[发明专利]攻击防护系统、方法、装置和网络设备

说明书

一种攻击防护系统、方法、装置和网络设备，涉及网络安全领域。所述攻击防护方法包括：拦截报文头中有预定标识的第一报文；在第一报文包括第一惩罚参数时，生成包括第二惩罚参数的第二报文；向待惩罚的终端发送第二报文；在发送第二报文后的预定时长内未接收到惩罚结果时，根据第一惩罚参数执行对终端的惩罚操作。本发明通过在拦截到第一报文时，生成包括第二惩罚参数的第二报文，向待惩罚终端发送第二报文，并在发送第二报文的预定时长内未接收到惩罚结果时，对该终端执行惩罚操作；解决了相关技术中惩罚的精准度比较低的问题；达到了精准惩罚的目的。

技术领域

本发明涉及网络安全领域，特别涉及一种攻击防护系统、方法、装置和网络设备。

背景技术

一种网络架构包括接入层、汇聚层以及核心层。其中，接入层的设备直接与终端连接，核心层的设备一般作为终端的网关，汇聚层的设备连接于核心层和接入层之间。为了避免终端发送的大量攻击报文对核心层的设备的中央处理器(英文：central processingunit，CPU)的占用，可以在核心层的设备上对报文进行分析，根据分析结果丢弃攻击终端发送来的报文。

上述利用核心层的设备执行惩罚操作的方式，对攻击防护的精准度比较低。

发明内容

为了解决上述技术问题，本申请提供了一种攻击防护系统、方法、装置和网络设备。

第一方面，提供了一种攻击防护系统。该攻击防护系统包括检测设备和惩罚设备，惩罚设备为在终端和检测设备之间传输数据的设备；

所述检测设备用于在确定待惩罚的终端后，将用于指示惩罚所述终端的第一惩罚参数添加至第一报文中，并向所述终端发送所述第一报文，所述第一报文的报文头中有预定标识；

所述惩罚设备用于拦截报文头中有所述预定标识的所述第一报文，在所述第一报文包括所述第一惩罚参数时，生成包括第二惩罚参数的第二报文，所述第二报文的报文头中有所述预定标识，并向所述终端发送所述第二报文，并在发送所述第二报文后的第一预定时长内未接收到第一惩罚结果时，根据所述第一惩罚参数执行对所述终端的惩罚操作，所述第一惩罚结果用于指示所述终端已被惩罚。

由于惩罚设备可以将惩罚参数发送给下游设备，这样可以由离终端较近的设备控制终端的攻击，可以防御不经过检测设备的攻击报文，达到了精准惩罚的目的。

结合第一方面，在第一方面的第一种实现中，所述第一惩罚参数包括取值用于指示等待时长的时长参数，所述惩罚设备还用于将所述第一惩罚参数中的时长参数的取值确定为所述第一预定时长；

或者，

所述第一惩罚参数包括用于计算等待时长的时长计算参数，所述惩罚设备还用于根据所述第一惩罚参数中的时长计算参数的取值计算等待时长，将计算得到的所述等待时长确定为所述第一预定时长。

结合第一方面或第一方面的第一种实现，在第一方面的第二种实现中，当所述第一惩罚参数包括取值用于指示等待时长的时长参数时，所述惩罚设备还用于将所述时长参数的取值减少后作为所述第二惩罚参数的时长参数；

当所述第一惩罚参数包括用于计算等待时长的时长计算参数时，所述惩罚设备还用于将所述时长计算参数减少后作为所述第二惩罚参数的时长计算参数。

结合第一方面的第二种实现，在第一方面的第三种实现中，当所述第一惩罚参数包括取值用于指示等待时长的时长参数时，所述惩罚设备还用于将所述第二惩罚参数的时长参数确定为所述第一预定时长；

或者，

当所述第一惩罚参数包括用于计算等待时长的时长计算参数时，所述惩罚设备还用于，根据所述第二惩罚参数的时长计算参数计算等待时长，将得到的等待时长确定为所述第一预定时长。