一種路由器的智能安全防護(hù)方法
【專(zhuān)利摘要】本發(fā)明適用于數(shù)據(jù)通信領(lǐng)域�,提供了一種路由器的智能安全防護(hù)方法,包括:在控制平面生成協(xié)議控制表��、協(xié)議流量統(tǒng)計(jì)表和鄰居關(guān)系表����;在轉(zhuǎn)發(fā)平面生成與協(xié)議控制表對(duì)應(yīng)的轉(zhuǎn)發(fā)控制表�����;在路由器中對(duì)對(duì)應(yīng)的協(xié)議控制表與轉(zhuǎn)發(fā)控制表進(jìn)行同步和維護(hù),協(xié)議控制表為協(xié)議數(shù)據(jù)報(bào)文的過(guò)濾規(guī)則表�,轉(zhuǎn)發(fā)平面根據(jù)該過(guò)濾規(guī)則對(duì)協(xié)議數(shù)據(jù)報(bào)文進(jìn)行控制;協(xié)議流量控制表用于對(duì)控制平面收到協(xié)議數(shù)據(jù)報(bào)文后對(duì)報(bào)文對(duì)應(yīng)的協(xié)議控制表中對(duì)應(yīng)條目進(jìn)行流量統(tǒng)計(jì)����;鄰居關(guān)系表用于記錄控制平面確定的鄰居是否可信。通過(guò)控制平面與轉(zhuǎn)發(fā)平面的結(jié)合���,控制平面設(shè)置轉(zhuǎn)發(fā)平面的過(guò)濾規(guī)則表�����,轉(zhuǎn)發(fā)平面根據(jù)該表對(duì)協(xié)議報(bào)文進(jìn)行控制��,保護(hù)易受攻擊的控制平面�。
【專(zhuān)利說(shuō)明】-種路由器的智能安全防護(hù)方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于數(shù)據(jù)通信領(lǐng)域�����,尤其涉及一種路由器的智能安全防護(hù)方法��。
【背景技術(shù)】
[0002] 傳統(tǒng)路由協(xié)議需要將拓?fù)浣Y(jié)構(gòu)對(duì)外暴露��,給各種攻擊提供了便利����,同時(shí)在網(wǎng)絡(luò)設(shè) 備路由器上實(shí)現(xiàn)網(wǎng)絡(luò)欺騙�、攻擊等造成的傷害�,比基于應(yīng)用層的安全傷害更大,同時(shí)隱蔽性 更強(qiáng)�����。網(wǎng)絡(luò)設(shè)備中的路由器一般采用控制面和轉(zhuǎn)發(fā)面分離的架構(gòu)��,這種架構(gòu)比較靈活�����,但由 于控制面數(shù)據(jù)量相對(duì)較小����,其CPU處理能力相對(duì)較弱,一旦受到攻擊����,會(huì)導(dǎo)致網(wǎng)絡(luò)設(shè)備的異 常,進(jìn)而造成整個(gè)網(wǎng)絡(luò)的擁塞和不穩(wěn)定����。另外,利用網(wǎng)絡(luò)層設(shè)備的標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議��,進(jìn)行鄰居 仿冒很容易�,會(huì)導(dǎo)致網(wǎng)絡(luò)拓?fù)涞男畔⑿孤瑫r(shí)標(biāo)準(zhǔn)格式的網(wǎng)絡(luò)協(xié)議報(bào)文��,容易受到攻擊����。
[0003] 路由器業(yè)務(wù),從邏輯上分為控制面和轉(zhuǎn)發(fā)面:
[0004] 控制面及其流量:所有由象路由協(xié)議或其他控制協(xié)議����,這種用來(lái)動(dòng)態(tài)創(chuàng)建并維護(hù) 網(wǎng)絡(luò)的控制協(xié)議發(fā)送和接收的數(shù)據(jù),稱(chēng)為控制面流量��。如由〇SPF�����、BGP��、VRRP��、ARP這些協(xié)議 生成的流量���。
[0005] 轉(zhuǎn)發(fā)面(數(shù)據(jù)面)及其流量:所有出于傳輸目的而需要底層網(wǎng)絡(luò)的終端用戶(hù)數(shù)據(jù) 都?xì)w類(lèi)到轉(zhuǎn)發(fā)面�����。這種流量只是簡(jiǎn)單地向目的地轉(zhuǎn)發(fā)���。典型的���,網(wǎng)絡(luò)上主機(jī)和服務(wù)器會(huì)發(fā) 送接收這種流量。如YouTube和Google之間的流量�,及用戶(hù)訪問(wèn)它們的流量。
[0006] 路由器要想對(duì)收到的數(shù)據(jù)報(bào)文作出正確地轉(zhuǎn)發(fā)決定��,必須要有一張能實(shí)時(shí)反映網(wǎng) 絡(luò)拓?fù)?,甚至流量狀況的路由表?����?刂破矫嫱ㄟ^(guò)路由協(xié)議�,就是讓路由器能夠擁有一張這樣 的路由表。路由器轉(zhuǎn)發(fā)面和控制面相互配合����,才能更好的完成轉(zhuǎn)發(fā)任務(wù)�����。二者的關(guān)系如圖 1所示。
[0007] 從互聯(lián)網(wǎng)安全方面考慮����,互聯(lián)網(wǎng)體系結(jié)構(gòu)在設(shè)計(jì)之時(shí)假設(shè)網(wǎng)絡(luò)成員都是可信的, 并未充分考慮網(wǎng)絡(luò)成員不可信帶來(lái)的安全威脅��?��;ヂ?lián)網(wǎng)一個(gè)核心的安全問(wèn)題是:路由設(shè)備 的路由協(xié)議在建立鄰居關(guān)系時(shí)��,并不對(duì)鄰居的真實(shí)性進(jìn)行任何驗(yàn)證����。隨著互聯(lián)網(wǎng)越來(lái)越開(kāi) 放���,網(wǎng)絡(luò)成員的可信性無(wú)法得到保證���,而路由協(xié)議報(bào)文源的真實(shí)性難以驗(yàn)證,進(jìn)而使得轉(zhuǎn)發(fā) 平面的數(shù)據(jù)包轉(zhuǎn)發(fā)至不可信的鄰居�����。
[0008] 另外,網(wǎng)絡(luò)設(shè)備受到控制信息的攻擊�,不僅要消耗大量帶寬,很容易造成網(wǎng)絡(luò)擁 塞��,而且會(huì)導(dǎo)致網(wǎng)絡(luò)傳輸設(shè)備不能正常工作����,并且導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定。
[0009] 綜上�����,基于路由器自身的安全防護(hù)�����,解決對(duì)端可信��、防欺騙和防攻擊等問(wèn)題����,對(duì)于 保證整個(gè)網(wǎng)絡(luò)的安全運(yùn)行具有重要的作用,但是由于傳統(tǒng)路由器的天然缺陷,使得路由器 支持安全路由方面顯得力不從心�。
【發(fā)明內(nèi)容】
[0010] 本發(fā)明實(shí)施例的目的在于提供一種路由器的智能安全防護(hù)方法,以解決現(xiàn)有路由 器技術(shù)不支持安全路由的問(wèn)題���。
[0011] 本發(fā)明實(shí)施例是這樣實(shí)現(xiàn)的����,一種路由器的智能安全防護(hù)方法�,所述方法包括以 下步驟:
[0012] 本發(fā)明實(shí)施例提供的一種路由器的智能安全防護(hù)方法的有益效果包括:通過(guò)控制 平面與轉(zhuǎn)發(fā)平面的結(jié)合�����,在路由器上實(shí)現(xiàn)可靠的安全防護(hù)����,控制平面設(shè)置轉(zhuǎn)發(fā)平面的過(guò)濾 規(guī)則表,轉(zhuǎn)發(fā)平面根據(jù)該表對(duì)協(xié)議報(bào)文進(jìn)行控制��,以保護(hù)易受攻擊的控制平面�����,同時(shí)控制平 面根據(jù)接收的協(xié)議報(bào)文�,對(duì)鄰居進(jìn)行驗(yàn)證和判斷,對(duì)轉(zhuǎn)發(fā)平面下發(fā)可信的轉(zhuǎn)發(fā)表項(xiàng),避免路 由器將數(shù)據(jù)信息路由到不可信鄰居上�,造成數(shù)據(jù)的失竊。
[0013] 路由協(xié)議安全防護(hù)過(guò)程中�,基于源地址驗(yàn)證生成和維護(hù)各種安全防護(hù)表項(xiàng);路由 器中協(xié)議啟動(dòng)時(shí)��,通過(guò)安全防護(hù)表項(xiàng)實(shí)現(xiàn)路由協(xié)議的安全建立鄰居關(guān)系���;路由協(xié)議運(yùn)行過(guò) 程中�,通過(guò)安全防護(hù)表項(xiàng)中的會(huì)話(huà)機(jī)制����,保證路由協(xié)議同步路由信息的快速傳輸;通過(guò)對(duì)源 端的檢查����,實(shí)現(xiàn)對(duì)路由協(xié)議鄰居的防假冒驗(yàn)證;路由器在遭遇其他設(shè)備非法假冒時(shí)���,通過(guò)免 費(fèi)ARP信息進(jìn)行更新�����,防止被假冒��;路由協(xié)議運(yùn)行過(guò)程中���,遭遇協(xié)議報(bào)文攻擊時(shí)�,通過(guò)自動(dòng) 調(diào)整安全防護(hù)表項(xiàng)中收發(fā)協(xié)議包的門(mén)限機(jī)制��,智能動(dòng)態(tài)防護(hù)����;路由協(xié)議安全防護(hù)過(guò)程中,多 個(gè)協(xié)議實(shí)現(xiàn)的安全防護(hù)表項(xiàng)條目之間的優(yōu)先級(jí)劃分和管理�����,實(shí)現(xiàn)路由器的啟動(dòng)階段�、協(xié)議 鄰居建立階段�����、正常工作階段、協(xié)議停止階段和假冒時(shí)的防護(hù)��。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0014] 為了更清楚地說(shuō)明本發(fā)明實(shí)施例中的技術(shù)方案����,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述 中所需要使用的附圖作簡(jiǎn)單地介紹��,顯而易見(jiàn)地�����,下面描述中的附圖僅僅是本發(fā)明的一些 實(shí)施例��,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講�����,在不付出創(chuàng)造性勞動(dòng)性的前提下��,還可以根據(jù)這些 附圖獲得其他的附圖����。
[0015] 圖1是本發(fā)明提供的路由器控制平面和轉(zhuǎn)發(fā)平面交互圖;
[0016] 圖2是為多個(gè)路由器互聯(lián)的結(jié)構(gòu)示意圖����;
[0017] 圖3是本發(fā)明實(shí)施例提供的路由器控制平面智能安全防護(hù)處理方法流程圖;
[0018] 圖4是本發(fā)明實(shí)施例提供的路由器轉(zhuǎn)發(fā)平面智能安全防護(hù)處理方法流程圖�; [0019] 圖5是本發(fā)明實(shí)施例提供的路由器控制平面假冒防護(hù)處理的流程圖;
[0020] 圖6是本發(fā)明實(shí)施例提供的路由器控制平面防攻擊處理流程圖�����。
【具體實(shí)施方式】
[0021] 為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白���,以下結(jié)合附圖及實(shí)施例,對(duì) 本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解��,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明���,并 不用于限定本發(fā)明。
[0022] 為了說(shuō)明本發(fā)明所述的技術(shù)方案�����,下面通過(guò)具體實(shí)施例來(lái)進(jìn)行說(shuō)明�。
[0023] 本發(fā)明提供的一種路由器的智能安全防護(hù)方法,包括:
[0024] 在控制平面生成協(xié)議控制表���、協(xié)議流量統(tǒng)計(jì)表和鄰居關(guān)系表�����;在轉(zhuǎn)發(fā)平面生成與 協(xié)議控制表對(duì)應(yīng)的轉(zhuǎn)發(fā)控制表��。
[0025] 在路由器中對(duì)對(duì)應(yīng)的協(xié)議控制表與轉(zhuǎn)發(fā)控制表進(jìn)行同步和維護(hù)�,該協(xié)議控制表為 協(xié)議數(shù)據(jù)報(bào)文的過(guò)濾規(guī)則表�����,轉(zhuǎn)發(fā)平面根據(jù)該過(guò)濾規(guī)則對(duì)協(xié)議數(shù)據(jù)報(bào)文進(jìn)行控制。
[0026] 協(xié)議流量控制表用于對(duì)控制平面收到協(xié)議數(shù)據(jù)報(bào)文后對(duì)該報(bào)文對(duì)應(yīng)的協(xié)議控制 表中對(duì)應(yīng)條目進(jìn)行流量統(tǒng)計(jì)��。
[0027] 鄰居關(guān)系表用于記錄控制平面確定的鄰居是否可信。
[0028] 本發(fā)明提供的一種路由器的智能安全防護(hù)方法�����,通過(guò)控制平面與轉(zhuǎn)發(fā)平面的結(jié) 合���,在路由器上實(shí)現(xiàn)可靠的安全防護(hù)��,控制平面設(shè)置轉(zhuǎn)發(fā)平面的過(guò)濾規(guī)則表,轉(zhuǎn)發(fā)平面根據(jù) 該表對(duì)協(xié)議報(bào)文進(jìn)行控制����,以保護(hù)易受攻擊的控制平面����,同時(shí)控制平面根據(jù)接收的協(xié)議報(bào) 文�����,對(duì)鄰居進(jìn)行驗(yàn)證和判斷�����,對(duì)轉(zhuǎn)發(fā)平面下發(fā)可信的轉(zhuǎn)發(fā)表項(xiàng),避免路由器將數(shù)據(jù)信息路由 到不可信鄰居上����,造成數(shù)據(jù)的失竊。
[0029] 實(shí)施例一
[0030] 在本發(fā)明實(shí)施例中���,協(xié)議控制表與轉(zhuǎn)發(fā)平面的轉(zhuǎn)發(fā)控制表基本一致�����,控制平面對(duì) 轉(zhuǎn)發(fā)平面的轉(zhuǎn)發(fā)控制表進(jìn)行維護(hù)并動(dòng)態(tài)生成和刪除,轉(zhuǎn)發(fā)控制表主要用于在轉(zhuǎn)發(fā)平面設(shè)置 指定協(xié)議報(bào)文及其動(dòng)作����,協(xié)議控制表主要用于查找和配置。
[0031] 控制平面通過(guò)協(xié)議控制表實(shí)現(xiàn)安全防護(hù)規(guī)則的下發(fā)����,轉(zhuǎn)發(fā)平面在收到數(shù)據(jù)報(bào)文 后,首先匹配安全防護(hù)規(guī)則表��,如果匹配成功����,按照該過(guò)濾規(guī)則指定的操作進(jìn)行處理,如果 匹配不成功���,按照普通的數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)�。
[0032] 協(xié)議控制表需要在路由器軟件中作為所有協(xié)議的基本接口表�,保存和設(shè)置相應(yīng)條 目,同時(shí)下發(fā)到轉(zhuǎn)發(fā)控制表�,作為協(xié)議報(bào)文處理的依據(jù)。具體的��,協(xié)議控制表表項(xiàng)包含的內(nèi) 容以及相應(yīng)大小如表一所示:
[0033]
【權(quán)利要求】
1. 一種路由器的智能安全防護(hù)方法�,其特征在于����,所述方法包括: 在控制平面生成協(xié)議控制表、協(xié)議流量統(tǒng)計(jì)表和鄰居關(guān)系表�����;在轉(zhuǎn)發(fā)平面生成與協(xié)議 控制表對(duì)應(yīng)的轉(zhuǎn)發(fā)控制表����; 在路由器中對(duì)所述對(duì)應(yīng)的協(xié)議控制表與轉(zhuǎn)發(fā)控制表進(jìn)行同步和維護(hù),所述協(xié)議控制表 為協(xié)議數(shù)據(jù)報(bào)文的過(guò)濾規(guī)則表,轉(zhuǎn)發(fā)平面根據(jù)該過(guò)濾規(guī)則對(duì)所述協(xié)議數(shù)據(jù)報(bào)文進(jìn)行控制����; 所述協(xié)議流量控制表用于對(duì)所述控制平面收到所述協(xié)議數(shù)據(jù)報(bào)文后對(duì)所述報(bào)文對(duì)應(yīng) 的協(xié)議控制表中對(duì)應(yīng)條目進(jìn)行流量統(tǒng)計(jì)���; 所述鄰居關(guān)系表用于記錄所述控制平面確定的鄰居是否可信。
2. 如權(quán)利要求1所述的方法����,其特征在于��,所述協(xié)議控制表的內(nèi)容包括:索引���、綁定接 口、目的IP����、源IP�����、協(xié)議類(lèi)型��、源端口號(hào)��、目的端口號(hào)、對(duì)端MAC��、動(dòng)作��、限速值���、優(yōu)先級(jí)和生成 方式;所述轉(zhuǎn)發(fā)控制表包括:索引���、綁定接口、目的IP��、源IP����、協(xié)議類(lèi)型����、源端口號(hào)���、目的端口 號(hào)��、對(duì)端MAC����、動(dòng)作、限速值和優(yōu)先級(jí); 所述索引為與所述協(xié)議流量統(tǒng)計(jì)表進(jìn)行關(guān)聯(lián)的系列號(hào)�; 所述綁定接口表示條目綁定的物理接口; 所述目的IP和所述源IP分別表示各類(lèi)協(xié)議包的目的IP地址和各類(lèi)協(xié)議對(duì)端鄰居的 IP地址�; 所述協(xié)議類(lèi)型表示IPv4包頭中的協(xié)議類(lèi)型字段�����; 所述源端口號(hào)和目的端口號(hào)分別表示TCP或者UDP報(bào)文中TCP頭或者UDP頭中的源端 口號(hào)和目的端口號(hào)�; 所述對(duì)端MAC表示收到的協(xié)議報(bào)文中發(fā)送端設(shè)備的MAC地址����; 所述動(dòng)作表示對(duì)滿(mǎn)足匹配的報(bào)文采取的動(dòng)作��,包括:丟棄���、限速送CPU和不限速送 CPU ; 所述限速值表示所述動(dòng)作中需要限速送CPU的報(bào)文設(shè)置的速率值��; 所述優(yōu)先級(jí)表示條目在轉(zhuǎn)發(fā)控制表中的優(yōu)先級(jí)�; 所述生成方式表示條目的生成方式�; 所述協(xié)議控制表的生成方式包括:默認(rèn)生成、手動(dòng)配置��、路由協(xié)議生成和檢測(cè)到攻擊時(shí) 自動(dòng)生成�; 所述默認(rèn)生成為在路由器接口上,使能任何協(xié)議時(shí),生成優(yōu)先級(jí)最低的默認(rèn)生成條目�����, 用于初始的協(xié)議包送至所述控制平面�; 所述手動(dòng)配置為在路由器網(wǎng)管中在所述協(xié)議控制表中添加靜態(tài)條目; 所述路由協(xié)議生成為在路由協(xié)議相互協(xié)商建立鄰居過(guò)程中���,確定對(duì)端鄰居是可信時(shí)�����, 動(dòng)態(tài)生成一條包含對(duì)端IP地址和MAC地址的協(xié)議控制條目����; 所述檢測(cè)到攻擊時(shí)自動(dòng)生成為當(dāng)路由器安全防護(hù)任務(wù)檢測(cè)到其他設(shè)備發(fā)送非法的協(xié) 議報(bào)文,或者發(fā)送的協(xié)議報(bào)文異常時(shí)�����,或者在鄰居可信檢測(cè)失敗時(shí)�����,生成拒絕接收所述鄰居 的協(xié)議報(bào)文條目�����。
3. 如權(quán)利要求1所述的方法,其特征在于�����,所述協(xié)議流量統(tǒng)計(jì)表的內(nèi)容包括:索引、綁 定接口、協(xié)議種類(lèi)����、無(wú)效報(bào)文計(jì)數(shù)�、無(wú)效報(bào)文速率、協(xié)議報(bào)文計(jì)數(shù)和協(xié)議報(bào)文速率�����; 所述索引表示與所述協(xié)議控制表進(jìn)行關(guān)聯(lián)的系列號(hào)����; 所述綁定接口表示條目綁定的物理接口�����; 所述協(xié)議種類(lèi)表示下發(fā)的協(xié)議種類(lèi)���; 所述無(wú)效報(bào)文計(jì)數(shù)和所述協(xié)議報(bào)文計(jì)數(shù)分別表示所述控制平面的協(xié)議收到無(wú)效的協(xié) 議報(bào)文和協(xié)議報(bào)文的次數(shù)���; 所述無(wú)效報(bào)文平均速率和所述協(xié)議報(bào)文平均速率分別表示所述無(wú)效報(bào)文平均和所述 協(xié)議報(bào)文接收的速率�����; 所述無(wú)效報(bào)文速率=上一周期無(wú)效報(bào)文速率xo. 5+0. 5X無(wú)效報(bào)文計(jì)數(shù)/輪循周期�����; 所述協(xié)議報(bào)文速率=上一周期協(xié)議報(bào)文速率X〇. 5+0. 5X協(xié)議報(bào)文計(jì)數(shù)/輪循周期�����; 所述協(xié)議流量統(tǒng)計(jì)表的生成方式包括:在所述控制平面收到協(xié)議報(bào)文時(shí)����,對(duì)相應(yīng)的協(xié) 議控制表中對(duì)應(yīng)條目進(jìn)行的流量統(tǒng)計(jì)����,及在判斷受到了攻擊時(shí),動(dòng)態(tài)生成安全防護(hù)條目進(jìn) 行防護(hù)�。
4. 如權(quán)利要求1所述的方法,其特征在于�����,所述鄰居關(guān)系表包含的內(nèi)容包括:對(duì)端MAC�、 對(duì)端IP地址、MAC驗(yàn)證標(biāo)識(shí)�����、可信標(biāo)志、驗(yàn)證次數(shù)和靜默時(shí)間�����; 所述對(duì)端MAC表示收到協(xié)議報(bào)文發(fā)送端設(shè)備的MAC地址�,與所述協(xié)議控制表中對(duì)端MAC 進(jìn)行關(guān)聯(lián)����; 所述對(duì)端IP表示收到協(xié)議報(bào)文發(fā)送端設(shè)備的IP地址�,與所述協(xié)議控制表中源IP進(jìn)行 關(guān)聯(lián); 所述MAC驗(yàn)證標(biāo)識(shí)表示對(duì)端MAC是否驗(yàn)證可信����; 所述可信標(biāo)志表示對(duì)端的可信狀態(tài); 所述驗(yàn)證次數(shù)表示所述對(duì)端MAC進(jìn)行驗(yàn)證的結(jié)果為不可信的次數(shù)���; 所述靜默時(shí)間表示標(biāo)識(shí)驗(yàn)證鄰居為不可信后����,設(shè)置的靜默時(shí)間��; 所述鄰居關(guān)系表記錄的信息包含可信鄰居和不可信鄰居兩類(lèi)��,以MAC地址和IP地址作 為對(duì)端的標(biāo)識(shí);所述協(xié)議控制表增加條目時(shí)�����,檢查所述鄰居關(guān)系表���,如果該條目可信,則不 限制帶寬�����,如果不可信��,則送CPU報(bào)文限速為最小值��; 所述鄰居關(guān)系表的生成方式包括:靜態(tài)配置、動(dòng)態(tài)生成和安全防護(hù)任務(wù)設(shè)置����; 所述靜態(tài)配置為在路由器接口上,通過(guò)命令配置可信的鄰居IP地址或者M(jìn)AC地址及其 組合時(shí)����,在路由器協(xié)議使能時(shí)對(duì)應(yīng)增加的優(yōu)先級(jí)較高的對(duì)可信鄰居發(fā)送的協(xié)議報(bào)文不做限 速條目; 所述動(dòng)態(tài)生成為在路由器控制平面中�,運(yùn)行安全接入控制協(xié)議時(shí),在接口使能所述安 全接入?yún)f(xié)議對(duì)所述對(duì)端鄰居進(jìn)行認(rèn)證通過(guò)時(shí)�����,在所述鄰居關(guān)系表中增加可信鄰居的條目; 所述安全防護(hù)任務(wù)設(shè)置為在路由器運(yùn)行過(guò)程中����,檢測(cè)到所述對(duì)端鄰居不可信時(shí),對(duì)所 述鄰居關(guān)系表中的MAC標(biāo)識(shí)和標(biāo)志位進(jìn)行設(shè)置��。
5. 如權(quán)利要求1所述的方法��,其特征在于��,所述路由器的智能安全防護(hù)方法中的啟動(dòng) 階段及其防護(hù)的過(guò)程包括: 路由器剛啟動(dòng)時(shí)��,所述控制平面和所述轉(zhuǎn)發(fā)平面生成優(yōu)先級(jí)最低的默認(rèn)協(xié)議控制條 目����,所述默認(rèn)協(xié)議控制條目通過(guò)最低限速對(duì)所述路由器控制平面進(jìn)行保護(hù); 在端口上配置協(xié)議使能時(shí),如果不了解鄰居信息��,則生成所述默認(rèn)協(xié)議控制條目控制 協(xié)議報(bào)文���;如果協(xié)議的鄰居信息是通過(guò)手動(dòng)配置的���,進(jìn)一步判斷鄰居是否可信����,是�,則所述 轉(zhuǎn)發(fā)平面的安全條目不做限速處理或者設(shè)置限速值為高門(mén)限,否則�����,默認(rèn)生成送CPU的協(xié) 議報(bào)文為最低限速的安全條目��。
6. 如權(quán)利要求1所述的方法���,其特征在于�,所述路由器的智能安全防護(hù)方法中的協(xié)議 鄰居建立階段及其防護(hù)的過(guò)程包括: 檢測(cè)協(xié)議報(bào)文的對(duì)端信息: 如果所述鄰居關(guān)系表中所述鄰居可信且協(xié)議控制表中無(wú)相應(yīng)會(huì)話(huà)表,則動(dòng)態(tài)建立協(xié)議 控制表和轉(zhuǎn)發(fā)控制表相應(yīng)的會(huì)話(huà)表項(xiàng)條目�����,保證鄰居協(xié)議報(bào)文的快速傳輸��; 如果所述鄰居關(guān)系表中所述鄰居不可信�,則通過(guò)ARP驗(yàn)證是否為攻擊報(bào)文�,如果不是 攻擊報(bào)文,設(shè)置所述鄰居為可信鄰居���,如果是攻擊報(bào)文���,則丟棄所述協(xié)議報(bào)文; 如果所述鄰居關(guān)系表中不存在所述鄰居��,則在所述鄰居關(guān)系表創(chuàng)建所述鄰居并將所述 創(chuàng)建的鄰居設(shè)置為不可信���。
7. 如權(quán)利要求1所述的方法����,其特征在于,所述路由器的智能安全防護(hù)方法中的正常 工作階段及其防護(hù)的過(guò)程包括: 設(shè)定周期��,按照所述周期計(jì)算和統(tǒng)計(jì)會(huì)話(huà)流量的無(wú)效報(bào)文速率和協(xié)議報(bào)文速率�����,并對(duì) 所述無(wú)效報(bào)文計(jì)數(shù)和協(xié)議報(bào)文計(jì)數(shù)進(jìn)行清〇 ; 依據(jù)所述協(xié)議報(bào)文速率�、無(wú)效報(bào)文速率及其門(mén)限值的關(guān)系���,動(dòng)態(tài)調(diào)整轉(zhuǎn)發(fā)平面接收協(xié) 議報(bào)文的速率��。
8. 如權(quán)利要求1所述的方法�����,其特征在于�����,所述路由器的智能安全防護(hù)方法中的協(xié)議 停止階段及其防護(hù)的過(guò)程包括: 路由器協(xié)議在某端口停止時(shí)����,對(duì)所述協(xié)議控制表和轉(zhuǎn)發(fā)控制表中的所有相關(guān)表項(xiàng)進(jìn)行 刪除。
9. 如權(quán)利要求1所述的方法�����,其特征在于�����,所述路由器的智能安全防護(hù)方法中的假冒 防護(hù)的過(guò)程包括: 路由器控制平面收到協(xié)議報(bào)文時(shí)�����,均需檢查發(fā)送的源端MAC地址是否發(fā)生了變化����,如 果鄰居的相同IP地址但MAC地址發(fā)生了變化���,需要重新檢查對(duì)端是否可信�,對(duì)不可信的鄰 居需要?jiǎng)h除,作為可信鄰居時(shí)創(chuàng)建的完整會(huì)話(huà)表項(xiàng)�����。
10. 如權(quán)利要求1所述的方法�,其特征在于,所述路由器的智能安全防護(hù)方法中可信對(duì) 端受到攻擊的防護(hù)的過(guò)程包括: 通過(guò)對(duì)無(wú)效協(xié)議報(bào)文進(jìn)行計(jì)數(shù)�,安全防護(hù)任務(wù)定期檢查所述無(wú)效報(bào)文的數(shù)量和速率, 判斷是否受到攻擊�����; 檢測(cè)到不可信鄰居發(fā)送協(xié)議報(bào)文攻擊時(shí),所述控制平面通過(guò)下發(fā)拒絕所述不可信鄰居 條目所有協(xié)議報(bào)文���,使其靜默一段時(shí)間��;靜默時(shí)間結(jié)束后���,刪除拒絕所述不可信鄰居所有協(xié) 議報(bào)文的協(xié)議控制條目,通過(guò)默認(rèn)最小條目重新接收協(xié)議報(bào)文�����,重新進(jìn)行鄰居可信確認(rèn)����。
【文檔編號(hào)】H04L29/06GK104283882SQ201410535984
【公開(kāi)日】2015年1月14日 申請(qǐng)日期:2014年10月11日 優(yōu)先權(quán)日:2014年10月11日
【發(fā)明者】汪學(xué)舜, 余少華, 朱國(guó)勝, 戴錦友 申請(qǐng)人:武漢烽火網(wǎng)絡(luò)有限責(zé)任公司