一种抑制病毒在局域网中传播的方法及装置制造方法及图纸

本申请提供一种抑制病毒在局域网中传播的方法及装置。上述方法包括，在接收到业务首报文时，确定上述业务首报文携带的目的端口是否为预设的风险端口。如果上述目的端口为上述预设的风险端口，进一步确定与发起上述业务首报文的目标终端对应的交互终端数量是否达到第一预设阈值。如果上述交互终端数量达到上述第一预设阈值，则对上述目标终端进行防护，从而有效的抑制各类病毒在局域网传播。

A method and device to restrain the spread of virus in LAN

【技术实现步骤摘要】
一种抑制病毒在局域网中传播的方法及装置
本申请涉及计算机
，尤其涉及一种抑制病毒在局域网中传播的方法及装置。
技术介绍
由于在传统建网理念中，局域网与互联网相互独立，不会存在安全风险，因此在信息安全建设的过程中，长期以来都在关注来自于互联网和网络边界的威胁，忽视了局域网安全建设，导致局域网安全成为了整网的薄弱环节。而病毒在局域网中的传播正是利用了局域网安全防护的弱点，可见目前需要一种抑制病毒在局域网中传播的方法。
技术实现思路
有鉴于此，本申请提供一种抑制病毒在局域网中传播的方法，应用于转发设备，上述方法包括：在接收到业务首报文时，确定上述业务首报文携带的目的端口是否为预设的风险端口；其中，上述业务首报文包括，局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后，向上述其他终端发送的首个业务类报文；如果上述目的端口为上述预设的风险端口，进一步确定与发起上述业务首报文的目标终端对应的交互终端数量是否达到第一预设阈值；其中，上述交互终端数量包括，上述局域网包括的其它终端中，与上述目标终端进行过ARP交互的终端数量；如果上述交互终端数量达到上述第一预设阈值，则对上述目标终端进行防护以抑制病毒在上述局域网中传播。本申请提供一种抑制病毒在局域网中传播的方法，应用于转发设备，上述方法包括：在接收到ARP报文时，确定上述局域网包括的其它终端中，与发起上述ARP报文的目标终端进行过ARP交互的终端数量是否达到第一预设阈值；如果上述终端数量达到上述第一预设阈值，则进一步确定当前时间与上述转发设备维护的异常报文接收时间的差值是否小于预设时间阈值；如果上述差值小于上述预设时间阈值，则对上述目标终端进行防护以抑制病毒在上述局域网中传播。本申请提供一种抑制病毒在局域网中传播的方法，应用于转发设备，上述方法包括：在接收到ARP报文时，确定上述局域网包括的其它终端中，与发起上述ARP报文的第一目标终端进行过ARP交互的终端数量是否达到第一预设阈值；如果上述终端数量达到上述第一预设阈值，则进一步确定当前时间与上述转发设备维护的异常报文接收时间的差值是否小于预设时间阈值；如果上述差值小于上述预设时间阈值，则对上述第一目标终端进行防护以抑制病毒在上述局域网中传播。在接收到业务首报文时，确定上述业务首报文携带的目的端口是否为预设的风险端口；其中，上述业务首报文包括，局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后，向上述其他终端发送的首个业务类报文；如果上述目的端口为上述预设的风险端口，进一步确定与发起上述业务首报文的第二目标终端对应的交互终端数量是否达到第二预设阈值；其中，上述交互终端数量包括，上述局域网包括的其它终端中，与上述第二目标终端进行过ARP交互的终端数量；如果上述交互终端数量达到上述第二预设阈值，则对上述第二目标终端进行防护以抑制病毒在上述局域网中传播。本申请还提出一种抑制病毒在局域网中传播的装置，应用于转发设备，上述装置包括：风险端口确定模块，在接收到业务首报文时，确定上述业务首报文携带的目的端口是否为预设的风险端口；其中，上述业务首报文包括，局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后，向上述其他终端发送的首个业务类报文；交互终端数量确定模块，如果上述目的端口为上述预设的风险端口，进一步确定与发起上述业务首报文的目标终端对应的交互终端数量是否达到第一预设阈值；其中，上述交互终端数量包括，上述局域网包括的其它终端中，与上述目标终端进行过ARP交互的终端数量；防护模块，如果上述交互终端数量达到上述第一预设阈值，则对上述目标终端进行防护以抑制病毒在上述局域网中传播。本申请还提出一种抑制病毒在局域网中传播的装置，应用于转发设备，上述装置包括：交互终端数量确定模块，在接收到ARP报文时，确定上述局域网包括的其它终端中，与发起上述ARP报文的目标终端进行过ARP交互的终端数量是否达到第一预设阈值；时间差确定模块，如果上述终端数量达到上述第一预设阈值，则进一步确定当前时间与上述转发设备维护的异常报文接收时间的差值是否小于预设时间阈值；防护模块，如果上述差值小于上述预设时间阈值，则对上述目标终端进行防护以抑制病毒在上述局域网中传播。本申请还提出一种抑制病毒在局域网中传播的装置，应用于转发设备，上述装置包括：交互终端数量确定模块，在接收到ARP报文时，确定上述局域网包括的其它终端中，与发起上述ARP报文的第一目标终端进行过ARP交互的终端数量是否达到第一预设阈值；时间差确定模块，如果上述终端数量达到上述第一预设阈值，则进一步确定当前时间与上述转发设备维护的异常报文接收时间的差值是否小于预设时间阈值；防护模块，如果上述差值小于上述预设时间阈值，则对上述第一目标终端进行防护以抑制病毒在上述局域网中传播。风险端口确定模块，在接收到业务首报文时，确定上述业务首报文携带的目的端口是否为预设的风险端口；其中，上述业务首报文包括，局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后，向上述其他终端发送的首个业务类报文；交互终端数量确定模块，如果上述目的端口为上述预设的风险端口，进一步确定与发起上述业务首报文的第二目标终端对应的交互终端数量是否达到第二预设阈值；其中，上述交互终端数量包括，上述局域网包括的其它终端中，与上述第二目标终端进行过ARP交互的终端数量；防护模块，如果上述交互终端数量达到上述第二预设阈值，则对上述第二目标终端进行防护以抑制病毒在上述局域网中传播。由上述技术方案可知，本申请中记载的方案是通过分析上述终端在上述局域网中与其他终端进行交互的行为特征是否符合病毒传播的行为特征，并在终端的上述交互行为符合病毒传播的行为特征时，对该终端进行防护，因此，本申请中记载的方案一方面可以不依赖任何病毒库或威胁情报等已有病毒特征实现抑制各类病毒在局域网中的传播；另一方面可以在不增加安全防护设备的情况下，让局域网中的转发设备具有抑制病毒传播的功能。附图说明图1为本申请示出的一种组网图；图2为本申请示出的一种抑制病毒在局域网中传播的方法的流程图；图3为本申请示出的一种抑制病毒在局域网中传播的方法的流程图；图4为本申请示出的一种抑制病毒在局域网中传播的方法的流程图；图5为本申请示出的一种抑制病毒在局域网中传播的方法的流程图；图6为本申请示出的一种抑制病毒在局域网中传播的方法的流程图；图7为本申请示出的一种抑制病毒在局域网中传播的方法的流程图；图8为本申请示出的一种抑制病毒在局域网中传播的装置的结构图；图9为本申请示出的一种抑制病毒在局域网中传播的装置的结构图；图10为本申请示出的一种抑制病毒在局域网中传播的装置的本文档来自技高网...

【技术保护点】
1.一种抑制病毒在局域网中传播的方法，应用于转发设备，所述方法包括：/n在接收到业务首报文时，确定所述业务首报文携带的目的端口是否为预设的风险端口；其中，所述业务首报文包括，局域网中的终端与所述局域网中的其他终端进行ARP交互获取所述其他终端的MAC地址后，向所述其他终端发送的首个业务类报文；/n如果所述目的端口为所述预设的风险端口，进一步确定与发起所述业务首报文的目标终端对应的交互终端数量是否达到第一预设阈值；其中，所述交互终端数量包括，所述局域网包括的其它终端中，与所述目标终端进行过ARP交互的终端数量；/n如果所述交互终端数量达到所述第一预设阈值，则对所述目标终端进行防护以抑制病毒在所述局域网中传播。/n

【技术特征摘要】
1.一种抑制病毒在局域网中传播的方法，应用于转发设备，所述方法包括：
在接收到业务首报文时，确定所述业务首报文携带的目的端口是否为预设的风险端口；其中，所述业务首报文包括，局域网中的终端与所述局域网中的其他终端进行ARP交互获取所述其他终端的MAC地址后，向所述其他终端发送的首个业务类报文；
如果所述目的端口为所述预设的风险端口，进一步确定与发起所述业务首报文的目标终端对应的交互终端数量是否达到第一预设阈值；其中，所述交互终端数量包括，所述局域网包括的其它终端中，与所述目标终端进行过ARP交互的终端数量；
如果所述交互终端数量达到所述第一预设阈值，则对所述目标终端进行防护以抑制病毒在所述局域网中传播。


2.根据权利要求1所述的方法，还包括：
在接收到所述目标终端发起的ARP报文时，基于所述ARP报文更新所述交互终端数量。


3.根据权利要求1所述的方法，还包括：
在对所述目标终端进行防护之前，确定与所述目标终端对应的异常终端关系数量是否达到第二预设阈值；其中，所述异常终端关系数量包括，所述目标终端通过发送目的端口为所述预设的风险端口的业务首报文进行交互的终端关系数量；
如果所述异常终端关系数量达到所述第二预设阈值，则对所述目标终端进行防护。


4.根据权利要求1所述的方法，还包括：
在对所述目标终端进行防护之前，确定与所述目标终端进行过ARP交互的终端中，IP地址连续的终端数量是否达到第三预设阈值；
如果所述IP地址连续的终端数量达到所述第三预设阈值，则对所述目标终端进行防护。


5.根据权利要求1所述的方法，还包括：
如果所述目的端口为所述预设的风险端口，更新所述转发设备维护的异常报文接收时间；
在接收到所述目标终端发送的ARP报文时，确定所述异常终端关系数量是否达到所述第一预设阈值，如果达到，则确定当前时间与所述异常报文接收时间的差值是否小于预设时间阈值；
如果是，则对所述目标终端进行防护以抑制病毒在所述局域网中传播。


6.根据权利要求2或5所述的方法，所述ARP报文包括：
ARP请求报文和/或ARP应答报文。


7.根据权利要求1所述的方法，所述业务类报文包括：
TCP报文；UDP报文；其它业务类报文。


8.一种抑制病毒在局域网中传播的方法，应用于转发设备，所述方法包括：
在接收到ARP报文时，确定所述局域网包括的其它终端中，与发起所述ARP报文的目标终端进行过ARP交互的终端数量是否达到第一预设阈值；
如果所述终端数量达到所述第一预设阈值，则进一步确定当前时间与所述转发设备维护的异常报文接收时间的差值是否小于预设时间阈值；
如果所述差值小于所述预设时间阈值，则对所述目标终端进行防护以抑制病毒在所述局域网中传播。


9.一种抑制病毒在局域网中传播的方法，应用于转发设备，所述方法包括：
在接收到ARP报文时，确定所述局域网包括的其它终端中，与发起所述ARP报文的第一目标终端进行过ARP交互的终端数量是否达到第一预设阈值；
如果所述终端数量达到所述第一预设阈值，则进一步确定当前时间与所述转发设备维护的异常报文接收时间的差值是否小于预设时间阈值；
如果所述差值小于所述预设时间阈值，则对所述第一目标终端进行防护以抑制病毒在所述局域网中传播；
在接收到业务首报文时，确定所述业务首报文携带的目的端口是否为预设的风险端口；其中，所述业务首报文包括，局域网中的终端与所述局域网中的其他终端进行ARP交互获取所述其他终端的MAC地址后，向所述其他终端发送的首个业务类报文；
如果所述目的端口为所述预设的风险端口，进一步确定与发起所述业务首报文的第二目标终端对应的交互终端数量是否达到第二预设阈值；其中，所述交互终端数量包括，所述局域网包括的其它终端中，与所述第二目标终端进行过ARP交互的终端数量；
如果所述交互终端数量达到所述第二预设阈值，则对所述第二目标终端进行防护以抑制病毒在所述局域网中传播。


10.一种抑制病毒在局域网中传播的装置，应用于转发设备，所述装置包括：
风险端口确定模块，在接收到...

【专利技术属性】
技术研发人员：王富涛，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江;33