[发明专利]网络攻击分析方法和装置

权利要求书

1.一种网络攻击分析方法，其特征在于，包括如下步骤：

在数据转发平面统计网络设备当前接收到的网络攻击协议报文的数量；

根据所述当前接收到的网络攻击协议报文的数量判断所述网络设备是否遇 到网络攻击。

2.如权利要求1所述的方法，其特征在于，所述在数据转发平面统计 网络设备当前接收到的网络攻击协议报文的数量的步骤包括：

当所述网络设备当前接收到的协议报文为网络攻击协议报文时，在所述数 据转发平面统计网络设备当前接收到的与所述协议报文MAC地址对应的网络攻 击协议报文的数量；

所述根据所述当前接收到的网络攻击协议报文的数量判断所述网络设备是 否遇到网络攻击的步骤包括:

根据所述当前接收到的与所述协议报文MAC地址对应的网络攻击协议报文 的数量判断所述网络设备是否遇到网络攻击。

3.如权利要求2所述的方法，其特征在于，在统计网络设备当前接收 到的网络攻击协议报文的数量之前，还包括：

在所述网络设备接收到协议报文之后，在所述数据转发平面判断是否需要 学习所述协议报文的MAC地址，若是，则学习所述协议报文的MAC地址，若否， 则更新MAC地址表中对应表项的老化时间。

4.如权利要求3所述的方法，其特征在于，在所述数据转发平面统计 网络设备当前接收到的与所述协议报文MAC地址对应的网络攻击协议报文的数 量的步骤包括：

在所述数据转发平面更新与所述MAC地址对应的网络攻击协议报文的计数；

所述根据所述当前接收到的与所述协议报文MAC地址对应的网络攻击协议 报文的数量判断所述网络设备是否遇到网络攻击的步骤包括：

根据所述计数判断所述网络设备是否遇到网络攻击。

5.如权利要求4所述的方法，其特征在于，

在所述数据转发平面判断是否需要学习所述协议报文的MAC地址的步骤包 括：

当在所述数据转发平面根据协议报文的MAC地址、VLANID和端口号在MAC 地址中查找到匹配的表项时，判定不需要学习所述协议报文的MAC地址；

当所述数据转发平面根据协议报文的MAC地址、VLANID和端口号在MAC地 址表中查找不到匹配的表项时，判定需要学习所述协议报文的MAC地址；

所述MAC地址表中的表项包括：MAC地址、VLANID、端口号、和与MAC地 址对应的网络攻击协议报文计数；

所述学习所述协议报文的MAC地址的步骤包括：在所述MAC地址表中创建 一个表项；

在所述数据转发平面更新与所述MAC地址对应的网络攻击协议报文计数的 步骤包括：

在所述数据转发平面更新所述MAC地址表中与所述MAC地址对应的表项中 网络攻击协议报文计数；

根据与所述MAC地址对应的网络攻击协议报文计数判断所述网络设备是否 遇到网络攻击的步骤包括：

判断在MAC地址表中与所述MAC地址对应表项的网络攻击协议报文计数是 否大于第一预设阈值，若是，则判定所述网络设备遇到网络攻击。

6.如权利要求5所述的方法，其特征在于，当判断在MAC地址表中与 所述MAC地址对应的网络攻击协议报文计数是不大于第一预设阈值时，还包括：

判断在MAC地址表中某个端口号对应的网络攻击协议报文计数之和是否大 于第二预设阈值时，若是，判定所述网络设备遇到网络攻击。

7.如权利要求1-6任一项所述的方法，其特征在于，所述网络攻击协 议报文包括：ARP协议报文、DHCP协议报文、IGMP协议报文和自定义的协议报 文中的至少一种。

8.一种网络攻击分析装置，其特征在于，包括：统计模块和判断模块；

所述统计模块用于在数据转发平面统计网络设备当前接收到的网络攻击协 议报文的数量；

所述判断模块用于根据所述当前接收到的网络攻击协议报文的数量判断所 述网络设备是否遇到网络攻击。