[发明专利]网络攻击抓包方法及装置

权利要求书

1.一种网络攻击抓包方法，其特征在于，该方法包括：

当设备确定数据流命中攻击规则时，判断该攻击规则是否配置了抓包策略且该抓包策略开启，若是，则根据该抓包策略判断第一阶段是否需要抓包，若需要，则对该数据流进行连续抓包，当连续抓包次数达到预设第一阈值时，根据该抓包策略，判断是否需要进行第二阶段抓包，若需要进行，则继续对该数据流进行间断性抓包。

2.根据权利要求1所述的方法，其特征在于，所述对该数据流进行间断性抓包包括：

当数据流命中攻击规则次数达到预设第二阈值a后，抓取命中的第X个包，其中X满足以下条件：

a+nb<X≤a+nb+c

其中，b为预设的第一命中次数阈值，c为预设的第一抓包数量，n为大于0的正整数，且nc≤d，d为预设的第一抓包总数；

或者，在第一预设时间与第二预设时间之间，抓取命中的第Y个包，其中Y满足以下条件：

e+mf<Y≤e+mf+g

其中，e为到达所述第一预设时间时所述数据流已命中攻击规则的次数，f为预设的第二命中次数阈值，g为预设的第二抓包数量，m为大于0的正整数，且mg≤h，h为预设的第二抓包总数。

3.根据权利要求1所述的方法，其特征在于，所述判断该攻击规则是否配置了抓包策略且该抓包策略开启之后、根据该抓包策略判断第一阶段是否需要抓包之前进一步包括：

获取该数据流的源IP地址，并根据已记录的命中该攻击规则的数据流的源IP地址，判断命中该攻击规则的数据流的数目是否大于预设第三阈值，若是，停止抓包；否则，执行所述根据该抓包策略判断第一阶段是否需要抓包的动作。

4.根据权利要求1所述的方法，其特征在于，设备上任意两条攻击规则配置的抓包策略不同，或者相同。

5.根据权利要求1所述的方法，其特征在于，所述继续对该数据流进行间断性抓包进一步包括：

记录每次抓包的时间，

当当前时间与最后一次抓包的时间的差值大于预设值时，删除针对该数据流的抓包记录。

6.一种网络攻击抓包装置，其特征在于，该装置包括：

命中检测模块：当接收到数据流时，检测数据流是否命中攻击规则；

抓包模块：当命中检测模块检测到数据流命中攻击规则时，判断该攻击规则是否配置了抓包策略且该抓包策略开启，若是，则根据该抓包策略判断第一阶段是否需要抓包，若需要，则对该数据流进行连续抓包，当连续抓包次数达到预设第一阈值时，根据该抓包策略，判断是否需要进行第二阶段抓包，若需要进行，则继续对该数据流进行间断性抓包。

7.根据权利要求6所述的装置，其特征在于，所述抓包模块对该数据流进行间断性抓包包括：

当数据流命中攻击规则次数达到预设第二阈值a后，抓取命中的第X个包，其中X满足以下条件：

a+nb<X≤a+nb+c

其中，b为预设的第一命中次数阈值，c为预设的第一抓包数量，n为大于0的正整数，且nc≤d，d为预设的第一抓包总数；

或者，在第一预设时间与第二预设时间之间，抓取命中的第Y个包，其中Y满足以下条件：

e+mf<Y≤e+mf+g

其中，e为到达所述第一预设时间时所述数据流已命中攻击规则的次数，f为预设的第二命中次数阈值，g为预设的第二抓包数量，m为大于0的正整数，且mg≤h，h为预设的第二抓包总数。

8.根据权利要求6所述的装置，其特征在于，所述抓包模块判断该攻击规则是否配置了抓包策略且该抓包策略开启之后、根据该抓包策略判断第一阶段是否需要抓包之前进一步包括：

获取该数据流的源IP地址，并根据已记录的命中该攻击规则的数据流的源IP地址，判断命中该攻击规则的数据流的数目是否大于预设第三阈值，若是，停止抓包；否则，执行所述根据该抓包策略判断第一阶段是否需要抓包的动作。

9.根据权利要求6所述的装置，其特征在于，所述抓包模块继续对该数据流进行间断性抓包进一步包括：

记录每次抓包的时间，且，当前时间与最后一次抓包的时间的差值大于预设值时，删除针对该数据流的抓包记录。