CN112291205B - 深度包检测业务的控制方法、装置及计算机设备 - Google Patents
深度包检测业务的控制方法、装置及计算机设备 Download PDFInfo
- Publication number
- CN112291205B CN112291205B CN202011090118.XA CN202011090118A CN112291205B CN 112291205 B CN112291205 B CN 112291205B CN 202011090118 A CN202011090118 A CN 202011090118A CN 112291205 B CN112291205 B CN 112291205B
- Authority
- CN
- China
- Prior art keywords
- service group
- dpi service
- dpi
- memory
- priority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
本说明书提供一种深度包检测业务的控制方法、装置及计算机设备,所述方法包括:预先将不同的DPI业务按照优先级进行分组;然后根据剩余内存,和预先确定的内存阈值,确定需要禁用的DPI业务组,在剩余内存较大时,禁用较低优先级的DPI业务组来维持系统的稳定性;而在剩余内存较小,禁用较低优先级的DPI业务组已不足以维持系统的稳定运行时,才会考虑禁用优先级较高的业务组。在实现了维持系统稳定运行的同时,保证了网络安全,避免了全部类型的DPI业务组失效导致的网络安全面临威胁的问题。
Description
技术领域
本说明书涉及计算机应用技术领域,尤其涉及深度包检测业务的控制方法、装置及计算机设备。
背景技术
网络安全设备在对接收到的报文流量进行深度包检测(Deep PacketInspection,DPI)时,需要消耗较多内存,如果报文流量突然增大,则容易导致内存耗尽,影响系统稳定性。
相关技术中,通常会增大网络设备的内存,以应对偶然出现的报文流量激增。然而,为了应对偶然状况而常态化地保持网络设备的内存冗余,成本过高。
发明内容
为克服相关技术中存在的内存耗尽影响系统稳定性的问题,本说明书提供了深度包检测业务的控制方法、装置及计算机设备。
根据本说明书实施例的第一方面,提供一种深度包检测业务的控制方法,预先基于不同深度包检测DPI业务的优先级,对网络安全设备负责执行的多个DPI业务进行分组,以及,对各DPI业务组进行排序,并为每个DPI业务组分配对应的内存阈值;其中,前一个DPI业务组的优先级高于后一个DPI业务组的优先级,前一个DPI业务组对应的内存阈值小于后一个DPI业务组对应的内存阈值;
所述方法包括:
确定所述网络安全设备的剩余内存;
若存在至少一个大于所述剩余内存的内存阈值,则确定大于所述剩余内存的每个内存阈值所对应的DPI业务组,并禁用所确定的DPI业务组中的DPI业务。
根据本说明书实施例的第二方面,提供一种深度包检测业务的控制方法,预先基于不同深度包检测DPI业务的优先级,对网络安全设备负责执行的多个DPI业务进行分组,以及,对各DPI业务组进行排序,并为每个DPI业务组分配对应的内存阈值;其中,前一个DPI业务组的优先级高于后一个DPI业务组的优先级,前一个DPI业务组对应的内存阈值小于后一个DPI业务组对应的内存阈值;
所述方法包括:
每当经过指定周期时,执行以下步骤:
确定所述网络安全设备的剩余内存;
若存在至少一个大于所述剩余内存的内存阈值,则确定大于所述剩余内存的每个内存阈值所对应的DPI业务组,并禁用所确定的DPI业务组中的DPI业务。
根据本说明书实施例的第三方面,提供一种深度包检测业务的控制装置,预先基于不同深度包检测DPI业务的优先级,对网络安全设备负责执行的多个DPI业务进行分组,以及,对各DPI业务组进行排序,并为每个DPI业务组分配对应的内存阈值;其中,前一个DPI业务组的优先级高于后一个DPI业务组的优先级,前一个DPI业务组对应的内存阈值小于后一个DPI业务组对应的内存阈值;
所述装置包括:
剩余内存确定单元,用于确定所述网络安全设备的剩余内存;
DPI业务组禁用单元,用于若存在至少一个大于所述剩余内存的内存阈值,则确定大于所述剩余内存的每个内存阈值所对应的DPI业务组,并禁用所确定的DPI业务组中的DPI业务。
根据本说明书实施例的第四方面,提供一种深度包检测业务的控制装置,预先基于不同深度包检测DPI业务的优先级,对网络安全设备负责执行的多个DPI业务进行分组,以及,对各DPI业务组进行排序,并为每个DPI业务组分配对应的内存阈值;其中,前一个DPI业务组的优先级高于后一个DPI业务组的优先级,前一个DPI业务组对应的内存阈值小于后一个DPI业务组对应的内存阈值;
所述装置包括:
每当经过指定周期时,执行以下步骤:
剩余内存确定单元,用于确定所述网络安全设备的剩余内存;
DPI业务组禁用单元,用于若存在至少一个大于所述剩余内存的内存阈值,则确定大于所述剩余内存的每个内存阈值所对应的DPI业务组,并禁用所确定的DPI业务组中的DPI业务。
根据本说明书实施例的第五方面,提供一种计算机设备,所述计算机设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本说明书实施例第一或第二方面中任一项所述的深度包检测业务的控制方法。
本说明书实施例中,预先将不同的DPI业务按照优先级进行分组,根据确定的剩余内存的大小与预先确定的内存阈值的比较结果,确定需要禁用的DPI业务组,使得系统在剩余内存低于不同值时,禁用不同优先级的业务组,减少了在流量突发时,由于内存值不足导致的系统不稳定情况的出现。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施例,并与说明书一起用于解释本说明书的原理。
图1是本说明书根据一示例性实施例示出的一种方法的流程图。
图2是本说明书根据一具体实施例示出的一种方法的流程图。
图3是本说明书根据一示例性实施例示出的一种装置的框图。
图4是本说明书根据一示例性实施例示出的另一种装置的框图。
图5是本说明书实施例的深度包检测的控制装置所在计算机设备的一种硬件结构图。
具体实施方式
为了保证网络安全,网络安全设备需要对报文流量进行网络防火墙、入侵防御系统、分布式拒绝服务以及深度包检测DPI业务等等的检测业务。其中,DPI业务对于网络安全设备的内存的消耗比较大,当报文流量突然增大时,DPI业务需要处理的报文也将会增多,那么会导致DPI业务占用的内存进一步增大,这会导致网络安全设备的内存不足甚至耗尽,进而影响系统进程的运行,甚至导致系统崩溃。在报文流量突然增大时,DPI业务会影响系统的正常稳定运行。
为了解决这一问题,一种可以选择的技术方案是,在网络安全设备的剩余内存不足以维持系统稳定运行时,禁用全部类型的DPI业务,使得网络安全设备的系统可以维持稳定的运行。但是这一方案会导致,在内存不足时,无法对报文流量进行深度包检测,这会导致网络安全面临威胁。比如,当外发文件控制这一DPI业务关闭后,可能导致一些非法操作将机密文件外泄,带来较大的损失。
为了解决禁用全部类型的DPI业务导致的网络安全面临威胁的问题,考虑到,在系统内存稍有不足时,优先禁用对系统安全性影响较小的DPI业务,而系统内存十分紧张的时候,再考虑禁用对系统安全性影响较大的DPI业务。基于此,为了实现在系统内存不足时系统的稳定运行,以及维护网络安全,本说明书的一个或多个实施例提供了一种根据DPI业务的优先级和剩余内存大小,来控制DPI业务的方法,也就是说在不同的剩余内存大小的情况下,禁用不同的DPI业务。
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
接下来对本说明书实施例进行详细说明。
如图1所示,图1是本说明书根据一示例性实施例示出的一种深度包检测业务的控制方法的流程图,包括以下步骤:
步骤102,确定网络安全设备的剩余内存。
其中,步骤102、104是可以周期性执行的步骤,也就是说在指定周期经过时,执行步骤102、104;也可以在监测到报文流量增大时,为了以防系统稳定性因为内存不足而受到影响,执行步骤102、104。网络安全设备是对报文流量进行处理与检测的设备。
此外,在步骤102执行前,要预先基于不同深度包检测DPI业务的优先级,对网络安全设备负责执行的多个DPI业务进行分组,以及,对各DPI业务组进行排序,并为每个DPI业务组分配对应的内存阈值;其中,前一个DPI业务组的优先级高于后一个DPI业务组的优先级,前一个DPI业务组对应的内存阈值小于后一个DPI业务组对应的内存阈值。
其中,不同的DPI业务是不同类型的DPI业务,QQ登录审计,网页访问审计,非法网站过滤,外发文件控制等,均是DPI业务。不同类型的DPI业务指的是网络安全设备对报文流量进行DPI检测的需求会有不同,也就是说,网络安全设备针对报文流量进行检测的策略会有不同。而不同的DPI业务的重要程度会有不同。比如,非法网站过滤是对一些不良网站的访问进行阻断,这是较为重要的业务,如果禁用,会导致部分用户访问不良网站,对用户的网络安全造成影响;而网页访问审计这一DPI业务被禁用后,并不会在短时间内直接导致网络安全面临威胁,网络访问审计的优先级低于非法网站过滤的优先级。
其中,不同DPI业务的优先级可以根据业务的重要程度进行划分,对网络安全影响较大的重要的DPI业务优先级较高,而对安全影响较小的不重要的DPI业务优先级较低。分组后每个DPI业务组中的DPI业务,可能优先级相同,也可能优先级存在差别,如果一个业务组中不同的DPI业务的优先级存在差别,也要保证该业务组中优先级最低的DPI业务的优先级,大于下一个DPI业务组中全部DPI业务的优先级。
其中,为了使得优先级较大的DPI业务组在内存较小时才会被禁用,要对不同优先级的DPI业务组分配不同的内存阈值。每个DPI业务组所对应的内存阈值,可以结合该DPI业务组检测一定数量的报文流量所消耗的内存大小,以及系统稳定运行所需要的内存大小进行分配,比如,该DPI业务组检测一定数量的报文流量消耗的内存较多,该DPI业务组对应的内存阈值可以分配的较小。
步骤104,若存在至少一个大于所述剩余内存的内存阈值,则确定大于所述剩余内存的每个内存阈值所对应的DPI业务组,并禁用所确定的DPI业务组中的DPI业务。
换言之,将确定的剩余内存与上述预先分配的内存阈值进行比较,确定出所有大于该剩余内存的内存阈值。具体而言,在实际应用中,可以先将剩余内存与最小的内存阈值进行比较,若该内存阈值大于剩余内存,则确定出所有内存阈值均大于剩余内存;若该内存阈值不大于剩余内存,则继续将剩余内存与未进行比较的最小的内存阈值进行比较,直至确定出大于剩余内存的内存阈值,或者确定所有内存阈值均不大于剩余内存阈值。也可以将剩余内存与内存阈值按照内存阈值从大到小的顺序进行比较,直至确定出所有大于剩余内存的内存阈值,或者确定所有内存阈值均不大于剩余内存。
然后,在确定出大于剩余内存的内存阈值后,根据确定的内存阈值所对应的DPI业务组,确定了需要禁用的DPI业务组,然后将确定的DPI业务组禁用,也就是关闭确定的DPI业务组所占用的计算机进程,以释放这些进程所占用的内存空间。
此外,若不存在至少一个大于所述剩余内存的内存阈值,则无法确定出内存阈值对应的DPI业务组,也就不会禁用任何DPI业务组。
本说明书的一个或多个实施例中,预先将不同的DPI业务按照优先级进行分组。然后根据剩余内存,和预先确定的内存阈值,确定需要禁用的DPI业务组。也就是说,在剩余内存较大时,禁用较低优先级的DPI业务组来维持系统的稳定性;而在剩余内存较小,禁用较低优先级的DPI业务组已不足以维持系统的稳定运行时,才会考虑禁用优先级较高的业务组。本说明书的一个或多个实施例在实现了维持系统稳定运行的同时,保证了网络安全,避免了全部类型的DPI业务组失效导致的网络安全面临威胁的问题。
进一步地,在禁用业务组后,为了避免禁用DPI业务组过久而导致安全问题,需要在合适的时机重新启用已经被禁用的DPI业务组。
一种可实现方法是,可以考虑根据禁用时间,来决定是否启用已经被禁用的DPI业务组。根据禁用时间的长短,决定是否启用已经被禁用的DPI业务组的具体步骤包括:
在分配内存阈值的同时,预先为每个DPI业务组分配对应的时长阈值。在执行步骤102、104的后,针对每个DPI业务组,当该DPI业务组对应的禁用时长超过该DPI业务组对应的时长阈值时,启用该DPI业务组。
其中,预先分配的时长阈值,可以根据DPI业务组的优先级确定。高优先级的DPI业务组可能在禁用时长较长的情况下,对于网络安全的影响较大,因此高优先级的时长阈值不宜过长。比如,外发文件控制业务如果被禁用时间较长,十分容易泄露重要文件,所以这一业务的时长阈值不宜过长;而QQ登录审计业务被禁用时间较长,系统安全也不会面临较大的威胁,所以这一业务的时长阈值可以取得稍微长一点。此外,当系统周期性执行步骤102和104时,可以在该执行周期内,执行启用步骤,那么禁用时长可以根据禁用开始的周期的开始时间,和当下执行周期时的开始时间确定的。
另一种可实现方法是,可以考虑根据剩余内存的大小,来决定是否启用已经被禁用的DPI业务组。根据剩余内存的大小,决定是否启用已经被禁用的DPI业务组的具体步骤包括:
在预先为每个DPI业务组分配内存阈值的同时,预先为每个DPI业务组分配对应的启用内存阈值;在禁用后,重新确定剩余内存;针对每个DPI业务组,当重新确定的剩余内存大于该DPI业务组所对应的启用内存阈值时,启用该DPI业务组。
其中,启用内存阈值可以设置的比该DPI业务组所对应的内存阈值稍大,以使得重新启用该业务组后,不会影响系统的稳定运行。启用内存阈值也可以与相应的内存阈值相同,使得系统安全得到更大的保障。
进一步地,为了确保系统的稳定运行,可以考虑在禁用时长和剩余内存均满足需求时,才重新启用被禁用的DPI业务组。因此启用步骤还可以包括:
在预先为每个DPI业务组分配内存阈值的同时,预先为每个DPI业务组分配对应的时长阈值;在禁用后,重新确定剩余内存;针对每个DPI业务组,当该DPI业务组对应的禁用时长超过该DPI业务组对应的时长阈值,且重新确定的剩余内存大于该DPI业务组所对应的内存阈值时,启用该DPI业务组;当该DPI业务组对应的禁用时长超过该DPI业务组对应的时长阈值,且重新确定的剩余内存不超过该DPI业务组所对应的内存阈值时,则将当前时刻的时间重新确定为禁用开始的时间。
此外,当该DPI业务组对应的禁用时长超过该DPI业务组对应的时长阈值,且重新确定的剩余内存不超过该DPI业务组所对应的内存阈值时,也可以不重新计算禁用时长。可以等待,直至内存阈值满足需求时,启用该DPI业务组。
其中,重新启用时需要满足的内存阈值条件也可以是重新设置的启用内存阈值。与上述实施例相似,该启用内存阈值可以选取的比内存阈值稍大,以实现启用后系统的稳定运行。此外,重新确定的剩余内存指的是与开始禁用时间不同的时间的剩余内存。该启用步骤也可以同步骤102、104一起周期性执行,在周期性执行时,重新确定剩余内存可以是该周期开始时所确定的剩余内存。
如图2所示,图2是根据一具体实施例示出的一种深度包检测业务的控制方法的流程图,其中,DPI业务组的数量为三个,分别为高优先级DPI业务组、中优先DPI业务组和低优先级DPI业务组。预先为每个DPI业务组分配对应的时长阈值和内存阈值。其中,高优先级业务组所对应的内存阈值为L1,时长阈值T1;中优先级业务组所对应的内存阈值为L2,时长阈值T2;低优先级业务组所对应的内存阈值为L3,时长阈值T3,且满足L1<L2<L3。
图2所示实施例包括以下步骤:
步骤201,确定网络安全设备的剩余内存M。
步骤202,判断M是否小于L1,如果否,则继续执行步骤203;如果是,则执行步骤2021,禁用所有DPI业务组,并跳转至步骤205。
步骤203,判断M是否小于L2,如果否,则继续执行步骤204;如果是,则执行步骤2031,禁用中优先级DPI业务组和低优先级DPI业务组,并跳转至步骤205。
步骤204,判断M是否小于L3,如果否,则继续执行步骤205;如果是,则执行步骤2041,禁用低优先级DPI业务组,并继续执行步骤205。
步骤205,检查每个DPI业务组是否处于禁用状态;如果存在禁用的DPI业务组,则执行步骤2051,判断禁用时长是否超过该DPI业务组所对应的时长阈值;如果是,则执行步骤2052,启用该DPI业务组;执行完后,跳转至步骤206。
步骤206,等待指定周期的经过。
举例来说,一个网络安全设备总内存为521M,支持三种DPI业务,分别是,非法网站过滤,网页访问审计,QQ登录审计。按照三种DPI业务的重要程度,将非法网站过滤作为高优先级DPI业务,网页访问审计作为中优先级DPI业务,QQ登录审计作为低优先级DPI业务。按照上述实施例的规则,设定三个DPI业务对应的内存阈值:L1=100M,L2=200M,L3=300M;时间阈值分别为:T1=1min,T2=2min,T3=3min,并将指定周期设置为2s。以下,将通过几个特殊的指定周期,来说明本实施例的实现方法。
在第一个指定周期经过时,网络安全设备剩余内存为400M,此时网络安全设备稳定运行。将400M的剩余内存与L1比较,400>100;进一步,将剩余内存400M与L2比较,400>200;进一步,将剩余内存400M与L3比较,400>300,所以不需要禁用任何应用。再确定出,没有正在禁用的DPI业务,所以不做处理,等待下一个指定周期的经过。
过了一段时间,在一个指定周期经过时,由于报文流量增大,DPI业务需要处理更多的报文,所以此时剩余内存为250M。将250M的剩余内存与L1比较,250>100;进一步,将剩余内存250M与L2比较,250>200;进一步,将剩余内存250M与L3比较,250<300,所以将低优先级DPI业务禁用,也就是说禁用QQ登录审计业务,从此刻开始计算低优先级DPI业务的禁用时长,并等待下一个指定周期的经过。且该时刻其他DPI业务没有在禁用,且低优先级DPI业务的禁用时长没有达到时间阈值T2,所以不启用任何DPI业务。
又经过3min后,在一个指定周期经过时,确定剩余内存为330M,经过判断后,确定不禁用任何DPI业务。判断此刻低优先级DPI业务正在被禁用,且禁用时长超过时间阈值3min,所以启用低优先级业务。
又经过一段时间后,在经过一个指定周期时,由于报文流量突然增大,网络安全设备的剩余内存减小为99M。判断剩余内存99M<L1,所以将三个DPI业务都禁用,并从此刻开始计算三个DPI业务的禁用时长。判断三个DPI业务均未超时,不启用任何DPI业务。
与前述方法的实施例相对应,本说明书还提供了装置及其所应用的终端的实施例。
如图3所示,图3是本说明书根据一示例性实施例示出的一种深度包检测的控制装置的框图,所述装置预先基于不同深度包检测DPI业务的优先级,对网络安全设备负责执行的多个DPI业务进行分组,以及,对各DPI业务组进行排序,并为每个DPI业务组分配对应的内存阈值;其中,前一个DPI业务组的优先级高于后一个DPI业务组的优先级,前一个DPI业务组对应的内存阈值小于后一个DPI业务组对应的内存阈值;
图3所示的装置包括:
剩余内存确定单元310,用于确定所述网络安全设备的剩余内存;
DPI业务组禁用单元320,用于若存在至少一个大于所述剩余内存的内存阈值,则确定大于所述剩余内存的每个内存阈值所对应的DPI业务组,并禁用所确定的DPI业务组中的DPI业务。
进一步地,所述装置还包括:
时长阈值分配单元330,用于预先为每个DPI业务组分配对应的时长阈值;
DPI业务组启用单元340,用于针对每个DPI业务组,当该DPI业务组对应的禁用时长超过该DPI业务组对应的时长阈值时,启用该DPI业务组。
进一步地,DPI业务组启用单元,具体包括:
剩余内存重新确定子单元341,用于重新确定剩余内存;
DPI业务组启用子单元342,用于针对每个DPI业务组,当该DPI业务组对应的禁用时长超过该DPI业务组对应的时长阈值,且重新确定的剩余内存大于该DPI业务组所对应的内存阈值时,启用该DPI业务组。
进一步地,如图4所示,图4是本说明书根据一示例性实施例示出的一种深度包检测的控制装置,所述装置预先基于不同深度包检测DPI业务的优先级,对网络安全设备负责执行的多个DPI业务进行分组,以及,对各DPI业务组进行排序,并为每个DPI业务组分配对应的内存阈值;其中,前一个DPI业务组的优先级高于后一个DPI业务组的优先级,前一个DPI业务组对应的内存阈值小于后一个DPI业务组对应的内存阈值;
图4所示装置包括:
剩余内存确定单元410,用于每当经过指定周期时,确定所述网络安全设备的剩余内存.
DPI业务组禁用单元420,用于若存在至少一个大于所述剩余内存的内存阈值,则确定大于所述剩余内存的每个内存阈值所对应的DPI业务组,并禁用所确定的DPI业务组中的DPI业务。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
如图5所示,图5是本说明书根据一示例性实施例示出的一种计算机设备的框图,所述计算机设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如方法实施例中任一项所述的深度包检测业务的控制方法。
本说明书文件处理装置的实施例可以应用在计算机设备上,例如服务器或终端设备。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在文件处理的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,为本说明书实施例文件处理装置所在计算机设备的一种硬件结构图,除了图5所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的服务器或电子设备,通常根据该计算机设备的实际功能,还可以包括其他硬件,对此不再赘述。
本说明书的一个或多个实施例也可以记录在计算机可读介质上。计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本说明书的真正范围和精神由下面的权利要求指出。
应当理解的是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。
以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。
Claims (8)
1.一种深度包检测业务的控制方法,其特征在于,预先基于不同深度包检测DPI业务的优先级,对网络安全设备负责执行的多个DPI业务进行分组,以及,对各DPI业务组进行排序,并为每个DPI业务组分配对应的内存阈值;其中,前一个DPI业务组的优先级高于后一个DPI业务组的优先级,前一个DPI业务组对应的内存阈值小于后一个DPI业务组对应的内存阈值;DPI业务优先级与禁用该DPI业务后对网络安全的影响程度正相关;
所述方法包括:
确定所述网络安全设备的剩余内存;
若存在至少一个大于所述剩余内存的内存阈值,则确定大于所述剩余内存的每个内存阈值所对应的DPI业务组,并禁用所确定的DPI业务组中的DPI业务;
预先为每个DPI业务组分配对应的时长阈值;每个DPI业务组的时长阈值与该DPI业务组的优先级负相关;
针对每个DPI业务组,当该DPI业务组对应的禁用时长超过该DPI业务组对应的时长阈值时,启用该DPI业务组。
2.如权利要求1所述方法,其特征在于,针对每个DPI业务组,当该DPI业务组对应的禁用时长超过该DPI业务组对应的时长阈值时,启用该DPI业务组,具体包括:
重新确定剩余内存;
针对每个DPI业务组,当该DPI业务组对应的禁用时长超过该DPI业务组对应的时长阈值,且重新确定的剩余内存大于该DPI业务组所对应的内存阈值时,启用该DPI业务组。
3.如权利要求2所述方法,其特征在于,所述方法还包括:
针对每个DPI业务组,当该DPI业务组对应的禁用时长超过该DPI业务组对应的时长阈值,且重新确定的剩余内存不超过该DPI业务组所对应的内存阈值时,则将当前时刻的时间重新确定为禁用开始的时间。
4.一种深度包检测业务的控制方法,其特征在于,预先基于不同深度包检测DPI业务的优先级,对网络安全设备负责执行的多个DPI业务进行分组,以及,对各DPI业务组进行排序,并为每个DPI业务组分配对应的内存阈值;其中,前一个DPI业务组的优先级高于后一个DPI业务组的优先级,前一个DPI业务组对应的内存阈值小于后一个DPI业务组对应的内存阈值;DPI业务优先级与禁用该DPI业务后对网络安全的影响程度正相关;
所述方法包括:
每当经过指定周期时,执行以下步骤:
确定所述网络安全设备的剩余内存;
若存在至少一个大于所述剩余内存的内存阈值,则确定大于所述剩余内存的每个内存阈值所对应的DPI业务组,并禁用所确定的DPI业务组中的DPI业务;
预先为每个DPI业务组分配对应的时长阈值;每个DPI业务组的时长阈值与该DPI业务组的优先级负相关;
针对每个DPI业务组,当该DPI业务组对应的禁用时长超过该DPI业务组对应的时长阈值时,启用该DPI业务组。
5.一种深度包检测业务的控制装置,其特征在于,预先基于不同深度包检测DPI业务的优先级,对网络安全设备负责执行的多个DPI业务进行分组,以及,对各DPI业务组进行排序,并为每个DPI业务组分配对应的内存阈值;其中,前一个DPI业务组的优先级高于后一个DPI业务组的优先级,前一个DPI业务组对应的内存阈值小于后一个DPI业务组对应的内存阈值;DPI业务优先级与禁用该DPI业务后对网络安全的影响程度正相关;
所述装置包括:
剩余内存确定单元,用于确定所述网络安全设备的剩余内存;
DPI业务组禁用单元,用于若存在至少一个大于所述剩余内存的内存阈值,则确定大于所述剩余内存的每个内存阈值所对应的DPI业务组,并禁用所确定的DPI业务组中的DPI业务;
时长阈值分配单元,用于预先为每个DPI业务组分配对应的时长阈值;每个DPI业务组的时长阈值与该DPI业务组的优先级负相关;
DPI业务组启用单元,用于针对每个DPI业务组,当该DPI业务组对应的禁用时长超过该DPI业务组对应的时长阈值时,启用该DPI业务组。
6.如权利要求5所述装置,其特征在于,所述DPI业务组启用单元,具体包括:
剩余内存重新确定子单元,用于重新确定剩余内存;
DPI业务组启用子单元,用于针对每个DPI业务组,当该DPI业务组对应的禁用时长超过该DPI业务组对应的时长阈值,且重新确定的剩余内存大于该DPI业务组所对应的内存阈值时,启用该DPI业务组。
7.一种深度包检测业务的控制装置,其特征在于,预先基于不同深度包检测DPI业务的优先级,对网络安全设备负责执行的多个DPI业务进行分组,以及,对各DPI业务组进行排序,并为每个DPI业务组分配对应的内存阈值;其中,前一个DPI业务组的优先级高于后一个DPI业务组的优先级,前一个DPI业务组对应的内存阈值小于后一个DPI业务组对应的内存阈值;DPI业务优先级与禁用该DPI业务后对网络安全的影响程度正相关;
所述装置包括:
每当经过指定周期时,执行以下步骤:
剩余内存确定单元,用于确定所述网络安全设备的剩余内存;
DPI业务组禁用单元,用于若存在至少一个大于所述剩余内存的内存阈值,则确定大于所述剩余内存的每个内存阈值所对应的DPI业务组,并禁用所确定的DPI业务组中的DPI业务;
时长阈值分配单元,用于预先为每个DPI业务组分配对应的时长阈值;每个DPI业务组的时长阈值与该DPI业务组的优先级负相关;
DPI业务组启用单元,用于针对每个DPI业务组,当该DPI业务组对应的禁用时长超过该DPI业务组对应的时长阈值时,启用该DPI业务组。
8.一种计算机设备,其特征在于,所述计算机设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1至4中任一项所述的深度包检测业务的控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011090118.XA CN112291205B (zh) | 2020-10-13 | 2020-10-13 | 深度包检测业务的控制方法、装置及计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011090118.XA CN112291205B (zh) | 2020-10-13 | 2020-10-13 | 深度包检测业务的控制方法、装置及计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112291205A CN112291205A (zh) | 2021-01-29 |
| CN112291205B true CN112291205B (zh) | 2023-04-07 |
Family
ID=74496666
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011090118.XA Active CN112291205B (zh) | 2020-10-13 | 2020-10-13 | 深度包检测业务的控制方法、装置及计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112291205B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113542055A (zh) * | 2021-06-15 | 2021-10-22 | 新华三信息安全技术有限公司 | 一种报文处理方法、装置、设备及机器可读存储介质 |
| CN114826956B (zh) * | 2022-03-30 | 2023-05-26 | 杭州迪普科技股份有限公司 | 用于dpi测试设备的dpi策略库文件自动生成方法和装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106506622A (zh) * | 2016-10-26 | 2017-03-15 | 杭州华三通信技术有限公司 | 一种核心业务处理方法及装置 |
| CN111050359A (zh) * | 2020-01-16 | 2020-04-21 | 哈尔滨海能达科技有限公司 | 负载均衡控制方法、通信方法、装置及通信系统 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100591052C (zh) * | 2007-04-25 | 2010-02-17 | 华为技术有限公司 | 流量控制的方法和业务处理系统 |
| CN101227289A (zh) * | 2008-02-02 | 2008-07-23 | 华为技术有限公司 | 统一威胁管理设备及威胁防御模块的加载方法 |
| CN103631661B (zh) * | 2013-11-27 | 2017-04-05 | 青岛海信电器股份有限公司 | 一种内存管理方法和装置 |
| CN104199733A (zh) * | 2014-09-05 | 2014-12-10 | 广州金山网络科技有限公司 | 一种应用程序进程禁用方法及装置 |
| CN105376111B (zh) * | 2015-11-13 | 2019-04-26 | 百度在线网络技术(北京)有限公司 | 资源分配方法和装置 |
| US10122631B1 (en) * | 2016-05-06 | 2018-11-06 | Adtran, Inc. | Systems and methods for prioritizing packets |
| CN106792165A (zh) * | 2016-12-02 | 2017-05-31 | 武汉斗鱼网络科技有限公司 | 一种资源动态调整方法及装置 |
| CN106598740B (zh) * | 2016-12-15 | 2020-11-27 | 苏州浪潮智能科技有限公司 | 一种限制多线程程序占用cpu利用率的系统及限制方法 |
| CN107148066A (zh) * | 2017-06-20 | 2017-09-08 | 上海斐讯数据通信技术有限公司 | 网络资源优化装置及方法及无线接入点 |
| CN107450951B (zh) * | 2017-07-31 | 2020-08-04 | Oppo广东移动通信有限公司 | 应用程序处理方法、装置、存储介质和终端 |
| CN109358961B (zh) * | 2018-08-14 | 2021-12-21 | 深圳市先河系统技术有限公司 | 一种资源调度方法及其装置和具有存储功能的装置 |
| CN109857544A (zh) * | 2018-12-27 | 2019-06-07 | 努比亚技术有限公司 | 资源回收控制方法、终端及计算机可读存储介质 |
-
2020
- 2020-10-13 CN CN202011090118.XA patent/CN112291205B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106506622A (zh) * | 2016-10-26 | 2017-03-15 | 杭州华三通信技术有限公司 | 一种核心业务处理方法及装置 |
| CN111050359A (zh) * | 2020-01-16 | 2020-04-21 | 哈尔滨海能达科技有限公司 | 负载均衡控制方法、通信方法、装置及通信系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112291205A (zh) | 2021-01-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112291205B (zh) | 深度包检测业务的控制方法、装置及计算机设备 | |
| CN110851311A (zh) | 服务故障的识别方法、装置、设备及存储介质 | |
| CN110134700B (zh) | 数据上链方法、装置、计算机设备和存储介质 | |
| WO2012041228A1 (zh) | 组件访问控制方法及电子设备 | |
| CN113300975A (zh) | 网络设备的控制方法、网络传输的方法、装置及设备 | |
| CN109474623B (zh) | 网络安全防护及其参数确定方法、装置及设备、介质 | |
| CN114297630A (zh) | 恶意数据的检测方法、装置、存储介质及处理器 | |
| CN112580066A (zh) | 一种数据保护方法及装置 | |
| CN111949384B (zh) | 任务调度方法、装置、设备及计算机可读存储介质 | |
| CN114765584A (zh) | 一种用户行为监测方法、装置、电子设备及存储介质 | |
| CN111679887A (zh) | 一种代理容器的配置方法及装置 | |
| CN111966918A (zh) | 一种用于并发访问请求的限流方法、装置以及系统 | |
| CN111464492A (zh) | 抑制网络风暴的控制方法和装置,存储介质及处理器 | |
| CN111143071A (zh) | 基于mcs系统的缓存分区管理方法、系统及相关组件 | |
| CN113645060B (zh) | 一种网卡配置方法、数据处理方法及装置 | |
| CN113783850A (zh) | 一种网络防护方法、装置、设备及机器可读存储介质 | |
| CN113285952B (zh) | 网络漏洞封堵方法、装置、存储介质及处理器 | |
| CN114756380A (zh) | 云服务器部署方法、装置、电子设备及存储介质 | |
| CN111934909B (zh) | 主备机ip资源切换方法、装置、计算机设备和存储介质 | |
| CN105718767B (zh) | 一种基于风险识别的信息处理方法及装置 | |
| CN110300068B (zh) | Arp资源管理方法、装置、电子设备 | |
| CN110968409A (zh) | 一种数据处理方法及装置 | |
| CN112866265A (zh) | 一种csrf攻击防护方法及装置 | |
| CN111770126B (zh) | 服务请求处理方法、装置及存储介质 | |
| CN113722102B (zh) | 一种内存分配方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |