[发明专利]一种数据通信设备CPU前端动态防护方法及系统

权利要求书

1.一种数据通信设备CPU前端动态防护方法，其特征在于：包括：

步骤S1、在数据通信设备系统中创建实时监测上送CPU报文的任务，实时对上送到CPU的报文周期性循环采样,将采样值存储于一级流表，基于数据包的特征对一级流表的采样值进行识别、筛选，形成二级流表；

步骤S2、基于二级流表，对报文个数进行统计，获得每条流在时间周期内的平均速率V；

步骤S3、将平均速率与该类型流相对应的预设速率阈值进行比较，当平均速率超过预设的速率阈值时，识别为攻击源，实现攻击源识别；

步骤S4、对攻击源采用防护策略，通过向与CPU相连接的交换芯片端口下发配置命令，实现在CPU的前端对攻击报文进行防护处理。

2.根据权利要求1所述的一种数据通信设备CPU前端动态防护方法，其特征在于：

步骤S5、计算交换芯片对应端口的报文速率，将该报文速度与步骤S3中的预设速率阈值进行比较，超过阈值时，继续执行步骤S4，防护继续生效；未超过阈值时，恢复防护，继续执行步骤S1-S3。

3.根据权利要求1或2所述的一种数据通信设备CPU前端动态防护方法，其特征在于：所述步骤S1中的报文周期性循环采样的具体方法为：

一个周期T内取100条流记录到一级流表，超过100条的流将被丢弃不作统计，完成二级流表筛选后，删除本次采样的一级流表，进行下一次采集，在采集周期结束前重复以上采样。

4.根据权利要求1或2所述的一种数据通信设备CPU前端动态防护方法，其特征在于：所述每条流在时间周期内的平均速率获得的过程是：对步骤S2中的报文个数统计值C，除以采样周期T，计算出该流上送的速率V＝C/T。

5.根据权利要求1或2所述的一种数据通信设备CPU前端动态防护方法，其特征在于：所述步骤S2中基于数据包的特征对一级流表的采样值进行识别、筛选的方法为：将一级流表的报文根据源MAC、源IP、Protocol任选与端口号组合形成关键字进行筛选，统计出二级流表。

6.根据权利要求1或2所述的一种数据通信设备CPU前端动态防护方法，其特征在于：所述二级流表，是基于一级流表的采样数据来建立，可以建立三张不同的二级流表，分别如下1)～3)：

1)per-mac：以源MAC确定一张源MAC二级流表，以定位来自某个源MAC的攻击行为；

2)per-ip：以源IP确定一张源IP二级流表，以定位某个源IP的攻击行为；

3)protocol：以protocol为关键字确定一张协议二级流表，以定位某类协议报文的攻击行为。

7.根据权利要求2所述的一种数据通信设备CPU前端动态防护方法，其特征在于：所述步骤S5中恢复防护的时间周期设置为5s。

8.根据权利要求1或2所述的一种数据通信设备CPU前端动态防护方法，其特征在于：在防护策略生效的时间内，CPU通过读取交换芯片端口的Meter计数，综合评判攻击行为是否在继续进行，如果攻击排除，则自动撤销防护策略，否则继续执行防护策略或者降低防护策略等级；

所述防护策略包括限速或者隔离。

9.根据权利要求1或2所述的一种数据通信设备CPU前端动态防护方法，其特征在于：防护策略生效后，记录攻击日志，并可选择是否发送trap告警通知到管理员；具体为：

CPU防护功能初始化时创建防护专用日志存储文件，当探测到攻击源防护策略生效后，将攻击报文信息写入该日志存储文件，包括报文上送的平均速率、端口信息、vlan、源目的IP、协议类型、日志记录时间，由系统统一记录并管理日志，可以选择性的开启trap告警功能，开启后，当检测到攻击源则通过snmp告知设备管理员；

可以选择性的支持日志筛选过滤功能，根据特定参数筛选记录的相关日志，以减少日志信息量便于帮助更快的定位到攻击源。

10.一种数据通信设备CPU前端动态防护系统，其特征在于：包括：交换芯片、及位于CPU报文处理流程前端的CPU防护模块，

所述CPU防护模块，用于通过在数据通信设备系统中创建的实时监测上送CPU报文的任务，实时对上送到CPU的报文周期性循环采样,将采样值存储于一级流表，基于数据包的特征对一级流表的采样值进行识别、筛选，形成二级流表；基于二级流表，对报文个数进行统计，获得每条流在时间周期内的平均速率V；将平均速率与该类型流相对应的预设速率阈值进行比较，当平均速率超过预设的速率阈值时，识别为攻击源，实现攻击源识别；对攻击源采用防护策略，通过向与CPU相连接的交换芯片端口下发配置命令，实现在CPU的前端对攻击报文进行防护处理；

所述交换芯片，用于接收所述CPU防护模块下发的配置命令，实现在CPU的前端对攻击报文进行防护处理。