一种攻击报文检测和防范的方法及交换机与流程
本发明涉及数据通信技术领域,具体而言,涉及一种攻击报文检测和防范的方法及交换机。
背景技术:
随着网络用户数量的增加和对业务多样性要求的提高,交换机接入安全的问题日益突出。交换机上的攻击检测,主要依靠交换机的中央处理器(CPU)和交换芯片来完成。交换机上记录攻击检测并对攻击报文进行防范,首先需要把所有的报文交由交换机的CPU,以抓取报文的特征。然后通过交换机的CPU分析报文和统计来输出日志信息以及记录到日志服务器。该方法对交换机的CPU造成了严重负担。其次,该方法并没有对攻击报文做统一的策略处理,只是记录了日志。此外,交换机上的另一种攻击检测方法是借助交换芯片的特性来统计攻击报文的个数并反馈给用户。该方法只是让用户知道了攻击报文的来源及攻击的强度,并没有制定相关策略对攻击源进行处理。
技术实现要素:
本发明提供了一种攻击报文检测和防范的方法及交换机,旨在提高对攻击报文进行检测的准确性以及进行防范的可靠性。
第一方面,本发明实施例提供的一种攻击报文检测和防范的方法,所述方法包括:
配置用于匹配攻击报文的访问控制列表ACL规则,并在所述ACL规则中设置统计标记以及报文计数器的初始值;其中,所述统计标记用于标识对与所述ACL规则相匹配的攻击报文进行统计,所述报文计数器用于保存与所述ACL规则相匹配的攻击报文的统计值;
下发所述ACL规则到交换芯片的硬件表项中;
依据所述统计标记,对接收到的与所述ACL规则相匹配的攻击报文进行统计并保存到所述报文计数器中;
按照设定周期时间,读取所述报文计数器的当前统计值并保存,根据所述报文计数器的当前统计值计算设定周期时间所述攻击报文的攻击强度,根据该攻击强度下发攻击报文的处理策略。
优选地,所述根据所述报文计数器的当前统计值计算设定周期时间所述攻击报文的攻击强度的步骤,具体方法包括:
根据所述报文计数器的当前统计值,与保存的所述报文计数器的历史统计值进行差值计算,根据计算结果得出设定周期时间内与所述ACL规则相匹配的攻击报文的强度。
优选地,所述得出设定周期时间内与所述ACL规则相匹配的攻击报文的强度,根据该攻击强度下发攻击报文的处理策略,具体方法包括:
当所述设定周期时间内的攻击报文的计算结果小于等于第一预设数量时,下发将所述攻击报文的特征信息记录到本地日志并丢弃该攻击报文的处理策略。
优选地,所述得出设定周期时间内与所述ACL规则相匹配的攻击报文的强度,根据该攻击强度下发攻击报文的处理策略,具体方法包括:
当所述设定周期时间内的攻击报文的计算结果小于等于第二预设数量且大于所述第一预设数量时,下发将所述攻击报文的特征信息上传至日志服务器进行记录并丢弃该攻击报文的处理策略。
优选地,所述得出设定周期时间内与所述ACL规则相匹配的攻击报文的强度,根据该攻击强度下发攻击报文的处理策略,具体方法包括:
当所述设定周期内的攻击报文的计算结果大于所述第二预设数量时,下发将所述攻击报文的特征信息上传至日志服务器进行记录、丢弃该攻击报文并关闭该攻击报文对应的接收端口的处理策略。
第二方面,本发明实施例提供的一种交换机,包括主控处理模块和报文转发模块,其中:
所述主控处理模块,用于配置用于匹配攻击报文的访问控制列表ACL规则,并在所述ACL规则中设置统计标记以及报文计数器的初始值;其中,所述统计标记用于标识对与所述ACL规则相匹配的攻击报文进行统计,所述报文计数器用于保存与所述ACL规则相匹配的攻击报文的统计值;下发所述ACL规则到报文转发模块的交换芯片的硬件表项中;
所述报文转发模块,用于依据ACL规则中设置的统计标记,对接收到的与所述ACL规则相匹配的攻击报文进行统计并保存到所述报文计数器中;
所述主控处理模块,还用于按照设定周期时间,读取所述报文计数器的当前统计值并保存,根据所述报文计数器的当前统计值计算设定周期时间所述攻击报文的攻击强度,根据该攻击强度下发攻击报文的处理策略。
优选地,所述主控处理模块,具体用于根据所述报文计数器的当前统计值,与保存的所述报文计数器的历史统计值进行差值计算,得出设定周期时间内与所述ACL规则相匹配的攻击报文的强度。
优选地,所述主控处理模块,具体用于当所述设定周期时间内的攻击报文的计数结果小于等于第一预设数量时,下发将所述攻击报文的特征信息记录到本地日志并丢弃该攻击报文的处理策略。
优选地,所述主控处理模块,具体用于:
当所述设定周期时间内的攻击报文的计算结果小于等于第一预设数量时,下发将所述攻击报文的特征信息记录到本地日志并丢弃该攻击报文的处理策略。
优选地,所述主控处理模块,具体用于:
当所述设定周期内的攻击报文的计算结果大于所述第二预设数量时,下发将所述攻击报文的特征信息上传至日志服务器进行记录、丢弃该攻击报文并关闭该攻击报文对应的接收端口的处理策略。
本发明实施例提供的一种攻击报文检测和防范的方法及交换机,借助统计标记对与所述ACL规则相匹配的攻击报文进行统计以及通过报文计数器保存与所述ACL规则相匹配的攻击报文的统计值,并按照设定周期时间读取所述报文计数器的当前统计值并保存,根据所述报文计数器的当前统计值计算设定周期时间所述攻击报文的攻击强度,根据该攻击强度下发攻击报文的处理策略,从而能够提高对攻击报文进行检测的准确性以及进行防范的可靠性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应该看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1是本发明实施方式提供的一种交换机的功能模块框图。
图2是本发明实施方式提供的一种攻击报文检测和防范的方法的流程图。
图3是本发明实施方式提供的一种应用于图2的CPU队列号与速率的映射关系图。
图中标记分别为:
交换机100;主控处理模块101;报文转发模块102。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
如图1所示,是所述交换机100的功能模块框图。所述交换机100可以包括主控处理模块101和报文转发模块102,所述主控处理模块101连接于所述报文转发模块102,以使所述主控处理模块101和所述报文转发模块102之间可进行数据通信或信令交互。对于分布式交换机设备来说,主控处理模块101位于主控卡(MPU)上,报文转发模块102位于线卡(LPU)。
其中,所述主控处理模块101用于配置用于匹配攻击报文的访问控制列表ACL规则,并在所述ACL规则中设置统计标记以及报文计数器的初始值。
本实施例中,所述交换机100包括可进行规则配置的访问控制列表(Access Control List,ACL),以对攻击报文进行匹配。在所述ACL规则中设置有统计标记和报文计数器的初始值。详细地,对用于匹配攻击报文的ACL规则进行配置,以对与所述ACL规则相匹配的攻击报文进行统计、检测和防范。所述配置包括对所述统计标记和报文计数器的初始值进行设置。其中,所述统计标记用于标识对与所述ACL规则相匹配的攻击报文进行统计。所述报文计数器用于对与所述ACL规则相匹配的攻击报文的统计值进行保存。所述统计标记和所述报文计数器设置在ACL规则表项中。该ACL规则可根据用户需要进行配置。
所述报文转发模块102用于依据ACL规则中设置的统计标记,对接收到的与所述ACL规则相匹配的攻击报文进行统计并保存到所述报文计数器中。
本实施例中,所述报文转发模块102在接收到攻击报文时,对与所述ACL规则相匹配的攻击报文的合法性进行检测,依据所述统计标记,检测出攻击报文并对该攻击报文进行计数,并将计数结果保存于报文计数器中。
所述主控处理模块101,还用于按照设定周期时间,读取所述报文计数器的当前统计值并保存,根据所述报文计数器的当前统计值计算设定周期时间所述攻击报文的攻击强度,根据该攻击强度下发攻击报文的处理策略。
其中,所述主控处理模块101根据所述设定周期时间定期读取所述报文计数器的当前统计值并保存,根据所述报文计数器的当前统计值计算设定周期时间所述攻击报文的攻击强度,根据该攻击强度下发攻击报文的处理策略。
进一步地,所述攻击报文的攻击强度按照所述设定周期时间内的攻击报文的计数结果进行分级。所述分级可以包括一级强度、二级强度和三级强度,级别越高,攻击强度越大。本实施例中,所述报文转发模块102读取所述报文计数器的当前统计值后,根据历史统计值进行差值计算。并分析计算结果得出该攻击报文在设定周期时间内与所述ACL规则相匹配的攻击报文的强度。其中,所述攻击报文的强度可以是每秒钟攻击报文的个数。所述分级可以根据所述攻击强度进行分级,还可以根据攻击报文交由CPU队列的缺省值来设置。
其中,在所述攻击报文交由CPU队列的缺省值来设置时,三个级别分别取CPU队列缺省值的预设比例。例如,所述一级强度取所述CPU队列缺省值的25%,所述二级强度取所述CPU队列缺省值的50%,所述三级强度取所述CPU队列缺省值的100%。不同CPU队列缺省值如图3所示。当攻击报文从0队列交由CPU时,则一级强度为50PPS,二级强度为100PPS,三级强度为200PPS。
本实施例中,在所述设定周期内当攻击报文的计数结果小于或等于第一预设数量(如50)时,则判断所述攻击报文的攻击强度为一级强度。然后所述报文转发模块102向所述报文转发模块102下发与一级强度对应的处理策略。所述处理策略可以为将所述攻击报文的特征信息记录到本地日志,并丢弃该攻击报文。
当攻击报文的计数结果小于或等于第二预设数量且大于所述第一预设数量时,则判断所述攻击报文的攻击强度为二级强度。然后所述报文转发模块102向所述报文转发模块102下发处理策略。所述处理策略可以为将所述攻击报文的特征信息上传至日志服务器进行记录,并丢弃该攻击报文。
当所述攻击报文的计数结果大于所述第二预设数量时,则判断所述攻击报文的攻击强度为三级强度。然后所述报文转发模块102向所述报文转发模块102下发与该三级强度对应的处理策略。所述处理策略为将所述攻击报文的特征信息上传至日志服务器进行记录,并丢弃该攻击报文以及关闭该攻击报文对应的接收端口。应当理解,在其它实施例中,所述强度分级也可以是其它任何可行的方法,例如在其他实施方式中,所述强度分级也可以只包含所述一级强度和二级强度,或者也可以包括更多级别的强度。
如图2所示,是本发明实施方式提供的一种攻击报文检测和防范的方法的流程图。该方法包括以下步骤。
步骤S101:配置用于匹配攻击报文的访问控制列表ACL规则,并在所述ACL规则中设置统计标记以及报文计数器的初始值。
其中,所述交换机100包括可进行规则配置的访问控制列表(Access Control List,ACL),以匹配攻击报文。所述ACL规则中设置有统计标记和报文计数器的初始值。本实施例中,首先对用于匹配攻击报文的ACL规则进行配置,以对与所述ACL规则相匹配的攻击报文进行统计、检测和防范。详细地,所述配置包括对所述统计标记和报文计数器的初始值进行设置。其中,所述统计标记用于标识对与所述ACL规则相匹配的攻击报文进行统计。所述报文计数器用于对与所述ACL规则相匹配的攻击报文的统计值进行保存。
步骤S102:下发所述ACL规则到交换芯片的硬件表项中。
其中,所述主控处理模块101下发所述ACL规则到所述报文转发模块102交换芯片的硬件表项中。
步骤S103:依据所述统计标记,对接收到的与所述ACL规则相匹配的攻击报文进行统计并保存到所述报文计数器中。
本实施例中,所述报文转发模块102在接收到攻击报文时,对与所述ACL规则相匹配的攻击报文的合法性进行检测,依据所述统计标记,从而检测出攻击报文并进行计数,并将计数结果保存于报文计数器中。
步骤S104:按照设定周期时间,读取所述报文计数器的当前统计值并保存,根据所述报文计数器的当前统计值计算设定周期时间所述攻击报文的攻击强度,根据该攻击强度下发攻击报文的处理策略。
其中,所述主控处理模块101根据所述设定周期时间定期读取所述报文计数器的当前统计值并保存,根据所述报文计数器的当前统计值计算设定周期时间所述攻击报文的攻击强度,根据该攻击强度下发攻击报文的处理策略。
进一步地,所述攻击报文的攻击强度按照所述设定周期时间内的攻击报文的计数结果进行分级。所述分级可以包括一级强度、二级强度和三级强度,级别越高,攻击强度越大。本实施例中,所述报文转发模块102读取所述报文计数器的当前统计值后,根据历史统计值进行差值计算。并分解计算结果得出该攻击报文在设定周期时间内与所述ACL规则相匹配的攻击报文的强度。其中,所述攻击报文的强度可以是每秒钟攻击报文的个数。所述分级可以根据所述攻击强度进行分级,还可以根据攻击报文交由CPU队列的缺省值来设置。
其中,在所述攻击报文交由CPU队列的缺省值来设置时,三个级别分别取CPU队列缺省值的预设比例。例如,所述一级强度取所述CPU队列缺省值的25%,所述二级强度取所述CPU队列缺省值的50%,所述三级强度取所述CPU队列缺省值的100%。不同CPU队列缺省值如图3所示。当攻击报文从0队列交由CPU时,则一级强度为50PPS,二级强度为100PPS,三级强度为200PPS。
本实施例中,在所述设定周期内当攻击报文的计数结果小于或等于第一预设数量(如50)时,则判断所述攻击报文的攻击强度为一级强度。然后所述报文转发模块102向所述报文转发模块102下发与一级强度对应的处理策略。所述处理策略可以为将所述攻击报文的特征信息记录到本地日志,并丢弃该攻击报文。
当攻击报文的计数结果小于或等于第二预设数量且大于所述第一预设数量时,则判断所述攻击报文的攻击强度为二级强度。然后所述报文转发模块102向所述报文转发模块102下发处理策略。所述处理策略可以为将所述攻击报文的特征信息上传至日志服务器进行记录,并丢弃该攻击报文。
当所述攻击报文的计数结果大于所述第二预设数量时,则判断所述攻击报文的攻击强度为三级强度。然后所述报文转发模块102向所述报文转发模块102下发与该三级强度对应的处理策略。所述处理策略为将所述攻击报文的特征信息上传至日志服务器进行记录,并丢弃该攻击报文以及关闭该攻击报文对应的接收端口。应当理解,在其它实施例中,所述强度分级也可以是其它任何可行的方法,例如在其他实施方式中,所述强度分级也可以只包含所述一级强度和二级强度,或者也可以包括更多级别的强度。
本发明实施例提供的一种攻击报文检测和防范的方法及交换机,借助统计标记对与所述ACL规则相匹配的攻击报文进行统计以及通过报文计数器保存与所述ACL规则相匹配的攻击报文的统计值,并按照设定周期时间读取所述报文计数器的当前统计值并保存,根据所述报文计数器的当前统计值计算设定周期时间所述攻击报文的攻击强度,根据该攻击强度下发攻击报文的处理策略,从而能够提高对攻击报文进行检测的准确性以及进行防范的可靠性。
需要说明的是,在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
- 还没有人留言评论。精彩留言会获得点赞!