[发明专利]一种网络攻击防御检测方法及系统

说明书

技术领域

本发明涉及计算机技术领域中的信息安全技术领域，尤其涉及一种网络攻击防御检测方法及系统。

背景技术

当前网络安全威胁日益严重，防火墙作为网络安全防护的第一道防线，能有效抵御扫描窥探、拒绝服务等多种攻击，保护内部网络和系统的正常运行。为避免防火墙单点故障而导致网络中断的风险，通常使用双机热备组网技术来提升网络的可靠性。进行双机热备组网的两台防火墙设备间通过专有线路互连；该专有线路用于会话表项同步，具体是将两台设备各自的会话表项分别备份到对方。当一台设备发生故障时，流量能迅速切换到另一台设备，由于另一台设备存在备份的会话表项，因此切换后的流量能继续处理、保证不会被中断。

双机热备组网技术具体又可分为主备模式(Active-Standby)和主主模式(Active-Active)。主备模式是指主用设备处理全部业务，备用设备仅做备份。主主模式则是指两台设备都为主用设备并处理业务，同时又互为备份，当其中一台主用设备出现故障时，另一台主用设备持续处理全部业务。因此，主主模式实际上就是在主备模式的基础上进行流量负载分担，以提高设备利用率的一种组网应用。

图1所示为两台主用防火墙设备采用主主模式进行双机热备组网示意图，其中，用户终端和服务器间的互访业务流量的处理，在第一主用防火墙设备和第二主用防火墙设备之间进行负载分担，两台主用防火墙设备各自完成自身的业务流量处理，并互相向对方备份会话表项。

现有技术中，在防火墙设备侧，为了稳定、高效的对经过自身的业务流量进行处理，将进行网络攻击防御检测，例如，针对扫描窥探、SYN FLOOD攻击和FLOW FLOOD攻击等流量攻击方式进行攻击防御检测，具体可预先设定流量阈值，当异常流量达到该流量阈值时，表示受到流量攻击，当异常流量未达到该流量阈值时，表示未受到流量攻击。

目前，在双机热备组网系统中，两台主用设备对网络攻击的防御检测是各自独立进行的，例如，在两台主用设备上基于相同的流量阈值进行检测，该流量阈值可以为使用一台主用设备对全部业务流量进行处理时预设的流量阈值的一半，所以，当网络异常流量经过负载分担到两台主用设备上，由两台主用设备分别独立进行攻击防御检测时，可能会由于负载分担的不均衡，出现第一台主用设备接收的异常流量，远大于第二台主用设备接收的异常流量的情况，且第一台主用设备基于流量阈值确定受到攻击检测，第二台主用设备基于流量阈值确定未受到攻击检测，然而，此时两台主用设备所接收的异常流量的和值，可能未达到该流量阈值的和，即实际情况为未受到流量攻击，使得检测结果与实际情况不符，造成检测结果的不准确。

并且，当两台主用设备中一台主用设备故障时，另一台主用设备将分担全部负载，此时基于该流量阈值进行检测，也将导致检测结果的不准确。

发明内容

本发明实施例提供一种网络攻击防御检测方法及系统，用以解决现有技术中存在的采用主主模式的双机热备组网系统中主用设备进行网络攻击防御检测不准确的问题。

本发明实施例提供一种网络攻击防御检测方法，包括：

第一主用设备确定自身的第一当前异常流量；并

当所述第一当前异常流量大于等于第一流量阈值且小于第二流量阈值时，将所述第一当前异常流量中超过第三流量阈值的异常流量，传输给第二主用设备，所述第二流量阈值大于所述第一流量阈值，所述第三流量阈值为所述第一流量阈值减去调整阈值的差值，所述第二主用设备与所述第一主用设备为双机热备组网系统中的两个主用设备；

所述第二主用设备确定自身的第二当前异常流量，所述第二当前异常流量中包括所述第一主用设备传输的异常流量；并

当所述第二当前异常流量大于等于第四流量阈值时，确定所述双机热备组网系统受到流量攻击，以及当所述第二当前异常流量小于所述第四流量阈值时，确定所述双机热备组网系统未受到流量攻击，所述第四流量阈值为所述第一流量阈值加上所述调整阈值的和值。

本发明实施例还提供一种网络攻击防御检测系统，包括：双机热备组网系统中的第一主用设备和第二主用设备，其中：

所述第一主用设备，用于确定自身的第一当前异常流量；并当所述第一当前异常流量大于等于第一流量阈值且小于第二流量阈值时，将所述第一当前异常流量中超过第三流量阈值的异常流量，传输给第二主用设备，所述第二流量阈值大于所述第一流量阈值，所述第三流量阈值为所述第一流量阈值减去调整阈值的差值；