买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：泉城省实验室

摘要：本发明涉及一种基于可编程数据平面的源地址流量识别和管控方法、装置、设备及介质，属于计算机网络安全领域，包括控制平面与数据平面，控制平面负责根据路由以及源地址认证信息生成源地址认证表项，数据平面负责根据控制平面生成的源地址认证表项对流量进行识别，并根据源地址认证表项的设置对流量进行阻断、降速、上报等操作，实现对恶意源地址流量的阻断和管控：本发明利用现存完善的网络入侵行为检测及捕获等安全防御功能设施，实现对大批量泛洪流量及恶意流量的防御。本发明基于可编程数据平面，提供了能够对端口类型进行更细粒度的划分，能够更加灵活的识别恶意流量，相较于传统数据平面动作灵活度更高、流量识别粒度更细的特点。

主权项：1.一种基于可编程数据平面的源地址流量识别和管控方法，其特征在于，包括如下步骤：1控制平面的源地址认证模块初始化软件黑名单表和软件白名单表；2控制平面的接口模块连接数据平面的接口模块初始化数据平面的接口表、黑名单和白名单；数据平面为可编程数据平面；3控制平面的源地址认证模块读取本地路由表，按照直连路由、静态路由、动态路由协议的度量值依次生成源地址认证表项；4控制平面的源地址认证模块与BGP模块通信，按照BGPSAVNET源前缀以及前缀归属信息生成源地址认证表项；5控制平面的接口模块根据控制平面的源地址认证模块转化生成的源地址认证表项下发至数据平面的接口模块；6数据平面的接口模块将源地址认证表项安装到接口表、黑名单和白名单，数据平面的接口模块进行表项数量统计；7接收到数据包后，数据平面的接口表对数据包边带元数据进行判断，即判断是否为源地址认证接口，并判断接口类型；如果数据包边带元数据为SAV_ALLOW_INTF，即白名单接口，则执行步骤8，如果数据包边带元数据为SAV_BLOCK_INTF，即黑名单接口，则执行步骤9，如果数据包边带元数据为未启动源地址认证接口，则进入转发模块；8数据包进入数据平面的白名单进行白名单匹配，如果命中对应源地址认证表项，则进入转发模块；如果未命中，则按照源地址认证表项设定进行数据平面操作；9数据包进入数据平面的黑名单进行黑名单匹配，如果命中对应源地址认证表项，则按照源地址认证表项设定进行数据平面操作；如果未命中，则进入转发模块；10数据平面的转发模块负责按照目的地址进行转发，并对流量进行监控，对异常流量进行处理；11控制平面的源地址认证模块将异常流量处理结果发送给BGP模块，BGP模块通告给BGPSAVNET邻居。

全文数据：

权利要求：

百度查询： 泉城省实验室 一种基于可编程数据平面的源地址流量识别和管控方法、装置、设备及介质