CN114244786A - 安全防护方法、装置、设备和存储介质 - Google Patents

Abstract

本申请公开了一种安全防护方法、装置、设备和存储介质，属于通信技术领域。包括：设置交换机上的一个端口为回环端口，回环端口发出的报文会从回环端口接收到；对接收到的需要发往网络管理设备的报文进行镜像，得到镜像报文；通过回环端口发送镜像报文；根据从回环端口接收到的报文确定报文传输情况；根据报文传输情况对网络管理设备进行安全防护。本申请将需要发往网络管理设备的报文的镜像报文通过回环端口发出，从而可通过回环端口接收到的报文确定发往网络管理设备的报文的传输情况，之后据此对网络管理设备进行安全防护。如此可在不影响交换机正常工作的情况下，自动实现对网络管理设备的安全防护，不依赖人工，提高了安全防护的灵活性。

Description

安全防护方法、装置、设备和存储介质

技术领域

本申请涉及通信技术领域，特别涉及一种安全防护方法、装置、设备和存储介质。

背景技术

网络管理设备能够统一集中管理大规模组网中的多个交换机，这提高了管理交换机的效率。但一旦网络管理设备被攻击或者内部网络中出现广播风暴，就会导致网络管理设备接收到过多的报文，从而占用大量的CPU(central processing unit，中央处理单元)资源，进而无法正常管理到各个交换机。为此，需要对网络管理设备进行安全防护。

相关技术中，技术人员人工监控交换机，以确定是否出现报文流量异常情况，一旦发现交换机出现报文流量异常，手动设置交换机的配置文件对报文流量进行抑制，从而进行安全防护。

然而，这种方式一旦脱离人工，就无法实现对网络管理设备的安全防护，因而此方式依赖性较高，不够灵活。

发明内容

本申请提供了一种安全防护方法、装置、设备和存储介质，可以提高对网络管理设备进行安全防护的灵活性。所述技术方案如下：

第一方面，提供了一种安全防护方法，所述方法包括：

设置所述交换机上的一个端口为回环端口，所述回环端口发出的报文会从所述回环端口接收到；

对接收到的需要发往网络管理设备的报文进行镜像，得到镜像报文；

通过所述回环端口发送所述镜像报文；

根据从所述回环端口接收到的报文，确定报文传输情况；

根据所述报文传输情况，对所述网络管理设备进行安全防护。

在本申请中，交换机通过设置该交换机上的一个端口为回环端口，使得从这个端口发出的报文会从这个端口接收到。之后交换机对接收到的需要发往网络管理设备的报文进行镜像，得到镜像报文，通过回环端口发送该镜像报文。这种情况下，回环端口会接收到已经发往该网络管理设备的报文。之后交换机根据回环端口接收到的报文确定报文传输情况，该报文传输情况即是发往网络管理设备的报文的传输情况。如此可以在不影响该交换机正常工作的情况下通过回环端口接收到的报文确定出发往该网络管理设备的报文的传输情况。最后，交换机根据该报文传输情况对网络管理设备进行相应的安全防护，从而避免网络管理设备出现接收过多的报文的情况。这种交换机自动根据报文传输情况进行安全防护的方式不依赖人工，从而提高了对网络管理设备进行安全防护的灵活性。

可选地，所述设置所述交换机上的一个端口为回环端口之后，还包括：

对所述回环端口进行端口隔离，以使所述回环端口与其他设备不能通信。

可选地，所述根据从所述回环端口接收到的报文，确定报文传输情况，包括：

确定在预设时长内从所述回环端口接收到的报文中的广播报文数量、组播报文数量、单播报文数量；

若所述广播报文数量大于或等于第一数量阈值，则确定出现广播报文数量异常情况；

若所述组播报文数量大于或等于第二数量阈值，则确定出现组播报文数量异常情况；

若所述单播报文数量大于或等于第三数量阈值，则确定出现单播报文数量异常情况。

可选地，所述根据所述报文传输情况，对所述网络管理设备进行安全防护，包括：

若所述报文传输情况为所述广播报文数量异常情况，则对接收到的需要发往所述网络管理设备的广播报文进行风暴控制；

若所述报文传输情况为所述组播报文数量异常情况，则对接收到的需要发往所述网络管理设备的组播报文进行风暴控制；

若所述报文传输情况为所述单播报文数量异常情况，则对接收到的需要发往所述网络管理设备的单播报文进行流量抑制。

可选地，所述根据从所述回环端口接收到的报文，确定报文传输情况，包括：

确定从所述回环端口接收到的报文的接收速率；

若所述接收速率大于或等于第一速率阈值且小于第二速率阈值，则确定出现报文流量轻微异常情况，所述第一速率阈值小于所述第二速率阈值；

若所述接收速率大于或等于所述第二速率阈值，则确定出现报文流量严重异常情况。

可选地，所述根据所述报文传输情况，对所述网络管理设备进行安全防护，包括：

若所述报文传输情况为所述报文流量轻微异常情况，则根据报文优先级对接收到的需要发往所述网络管理设备的报文进行转发；

若所述报文传输情况为所述报文流量严重异常情况，则对接收到的需要发往所述网络管理设备的报文进行流量抑制。

可选地，所述方法还包括：

获取报文传输异常信息，所述报文传输异常信息包括发往所述网络管理设备的报文发生传输异常的时间段和对应的异常类型；

将所述报文传输异常信息发送给所述网络管理设备；

接收所述网络管理设备发送的预警信息，所述预警信息包括所述网络管理设备根据所述报文传输异常信息预测出的会发生报文传输异常的预测时间段和对应的预测异常类型；

在所述预测时间段，根据所述预测异常类型对所述网络管理设备进行安全防护。

第二方面，提供了一种安全防护装置，所述装置包括：

设置模块，用于设置交换机上的一个端口为回环端口，所述回环端口发出的报文会从所述回环端口接收到；

镜像模块，用于对接收到的需要发往网络管理设备的报文进行镜像，得到镜像报文；

第一发送模块，用于通过所述回环端口发送所述镜像报文；

确定模块，用于根据从所述回环端口接收到的报文，确定报文传输情况；

第一防护模块，用于根据所述报文传输情况，对所述网络管理设备进行安全防护。

可选地，所述装置还包括：

隔离模块，用于对所述回环端口进行端口隔离，以使所述回环端口与其他设备不能通信。

可选地，所述确定模块用于：

确定在预设时长内从所述回环端口接收到的报文中的广播报文数量、组播报文数量、单播报文数量；

若所述广播报文数量大于或等于第一数量阈值，则确定出现广播报文数量异常情况；

若所述组播报文数量大于或等于第二数量阈值，则确定出现组播报文数量异常情况；

若所述单播报文数量大于或等于第三数量阈值，则确定出现单播报文数量异常情况。

可选地，所述第一防护模块用于：

若所述报文传输情况为所述广播报文数量异常情况，则对接收到的需要发往所述网络管理设备的广播报文进行风暴控制；

若所述报文传输情况为所述组播报文数量异常情况，则对接收到的需要发往所述网络管理设备的组播报文进行风暴控制；

若所述报文传输情况为所述单播报文数量异常情况，则对接收到的需要发往所述网络管理设备的单播报文进行流量抑制。

可选地，所述确定模块用于：

确定从所述回环端口接收到的报文的接收速率；

若所述接收速率大于或等于第一速率阈值且小于第二速率阈值，则确定出现报文流量轻微异常情况，所述第一速率阈值小于所述第二速率阈值；

若所述接收速率大于或等于所述第二速率阈值，则确定出现报文流量严重异常情况。

可选地，所述第一防护模块用于：

若所述报文传输情况为所述报文流量轻微异常情况，则根据报文优先级对接收到的需要发往所述网络管理设备的报文进行转发；

若所述报文传输情况为所述报文流量严重异常情况，则对接收到的需要发往所述网络管理设备的报文进行流量抑制。

可选地，所述装置还包括：

获取模块，用于获取报文传输异常信息，所述报文传输异常信息包括发往所述网络管理设备的报文发生传输异常的时间段和对应的异常类型；

第二发送模块，用于将所述报文传输异常信息发送给所述网络管理设备；

接收模块，用于接收所述网络管理设备发送的预警信息，所述预警信息包括所述网络管理设备根据所述报文传输异常信息预测出的会发生报文传输异常的预测时间段和对应的预测异常类型；

第二防护模块，用于在所述预测时间段，根据所述预测异常类型对所述网络管理设备进行安全防护。

第三方面，提供了一种计算机设备，所述计算机设备包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现上述的安全防护方法。

第四方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述的安全防护方法。

第五方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述的安全防护方法的步骤。

可以理解的是，上述第二方面、第三方面、第四方面、第五方面的有益效果可以参见上述第一方面中的相关描述，在此不再赘述。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例提供的一种安全防护方法的场景图；

图2是本申请实施例提供的一种安全防护方法的流程图；

图3是本申请实施例提供的另一种安全防护方法的流程图；

图4是本申请实施例提供的一种安全防护装置的结构示意图；

图5为本申请实施例提供的一种计算机设备的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施方式作进一步地详细描述。

应当理解的是，本申请提及的“多个”是指两个或两个以上。在本申请的描述中，除非另有说明，“/”表示或的意思，比如，A/B可以表示A或B；本文中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，比如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，为了便于清楚描述本申请的技术方案，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。

在对本申请实施例进行详细地解释说明之前，先对本申请实施例的应用场景予以说明。

参见图1，图1所示的场景中包括交换机101和网络管理设备102。交换机101用于对来自互联网(Intenet)的报文进行路由转发，网络管理设备102为对交换机101进行管理的设备。交换机101和网络管理设备102首先通过CWMP(CPE WAN Management Protocol，CPE广域网管理协议)建立通信连接，交换机101和网络管理设备102建立通信连接后，交换机101和网络管理设备102之间可以互相通信，从互联网传输过来需要发往网络管理设备102的报文必须经过交换机101才能到达网络管理设备102。而如果网络管理设备102接收过多的报文，就会占用网络管理设备102大量的内存，从而导致网络管理设备102无法正常工作，因此可以在报文到达网络管理设备102之前在交换机101内实施防护措施以对网络管理设备102进行安全防护。

本申请实施例提供的安全防护方法应用于对网络管理设备进行安全防护的场景下，交换机根据所设置的回环端口接收到的报文，可以确定出需要发往网络管理设备的报文的传输情况，并根据这些报文的传输情况，对网络管理设备进行相应的安全防护。从而提高对网络管理设备进行安全防护的灵活性。

下面对本申请实施例提供的安全防护方法进行详细地解释说明。

图2是本申请实施例提供的一种安全防护方法的流程图。参见图2，该方法包括以下步骤。

步骤201：交换机设置该交换机上的一个端口为回环端口。

该回环端口是指将这个端口的发送端与这个端口的接收端进行连接，即该回环端口的报文传输形成一个循环的过程，说明该回环端口发出的报文会从该回环端口接收到。

交换机设置该交换机上的一个端口为回环端口的操作与相关技术中设置某个端口为回环端口的操作类似，本申请实施例对此不进行详细阐述。

进一步地，在交换机设置该交换机上的一个端口为回环端口之后，还可以对该回环端口进行端口隔离，以使该回环端口与其他设备不能通信。

端口隔离为交换机端口之间的一种访问控制安全控制机制，端口隔离是指将该回环端口加入到设置的隔离组中，其他设备不会向处于端口隔离的端口发送报文。

在这种情况下，该交换机的回环端口被隔离后，其他设备会发现自己到该交换机的回环端口不可达，因此会从路由转发表中删除到该交换机的回环端口的路径，从而其他设备不会向该交换机的回环端口发送报文，即该回环端口与其他设备不能通信。

具体地，交换机可以将该回环端口加入到保留VLAN(Virtual Local AreaNetwork，虚拟局域网)中，以实现对该回环端口的端口隔离。也即，处于保留VLAN中的回环端口为进行端口隔离的端口。

该保留VLAN的ID范围可以为4064～4094，保留VLAN中ID处于4064～4071的VLAN为镜像口功能占用VLAN，将该回环端口加入到ID处于保留VLAN的ID范围内的任意一个VLAN中，该回环端口所在的这个VLAN与该交换机上其它端口所在的VLAN不同。

步骤202：交换机对接收到的需要发往该网络管理设备的报文进行镜像，得到镜像报文。

需要发往该网络管理设备的报文为需要通过该交换机中与该网络管理设备通信的端口发出的报文，需要发往该网络管理设备的报文包括广播报文、组播报文、单播报文三种类型的报文。

该镜像报文为对接收到的需要发往该网络管理设备的报文进行镜像得到，即该镜像报文为与接收到的需要发往该网络管理设备的报文相同的报文。

在这种情况下，交换机对接收到的需要发往该网络管理设备的报文进行镜像，得到该镜像报文来进行后续处理。如此，可以不影响对需要发往该网络管理设备的报文的正常转发，即不影响该交换机的正常工作。也就是说，交换机对接收到的需要发往该网络管理设备的报文进行镜像，得到镜像报文后，还可以将需要发往该网络管理设备的报文正常发送给该网络管理设备。

交换机对接收到的需要发往该网络管理设备的报文进行镜像的操作与相关技术中对某个报文进行镜像的操作类似，本申请实施例对此不进行详细阐述。例如，交换机对接收到的需要发往该网络管理设备的报文进行镜像的方式可以为端口镜像。

步骤203：交换机通过该回环端口发送该镜像报文。

交换机从该回环端口发送该镜像报文后，该镜像报文会发往该回环端口，由该回环端口再接收回来。

由于该镜像报文为与接收到的需要发往该网络管理设备的报文相同的报文，且得到该镜像报文后，该交换机对接收到的需要发往该网络管理设备的报文做了正常转发，所以交换机从该回环端口发送的报文为已经发往该网络管理设备的报文，如此该回环端口接收到的报文就是已经发往该网络管理设备的报文。

进一步地，在交换机对该回环端口进行端口隔离的情况下，该回环端口不能与其他设备进行通信，即其他设备不会向该回环端口发送报文，在这种情况下该回环端口接收到的报文只有已经发往该网络管理设备的报文，从而后续可以根据该回环端口接收的已经发往该网络管理设备的报文，确定报文传输情况，即执行下述步骤204的操作。

步骤204：交换机根据从该回环端口接收到的报文，确定报文传输情况。

由于该回环端口接收到的报文为已经发往该网络管理设备的报文，因而交换机可以根据从该回环端口接收到的报文进行统计和分析，来确定发往该网络管理设备的报文的报文传输情况。

具体地，步骤204的操作可以为：交换机确定在预设时长内从该回环端口接收到的报文中的广播报文数量、组播报文数量、单播报文数量；若该广播报文数量大于或等于第一数量阈值，则确定出现广播报文数量异常情况；若该组播报文数量大于或等于第二数量阈值，则确定出现组播报文数量异常情况；若该单播报文数量大于或等于第三数量阈值，则确定出现单播报文数量异常情况。可选地，交换机还可以确定从该回环端口接收到的报文的接收速率；若该接收速率大于或等于第一速率阈值且小于第二速率阈值，则确定出现报文流量轻微异常情况，第一速率阈值小于第二速率阈值；若该接收速率大于或等于第二速率阈值，则确定出现报文流量严重异常情况。

预设时长可以预先进行设置，该预设时长可以设置的较小，例如设置为1s(秒)，如此可以确定每秒内从该回环端口接收到的报文中广播报文数量、组播报文数量、单播报文数量。

第一数量阈值可以预先进行设置，且第一数量阈值可以设置的较大。若该广播报文数量大于或等于第一数量阈值，说明发往该网络管理设备的报文中的广播报文数量较大，则确定出现广播报文数量异常情况。若该广播报文数量小于第一数量阈值，说明发往该网络管理设备的报文中的广播报文数量正常，则确定广播报文数量无异常。

第二数量阈值可以预先进行设置，且第二数量阈值可以设置的较大。若该组播报文数量大于或等于第二数量阈值，说明发往该网络管理设备的报文中的组播报文数量较大，则确定出现组播报文数量异常情况。若该组播报文数量小于第二数量阈值，说明发往该网络管理设备的报文中的组播报文数量正常，则确定该组播报文数量无异常。

第三数量阈值可以预先进行设置，且第三数量阈值可以设置的较大。若该单播报文数量大于或等于第三数量阈值，说明发往该网络管理设备的报文中的单播报文数量较大，则确定出现单播报文数量异常情况。若该单播报文数量小于第三数量阈值，说明发往该网络管理设备的报文中的单播报文数量正常，则确定该单播报文数量无异常。

该接收速率为该回环端口接收到的报文的接收速率，实际为发往该网络管理设备的报文的发送速率，即每秒内该回环端口接收到的报文的千比特数。

第一速率阈值和第二速率阈值均可以预先进行设置，且第一速率阈值和第二速率阈值均可以设置的较大，且第一速率阈值小于第二速率阈值。若该接收速率大于或等于第一速率阈值且小于第二速率阈值，说明该回环端口接收到的报文的接收速率较大，即发往该网络管理设备的报文的发送速率较大，但还未超出发送速率上限(即第二速率阈值)，则确定出现报文流量轻微异常情况。若该接收速率小于第一速率阈值，说明该回环端口接收到的报文的接收速率正常，即发往该网络管理设备的报文的发送速率正常，则确定报文流量正常；若该接收速率大于或等于第二速率阈值，说明该回环端口接收到的报文的接收速率较大，即发往该网络管理设备的报文的发送速率较大，超出发送速率上限(即第二速率阈值)，则确定出现报文流量严重异常情况。

其中，交换机确定在预设时长内从该回环端口接收到的报文中的广播报文数量、组播报文数量、单播报文数量的操作可以为：在预设时长内回环端口每接收到一个报文，交换机判断这个报文是广播报文、组播报文还是单播报文；若这个报文为广播报文，则交换机将回环端口中用于统计广播报文数量的寄存器的值加1；若这个报文为组播报文，则交换机将回环端口中用于统计组播报文数量的寄存器的值加1；若这个报文为单播报文，则交换机将回环端口中用于统计单播报文数量的寄存器的值加1。交换机读取用于统计广播报文数量的寄存器的值作为广播报文数量，读取用于统计组播报文数量的寄存器的值作为组播报文数量，以及读取用于统计单播报文数量的寄存器的值作为单播报文数量。

例如：预设时长为1s，第一数量阈值为10个，第二数量阈值为20个，第三数量阈值为30个，第一速率阈值为23000kbit/s(千比特/秒)，第二速率阈值为25600kbit/s。若交换机确定在1s内从该回环端口接收到的广播报文数量为12个，该广播报文数量12个大于第一数量阈值10个，则交换机确定出现广播报文数量异常情况。若交换机确定在1s内从该回环端口接收到的组播报文数量为25个，该组播报文数量25个大于第二数量阈值20个，则交换机确定出现组播报文数量异常情况。若交换机确定在1s内从该回环端口接收到的单播报文数量为33个，该单播报文数量33个大于第三数量阈值30个，则确定出现单播报文数量异常情况。若交换机确定从该回环端口接收到的报文的接收速率为24800kbit/s，该接收速率24800kbit/s大于第一速率阈值23000kbit/s且小于第二速率阈值25600kbit/s，则确定出现了报文流量轻微异常情况。

可选地，交换机除了确定在预设时长内从该回环端口接收到的报文中的广播报文数量、组播报文数量、单播报文数量以外，还可以通过回环端口中的寄存器确定从该回环端口接收到的报文的大小(即字节数)，以据此确定从该回环端口接收到的报文的接收速率。

步骤205：交换机根据该报文传输情况，对该网络管理设备进行安全防护。

具体地，步骤205的操作可以为：若该报文传输情况为广播报文数量异常情况，则对接收到的需要发往该网络管理设备的广播报文进行风暴控制；若该报文传输情况为组播报文数量异常情况，则对接收到的需要发往该网络管理设备的组播报文进行风暴控制；若该报文传输情况为单播报文数量异常情况，则对接收到的需要发往该网络管理设备的单播报文进行流量抑制；若该报文传输情况为报文流量轻微异常情况，则根据报文优先级对接收到的需要发往该网络管理设备的报文进行转发；若该报文传输情况为报文流量严重异常情况，则对接收到的需要发往该网络管理设备的报文进行流量抑制。

该风暴控制为当报文数量非常大时，交换机根据报文优先级减少在预设时长内发往该网络管理设备的报文数量。

该流量抑制为交换机通过降低发往该网络管理设备的报文的传输速率来减少发往该网络管理设备的报文的数量。

在这种情况下，若该报文传输情况为广播报文数量异常情况，说明该广播报文数量非常大，则对接收到的需要发往该网络管理设备的广播报文进行风暴控制，即对于接收到的需要发往该网络管理设备的广播报文，丢弃报文优先级较低的一部分广播报文，将剩余的其他广播报文转发给该网络管理设备，以减少在预设时长内发往该网络管理设备的广播报文数量。若该报文传输情况为组播报文数量异常情况，说明该组播报文数量非常大，则对接收到的需要发往该网络管理设备的组播报文进行风暴控制，即对于接收到的需要发往该网络管理设备的组播报文，丢弃报文优先级较低的一部分组播报文，将剩余的其他组播报文转发给该网络管理设备，以减少在预设时长内发往该网络管理设备的组播报文数量。若该报文传输情况为单播报文数量异常情况，说明该单播报文数量非常大，则对接收到的需要发往该网络管理设备的单播报文进行流量抑制，即降低发往该网络管理设备的单播报文的传输速率，从而减少发往该网络管理管理设备的单播报文数量。若该报文传输情况为报文流量轻微异常情况，说明发往该网络管理设备的报文的发送速率较大，但未超出发送速率上限，则根据报文优先级对接收到的需要发往该网络管理设备的报文进行转发，即先转发优先级较高的报文，从而保证重要的报文能够优先转发到该网络管理设备。若该报文传输情况为报文流量严重异常情况，说明发往该网络管理设备的报文的发送速率很大，已超出发送速率上限，会导致该网络管理设备因接收过多的报文而占用大量的CPU资源，则对接收到的需要发往该网络管理设备的报文进行流量抑制，即降低发往该网络管理设备的报文的发送速率，从而减少发往该网络管理设备的报文数量，使得该网络管理设备不会因接收过多的报文而占用大量的CPU资源，保证了该网络管理设备得到了有效的保护。

值得注意的是，交换机通过上述步骤101-步骤105可以对该网络管理设备进行相应的安全防护。这种情况下，交换机还可以将报文传输异常信息发送至该网络管理设备，然后根据该网络管理设备返回的预测出的异常情况来进行相应的安全防护。

具体地，交换机获取报文传输异常信息，该报文传输异常信息包括发往该网络管理设备的报文发生传输异常的时间段和对应的异常类型；将该报文传输异常信息发送给该网络管理设备；接收该网络管理设备发送的预警信息，该预警信息包括该网络管理设备根据该报文传输异常信息预测出的会发生报文传输异常的预测时间段和对应的预测异常类型；在该预测时间段，根据该预测异常类型对该网络管理设备进行安全防护。

该异常类型包括广播报文数量异常情况、组播报文数量异常情况、单播报文数量异常情况、报文流量轻微异常情况及报文流量严重异常情况。

该预警信息用于指示该交换机接收到的需要发往该网络管理设备的报文会在哪个时间段发生什么类型的异常情况，则交换机根据该预警信息对该网络管理设备采取相应的安全防护。

交换机将报文传输异常信息发送给网络管理设备，该网络管理设备对该报文传输异常信息中携带的发生报文传输异常的时间段和对应的异常类型进行统计分析，如可以通过神经网络模型等方式来进行统计分析，以预测出发往该网络管理设备的报文经常会在哪个时间段发生哪种类型的异常情况，即预测出会发生报文传输异常的预测时间段和对应的预测异常类型，然后将预测时间段和对应的预测异常类型携带于预警信息发送至该交换机。之后，交换机根据预测异常类型，在预测时间段对该网络管理设备进行相应的安全防护，如此交换机根据预警信息对该网络管理设备进行相应的安全防护，可以减轻该交换机分析报文是否发生传输异常情况的压力，节省了交换机的处理资源。

进一步地，该报文传输异常信息还可以包括相应的安全防护措施信息，则交换机接收到的该网络管理设备发送的预警信息中还包括与预测异常类型对应的安全防护措施信息。

该安全防护措施信息用于指示交换机在发生报文传输异常情况时采取的与该异常类型对应的安全防护措施。即若该异常类型为广播报文数量异常情况，则对应的安全防护措施为对接收到的需要发往该网络管理设备的广播报文进行风暴控制；若该异常类型为组播报文数量异常情况，则对应的安全防护措施为对接收到的需要发往该网络管理设备的组播报文进行风暴控制；若该异常类型为单播报文数量异常情况，则对应的安全防护措施为对接收到的需要发往该网络管理设备的单播报文进行流量抑制；若该异常类型为报文流量轻微异常情况，则对应的安全防护措施为根据报文优先级对接收到的需要发往该网络管理设备的报文进行转发；若该异常类型为报文流量严重异常情况，则对应的安全防护措施为对接收到的需要发往该网络管理设备的报文进行流量抑制。

在这种情况下，交换机将报文传输异常信息发送给网络管理设备，该网络管理设备对该报文传输异常信息中携带的发生报文传输异常的时间段、对应的异常类型和安全防护措施信息进行统计分析，如可以通过神经网络模型等方式来进行统计分析，以预测出发往该网络管理设备的报文经常会在哪个时间段发生哪种类型的异常情况，且会采取怎样的安全防护措施，即预测出会发生报文传输异常的预测时间段、对应的预测异常类型和安全防护措施信息，然后将预测时间段、对应的预测异常类型和安全防护措施信息携带于预警信息发送至该交换机。交换机根据接收到的预警信息中的预测异常类型和对应的安全防护措施信息，在预测时间段对该网络管理设备进行安全防护。如此交换机根据该网络管理设备发送的预警信息对该网络管理设备进行安全防护，可以减轻该交换机分析报文是否发生传输异常情况的压力，节省了交换机的处理资源，提高了交换机对该网络管理设备进行安全防护的效率。

为了便于理解，下面以网络管理设备为网络控制器为例，结合图3来对上述安全防护方法进行举例说明。参见图3，该方法包括如下步骤(1)-步骤(9)。

(1)交换机和网络控制器通过CWMP协议建立通信连接。

(2)交换机设置该交换机上的一个端口为回环端口，并对这个端口进行端口隔离。

具体地，交换机将该交换机上的端口1设置为回环端口，端口1设置为回环端口后，从端口1发出的报文会被端口1接收到。并且交换机将端口1加入到VLAN ID为4064的保留VLAN中，对端口1进行端口隔离。

(3)交换机对接收到的需要发往该网络控制器的报文进行镜像，得到镜像报文。

该交换机上与该网络控制器通信的端口为端口2，当交换机接收到的需要通过端口2发出的报文时，对该报文进行端口镜像，得到镜像报文，再将该报文通过端口2发送给该网络控制器。

(4)交换机通过端口1发送该镜像报文。

(5)交换机统计1s内从端口1接收到的报文中广播报文数量、组播报文数量、单播报文数量以及端口1接收报文的速率。

(6)交换机根据统计的1s内从端口1接收到的报文中广播报文数量、组播报文数量、单播报文数量以及端口1接收报文的速率，确定发往该网络控制器的报文的报文传输情况。

具体地，若统计的1s内从端口1接收到的报文中广播报文数量大于或等于10，则确定出现广播报文数量异常情况。若统计的1s内从端口1接收到的报文中组播报文数量大于或等于20，则确定出现组播报文数量异常情况。若统计的1s内从端口1接收到的报文中单播报文数量大于或等于30，则确定出现单播报文数量异常情况。若确定从端口1接收报文的速率大于或等于23000kbit/s且小于25600kbit/s，则确定出现报文流量轻微异常情况，若确定从端口1接收报文的速率大于或等于25600kbit/s，则确定出现报文流量严重异常情况。

(7)交换机根据发往该网络控制器的报文的报文传输情况，对该网络控制器进行安全防护。

具体地，若该报文传输情况为广播报文数量异常情况，则对接收到的需要发往该网络控制器的广播报文进行风暴控制；若该报文传输情况为组播报文数量异常情况，则对接收到的需要发往该网络控制器的组播报文进行风暴控制；若该报文传输情况为单播报文数量异常情况，则对接收到的需要发往该网络控制器的单播报文进行流量抑制；若该报文传输情况为报文流量轻微异常情况，则开启QOS功能，即根据报文优先级对接收到的需要发往该网络控制器的报文进行转发；若该报文传输情况为报文流量严重异常情况，则对接收到的需要发往该网络控制器的报文进行流量抑制。

(8)交换机将报文传输异常信息发送至该网络控制器，并接收该网络控制器下发的预警信息。

具体地，交换机将该报文传输异常信息发送至该网络控制器，该报文传输异常信息中包括发往该网络控制器的报文发生传输异常的时间段、对应的异常类型和安全防护措施信息。该网络控制器对该报文传输异常信息进行统计分析，以预测出发往该网络管理设备的报文经常会在哪个时间段发生哪种类型的异常情况，且会采取怎样的安全防护措施，即预测出会发生报文传输异常的预测时间段、对应的预测异常类型和安全防护措施信息，然后将预测时间段、对应的预测异常类型和安全防护措施信息携带于预警信息发送至该交换机。

(9)交换机根据网络控制器发送的预警信息中预测出的会发生报文传输异常的预测时间段、对应的预测异常类型和安全防护措施信息，对该网络控制器进行安全防护。

在本申请实施例中，交换机通过设置该交换机上的一个端口为回环端口，使得从这个端口发出的报文会从这个端口接收到。之后交换机对接收到的需要发往该网络管理设备的报文进行镜像，得到镜像报文，通过回环端口发送该镜像报文。这种情况下，回环端口会接收到已经发往该网络管理设备的报文。之后交换机根据回环端口接收到的报文确定报文传输情况，该报文传输情况即是发往网络管理设备的报文的传输情况。如此可以在不影响该交换机正常工作的情况下通过回环端口接收到的报文确定出发往该网络管理设备的报文的传输情况。最后，交换机根据该报文传输情况对网络管理设备进行相应的安全防护，从而避免网络管理设备出现接收过多的报文的情况。这种交换机自动根据报文传输情况进行安全防护的方式不依赖人工，从而提高了对网络管理设备进行安全防护的灵活性。

下面对本申请实施例提供的安全防护装置进行详细地解释说明。

图4是本申请实施例提供的一种安全防护装置的结构示意图。该安全防护装置可以由软件、硬件或者两者的结合实现成为计算机设备的部分或者全部，该计算机设备可以为下文图5所示的计算机设备。参见图4，该装置包括：设置模块401、镜像模块402、第一发送模块403、确定模块404、第一防护模块405。

设置模块401，用于设置交换机上的一个端口为回环端口，该回环端口发出的报文会从该回环端口接收到；

镜像模块402，用于对接收到的需要发往网络管理设备的报文进行镜像，得到镜像报文；

第一发送模块403，用于通过该回环端口发送该镜像报文；

确定模块404，用于根据从该回环端口接收到的报文，确定报文传输情况；

第一防护模块405，用于根据该报文传输情况，对该网络管理设备进行安全防护。

可选地，该装置还包括：

隔离模块，用于对该回环端口进行端口隔离，以使该回环端口与其他设备不能通信。

可选地，确定模块404用于：

确定在预设时长内从该回环端口接收到的报文中的广播报文数量、组播报文数量、单播报文数量；

若该广播报文数量大于或等于第一数量阈值，则确定出现广播报文数量异常情况；

若该组播报文数量大于或等于第二数量阈值，则确定出现组播报文数量异常情况；

若该单播报文数量大于或等于第三数量阈值，则确定出现单播报文数量异常情况。

可选地，第一防护模块405用于：

若该报文传输情况为广播报文数量异常情况，则对接收到的需要发往该网络管理设备的广播报文进行风暴控制；

若该报文传输情况为组播报文数量异常情况，则对接收到的需要发往该网络管理设备的组播报文进行风暴控制；

若该报文传输情况为单播报文数量异常情况，则对接收到的需要发往该网络管理设备的单播报文进行流量抑制。

可选地，确定模块404用于：

确定从该回环端口接收到的报文的接收速率；

若该接收速率大于或等于第一速率阈值且小于第二速率阈值，则确定出现报文流量轻微异常情况，该第一速率阈值小于该第二速率阈值；

若该接收速率大于或等于该第二速率阈值，则确定出现报文流量严重异常情况。

可选地，第一防护模块405用于：

若该报文传输情况为该报文流量轻微异常情况，则根据报文优先级对接收到的需要发往该网络管理设备的报文进行转发；

若该报文传输情况为该报文流量严重异常情况，则对接收到的需要发往该网络管理设备的报文进行流量抑制。

可选地，该装置还包括：

获取模块，用于获取报文传输异常信息，该报文传输异常信息包括发往该网络管理设备的报文发生传输异常的时间段和对应的异常类型；

第二发送模块，用于将该报文传输异常信息发送给该网络管理设备；

接收模块，用于接收该网络管理设备发送的预警信息，该预警信息包括该网络管理设备根据该报文传输异常信息预测出的会发生报文传输异常的预测时间段和对应的预测异常类型；

第二防护模块，用于在该预测时间段，根据该预测异常类型对该网络管理设备进行安全防护。

在本申请实施例中，交换机通过设置该交换机上的一个端口为回环端口，使得从这个端口发出的报文会从这个端口接收到。之后交换机对接收到的需要发往网络管理设备的报文进行镜像，得到镜像报文，通过回环端口发送该镜像报文。这种情况下，回环端口会接收到已经发往该网络管理设备的报文。之后交换机根据回环端口接收到的报文确定报文传输情况，该报文传输情况即是发往网络管理设备的报文的传输情况。如此可以在不影响该交换机正常工作的情况下通过回环端口接收到的报文确定出发往该网络管理设备的报文的传输情况。最后，交换机根据该报文传输情况对网络管理设备进行相应的安全防护，从而避免网络管理设备出现接收过多的报文的情况。这种交换机自动根据报文传输情况进行安全防护的方式不依赖人工，从而提高了对网络管理设备进行安全防护的灵活性。

需要说明的是：上述实施例提供的安全防护装置在对网络管理设备进行安全防护时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

上述实施例中的各功能单元、模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本申请实施例的保护范围。

上述实施例提供的安全防护装置与安全防护方法实施例属于同一构思，上述实施例中单元、模块的具体工作过程及带来的技术效果，可参见方法实施例部分，此处不再赘述。

图5为本申请实施例提供的一种计算机设备的结构示意图。如图5所示，计算机设备5包括：处理器50、存储器51以及存储在存储器51中并可在处理器50上运行的计算机程序52，处理器50执行计算机程序52时实现上述实施例中的安全防护方法中的步骤。

计算机设备5可以是交换机。本领域技术人员可以理解，图5仅仅是计算机设备5的举例，并不构成对计算机设备5的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，比如还可以包括输入输出设备、网络接入设备等。

处理器50可以是中央处理单元(Central Processing Unit，CPU)，处理器50还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者也可以是任何常规的处理器。

存储器51在一些实施例中可以是计算机设备5的内部存储单元，比如计算机设备5的硬盘或内存。存储器51在另一些实施例中也可以是计算机设备5的外部存储设备，比如计算机设备5上配备的插接式硬盘、智能存储卡(Smart Media Card，SMC)、安全数字(SecureDigital，SD)卡、闪存卡(Flash Card)等。进一步地，存储器51还可以既包括计算机设备5的内部存储单元也包括外部存储设备。存储器51用于存储操作系统、应用程序、引导装载程序(Boot Loader)、数据以及其他程序等。存储器51还可以用于暂时地存储已经输出或者将要输出的数据。

本申请实施例还提供了一种计算机设备，该计算机设备包括：至少一个处理器、存储器以及存储在该存储器中并可在该至少一个处理器上运行的计算机程序，该处理器执行该计算机程序时实现上述任意各个方法实施例中的步骤。

本申请实施例还提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，该计算机程序被处理器执行时可实现上述各个方法实施例中的步骤。

本申请实施例提供了一种计算机程序产品，当其在计算机上运行时，使得计算机执行上述各个方法实施例中的步骤。

集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实现上述方法实施例中的全部或部分流程，可以通过计算机程序来指令相关的硬件来完成，该计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，该计算机程序包括计算机程序代码，该计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。该计算机可读介质至少可以包括：能够将计算机程序代码携带到拍照装置/终端设备的任何实体或装置、记录介质、计算机存储器、ROM(Read-Only Memory，只读存储器)、RAM(Random Access Memory，随机存取存储器)、CD-ROM(Compact Disc Read-Only Memory，只读光盘)、磁带、软盘和光数据存储设备等。本申请提到的计算机可读存储介质可以为非易失性存储介质，换句话说，可以是非瞬时性存储介质。

应当理解的是，实现上述实施例的全部或部分步骤可以通过软件、硬件、固件或者其任意结合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。该计算机指令可以存储在上述计算机可读存储介质中。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

在本申请所提供的实施例中，应该理解到，所揭露的装置/计算机设备和方法，可以通过其它的方式实现。例如，以上所描述的装置/计算机设备实施例仅仅是示意性的，例如，模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口，装置或单元的间接耦合或通讯连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

以上所述实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围，均应包含在本申请的保护范围之内。

Claims (10)

1.一种安全防护方法，其特征在于，应用于交换机，所述方法包括：

设置所述交换机上的一个端口为回环端口，所述回环端口发出的报文会从所述回环端口接收到；

对接收到的需要发往网络管理设备的报文进行镜像，得到镜像报文；

通过所述回环端口发送所述镜像报文；

根据从所述回环端口接收到的报文，确定报文传输情况；

根据所述报文传输情况，对所述网络管理设备进行安全防护。

2.如权利要求1所述的方法，其特征在于，所述设置所述交换机上的一个端口为回环端口之后，还包括：

对所述回环端口进行端口隔离，以使所述回环端口与其他设备不能通信。

3.如权利要求1所述的方法，其特征在于，所述根据从所述回环端口接收到的报文，确定报文传输情况，包括：

确定在预设时长内从所述回环端口接收到的报文中的广播报文数量、组播报文数量、单播报文数量；

若所述广播报文数量大于或等于第一数量阈值，则确定出现广播报文数量异常情况；

若所述组播报文数量大于或等于第二数量阈值，则确定出现组播报文数量异常情况；

若所述单播报文数量大于或等于第三数量阈值，则确定出现单播报文数量异常情况。

4.如权利要求3所述的方法，其特征在于，所述根据所述报文传输情况，对所述网络管理设备进行安全防护，包括：

若所述报文传输情况为所述广播报文数量异常情况，则对接收到的需要发往所述网络管理设备的广播报文进行风暴控制；

若所述报文传输情况为所述组播报文数量异常情况，则对接收到的需要发往所述网络管理设备的组播报文进行风暴控制；

若所述报文传输情况为所述单播报文数量异常情况，则对接收到的需要发往所述网络管理设备的单播报文进行流量抑制。

5.如权利要求1所述的方法，其特征在于，所述根据从所述回环端口接收到的报文，确定报文传输情况，包括：

确定从所述回环端口接收到的报文的接收速率；

若所述接收速率大于或等于第一速率阈值且小于第二速率阈值，则确定出现报文流量轻微异常情况，所述第一速率阈值小于所述第二速率阈值；

若所述接收速率大于或等于所述第二速率阈值，则确定出现报文流量严重异常情况。

6.如权利要求5所述的方法，其特征在于，所述根据所述报文传输情况，对所述网络管理设备进行安全防护，包括：

若所述报文传输情况为所述报文流量轻微异常情况，则根据报文优先级对接收到的需要发往所述网络管理设备的报文进行转发；

若所述报文传输情况为所述报文流量严重异常情况，则对接收到的需要发往所述网络管理设备的报文进行流量抑制。

7.如权利要求1-6任一所述的方法，其特征在于，所述方法还包括：

获取报文传输异常信息，所述报文传输异常信息包括发往所述网络管理设备的报文发生传输异常的时间段和对应的异常类型；

将所述报文传输异常信息发送给所述网络管理设备；

接收所述网络管理设备发送的预警信息，所述预警信息包括所述网络管理设备根据所述报文传输异常信息预测出的会发生报文传输异常的预测时间段和对应的预测异常类型；

在所述预测时间段，根据所述预测异常类型对所述网络管理设备进行安全防护。

8.一种安全防护装置，其特征在于，所述装置包括：

设置模块，用于设置交换机上的一个端口为回环端口，所述回环端口发出的报文会从所述回环端口接收到；

镜像模块，用于对接收到的需要发往网络管理设备的报文进行镜像，得到镜像报文；

第一发送模块，用于通过所述回环端口发送所述镜像报文；

确定模块，用于根据从所述回环端口接收到的报文，确定报文传输情况；

第一防护模块，用于根据所述报文传输情况，对所述网络管理设备进行安全防护。

9.一种计算机设备，其特征在于，所述计算机设备包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如权利要求1至7任一项所述的方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的方法。

Images