[发明专利]网络攻击的检测方法、装置、主机及存储介质

权利要求书

1.一种网络攻击的检测方法，其特征在于，应用于主机，所述方法包括：

查询所述主机发送的网络数据包中报文携带的主机地址；

判断所述主机地址是否属于预设的安全主机地址集合；

若所述主机地址不属于所述预设的安全主机地址集合，则确定发送所述网络数据包的所述主机为攻击源主机；

其中，所述主机地址包括物理地址和网络协议地址；

所述预设的安全主机地址集合包括所述主机的每个网卡的物理地址和与所述网卡的物理地址对应的网络协议地址；或者，所述预设的安全主机地址集合包括所述主机的每个网卡的物理地址和与所述网卡的物理地址对应的网络协议地址，以及用户设置的物理地址和与用户设置的物理地址对应的网络协议地址。

2.根据权利要求1所述的方法，其特征在于，所述查询所述主机发送的网络数据包中报文携带的主机地址之前，还包括：

检测所述主机发送的网络数据包对应的通信信息是否符合预设规则；

若所述主机发送的网络数据包对应的通信信息不符合预设规则，查询所述主机发送的网络数据包中报文携带的主机地址。

3.根据权利要求2所述的方法，其特征在于，所述主机发送的网络数据包对应的通信信息包括所述网络数据包的通信连接参数；

所述检测所述主机发送的网络数据包对应的通信信息是否符合预设规则，包括：

检测所述通信连接参数是否超出预设的安全参数范围；

若所述通信连接参数超出所述预设的安全参数范围，则确定所述主机发送的网络数据包对应的通信信息不符合所述预设规则。

4.根据权利要求3所述的方法，其特征在于，所述通信连接参数包括网络连接信息的条数，所述安全参数范围包括连接信息数目安全阈值，一条所述网络连接信息包括一个本地网络协议IP地址、一个本地端口、一个远程IP地址和一个远程端口。

5.根据权利要求3所述的方法，其特征在于，所述通信连接参数包括所述网络数据包的发送速率，所述安全参数范围包括安全速率范围。

6.根据权利要求2所述的方法，其特征在于，所述通信信息包括所述网络数据包中的报文的内容，所述检测所述主机发送的网络数据包对应的通信信息是否符合预设规则，包括：

检测所述主机发送的网络数据包中报文的内容是否属于预设的攻击报文内容集合，所述攻击报文内容集合包括至少一种拒绝服务网络攻击类型的报文的内容模板；

若所述主机发送的网络数据包中报文的内容属于所述预设的攻击报文内容集合，则所述主机发送的网络数据包对应的通信信息不符合预设规则。

7.根据权利要求1-6任一所述的方法，其特征在于，所述查询所述主机发送的网络数据包中报文携带的主机地址之前，还包括：

统计在第一预设时长内主机在同一传输协议下发送不同功能类别的网络数据包的数目的比值，所述第一预设时长起始于上一次统计之后；

检测所述比值是否超出比值阈值范围，若确定所述比值超出所述比值阈值范围，则查询所述主机发送的网络数据包中报文携带的主机地址。

8.根据权利要求1至6中任意一项所述的方法，其特征在于，若所述主机地址不属于所述预设的安全主机地址集合，确定发送所述网络数据包的所述主机为攻击源主机，包括：

若所述主机地址不属于所述预设的安全主机地址集合，检测所述主机发送的网络数据包中报文的内容是否与预设的攻击报文内容集合匹配，所述攻击报文内容集合包括至少一种拒绝服务网络攻击类型的报文的内容模板；

若确定所述主机发送的网络数据包中报文的内容与预设的攻击报文内容集合匹配，则确定发送所述网络数据包的所述主机为攻击源主机。