本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)通信領(lǐng)域，具體地涉及用于多終端連接的網(wǎng)關(guān)的數(shù)據(jù)分流方法、數(shù)據(jù)分流裝置以及網(wǎng)關(guān)系統(tǒng)。

背景技術(shù)：

云計(jì)算是一種動(dòng)態(tài)易擴(kuò)展的通過互聯(lián)網(wǎng)提供虛擬化資源的計(jì)算方式，云計(jì)算分為基礎(chǔ)設(shè)施即服務(wù)(infrastructureasaservice，iaas)、平臺(tái)即服務(wù)(platformasaservice，paas)和軟件即服務(wù)(softwareasaservice，saas)三個(gè)層次的服務(wù)資源池。在云計(jì)算環(huán)境中，用戶的處理器、內(nèi)存、硬盤等資源形成池化的資源池，對(duì)用戶統(tǒng)一提供服務(wù)。

因此，多個(gè)租戶使用統(tǒng)一的資源池提供的底層硬件資源，例如處理器資源。由于所有租戶共享所有物理處理器，如果單一租戶占用過多處理器資源，則處理器無法繼續(xù)處理其他租戶的流量數(shù)據(jù)，勢(shì)必會(huì)干擾其他租戶的正常操作。比如，當(dāng)某一租戶受到ddos攻擊時(shí)，可能導(dǎo)致高達(dá)100％的處理器負(fù)荷，不僅使得其他租戶的流量數(shù)據(jù)得不到處理器調(diào)度處理，甚至管理程序也無法調(diào)度處理器資源進(jìn)行修護(hù)工作。

為了避免上述情況，保證云計(jì)算服務(wù)的可靠性以及租戶數(shù)據(jù)的安全性，需要對(duì)不同租戶的流量數(shù)據(jù)進(jìn)行隔離并分流。

目前，在云計(jì)算的環(huán)境中,用于多個(gè)租戶的網(wǎng)關(guān)較多地通過隧道封裝的方式提供租戶隔離，例如gre(genericroutingencapsulation，通用路由封裝協(xié)議)隧道。隧道是一種封裝技術(shù)，它利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議，即利用一種網(wǎng)絡(luò)傳輸協(xié)議，將其他協(xié)議產(chǎn)生的數(shù)據(jù)報(bào)文封裝在它自己的報(bào)文中，然后在網(wǎng)絡(luò)中傳輸。實(shí)際上隧道可以看作一個(gè)虛擬的點(diǎn)到點(diǎn)連接。gre隧道僅支持點(diǎn)到點(diǎn)的業(yè)務(wù)接入。

然而，以這種方式，用于多個(gè)租戶的網(wǎng)關(guān)仍然要以單一的同一個(gè)操作系統(tǒng)協(xié)議棧對(duì)多個(gè)租戶的流量數(shù)據(jù)進(jìn)行解封裝，即，多個(gè)租戶仍然共享單一的協(xié)議棧，這將會(huì)導(dǎo)致性能瓶頸，更容易出現(xiàn)性能異常。比如為滿足不同租戶的防火墻需求，導(dǎo)致防火墻規(guī)則過長(zhǎng)，類似地，qos規(guī)則也過長(zhǎng)，性能出現(xiàn)線性下降。

技術(shù)實(shí)現(xiàn)要素：

為解決上述技術(shù)問題，即，為了克服多個(gè)租戶通過同一協(xié)議棧連接到網(wǎng)關(guān)導(dǎo)致的性能瓶頸和安全隱患，提供了本發(fā)明。

根據(jù)本發(fā)明的第一方面，提供一種網(wǎng)關(guān)的數(shù)據(jù)分流方法，包括下述步驟：識(shí)別步驟：識(shí)別向網(wǎng)關(guān)發(fā)送數(shù)據(jù)的多個(gè)終端；分配步驟：將多個(gè)命名空間一一對(duì)應(yīng)地分配至多個(gè)終端中的每一個(gè)終端，并且在多個(gè)命名空間中的每一個(gè)命名空間內(nèi)建立協(xié)議棧，多個(gè)終端中的每一個(gè)終端通過與其對(duì)應(yīng)的命名空間內(nèi)的協(xié)議棧向網(wǎng)關(guān)發(fā)送數(shù)據(jù)；判定步驟：實(shí)時(shí)監(jiān)測(cè)多個(gè)協(xié)議棧中的每一個(gè)協(xié)議棧占用的處理器資源量，基于預(yù)定規(guī)則，在多個(gè)協(xié)議棧中判定出異常協(xié)議棧；轉(zhuǎn)交步驟：將異常協(xié)議棧的數(shù)據(jù)轉(zhuǎn)交與當(dāng)前處理器不同的另一處理器進(jìn)行處理。

在本發(fā)明的第一方面的數(shù)據(jù)分流方法中，優(yōu)選地，預(yù)定規(guī)則為，當(dāng)處理器整體的占用率達(dá)到第一閾值時(shí)，將多個(gè)協(xié)議棧中占用最多處理器資源量的協(xié)議棧判定為異常協(xié)議棧。

在本發(fā)明的第一方面的數(shù)據(jù)分流方法中，優(yōu)選地，預(yù)定規(guī)則為，將多個(gè)協(xié)議棧中的占用的處理器資源大于等于第二閾值的協(xié)議棧判定為異常協(xié)議棧。

根據(jù)本發(fā)明的第二方面，提供一種網(wǎng)關(guān)的數(shù)據(jù)分流裝置，包括識(shí)別模塊，用于識(shí)別向網(wǎng)關(guān)發(fā)送數(shù)據(jù)的多個(gè)終端；分配模塊，用于將多個(gè)命名空間一一對(duì)應(yīng)地分配至多個(gè)終端中的每一個(gè)終端，并且在多個(gè)命名空間中的每一個(gè)命名空間內(nèi)建立協(xié)議棧，多個(gè)終端中的每一個(gè)終端通過與其對(duì)應(yīng)的命名空間內(nèi)的協(xié)議棧向網(wǎng)關(guān)發(fā)送數(shù)據(jù)；判定模塊，用于實(shí)時(shí)監(jiān)測(cè)多個(gè)協(xié)議棧中的每一個(gè)協(xié)議棧占用的處理器資源量，基于預(yù)定規(guī)則，在多個(gè)協(xié)議棧中判定出異常協(xié)議棧；轉(zhuǎn)交模塊，用于將異常協(xié)議棧的數(shù)據(jù)轉(zhuǎn)交與當(dāng)前處理器不同的另一處理器進(jìn)行處理。

在本發(fā)明的第二方面的數(shù)據(jù)分流裝置中，優(yōu)選地，預(yù)定規(guī)則為，當(dāng)處理器整體的占用率達(dá)到第一閾值時(shí)，將多個(gè)協(xié)議棧中占用最多處理器資源量的協(xié)議棧判定為異常協(xié)議棧。

在本發(fā)明的第二方面的數(shù)據(jù)分流裝置中，優(yōu)選地，預(yù)定規(guī)則為，將多個(gè)協(xié)議棧中的占用的處理器資源大于等于第二閾值的協(xié)議棧判定為異常協(xié)議棧。

根據(jù)本發(fā)明的第三方面，提供一種存儲(chǔ)介質(zhì)，該存儲(chǔ)介質(zhì)存儲(chǔ)有網(wǎng)關(guān)的數(shù)據(jù)分流程序，數(shù)據(jù)分流程序在執(zhí)行時(shí)會(huì)使得處理器執(zhí)行數(shù)據(jù)分流方法，網(wǎng)關(guān)的數(shù)據(jù)分流程序包括：識(shí)別指令，運(yùn)行識(shí)別指令以識(shí)別向網(wǎng)關(guān)發(fā)送數(shù)據(jù)的多個(gè)終端；分配指令，運(yùn)行分配指令以將多個(gè)命名空間一一對(duì)應(yīng)地分配至多個(gè)終端中的每一個(gè)終端，并且在多個(gè)命名空間中的每一個(gè)命名空間內(nèi)建立協(xié)議棧，多個(gè)終端中的每一個(gè)終端通過與其對(duì)應(yīng)的命名空間內(nèi)的協(xié)議棧向網(wǎng)關(guān)發(fā)送數(shù)據(jù)；判定指令，運(yùn)行判定指令以實(shí)時(shí)監(jiān)測(cè)多個(gè)協(xié)議棧中的每一個(gè)協(xié)議棧占用的處理器資源量，基于預(yù)定規(guī)則，在多個(gè)協(xié)議棧中判定出異常協(xié)議棧；轉(zhuǎn)交指令，運(yùn)行轉(zhuǎn)交指令以將異常協(xié)議棧的數(shù)據(jù)轉(zhuǎn)交與當(dāng)前處理器不同的另一處理器進(jìn)行處理。

在本發(fā)明的第三方面的存儲(chǔ)介質(zhì)中，優(yōu)選地，預(yù)定規(guī)則為，當(dāng)處理器整體的占用率達(dá)到第一閾值時(shí)，將多個(gè)協(xié)議棧中占用最多處理器資源量的協(xié)議棧判定為異常協(xié)議棧。

在本發(fā)明的第三方面的存儲(chǔ)介質(zhì)中，優(yōu)選地，預(yù)定規(guī)則為，將多個(gè)協(xié)議棧中的占用的處理器資源大于等于第二閾值的協(xié)議棧判定為異常協(xié)議棧。

根據(jù)本發(fā)明的第四方面，提供一種網(wǎng)關(guān)系統(tǒng)，包括：多個(gè)處理器；存儲(chǔ)介質(zhì)，其中存儲(chǔ)有數(shù)據(jù)分流程序，該數(shù)據(jù)分流程序具有：識(shí)別指令，運(yùn)行識(shí)別指令以識(shí)別向網(wǎng)關(guān)發(fā)送數(shù)據(jù)的多個(gè)終端；分配指令，運(yùn)行分配指令以將多個(gè)命名空間一一對(duì)應(yīng)地分配至多個(gè)終端中的每一個(gè)終端，并且在多個(gè)命名空間中的每一個(gè)命名空間內(nèi)建立協(xié)議棧，多個(gè)終端中的每一個(gè)終端通過與其對(duì)應(yīng)的命名空間內(nèi)的協(xié)議棧向網(wǎng)關(guān)發(fā)送數(shù)據(jù)；判定指令，運(yùn)行判定指令以實(shí)時(shí)監(jiān)測(cè)多個(gè)協(xié)議棧中的每一個(gè)協(xié)議棧占用的處理器資源量，基于預(yù)定規(guī)則，在多個(gè)協(xié)議棧中判定出異常協(xié)議棧；轉(zhuǎn)交指令，運(yùn)行轉(zhuǎn)交指令以將異常協(xié)議棧的數(shù)據(jù)轉(zhuǎn)交與當(dāng)前處理器不同的另一處理器進(jìn)行處理。

在本發(fā)明的第四方面的網(wǎng)關(guān)系統(tǒng)中，優(yōu)選地，預(yù)定規(guī)則為，當(dāng)處理器整體的占用率達(dá)到第一閾值時(shí)，將多個(gè)協(xié)議棧中占用最多處理器資源量的協(xié)議棧判定為異常協(xié)議棧。

在本發(fā)明的第四方面的網(wǎng)關(guān)系統(tǒng)中，優(yōu)選地，預(yù)定規(guī)則為，將多個(gè)協(xié)議棧中的占用的處理器資源大于等于第二閾值的協(xié)議棧判定為異常協(xié)議棧。

通過本發(fā)明的上述網(wǎng)關(guān)的數(shù)據(jù)分流方法、數(shù)據(jù)分流裝置以及存儲(chǔ)介質(zhì)，使用本發(fā)明的網(wǎng)關(guān)系統(tǒng)能夠協(xié)議棧將各個(gè)終端租戶的網(wǎng)絡(luò)流量進(jìn)行隔離，并且將異常租戶的協(xié)議棧導(dǎo)向空閑處理器處理，能夠使得將攻擊流量與正常網(wǎng)絡(luò)數(shù)據(jù)流量合理分流，避免影響其他終端租戶的正常網(wǎng)絡(luò)訪問。

附圖說明

圖1示出根據(jù)本發(fā)明的第四方面的網(wǎng)關(guān)系統(tǒng)與多個(gè)終端的布置示意圖；

圖2示出根據(jù)本發(fā)明的第一方面的數(shù)據(jù)分流方法的流程圖。

具體實(shí)施方式

下面將結(jié)合實(shí)施例說明本發(fā)明的數(shù)據(jù)分流方法在多租戶(多終端的)云計(jì)算網(wǎng)關(guān)中的具體應(yīng)用。在該實(shí)施例中，三個(gè)租戶a、b、c均需通過網(wǎng)關(guān)(gateway)20連接到遠(yuǎn)端云計(jì)算服務(wù)器。網(wǎng)關(guān)又稱網(wǎng)間連接器、協(xié)議轉(zhuǎn)換器，是一種充當(dāng)轉(zhuǎn)換重任的計(jì)算機(jī)系統(tǒng)或設(shè)備。網(wǎng)關(guān)能夠在使用不同的通信協(xié)議、數(shù)據(jù)格式或語言，甚至體系結(jié)構(gòu)完全不同的兩種系統(tǒng)之間充當(dāng)翻譯器的功能。換言之，網(wǎng)關(guān)需要對(duì)接收到的信息數(shù)據(jù)包進(jìn)行拆包，獲得有用數(shù)據(jù)后對(duì)其進(jìn)行存儲(chǔ)等操作，然后再進(jìn)行打包，通過目標(biāo)系統(tǒng)允許的通信協(xié)議與目標(biāo)系統(tǒng)通信，以適應(yīng)目的系統(tǒng)的需求。同時(shí)，網(wǎng)關(guān)也可以提供過濾和安全功能。目前，網(wǎng)關(guān)可以是單獨(dú)的硬件設(shè)備，也可以指代以軟件方式實(shí)現(xiàn)網(wǎng)關(guān)功能的其他硬件設(shè)備本身，比如路由器、交換機(jī)等。

具體地，通過配置協(xié)議棧(protocolstack)，三個(gè)租戶a、b、c能夠首先與網(wǎng)關(guān)20進(jìn)行互聯(lián)，其中協(xié)議棧又稱協(xié)議堆疊，是指網(wǎng)絡(luò)中各層協(xié)議的總和。協(xié)議定義與其它系統(tǒng)通信的方式，描述信號(hào)時(shí)序和通信數(shù)據(jù)的結(jié)構(gòu)。在協(xié)議棧的較低層定義了廠商們可以遵循規(guī)則以使他們的設(shè)備可以與其它廠商的設(shè)備進(jìn)行互聯(lián)。較高層定義如何管理不同類型的通信會(huì)話，用戶應(yīng)用程序如何才能相互操作。

根據(jù)現(xiàn)有技術(shù)，本領(lǐng)域技術(shù)人員能夠知曉，協(xié)議棧是協(xié)議的實(shí)現(xiàn)，可以理解為代碼、函數(shù)庫、供上層應(yīng)用調(diào)用，其是計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議套件的一個(gè)具體的軟件實(shí)現(xiàn)。

在云計(jì)算的環(huán)境下，為滿足大量租戶的連接需求，充當(dāng)網(wǎng)關(guān)的硬件設(shè)備通常具有多核或者多個(gè)處理器(cpu)以對(duì)接收到的數(shù)據(jù)包進(jìn)行拆包打包工作，在本實(shí)施例中，參見圖1，網(wǎng)關(guān)20具有多個(gè)例如八個(gè)處理器cpu_1～cpu_8，分為活躍處理器組和閑置處理器組，其中可以采用cpu_1～cpu_7作為整體組成該活躍處理器組，默認(rèn)由活躍處理器組執(zhí)行運(yùn)算操作以對(duì)數(shù)據(jù)包進(jìn)行拆包打包，而預(yù)留處理器cpu_8作為閑置處理器組，其不執(zhí)行任何操作。根據(jù)具體實(shí)施需要，活躍處理器組和閑置處理器組的比例可以任意設(shè)定。并且本領(lǐng)域技術(shù)人員可以想象，這種對(duì)多個(gè)處理器進(jìn)行分組不僅可以是對(duì)多個(gè)物理處理器進(jìn)行的分組，也可以是對(duì)同一個(gè)處理器上劃分的多個(gè)虛擬處理器進(jìn)行分組。

當(dāng)其中一個(gè)租戶受到網(wǎng)絡(luò)攻擊時(shí)，將會(huì)在一定時(shí)間內(nèi)產(chǎn)生大量的網(wǎng)絡(luò)數(shù)據(jù)流量。為處理這些大量網(wǎng)絡(luò)數(shù)據(jù)流量，需要相應(yīng)地占用網(wǎng)關(guān)20大量甚至全部的處理器硬件資源，因此使得正常租戶的網(wǎng)絡(luò)訪問請(qǐng)求不能被及時(shí)處理，從而導(dǎo)致正常租戶網(wǎng)絡(luò)異常，可能造成正常租戶數(shù)據(jù)丟失，直接導(dǎo)致巨大經(jīng)濟(jì)損失。

為此，結(jié)合圖1所示的本發(fā)明的網(wǎng)關(guān)系統(tǒng)，說明本發(fā)明在第一方面提供了一種網(wǎng)關(guān)的數(shù)據(jù)分流方法，分為識(shí)別步驟、分配步驟、判定步驟和轉(zhuǎn)交步驟，該數(shù)據(jù)分流方法的流程圖如圖2所示。

在識(shí)別步驟st1中，首先網(wǎng)關(guān)20能夠識(shí)別到有租戶a、b、c向網(wǎng)關(guān)發(fā)送數(shù)據(jù)。

然后，執(zhí)行分配步驟st2，將多個(gè)命名空間ns_a、ns_b、ns_c一一對(duì)應(yīng)地分配至租戶a、b、c。

此處命名空間(namespaces)是linux系統(tǒng)內(nèi)核的一種機(jī)制，其提供了一種系統(tǒng)資源的隔離方案。linux系統(tǒng)內(nèi)能夠建立任意多個(gè)命名空間，每個(gè)命名空間內(nèi)，pid(進(jìn)程id)、ipc(進(jìn)程間通信)、網(wǎng)絡(luò)等系統(tǒng)資源不再是全局性的，而是屬于單個(gè)命名空間。換言之，每個(gè)命名空間內(nèi)的資源對(duì)其他命名空間都是不可見/不可用的。

在此基礎(chǔ)上，在各個(gè)命名空間內(nèi)分別建立協(xié)議棧，即在命名空間ns_a內(nèi)建立協(xié)議棧ps_a，在命名空間ns_b內(nèi)建立協(xié)議棧ps_b，在命名空間ns_c內(nèi)建立協(xié)議棧ps_c。由于每個(gè)命名空間與租戶一一對(duì)應(yīng)，且每個(gè)命名空間內(nèi)有且僅有一個(gè)協(xié)議棧，因此可知，這些協(xié)議棧也是與各租戶一一對(duì)應(yīng)的。

通過這種方法，三個(gè)租戶a、b、c分別通過與其唯一對(duì)應(yīng)的命名空間內(nèi)的協(xié)議棧ps_a、ps_b、ps_c向網(wǎng)關(guān)發(fā)送數(shù)據(jù)。

在上述分配步驟st2中，首先通過命名空間將各個(gè)租戶的協(xié)議棧進(jìn)行隔離,每個(gè)租戶有自己的協(xié)議棧，可以為各個(gè)協(xié)議棧分別設(shè)定防火墻規(guī)則、qos規(guī)則，避免了規(guī)則過長(zhǎng)導(dǎo)致的性能下降。

然后，執(zhí)行判定步驟st3，在判定步驟st3中，實(shí)時(shí)地檢測(cè)協(xié)議棧ps_a、ps_b、ps_c分別占用的處理器資源量，然后根據(jù)預(yù)定規(guī)則，在協(xié)議棧ps_a、ps_b、ps_c中判定出異常協(xié)議棧。

具體地，處理器資源量可以通過當(dāng)前的處理器使用率進(jìn)行核算，或者基于一段時(shí)間內(nèi)該協(xié)議棧進(jìn)行調(diào)用處理器進(jìn)行的計(jì)算量來核算。具體地，假設(shè)在在租戶b收到網(wǎng)絡(luò)攻擊的情況下，與其對(duì)應(yīng)的協(xié)議棧ps_b將頻繁、大量占用網(wǎng)關(guān)20的處理器資源，此時(shí)能夠觀察到網(wǎng)關(guān)20的處理器整體占用率為例如99％，其中協(xié)議棧ps_b進(jìn)程的處理器占用率例如為95％。同時(shí)，在處理器整體占用率迅速上升過程中，協(xié)議棧ps_b調(diào)用處理器進(jìn)行的計(jì)算量也急劇上升。

此時(shí)，若預(yù)定規(guī)則為，將多個(gè)協(xié)議棧中占用最多處理器資源量的協(xié)議棧判定為異常協(xié)議棧，則能夠判定出異常協(xié)議棧為協(xié)議棧ps_b。

另外，也可以對(duì)單個(gè)協(xié)議棧占用的處理器資源量設(shè)定閾值，比如25％，并且將上述預(yù)定規(guī)則設(shè)定為，將多個(gè)協(xié)議棧中的占用的處理器資源大于該閾值的協(xié)議棧判定為異常協(xié)議棧，也能夠判定出異常協(xié)議棧為協(xié)議棧ps_b。

換言之，上述判定步驟st3是用于實(shí)時(shí)計(jì)算各租戶的協(xié)議棧的處理器使用率，以待網(wǎng)關(guān)20發(fā)生異常的時(shí)候，識(shí)別出導(dǎo)致該異常的特定租戶。

在判定出異常協(xié)議棧后，進(jìn)行轉(zhuǎn)交步驟st4。在轉(zhuǎn)交步驟st4中，將異常協(xié)議棧的數(shù)據(jù)轉(zhuǎn)交與當(dāng)前處理器不同的另一處理器進(jìn)行處理。具體地，此時(shí)已在上述判定步驟st3中將協(xié)議棧ps_b判定為異常協(xié)議棧，而協(xié)議棧ps_b調(diào)用與協(xié)議棧ps_a、協(xié)議棧ps_c公用的活躍處理器組(即，cpu_1～cpu_7)處理其數(shù)據(jù)。因此，通過設(shè)置軟中斷，改變協(xié)議棧進(jìn)程和處理器之間的親和性聯(lián)系，將協(xié)議棧ps_b導(dǎo)向預(yù)留作為閑置處理器組的處理器cpu_8，實(shí)現(xiàn)本地隔離，保障活躍處理器組能夠正常地進(jìn)行運(yùn)算處理，以滿足其余正常租戶的網(wǎng)絡(luò)服務(wù)需求。

根據(jù)本發(fā)明的第二方面的數(shù)據(jù)分流裝置的模塊化示意圖，其中，該數(shù)據(jù)分流裝置10包括識(shí)別模塊11，用于識(shí)別向網(wǎng)關(guān)發(fā)送數(shù)據(jù)的多個(gè)終端；分配模塊12，用于將多個(gè)命名空間一一對(duì)應(yīng)地分配至多個(gè)終端中的每一個(gè)終端，并且在多個(gè)命名空間中的每一個(gè)命名空間內(nèi)建立協(xié)議棧，多個(gè)終端中的每一個(gè)終端通過與其對(duì)應(yīng)的命名空間內(nèi)的協(xié)議棧向網(wǎng)關(guān)發(fā)送數(shù)據(jù)；判定模塊13，用于實(shí)時(shí)監(jiān)測(cè)多個(gè)協(xié)議棧中的每一個(gè)協(xié)議棧占用的處理器資源量，基于預(yù)定規(guī)則，在多個(gè)協(xié)議棧中判定出異常協(xié)議棧；轉(zhuǎn)交模塊14，用于將異常協(xié)議棧的數(shù)據(jù)轉(zhuǎn)交與當(dāng)前處理器不同的另一處理器進(jìn)行處理。

在本發(fā)明的第二方面的數(shù)據(jù)分流裝置中，優(yōu)選地，預(yù)定規(guī)則為，當(dāng)處理器整體的占用率達(dá)到第一閾值時(shí)，將多個(gè)協(xié)議棧中占用最多處理器資源量的協(xié)議棧判定為異常協(xié)議棧。

在本發(fā)明的第二方面的數(shù)據(jù)分流裝置中，優(yōu)選地，預(yù)定規(guī)則為，將多個(gè)協(xié)議棧中的占用的處理器資源大于等于第二閾值的協(xié)議棧判定為異常協(xié)議棧。

根據(jù)本發(fā)明的第三方面，提供一種存儲(chǔ)介質(zhì)，該存儲(chǔ)介質(zhì)存儲(chǔ)有網(wǎng)關(guān)的數(shù)據(jù)分流程序，數(shù)據(jù)分流程序在執(zhí)行時(shí)會(huì)使得處理器執(zhí)行數(shù)據(jù)分流方法，網(wǎng)關(guān)的數(shù)據(jù)分流程序包括：識(shí)別指令，運(yùn)行識(shí)別指令以識(shí)別向網(wǎng)關(guān)發(fā)送數(shù)據(jù)的多個(gè)終端；分配指令，運(yùn)行分配指令以將多個(gè)命名空間一一對(duì)應(yīng)地分配至多個(gè)終端中的每一個(gè)終端，并且在多個(gè)命名空間中的每一個(gè)命名空間內(nèi)建立協(xié)議棧，多個(gè)終端中的每一個(gè)終端通過與其對(duì)應(yīng)的命名空間內(nèi)的協(xié)議棧向網(wǎng)關(guān)發(fā)送數(shù)據(jù)；判定指令，運(yùn)行判定指令以實(shí)時(shí)監(jiān)測(cè)多個(gè)協(xié)議棧中的每一個(gè)協(xié)議棧占用的處理器資源量，基于預(yù)定規(guī)則，在多個(gè)協(xié)議棧中判定出異常協(xié)議棧；轉(zhuǎn)交指令，運(yùn)行轉(zhuǎn)交指令以將異常協(xié)議棧的數(shù)據(jù)轉(zhuǎn)交與當(dāng)前處理器不同的另一處理器進(jìn)行處理。

根據(jù)本發(fā)明的第四方面，提供一種網(wǎng)關(guān)系統(tǒng)，如圖1所示，包括：多個(gè)處理器cpu_1至cpu_8；存儲(chǔ)介質(zhì)21，其中以下述方式配置所述多個(gè)處理器cpu_1至cpu_8：識(shí)別向網(wǎng)關(guān)系統(tǒng)20發(fā)送數(shù)據(jù)的終端，即租戶a、b、c；將命名空間ns_a、ns_b、ns_c一一對(duì)應(yīng)地分配至租戶a、b、c，并且在命名空間ns_a、ns_b、ns_c內(nèi)建立協(xié)議棧ps_a、ps_b和ps_c，租戶a、b、c分別通過與其對(duì)應(yīng)的命名空間內(nèi)的協(xié)議棧向網(wǎng)關(guān)系統(tǒng)20發(fā)送數(shù)據(jù)；實(shí)時(shí)監(jiān)測(cè)協(xié)議棧ps_a、ps_b和ps_c占用的處理器資源量，基于預(yù)定規(guī)則，在協(xié)議棧ps_a、ps_b和ps_c中判定出異常協(xié)議棧，例如當(dāng)租戶b受到網(wǎng)絡(luò)攻擊時(shí)，則協(xié)議棧ps_b為異常協(xié)議棧；將異常協(xié)議棧(在本例中，為協(xié)議棧ps_b)的數(shù)據(jù)轉(zhuǎn)交與當(dāng)前處理器不同的另一處理器進(jìn)行處理。

在本發(fā)明的第四方面的網(wǎng)關(guān)系統(tǒng)中，優(yōu)選地，預(yù)定規(guī)則為，當(dāng)處理器整體的占用率達(dá)到第一閾值時(shí)，將多個(gè)協(xié)議棧中占用最多處理器資源量的協(xié)議棧判定為異常協(xié)議棧，則能夠判定出異常協(xié)議棧為協(xié)議棧ps_b。

在本發(fā)明的第四方面的網(wǎng)關(guān)系統(tǒng)中，優(yōu)選地，也可以對(duì)單個(gè)協(xié)議棧占用的處理器資源量設(shè)定閾值即，預(yù)定規(guī)則為，將多個(gè)協(xié)議棧中的占用的處理器資源大于等于第二閾值的協(xié)議棧判定為異常協(xié)議棧，則也能夠?qū)⑹艿焦舻淖鈶鬮專用的協(xié)議棧ps_b判定為異常協(xié)議棧。

通過本發(fā)明的上述網(wǎng)關(guān)的數(shù)據(jù)分流方法、數(shù)據(jù)分流裝置以及網(wǎng)關(guān)系統(tǒng)，使用本發(fā)明的網(wǎng)關(guān)系統(tǒng)能夠協(xié)議棧將各個(gè)終端租戶的網(wǎng)絡(luò)流量進(jìn)行隔離，并且將異常租戶的協(xié)議棧導(dǎo)向空閑處理器處理，能夠使得將攻擊流量與正常網(wǎng)絡(luò)數(shù)據(jù)流量合理分流，避免影響其他終端租戶的正常網(wǎng)絡(luò)訪問。

盡管在此已經(jīng)詳細(xì)描述了本發(fā)明的各種優(yōu)選實(shí)施例，但是本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解，在不脫離所要求保護(hù)的本發(fā)明的情況下，可以對(duì)其進(jìn)行變化。