[发明专利]一种对交换路由设备中央处理器进行安全保护的方法

说明书

技术领域

本发明属于计算机网络通信技术领域，具体涉及一种通过对协议报文的处理来对交换路由设备中央处理器进行安全保护的方法。 

背景技术

随着网络技术的高速发展，网络的结构和层次越来越复杂，在网络中传输的报文信息流也越来越密集，这就需要对网络设备进行更加严格的保护，如果网络交换路由设备出现问题可能就会导致整个网络服务的异常。 

现有的中高端网络交换路由设备基本都采用硬件转发底层与CPU(中央处理单元)软件上层相结合的架构。设备的CPU基本上不参与交换和路由过程，主要完成管理控制和维护交换芯片的功能，主要处理各种协议报文、中断、消息，响应命令行命令，对系统的任务调度和维护，对硬件转发芯片和外围设备的维护等等，这样在网络流量大，运行的协议特性较多时CPU就经常处于高负荷的状态，从而出现响应慢，协议报文丢失等一系列问题。报文对网络设备的攻击主要就是对CPU软件层面的攻击，因此如何对CPU进行保护，有效利用CPU资源是网络设备需要解决的重要问题。 

目前对CPU保护，优化CPU资源利用率主要是通过控制CPU接收报文来实现的，现有技术主要有： 

一、采用CPU流控技术，控制硬件向软件平面上交报文的绝对速率，保证CPU不会因为过载而完全瘫痪。但在异常数据流量较大的情况下，异常报文会抢占上交软件平面的通道带宽，消耗有限的CPU资源而使正常报文被大量丢弃，最终导致网络设备的响应速度大大降低，正常用户的服务无法得到保证。 

二、采用流分类的方法来控制报文流量，该方法是设置ACL表(访问控制列表)，通过将数据报文中的一些关键字段和ACL定义的规则进行匹配，根据规则将报文按照ACL对应的动作进行处理。要支持较多的协议特性需要添加较多的ACL表项，这对硬件流分类资源占用太 大，而且这种方法不能有效防止伪造合法数据报文格式进行攻击的情况，如正常的ARP(地址解析协议)报文，这些报文的格式内容虽然正常，但在异常大流量的情况下也会导致设备异常。 

由上分析可知，现有的技术还不能完全有效的充分利用CPU资源，在系统遭受黑客攻击时还不能有效的对CPU进行保护。 

发明内容

本发明的目的在于克服现有技术的不足，提供一种对交换路由设备中央处理器进行安全保护的方法。该方法通过对硬件上送的已经经过限速处理的报文再进行过滤和监控处理，降低可能存在的非法报文对设备的影响，预防可能存在的网络攻击，从而提高CPU资源的有效利用率，并在系统受到报文攻击时对CPU起到保护作用。 

为解决上述技术问题，本发明是通过以下技术方案实现的： 

一种对交换路由设备中央处理器进行安全保护的方法，包括如下步骤： 

对硬件上送经过限速处理后的报文进行过滤； 

对过滤处理后的报文进行监控，上送经监控处理后通过的报文给中央处理器。 

进一步地，所述过滤的步骤如下： 

预先设定不合理报文的条件，对不合理报文进行分类，每一类为一个阶段； 

对每个阶段的报文进行筛选。 

进一步地，所述对每个阶段的报文进行筛选的步骤如下： 

A、根据报文头部的信息对该阶段的报文进行预过滤； 

B、不符合预先设定条件的报文，预过滤通过，执行步骤D；否则，预过滤未通过，执行步骤C； 

C、预先设定过滤规则，按照过滤规则对预过滤未通过的报文进行过滤，不符合过滤规则的报文，过滤通过，执行步骤D；否则，过滤未通过，丢弃过滤未通过的报文； 

D、判断接下来是否还有下一阶段过滤，若有，则执行步骤A进行下一阶段的操作；否则，过滤过程结束。 

所述信息包括地址、类型等信息中至少一种。 

进一步地，所述监控的步骤如下： 

E、对每一类的报文预先设定匹配规则，解析过滤处理后的报文并根据匹配规则进行匹配；

F、若匹配成功，则根据报文是否有用户配置的丢弃标识进行判断，若有，则对报文进行丢弃，否则，对报文上送端口的该类报文数量增加计数，执行步骤G；若匹配不成功，则对报文进行上送； 

G、通过令牌桶方法对报文进行限速，在报文到来时判断令牌桶中是否有剩余令牌，若有，对报文进行上送；否则，对报文进行丢弃。 

在对报文上送端口的该类报文数量增加计数，之后还可以包括步骤： 

设置定时器检测每个端口每一类报文的数量；