[发明专利]针对网络攻击的ACL过滤表项建立方法及装置

权利要求书

1.一种针对网络攻击的ACL过滤表项建立方法，应用于目标网络包括的核心网络设备中，所述目标网络还包括至少一个其他网络设备，其特征在于，包括：

检测到网络攻击后，确定网络攻击的攻击报文类型；

若接收到所述攻击报文类型的待处理报文，则获取所述待处理报文的五元组信息和虚拟局域网VLAN标识，在第一访问控制列表ACL表中添加包括所述VLAN标识对应的各个端口、所述五元组信息中除源互联网协议IP地址之外的四元组信息和所述源IP地址的子网掩码的ACL统计表项，各个ACL统计表项包括的端口不同；

基于添加的各个ACL统计表项从所述VLAN标识对应的各个端口中确定所述五元组信息对应的第一攻击源端口；

通过所述第一攻击源端口发送携带所述五元组信息、设定媒体访问控制MAC地址和所述VLAN标识的IP请求报文；

若在设定时长内接收到与所述IP请求报文对应的IP响应报文，则在所述第一ACL表中删除添加的各个ACL统计表项；若在所述设定时长内未接收到所述IP响应报文，则在所述第一ACL表中删除添加的各个ACL统计表项，并在所述第一ACL表中添加包括所述第一攻击源端口和所述五元组信息的ACL过滤表项，所述IP响应报文是所述至少一个其他网络设备中接收到所述IP请求报文的第一选定网络设备确定所述IP请求报文携带所述设定MAC地址后返回的。

2.如权利要求1所述的方法，其特征在于，基于添加的各个ACL统计表项从所述VLAN标识对应的各个端口中确定所述五元组信息对应的第一攻击源端口，具体包括：

在设定时长内基于各个ACL统计表项分别统计对应的端口接收到的携带所述五元组信息的报文的数量；

获取统计的各个数量中的最大数量对应的端口，得到所述五元组信息对应的第一攻击源端口。

3.一种针对网络攻击的ACL过滤表项建立方法，应用于目标网络包括的至少一个其他网络设备中，所述目标网络还包括核心网络设备，其特征在于，包括：

接收携带五元组信息、设定媒体访问控制MAC地址和虚拟局域网VLAN标识的互联网协议IP请求报文后，在第二访问控制列表ACL表中添加包括所述VLAN标识对应的各个端口、所述五元组信息中除源IP地址之外的四元组信息和所述源IP地址的子网掩码的ACL统计表项，各个ACL统计表项对应的端口不同；

基于添加的各个ACL统计表项从所述VLAN标识对应的各个端口中确定所述五元组信息对应的第二攻击源端口；

通过所述第二攻击源端口转发所述IP请求报文；

若在设定时长内接收到与所述IP请求报文对应的IP响应报文，则在所述第二ACL表中删除添加的各个ACL统计表项；若在所述设定时长内未接收到所述IP响应报文，则在所述第二ACL表中删除添加的各个ACL统计表项，并在所述第二ACL表中添加包括所述第二攻击源端口和所述五元组信息的ACL过滤表项，所述IP响应报文是所述至少一个其他网络设备中接收到所述IP请求报文的第二选定网络设备确定所述IP请求报文携带所述设定MAC地址后返回的。

4.如权利要求3所述的方法，其特征在于，基于添加的各个ACL统计表项从所述VLAN标识对应的各个端口中确定所述五元组信息对应的第二攻击源端口，具体包括：

在设定时长内基于各个ACL统计表项分别统计对应的各个端口接收到的携带所述五元组信息的报文的数量；

获取统计的各个数量中的最大数量对应的端口，得到所述五元组信息对应的第二攻击源端口。