[发明专利]网络攻击分析方法和装置

说明书

技术领域

本发明涉及数据通信技术领域，尤其涉及一种网络攻击分析方法和装置。

背景技术

随着网络技术的发展，网络环境越来越复杂，网络中的流量和报文类型越 来越多，大流量协议报文和各种网络攻击对网络的性能会造成巨大影响。因此， 对网络攻击和异常的快速定位分析变得十分困难。

网络设备大都分为转发平面和控制平面。转发平面负责数据流量的转发， 主要基于硬件转发。控制平面负责各种协议报文的处理和业务交互，主要基于 软件平台。现有对网络设备的攻击手段主要是拒绝服务型攻击，即DoS(Denyof Service)攻击。拒绝服务型攻击的原理是通过向设备发送大数据流量的报文攻 击，使得设备的控制平面处理业务的CPU负载增高，从而使网络设备不能对正 常服务请求进行相应，甚至会导致设备挂起，严重影响网络的正常运行。

现有网络设备对于攻击行为的分析和攻击源的定位多是通过控制平面或软 件来完成的。控制平面通过CPU的负载或控制平面的业务模块处理是否异常来 判断设备是否遇到攻击并进行监控分析。缺点在于当网络攻击导致控制平面的 业务模块瘫痪时，无法再利用控制平面的业务信息对攻击行为进行分析定位， 同时监控行为也会增加控制平面CPU的负载。

发明内容

本发明要解决的主要技术问题是，提供一种网络攻击分析方法和装置，能 够解决现有网络攻击分析技术在网络攻击导致控制平面瘫痪时无法再利用控制 平面对网络攻击分析的技术问题。

为解决上述技术问题，本发明提供一种网络攻击分析方法，包括如下步骤：

在数据转发平面统计网络设备当前接收到的网络攻击协议报文的数量；

根据所述当前接收到的网络攻击协议报文的数量判断所述网络设备是否遇 到网络攻击。

进一步地，所述在数据转发平面统计网络设备当前接收到的网络攻击协议 报文的数量的步骤包括：

当所述网络设备当前接收到的协议报文为网络攻击协议报文时，在所述数 据转发平面统计网络设备当前接收到的与所述协议报文MAC地址对应的网络攻 击协议报文的数量；

所述根据所述当前接收到的网络攻击协议报文的数量判断所述网络设备是 否遇到网络攻击的步骤包括:

根据所述当前接收到的与所述协议报文MAC地址对应的网络攻击协议报文 的数量判断所述网络设备是否遇到网络攻击。

进一步地，统计网络设备当前接收到的网络攻击协议报文的数量之前，所 述方法还包括：

在所述网络设备接收到协议报文之后，在所述数据转发平面判断是否需要 学习所述协议报文的MAC地址，若是，则学习所述协议报文的MAC地址，若否， 则更新MAC地址表中对应表项的老化时间。

进一步地，在所述数据转发平面统计网络设备当前接收到的与所述协议报 文MAC地址对应的网络攻击协议报文的数量的步骤包括：

在所述数据转发平面更新与所述MAC地址对应的网络攻击协议报文的计数；

所述根据所述当前接收到的与所述协议报文MAC地址对应的网络攻击协议 报文的数量判断所述网络设备是否遇到网络攻击的步骤包括：

根据所述计数判断所述网络设备是否遇到网络攻击。

进一步地，在所述数据转发平面判断是否需要学习所述协议报文的MAC地 址的步骤包括：

当在所述数据转发平面根据协议报文的MAC地址、VLANID和端口号在MAC 地址中查找到匹配的表项时，判定不需要学习所述协议报文的MAC地址；

当所述数据转发平面根据协议报文的MAC地址、VLANID和端口号在MAC地 址表中查找不到匹配的表项时，判定需要学习所述协议报文的MAC地址；

所述MAC地址表中的表项包括：MAC地址、VLANID、端口号、和与MAC地 址对应的网络攻击协议报文计数；

所述学习所述协议报文的MAC地址的步骤包括：在所述MAC地址表中创建 一个表项；

在所述数据转发平面更新与所述MAC地址对应的网络攻击协议报文计数的 步骤包括：

在所述数据转发平面更新所述MAC地址表中与所述MAC地址对应的表项中 网络攻击协议报文计数；

根据与所述MAC地址对应的网络攻击协议报文计数判断所述网络设备是否 遇到网络攻击的步骤包括：