一種鏈路層設(shè)備預(yù)警處理的方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域��,尤其涉及一種鏈路層設(shè)備預(yù)警處理的方法和裝置���。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)越來越發(fā)達(dá)��,網(wǎng)絡(luò)的磁盤操作系統(tǒng)(DOS���,Disk Operating System)攻擊方式方法也越來越多。現(xiàn)有的鏈路層設(shè)備���,網(wǎng)絡(luò)管理員一般只將配置設(shè)備訪問控制列表(ACL,Access Control List)功能。在設(shè)備配置ACL后��,限制網(wǎng)絡(luò)流量����,允許特定設(shè)備訪問,指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包等���,例如可以配置ACL����,禁止局域網(wǎng)內(nèi)的設(shè)備訪問外部公共網(wǎng)絡(luò),或者只能使用文件傳輸協(xié)議(FTP�����,F(xiàn)ile Transfer Protocol)服務(wù)�。
[0003]傳統(tǒng)的鏈路層設(shè)備提供透明的傳輸,很容易導(dǎo)致鏈路層設(shè)備的帶寬被攻擊�����,給網(wǎng)絡(luò)服務(wù)造成損失���,甚至導(dǎo)致網(wǎng)絡(luò)癱瘓���。通過設(shè)備ACL功能,僅能夠?qū)I(yè)務(wù)進(jìn)行簡(jiǎn)單的處理��,被動(dòng)的對(duì)業(yè)務(wù)做出允許和拒絕策略�����。對(duì)于網(wǎng)絡(luò)的偽攻擊行為做不了其他操作,只能讓攻擊業(yè)務(wù)占領(lǐng)帶寬�,或者將攻擊業(yè)務(wù)和正常業(yè)務(wù)統(tǒng)一禁止。此外�����,很難對(duì)攻擊行為動(dòng)態(tài)實(shí)時(shí)做出判斷和防范措施���。
【發(fā)明內(nèi)容】
[0004]有鑒于此��,本發(fā)明提供了一種鏈路層設(shè)備預(yù)警處理的方法和裝置���,能夠及時(shí)發(fā)現(xiàn)業(yè)務(wù)流的流量異常,進(jìn)行預(yù)警處理����。
[0005]本發(fā)明提供了一種鏈路層設(shè)備預(yù)警處理的方法,包括:基于預(yù)先設(shè)置的業(yè)務(wù)流分類規(guī)則���,對(duì)接收到的業(yè)務(wù)流進(jìn)行分類;根據(jù)業(yè)務(wù)流的分類獲取對(duì)應(yīng)的統(tǒng)計(jì)規(guī)則需要的數(shù)據(jù)�,并根據(jù)獲取到的數(shù)據(jù)進(jìn)行計(jì)算得到業(yè)務(wù)流的速率;將業(yè)務(wù)流的速率和預(yù)先設(shè)置的預(yù)警規(guī)則進(jìn)行匹配����,并根據(jù)匹配結(jié)果對(duì)業(yè)務(wù)流進(jìn)行預(yù)警處理���。
[0006]進(jìn)一步地,所述方法還包括:基于業(yè)務(wù)流的報(bào)文字段將業(yè)務(wù)流進(jìn)行分類���,并配置業(yè)務(wù)流分類規(guī)則����,其中報(bào)文字段包括:源IP���,目的IP���,源MAC,目的MAC����,VLAN和/或協(xié)議類型;業(yè)務(wù)流分類規(guī)則配置完成后���,進(jìn)行相應(yīng)的硬件三元內(nèi)容尋址存儲(chǔ)器TCAM的配置��。
[0007]進(jìn)一步地���,所述方法還包括:基于業(yè)務(wù)流分類規(guī)則�,分別配置對(duì)應(yīng)的統(tǒng)計(jì)規(guī)則和預(yù)警規(guī)則���,其中�,統(tǒng)計(jì)規(guī)則的參數(shù)包括業(yè)務(wù)流的統(tǒng)計(jì)時(shí)間間隔和業(yè)務(wù)流的區(qū)間總長(zhǎng)度���;預(yù)警規(guī)則的參數(shù)包括告警級(jí)別速率和處理策略�;統(tǒng)計(jì)規(guī)則和預(yù)警規(guī)則配置完成后��,進(jìn)行相應(yīng)的硬件TCAM的配置�����。
[0008]進(jìn)一步地��,所述根據(jù)獲取到的數(shù)據(jù)進(jìn)行計(jì)算得到業(yè)務(wù)流的速率��,具體為:根據(jù)獲取到的業(yè)務(wù)流的統(tǒng)計(jì)時(shí)間間隔和業(yè)務(wù)流的區(qū)間總長(zhǎng)度計(jì)算出業(yè)務(wù)流的速率�����。
[0009]進(jìn)一步地�����,所述將業(yè)務(wù)流的速率和預(yù)先設(shè)置的預(yù)警規(guī)則進(jìn)行匹配�����,并根據(jù)匹配結(jié)果對(duì)業(yè)務(wù)流進(jìn)行預(yù)警處理��,具體為:將計(jì)算出的業(yè)務(wù)流的速率和預(yù)警規(guī)則中的告警級(jí)別速率進(jìn)行匹配���,并根據(jù)匹配的告警級(jí)別速率��,選擇對(duì)應(yīng)的處理方式對(duì)業(yè)務(wù)流進(jìn)行預(yù)警處理�。
[0010]本發(fā)明還提供了一種鏈路層設(shè)備預(yù)警處理的裝置��,包括:第一處理模塊����,用于基于預(yù)先設(shè)置的業(yè)務(wù)流分類規(guī)則,對(duì)接收到的業(yè)務(wù)流進(jìn)行分類��;第二處理模塊���,用于根據(jù)業(yè)務(wù)流的分類獲取對(duì)應(yīng)的統(tǒng)計(jì)規(guī)則需要的數(shù)據(jù)�,并根據(jù)獲取到的數(shù)據(jù)進(jìn)行計(jì)算得到業(yè)務(wù)流的速率;第三處理模塊�,用于將業(yè)務(wù)流的速率和預(yù)先設(shè)置的預(yù)警規(guī)則進(jìn)行匹配,并根據(jù)匹配結(jié)果對(duì)業(yè)務(wù)流進(jìn)行預(yù)警處理�。
[0011]進(jìn)一步地,所述裝置還包括:配置模塊�����,用于基于業(yè)務(wù)流的報(bào)文字段進(jìn)行業(yè)務(wù)流分類規(guī)則的配置�,其中報(bào)文字段包括:源IP,目的IP��,源MAC�����,目的MAC�����,VLAN和/或協(xié)議類型����;業(yè)務(wù)流分類規(guī)則配置完成后,進(jìn)行相應(yīng)的硬件三元內(nèi)容尋址存儲(chǔ)器TCAM的配置。
[0012]進(jìn)一步地�����,所述配置模塊���,還用于:基于業(yè)務(wù)流分類規(guī)則,分別配置對(duì)應(yīng)的統(tǒng)計(jì)規(guī)則和預(yù)警規(guī)則���,其中����,統(tǒng)計(jì)規(guī)則的參數(shù)包括業(yè)務(wù)流的統(tǒng)計(jì)時(shí)間間隔和業(yè)務(wù)流的區(qū)間總長(zhǎng)度���;預(yù)警規(guī)則的參數(shù)包括告警級(jí)別速率和處理策略�;統(tǒng)計(jì)規(guī)則和預(yù)警規(guī)則配置完成后�,進(jìn)行相應(yīng)的硬件TCAM的配置。
[0013]進(jìn)一步地�����,所述第二處理模塊����,具體用于:根據(jù)業(yè)務(wù)流的分類獲取對(duì)應(yīng)的統(tǒng)計(jì)規(guī)則需要的業(yè)務(wù)流的統(tǒng)計(jì)時(shí)間間隔和業(yè)務(wù)流的區(qū)間總長(zhǎng)度�����,并根據(jù)業(yè)務(wù)流的統(tǒng)計(jì)時(shí)間間隔和業(yè)務(wù)流的區(qū)間總長(zhǎng)度計(jì)算出業(yè)務(wù)流的速率����。
[0014]進(jìn)一步地�,所述第三處理模塊,具體用于:將計(jì)算出的業(yè)務(wù)流的速率和預(yù)警規(guī)則中的告警級(jí)別速率進(jìn)行匹配����,并根據(jù)匹配的告警級(jí)別速率,選擇對(duì)應(yīng)的處理方式對(duì)業(yè)務(wù)流進(jìn)行預(yù)警處理��。
[0015]和現(xiàn)有技術(shù)相比�����,本發(fā)明的有益效果在于:基于業(yè)務(wù)流的流量統(tǒng)計(jì)����,根據(jù)配置的統(tǒng)計(jì)規(guī)則,計(jì)算出統(tǒng)計(jì)時(shí)間基數(shù)內(nèi)業(yè)務(wù)流的速率���,當(dāng)速率超出預(yù)警規(guī)則設(shè)置的不同等級(jí)的速率�����,給出相應(yīng)的預(yù)警處理�,從而能夠及時(shí)發(fā)現(xiàn)業(yè)務(wù)流的流量異常,實(shí)現(xiàn)及時(shí)的預(yù)警處理����。
【附圖說明】
[0016]圖1為本發(fā)明所公開的鏈路層設(shè)備預(yù)警處理的方法的流程示意圖�����。
[0017]圖2為本發(fā)明所公開的鏈路層設(shè)備預(yù)警處理的裝置的結(jié)構(gòu)示意圖��。
【具體實(shí)施方式】
[0018]以下將結(jié)合附圖所示的【具體實(shí)施方式】對(duì)本發(fā)明進(jìn)行詳細(xì)描述�����,但這些實(shí)施方式并不限制本發(fā)明����,本領(lǐng)域的普通技術(shù)人員根據(jù)這些實(shí)施方式所做出的結(jié)構(gòu)、方法�、或功能上的變換均包含在本發(fā)明的保護(hù)范圍內(nèi)。
[0019]鏈路層設(shè)備的芯片中通常包括三元內(nèi)容尋址存儲(chǔ)器(TCAM,Ternary ContentAddressable Memory)模塊����,TCAM是一種三態(tài)內(nèi)容尋址存儲(chǔ)器,主要用于快速查找ACL���、路由等表項(xiàng)���,具體地,TCAM是從CAM的基礎(chǔ)上發(fā)展而來的�,CAM存儲(chǔ)器中每個(gè)bit位的狀態(tài)只有兩個(gè),“ 0 ”或“ 1”�,而TCAM中每個(gè)bit位有三種狀態(tài),除掉“ 0 ”和“ 1”外���,還有一個(gè)“ don ’ tcare”狀態(tài)�����,所以稱為“三態(tài)”���,它是通過掩碼來實(shí)現(xiàn)的,正是TCAM的這個(gè)第三種狀態(tài)特征使其既能進(jìn)行精確匹配查找����,又能進(jìn)行模糊匹配查找���。本發(fā)明基于鏈路層設(shè)備中的TCAM模塊設(shè)計(jì)。
[0020]圖1為本發(fā)明所公開的一種鏈路層設(shè)備預(yù)警處理的方法的流程示意圖���。參照?qǐng)D1��,本發(fā)明的鏈路層設(shè)備預(yù)警處理的方法�����,包括:
[0021]步驟101,預(yù)先配置業(yè)務(wù)流分類規(guī)則���。
[0022]在本步驟中���,基于業(yè)務(wù)流報(bào)文字段將業(yè)務(wù)流進(jìn)行分類,并配置業(yè)務(wù)流分類規(guī)則��,其中報(bào)文字段包括但不限于:源IP�����,目的IP,源MAC���,目的MAC����,VLAN��,協(xié)議類型等��。
[0023]業(yè)務(wù)流分類規(guī)則配置完成后�,進(jìn)行相應(yīng)的硬件TCAM的配置。
[0024]步驟102����,預(yù)先基于業(yè)務(wù)流分類規(guī)則配置統(tǒng)計(jì)規(guī)則和預(yù)警規(guī)則。
[0025]在本步驟中���,基于業(yè)務(wù)流分類規(guī)則���,分別配置對(duì)應(yīng)的統(tǒng)計(jì)規(guī)則和預(yù)警規(guī)則,并將業(yè)務(wù)流分類規(guī)則和對(duì)應(yīng)的統(tǒng)計(jì)規(guī)則和預(yù)警規(guī)則綁定����。
[0026]配置對(duì)應(yīng)的統(tǒng)計(jì)規(guī)則和預(yù)警規(guī)則具體為:配置統(tǒng)計(jì)規(guī)則的參數(shù)��,該統(tǒng)計(jì)規(guī)則的參數(shù)包括業(yè)務(wù)流的統(tǒng)計(jì)時(shí)間間隔和業(yè)務(wù)流的區(qū)間總長(zhǎng)度等�����;配置預(yù)警規(guī)則的參數(shù)���,該預(yù)警規(guī)則的參數(shù)包括告警級(jí)別速率和處理策略。
[0027]例如:業(yè)務(wù)流的統(tǒng)計(jì)時(shí)間間隔:1s ;
[0028]統(tǒng)計(jì)業(yè)務(wù)流的區(qū)間總長(zhǎng)度:10s ;
[0029]告警級(jí)別速率:0?lOM/s正常�;
[0030]lOM/s ?20M/s —般異常;
[0031]20M/s ?30M/s 嚴(yán)重異常����;
[0032]處理方式:告警級(jí)別速率正常時(shí),不做處理���;
[0033]告警級(jí)別速率一般異常時(shí),進(jìn)