[发明专利]对网络攻击进行检测的方法和装置

权利要求书

1.一种对网络攻击进行检测的方法，其特征在于，包括：

从网络设备中获取报文，对所述报文进行解析；

获取所述报文的源IP或者目的IP地址，当所述报文的源IP或者目的IP地址 属于主机监控列表中的某个主机时，获取并保存所述报文的头部数据；

根据所述报文的头部数据对所述某个主机的相应主机统计指标进行更 新，并且对所述主机监控列表中所有主机组成的子网的相应网络统计指标进 行更新；

根据更新后的所述主机统计指标，以及预先设定的各个主机的主机统计 指标的阈值，判断所述主机监控列表中各个主机是否出现异常；根据更新后 的所述网络统计指标，以及预先设定的子网的网络统计指标的阈值，判断所 述子网是否出现异常；

当判断所述子网出现了异常，并且确定是不在所述主机监控列表中的其 它主机异常导致了所述子网异常，则根据预先设定的策略决定是否将所述其 它主机添加到所述主机监控列表中。

2.根据权利要求1所述的对网络攻击进行检测的方法，其特征在于，所 述方法还包括：

配置主机监控列表，设定主机监控列表中的各个主机的主机统计指标和 相应的阈值，以及设定所述主机监控列表中所有主机组成的子网的网络统计 指标和相应的阈值。

3.根据权利要求1所述的对网络攻击进行检测的方法，其特征在于，所 述的从网络设备中获取报文，具体包括：

将检测设备以侧挂或者直连的方式部署在交换机或者出口路由器处，使 所述检测设备通过镜像或者过滤的方式，获取通过所述交换机或者出口路由 器的报文。

4.根据权利要求1所述的对网络攻击进行检测的方法，其特征在于，所 述的方法还包括：

当确定单位时间内所述主机监控列表中的某个主机上收到的同步报文的 数目超过了预先设定的阈值时，获取发送所述同步报文的源主机，如果所述 某个主机上被所述源主机访问的端口的数目超过了预先设定的阈值，则确定 所述源主机正在对所述某个主机进行端口扫描攻击；

当所述源主机不在所述主机监控列表中时，根据预先设定的策略决定是 否将所述源主机添加到所述主机监控列表中。

5.根据权利要求1所述的对网络攻击进行检测的方法，其特征在于，所 述的方法还包括：

当确定单位时间内所述子网收到的同步报文的数目超过了预先设定的阈 值时，获取发送所述同步报文的源主机，如果判断出所述主机监控列表中被 所述源主机连接的主机的数目超过了预先设定的阈值，则确定所述源主机正 在对所述子网进行地址扫描攻击；

当所述源主机不在所述主机监控列表中时，根据预先设定的策略决定是 否将所述源主机添加到所述主机监控列表中。

6.根据权利要求1所述的对网络攻击进行检测的方法，其特征在于，所 述的方法还包括：

当确定单位时间内所述主机监控列表中的某个主机端口上收到的同步报 文的数目超过了预先设定的阈值时，获取发送所述同步报文的源主机，当判 断出所述源主机访问所述某个主机端口的总次数和失败次数都超过了预先设 定的阈值，则确定所述源主机正在对所述某个主机端口进行DoS攻击；

当所述源主机不在所述主机监控列表中时，根据预先设定的策略决定是 否将所述源主机添加到所述主机监控列表中。

7.根据权利要求1所述的对网络攻击进行检测的方法，其特征在于，所 述的方法还包括：

当确定单位时间内所述主机监控列表中的某个主机收到的同步报文的数 目超过了预先设定的阈值时，获取发送所述同步报文的多个源主机，当判断 出所述多个源主机的数目超过了预先设定的阈值，并且所述多个源主机中的 每个源主机连接所述某个主机失败的次数都超过了预先设定的阈值，则确定 所述多个源主机正在对所述某个主机进行DDoS攻击；

当所述多个源主机不在所述主机监控列表中时，根据预先设定的策略决 定是否将所述多个源主机添加到所述主机监控列表中。