[发明专利]网络攻击识别方法及相关装置

说明书

本申请提供的网络攻击识别方法及相关装置，应用于计算机网络领域。其中，网络安全设备接收待识别设备发送的ACK报文；根据ACK报文，向待识别设备发送快重传请求；若未接收到快重传请求的响应报文，则确定待识别设备为异常设备。如此，利用发起ACK Flood的设备无法响应快重传请求的特点，对待识别设备的类型进行主动探测，从而高效且准确的识别出正常设备与异常设备。

技术领域

本申请涉及计算机网络领域，具体而言，涉及一种网络攻击识别方法及相关装置。

背景技术

分布式拒绝服务攻击(英文意思是Distributed Denial of Service，简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。因此，又被称洪水攻击，是一种网络攻击手法，其目的在于使目标电脑的网络或系统资源耗尽，使服务暂时中断或停止，导致其正常用户无法访问。

TCP ACK Flood攻击则属于DDoS攻击中的其中，而传统的TCP ACK Flood攻击识别主要通过判断ACK序列号是否在合理区间范围的方式进行。研究发现，传统的方式无法精确缩小序列号的合法区间，容易造成误拦截、漏拦截比例高的问题；同时，在旁路部署时，只能获得单向的流量，无法拿到完整的信息，不利于准确判断序列号的合法性。

发明内容

为了克服现有技术中的至少一个不足，本申请的目的之一在于提供一种网络攻击识别方法及相关装置，用于高效且准确识别ACK Flood攻击，具体包括：

第一方面，本申请提供一种网络攻击识别方法，应用于网络安全设备，所述网络安全设备与待识别设备通信连接，所述方法包括：

接收所述待识别设备发送的ACK报文；

根据所述ACK报文，向所述待识别设备发送快重传请求；

若未接收到所述快重传请求的响应报文，则确定所述待识别设备为异常设备。

第二方面，本申请提供一种网络攻击识别装置，应用于网络安全设备，所述网络安全设备与待识别设备通信连接，所述装置包括：

报文收发模块，用于接收所述待识别设备发送的ACK报文；

异常检测模块，用于根据所述ACK报文，向所述待识别设备发送快重传请求；

所述异常检测模块，还用于若未接收到所述快重传请求的响应报文，则确定所述待识别设备为异常设备。

第三方面，本申请提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时，实现所述的网络攻击识别方法。

第四方面，本申请提供一种网络安全设备，所述网络安全设备包括处理器以及存储器，所述存储器存储有计算机程序，所述计算机程序被处理器执行时，实现所述的网络攻击识别方法。

相对于现有技术而言，本申请具有以下有益效果：

本申请提供的网络攻击识别方法及相关装置，应用于计算机网络领域。其中，网络安全设备接收待识别设备发送的ACK报文；根据ACK报文，向待识别设备发送快重传请求；若未接收到快重传请求的响应报文，则确定待识别设备为异常设备。如此，利用发起ACKFlood的设备无法响应快重传请求的特点，对待识别设备的类型进行主动探测，从而高效且准确的识别出正常设备与异常设备。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的TCP三次握手的示意图；