一种多核处理器的保护方法以及装置与流程

1.本说明书涉及通信技术领域，尤其涉及一种多核处理器的保护方法以及装置。


背景技术：

2.网络设备是网络通信和数据传输中必不可少的部分，随着数据吞吐量的增大，处理器的性能需求也随之提升，具有较强数据处理能力的多核形态的处理器的应用逐渐增加。在这种处理器中，根据一定算法，可以将特定流量特征的报文上送到不同的处理器核中进行处理。
3.由于网络设备很可能成为被恶意攻击的对象，一个处理器核会因为攻击流量而被占用，导致后续的正常流量无法被该处理器核处理，因此，如何更有效地处理攻击流量，使正常流量能够被处理是本领域技术人员亟待解决的问题。


技术实现要素：

4.为克服相关技术中存在的问题，本说明书提供了一种多核处理器的保护方法以及装置。
5.结合本说明书实施方式的第一方面，本技术提供了一种多核处理器的保护方法，应用于多核处理器的控制核，包括：
6.获取处理器中各转发核的利用率以及各转发核所对应的缓存队列的状态；
7.若一个转发核的利用率到达预设的第一阈值且该转发核对应的缓存队列处于满队列状态，则将该转发核作为被攻击的转发核；
8.根据控制核中的报文处理指令，对上送至被攻击的转发核的数据报文进行处理，以降低被攻击的转发核的利用率直至被攻击的转发核的利用率低于预设的第二阈值。
9.可选的，根据控制核中的报文处理指令，对上送至被攻击的转发核的数据报文进行处理，包括：
10.获取被攻击的转发核中各数据流的元组信息；
11.统计预设时间内对于被攻击的转发核的处理能力消耗最大的数据流作为攻击流；
12.根据攻击流的元组信息生成隔离表项，其中，隔离表项用于将攻击流分配到隔离队列，隔离队列的处理优先级低于被攻击的转发核的转发队列。
13.可选的，根据控制核中的报文处理指令，对上送至被攻击的转发核的数据报文进行处理，包括：
14.将上送被攻击的转发核的数据流附加统计标记，并上送至被攻击的转发核，以使被攻击的转发核对携带统计标记的数据流进行统计，确定消耗被攻击的转发核最多的数据流作为攻击流；
15.接收被攻击的转发核所发送的、攻击流的元组信息；
16.根据攻击流的元组信息生成隔离表项，其中，隔离表项用于将攻击流分配到隔离队列，隔离队列的处理优先级低于被攻击的转发核的转发队列。
17.可选的，各转发核中的一个转发核对应一个隔离队列；或者，
18.各转发核对应一个隔离队列。
19.可选的，根据控制核中的报文处理指令，对上送至被攻击的转发核的数据报文进行处理，包括：
20.根据各转发核的利用率确定若干空闲的转发核，其中，空闲的转发核为利用率低于预设的第三阈值的转发核；
21.将上送至被攻击的转发核的数据流上送至空闲的转发核，直至被攻击的转发核的利用率低于预设的第二阈值。
22.可选的，根据控制核中的报文处理指令，对上送至被攻击的转发核的数据报文进行处理，包括：
23.根据处理器的主频，计算出一个转发核的报文承载量；
24.降低被攻击的转发核的百分比能力，其中，在转发核未被确认攻击时百分比能力为最大值；
25.根据报文承载量和降低后的百分比能力，对攻击流进行丢弃处理，直至被攻击的转发核的利用率低于预设的第二阈值。
26.结合本说明书实施方式的第二方面，本技术提供了一种多核处理器的保护装置，应用于多核处理器的控制核，包括：
27.检测单元，用于获取处理器中各转发核的利用率以及各转发核所对应的缓存队列的状态；
28.攻击确认单元，用于若一个转发核的利用率到达预设的第一阈值且该转发核对应的缓存队列处于满队列状态，则将该转发核作为被攻击的转发核；
29.处理单元，用于根据控制核中的报文处理指令，对上送至被攻击的转发核的数据报文进行处理，以降低被攻击的转发核的利用率直至被攻击的转发核的利用率低于预设的第二阈值。
30.可选的，处理单元，包括：
31.获取模块，用于获取被攻击的转发核中各数据流的元组信息；
32.统计模块，用于统计预设时间内对于被攻击的转发核的处理能力消耗最大的数据流作为攻击流；
33.第一隔离模块，用于根据攻击流的元组信息生成隔离表项，其中，隔离表项用于将攻击流分配到隔离队列，隔离队列的处理优先级低于被攻击的转发核的转发队列。
34.可选的，处理单元，包括：
35.标记模块，用于将上送被攻击的转发核的数据流附加统计标记，并上送至被攻击的转发核，以使被攻击的转发核对携带统计标记的数据流进行统计，确定消耗被攻击的转发核最多的数据流作为攻击流；
36.接收模块，用于接收被攻击的转发核所发送的、攻击流的元组信息；
37.第二隔离模块，用于根据攻击流的元组信息生成隔离表项，其中，隔离表项用于将攻击流分配到隔离队列，隔离队列的处理优先级低于被攻击的转发核的转发队列。
38.可选的，各转发核中的一个转发核对应一个隔离队列；或者，
39.各转发核对应一个隔离队列。
40.可选的，处理单元，包括：
41.确定模块，用于根据各转发核的利用率确定若干空闲的转发核，其中，空闲的转发核为利用率低于预设的第三阈值的转发核；
42.分配模块，用于将上送至被攻击的转发核的数据流上送至空闲的转发核，直至被攻击的转发核的利用率低于预设的第二阈值。
43.可选的，处理单元，包括：
44.计算模块，用于根据处理器的主频，计算出一个转发核的报文承载量；
45.调整模块，用于降低被攻击的转发核的百分比能力，其中，在转发核未被确认攻击时百分比能力为最大值；
46.丢弃模块，用于根据报文承载量和降低后的百分比能力，对攻击流进行丢弃处理，直至被攻击的转发核的利用率低于预设的第二阈值。
47.结合本说明书实施方式的第三方面，本技术提供了一种网络设备，包括收发器、处理器和机器可读存储介质，其中，处理器包括控制核和若干转发核，机器可读存储介质存储有能够被处理器的控制核执行的机器可执行指令，控制核被机器可执行指令促使：实现上述任一项的方法步骤。
48.结合本说明书实施方式的第四方面，本技术提供了一种机器可读存储介质，存储有机器可执行指令，在被处理器的控制核调用和执行时，机器可执行指令促使控制核：实现上述任一项的方法步骤。
49.本说明书的实施方式提供的技术方案可以包括以下有益效果：
50.本说明书实施方式中，通过控制核检测各转发核的利用率以及对应的缓存队列的状态，在确定一个转发核收到流量攻击时，根据控制核中的报文处理指令对上送至被攻击的转发核的数据流进行处理，降低该被攻击的转发核的利用率，避免一个转发核受到攻击时无法对正常流量进行处理的问题，提高了网络设备进行流量转发的可靠性。
51.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本说明书。
附图说明
52.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本说明书的实施方式，并与说明书一起用于解释本说明书的原理。
53.图1是本技术所涉及的一种多核处理器的保护方法的流程图；
54.图2是本技术所涉及的一种网络设备的结构示意图；
55.图3是本技术实施方式所涉及的一种多核处理器的保护方法的数据流处理示意图；
56.图4是本技术实施方式所涉及的另一种多核处理器的保护方法的数据流处理示意图；
57.图5是本技术所涉及的一种多核处理器的保护装置的结构示意图。
具体实施方式
58.这里将详细地对示例性实施方式进行说明，其示例表示在附图中。下面的描述涉
及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施方式中所描述的实施方式并不代表与本说明书相一致的所有实施方式。
59.本技术提供了一种多核处理器的保护方法，应用于多核处理器的控制核，如图1所示，包括：
60.s100、获取处理器中各转发核的利用率以及各转发核所对应的缓存队列的状态。
61.如图2所示，在一台网络设备中可以设置有处理器、收发器以及机器可读存储介质，在机器可读存储介质中存储有能够被处理器执行的机器可执行指令。该处理器可以包含有一个控制核和若干转发核，转发核用于实现对于数据流的处理和转发，控制核用于检测每一个转发核的利用率，并将对数据流分发到各转发核等。
62.在控制核和转发核之间形成有缓存队列，在控制核向转发核分配数据流中的数据报文时，先写入到缓存队列，再经缓存队列上送至转发核进行处理。转发核接收到数据报文后，转发核对数据报文进行处理和转发。在处理器中针对转发核的利用率设置预设的第一阈值，该第一阈值表示转发核已经出现了拥塞。针对缓存队列，控制核中能够检测每一个缓存队列的状态，此处可以分为满队列状态和非满队列状态。因此，控制核可以确认出每一个转发核的利用率以及该转发核对应的缓存队列的状态。
63.s101、若一个转发核的利用率到达预设的第一阈值且该转发核对应的缓存队列处于满队列状态，则将该转发核作为被攻击的转发核。
64.在控制核检测转发核的利用率和缓存队列的过程中，若确定一个转发核的利用率到达第一阈值，并且该转发核所对应的缓存队列的状态为满队列状态，则可以确定出该转发核可能出现了被攻击的情况。此时，控制核会将该转发核确定为被攻击的转发核。比如，以图2为例，转发核2的缓存队列2已处于满队列状态，转发核2的利用率处于90％，高于第一阈值(85％)，则控制核可以将转发核2设置为被攻击的转发核。
65.s102、根据控制核中的报文处理指令，对上送至被攻击的转发核的报文进行处理，以降低被攻击的转发核的利用率直至被攻击的转发核的利用率低于预设的第二阈值。
66.在控制核中可以设置有报文处理指令，该报文处理指令可以使得控制核生成报文处理表项，将控制核向被攻击的转发核进行处理和分配，比如进行隔离、分担或者丢弃，从而降低被攻击的转发核的利用率，直至被攻击的转发核的利用率低于预设的第二阈值。该第二阈值表示被攻击的转发核可以正常地进行数据报文的处理和转发，避免攻击流量影响到正常流量。
67.通过控制核检测各转发核的利用率以及对应的缓存队列的状态，在确定一个转发核收到流量攻击时，根据控制核中的报文处理指令对上送至被攻击的转发核的数据流进行处理，降低该被攻击的转发核的利用率，避免一个转发核受到攻击时无法对正常流量进行处理的问题，提高了网络设备进行流量转发的可靠性。
68.下面结合具体的实施方式对处理器的转发核的攻击保护方法进行说明。
69.方式1：
70.可选的，步骤s102、根据控制核中的报文处理指令，对上送至被攻击的转发核的数据报文进行处理，包括：
71.s102a、获取被攻击的转发核中各数据流的元组信息。
72.在控制核确定处理器中的一个转发核为被攻击的转发核后，继续对接收到数据流
进行分发，此时，控制核可以获取到各数据流的元组信息(可以至少适用于三元组、四元组和五元组，但不限于此)。控制核根据元组信息进行散列运算(比如哈希运算)，确认需要一条数据流需要上送的转发核。如果该转发核为被攻击的转发核，则记录上送的各数据流的元组信息。如图3所示，假设转发核1为被攻击的转发核。
73.s102b、统计预设时间内对于被攻击的转发核的处理能力消耗最大的数据流作为攻击流。
74.控制核针对上送被攻击的转发核的数据流进行统计，确定消耗最大的数据流作为攻击流。其中，统计处理能力消耗，可以通过统计上送被攻击的转发核的数据流的数据报文数量，由于转发核在处理和转发一条数据报文时所消耗的处理能力是相近或相同的，因此，通过统计上送被攻击的转发核的数据报文的数量，可以确定出一条数据流的处理能力。如图3所示，控制核可以分别统计上送转发核3的数据流a和数据流b，其中，控制核可以确定出预设时间(比如1分钟内)数据流a的数据报文的数量为50个，数据流b的数据报文的数量为200个，因此，控制流可以将数据流b确定为攻击流。
75.s102c、根据攻击流的元组信息生成隔离表项。
76.在控制核确定攻击流后，基于记录下的该攻击流的元组信息，可以生成一条表项，后续该表项称为隔离表项。该隔离表项用于将攻击流分配到隔离队列，隔离队列的处理优先级低于被攻击的转发核的转发队列。后续，控制核在接收到上送转发核3的数据流b时，可以基于该隔离表项将数据流b的数据报文上送至隔离队列，其他的数据流会上送至转发队列，这样一来，转发核3可以优先处理转发队列中的数据报文，仅在转发队列中没有数据报文时才会处理隔离队列中的数据报文，从而避免了接收到攻击流的情况下，转发核无法处理正常流的数据报文的情况，提升了网络设备的可靠性。
77.方式2：
78.可选的，步骤s102、根据控制核中的报文处理指令，对上送至被攻击的转发核的数据报文进行处理，包括：
79.s102d、将上送被攻击的转发核的数据流附加统计标记，并上送至被攻击的转发核，以使被攻击的转发核对携带统计标记的数据流进行统计，确定消耗被攻击的转发核最多的数据流作为攻击流。
80.控制核在接收到数据流并确定上送至被攻击的转发核(如图4所示的转发核2)时，不对数据流进行统计，而是在上送转发队列时附加一个统计标记。
81.在控制核通过调用转发核2中的分析线程的接口，使数据报文经由转发队列上送至转发和2时，若转发核2确认与数据报文相对应的统计标记，则通过分析线程对该数据报文进行解析，并基于元组信息对数据流进行统计，在统计过后会再调用转发线程进行数据报文的处理和转发。此时，转发核2可以对上送的数据流c和数据流d进行统计，确定出二者在预设时间(比如1分钟)内的数据报文的数量，即数据流c的数据报文的数量为40个，数据流d的数据报文的数量为250个。转发核2可以将数据流d确定为攻击流。此后，转发核2可以将攻击流的元组信息发送给控制核2，或者也可以将统计结果和元组信息发送给控制核，以便于控制核进行后续的隔离。
82.需要说明的是，在控制核上送数据报文至转发核的过程中，控制核也可以先调用转发线程的接口上送数据报文，在转发核2确认具有统计标记时，通过调用分析线程进行数
据报文的解析和统计实现攻击流的确定。
83.另外，在控制核上送数据报文至转发核的过程中，控制核还可以分别调用转发线程的接口和分析线程的接口上送数据报文，使转发核对数据报文的处理和转发以及解析和统计进行分别处理，即实现转发和统计的并行处理，提升网络设备进行统计和隔离的效率。
84.s102e、接收被攻击的转发核所发送的、攻击流的元组信息。
85.s102f、根据攻击流的元组信息生成隔离表项
86.控制核在接收到转发核2发送的攻击流的元组信息后，可以基于元组信息生成隔离表项，其中，隔离表项用于将攻击流分配到隔离队列，隔离队列的处理优先级低于被攻击的转发核的转发队列。
87.后续，控制核在接收到上送转发核2的数据流d时，可以基于该隔离表项将数据流d的数据报文上送至隔离队列，其他的数据流会上送至转发队列，这样一来，转发核2可以优先处理转发队列中的数据报文，仅在转发队列中没有数据报文时才会处理隔离队列中的数据报文，从而避免了接收到攻击流的情况下，转发核无法处理正常流的数据报文的情况，提升了网络设备的可靠性。
88.可选的，在方式1和方式2中，各转发核中的一个转发核对应一个隔离队列，如图3所示；或者，各转发核对应一个隔离队列，如图4所示。
89.在针对各转发核设置一个隔离队列时，可以避免隔离队列空闲时对资源的占用所造成的资源浪费。在针对一个转发核设置一个隔离队列时，可以避免多个转发核被攻击时隔离资源不足的情况，进一步提升了网络设备的可靠性。
90.方式3：
91.可选的，步骤s102、根据控制核中的报文处理指令，对上送至被攻击的转发核的数据报文进行处理，包括：
92.s102g、根据各转发核的利用率确定若干空闲的转发核。
93.其中，空闲的转发核为利用率低于预设的第三阈值(假设为30％)的转发核。
94.除了对攻击流进行隔离之外，还可以通过对攻击流进行分担来避免一个转发核被阻塞。此时，控制核可以基于对各转发核的利用率的检测，确定出一个或多个转发核作为空闲的转发核。如图5所示，假设转发核1为被攻击的转发核，转发核2、转发核3和转发核4的利用率分别为10％、40％和50％，控制核可以基于各转发核的利用率确定出转发核2低于预设的第三阈值(30％)。
95.s102h、将上送至被攻击的转发核的数据流上送至空闲的转发核，直至被攻击的转发核的利用率低于预设的第二阈值。
96.在确定空闲的转发核后，控制核再接收到上送转发核1的数据流时，可以将其上送至转发核2以进行负载分担，直至控制核确认转发核1的利用率低于第二阈值(假设为40％)。
97.通过从多个转发核中确定出空闲的转发核进行负载分担的方式，可以降低被攻击的转发核的利用率，避免转发核无法对正常流进行处理的问题，提升了网络设备的可靠性。
98.方式4：
99.可选的，步骤s102、根据控制核中的报文处理指令，对上送至被攻击的转发核的数据报文进行处理，包括：
100.s102i、根据处理器的主频，计算出一个转发核的报文承载量。
101.s102j、降低被攻击的转发核的百分比能力。
102.s102k、根据报文承载量和降低后的百分比能力，对攻击流进行丢弃处理，直至被攻击的转发核的利用率低于预设的第二阈值。
103.在处理器中预先存储有自身的参数信息，这些参数信息包含有主频和转发核数量等，并且，处理器对任意一个数据报文的处理所消耗的资源是相近的，因此，处理器在接收数据流，处理和转发的过程中，还可以确定出处理一个数据报文所消耗的资源。
104.根据这些参数信息和资源消耗，控制核能够确定出一个转发核的报文承载量，在参数信息中包含有一项百分比能力，该百分比能力用于表示当前转发核工作的能力上限，该能力上限被降低时转发核的处理能力也将下降。其中，在转发核未被确认攻击时百分比能力为最大值，也就是说，在初始阶段可以被设定为100％，即能够按照最大的报文承载量处理数据报文。
105.控制核在确定一个转发核被攻击后，可以降低该百分比能力，降低该转发核的报文处理能力的上限，并设定超出能力部分的数据报文进行丢弃。通过丢弃这些攻击流的数据报文，可以使该转发核等待攻击流的数据报文耗尽，再等该转发核的利用率被降低到预设的第二阈值。
106.此后，控制核可以恢复转发核的百分比能力，再进行数据流的处理和转发。此时如还存在攻击流，则会进行多次的百分比能力调整，直至攻击流消失，转发核恢复正常处理。
107.上述方式1-方式4可以集成在控制核中，也可以集成其中的一种或几种方式，工作人员可以根据实际需求选择其中一种或几种方式实现攻击保护，对此不做限制。
108.相对应的，本技术提供了一种多核处理器的保护装置，应用于多核处理器的控制核，如图5所示，包括：
109.检测单元，用于获取处理器中各转发核的利用率以及各转发核所对应的缓存队列的状态；
110.攻击确认单元，用于若一个转发核的利用率到达预设的第一阈值且该转发核对应的缓存队列处于满队列状态，则将该转发核作为被攻击的转发核；
111.处理单元，用于根据控制核中的报文处理指令，对上送至被攻击的转发核的数据报文进行处理，以降低被攻击的转发核的利用率直至被攻击的转发核的利用率低于预设的第二阈值。
112.可选的，处理单元，包括：
113.获取模块，用于获取被攻击的转发核中各数据流的元组信息；
114.统计模块，用于统计预设时间内对于被攻击的转发核的处理能力消耗最大的数据流作为攻击流；
115.第一隔离模块，用于根据攻击流的元组信息生成隔离表项，其中，隔离表项用于将攻击流分配到隔离队列，隔离队列的处理优先级低于被攻击的转发核的转发队列。
116.可选的，处理单元，包括：
117.标记模块，用于将上送被攻击的转发核的数据流附加统计标记，并上送至被攻击的转发核，以使被攻击的转发核对携带统计标记的数据流进行统计，确定消耗被攻击的转发核最多的数据流作为攻击流；
118.接收模块，用于接收被攻击的转发核所发送的、攻击流的元组信息；
119.第二隔离模块，用于根据攻击流的元组信息生成隔离表项，其中，隔离表项用于将攻击流分配到隔离队列，隔离队列的处理优先级低于被攻击的转发核的转发队列。
120.可选的，各转发核中的一个转发核对应一个隔离队列；或者，
121.各转发核对应一个隔离队列。
122.可选的，处理单元，包括：
123.确定模块，用于根据各转发核的利用率确定若干空闲的转发核，其中，空闲的转发核为利用率低于预设的第三阈值的转发核；
124.分配模块，用于将上送至被攻击的转发核的数据流上送至空闲的转发核，直至被攻击的转发核的利用率低于预设的第二阈值。
125.可选的，处理单元，包括：
126.计算模块，用于根据处理器的主频，计算出一个转发核的报文承载量；
127.调整模块，用于降低被攻击的转发核的百分比能力，其中，在转发核未被确认攻击时百分比能力为最大值；
128.丢弃模块，用于根据报文承载量和降低后的百分比能力，对攻击流进行丢弃处理，直至被攻击的转发核的利用率低于预设的第二阈值。
129.相对应的，本技术提供了一种网络设备，如图2所示，包括收发器、处理器和机器可读存储介质，其中，处理器包括控制核和若干转发核，机器可读存储介质存储有能够被处理器的控制核执行的机器可执行指令，控制核被机器可执行指令促使：实现上述任一项的方法步骤。
130.相对应的，本技术提供了一种机器可读存储介质，存储有机器可执行指令，在被处理器的控制核调用和执行时，机器可执行指令促使控制核：实现上述任一项的方法步骤。
131.本说明书的实施方式提供的技术方案可以包括以下有益效果：
132.本说明书实施方式中，通过控制核检测各转发核的利用率以及对应的缓存队列的状态，在确定一个转发核收到流量攻击时，根据控制核中的报文处理指令对上送至被攻击的转发核的数据流进行处理，降低该被攻击的转发核的利用率，避免一个转发核受到攻击时无法对正常流量进行处理的问题，提高了网络设备进行流量转发的可靠性。
133.应当理解的是，本说明书并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。
134.以上所述仅为本说明书的较佳实施方式而已，并不用以限制本说明书，凡在本说明书的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本说明书保护的范围之内。

技术特征：
1.一种多核处理器的保护方法，其特征在于，应用于多核处理器的控制核，包括：获取处理器中各转发核的利用率以及各转发核所对应的缓存队列的状态；若一个转发核的利用率到达预设的第一阈值且该转发核对应的缓存队列处于满队列状态，则将该转发核作为被攻击的转发核；根据所述控制核中的报文处理指令，对上送至被攻击的转发核的数据报文进行处理，以降低被攻击的转发核的利用率直至被攻击的转发核的利用率低于预设的第二阈值。2.根据权利要求1所述的方法，其特征在于，所述根据所述控制核中的报文处理指令，对上送至被攻击的转发核的数据报文进行处理，包括：获取被攻击的转发核中各数据流的元组信息；统计预设时间内对于被攻击的转发核的处理能力消耗最大的数据流作为攻击流；根据所述攻击流的元组信息生成隔离表项，其中，所述隔离表项用于将所述攻击流分配到隔离队列，所述隔离队列的处理优先级低于被攻击的转发核的转发队列。3.根据权利要求1所述的方法，其特征在于，所述根据所述控制核中的报文处理指令，对上送至被攻击的转发核的数据报文进行处理，包括：将上送所述被攻击的转发核的数据流附加统计标记，并上送至被攻击的转发核，以使被攻击的转发核对携带所述统计标记的数据流进行统计，确定消耗被攻击的转发核最多的数据流作为攻击流；接收被攻击的转发核所发送的、所述攻击流的元组信息；根据所述攻击流的元组信息生成隔离表项，其中，所述隔离表项用于将所述攻击流分配到隔离队列，所述隔离队列的处理优先级低于被攻击的转发核的转发队列。4.根据权利要求2或3所述的方法，其特征在于，所述各转发核中的一个转发核对应一个隔离队列；或者，所述各转发核对应一个隔离队列。5.根据权利要求1所述的方法，其特征在于，所述根据所述控制核中的报文处理指令，对上送至被攻击的转发核的数据报文进行处理，包括：根据各转发核的利用率确定若干空闲的转发核，其中，所述空闲的转发核为利用率低于预设的第三阈值的转发核；将上送至被攻击的转发核的数据流上送至所述空闲的转发核，直至被攻击的转发核的利用率低于预设的第二阈值。6.根据权利要求1所述的方法，其特征在于，所述根据所述控制核中的报文处理指令，对上送至被攻击的转发核的数据报文进行处理，包括：根据所述处理器的主频，计算出一个转发核的报文承载量；降低被攻击的转发核的百分比能力，其中，在转发核未被确认攻击时百分比能力为最大值；根据报文承载量和降低后的百分比能力，对所述攻击流进行丢弃处理，直至被攻击的转发核的利用率低于预设的第二阈值。7.一种多核处理器的保护装置，其特征在于，应用于多核处理器的控制核，包括：检测单元，用于获取处理器中各转发核的利用率以及各转发核所对应的缓存队列的状态；
攻击确认单元，用于若一个转发核的利用率到达预设的第一阈值且该转发核对应的缓存队列处于满队列状态，则将该转发核作为被攻击的转发核；处理单元，用于根据所述控制核中的报文处理指令，对上送至被攻击的转发核的数据报文进行处理，以降低被攻击的转发核的利用率直至被攻击的转发核的利用率低于预设的第二阈值。8.根据权利要求7所述的装置，其特征在于，所述处理单元，包括：获取模块，用于获取被攻击的转发核中各数据流的元组信息；统计模块，用于统计预设时间内对于被攻击的转发核的处理能力消耗最大的数据流作为攻击流；第一隔离模块，用于根据所述攻击流的元组信息生成隔离表项，其中，所述隔离表项用于将所述攻击流分配到隔离队列，所述隔离队列的处理优先级低于被攻击的转发核的转发队列。9.根据权利要求7所述的装置，其特征在于，所述处理单元，包括：标记模块，用于将上送所述被攻击的转发核的数据流附加统计标记，并上送至被攻击的转发核，以使被攻击的转发核对携带所述统计标记的数据流进行统计，确定消耗被攻击的转发核最多的数据流作为攻击流；接收模块，用于接收被攻击的转发核所发送的、所述攻击流的元组信息；第二隔离模块，用于根据所述攻击流的元组信息生成隔离表项，其中，所述隔离表项用于将所述攻击流分配到隔离队列，所述隔离队列的处理优先级低于被攻击的转发核的转发队列。10.根据权利要求8或9所述的装置，其特征在于，所述各转发核中的一个转发核对应一个隔离队列；或者，所述各转发核对应一个隔离队列。11.根据权利要求7所述的装置，其特征在于，所述处理单元，包括：确定模块，用于根据各转发核的利用率确定若干空闲的转发核，其中，所述空闲的转发核为利用率低于预设的第三阈值的转发核；分配模块，用于将上送至被攻击的转发核的数据流上送至所述空闲的转发核，直至被攻击的转发核的利用率低于预设的第二阈值。12.根据权利要求7所述的装置，其特征在于，所述处理单元，包括：计算模块，用于根据所述处理器的主频，计算出一个转发核的报文承载量；调整模块，用于降低被攻击的转发核的百分比能力，其中，在转发核未被确认攻击时百分比能力为最大值；丢弃模块，用于根据报文承载量和降低后的百分比能力，对所述攻击流进行丢弃处理，直至被攻击的转发核的利用率低于预设的第二阈值。13.一种网络设备，其特征在于，包括收发器、处理器和机器可读存储介质，其中，所述处理器包括控制核和若干转发核，所述机器可读存储介质存储有能够被所述处理器的控制核执行的机器可执行指令，所述控制核被所述机器可执行指令促使：实现权利要求1-6任一项所述的方法步骤。14.一种机器可读存储介质，其特征在于，存储有机器可执行指令，在被处理器的控制
核调用和执行时，所述机器可执行指令促使所述控制核：实现权利要求1-6任一项所述的方法步骤。

技术总结
本说明书提供一种多核处理器的保护方法以及装置，涉及通信技术领域。一种多核处理器的保护方法，应用于多核处理器的控制核，包括：获取处理器中各转发核的利用率以及各转发核所对应的缓存队列的状态；若一个转发核的利用率到达预设的第一阈值且该转发核对应的缓存队列处于满队列状态，则将该转发核作为被攻击的转发核；根据控制核中的报文处理指令，对上送至被攻击的转发核的数据报文进行处理，以降低被攻击的转发核的利用率直至被攻击的转发核的利用率低于预设的第二阈值。通过上述方法，能够提升网络设备的可靠性。能够提升网络设备的可靠性。能够提升网络设备的可靠性。


技术研发人员：姚三勇
受保护的技术使用者：新华三技术有限公司
技术研发日：2023.03.22
技术公布日：2023/7/17