CN111049807B - 旁路报文限速方法和系统 - Google Patents

旁路报文限速方法和系统 Download PDF

Info

Publication number
CN111049807B
CN111049807B CN201911169931.3A CN201911169931A CN111049807B CN 111049807 B CN111049807 B CN 111049807B CN 201911169931 A CN201911169931 A CN 201911169931A CN 111049807 B CN111049807 B CN 111049807B
Authority
CN
China
Prior art keywords
failure rate
message
processing
bypass
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911169931.3A
Other languages
English (en)
Other versions
CN111049807A (zh
Inventor
朱孟强
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN201911169931.3A priority Critical patent/CN111049807B/zh
Publication of CN111049807A publication Critical patent/CN111049807A/zh
Application granted granted Critical
Publication of CN111049807B publication Critical patent/CN111049807B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/22Traffic shaping

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种旁路报文限速方法和系统,应用于网络安全系统,包括:统计网络安全系统的旁路引擎对报文的处理结果;基于处理结果计算旁路引擎的报文的处理失败率;将处理失败率与预设失败率进行比较,得到比较结果;基于比较结果动态调整最大窗口数量,以限制旁路引擎所同时处理的报文的最大数量,其中,最大窗口数量为旁路引擎中能同时处理报文的窗口的数量。本发明缓解了现有技术中存在的无法应对旁路机制流量突发或流量过高的情况的技术问题。

Description

旁路报文限速方法和系统
技术领域
本发明涉及数据转发与检测技术领域,尤其是涉及一种旁路报文限速方法和系统。
背景技术
网关类安全系统为了保障高可靠性,防止非核心功能引擎发生故障而导致核心功能不能正常工作,通常会将非核心功能引擎旁路出去,把报文复制到旁路引擎做一些非核心功能的处理,这种处理具有一定时限,超过时限的报文将不再等待旁路引擎的处理结果。基于这种模型,网关类安全系统的核心功能能得到更高的优先级与稳定性。
然而在实现时,此种情况相应的延时也会增加上去,尤其是当旁路机制流量突发或流量过高,导致旁路流量远大于旁路引擎能处理的最大流量时,如果再按部就班的将所有报文发送给旁路引擎去处理,则会导致大量报文因来不及处理而超时,最终大量报文的延时被增加,甚至可能会因为旁路引擎浪费了过多的CPU去处理其无法承受的流量,而降低系统核心功能的最大处理能力,这是由于旁路引擎处理不过来,只能等待旁路处理超时。该问题不解决,网关类安全系统的引擎旁路机制,将无法应对突发大流量,也无法在流量大于网关类安全系统的正常处理能力时保障核心功能的正常工作。
发明内容
有鉴于此,本发明的目的在于提供一种旁路报文限速方法和系统,以缓解了现有技术中存在的无法应对旁路机制流量突发或流量过高的情况的技术问题。
第一方面,本发明实施例提供了一种旁路报文限速方法,应用于网络安全系统,包括:统计所述网络安全系统的旁路引擎对报文的处理结果;所述处理结果包括以下任一项:处理成功,处理失败;基于所述处理结果计算所述旁路引擎的报文的处理失败率;将所述处理失败率与预设失败率进行比较,得到比较结果;其中,所述比较结果包括以下任一项:所述处理失败率大于所述预设失败率,所述处理失败率小于或等于所述预设失败率;基于所述比较结果动态调整最大窗口数量,以限制旁路引擎所同时处理的报文的最大数量,其中,所述最大窗口数量为旁路引擎中能同时处理报文的窗口的数量。
进一步地,在基于所述比较结果动态调整最大窗口数量之后,所述方法还包括:获取待处理报文;获取所述旁路引擎所能同时处理报文的窗口的目标窗口数量;判断所述目标窗口数量是否大于零;如果是,则将所述待处理报文发送到所述旁路引擎,以使所述旁路引擎处理所述待处理报文,并控制所述目标窗口数量减少预设值。
进一步地,若判断所述目标窗口数量为零,则所述方法还包括:跳过所述待处理报文。
进一步地,基于所述比较结果动态调整最大窗口数量,包括:如果所述比较结果为所述处理失败率大于所述预设失败率,则减少所述最大窗口数量;如果所述比较结果为所述处理失败率小于或等于所述预设失败率,则增加所述最大窗口数量。
第二方面,本发明实施例还提供了一种旁路报文限速系统,应用于网络安全系统,包括:统计模块,计算模块,比较模块和调整模块,其中,所述统计模块,用于统计所述网络安全系统的旁路引擎对报文的处理结果;所述处理结果包括以下任一项:处理成功,处理失败;所述计算模块,用于基于所述处理结果计算所述旁路引擎的报文的处理失败率;所述比较模块,用于将所述处理失败率与预设失败率进行比较,得到比较结果;其中,所述比较结果包括以下任一项:所述处理失败率大于所述预设失败率,所述处理失败率小于或等于所述预设失败率;所述调整模块,用于基于所述比较结果动态调整最大窗口数量,以限制旁路引擎所同时处理的报文的最大数量,其中,所述最大窗口数量为旁路引擎中能同时处理报文的窗口的数量。
进一步地,所述系统还包括:第一获取模块,第二获取模块和限速模块,其中,所述第一获取模块,用于获取待处理报文;所述第二获取模块,用于获取所述旁路引擎所能同时处理报文的窗口的目标窗口数量;所述限速模块,用于判断所述目标窗口数量是否大于零;如果是,则将所述待处理报文发送到所述旁路引擎,以使所述旁路引擎处理所述待处理报文,并控制所述目标窗口数量减少预设值。
进一步地,所述限速模块还用于:若判断所述目标窗口数量为零,则跳过所述待处理报文。
进一步地,所述调整模块包括:第一调整单元和第二调整单元,其中,所述第一调整单元,用于如果所述比较结果为所述处理失败率大于所述预设失败率,则减少所述最大窗口数量;所述第二调整单元,用于如果所述比较结果为所述处理失败率小于或等于所述预设失败率,则增加所述最大窗口数量。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述的方法的步骤。
第四方面,本发明实施例还提供了一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行上述第一方面所述方法。
本发明提供了提供一种旁路报文限速方法和系统,其原理是:统计网络安全系统中旁路引擎的旁路处理的失败率,基于失败率动态的计算旁路引擎可以同时处理待处理报文的窗口的最大窗口数量,最后计算的窗口的最大窗口数量将是相对稳定的,通过限制旁路引擎可同时处理报文的窗口的最大窗口数量来限制可以处理的最大报文数,在流量高度超负荷或流量突发的情况下,防止了产生性能瓶颈,防止了大量报文旁路处理超时而导致延时过大的技术问题。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种旁路报文限速方法的流程图;
图2为本发明实施例提供的一种旁路报文限速系统的示意图;
图3为本发明实施例提供的另一种旁路报文限速系统的示意图;
图4为本发明实施例提供的一种网络安全系统的报文转发示意图;
图5为本发明实施例提供的另一种旁路报文限速方法的流程图;
图6为本发明实施例提供的一种旁路报文限速系统的工作流程图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
网关类安全系统为了保障高可靠性,通常会将非核心功能引擎旁路出去,把报文复制到旁路引擎做一些非核心功能的处理,给旁路处理设置最大处理时间,当旁路处理达到该时间,将不再等待该旁路引擎对该报文的处理结果。居于这种模型,网关类安全系统的核心功能还是能得到保证,但是此种情况相应的延时也会增加上去,尤其是当流量远大于旁路引擎能处理的最大值时,如果再按部就班的将所有报文发送给旁路引擎去处理,由于旁路引擎处理不过来,只能等待旁路引擎处理超时,导致大量报文的延时被极大的增加,甚至可能会因为旁路引擎浪费了过多的CPU去处理其无法承受的流量,而降低系统核心功能的最大处理能力。该问题不解决,网关类安全系统的引擎旁挂处理机制,将无法应对突发大流量,或在流量较大的请求下可能会为需要旁路处理的报文增加过多不必要的延时。因此,需要一种限速机制,能够应对突发大流量,优先保障核心功能的情况下,服务最大化,性能浪费与延时增加最小化。
有鉴于此,图1是根据本发明实施例提供的一种旁路报文限速方法的流程图,该方法应用于网络安全系统。如图1所示,该方法具体包括如下步骤:
步骤S102,统计网络安全系统的旁路引擎对报文的处理结果;处理结果包括以下任一项:处理成功,处理失败。
具体地,在预设周期内统计网络安全系统的旁路引擎对多个报文的处理结果,其中,预设周期为可设定时间间隔。
步骤S104,基于处理结果计算旁路引擎的报文的处理失败率。
具体地,处理失败率为在预设周期内对多个报文的处理结果中,处理失败的数量占总的处理数量的百分比。
步骤S106,将处理失败率与预设失败率进行比较,得到比较结果;其中,比较结果包括以下任一项:处理失败率大于预设失败率,处理失败率小于或等于预设失败率。
步骤S108,基于比较结果动态调整最大窗口数量,以限制旁路引擎所同时处理的报文的最大数量,其中,最大窗口数量为旁路引擎中能同时处理报文的窗口的数量。
本发明实施例提供了一种旁路报文限速方法,通过统计网络安全系统中旁路引擎的旁路处理失败率,基于处理失败率动态的计算旁路引擎可以同时处理待处理报文的窗口的最大窗口数量,最后计算的窗口的最大窗口数量将是相对稳定的,通过限制旁路引擎可同时处理报文的窗口的最大窗口数量来限制可以处理的最大报文数,在流量高度超负荷或流量突发的情况下,防止了产生性能瓶颈,防止了大量报文旁路处理超时而导致延时过大的技术问题。
可选地,本发明实施例提供的旁路报文限速方法在步骤S108之后,还包括如下报文处理步骤:
步骤S110,获取待处理报文。
步骤S112,获取旁路引擎所能同时处理报文的窗口的目标窗口数量。
步骤S114,判断目标窗口数量是否大于零;如果是,则执行步骤S116,如果否,则执行步骤S118。
步骤S116,将待处理报文发送到旁路引擎,以使旁路引擎处理待处理报文,并控制目标窗口数量减少预设值。例如,控制目标窗口数量减一。
步骤S118,跳过待处理报文。
在本发明实施例中,通过动态调整之后的最大窗口数量对旁路引擎的旁路报文处理速度进行限制,然后对待处理报文进行处理,在目标窗口还有剩余的情况下选择对报文进行处理,而在目标窗口数量为零时跳过报文的处理,从而防止了大量报文旁路处理超时而导致延时过大的情况发生。
可选地,步骤S108中,基于比较结果动态调整最大窗口数量,以此下肢旁路引擎对报文的处理速度的过程,包括如下步骤:
如果比较结果为处理失败率大于预设失败率,则减少最大窗口数量。
例如,设x=当前的最大窗口数量×处理失败率,预设单次窗口减少最小值为m,如果x小于m,则以m作为窗口减少数,否则x作为窗口减少数。
如果比较结果为失败率小于或等于预设失败率,则增加最大窗口数量。
例如,设x=当前的最大窗口数量×预设失败率,预设单次窗口增长最小数值为m,如果x小于m,则以m作为窗口增长数,否则x作为窗口增长数。
由以上描述可知,本发明实施例提供了一种旁路报文限速方法,可以达到以下技术效果:
本发明提出的旁路报文限速方法可以在旁路处理非核心功能的网关类安全系统,在面对的流量突发或负载过高的情况下优先保障核心功能,再将多余的硬件资源用于旁路处理。具有增强网关类安全系统的高可靠性的优点,能够在应对突发大流量,优先核心功能的情况下,服务最大化,性能浪费与转发延时最小化。
实施例二:
图2是根据本发明实施例提供的一种旁路报文限速系统的示意图,该系统应用于网络安全系统。如图2所示,该系统具体包括:统计模块10,计算模块20,比较模块30和调整模块40。
具体地,统计模块10,用于统计网络安全系统的旁路引擎对报文的处理结果;处理结果包括以下任一项:处理成功,处理失败。
计算模块20,用于基于处理结果计算旁路引擎的报文的处理失败率。
比较模块30,用于将处理失败率与预设失败率进行比较,得到比较结果;其中,比较结果包括以下任一项:失败率大于预设失败率,失败率小于或等于预设失败率。
调整模块40,用于基于比较结果动态调整最大窗口数量,以限制旁路引擎所同时处理的报文的最大数量,其中,最大窗口数量为旁路引擎中能同时处理报文的窗口的数量。
本发明实施例提供了一种旁路报文限速系统,该系统通过统计模块统计网络安全系统中旁路引擎的旁路处理失败率,通过计算模块和调整模块基于处理失败率动态的计算旁路引擎可以同时处理待处理报文的窗口的最大窗口数量,最后计算的窗口的最大窗口数量将是相对稳定的,通过限制旁路引擎可同时处理报文的窗口的最大窗口数量来限制可以处理的最大报文数,在流量高度超负荷或流量突发的情况下,防止了产生性能瓶颈,防止了大量报文旁路处理超时而导致延时过大的技术问题。
可选地,图3是根据本发明实施例提供的另一种旁路报文限速系统的示意图,如图3所示,该系统还包括:第一获取模块50,第二获取模块60和限速模块70。
具体地,第一获取模块50,用于获取待处理报文。
第二获取模块60,用于获取旁路引擎所能同时处理报文的窗口的目标窗口数量。
限速模块70,用于判断目标窗口数量是否大于零;如果是,则将待处理报文发送到旁路引擎,以使旁路引擎处理待处理报文,并控制目标窗口数量减少预设值。
限速模块70,还用于若判断所述目标窗口数量为零,则跳过待处理报文。
可选地,如图3所示,调整模块40还包括:第一调整单元41和第二调整单元42。
具体地,第一调整单元41,用于如果比较结果为失败率大于预设失败率,则减少最大窗口数量。
第二调整单元42,用于如果比较结果为失败率小于或等于预设失败率,则增加最大窗口数量。
本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述实施例一中方法的步骤。
本发明实施例还提供了一种具有处理器可执行的非易失的程序代码的计算机可读介质,程序代码使处理器执行上述实施例一中的方法。
实施例三:
本发明实施例还提供了一种旁路报文限速系统,主要包括:初始化模块,窗口更新模块,限速模块,状态统计模块,健康监测模块。
具体地,始化模块主要用于加载用户配置或设置预设默认值,检查最终配置,配置内容包括但不限于:限速功能启用开关、窗口更新周期、状态统计周期、最大可接收失败率、默认窗口大小等,并根据最终配置初始化窗口更新模块、健康监测模块、限速模块、状态统计模块。
窗口更新模块,主要用于根据健康监测模块、状态统计模块所提供的信息,根据预设算法周期性的更新限速模块的窗口总大小,该窗口最终将在一个相对平稳的值,代表着旁路引擎同时所能处理的最大报文数。
限速模块,主要用于通过代表路引擎同时所能处理的最大报文数的窗口值限制同时发往旁路引擎处理的报文数,达到限速的效果。
状态统计模块,主要用于统计预设周期内旁路处理的成功计数与失败计数,预设周期由初始化模块提供,在报文旁路处理结束时,由限速模块判断该报文本次旁路处理是成功还是失败(成功只表示该报文本次旁路处理是否成功得到结果,失败可以有多种理由,包括旁路处理超时),状态统计模块记录本次旁路结果。对于如何统计周期内的数据,利用公知技术实现方式可以有很多中,此处提供一种:每次记录结果时,将当前时间戳记录到状态统计模块内,当需要查询周期内成功与失败计数时,可比较时间戳。
健康监测模块,主要用于周期性的检测旁路引擎是否能正常工作(旁路引擎崩溃也是不能正常工作),如旁路引擎不能正常工作,则直接将限速模块窗口总大小设为0,限速模块判断无可用窗口,将不会把报文送往旁路引擎处理。
可选地,图4是根据本发明实施例提供的一种网络安全系统的报文转发示意图,如图4所示,该系统包括如下功能:核心转发功能,对旁路引擎处理报文的限速功能,初始化功能,窗口更新功能,健康监测功能和状态统计功能。
本发明提供了提供一种旁路报文限速系统,其原理是:通过状态统计模块统计预设周期内旁路处理的失败率,窗口更新模块通过状态统计模块所统计的值,动态的计算限速模块的窗口大小,最后计算的窗口将是相对稳定的,该窗口总大小代表了旁路引擎在超时时间内(最多给旁路引擎处理报文的时间)可处理的最大报文数,限速模块利用窗口更新模块计算出的窗口总大小,限制旁路引擎可同时处理的最大报文数,在流量高度超负荷或流量突发的情况下,防止了产生性能瓶颈,防止了大量报文旁路处理超时而导致延时过大的技术问题。
实施例四:
本发明实施例还提供了一种旁路报文限速方法,应用于上述实施例三种的系统。本发明的解决方案是:
初始化模块根据配置或默认值,初始化窗口更新模块、限速模块、状态统计模块、健康监测模块。对于需要旁路处理的报文,由限速模块处理,具体地,如图5所示,包括以下步骤:
步骤S501,初始化模块初始化配置信息,根据配置信息启动各限速相关模块。具体地,初始化模块根据配置初始化:窗口更新模块,限速模块,状态统计模块,健康监测模块;
步骤S502,处理报文。具体地,对于需要旁路处理的报文,将其交由限速模块;
步骤S503,限速模块收到需要旁路处理报文;
步骤S504,判断限速功能是否被启用,如果限速功能未被启用,则执行步骤S505:直接交由旁路处理;
如果限速功能已被启用,则执行步骤S506:检查当前是否有可用窗口;如果无剩余窗口,则执行步骤S507:该报文被限速,置上需要更多窗口标志;
如果有剩余窗口,则执行步骤S508:窗口减一,并将该报文交由旁路处理;
步骤S509,报文旁路处理结束,将报文交由限速模块;
步骤S510,再次判断限速是否启用,如果未启用限速功能,则直接跳过限速相关操作,如果已启用限速功能,则窗口加一,并根据报文旁路处理的结果更新状态统计模块;
步骤S501中,窗口更新模块,健康监测模块由初始化模块启动,异步独立循环运行;
步骤S507中,该报文跳过此旁路处理,即表示该报文被限速,不再将该报文交由旁路处理,防止旁路引擎因为报文堆积导致瓶颈,延时增大。
步骤S503、步骤S510中的限速功能启用与否,是本限速功能的一个开关。
步骤S510中的旁路处理结果,限速功能只关心该报文旁路处理是成功,还是失败,旁路处理超时也是失败。
另一方面,窗口更新模块根据其他模块所提供的信息,周期性的更新限速模块的最大窗口值,如图6所示,具体包括以下步骤:
步骤S601,由初始化模块提供相关配置,判断是否限速功能被启用,如果未被启用,直接退出本模块;
步骤S602,如果限速功能被启用,从健康监测模块获取该旁路引擎是否健康,如果不能正常工作,则直接到达步骤S607;
步骤S603,如果旁路引擎能正常工作,则从状态统计模块中获取最近周期内成功与失败计数,根据预设算法计算失败率;
步骤S604,判断预设算法计算所得的失败率是否为0,如果失败率为0,则进一步判断限速模块的需要更多窗口是否被置上,如果失败率不为0,则进一步判断失败率是否在可接受的范围内;
步骤S605,如果失败率为0且限速模块的需要更多窗口标志被置上,则根据预设算法增长限速模块的最大窗口值,并到达步骤S607,如果需要更多窗口未被置上,则达到步骤S607;
步骤S606,如果失败率不为0且在可接收范围内,直接达到步骤S607,如果失败率超出可接受范围,则根据预设算法减少限速模块最大窗口值,然后到达步骤S607;
步骤S607,结束本次更新,睡眠初始化模块所提供更新周期时间,等待下个更新周期的到来;
步骤S603中,预设计算失败率算法为:如果失败数为0,失败率直接为0,否则失败率=失败数/(失败数+成功数);
步骤S605中,预设计算窗口增长数的算法为:设x=当前窗口总大小*最大可接受失败率,预设单次窗口增长最小值为m,如果x小于m,则以m作为窗口增长数,否则x作为窗口增长数;
步骤S606中,预设计算窗口减少数的算法为:设x=当前窗口总大小*失败率,预设单次窗口减少最小值为m,如果x小于m,则以m作为窗口减少数,否则x作为窗口减少数。
综上所述,本发明提供了提供一种旁路报文限速方法和系统,其原理是:通过状态统计模块统计预设周期内旁路处理的失败率,窗口更新模块通过状态统计模块所统计的值,动态的计算限速模块的窗口大小,最后计算的窗口将是相对稳定的,该窗口总大小代表了旁路引擎在超时时间内(最多给旁路引擎处理报文的时间)可处理的最大报文数,限速模块利用窗口更新模块计算出的窗口总大小,限制旁路引擎可同时处理的最大报文数,在流量高度超负荷或流量突发的情况下,防止了产生性能瓶颈,防止了大量报文旁路处理超时而导致延时过大。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (8)

1.一种旁路报文限速方法,其特征在于,应用于网络安全系统,包括:
统计所述网络安全系统的旁路引擎对报文的处理结果;所述处理结果包括以下任一项:处理成功,处理失败;
基于所述处理结果计算所述旁路引擎的报文的处理失败率;
将所述处理失败率与预设失败率进行比较,得到比较结果;其中,所述比较结果包括以下任一项:所述处理失败率大于所述预设失败率,所述处理失败率小于或等于所述预设失败率;
基于所述比较结果动态调整最大窗口数量,以限制旁路引擎所同时处理的报文的最大数量,其中,所述最大窗口数量为旁路引擎中能同时处理报文的窗口的数量;
在基于所述比较结果动态调整最大窗口数量之后,所述方法还包括:
获取待处理报文;
获取所述旁路引擎所能同时处理报文的窗口的目标窗口数量;
判断所述目标窗口数量是否大于零;
如果是,则将所述待处理报文发送到所述旁路引擎,以使所述旁路引擎处理所述待处理报文,并控制所述目标窗口数量减少预设值。
2.根据权利要求1所述的方法,其特征在于,若判断所述目标窗口数量为零,则所述方法还包括:跳过所述待处理报文。
3.根据权利要求1所述的方法,其特征在于,基于所述比较结果动态调整最大窗口数量,包括:
如果所述比较结果为所述处理失败率大于所述预设失败率,则减少所述最大窗口数量;
如果所述比较结果为所述处理失败率小于或等于所述预设失败率,则增加所述最大窗口数量。
4.一种旁路报文限速系统,其特征在于,应用于网络安全系统,包括:统计模块,计算模块,比较模块和调整模块,其中,
所述统计模块,用于统计所述网络安全系统的旁路引擎对报文的处理结果;所述处理结果包括以下任一项:处理成功,处理失败;
所述计算模块,用于基于所述处理结果计算所述旁路引擎的报文的处理失败率;
所述比较模块,用于将所述处理失败率与预设失败率进行比较,得到比较结果;其中,所述比较结果包括以下任一项:所述处理失败率大于所述预设失败率,所述处理失败率小于或等于所述预设失败率;
所述调整模块,用于基于所述比较结果动态调整最大窗口数量,以限制旁路引擎所同时处理的报文的最大数量,其中,所述最大窗口数量为旁路引擎中能同时处理报文的窗口的数量;
所述系统还包括:第一获取模块,第二获取模块和限速模块,其中,
所述第一获取模块,用于获取待处理报文;
所述第二获取模块,用于获取所述旁路引擎所能同时处理报文的窗口的目标窗口数量;
所述限速模块,用于判断所述目标窗口数量是否大于零;如果是,则将所述待处理报文发送到所述旁路引擎,以使所述旁路引擎处理所述待处理报文,并控制所述目标窗口数量减少预设值。
5.根据权利要求4所述的系统,其特征在于,所述限速模块还用于:若判断所述目标窗口数量为零,则跳过所述待处理报文。
6.根据权利要求4所述的系统,其特征在于,所述调整模块包括:第一调整单元和第二调整单元,其中,
所述第一调整单元,用于如果所述比较结果为所述处理失败率大于所述预设失败率,则减少所述最大窗口数量;
所述第二调整单元,用于如果所述比较结果为所述处理失败率小于或等于所述预设失败率,则增加所述最大窗口数量。
7.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至3任一项所述的方法的步骤。
8.一种具有处理器可执行的非易失的程序代码的计算机可读介质,其特征在于,所述程序代码使所述处理器执行所述权利要求1-3任一项所述方法。
CN201911169931.3A 2019-11-25 2019-11-25 旁路报文限速方法和系统 Active CN111049807B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911169931.3A CN111049807B (zh) 2019-11-25 2019-11-25 旁路报文限速方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911169931.3A CN111049807B (zh) 2019-11-25 2019-11-25 旁路报文限速方法和系统

Publications (2)

Publication Number Publication Date
CN111049807A CN111049807A (zh) 2020-04-21
CN111049807B true CN111049807B (zh) 2022-03-11

Family

ID=70233384

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911169931.3A Active CN111049807B (zh) 2019-11-25 2019-11-25 旁路报文限速方法和系统

Country Status (1)

Country Link
CN (1) CN111049807B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101060531A (zh) * 2007-05-17 2007-10-24 华为技术有限公司 网络设备攻击防范的方法和装置
CN104348748A (zh) * 2014-06-20 2015-02-11 珠海市君天电子科技有限公司 一种限制网速的方法及系统
CN106648904A (zh) * 2017-01-09 2017-05-10 大连理工大学 一种流式数据处理自适应速率控制方法
CN107623661A (zh) * 2016-07-15 2018-01-23 阿里巴巴集团控股有限公司 阻断访问请求的系统、方法及装置,服务器
CN109525500A (zh) * 2018-12-27 2019-03-26 北京天融信网络安全技术有限公司 一种自调整阈值的信息处理方法及信息处理装置
CN109862052A (zh) * 2017-11-30 2019-06-07 中国移动通信集团安徽有限公司 服务请求的调用方法、装置、计算机设备及存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101060531A (zh) * 2007-05-17 2007-10-24 华为技术有限公司 网络设备攻击防范的方法和装置
CN104348748A (zh) * 2014-06-20 2015-02-11 珠海市君天电子科技有限公司 一种限制网速的方法及系统
CN107623661A (zh) * 2016-07-15 2018-01-23 阿里巴巴集团控股有限公司 阻断访问请求的系统、方法及装置,服务器
CN106648904A (zh) * 2017-01-09 2017-05-10 大连理工大学 一种流式数据处理自适应速率控制方法
CN109862052A (zh) * 2017-11-30 2019-06-07 中国移动通信集团安徽有限公司 服务请求的调用方法、装置、计算机设备及存储介质
CN109525500A (zh) * 2018-12-27 2019-03-26 北京天融信网络安全技术有限公司 一种自调整阈值的信息处理方法及信息处理装置

Also Published As

Publication number Publication date
CN111049807A (zh) 2020-04-21

Similar Documents

Publication Publication Date Title
US7821937B1 (en) Network protocol with damage loss resilient congestion control algorithm
CN107995127B (zh) 一种过载保护方法及装置
US7882160B2 (en) Low latency optimization for generational garbage collection
US9568989B2 (en) Method for acting as service agent, modem, and terminal by establishing a heartbeat connection with an application server
CN107040415B (zh) 一种终端及数据上报方法、服务器及数据接收方法
US7636310B2 (en) Communication control system and communication control method
EP3133878B1 (en) Power adjustment apparatus and method
CN110858843B (zh) 业务请求处理方法、装置及计算机可读存储介质
CN107547442B (zh) 数据传输缓存队列分配方法及装置
CN101924679A (zh) 一种以太网口报文限速方法、装置及数据通信设备
CN111682977A (zh) 网络设备的异常处理方法、装置、存储介质及网络设备
CN112383585A (zh) 消息处理系统、方法及电子设备
CN111277640A (zh) 用户请求处理方法、装置、系统、计算机设备和存储介质
CN111104257A (zh) 一种备份日志数据的防超时方法、装置、设备及介质
CN111049807B (zh) 旁路报文限速方法和系统
CN109117271B (zh) 自动调节cpu负载的方法、存储介质及终端设备
US20110029621A1 (en) Mail server system and congestion control method
CN111949417A (zh) 消息发送方法、存储介质
CN114401224B (zh) 一种数据限流方法、装置、电子设备以及存储介质
CN115333983A (zh) 心跳管理方法及节点
CN107689877B (zh) 一种参数调整方法及装置
CN111291104B (zh) 一种基于异步应答的传输数据的方法及系统
US9628386B2 (en) Method of dispatching application messages
KR100270918B1 (ko) 이동 통신 에치엘알 시스템에서의 프로세서 관리 방법
CN113810383B (zh) Web应用防火墙及拥塞控制方法、介质及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant