一种链路层设备预警处理的方法和装置的制造方法
【技术领域】
[0001]本发明涉及通信技术领域,尤其涉及一种链路层设备预警处理的方法和装置。
【背景技术】
[0002]随着网络越来越发达,网络的磁盘操作系统(DOS,Disk Operating System)攻击方式方法也越来越多。现有的链路层设备,网络管理员一般只将配置设备访问控制列表(ACL,Access Control List)功能。在设备配置ACL后,限制网络流量,允许特定设备访问,指定转发特定端口数据包等,例如可以配置ACL,禁止局域网内的设备访问外部公共网络,或者只能使用文件传输协议(FTP,File Transfer Protocol)服务。
[0003]传统的链路层设备提供透明的传输,很容易导致链路层设备的带宽被攻击,给网络服务造成损失,甚至导致网络瘫痪。通过设备ACL功能,仅能够对业务进行简单的处理,被动的对业务做出允许和拒绝策略。对于网络的伪攻击行为做不了其他操作,只能让攻击业务占领带宽,或者将攻击业务和正常业务统一禁止。此外,很难对攻击行为动态实时做出判断和防范措施。
【发明内容】
[0004]有鉴于此,本发明提供了一种链路层设备预警处理的方法和装置,能够及时发现业务流的流量异常,进行预警处理。
[0005]本发明提供了一种链路层设备预警处理的方法,包括:基于预先设置的业务流分类规则,对接收到的业务流进行分类;根据业务流的分类获取对应的统计规则需要的数据,并根据获取到的数据进行计算得到业务流的速率;将业务流的速率和预先设置的预警规则进行匹配,并根据匹配结果对业务流进行预警处理。
[0006]进一步地,所述方法还包括:基于业务流的报文字段将业务流进行分类,并配置业务流分类规则,其中报文字段包括:源IP,目的IP,源MAC,目的MAC,VLAN和/或协议类型;业务流分类规则配置完成后,进行相应的硬件三元内容寻址存储器TCAM的配置。
[0007]进一步地,所述方法还包括:基于业务流分类规则,分别配置对应的统计规则和预警规则,其中,统计规则的参数包括业务流的统计时间间隔和业务流的区间总长度;预警规则的参数包括告警级别速率和处理策略;统计规则和预警规则配置完成后,进行相应的硬件TCAM的配置。
[0008]进一步地,所述根据获取到的数据进行计算得到业务流的速率,具体为:根据获取到的业务流的统计时间间隔和业务流的区间总长度计算出业务流的速率。
[0009]进一步地,所述将业务流的速率和预先设置的预警规则进行匹配,并根据匹配结果对业务流进行预警处理,具体为:将计算出的业务流的速率和预警规则中的告警级别速率进行匹配,并根据匹配的告警级别速率,选择对应的处理方式对业务流进行预警处理。
[0010]本发明还提供了一种链路层设备预警处理的装置,包括:第一处理模块,用于基于预先设置的业务流分类规则,对接收到的业务流进行分类;第二处理模块,用于根据业务流的分类获取对应的统计规则需要的数据,并根据获取到的数据进行计算得到业务流的速率;第三处理模块,用于将业务流的速率和预先设置的预警规则进行匹配,并根据匹配结果对业务流进行预警处理。
[0011]进一步地,所述装置还包括:配置模块,用于基于业务流的报文字段进行业务流分类规则的配置,其中报文字段包括:源IP,目的IP,源MAC,目的MAC,VLAN和/或协议类型;业务流分类规则配置完成后,进行相应的硬件三元内容寻址存储器TCAM的配置。
[0012]进一步地,所述配置模块,还用于:基于业务流分类规则,分别配置对应的统计规则和预警规则,其中,统计规则的参数包括业务流的统计时间间隔和业务流的区间总长度;预警规则的参数包括告警级别速率和处理策略;统计规则和预警规则配置完成后,进行相应的硬件TCAM的配置。
[0013]进一步地,所述第二处理模块,具体用于:根据业务流的分类获取对应的统计规则需要的业务流的统计时间间隔和业务流的区间总长度,并根据业务流的统计时间间隔和业务流的区间总长度计算出业务流的速率。
[0014]进一步地,所述第三处理模块,具体用于:将计算出的业务流的速率和预警规则中的告警级别速率进行匹配,并根据匹配的告警级别速率,选择对应的处理方式对业务流进行预警处理。
[0015]和现有技术相比,本发明的有益效果在于:基于业务流的流量统计,根据配置的统计规则,计算出统计时间基数内业务流的速率,当速率超出预警规则设置的不同等级的速率,给出相应的预警处理,从而能够及时发现业务流的流量异常,实现及时的预警处理。
【附图说明】
[0016]图1为本发明所公开的链路层设备预警处理的方法的流程示意图。
[0017]图2为本发明所公开的链路层设备预警处理的装置的结构示意图。
【具体实施方式】
[0018]以下将结合附图所示的【具体实施方式】对本发明进行详细描述,但这些实施方式并不限制本发明,本领域的普通技术人员根据这些实施方式所做出的结构、方法、或功能上的变换均包含在本发明的保护范围内。
[0019]链路层设备的芯片中通常包括三元内容寻址存储器(TCAM,Ternary ContentAddressable Memory)模块,TCAM是一种三态内容寻址存储器,主要用于快速查找ACL、路由等表项,具体地,TCAM是从CAM的基础上发展而来的,CAM存储器中每个bit位的状态只有两个,“ 0 ”或“ 1”,而TCAM中每个bit位有三种状态,除掉“ 0 ”和“ 1”外,还有一个“ don ’ tcare”状态,所以称为“三态”,它是通过掩码来实现的,正是TCAM的这个第三种状态特征使其既能进行精确匹配查找,又能进行模糊匹配查找。本发明基于链路层设备中的TCAM模块设计。
[0020]图1为本发明所公开的一种链路层设备预警处理的方法的流程示意图。参照图1,本发明的链路层设备预警处理的方法,包括:
[0021]步骤101,预先配置业务流分类规则。
[0022]在本步骤中,基于业务流报文字段将业务流进行分类,并配置业务流分类规则,其中报文字段包括但不限于:源IP,目的IP,源MAC,目的MAC,VLAN,协议类型等。
[0023]业务流分类规则配置完成后,进行相应的硬件TCAM的配置。
[0024]步骤102,预先基于业务流分类规则配置统计规则和预警规则。
[0025]在本步骤中,基于业务流分类规则,分别配置对应的统计规则和预警规则,并将业务流分类规则和对应的统计规则和预警规则绑定。
[0026]配置对应的统计规则和预警规则具体为:配置统计规则的参数,该统计规则的参数包括业务流的统计时间间隔和业务流的区间总长度等;配置预警规则的参数,该预警规则的参数包括告警级别速率和处理策略。
[0027]例如:业务流的统计时间间隔:1s ;
[0028]统计业务流的区间总长度:10s ;
[0029]告警级别速率:0?lOM/s正常;
[0030]lOM/s ?20M/s —般异常;
[0031]20M/s ?30M/s 严重异常;
[0032]处理方式:告警级别速率正常时,不做处理;
[0033]告警级别速率一般异常时,进