保护cpu的大流量攻击识别方法及装置制造方法
【专利摘要】本发明提供一种保护CPU的大流量攻击识别方法及装置,该方法包括:对需要CPU处理的报文划分类型;采集每种类型报文上传CPU的实时速率;判断每一种类型报文的实时速率是否超过该种类型报文的过滤速率;若超过则将超过过滤速率的该种类型报文丢弃,并调整该种类型报文的过滤速率为预设最小速率;若未超过则允许该种类型报文正常上传CPU。本发明能精确对报文进行分类,计算报文的实时速率,针对各种报文进行限速,对于速率过大的报文进行告警并自动调整接收速率,既保护了CPU不受到大流量攻击,又避免了某一种类型报文速率过大对其他类型报文的传输造成影响。
【专利说明】保护CPU的大流量攻击识别方法及装置
【技术领域】
[0001]本发明属于电子通信【技术领域】,涉及一种CPU保护方法及装置,特别涉及一种保护CPU的大流量攻击识别方法及装置。
【背景技术】
[0002]随着网络技术的发展,当今各种网络设备特别是接入层设备要处理的报文类型越来越多,随之而来的是CPU所要承受的压力越来越大,同时CPU也有可能受到恶意的大流量攻击,为此保护CPU的大流量攻击识别就显得格外重要。
[0003]现有的保护技术主要有两种,一种是如申请号为201110251229.9的保护CPU的方法和装置,该方案是在转发层面控制过多报文上送给CPU,具体实现过程包括:1)统计预设的时间段Tl内端口发送至CPU的报文数量;2)比较所述报文数量和所述端口允许发至CPU的最大报文数量;3)当所述报文数量大于最大报文数量时,在接下来的时间段T2内,丢弃发送报文数量大于最大报文数量的端口发送至CPU的报文,返回步骤I)。
[0004]另一种是申请号为200910226207.X的CPU保护方法及其装置,该方案是在CPU接收方向上控制接收报文的速率,具体实现过程包括:通过统计单位时间内发送给CPU的报文数量,得到CPU收包速率;根据CPU收包速率与CPU占用率阈值的反比关系,确定出在所述CPU收包率情况下使用的CPU占用率阈值;根据确定出的CPU占用率阈值与CPU当前的占用率,判断是否要对CPU进行保护,并当判决为是时,限制CPU收包速率。
[0005]上述两种CPU保护方案中,都是针对总的报文速率来进行控制的,所以会出现一种类型的报文速率过大就会影响到其余所有报文的接收的情况。如在一特定网络环境中,某一种类型的报文,比如协议报文,它们在某一周期内的报文个数是有限的,当总的报文个数控制后,一旦此种类型的协议报文个数超过正常值,就有可能使CPU接收的总的报文数超出控制阈值,此时系统就会判断CPU受到大流量攻击。因此,现有CPU保护方案的控制方法还不够灵活。
【发明内容】
[0006]鉴于以上所述现有技术的缺点,本发明的目的在于提供一种保护CPU的大流量攻击识别方法及装置,用于解决现有技术中CPU保护方案不够灵活的问题。
[0007]为实现上述目的及其他相关目的,本发明提供一种保护CPU的大流量攻击识别方法及装置。
[0008]一种保护CPU的大流量攻击识别方法,所述保护CPU的大流量攻击识别方法包括:
[0009]对需要CPU处理的报文划分类型;确定类型后的报文称为类型报文;
[0010]采集每一种类型报文上传CPU的实时速率;
[0011]判断每一种类型报文的实时速率是否超过该种类型报文的过滤速率;
[0012]若超过,则将超过过滤速率的该种类型报文丢弃,并调整该种类型报文的过滤速率为预设最小速率;
[0013]若未超过,则允许该种类型报文正常上传CPU。
[0014]优选地,所述对报文划分类型的依据包括报文的协议类型、报文输入CPU的端口号、或/和报文的VLAN号。
[0015]优选地,所述保护CPU的大流量攻击识别方法还包括:若某种类型报文的实时速率超过所述类型报文的预设最大速率,则发出大流量攻击告警。
[0016]优选地,所述允许所述类型报文正常上传CPU的过程包括:判断正常上传CPU的类型报文的过滤速率是否为预设最小速率,若是则调整所述类型报文的过滤速率为预设最大速率,然后上传所述类型报文;否则直接上传所述类型报文。
[0017]优选地,所述采集每一种类型报文上传CPU的实时速率的过程包括:
[0018]I)接收一种类型报文,获取当前接收时刻;
[0019]2)判断当前接收时刻与计时开始时刻的差值是否小于I秒,若是,则该种类型报文接收计数加1,该计数值即为当前所述类型报文的实时速率,然后返回步骤I);若否,则更新计时开始时刻为当前接收时刻,计数值重设为1,返回步骤I)开始下一个计数周期。
[0020]一种保护CPU的大流量攻击识别装置,所述保护CPU的大流量攻击识别装置为一预处理器,所述预处理器包括:报文接收模块,接收上传给CPU的全部报文;报文类型定义模块,与所述报文接收模块相连,对需要CPU处理的报文划分类型;速率采集模块,与所述报文类型定义模块相连,采集每一种类型报文上传CPU的实时速率;比较模块,与所述速率采集模块相连,判断每一种类型报文的实时速率是否超过该种类型报文的过滤速率;处理模块,与所述比较模块相连,将超过过滤速率的该种类型报文丢弃;或将未超过过滤速率的该种类型报文正常上传CPU ;过滤速率调整模块,与所述比较模块相连,在某种类型报文的实时速率超过该种类型报文的过滤速率时,调整该种类型报文的过滤速率为预设最小速率;在某种类型报文的实时速率小于该种类型报文的预设最大速率时,即攻击解除时,调整该种类型报文的过滤速率为预设最大速率。
[0021]优选地,所述上传给CPU的全部报文包括需要CPU处理的报文和不需要CPU处理的报文。
[0022]优选地,所述预处理器包括一告警模块,所述告警模块与所述比较模块相连,在某种类型报文的实时速率超过该种类型报文的预设最大速率时发出大流量攻击告警。
[0023]优选地,所述处理模块还包括:丢弃单元,与所述比较模块相连,将超过过滤速率的类型报文丢弃;上传单元,与所述比较模块相连,将未超过过滤速率的类型报文正常上传CPU ;过滤速率控制单元,与所述上传单元和所述过滤速率调整模块相连,判断所述正常上传CPU的类型报文的过滤速率是否为预设最小速率,若是则控制所述过滤速率调整模块将所述正常上传CPU的类型报文的过滤速率调整为预设最大速率。
[0024]优选地,所述速率采集模块包括:计时单元,记录当前接收所述类型报文的时刻;差值比较单元,与所述计时单元相连,判断所述当前接收所述类型报文的时刻与计时开始时刻的差值是否小于I秒;计数单元,与所述差值比较单元相连,在所述差值小于I秒的情况下计数值加1,否则更新计时开始时刻为当前接收时刻,计数重设为1,开始下一个计数周期。
[0025]如上所述,本发明所述的保护CPU的大流量攻击识别方法及装置,具有以下有益效果:
[0026]本发明能精确对报文进行分类,计算报文的实时速率,针对各种报文进行限速,对于速率过大的报文进行告警并自动调整接收速率,既保护了 CPU不受到大流量攻击,又避免了某一种类型报文速率过大对其他类型报文的传输造成影响。
【专利附图】
【附图说明】
[0027]图1为本发明所述的保护CPU的大流量攻击识别方法的流程示意图。
[0028]图2为本发明所述的采集每种类型报文上传CPU的实时速率的具体流程示意图。
[0029]图3为本发明所述的类型报文正常上传CPU的具体流程示意图。
[0030]图4为本发明所述的保护CPU的大流量攻击识别装置的结构框图。
[0031]图5为本发明所述的保护CPU的大流量攻击识别装置中的速率采集模块的结构框图。
[0032]图6为本发明所述的保护CPU的大流量攻击识别装置中的处理模块的结构框图。
[0033]元件标号说明
[0034]100预处理器
[0035]110报文接收模块
[0036]120报文类型定义模块
[0037]130速率 采集模块
[0038]131计时单元
[0039]132差值比较单元
[0040]133计数单元
[0041]140比较模块
[0042]150过滤速率调整模块
[0043]160处理模块
[0044]161丢弃单元
[0045]162上传单元
[0046]163过滤速率控制单元
[0047]170告警模块
【具体实施方式】
[0048]以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的【具体实施方式】加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。
[0049]请参阅附图。需要说明的是,本实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
[0050]下面结合实施例和附图对本发明进行详细说明。[0051]实施例一
[0052]本实施例提供一种保护CPU的大流量攻击识别方法,如图1所示,所述保护CPU的大流量攻击识别方法包括:
[0053]对需要CPU处理的报文划分类型,确定类型后的报文称为类型报文。进一步,所述对报文划分类型的依据包括报文的协议类型、报文输入CPU的端口号、或/和报文的VLAN号。报文类型的定义依据来自于CPU需要处理的报文,对于需要CPU处理的报文本发明才定义其类型,并规定CPU允许接收处理的速率;对于不需要明确分类的报文,本发明可以统一定义为“other”类型,比如下面的定义:
[0054]
【权利要求】
1.一种保护CPU的大流量攻击识别方法,其特征在于,所述保护CPU的大流量攻击识别方法包括: 对需要CPU处理的报文划分类型; 采集每一种类型报文上传CPU的实时速率; 判断每一种类型报文的实时速率是否超过该种类型报文的过滤速率; 若超过,则将超过过滤速率的该种类型报文丢弃,并调整该种类型报文的过滤速率为预设最小速率; 若未超过,则允许该种类型报文正常上传CPU。
2.根据权利要求1所述的保护CPU的大流量攻击识别方法,其特征在于:所述对报文划分类型的依据包括报文的协议类型、报文输入CPU的端口号、或/和报文的VLAN号。
3.根据权利要求1所述的保护CPU的大流量攻击识别方法,其特征在于,所述保护CPU的大流量攻击识别方法还包括:若某种类型报文的实时速率超过所述类型报文的预设最大速率,则发出大流量攻击告警。
4.根据权利要求3所述的保护CPU的大流量攻击识别方法,其特征在于,所述允许该种类型报文正常上传CPU的过程包括: 判断正常上传CPU的类型报文的过滤速率是否为预设最小速率,若是,则调整所述类型报文的过滤速率为预设最大速率,并且上传所述类型报文;若否,则直接上传所述类型报文。
5.根据权利要求1所述的保护CPU的大流量攻击识别方法,其特征在于,所述采集每一种类型报文上传CPU的实时速率的过程包括: 1)接收一种类型报文,获取当前接收时刻; 2)判断当前接收时刻与计时开始时刻的差值是否小于I秒,若是,则该种类型报文接收计数加1,该计数值即为当前所述类型报文的实时速率,然后返回步骤I);若否,则更新计时开始时刻为当前接收时刻,计数值重设为1,返回步骤I)。
6.一种保护CPU的大流量攻击识别装置,其特征在于,所述保护CPU的大流量攻击识别装置为一预处理器,所述预处理器包括: 报文接收模块,接收上传给CPU的全部报文; 报文类型定义模块,与所述报文接收模块相连,对需要CPU处理的报文划分类型; 速率采集模块,与所述报文类型定义模块相连,采集每一种类型报文上传CPU的实时速率; 比较模块,与所述速率采集模块相连,判断每一种类型报文的实时速率是否超过该种类型报文的过滤速率; 处理模块,与所述比较模块相连,将超过过滤速率的该种类型报文丢弃;或将未超过过滤速率的该种类型报文正常上传CPU ; 过滤速率调整模块,与所述比较模块相连,在某种类型报文的实时速率超过该种类型报文的过滤速率时,调整该种类型报文的过滤速率为预设最小速率;在某种类型报文的实时速率小于该种类型报文的预设最大速率时,即攻击解除时,调整该种类型报文的过滤速率为预设最大速率。
7.根据权利要求6所述的保护CPU的大流量攻击识别装置,其特征在于:所述上传给CPU的全部报文包括需要CPU处理的报文和不需要CPU处理的报文。
8.根据权利要求6所述的保护CPU的大流量攻击识别装置,其特征在于:所述预处理器包括一告警模块,所述告警模块与所述比较模块相连,在某种类型报文的实时速率超过该种类型报文的预设最大速率时发出大流量攻击告警。
9.根据权利要求6所述的保护CPU的大流量攻击识别装置,其特征在于:所述处理模块还包括: 丢弃单元,与所述比较模块相连,将超过过滤速率的类型报文丢弃; 上传单元,与所述比较模块相连,将未超过过滤速率的类型报文正常上传CPU ; 过滤速率控制单元,与所述上传单元和所述过滤速率调整模块相连,判断所述正常上传CPU的类型报文的过滤速率是否为预设最小速率,若是则控制所述过滤速率调整模块将所述正常上传CPU的类型报文的过滤速率调整为预设最大速率。
10.根据权利要求6所述的保护CPU的大流量攻击识别装置,其特征在于,所述速率采集模块包括: 计时单元,记录当前接收所述类型报文的时刻; 差值比较单元,与所述计时单元相连,判断所述当前接收所述类型报文的时刻与计时开始时刻的差值是否小于I秒; 计数单元,与所述差值比较单元相连,在所述差值小于I秒的情况下计数值加1,否则更新计时开始时刻为 当前接收时刻,计数重设为1,开始下一个计数周期。
【文档编号】H04L12/811GK103441946SQ201310398817
【公开日】2013年12月11日 申请日期:2013年9月5日 优先权日:2013年9月5日
【发明者】廖俊杰 申请人:上海斐讯数据通信技术有限公司