CN104539574A - 一种用户连接信息动态创建方法 - Google Patents
一种用户连接信息动态创建方法 Download PDFInfo
- Publication number
- CN104539574A CN104539574A CN201410644065.XA CN201410644065A CN104539574A CN 104539574 A CN104539574 A CN 104539574A CN 201410644065 A CN201410644065 A CN 201410644065A CN 104539574 A CN104539574 A CN 104539574A
- Authority
- CN
- China
- Prior art keywords
- time
- interval
- weights
- overtime
- simple connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种用户连接信息动态创建方法,所述方法包括:创建简易连接表,所述简易连接表中的信息包含五元组、触发时间、超时区间和与所述超时区间相对应的超时权值;在所述简易连接表上记录触发的五元组和触发时间,并统计超时权值;根据所述超时权值的统计结果调整连接信息表中对应转发信息的生命时间。上述方法有效减少了僵尸进程的数量,提高了用户上网的速度。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种用户连接信息动态创建方法。
背景技术
在防火墙等三层网络设备中,都是通过五元组的状态链接信息进行报文转发的,这样的好处是,可以将报文进行快速的安全检查和转发,目前通过建立连接信息表,并在连接信息表中存储五元组、ACL执行动作,IPSEC加解密密钥和NAT转换动作等信息,确保能够安全检查和转发。通常UDP报文的状态无流量触发的生命时间是120秒,也就是2分钟,这个时间是静态配置的,超过这个时间,就要从连接信息表中删除相关的转发信息,当再次有流量触发时,连接信息表中再次建立相关信息。但是这样容易出现频繁进行删除和建立连接信息,导致整个设备性能低的问题。
那么本发明通过动态的方式使时间按照被匹配次数进行有序的延长,达到避免用户频繁进行连接建立,导致整个设备性能低的问题。目前多采用延长用户使用UDP连接的生命时间,但是这样会引起大量的僵尸连接无法及时被释放,占用大量的连接支援,是用户的并发数和使用体验大大降低,除非用户升级硬件产品的配置,增加大内存等方法,这样又照成了用户的使用成本增加。
发明内容
为了能够减少了僵尸进程的数量,提高了用户上网的速度,本发明提出了一种用户连接信息动态创建方法,具体方案如下:
一种用户连接信息动态创建方法,所述方法包括:
创建简易连接表,所述简易连接表中的信息包含五元组、触发时间、超时区间和与所述超时区间相对应的超时权值;
在所述简易连接表上记录触发的五元组和触发时间,并统计超时权值;
根据所述超时权值的统计结果调整连接信息表中对应转发信息的生命时间。
优选的,其中所述超时区间的范围和超时区间的数量已被提前设定。
优选的,在所述简易连接表上记录触发的五元组和触发时间,并统计超时权值,具体为:当有流量触发连接信息表创建转发信息或查找转发信息时,所述流量也会同时触发简易连接表,在简易连接表上记录触发的五元组和触发时间,通过简易连接表上记录的信息计算触发间隔时间,并根据计算结果修改相应超时权值,并对超时权值进行统计。
优选的,还包括:若所述五元组是第一次触发,则将所述超时权值设置为0。
优选的,根据所述简易连接表的超时权值的统计结果调整连接信息表中对应转发信息的生命时间,具体为:根据统计结果,得到权值最大的超时权值及对应的超时区间,将该超时区间的范围上限设置为连接信息表中对应转发信息的生命时间。
优选的,还包括:若存在最大的超时权值为两个及以上时,选取其中相对应的超时时间的范围上限较小的超时区间,并以该超时区间的范围上限设置为连接信息表中对应转发信息的生命时间。
本发明通过动态的方式使时间按照被匹配次数进行有序的延长,达到避免用户频繁进行连接建立,导致整个设备性能低的问题。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他的实施例,都属于本发明保护的范围。
本发明提供一种用户连接信息动态创建方法,具体方法如下所述:
S1、创建简易连接表,所述简易连接表中的信息包含五元组、触发时间、超时区间和与所述超时区间相对应的超时权值。
具体的,在三层网络设备中创建简易连接表,所述简易连接表中的信息包含五元组、触发时间、超时区间和与所述超时区间相对应的超时权值;
其中所述超时区间的范围和超时区间的数量已被提前设定。
S2、在所述简易连接表上记录触发的五元组和触发时间,并统计超时权值。
具体的,当有流量触发连接信息表创建转发信息或查找转发信息时,所述流量也会同时触发简易连接表,在简易连接表上记录触发的五元组和触发时间,通过简易连接表上记录的信息计算触发间隔时间,并根据计算结果修改相应超时权值,并对超时权值进行统计。
其中,若所述五元组是第一次触发,则将所述超时权值设置为0。
S3、根据所述超时权值的统计结果调整连接信息表中对应转发信息的生命时间。
具体的,根据统计结果,得到权值最大的超时权值及对应的超时区间,将该超时区间的范围上限设置为连接信息表中对应转发信息的生命时间。
其中,若存在最大的超时权值为两个及以上时,选取其中相对应的超时时间的范围上限较小的超时区间,并以该超时区间的范围上限设置为连接信息表中对应转发信息的生命时间。
具体实施例,在三层网络设备中创建简易连接表,简易连接表中记录的信息包含五元组、触发时间、超时区间和与所述超时区间相对应的超时权值,在这里超时区间设置为4个,分别为n1、n2、n3、n4,区间范围分别是120秒<n1≤1800秒、1800秒<n2≤3600秒、3600秒<n3≤5400秒、5400秒<n4≤7200秒(根据需求,超时区间的数量和超时区间的范围可以自由设置)。当有流量触发简易连接表,在简易连接表上记录该流量的五元组和触发时间,如果是第一次触发,那么将超时权值均设置为0,即q1=0、q2=0、q3=0、q4=0,若不是第一次触发,则计算本次触发时间与上次触发时间的时间间隔,得到该时间间隔所在的超时区间,并对该超时区间相对应的超时权值加1(权值的调整可根据需求进行设定),对各超时权值进行统计,得到权值最大的超时权值及相对应的超时区间;假设当前各超时区间对应的超时权值为q1=5、q2=2、q3=1、q4=0,且本次触发时间与上次触发时间的时间间隔是1911秒,那么应当在n2的超时权值上加1,即q2=3,经过统计,权值最大的超时区间为n1(若权值相等,则选其中取超时时间的范围上限较小的超时区间),这时就可以将n1这个超时区间的范围上限设定为连接信息表中对应五元组的生命时间,即将连接信息表中对应五元组的生命时间设定为3600秒。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明权利要求所限定的范围。
Claims (6)
1.一种用户连接信息动态创建方法,其特征在于,所述方法包括:
创建简易连接表,所述简易连接表中的信息包含五元组、触发时间、超时区间和与所述超时区间相对应的超时权值;
在所述简易连接表上记录触发的五元组和触发时间,并统计超时权值;
根据所述超时权值的统计结果调整连接信息表中对应转发信息的生命时间。
2.根据权利要求1所述的方法,其特征在于,其中所述超时区间的范围和超时区间的数量已被提前设定。
3.根据权利要求1所述的方法,其特征在于,在所述简易连接表上记录触发的五元组和触发时间,并统计超时权值,具体为:当有流量触发连接信息表创建转发信息或查找转发信息时,所述流量也会同时触发简易连接表,在简易连接表上记录触发的五元组和触发时间,通过简易连接表上记录的信息计算触发间隔时间,并根据计算结果修改相应超时权值,并对超时权值进行统计。
4.根据权利要求3所述的方法,其特征在于,还包括:若所述五元组是第一次触发,则将所述超时权值设置为0。
5.根据权利要求1所述的方法,其特征在于,根据所述简易连接表的超时权值的统计结果调整连接信息表中对应转发信息的生命时间,具体为:根据统计结果,得到权值最大的超时权值及对应的超时区间,将该超时区间的范围上限设置为连接信息表中对应转发信息的生命时间。
6.根据权利要求5所述的方法,其特征在于,还包括:若存在最大的超时权值为两个及以上时,选取其中相对应的超时时间的范围上限较小的超时区间,并以该超时区间的范围上限设置为连接信息表中对应转发信息的生命时间。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410644065.XA CN104539574A (zh) | 2014-11-14 | 2014-11-14 | 一种用户连接信息动态创建方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410644065.XA CN104539574A (zh) | 2014-11-14 | 2014-11-14 | 一种用户连接信息动态创建方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104539574A true CN104539574A (zh) | 2015-04-22 |
Family
ID=52855043
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410644065.XA Pending CN104539574A (zh) | 2014-11-14 | 2014-11-14 | 一种用户连接信息动态创建方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104539574A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070140193A1 (en) * | 2005-12-21 | 2007-06-21 | Nokia Corporation | Managing connections in a wireless communications network |
| CN101072127A (zh) * | 2007-06-07 | 2007-11-14 | 烽火通信科技股份有限公司 | 一种实现双节点环dcc路由保护的方法及双节点环装置 |
| CN101369973A (zh) * | 2008-10-20 | 2009-02-18 | 成都市华为赛门铁克科技有限公司 | 一种会话老化的方法和装置 |
| CN101771600A (zh) * | 2008-12-30 | 2010-07-07 | 北京天融信网络安全技术有限公司 | 多核下连接并发处理的方法 |
| CN201813401U (zh) * | 2010-09-16 | 2011-04-27 | 北京开心人信息技术有限公司 | 一种读取缓存数据的系统 |
-
2014
- 2014-11-14 CN CN201410644065.XA patent/CN104539574A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070140193A1 (en) * | 2005-12-21 | 2007-06-21 | Nokia Corporation | Managing connections in a wireless communications network |
| CN101072127A (zh) * | 2007-06-07 | 2007-11-14 | 烽火通信科技股份有限公司 | 一种实现双节点环dcc路由保护的方法及双节点环装置 |
| CN101369973A (zh) * | 2008-10-20 | 2009-02-18 | 成都市华为赛门铁克科技有限公司 | 一种会话老化的方法和装置 |
| CN101771600A (zh) * | 2008-12-30 | 2010-07-07 | 北京天融信网络安全技术有限公司 | 多核下连接并发处理的方法 |
| CN201813401U (zh) * | 2010-09-16 | 2011-04-27 | 北京开心人信息技术有限公司 | 一种读取缓存数据的系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106664584B (zh) | 通信端点之间的合成事务 | |
| US10084756B2 (en) | Anonymous communications in software-defined networks via route hopping and IP address randomization | |
| EP3485379B1 (en) | Automatic capture of network data for a detected anomaly | |
| CN104468624B (zh) | Sdn控制器、路由/交换设备及网络防御方法 | |
| ATE550854T1 (de) | Verwaltung von netzwerkressourcen | |
| JP2016508604A5 (zh) | ||
| CN107800668B (zh) | 一种分布式拒绝服务攻击防御方法、装置及系统 | |
| US20160065452A1 (en) | Protection against rule map update attacks | |
| WO2008016323A3 (en) | Policy management in a roaming or handover scenario in an ip network | |
| Salah et al. | Lightweight coordinated defence against interest flooding attacks in NDN | |
| CN107872503B (zh) | 一种防火墙会话数监控方法及装置 | |
| WO2012014067A3 (en) | Pv6 address generation to trigger a virtual leased line service | |
| CN103973901A (zh) | 一种自动执行日历事件的装置及方法 | |
| CN103520922B (zh) | 一种通过移动互联网进行游戏控制的方法、系统及装置 | |
| WO2019014426A8 (en) | COMMUNICATION PATH MANAGEMENT | |
| CN104539574A (zh) | 一种用户连接信息动态创建方法 | |
| Enoch et al. | Time independent security analysis for dynamic networks using graphical security models | |
| US9667591B2 (en) | System and method for maintaining coherence of assocation across a network address change or reassignment | |
| MY169842A (en) | Dynamic gateway selection ip mobility | |
| Muthumalathi et al. | Fully selfish node detection, deletion and secure replica allocation over MANET | |
| RU2014153885A (ru) | Коммутирующее устройство, способ управления параметрами vlan и программа | |
| JP2014522162A (ja) | 隣接関係を確立する方法、装置、及びシステム | |
| Netkachov et al. | Quantification of the impact of cyber attack in critical infrastructures | |
| ATE536025T1 (de) | Paketlatenzschätzung | |
| CN105450482B (zh) | 一种设备连接方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150422 |
|
| WD01 | Invention patent application deemed withdrawn after publication |