CN110224947A - 一种多核转发***中的报文处理方法、装置及设备 - Google Patents
一种多核转发***中的报文处理方法、装置及设备 Download PDFInfo
- Publication number
- CN110224947A CN110224947A CN201910486626.0A CN201910486626A CN110224947A CN 110224947 A CN110224947 A CN 110224947A CN 201910486626 A CN201910486626 A CN 201910486626A CN 110224947 A CN110224947 A CN 110224947A
- Authority
- CN
- China
- Prior art keywords
- message
- cpu
- abnormal flow
- flow
- forwarding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开一种多核转发***中的报文处理方法、装置及设备,所述多核转发***包括转发核、第一CPU和第二CPU,所述方法包括:所述转发核在接收到来自网卡的报文后,判断所述报文是否属于异常流量;如果所述报文属于异常流量,则所述转发核将所述报文转发至预设第一CPU,以便由所述第一CPU进行处理;如果所述报文不属于异常流量,且所述报文属于外网流量,则所述转发核将所述报文转发至预设第二CPU,以便由所述第二CPU进行处理。本申请通过对流量分而治之的设计,能够避免正常流量受到异常流量的影响,保证正常流量的畅通性。
Description
技术领域
本申请涉及数据处理领域,具体涉及一种多核转发***中的报文处理方法、装置及设备。
背景技术
随着科技的发展,越来越多的防火墙采用了多核处理机制,也就是说,目前防火墙的转发性能不仅仅与处理流程和算法的复杂度有关,还与多核并发设计的资源竞争有关。
例如校园网等专用网络,通常对正常流量的畅通性有着极高的要求,但是这种网络同时也在遭受着来自校内和校外的各种网络攻击(如反射攻击、ack flood攻击、synflood攻击、udp flood攻击等ddos攻击)。因此,多核处理机制的防火墙不仅仅要对各种网络攻击等异常流量进行处理,更重要的是保证正常流量的畅通性。
发明内容
有鉴于此,本申请提供了一种多核转发***中的报文处理方法,利用单独的第一CPU处理异常流量,同时利用单独的第二CPU处理外网流量,将流量分而治之,避免正常流量受到异常流量的影响,保证正常流量的畅通性。
第一方面,为实现上述发明目的,本申请提供了一种多核转发***中的报文处理方法,所述多核转发***包括转发核、第一CPU和第二CPU,所述方法包括:
所述转发核在接收到来自网卡的报文后,判断所述报文是否属于异常流量;
如果所述报文属于异常流量,则所述转发核将所述报文转发至预设第一CPU,以便由所述第一CPU进行处理;
如果所述报文不属于异常流量,且所述报文属于外网流量,则所述转发核将所述报文转发至预设第二CPU,以便由所述第二CPU进行处理。
一种可选的实施方式中,所述方法还包括:
如果所述报文不属于异常流量,且所述报文属于外网流量,则所述转发核统计预设第一时间内接收到的报文中与所述报文的目的IP地址相同的报文的个数;
所述转发核判断所述个数是否大于预设第一阈值;如果是,则确定与所述报文具有相同目的IP地址的报文属于异常流量。
一种可选的实施方式中,所述方法还包括:
如果所述报文不属于异常流量,且所述报文属于内网流量,则所述转发核统计预设第二时间内接收到的报文中与所述报文的源IP地址相同的报文的个数;
所述转发核判断所述个数是否大于预设第二阈值;如果是,则确定与所述报文具有相同源IP地址的报文属于异常流量。
一种可选的实施方式中,所述判断所述报文是否属于异常流量之前,还包括:
所述转发核无锁读取预设镜像表,并将所述报文与所述镜像表进行匹配;
如果匹配失败,则所述转发核将所述报文丢弃;否则执行所述判断所述报文是否属于异常流量的步骤;
其中,所述镜像表是策略表经过快表镜像方式得到的。
一种可选的实施方式中,所述判断所述报文是否属于异常流量之前,还包括:
所述转发核在接收到来自网卡的报文后,确定是否存在所述报文对应的会话模板;
如果是,则基于所述会话模板对所述报文进行转发;否则,执行所述将判断所述报文是否属于异常流量的步骤;其中,所述会话模板为预先设置的允许访问的流量类型。
一种可选的实施方式中,所述方法还包括:
所述第一CPU在接收到所述报文时,确定是否存在所述报文对应的会话模板;
如果是,则所述第一CPU基于所述会话模板对所述报文进行转发;否则,将所述报文丢弃;其中,所述会话模板为预先设置的允许访问的流量类型。
第二方面,本申请还提供了一种多核转发***中的报文处理装置,所述装置包括转发核、第一CPU和第二CPU,所述转发核包括第一判断模块、第一转发模块和第二转发模块:
第一判断模块,用于在接收到来自网卡的报文后,判断所述报文是否属于异常流量;
第一转发模块,用于在所述第一判断模块确定所述报文属于异常流量时,将所述报文转发至预设第一CPU,以便由所述第一CPU进行处理;
第二转发模块,用于在所述第一判断模块确定所述报文不属于异常流量,且所述报文属于外网流量时,将所述报文转发至预设第二CPU,以便由所述第二CPU进行处理。
一种可选的实施方式中,所述装置还包括:
第一统计模块,用于在所述报文不属于异常流量,且所述报文属于外网流量时,统计预设第一时间内接收到的报文中与所述报文的目的IP地址相同的报文的个数;
第二判断模块,用于判断所述个数是否大于预设第一阈值;
第一确定模块,用于在所述第二判断模块的结果为是时,确定与所述报文具有相同目的IP地址的报文属于异常流量。
一种可选的实施方式中,所述装置还包括:
第二统计模块,用于在所述报文不属于异常流量,且所述报文属于内网流量时,统计预设第二时间内接收到的报文中与所述报文的源IP地址相同的报文的个数;
第三判断模块,用于判断所述个数是否大于预设第二阈值;
第二确定模块,用于在所述第三判断模块的结果为是时,确定与所述报文具有相同源IP地址的报文属于异常流量。
一种可选的实施方式中,所述装置还包括:
匹配模块,用于无锁读取预设镜像表,并将所述报文与所述镜像表进行匹配;
第一丢弃模块,用于在所述匹配模块匹配失败时,将所述报文丢弃;
第一触发模块,用于在所述匹配模块匹配成功时,触发所述第一判断模块;
其中,所述镜像表是策略表经过快表镜像方式得到的。
一种可选的实施方式中,所述装置还包括:
第三确定模块,用于在接收到来自网卡的报文后,确定是否存在所述报文对应的会话模板;
第三转发模块,用于在所述第三确定模块的结果为是时,基于所述会话模板对所述报文进行转发;
第二触发模块,用于在所述第三确定模块的结果为否时,触发所述第一判断模块;其中,所述会话模板为预先设置的允许访问的流量类型。
一种可选的实施方式中,所述第一CPU包括:
第四确定模块,用于在接收到所述报文时,确定是否存在所述报文对应的会话模板;
第四转发模块,用于在所述确定模块的结果为是时,基于所述会话模板对所述报文进行转发;
第二丢弃模块,用于在所述确定模块的结果为否时,将所述报文丢弃;其中,所述会话模板为预先设置的允许访问的流量类型。
第三方面,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备执行如上述任一项所述的方法。
第四方面,本申请还提供了一种多核转发***中的报文处理处理设备,其特征在于,包括:存储器,处理器,及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现如上述任一项所述的方法。
本申请提供的多核转发***中的报文处理方法中,转发核在接收到来自网卡的报文后,判断该报文是否属于异常流量,如果该报文属于异常流量,则将其转发至第一CPU处理,如果该报文不属于异常流量,但该报文属于外网流量,则转发核将其转发至第二CPU进行处理。其中,第一CPU专门用于处理防火墙中的异常流量,而第二CPU专门用于处理防火墙中不属于异常流量的外网流量,通过对流量分而治之的设计,能够避免正常流量受到异常流量的影响,保证正常流量的畅通性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种多核转发***中的报文处理方法的流程图;
图2为本申请实施例提供的一种适用于校园网的多核处理机制的防火墙的架构图;
图3为本申请实施例提供的一种多核转发***中的报文处理装置的结构示意图;
图4为本申请实施例提供的一种多核转发***中的报文处理设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例中的多核转发***是指多核处理机制的防火墙,对于防火墙中的异常流量通常是指短时间内吞吐或新建会话数量较大的流量。本申请实施例中,转发核在接收到来自网卡的报文后,判断该报文是否属于异常流量,如果该报文属于异常流量,则将其转发至第一CPU处理,如果该报文不属于异常流量,但该报文属于外网流量,则转发核将其转发至第二CPU进行处理。其中,第一CPU专门用于处理防火墙中的异常流量,而第二CPU专门用于处理防火墙中不属于异常流量的外网流量,通过对流量分而治之的设计,能够避免正常流量受到异常流量的影响,保证正常流量的畅通性。
本申请提供的多核转发***中的报文处理方法能够适用于校园网、企事业单位网络等场景,以下本申请实施例以适用于校园网的多核处理机制的防火墙为例进行介绍。
方法实施例
参考图1,为本申请实施例提供的一种多核转发***中的报文处理方法的流程图,所述多核转发***包括转发核、第一CPU和第二CPU,该方法包括:
S101:所述转发核在接收到来自网卡的报文后,判断所述报文是否属于异常流量,如果是,则执行S102,否则执行S103。
本申请实施例中利用单独的第一CPU处理异常流量,因此,多核转发***中的各个转发核在接收到来自网卡的报文后,首先判断该报文是否属于异常流量,如果是,则执行S102。
其中,异常流量可以为预先定义的流量类型,例如,防火墙中所有接口收到SYN报文数量超过阈值时,SYN报文则为异常流量,或者,防火墙中所有接口收到UDP报文数量超过阈值时,UDP报文则为异常流量。具体的,异常流量的定义方式不做限制。
实际应用中,校园网中可能存在的异常流量可以包括以下几类:
第一,校内用户通过真实IP地址发起的网络攻击,包括对校内用户和校外用户的攻击。这类网络攻击的特点是通过同一源IP地址短时间内发出的报文流量过大。对于这类网络攻击,本申请通过统计具有同一源IP地址的报文的个数,如果达到阈值,则确定该源IP地址发出的报文疑似网络攻击,属于异常流量。
第二、校外用户发起的针对校内固定用户的网络攻击,如ddos攻击。这种网络攻击的特点是同一目的IP地址短时间内报文流量过大。对于这类网络攻击,本申请通过统计预设第一时间内具有同一目的IP地址的报文的个数,如果达到阈值,则确定发送至该目的IP地址的报文疑似网络攻击,属于异常流量。
第三、校园网内的科研流量,如爬虫或SYN扫描等操作,科研流量的特点是同一源IP地址短时间内报文流量过大,也是通过统计预设第二时间内具有同一源IP地址的报文的个数,如果达到阈值,则确定该源IP地址发出的报文属于异常流量。
通过上述可知,本申请实施例中判断异常流量的条件是基于对固定IP地址对应的流量进行统计的,并非统计某一类报文的总数。基于校园网的流量大,且整体流量波动与学生作息等相关的特点,如果基于统计报文总数确定是否为异常流量的判断方法,容易出现误报情况,同时可能会在遭遇攻击时不能及时获知的情况。因此,本申请实施例基于对固定IP地址的流量进行统计确定异常流量,能够及时准确有针对性的确定出异常流量,并能够精确的针对该IP地址的异常流量进行处理,不影响其他IP地址的流量。
实际应用中,当转发核接收到来自网卡的报文后,如果确定该报文属于外网流量,即校外用户发起的针对校内资源的访问,则统计预设第一时间内接收到的报文中与该报文的目的IP地址相同的报文的个数,并判断该个数是否超过预设第一阈值,如果是,则说明针对该目的IP地址的报文流量过大,可以将具有该目的IP地址的报文定义为异常流量。
另外,如果确定该报文属于内网流量,即校内用户发起的资源访问,则统计预设第二时间内接收到的报文中与该报文的源IP地址相同的报文的个数,并判断该个数是否超过预设第二阈值,如果是,则说明针对该源IP地址的报文流量过大,可以将具有该源IP地址的报文定义为异常流量。
可见,通过上述实施方式,本申请实施例可以将上述三种报文确定为异常流量,均转发至第一CPU进行处理,避免影响转发核中正常流量的转发。S102:所述转发核将所述报文转发至预设第一CPU,以便由所述第一CPU进行处理。
本申请实施例中,当转发核确定接收到的报文属于异常报文时,将该报文转发至第一CPU,并由第一CPU对其进行处理,避免了异常流量对转发核中正常流量的影响。
对于校园网而言,由于上述第三类中校园网内的科研流量事实上属于合法的流量,但是这一类科研流量每秒新建可能达到1-5w甚至更高,占用校园网正常情况下新建流量的大部分资源,可能影响校园网中正常流量的转发。通常,校园网内的科研流量所用的源IP地址是经过申请的,只有经过批准,该源IP地址才能用于科研流量,否则,即使是科研流量也会被丢弃,以免影响正常流量的转发。
为了保证经过批准的科研流量能够正常转发,同时不占用整体会话资源,本申请实施例的第一CPU中预先为经过批准的科研流量设置会话模板,包括预先定义的经过批准的源IP地址允许访问的流量类型以及会话策略等,其中,各个会话策略的生命周期为静态添加删除,不随着报文转发而改变,因此第一CPU在处理科研流量时不需要单独新建会话。第一CPU接收到属于异常流量的报文后,首先将该报文与会话模板进行匹配,如果属于该报文的源IP地址允许访问的流量类型,则说明该报文属于校园网内的科研流量,基于会话模板进行转发即可;否则,说明该报文属于网络攻击,第一CPU可以直接将该报文丢弃,实现攻击防御。另外,由于校园网的整体流量波动与学生作息相关,通常科研流量安排在学生使用网络相对较少的夜晚,因此,本申请实施例在会话模板中不仅设置有经过批准的源IP地址允许访问的流量类型,还可以设置源IP地址允许访问的时间段。也就是说,第一CPU还需要将接收到报文的时间与会话模板中设置的允许访问的时间段进行匹配,如果匹配成功,则基于会话模板对该报文进行转发,否则将其丢弃。
本申请实施例中,由于第一CPU基于会话模板对科研流量进行处理,因此能够提升校园网的科研流量的处理性能,另外,基于会话模板对报文进行转发,不需要单独建立会话,使得在完全不占用正常流量用户的资源情况下,对科研流量的转发既减少会话表存储空间,也使得新建会话造成的性能开销大幅减少,提升整体性能。
另一种实现方式中,对于经过批准的科研流量,转发核在接收到报文后,首先确定是否存在所述报文对应的会话模板;如果存在,则说明该报文属于科研流量,由转发核基于会话模板对该报文进行转发即可;否则,继续判断该报文是否属于异常流量。上述实现方式能够降低第一CPU的性能消耗,提高第一CPU处理异常流量的效率。
S103:如果所述报文不属于异常流量,且所述报文属于外网流量,则所述转发核将所述报文转发至预设第二CPU,以便由所述第二CPU进行处理。
本申请实施例中,当转发核接收到的报文不属于异常流量,且该报文属于外网流量时,转发核将其转发至第二CPU,由第二CPU对其进行处理。具体的,第二CPU中设置有外网流量的会话表,第二CPU基于会话表对属于外网流量的报文进行转发。
本申请实施例提供的多核转发***中的报文处理方法中,转发核在接收到来自网卡的报文后,判断该报文是否属于异常流量,如果该报文属于异常流量,则将其转发至第一CPU处理,如果该报文不属于异常流量,但该报文属于外网流量,则转发核将其转发至第二CPU进行处理。其中,第一CPU专门用于处理防火墙中的异常流量,而第二CPU专门用于处理防火墙中不属于异常流量的外网流量,通过对流量分而治之的设计,能够避免正常流量受到异常流量的影响,保证正常流量的畅通性。
本申请实施例提供了一种适用于校园网的多核处理机制的防火墙的架构图,参考图2,包括N个转发核CPU1-N,一个用于处理异常流量的CPU D,一个用于处理外网流量的CPUS,能够保证校内校外流量会不影响,也能够保证异常流量与校内、校外的正常流量的处理互不影响。
实际应用中,防火墙中的每个网卡在配置接收队列时,与N个转发核建立全连接队列关系,使得网卡中的无论是校内流量还是校外流量,均可以被N个转发核接收。另外,每个网卡在配置发送队列时,与N个转发核、CPU D和CPU S均建立全连接队列关系,能够保证防火墙中的各个CPU均可以直接将报文从网卡中发送出去。
实际应用中,转发核接收到不属于异常流量的报文时,需要查询会话表实现转发,如果未查询到对应的会话表项,则需要新建会话。一种情况下,如果该报文来自网卡的校内接口,则说明该报文属于校内流量,此时需要在该转发核内新建会话,最终实现报文的转发;如果该报文来自网卡的校外接口,则将该报文转发至CPU S,由CPU S对其新建会话,实现报文的转发。
一种实施方式中,防火墙基于异构平台实现,包括快速模块和慢速模块,其中,快速模块是基于dpdk平台在用户态实现,慢速模块则是在内核态的软中断上下文实现。快速模块中的CPU主要是从网卡收包后进行高性能转发(包括查找会话,并基于会话转发报文等),而慢速模块中的CPU则是进行一些耗时的复杂策略匹配,比如快速模块中的CPU未查到报文对应的会话,则将该报文送入慢速模块的CPU进行策略匹配。目前,快速模块实现的功能主要包括快速转发、状态机、CAM表和ddos攻防模块,而慢速模块实现的功能则包括策略匹配,arp表,路由表、策略表等。
其中,慢速模块中的策略表中预先配置有规则,具体可以包括:允许访问互联网的校内网IP段,通过这一设置可以过滤掉校内发起的以伪造IP地址为主要原理的网络攻击;还可以包括:允许外网访问的校内IP地址和端口号,通过这一设置可以过滤掉来自校外的网络攻击,如udp flood攻击。
针对上述实施方式,对于攻击流量非常大的应用场景,也需要进入慢速模块进行攻击报文的丢弃,具体的,快速模块收到这类报文后送入慢速模块,由慢速模块将其与策略表匹配。显然,如果攻击流量非常大,则可能会导致快速模块与慢速模块之间的通道堵塞,其他正常流量也会受到影响。为解决上述问题,本申请实施例将慢速模块中的策略表中的一部分内容制成快表移到快速模块中实现,使得快速模块在接收到报文后直接匹配快表中的规则,如果不匹配则直接将其丢弃,避免了攻击流量较大导致的快速模块与慢速模块之间的通道堵塞的问题。
实际应用中,慢速模块中的处理核基于策略表采用快表镜像方式得到镜像表,快速模块中的转发核对该镜像表具有读权限,慢速模块中的处理核对该镜像表具有添加和删除等权限。具体的,转发核在收到来自网卡的报文后,首先无锁读取该镜像表,将该报文与镜像表进行匹配,如果匹配失败,则直接将其丢弃,实现攻击防御;如果匹配失败,则继续执行判断所述报文是否属于异常流量的步骤。
装置实施例
参考图3,为本申请实施例提供的一种多核转发***中的报文处理装置的结构示意图,其中,所述装置包括转发核301、第一CPU302和第二CPU303,所述转发核301包括第一判断模块310、第一转发模块311和第二转发模块312:
第一判断模块310,用于在接收到来自网卡的报文后,判断所述报文是否属于异常流量;
第一转发模块311,用于在所述第一判断模块确定所述报文属于异常流量时,将所述报文转发至预设第一CPU,以便由所述第一CPU进行处理;
第二转发模块312,用于在所述第一判断模块确定所述报文不属于异常流量,且所述报文属于外网流量时,将所述报文转发至预设第二CPU,以便由所述第二CPU进行处理。
一种可选的实施方式中,所述装置还包括:
第一统计模块,用于在所述报文不属于异常流量,且所述报文属于外网流量时,统计预设第一时间内接收到的报文中与所述报文的目的IP地址相同的报文的个数;
第二判断模块,用于判断所述个数是否大于预设第一阈值;
第一确定模块,用于在所述第二判断模块的结果为是时,确定与所述报文具有相同目的IP地址的报文属于异常流量。
另一种可选的实施方式中,所述装置还包括:
第二统计模块,用于在所述报文不属于异常流量,且所述报文属于内网流量时,统计预设第二时间内接收到的报文中与所述报文的源IP地址相同的报文的个数;
第三判断模块,用于判断所述个数是否大于预设第二阈值;
第二确定模块,用于在所述第三判断模块的结果为是时,确定与所述报文具有相同源IP地址的报文属于异常流量。
另外,所述装置还包括:
匹配模块,用于无锁读取预设镜像表,并将所述报文与所述镜像表进行匹配;
第一丢弃模块,用于在所述匹配模块匹配失败时,将所述报文丢弃;
第一触发模块,用于在所述匹配模块匹配成功时,触发所述第一判断模块;
其中,所述镜像表是策略表经过快表镜像方式得到的。
一种可选的实施方式中,所述装置还包括:
第三确定模块,用于在接收到来自网卡的报文后,确定是否存在所述报文对应的会话模板;
第三转发模块,用于在所述第三确定模块的结果为是时,基于所述会话模板对所述报文进行转发;
第二触发模块,用于在所述第三确定模块的结果为否时,触发所述第一判断模块;其中,所述会话模板为预先设置的允许访问的流量类型。
具体的,所述第一CPU包括:
第四确定模块,用于在接收到所述报文时,确定是否存在所述报文对应的会话模板;
第四转发模块,用于在所述确定模块的结果为是时,基于所述会话模板对所述报文进行转发;
第二丢弃模块,用于在所述确定模块的结果为否时,将所述报文丢弃;其中,所述会话模板为预先设置的允许访问的流量类型。
本申请实施例提供的多核转发***中的报文处理装置中,转发核在接收到来自网卡的报文后,判断该报文是否属于异常流量,如果该报文属于异常流量,则将其转发至第一CPU处理,如果该报文不属于异常流量,但该报文属于外网流量,则转发核将其转发至第二CPU进行处理。其中,第一CPU专门用于处理防火墙中的异常流量,而第二CPU专门用于处理防火墙中不属于异常流量的外网流量,通过对流量分而治之的设计,能够避免正常流量受到异常流量的影响,保证正常流量的畅通性。
另外,本申请实施例还提供了一种多核转发***中的报文处理设备,参见图4所示,可以包括:
处理器401、存储器402、输入装置403和输出装置404。多核转发***中的报文处理设备中的处理器401的数量可以一个或多个,图4中以一个处理器为例。在本发明的一些实施例中,处理器401、存储器402、输入装置403和输出装置404可通过总线或其它方式连接,其中,图4中以通过总线连接为例。
存储器402可用于存储软件程序以及模块,处理器401通过运行存储在存储器402的软件程序以及模块,从而执行多核转发***中的报文处理设备的各种功能应用以及数据处理。存储器402可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序等。此外,存储器402可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。输入装置303可用于接收输入的数字或字符信息,以及产生与多核转发***中的报文处理设备的用户设置以及功能控制有关的信号输入。
具体在本实施例中,处理器401会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器402中,并由处理器401来运行存储在存储器402中的应用程序,从而实现上述方法中的各种功能。
另外,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备执行上述的方法。
可以理解的是,对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请实施例所提供的一种多核转发***中的报文处理方法、装置及设备进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种多核转发***中的报文处理方法,其特征在于,所述多核转发***包括转发核、第一CPU和第二CPU,所述方法包括:
所述转发核在接收到来自网卡的报文后,判断所述报文是否属于异常流量;
如果所述报文属于异常流量,则所述转发核将所述报文转发至预设第一CPU,以便由所述第一CPU进行处理;
如果所述报文不属于异常流量,且所述报文属于外网流量,则所述转发核将所述报文转发至预设第二CPU,以便由所述第二CPU进行处理。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述报文不属于异常流量,且所述报文属于外网流量,则所述转发核统计预设第一时间内接收到的报文中与所述报文的目的IP地址相同的报文的个数;
所述转发核判断所述个数是否大于预设第一阈值;如果是,则确定与所述报文具有相同目的IP地址的报文属于异常流量。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
如果所述报文不属于异常流量,且所述报文属于内网流量,则所述转发核统计预设第二时间内接收到的报文中与所述报文的源IP地址相同的报文的个数;
所述转发核判断所述个数是否大于预设第二阈值;如果是,则确定与所述报文具有相同源IP地址的报文属于异常流量。
4.根据权利要求1所述的方法,其特征在于,所述判断所述报文是否属于异常流量之前,还包括:
所述转发核无锁读取预设镜像表,并将所述报文与所述镜像表进行匹配;
如果匹配失败,则所述转发核将所述报文丢弃;否则执行所述判断所述报文是否属于异常流量的步骤;
其中,所述镜像表是策略表经过快表镜像方式得到的。
5.根据权利要求1所述的方法,其特征在于,所述判断所述报文是否属于异常流量之前,还包括:
所述转发核在接收到来自网卡的报文后,确定是否存在所述报文对应的会话模板;
如果是,则基于所述会话模板对所述报文进行转发;否则,执行所述将判断所述报文是否属于异常流量的步骤;其中,所述会话模板为预先设置的允许访问的流量类型。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述第一CPU在接收到所述报文时,确定是否存在所述报文对应的会话模板;
如果是,则所述第一CPU基于所述会话模板对所述报文进行转发;否则,将所述报文丢弃;其中,所述会话模板为预先设置的允许访问的流量类型。
7.一种多核转发***中的报文处理装置,其特征在于,所述装置包括转发核、第一CPU和第二CPU,所述转发核包括第一判断模块、第一转发模块和第二转发模块:
第一判断模块,用于在接收到来自网卡的报文后,判断所述报文是否属于异常流量;
第一转发模块,用于在所述第一判断模块确定所述报文属于异常流量时,将所述报文转发至预设第一CPU,以便由所述第一CPU进行处理;
第二转发模块,用于在所述第一判断模块确定所述报文不属于异常流量,且所述报文属于外网流量时,将所述报文转发至预设第二CPU,以便由所述第二CPU进行处理。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第一统计模块,用于在所述报文不属于异常流量,且所述报文属于外网流量时,统计预设第一时间内接收到的报文中与所述报文的目的IP地址相同的报文的个数;
第二判断模块,用于判断所述个数是否大于预设第一阈值;
第一确定模块,用于在所述第二判断模块的结果为是时,确定与所述报文具有相同目的IP地址的报文属于异常流量。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备执行如权利要求1-6任一项所述的方法。
10.一种多核转发***中的报文处理处理设备,其特征在于,包括:存储器,处理器,及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-6任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910486626.0A CN110224947A (zh) | 2019-06-05 | 2019-06-05 | 一种多核转发***中的报文处理方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910486626.0A CN110224947A (zh) | 2019-06-05 | 2019-06-05 | 一种多核转发***中的报文处理方法、装置及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110224947A true CN110224947A (zh) | 2019-09-10 |
Family
ID=67819480
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910486626.0A Pending CN110224947A (zh) | 2019-06-05 | 2019-06-05 | 一种多核转发***中的报文处理方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110224947A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110545291A (zh) * | 2019-09-29 | 2019-12-06 | 东软集团股份有限公司 | 一种攻击报文的防御方法、多核转发***及相关产品 |
| CN111049758A (zh) * | 2019-11-22 | 2020-04-21 | 东软集团股份有限公司 | 一种实现报文QoS处理的方法、***及设备 |
| CN111654474A (zh) * | 2020-05-19 | 2020-09-11 | 杭州迪普科技股份有限公司 | 一种安全检测的方法和装置 |
| CN111935108A (zh) * | 2020-07-24 | 2020-11-13 | 杭州安恒信息技术股份有限公司 | 云数据安全访问控制方法、装置、电子装置及存储介质 |
| CN112671653A (zh) * | 2020-12-02 | 2021-04-16 | 国家计算机网络与信息安全管理中心 | 一种基于多核异构平台的cam表的操作方法 |
| CN114095426A (zh) * | 2021-09-28 | 2022-02-25 | 浪潮软件科技有限公司 | 一种vpp平台的报文处理方法及装置 |
| CN114513343A (zh) * | 2022-01-26 | 2022-05-17 | 广州晨扬通信技术有限公司 | 信令防火墙分级拦截方法、装置、***、设备及存储介质 |
Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101286996A (zh) * | 2008-05-30 | 2008-10-15 | 北京星网锐捷网络技术有限公司 | 一种风暴攻击抵抗方法与装置 |
| CN102014109A (zh) * | 2009-09-08 | 2011-04-13 | 华为技术有限公司 | 一种泛洪攻击的防范方法及装置 |
| US20120144487A1 (en) * | 2010-12-02 | 2012-06-07 | Electronics And Telecommunications Research Institute | Routing apparatus and method for detecting server attack and network using the same |
| CN103384252A (zh) * | 2013-07-18 | 2013-11-06 | 北京星网锐捷网络技术有限公司 | 网络设备防攻击的方法和装置、网络设备 |
| CN105245549A (zh) * | 2015-10-30 | 2016-01-13 | 上海红神信息技术有限公司 | 一种抵抗DDoS攻击的主动防御方法 |
| CN106576099A (zh) * | 2014-08-04 | 2017-04-19 | 微软技术许可有限责任公司 | 支持攻击检测和缓解的数据中心架构 |
| CN106874796A (zh) * | 2017-02-16 | 2017-06-20 | 深圳前海生生科技有限公司 | ***运行中指令流的安全检测和容错方法 |
| CN106888217A (zh) * | 2017-03-27 | 2017-06-23 | 上海斐讯数据通信技术有限公司 | 一种针对arp攻击的管控方法及*** |
| CN107070862A (zh) * | 2016-12-28 | 2017-08-18 | 上海优刻得信息科技有限公司 | 网关的数据分流方法、数据分流装置以及网关*** |
| CN107864156A (zh) * | 2017-12-18 | 2018-03-30 | 东软集团股份有限公司 | Syn攻击防御方法和装置、存储介质 |
| CN108090346A (zh) * | 2017-12-04 | 2018-05-29 | 华中科技大学 | 一种基于数据流监控的代码复用攻击防御方法及*** |
| WO2018177210A1 (zh) * | 2017-03-27 | 2018-10-04 | 新华三技术有限公司 | 防御apt攻击 |
| CN109246057A (zh) * | 2017-07-10 | 2019-01-18 | 东软集团股份有限公司 | 报文转发方法、装置、转发***、存储介质及电子设备 |
| CN109495504A (zh) * | 2018-12-21 | 2019-03-19 | 东软集团股份有限公司 | 一种防火墙设备及其报文处理方法以及介质 |
| CN109525601A (zh) * | 2018-12-28 | 2019-03-26 | 杭州迪普科技股份有限公司 | 内网中终端间的横向流量隔离方法和装置 |
| CN109558206A (zh) * | 2017-09-26 | 2019-04-02 | 中兴通讯股份有限公司 | Cpu资源的隔离方法及其*** |
-
2019
- 2019-06-05 CN CN201910486626.0A patent/CN110224947A/zh active Pending
Patent Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101286996A (zh) * | 2008-05-30 | 2008-10-15 | 北京星网锐捷网络技术有限公司 | 一种风暴攻击抵抗方法与装置 |
| CN102014109A (zh) * | 2009-09-08 | 2011-04-13 | 华为技术有限公司 | 一种泛洪攻击的防范方法及装置 |
| US20120144487A1 (en) * | 2010-12-02 | 2012-06-07 | Electronics And Telecommunications Research Institute | Routing apparatus and method for detecting server attack and network using the same |
| CN103384252A (zh) * | 2013-07-18 | 2013-11-06 | 北京星网锐捷网络技术有限公司 | 网络设备防攻击的方法和装置、网络设备 |
| CN106576099A (zh) * | 2014-08-04 | 2017-04-19 | 微软技术许可有限责任公司 | 支持攻击检测和缓解的数据中心架构 |
| CN105245549A (zh) * | 2015-10-30 | 2016-01-13 | 上海红神信息技术有限公司 | 一种抵抗DDoS攻击的主动防御方法 |
| CN107070862A (zh) * | 2016-12-28 | 2017-08-18 | 上海优刻得信息科技有限公司 | 网关的数据分流方法、数据分流装置以及网关*** |
| CN106874796A (zh) * | 2017-02-16 | 2017-06-20 | 深圳前海生生科技有限公司 | ***运行中指令流的安全检测和容错方法 |
| CN106888217A (zh) * | 2017-03-27 | 2017-06-23 | 上海斐讯数据通信技术有限公司 | 一种针对arp攻击的管控方法及*** |
| WO2018177210A1 (zh) * | 2017-03-27 | 2018-10-04 | 新华三技术有限公司 | 防御apt攻击 |
| CN109246057A (zh) * | 2017-07-10 | 2019-01-18 | 东软集团股份有限公司 | 报文转发方法、装置、转发***、存储介质及电子设备 |
| CN109558206A (zh) * | 2017-09-26 | 2019-04-02 | 中兴通讯股份有限公司 | Cpu资源的隔离方法及其*** |
| CN108090346A (zh) * | 2017-12-04 | 2018-05-29 | 华中科技大学 | 一种基于数据流监控的代码复用攻击防御方法及*** |
| CN107864156A (zh) * | 2017-12-18 | 2018-03-30 | 东软集团股份有限公司 | Syn攻击防御方法和装置、存储介质 |
| CN109495504A (zh) * | 2018-12-21 | 2019-03-19 | 东软集团股份有限公司 | 一种防火墙设备及其报文处理方法以及介质 |
| CN109525601A (zh) * | 2018-12-28 | 2019-03-26 | 杭州迪普科技股份有限公司 | 内网中终端间的横向流量隔离方法和装置 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110545291A (zh) * | 2019-09-29 | 2019-12-06 | 东软集团股份有限公司 | 一种攻击报文的防御方法、多核转发***及相关产品 |
| CN110545291B (zh) * | 2019-09-29 | 2022-02-11 | 东软集团股份有限公司 | 一种攻击报文的防御方法、多核转发***及相关产品 |
| CN111049758A (zh) * | 2019-11-22 | 2020-04-21 | 东软集团股份有限公司 | 一种实现报文QoS处理的方法、***及设备 |
| CN111049758B (zh) * | 2019-11-22 | 2022-12-09 | 东软集团股份有限公司 | 一种实现报文QoS处理的方法、***及设备 |
| CN111654474A (zh) * | 2020-05-19 | 2020-09-11 | 杭州迪普科技股份有限公司 | 一种安全检测的方法和装置 |
| CN111654474B (zh) * | 2020-05-19 | 2022-11-01 | 杭州迪普科技股份有限公司 | 一种安全检测的方法和装置 |
| CN111935108A (zh) * | 2020-07-24 | 2020-11-13 | 杭州安恒信息技术股份有限公司 | 云数据安全访问控制方法、装置、电子装置及存储介质 |
| CN112671653A (zh) * | 2020-12-02 | 2021-04-16 | 国家计算机网络与信息安全管理中心 | 一种基于多核异构平台的cam表的操作方法 |
| CN114095426A (zh) * | 2021-09-28 | 2022-02-25 | 浪潮软件科技有限公司 | 一种vpp平台的报文处理方法及装置 |
| CN114095426B (zh) * | 2021-09-28 | 2023-04-04 | 浪潮软件科技有限公司 | 一种vpp平台的报文处理方法及装置 |
| CN114513343A (zh) * | 2022-01-26 | 2022-05-17 | 广州晨扬通信技术有限公司 | 信令防火墙分级拦截方法、装置、***、设备及存储介质 |
| CN114513343B (zh) * | 2022-01-26 | 2022-10-04 | 广州晨扬通信技术有限公司 | 信令防火墙分级拦截方法、装置、计算机设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110224947A (zh) | 一种多核转发***中的报文处理方法、装置及设备 | |
| EP3422663B1 (en) | Intent-based network security policy modification | |
| US9825841B2 (en) | Method of and network server for detecting data patterns in an input data stream | |
| US9356844B2 (en) | Efficient application recognition in network traffic | |
| TW201703485A (zh) | 編排實體與虛擬交換器以執行安全邊界之系統及方法 | |
| CN109194684B (zh) | 一种模拟拒绝服务攻击的方法、装置及计算设备 | |
| US10880220B1 (en) | Credit mechanisms for packet policing | |
| US20190044856A1 (en) | Quantitative Exact Match Distance | |
| CN110324198A (zh) | 丢包处理方法和丢包处理装置 | |
| Teixeira et al. | PacketScope: Monitoring the packet lifecycle inside a switch | |
| CN110226155A (zh) | 在主机上收集和处理上下文属性 | |
| CN113489711B (zh) | DDoS攻击的检测方法、***、电子设备和存储介质 | |
| CN115174269B (zh) | Linux主机网络通信安全防护方法和装置 | |
| Shen et al. | A markov game theoretic data fusion approach for cyber situational awareness | |
| CN111224882A (zh) | 报文处理方法及装置、存储介质 | |
| CN113709052B (zh) | 一种网络报文的处理方法、装置、电子设备和存储介质 | |
| US10021031B1 (en) | Pipelined packet policer | |
| Yang et al. | Performance modeling of linux network system with open vswitch | |
| WO2021197128A1 (zh) | 流量限速方法及装置 | |
| KR101191251B1 (ko) | 3단계 동적 분류를 통한 10기가급 대용량 플로우 생성 및 제어방법 | |
| KR102144594B1 (ko) | 보안 데이터 패킷을 교환하기 위한 타임-록드 네트워크 및 노드 | |
| Wang et al. | Design and analysis of a robust pipelined memory system | |
| Ruia et al. | Flowcache: A cache-based approach for improving SDN scalability | |
| Kavitha et al. | Identifying legitimate user in DDoS attack using Petri net | |
| Ros-Giralt et al. | Algorithms and data structures to accelerate network analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190910 |