[發(fā)明專利]保護(hù)CPU的大流量攻擊識別方法及裝置在審
| 申請?zhí)枺?/td> | 201310398817.4 | 申請日: | 2013-09-05 |
| 公開(公告)號: | CN103441946A | 公開(公告)日: | 2013-12-11 |
| 發(fā)明(設(shè)計)人: | 廖俊杰 | 申請(專利權(quán))人: | 上海斐訊數(shù)據(jù)通信技術(shù)有限公司 |
| 主分類號: | H04L12/811 | 分類號: | H04L12/811 |
| 代理公司: | 上海光華專利事務(wù)所 31219 | 代理人: | 徐秋平 |
| 地址: | 201616 上海市松*** | 國省代碼: | 上海;31 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 保護(hù) cpu 流量 攻擊 識別 方法 裝置 | ||
技術(shù)領(lǐng)域
本發(fā)明屬于電子通信技術(shù)領(lǐng)域,涉及一種CPU保護(hù)方法及裝置,特別涉及一種保護(hù)CPU的大流量攻擊識別方法及裝置。
背景技術(shù)
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,當(dāng)今各種網(wǎng)絡(luò)設(shè)備特別是接入層設(shè)備要處理的報文類型越來越多,隨之而來的是CPU所要承受的壓力越來越大,同時CPU也有可能受到惡意的大流量攻擊,為此保護(hù)CPU的大流量攻擊識別就顯得格外重要。
現(xiàn)有的保護(hù)技術(shù)主要有兩種,一種是如申請?zhí)枮?01110251229.9的保護(hù)CPU的方法和裝置,該方案是在轉(zhuǎn)發(fā)層面控制過多報文上送給CPU,具體實(shí)現(xiàn)過程包括:1)統(tǒng)計預(yù)設(shè)的時間段T1內(nèi)端口發(fā)送至CPU的報文數(shù)量;2)比較所述報文數(shù)量和所述端口允許發(fā)至CPU的最大報文數(shù)量;3)當(dāng)所述報文數(shù)量大于最大報文數(shù)量時,在接下來的時間段T2內(nèi),丟棄發(fā)送報文數(shù)量大于最大報文數(shù)量的端口發(fā)送至CPU的報文,返回步驟1)。
另一種是申請?zhí)枮?00910226207.X的CPU保護(hù)方法及其裝置,該方案是在CPU接收方向上控制接收報文的速率,具體實(shí)現(xiàn)過程包括:通過統(tǒng)計單位時間內(nèi)發(fā)送給CPU的報文數(shù)量,得到CPU收包速率;根據(jù)CPU收包速率與CPU占用率閾值的反比關(guān)系,確定出在所述CPU收包率情況下使用的CPU占用率閾值;根據(jù)確定出的CPU占用率閾值與CPU當(dāng)前的占用率,判斷是否要對CPU進(jìn)行保護(hù),并當(dāng)判決為是時,限制CPU收包速率。
上述兩種CPU保護(hù)方案中,都是針對總的報文速率來進(jìn)行控制的,所以會出現(xiàn)一種類型的報文速率過大就會影響到其余所有報文的接收的情況。如在一特定網(wǎng)絡(luò)環(huán)境中,某一種類型的報文,比如協(xié)議報文,它們在某一周期內(nèi)的報文個數(shù)是有限的,當(dāng)總的報文個數(shù)控制后,一旦此種類型的協(xié)議報文個數(shù)超過正常值,就有可能使CPU接收的總的報文數(shù)超出控制閾值,此時系統(tǒng)就會判斷CPU受到大流量攻擊。因此,現(xiàn)有CPU保護(hù)方案的控制方法還不夠靈活。
發(fā)明內(nèi)容
鑒于以上所述現(xiàn)有技術(shù)的缺點(diǎn),本發(fā)明的目的在于提供一種保護(hù)CPU的大流量攻擊識別方法及裝置,用于解決現(xiàn)有技術(shù)中CPU保護(hù)方案不夠靈活的問題。
為實(shí)現(xiàn)上述目的及其他相關(guān)目的,本發(fā)明提供一種保護(hù)CPU的大流量攻擊識別方法及裝置。
一種保護(hù)CPU的大流量攻擊識別方法,所述保護(hù)CPU的大流量攻擊識別方法包括:
對需要CPU處理的報文劃分類型;確定類型后的報文稱為類型報文;
采集每一種類型報文上傳CPU的實(shí)時速率;
判斷每一種類型報文的實(shí)時速率是否超過該種類型報文的過濾速率;
若超過,則將超過過濾速率的該種類型報文丟棄,并調(diào)整該種類型報文的過濾速率為預(yù)設(shè)最小速率;
若未超過,則允許該種類型報文正常上傳CPU。
優(yōu)選地,所述對報文劃分類型的依據(jù)包括報文的協(xié)議類型、報文輸入CPU的端口號、或/和報文的VLAN號。
優(yōu)選地,所述保護(hù)CPU的大流量攻擊識別方法還包括:若某種類型報文的實(shí)時速率超過所述類型報文的預(yù)設(shè)最大速率,則發(fā)出大流量攻擊告警。
優(yōu)選地,所述允許所述類型報文正常上傳CPU的過程包括:判斷正常上傳CPU的類型報文的過濾速率是否為預(yù)設(shè)最小速率,若是則調(diào)整所述類型報文的過濾速率為預(yù)設(shè)最大速率,然后上傳所述類型報文;否則直接上傳所述類型報文。
優(yōu)選地,所述采集每一種類型報文上傳CPU的實(shí)時速率的過程包括:
1)接收一種類型報文,獲取當(dāng)前接收時刻;
2)判斷當(dāng)前接收時刻與計時開始時刻的差值是否小于1秒,若是,則該種類型報文接收計數(shù)加1,該計數(shù)值即為當(dāng)前所述類型報文的實(shí)時速率,然后返回步驟1);若否,則更新計時開始時刻為當(dāng)前接收時刻,計數(shù)值重設(shè)為1,返回步驟1)開始下一個計數(shù)周期。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于上海斐訊數(shù)據(jù)通信技術(shù)有限公司,未經(jīng)上海斐訊數(shù)據(jù)通信技術(shù)有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201310398817.4/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
