一种路由交换设备内生安全动态防护功能的处理方法技术

本发明专利技术公开了一种路由交换设备内生安全动态防护功能的处理方法，依靠路由交换设备内部的交换芯片与多核处理器实现安全防护，包括：对报文2‑7层内容进行检测和识别，根据分类结果实施精细化安全控制策略；交换芯片针对报文2‑4层完成报文过滤和攻击防御功能；多核处理器针对报文3‑7层内容进行检测，完成深度安全防御检测，并向交换芯片主动下发安全控制策略，最终由交换芯片执行完成。交换芯片与多核处理器协作，实现了报文内容的深层次检测，并能够针对性的主动执行安全控制策略，大大提升了路由交换设备主动防护能力。采用一次检测、匹配、多次复用的方式，大大减小了对系统性能的影响，避免引入部分安全防护设备导致处理性能瓶颈的风险。

【技术实现步骤摘要】
一种路由交换设备内生安全动态防护功能的处理方法
本专利技术涉及通信网络安全
，尤其涉及一种路由交换设备内生安全动态防护功能的处理方法。
技术介绍
传统的路由交换设备重点关注路由处理及数据转发等功能，仅提供很弱的安全防护功能。例如AAA认证功能仅能解决基本的用户登录访问安全问题，ACL过滤功能仅能针对报文4层及以下内容进行五元组匹配过滤。随着网络的应用规模扩大，出现了越来越多的网络攻击、数据窃取、破坏等安全问题，正是由于网络所存在的诸多不安全因素，使得网络建设和使用者必须采用相应的网络安全技术来堵塞安全漏洞，提供安全的通信服务,防火墙设备孕育而生。防火墙设备特有网络安全功能能够从不同的角度保证网络信息不受侵犯，但由于防火墙大部分都设置在网络数据流的关键路径上，通过访问控制的方式来将系统内部与外部隔离开，对于恶意的代码(如木马、病毒、缓冲区溢出)攻击以及其它来自内部的攻击等，防火墙束手无策。加之防火墙设备大都采用被动的静态防护，系统欠缺遭受入侵攻击后快速恢复能力。在早期网络安全部署中，路由交换设备与防火墙设备串接在网络中是一种比较常见的安全防护措施，这样分离式的安全防护部署能够在一定程度上具备较全面的防护能力，但在基于应用层的网络攻击防御、网络精细化管理、主动防御的时效性、动态策略联动方面有所欠缺，部分安全防护设备的性能瓶颈也会严重影响网络性能和效率，同时增加了网络的维护成本。因此在路由交换设备上提供内生安全动态防护功能有助于解决上述问题，是有益且必要的。
技术实现思路
为了解决上述问题，本专利技术提出一种路由交换设备内生安全动态防护功能的处理方法，在传统路由交换设备中利用交换芯片与多核处理器协作，提供一种主动防护方法，通过多核处理器并行分析业务流经过网络设备需要匹配的状态和特征，实现网络中各应用业务流高速的自动识别和分类，业务流属性与安全策略条件匹配后向交换芯片主动下发安全控制策略，以较小的转发性能损失实现主动防护功能。本专利技术的一种路由交换设备内生安全动态防护功能的处理方法，依靠路由交换设备内部的交换芯片与多核处理器实现安全防护，安全防护包括：对报文2-7层内容进行检测和识别，根据分类结果实施精细化安全控制策略；交换芯片针对报文2-4层完成报文过滤和攻击防御功能；多核处理器针对报文3-7层内容进行检测，完成深度安全防御检测，并向交换芯片主动下发安全控制策略，最终由交换芯片执行完成。进一步的，交换芯片与多核处理器采用PCIe总线连接，实现协议报文交互、交换芯片配置下发功能；交换芯片前面板业务端口数目、内部业务端口数目与多核处理器内部端口数目一致，一一对应，内部业务端口采用Serdes总线连接，实现业务报文的交互；多核处理器中控制平面与数据平面相互独立，实现设备管理与报文处理的高效并行运作。进一步的，交换芯片针对报文2-4层完成包括ACL基于五元组的过滤及控制、防DoS攻击和防CPU攻击的功能；多核处理器针对报文3-7层内容完成自动识别和分类，报文属性与安全策略条件匹配后向交换芯片主动下发安全控制策略，交换芯片执行包括转发、丢弃和限速的安全防护功能；内生安全防护功能主要包括报文过滤及控制策略、入侵检测防御策略和访问限制策略。进一步的，所述报文过滤及控制策略包括：通过匹配ACL条件结合安全控制策略对报文实施过滤及控制；过滤策略主要基于报包中五元组和报文传递的方向信息，所述五元组包括IP层协议号、源/目的IP地址、源/目的端口号；安全控制策略主要包括转发、限速和丢弃。进一步的，所述报文过滤及控制策略包括以下步骤：步骤11：报文进入交换芯片，判断报文过滤策略是否使能，若未使能则进行步骤12操作；若使能则进行步骤31操作；步骤12：交换芯片进入转发处理直至结束；步骤13：交换芯片针对报文4层及以下内容进行基于五元组匹配，若失败则进入转发处理直至结束，否则进行步骤14操作；步骤14：交换芯片执行安全控制策略，直至结束。进一步的，所述入侵检测防御策略包括：通过分析、比对网络流量特征识别出攻击行为，并通过响应方式对其进行实时中止；所述入侵检测防御策略包括以下步骤：步骤21：交换芯片接收报文，针对报文4层及以下内容进行基于五元组匹配，若失败则进行步骤23操作，否则进行步骤22操作；步骤22：交换芯片执行安全控制策略，直至结束；步骤23：交换芯片判断是否使能入所述侵检测防御策略，若使能则进行步骤24操作，否则进入转发处理直至结束；步骤24：交换芯片将报文交由多核处理器处理；步骤25：多核处理器并行工作，针对报文3-7层数据内容与攻击报文特征库进行比对，若匹配成功则进行步骤26操作，否则进入转发处理直至结束；步骤26：多核处理器针对报文向交换芯片主动下发相关匹配条件及安全控制策略，并将报文交由交换芯片处理，进行步骤21操作。进一步的，步骤25中，所述攻击报文特征库以单条规则为单位构建而成；首先解析规则并按不同报文类型建立规则树，将报文与规则树进行匹配，若发现存在某条规则与该报文匹配，则表示发现入侵攻击；若未匹配的成功，则表示此报文正常。进一步的，报文与规则树进行匹配时，采用Boyer-Moore算法作为特征库匹配算法，处理过程包括：设文本串为T，模式串为P；先将T与P进行左对齐，然后按照从右到左的顺序进行匹配，若是某一趟不匹配时，则通过优先计算坏字符跳转值以及好后缀跳转值，取其二者中的较大跳转长度k作为模式串向右移动的距离，直到整个匹配过程的结束。进一步的，访问限制策略主要包括：特定网站的访问过滤、特定应用的过滤及限速控制；通过对网络流量中统一资源定位符进行匹配，实现允许或禁止用户访问某些网页资源；通过分析、比对网络流量行为特征识别出此条会话属于哪种应用，并通过响应方式对其进行实时控制，从而实现网络带宽的合理分配。进一步的，访问限制策略与入侵检测防御策略相似，主要差别在于报文3-7层数据内容及会话行为的特征识别：特定网站的访问过滤主要针对报文中统一资源定位符的关键字段，实现特定网站的访问限制；特定应用的识别主要包括：基于协议的识别，通过包括帧类型、IP协议号、TCP/IP端口、载荷命令的内容对标准协议进行识别；基于内容的识别，通过对报文内容进行分析和模式匹配，结合应用指纹实现应用识别；基于内容+行为识别，通过报文序列对会话行为进行分析、识别。本专利技术的有益效果在于：交换芯片与多核处理器协作，实现了报文内容的深层次检测，并能够针对性的主动执行安全控制策略，大大提升了路由交换设备主动防护能力；采用一次检测、匹配、多次复用的方式，大大减小了对系统性能的影响，避免引入部分安全防护设备导致处理性能瓶颈的风险。本专利技术与传统路由交换设备相比，具备的主要技术优势：(1)路由交换设备内生安全性：交换芯片与多核处理器协作，实现路由交换及动态安全防护功能，较好的解决传统路由交换设备与防火墙设备难以协同造成效率低、管控难等问题，既确保接入网络的路由交换设备可靠性，也满足路由交换设备高性能安全防本文档来自技高网...

【技术保护点】
1.一种路由交换设备内生安全动态防护功能的处理方法，其特征在于，依靠路由交换设备内部的交换芯片与多核处理器实现安全防护，安全防护包括：对报文2-7层内容进行检测和识别，根据分类结果实施精细化安全控制策略；交换芯片针对报文2-4层完成报文过滤和攻击防御功能；多核处理器针对报文3-7层内容进行检测，完成深度安全防御检测，并向交换芯片主动下发安全控制策略，最终由交换芯片执行完成。/n

【技术特征摘要】
1.一种路由交换设备内生安全动态防护功能的处理方法，其特征在于，依靠路由交换设备内部的交换芯片与多核处理器实现安全防护，安全防护包括：对报文2-7层内容进行检测和识别，根据分类结果实施精细化安全控制策略；交换芯片针对报文2-4层完成报文过滤和攻击防御功能；多核处理器针对报文3-7层内容进行检测，完成深度安全防御检测，并向交换芯片主动下发安全控制策略，最终由交换芯片执行完成。


2.根据权利要求1所述的一种路由交换设备内生安全动态防护功能的处理方法，其特征在于，交换芯片与多核处理器采用PCIe总线连接，实现协议报文交互、交换芯片配置下发功能；交换芯片前面板业务端口数目、内部业务端口数目与多核处理器内部端口数目一致，一一对应，内部业务端口采用Serdes总线连接，实现业务报文的交互；多核处理器中控制平面与数据平面相互独立，实现设备管理与报文处理的高效并行运作。


3.根据权利要求1所述的一种路由交换设备内生安全动态防护功能的处理方法，其特征在于，交换芯片针对报文2-4层完成包括ACL基于五元组的过滤及控制、防DoS攻击和防CPU攻击的功能；多核处理器并行工作，针对报文3-7层内容完成自动识别和分类，报文属性与安全策略条件匹配后向交换芯片主动下发安全控制策略，交换芯片执行包括转发、丢弃和限速的安全防护功能；内生安全防护功能主要包括报文过滤及控制策略、入侵检测防御策略和访问限制策略。


4.根据权利要求3所述的一种路由交换设备内生安全动态防护功能的处理方法，其特征在于，所述报文过滤及控制策略包括：通过匹配ACL条件结合安全控制策略对报文实施过滤及控制；过滤策略主要基于报包中五元组和报文传递的方向信息，所述五元组包括IP层协议号、源/目的IP地址、源/目的端口号；安全控制策略主要包括转发、限速和丢弃。


5.根据权利要求4所述的一种路由交换设备内生安全动态防护功能的处理方法，其特征在于，所述报文过滤及控制策略包括以下步骤：
步骤11：报文进入交换芯片，判断报文过滤策略是否使能，若未使能则进行步骤12操作；若使能则进行步骤31操作；
步骤12：交换芯片进入转发处理直至结束；
步骤13：交换芯片针对报文4层及以下内容进行基于五元组匹配，若失败则进入转发处理直至结束，否则进行步骤14操作；
步骤14：交换芯片执行安全控制策略，直至结束。


6.根据权利要求5所述的一种路由交换设备内生安全动态防护功能的处理方法，其特征在于，所述入侵检测防御策略包括：通过分析、比对网络流量特征识别出攻击行为，并通过响应方式对其进行实时中止；
所述...

【专利技术属性】
技术研发人员：吴海涛，王宏，谢卫，杨素梅，梁文婷，杨玉发，胡贵，华铭轩，
申请(专利权)人：中国电子科技集团公司第三十研究所，
类型：发明
国别省市：四川;51