[发明专利]一种网络攻击处理方法、装置、设备及机器可读存储介质

权利要求书

1.一种网络攻击处理方法，其特征在于，应用于网络安全设备，所述方法包括：

建立第二报文队列，第二报文队里的长度小于第一报文队列的长度，所述第一报文队列用于正常流量报文；

检测当前接收的流量报文，认为符合预设条件的流量报文为异常流量报文；

将异常流量报文关联至第二报文队列，以使第二报文队列存入不超过队列长度的异常流量报文并丢弃剩余异常流量报文。

2.根据权利要求1所述的方法，其特征在于，所述检测当前接收的流量报文，若符合预设条件则认为所述流量报文为异常流量报文，包括：

获取当前每个处理器的工作状态，根据存在忙碌状态的处理器且忙碌状态的处理器的个数在处理器总数中的占比小于比例阈值，认为当前忙碌状态的处理器为异常处理器；

获取同一五元组信息的占用异常处理器性能超过预设阈值的流量报文的五元组信息，认为关联于所述五元组信息的流量报文为异常流量报文。

3.根据权利要求2所述的方法，其特征在于，对异常处理器使能限速功能。

4.根据权利要求1所述的方法，其特征在于，将异常流量报文关联至第二报文队列后，当预设时长内第二报文队列不再丢弃异常流量报文时，解除所述异常流量报文与第二报文队列的关联关系。

5.一种网络攻击处理装置，其特征在于，应用于网络安全设备，所述装置包括：

队列模块，用于建立第二报文队列，第二报文队里的长度小于第一报文队列的长度，所述第一报文队列用于正常流量报文；

检测模块，用于检测当前接收的流量报文，认为符合预设条件的流量报文为异常流量报文；

处理模块，用于将异常流量报文关联至第二报文队列，以使第二报文队列存入不超过队列长度的异常流量报文并丢弃剩余异常流量报文。

6.根据权利要求5所述的装置，其特征在于，所述检测当前接收的流量报文，若符合预设条件则认为所述流量报文为异常流量报文，包括：

获取当前每个处理器的工作状态，根据存在忙碌状态的处理器且忙碌状态的处理器的个数在处理器总数中的占比小于比例阈值，认为当前忙碌状态的处理器为异常处理器；

获取同一五元组信息的占用异常处理器性能超过预设阈值的流量报文的五元组信息，认为关联于所述五元组信息的流量报文为异常流量报文。

7.根据权利要求6所述的装置，其特征在于，对异常处理器使能限速功能。

8.根据权利要求5所述的装置，其特征在于，将异常流量报文关联至第二报文队列后，当预设时长内第二报文队列不再丢弃异常流量报文时，解除所述异常流量报文与第二报文队列的关联关系。

9.一种电子设备，其特征在于，包括：处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器执行所述机器可执行指令，以实现权利要求1-4任一所述的方法。

10.一种机器可读存储介质，其特征在于，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现权利要求1-4任一所述的方法。