CN101355567B - 一种对交换路由设备中央处理器进行安全保护的方法 - Google Patents
一种对交换路由设备中央处理器进行安全保护的方法 Download PDFInfo
- Publication number
- CN101355567B CN101355567B CN2008102160014A CN200810216001A CN101355567B CN 101355567 B CN101355567 B CN 101355567B CN 2008102160014 A CN2008102160014 A CN 2008102160014A CN 200810216001 A CN200810216001 A CN 200810216001A CN 101355567 B CN101355567 B CN 101355567B
- Authority
- CN
- China
- Prior art keywords
- message
- carried out
- filtering
- processing unit
- central processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种对交换路由设备中央处理器进行安全保护的方法,其包括如下步骤:对硬件上送经过限速处理后的报文进行过滤;对过滤处理后的报文进行监控,上送经监控处理后通过的报文给中央处理器。本发明通过对硬件上送的已经经过限速处理的报文再进行过滤和监控处理,降低了可能存在的非法报文对设备的影响,预防了可能存在的网络攻击,从而提高了CPU资源的有效利用率,并在系统受到报文攻击时对CPU起到保护作用。
Description
技术领域
本发明属于计算机网络通信技术领域,具体涉及一种通过对协议报文的处理来对交换路由设备中央处理器进行安全保护的方法。
背景技术
随着网络技术的高速发展,网络的结构和层次越来越复杂,在网络中传输的报文信息流也越来越密集,这就需要对网络设备进行更加严格的保护,如果网络交换路由设备出现问题可能就会导致整个网络服务的异常。
现有的中高端网络交换路由设备基本都采用硬件转发底层与CPU(中央处理单元)软件上层相结合的架构。设备的CPU基本上不参与交换和路由过程,主要完成管理控制和维护交换芯片的功能,主要处理各种协议报文、中断、消息,响应命令行命令,对系统的任务调度和维护,对硬件转发芯片和外围设备的维护等等,这样在网络流量大,运行的协议特性较多时CPU就经常处于高负荷的状态,从而出现响应慢,协议报文丢失等一系列问题。报文对网络设备的攻击主要就是对CPU软件层面的攻击,因此如何对CPU进行保护,有效利用CPU资源是网络设备需要解决的重要问题。
目前对CPU保护,优化CPU资源利用率主要是通过控制CPU接收报文来实现的,现有技术主要有:
一、采用CPU流控技术,控制硬件向软件平面上交报文的绝对速率,保证CPU不会因为过载而完全瘫痪。但在异常数据流量较大的情况下,异常报文会抢占上交软件平面的通道带宽,消耗有限的CPU资源而使正常报文被大量丢弃,最终导致网络设备的响应速度大大降低,正常用户的服务无法得到保证。
二、采用流分类的方法来控制报文流量,该方法是设置ACL表(访问控制列表),通过将数据报文中的一些关键字段和ACL定义的规则进行匹配,根据规则将报文按照ACL对应的动作进行处理。要支持较多的协议特性需要添加较多的ACL表项,这对硬件流分类资源占用太 大,而且这种方法不能有效防止伪造合法数据报文格式进行攻击的情况,如正常的ARP(地址解析协议)报文,这些报文的格式内容虽然正常,但在异常大流量的情况下也会导致设备异常。
由上分析可知,现有的技术还不能完全有效的充分利用CPU资源,在系统遭受黑客攻击时还不能有效的对CPU进行保护。
发明内容
本发明的目的在于克服现有技术的不足,提供一种对交换路由设备中央处理器进行安全保护的方法。该方法通过对硬件上送的已经经过限速处理的报文再进行过滤和监控处理,降低可能存在的非法报文对设备的影响,预防可能存在的网络攻击,从而提高CPU资源的有效利用率,并在系统受到报文攻击时对CPU起到保护作用。
为解决上述技术问题,本发明是通过以下技术方案实现的:
一种对交换路由设备中央处理器进行安全保护的方法,包括如下步骤:
对硬件上送经过限速处理后的报文进行过滤;
对过滤处理后的报文进行监控,上送经监控处理后通过的报文给中央处理器。
进一步地,所述过滤的步骤如下:
预先设定不合理报文的条件,对不合理报文进行分类,每一类为一个阶段;
对每个阶段的报文进行筛选。
进一步地,所述对每个阶段的报文进行筛选的步骤如下:
A、根据报文头部的信息对该阶段的报文进行预过滤;
B、不符合预先设定条件的报文,预过滤通过,执行步骤D;否则,预过滤未通过,执行步骤C;
C、预先设定过滤规则,按照过滤规则对预过滤未通过的报文进行过滤,不符合过滤规则的报文,过滤通过,执行步骤D;否则,过滤未通过,丢弃过滤未通过的报文;
D、判断接下来是否还有下一阶段过滤,若有,则执行步骤A进行下一阶段的操作;否则,过滤过程结束。
所述信息包括地址、类型等信息中至少一种。
进一步地,所述监控的步骤如下:
E、对每一类的报文预先设定匹配规则,解析过滤处理后的报文并根据匹配规则进行匹配;
F、若匹配成功,则根据报文是否有用户配置的丢弃标识进行判断,若有,则对报文进行丢弃,否则,对报文上送端口的该类报文数量增加计数,执行步骤G;若匹配不成功,则对报文进行上送;
G、通过令牌桶方法对报文进行限速,在报文到来时判断令牌桶中是否有剩余令牌,若有,对报文进行上送;否则,对报文进行丢弃。
在对报文上送端口的该类报文数量增加计数,之后还可以包括步骤:
设置定时器检测每个端口每一类报文的数量;
判断报文数量是否超过设定的阈值,若超过,则发出告警信息;否则,更新端口报文数量的计数。
使用本发明的对交换路由设备中央处理器进行安全保护的方法具有以下有益效果:
本发明通过对硬件上送的已经经过限速处理的报文再进行过滤和监控处理,降低了可能存在的非法报文对设备的影响,预防了可能存在的网络攻击,从而提高了CPU资源的有效利用率,并在系统受到报文攻击时对CPU起到保护作用。
附图说明
图1是本发明的报文处理流程图;
图2是本发明的报文过滤整体结构图;
图3是本发明的报文某一阶段的过滤流程图;
图4是本发明的报文监控处理过程流程图。
具体实施方式
为了更好地理解本发明,下面结合附图和具体实施例对本发明作进一步地描述。
请参阅图1,为了更好的预防报文攻击和CPU保护,本发明是对硬件上送的经过限速处理后的报文进行过滤和监控,对通过的报文再上送给CPU。
请参阅图2,本发明把不合理报文分为几大类,每一类为一个阶段,每个阶段进行预过滤和过滤两过程,提高了过滤的效率。本发明通过报文过滤可以把一些不合理的报文筛选出来并丢弃。
请参阅图3,某一个阶段报文过滤过程如下:
步骤31,报文进行某一阶段的预过滤,根据报文头部的地址、类型等信息筛选出这一类
步骤32,判断报文是否通过预过滤,通过执行步骤36,否则执行步骤33;这时满足某一类特定类型条件的报文会被过滤出,而其余报文会通过;
步骤33,按照预先设定的过滤规则对预过滤出来的报文进行过滤;
步骤34,判断报文是否通过过滤,通过执行步骤36,否则执行步骤35;
步骤35,对过滤出的报文丢弃;
步骤36,判断接下来是否还有下一阶段过滤,有的话执行步骤31进行下一阶段的过滤过程,否则执行步骤37;
步骤37,过滤过程结束,通过的报文进行下一步处理。
除了对报文进行过滤外,还要对报文进行监控,以保证CPU资源合理利用。报文监控就是对某个特定端口的特定报文数量进行监控,一旦超过了给定的阈值就发出告警信息,并对此报文进行限速或者丢弃。
请参阅图4,报文监控处理过程如下:
步骤41,对每一类的报文预先设定匹配规则,解析过滤处理后的报文并根据匹配规则进行匹配;
步骤42,判断报文是否匹配上,匹配成功则执行步骤44,不成功则执行步骤43;
步骤43,对报文进行上送;
步骤44,根据用户配置的丢弃标识进行判断,配置了丢弃标识执行步骤45,否则执行步骤46;
步骤45,对报文进行丢弃;
步骤46,对报文上送端口的该类报文数量增加计数;
步骤47,通过令牌桶方法对报文限速,在某一个报文到来时判断令牌桶中是否有剩余令牌,有则执行步骤49,没有则执行步骤48;
步骤48,对报文进行丢弃;
步骤49,报文上送软件处理;
步骤410,设置一个定时器每间隔一段时间检测下每个端口每一类报文的数量;
步骤411,判断报文数量是否超过设定的阈值,超过则执行步骤413,否则执行步骤412;
步骤412,更新端口报文数量的计数,返回;
步骤413,发出告警信息提醒用户某端口的某类型报文流量过大。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,应当指出,对于本领域的普通技术人员来说,凡是本发明的精神和原则之内所作的任何修改、等同替换或改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种对交换路由设备中央处理器进行安全保护的方法,其特征在于,包括如下步骤:
对硬件上送经过限速处理后的报文进行过滤;
对过滤处理后的报文进行监控,上送经监控处理后通过的报文给中央处理器,其中:
所述监控的步骤如下:
E、对每一类的报文预先设定匹配规则,解析过滤处理后的报文并根据匹配规则进行匹配;
F、若匹配成功,则根据报文是否有用户配置的丢弃标识进行判断,若有,则对报文进行丢弃,否则,对报文上送端口的该类报文数量增加计数,执行步骤G;若匹配不成功,则对报文进行上送;
G、通过令牌桶方法对报文进行限速,在报文到来时判断令牌桶中是否有剩余令牌,若有,对报文进行上送;否则,对报文进行丢弃。
2.根据权利要求1所述的对交换路由设备中央处理器进行安全保护的方法,其特征在于,所述过滤的步骤如下:
预先设定不合理报文的条件,对不合理报文进行分类,每一类为一个阶段;
对每个阶段的报文进行筛选。
3.根据权利要求2所述的对交换路由设备中央处理器进行安全保护的方法,其特征在于,所述对每个阶段的报文进行筛选的步骤如下:
A、根据报文头部的信息对该阶段的报文进行预过滤;
B、不符合预先设定条件的报文,预过滤通过,执行步骤D;否则,预过滤未通过,执行步骤C;
C、预先设定过滤规则,按照过滤规则对预过滤未通过的报文进行过滤,不符合过滤规则的报文,过滤通过,执行步骤D;否则,过滤未通过,丢弃过滤未通过的报文;
D、判断接下来是否还有下一阶段过滤,若有,则执行步骤A进行下一阶段的操作;否则,过滤过程结束。
4.根据权利要求3所述的对交换路由设备中央处理器进行安全保护的方法,其特征在于,所述信息包括地址、类型信息中至少一种。
5.根据权利要求1所述的对交换路由设备中央处理器进行安全保护的方法,其特征在于,在所述对报文上送端口的该类报文数量增加计数之后,还包括步骤:
设置定时器检测每个端口每一类报文的数量;
判断报文数量是否超过设定的阈值,若超过,则发出告警信息;否则,更新端口报文数量的计数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008102160014A CN101355567B (zh) | 2008-09-03 | 2008-09-03 | 一种对交换路由设备中央处理器进行安全保护的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008102160014A CN101355567B (zh) | 2008-09-03 | 2008-09-03 | 一种对交换路由设备中央处理器进行安全保护的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101355567A CN101355567A (zh) | 2009-01-28 |
CN101355567B true CN101355567B (zh) | 2012-05-09 |
Family
ID=40308155
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008102160014A Active CN101355567B (zh) | 2008-09-03 | 2008-09-03 | 一种对交换路由设备中央处理器进行安全保护的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101355567B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101854276B (zh) * | 2010-05-28 | 2014-12-10 | 中兴通讯股份有限公司 | 一种检测报文量的方法、装置和系统 |
CN102158362B (zh) * | 2011-04-18 | 2015-05-06 | 中兴通讯股份有限公司 | 实现网络信息监管的方法、系统及装置 |
CN102694815B (zh) * | 2012-06-04 | 2016-05-11 | 浙江中控技术股份有限公司 | 一种安全防护方法、控制单元及工业控制系统 |
CN105337890B (zh) * | 2014-07-16 | 2019-03-15 | 杭州迪普科技股份有限公司 | 一种控制策略生成方法以及装置 |
CN107451031A (zh) * | 2017-07-28 | 2017-12-08 | 郑州云海信息技术有限公司 | 一种服务器cpu利用率瞬时峰值过滤方法及装置 |
CN113839885B (zh) * | 2021-08-23 | 2023-08-18 | 苏州浪潮智能科技有限公司 | 一种基于交换机的报文流量监控系统和方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6499107B1 (en) * | 1998-12-29 | 2002-12-24 | Cisco Technology, Inc. | Method and system for adaptive network security using intelligent packet analysis |
CN1578227A (zh) * | 2003-07-29 | 2005-02-09 | 上海聚友宽频网络投资有限公司 | 一种动态ip数据包过滤方法 |
CN1889510A (zh) * | 2005-06-30 | 2007-01-03 | 华为技术有限公司 | 一种通过报文处理提高网络安全性的方法 |
CN101014026A (zh) * | 2006-12-18 | 2007-08-08 | 南京联创科技股份有限公司 | 动态自适应Radius系统通用软网关的实现方法 |
CN101141390A (zh) * | 2007-07-17 | 2008-03-12 | 武汉烽火网络有限责任公司 | 一种新型自定义以太网带外数据包过滤的方法及装置 |
-
2008
- 2008-09-03 CN CN2008102160014A patent/CN101355567B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6499107B1 (en) * | 1998-12-29 | 2002-12-24 | Cisco Technology, Inc. | Method and system for adaptive network security using intelligent packet analysis |
CN1578227A (zh) * | 2003-07-29 | 2005-02-09 | 上海聚友宽频网络投资有限公司 | 一种动态ip数据包过滤方法 |
CN1889510A (zh) * | 2005-06-30 | 2007-01-03 | 华为技术有限公司 | 一种通过报文处理提高网络安全性的方法 |
CN101014026A (zh) * | 2006-12-18 | 2007-08-08 | 南京联创科技股份有限公司 | 动态自适应Radius系统通用软网关的实现方法 |
CN101141390A (zh) * | 2007-07-17 | 2008-03-12 | 武汉烽火网络有限责任公司 | 一种新型自定义以太网带外数据包过滤的方法及装置 |
Non-Patent Citations (1)
Title |
---|
忽海娜.基于包过滤的DDoS防御系统.《天津理工大学学报》.2005,第21卷(第5期),37-39,55. * |
Also Published As
Publication number | Publication date |
---|---|
CN101355567A (zh) | 2009-01-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101355567B (zh) | 一种对交换路由设备中央处理器进行安全保护的方法 | |
CN101083563B (zh) | 一种防分布式拒绝服务攻击的方法及设备 | |
CN100454895C (zh) | 一种通过报文处理提高网络安全性的方法 | |
CN103561011B (zh) | 一种SDN控制器盲DDoS攻击防护方法及系统 | |
CN100558089C (zh) | 一种基于网络过滤器的内容过滤网关实现方法 | |
CN112615818B (zh) | 基于sdn的ddos攻击防护方法、装置及系统 | |
KR101977731B1 (ko) | 제어 시스템의 이상 징후 탐지 장치 및 방법 | |
CN101547187B (zh) | 宽带接入设备的网络攻击防护方法 | |
CN101106518B (zh) | 为中央处理器提供负载保护的拒绝服务方法 | |
CN101616129A (zh) | 防网络攻击流量过载保护的方法、装置和系统 | |
CN101227289A (zh) | 统一威胁管理设备及威胁防御模块的加载方法 | |
CN101505302A (zh) | 安全策略的动态调整方法和系统 | |
CN107016284A (zh) | 一种数据通信设备cpu前端动态防护方法及系统 | |
CN107547416A (zh) | 一种协议报文的处理方法及装置 | |
CN101035058A (zh) | 虚拟路由器冗余协议报文传输方法及装置 | |
CN102136960A (zh) | 交换机端口控制方法和装置 | |
CN101193045A (zh) | 线卡上捕获和限制数据报文速度的方法 | |
CN101420419B (zh) | 一种自适应高速网络流量分层抽样采集方法 | |
CN101188607A (zh) | 基于网络处理器的dslam设备防止协议包攻击的方法 | |
CN102223269B (zh) | 一种报文处理方法、mac地址漂移的检测方法及装置 | |
CN1917477B (zh) | 防止流控帧干扰的方法及装置 | |
CN102130792A (zh) | 通信量监视系统 | |
CN107800711A (zh) | 一种OpenFlow控制器抵御DDoS攻击的方法 | |
CN101621427B (zh) | 用于通信网络的防入侵方法和系统 | |
CN102045320A (zh) | 安全策略的老化方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |