CN115603922A - 安全防御方法、装置、设备及存储介质 - Google Patents

安全防御方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN115603922A
CN115603922A CN202110721168.1A CN202110721168A CN115603922A CN 115603922 A CN115603922 A CN 115603922A CN 202110721168 A CN202110721168 A CN 202110721168A CN 115603922 A CN115603922 A CN 115603922A
Authority
CN
China
Prior art keywords
network
statistical data
target
network equipment
parameter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110721168.1A
Other languages
English (en)
Inventor
张丽晖
赵艳杰
李洪涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN202110721168.1A priority Critical patent/CN115603922A/zh
Priority to PCT/CN2022/098234 priority patent/WO2023273843A1/zh
Publication of CN115603922A publication Critical patent/CN115603922A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种安全防御方法、装置、设备及存储介质,属于通信领域。该方法应用于安全防御装置,所述安全防御装置与网络设备中的网络操作系统之间建立有通信通道,通过所述通信通道从所述网络操作系统中获取影响所述网络设备的控制面输入的运行统计数据;若所述运行统计数据满足预设的运行参数调整条件,则根据所述运行统计数据,确定所述网络设备的控制面的目标运行参数。本发明的技术方案能够消除网络设备运行过程中的安全隐患,使得网络设备的信息传输更加安全,且安全防御装置独立于网络操作系统,能够在不影响网络操作系统性能的基础上,实现网络设备的安全保护。

Description

安全防御方法、装置、设备及存储介质
技术领域
本发明涉及通信领域,尤其涉及一种安全防御方法、装置、设备及存储介质。
背景技术
网络设备的控制面承载着网络环境中的所有网络控制协议流量,其安全性直接关系着网络服务的可用性,可靠性和数据安全性。随着网络的规模逐渐增大和应用日益普及,对网络设备的安全的要求也越来越高。例如,在网络中存在大量需要上送中央处理器(central processing unit,CPU)的各类报文和针对CPU的恶意攻击报文,因此,技术人员需要对网络设备部署一个安全防御系统。
现有的网络设备一般是设置一些简单的规则、或者在网络设备中记录存在攻击性的数据进行恶意攻击数据的筛选以及通过技术人员对网络设备中的数据进行实时监控以剔除攻击性数据,但是这些方式会消耗大量的资源、且安全防御并不够全面,会影响到网络操作系统的正常业务,业界现有网络设备自身能提供的安全防御系统的能力有限,不能根据接入业务的情况提供动态的安全策略,因此,如何提高网络设备安全性是目前亟待解决的问题。
发明内容
本发明实施例在于提供一种安全防御方法、装置、设备及存储介质,旨在为网络设备提供动态的安全防御参数的配置,以提高网络设备的安全性。
第一方面,本发明提供一种安全防御方法,应用于安全防御装置,所述安全防御装置与网络设备中的网络操作系统之间建立有通信通道,所述方法包括:
通过所述通信通道从所述网络操作系统中获取影响所述网络设备的控制面输入的运行统计数据;
若所述运行统计数据满足预设的运行参数调整条件,则根据所述运行统计数据,确定所述网络设备的控制面的目标运行参数;
根据所述目标运行参数,控制所述网络设备的控制面运行,以使所述网络设备安全运行。
第二方面,本发明实施例还提供一种安全防御装置,所述安全防御装置与网络设备中的网络操作系统之间建立有通信通道,所述安全防御装置包括处理器、存储器、存储在所述存储器上并可被所述处理器执行的计算机程序以及用于实现所述处理器和所述存储器之间的连接通信的数据总线,其中所述计算机程序被所述处理器执行时,实现如本说明书提供的安全防御方法的步骤。
第三方面,本发明实施例还提供一种网络设备,所述网络设备包括:网络操作系统和本说明书提供的安全防御装置,所述网络操作系统与所述安全防御装置之间建立有通信通道。
第四方面,本发明实施例还提供一种存储介质,用于计算机可读存储,其特征在于,所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如本发明说明书提供的任一项安全防御方法的步骤。
本发明实施例提供一种安全防御方法、装置、设备及存储介质,本发明实施例通过通信通道从网络操作系统中获取影响网络设备的控制面输入的运行统计数据;若运行统计数据满足预设的运行参数调整条件,则根据运行统计数据,能够确定所述网络设备的控制面的目标运行参数;根据目标运行参数,控制网络设备的控制面运行,能够消除网络设备运行过程中的安全隐患,使得网络设备的信息传输更加安全,且安全防御装置独立于网络操作系统,能够在不影响网络操作系统性能的基础上,实现网络设备的安全保护。
附图说明
图1为本发明实施例提供的一种安全防御方法的流程示意图;
图2为图1中的安全防御方法的子步骤流程示意图;
图3为本发明实施例提供的另一种安全防御方法的流程示意图;
图4为本发明实施例提供的一种安全防御装置的结构示意性框图;
图5为本发明实施例提供的一种网络设备的结构示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
附图中所示的流程图仅是示例说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解、组合或部分合并,因此实际执行的顺序有可能根据实际情况改变。
应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
本发明实施例提供一种安全防御方法、装置、设备及存储介质。其中,该安全防御方法可应用于网络设备中,该网络设备可以是数据中心交换机、业务路由交换机、业务路由器、接入路由器、核心路由器等。
下面结合附图,对本发明的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
请参照图1,图1为本发明实施例提供的一种安全防御方法的流程示意图。
如图1所示,该安全防御方法包括步骤S101至步骤S103。
步骤S101、通过通信通道从网络操作系统中获取影响网络设备的控制面输入的运行统计数据。
其中,安全防御方法应用于安全防御装置,安全防御装置可以设置于网络设备中,该网络设备包括网络操作系统,该安全防御装置和网络操作系统建立有通信通道。网络设备中央处理器(central processing unit,CPU)设置在网络操作系统中,将安全防御装置与网络操作系统分隔设置,可以减少网络设备CPU的负荷,进而提高了网络设备处理信息的速率和信息处理的安全性。
需要说明的是,该安全防御装置可以部署在容器中,然后将容器部署在网络设备中,当然,该安全防御装置可以设置在网络设备的外部设备中,通过外部设备中的安全防御装置对网络设备进行安全监控,该外部设备可以根据实际情况进行选择,本申请对此不做具体限定,例如,该外部设备可以是服务器或终端设备。
在一实施例中,网络设备包括网络设备宿主机操作系统,网络设备宿主机操作系统获取网络操作系统的通信网际互连协议(Internet Protocol,IP)地址和获取安全防御装置的IP地址,网络设备宿主机操作系统基于网络操作系统的IP地址和安全防御装置的IP地址,建立网络操作系统与安全防御系统之间的通信通道,以便于网络操作系统与安全防御系统之间的信息交互。其中,网络设备宿主机操作系统为网络设备内部的装置控制中心,网络操作系统的IP地址和安全防御装置的IP地址是基于通信需求设置的地址,该IP地址的设置可以根据实际情况进行设置,本实施例对此不做具体限定。通过网络操作系统的IP地址和安全防御装置的IP地址,能够准确的为网络操作系统和安全防御装置建立路由通信通道。
在一实施例中,网络操作系统获取影响网络设备的控制面输入的运行统计数据,网络操作系统通过通信通道将该运行统计数据传输给安全防御装置,以使安全防御装置得到影响网络设备的控制面输入的运行统计数据。其中,该运行统计数据包括CPU利用率和/或内存占用率。通过网络操作系统能够准确的采集到网络设备运行过程中影响控制面输入的运行统计数据。
在一实施例中,网络操作系统以间隔预设时间采集影响网络设备的控制面输入的运行统计数据,并通过该通信通道将该运行统计数据传输给安全防御装置,以使安全防御装置得到影响网络设备的控制面输入的运行统计数据。其中,该运行统计数据包括CPU利用率和/或内存占用率。其中,预设时间可以根据实际情况进行设置,本实施例对此不做具体限定,例如,该预设时间可以设置为20秒,通过间隔预设时间获取影响网络设备的控制面输入的运行统计数据,可以提高网络设备安全性。
步骤S102、若所述运行统计数据满足预设的运行参数调整条件,则根据所述运行统计数据,确定所述网络设备的控制面的目标运行参数。
其中,预设的运行参数调整条件包括CPU利用率大于或等于预设的CPU利用率阈值和/或内存占用率大于或等于预设的内存占用率阈值,预设的CPU利用率阈值和预设的内存占用率阈值可以根据实际情况进行设置,本实施例对此不做具体限定,例如,该预设的CPU利用率阈值可以设置为80%,该预设的内存占用率阈值可以设置为85%。
需要说明的是,该运行统计数据还可以包括报文读取速率和丢包数,预设的运行参数调整条件还包括报文读取速率小于或等于预设的报文读取速率阈值和/或丢包数大于或等于预设的丢包数阈值。其中,该报文读取速率阈值和丢包数可以根据实际情况进行设置,本实施例对此不做具体限定。例如,该报文读取速率阈值每秒读取20个,丢包数为200个。
可以理解的是,预设的运行参数调整条件包括CPU利用率大于或等于预设的CPU利用率阈值、内存占用率大于或等于预设的内存占用率阈值、报文读取速率小于或等于预设的报文读取速率阈值和/或丢包数大于或等于预设的丢包数阈值,还可以包括其他的运行参数调整条件,上述运行参数调整条件可以是一种运行参数调整条件,也可以是多种运行参数调整条件进行组合,本实施例对此不做具体限定。
在一实施例中,根据运行统计数据,确定网络设备的控制面的目标运行参数的方式可以为:获取预设的运行参数与运行统计数据之间的映射关系表,根据该运行统计数据,从该映射关系表中查询对应的运行参数,并将查询到的运行参数确定为网络设备的控制面的目标运行参数。其中,预设的运行参数与运行统计数据之间的映射关系表可以实际情况进行建立,本实施例对此不做具体限定。通过该映射关系表能够快速的确定目标运行参数,提高安全防御的效率。
示例性的,该映射关系表可以包括CPU利用率、内存占用率、报文读取速率和丢包数中的至少一项与报文接收速率和目标报文通过数量中的至少一项的对应关系。因此,通过CPU利用率、内存占用率、报文读取速率和丢包数中的至少一项,可以从该映射关系表确定目标报文接收速率和/或目标报文通过数量。
在一实施例中,如图2所示,步骤S102包括子步骤S1021至子步骤S1022。
子步骤S1021、获取历史运行统计数据,其中,所述历史运行统计数据是在上一时刻获取到的运行统计数据。
获取安全防御装置的存储器中的历史运行统计数据,历史运行统计数据是在上一时刻获取到的运行统计数据,历史运行统计数据包括至少一个参数统计项的历史取值,参数统计项包括以下至少一种:CPU利用率、内存占用率、报文读取速率和丢包数。
其中,上一时刻获取到的运行统计数据为上次一次获取的运行统计数据,即上一时刻获取的运行统计数据和本次获取的运行统计数据为相邻两次获取到的运行统计数据。例如,2021年6月23日10点获取运行统计数据,2021年6月23日10点05分获取运行统计数据,2021年6月23日10点与2021年6月23日10点05分之间没有获取运行统计数据,则2021年6月23日10点为上一时刻获取的运行统计数据,因此,2021年6月23日10点获取运行统计数据为历史运行统计数据。
子步骤S1022、基于PID控制算法,根据所述运行统计数据和所述历史运行统计数据,确定所述网络设备的控制面的目标运行参数。
其中,目标运行参数包括目标报文接收速率和/或目标报文通过数量。
在一实施例中,基于PID控制算法,根据参数统计项的取值和历史取值,确定网络设备的控制面在参数统计项下的候选运行参数;根据网络设备的控制面在每个参数统计项下的候选运行参数,确定网络设备的控制面的目标运行参数。其中,候选运行参数包括候选报文接收速率和/或候选报文通过数量。通过PID控制算法能够准确的确定候选运行参数,根据候选运行参数能够准确的确定目标运行参数。
在一实施例中,基于PID控制算法,根据参数统计项的取值和历史取值,确定网络设备的控制面的候选运行参数的方式可以为:获取比例系数、差分系数、积分系数和控制面的当前运行参数;根据比例系数和参数统计项的取值,确定当前运行参数的第一增益值;确定参数统计项的取值与历史取值之间的差值,并根据该差值和积分系数,确定当前运行参数的第二增益值;根据积分系数、参数统计项的取值与历史取值,确定当前运行参数的第三增益值;对控制面的当前运行参数、第一增益值、第二增益值和第三增益值进行累加,得到网络设备的控制面的候选运行参数。其中,比例系数、差分系数、积分系数和是根据是实际情况设置的,本实施例对此不做具体限定。
在一实施例中,确定目标运行参数的方式可以为:获取每个参数统计项对应的加权系数,并以每个参数统计项为单位,对参数统计项对应的加权系数与控制面在该参数统计项下的候选运行参数进行乘法运算,得到控制面在该参数统计项下的加权运行参数;对控制面在每个参数统计项下的加权运行参数进行累加,得到网络设备的控制面的目标运行参数。其中,每个参数统计项对应的加权系数之和为1,且每个参数统计项对应的加权系数可以基于实际情况进行设置,本实施例对此不做具体限定。
在一实施例中,确定目标运行参数的方式可以为:将任一候选运行参数确定为网络设备的控制面的目标运行参数。或者,确定最大的候选运行参数,并将最大的候选运行参数确定为网络设备的控制面的目标运行参数。或者,确定最小的候选运行参数,并将最小的候选运行参数确定为网络设备的控制面的目标运行参数。或者,根据网络设备的控制面在每个参数统计项下的候选运行参数,确定平均运行参数,并将该平均运行参数确定为网络设备的控制面的目标运行参数。
示例性的,参数统计项包括CPU利用率、内存占用率、报文读取速率和丢包数中的至少一项,若参数统计项为CPU利用率、内存占用率、报文读取速率或丢包数,则基于PID控制算法,根据CPU利用率、内存占用率、报文读取速率或丢包数的取值和历史取值,确定网络设备的控制面的第一候选运行参数、第二候选运行参数、第三候选运行参数或第四候选运行参数;将第一候选运行参数、第二候选运行参数、第三候选运行参数或第四候选运行参数确定为目标运行参数。其中,第一候选运行参数与CPU利用率这个参数统计项匹配、第二候选运行参数与内存占用率这个参数统计项匹配、第三候选运行参数与报文读取速率这个参数统计项匹配、第四候选运行参数与丢包数这个参数统计项匹配。
示例性的,若参数统计项包括CPU利用率和内存占用率,则获取第一加权系数和第二加权系数,将第一候选运行参数与第一加权系数做乘法运算,得到第一加权运行参数,将第二候选运行参数与第二加权系数做乘法运算,得到第二加权运行参数;对第一加权运行参数和第二加权运行参数进行累加,得到网络设备的控制面的目标运行参数。其中,该第一加权系数和第二加权系数可以根据实际情况进行设置,本申请对此不做具体限定。通过对候选运行参数进行加权运行,能够得到更加准确的目标运行参数。
示例性的,参数统计项包括CPU利用率、内存占用率和报文读取速率,则获取第一加权系数、第二加权系数和第三加权系数;将第一候选运行参数与第一加权系数做乘法运算,得到第一加权运行参数,将第二候选运行参数与第二加权系数做乘法运算,得到第二加权运行参数,将第三候选运行参数与第三加权系数做乘法运算,得到第三加权运行参数,将第一加权运行参数、第二加权运行参数和第三加权运行参数进行累加,得到网络设备的控制面的目标运行参数。其中,该第一加权系数、第二加权系数和第三加权系数可以根据实际情况进行设置,本申请对此不做具体限定。通过对多个候选运行参数进行加权运行,能够得到更加准确的目标运行参数。
示例性的,若参数统计项包括CPU利用率、内存占用率、报文读取速率和丢包数,则获取第一加权系数、第二加权系数、第三加权系数和第四加权系数;将第一候选运行参数与第一加权系数做乘法运算,得到第一加权运行参数,将第二候选运行参数与第二加权系数做乘法运算,得到第二加权运行参数,将第三候选运行参数与第三加权系数做乘法运算,得到第三加权运行参数,将第四候选运行参数与第四加权系数做乘法运算,得到第四加权运行参数;对第一加权运行参数、第二加权运行参数、第三加权运行参数和第四加权运行参数进行累加,得到网络设备的控制面的目标运行参数。可以理解的是,上述参数统计项的具体参数仅是示例性的,参数统计项的具体参数还可以为CPU利用率、内存占用率、报文读取速率和丢包数中各项的组合,本实施例对此不做具体限定。
步骤S103、根据所述目标运行参数,控制所述网络设备的控制面运行,以使所述网络设备安全运行。
在得到目标运行参数之后,通过通信通道将目标运行参数下发给网络设备中的网络操作系统,网络操作系统根据目标运行参数,控制网络设备的控制面运行,以使网络设备安全运行。
示例性的,目标运行参数包括目标报文接收速率,该目标报文接收速率为每秒1000个,获取到端口当前的报文接收速率为每秒1500个,则将端口接收报文的速率每秒降低500个,以每秒1000个的报文接收速率进行报文的获取。
上述实施例中提供的安全防御方法,通过通信通道从网络操作系统中获取影响网络设备的控制面输入的运行统计数据;若运行统计数据满足预设的运行参数调整条件,则能够确定网络设备的运行存在安全隐患,然后根据运行统计数据,能够确定所述网络设备的控制面的目标运行参数;根据目标运行参数,控制网络设备的控制面运行,能够消除网络设备运行过程中的安全隐患,使得网络设备的信息传输更加安全。
请参照图3,图3为本发明实施例提供的另一种安全防御方法的流程示意图。
如图3所示,所述安全防御方法包括步骤S201至步骤S204。
步骤S201、通过所述通信通道从所述网络操作系统中获取影响所述网络设备的控制面输入的运行统计数据。
示例性的,网络操作系统获取影响网络设备的控制面输入的运行统计数据,网络操作系统通过通信通道将该运行统计数据传输给安全防御装置,以使安全防御装置得到影响网络设备的控制面输入的运行统计数据。其中,该运行统计数据包括CPU利用率和/或内存占用率。通过网络操作系统能够准确的采集到网络设备运行过程中影响控制面输入的运行统计数据。
步骤S202、根据所述运行统计数据,确定所述网络设备的控制面是否存在外部攻击风险。
运行统计数据包括CPU利用率和/或内存占用率,CPU利用率大于或等于预设的CPU利用率阈值和/或内存占用率大于或等于预设的内存占用率阈值,则确定网络设备的控制面存在外部攻击风险,其中,预设的CPU利用率阈值和内存占用率阈值可以根据实际情况进行设置,本实施例对此不做具体限定。例如,该预设的CPU利用率阈值可以设置为90%,内存占用率阈值可以设置为90%。
步骤S203、若所述网络设备的控制面存在外部攻击风险,则根据所述运行统计数据,确定所述网络设备的控制面的目标防御策略。
在一实施例中,确定预设的多个攻击识别规则中是否存在与运行统计数据匹配的攻击识别规则;若存在与运行统计数据匹配的攻击识别规则,则将与匹配的攻击识别规则对应的预设防御策略确定为目标防御策略。其中,攻击识别规则包括物理接口攻击规则、接口vlan攻击规则和DDOS攻击规则。通过攻击识别规则,可以找预设的防御策略,将预设的防御策略作为目标防御策略,极大地提高了网络设备的安全性。
该预设防御策略可以根据实际情况进行设置,本实施例对此不做具体限定,例如,预设防御策略包括:将至少一个接口的收包速率降低为预设收包速率、关闭物理接口、拦截或丢弃攻击次数最多的报文、在预设时长内限制包括源MAC地址黑名单中的源MAC地址的报文接入控制面、在预设时长内限制包括源IP地址黑名单中的源IP地址的报文接入控制面、拦截或丢弃包括源MAC地址黑名单中的源MAC地址的报文、拦截或丢弃包括源IP地址黑名单中的源IP地址的报文。
在一实施例中,确定预设的多个攻击识别规则中是否存在与运行统计数据匹配的攻击识别规则的方式可以为:获取每个攻击识别规则对应的攻击数据特征,并根据每个攻击识别规则对应的攻击数据特征,确定运行统计数据中是否存在与运行统计数据匹配的攻击识别规则。示例性的,若运行统计数据中存在与至少一个攻击数据特征对应的攻击数据,则可以确定运行统计数据中存在与运行统计数据匹配的攻击识别规则,若运行统计数据中不存在与攻击数据特征对应的攻击数据,则可以确定运行统计数据中不存在与运行统计数据匹配的攻击识别规则。
在一实施例中,根据运行统计数据,确定存在攻击嫌疑的外部接入业务,并获取外部接入业务的报文数据;根据报文数据确定外部接入业务的攻击类型,并将攻击类型对应的预设防御策略确定为目标防御策略。通过外部接入业务的攻击类型,将攻击类型对应的预设防御策略作为目标防御策略,提高了网络设备防御攻击的能力。
示例性的,根据报文数据确定外部接入业务的攻击类型的方式可以为:根据报文数据,确定每个报文类型的收包速率,根据收包速率对报文类型进行排序,得到报文类型队列,从报文类型队列选取收包速率最高的报文类型作为攻击类型。
示例性的,将攻击类型对应的预设防御策略确定为目标防御策略的方式可以为:获取攻击类型与防御策略之间的映射关系表,从该映射关系表中查询出攻击类型对应的预设防御策略,并将该预设防御策略作为目标防御策略。其中,攻击类型与防御策略之间的映射关系表可以根据实际情况进行建立,本实施例对此不做具体限定,通过该映射关系表能够准确的确定目标防御策略。
步骤S204、通过所述通信通道将所述目标防御策略下发给所述网络设备中的网络操作系统,以供所述网络操作系统执行所述目标防御策略。
在确定目标防御策略之后,通过该通信通道将该目标防御策略下发给网络设备中的网络操作系统,网络操作系统执行该目标防御策略。通过将目标防御策略发送给网络操作系统,网络操作系统执行该目标防御策略,以使网络设备不受攻击,提高了网络设备的安全性。
示例性的,若目标防御策略为丢弃包括源MAC地址黑名单中的源MAC地址的报文,则网络操作系统在获取到报文时,确定该报文中的源MAC地址是否位于源MAC地址黑名单;若该报文中的源MAC地址位于源MAC地址黑名单,则丢弃该报文。示例性的,若目标防御策略为丢弃包括源IP地址黑名单中的源IP地址的报文,则网络操作系统在获取到报文时,确定该报文中的源IP地址是否位于源IP地址黑名单;若该报文中的源IP地址位于源IP地址黑名单,则丢弃该报文。示例性的,若目标防御策略为将目标接口的收包速率降低为预设收包速率,则网络操作系统将目标接口的收包速率降低为预设收包速率。
在一实施例中,若网络设备的控制面存在外部攻击风险,则根据运行统计数据,获取存在攻击嫌疑的外部接入业务的报文数据;根据报文数据,生成网络安全日志,并将网络安全日志发送给服务器。通过将攻击嫌疑的报文数据生成网络安全日志,并将网络安全日志发送给服务器,服务器根据网络安全日志做出对应的预警。其中,预警可以根据实际情况进行设置,本实施例对此不做具体限定,例如,该预警可以是播报网络设备受攻击的语音。通过将网络安全日志发送给服务器,以使服务器做出对应的预警,提高了信息传输的安全性。
需要说明的是,通过通信通道将网络安全日志发送给网络操作系统,网络操作系统将网络安全日志发送给服务器。当然,安全防御装置也可以直接将网络安全日志发送给服务器,以使服务器根据网络安全日志做出对应的安全预警。
上述实施例所述的安全防御方法,根据运行统计数据,确定网络设备的控制面是否存在外部攻击风险;若网络设备的控制面存在外部攻击风险,则根据运行统计数据,确定网络设备的控制面的目标防御策略;通过通信通道将目标防御策略下发给网络设备中的网络操作系统,以供网络操作系统执行所述目标防御策略。当存在外部攻击风险时,根据运行统计数据,能够准确的确定目标防御策略,将目标防御策略发给网络操作系统,以使网络操作系统执行该目标防御策略,极大地提高了网络设备的安全性。
请参阅图4,图4为本发明实施例提供的一种安全防御装置的结构示意性框图。
如图4所示,安全防御装置300包括处理器301和存储器302,处理器301和存储器302通过总线303连接,该总线比如为I2C(Inter-integrated Circuit)总线。
具体地,处理器301用于提供计算和控制能力,支撑整个安全防御装置的运行。处理器301可以是中央处理单元(Central Processing Unit,CPU),该处理器301还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
具体地,存储器302可以是Flash芯片、只读存储器(ROM,Read-Only Memory)磁盘、光盘、U盘或移动硬盘等。
本领域技术人员可以理解,图4中示出的结构,仅仅是与本发明方案相关的部分结构的框图,并不构成对本发明方案所应用于其上的网络设备的限定,具体的安全防御装置可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
其中,所述处理器用于运行存储在存储器中的计算机程序,并在执行所述计算机程序时实现本发明实施例提供的任意一种所述的安全防御方法。
在一实施方式中,所述处理器用于运行存储在存储器中的计算机程序,并在执行所述计算机程序时实现如下步骤:所述安全防御装置与网络设备中的网络操作系统之间建立有通信通道,所述方法包括:
通过所述通信通道从所述网络操作系统中获取影响所述网络设备的控制面输入的运行统计数据;
若所述运行统计数据满足预设的运行参数调整条件,则根据所述运行统计数据,确定所述网络设备的控制面的目标运行参数;
根据所述目标运行参数,控制所述网络设备的控制面运行,以使所述网络设备安全运行。
在一实施例中,所述处理器还用于实现:
所述运行统计数据包括CPU利用率和/或内存占用率,所述运行参数调整条件包括所述CPU利用率大于或等于预设的CPU利用率阈值和/或所述内存占用率大于或等于预设的内存占用率阈值。
在一实施例中,所述处理器在实现所述目标运行参数包括目标报文接收速率和/或目标报文通过数量,所述根据所述运行统计数据,确定所述网络设备的控制面的目标运行参数时,用于实现:
获取历史运行统计数据,其中,所述历史运行统计数据是在上一时刻获取到的运行统计数据;
基于PID控制算法,根据所述运行统计数据和所述历史运行统计数据,确定所述网络设备的控制面的目标运行参数。
在一实施例中,所述处理器在实现所述运行统计数据包括至少一个参数统计项的取值,所述历史运行统计数据包括至少一个参数统计项的历史取值,所述参数统计项包括以下至少一种:CPU利用率、内存占用率、报文读取速率和丢包数;
所述基于PID控制算法,根据所述运行统计数据和所述历史运行统计数据,确定所述网络设备的控制面的目标运行参数时,用于实现:
基于PID控制算法,根据所述参数统计项的取值和所述历史取值,确定所述网络设备的控制面在所述参数统计项下的候选运行参数;
根据所述网络设备的控制面在每个所述参数统计项下的候选运行参数,确定所述网络设备的控制面的目标运行参数。
在一实施例中,所述处理器在实现所述根据所述目标运行参数,控制所述网络设备的控制面运行时,用于实现:
通过所述通信通道将所述目标运行参数下发给所述网络设备中的网络操作系统,以供所述网络操作系统根据所述目标运行参数,控制所述网络设备的控制面运行。
在一实施例中,所述处理器还用于实现:
根据所述运行统计数据,确定所述网络设备的控制面是否存在外部攻击风险;
若所述网络设备的控制面存在外部攻击风险,则根据所述运行统计数据,确定所述网络设备的控制面的目标防御策略;
通过所述通信通道将所述目标防御策略下发给所述网络设备中的网络操作系统,以供所述网络操作系统执行所述目标防御策略。
在一实施例中,所述处理器在实现所述根据所述运行统计数据,确定所述网络设备的控制面的目标防御策略时,用于实现:
确定预设的多个攻击识别规则中是否存在与所述运行统计数据匹配的攻击识别规则;
若存在与所述运行统计数据匹配的攻击识别规则,则将与所述匹配的攻击识别规则对应的预设防御策略确定为目标防御策略;
或者,
根据所述运行统计数据,获取存在攻击嫌疑的外部接入业务的报文数据;
根据所述报文数据确定所述外部接入业务的攻击类型,并将所述攻击类型对应的预设防御策略确定为目标防御策略。
在一实施例中,所述处理器还用于实现:
若所述网络设备的控制面存在外部攻击风险,则根据所述运行统计数据,获取存在攻击嫌疑的外部接入业务的报文数据;
根据所述报文数据,生成网络安全日志,并将所述网络安全日志发送给服务器。
在一实施例中,所述处理器在实现所述将所述网络安全日志发送给服务器时,用于实现:
通过所述通信通道将所述网络安全日志发送给所述网络操作系统,以供所述网络操作系统将所述网络安全日志发送给服务器。
需要说明的是,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的安全防御装置的具体工作过程,可以参考前述安全防御方法实施例中的对应过程,在此不再赘述。
请参阅图5,图5为本发明实施例提供的一种网络设备的结构示意性框图。
如图5所示,网络设备400包括网络操作系统401和安全防御装置402,所述网络操作系统401与所述安全防御装置402之间建立有通信通道。其中,安全防御装置402可以为如图4所示的安全防御装置300。
需要说明的是,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的网络设备的具体工作过程,可以参考前述安全防御方法实施例中的对应过程,在此不再赘述。
本发明实施例还提供一种存储介质,用于计算机可读存储,所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如本发明说明书提供的任一项安全防御的方法的步骤。
其中,所述存储介质可以是前述实施例所述的网络设备的内部存储单元,例如所述网络设备的硬盘或内存。所述存储介质也可以是所述网络设备的外部存储设备,例如所述网络设备上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)等。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
应当理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (12)

1.一种安全防御方法,其特征在于,应用于安全防御装置,所述安全防御装置与网络设备中的网络操作系统之间建立有通信通道,所述方法包括:
通过所述通信通道从所述网络操作系统中获取影响所述网络设备的控制面输入的运行统计数据;
若所述运行统计数据满足预设的运行参数调整条件,则根据所述运行统计数据,确定所述网络设备的控制面的目标运行参数;
根据所述目标运行参数,控制所述网络设备的控制面运行,以使所述网络设备安全运行。
2.根据权利要求1所述的安全防御方法,其特征在于,所述运行统计数据包括CPU利用率和/或内存占用率,所述运行参数调整条件包括所述CPU利用率大于或等于预设的CPU利用率阈值和/或所述内存占用率大于或等于预设的内存占用率阈值。
3.根据权利要求1所述的安全防御方法,其特征在于,所述目标运行参数包括目标报文接收速率和/或目标报文通过数量,所述根据所述运行统计数据,确定所述网络设备的控制面的目标运行参数,包括:
获取历史运行统计数据,其中,所述历史运行统计数据是在上一时刻获取到的运行统计数据;
基于PID控制算法,根据所述运行统计数据和所述历史运行统计数据,确定所述网络设备的控制面的目标运行参数。
4.根据权利要求3所述的安全防御方法,其特征在于,所述运行统计数据包括至少一个参数统计项的取值,所述历史运行统计数据包括至少一个参数统计项的历史取值,所述参数统计项包括以下至少一种:CPU利用率、内存占用率、报文读取速率和丢包数;
所述基于PID控制算法,根据所述运行统计数据和所述历史运行统计数据,确定所述网络设备的控制面的目标运行参数,包括:
基于PID控制算法,根据所述参数统计项的取值和所述历史取值,确定所述网络设备的控制面在所述参数统计项下的候选运行参数;
根据所述网络设备的控制面在每个所述参数统计项下的候选运行参数,确定所述网络设备的控制面的目标运行参数。
5.根据权利要求1所述的安全防御方法,其特征在于,所述根据所述目标运行参数,控制所述网络设备的控制面运行,包括:
通过所述通信通道将所述目标运行参数下发给所述网络设备中的网络操作系统,以供所述网络操作系统根据所述目标运行参数,控制所述网络设备的控制面运行。
6.根据权利要求1-5中任一项所述的安全防御方法,其特征在于,所述方法还包括:
根据所述运行统计数据,确定所述网络设备的控制面是否存在外部攻击风险;
若所述网络设备的控制面存在外部攻击风险,则根据所述运行统计数据,确定所述网络设备的控制面的目标防御策略;
通过所述通信通道将所述目标防御策略下发给所述网络设备中的网络操作系统,以供所述网络操作系统执行所述目标防御策略。
7.根据权利要求6所述的安全防御方法,其特征在于,所述根据所述运行统计数据,确定所述网络设备的控制面的目标防御策略,包括:
确定预设的多个攻击识别规则中是否存在与所述运行统计数据匹配的攻击识别规则;
若存在与所述运行统计数据匹配的攻击识别规则,则将与所述匹配的攻击识别规则对应的预设防御策略确定为目标防御策略;
或者
根据所述运行统计数据,获取存在攻击嫌疑的外部接入业务的报文数据;
根据所述报文数据确定所述外部接入业务的攻击类型,并将所述攻击类型对应的预设防御策略确定为目标防御策略。
8.根据权利要求6所述的安全防御方法,其特征在于,所述方法还包括:
若所述网络设备的控制面存在外部攻击风险,则根据所述运行统计数据,获取存在攻击嫌疑的外部接入业务的报文数据;
根据所述报文数据,生成网络安全日志,并将所述网络安全日志发送给服务器。
9.根据权利要求8所述的安全防御方法,其特征在于,所述将所述网络安全日志发送给服务器,包括:
通过所述通信通道将所述网络安全日志发送给所述网络操作系统,以供所述网络操作系统将所述网络安全日志发送给服务器。
10.一种安全防御装置,其特征在于,所述安全防御装置与网络设备中的网络操作系统之间建立有通信通道,所述安全防御装置包括处理器、存储器、存储在所述存储器上并可被所述处理器执行的计算机程序以及用于实现所述处理器和所述存储器之间的连接通信的数据总线,其中所述计算机程序被所述处理器执行时,实现如权利要求1至9中任一项所述的安全防御方法的步骤。
11.一种网络设备,其特征在于,所述网络设备包括:网络操作系统和如权利要求10所述的安全防御装置,所述网络操作系统与所述安全防御装置之间建立有通信通道。
12.一种存储介质,用于计算机可读存储,其特征在于,所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现权利要求1至9中任一项所述的安全防御方法的步骤。
CN202110721168.1A 2021-06-28 2021-06-28 安全防御方法、装置、设备及存储介质 Pending CN115603922A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202110721168.1A CN115603922A (zh) 2021-06-28 2021-06-28 安全防御方法、装置、设备及存储介质
PCT/CN2022/098234 WO2023273843A1 (zh) 2021-06-28 2022-06-10 安全防御方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110721168.1A CN115603922A (zh) 2021-06-28 2021-06-28 安全防御方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN115603922A true CN115603922A (zh) 2023-01-13

Family

ID=84690038

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110721168.1A Pending CN115603922A (zh) 2021-06-28 2021-06-28 安全防御方法、装置、设备及存储介质

Country Status (2)

Country Link
CN (1) CN115603922A (zh)
WO (1) WO2023273843A1 (zh)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8856797B1 (en) * 2011-10-05 2014-10-07 Amazon Technologies, Inc. Reactive auto-scaling of capacity
CN103812750B (zh) * 2014-02-21 2020-04-21 上海斐讯数据通信技术有限公司 数据通信设备cpu收发报文保护系统及方法
CN104506531B (zh) * 2014-12-19 2018-05-01 上海斐讯数据通信技术有限公司 针对流量攻击的安全防御系统及方法
CN106161333B (zh) * 2015-03-24 2021-01-15 华为技术有限公司 基于sdn的ddos攻击防护方法、装置及系统
CN111092840B (zh) * 2018-10-23 2022-06-21 中兴通讯股份有限公司 处理策略的生成方法、系统及存储介质
CN112152964A (zh) * 2019-06-26 2020-12-29 中兴通讯股份有限公司 网络攻击防御方法、装置、接收设备及计算机存储介质

Also Published As

Publication number Publication date
WO2023273843A1 (zh) 2023-01-05

Similar Documents

Publication Publication Date Title
EP3226508B1 (en) Attack packet processing method, apparatus, and system
EP3449600B1 (en) A data driven intent based networking approach using a light weight distributed sdn controller for delivering intelligent consumer experiences
US10708146B2 (en) Data driven intent based networking approach using a light weight distributed SDN controller for delivering intelligent consumer experience
US20190132360A1 (en) Honeynet method, system and computer program for mitigating link flooding attacks of software defined network
US20190230118A1 (en) Ddos attack defense method, system, and related device
EP3399723B1 (en) Performing upper layer inspection of a flow based on a sampling rate
EP1788752A1 (en) Network node with control plane processor overload protection
CN108737447B (zh) 用户数据报协议流量过滤方法、装置、服务器及存储介质
CN111092840B (zh) 处理策略的生成方法、系统及存储介质
US10313238B2 (en) Communication system, communication method, and non-transitiory computer readable medium storing program
CN110278152B (zh) 一种建立快速转发表的方法及装置
CN110944016A (zh) DDoS攻击检测方法、装置、网络设备及存储介质
CN113992403A (zh) 访问限速拦截方法及装置、防御服务器和可读存储介质
CN110995586B (zh) 一种bgp报文的处理方法、装置、电子设备及存储介质
CN107483360B (zh) 业务流调度方法及装置
US11153217B1 (en) Systems and methods for policing network traffic rates
CN115603922A (zh) 安全防御方法、装置、设备及存储介质
CN107395554B (zh) 流量攻击的防御处理方法及装置
CN109981656B (zh) 一种基于cdn节点日志的cc防护方法
CN113037691A (zh) 报文处理方法、装置及系统
EP2204953A1 (en) Method, apparatus and system for realizing dynamic correlation of control plane traffic rate
CN113821410A (zh) 一种日志处理方法和装置
CN110445703B (zh) 环路报文拦截方法、转发设备及控制器
CN114448903A (zh) 一种报文处理方法、装置和通信设备
CN109067621A (zh) 设备监控方法、装置及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination