WO2016101870A1 - 网络攻击分析方法和装置 - Google Patents

Abstract

一种网络攻击分析方法和装置，所述网络攻击分析方法包括：在数据转发平面统计网络设备当前接收到的网络攻击协议报文的数量；根据所述当前接收到的网络攻击协议报文的数量判断所述网络设备是否遇到网络攻击。

Description

网络攻击分析方法和装置 技术领域

本申请涉及但不限于数据通信技术领域。

背景技术

随着网络技术的发展，网络环境越来越复杂，网络中的流量和报文类型越来越多，大流量协议报文和各种网络攻击对网络的性能会造成巨大影响。因此，对网络攻击和异常的快速定位分析变得十分困难。

网络设备大都分为转发平面和控制平面。转发平面负责数据流量的转发，主要基于硬件转发。控制平面负责各种协议报文的处理和业务交互，主要基于软件平台。已有对网络设备的攻击手段主要是拒绝服务型攻击，即DoS(Deny of Service)攻击。拒绝服务型攻击的原理是通过向设备发送大数据流量的报文攻击，使得设备的控制平面处理业务的CPU负载增高，从而使网络设备不能对正常服务请求进行相应，甚至会导致设备挂起，严重影响网络的正常运行。

发明内容

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

相关技术的网络设备对于攻击行为的分析和攻击源的定位多是通过控制平面或软件来完成的。控制平面通过CPU的负载或控制平面的业务模块处理是否异常来判断设备是否遇到攻击并进行监控分析。缺点在于当网络攻击导致控制平面的业务模块瘫痪时，无法再利用控制平面的业务信息对攻击行为进行分析定位，同时监控行为也会增加控制平面CPU的负载。

本文提供一种网络攻击分析方法和装置，能够解决相关网络攻击分析技术在网络攻击导致控制平面瘫痪时无法再利用控制平面对网络攻击分析的技 术问题。

一种网络攻击分析方法，包括：

在数据转发平面统计网络设备当前接收到的网络攻击协议报文的数量；

根据所述当前接收到的网络攻击协议报文的数量判断所述网络设备是否遇到网络攻击。

可选地，所述在数据转发平面统计网络设备当前接收到的网络攻击协议报文的数量的步骤包括：

当所述网络设备当前接收到的协议报文为网络攻击协议报文时，在所述数据转发平面统计网络设备当前接收到的与所述协议报文的MAC地址对应的网络攻击协议报文的数量；

所述根据所述当前接收到的网络攻击协议报文的数量判断所述网络设备是否遇到网络攻击的步骤包括:

根据所述当前接收到的与所述协议报文MAC地址对应的网络攻击协议报文的数量判断所述网络设备是否遇到网络攻击。

可选地，统计网络设备当前接收到的网络攻击协议报文的数量之前，所述方法还包括：

在所述网络设备接收到协议报文之后，在所述数据转发平面判断是否需要学习所述协议报文的MAC地址，若是，则学习所述协议报文的MAC地址，若否，则更新MAC地址表中对应表项的老化时间。

可选地，在所述数据转发平面统计网络设备当前接收到的与所述协议报文MAC地址对应的网络攻击协议报文的数量的步骤包括：

在所述数据转发平面更新与所述MAC地址对应的网络攻击协议报文的计数；

所述根据所述当前接收到的与所述协议报文MAC地址对应的网络攻击协议报文的数量判断所述网络设备是否遇到网络攻击的步骤包括：

根据所述计数判断所述网络设备是否遇到网络攻击。

可选地，在所述数据转发平面判断是否需要学习所述协议报文的MAC 地址的步骤包括：

当在所述数据转发平面根据协议报文的MAC地址、VLAN ID和端口号在MAC地址中查找到匹配的表项时，判定不需要学习所述协议报文的MAC地址；

当所述数据转发平面根据协议报文的MAC地址、VLAN ID和端口号在MAC地址表中查找不到匹配的表项时，判定需要学习所述协议报文的MAC地址；

所述MAC地址表中的表项包括：MAC地址、VLAN ID、端口号、和与MAC地址对应的网络攻击协议报文计数；

所述学习所述协议报文的MAC地址的步骤包括：在所述MAC地址表中创建一个表项；

在所述数据转发平面更新与所述MAC地址对应的网络攻击协议报文计数的步骤包括：

在所述数据转发平面更新所述MAC地址表中与所述MAC地址对应的表项中网络攻击协议报文计数；

根据与所述MAC地址对应的网络攻击协议报文计数判断所述网络设备是否遇到网络攻击的步骤包括：

判断在MAC地址表中与所述MAC地址对应表项的网络攻击协议报文计数是否大于第一预设阈值，若是，则判定所述网络设备遇到网络攻击。

可选地，当判断在MAC地址表中与所述MAC地址对应的网络攻击协议报文计数是不大于第一预设阈值时，所述方法还包括：

判断在MAC地址表中是否有端口号对应的网络攻击协议报文计数之和大于第二预设阈值，若是，判定所述网络设备遇到网络攻击。

可选地，所述网络攻击协议报文包括：ARP报文、DHCP报文、IGMP报文和自定义的协议报文中的至少一种。

一种网络攻击分析装置，包括：统计模块和判断模块；

所述统计模块设置为：在数据转发平面统计网络设备当前接收到的网络 攻击协议报文的数量；

所述判断模块设置为：根据所述当前接收到的网络攻击协议报文的数量判断所述网络设备是否遇到网络攻击。

可选地，所述统计模块是设置为：当所述网络设备当前接收到的协议报文为网络攻击协议报文时，在所述数据转发平面统计网络设备当前接收到的与所述协议报文MAC地址对应的网络攻击协议报文的数量；

所述判断模块是设置为：根据所述当前接收到的与所述协议报文MAC地址对应的网络攻击协议报文的数量判断所述网络设备是否遇到网络攻击。

可选地，所述装置，还包括：学习模块；

所述学习模块设置为：在统计模块统计网络设备当前接收到的网络攻击协议报文的数量之前，在所述网络设备接收到协议报文之后，在所述数据转发平面判断是否需要学习所述协议报文的MAC地址，若是，则学习所述协议报文的MAC地址，若否，则更新MAC地址表中对应表项的老化时间。

可选地，所述学习模块是设置为：

当在所述数据转发平面根据协议报文的MAC地址、VLAN ID和端口号在MAC地址中查找到匹配的表项时，判定不需要学习所述协议报文的MAC地址，更新MAC地址表中对应表项的老化时间；

当所述数据转发平面根据协议报文的MAC地址、VLAN ID和端口号在MAC地址表中查找不到匹配的表项时，判定需要学习所述协议报文的MAC地址，在所述MAC地址表中创建一个表项；

所述MAC地址表中的表项包括：MAC地址、VLAN ID、端口号、和与MAC地址对应的网络攻击协议报文计数；

所述统计模块是设置为：在所述数据转发平面更新所述MAC地址表中与所述MAC地址对应的表项中网络攻击协议报文计数；

所述判断模块是设置为：判断在MAC地址表中与所述MAC地址对应表项的网络攻击协议报文计数是否大于第一预设阈值，若是，则判定所述网络设备遇到网络攻击。

可选地，所述判断模块还设置为：

当判断在MAC地址表中与所述MAC地址对应的网络攻击协议报文计数是不大于第一预设阈值时，判断在MAC地址表中是否有端口号对应的网络攻击协议报文计数之和大于第二预设阈值，若是，判定所述网络设备遇到网络攻击。

一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行上述任一项的方法。

本发明实施例提供了一种网络攻击分析方法和装置，本发明实施例的网络攻击分析方法包括：在数据转发平面统计网络设备当前接收到的网络攻击协议报文的数量；根据所述当前接收到的网络攻击协议报文的数量判断所述网络设备是否遇到网络攻击；本发明实施例的网络攻击分析方法可以在数据转发平面对网络攻击进行分析，判断网络设备是否遇到网络攻击，由于数据转发平面是基于网络设备的硬件的，数据转发平面在网络攻击时不会瘫痪，可以一直监控网络攻击，避免了相关技术在控制平面瘫痪时无法对网络攻击分析；应用本发明实施例的方法可以分析出潜在的网络攻击，这样网络设备就可以进行相应的网络攻击处理，例如发出告警通知控制平面进行网络攻击处理，有效的降低了控制平面的负载和遭受攻击的风险。

在阅读并理解了附图和详细描述后，可以明白其他方面。

附图概述

图1为本发明实施例一提供的第一种网络攻击分析方法的流程示意图；

图2为本发明实施例一提供的第二种网络攻击分析方法的流程示意图；

图3为本发明实施例一提供的第一种MAC(媒介访问控制，Media Access Control)地址表项的示意图；

图4为本发明实施例一提供的第三种网络攻击分析方法的流程示意图；

图5为本发明实施例一提供的第二种MAC地址表项的示意图；

图6为本发明实施例一提供的第三种MAC地址表项的示意图；

图7为本发明实施例二提供的一种网络攻击分析装置的结构示意图；

图8为本发明实施例二提供的另一种网络攻击分析装置的结构示意图。

本发明的实施方式

下面结合附图对本发明的实施方式进行说明。

实施例一：

考虑到相关技术网络攻击分析技术在网络攻击导致控制平面瘫痪时无法再利用控制平面对网络攻击分析，本实施例提供了一种网络攻击分析方法，如图1所示，包括如下步骤：

步骤101：在数据转发平面统计网络设备当前接收到的网络攻击协议报文的数量。

本步骤中网络攻击协议报文指的是：用于网络攻击的协议报文，例如可以包括：ARP(Address Resolution Protocol，地址解析协议)报文、DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)报文、IGMP(Internet Group Management Protocol，网际组管理协议)报文和自定义的协议报文中的至少一种。其中自定义协议报文可以根据网络环境和用户的需要自定义需要统计的协议报文的数量，如ICMP(Internet Control Message Protocol，网际控制报文协议)报文,路由协议报文等。

本步骤是一个统计过程，其可以统计当前网络设备接收到的网络攻击协议报文的数量，例如统计当前网络设备接收到ARP报文、DHCP报文的数量。

步骤102：根据所述当前接收到的网络攻击协议报文的数量判断所述网络设备是否遇到网络攻击。

例如可以根据网络设备接收到ARP报文、DHCP报文的数量判断所述网络设备是否遇到网络攻击，此时若ARP报文或者DHCP报文的数量大于预设阈值时，即可判定网络设备遇到网络攻击。

本实施例的网络攻击分析方法可以在数据转发平面对网络攻击进行分析，判断网络设备是否遇到网络攻击，由于数据转发平面是基于网络设备的硬件的，数据转发平面在网络攻击时不会瘫痪，可以一直监控网络攻击，避 免了相关技术在控制平面瘫痪时无法对网络攻击分析；应用本实施例的方法可以分析出潜在的网络攻击，这样网络设备就可以进行相应的网络攻击处理，例如发出告警通知控制平面进行网络攻击处理，有效的降低了控制平面的负载和遭受攻击的风险。

如图2所示，本实施例的网络攻击分析方法，可以包括如下步骤：

步骤201：当所述网络设备当前接收到的协议报文为网络攻击协议报文时，在所述数据转发平面统计网络设备当前接收到的与所述协议报文MAC地址对应的网络攻击协议报文的数量。

本步骤中协议报文为网络攻击协议报文指的是：协议报文的协议类型与网络攻击协议报文的协议类型相同。

步骤202：根据所述当前接收到的与所述协议报文MAC地址对应的网络攻击协议报文的数量判断所述网络设备是否遇到网络攻击。

例如，网络设备接收到一个源MAC地址为a的协议报文后，判断该协议报文是否为网络攻击协议报文，若是，则在数据转发平面统计当前网络设备接收到源MAC地址为a的网络攻击协议报文的数量(该数量包括：网络设备之前接收到源MAC地址为a的网络攻击协议报文数量与当前源MAC地址为a的网络攻击协议报文数量之和)；此时，若数量大于预设阈值时，则可以判定所述网络设备遇到网络攻击，若数量小于等于预设阈值时，则可以判断网络设备遇到网络攻击。

本实施例方法在步骤201之前还可以包括一个MAC地址学习的过程，包括：

在所述网络设备接收到协议报文之后，在所述数据转发平面判断是否需要学习所述协议报文的MAC地址，若是，则学习所述协议报文的MAC地址，若否，则更新MAC地址表中对应表项的老化时间。

对于接入交换机等网络设备，设备收到网络报文均会先进行MAC地址学习过程，学习报文的源MAC地址使得报文可以正常转发。学习过程中，先根据报文的源MAC地址，VLAN ID(Virtual Local Area Network Identification，虚拟局域网标识)和端口号为索引进行查找，如果查找到，则 更新MAC地址的老化时间；如果没有查找到，则添加新的表项。MAC地址表项在老化时间减少到0时，则自动删除此表项。如图3所示为一般交换机的MAC地址表项，MAC地址用于交换机进行数据报文的转发，主要条目包括：MAC地址、VLAN ID、端口号和老化时间。VLAN ID为IEEE802.1Q用来区分以太网广播域的标签。

可选地，本实施例方法可以通过计数的方式来统计数量，上述步骤201可以包括：在所述数据转发平面更新与所述MAC地址对应的网络攻击协议报文的计数；此时步骤202可以包括：根据所述计数判断所述网络设备是否遇到网络攻击。

例如当前接收到的ARP报文时，若之前对该协议报文的计数为0时，则此时计数加1。

本实施例方法可以每次在接收到网络攻击协议报文时更新对该网络攻击协议报文的计数，这样当前计数值即为当前网络设备接收到网络攻击协议报文的总数量。本实施例方法可以统计是不同MAC地址的网络攻击协议报文的数量，例如MAC地址为1的ARP协议报文的总数量，MAC地址为2的ARP协议报文的总数量。

如图4所述，本实施例的网络攻击方法包括，如下步骤：

步骤401：在网络设备接收协议报文之后，获取所述协议报文的MAC地址、VLAN ID和端口号。

步骤402：根据协议报文的MAC地址、VLAN ID和端口号在MAC地址中查找匹配的表项。

本步骤中的MAC地址表中的表项包括：MAC地址、VLAN ID、端口号、和与MAC地址对应的网络攻击协议报文计数。即对已有的MAC地址表添加字段，添加字段用于存放对网络攻击协议报文的计数。如图5所示，对图3所示的MAC地址表项修改后的表项，在图3表项中扩展添加了ARP报文计数、DHCP报文计数、IGMP报文计数和自定义的协议报文计数。

步骤403：判断是否查找到匹配的表项，若否，则执行步骤404；若是，则执行步骤405。

步骤404：在所述MAC地址表中创建一个表项，转步骤406。

步骤405：更新MAC地址表中与协议报文MAC对应的表项的老化时间，转步骤406。

步骤406：判断所述协议报文是否为网络协议报文，若是，则执行步骤407，若否，则执行步骤410。

步骤407：在所述数据转发平面更新所述MAC地址表中与所述MAC地址对应的表项中网络攻击协议报文计数。

步骤408：判断在MAC地址表中与所述MAC地址对应表项的网络攻击协议报文计数是否大于第一预设阈值，若是，则执行步骤409，若否，则执行步骤410。

步骤409：判定所述网络设备遇到网络攻击，结束。

步骤410：进行正常业务处理流程，接收下一个协议报文，返回步骤401。

考虑到对于特定攻击源伪装多个MAC地址进行DoS攻击的应用场景，本实施例在步骤408判定为否的情况下，还进一步地还包括：判断在MAC地址表中是否有端口号对应的网络攻击协议报文计数之和大于第二预设阈值，若是，判定所述网络设备遇到网络攻击。即当一个端口下的网络攻击协议报文超过一定阈值时，就可以判定网络设备遇到网络攻击。

在本实施例判定网络设备遇到网络攻击之后，还可以进行网络设备异常处理，例如产生告警信号通知控制平面进行相应的处理。

在本实施例中还可以设置开关功能单元用于在开启时，执行本实施例的网络攻击分析方法，在关闭时，执行正常的业务流程。

下面以交互机为例来说明本实施例的网络攻击分析方法：

自定义的协议报文类型设置为ICMP报文类型，统计20s内ARP、DHCP、IGMP报文和设置的ICMP报文计数，告警门限值设置为10000。

设备第一次从端口10收到MAC地址为0000.1234.1234，vlan id为100，报文类型为ARP请求报文，会在MAC地址表里添加相应的表项，如图6所示，MAC地址为0000.1234.1234，vlan id为100，端口号为10，老化时间为 系统设定(例如300s)，并更新协议报文计数，在ARP报文计数里加1。

当接入交换机后续再次收到同样的报文时，查找MAC地址表，由于已经存在相应的MAC地址表项，因此更新MAC地址表里的老化时间，并且增加ARP报文的计数。

假设此MAC地址的ARP请求报文以每秒1000个的速度攻击设备，当APR报文计数超过10000个时，查看MAC地址表项如图6所示，向设备控制平面发送告警信息等进行进一步处理。

此外，对于特定攻击源伪装多个MAC地址进行DoS攻击的应用场景，该方案同样可以适用。例如攻击源伪装1000个MAC地址发送ARP攻击报文，设备从端口10收到，通过对MAC地址表进行监控，当发现MAC地址表中一端口下(端口10)存在大量的MAC地址的ARP报文计数，且计数明显高于正常业务量时，同样可以视为网络异常，在设备上产生告警等通知控制平面进行处理。

本实施例方法在数据转发平面通过硬件对网络行为进行分析定位和监控，对网络异常和疑似攻击行为进行上报告警等处理，有效的降低了控制平面的负载和遭受攻击的风险。

实施例二：

如图7所示，本实施例提供了一种网络攻击分析装置，包括：统计模块71和判断模块72；

所述统计模块71设置为：在数据转发平面统计网络设备当前接收到的网络攻击协议报文的数量；

所述判断模块72设置为：根据所述当前接收到的网络攻击协议报文的数量判断所述网络设备是否遇到网络攻击。

可选地，所述统计模块71是设置为：当所述网络设备当前接收到的协议报文为网络攻击协议报文时，在所述数据转发平面统计网络设备当前接收到的与所述协议报文MAC地址对应的网络攻击协议报文的数量；

所述判断模块72是设置为：根据所述当前接收到的与所述协议报文 MAC地址对应的网络攻击协议报文的数量判断所述网络设备是否遇到网络攻击。

在上述装置的基础上，如图8所示，还可以包括学习模块73；

所述学习模块73设置为：在统计模块71统计网络设备当前接收到的网络攻击协议报文的数量之前，在所述网络设备接收到协议报文之后，在所述数据转发平面判断是否需要学习所述协议报文的MAC地址，若是，则学习所述协议报文的MAC地址，若否，则更新MAC地址表中对应表项的老化时间。

可选地，所述学习模块73是设置为：

当在所述数据转发平面根据协议报文的MAC地址、VLAN ID和端口号在MAC地址中查找到匹配的表项时，判定不需要学习所述协议报文的MAC地址，更新MAC地址表中对应表项的老化时间；

当所述数据转发平面根据协议报文的MAC地址、VLAN ID和端口号在MAC地址表中查找不到匹配的表项时，判定需要学习所述协议报文的MAC地址，在所述MAC地址表中创建一个表项；

所述MAC地址表中的表项包括：MAC地址、VLAN ID、端口号、和与MAC地址对应的网络攻击协议报文计数；

所述统计模块71是设置为：在所述数据转发平面更新所述MAC地址表中与所述MAC地址对应的表项中网络攻击协议报文计数；

所述判断模块72是设置为：判断在MAC地址表中与所述MAC地址对应表项的网络攻击协议报文计数是否大于第一预设阈值，若是，则判定所述网络设备遇到网络攻击。

可选地，所述判断模块72还设置为：

当判断在MAC地址表中与所述MAC地址对应的网络攻击协议报文计数是不大于第一预设阈值时，判断在MAC地址表中是否有端口号对应的网络攻击协议报文计数之和大于第二预设阈值，若是，判定所述网络设备遇到网络攻击。

本实施例的网络攻击分析装置可以在数据转发平面对网络攻击进行分 析，判断网络设备是否遇到网络攻击，由于数据转发平面是基于网络设备的硬件的，数据转发平面在网络攻击时不会瘫痪，可以一直监控网络攻击，避免了相关技术在控制平面瘫痪时无法对网络攻击分析；应用本实施例的装置可以分析出潜在的网络攻击，这样网络设备就可以进行相应的网络攻击处理，例如发出告警通知控制平面进行网络攻击处理，有效的降低了控制平面的负载和遭受攻击的风险。

本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现，所述计算机程序可以存储于一计算机可读存储介质中，所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行，在执行时，包括方法实施例的步骤之一或其组合。

可选地，上述实施例的全部或部分步骤也可以使用集成电路来实现，这些步骤可以被分别制作成一个个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。

上述实施例中的装置/功能模块/功能单元可以采用通用的计算装置来实现，它们可以集中在单个的计算装置上，也可以分布在多个计算装置所组成的网络上。

上述实施例中的装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器，磁盘或光盘等。

工业实用性

通过本发明实施例，可以在数据转发平面对网络攻击进行分析，判断网络设备是否遇到网络攻击，由于数据转发平面是基于网络设备的硬件的，数据转发平面在网络攻击时不会瘫痪，可以一直监控网络攻击，避免了相关技术在控制平面瘫痪时无法对网络攻击分析；应用本发明实施例可以分析出潜在的网络攻击，这样网络设备就可以进行相应的网络攻击处理，例如发出告警通知控制平面进行网络攻击处理，有效的降低了控制平面的负载和遭受攻击的风险。

Claims (13)

1. 一种网络攻击分析方法，包括：

   在数据转发平面统计网络设备当前接收到的网络攻击协议报文的数量；

   根据所述当前接收到的网络攻击协议报文的数量判断所述网络设备是否遇到网络攻击。
2. 如权利要求1所述的方法，其中，所述在数据转发平面统计网络设备当前接收到的网络攻击协议报文的数量的步骤包括：

   当所述网络设备当前接收到的协议报文为网络攻击协议报文时，在所述数据转发平面统计网络设备当前接收到的与所述协议报文的媒介访问控制MAC地址对应的网络攻击协议报文的数量；

   所述根据所述当前接收到的网络攻击协议报文的数量判断所述网络设备是否遇到网络攻击的步骤包括:

   根据所述当前接收到的与所述协议报文MAC地址对应的网络攻击协议报文的数量判断所述网络设备是否遇到网络攻击。
3. 如权利要求2所述的方法，其中，在统计网络设备当前接收到的网络攻击协议报文的数量之前，还包括：

   在所述网络设备接收到协议报文之后，在所述数据转发平面判断是否需要学习所述协议报文的MAC地址，若是，则学习所述协议报文的MAC地址，若否，则更新MAC地址表中对应表项的老化时间。
4. 如权利要求3所述的方法，其中，在所述数据转发平面统计网络设备当前接收到的与所述协议报文MAC地址对应的网络攻击协议报文的数量的步骤包括：

   在所述数据转发平面更新与所述MAC地址对应的网络攻击协议报文的计数；

   所述根据所述当前接收到的与所述协议报文MAC地址对应的网络攻击协议报文的数量判断所述网络设备是否遇到网络攻击的步骤包括：

   根据所述计数判断所述网络设备是否遇到网络攻击。
5. 如权利要求4所述的方法，其中，

   在所述数据转发平面判断是否需要学习所述协议报文的MAC地址的步骤包括：

   当在所述数据转发平面根据协议报文的MAC地址、虚拟局域网标识VLAN ID和端口号在MAC地址中查找到匹配的表项时，判定不需要学习所述协议报文的MAC地址；

   当所述数据转发平面根据协议报文的MAC地址、VLAN ID和端口号在MAC地址表中查找不到匹配的表项时，判定需要学习所述协议报文的MAC地址；

   所述MAC地址表中的表项包括：MAC地址、VLAN ID、端口号、和与MAC地址对应的网络攻击协议报文计数；

   所述学习所述协议报文的MAC地址的步骤包括：在所述MAC地址表中创建一个表项；

   在所述数据转发平面更新与所述MAC地址对应的网络攻击协议报文计数的步骤包括：

   在所述数据转发平面更新所述MAC地址表中与所述MAC地址对应的表项中网络攻击协议报文计数；

   根据与所述MAC地址对应的网络攻击协议报文计数判断所述网络设备是否遇到网络攻击的步骤包括：

   判断在MAC地址表中与所述MAC地址对应表项的网络攻击协议报文计数是否大于第一预设阈值，若是，则判定所述网络设备遇到网络攻击。
6. 如权利要求5所述的方法，其中，当判断在MAC地址表中与所述MAC地址对应的网络攻击协议报文计数是不大于第一预设阈值时，还包括：

   判断在MAC地址表中是否有端口号对应的网络攻击协议报文计数之和大于第二预设阈值，若是，判定所述网络设备遇到网络攻击。
7. 如权利要求1-6任一项所述的方法，其中，所述网络攻击协议报文包括：地址解析协议ARP报文、动态主机配置协议DHCP报文、网际组管理协 议IGMP报文和自定义的协议报文中的至少一种。
8. 一种网络攻击分析装置，包括：统计模块和判断模块；

   所述统计模块设置为：在数据转发平面统计网络设备当前接收到的网络攻击协议报文的数量；

   所述判断模块设置为：根据所述当前接收到的网络攻击协议报文的数量判断所述网络设备是否遇到网络攻击。
9. 如权利要求8所述的装置，其中，所述统计模块是设置为：当所述网络设备当前接收到的协议报文为网络攻击协议报文时，在所述数据转发平面统计网络设备当前接收到的与所述协议报文的MAC地址对应的网络攻击协议报文的数量；

   所述判断模块是设置为：根据所述当前接收到的与所述协议报文MAC地址对应的网络攻击协议报文的数量判断所述网络设备是否遇到网络攻击。
10. 如权利要求9所述的装置，还包括：学习模块；

    所述学习模块设置为：在统计模块统计网络设备当前接收到的网络攻击协议报文的数量之前，在所述网络设备接收到协议报文之后，在所述数据转发平面判断是否需要学习所述协议报文的MAC地址，若是，则学习所述协议报文的MAC地址，若否，则更新MAC地址表中对应表项的老化时间。
11. 如权利要求10所述的装置，其中，所述学习模块是设置为：

    当在所述数据转发平面根据协议报文的MAC地址、VLAN ID和端口号在MAC地址中查找到匹配的表项时，判定不需要学习所述协议报文的MAC地址，更新MAC地址表中对应表项的老化时间；

    当所述数据转发平面根据协议报文的MAC地址、VLAN ID和端口号在MAC地址表中查找不到匹配的表项时，判定需要学习所述协议报文的MAC地址，在所述MAC地址表中创建一个表项；

    所述MAC地址表中的表项包括：MAC地址、VLAN ID、端口号、和与MAC地址对应的网络攻击协议报文计数；

    所述统计模块是设置为：在所述数据转发平面更新所述MAC地址表中与所述MAC地址对应的表项中网络攻击协议报文计数；

    所述判断模块是设置为：判断在MAC地址表中与所述MAC地址对应表项的网络攻击协议报文计数是否大于第一预设阈值，若是，则判定所述网络设备遇到网络攻击。
12. 如权利要求11所述的装置，其中，所述判断模块还设置为：

    当判断在MAC地址表中与所述MAC地址对应的网络攻击协议报文计数是不大于第一预设阈值时，判断在MAC地址表中是否有端口号对应的网络攻击协议报文计数之和大于第二预设阈值，若是，判定所述网络设备遇到网络攻击。
13. 一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行权利要求1-7任一项的方法。

Images