一种检测洪水攻击的方法及装置制造方法及图纸

本申请提供一种检测洪水攻击的方法及装置，应用于局域网的接入交换机，该方法包括：根据会话表的会话表项的源IP更新用户表的用户表项中的发起会话数；根据会话表的会话表项的会话状态和会话建立时间更新用户表的用户表项中的异常会话数；周期性遍历用户表，确定各用户表项的发起会话数是否达到预设的第一阈值，以及，确定各用户表项的异常会话数是否到达预设的第二阈值；如果用户表项的发起会话数达到第一阈值或者用户表项的异常会话数达到第二阈值，确定用户表项中的IP地址为攻击源的IP地址。本申请由接入交换机排查洪水攻击的攻击源，在不增加局域网成本的情况下提高了网络的安全性和可靠性。

A method and device for detecting flood attack

The invention provides a method and a device for detecting flooding attacks, access switch used in LAN, the method comprises: according to the session table session table source IP updates the user table user tables in the session according to the session table number; session table of session state and session establishment time update number abnormality session user tables in the user table; periodic user traversal table, determine the user entry session number reaches a first threshold value, and determine the second preset threshold, each user session number is abnormal at preset value; if the user initiates the session table item number reached abnormal session number first the threshold or the user entry threshold reached second, to determine the user tables in the IP address is the IP address of the attack source. The application of this application is to check the attack source of the flood attack by the access switch and improve the security and reliability of the network without increasing the cost of the local area network.

【技术实现步骤摘要】
一种检测洪水攻击的方法及装置
本申请涉及安全防护领域，特别涉及一种检测洪水攻击的方法及装置。
技术介绍
局域网内的计算机或服务器等设备中病毒后，往往会成为局域网内的攻击源，向局域网其它计算机或服务器发送大量攻击报文，造成洪水攻击，常见的有TCPSYNFlood(TransmissionControlProtocolSynchronizeFlood，传输控制协议同步洪水攻击)报文、UDPFlood(UserDatagramProtocolFlood，用户数据包协议洪水攻击)报文和ICMPFlood(InternetControlMessageProtocolFlood，控制报文协议洪水攻击)报文等。这些攻击报文会导致局域网内通信效率下降，甚至断网，也可能使局域网内面向外网的服务器瘫痪，无法提供服务。因此，在出现洪水攻击后，及时识别攻击源，并对攻击源进行阻断十分重要。在现有技术中，通常由汇聚层或核心层的网络设备检测攻击源，汇聚层或核心层的网络设备可以对报文进行抓包，然后提取报文的报文特征(例如：源IP)，然后根据报文特征分析出攻击报文，进而确定出攻击源。然而，当攻击报文只在二层网络中转发，汇聚层或核心层的网络设备无法检测到攻击报文。为解决上述问题，通常可以部署与接入交换机连接的安全设备，由安全设备检测接入交换机转发的报文，从而确定攻击源，这又会提高局域网的成本。
技术实现思路
有鉴于此，本申请提供一种检测洪水攻击的方法及装置，用于在不增加局域网成本的情况下，提高网络的安全性和可靠性。具体地，本申请是通过如下技术方案实现的：一种检测洪水攻击的方法，应用于局域网的接入交换机，包括：根据预设的会话表的会话表项的五元组中的源IP更新预设的用户表的用户表项中的发起会话数；其中，所述会话表包括五元组、会话状态和会话建立时间的映射关系，所述用户表包括IP地址、发起会话数和异常会话数的映射关系；根据所述会话表的会话表项的会话状态和会话建立时间更新所述用户表的用户表项中的所述异常会话数；周期性遍历所述用户表，确定各用户表项的发起会话数是否达到预设的第一阈值，以及，确定各用户表项的异常会话数是否到达预设的第二阈值；如果所述用户表项的发起会话数达到所述第一阈值或者所述用户表项的异常会话数达到所述第二阈值，确定所述用户表项中的IP地址为攻击源的IP地址。在所述检测洪水攻击的方法中，所述根据会话表的会话表项的五元组中的源IP更新用户表的用户表项中的发起会话数，包括：新建会话表项，或者，更新会话表的会话表项；根据所述会话表项的五元组中的源IP查找所述用户表，确定是否查找到对应的用户表项；如果是，将查找到的所述用户表项中的所述发起会话数加1；如果否，根据所述会话表项的五元组中的源IP新建用户表项，并将所述发起会话数置为1。在所述检测洪水攻击的方法中，所述新建会话表项，或者，更新会话表的会话表项，包括：接收到报文并提取报文的五元组；根据所述五元组查找所述会话表，确定是否查找到对应的会话表项；如果是，更新所述会话表项中的会话状态；其中，所述会话状态包括未完全状态和完全状态，所述未完全状态指会话双方尚未互相通信，所述完全状态指会话双方已经互相通信；如果否，基于所述五元组新建会话表项，并将所述会话表项中的会话状态置为未完全状态。在所述检测洪水攻击的方法中，所述根据所述会话表的会话表项的会话状态和会话建立时间更新所述用户表的用户表项中的所述异常会话数，包括：周期性遍历所述会话表，依次将各会话表项选为目标会话表项；基于当前时间和所述目标会话表项中的会话建立时间确定所述目标会话表项是否已建立达到预设的状态更新时长；如果所述目标会话表项已建立达到所述状态更新时长，确定所述目标会话表项中的会话状态是否为完全状态；如果是，将下一个会话表项选为目标会话表项；如果否，将所述目标会话表项的五元组中的源IP查找所述用户表，将查找到的用户表项中的异常会话数加1。在所述检测洪水攻击的方法中，所述方法还包括：确定所述攻击源的IP地址后，对所述攻击源发送的报文进行丢弃。在所述检测洪水攻击的方法中，所述接入交换机与管理服务器对接，所述方法还包括：确定所述攻击源的IP地址后，将所述攻击源的用户表项上报至所述管理服务器，以由所述管理服务器进一步确认所述用户表项中的IP地址为洪水攻击的攻击源的IP地址并下发阻断命令；接收到所述阻断命令，对所述攻击源发送的报文进行丢弃。一种检测洪水攻击的装置，应用于局域网的接入交换机，包括：第一更新单元，用于根据预设的会话表的会话表项的五元组中的源IP更新预设的用户表的用户表项中的发起会话数；其中，所述会话表包括五元组、会话状态和会话建立时间的映射关系，所述用户表包括IP地址、发起会话数和异常会话数的映射关系；第二更新单元，用于根据所述会话表的会话表项的会话状态和会话建立时间更新所述用户表的用户表项中的所述异常会话数；检测单元，用于周期性遍历所述用户表，确定各用户表项的发起会话数是否达到预设的第一阈值，以及，确定各用户表项的异常会话数是否到达预设的第二阈值；确定单元，用于如果所述用户表项的发起会话数达到所述第一阈值或者所述用户表项的异常会话数达到所述第二阈值，确定所述用户表项中的IP地址为攻击源的IP地址。在所述检测洪水攻击的装置中，所述第一更新单元，进一步用于：新建会话表项，或者，更新会话表的会话表项；根据所述会话表项的五元组中的源IP查找所述用户表，确定是否查找到对应的用户表项；如果是，将查找到的所述用户表项中的所述发起会话数加1；如果否，根据所述会话表项的五元组中的源IP新建用户表项，并将所述发起会话数置为1。在所述检测洪水攻击的装置中，所述第一更新单元，进一步用于：接收到报文并提取报文的五元组；根据所述五元组查找所述会话表，确定是否查找到对应的会话表项；如果是，更新所述会话表项中的会话状态；其中，所述会话状态包括未完全状态和完全状态，所述未完全状态指会话双方尚未互相通信，所述完全状态指会话双方已经互相通信；如果否，基于所述五元组新建会话表项，并将所述会话表项中的会话状态置为未完全状态。在所述检测洪水攻击的装置中，所述第二更新单元，进一步用于：周期性遍历所述会话表，依次将各会话表项选为目标会话表项；基于当前时间和所述目标会话表项中的会话建立时间确定所述目标会话表项是否已建立达到预设的状态更新时长；如果所述目标会话表项已建立达到所述状态更新时长，确定所述目标会话表项中的会话状态是否为完全状态；如果是，将下一个会话表项选为目标会话表项；如果否，将所述目标会话表项的五元组中的源IP查找所述用户表，将查找到的用户表项中的异常会话数加1。在所述检测洪水攻击的装置中，所述装置还包括：丢弃单元，用于确定所述攻击源的IP地址后，对所述攻击源发送的报文进行丢弃。在所述检测洪水攻击的装置中，所述接入交换机与管理服务器对接，所述装置还包括：上报单元，用于确定所述攻击源的IP地址后，将所述攻击源的用户表项上报至所述管理服务器，以由所述管理服务器进一步确认所述用户表项中的IP地址为洪水攻击的攻击源的IP地址并下发阻断命令；接收单元，用于接收到所述阻断命令，对所述攻击源发送的报文进行丢弃。在本申请技术方案中，由于在正常情况下，单个终端设备主动发起的会话数较少本文档来自技高网...

【技术保护点】
一种检测洪水攻击的方法，应用于局域网的接入交换机，其特征在于，包括：根据预设的会话表的会话表项的五元组中的源IP更新预设的用户表的用户表项中的发起会话数；其中，所述会话表包括五元组、会话状态和会话建立时间的映射关系，所述用户表包括IP地址、发起会话数和异常会话数的映射关系；根据所述会话表的会话表项的会话状态和会话建立时间更新所述用户表的用户表项中的所述异常会话数；周期性遍历所述用户表，确定各用户表项的发起会话数是否达到预设的第一阈值，以及，确定各用户表项的异常会话数是否到达预设的第二阈值；如果所述用户表项的发起会话数达到所述第一阈值或者所述用户表项的异常会话数达到所述第二阈值，确定所述用户表项中的IP地址为攻击源的IP地址。

【技术特征摘要】
1.一种检测洪水攻击的方法，应用于局域网的接入交换机，其特征在于，包括：根据预设的会话表的会话表项的五元组中的源IP更新预设的用户表的用户表项中的发起会话数；其中，所述会话表包括五元组、会话状态和会话建立时间的映射关系，所述用户表包括IP地址、发起会话数和异常会话数的映射关系；根据所述会话表的会话表项的会话状态和会话建立时间更新所述用户表的用户表项中的所述异常会话数；周期性遍历所述用户表，确定各用户表项的发起会话数是否达到预设的第一阈值，以及，确定各用户表项的异常会话数是否到达预设的第二阈值；如果所述用户表项的发起会话数达到所述第一阈值或者所述用户表项的异常会话数达到所述第二阈值，确定所述用户表项中的IP地址为攻击源的IP地址。2.根据权利要求1所述的方法，其特征在于，所述根据会话表的会话表项的五元组中的源IP更新用户表的用户表项中的发起会话数，包括：新建会话表项，或者，更新会话表的会话表项；根据所述会话表项的五元组中的源IP查找所述用户表，确定是否查找到对应的用户表项；如果是，将查找到的所述用户表项中的所述发起会话数加1；如果否，根据所述会话表项的五元组中的源IP新建用户表项，并将所述发起会话数置为1。3.根据权利要求2所述的方法，其特征在于，所述新建会话表项，或者，更新会话表的会话表项，包括：接收到报文并提取报文的五元组；根据所述五元组查找所述会话表，确定是否查找到对应的会话表项；如果是，更新所述会话表项中的会话状态；其中，所述会话状态包括未完全状态和完全状态，所述未完全状态指会话双方尚未互相通信，所述完全状态指会话双方已经互相通信；如果否，基于所述五元组新建会话表项，并将所述会话表项中的会话状态置为未完全状态。4.根据权利要求3所述的方法，其特征在于，所述根据所述会话表的会话表项的会话状态和会话建立时间更新所述用户表的用户表项中的所述异常会话数，包括：周期性遍历所述会话表，依次将各会话表项选为目标会话表项；基于当前时间和所述目标会话表项中的会话建立时间确定所述目标会话表项是否已建立达到预设的状态更新时长；如果所述目标会话表项已建立达到所述状态更新时长，确定所述目标会话表项中的会话状态是否为完全状态；如果是，将下一个会话表项选为目标会话表项；如果否，将所述目标会话表项的五元组中的源IP查找所述用户表，将查找到的用户表项中的异常会话数加1。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：确定所述攻击源的IP地址后，对所述攻击源发送的报文进行丢弃。6.根据权利要求1所述的方法，其特征在于，所述接入交换机与管理服务器对接，所述方法还包括：确定所述攻击源的IP地址后，将所述攻击源的用户表项上报至所述管理服务器，以由所述管理服务器进一步确认所述用户表项中的IP地址为洪水攻击的攻击源的IP地址并下发阻断命令；接收到所述阻断命令，对所述攻击源发...

【专利技术属性】
技术研发人员：杜剑锋，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江,33