一种抑制病毒在局域网中传播的方法及装置制造方法及图纸

本申请提供一种抑制病毒在局域网中传播的方法及装置。上述方法包括，在接收到ARP报文时，确定与发起上述ARP报文的目标终端对应的交互终端数量是否达到第一预设阈值。如果上述交互终端数量达到上述第一预设阈值，则进一步确定与上述目标终端对应的异常终端关系数量是否达到第二预设阈值。如果上述异常终端关系数量达到上述第二预设阈值，则对上述目标终端进行防护，从而有效的抑制各类病毒在局域网传播。

A method and device to restrain the spread of virus in LAN

【技术实现步骤摘要】
一种抑制病毒在局域网中传播的方法及装置
本申请涉及计算机
，尤其涉及一种抑制病毒在局域网中传播的方法及装置。
技术介绍
由于在传统建网理念中，局域网与互联网相互独立，不会存在安全风险，因此在信息安全建设的过程中，长期以来都在关注来自于互联网和网络边界的威胁，忽视了局域网安全建设，导致局域网安全成为了整网的薄弱环节。而病毒在局域网中的传播正是利用了局域网安全防护的弱点，可见目前需要一种抑制病毒在局域网中传播的方法。
技术实现思路
有鉴于此，本申请提供一种抑制病毒在局域网中传播的方法，应用于转发设备，上述方法包括：在接收到ARP报文时，确定与发起上述ARP报文的目标终端对应的交互终端数量是否达到第一预设阈值；其中，上述交互终端数量包括，上述局域网包括的其它终端中，与上述目标终端进行过ARP交互的终端数量；如果上述交互终端数量达到上述第一预设阈值，则进一步确定与上述目标终端对应的异常终端关系数量是否达到第二预设阈值；其中，上述异常终端关系数量包括，上述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量；上述业务首报文包括，局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后，向上述其他终端发送的首个业务类报文；如果上述异常终端关系数量达到上述第二预设阈值，则对上述目标终端进行防护以抑制病毒在上述局域网中传播。本申请提供一种抑制病毒在局域网中传播的方法，应用于转发设备，上述方法包括：在接收到业务首报文时，确定与发起上述业务首报文的目标终端对应的异常终端关系数量是否达到第一预设阈值；其中，上述业务首报文包括，局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后，向上述其他终端发送的首个业务类报文；上述异常终端关系数量包括，上述目标终端通过发送目的端口为上述预设的风险端口的业务首报文进行交互的终端关系数量；如果上述异常终端关系数量达到上述第一预设阈值，再进一步确定与上述目标终端对应的交互终端数量是否达到第二预设阈值；其中，上述交互终端数量包括，上述局域网包括的其它终端中，与上述目标终端进行过ARP交互的终端数量；如果上述交互终端数量达到上述第二预设阈值，则对上述目标终端进行防护以抑制病毒在上述局域网中传播。本申请提供一种抑制病毒在局域网中传播的方法，应用于转发设备，上述方法包括：在接收到ARP报文时，确定与发起上述ARP报文的第一目标终端对应的交互终端数量是否达到第一预设阈值；其中，上述交互终端数量包括，上述局域网包括的其它终端中，与上述第一目标终端进行过ARP交互的终端数量；如果上述交互终端数量达到上述第一预设阈值，则进一步确定上述转发设备维护的异常终端关系数量是否达到第二预设阈值；其中，上述异常终端关系数量包括，上述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量；上述业务首报文包括，局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后，向上述其他终端发送的首个业务类报文；如果上述异常终端关系数量达到上述第二预设阈值，则对上述第一目标终端进行防护以抑制病毒在上述局域网中传播；在接收到业务首报文时，确定与发起上述业务首报文的第二目标终端对应的异常终端关系数量是否达到第三预设阈值；如果上述异常终端关系数量达到上述第三预设阈值，再进一步确定与上述第二目标终端对应的交互终端数量是否达到第四预设阈值；如果上述交互终端数量达到上述第四预设阈值，则对上述第二目标终端进行防护以抑制病毒在上述局域网中传播。相应于上述方法，本申请提供一种抑制病毒在局域网中传播的装置，应用于转发设备，上述装置包括：交互终端数量确定模块，在接收到ARP报文时，确定与发起上述ARP报文的目标终端对应的交互终端数量是否达到第一预设阈值；其中，上述交互终端数量包括，上述局域网包括的其它终端中，与上述目标终端进行过ARP交互的终端数量；异常终端关系数量确定模块，如果上述交互终端数量达到上述第一预设阈值，则进一步确定与上述目标终端对应的异常终端关系数量是否达到第二预设阈值；其中，上述异常终端关系数量包括，上述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量；上述业务首报文包括，局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后，向上述其他终端发送的首个业务类报文；防护模块，如果上述异常终端关系数量达到上述第二预设阈值，则对上述目标终端进行防护以抑制病毒在上述局域网中传播。相应于上述方法，本申请提供一种抑制病毒在局域网中传播的装置，应用于转发设备，上述装置包括：异常终端关系数量确定模块，在接收到业务首报文时，确定与发起上述业务首报文的目标终端对应的异常终端关系数量是否达到第一预设阈值；其中，上述业务首报文包括，局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后，向上述其他终端发送的首个业务类报文；上述异常终端关系数量包括，上述目标终端通过发送目的端口为上述预设的风险端口的业务首报文进行交互的终端关系数量；交互终端数量确定模块，如果上述异常终端关系数量达到上述第一预设阈值，再进一步确定与上述目标终端对应的交互终端数量是否达到第二预设阈值；其中，上述交互终端数量包括，上述局域网包括的其它终端中，与上述目标终端进行过ARP交互的终端数量；防护模块，如果上述交互终端数量达到上述第二预设阈值，则对上述目标终端进行防护以抑制病毒在上述局域网中传播。相应于上述方法，本申请提供一种抑制病毒在局域网中传播的装置，应用于转发设备，上述装置包括：交互终端数量确定模块，在接收到ARP报文时，确定与发起上述ARP报文的第一目标终端对应的交互终端数量是否达到第一预设阈值；其中，上述交互终端数量包括，上述局域网包括的其它终端中，与上述第一目标终端进行过ARP交互的终端数量；异常终端关系数量确定模块，如果上述交互终端数量达到上述第一预设阈值，则进一步确定上述转发设备维护的异常终端关系数量是否达到第二预设阈值；其中，上述异常终端关系数量包括，上述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量；上述业务首报文包括，局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后，向上述其他终端发送的首个业务类报文；防护模块，如果上述异常终端关系数量达到上述第二预设阈值，则对上述第一目标终端进行防护以抑制病毒在上述局域网中传播；异常终端关系数量确定模块，在接收到业务首报文时，确定与发起上述业务首报文的第二目标终端对应的异常终端关系数量是否达到第三预设阈值；交互终端数量确定模块，如果上述异常终端关系数量达到上述第三预设阈值，再进一步确定与上述第二目标终端对应的交互终端数量是否达到第四预设阈值；防护模块，如果上述交互本文档来自技高网...

【技术保护点】
1.一种抑制病毒在局域网中传播的方法，应用于转发设备，所述方法包括：/n在接收到ARP报文时，确定与发起所述ARP报文的目标终端对应的交互终端数量是否达到第一预设阈值；其中，所述交互终端数量包括，所述局域网包括的其它终端中，与所述目标终端进行过ARP交互的终端数量；/n如果所述交互终端数量达到所述第一预设阈值，则进一步确定与所述目标终端对应的异常终端关系数量是否达到第二预设阈值；其中，所述异常终端关系数量包括，所述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量；所述业务首报文包括，局域网中的终端与所述局域网中的其他终端进行ARP交互获取所述其他终端的MAC地址后，向所述其他终端发送的首个业务类报文；/n如果所述异常终端关系数量达到所述第二预设阈值，则对所述目标终端进行防护以抑制病毒在所述局域网中传播。/n

【技术特征摘要】
1.一种抑制病毒在局域网中传播的方法，应用于转发设备，所述方法包括：
在接收到ARP报文时，确定与发起所述ARP报文的目标终端对应的交互终端数量是否达到第一预设阈值；其中，所述交互终端数量包括，所述局域网包括的其它终端中，与所述目标终端进行过ARP交互的终端数量；
如果所述交互终端数量达到所述第一预设阈值，则进一步确定与所述目标终端对应的异常终端关系数量是否达到第二预设阈值；其中，所述异常终端关系数量包括，所述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量；所述业务首报文包括，局域网中的终端与所述局域网中的其他终端进行ARP交互获取所述其他终端的MAC地址后，向所述其他终端发送的首个业务类报文；
如果所述异常终端关系数量达到所述第二预设阈值，则对所述目标终端进行防护以抑制病毒在所述局域网中传播。


2.根据权利要求1所述的方法，还包括：
基于所述ARP报文更新所述交互终端数量。


3.根据权利要求1所述的方法，还包括：
在对所述目标终端进行防护之前，确定与所述目标终端进行过ARP交互的终端中，IP地址连续的终端数量是否达到第三预设阈值；
如果所述IP地址连续的终端数量达到所述第三预设阈值，则对所述目标终端进行防护。


4.根据权利要求1所述的方法，还包括：
在接收到业务首报文时，确定所述业务首报文携带的目的端口是否为预设的风险端口；
如果所述目的端口为所述预设的风险端口，则更新所述异常终端关系数量。


5.根据权利要求1或2所述的方法，所述ARP报文包括：
ARP请求报文和/或ARP应答报文。


6.根据权利要求1所述的方法，所述业务类报文包括：
TCP报文；UDP报文；其它业务类报文。


7.一种抑制病毒在局域网中传播的方法，应用于转发设备，所述方法包括：
在接收到业务首报文时，确定与发起所述业务首报文的目标终端对应的异常终端关系数量是否达到第一预设阈值；其中，所述业务首报文包括，局域网中的终端与所述局域网中的其他终端进行ARP交互获取所述其他终端的MAC地址后，向所述其他终端发送的首个业务类报文；所述异常终端关系数量包括，所述目标终端通过发送目的端口为所述预设的风险端口的业务首报文进行交互的终端关系数量；
如果所述异常终端关系数量达到所述第一预设阈值，再进一步确定与所述目标终端对应的交互终端数量是否达到第二预设阈值；其中，所述交互终端数量包括，所述局域网包括的其它终端中，与所述目标终端进行过ARP交互的终端数量；
如果所述交互终端数量达到所述第二预设阈值，则对所述目标终端进行防护以抑制病毒在所述局域网中传播。


8.一种抑制病毒在局域网中传播的方法，应用于转发设备，所述方法包括：
在接收到ARP报文时，确定与发起所述ARP报文的第一目标终端对应的交互终端数量是否达到第一预设阈值；其中，所述交互终端数量包括，所述局域网包括的其它终端中，与所述第一目标终端进行过ARP交互的终端数量；
如果所述交互终端数量达到所述第一预设阈值，则进一步确定所述转发设备维护的异常终端关系数量是否达到第二预设阈值；其中，所述异常终端关系数量包括，所述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量；所述业务首报文包括，局域网中的终端与所述局域网中的其他终端进行ARP交互获取所述其他终端的MAC地址后，向所述其他终端发送的首个业务类报文；
如果所述异常终端关系数量达到所述第二预设阈值，则对所述第一目标终端进行防护以抑制病毒在所述局域网中传播；
在接收到业务首报文时，确定与发起所述业务首报文的第二目标终端对应的异常终端关系数量是否达到第三预设阈值；
如果所述异常终端关系数量达到所述第三预设阈值，再进一步确定与所述第二目标终端对应的交互终端数量是否达到第四预设阈值；
如果所述交互终端数量达到所述第四预设阈值，则对所述第二目标终端进行防护以抑制病毒在所述局域网中传播。


9.一种抑制病毒在局域网中传播的装置，应用于转发设备，所述装置包括：
交互终端数量确定模块，在接收到ARP报文...

【专利技术属性】
技术研发人员：王富涛，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江;33