本发明涉及网络安全,具体而言,涉及一种控制平面保护方法、装置、交换设备及存储介质。
背景技术:
1、随着芯片等技术的发展,以及网络带宽需求的迅速增长,交换设备转发处理能力得到了极大的提升。近10年来,网络带宽经历了10m到100g的万倍跨越,转发平面的处理能力急剧提升。交换设备的控制平面是运行在cpu(central processing unit,中央处理器)上,软件处理能力的增长有限。超宽带时代终端与网元之间的通道得到极大增强,极易出现基于流量泛洪等方式的拒绝服务攻击。
2、现有技术大多是通过copp(control-plane protect,控制平面保护)机制,通过管理员手动配置一些规则来限制或过滤掉部分报文。但是手工配置缺乏灵活性和安全性,不能更好地保护控制平面。
技术实现思路
1、本发明的目的包括,例如,提供了一种控制平面保护方法、装置、交换设备及存储介质,其能够至少部分解决上述技术问题。
2、本发明的实施例可以这样实现:
3、第一方面,本发明实施例提供了一种控制平面保护方法,应用于交换设备,所述交换设备包括控制平面以及转发平面,所述转发平面用于接收报文,并将判定为不能处理的目标报文发送给所述控制平面处理;所述方法包括:
4、获取所述控制平面的使用率以及所述目标报文的流量大小;
5、判断所述使用率是否达到预设使用率阈值,以及判断所述流量大小是否达到预设流量阈值;
6、若所述使用率达到所述预设使用率阈值,且所述流量大小达到所述预设流量阈值,则对所述目标报文进行可信度计算,判断所述目标报文所对应的节点是否为可信节点;
7、若否,则基于预设策略对所述节点进行限制。
8、可选地,对所述目标报文进行可信度计算,判断所述目标报文所对应的节点是否为可信节点,包括:
9、解析所述目标报文,获取所述目标报文的多个目标特征;
10、每间隔预设间隔时长,对多个所述目标特征进行一次所述可信度计算,得到可信度,直至所述流量大小低于所述预设流量阈值;
11、基于预设可信值计算公式,根据多个所述可信度,计算得到所述目标的可信值;
12、判断所述可信值是否处于预设可信值范围内,若是,则判定所述目标报文所对应的节点为所述可信节点。
13、可选地,所述可信值计算公式为:
14、
15、其中,p为所述可信值,f(n)为所述可信度,m为所述可信度的计算次数。
16、可选地,所述方法还包括:
17、对多个所述目标特征赋予不同权重值;
18、根据每个所述目标特征的权重进行所述可信度计算。
19、可选地,所述方法还包括:
20、判断所述目标报文对应的节点是否在预设白名单内;
21、若是,则不对所述目标报文进行可信度计算;
22、若否,则对所述目标报文进行可信度计算,判断所述目标报文所对应的节点是否为可信节点。
23、可选地,所述基于预设策略对所述节点进行限制,包括:
24、控制所述节点上传报文的速率为预设速率,并对所述节点超过所述预设速率上传的报文进行丢弃处理;
25、或,将所述节点添加至预设黑名单,并拒绝所述节点上传的所有报文。
26、可选地,在所述基于预设策略对所述节点进行限制之后,所述方法还包括:
27、记录对所述节点上传的报文的限制处理;
28、生成处理日志,并存储所述处理日志。
29、第二方面,本发明实施例提供了一种控制平面保护装置,应用于交换设备,所述交换设备包括控制平面以及转发平面,所述转发平面用于接收报文,并将判定为不能处理的目标报文发送给所述控制平面处理;所述控制平面保护装置包括:
30、数据获取单元,用于获取所述控制平面的使用率以及所述目标报文的流量大小;
31、判断单元,用于判断所述使用率是否达到预设使用率阈值,以及判断所述流量大小是否达到预设流量阈值;
32、可信度计算单元,用于在所述使用率达到所述预设使用率阈值,且所述流量大小达到所述预设流量阈值时,对所述目标报文进行可信度计算,判断所述目标报文所对应的节点是否为可信节点;
33、节点限制单元,用于在所述目标报文所对应的节点是否为可信节点时,基于预设策略对所述节点进行限制。
34、第三方面,本发明实施例提供了一种交换设备,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任一项所述方法的步骤。
35、第四方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质包括计算机程序,所述计算机程序运行时控制所述计算机可读存储介质所在服务器实现上述任一项所述方法的步骤。
36、本发明实施例的有益效果包括,例如:
37、通过对控制平面的使用率以及目标报文的流量大小进行监测,在达到一定条件时,对目标报文进行可信度计算,并基于预设策略对未通过可信度计算的目标报文所对应的节点进行限制。自动地对转发平面上传至控制平面的报文进行处理,从而更好地保护了控制平面,更加灵活且安全。
1.一种控制平面保护方法,其特征在于,应用于交换设备,所述交换设备包括控制平面以及转发平面,所述转发平面用于接收报文,并将判定为不能处理的目标报文发送给所述控制平面处理;所述方法包括:
2.如权利要求1所述的控制平面保护方法,其特征在于,所述对所述目标报文进行可信度计算,判断所述目标报文所对应的节点是否为可信节点,包括:
3.如权利要求2所述的控制平面保护方法,其特征在于,所述可信值计算公式为:
4.如权利要求2所述的控制平面保护方法,其特征在于,所述方法还包括:
5.如权利要求2所述的控制平面保护方法,其特征在于,所述方法还包括:
6.如权利要求1所述的控制平面保护方法,其特征在于,所述基于预设策略对所述节点进行限制,包括:
7.如权利要求1所述的控制平面保护方法,其特征在于,在所述基于预设策略对所述节点进行限制之后,所述方法还包括:
8.一种控制平面保护装置,其特征在于,应用于交换设备,所述交换设备包括控制平面以及转发平面,所述转发平面用于接收报文,并将判定为不能处理的目标报文发送给所述控制平面处理;所述控制平面保护装置包括:
9.一种交换设备,其特征在于,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现权利要求1~7任一项所述方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括计算机程序,所述计算机程序运行时控制所述计算机可读存储介质所在服务器实现权利要求1~7任一项所述方法的步骤。