[发明专利]一种网络攻击防范方法和装置

说明书

技术领域

本发明涉及网络技术领域，特别是一种网络攻击防范方法和装置。

背景技术

防范网络攻击是一项网络攻击对保密资料、个人的财产及隐私等构成了严重的威胁，如何防范网络攻击成为了一项重大的技术问题。

互联网上的DOS(Deny of service，拒绝服务式攻击)攻击便是一种非常常见的攻击行为。攻击者利用IP(Internet Protocol，网际连接)无连接的特点，通过发生各种垃圾报文导致网络拥塞、设备瘫痪。这种攻击的方式非常简单，普通到一台PC机，一个发包工具就可以制造攻击。因此DOS攻击非常流行，对企业网、甚至骨干网都造成了非常严重的影响，所以防范DOS攻击是非常必要的。

IKE(Internet key exchange，因特网密钥交换)报文是IPSec(IP Security，IP安全)协议使用的协商及维护隧道的数据报文。IPSec是三层隧道协议，它为通信双方的IP数据提供了加密保护，来保证数据包在网络上传输时的私有性、完整性和真实性等。IPSec隧道从建立开始到正常使用的过程中，IKE报文的流量都是很小的，因此现有的安全设备处理IKE报文的能力也是非常有限的。如果有攻击者发起了IKE报文攻击，大量的攻击报文会严重干扰正常隧道的建立，甚至使设备瘫痪。目前，对于如何防范IKE报文攻击，一直没有好的办法。

由于IKE报文是由UDP(User Data Protocol，用户数据报协议)承载的，因此IKE攻击的防范普遍是通过限流来实现，以保证设备不会瘫痪。但是，UDP报文本身没有连接，很难区分那些是正常的业务报文，那些是伪造的报文。所以，基于UDP的攻击一直是非常难防范的，比如DNS攻击就是非常难防范的。

IKE报文的流量本身就是很小的，正常流量远远不会造成设备正常处理的负担。当IKE报文的流量过大时就显现成了UDP flood(用户数据包洪流)攻击，若没有专门的加密设备工作异常的提示，很难发现是IKE攻击造成的。因此，现有技术中的防范方法是检测通向特定目的地址的UDP报文速率，当速度超过设定的上限值时，设定攻击标志并做限制流量处理。当UDP的流量逐步下降至某值时，便取消攻击标志并允许所有流量通向特定的目的地址。

现有技术中至少存在如下问题：

从以上说明可以看出，由于现有技术中是通过检测通向特定目的地址的UDP报文速率，在速度超过设定值时，进行限流处理。这种防范方法将正常业务报文攻击报文都进行了限制，无法区别正常业务报文和攻击报文。

发明内容

有鉴于此，本发明一个或多个实施例的目的在于提供一种防范网络攻击的方法和装置，以实现区别正常业务报文和攻击报文，进行有针对性的防范。

为解决上述问题，本发明实施例提供了一种防范网络攻击的方法，包括：

统计接收到的发送方所发送的IKE因特网密钥交换报文的数量；所述统计具体为：接收到第一个IKE报文后，为所述IKE报文建立单流会话表；在所述单流会话表中设置计数字段，所述计数字段用于统计接收到的所述IKE报文的数量；抛弃所述第一个IKE报文；统计所述发送方后续发送的IKE报文是否命中所述单流会话表；

如果所述发送方后续发送的IKE报文均未命中所述单流会话表，则抛弃所述发送方发送的IKE报文；

如果所述发送方后续发送的IKE报文命中所述单流会话表，则判断接收到的所述IKE报文的数量是否超过预设值，是则丢弃报文，否则允许所述IKE报文通过并将单流会话表中计数字段加1；所述预设值为按照重传机制所设定的时间间隔，在单位时间内在正常情况下接收到的IKE报文的数量。还提供了一种防范网络攻击的装置，包括：

统计单元，用于：统计接收到的发送方所发送的IKE报文的数量；所述统计单元具体为：会话表建立模块，用于：接收到第一个IKE报文后，为所述IKE报文建立单流会话表；设置模块，用于：在所述单流会话表中设置计数字段，所述计数字段用于统计接收到的所述IKE报文的数量；抛弃模块，用于：抛弃所述第一个IKE报文；

会话表命中统计单元，当所述单流会话表建立后，统计后续接收到的来自同一发送方的IKE报文是否命中所述单流会话表，如果没有命中则抛弃所述发送方发送的IKE报文；

第二通过单元，用于：根据所述单流会话表，如果后续接收到的来自同一发送方的命中所述单流会话表的IKE报文的数量未超过预设值，则允许所述IKE报文通过；所述预设值为按照重传机制所设定的时间间隔，在单位时间内在正常情况下接收到的IKE报文的数量；