[发明专利]一种交换机的中央处理器防攻击的方法、装置、设备及存储介质

权利要求书

1.一种交换机的中央处理器CPU防攻击的方法，其特征在于，包括：

获取交换芯片所上传的协议报文集合中所包含的攻击报文以及所述攻击报文的属性信息，其中，所述属性信息中至少包含攻击报文的协议类型和接收所述攻击报文的源端口对应的源端口号；

根据所述攻击报文的协议类型和所述源端口号向所述交换芯片发送拦截指令，以使所述交换芯片根据所述拦截指令丢弃从所述源端口接收的所述协议类型的攻击报文。

2.根据权利要求1所述的方法，其特征在于，所述根据所述攻击报文的协议类型和所述源端口号向所述交换芯片发送拦截指令，以使所述交换芯片根据所述拦截指令丢弃从所述源端口接收的所述协议类型的攻击报文，包括：

根据所述攻击报文的协议类型和所述源端口号向所述交换芯片发送拦截指令，其中，所述拦截指令包括内容匹配引擎CAP规则修改指令或CAP规则创建指令；

以使所述交换芯片根据所述拦截指令修改或创建CAP规则，并根据所述CAP规则丢弃从所述源端口接收的所述协议类型的攻击报文，其中，所述CAP规则中包括协议类型、源端口号和处理动作。

3.根据权利要求2所述的方法，其特征在于，每一条所述CAP规则用于为一种协议类型的报文建立与交换机多个源端口号的匹配关系，在所述CAP规则中，如果所述源端口号的标识位有效，则表示所述协议类型的报文在通过所述源端口接收到时，采用所述CAP规则中所包含的处理动作处理所述协议类型的报文，如果所述源端口号的标识位无效，则表示所述协议类型的报文在通过所述源端口接收到时，不采用所述CAP规则中所包含的处理动作处理所述协议类型的报文；

或者，每一条所述CAP规则用于为一种协议类型的报文建立与交换机一个源端口号的匹配关系，并且所述CAP规则表示，所述协议类型的报文在通过所述源端口接收到时，采用所述CAP规则中所包含的处理动作处理所述协议类型的报文。

4.根据权利要求3所述的方法，其特征在于，所述获取交换芯片所上传的协议报文集合中所包含的攻击报文以及所述攻击报文的属性信息之前，还包括：

向所述交换芯片下发每个预设类型的协议报文所对应的CAP规则，以使所述交换芯片根据每个预设类型的协议报文所对应的CAP规则对所述预设类型的协议报文进行上报，并获得所述协议报文集合；

所述根据所述攻击报文的协议类型和所述源端口号向所述交换芯片发送拦截指令，包括：

向所述交换芯片发送拦截指令，其中，所述拦截指令包括攻击报文的协议类型和接收所述攻击报文的源端口对应的源端口号；

以使所述交换芯片根据所述拦截指令确定所述攻击报文所对应的CAP规则，并将所述CAP规则中接收所述攻击报文的源端口对应的源端口号的标识位修改为无效，其中，所述CAP规则中所包含的处理动作为上送CPU。

5.根据权利要求3所述的方法，其特征在于，所述根据所述攻击报文的协议类型和所述源端口号向所述交换芯片发送拦截指令，包括：

根据所述攻击报文的协议类型判断是否存在针对所述攻击报文的历史CAP规则；

若是，则向所述交换芯片发送拦截指令，其中，所述拦截指令包括攻击报文的协议类型和接收所述攻击报文的源端口对应的源端口号；以使所述交换芯片根据所述拦截指令将所述历史CAP规则中接收所述攻击报文的源端口对应的源端口号的标识位修改为有效；

否则，向所述交换芯片发送拦截指令，以使所述交换芯片根据所述拦截指令建立初始CAP规则，其中，所述初始CAP规则中包括接收所述攻击报文的源端口对应的源端口号的标识位为有效的，剩余源端口号的标识位为无效的；

其中，所述历史CAP规则或所述初始CAP规则中所包含的处理动作为丢弃。

6.根据权利要求4所述的方法，其特征在于，所述根据所述攻击报文的协议类型和所述源端口号向所述交换芯片发送拦截指令之后，还包括：

在确定所述攻击报文为正常报文时，向所述交换芯片发送针对所述攻击报文所对应的CAP规则的恢复指令，以使所述交换芯片根据所述恢复指令将接收所述攻击报文的源端口对应的源端口号的标识位修改为有效。