本申請(qǐng)涉及通信技術(shù)領(lǐng)域，特別涉及一種基于多CPU的DDOS攻擊識(shí)別的方法和裝置。

背景技術(shù)：

DDOS(Distributed Denial of Service，分布式拒絕服務(wù))攻擊是一個(gè)或多個(gè)攻擊者通過控制大量的計(jì)算機(jī)作為攻擊源，同時(shí)向某個(gè)服務(wù)器發(fā)送大量數(shù)據(jù)，最終導(dǎo)致服務(wù)器癱瘓的攻擊方式。DDOS攻擊會(huì)造成網(wǎng)絡(luò)資源浪費(fèi)、鏈路帶寬堵塞、服務(wù)器資源耗盡而業(yè)務(wù)中斷。

現(xiàn)有技術(shù)通過在接收到報(bào)文后，針對(duì)報(bào)文特征統(tǒng)計(jì)報(bào)文數(shù)量，獲得流量速率，比較流量速率和預(yù)設(shè)的閾值。在流量速率超出預(yù)設(shè)的閾值時(shí)，對(duì)后續(xù)的該類報(bào)文進(jìn)行限速或阻斷等防護(hù)措施來實(shí)現(xiàn)識(shí)別并防護(hù)攻擊的目的。

然而，在SMP(Symmetric Multi-Processing，對(duì)稱多處理系統(tǒng))的架構(gòu)下，如果沒有使用自旋鎖，因?yàn)槎郈PU使用同一個(gè)存儲(chǔ)結(jié)構(gòu)進(jìn)行流量統(tǒng)計(jì)，在并發(fā)進(jìn)行加法操作時(shí)，會(huì)產(chǎn)生錯(cuò)誤計(jì)算，導(dǎo)致統(tǒng)計(jì)的速率比實(shí)際的速率偏?。欢绻褂昧俗孕i，則會(huì)因?yàn)镃PU等待讀寫而產(chǎn)生CPU處理資源的浪費(fèi)。因此，現(xiàn)有技術(shù)在SMP架構(gòu)下無法有效識(shí)別DDOS攻擊。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本申請(qǐng)?zhí)峁┮环N基于多CPU的DDOS攻擊識(shí)別的方法和裝置，用以解決現(xiàn)有技術(shù)在SMP的架構(gòu)下，無法有效識(shí)別DDOS攻擊的問題。

具體地，本申請(qǐng)是通過如下技術(shù)方案實(shí)現(xiàn)的：

一種基于多CPU的DDOS攻擊識(shí)別的方法，應(yīng)用于對(duì)稱多處理結(jié)構(gòu)SMP設(shè)備，包括：

接收到目標(biāo)會(huì)話的報(bào)文后，提取該報(bào)文的指定報(bào)文特征和處理該報(bào)文的目標(biāo)CPU的標(biāo)識(shí)；

基于預(yù)設(shè)的算法對(duì)所述指定報(bào)文特征進(jìn)行計(jì)算得到索引值，并查找預(yù)設(shè)的索引表中與該索引值對(duì)應(yīng)的索引表項(xiàng)，以及更新該索引表項(xiàng)中記錄的報(bào)文數(shù)量；其中，所述索引表項(xiàng)包括與所述SMP設(shè)備的各CPU對(duì)應(yīng)的子表項(xiàng)；該子表項(xiàng)包括對(duì)應(yīng)的CPU的標(biāo)識(shí)和該CPU所處理的所述目標(biāo)會(huì)話的報(bào)文數(shù)量的映射關(guān)系；

基于所述索引表項(xiàng)中各子表項(xiàng)中記錄的報(bào)文數(shù)量統(tǒng)計(jì)在單位時(shí)間內(nèi)各CPU對(duì)應(yīng)于所述目標(biāo)會(huì)話的報(bào)文接收速率，并將各子表項(xiàng)對(duì)應(yīng)的所述報(bào)文接收速率相加，得到所述SMP設(shè)備單位時(shí)間內(nèi)對(duì)應(yīng)于所述目標(biāo)會(huì)話的報(bào)文接收速率；

判斷所述SMP設(shè)備單位時(shí)間內(nèi)對(duì)應(yīng)于所述目標(biāo)會(huì)話的報(bào)文接收速率是否大于預(yù)設(shè)的閾值；如果是，確定所述目標(biāo)會(huì)話的報(bào)文為DDOS攻擊報(bào)文。

在所述基于多CPU的DDOS攻擊識(shí)別的方法中，所述方法還包括：

當(dāng)根據(jù)計(jì)算得到的索引值無法在預(yù)設(shè)的索引表中查找到對(duì)應(yīng)的索引表項(xiàng)時(shí)，新建對(duì)應(yīng)該索引值的索引表項(xiàng)。

在所述基于多CPU的DDOS攻擊識(shí)別的方法中，所述方法還包括：

確定所述目標(biāo)會(huì)話的報(bào)文屬于DDOS攻擊后，為所述索引表項(xiàng)添加預(yù)設(shè)的防護(hù)標(biāo)識(shí)。

在所述基于多CPU的DDOS攻擊識(shí)別的方法中，所述方法還包括：

針對(duì)任一添加了所述防護(hù)標(biāo)識(shí)的索引表項(xiàng)，基于該索引表項(xiàng)中各子表項(xiàng)中記錄的報(bào)文數(shù)量統(tǒng)計(jì)在單位時(shí)間內(nèi)各CPU對(duì)應(yīng)的目標(biāo)報(bào)文的接收速率，并將各子表項(xiàng)對(duì)應(yīng)的目標(biāo)報(bào)文接收速率相加，得到所述SMP設(shè)備單位時(shí)間內(nèi)對(duì)應(yīng)于目標(biāo)會(huì)話的報(bào)文接收速率；

如果在預(yù)設(shè)時(shí)長(zhǎng)內(nèi)，所述SMP設(shè)備對(duì)應(yīng)于目標(biāo)會(huì)話的報(bào)文接收速率始終小于或等于預(yù)設(shè)的閾值，刪除該索引表項(xiàng)中的防護(hù)標(biāo)識(shí)；或者刪除該索引表項(xiàng)。

在所述基于多CPU的DDOS攻擊識(shí)別的方法中，所述方法還包括：

對(duì)與添加了防護(hù)標(biāo)記的索引表項(xiàng)對(duì)應(yīng)的目標(biāo)會(huì)話的報(bào)文進(jìn)行防護(hù)處理；其中，所述防護(hù)處理包括對(duì)所述目標(biāo)會(huì)話的報(bào)文進(jìn)行限速或阻斷。

一種基于多CPU的DDOS攻擊識(shí)別的裝置，應(yīng)用于對(duì)稱多處理結(jié)構(gòu)SMP設(shè)備，包括：

提取單元，用于接收到目標(biāo)會(huì)話的報(bào)文后，提取該報(bào)文的指定報(bào)文特征和處理該報(bào)文的目標(biāo)CPU的標(biāo)識(shí)；

統(tǒng)計(jì)單元，用于基于預(yù)設(shè)的算法對(duì)所述指定報(bào)文特征進(jìn)行計(jì)算得到索引值，并查找預(yù)設(shè)的索引表中與該索引值對(duì)應(yīng)的索引表項(xiàng)，以及更新該索引表項(xiàng)中記錄的報(bào)文數(shù)量；其中，所述索引表項(xiàng)包括與所述SMP設(shè)備的各CPU對(duì)應(yīng)的子表項(xiàng)；該子表項(xiàng)包括對(duì)應(yīng)的CPU的標(biāo)識(shí)和該CPU所處理的所述目標(biāo)會(huì)話的報(bào)文數(shù)量的映射關(guān)系；

計(jì)算單元，用于基于所述索引表項(xiàng)中各子表項(xiàng)中記錄的報(bào)文數(shù)量統(tǒng)計(jì)在單位時(shí)間內(nèi)各CPU對(duì)應(yīng)于所述目標(biāo)會(huì)話的報(bào)文接收速率，并將各子表項(xiàng)對(duì)應(yīng)的所述報(bào)文接收速率相加，得到所述SMP設(shè)備單位時(shí)間內(nèi)對(duì)應(yīng)于所述目標(biāo)會(huì)話的報(bào)文接收速率；

判斷單元，用于判斷所述SMP設(shè)備單位時(shí)間內(nèi)對(duì)應(yīng)于所述目標(biāo)會(huì)話的報(bào)文接收速率是否大于預(yù)設(shè)的閾值；如果是，確定所述目標(biāo)會(huì)話的報(bào)文為DDOS攻擊報(bào)文。

在所述基于多CPU的DDOS攻擊識(shí)別的裝置中，所述裝置還包括：

新建單元，用于當(dāng)根據(jù)計(jì)算得到的索引值無法在預(yù)設(shè)的索引表中查找到對(duì)應(yīng)的索引表項(xiàng)時(shí)，新建對(duì)應(yīng)該索引值的索引表項(xiàng)。

在所述基于多CPU的DDOS攻擊識(shí)別的裝置中，所述裝置還包括：

添加單元，用于確定所述目標(biāo)會(huì)話的報(bào)文屬于DDOS攻擊后，為所述索引表項(xiàng)添加預(yù)設(shè)的防護(hù)標(biāo)識(shí)。

在所述基于多CPU的DDOS攻擊識(shí)別的裝置中，所述裝置還包括：

所述計(jì)算單元，進(jìn)一步用于針對(duì)任一添加了所述防護(hù)標(biāo)識(shí)的索引表項(xiàng)，基于該索引表項(xiàng)中各子表項(xiàng)中記錄的報(bào)文數(shù)量統(tǒng)計(jì)在單位時(shí)間內(nèi)各CPU對(duì)應(yīng)的目標(biāo)報(bào)文的接收速率，并將各子表項(xiàng)對(duì)應(yīng)的目標(biāo)報(bào)文接收速率相加，得到所述SMP設(shè)備單位時(shí)間內(nèi)對(duì)應(yīng)于目標(biāo)會(huì)話的報(bào)文接收速率；

刪除單元，用于如果在預(yù)設(shè)時(shí)長(zhǎng)內(nèi)，所述SMP設(shè)備對(duì)應(yīng)于目標(biāo)會(huì)話的報(bào)文接收速率始終小于或等于預(yù)設(shè)的閾值，刪除該索引表項(xiàng)中的防護(hù)標(biāo)識(shí)；或者刪除該索引表項(xiàng)。

在所述基于多CPU的DDOS攻擊識(shí)別的裝置中，所述裝置還包括：

防護(hù)單元，用于對(duì)與添加了防護(hù)標(biāo)記的索引表項(xiàng)對(duì)應(yīng)的目標(biāo)會(huì)話的報(bào)文進(jìn)行防護(hù)處理；其中，所述防護(hù)處理包括對(duì)所述目標(biāo)會(huì)話的報(bào)文進(jìn)行限速或阻斷。

在本申請(qǐng)實(shí)施例中，接收到目標(biāo)會(huì)話的報(bào)文后，獲取所述目標(biāo)會(huì)話的報(bào)文的指定報(bào)文特征和處理所述目標(biāo)會(huì)話的報(bào)文的目標(biāo)CPU的標(biāo)識(shí)，然后根據(jù)所述指定報(bào)文特征和所述目標(biāo)CPU的標(biāo)識(shí)，更新所述目標(biāo)CPU接收所述目標(biāo)會(huì)話的報(bào)文數(shù)量，在達(dá)到預(yù)設(shè)的時(shí)間周期后，分別統(tǒng)計(jì)在單位時(shí)間內(nèi)各CPU對(duì)應(yīng)于所述目標(biāo)會(huì)話的報(bào)文接收速率，并把各CPU對(duì)應(yīng)于所述目標(biāo)會(huì)話的報(bào)文接收速率相加，得到所述SMP設(shè)備單位時(shí)間內(nèi)對(duì)應(yīng)于所述目標(biāo)會(huì)話的報(bào)文接收速率，判斷所述SMP設(shè)備單位時(shí)間內(nèi)對(duì)應(yīng)于所述目標(biāo)會(huì)話的報(bào)文接收速率是否大于預(yù)設(shè)的閾值，如果是，確定所述目標(biāo)會(huì)話的報(bào)文屬于DDOS攻擊。

由于本申請(qǐng)實(shí)施例的技術(shù)方案，針對(duì)SMP設(shè)備的每個(gè)CPU分別統(tǒng)計(jì)對(duì)應(yīng)于目標(biāo)會(huì)話的報(bào)文接收速率，然后匯總各個(gè)CPU對(duì)應(yīng)于目標(biāo)會(huì)話的報(bào)文接收速率，求和得到所述SMP設(shè)備對(duì)應(yīng)于目標(biāo)會(huì)話的報(bào)文接收速率，所以在并發(fā)地進(jìn)行統(tǒng)計(jì)時(shí)不會(huì)導(dǎo)致速率偏小，也沒有因?yàn)槭褂昧俗孕i而造成CPU處理資源的浪費(fèi)?？梢杂行У卦赟MP架構(gòu)下識(shí)別DDOS攻擊。

附圖說明

圖1是本申請(qǐng)示出的一種基于多CPU的DDOS攻擊識(shí)別的方法的流程圖；

圖2是本申請(qǐng)示出的一種基于多CPU的DDOS攻擊識(shí)別的裝置的邏輯框圖；

圖3是本申請(qǐng)示出的一種基于多CPU的DDOS攻擊識(shí)別的裝置的硬件結(jié)構(gòu)圖。

具體實(shí)施方式

為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案，并使本發(fā)明實(shí)施例的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂，下面結(jié)合附圖對(duì)現(xiàn)有技術(shù)方案和本發(fā)明實(shí)施例中的技術(shù)方案作進(jìn)一步詳細(xì)的說明。

在現(xiàn)有技術(shù)中，針對(duì)DDOS攻擊的防御，可以在接收到目標(biāo)會(huì)話的報(bào)文后，提取上述目標(biāo)會(huì)話的報(bào)文的指定報(bào)文特征，然后根據(jù)上述指定報(bào)文特征統(tǒng)計(jì)接收上述目標(biāo)會(huì)話的報(bào)文的數(shù)量，并計(jì)算單位時(shí)間內(nèi)接收上述目標(biāo)會(huì)話的報(bào)文的速率。然后，比較接收上述目標(biāo)會(huì)話的報(bào)文的速率與預(yù)設(shè)的閾值，當(dāng)接收上述目標(biāo)會(huì)話的報(bào)文的速率大于預(yù)設(shè)的閾值時(shí)，確定上述目標(biāo)會(huì)話的報(bào)文是DDOS攻擊報(bào)文，此時(shí)，可以對(duì)后續(xù)的上述目標(biāo)會(huì)話的報(bào)文進(jìn)行限速或阻斷等防護(hù)措施來防護(hù)DDOS攻擊。

現(xiàn)有技術(shù)適用于使用單一存儲(chǔ)結(jié)構(gòu)進(jìn)行流量統(tǒng)計(jì)的網(wǎng)絡(luò)環(huán)境，如果將現(xiàn)有技術(shù)直接移植到SMP架構(gòu)下，多CPU使用一個(gè)存儲(chǔ)結(jié)構(gòu)進(jìn)行流量統(tǒng)計(jì)，如果使用自旋鎖，則當(dāng)任一CPU在統(tǒng)計(jì)接收到的目標(biāo)會(huì)話的報(bào)文的數(shù)量時(shí)，其它CPU處于閑置狀態(tài)，造成資源浪費(fèi)。其中，自旋鎖指的是針對(duì)多CPU架構(gòu)引入的一種鎖機(jī)制，在任何時(shí)刻，最多只能有一個(gè)CPU為自旋鎖的保持者，該CPU可以訪問存儲(chǔ)結(jié)構(gòu)，而其它CPU無法訪問存儲(chǔ)結(jié)構(gòu)。

而如果不使用自旋鎖，多CPU使用同一個(gè)存儲(chǔ)結(jié)構(gòu)進(jìn)行流量統(tǒng)計(jì)時(shí)，會(huì)產(chǎn)生錯(cuò)誤計(jì)算，導(dǎo)致統(tǒng)計(jì)的速率比實(shí)際的速率偏小。比如：在存儲(chǔ)結(jié)構(gòu)中記錄的報(bào)文數(shù)量是100時(shí)，又接收到3個(gè)目標(biāo)會(huì)話的報(bào)文，分別由3個(gè)CPU處理，每個(gè)CPU分別讀取存儲(chǔ)結(jié)構(gòu)中的報(bào)文數(shù)量加1，在并行處理時(shí)，得到統(tǒng)計(jì)數(shù)量為101，小于實(shí)際的103，因此計(jì)算得到的單位時(shí)間的接收目標(biāo)會(huì)話的報(bào)文的速率小于實(shí)際的速率。

可見，現(xiàn)有技術(shù)無法直接移植到SMP架構(gòu)下有效地識(shí)別DDOS攻擊。為此，本申請(qǐng)實(shí)施例引入多個(gè)存儲(chǔ)結(jié)構(gòu)，對(duì)應(yīng)于SMP架構(gòu)下的每一個(gè)CPU，針對(duì)每個(gè)CPU分別統(tǒng)計(jì)接收目標(biāo)會(huì)話的報(bào)文的速率，然后匯總、相加得到SMP設(shè)備對(duì)應(yīng)于目標(biāo)會(huì)話的報(bào)文接收速率，通過比較計(jì)算得到的報(bào)文接收速率與預(yù)設(shè)閾值的大小，可以有效地識(shí)別DDOS攻擊。

參見圖1，為本申請(qǐng)示出的一種基于多CPU的DDOS攻擊識(shí)別的方法的流程圖，該方法的執(zhí)行主體是SMP設(shè)備；所述方法包括以下步驟：

步驟101：接收到目標(biāo)會(huì)話的報(bào)文后，提取該報(bào)文的指定報(bào)文特征和處理該報(bào)文的目標(biāo)CPU的標(biāo)識(shí)。

步驟102：基于預(yù)設(shè)的算法對(duì)所述指定報(bào)文特征進(jìn)行計(jì)算得到索引值，并查找預(yù)設(shè)的索引表中與該索引值對(duì)應(yīng)的索引表項(xiàng)，以及更新該索引表項(xiàng)中記錄的報(bào)文數(shù)量；其中，所述索引表項(xiàng)包括與所述SMP設(shè)備的各CPU對(duì)應(yīng)的子表項(xiàng)；該子表項(xiàng)包括對(duì)應(yīng)的CPU的標(biāo)識(shí)和該CPU所處理的所述目標(biāo)會(huì)話的報(bào)文數(shù)量的映射關(guān)系。

步驟103：基于所述索引表項(xiàng)中各子表項(xiàng)中記錄的報(bào)文數(shù)量統(tǒng)計(jì)在單位時(shí)間內(nèi)各CPU對(duì)應(yīng)于所述目標(biāo)會(huì)話的報(bào)文接收速率，并將各子表項(xiàng)對(duì)應(yīng)的所述報(bào)文接收速率相加，得到所述SMP設(shè)備單位時(shí)間內(nèi)對(duì)應(yīng)于所述目標(biāo)會(huì)話的報(bào)文接收速率。

步驟104：判斷所述SMP設(shè)備單位時(shí)間內(nèi)對(duì)應(yīng)于所述目標(biāo)會(huì)話的報(bào)文接收速率是否大于預(yù)設(shè)的閾值；如果是，確定所述目標(biāo)會(huì)話的報(bào)文為DDOS攻擊報(bào)文。

上述SMP設(shè)備，指的是匯集了多CPU的計(jì)算機(jī)設(shè)備，其中，各CPU間共享內(nèi)存子系統(tǒng)以及總線結(jié)構(gòu)。系統(tǒng)將任務(wù)隊(duì)列對(duì)稱地分布在多個(gè)CPU上，所有的CPU都可以平等地訪問內(nèi)存、輸入輸出接口等，相比單個(gè)CPU的計(jì)算機(jī)設(shè)備而言，極大地提高了整個(gè)系統(tǒng)的數(shù)據(jù)處理能力。

在本申請(qǐng)實(shí)施例中，SMP設(shè)備針對(duì)DDOS攻擊的防御，可以在接收到目標(biāo)會(huì)話的報(bào)文后，提取上述目標(biāo)會(huì)話的報(bào)文的指定報(bào)文特征和處理上述目標(biāo)會(huì)話的報(bào)文的目標(biāo)CPU的標(biāo)識(shí)。其中，上述指定報(bào)文特征可以包括報(bào)文長(zhǎng)度、TTL(Time To Live，生存時(shí)間值)、源端口、目的端口等信息，也可以包括數(shù)據(jù)段的一些信息。

根據(jù)上述指定報(bào)文特征確定的目標(biāo)會(huì)話的報(bào)文可以是屬于同一會(huì)話的報(bào)文，也包括屬于一類會(huì)話的報(bào)文，取決于上述指定報(bào)文特征的具體內(nèi)容，而上述指定報(bào)文特征的選擇可以由人工設(shè)置。

在本申請(qǐng)實(shí)施例中，SMP設(shè)備在提取到上述目標(biāo)會(huì)話的報(bào)文的指定報(bào)文特征后，可以基于預(yù)設(shè)的算法對(duì)上述指定報(bào)文特征進(jìn)行計(jì)算，得到索引值。其中，上述預(yù)設(shè)的算法包括hash算法、RFC(Recursive Flow Classification，遞歸流分類)算法等。

SMP設(shè)備在計(jì)算得到上述指定報(bào)文特征的索引值后，可以根據(jù)該索引值查找預(yù)設(shè)的索引表，查到與該索引值對(duì)應(yīng)的索引表項(xiàng)。上述索引表包括SMP設(shè)備接收到的報(bào)文的指定報(bào)文特征經(jīng)計(jì)算得到的索引值與該指定報(bào)文特征對(duì)應(yīng)的報(bào)文的接收數(shù)量的映射關(guān)系。具體而言，上述索引表的索引表項(xiàng)包括與SMP設(shè)備的各CPU對(duì)應(yīng)的子表項(xiàng)，其中，每個(gè)子表項(xiàng)包括對(duì)應(yīng)的CPU的標(biāo)識(shí)和該CPU所處理的上述目標(biāo)會(huì)話的報(bào)文的數(shù)量的映射關(guān)系。所以，指定報(bào)文特征計(jì)算得到的索引值對(duì)應(yīng)的報(bào)文的接收數(shù)量，實(shí)際上是由子表項(xiàng)中記錄的報(bào)文數(shù)量累加得到。

另外，如果SMP設(shè)備根據(jù)該索引值，無法在預(yù)設(shè)的索引表中查找到與該索引值對(duì)應(yīng)的索引表項(xiàng)，說明上述目標(biāo)會(huì)話的報(bào)文是上述目標(biāo)會(huì)話的首報(bào)文，在這種情況下，可以新建一個(gè)與該索引值對(duì)應(yīng)的索引表項(xiàng)。

SMP設(shè)備在查到與該索引值對(duì)應(yīng)的索引表項(xiàng)后，根據(jù)處理上述目標(biāo)會(huì)話的報(bào)文的目標(biāo)CPU的標(biāo)識(shí)，查找與該目標(biāo)CPU的標(biāo)識(shí)對(duì)應(yīng)的子表項(xiàng)，然后在查找到對(duì)應(yīng)該目標(biāo)CPU的標(biāo)識(shí)的子表項(xiàng)后，在子表項(xiàng)中記錄的原有的報(bào)文數(shù)量上加一。

另外，如果SMP設(shè)備根據(jù)處理上述目標(biāo)會(huì)話的報(bào)文的目標(biāo)CPU的標(biāo)識(shí)，在與該索引值對(duì)應(yīng)的索引表項(xiàng)中無法查到與該目標(biāo)CPU的標(biāo)識(shí)對(duì)應(yīng)的子表項(xiàng)，所述該目標(biāo)CPU是首次處理上述目標(biāo)會(huì)話的報(bào)文，在這種情況下，可以新建一個(gè)與該目標(biāo)CPU的標(biāo)識(shí)對(duì)應(yīng)的子表項(xiàng)，然后，在該子表項(xiàng)的報(bào)文數(shù)量中記錄為一。

在本申請(qǐng)實(shí)施例中，當(dāng)達(dá)到預(yù)設(shè)的時(shí)間周期后，SMP設(shè)備可以統(tǒng)計(jì)在當(dāng)前時(shí)間周期內(nèi)上述目標(biāo)會(huì)話的報(bào)文對(duì)應(yīng)的索引表項(xiàng)中各子表項(xiàng)中記錄的報(bào)文數(shù)量，在示出的一種實(shí)施方式中，針對(duì)每一個(gè)子表項(xiàng)統(tǒng)計(jì)報(bào)文數(shù)量，可以將當(dāng)前時(shí)間周期結(jié)束時(shí)記錄的報(bào)文數(shù)量減去上一個(gè)時(shí)間周期結(jié)束時(shí)記錄的報(bào)文數(shù)量，得到每一個(gè)子表項(xiàng)對(duì)應(yīng)的CPU在當(dāng)前時(shí)間周期內(nèi)接收上述目標(biāo)會(huì)話的報(bào)文的數(shù)量。其中，上述時(shí)間周期可以根據(jù)應(yīng)用需要進(jìn)行設(shè)置，例如，可以設(shè)置為3秒。

在統(tǒng)計(jì)得到當(dāng)前時(shí)間周期內(nèi)接收到的上述目標(biāo)會(huì)話的報(bào)文的數(shù)量后，可以接著計(jì)算每一個(gè)子表項(xiàng)對(duì)應(yīng)的CPU在當(dāng)前時(shí)間周期內(nèi)對(duì)應(yīng)于上述目標(biāo)會(huì)話的報(bào)文接收速率，然后將各子表項(xiàng)對(duì)應(yīng)的報(bào)文接收速率相加，得到SMP設(shè)備對(duì)應(yīng)于上述目標(biāo)會(huì)話的報(bào)文接收速率。

在本申請(qǐng)實(shí)施例中，SMP設(shè)備在計(jì)算得到對(duì)應(yīng)于上述目標(biāo)會(huì)話的報(bào)文接收速率后，可以將該報(bào)文接收速率與預(yù)設(shè)的閾值比較大小，其中，預(yù)設(shè)的閾值可以根據(jù)實(shí)際的應(yīng)用環(huán)境人工配置。如果該報(bào)文接收速率大于預(yù)設(shè)的閾值，則可以確定上述目標(biāo)會(huì)話的報(bào)文為DDOS攻擊報(bào)文。

當(dāng)SMP設(shè)備確定上述目標(biāo)會(huì)話的報(bào)文為DDOS攻擊報(bào)文時(shí)，可以為上述目標(biāo)會(huì)話的報(bào)文對(duì)應(yīng)的上述索引表項(xiàng)添加預(yù)設(shè)的防護(hù)標(biāo)識(shí)。

通過該防護(hù)標(biāo)識(shí)，SMP設(shè)備可以針對(duì)上述索引表項(xiàng)對(duì)應(yīng)的上述目標(biāo)會(huì)話的報(bào)文進(jìn)行防護(hù)處理。其中，防護(hù)處理包括對(duì)上述目標(biāo)會(huì)話的報(bào)文進(jìn)行限速或者阻斷。

在示出的一種實(shí)施方式中，SMP設(shè)備在接收到報(bào)文后，可以提取指定報(bào)文特征，并根據(jù)該指定報(bào)文特征查找預(yù)設(shè)的索引表中與該指定報(bào)文特征對(duì)應(yīng)的索引表項(xiàng)，如果該索引表項(xiàng)被添加防護(hù)標(biāo)記，則可以丟棄該報(bào)文。

在本申請(qǐng)實(shí)施例中，添加了上述防護(hù)標(biāo)識(shí)的索引表項(xiàng)對(duì)應(yīng)的目標(biāo)會(huì)話的報(bào)文可能并非始終為DDOS攻擊報(bào)文，在這種情況下，如果SMP設(shè)備始終以處理DDOS攻擊報(bào)文的方式處理添加了上述防護(hù)標(biāo)識(shí)的索引表項(xiàng)對(duì)應(yīng)的目標(biāo)會(huì)話的報(bào)文，顯然是錯(cuò)誤的處理方式。因此，本申請(qǐng)實(shí)施例對(duì)添加了防護(hù)標(biāo)記的索引表項(xiàng)引入老化機(jī)制，用以解決上述問題。

針對(duì)任一添加了上述防護(hù)標(biāo)記的索引表項(xiàng)，SMP設(shè)備可以繼續(xù)統(tǒng)計(jì)接收該索引表項(xiàng)對(duì)應(yīng)的目標(biāo)會(huì)話的報(bào)文的數(shù)量，在達(dá)到周期時(shí)間后，統(tǒng)計(jì)該索引表項(xiàng)中各子表項(xiàng)中記錄的報(bào)文數(shù)量，確定在這個(gè)時(shí)間周期內(nèi)各CPU接收該索引表項(xiàng)對(duì)應(yīng)的目標(biāo)會(huì)話的報(bào)文的數(shù)量，并計(jì)算單位時(shí)間內(nèi)各CPU對(duì)應(yīng)于該目標(biāo)會(huì)話的報(bào)文接收速率，并進(jìn)行累加，得到SMP設(shè)備對(duì)應(yīng)于該目標(biāo)會(huì)話的報(bào)文接收速率。

在得到報(bào)文接收速率后，仍舊將該報(bào)文接收速率與預(yù)設(shè)的閾值比較大小。在預(yù)設(shè)時(shí)長(zhǎng)內(nèi)，SMP設(shè)備可以統(tǒng)計(jì)比較多次，如果該報(bào)文接收速率始終小于或等于預(yù)設(shè)的閾值，則說明該索引表項(xiàng)對(duì)應(yīng)的目標(biāo)會(huì)話的報(bào)文可能已經(jīng)不是DDOS攻擊報(bào)文了，在這種情況下，可以對(duì)該索引表項(xiàng)進(jìn)行相應(yīng)的處理。其中，上述預(yù)設(shè)時(shí)長(zhǎng)即為老化機(jī)制的表項(xiàng)老化時(shí)長(zhǎng)，可以根據(jù)實(shí)際應(yīng)用情況進(jìn)行配置，例如，預(yù)設(shè)時(shí)長(zhǎng)可以配置為15秒。

在示出的一種實(shí)施方式中，SMP設(shè)備可以刪除該索引表項(xiàng)，用于清理該索引表項(xiàng)占據(jù)的內(nèi)存。在示出的另一種實(shí)施方式中，SMP設(shè)備可以刪除該索引表項(xiàng)中的防護(hù)標(biāo)識(shí)，表明該索引表項(xiàng)對(duì)應(yīng)的目標(biāo)會(huì)話的報(bào)文不再是DDOS攻擊報(bào)文。上述措施可以有效規(guī)避SMP對(duì)報(bào)文的錯(cuò)誤處理。

綜上所述，在本申請(qǐng)實(shí)施例中，SMP設(shè)備針對(duì)DDOS攻擊，在接收到目標(biāo)會(huì)話的報(bào)文后，提取該目標(biāo)會(huì)話的報(bào)文的指定報(bào)文特征以及處理該目標(biāo)會(huì)話的報(bào)文的CPU的標(biāo)識(shí)，然后在與該指定報(bào)文特征計(jì)算得到的索引值對(duì)應(yīng)的索引表項(xiàng)中，與該CPU的標(biāo)識(shí)對(duì)應(yīng)的子表項(xiàng)中更新報(bào)文數(shù)量。由于對(duì)接收到的目標(biāo)會(huì)話的報(bào)文的對(duì)應(yīng)每一個(gè)CPU都有一個(gè)獨(dú)立的存儲(chǔ)結(jié)構(gòu)進(jìn)行流量統(tǒng)計(jì)，因此，在統(tǒng)計(jì)過程中不會(huì)出錯(cuò)。在預(yù)設(shè)的時(shí)間周期達(dá)到后，SMP設(shè)備可以計(jì)算各CPU對(duì)應(yīng)于該目標(biāo)會(huì)話的報(bào)文接收速率，然后累加得到SMP設(shè)備對(duì)應(yīng)于該目標(biāo)會(huì)話的報(bào)文接收速率，并比較報(bào)文接收速率與預(yù)設(shè)的閾值的大小，從而確定該目標(biāo)會(huì)話的報(bào)文是否為DDOS攻擊報(bào)文。可見，本申請(qǐng)實(shí)施例可以有效地在SMP架構(gòu)下識(shí)別DDOS攻擊。

與本申請(qǐng)基于多CPU的DDOS攻擊識(shí)別的方法的實(shí)施例相對(duì)應(yīng)，本申請(qǐng)還提供了用于執(zhí)行上述方法的實(shí)施例的裝置的實(shí)施例。

參見圖2，為本申請(qǐng)示出的一種基于多CPU的DDOS攻擊識(shí)別的裝置的邏輯框圖：

如圖2所示，該基于多CPU的DDOS攻擊識(shí)別的裝置20包括：

提取單元210，用于接收到目標(biāo)會(huì)話的報(bào)文后，提取該報(bào)文的指定報(bào)文特征和處理該報(bào)文的目標(biāo)CPU的標(biāo)識(shí)。

統(tǒng)計(jì)單元220，用于基于預(yù)設(shè)的算法對(duì)所述指定報(bào)文特征進(jìn)行計(jì)算得到索引值，并查找預(yù)設(shè)的索引表中與該索引值對(duì)應(yīng)的索引表項(xiàng)，以及更新該索引表項(xiàng)中記錄的報(bào)文數(shù)量；其中，所述索引表項(xiàng)包括與所述SMP設(shè)備的各CPU對(duì)應(yīng)的子表項(xiàng)；該子表項(xiàng)包括對(duì)應(yīng)的CPU的標(biāo)識(shí)和該CPU所處理的所述目標(biāo)會(huì)話的報(bào)文數(shù)量的映射關(guān)系。

計(jì)算單元230，用于基于所述索引表項(xiàng)中各子表項(xiàng)中記錄的報(bào)文數(shù)量統(tǒng)計(jì)在單位時(shí)間內(nèi)各CPU對(duì)應(yīng)于所述目標(biāo)會(huì)話的報(bào)文接收速率，并將各子表項(xiàng)對(duì)應(yīng)的所述報(bào)文接收速率相加，得到所述SMP設(shè)備單位時(shí)間內(nèi)對(duì)應(yīng)于所述目標(biāo)會(huì)話的報(bào)文接收速率。

判斷單元240，用于判斷所述SMP設(shè)備單位時(shí)間內(nèi)對(duì)應(yīng)于所述目標(biāo)會(huì)話的報(bào)文接收速率是否大于預(yù)設(shè)的閾值；如果是，確定所述目標(biāo)會(huì)話的報(bào)文為DDOS攻擊報(bào)文。

在本例中，所述裝置還包括：

新建單元250，用于當(dāng)根據(jù)計(jì)算得到的索引值無法在預(yù)設(shè)的索引表中查找到對(duì)應(yīng)的索引表項(xiàng)時(shí)，新建對(duì)應(yīng)該索引值的索引表項(xiàng)。

在本例中，所述裝置還包括：

添加單元260，用于確定所述目標(biāo)會(huì)話的報(bào)文屬于DDOS攻擊后，為所述索引表項(xiàng)添加預(yù)設(shè)的防護(hù)標(biāo)識(shí)。

在本例中，所述裝置還包括：

所述計(jì)算單元230，進(jìn)一步用于針對(duì)任一添加了所述防護(hù)標(biāo)識(shí)的索引表項(xiàng)，基于該索引表項(xiàng)中各子表項(xiàng)中記錄的報(bào)文數(shù)量統(tǒng)計(jì)在單位時(shí)間內(nèi)各CPU對(duì)應(yīng)的目標(biāo)報(bào)文的接收速率，并將各子表項(xiàng)對(duì)應(yīng)的目標(biāo)報(bào)文接收速率相加，得到所述SMP設(shè)備單位時(shí)間內(nèi)對(duì)應(yīng)于目標(biāo)會(huì)話的報(bào)文接收速率。

刪除單元270，用于如果在預(yù)設(shè)時(shí)長(zhǎng)內(nèi)，所述SMP設(shè)備對(duì)應(yīng)于目標(biāo)會(huì)話的報(bào)文接收速率始終小于或等于預(yù)設(shè)的閾值，刪除該索引表項(xiàng)中的防護(hù)標(biāo)識(shí)；或者刪除該索引表項(xiàng)。

在本例中，所述裝置還包括：

防護(hù)單元280，用于對(duì)與添加了防護(hù)標(biāo)記的索引表項(xiàng)對(duì)應(yīng)的目標(biāo)會(huì)話的報(bào)文進(jìn)行防護(hù)處理；其中，所述防護(hù)處理包括對(duì)所述目標(biāo)會(huì)話的報(bào)文進(jìn)行限速或阻斷。

本申請(qǐng)基于多CPU的DDOS攻擊識(shí)別的裝置的實(shí)施例可以應(yīng)用在SMP設(shè)備上。裝置實(shí)施例可以通過軟件實(shí)現(xiàn)，也可以通過硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)。以軟件實(shí)現(xiàn)為例，作為一個(gè)邏輯意義上的裝置，是通過其所在SMP設(shè)備的處理器將非易失性存儲(chǔ)器中對(duì)應(yīng)的計(jì)算機(jī)程序指令讀取到內(nèi)存中運(yùn)行形成的。從硬件層面而言，如圖3所示，為本申請(qǐng)基于多CPU的DDOS攻擊識(shí)別的裝置所在SMP設(shè)備的一種硬件結(jié)構(gòu)圖，除了圖3所示的處理器、內(nèi)存、網(wǎng)絡(luò)接口、以及非易失性存儲(chǔ)器之外，實(shí)施例中裝置所在的SMP設(shè)備通常根據(jù)該基于多CPU的DDOS攻擊識(shí)別的裝置的實(shí)際功能，還可以包括其他硬件，對(duì)此不再贅述。

上述裝置中各個(gè)單元的功能和作用的實(shí)現(xiàn)過程具體詳見上述方法中對(duì)應(yīng)步驟的實(shí)現(xiàn)過程，在此不再贅述。

對(duì)于裝置實(shí)施例而言，由于其基本對(duì)應(yīng)于方法實(shí)施例，所以相關(guān)之處參見方法實(shí)施例的部分說明即可。以上所描述的裝置實(shí)施例僅僅是示意性的，其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上。可以根據(jù)實(shí)際的需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本申請(qǐng)方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下，即可以理解并實(shí)施。

以上所述僅為本申請(qǐng)的較佳實(shí)施例而已，并不用以限制本申請(qǐng)，凡在本申請(qǐng)的精神和原則之內(nèi)，所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本申請(qǐng)保護(hù)的范圍之內(nèi)。