CN107888540B - 一种网络防攻击方法及网络设备 - Google Patents
一种网络防攻击方法及网络设备 Download PDFInfo
- Publication number
- CN107888540B CN107888540B CN201610864676.4A CN201610864676A CN107888540B CN 107888540 B CN107888540 B CN 107888540B CN 201610864676 A CN201610864676 A CN 201610864676A CN 107888540 B CN107888540 B CN 107888540B
- Authority
- CN
- China
- Prior art keywords
- message
- rate
- transmission
- processor
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 72
- 230000005540 biological transmission Effects 0.000 claims abstract description 320
- 238000012545 processing Methods 0.000 claims abstract description 18
- 238000004891 communication Methods 0.000 claims description 28
- 238000006243 chemical reaction Methods 0.000 claims description 11
- 230000000694 effects Effects 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 13
- 241001522296 Erithacus rubecula Species 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000004888 barrier function Effects 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000015654 memory Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明实施例公开了一种网络防攻击方法,网络设备中的控制芯片对接收到的报文按报文类型进行轮询调度,以确定报文向所述网络设备中的处理器的传输顺序;按照所述传输顺序向网络设备中的处理器传输报文,其中,报文向处理器传输时的传输速率与处理器处理该报文时该报文的资源占用率相关联,即处理器处理报文时报文的资源占用率越小,该报文向处理器传输时的传输速率越大,从而提高网络防攻击效果,还提高网络设备的处理器的处理效率。
Description
技术领域
本发明涉及网络安全技术领域,更具体地说,涉及一种网络防攻击方法及网络设备。
背景技术
随着网络的快速普及、云处理和数据中心的呈现,网络中传输的报文的数量呈指数增长,对如何高效利用网络设备中已有的处理器资源提出更高的要求;与此同时,针对网络的网络攻击也逐渐增多,这对网络安全提出了更高的挑战。传统的网络防攻击方案中,对网络设备中处理器的端口进行限速和流量控制常常是网络安全最后的屏障。然而,传统的网络防攻击方法的防攻击效果较差。
发明内容
本申请提供一种网络防攻击方法及网络设备,以提高网络设备的处理器的处理效率,并提高网络防攻击效果。
第一方面,提供了一种网络防攻击方法,该方法包括以下步骤:对网络设备接收到的报文按报文类型进行轮询调度,以确定报文向所述网络设备中的处理器的传输顺序;按照所述传输顺序确定需要向所述处理器传输的第一报文;基于报文类型与传输参数的对应关系,确定与所述第一报文的类型对应的第一传输参数,所述第一传输参数表征所述第一报文向所述处理器传输时的第一传输速率;所述第一传输速率与所述第一报文被所述处理器处理时的资源占用率成反比;按照所述第一传输速率向所述处理器传输所述第一报文。
从上述过程可以看出,报文向处理器传输时的传输速率与处理器处理该报文时该报文的资源占用率相关联,即处理器处理报文时报文的资源占用率越小,该报文向处理器传输时的传输速率越大,从而提高网络设备的处理器的处理效率,还提高了网络防攻击效果。
在一种实现方式中,所述网络防攻击方法还包括:依据所述处理器对不同类型的报文进行处理时的报文的资源占用率,确定所述报文类型与传输参数的对应关系;其中,不同传输参数表征不同的传输速率,传输速率与资源占用率成反比。
进一步地,依据所述处理器对不同类型的报文进行处理时的资源占用率,确定所述报文类型与传输参数的对应关系,包括:根据所述处理器对不同类型的报文进行处理时的报文速率,确定报文类型与报文速率的对应关系;所述报文速率表征所述处理器的资源占用率;基于最大报文速率对应的第一报文类型,以及所述第一报文类型对应的传输速率,确定所述最大报文速率对应的传输速率;确定各个非最大报文速率与所述最大报文速率的比值;将各个非最大报文速率与所述最大报文速率的比值,与所述最大报文速率对应的传输速率相乘,得到各个非最大报文速率对应的传输速率;依据预置的传输速率与传输参数的转换关系,得到各个传输速率对应的传输参数;依据所述报文类型与报文速率的对应关系,报文速率与传输速率的对应关系,以及传输速率与传输参数的对应关系,确定报文类型与传输参数的对应关系。通过上述过程,不同类型的报文向处理器传输时,处理器均能工作在满负荷状态而不被攻击挂死,网络防攻击效果更佳,同时网络设备的处理器的处理效率更高。
在一种实现方式中,所述第一传输参数为:所述第一报文向所述处理器传输时,从令牌桶中扣除的第一令牌数;所述第一令牌数越大表征所述第一传输速率越小。
在另一种实现方式中,所述第一传输参数为:所述第一报文向所述处理器传输时,从令牌桶中扣除的第一令牌数与预置令牌数的第一令牌比值;所述第一令牌比值越大,表征所述第一传输速率越小。
第二方面,提供一种网络设备,该网络设备包括通信接口,控制芯片和处理器;所述通信接口,用于接收或发送报文;所述控制芯片,用于对通过所述通信接口接收到的报文按报文类型进行轮询调度,以确定报文向所述处理器的传输顺序;按照所述传输顺序确定需要向所述处理器传输的第一报文;基于报文类型与传输参数的对应关系,确定与所述第一报文的类型对应的第一传输参数,所述第一传输参数表征所述第一报文向所述处理器传输时的第一传输速率;所述第一传输速率与所述第一报文被所述处理器处理时的资源占用率成反比;通过所述通信接口,按照所述第一传输速率向所述处理器传输所述第一报文;所述处理器,用于对接收到的报文进行处理。
在一种实现方式中,所述控制芯片还用于,依据所述处理器对不同类型的报文进行处理时的资源占用率,确定所述报文类型与传输参数的对应关系;其中,不同传输参数表征不同的传输速率,传输速率与资源占用率成反比。
进一步的,所述控制芯片依据所述处理器对不同类型的报文进行处理时的资源占用率,确定所述报文类型与传输参数的对应关系,包括:所述控制芯片根据所述处理器对不同类型的报文进行处理时的报文速率,确定报文类型与报文速率的对应关系;所述报文速率表征所述处理器的资源占用率;基于最大报文速率对应的第一报文类型,以及所述第一报文类型对应的传输速率,确定所述最大报文速率对应的传输速率;确定各个非最大报文速率与所述最大报文速率的比值;将各个非最大报文速率与所述最大报文速率的比值,与所述最大报文速率对应的传输速率相乘,得到各个非最大报文速率对应的传输速率;依据预置的传输速率与传输参数的转换关系,得到各个传输速率对应的传输参数;依据所述报文类型与报文速率的对应关系,报文速率与传输速率的对应关系,以及传输速率与传输参数的对应关系,确定报文类型与传输参数的对应关系。
在一种实现方式中,所述第一传输参数为:所述第一报文向所述处理器传输时,从令牌桶中扣除的第一令牌数;所述第一令牌数越大表征所述第一传输速率越小。
在另一种实现方式中,所述第一传输参数为:所述第一报文向所述处理器传输时,从令牌桶中扣除的第一令牌数与预置令牌数的第一令牌比值;所述第一令牌比值越大,表征所述第一传输速率越小。
第三方面,提供一种网络防攻击装置,包括:调度模块,用于对网络设备接收到的报文按报文类型进行轮询调度,以确定报文向所述网络设备中的处理器的传输顺序;第一确定模块,用于按照所述传输顺序确定需要向所述处理器传输的第一报文;第二确定模块,用于基于报文类型与传输参数的对应关系,确定与所述第一报文的类型对应的第一传输参数,所述第一传输参数表征所述第一报文向所述处理器传输时的第一传输速率;所述第一传输速率与所述第一报文被所述处理器处理时的资源占用率成反比;传输模块,用于按照所述第一传输速率向所述处理器传输所述第一报文。
在一种实现方式中,所述装置还包括:第三确定模块,用于依据所述处理器对不同类型的报文进行处理时的资源占用率,确定所述报文类型与传输参数的对应关系;其中,不同传输参数表征不同的传输速率,传输速率与资源占用率成反比。
进一步的,所述第三确定模块包括:第一确定单元,用于根据所述处理器对不同类型的报文进行处理时的报文速率,确定报文类型与报文速率的对应关系;所述报文速率表征所述处理器的资源占用率;第二确定单元,用于基于最大报文速率对应的第一报文类型,以及所述第一报文类型对应的传输速率,确定所述最大报文速率对应的传输速率;第三确定单元,用于确定各个非最大报文速率与所述最大报文速率的比值;计算单元,用于将各个非最大报文速率与所述最大报文速率的比值,与所述最大报文速率对应的传输速率相乘,得到各个非最大报文速率对应的传输速率;转换单元,用于依据预置的传输速率与传输参数的转换关系,得到各个传输速率对应的传输参数;第四确定单元,用于依据所述报文类型与报文速率的对应关系,报文速率与传输速率的对应关系,以及传输速率与传输参数的对应关系,确定报文类型与传输参数的对应关系。
在一种实现方式中,所述第一传输参数为:所述第一报文向所述处理器传输时,从令牌桶中扣除的第一令牌数;所述第一令牌数越大表征所述第一传输速率越小。
在另一种实现方式中,所述第一传输参数为:所述第一报文向所述处理器传输时,从令牌桶中扣除的第一令牌数与预置令牌数的第一令牌比值;所述第一令牌比值越大,表征所述第一传输速率越小。
第四方面,提供了一种计算机存储介质,用于储存为上述方面所述的网络设备所用的计算机软件指令,其包含用于执行上述方面所设计的程序。
附图说明
图1为本发明实施例提供的网络设备的一种结构示意图;
图2为本发明实施例提供的控制芯片对接收到的报文按照报文类型进行轮询调度的一种实现示例图;
图3为本发明实施例提供的控制芯片对接收到的报文按照报文类型进行轮询调度的另一种实现示例图;
图4为本发明实施例提供的控制芯片对接收到的报文按照报文类型进行轮询调度的又一种实现示例图;
图5为本发明实施例提供的控制芯片确定报文类型与传输参数的对应关系的一种实现流程图;
图6为本发明实施例提供的通信系统的一种结构示意图;
图7为本发明实施例提供的网络防攻击方法的一种实现流程图;
图8为本发明实施例提供的网络防攻击装置的一种结构示意图;
图9为本发明实施例提供的网络防攻击装置的另一种结构示意图;
图10为本发明实施例提供的第三确定模块的一种结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,详细介绍本发明技术方案。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,图1为网络设备的一种结构示意图。该网络设备包括:控制芯片11、处理器12和通信接口13;其中,
控制芯片11为硬件芯片,具体可以是专用集成电路(Application SpecificIntegrated Circuit,ASIC),可编程逻辑器件(Programmable Logic Device,PLD),或二者的组合。
上述可编程逻辑器件可以是复杂可编程逻辑器件(Complex Programmable LogicDevice,CPLD),现场可编程逻辑门阵列(Field Programmable Gate Array,FPGA),或二者的组合。
处理器12可以是中央处理器(Central Processing Unit,CPU),网络处理器(Network Processor,NP),或二者的组合。
通信接口13包括至少两类接口,一类接口用于从其它网络设备接收报文。另一类接口,也称为总线,用于控制芯片11和处理器12之间的通信。
用于控制芯片11和处理器12之间通信的通信接口可以为支持Interlaken协议的接口,或者,可以是SGMII(Serial Gigabit Media Independent Interface)接口,或者,可以是SPI(Serial Peripheral Interface)接口,或者,可以是XGMII(10Gigabit MediaIndependent Interface)接口。
本发明实施例中,通信接口13接收到其它网络设备发送的报文后,控制芯片11对接收到的报文按照报文类型进行轮询调度,以确定报文向处理器12传输时的传输顺序。
控制芯片11按照上述传输顺序确定需要向处理器12传输的第一报文;
控制芯片11基于报文类型与传输参数的对应关系,确定与第一报文的类型对应的第一传输参数,该第一传输参数表征第一报文向处理器12传输时的第一传输速率;第一传输速率与第一报文被处理器12处理时的资源占用率成反比;
控制芯片11通过通信接口13,按照第一传输速率向处理器12传输第一报文。
控制芯片11通过通信接口13接收外部设备,即网络中的其它网络设备,发送来的报文,对接收到的报文进行限速处理后发送给处理器12处理,以防止大量报文短时间内进入处理器12造成处理器12超负荷运行而挂死。
本发明实施例中,控制芯片11可以按照报文类型将接收到的报文划分为不同的队列,即不同类型的报文构成不同队列,然后安照预置的调度规则对各个队列的报文进行轮询调度,以确定各个报文向处理器12传输时的传输顺序,同时还可以在一定程度上限定报文向处理器传输的速率。
图2为本发明实施例提供的,控制芯片11对报文进行轮询调度的一种实现示例图。
如图2所示,一种报文类型设置一个队列。控制芯片11首先对接收到的报文按报文类型划分至对应的队列。图2中以报文类型为三种为例进行说明,实际实现过程中,报文类型可以包括更多种,这里不一一列举。然后控制芯片11对这些队列进行轮询调度。在对这些队列轮询的过程中,每轮询到一个队列,若该队列不为空,则从该队列取走一个报文,若该队列为空,则直接跳过该队列,对下一个队列进行调度。通过该轮询调度,实现了队列之间,即不同类型的报文之间,对带宽的平等利用。
进一步地,在图2的基础上,如图3所示,为各个队列预先分配权重。在对这些队列轮询的过程中,每轮询到一个队列,根据该队列的权重,从该队列中调度与权重相应数量的报文。例如图3所示,队列a的权重为3,则轮询到该队列时,从队列a中调度3个报文;队列b的权重为2,则轮询到该队列时,从队列b中调度2个报文;队列c的权重为1,则轮询到该队列时,从队列c中调度1个报文。与图2所示示例不同,本示例中,每个队列中可调度的报文数与该队列的权重成比例,从而使得不同权重的队列所占用的带宽可能不同。在不同队列中的报文的长度相同的情况下,权重越大,意味着该队列所占用的带宽越大。
进一步地,在图3的基础上,如图4所示,在对这些队列轮询的过程中,每轮询到一个队列,从该队列输出一个报文,但是在一次循环中,权重大的队列被多次调度。例如图4所示,队列a的权重为3,则在一次循环中,队列a被调度3次,每次从队列a中取走一个报文;队列b的权重为2,则在一次循环中,队列b被调度2次,每次从队列b中取走1个报文。与图3所示示例相比,本示例的轮询调度方法,权重较低的队列的等待时间较短,提高带宽利用的有效性。
除了上述的轮询调度方式外,还可以有其它的调度方式。例如,基于优先级的轮询调度方式。具体的,假设控制芯片11对接收到的报文按照报文类型分为64个队列,则该64个队列中,可以有16个队列被配置成静态优先级,即该16个队列的优先级高于其它48个队列的优先级。在该64个队列的调度过程中,若上述16个队列中有报文,则优先对上述16个队列进行调度,只有在上述16个队列中没有报文的时候,再对剩余的48个队列进行调度。对该16个队列中的各个队列可以按照预置的优先级排序进行轮询调度;该48个队列也可以按照上述图2-图4任意一种方式或其它方式进行轮询调度。具体在对该48个队列轮询调度的过程中,若上述优先级较高的16个队列中有了新的报文,则可以停止对该48个队列的轮询调度过程,转去对上述优先级较高的16个队列进行调度,等上述优先级较高的16个队列中的报文调度完后,再继续对上述48个队列进行调度。
需要说明的是,上述报文类型可以有多种分类方式,可选的,可以按照报文内容进行分类,例如,可以将视频报文分为一类,语音报文分为一类,文本报文分为一类,邮件报文分为一类,等等;也可以按照用户所申请的带宽进行分类,例如,将申请带宽为10M的用户分为一类,将申请带宽为20M的用户分为一类。对于申请带宽相同的一类用户,还可以再根据其它分类方式进行进一步的细分,也就是说,对报文的分类可以分为多级分类。
另外,上述分类方式可以是前级已经定义好的,这样前级在向控制芯片11传输报文时通过队列号指定报文所属的队列,此时控制芯片11可以按照前一级传过来的队列号对报文进行分类;若前一级没有指定队列,则控制芯片11根据报文中携带的报文类型信息对报文进行分类,此时,控制芯片11可以查看预置的报文类型与队列的对应关系对报文进行分类入队。
以上列举了控制芯片11对接收到的报文按报文类型进行轮询调度,以确定报文向处理器12传输时的传输顺序的几种实现方式。下面说明在确定报文向处理器12的传输顺序后,控制芯片11按照所确定的传输顺序向处理器12传输报文的实现方式。
为了解决现有技术的问题,本申请中,按照传输顺序向处理器12传输报文的基本实现思想是:
假设按照传输顺序,需要向处理器12传输第一报文了,则,
若第一报文在处理器12的资源占用率大于第二报文在处理器12的资源占用率,其中,第二报文的类型与第一报文的类型不同,则第一报文向处理器12传输时的传输速率小于第二报文向处理器12传输时的传输速率。
若第一报文在处理器12的资源占用率等于第二报文在处理器12的资源占用率,其中,该第二报文的类型与第一报文的类型不同,则第一报文向处理器12传输时的传输速率等于第二报文向处理器12传输时的传输速率。
也就是说,若处理器12对不同类型的报文处理时,不同类型的报文所占用的处理器资源不同,即报文的资源占用率不同,则不同类型的报文向处理器12传输时的传输速率不同。
传输速率是指单位时间内传输的报文数。
报文的资源占用率可以用报文速率(packets per second,PPS)表征,报文速率是指处理器在满负荷状态下,处理器单位时间内处理的报文数。对于某一个报文,处理器处理该报文时的报文速率越大,表明该报文占用的处理器资源越小,即该报文的资源占用率越小,处理器处理该报文时的报文速率越小,表明该类型的报文占用的处理器资源越大,即该报文的资源占用率越大。
换句话说,若处理器12处理第一报文时的报文速率小于处理器12处理第二报文时的报文速率,则第一报文向处理器12传输时的传输速率小于第二报文向处理器12传输时的传输速率。
若处理器12处理第一报文时的报文速率等于处理器12处理第二报文时的报文速率,其中,第二报文的类型与第一报文的类型不同,则第一报文向处理器12传输时的传输速率等于第二报文向处理器12传输时的传输速率。
基于上述基本思想,本申请提供的控制芯片11按照所确定的传输顺序向处理器12传输报文的一种可选实现方式为:
控制芯片11按照所确定的传输顺序确定需要向处理器12传输的第一报文;基于报文类型与传输参数的对应关系,确定与第一报文的类型对应的第一传输参数。其中,该第一传输参数表征第一报文向处理器12传输时的第一传输速率,即第一传输参数表征第一报文以第一传输速率向处理器12传输。第一传输速率与第一报文被处理器12处理时的资源占用率成反比;通过通信接口13,按照第一传输速率向处理器12传输第一报文。
报文向处理器12传输时的传输速率可以通过令牌桶进行控制。
传统的,通过令牌桶控制报文向处理器12的传输速率的方式是:按照规定的速率向令牌桶中存放令牌,当有报文需要向处理器传输时,若令牌桶中有足够数量的令牌,则向处理器发送报文,并扣除相应数量的令牌;若令牌桶中没有足够数量的令牌,则不向处理器发送报文,而是将报文丢弃或缓存,只有等到令牌桶中存入了足够数量的令牌,才可以向处理器发送报文,这样就可以限制报文向处理器传输的速率只能小于或等于令牌向令牌桶中存放的速度,达到限制流量的目的。而发明人在实现本发明的过程中研究发现,现有技术中,由于所有报文向处理器传输时的传输速率都是相等的,因此,所有报文向处理器传输时所扣除的令牌数都是相同的。
本发明实施例中,向令牌桶中存放令牌的速率与处理器12处理预定类型的报文时该预定类型的报文的资源占用率相关联,为方便叙述,将向令牌桶中存放令牌的速率记为V1。其中,在处理器12可以处理的所有类型的报文中,处理器12处理该预定类型的报文时该预定类型的报文的资源占用率最小。当向令牌桶中存放令牌的速率能够保证该预定类型的报文以速率V1向处理器传输时,处理器可以为满负荷状态且不会挂死。若报文的资源占用率用报文速率表征,则向令牌桶中存放令牌的速率等于处理器处理该预定类型的报文时的报文速率。
假设控制芯片11向处理器12传输上述预定类型的一个报文所扣除的令牌数为N,则,控制芯片11向处理器12传输非预定类型的一个报文所扣除的令牌数大于或等于N,从而保证非预定类型的报文向处理器12传输时的传输速率小于或等于上述预定类型的报文向处理器12传输时的传输速率。N为大于或等于1的整数。
本发明实施例中,在控制芯片11向处理器12传输报文时,每向处理器12传输一报文,需要从令牌桶中扣除与该报文的类型对应数量的令牌,因此,只有令牌桶中有足够的相应数量的令牌可以扣除时,才可以向处理器12传输该报文,从而控制不同类型的报文向处理器传输时的速率可能不同。而且,由于处理器12处理第一报文时的资源占用率大于或等于处理器12处理上述预定类型的报文时该预定类型的报文的资源占用率,第一报文的类型可能与上述特定类型相同,也可能不同,且第一报文向处理器12传输时的传输速率小于或等于令牌桶中存放令牌的速率,而非所有报文向处理器12传输时的传输速率均相同,即第一报文向处理器12传输时的传输速率小于或等于预定类型的报文向处理器12传输时的传输速率,因而降低了处理器12满负荷运行状态被攻击挂死的概率,也就是说,处理器12满足负荷运行状态而不被攻击挂死的概率提高,从而提高网络防攻击效果,还提高网络设备的处理器的处理效率。
由于向令牌桶中存放令牌的速率是一定的,且只有在令牌桶中有足够数量的令牌时才能向处理器传输报文,因此,在向处理器12传输某个报文时,若针对该报文扣除的令牌数越多,表明该报文向处理器12传输时的传输速率越低,该报文被处理器12处理器时的资源占用率越高。
因此,对于任意一类型的报文而言,可以将该类型的一个报文向处理器12传输时对应扣除的令牌数作为该类型的报文对应的传输参数,因此,传输参数越大,该传输参数表征的传输速率越低。
处理器12接收到报文后,对接收到的报文进行处理。处理器12可以根据网络设备的功能配置进行相应的处理,以实现网络设备的功能。至于处理器12如何对报文进行处理不属于本申请的重点,这里不予讨论说明。
下面说明控制芯片11确定报文类型与传输参数的对应关系的实现方式。
在一可选的实施例中,控制芯片11可以通过如下方式确定报文类型与传输参数的对应关系。如图5所示,为控制芯片11确定报文类型与传输参数的对应关系的一种实现流程图。本示例中,资源占用率通过报文速率表征。
步骤S51:根据处理器12对不同类型的报文进行处理时的报文速率,确定报文类型与报文速率的对应关系。具体的,
可以通过处理器12内置的软件来测试处理器12对不同类型的报文进行处理时的报文速率,控制芯片11可以根据测试结果确定报文类型与报文速率的对应关系;或者处理器12根据测试结果确定报文类型与报文速率的对应关系,控制芯片11直接从处理器12获取报文类型与报文速率的对应关系。
步骤S52:确定最大报文速率对应的第一报文类型,以及该第一报文类型对应的传输速率,该第一报文类型对应的传输速率为预先配置,从而确定最大报文速率对应的传输速率。
该报文类型的报文向处理器传输时的传输速率大于或等于其它类型的报文向处理器传输时的传输速率。
步骤S53:对于其它每一个非最大报文速率,确定每一个非最大报文速率与上述最大报文速率的比值。
也就是说,每一个非最大报文速率对应一个比值,或者说,每一个报文类型对应一个比值;
步骤S54:将各个非最大报文速率与所述最大报文速率的比值,与上述最大报文速率对应的传输速率相乘,得到各个非最大报文速率对应的传输速率。
也就是说,对于任意一个非最大报文速率,为便于叙述,记为第一非最大报文速率,将第一非最大报文速率对应的比值,乘以与最大报文速率对应的传输速率,得到该第一非最大报文速率对应的传输速率。
步骤S55:依据预置的传输速率与传输参数的转换关系,得到各个传输速率对应的传输参数;
步骤S56:依据报文类型与报文速率的对应关系,报文速率与传输速率的对应关系,以及传输速率与传输参数的对应关系,确定报文类型与传输参数的对应关系。
通过本实施例,不同类型的报文向处理器12传输时,处理器12均能工作在满负荷状态而不被攻击挂死,网络防攻击效果更佳,而且网络设备的处理器的处理效率更高。
对于任意一类型的报文而言,除了可以将该类型的一个报文向处理器12传输时,从令牌桶中扣除的令牌数作为该类型的报文对应的传输参数外,在一可选的实施例中,还可以将该类型的一个报文向处理器12传输时,从令牌桶中扣除的第一令牌数与预置令牌数的比值作为该类型的报文对应的传输参数,该比值与上述预定类型的一个报文向处理器12传输时实际扣除的令牌数的乘积即为该类型的一个报文向处理器12传输时实际扣除的令牌数。也就是说,上述预置令牌数即为上述预定类型的一个报文向处理器12传输时实际扣除的令牌数。
上述网络设备可以为交换机,路由器等设备。
除了可以由控制芯片11或处理器12生成报文类型与传输参数的对应关系外,还可以从控制芯片11所在网络设备之外的其它设备处获取报文类型与传输参数的对应关系,即报文类型与传输参数的对应关系可以由其它设备生成。基于此,本申请还提供一种通信系统,如图6所示,该通信系统可以包括:网络设备61,与网络设备61通信的电子设备62;其中,
网络设备61可以包括:第一通信接口611,控制芯片612,第一处理器613;
第一通信接口611至少包括三类接口,一类接口用于获取电子设备62确定的报文类型与传输参数的对应关系;一类接口用于接收网络设备61之外的其它网络设备发送的报文;第三类接口用于向第一处理器613发送报文;
控制芯片612用于对通过第一通信接口611接收到的报文按报文类型进行轮询调度,以确定报文向第一处理器613的传输顺序;按照确定的传输顺序确定需要向第一处理器613传输的第一报文;基于报文类型与传输参数的对应关系,确定与第一报文的类型对应的第一传输参数,第一传输参数表征第一报文向第一处理器613传输时的第一传输速率;第一传输速率与第一报文被第一处理器613处理时的资源占用率成反比;通过第一通信接口611,按照第一传输速率向第一处理器613传输第一报文;
第一处理器613用于对接收到的报文进行处理;
控制芯片612对接收到的报文按报文类型进行轮询调度以确定报文向第一处理器613的传输顺序的具体实现过程可以参照图2-图4任意一图所示的实现方式或其它方式。
电子设备62可以包括:第二通信接口621和第二处理器622;
第二处理器622用于确定报文类型与传输参数的对应关系;可选的,第二处理器622可以依据第一处理器613对不同类型的报文进行处理时的资源占用率确定报文类型与传输参数的对应关系。
电子设备62可以是网管设备,也可以是其它可以与网络设备进行通信的设备,如,可以是一个芯片,也可以是一块电子板,只要该电子设备可以被配置为依据第一处理器613对不同类型的报文进行处理时的资源占用率确定报文类型与传输参数的对应关系即可。
若报文的资源占用率用报文速率表征,则第二处理器622具体可以用于,根据第一处理器613对不同类型的报文进行处理时的报文速率,确定报文类型与报文速率的对应关系;基于最大报文速率对应的第一报文类型,以及上述第一报文类型对应的传输速率,确定最大报文速率对应的传输速率;确定各个非最大报文速率与最大报文速率的比值;将各个非最大报文速率与上述最大报文速率的比值,与上述最大报文速率对应的传输速率相乘,得到各个非最大报文速率对应的传输速率;依据预置的传输速率与传输参数的转换关系,得到各个传输速率对应的传输参数;依据报文类型与报文速率的对应关系,报文速率与传输速率的对应关系,以及传输速率与传输参数的对应关系,确定报文类型与传输参数的对应关系。
第二通信接口621用于与第一通信接口611通信,以便第一通信接口611获取报文类型与传输参数的对应关系。
对于任意一类型的报文而言,可以将该类型的一个报文由控制芯片612向第一处理器613传输时,从令牌桶中扣除的令牌数作为该类型的报文对应的传输参数,因此,传输参数越大,该传输参数表征的传输速率越低。
对于任意一类型的报文而言,也可以将该类型的一个报文向所述处理器传输时,从令牌同中扣除的令牌数与预置令牌数的比值作为该类型的报文对应的传输参数,比值越大,表征该类型的报文由控制芯片612向第一处理器613传输时的传输速率越小。
可以理解的是,图1和图6仅仅示出了网络设备/电子设备的简化设计。在实际应用中,网络设备/电子设备可以包含任意数量的发射器,接收器,处理器,控制器,存储器,通信接口等,而所有可以实现本发明的网络设备/电子设备都在本发明的保护范围之内。
基于前述实施例,本申请提供的网络防攻击方法的一种实现流程图如图7所示,可以包括:
步骤S71:网络设备的控制芯片对接收到的报文按报文类型进行轮询调度,以确定报文向该网络设备中的处理器的传输顺序;
步骤S72:控制芯片按照所确定的传输顺序确定需要向处理器传输的第一报文;
步骤S73:控制芯片基于报文类型与传输参数的对应关系,确定与第一报文的类型对应的第一传输参数,该第一传输参数表征第一报文向处理器传输时的第一传输速率;第一传输速率与第一报文被处理器处理时的资源占用率成反比;
步骤S74:控制芯片控制第一报文以第一传输速率向处理器传输。即,第一报文向处理器传输时的速率是第一传输参数表征的传输速率。
其中,报文类型与传输参数的对应关系,可以依据网络设备中的处理器对不同类型的报文进行处理时的报文的资源占用率确定。
资源占用率可以通过报文速率表征,相应的,依据网络设备中的处理器对不同类型的报文进行处理时的报文的资源占用率,确定报文类型与传输参数的对应关系的一种实现方式可以为:
根据网络设备中的处理器对不同类型的报文进行处理时的报文速率,确定报文类型与报文速率的对应关系;
基于最大报文速率对应的第一报文类型,以及该第一报文类型对应的传输速率,确定最大报文速率对应的传输速率;
确定各个非最大报文速率与最大报文速率的比值;
将各个非最大报文速率与最大报文速率的比值,与最大报文速率对应的传输速率相乘,得到各个非最大报文速率对应的传输速率;
依据预置的传输速率与传输参数的转换关系,得到各个传输速率对应的传输参数;
依据报文类型与报文速率的对应关系,报文速率与传输速率的对应关系,以及传输速率与传输参数的对应关系,确定报文类型与传输参数的对应关系。
第一传输参数可以为:第一报文向网络设备的处理器传输时,从令牌桶中扣除的第一令牌数,第一令牌数越大,表征第一传输速率越小。
第一传输参数也可以为:第一报文向网络设备中的处理器传输时,从令牌桶中扣除的第一令牌数与预置令牌数的第一令牌比值,第一令牌比值越大,表征第一传输速率越小。
本发明实施例还提供一种网络防攻击装置。如图8所示,为本发明实施例提供的网络防攻击装置的一种结构示意图,可以包括:
调度模块81,第一确定模块82,第二确定模块83和传输模块84;其中,
调度模块81用于,对网络设备接收到的报文按报文类型进行轮询调度,以确定报文向所述网络设备中的处理器的传输顺序;
第一确定模块82用于,按照所述传输顺序确定需要向所述处理器传输的第一报文;
第二确定模块83用于,基于报文类型与传输参数的对应关系,确定与所述第一报文的类型对应的第一传输参数,所述第一传输参数表征所述第一报文向所述处理器传输时的第一传输速率;所述第一传输速率与所述第一报文被所述处理器处理时的资源占用率成反比;
传输模块84用于,按照所述第一传输速率向所述处理器传输所述第一报文。
本发明实施例提供的网络防攻击装置,报文向处理器传输时的传输速率与处理器处理该报文时该报文的资源占用率相关联,即处理器处理报文时报文的资源占用率越小,该报文向处理器传输时的传输速率越大,从而提高网络设备的处理器的处理效率,还提高了网络防攻击效果。
在图8所示实施例的基础上,本发明实施例提供的网络防攻击装置的另一种结构示意图如图9所示,还可以包括:
第三确定模块91,用于依据所述处理器对不同类型的报文进行处理时的资源占用率,确定所述报文类型与传输参数的对应关系;其中,不同传输参数表征不同的传输速率,传输速率与资源占用率成反比。
在一可选的实施例中,本发明实施例提供的第三确定模块91的一种结构示意图如图10所示,可以包括:
第一确定单元101,第二确定单元102,第三确定单元103,计算单元104,转换单元105和第四确定单元106;其中,
第一确定单元101用于,根据所述处理器对不同类型的报文进行处理时的报文速率,确定报文类型与报文速率的对应关系;所述报文速率表征所述处理器的资源占用率;
第二确定单元102用于,基于最大报文速率对应的第一报文类型,以及所述第一报文类型对应的传输速率,确定所述最大报文速率对应的传输速率;
第三确定单元103用于,确定各个非最大报文速率与所述最大报文速率的比值;
计算单元104用于,将各个非最大报文速率与所述最大报文速率的比值,与所述最大报文速率对应的传输速率相乘,得到各个非最大报文速率对应的传输速率;
转换单元105,用于依据预置的传输速率与传输参数的转换关系,得到各个传输速率对应的传输参数;
第四确定单元106用于,依据所述报文类型与报文速率的对应关系,报文速率与传输速率的对应关系,以及传输速率与传输参数的对应关系,确定报文类型与传输参数的对应关系。
在一可选的实施例中,所述第一传输参数为:所述第一报文向所述处理器传输时,从令牌桶中扣除的第一令牌数;所述第一令牌数越大表征所述第一传输速率越小。
在另一可选的实施例中,所述第一传输参数为:所述第一报文向所述处理器传输时,从令牌桶中扣除的第一令牌数与预置令牌数的第一令牌比值;所述第一令牌比值越大,表征所述第一传输速率越小。
本发明实施例还提供一种计算机存储介质,用于存储为前述网络设备所用的计算机软件指令,其包含用于执行上述方面所设计的程序。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置、模块和单元的具体工作过程,可以参考前述相关实施例中的对应过程,在此不再赘述。
前述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种网络防攻击方法,其特征在于,包括:
对网络设备接收到的报文按报文类型进行轮询调度,以确定报文向所述网络设备中的处理器的传输顺序;
按照所述传输顺序确定需要向所述处理器传输的第一报文;
基于报文类型与传输参数的对应关系,确定与所述第一报文的类型对应的第一传输参数,所述第一传输参数表征所述第一报文向所述处理器传输时的第一传输速率,所述第一传输速率是指单位时间内传输所述第一报文的类型的报文数;所述第一传输速率与所述第一报文被所述处理器处理时的资源占用率成反比;
按照所述第一传输速率向所述处理器传输所述第一报文。
2.根据权利要求1所述的方法,其特征在于,还包括:
依据所述处理器对不同类型的报文进行处理时的资源占用率,确定所述报文类型与传输参数的对应关系;其中,不同传输参数表征不同的传输速率,传输速率与资源占用率成反比。
3.根据权利要求2所述的方法,其特征在于,依据所述处理器对不同类型的报文进行处理时的资源占用率,确定所述报文类型与传输参数的对应关系,包括:
根据所述处理器对不同类型的报文进行处理时的报文速率,确定报文类型与报文速率的对应关系;所述报文速率表征所述处理器的资源占用率;
基于最大报文速率对应的第一报文类型,以及所述第一报文类型对应的传输速率,确定所述最大报文速率对应的传输速率;
确定各个非最大报文速率与所述最大报文速率的比值;
将各个非最大报文速率与所述最大报文速率的比值,与所述最大报文速率对应的传输速率相乘,得到各个非最大报文速率对应的传输速率;
依据预置的传输速率与传输参数的转换关系,得到各个传输速率对应的传输参数;
依据所述报文类型与报文速率的对应关系,报文速率与传输速率的对应关系,以及传输速率与传输参数的对应关系,确定报文类型与传输参数的对应关系。
4.根据权利要求1-3任意一项所述的方法,其特征在于,所述第一传输参数为:所述第一报文向所述处理器传输时,从令牌桶中扣除的第一令牌数;所述第一令牌数越大表征所述第一传输速率越小。
5.根据权利要求1-3任意一项所述的方法,其特征在于,所述第一传输参数为:所述第一报文向所述处理器传输时,从令牌桶中扣除的第一令牌数与预置令牌数的第一令牌比值;所述第一令牌比值越大,表征所述第一传输速率越小。
6.一种网络设备,其特征在于,包括:通信接口,控制芯片和处理器;
所述通信接口,用于接收或发送报文;
所述控制芯片,用于对通过所述通信接口接收到的报文按报文类型进行轮询调度,以确定报文向所述处理器的传输顺序;按照所述传输顺序确定需要向所述处理器传输的第一报文;基于报文类型与传输参数的对应关系,确定与所述第一报文的类型对应的第一传输参数,所述第一传输参数表征所述第一报文向所述处理器传输时的第一传输速率,所述第一传输速率是指单位时间内传输所述第一报文的类型的报文数;所述第一传输速率与所述第一报文被所述处理器处理时的资源占用率成反比;通过所述通信接口,按照所述第一传输速率向所述处理器传输所述第一报文;
所述处理器,用于对接收到的报文进行处理。
7.根据权利要求6所述的网络设备,其特征在于,所述控制芯片还用于,依据所述处理器对不同类型的报文进行处理时的资源占用率,确定所述报文类型与传输参数的对应关系;其中,不同传输参数表征不同的传输速率,传输速率与资源占用率成反比。
8.根据权利要求7所述的网络设备,其特征在于,所述控制芯片依据所述处理器对不同类型的报文进行处理时的资源占用率,确定所述报文类型与传输参数的对应关系,包括:
所述控制芯片具体用于,根据所述处理器对不同类型的报文进行处理时的报文速率,确定报文类型与报文速率的对应关系;所述报文速率表征所述处理器的资源占用率;基于最大报文速率对应的第一报文类型,以及所述第一报文类型对应的传输速率,确定所述最大报文速率对应的传输速率;确定各个非最大报文速率与所述最大报文速率的比值;将各个非最大报文速率与所述最大报文速率的比值,与所述最大报文速率对应的传输速率相乘,得到各个非最大报文速率对应的传输速率;依据预置的传输速率与传输参数的转换关系,得到各个传输速率对应的传输参数;依据所述报文类型与报文速率的对应关系,报文速率与传输速率的对应关系,以及传输速率与传输参数的对应关系,确定报文类型与传输参数的对应关系。
9.根据权利要求6-8任意一项所述的网络设备,其特征在于,所述第一传输参数为:所述第一报文向所述处理器传输时,从令牌桶中扣除的第一令牌数;所述第一令牌数越大表征所述第一传输速率越小。
10.根据权利要求6-8任意一项所述的网络设备,其特征在于,所述第一传输参数为:所述第一报文向所述处理器传输时,从令牌桶中扣除的第一令牌数与预置令牌数的第一令牌比值;所述第一令牌比值越大,表征所述第一传输速率越小。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610864676.4A CN107888540B (zh) | 2016-09-29 | 2016-09-29 | 一种网络防攻击方法及网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610864676.4A CN107888540B (zh) | 2016-09-29 | 2016-09-29 | 一种网络防攻击方法及网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107888540A CN107888540A (zh) | 2018-04-06 |
| CN107888540B true CN107888540B (zh) | 2020-12-25 |
Family
ID=61768701
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610864676.4A Active CN107888540B (zh) | 2016-09-29 | 2016-09-29 | 一种网络防攻击方法及网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107888540B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116353664A (zh) * | 2023-02-28 | 2023-06-30 | 西门子交通技术(北京)有限公司 | 轨旁列车自动保护系统及可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101710897A (zh) * | 2009-11-20 | 2010-05-19 | 中兴通讯股份有限公司 | Cpu保护方法及其装置 |
| CN103404102A (zh) * | 2012-12-31 | 2013-11-20 | 华为技术有限公司 | 一种承载创建方法、装置和系统 |
| CN104283643A (zh) * | 2014-10-24 | 2015-01-14 | 杭州华三通信技术有限公司 | 报文限速方法和装置 |
| WO2015025548A1 (ja) * | 2013-08-20 | 2015-02-26 | 株式会社東芝 | 通信制御装置、通信制御方法およびプログラム |
| CN105592044A (zh) * | 2015-08-21 | 2016-05-18 | 杭州华三通信技术有限公司 | 报文攻击检测方法以及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2521883B (en) * | 2014-05-02 | 2016-03-30 | Imagination Tech Ltd | Media controller |
-
2016
- 2016-09-29 CN CN201610864676.4A patent/CN107888540B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101710897A (zh) * | 2009-11-20 | 2010-05-19 | 中兴通讯股份有限公司 | Cpu保护方法及其装置 |
| CN103404102A (zh) * | 2012-12-31 | 2013-11-20 | 华为技术有限公司 | 一种承载创建方法、装置和系统 |
| WO2015025548A1 (ja) * | 2013-08-20 | 2015-02-26 | 株式会社東芝 | 通信制御装置、通信制御方法およびプログラム |
| CN104283643A (zh) * | 2014-10-24 | 2015-01-14 | 杭州华三通信技术有限公司 | 报文限速方法和装置 |
| CN105592044A (zh) * | 2015-08-21 | 2016-05-18 | 杭州华三通信技术有限公司 | 报文攻击检测方法以及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107888540A (zh) | 2018-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9258257B2 (en) | Direct memory access rate limiting in a communication device | |
| CN108616458A (zh) | 客户端设备上调度分组传输的系统和方法 | |
| CN103986715A (zh) | 一种网络流量控制的方法及装置 | |
| EP2862301A2 (en) | Multicast to unicast conversion technique | |
| CN104283643B (zh) | 报文限速方法和装置 | |
| RU2643666C2 (ru) | Способ и устройство для управления авторизацией виртуальной очереди вывода, а также компьютерный носитель информации | |
| CN102934403A (zh) | 控制网络上的数据传输 | |
| CN107579921B (zh) | 流量控制方法及装置 | |
| US11929911B2 (en) | Shaping outgoing traffic of network packets in a network management system | |
| CN101547159A (zh) | 一种避免网络拥塞的方法和设备 | |
| JP5497541B2 (ja) | 通信制御装置およびシェイピング装置 | |
| CN103634235A (zh) | 一种限定虚拟机网络接口速度的方法 | |
| US8379518B2 (en) | Multi-stage scheduler with processor resource and bandwidth resource allocation | |
| CN103812750A (zh) | 数据通信设备cpu收发报文保护系统及方法 | |
| CN105700940B (zh) | 一种调度器及调度器的动态复用方法 | |
| CN105554049B (zh) | 分布式业务量控制方法和装置 | |
| CN113315720A (zh) | 一种数据流控制方法、系统及设备 | |
| WO2018072551A1 (zh) | 一种业务处理方法和装置 | |
| CN105577563B (zh) | 流量管理方法 | |
| Imputato et al. | Design and implementation of the traffic control module in ns-3 | |
| CN107888540B (zh) | 一种网络防攻击方法及网络设备 | |
| CN116094815B (zh) | 基于流量自适应控制调节的数据加密处理方法及装置 | |
| CN112714081B (zh) | 一种数据处理方法及其装置 | |
| CN103889007A (zh) | 一种带宽配置的方法、认证授权计费服务器、ac和ap | |
| CN102075418B (zh) | 一种网络数据流量控制设备及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |