[发明专利]一种攻击防御的方法、网络设备及计算机存储介质

权利要求书

1.一种攻击防御的方法，应用于网络设备，其特征在于，包括：

所述网络设备根据历史会话记录，分别获得IP设备在指定的每一个采样周期内的历史实际新建速率；其中，一个采样周期内的历史实际新建速率为所述网络设备与所述IP设备在所述一个采样周期内新建会话的数量；

所述网络设备基于获得的所有实际新建速率，计算所述IP设备在指定时间范围内的预估新建速率；

所述网络设备根据预设取值规则及所述预估新建速率，从预设的速率阈值集合中选取出所述IP设备的目标速率阈值；其中，所述速率阈值集合包括N个速率阈值；

所述网络设备确定所述IP设备的当前实际新建速率超过所述目标速率阈值时，丢弃需要转发给所述IP设备的数据包。

2.如权利要求1所述的方法，其特征在于，所述网络设备基于获得的所有实际新建速率，计算所述IP设备在指定时间范围内的预估新建速率，包括：

所述网络设备从所有实际新建速率中获取所述IP设备在所述指定时间范围内的各个实际新建速率，以获得第一数据集；

将所述第一数据集中的所有实际新建速率按照取值大小进行排序；

按照预设的第一比例从所述第一数据集中选取出数值最大或最小的部分实际新建速率，以获得第二数据集；

若从所述第二数据集中选取出的是数值最大的部分实际新建速率，则将取值最小的实际新建速率，作为所述预估新建速率；若从所述第二数据集中选取出的是数值最小的部分实际新建速率，则将取值最大的实际新建速率，作为所述预估新建速率。

3.如权利要求2所述的方法，其特征在于，所述网络设备根据预设取值规则及所述预估新建速率，从预设的速率阈值集合中选取出所述IP设备的目标速率阈值，包括：

将所述预估新建速率乘以预设系数，获得临时新建速率；

从所述预设的速率阈值集合中获取与所述临时新建速率的正差值最小或负差值最大的速率阈值，作为所述IP设备的目标速率阈值；其中，所述正差值是以所述临时新建速率作为被减数，所述负差值是以所述临时新建速率作为减数。

4.如权利要求1-3任一权项所述的方法，其特征在于，所述方法还包括：

实时监测所述网络设备的性能参数；

当确定所述性能参数高于第一预设告警参数时，基于所述速率阈值集合，对所述IP设备当前使用的目标速率阈值进行逐级下调，每下调一次，监测一次所述性能参数，直到所述性能参数达到第一预设范围或者将所述当前使用的目标速率阈值下调为所述速率阈值集合中的最小值为止。

5.如权利要求4所述的方法，其特征在于，在所述性能参数达到第一预设范围之后，还包括：

当所述网络设备的整机新建速率低于第二预设告警参数时，基于所述速率阈值集合，对所述IP设备当前使用的目标速率阈值进行逐级上调，每上调一次，监测一次所述整机新建速率，直到所述整机新建速率达到第二预设范围或将所述当前使用的目标速率阈值恢复到各IP设备对应的目标速率阈值为止；其中，所述整机新建速率为所有IP设备当前的实际新建速率之和。

6.一种网络设备，其特征在于，包括：

获取模块，用于根据历史会话记录，分别获得IP设备在指定的每一个采样周期内的历史实际新建速率；其中，一个采样周期内的历史实际新建速率为所述网络设备与所述IP设备在所述一个采样周期内新建会话的数量；

计算模块，用于基于获得的所有实际新建速率，计算所述IP设备在指定时间范围内的预估新建速率；

选取模块，用于根据预设取值规则及所述预估新建速率，从预设的速率阈值集合中选取出所述IP设备的目标速率阈值；其中，所述速率阈值集合包括N个速率阈值；

确定模块，用于确定所述IP设备的当前实际新建速率超过所述目标速率阈值时，丢弃需要转发给所述IP设备的数据包。