1.一种抑制病毒在局域网中传播的方法,应用于转发设备,所述方法包括:
在接收到arp报文时,确定与发起所述arp报文的目标终端对应的交互终端数量是否达到第一预设阈值;其中,所述交互终端数量包括,所述局域网包括的其它终端中,与所述目标终端进行过arp交互的终端数量;
如果所述交互终端数量达到所述第一预设阈值,则进一步确定与所述目标终端对应的异常终端关系数量是否达到第二预设阈值;其中,所述异常终端关系数量包括,所述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量;所述业务首报文包括,局域网中的终端与所述局域网中的其他终端进行arp交互获取所述其他终端的mac地址后,向所述其他终端发送的首个业务类报文;
如果所述异常终端关系数量达到所述第二预设阈值,则对所述目标终端进行防护以抑制病毒在所述局域网中传播。
2.根据权利要求1所述的方法,还包括:
基于所述arp报文更新所述交互终端数量。
3.根据权利要求1所述的方法,还包括:
在对所述目标终端进行防护之前,确定与所述目标终端进行过arp交互的终端中,ip地址连续的终端数量是否达到第三预设阈值;
如果所述ip地址连续的终端数量达到所述第三预设阈值,则对所述目标终端进行防护。
4.根据权利要求1所述的方法,还包括:
在接收到业务首报文时,确定所述业务首报文携带的目的端口是否为预设的风险端口;
如果所述目的端口为所述预设的风险端口,则更新所述异常终端关系数量。
5.根据权利要求1或2所述的方法,所述arp报文包括:
arp请求报文和/或arp应答报文。
6.根据权利要求1所述的方法,所述业务类报文包括:
tcp报文;udp报文;其它业务类报文。
7.一种抑制病毒在局域网中传播的方法,应用于转发设备,所述方法包括:
在接收到业务首报文时,确定与发起所述业务首报文的目标终端对应的异常终端关系数量是否达到第一预设阈值;其中,所述业务首报文包括,局域网中的终端与所述局域网中的其他终端进行arp交互获取所述其他终端的mac地址后,向所述其他终端发送的首个业务类报文;所述异常终端关系数量包括,所述目标终端通过发送目的端口为所述预设的风险端口的业务首报文进行交互的终端关系数量;
如果所述异常终端关系数量达到所述第一预设阈值,再进一步确定与所述目标终端对应的交互终端数量是否达到第二预设阈值;其中,所述交互终端数量包括,所述局域网包括的其它终端中,与所述目标终端进行过arp交互的终端数量;
如果所述交互终端数量达到所述第二预设阈值,则对所述目标终端进行防护以抑制病毒在所述局域网中传播。
8.一种抑制病毒在局域网中传播的方法,应用于转发设备,所述方法包括:
在接收到arp报文时,确定与发起所述arp报文的第一目标终端对应的交互终端数量是否达到第一预设阈值;其中,所述交互终端数量包括,所述局域网包括的其它终端中,与所述第一目标终端进行过arp交互的终端数量;
如果所述交互终端数量达到所述第一预设阈值,则进一步确定所述转发设备维护的异常终端关系数量是否达到第二预设阈值;其中,所述异常终端关系数量包括,所述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量;所述业务首报文包括,局域网中的终端与所述局域网中的其他终端进行arp交互获取所述其他终端的mac地址后,向所述其他终端发送的首个业务类报文;
如果所述异常终端关系数量达到所述第二预设阈值,则对所述第一目标终端进行防护以抑制病毒在所述局域网中传播;
在接收到业务首报文时,确定与发起所述业务首报文的第二目标终端对应的异常终端关系数量是否达到第三预设阈值;
如果所述异常终端关系数量达到所述第三预设阈值,再进一步确定与所述第二目标终端对应的交互终端数量是否达到第四预设阈值;
如果所述交互终端数量达到所述第四预设阈值,则对所述第二目标终端进行防护以抑制病毒在所述局域网中传播。
9.一种抑制病毒在局域网中传播的装置,应用于转发设备,所述装置包括:
交互终端数量确定模块,在接收到arp报文时,确定与发起所述arp报文的目标终端对应的交互终端数量是否达到第一预设阈值;其中,所述交互终端数量包括,所述局域网包括的其它终端中,与所述目标终端进行过arp交互的终端数量;
异常终端关系数量确定模块,如果所述交互终端数量达到所述第一预设阈值,则进一步确定与所述目标终端对应的异常终端关系数量是否达到第二预设阈值;其中,所述异常终端关系数量包括,所述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量;所述业务首报文包括,局域网中的终端与所述局域网中的其他终端进行arp交互获取所述其他终端的mac地址后,向所述其他终端发送的首个业务类报文;
防护模块,如果所述异常终端关系数量达到所述第二预设阈值,则对所述目标终端进行防护以抑制病毒在所述局域网中传播。
10.根据权利要求9所述的装置,还包括:
更新模块,基于所述arp报文更新所述交互终端数量。
11.根据权利要求9所述的装置,还包括:
在对所述目标终端进行防护之前,确定与所述目标终端进行过arp交互的终端中,ip地址连续的终端数量是否达到第三预设阈值;
如果所述ip地址连续的终端数量达到所述第三预设阈值,则对所述目标终端进行防护。
12.根据权利要求9所述的装置,还包括:
在接收到业务首报文时,确定所述业务首报文携带的目的端口是否为预设的风险端口;
如果所述目的端口为所述预设的风险端口,则更新所述异常终端关系数量。
13.根据权利要求9或10所述的装置,所述arp报文包括:
arp请求报文和/或arp应答报文。
14.根据权利要求9所述的装置,所述业务类报文包括:
tcp报文;udp报文;其它业务类报文。
15.一种抑制病毒在局域网中传播的装置,应用于转发设备,所述装置包括:
异常终端关系数量确定模块,在接收到业务首报文时,确定与发起所述业务首报文的目标终端对应的异常终端关系数量是否达到第一预设阈值;其中,所述业务首报文包括,局域网中的终端与所述局域网中的其他终端进行arp交互获取所述其他终端的mac地址后,向所述其他终端发送的首个业务类报文;所述异常终端关系数量包括,所述目标终端通过发送目的端口为所述预设的风险端口的业务首报文进行交互的终端关系数量;
交互终端数量确定模块,如果所述异常终端关系数量达到所述第一预设阈值,再进一步确定与所述目标终端对应的交互终端数量是否达到第二预设阈值;其中,所述交互终端数量包括,所述局域网包括的其它终端中,与所述目标终端进行过arp交互的终端数量;
防护模块,如果所述交互终端数量达到所述第二预设阈值,则对所述目标终端进行防护以抑制病毒在所述局域网中传播。
16.一种抑制病毒在局域网中传播的装置,应用于转发设备,所述装置包括:
交互终端数量确定模块,在接收到arp报文时,确定与发起所述arp报文的第一目标终端对应的交互终端数量是否达到第一预设阈值;其中,所述交互终端数量包括,所述局域网包括的其它终端中,与所述第一目标终端进行过arp交互的终端数量;
异常终端关系数量确定模块,如果所述交互终端数量达到所述第一预设阈值,则进一步确定所述转发设备维护的异常终端关系数量是否达到第二预设阈值;其中,所述异常终端关系数量包括,所述目标终端通过发送目的端口为预设的风险端口的业务首报文进行交互的终端关系数量;所述业务首报文包括,局域网中的终端与所述局域网中的其他终端进行arp交互获取所述其他终端的mac地址后,向所述其他终端发送的首个业务类报文;
防护模块,如果所述异常终端关系数量达到所述第二预设阈值,则对所述第一目标终端进行防护以抑制病毒在所述局域网中传播;
异常终端关系数量确定模块,在接收到业务首报文时,确定与发起所述业务首报文的第二目标终端对应的异常终端关系数量是否达到第三预设阈值;
交互终端数量确定模块,如果所述异常终端关系数量达到所述第三预设阈值,再进一步确定与所述第二目标终端对应的交互终端数量是否达到第四预设阈值;
防护模块,如果所述交互终端数量达到所述第四预设阈值,则对所述第二目标终端进行防护以抑制病毒在所述局域网中传播。