CN103368909A - 一种通信设备控制平面保护装置及方法 - Google Patents
一种通信设备控制平面保护装置及方法 Download PDFInfo
- Publication number
- CN103368909A CN103368909A CN2012100896763A CN201210089676A CN103368909A CN 103368909 A CN103368909 A CN 103368909A CN 2012100896763 A CN2012100896763 A CN 2012100896763A CN 201210089676 A CN201210089676 A CN 201210089676A CN 103368909 A CN103368909 A CN 103368909A
- Authority
- CN
- China
- Prior art keywords
- address
- source
- module
- detection
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种通信设备控制层保护装置,包括配置模块、决策模块、检测模块和执行模块,配置模块用于提供用户配置接口,实现检测策略和处理策略的配置,将配置的检测策略和处理策略发送至决策模块;决策模块,用于根据来自配置模块的检测策略生成检测命令并发送至检测模块;根据来自检测模块的检测结果完成决策;根据处理策略,生成处理命令并发送至执行模块;检测模块,根据检测命令对通信设备控制层进行检查,并将检测结果通知到决策模块;执行模块,根据决策模块的指令执行相应的处理,并将执行结果发送至决策模块。发明还提供了一种通信设备控制层保护方法。本发明可以有效进行控制平面防攻击方面的保护,保证网络的正常工作。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种通信设备控制平面保护装置及方法。
背景技术
随着网络通信技术的发展,网络作为基础设施也越来越受到重视,网络的安全问题越来越突出。网络的安全问题包括多个层次,网络设备的安全为其一个重要组成部分。目前主流网络通信设备的系统架构一般都包括数据平面和控制平面。其中,控制平面是通信设备的控制中心,管理整个系统的路由计算、路由更新和故障切换等工作,因此网络通信设备要正常运行,则其控制平面就必须安全稳定。
控制平面的保护,包括多个方面:如设备的安全控制,用户的分级管理,用户认证等设备管理方面的保护;设备的稳定运行,能够针对出现的攻击、风暴采取对应的策略等防攻击方面的保护。
对于如何进行控制平面防攻击方面的保护,在现有技术中没有对应策略及手段。如果在网络设备的控制平面受到大量报文的冲击,消耗设备的CPU资源,导致设备的控制平面出现混乱,从而导致转发平面出现问题,进而影响整个网络的正常工作。
发明内容
本发明提供了一种通信设备控制平面保护装置及方法,可以有效进行控制平面防攻击方面的保护,保证网络的正常工作。
本发明实施例提供的一种通信设备控制平面保护装置,包括配置模块、决策模块、检测模块和执行模块,
配置模块,用于提供用户配置接口,实现检测策略和处理策略的配置,将配置的检测策略和处理策略发送至决策模块;
决策模块,用于根据来自配置模块的检测策略生成检测命令并发送至检测模块;根据来自检测模块的异常检测结果完成决策,并根据来自配置模块的处理策略,生成处理命令并发送至执行模块;
检测模块,根据检测命令对需要上交到控制平面处理的报文进行检测,并将异常检测结果通知到决策模块;
执行模块,根据决策模块的处理命令执行相应的处理,并将执行结果发送至决策模块。
较佳地,所述配置模块配置的检测策略包括:
对来自同一接收接口的需上交到控制平面处理的同一源IP地址和/或同一源MAC地址的报文个数进行检测的检测策略;和/或
对来自同一接收接口的需上交到控制平面处理的报文的不同的源IP地址和/或源MAC地址的个数进行检测的检测策略;和/或
对来自同一接收接口的需上交到控制平面处理的基于特定源IP地址和/或目的IP地址和/或源MAC地址的报文免检测的检测策略。
较佳地,所述配置模块配置的处理策略包括:检测模块上报的异常检测结果为来自同一接收接口的上交到控制平面处理的同一源IP地址和/或源MAC地址的报文数超过设定的阈值时,针对所述源IP地址和/或源MAC配置访问控制列表进行过滤或者限速;
和/或,检测模块上报的异常检测结果为来自同一接收接口的上交到控制平面处理的不同的源IP地址和/或源MAC地址的个数超过限制时,设置关闭该接收接口。
较佳地,所述检测模块包括:
收发单元,用于接收决策模块下发的检测命令;以及将检测器上报的异常检测结果发送至决策模块;
检测器管理单元,用于检测器管理,在收发单元接收到开启检测的检测命令时,查找是否存在该检测命令对应的检测器,如果存在,则利用该检测命令携带的配置参数更新该检测器,如果没有,则根据该检测命令携带的配置参数新建一检测器;在收发单元接收到取消检测的检测命令时,查找对应的检测器,并删除该检测器;
检测器,用于来自同一接收接口的需上交到控制平面处理的报文按免检和/或源MAC地址和/或源IP地址进行检测,将检测结果上报给收发单元。
较佳地,所述检测器包括检测实体链表,所述检测实体链表包括如下检测实体之一或其任意组合:
免检检测实体,用于通过访问控制列表ACL对报文进行源IP地址和/或目的IP地址和/或源MAC地址匹配,如果匹配,则不再检测,直接上交控制平面处理该报文;
源MAC地址检测实体,用于在存储源MAC地址的链表中,查找是否存在报文源MAC地址对应的节点,若是,进行同一源MAC地址的报文个数检查;如果通过该检查,更新该报文源MAC地址对应节点的老化定时器;否则直接进行MAC地址个数检查;如果通过MAC地址个数检查,则在所述链表中新增加该源MAC地址对应的节点,并启动该源MAC地址节点对应的老化定时器;
源IP地址检测实体,用于在存储源IP地址的链表中,查找是否存在报文源IP地址对应的节点,若是,进行同一源IP地址的报文个数检查;如果通过该检查,更新该报文源IP地址对应节点的老化定时器;否则直接进行IP地址个数检查;如果通过IP地址个数检查,则在所述链表中新增加源IP地址节点,并启动该源IP地址节点对应的老化定时器。
较佳地,所述决策模块包括:
命令生成单元,用于根据来自配置模块的检测策略生成启动检测的检测命令或者取消检测的检测命令;用于根据来自检测模块的所述异常检测结果携带的检测异常原因,从来自配置模块的处理策略中查找得到对应的处理策略,生成对应的处理命令;
命令发送单元,用于将命令生成单元生成的启动检测的检测命令或取消检测的检测命令下发至检测模块;将命令生成单元生成的处理命令发送至执行模块。
较佳地,所述配置模块进一步用于配置恢复策略;将配置的恢复策略通知到决策模块;
所述决策模块的命令生成单元进一步用于根据来自配置模块的配置回复策略生成对应的恢复命令;命令发送单元进一步用于将所述恢复命令发送至处理模块。
本发明实施例还提供了一种通信设备控制平面保护方法,其特征在于,该方法包括:
A、完成检测策略和处理策略的配置;
B、根据检测策略生成检测命令;
C、根据检测命令对需上交到控制平面处理的报文进行检测,如检测通过,则控制平面对该报文进行处理,结束本流程;否则得到异常检测结果;
D、根据用户配置的处理策略对异常检测结果进行处理,并生成相应的处理命令;
E、执行所述处理命令,并上报处理结果。
较佳地,所述步骤A包括:
配置对来自同一接收接口的需上交到控制平面处理的同一源IP地址和/或同一源MAC地址的报文个数进行检测的检测策略;和/或
配置对来自同一接收接口的需上交到控制平面处理的报文的源IP地址和/或源MAC地址的个数进行检测的检测策略;和/或
配置对来自同一接收接口的需上交到控制平面处理的基于特定源IP地址和/或目的IP地址和/或源MAC地址的报文免检测的检测策略。
较佳地,所述处理策略包括:检测模块上报的异常检测结果为来自同一接收接口的上交到控制平面处理的同一源IP地址和/或源MAC地址的报文数超过设定的阈值时,针对所述源IP地址和/或源MAC配置访问控制列表进行过滤或者限速;
和/或,检测模块上报的异常检测结果为来自同一接收接口的上交到控制平面处理的不同的源IP地址和/或源MAC地址的个数超过限制时,设置关闭该接收接口。
较佳地,所述步骤C包括:
根据检测命令查找是否存在该检测命令对应的检测器,如果存在,则更新该检测器,如果没有,则根据该检测命令新建一检测器;
检测器对来自同一接收接口的需上交到控制平面处理的报文按免检和/或源MAC地址和/或源IP地址进行检测,得到检测结果。
较佳地,所述检测器按免检对需上交到控制平面处理的报文进行检测的方法包括:通过访问控制列表ACL对报文进行源IP地址和/或目的IP地址和/或源MAC地址匹配,如果匹配,则不再检测,直接上交控制平面处理该报文;
所述检测器按源MAC地址对对需上交到控制平面处理的报文进行检测的方法包括:用于在存储源MAC地址的链表中,查找是否存在报文源MAC地址对应的节点,若是,进行同一源MAC地址的报文个数检查;如果通过该检查,更新该报文源MAC地址对应节点的老化定时器;否则直接进行MAC地址个数检查;如果通过MAC地址个数检查,则在所述链表中新增加该源MAC地址对应的节点,并启动该源MAC地址节点对应的老化定时器;
所述检测器按源IP地址对对需上交到控制平面处理的报文进行检测的方法包括:在存储源IP地址的链表中,查找是否存在报文源IP地址对应的节点,若是,进行同一源IP地址的报文个数检查;如果通过该检查,更新该报文源IP地址对应节点的老化定时器;否则直接进行IP地址个数检查;如果通过IP地址个数检查,则在所述链表中新增加源IP地址节点,并启动该源IP地址节点对应的老化定时器。
从以上技术方案可以看出,该保护装置的配置模块可以方便地实现用户对检测策略和处理策略的配置,检测模块根据检测策略生成的检测命令进行相应检测,执行模块则根据处理命令进行处理。本发明方案可以有效地保护控制平面,让系统能够稳定运行;本发明方案实现模块化处理,便于以后扩展各种检测策略,处理策略,恢复策略。
附图说明
图1为本发明实施例提供的一种通信设备控制平面保护装置示意图;
图2为由图1所示的装置100实现通信设备控制平面保护流程图;
图3为本发明实施例中配置模块101的配置顺序示意图;
图4为本发明实施例中决策模块102生成检测策略的过程示意图;
图5为本发明实施例中检测模块接收检测命令的详细过程示意图;
图6为本发明实施例中检测模块对报文进行检测的流程图;
图7为本发明实施例的决策模块处理检测模块通告的异常检测流程图;
图8为本发明实施例提供的执行模块对决策模块下发的命令进行执行的流程图。
具体实施方式
本发明实施例提供的一种通信设备控制平面保护装置100如图1所示,包括如下几个模块:配置模块101、决策模块102、检测模块103和执行模块104。各个模块的功能描述如下:
配置模块101,提供用户配置接口,实现检测策略,处理策略,恢复策略等的配置。其中,恢复策略为可选。
决策模块102,为核心功能模块,根据来自配置模块101的检测策略生成检测命令并发送至检测模块103;根据来自检测模块103的异常检测结果完成决策;并根据来自配置模块101的处理策略,生成处理命令并发送至执行模块104;根据恢复策略,生成恢复指令下发至执行模块104,以及其他各种命令下发和通知接收。
检测模块103,根据来自决策模块102的检测命令,对需要上交到控制平面处理的报文进行检测,并将异常检测结果通知到决策模块102。所述异常检测结果中携带有检测异常原因到决策模块102。
执行模块104,根据决策模块102的处理命令,执行相应的处理,并将执行结果通知到决策模块102。
所述配置模块101配置的检测策略包括:对来自同一接收接口的需上交到控制平面处理的同一源IP地址和/或同一源MAC地址的报文个数进行检测的检测策略;和/或
对来自同一接收接口的需上交到控制平面处理的报文的不同的源IP地址和/或源MAC地址的个数进行检测的检测策略;和/或
对来自同一接收接口的需上交到控制平面处理的基于特定源IP地址和/或目的IP地址和/或源MAC地址的报文免检测的检测策略。
所述配置模块101配置的处理策略包括:检测模块101上报的异常检测结果为来自同一接收接口的上交到控制平面处理的同一源IP地址和/或源MAC地址的报文数超过设定的阈值时,针对所述源IP地址和/或源MAC配置访问控制列表进行过滤或者限速;和/或
检测模块101上报的异常检测结果为来自同一接收接口的上交到控制平面处理的不同的源IP地址和/或源MAC地址的个数超过限制时,设置关闭该接收接口。
所述检测模块103包括:
收发单元,用于接收决策模块下发的检测命令;以及将检测器上报的异常检测结果发送至决策模块;
检测器管理单元,用于检测器管理,在收发单元接收到开启检测的检测命令时,查找是否存在该检测命令对应的检测器,如果存在,则利用该检测命令携带的配置参数更新该检测器,如果没有,则根据该检测命令携带的配置参数新建一检测器;在收发单元接收到取消检测的检测命令时,查找对应的检测器,并删除该检测器;检测器,用于来自同一接收接口的需上交到控制平面处理的报文按免检和/或源MAC地址和/或源IP地址进行检测,将检测结果上报给收发单元。
其中,所述检测器包括检测实体链表,所述检测实体链表包括如下检测实体之一或其任意组合:
免检检测实体,用于通过访问控制列表ACL对报文进行源IP地址和/或目的IP地址和/或源MAC地址匹配,如果匹配,则不再检测,直接上交控制平面处理该报文;
源MAC地址检测实体,用于在存储源MAC地址的链表中,查找是否存在报文源MAC地址对应的节点,若是,进行同一源MAC地址的报文个数检查;如果通过该检查,更新该报文源MAC地址对应节点的老化定时器;否则直接进行MAC地址个数检查;如果通过MAC地址个数检查,则在所述链表中新增加该源MAC地址对应的节点,并启动该源MAC地址节点对应的老化定时器;
源IP地址检测实体,用于在存储源IP地址的链表中,查找是否存在报文源IP地址对应的节点,若是,进行同一源IP地址的报文个数检查;如果通过该检查,更新该报文源IP地址对应节点的老化定时器;否则直接进行IP地址个数检查;如果通过IP地址个数检查,则在所述链表中新增加源IP地址节点,并启动该源IP地址节点对应的老化定时器。
所述决策模块102包括:
命令生成单元,用于根据来自配置模块的检测策略生成启动检测的检测命令或者取消检测的检测命令;用于根据来自检测模块的所述异常检测结果携带的检测异常原因,从来自配置模块的处理策略中查找得到对应的处理策略,生成对应的处理命令;
命令发送单元,用于将命令生成单元生成的启动检测的检测命令或取消检测的检测命令下发至检测模块;将命令生成单元生成的处理命令发送至执行模块。
具体的,所述决策模块102的命令生成单元包括:
判断子单元,用于根据来自配置模块的检测策略判断是生成配置命令还是删除命令,若是配置命令,使能开启检测命令子单元,否则使能取消检测子单元;所述配置命令即与检测相关的配置,如果用户设置了该配置命令即意味着开启检测,所以配置命令即开启检测的命令;所述删除命令即用户删除检测相关的配置,所有删除命令即取消检测的命令;
开启检测命令生成子单元,用于在使能状态下,根据配置命令及其携带的参数来检测配置是否发生变化,如果查找到变化的配置,生成对应的检测命令,并将所述检测命令传输至命令发送单元;
取消检测子单元,用于在使能状态下,查找删除命令是否有对应的配置,如果有,则生成删除命令;查找是否有对应的处理命令以及恢复命令,如果有,则生成对应的撤销执行命令;将所述删除命令以及撤销执行命令传输至命令发送单元;
具体地,所述决策模块102进一步包括:
接收单元,用于接收来自检测模块的异常检测结果;
告警单元,用于根据所述异常检测结果打印告警信息,和/或发送告警信息到指定的服务器。
较佳地,所述配置模块101进一步用于配置恢复策略;将配置的恢复策略通知到决策模块;
决策模块进一步用于获取配置模块中配置的恢复策略,根据所述恢复策略生成恢复指令下发至执行模块;所述恢复指令为执行指令的反向指令。
所述执行模块104包括:
接收单元,用于接收决策模块下发的命令;
判断单元,用于判断接收单元所接收的命令的类型,若是撤销命令,使能撤销单元,若是执行命令,使能执行单元;
所述执行单元用于保存执行命令,并在对应的接口上执行该执行命令;
撤销单元,用于在使能状态下,查找执行命令体,反向执行其命令;查找到对应的恢复节点,停止并删除相应的定时器。
较佳地,所述执行模块进一步包括:恢复单元;
所述判断单元判断接收单元所接收的命令的类型为恢复命令时,使能恢复单元;
所述恢复单元用于在使能状态下,生成恢复节点,保存恢复命令,并且启动恢复定时器恢复过程:在恢复定时器到期后,在对应的接口上执行恢复命令,并向决策模块通知恢复结果。
图2示出了由图1所示的装置100实现通信设备控制平面保护流程,包括如下步骤:
配置步骤201:由配置模块101完成配置信息收集后,通知到决策模块102;
配置决策步骤202:由决策模块102根据用户的配置,进行计算需要如何进行检测,并生成对应的检测命令;
检测命令下发步骤203:由决策模块102将检测命令下发到检测模块103;
攻击检测步骤204:由检测模块103根据决策模块下发的检测命令,在报文上交控制平面处理的最前端进行检测;
检测结果上报步骤205:当检测模块103检测到攻击时,将相关检测结果通知到决策模块102;
检测结果处理步骤206:由决策模块102根据用户配置的处理策略对检测结果进行处理,并生成相应的处理命令,根据生成的处理命令以及配置的恢复策略生成恢复命令;
处理及恢复命令下发步骤207:由决策模块102将处理命令及恢复命令下发到执行模块104;
处理命令执行步骤208:执行模块104执行所述处理命令及恢复命令,并将结果上报到决策模块102;
查询步骤209:由配置模块101生成查询条件向决策模块进行查询,并对决策模块102返回的查询结果进行显示。
为了使本发明的技术原理、优点以及技术效果更容易的被本领域的技术人员理解,以下结合具体实施例对本发明方案进行详细阐述。
图3给出了本发明实施例中配置模块101的配置顺序,依次配置3种策略
检测策略301,配置检测策略,包括但不限于:对来自同一接收接口的需上交到控制平面处理的同一源IP地址和/或同一源MAC地址的报文个数进行检测的检测策略;对来自同一接收接口的需上交到控制平面处理的报文的不同的源IP地址和/或源MAC地址的个数进行检测的检测策略;对来自同一接收接口的需上交到控制平面处理的基于特定源IP地址和/或目的IP地址和/或源MAC地址的报文免检测的检测策略。
处理策略302:配置针对检测结果的处理策略,包括但不限于:检测模块上报的异常检测结果为来自同一接收接口的上交到控制平面处理的同一源IP地址和/或源MAC地址的报文数超过设定的阈值时,针对所述源IP地址和/或源MAC配置访问控制列表(ACL,Access Control List)进行过滤或者限速;检测模块上报的异常检测结果为来自同一接收接口的上交到控制平面处理的不同的源IP地址和/或源MAC地址的个数超过限制时,设置关闭(shutdown)该接收接口;如果不配置,则采用默认不处理。
恢复策略303:可提供定时恢复或者不恢复机制,如果不配置,则采用默认的不恢复。
图4给出了本发明实施例中决策模块102生成检测策略的过程,步骤如下:
步骤401:判断外部下达的命令是配置命令还是删除命令,若是配置命令,执行步骤402,否则执行步骤404。
步骤402:如果是配置命令,检测配置是否发生变化,如果没有变化,则直接返回步骤401,否则,执行步骤403。
步骤403:查找到变化的配置,生成对应的检测命令,然后执行步骤405。
步骤404:如果是删除命令,则查找是否有对应的配置,如果有,则生成删除检测命令;查找是否有对应的处理命令以及恢复命令,如果有,则生成对应撤销执行命令。
步骤405:下发命令到相应模块并记录。如果是检测命令或删除检测命令,则下发到检测模块;如果是撤销执行命令,则下发到执行模块。
图5示出了本发明实施例中检测模块接收检测命令的详细过程,包括如下步骤:
步骤501:检测模块接收决策模块下发的检测命令,并向决策模块回复确认信息。
步骤502:判断该命令是开启检测的检测命令,还是取消检测的检测命令,若是开启检测的检测命令则执行步骤503,否则执行步骤504。
步骤503:查找是否存在该开启检测的检测命令对应的检测器,如果存在,则利用该检测命令携带的参数更新该检测器,如果没有,则根据该检测命令新建一检测器,该检测器根据报文接收接口进行组织,对来自同一接收接口的需上交到控制平面处理的报文并按免检和/或源MAC地址和/或源IP地址检查排序。然后结束本流程。
步骤504:查找对应的检测器,并删除该检测器。如果某一接口下不存在任何一个检测器,则不再对该接口进行检测。
图6是本发明实施例中检测模块对报文进行检测的流程图,包括了如下步骤:
步骤601:需上交到控制平面处理的报文经过本模块时,首先根据报文接收源接口,查找检测实体链表,如果没有找到,则直接上交该报文并结束本流程,如果找到则继续执行步骤602。
步骤602:在检测实体链表中是否有免检检测实体,如果没有则执行步骤603,如果有,则进行免检实体检查,通过ACL对报文进行的源IP地址和/或目的IP地址和/或源MAC地址匹配,如果匹配,则直接上交控制平面处理该报文并结束本流程;如果不匹配则继续执行步骤603。
步骤603:在检测实体链表中是否存在有源MAC地址检测实体,如果没有则执行步骤604;如果有,则在检测该实体存储的源MAC地址链表中,查找是否存在报文源MAC地址对应的节点。如果存在,则进行同一源MAC地址的报文个数检查。如果通过同一源MAC地址报文个数检查,更新该报文源MAC地址对应节点的老化定时器,否则直接进行MAC地址个数检查。如果通过MAC地址个数检查,则在所述链表中新增加该源MAC地址节点,并启动该源MAC地址节点对应的老化定时器。
以下给出同一源MAC地址报文个数检查方法的一种可能实施方式:通过令牌桶的方式进行。启动一个令牌定时器,在给定的时间段里面(配置的检测间隔),放置一定的令牌(即配置上限数),来一个报文后就减少1个令牌,如果出现没有令牌,就表示超过了限制,不通过,否则通过。在定时器到期后,再重新将令牌桶放满。
以下给出源MAC数量检查方法的一种可能实施方式:每个MAC地址节点在创建时都启动一个老化定时器(即配置检测要求的周期),在老化定时器到期后,被老化。在进行检查时,统计当期的MAC地址节点数,如果大于配置的限制值,表示不通过,否则表示通过。
以上例子并不用于限制本发明,而是为使本领域技术人员更容易理解本发明所举示例。其他可以实现相同效果的算法均认为包含在本发明保护范围之内。
步骤604:在检测实体链表中是否存在有源IP地址检测实体,如果没有则结束本流程;如果有,则在检测实体存储的源IP地址链表中,查找是否存在报文源IP地址对应的节点。如果存在,则进行同一源IP地址报文个数检查。如果通过检查,更新该IP节点的老化定时器,否则直接进行IP地址个数检查。如果通过,则在所述链表中新增加一源IP地址节点,并启动老化定时器。
同一源IP报文个数检查方法:与同一源MAC报文个数检查方法相同,故不在赘述。
源IP地址数量检查方法:与源MAC地址数量检查方法相同,故不在赘述。
如果通过了上述报文检测后,则将报文上交控制平面进行处理,否则发送异常检测结果通知决策模块。
图7示出了本发明实施例的决策模块处理检测模块通告的异常检测结果流程图,包括如下步骤:
步骤701:决策模块接收检测模块通告的异常检测结果;
步骤702:根据消息内容中携带的检测异常原因,查找配置模块得到对应的处理策略;
步骤703:如果没有查找到对应的处理策略,则采用默认的处理策略,即可以不生成处理命令,只打印告警信息和/或发送告警信息到指定的服务器,直接返回;如果有对应的处理策略,生成处理命令,并且打印告警信息和/或发送告警信息到指定的服务器。
所述处理策略包括但不限于:检测模块上报的异常检测结果为来自同一接收接口的上交到控制平面处理的同一源IP地址和/或源MAC地址的报文数超过设定的阈值时,针对所述源IP地址和/或源MAC配置访问控制列表(ACL,Access Control List)进行过滤或者限速;检测模块上报的异常检测结果为来自同一接收接口的上交到控制平面处理的不同的源IP地址和/或源MAC地址的个数超过限制时,设置关闭(shutdown)该接收接口;如果不配置,则采用默认不处理。
步骤704,根据处理命令,查找配置的恢复策略。
步骤705,如果没有查找到对应的恢复策略,则采用默认的恢复策略,即模块不自动恢复,需要人工干预恢复。如果有,则生成恢复命。
恢复命令:恢复包括两种,恢复和不恢复。如果恢复,会生成处理命令的反向命令。
步骤706,将生成的处理命令、恢复命令、恢复定时器下发到执行模块。
图8为本发明实施例提供的执行模块对决策模块下发的检测命令进行执行的流程图,包括如下步骤:
步骤801:接收决策模块下发的检测命令。
步骤802:判断是否是撤销命令,若是,执行步骤805,否则执行步骤803。
步骤803:如果不是撤销命令,即为执行命令,则首先保存命令,并在对应的接口上执行对应的命令。
步骤804:生成恢复节点,保存恢复命令,并且启动恢复定时器恢复过程:在恢复定时器到期后,在对应的接口上执行恢复命令,并向决策模块通知恢复结果。消息中如果没有恢复命令,则跳过本步骤直接结束流程。
步骤805:如果是撤销命令,查找执行命令体,反向执行其命令。
步骤806:查找到对应的恢复节点,停止定时器,并删除。
本发明技术方案可以实现如下有益效果:
1、可以有效地保护了控制平面,让系统能够稳定运行;
2、实现模块化处理,便于以后扩展各种检测策略,处理策略,恢复策略。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (12)
1.一种通信设备控制平面保护装置,其特征在于,包括配置模块、决策模块、检测模块和执行模块,
配置模块,用于提供用户配置接口,实现检测策略和处理策略的配置,将配置的检测策略和处理策略发送至决策模块;
决策模块,用于根据来自配置模块的检测策略生成检测命令并发送至检测模块;根据来自检测模块的异常检测结果完成决策,并根据来自配置模块的处理策略,生成处理命令并发送至执行模块;
检测模块,根据检测命令对需要上交到控制平面处理的报文进行检测,并将异常检测结果通知到决策模块;
执行模块,根据决策模块的处理命令执行相应的处理,并将执行结果发送至决策模块。
2.根据权利要求1所述的装置,其特征在于,所述配置模块配置的检测策略包括:
对来自同一接收接口的需上交到控制平面处理的同一源IP地址和/或同一源MAC地址的报文个数进行检测的检测策略;和/或
对来自同一接收接口的需上交到控制平面处理的报文的不同的源IP地址和/或源MAC地址的个数进行检测的检测策略;和/或
对来自同一接收接口的需上交到控制平面处理的基于特定源IP地址和/或目的IP地址和/或源MAC地址的报文免检测的检测策略。
3.根据权利要求2所述的装置,其特征在于,所述配置模块配置的处理策略包括:检测模块上报的异常检测结果为来自同一接收接口的上交到控制平面处理的同一源IP地址和/或源MAC地址的报文数超过设定的阈值时,针对所述源IP地址和/或源MAC配置访问控制列表进行过滤或者限速;
和/或,检测模块上报的异常检测结果为来自同一接收接口的上交到控制平面处理的不同的源IP地址和/或源MAC地址的个数超过限制时,设置关闭该接收接口。
4.根据权利要求1所述的装置,其特征在于,所述检测模块包括:
收发单元,用于接收决策模块下发的检测命令;以及将检测器上报的异常检测结果发送至决策模块;
检测器管理单元,用于检测器管理,在收发单元接收到开启检测的检测命令时,查找是否存在该检测命令对应的检测器,如果存在,则利用该检测命令携带的配置参数更新该检测器,如果没有,则根据该检测命令携带的配置参数新建一检测器;在收发单元接收到取消检测的检测命令时,查找对应的检测器,并删除该检测器;
检测器,用于来自同一接收接口的需上交到控制平面处理的报文按免检和/或源MAC地址和/或源IP地址进行检测,将检测结果上报给收发单元。
5.根据权利要求4所述的装置,其特征在于,所述检测器包括检测实体链表,所述检测实体链表包括如下检测实体之一或其任意组合:
免检检测实体,用于通过访问控制列表ACL对报文进行源IP地址和/或目的IP地址和/或源MAC地址匹配,如果匹配,则不再检测,直接上交控制平面处理该报文;
源MAC地址检测实体,用于在存储源MAC地址的链表中,查找是否存在报文源MAC地址对应的节点,若是,进行同一源MAC地址的报文个数检查;如果通过该检查,更新该报文源MAC地址对应节点的老化定时器;否则直接进行MAC地址个数检查;如果通过MAC地址个数检查,则在所述链表中新增加该源MAC地址对应的节点,并启动该源MAC地址节点对应的老化定时器;
源IP地址检测实体,用于在存储源IP地址的链表中,查找是否存在报文源IP地址对应的节点,若是,进行同一源IP地址的报文个数检查;如果通过该检查,更新该报文源IP地址对应节点的老化定时器;否则直接进行IP地址个数检查;如果通过IP地址个数检查,则在所述链表中新增加源IP地址节点,并启动该源IP地址节点对应的老化定时器。
6.根据权利要求1所述的装置,其特征在于,所述决策模块包括:
命令生成单元,用于根据来自配置模块的检测策略生成启动检测的检测命令或者取消检测的检测命令;用于根据来自检测模块的所述异常检测结果携带的检测异常原因,从来自配置模块的处理策略中查找得到对应的处理策略,生成对应的处理命令;
命令发送单元,用于将命令生成单元生成的启动检测的检测命令或取消检测的检测命令下发至检测模块;将命令生成单元生成的处理命令发送至执行模块。
7.根据权利要求6所述的装置,其特征在于,所述配置模块进一步用于配置恢复策略;将配置的恢复策略通知到决策模块;
所述决策模块的命令生成单元进一步用于根据来自配置模块的配置恢复策略生成对应的恢复命令;命令发送单元进一步用于将所述恢复命令发送至处理模块。
8.一种通信设备控制平面保护方法,其特征在于,该方法包括:
A、完成检测策略和处理策略的配置;
B、根据检测策略生成检测命令;
C、根据检测命令对需上交到控制平面处理的报文进行检测,如检测通过,则控制平面对该报文进行处理,结束本流程;否则得到异常检测结果;
D、根据用户配置的处理策略对异常检测结果进行处理,并生成相应的处理命令;
E、执行所述处理命令,并上报处理结果。
9.根据权利要求8所述的方法,其特征在于,所述步骤A包括:
配置对来自同一接收接口的需上交到控制平面处理的同一源IP地址和/或同一源MAC地址的报文个数进行检测的检测策略;和/或
配置对来自同一接收接口的需上交到控制平面处理的报文的源IP地址和/或源MAC地址的个数进行检测的检测策略;和/或
配置对来自同一接收接口的需上交到控制平面处理的基于特定源IP地址和/或目的IP地址和/或源MAC地址的报文免检测的检测策略。
10.根据权利要求9所述的方法,其特征在于,所述处理策略包括:检测模块上报的异常检测结果为来自同一接收接口的上交到控制平面处理的同一源IP地址和/或源MAC地址的报文数超过设定的阈值时,针对所述源IP地址和/或源MAC配置访问控制列表进行过滤或者限速;
和/或,检测模块上报的异常检测结果为来自同一接收接口的上交到控制平面处理的不同的源IP地址和/或源MAC地址的个数超过限制时,设置关闭该接收接口。
11.根据权利要求8-10任一项所述的方法,其特征在于,所述步骤C包括:
根据检测命令查找是否存在该检测命令对应的检测器,如果存在,则更新该检测器,如果没有,则根据该检测命令新建一检测器;
检测器对来自同一接收接口的需上交到控制平面处理的报文按免检和/或源MAC地址和/或源IP地址进行检测,得到检测结果。
12.根据权利要求11所述的方法,其特征在于,所述检测器按免检对需上交到控制平面处理的报文进行检测的方法包括:通过访问控制列表ACL对报文进行源IP地址和/或目的IP地址和/或源MAC地址匹配,如果匹配,则不再检测,直接上交控制平面处理该报文;
所述检测器按源MAC地址对对需上交到控制平面处理的报文进行检测的方法包括:用于在存储源MAC地址的链表中,查找是否存在报文源MAC地址对应的节点,若是,进行同一源MAC地址的报文个数检查;如果通过该检查,更新该报文源MAC地址对应节点的老化定时器;否则直接进行MAC地址个数检查;如果通过MAC地址个数检查,则在所述链表中新增加该源MAC地址对应的节点,并启动该源MAC地址节点对应的老化定时器;
所述检测器按源IP地址对对需上交到控制平面处理的报文进行检测的方法包括:在存储源IP地址的链表中,查找是否存在报文源IP地址对应的节点,若是,进行同一源IP地址的报文个数检查;如果通过该检查,更新该报文源IP地址对应节点的老化定时器;否则直接进行IP地址个数检查;如果通过IP地址个数检查,则在所述链表中新增加源IP地址节点,并启动该源IP地址节点对应的老化定时器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210089676.3A CN103368909B (zh) | 2012-03-30 | 2012-03-30 | 一种通信设备控制平面保护装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210089676.3A CN103368909B (zh) | 2012-03-30 | 2012-03-30 | 一种通信设备控制平面保护装置及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103368909A true CN103368909A (zh) | 2013-10-23 |
| CN103368909B CN103368909B (zh) | 2016-12-14 |
Family
ID=49369463
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210089676.3A Active CN103368909B (zh) | 2012-03-30 | 2012-03-30 | 一种通信设备控制平面保护装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103368909B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106131083A (zh) * | 2016-08-30 | 2016-11-16 | 迈普通信技术股份有限公司 | 一种攻击报文检测和防范的方法及交换机 |
| CN108183921A (zh) * | 2015-03-18 | 2018-06-19 | 策安保安有限公司 | 经由边界网关进行信息安全性威胁中断的系统和方法 |
| CN108228591A (zh) * | 2016-12-13 | 2018-06-29 | 北京锐安科技有限公司 | 一种基于海量数据的网络行为识别方法及装置 |
| CN109511129A (zh) * | 2017-09-15 | 2019-03-22 | 中国移动通信集团广东有限公司 | 一种无线网络安全检测方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1725705A (zh) * | 2005-05-09 | 2006-01-25 | 杭州华为三康技术有限公司 | 流量攻击网络设备的报文特征的检测方法 |
| CN101155034A (zh) * | 2006-09-30 | 2008-04-02 | 中兴通讯股份有限公司 | 一种在网络设备上防止用户特定包攻击的方法 |
| CN101247217A (zh) * | 2008-03-17 | 2008-08-20 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议流量攻击的方法、单元和系统 |
| CN101299719A (zh) * | 2008-06-04 | 2008-11-05 | 北京星网锐捷网络技术有限公司 | 数据流的检测处理方法、中央处理器及交换机 |
| US20100241907A1 (en) * | 2009-03-19 | 2010-09-23 | Fujitsu Limited | Network monitor and control apparatus |
-
2012
- 2012-03-30 CN CN201210089676.3A patent/CN103368909B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1725705A (zh) * | 2005-05-09 | 2006-01-25 | 杭州华为三康技术有限公司 | 流量攻击网络设备的报文特征的检测方法 |
| CN101155034A (zh) * | 2006-09-30 | 2008-04-02 | 中兴通讯股份有限公司 | 一种在网络设备上防止用户特定包攻击的方法 |
| CN101247217A (zh) * | 2008-03-17 | 2008-08-20 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议流量攻击的方法、单元和系统 |
| CN101299719A (zh) * | 2008-06-04 | 2008-11-05 | 北京星网锐捷网络技术有限公司 | 数据流的检测处理方法、中央处理器及交换机 |
| US20100241907A1 (en) * | 2009-03-19 | 2010-09-23 | Fujitsu Limited | Network monitor and control apparatus |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108183921A (zh) * | 2015-03-18 | 2018-06-19 | 策安保安有限公司 | 经由边界网关进行信息安全性威胁中断的系统和方法 |
| CN106131083A (zh) * | 2016-08-30 | 2016-11-16 | 迈普通信技术股份有限公司 | 一种攻击报文检测和防范的方法及交换机 |
| CN108228591A (zh) * | 2016-12-13 | 2018-06-29 | 北京锐安科技有限公司 | 一种基于海量数据的网络行为识别方法及装置 |
| CN109511129A (zh) * | 2017-09-15 | 2019-03-22 | 中国移动通信集团广东有限公司 | 一种无线网络安全检测方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103368909B (zh) | 2016-12-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9910982B2 (en) | Large-scale, time-sensitive secure distributed control systems and methods | |
| EP3763099B1 (en) | Attribute-based policies for integrity monitoring and network intrusion detection | |
| US20210006582A1 (en) | Security evaluation system, security evaluation method, and program | |
| EP3258661B1 (en) | Detection of abnormal configuration changes | |
| CN111143167B (zh) | 用于多平台的告警归并方法及装置、设备、存储介质 | |
| CN106254171A (zh) | 用于检测网络设备的盗窃的装置、系统和方法 | |
| CN107317695A (zh) | 用于调试网络节点内联网故障的方法、系统和装置 | |
| CN103368909A (zh) | 一种通信设备控制平面保护装置及方法 | |
| CN109428740B (zh) | 设备故障恢复的方法和装置 | |
| CN111510339B (zh) | 一种工业互联网数据监测方法和装置 | |
| WO2014205721A1 (zh) | 故障处理方法、装置和系统 | |
| CN103780663A (zh) | 一种终端外设的远程管理方法、装置和系统 | |
| CN103763137B (zh) | 一种设备配置连接保护方法、系统及装置 | |
| CN102143011B (zh) | 一种实现网络保护的装置及方法 | |
| CN103607346A (zh) | 可信路由器中ospf协议的异常和攻击检测方法 | |
| CN107888424A (zh) | 告警信息识别方法及装置、网络管理系统 | |
| CN111611097A (zh) | 故障检测方法、装置、设备及存储介质 | |
| CN107566408A (zh) | 一种网络安全系统及方法 | |
| Shi et al. | Cybersecurity of Hybrid Electric City Bus With V2C Connectivity | |
| US9773352B2 (en) | Work machine and work machine management system | |
| CN112817827A (zh) | 运维方法、装置、服务器、设备、系统及介质 | |
| CN112187807A (zh) | 一种分支网络网关监控方法、装置及存储介质 | |
| EP3461102B1 (en) | Notification control device, notification control system, notification control method, and storage medium | |
| JP2021060778A (ja) | 制御装置および制御方法 | |
| CN101525962B (zh) | 手持机及其操作方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |