一种数据通信设备CPU前端动态防护方法及系统技术方案

本发明专利技术提供一种数据通信设备CPU前端动态防护方法及系统，属于通信和网络安全领域。实时对上送到CPU的报文周期性循环采样,将采样值存储于一级流表，基于数据包的特征对一级流表的采样值进行识别、筛选，形成二级流表；基于二级流表，对报文个数进行统计，获得每条流在时间周期内的平均速率；将平均速率与该类型流相对应的预设速率阈值比较，当平均速率超过预设的速率阈值时，识别为攻击源；对攻击源采用防护策略，通过向与CPU相连接的交换芯片端口下发配置命令，实现在CPU的前端对攻击报文进行防护处理。通过在数据通信设备CPU前端进行攻击报文处理减轻CPU载荷，从而达到对CPU有效防护的机制，实现从源头上对攻击报文拦截。

Front end dynamic protection method and system for data communication equipment CPU

The invention provides a front end dynamic protection method and a system for a data communication device CPU, belonging to the field of communication and network security. The message sent to the real-time periodic cycle of CPU sampling, sampling value stored in a data packet flow table, feature identification, sampling a flow table based on the value of screening, the formation of the two stage flow table; two stage flow table based on statistics on the number of packets, get the average rate of each flow in a period of time; the average rate and the type of flow is corresponding to the preset threshold rate, when the rate of average rate exceeds the preset threshold, identified as the attack source; the attack source adopts protection strategy, through to the switch chip is connected with the CPU port configuration command issued, in front of the CPU to achieve attack message protection. By processing the attack packets in the front-end of data communication equipment CPU, CPU payload is reduced, so as to achieve the effective protection mechanism for CPU, so as to intercept the attack message from the source.

【技术实现步骤摘要】
一种数据通信设备CPU前端动态防护方法及系统
本专利技术属于通信和网络安全领域，尤其涉及一种数据通信设备CPU前端动态防护方法及系统。
技术介绍
数据通信设备在网络构建中占有极其重要的地位，是整个网络的核心所在。在这个黑客入侵风起云涌、病毒肆虐的网络时代，作为网络链路核心的数据通信设备，理所当然要承担起网络安全的一大部分责任。数据通信设备最重要的作用就是转发数据。在黑客攻击和病毒侵扰下，数据通信设备本身要能够继续保持其高效的数据转发速率不受干扰，这是数据通信设备需要满足的最基本的网络安全功能。数据通信设备普遍使用嵌入式系统，其正常运作都是建立在CPU稳定运行的基础之上。只有CPU对各种软硬件资源的合理分配和调度，才能保证整个系统的长久稳定运行。黑客和病毒对数据通信设备的攻击也正是基于对CPU的攻击来开展的。这些攻击通常会诱使、触发CPU进入异常的资源消耗状态，导致网络异常。因此，数据通信设备的CPU安全实际上也就代表了数据通信设备的网络安全。数据通信设备在正常运转的时候，一般仅有很小的一部分报文被送到CPU上处理，主要是常规协议报文及一些需要软转发的报文。但是，当遭受攻击时，攻击报文会被送到CPU上处理。目前，对于常见的协议报文攻击，一般采用与之相应的协议防护模块对攻击行为进行防护，但并非所有的协议都实现了与之相应的防护模块。对于没有实现防护模块的协议，当出现攻击报文时，CPU可能遭受直接攻击。另外，目前各协议模块的防护功能都是建立在嵌入式系统内核收包处理流程之后、协议模块处理流程之前，在这个过程中，对攻击报文的预处理已经消耗了一部分CPU资源，如果出现连续大量的攻击报文，CPU资源将会异常消耗，最终导致网络瘫痪。
技术实现思路
为了解决上述现有的数据通信设备CPU防护措施不足的问题，本专利技术提供了一种在数据通信设备CPU的前端根据报文类型、速率等动态进行限速或隔离，在保障正常需要送达CPU处理的报文不受影响的情况下，减轻CPU的载荷，从而达到对CPU更有效防护的机制。该防护机制能在报文上送CPU的前端整体上对攻击报文进行拦截，弥补当前CPU防护措施的不足，将在更大程度上防护网络攻击，保障CPU的长久稳定运行。为了实现上述目的，本专利技术的实现方法包括：一种数据通信设备CPU前端动态防护方法，包括：步骤S1、在数据通信设备系统中创建实时监测上送CPU报文的任务，实时对上送到CPU的报文周期性循环采样,将采样值存储于一级流表，基于数据包的特征对一级流表的采样值进行识别、筛选，形成二级流表；步骤S2、基于二级流表，对报文个数进行统计，获得每条流在时间周期内的平均速率V；步骤S3、将平均速率与该类型流相对应的预设速率阈值进行比较，当平均速率超过预设的速率阈值时，识别为攻击源，实现攻击源识别；步骤S4、对攻击源采用防护策略，通过向与CPU相连接的交换芯片端口下发配置命令，实现在CPU的前端对攻击报文进行防护处理。其中，步骤S5、计算交换芯片对应端口的报文速率，将该报文速度与步骤S3中的预设速率阈值进行比较，超过阈值时，继续执行步骤S4，防护继续生效；未超过阈值时，恢复防护，继续执行步骤S1-S3。其中，所述步骤S1中的报文周期性循环采样的具体方法为：一个周期T内取100条流记录到一级流表，超过100条的流将被丢弃不作统计，完成二级流表筛选后，删除本次采样的一级流表，进行下一次采集，在采集周期结束前重复以上采样。其中，所述每条流在时间周期内的平均速率获得的过程是：对步骤S2中的报文个数统计值C，除以采样周期T，计算出该流上送的速率V＝C/T。其中，所述步骤S2中基于数据包的特征对一级流表的采样值进行识别、筛选的方法为：将一级流表的报文根据源MAC、源IP、Protocol任选与端口号组合形成关键字进行筛选，统计出二级流表。其中，所述二级流表，是基于一级流表的采样数据来建立，可以建立三张不同的二级流表，分别如下1)～3)：1)per-mac：以源MAC确定一张源MAC二级流表，以定位来自某个源MAC的攻击行为；2)per-ip：以源IP确定一张源IP二级流表，以定位某个源IP的攻击行为；3)protocol：以protocol为关键字确定一张协议二级流表，以定位某类协议报文的攻击行为。其中，所述步骤S5中恢复防护的时间周期设置为5s。其中，在防护策略生效的时间内，CPU通过读取交换芯片端口的Meter计数，综合评判攻击行为是否在继续进行，如果攻击排除，则自动撤销防护策略，否则继续执行防护策略或者降低防护策略等级；所述防护策略包括限速或者隔离。其中，防护策略生效后，记录攻击日志，并可选择是否发送trap告警通知到管理员；具体为：CPU防护功能初始化时创建防护专用日志存储文件，当探测到攻击源防护策略生效后，将攻击报文信息写入该日志存储文件，包括报文上送的平均速率、端口信息、vlan、源目的IP、协议类型、日志记录时间，由系统统一记录并管理日志，可以选择性的开启trap告警功能，开启后，当检测到攻击源则通过snmp告知设备管理员；可以选择性的支持日志筛选过滤功能，根据特定参数筛选记录的相关日志，以减少日志信息量便于帮助更快的定位到攻击源。一种数据通信设备CPU前端动态防护系统，包括：交换芯片、及位于CPU报文处理流程前端的CPU防护模块，所述CPU防护模块，用于通过在数据通信设备系统中创建的实时监测上送CPU报文的任务，实时对上送到CPU的报文周期性循环采样,将采样值存储于一级流表，基于数据包的特征对一级流表的采样值进行识别、筛选，形成二级流表；基于二级流表，对报文个数进行统计，获得每条流在时间周期内的平均速率V；将平均速率与该类型流相对应的预设速率阈值进行比较，当平均速率超过预设的速率阈值时，识别为攻击源，实现攻击源识别；对攻击源采用防护策略，通过向与CPU相连接的交换芯片端口下发配置命令，实现在CPU的前端对攻击报文进行防护处理；所述交换芯片，用于接收所述CPU防护模块下发的配置命令，实现在CPU的前端对攻击报文进行防护处理。与现有技术相比，本专利技术的有益效果是：本专利技术通过在数据通信设备CPU的前端根据报文类型、速率等动态进行攻击报文处理，在保障正常需要送达CPU处理的报文不受影响的情况下，减轻CPU的载荷，从而达到对CPU更有效防护的机制。该防护机制能在报文上送CPU的前端整体上对攻击报文进行拦截等处理，弥补当前数据通信设备CPU防护措施的不足，将在更大程度上防护网络攻击，保障CPU的长久稳定运行。附图说明图1是一种数据通信设备CPU前端动态防护方法的流程图。图2是一种数据通信设备CPU前端动态防护系统的结构图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白，下面结合具体的实施方式和附图，对本专利技术做进一步详细说明。本领域技术人员可由本说明书所阐述的内容对其进行实现，从而了解本专利技术的功能与优点。在此，本专利技术的示意性实施方式及其说明用于解释本专利技术，但并不作为对本专利技术的限定。本专利技术还可以通过另外不同的具体实施方法加以实施和应用。实施例1如图1所示，本专利技术提供一种数据通信设备CPU前端动态防护方法，具体实施方式包括：步骤S1、在数据通信设备系统中创建实时监测上送CPU报文的任务，实时对上送到CPU的报文周期性循环本文档来自技高网...

【技术保护点】
一种数据通信设备CPU前端动态防护方法，其特征在于：包括：步骤S1、在数据通信设备系统中创建实时监测上送CPU报文的任务，实时对上送到CPU的报文周期性循环采样,将采样值存储于一级流表，基于数据包的特征对一级流表的采样值进行识别、筛选，形成二级流表；步骤S2、基于二级流表，对报文个数进行统计，获得每条流在时间周期内的平均速率V；步骤S3、将平均速率与该类型流相对应的预设速率阈值进行比较，当平均速率超过预设的速率阈值时，识别为攻击源，实现攻击源识别；步骤S4、对攻击源采用防护策略，通过向与CPU相连接的交换芯片端口下发配置命令，实现在CPU的前端对攻击报文进行防护处理。

【技术特征摘要】
1.一种数据通信设备CPU前端动态防护方法，其特征在于：包括：步骤S1、在数据通信设备系统中创建实时监测上送CPU报文的任务，实时对上送到CPU的报文周期性循环采样,将采样值存储于一级流表，基于数据包的特征对一级流表的采样值进行识别、筛选，形成二级流表；步骤S2、基于二级流表，对报文个数进行统计，获得每条流在时间周期内的平均速率V；步骤S3、将平均速率与该类型流相对应的预设速率阈值进行比较，当平均速率超过预设的速率阈值时，识别为攻击源，实现攻击源识别；步骤S4、对攻击源采用防护策略，通过向与CPU相连接的交换芯片端口下发配置命令，实现在CPU的前端对攻击报文进行防护处理。2.根据权利要求1所述的一种数据通信设备CPU前端动态防护方法，其特征在于：步骤S5、计算交换芯片对应端口的报文速率，将该报文速度与步骤S3中的预设速率阈值进行比较，超过阈值时，继续执行步骤S4，防护继续生效；未超过阈值时，恢复防护，继续执行步骤S1-S3。3.根据权利要求1或2所述的一种数据通信设备CPU前端动态防护方法，其特征在于：所述步骤S1中的报文周期性循环采样的具体方法为：一个周期T内取100条流记录到一级流表，超过100条的流将被丢弃不作统计，完成二级流表筛选后，删除本次采样的一级流表，进行下一次采集，在采集周期结束前重复以上采样。4.根据权利要求1或2所述的一种数据通信设备CPU前端动态防护方法，其特征在于：所述每条流在时间周期内的平均速率获得的过程是：对步骤S2中的报文个数统计值C，除以采样周期T，计算出该流上送的速率V＝C/T。5.根据权利要求1或2所述的一种数据通信设备CPU前端动态防护方法，其特征在于：所述步骤S2中基于数据包的特征对一级流表的采样值进行识别、筛选的方法为：将一级流表的报文根据源MAC、源IP、Protocol任选与端口号组合形成关键字进行筛选，统计出二级流表。6.根据权利要求1或2所述的一种数据通信设备CPU前端动态防护方法，其特征在于：所述二级流表，是基于一级流表的采样数据来建立，可以建立三张不同的二级流表，分别如下1)～3)：1)per-mac：以源MAC确定一张源MAC二级流表，以定位来自某个源MAC的攻击行为；2)per-...

【专利技术属性】
技术研发人员：黄准，吴先勤，张颖，余昌胜，桑子鹏，
申请(专利权)人：武汉光迅科技股份有限公司，
类型：发明
国别省市：湖北,42