[发明专利]一种攻击防御的方法、网络设备及计算机存储介质

说明书

本发明公开了一种攻击防御的方法、网络设备及计算机存储介质，用于提高网络设备的攻击防御能力。包括：网络设备根据历史会话记录，分别获得IP设备在指定的每一个采样周期内的历史实际新建速率；其中，一个采样周期内的历史实际新建速率为网络设备与IP设备在一个采样周期内新建会话的数量；网络设备基于获得的所有实际新建速率，计算所述IP设备在指定时间范围内的预估新建速率；网络设备根据预设取值规则及预估新建速率，从预设的速率阈值集合中选取出IP设备的目标速率阈值；其中，速率阈值集合包括N个速率阈值；网络设备确定所述IP设备的当前实际新建速率超过所述目标速率阈值时，丢弃需要转发给所述IP设备的数据包。

技术领域

本发明涉及网络通信技术领域，尤其是涉及一种攻击防御的方法、网络设备及计算机存储介质。

背景技术

随着网络的普及率不断提升，网络的安全成为人们越来越关心的问题。这就使得负责与外网进行数据交互的网关设备，有时也被称之为出口网关设备，在集成行为管理、流量控制、应用识别等功能的情况下，也越来越多的具备了一定的攻击防御能力，以保护局域网中的设备尽量少的受到外网的网络威胁。

在现有技术中，出口网关设备进行攻击防御的方式，主要有两种：

第一种，通过数据包过滤的方式，在网络层根据访问控制表(ACL，Access ControlList)进行包的选择。即根据数据包的源端口，目的端口，源IP地址，目的IP地址，封装协议类型如传输控制协议(TCP，Transmission Control Protocol)、用户数据报协议(UDP，UserDatagram Protocol)、网络控制报文协议(ICMP，Internet Control Message Protocol)等，ICMP报文类型等报头信息来判断是否允许包通过和过滤用户定义的内容。

第二种，通过对新建会话速率或流量进行限制的方式。即为所有IP或特定内网IP设定一个新建会话速率或流量限制值，超过限制值的部分则进行丢弃。

尽管上述两种方式的处理方式都比较简单，但它们都存在一些问题。

如对于第一种方式而言，网络攻击的源地址、目的地址以及IP端口号等都可能是伪造的，因此通过ACL无法过滤所有的攻击报文；并且维护比较困难；而随着ACL数目的增加，出口网关设备的处理性能也会逐步下降。

而对于第二种方式而言，每个IP的情况都可能不一样，因此为每个IP设置多少限制值无法确定，且还带来因配置不当而导致的网络异常问题。

显然，不管是采用上述第一种方式还是第二种方式，由于在进行攻击防御时存在出口网关设备性能下降或网络异常的问题，都将导致出口网关设备防攻击能力的下降、甚至形同虚设。

鉴于此，如何有效的提高网关设备的攻击防御能力成为了一个亟待解决的问题。

发明内容

本发明提供一种攻击防御的方法、网络设备及计算机存储介质，用以提高网关设备的攻击防御能力。

第一方面，为解决上述技术问题，本发明实施例提供的一种攻击防御的方法的技术方案如下：

所述网络设备根据历史会话记录，分别获得IP设备在指定的每一个采样周期内的历史实际新建速率；其中，一个采样周期内的历史实际新建速率为所述网络设备与所述IP设备在所述一个采样周期内新建会话的数量；

所述网络设备基于获得的所有实际新建速率，计算所述IP设备在指定时间范围内的预估新建速率；

所述网络设备根据预设取值规则及所述预估新建速率，从预设的速率阈值集合中选取出所述IP设备的目标速率阈值；其中，所述速率阈值集合包括N个速率阈值；

所述网络设备确定所述IP设备的当前实际新建速率超过所述目标速率阈值时，丢弃需要转发给所述IP设备的数据包。