WO2022017249A1

WO2022017249A1 - 可编程交换机、流量统计方法、防御方法和报文处理方法

Info

Publication number: WO2022017249A1
Application number: PCT/CN2021/106452
Authority: WO
Inventors: 汤明
Original assignee: 阿里巴巴集团控股有限公司
Priority date: 2020-07-21
Filing date: 2021-07-15
Publication date: 2022-01-27
Also published as: CN113315744A

Abstract

本申请实施例提供了可编程交换机、流量统计方法、防御方法和报文处理方法。该可编程交换机包括可编程交换芯片和采用X86架构的处理器，可编程交换芯片与处理器通信连接，处理器被配置成向可编程交换芯片传输控制信息，控制信息用于控制可编程交换芯片在执行报文转发逻辑之前执行目标操作逻辑；可编程交换芯片被配置成响应于接收到报文，执行目标操作逻辑；在目标操作逻辑执行结束后，执行报文转发逻辑。该可编程交换机可在报文转发功能的基础上融合其他网络设备的功能，减少了数据中心建设过程中作为基础网络设施的网络设备的部署数量，降低了网络基础设施建设成本。

Description

可编程交换机、流量统计方法、防御方法和报文处理方法

本申请要求2020年07月21日递交的申请号为202010714377.9、发明名称为“可编程交换机、流量统计方法、防御方法和报文处理方法”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及通信技术领域，特别是涉及一种可编程交换机、流量统计方法、防御方法和报文处理方法。

背景技术

可编程交换机是一种利用可编程交换芯片执行报文转发逻辑的交换机。可编程交换芯片提供了与包处理相关的可编程功能，用户可通过编程灵活地对匹配-动作表(match-action table)进行扩展，从而使报文的转发逻辑能够通过编程控制。

现有的可编程交换机，其中的可编程交换芯片仅具备执行报文转发逻辑的功能。在接收到报文后，可编程交换芯片立即自动执行报文转发逻辑，从而进行报文转发。然而，在数据中心等网络基础设施的建设过程中，通常还需除交换机以外的其他网络设备来实现更多网络功能，如流量统计、安全防御、负载均衡、网关功能等。这些功能的实现需要部署大量网络设备，因而需要提供一种可以降低网络基础设施建设成本的方案。

发明内容

本申请实施例提出了一种可编程交换机、流量统计方法、防御方法和报文处理方法，以在实现报文转发功能的基础上融合其他网络设备的功能，减少了网络设备部署的数量，降低了网络基础设施建设成本。

本申请实施例提供了一种可编程交换机，包括：可编程交换芯片和采用X86架构的处理器，可编程交换芯片与处理器通信连接。

本申请实施例还提供了一种可编程交换机，包括：处理器，被配置成向所述可编程交换芯片传输流量统计表项；可编程交换芯片，被配置成响应于所述报文与所述流量统计表项匹配，将所述报文作为目标报文，对所述目标报文进行流量统计，生成流量统计结果，并转发所述报文；所述处理器，进一步被配置成从所述可编程交换芯片获取所述流量统计结果。

本申请实施例还提供了一种可编程交换机，包括：可编程交换芯片，被配置成响应于接收到报文，截取所述报文中的关键信息，将所述关键信息镜像至处理器；所述处理器，被配置成对所接收到的关键信息进行解析，生成防御表项和所述防御表项对应的防御策略；将所述防御表项和所述防御策略传输至所述可编程交换芯片；所述可编程交换芯片，进一步被配置成将后续接收到的报文作为待测报文，检测所述待测报文与所述防御表项是否匹配；响应于匹配，基于所述防御策略对所述待测报文进行防御；响应于不匹配，转发所述待测报文。

本申请实施例还提供了一种可编程交换机，包括：可编程交换芯片，被配置成响应于接收到报文，确定所述报文中的目的IP地址的类别；响应于所述类别为任一目标类别，将所述报文传输至处理器；所述处理器，被配置成将所述目的IP地址作为第一目的IP地址，基于所述第一目的IP地址的类别，确定第二目的IP地址；将所述第一目的IP地址替换为所述第二目的IP地址，得到目标报文；将所述目标报文传输至所述可编程交换芯片；所述可编程交换芯片，进一步被配置成向所述第二目的IP地址转发所述目标报文。

本申请实施例还提供了一种流量统计方法，应用于可编程交换机中的可编程交换芯片，所述可编程交换机中还包括处理器，该方法包括：接收所述处理器传输的流量统计表项；响应于接收到报文，检测所述报文与所述流量统计表项是否匹配；响应于所述报文与所述流量统计表项匹配，将所述报文作为目标报文，对所述目标报文进行流量统计，生成流量统计结果，并转发所述报文；向所述处理器传输所述流量统计结果。

本申请实施例还提供了一种安全防御方法，应用于可编程交换机中的可编程交换芯片，所述可编程交换机中还包括处理器，该方法包括：响应于接收到报文，截取所述报文中的关键信息，将所述关键信息镜像至处理器；接收所述处理器传输的防御表项和防御策略，所述防御表项和所述防御策略由所述处理器对所述关键信息解析后生成；将后续接收到的报文作为待测报文，检测所述待测报文与所述防御表项是否匹配；响应于匹配，基于所述防御策略对所述待测报文进行防御。

本申请实施例还提供了一种报文处理方法，应用于可编程交换机中的处理器，所述可编程交换机中还包括可编程交换芯片，该方法包括：接收所述可编程交换芯片传输的报文，其中，所述报文中的目的IP地址的类别为任一目标类别；将所述报文中的目的IP地址作为第一目的IP地址，基于所述第一目的IP地址的类别，确定第二目的IP地址，；将所述第一目的IP地址替换为所述第二目的IP地址，得到目标报文；将所述目标报文传输至所述可编程交换芯片，以使所述可编程交换芯片向所述第二目的IP地址转发所述目标报文。

本申请实施例还提供了一种流量统计装置，应用于可编程交换机中的可编程交换芯片，所述可编程交换机中还包括处理器，所述装置包括：接收单元，被配置成接收所述处理器传输的流量统计表项；检测单元，被配置成响应于接收到报文，检测所述报文与所述流量统计表项是否匹配；统计单元，被配置成响应于所述报文与所述流量统计表项匹配，将所述报文作为目标报文，对所述目标报文进行流量统计，生成流量统计结果，并转发所述报文；传输单元，被配置成向所述处理器传输所述流量统计结果。

本申请实施例还提供了一种安全防御装置，应用于可编程交换机中的可编程交换芯片，所述可编程交换机中还包括处理器，所述装置包括：镜像单元，被配置成响应于接收到报文，截取所述报文中的关键信息，将所述关键信息镜像至处理器；接收单元，被配置成接收所述处理器传输的防御表项和防御策略，所述防御表项和所述防御策略由所述处理器对所述关键信息解析后生成；匹配单元，被配置成将后续接收到的报文作为待测报文，检测所述待测报文与所述防御表项是否匹配；防御单元，被配置成响应于匹配，基于所述防御策略对所述待测报文进行防御。

本申请实施例还提供了一种报文处理装置，应用于可编程交换机中的处理器，所述可编程交换机中还包括可编程交换芯片，所述装置包括：接收单元，被配置成接收所述可编程交换芯片传输的报文，其中，所述报文中的目的IP地址的类别为任一目标类别；确定单元，被配置成将所述报文中的目的IP地址作为第一目的IP地址，基于所述第一目的IP地址的类别，确定第二目的IP地址，；替换单元，被配置成将所述第一目的IP地址替换为所述第二目的IP地址，得到目标报文；传输单元，被配置成将所述目标报文传输至所述可编程交换芯片，以使所述可编程交换芯片向所述第二目的IP地址转发所述目标报文。

本申请实施例还提供了一个或多个机器可读介质，其上存储有可执行代码，当所述可执行代码被执行时，使得处理器执行如本申请实施例中一个或多个所述的流量统计方法、安全防御方法或报文处理方法。

与现有技术相比，本申请实施例包括以下优点：

在本申请实施例中，通过将可编程芯片和采用X86架构的处理器融合在一台设备上，能够使可编程交换机可在报文转发功能的基础上融合其他网络设备的功能，减少了数据中心建设过程中作为基础网络设施的网络设备的部署数量，降低了网络基础设施建设成本。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1A是本申请实施例的一种可编程交换机的示例性架构图；

图1B是本申请实施例的一种可编程交换机的处理过程示意图；

图2A是本申请实施例的一种可编程交换机在流量统计场景的处理过程示意图；

图2B是本申请实施例的一种可编程交换机安全防御场景的处理过程示意图；

图3是本申请的流量统计方法的一个实施例的流程图；

图4是本申请的安全防御方法的一个实施例的流程图；

图5是本申请的报文处理方法的一个实施例的流程图；

图6是本申请的流量统计装置的一个实施例的结构示意图；

图7是本申请的安全防御装置的一个实施例的结构示意图；

图8是本申请的报文处理装置的一个实施例的结构示意图。

具体实施方式

下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释相关发明，而非对该发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与有关发明相关的部分。

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。

本申请实施例可应用于通信领域，具体可应用于网络基础设施建设场景，如传统的云数据中心、边缘云数据中心等网络基础设施建设的场景等。在网络基础设施建设过程中，需要部署大量的网络设备，如交换机，服务器，分光器等，以实现如报文转发、流量统计、安全防御、负载均衡、流量计费、网关等功能。

传统的云数据中心通常包含成千上万台网络设备，因而基础设施消耗在传统的云数据中心中占比较小。然而，随着边缘计算的逐步兴起，边缘云数据中心的建设需求越来越多。而边缘云数据中心通常租用运营商机房中的机架来构建，因而通常仅为几十台服务器的规模。在几十台服务器的规模下，实现上述功能需要消耗十余台服务器。由此，基础设施消耗占据整个边缘云数据中心的比例很大，严重阻碍了边缘云的发展。

本申请实施例中的可编程交换机可在实现报文转发功能的同时，融合一些其他网络设备的功能，从而能够减少数据中心建设过程中作为基础网络设施的网络设备的部署数量，能够降低网络基础设施建设成本。

请参见图1A，示出了本申请实施例的可编程交换机的示例性架构图。如图1A所示，可编程交换机包括可编程交换芯片和处理器。此处的可编程交换芯片可以是各种现有可编程交换芯片。此处的处理器可以采用X86架构，具体可以是采用X86架构(The X86architecture)的中央处理器(Central Processing Unit，CPU)。可编程交换芯片与处理器通信连接，以进行数据、信号传输。

处理器可以执行交换机控制层的逻辑，还可以执行流量计费逻辑、充当负载调度器执行负载均衡逻辑、执行网关逻辑、进行防御策略的制定以及向可编程交换芯片下发各类表项(如流量统计表项、防御表项)等。由于处理器具有执行多种逻辑的功能，因而能够使可编程交换机具有服务器以及网关等其他网络设备的功能，减少了数据中心建设过程中作为基础网络设施的网络设备的部署数量，降低了网络基础设施建设成本。

需要说明的是，可编程交换机除包含可编程交换芯片和处理器外，还可以包含内存、总线等可编程交换机所需的其他部件，本实施例不作限定。

图1B是本申请实施例的一种可编程交换机的处理过程示意图。如图1B所示，上述处理器可被配置成向可编程交换芯片传输控制信息。其中，控制信息用于控制上述可编程交换芯片在执行报文转发逻辑之前执行目标操作逻辑。目标操作逻辑可以包括但不限于流量统计操作逻辑、安全防御操作逻辑、镜像操作逻辑、分流操作逻辑等。

可编程交换芯片，可被配置成在接收到报文时，首先执行目标操作逻辑；在目标操作逻辑执行结束后，执行报文转发逻辑。实践中，可预先通过可编程交换芯片的特定领域编程语言，如P4语言，在可编程交换芯片中写入目标操作逻辑，从而通过处理器控制可编程交换芯片对不同逻辑的执行顺序。

通过处理器向可编程交换芯片传输控制信息，能够控制可编程交换芯片在接收到报文后首先执行目标操作逻辑，在目标操作逻辑执行结束后，再进行报文转发逻辑的执行。由此，可编程交换机可在报文转发功能的基础上融合其他网络设备的功能，减少了数据中心建设过程中作为基础网络设施的网络设备的部署数量，降低了网络基础设施建设成本。

图2A是本申请实施例的一种可编程交换机在流量统计场景的处理过程示意图。在流量统计场景中，可编程交换机中的处理器可以被配置成向可编程交换芯片传输流量统计表项，流量统计表项可位于控制信息中。其中，流量统计表项可以是用于筛选目标报文以进行流量统计的表项。表项可以是字段等。

可编程交换芯片，可被配置成响应于接收到报文，首先执行流量统计操作逻辑。具体地，可以首先通过字符串匹配的方式检测该报文与流量统计表项是否匹配。响应于该报文与上述流量统计表项匹配，可以将上述该报文作为目标报文，对上述目标报文进行流量统计，从而生成流量统计结果。此处的流量统计结果可包括但不限于以下至少一项：目标报文总数、目标报文的总字节数。

可编程交换芯片，可进一步被配置成在流量统计操作逻辑执行完毕后，执行报文转发逻辑。由此，可编程交换机在具备传统的报文转发功能的基础上，同时具备流量统计功能。由于在报文转发逻辑执行过程中，会利用访问控制列表(Access Control Lists，ACL)过滤掉一些报文，因而先进行流量统计，再进行报文转发，可避免流量统计结果不准确的情况。

流量统计表项中可包括一个或多个字段。可选的，可包括但不限于以下至少一项字段：互联网协议(Internet Protocol，IP)地址、传输控制协议(Transmission Control Protocol，TCP)、用户数据报协议(User Datagram Protocol，UDP)、控制报文协议(Internet Control Message Protocol，ICMP)、同步序列编号(Synchronize Sequence Numbers，SYN)、确认字符(Acknowledge character，ACK)、端口号。

由于上述字段通常位于报文头中，因而，可编程交换芯片，还可进一步被配置成通过如下步骤检测上述报文与上述流量统计表项是否匹配：首先，响应于接收到报文，读取上述报文的报文头。报文头中通常包含IP地址、IP地址、协议类型、端口号、确认字符、同步序列编号等各个字段。而后，可以检测上述报文头中是否包含上述流量统计表项中的字段。响应于报文头中包含流量统计表项中的字段，确定所述报文与所述流量统计表项匹配。反之，可认为该报文与流量统计表项不匹配。

作为示例，流量统计表项为字段“IP 1.1.1.1”，若所接收到的报文的报文头中包含字段“IP 1.1.1.1”，则可认为该报文与该流量统计表项匹配，从而可将该报文作为目标报文计入流量统计结果。作为又一示例，流量统计表项包括字段“IP 2.2.2.2”、“TCP”和“80”，若该报文中包含上述各字段，即IP地址为2.2.2.2、协议类别为TCP协议，且源端口号为80，则可认为该报文与该流量统计表项匹配，从而可将该报文作为目标报文计入流量统计结果。

需要说明的是，流量统计表项的数量可以是一个或多个，每个流量统计表项中可以包括一个或多个字段。当流量统计表项的数量有多个时，可分别针对各流量统计表项，进行报文的匹配。

此外，还需要指出的是，流量统计表项中的IP地址可进一步限定为源IP地址或者目的IP地址。同理，端口号也可进一步限定为源端口号或目的端口号，以便于进行更细粒度的流量统计。

可选的，可编程交换芯片，还可进一步被配置成通过如下步骤生成流量统计结果：首先，统计目标报文总数和目标报文的总字节数。例如，每接收到一个目标报文，可对目标报文的报文总数做一次加一计算，从而得到一个新的报文总数。同时，每接收到一个目标报文，可以读取该目标报文的字节数，并将该字节数与上一次所得到的总字节数求和，得到新的总字节数。之后，可以生成包含最新确定的目标报文总数和总字节数的流量统计结果。由此，每接收到一个与流量统计表项匹配的目标报文，可以更新一次流量统计结果。累计计算过程较为简便，保证了可编程交换芯片的性能。

在此基础上，可选的，处理器还可在两个时间点通过读取可编程交换芯片提供的对外接口获取到流量统计结果，并继续进行其他类型的流量统计操作。具体地，处理器可以首先在第一时间从可编程交换芯片获取第一流量统计结果。而后，在第二时间从可编程交换芯片获取第二流量统计结果。而后，确定第二时间与第一时间的时间差。而后，确定第二流量统计结果中的报文总数与第一流量统计结果中的报文总数的第一差值，并确定第二流量统计结果中的总字节数与第一流量统计结果中的总字节数的第二差值。而后，将第一差值与时间差的比值，确定为包转发率(Packet Per Second，PPS)，并将第二差值与时间差的比值，确定为比特率(Bytes Per Second，BPS)。最后生成包含包转发率和比特率的目标流量统计结果。使用包转发率和比特率作为目标流量统计结果，有助于进行后续的流量计费操作。

可选的，在得到目标流量统计结果后，处理器还可进一步被配置成：将目标流量统计结果进行封装，得到封装后的报文。其中，封装后的报文中包括目标服务器的IP地址。目标服务器可以是用于进行流量计费或者基于目标流量统计结果进行其他操作的服务器。而后，将封装后的报文传输至可编程交换芯片。从而可编程交换芯片可以向目标服务器的IP地址转发封装后的报文，以便于目标服务器进行流量计费等操作。

以往的流量统计方式，通常首先通过风光器对输入至交换机的流量进行分光和镜像，将流量复制到多台服务器上；而后在各台服务器上分别对流量进行细粒度统计，最后将各台服务器的统计结果累加，从而得到流量的准确信息。由于交换机所接收的流量通常是3.2T，而服务器仅可处理40G的流量，因而需要部署数十台服务器。同时，还需额外使用分光器。由此导致实现流量统计功能需要部署大量的设备，网络基础设施建设成本较高。

本申请实施例提供的可编程交换机，在具备传统的报文转发功能的基础上，同时具备流量统计功能，仅需一台可编程交换机即可完成细粒度的流量统计操作，无需进行分光器以及服务器的部署，减少了网络设备部署的数量，降低了网络基础设施建设成本。

图2B是本申请实施例的一种可编程交换机在安全防御场景的处理过程示意图。在安全防御场景中，可编程交换机中的处理器可以向可编程交换芯片传输防御表项和防御策略。防御表项和防御策略可位于控制信息中。其中，防御表项是用于筛选出攻击报文以进行防御的表项。防御表项可以包含预先识别出的攻击报文的信息，如IP地址、TCP、UDP等。与上述流量统计表项类似，防御表项也可以包含一个或多个字段。上述攻击报文可以指一些对服务器等网络设备发送大量攻击请求导致正常合法用户无法获得服务的报文。防御策略用于指示在基于防御表项检测到攻击报文后执行的操作逻辑。

可编程交换芯片响应于接收到报文，可以首先执行防御操作逻辑。具体地，可首先将该报文作为待测报文，检测待测报文与防御表项是否匹配。此处，检测待测报文与防御表项是否匹配的方式，与上述检测报文与流量统计表项是否匹配的方式基本相同，因而不再赘述。响应于报文与防御表项匹配，可基于防御策略对待测报文进行防御，即执行防御策略中的操作逻辑，待测报文进行防御。

需要说明的是，防御表项的数量可以是一个或多个，每个防御表项中可以包括一个或多个字段。当防御表项的数量有多个时，可分别针对各流防御表项，进行待测报文的匹配。

此外，还需要指出的是，不同的防御表项可对应不同的防御策略。例如，防御表项A为字段“IP 1.1.1.1”，防御表项B包含字段“IP 2.2.2.2”以及端口“80”。可将防御表项A对应的防御策略设置为限速至每秒钟转发10个请求，将防御表项B对应的防御策略设置为3分钟内禁止访问。

可编程交换芯片在防御操作逻辑执行完毕后，可执行报文转发逻辑。具体地，若防御操作逻辑执行完毕后，该待测报文未被丢弃，则意味着待测报文不为攻击报文或者为执行防御策略后仍可继续转发的报文，此时，可对该待测报文进行转发。若防御操作逻辑执行完毕后，该待测报文被丢弃，可不存在待转发的报文，因而报文转发逻辑可自动结束。由此，可编程交换机在具备传统的报文转发功能的基础上，同时具备在报文转发前进行安全防御的功能，从而丢弃或减少攻击报文。丰富了可编程交换机的功能，降低了网络基础设施建设成本，同时保证了网络安全。

可选的，防御策略可以是将单位时长内与防御表项匹配的报文转发数量限制在第一预设数值(如10)以下。由此，可编程交换芯片，可进一步被配置成通过如下步骤对待测报文进行防御：首先，检测单位时长内待测报文的相同来源报文的转发数量。其中，相同来源报文为与待测报文包含相同的源IP的报文。响应于转发数量大于或等于第一预设阈值(如10)，丢弃该待测报文，从而可有效减少攻击流量对网络设备的访问数量。

可选的，防御策略可以是将与防御表项匹配的报文的访问间隔时长限制在第二预设数值(如3秒钟)以下。由此，可编程交换芯片，可进一步被配置成通过如下步骤对待测报文进行防御：首先，获取待测报文的第一接收时间。而后，获取待测报文的目标相同来源报文的第二接收时间，其中，目标相同来源报文为接收时间最晚的相同来源报文，相同来源报文为与待测报文包含相同的源IP的报文。之后，确定第一接收时间与第二接收时间的时间差。响应于时间差小于第二预设阈值(如3秒钟)，丢弃待测报文，从而可有效减少攻击流量对网络设备的访问数量。

可选的，防御表项和防御策略可以由处理器对可编程交换芯片接收到的报文进行分析后生成。由此，可编程交换芯片，可进一步被配置成在接收到控制信息之前，截取所接收到的报文中的关键信息，将关键信息镜像至处理器。其中，关键信息可以是报文的报文头，也可以是报文头中的一些关键字段，如IP地址、协议类别、端口号等。处理器，可进一步被配置成对所接收到的关键信息进行解析，生成防御表项和防御表项对应的防御策略。

作为示例，处理器可通过如下步骤生成防御表项和防御表项对应的防御策略：首先，对目标时长内所接收到的关键信息进行统计，确定上述目标时长内的相同关键信息的数量。其中，目标时长可以是单位时长，如1秒；也可以是预先设定的其他任意时长。而后，将数量大于第三预设阈值(如10万等)的相同关键信息作为攻击报文中的关键信息，从攻击报文中的关键信息中提取至少一项字段，生成防御表项，并创建上述防御表项对应的防御策略。以关键信息包含源IP地址为例，若每秒钟包含该源IP地址的报文数量大于10万，远远大于单位时间内的正常报文发送数量，则可认为包含该源IP地址的报文为攻击报文。而后，可以将源该IP地址作为防御表项，并创建防御表项对应的防御策略。由此，防御表项和防御策略可由处理器基于对可编程交换芯片接收到的报文进行分析后生成，无需借助于其他网络设备。

以往的安全防御方式，通常为旁路防御或串行防御。旁路防御是指为交换机额外配备分光器和服务器，通过分光器将流量分光至服务器，通过服务器进行流量统计以制定防御表项和防御策略，而后将防御表项和防御策略下发至交换机的访问控制列表中，从而通过访问控制列表过滤掉一些报文。但是，访问控制列表可容纳的表项有限，通常需要保证表项在1万条以内，因而无法全面进行安全防御。旁路防御是指将流量镜像到安全服务器上，通过安全服务器对全部流量进行过滤后，在由交换机将流量进行转发。但是，由于交换机入口流量通常很大，如800G或者T级，而服务器目前还都停留在40G、 100G等，因而需要部署大量的安全服务器才能实现全面的安全防御，且多台安全服务器还会带来协同配合困难的问题。

本申请实施例提供的可编程交换机，可由处理器对可编程交换芯片接收到的报文进行分析后生成防御表项和防御策略，并可由可编程交换芯片基于防御表项和防御策略进行后续报文的防御。从而可编程交换机在具备传统的报文转发功能的基础上，同时具备安全防御功能。仅需一台可编程交换机即可完成全面的安全防御操作，无需进行分光器以及安全服务器的部署，减少了网络设备部署的数量，降低了网络基础设施建设成本。

需要说明的是，安全防御场景还可与流量统计场景相结合。可编程交换芯片在接收到报文后，可首先进行流量统计。而后处理器通过可编程交换芯片提供的接口获取到流量统计结果，从而对流量统计结果进行分析，生成防御表项和防御策略，并下发至可编程交换芯片。由此，可编程交换芯片可对后续报文执行安全防御操作。此外，可编程交换芯片在对后续报文执行安全防御操作以前，还可继续保持对后续报文的流量统计操作，从而处理器可及时根据流量统计结果变更防御表项和防御策略，以便于适应攻击报文发生变化的场景。

在另一种场景中，可编程交换机还针对报文中的IP地址的类别，融合其他功能，如负载均衡功能，或者网关功能等。

具体地，在接收到报文后，可编程交换芯片可首先执行IP地址类别检测逻辑，以确定报文中的目的IP地址的类别是否为任一目标类别。其中，目标类别可以包括但不限于：虚拟服务器(Linux Virtual Server，LVS)集群的虚拟IP(Virtual IP，VIP)地址类、云服务器的公网IP地址类、边缘云IP地址类、云数据中心IP地址类等。实践中，可通过字符串匹配的方式检测目的IP地址的类别。

而后，响应于目的IP地址的类别为任一目标类别，可由可编程交换芯片将上述报文传输至处理器。处理器可基于目的IP地址的类别，对目的IP地址进行修改以生成目标报文，从而将目标报文返回至可编程交换芯片。最后，可编程交换芯片可将原始的报文替换为目标报文，并对目标报文执行报文转发逻辑。

针对目的IP地址的不同的类别，可对目标IP地址进行不同修改，从而实现不同功能。下面以不同情况作为示例进行具体说明：

在一个示例中，若可编程交换芯片接收到的报文中的目的IP地址的类别为虚拟服务器集群的虚拟IP地址类，即LVS集群的VIP，则可编程交换机能够作为LVS的调度器(load balancer)，实现负载均衡功能。实践中，LVS集群的VIP通常指LVS集群的外网IP。对于用户而言，用户通过访问LVS集群的VIP，即可连接后端的真实服务器(Real Server)，用户无需确定出实际访问的真实服务器的位置和数量。LVS集群的调度器，可视为LVS集群对外的前端机，是LVS集群的唯一入口点(Single Entry Point)，负责通过负载均衡等方式将客户的请求发送到一组真实服务器上执行。

具体地，在可编程交换芯片将该报文通过网卡和板口连接通道传输给处理器后，处理器可首先将该报文中的目的IP地址作为第一目的IP地址。而后通过负载均衡算法选取真实服务器。处理器可根据LVS集群的服务器池中各服务器负载情况，从服务器池中选出一个当前负载较小的服务器。最后，将所选取的真实服务器的IP地址作为第二目的IP地址，并该报文的第一目的IP地址替换为第二目的IP地址，生成目标报文。从而，可编程交换芯片可向第二目的IP地址转发目标报文，使报文的目的IP地址由原始的虚拟IP地址更换为通过负载均衡算法选取出的真实服务器的IP地址，使可编程交换机实现了负载均衡功能。

在另一个示例中，若可编程交换芯片接收到的报文中的目的IP地址的类别为云服务器的云服务器的公网IP地址类、边缘云IP地址类、云数据中心IP地址类，则可编程交换机能够作为网关，确定出承载目的IP地址的物理服务器的IP地址，并对该物理服务器的IP地址进行报文转发，以实现网关功能。

具体地，在可编程交换芯片将该报文通过网卡和板口连接通道传输给处理器后，处理器可首先将该报文中的目的IP地址作为第一目的IP地址。若该第一目的IP地址为云服务器的公网IP地址，则可以获取承载该公网IP地址的物理服务器的IP地址，并将物理服务器的IP地址作为第二目的IP地址。之后，可以该报文的第一目的IP地址替换为第二目的IP地址，生成目标报文。从而，可编程交换芯片可向第二目的IP地址转发目标报文，使报文的目的IP地址由原始的云服务器的公网IP地址更换为承载该公网IP地址的物理服务器的IP地址，使得可编程交换机实现了云上云下互通过程中的网关功能。

同理，若该第一目的IP地址为边缘云IP地址，则可以获取承载该边缘云IP地址的物理服务器的IP地址，并将物理服务器的IP地址作为第二目的IP地址。之后，可以该报文的第一目的IP地址替换为第二目的IP地址，生成目标报文。从而，可编程交换芯片可向第二目的IP地址转发目标报文，使报文的目的IP地址由原始的边缘云IP地址更换为承载该边缘云IP地址的物理服务器的IP地址。由此，当报文中的源IP地址为用户设备的IP地址时，使得可编程交换机实现了云上云下互通过程中的网关功能。当报文中的源IP地址为云数据中心IP地址时，使得可编程交换机实现了云数据中心与边缘云互通过程中的网关功能。

同理，若该第一目的IP地址为云数据中心IP地址，则可以获取承载该云数据中心IP地址的物理服务器的IP地址，并将物理服务器的IP地址作为第二目的IP地址。之后，可以该报文的第一目的IP地址替换为第二目的IP地址，生成目标报文。从而，可编程交换芯片可向第二目的IP地址转发目标报文，使报文的目的IP地址由原始的云数据中心IP地址更换为承载该云数据中心IP地址的物理服务器的IP地址。由此，当报文中的源IP地址为边缘云IP地址时，使得可编程交换机实现了云数据中心与边缘云互通过程中的网关功能。

通过可编程交换芯片在检测出报文中的目的IP地址的类别为目标类别时，将报文传输至处理器，并通过处理器针对报文中的目的IP地址的类别进行目的IP地址的修改，可使可编程交换芯片融合负载均衡功能或者网关功能，进一步减少了网络设备部署的数量，降低了网络基础设施建设成本。

继续参考图3，示出了本申请的流量统计方法的一个实施例的流程图。该流量统计方法应用于可编程交换机中的可编程交换芯片。可编程交换机中还包括处理器，如X86架构的中央中央处理器等。

该流量统计方法包括以下步骤：

步骤301，接收处理器传输的流量统计表项。

在本实施例中，流量统计方法的执行主体(如上述可编程交换芯片)可以接收处理器传输的流量统计表项。流量统计表项可以是用于筛选目标报文以进行流量统计的表项。

可选的，流量统计表项可包括但不限于以下至少一项字段：IP地址、协议类型(如TCP、UDP、ICMP等)、同步序列编号、确认字符、端口号等。

步骤302，响应于接收到报文，检测报文与流量统计表项是否匹配。

在本实施例中，上述执行主体响应于接收到报文，可以通过字符串匹配的方式，检测该报文与流量统计表项是否匹配。需要说明的是，流量统计表项的数量可以是一个或多个，每个流量统计表项中可以包括一个或多个字段。当流量统计表项的数量有多个时，可分别针对各流量统计表项，进行报文的匹配。

由于上述字段通常位于报文头中，因而，在本实施例的一些可选的实现方式中，可通过如下步骤检测上述报文与上述流量统计表项是否匹配：首先，响应于接收到报文，读取上述报文的报文头。报文头中通常包含IP地址、IP地址、协议类型、端口号、确认字符、同步序列编号等各个字段。而后，可以检测上述报文头中是否包含上述流量统计表项中的字段。响应于报文头中是否包含上述流量统计表项中的字段，可确定该报文与流量统计表项匹配。反之，可认为该报文与流量统计表项不匹配。

步骤303，响应于报文与流量统计表项匹配，将报文作为目标报文，对目标报文进行流量统计，生成流量统计结果，并转发报文。

通过在报文转发操作前执行流量统计操作，使得可编程交换机在具备传统的报文转发功能的基础上，同时具备细粒度的流量统计功能。由于在报文转发逻辑执行过程中，会利用访问控制列表(Access Control Lists，ACL)过滤掉一些报文，因而先进行流量统计，再进行报文转发，可避免流量统计结果不准确的情况。

需要说明的是，响应于所接收到的报文与上述流量统计表项不匹配，则表示该报文不是需要进行流量统计的报文，因而可直接转发该报文。

在本实施例的一些可选的实现方式中，可通过如下步骤生成流量统计结果：首先，统计目标报文总数和目标报文的总字节数。之后，而后生成包含目标报文总数和总字节数的流量统计结果。

例如，每接收到一个目标报文，可对目标报文的报文总数做一次加一计算，从而得到一个新的报文总数。同时，每接收到一个目标报文，可以读取该目标报文的字节数，并将该字节数与上一次所得到的总字节数求和，得到新的总字节数。由此，每接收到一个与流量统计表项匹配的目标报文，可以更新一次流量统计结果。累计计算过程较为简便，保证了可编程交换芯片的性能。

步骤304，向处理器传输流量统计结果。

在本实施例中，上述执行主体可通过可编程交换芯片的对外接口向处理器传输流量统计结果，以便于处理器继续进行其他类型的流量统计操作。

在本实施例的一些可选的实现方式中，向处理器传输流量统计结果，包括：在第一时间向控制器传输第一流量统计结果；在第二时间向控制器传输第二流量统计结果；响应于接收到处理器传输的封装后的报文，转发封装后的报文。其中，封装后的报文中包括目标流量统计结果，目标流量统计结果由处理器基于第一流量统计结果和第二流量统计结果生成。此外，封装后的报文中还可以包括目标服务器的IP地址。目标服务器可以是用于进行流量计费或者基于目标流量统计结果进行其他操作的服务器。从而通过向目标服务器的IP地址转发封装后的报文，以便于目标服务器进行流量计费等操作。

本实施例各步骤与上述实施例对应步骤描述类似，具体可参见上述实施例的描述。

本申请的上述实施例提供的方法，在进行报文转发前执行流量统计操作，不仅能够避免由于访问控制列表的影响导致流量统计结果不准确的情况，同时，还可以使可编程交换机在具备传统的报文转发功能的基础上，同时具备流量统计功能。仅需一台可编程交换机即可完成细粒度的流量统计操作，无需进行分光器以及服务器的部署，减少了网络设备部署的数量，降低了网络基础设施建设成本。

进一步参考图4，示出了本申请的安全防御方法的一个实施例的流程图。该安全防御方法应用于可编程交换机中的可编程交换芯片。可编程交换机中还包括处理器，如X86架构的中央中央处理器等。

该安全防御方法包括以下步骤：

步骤401，响应于接收到报文，截取报文中的关键信息，将关键信息镜像至处理器。

在本实施例中，安全防御的执行主体(如上述可编程交换芯片)响应于接收到报文，可以截取报文中的关键信息，如报文头或者报文头中的IP地址、TCP、UDP、端口号等信息。而后，并通过镜像方式将所截取的关键信息镜像至处理器。镜像是指将报文复制一份到指定位置的操作。

步骤402，接收处理器传输的防御表项和防御策略。

在本实施例中，上述执行主体可以接收处理器传输的防御表项和防御策略。其中，防御表项是用于筛选出攻击报文以进行防御的表项。防御表项可以包含预先识别出的攻击报文的信息，如IP地址、TCP、UDP等。与上述流量统计表项类似，防御表项也可以包含一个或多个字段。上述攻击报文可以指一些对服务器等网络设备发送大量攻击请求导致正常合法用户无法获得服务的报文。防御策略用于指示在基于防御表项检测到攻击报文后执行的操作逻辑。

其中，防御表项和防御策略可由处理器对关键信息解析后生成。作为示例，处理器可通过如下步骤生成防御表项和防御表项对应的防御策略：首先，对目标时长内所接收到的关键信息进行统计，确定上述目标时长内的相同关键信息的数量。其中，目标时长可以是单位时长，如1秒；也可以是预先设定的其他任意时长。而后，将数量大于第三预设阈值(如10万等)的相同关键信息作为攻击报文中的关键信息，从攻击报文中的关键信息中提取至少一项字段，生成防御表项，并创建上述防御表项对应的防御策略。以关键信息包含源IP地址为例，若每秒钟包含该源IP地址的报文数量大于10万，远远大于单位时间内的正常报文发送数量，则可认为包含该源IP地址的报文为攻击报文。而后，可以将源该IP地址作为防御表项，并创建防御表项对应的防御策略。由此，防御表项和防御策略可由处理器基于对可编程交换芯片接收到的报文进行分析后生成，无需借助于其他网络设备。

步骤403，将后续接收到的报文作为待测报文，检测待测报文与防御表项是否匹配。

其中，后续接收到的报文即为在接收到防御表项和防御策略后所接收到的报文。检测待测报文与防御表项是否匹配也可以采用字符串匹配方式。

步骤404，响应于匹配，基于防御策略对待测报文进行防御。

在本实施例中，响应于待测报文与防御表项匹配，可认为待测报文为防御表项命中的攻击报文，由此，上述执行主体可以基于防御策略对待测报文进行防御。此外，响应于不匹配，可认为待测报文未被防御表项命中，此时可直接转发上述待测报文，不对该待测报文执行防御策略。

在本实施例的一些可选的实现方式中，防御策略可以是将单位时长内与防御表项匹配的报文转发数量限制在第一预设数值(如10)以下。由此，可通过如下步骤对待测报文进行防御：首先，检测单位时长内待测报文的相同来源报文的转发数量。其中，相同来源报文为与待测报文包含相同的源IP的报文。响应于转发数量大于或等于第一预设阈值(如10)，丢弃该待测报文，从而可有效减少攻击流量对网络设备的访问数量。

可选的，防御策略可以是将与防御表项匹配的报文的访问间隔时长限制在第二预设数值(如3秒钟)以下。由此，可通过如下步骤对待测报文进行防御：首先，获取待测报文的第一接收时间。而后，获取待测报文的目标相同来源报文的第二接收时间，其中，目标相同来源报文为接收时间最晚的相同来源报文，相同来源报文为与待测报文包含相同的源IP的报文。之后，确定第一接收时间与第二接收时间的时间差。响应于时间差小于第二预设阈值(如3秒钟)，丢弃待测报文，从而可有效减少攻击流量对网络设备的访问数量。

需要指出的是，防御策略不限于上述列举，还可根据需要设定其他防御策略。

以往的安全防御方式，通常为旁路防御或串行防御。旁路防御是指为交换机额外配备分光器和服务器，通过分光器将流量分光至服务器，通过服务器进行流量统计以制定防御表项和防御策略，而后将防御表项和防御策略下发至交换机的访问控制列表中，从而通过访问控制列表过滤掉一些报文。但是，访问控制列表可容纳的表项有限，通常需要保证表项在1万条以内，因而无法全面进行安全防御。旁路防御是指将流量镜像到安全服务器上，通过安全服务器对全部流量进行过滤后，在由交换机将流量进行转发。但是，由于交换机入口流量通常很大，如800G或者T级，而服务器目前还都停留在40G、100G等，因而需要部署大量的安全服务器才能实现全面的安全防御，且多台安全服务器还会带来协同配合困难的问题。

本申请实施例提供的安全防御方法，通过接收处理器对可编程交换芯片接收到的报文进行分析后生成的防御表项和防御策略，而后基于该防御表项和防御策略进行后续报文的防御，在执行防御操作后再进执行，同时具备安全防御功能，从而仅需一台可编程交换机即可完成全面的安全防御操作，无需进行分光器以及安全服务器的部署，减少了网络设备部署的数量，降低了网络基础设施建设成本。

进一步参考图5，示出了本申请的报文处理方法的一个实施例的流程图。该报文处理方法应用于可编程交换机中的可编程交换芯片。可编程交换机中还包括处理器，如X86架构的中央中央处理器等。

该报文处理方法包括以下步骤：

步骤501，接收可编程交换芯片传输的报文。

在本实施例中，报文处理方法的执行主体接收可编程交换芯片传输的报文。其中，报文中的目的IP地址的类别为任一目标类别。目标类别可以包括但不限于：虚拟服务器集群的虚拟IP地址(即LVS集群的VIP)类、云服务器的公网IP地址类、边缘云IP地址类、云数据中心IP地址类等。实践中，可编程交换芯片可在检测出报文中的目的IP地址为任一目标类别后将该报文传输给上述执行主体。

步骤502，将报文中的目的IP地址作为第一目的IP地址，基于第一目的IP地址的类别，确定第二目的IP地址。

在本实施例中，对于不同类型的第一目的IP地址，上述执行主体可以对第一目的IP地址进行不同修改以生成目标报文。

在本实施例的一些可选的实现方式中，响应于第一目的IP地址的类别为虚拟服务器集群的虚拟IP地址类，即LVS集群的VIP，上述执行主体可以可通过负载均衡算法选取真实服务器，如根据LVS集群的服务器池中各服务器负载情况，从服务器池中选出一个当前负载较小的真实服务器，从而将真实服务器的IP地址确定为第二目的IP地址。由此，在报文转发时融合的负载均衡的功能，无需单独设置LVS集群的调度器，降低了网络基础设施建设成本。

在本实施例的一些可选的实现方式中，响应于第一目的IP地址的类别为云服务器的公网IP地址类、边缘云IP地址类、云数据中心IP地址类中的任一类，确定承载第一目的IP地址的物理服务器的IP地址，从而将物理服务器的IP地址作为第二目的IP地址。

步骤503，将第一目的IP地址替换为第二目的IP地址，得到目标报文。

通过将第一目的IP地址替换为承载第一目的IP地址的物理服务器的IP地址，能够在第一目的IP地址为云服务器的公网IP地址的情况下，使可编程交换机起到云上云下互通过程中的网关功能。另外，能够在第一目的IP地址为边缘云IP地址的情况下且报文中的源IP地址为用户设备的IP地址时，使可编程交换机起到云上云下互通过程中的网关功能。此外，能够在第一目的IP地址为边缘云IP地址的情况下且报文中的源IP地址为云数据中心IP地址时，使可编程交换机实现了云数据中心与边缘云互通过程中的网关功能。同时，能够在第一目的IP地址为云数据中心IP地址时，使得可编程交换机实现了云数据中心与边缘云互通过程中的网关功能。

步骤504，将目标报文传输至可编程交换芯片，以使可编程交换芯片向第二目的IP地址转发目标报文。

在本实施例中，上述执行主体可以将目标报文传输至可编程交换芯片，以使可编程交换芯片向第二目的IP地址转发目标报文。

本申请实施例提供的报文处理方法，通过对原始的报文中的目的IP地址进行替换，可使可编程服务器融合负载均衡功能或者网关功能，进一步减少了网络设备部署的数量，降低了网络基础设施建设成本。

需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请实施例并不受所描述的动作顺序的限制，因为依据本申请实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本申请实施例所必须的。

进一步参考图6，作为对上述流量统计方法实施例的实现，本申请提供了一种流量统计装置的一个实施例，该装置具体可以应用于可编程交换机中的可编程交换芯片中。其中，可编程交换机中还包括处理器。

如图6所示，本实施例的流量统计装置600包括：接收单元601，被配置成接收上述处理器传输的流量统计表项；检测单元602，被配置成响应于接收到报文，检测上述报文与上述流量统计表项是否匹配；统计单元603，被配置成响应于上述报文与上述流量统计表项匹配，将上述报文作为目标报文，对上述目标报文进行流量统计，生成流量统计结果，并转发上述报文；传输单元604，被配置成向上述处理器传输上述流量统计结果。

在本实施的一些可选的实现方式中，上述装置还包括：第一转发单元，被配置成响应于上述报文与上述流量统计表项不匹配，转发上述报文。

在本实施的一些可选的实现方式中，上述流量统计表项中包括以下至少一项字段：互联网协议IP地址、传输控制协议、用户数据报协议、控制报文协议、同步序列编号、确认字符、端口号；以及，上述检测单元602，进一步被配置成：读取上述报文的报文头；检测上述报文头中是否包含上述流量统计表项中的字段；响应于上述报文头中是否包含上述流量统计表项中的字段，确定上述报文与上述流量统计表项匹配。

在本实施的一些可选的实现方式中，上述统计单元603，进一步被配置成：统计目标报文总数和目标报文的总字节数；生成包含上述目标报文总数和上述总字节数的流量统计结果。

在本实施的一些可选的实现方式中，上述装置还包括：第二转发单元，被配置成：在第一时间向上述控制器传输第一流量统计结果；在第二时间向上述控制器传输第二流量统计结果；响应于接收到上述处理器传输的封装后的报文，转发上述封装后的报文，其中，上述封装后的报文中包括目标流量统计结果，上述目标流量统计结果由上述处理器基于上述第一流量统计结果和上述第二流量统计结果生成。

本申请的上述实施例提供的装置，在进行报文转发前执行流量统计操作，不仅能够避免由于访问控制列表的影响导致流量统计结果不准确的情况，同时，还可以使可编程交换机在具备传统的报文转发功能的基础上，同时具备流量统计功能。仅需一台可编程交换机即可完成细粒度的流量统计操作，无需进行分光器以及服务器的部署，减少了网络设备部署的数量，降低了网络基础设施建设成本。

进一步参考图7，作为对上述安全防御方法实施例的实现，本申请提供了一种安全防御装置的一个实施例，该装置具体可以应用于可编程交换机中的可编程交换芯片中。其中，可编程交换机中还包括处理器。

如图7所示，本实施例的安全防御装置700包括：镜像单元701，被配置成响应于接收到报文，截取上述报文中的关键信息，将上述关键信息镜像至处理器；接收单元702，被配置成接收上述处理器传输的防御表项和防御策略，上述防御表项和上述防御策略由上述处理器对上述关键信息解析后生成；匹配单元703，被配置成将后续接收到的报文作为待测报文，检测上述待测报文与上述防御表项是否匹配；防御单元704，被配置成响应于匹配，基于上述防御策略对上述待测报文进行防御。

在本实施例的一些可选的实现方式中，上述装置还包括：转发单元，被配置成：响应于不匹配，转发上述待测报文。

在本实施例的一些可选的实现方式中，上述镜像单元701，进一步被配置成：截取上述报文的报文头；将上述报文头作为关键信息，将上述关键信息镜像至上述处理器。

在本实施例的一些可选的实现方式中，上述防御单元704，进一步被配置成：检测单位时长内上述待测报文的相同来源报文的转发数量，其中，上述相同来源报文为与上述待测报文包含相同的源IP的报文；响应于上述转发数量大于或等于第一预设阈值，丢弃上述待测报文。

在本实施例的一些可选的实现方式中，上述防御单元704，进一步被配置成：获取上述待测报文的第一接收时间；获取上述待测报文的目标相同来源报文的第二接收时间，其中，上述目标相同来源报文为接收时间最晚的相同来源报文，上述相同来源报文为与上述待测报文包含相同的源IP的报文；确定上述第一接收时间与上述第二接收时间的时间差；响应于上述时间差小于第二预设阈值，丢弃上述待测报文。

本申请的上述实施例提供的装置，通过接收处理器对可编程交换芯片接收到的报文进行分析后生成的防御表项和防御策略，而后基于该防御表项和防御策略进行后续报文的防御，在执行防御操作后再进执行，同时具备安全防御功能，从而仅需一台可编程交换机即可完成全面的安全防御操作，无需进行分光器以及安全服务器的部署，减少了网络设备部署的数量，降低了网络基础设施建设成本。

进一步参考图8，作为对上述报文处理方法实施例的实现，本申请提供了一种报文处理装置的一个实施例，该装置具体可以应用于可编程交换机中的可编程交换芯片中。其中，可编程交换机中还包括处理器。

如图8所示，本实施例的报文处理装置800包括：接收单元801，被配置成接收上述可编程交换芯片传输的报文，其中，上述报文中的目的IP地址的类别为任一目标类别；确定单元802，被配置成将上述报文中的目的IP地址作为第一目的IP地址，基于上述第一目的IP地址的类别，确定第二目的IP地址；替换单元803，被配置成将上述第一目的IP地址替换为上述第二目的IP地址，得到目标报文；传输单元804，被配置成将上述目标报文传输至上述可编程交换芯片，以使上述可编程交换芯片向上述第二目的IP地址转发上述目标报文。

在本实施例的一些可选的实现方式中，上述目标类别包括虚拟服务器集群的虚拟IP地址类；以及，上述确定单元802，进一步被配置成：响应于上述第一目的IP地址的类别为上述虚拟服务器集群的虚拟IP地址类，通过负载均衡算法选取真实服务器；将上述真实服务器的IP地址确定为第二目的IP地址。

在本实施例的一些可选的实现方式中，上述目标类别包括以下至少一项：云服务器的公网IP地址类、边缘云IP地址类、云数据中心IP地址类；以及，上述确定单元802，进一步被配置成：响应于上述第一目的IP地址的类别为上述云服务器的公网IP地址类、上述边缘云IP地址类、上述云数据中心IP地址类中的任一类，确定承载上述第一目的IP地址的物理服务器的IP地址；将上述物理服务器的IP地址作为第二目的IP地址。

本申请的上述实施例提供的装置，通过对原始的报文中的目的IP地址进行替换，可使可编程服务器融合负载均衡功能或者网关功能，进一步减少了网络设备部署的数量，降低了网络基础设施建设成本。

本申请实施例还提供了一种可编程交换机，包括：

处理器，被配置成向上述可编程交换芯片传输流量统计表项。

可编程交换芯片，被配置成响应于上述报文与上述流量统计表项匹配，将上述报文作为目标报文，对上述目标报文进行流量统计，生成流量统计结果，并转发上述报文。

上述处理器，进一步被配置成从上述可编程交换芯片获取上述流量统计结果。

本实施例所提供的可编程交换机，与前述实施例对应的描述类似，相关之处参见前述实施例的部分说明即可。

本申请实施例还提供了另一种可编程交换机，包括：

可编程交换芯片，被配置成响应于接收到报文，截取上述报文中的关键信息，将上述关键信息镜像至处理器。

上述处理器，被配置成对所接收到的关键信息进行解析，生成防御表项和上述防御表项对应的防御策略；将上述防御表项和上述防御策略传输至上述可编程交换芯片。

上述可编程交换芯片，进一步被配置成将后续接收到的报文作为待测报文，检测上述待测报文与上述防御表项是否匹配；响应于匹配，基于上述防御策略对上述待测报文进行防御；响应于不匹配，转发上述待测报文。

本申请实施例还提供了另一种可编程交换机，包括：

可编程交换芯片，被配置成响应于接收到报文，确定上述报文中的目的IP地址的类别；响应于上述类别为任一目标类别，将上述报文传输至处理器。

上述处理器，被配置成将上述目的IP地址作为第一目的IP地址，基于上述第一目的IP地址的类别，确定第二目的IP地址；将上述第一目的IP地址替换为上述第二目的IP地址，得到目标报文；将上述目标报文传输至上述可编程交换芯片。

上述可编程交换芯片，进一步被配置成向上述第二目的IP地址转发上述目标报文。

本申请实施例还提供了一种非易失性可读存储介质，该存储介质中存储有一个或多个模块(programs)，该一个或多个模块被应用在设备时，可以使得该设备执行本申请实施例中各方法步骤的指令(instructions)。

本申请实施例提供了一个或多个机器可读介质，其上存储有指令，当由一个或多个处理器执行时，使得电子设备执行如上述实施例中一个或多个所述的方法。本申请实施例中，所述电子设备包括终端设备、服务器(集群)等各类型的设备。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本申请实施例是参照根据本申请实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本申请所提供的可编程交换机、流量统计方法、防御方法和报文处理方法，进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

Claims

一种可编程交换机，其特征在于，所述可编程交换机包括可编程交换芯片和采用X86架构的处理器，所述可编程交换芯片与所述处理器通信连接。
根据权利要求1所述的可编程交换机，其特征在于，

所述处理器，被配置成向可编程交换芯片传输控制信息，其中，所述控制信息用于控制所述可编程交换芯片在执行报文转发逻辑之前执行目标操作逻辑；

所述可编程交换芯片，被配置成响应于接收到报文，执行所述目标操作逻辑；在所述目标操作逻辑执行结束后，执行所述报文转发逻辑。
根据权利要求2所述的可编程交换机，其特征在于，所述控制信息包括流量统计表项，所述目标操作逻辑包括流量统计操作逻辑；以及

所述可编程交换芯片，进一步被配置成通过如下步骤执行所述流量统计操作逻辑：

检测所述报文与所述流量统计表项是否匹配；

响应于所述报文与所述流量统计表项匹配，将所述报文作为目标报文，对所述目标报文进行流量统计，生成流量统计结果。
根据权利要求3所述的可编程交换机，其特征在于，所述流量统计表项中包括以下至少一项字段：互联网协议IP地址、传输控制协议、用户数据报协议、控制报文协议、同步序列编号、确认字符、端口号；以及

所述可编程交换芯片，进一步被配置成通过如下步骤检测所述报文与所述流量统计表项是否匹配：

响应于接收到报文，读取所述报文的报文头；

检测所述报文头中是否包含所述流量统计表项中的字段；

响应于所述报文头中包含所述流量统计表项中的字段，确定所述报文与所述流量统计表项匹配。
根据权利要求3所述的可编程交换机，其特征在于，所述可编程交换芯片，进一步被配置成通过如下步骤生成流量统计结果：

统计目标报文总数和目标报文的总字节数；

生成包含所述总数和所述总字节数的流量统计结果。
根据权利要求5所述的可编程交换机，其特征在于，所述处理器，进一步被配置成：

在第一时间从所述可编程交换芯片获取第一流量统计结果；

在第二时间从所述可编程交换芯片获取第二流量统计结果；

确定所述第二时间与所述第一时间的时间差；

确定所述第二流量统计结果中的目标报文总数与所述第一流量统计结果中的目标报文总数的第一差值，并确定所述第二流量统计结果中的总字节数与所述第一流量统计结果中的总字节数的第二差值；

将所述第一差值与所述时间差的比值，确定为包转发率；

将所述第二差值与所述时间差的比值，确定为比特率；

生成包含所述包转发率和所述比特率的目标流量统计结果。
根据权利要求6所述的可编程交换机，其特征在于，所述处理器，进一步被配置成：

将所述目标流量统计结果进行封装，得到封装后的报文，所述封装后的报文中包括目标服务器的IP地址；

将所述封装后的报文传输至所述可编程交换芯片；以及

所述可编程交换芯片，进一步被配置成向所述目标服务器的IP地址转发所述封装后的报文。
根据权利要求2所述的可编程交换机，其特征在于，所述控制信息包括防御表项和防御策略，所述目标操作逻辑包括对流量攻击的防御操作逻辑；以及

所述可编程交换芯片，进一步被配置成通过如下步骤执行所述防御操作逻辑：

将所述报文作为待测报文，检测所述待测报文与所述防御表项是否匹配；

响应于所述报文与所述防御表项匹配，基于所述防御策略对所述待测报文进行防御。
根据权利要求8所述的可编程交换机，其特征在于，所述可编程交换芯片，进一步被配置成通过如下步骤对所述待测报文进行防御：

检测单位时长内所述待测报文的相同来源报文的转发数量，其中，所述相同来源报文为与所述待测报文包含相同的源IP的报文；

响应于所述转发数量大于或等于第一预设阈值，丢弃所述待测报文。
根据权利要求8所述的可编程交换机，其特征在于，所述可编程交换芯片，进一步被配置成通过如下步骤对所述待测报文进行防御：

获取所述待测报文的第一接收时间；

获取所述待测报文的目标相同来源报文的第二接收时间，其中，所述目标相同来源报文为接收时间最晚的相同来源报文，所述相同来源报文为与所述待测报文包含相同的源IP的报文；

确定所述第一接收时间与所述第二接收时间的时间差；

响应于所述时间差小于第二预设阈值，丢弃所述待测报文。
根据权利要求8所述的可编程交换机，其特征在于，

所述可编程交换芯片，进一步被配置成在接收到所述控制信息之前，截取所接收到的报文中的关键信息，将所述关键信息镜像至所述处理器；以及

所述处理器，进一步被配置成对所接收到的关键信息进行解析，生成防御表项和所述防御表项对应的防御策略。
根据权利要求11所述的可编程交换机，其特征在于，所述关键信息包括源IP 地址；以及

所述处理器，进一步被配置成通过如下步骤生成防御表项和所述防御表项对应的防御策略：

对目标时长内所接收到的关键信息进行统计，确定所述目标时长内的相同关键信息的数量；

将数量大于第三预设阈值的相同关键信息作为攻击报文中的关键信息，从所述攻击报文中的关键信息中提取至少一项字段，生成防御表项，并创建所述防御表项对应的防御策略。
根据权利要求2所述的可编程交换机，其特征在于，所述目标操作逻辑包括IP地址类别检测逻辑；以及

所述可编程交换芯片，进一步被配置成通过如下步骤执行所述IP地址类别检测逻辑：

从所述报文的报文头中读取目的IP地址；

检测所述目的IP地址的类别；

响应于所述类别为任一目标类别，将所述报文传输至处理器，并将所述报文替换为所述处理器返回的目标报文，其中，所述目标报文由所述处理器对所述报文中的目的IP地址进行修改后所生成。
根据权利要求13所述的可编程交换机，其特征在于，所述目标类别包括虚拟服务器集群的虚拟IP地址类；以及

所述处理器，进一步被配置成通过如下步骤生成所述目标报文：

将所述目的IP地址作为第一目的IP地址，响应于所述第一目的IP地址的类别为所述虚拟服务器集群的虚拟IP地址类，通过负载均衡算法选取真实服务器；

将所述真实服务器的IP地址作为第二目的IP地址，并将所述报文的第一目的IP地址替换为所述第二目的IP地址，生成目标报文。
根据权利要求13所述的可编程交换机，其特征在于，所述目标类别包括以下至少一项：云服务器的公网IP地址类、边缘云IP地址类、云数据中心IP地址类；以及

所述处理器，进一步被配置成通过如下步骤生成所述目标报文：

将所述目的IP地址作为第一目的IP地址，响应于所述第一目的IP地址的类别为所述云服务器的公网IP地址类、所述边缘云IP地址类、所述云数据中心IP地址类中的任一类，确定承载所述第一目的IP地址的物理服务器的IP地址；

将所述物理服务器的IP地址作为第二目的IP地址，并将所述报文的第一目的IP地址替换为所述第二目的IP地址，生成目标报文。
一种可编程交换机，其特征在于，包括：

处理器，被配置成向所述可编程交换芯片传输流量统计表项；

可编程交换芯片，被配置成响应于报文与所述流量统计表项匹配，将所述报文作为目标报文，对所述目标报文进行流量统计，生成流量统计结果，并转发所述报文；

所述处理器，进一步被配置成从所述可编程交换芯片获取所述流量统计结果。
一种可编程交换机，其特征在于，包括：

可编程交换芯片，被配置成响应于接收到报文，截取所述报文中的关键信息，将所述关键信息镜像至处理器；

所述处理器，被配置成对所接收到的关键信息进行解析，生成防御表项和所述防御表项对应的防御策略；将所述防御表项和所述防御策略传输至所述可编程交换芯片；

所述可编程交换芯片，进一步被配置成将后续接收到的报文作为待测报文，检测所述待测报文与所述防御表项是否匹配；响应于匹配，基于所述防御策略对所述待测报文进行防御；响应于不匹配，转发所述待测报文。
一种可编程交换机，其特征在于，包括：

可编程交换芯片，被配置成响应于接收到报文，确定所述报文中的目的IP地址的类别；响应于所述类别为任一目标类别，将所述报文传输至处理器；

所述处理器，被配置成将所述目的IP地址作为第一目的IP地址，基于所述第一目的IP地址的类别，确定第二目的IP地址；将所述第一目的IP地址替换为所述第二目的IP地址，得到目标报文；将所述目标报文传输至所述可编程交换芯片；

所述可编程交换芯片，进一步被配置成向所述第二目的IP地址转发所述目标报文。
一种流量统计方法，其特征在于，应用于可编程交换机中的可编程交换芯片，所述可编程交换机中还包括处理器，所述方法包括：

接收所述处理器传输的流量统计表项；

响应于接收到报文，检测所述报文与所述流量统计表项是否匹配；

响应于所述报文与所述流量统计表项匹配，将所述报文作为目标报文，对所述目标报文进行流量统计，生成流量统计结果，并转发所述报文；

向所述处理器传输所述流量统计结果。
根据权利要求19所述的方法，其特征在于，在所述检测所述报文与所述流量统计表项是否匹配之后，所述方法还包括：

响应于所述报文与所述流量统计表项不匹配，转发所述报文。
根据权利要求19所述的方法，其特征在于，所述流量统计表项中包括以下至少一项字段：互联网协议IP地址、传输控制协议、用户数据报协议、控制报文协议、同步序列编号、确认字符、端口号；以及

所述检测所述报文与所述流量统计表项是否匹配，包括：

读取所述报文的报文头；

检测所述报文头中是否包含所述流量统计表项中的字段；

响应于所述报文头中包含所述流量统计表项中的字段，确定所述报文与所述流量统计表项匹配。
根据权利要求19所述的方法，其特征在于，所述对所述目标报文进行流量统计，生成流量统计结果，包括：

统计目标报文总数和目标报文的总字节数；

生成包含所述目标报文总数和所述总字节数的流量统计结果。
根据权利要求22所述的方法，其特征在于，所述方法还包括：

在第一时间向控制器传输第一流量统计结果；

在第二时间向所述控制器传输第二流量统计结果；

响应于接收到所述处理器传输的封装后的报文，转发所述封装后的报文，其中，所述封装后的报文中包括目标流量统计结果，所述目标流量统计结果由所述处理器基于所述第一流量统计结果和所述第二流量统计结果生成。
一种安全防御方法，其特征在于，应用于可编程交换机中的可编程交换芯片，所述可编程交换机中还包括处理器，所述方法包括：

响应于接收到报文，截取所述报文中的关键信息，将所述关键信息镜像至处理器；

接收所述处理器传输的防御表项和防御策略，所述防御表项和所述防御策略由所述处理器对所述关键信息解析后生成；

将后续接收到的报文作为待测报文，检测所述待测报文与所述防御表项是否匹配；

响应于匹配，基于所述防御策略对所述待测报文进行防御。
根据权利要求24所述的方法，其特征在于，在所述检测所述待测报文与所述防御表项是否匹配之后，所述方法还包括：

响应于不匹配，转发所述待测报文。
根据权利要求24所述的方法，其特征在于，所述截取所述报文中的关键信息，将所述关键信息镜像至处理器，包括：

截取所述报文的报文头；

将所述报文头作为关键信息，将所述关键信息镜像至所述处理器。
根据权利要求24所述的方法，其特征在于，所述基于所述防御策略对所述待测报文进行防御，包括：

检测单位时长内所述待测报文的相同来源报文的转发数量，其中，所述相同来源报文为与所述待测报文包含相同的源IP的报文；

响应于所述转发数量大于或等于第一预设阈值，丢弃所述待测报文。
根据权利要求24所述的方法，其特征在于，所述基于所述防御策略对所述待测报文进行防御，包括：

获取所述待测报文的第一接收时间；

获取所述待测报文的目标相同来源报文的第二接收时间，其中，所述目标相同来源报文为接收时间最晚的相同来源报文，所述相同来源报文为与所述待测报文包含相同的源IP的报文；

确定所述第一接收时间与所述第二接收时间的时间差；

响应于所述时间差小于第二预设阈值，丢弃所述待测报文。
一种报文处理方法，其特征在于，应用于可编程交换机中的处理器，所述可编程交换机中还包括可编程交换芯片，所述方法包括：

接收所述可编程交换芯片传输的报文，其中，所述报文中的目的IP地址的类别为任一目标类别；

将所述报文中的目的IP地址作为第一目的IP地址，基于所述第一目的IP地址的类别，确定第二目的IP地址；

将所述第一目的IP地址替换为所述第二目的IP地址，得到目标报文；

将所述目标报文传输至所述可编程交换芯片，以使所述可编程交换芯片向所述第二目的IP地址转发所述目标报文。
根据权利要求29所述的报文处理方法，其特征在于，所述目标类别包括虚拟服务器集群的虚拟IP地址类；以及

所述基于所述第一目的IP地址的类别，确定第二目的IP地址，包括：

响应于所述第一目的IP地址的类别为所述虚拟服务器集群的虚拟IP地址类，通过负载均衡算法选取真实服务器；

将所述真实服务器的IP地址确定为第二目的IP地址。
根据权利要求29所述的报文处理方法，其特征在于，所述目标类别包括以下至少一项：云服务器的公网IP地址类、边缘云IP地址类、云数据中心IP地址类；以及

所述基于所述第一目的IP地址的类别，确定第二目的IP地址，包括：

响应于所述第一目的IP地址的类别为所述云服务器的公网IP地址类、所述边缘云IP地址类、所述云数据中心IP地址类中的任一类，确定承载所述第一目的IP地址的物理服务器的IP地址；

将所述物理服务器的IP地址作为第二目的IP地址。
一种流量统计装置，其特征在于，应用于可编程交换机中的可编程交换芯片，所述可编程交换机中还包括处理器，所述装置包括：

接收单元，被配置成接收所述处理器传输的流量统计表项；

检测单元，被配置成响应于接收到报文，检测所述报文与所述流量统计表项是否匹配；

统计单元，被配置成响应于所述报文与所述流量统计表项匹配，将所述报文作为目标报文，对所述目标报文进行流量统计，生成流量统计结果，并转发所述报文；

传输单元，被配置成向所述处理器传输所述流量统计结果。
一种安全防御装置，其特征在于，应用于可编程交换机中的可编程交换芯片，所述可编程交换机中还包括处理器，所述装置包括：

镜像单元，被配置成响应于接收到报文，截取所述报文中的关键信息，将所述关键信息镜像至处理器；

接收单元，被配置成接收所述处理器传输的防御表项和防御策略，所述防御表项和所述防御策略由所述处理器对所述关键信息解析后生成；

匹配单元，被配置成将后续接收到的报文作为待测报文，检测所述待测报文与所述防御表项是否匹配；

防御单元，被配置成响应于匹配，基于所述防御策略对所述待测报文进行防御。
一种报文处理装置，其特征在于，应用于可编程交换机中的处理器，所述可编程交换机中还包括可编程交换芯片，所述装置包括：

接收单元，被配置成接收所述可编程交换芯片传输的报文，其中，所述报文中的目的IP地址的类别为任一目标类别；

确定单元，被配置成将所述报文中的目的IP地址作为第一目的IP地址，基于所述第一目的IP地址的类别，确定第二目的IP地址；

替换单元，被配置成将所述第一目的IP地址替换为所述第二目的IP地址，得到目标报文；

传输单元，被配置成将所述目标报文传输至所述可编程交换芯片，以使所述可编程交换芯片向所述第二目的IP地址转发所述目标报文。
一个或多个机器可读介质，其上存储有可执行代码，当所述可执行代码被执行时，使得处理器执行如权利要求19-31中一个或多个所述的方法。