[发明专利]一种路由交换设备内生安全动态防护功能的处理方法

权利要求书

1.一种路由交换设备内生安全动态防护功能的处理方法，其特征在于，依靠路由交换设备内部的交换芯片与多核处理器实现安全防护，安全防护包括：对报文2-7层内容进行检测和识别，根据分类结果实施精细化安全控制策略；交换芯片针对报文2-4层完成报文过滤和攻击防御功能；多核处理器针对报文3-7层内容进行检测，完成深度安全防御检测，并向交换芯片主动下发安全控制策略，最终由交换芯片执行完成内生安全防护功能，所述内生安全防护功能包括报文过滤及控制策略、入侵检测防御策略和访问限制策略；

所述报文过滤及控制策略包括以下步骤：

步骤11：报文进入交换芯片，判断报文过滤策略是否使能，若未使能则进行步骤12操作；若使能则进行步骤13操作；

步骤12：交换芯片进入转发处理直至结束；

步骤13：交换芯片针对报文4层及以下内容进行基于五元组匹配，若失败则进入转发处理直至结束，否则进行步骤14操作；

步骤14：交换芯片执行安全控制策略，直至结束；

所述入侵检测防御策略包括：通过分析、比对网络流量特征识别出攻击行为，并通过响应方式对其进行实时中止；所述入侵检测防御策略包括以下步骤：

步骤21：交换芯片接收报文，针对报文4层及以下内容进行基于五元组匹配，若失败则进行步骤23操作，否则进行步骤22操作；

步骤22：交换芯片执行安全控制策略，直至结束；

步骤23：交换芯片判断是否使能所述入侵检测防御策略，若使能则进行步骤24操作，否则进入转发处理直至结束；

步骤24：交换芯片将报文交由多核处理器处理；

步骤25：多核处理器并行工作，针对报文3-7层数据内容与攻击报文特征库进行比对，若匹配成功则进行步骤26操作，否则进入转发处理直至结束；

步骤26：多核处理器针对报文向交换芯片主动下发相关匹配条件及安全控制策略，并将报文交由交换芯片处理，进行步骤21操作。

2.根据权利要求1所述的一种路由交换设备内生安全动态防护功能的处理方法，其特征在于，交换芯片与多核处理器采用PCIe总线连接，实现协议报文交互、交换芯片配置下发功能；交换芯片前面板业务端口数目、内部业务端口数目与多核处理器内部端口数目一致，一一对应，内部业务端口采用Serdes总线连接，实现业务报文的交互；多核处理器中控制平面与数据平面相互独立，实现设备管理与报文处理的高效并行运作。

3.根据权利要求1所述的一种路由交换设备内生安全动态防护功能的处理方法，其特征在于，交换芯片针对报文2-4层完成包括ACL基于五元组的过滤及控制、防DoS攻击和防CPU攻击的功能；多核处理器并行工作，针对报文3-7层内容完成自动识别和分类，报文属性与安全策略条件匹配后向交换芯片主动下发安全控制策略，交换芯片执行包括转发、丢弃和限速的安全防护功能。

4.根据权利要求3所述的一种路由交换设备内生安全动态防护功能的处理方法，其特征在于，所述报文过滤及控制策略包括：通过匹配ACL条件结合安全控制策略对报文实施过滤及控制；过滤策略主要基于报包中五元组和报文传递的方向信息，所述五元组包括IP层协议号、源/目的IP地址、源/目的端口号；安全控制策略主要包括转发、限速和丢弃。

5.根据权利要求1所述的一种路由交换设备内生安全动态防护功能的处理方法，其特征在于，步骤25中，所述攻击报文特征库以单条规则为单位构建而成；首先解析规则并按不同报文类型建立规则树，将报文与规则树进行匹配，若发现存在某条规则与该报文匹配，则表示发现入侵攻击；若未匹配的成功，则表示此报文正常。

6.根据权利要求5所述的一种路由交换设备内生安全动态防护功能的处理方法，其特征在于，报文与规则树进行匹配时，采用Boyer-Moore算法作为特征库匹配算法，处理过程包括：设文本串为T，模式串为P；先将T与P进行左对齐，然后按照从右到左的顺序进行匹配，若是某一趟不匹配时，则通过优先计算坏字符跳转值以及好后缀跳转值，取其二者中的较大跳转长度k作为模式串向右移动的距离，直到整个匹配过程的结束。