会话过载处理方法及装置制造方法及图纸

本申请提供一种会话过载处理的方法及装置，应用于网络安全设备，该方法包括：接收业务报文；判断是否存在与所述业务报文匹配的会话表项；当不存在与所述业务报文匹配的会话表项时，判断会话状态类型；当所述会话状态类型为会话过载保护状态时，转发所述业务报文。本申请可以保证会话过载状态下的正常通信，不会出现断网、死机等故障。

【技术实现步骤摘要】

本申请涉及网络通信
，尤其涉及一种会话过载处理方法及装置。
技术介绍
网络安全设备主要负责网络流量的安全审计、流量控制以及限速等功能，并为新的网络流量创建会话表项，以使后续网络流量在匹配会话表项时转发。网络安全设备可维护的会话数量有限，通常只能满足正常工作状态下的使用。当网络安全设备受到攻击时，会话数量迅速增加，大量消耗系统资源，无法进行正常的业务报文处理，甚至出现断网、死机等故障，影响网络通信。
技术实现思路
有鉴于此，本申请提供了一种会话过载处理的方法，应用于网络安全设备，该方法包括：接收业务报文；判断是否存在与所述业务报文匹配的会话表项；当不存在与所述业务报文匹配的会话表项时，判断会话状态类型；当所述会话状态类型为会话过载保护状态时，转发所述业务报文。本申请还提供了一种会话过载处理的装置，应用于网络安全设备，该装置包括：报文接收单元，用于接收业务报文；表项判断单元，用于判断是否存在与所述业务报文匹配的会话表项；类型判断单元，用于当不存在与所述业务报文匹配的会话表项时，判断会话状态类型；报文转发单元，用于当所述会话状态类型为会话过载保护状态时，转发所述业务报文。本申请中，网络安全设备在接收到业务报文后，判断是否存在该业务报文的会话表项，当不存在会话表项时，判断当前会话状态类型，若会话状态类型为会话过载保护状态，则无需创建会话，直接转发业务报文，从而保证了即使在会话过载状态下，仍然可以正常通信，不会出现断网、死机等故障。附图说明图1是本申请一种实施例中会话过载处理方法的处理流程图；图2是本申请一种实施例中会话过载处理装置的基础硬件示意图；图3是本申请一种实施例中会话过载处理装置的结构示意图。具体实施方式为使本申请的目的、技术方案及优点更加清楚明白，以下参照附图对本申请所述方案作进一步地详细说明。当前网络安全形势严峻，各种攻击手段层出不穷，大部分攻击会造成网络流量异常，消耗大量网络资源。其中，一部分攻击是基于频繁创建连接，大量消耗被攻击设备的系统资源，从而造成被攻击设备工作异常，甚至死机。网络安全设备主要负责网络流量的安全审计、流量控制以及限速等功能，并为新的网络流量创建会话表项，以使后续网络流量在匹配会话表项时转发。但是，网络安全设备可维护的会话数量有限，通常只能满足正常工作状态下的使用。当网络安全设备受到攻击时，由于攻击而导致会话数量迅速增加，大量消耗系统资源，无法进行正常的业务报文处理，甚至出现断网、死机等故障，影响网络通信。针对上述问题，本申请实施例提出一种会话过载处理的方法，网络安全设备在接收到业务报文后，判断是否存在该业务报文的会话表项，当不存在会话表项时，判断当前会话状态类型，若会话状态类型为会话过载保护状态，则无需创建会话，直接转发业务报文。参见图1，为本申请会话过载处理方法的一个实施例流程图，该实施例对会话过载处理过程进行描述。步骤110，接收业务报文。步骤120，判断是否存在与所述业务报文匹配的会话表项。网络安全设备在接收到业务报文后，查询本地维护的会话表项，判断是否存在与该业务报文匹配的流表项，例如，可以根据该业务报文的源IP(InternetProtocol，网际协议)地址、目的IP地址、源端口号、目的端口号等报文特征与本地流表项进行匹配。步骤130，当不存在与所述业务报文匹配的会话表项时，判断会话状态类型。步骤140，当所述会话状态类型为会话过载保护状态时，转发所述业务报文。根据步骤130中的判断结果，可以分为以下两种情况进行处理：在一种实施方式中，当会话状态类型为会话过载保护状态时，网络安全设备不会为该业务报文创建会话，也不会进行相关的业务处理，例如，限速、审计、限流等，而是直接将业务报文转发，保证在会话过载的情况下，新的业务报文仍然可以正常通过。同时，不增加CPU(CentralProcessingUnit，中央处理器)的运行负担，避免造成网络安全设备死机。在另一种实施方式中，当会话状态类型为非会话过载保护状态时，说明当前网络安全设备的会话状态正常，可以为新的业务报文创建会话表项，以便后续相同业务报文按会话表项转发。从上述描述可以看出，网络安全设备的会话状态类型分为会话过载保护状态和非会话过载保护状态，网络安全设备根据设备运行情况在上述两种会话状态类型之间进行切换。两种会话状态类型的设置条件不同，具体设置过程如下：1.会话过载保护状态设置网络安全设备判断当前维护的会话数量是否达到预设的会话数量阈值，当会话数量达到会话数量阈值时，说明网络安全设备维护的会话数量已达到其可维护的会话数量上限，此时，设置会话状态类型为会话过载保护状态。2.非会话过载保护状态设置网络安全设备判断会话过载保护状态的过载保护时长是否达到预设的过载保护时长阈值，该过载保护时长阈值为预设的会话过载保护状态的持续时长。在该过载保护时长阈值范围内，即使网络安全设备维护的会话数量已经低于会话数量阈值，也不会为新的业务报文创建会话流表项，以避免对CPU的频繁操作，造成CPU的使用率过高，始终工作在满负荷状态下。当过载保护时长达到预设的过载保护时长阈值时，设置会话状态类型为非会话过载保护状态。在一种较优的实施方式中，为了使网络管理员及时了解网络安全设备的运行情况，当会话状态类型为会话过载保护状态时，可以向服务器发送报警信息，并提供相应日志，以便网络管理员对网络运行情况进行监测和分析。现以一具体实施例为例，详细介绍会话过载处理过程。假设，网络安全设备的会话数量阈值为10，过载保护时长阈值为5s，当前网络安全设备维护的会话数量为9，当前的会话状态类型为非会话过载保护状态。接收业务报文1，查询本地保存的会话流表项，无对应会话流表项。判断当前的会话状态类型，当前的会话状态类型为非会话过载保护状态，因此，为业务报文1创建对应的流表项。此时，会话数量加1，达到预设的会话数量阈值10，设置会话状态类型为会话过载保护状态，同时，启动过载定时器，定时时长为预设的过载保护时长阈值5s。接收业务报文2，查询本地保存的会话流表项，无对应会话流表项。判断当前的会话状态类型，当前会话状态类型为会话过载保护状态，且未到达过载保护时长阈值，此时，不创建业务报文2的会话流表项，直接转发该业务报文2。继续接收新的业务本文档来自技高网...

【技术保护点】
一种会话过载处理的方法，应用于网络安全设备，其特征在于，该方法包括：接收业务报文；判断是否存在与所述业务报文匹配的会话表项；当不存在与所述业务报文匹配的会话表项时，判断会话状态类型；当所述会话状态类型为会话过载保护状态时，转发所述业务报文。

【技术特征摘要】
1.一种会话过载处理的方法，应用于网络安全设备，其特征在于，该方
法包括：
接收业务报文；
判断是否存在与所述业务报文匹配的会话表项；
当不存在与所述业务报文匹配的会话表项时，判断会话状态类型；
当所述会话状态类型为会话过载保护状态时，转发所述业务报文。
2.如权利要求1所述的方法，其特征在于，所述方法还包括：
当所述会话状态类型为非会话过载保护状态时，创建所述业务报文的会
话表项。
3.如权利要求1所述的方法，其特征在于，所述方法还包括：
判断当前维护的会话数量是否达到预设的会话数量阈值；
当所述会话数量达到所述会话数量阈值时，设置所述会话状态类型为会
话过载保护状态。
4.如权利要求1所述的方法，其特征在于，所述方法还包括：
判断所述会话过载保护状态的过载保护时长是否达到预设的过载保护时
长阈值；
当所述过载保护时长达到预设的过载保护时长阈值时，设置所述会话状
态类型为非会话过载保护状态。
5.如权利要求1-4任一所述的方法，其特征在于，所述方法还包括：
当所述会话状态类型为会话过载保护状态时，发送报警信息。
6.一种会话过载处理的装置，应用于网络安全设备，其特征在于，该装
置包括：
报文接收单元，用于接收业务报...

【专利技术属性】
技术研发人员：邓龙飞，
申请(专利权)人：杭州迪普科技有限公司，
类型：发明
国别省市：浙江;33