述的對網絡攻擊進行檢測的方法，其特徵在於，所 述的方法還包括當確定單位時間內所述子網收到的同步報文的數目超過了預先設定的閾 值時，獲取發送所述同步報文的源主機，如果判斷出所述主機監控列表中被所述源主機連接的主機的數目超過了預先設定的閾值，則確定所述源主機正 在對所述子網進行地址掃描攻擊；當所述源主機不在所述主機監控列表中時，根據預先設定的策略決定是 否將所述源主機添加到所述主機監控列表中。
8、 根據權利要求4所述的對網絡攻擊進行檢測的方法，其特徵在於，所 述的方法還包括當確定單位時間內所述主機監控列表中的某個主機埠上收到的同步報 文的數目超過了預先設定的閾值時，獲取發送所述同步報文的源主機，當判 斷出所述源主機訪問所述某個主機埠的總次數和失敗次數都超過了預先設 定的閾值，則確定所述源主機正在對所述某個主機埠進行DoS攻擊；當所述源主機不在所述主機監控列表中時，根據預先設定的策略決定是 否將所述源主機添加到所述主機監控列表中。
9、 根據權利要求4所述的對網絡攻擊進行檢測的方法，其特徵在於，所 述的方法還包括當確定單位時間內所述主機監控列表中的某個主機收到的同步報文的數 目超過了預先設定的閾值時，獲取發送所述同步報文的多個源主機，當判斷 出所述多個源主機的數目超過了預先設定的閾值，並且所述多個源主機中的 每個源主機連接所述某個主機失敗的次數都超過了預先設定的閾值，則確定 所述多個源主機正在對所述某個主機進行DDoS攻擊；當所述多個源主機不在所述主機監控列表中時，根據預先設定的策略決 定是否將所述多個源主機添加到所述主機監控列表中。
10、 一種檢測裝置，其特徵在於，包括報文解析模塊，用於從網絡設備中獲取報文，對所述報文進行解析； 檢測處理模塊，用於根據所述解析結果，對所述報文對應的主機監控列 表中的主機按照預先設定的主機統計指標進行主機異常檢測，並且對所述主機監控列表中所有主機組成的子網按照預先設定的網絡統計指標進行網絡異 常檢測。
11、 根據權利要求10所述的檢測裝置，其特徵在於，所述裝置還包括配置處理模塊，用於配置主機監控列表，設定主機監控列表中的各個主 機的主機統計指標和相應的閾值，以及設定主機監控列表中所有主機組成的 子網的網絡統計指標和相應的閾值。
12、 根據權利要求10或11所述的檢測裝置，其特徵在於，所述檢測處理 模塊具體包括報文頭部數據獲取模塊，用於獲取所述報文的源IP或者目的IP位址，當 所述報文的源IP或者目的IP位址屬於所述主機監控列表中的某個主機時，獲 取並保存所述報文的頭部數據；更新處理模塊，用於根據所述報文的頭部數據對所述某個主機的相應主 機統計指標進行更新，並且對所述子網的相應網絡統計指標進行更新；異常檢測模塊，用於根據更新後的所述主機統計指標，以及預先設定的 各個主機的主機統計指標的閾值，判斷所述主機監控列表中各個主機是否出 現異常；以及，根據更新後的所述網絡統計指標和預先設定的子網的網絡統 計指標的閾值，判斷所述子網是否出現異常。
13、 根據權利要求12所述的檢測裝置，其特徵在於，所述檢測處理模塊 還包括主機監控列表處理模塊，用於當判斷所述子網出現了異常，並且確定是 不在所述主機監控列表中的其它主機異常導致了所述子網異常，則根據預先 設定的策略決定是否將所述其它主機添加到所述主機監控列表中。
全文摘要
本發明提供了一種對網絡攻擊進行檢測的方法和裝置。該方法主要包括從網絡設備中獲取報文，對所述報文進行解析；根據解析結果，對所述報文對應的主機監控列表中的主機按照預先設定的主機統計指標進行主機異常檢測，並且對所述主機監控列表中所有主機組成的子網按照預先設定的網絡統計指標進行網絡異常檢測。本發明通過將基於主機統計指標的檢測方法和基於網絡統計指標的檢測方法有機結合，並根據異常的具體情況對實時保存的報文數據進行分析，可以保證在系統資源有限的情況下，對各種攻擊行為進行有效的檢測。
文檔編號H04L12/56GK101567812SQ20091007987
公開日2009年10月28日 申請日期2009年3月13日 優先權日2009年3月13日
發明者波 張, 張作富, 勇 王, 趙玉超 申請人:華為技術有限公司