The invention provides a front end dynamic protection method and a system for a data communication device CPU, belonging to the field of communication and network security. The message sent to the real-time periodic cycle of CPU sampling, sampling value stored in a data packet flow table, feature identification, sampling a flow table based on the value of screening, the formation of the two stage flow table; two stage flow table based on statistics on the number of packets, get the average rate of each flow in a period of time; the average rate and the type of flow is corresponding to the preset threshold rate, when the rate of average rate exceeds the preset threshold, identified as the attack source; the attack source adopts protection strategy, through to the switch chip is connected with the CPU port configuration command issued, in front of the CPU to achieve attack message protection. By processing the attack packets in the front-end of data communication equipment CPU, CPU payload is reduced, so as to achieve the effective protection mechanism for CPU, so as to intercept the attack message from the source.
【技术实现步骤摘要】
一种数据通信设备CPU前端动态防护方法及系统
本专利技术属于通信和网络安全领域,尤其涉及一种数据通信设备CPU前端动态防护方法及系统。
技术介绍
数据通信设备在网络构建中占有极其重要的地位,是整个网络的核心所在。在这个黑客入侵风起云涌、病毒肆虐的网络时代,作为网络链路核心的数据通信设备,理所当然要承担起网络安全的一大部分责任。数据通信设备最重要的作用就是转发数据。在黑客攻击和病毒侵扰下,数据通信设备本身要能够继续保持其高效的数据转发速率不受干扰,这是数据通信设备需要满足的最基本的网络安全功能。数据通信设备普遍使用嵌入式系统,其正常运作都是建立在CPU稳定运行的基础之上。只有CPU对各种软硬件资源的合理分配和调度,才能保证整个系统的长久稳定运行。黑客和病毒对数据通信设备的攻击也正是基于对CPU的攻击来开展的。这些攻击通常会诱使、触发CPU进入异常的资源消耗状态,导致网络异常。因此,数据通信设备的CPU安全实际上也就代表了数据通信设备的网络安全。数据通信设备在正常运转的时候,一般仅有很小的一部分报文被送到CPU上处理,主要是常规协议报文及一些需要软转发的报文。但是,当遭受攻击时,攻击报文会被送到CPU上处理。目前,对于常见的协议报文攻击,一般采用与之相应的协议防护模块对攻击行为进行防护,但并非所有的协议都实现了与之相应的防护模块。对于没有实现防护模块的协议,当出现攻击报文时,CPU可能遭受直接攻击。另外,目前各协议模块的防护功能都是建立在嵌入式系统内核收包处理流程之后、协议模块处理流程之前,在这个过程中,对攻击报文的预处理已经消耗了一部分CPU资源,如果出现连 ...
【技术保护点】
一种数据通信设备CPU前端动态防护方法,其特征在于:包括:步骤S1、在数据通信设备系统中创建实时监测上送CPU报文的任务,实时对上送到CPU的报文周期性循环采样,将采样值存储于一级流表,基于数据包的特征对一级流表的采样值进行识别、筛选,形成二级流表;步骤S2、基于二级流表,对报文个数进行统计,获得每条流在时间周期内的平均速率V;步骤S3、将平均速率与该类型流相对应的预设速率阈值进行比较,当平均速率超过预设的速率阈值时,识别为攻击源,实现攻击源识别;步骤S4、对攻击源采用防护策略,通过向与CPU相连接的交换芯片端口下发配置命令,实现在CPU的前端对攻击报文进行防护处理。
【技术特征摘要】
1.一种数据通信设备CPU前端动态防护方法,其特征在于:包括:步骤S1、在数据通信设备系统中创建实时监测上送CPU报文的任务,实时对上送到CPU的报文周期性循环采样,将采样值存储于一级流表,基于数据包的特征对一级流表的采样值进行识别、筛选,形成二级流表;步骤S2、基于二级流表,对报文个数进行统计,获得每条流在时间周期内的平均速率V;步骤S3、将平均速率与该类型流相对应的预设速率阈值进行比较,当平均速率超过预设的速率阈值时,识别为攻击源,实现攻击源识别;步骤S4、对攻击源采用防护策略,通过向与CPU相连接的交换芯片端口下发配置命令,实现在CPU的前端对攻击报文进行防护处理。2.根据权利要求1所述的一种数据通信设备CPU前端动态防护方法,其特征在于:步骤S5、计算交换芯片对应端口的报文速率,将该报文速度与步骤S3中的预设速率阈值进行比较,超过阈值时,继续执行步骤S4,防护继续生效;未超过阈值时,恢复防护,继续执行步骤S1-S3。3.根据权利要求1或2所述的一种数据通信设备CPU前端动态防护方法,其特征在于:所述步骤S1中的报文周期性循环采样的具体方法为:一个周期T内取100条流记录到一级流表,超过100条的流将被丢弃不作统计,完成二级流表筛选后,删除本次采样的一级流表,进行下一次采集,在采集周期结束前重复以上采样。4.根据权利要求1或2所述的一种数据通信设备CPU前端动态防护方法,其特征在于:所述每条流在时间周期内的平均速率获得的过程是:对步骤S2中的报文个数统计值C,除以采样周期T,计算出该流上送的速率V=C/T。5.根据权利要求1或2所述的一种数据通信设备CPU前端动态防护方法,其特征在于:所述步骤S2中基于数据包的特征对一级流表的采样值进行识别、筛选的方法为:将一级流表的报文根据源MAC、源IP、Protocol任选与端口号组合形成关键字进行筛选,统计出二级流表。6.根据权利要求1或2所述的一种数据通信设备CPU前端动态防护方法,其特征在于:所述二级流表,是基于一级流表的采样数据来建立,可以建立三张不同的二级流表,分别如下1)~3):1)per-mac:以源MAC确定一张源MAC二级流表,以定位来自某个源MAC的攻击行为;2)per-...
【专利技术属性】
技术研发人员:黄准,吴先勤,张颖,余昌胜,桑子鹏,
申请(专利权)人:武汉光迅科技股份有限公司,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。