一种报文上送CPU的防攻击方法及装置制造方法及图纸

本申请实施例提供了一种报文上送CPU的防攻击方法及装置，获取第一状态信息的量化等级；第一状态信息包括：CPU利用率、目标协议的报文上送速率；查找各个第一候选动作的期望价值，选取第一动作；第一候选动作包括：保持现状、调整报文上送速率门限、检测目标协议下各端口的防攻击状态、和调整报文上送速率门限并检测目标协议下各端口的防攻击状态；若第一动作为预设动作，获取第二状态信息的量化等级；第二状态信息包括：各端口目标协议报文上送速率、各端口目标协议报文丢弃速率；查找各个第二候选动作的期望价值，选取第二动作；第二候选动作包括：保持现状、对端口下发防攻击表项、和删除端口的防攻击表项。提高了防攻击判定的准确性、有效性。有效性。有效性。

【技术实现步骤摘要】
一种报文上送CPU的防攻击方法及装置


[0001]本专利技术涉及通信
，特别是涉及一种报文上送CPU的防攻击方法及装置。

技术介绍

[0002]目前，通常通过ACL(Access Control List，访问控制列表)表项匹配的方式上送协议报文。具体的，配置了ACL的网络设备根据预先设定好的报文匹配规则对经过该设备的报文进行匹配，然后对匹配的报文执行预先设定好的处理动作。这些匹配规则及相应的处理动作是根据网络需求设定的。
[0003]当某端口出现某种协议的大量报文上送并持续一定时间，该端口大量上送该协议报文可能将该协议报文的上送量占满，影响其他端口的协议上送，这种情况可能属于报文攻击，需要对该端口下发针对该协议的防攻击规则，该规则的匹配内容可以包括端口信息、协议特性信息，动作项可以是限速等。
[0004]现有的实现方式中，对ACL模块制定定时器任务，每隔一段时间遍历协议和端口，检测CPU利用率，报文上送速率，报文丢弃速率，如果满足预先设置的判定条件，就对端口下发防攻击的规则。
[0005]然而，防攻击和防攻击的恢复的判定条件是根据经验设定的，没有根据当前设备环境差异化设定，导致判定条件不灵活，容易出现判定错误，例如当前设备实际上能处理上送CPU的协议报文，但满足了预先设定的判定条件，就下发了防攻击的规则导致无法正常将该协议的报文上送CPU。

技术实现思路

[0006]本申请实施例的目的在于提供一种报文上送CPU的防攻击方法及装置，以实现防攻击判定适应设备环境，提高防攻击判定的灵活性、准确性、有效性。
[0007]为实现上述目的，本申请实施例提供了一种报文上送CPU的防攻击方法，其特征在于，所述方法包括：
[0008]获取第一状态信息的量化等级；其中，所述第一状态信息包括：CPU利用率、目标协议的报文上送速率；
[0009]基于自学习得到的第一映射表，查找所述第一状态信息的量化等级对应的各个第一候选动作的期望价值，从中选取期望价值最大的第一动作，并执行所述第一动作；所述第一候选动作包括：保持现状、调整报文上送速率门限、检测目标协议下各端口的防攻击状态、和调整报文上送速率门限并检测目标协议下各端口的防攻击状态；
[0010]若所述第一动作为预设动作，获取第二状态信息的量化等级；其中，所述第二状态信息包括：各端口的目标协议报文上送速率、各端口的目标协议报文丢弃速率；
[0011]针对所述目标协议下各个端口，基于自学习得到的第二映射表，查找所述第二状态信息的量化等级对应的各个第二候选动作的期望价值，从中选取期望价值最大的第二动作，并执行所述第二动作；所述第二候选动作包括：保持现状、对端口下发防攻击表项、和删
除端口的防攻击表项。
[0012]可选的，所述获取第一状态信息的量化等级，包括：
[0013]获取第一状态信息，基于预先制定的第一状态信息的量化标准，将所述第一状态信息的数值转换为量化等级，得到所述第一状态信息的量化等级；
[0014]所述获取第二状态信息的量化等级，包括：
[0015]获取第二状态信息，基于预先制定的第二状态信息的量化标准，将所述第二状态信息的数值转换为量化等级，得到所述第二状态信息的量化等级。
[0016]可选的，采用如下方式获取所述第一映射表和所述第二映射表；
[0017]获取初始的第一映射表和初始的第二映射表，所述初始的第一映射表包括：各个第一状态信息的量化等级对应的各个第一候选动作的初始期望价值；所述初始的第二映射表包括：各个第二状态信息的量化等级对应的各个第二候选动作的初始期望价值；
[0018]获取当前的第一状态信息的量化等级和当前的第二状态信息的量化等级；
[0019]基于所述初始的第一映射表，查找当前的第一状态信息的量化等级对应的各个第一候选动作的初始期望价值，从中选取期望价值最大的第一动作并执行该第一动作；
[0020]基于所述初始的第二映射表，查找当前的第二状态信息的量化等级对应的各个第二候选动作的初始期望价值，从中选取期望价值最大的第二动作并执行该第二动作；
[0021]基于执行动作后的第一状态信息、第二状态信息和执行动作前的第一状态信息、第二状态信息，计算动作反馈值；
[0022]基于所述动作反馈值、执行动作后各个第一状态信息的量化等级对应的各个第一候选动作的最大期望价值，采用预设激励策略更新执行动作前第一状态信息的量化等级对应的第一动作的期望价值；
[0023]基于所述动作反馈值、执行动作后各个第二状态信息的量化等级对应的各个第二候选动作的最大期望价值，采用预设激励策略更新执行动作前第二状态信息的量化等级对应的第二动作的期望价值；
[0024]返回获取当前的第一状态信息的量化等级和当前的第二状态信息的量化等级的步骤，直到所述第一映射表中各个第一状态信息的量化等级对应的各个第一候选动作的期望价值达到稳定，并且所述第二映射表中各个第二状态信息的量化等级对应的各个第二候选动作的期望价值达到稳定。
[0025]可选的，所述基于执行动作后的第一状态信息、第二状态信息和执行动作前的第一状态信息、第二状态信息，计算动作反馈值，包括：
[0026]基于如下公式计算动作反馈值；
[0027]R＝[(执行动作后端口的目标协议报文上送速率
‑
执行动作后端口的目标协议报文丢弃速率)/执行动作后CPU利用率
‑
(执行动作前端口的目标协议报文上送速率
‑
执行动作前端口的目标协议报文丢弃速率)/执行动作后CPU利用率]*W；
[0028]其中，R表示所述动作反馈值，W表示预设系数。
[0029]为实现上述目的，本申请实施例提供了一种报文上送CPU的防攻击装置，所述装置包括：
[0030]第一获取模块，用于获取第一状态信息的量化等级；其中，所述第一状态信息包括：CPU利用率、目标协议的报文上送速率；
[0031]第一执行模块，用于基于自学习得到的第一映射表，查找所述第一状态信息的量化等级对应的各个第一候选动作的期望价值，从中选取期望价值最大的第一动作，并执行所述第一动作；所述第一候选动作包括：保持现状、调整报文上送速率门限、检测目标协议下各端口的防攻击状态、和调整报文上送速率门限并检测目标协议下各端口的防攻击状态；
[0032]第二获取模块，用于若所述第一动作为预设动作，获取第二状态信息的量化等级；其中，所述第二状态信息包括：各端口的目标协议报文上送速率、各端口的目标协议报文丢弃速率；
[0033]第二执行模块，用于针对所述目标协议下各个端口，基于自学习得到的第二映射表，查找所述第二状态信息的量化等级对应的各个第二候选动作的期望价值，从中选取期望价值最大的第二动作，并执行所述第二动作；所述第二候选动作包括：保持现状、对端口下发防攻击表项、和删除端口的防攻击表项。
[0034]可选的，所述第一获取模块，具体用于：...

【技术保护点】

【技术特征摘要】
1.一种报文上送CPU的防攻击方法，其特征在于，所述方法包括：获取第一状态信息的量化等级；其中，所述第一状态信息包括：CPU利用率、目标协议的报文上送速率；基于自学习得到的第一映射表，查找所述第一状态信息的量化等级对应的各个第一候选动作的期望价值，从中选取期望价值最大的第一动作，并执行所述第一动作；所述第一候选动作包括：保持现状、调整报文上送速率门限、检测目标协议下各端口的防攻击状态、和调整报文上送速率门限并检测目标协议下各端口的防攻击状态；若所述第一动作为预设动作，获取第二状态信息的量化等级；其中，所述第二状态信息包括：各端口的目标协议报文上送速率、各端口的目标协议报文丢弃速率；针对所述目标协议下各个端口，基于自学习得到的第二映射表，查找所述第二状态信息的量化等级对应的各个第二候选动作的期望价值，从中选取期望价值最大的第二动作，并执行所述第二动作；所述第二候选动作包括：保持现状、对端口下发防攻击表项、和删除端口的防攻击表项。2.根据权利要求1所述的方法，其特征在于，所述获取第一状态信息的量化等级，包括：获取第一状态信息，基于预先制定的第一状态信息的量化标准，将所述第一状态信息的数值转换为量化等级，得到所述第一状态信息的量化等级；所述获取第二状态信息的量化等级，包括：获取第二状态信息，基于预先制定的第二状态信息的量化标准，将所述第二状态信息的数值转换为量化等级，得到所述第二状态信息的量化等级。3.根据权利要求1所述的方法，其特征在于，采用如下方式获取所述第一映射表和所述第二映射表；获取初始的第一映射表和初始的第二映射表，所述初始的第一映射表包括：各个第一状态信息的量化等级对应的各个第一候选动作的初始期望价值；所述初始的第二映射表包括：各个第二状态信息的量化等级对应的各个第二候选动作的初始期望价值；获取当前的第一状态信息的量化等级和当前的第二状态信息的量化等级；基于所述初始的第一映射表，查找当前的第一状态信息的量化等级对应的各个第一候选动作的初始期望价值，从中选取期望价值最大的第一动作并执行该第一动作；基于所述初始的第二映射表，查找当前的第二状态信息的量化等级对应的各个第二候选动作的初始期望价值，从中选取期望价值最大的第二动作并执行该第二动作；基于执行动作后的第一状态信息、第二状态信息和执行动作前的第一状态信息、第二状态信息，计算动作反馈值；基于所述动作反馈值、执行动作后各个第一状态信息的量化等级对应的各个第一候选动作的最大期望价值，采用预设激励策略更新执行动作前第一状态信息的量化等级对应的第一动作的期望价值；基于所述动作反馈值、执行动作后各个第二状态信息的量化等级对应的各个第二候选动作的最大期望价值，采用预设激励策略更新执行动作前第二状态信息的量化等级对应的第二动作的期望价值；返回获取当前的第一状态信息的量化等级和当前的第二状态信息的量化等级的步骤，直到所述第一映射表中各个第一状态信息的量化等级对应的各个第一候选动作的期望价
值达到稳定，并且所述第二映射表中各个第二状态信息的量化等级对应的各个第二候选动作的期望价值达到稳定。4.根据权利要求3所述的方法，其特征在于，所述基于执行动作后的第一状态信息、第二状态信息和执行动作前的第一状态信息、第二状态信息，计算动作反馈值，包括：基于如下公式计算动作反馈值；R＝[(执行动作后端口的目标协议报文上送速率
‑
执行动作后端口的目标协议报文丢弃速率)/执行动作后CPU利用率
‑
(执行动作前端口的目标协议报文上送速率
‑
执行动作前端口的目标协议报文丢弃速率)/执行动作后CPU利用率]*W；其中，R表示所述动作反馈值，W表示预设系数。5.一种报文上送CPU的防攻击装置，其特征在于，所述装置包括：第一获取模块，用于获取第一状态信息的量化等级；其中，所述第一状态信息包括：CPU利用率、目标协议的报文上送速率；第一执行模块，用于基于自学习得到的第一...

【专利技术属性】
技术研发人员：李艳，张怀青，
申请(专利权)人：新华三信息安全技术有限公司，
类型：发明
国别省市：