CN112134838B - 防止网络攻击的方法及装置 - Google Patents

Abstract

本申请提供一种防止网络攻击的方法，该方法包括：接收转发模块发送的用户报文；当未存在匹配的软件防攻击表项时，判断是否存在匹配的第一统计表项，该第一统计表项还包括用户终端访问第一Web站点的第一访问次数；若存在，则更新第一访问次数，并通过转发模块向用户终端发送重定向页面，并判断更新后的第一访问次数是否超过输出阈值；若超过，则输出日志信息，并判断更新后的第一访问次数是否超过生成阈值；若超过，则生成第一软件防攻击表项，并向硬件驱动模块发送第一通知，以使得硬件驱动模块在硬件表具有空闲表项时生成第一硬件防攻击表项，在硬件表未具有空闲表项时停止生成第一硬件防攻击表项。

Description

防止网络攻击的方法及装置

技术领域

本申请涉及通信技术领域，尤其涉及一种防止网络攻击的方法及装置。

背景技术

在IPOE Web场景下，如图1所示，图1为IPOE Web场景组网示意图。用户使用的用户终端先通过DHCP服务器申请到IP地址后，还需通过Web认证后才能访问Web站点。在Web认证之前，用户终端若访问Web站点，BRAS则会为用户终端推送重定向页面，用户终端在重定向页面中输入用户名和密码。待认证通过后，用户终端访问Web站点。

对于校园网用户，用户规模较大且用户终端容易感染病毒。用户终端感染病毒后，当用户终端处于开机状态时，病毒就会反复访问某些指定的Web站点，造成IPOE Web攻击。也即是，只要用户终端开机，用户终端即刻访问某些指定的Web站点，BRAS则会为该用户终端推送重定向页面。但该用户终端又不进行Web登陆，如此会出现浪费BRAS资源，影响其它用户终端上线的问题。

为了解决上述IPOE Web攻击问题，通常采用的做法是在BRAS的接口上配置基于目的IP的防攻击功能，并设置生成防攻击表项的阈值。如此，在接收到非Web域用户终端发送的访问Web站点的请求时，BRAS除了引导用户终端进行Web登录，还记录用户终端访问该Web站点的站点信息，以及访问该Web站点的次数，若访问该Web站点的次数超过阈值，则BRAS确定存在IPOE Web攻击。

目前，BRAS对于IPOE Web攻击的处理方式包括下述两种：1)BRAS打印攻击日志信息，提示用户当前已发生攻击。但，对于后续访问该Web站点的用户终端，BRAS仍继续推送重定向页面；2)BRAS生成软硬件防攻击表项，由于硬件规格的限制，超过硬件规格的防攻击表项由CPU软件生成。

前述两种方式在一定程度上可以抑制IPOE Web攻击问题，但也存在一些缺陷：1)对于输出日志信息的防攻击方式，BRAS无法自动生成防攻击表项，以真正阻断攻击；2)对于阻断攻击流的防攻击方式，超出硬件规格但被频繁攻击的Web站点，BRAS无法动态调整硬件的防攻击表项，使得大量的防攻击表项由CPU软件生成，过多占用CPU内存。

发明内容

有鉴于此，本申请提供了一种防止网络攻击的方法及装置，实现了BRAS动态调整防攻击方式，并根据IPOE Web攻击的严重程度动态调整硬件防攻击表项，提高防攻击效率，减轻CPU负担。

第一方面，本申请提供了一种防止网络攻击的方法，所述方法应用于BRAS包括的IPoE模块，所述BRAS还包括转发模块、硬件驱动模块，所述方法包括：

接收转发模块发送的用户报文，所述用户报文包括目的IP地址以及所述转发模块接收所述用户报文的接口所属的VPN标识；

当未存在与所述目的IP地址以及VPN标识匹配的软件防攻击表项时，判断是否存在与所述目的IP以及VPN标识匹配的第一统计表项，所述第一统计表项还包括用户终端访问第一Web站点的第一访问次数；

若存在所述第一统计表项，则更新所述第一访问次数，通过所述转发模块向所述用户终端发送重定向页面，并判断更新后的第一访问次数是否超过输出阈值；

若超过所述输出阈值，则输出日志信息，并判断所述更新后的第一访问次数是否超过生成阈值；

若超过所述生成阈值，则生成第一软件防攻击表项，并向所述硬件驱动模块发送第一通知，以使得所述硬件驱动模块在硬件表具有空闲表项时生成第一硬件防攻击表项，在所述硬件表未具有空闲表项时停止生成所述第一硬件防攻击表项。

第二方面，本申请提供了一种防止网络攻击的装置，所述装置应用于BRAS，所述BRAS还包括转发模块、硬件驱动模块，所述装置包括：

接收单元，用于接收转发模块发送的用户报文，所述用户报文包括目的IP地址以及所述转发模块接收所述用户报文的接口所属的VPN标识；

判断单元，用于当未存在与所述目的IP地址以及VPN标识匹配的软件防攻击表项时，判断是否存在与所述目的IP以及VPN标识匹配的第一统计表项，所述第一统计表项还包括用户终端访问第一Web站点的第一访问次数；

发送单元，用于若存在所述第一统计表项，则更新所述第一访问次数，并通过所述转发模块向所述用户终端发送重定向页面；

所述判断单元还用于，判断更新后的第一访问次数是否超过输出阈值；

若超过所述输出阈值，则输出日志信息，并判断所述更新后的第一访问次数是否超过生成阈值；

生成单元，用于若超过所述生成阈值，则生成第一软件防攻击表项；

发送单元，用于向所述硬件驱动模块发送第一通知，以使得所述硬件驱动模块在硬件表具有空闲表项时生成第一硬件防攻击表项，在所述硬件表未具有空闲表项时停止生成所述第一硬件防攻击表项。

第三方面，本申请提供了一种网络设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的机器可执行指令，处理器被机器可执行指令促使执行本申请第一方面所提供的方法。

因此，通过应用本申请提供的一种防止网络攻击的方法及装置，IPoE模块接收到转发模块发送的用户报文后，根据用户报文携带的目的IP地址以及接口的VPN标识，查找本地是否存在匹配的软件防攻击表项。当本地未存在时，判断是否存在匹配的第一统计表项。当本地存在时，更新第一访问次数，并判断更新后的第一访问次数是否超过输出阈值以及生成阈值。当超过输出阈值时，输出日志信息；当超过生成阈值时，生成第一软件防攻击表项，并同时向硬件驱动模块发送第一通知，以使得硬件驱动模块在硬件表具有空闲表项时生成第一硬件防攻击表项，在硬件表未具有空闲表项时停止生成第一硬件防攻击表项。

由于IPoE模块将访问次数与表征发生攻击严重程度的阈值进行比较，根据发生攻击的严重程度决定防攻击策略(例如，输出日志信息、生成软件防攻击表项、硬件反攻击表项等)，实现了BRAS动态调整防攻击方式，并根据IPOE Web攻击的严重程度动态调整硬件防攻击表项，提高防攻击效率，减轻CPU负担。

附图说明

图1为IPOE Web场景组网示意图；

图2为本申请实施例提供的防止网络攻击的方法流程图；

图3为本申请实施例提供的防止网络攻击的方法的时序图；

图4为本申请实施例提供的一种流量控制装置结构图；

图5为本申请实施例提供的一种网络设备硬件结构图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施例并不代表与本申请相一致的所有实施例。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

下面对本申请实施例提供的防止网络攻击的方法进行详细地说明。参见图2，图2为本申请实施提供的防止网络攻击的方法流程图。该方法应用于BRAS包括的IPoE模块。BRAS还包括转发模块、硬件驱动模块。本申请实施例提供的防止网络攻击的方法可包括如下所示步骤。

步骤210、接收转发模块发送的用户报文，所述用户报文包括目的IP地址以及所述转发模块接收所述用户报文的接口所属的VPN标识。

具体地，转发模块的第一接口接收用户终端发送的用户报文，该用户报文为用户终端访问第一Web站点的请求报文，该请求报文可具体为HTTP报文。其中，用户报文包括目的IP地址，该目的IP地址为第一Web站点的IP地址。

转发模块的第一接口接收到用户报文后，将该第一接口所属的VPN标识携带在该用户报文中。转发模块向硬件驱动模块转发该用户报文。

硬件驱动模块接收到用户报文后，从用户报文中获取目的IP地址。硬件驱动模块判断目的IP地址表征的第一Web站点是否为Web重定向站点。如果第一Web站点是Web重定向站点，则无需推送重定向页面，用户终端直接进行Web登录。此时，硬件驱动模块可直接将该用户报文进行转发。

如果第一Web站点不是Web重定向站点，则说明用户终端在访问第一Web站点前需进行Web登录。在登录成功后，访问第一Web站点。此时，硬件驱动模块还从用户报文中获取该VPN标识。硬件驱动模块根据目的IP地址以及VPN标识，查找本地硬件表中是否存在与目的IP地址以及VPN标识匹配的硬件防攻击表项。其中，硬件防攻击表项还包括用户终端访问对应Web站点的访问次数。

如果本地硬件表中存在与目的IP地址以及VPN标识匹配的硬件防攻击表项，则硬件驱动模块丢弃该用户报文，并同时更新该硬件防攻击表项包括的用户终端访问第一Web站点的访问次数，也即是原始访问次数上加1。

如果本地硬件表中未存在与目的IP地址以及VPN标识匹配的硬件防攻击表项，则硬件驱动模块将该用户报文上送CPU软件处理。

可以理解的是，硬件表中存在硬件防攻击表项说明BRAS在先已接收到针对第一Web站点的攻击报文。

转发模块再次接收到硬件驱动模块发送的用户报文后，将用户报文向IPoE模块转发。

IPoE模块接收到用户报文后，从中获取目的IP地址以及VPN标识。

步骤220、当未存在与所述目的IP地址以及VPN标识匹配的软件防攻击表项时，判断是否存在与所述目的IP以及VPN标识匹配的第一统计表项，所述第一统计表项还包括用户终端访问第一Web站点的第一访问次数。

具体地，IPoE模块根据目的IP地址以及VPN标识，查找本地软件表中是否存在与目的IP地址以及VPN标识匹配的软件防攻击表项。其中，软件防攻击表项也包括用户终端访问对应Web站点的访问次数。

如果本地软件表中未存在与目的IP地址以及VPN标识匹配的硬件防攻击表项，则IPoE模块判断本地统计表中是否存在与目的IP以及VPN标识匹配的第一统计表项。其中，统计表项还包括用户终端访问对应Web站点的访问次数。在本申请实施例中，第一统计表项包括用户终端访问第一Web站点的第一访问次数。

如果本地软件表中存在与目的IP地址以及VPN标识匹配的软件防攻击表项，则IPoE模块丢弃该用户报文，并同时更新该软件防攻击表项包括的用户终端访问第一Web站点的第二访问次数，从而阻断用户终端的Web访问。

步骤230、若存在所述第一统计表项，则更新所述第一访问次数，并通过所述转发模块向所述用户终端发送重定向页面，并判断更新后的第一访问次数是否超过输出阈值。

具体地，根据步骤220的判断，如果本地统计表中存在与目的IP以及VPN标识匹配的第一统计表项，则IPoE模块更新第一访问次数，向转发模块发送重定向页面。转发模块将重定向页面转发至用户终端，引导用户终端进行Web登录。同时，IPoE模块还判断更新后的第一访问次数是否超过输出阈值。该输出阈值具体是指是否输出日志信息的阈值，通过输出日志信息，提示用户当前存在IPOE Web攻击。

如果本地统计表中未存在与目的IP以及VPN标识匹配的第一统计表项，则IPoE模块生成第二统计表项，该第二统计表项包括用户终端访问第一Web站点的第三访问次数。IPoE模块更新第三访问次数，转发模块发送重定向页面。转发模块将重定向页面转发至用户终端，引导用户终端进行Web登录。同时，IPoE模块还判断更新后的第三访问次数是否超过输出阈值。也即是，IPoE模块在生成第二统计表项后，仍需执行后续步骤240-250。

步骤240、若超过所述输出阈值，则输出日志信息，并判断所述更新后的第一访问次数是否超过生成阈值。

具体地，根据步骤230的描述，IPoE模块判断更新后的第一访问次数或第三访问次数是否超过输出阈值。

如果更新后的第一访问次数或第三访问次数超过输出阈值，则IPoE模块输出日志信息，并同时判断更新后的第一访问次数或第三访问次数是否超过生成阈值。该生成阈值具体是指是否生成软件防攻击表项的阈值，通过生成软件防攻击表项，阻断当前存在的IPOE Web攻击。

可以理解的是，如果更新后的第一访问次数或第三访问次数未超过输出阈值，则IPoE模块停止输出日志信息。此时，IPoE模块确定当前存在的IPOE Web攻击程度未达到输出日志信息的程度，也即是当前存在的IPOE Web攻击程度为轻度。

步骤250、若超过所述生成阈值，则生成第一软件防攻击表项，并向所述硬件驱动模块发送第一通知，以使得所述硬件驱动模块在硬件表具有空闲表项时生成第一硬件防攻击表项，在所述硬件表未具有空闲表项时停止生成所述第一硬件防攻击表项。

具体地，根据步骤240的描述，IPoE模块判断更新后的第一访问次数或第三访问次数是否超过生成阈值。

如果更新后的第一访问次数或第三访问次数超过生成阈值，则IPoE模块生成第一软件防攻击表项。同时，IPoE模块生成第一通知，该第一通知包括第一Web站点的IP地址、端口号(用户终端与第一Web站点之间建立连接的端口，例如，http端口号为8080)以及类型(用户终端与第一Web站点之间建立连接的连接类型，例如，TCP连接)。

IPoE模块向硬件驱动模块发送第一通知。硬件驱动模块接收到第一通知后，从中获取第一Web站点的IP地址、端口号以及类型。硬件驱动模块判断本地硬件表是否还存在空闲表项。当存在空闲表项(也即是本地硬件表还有剩余空间)时，硬件驱动模块生成第一硬件防攻击表项，当后续再次接收到具有第一Web站点的用户报文时，丢弃用户报文，阻断访问。当未存在空闲表项(也即是本地硬件表已满，未有剩余空间)时，硬件驱动模块停止生成第一硬件防攻击表项，丢弃第一通知。

如果更新后的第一访问次数或第三访问次数未超过生成阈值，则IPoE模块停止生成第一软件防攻击表项，或者，停止生成第二软件防攻击表项。可以理解的是，IPoE模块停止生成软件防攻击表项，表明IPoE模块确定当前存在的IPOE Web攻击的程度达到输出日志信息的程度，但未达到生成软件防攻击表项的程度，也即是当前存在的IPOE Web攻击程度仍为轻度。

因此，通过应用本申请提供的一种防止网络攻击的方法，IPoE模块接收到转发模块发送的用户报文后，根据用户报文携带的目的IP地址以及接口的VPN标识，查找本地是否存在匹配的软件防攻击表项。当本地未存在时，判断是否存在匹配的第一统计表项。当本地存在时，更新第一访问次数，并判断更新后的第一访问次数是否超过输出阈值以及生成阈值。当超过输出阈值时，输出日志信息；当超过生成阈值时，生成第一软件防攻击表项，并同时向硬件驱动模块发送第一通知，以使得硬件驱动模块在硬件表具有空闲表项时生成第一硬件防攻击表项，在硬件表未具有空闲表项时停止生成第一硬件防攻击表项。

由于IPoE模块将访问次数与表征发生攻击严重程度的阈值进行比较，根据发生攻击的严重程度决定防攻击策略(例如，输出日志信息、生成软件防攻击表项、硬件反攻击表项等)，实现了BRAS动态调整防攻击方式，并根据IPOE Web攻击的严重程度动态调整硬件防攻击表项，提高防攻击效率，减轻CPU负担。

可以理解的是，在前述实施例的描述中，以用户终端访问第一Web站点为例进行说明，在前述场景下，若用户终端继续访问第二Web站点、第三Web站点，具体过程与前述步骤210-步骤250描述的过程相同。

可选地，在本申请实施例中，BRAS在先设置一定时器。BRAS在使能IPOE Web防攻击功能后，启动该定时器。在该定时器超时时，IPoE模块获取本地每个软件防攻击表项包括的访问次数以及硬件驱动模块中每个硬件防攻击表项包括的访问次数，并对访问次数进行排序。根据排序结果，更新硬件防攻击表项的过程。通过该过程，若被攻击严重的站点未具有硬件防攻击表项，则IPoE模块直接通知硬件驱动模块生成对应的硬件防攻击表项，通过硬件阻断访问该站点的流量，而被攻击相对较轻的站点的防攻击，则由CPU软件完成，提高防攻击效率。

具体地，IPoE模块获取本地软件表中每个软件防攻击表项包括的访问次数，其中，每个软件防攻击表项与一个Web站点对应。IPoE模块生成查询消息，该查询消息用于使硬件驱动模块获取本地硬件表中每个硬件防攻击表项包括的访问次数。其中，每个硬件防攻击表项与一个Web站点对应。

IPoE模块向硬件驱动模块发送查询消息。硬件驱动模块接收到查询消息后，获取本地硬件表中每个硬件防攻击表项包括的访问次数。硬件驱动模块生成查询响应消息，该查询响应消息包括每个硬件防攻击表项包括的访问次数。

硬件驱动模块向IPoE模块发送查询响应消息。IPoE模块接收到硬件驱动模块发送的查询响应消息后，从中获取每个硬件防攻击表项包括的访问次数。

IPoE模块从多个软件防攻击表项以及多个硬件防攻击表项中，将属于同一Web站点的软件防攻击表项的访问次数与硬件防攻击表项的访问次数相加，得到访问次数和值。IPoE模块将该和值作为属于同一Web站点的访问次数。

IPoE模块将属于不同Web站点的访问次数进行排序。

根据排序结果，当访问次数在排序结果中处于第一次序，且存在属于同一Web站点的软件防攻击表项以及硬件防攻击表项时，IPoE模块生成第三通知消息。其中，第三通知消息包括删除信息，该删除信息包括删除标识以及待删除的Web站点的IP地址。当然，该删除消息还包括端口号以及类型。

IPoE模块向硬件驱动模块发送第三通知。硬件驱动模块接收到第三通知后，从第三通知中获取删除标识以及待删除的Web站点的IP地址。根据删除标识，硬件驱动模块确定需执行删除动作；根据待删除的Web站点的IP地址，硬件驱动模块查找本地硬件表，将与Web站点的IP地址匹配的硬件防攻击表项删除。

根据排序结果，当访问次数在排序结果中处于第二次序，且未存在硬件防攻击表项时，IPoE模块生成第四通知消息。其中，第四通知消息包括添加信息，该添加信息包括添加标识以及待添加的Web站点的IP地址。当然，该添加消息还包括端口号以及类型。

IPoE模块向硬件驱动模块发送第四通知。硬件驱动模块接收到第四通知后，从第四通知中获取添加标识以及待添加的Web站点的IP地址。根据添加标识，硬件驱动模块确定需执行添加动作；根据待添加的Web站点的IP地址，硬件驱动模块在本地硬件表中添加与Web站点的IP地址匹配的硬件防攻击表项。

在本申请实施例中，IPoE模块可根据用户终端访问对应Web站点的访问次数确定当前Web站点被攻击的严重程度，执行不同的防攻击策略。

例如，IPoE模块确定当前存在的IPOE Web攻击程度为轻度，则输出日志信息；IPoE模块确定当前存在的IPOE Web攻击程度为中度，则生成软件防攻击表项；IPoE模块确定当前存在的IPOE Web攻击程度为重度，则生成硬件防攻击表项。

下面通过具体示例对本申请实施例提供的防止网络攻击的方法进行详细说明。如图3所示，图3为本申请实施例提供的防止网络攻击的方法的时序图。

在图3中，转发模块的第一接口接收用户终端发送的第一用户报文，该第一用户报文为用户终端访问Web站点A的请求报文。其中，第一用户报文包括目的IP地址，该目的IP地址为Web站点A的IP地址。

转发模块的第一接口接收到第一用户报文后，将该第一接口所属的VPN标识携带在第一用户报文中。转发模块向硬件驱动模块转发第一用户报文。

硬件驱动模块接收到第一用户报文后，从第一用户报文中获取目的IP地址。硬件驱动模块判断目的IP地址表征的Web站点A是否为Web重定向站点。

在本申请实施例中，Web站点A不是Web重定向站点。此时，说明用户终端在访问Web站点A前需进行Web登录。在登录成功后，方可访问Web站点A。硬件驱动模块还从用户报文中获取该VPN标识。根据目的IP地址以及VPN标识，硬件驱动模块查找本地硬件表中是否存在与目的IP地址以及VPN标识匹配的硬件防攻击表项。其中，硬件防攻击表项还包括用户终端访问对应Web站点的访问次数。

可以理解的是，如果Web站点A是Web重定向站点，则无需推送重定向页面，用户终端直接进行Web登录。此时，硬件驱动模块可直接将该用户报文进行转发。

根据前述判断，如果本地硬件表中存在与目的IP地址以及VPN标识匹配的硬件防攻击表项，则硬件驱动模块丢弃第一用户报文，并同时更新该硬件防攻击表项包括的用户终端访问Web站点A的访问次数，也即是原始访问次数上加1。

如果本地硬件表中未存在与目的IP地址以及VPN标识匹配的硬件防攻击表项，则硬件驱动模块将该第一用户报文上送CPU软件处理。

转发模块再次接收到硬件驱动模块发送的第一用户报文后，将第一用户报文向IPoE模块转发。

IPoE模块接收到第一用户报文后，从中获取目的IP地址以及VPN标识。IPoE模块根据目的IP地址以及VPN标识，查找本地软件表中是否存在与目的IP地址以及VPN标识匹配的软件防攻击表项。其中，软件防攻击表项也包括用户终端访问对应Web站点的访问次数。

如果本地软件表中未存在与目的IP地址以及VPN标识匹配的硬件防攻击表项，则IPoE模块判断本地统计表中是否存在与目的IP以及VPN标识匹配的第一统计表项。其中，统计表项还包括用户终端访问对应Web站点的访问次数。在本申请实施例中，第一统计表项包括用户终端访问Web站点A的第一访问次数。

如果本地统计表中存在与目的IP以及VPN标识匹配的第一统计表项，则IPoE模块更新第一访问次数，向转发模块发送重定向页面。转发模块将重定向页面转发至用户终端，引导用户终端进行Web登录。同时，IPoE模块还判断更新后的第一访问次数是否超过输出阈值。该输出阈值具体是指是否输出日志信息的阈值，通过输出日志信息，提示用户当前存在IPOE Web攻击。

如果更新后的第一访问次数超过输出阈值，则IPoE模块输出日志信息，并同时判断更新后的第一访问次数是否超过生成阈值。该生成阈值具体是指是否生成软件防攻击表项的阈值，通过生成软件防攻击表项，阻断当前存在的IPOE Web攻击。可以理解的是，如果更新后的第一访问次数未超过输出阈值，则IPoE模块停止输出日志信息。此时，IPoE模块确定当前存在的IPOE Web攻击程度未达到输出日志信息的程度，也即是当前存在的IPOE Web攻击程度为轻度。

进一步地，IPoE模块还判断更新后的第一访问次数否超过生成阈值。

如果更新后的第一访问次数超过生成阈值，则IPoE模块生成第一软件防攻击表项。同时，IPoE模块还生成第一通知，该第一通知包括Web站点A的IP地址、端口号(用户终端与Web站点A之间建立连接的端口，例如，http端口号为8080)以及类型(用户终端与Web站点A之间建立连接的连接类型，例如，TCP连接)。

IPoE模块向硬件驱动模块发送第一通知。硬件驱动模块接收到第一通知后，从中获取Web站点A的IP地址、端口号以及类型。硬件驱动模块判断本地硬件表是否还存在空闲表项。当存在空闲表项(也即是本地硬件表还有剩余空间)时，硬件驱动模块生成第一硬件防攻击表项，当后续再次接收到具有Web站点A的用户报文时，丢弃用户报文，阻断访问。当未存在空闲表项(也即是本地硬件表已满，未有剩余空间)时，硬件驱动模块停止生成第一硬件防攻击表项，丢弃第一通知。

可以理解的是，如果更新后的第一访问次数未超过生成阈值，则IPoE模块停止生成第一软件防攻击表项。

进一步地，根据前文的描述，如果本地统计表中未存在与目的IP以及VPN标识匹配的第一统计表项，则IPoE模块生成第二统计表项，该第二统计表项包括用户终端访问第一Web站点的第三访问次数。IPoE模块更新第三访问次数，并向转发模块发送重定向页面。转发模块将重定向页面转发至用户终端，引导用户终端进行Web登录。后续IPoE模块还执行判断更新后的第三访问次数是否超过输出阈值、生成阈值以及根据判断结果分别执行对应步骤的过程与前文过程相同，在此不再复述。

进一步地，根据前文的描述，如果本地软件表中存在与目的IP地址以及VPN标识匹配的软件防攻击表项，则IPoE模块丢弃第一用户报文，并同时更新该软件防攻击表项包括的用户终端访问Web站点A的第二访问次数，从而阻断用户终端的对Web站点A的访问。

在本申请实施例中，用户终端还可对Web站点B进行访问。具体的访问过程与前述用户终端对Web站点A的访问过程相同。在此不再详细复述。

在一种场景下，用户终端对Web站点A的访问过程中，硬件驱动模块中的硬件表存在空闲表项，此时，硬件驱动模块生成第一硬件防攻击表项。如果本地硬件表在存储第一硬件防攻击表项后已满，也即是，本地硬件表不存在空闲表项。

在前述场景下，IPoE模块接收到用户终端访问Web站点B的第二用户报文时，IPoE模块根据前文的描述执行相关过程时，若IPoE模块确定当前存在对Web站点B的攻击时，仅可输出日志信息、或生成软件防攻击表项，而无法生成硬件防攻击表项，因为此时，本地硬件表已满，未存在空闲表项。

在图3中，BRAS还在先设置一定时器。BRAS在使能IPOE Web防攻击功能后，启动该定时器。在该定时器超时时，IPoE模块获取本地软件表中每个软件防攻击表项包括的访问次数。

例如，本地软件表中与Web站点A对应的第一软件防攻击表项中包括的访问次数为50次；与Web站点B对应的第二软件防攻击表项中包括的访问次数为500次。

IPoE模块生成查询消息，该查询消息用于使硬件驱动模块获取本地硬件表中每个硬件防攻击表项包括的访问次数。

IPoE模块向硬件驱动模块发送查询消息。硬件驱动模块接收到查询消息后，获取本地硬件表中每个硬件防攻击表项包括的访问次数。硬件驱动模块生成查询响应消息，该查询响应消息包括每个硬件防攻击表项包括的访问次数。

例如，本地硬件表中与Web站点A对应的第一硬件防攻击表项中包括的访问次数为60次；本地硬件表中未存在与Web站点B对应的第二硬件防攻击表项。

硬件驱动模块向IPoE模块发送查询响应消息。IPoE模块接收到硬件驱动模块发送的查询响应消息后，从中获取第一硬件防攻击表项包括的访问次数。

IPoE模块从多个软件防攻击表项以及多个硬件防攻击表项中，将属于同一Web站点的软件防攻击表项的访问次数与硬件防攻击表项的访问次数的和值作为所述属于同一Web站点的访问次数。

例如，Web站点A同时具有第一软件防攻击表项以及第一硬件防攻击表项。IPoE模块将第一软件防攻击表项的访问次数50与第一硬件防攻击表项的访问次数60相加，得到访问次数和值110。IPoE模块将访问次数和值110作为Web站点A的访问次数。

IPoE模块将属于不同Web站点的访问次数进行排序，例如，将访问次数从小到大排序。在本申请实施例中，将Web站点A的访问次数110、Web站点B的访问次数500进行排序。

根据排序结果，当访问次数在排序结果中处于第一次序(在本申请实施例中，排在首位)，且存在属于同一Web站点(Web站点A)的第一软件防攻击表项以及第一硬件防攻击表项时，IPoE模块生成第三通知消息。其中，第三通知消息包括删除信息，该删除信息包括删除标识以及Web站点A的IP地址。当然，该删除消息还包括端口号以及类型。

IPoE模块向硬件驱动模块发送第三通知。硬件驱动模块接收到第三通知后，从第三通知中获取删除标识以及Web站点A的IP地址。根据删除标识，硬件驱动模块确定需执行删除动作；根据Web站点A的IP地址，硬件驱动模块查找本地硬件表，将与Web站点A的IP地址匹配的第一硬件防攻击表项删除。

根据排序结果，当访问次数在排序结果中处于第二次序(在本申请实施例中，排在最后一位)，且未存在硬件防攻击表项时，IPoE模块生成第四通知消息。其中，第四通知消息包括添加信息，该添加信息包括添加标识以及Web站点B的IP地址。当然，该添加消息还包括端口号以及类型。

IPoE模块向硬件驱动模块发送第四通知。硬件驱动模块接收到第四通知后，从第四通知中获取添加标识以及Web站点B的IP地址。根据添加标识，硬件驱动模块确定需执行添加动作；根据待添加的Web站点B的IP地址，硬件驱动模块在本地硬件表中添加与Web站点B的IP地址匹配的第二硬件防攻击表项。

需要说明的是，排序结果中的第一次序、第二次序并非限定在首位以及最后一位。例如，设置一排序阈值，比如，3。将不超过排序阈值所的对应的软件防攻击表项确定处于第一次序；将超过排序阈值所的对应的软件防攻击表项确定处于第二次序。

在本申请实施例中，IPoE模块可根据用户终端访问对应Web站点的访问次数确定当前Web站点被攻击的严重程度，执行不同的防攻击策略。

在前述例子中，Web站点B的被攻击次数明显高于Web站点A，且由于本地硬件表已满，无法生成Web站点B对应的硬件防攻击表项。针对Web站点B的攻击，现有方式仅可采用软件防攻击方式。通过本申请实施例的方式，根据攻击严重程度，动态调整防攻击方式，针对Web站点B的攻击，动态生成硬件防攻击表项，提高防攻击效率，减轻CPU负担。

基于同一发明构思，本申请实施例还提供了与上述防止网络攻击的方法对应的防止网络攻击的装置。参见图4，图4为本申请实施例提供的防止网络攻击的装置结构图，该装置应用于BRAS，所述BRAS还包括转发模块、硬件驱动模块，该装置包括：

接收单元410，用于接收转发模块发送的用户报文，所述用户报文包括目的IP地址以及所述转发模块接收所述用户报文的接口所属的VPN标识；

判断单元420，用于当未存在与所述目的IP地址以及VPN标识匹配的软件防攻击表项时，判断是否存在与所述目的IP以及VPN标识匹配的第一统计表项，所述第一统计表项还包括用户终端访问第一Web站点的第一访问次数；

发送单元430，用于若存在所述第一统计表项，则更新所述第一访问次数，并通过所述转发模块向所述用户终端发送重定向页面；

所述判断单元420还用于，判断更新后的第一访问次数是否超过输出阈值；

若超过所述输出阈值，则输出日志信息，并判断所述更新后的第一访问次数是否超过生成阈值；

生成单元440，用于若超过所述生成阈值，则生成第一软件防攻击表项；

所述发送单元430还用于，向所述硬件驱动模块发送第一通知，以使得所述硬件驱动模块在硬件表具有空闲表项时生成第一硬件防攻击表项，在所述硬件表未具有空闲表项时停止生成所述第一硬件防攻击表项。

可选地，所述软件防攻击表项包括用户终端访问第一Web站点的第二访问次数；

所述装置还包括：丢弃单元(图中未示出)，用于当存在与所述第一目的IP地址以及VPN标识匹配的软件防攻击表项时，丢弃所述第一用户报文，并更新所述第二访问次数。

可选地，所述生成单元440还用于，若未存在所述第一统计表项，则生成第二统计表项，所述第二统计表项包括用户终端访问第一Web站点的第三访问次数；

所述发送单元430还用于，更新所述第三访问次数，并通过所述转发模块向所述用户终端发送重定向页面；

所述判断单元420还用于，判断更新后的第三访问次数是否超过输出阈值；

若超过所述输出阈值，则输出日志信息，并判断所述更新后的第三访问次数是否超过生成阈值；

所述生成单元440还用于，若超过所述生成阈值，则生成第二软件防攻击表项；

所述发送单元430还用于，向所述硬件驱动模块发送第二通知，以使得所述硬件驱动模块在硬件表具有空闲表项时生成第二硬件防攻击表项，在所述硬件表未具有空闲表项时停止生成所述第二硬件防攻击表项。

可选地，所述装置还包括：获取单元(图中未示出)，用于获取每个软件防攻击表项包括的访问次数，所述每个软件防攻击表项与一个Web站点对应；

所述发送单元430还用于，向所述硬件驱动模块发送查询消息，所述查询消息用于使所述硬件驱动模块获取每个硬件防攻击表项包括的访问次数，所述每个硬件防攻击表项与一个Web站点对应；

所述接收单元410还用于，接收所述硬件驱动模块发送的查询响应消息，所述查询响应消息包括所述每个硬件防攻击表项包括的访问次数；

所述装置还包括：累加单元(图中未示出)，用于从多个软件防攻击表项以及多个硬件防攻击表项中，将属于同一Web站点的软件防攻击表项的访问次数与硬件防攻击表项的访问次数的和值作为所述属于同一Web站点的访问次数；

排序单元(图中未示出)，用于将属于不同Web站点的访问次数进行排序；

所述发送单元430还用于，当所述访问次数在所述排序结果中处于第一次序，且存在属于同一Web站点的软件防攻击表项以及硬件防攻击表项时，向所述硬件驱动模块发送第三通知，所述第三通知包括删除信息，以使得所述硬件驱动模块根据所述删除信息删除对应的硬件防攻击表项；

所述发送单元430还用于，当所述访问次数在所述排序结果中处于第二次序，且未存在硬件防攻击表项时，向所述硬件驱动模块发送第四通知，所述第四通知包括添加信息，以使得所述硬件驱动模块根据所述添加信息添加对应的硬件防攻击表项。

可选地，所述装置还包括：停止单元(图中未示出)，用于若未超过所述输出阈值，则停止输出所述日志信息；

若未超过所述生成阈值，则停止生成所述第一软件防攻击表项，或者，停止生成所述第二软件防攻击表项。

因此，通过应用本申请提供的一种防止网络攻击的装置，该装置接收到转发模块发送的用户报文后，根据用户报文携带的目的IP地址以及接口的VPN标识，查找本地是否存在匹配的软件防攻击表项。当本地未存在时，该装置判断是否存在匹配的第一统计表项。当本地存在时，该装置更新第一访问次数，并判断更新后的第一访问次数是否超过输出阈值以及生成阈值。当超过输出阈值时，该装置输出日志信息；当超过生成阈值时，该装置生成第一软件防攻击表项，并同时向硬件驱动模块发送第一通知，以使得硬件驱动模块在硬件表具有空闲表项时生成第一硬件防攻击表项，在硬件表未具有空闲表项时停止生成第一硬件防攻击表项。

由于IPoE模块将访问次数与表征发生攻击严重程度的阈值进行比较，根据发生攻击的严重程度决定防攻击策略(例如，输出日志信息、生成软件防攻击表项、硬件反攻击表项等)，实现了BRAS动态调整防攻击方式，并根据IPOE Web攻击的严重程度动态调整硬件防攻击表项，提高防攻击效率，减轻CPU负担。

基于同一发明构思，本申请实施例还提供了一种网络设备，如图5所示，包括处理器510、收发器520和机器可读存储介质530，机器可读存储介质530存储有能够被处理器510执行的机器可执行指令，处理器510被机器可执行指令促使执行本申请实施例所提供的防止网络攻击的方法。前述图4所示的防止网络攻击的装置，可采用如图5所示的网络设备硬件结构实现。

上述计算机可读存储介质530可以包括随机存取存储器(英文：Random AccessMemory，简称：RAM)，也可以包括非易失性存储器(英文：Non-volatile Memory，简称：NVM)，例如至少一个磁盘存储器。可选的，计算机可读存储介质530还可以是至少一个位于远离前述处理器510的存储装置。

上述处理器510可以是通用处理器，包括中央处理器(英文：Central ProcessingUnit，简称：CPU)、网络处理器(英文：Network Processor，简称：NP)等；还可以是数字信号处理器(英文：Digital Signal Processor，简称：DSP)、专用集成电路(英文：ApplicationSpecific Integrated Circuit，简称：ASIC)、现场可编程门阵列(英文：Field-Programmable Gate Array，简称：FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

本申请实施例中，处理器510通过读取机器可读存储介质530中存储的机器可执行指令，被机器可执行指令促使能够实现处理器510自身以及调用收发器520执行前述本申请实施例描述的防止网络攻击的方法。

另外，本申请实施例提供了一种机器可读存储介质530，机器可读存储介质530存储有机器可执行指令，在被处理器510调用和执行时，机器可执行指令促使处理器510自身以及调用收发器520执行前述本申请实施例描述的防止网络攻击的方法。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

对于防止网络攻击的装置以及机器可读存储介质实施例而言，由于其涉及的方法内容基本相似于前述的方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims (10)

1.一种防止网络攻击的方法，其特征在于，所述方法应用于BRAS包括的IPoE模块，所述BRAS还包括转发模块、硬件驱动模块，所述方法包括：

接收转发模块发送的用户报文，所述用户报文包括目的IP地址以及所述转发模块接收所述用户报文的接口所属的VPN标识；

当未存在与所述目的IP地址以及VPN标识匹配的软件防攻击表项时，判断是否存在与所述目的IP以及VPN标识匹配的第一统计表项，所述第一统计表项还包括用户终端访问第一Web站点的第一访问次数；

若存在所述第一统计表项，则更新所述第一访问次数，通过所述转发模块向所述用户终端发送重定向页面，并判断更新后的第一访问次数是否超过输出阈值；

若超过所述输出阈值，则输出日志信息，并判断所述更新后的第一访问次数是否超过生成阈值；

若超过所述生成阈值，则生成第一软件防攻击表项，并向所述硬件驱动模块发送第一通知，以使得所述硬件驱动模块在硬件表具有空闲表项时生成第一硬件防攻击表项，在所述硬件表未具有空闲表项时停止生成所述第一硬件防攻击表项。

2.根据权利要求1所述的方法，其特征在于，所述软件防攻击表项包括用户终端访问第一Web站点的第二访问次数；

所述方法还包括：

当存在与第一目的IP地址以及第一VPN标识匹配的软件防攻击表项时，丢弃第一用户报文，并更新所述第二访问次数。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

若未存在所述第一统计表项，则生成第二统计表项，所述第二统计表项包括用户终端访问第一Web站点的第三访问次数；

更新所述第三访问次数，通过所述转发模块向所述用户终端发送重定向页面，并判断更新后的第三访问次数是否超过输出阈值；

若超过所述输出阈值，则输出日志信息，并判断所述更新后的第三访问次数是否超过生成阈值；

若超过所述生成阈值，则生成第二软件防攻击表项，并向所述硬件驱动模块发送第二通知，以使得所述硬件驱动模块在硬件表具有空闲表项时生成第二硬件防攻击表项，在所述硬件表未具有空闲表项时停止生成所述第二硬件防攻击表项。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

获取每个软件防攻击表项包括的访问次数，所述每个软件防攻击表项与一个Web站点对应；

向所述硬件驱动模块发送查询消息，所述查询消息用于使所述硬件驱动模块获取每个硬件防攻击表项包括的访问次数，所述每个硬件防攻击表项与一个Web站点对应；

接收所述硬件驱动模块发送的查询响应消息，所述查询响应消息包括所述每个硬件防攻击表项包括的访问次数；

从多个软件防攻击表项以及多个硬件防攻击表项中，将属于同一Web站点的软件防攻击表项的访问次数与硬件防攻击表项的访问次数的和值作为所述属于同一Web站点的访问次数；

将属于不同Web站点的访问次数进行排序；

当所述访问次数在所述排序结果中处于第一次序，且存在属于同一Web站点的软件防攻击表项以及硬件防攻击表项时，向所述硬件驱动模块发送第三通知，所述第三通知包括删除信息，以使得所述硬件驱动模块根据所述删除信息删除对应的硬件防攻击表项；

当所述访问次数在所述排序结果中处于第二次序，且未存在硬件防攻击表项时，向所述硬件驱动模块发送第四通知，所述第四通知包括添加信息，以使得所述硬件驱动模块根据所述添加信息添加对应的硬件防攻击表项。

5.根据权利要求3所述的方法，其特征在于，所述方法还包括：

若未超过所述输出阈值，则停止输出所述日志信息；

若未超过所述生成阈值，则停止生成所述第一软件防攻击表项，或者，停止生成所述第二软件防攻击表项。

6.一种防止网络攻击的装置，其特征在于，所述装置应用于BRAS，所述BRAS还包括转发模块、硬件驱动模块，所述装置包括：

接收单元，用于接收转发模块发送的用户报文，所述用户报文包括目的IP地址以及所述转发模块接收所述用户报文的接口所属的VPN标识；

判断单元，用于当未存在与所述目的IP地址以及VPN标识匹配的软件防攻击表项时，判断是否存在与所述目的IP以及VPN标识匹配的第一统计表项，所述第一统计表项还包括用户终端访问第一Web站点的第一访问次数；

发送单元，用于若存在所述第一统计表项，则更新所述第一访问次数，并通过所述转发模块向所述用户终端发送重定向页面；

所述判断单元还用于，判断更新后的第一访问次数是否超过输出阈值；

若超过所述输出阈值，则输出日志信息，并判断所述更新后的第一访问次数是否超过生成阈值；

生成单元，用于若超过所述生成阈值，则生成第一软件防攻击表项；

所述发送单元还用于，向所述硬件驱动模块发送第一通知，以使得所述硬件驱动模块在硬件表具有空闲表项时生成第一硬件防攻击表项，在所述硬件表未具有空闲表项时停止生成所述第一硬件防攻击表项。

7.根据权利要求6所述的装置，其特征在于，所述软件防攻击表项包括用户终端访问第一Web站点的第二访问次数；

所述装置还包括：丢弃单元，用于当存在与第一目的IP地址以及VPN标识匹配的软件防攻击表项时，丢弃第一用户报文，并更新所述第二访问次数。

8.根据权利要求6所述的装置，其特征在于，所述生成单元还用于，若未存在所述第一统计表项，则生成第二统计表项，所述第二统计表项包括用户终端访问第一Web站点的第三访问次数；

所述发送单元还用于，更新所述第三访问次数，并通过所述转发模块向所述用户终端发送重定向页面；

所述判断单元还用于，判断更新后的第三访问次数是否超过输出阈值；

若超过所述输出阈值，则输出日志信息，并判断所述更新后的第三访问次数是否超过生成阈值；

所述生成单元还用于，若超过所述生成阈值，则生成第二软件防攻击表项；

所述发送单元还用于，向所述硬件驱动模块发送第二通知，以使得所述硬件驱动模块在硬件表具有空闲表项时生成第二硬件防攻击表项，在所述硬件表未具有空闲表项时停止生成所述第二硬件防攻击表项。

9.根据权利要求6所述的装置，其特征在于，所述装置还包括：

获取单元，用于获取每个软件防攻击表项包括的访问次数，所述每个软件防攻击表项与一个Web站点对应；

所述发送单元还用于，向所述硬件驱动模块发送查询消息，所述查询消息用于使所述硬件驱动模块获取每个硬件防攻击表项包括的访问次数，所述每个硬件防攻击表项与一个Web站点对应；

所述接收单元还用于，接收所述硬件驱动模块发送的查询响应消息，所述查询响应消息包括所述每个硬件防攻击表项包括的访问次数；

所述装置还包括：累加单元，用于从多个软件防攻击表项以及多个硬件防攻击表项中，将属于同一Web站点的软件防攻击表项的访问次数与硬件防攻击表项的访问次数的和值作为所述属于同一Web站点的访问次数；

排序单元，用于将属于不同Web站点的访问次数进行排序；

所述发送单元还用于，当所述访问次数在所述排序结果中处于第一次序，且存在属于同一Web站点的软件防攻击表项以及硬件防攻击表项时，向所述硬件驱动模块发送第三通知，所述第三通知包括删除信息，以使得所述硬件驱动模块根据所述删除信息删除对应的硬件防攻击表项；

所述发送单元还用于，当所述访问次数在所述排序结果中处于第二次序，且未存在硬件防攻击表项时，向所述硬件驱动模块发送第四通知，所述第四通知包括添加信息，以使得所述硬件驱动模块根据所述添加信息添加对应的硬件防攻击表项。

10.根据权利要求8所述的装置，其特征在于，所述装置还包括：

停止单元，用于若未超过所述输出阈值，则停止输出所述日志信息；

若未超过所述生成阈值，则停止生成所述第一软件防攻击表项，或者，停止生成所述第二软件防攻击表项。

Images