一种控制平面保护方法、装置、交换设备及存储介质

技术领域

本发明涉及网络安全技术领域，具体而言，涉及一种控制平面保护方法、装置、交换设备及存储介质。

背景技术

随着芯片等技术的发展，以及网络带宽需求的迅速增长，交换设备转发处理能力得到了极大的提升。近10年来，网络带宽经历了10M到100G的万倍跨越，转发平面的处理能力急剧提升。交换设备的控制平面是运行在CPU(Central Processing Unit，中央处理器)上，软件处理能力的增长有限。超宽带时代终端与网元之间的通道得到极大增强，极易出现基于流量泛洪等方式的拒绝服务攻击。

现有技术大多是通过CoPP(Control-Plane Protect，控制平面保护)机制，通过管理员手动配置一些规则来限制或过滤掉部分报文。但是手工配置缺乏灵活性和安全性，不能更好地保护控制平面。

发明内容

本发明的目的包括，例如，提供了一种控制平面保护方法、装置、交换设备及存储介质，其能够至少部分解决上述技术问题。

本发明的实施例可以这样实现：

第一方面，本发明实施例提供了一种控制平面保护方法，应用于交换设备，所述交换设备包括控制平面以及转发平面，所述转发平面用于接收报文，并将判定为不能处理的目标报文发送给所述控制平面处理；所述方法包括：

获取所述控制平面的使用率以及所述目标报文的流量大小；

判断所述使用率是否达到预设使用率阈值，以及判断所述流量大小是否达到预设流量阈值；

若所述使用率达到所述预设使用率阈值，且所述流量大小达到所述预设流量阈值，则对所述目标报文进行可信度计算，判断所述目标报文所对应的节点是否为可信节点；

若否，则基于预设策略对所述节点进行限制。

可选地，对所述目标报文进行可信度计算，判断所述目标报文所对应的节点是否为可信节点，包括：

解析所述目标报文，获取所述目标报文的多个目标特征；

每间隔预设间隔时长，对多个所述目标特征进行一次所述可信度计算，得到可信度，直至所述流量大小低于所述预设流量阈值；

基于预设可信值计算公式，根据多个所述可信度，计算得到所述目标的可信值；

判断所述可信值是否处于预设可信值范围内，若是，则判定所述目标报文所对应的节点为所述可信节点。

可选地，所述可信值计算公式为：

其中，P为所述可信值，f(n)为所述可信度，m为所述可信度的计算次数。

可选地，所述方法还包括：

对多个所述目标特征赋予不同权重值；

根据每个所述目标特征的权重进行所述可信度计算。

可选地，所述方法还包括：

判断所述目标报文对应的节点是否在预设白名单内；

若是，则不对所述目标报文进行可信度计算；

若否，则对所述目标报文进行可信度计算，判断所述目标报文所对应的节点是否为可信节点。

可选地，所述基于预设策略对所述节点进行限制，包括：

控制所述节点上传报文的速率为预设速率，并对所述节点超过所述预设速率上传的报文进行丢弃处理；

或，将所述节点添加至预设黑名单，并拒绝所述节点上传的所有报文。

可选地，在所述基于预设策略对所述节点进行限制之后，所述方法还包括：

记录对所述节点上传的报文的限制处理；

生成处理日志，并存储所述处理日志。

第二方面，本发明实施例提供了一种控制平面保护装置，应用于交换设备，所述交换设备包括控制平面以及转发平面，所述转发平面用于接收报文，并将判定为不能处理的目标报文发送给所述控制平面处理；所述控制平面保护装置包括：

数据获取单元，用于获取所述控制平面的使用率以及所述目标报文的流量大小；

判断单元，用于判断所述使用率是否达到预设使用率阈值，以及判断所述流量大小是否达到预设流量阈值；

可信度计算单元，用于在所述使用率达到所述预设使用率阈值，且所述流量大小达到所述预设流量阈值时，对所述目标报文进行可信度计算，判断所述目标报文所对应的节点是否为可信节点；

节点限制单元，用于在所述目标报文所对应的节点是否为可信节点时，基于预设策略对所述节点进行限制。

第三方面，本发明实施例提供了一种交换设备，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述任一项所述方法的步骤。

第四方面，本发明实施例提供了一种计算机可读存储介质，所述计算机可读存储介质包括计算机程序，所述计算机程序运行时控制所述计算机可读存储介质所在服务器实现上述任一项所述方法的步骤。

本发明实施例的有益效果包括，例如：

通过对控制平面的使用率以及目标报文的流量大小进行监测，在达到一定条件时，对目标报文进行可信度计算，并基于预设策略对未通过可信度计算的目标报文所对应的节点进行限制。自动地对转发平面上传至控制平面的报文进行处理，从而更好地保护了控制平面，更加灵活且安全。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明实施例提供的一种交换设备的内部架构图；

图2为本发明实施例提供的一种交换设备的硬件架构图；

图3为本发明实施例提供的一种控制平面保护方法的步骤流程图；

图4为本发明实施例提供的一种控制平面保护装置的架构图。

图标：100-交换设备；110-存储器；120-处理器；130-通信模块；300-装置；301-数据获取单元；302-判断单元；303-可信度计算单元；304-节点限制单元。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

此外，若出现术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

需要说明的是，在不冲突的情况下，本发明的实施例中的特征可以相互结合。

为了保证交换设备能够正常运行，交换设备内将控制层面和转发层面进行了划分。转发平面用于转发设备上不同接口的各种类型的数据，控制平面用于处理转发平面无法处理的一些特定任务。转发平面相对于控制面来说，其处理能力可以理解为是无限的，转发平面能够轻易的上送海量的报文，因此可能会直接把控制面冲击过载。为了在保证正常业务运行的前提下，防止转发平面上送过多的报文给控制平面，需要对上送的数据进行一定的限制处理。

现有的方案一般有以下两种：

1、管理员手工静态配置一些对应的过滤或限速的规则，通过相应的规则去匹配需要上送CPU处理的相关报文，当报文命中配置的规则后，则对报文做相应的处理。

2、通过Cpu-Traffic技术，对CPU最终收到的报文速率进行限制，对超出设置速率的报文进行丢弃处理，速率的大小值同样也是由管理员手工指定。

如图1所示，为现有的交换设备的架构图。通过上述方案，现有技术的处理方式如下：

(1)当交换设备的端口收到业务报文后，会对报文进行相对应的相应的解码操作，对解码后的报文，通过不同的数据通路将送往转发平面。

(2)当转发平面收到需要处理的数据报文时，会对报文进行对应的解析和分类操作，然后对报文进行进一步的处理，如：包检查、匹配acl、风暴控制、学习、BSR等。对于能完成处理的报文，通过对应的数据通路直接被送往对应的端口被转发走，当在处理时遇到不能处理的报文或需要上送控制平面处理的报文，就会将其送往控制平面处理进行处理。

(3)当交换设备配置了对应的CoPP策略，则会去匹配该策略，匹配命中的报文会被限速或丢弃。

(4)最终被转发平面处理完的报文会通过数据通路上送控制平面，当上送速率大于Cpu-Traffic的限制后，会对超出速率报文进行丢弃，保证最终控制层面收到报文的速率受到控制。

可见，由于是手工配置，因此上述方案在实际情况中处理的灵活性很低，对网络管理员的管理与维护要求很高。另外，手工配置的安全性低，无法对突发流量和恶意攻击的流量做出对应的策略。

基于以上情况，本说明书实施例提供了一种控制平面保护方法、装置、交换设备及存储介质，可有效缓解上述技术问题。

请参考图2，是本申请提供的一种交换设备100的方框示意图，该交换设备100可以为能够进行数据处理的设备，本实施例对此不做限制。交换设备100包括存储器110、处理器120及通信模块130。所述存储器110、处理器120以及通信模块130。各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。

其中，存储器110用于存储程序或者数据。所述存储器110可以是，但不限于，随机存取存储器(Random Access Memory，RAM)，只读存储器(Read Only Memory，ROM)，可编程只读存储器(Programmable Read-Only Memory，PROM)，可擦除只读存储器(ErasableProgrammable Read-Only Memory，EPROM)，电可擦除只读存储器(Electric ErasableProgrammable Read-Only Memory，EEPROM)等。

处理器120用于读/写存储器中存储的数据或程序，并执行相应地功能。

通信模块130用于通过所述网络建立所述服务器与其它通信终端之间的通信连接，并用于通过所述网络收发数据。

应当理解的是，图2所示的结构仅为交换设备100的结构示意图，所述交换设备100还可包括比图2中所示更多或者更少的组件，或者具有与图2所示不同的配置，例如：交换设备100还可以包括CPU(Central Processing Unit，中央处理器)等等。图2中所示的各组件可以采用硬件、软件或其组合实现。该交换设备100可以设置于交换机系统中，也可以作为一个独立的设备设置于交换机与其他设备之间。

对应于上述交换设备，本说明书实施例提供了一种控制平面保护方法，应用于交换设备，所述交换设备包括控制平面以及转发平面，所述转发平面用于接收报文，并将判定为不能处理的目标报文发送给所述控制平面处理；所述方法包括如图3所示的以下步骤：

步骤S110：获取所述控制平面的使用率以及所述目标报文的流量大小。

步骤S120：判断所述使用率是否达到预设使用率阈值，以及判断所述流量大小是否达到预设流量阈值。

步骤S130：若所述使用率达到所述预设使用率阈值，且所述流量大小达到所述预设流量阈值，则对所述目标报文进行可信度计算，判断所述目标报文所对应的节点是否为可信节点。

步骤S140：若否，则基于预设策略对所述节点进行限制。

首先执行步骤S110，获取所述控制平面的使用率以及所述目标报文的流量大小。

目标报文即转发平面在对各个节点发送的报文进行接收后，不能被直接处理、需要上传给控制平面处理的报文，也即转发平面判定为不能处理的报文。控制平面的使用率可以是交换设备的CPU当前的使用比率。

在实际运行中，可以实时监测控制平面的使用率，以及监测转发平面接收到的各个节点上传的目标报文的流量大小。

在监测控制平面的使用率以及目标报文的流量大小时，执行步骤S120，判断所述使用率是否达到预设使用率阈值，以及判断所述流量大小是否达到预设流量阈值。

获取到控制平面的使用率和目标报文的流量大小后，则判断控制平面的使用率是否达到了开发人员预设的使用率阈值，同时判断目标报文的流量大小是否达到了开发人员预设的流量阈值。

举例来说，预设使用率阈值为85％，预设流量阈值为3G，如果获取到的控制平面的使用率大于等于85％，且目标报文的流量大小大于等于3G，则为判定成功，需要对该目标报文进行步骤S130的处理，对所述目标报文进行可信度计算，判断所述目标报文所对应的节点是否为可信节点。

可信度计算可以是获取目标报文的多个特征，然后对多个特征进行特征计算，再对特征计算后得到的各个特征的分值进行归纳求和，最终得到目标报文的可信度。然后再根据目标报文的可信度来判断发送该目标报文的节点是不是可信节点，即判断是不是可以将该节点发送的报文上传至控制平面。

可选地，所述对所述目标报文进行可信度计算，判断所述目标报文所对应的节点是否为可信节点，包括：

解析所述目标报文，获取所述目标报文的多个目标特征。

每间隔预设间隔时长，对多个所述目标特征进行一次所述可信度计算，得到可信度，直至所述流量大小低于所述预设流量阈值。

基于预设可信值计算公式，根据多个所述可信度，计算得到所述目标的可信值。

判断所述可信值是否处于预设可信值范围内，若是，则判定所述目标报文所对应的节点为所述可信节点。

作为一种可选的实施方式，可以在判定为需要进行可信度计算时，先解析目标报文，获得目标报文的IP地址、MAC地址、端口收到的流量、上CPU的报文数量、该类型报文占CPU利用率的比重、报文上送控制平面的类型等一系列的目标特征。根据这些目标特征进行特征计算(也即可信度计算)，得到一个可信度。

为了增加可信度计算的准确性，避免对一些存在突发流量时的正常节点进行限制。可以设置一个预设间隔时长，在每个预设间隔时长后，通过一个预设的可信值计算公式均进行一次可信度计算，将计算得到的多个可信度再进行整合计算得到可信值，再根据可信值的大小来判断该可信值是不是在预设的可信值范围内。如果该可信值在预设的可信值范围内，则判定目标报文对应的节点为可信节点；反之，则判定目标报文对应的节点为不可信节点。

可选地，所述可信值计算公式为：

其中，P为所述可信值，f(n)为所述可信度，m为所述可信度的计算次数。

举例来说，预设间隔时长为3S，预设流量阈值为4G，预设可信值范围为(0，35)。那么，当控制平面的使用率达到预设使用率阈值，且目标报文的流量大小达到4G时，开始进行可信度计算，并每隔3S再进行一次可信度计算。如果该目标报文的流量大小在10S后降低到4G以下，则进行了m＝4次可信度计算，然后再根据上述可信值计算公式，求得可信值。再判断可信值是不是在(0，35)范围内，如果是，则判定该目标报文对应的节点为可信节点；如果可信值超过了(0，35)的范围，则判定该目标报文对应的节点为不可信节点。

可选地，所述方法还包括：

对多个所述目标特征赋予不同权重值。根据每个所述目标特征的权重进行所述可信度计算。

对于可信度计算，可以遵循以下原则进行特征的选取：以流量大小度量的因素相关联，区分特征类之间的重要依据。选取特征重复度低的各个特征，尽量减少特征之间的相关性。特征选择过多不一定效果好，为了提高计算效率和保证计算效果，不选择过多特征。

因此，为了进一步增加可信度判断的准确性，可以给解析出的各个目标特征赋予不同的权重值，再对计算出的每个目标特征的可信度进行加权求和，进而得到每一次计算出的可信度。

可选地，所述方法还包括：

判断所述目标报文对应的节点是否在预设白名单内。若是，则不对所述目标报文进行可信度计算。

若否，则对所述目标报文进行可信度计算，判断所述目标报文所对应的节点是否为可信节点。

同样为了避免正常的节点被机制所屏蔽或限制，可以在进行可信度计算之前，判断目标报文所对应的节点是不是在开发人员预设的白名单内。如果是，则不对该目标报文进行可信度计算的处理，在保证机制限制的准确性的同时，也节约了一部分计算资源。

执行步骤S140，若所述目标报文所对应的节点不为可信节点，则基于预设策略对所述节点进行限制。

当通过可信度计算以及可信值计算后，确定目标报文对应的节点不是可信节点后，可以通过多种预设的策略对该节点进行限制。例如，对该节点的报文上传流量大小进行控制；拒绝该节点的所有报文；限制该节点的报文上传速率等等。从而达到保护控制平面的目的。

作为一种可选的实施方式，所述基于预设策略对所述节点进行限制，包括：

控制所述节点上传报文的速率为预设速率，并对所述节点超过所述预设速率上传的报文进行丢弃处理。

或，将所述节点添加至预设黑名单，并拒绝所述节点上传的所有报文。

限制不可信节点的预设策略，可以是将该节点上传报文的速率限制在预设速率内，如果该节点上传报文的速率高于预设速率，则将超出预设速率部分的报文进行丢弃处理。

限制不可信节点的预设策略还可以是将确定为不可信节点的节点添加到黑名单中，拒绝所有该节点当前或者之后上传的报文。

可选地，在所述基于预设策略对所述节点进行限制之后，所述方法还包括：

记录对所述节点上传的报文的限制处理。生成处理日志，并存储所述处理日志。

为了方便管理员分析突发流量的产生时间和来自于某个节点，为网络优化提供支撑。可以将对不可信节点的各种限制处理记录下来，并生成处理日志存储在交换设备的存储空间中，当管理员需要用到处理日志时，直接从交换设备的存储空间进行调用即可。

基于同一发明构思，如图4所示，本发明说明书实施例提供了一种控制平面保护装置300，应用于交换设备，所述交换设备包括控制平面以及转发平面，所述转发平面用于接收报文，并将判定为不能处理的目标报文发送给所述控制平面处理；控制平面保护装置300包括：

数据获取单元301，用于获取所述控制平面的使用率以及所述目标报文的流量大小。

判断单元302，用于判断所述使用率是否达到预设使用率阈值，以及判断所述流量大小是否达到预设流量阈值。

可信度计算单元303，用于在所述使用率达到所述预设使用率阈值，且所述流量大小达到所述预设流量阈值时，对所述目标报文进行可信度计算，判断所述目标报文所对应的节点是否为可信节点。

节点限制单元304，用于在所述目标报文所对应的节点是否为可信节点时，基于预设策略对所述节点进行限制。

关于上述控制平面保护装置300，其中各个单元的具体功能已经在本说明书提供的控制平面保护方法的实施例中进行了详细描述，此处将不做详细阐述说明。

基于同一发明构思，本发明说明书实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现前文控制平面保护方法的任一方法的步骤。

本发明至少包括以下有益效果：

通过对控制平面的使用率以及目标报文的流量大小进行监测，在达到一定条件时，对目标报文进行可信度计算，并基于预设策略对未通过可信度计算的目标报文所对应的节点进行限制。自动地对转发平面上传至控制平面的报文进行处理，从而更好地保护了控制平面，更加灵活且安全。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。