一种网络攻击检测方法和装置制造方法及图纸

本申请供一种种网络攻击检测方法和装置，所述方法包括：在所述多个通道中选择任意一个通道的检测模块，作为整体检测端；通过多个通道的接收端口分别接收报文；基于所述整体检测端，按照攻击检测策略，对所述多个通道的接收端口分别接收到的报文进行攻击检测；响应于所述整体检测端检测到攻击报文，丢弃所述攻击报文。应用本申请的实施例，能够避免对攻击报文的漏检。

A Network Attack Detection Method and Device

This application provides a network attack detection method and device. The method includes: selecting a detection module of any channel as the whole detection end in the multiple channels; receiving messages through the receiving ports of the multiple channels separately; attacking messages received by the receiving ports of the multiple channels separately according to the attack detection strategy based on the overall detection end. Hit detection; the attack message is discarded in response to the detection of the attack message by the overall detection end. The application of the implementation of this application can avoid the omission of attack messages.

【技术实现步骤摘要】
一种网络攻击检测方法和装置
本申请涉及网络通信
，特别设计一种网络攻击检测方法和装置。
技术介绍
随着计算机网络技术的迅速发展，网络技术在各个领域都得到了广泛的应用。计算机网络在给人们提供便利、带来效益的同时，网络攻击也对信息安全提出了很大的挑战。在一些网络流量较大的环境中，由于其带宽较大，发生网络攻击的几率更高。为了防护网络攻击，可以在Internet接入处，放置检测和防护攻击的设备，实时对进入内网的数据进行检测，如使用高性能硬件防火墙，通过设置防火墙的各种安全策略，并且与网络入侵检测系相互配合，阻挡黑客的攻击。现有方案是对每个数据通道的报文进行检测，各个通道的检测模块之间相互独立。这就导致如果攻击报文分散到各个接收端口时，上述方案就会存在检测漏洞，导致对攻击报文的漏检。
技术实现思路
有鉴于此，本申请提供一种网络攻击检测方法和装置，能够避免对攻击报文的漏检。具体地，本申请是通过如下技术方案实现的：第一方面，本专利技术的实施例提供一种网络攻击检测方法，所述方法包括：在所述多个通道中选择任意一个通道的检测端，作为整体检测端；通过多个通道的接收端口分别接收报文；基于所述整体检测端，按照攻击检测策略，对所述多个通道的接收端口分别接收到的报文进行攻击检测；响应于所述整体检测端检测到攻击报文，丢弃所述攻击报文。结合第一方面，在第一方面的第一种可能的实现方式中，所述基于所述整体检测端，按照攻击检测策略，对所述多个通道的接收端口分别接收到的报文进行攻击检测，包括：基于所述整体检测端，对所述多个通道的接收端口分别接收到的报文的源IP进行检测；响应于存在数量大于预设阈值的源IP时，所述源IP对应的各报文均作为攻击报文。结合第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述多个通道分别对应的通道预设阈值不同，将所述多个通道分别对应的通道预设阈值中的最小值作为所述预设阈值。结合第一方面，在第一方面的第三种可能的实现方式中，所述方法还包括：响应于所述整体检测端检测到非攻击报文，将所述非攻击报文传输至所述多个通道的发送端口。结合第一方面，在第一方面的第四种可能的实现方式中，所述方法还包括：响应于所述整体检测端检测到攻击报文，在所述攻击报文中添加攻击标记。第二方面，本专利技术的实施例提供一种网络攻击检测装置，所述装置包括：选择模块，用于在所述多个通道中选择任意一个通道的检测端，作为整体检测端；接收模块，用于通过多个通道的接收端口分别接收报文；检测模块，用于基于所述整体检测端，按照攻击检测策略，对所述多个通道的接收端口分别接收到的报文进行攻击检测；丢弃模块，用于响应于所述整体检测端检测到攻击报文，丢弃所述攻击报文。结合第二方面，在第二方面的第一种可能的实现方式中，所述检测模块，还用于基于所述整体检测端，对所述多个通道的接收端口分别接收到的报文的源IP进行检测；响应于存在数量大于预设阈值的源IP时，所述源IP对应的各报文均作为攻击报文。结合第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，所述多个通道分别对应的通道预设阈值不同，将所述多个通道分别对应的通道预设阈值中的最小值作为所述检测模块的所述预设阈值。结合第二方面，在第二方面的第三种可能的实现方式中，所述装置还包括：传输模块，用于响应于所述整体检测端检测到非攻击报文，将所述非攻击报文传输至所述多个通道的发送端口。结合第二方面，在第二方面的第四种可能的实现方式中，所述装置还包括：攻击模块，用于响应于所述整体检测端检测到攻击报文，在所述攻击报文中添加攻击标记。由以上本申请提供的技术方案可见，在所述多个通道中选择任意一个通道的检测模块，作为整体检测端；通过多个通道的接收端口分别接收报文；基于所述整体检测端，按照攻击检测策略，对所述多个通道的接收端口分别接收到的报文进行攻击检测；响应于所述整体检测端检测到攻击报文，丢弃所述攻击报文。能够将各个通道接收到的报文汇总起来，统一对全部报文进行攻击检测，可以避免由于各通道之间独立检测而导致对攻击报文的漏检，从而可以提高攻击检测的准确率。附图说明图1为本申请示出的一种网络攻击检测方法的流程图；图2a为本申请示出的另一种网络攻击检测方法的流程图；图2b为本申请示出的一种检测设备结构图；图3为本申请示出的一种网络攻击检测装置的结构示意图；图4为本申请示出的另一种网络攻击检测装置的结构示意图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。本专利技术一实施例提供一种基于链路聚合的分流方法，请参考图1，该方法可以用于检测和防护网络攻击的设备，实时对进入内网的数据进行检测，例如具体可以是使用高性能硬件的防火墙，所述方法包括：步骤101、在所述多个通道中选择任意一个通道的检测端，作为整体检测端。步骤102、通过多个通道的接收端口分别接收报文。步骤103、基于所述整体检测端，按照攻击检测策略，对所述多个通道的接收端口分别接收到的报文进行攻击检测。其中，攻击检测策略可以为设备默认配置，也可以由用户基于需求进行甚至，本专利技术实施例不作限制。步骤104、响应于所述整体检测端检测到攻击报文，丢弃所述攻击报文。对于本专利技术实施例，当基于攻击检测策略检测到攻击报文，则丢弃相关的全部攻击报文；当基于攻击检测策略检测到非攻击报文，则将该非攻击检测报文继续向后传输。与现有技术相比，本专利技术实施例能够将各个通道接收到的报文汇总起来，统一对全部报文进行攻击检测，可以避免由于各通道之间独立检测而导致对攻击报文的漏检，从而可以提高攻击检测的准确率。本专利技术又一实施例提供一种基于链路聚合的分流方法，请参考图2a，该方法可以用于检测和防护网络攻击的设备，实时对进入内网的数据进行检测，例如具体可以是使用高性能硬件的防火墙，所述方法包括：步骤201、在所述多个通道中选择任意一个通道的检测端，作为整体检测端。步骤202、通过多个通道的接收端口分别接收报文。步骤203、基于所述整体检测端，对所述多个通道的接收端口分别接收到的报文的源IP进行检测。其中，对每个通道的接收端口接收到的报文的源IP进行检测是指获取各报文的源IP地址，并统计一定时间段内同一源IP地址对应的报文数量。可选地，所述多个通道分别对应本文档来自技高网...

【技术保护点】
1.一种网络攻击检测方法，其特征在于，所述方法包括：在所述多个通道中选择任意一个通道的检测端，作为整体检测端；通过多个通道的接收端口分别接收报文；基于所述整体检测端，按照攻击检测策略，对所述多个通道的接收端口分别接收到的报文进行攻击检测；响应于所述整体检测端检测到攻击报文，丢弃所述攻击报文。

【技术特征摘要】
1.一种网络攻击检测方法，其特征在于，所述方法包括：在所述多个通道中选择任意一个通道的检测端，作为整体检测端；通过多个通道的接收端口分别接收报文；基于所述整体检测端，按照攻击检测策略，对所述多个通道的接收端口分别接收到的报文进行攻击检测；响应于所述整体检测端检测到攻击报文，丢弃所述攻击报文。2.根据权利要求1所述的方法，其特征在于，所述基于所述整体检测端，按照攻击检测策略，对所述多个通道的接收端口分别接收到的报文进行攻击检测，包括：基于所述整体检测端，对所述多个通道的接收端口分别接收到的报文的源IP进行检测；响应于存在数量大于预设阈值的源IP时，所述源IP对应的各报文均作为攻击报文。3.根据权利要求2所述的方法，其特征在于，所述多个通道分别对应的通道预设阈值不同，将所述多个通道分别对应的通道预设阈值中的最小值作为所述预设阈值。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：响应于所述整体检测端检测到非攻击报文，将所述非攻击报文传输至所述多个通道的发送端口。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：响应于所述整体检测端检测到攻击报文，在所述攻击报文中添加攻击标记。6.一种...

【专利技术属性】
技术研发人员：孟相玉，张代生，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江,33