一种网络攻击的防范方法和系统的制作方法

一种网络攻击的防范方法和系统的制作方法
【专利摘要】本发明提供了一种网络攻击的防范方法和系统，以解决攻击检测设备的防攻击资源有限，无法防范大规模网络攻击的问题，以及，查询攻击源设备接入的交换机难度大、时间长，网络攻击防范效率低的问题。所述方法包括：攻击检测设备在检测到攻击源设备发出的网络攻击后，将检测得到的防攻击信息封装到报文中；所述攻击检测设备从本地的受攻击端口将所述报文发送至作为所述攻击检测设备的上游设备的攻击防范设备，以利用所述攻击防范设备对所述网络攻击进行防范；其中，攻击防范设备具备根据所述防攻击信息下发防攻击表项对网络攻击进行防范的能力。本发明中技术方案不会因为防攻击表项资源有限的问题造成网络攻击防范失败，也提高了网络攻击防范的效率。
【专利说明】一种网络攻击的防范方法和系统
【技术领域】
[0001]本发明涉及互联网领域，特别是涉及一种网络攻击的防范方法和系统。
【背景技术】
[0002]在互联网中，任何一个网络协议都有可能遭受到非法用户的攻击。随着网络技术的进步，网络攻击的种类也在不断翻新，网络攻击的防范也就成了一个永恒的话题。
[0003]大部分网络设备的网络攻击防范功能都是通过下发防攻击表项来实现的，过程简要示意如图1所示，网络设备在检测到网络攻击之后，下发防攻击表项用来防范网络攻击。
[0004]对于一台网络设备而言，其防攻击表项资源是有限的，下发一条防攻击表项就占用一个防攻击表项资源。换句话说，同一台网络设备同时只能下发数量有限的防攻击表项。因此当网络设备遭受分布式拒绝服务攻击(distributed denial of service, DD0S)等大规模网络攻击时，容易因为防攻击表项资源不足而导致网络防范失效，造成潜在的危险。
[0005]而且，防攻击表项资源的数量是由设备芯片硬件决定，扩大网络设备的防攻击表项资源的数量成本很大。
[0006]目前一种网络攻击的防范方法为:攻击检测设备在检测到网络攻击后，直接将防攻击信息发送到攻击源设备接入的交换机。
[0007]虽然发送防攻击表项信息不占用攻击检测设备的防攻击表项资源，但是此方法需要查询到攻击源设备接入的交换机，尤其是在攻击检测设备与攻击源设备之间跨越多个网络层级的情况下，查询交换机的难度更大，该查询过程增加了网络攻击防范处理的复杂度。
[0008]而且，查询交换机的过程时间长，还会造成网络攻击防范效率低的问题。

【发明内容】

[0009]本发明提供了一种网络攻击的防范方法和系统，以解决攻击检测设备的防攻击资源有限，无法防范大规模网络攻击的问题，以及，查询攻击源设备接入的交换机难度大、时间长，网络攻击防范效率低的问题。
[0010]为了解决上述问题，本发明提供了一种网络攻击的防范方法，所述方法应用于至少由具备攻击检测能力的攻击检测设备，不具备攻击检测能力的一个或多个攻击防范设备，以及攻击源设备构成的多层级网络中，按照所述攻击源设备发出网络攻击而产生的攻击流量的流向路径，所述攻击源设备为所述攻击防范设备的上游设备，所述攻击防范设备为所述攻击检测设备的上游设备，所述方法包括:
[0011]攻击检测设备在检测到攻击源设备发出的网络攻击后，将检测得到的防攻击信息封装到报文中；
[0012]所述攻击检测设备从本地的受攻击端口将所述报文发送至作为所述攻击检测设备的上游设备的攻击防范设备，以利用所述攻击防范设备对所述网络攻击进行防范；
[0013]其中，攻击防范设备具备根据所述防攻击信息下发防攻击表项对网络攻击进行防范的能力。[0014]优选的，所述攻击检测设备将检测得到的防攻击信息封装到报文中，包括:
[0015]所述攻击检测设备以报文选项的形式添加防攻击信息到报文中；
[0016]其中，所述报文选项包括选项类型、选项长度和选项数据；所述选项数据包括一个或多个防攻击信息，所述防攻击信息包括防攻击表项类型、防攻击表项长度、防攻击表项有效时间和防攻击表项。
[0017]优选的，所述攻击检测设备将检测得到的防攻击信息封装到报文中，具体包括:
[0018]所述攻击检测设备将检测得到的防攻击信息中的一部分封装到报文中，以便利用其上游设备对该部分防攻击信息对应的网络攻击进行防范。
[0019]优选的，所述攻击检测设备将检测得到的防攻击信息中的一部分封装到报文中，具体包括:
[0020]所述攻击检测设备根据检测得到的防攻击信息下发的防攻击表项占用资源，大于预设的资源阈值时，将多出的防攻击信息封装到报文中。
[0021]优选的，所述攻击检测设备从本地的受攻击端口将所述报文发送至作为所述攻击检测设备的上游设备的攻击防范设备之后，所述方法还包括:
[0022]如果所述攻击检测设备在预设第一时间段内再次检测到所述网络攻击时，所述攻击检测设备根据封装到所述报文中的防攻击信息在本地的受攻击端口下发防攻击表项。
[0023]优选的，所述报文为链路层发现协议报文。
[0024]本发明还提供了一种网络攻击的防范方法，所述方法应用于至少由具备攻击检测能力的攻击检测设备，不具备攻击检测能力的一个或多个攻击防范设备，以及攻击源设备构成的多层级网络中，所述方法包括:
[0025]攻击防范设备接收到来自其下游设备发送的封装有防攻击信息的报文；
[0026]所述攻击防范设备根据所述报文中封装的防攻击信息，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范。
[0027]优选的，所述攻击防范设备根据所述报文中封装的防攻击信息，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范之前，还包括:
[0028]所述攻击防范设备根据所述报文中封装的防攻击信息，确定所述防攻击信息对应的网络攻击在本地的受攻击端口 ；
[0029]所述攻击防范设备将所述报文通过所述受攻击端口发送到其上游设备；
[0030]所述攻击防范设备根据所述报文中封装的防攻击信息，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范，具体包括:
[0031]所述攻击防范设备在预设第二时间段内再次检测到所述攻击防范信息对应的网络攻击时，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范。
[0032]优选的，所述攻击防范设备根据所述报文中封装的防攻击信息，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范之前，还包括:
[0033]所述攻击防范设备将所述报文中封装的部分防攻击信息发送至作为其上游设备的攻击防范设备。
[0034]优选的，所述攻击防范设备将所述报文中封装的部分防攻击信息发送至作为其上游设备的攻击防范设备，具体包括:
[0035]所述攻击防范设备根据接收到的防攻击信息下发的防攻击表项占用资源，大于预设的资源阈值时，将多出的防攻击信息封装到报文中发送至作为其上游设备的攻击防范设备。
[0036]相应地，本发明还提供了一种网络攻击的防范系统，所述系统包括:具备攻击检测能力的攻击检测设备和不具备攻击检测能力的一个或多个攻击防范设备；
[0037]所述系统应用于至少由所述攻击检测设备、所述攻击防范设备和攻击源设备构成的多层级网络中，按照所述攻击源设备发出网络攻击而产生的攻击流量的流向路径，所述攻击源设备为所述攻击防范设备的上游设备，所述攻击防范设备为所述攻击检测设备的上游设备；
[0038]所述攻击检测设备，用于在检测到所述攻击源设备发出的网络攻击后，将检测得到的防攻击信息封装到报文中；
[0039]所述攻击检测设备，还用于从本地的受攻击端口将所述报文发送至作为所述攻击检测设备的上游设备的攻击防范设备；
[0040]所述攻击防范设备，用于接收来自其下游设备发送的封装有防攻击信息的报文；所述攻击防范设备，还用于根据所述报文中封装的防攻击信息，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范。
[0041]优选的，所述攻击防范设备，用于以报文选项的形式添加防攻击信息到报文中；
[0042]其中，所述报文选项包括选项类型、选项长度和选项数据；所述选项数据包括一个或多个防攻击信息，所述防攻击信息包括防攻击表项类型、防攻击表项长度、防攻击表项有效时间和防攻击表项。
[0043]优选的，所述攻击检测设备，具体用于将检测得到的防攻击信息中的一部分封装到报文中，以便利用其上游设备对该部分防攻击信息对应的网络攻击进行防范。
[0044]优选的，所述攻击检测设备，具体用于根据检测得到的防攻击信息下发的防攻击表项占用资源，大于预设的资源阈值时，将多出的防攻击信息封装到报文中。
[0045]优选的，所述攻击检测设备，还用于从本地的受攻击端口将所述报文发送至作为其上游设备的攻击防范设备之后，如果在预设第一时间段内再次检测到所述网络攻击时，根据封装到所述报文中的防攻击信息在本地的受攻击端口下发防攻击表项。
[0046]优选的，所述攻击防范设备，还用于在根据所述报文中封装的防攻击信息，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范之前，根据所述报文中封装的防攻击信息，确定所述防攻击信息对应的网络攻击在本地的受攻击端口，将所述报文通过所述受攻击端口发送到其上游设备；
[0047]所述攻击防范设备，还用于在预设第二时间段内再次检测到所述攻击防范信息对应的网络攻击时，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范。
[0048]优选的，所述攻击防范设备，还用于在根据所述报文中封装的防攻击信息，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范之前，将所述报文中封装的部分防攻击信息发送至作为其上游设备的攻击防范设备。
[0049]优选的，所述攻击防范设备，具体用于根据接收到的防攻击信息下发的防攻击表项占用资源，大于预设的资源阈值时，将多出的防攻击信息封装到报文中发送至作为其上游设备的攻击防范设备。
[0050]优选的，所述报文为链路层发现协议报文。[0051]与【背景技术】相比，本发明包括以下优点:
[0052]首先，攻击检测设备在检测到网络攻击后，将得到的防攻击信息封装到报文中，并将报文发送到作为其上游设备的攻击防范设备，以利用其上游的攻击防范设备对网络攻击进行防范。具体地，攻击防范设备可以根据报文中的防攻击信息下发防攻击表项进行网络攻击防范。上述过程中，攻击检测设备不会因为防攻击表项资源有限的问题造成网络攻击防范失败。
[0053]而且，由于攻击检测设备和攻击防范设备在攻击流量的流向路径上，存在上下游的关系，所以攻击检测设备将报文发送至攻击防范设备是沿着攻击流量的流向路径反向逐级发送的。上述报文的发送路径可以根据攻击流量的流向路径确定，避免了因查询攻击源设备接入的交换机而造成的处理难度大、查询时间长的问题，同时也提高了网络攻击防范的效率。
【专利附图】

【附图说明】
[0054]图1是现有技术中的网络设备进行网络攻击防范的过程示意图；
[0055]图2是本发明实施例一提供的一种网络攻击的防范方法流程图；
[0056]图3是本发明实施例二提供的一种网络攻击的防范方法流程图；
[0057]图4是本发明实施例二提供的一种网络攻击的防范方法中报文选项的格式示意图；
[0058]图5是本发明实施例二提供的一种网络攻击的防范方法中攻击检测设备对网络攻击的防范过程示意图；
[0059]图6是本发明实施例三提供的一种网络攻击的防范方法流程图；
[0060]图7是本发明实施例三提供的一种多个攻击防范设备间的网络攻击的防范方法流程图；
[0061]图8是本发明实施例三提供的一种网络攻击的防范方法中攻击防范设备对网络攻击的防范过程示意图；
[0062]图9是典型的组网场景示意图；
[0063]图10是本发明实施例四提供的一种网络攻击的防范方法中各设备之间的连接关系不意图；
[0064]图11是本发明实施例五提供的一种网络攻击的防范系统结构图。
【具体实施方式】
[0065]为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和【具体实施方式】对本发明作进一步详细的说明。
[0066]本发明应用的场景为至少由具备攻击检测能力的攻击检测设备，不具备攻击检测能力的一个或多个攻击防范设备，以及攻击源设备构成的多层级网络。在多层级网络中，按照攻击源设备发出网络攻击而产生的攻击流量的流向路径，攻击源设备为源头，攻击源设备为攻击防范设备的上游设备，攻击防范设备为攻击检测设备的上游设备。下述各实施例均以上述应用场景为基础进行说明。
[0067]本发明中的攻击检测设备在检测到攻击源设备发出的网络攻击后，将检测得到的防攻击信息封装到报文中，并把报文从本地的受攻击端口发送给作为其上游设备的攻击防范设备，以利用攻击防范设备对攻击源设备发出的网络攻击进行防范。攻击检测设备发送报文给其上游设备，而不是直接下发防攻击表项，节省了攻击检测设备的防攻击表项的资源，对攻击检测设备的防攻击表项的资源容量要求不高；而且，按照攻击流量的流向路径，攻击检测设备可以逐级将报文发送给上游的攻击防范设备，可以充分利用网络中的设备资源，并且不需要对攻击源设备进行定位，提高了网络攻击防御的效率。
[0068]下面通过列举几个具体的实施例详细介绍本发明提供的一种网络攻击的防范方法和系统。
[0069]实施例一
[0070]从攻击检测设备的角度详细介绍本发明实施例一提供的一种网络攻击的防范方法。
[0071]参照图2，示出了本发明实施例一提供的一种网络攻击的防范方法流程图。
[0072]步骤100，攻击检测设备在检测到攻击源设备发出的网络攻击后，将检测得到的防攻击信息封装到报文中。
[0073]其中，所述攻击检测设备是否检测到网络攻击可以根据单位时间内接收到的攻击报文的数量判断，或者根据单位时间内接收到的攻击流量的大小判断。例如，某攻击检测设备在单位时间内收到来自同一源介质访问控制(Media Access Control, MAC)地址的地址解析协议(Address Resolution Protocol, ARP)报文过多，贝U认为该MAC地址的网络设备在发动ARP攻击，又例如，某攻击检测设备在单位时间内收到来自同一源MAC地址的动态主机设置协议(Dynamic Host Configuration Protocol, DHCP)请求报文过多，则认为该MAC地址的网络设备在发动DHCP攻击。
[0074]攻击检测设备检测到网络攻击时，就可以得到相应的防攻击表项，并形成防攻击信息，例如，检测到攻击源设备的网络之间互连的协议(Internet Protocol, IP)地址、MAC地址均可以得到相应的防攻击表项，该防攻击表项具体就是指检测得到的IP地址、MAC地
址等等。
[0075]攻击检测设备可以将检测得到的防攻击信息封装到用于在各网络设备之间传递的报文中。其中，该防攻击信息具体包括防攻击表项，还可以包括防攻击表项的类型、有效时间等信息。
[0076]步骤102，所述攻击检测设备从本地的受攻击端口将所述报文发送至作为所述攻击检测设备的上游设备的攻击防范设备，以利用所述攻击防范设备对所述网络攻击进行防范。
[0077]其中，所述攻击防范设备具备根据所述防攻击信息下发防攻击表项对网络攻击进行防范的能力。
[0078]上述利用攻击防范设备对网络攻击进行防范，具体可以是指:攻击防范设备可以对接收到报文中的所有攻击防范信息下发防攻击表项，在攻击防范设备上对所有攻击防范信息对应的网络攻击进行防范，或者，攻击防范设备从攻击检测设备接收到报文之后，可再向其上游设备的攻击防范设备发送封装有该报文的部分或全部防攻击信息的报文，由自身与其上游设备的攻击防范设备，或仅由其上游设备的攻击防范设备对网络攻击进行防范。
[0079]上述各步骤中，攻击检测设备可以将检测得到的全部或部分防攻击信息封装到报文中，这样，未封装到报文中的防攻击信息，可由本攻击检测设备下发攻击表项，对相应的攻击行为进行防范，而发送到上游的防攻击信息，则由上游的设备下发攻击表项，对相应的攻击行为进行防范。
[0080]本实施例中，所述攻击检测设备的上游设备具体是指与其邻接的，并将报文直接通过该攻击检测设备的受攻击端口发送至攻击检测设备的相邻的网络设备。
[0081]通过采用上述技术方案，本发明实施例中的攻击检测设备在检测到网络攻击后，将得到的防攻击信息封装到报文中，并将报文发送到作为其上游设备的攻击防范设备，以利用攻击防范设备对网络攻击进行防范。具体地，攻击防范设备可以根据报文中的防攻击信息下发防攻击表项进行网络攻击防范。上述过程中，不会因为防攻击表项资源有限的问题造成网络攻击防范失败。
[0082]而且，由于攻击检测设备和攻击防范设备在攻击流量的流向路径上，存在上下游的关系，所以攻击检测设备将报文发送至攻击防范设备是沿着攻击流量的流向路径反向逐级发送的。上述报文的发送路径可以根据攻击流量的流向路径确定，避免了因查询攻击源设备接入的交换机而造成的处理难度大、查询时间长的问题，同时也提高了网络攻击防范的效率。
[0083]实施例二
[0084]从攻击检测设备的角度详细介绍本发明实施例二提供的一种网络攻击的防范方法。
[0085]参照图3，示出了本发明实施例二提供的一种网络攻击的防范方法流程图。
[0086]步骤200，攻击检测设备在检测到攻击源设备发出的网络攻击后，将检测得到的防攻击信息封装到报文中。
[0087]其中，所述报文可以为链路层发现协议(Link Layer Discovery Protocol, LLDP)报文，LLDP报文提供了一种标准的链路层发现方式，可以将本端设备的主要能力、管理地址、设备标识、接口标识等信息组织成不同的类型/长度/值(Type/Length/Value, TLV)格式，并封装在链路层发现协议数据单元(Link Layer Discovery Protocol Data Unit,LLDPDU)中发布给与自己直连的邻居，邻居收到这些信息后将其保存起来，以供网络管理系统查询及判断链路的通信状况。
[0088]优选的，所述步骤200可以为:
[0089]所述攻击检测设备以报文选项的形式添加防攻击信息到报文中。
[0090]其中，所述报文选项可以包括选项类型、选项长度和选项数据；所述选项数据可以包括一个或多个防攻击信息，所述防攻击信息可以包括防攻击表项类型、防攻击表项长度、防攻击表项有效时间和防攻击表项，其中防攻击表项信息就可以为检测到网络攻击行为时确定的MAC地址、IP地址等信息。
[0091]具体地，报文选项的格式可以为TLV标准格式，如图4所示。下面详细介绍报文选项中的各部分信息:
[0092]Type:选项类型，可以填写协议没有规定的非知名选项类型。
[0093]Length:选项长度，整个报文选项的数据长度。
[0094]Value:选项数据，可以包含一个或者多个防攻击信息，对应于一个或多个子数据(子数据1、子数据2……子数据N，N为正整数)。[0095]各子数据的字段描述如下:
[0096]SubType:防攻击表项类型，例如I表示黑洞MAC。
[0097]Sub Length:子数据的长度。
[0098]Aging Time:防攻击表项有效时间。下发的防攻击表项在有效时间使用完毕后将被删除。有效时间可以预先配置。
[0099]Ant1-Attack Info:防攻击表项，可以是防攻击表项的具体信息。例如:当SubType填写的是黑洞MAC时，Ant1-Attack Info则可以填写一个具体的MAC地址。
[0100]上述防攻击表项类型除了可以为黑洞MAC外，还可以为IP，此时的防攻击表项可以具体为某个IP地址或某些IP地址或某个IP地址段。本实施例不对具体的防攻击类型进行限制，对于网络中的其他类型网络攻击，本实施例中的技术方案也同样适用。
[0101]上述防攻击信息可以理解为包含防攻击表项，以及防攻击表项的相关信息的综合信息。防攻击信息与防攻击表项是包含关系。
[0102]优选的，所述步骤200具体可以包括:
[0103]攻击检测设备将检测得到的防攻击信息中的一部分封装到报文中，以便利用其上游设备对该部分防攻击信息对应的网络攻击进行防范。具体为:
[0104]攻击检测设备根据检测得到的防攻击信息下发的防攻击表项占用资源，大于预设的资源阈值时，将多出的防攻击信息封装到报文中。
[0105]例如，预设的资源阈值为80%，攻击检测设备根据检测得到的防攻击信息下发的防攻击表项占用资源为全部资源的85%，则将多出的5%的防攻击信息封装到报文中。
[0106]实际应用中，攻击检测设备可以将检测到的全部防攻击信息封装到报文中，也可以将检测到的部分防攻击信息封装到报文中。具体可以根据攻击检测设备的防攻击表项的资源占用情况确定封装全部还是部分防攻击信息至报文中；同时，对于未封装到报文中的防攻击信息，可以根据这部分防攻击信息在其自身进行防攻击表项的下发。
[0107]步骤202，所述攻击检测设备将所述报文发送至作为所述攻击检测设备的上游设备的攻击防范设备，以利用所述攻击防范设备对所述网络攻击进行防范。
[0108]优选的，所述步骤202可以为:
[0109]所述攻击检测设备从本地的受攻击端口将所述报文发送至作为所述攻击检测设备的上游设备的攻击防范设备，以利用所述攻击防范设备对所述网络攻击进行防范。
[0110]其中，本地的受攻击端口可以在检测网络攻击时确定。
[0111]如果所述攻击源设备与所述攻击检测设备之间存在多个攻击防范设备，并且所述多个攻击防范设备之间为上下游关系，所述步骤202还可以为:
[0112]所述攻击检测设备按照所述攻击流量的流向路径反向将所述报文发送至所述多个攻击防范设备中最接近所述攻击源设备的攻击防范设备进行网络攻击防范。
[0113]举例说明:如果攻击源设备与攻击检测设备之间存在两个攻击防范设备，分别为攻击防范设备A和攻击防范设备B,而且,攻击防范设备A是攻击防范设备B的上游设备,攻击防范设备A更接近攻击源设备，即最接近攻击源设备的攻击防范设备为攻击防范设备A。此时，攻击检测设备将所述报文发送给攻击防范设备B，攻击防范设备B再发送报文到攻击防范设备A，其中，攻击防范设备B发送的报文可以由攻击防范设备B封装得到。即实现将所述报文逐级向攻击源设备的方向前移的操作。[0114]步骤204，如果所述攻击检测设备在预设第一时间段内再次检测到所述网络攻击，所述攻击检测设备根据封装到所述报文中的防攻击信息在本地的受攻击端口下发防攻击表项。
[0115]如果攻击检测设备在预设第一时间段内再次检测到同样的网络攻击，则表示上述步骤202中发送给攻击防范设备的报文未发挥作用，攻击防范设备未对报文进行成功处理，则攻击检测设备本地下发防攻击表项对网络攻击进行防范。
[0116]优选的，所述步骤204可以为:
[0117]所述攻击检测设备根据所述防攻击信息在本地的受攻击端口下发部分或者全部防攻击表项。
[0118]其中，当所述攻击检测设备已占用的防攻击表项资源大于或等于预置的资源临界值时，通常由所述攻击检测设备的上游设备(如攻击防范设备)下发全部防攻击表项，但是，如果所述攻击检测设备的上游设备(如攻击防范设备)无攻击防范能力，则所述攻击检测设备在本地的受攻击端口下发部分防攻击表项。
[0119]当所述攻击检测设备已占用的防攻击表项资源小于所述预置的资源临界值时，所述攻击检测设备在本地的受攻击端口下发全部防攻击表项。
[0120]可以理解为:如果攻击检测设备的防攻击表项资源不足时，请求其上游设备下发防攻击表项；如果其上游设备无攻击防范能力、无法下发防攻击表项时，攻击检测设备可以本地下发部分防攻击表项。当攻击检测设备的防攻击表项资源充足时，攻击检测设备可以在本地下发全部放攻击表项。
[0121]例如，预置的资源临界值为80%，所述防攻击信息包括3个防攻击表项，如果攻击检测设备上已占用的防攻击表项资源占总资源的比例为85%，由于85%大于80%，则攻击检测设备请求其上游设备对防攻击信息进行处理；如果其上游设备无处理能力，则攻击检测设备可以在本地下发上述3个防攻击表项，如果此时攻击检测设备没有充足的防攻击表项资源用来下发全部3个防攻击表项，可以根据实际情况下发部分防攻击表项；如果攻击检测设备上已占用的防攻击表项资源占总资源的比例为40%，由于40%小于80%，则攻击检测设备可以将3个防攻击表项全部下发。
[0122]步骤206，如果攻击检测设备在本地下发防攻击表项之后，所述攻击检测设备预设时间段内未再次检测到所述网络攻击，所述攻击检测设备将所述防攻击表项所占用的防攻击表项资源进行释放。
[0123]如果攻击检测设备在本地下发防攻击表项之后，在预设时间段内未再检测到同一个网络攻击，则表示对网络攻击已经拦截成功，则可以在所述防攻击表项失效后(防攻击表项的有效时间截止时)将防攻击表项所占用的防攻击表项资源进行释放。
[0124]本实施例主要以攻击检测设备的角度介绍对网络攻击的防范方法，攻击检测设备对网络攻击的防范过程还可以概括为下列步骤，各步骤之间的关系如图5所示。
[0125]步骤20，攻击检测设备检测到网络攻击，并检测得到防攻击信息。
[0126]步骤22，将检测得到的防攻击信息封装到LLDP报文中，并将LLDP报文从本地的受攻击的端口发送给攻击防范设备。
[0127]步骤24，攻击检测设备判断是否再次检测到同一个网络攻击。
[0128]如果攻击检测设备未再次检测到同一个网络攻击，表示网络攻击已被成功拦截，网络攻击的防御过程结束。
[0129]如果攻击检测设备再次检测到同一个网络攻击，执行步骤26。
[0130]步骤26,攻击检测设备根据防攻击信息本地下发防攻击表项。
[0131]攻击检测设备本地下发防攻击表项后，网络攻击拦截成功，网络攻击的防御过程结束。
[0132]通过采用上述技术方案，本发明实施例中的攻击检测设备在检测到网络攻击后，将得到的防攻击信息封装到报文中，并将报文发送到作为其上游设备的攻击防范设备，以利用攻击防范设备对网络攻击进行防范。具体地，攻击防范设备可以根据报文中的防攻击信息下发防攻击表项进行网络攻击防范。上述过程中，攻击检测设备无需在本地下发防攻击表项，不占用攻击检测设备的防攻击表项资源，不会因为防攻击表项资源有限的问题造成网络攻击防范失败。
[0133]而且，由于攻击检测设备和攻击防范设备在攻击流量的流向路径上，存在上下游的关系，所以攻击检测设备将报文发送至攻击防范设备是沿着攻击流量的流向路径反向逐级发送的。上述报文的发送路径可以根据攻击流量的流向路径确定，避免了因查询攻击源设备接入的交换机而造成的处理难度大、查询时间长的问题，同时将报文在攻击流量的流向路径上从攻击检测设备发送到攻击防范设备，可以充分利用网络中各设备的资源，也提高了网络攻击防范的效率。
[0134]其次，攻击检测设备或者攻击防范设备可以将部分防攻击信息封装到报文中，发送至上游设备，还可以将部分防攻击表项下发到上游设备，避免攻击检测设备或者攻击防范设备因自身防攻击表项的资源不足而造成的防攻击失效的问题。
[0135]再次，可以将防攻击表项下发到尽量接近攻击源设备的网络设备，将防攻击的影响降到最低。
[0136]此外，LLDP本身不处理不可识别的报文选项，不支持LLDP报文的上游设备可以自动忽略LLDP报文中的报文选项，因此本实施例中的技术方案不存在网络设备不兼容LLDP报文而导致无法继续执行的问题。
[0137]实施例三
[0138]从攻击防范设备的角度详细介绍本发明实施例三提供的一种网络攻击的防范方法。
[0139]如果攻击检测设备与攻击源设备之间只存在一个攻击防范设备，则该攻击防范设备在接收到来自其下游设备的攻击检测设备的封装有防攻击信息的报文之后，可以直接根据防攻击信息下发防攻击表项进行网络攻击防范。
[0140]上述报文可以为LLDP报文，还可以为其他形式的报文，本实施例不对报文的具体类型进行限制。
[0141]如果攻击检测设备与攻击源设备之间存在多个攻击防范设备，且多个攻击防范设备之间为上下游关系。则本实施例的执行过程可以参照图6，示出了本发明实施例三提供的一种网络攻击的防范方法流程图。
[0142]步骤300，攻击防范设备接收到来自其下游设备发送的封装有防攻击信息的报文。
[0143]其中，攻击防范设备的下游设备可以为攻击检测设备，也可以为另一攻击防范设备。[0144]步骤302，所述攻击防范设备根据所述报文中封装的防攻击信息，确定所述防攻击信息对应的网络攻击在本地的受攻击端口。
[0145]步骤304，所述攻击防范设备将所述报文通过所述受攻击端口发送到其上游设备。
[0146]所述步骤304中的上游设备可以为更靠近攻击源设备的攻击防范设备，或者为攻击源设备。
[0147]优选的，所述步骤304可以为:
[0148]所述攻击防范设备将所述报文中封装的部分防攻击信息发送至作为其上游设备的攻击防范设备。具体为:
[0149]所述攻击防范设备根据接收到的防攻击信息下发的防攻击表项占用资源，大于预设的资源阈值时，将多出的防攻击信息封装到报文中发送至作为其上游设备的攻击防范设备。这里的上游设备也是指与该攻击防范设备相邻的上游设备。
[0150]例如，预设的资源阈值为80%，攻击防范设备根据接收到的防攻击信息下发的防攻击表项占用资源为85%，将多出的5%的防攻击信息封装到报文中发送至作为其上游设备的攻击防范设备。
[0151]如果攻击防范设备向其上游设备发送封装有防攻击信息的报文后，在一定的时间段内又检测到同样的网络统计，则执行步骤306。
[0152]步骤306，所述攻击防范设备根据所述报文中封装的防攻击信息，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范。
[0153]优选的，所述步骤306具体可以包括:
[0154]所述攻击防范设备在预设第二时间段内再次检测到所述攻击防范信息对应的网络攻击时，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范。同样，如果将多个攻击防范设备进行区分，则本实施例还可以以下列情况进行描述:
[0155]多个攻击防范设备中的第一攻击防范设备接收到来自攻击检测设备的封装有防攻击信息的报文之后，第一攻击防范设备按照攻击流量的流向路径反向将报文发送至多个攻击防范设备中的第二攻击防范设备进行网络攻击防范。
[0156]其中，所述第一攻击防范设备为接收到来自所述攻击检测设备的报文的攻击防范设备；所述第二攻击防范设备为最接近所述攻击源设备的攻击防范设备。
[0157]例如，攻击检测设备与攻击源设备之间存在3个攻击防范设备,分别为攻击防范设备A、攻击防范设备B和攻击防范设备C，且攻击防范设备C为攻击防范设备B的上游设备，攻击防范设备B为攻击防范设备A的上游设备，攻击防范设备C为最接近攻击源设备的攻击防范设备。攻击防范设备A接收到来自攻击检测设备的封装有防攻击信息的报文之后，将该报文发送给攻击防范设备B，攻击防范设备B再将该报文发送给攻击防范设备C。
[0158]优选的，如图7所示，本实施例还可以概括为下列步骤:
[0159]步骤310，第一攻击防范设备从接收到的报文中读取出防攻击信息。
[0160]如上例，攻击防范设备A可以从接收到的报文中读取出防攻击信息。
[0161]步骤312，第一攻击防范设备查询得到与防攻击信息对应的本地受攻击端口。
[0162]如上例，攻击防范设备A可以在本地的端口学习列表中，查询得到与防攻击信息相对应的本地受攻击端口，如，防攻击信息中包括某MAC地址，该MAC地址发来的攻击流量通过攻击防范设备A的端口 40003接收，则该防攻击信息与端口 40003对应。[0163]步骤314，第一攻击防范设备从本地受攻击端口发送报文至第二攻击防范设备。
[0164]其中，在多个攻击防范设备中，若第一攻击防范设备与第二攻击防范设备之间至少存在一个第三攻击防范设备，第三攻击防范设备通过各自的本地受攻击端口发送报文至上游的第三攻击防范设备或第二攻击防范设备。该上下游设备之间的关系就是相邻的上下游设备之间的关系，即本实施例中所述的一个网络设备的上游设备，就是指与该网络设备相邻的，且处于报文发送路径的上游上的设备。
[0165]如上例,攻击防范设备B为第三攻击防范设备,则攻击检测设备A从其本地受攻击端口发送报文至攻击防范设备B，攻击防范设备B再从其本地受攻击端口发送报文至攻击防范设备C。
[0166]需要说明的是，上述各攻击防范设备各自的本地受攻击端口指与防攻击信息对应的本地端口，并且各攻击防范设备各自的本地受攻击端口可以相同，也可以不同，需根据实际情况确定。
[0167]对于上例中的攻击防范设备C，如果攻击防范设备C将报文从其本地受攻击端口发送给攻击源设备后，在一段时间内仍然能接收到攻击源设备的攻击流量，则攻击防范设备C根据防攻击信息从其本地受攻击端口下发防攻击表项进行攻击拦截。
[0168]优选的，如果上述各攻击防范设备需要根据防攻击信息在本地下发防攻击表项，则上述各攻击防范设备可以根据防攻击信息在各自的本地受攻击端口下发部分或者全部防攻击表项。
[0169]其中，当攻击防范设备已占用的防攻击表项资源大于或等于预置的资源临界值时，通常由所述攻击防范设备的上游设备(如攻击防范设备)下发全部防攻击表项，但是，如果所述攻击防范设备的上游设备(如攻击防范设备)无攻击防范能力，则该攻击防范设备可以在其本地受攻击端口下发部分防攻击表项。
[0170]当攻击防范设备已占用的防攻击表项资源小于所述预置的资源临界值时，该攻击防范设备可以在其本地受攻击端口下发全部防攻击表项。
[0171]可以理解为:如果攻击防范设备的防攻击表项资源不足时，请求其上游设备下发防攻击表项；如果其上游设备无攻击防范能力、无法下发防攻击表项时，攻击防范设备可以本地下发部分防攻击表项。当攻击防范设备的防攻击表项资源充足时，攻击防范设备可以在本地下发全部放攻击表项。
[0172]优选的，上述攻击防范设备发送的报文可以为来自攻击检测设备的报文，也可以为上述攻击检测设备对防攻击信息进行封装得到的报文。即，各攻击防范设备在接收到报文后，从报文中读取出防攻击信息，可以对读取出的防攻击信息封装为报文，再将封装得到的报文发送给其上游设备。
[0173]优选的，攻击防范设备对所述防攻击信息进行封装，可以为:
[0174]攻击防范设备以报文选项的形式添加防攻击信息到报文中。
[0175]其中，所述报文选项可以包括选项类型、选项长度和选项数据；所述选项数据可以包括一个或多个防攻击信息，所述防攻击信息可以包括防攻击表项类型、防攻击表项长度、防攻击表项有效时间和防攻击表项。
[0176]本实施例主要以攻击防范设备的角度介绍对网络攻击的防范方法，攻击防范设备对网络攻击的防范过程还可以概括为下列步骤，各步骤之间的关系如图8所示。[0177]步骤30，攻击防范设备接收到含有防攻击信息的LLDP报文。
[0178]步骤32，攻击防范设备根据防攻击信息下发防攻击表项进行网络攻击防范。
[0179]需要说明的是，如果攻击防范设备对含有防攻击信息的LLDP报文不能识别，或者不支持下发防攻击表项，则攻击防范设备可以对LLDP报文不作处理。
[0180]通过采用上述技术方案，本发明实施例中的攻击检测设备和攻击防范设备在攻击流量的流向路径上，存在上下游的关系，所以攻击检测设备将报文发送至攻击防范设备是沿着攻击流量的流向路径反向逐级发送的。上述报文的发送路径可以根据攻击流量的流向路径确定，避免了因查询攻击源设备接入的交换机而造成的处理难度大、查询时间长的问题，同时将报文在攻击流量的流向路径上从攻击检测设备发送到攻击防范设备，可以充分利用网络中各设备的资源，也提高了网络攻击防范的效率。
[0181]其次，攻击检测设备或者攻击防范设备可以将部分防攻击信息封装到报文中，发送至上游设备，还可以将部分防攻击表项下发到上游设备，避免攻击检测设备或者攻击防范设备因自身防攻击表项的资源不足而造成的防攻击失效的问题。
[0182]再次，可以将防攻击表项下发到尽量接近攻击源设备的网络设备，将防攻击的影响降到最低。
[0183]此外，LLDP本身不处理不可识别的报文选项，不支持LLDP报文的上游设备可以自动忽略LLDP报文中的报文选项，因此本实施例中的技术方案不存在网络设备不兼容LLDP报文而导致无法继续执行的问题。
[0184]实施例四
[0185]本实例以典型的组网场景的具体应用为例进行说明，典型的组网场景可以如图9所示，组网场景可以划分为三个层次，分别是接入层、汇聚层和核心层。接入层的设备为二层交换机，汇聚层的设备为三层交换机，核心层则由性能较强的路由器组成。
[0186]接入层的设备多为位于数据链路层的二层转发设备，不关心具体的报文内容，所以，接入层的设备难以检测到网络层、传输层和应用层等上层业务的网络攻击行为。攻击检测和防范的工作主要由汇聚层的设备来完成。
[0187]接下来结合攻击检测设备和攻击防范设备详细介绍本发明实施例四提供的一种网络攻击的防范方法。
[0188]本实施例中包括攻击源设备A，其MAC地址为0000-0000-0001 ;攻击防范设备(二层交换机B和二层交换机C)，二层交换机B和二层交换机C均不具备攻击检测能力；具有攻击检测能力的攻击检测设备D，并且，防攻击表项的有效时间被预先配置在攻击检测设备D中，有效时间为300秒。各设备之间的连接关系如图10所示。
[0189]本发明实施例四提供的一种网络攻击的防范方法可以包括下列步骤:
[0190]步骤400，攻击源设备A发动网络攻击，二层交换机B和二层交换机C将网络攻击的攻击流量转发至攻击检测设备D，同时二层交换机B和二层交换机C分别学习到如下MAC地址表项。
[0191]MAC 地址:0000-0000-0001，端口:Portl。
[0192]步骤402，攻击检测设备D检测到网络攻击，可得到如下防攻击信息:
[0193]攻击源设备A的MAC地址为0000-0000-0001，受攻击端口为Port I，防攻击表项的有效时间为300秒。[0194]步骤404，攻击检测设备D将防攻击信息封装在LLDP报文的选项中，选项格式如下:
[0195]1、Type=9 (Ant1-Attack)
[0196]2、Length=IO
[0197]3、Subtype=I (MAC-Address)
[0198]4、SubLength=8
[0199]5、Aging Time=300
[0200]6、Ant1-Attack Info=0000-0000_0001
[0201]其中，字段I取值为LLDP未规定的未知选项类型号，本实施例中选取9，也可以釆用其他的未知选项号。
[0202]字段2至4的介绍已在上述实施例中介绍。
[0203]字段5为防攻击表项的有效时间，在本实施例中可以被管理员预先配置为300秒。
[0204]字段6为防攻击表项，可以为具体的防攻击信息，在本实施例中填写攻击源设备A的MAC地址。
[0205]步骤406，攻击检测设备D将含有防攻击信息的LLDP报文从受攻击端口 Portl发出。
[0206]步骤408，二层交换机C接收到含有防攻击信息的LLDP报文，从中读取出防攻击信息:
[0207]攻击源设备A的MAC地址为0000-0000-0001，防攻击表项有效时间为300秒。
[0208]步骤410，二层交换机C查询自己的MAC表，发现攻击源设备A的MAC地址在步骤400中学习到了端口 Portl上。
[0209]步骤412，二层交换机C将防攻击信息封装在LLDP报文中，格式与步骤404中的相同，并将封装后的报文从端口 Portl发送。
[0210]步骤414，二层交换机B接收到含有防攻击信息的LLDP报文，从中读取出防攻击信息:
[0211]攻击源设备A的MAC地址为0000-0000-0001，防攻击表项有效时间为300秒。
[0212]步骤416，二层交换机B查询自己的MAC表，发现攻击源设备A的MAC地址在步骤400中学习到了端口 Portl上。
[0213]步骤418，二层交换机B将防攻击信息封装在LLDP报文中，格式与步骤404中的相同，并将封装后的报文从端口 Portl发送。
[0214]步骤420，攻击源设备A接收到LLDP报文，不做处理，继续发送攻击流量。
[0215]步骤422，二层交换机B发送LLDP报文后仍可收到攻击源设备A的攻击流量，说明二层交换机B是最接近攻击源设备A的设备，二层交换机B根据步骤414中接收到的防攻击信息在端口 Portl下发防攻击表项，拦截MAC地址为0000-0000-0001的攻击源设备A发来的攻击流量。
[0216]二层交换机C和攻击检测设备D在发送LLDP报文后不再接收到攻击流量，不用继续网络攻击防范的其他处理。
[0217]步骤424，在300秒之后，二层交换机B下发的防攻击表项的有效时间到期，该防攻击表项被删除，之后返回至步骤400开始新一轮的处理。[0218]通过采用上述技术方案，本发明实施例中的攻击检测设备在检测到网络攻击后，将得到的防攻击信息封装到报文中，并将报文发送到作为其上游设备的攻击防范设备，以利用其上游的攻击防范设备对网络攻击进行防范。具体地，攻击防范设备可以根据报文中的防攻击信息下发防攻击表项进行网络攻击防范。上述过程中，攻击检测设备无需在本地下发防攻击表项，不占用攻击检测设备的防攻击表项资源，不会因为防攻击表项资源有限的问题造成网络攻击防范失败。
[0219]而且，由于攻击检测设备和攻击防范设备在攻击流量的流向路径上，存在上下游的关系，所以攻击检测设备将报文发送至攻击防范设备是沿着攻击流量的流向路径反向逐级发送的。上述报文的发送路径可以根据攻击流量的流向路径确定，避免了因查询攻击源设备接入的交换机而造成的处理难度大、查询时间长的问题，同时将报文在攻击流量的流向路径上从攻击检测设备发送到攻击防范设备，可以充分利用网络中各设备的资源，也提高了网络攻击防范的效率。
[0220]其次，攻击检测设备或者攻击防范设备可以将部分防攻击表项下发到上游设备，避免攻击检测设备或者攻击防范设备因自身防攻击表项的资源不足而造成的防攻击失效的问题。
[0221]再次，可以将防攻击表项下发到尽量接近攻击源设备的网络设备，将防攻击的影响降到最低。
[0222]此外，LLDP本身不处理不可识别的报文选项，不支持LLDP报文的上游设备可以自动忽略LLDP报文中的报文选项，因此本实施例中的技术方案不存在网络设备不兼容LLDP报文而导致无法继续执行的问题。
[0223]上述本发明各方法实施例中，处于网络最下游的网络攻击检测设备，在检测到网络攻击，并确定相应的防攻击信息时，可将其获得的部分防攻击信息在自身上以下发防攻击表项的方式进行攻击防范，同时，将部分防攻击信息发送至其上游设备；而攻击检测设备的上游设备在接收到部分防攻击信息后，仍旧可以将部分保留，由自身对该部分保留的防攻击信息对应的网络攻击行为进行防范处理，另一部分仍旧可以发送其上游设备，这样，通过层层防攻击信息的传递，可以实现在网络层级上的每个设备均可进行网络攻击的防范处理，避免一个设备进行处理时带来的资源消耗较多的问题，同时也可提高防攻击处理的效率和效果。
[0224]实施例五
[0225]参照图11，示出了本发明实施例五提供的一种网络攻击的防范系统结构图。
[0226]所述系统可以包括具备攻击检测能力的攻击检测设备500和不具备攻击检测能力的一个或多个攻击防范设备502。
[0227]本实施例中的报文可以为链路层发现协议报文。下面分别详细介绍攻击检测设备500和攻击防范设备502的功能以及之间的关系。
[0228]所述攻击检测设备500，用于在检测到所述攻击源设备发出的网络攻击后，将检测得到的防攻击信息封装到报文中。
[0229]优选的，所述攻击检测设备500，用于以报文选项的形式添加防攻击信息到报文中。
[0230]所述攻击检测设备500，还用于从本地的受攻击端口将所述报文发送至作为所述攻击检测设备的上游设备的攻击防范设备。
[0231]优选的，所述攻击检测设备500，用于将检测得到的防攻击信息中的一部分封装到报文中，以便利用其上游设备对该部分防攻击信息对应的网络攻击进行防范。
[0232]优选的，所述攻击检测设备500，用于根据检测得到的防攻击信息下发的防攻击表项占用资源，大于预设的资源阈值时，将多出的防攻击信息封装到报文中。
[0233]所述攻击检测设备500，还用于从本地的受攻击端口将所述报文发送至作为其上游设备的攻击防范设备之后，如果在预设第一时间段内再次检测到所述网络攻击时，根据封装到所述报文中的防攻击信息在本地的受攻击端口下发防攻击表项。所述攻击防范设备502，用于接收来自其下游设备发送的封装有防攻击信息的报文。
[0234]其中，所述攻击防范设备502的下游设备可以为攻击检测设备500，还可以为另一攻击防范设备502。
[0235]所述攻击防范设备502，还用于根据所述报文中封装的防攻击信息，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范。
[0236]优选的，所述攻击防范设备502，用于在预设第二时间段内再次检测到所述攻击防范信息对应的网络攻击时，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范。
[0237]所述攻击防范设备502，还用于在根据所述报文中封装的防攻击信息，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范之前，根据所述报文中封装的防攻击信息，确定所述防攻击信息对应的网络攻击在本地的受攻击端口，将所述报文通过所述受攻击端口发送到其上游设备。
[0238]所述攻击防范设备502，还用于在根据所述报文中封装的防攻击信息，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范之前，将所述报文中封装的部分防攻击信息发送至作为其上游设备的攻击防范设备。
[0239]优选的，所述攻击防范设备502，用于根据接收到的防攻击信息下发的防攻击表项占用资源，大于预设的资源阈值时，将多出的防攻击信息封装到报文中发送至作为其上游设备的攻击防范设备。
[0240]本发明系统实施例可以实现对网络攻击行为的处理，其具体实现过程可参见上述本发明方法实施例的说明，在此不再赘述。
[0241]通过采用上述技术方案，本发明实施例中的攻击检测设备在检测到网络攻击后，将得到的防攻击信息封装到报文中，并将报文发送到作为其上游设备的攻击防范设备，以利用其上游的攻击防范设备对网络攻击进行防范。具体地，攻击防范设备可以根据报文中的防攻击信息下发防攻击表项进行网络攻击防范。上述过程中，攻击检测设备无需在本地下发防攻击表项，不占用攻击检测设备的防攻击表项资源，不会因为防攻击表项资源有限的问题造成网络攻击防范失败。
[0242]而且，由于攻击检测设备和攻击防范设备在攻击流量的流向路径上，存在上下游的关系，所以攻击检测设备将报文发送至攻击防范设备是沿着攻击流量的流向路径反向逐级发送的。上述报文的发送路径可以根据攻击流量的流向路径确定，避免了因查询攻击源设备接入的交换机而造成的处理难度大、查询时间长的问题，同时将报文在攻击流量的流向路径上从攻击检测设备发送到攻击防范设备，可以充分利用网络中各设备的资源，也提高了网络攻击防范的效率。[0243]其次，攻击检测设备或者攻击防范设备可以将部分防攻击表项下发到上游设备，避免攻击检测设备或者攻击防范设备因自身防攻击表项的资源不足而造成的防攻击失效的问题。
[0244]再次，可以将防攻击表项下发到尽量接近攻击源设备的网络设备，将防攻击的影响降到最低。
[0245]此外，LLDP本身不处理不可识别的报文选项，不支持LLDP报文的上游设备可以自动忽略LLDP报文中的报文选项，因此本实施例中的技术方案不存在网络设备不兼容LLDP报文而导致无法继续执行的问题。
[0246]对于系统实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
[0247]本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。
[0248]以上对本发明实施例所提供的一种网络攻击的防范方法和系统，进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在【具体实施方式】及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。
【权利要求】
1.一种网络攻击的防范方法，其特征在于，所述方法应用于至少由具备攻击检测能力的攻击检测设备，不具备攻击检测能力的一个或多个攻击防范设备，以及攻击源设备构成的多层级网络中，按照所述攻击源设备发出网络攻击而产生的攻击流量的流向路径，所述攻击源设备为所述攻击防范设备的上游设备，所述攻击防范设备为所述攻击检测设备的上游设备，所述方法包括: 攻击检测设备在检测到攻击源设备发出的网络攻击后，将检测得到的防攻击信息封装到报文中； 所述攻击检测设备从本地的受攻击端口将所述报文发送至作为所述攻击检测设备的上游设备的攻击防范设备，以利用所述攻击防范设备对所述网络攻击进行防范； 其中，攻击防范设备具备根据所述防攻击信息下发防攻击表项对网络攻击进行防范的能力。
2.根据权利要求1所述的方法，其特征在于，所述攻击检测设备将检测得到的防攻击信息封装到报文中，包括: 所述攻击检测设备以报文选项的形式添加防攻击信息到报文中； 其中，所述报文选项包括选项类型、选项长度和选项数据；所述选项数据包括一个或多个防攻击信息，所述防攻击信息包括防攻击表项类型、防攻击表项长度、防攻击表项有效时间和防攻击表项。
3.根据权利要求1所述的方法，其特征在于，所述攻击检测设备将检测得到的防攻击信息封装到报文中，具体包括: 所述攻击检测设备将检测得到的防攻击信息中的一部分封装到报文中，以便利用其上游设备对该部分防攻击信息`对应的网络攻击进行防范。
4.根据权利要求3所述的方法，其特征在于，所述攻击检测设备将检测得到的防攻击信息中的一部分封装到报文中，具体包括: 所述攻击检测设备根据检测得到的防攻击信息下发的防攻击表项占用资源，大于预设的资源阈值时，将多出的防攻击信息封装到报文中。
5.根据权利要求1所述的方法，其特征在于，所述攻击检测设备从本地的受攻击端口将所述报文发送至作为所述攻击检测设备的上游设备的攻击防范设备之后，所述方法还包括: 如果所述攻击检测设备在预设第一时间段内再次检测到所述网络攻击时，所述攻击检测设备根据封装到所述报文中的防攻击信息在本地的受攻击端口下发防攻击表项。
6.根据权利要求1所述的方法，其特征在于，所述报文为链路层发现协议报文。
7.—种网络攻击的防范方法，其特征在于，所述方法应用于至少由具备攻击检测能力的攻击检测设备，不具备攻击检测能力的一个或多个攻击防范设备，以及攻击源设备构成的多层级网络中，所述方法包括: 攻击防范设备接收到来自其下游设备发送的封装有防攻击信息的报文； 所述攻击防范设备根据所述报文中封装的防攻击信息，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范。
8.根据权利要求7所述的方法，其特征在于，所述攻击防范设备根据所述报文中封装的防攻击信息，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范之前，还包括: 所述攻击防范设备根据所述报文中封装的防攻击信息，确定所述防攻击信息对应的网络攻击在本地的受攻击端口； 所述攻击防范设备将所述报文通过所述受攻击端口发送到其上游设备； 所述攻击防范设备根据所述报文中封装的防攻击信息，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范，具体包括: 所述攻击防范设备在预设第二时间段内再次检测到所述攻击防范信息对应的网络攻击时，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范。
9.根据权利要求7所述的方法，其特征在于，所述攻击防范设备根据所述报文中封装的防攻击信息，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范之前，还包括: 所述攻击防范设备将所述报文中封装的部分防攻击信息发送至作为其上游设备的攻击防范设备。
10.根据权利要求9所述的方法，其特征在于，所述攻击防范设备将所述报文中封装的部分防攻击信息发送至作为其上游设备的攻击防范设备，具体包括: 所述攻击防范设备根据接收到的防攻击信息下发的防攻击表项占用资源，大于预设的资源阈值时，将多出的防攻击信息封装到报文中发送至作为其上游设备的攻击防范设备。
11.一种网络攻击的防范系统，其特征在于，所述系统包括:具备攻击检测能力的攻击检测设备和不具备攻击检测能力的一个或多个攻击防范设备； 所述系统应用于至少由所述攻击检测设备、所述攻击防范设备和攻击源设备构成的多层级网络中，按照所述攻击源设备发出网络攻击而产生的攻击流量的流向路径，所述攻击源设备为所述攻击防范设备的上游设备，所述攻击防范设备为所述攻击检测设备的上游设备; 所述攻击检测设备，用于在检测到所述攻击源设备发出的网络攻击后，将检测得到的防攻击信息封装到报文中； 所述攻击检测设备，还用于从本地的受攻击端口将所述报文发送至作为所述攻击检测设备的上游设备的攻击防范设备； 所述攻击防范设备，用于接收来自其下游设备发送的封装有防攻击信息的报文；所述攻击防范设备，还用于根据所述报文中封装的防攻击信息，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范。
12.根据权利要求11所述的系统，其特征在于，所述攻击防范设备，用于以报文选项的形式添加防攻击信息到报文中； 其中，所述报文选项包括选项类型、选项长度和选项数据；所述选项数据包括一个或多个防攻击信息，所述防攻击信息包括防攻击表项类型、防攻击表项长度、防攻击表项有效时间和防攻击表项。
13.根据权利要求11所述的系统，其特征在于，所述攻击检测设备，具体用于将检测得到的防攻击信息中的一部分封装到报文中，以便利用其上游设备对该部分防攻击信息对应的网络攻击进行防范。
14.根据权利要求13所述的系统，其特征在于，所述攻击检测设备，具体用于根据检测得到的防攻击信息下发的防攻击表项占用资源，大于预设的资源阈值时，将多出的防攻击信息封装到报文中。
15.根据权利要求11所述的系统，其特征在于，所述攻击检测设备，还用于从本地的受攻击端口将所述报文发送至作为其上游设备的攻击防范设备之后，如果在预设第一时间段内再次检测到所述网络攻击时，根据封装到所述报文中的防攻击信息在本地的受攻击端口下发防攻击表项。
16.根据权利要求11所述的系统，其特征在于，所述攻击防范设备，还用于在根据所述报文中封装的防攻击信息，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范之前，根据所述报文中封装的防攻击信息，确定所述防攻击信息对应的网络攻击在本地的受攻击端口，将所述报文通过所述受攻击端口发送到其上游设备； 所述攻击防范设备，还用于在预设第二时间段内再次检测到所述攻击防范信息对应的网络攻击时，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范。
17.根据权利要求11所述的系统，其特征在于，所述攻击防范设备，还用于在根据所述报文中封装的防攻击信息，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范之前，将所述报文中封装的部分防攻击信息发送至作为其上游设备的攻击防范设备。
18.根据权利要求17所述的系统，其特征在于，所述攻击防范设备，具体用于根据接收到的防攻击信息下发的防攻击表项占用资源，大于预设的资源阈值时，将多出的防攻击信息封装到报文中发送至作为其上游设备的攻击防范设备。
19.根据权利要求1`1所述的系统，其特征在于，所述报文为链路层发现协议报文。
【文档编号】H04L29/06GK103491076SQ201310407712
【公开日】2014年1月1日 申请日期:2013年9月9日 优先权日:2013年9月9日
【发明者】张建周, 韩冰 申请人:杭州华三通信技术有限公司