CN106656975A - 一种攻击防御方法及装置 - Google Patents
一种攻击防御方法及装置 Download PDFInfo
- Publication number
- CN106656975A CN106656975A CN201610905498.5A CN201610905498A CN106656975A CN 106656975 A CN106656975 A CN 106656975A CN 201610905498 A CN201610905498 A CN 201610905498A CN 106656975 A CN106656975 A CN 106656975A
- Authority
- CN
- China
- Prior art keywords
- module
- attack
- message
- characteristic information
- defence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供了一种攻击防御方法及装置,该方法包括:接收来自第一模块的防御报文,防御报文中携带有用于描述攻击的特征信息;检索防攻击表项中是否记录有与第一模块相关联的第二模块;若是,则将特征信息发送给第二模块,以使第二模块根据特征信息对接收到的与特征信息相匹配的报文进行防御处理。从而在防攻击的过程中,通过相关模块之间的联动防御,大幅度提高了设备的防御能力,并且减少了模块间通信,从而有效地减轻了系统负担,提高了资源利用率以及用户体验。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种攻击防御方法及装置。
背景技术
目前网上攻击日益频繁,使得一些网络设备在网络使用中出现了较多问题。为了增强网络设备的防攻击能力,现有技术主要采取的解决方案为:在网络设备中,针对不同的攻击方式和攻击手段进行针对性防御。
现有技术在进行攻击防御时,由于各防御模块之间的防御进程相互独立,因此各防御模块之间的联动性差,从而造成资源浪费,甚至是防御能力低等问题。
发明内容
本发明实施例所要解决的技术问题是提供一种攻击防御方法,以提高资源利用率以及设备的攻击防御能力。
为了解决上述问题,本发明实施例公开了一种攻击防御方法,包括:
接收来自第一模块的防御报文,防御报文中携带有用于描述攻击的特征信息;
检索防攻击表项中是否记录有与第一模块相关联的第二模块;
若是,则将特征信息发送给第二模块,以使第二模块根据特征信息对接收到的与特征信息相匹配的报文进行防御处理。
相应的,本发明实施例还提供了一种攻击防御装置,用以保证上述方法的实现及应用,装置包括:
第一接收模块,用于接收来自第一模块的防御报文,防御报文中携带有用于描述攻击的特征信息;
检索模块,用于检索防攻击表项中是否记录有与第一模块相关联的第二模块;
发送模块,用于若是,则将特征信息发送给第二模块,以使第二模块根据特征信息对接收到的与特征信息相匹配的报文进行防御处理。
这样,本发明实施例中,通过接收来自第一模块的防御报文,防御报文中携带有用于描述攻击的特征信息;检索防攻击表项中是否记录有与第一模块相关联的第二模块;若是,则将特征信息发送给第二模块,以使第二模块根据特征信息对接收到的与特征信息相匹配的报文进行防御处理。从而在防攻击的过程中,通过相关模块之间的联动防御,大幅度提高了设备的防御能力,并且减少了模块间通信,从而有效地减轻了系统负担,提高了资源利用率以及用户体验。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明的一种攻击防御方法实施例的步骤流程图;
图2是本发明一种攻击防御装置实施例的结构框图;
图3是本发明一种攻击防御装置实施例的结构框图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
目前,网络攻击的数量与种类日渐增多,现有技术实施例中,网络设备针对不同种类的攻击通常是采取针对性手段进行攻击防御。例如:ARP防欺骗、ping防攻击、DHCP防饿死攻击以及ICMP协议报文限速等。在现有技术实施例中,通过驱动侧和/或平台侧的各模块对不同类型的攻击进行防御,从而保证网络设备的安全。
但是,由于现有技术实施例中的各模块间防攻击进程是相互独立的,因而会出现各模块间联动性差,导致当多个模块受到相同攻击者发出的攻击时,均需要对攻击报文进行识别,再进行防御处理,明显增加了设备负担。并且,现有技术实施例中还可能存在无法对攻击进行准确识别的情况,例如:当网络设备受到ICMP攻击时,由于驱动侧防御模块设置有限速防御功能,则驱动侧防御模块将报文限速。当限速后的报文到达平台侧时,由于平台侧接收到的报文可能未超出平台识别攻击的阈值,则平台侧的相关防御模块将无法有效识别出该攻击,在该种情况下,由于平台侧的防御模块未识别出攻击,则平台会对该攻击报文进行相应的处理(此处的处理与前文所述的防御处理不同,指正常情况下平台侧对报文的响应处理),因而,导致了CPU和内存资源的浪费,同时还会影响其它报文的处理效率。
针对上述问题,本发明实施例的核心构思之一在于提出一种攻击防御方法及装置,以有效地提高资源利用率以及设备的攻击防御能力。
参照图1,示出了本发明的一种攻击防御方法实施例的步骤流程图,具体可以包括如下步骤:
步骤101,接收来自第一模块的防御报文,防御报文中携带有用于描述攻击的特征信息。
具体的,本发明实施例中的攻击防御方法应用于网络设备中,网络设备包括但不限于:路由器、交换机等设备。网络设备中的驱动侧和/或平台侧包括针对不同类型攻击的一个或一个以上防御模块。例如:ICMP模块或DHCP模块。
第一模块对接收到的报文进行检测,在本发明的一个实施例中,若第一模块检测到自身受到攻击,则第一模块向防攻击模块发送防御报文,已通知防攻击模块自身受到攻击。其中,防御报文中携带有用于描述攻击的特征信息。在本发明的另一个实施例中,用户可以在第一模块中手动设置描述攻击的特征信息,因此,在该实施例中,第一模块向防攻击模块发送的防御报文中还可以携带用户手动设置的用于描述攻击的特征信息。在本发明的实施例中,特征信息包括但不限于:地址信息(包括攻击者的地址信息和攻击对象的地址信息)、受攻击的接口信息、攻击类型以及老化时间。在本发明的另一个实施例中,由于某些模块,例如:驱动侧的ICMP模块,在受到攻击时无法识别出攻击者的地址信息,仅能判断当前自身受到攻击,因此,该模块向防御模块上报的防御报文中可以只携带用于描述攻击类型及老化时间的特征信息。
在本发明的实施例中,防攻击模块仅为使本领域普通技术人员更好的理解本发明,该模块所实现的功能可由网络设备中的任意模块或软件等实现,本发明对此不做限定。
步骤102,检索防攻击表项中是否记录有与第一模块相关联的第二模块。
具体的,在本发明的实施例中,防攻击模块通过检索本地存储的防攻击表项中所记录的内容,确定网络设备中是否存在与第一模块相关联的第二模块。
步骤103,若是,则将特征信息发送给第二模块,以使第二模块根据特征信息对接收到的与特征信息相匹配的报文进行防御处理。
具体的,若防御模块检索到网络设备中存在与第一模块相关联的第二模块,则将获取到的特征信息发送给第二模块,以使第二模块能够根据该特征信息进行进一步的防御处理。
第二模块接收到防御模块发来的特征信息,并将特征信息存储在本地防御表项中。第二模块可根据本地防御表象中记录的特征信息,从而对接收到的与特征信息相匹配的报文进行防御处理。防御处理包括对攻击报文进行识别以及丢弃等防御处理,具体防御处理过程可通过现有技术中的防攻击技术实现,本发明对此不再赘述。
综上所述,本发明实施例提供的技术方案,通过接收来自第一模块的防御报文,防御报文中携带有用于描述攻击的特征信息;检索防攻击表项中是否记录有与第一模块相关联的第二模块;若是,则将特征信息发送给第二模块,以使第二模块根据特征信息对接收到的与特征信息相匹配的报文进行防御处理。从而在防攻击的过程中,通过相关模块之间的联动防御,大幅度提高了设备的防御能力,并且减少了模块间通信,从而有效地减轻了系统负担,提高了资源利用率以及用户体验。
在本发明的一个优选的实施例中,在步骤101开始之前,方法还包括:防攻击模块接收来自第一模块的注册请求以及来自第二模块的关联请求,其中,注册请求中携带有标识第一模块的第一标识信息,关联请求中携带有标识第二模块的第二标识信息,并且关联请求用于指示第二模块与第一模块相关联。然后,防攻击模块将第一标识信息以及第二标识信息对应写入防攻击表项中。
在本发明的一个优选的实施例中,在步骤101之后,方法还包括:防攻击模块将接收到的防御报文中携带的特征信息写入防攻击表项。并且,在该防攻击表项中,特征信息对应于第一标识信息以及第二标识信息。
在本发明的一个优选的实施例中,在步骤102之后,方法还包括:若防攻击模块接收到来自第一模块的攻击解除报文,则删除防攻击表项中与该攻击对应的特征信息,并通知第二模块停止对当前攻击对应的防御处理。
在本发明的一个优选的实施例中,在步骤102之后,方法还可以包括:防攻击模块通过查询本地防攻击表象中记录的与攻击对应的老化时间,在经过该老化时间后,删除防攻击表项中与该攻击对应的的特征信息,并通知第二模块停止对当前攻击对应的防御处理。
为了更好的理解本发明的攻击防御方法,下面以具体实施例进行详细阐述。
(1)以ICMP防攻击为例进行详细举例。
ICMP防攻击在驱动侧和平台侧分别具有相应的模块,在本实施例中,驱动侧的ICMP防攻击模块称为ICMP1模块,平台侧的ICMP防攻击模块称为ICMP2模块。
当用户在网络设备中完成ICMP防攻击配置后,ICMP1模块与ICMP2模块被激活,并向防攻击模块发送注册请求。在本发明的实施例中,被激活(即完成防攻击设置)的防御模块均会向防攻击模块发送注册请求。其中,注册请求中包括用于标识防御模块的标识信息。在本实施例中,ICMP1模块向防攻击模块发送的注册请求中携带有第一标识信息,该第一标识信息用于标识ICMP1模块,以使防攻击模块唯一识别出ICMP1模块,第一标识信息中包括但不限于:ICMP1模块的名称和模块ID。ICMP2模块的注册报文与ICMP1模块的类似,此处不赘述。防攻击模块接收到注册请求后,获取其中的标识信息,并写入本地存储的防攻击表项中。
用户根据实际需求,期望ICMP1模块与ICMP2模块实现联动防御,即ICMP1模块与ICMP2模块互为强相关模块,则用户可在网络设备中指定ICMP2模块与ICMP2模块相关联。ICMP2可根据用户指令,向防攻击模块发送关联请求,以与ICMP1模块进行关联。其中,关联请求中携带有ICMP2模块的名称和模块ID等用于标识ICMP2模块的标识信息。防攻击模块接收到关联请求后,将从关联请求中获取到的ICMP2模块的标识信息写入防攻击表项,并对应于ICMP1模块的标识信息。
当攻击者向网络设备发起ICMP攻击时,由于驱动侧的ICMP1模块为底层模块,则网络设备中驱动侧的ICMP1模块优先于平台侧的ICMP2模块接收到该攻击报文。ICMP1接收到ICMP攻击报文后,将检测出当前自身正在受到ICMP攻击。具体的检测方法可通过现有技术实现,例如:接收到的攻击报文超过阈值等,本发明对此不限定。
ICMP1模块检测到当前正在受到ICMP攻击后,由于该模块不具有进一步识别攻击的功能,则ICMP1模块只对攻击报文进行限速处理。举例说明:当攻击者A向网络设备发送1000条攻击报文,同时普通用户B和普通用户C在向网络设备发送正常报文,报文数量分别为100,则当ICMP1模块接收到1200条报文时,该数量已超过阈值。ICMP1模块确认当前正在受到ICMP攻击。但是,由于功能限定,ICMP1模块无法确认当前接收到的1200条报文中,哪些报文属于攻击者发送的报文,哪些为普通用户发送的正常报文。因此,ICMP1模块只对接收到的报文进行限速处理。在本实施例中,以限速为200条/s为例。
ICMP1模块在检测到自身受到ICMP攻击后,向该网络设备中的防攻击模块发送防御报文。防御报文中携带有攻击类型(本实施例中为ICMP攻击)、受攻击的接口信息、老化时间(本实施例中为20s)等用于描述ICMP攻击的特征信息。
防攻击模块接收到该防御报文后,获取其携带的特征信息,并写入本地存储的防攻击表项中。同时,防攻击模块检索防攻击表项中是否记录有与ICMP1模块相关联的模块。经检索,防攻击模块确定与ICMP1模块相关联的模块为ICMP2模块。防攻击模块向ICMP2模块发送通知报文,以告知ICMP2模块当前ICMP1模块正在受到攻击,以使ICMP2模块对接收到的报文进行防御处理。并且,通知报文中携带有描述该ICMP攻击的特征信息,即攻击类型、接口信息和老化时间等特征信息。ICMP2模块将接收到的特征信息写入本地存储的防御表项中,以供后续使用。在其它实施例中,通知报文中还可以携带有ICMP1模块的标识信息,本发明对此不做限定。
具体的,经ICMP1模块限速后,报文以200条/s的速率发送至平台侧的ICMP2模块。ICMP2模块在接收到200条报文后,开启防御处理,对200条报文进行攻击识别,以识别出其中是否携带有攻击者发送的报文。举例说明:若200条报文中,包括有100条攻击者发送的ICMP攻击报文,100条普通报文,则在现有技术的实施例中,假设ICMP2模块中设置的阈值为110条,即某报文超过110条时,则启动防御处理。因此,在限速后的200条报文中只包含100条攻击报文,并且攻击报文的数量未超过ICMP2模块中的阈值的情况下,ICMP2模块将不对该200条报文进行任何防御处理,而是直接进行后续的处理过程。
在本发明的实施例中,由于ICMP2模块已经接收到防攻击模块发送来的通知报文,并且本地存储的防御表项中记录有与ICMP攻击相关的特征信息。ICMP2模块在接收到限速后的200条报文后,即对200条报文进行防御处理,识别出攻击报文并丢弃该报文。具体防御处理方法可由现有技术实现,此处不赘述。
ICMP2模块在对接收到的报文进行防御处理后,即可获取到描述攻击的详细特征信息,例如:攻击者的地址信息(IP地址及MAC地址)等特征信息。ICMP2模块同样会向防攻击模块发送防御报文,该防御报文中携带有ICMP2模块获取到的与攻击对应的特征信息。
防攻击模块接收并获取该特征信息,并将该特征信息写入防攻击表项中,则此时防攻击表项中记录的与ICMP攻击相关的特征信息包括:攻击者的地址信息、攻击类型、老化时间等更为具体的特征信息。
防攻击模块再次检索,确认与ICMP2模块相关联的模块为ICMP1模块。防攻击模块通知ICMP1模块,并将特征信息发送给ICMP1模块。具体细节与上述步骤中类似,此处不赘述。
ICMP1模块接收到特征信息后,将特征信息写入到本地存储的防御表项中,并根据防御表项中记录的特征信息对攻击报文进行防御处理。具体的,ICMP1模块可根据防御表项中与特征信息对应的地址信息,将与该地址信息对应的报文(即为攻击者发送的报文)丢弃。由于驱动侧的ICMP1模块已将攻击报文全部丢弃,因此,平台侧的ICMP2模块将不会再接收到攻击报文,从而减轻了平台侧的负担,进一步减轻了网络设备的系统负担,提高了资源利用率以及用户体验。
在本发明的实施例中,ICMP1模块在丢弃所有攻击报文后,将解除ICMP防御处理,并向防攻击模块发送攻击解除报文。防攻击模块根据接收到的攻击解除报文,删除防攻击表项中对应的特征信息。同时,防攻击模块向ICMP2模块发送攻击解除通知,以通知ICMP2模块停止当前的防御处理。ICMP2模块接收该攻击解除通知,由于ICMP1模块已将攻击报文进行丢弃,因此ICMP2模块当前未收到任何攻击报文,即ICMP2模块当前未进行任何防御处理。ICMP2模块仅删除本地存储的防御表项中记录的与ICMP攻击对应的内容。
在本发明的另一个实施例中,如果ICMP1模块在丢弃所有来自攻击者的攻击报文后,该攻击者仍持续发来攻击报文,则ICMP1模块将不会ICMP解除防御处理,而是继续对接收到的攻击报文进行丢弃处理。当防攻击模块检测到当前已超过ICMP攻击的老化时间(本实施例中为20s),则防攻击模块将删除防攻击表项中记录的与ICMP攻击对应的特征信息,并通知ICMP2模块停止防御处理。由于ICMP1模块当前仍受到ICMP攻击,因此ICMP1模块会重新向防攻击模块发送防御报文,以重新与ICMP2模块建立联动防御关系。
(2)以AAA防攻击和PPPOE防攻击为例进行详细举例。
当用户在网络设备中完成AAA防攻击配置后,AAA模块被激活,并向防攻击模块发送注册请求。用户将PPPOE与AAA设置为强相关模块,即PPPOE模块向防攻击模块发送关联请求,以与AAA模块相关联。
防攻击模块将AAA模块与PPPOE模块的标识信息对应写入本地存储的防攻击表项中。
当攻击者向网络设备发起AAA攻击时,AAA模块检测出自身受到攻击,并识别出攻击的特征信息。与上述实施例中的ICMP1模块不同,AAA模块能够直接识别出攻击者的地址信息等特征信息,则AAA获取到的特征信息包括:攻击者的地址信息、目的地址信息、攻击类型、受攻击的接口信息、老化时间等特征信息。
AAA向防攻击模块发送防御报文,并且防御报文中携带有上述特征信息。防攻击模块获取防御报文中的特征信息,并将该特征信息写入到防攻击表项中。
防攻击模块通过检索防攻击表项,确定与AAA模块相关联的模块为IPOE模块。防攻击模块向IPOE模块发送通知报文,通知报文中携带有防攻击表项中记录的与IPOE攻击对应的特征信息。
IPOE模块接收到该通知报文,获取其中的特征信息,并写入本地防御表项中。随后,IPOE可根据防御表项中的内容,识别出与特征信息中的攻击者的地址信息对应的报文,则IPOE模块可直接将该攻击者发来的报文全部丢弃。由于IPOE模块丢弃来自攻击者的全部报文,攻击者将与网络设备断开认证连接,因此,AAA模块将不会再收到任何来自该攻击者的报文,从而减轻了该模块的负担,进一步减轻了网络设备的负担。本实施例中的具体细节以及后续过程与上述实施例类似,此处不再赘述。
(3)在本发明的一个实施例中,用户在对第一模块进行防攻击配置时,可以在第一模块中手动设置用于描述攻击的特征信息,例如:用户可以在第一模块中设置黑名单,黑名单中可记录有攻击者的地址以及其它信息。第一模块被激活后,向防攻击模块发送注册请求。用户将第一模块和第二模块设置为强相关模块,即第一模块向防攻击模块发送关联请求,以与第二模块进行关联。
防攻击模块将第一模块和第二模块的标识信息对应写入本地存储的防攻击表项中。
第一模块向防攻击模块发送防御报文,并且防御报文中携带有黑名单中记录的特征信息。防攻击模块获取防御报文中的特征信息,并将该特征信息写入到防攻击表项中。
防攻击模块通过检索防攻击表项,确定与第一模块相关联的模块为第二模块。防攻击模块将来自第一模块的特征信息发送至第二模块。
第二模块接收特征信息,并将特征信息写入本地防御表项中。随后,当第二模块接收到与该特征信息相匹配的报文,即属于黑名单中的攻击者发送来的报文,则第二模块可直接将该类报文全部丢弃。从而使第二模块不用在对攻击报文进行识别,有效地减轻了该模块的负担,进一步减轻了网络设备的负担。本实施例中的具体细节以及后续过程与上述实施例类似,此处不再赘述。
基于与上述方法同样的发明构思,本发明实施例还提供一种攻击防御装置,应用在网络设备中。该攻击防御装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在的路由设备的处理器,读取非易失性存储器中对应的计算机程序指令形成的。从硬件层面而言,除了处理器、非易失性存储器外,路由设备还可以包括其他硬件,如负责处理报文的转发芯片、网络接口、内存等;从硬件结构上来讲,该路由设备还可能是分布式设备,可能包括多个接口卡,以便在硬件层面进行报文处理的扩展
参照图2,示出了本发明一种攻击防御装置200的实施例的结构框图,具体可以包括如下模块:
第一接收模块201,用于接收来自第一模块的防御报文,防御报文中携带有用于描述攻击的特征信息。
检索模块202,用于检索防攻击表项中是否记录有与第一模块相关联的第二模块。
发送模块203,用于若是,则将特征信息发送给第二模块,以使第二模块根据特征信息对接收到的与特征信息相匹配的报文进行防御处理。
参照图3,在本发明的一个实施例中,在图2的基础上,攻击防御装置200还可以包括:
第二接收模块204,用于接收来自第一模块的注册请求以及来自第二模块的关联请求,其中,注册请求中携带有标识第一模块的第一标识信息,关联请求中携带有标识第二模块的第二标识信息,并且关联请求用于指示第二模块与第一模块相关联。
写入模块205,用于将第一标识信息以及第二标识信息对应写入防攻击表项。
在本发明的一个实施例中,写入模块205可以进一步用于将特征信息写入防攻击表项。
继续参照图3,在本发明的一个实施例中,攻击防御装置200还包括:
通知模块206,用于若接收到来自第一模块的攻击解除报文,则删除防攻击表项中的特征信息,并通知第二模块停止防御处理。
在本发明的一个实施例中,通知模块206可以进一步用于在经过与攻击对应的老化时间后,删除防攻击表项中的特征信息,并通知第二模块停止防御处理。
在本发明的一个实施例中,第一接收模块接收到的第一报文中携带的特征信息包括以下至少之一:地址信息、接口信息、攻击类型、老化时间。
综上所述,本发明实施例提供的攻击防御装置,通过接收来自第一模块的防御报文,防御报文中携带有用于描述攻击的特征信息;检索防攻击表项中是否记录有与第一模块相关联的第二模块;若是,则将特征信息发送给第二模块,以使第二模块根据特征信息对接收到的与特征信息相匹配的报文进行防御处理。从而在防攻击的过程中,通过相关模块之间的联动防御,大幅度提高了设备的防御能力,并且减少了模块间通信,从而有效地减轻了系统负担,提高了资源利用率以及用户体验。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端装置(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端装置的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端装置的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端装置以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端装置上,使得在计算机或其他可编程终端装置上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端装置上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端装置中还存在另外的相同要素。
以上对本发明所提供的一种攻击防御方法和装置,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (12)
1.一种攻击防御方法,其特征在于,包括:
接收来自第一模块的防御报文,所述防御报文携带有用于描述攻击的特征信息;
检索防攻击表项中是否记录有与所述第一模块相关联的第二模块;
若是,则将所述特征信息发送给所述第二模块,以使所述第二模块根据所述特征信息对接收到的与所述特征信息相匹配的报文进行防御处理。
2.根据权利要求1所述的方法,其特征在于,在所述接收来自第一模块的防御报文的步骤之前,还包括:
接收来自第一模块的注册请求以及来自第二模块的关联请求,其中,所述注册请求中携带有标识所述第一模块的第一标识信息,所述关联请求中携带有标识所述第二模块的第二标识信息,并且所述关联请求用于指示所述第二模块与所述第一模块相关联;
将所述第一标识信息以及所述第二标识信息对应写入所述防攻击表项。
3.根据权利要求2所述的方法,其特征在于,在接收来自第一模块的防御报文的步骤之后,还包括:
将所述特征信息写入所述防攻击表项。
4.根据权利要求3所述的方法,其特征在于,所述将所述特征信息发送给所述第二模块的步骤之后,还包括:
若接收到来自所述第一模块的攻击解除报文,则删除所述防攻击表项中的所述特征信息,并通知所述第二模块停止所述防御处理。
5.根据权利要求3所述的方法,其特征在于,所述将所述特征信息发送给所述第二模块的步骤之后,还包括:
在经过与所述攻击对应的老化时间后,删除所述防攻击表项中的所述特征信息,并通知所述第二模块停止所述防御处理。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述特征信息包括以下至少之一:
地址信息、接口信息、攻击类型、老化时间。
7.一种攻击防御装置,其特征在于,包括:
第一接收模块,用于接收来自第一模块的防御报文,所述防御报文中携带有用于描述攻击的特征信息;
检索模块,用于检索防攻击表项中是否记录有与所述第一模块相关联的第二模块;
发送模块,用于若是,则将所述特征信息发送给所述第二模块,以使所述第二模块根据所述特征信息对接收到的与所述特征信息相匹配的报文进行防御处理。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第二接收模块,用于接收来自第一模块的注册请求以及来自第二模块的关联请求,其中,所述注册请求中携带有标识所述第一模块的第一标识信息,所述关联请求中携带有标识所述第二模块的第二标识信息,并且所述关联请求用于指示所述第二模块与所述第一模块相关联;
写入模块,用于将所述第一标识信息以及所述第二标识信息对应写入所述防攻击表项。
9.根据权利要求8所述的装置,其特征在于,所述写入模块进一步用于将所述特征信息写入所述防攻击表项。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
通知模块,用于若接收到来自所述第一模块的攻击解除报文,则删除所述防攻击表项中的所述特征信息,并通知所述第二模块停止所述防御处理。
11.根据权利要求9所述的装置,其特征在于,所述通知模块进一步用于在经过与所述攻击对应的老化时间后,删除所述防攻击表项中的所述特征信息,并通知所述第二模块停止所述防御处理。
12.根据权利要求7-12任一项所述的装置,其特征在于,所述第一接收模块接收到的所述防御报文中携带的所述特征信息包括以下至少之一:
地址信息、接口信息、攻击类型、老化时间。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610905498.5A CN106656975B (zh) | 2016-10-18 | 2016-10-18 | 一种攻击防御方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610905498.5A CN106656975B (zh) | 2016-10-18 | 2016-10-18 | 一种攻击防御方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106656975A true CN106656975A (zh) | 2017-05-10 |
| CN106656975B CN106656975B (zh) | 2020-01-24 |
Family
ID=58855376
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610905498.5A Active CN106656975B (zh) | 2016-10-18 | 2016-10-18 | 一种攻击防御方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106656975B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110191104A (zh) * | 2019-05-10 | 2019-08-30 | 新华三信息安全技术有限公司 | 一种安全防护的方法及装置 |
| CN110519265A (zh) * | 2019-08-27 | 2019-11-29 | 新华三信息安全技术有限公司 | 一种防御攻击的方法及装置 |
| CN113225334A (zh) * | 2021-04-30 | 2021-08-06 | 中国工商银行股份有限公司 | 终端安全管理方法、装置、电子设备及存储介质 |
| CN113746800A (zh) * | 2021-07-29 | 2021-12-03 | 北京七壹技术开发有限公司 | 一种智能多平台协同防御方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1791021A (zh) * | 2005-12-21 | 2006-06-21 | 杭州华为三康技术有限公司 | 一种入侵检测系统与网络设备联动的系统及方法 |
| CN102571786A (zh) * | 2011-12-30 | 2012-07-11 | 深信服网络科技(深圳)有限公司 | 防火墙中多个安全模块之间联动防御的方法及防火墙 |
| CN103491076A (zh) * | 2013-09-09 | 2014-01-01 | 杭州华三通信技术有限公司 | 一种网络攻击的防范方法和系统 |
| CN105871775A (zh) * | 2015-01-19 | 2016-08-17 | 中国移动通信集团公司 | 一种安全防护方法及dpma防护模型 |
-
2016
- 2016-10-18 CN CN201610905498.5A patent/CN106656975B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1791021A (zh) * | 2005-12-21 | 2006-06-21 | 杭州华为三康技术有限公司 | 一种入侵检测系统与网络设备联动的系统及方法 |
| CN102571786A (zh) * | 2011-12-30 | 2012-07-11 | 深信服网络科技(深圳)有限公司 | 防火墙中多个安全模块之间联动防御的方法及防火墙 |
| CN103491076A (zh) * | 2013-09-09 | 2014-01-01 | 杭州华三通信技术有限公司 | 一种网络攻击的防范方法和系统 |
| CN105871775A (zh) * | 2015-01-19 | 2016-08-17 | 中国移动通信集团公司 | 一种安全防护方法及dpma防护模型 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110191104A (zh) * | 2019-05-10 | 2019-08-30 | 新华三信息安全技术有限公司 | 一种安全防护的方法及装置 |
| CN110519265A (zh) * | 2019-08-27 | 2019-11-29 | 新华三信息安全技术有限公司 | 一种防御攻击的方法及装置 |
| CN113225334A (zh) * | 2021-04-30 | 2021-08-06 | 中国工商银行股份有限公司 | 终端安全管理方法、装置、电子设备及存储介质 |
| CN113746800A (zh) * | 2021-07-29 | 2021-12-03 | 北京七壹技术开发有限公司 | 一种智能多平台协同防御方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106656975B (zh) | 2020-01-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9110703B2 (en) | Virtual machine packet processing | |
| CN105474602B (zh) | 软件定义网络中识别攻击流的方法、装置以及设备 | |
| CN104468624B (zh) | Sdn控制器、路由/交换设备及网络防御方法 | |
| KR101270041B1 (ko) | Arp 스푸핑 공격 탐지 시스템 및 방법 | |
| CN106656975A (zh) | 一种攻击防御方法及装置 | |
| CN103609089B (zh) | 一种防止附连到子网的主机上拒绝服务攻击的方法及装置 | |
| WO2020143119A1 (zh) | 物联网DDoS攻击防御方法、装置、系统及存储介质 | |
| CN105939332B (zh) | 防御arp攻击报文的方法及装置 | |
| JPWO2005036831A1 (ja) | フレーム中継装置 | |
| CN106101011B (zh) | 一种报文处理方法及装置 | |
| US10536480B2 (en) | Method and device for simulating and detecting DDoS attacks in software defined networking | |
| US20110026529A1 (en) | Method And Apparatus For Option-based Marking Of A DHCP Packet | |
| WO2008131658A1 (fr) | Procédé et dispositif pour fureter le dhcp | |
| CN106686007B (zh) | 一种发现内网被控重路由节点的主动流量分析方法 | |
| CN108134748A (zh) | 一种基于快速转发表项的丢包方法和装置 | |
| CN108429731A (zh) | 防攻击方法、装置及电子设备 | |
| CN107690004B (zh) | 地址解析协议报文的处理方法及装置 | |
| CN106911724A (zh) | 一种报文处理方法及装置 | |
| TW201535141A (zh) | 網路設備及其防止位址解析協定報文攻擊的方法 | |
| JP2022500957A (ja) | パケット処理 | |
| CN106878326A (zh) | 基于反向检测的IPv6邻居缓存保护方法及其装置 | |
| CN108965263A (zh) | 网络攻击防御方法及装置 | |
| CN107547400B (zh) | 一种虚拟机迁移方法和装置 | |
| KR20140044970A (ko) | 접근 제어 목록을 이용한 공격 차단 제어 방법 및 그 장치 | |
| CN111049782A (zh) | 反弹式网络攻击的防护方法、装置、设备、系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230625 Address after: 310052 11th Floor, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd. Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd. |