CN1968147A - 业务处理方法、网络设备及业务处理系统 - Google Patents
业务处理方法、网络设备及业务处理系统 Download PDFInfo
- Publication number
- CN1968147A CN1968147A CNA2006101403289A CN200610140328A CN1968147A CN 1968147 A CN1968147 A CN 1968147A CN A2006101403289 A CNA2006101403289 A CN A2006101403289A CN 200610140328 A CN200610140328 A CN 200610140328A CN 1968147 A CN1968147 A CN 1968147A
- Authority
- CN
- China
- Prior art keywords
- service request
- service
- request
- server
- control table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了业务处理方法、网络设备及业务处理系统,其中,方法包括:根据接收的业务请求中携带的用户信息,判断该用户发起业务请求的频率是否超过设定值,是,则丢弃业务请求;否则,发送业务请求。判断用户发起业务请求的频率是否超过设定值具体为:查询是否存在与业务请求中携带的用户信息及业务内容相应的控制表,是,则根据控制表判断业务请求的频率是否超过设定值;否则,根据用户信息及业务内容建立业务请求的控制表并发送业务请求。采用本发明,有效避免了用户对服务器的攻击,增加了攻击难度,减小了攻击强度;减小了无效业务请求对服务器的冲击,以及恶意的DDOS对服务器的攻击,保证了网络的正常运行,还节省了运营商的成本。
Description
技术领域
本发明涉及通信技术领域,尤其是一种业务处理方法、网络设备及业务处理系统。
背景技术
随着Internet网络的不断扩大,Internet上的用户数量不断增加,网络中的各种设备,例如:DSLAM(Digital Subscriber Line Access Multiplexer,数字用户线路接入复用器)、Lanswitch(二层交换机)、BAS(Broadband accessserver,宽带接入服务器)、BRAS(Broadband remote access server,宽带远程接入服务器)、SR(Service router,业务路由器)、Router(路由器)等的数量越来越多,其功能越来越强,性能也越来越高。接入设备在网络中的层次越低,对其安全性要求就越低,但网上的接入设备就会越多,就越不容易管理。随着设备性能的提高以及各种可靠性技术的发展,使对用户的接入设备进行管理的网络设备的网络地位越来越高,从接入层(即:直接面向用户接入的接口,这里是网络的起点,也是网络的终点)到边缘会聚层、从边缘会聚层到会聚层(即:对接入层各种设备的汇聚)、从会聚层到核心边缘层。随着网络地位的提高,不但对网络设备本身的各种功能与性能提出了更高的要求,而且对这些网络设备的稳定性与安全性也提出了更加苛刻的要求,如果其稳定性较低,网络便会经常发生中断,就会影响用户对网络的正常使用,便会因此给用户造成严重的损失,也降低了客户对网络运营商的满意度;而如果网络设备的安全性较低的话,就非常容易受到网络上各种有意或无意的“攻击”,网络也会经常被迫中断,同样会给用户带来损失。另外,网络中运行的各种服务器在性能和安全上都不完备,如果网络设备缺少对上层各种服务器的保护(例如:防止大量认证或计费等报文的攻击),服务器就会因为无法同时处理数量庞大的业务请求而导致其他正常的业务请求的终止,严重时甚至会直接导致全部服务的终止,同样会导致网络的不正常或不可用,因此,对网络设备的网络抑制能力也提出了一定的要求,就是不但网络设备本身不能容易受到攻击,而且还要提供一定的手段对上层各种服务器(例如:AAA(Authorization,Authentication and Accounting,授权、鉴权和计费)服务器)的攻击进行抑制,以减小对这些服务器的攻击,使其能够正常工作,继续为其他用户提供服务。因此,随着网络的发展,网络提供商、内容提供商越来越关注网络的稳定和安全,一个稳定、安全的网络对提高服务质量、提升整体客户满意度至关重要,对降低网络运营成本、提高网络盈利也甚为关键。
在现有技术中,通过以下几种方法对上行服务器进行保护:
1,网络设备通过限制发送到服务器的流量来对服务器进行保护,但是,因为是在接收用户的业务请求前对其进行抑制,用户发送业务请求失败后,会不断的重新发起该业务请求,网络设备也就不断的对该业务请求进行响应,这反而导致了网络的更大拥塞,直接影响了其他用户的业务请求。
2,网络设备同时连接主服务器与备用服务器,正常情况下,由主服务器提供业务,在主服务器受到攻击出现异常的情况下,网络设备便将业务请求切换到备用服务器,由备用服务器对业务请求进行处理,但是,备用服务器同样也会受到攻击从而导致终止服务,致使所有的服务器的都不可用,影响了网络的正常运营。
3,网络设备同时连接多个服务器,根据当前各服务器上的业务请求处理情况向其分配新的业务请求,使得服务器的负载均衡,这样,在网络业务不很繁忙的情况下,减轻了各个服务器的负担。但是,在用户对服务器进行攻击的情况下,若攻击数量达到一定的程度,即使多个服务器同时负载均衡工作,也会因为全部受到攻击而全部终止服务,无法从根本上防止上层服务器被攻击。
4,对服务器进行改进,增加服务器的抑制功能,对其连接的下游网络设备传送的业务请求进行抑制,这样会限制正常的业务请求,影响正常的业务,并且,对服务器进行改进增加了服务器的成本,加重了运营商的经济负担。
发明内容
本发明所要解决的技术问题是:服务器因需处理大量的非法报文而导致网络拥塞,从而影响对正常的业务请求的处理。
为解决上述技术问题,本发明提供的一种业务处理方法,包括以下步骤:
根据接收的业务请求中携带的用户信息,判断所述用户发起所述业务请求的频率是否超过设定值,是,则丢弃所述业务请求;否则,发送所述业务请求。
上述业务处理方法中,判断所述用户发起所述业务请求的频率是否超过设定值具体为:查询是否存在与所述业务请求中携带的用户信息及业务内容相应的控制表,是,则根据所述控制表判断所述业务请求的频率是否超过设定值;否则,根据所述用户信息及业务内容建立所述业务请求的控制表,在该控制表中记录所述用户信息、所述业务请求的业务内容、开始时刻、请求次数与所述设定值,并发送所述业务请求。
所述用户信息为MAC地址、用户名或IP地址。
丢弃所述业务请求或发送所述业务请求后,还更新所述控制表中所述业务请求的最后一次请求时刻与请求次数。
上述方法还包括:若在距离所述最后一次请求时刻的预定时间内未收到所述用户发送的所述业务请求,删除所述业务请求的控制表。
另外,上述业务处理方法还包括:网络设备接收到业务请求后,判断是否支持所述业务请求,是,则根据接收的业务请求中携带的用户信息,判断所述用户发起所述业务请求的频率是否超过设定值;否则,将该业务请求转发给支持所述业务请求的另一网络设备;另一网络设备接收所述业务请求,然后根据接收的业务请求中携带的用户信息,判断所述用户发起所述业务请求的频率是否超过设定值。网络设备接收到业务请求后,根据该业务请求中携带的处理该业务请求的服务器的地址,判断该服务器当前处理的业务请求的数量是否小于预设数量值,是,则根据接收的业务请求中携带的用户信息,判断所述用户发起所述业务请求的频率是否超过设定值;否则,丢弃所述业务请求。
发送所述业务请求具体为:网络设备判断当前处理所述业务请求的服务器的工作状态是否正常,是,向该服务器发送所述业务请求;否则,向与所述服务器的互为备用的备用服务器发送所述业务请求;或者发送所述业务请求具体为:网络设备将所述业务请求发送给可处理该业务请求的多个服务器中负载最小的服务器。
本发明提供的一种网络设备,包括:
接收模块,用于接收业务请求;
查询模块,用于查询所述控制表存储模块中是否存在与接收到的所述业务请求中携带的用户信息及业务内容相应的控制表;
控制表建立模块,用于建立所述业务请求的控制表,并在该控制表中记录所述业务请求的业务内容、开始时刻、最后一次请求时刻、请求次数与设定值;
频率比较模块,用于根据所述控制表判断所述业务请求的频率是否超过设定值;
抑制模块,用于丢弃频率超过设定值的业务请求;
发送模块,用于发送频率未超过设定值的业务请求。
上述网络设备还包括控制表存储模块,用于存储控制表,该控制表包括用户信息、用户请求的业务内容、业务请求的开始时刻、最后一次请求时刻、请求次数与设定值。
上述网络设备还包括更新模块,用于更新所述控制表中所述业务请求的最后一次请求时刻与请求次数。
上述网络设备还包括删除模块,用于在距离所述最后一次请求时刻的预定时间内未收到所述用户发送的所述业务请求时,删除所述业务请求的控制表。
上述网络设备还包括网络设备,其特征在于还包括鉴权模块,用于判断是否支持所述业务请求,若否,将所述业务请求转发给支持所述业务请求的另一网络设备。
上述网络设备还包括数量比较模块,用于根据所述业务请求中携带的处理该业务请求的服务器的地址,判断该服务器的当前处理的业务请求的数量是否小于预设数量值,若是,则向所述查询模块发送所述业务请求,若否,则向所述抑制模块发送所述业务请求。
上述网络设备还包括状态检测模块,用于判断当前处理所述业务请求的服务器的工作状态是否正常,是,向该服务器发送所述业务请求;否则,向与所述备用服务器发送所述业务请求。
上述网络设备还包括转发模块,用于将所述业务请求发送给可处理该业务请求的多个服务器中负载最小的服务器。
本发明提供的一种业务处理系统,包括用于处理业务请求的服务器,还包括网络设备,该网络设备包括:
接收模块,用于接收业务请求;
控制表存储模块,用于存储控制表,该控制表包括用户信息、用户请求的业务内容、业务请求的开始时刻、最后一次请求时刻、请求次数与设定值;
查询模块,用于查询所述控制表存储模块中是否存在与接收到的所述业务请求中携带用户信息及业务内容相应的控制表;
频率比较模块,用于根据所述控制表判断所述业务请求的频率是否超过设定值;
抑制模块,用于丢弃频率超过设定值的业务请求;
发送模块,用于发送频率未超过设定值的业务请求。
上述业务处理系统中,所述网络设备还包括控制表建立模块,用于建立所述业务请求的控制表,并在该控制表中记录所述业务请求的业务内容、开始时刻、最后一次请求时刻、请求次数与设定值。
上述业务处理系统中,所述网络设备还包括更新模块,用于所述控制表中所述业务请求的最后一次请求时刻与请求次数。
上述业务处理系统中,所述网络设备还包括删除模块,用于在距离所述最后一次请求时刻的预定时间内未收到所述用户发送的所述业务请求时,删除所述业务请求的控制表。
上述业务处理系统中,所述网络设备还包括鉴权模块,用于判断是否支持所述业务请求。
上述业务处理系统中,所述网络设备还包括数量比较模块,用于根据所述业务请求中携带的处理该业务请求的服务器的地址,判断该服务器的当前处理的业务请求的数量是否小于预设数量值,若是,则向所述查询模块发送所述业务请求,若否,则向所述抑制模块发送所述业务请求。
上述业务处理系统还包括与所述服务器的互为备用的备用服务器;所述网络设备还包括状态检测模块,用于判断当前处理所述业务请求的服务器的工作状态是否正常,是,向该服务器发送所述业务请求;否则,向与所述备用服务器发送所述业务请求。
上述业务处理系统中的所述服务器为多个;所述网络设备还包括转发模块,用于将所述业务请求发送给可处理该业务请求的多个服务器中负载最小的服务器。
基于上述技术方案,本发明具有以下有益的技术效果:
建立同一用户发起的同一业务请求的控制表,记录该用户在一定时间内发起同一业务请求的次数,当其业务请求频率超过设定值时,网络设备就丢弃该业务请求,而不向服务器转发,从而实现对业务请求的限制,与现有技术相比,有效避免了用户对服务器的攻击,增加了攻击难度,减小了攻击强度,降低了对服务器的冲击;减小了无效业务请求对服务器的冲击,以及恶意的DDOS(Distributed Denial of Service,分布式拒绝服务)攻击,保证了网络的正常运行;另外,不需要改进服务器,与现有技术相比,节省了运营商的成本。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为本发明业务处理方法实施例的流程图。
图2为本发明网络设备实施例的结构示意图。
图3为由图2网络设备构成的业务处理系统实施例的结构示意图。
图4为本发明网络设备另一实施例的结构示意图。
图5为由图4网络设备构成的业务处理系统另一实施例的结构示意图。
图6为本发明网络设备再一实施例的结构示意图。
图7为由图6网络设备构成的业务处理系统再一实施例的结构示意图。
图8为由多个网络设备及多个服务器构成的业务处理系统的原理图。
图9为由网络设备及多个互为备用的服务器构成的业务处理系统的原理图。
具体实施方式
由于网络设备相对网络中的服务器来说,具有较高的数据处理能力及性能优势,并且对网络中各种攻击都具有较好的抑制能力,本发明在网络设备中建立控制表,记录同一用户发往服务器的同一业务请求的频率,通过丢弃频率大于设定值的同一用户的业务请求的方法对发送服务器的业务请求进行抑制,以保护上层服务器。
图1所示为本发明业务处理方法实施例的流程图,其可通过图2所示的网络设备实现,具体包括以下步骤:
步骤101,接收用户发送的业务请求信息,查询是否存在与接收的业务请求中携带的用户信息及业务内容相应的控制表,是,执行步骤102;否则,执行步骤104。其中的用户信息可以是该用户的MAC地址、用户名或者IP地址。如下表1所示为一控制表,该控制表至少包括用户信息、业务内容、业务请求的开始时刻、该业务请求的次数(包括业务请求超时或失败的次数)、最后一次请求时刻与事先设定的表示允许请求的频率的设定值,另外,也可以包括表示控制表的标识号码的Table ID。
表1
| TableID | MAC地址 | IP地址 | 用户名 | 业务内容 | 开始时刻 | 请求次数 | 最后一次请求时刻 | 设定值 |
| 001 | 11-22-XX | 1.1.1.1 | USER | GamesUpdate | 2006.1.1,8:30:30 | 8 | 2006.1.1,8:40:30 | 3 |
步骤102,根据控制表的记载,判断所述用户发送的同一业务请求的频率是否超过设定值,是,执行步骤103;否则,执行步骤105。
通过同一用户发送的相同内容的业务请求的频率来对业务请求进行限制,丢弃频率大于设定值的业务请求,有效避免了用户对服务器的攻击,增加了攻击难度,减小了攻击强度;减小了无效业务请求对服务器的冲击,以及恶意的DDOS对服务器的攻击。
步骤103,丢弃所述业务请求,然后执行步骤106。
在向服务器发送业务请求之间即对业务请求进行限制,降低了业务请求对服务器的冲击。
具体的,丢弃所述业务请求后,还更新该业务请求的控制表,即更新其中的业务请求的最后一次请求时刻与请求次数,将最后一次请求时刻更新为本次被丢弃的业务请求的请求时刻,将请求次数在原来的基础上累加1。更新控制表后,在后续流程中接收到业务请求后,可以正确的对业务请求的频率进行计算,从而确定是否限制业务请求。
步骤104,根据业务请求中携带的用户信息及业务内容建立该业务请求的控制表,在该控制表中记录本次业务请求的业务内容、开始时刻、最后一次请求时刻与请求次数。
步骤105,向服务器发送所述业务请求。
向服务器发送所述业务请求后,还更新控制表中记录的所述业务请求的相关信息,包括最后一次请求时刻与请求次数。具体的,将最后一次请求时刻更新为本次被丢弃的业务请求的请求时刻,将请求次数在原来的基础上累加1。更新控制表后,在后续流程中接收到业务请求后,可以正确的对业务请求的频率进行计算,从而确定是否限制业务请求。
步骤106,结束。
步骤101中,若不存在所述业务请求的控制表,说明该用户是首次发送所述业务请求,一般情况下(例如:处理该业务请求的服务器当前处理的业务请求的数量不大于其所能支持的最大数量值),便可以直接向服务器发送该业务请求。
具体的,在发送所述业务请求后,若在距离控制表中记录的所述业务请求的最后一次请求时刻的预定时间内未收到同一用户再次发送的所述业务请求,则删除所述业务请求的控制表,即删除控制表中与所述业务请求相关信息,包括业务请求的业务内容、开始时刻、最后一次请求时刻、请求次数与设定值,以释放存储空间。
在上述实施例中,网络设备接收到业务请求后,还可以先判断是否支持所述业务请求,包括:该网络设备是否接收该类型的业务请求以及其连接的服务器能否处理该业务请求,如是,则执行步骤101;否则,将所述业务请求转发给该网路设备连接的、支持该业务请求的另一网络设备;另一网络设备接收所述业务请求,并按照上述实施例的流程处理所述业务请求。
此外,在上述步骤101之前,网络设备接收到所述业务请求后,还根据该业务请求中携带的处理该业务请求的服务器的地址,判断处理该服务器当前处理的业务请求的数量是否小于预设数量值,如是,执行步骤101;否则,执行步骤103。
另外,在处理所述业务请求的服务器存在互为备用的备用服务器的情况下,步骤105具体可以通过如下操作实现:网络设备判断当前处理所述业务请求的服务器的工作状态是否正常,是,则向该服务器发送所述业务请求;否则,向该服务器的备用服务器发送所述业务请求。
若网络设备同时连接了多个可处理所述业务请求的服务器,则上述步骤105中,网络设备比较各服务器当前的负载情况,将所述业务请求发送给其中负载最小的服务器。
图2所示为本发明网络设备实施例的结构示意图,其包括依次连接的接收模块01、查询模块02、频率比较模块03、抑制模块04,以及与查询模块02连接的控制表存储模块05,和与频率比较模块03连接的发送模块06,查询模块02还与发送模块06连接。另外,查询模块02与控制表存储模块05之间还设有控制表建立模块07。
其中,接收模块01用于接收业务请求;控制表存储模块05用于存储控制表,该控制表中可以存储的信息如上表1所示;查询模块02用于查询控制表存储模块05中是否存在与接收到的所述业务请求中携带的用户名及业务内容相应的控制表;频率比较模块03用于根据控制表中存储的信息,判断所述业务请求的频率是否超过设定值;抑制模块04用于丢弃频率超过设定值的业务请求;发送模块06用于发送频率未超过设定值的业务请求,其中包括不存在控制表的业务请求,因为不存在与用户信息及业务内容相应的控制表,即认为该业务请求为首次发送的业务请求;控制表建立模块07用于在控制表存储模块05中不存在与所述业务请求相应的控制表时,在控制表存储模块05中建立该业务请求的控制表,并在该控制表中记录所述业务请求的开始时刻、最后一次请求时刻、请求次数与设定值。
图3所示为由该网络设备及用于处理业务请求的服务器构成的本发明业务处理系统实施例的结构示意图,利用其中的网络设备对发往服务器的业务请求进行限制,当频率比较模块03发现同一用户发往该服务器的相同业务请求的次数超过设定值时,抑制模块04便丢弃该业务请求,以实现对服务器的保护,若同一用户发往该服务器的相同业务请求的次数未超过设定值时,则由发送模块06将该业务请求发送给服务器,以维护正常的业务。
图4所示为本发明网络设备另一实施例的结构示意图,该网络设备还包括更新模块08,分别与抑制模块04、发送模块06及控制表存储模块05连接,在丢弃或发送所述业务请求后,更新控制表中存储的所述业务请求的最后一次请求时刻与请求次数。图5所示为由该网络设备及用于处理业务请求的服务器构成的本发明业务处理系统另一实施例的结构示意图,在抑制模块04丢弃业务请求或者发送模块06向服务器发送业务请求后,更新模块08更新该业务请求的请求次数与最后一次请求时刻信息,以便在后续流程中接收到业务请求后,可以正确的对业务请求的频率进行计算,从而确定是否限制业务请求。
图6所示为本发明网络设备再一实施例的结构示意图,该网络设备还包括删除模块09,分别与接收模块01及控制表存储模块05连接,在距离所述业务请求的控制表中记录的最后一次请求时刻的预定时间内未收到同一用户(即用户信息相同)再次发送的所述业务请求,则删除所述业务请求的控制表,即删除控制表中所述业务请求的开始时刻、最后一次请求时刻、请求次数与设定值。图7所示为由该网络设备及用于处理业务请求的服务器构成的本发明业务处理系统再一实施例的结构示意图,若删除模块09在距离控制表中记录的业务请求的最后一次请求时刻的预定时间内未收到同一用户再次发往服务器的同一业务请求,则删除该业务请求的控制表,以释放存储空间。
在上述任一网络设备中的接收模块01与查询模块02之间,还可以设置有鉴权模块10,用于判断该网络设备是否支持接收到的业务请求,包括:该网络设备是否接收该类型的业务请求以及其连接的服务器能否处理该业务请求,若是,将该业务请求发送给查询模块02;若否,将该业务请求转发给该网络设备连接的、支持该业务请求的另一网络设备。图8所示为由多个网络设备及多个服务器构成的业务处理系统的原理图,其中的网络设备可以连接服务器与网络设备,也可以只连接服务器,各服务器可以支持不同类型的业务请求,某一网络设备接收到夜曲请求后,若发现其连接的服务器不支持该业务请求,便可以将该业务请求发送给支持该业务请求的服务器或者支持该业务请求的网络设备,由该网络设备再发送给其连接的服务器。
在图2、图4与图6所示的任一网络设备中的接收模块01与查询模块02之间,还可以设置数量比较模块11,数量比较模块11还与抑制模块04连接,用于根据所述业务请求中携带的处理该业务请求的服务器的地址,判断该服务器当前处理的业务请求的数量是否小于预设数量值,如是,则将该业务请求发送给查询模块02;若否,直接将该业务请求发送给抑制模块04以丢弃。
此外,图2、图4与图6所示的任一网络设备中的频率比较模块03与发送模块06之间,还可以设置状态检测模块12,用于判断当前处理业务请求的服务器的工作状态是否正常,如是,则向该服务器发送所述业务请求;如否,向与该服务器互为备用的备用服务器或选择其中一个备用服务器发送所述业务请求。图9所示为由该网络设备及多个互为备用的服务器构成的业务处理系统的原理图,其中的各服务器可以两两互为备用,也可以一个或多个服务器工作,其余服务器作为指定的服务器或者当前工作的服务器的共同备用服务器,当业务请求满足发往服务器的条件时,通过状态检测模块12确定当前处理业务请求的服务器的工作状态正常,便将该业务请求发送给该服务器;如果其工作状态不正常,发送模块06便可以将该业务请求发送给该服务器的备用服务器。
另外,图2、图4与图6所示的任一网络设备中的发送模块06还可以连接转发模块13,用于比较连接的、可以处理所述业务请求的多个服务器的负载,将所述业务请求发送给其中负载最小的一个服务器。
本发明总的有益效果:有效避免了用户对服务器的攻击,增加了攻击难度,减小了攻击强度;减小了无效业务请求对服务器的冲击,以及恶意的DDOS对服务器的攻击,保证了网络的正常运行,提高了用户的满意度;另外,不需要改进服务器,节省了运营商的成本。
最后所应说明的是:以上实施例仅用以说明本发明的技术方案,而非对本发明作限制性理解。尽管参照上述较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解:其依然可以对本发明的技术方案进行修改或者等同替换,而这种修改或者等同替换并不脱离本发明技术方案的精神和范围。
Claims (24)
1、一种业务处理方法,其特征在于包括以下步骤:
根据接收的业务请求中携带的用户信息,判断所述用户发起所述业务请求的频率是否超过设定值,是,则丢弃所述业务请求;否则,发送所述业务请求。
2、根据权利要求1所述的业务处理方法,其特征在于判断所述用户发起所述业务请求的频率是否超过设定值具体为:
查询是否存在与所述业务请求中携带的用户信息及业务内容相应的控制表,是,则根据所述控制表判断所述业务请求的频率是否超过设定值;否则,根据所述用户信息及业务内容建立所述业务请求的控制表,在该控制表中记录所述用户信息、所述业务请求的业务内容、开始时刻、请求次数与所述设定值,并发送所述业务请求。
3、根据权利要求1或2所述的业务处理方法,其特征在于所述用户信息为MAC地址、用户名或IP地址。
4、根据权利要求1或2所述的业务处理方法,其特征在于丢弃所述业务请求或发送所述业务请求后,还更新所述控制表中所述业务请求的最后一次请求时刻与请求次数。
5、根据权利要求4所述的业务处理方法,其特征在于还包括:若在距离所述最后一次请求时刻的预定时间内未收到所述用户发送的所述业务请求,删除所述业务请求的控制表。
6、根据权利要求1所述的业务处理方法,其特征在于还包括:
网络设备接收到业务请求后,判断是否支持所述业务请求,是,则根据接收的业务请求中携带的用户信息,判断所述用户发起所述业务请求的频率是否超过设定值;否则,将该业务请求转发给支持所述业务请求的另一网络设备;另一网络设备接收所述业务请求,然后根据接收的业务请求中携带的用户信息,判断所述用户发起所述业务请求的频率是否超过设定值。
7、根据权利要求1所述的业务处理方法,其特征在于还包括:
网络设备接收到业务请求后,根据该业务请求中携带的处理该业务请求的服务器的地址,判断该服务器当前处理的业务请求的数量是否小于预设数量值,是,则根据接收的业务请求中携带的用户信息,判断所述用户发起所述业务请求的频率是否超过设定值;否则,丢弃所述业务请求。
8、根据权利要求1所述的业务处理方法,其特征在于发送所述业务请求具体为:
网络设备判断当前处理所述业务请求的服务器的工作状态是否正常,是,向该服务器发送所述业务请求;否则,向与所述服务器的互为备用的备用服务器发送所述业务请求;
或者发送所述业务请求具体为:网络设备将所述业务请求发送给可处理该业务请求的多个服务器中负载最小的服务器。
9、一种网络设备,其特征在于包括:
接收模块,用于接收业务请求;
控制表存储模块,用于存储控制表,该控制表包括用户信息、用户请求的业务内容、业务请求的开始时刻、最后一次请求时刻、请求次数与设定值;
查询模块,用于查询所述控制表存储模块中是否存在与接收到的所述业务请求中携带的用户信息及业务内容相应的控制表;
频率比较模块,用于根据所述控制表判断所述业务请求的频率是否超过设定值;
抑制模块,用于丢弃频率超过设定值的业务请求;
发送模块,用于发送频率未超过设定值的业务请求。
10、根据权利要求9所述的网络设备,其特征在于还包括控制表建立模块,用于建立所述业务请求的控制表,并在该控制表中记录所述业务请求的业务内容、开始时刻、最后一次请求时刻、请求次数与设定值。
11、根据权利要求9所述的网络设备,其特征在于还包括更新模块,用于更新所述控制表中所述业务请求的最后一次请求时刻与请求次数。
12、根据权利要求9所述的网络设备,其特征在于还包括删除模块,用于在距离所述最后一次请求时刻的预定时间内未收到所述用户发送的所述业务请求时,删除所述业务请求的控制表。
13、根据权利要求9至12任意一项所述的网络设备,其特征在于还包括鉴权模块,用于判断是否支持所述业务请求,若否,将所述业务请求转发给支持所述业务请求的另一网络设备。
14、根据权利要求9至12任意一项所述的网络设备,其特征在于还包括数量比较模块,用于根据所述业务请求中携带的处理该业务请求的服务器的地址,判断该服务器的当前处理的业务请求的数量是否小于预设数量值,若是,则向所述查询模块发送所述业务请求,若否,则向所述抑制模块发送所述业务请求。
15、根据权利要求9至12任意一项所述的网络设备,其特征在于还包括状态检测模块,用于判断当前处理所述业务请求的服务器的工作状态是否正常,是,向该服务器发送所述业务请求;否则,向与所述备用服务器发送所述业务请求。
16、根据权利要求9至12任意一项所述的网络设备,其特征在于还包括转发模块,用于将所述业务请求发送给可处理该业务请求的多个服务器中负载最小的服务器。
17、一种业务处理系统,包括用于处理业务请求的服务器,其特征在于还包括网络设备,该网络设备包括:
接收模块,用于接收业务请求;
控制表存储模块,用于存储控制表,该控制表包括用户信息、用户请求的业务内容、业务请求的开始时刻、最后一次请求时刻、请求次数与设定值;
查询模块,用于查询所述控制表存储模块中是否存在与接收到的所述业务请求中携带用户信息及业务内容相应的控制表;
频率比较模块,用于根据所述控制表判断所述业务请求的频率是否超过设定值;
抑制模块,用于丢弃频率超过设定值的业务请求;
发送模块,用于发送频率未超过设定值的业务请求。
18、根据权利要求17所述的业务处理系统,其特征在于所述网络设备还包括控制表建立模块,用于建立所述业务请求的控制表,并在该控制表中记录所述业务请求的业务内容、开始时刻、最后一次请求时刻、请求次数与设定值。
19、根据权利要求17所述的业务处理系统,其特征在于所述网络设备还包括更新模块,用于所述控制表中所述业务请求的最后一次请求时刻与请求次数。
20、根据权利要求17所述的业务处理系统,其特征在于所述网络设备还包括删除模块,用于在距离所述最后一次请求时刻的预定时间内未收到所述用户发送的所述业务请求时,删除所述业务请求的控制表。
21、根据权利要求17至20任意一项所述的业务处理系统,其特征在于所述网络设备还包括鉴权模块,用于判断是否支持所述业务请求。
22、根据权利要求17至20任意一项所述的业务处理系统,其特征在于所述网络设备还包括数量比较模块,用于根据所述业务请求中携带的处理该业务请求的服务器的地址,判断该服务器的当前处理的业务请求的数量是否小于预设数量值,若是,则向所述查询模块发送所述业务请求,若否,则向所述抑制模块发送所述业务请求。
23、根据权利要求17至20任意一项所述的业务处理系统,其特征在于还包括与所述服务器的互为备用的备用服务器;所述网络设备还包括状态检测模块,用于判断当前处理所述业务请求的服务器的工作状态是否正常,是,向该服务器发送所述业务请求;否则,向与所述备用服务器发送所述业务请求。
24、根据权利要求17至20任意一项所述的业务处理系统,其特征在于所述服务器为多个;所述网络设备还包括转发模块,用于将所述业务请求发送给可处理该业务请求的多个服务器中负载最小的服务器。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101403289A CN1968147B (zh) | 2006-11-27 | 2006-11-27 | 业务处理方法、网络设备及业务处理系统 |
| EP07816891A EP2086168A4 (en) | 2006-11-27 | 2007-11-26 | SERVICE PROCESSING METHOD, NETWORK DEVICE, AND SERVICE PROCESSING SYSTEM |
| PCT/CN2007/003336 WO2008064562A1 (en) | 2006-11-27 | 2007-11-26 | Service processing method, network device and service processing system |
| US12/471,615 US20090234952A1 (en) | 2006-11-27 | 2009-05-26 | Service processing method, network device and service processing system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101403289A CN1968147B (zh) | 2006-11-27 | 2006-11-27 | 业务处理方法、网络设备及业务处理系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1968147A true CN1968147A (zh) | 2007-05-23 |
| CN1968147B CN1968147B (zh) | 2010-04-14 |
Family
ID=38076712
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101403289A Expired - Fee Related CN1968147B (zh) | 2006-11-27 | 2006-11-27 | 业务处理方法、网络设备及业务处理系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20090234952A1 (zh) |
| EP (1) | EP2086168A4 (zh) |
| CN (1) | CN1968147B (zh) |
| WO (1) | WO2008064562A1 (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2211518A2 (en) | 2009-01-22 | 2010-07-28 | Martin Blapp | A technical system located in the firmware / OS-kernel of an e-mail gateway or firewall to protect the infrastructure or operating system against DDoS attacks |
| CN102611597A (zh) * | 2012-04-10 | 2012-07-25 | 中山爱科数字家庭产业孵化基地有限公司 | 一种在不同家庭环境中免输入账号和密码的宽带上网方法 |
| WO2015101300A1 (zh) * | 2013-12-30 | 2015-07-09 | 广州华多网络科技有限公司 | 临时频道创建方法、装置及系统 |
| CN105025080A (zh) * | 2015-06-02 | 2015-11-04 | 深圳市创梦天地科技有限公司 | 一种分布式系统的过载保护方法和服务器 |
| CN105337931A (zh) * | 2014-06-30 | 2016-02-17 | 北京新媒传信科技有限公司 | 一种限额控制方法及分布式限额控制系统 |
| CN106878335A (zh) * | 2017-03-28 | 2017-06-20 | 武汉斗鱼网络科技有限公司 | 一种用于登录验证的方法及系统 |
| CN107026936A (zh) * | 2016-01-06 | 2017-08-08 | 谷歌公司 | 基于信号的自动数据限制 |
| CN109076024A (zh) * | 2018-07-20 | 2018-12-21 | 威富通科技有限公司 | 数据控制方法及终端设备 |
| CN113516811A (zh) * | 2021-04-23 | 2021-10-19 | 摩拜(北京)信息技术有限公司 | 一种物品使用方法和装置 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9122519B1 (en) * | 2008-03-12 | 2015-09-01 | Lockheed Martin Corporation | Governor for elimination of repetitive requests |
| CN101511131B (zh) * | 2009-03-04 | 2010-09-22 | 上海华为技术有限公司 | 一种路由方法及装置及系统 |
| CN102137059B (zh) * | 2010-01-21 | 2014-12-10 | 阿里巴巴集团控股有限公司 | 一种恶意访问的拦截方法和系统 |
| US9058210B2 (en) * | 2010-03-23 | 2015-06-16 | Ebay Inc. | Weighted request rate limiting for resources |
| CN106790134B (zh) * | 2016-12-28 | 2021-01-29 | 浙江宇视科技有限公司 | 一种视频监控系统的访问控制方法及安全策略服务器 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4937743A (en) * | 1987-09-10 | 1990-06-26 | Intellimed Corporation | Method and system for scheduling, monitoring and dynamically managing resources |
| US5249290A (en) * | 1991-02-22 | 1993-09-28 | At&T Bell Laboratories | Method of and apparatus for operating a client/server computer network |
| US5796952A (en) * | 1997-03-21 | 1998-08-18 | Dot Com Development, Inc. | Method and apparatus for tracking client interaction with a network resource and creating client profiles and resource database |
| US6327622B1 (en) * | 1998-09-03 | 2001-12-04 | Sun Microsystems, Inc. | Load balancing in a network environment |
| US6938057B2 (en) * | 1999-05-21 | 2005-08-30 | International Business Machines Corporation | Method and apparatus for networked backup storage |
| US6662230B1 (en) * | 1999-10-20 | 2003-12-09 | International Business Machines Corporation | System and method for dynamically limiting robot access to server data |
| US6751668B1 (en) * | 2000-03-14 | 2004-06-15 | Watchguard Technologies, Inc. | Denial-of-service attack blocking with selective passing and flexible monitoring |
| US7032023B1 (en) * | 2000-05-16 | 2006-04-18 | America Online, Inc. | Throttling electronic communications from one or more senders |
| DE60127978T2 (de) | 2000-09-01 | 2008-01-17 | Top Layer Networks, Inc., Westboro | System und Verfahren zur Verteidigung gegen Denial-of-Service angriffe auf die Netzwerkknoten |
| JP4434551B2 (ja) * | 2001-09-27 | 2010-03-17 | 株式会社東芝 | サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機 |
| US7289519B1 (en) * | 2002-05-01 | 2007-10-30 | Cisco Technology, Inc. | Methods and apparatus for processing content requests using domain name service |
| CN100375480C (zh) * | 2002-09-18 | 2008-03-12 | 中兴通讯股份有限公司 | 一种限制用户使用代理上网的方法 |
| CN1585341A (zh) * | 2003-08-23 | 2005-02-23 | 华为技术有限公司 | 网络会话管理方法 |
| US7730137B1 (en) * | 2003-12-22 | 2010-06-01 | Aol Inc. | Restricting the volume of outbound electronic messages originated by a single entity |
| CN100414901C (zh) * | 2003-12-26 | 2008-08-27 | 上海艾泰科技有限公司 | 在nat环境下解决端口扫描和拒绝攻击的方法 |
| CN100349409C (zh) * | 2004-01-15 | 2007-11-14 | 中兴通讯股份有限公司 | 一种防止地址耗尽型攻击的方法 |
| JP4278593B2 (ja) * | 2004-09-28 | 2009-06-17 | 日本電信電話株式会社 | アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ |
| US7206845B2 (en) * | 2004-12-21 | 2007-04-17 | International Business Machines Corporation | Method, system and program product for monitoring and controlling access to a computer system resource |
| CN100391162C (zh) * | 2005-04-13 | 2008-05-28 | 华为技术有限公司 | 一种切换服务器的控制方法 |
-
2006
- 2006-11-27 CN CN2006101403289A patent/CN1968147B/zh not_active Expired - Fee Related
-
2007
- 2007-11-26 EP EP07816891A patent/EP2086168A4/en not_active Withdrawn
- 2007-11-26 WO PCT/CN2007/003336 patent/WO2008064562A1/zh not_active Ceased
-
2009
- 2009-05-26 US US12/471,615 patent/US20090234952A1/en not_active Abandoned
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2211518A2 (en) | 2009-01-22 | 2010-07-28 | Martin Blapp | A technical system located in the firmware / OS-kernel of an e-mail gateway or firewall to protect the infrastructure or operating system against DDoS attacks |
| CN102611597A (zh) * | 2012-04-10 | 2012-07-25 | 中山爱科数字家庭产业孵化基地有限公司 | 一种在不同家庭环境中免输入账号和密码的宽带上网方法 |
| WO2015101300A1 (zh) * | 2013-12-30 | 2015-07-09 | 广州华多网络科技有限公司 | 临时频道创建方法、装置及系统 |
| CN105337931A (zh) * | 2014-06-30 | 2016-02-17 | 北京新媒传信科技有限公司 | 一种限额控制方法及分布式限额控制系统 |
| CN105337931B (zh) * | 2014-06-30 | 2019-08-20 | 北京新媒传信科技有限公司 | 一种限额控制方法及分布式限额控制系统 |
| CN105025080A (zh) * | 2015-06-02 | 2015-11-04 | 深圳市创梦天地科技有限公司 | 一种分布式系统的过载保护方法和服务器 |
| CN107026936A (zh) * | 2016-01-06 | 2017-08-08 | 谷歌公司 | 基于信号的自动数据限制 |
| CN106878335A (zh) * | 2017-03-28 | 2017-06-20 | 武汉斗鱼网络科技有限公司 | 一种用于登录验证的方法及系统 |
| CN109076024A (zh) * | 2018-07-20 | 2018-12-21 | 威富通科技有限公司 | 数据控制方法及终端设备 |
| CN113516811A (zh) * | 2021-04-23 | 2021-10-19 | 摩拜(北京)信息技术有限公司 | 一种物品使用方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2086168A4 (en) | 2010-01-20 |
| EP2086168A1 (en) | 2009-08-05 |
| CN1968147B (zh) | 2010-04-14 |
| WO2008064562A1 (en) | 2008-06-05 |
| US20090234952A1 (en) | 2009-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101034989A (zh) | 一种为用户终端发起认证请求的方法、系统和路由设备 | |
| CN1194309C (zh) | 服务器计算机保护的装置、方法和服务器计算机装置 | |
| WO2008064562A1 (en) | Service processing method, network device and service processing system | |
| CN1798436A (zh) | 一种保证移动通信系统数据业务安全的方法及系统 | |
| CN101069144A (zh) | 用于按需网络访问控制的计算机和方法 | |
| WO2008080314A1 (en) | A method, forwarding engine and communication device for message acces control | |
| CN101060495A (zh) | 报文处理方法、系统和设备 | |
| EP2309685B1 (en) | A method and apparatus for realizing forwarding the reversal transmission path of the unique address | |
| CN101056222A (zh) | 一种深度报文检测方法、网络设备及系统 | |
| CN1943206A (zh) | 用于在集群系统的网络故障期间最大化连通性的系统和方法 | |
| CN101079746A (zh) | 宽带接入设备安全实现方法和装置 | |
| CN1175621C (zh) | 一种检测并监控恶意用户主机攻击的方法 | |
| CN104853001A (zh) | 一种arp报文的处理方法和设备 | |
| CN101068376A (zh) | 短消息系统、流量控制配置方法和流量控制方法 | |
| CN1855812A (zh) | 防止mac地址仿冒的实现方法 | |
| CN1859736A (zh) | 一种向移动终端提供安全服务的方法及系统 | |
| CN1705262A (zh) | 网络安全防护系统及方法 | |
| CN1788475A (zh) | 网络攻击缓解方法,网络攻击缓解设备,和网络攻击缓解程序 | |
| CN102045308B (zh) | 一种防止拒绝服务攻击的方法及装置 | |
| US20020194506A1 (en) | Internet service provider method and apparatus | |
| CN102130905B (zh) | 一种提高邻居发现监听安全性的方法及装置 | |
| WO2009135427A1 (zh) | 一种分布式网络设备安全集中防护的装置与方法 | |
| CN101047506A (zh) | 针对无线通信网络中的终端设备发起业务的管理方法 | |
| CN101039213A (zh) | 一种通信网络中对用户的接入访问进行控制的方法 | |
| CN1909524A (zh) | 数字家庭终端的自动配置方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100414 Termination date: 20151127 |