[发明专利]一种控制平面保护方法、装置、交换设备及存储介质

权利要求书

1.一种控制平面保护方法，其特征在于，应用于交换设备，所述交换设备包括控制平面以及转发平面，所述转发平面用于接收报文，并将判定为不能处理的目标报文发送给所述控制平面处理；所述方法包括：

获取所述控制平面的使用率以及所述目标报文的流量大小；

判断所述使用率是否达到预设使用率阈值，以及判断所述流量大小是否达到预设流量阈值；

若所述使用率达到所述预设使用率阈值，且所述流量大小达到所述预设流量阈值，则对所述目标报文进行可信度计算，判断所述目标报文所对应的节点是否为可信节点；

若否，则基于预设策略对所述节点进行限制。

2.如权利要求1所述的控制平面保护方法，其特征在于，所述对所述目标报文进行可信度计算，判断所述目标报文所对应的节点是否为可信节点，包括：

解析所述目标报文，获取所述目标报文的多个目标特征；

每间隔预设间隔时长，对多个所述目标特征进行一次所述可信度计算，得到可信度，直至所述流量大小低于所述预设流量阈值；

基于预设可信值计算公式，根据多个所述可信度，计算得到所述目标的可信值；

判断所述可信值是否处于预设可信值范围内，若是，则判定所述目标报文所对应的节点为所述可信节点。

3.如权利要求2所述的控制平面保护方法，其特征在于，所述可信值计算公式为：

其中，P为所述可信值，f(n)为所述可信度，m为所述可信度的计算次数。

4.如权利要求2所述的控制平面保护方法，其特征在于，所述方法还包括：

对多个所述目标特征赋予不同权重值；

根据每个所述目标特征的权重进行所述可信度计算。

5.如权利要求2所述的控制平面保护方法，其特征在于，所述方法还包括：

判断所述目标报文对应的节点是否在预设白名单内；

若是，则不对所述目标报文进行可信度计算；

若否，则对所述目标报文进行可信度计算，判断所述目标报文所对应的节点是否为可信节点。

6.如权利要求1所述的控制平面保护方法，其特征在于，所述基于预设策略对所述节点进行限制，包括：

控制所述节点上传报文的速率为预设速率，并对所述节点超过所述预设速率上传的报文进行丢弃处理；

或，将所述节点添加至预设黑名单，并拒绝所述节点上传的所有报文。

7.如权利要求1所述的控制平面保护方法，其特征在于，在所述基于预设策略对所述节点进行限制之后，所述方法还包括：

记录对所述节点上传的报文的限制处理；

生成处理日志，并存储所述处理日志。

8.一种控制平面保护装置，其特征在于，应用于交换设备，所述交换设备包括控制平面以及转发平面，所述转发平面用于接收报文，并将判定为不能处理的目标报文发送给所述控制平面处理；所述控制平面保护装置包括：

数据获取单元，用于获取所述控制平面的使用率以及所述目标报文的流量大小；

判断单元，用于判断所述使用率是否达到预设使用率阈值，以及判断所述流量大小是否达到预设流量阈值；

可信度计算单元，用于在所述使用率达到所述预设使用率阈值，且所述流量大小达到所述预设流量阈值时，对所述目标报文进行可信度计算，判断所述目标报文所对应的节点是否为可信节点；

节点限制单元，用于在所述目标报文所对应的节点是否为可信节点时，基于预设策略对所述节点进行限制。

9.一种交换设备，其特征在于，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现权利要求1～7任一项所述方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括计算机程序，所述计算机程序运行时控制所述计算机可读存储介质所在服务器实现权利要求1～7任一项所述方法的步骤。