[发明专利]一种网络攻击的防范方法和系统

权利要求书

1.一种网络攻击的防范方法，其特征在于，所述方法应用于至少由具备攻击检测能力的攻击检测设备，不具备攻击检测能力的一个或多个攻击防范设备，以及攻击源设备构成的多层级网络中，按照所述攻击源设备发出网络攻击而产生的攻击流量的流向路径，所述攻击源设备为所述攻击防范设备的上游设备，所述攻击防范设备为所述攻击检测设备的上游设备，所述方法包括：

攻击检测设备在检测到攻击源设备发出的网络攻击后，将检测得到的防攻击信息封装到报文中；

所述攻击检测设备从本地的受攻击端口将所述报文发送至作为所述攻击检测设备的上游设备的攻击防范设备，以利用所述攻击防范设备对所述网络攻击进行防范；

其中，攻击防范设备具备根据所述防攻击信息下发防攻击表项对网络攻击进行防范的能力。

2.根据权利要求1所述的方法，其特征在于，所述攻击检测设备将检测得到的防攻击信息封装到报文中，包括：

所述攻击检测设备以报文选项的形式添加防攻击信息到报文中；

其中，所述报文选项包括选项类型、选项长度和选项数据；所述选项数据包括一个或多个防攻击信息，所述防攻击信息包括防攻击表项类型、防攻击表项长度、防攻击表项有效时间和防攻击表项。

3.根据权利要求1所述的方法，其特征在于，所述攻击检测设备将检测得到的防攻击信息封装到报文中，具体包括：

所述攻击检测设备将检测得到的防攻击信息中的一部分封装到报文中，以便利用其上游设备对该部分防攻击信息对应的网络攻击进行防范。

4.根据权利要求3所述的方法，其特征在于，所述攻击检测设备将检测得到的防攻击信息中的一部分封装到报文中，具体包括：

所述攻击检测设备根据检测得到的防攻击信息下发的防攻击表项占用资源，大于预设的资源阈值时，将多出的防攻击信息封装到报文中。

5.根据权利要求1所述的方法，其特征在于，所述攻击检测设备从本地的受攻击端口将所述报文发送至作为所述攻击检测设备的上游设备的攻击防范设备之后，所述方法还包括：

如果所述攻击检测设备在预设第一时间段内再次检测到所述网络攻击时，所述攻击检测设备根据封装到所述报文中的防攻击信息在本地的受攻击端口下发防攻击表项。

6.根据权利要求1所述的方法，其特征在于，所述报文为链路层发现协议报文。

7.一种网络攻击的防范方法，其特征在于，所述方法应用于至少由具备攻击检测能力的攻击检测设备，不具备攻击检测能力的一个或多个攻击防范设备，以及攻击源设备构成的多层级网络中，所述方法包括：

攻击防范设备接收到来自其下游设备发送的封装有防攻击信息的报文；

所述攻击防范设备根据所述报文中封装的防攻击信息，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范。

8.根据权利要求7所述的方法，其特征在于，所述攻击防范设备根据所述报文中封装的防攻击信息，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范之前，还包括：

所述攻击防范设备根据所述报文中封装的防攻击信息，确定所述防攻击信息对应的网络攻击在本地的受攻击端口；

所述攻击防范设备将所述报文通过所述受攻击端口发送到其上游设备；

所述攻击防范设备根据所述报文中封装的防攻击信息，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范，具体包括：

所述攻击防范设备在预设第二时间段内再次检测到所述攻击防范信息对应的网络攻击时，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范。

9.根据权利要求7所述的方法，其特征在于，所述攻击防范设备根据所述报文中封装的防攻击信息，下发防攻击表项对所述防攻击信息对应的网络攻击进行防范之前，还包括：

所述攻击防范设备将所述报文中封装的部分防攻击信息发送至作为其上游设备的攻击防范设备。

10.根据权利要求9所述的方法，其特征在于，所述攻击防范设备将所述报文中封装的部分防攻击信息发送至作为其上游设备的攻击防范设备，具体包括：

所述攻击防范设备根据接收到的防攻击信息下发的防攻击表项占用资源，大于预设的资源阈值时，将多出的防攻击信息封装到报文中发送至作为其上游设备的攻击防范设备。