一种多核CPU交换机的防攻击方法、设备及存储介质技术

技术编号：43673921 阅读：14 留言：0更新日期：2024-12-18 20:58

本发明专利技术公开了一种多核CPU交换机的防攻击方法、设备及存储介质，具体涉及CPU交换机防攻击技术领域，旨在解决现有技术中多核CPU交换机在CPU利用率不高的情况下也存在协议报文处理不过来的问题，其包括获取CPU利用率和处理协议报文任务的消息队列数目；根据预设的CPU利用率高阈值和消息队列情况，对CPU利用率和处理协议报文任务的消息队列数目进行判断；若CPU利用率超出预设的CPU利用率阈值或处理协议报文任务的消息队列产生拥塞，则进行对协议报文进行限速处理；所述限速处理包括：先进行端口级别限速，后进行全局限速。本发明专利技术以实现对多核CPU交换机的报文进行限制和约束，保证交换机正常业务的处理。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及一种多核cpu交换机的防攻击方法、设备及存储介质，属于cpu交换机防攻击。

技术介绍

1、交换机通过交换芯片将协议报文上送给cpu，但是在网络中可能会存在大量的恶意攻击报文导致cpu业务繁忙，使得处理的正常业务中断。

2、在使用单核cpu的交换机的情况下，cpu利用率高时，通过cpu防攻击策略，设备可以对上送cpu的报文进行限制和约束，使单位时间内上送cpu报文的数量限制在一定的范围之内，从而保证cpu对正常业务的处理。

3、现使用的交换机为多核cpu交换机，在计算cpu利用率时常使用平均利用率，cpu的平均利用率不高的情况下，处理协议报文的几个线程也存在处理不过来的情况，导致部分报文丢弃，从而引起协议震荡，因此，不能单纯通过cpu利用率判断的方法来启动防攻击策略。

技术实现思路

1、本专利技术的目的在于克服现有技术中的不足，提供一种多核cpu交换机的防攻击方法、设备及存储介质，以实现对多核cpu交换机的报文进行限制和约束，保证交换机正常业务的处理。

2、为达到上述目的，本专利技术是采用下述技术方案实现的：

3、第一方面，本专利技术提供一种多核cpu交换机的防攻击方法，包括：

4、获取cpu利用率和处理协议报文任务的消息队列数目；

5、根据预设的cpu利用率高阈值和消息队列情况判断是否进行限速处理，若cpu利用率超出预设的cpu利用率高阈值或处理协议报文任务的消息队列产生拥塞，则对协议报文进行限速处理；

6、所述限速处理包括：先进行端口级别限速，后进行全局限速。

7、进一步的，所述cpu利用率通过多核cpu交换机启动cpu利用率监控线程得到。

8、进一步的，对于linux系统，所述cpu利用率通过文件/proc/stat中的cpu时间分配信息计算得到。

9、进一步的，所述cpu利用率高阈值为90%。

10、进一步的，所述先进行端口级别限速，后进行全局限速，包括：

11、先进行端口级别限速，即对端口上的大于100pps的协议报文进行限速处理；

12、当端口级别限速未能使得cpu利用率降至60%或处理协议报文任务的消息队列仍拥塞时，再进行全局限速，即将协议报文的限速值改为默认限速的预设限速比例值，并不断根据预设限速比例进行限速，直至cpu利用率降至60%或处理协议报文任务的消息队列不拥塞。

13、进一步的，所述限速比例为0.9。

14、进一步的，还包括恢复限速，具体包括：

15、根据预设cpu利用率低阈值和处理协议报文任务的消息队列情况判断是否进行恢复限速处理；

16、若cpu利用率低于预设cpu利用率低阈值且处理协议报文任务的消息队列不拥塞，则将被限速处理的协议报文的限速值改为默认限速的预设恢复限速比例值，并不断根据预设恢复限速比例进行恢复限速，直至cpu利用率升至60%。

17、进一步的，所述cpu利用率低阈值为50%，所述恢复限速比例为1.1。

18、第二方面，本专利技术还提供一种多核cpu交换机的防攻击设备，包括：

19、存储器，用于存储指令；

20、处理器，用于执行所述指令，使得所述设备执行实现如上述任一项所述的多核cpu交换机的防攻击方法的操作。

21、第三方面，本专利技术还提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理执行时，实现如上述任一项所述的多核cpu交换机的防攻击方法。

22、与现有技术相比，本专利技术所达到的有益效果：

23、本专利技术增加了处理协议报文任务的消息队列情况作为判断依据，良好地解决了仅凭cpu平均利用率还会出现处理协议报文的线程处理不过来的问题，并且将防攻击策略分为两个层级，第一个是端口级别的限速，第二个是全局限速，以实现对多核cpu交换机的报文进行限制和约束，保证交换机正常业务的处理。

本文档来自技高网...

【技术保护点】

1.一种多核CPU交换机的防攻击方法，其特征在于，包括：

2.根据权利要求1所述的多核CPU交换机的防攻击方法，其特征在于，所述CPU利用率通过多核CPU交换机启动CPU利用率监控线程得到。

3.根据权利要求1所述的多核CPU交换机的防攻击方法，其特征在于，对于Linux系统，所述CPU利用率通过文件/proc/stat中的CPU时间分配信息计算得到。

4.根据权利要求1所述的多核CPU交换机的防攻击方法，其特征在于，所述CPU利用率高阈值为90%。

5.根据权利要求1所述的多核CPU交换机的防攻击方法，其特征在于，所述先进行端口级别限速，后进行全局限速，包括：

6.根据权利要求5所述的多核CPU交换机的防攻击方法，其特征在于，所述限速比例为0.9。

7.根据权利要求1所述的多核CPU交换机的防攻击方法，其特征在于，还包括恢复限速处理，具体包括：

8.根据权利要求7所述的多核CPU交换机的防攻击方法，其特征在于，所述CPU利用率低阈值为50%，所述恢复限速比例为1.1。

9.一种多核C

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理执行时，实现如权利要求1~8任一项所述的多核CPU交换机的防攻击方法。

...

【技术特征摘要】

1.一种多核cpu交换机的防攻击方法，其特征在于，包括：

2.根据权利要求1所述的多核cpu交换机的防攻击方法，其特征在于，所述cpu利用率通过多核cpu交换机启动cpu利用率监控线程得到。

3.根据权利要求1所述的多核cpu交换机的防攻击方法，其特征在于，对于linux系统，所述cpu利用率通过文件/proc/stat中的cpu时间分配信息计算得到。

4.根据权利要求1所述的多核cpu交换机的防攻击方法，其特征在于，所述cpu利用率高阈值为90%。

5.根据权利要求1所述的多核cpu交换机的防攻击方法，其特征在于，所述先进行端口级别限速，后进行全...

【专利技术属性】
技术研发人员：刘莹，胡超，金凤林，袁恩，张文宇，
申请(专利权)人：中国人民解放军陆军工程大学，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人