1.一種基于多CPU的DDOS攻擊識別的方法,應用于對稱多處理結(jié)構(gòu)SMP設(shè)備,其特征在于,包括:
接收到目標會話的報文后,提取該報文的指定報文特征和處理該報文的目標CPU的標識;
基于預設(shè)的算法對所述指定報文特征進行計算得到索引值,并查找預設(shè)的索引表中與該索引值對應的索引表項,以及更新該索引表項中記錄的報文數(shù)量;其中,所述索引表項包括與所述SMP設(shè)備的各CPU對應的子表項;該子表項包括對應的CPU的標識和該CPU所處理的所述目標會話的報文數(shù)量的映射關(guān)系;
基于所述索引表項中各子表項中記錄的報文數(shù)量統(tǒng)計在單位時間內(nèi)各CPU對應于所述目標會話的報文接收速率,并將各子表項對應的所述報文接收速率相加,得到所述SMP設(shè)備單位時間內(nèi)對應于所述目標會話的報文接收速率;
判斷所述SMP設(shè)備單位時間內(nèi)對應于所述目標會話的報文接收速率是否大于預設(shè)的閾值;如果是,確定所述目標會話的報文為DDOS攻擊報文。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法還包括:
當根據(jù)計算得到的索引值無法在預設(shè)的索引表中查找到對應的索引表項時,新建對應該索引值的索引表項。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法還包括:
確定所述目標會話的報文屬于DDOS攻擊后,為所述索引表項添加預設(shè)的防護標識。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述方法還包括:
針對任一添加了所述防護標識的索引表項,基于該索引表項中各子表項中記錄的報文數(shù)量統(tǒng)計在單位時間內(nèi)各CPU對應的目標報文的接收速率,并將各子表項對應的目標報文接收速率相加,得到所述SMP設(shè)備單位時間內(nèi)對應于目標會話的報文接收速率;
如果在預設(shè)時長內(nèi),所述SMP設(shè)備對應于目標會話的報文接收速率始終小于或等于預設(shè)的閾值,刪除該索引表項中的防護標識;或者刪除該索引表項。
5.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述方法還包括:
對與添加了防護標記的索引表項對應的目標會話的報文進行防護處理;其中,所述防護處理包括對所述目標會話的報文進行限速或阻斷。
6.一種基于多CPU的DDOS攻擊識別的裝置,應用于對稱多處理結(jié)構(gòu)SMP設(shè)備,其特征在于,包括:
提取單元,用于接收到目標會話的報文后,提取該報文的指定報文特征和處理該報文的目標CPU的標識;
統(tǒng)計單元,用于基于預設(shè)的算法對所述指定報文特征進行計算得到索引值,并查找預設(shè)的索引表中與該索引值對應的索引表項,以及更新該索引表項中記錄的報文數(shù)量;其中,所述索引表項包括與所述SMP設(shè)備的各CPU對應的子表項;該子表項包括對應的CPU的標識和該CPU所處理的所述目標會話的報文數(shù)量的映射關(guān)系;
計算單元,用于基于所述索引表項中各子表項中記錄的報文數(shù)量統(tǒng)計在單位時間內(nèi)各CPU對應于所述目標會話的報文接收速率,并將各子表項對應的所述報文接收速率相加,得到所述SMP設(shè)備單位時間內(nèi)對應于所述目標會話的報文接收速率;
判斷單元,用于判斷所述SMP設(shè)備單位時間內(nèi)對應于所述目標會話的報文接收速率是否大于預設(shè)的閾值;如果是,確定所述目標會話的報文為DDOS攻擊報文。
7.根據(jù)權(quán)利要求6所述的裝置,其特征在于,所述裝置還包括:
新建單元,用于當根據(jù)計算得到的索引值無法在預設(shè)的索引表中查找到對應的索引表項時,新建對應該索引值的索引表項。
8.根據(jù)權(quán)利要求6所述的裝置,其特征在于,所述裝置還包括:
添加單元,用于確定所述目標會話的報文屬于DDOS攻擊后,為所述索引表項添加預設(shè)的防護標識。
9.根據(jù)權(quán)利要求8所述的裝置,其特征在于,所述裝置還包括:
所述計算單元,進一步用于針對任一添加了所述防護標識的索引表項,基于該索引表項中各子表項中記錄的報文數(shù)量統(tǒng)計在單位時間內(nèi)各CPU對應的目標報文的接收速率,并將各子表項對應的目標報文接收速率相加,得到所述SMP設(shè)備單位時間內(nèi)對應于目標會話的報文接收速率;
刪除單元,用于如果在預設(shè)時長內(nèi),所述SMP設(shè)備對應于目標會話的報文接收速率始終小于或等于預設(shè)的閾值,刪除該索引表項中的防護標識;或者刪除該索引表項。
10.根據(jù)權(quán)利要求8所述的裝置,其特征在于,所述裝置還包括:
防護單元,用于對與添加了防護標記的索引表項對應的目標會話的報文進行防護處理;其中,所述防護處理包括對所述目標會話的報文進行限速或阻斷。