專利名稱:一種對交換路由設備中央處理器進行安全保護的方法
技術(shù)領(lǐng)域:
本發(fā)明屬于計算機網(wǎng)絡通信技術(shù)領(lǐng)域,具體涉及一種通過對協(xié)議報文的處理來對交換路 由設備中央處理器進行安全保護的方法。
背景技術(shù):
隨著網(wǎng)絡技術(shù)的高速發(fā)展,網(wǎng)絡的結(jié)構(gòu)和層次越來越復雜,在網(wǎng)絡中傳輸?shù)膱笪男畔⒘?也越來越密集,這就需要對網(wǎng)絡設備進行更加嚴格的保護,如果網(wǎng)絡交換路由設備出現(xiàn)問題 可能就會導致整個網(wǎng)絡服務的異常。
現(xiàn)有的中高端網(wǎng)絡交換路由設備基本都采用硬件轉(zhuǎn)發(fā)底層與CPU (中央處理單元)軟件 上層相結(jié)合的架構(gòu)。設備的CPU基本上不參與交換和路由過程,主要完成管理控制和維護交
換芯片的功能,主要處理各種協(xié)議報文、中斷、消息,響應命令行命令,對系統(tǒng)的任務調(diào)度 和維護,對硬件轉(zhuǎn)發(fā)芯片和外圍設備的維護等等,這樣在網(wǎng)絡流量大,運行的協(xié)議特性較多
時CPU就經(jīng)常處于高負荷的狀態(tài),從而出現(xiàn)響應慢,協(xié)議報文丟失等一系列問題。報文對網(wǎng) 絡設備的攻擊主要就是對CPU軟件層面的攻擊,因此如何對CPU進行保護,有效利用CPU資
源是網(wǎng)絡設備需要解決的重要問題。
目前對CPU保護,優(yōu)化CPU資源利用率主要是通過控制CPU接收報文來實現(xiàn)的,現(xiàn)有技
術(shù)主要有
一、 采用CPU流控技術(shù),控制硬件向軟件平面上交報文的絕對速率,保證CPU不會因為
過載而完全癱瘓。但在異常數(shù)據(jù)流量較大的情況下,異常報文會搶占上交軟件平面的通道帶
寬,消耗有限的CPU資源而使正常報文被大量丟棄,最終導致網(wǎng)絡設備的響應速度大大降低,
正常用戶的服務無法得到保證。
二、 采用流分類的方法來控制報文流量,該方法是設置ACL表(訪問控制列表),通過將 數(shù)據(jù)報文中的一些關(guān)鍵字段和ACL定義的規(guī)則進行匹配,根據(jù)規(guī)則將報文按照ACL對應的動 作進行處理。要支持較多的協(xié)議特性需要添加較多的ACL表項,這對硬件流分類資源占用太
大,而且這種方法不能有效防止偽造合法數(shù)據(jù)報文格式進行攻擊的情況,如正常的ARP (地 址解析協(xié)議)報文,這些報文的格式內(nèi)容雖然正常,但在異常大流量的情況下也會導致設備 異常。
由上分析可知,現(xiàn)有的技術(shù)還不能完全有效的充分利用CPU資源,在系統(tǒng)遭受黑客攻擊 時還不能有效的對CPU進行保護。
發(fā)明內(nèi)容
本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足,提供一種對交換路由設備中央處理器進行安全 保護的方法。該方法通過對硬件上送的已經(jīng)經(jīng)過限速處理的報文再進行過濾和監(jiān)控處理,降 低可能存在的非法報文對設備的影響,預防可能存在的網(wǎng)絡攻擊,從而提高CPU資源的有效 利用率,并在系統(tǒng)受到報文攻擊時對CPU起到保護作用。
為解決上述技術(shù)問題,本發(fā)明是通過以下技術(shù)方案實現(xiàn)的 一種對交換路由設備中央處理器進行安全保護的方法,包括如下步驟 對硬件上送經(jīng)過限速處理后的報文進行過濾;
對過濾處理后的報文進行監(jiān)控,上送經(jīng)監(jiān)控處理后通過的報文給中央處理器。 進一步地,所述過濾的步驟如下
預先設定不合理報文的條件,對不合理報文進行分類,每一類為一個階段; 對每個階段的報文進行篩選。
進一步地,所述對每個階段的報文進行篩選的步驟如下
A、 根據(jù)報文頭部的信息對該階段的報文進行預過濾;
B、 不符合預先設定條件的報文,預過濾通過,執(zhí)行步驟D;否則,預過濾未通過,執(zhí)行 步驟C;
C、 預先設定過濾規(guī)則,按照過濾規(guī)則對預過濾未通過的報文進行過濾,不符合過濾規(guī)則 的報文,過濾通過,執(zhí)行步驟D;否則,過濾未通過,丟棄過濾未通過的報文;
D、 判斷接下來是否還有下一階段過濾,若有,則執(zhí)行步驟A進行下一階段的操作;否則, 過濾過程結(jié)束。
所述信息包括地址、類型等信息中至少一種。 進一步地,所述監(jiān)控的步驟如下-
E、 對每一類的報文預先設定匹配規(guī)則,解析過濾處理后的報文并根據(jù)匹配規(guī)則進行匹配;
F、 若匹配成功,則根據(jù)報文是否有用戶配置的丟棄標識進行判斷,若有,則對報文進行 丟棄,否則,對報文上送端口的該類報文數(shù)量增加計數(shù),執(zhí)行步驟G;若匹配不成功,則對 報文進行上送;
G、 通過令牌桶方法對報文進行限速,在報文到來時判斷令牌桶中是否有剩余令牌,若有, 對報文進行上送;否則,對報文進行丟棄。
在步驟F中還可以包括步驟
設置定時器檢測每個端口每一類報文的數(shù)量; . 判斷報文數(shù)量是否超過設定的閾值,若超過,則發(fā)出告警信息;否則,更新端口報文數(shù) 量的計數(shù)。
使用本發(fā)明的對交換路由設備中央處理器進行安全保護的方法具有以下有益效果 本發(fā)明通過對硬件上送的已經(jīng)經(jīng)過限速處理的報文再進行過濾和監(jiān)控處理,降低了可能
存在的非法報文對設備的影響,預防了可能存在的網(wǎng)絡攻擊,從而提高了 CPU資源的有效利
用率,并在系統(tǒng)受到報文攻擊時對CPU起到保護作用。
圖l是本發(fā)明的報文處理流程圖; 圖2是本發(fā)明的報文過濾整體結(jié)構(gòu)圖; 圖3是本發(fā)明的報文某一階段的過濾流程圖; 圖4是本發(fā)明的報文監(jiān)控處理過程流程圖。
具體實施例方式
為了更好地理解本發(fā)明,下面結(jié)合附圖和具體實施例對本發(fā)明作進一步地描述。 請參閱圖1,為了更好的預防報文攻擊和CPU保護,本發(fā)明是對硬件上送的經(jīng)過限速處
理后的報文進行過濾和監(jiān)控,對通過的報文再上送給CPU。
請參閱圖2,本發(fā)明把不合理報文分為幾大類,每一類為一個階段,每個階段進行預過
濾和過濾兩過程,提高了過濾的效率。本發(fā)明通過報文過濾可以把一些不合理的報文篩選出
來并丟棄。
請參閱圖3,某一個階段報文過濾過程如下
步驟31,報文進行某一階段的預過濾,根據(jù)報文頭部的地址、類型等信息篩選出這一類 的特定類型的報文;
步驟32,判斷報文是否通過預過濾,通過執(zhí)行步驟36,否則執(zhí)行步驟33;這時滿足某 一類特定類型條件的報文會被過濾出,而其余報文會通過;
步驟33,按照預先設定的過濾規(guī)則對預過濾出來的報文進行過濾; 歩驟34,判斷報文是否通過過濾,通過執(zhí)行步驟36,否則執(zhí)行步驟35; 步驟35,對過濾出的報文丟棄;
步驟36,判斷接下來是否還有下一階段過濾,有的話執(zhí)行步驟31進行下一階段的過濾 過程,否則執(zhí)行步驟37;
步驟37,過濾過程結(jié)束,通過的報文進行下一步處理。
除了對報文進行過濾外,還要對報文進行監(jiān)控,以保證CPU資源合理利用。報文監(jiān)控就 是對某個特定端口的特定報文數(shù)量進行監(jiān)控, 一旦超過了給定的閾值就發(fā)出告警信息,并對 此報文進行限速或者丟棄。
請參閱圖4,報文監(jiān)控處理過程如下
步驟41,對每一類的報文預先設定匹配規(guī)則,解析過濾處理后的報文并根據(jù)匹配規(guī)則進 行匹配;
步驟42,判斷報文是否匹配上,匹配成功則執(zhí)行步驟44,不成功則執(zhí)行步驟43; 步驟43,對報文進行上送;
步驟44,根據(jù)用戶配置的丟棄標識進行判斷,配置了丟棄標識執(zhí)行步驟45,否則執(zhí)行歩 驟46;
步驟45,對報文進行丟棄;
步驟46,對報文上送端口的該類報文數(shù)量增加計數(shù);
步驟47,通過令牌桶方法對報文限速,在某一個報文到來時判斷令牌桶中是否有剩余令 牌,有則執(zhí)行步驟49,沒有則執(zhí)行步驟48; 步驟48,對報文進行丟棄; 步驟49,報文上送軟件處理;
步驟410,設置一個定時器每間隔一段時間檢測下每個端口每一類報文的數(shù)量;
步驟411,判斷報文數(shù)量是否超過設定的閾值,超過則執(zhí)行步驟413,否則執(zhí)行步驟412;
步驟412,更新端口報文數(shù)量的計數(shù),返回;
步驟413,發(fā)出告警信息提醒用戶某端口的某類型報文流量過大。
以上所述僅為本發(fā)明的較佳實施例,并不用以限制本發(fā)明,應當指出,對于本領(lǐng)域的普 通技術(shù)人員來說,凡是本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換或改進等,均應 包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.一種對交換路由設備中央處理器進行安全保護的方法,其特征在于,包括如下步驟對硬件上送經(jīng)過限速處理后的報文進行過濾;對過濾處理后的報文進行監(jiān)控,上送經(jīng)監(jiān)控處理后通過的報文給中央處理器。
2. 根據(jù)權(quán)利要求1所述的對交換路由設備中央處理器進行安全保護的方法,其特征在于, 所述過濾的步驟如下預先設定不合理報文的條件,對不合理報文進行分類,每一類為一個階段; 對每個階段的報文進行篩選。
3. 根據(jù)權(quán)利要求2所述的對交換路由設備中央處理器進行安全保護的方法,其特征在于, 所述對每個階段的報文進行篩選的步驟如下A、 根據(jù)報文頭部的信息對該階段的報文進行預過濾;B、 不符合預先設定條件的報文,預過濾通過,執(zhí)行步驟D;否則,預過濾未通過,執(zhí)行 步驟C;C、 預先設定過濾規(guī)則,按照過濾規(guī)則對預過濾未通過的報文進行過濾,不符合過濾規(guī)則 的報文,過濾通過,執(zhí)行步驟D;否則,過濾未通過,丟棄過濾未通過的報文;D、 判斷接下來是否還有下一階段過濾,若有,則執(zhí)行步驟A進行下一階段的操作;否則, 過濾過程結(jié)束。
4. 根據(jù)權(quán)利要求3所述的對交換路由設備中央處理器進行安全保護的方法,其特征在于, 所述信息包括地址、類型信息中至少一種。
5. 根據(jù)權(quán)利要求1 4任一項所述的對交換路由設備中央處理器進行安全保護的方法,其特征在于,所述監(jiān)控的步驟如下E、 對每一類的報文預先設定匹配規(guī)則,解析過濾處理后的報文并根據(jù)匹配規(guī)則進行匹配;F、 若匹配成功,則根據(jù)報文是否有用戶配置的丟棄標識進行判斷,若有,則對報文進行丟棄,否則,對報文上送端口的該類報文數(shù)量增加計數(shù),執(zhí)行步驟G;若匹配不成功,則對 報文進行上送;G、 通過令牌桶方法對報文進行限速,在報文到來時判斷令牌桶中是否有剩余令牌,若有, 對報文進行上送;否則,對報文進行丟棄。
6. 根據(jù)權(quán)利要求5所述的對交換路由設備中央處理器進行安全保護的方法,其特征在于,在步驟F中還包括步驟設置定時器檢測每個端口每一類報文的數(shù)量;判斷報文數(shù)量是否超過設定的閾值,若超過,則發(fā)出告警信息;否則,更新端口報文數(shù) 量的計數(shù)。
全文摘要
本發(fā)明公開了一種對交換路由設備中央處理器進行安全保護的方法,其包括如下步驟對硬件上送經(jīng)過限速處理后的報文進行過濾;對過濾處理后的報文進行監(jiān)控,上送經(jīng)監(jiān)控處理后通過的報文給中央處理器。本發(fā)明通過對硬件上送的已經(jīng)經(jīng)過限速處理的報文再進行過濾和監(jiān)控處理,降低了可能存在的非法報文對設備的影響,預防了可能存在的網(wǎng)絡攻擊,從而提高了CPU資源的有效利用率,并在系統(tǒng)受到報文攻擊時對CPU起到保護作用。
文檔編號H04L12/26GK101355567SQ20081021600
公開日2009年1月28日 申請日期2008年9月3日 優(yōu)先權(quán)日2008年9月3日
發(fā)明者芳 秦 申請人:中興通訊股份有限公司