[发明专利]一种检测洪水攻击的方法及装置

说明书

本申请提供一种检测洪水攻击的方法及装置，应用于局域网的接入交换机，该方法包括：根据会话表的会话表项的源IP更新用户表的用户表项中的发起会话数；根据会话表的会话表项的会话状态和会话建立时间更新用户表的用户表项中的异常会话数；周期性遍历用户表，确定各用户表项的发起会话数是否达到预设的第一阈值，以及，确定各用户表项的异常会话数是否到达预设的第二阈值；如果用户表项的发起会话数达到第一阈值或者用户表项的异常会话数达到第二阈值，确定用户表项中的IP地址为攻击源的IP地址。本申请由接入交换机排查洪水攻击的攻击源，在不增加局域网成本的情况下提高了网络的安全性和可靠性。

技术领域

本申请涉及安全防护领域，特别涉及一种检测洪水攻击的方法及装置。

背景技术

局域网内的计算机或服务器等设备中病毒后，往往会成为局域网内的攻击源，向局域网其它计算机或服务器发送大量攻击报文，造成洪水攻击，常见的有TCP SYN Flood(Transmission Control Protocol Synchronize Flood，传输控制协议同步洪水攻击)报文、UDP Flood(User Datagram Protocol Flood，用户数据包协议洪水攻击)报文和ICMPFlood(Internet Control Message Protocol Flood，控制报文协议洪水攻击)报文等。这些攻击报文会导致局域网内通信效率下降，甚至断网，也可能使局域网内面向外网的服务器瘫痪，无法提供服务。因此，在出现洪水攻击后，及时识别攻击源，并对攻击源进行阻断十分重要。

在现有技术中，通常由汇聚层或核心层的网络设备检测攻击源，汇聚层或核心层的网络设备可以对报文进行抓包，然后提取报文的报文特征(例如：源IP)，然后根据报文特征分析出攻击报文，进而确定出攻击源。然而，当攻击报文只在二层网络中转发，汇聚层或核心层的网络设备无法检测到攻击报文。为解决上述问题，通常可以部署与接入交换机连接的安全设备，由安全设备检测接入交换机转发的报文，从而确定攻击源，这又会提高局域网的成本。

发明内容

有鉴于此，本申请提供一种检测洪水攻击的方法及装置，用于在不增加局域网成本的情况下，提高网络的安全性和可靠性。

具体地，本申请是通过如下技术方案实现的：

一种检测洪水攻击的方法，应用于局域网的接入交换机，包括：

根据预设的会话表的会话表项的五元组中的源IP更新预设的用户表的用户表项中的发起会话数；其中，所述会话表包括五元组、会话状态和会话建立时间的映射关系，所述用户表包括IP地址、发起会话数和异常会话数的映射关系；

根据所述会话表的会话表项的会话状态和会话建立时间更新所述用户表的用户表项中的所述异常会话数；

周期性遍历所述用户表，确定各用户表项的发起会话数是否达到预设的第一阈值，以及，确定各用户表项的异常会话数是否到达预设的第二阈值；

如果所述用户表项的发起会话数达到所述第一阈值或者所述用户表项的异常会话数达到所述第二阈值，确定所述用户表项中的IP地址为攻击源的IP地址。

在所述检测洪水攻击的方法中，所述根据会话表的会话表项的五元组中的源IP更新用户表的用户表项中的发起会话数，包括：

新建会话表项，或者，更新会话表的会话表项；

根据所述会话表项的五元组中的源IP查找所述用户表，确定是否查找到对应的用户表项；

如果是，将查找到的所述用户表项中的所述发起会话数加1；

如果否，根据所述会话表项的五元组中的源IP新建用户表项，并将所述发起会话数置为1。

在所述检测洪水攻击的方法中，所述新建会话表项，或者，更新会话表的会话表项，包括：