CN113505366A - 一种处理器限速方法、装置、设备及机器可读存储介质 - Google Patents

一种处理器限速方法、装置、设备及机器可读存储介质 Download PDF

Info

Publication number
CN113505366A
CN113505366A CN202110708525.0A CN202110708525A CN113505366A CN 113505366 A CN113505366 A CN 113505366A CN 202110708525 A CN202110708525 A CN 202110708525A CN 113505366 A CN113505366 A CN 113505366A
Authority
CN
China
Prior art keywords
processor
attacked
processors
speed limit
state
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110708525.0A
Other languages
English (en)
Inventor
秦宏伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN202110708525.0A priority Critical patent/CN113505366A/zh
Publication of CN113505366A publication Critical patent/CN113505366A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Power Sources (AREA)

Abstract

本公开提供一种处理器限速方法、装置、设备及机器可读存储介质,该方法包括:获取当前每个处理器的工作状态;根据忙碌状态的处理器的个数在处理器总数中的占比,获取当前被攻击的处理器;获取被攻击的处理器的限速使能状态,若被攻击的处理器未使能限速,则使能该处理器的限速功能。通过本公开的技术方案,获取当前各处理器的状态,若存在少量处理器忙碌而其他处理器空闲的情况,则认为此时这些忙碌状态的处理器受到了攻击,然后确保受到攻击的处理器开启限速功能,保持相对低速,避免对其他处理器造成影响。

Description

一种处理器限速方法、装置、设备及机器可读存储介质
技术领域
本公开涉及通信技术领域,尤其是涉及一种处理器限速方法、装置、设备及机器可读存储介质。
背景技术
防火墙设备处在客户的实际工作环境中时,经常会遇到恶意流量的攻击,此时为了保证设备能够最大程度的正常工作,需要对恶意流量进行限速丢包处理。因此防火墙设备具有限速功能提供给客户使用,如果报文流量超过客户配置的限速阈值,会直接丢弃报文来节约CPU(处理器)资源,这种方法属于静态的限速的方式,缺陷是不能对攻击的流量进行详细的分析。防火墙设备对报文的处理一般采用逐流方式,通过报文的五元组(源IP、目的IP、源端口、目的端口、协议号)计算出该报文上送哪个CPU进行转发处理。攻击者往往会使用相同五元组的报文针对少数几个CPU发起攻击,由于多核设备的特性,当其中的某个CPU被高占用时,其他CPU的性能也会受到严重影响。
发明内容
有鉴于此,本公开提供一种处理器限速方法、装置及电子设备、机器可读存储介质,以改善上述少数处理受攻击整体性能受影响的问题。
具体地技术方案如下:
本公开提供了一种处理器限速方法,应用于多处理器设备,所述方法包括:获取当前每个处理器的工作状态;根据忙碌状态的处理器的个数在处理器总数中的占比,获取当前被攻击的处理器;获取被攻击的处理器的限速使能状态,若被攻击的处理器未使能限速,则使能该处理器的限速功能。
作为一种技术方案,所述获取被攻击的处理器的限速使能状态,若被攻击的处理器未使能限速,则使能该处理器的限速功能,包括:若被攻击的处理器已使能限速,则降低该处理器的限速比例。
作为一种技术方案,所述获取当前每个处理器的工作状态,包括:按照预设周期,获取当前每个处理器的工作状态。
作为一种技术方案,所述根据忙碌状态的处理器的个数在处理器总数中的占比,获取当前被攻击的处理器,包括:若当前存在忙碌状态的处理器,且忙碌状态的处理器的个数在处理器总数中的占比小于等于阈值,则认为当前处于忙碌状态的处理器为被攻击的处理器。
本公开同时提供了一种处理器限速装置,应用于多处理器设备,所述装置包括:状态模块,用于获取当前每个处理器的工作状态;安全模块,用于根据忙碌状态的处理器的个数在处理器总数中的占比,获取当前被攻击的处理器;限速模块,用于获取被攻击的处理器的限速使能状态,若被攻击的处理器未使能限速,则使能该处理器的限速功能。
作为一种技术方案,所述获取被攻击的处理器的限速使能状态,若被攻击的处理器未使能限速,则使能该处理器的限速功能,包括:若被攻击的处理器已使能限速,则降低该处理器的限速比例。
作为一种技术方案,所述获取当前每个处理器的工作状态,包括:按照预设周期,获取当前每个处理器的工作状态。
作为一种技术方案,所述根据忙碌状态的处理器的个数在处理器总数中的占比,获取当前被攻击的处理器,包括:若当前存在忙碌状态的处理器,且忙碌状态的处理器的个数在处理器总数中的占比小于等于阈值,则认为当前处于忙碌状态的处理器为被攻击的处理器。
本公开同时提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,处理器执行所述机器可执行指令以实现前述的处理器限速方法。
本公开同时提供了一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现前述的处理器限速方法。
本公开提供的上述技术方案至少带来了以下有益效果:
获取当前各处理器的状态,若存在少量处理器忙碌而其他处理器空闲的情况,则认为此时这些忙碌状态的处理器受到了攻击,然后确保受到攻击的处理器开启限速功能,保持相对低速,避免对其他处理器造成影响。
附图说明
为了更加清楚地说明本公开实施方式或者现有技术中的技术方案,下面将对本公开实施方式或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开中记载的一些实施方式,对于本领域普通技术人员来讲,还可以根据本公开实施方式的这些附图获得其他的附图。
图1是本公开一种实施方式中的处理器限速方法的流程图;
图2是本公开一种实施方式中的处理器限速装置的结构图;
图3是本公开一种实施方式中的电子设备的硬件结构图。
具体实施方式
在本公开实施方式使用的术语仅仅是出于描述特定实施方式的目的,而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开实施方式可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本公开提供一种处理器限速方法、装置及电子设备、机器可读存储介质,以改善上述少数处理受攻击整体性能受影响的问题。
具体地,技术方案如后述。
在一种实施方式中,本公开提供了一种处理器限速方法,应用于多处理器设备,所述方法包括:获取当前每个处理器的工作状态;根据忙碌状态的处理器的个数在处理器总数中的占比,获取当前被攻击的处理器;获取被攻击的处理器的限速使能状态,若被攻击的处理器未使能限速,则使能该处理器的限速功能。
具体地,如图1,包括以下步骤:
步骤S11,获取当前每个处理器的工作状态;
步骤S12,根据忙碌状态的处理器的个数在处理器总数中的占比,获取当前被攻击的处理器;
步骤S13,获取被攻击的处理器的限速使能状态,若被攻击的处理器未使能限速,则使能该处理器的限速功能。
获取当前各处理器的状态,若存在少量处理器忙碌而其他处理器空闲的情况,则认为此时这些忙碌状态的处理器受到了攻击,然后确保受到攻击的处理器开启限速功能,保持相对低速,避免对其他处理器造成影响。
在本公开中,多处理器设备可以是多核CPU设备,也可以是多块CPU设备,也可以是多块多核CPU设备,处理器可以是多核CPU中的一核,也可以是单块CPU。通过设置占用率阈值,当某一处理器的占用率超过阈值时,则认为该处理器处于忙碌状态。使能限速功能则使处理器单独开启限速,保持设置的运行速度或占用率为上限,当处理器运行超过该上限时,对于分配到该处理器的报文进行丢包处理。
在一种实施方式中,所述获取被攻击的处理器的限速使能状态,若被攻击的处理器未使能限速,则使能该处理器的限速功能,包括:若被攻击的处理器已使能限速,则降低该处理器的限速比例。
在一种实施方式中,所述获取当前每个处理器的工作状态,包括:按照预设周期,获取当前每个处理器的工作状态。
在一种实施方式中,所述根据忙碌状态的处理器的个数在处理器总数中的占比,获取当前被攻击的处理器,包括:若当前存在忙碌状态的处理器,且忙碌状态的处理器的个数在处理器总数中的占比小于等于阈值,则认为当前处于忙碌状态的处理器为被攻击的处理器。
在一种实施方式中,收集所有处理器的个数M,统计出占用率大于用户配置阈值的处理器个数N,认为该N个处理器处于忙碌状态,比较忙禄的处理器个数N和空闲的处理器个数(M-N),若N/M或N/(M-N)不为0且小于等于预设阈值,则认为设备处于少数处理器被攻击状态,若大于阈值则认为设备处于整体忙碌状态。
如果设备处于整体忙碌状态,那么所有的处理器取消限速。如果设备处于少数核被攻击状态,判断这几个处理器核的限速标记位,若限速标记位未开启则开启限速,若限速标记位已经开启则减少令牌桶的总数,即降低该处理器的限速比例进一步限制速度,加强限速能力。
若上述两种情况都不满足,即N/M或N/(M-N)为0,说明设备处于相对空闲状态,这时候检查是否有被限速的处理器,如果存在,且上一统计周期内被限速的处理器丢包率小于阈值,则解除限速,否则就增加令牌数,减少限速的程度。
在一种实施方式中,本公开同时提供了一种处理器限速装置,如图2,应用于多处理器设备,所述装置包括:状态模块21,用于获取当前每个处理器的工作状态;安全模块22,用于根据忙碌状态的处理器的个数在处理器总数中的占比,获取当前被攻击的处理器;限速模块23,用于获取被攻击的处理器的限速使能状态,若被攻击的处理器未使能限速,则使能该处理器的限速功能。
在一种实施方式中,所述获取被攻击的处理器的限速使能状态,若被攻击的处理器未使能限速,则使能该处理器的限速功能,包括:若被攻击的处理器已使能限速,则降低该处理器的限速比例。
在一种实施方式中,所述获取当前每个处理器的工作状态,包括:按照预设周期,获取当前每个处理器的工作状态。
在一种实施方式中,所述根据忙碌状态的处理器的个数在处理器总数中的占比,获取当前被攻击的处理器,包括:若当前存在忙碌状态的处理器,且忙碌状态的处理器的个数在处理器总数中的占比小于等于阈值,则认为当前处于忙碌状态的处理器为被攻击的处理器。
装置实施方式与对应的方法实施方式相同或相似,在此不再赘述。
在一种实施方式中,本公开提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,处理器执行所述机器可执行指令以实现前述的处理器限速方法,从硬件层面而言,硬件架构示意图可以参见图3所示。
在一种实施方式中,本公开提供了一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现前述的处理器限速方法。
这里,机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(RadomAccess Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施方式阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本公开时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本公开的实施方式可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方面的实施方式的形式。而且,本公开实施方式可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本领域技术人员应明白,本公开的实施方式可提供为方法、系统或计算机程序产品。因此,本公开可以采用完全硬件实施方式、完全软件实施方式、或者结合软件和硬件方面的实施方式的形式。而且,本公开可以采用在一个或者多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本公开的实施方式而已,并不用于限制本公开。对于本领域技术人员来说,本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本公开的权利要求范围之内。

Claims (10)

1.一种处理器限速方法,其特征在于,应用于多处理器设备,所述方法包括:
获取当前每个处理器的工作状态;
根据忙碌状态的处理器的个数在处理器总数中的占比,获取当前被攻击的处理器;
获取被攻击的处理器的限速使能状态,若被攻击的处理器未使能限速,则使能该处理器的限速功能。
2.根据权利要求1所述的方法,其特征在于,所述获取被攻击的处理器的限速使能状态,若被攻击的处理器未使能限速,则使能该处理器的限速功能,包括:
若被攻击的处理器已使能限速,则降低该处理器的限速比例。
3.根据权利要求1所述的方法,其特征在于,所述获取当前每个处理器的工作状态,包括:
按照预设周期,获取当前每个处理器的工作状态。
4.根据权利要求1所述的方法,其特征在于,所述根据忙碌状态的处理器的个数在处理器总数中的占比,获取当前被攻击的处理器,包括:
若当前存在忙碌状态的处理器,且忙碌状态的处理器的个数在处理器总数中的占比小于等于阈值,则认为当前处于忙碌状态的处理器为被攻击的处理器。
5.一种处理器限速装置,其特征在于,应用于多处理器设备,所述装置包括:
状态模块,用于获取当前每个处理器的工作状态;
安全模块,用于根据忙碌状态的处理器的个数在处理器总数中的占比,获取当前被攻击的处理器;
限速模块,用于获取被攻击的处理器的限速使能状态,若被攻击的处理器未使能限速,则使能该处理器的限速功能。
6.根据权利要求5所述的装置,其特征在于,所述获取被攻击的处理器的限速使能状态,若被攻击的处理器未使能限速,则使能该处理器的限速功能,包括:
若被攻击的处理器已使能限速,则降低该处理器的限速比例。
7.根据权利要求5所述的装置,其特征在于,所述获取当前每个处理器的工作状态,包括:
按照预设周期,获取当前每个处理器的工作状态。
8.根据权利要求5所述的装置,其特征在于,所述根据忙碌状态的处理器的个数在处理器总数中的占比,获取当前被攻击的处理器,包括:
若当前存在忙碌状态的处理器,且忙碌状态的处理器的个数在处理器总数中的占比小于等于阈值,则认为当前处于忙碌状态的处理器为被攻击的处理器。
9.一种电子设备,其特征在于,包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令,以实现权利要求1-4任一所述的方法。
10.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现权利要求1-4任一所述的方法。
CN202110708525.0A 2021-06-25 2021-06-25 一种处理器限速方法、装置、设备及机器可读存储介质 Pending CN113505366A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110708525.0A CN113505366A (zh) 2021-06-25 2021-06-25 一种处理器限速方法、装置、设备及机器可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110708525.0A CN113505366A (zh) 2021-06-25 2021-06-25 一种处理器限速方法、装置、设备及机器可读存储介质

Publications (1)

Publication Number Publication Date
CN113505366A true CN113505366A (zh) 2021-10-15

Family

ID=78011128

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110708525.0A Pending CN113505366A (zh) 2021-06-25 2021-06-25 一种处理器限速方法、装置、设备及机器可读存储介质

Country Status (1)

Country Link
CN (1) CN113505366A (zh)

Similar Documents

Publication Publication Date Title
CN109525500B (zh) 一种自调整阈值的信息处理方法及信息处理装置
JP2017046357A (ja) バーチャルマシン通信トラフィックを成形すること
KR101857510B1 (ko) 소팅
CN106603256B (zh) 一种流量控制方法及装置
RU2641250C2 (ru) Устройство и способ управления очередью
WO2016177081A1 (zh) 通知消息处理方法及装置
CN110968402A (zh) 一种cpu工作控制方法、装置、设备及存储介质
WO2021259321A1 (zh) 存储调度方法、设备和存储介质
CN112231191B (zh) 一种日志采集方法及装置
CN113505366A (zh) 一种处理器限速方法、装置、设备及机器可读存储介质
CN114006731B (zh) 一种网络攻击处理方法、装置、设备及机器可读存储介质
CN113472681A (zh) 流量限速方法及装置
CN114039893A (zh) 一种api网关限速方法及装置
CN114070798B (zh) 一种报文传输方法、装置及设备
CN112367267B (zh) 一种虚拟机管理方法及装置
CN113783850A (zh) 一种网络防护方法、装置、设备及机器可读存储介质
CN113518017B (zh) 一种网络状态分析方法、装置、设备及机器可读存储介质
US11003506B2 (en) Technique for determining a load of an application
CN112148426A (zh) 一种带宽分配方法及装置
CN110768915A (zh) 一种分流方法及装置
EP3585017A2 (en) Technologies for providing adaptive polling of packet queues
CN110968403A (zh) 一种cpu工作控制方法、装置、设备及存储介质
CN117349037B (zh) 在离线应用干扰消除方法、装置、计算机设备及存储介质
CN111814007B (zh) 双向链表数据处理方法、装置、设备及机器可读存储介质
CN109413122B (zh) 一种数据处理方法、网络处理器及计算机存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination