本發(fā)明涉及通信技術(shù)領(lǐng)域，特別是涉及一種攻擊防御方法及裝置。

背景技術(shù)：

目前網(wǎng)上攻擊日益頻繁，使得一些網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)使用中出現(xiàn)了較多問題。為了增強網(wǎng)絡(luò)設(shè)備的防攻擊能力，現(xiàn)有技術(shù)主要采取的解決方案為：在網(wǎng)絡(luò)設(shè)備中，針對不同的攻擊方式和攻擊手段進行針對性防御。

現(xiàn)有技術(shù)在進行攻擊防御時，由于各防御模塊之間的防御進程相互獨立，因此各防御模塊之間的聯(lián)動性差，從而造成資源浪費，甚至是防御能力低等問題。

技術(shù)實現(xiàn)要素：

本發(fā)明實施例所要解決的技術(shù)問題是提供一種攻擊防御方法，以提高資源利用率以及設(shè)備的攻擊防御能力。

為了解決上述問題，本發(fā)明實施例公開了一種攻擊防御方法，包括：

接收來自第一模塊的防御報文，防御報文中攜帶有用于描述攻擊的特征信息；

檢索防攻擊表項中是否記錄有與第一模塊相關(guān)聯(lián)的第二模塊；

若是，則將特征信息發(fā)送給第二模塊，以使第二模塊根據(jù)特征信息對接收到的與特征信息相匹配的報文進行防御處理。

相應(yīng)的，本發(fā)明實施例還提供了一種攻擊防御裝置，用以保證上述方法的實現(xiàn)及應(yīng)用，裝置包括：

第一接收模塊，用于接收來自第一模塊的防御報文，防御報文中攜帶有用于描述攻擊的特征信息；

檢索模塊，用于檢索防攻擊表項中是否記錄有與第一模塊相關(guān)聯(lián)的第二模塊；

發(fā)送模塊，用于若是，則將特征信息發(fā)送給第二模塊，以使第二模塊根據(jù)特征信息對接收到的與特征信息相匹配的報文進行防御處理。

這樣，本發(fā)明實施例中，通過接收來自第一模塊的防御報文，防御報文中攜帶有用于描述攻擊的特征信息；檢索防攻擊表項中是否記錄有與第一模塊相關(guān)聯(lián)的第二模塊；若是，則將特征信息發(fā)送給第二模塊，以使第二模塊根據(jù)特征信息對接收到的與特征信息相匹配的報文進行防御處理。從而在防攻擊的過程中，通過相關(guān)模塊之間的聯(lián)動防御，大幅度提高了設(shè)備的防御能力，并且減少了模塊間通信，從而有效地減輕了系統(tǒng)負擔(dān)，提高了資源利用率以及用戶體驗。

附圖說明

為了更清楚地說明本發(fā)明實施例的技術(shù)方案，下面將對本發(fā)明實施例的描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是本發(fā)明的一種攻擊防御方法實施例的步驟流程圖；

圖2是本發(fā)明一種攻擊防御裝置實施例的結(jié)構(gòu)框圖；

圖3是本發(fā)明一種攻擊防御裝置實施例的結(jié)構(gòu)框圖。

具體實施方式

為使本發(fā)明的上述目的、特征和優(yōu)點能夠更加明顯易懂，下面結(jié)合附圖和具體實施方式對本發(fā)明作進一步詳細的說明。

目前，網(wǎng)絡(luò)攻擊的數(shù)量與種類日漸增多，現(xiàn)有技術(shù)實施例中，網(wǎng)絡(luò)設(shè)備針對不同種類的攻擊通常是采取針對性手段進行攻擊防御。例如：ARP防欺騙、ping防攻擊、DHCP防餓死攻擊以及ICMP協(xié)議報文限速等。在現(xiàn)有技術(shù)實施例中，通過驅(qū)動側(cè)和/或平臺側(cè)的各模塊對不同類型的攻擊進行防御，從而保證網(wǎng)絡(luò)設(shè)備的安全。

但是，由于現(xiàn)有技術(shù)實施例中的各模塊間防攻擊進程是相互獨立的，因而會出現(xiàn)各模塊間聯(lián)動性差，導(dǎo)致當(dāng)多個模塊受到相同攻擊者發(fā)出的攻擊時，均需要對攻擊報文進行識別，再進行防御處理，明顯增加了設(shè)備負擔(dān)。并且，現(xiàn)有技術(shù)實施例中還可能存在無法對攻擊進行準確識別的情況，例如：當(dāng)網(wǎng)絡(luò)設(shè)備受到ICMP攻擊時，由于驅(qū)動側(cè)防御模塊設(shè)置有限速防御功能，則驅(qū)動側(cè)防御模塊將報文限速。當(dāng)限速后的報文到達平臺側(cè)時，由于平臺側(cè)接收到的報文可能未超出平臺識別攻擊的閾值，則平臺側(cè)的相關(guān)防御模塊將無法有效識別出該攻擊，在該種情況下，由于平臺側(cè)的防御模塊未識別出攻擊，則平臺會對該攻擊報文進行相應(yīng)的處理(此處的處理與前文所述的防御處理不同，指正常情況下平臺側(cè)對報文的響應(yīng)處理)，因而，導(dǎo)致了CPU和內(nèi)存資源的浪費，同時還會影響其它報文的處理效率。

針對上述問題，本發(fā)明實施例的核心構(gòu)思之一在于提出一種攻擊防御方法及裝置，以有效地提高資源利用率以及設(shè)備的攻擊防御能力。

參照圖1，示出了本發(fā)明的一種攻擊防御方法實施例的步驟流程圖，具體可以包括如下步驟：

步驟101，接收來自第一模塊的防御報文，防御報文中攜帶有用于描述攻擊的特征信息。

具體的，本發(fā)明實施例中的攻擊防御方法應(yīng)用于網(wǎng)絡(luò)設(shè)備中，網(wǎng)絡(luò)設(shè)備包括但不限于：路由器、交換機等設(shè)備。網(wǎng)絡(luò)設(shè)備中的驅(qū)動側(cè)和/或平臺側(cè)包括針對不同類型攻擊的一個或一個以上防御模塊。例如：ICMP模塊或DHCP模塊。

第一模塊對接收到的報文進行檢測，在本發(fā)明的一個實施例中，若第一模塊檢測到自身受到攻擊，則第一模塊向防攻擊模塊發(fā)送防御報文，已通知防攻擊模塊自身受到攻擊。其中，防御報文中攜帶有用于描述攻擊的特征信息。在本發(fā)明的另一個實施例中，用戶可以在第一模塊中手動設(shè)置描述攻擊的特征信息，因此，在該實施例中，第一模塊向防攻擊模塊發(fā)送的防御報文中還可以攜帶用戶手動設(shè)置的用于描述攻擊的特征信息。在本發(fā)明的實施例中，特征信息包括但不限于：地址信息(包括攻擊者的地址信息和攻擊對象的地址信息)、受攻擊的接口信息、攻擊類型以及老化時間。在本發(fā)明的另一個實施例中，由于某些模塊，例如：驅(qū)動側(cè)的ICMP模塊，在受到攻擊時無法識別出攻擊者的地址信息，僅能判斷當(dāng)前自身受到攻擊，因此，該模塊向防御模塊上報的防御報文中可以只攜帶用于描述攻擊類型及老化時間的特征信息。

在本發(fā)明的實施例中，防攻擊模塊僅為使本領(lǐng)域普通技術(shù)人員更好的理解本發(fā)明，該模塊所實現(xiàn)的功能可由網(wǎng)絡(luò)設(shè)備中的任意模塊或軟件等實現(xiàn)，本發(fā)明對此不做限定。

步驟102，檢索防攻擊表項中是否記錄有與第一模塊相關(guān)聯(lián)的第二模塊。

具體的，在本發(fā)明的實施例中，防攻擊模塊通過檢索本地存儲的防攻擊表項中所記錄的內(nèi)容，確定網(wǎng)絡(luò)設(shè)備中是否存在與第一模塊相關(guān)聯(lián)的第二模塊。

步驟103，若是，則將特征信息發(fā)送給第二模塊，以使第二模塊根據(jù)特征信息對接收到的與特征信息相匹配的報文進行防御處理。

具體的，若防御模塊檢索到網(wǎng)絡(luò)設(shè)備中存在與第一模塊相關(guān)聯(lián)的第二模塊，則將獲取到的特征信息發(fā)送給第二模塊，以使第二模塊能夠根據(jù)該特征信息進行進一步的防御處理。

第二模塊接收到防御模塊發(fā)來的特征信息，并將特征信息存儲在本地防御表項中。第二模塊可根據(jù)本地防御表象中記錄的特征信息，從而對接收到的與特征信息相匹配的報文進行防御處理。防御處理包括對攻擊報文進行識別以及丟棄等防御處理，具體防御處理過程可通過現(xiàn)有技術(shù)中的防攻擊技術(shù)實現(xiàn)，本發(fā)明對此不再贅述。

綜上所述，本發(fā)明實施例提供的技術(shù)方案，通過接收來自第一模塊的防御報文，防御報文中攜帶有用于描述攻擊的特征信息；檢索防攻擊表項中是否記錄有與第一模塊相關(guān)聯(lián)的第二模塊；若是，則將特征信息發(fā)送給第二模塊，以使第二模塊根據(jù)特征信息對接收到的與特征信息相匹配的報文進行防御處理。從而在防攻擊的過程中，通過相關(guān)模塊之間的聯(lián)動防御，大幅度提高了設(shè)備的防御能力，并且減少了模塊間通信，從而有效地減輕了系統(tǒng)負擔(dān)，提高了資源利用率以及用戶體驗。

在本發(fā)明的一個優(yōu)選的實施例中，在步驟101開始之前，方法還包括：防攻擊模塊接收來自第一模塊的注冊請求以及來自第二模塊的關(guān)聯(lián)請求，其中，注冊請求中攜帶有標識第一模塊的第一標識信息，關(guān)聯(lián)請求中攜帶有標識第二模塊的第二標識信息，并且關(guān)聯(lián)請求用于指示第二模塊與第一模塊相關(guān)聯(lián)。然后，防攻擊模塊將第一標識信息以及第二標識信息對應(yīng)寫入防攻擊表項中。

在本發(fā)明的一個優(yōu)選的實施例中，在步驟101之后，方法還包括：防攻擊模塊將接收到的防御報文中攜帶的特征信息寫入防攻擊表項。并且，在該防攻擊表項中，特征信息對應(yīng)于第一標識信息以及第二標識信息。

在本發(fā)明的一個優(yōu)選的實施例中，在步驟102之后，方法還包括：若防攻擊模塊接收到來自第一模塊的攻擊解除報文，則刪除防攻擊表項中與該攻擊對應(yīng)的特征信息，并通知第二模塊停止對當(dāng)前攻擊對應(yīng)的防御處理。

在本發(fā)明的一個優(yōu)選的實施例中，在步驟102之后，方法還可以包括：防攻擊模塊通過查詢本地防攻擊表象中記錄的與攻擊對應(yīng)的老化時間，在經(jīng)過該老化時間后，刪除防攻擊表項中與該攻擊對應(yīng)的的特征信息，并通知第二模塊停止對當(dāng)前攻擊對應(yīng)的防御處理。

為了更好的理解本發(fā)明的攻擊防御方法，下面以具體實施例進行詳細闡述。

(1)以ICMP防攻擊為例進行詳細舉例。

ICMP防攻擊在驅(qū)動側(cè)和平臺側(cè)分別具有相應(yīng)的模塊，在本實施例中，驅(qū)動側(cè)的ICMP防攻擊模塊稱為ICMP1模塊，平臺側(cè)的ICMP防攻擊模塊稱為ICMP2模塊。

當(dāng)用戶在網(wǎng)絡(luò)設(shè)備中完成ICMP防攻擊配置后，ICMP1模塊與ICMP2模塊被激活，并向防攻擊模塊發(fā)送注冊請求。在本發(fā)明的實施例中，被激活(即完成防攻擊設(shè)置)的防御模塊均會向防攻擊模塊發(fā)送注冊請求。其中，注冊請求中包括用于標識防御模塊的標識信息。在本實施例中，ICMP1模塊向防攻擊模塊發(fā)送的注冊請求中攜帶有第一標識信息，該第一標識信息用于標識ICMP1模塊，以使防攻擊模塊唯一識別出ICMP1模塊，第一標識信息中包括但不限于：ICMP1模塊的名稱和模塊ID。ICMP2模塊的注冊報文與ICMP1模塊的類似，此處不贅述。防攻擊模塊接收到注冊請求后，獲取其中的標識信息，并寫入本地存儲的防攻擊表項中。

用戶根據(jù)實際需求，期望ICMP1模塊與ICMP2模塊實現(xiàn)聯(lián)動防御，即ICMP1模塊與ICMP2模塊互為強相關(guān)模塊，則用戶可在網(wǎng)絡(luò)設(shè)備中指定ICMP2模塊與ICMP2模塊相關(guān)聯(lián)。ICMP2可根據(jù)用戶指令，向防攻擊模塊發(fā)送關(guān)聯(lián)請求，以與ICMP1模塊進行關(guān)聯(lián)。其中，關(guān)聯(lián)請求中攜帶有ICMP2模塊的名稱和模塊ID等用于標識ICMP2模塊的標識信息。防攻擊模塊接收到關(guān)聯(lián)請求后，將從關(guān)聯(lián)請求中獲取到的ICMP2模塊的標識信息寫入防攻擊表項，并對應(yīng)于ICMP1模塊的標識信息。

當(dāng)攻擊者向網(wǎng)絡(luò)設(shè)備發(fā)起ICMP攻擊時，由于驅(qū)動側(cè)的ICMP1模塊為底層模塊，則網(wǎng)絡(luò)設(shè)備中驅(qū)動側(cè)的ICMP1模塊優(yōu)先于平臺側(cè)的ICMP2模塊接收到該攻擊報文。ICMP1接收到ICMP攻擊報文后，將檢測出當(dāng)前自身正在受到ICMP攻擊。具體的檢測方法可通過現(xiàn)有技術(shù)實現(xiàn)，例如：接收到的攻擊報文超過閾值等，本發(fā)明對此不限定。

ICMP1模塊檢測到當(dāng)前正在受到ICMP攻擊后，由于該模塊不具有進一步識別攻擊的功能，則ICMP1模塊只對攻擊報文進行限速處理。舉例說明：當(dāng)攻擊者A向網(wǎng)絡(luò)設(shè)備發(fā)送1000條攻擊報文，同時普通用戶B和普通用戶C在向網(wǎng)絡(luò)設(shè)備發(fā)送正常報文，報文數(shù)量分別為100，則當(dāng)ICMP1模塊接收到1200條報文時，該數(shù)量已超過閾值。ICMP1模塊確認當(dāng)前正在受到ICMP攻擊。但是，由于功能限定，ICMP1模塊無法確認當(dāng)前接收到的1200條報文中，哪些報文屬于攻擊者發(fā)送的報文，哪些為普通用戶發(fā)送的正常報文。因此，ICMP1模塊只對接收到的報文進行限速處理。在本實施例中，以限速為200條/s為例。

ICMP1模塊在檢測到自身受到ICMP攻擊后，向該網(wǎng)絡(luò)設(shè)備中的防攻擊模塊發(fā)送防御報文。防御報文中攜帶有攻擊類型(本實施例中為ICMP攻擊)、受攻擊的接口信息、老化時間(本實施例中為20s)等用于描述ICMP攻擊的特征信息。

防攻擊模塊接收到該防御報文后，獲取其攜帶的特征信息，并寫入本地存儲的防攻擊表項中。同時，防攻擊模塊檢索防攻擊表項中是否記錄有與ICMP1模塊相關(guān)聯(lián)的模塊。經(jīng)檢索，防攻擊模塊確定與ICMP1模塊相關(guān)聯(lián)的模塊為ICMP2模塊。防攻擊模塊向ICMP2模塊發(fā)送通知報文，以告知ICMP2模塊當(dāng)前ICMP1模塊正在受到攻擊，以使ICMP2模塊對接收到的報文進行防御處理。并且，通知報文中攜帶有描述該ICMP攻擊的特征信息，即攻擊類型、接口信息和老化時間等特征信息。ICMP2模塊將接收到的特征信息寫入本地存儲的防御表項中，以供后續(xù)使用。在其它實施例中，通知報文中還可以攜帶有ICMP1模塊的標識信息，本發(fā)明對此不做限定。

具體的，經(jīng)ICMP1模塊限速后，報文以200條/s的速率發(fā)送至平臺側(cè)的ICMP2模塊。ICMP2模塊在接收到200條報文后，開啟防御處理，對200條報文進行攻擊識別，以識別出其中是否攜帶有攻擊者發(fā)送的報文。舉例說明：若200條報文中，包括有100條攻擊者發(fā)送的ICMP攻擊報文，100條普通報文，則在現(xiàn)有技術(shù)的實施例中，假設(shè)ICMP2模塊中設(shè)置的閾值為110條，即某報文超過110條時，則啟動防御處理。因此，在限速后的200條報文中只包含100條攻擊報文，并且攻擊報文的數(shù)量未超過ICMP2模塊中的閾值的情況下，ICMP2模塊將不對該200條報文進行任何防御處理，而是直接進行后續(xù)的處理過程。

在本發(fā)明的實施例中，由于ICMP2模塊已經(jīng)接收到防攻擊模塊發(fā)送來的通知報文，并且本地存儲的防御表項中記錄有與ICMP攻擊相關(guān)的特征信息。ICMP2模塊在接收到限速后的200條報文后，即對200條報文進行防御處理，識別出攻擊報文并丟棄該報文。具體防御處理方法可由現(xiàn)有技術(shù)實現(xiàn)，此處不贅述。

ICMP2模塊在對接收到的報文進行防御處理后，即可獲取到描述攻擊的詳細特征信息，例如：攻擊者的地址信息(IP地址及MAC地址)等特征信息。ICMP2模塊同樣會向防攻擊模塊發(fā)送防御報文，該防御報文中攜帶有ICMP2模塊獲取到的與攻擊對應(yīng)的特征信息。

防攻擊模塊接收并獲取該特征信息，并將該特征信息寫入防攻擊表項中，則此時防攻擊表項中記錄的與ICMP攻擊相關(guān)的特征信息包括：攻擊者的地址信息、攻擊類型、老化時間等更為具體的特征信息。

防攻擊模塊再次檢索，確認與ICMP2模塊相關(guān)聯(lián)的模塊為ICMP1模塊。防攻擊模塊通知ICMP1模塊，并將特征信息發(fā)送給ICMP1模塊。具體細節(jié)與上述步驟中類似，此處不贅述。

ICMP1模塊接收到特征信息后，將特征信息寫入到本地存儲的防御表項中，并根據(jù)防御表項中記錄的特征信息對攻擊報文進行防御處理。具體的，ICMP1模塊可根據(jù)防御表項中與特征信息對應(yīng)的地址信息，將與該地址信息對應(yīng)的報文(即為攻擊者發(fā)送的報文)丟棄。由于驅(qū)動側(cè)的ICMP1模塊已將攻擊報文全部丟棄，因此，平臺側(cè)的ICMP2模塊將不會再接收到攻擊報文，從而減輕了平臺側(cè)的負擔(dān)，進一步減輕了網(wǎng)絡(luò)設(shè)備的系統(tǒng)負擔(dān)，提高了資源利用率以及用戶體驗。

在本發(fā)明的實施例中，ICMP1模塊在丟棄所有攻擊報文后，將解除ICMP防御處理，并向防攻擊模塊發(fā)送攻擊解除報文。防攻擊模塊根據(jù)接收到的攻擊解除報文，刪除防攻擊表項中對應(yīng)的特征信息。同時，防攻擊模塊向ICMP2模塊發(fā)送攻擊解除通知，以通知ICMP2模塊停止當(dāng)前的防御處理。ICMP2模塊接收該攻擊解除通知，由于ICMP1模塊已將攻擊報文進行丟棄，因此ICMP2模塊當(dāng)前未收到任何攻擊報文，即ICMP2模塊當(dāng)前未進行任何防御處理。ICMP2模塊僅刪除本地存儲的防御表項中記錄的與ICMP攻擊對應(yīng)的內(nèi)容。

在本發(fā)明的另一個實施例中，如果ICMP1模塊在丟棄所有來自攻擊者的攻擊報文后，該攻擊者仍持續(xù)發(fā)來攻擊報文，則ICMP1模塊將不會ICMP解除防御處理，而是繼續(xù)對接收到的攻擊報文進行丟棄處理。當(dāng)防攻擊模塊檢測到當(dāng)前已超過ICMP攻擊的老化時間(本實施例中為20s)，則防攻擊模塊將刪除防攻擊表項中記錄的與ICMP攻擊對應(yīng)的特征信息，并通知ICMP2模塊停止防御處理。由于ICMP1模塊當(dāng)前仍受到ICMP攻擊，因此ICMP1模塊會重新向防攻擊模塊發(fā)送防御報文，以重新與ICMP2模塊建立聯(lián)動防御關(guān)系。

(2)以AAA防攻擊和PPPOE防攻擊為例進行詳細舉例。

當(dāng)用戶在網(wǎng)絡(luò)設(shè)備中完成AAA防攻擊配置后，AAA模塊被激活，并向防攻擊模塊發(fā)送注冊請求。用戶將PPPOE與AAA設(shè)置為強相關(guān)模塊，即PPPOE模塊向防攻擊模塊發(fā)送關(guān)聯(lián)請求，以與AAA模塊相關(guān)聯(lián)。

防攻擊模塊將AAA模塊與PPPOE模塊的標識信息對應(yīng)寫入本地存儲的防攻擊表項中。

當(dāng)攻擊者向網(wǎng)絡(luò)設(shè)備發(fā)起AAA攻擊時，AAA模塊檢測出自身受到攻擊，并識別出攻擊的特征信息。與上述實施例中的ICMP1模塊不同，AAA模塊能夠直接識別出攻擊者的地址信息等特征信息，則AAA獲取到的特征信息包括：攻擊者的地址信息、目的地址信息、攻擊類型、受攻擊的接口信息、老化時間等特征信息。

AAA向防攻擊模塊發(fā)送防御報文，并且防御報文中攜帶有上述特征信息。防攻擊模塊獲取防御報文中的特征信息，并將該特征信息寫入到防攻擊表項中。

防攻擊模塊通過檢索防攻擊表項，確定與AAA模塊相關(guān)聯(lián)的模塊為IPOE模塊。防攻擊模塊向IPOE模塊發(fā)送通知報文，通知報文中攜帶有防攻擊表項中記錄的與IPOE攻擊對應(yīng)的特征信息。

IPOE模塊接收到該通知報文，獲取其中的特征信息，并寫入本地防御表項中。隨后，IPOE可根據(jù)防御表項中的內(nèi)容，識別出與特征信息中的攻擊者的地址信息對應(yīng)的報文，則IPOE模塊可直接將該攻擊者發(fā)來的報文全部丟棄。由于IPOE模塊丟棄來自攻擊者的全部報文，攻擊者將與網(wǎng)絡(luò)設(shè)備斷開認證連接，因此，AAA模塊將不會再收到任何來自該攻擊者的報文，從而減輕了該模塊的負擔(dān)，進一步減輕了網(wǎng)絡(luò)設(shè)備的負擔(dān)。本實施例中的具體細節(jié)以及后續(xù)過程與上述實施例類似，此處不再贅述。

(3)在本發(fā)明的一個實施例中，用戶在對第一模塊進行防攻擊配置時，可以在第一模塊中手動設(shè)置用于描述攻擊的特征信息，例如：用戶可以在第一模塊中設(shè)置黑名單，黑名單中可記錄有攻擊者的地址以及其它信息。第一模塊被激活后，向防攻擊模塊發(fā)送注冊請求。用戶將第一模塊和第二模塊設(shè)置為強相關(guān)模塊，即第一模塊向防攻擊模塊發(fā)送關(guān)聯(lián)請求，以與第二模塊進行關(guān)聯(lián)。

防攻擊模塊將第一模塊和第二模塊的標識信息對應(yīng)寫入本地存儲的防攻擊表項中。

第一模塊向防攻擊模塊發(fā)送防御報文，并且防御報文中攜帶有黑名單中記錄的特征信息。防攻擊模塊獲取防御報文中的特征信息，并將該特征信息寫入到防攻擊表項中。

防攻擊模塊通過檢索防攻擊表項，確定與第一模塊相關(guān)聯(lián)的模塊為第二模塊。防攻擊模塊將來自第一模塊的特征信息發(fā)送至第二模塊。

第二模塊接收特征信息，并將特征信息寫入本地防御表項中。隨后，當(dāng)?shù)诙K接收到與該特征信息相匹配的報文，即屬于黑名單中的攻擊者發(fā)送來的報文，則第二模塊可直接將該類報文全部丟棄。從而使第二模塊不用在對攻擊報文進行識別，有效地減輕了該模塊的負擔(dān)，進一步減輕了網(wǎng)絡(luò)設(shè)備的負擔(dān)。本實施例中的具體細節(jié)以及后續(xù)過程與上述實施例類似，此處不再贅述。

基于與上述方法同樣的發(fā)明構(gòu)思，本發(fā)明實施例還提供一種攻擊防御裝置，應(yīng)用在網(wǎng)絡(luò)設(shè)備中。該攻擊防御裝置可以通過軟件實現(xiàn)，也可以通過硬件或者軟硬件結(jié)合的方式實現(xiàn)。以軟件實現(xiàn)為例，作為一個邏輯意義上的裝置，是通過其所在的路由設(shè)備的處理器，讀取非易失性存儲器中對應(yīng)的計算機程序指令形成的。從硬件層面而言，除了處理器、非易失性存儲器外，路由設(shè)備還可以包括其他硬件，如負責(zé)處理報文的轉(zhuǎn)發(fā)芯片、網(wǎng)絡(luò)接口、內(nèi)存等；從硬件結(jié)構(gòu)上來講，該路由設(shè)備還可能是分布式設(shè)備，可能包括多個接口卡，以便在硬件層面進行報文處理的擴展

參照圖2，示出了本發(fā)明一種攻擊防御裝置200的實施例的結(jié)構(gòu)框圖，具體可以包括如下模塊：

第一接收模塊201，用于接收來自第一模塊的防御報文，防御報文中攜帶有用于描述攻擊的特征信息。

檢索模塊202，用于檢索防攻擊表項中是否記錄有與第一模塊相關(guān)聯(lián)的第二模塊。

發(fā)送模塊203，用于若是，則將特征信息發(fā)送給第二模塊，以使第二模塊根據(jù)特征信息對接收到的與特征信息相匹配的報文進行防御處理。

參照圖3，在本發(fā)明的一個實施例中，在圖2的基礎(chǔ)上，攻擊防御裝置200還可以包括：

第二接收模塊204，用于接收來自第一模塊的注冊請求以及來自第二模塊的關(guān)聯(lián)請求，其中，注冊請求中攜帶有標識第一模塊的第一標識信息，關(guān)聯(lián)請求中攜帶有標識第二模塊的第二標識信息，并且關(guān)聯(lián)請求用于指示第二模塊與第一模塊相關(guān)聯(lián)。

寫入模塊205，用于將第一標識信息以及第二標識信息對應(yīng)寫入防攻擊表項。

在本發(fā)明的一個實施例中，寫入模塊205可以進一步用于將特征信息寫入防攻擊表項。

繼續(xù)參照圖3，在本發(fā)明的一個實施例中，攻擊防御裝置200還包括：

通知模塊206，用于若接收到來自第一模塊的攻擊解除報文，則刪除防攻擊表項中的特征信息，并通知第二模塊停止防御處理。

在本發(fā)明的一個實施例中，通知模塊206可以進一步用于在經(jīng)過與攻擊對應(yīng)的老化時間后，刪除防攻擊表項中的特征信息，并通知第二模塊停止防御處理。

在本發(fā)明的一個實施例中，第一接收模塊接收到的第一報文中攜帶的特征信息包括以下至少之一：地址信息、接口信息、攻擊類型、老化時間。

綜上所述，本發(fā)明實施例提供的攻擊防御裝置，通過接收來自第一模塊的防御報文，防御報文中攜帶有用于描述攻擊的特征信息；檢索防攻擊表項中是否記錄有與第一模塊相關(guān)聯(lián)的第二模塊；若是，則將特征信息發(fā)送給第二模塊，以使第二模塊根據(jù)特征信息對接收到的與特征信息相匹配的報文進行防御處理。從而在防攻擊的過程中，通過相關(guān)模塊之間的聯(lián)動防御，大幅度提高了設(shè)備的防御能力，并且減少了模塊間通信，從而有效地減輕了系統(tǒng)負擔(dān)，提高了資源利用率以及用戶體驗。

對于裝置實施例而言，由于其與方法實施例基本相似，所以描述的比較簡單，相關(guān)之處參見方法實施例的部分說明即可。

本說明書中的各個實施例均采用遞進的方式描述，每個實施例重點說明的都是與其他實施例的不同之處，各個實施例之間相同相似的部分互相參見即可。

本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白，本發(fā)明實施例的實施例可提供為方法、裝置、或計算機程序產(chǎn)品。因此，本發(fā)明實施例可采用完全硬件實施例、完全軟件實施例、或結(jié)合軟件和硬件方面的實施例的形式。而且，本發(fā)明實施例可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲器、CD-ROM、光學(xué)存儲器等)上實施的計算機程序產(chǎn)品的形式。

本發(fā)明實施例是參照根據(jù)本發(fā)明實施例的方法、終端裝置(系統(tǒng))、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合?？商峁┻@些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數(shù)據(jù)處理終端裝置的處理器以產(chǎn)生一個機器，使得通過計算機或其他可編程數(shù)據(jù)處理終端裝置的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。

這些計算機程序指令也可存儲在能引導(dǎo)計算機或其他可編程數(shù)據(jù)處理終端裝置以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。

這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理終端裝置上，使得在計算機或其他可編程終端裝置上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理，從而在計算機或其他可編程終端裝置上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。

盡管已描述了本發(fā)明實施例的優(yōu)選實施例，但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念，則可對這些實施例做出另外的變更和修改。所以，所附權(quán)利要求意欲解釋為包括優(yōu)選實施例以及落入本發(fā)明實施例范圍的所有變更和修改。

最后，還需要說明的是，在本文中，諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關(guān)系或者順序。而且，術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者終端裝置不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者終端裝置所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、物品或者終端裝置中還存在另外的相同要素。

以上對本發(fā)明所提供的一種攻擊防御方法和裝置，進行了詳細介紹，本文中應(yīng)用了具體個例對本發(fā)明的原理及實施方式進行了闡述，以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想；同時，對于本領(lǐng)域的一般技術(shù)人員，依據(jù)本發(fā)明的思想，在具體實施方式及應(yīng)用范圍上均會有改變之處，綜上所述，本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制。