技術領域

本發明涉及計算機科學技術領域，特別涉及一種支持實時策略加載的流量過濾防攻擊方法與系統。

背景技術

流量過濾防攻擊主要檢測網絡流量中隱藏的非法攻擊流量，并在不影響正常業務的前提下清洗掉異常流量。由于網絡攻擊種類和方式日益多樣化，因此流量過濾設備需要在多種防御策略之間進行切換。

現有技術對多種防御策略之間進行切換處理多采用rwlock（read?write?lock，讀寫鎖）等方式，以保護臨界區資源。流量過濾系統存在同時執行多個策略以及對策略實時進行修正（例如增加策略或刪除策略）等操作的可能性，因此需要使用讀寫鎖機制對策略實體進行保護。rwlock支持多讀者對臨界資源進行讀取，但只支持一個寫者對臨界資源進行修改。同時讀寫操作也是互斥的。即當有讀者讀取臨界資源時，寫者的請求將被阻塞，直至所有讀者釋放資源；當有寫者修改臨界資源時，讀者的請求也將被阻塞。

策略的執行可以理解為讀操作，策略的修改可以理解為寫操作，按上述規則，當策略正在執行時，策略修改的指令將被阻塞，直至所有策略執行完畢。當策略修改的指令正在執行時，策略執行的操作也將被阻塞。

綜上所述，現有多種防御策略之間進行切換的技術的缺點如下:

(一)、策略執行前需要確保沒有策略修改操作，從而導致引入的互斥機制降低了系統效率。

(二)、策略修改與策略執行使用臨界資源的同一份拷貝，因此策略修改操作時無法進行策略執行，從而造成對業務的有損操作。

尤其在SMP（Symmetric?Multiprocessing，多路處理器）等架構類型的系統上，rwlock巨大的同步開銷影響了系統性能和實時性。

發明內容

本發明旨在至少解決現有技術中存在的技術問題之一。為此，本發明的一個目的在于提出一種支持實時策略加載的流量過濾防攻擊方法,采用RCU鏈表的方式存儲過濾策略，解決了策略執行與修改的同步問題，大大提高了執行效率，使得過濾策略無縫更新，保證策略修改的實時性同時增強了系統對網絡流量保護的力度和準確度。

本發明的第二個目的在于提出一種支持實時策略加載的流量過濾防攻擊系統。

為達到上述目的，本發明第一方面的實施例提出了一種支持實時策略加載的流量過濾防攻擊方法，用于流量過濾的多個過濾策略以RCU鏈表形式存儲，所述方法包括如下步驟：當檢測到需要對所述多個過濾策略中的一個進行修改時，訪問所述RCU鏈表；通過所述RCU鏈表獲取待修改過濾策略的副本，并對所述待修改過濾策略的副本進行修改；在完成對所述待修改策略的副本的修改且所有讀操作完成后，將修改后所述待修改策略的副本替換所述RCU鏈表中所述待修改策略以對所述待修改策略進行修改。

根據本發明實施例的支持實時策略加載的流量過濾防攻擊方法采用RCU鏈表的方式存儲過濾策略，讀操作無需獲取鎖，執行多過濾策略時不會存在同步問題，提升了執行效率；寫操作在備份節點上進行操作，修改完畢在所有讀操作完成后使用備份副本替換RCU鏈表中待修改策略節點，不會對讀操作進行阻塞處理，因此讀寫操作不會被頻繁中斷或阻塞，從而實現過濾策略的無縫更新，增強了系統對網絡流量保護的力度和準確度。本方法解決了策略執行與修改的同步問題，保證策略修改的實時性同時大大提高了系統的執行效率。

在本發明的一個實施例中，所述RCU鏈表包括多個節點，每個節點對應一個所述過濾策略。每個節點對應一個所述過濾策略，因此當過濾策略被執行時，首先遍歷RCU鏈表以進行查找，而RCU鏈表對讀者無鎖，因此執行多過濾策略時不會存在同步問題，提升了執行效率；當需要增加或刪除過濾策略時，寫操作首先獲得拷貝副本，完成對副本的修改后，需要等待所有的讀操作完成，才能將副本更新為新的策略鏈表。從而保證不會對正在執行的策略產生影響。而寫操作執行時不會對讀操作進行阻塞處理，因此在寫操作執行的整個過程中讀操作不會被打斷。因此讀寫操作不會被頻繁中斷或阻塞，從而實現過濾策略的無縫更新。

在本發明的一個實施例中，所述將修改后所述待修改策略的副本替換所述RCU鏈表中所述待修改策略，包括如下步驟：利用回調機制將在所述RCU鏈表中指向所述待修改過濾策略重新指向所述待修改過濾策略的副本。

在本發明的一個實施例中，獲取待修改過濾策略的副本及對所述待修改策略的副本進行修改的同時，執行所述多個過濾策略中的其他過濾策略對流量進行過濾處理，大大提高了效率。

在本發明的一個實施例中，還包括如下：當需要執行過濾策略時，遍歷所述RCU鏈表以查找對應的過濾策略。