專利名稱:一種分布式系統(tǒng)中帶有閾值限制的統(tǒng)計方法�����、系統(tǒng)和裝置的制作方法
技術領域:
本發(fā)明涉及通信技術領域,特別涉及一種分布式系統(tǒng)中帶有閾值限制的 統(tǒng)計方法���、系統(tǒng)和裝置���。
背景技術:
在網絡設備中,通常需要對一些參量進行統(tǒng)計�。在一些特定的參量統(tǒng)計 過程中,會針對統(tǒng)計的參量預先設置閾值����,當統(tǒng)計結果達到或超過該閾值時, 對生成該參量的處理過程進行相應的限制性處理���,從而將統(tǒng)計結果控制在一 定范圍內��,以滿足網絡的特定需求����。
隨著網絡規(guī)模的日益擴大��,許多傳統(tǒng)的位于一個單獨網絡設備上的功能 均出現(xiàn)了分布式的實現(xiàn)方式����。在這些分布式系統(tǒng)中包括一個主控裝置和多個 業(yè)務處理裝置,業(yè)務處理在主控裝置的控制下可能分布于不同的業(yè)務處理裝 置進行��。因此�����,在對分布式系統(tǒng)進行參量統(tǒng)計時��,也往往要綜合考慮所有不 同業(yè)務處理裝置中的情況�����。在這類分布式系統(tǒng)中����,針對帶有閾值限制要求的 參量進行統(tǒng)計時,設置的閾值通常為所有業(yè)務處理裝置中相應參量的總數(shù)量 限制值�。目前��,對于這類分布式系統(tǒng)中針對帶有閾值限制要求的參量統(tǒng)計通 常采用集中統(tǒng)計的方式進行�。下面,具體介紹該集中統(tǒng)計方式�。在本文中, 將需要統(tǒng)計的參量稱為特征值��。
在現(xiàn)有的具有閾值限制的特征值統(tǒng)計中, 一類典型的應用是在網絡安 全系統(tǒng)中�����,為進行拒絕服務(DoS Denial of Service )攻擊防御����,對源或目的 IP地址進行的各類連接數(shù)統(tǒng)計。在這類連接數(shù)統(tǒng)計中�,需要對超過閣值的連 接進行限制處理,如會話(session)數(shù)限制�、用戶數(shù)據(jù)包協(xié)議(UDP)連接 數(shù)限制、同步(SYN�����, Synchronization)連接數(shù)限制�����、ICMP連接數(shù)限制等��。
目前���,在分布式系統(tǒng)中�,特征值的統(tǒng)計過程通常由主控裝置發(fā)起。當主 控裝置需要觸發(fā)對某一特征值進行帶有闊值限制的統(tǒng)計時�,主控裝置通知各 個業(yè)務處理裝置,業(yè)務處理裝置將業(yè)務處理過程中涉及到特征值變化的情況 逐一向主控裝置上報���,即需對某一特征值進行帶有閾值限制的統(tǒng)計時,各個 業(yè)務處理裝置對該特征值的統(tǒng)計值進行原子加1或減1操作時都需要通過控
制報文上報給主控裝置�����;主控裝置接收到業(yè)務處理裝置的控制報文后����,對保 存的特征值進行相應的加1或減1操作,并將特征值的當前統(tǒng)計值與閾值進 行比較�����,判斷是否已經超過閾值限制�。若超過閾值限制,發(fā)送控制報文通知 各個業(yè)務處理裝置啟動相應的限制操作���,若未超過閾值限制��,發(fā)送控制報文 通知發(fā)送控制報文的業(yè)務處理裝置進行正常操作�。各個業(yè)務處理裝置接收到 主控裝置的控制報文后,根據(jù)報文內容進行相應的限制操作或正常操作���。
采用上述統(tǒng)計方法�����,能夠保證在分布式系統(tǒng)中進行嚴格的總閾值限制要 求���。但該統(tǒng)計方法中,業(yè)務處理裝置進行的所有涉及特征值改變的操作��,均 需要通過控制報文上報主控裝置��,在得到主控裝置的允許后才能進行�,這使 得業(yè)務處理過程中,統(tǒng)計所需的控制報文交互量巨大�,對交換網絡要求較高, 通常需要采用如 Infmiband �����、 PCIE ( Peripheral Component Interconnect Expression)等交換網絡方能滿足業(yè)務處理要求��。但此類交換網絡價格十分 昂貴,僅僅為了特征值統(tǒng)計而建立此類交換網絡并不十分可取����。
發(fā)明內容
有鑒于此,本發(fā)明提供一種分布式系統(tǒng)中帶有閾值限制的統(tǒng)計方法�����,能 夠減少統(tǒng)計所需的控制報文量��。
本發(fā)明還提供一種具有閾值限制統(tǒng)計功能的分布式系統(tǒng)和裝置��,能夠減 少統(tǒng)計所需的控制報文量����。
為實現(xiàn)上述目的�,本發(fā)明采用如下的技術方案
一種分布式系統(tǒng)中帶有閾值限制的統(tǒng)計方法,預先設置集中統(tǒng)計裝置���, 并根據(jù)業(yè)務要求在該集中統(tǒng)計值裝置中設置要統(tǒng)計的特征值的總閾值�����,該統(tǒng) 計方法包括
a�����、 集中統(tǒng)計裝置根據(jù)所述總閾值確定參與統(tǒng)計的不同業(yè)務處理裝置對 應的分閾值��,并將確定的分閾值對應下發(fā)給各個業(yè)務處理裝置���,通知所有業(yè) 務處理裝置進入分散統(tǒng)計狀態(tài)�;
b�、 不同的業(yè)務處理裝置分別對所述特征值進行統(tǒng)計,當任一業(yè)務處理 裝置中所述特征值的當前統(tǒng)計值達到自身對應的分閾值時�����,通知集中統(tǒng)計裝 置��;集中統(tǒng)計裝置通知所有業(yè)務處理裝置進入集中統(tǒng)計狀態(tài)���,對特征值進行 集中統(tǒng)計���。
較佳地,所述根據(jù)要統(tǒng)計的特征值的總閾值確定不同業(yè)務處理裝置對應 的分閾值前����,該方法進一步包括比較總閾值與預先設定的分界閾值����,當總 閾值大于或等于所述分界閾值時����,繼續(xù)執(zhí)行所述根據(jù)要統(tǒng)計的特征值的總閾 值確定不同業(yè)務處理裝置對應的分閾值的操作,否則通知各個業(yè)務處理裝置 對特征值進行集中統(tǒng)計��。
較佳地���,在集中統(tǒng)計狀態(tài)下��,該方法進一步包括集中統(tǒng)計裝置保存并 更新各個業(yè)務處理裝置中特征值的當前統(tǒng)計值����,當所有業(yè)務處理裝置中的當 前統(tǒng)計值均小于預先設置的該業(yè)務處理裝置的下限閾值時��,通知各個業(yè)務處 理裝置退出集中統(tǒng)計狀態(tài)���、進入分散統(tǒng)計狀態(tài),并返回步驟b����。
較佳地���,在所述對特征值進行集中統(tǒng)計后,該方法進一步包括每隔預 設的時間間隔�,集中統(tǒng)計裝置和各個業(yè)務處理裝置退出集中統(tǒng)計狀態(tài)進入分 散統(tǒng)計狀態(tài),將各自的當前統(tǒng)計值置O,并返回步驟b����。
較佳地,所述設置集中統(tǒng)計裝置為���,將集中統(tǒng)計裝置設置為主控裝置或 新增的專用于集中統(tǒng)計的裝置����;
所述對特征值進行集中統(tǒng)計為
集中統(tǒng)計裝置獲取各個業(yè)務處理裝置對應的當前統(tǒng)計值���,并對所有當前 統(tǒng)計值求和作為當前總統(tǒng)計值�����;
各個業(yè)務處理裝置接收改變特征值的操作請求�����,將該請求上報給集中統(tǒng) 計裝置�����,集中統(tǒng)計裝置根據(jù)該請求更新特征值的當前總統(tǒng)計值�����,然后比較當
前總統(tǒng)計值與總閾值�,若當前總統(tǒng)計值達到或超過總閾值,則通知啟動限制
操作���,通知發(fā)送操作請求的業(yè)務處理裝置拒絕所述改變特征值的操作請求����; 否則����,通知發(fā)送操作請求的業(yè)務處理裝置進行正常操作���。
較佳地��,所述設置集中統(tǒng)計裝置為�,將主控裝置設置為預先指定的一個 業(yè)務處理裝置�。
較佳地���,所述根據(jù)要統(tǒng)計的特征值的總閾值確定不同業(yè)務處理裝置對應 的分閾值為
計算總閾值與參與統(tǒng)計的業(yè)務處理裝置數(shù)目之商,并將該商值設置為業(yè) 務處理裝置對應的分閾值��;
或者�,根據(jù)參與統(tǒng)計的業(yè)務處理裝置的數(shù)目和業(yè)務處理裝置的處理能 力,為不同的業(yè)務處理裝置設置不同的分閾值����,并且所有參與統(tǒng)計業(yè)務處理 裝置的分閾值之和為所述總閾值。
較佳地�,在分散統(tǒng)計狀態(tài)時,該方法進一步包括集中統(tǒng)計裝置判斷是 否需要更新所述分閾值���,若是�,則更新并向各個業(yè)務處理裝置下發(fā)分閾值���, 執(zhí)行所述步驟b��。
較佳地�����,定時執(zhí)行所述判斷是否需要更新分閾值的操作�����;
所述判斷是否需要更新分閾值為獲取所有業(yè)務處理裝置中所述特征值 的當前統(tǒng)計值��,并計算所有當前統(tǒng)計值中最大值與最小值間的差值�����,比較該 差值與預先設置的差值門限��,若前者大于后者����,則計算總閾值與所有業(yè)務處 理裝置中當前統(tǒng)計值之和的差,作為安全余量����,進一步比較安全余量與預先 設置的分界閾值,若安全余量大于或等于所述分界闞值�����,判定需要更新分閾 值����;若所述差值不大于所述差值門限,和/或安全余量小于分界閾值����,判定 不需要更新分閾值,保持所述分閾值不變���。
較佳地����,在所述任一業(yè)務處理裝置通知集中統(tǒng)計裝置后��、集中統(tǒng)計裝置 通知所有業(yè)務處理裝置進入集中統(tǒng)計狀態(tài)前���,執(zhí)行所述判斷是否需要更新分 閾值的操作��;
所述判斷是否需要更新分閾值為獲取所有業(yè)務處理裝置中所述特征值
的當前統(tǒng)計值����,計算總閾值與所有業(yè)務處理裝置中當前統(tǒng)計值之和的差作為 安全余量���,比較安全余量與預先設置的分界閾值���,若安全余量大于或等于所 述分界閾值�,判定需要更新分閾值����,否則,判定不需要更新分閾值�,執(zhí)行所 述集中統(tǒng)計裝置通知所有業(yè)務處理裝置進入集中統(tǒng)計狀態(tài)的操作。
較佳地��,所述更新并下發(fā)分閾值為根據(jù)安全余量和不同業(yè)務處理裝置 的當前統(tǒng)計值確定各個業(yè)務處理裝置對應的分閾值���,下發(fā)給各個業(yè)務處理裝置�����。
較佳地�,所述分界閾值根據(jù)業(yè)務處理單元的數(shù)量和統(tǒng)計的特征值類型確定����。
較佳地,所述根據(jù)要統(tǒng)計的特征值的總閾值確定不同業(yè)務處理裝置對應 的分閾值為將所述總閾值均分得到分閾值���,且總閾值與分閾值之比大于參 與統(tǒng)計的業(yè)務處理裝置數(shù)目�����;
所述將確定的分閾值對應下發(fā)給各個業(yè)務處理裝置為為每個參與統(tǒng)計 的業(yè)務處理裝置下發(fā)一個分閾值���;
在所述將確定的分閾值對應下發(fā)給各個業(yè)務處理裝置后,該方法進一步 包括保存剩余的分閾值����。
較佳地,在分散統(tǒng)計狀態(tài)時�����,該方法進一步包括集中統(tǒng)計裝置判斷是 否需要更新所述分闞值�,若是,則更新并向各個業(yè)務處理裝置下發(fā)分闊值���, 執(zhí)行所述步驟b����。
較佳地�,定時執(zhí)行所述判斷是否需要更新分閾值的操作;
所述判斷是否需要更新分閾值為獲取所有業(yè)務處理裝置中所述特征值 的當前統(tǒng)計值���,并依次判斷各個業(yè)務處理裝置中的當前統(tǒng)計值與預先設置的 該業(yè)務處理裝置的更新閾值�����,若前者大于后者���,則進一步判斷是否存在剩余 的分閾值��,若是���,則判定該業(yè)務處理裝置需要更新所述分閾值,否則�����,判定 該業(yè)務處理裝置不需要更新所述分閾值���。
較佳地����,在所述任一業(yè)務處理裝置通知集中統(tǒng)計裝置后����、集中統(tǒng)計裝置 通知所有業(yè)務處理裝置進入集中統(tǒng)計狀態(tài)前�����,執(zhí)行所述判斷是否需要更新分
閾值的操作��;
所述判斷是否需要更新分閾值為集中統(tǒng)計裝置判斷是否還有剩余的分 閾值���,若是��,則判定上報通知的業(yè)務處理裝置需要更新所述分閾值��,否則����, 判定所有業(yè)務處理裝置不需要更新所述分閾值,繼續(xù)執(zhí)行所述集中統(tǒng)計裝置 通知所有業(yè)務處理裝置進入集中統(tǒng)計狀態(tài)的操作�。
較佳地,所述更新并向各個業(yè)務處理裝置下發(fā)分閾值為將剩余的其中 一個分閾值下發(fā)給需要更新分閾值的業(yè)務處理裝置��,該業(yè)務處理裝置將接收 到的分閾值與本身保存的分閾值之和作為新的分閾值�����。
較佳地����,在所述更新并向各個業(yè)務處理裝置下發(fā)分閾值后��,該方法進一 步包括該業(yè)務處理裝置在更新當前統(tǒng)計值后���,判斷分閾值與當前統(tǒng)計值之 差是否大于預先設置的可回收閾值,若是�,則將被分配的剩余分閾值中的一 個返回給主控裝置。
較佳地�,所述對特征值進行集中統(tǒng)計包括
集中統(tǒng)計裝置獲取各個業(yè)務處理裝置對應的當前統(tǒng)計值,并對所有當前 統(tǒng)計4直求和作為當前總統(tǒng)計j直��;
各個業(yè)務處理裝置接收改變特征值的操作請求��,將該請求上報給集中統(tǒng) 計裝置��,集中統(tǒng)計裝置根據(jù)該請求更新特征值的當前總統(tǒng)計值���,然后比較當 前總統(tǒng)計值與總閾值���,若當前總統(tǒng)計值達到或超過總閾值,則通知啟動限制 操作����,通知發(fā)送操作請求的業(yè)務處理裝置拒絕所述改變特征值的操作請求��; 否則��,通知發(fā)送操作請求的業(yè)務處理裝置進行正常操作��;
所述改變特征值的操作包括使所述特征值加1的操作和使所述特征值 減1的操作��;
所述限制搡作為拒絕特征值加1的操作請求�,和/或記錄超出閾值的 事件���,和/或發(fā)出告警。
較佳地�,所述對特征值進行集中統(tǒng)計包括
集中統(tǒng)計裝置獲取各個業(yè)務處理裝置對應的當前統(tǒng)計值,并對所有當前 統(tǒng)計值求和作為當前總統(tǒng)計值���;
各個業(yè)務處理裝置接收改變特征值的操作請求��,將該請求上報給集中統(tǒng) 計裝置�����,集中統(tǒng)計裝置根據(jù)該請求更新特征值的當前總統(tǒng)計值��,然后比較當 前總統(tǒng)計值與總閾值�,若當前總統(tǒng)計值達到或超過總閾值,則通知啟動限制
操作����,通知發(fā)送操作請求的業(yè)務處理裝置拒絕所述改變特征值的操作請求; 否則����,通知發(fā)送操作請求的業(yè)務處理裝置進行正常操作;
所述改變特征值的搡作為使所述特征值加1的操作和定時清零特征值 的操作��;
所述限制操作為拒絕特征值加1的操作請求�,和/或記錄超出闊值的 事件,和/或發(fā)出告警��。
一種具有閾值限制統(tǒng)計功能的分布式系統(tǒng)��,包括集中統(tǒng)計裝置和至少兩 個除集中統(tǒng)計裝置外的參與統(tǒng)計的業(yè)務處理裝置���,
所述集中統(tǒng)計裝置�����,根據(jù)要統(tǒng)計的特征值的總閾值確定參與統(tǒng)計的不同 業(yè)務處理裝置對應的分閾值����,并對應下發(fā)給各個所述業(yè)務處理裝置,通知各 個所述業(yè)務處理裝置進入分散統(tǒng)計狀態(tài)�;并在接收到任一業(yè)務處理裝置達到 分閾值的通知后,通知各個所述業(yè)務處理裝置進入集中統(tǒng)計狀態(tài)�;
除集中統(tǒng)計裝置外的任一業(yè)務處理裝置,用于在接收到集中統(tǒng)計裝置進 入分散統(tǒng)計狀態(tài)的通知后對所述特征值進行統(tǒng)計���,并在所述特征值的當前統(tǒng) 計值達到自身對應的分閾值時��,通知集中統(tǒng)計裝置�����;并在接收到所述集中統(tǒng) 計裝置進入集中統(tǒng)計狀態(tài)的通知后��,對特征值進行集中統(tǒng)計。
較佳地��,所述集中統(tǒng)計裝置和業(yè)務處理裝置是相互獨立的物理設備����,或 者,是位于同一物理設備中的不同組成部分��。
較佳地�����,所述集中統(tǒng)計裝置為主控裝置、預先指定的一個業(yè)務處理裝置 或新增的裝置�。
一種分布式系統(tǒng)中的集中統(tǒng)計裝置,包括分閥值計算模塊�����、控制模塊和 第一統(tǒng)計模塊����,
所述分閾值計算模塊,用于根據(jù)要統(tǒng)計的特征值的總閾值確定分布式系 統(tǒng)中除集中統(tǒng)計裝置外參與統(tǒng)計的不同業(yè)務處理裝置對應的分閾值��,并發(fā)送
給所述控制模塊���;
所述控制模塊��,用于將接收的分閾值對應下發(fā)給各個所述業(yè)務處理裝
置�,通知各個所述業(yè)務處理裝置進入分散統(tǒng)計狀態(tài)��;并在接收到分布式系統(tǒng) 中任一所述業(yè)務處理裝置達到分閾值的通知后��,通知所述各個業(yè)務處理裝置 進入集中統(tǒng)計狀態(tài),通知所述第 一統(tǒng)計模塊進行集中統(tǒng)計�����;
所述第一統(tǒng)計模塊���,用于接收到所述控制模塊的通知后��,對特征值進行 集中統(tǒng)計��。
較佳地�����,所述控制模塊進一步用于比較總閾值與預先設定的分界閾值��, 當總閾值大于或等于所述分界閾值時��,觸發(fā)所述分閾值計算模塊計算分閾 值��;
所述分閾值計算模塊,用于在接收到所述控制模塊的觸發(fā)通知后計算分 閾值����。
較佳地,所述第一統(tǒng)計模塊,用于保存并更新各個業(yè)務處理裝置中特征 值的當前統(tǒng)計值����,提供給所述控制模塊;
所述控制模塊�����,接收所述第一統(tǒng)計模塊中更新后的當前統(tǒng)計值����,比較當 前統(tǒng)計值與預先設置的該業(yè)務處理裝置的下限閾值,當所有所述業(yè)務處理裝 置中的當前統(tǒng)計值均小于對應的下限閾值時�����,通知各個所述業(yè)務處理裝置和 所述第 一統(tǒng)計模塊退出集中統(tǒng)計狀態(tài)�����、進入分散統(tǒng)計狀態(tài)�����;
所述第一統(tǒng)計模塊����,在接收到進入分散統(tǒng)計狀態(tài)的通知后���,停止集中統(tǒng)計。
較佳地�,所述第一統(tǒng)計模塊,在進入集中統(tǒng)計狀態(tài)后����,每隔預設的時間 間隔,進入分散統(tǒng)計狀態(tài)�����,停止集中統(tǒng)計����。
較佳地,所述控制模塊���,在進入分散統(tǒng)計狀態(tài)后��,判斷是否需要更新分 閾值����,當判斷需要時���,通知所述分閾值計算模塊更新分閾值����;并在接收到更 新后的分閾值后對應下發(fā)給所述各個業(yè)務處理裝置�;
所述分閾值計算模塊,在接收到更新分閾值的通知后�,更新分閾值并發(fā) 送給控制模塊。
一種分布式系統(tǒng)中的業(yè)務處理裝置�����,包括接口模塊和第二統(tǒng)計模塊���, 所述接口模塊����,將分布式系統(tǒng)中的集中統(tǒng)計裝置發(fā)送的通知和分閾值轉
發(fā)給所述第二統(tǒng)計模塊�;
所述第二統(tǒng)計模塊,在接收到轉發(fā)的進入分散統(tǒng)計狀態(tài)的通知后�����,進入 分散統(tǒng)計狀態(tài),對所述特征值進行統(tǒng)計���,更新并保存所述特征值的當前統(tǒng)計 值���,并在該當前統(tǒng)計值達到自身對應的分閾值時,通過所述接口模塊通知集 中統(tǒng)計裝置���;并在接收到進入集中統(tǒng)計狀態(tài)的通知后��,對特征值進行集中統(tǒng) 計���。
較佳地,所述第二統(tǒng)計模塊���,在進入集中統(tǒng)計狀態(tài)后����,每隔預設的時間 間隔���,將保存的當前統(tǒng)計值清零�,進入分散統(tǒng)計狀態(tài)���。
較佳地�����,所述接口模塊�����,將所述集中統(tǒng)計裝置發(fā)送的更新后的分閾值轉 發(fā)給所述第二統(tǒng)計模塊�����;
所述第二統(tǒng)計模塊�����,利用接收的分閾值更新保存的分閾值�。
由上迷技術方案可見�����,本發(fā)明中�����,首先設置集中統(tǒng)計裝置,該集中統(tǒng)計 裝置根據(jù)要統(tǒng)計的特征值的總閾值確定不同業(yè)務處理裝置對應的分閾值并 對應下發(fā)給各個業(yè)務處理裝置�����,通知業(yè)務處理裝置進入分散統(tǒng)計狀態(tài)����;各個 業(yè)務處理裝置在分散統(tǒng)計狀態(tài)中,分別統(tǒng)計自身的特征值���,并在特征值的當 前統(tǒng)計值達到或超過接收的分閾值時��,通知集中統(tǒng)計裝置�����;然后��,集中統(tǒng)計 裝置通知所有業(yè)務處理裝置進入集中統(tǒng)計狀態(tài)��,開始對特征值進行集中統(tǒng) 計����。這樣,業(yè)務處理裝置在分散統(tǒng)計狀態(tài)中時�����,對于涉及特征值改變的操作 可以直接進行��,不需要通過報文上報給集中統(tǒng)計裝置以進行特征值統(tǒng)計�,從 而大大減輕了集中統(tǒng)計裝置與業(yè)務處理裝置間交換網絡的負擔,降低了對交 換網絡交換能力的要求�。同時���,當任一裝置的特征值當前統(tǒng)計值到達分閾值 后�,還可以進入集中統(tǒng)計狀態(tài)�,從而使與特征值相應的限制處理操作能夠在 所有業(yè)務處理裝置的當前統(tǒng)計值之和超出總閾值限制時開始生效,以保證嚴 格的總閾值限制要求����。
圖1為本發(fā)明提供的分布式系統(tǒng)中帶有閾值限制的統(tǒng)計方法總體流程圖。
圖2為本發(fā)明提供的具有閾值限制統(tǒng)計功能的分布式系統(tǒng)的總體結構圖�。
圖3為本發(fā)明提供的分布式系統(tǒng)中主控裝置的總體結構圖。 圖4為本發(fā)明提供的分布式系統(tǒng)中業(yè)務處理裝置的總體結構圖���。 圖5為本發(fā)明實施例一中對分布式會話進行統(tǒng)計的方法具體流程圖����。 圖6為本發(fā)明實施例一中主控單元的狀態(tài)轉移圖。 圖7為本發(fā)明實施例一中業(yè)務處理單元的狀態(tài)轉移圖���。 圖8為本發(fā)明實施例一中的主控單元的具體結構圖����。 圖9為本發(fā)明實施例一中的業(yè)務處理單元的具體結構圖�����。 圖10為本發(fā)明實施例二中對分布式SYN連接數(shù)進行統(tǒng)計的方法具體流 程圖��。
圖11為本發(fā)明實施例二中主控單元的狀態(tài)轉移圖����。
圖12為本發(fā)明實施例二中業(yè)務處理單元的狀態(tài)轉移圖。
圖13為本發(fā)明實施例三中對分布式會話進行統(tǒng)計的方法具體流程圖�。
圖14為本發(fā)明實施例四中對分布式會話進行統(tǒng)計的方法具體流程圖。
具體實施例方式
為使本發(fā)明的目的����、技術手段和優(yōu)點更加清楚明白,以下結合附圖對本 發(fā)明作進一步詳細說明����。
本發(fā)明的基本思想是在特征值統(tǒng)計過程中���,設置一個集中統(tǒng)計裝置, 采用先分散后集中的方式進行統(tǒng)計�,從而限制該集中統(tǒng)計裝置和業(yè)務處理裝 置間控制報文的交換數(shù)量,進而降低對交換網絡的性能要求��。
圖1為本發(fā)明提供的分布式系統(tǒng)中帶有闞值限制的統(tǒng)計方法總體流程 圖���。如圖1所示�,該方法包括 步驟101�����,預先設置集中統(tǒng)計裝置�����,并在該裝置中設置特征值的總閾值�。 本步驟中���,設置的集中統(tǒng)計裝置可以是主控裝置��,也可以預先指定的一
個業(yè)務處理裝置��,還可以是新增的專用于集中統(tǒng)計的裝置���。針對統(tǒng)計的特征
值�����,設置特征值的總閾值�。
步驟102,集中統(tǒng)計裝置根據(jù)要統(tǒng)計的特征值的總閾值確定不同業(yè)務處
理裝置對應的分閾值��,并將確定的分閾值對應下發(fā)給各個參與統(tǒng)計的業(yè)務處 理裝置���,通知所有業(yè)務處理裝置進入分散統(tǒng)計狀態(tài)�。
本步驟中��,首先將特征值的總閾值限制換算為分閾值限制�����,其中����,所有 業(yè)務處理裝置的分閾值之和為總閾值���。
步驟103,業(yè)務處理裝置對所述特征值進行統(tǒng)計,當任一業(yè)務處理裝置 中所述特征值的當前統(tǒng)計值達到自身對應的分閾值時�,通知集中統(tǒng)計裝置; 集中統(tǒng)計裝置通知所有業(yè)務處理裝置進入集中統(tǒng)計狀態(tài)���,對特征值進行集中統(tǒng)計�。
圖2為本發(fā)明提供的具有閾值限制統(tǒng)計功能的分布式系統(tǒng)的總體結構 圖��。如圖2所示����,該系統(tǒng)包括集中統(tǒng)計裝置和除該集中統(tǒng)計裝置外的至少兩 個業(yè)務處理裝置。
在該系統(tǒng)中����,集中統(tǒng)計裝置����,用于保存預設的統(tǒng)計特征值的總閾值,根 據(jù)該總閾值確定不同業(yè)務處理裝置對應的分閾值�����,并將確定的分閾值對應下 發(fā)給各個業(yè)務處理裝置,通知所有業(yè)務處理裝置進入分散統(tǒng)計狀態(tài)�;集中統(tǒng) 計裝置在接收到任一業(yè)務處理裝置發(fā)送的超過分閾值的通知后,通知所有業(yè) 務處理裝置進入集中統(tǒng)計狀態(tài)����。
業(yè)務處理裝置,用于在接收到集中統(tǒng)計裝置發(fā)送的進入分散統(tǒng)計狀態(tài)的 通知后�����,對特征值進行統(tǒng)計���,當任一業(yè)務處理裝置中所述特征值的當前統(tǒng)計 值達到或超過接收到的分閾值時�,通知主控裝置���;在接收到主控裝置發(fā)送的 進入集中統(tǒng)計狀態(tài)的通知后��,對特征值進行集中統(tǒng)計����。
圖3為本發(fā)明提供的分布式系統(tǒng)中集中統(tǒng)計裝置的總體結構圖��?����?梢杂?于上述圖2所示的系統(tǒng)中,其中����,集中統(tǒng)計裝置包括分閾值計算模塊、控制
模塊和第一統(tǒng)計模塊�。
在集中統(tǒng)計裝置中,分閾值計算模塊����,用于保存預設的統(tǒng)計特征值的總 閾值,并根據(jù)該總閾值確定參與統(tǒng)計的不同業(yè)務處理裝置對應的分閾值��,發(fā) 送給控制模塊��。
控制模塊�,將接收的分閾值對應下發(fā)給各個業(yè)務處理裝置,通知分布式 系統(tǒng)中除本集中統(tǒng)計裝置外其它參與統(tǒng)計的各個業(yè)務處理裝置進入分散統(tǒng) 計狀態(tài)���;并在接收到分布式系統(tǒng)中任一業(yè)務處理裝置達到分閾值的通知后, 通知各個業(yè)務處理裝置進入集中統(tǒng)計狀態(tài)����,通知第一統(tǒng)計模塊進行集中統(tǒng)計����。
第一統(tǒng)計模塊�,用于接收到所述控制模塊的通知后,對特征值進行集中 統(tǒng)計��。
圖4為本發(fā)明提供的分布式系統(tǒng)中業(yè)務處理裝置的總體結構圖�����?���?梢杂?于上述圖2所示的系統(tǒng)中,其中����,業(yè)務處理裝置包括接口模塊和第二統(tǒng)計模塊。
在業(yè)務處理裝置中�����,接口模塊�,將分布式系統(tǒng)中的集中統(tǒng)計裝置發(fā)送的 通知和分閾值轉發(fā)給所述第二統(tǒng)計模塊。
第二統(tǒng)計模塊����,在接收到轉發(fā)的進入分散統(tǒng)計狀態(tài)的通知后����,對所述特
征值進行統(tǒng)計���,更新并保存所述特征值的當前統(tǒng)計值���,并在該當前統(tǒng)計值達 到自身對應的分閾值時,通過接口模塊通知主控裝置�����;并在接收到進入集中 統(tǒng)計狀態(tài)的通知后����,對特征值進行集中統(tǒng)計。
由上述可見����,本發(fā)明中,在各個業(yè)務處理裝置中的當前統(tǒng)計值尚未達到 對應的分閾值前����,業(yè)務處理裝置可以直接執(zhí)行涉及特征值改變的操作,不需 要上報集中統(tǒng)計裝置���,從而可以大大減少集中統(tǒng)計裝置與業(yè)務處理裝置間的 控制報文交互�����。但是����,如果一直保持分散統(tǒng)計狀態(tài)�����,則可能某業(yè)務處理裝置 中已經達到分閾值���,但所有業(yè)務處理裝置中特征值的統(tǒng)計值總和并未超過總 閾值�����,而由于分布式系統(tǒng)中是以總閾值對所有業(yè)務處理裝置中的相應特征值 的總和進行限制的�,因此在這種情況下不應該進行限制性處理��。于是為保證
嚴格的總閾值限制,當任一業(yè)務處理裝置中特征值的當前統(tǒng)計值達到對應的 分閾值后�,開始啟動集中統(tǒng)計??梢姡帽景l(fā)明后���,在統(tǒng)計的前一階段����, 進行業(yè)務處理裝置的分散統(tǒng)計�����,當統(tǒng)計值達到 一定數(shù)量后�����,再進行集中統(tǒng)計�, 確定是否進行限制處理??傊诜植际较到y(tǒng)中應用上述先分散后集中的統(tǒng) 計方式后����,能夠減少所需的控制報文交互量,降低對交互網絡的性能要求, 同時也能夠保證嚴格的總閡值限制�。
上述即為對本發(fā)明的總體概述,以下通過具體實施例說明本發(fā)明的具體 實施方式����。
目前�,在分布式的網絡安全系統(tǒng)中包括一個主控裝置和多個業(yè)務處理裝 置。其中�,業(yè)務處理裝置可以分別處理用戶的連接請求,同時�,主控裝置控 制所有業(yè)務處理裝置中各項統(tǒng)計數(shù)值之和不超過閾值限制。
在下面的具體實施例中��,就以在上述系統(tǒng)中應用本發(fā)明為例��,i兌明本發(fā) 明的具體實施方式
���。其中���,該分布式的網絡安全系統(tǒng)既可以由多個分離的設 備構成,也可以是一個單獨的網絡安全設備����,內部采用多個不同的單板實現(xiàn) 業(yè)務處理。在下面的實施例中,以一個單獨的網絡安全設備為例進行說明�, 其中,業(yè)務處理單元即為業(yè)務處理裝置�,主控單元即為主控裝置。
實施例一
本實施例中��,對分布式網絡安全設備中����,到達某一目的IP地址的會話 數(shù)進行統(tǒng)計,設該目的IP地址為IP1,即將到達IP1的會話連接數(shù)作為特征值����。
圖5為本發(fā)明實施例一中對分布式會話進行統(tǒng)計的方法具體流程圖。在 該方法中�,首先將主控單元設置為集中統(tǒng)計裝置,并通過管理員在該主控單 元中配置會話連接數(shù)的總閾值��,接下來的具體統(tǒng)計過程包括如下步驟
步驟501,主控單元判斷會話連接數(shù)的總閾值是否大于或等于預先設定 的分界閾值����,若是,則執(zhí)行步驟502及其后續(xù)步驟����,進行分散統(tǒng)計��;否則執(zhí) 行步驟509及其后續(xù)步驟�,進行集中統(tǒng)計�����。
對于帶有閾值限制的特征值統(tǒng)計��,當總閾值較低時�,可能無法進行或者
沒有必要進行分散統(tǒng)計�,例如在總閾值低于參與統(tǒng)計的業(yè)務處理單元數(shù)量 時。因此���,為保證分散統(tǒng)計的正常進行��,優(yōu)選地�����,在本實施例中�,預先設定 一個分界閾值�,該分界閾值用來判定當前的特征值是否可以釆用分散統(tǒng)計方 式進行統(tǒng)計。具體地���,當特征值(也就是會話連接數(shù))的總閾值大于或等于 設定的分界闞值時��,對特征值統(tǒng)計采用分散統(tǒng)計的方式����,否則,依然沿用現(xiàn) 有的集中統(tǒng)計方式進行統(tǒng)計�。
具體設定分界閾值的方式為根據(jù)業(yè)務處理單元的數(shù)量和連接類別(也 就是特征值類型),設定一個合適的分界閾值�。其中,設定的分界閾值不能 太高�,否則能夠進入先分散后集中統(tǒng)計的要求太高,使大部分特征值的統(tǒng)計 一直處于集中統(tǒng)計狀態(tài)��,為主控單元和業(yè)務處理單元間的交換網絡造成負 擔�����;同時����,設定的分界閾值也不能太低, 一方面要求至少大于業(yè)務處理單元 數(shù)量�,以使得各個參與統(tǒng)計的業(yè)務處理單元能被分到一定的分閾值,另一方 面��,分界閾值過低,可能導致總閾值比較低時也將進入分散統(tǒng)計狀態(tài)�����,這時���, 由于總閾值較低使得分閾值也較低��,將很快由分散統(tǒng)計狀態(tài)進入集中統(tǒng)計狀 態(tài)���,由于進入集中統(tǒng)計狀態(tài)時主控單元要向所有業(yè)務處理單元發(fā)送通知,因 此可能造成在此過程中承載通知的控制報文量大于始終處于集中統(tǒng)計狀態(tài) 下交互的控制報文量���,那么這時進行的分散統(tǒng)計就得不償失了。而業(yè)務處理 單元與主控單元間的控制報文量又與連接類別有關���,因此分界閾值的設定也 就與連接類別相關��。
當然����,實施本實施例時����,也可以不執(zhí)行本步驟����,而直接4丸行步驟502進 行分散統(tǒng)計����。
步驟502,根據(jù)會話連接數(shù)的總閾值確定參與統(tǒng)計的不同業(yè)務處理單元 對應的分閾《直。
本步驟中��,在進行分散統(tǒng)計時��,首先將用于限制總連接數(shù)的總闞值換算 為不同業(yè)務處理單元對應的分閾值�����,其中��,所有分閾值之和與總閾值相等����。
具體在劃分總閾值確定分閾值時,可以將總閾值按照參與統(tǒng)計會話類連 接數(shù)的業(yè)務處理單元總數(shù)進行均分�����,得到分閾值;或者���,也可以根據(jù)不同業(yè)
務處理單元的處理能力劃分總閾值���,為參與統(tǒng)計的不同業(yè)務處理單元確定不 同的分閾值。通常��,在參與統(tǒng)計的所有業(yè)務處理單元是完全對等時����,采用前 者的劃分方式,當不同業(yè)務處理單元間處理能力不同時����,采用后者的劃分方 式。這里��,所謂參與統(tǒng)計的業(yè)務處理單元是指在此處統(tǒng)計的特征值中�,與該 特征值的改變操作相關的業(yè)務處理單元�。例如,本實施例中進行的是到達IP1 的會話數(shù)統(tǒng)計��,則參與統(tǒng)計的業(yè)務處理單元就是能夠實現(xiàn)到達IP1的會話建 立或會話刪除的業(yè)務處理單元��。
步驟503,將步驟502中確定的分閾值對應下發(fā)給各個業(yè)務處理單元����, 通知業(yè)務處理單元進入分散統(tǒng)計狀態(tài)。
本步驟中���,可以定義一個新的消息用來攜帶確定的分閾值��,將該消息發(fā) 送給各個業(yè)務處理單元�����,業(yè)務處理單元收到該消息后���,保存被分配的分閾值, 創(chuàng)建特征值��,并進入分散統(tǒng)計狀態(tài)���。
在本發(fā)明中����,所有業(yè)務處理裝置與主控裝置的統(tǒng)計狀態(tài)均保持一致,本 實施例中����,也就是所有業(yè)務處理單元與主控單元的統(tǒng)計狀態(tài)均保持一致。
接下來�,在分散統(tǒng)計狀態(tài)中,不同的業(yè)務處理單元分別對會話連接數(shù)進 行實時統(tǒng)計��,具體包括
步驟504�����,業(yè)務處理單元接收改變會話連接數(shù)的操作請求���,更新會話連 接數(shù)的當前統(tǒng)計值�����,并執(zhí)行該改變會話連接數(shù)的操作���。
在分散狀態(tài)下,當業(yè)務處理單元接收到改變特征值的操作請求時����,更新 特征值的當前統(tǒng)計值,并直接執(zhí)行改變特征值的操作����。具體在本實施例中, 就是在接收到到達IP1的會話建立或會話刪除請求時�����,更新會話連接數(shù)的當 前統(tǒng)計值��,并執(zhí)行相應的會話建立或會話刪除請求�����。具體更新會話連接數(shù)的 方式為當該請求是會話建立時�����,將會話連接數(shù)加l作為當前統(tǒng)計值����;當該 請求是會話刪除時,將會話連接數(shù)減1作為當前統(tǒng)計值�。
由本步驟可以看出,應用本發(fā)明進4亍分散統(tǒng)計后���,業(yè)務處理單元接收到 改變特征值的操作請求后�����,不需要上報控制報文給主控單元請示是否可以進 行該操作�,而是可以直接執(zhí)行該操作,因此大大
單元間的控制報文交互�����。
步驟505,步驟504中接收到請求的業(yè)務處理單元判斷當前統(tǒng)計值是否 達到保存的分閾值����,若是,則執(zhí)行步驟506,否則返回步驟504���。
本步驟的操作可以在每次更新當前統(tǒng)計值后進行��,或者也可以只在當前 統(tǒng)計值增加后進行��。具體地�,對于會話數(shù)統(tǒng)計時��,可以在接收到會話建立請 求以及會話刪除請求并更新當前統(tǒng)計值后均執(zhí)行上述比較步驟����,也可以只在 接收到會話建立請求并更新當前統(tǒng)計值后執(zhí)行比較步驟,而在接收到會話刪 除請求并更新當前統(tǒng)計值后不執(zhí)行該步驟����。
步驟506,當前統(tǒng)計值達到分閾值的業(yè)務處理單元向主控單元發(fā)送通知�����。
至此���,任一業(yè)務處理單元的當前統(tǒng)計值達到或超過分閾值時��,該業(yè)務處 理單元會通知主控單元�����。
步驟507,主控單元接收到任一業(yè)務處理單元的通知后���,確定該業(yè)務處 理單元的當前統(tǒng)計值已達到分閾值,通知所有業(yè)務處理單元進入集中統(tǒng)計狀 態(tài)����。
本步驟中����,通知所有業(yè)務處理單元進入集中統(tǒng)計狀態(tài)的方式可以為
考慮到可能出現(xiàn)如下的情況至少兩個業(yè)務處理單元的當前統(tǒng)計值均達 到對應的分閾值��,并同時向主控單元發(fā)送通知�����,而主控單元一定是以某種先 后順序接收到上述通知����,可能會造成主控單元先后多次發(fā)送要求所有業(yè)務處 理單元進入集中統(tǒng)計狀態(tài)的通知。因此����,優(yōu)選地,主控單元可以首先判斷是 否首次收到該通知�����,若是��,則通知所有業(yè)務處理單元進入集中統(tǒng)計狀態(tài)����,否 則表明已經發(fā)送過該通知���,則可以不必再次發(fā)送通知。
至此���,所有業(yè)務處理單元和主控單元退出分散統(tǒng)計狀態(tài)�,進入集中統(tǒng)計 狀態(tài)���,對特征值進行集中統(tǒng)計。本實施例中����,在集中統(tǒng)計狀態(tài)下,主控單元 和業(yè)務處理單元對特征值進行集中統(tǒng)計時進行下述操作
步驟508,主控單元獲取參與統(tǒng)計的所有業(yè)務處理單元的特征值當前統(tǒng) 計值����,并計算所有當前統(tǒng)計值之和作為當前總統(tǒng)計值。
本步驟中�����,主控單元綜合參與統(tǒng)計的所有業(yè)務處理單元的情況�����,對特征
值的當前統(tǒng)計狀況進行記錄。具體地����,主控單元獲取參與統(tǒng)計的所有業(yè)務處
理單元的特征值當前統(tǒng)計值的方式可以為通過步驟507中發(fā)送的通知消息 向各個業(yè)務處理單元請求特征值的當前統(tǒng)計值,或者另外發(fā)送一個消息請求 該當前統(tǒng)計值�����。在獲取所有業(yè)務處理單元的當前統(tǒng)計值后��,將所有當前統(tǒng)計 值之和作為當前總統(tǒng)計值�,并以該總統(tǒng)計值為基礎進行集中統(tǒng)計。
步驟509,參與統(tǒng)計的各個業(yè)務處理單元接收到改變特征值的操作請求 后�,向主控單元上報該請求。
步驟510���,主控單元接收到上報的請求后���,更新特征值的當前總統(tǒng)計值, 判斷當前總統(tǒng)計值是否達到總閾值�,若是,則執(zhí)行步驟511,否則執(zhí)行步驟 512�。
本步驟中,在主控單元對特征值進行集中統(tǒng)計���,隨時更新并檢查當前總 統(tǒng)計值是否達到總閾值��,若達到���,則進行限制處理�����,否則�����,通知業(yè)務處理單 元正常處理。在集中統(tǒng)計過程中����,業(yè)務處理單元和主控單元中相應特征值的 當前統(tǒng)計值的變化始終保持一致。具體本實施例中��,在主控單元中保存各個 業(yè)務處理單元到達IP1的會話連接數(shù)的當前統(tǒng)計值��,該當前統(tǒng)計值與各個業(yè) 務處理單元自身保存的到達IP1的會話連接數(shù)的當前統(tǒng)計值始終保持一致�����。
步驟511,主控單元進行限制性處理��。
本步驟中���,進行的限制性處理可以為通知發(fā)送請求的業(yè)務處理單元拒 絕操作請求�、和/或將超闞值事件記錄在日志中����、和/或向管理系統(tǒng)發(fā)出會話 連接數(shù)超閾值告警。
步驟512,主控單元通知發(fā)送請求的業(yè)務處理單元對請求進行正常處理���。
至此�,本實施例提供的方法可以結束���?;蛘?��,考慮到會話連接數(shù)可能由 于會話刪除操作的影響而逐漸減少��,當主控單元中的當前統(tǒng)計值降到比較低 時��,可以考慮退回到分散統(tǒng)計狀態(tài)�����,以進一步減少控制報文的交互量��。因此��, 優(yōu)選地��,本實施例還可以在集中統(tǒng)計狀態(tài)下�,在主控單元中對應保存和更新 所有業(yè)務處理單元對應的當前統(tǒng)計值,并在步驟509后執(zhí)行以下操作
主控單元依次判斷各個業(yè)務處理單元的當前統(tǒng)計值與預先設置的該業(yè)
務處理單元的下限閾值����,若所有的當前統(tǒng)計值均低于相應的下限閾值�����,則通 知所有的業(yè)務處理單元進入分散統(tǒng)計狀態(tài)���,并返回步驟504對特征值進行分
散統(tǒng)計����,否則執(zhí)行步驟510。
上述操作中�����,需要將當前統(tǒng)計值與預先設置的下限閾值進行比較�。這里, 可以根據(jù)該業(yè)務處理單元的分閾值和總閾值設置該業(yè)務處理單元合適的下 限閾值�����。其中���,下限閾值的設置不能太高���,避免分散統(tǒng)計狀態(tài)和集中統(tǒng)計狀
態(tài)間的頻繁切換;同時�����,下限閾值的設置也不能太低�,避免下限閾值與對應
分閾值間的絕對值過大,從而導致長期處于集中統(tǒng)計狀態(tài)�����,使業(yè)務處理單元 與主控單元間的控制報文為交換網絡帶來過大的負擔。通常以相應分閾值的
百分比作為下限闞值��,優(yōu)選地���,將分閾值的90%作為相應的下限閾值�����。
上述判斷操作可以在每次更新當前統(tǒng)計值(包括當前統(tǒng)計值增加及減 少)后進行����,或者也可以只在當前統(tǒng)計值減少后進行��。具體地�����,對于會話數(shù) 統(tǒng)計時��,可以在接收到會話建立請求以及會話刪除請求并更新當前統(tǒng)計值后 均執(zhí)行上述比較步驟����,也可以只在接收到會話刪除請求并更新當前統(tǒng)計值后 執(zhí)行比較步驟����,而在接收到會話建立請求并更新當前統(tǒng)計值后不執(zhí)行該步 驟����。
應用上述本實施例提供的方法后���,可以獲得圖6和圖7所示的主控單元 和業(yè)務處理單元的狀態(tài)轉移圖�。在圖6和圖7中���,代表分散統(tǒng)計狀態(tài)的圓圈 有兩個邊界��,代表該分散統(tǒng)計狀態(tài)是起始狀態(tài)��,也就是忽略掉步驟501����、直 接執(zhí)行步驟502的情況���。由圖6和圖7可以看出����,在對會話連接數(shù)進行統(tǒng)計 的過程中��,隨著會話連接數(shù)的改變,業(yè)務處理單元和主控單元可以在分散統(tǒng) 計狀態(tài)和集中統(tǒng)計狀態(tài)之間進行調整�����,以盡可能地減輕統(tǒng)計過程對業(yè)務處理 單元和主控單元間的控制報文交互量�����,并同時保證嚴格的總閾值限制���。
本實施例還提供了一種具有閾值限制統(tǒng)計功能的分布式網絡安全系統(tǒng)����, 該系統(tǒng)結構如圖2所示���。在下面的描述中�����,以在網絡安全設備中進行閾值限 制統(tǒng)計為例說明系統(tǒng)中的具體構成��。具體地�����,該網絡安全設備包括主控單元 和業(yè)務處理單元���。其中,主控單元即為圖2所示的集中統(tǒng)計裝置���,業(yè)務處理
單元即為圖2所示的業(yè)務處理裝置����。主控單元和業(yè)務處理單元的具體結構���,
分別為圖3和圖4所示集中統(tǒng)計裝置和業(yè)務處理裝置的一種具體實施方式
���, 可以用于實施上述圖5所示的方法流程。圖8即為本實施例中主控單元的具 體結構圖��。如圖8所示����,該主控單元包括分閾值計算模塊、控制模塊和第一 統(tǒng)計模塊�。
主控單元中的控制模塊,用于保存配置的統(tǒng)計特征值的總閾值�����,比較該 總閾值與預先設定的分界閾值,當總閾值大于或等于所述分界閾值時�����,觸發(fā) 所述分閾值計算模塊計算分閾值���。分閾值計算模塊�����,接收到觸發(fā)通知后��,根 據(jù)要統(tǒng)計的特征值的總閾值確定參與統(tǒng)計的不同業(yè)務處理裝置對應的分閱 值����,并發(fā)送給控制模塊���。
控制模塊將接收的分閾值對應下發(fā)給網絡安全設備中參與會話連接數(shù) 統(tǒng)計的各個業(yè)務處理單元�,通知各個業(yè)務處理裝置進入分散統(tǒng)計狀態(tài)�����;并在 接收到任一業(yè)務處理裝置達到分閾值的通知后,通知各個業(yè)務處理裝置進入 集中統(tǒng)計狀態(tài)�,并通知第一統(tǒng)計模塊進行集中統(tǒng)計�����。第一統(tǒng)計模塊接收到控 制模塊的通知后�,對特征值進行集中統(tǒng)計。
考慮到會話連接數(shù)可以減小�����,從而可以由集中統(tǒng)計狀態(tài)轉入分散統(tǒng)計狀 態(tài)的情況�����,優(yōu)選地���,主控單元中的第一統(tǒng)計模塊���,保存并更新各個業(yè)務處理 單元中相應特征值的當前統(tǒng)計值,提供給控制模塊��?����?刂颇K接收第一統(tǒng)計 模塊中更新后的當前統(tǒng)計值,比較當前統(tǒng)計值與預先設置的該業(yè)務處理單元 的下限閾值�����,當業(yè)務處理單元中的當前統(tǒng)計值均小于對應的下限閾值時�����,控 制模塊通知各個業(yè)務處理單元和第一統(tǒng)計模塊退出集中統(tǒng)計狀態(tài)�、進入分散 統(tǒng)計狀態(tài)。第一統(tǒng)計模塊�����,在接收到進入分散統(tǒng)計狀態(tài)的通知后�,停止集中 統(tǒng)計。
圖9即為本實施例中業(yè)務處理單元的具體結構圖�。如圖9所示,業(yè)務處 理單元包括接口模塊和第二統(tǒng)計模塊���。
業(yè)務處理單元中的接口模塊���,將網絡安全設備中的主控單元發(fā)送的通知 和分閾值轉發(fā)給第二統(tǒng)計模塊���。
第二統(tǒng)計模塊,在接收到轉發(fā)的進入分散統(tǒng)計狀態(tài)的通知后�����,對會話連 接數(shù)進行統(tǒng)計����,更新并保存會話連接數(shù)的當前統(tǒng)計值�,并在該當前統(tǒng)計值達
到自身對應的分閾值時,通知主控單元��;并在接收到進入集中統(tǒng)計狀態(tài)的通
知后�,對會話連接數(shù)進行集中統(tǒng)計。
同樣考慮到會話連接數(shù)可以減小���,從而可以由集中統(tǒng)計狀態(tài)轉入分散統(tǒng) 計狀態(tài)的情況���,優(yōu)選地,在主控單元向各個業(yè)務處理單元發(fā)出退出集中統(tǒng)計 狀態(tài)�、進入分散統(tǒng)計狀態(tài)后,業(yè)務處理單元中的接口模塊將進入分散統(tǒng)計狀
態(tài)的通知轉發(fā)給第二統(tǒng)計模塊;第二統(tǒng)計模塊���,接收到分散統(tǒng)計的通知后�����, 進行分散統(tǒng)計�。
在本實施例中��,在進行集中統(tǒng)計時�,由主控單元獲取所有業(yè)務處理單元 的當前統(tǒng)計值,求和后進行特征值的集中統(tǒng)計����;事實上,為進一步減少業(yè)務 處理單元和主控單元間的控制報文量�����,或者����,當主控單元當前執(zhí)行的操作任 務較重時,可以由預先指定的任意一個業(yè)務處理單元執(zhí)行上述統(tǒng)計過程中主 控單元的操作���,也就是將集中統(tǒng)計裝置設置為某個業(yè)務處理單元�。具體地, 首先由管理員在該業(yè)務處理單元中配置特征值的總閾值��,或者也可以由主控 單元將管理員配置在主控單元中的總閾值下發(fā)給該集中統(tǒng)計的業(yè)務處理單 元����,然后該業(yè)務處理單元獲取所有業(yè)務處理單元的當前統(tǒng)計值,求和后進行 特征值的集中統(tǒng)計�����;除該用于集中統(tǒng)計的業(yè)務處理單元外的其它業(yè)務處理單 元在接收到特征值改變的操作后��,向該進行集中統(tǒng)計的業(yè)務處理單元轉發(fā)該 請求���,該業(yè)務處理單元接收請求后進行統(tǒng)計,以確定是進行正常操作還是限 制操作�。這樣,由于該進行集中統(tǒng)計的業(yè)務處理單元不需要再向自己發(fā)送控 制報文�����,上報操作請求��,因此減少了一個業(yè)務處理單元與主控單元間的控制 報文交互量。
又或者�����,集中統(tǒng)計裝置也可以設置為一個新增的專用于進行集中統(tǒng)計的 裝置����,在統(tǒng)計過程中,其執(zhí)行的操作與本實施例中主控單元在統(tǒng)計過程中的 操作相同��。
實施例二
在諸如網絡安全設備等分布式系統(tǒng)的連接數(shù)統(tǒng)計中�,對于實施例一 中進 行的會話連接數(shù)統(tǒng)計,既可能由于新建會話操作而增加統(tǒng)計的會話連接數(shù)��,
也可能由于刪除會話操作而減少統(tǒng)計的會話連接數(shù)�����;而對于UDP連接數(shù)��、 SYN連接數(shù)和ICMP連接數(shù)等統(tǒng)計而言����,由于存在新建連接操作而增加相應 的連接數(shù),但不存在刪除連接操作���,因此不存在減少相應的連接數(shù)��,因此對 這類連接數(shù)進行分布式統(tǒng)計時����,統(tǒng)計方式與實施例一略有不同。在本實施例 中���,就以SYN連4妄數(shù)統(tǒng)計為例�,說明具體的統(tǒng)計方式�。
圖IO為本發(fā)明實施例二中對分布式SYN連接數(shù)進行統(tǒng)計的方法具體流 程圖。在該方法中�����,與實施例一相同�,將集中統(tǒng)計裝置設置為主控單元����,并 在該主控單元中設置特征值的總閾值。具體進行統(tǒng)計的方法流程包括以下步 驟
步驟1001�����,主控單元判斷SYN連接數(shù)的總閾值是否大于或等于預先設 定的分界閾值,若是�,執(zhí)行步驟1002及其后續(xù)步驟,進行分散統(tǒng)計��;否則 執(zhí)行步驟1009及其后續(xù)步驟�����,進行集中統(tǒng)計��。
步驟1002 ~ 1003,主控單元根據(jù)SYN連接數(shù)的總閾值確定參與統(tǒng)計的 不同業(yè)務處理單元對應的分閾值��;將確定的分閾值對應下發(fā)給各個業(yè)務處理 單元��,通知業(yè)務處理單元進入分散統(tǒng)計狀態(tài)�。
上述步驟1001 ~ 1003的操作與實施例一中步驟501 ~ 503的操作相同, 這里就不再贅述���。
步驟1004�,業(yè)務處理單元接收新建SYN連接請求時�,更新特征值的當 前統(tǒng)計值,并執(zhí)行該新建SYN連接請求的操作���。
由于本實施例進行的是SYN連接數(shù)統(tǒng)計����,因此改變特征值的操作為新 建SYN連接操作,更新當前統(tǒng)計值的方式為在接收到SYN連接建立請求 時�,將SYN連4妄凄史力。1作為當前統(tǒng)計值�����。
步驟1005���,判斷當前統(tǒng)計值是否達到保存的分閾值���,若是,則執(zhí)行步 驟1006�����,否則返回步驟1004�����。
步驟1006- 1008,當前統(tǒng)計值達到分閾值的業(yè)務處理單元向主控單元發(fā)送通知�;主控單元接收到任一業(yè)務處理單元的通知后�,確定該業(yè)務處理單 元的當前統(tǒng)計值已達到對應的分闊值��,通知所有業(yè)務處理單元進入集中統(tǒng)計 狀態(tài)��;主控單元獲取參與統(tǒng)計的所有業(yè)務處理單元的特征值當前統(tǒng)計值�,并 計算所有當前統(tǒng)計值之和作為當前總統(tǒng)計值�����。
步驟1009 ~ 1012�,參與統(tǒng)計的各個業(yè)務處理單元接收到新建SYN連接 的請求后,向主控單元上報該請求�����;主控單元接收到上報的請求后�����,更新特 征值的當前統(tǒng)計值���,判斷當前統(tǒng)計值是否達到總閾值����,若是,則進行限制性 處理���,否則����,通知發(fā)送請求的業(yè)務處理單元對請求進行正常處理。
至此�����,本實施例提供的方法流程可以結束。在上述方法流程中���,與實施 例一類似地����,在進入集中統(tǒng)計狀態(tài)后可以選擇退出集中統(tǒng)計狀態(tài)��,進入分散 統(tǒng)計狀態(tài)��,由于SYN連接數(shù)統(tǒng)計是與時間相關的統(tǒng)計,因此對于該統(tǒng)計過 程中����,退出集中統(tǒng)計狀態(tài)的方式可以為定時清零的方式。具體地,當定時時 間到時,將主控單元和業(yè)務處理單元中SYN連接數(shù)的當前統(tǒng)計值均清零���, 主控單元和業(yè)務處理單元自動返回分散統(tǒng)計狀態(tài),返回步驟1004。其中���, 定時時間可以任意設定,例如1秒鐘�����。對于這類采用統(tǒng)一定時清零而退出集 中統(tǒng)計狀態(tài)的特征值統(tǒng)計來說�,主控單元中可以保存各個業(yè)務處理單元對應 的當前統(tǒng)計值,也可以不保存��。這一點與實施例一中的情況有所不同。
應用上述本實施例提供的方法后���,可以獲得圖11和圖12所示的主控單 元和業(yè)務處理單元的狀態(tài)轉移圖�。
本實施例還提供了 一種具有閾值限制統(tǒng)計功能的分布式網絡安全系統(tǒng)���, 與實施例一類似���,仍以在網絡安全設備中進行閾值限制統(tǒng)計為例說明系統(tǒng)中 的具體構成��。該網絡安全設備與實施例一相同��,包括業(yè)務處理單元和主控單 元�����,并且其中業(yè)務處理單元和主控單元的具體結構與實施例一相同�����。區(qū)別在 于,本實施例中進行統(tǒng)計的是SYN連接數(shù)���,由于該連接數(shù)的統(tǒng)計與時間相 關����,因此統(tǒng)計過程中,退出集中狀態(tài)�、進入分散統(tǒng)計狀態(tài)時業(yè)務處理單元和 主控單元中的操作不同�����。具體地�,本實施例中�,主控單元中的第一統(tǒng)計模塊 在進入集中統(tǒng)計狀態(tài)后,每隔預設的時間間隔�����,進入分散統(tǒng)計狀態(tài),停止集
中統(tǒng)計���;業(yè)務處理單元中的第二統(tǒng)計模塊��,在進入集中統(tǒng)計狀態(tài)后��,每隔預
設的時間間隔�,將保存的當前統(tǒng)計值清零����,進入分散統(tǒng)計狀態(tài)。
在實施例二中�����,與實施例一類似��,主控單元的操作也可以利用任意一個 業(yè)務處理單元來進行�,這里就不再贅述����。
在上述兩個實施例中��,根據(jù)特征值的總閾值確定的不同業(yè)務處理單元的 分閾值都是確定的。但是�,當不同業(yè)務處理單元間實際處理的業(yè)務量差別很 大時��,也就是業(yè)務向一部分業(yè)務處理單元傾斜時�,可能會出現(xiàn)部分業(yè)務處理 單元的當前統(tǒng)計值已經達到或接近相應的分閾值,但是其它部分業(yè)務處理單 元的當前統(tǒng)計值還遠低于相應的分閾值���,這時�,如果開始進行集中統(tǒng)計�,則 在總的統(tǒng)計值達到總閾值前,業(yè)務處理單元和主控單元間的控制報文交互量
也比纟交大�。
針對上述情況�����,本發(fā)明在特征值的統(tǒng)計過程中���,還可以根據(jù)業(yè)務處理單 元的當前統(tǒng)計值實時更新業(yè)務處理單元的分閾值,盡量減少處于集中統(tǒng)計狀 態(tài)的時間�,以進一步減小業(yè)務處理單元與主控單元間的控制報文交互量��。下 面通過幾個實施例說明帶有更新分閾值機制的本發(fā)明的實施方式��。
實施例三
本實施例中����,仍以會話數(shù)統(tǒng)計為例進行說明����,并且在每次有業(yè)務處理單 元的當前統(tǒng)計值達到分閾值、通知主控單元后�,進行分閾值的更新操作����。
本實施例中�,在最初設置分閾值時,采用與實施例一中相同的方式�,也 就是說,根據(jù)參與統(tǒng)計的業(yè)務處理單元�����,將總閾值分成分閾值���,所有業(yè)務處 理單元的分閾值之和為總閾值��。在更新分闊值時���,獲取所有參與統(tǒng)計的業(yè)務 處理單元的當前統(tǒng)計值�,并計算總閾值與所有業(yè)務處理單元的當前統(tǒng)計值之 和的差����,作為當前安全余量����,也就是計算目前為止,還可以按正常情況處理 的業(yè)務數(shù)量���。然后,根據(jù)安全余量確定業(yè)務處理單元新的分閾值��。
圖13為本發(fā)明實施例三中對分布式會話進行統(tǒng)計的方法具體流程圖�����。 如圖13所示�����,該方法包括
步驟1301 - 1306���,與實施例一中步驟501 506的操作相同�,這里就不
再贅述。
步驟1307�,主控單元獲取參與統(tǒng)計的所有業(yè)務處理單元的特征值的當 前統(tǒng)計值���,計算安全余量�。
本步驟中����,主控單元計算安全余量的方式可以為將獲取的所有業(yè)務處 理單元的特征值的當前統(tǒng)計值求和,再計算總閾值與上述求和結果的差值作 為安全余量��。也就是說���,該安全余量表示的是在對會話連接進行限制前,還 可以正常處理的會話連接數(shù)����。
步驟1308,主控單元根據(jù)計算的安全余量和預先設置的分界閾值,判 斷是否需要進行分閾值的更新��,若是��,則執(zhí)行步驟1310,更新分閾值��,否 則執(zhí)行步驟1309�����。
本步驟中�,判斷是否需要進行分閾值更新的方式可以為比較安全余量 和預先設置的分界閾值,若前者大于或等于后者����,則判定可以進行分閾值更 新,否則�,判定不需要進行分閾值更新�,直接進入集中統(tǒng)計狀態(tài)。
比較上述判斷方式和步驟1301的操作可以看出,事實上���,本步驟中判 斷是否需要更新分閾值可以等價為判斷剩余的安全余量是否能夠滿足進行 分散統(tǒng)計的條件�����,從而判斷是否可以將該安全余量再次分給各個業(yè)務處理單 元進4于分散統(tǒng)計���。
步驟1309,主控單元獲取所有業(yè)務處理單元的特征值的當前統(tǒng)計值之 和作為當前總統(tǒng)計值,開始進行集中統(tǒng)計��。
本步驟中��,主控單元確定當前總統(tǒng)計值后���,進入集中統(tǒng)計狀態(tài)。在進行 集中統(tǒng)計時,具體操作與實施例一中步驟509- 511的操作相同�,這里就不 再贅述。
步驟1310,根據(jù)該安全余量確定新的分閾值下發(fā)給各個業(yè)務處理單元���, 返回步驟1304��。
本步驟中����,根據(jù)安全余量確定新的分閾值的方式可以為主控單元將安 全余量按照參與統(tǒng)計的業(yè)務處理單元數(shù)進行均分���,并將該均分值與步驟1307 獲取的各個業(yè)務處理單元的當前統(tǒng)計值之和作為新的分閾值下發(fā)給各個業(yè)
務處理單元�。業(yè)務處理單元利用接收到的新的分閾值更新原有的分閾值����,并
在當前統(tǒng)計值基礎上進入分散統(tǒng)計狀態(tài),返回步驟1304�。
利用上述更新分閾值的操作����,就使得各個業(yè)務處理單元重新確定了各自 的分閾值�����,最大限度地使特征值的統(tǒng)計處于分散狀態(tài)下�����,平衡了不同業(yè)務處 理單元間剩余可以正常處理的連接數(shù)�����,進一步減小了處于集中統(tǒng)計狀態(tài)的時 間�,減少了主控單元與業(yè)務處理單元間的控制報文交互����。
至此,本實施例提供的方法流程可以結束���。當然���,考慮到會話連接數(shù)可 能由于會話刪除操作的影響而逐漸減少,本實施例也可以與實施例一類似�����, 在當前總統(tǒng)計值減小到一定程度后�,返回分散統(tǒng)計狀態(tài),以進一步減少主控 單元和業(yè)務處理單元間的控制報文交互量����。
本實施例中提到的更新分閾值可以循環(huán)進行,直到計算得到的安全余量 低于預設的分界閾值����,無法進行分閾值更新為止。
在本實施例中���,為進一步改善更新分閾值的效果���,更新分閾值的判斷和 具體的更新操作可以在主控單元中定時進行,從而實現(xiàn)分闞值預調節(jié)的目 的����。
具體地,在分散統(tǒng)計狀態(tài)下���,主控單元定時獲取各個參與統(tǒng)計的業(yè)務處 理單元中特征值的當前統(tǒng)計值�,然后根據(jù)這些當前統(tǒng)計值判斷業(yè)務是否向某 些業(yè)務處理單元傾斜,若是���,則初步確定需要更新分閾值���。然后,計算當前 的安全余量���,并根據(jù)該安全余量進一步判斷是否需要更新分閾值����,若需要��, 則更新分閾值并通知各個業(yè)務處理單元���,否則���,進入集中統(tǒng)計狀態(tài)��。具體計 算安全余量和進一步判斷及更新分閾值的方式與前述步驟1308 - 1310相 同,這里就不再贅述�。
其中,根據(jù)獲取的所有業(yè)務處理單元的當前統(tǒng)計值判斷業(yè)務是否向某些 業(yè)務處理單元傾斜的方式可以為計算所有當前統(tǒng)計值中最大值與最小值之 差��,將該差值與預先設置的差值門限進行比較�,若前者大于后者�����,則判定出 現(xiàn)業(yè)務傾斜狀況,有必要進行分閾值更新���,否則�����,判定沒有出現(xiàn)業(yè)務傾斜狀 況�,不需要進行分閾值更新。這里����,差值門限的設置可以根據(jù)總閾值及分闊
值間的關系進行設置��。
本實施例還提供了 一種具有閾值限制統(tǒng)計功能的網絡安全系統(tǒng)�。如前所 述�����,仍以在網絡安全設備中進行閾值限制統(tǒng)計為例說明該系統(tǒng)的具體構成�。 該網絡安全設備包括業(yè)務處理單元和主控單元�����。該設備、業(yè)務處理單元和主 控單元的具體結構可以采用與實施例 一相同的結構���。進一 步地,本實施例中�, 主控單元除具有實施例一中描述的功能外,其中的控制模塊可以在進入分散 統(tǒng)計狀態(tài)后���,判斷是否需要更新分閾值�����,當控制模塊判定需要更新時����,通知 所述分閾值計算模塊更新分閾值。分閾值計算模塊�,在接收到更新分閾值的 通知后,更新分閾值并發(fā)送給控制模塊�����?���?刂颇K在接收到更新后的分閱值 后對應下發(fā)給各個業(yè)務處理單元。本實施例中的業(yè)務處理單元除具有實施例 一中描述的功能外,其中的接口模塊還可以將主控單元發(fā)送的更新后的分閾
值轉發(fā)給第二統(tǒng)計模塊�����;第二統(tǒng)計模塊��,利用接收的分閾值更新保存的分閾
值���,繼續(xù)進行分散統(tǒng)計。
實施例四
在本實施例中����,最初設置分閾值時���,與前述實施例不同���,是將總閾值分 為多份分閾值����,并且分閾值的份數(shù)大于參與統(tǒng)計的業(yè)務處理單元數(shù)量�。在下 發(fā)分閾值時,為各個業(yè)務處理單元下發(fā)一份分閾值���,并保留部分分閾值���。在 更新分閾值時,將主控單元保留的部分分閾值�����,分配給需要更新分閾值的業(yè) 務處理單元��,每次分配一份���,從而增加該業(yè)務處理單元的分閾值�。
圖14為本發(fā)明實施例四中對分布式會話進行統(tǒng)計的方法具體流程圖。 如圖14所示���,該方法包括
步驟1401 ~ 1406,與實施例一中步驟501 ~ 506的操作基本相同�,區(qū)別 僅在于,步驟1402中設置分閾值的方式不同�。本實施例中,設置分閾值的 方式為將總閾值均分成若干份�,每份為一個分閾值�,分閾值的份數(shù)大于參 與統(tǒng)計的業(yè)務處理單元的個數(shù)。將每個分閾值分別發(fā)送給各個業(yè)務處理單 元���。這樣�����,所有業(yè)務處理單元的分閾值總和小于總閾值��。主控單元保存剩余 的分閾值����。例如�,假定將總閾值均分為IO份分閾值�����,共有7個參與統(tǒng)計的
業(yè)務處理單元�,則為每個業(yè)務處理單元分配一份分閾值后,還剩余3份分閾
值���,將這3份保存起來���。
步驟1407,主控單元判斷是否還有剩余的分閾值�,若是,則判定需要 進行分閾值更新�,執(zhí)行步驟1408,否則判定不需要進行分閾值更新,執(zhí)行 步驟1409�。
步驟1408,主控單元將剩余分閾值中的一份下發(fā)給已達到分閾值的業(yè) 務處理單元���,該業(yè)務處理單元接收下發(fā)的分閾值�,更新自身對應的分閾值��, 返回步驟1404。
本步驟中��,對于已經達到對應分閾值的業(yè)務處理單元����,如果主控單元中 仍然剩余有分閾值,則可以將剩余分閾值中的一份分給該業(yè)務處理單元�,該 業(yè)務處理單元接收到新分配的分閾值后,與自身保存的分閾值相加作為新的 分閾值進行保存�,并返回步驟1404。
這里��,由于最初分閾值的分配是平均進行的�����,因此最先達到分閾值的業(yè) 務處理單元一定在之前的時間內進行了最多的相關業(yè)務操作���;經過本步驟的 操作����,使得最先達到分閾值的業(yè)務處理單元可以有機會提高自己的分閾值��, 為相對處理業(yè)務較多的業(yè)務處理單元分配更大的分閾值���,從而平衡各個業(yè)務 處理單元間對于特征值的限制程度���。
返回步驟1404,也就是依然保持在分散統(tǒng)計狀態(tài),可見�,與實施例一 中的在某業(yè)務處理單元的當前統(tǒng)計值達到分閾值后直接進入集中統(tǒng)計狀態(tài) 的狀況相比,本實施例中還可以在某業(yè)務處理單元的當前統(tǒng)計值達到分閾值 后有機會對分閾值進行更新��,從而繼續(xù)處于分散統(tǒng)計狀態(tài)����,進而減少主控單 元與業(yè)務處理單元間控制報文的交互量。這一點與實施例三類似���,只是具體 判斷是否需要更新以及具體的分閾值更新方式有所差別�����。
在本實施例中�,某業(yè)務處理單元更新分閾值后���,如果統(tǒng)計的特征值可能 減少����,例如�����,會話連接數(shù)統(tǒng)計��,則優(yōu)選地���,還可以包括在每次特征值的當 前統(tǒng)計值減小后��,業(yè)務處理單元判斷分閾值與當前統(tǒng)計值之差是否大于預先 設置的可回收閾值�,若是�����,則該業(yè)務處理單元將更新分閾值時被分配的一份 分閾值歸還給主控單元,主控單元回收該業(yè)務處理單元歸還的 一份分閾值��。 業(yè)務處理單元歸還分閾值的過程可以循環(huán)進行��,直到該業(yè)務處理單元的分閾 值等于最初分配的分閾值��。其中���,可回收閾值的設置應略大于一份分閾值的 大小�����,否則會造成在更新分閾值和回收分閾值間的頻繁切換�����,優(yōu)選地���,將可 回收閾值設置為大于等于分閾值的1.5倍。經過上述處理后�,就可以在某業(yè) 務處理單元的特征值減小到一定程度后,降低其分閾值���,將這部分分閾值歸
步驟1409,主控單元獲取所有業(yè)務處理單元的特征值的當前統(tǒng)計值�,
求和后作為特征值的當前總統(tǒng)計值,開始進行集中統(tǒng)計�。
在進行集中統(tǒng)計時���,具體操作與實施例一 中步驟509 ~ 511的操作相同�, 這里就不再贅述��。
在本實施例中�����,與實施例三類似����,為進一步改善更新分閾值的效果,更 新分閾值的判斷和具體的更新操作可以在主控單元中定時進行�����,從而實現(xiàn)分 鬮值預調節(jié)的目的�。
具體地,在分散統(tǒng)計狀態(tài)下���,主控單元定時荻取各個參與統(tǒng)計的業(yè)務處 理單元中特征值的當前統(tǒng)計值�����,然后根據(jù)這些當前統(tǒng)計值判斷業(yè)務是否向某 些業(yè)務處理單元傾斜�����,若是���,則初步確定需要更新分閾值�����。接下來���,針對需 要更新分閾值的業(yè)務處理單元,逐個進一步判斷是否需要更新分閾值���,若需 要�����,則更新分閾值并通知該業(yè)務處理單元�����,否則���,不進行任何操作�����。
其中,根據(jù)獲取的所有業(yè)務處理單元的當前統(tǒng)計值判斷業(yè)務是否向某些 業(yè)務處理單元傾斜的方式可以為主控單元比較任意業(yè)務處理單元的當前統(tǒng) 計值與預先設置的該業(yè)務處理單元對應的更新閾值�,若前者大于后者,則判 定業(yè)務向該業(yè)務處理單元傾斜�,初步確定需要對該業(yè)務處理單元進行分閾值 更新,否則��,判定不需要進行分閾值更新�。主控單元對初步確定需要更新分 閾值的業(yè)務處理單元逐個進一步判斷是否需要更新,該判斷的順序為依據(jù) 超出對應更新閾值的程度進行����,超出更新閾值的百分比越大�,判斷的次序越 靠前��。對于預先設置的業(yè)務處理單元對應的更新閾值,通常以相應分閾值的
百分比表示�,例如���,相應分閾值的卯%���。當業(yè)務處理單元的當前統(tǒng)計值超過 該分閾值的90%后,即判定需要進行分閾值更新���。
上述即為本發(fā)明的具體實施方式
���。在上述四個實施例中,均以網絡安全 系統(tǒng)為例說明的本發(fā)明的具體實施方式
��,事實上�����,對于其它分布式系統(tǒng)�,在 進行帶有閾值限制的特征值統(tǒng)計時,均可以采用本發(fā)明提供的方法和系統(tǒng)進
行�。例如,可以應用于具有分布式結構的L4 L7網絡設備中��。
以上僅為本發(fā)明的較佳實施例而已�����,并非用于限定本發(fā)明的保護范圍�����。 凡在本發(fā)明的精神和原則之內����,所作的任何修改����、等同替換����、改進等����,均應 包含在本發(fā)明的保護范圍之內。
權利要求
1��、一種分布式系統(tǒng)中帶有閾值限制的統(tǒng)計方法�����,其特征在于���,預先設置集中統(tǒng)計裝置�����,并根據(jù)業(yè)務要求在該集中統(tǒng)計值裝置中設置要統(tǒng)計的特征值的總閾值�,該統(tǒng)計方法包括a�、集中統(tǒng)計裝置根據(jù)所述總閾值確定參與統(tǒng)計的不同業(yè)務處理裝置對應的分閾值,并將確定的分閾值對應下發(fā)給各個業(yè)務處理裝置��,通知所有業(yè)務處理裝置進入分散統(tǒng)計狀態(tài);b�、不同的業(yè)務處理裝置分別對所述特征值進行統(tǒng)計,當任一業(yè)務處理裝置中所述特征值的當前統(tǒng)計值達到自身對應的分閾值時����,通知集中統(tǒng)計裝置;集中統(tǒng)計裝置通知所有業(yè)務處理裝置進入集中統(tǒng)計狀態(tài)�,對特征值進行集中統(tǒng)計。
2��、 根據(jù)權利要求1所述的方法���,其特征在于����,所述根據(jù)要統(tǒng)計的特征值的 總閾值確定不同業(yè)務處理裝置對應的分閾值前�����,該方法進一步包括比較總閾 值與預先設定的分界閾值�����,當總閾值大于或等于所述分界閾值時����,繼續(xù)執(zhí)行所 述根據(jù)要統(tǒng)計的特征值的總閾值確定不同業(yè)務處理裝置對應的分闊值的操作, 否則通知各個業(yè)務處理裝置對特征值進行集中統(tǒng)計���。
3����、 根據(jù)權利要求1所述的方法�����,其特征在于�����,在集中統(tǒng)計狀態(tài)下�,該方法 進一步包括集中統(tǒng)計裝置保存并更新各個業(yè)務處理裝置中特征值的當前統(tǒng)計 值,當所有業(yè)務處理裝置中的當前統(tǒng)計值均小于預先設置的該業(yè)務處理裝置的 下限閾值時����,通知各個業(yè)務處理裝置退出集中統(tǒng)計狀態(tài)、進入分散統(tǒng)計狀態(tài)����, 并返回步驟b�����。
4�����、 根據(jù)權利要求1所述的方法�,其特征在于�����,在所述對特征值進行集中統(tǒng) 計后���,該方法進一步包括每隔預設的時間間隔�,集中統(tǒng)計裝置和各個業(yè)務處 理裝置退出集中統(tǒng)計狀態(tài)進入分散統(tǒng)計狀態(tài)�����,將各自的當前統(tǒng)計值置0,并返 回步驟b��。
5�、 根據(jù)權利要求1到4中任一所述的方法,其特征在于�����,所述設置集中統(tǒng) 計裝置為�,將集中統(tǒng)計裝置設置為主控裝置或新增的專用于集中統(tǒng)計的裝置; 所述對特征值進行集中統(tǒng)計為集中統(tǒng)計裝置獲取各個業(yè)務處理裝置對應的當前統(tǒng)計值��,并對所有當前統(tǒng) 計值求和作為當前總統(tǒng)計值����;各個業(yè)務處理裝置接收改變特征值的操作請求,將該請求上報給集中統(tǒng)計 裝置���,集中統(tǒng)計裝置根據(jù)該請求更新特征值的當前總統(tǒng)計值�����,然后比較當前總 統(tǒng)計值與總閾值�����,若當前總統(tǒng)計值達到或超過總閾值�,則通知啟動限制操作�, 通知發(fā)送操作請求的業(yè)務處理裝置拒絕所述改變特征值的操作請求;否則,通 知發(fā)送操作請求的業(yè)務處理裝置進4亍正常操作��。
6���、 根據(jù)權利要求1到4中任一所述的方法��,其特征在于���,所述設置集中統(tǒng) 計裝置為,將主控裝置設置為預先指定的一個業(yè)務處理裝置���。
7�、 根據(jù)權利要求1所述的方法�����,其特征在于�����,所述根據(jù)要統(tǒng)計的特征值的 總閾值確定不同業(yè)務處理裝置對應的分閾值為計算總閾值與參與統(tǒng)計的業(yè)務處理裝置^:目之商���,并將該商值設置為業(yè)務 處理裝置對應的分閾值�;或者,根據(jù)參與統(tǒng)計的業(yè)務處理裝置的數(shù)目和業(yè)務處理裝置的處理能力����, 為不同的業(yè)務處理裝置設置不同的分閾值�,并且所有參與統(tǒng)計業(yè)務處理裝置的 分閾值之和為所述總閾值。
8����、 根據(jù)權利要求7所述的方法,其特征在于�,在分散統(tǒng)計狀態(tài)時,該方法 進一步包括集中統(tǒng)計裝置判斷是否需要更新所述分閾值���,若是��,則更新并向 各個業(yè)務處理裝置下發(fā)分閾值��,執(zhí)行所述步驟b�����。
9����、 根據(jù)權利要求8所述的方法,其特征在于���,定時執(zhí)行所述判斷是否需要 更新分閾值的操作�;所述判斷是否需要更新分閾值為獲取所有業(yè)務處理裝置中所述特征值的 當前統(tǒng)計值����,并計算所有當前統(tǒng)計值中最大值與最小值間的差值,比較該差值 與預先設置的差值門限��,若前者大于后者�����,則計算總閾值與所有業(yè)務處理裝置 中當前統(tǒng)計值之和的差�,作為安全余量,進一步比較安全余量與預先設置的分 界閾值�����,若安全余量大于或等于所述分界閾值����,判定需要更新分閾值;若所述 差值不大于所述差值門限�����,和/或安全余量小于分界閾值,判定不需要更新分閾 值����,保持所述分閾值不變���。
10���、 根據(jù)權利要求8所述的方法,其特征在于���,在所述任一業(yè)務處理裝置 通知集中統(tǒng)計裝置后���、集中統(tǒng)計裝置通知所有業(yè)務處理裝置進入集中統(tǒng)計狀態(tài) 前,執(zhí)行所述判斷是否需要更新分閾值的操作��;所述判斷是否需要更新分閾值為獲取所有業(yè)務處理裝置中所述特征值的 當前統(tǒng)計值����,計算總閾值與所有業(yè)務處理裝置中當前統(tǒng)計值之和的差作為安全 余量,比較安全余量與預先設置的分界閾值�,若安全余量大于或等于所述分界 閾值��,判定需要更新分閾值���,否則,判定不需要更新分閾值����,執(zhí)行所述集中統(tǒng) 計裝置通知所有業(yè)務處理裝置進入集中統(tǒng)計狀態(tài)的操作。
11����、 根據(jù)權利要求9或IO所述的方法,其特征在于�,所述更新并下發(fā)分閾 值為根據(jù)安全余量和不同業(yè)務處理裝置的當前統(tǒng)計值確定各個業(yè)務處理裝置 對應的分閾值,下發(fā)給各個業(yè)務處理裝置����。
12、 根據(jù)權利要求2����、 9或10所述的方法,其特征在于����,所述分界閾值根 據(jù)業(yè)務處理單元的數(shù)量和統(tǒng)計的特征值類型確定�����。
13��、 根據(jù)權利要求1所述的方法��,其特征在于��,所述根據(jù)要統(tǒng)計的特征值 的總閾值確定不同業(yè)務處理裝置對應的分閾值為將所述總閾值均分得到分閾 值,且總閾值與分閾值之比大于參與統(tǒng)計的業(yè)務處理裝置數(shù)目��;所述將確定的分閾值對應下發(fā)給各個業(yè)務處理裝置為為每個參與統(tǒng)計的 業(yè)務處理裝置下發(fā)一個分閾值�����;在所述將確定的分闊值對應下發(fā)給各個業(yè)務處理裝置后���,該方法進一步包 括保存剩余的分閾值���。
14、 根據(jù)權利要求13所述的方法���,其特征在于��,在分歉統(tǒng)計狀態(tài)時����,該方 法進一步包括集中統(tǒng)計裝置判斷是否需要更新所述分閾值,若是���,則更新并 向各個業(yè)務處理裝置下發(fā)分閾值�����,執(zhí)行所述步驟b���。
15、 根據(jù)權利要求14所述的方法�����,其特征在于���,定時執(zhí)行所述判斷是否需 要更新分閾值的操作�����; 所述判斷是否需要更新分閾值為獲取所有業(yè)務處理裝置中所述特征值的 當前統(tǒng)計值���,并依次判斷各個業(yè)務處理裝置中的當前統(tǒng)計值與預先設置的該業(yè) 務處理裝置的更新閾值�,若前者大于后者�,則進一步判斷是否存在剩余的分閾 值,若是�,則判定該業(yè)務處理裝置需要更新所述分閾值,否則�,判定該業(yè)務處 理裝置不需要更新所述分閾值。
16�、 根據(jù)權利要求14所述的方法,其特征在于����,在所述任一業(yè)務處理裝置 通知集中統(tǒng)計裝置后�����、集中統(tǒng)計裝置通知所有業(yè)務處理裝置進入集中統(tǒng)計狀態(tài) 前�����,執(zhí)行所述判斷是否需要更新分闊值的操作�;所述判斷是否需要更新分閾值為集中統(tǒng)計裝置判斷是否還有剩余的分閾 值,若是,則判定上報通知的業(yè)務處理裝置需要更新所述分閾值��,否則����,判定 所有業(yè)務處理裝置不需要更新所述分閾值,繼續(xù)執(zhí)行所述集中統(tǒng)計裝置通知所 有業(yè)務處理裝置進入集中統(tǒng)計狀態(tài)的操作��。
17�����、 根據(jù)權利要求15或16所述的方法��,其特征在于�,所述更新并向各個 業(yè)務處理裝置下發(fā)分閾值為將剩余的其中一個分閾值下發(fā)給需要更新分閾值 的業(yè)務處理裝置,該業(yè)務處理裝置將接收到的分閾值與本身保存的分閾值之和 作為新的分閾值�。
18、 根據(jù)權利要求14所述的方法�,其特征在于,在所述更新并向各個業(yè)務 處理裝置下發(fā)分閾值后����,該方法進一步包括該業(yè)務處理裝置在更新當前統(tǒng)計 值后,判斷分閾值與當前統(tǒng)計值之差是否大于預先設置的可回收閾值��,若是, 則將被分配的剩余分閾值中的 一個返回給主控裝置���。
19���、 根據(jù)權利要求3或18所述的方法,其特征在于�, 所述對特征值進行集中統(tǒng)計包括集中統(tǒng)計裝置獲取各個業(yè)務處理裝置對應的當前統(tǒng)計值,并對所有當前統(tǒng) 計值求和作為當前總統(tǒng)計值�����;各個業(yè)務處理裝置接收改變特征值的操作請求���,將該請求上報給集中統(tǒng)計 裝置��,集中統(tǒng)計裝置沖艮據(jù)該請求更新特征值的當前總統(tǒng)計值�,然后比較當前總 統(tǒng)計值與總閾值��,若當前總統(tǒng)計值達到或超過總閾值�����,則通知啟動限制操作�����, 通知發(fā)送操作請求的業(yè)務處理裝置拒絕所述改變特征值的操作請求�;否則,通 知發(fā)送操作請求的業(yè)務處理裝置進行正常操作���;所述改變特征值的操作包括使所述特征值加1的操作和使所述特征值減 1的操作���;所述限制操作為拒絕特征值加1的操作請求,和/或記錄超出閣值的事件�, 和/或發(fā)出告警。
20�����、 根據(jù)權利要求4所述的方法���,其特征在于��, 所述對特征值進行集中統(tǒng)計包括集中統(tǒng)計裝置獲取各個業(yè)務處理裝置對應的當前統(tǒng)計值���,并對所有當前統(tǒng) 計值求和作為當前總統(tǒng)計值;各個業(yè)務處理裝置接收改變特征值的操:作請求�����,將該請求上報給集中統(tǒng)計 裝置,集中統(tǒng)計裝置根據(jù)該請求更新特征值的當前總統(tǒng)計值�����,然后比較當前總 統(tǒng)計值與總閾值���,若當前總統(tǒng)計值達到或超過總閡值�����,則通知啟動限制操作�����,通知發(fā)送操作請求的業(yè)務處理裝置拒絕所述改變特征值的#:作請求����;否則��,通知發(fā)送操作請求的業(yè)務處理裝置進行正常操作����;所述改變特征值的操作為使所述特征值加1的操作和定時清零特征值的 操作;所述限制操作為拒絕特征值加1的操作請求��,和/或記錄超出閾值的事件�, 和/或發(fā)出告警。
21�、 一種具有閾值限制統(tǒng)計功能的分布式系統(tǒng),其特征在于��,該系統(tǒng)包括 集中統(tǒng)計裝置和至少兩個除集中統(tǒng)計裝置外的參與統(tǒng)計的業(yè)務處理裝置��,所述集中統(tǒng)計裝置�,根據(jù)要統(tǒng)計的特征值的總閾值確定參與統(tǒng)計的不同業(yè) 務處理裝置對應的分閾值,并對應下發(fā)給各個所述業(yè)務處理裝置���,通知各個所 述業(yè)務處理裝置進入分散統(tǒng)計狀態(tài)��;并在"t妾收到任一業(yè)務處理裝置達到分閾值 的通知后��,通知各個所述業(yè)務處理裝置進入集中統(tǒng)計狀態(tài)����;除集中統(tǒng)計裝置外的任一業(yè)務處理裝置����,用于在接收到集中統(tǒng)計裝置進入 分散統(tǒng)計狀態(tài)的通知后對所述特征值進行統(tǒng)計�����,并在所述特征值的當前統(tǒng)計值達到自身對應的分閾值時��,通知集中統(tǒng)計裝置�����;并在接收到所述集中統(tǒng)計裝置 進入集中統(tǒng)計狀態(tài)的通知后����,對特征值進行集中統(tǒng)計�����。
22����、 根據(jù)權利要求21所述的分布式系統(tǒng),其特征在于���,所述集中統(tǒng)計裝置 和業(yè)務處理裝置是相互獨立的物理設備����,或者,是位于同一物理設備中的不同 組成部分�����。
23�����、 根據(jù)權利要求21或22所述的分布式系統(tǒng)����,其特征在于�,所述集中統(tǒng) 計裝置為主控裝置、預先指定的一個業(yè)務處理裝置或新增的裝置�。
24、 一種分布式系統(tǒng)中的集中統(tǒng)計裝置����,其特征在于,所述集中統(tǒng)計裝置 包括分閾值計算模塊����、控制模塊和第一統(tǒng)計模塊,所述分閾值計算模塊�,用于根據(jù)要統(tǒng)計的特征值的總閾值確定分布式系統(tǒng) 中除集中統(tǒng)計裝置外參與統(tǒng)計的不同業(yè)務處理裝置對應的分閾值�,并發(fā)送給所 述控制模塊����;所述控制模塊,用于將接收的分閾值對應下發(fā)給各個所述業(yè)務處理裝置�����, 通知各個所述業(yè)務處理裝置進入分散統(tǒng)計狀態(tài)��;并在接收到分布式系統(tǒng)中任一 所述業(yè)務處理裝置達到分閾值的通知后�����,通知所述各個業(yè)務處理裝置進入集中 統(tǒng)計狀態(tài)��,通知所述第一統(tǒng)計模塊進行集中統(tǒng)計����;所述第一統(tǒng)計模塊,用于接收到所述控制模塊的通知后����,對特征值進行集 中統(tǒng)計。
25、 根據(jù)權利要求24所述的集中統(tǒng)計裝置����,其特征在于,所述控制模塊進 一步用于比較總閾值與預先設定的分界閾值�����,當總閾值大于或等于所述分界閾 值時����,觸發(fā)所述分閾值計算模塊計算分闊值�;所述分閾值計算模塊,用于在接收到所述控制模塊的觸發(fā)通知后計算分閾值�����。
26�、 根據(jù)權利要求24所述的集中統(tǒng)計裝置,其特征在于���,所述第一統(tǒng)計模 塊����,用于保存并更新各個業(yè)務處理裝置中特征值的當前統(tǒng)計值,提供給所述控 制模塊���;所述控制模塊��,接收所述第一統(tǒng)計模塊中更新后的當前統(tǒng)計值��,比較當前 統(tǒng)計值與預先設置的該業(yè)務處理裝置的下限閾值����,當所有所述業(yè)務處理裝置中 的當前統(tǒng)計值均小于對應的下限閾值時�,通知各個所述業(yè)務處理裝置和所述第一統(tǒng)計模塊退出集中統(tǒng)計狀態(tài)、進入分散統(tǒng)計狀態(tài)��;所述第一統(tǒng)計-漠塊��,在接收到進入分散統(tǒng)計狀態(tài)的通知后�����,停止集中統(tǒng)計����。
27、 根據(jù)權利要求24所述的集中統(tǒng)計裝置�����,其特征在于,所述第一統(tǒng)計模 塊����,在進入集中統(tǒng)計狀態(tài)后,每隔預設的時間間隔���,進入分散統(tǒng)計狀態(tài)�,停止 集中統(tǒng)計����。
28����、 根據(jù)權利要求24所述的集中統(tǒng)計裝置,其特征在于��,所述控制模塊�, 在進入分散統(tǒng)計狀態(tài)后,判斷是否需要更新分閾值�����,當判斷需要時,通知所述 分閾值計算模塊更新分閾值�����;并在接收到更新后的分閾值后對應下發(fā)給所述各 個業(yè)務處理裝置�;所述分閾值計算模塊,在接收到更新分閾值的通知后�,更新分閾值并發(fā)送 給控制模塊。
29�����、 一種分布式系統(tǒng)中的業(yè)務處理裝置���,其特征在于����,所述業(yè)務處理裝置 包括接口模塊和第二統(tǒng)計模塊��,所述接口模塊�,將分布式系統(tǒng)中的集中統(tǒng)計裝置發(fā)送的通知和分閾值轉發(fā) 給所述第二統(tǒng)計模塊;所述第二統(tǒng)計模塊�,在接收到轉發(fā)的進入M統(tǒng)計狀態(tài)的通知后,進入分 散統(tǒng)計狀態(tài)��,對所述特征值進行統(tǒng)計,更新并保存所述特征值的當前統(tǒng)計值����, 并在該當前統(tǒng)計值達到自身對應的分閾值時,通過所述接口模塊通知集中統(tǒng)計 裝置���;并在接收到進入集中統(tǒng)計狀態(tài)的通知后�,對特征值進行集中統(tǒng)計��。
30�、 根據(jù)權利要求29所述的業(yè)務處理裝置,其特征在于��,所述第二統(tǒng)計模 塊�,在進入集中統(tǒng)計狀態(tài)后�,每隔預設的時間間隔,將保存的當前統(tǒng)計值清零���, 進入分散統(tǒng)計狀態(tài)��。
31�����、 根據(jù)權利要求29所述的業(yè)務處理裝置�����,其特征在于�,所述接口模塊, 將所述集中統(tǒng)計裝置發(fā)送的更新后的分閾值轉發(fā)給所述第二統(tǒng)計模塊��;所述第二統(tǒng)計模塊�����,利用接收的分閾值更新保存的分閾值�。
全文摘要
本發(fā)明公開了一種分布式系統(tǒng)中帶有閾值限制的統(tǒng)計方法,設置集中統(tǒng)計裝置和要統(tǒng)計特征值的總閾值����,該統(tǒng)計方法包括集中統(tǒng)計裝置根據(jù)所述總閾值確定不同業(yè)務處理裝置的分閾值,并下發(fā)給各業(yè)務處理裝置��,通知進入分散統(tǒng)計狀態(tài)���;業(yè)務處理裝置分別對所述特征值進行統(tǒng)計�,任一業(yè)務處理裝置中所述特征值的當前統(tǒng)計值達到自身對應的分閾值時����,通知集中統(tǒng)計裝置�;集中統(tǒng)計裝置通知業(yè)務處理裝置進入集中統(tǒng)計狀態(tài)���。本發(fā)明還公開了一種具有閾值限制統(tǒng)計功能的分布式系統(tǒng)�、集中統(tǒng)計裝置和業(yè)務處理裝置�����。應用本發(fā)明�����,能夠大大減少統(tǒng)計所需的交互報文��,減輕交換網絡的負擔���,降低對交換網絡交換能力的要求�����,并能夠保證嚴格的總閾值限制要求。
文檔編號H04L12/24GK101114938SQ20071012018
公開日2008年1月30日 申請日期2007年8月10日 優(yōu)先權日2007年8月10日
發(fā)明者趙漢表 申請人:杭州華三通信技術有限公司