CN105704086A - 会话过载处理方法及装置 - Google Patents
会话过载处理方法及装置 Download PDFInfo
- Publication number
- CN105704086A CN105704086A CN201410683189.9A CN201410683189A CN105704086A CN 105704086 A CN105704086 A CN 105704086A CN 201410683189 A CN201410683189 A CN 201410683189A CN 105704086 A CN105704086 A CN 105704086A
- Authority
- CN
- China
- Prior art keywords
- session
- overload protection
- service message
- status type
- protection state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本申请提供一种会话过载处理的方法及装置,应用于网络安全设备,该方法包括:接收业务报文;判断是否存在与所述业务报文匹配的会话表项;当不存在与所述业务报文匹配的会话表项时,判断会话状态类型;当所述会话状态类型为会话过载保护状态时,转发所述业务报文。本申请可以保证会话过载状态下的正常通信,不会出现断网、死机等故障。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及一种会话过载处理方法及装置。
背景技术
网络安全设备主要负责网络流量的安全审计、流量控制以及限速等功能,并为新的网络流量创建会话表项,以使后续网络流量在匹配会话表项时转发。
网络安全设备可维护的会话数量有限,通常只能满足正常工作状态下的使用。当网络安全设备受到攻击时,会话数量迅速增加,大量消耗系统资源,无法进行正常的业务报文处理,甚至出现断网、死机等故障,影响网络通信。
发明内容
有鉴于此,本申请提供了一种会话过载处理的方法,应用于网络安全设备,该方法包括:
接收业务报文;
判断是否存在与所述业务报文匹配的会话表项;
当不存在与所述业务报文匹配的会话表项时,判断会话状态类型;
当所述会话状态类型为会话过载保护状态时,转发所述业务报文。
本申请还提供了一种会话过载处理的装置,应用于网络安全设备,该装置包括:
报文接收单元,用于接收业务报文;
表项判断单元,用于判断是否存在与所述业务报文匹配的会话表项;
类型判断单元,用于当不存在与所述业务报文匹配的会话表项时,判断会话状态类型;
报文转发单元,用于当所述会话状态类型为会话过载保护状态时,转发所述业务报文。
本申请中,网络安全设备在接收到业务报文后,判断是否存在该业务报文的会话表项,当不存在会话表项时,判断当前会话状态类型,若会话状态类型为会话过载保护状态,则无需创建会话,直接转发业务报文,从而保证了即使在会话过载状态下,仍然可以正常通信,不会出现断网、死机等故障。
附图说明
图1是本申请一种实施例中会话过载处理方法的处理流程图;
图2是本申请一种实施例中会话过载处理装置的基础硬件示意图;
图3是本申请一种实施例中会话过载处理装置的结构示意图。
具体实施方式
为使本申请的目的、技术方案及优点更加清楚明白,以下参照附图对本申请所述方案作进一步地详细说明。
当前网络安全形势严峻,各种攻击手段层出不穷,大部分攻击会造成网络流量异常,消耗大量网络资源。其中,一部分攻击是基于频繁创建连接,大量消耗被攻击设备的系统资源,从而造成被攻击设备工作异常,甚至死机。
网络安全设备主要负责网络流量的安全审计、流量控制以及限速等功能,并为新的网络流量创建会话表项,以使后续网络流量在匹配会话表项时转发。但是,网络安全设备可维护的会话数量有限,通常只能满足正常工作状态下的使用。当网络安全设备受到攻击时,由于攻击而导致会话数量迅速增加,大量消耗系统资源,无法进行正常的业务报文处理,甚至出现断网、死机等故障,影响网络通信。
针对上述问题,本申请实施例提出一种会话过载处理的方法,网络安全设备在接收到业务报文后,判断是否存在该业务报文的会话表项,当不存在会话表项时,判断当前会话状态类型,若会话状态类型为会话过载保护状态,则无需创建会话,直接转发业务报文。
参见图1,为本申请会话过载处理方法的一个实施例流程图,该实施例对会话过载处理过程进行描述。
步骤110,接收业务报文。
步骤120,判断是否存在与所述业务报文匹配的会话表项。
网络安全设备在接收到业务报文后,查询本地维护的会话表项,判断是否存在与该业务报文匹配的流表项,例如,可以根据该业务报文的源IP(InternetProtocol,网际协议)地址、目的IP地址、源端口号、目的端口号等报文特征与本地流表项进行匹配。
步骤130,当不存在与所述业务报文匹配的会话表项时,判断会话状态类型。
步骤140,当所述会话状态类型为会话过载保护状态时,转发所述业务报文。
根据步骤130中的判断结果,可以分为以下两种情况进行处理:
在一种实施方式中,当会话状态类型为会话过载保护状态时,网络安全设备不会为该业务报文创建会话,也不会进行相关的业务处理,例如,限速、审计、限流等,而是直接将业务报文转发,保证在会话过载的情况下,新的业务报文仍然可以正常通过。同时,不增加CPU(CentralProcessingUnit,中央处理器)的运行负担,避免造成网络安全设备死机。
在另一种实施方式中,当会话状态类型为非会话过载保护状态时,说明当前网络安全设备的会话状态正常,可以为新的业务报文创建会话表项,以便后续相同业务报文按会话表项转发。
从上述描述可以看出,网络安全设备的会话状态类型分为会话过载保护状态和非会话过载保护状态,网络安全设备根据设备运行情况在上述两种会话状态类型之间进行切换。两种会话状态类型的设置条件不同,具体设置过程如下:
1.会话过载保护状态设置
网络安全设备判断当前维护的会话数量是否达到预设的会话数量阈值,当会话数量达到会话数量阈值时,说明网络安全设备维护的会话数量已达到其可维护的会话数量上限,此时,设置会话状态类型为会话过载保护状态。
2.非会话过载保护状态设置
网络安全设备判断会话过载保护状态的过载保护时长是否达到预设的过载保护时长阈值,该过载保护时长阈值为预设的会话过载保护状态的持续时长。在该过载保护时长阈值范围内,即使网络安全设备维护的会话数量已经低于会话数量阈值,也不会为新的业务报文创建会话流表项,以避免对CPU的频繁操作,造成CPU的使用率过高,始终工作在满负荷状态下。当过载保护时长达到预设的过载保护时长阈值时,设置会话状态类型为非会话过载保护状态。
在一种较优的实施方式中,为了使网络管理员及时了解网络安全设备的运行情况,当会话状态类型为会话过载保护状态时,可以向服务器发送报警信息,并提供相应日志,以便网络管理员对网络运行情况进行监测和分析。
现以一具体实施例为例,详细介绍会话过载处理过程。
假设,网络安全设备的会话数量阈值为10,过载保护时长阈值为5s,当前网络安全设备维护的会话数量为9,当前的会话状态类型为非会话过载保护状态。
接收业务报文1,查询本地保存的会话流表项,无对应会话流表项。判断当前的会话状态类型,当前的会话状态类型为非会话过载保护状态,因此,为业务报文1创建对应的流表项。此时,会话数量加1,达到预设的会话数量阈值10,设置会话状态类型为会话过载保护状态,同时,启动过载定时器,定时时长为预设的过载保护时长阈值5s。
接收业务报文2,查询本地保存的会话流表项,无对应会话流表项。判断当前的会话状态类型,当前会话状态类型为会话过载保护状态,且未到达过载保护时长阈值,此时,不创建业务报文2的会话流表项,直接转发该业务报文2。
继续接收新的业务报文,重复业务报文2的处理过程,直至过载定时器超时,达到过载保护时长阈值,会话状态类型切换到非会话过载保护状态,重复业务报文1的处理过程。
与前述会话过载处理方法的实施例相对应,本申请还提供会话过载处理装置的实施例。
本申请会话过载处理装置的实施例可以应用在网络安全设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的CPU将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图2所示,为本申请会话过载处理装置所在设备的一种硬件结构图,除了图2所示的CPU、内存以及非易失性存储器之外,实施例中装置所在的设备通常还可以包括其他硬件。
请参考图3,为本申请一个实施例中的会话过载处理装置的结构示意图。该会话过载处理装置包括:报文接收单元301、表项判断单元302、类型判断单元303、报文转发单元304、表项创建单元305、数量判断单元306、类型设置单元307、时长判断单元308以及报警发送单元309,其中:
报文接收单元301,用于接收业务报文;
表项判断单元302,用于判断是否存在与所述业务报文匹配的会话表项;
类型判断单元303,用于当不存在与所述业务报文匹配的会话表项时,判断会话状态类型;
报文转发单元304,用于当所述会话状态类型为会话过载保护状态时,转发所述业务报文。
表项创建单元305,用于当所述会话状态类型为非会话过载保护状态时,创建所述业务报文的会话表项。
数量判断单元306,用于判断当前维护的会话数量是否达到预设的会话数量阈值;
类型设置单元307,用于当所述会话数量达到所述会话数量阈值时,设置所述会话状态类型为会话过载保护状态。
时长判断单元308,用于判断所述会话过载保护状态的过载保护时长是否达到预设的过载保护时长阈值;
所述类型设置单元307,还用于当所述过载保护时长达到预设的过载保护时长阈值时,设置所述会话状态类型为非会话过载保护状态。
报警发送单元309,用于当所述会话状态类型为会话过载保护状态时,发送报警信息。
上述图3示出的会话过载处理装置的实施例,其具体实现过程可参见前述方法实施例的说明,在此不再赘述。
从以上方法和装置的实施例中可以看出,网络安全设备在接收到业务报文后,判断是否存在该业务报文的会话表项,当不存在会话表项时,判断当前会话状态类型,若会话状态类型为会话过载保护状态,则无需创建会话,直接转发业务报文,从而保证了即使在会话过载状态下,仍然可以正常通信,不会出现断网、死机等故障。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种会话过载处理的方法,应用于网络安全设备,其特征在于,该方法包括:
接收业务报文;
判断是否存在与所述业务报文匹配的会话表项;
当不存在与所述业务报文匹配的会话表项时,判断会话状态类型;
当所述会话状态类型为会话过载保护状态时,转发所述业务报文。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
当所述会话状态类型为非会话过载保护状态时,创建所述业务报文的会话表项。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
判断当前维护的会话数量是否达到预设的会话数量阈值;
当所述会话数量达到所述会话数量阈值时,设置所述会话状态类型为会话过载保护状态。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
判断所述会话过载保护状态的过载保护时长是否达到预设的过载保护时长阈值;
当所述过载保护时长达到预设的过载保护时长阈值时,设置所述会话状态类型为非会话过载保护状态。
5.如权利要求1-4任一所述的方法,其特征在于,所述方法还包括:
当所述会话状态类型为会话过载保护状态时,发送报警信息。
6.一种会话过载处理的装置,应用于网络安全设备,其特征在于,该装置包括:
报文接收单元,用于接收业务报文;
表项判断单元,用于判断是否存在与所述业务报文匹配的会话表项;
类型判断单元,用于当不存在与所述业务报文匹配的会话表项时,判断会话状态类型;
报文转发单元,用于当所述会话状态类型为会话过载保护状态时,转发所述业务报文。
7.如权利要求6所述的装置,其特征在于,所述装置还包括:
表项创建单元,用于当所述会话状态类型为非会话过载保护状态时,创建所述业务报文的会话表项。
8.如权利要求6所述的装置,其特征在于,所述装置还包括:
数量判断单元,用于判断当前维护的会话数量是否达到预设的会话数量阈值;
类型设置单元,用于当所述会话数量达到所述会话数量阈值时,设置所述会话状态类型为会话过载保护状态。
9.如权利要求6所述的装置,其特征在于,所述装置还包括:
时长判断单元,用于判断所述会话过载保护状态的过载保护时长是否达到预设的过载保护时长阈值;
所述类型设置单元,还用于当所述过载保护时长达到预设的过载保护时长阈值时,设置所述会话状态类型为非会话过载保护状态。
10.如权利要求6-9任一所述的装置,其特征在于,所述装置还包括:
报警发送单元,用于当所述会话状态类型为会话过载保护状态时,发送报警信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410683189.9A CN105704086A (zh) | 2014-11-24 | 2014-11-24 | 会话过载处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410683189.9A CN105704086A (zh) | 2014-11-24 | 2014-11-24 | 会话过载处理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105704086A true CN105704086A (zh) | 2016-06-22 |
Family
ID=56941289
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410683189.9A Pending CN105704086A (zh) | 2014-11-24 | 2014-11-24 | 会话过载处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105704086A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108152620A (zh) * | 2017-12-18 | 2018-06-12 | 北京航天测控技术有限公司 | 一种用电设备的效能监控分析仪器、系统和方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101459583A (zh) * | 2007-12-13 | 2009-06-17 | 华为技术有限公司 | 报文处理方法和装置、以及报文发送方法和装置 |
| CN102045331A (zh) * | 2009-10-22 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 查询请求报文处理方法、装置及系统 |
| CN102546363A (zh) * | 2010-12-21 | 2012-07-04 | 深圳市恒扬科技有限公司 | 一种报文处理方法、装置及设备 |
| CN102739683A (zh) * | 2012-06-29 | 2012-10-17 | 杭州迪普科技有限公司 | 一种网络攻击过滤方法及装置 |
| CN103036885A (zh) * | 2012-12-18 | 2013-04-10 | 迈普通信技术股份有限公司 | Sip服务器过载保护系统及方法 |
| CN103051534A (zh) * | 2012-11-20 | 2013-04-17 | 杭州迪普科技有限公司 | 一种报文处理方法及装置 |
| CN103297347A (zh) * | 2013-05-15 | 2013-09-11 | 杭州华三通信技术有限公司 | 一种负载均衡处理方法及装置 |
-
2014
- 2014-11-24 CN CN201410683189.9A patent/CN105704086A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101459583A (zh) * | 2007-12-13 | 2009-06-17 | 华为技术有限公司 | 报文处理方法和装置、以及报文发送方法和装置 |
| CN102045331A (zh) * | 2009-10-22 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 查询请求报文处理方法、装置及系统 |
| CN102546363A (zh) * | 2010-12-21 | 2012-07-04 | 深圳市恒扬科技有限公司 | 一种报文处理方法、装置及设备 |
| CN102739683A (zh) * | 2012-06-29 | 2012-10-17 | 杭州迪普科技有限公司 | 一种网络攻击过滤方法及装置 |
| CN103051534A (zh) * | 2012-11-20 | 2013-04-17 | 杭州迪普科技有限公司 | 一种报文处理方法及装置 |
| CN103036885A (zh) * | 2012-12-18 | 2013-04-10 | 迈普通信技术股份有限公司 | Sip服务器过载保护系统及方法 |
| CN103297347A (zh) * | 2013-05-15 | 2013-09-11 | 杭州华三通信技术有限公司 | 一种负载均衡处理方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| HTTP://SUPPORT.HUAWEI.COM/ENTERPRISE/ZH/DOC/DOC1000010139?SECTIO: "Secoway USG2100&2200&5100 BSR&HSR&USG2000&5000 V300R001配置指南-命令行方式", 《HUAWEI配置指南》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108152620A (zh) * | 2017-12-18 | 2018-06-12 | 北京航天测控技术有限公司 | 一种用电设备的效能监控分析仪器、系统和方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6749106B2 (ja) | 産業用通信ネットワークにおける異常検出、異常検出システム、及び異常検出を行う方法 | |
| US10171425B2 (en) | Active firewall control for network traffic sessions within virtual processing platforms | |
| CN110808873B (zh) | 一种检测链路故障的方法及装置 | |
| CN101247353B (zh) | 流老化方法及网络设备 | |
| CN105871743B (zh) | 聚合端口状态协商方法以及装置 | |
| JP2010050857A (ja) | 経路制御装置およびパケット廃棄方法 | |
| CN103929334A (zh) | 网络异常通知方法和装置 | |
| CN104601550A (zh) | 基于集群阵列的反向隔离文件传输系统及其方法 | |
| CN110784436B (zh) | 用于维持互联网协议安全隧道的方法和设备 | |
| CN103227777B (zh) | 一种防止dpd探测失败导致ipsec隧道震荡的方法 | |
| WO2015094040A1 (en) | Method and control node for handling data packets | |
| CN102611630B (zh) | 一种报文接收控制方法及系统 | |
| CN102510385A (zh) | 防ip数据报分片攻击的方法 | |
| CN105812318A (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
| CN102469045A (zh) | 一种提升web安全网关并发性能的方法 | |
| CN103685480A (zh) | 一种传输控制协议网络实现方法以及一种服务器 | |
| WO2011012004A1 (zh) | 一种实现网络流量清洗的方法及系统 | |
| JP2014147066A (ja) | データネットワーク通信において冗長性を提供する方法およびシステム | |
| CN104519021A (zh) | 防止恶意流量攻击的方法及装置 | |
| CN105281929B (zh) | 一种服务网口状态检测和容错的装置及其方法 | |
| CN105704086A (zh) | 会话过载处理方法及装置 | |
| EP3146672B1 (en) | Event reporting in a service function chain | |
| WO2017071430A1 (zh) | 处理报文的方法、网卡及系统、更新信息的方法及主机 | |
| JP5091975B2 (ja) | 情報処理装置及び情報処理システム | |
| Hu et al. | Research of DDoS attack mechanism and its defense frame |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160622 |
|
| RJ01 | Rejection of invention patent application after publication |