專利名稱:對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)應(yīng)用技術(shù)領(lǐng)域�����,尤其涉及一種對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)的 方法禾口裝置���。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展���,越來(lái)越多的企業(yè)業(yè)務(wù)通過(guò)互耳關(guān)網(wǎng)來(lái)實(shí)現(xiàn),與此同 時(shí),網(wǎng)絡(luò)安全也成為一個(gè)無(wú)法回避的問(wèn)題擺在人們的面前�����。傳統(tǒng)上����,企業(yè)往 往將防火墻作為網(wǎng)絡(luò)安全的第一道防線,但由于網(wǎng)絡(luò)攻擊技術(shù)手段的日益復(fù) 雜�,單純地依靠防火墻,已經(jīng)無(wú)法防范復(fù)雜多變的網(wǎng)絡(luò)攻擊行為�����。入侵檢測(cè) 系統(tǒng)作為防火墻的補(bǔ)充��,已成為檢測(cè)網(wǎng)絡(luò)攻擊行為更加有效的技術(shù)手段�。
入侵檢測(cè)系統(tǒng)通過(guò)對(duì)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并對(duì)收集到 的信息進(jìn)行分析��,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻
擊的跡象���。入侵檢測(cè)系統(tǒng)一般包括3個(gè)功能信息收集�����、信息分析和結(jié)果處 理����。信息收集的內(nèi)容包括系統(tǒng)��、數(shù)據(jù)�����、網(wǎng)絡(luò)和用戶活動(dòng)的狀態(tài)和行為�����。信息 分析主要指通過(guò)模式匹配����、統(tǒng)計(jì)分析等方法從收集的信息中發(fā)現(xiàn)各種可疑或 者攻擊行為。結(jié)果處理指發(fā)現(xiàn)各種攻擊行為之后的后續(xù)處理過(guò)程��,通常指報(bào) 警或者網(wǎng)絡(luò)隔離等��。
現(xiàn)有技術(shù)中的一種基于主機(jī)統(tǒng)計(jì)指標(biāo)的入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)原理示意圖 如圖1所示���,該入侵檢測(cè)系統(tǒng)的具體處理過(guò)程主要包括將入侵;險(xiǎn)測(cè)設(shè)備通過(guò) 側(cè)掛的方式部署在網(wǎng)絡(luò)上�,并在入侵檢測(cè)設(shè)備中設(shè)置需要進(jìn)行檢測(cè)的主機(jī)的 監(jiān)控列表。然后��,入侵檢測(cè)設(shè)備根據(jù)從網(wǎng)絡(luò)中獲取的報(bào)文的IP地址的不同�����, 分別對(duì)監(jiān)控列表中的各個(gè)主機(jī)按照主機(jī)統(tǒng)計(jì)指標(biāo)進(jìn)行統(tǒng)計(jì)��,統(tǒng)計(jì)各個(gè)主機(jī)的系統(tǒng)日志����、文件或者目錄的異常變化、程序的可疑行為等��,如果某主機(jī)的統(tǒng) 計(jì)值超過(guò)預(yù)先設(shè)定或者根據(jù)訓(xùn)練預(yù)測(cè)出的閾值�����,就對(duì)該主機(jī)進(jìn)行報(bào)警�。
在實(shí)現(xiàn)本發(fā)明過(guò)程中,發(fā)明人發(fā)現(xiàn)上述基于主機(jī)統(tǒng)計(jì)指標(biāo)的入侵檢測(cè)系
統(tǒng)中至少存在如下問(wèn)題由于統(tǒng)計(jì)數(shù)據(jù)量大�,這種入侵檢測(cè)系統(tǒng)只能監(jiān)控預(yù) 先設(shè)定的部分主機(jī)。缺少檢測(cè)網(wǎng)絡(luò)異常的網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)����,對(duì)不引起主機(jī)異常 的某些攻擊行為不能有效的檢測(cè)����。例如����,在針對(duì)目標(biāo)網(wǎng)絡(luò)的地址掃描攻擊 中����,攻擊者會(huì)給目標(biāo)網(wǎng)絡(luò)內(nèi)的每臺(tái)主機(jī)發(fā)送一次SYN (Synchronization,同 步)報(bào)文,以獲取目標(biāo)網(wǎng)絡(luò)的主機(jī)活動(dòng)情況���,但這不會(huì)引起任何一個(gè)主機(jī)的 異常����。
現(xiàn)有技術(shù)中的 一種基于網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)來(lái)檢測(cè)網(wǎng)絡(luò)異常的入侵檢測(cè)系統(tǒng)的 實(shí)現(xiàn)原理示意圖如圖2所示��,該入侵檢測(cè)系統(tǒng)的具體處理過(guò)程主要包括將入 侵檢測(cè)設(shè)備部署在網(wǎng)絡(luò)設(shè)備上�,該入侵檢測(cè)設(shè)備從網(wǎng)絡(luò)設(shè)備獲取報(bào)文,然 后�����,根據(jù)獲取的報(bào)文對(duì)其監(jiān)視的整個(gè)子網(wǎng)按照網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)進(jìn)行統(tǒng)計(jì)�����,如果 統(tǒng)計(jì)值超過(guò)預(yù)先設(shè)定或者通過(guò)訓(xùn)練預(yù)測(cè)出的閾值,就對(duì)該子網(wǎng)進(jìn)行報(bào)警�。
在實(shí)現(xiàn)本發(fā)明過(guò)程中,發(fā)明人發(fā)現(xiàn)上述基于網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)來(lái)檢測(cè)網(wǎng)絡(luò)異 常的入侵^r測(cè)系統(tǒng)中至少存在如下問(wèn)題
與主機(jī)統(tǒng)計(jì)指標(biāo)相比�,網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)粒度比較粗,對(duì)于不引起網(wǎng)絡(luò)異常 的某些攻擊行為不能檢測(cè)��。例如針對(duì)某主機(jī)的端口掃描�����,攻擊者會(huì)在較短的 時(shí)間內(nèi)訪問(wèn)目標(biāo)主機(jī)的大量端口 ���,但如果網(wǎng)絡(luò)內(nèi)主機(jī)較多���,這種異常會(huì)被淹 沒(méi)在正常的網(wǎng)絡(luò)流量中。同理�����,針對(duì)某個(gè)主機(jī)的低速率攻擊也會(huì)因?yàn)楫惓A?量被淹沒(méi)而無(wú)法#:測(cè)到����。
本發(fā)明的實(shí)施例提供了 一種對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)的方法和裝置����,以克服 現(xiàn)有技術(shù)中的基于主機(jī)統(tǒng)計(jì)指標(biāo)的檢測(cè)方法不能檢測(cè)出不引起主機(jī)異常的攻
發(fā)明內(nèi)容
7擊行為����、基于網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)的檢測(cè)方法不能檢測(cè)出不引起網(wǎng)絡(luò)異常的攻擊行 為的問(wèn)題。
一種對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)的方法��,包括 從網(wǎng)絡(luò)設(shè)備中獲取報(bào)文���,對(duì)所述報(bào)文進(jìn)行解析;
根據(jù)解析結(jié)果�����,對(duì)所述報(bào)文對(duì)應(yīng)的主機(jī)監(jiān)控列表中的主機(jī)按照預(yù)先設(shè)定 的主才幾統(tǒng)計(jì)指標(biāo)進(jìn)行主機(jī)異常才全測(cè)�,并且對(duì)所述主機(jī)監(jiān)控列表中所有主機(jī)組 成的子網(wǎng)按照預(yù)先設(shè)定的網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)進(jìn)行網(wǎng)絡(luò)異常沖全測(cè)。
一種檢測(cè)裝置�,包括
報(bào)文解析模塊,用于從網(wǎng)絡(luò)設(shè)備中獲取報(bào)文��,對(duì)所述報(bào)文進(jìn)行解析���; 檢測(cè)處理模塊���,用于根據(jù)所述解析結(jié)果�����,對(duì)所述報(bào)文對(duì)應(yīng)的主機(jī)監(jiān)控列 表中的主機(jī)按照預(yù)先設(shè)定的主機(jī)統(tǒng)計(jì)指標(biāo)進(jìn)行主機(jī)異常4全測(cè)���,并且對(duì)所述主 機(jī)監(jiān)控列表中所有主機(jī)組成的子網(wǎng)按照預(yù)先設(shè)定的網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)進(jìn)行網(wǎng)絡(luò)異 常檢測(cè)。
由上述本發(fā)明的實(shí)施例提供的技術(shù)方案可以看出����,本發(fā)明實(shí)施例通過(guò)將 基于主機(jī)統(tǒng)計(jì)指標(biāo)的檢測(cè)方法和基于網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)的檢測(cè)方法有機(jī)結(jié)合,并 根據(jù)異常的具體情況對(duì)實(shí)時(shí)保存的報(bào)文數(shù)據(jù)進(jìn)行分析���,可以保證在系統(tǒng)資源 有限的情況下���,對(duì)各種攻擊行為進(jìn)行有效的檢測(cè)。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案��,下面將對(duì)實(shí)施例描述中所 需要使用的附圖作簡(jiǎn)單地介紹��,顯而易見(jiàn)地�,下面描述中的附圖僅僅是本發(fā) 明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)性的 前提下�����,還可以根據(jù)這些附圖獲得其他的附圖��。
圖1為現(xiàn)有技術(shù)中的一種基于主機(jī)統(tǒng)計(jì)指標(biāo)的入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)原理示 意圖��;圖2為現(xiàn)有技術(shù)中的 一種基于網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)來(lái)檢測(cè)網(wǎng)絡(luò)異常的入侵檢測(cè)系
統(tǒng)的實(shí)現(xiàn)原理示意圖3為本發(fā)明實(shí)施例一提供的一種對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)的方法的實(shí)現(xiàn)原理 示意圖4為本發(fā)明實(shí)施例一提供的 一種對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)的方法的處理流程
圖5為本發(fā)明實(shí)施例二提供的檢測(cè)端口掃描攻擊的方法的處理流程圖��; 圖6為本發(fā)明實(shí)施例三提供的^r測(cè)地址掃描攻擊的方法的處理流程圖��; 圖7為本發(fā)明實(shí)施例四提供的檢測(cè)SYN Flood (流)形式的DoS攻擊的方 法的處理流程圖8為本發(fā)明實(shí)施例五提供的檢測(cè)SYN Flood (流)形式的DDoS攻擊的
方法的處理流程圖9為本發(fā)明實(shí)施例提供的一種檢測(cè)裝置的結(jié)構(gòu)示意圖��。
具體實(shí)施例方式
在本發(fā)明實(shí)施例中�,配置主機(jī)監(jiān)控列表�����,設(shè)定針對(duì)主機(jī)監(jiān)控列表中的各 個(gè)主才幾的主機(jī)統(tǒng)計(jì)指標(biāo)和相應(yīng)的閾值��,以及設(shè)定針對(duì)主機(jī)監(jiān)控列表中所有主 機(jī)對(duì)應(yīng)的子網(wǎng)的網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)和相應(yīng)的閾值����。
然后,從網(wǎng)絡(luò)設(shè)備中獲取報(bào)文,對(duì)所述報(bào)文進(jìn)行解析��,根據(jù)解析結(jié)果對(duì) 所述才艮文對(duì)應(yīng)的主機(jī)監(jiān)控列表中的主機(jī)按照預(yù)先i殳定的主才幾統(tǒng)計(jì)指標(biāo)和相應(yīng) 的閾值�,進(jìn)行主機(jī)異常檢測(cè),并且對(duì)所述主機(jī)監(jiān)控列表中所有主機(jī)組成的子 網(wǎng)按照預(yù)先設(shè)定的網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)和相應(yīng)的閾值���,進(jìn)行網(wǎng)絡(luò)異常檢測(cè)���。
進(jìn)一步地,將檢測(cè)設(shè)備以側(cè)掛或者直連的方式部署在網(wǎng)絡(luò)中的交換機(jī)或 者出口路由器處��,所述檢測(cè)設(shè)備通過(guò)鏡像或者過(guò)濾的方式���,獲取通過(guò)其所部 署的交換機(jī)或者路由器的報(bào)文���。進(jìn)一步地,獲取所述報(bào)文的源IP或者目的IP地址����,當(dāng)所述報(bào)文的源IP或者 目的IP地址屬于所述主機(jī)監(jiān)控列表中的某個(gè)主機(jī)時(shí),獲取并保存所述報(bào)文的 頭部數(shù)據(jù)�����;根據(jù)所述報(bào)文的頭部數(shù)據(jù)對(duì)所述某個(gè)主機(jī)的相應(yīng)主機(jī)統(tǒng)計(jì)指標(biāo)進(jìn) 行更新,并且對(duì)所述主機(jī)監(jiān)控列表中所有主機(jī)組成的子網(wǎng)的相應(yīng)網(wǎng)絡(luò)統(tǒng)計(jì)指
標(biāo)進(jìn)行更新�����;根據(jù)更新后的所述主機(jī)統(tǒng)計(jì)指標(biāo)����,以及預(yù)先設(shè)定的各個(gè)主才幾的
主機(jī)統(tǒng)計(jì)指標(biāo)的閾值,判斷所述主機(jī)監(jiān)控列表中各個(gè)主機(jī)是否出現(xiàn)異常���,根 據(jù)更新后的所述網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)����,以及預(yù)先設(shè)定的子網(wǎng)的網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)的閾 值��,判斷所述主機(jī)監(jiān)控列表中所有主機(jī)對(duì)應(yīng)的子網(wǎng)是否出現(xiàn)異常����。
進(jìn)一步地�,當(dāng)判斷所述主機(jī)監(jiān)控列表中所有主機(jī)對(duì)應(yīng)的子網(wǎng)出現(xiàn)了異 常,并且確定是不在所述主機(jī)監(jiān)控列表中的其它主機(jī)出現(xiàn)了異常導(dǎo)致了所述 子網(wǎng)異常�����,則根據(jù)預(yù)先設(shè)定的策略決定是否將所述其它主機(jī)添加到所述主機(jī) 監(jiān)控列表中。
為便于對(duì)本發(fā)明實(shí)施例的理解�����,下面將結(jié)合附圖以幾個(gè)具體實(shí)施例為例 做進(jìn)一步的解釋說(shuō)明���,且各個(gè)實(shí)施例并不構(gòu)成對(duì)本發(fā)明實(shí)施例的限定�����。
實(shí)施例一
該實(shí)施例提供的 一種對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)的方法的實(shí)現(xiàn)原理示意圖如圖3 所示�,具體處理流程如圖4所示����,包括如下處理步驟
步驟41、在入侵檢測(cè)設(shè)備中配置主機(jī)監(jiān)控列表�����,設(shè)定針對(duì)主機(jī)監(jiān)控列表 中的各個(gè)主機(jī)的主機(jī)統(tǒng)計(jì)指標(biāo)����,以及針對(duì)整個(gè)主機(jī)監(jiān)控列表中所有主機(jī)對(duì)應(yīng) 的子網(wǎng)的網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)。
將入侵檢測(cè)設(shè)備以側(cè)掛或者直連的方式部署在網(wǎng)絡(luò)內(nèi)部的交換機(jī)或者出 口路由器處����。根據(jù)指定的監(jiān)控策略�,如重點(diǎn)監(jiān)控的主機(jī)�����、系統(tǒng)資源的占有率 等��,在入侵檢測(cè)設(shè)備中預(yù)先配置需要監(jiān)控的主機(jī)監(jiān)控列表�。
10然后,根據(jù)主機(jī)監(jiān)控列表中各個(gè)主機(jī)的部署位置及功能����,設(shè)定針對(duì)主機(jī) 監(jiān)控列表中的各個(gè)主機(jī)的主機(jī)統(tǒng)計(jì)指標(biāo)的閾值。該主機(jī)統(tǒng)計(jì)指標(biāo)主要包括
單位時(shí)間內(nèi)主機(jī)的連接數(shù)�,單位時(shí)間內(nèi)主機(jī)收到的SYN報(bào)文的數(shù)目,單位時(shí) 間內(nèi)主機(jī)收到的ICMP (Internet Control Message Protocol,互聯(lián)網(wǎng)消息協(xié) 議)報(bào)文的數(shù)目�����,單位時(shí)間內(nèi)訪問(wèn)主機(jī)的端口數(shù)目�����,單位時(shí)間內(nèi)訪問(wèn)主機(jī)端 口的次數(shù)等��。上述主機(jī)統(tǒng)計(jì)指標(biāo)由于是針對(duì)特定的單個(gè)主機(jī)進(jìn)行統(tǒng)計(jì)�,可以 對(duì)偶然的、低流量的攻擊行為進(jìn)行有效的纟企測(cè)�,但如果主機(jī)監(jiān)控列表中主機(jī) 的數(shù)目比較多,將耗費(fèi)較多的系統(tǒng)資源��。
在該實(shí)施例中�,還需要設(shè)定針對(duì)整個(gè)主機(jī)監(jiān)控列表中所有主機(jī)組成的子 網(wǎng)的網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)的閾值。該網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)主要包括單位時(shí)間內(nèi)進(jìn)入網(wǎng)絡(luò) 的報(bào)文數(shù)�,單位時(shí)間內(nèi)進(jìn)入網(wǎng)絡(luò)的字節(jié)數(shù),單位時(shí)間內(nèi)進(jìn)入網(wǎng)絡(luò)的SYN報(bào)文 數(shù)等����。網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)是針對(duì)整個(gè)子網(wǎng)進(jìn)行統(tǒng)計(jì)的,因此只需要耗費(fèi)很少的系 統(tǒng)資源���,但由于檢測(cè)粒度比較粗��,只能夠檢測(cè)某些特定的攻擊行為��。
步驟42��、入侵檢測(cè)設(shè)備獲取報(bào)文��,對(duì)報(bào)文進(jìn)行解析��,提取并保存報(bào)文的 頭部數(shù)據(jù)��。
上述入侵檢測(cè)設(shè)備通過(guò)鏡像或者過(guò)濾的方式��,獲取通過(guò)其所部署的交換 機(jī)或者路由器的報(bào)文���。
對(duì)上述獲取的報(bào)文進(jìn)行解析�����,判斷該報(bào)文的源IP或者目的IP地址是否屬 于上述主機(jī)監(jiān)控列表中的某個(gè)主機(jī)�����,如果是���,提取并保存該報(bào)文的頭部數(shù) 據(jù),用于后續(xù)的攻擊檢測(cè)分析�;否則,對(duì)該報(bào)文不作處理�,流程結(jié)束。
步驟43���、根據(jù)保存的報(bào)文的頭部數(shù)據(jù)���,對(duì)主機(jī)監(jiān)控列表中的各個(gè)主機(jī)按 照主機(jī)統(tǒng)計(jì)指標(biāo)進(jìn)行主機(jī)異常檢測(cè),對(duì)整個(gè)監(jiān)控列表按照網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)進(jìn)行 網(wǎng)絡(luò)異常檢測(cè)�。
在進(jìn)行網(wǎng)絡(luò)攻擊檢測(cè)的檢測(cè)周期到來(lái)后,根據(jù)保存的報(bào)文的頭部數(shù)據(jù)���,對(duì)主機(jī)監(jiān)控列表中的各個(gè)主枳』按照主才幾統(tǒng)計(jì)指標(biāo)進(jìn)行主機(jī)異常4全測(cè)�����,對(duì)整個(gè) 監(jiān)控列表按照網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)進(jìn)行網(wǎng)絡(luò)異常檢測(cè)��。
對(duì)上述保存的報(bào)文的頭部數(shù)據(jù)進(jìn)行分析���,根據(jù)分析結(jié)果對(duì)針對(duì)該報(bào)文對(duì) 應(yīng)的主機(jī)的主機(jī)統(tǒng)計(jì)指標(biāo)進(jìn)行更新,同時(shí)對(duì)針對(duì)整個(gè)子網(wǎng)的網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)進(jìn) 行更新���。
比如�����,通過(guò)對(duì)某個(gè)報(bào)文的頭部數(shù)據(jù)進(jìn)行分析����,確定該報(bào)文為SYN報(bào)文, 并且該報(bào)文的目的IP地址為主機(jī)監(jiān)控列表中某個(gè)主機(jī)��。則對(duì)該某個(gè)主機(jī)的主 機(jī)統(tǒng)計(jì)指標(biāo)中的單位時(shí)間內(nèi)主機(jī)收到的SYN報(bào)文的數(shù)目增加一次����,同時(shí),對(duì) 針對(duì)整個(gè)子網(wǎng)的網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)中的單位時(shí)間內(nèi)進(jìn)入網(wǎng)絡(luò)的SYN報(bào)文數(shù)目增加 一次�。
根據(jù)上述更新后的各個(gè)主機(jī)的主機(jī)統(tǒng)計(jì)指標(biāo),以及預(yù)先設(shè)定的各個(gè)主機(jī) 的主機(jī)統(tǒng)計(jì)指標(biāo)的閾值�,判斷各個(gè)主機(jī)是否出現(xiàn)異常,是否遭到攻擊��。
根據(jù)上述更新后的針對(duì)整個(gè)子網(wǎng)的網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)����,以及預(yù)先設(shè)定的網(wǎng)絡(luò) 統(tǒng)計(jì)指標(biāo)的閾值,判斷整個(gè)主機(jī)監(jiān)控列表中所有主機(jī)組成的子網(wǎng)是否出現(xiàn)異 常�����,是否遭到攻擊�����,如果判斷出整個(gè)主機(jī)監(jiān)控列表中所有主機(jī)組成的子網(wǎng)出 現(xiàn)了異常,并且確定了是不在上述主機(jī)監(jiān)控列表中其它主機(jī)出現(xiàn)了異常�,則 將該其它主機(jī)添加到上述主機(jī)監(jiān)控列表中。
比如�����,主機(jī)監(jiān)控列表中有主機(jī)A����,B�,C,它們構(gòu)成的子網(wǎng)為S1�,此時(shí)外部主 機(jī)D發(fā)送給主機(jī)E的報(bào)文,將直接丟棄�,不做任何處理。主機(jī)D發(fā)送給主機(jī)A��、 B或者C的報(bào)文��,需要進(jìn)行處理����。如果這些報(bào)文引起了子網(wǎng)S1的異常,就對(duì)這 些報(bào)文進(jìn)行分析�����,分析的結(jié)果發(fā)現(xiàn)異常產(chǎn)生的原因是主機(jī)D。此時(shí)���,可以根據(jù) 預(yù)先設(shè)定的策略決定是否將主機(jī)D加入到監(jiān)控列表中��,上述預(yù)先設(shè)定的策略可 以為如果主機(jī)D屬于A����、 B��、 C所在的本地子網(wǎng)�����,則將主機(jī)D加入到主機(jī)監(jiān)控 列表���;如果主機(jī)D是一個(gè)遠(yuǎn)程的外部主機(jī)�����,與本地的網(wǎng)絡(luò)無(wú)關(guān)聯(lián)��,則不將主機(jī)
12D加入到主機(jī)監(jiān)控列表�����。 實(shí)施例二
該實(shí)施例提供的檢測(cè)端口掃描攻擊的方法的處理流程如圖5所示����,包括如 下處理步驟
步驟51 、單位時(shí)間內(nèi)主機(jī)監(jiān)控列表中的某個(gè)主機(jī)上收到的SYN報(bào)文的數(shù) 目超過(guò)了預(yù)先設(shè)定的閾值��。
步驟52��、獲取發(fā)送上述SYN報(bào)文的源主機(jī)���,判斷上述某個(gè)主機(jī)上被上述 源主機(jī)訪問(wèn)的端口的數(shù)目是否超過(guò)了預(yù)先設(shè)定的閾值,如果是��,比如����,上述 某個(gè)主機(jī)上有80, 79等多個(gè)端口被上述源主機(jī)訪問(wèn),則執(zhí)行步驟53,否則�;
流程結(jié)束。
步驟53�、確定上述源主機(jī)正在對(duì)上述某個(gè)主機(jī)進(jìn)行端口掃描攻擊。然 后�����,判斷上述源主機(jī)是否在主機(jī)監(jiān)控列表中,如果不在�,則根據(jù)預(yù)先設(shè)定的 策略決定是否將源主機(jī)加到主機(jī)監(jiān)控列表中。比如���,如果上述源主機(jī)是希望 監(jiān)控的主機(jī)或者系統(tǒng)資源可用����,則將其加入到主機(jī)監(jiān)控列表中�。
實(shí)施例三
該實(shí)施例提供的檢測(cè)地址掃描攻擊的方法的處理流程如圖6所示,包括如 下處理步驟
步驟61 ����、單位時(shí)間內(nèi)整個(gè)主機(jī)監(jiān)控列表中的所有主機(jī)組成的子網(wǎng)收到的 SYN報(bào)文的數(shù)目超過(guò)了預(yù)先設(shè)定的閾值。
步驟62��、獲取發(fā)送上述SYN報(bào)文的源主機(jī)�,判斷上述主機(jī)監(jiān)控列表中被 上述源主機(jī)連接的主機(jī)的數(shù)目是否超過(guò)了預(yù)先設(shè)定的閾值,如果是�,則執(zhí)行步驟63,否則;流程結(jié)束�。
步驟63、確定上述源主機(jī)正在對(duì)上述整個(gè)主機(jī)監(jiān)控列表中的所有主才幾組 成的子網(wǎng)進(jìn)行地址掃描攻擊���。然后���,判斷上述源主機(jī)是否在主機(jī)監(jiān)控列表 中�,如果不在���,則根據(jù)預(yù)先設(shè)定的策略決定是否將源主機(jī)加到主機(jī)監(jiān)控列表 中����。比如�����,如果上述源主機(jī)是希望監(jiān)控的主機(jī)或者系統(tǒng)資源可用��,則將其加 入到主機(jī)監(jiān)控列表中�����。
實(shí)施例四
該實(shí)施例提供的檢測(cè)SYN Flood (流)形式的DoS攻擊的方法的處理流程 如圖7所示�����,包括如下處理步驟
步驟71 ��、單位時(shí)間內(nèi)主機(jī)監(jiān)控列表中的某個(gè)主機(jī)端口上收到的SYN報(bào)文 的數(shù)目超過(guò)了預(yù)先設(shè)定的閾值�。
步驟72、獲取發(fā)送上述SYN報(bào)文的源主機(jī)�����,判斷上述源主機(jī)訪問(wèn)上述某 個(gè)主機(jī)端口的總次數(shù)是否超過(guò)了預(yù)先設(shè)定的閾值��,如果是��,則執(zhí)行步驟73, 否則��;流程結(jié)束��。
步驟73����、判斷上述源主機(jī)訪問(wèn)上述某個(gè)主機(jī)端口的失敗次數(shù)是否超過(guò)了 預(yù)先設(shè)定的閾值,如果是�����,則執(zhí)行步驟74,否則����;流程結(jié)束�����。
步驟74�����、確定上述源主機(jī)正在對(duì)上述某個(gè)主機(jī)的某個(gè)端口進(jìn)行DoS攻 擊����。然后�����,判斷上述源主機(jī)是否在主機(jī)監(jiān)控列表中�����,如果不在�,則根據(jù)預(yù)先 設(shè)定的策略決定是否將源主機(jī)加到主機(jī)監(jiān)控列表中����。比如,如果上述源主機(jī) 是希望監(jiān)控的主機(jī)或者系統(tǒng)資源可用�����,則將其加入到主機(jī)監(jiān)控列表中。
實(shí)施例五
Syn形式的DDoS攻擊是指多個(gè)源主機(jī)同時(shí)向受害主機(jī)發(fā)送SYN報(bào)文�。該實(shí)施例提供的檢測(cè)SYN Flood形式的DDoS攻擊的方法的處理流程如圖8所
示,包括如下處理步驟
步驟81��、單位時(shí)間內(nèi)主機(jī)監(jiān)控列表中的某個(gè)主機(jī)收到的SYN報(bào)文的數(shù)目 超過(guò)了預(yù)先設(shè)定的閾值���。
步驟82���、獲取發(fā)送上述SYN報(bào)文的多個(gè)源主機(jī),判斷上述多個(gè)源主機(jī)的 數(shù)目是否超過(guò)了預(yù)先設(shè)定的閾值�,如果是,則執(zhí)行步驟83,否則��;流程結(jié)束�。
步驟83、判斷上述多個(gè)源主機(jī)中的每個(gè)源主機(jī)連接上述某個(gè)主機(jī)的失敗 次數(shù)是否超過(guò)了預(yù)先設(shè)定的閾值�,如果是,則執(zhí)行步驟84,否則�;流程結(jié)束。
步驟84�、確定上述多個(gè)源主機(jī)正在對(duì)上述某個(gè)主機(jī)進(jìn)行DDoS攻擊。然 后,判斷上述多個(gè)源主機(jī)是否在主機(jī)監(jiān)控列表中�,如果不在,則根據(jù)預(yù)先設(shè) 定的策略決定是否將多個(gè)源主機(jī)加到主機(jī)監(jiān)控列表中����。比如,如果上述多個(gè) 源主機(jī)是目標(biāo)網(wǎng)絡(luò)內(nèi)的主4幾��,則需要加入到主機(jī)監(jiān)控列表�,如果上述多個(gè)源 主機(jī)是外部的主機(jī),則由管理員或者配置文件決定是否需要加入到主機(jī)監(jiān)控 列表中�。
本發(fā)明實(shí)施例還提供了一種檢測(cè)裝置,其具體實(shí)現(xiàn)結(jié)構(gòu)如圖9所示�,具體 可以包括
報(bào)文解析模塊91,用于從網(wǎng)絡(luò)設(shè)備中獲取報(bào)文,對(duì)所述報(bào)文進(jìn)行解析�; 檢測(cè)處理模塊92,用于根據(jù)所述解析結(jié)果��,對(duì)所述報(bào)文對(duì)應(yīng)的主機(jī)監(jiān)控 列表中的主機(jī)按照預(yù)先設(shè)定的主機(jī)統(tǒng)計(jì)指標(biāo)進(jìn)行主機(jī)異常^r測(cè)����,并且對(duì)所述 主機(jī)監(jiān)控列表中所有主機(jī)組成的子網(wǎng)按照預(yù)先設(shè)定的網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)進(jìn)行網(wǎng)絡(luò) 異常4全測(cè)。所述裝置還可以包括
配置處理模塊93����,用于配置主機(jī)監(jiān)控列表,設(shè)定主機(jī)監(jiān)控列表中的各個(gè) 主才幾的主機(jī)統(tǒng)計(jì)指標(biāo)和相應(yīng)的閾值���,以及i殳定主才幾監(jiān)控列表中所有主才幾組成 的子網(wǎng)的網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)和相應(yīng)的閾值��。
所述檢測(cè)處理模塊具體包括
報(bào)文頭部數(shù)據(jù)獲取模塊921 ��,用于獲取所述報(bào)文的源IP或者目的IP地址��, 當(dāng)所述報(bào)文的源IP或者目的IP地址屬于所述主機(jī)監(jiān)控列表中的某個(gè)主機(jī)時(shí)���, 獲取并保存所述報(bào)文的頭部數(shù)據(jù);
更新處理模塊922,用于根據(jù)所述報(bào)文的頭部數(shù)據(jù)對(duì)所述某個(gè)主機(jī)的相應(yīng) 主機(jī)統(tǒng)計(jì)指標(biāo)進(jìn)行更新���,并且對(duì)所述主才幾監(jiān)控列表中所有主機(jī)組成的子網(wǎng)的 相應(yīng)網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)進(jìn)4亍更新����;
異常檢測(cè)模塊923����,用于根據(jù)更新后的所述主機(jī)統(tǒng)計(jì)指標(biāo),以及預(yù)先設(shè)定 的各個(gè)主機(jī)的主機(jī)統(tǒng)計(jì)指標(biāo)的閾值����,判斷所述主機(jī)監(jiān)控列表中各個(gè)主機(jī)是否 出現(xiàn)異常;以及,根據(jù)更新后的所述網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)和預(yù)先設(shè)定的子網(wǎng)的網(wǎng)絡(luò) 統(tǒng)計(jì)指標(biāo)的閾值��,判斷所述主機(jī)監(jiān)控列表中所有主機(jī)組成的子網(wǎng)是否出現(xiàn)異 常�����。
主機(jī)監(jiān)控列表處理模塊924���,用于當(dāng)判斷所述主機(jī)監(jiān)控列表中所有主機(jī)組 成的子網(wǎng)出現(xiàn)了異常����,并且確定是不在所述主機(jī)監(jiān)控列表中的其它主機(jī)異常 導(dǎo)致了所述子網(wǎng)異常���,則根據(jù)預(yù)先設(shè)定的策略決定是否將所述其它主機(jī)添加 到所述主機(jī)監(jiān)控列表中�����。
程����,是可以通過(guò)計(jì)算機(jī)程序來(lái)指令相關(guān)的硬件來(lái)完成��,所述的程序可存儲(chǔ)于 一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中��,該程序在執(zhí)行時(shí),可包括如上述各方法的實(shí)施 例的流程�����。其中��,所述的存儲(chǔ)介質(zhì)可為磁碟�����、光盤(pán)�、只讀存儲(chǔ)記憶體(Read-Only Memory, ROM)或P逭才幾存A者i己憶體(Random Access Memory, RAM)等��。
綜上所述����,本發(fā)明實(shí)施例通過(guò)將基于主機(jī)統(tǒng)計(jì)指標(biāo)的檢測(cè)方法和基于網(wǎng) 絡(luò)統(tǒng)計(jì)指標(biāo)的檢測(cè)方法有機(jī)結(jié)合,并根據(jù)異常的具體情況對(duì)實(shí)時(shí)保存的報(bào)文 數(shù)據(jù)進(jìn)行分析��,可以保證在系統(tǒng)資源有限的情況下���,對(duì)各種攻擊行為進(jìn)行有 效的檢測(cè)�����。比如�����,能夠檢測(cè)出主機(jī)監(jiān)控列表中的主機(jī)異常���,能夠檢測(cè)出整個(gè) 主機(jī)監(jiān)控列表中所有主機(jī)組成的子網(wǎng)異常�����、能夠檢測(cè)出對(duì)主機(jī)監(jiān)控列表中的 主機(jī)的端口掃描攻擊和SYN Flood形式的DoS/DDoS攻擊����、能夠檢測(cè)出對(duì)整個(gè) 主機(jī)監(jiān)控列表中所有主機(jī)組成的子網(wǎng)的地址掃描攻擊�����。
本發(fā)明實(shí)施例通過(guò)動(dòng)態(tài)更新主機(jī)監(jiān)控列表��,可以在系統(tǒng)資源有限的情況 下����,提高入侵檢測(cè)系統(tǒng)的針對(duì)性,更加有效地檢測(cè)網(wǎng)絡(luò)攻擊��。
以上所述,僅為本發(fā)明較佳的具體實(shí)施方式
��,但本發(fā)明的保護(hù)范圍并不 局限于此���,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)�,可 輕易想到的變化或替換���,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此�,本發(fā)明 的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)。
權(quán)利要求
1���、一種對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)的方法���,其特征在于,包括從網(wǎng)絡(luò)設(shè)備中獲取報(bào)文����,對(duì)所述報(bào)文進(jìn)行解析;根據(jù)解析結(jié)果�,對(duì)所述報(bào)文對(duì)應(yīng)的主機(jī)監(jiān)控列表中的主機(jī)按照預(yù)先設(shè)定的主機(jī)統(tǒng)計(jì)指標(biāo)進(jìn)行主機(jī)異常檢測(cè),并且對(duì)所述主機(jī)監(jiān)控列表中所有主機(jī)組成的子網(wǎng)按照預(yù)先設(shè)定的網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)進(jìn)行網(wǎng)絡(luò)異常檢測(cè)����。
2�����、 根據(jù)權(quán)利要求1所述的對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)的方法��,其特征在于�,所 述方法還包括配置主機(jī)監(jiān)控列表�����,設(shè)定主機(jī)監(jiān)控列表中的各個(gè)主機(jī)的主機(jī)統(tǒng)計(jì)指標(biāo)和 相應(yīng)的閾值�,以及設(shè)定所述主機(jī)監(jiān)控列表中所有主機(jī)組成的子網(wǎng)的網(wǎng)絡(luò)統(tǒng)計(jì) 指標(biāo)和相應(yīng)的閾值。
3�����、 根據(jù)權(quán)利要求1所述的對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)的方法����,其特征在于,所 述的從網(wǎng)絡(luò)設(shè)備中獲取報(bào)文��,具體包括將檢測(cè)設(shè)備以側(cè)掛或者直連的方式部署在交換機(jī)或者出口路由器處�����,使 所述檢測(cè)設(shè)備通過(guò)鏡像或者過(guò)濾的方式,獲取通過(guò)所述交換機(jī)或者出口路由 器的報(bào)文��。
4�����、 根據(jù)權(quán)利要求1至3任一項(xiàng)所述的對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)的方法�����,其特征 在于����,所述的根據(jù)解析結(jié)果�,對(duì)所述報(bào)文對(duì)應(yīng)的主機(jī)監(jiān)控列表中的主機(jī)按照 預(yù)先設(shè)定的主機(jī)統(tǒng)計(jì)指標(biāo)進(jìn)行主機(jī)異常檢測(cè),并且對(duì)所述主機(jī)監(jiān)控列表中所 有主機(jī)組成的子網(wǎng)按照預(yù)先設(shè)定的網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)進(jìn)行網(wǎng)絡(luò)異常檢測(cè)��,具體包 括獲取所述報(bào)文的源IP或者目的IP地址��,當(dāng)所述報(bào)文的源IP或者目的IP地址屬于所述主機(jī)監(jiān)控列表中的某個(gè)主機(jī)時(shí)�����,獲取并保存所述報(bào)文的頭部數(shù)據(jù);根據(jù)所述報(bào)文的頭部數(shù)據(jù)對(duì)所述某個(gè)主機(jī)的相應(yīng)主機(jī)統(tǒng)計(jì)指標(biāo)進(jìn)行更 新���,并且對(duì)所述主機(jī)監(jiān)控列表中所有主機(jī)組成的子網(wǎng)的相應(yīng)網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)進(jìn)行更新��;才艮據(jù)更新后的所述主機(jī)統(tǒng)計(jì)指標(biāo)����,以及預(yù)先設(shè)定的各個(gè)主機(jī)的主才幾統(tǒng)計(jì) 指標(biāo)的閾值�,判斷所述主機(jī)監(jiān)控列表中各個(gè)主機(jī)是否出現(xiàn)異常;根據(jù)更新后 的所述網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)���,以及預(yù)先設(shè)定的子網(wǎng)的網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)的閾值��,判斷所 述子網(wǎng)是否出現(xiàn)異常�����。
5����、 根據(jù)權(quán)利要求4所述的對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)的方法���,其特征在于�,所 述的方法還包括當(dāng)判斷所述子網(wǎng)出現(xiàn)了異常,并且確定是不在所述主機(jī)監(jiān)控列表中的其 它主機(jī)異常導(dǎo)致了所述子網(wǎng)異常���,則根據(jù)預(yù)先設(shè)定的策略決定是否將所述其 它主機(jī)添加到所述主機(jī)監(jiān)控列表中�����。
6��、 根據(jù)權(quán)利要求4所述的對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)的方法��,其特征在于�,所 述的方法還包括當(dāng)確定單位時(shí)間內(nèi)所述主機(jī)監(jiān)控列表中的某個(gè)主機(jī)上收到的同步報(bào)文的 數(shù)目超過(guò)了預(yù)先設(shè)定的閾值時(shí)����,獲取發(fā)送所述同步報(bào)文的源主機(jī)�,如果所述 某個(gè)主機(jī)上被所述源主機(jī)訪問(wèn)的端口的數(shù)目超過(guò)了預(yù)先設(shè)定的閾值,則確定 所述源主機(jī)正在對(duì)所述某個(gè)主機(jī)進(jìn)行端口掃描攻擊�;當(dāng)所述源主機(jī)不在所述主機(jī)監(jiān)控列表中時(shí),根據(jù)預(yù)先設(shè)定的策略決定是 否將所述源主機(jī)添加到所述主機(jī)監(jiān)控列表中����。
7、 根據(jù)權(quán)利要求4所述的對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)的方法,其特征在于��,所 述的方法還包括當(dāng)確定單位時(shí)間內(nèi)所述子網(wǎng)收到的同步報(bào)文的數(shù)目超過(guò)了預(yù)先設(shè)定的閾 值時(shí)��,獲取發(fā)送所述同步報(bào)文的源主機(jī)�,如果判斷出所述主機(jī)監(jiān)控列表中被所述源主機(jī)連接的主機(jī)的數(shù)目超過(guò)了預(yù)先設(shè)定的閾值,則確定所述源主機(jī)正 在對(duì)所述子網(wǎng)進(jìn)行地址掃描攻擊���;當(dāng)所述源主機(jī)不在所述主機(jī)監(jiān)控列表中時(shí)�,根據(jù)預(yù)先設(shè)定的策略決定是 否將所述源主機(jī)添加到所述主機(jī)監(jiān)控列表中�����。
8�����、 根據(jù)權(quán)利要求4所述的對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)的方法�����,其特征在于�,所 述的方法還包括當(dāng)確定單位時(shí)間內(nèi)所述主機(jī)監(jiān)控列表中的某個(gè)主機(jī)端口上收到的同步報(bào) 文的數(shù)目超過(guò)了預(yù)先設(shè)定的閾值時(shí),獲取發(fā)送所述同步報(bào)文的源主機(jī)����,當(dāng)判 斷出所述源主機(jī)訪問(wèn)所述某個(gè)主機(jī)端口的總次數(shù)和失敗次數(shù)都超過(guò)了預(yù)先設(shè) 定的閾值�,則確定所述源主機(jī)正在對(duì)所述某個(gè)主機(jī)端口進(jìn)行DoS攻擊�����;當(dāng)所述源主機(jī)不在所述主機(jī)監(jiān)控列表中時(shí)��,根據(jù)預(yù)先設(shè)定的策略決定是 否將所述源主機(jī)添加到所述主機(jī)監(jiān)控列表中�����。
9�、 根據(jù)權(quán)利要求4所述的對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)的方法,其特征在于����,所 述的方法還包括當(dāng)確定單位時(shí)間內(nèi)所述主機(jī)監(jiān)控列表中的某個(gè)主機(jī)收到的同步報(bào)文的數(shù) 目超過(guò)了預(yù)先設(shè)定的閾值時(shí),獲取發(fā)送所述同步報(bào)文的多個(gè)源主機(jī)��,當(dāng)判斷 出所述多個(gè)源主機(jī)的數(shù)目超過(guò)了預(yù)先設(shè)定的閾值��,并且所述多個(gè)源主機(jī)中的 每個(gè)源主機(jī)連接所述某個(gè)主機(jī)失敗的次數(shù)都超過(guò)了預(yù)先設(shè)定的閾值�����,則確定 所述多個(gè)源主機(jī)正在對(duì)所述某個(gè)主機(jī)進(jìn)行DDoS攻擊��;當(dāng)所述多個(gè)源主機(jī)不在所述主機(jī)監(jiān)控列表中時(shí)�����,根據(jù)預(yù)先設(shè)定的策略決 定是否將所述多個(gè)源主機(jī)添加到所述主機(jī)監(jiān)控列表中����。
10、 一種檢測(cè)裝置��,其特征在于����,包括報(bào)文解析模塊,用于從網(wǎng)絡(luò)設(shè)備中獲取報(bào)文����,對(duì)所述報(bào)文進(jìn)行解析; 檢測(cè)處理模塊����,用于根據(jù)所述解析結(jié)果,對(duì)所述報(bào)文對(duì)應(yīng)的主機(jī)監(jiān)控列 表中的主機(jī)按照預(yù)先設(shè)定的主機(jī)統(tǒng)計(jì)指標(biāo)進(jìn)行主機(jī)異常檢測(cè)���,并且對(duì)所述主機(jī)監(jiān)控列表中所有主機(jī)組成的子網(wǎng)按照預(yù)先設(shè)定的網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)進(jìn)行網(wǎng)絡(luò)異 常檢測(cè)���。
11���、 根據(jù)權(quán)利要求10所述的檢測(cè)裝置,其特征在于���,所述裝置還包括配置處理模塊�,用于配置主機(jī)監(jiān)控列表��,設(shè)定主機(jī)監(jiān)控列表中的各個(gè)主 機(jī)的主機(jī)統(tǒng)計(jì)指標(biāo)和相應(yīng)的閾值��,以及設(shè)定主機(jī)監(jiān)控列表中所有主機(jī)組成的 子網(wǎng)的網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)和相應(yīng)的閾值���。
12����、 根據(jù)權(quán)利要求10或11所述的檢測(cè)裝置�,其特征在于,所述檢測(cè)處理 模塊具體包括報(bào)文頭部數(shù)據(jù)獲取模塊��,用于獲取所述報(bào)文的源IP或者目的IP地址�,當(dāng) 所述報(bào)文的源IP或者目的IP地址屬于所述主機(jī)監(jiān)控列表中的某個(gè)主機(jī)時(shí)���,獲 取并保存所述報(bào)文的頭部數(shù)據(jù)�;更新處理模塊,用于根據(jù)所述報(bào)文的頭部數(shù)據(jù)對(duì)所述某個(gè)主機(jī)的相應(yīng)主 機(jī)統(tǒng)計(jì)指標(biāo)進(jìn)行更新���,并且對(duì)所述子網(wǎng)的相應(yīng)網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)進(jìn)行更新����;異常檢測(cè)模塊�,用于根據(jù)更新后的所述主機(jī)統(tǒng)計(jì)指標(biāo),以及預(yù)先設(shè)定的 各個(gè)主機(jī)的主機(jī)統(tǒng)計(jì)指標(biāo)的閾值�,判斷所述主機(jī)監(jiān)控列表中各個(gè)主機(jī)是否出 現(xiàn)異常;以及�����,根據(jù)更新后的所述網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)和預(yù)先設(shè)定的子網(wǎng)的網(wǎng)絡(luò)統(tǒng) 計(jì)指標(biāo)的閾值��,判斷所述子網(wǎng)是否出現(xiàn)異常����。
13、 根據(jù)權(quán)利要求12所述的檢測(cè)裝置�,其特征在于���,所述檢測(cè)處理模塊 還包括主機(jī)監(jiān)控列表處理模塊,用于當(dāng)判斷所述子網(wǎng)出現(xiàn)了異常���,并且確定是 不在所述主機(jī)監(jiān)控列表中的其它主機(jī)異常導(dǎo)致了所述子網(wǎng)異常�����,則根據(jù)預(yù)先 設(shè)定的策略決定是否將所述其它主機(jī)添加到所述主機(jī)監(jiān)控列表中�����。
全文摘要
本發(fā)明提供了一種對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)的方法和裝置��。該方法主要包括從網(wǎng)絡(luò)設(shè)備中獲取報(bào)文�,對(duì)所述報(bào)文進(jìn)行解析�;根據(jù)解析結(jié)果,對(duì)所述報(bào)文對(duì)應(yīng)的主機(jī)監(jiān)控列表中的主機(jī)按照預(yù)先設(shè)定的主機(jī)統(tǒng)計(jì)指標(biāo)進(jìn)行主機(jī)異常檢測(cè)��,并且對(duì)所述主機(jī)監(jiān)控列表中所有主機(jī)組成的子網(wǎng)按照預(yù)先設(shè)定的網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)進(jìn)行網(wǎng)絡(luò)異常檢測(cè)��。本發(fā)明通過(guò)將基于主機(jī)統(tǒng)計(jì)指標(biāo)的檢測(cè)方法和基于網(wǎng)絡(luò)統(tǒng)計(jì)指標(biāo)的檢測(cè)方法有機(jī)結(jié)合����,并根據(jù)異常的具體情況對(duì)實(shí)時(shí)保存的報(bào)文數(shù)據(jù)進(jìn)行分析��,可以保證在系統(tǒng)資源有限的情況下�,對(duì)各種攻擊行為進(jìn)行有效的檢測(cè)����。
文檔編號(hào)H04L12/56GK101567812SQ20091007987
公開(kāi)日2009年10月28日 申請(qǐng)日期2009年3月13日 優(yōu)先權(quán)日2009年3月13日
發(fā)明者波 張, 張作富, 勇 王, 趙玉超 申請(qǐng)人:華為技術(shù)有限公司