CN111224997B - 一种抑制病毒在局域网中传播的方法及装置 - Google Patents

一种抑制病毒在局域网中传播的方法及装置 Download PDF

Info

Publication number
CN111224997B
CN111224997B CN202010053815.1A CN202010053815A CN111224997B CN 111224997 B CN111224997 B CN 111224997B CN 202010053815 A CN202010053815 A CN 202010053815A CN 111224997 B CN111224997 B CN 111224997B
Authority
CN
China
Prior art keywords
terminal
terminals
message
local area
area network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010053815.1A
Other languages
English (en)
Other versions
CN111224997A (zh
Inventor
王富涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN202010053815.1A priority Critical patent/CN111224997B/zh
Publication of CN111224997A publication Critical patent/CN111224997A/zh
Priority to US17/151,032 priority patent/US11736514B2/en
Application granted granted Critical
Publication of CN111224997B publication Critical patent/CN111224997B/zh
Priority to US18/325,957 priority patent/US20230328100A1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种抑制病毒在局域网中传播的方法及装置。上述方法包括,在接收到ARP报文时,确定与发起上述ARP报文的目标终端对应的交互终端数量是否达到第一预设阈值。如果上述交互终端数量达到上述第一预设阈值,则进一步确定与上述目标终端对应的异常终端关系数量是否达到第二预设阈值。如果上述异常终端关系数量达到上述第二预设阈值,则对上述目标终端进行防护,从而有效的抑制各类病毒在局域网传播。

Description

一种抑制病毒在局域网中传播的方法及装置
技术领域
本申请涉及计算机技术领域,尤其涉及一种抑制病毒在局域网中传播的方法及装置。
背景技术
由于在传统建网理念中,局域网与互联网相互独立,不会存在安全风险,因此在信息安全建设的过程中,长期以来都在关注来自于互联网和网络边界的威胁,忽视了局域网安全建设,导致局域网安全成为了整网的薄弱环节。
而病毒在局域网中的传播正是利用了局域网安全防护的弱点,可见目前需要一种抑制病毒在局域网中传播的方法。
发明内容
有鉴于此,本申请提供一种抑制病毒在局域网中传播的方法,应用于转发设备,上述方法包括:
在接收到ARP报文时,确定与发起上述ARP报文的目标终端对应的交互终端数量是否达到第一预设阈值;其中,上述交互终端数量包括,上述局域网包括的其它终端中,与上述目标终端进行过ARP交互的终端数量;
如果上述交互终端数量达到上述第一预设阈值,则进一步确定与上述目标终端对应的异常终端关系数量是否达到第二预设阈值;其中,上述异常终端关系数量包括,上述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量;上述业务首报文包括,局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后,向上述其他终端发送的首个业务类报文;
如果上述异常终端关系数量达到上述第二预设阈值,则对上述目标终端进行防护以抑制病毒在上述局域网中传播。
本申请提供一种抑制病毒在局域网中传播的方法,应用于转发设备,上述方法包括:
在接收到业务首报文时,确定与发起上述业务首报文的目标终端对应的异常终端关系数量是否达到第一预设阈值;其中,上述业务首报文包括,局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后,向上述其他终端发送的首个业务类报文;上述异常终端关系数量包括,上述目标终端通过发送目的端口为上述预设的风险端口的业务首报文进行交互的终端关系数量;
如果上述异常终端关系数量达到上述第一预设阈值,再进一步确定与上述目标终端对应的交互终端数量是否达到第二预设阈值;其中,上述交互终端数量包括,上述局域网包括的其它终端中,与上述目标终端进行过ARP交互的终端数量;
如果上述交互终端数量达到上述第二预设阈值,则对上述目标终端进行防护以抑制病毒在上述局域网中传播。
本申请提供一种抑制病毒在局域网中传播的方法,应用于转发设备,上述方法包括:
在接收到ARP报文时,确定与发起上述ARP报文的第一目标终端对应的交互终端数量是否达到第一预设阈值;其中,上述交互终端数量包括,上述局域网包括的其它终端中,与上述第一目标终端进行过ARP交互的终端数量;
如果上述交互终端数量达到上述第一预设阈值,则进一步确定上述转发设备维护的异常终端关系数量是否达到第二预设阈值;其中,上述异常终端关系数量包括,上述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量;上述业务首报文包括,局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后,向上述其他终端发送的首个业务类报文;
如果上述异常终端关系数量达到上述第二预设阈值,则对上述第一目标终端进行防护以抑制病毒在上述局域网中传播;
在接收到业务首报文时,确定与发起上述业务首报文的第二目标终端对应的异常终端关系数量是否达到第三预设阈值;
如果上述异常终端关系数量达到上述第三预设阈值,再进一步确定与上述第二目标终端对应的交互终端数量是否达到第四预设阈值;
如果上述交互终端数量达到上述第四预设阈值,则对上述第二目标终端进行防护以抑制病毒在上述局域网中传播。
相应于上述方法,本申请提供一种抑制病毒在局域网中传播的装置,应用于转发设备,上述装置包括:
交互终端数量确定模块,在接收到ARP报文时,确定与发起上述ARP报文的目标终端对应的交互终端数量是否达到第一预设阈值;其中,上述交互终端数量包括,上述局域网包括的其它终端中,与上述目标终端进行过ARP交互的终端数量;
异常终端关系数量确定模块,如果上述交互终端数量达到上述第一预设阈值,则进一步确定与上述目标终端对应的异常终端关系数量是否达到第二预设阈值;其中,上述异常终端关系数量包括,上述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量;上述业务首报文包括,局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后,向上述其他终端发送的首个业务类报文;
防护模块,如果上述异常终端关系数量达到上述第二预设阈值,则对上述目标终端进行防护以抑制病毒在上述局域网中传播。
相应于上述方法,本申请提供一种抑制病毒在局域网中传播的装置,应用于转发设备,上述装置包括:
异常终端关系数量确定模块,在接收到业务首报文时,确定与发起上述业务首报文的目标终端对应的异常终端关系数量是否达到第一预设阈值;其中,上述业务首报文包括,局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后,向上述其他终端发送的首个业务类报文;上述异常终端关系数量包括,上述目标终端通过发送目的端口为上述预设的风险端口的业务首报文进行交互的终端关系数量;
交互终端数量确定模块,如果上述异常终端关系数量达到上述第一预设阈值,再进一步确定与上述目标终端对应的交互终端数量是否达到第二预设阈值;其中,上述交互终端数量包括,上述局域网包括的其它终端中,与上述目标终端进行过ARP交互的终端数量;
防护模块,如果上述交互终端数量达到上述第二预设阈值,则对上述目标终端进行防护以抑制病毒在上述局域网中传播。
相应于上述方法,本申请提供一种抑制病毒在局域网中传播的装置,应用于转发设备,上述装置包括:
交互终端数量确定模块,在接收到ARP报文时,确定与发起上述ARP报文的第一目标终端对应的交互终端数量是否达到第一预设阈值;其中,上述交互终端数量包括,上述局域网包括的其它终端中,与上述第一目标终端进行过ARP交互的终端数量;
异常终端关系数量确定模块,如果上述交互终端数量达到上述第一预设阈值,则进一步确定上述转发设备维护的异常终端关系数量是否达到第二预设阈值;其中,上述异常终端关系数量包括,上述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量;上述业务首报文包括,局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后,向上述其他终端发送的首个业务类报文;
防护模块,如果上述异常终端关系数量达到上述第二预设阈值,则对上述第一目标终端进行防护以抑制病毒在上述局域网中传播;
异常终端关系数量确定模块,在接收到业务首报文时,确定与发起上述业务首报文的第二目标终端对应的异常终端关系数量是否达到第三预设阈值;
交互终端数量确定模块,如果上述异常终端关系数量达到上述第三预设阈值,再进一步确定与上述第二目标终端对应的交互终端数量是否达到第四预设阈值;
防护模块,如果上述交互终端数量达到上述第四预设阈值,则对上述第二目标终端进行防护以抑制病毒在上述局域网中传播。
由上述技术方案可知,本申请中记载的方案是通过分析上述终端在上述局域网中与其他终端进行交互的行为特征是否符合病毒传播的行为特征,并在终端的上述交互行为符合病毒传播的行为特征时,对该终端进行防护,因此,本申请中记载的方案一方面可以不依赖任何病毒库或威胁情报等已有病毒特征实现抑制各类病毒在局域网中的传播;另一方面可以在不增加安全防护设备的情况下,让局域网中的转发设备具有抑制病毒传播的功能。
附图说明
图1为本申请示出的一种组网图;
图2为本申请示出的一种抑制病毒在局域网中传播的方法的流程图;
图3为本申请示出的一种抑制病毒在局域网中传播的方法的流程图;
图4为本申请示出的一种抑制病毒在局域网中传播的方法的流程图;
图5为本申请示出的一种抑制病毒在局域网中传播的方法的流程图;
图6为本申请示出的一种抑制病毒在局域网中传播的方法的流程图;
图7为本申请示出的一种抑制病毒在局域网中传播的方法的流程图;
图8为本申请示出的一种抑制病毒在局域网中传播的装置的结构图;
图9为本申请示出的一种抑制病毒在局域网中传播的装置的结构图;
图10为本申请示出的一种抑制病毒在局域网中传播的装置的结构图;
图11为本申请示出的一种抑制病毒在局域网中传播的转发设备的硬件结构图。
具体实施方式
下面将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施例并不代表与本申请相一致的所有实施例。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的设备和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“上述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
在相关技术中,建网工程师通常使用转发设备进行局域网组网。当接收到组网需求时,建网工程师通常可以使用交换机或路由器等转发设备将需要连接在同一局域网中的终端连接起来,从而使各终端设备可以通过上述转发设备进行相互访问。在局域网组好后,如果该局域网中的终端需要访问外网资源,建网工程师可以将网关与上述转发设备连接,从而使的该局域网中的终端可以通过上述网关访问外网资源。
请参见图1,图1为本申请示出的一种组网图。如图1所示,网关设备与外网连接;交换机设备,以及与该交换机设备连接的终端组成的局域网,与上述网关设备连接;上述局域网中的终端可以通过上述网关访问上述外网资源。
在图1示出的组网结构中,假如终端1感染了病毒(例如,勒索病毒永恒之蓝,以下简称病毒),那么上述局域网中的其它终端将可能迅速被感染同样的病毒。
具体地,病毒在传播时将首先获取病毒宿主机(终端1)所在的局域网的IP地址网段,然后在短时间内创建多个线程对该网段内的所有目标主机(终端2至终端n)进行快速感染。
病毒启动线程对目标主机进行感染时,可以基于上述目标主机的IP地址在终端1维护的ARP缓存表(IP地址与MAC地址的对应关系表)中,查询上述目标主机的MAC地址。当查询到上述目标主机的MAC地址后,该病毒可以通过终端1向上述目标主机发起连接请求,与上述目标主机建立连接。当上述目标主机与上述终端1建立连接后,该病毒可以通过上述目标主机的容易被感染的端口(例如,端口445)扫描上述目标主机中的漏洞(例如,MS17-010漏洞),并通过扫描出的漏洞对该目标主机进行感染。
假如上述ARP缓存表中未存储上述目标主机的MAC地址,该病毒可以通过终端1向上述目标主机发送APR请求,从而获取该目标主机的MAC地址。当获取到上述目标主机的MAC地址后,该病毒可以通过终端1向上述目标主机发起携带连接请求的业务类报文(例如,TCP报文或UDP报文),与上述目标主机建立连接。当上述目标主机与上述终端1建立连接后,该病毒可以通过上述目标主机的容易被感染的端口(例如,端口445)扫描上述目标主机中的漏洞(例如,MS17-010漏洞),并通过扫描出的漏洞对该目标主机进行感染。
通过对病毒传播的介绍不难发现,一旦局域网中的一台终端被病毒感染,该局域网中的其它终端也将迅速被感染。可见,需要一种抑制病毒在局域网中传播的方法。
在相关技术中,为了抑制病毒在局域网中进行传播,组网工程师在组建局域网时,可以在该局域网中部署网络安全设备,或者在该局域网中的终端上部署杀毒软件。
在图1示出的组网中,当终端1(被感染终端)在感染其他终端时,上述网络安全设备和上述杀毒软件可以基于已有的病毒库或威胁情报识别出病毒的上述感染行为,从而有效的抑制病毒在上述局域网中进行传播。
虽然通过上述方法虽然抑制了病毒传播,但是由于上述网络安全设备是基于已有的病毒库或威胁情报来识别病毒传播行为,因此,一旦病毒出现变种,上述网络安全设备将无法识别。
基于此,本申请提出一种抑制病毒在局域网中传播的方法,应用于转发设备。该方法通过建立识别模型识别病毒的传播行为,并对识别出的病毒传播行为进行防护,从而有效的抑制了各类病毒在局域网传播。
具体地,在接收到ARP报文时,确定与发起上述ARP报文的目标终端对应的交互终端数量是否达到第一预设阈值;其中,上述交互终端数量包括,上述局域网包括的其它终端中,与上述目标终端进行过ARP交互的终端数量;
如果上述交互终端数量达到上述第一预设阈值,则进一步确定与上述目标终端对应的异常终端关系数量是否达到第二预设阈值;其中,上述异常终端关系数量包括,上述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量;上述业务首报文包括,局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后,向上述其他终端发送的首个业务类报文;
如果上述异常终端关系数量达到上述第二预设阈值,则对上述目标终端进行防护以抑制病毒在上述局域网中传播。
本申请还提出一种抑制病毒在局域网中传播的方法,应用于转发设备。
具体地,在接收到业务首报文时,确定与发起上述业务首报文的目标终端对应的异常终端关系数量是否达到第一预设阈值;其中,上述业务首报文包括,局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后,向上述其他终端发送的首个业务类报文;上述异常终端关系数量包括,上述目标终端通过发送目的端口为上述预设的风险端口的业务首报文进行交互的终端关系数量;
如果上述异常终端关系数量达到上述第一预设阈值,再进一步确定与上述目标终端对应的交互终端数量是否达到第二预设阈值;其中,上述交互终端数量包括,上述局域网包括的其它终端中,与上述目标终端进行过ARP交互的终端数量;
如果上述交互终端数量达到上述第二预设阈值,则对上述目标终端进行防护以抑制病毒在上述局域网中传播。
本申请还提出一种抑制病毒在局域网中传播的方法,应用于转发设备。
具体地,在接收到ARP报文时,确定与发起上述ARP报文的第一目标终端对应的交互终端数量是否达到第一预设阈值;其中,上述交互终端数量包括,上述局域网包括的其它终端中,与上述第一目标终端进行过ARP交互的终端数量;
如果上述交互终端数量达到上述第一预设阈值,则进一步确定上述转发设备维护的异常终端关系数量是否达到第二预设阈值;其中,上述异常终端关系数量包括,上述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量;上述业务首报文包括,局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后,向上述其他终端发送的首个业务类报文;
如果上述异常终端关系数量达到上述第二预设阈值,则对上述第一目标终端进行防护以抑制病毒在上述局域网中传播;
在接收到业务首报文时,确定与发起上述业务首报文的第二目标终端对应的异常终端关系数量是否达到第三预设阈值;
如果上述异常终端关系数量达到上述第三预设阈值,再进一步确定与上述第二目标终端对应的交互终端数量是否达到第四预设阈值;
如果上述交互终端数量达到上述第四预设阈值,则对上述第二目标终端进行防护以抑制病毒在上述局域网中传播。
在上述技术方案中,本申请中记载的方案是通过分析上述终端在上述局域网中与其他终端进行交互的行为特征是否符合病毒传播的行为特征,并在终端的上述交互行为符合病毒传播的行为特征时,对该终端进行防护,因此,本申请中记载的方案一方面可以不依赖任何病毒库或威胁情报等已有病毒特征实现抑制各类病毒在局域网中的传播;另一方面可以在不增加安全防护设备的情况下,让局域网中的转发设备具有抑制病毒传播的功能。
以下结合具体的实施例对本申请进行说明。
实施例一:
请参见图2,图2为本申请示出的一种抑制病毒在局域网中传播的方法的流程图。该方法可以应用在转发设备中,具体包括:
S201,在接收到ARP报文时,确定与发起上述ARP报文的目标终端对应的交互终端数量是否达到第一预设阈值;其中,上述交互终端数量包括,上述局域网包括的其它终端中,与上述目标终端进行过ARP交互的终端数量;
S202,如果上述交互终端数量达到上述第一预设阈值,则进一步确定与上述目标终端对应的异常终端关系数量是否达到第二预设阈值;其中,上述异常终端关系数量包括,上述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量;上述业务首报文包括,局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后,向上述其他终端发送的首个业务类报文;
S203,如果上述异常终端关系数量达到上述第二预设阈值,则对上述目标终端进行防护以抑制病毒在上述局域网中传播。
上述转发设备,具体为在局域网中转发报文的网络设备。例如,交换机、路由器、HUB等。
上述目标终端,可以是上述局域网中的任一终端。
上述ARP报文,具体可以是ARP请求报文和/或ARP应答报文。基于上述ARP报文更新上述交互终端数量,可以使得统计的上述交互终端数量更加准确。例如,当上述交换机接收到来自局域网终端1发送的ARP应答报文或ARP请求报文时,可以根据上述ARP应答报文或ARP请求报文携带的目的IP地址确定与上述终端1进行ARP交互的对方终端,在确定上述对方终端后,可以相应地更新上述交互终端数量,从而使得统计的上述交互终端数量,相较于交换机仅在接收到ARP请求报文后更新的上述交互终端数量更加准确。
上述交互终端数量;具体是指上述局域网包括的其它终端中,与上述目标终端进行过ARP交互的终端数量。当上述目标终端发起ARP报文,与上述局域网中的其它终端进行ARP交互之后,可以确定上述其他终端是否为上述目标终端已经进行过ARP交互的终端,如果是,则不更新上述交互终端数量;如果不是,则更新上述交互终端数量,从而实现精确统计上述目标终端进行过ARP交互的终端数量(确定上述其他终端是否为上述目标终端已经进行过ARP交互的终端的步骤在后续的实施例中进行说明,在此不进行展开)。
上述异常终端关系数量包括,上述目标终端通过发送目的端口为预设的风险端口(例如,135、139、445、3389)的业务首报文进行交互的终端数量。在实际应用中,上述异常终端关系数量通常通过异常终端关系数量字段进行统计,例如,在上述转发设备中维护一个与上述目标终端对应的终端表项,在该终端表项中维护上述异常终端关系数量字段,每当上述转发设备接收到上述目标终端发送的目的端口为上述预设的风险端口(例如,135、139、445、3389)的业务首报文时,更新上述异常终端关系数量字段。
请继续参照图1,假设图1中示出的交换机中维护了图2示出的方法。
在上述情形下,该交换机接收到终端1发送的ARP报文后,可以确定上述局域网包括的其它终端中,与发起上述ARP报文的目标终端进行过ARP交互的终端数量是否达到第一预设阈值;如果是,则进一步确定与上述目标终端对应的异常终端关系数量是否达到第二预设阈值,如果是,则上述交换机可以确定上述终端1在进行病毒传播,并限制上述终端1与其他终端进行交互,从而一方面可以不依赖任何病毒库或威胁情报等已有病毒特征实现抑制各类病毒在局域网中的传播;另一方面可以在不增加安全防护设备的情况下,让局域网中的转发设备具有抑制病毒传播的功能。
需要说明的是,上述确定上述交互终端数量是否达到上述第一预设阈值的步骤的触发条件不仅局限于本实施例示出的接收到ARP报文时,还可以是周期性的自动触发,或者在接收到任意类型的报文时等。
实施例二:
请参见图3,图3为本申请提出的一种抑制病毒在局域网中传播的方法的流程图。该方法可以应用在转发设备中,具体包括:
S301,在接收到业务首报文时,确定与发起上述业务首报文的目标终端对应的异常终端关系数量是否达到第一预设阈值;其中,上述业务首报文包括,局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后,向上述其他终端发送的首个业务类报文;上述异常终端关系数量包括,上述目标终端通过发送目的端口为上述预设的风险端口的业务首报文进行交互的终端关系数量;
S302,如果上述异常终端关系数量达到上述第一预设阈值,再进一步确定与上述目标终端对应的交互终端数量是否达到第二预设阈值;其中,上述交互终端数量包括,上述局域网包括的其它终端中,与上述目标终端进行过ARP交互的终端数量;
S303,如果上述交互终端数量达到上述第二预设阈值,则对上述目标终端进行防护以抑制病毒在上述局域网中传播。
上述业务首报文包括,局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后,向上述其他终端发送的首个业务类报文;其中,上述业务类报文可以是TCP报文;UDP报文或其它业务类报文;上述其它业务类报文包括在其它通信协议下用于与上述其他终端建立连接的报文。
请继续参照图1,假设图1中示出的交换机中维护了图3示出的方法。
在上述情形下,该交换机接收到终端1发送的业务首报文后,可以解析上述业务首报文,获取上述业务首报文携带的源端口,然后将确定上述源端口对应的目标终端对应的异常终端关系数量是否达到第一预设阈值,如果是,再进一步确定与上述目标终端对应的交互终端数量是否达到第二预设阈值;如果是,则上述交换机可以确定上述终端1在进行病毒传播,并限制上述终端1与其他终端进行交互,从而一方面可以不依赖任何病毒库或威胁情报等已有病毒特征实现抑制各类病毒在局域网中的传播;另一方面可以在不增加安全防护设备的情况下,让局域网中的转发设备具有抑制病毒传播的功能。
需要说明的是,上述确定上述异常终端关系数量是否达到上述第一预设阈值的步骤的触发条件不仅局限于本实施例示出的接收到业务首报文时,还可以是周期性的自动触发,或者在接收到任意类型的报文时等。
实施例三:
在实施例三中,上述转发设备中同时存在实施例一与实施例二示出的两种实施方法。
请参见图4,图4为本申请示出的一种抑制病毒在局域网中传播的方法的流程图。该方法可以应用在转发设备中,具体包括:
S401,在接收到ARP报文时,确定与发起上述ARP报文的第一目标终端对应的交互终端数量是否达到第一预设阈值;其中,上述交互终端数量包括,上述局域网包括的其它终端中,与上述第一目标终端进行过ARP交互的终端数量;
S402,如果上述交互终端数量达到上述第一预设阈值,则进一步确定上述转发设备维护的异常终端关系数量是否达到第二预设阈值;其中,上述异常终端关系数量包括,上述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量;上述业务首报文包括,局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后,向上述其他终端发送的首个业务类报文;
S403,如果上述异常终端关系数量达到上述第二预设阈值,则对上述第一目标终端进行防护以抑制病毒在上述局域网中传播;
S404,在接收到业务首报文时,确定与发起上述业务首报文的第二目标终端对应的异常终端关系数量是否达到第三预设阈值;
S405,如果上述异常终端关系数量达到上述第三预设阈值,再进一步确定与上述第二目标终端对应的交互终端数量是否达到第四预设阈值;
S406,如果上述交互终端数量达到上述第四预设阈值,则对上述第二目标终端进行防护以抑制病毒在上述局域网中传播。
通过上述方法,由于可以在上述转发设备中同时维护两种识别病毒传播的方法,当上述转发设备通过其中任意一种方法识别出病毒传播行为后,可以抑制病毒在局域网中传播,因此,可以提高病毒传播的识别率。
需要说明的是,实施例一至实施例三中记载的三种抑制病毒在局域网中传播的方法所涉及的技术构思是,通过分析目标终端在上述局域网中与其他终端进行交互的行为特征是否符合病毒传播的行为特征,并在上述目标终端的上述交互行为符合病毒传播的行为特征时,对上述目标终端进行防护,从而一方面可以不依赖任何病毒库或威胁情报等已有病毒特征实现抑制各类病毒在局域网中的传播;另一方面可以在不增加安全防护设备的情况下,让局域网中的转发设备具有抑制病毒传播的功能。
以下结合实施例四至实施例六对实施例一记载的技术方案的实施步骤进行详细介绍。本领域技术人员可以理解的是,实施例二与实施例三记载的技术方案的实施步骤可以参照实施例四至实施例六记载的内容得到,在本申请中不作详述。
本申请中为了准确的统计上述局域网包括的其它终端中,与终端进行过ARP交互的终端数量,可以采用列表项索引为主机地址的列表作为统计工具。
在实际应用中,当交换机接受到ARP报文后,可以更新上述交互终端数量。具体地,当交换机接受到ARP报文后,可以确定上述ARP报文携带的目的IP地址所属的子网掩码段,并基于上述子网掩码段确定对应的主机地址,在获取上述主机地址后,可以确定与给主机地址对应的待更新列表项,并进行相应的更新。本领域技术人员可以理解的是,类似数组、位图等统计列表均是本申请保护的范围。
实施例四:
在实施例四中,为了实现对上述交互终端数量的统计,采用了位图的方式。
在实际应用中,可以将位图的标志位索引设置为主机地址。当接收到ARP报文时,根据上述ARP报文携带的目的IP地址的主机地址确定对应的位图标志位,并将上述标志位置位。需要说明的是,在此步骤中,如果上述标志位已经被置位则可以保持上述标志位的置位状态,不必重复执行置位的动作。
请参见表1,表1为本申请示出的一种位图。如表1所示,上述位图的标志位索引为主机地址0-255,上述位图的标志位为0时处于非置位状态,上述标志位为1时处于置位状态。
0 1 2 3 4 5 255
0 0 0 0 0 0 0
表1
在此,需要说明的是,上述表1仅作示意性说明,不对实际应用中的表项格式进行限定。
假设交换机中维护了表1所示的位图,当该交换机接收到ARP报文(假设该ARP报文携带的目的IP地址为192.168.1.5,子网掩码为255.255.255.0)时,可以先确定上述ARP报文携带的目的IP地址,以及上述目的IP地址所属的子网掩码段;在确定了上述目的IP地址,以及上述目的IP地址所属的子网掩码段后,可以基于上述子网掩码段确定上述目的IP地址的主机地址。在实施例四中,由于上述目的IP地址对应的子网掩码段为24位,因此,上述主机地址为5(该目的IP地址后8位),然后根据主机地址5查询上述位图对应的标志位;并将上述标志位置为1;需要说明的是,在此步骤中,如果上述标志位已被置位,则说明上述目的IP地址对应的终端已经被进行过ARP交互,因此可以保持上述标志置位的状态,不进行其它操作。
表1示出的位图经过上述步骤处理后的结果可以参见表2。
0 1 2 3 4 5 255
0 0 0 0 0 1 0
表2
在此,需要说明的是,上述表2仅作示意性说明,不对实际应用中的表项格式进行限定。
下面结合图1示出的场景对本实施例进行详细说明,请参见图5,图5为本申请示出的一种抑制病毒在局域网中传播的方法的流程图。
本实施例的执行主体可以是图1示出的交换机。需要说明的是,上述执行主体可以是交换机中的控制单元,例如,CPU、FPGA等,在此不作特别限定,为了说明方便,以下将统称为交换机。
如图5所示,S501,接收局域网中的终端发送的任意流量报文,并获取上述流量报文携带的源IP地址信息,基于上述源IP地址创建与上述终端对应的终端表项;其中,上述终端表项可以包括指示上述终端的源IP地址的IP地址字段、位图指针、上述位图首次被置位的时间字段、终端关系表指针、以及异常终端关系数量字段。在此需要说明的是,上述终端表项包括的内容,可以根据需求进行调整;例如,假设上述终端表项不需要统计异常终端关系数量,则可以删除上述异常终端关系数量。再例如,由于终端的IP地址可能发生变化,为了将终端表项与唯一的终端对应,在生成终端表项时,可以基于上述流量报文携带的源IP地址以及源MAC地址信息创建终端表项。
上述位图指针,可以指向上述交换机为上述终端维护的位图。
上述位图首次被置位的时间字段,可以是上述位图首次被置位时时间戳指示的当前时间。上述位图首次被置位的时间字段可以作为老化上述位图的参考项之一。
上述终端关系表指针,可以指向上述交换机为上述终端维护的终端关系表。
上述终端关系表,可以包括若干终端关系表项,上述终端关系表项可以指示上述终端的连接关系,上述终端关系表项可以包括,目的IP地址字段、业务标识,以及异常关系标识;其中,上述目的IP地址字段指示上述终端发起的ARP报文携带的目的IP地址;上述业务标识可以指示上述终端在向终端发送过ARP报文后发送的业务报文是否为首个业务报文;上述异常关系标识指示如果上述业务报文为业务首报文,上述业务首报文携带的目的端口是否命中预设的风险端口(例如,135、139、445、3389)。
上述异常终端关系数量字段,具体是指上述转发设备维护的异常终端关系数量;其中,上述异常终端关系数量包括,上述目标终端通过发送目的端口为上述预设的风险端口(例如,135、139、445、3389)的业务首报文进行交互的终端数量。
可选地,当创建完毕与上述终端对应的上述终端表项后,可以执行初始化终端表项的动作。具体地,可以执行以下步骤:
将上述终端表项中的IP地址字段设置为上述任意流量报文的源IP地址;
在上述交换机中生成表1所示的位图,并将上述位图的位图指针添加入上述终端表项;
将上述位图首次被置位的时间字段初始化为0;
在上述交换机中维护与上述终端对应的终端关系表,并可以默认上述终端关系表初始为空;
将上述终端异常关系数量字段初始设置为0。
S502,接收到该局域网发送的任意报文后,可以先确定上述报文的报文类型;如果上述报文的报文类型为ARP报文,则可以获取上述ARP报文的源IP地址,并根据上述源IP地址查找对应的终端表项。
在查找到上述终端表项后,可选地,可以判断上述终端表项中包括的位图首次被置位的时间字段是否为0,如果是,则将上述位图首次被置位的时间字段更新为当前时间;如果不是,则可以不对上述位图首次被置位的时间字段进行任何操作。
在查找到上述终端表项后,可以继续根据上述终端表项包括的位图指针确定对应的位图,然后根据上述ARP报文携带的目的IP地址的主机地址在上述位图中确定对应的待置位位图标志位,并将上述待置位标志位置位。在此步骤中,确定上述目的IP地址的主机地址时,如果上述交换机可以获取上述目的IP地址的子网掩码,则可以直接基于上述子网掩码确定上述目的IP地址的主机地址(请参照相关技术,在此不作详细说明);如果上述交换机无法直接获取上述目的IP地址的子网掩码时,本申请提出一种确定目的IP地址所属的子网掩码段的方法,该方法通过假设上述目的IP地址所属的子网掩码段,并通过假设的上述子网掩码段确定上述目的IP地址与上述ARP报文携带的源IP地址是否处于同一网段,如果上述目的IP地址与上述源IP地址处于同一网段,则确定假设的上述子网掩码段为上述目的IP地址所属的子网掩码段;如果上述目的IP地址与上述源IP地址不处于同一网段,则通过假设另一子网掩码段并重复上述步骤,直至通过假设的子网掩码段确定上述目的IP地址与上述源IP地址处于同一网段,则将最后一次假设的子网掩码段作为上述目的IP地址所属的子网掩码段。
在实际应用中,可以执行以下步骤:
首先,假设上述子网掩码段为24位的子网掩码段(即255.255.255.0);
然后,将上述24位子网掩码段分别与上述源IP地址、上述目的IP地址执行逻辑与运算,并确定上述分别计算的结果是否相同,如果相同,则确定上述源IP地址与上述目的IP地址处于同一网段;反之,则确定上述源IP地址与上述目的IP地址不处于同一网段。当上述目的IP地址与上述源IP地址处于同一网段时,则可以确定上述目的IP地址所属的子网掩码段为24位子网掩码段;当上述目的IP地址与上述源IP地址不处于同一网段时,则可以继续假设上述子网掩码段为16位的子网掩码段(即255.255.0.0);然后重复上述步骤,如果上述目的IP地址与上述源IP地址处于同一网段时,则可以确定上述目的IP地址上述的子网掩码段为16位子网掩码段;如果上述目的IP地址与上述源IP地址不处于同一网段时,则可以继续假设上述子网掩码段为8位的子网掩码段(即255.0.0.0);然后重复上述步骤,如果上述目的IP地址与上述源IP地址处于同一网段时,则可以确定上述目的IP地址所属的子网掩码段为8位子网掩码段。
在上述情形下,假设确定上述目的IP地址所属的子网掩码段为24位,则可以确定上述目的IP地址的主机地址为该目的IP地址的后8位,并将上述主机地址对应的待置位位图标志位置位。
需要说明的是,如果上述待置位标志位已经被置位则可以保持上述待置位标志位的置位状态,则说明上述目的IP地址对应的终端已经被进行过ARP交互,因此可以不必重复执行置位的动作。
通过上述方法,可以使用占用存储空间较小的位图对上述局域网包括的其它终端中,与上述目标终端进行过ARP交互的终端数量进行统计,从而节省了存储空间。
在一实施例中,为了节省存储空间,由于在实际组网中,组网工程师通常不会采用8位以下的子网掩码段,因此,如果当假设的子网掩码段为8位时,上述目的IP地址与上述源IP地址仍不处于同一网段,则可以不对上述ARP报文进行任何处理。
不难发现,通过上述S501和S502,可以在上述交换机中准确的统计上述局域网包括的其它终端中,与终端进行过ARP交互的终端数量。
在实施例四中,当对上述位图进行置位操作后还可以维护与上述终端对应的终端关系表。
S503,当对上述位图进行置位操作后,可以根据上述终端对应的终端表项所包括的终端关系表项指针确定对应的终端关系表;然后根据上述ARP报文携带的目的IP地址在上述终端表项对应的终端关系表中,创建与上述目的IP地址对应的终端关系表项。
在此步骤中,可以将上述终端关系表项中的目的IP地址字段设置为上述ARP报文携带的目的IP地址;将上述终端关系表项中的业务标识置为0(假设0表示上述终端关系表项创建之后,上述交换机未接收到业务首报文;);将上述终端关系表项中的异常关系标识置为0(假设0表示正常)。
当上述终端关系表项创建完毕后,假设上述交换机接收到上述终端发送的业务报文(例如,TCP报文),可以执行S504,进一步确定上述业务报文是否为业务首报文;具体地,上述交换机可以先根据上述终端对应的终端表项包括的终端关系表项指针确定对应的终端关系表;然后根据上述业务报文携带的目的IP地址在上述终端关系表中查找与上述业务报文携带的目的IP地址对应的终端关系表项,并确定查找到的终端关系表包括的上述业务标识是否为0(本例中,上述第一预设标识可以为0);如果上述业务标识为0,则可以确定上述业务报文为业务首报文,并将上述业务标识置为非0(例如,置为1);如果上述业务标识不为0,则可以确定上述业务报文并非业务首报文,则可以不对上述业务报文进行处理。
在上述情形下,假设接收到的业务报文为业务首报文,可以执行S505,进一步确定上述业务首报文携带的目的端口是否为预设的风险端口(例如,135、139、445、3389),如果是,则可以确定上述终端与IP地址为上述目的IP地址的终端的终端关系异常,然后,可以将上述终端关系表项中的异常关系标识置为1,并将上述异常终端关系数量字段加1;如果不是,则可以不对上述业务报文进行任何处理。
至此,通过上述S501-S505,在上述交换机中可以统计与局域网中的各终端对应的交互终端数量以及异常终端关系数量。
在上述情形下,当上述交换机接收到终端发送的ARP报文时,除了更新上述终端对应的交互终端数量,还可以执行S506,确定与发起上述ARP报文的目标终端对应的交互终端数量是否达到第一预设阈值,如果是,则进一步执行S507,确定与上述目标终端对应的异常终端关系数量是否达到第二预设阈值;如果是,则对上述终端进行防护以抑制病毒在上述局域网中传播。
在实施例四中,在执行上述S506步骤时,可以确定上述终端对应的上述位图的标志位中,被置位的标志位数量是否达到第一预设阈值,如果是,则可以确定上述局域网包括的其它终端中,与终端进行过ARP交互的终端数量达到第一预设阈值。在执行上述S507步骤时,可以确定上述终端对应的终端表项中维护的异常终端关系数量字段指示的数值是否大于第二预设阈值;如果是,则限制上述终端与其他终端进行交互,从而一方面可以不依赖任何病毒库或威胁情报等已有病毒特征实现抑制各类病毒在局域网中的传播;另一方面可以在不增加安全防护设备的情况下,让局域网中的转发设备具有抑制病毒传播的功能。
在一实施例中,可以通过生成ACL表项,限制风险终端与其他终端进行交互。例如,假设风险终端IP为10.1.1.1,目的IP为10.1.1.125、风险端口(目的端口)为445,则可以生成匹配条件为10.1.1.1、10.1.1.125、TCP、445,执行条件为丢弃的ACL表项,从而实现限制风险终端通过风险端口与其他终端进行交互。
在一实施例中,为了提升病毒传播行为识别的准确性,从而实现精准防护,在对上述目标终端进行防护之前,确定与上述目标终端进行过ARP交互的终端中,IP地址连续的终端数量是否达到第三预设阈值;
如果上述IP地址连续的终端数量达到上述第三预设阈值,则对上述目标终端进行防护。
在实际应用中,可以在对上述终端进行防护前,可以先确定上述位图的标志位被置位的数量是否达到第一预设阈值,如果是,再进一步确定上述终端对应的终端表项中维护的异常终端关系数量字段指示的数值是否大于第二预设阈值;如果是,再进一步确定上述位图被置位的标志位中,连续被置位的数量是否达到第三预设阈值,如果是,则再对上述终端进行防护。需要说明的是,本申请对上述各判断步骤的先后顺序不进行限制。
通过上述方式可以在对病毒传播行为进行识别时,将终端的交互行为特征与更多的病毒传播行为特征进行比较,避免将对风险端口的正常访问识别为病毒传播行为,从而提升病毒传播行为识别的准确性,实现精准防护。
在一实施例中,为了不让位图统计的上述局域网包括的其它终端中,与终端进行过ARP交互的终端数量无限增大,上述交换机中存在一种老化机制。该老化机制可以定期的还原上述位图中的标志位。
可选地,在一实施例中,可以定期还原上述位图中的标志位。例如,当上述交换机接收到终端发送的任意流量报文时,确定当前时间,与上述报文的源IP地址对应的终端表项中的位图首次被置位的时间的差值是否大于预设阈值(例如,30S),如果大于上述预设阈值,则可以还原上述位图中被置位的标志位。需要说明的是,在一实施例中,上述任一流量报文可以限定为任一特定类型的报文,例如,ARP报文。
可选地,在定期还原上述位图中的标志位时,还可以初始化上述终端对应的终端表项。例如,在定期还原上述位图中的标志位时,可以同时清空终端关系表中的数据,以及相关的计数信息。
可选地,为了将当前老化周期内统计的异常终端关系数量保留至下一老化周期,在实际应用中,在定期还原上述位图中的标志位时,可以仅还原上述终端对应的各终端关系表项中,异常关系标识为非1的终端关系表项包括的目的IP地址的主机地址对应的标志位,并将被置为1的异常关系标识置为2。例如,在定期还原上述位图中的标志位时,可以先扫描上述终端对应的各终端关系表项中的异常关系标志位,如果上述异常关系标识为1,则不对上述异常关系标识所数的终端关系表项中的目的IP地址的主机地址指示的标志位进行还原,并将上述异常关系标识置为2;如果上述异常关系标识为非1,则对上述异常关系标识所数的终端关系表项中的目的IP地址的主机地址指示的标志位进行还原。
通过上述方式,可以将当前老化周期内统计的异常终端关系数量保留至下一老化周期,从而避免了在执行确定上述局域网包括的其它终端中,与上述目标终端进行过ARP交互的终端数量是否达到第一预设阈值的步骤时,由于之前统计的上述异常终端关系数量被老化而影响对病毒传播行为的识别。
实施例五:
在实施例五中,为了可以基于每一个位图标志位被置位的时间对上述标志位进行老化还原,从而更精确的统计上述局域网包括的其它终端中,与终端进行过ARP交互的终端数量,在统计上述交互终端数量时可以采用数组的形式;其中,上述数组可以是数组表项。
在实际应用中,上述数组的元素索引可以是主机地址,上述元素可以包括上述实施例四中的终端关系表项所存储的内容,以及上述元素被更新的时间。例如,上述元素可以是1个字节(8bit);其中,上述1字节中的1bit,可以指示实施例四中的终端关系表项所存储的业务标识;上述1字节中的1bit,可以指示实施例四中的终端关系表项所存储的异常关系标识;上述1字节中的6bit,可以指示上述元素被更新的时间对应的秒数。需要说明的是,由于6bit最大可以统计64(2的6次方)个数,因此,采用6bit记录元素别更新的时间时,只能统计到上述时间对应的秒数;而如果需要统计更准确的时间(包括小时、分钟)时,则需要扩大上述元素的字节数。
在上述情形下,当交换机接收到ARP报文时,可以根据上述ARP报文携带的目的IP地址的主机地址确定上述数组对应的元素,并更新上述元素;在此步骤中,如果上述元素已经被更新则可以保持上述标志位的置位状态,不必重复执行置位的动作。需要说明的是,在更新上述元素时,可以将该元素的一个字节中指示业务标识的bit初始化为0,指示异常关系标识的bit初始化为0,指示上述元素被更新时间的6bit置为当前时间对应的秒数。
请参见表3,表3为本申请示出的一种数组。如表3所示,上述数组元素的元素索引为主机地址0-255,上述数组元素(假设数组元素为一字节)为0时处于非置位状态,上述数组元素为非0时处于被更新状态。
0 1 2 255
00000000 00000000 00000000 00000000
表3
在此,需要说明的是,上述表3仅作示意性说明,不对实际应用中的表项格式进行限定。
假设交换机中维护了表3所示的位图,当该交换机接收到ARP报文(假设该ARP报文携带的目的IP地址为192.168.1.2,子网掩码为255.255.255.0)时,可以先确定上述ARP报文携带的目的IP地址,以及上述目的IP地址所属的子网掩码段;在确定了上述目的IP地址,以及上述目的IP地址所属的子网掩码段后,可以基于上述子网掩码段确定上述目的IP地址的主机地址。在实施例五中,由于上述目的IP地址对应的子网掩码段为24位,因此,上述主机地址为2(该目的IP地址后8位),然后根据主机地址2查询上述数组对应的元素;并将该元素的一个字节中指示业务标识的bit初始化为0,指示异常关系标识的bit初始化为0,指示上述元素被更新时间的6bit置为当前时间对应的秒数(8,转化为2进制为111);在此步骤中,如果上述元素已被更新,则说明上述目的IP地址对应的终端已经被进行过ARP交互,因此可以保持上述元素已被更新的状态,不进行其它操作。表3示出的位图经过上述步骤处理后的结果可以参见表4。
0 1 2 255
00000000 00000000 00000111 00000000
表4
在此,需要说明的是,上述表4仅作示意性说明,不对实际应用中的表项格式进行限定。
下面结合图1示出的场景对本实施例进行详细说明,请参见图6,图6为本申请示出的一种抑制病毒在局域网中传播的方法的流程图。
本实施例的执行主体可以是图1示出的交换机。需要说明的是,上述执行主体可以是交换机中的控制单元,例如,CPU、FPGA等,在此不作特别限定,为了说明方便,以下将统称为交换机。
如图6所示,S601,接收局域网中的终端发送的任意流量报文,并获取上述流量报文携带的源IP地址,基于上述源IP地址创建与上述终端对应的终端表项;其中,上述终端表项可以包括指示上述终端的源IP地址的IP地址字段、数组指针、以及异常终端关系数量字段。在此需要说明的是,上述终端表项包括的内容,可以根据需求进行调整;例如,假设上述终端表项不需要统计异常终端关系数量,则可以删除上述异常终端关系数量。再例如,由于终端的IP地址可能发生变化,为了将终端表项与唯一的终端对应,在生成终端表项时,可以基于上述流量报文携带的源IP地址以及源MAC地址信息创建终端表项。
上述数组指针,可以指向上述交换机为上述终端维护的数组。上述数组可以包括若干数组元素;上述元素可以是1个字节(8bit);其中,上述1字节中的1bit,可以指示实施例四中的终端关系表项所存储的业务标识;上述1字节中的1bit,可以指示实施例四中的终端关系表项所存储的异常关系标识;上述1字节中的6bit,可以指示上述元素被更新的时间对应的秒数。其中,上述业务标识可以指示上述终端在向终端发送过ARP报文后发送的业务报文是否为首个业务报文;上述异常关系标识指示如果上述业务报文为业务首报文,上述业务首报文携带的目的端口是否命中预设的风险端口(例如,135、139、445、3389)。
上述异常终端关系数量字段,具体是指上述转发设备维护的异常终端关系数量;其中,上述异常终端关系数量包括,上述目标终端通过发送目的端口为上述预设的风险端口(例如,135、139、445、3389)的业务首报文进行交互的终端数量。
可选地,当创建完毕与上述终端对应的上述终端表项后,可以执行初始化终端表项的动作。具体地,可以执行以下步骤:
将上述终端表项中的IP地址字段设置为上述任意流量报文的源IP地址;
在上述交换机中生成表3所示的数组,并将上述数组的数组指针添加入上述终端表项;
将上述数组的数组元素初始化为0;
将上述终端异常关系数量字段初始设置为0。
S602,接收到该局域网发送的任意报文后,可以先确定上述报文的报文类型;如果上述报文的报文类型为ARP报文,则可以获取上述ARP报文的源IP地址,并根据上述源IP地址查找对应的终端表项。
在查找到上述终端表项后,可以继续根据上述终端表项包括的位图指针确定对应的位图,然后根据上述ARP报文携带的目的IP地址的主机地址在上述位图中确定对应的待置位位图标志位,并将上述待置位标志位置位。在此步骤中,确定上述目的IP地址的主机地址时,如果上述交换机可以获取上述目的IP地址的子网掩码,则可以直接基于上述子网掩码确定上述目的IP地址的主机地址(请参照相关技术,在此不作详细说明);如果上述交换机无法直接获取上述目的IP地址的子网掩码时,本申请提出一种确定目的IP地址所属的子网掩码段的方法,该方法通过假设上述目的IP地址所属的子网掩码段,并通过假设的上述子网掩码段确定上述目的IP地址与上述ARP报文携带的源IP地址是否处于同一网段,如果上述目的IP地址与上述源IP地址处于同一网段,则确定假设的上述子网掩码段为上述目的IP地址所属的子网掩码段;如果上述目的IP地址与上述源IP地址不处于同一网段,则通过假设另一子网掩码段并重复上述步骤,直至通过假设的子网掩码段确定上述目的IP地址与上述源IP地址处于同一网段,则将最后一次假设的子网掩码段作为上述目的IP地址所属的子网掩码段。
在实际应用中,可以执行以下步骤:
首先,假设上述子网掩码段为24位的子网掩码段(即255.255.255.0);
然后,将上述24位子网掩码段分别与上述源IP地址、上述目的IP地址执行逻辑与运算,并确定上述分别计算的结果是否相同,如果相同,则确定上述源IP地址与上述目的IP地址处于同一网段;反之,则确定上述源IP地址与上述目的IP地址不处于同一网段。当上述目的IP地址与上述源IP地址处于同一网段时,则可以确定上述目的IP地址所属的子网掩码段为24位子网掩码段;当上述目的IP地址与上述源IP地址不处于同一网段时,则可以继续假设上述子网掩码段为16位的子网掩码段(即255.255.0.0);然后重复上述步骤,如果上述目的IP地址与上述源IP地址处于同一网段时,则可以确定上述目的IP地址上述的子网掩码段为16位子网掩码段;如果上述目的IP地址与上述源IP地址不处于同一网段时,则可以继续假设上述子网掩码段为8位的子网掩码段(即255.0.0.0);然后重复上述步骤,如果上述目的IP地址与上述源IP地址处于同一网段时,则可以确定上述目的IP地址所属的子网掩码段为8位子网掩码段。
在上述情形下,假设确定上述目的IP地址的子网掩码为24位,则可以确定上述目的IP地址的主机地址为该目的IP地址的后8位,并更新上述主机地址对应的待更新元素。
需要说明的是,如果上述待更元素已经被更新,则说明上述目的IP地址对应的终端已经被进行过ARP交互,因此可以保持上述元素已被更新的状态,不进行其它操作。
通过上述方法,可以使用占用存储空间较小的数组对上述局域网包括的其它终端中,与上述目标终端进行过ARP交互的终端数量进行统计,从而节省了存储空间。
在一实施例中,为了节省存储空间,由于在实际组网中,组网工程师通常不会采用8位以下的子网掩码段,因此,如果当假设的子网掩码段为8位时,上述目的IP地址与上述源IP地址仍不处于同一网段,则可以不对上述ARP报文进行任何处理。
不难发现,通过上述S601和S602,可以在上述交换机中准确的统计上述局域网包括的其它终端中,与终端进行过ARP交互的终端数量,并且还可以统计上述数组中的元素别更新的时间,从而可以基于每一个位图标志位被置位的时间对上述标志位进行老化还原,实现更精确的统计上述局域网包括的其它终端中,与终端进行过ARP交互的终端数量。
在上述情形下,假设上述交换机接收到上述终端发送的业务报文(例如,TCP报文),可以执行S603,进一步确定上述业务报文是否为业务首报文;具体地,上述交换机可以基于上述业务报文携带的源IP地址确定对应的终端表项,然后,根据上述目标终端对应的终端表项包括的数组指针确定对应的数组,并根据上述业务报文携带的目的IP地址在上述数组中查找与上述业务报文携带的目的IP地址的主机地址对应的元素,并确定查找到的上述元素包括的指示业务标识的bit是否为0(在实施例五中,第一预设标识可以为0);如果上述bit为0,则可以确定上述业务报文为业务首报文,并将上述bit置为非0(例如,置为1);如果上述bit不为0,则可以确定上述业务报文并非业务首报文,则可以不对上述业务报文进行处理。
在上述情形下,假设接收到的业务报文为业务首报文,可以执行S604,进一步确定上述业务首报文携带的目的端口是否为预设的风险端口(例如,135、139、445、3389),如果是,则可以确定上述终端与IP地址为上述目的IP地址的终端的终端关系异常,然后,可以将上述元素中指示异常关系标识的bit置为1,并将上述异常终端关系数量字段加1;如果不是,则可以不对上述业务报文进行任何处理。
至此,通过上述S601-S604,在上述交换机中可以统计与局域网中的各终端对应的交互终端数量以及异常终端关系数量。
在上述情形下,当上述交换机接收到终端发送的ARP报文时,除了更新上述终端对应的交互终端数量,还可以执行S605,确定与发起上述ARP报文的目标终端对应的交互终端数量是否达到第一预设阈值,如果是,则进一步执行S606,确定与上述目标终端对应的异常终端关系数量是否达到第二预设阈值;如果是,则对上述终端进行防护以抑制病毒在上述局域网中传播。
在实施例五中,在执行上述S605步骤时,可以确定上述终端对应的上述数组包括的元素中,被更新的元素数量是否达到第一预设阈值,如果是,则可以确定上述局域网包括的其它终端中,与终端进行过ARP交互的终端数量达到第一预设阈值。在执行上述S606步骤时,可以确定上述终端对应的终端表项中维护的异常终端关系数量字段指示的数值是否大于第二预设阈值;如果是,则限制上述终端与其他终端进行交互,从而一方面可以不依赖任何病毒库或威胁情报等已有病毒特征实现抑制各类病毒在局域网中的传播;另一方面可以在不增加安全防护设备的情况下,让局域网中的转发设备具有抑制病毒传播的功能。
在一实施例中,可以通过生成ACL表项,限制风险终端与其他终端进行交互。例如,假设风险终端IP为10.1.1.1,目的IP为10.1.1.125、风险端口(目的端口)为445,则可以生成匹配条件为10.1.1.1、10.1.1.125、TCP、445,执行条件为丢弃的ACL表项,从而实现限制风险终端通过风险端口与其他终端进行交互。
在一实施例中,为了提升病毒传播行为识别的准确性,从而实现精准防护,在对上述目标终端进行防护之前,确定与上述目标终端进行过ARP交互的终端中,IP地址连续的终端数量是否达到第三预设阈值;
如果上述IP地址连续的终端数量达到上述第三预设阈值,则对上述目标终端进行防护。
在实际应用中,可以在对上述终端进行防护前,可以先确定上述位图的标志位被置位的数量是否达到第一预设阈值,如果是,再进一步确定上述终端对应的终端表项中维护的异常终端关系数量字段指示的数值是否大于第二预设阈值;如果是,再进一步确定上述数组被更新的元素中,连续被更新的元素的数量是否达到第三预设阈值,如果是,则再对上述终端进行防护。需要说明的是,本申请对上述各判断步骤的先后顺序不进行限制。
可见,通过上述方式可以在对病毒传播行为进行识别时,将终端的交互行为特征与更多的病毒传播行为特征进行比较,避免将对风险端口的正常访问识别为病毒传播行为,从而提升病毒传播行为识别的准确性,实现精准防护。
在实施例五中,为了可以基于每一个元素被更新时间对上述元素进行老化还原,从而更精确的统计上述局域网包括的其它终端中,与终端进行过ARP交互的终端数量,可以使用以下示出的老化机制。
具体地,可以周期性的扫描各终端表项对应的数组中被更新的元素的创建时间,并确定当前时间与上述元素的创建时间的差值是否大于预设阈值,如果大于,则将上述元素还原;反之,则保留上述元素被更新的状态。
在实际应用中,假设上述数组的元素为1字节,并且,上述1字节中的6bit,指示上述元素被更新的时间对应的秒数。此时,上述老化机制可以是,在上述交换机中可以启动一个定时任务,周期性的扫描各终端表项对应的数组中被更新的元素的创建时间,并根据当前时间的秒数(A)和上述创建时间记录的秒数(B)计算二者间的差值(C),计算方法如下:
如果A小于等于B;则C=A+(60-B);
如果A大于B;则C=A-B;
在获取上述二者差值后,可以进一步确定上述差值是否大于预设阈值;如果大于,则将上述元素还原为0(假设0为初始状态);反之,则保留上述元素被更新的状态。
通过上述方式,可以基于每一个元素被更新时间对上述元素进行老化还原,从而更精确的统计上述局域网包括的其它终端中,与终端进行过ARP交互的终端数量。
可选地,在定期对上述数组元素进行老化时,可以同时清除终端表项中相关的计数信息。
可选地,为了将当前老化周期内统计的异常终端关系数量保留至下一老化周期,在实际应用中,当元素中包括至少2bit用于指示异常关系标识时,在对上述元素进行还原操作时,可以仅还原异常关系标识为非1的元素,并将被置为1的异常关系标识置为2。例如,在还原上述元素时,可以先确定上述元素的异常关系标志位是否为1,如果上述异常关系标识为1,则不对上述元素进行还原,并将上述异常关系标识置为2;如果上述异常关系标识为非1,则对上述元素进行还原。
通过上述方式,可以将当前老化周期内统计的异常终端关系数量保留至下一老化周期,从而避免了在执行确定上述局域网包括的其它终端中,与终端进行过ARP交互的终端数量是否大于上述第一预设阈值的步骤时,由于之前统计的上述交互终端数量被老化而影响对病毒传播行为的识别。
实施例六:
在实施例六中,为接收上述交换机的存储空间,在统计上述局域网包括的其它终端中,与终端进行过ARP交互的终端数量时,可以使用终端关系表项有效数量字段代替实施例2中的位图和实施例3中的数组。
在实际应用中,上述终端关系表项有效数量字段,可以指示上述局域网包括的其它终端中,与终端进行过ARP交互的终端数量。
当接收到终端发送的ARP报文时,可以根据上述ARP报文携带的目的IP地址确定与上述终端对应的终端表项中是否已经创建与上述目的IP地址对应的终端关系表项,如果还未创建,则可以创建上述目的IP地址对应的终端关系表项,并更新上述终端关系表项有效数量字段;如果已经创建,则说明上述目的IP地址对应的终端已经被进行过ARP交互,因此可以不执行任何操作。
下面结合图1示出的场景对本实施例进行详细说明,请参见图7,图7为本申请示出的一种抑制病毒在局域网中传播的方法的流程图。
本实施例的执行主体可以是图1示出的交换机。需要说明的是,上述执行主体可以是交换机中的控制单元,例如,CPU、FPGA等,在此不作特别限定,为了说明方便,以下将统称为交换机。
如图7所示,S701,接收局域网中的终端发送的任意流量报文,并获取上述流量报文携带的源IP地址,基于上述源IP地址创建与上述终端对应的终端表项;其中,上述终端表项可以包括指示上述终端的源IP地址的IP地址字段、终端关系表指针、终端关系表项有效数量字段、以及异常终端关系数量字段。在此需要说明的是,上述终端表项包括的内容,可以根据需求进行调整;例如,假设上述终端表项不需要统计异常终端关系数量,则可以删除上述异常终端关系数量。再例如,由于终端的IP地址可能发生变化,为了将终端表项与唯一的终端对应,在生成终端表项时,可以基于上述流量报文携带的源IP地址以及源MAC地址信息创建终端表项。
上述终端关系表项有效数量字段,可以指示上述局域网包括的其它终端中,与终端进行过ARP交互的终端数量。
上述终端关系表指针,可以指向上述交换机为上述终端维护的终端关系表。
上述终端关系表,可以包括若干终端关系表项,上述终端关系表项可以指示上述终端的连接关系,上述终端关系表项可以包括,目的IP地址字段字段、业务标识、异常关系标识、以及创建时间字段;其中,上述目的IP地址字段指示上述终端发起的ARP报文携带的目的IP地址;上述业务标识可以指示上述终端在向终端发送过ARP报文后发送的业务报文是否为首个业务报文;上述异常关系标识指示如果上述业务报文为业务首报文,上述业务首报文携带的目的端口是否命中预设的风险端口(例如,135、139、445、3389);上述创建时间字段,可以指示上述终端关系表项的创建时间。
上述异常终端关系数量字段,具体是指上述转发设备维护的异常终端关系数量;其中,上述异常终端关系数量包括,上述目标终端通过发送目的端口为上述预设的风险端口(例如,135、139、445、3389)的业务首报文进行交互的终端数量。
可选地,当创建完毕与上述终端对应的上述终端表项后,可以执行初始化终端表项的动作。具体地,可以执行以下步骤:
将上述终端表项中的IP地址字段设置为上述任意流量报文的源IP地址;
在上述交换机中维护与上述终端对应的终端关系表,并可以默认上述终端关系表初始为空;
将上述终端关系表项有效数量字段初始置为0。
将上述终端异常关系数量字段初始设置为0。
S702,接收到该局域网发送的任意报文后,可以先确定上述报文的报文类型;如果上述报文的报文类型为ARP报文,则可以获取上述ARP报文的源IP地址,并根据上述源IP地址查找对应的终端表项。
在查找到上述终端表项后,可以确定上述ARP报文携带的目的IP地址与源IP地址是否处于同一网段;如果上述目的IP地址与上述源IP地址处于同一网段,则继续执行后续步骤;如果上述目的IP地址与上述源IP地址不处于同一网段,则可以对上述ARP报文不进行任何处理。
在实际应用中,可以执行以下步骤:
将上述8位子网掩码(即255.0.0.0)分别与上述源IP地址、上述目的IP地址执行逻辑与运算,并确定上述分别计算的结果是否相同,如果相同,则确定上述源IP地址与上述目的IP地址处于同一网段;反之,则确定上述源IP地址与上述目的IP地址不处于同一网段。当上述目的IP地址与上述源IP地址处于同一网段时,则可以则继续执行后续步骤;当上述目的IP地址与上述源IP地址不处于同一网段时,则可以对上述ARP报文不进行任何处理。
在上述情形下,假设上述ARP报文携带的目的IP地址与源IP地址处于同一网段,则可以继续根据上述终端表项包括的终端关系表指针确定对应的终端关系表,并根据上述目的IP地址确定上述终端表项中是否已经创建与上述目的IP地址对应的终端关系表项,如果还未创建,则可以创建上述目的IP地址对应的终端关系表项,并更新上述终端关系表项有效数量字段;如果已经创建,则说明上述目的IP地址对应的终端已经被进行过ARP交互,因此可以不执行任何操作。
在实际应用中,当确定上述ARP报文携带的目的IP地址与源IP地址处于同一网段后,可以继续根据上述目的IP地址在上述终端对应的终端表项所对应的终端关系表中查找与上述目的IP地址对应的终端关系表项;如果未找到,则可以创建与上述目的IP地址对应的终端关系表项,并更新上述终端表项包括的终端关系表项有效数量字段;如果找到上述终端关系表项,则不执行任何操作。
其中,在创建与上述目的IP地址对应的终端关系表项时,可以将上述终端关系表项中的目的IP地址字段项设置为上述ARP报文携带的目的IP地址;将上述终端关系表项中的业务标识置为0(假设0表示上述终端关系表项创建之后,上述交换机未接收到业务首报文;);将上述终端关系表项中的异常关系标识置为0(假设0表示正常);将上述终端关系表项中的创建时间字段更新为当前时间。
不难发现,通过上述S701和S702,可以在上述交换机中通过使用终端关系表项有效数量字段准确的统计上述局域网包括的其它终端中,与终端进行过ARP交互的终端数量,从而减少对上述交换机存储空间的占用。
当上述终端关系表项创建完毕后,假设上述交换机接收到上述终端发送的业务报文(例如,TCP报文),可以执行S703,进一步确定上述业务报文是否为业务首报文;具体地,上述交换机可以根据上述目标终端对应的终端表项包括的终端关系表项指针确定对应的终端关系表;然后根据上述业务报文携带的目的IP地址在上述终端关系表中查找与上述业务报文携带的目的IP地址对应的终端关系表项,并确定查找到的终端关系表包括的上述业务标识是否为0(本例中,第一预设标识可以为0);如果上述业务标识为0,则可以确定上述业务报文为业务首报文,并将上述业务标识置为非0(例如,置为1);如果上述业务标识不为0,则可以确定上述业务报文并非业务首报文,则可以不对上述业务报文进行处理。
在上述情形下,假设接收到的业务报文为业务首报文,可以执行S704,进一步确定上述业务首报文携带的目的端口是否为预设的风险端口(例如,135、139、445、3389),如果是,则可以确定上述终端与IP地址为上述目的IP地址的终端的终端关系异常,然后,可以将上述终端关系表项中的异常关系标识置为1,并将上述异常终端关系数量字段加1;如果不是,则可以不对上述业务报文进行任何处理。
至此,通过上述S701-S704,在上述交换机中可以统计与局域网中的各终端对应的交互终端数量以及异常终端关系数量。
在上述情形下,当上述交换机接收到终端发送的ARP报文时,除了更新上述终端对应的交互终端数量,还可以执行S705,确定与发起上述ARP报文的目标终端对应的交互终端数量是否达到第一预设阈值,如果是,则进一步执行S706,确定与上述目标终端对应的异常终端关系数量是否达到第二预设阈值;如果是,则对上述终端进行防护以抑制病毒在上述局域网中传播。
在实施例六中,在执行上述S705步骤时,可以确定上述终端表项包括的上述终端关系表项有效数量字段指示的数值是否达到第一预设阈值,如果是,则可以确定上述局域网包括的其它终端中,与终端进行过ARP交互的终端数量达到第一预设阈值。执行上述S706步骤时,可以确定上述终端对应的终端表项中维护的异常终端关系数量字段指示的数值是否大于第二预设阈值;如果是,则限制上述终端与其他终端进行交互,从而一方面可以不依赖任何病毒库或威胁情报等已有病毒特征实现抑制各类病毒在局域网中的传播;另一方面可以在不增加安全防护设备的情况下,让局域网中的转发设备具有抑制病毒传播的功能。
在一实施例中,可以通过生成ACL表项,限制风险终端与其他终端进行交互。例如,假设风险终端IP为10.1.1.1,目的IP为10.1.1.125、风险端口(目的端口)为445,则可以生成匹配条件为10.1.1.1、10.1.1.125、TCP、445,执行条件为丢弃的ACL表项,从而实现限制风险终端通过风险端口与其他终端进行交互。
在一实施例中,在对上述目标终端进行防护之前,确定与上述目标终端进行过ARP交互的终端中,IP地址连续的终端数量是否达到第三预设阈值;
如果上述IP地址连续的终端数量达到上述第三预设阈值,则对上述目标终端进行防护。
通过上述方式可以在对病毒传播行为进行识别时,将终端的交互行为特征与更多的病毒传播行为特征进行比较,避免将对风险端口的正常访问识别为病毒传播行为,从而提升病毒传播行为识别的准确性,实现精准防护。
在实施例六中,为了可以基于每一终端关系表项被创建的时间对上述终端关系表项有效数量进行老化,从而更精确的统计上述局域网包括的其它终端中,与终端进行过ARP交互的终端数量,可以使用以下示出的老化机制。
具体地,可以周期性的扫描各终端关系表项中包括的创建时间字段,并确定当前时间与上述终端关系表项的创建时间的差值是否大于预设阈值,如果大于,则将上述终端关系表项删除,并相应的更新上述终端关系表项有效数量;反之,则保留上述终端关系表项。
在实际应用中,在上述交换机中可以启动一个定时任务,周期性的扫描各终端关系表项中包括的创建时间字段;然后将当前时间与上述创建时间相减得到二者之间的差值;当得到上述二者之间的差值后,可以将上述差值与预设阈值比较,确定上述差值是否大于上述预设阈值;如果大于,则将上述终端关系表项删除,并相应的更新上述终端关系表项有效数量;反之,则保留上述终端关系表项。
通过上述方式,可以基于每一终端关系表项被创建的时间对上述终端关系表项有效数量进行老化,从而更精确的统计上述局域网包括的其它终端中,与终端进行过ARP交互的终端数量。
可选地,为了将当前老化周期内统计的异常终端关系数量保留至下一老化周期,在实际应用中,在对上述终端关系表项有效数量进行老化操作时,可以仅删除上述终端对应的各终端关系表项中,异常关系标识为非1的终端关系表项,并将被置为1的异常关系标识置为2。例如,在对上述终端关系表项有效数量进行老化操作时,可以先扫描上述终端对应的各终端关系表项中的异常关系标志位,如果上述异常关系标识为1,则既不删除上述终端关系表项,也不对上述终端关系表项有效数量进行更新,并将上述异常关系标识置为2;如果上述异常关系标识为非1,则删除上述终端关系表项,也更新上述终端关系表项有效数量。
通过上述方式,可以将当前老化周期内统计的异常终端关系数量保留至下一老化周期,从而避免了在执行确定上述局域网包括的其它终端中,与终端进行过ARP交互的终端数量是否大于上述第一预设阈值的步骤时,由于之前统计的上述交互终端数量被老化而影响对病毒传播行为的识别。
相应于上面的方法实施例,本申请还提供一种抑制病毒在局域网中传播的装置80,应用于转发设备。请参照图8,图8为本申请示出的一种抑制病毒在局域网中传播的装置的结构图,上述装置80包括:
交互终端数量确定模块810,在接收到ARP报文时,确定与发起上述ARP报文的目标终端对应的交互终端数量是否达到第一预设阈值;其中,上述交互终端数量包括,上述局域网包括的其它终端中,与上述目标终端进行过ARP交互的终端数量;
异常终端关系数量确定模块820,如果上述交互终端数量达到上述第一预设阈值,则进一步确定与上述目标终端对应的异常终端关系数量是否达到第二预设阈值;其中,上述异常终端关系数量包括,上述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量;上述业务首报文包括,局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后,向上述其他终端发送的首个业务类报文;
防护模块830,如果上述异常终端关系数量达到上述第二预设阈值,则对上述目标终端进行防护以抑制病毒在上述局域网中传播。
在示出的一实施例中,上述装置80还包括:
更新模块840,基于上述ARP报文更新上述交互终端数量。
在示出的一实施例中,上述ARP报文包括:
ARP请求报文和/或ARP应答报文。
在示出的一实施例中,上述装置80还包括:
在对上述目标终端进行防护之前,确定与上述目标终端进行过ARP交互的终端中,IP地址连续的终端数量是否达到第三预设阈值;
如果上述IP地址连续的终端数量达到上述第三预设阈值,则对上述目标终端进行防护。
在示出的一实施例中,上述装置80还包括:
在接收到业务首报文时,确定上述业务首报文携带的目的端口是否为预设的风险端口;
如果上述目的端口为上述预设的风险端口,则更新上述异常终端关系数量。
在示出的一实施例中,上述业务类报文包括:
TCP报文;UDP报文;其它业务类报文。
在示出的一实施例中,上述装置80还包括:
第一获取模块,接收上述目标终端发送的任意流量报文,并获取上述流量报文携带的源IP地址、源MAC地址信息;
第一创建终端表项模块,基于上述源IP地址以及上述源MAC地址创建与上述目标终端对应的终端表项;其中,上述终端表项至少包括,指示上述目标终端的源IP地址的IP地址字段、列表指针;上述列表指针指向为上述目标终端维护的列表;上述列表的列表项索引为IP地址的主机地址。
在示出的一实施例中,上述列表为位图;上述列表指针为位图指针;上述更新模块840还包括:
接收上述目标终端发送的任意报文,并确定上述报文的报文类型;
如果上述报文的报文类型为ARP报文,则获取上述ARP报文的源IP地址,并根据上述源IP地址查找对应的终端表项;
在查找到上述终端表项后,根据上述终端表项包括的位图指针确定对应的位图;
根据上述ARP报文携带的目的IP地址的主机地址在上述位图中确定对应的待置位位图标志位,并将上述待置位标志位置位。
在示出的一实施例中,上述更新模块840还包括:
确定上述目的IP地址的子网掩码,并基于上述子网掩码确定上述目的IP地址的主机地址;
根据上述主机地址在上述位图中查询对应的位图标志位,并将查询到的位图标志位确定为上述待置位位图标志位。
在示出的一实施例中,上述更新模块840还包括:
将第一子网掩码与上述ARP报文携带的源IP地址执行逻辑与运算得到第一计算结果;
将上述第一子网掩码与上述ARP报文携带的目的IP地址执行逻辑与运算得到第二计算结果;
确定上述第一计算结果与上述第二计算结果是否相同;
如果上述第一计算结果与上述第二计算结果相同,则确定上述目的IP地址的子网掩码为上述第一子网掩码;反之,将第二子网掩码与上述ARP报文携带的源IP地址执行逻辑与运算得到第三计算结果;
将上述第二子网掩码与上述ARP报文携带的目的IP地址执行逻辑与运算得到第四计算结果;
确定上述第三计算结果与上述第四计算结果是否相同;
如果上述第三计算结果与上述第四计算结果相同,则确定上述目的IP地址的子网掩码为上述第二子网掩码;反之,将第三子网掩码与上述ARP报文携带的源IP地址执行逻辑与运算得到第五计算结果;
将上述第三子网掩码与上述ARP报文携带的目的IP地址执行逻辑与运算得到第六计算结果;
确定上述第五计算结果与上述第六计算结果是否相同;
如果上述第五计算结果与上述第六计算结果相同,则确定上述目的IP地址的子网掩码为上述第三子网掩码。
在示出的一实施例中,上述更新模块840还包括:
上述第一IP地址子网掩码为24位子网掩码;上述第二IP地址子网掩码为16位子网掩码;上述第三IP地址子网掩码为8位子网掩码。
在示出的一实施例中,上述终端表项还包括终端关系表项指针;上述终端关系表项指针指向为上述目标终端维护的终端关系表;上述装置80还包括:
创建终端关系表项模块,根据上述终端表项包括的终端关系表项指针确定对应的终端关系表;
根据上述ARP报文携带的目的IP地址在上述终端关系表中,创建与上述目的IP地址对应的终端关系表项;其中,上述终端关系表项包括,目的IP地址字段、业务标识;上述目的IP地址字段指示上述目标终端发起的ARP报文携带的目的IP地址;上述业务标识指示上述目标终端在向该局域网中的其他终端发送过ARP报文后发送的业务报文是否为首个业务报文。
在示出的一实施例中,上述装置80还包括:
在接收到上述目标终端发送的业务报文后,根据上述目标终端对应的终端表项包括的终端关系表项指针确定对应的终端关系表;
根据上述业务报文携带的目的IP地址在上述终端关系表中查找与上述业务报文携带的目的IP地址对应的终端关系表项,并确定查找到的终端关系表包括的上述业务标识是否为第一预设标识;
如果是,则确定上述业务报文为业务首报文,并将上述业务标识更新为其他预设标识。
在示出的一实施例中,上述防护模块830还包括:
确定与上述目标终端对应的终端表项中维护的异常终端关系数量字段指示的数值是否大于第二预设阈值;
如果是,则确定上述异常终端关系数量达到上述第二预设阈值。
在示出的一实施例中,上述列表为数组;上述列表指针为数组指针;上述更新模块840还包括:
接收上述目标终端发送的任意报文,并确定上述报文的报文类型;
如果上述报文的报文类型为ARP报文,则获取上述ARP报文的源IP地址,并根据上述源IP地址查找对应的终端表项;
在查找到上述终端表项后,根据上述终端表项包括的数组指针确定对应的数组;
根据上述ARP报文携带的目的IP地址的主机地址在上述数组中确定对应的待更新元素,并将更新上述待更新元素。
在示出的一实施例中,上述更新模块840还包括:
确定上述目的IP地址的子网掩码,并基于上述子网掩码确定上述目的IP地址的主机地址;
根据上述主机地址在上述数组中查询对应的元素,并将查询到的元素确定为上述待更新元素。
在示出的一实施例中,上述更新模块840还包括:
将第一子网掩码与上述ARP报文携带的源IP地址执行逻辑与运算得到第一计算结果;
将上述第一子网掩码与上述ARP报文携带的目的IP地址执行逻辑与运算得到第二计算结果;
确定上述第一计算结果与上述第二计算结果是否相同;
如果上述第一计算结果与上述第二计算结果相同,则确定上述目的IP地址的子网掩码为上述第一子网掩码;反之,将第二子网掩码与上述ARP报文携带的源IP地址执行逻辑与运算得到第三计算结果;
将上述第二子网掩码与上述ARP报文携带的目的IP地址执行逻辑与运算得到第四计算结果;
确定上述第三计算结果与上述第四计算结果是否相同;
如果上述第三计算结果与上述第四计算结果相同,则确定上述目的IP地址的子网掩码为上述第二子网掩码;反之,将第三子网掩码与上述ARP报文携带的源IP地址执行逻辑与运算得到第五计算结果;
将上述第三子网掩码与上述ARP报文携带的目的IP地址执行逻辑与运算得到第六计算结果;
确定上述第五计算结果与上述第六计算结果是否相同;
如果上述第五计算结果与上述第六计算结果相同,则确定上述目的IP地址的子网掩码为上述第三子网掩码。
在示出的一实施例中,上述更新模块840还包括:
上述第一IP地址子网掩码为24位子网掩码;上述第二IP地址子网掩码为16位子网掩码;上述第三IP地址子网掩码为8位子网掩码。
在示出的一实施例中,上述装置80还包括:
在接收到上述目标终端发送的业务报文后,根据上述目标终端对应的终端表项包括的数组指针确定对应的数组;
根据上述业务报文携带的目的IP地址在上述数组中查找与上述业务报文携带的目的IP地址的主机地址对应的元素,并确定查找到的上述元素包括的业务标识是否为第一预设标识;
如果是,则确定上述业务报文为业务首报文,并将上述业务标识更新为其他预设标识。
在示出的一实施例中,上述防护模块830还包括:
确定与上述目标终端对应的终端表项中维护的异常终端关系数量字段指示的数值是否大于第二预设阈值;
如果是,确定上述异常终端关系数量达到上述第二预设阈值。
在示出的一实施例中,上述装置80还包括:
第二获取模块,接收上述目标终端发送的任意流量报文,并获取上述流量报文携带的源IP地址、源MAC地址信息;
第二创建终端表项模块,基于上述源IP地址以及上述源MAC地址创建与上述目标终端对应的终端表项;其中,上述终端表项至少包括,指示上述目标终端的源IP地址的IP地址字段、终端关系表指针、终端关系表项有效数量字段;上述终端关系表项指针指向为上述目标终端维护的终端关系表;上述终端关系表项有效数量字段指示上述局域网包括的其它终端中,与终端进行过ARP交互的终端数量。
在示出的一实施例中,上述更新模块840还包括:
接收上述目标终端发送的任意报文,并确定上述报文的报文类型;
如果上述报文的报文类型为ARP报文,则获取上述ARP报文的源IP地址,并根据上述源IP地址查找对应的终端表项;
在查找到上述终端表项后,确定上述ARP报文携带的目的IP地址与源IP地址是否处于同一网段;
如果是,根据上述终端表项包括的终端关系表指针确定对应的终端关系表,并根据上述目的IP地址确定上述终端表项中是否已经创建与上述目的IP地址对应的终端关系表项;
如果未创建,则创建上述目的IP地址对应的终端关系表项,并更新上述终端关系表项有效数量字段;其中,上述终端关系表项包括,目的IP地址字段、业务标识;上述目的IP地址字段指示上述目标终端发起的ARP报文携带的目的IP地址;上述业务标识指示上述目标终端在向该局域网中的其他终端发送过ARP报文后发送的业务报文是否为首个业务报文。
在示出的一实施例中,上述装置80还包括:
在接收到上述目标终端发送的业务报文后,根据上述目标终端对应的终端表项包括的终端关系表项指针确定对应的终端关系表;
根据上述业务报文携带的目的IP地址在上述终端关系表中查找与上述业务报文携带的目的IP地址对应的终端关系表项,并确定查找到的终端关系表包括的上述业务标识是否为第一预设标识;
如果是,则确定上述业务报文为业务首报文,并将上述业务标识更新为其他预设标识。
在示出的一实施例中,上述防护模块830还包括:
确定与上述目标终端对应的终端表项中维护的异常终端关系数量字段指示的数值是否大于第二预设阈值;
如果是,则确定上述异常终端关系数量达到上述第二预设阈值。
相应于上面的方法实施例,本申请还提供一种抑制病毒在局域网中传播的装置90,应用于转发设备。请参照图9,图9为本申请示出的一种抑制病毒在局域网中传播的装置的结构图,上述装置90包括:
异常终端关系数量确定模块910,在接收到业务首报文时,确定与发起上述业务首报文的目标终端对应的异常终端关系数量是否达到第一预设阈值;其中,上述业务首报文包括,局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后,向上述其他终端发送的首个业务类报文;上述异常终端关系数量包括,上述目标终端通过发送目的端口为上述预设的风险端口的业务首报文进行交互的终端关系数量;
交互终端数量确定模块920,如果上述异常终端关系数量达到上述第一预设阈值,再进一步确定与上述目标终端对应的交互终端数量是否达到第二预设阈值;其中,上述交互终端数量包括,上述局域网包括的其它终端中,与上述目标终端进行过ARP交互的终端数量;
防护模块930,如果上述交互终端数量达到上述第二预设阈值,则对上述目标终端进行防护以抑制病毒在上述局域网中传播。
相应于上面的方法实施例,本申请还提供一种抑制病毒在局域网中传播的装置100,应用于转发设备。请参照图10,图10为本申请示出的一种抑制病毒在局域网中传播的装置的结构图,上述装置100包括:
交互终端数量确定模块1010,在接收到ARP报文时,确定与发起上述ARP报文的第一目标终端对应的交互终端数量是否达到第一预设阈值;其中,上述交互终端数量包括,上述局域网包括的其它终端中,与上述第一目标终端进行过ARP交互的终端数量;
异常终端关系数量确定模块1020,如果上述交互终端数量达到上述第一预设阈值,则进一步确定上述转发设备维护的异常终端关系数量是否达到第二预设阈值;其中,上述异常终端关系数量包括,上述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量;上述业务首报文包括,局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后,向上述其他终端发送的首个业务类报文;
防护模块1030,如果上述异常终端关系数量达到上述第二预设阈值,则对上述第一目标终端进行防护以抑制病毒在上述局域网中传播;
异常终端关系数量确定模块1020,在接收到业务首报文时,确定与发起上述业务首报文的第二目标终端对应的异常终端关系数量是否达到第三预设阈值;
交互终端数量确定模块1010,如果上述异常终端关系数量达到上述第三预设阈值,再进一步确定与上述第二目标终端对应的交互终端数量是否达到第四预设阈值;
防护模块1030,如果上述交互终端数量达到上述第四预设阈值,则对上述第二目标终端进行防护以抑制病毒在上述局域网中传播。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本申请装置的实施例可以应用在转发设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在转发设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图11所示,为本申请装置所在转发设备的一种硬件结构图,除了图11所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的转发设备通常根据该转发设备的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图11所示的一种抑制病毒在局域网中传播的转发设备的硬件结构图,上述转发设备包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,上述处理器执行上述程序时实现如下方法:
在接收到业务首报文时,确定上述业务首报文携带的目的端口是否为预设的风险端口;其中,上述业务首报文包括,局域网中的终端与上述局域网中的其他终端进行ARP交互获取上述其他终端的MAC地址后,向上述其他终端发送的首个业务类报文;
如果上述目的端口为上述预设的风险端口,进一步确定与发起上述业务首报文的目标终端对应的交互终端数量是否达到第一预设阈值;其中,上述交互终端数量包括,上述局域网包括的其它终端中,与上述目标终端进行过ARP交互的终端数量;
如果上述交互终端数量达到上述第一预设阈值,则对上述目标终端进行防护以抑制病毒在上述局域网中传播。
在示出的一实施例中,上述处理器执行上述程序时还实现如下方法:
在接收到上述目标终端发起的ARP报文时,基于上述ARP报文更新上述交互终端数量。
本申请书中描述的主题及功能操作的实施例可以在以下中实现:数字电子电路、有形体现的计算机软件或固件、包括本申请书中公开的结构及其结构性等同物的计算机硬件、或者它们中的一个或多个的组合。本申请书中描述的主题的实施例可以实现为一个或多个计算机程序,即编码在有形非暂时性程序载体上以被数据处理装置执行或控制数据处理装置的操作的计算机程序指令中的一个或多个模块。可替代地或附加地,程序指令可以被编码在人工生成的传播信号上,例如机器生成的电、光或电磁信号,该信号被生成以将信息编码并传输到合适的接收机装置以由数据处理装置执行。计算机存储介质可以是机器可读存储设备、机器可读存储基板、随机或串行存取存储器设备、或它们中的一个或多个的组合。
本申请书中描述的处理及逻辑流程可以由执行一个或多个计算机程序的一个或多个可编程计算机执行,以通过根据输入数据进行操作并生成输出来执行相应的功能。上述处理及逻辑流程还可以由专用逻辑电路—例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)来执行,并且装置也可以实现为专用逻辑电路。
适合用于执行计算机程序的计算机包括,例如通用和/或专用微处理器,或任何其他类型的中央处理单元。通常,中央处理单元将从只读存储器和/或随机存取存储器接收指令和数据。计算机的基本组件包括用于实施或执行指令的中央处理单元以及用于存储指令和数据的一个或多个存储器设备。通常,计算机还将包括用于存储数据的一个或多个大容量存储设备,例如磁盘、磁光盘或光盘等,或者计算机将可操作地与此大容量存储设备耦接以从其接收数据或向其传送数据,抑或两种情况兼而有之。然而,计算机不是必须具有这样的设备。此外,计算机可以嵌入在另一设备中,例如移动电话、个人数字助理(PDA)、移动音频或视频播放器、游戏操纵台、全球定位系统(GPS)接收机、或例如通用串行总线(USB)闪存驱动器的便携式存储设备,仅举几例。
适合于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性存储器、媒介和存储器设备,例如包括半导体存储器设备(例如EPROM、EEPROM和闪存设备)、磁盘(例如内部硬盘或可移动盘)、磁光盘以及CD ROM和DVD-ROM盘。处理器和存储器可由专用逻辑电路补充或并入专用逻辑电路中。
虽然本申请书包含许多具体实施细节,但是这些不应被解释为限制任何发明的范围或所要求保护的范围,而是主要用于描述特定发明的具体实施例的特征。本申请书内在多个实施例中描述的某些特征也可以在单个实施例中被组合实施。另一方面,在单个实施例中描述的各种特征也可以在多个实施例中分开实施或以任何合适的子组合来实施。此外,虽然特征可以如上上述在某些组合中起作用并且甚至最初如此要求保护,但是来自所要求保护的组合中的一个或多个特征在一些情况下可以从该组合中去除,并且所要求保护的组合可以指向子组合或子组合的变型。
类似地,虽然在附图中以特定顺序描绘了操作,但是这不应被理解为要求这些操作以所示的特定顺序执行或顺次执行、或者要求所有例示的操作被执行,以实现期望的结果。在某些情况下,多任务和并行处理可能是有利的。此外,上述实施例中的各种系统模块和组件的分离不应被理解为在所有实施例中均需要这样的分离,并且应当理解,所描述的程序组件和系统通常可以一起集成在单个软件产品中,或者封装成多个软件产品。
由此,主题的特定实施例已被描述。其他实施例在所附权利要求书的范围以内。在某些情况下,权利要求书中记载的动作可以以不同的顺序执行并且仍实现期望的结果。此外,附图中描绘的处理并非必需所示的特定顺序或顺次顺序,以实现期望的结果。在某些实现中,多任务和并行处理可能是有利的。
以上上述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (16)

1.一种抑制病毒在局域网中传播的方法,应用于转发设备,所述方法包括:
在接收到ARP报文时,确定与发起所述ARP报文的目标终端对应的交互终端数量是否达到第一预设阈值;其中,所述交互终端数量包括,所述局域网包括的其它终端中,与所述目标终端进行过ARP交互的终端数量;
如果所述交互终端数量达到所述第一预设阈值,则进一步确定与所述目标终端对应的异常终端关系数量是否达到第二预设阈值;其中,所述异常终端关系数量包括,所述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量;所述业务首报文包括,局域网中的终端与所述局域网中的其他终端进行ARP交互获取所述其他终端的MAC地址后,向所述其他终端发送的首个业务类报文;
如果所述异常终端关系数量达到所述第二预设阈值,则对所述目标终端进行防护以抑制病毒在所述局域网中传播。
2.根据权利要求1所述的方法,还包括:
基于所述ARP报文更新所述交互终端数量。
3.根据权利要求1所述的方法,还包括:
在对所述目标终端进行防护之前,确定与所述目标终端进行过ARP交互的终端中,IP地址连续的终端数量是否达到第三预设阈值;
如果所述IP地址连续的终端数量达到所述第三预设阈值,则对所述目标终端进行防护。
4.根据权利要求1所述的方法,还包括:
在接收到业务首报文时,确定所述业务首报文携带的目的端口是否为预设的风险端口;
如果所述目的端口为所述预设的风险端口,则更新所述异常终端关系数量。
5.根据权利要求1或2所述的方法,所述ARP报文包括:
ARP请求报文和/或ARP应答报文。
6.根据权利要求1所述的方法,所述业务类报文包括:
TCP报文;UDP报文;其它业务类报文。
7.一种抑制病毒在局域网中传播的方法,应用于转发设备,所述方法包括:
在接收到业务首报文时,确定与发起所述业务首报文的目标终端对应的异常终端关系数量是否达到第一预设阈值;其中,所述业务首报文包括,局域网中的终端与所述局域网中的其他终端进行ARP交互获取所述其他终端的MAC地址后,向所述其他终端发送的首个业务类报文;所述异常终端关系数量包括,所述目标终端通过发送目的端口为所述预设的风险端口的业务首报文进行交互的终端关系数量;
如果所述异常终端关系数量达到所述第一预设阈值,再进一步确定与所述目标终端对应的交互终端数量是否达到第二预设阈值;其中,所述交互终端数量包括,所述局域网包括的其它终端中,与所述目标终端进行过ARP交互的终端数量;
如果所述交互终端数量达到所述第二预设阈值,则对所述目标终端进行防护以抑制病毒在所述局域网中传播。
8.一种抑制病毒在局域网中传播的方法,应用于转发设备,所述方法包括:
在接收到ARP报文时,确定与发起所述ARP报文的第一目标终端对应的交互终端数量是否达到第一预设阈值;其中,所述交互终端数量包括,所述局域网包括的其它终端中,与所述第一目标终端进行过ARP交互的终端数量;
如果所述交互终端数量达到所述第一预设阈值,则进一步确定所述转发设备维护的异常终端关系数量是否达到第二预设阈值;其中,所述异常终端关系数量包括,所述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量;所述业务首报文包括,局域网中的终端与所述局域网中的其他终端进行ARP交互获取所述其他终端的MAC地址后,向所述其他终端发送的首个业务类报文;
如果所述异常终端关系数量达到所述第二预设阈值,则对所述第一目标终端进行防护以抑制病毒在所述局域网中传播;
在接收到业务首报文时,确定与发起所述业务首报文的第二目标终端对应的异常终端关系数量是否达到第三预设阈值;
如果所述异常终端关系数量达到所述第三预设阈值,再进一步确定与所述第二目标终端对应的交互终端数量是否达到第四预设阈值;
如果所述交互终端数量达到所述第四预设阈值,则对所述第二目标终端进行防护以抑制病毒在所述局域网中传播。
9.一种抑制病毒在局域网中传播的装置,应用于转发设备,所述装置包括:
交互终端数量确定模块,在接收到ARP报文时,确定与发起所述ARP报文的目标终端对应的交互终端数量是否达到第一预设阈值;其中,所述交互终端数量包括,所述局域网包括的其它终端中,与所述目标终端进行过ARP交互的终端数量;
异常终端关系数量确定模块,如果所述交互终端数量达到所述第一预设阈值,则进一步确定与所述目标终端对应的异常终端关系数量是否达到第二预设阈值;其中,所述异常终端关系数量包括,所述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量;所述业务首报文包括,局域网中的终端与所述局域网中的其他终端进行ARP交互获取所述其他终端的MAC地址后,向所述其他终端发送的首个业务类报文;
防护模块,如果所述异常终端关系数量达到所述第二预设阈值,则对所述目标终端进行防护以抑制病毒在所述局域网中传播。
10.根据权利要求9所述的装置,还包括:
更新模块,基于所述ARP报文更新所述交互终端数量。
11.根据权利要求9所述的装置,还包括:
在对所述目标终端进行防护之前,确定与所述目标终端进行过ARP交互的终端中,IP地址连续的终端数量是否达到第三预设阈值;
如果所述IP地址连续的终端数量达到所述第三预设阈值,则对所述目标终端进行防护。
12.根据权利要求9所述的装置,还包括:
在接收到业务首报文时,确定所述业务首报文携带的目的端口是否为预设的风险端口;
如果所述目的端口为所述预设的风险端口,则更新所述异常终端关系数量。
13.根据权利要求9或10所述的装置,所述ARP报文包括:
ARP请求报文和/或ARP应答报文。
14.根据权利要求9所述的装置,所述业务类报文包括:
TCP报文;UDP报文;其它业务类报文。
15.一种抑制病毒在局域网中传播的装置,应用于转发设备,所述装置包括:
异常终端关系数量确定模块,在接收到业务首报文时,确定与发起所述业务首报文的目标终端对应的异常终端关系数量是否达到第一预设阈值;其中,所述业务首报文包括,局域网中的终端与所述局域网中的其他终端进行ARP交互获取所述其他终端的MAC地址后,向所述其他终端发送的首个业务类报文;所述异常终端关系数量包括,所述目标终端通过发送目的端口为所述预设的风险端口的业务首报文进行交互的终端关系数量;
交互终端数量确定模块,如果所述异常终端关系数量达到所述第一预设阈值,再进一步确定与所述目标终端对应的交互终端数量是否达到第二预设阈值;其中,所述交互终端数量包括,所述局域网包括的其它终端中,与所述目标终端进行过ARP交互的终端数量;
防护模块,如果所述交互终端数量达到所述第二预设阈值,则对所述目标终端进行防护以抑制病毒在所述局域网中传播。
16.一种抑制病毒在局域网中传播的装置,应用于转发设备,所述装置包括:
交互终端数量确定模块,在接收到ARP报文时,确定与发起所述ARP报文的第一目标终端对应的交互终端数量是否达到第一预设阈值;其中,所述交互终端数量包括,所述局域网包括的其它终端中,与所述第一目标终端进行过ARP交互的终端数量;
异常终端关系数量确定模块,如果所述交互终端数量达到所述第一预设阈值,则进一步确定所述转发设备维护的异常终端关系数量是否达到第二预设阈值;其中,所述异常终端关系数量包括,所述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量;所述业务首报文包括,局域网中的终端与所述局域网中的其他终端进行ARP交互获取所述其他终端的MAC地址后,向所述其他终端发送的首个业务类报文;
防护模块,如果所述异常终端关系数量达到所述第二预设阈值,则对所述第一目标终端进行防护以抑制病毒在所述局域网中传播;
异常终端关系数量确定模块,在接收到业务首报文时,确定与发起所述业务首报文的第二目标终端对应的异常终端关系数量是否达到第三预设阈值;
交互终端数量确定模块,如果所述异常终端关系数量达到所述第三预设阈值,再进一步确定与所述第二目标终端对应的交互终端数量是否达到第四预设阈值;
防护模块,如果所述交互终端数量达到所述第四预设阈值,则对所述第二目标终端进行防护以抑制病毒在所述局域网中传播。
CN202010053815.1A 2020-01-17 2020-01-17 一种抑制病毒在局域网中传播的方法及装置 Active CN111224997B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN202010053815.1A CN111224997B (zh) 2020-01-17 2020-01-17 一种抑制病毒在局域网中传播的方法及装置
US17/151,032 US11736514B2 (en) 2020-01-17 2021-01-15 Suppressing virus propagation in a local area network
US18/325,957 US20230328100A1 (en) 2020-01-17 2023-05-30 Suppressing virus propagation in a local area network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010053815.1A CN111224997B (zh) 2020-01-17 2020-01-17 一种抑制病毒在局域网中传播的方法及装置

Publications (2)

Publication Number Publication Date
CN111224997A CN111224997A (zh) 2020-06-02
CN111224997B true CN111224997B (zh) 2022-11-01

Family

ID=70829649

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010053815.1A Active CN111224997B (zh) 2020-01-17 2020-01-17 一种抑制病毒在局域网中传播的方法及装置

Country Status (2)

Country Link
US (2) US11736514B2 (zh)
CN (1) CN111224997B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11979431B1 (en) * 2023-07-24 2024-05-07 Airgap Networks Inc. System and method for prevention of lateral propagation of ransomware using ARP control on network switches to create point-to-point links between endpoints

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3534305B2 (ja) * 2000-02-29 2004-06-07 日本電気株式会社 アドレス解決プロトコルを用いたipアドレス重複検出方法
JP2006013737A (ja) * 2004-06-24 2006-01-12 Fujitsu Ltd 異常トラヒック除去装置
CN1848745A (zh) * 2005-04-13 2006-10-18 安氏互联网安全系统(中国)有限公司 基于网络流量特征的蠕虫病毒检测方法
CN100531219C (zh) * 2006-12-20 2009-08-19 浙江大学 一种网络蠕虫检测方法及其系统
US8112801B2 (en) * 2007-01-23 2012-02-07 Alcatel Lucent Method and apparatus for detecting malware
CN102045366A (zh) * 2011-01-05 2011-05-04 上海北塔软件股份有限公司 主动发现网络遭受病毒攻击的方法
US9565074B2 (en) * 2011-04-26 2017-02-07 Openet Telecom Ltd. Systems, devices, and methods of orchestrating resources and services across multiple heterogeneous domains
US9485276B2 (en) * 2012-09-28 2016-11-01 Juniper Networks, Inc. Dynamic service handling using a honeypot
US9548965B2 (en) * 2013-08-26 2017-01-17 Nicira, Inc. Proxy methods for suppressing broadcast traffic in a network
CN106790193B (zh) * 2016-12-30 2019-11-08 山石网科通信技术股份有限公司 基于主机网络行为的异常检测方法和装置
US10938819B2 (en) * 2017-09-29 2021-03-02 Fisher-Rosemount Systems, Inc. Poisoning protection for process control switches
CN109831462B (zh) * 2019-03-29 2021-12-24 新华三信息安全技术有限公司 一种病毒检测方法及装置
CN110266668B (zh) * 2019-06-06 2021-09-17 新华三信息安全技术有限公司 一种端口扫描行为的检测方法及装置

Also Published As

Publication number Publication date
US11736514B2 (en) 2023-08-22
CN111224997A (zh) 2020-06-02
US20230328100A1 (en) 2023-10-12
US20210226964A1 (en) 2021-07-22

Similar Documents

Publication Publication Date Title
US10075338B2 (en) Relay control unit, relay control system, relay control method, and relay control program
US6654701B2 (en) Method and apparatus for measuring protocol performance in a data communication network
US7650429B2 (en) Preventing aliasing of compressed keys across multiple hash tables
US10193890B2 (en) Communication apparatus to manage whitelist information
CN105991655B (zh) 用于缓解基于邻居发现的拒绝服务攻击的方法和装置
US20210328860A1 (en) Operation, Administration, and Maintenance IOAM Packet Transmission Method and Related Apparatus
KR101086397B1 (ko) Ip 패킷의 에러 처리 장치 및 방법, 그리고 상기 방법을실행하는 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체
US10447715B2 (en) Apparatus and method of detecting distributed reflection denial of service attack based on flow information
CN110430135B (zh) 一种报文处理方法和装置
CN109067585B (zh) 一种查询acl表项下发方法及装置
US20060250954A1 (en) Method and apparatus for controlling connection rate of network hosts
CN112311674B (zh) 报文发送方法、装置及存储介质
CN111224997B (zh) 一种抑制病毒在局域网中传播的方法及装置
CN111614580A (zh) 一种数据转发方法、装置及设备
CN107147581B (zh) 路由表项的维护方法和装置
CN111245855B (zh) 一种抑制病毒在局域网中传播的方法及装置
US20180270197A1 (en) Intrusion prevention
CN113595957B (zh) 一种网络防御方法及安全检测设备
CN113114584B (zh) 一种网络设备的保护方法及装置
US9356864B2 (en) Packet transfer apparatus and packet relay method
KR102046612B1 (ko) Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법
CN114157602B (zh) 一种处理报文的方法和装置
JP7246586B2 (ja) 侵入検知装置、侵入検知方法、及び、侵入検知プログラム
EP4024789A1 (en) Method of detecting out-of-order message flow, message processing method, and device
WO2024099078A1 (zh) 检测攻击流量的方法及相关设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant