(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111669420.5 (22)申请日 2021.12.31 (71)申请人 网络通信与安全紫金山实验室 地址 211111 江苏省南京市江宁区秣周东 路9号 (72)发明人 吴唯冉　沈洋　汪硕　黄韬　 (74)专利代理 机构 江苏圣典律师事务所 32 237 专利代理师 苏一帜 (51)Int.Cl. H04L 9/40(2022.01) H04L 49/50(2022.01) H04L 49/60(2022.01) (54)发明名称 基于Nftables的白盒交换机安全防护方法、 装置及存 储介质 (57)摘要 本发明实施例公开了一种基于Nftables的 白盒交换机安全防护方法、 装置及存储介质， 涉 及通信安全技术领域， 能够识别、 阻断针对白盒 交换机操作系统的恶意Flood攻击， 为 白盒交换 机提供实时攻击防御。 本发明包括： 白盒交换机 通过Nftables为本地的INP UT节点注册安全防护 策略， 所述白盒交换机对于接收到的数据， 执行 注册在所述INP UT节点上的安全防护策略， 其中， 所述安全防护策略包括： 黑白名单过滤环节、 Flood保护环节和协议限速环节。 对于通过所述 黑白名单过滤环节并且通过所述Flood保护环节 的数据， 进一 步执行所述协议限速环 节。 权利要求书2页 说明书7页 附图3页 CN 114584338 A 2022.06.03 CN 114584338 A 1.一种基于Nftables的白盒交换机 本机安全防护方法， 其特 征在于， 包括： 白盒交换机通过Nftables为本地的INPUT节点注册安全防护策略， 其中， INPUT节点部 署在网络层， 所述INPUT节点用于将通过所述网络层接收到的数据向应用层的应用程序发 送； 所述白盒交换机对于接收到的数据， 执行注册在所述INPUT节点上的安全防护策略， 其 中， 所述安全防护策略包括： 黑白名单 过滤环节、 Flood保护环 节和协议限速环 节； 对于通过所述黑白名单过滤环节并且通过所述Flood保护环节的数据， 进一步执行所 述协议限速环 节。 2.根据权利要求1所述的方法， 其特 征在于， 在所述 黑白名单 过滤环节中， 包括： 在接收到的数据中， 对于符合 IPv4或者 IPv6的数据， 检测是否匹配黑名单； 若否则检测数据是否匹配白名单放行 策略， 若是则将数据输入所述Fl ood保护环 节。 3.根据权利要求2所述的方法， 其特 征在于， 在所述Fl ood保护环 节中， 包括： 若触发Flood保护开启， 则检测数据是否为TCP连接、 UDP报文或ICMP回显请求报文中的 任意一项， 若否则将数据输入所述协议限速环 节； 若是则检测数据是否匹配Flood允许列表， 若匹配所述Flood允许列表， 则将数据输入 所述协议限速环 节； 若不匹配所述Fl ood允许列表， 则检测数据是否匹配Fl ood拒绝列表； 若数据不匹配所述Flood拒绝列表， 则检测数据发送方的连接速率是否超过Flood保护 配置速率， 若超过则将所述数据发送方更新至所述Flood拒绝列 表； 若不超过则将数据输入 所述协议限速环 节。 4.根据权利要求3所述的方法， 其特征在于， 当检测到数据不匹配所述白名单放行策 略， 或者检测到数据不匹配所述Fl ood拒绝列表时， 丢弃 数据。 5.根据权利要求 4中任意一项所述的方法， 其特 征在于， 在所述协议限速环 节， 包括： 当所述协议 限速开启时， 检测数据发送方的连接速率是否超出限制速率， 若超过则丢 弃超速报文。 6.一种基于Nftables的白盒交换机 本机安全防护装置， 其特 征在于， 包括： 所述装置运行在白盒交换机上， 所述白盒交换机用于通过Nftables为本地的INPUT节 点注册安全防护策略， 其中， INPUT节 点部署在网络层， 所述INPUT节 点用于将通过所述网络 层接收到的数据向应用层的应用程序发送； 所述装置包括： 安全防护策略模块， 用于所述白盒交换机对于接收到的数据， 执行注册在所述INPUT节 点上的安全防护策略； 其中， 对于通过所述黑白名单过滤环节并且通过所述Flood保护环节 的数据， 进一 步执行所述协议限速环 节。 安全防护策略模块包括： 黑白名单 过滤单元、 Flood保护单 元和协议限速单 元。 7.根据权利要求6所述的装置， 其特征在于， 所述黑白名单过滤单元用于在接收到的数 据中， 对于符合IPv4 或者IPv6的数据， 检测是否匹配黑名单； 若否则检测数据是否匹配白名 单放行策略， 若是则将数据输入所述Fl ood保护环 节。 8.根据权利要求7所述的装置， 其特征在于， 所述Flood保护单元， 用于若触发Flood保 护开启， 则检测数据是否为TCP连接、 UDP报文或ICMP回显请求报文中的任意一项， 若否则将 数据输入所述协议限速单 元；权　利　要　求　书 1/2 页 2 CN 114584338 A 2若是则检测数据是否匹配Flood允许列表， 若匹配所述Flood允许列表， 则将数据输入 所述协议限速单 元； 若不匹配所述Fl ood允许列表， 则检测数据是否匹配Fl ood拒绝列表； 若数据不匹配所述Flood拒绝列表， 则检测数据发送方的连接速率是否超过Flood保护 配置速率， 若超过则将所述数据发送方更新至所述Flood拒绝列 表； 若不超过则将数据输入 所述协议限速单 元； 当检测到数据不匹配所述白名单放行策略， 或者检测到数据不匹配所述Flood拒绝列 表时， 丢弃 数据。 9.根据权利要求6至8中任意一项所述的装置， 其特征在于， 所述协议限速单元， 用于当 所述协议限速开启时， 检测数据发送方 的连接速率是否超出限制 速率， 若超过则丢弃超速 报文。 10.一种存储介质， 其特征在于， 存储有计算机程序或指令， 当所述计算机程序或指令 被运行时， 实现如权利要求1至 5中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114584338 A 3