技術(shù)特征：
1.一種通信設(shè)備控制平面保護(hù)裝置，其特征在于，包括配置模塊、決策模塊、檢測模塊和執(zhí)行模塊，配置模塊，用于提供用戶配置接口，實(shí)現(xiàn)檢測策略和處理策略的配置，將配置的檢測策略和處理策略發(fā)送至決策模塊；決策模塊，用于根據(jù)來自配置模塊的檢測策略生成檢測命令并發(fā)送至檢測模塊；根據(jù)來自檢測模塊的異常檢測結(jié)果完成決策，并根據(jù)來自配置模塊的處理策略，生成處理命令并發(fā)送至執(zhí)行模塊；檢測模塊，根據(jù)檢測命令對(duì)需要上交到控制平面處理的報(bào)文進(jìn)行檢測，并將異常檢測結(jié)果通知到?jīng)Q策模塊；執(zhí)行模塊，根據(jù)決策模塊的處理命令執(zhí)行相應(yīng)的處理，并將執(zhí)行結(jié)果發(fā)送至決策模塊；所述配置模塊配置的檢測策略包括：對(duì)來自同一接收接口的需上交到控制平面處理的同一源IP地址和/或同一源MAC地址的報(bào)文個(gè)數(shù)進(jìn)行檢測的檢測策略；和/或?qū)碜酝唤邮战涌诘男枭辖坏娇刂破矫嫣幚淼膱?bào)文的不同的源IP地址和/或源MAC地址的個(gè)數(shù)進(jìn)行檢測的檢測策略；和/或?qū)碜酝唤邮战涌诘男枭辖坏娇刂破矫嫣幚淼幕谔囟ㄔ碔P地址和/或目的IP地址和/或源MAC地址的報(bào)文免檢測的檢測策略。2.根據(jù)權(quán)利要求1所述的裝置，其特征在于，所述配置模塊配置的處理策略包括：檢測模塊上報(bào)的異常檢測結(jié)果為來自同一接收接口的上交到控制平面處理的同一源IP地址和/或源MAC地址的報(bào)文數(shù)超過設(shè)定的閾值時(shí)，針對(duì)所述源IP地址和/或源MAC配置訪問控制列表進(jìn)行過濾或者限速；和/或，檢測模塊上報(bào)的異常檢測結(jié)果為來自同一接收接口的上交到控制平面處理的不同的源IP地址和/或源MAC地址的個(gè)數(shù)超過限制時(shí)，設(shè)置關(guān)閉該接收接口。3.根據(jù)權(quán)利要求1所述的裝置，其特征在于，所述檢測模塊包括：收發(fā)單元，用于接收決策模塊下發(fā)的檢測命令；以及將檢測器上報(bào)的異常檢測結(jié)果發(fā)送至決策模塊；檢測器管理單元，用于檢測器管理，在收發(fā)單元接收到開啟檢測的檢測命令時(shí)，查找是否存在該檢測命令對(duì)應(yīng)的檢測器，如果存在，則利用該檢測命令攜帶的配置參數(shù)更新該檢測器，如果沒有，則根據(jù)該檢測命令攜帶的配置參數(shù)新建一檢測器；在收發(fā)單元接收到取消檢測的檢測命令時(shí)，查找對(duì)應(yīng)的檢測器，并刪除該檢測器；檢測器，用于來自同一接收接口的需上交到控制平面處理的報(bào)文按免檢和/或源MAC地址和/或源IP地址進(jìn)行檢測，將檢測結(jié)果上報(bào)給收發(fā)單元。4.根據(jù)權(quán)利要求3所述的裝置，其特征在于，所述檢測器包括檢測實(shí)體鏈表，所述檢測實(shí)體鏈表包括如下檢測實(shí)體之一或其任意組合：免檢檢測實(shí)體，用于通過訪問控制列表ACL對(duì)報(bào)文進(jìn)行源IP地址和/或目的IP地址和/或源MAC地址匹配，如果匹配，則不再檢測，直接上交控制平面處理該報(bào)文；源MAC地址檢測實(shí)體，用于在存儲(chǔ)源MAC地址的鏈表中，查找是否存在報(bào)文源MAC地址對(duì)應(yīng)的節(jié)點(diǎn)，若是，進(jìn)行同一源MAC地址的報(bào)文個(gè)數(shù)檢查；如果通過該檢查，更新該報(bào)文源MAC地址對(duì)應(yīng)節(jié)點(diǎn)的老化定時(shí)器；否則直接進(jìn)行MAC地址個(gè)數(shù)檢查；如果通過MAC地址個(gè)數(shù)檢查，則在所述鏈表中新增加該源MAC地址對(duì)應(yīng)的節(jié)點(diǎn)，并啟動(dòng)該源MAC地址節(jié)點(diǎn)對(duì)應(yīng)的老化定時(shí)器；源IP地址檢測實(shí)體，用于在存儲(chǔ)源IP地址的鏈表中，查找是否存在報(bào)文源IP地址對(duì)應(yīng)的節(jié)點(diǎn)，若是，進(jìn)行同一源IP地址的報(bào)文個(gè)數(shù)檢查；如果通過該檢查，更新該報(bào)文源IP地址對(duì)應(yīng)節(jié)點(diǎn)的老化定時(shí)器；否則直接進(jìn)行IP地址個(gè)數(shù)檢查；如果通過IP地址個(gè)數(shù)檢查，則在所述鏈表中新增加源IP地址節(jié)點(diǎn)，并啟動(dòng)該源IP地址節(jié)點(diǎn)對(duì)應(yīng)的老化定時(shí)器。5.根據(jù)權(quán)利要求1所述的裝置，其特征在于，所述決策模塊包括：命令生成單元，用于根據(jù)來自配置模塊的檢測策略生成啟動(dòng)檢測的檢測命令 或者取消檢測的檢測命令；用于根據(jù)來自檢測模塊的所述異常檢測結(jié)果攜帶的檢測異常原因，從來自配置模塊的處理策略中查找得到對(duì)應(yīng)的處理策略，生成對(duì)應(yīng)的處理命令；命令發(fā)送單元，用于將命令生成單元生成的啟動(dòng)檢測的檢測命令或取消檢測的檢測命令下發(fā)至檢測模塊；將命令生成單元生成的處理命令發(fā)送至執(zhí)行模塊。6.根據(jù)權(quán)利要求5所述的裝置，其特征在于，所述配置模塊進(jìn)一步用于配置恢復(fù)策略；將配置的恢復(fù)策略通知到?jīng)Q策模塊；所述決策模塊的命令生成單元進(jìn)一步用于根據(jù)來自配置模塊的配置恢復(fù)策略生成對(duì)應(yīng)的恢復(fù)命令；命令發(fā)送單元進(jìn)一步用于將所述恢復(fù)命令發(fā)送至處理模塊。7.一種通信設(shè)備控制平面保護(hù)方法，其特征在于，該方法包括：A、完成檢測策略和處理策略的配置；B、根據(jù)檢測策略生成檢測命令；C、根據(jù)檢測命令對(duì)需上交到控制平面處理的報(bào)文進(jìn)行檢測，如檢測通過，則控制平面對(duì)該報(bào)文進(jìn)行處理，結(jié)束本流程；否則得到異常檢測結(jié)果；D、根據(jù)用戶配置的處理策略對(duì)異常檢測結(jié)果進(jìn)行處理，并生成相應(yīng)的處理命令；E、執(zhí)行所述處理命令，并上報(bào)處理結(jié)果；所述步驟A包括：配置對(duì)來自同一接收接口的需上交到控制平面處理的同一源IP地址和/或同一源MAC地址的報(bào)文個(gè)數(shù)進(jìn)行檢測的檢測策略；和/或配置對(duì)來自同一接收接口的需上交到控制平面處理的報(bào)文的源IP地址和/或源MAC地址的個(gè)數(shù)進(jìn)行檢測的檢測策略；和/或配置對(duì)來自同一接收接口的需上交到控制平面處理的基于特定源IP地址和/或目的IP地址和/或源MAC地址的報(bào)文免檢測的檢測策略。8.根據(jù)權(quán)利要求7所述的方法，其特征在于，所述處理策略包括：檢 測模塊上報(bào)的異常檢測結(jié)果為來自同一接收接口的上交到控制平面處理的同一源IP地址和/或源MAC地址的報(bào)文數(shù)超過設(shè)定的閾值時(shí)，針對(duì)所述源IP地址和/或源MAC配置訪問控制列表進(jìn)行過濾或者限速；和/或，檢測模塊上報(bào)的異常檢測結(jié)果為來自同一接收接口的上交到控制平面處理的不同的源IP地址和/或源MAC地址的個(gè)數(shù)超過限制時(shí)，設(shè)置關(guān)閉該接收接口。9.根據(jù)權(quán)利要求7或8所述的方法，其特征在于，所述步驟C包括：根據(jù)檢測命令查找是否存在該檢測命令對(duì)應(yīng)的檢測器，如果存在，則更新該檢測器，如果沒有，則根據(jù)該檢測命令新建一檢測器；檢測器對(duì)來自同一接收接口的需上交到控制平面處理的報(bào)文按免檢和/或源MAC地址和/或源IP地址進(jìn)行檢測，得到檢測結(jié)果。10.根據(jù)權(quán)利要求9所述的方法，其特征在于，所述檢測器按免檢對(duì)需上交到控制平面處理的報(bào)文進(jìn)行檢測的方法包括：通過訪問控制列表ACL對(duì)報(bào)文進(jìn)行源IP地址和/或目的IP地址和/或源MAC地址匹配，如果匹配，則不再檢測，直接上交控制平面處理該報(bào)文；所述檢測器按源MAC地址對(duì)對(duì)需上交到控制平面處理的報(bào)文進(jìn)行檢測的方法包括：用于在存儲(chǔ)源MAC地址的鏈表中，查找是否存在報(bào)文源MAC地址對(duì)應(yīng)的節(jié)點(diǎn)，若是，進(jìn)行同一源MAC地址的報(bào)文個(gè)數(shù)檢查；如果通過該檢查，更新該報(bào)文源MAC地址對(duì)應(yīng)節(jié)點(diǎn)的老化定時(shí)器；否則直接進(jìn)行MAC地址個(gè)數(shù)檢查；如果通過MAC地址個(gè)數(shù)檢查，則在所述鏈表中新增加該源MAC地址對(duì)應(yīng)的節(jié)點(diǎn)，并啟動(dòng)該源MAC地址節(jié)點(diǎn)對(duì)應(yīng)的老化定時(shí)器；所述檢測器按源IP地址對(duì)對(duì)需上交到控制平面處理的報(bào)文進(jìn)行檢測的方法包括：在存儲(chǔ)源IP地址的鏈表中，查找是否存在報(bào)文源IP地址對(duì)應(yīng)的節(jié)點(diǎn)，若是，進(jìn)行同一源IP地址的報(bào)文個(gè)數(shù)檢查；如果通過該檢查，更新該報(bào)文源IP地址對(duì)應(yīng)節(jié)點(diǎn)的老化定時(shí)器；否則直接進(jìn)行IP地址個(gè)數(shù)檢查；如果通過IP地址個(gè)數(shù)檢查，則在所述鏈表中新增加源IP地址節(jié)點(diǎn)，并啟動(dòng)該源IP地址節(jié)點(diǎn)對(duì)應(yīng)的老化定時(shí)器。