[发明专利]一种控制平面保护方法、装置、交换设备及存储介质在审
| 申请号: | 202211709117.8 | 申请日: | 2022-12-29 |
| 公开(公告)号: | CN115987666A | 公开(公告)日: | 2023-04-18 |
| 发明(设计)人: | 程兴旺;卢斌杰;杨锐 | 申请(专利权)人: | 苏州盛科通信股份有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;H04L43/16 |
| 代理公司: | 北京超凡宏宇专利代理事务所(特殊普通合伙) 11463 | 代理人: | 王思楠 |
| 地址: | 215000 江苏*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 控制 平面 保护 方法 装置 交换 设备 存储 介质 | ||
本发明的实施例提供了一种涉及网络安全技术领域的控制平面保护方法、装置、交换设备及存储介质,该方法应用于交换设备,交换设备包括控制平面以及转发平面,转发平面用于接收报文,并将判定为不能处理的目标报文发送给控制平面处理;该方法包括:获取所述控制平面的使用率以及所述目标报文的流量大小。判断所述使用率是否达到预设使用率阈值,以及判断所述流量大小是否达到预设流量阈值。若所述使用率达到所述预设使用率阈值,且所述流量大小达到所述预设流量阈值,则对所述目标报文进行可信度计算,判断所述目标报文所对应的节点是否为可信节点。若否,则基于预设策略对所述节点进行限制。本发明可以更好地保护交换机的控制平面。
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种控制平面保护方法、装置、交换设备及存储介质。
背景技术
随着芯片等技术的发展,以及网络带宽需求的迅速增长,交换设备转发处理能力得到了极大的提升。近10年来,网络带宽经历了10M到100G的万倍跨越,转发平面的处理能力急剧提升。交换设备的控制平面是运行在CPU(Central Processing Unit,中央处理器)上,软件处理能力的增长有限。超宽带时代终端与网元之间的通道得到极大增强,极易出现基于流量泛洪等方式的拒绝服务攻击。
现有技术大多是通过CoPP(Control-Plane Protect,控制平面保护)机制,通过管理员手动配置一些规则来限制或过滤掉部分报文。但是手工配置缺乏灵活性和安全性,不能更好地保护控制平面。
发明内容
本发明的目的包括,例如,提供了一种控制平面保护方法、装置、交换设备及存储介质,其能够至少部分解决上述技术问题。
本发明的实施例可以这样实现:
第一方面,本发明实施例提供了一种控制平面保护方法,应用于交换设备,所述交换设备包括控制平面以及转发平面,所述转发平面用于接收报文,并将判定为不能处理的目标报文发送给所述控制平面处理;所述方法包括:
获取所述控制平面的使用率以及所述目标报文的流量大小;
判断所述使用率是否达到预设使用率阈值,以及判断所述流量大小是否达到预设流量阈值;
若所述使用率达到所述预设使用率阈值,且所述流量大小达到所述预设流量阈值,则对所述目标报文进行可信度计算,判断所述目标报文所对应的节点是否为可信节点;
若否,则基于预设策略对所述节点进行限制。
可选地,对所述目标报文进行可信度计算,判断所述目标报文所对应的节点是否为可信节点,包括:
解析所述目标报文,获取所述目标报文的多个目标特征;
每间隔预设间隔时长,对多个所述目标特征进行一次所述可信度计算,得到可信度,直至所述流量大小低于所述预设流量阈值;
基于预设可信值计算公式,根据多个所述可信度,计算得到所述目标的可信值;
判断所述可信值是否处于预设可信值范围内,若是,则判定所述目标报文所对应的节点为所述可信节点。
可选地,所述可信值计算公式为:
其中,P为所述可信值,f(n)为所述可信度,m为所述可信度的计算次数。
可选地,所述方法还包括:
对多个所述目标特征赋予不同权重值;
根据每个所述目标特征的权重进行所述可信度计算。
可选地,所述方法还包括:
判断所述目标报文对应的节点是否在预设白名单内;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于苏州盛科通信股份有限公司,未经苏州盛科通信股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202211709117.8/2.html,转载请声明来源钻瓜专利网。
