CN106789954A - 一种基于多cpu的ddos攻击识别的方法和装置 - Google Patents
一种基于多cpu的ddos攻击识别的方法和装置 Download PDFInfo
- Publication number
- CN106789954A CN106789954A CN201611086105.9A CN201611086105A CN106789954A CN 106789954 A CN106789954 A CN 106789954A CN 201611086105 A CN201611086105 A CN 201611086105A CN 106789954 A CN106789954 A CN 106789954A
- Authority
- CN
- China
- Prior art keywords
- message
- target session
- cpu
- list item
- index list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5027—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
- G06F9/5044—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering hardware capabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种基于多CPU的DDOS攻击识别的方法,应用于SMP设备,该方法包括以下步骤:接收到目标会话的报文后,提取该报文的指定报文特征和处理该报文的目标CPU的标识;对所述指定报文特征计算得到索引值,并在索引表中查找对应于该索引值的索引表项,以及更新该索引表项中记录的报文数量;基于所述索引表项中各子表项中记录的报文数量统计各CPU对应于所述目标会话的报文接收速率,并将各子表项对应的所述报文接收速率相加,得到所述SMP设备对应于所述目标会话的报文接收速率;判断该报文接收速率是否大于预设的阈值,如果是,确定所述目标会话的报文为DDOS攻击报文。本申请可以有效地在SMP架构下识别DDOS攻击。
Description
技术领域
本申请涉及通信技术领域,特别涉及一种基于多CPU的DDOS攻击识别的方法和装置。
背景技术
DDOS(Distributed Denial of Service,分布式拒绝服务)攻击是一个或多个攻击者通过控制大量的计算机作为攻击源,同时向某个服务器发送大量数据,最终导致服务器瘫痪的攻击方式。DDOS攻击会造成网络资源浪费、链路带宽堵塞、服务器资源耗尽而业务中断。
现有技术通过在接收到报文后,针对报文特征统计报文数量,获得流量速率,比较流量速率和预设的阈值。在流量速率超出预设的阈值时,对后续的该类报文进行限速或阻断等防护措施来实现识别并防护攻击的目的。
然而,在SMP(Symmetric Multi-Processing,对称多处理系统)的架构下,如果没有使用自旋锁,因为多CPU使用同一个存储结构进行流量统计,在并发进行加法操作时,会产生错误计算,导致统计的速率比实际的速率偏小;而如果使用了自旋锁,则会因为CPU等待读写而产生CPU处理资源的浪费。因此,现有技术在SMP架构下无法有效识别DDOS攻击。
发明内容
有鉴于此,本申请提供一种基于多CPU的DDOS攻击识别的方法和装置,用以解决现有技术在SMP的架构下,无法有效识别DDOS攻击的问题。
具体地,本申请是通过如下技术方案实现的:
一种基于多CPU的DDOS攻击识别的方法,应用于对称多处理结构SMP设备,包括:
接收到目标会话的报文后,提取该报文的指定报文特征和处理该报文的目标CPU的标识;
基于预设的算法对所述指定报文特征进行计算得到索引值,并查找预设的索引表中与该索引值对应的索引表项,以及更新该索引表项中记录的报文数量;其中,所述索引表项包括与所述SMP设备的各CPU对应的子表项;该子表项包括对应的CPU的标识和该CPU所处理的所述目标会话的报文数量的映射关系;
基于所述索引表项中各子表项中记录的报文数量统计在单位时间内各CPU对应于所述目标会话的报文接收速率,并将各子表项对应的所述报文接收速率相加,得到所述SMP设备单位时间内对应于所述目标会话的报文接收速率;
判断所述SMP设备单位时间内对应于所述目标会话的报文接收速率是否大于预设的阈值;如果是,确定所述目标会话的报文为DDOS攻击报文。
在所述基于多CPU的DDOS攻击识别的方法中,所述方法还包括:
当根据计算得到的索引值无法在预设的索引表中查找到对应的索引表项时,新建对应该索引值的索引表项。
在所述基于多CPU的DDOS攻击识别的方法中,所述方法还包括:
确定所述目标会话的报文属于DDOS攻击后,为所述索引表项添加预设的防护标识。
在所述基于多CPU的DDOS攻击识别的方法中,所述方法还包括:
针对任一添加了所述防护标识的索引表项,基于该索引表项中各子表项中记录的报文数量统计在单位时间内各CPU对应的目标报文的接收速率,并将各子表项对应的目标报文接收速率相加,得到所述SMP设备单位时间内对应于目标会话的报文接收速率;
如果在预设时长内,所述SMP设备对应于目标会话的报文接收速率始终小于或等于预设的阈值,删除该索引表项中的防护标识;或者删除该索引表项。
在所述基于多CPU的DDOS攻击识别的方法中,所述方法还包括:
对与添加了防护标记的索引表项对应的目标会话的报文进行防护处理;其中,所述防护处理包括对所述目标会话的报文进行限速或阻断。
一种基于多CPU的DDOS攻击识别的装置,应用于对称多处理结构SMP设备,包括:
提取单元,用于接收到目标会话的报文后,提取该报文的指定报文特征和处理该报文的目标CPU的标识;
统计单元,用于基于预设的算法对所述指定报文特征进行计算得到索引值,并查找预设的索引表中与该索引值对应的索引表项,以及更新该索引表项中记录的报文数量;其中,所述索引表项包括与所述SMP设备的各CPU对应的子表项;该子表项包括对应的CPU的标识和该CPU所处理的所述目标会话的报文数量的映射关系;
计算单元,用于基于所述索引表项中各子表项中记录的报文数量统计在单位时间内各CPU对应于所述目标会话的报文接收速率,并将各子表项对应的所述报文接收速率相加,得到所述SMP设备单位时间内对应于所述目标会话的报文接收速率;
判断单元,用于判断所述SMP设备单位时间内对应于所述目标会话的报文接收速率是否大于预设的阈值;如果是,确定所述目标会话的报文为DDOS攻击报文。
在所述基于多CPU的DDOS攻击识别的装置中,所述装置还包括:
新建单元,用于当根据计算得到的索引值无法在预设的索引表中查找到对应的索引表项时,新建对应该索引值的索引表项。
在所述基于多CPU的DDOS攻击识别的装置中,所述装置还包括:
添加单元,用于确定所述目标会话的报文属于DDOS攻击后,为所述索引表项添加预设的防护标识。
在所述基于多CPU的DDOS攻击识别的装置中,所述装置还包括:
所述计算单元,进一步用于针对任一添加了所述防护标识的索引表项,基于该索引表项中各子表项中记录的报文数量统计在单位时间内各CPU对应的目标报文的接收速率,并将各子表项对应的目标报文接收速率相加,得到所述SMP设备单位时间内对应于目标会话的报文接收速率;
删除单元,用于如果在预设时长内,所述SMP设备对应于目标会话的报文接收速率始终小于或等于预设的阈值,删除该索引表项中的防护标识;或者删除该索引表项。
在所述基于多CPU的DDOS攻击识别的装置中,所述装置还包括:
防护单元,用于对与添加了防护标记的索引表项对应的目标会话的报文进行防护处理;其中,所述防护处理包括对所述目标会话的报文进行限速或阻断。
在本申请实施例中,接收到目标会话的报文后,获取所述目标会话的报文的指定报文特征和处理所述目标会话的报文的目标CPU的标识,然后根据所述指定报文特征和所述目标CPU的标识,更新所述目标CPU接收所述目标会话的报文数量,在达到预设的时间周期后,分别统计在单位时间内各CPU对应于所述目标会话的报文接收速率,并把各CPU对应于所述目标会话的报文接收速率相加,得到所述SMP设备单位时间内对应于所述目标会话的报文接收速率,判断所述SMP设备单位时间内对应于所述目标会话的报文接收速率是否大于预设的阈值,如果是,确定所述目标会话的报文属于DDOS攻击。
由于本申请实施例的技术方案,针对SMP设备的每个CPU分别统计对应于目标会话的报文接收速率,然后汇总各个CPU对应于目标会话的报文接收速率,求和得到所述SMP设备对应于目标会话的报文接收速率,所以在并发地进行统计时不会导致速率偏小,也没有因为使用了自旋锁而造成CPU处理资源的浪费。可以有效地在SMP架构下识别DDOS攻击。
附图说明
图1是本申请示出的一种基于多CPU的DDOS攻击识别的方法的流程图;
图2是本申请示出的一种基于多CPU的DDOS攻击识别的装置的逻辑框图;
图3是本申请示出的一种基于多CPU的DDOS攻击识别的装置的硬件结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对现有技术方案和本发明实施例中的技术方案作进一步详细的说明。
在现有技术中,针对DDOS攻击的防御,可以在接收到目标会话的报文后,提取上述目标会话的报文的指定报文特征,然后根据上述指定报文特征统计接收上述目标会话的报文的数量,并计算单位时间内接收上述目标会话的报文的速率。然后,比较接收上述目标会话的报文的速率与预设的阈值,当接收上述目标会话的报文的速率大于预设的阈值时,确定上述目标会话的报文是DDOS攻击报文,此时,可以对后续的上述目标会话的报文进行限速或阻断等防护措施来防护DDOS攻击。
现有技术适用于使用单一存储结构进行流量统计的网络环境,如果将现有技术直接移植到SMP架构下,多CPU使用一个存储结构进行流量统计,如果使用自旋锁,则当任一CPU在统计接收到的目标会话的报文的数量时,其它CPU处于闲置状态,造成资源浪费。其中,自旋锁指的是针对多CPU架构引入的一种锁机制,在任何时刻,最多只能有一个CPU为自旋锁的保持者,该CPU可以访问存储结构,而其它CPU无法访问存储结构。
而如果不使用自旋锁,多CPU使用同一个存储结构进行流量统计时,会产生错误计算,导致统计的速率比实际的速率偏小。比如:在存储结构中记录的报文数量是100时,又接收到3个目标会话的报文,分别由3个CPU处理,每个CPU分别读取存储结构中的报文数量加1,在并行处理时,得到统计数量为101,小于实际的103,因此计算得到的单位时间的接收目标会话的报文的速率小于实际的速率。
可见,现有技术无法直接移植到SMP架构下有效地识别DDOS攻击。为此,本申请实施例引入多个存储结构,对应于SMP架构下的每一个CPU,针对每个CPU分别统计接收目标会话的报文的速率,然后汇总、相加得到SMP设备对应于目标会话的报文接收速率,通过比较计算得到的报文接收速率与预设阈值的大小,可以有效地识别DDOS攻击。
参见图1,为本申请示出的一种基于多CPU的DDOS攻击识别的方法的流程图,该方法的执行主体是SMP设备;所述方法包括以下步骤:
步骤101:接收到目标会话的报文后,提取该报文的指定报文特征和处理该报文的目标CPU的标识。
步骤102:基于预设的算法对所述指定报文特征进行计算得到索引值,并查找预设的索引表中与该索引值对应的索引表项,以及更新该索引表项中记录的报文数量;其中,所述索引表项包括与所述SMP设备的各CPU对应的子表项;该子表项包括对应的CPU的标识和该CPU所处理的所述目标会话的报文数量的映射关系。
步骤103:基于所述索引表项中各子表项中记录的报文数量统计在单位时间内各CPU对应于所述目标会话的报文接收速率,并将各子表项对应的所述报文接收速率相加,得到所述SMP设备单位时间内对应于所述目标会话的报文接收速率。
步骤104:判断所述SMP设备单位时间内对应于所述目标会话的报文接收速率是否大于预设的阈值;如果是,确定所述目标会话的报文为DDOS攻击报文。
上述SMP设备,指的是汇集了多CPU的计算机设备,其中,各CPU间共享内存子系统以及总线结构。系统将任务队列对称地分布在多个CPU上,所有的CPU都可以平等地访问内存、输入输出接口等,相比单个CPU的计算机设备而言,极大地提高了整个系统的数据处理能力。
在本申请实施例中,SMP设备针对DDOS攻击的防御,可以在接收到目标会话的报文后,提取上述目标会话的报文的指定报文特征和处理上述目标会话的报文的目标CPU的标识。其中,上述指定报文特征可以包括报文长度、TTL(Time To Live,生存时间值)、源端口、目的端口等信息,也可以包括数据段的一些信息。
根据上述指定报文特征确定的目标会话的报文可以是属于同一会话的报文,也包括属于一类会话的报文,取决于上述指定报文特征的具体内容,而上述指定报文特征的选择可以由人工设置。
在本申请实施例中,SMP设备在提取到上述目标会话的报文的指定报文特征后,可以基于预设的算法对上述指定报文特征进行计算,得到索引值。其中,上述预设的算法包括hash算法、RFC(Recursive Flow Classification,递归流分类)算法等。
SMP设备在计算得到上述指定报文特征的索引值后,可以根据该索引值查找预设的索引表,查到与该索引值对应的索引表项。上述索引表包括SMP设备接收到的报文的指定报文特征经计算得到的索引值与该指定报文特征对应的报文的接收数量的映射关系。具体而言,上述索引表的索引表项包括与SMP设备的各CPU对应的子表项,其中,每个子表项包括对应的CPU的标识和该CPU所处理的上述目标会话的报文的数量的映射关系。所以,指定报文特征计算得到的索引值对应的报文的接收数量,实际上是由子表项中记录的报文数量累加得到。
另外,如果SMP设备根据该索引值,无法在预设的索引表中查找到与该索引值对应的索引表项,说明上述目标会话的报文是上述目标会话的首报文,在这种情况下,可以新建一个与该索引值对应的索引表项。
SMP设备在查到与该索引值对应的索引表项后,根据处理上述目标会话的报文的目标CPU的标识,查找与该目标CPU的标识对应的子表项,然后在查找到对应该目标CPU的标识的子表项后,在子表项中记录的原有的报文数量上加一。
另外,如果SMP设备根据处理上述目标会话的报文的目标CPU的标识,在与该索引值对应的索引表项中无法查到与该目标CPU的标识对应的子表项,所述该目标CPU是首次处理上述目标会话的报文,在这种情况下,可以新建一个与该目标CPU的标识对应的子表项,然后,在该子表项的报文数量中记录为一。
在本申请实施例中,当达到预设的时间周期后,SMP设备可以统计在当前时间周期内上述目标会话的报文对应的索引表项中各子表项中记录的报文数量,在示出的一种实施方式中,针对每一个子表项统计报文数量,可以将当前时间周期结束时记录的报文数量减去上一个时间周期结束时记录的报文数量,得到每一个子表项对应的CPU在当前时间周期内接收上述目标会话的报文的数量。其中,上述时间周期可以根据应用需要进行设置,例如,可以设置为3秒。
在统计得到当前时间周期内接收到的上述目标会话的报文的数量后,可以接着计算每一个子表项对应的CPU在当前时间周期内对应于上述目标会话的报文接收速率,然后将各子表项对应的报文接收速率相加,得到SMP设备对应于上述目标会话的报文接收速率。
在本申请实施例中,SMP设备在计算得到对应于上述目标会话的报文接收速率后,可以将该报文接收速率与预设的阈值比较大小,其中,预设的阈值可以根据实际的应用环境人工配置。如果该报文接收速率大于预设的阈值,则可以确定上述目标会话的报文为DDOS攻击报文。
当SMP设备确定上述目标会话的报文为DDOS攻击报文时,可以为上述目标会话的报文对应的上述索引表项添加预设的防护标识。
通过该防护标识,SMP设备可以针对上述索引表项对应的上述目标会话的报文进行防护处理。其中,防护处理包括对上述目标会话的报文进行限速或者阻断。
在示出的一种实施方式中,SMP设备在接收到报文后,可以提取指定报文特征,并根据该指定报文特征查找预设的索引表中与该指定报文特征对应的索引表项,如果该索引表项被添加防护标记,则可以丢弃该报文。
在本申请实施例中,添加了上述防护标识的索引表项对应的目标会话的报文可能并非始终为DDOS攻击报文,在这种情况下,如果SMP设备始终以处理DDOS攻击报文的方式处理添加了上述防护标识的索引表项对应的目标会话的报文,显然是错误的处理方式。因此,本申请实施例对添加了防护标记的索引表项引入老化机制,用以解决上述问题。
针对任一添加了上述防护标记的索引表项,SMP设备可以继续统计接收该索引表项对应的目标会话的报文的数量,在达到周期时间后,统计该索引表项中各子表项中记录的报文数量,确定在这个时间周期内各CPU接收该索引表项对应的目标会话的报文的数量,并计算单位时间内各CPU对应于该目标会话的报文接收速率,并进行累加,得到SMP设备对应于该目标会话的报文接收速率。
在得到报文接收速率后,仍旧将该报文接收速率与预设的阈值比较大小。在预设时长内,SMP设备可以统计比较多次,如果该报文接收速率始终小于或等于预设的阈值,则说明该索引表项对应的目标会话的报文可能已经不是DDOS攻击报文了,在这种情况下,可以对该索引表项进行相应的处理。其中,上述预设时长即为老化机制的表项老化时长,可以根据实际应用情况进行配置,例如,预设时长可以配置为15秒。
在示出的一种实施方式中,SMP设备可以删除该索引表项,用于清理该索引表项占据的内存。在示出的另一种实施方式中,SMP设备可以删除该索引表项中的防护标识,表明该索引表项对应的目标会话的报文不再是DDOS攻击报文。上述措施可以有效规避SMP对报文的错误处理。
综上所述,在本申请实施例中,SMP设备针对DDOS攻击,在接收到目标会话的报文后,提取该目标会话的报文的指定报文特征以及处理该目标会话的报文的CPU的标识,然后在与该指定报文特征计算得到的索引值对应的索引表项中,与该CPU的标识对应的子表项中更新报文数量。由于对接收到的目标会话的报文的对应每一个CPU都有一个独立的存储结构进行流量统计,因此,在统计过程中不会出错。在预设的时间周期达到后,SMP设备可以计算各CPU对应于该目标会话的报文接收速率,然后累加得到SMP设备对应于该目标会话的报文接收速率,并比较报文接收速率与预设的阈值的大小,从而确定该目标会话的报文是否为DDOS攻击报文。可见,本申请实施例可以有效地在SMP架构下识别DDOS攻击。
与本申请基于多CPU的DDOS攻击识别的方法的实施例相对应,本申请还提供了用于执行上述方法的实施例的装置的实施例。
参见图2,为本申请示出的一种基于多CPU的DDOS攻击识别的装置的逻辑框图:
如图2所示,该基于多CPU的DDOS攻击识别的装置20包括:
提取单元210,用于接收到目标会话的报文后,提取该报文的指定报文特征和处理该报文的目标CPU的标识。
统计单元220,用于基于预设的算法对所述指定报文特征进行计算得到索引值,并查找预设的索引表中与该索引值对应的索引表项,以及更新该索引表项中记录的报文数量;其中,所述索引表项包括与所述SMP设备的各CPU对应的子表项;该子表项包括对应的CPU的标识和该CPU所处理的所述目标会话的报文数量的映射关系。
计算单元230,用于基于所述索引表项中各子表项中记录的报文数量统计在单位时间内各CPU对应于所述目标会话的报文接收速率,并将各子表项对应的所述报文接收速率相加,得到所述SMP设备单位时间内对应于所述目标会话的报文接收速率。
判断单元240,用于判断所述SMP设备单位时间内对应于所述目标会话的报文接收速率是否大于预设的阈值;如果是,确定所述目标会话的报文为DDOS攻击报文。
在本例中,所述装置还包括:
新建单元250,用于当根据计算得到的索引值无法在预设的索引表中查找到对应的索引表项时,新建对应该索引值的索引表项。
在本例中,所述装置还包括:
添加单元260,用于确定所述目标会话的报文属于DDOS攻击后,为所述索引表项添加预设的防护标识。
在本例中,所述装置还包括:
所述计算单元230,进一步用于针对任一添加了所述防护标识的索引表项,基于该索引表项中各子表项中记录的报文数量统计在单位时间内各CPU对应的目标报文的接收速率,并将各子表项对应的目标报文接收速率相加,得到所述SMP设备单位时间内对应于目标会话的报文接收速率。
删除单元270,用于如果在预设时长内,所述SMP设备对应于目标会话的报文接收速率始终小于或等于预设的阈值,删除该索引表项中的防护标识;或者删除该索引表项。
在本例中,所述装置还包括:
防护单元280,用于对与添加了防护标记的索引表项对应的目标会话的报文进行防护处理;其中,所述防护处理包括对所述目标会话的报文进行限速或阻断。
本申请基于多CPU的DDOS攻击识别的装置的实施例可以应用在SMP设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在SMP设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本申请基于多CPU的DDOS攻击识别的装置所在SMP设备的一种硬件结构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的SMP设备通常根据该基于多CPU的DDOS攻击识别的装置的实际功能,还可以包括其他硬件,对此不再赘述。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种基于多CPU的DDOS攻击识别的方法,应用于对称多处理结构SMP设备,其特征在于,包括:
接收到目标会话的报文后,提取该报文的指定报文特征和处理该报文的目标CPU的标识;
基于预设的算法对所述指定报文特征进行计算得到索引值,并查找预设的索引表中与该索引值对应的索引表项,以及更新该索引表项中记录的报文数量;其中,所述索引表项包括与所述SMP设备的各CPU对应的子表项;该子表项包括对应的CPU的标识和该CPU所处理的所述目标会话的报文数量的映射关系;
基于所述索引表项中各子表项中记录的报文数量统计在单位时间内各CPU对应于所述目标会话的报文接收速率,并将各子表项对应的所述报文接收速率相加,得到所述SMP设备单位时间内对应于所述目标会话的报文接收速率;
判断所述SMP设备单位时间内对应于所述目标会话的报文接收速率是否大于预设的阈值;如果是,确定所述目标会话的报文为DDOS攻击报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当根据计算得到的索引值无法在预设的索引表中查找到对应的索引表项时,新建对应该索引值的索引表项。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
确定所述目标会话的报文属于DDOS攻击后,为所述索引表项添加预设的防护标识。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
针对任一添加了所述防护标识的索引表项,基于该索引表项中各子表项中记录的报文数量统计在单位时间内各CPU对应的目标报文的接收速率,并将各子表项对应的目标报文接收速率相加,得到所述SMP设备单位时间内对应于目标会话的报文接收速率;
如果在预设时长内,所述SMP设备对应于目标会话的报文接收速率始终小于或等于预设的阈值,删除该索引表项中的防护标识;或者删除该索引表项。
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
对与添加了防护标记的索引表项对应的目标会话的报文进行防护处理;其中,所述防护处理包括对所述目标会话的报文进行限速或阻断。
6.一种基于多CPU的DDOS攻击识别的装置,应用于对称多处理结构SMP设备,其特征在于,包括:
提取单元,用于接收到目标会话的报文后,提取该报文的指定报文特征和处理该报文的目标CPU的标识;
统计单元,用于基于预设的算法对所述指定报文特征进行计算得到索引值,并查找预设的索引表中与该索引值对应的索引表项,以及更新该索引表项中记录的报文数量;其中,所述索引表项包括与所述SMP设备的各CPU对应的子表项;该子表项包括对应的CPU的标识和该CPU所处理的所述目标会话的报文数量的映射关系;
计算单元,用于基于所述索引表项中各子表项中记录的报文数量统计在单位时间内各CPU对应于所述目标会话的报文接收速率,并将各子表项对应的所述报文接收速率相加,得到所述SMP设备单位时间内对应于所述目标会话的报文接收速率;
判断单元,用于判断所述SMP设备单位时间内对应于所述目标会话的报文接收速率是否大于预设的阈值;如果是,确定所述目标会话的报文为DDOS攻击报文。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
新建单元,用于当根据计算得到的索引值无法在预设的索引表中查找到对应的索引表项时,新建对应该索引值的索引表项。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
添加单元,用于确定所述目标会话的报文属于DDOS攻击后,为所述索引表项添加预设的防护标识。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
所述计算单元,进一步用于针对任一添加了所述防护标识的索引表项,基于该索引表项中各子表项中记录的报文数量统计在单位时间内各CPU对应的目标报文的接收速率,并将各子表项对应的目标报文接收速率相加,得到所述SMP设备单位时间内对应于目标会话的报文接收速率;
删除单元,用于如果在预设时长内,所述SMP设备对应于目标会话的报文接收速率始终小于或等于预设的阈值,删除该索引表项中的防护标识;或者删除该索引表项。
10.根据权利要求8所述的装置,其特征在于,所述装置还包括:
防护单元,用于对与添加了防护标记的索引表项对应的目标会话的报文进行防护处理;其中,所述防护处理包括对所述目标会话的报文进行限速或阻断。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611086105.9A CN106789954A (zh) | 2016-11-30 | 2016-11-30 | 一种基于多cpu的ddos攻击识别的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611086105.9A CN106789954A (zh) | 2016-11-30 | 2016-11-30 | 一种基于多cpu的ddos攻击识别的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106789954A true CN106789954A (zh) | 2017-05-31 |
Family
ID=58914078
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611086105.9A Pending CN106789954A (zh) | 2016-11-30 | 2016-11-30 | 一种基于多cpu的ddos攻击识别的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106789954A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107547507A (zh) * | 2017-06-27 | 2018-01-05 | 新华三技术有限公司 | 一种防攻击方法、装置、路由器设备及机器可读存储介质 |
| CN108390856A (zh) * | 2018-01-12 | 2018-08-10 | 北京奇艺世纪科技有限公司 | 一种DDoS攻击检测方法、装置及电子设备 |
| CN109327441A (zh) * | 2018-10-10 | 2019-02-12 | 光通天下网络科技股份有限公司 | 分布式DDoS防御系统的攻击数据整合方法、整合装置和电子设备 |
| CN109495447A (zh) * | 2018-10-10 | 2019-03-19 | 光通天下网络科技股份有限公司 | 分布式DDoS防御系统的流量数据整合方法、整合装置和电子设备 |
| CN114629694A (zh) * | 2022-02-28 | 2022-06-14 | 天翼安全科技有限公司 | 一种分布式拒绝服务DDoS的检测方法及相关装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753315A (zh) * | 2008-11-27 | 2010-06-23 | 百度在线网络技术(北京)有限公司 | DDoS攻击测试方法、装置和系统 |
| WO2011020254A1 (zh) * | 2009-08-21 | 2011-02-24 | 华为技术有限公司 | 防范网络攻击的方法和装置 |
| CN102045308A (zh) * | 2009-10-10 | 2011-05-04 | 中兴通讯股份有限公司 | 一种防止拒绝服务攻击的方法及装置 |
| US20110138463A1 (en) * | 2009-12-07 | 2011-06-09 | Electronics And Telecommunications Research Institute | Method and system for ddos traffic detection and traffic mitigation using flow statistics |
| CN102487339A (zh) * | 2010-12-01 | 2012-06-06 | 中兴通讯股份有限公司 | 一种网络设备攻击防范方法及装置 |
| CN102932330A (zh) * | 2012-09-28 | 2013-02-13 | 北京百度网讯科技有限公司 | 一种检测分布式拒绝服务攻击的方法和装置 |
| CN104079563A (zh) * | 2014-06-10 | 2014-10-01 | 汉柏科技有限公司 | 一种抗ddos攻击的控制方法和装置 |
| US9055095B2 (en) * | 2013-06-14 | 2015-06-09 | Microsoft Technology Licensing, Llc | DOS detection and mitigation in a load balancer |
-
2016
- 2016-11-30 CN CN201611086105.9A patent/CN106789954A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753315A (zh) * | 2008-11-27 | 2010-06-23 | 百度在线网络技术(北京)有限公司 | DDoS攻击测试方法、装置和系统 |
| WO2011020254A1 (zh) * | 2009-08-21 | 2011-02-24 | 华为技术有限公司 | 防范网络攻击的方法和装置 |
| CN102045308A (zh) * | 2009-10-10 | 2011-05-04 | 中兴通讯股份有限公司 | 一种防止拒绝服务攻击的方法及装置 |
| US20110138463A1 (en) * | 2009-12-07 | 2011-06-09 | Electronics And Telecommunications Research Institute | Method and system for ddos traffic detection and traffic mitigation using flow statistics |
| CN102487339A (zh) * | 2010-12-01 | 2012-06-06 | 中兴通讯股份有限公司 | 一种网络设备攻击防范方法及装置 |
| CN102932330A (zh) * | 2012-09-28 | 2013-02-13 | 北京百度网讯科技有限公司 | 一种检测分布式拒绝服务攻击的方法和装置 |
| US9055095B2 (en) * | 2013-06-14 | 2015-06-09 | Microsoft Technology Licensing, Llc | DOS detection and mitigation in a load balancer |
| CN104079563A (zh) * | 2014-06-10 | 2014-10-01 | 汉柏科技有限公司 | 一种抗ddos攻击的控制方法和装置 |
Non-Patent Citations (2)
| Title |
|---|
| 曹冰: "基于Tile64多核网络入侵检测系统的研究与设计", 《中国优秀硕士学位论文全文数据库 信息科技辑(月刊 )》 * |
| 朱裕福: "基于多核CPU的DDOS检测技术研究", 《中国优秀硕士学位论文全文数据库 信息科技辑(月刊 )》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107547507A (zh) * | 2017-06-27 | 2018-01-05 | 新华三技术有限公司 | 一种防攻击方法、装置、路由器设备及机器可读存储介质 |
| CN107547507B (zh) * | 2017-06-27 | 2021-07-09 | 新华三技术有限公司 | 一种防攻击方法、装置、路由器设备及机器可读存储介质 |
| CN108390856A (zh) * | 2018-01-12 | 2018-08-10 | 北京奇艺世纪科技有限公司 | 一种DDoS攻击检测方法、装置及电子设备 |
| CN108390856B (zh) * | 2018-01-12 | 2020-09-18 | 北京奇艺世纪科技有限公司 | 一种DDoS攻击检测方法、装置及电子设备 |
| CN109327441A (zh) * | 2018-10-10 | 2019-02-12 | 光通天下网络科技股份有限公司 | 分布式DDoS防御系统的攻击数据整合方法、整合装置和电子设备 |
| CN109495447A (zh) * | 2018-10-10 | 2019-03-19 | 光通天下网络科技股份有限公司 | 分布式DDoS防御系统的流量数据整合方法、整合装置和电子设备 |
| CN109327441B (zh) * | 2018-10-10 | 2021-01-05 | 光通天下网络科技股份有限公司 | 分布式DDoS防御系统的攻击数据整合方法、整合装置和电子设备 |
| CN109495447B (zh) * | 2018-10-10 | 2021-05-07 | 光通天下网络科技股份有限公司 | 分布式DDoS防御系统的流量数据整合方法、整合装置和电子设备 |
| CN114629694A (zh) * | 2022-02-28 | 2022-06-14 | 天翼安全科技有限公司 | 一种分布式拒绝服务DDoS的检测方法及相关装置 |
| CN114629694B (zh) * | 2022-02-28 | 2024-01-19 | 天翼安全科技有限公司 | 一种分布式拒绝服务DDoS的检测方法及相关装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106789954A (zh) | 一种基于多cpu的ddos攻击识别的方法和装置 | |
| CN110597734B (zh) | 一种适用于工控私有协议的模糊测试用例生成方法 | |
| Janarthanan et al. | Feature selection in UNSW-NB15 and KDDCUP'99 datasets | |
| RU2668710C1 (ru) | Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике | |
| US20190319973A1 (en) | Multi-host Threat Tracking | |
| US10469528B2 (en) | Algorithmically detecting malicious packets in DDoS attacks | |
| US11290484B2 (en) | Bot characteristic detection method and apparatus | |
| WO2021050145A1 (en) | Inferring security incidents from observational data | |
| US10951649B2 (en) | Statistical automatic detection of malicious packets in DDoS attacks using an encoding scheme associated with payload content | |
| US20200329054A1 (en) | Automatic detection of malicious packets in ddos attacks using an encoding scheme | |
| CN109194684B (zh) | 一种模拟拒绝服务攻击的方法、装置及计算设备 | |
| CN102487339A (zh) | 一种网络设备攻击防范方法及装置 | |
| JP2006279930A (ja) | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 | |
| Mohammed et al. | Honeycyber: Automated signature generation for zero-day polymorphic worms | |
| CN111464525B (zh) | 一种会话识别方法、装置、控制设备及存储介质 | |
| CN114785567B (zh) | 一种流量识别方法、装置、设备及介质 | |
| CN108712365B (zh) | 一种基于流量日志的DDoS攻击事件检测方法及系统 | |
| Wang et al. | Honeynet construction based on intrusion detection | |
| Moustafa et al. | RCNF: Real-time collaborative network forensic scheme for evidence analysis | |
| Tang et al. | FTODefender: An efficient flow table overflow attacks defending system in SDN | |
| US20230283624A1 (en) | Method, apparatus, and system for determining data flow information | |
| CN113098852A (zh) | 一种日志处理方法及装置 | |
| CN112134906A (zh) | 一种网络流量敏感数据识别及动态管控方法 | |
| CN110162969B (zh) | 一种流量的分析方法和装置 | |
| CN105959300B (zh) | 一种DDoS攻击防护的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170531 |