1.一种基于多CPU的DDOS攻击识别的方法,应用于对称多处理结构SMP设备,其特征在于,包括:
接收到目标会话的报文后,提取该报文的指定报文特征和处理该报文的目标CPU的标识;
基于预设的算法对所述指定报文特征进行计算得到索引值,并查找预设的索引表中与该索引值对应的索引表项,以及更新该索引表项中记录的报文数量;其中,所述索引表项包括与所述SMP设备的各CPU对应的子表项;该子表项包括对应的CPU的标识和该CPU所处理的所述目标会话的报文数量的映射关系;
基于所述索引表项中各子表项中记录的报文数量统计在单位时间内各CPU对应于所述目标会话的报文接收速率,并将各子表项对应的所述报文接收速率相加,得到所述SMP设备单位时间内对应于所述目标会话的报文接收速率;
判断所述SMP设备单位时间内对应于所述目标会话的报文接收速率是否大于预设的阈值;如果是,确定所述目标会话的报文为DDOS攻击报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当根据计算得到的索引值无法在预设的索引表中查找到对应的索引表项时,新建对应该索引值的索引表项。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
确定所述目标会话的报文属于DDOS攻击后,为所述索引表项添加预设的防护标识。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
针对任一添加了所述防护标识的索引表项,基于该索引表项中各子表项中记录的报文数量统计在单位时间内各CPU对应的目标报文的接收速率,并将各子表项对应的目标报文接收速率相加,得到所述SMP设备单位时间内对应于目标会话的报文接收速率;
如果在预设时长内,所述SMP设备对应于目标会话的报文接收速率始终小于或等于预设的阈值,删除该索引表项中的防护标识;或者删除该索引表项。
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
对与添加了防护标记的索引表项对应的目标会话的报文进行防护处理;其中,所述防护处理包括对所述目标会话的报文进行限速或阻断。
6.一种基于多CPU的DDOS攻击识别的装置,应用于对称多处理结构SMP设备,其特征在于,包括:
提取单元,用于接收到目标会话的报文后,提取该报文的指定报文特征和处理该报文的目标CPU的标识;
统计单元,用于基于预设的算法对所述指定报文特征进行计算得到索引值,并查找预设的索引表中与该索引值对应的索引表项,以及更新该索引表项中记录的报文数量;其中,所述索引表项包括与所述SMP设备的各CPU对应的子表项;该子表项包括对应的CPU的标识和该CPU所处理的所述目标会话的报文数量的映射关系;
计算单元,用于基于所述索引表项中各子表项中记录的报文数量统计在单位时间内各CPU对应于所述目标会话的报文接收速率,并将各子表项对应的所述报文接收速率相加,得到所述SMP设备单位时间内对应于所述目标会话的报文接收速率;
判断单元,用于判断所述SMP设备单位时间内对应于所述目标会话的报文接收速率是否大于预设的阈值;如果是,确定所述目标会话的报文为DDOS攻击报文。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
新建单元,用于当根据计算得到的索引值无法在预设的索引表中查找到对应的索引表项时,新建对应该索引值的索引表项。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
添加单元,用于确定所述目标会话的报文属于DDOS攻击后,为所述索引表项添加预设的防护标识。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
所述计算单元,进一步用于针对任一添加了所述防护标识的索引表项,基于该索引表项中各子表项中记录的报文数量统计在单位时间内各CPU对应的目标报文的接收速率,并将各子表项对应的目标报文接收速率相加,得到所述SMP设备单位时间内对应于目标会话的报文接收速率;
删除单元,用于如果在预设时长内,所述SMP设备对应于目标会话的报文接收速率始终小于或等于预设的阈值,删除该索引表项中的防护标识;或者删除该索引表项。
10.根据权利要求8所述的装置,其特征在于,所述装置还包括:
防护单元,用于对与添加了防护标记的索引表项对应的目标会话的报文进行防护处理;其中,所述防护处理包括对所述目标会话的报文进行限速或阻断。