[发明专利]一种攻击检测的方法及控制器

权利要求书

1.一种攻击检测的方法，其特征在于，所述方法包括：

统计终端设备向特定服务的主机发起请求的次数，所述向特定服务的主机发起的请求至少包括访问端口、访问网际协议IP地址和发送地址解析协议ARP报文中的一个；

根据所述终端设备向特定服务的主机发起请求的次数确定所述终端设备是否存在攻击行为，所述攻击行为至少包括端口扫描、IP扫描和ARP扫描中的一个；

若存在攻击行为，则将所述终端设备标识为扫描者，对所述终端设备进行扫描检测，所述扫描检测至少包括端口扫描检测、IP扫描检测和ARP扫描中的一个；

当向特定服务的主机发起的请求为访问端口和/或访问IP地址时，所述统计所述终端设备向特定服务的主机发起的请求的次数之前，所述方法还包括：

统计所述终端设备在第一时长内请求创建的会话个数，当所述会话个数大于第一阈值时，确定所述终端设备满足攻击行为怀疑条件，将所述终端设备加入防御检测列表。

2.根据权利要求1所述的方法，其特征在于，当所述向特定服务的主机发起的请求为发送ARP报文时，所述方法还包括：

若确定所述终端设备不存在攻击行为时，将所述终端设备向特定服务的主机发送ARP报文的个数置0；

重新执行统计所述终端设备向特定服务的主机发送ARP报文的个数，以及判断是否存在攻击行为的操作。

3.根据权利要求1所述的方法，其特征在于，当向特定服务的主机发起的请求为访问端口和/或访问IP地址时，所述方法还包括：

在确定所述终端设备不存在攻击行为时，将向特定服务的主机发起的访问端口和/或访问IP地址的次数置0；

重新执行统计会话个数、统计访问端口和/或访问IP地址的次数，以及判断是否存在攻击行为的操作。

4.根据权利要求1所述的方法，其特征在于，所述向特定服务的主机发起的请求为访问端口时，所述统计所述终端设备向特定服务的主机发起的请求的次数，根据所述终端设备向特定服务的主机发起的请求的次数确定所述终端设备是否存在攻击行为，包括：

在连续至少两个第二时长内统计所述终端设备访问的不同类型的端口个数；

若在每个所述第二时长内统计的端口个数大于第二阈值的次数超过预设次数，或所述终端设备请求的端口个数将端口数组填满，则确定所述终端设备存在端口扫描的攻击行为。

5.根据权利要求4所述的方法，其特征在于，所述方法至少还包括以下项之一：

对于信任等级高于第一等级的第一终端设备，在所述第一终端设备在第二时长内请求创建的会话个数小于第三阈值时，减少针对所述第一终端设备访问端口的端口扫描检测的次数，或者缩短端口扫描检测的时间；

或者，对于信任等级高于第一等级的第二终端设备，在所述第二终端设备满足攻击行为怀疑条件的次数大于第一预设次数时，对所述第二终端设备进行端口扫描检测；

或者，对于信任等级高于第二等级的终端设备，在预设时长内不对信任等级高于第二等级的终端设备进行端口扫描检测。

6.根据权利要求1所述的方法，其特征在于，所述向特定服务的主机发起的请求为访问IP地址时，所述统计所述终端设备向特定服务的主机发起的请求的次数，根据所述终端设备向特定服务的主机发起的请求的次数确定所述终端设备是否存在攻击行为，包括：

在连续至少两个第三时长内统计所述终端设备访问的不用类型的IP地址个数；

若在每个所述第三时长内统计的IP地址个数大于第四阈值的次数超过第二预设次数，或所述终端设备请求的IP地址个数将IP地址数组填满，则确定所述终端设备存在IP扫描的攻击行为。