专利名称:高性能宽带互联网网络行为实时分析及管理系统的制作方法
技术领域:
本发明涉及网络行为实时分析及管理设备,特别涉及一种高性能宽带互联网网络行为实 时分析及管理系统,采用硬件的模式匹配引擎利用流水线处理架构,实现对2000种业务的实 时检测和控制,采用了两级过滤与控制结构,从而确保对电信运营商的现有业务实现有效的 保障。
背景技术:
深度包检测(DPI)技术是为了提高当前网络防火墙性能而提出的一项重要的改进技术。因 为随着近年来网络应用的高速发展,各种网络危险应运而生,此时防火墙就充当着一个重要 的角色,它是防御网络入侵的最有效机制,防火墙的发展阶段包括访问控制列表、应用代理 服务、状态检测3个阶段。而深度包检测(DPI)能看作是传统防火墙技术的入侵检测(IDS)和 入侵阻止(IPS)的整合,是解决传统防火墙目前遇到难题的一项新技术,是防火墙技术发展的 一个重要阶段,将该技术融入宽带网络行为实时安全管理在技术上将实现一次飞跃。
虽然传统的防火墙通过检测包头部分是一种较为经济的方式,但是可以发现越来越多的 恶意行为可能隐藏在数据载荷中,顺利穿透防御边界后在安全体系内部产生严重的危害。同 时由于数据载荷中可能充斥着垃圾邮件、广告、蠕虫病毒以及很多企业、事业单位不欣赏的 P2P传输,各种电子商务程序的HTML和XML格式数据中也可能夹带着后门和木马程序在网络 节点之间交换。所以,在应用形式及其格式以爆炸速度增长的今天,仅仅依照数据包的第三 层信息决定其是否准入,实在无法满足安全的要求。
深度包检测(DPI)技术是一种深入检査通过防火墙的每个数据包及其应用载荷的技术。通 过在应用层深入到正在进入服务器的数据包的有效载荷所封装的内容部分,搜寻合法或非法 的内容以决定是否允许数据包通过,或者查找常见的攻击,并丢弃与之相关的会话。因此, 采用硬件实现的深度包检测(DPI)技术具备以下优点
1) 相比软件实现所需的巨大处理开销,大大减少对处理器的资源消耗;
2) 更准确的识别效能,加速了系统对网络行为实时分析及管理的能力;
3) 高处理带宽、线速处理能力使骨干网的应用得以实现;
发明内容
本发明的目的在于提供了一种高性能宽带互联网网络行为实时分析及管理系统,在实现 以太数据传输转发的同时,具备数据包有效载荷检测及处理功能,解决了对互联网上高速流 动的数据进行实时有效的分析和控制的问题,从而保证网络的正常运行,和运营商的收益。
为达到上述目的,本发明的构思是-
一种高性能宽带互联网网络行为实时分析及管理系统,包括网络数据处理控制单元、用 户数据至NT背板接口单元、逻辑控制与管理单元、存储单元以及时间与电源管理单元。所述 的网络数据处理控制单元采用了 PowerPC架构的网络处理器芯片除了控制部分外还包括一个 硬件实现模式匹配引擎,逻辑上内部可分为数据包解压縮引擎、关键元素扫描引擎、内容检 测引擎和状态规则引擎几个部分。所述的用户数据至NT背板接口单元实现2路连接至NT交 换背板的GE数据接口。所述的逻辑控制与管理单元采用PLD逻辑器件,实现通用I/0扩展、 总线扩展、系统复位逻辑、启动逻辑、中断控制等功能。所述的内存单元包括操作系统启动 所需的BootFlash, DDR2内存模块。所述的时间与电源管理单元则负责实现系统所需电源控 制管理及时钟管理。该设备具备2组上下行千兆数据接口,能够对流经设备的网络数据进行 双向的数据检测及监控,同时具备连接至NT背板的能力,亦能实现骨干网数据交换能力。
根据上述的发明构思,本发明采用下述技术方案
一种高性能宽带互联网网络行为实时分析及管理系统,包括一个网络数据处理控制单元、 一个存储单元以及一个时间与电源管理单元。其特征在于所述的网络数据处理控制单元为 系统核心,通过串行千兆媒体无关接口 SGMII实现与外部设备的千兆网口连接,也可通过媒 体无关接口 MII经百兆以太PHY实现与外部设备的百兆网口连接;所述的网络数据处理控制 单元通过串行千兆媒体无关接口 SGMII连接一个用户数据至NT背板接口单元;所述的用户数 据至NT背板接口单元通过背板连接器实现同NT交换背板的连接; 一个逻辑控制与管理单元, 通过本地总线连接方式与网络数据处理控制单元相连。所述的内存单元包括操作系统启动所 需的BootFlash, DDR2内存模块,分别通过本地数据总线接口和DDR2内存接口与网络数据处 理控制单元相连。所述的时间与电源管理单元则负责提供系统所需电源控制管理及时钟管理。
上述的网络数据处理控制单元采用MPC8572E网络处理器芯片,其中除了控制部分外还包 括一个硬件实现的模式匹配引擎模块;所述的模式匹配引擎模块内部分为数据包解压縮模块、
关键元素扫描模块、内容检测模块和状态规则模块依次相连接。
上述的逻辑控制与管理单元采用LC4128BCPLD器件实现通用1/0扩展、总线扩展、系统 复位逻辑、启动逻辑、中断控制等功能;所述的内存单元采用AM29DL640D90EI FLASH和DDR2 通用内存条;所述的时间与电源管理单元采用PTQA430033N2AD、 PTH03060WAH模块。
本发明的网络行为实时分析及管理系统相比传统的设备具备以下优点
1) 硬件化实现模式匹配,处理速度快,确保电信运营商的现有业务实现;
2) 具备端口汇聚功能,设备带宽可达GEbps,方便电信运营商的组网和应用;
3) 丰富的模式特征库,支持对2000种业务的实时检测和控制;
4) 动态的业务管理平台,可配置性强;
本发明在实现以太数据传输转发的同时,具备数据包有效载荷检测及处理功能,同时系 统上增加了端口汇聚功能,有效解决了对互联网上高速流动的数据进行实时有效的分析和控 制的问题,从而保证网络的正常运行和运营商的收益。
图1是本发明的高性能宽带互联网网络行为实时分析及管理系统的结构图。
图2是网络数据处理控制单元的内部原理框图。 图3是模式匹配引擎模块内部原理框图。
具体实施例方式
本发明的一个优选实施例结合附图详述如下
本高性能宽带互联网网络行为实时分析及管理系统,包括一个网络数据处理控制单元4、
一个存储单元3以及一个时间与电源管理单元6。所述的网络数据处理控制单元4为系统核 心,通过串行千兆媒体无关接口 SGMII实现与外部设备的千兆网口连接,也可通过媒体无关 接口 Mil经百兆以太PHY1实现与外部设备的百兆网口连接;所述的网络数据处理控制单元4 通过串行千兆媒体无关接口 SGMII连接一个用户数据至NT背板接口单元5;所述的用户数据 至NT背板接口单元5通过背板连接器实现同NT交换背板的连接; 一个逻辑控制与管理单元 2,通过本地总线连接方式与网络数据处理控制单元4相连。所述的内存单元3包括操作系统 启动所需的BootFlash, DDR2内存模块,分别通过本地数据总线接口和DDR2内存接口与网络 数据处理控制单元4相连。所述的时间与电源管理单元6则负责提供系统所需电源控制管理 及时钟管理。
本高性能宽带互联网网络行为实时分析及管理系统的总体框图如图1所示。 该设备可放置于园区网络同骨干网络之间,通过千兆网口与外部网络设备相连实现网络 行为的实时分析管理功能。包含未知数据的网络数据包经由串行千兆媒体无关接口 (SGMII) 进入网络数据处理控制单元4,在其中完成数据包的解包工作,之后将数据包传递至模式匹 配引擎进行必要的数据包检査,网管系统根据指定的相应规则对完成检查后的数据包进行处 理,处理后的数据包同样通过串行千兆媒体无关接口 (SGMII)输出,同时用户数据至NT背 板接口单元5通过背板连接器与NT背板相连接实现数据交换功能,这里均设了可双向数据收 发的千兆链路接口。系统同时具备一路媒质无关接口 (Mil)通过百兆以太PHY与外部设备相 连,根据用户实际需要可将被检数据镜像,并经百兆以太PHY传至外部PC端,可用作异步非
实时的数据分析,必要时也可占用一路千兆以太网口传递数据镜像,以增加传输带宽。逻辑 控制与管理单元2采用lattice的PLD器件辅助整个系统的工作,通过本地数据总线接口与 网络数据处理控制单元4相连,提供总线扩展、系统复位逻辑等功能。存储单元3则包括了 操作系统启动所需的Nor Flash及DDR2内存,分别通过本地数据总线接口和DDR2内存接口 与网络数据处理控制单元4相连,在网络数据处理控制单元中构建的五元组信息、模式特征 库等数据表结构均被映射至该存储单元中。
网络数据处理控制单元4采用MPC8572E网络处理器芯片,内部原理如图2。 MPC8572E集 成了千兆串并转换、10/100M以太网控制器、千兆以太网控制器、査找表、模式匹配引擎、 PowerPC内核等模块,由千兆以太网控制器模块8将进入该单元的网络数据解包后按应用队 列存入内存同时通知内核模块1 9,内核模块1 9随后从数据包包头中提取五元组信息并将 信息送入查找表模块11进行比对工作,得出结果后若目标未命中则将相关结果通知内核模块 2 10,内核模块2 10启动模式匹配引擎模块12,该引擎将网络数据包从内存中读出并根据 应用协议的指纹特征进行数据包的内容检查,得出结论后模式匹配引擎模块12将会把扫描结 果告知内核模块2 10。内核模块2随后向査找表模块11写入一条新的流规则并通知内核模 块l 9。之后内核模块1模块负责通知千兆以太网控制器模块8启动数据的发送,千兆以太 网控制器将根据新的QoS规则发送检测后的网络数据包。
在网络数据处理控制单元4中包含的硬件模式匹配引擎模块内部原理如图3。送入模式 匹配引擎模块的数据包如果被压縮则可通过解压縮模块14解压并送入后级,如果未被压縮则 直接送入后级关键元素扫描模块15,该模块用来提高模式匹配的性能,它通过预检数据,判 定其是否可能存在需要检査的模式来对被检査数据进行过滤。它只将可能存在要匹配的模式 的数据传递给内容检测模块16进行完全的模式匹配从而达到加速匹配性能的目的。这种加速 是通过内嵌的哈希表来实现的。要匹配的模式被按照不同的长度进行哈希运算,不同长度的 模式的哈希结果被称为模式的"指纹"。多个模式可以被映射到相同的指纹,指纹存在于哈 希表中。模式的一次哈希结果同时还被进行二次哈希,二次哈希结果也成为模式指纹并存在 哈希表中。
在接收到需要检査的数据时,关键元素扫描模块首先将数据根据预先定义转化为多种格 式(原始格式、等价表示格式、预定义分类表示格式、用户定义分类表示格式),然后对各种 格式表示的数据以不同的长度进行与模式指纹相同的哈希运算,如果一次哈希结果与哈希表 中的模式指纹匹配则进行二次哈希并与哈希表中的二次哈希指纹进行匹配。如果要检查的数 据的两次哈希结果都有哈希表中的某个模式指纹匹配则该数据可能存在需要匹配的模式,因
此被送往内容检测模块16进行完整的模式匹配以确定是否真正存在需要匹配的模式。如果任 意一次哈希结果与哈希表中不存在任何匹配的模式指纹,则该数据中不存在需要匹配的模式, 所以数据不会被送往内容检测引擎16进行完整的模式匹配。
内容检测模块16则采用了硬件实现的非确定性有限自动机(NFA)算法来实现通过正则 表达式定义的模式的匹配。它对可能匹配的多个模式进行完整的匹配。匹配的模式数据库中 的模式可以动态修改,并且只影响被修改的模式。用户可以自定义在模式匹配时内容检测模 块的行为来实现协议状态的跟踪,模式匹配的分步实现等。
状态规则模块17从被检査的数据中提取的信息,向处理器内核提交扫描报告等。
这里通过参考具体的实施例对本发明进行了详细描述,但这仅仅是应用举例,应该 清楚本领域的普通技术人员在不脱离本发明的范围和实质的情况下可做出各种修改和变化。
权利要求
1.一种高性能宽带互联网网络行为实时分析及管理系统,包括一个网络数据处理控制单元 (4)、一个存储单元(3)以及一个时间与电源管理单元(6)。其特征在于所述的网络数据 处理控制单元(4)为系统核心,通过串行千兆媒体无关接口SGMII实现与外部设备的千兆 网口连接,也可通过媒体无关接口MII经百兆以太PHY(1)实现与外部设备的百兆网口连 接;所述的网络数据处理控制单元(4)通过串行千兆媒体无关接口SGMII连接一个用户数 据至NT背板接口单元(5);所述的用户数据至NT背板接口单元(5)通过背板连接器实现 同NT交换背板的连接;一个逻辑控制与管理单元(2),通过本地总线连接方式与网络数 据处理控制单元(4)相连。所述的内存单元(3)包括操作系统启动所需的BootFlash,DDR2 内存模块,分别通过本地数据总线接口和DDR2内存接口与网络数据处理控制单元4相连。
所述的时间与电源管理单元(6)则负责提供系统所需电源控制管理及时钟管理。
2. 根据权利要求1所述的一种高性能宽带互联网网络行为实时分析及管理系统,其特征在 于所述的网络数据处理控制单元(4)采用MPC8572E网络处理器芯片,其中除了控制部分 外还包括一个硬件实现的模式匹配引擎模块(12);所述的模式匹配引擎模块(12)内部分 为数据包解压縮模块(14)、关键元素扫描模块(15)、内容检测模块(16)和状态规则模块 (17)依次相连接。
3. 根据权利要求1所述的基于硬件实现的深度包检测(DPI)技术的网络行为实时分析及管理 设备,其特征在于所述的逻辑控制与管理单元(2)采用LC4128B CPLD器件实现通用I/O 扩展、总线扩展、系统复位逻辑、启动逻辑、中断控制等功能;所述的内存单元(3)采用 AM29DL640D90EI FLASH和DDR2通用内存条;所述的时间与电源管理单元(6)采用 PTQA430033N2AD、 PTH03060WAH模块。
全文摘要
本发明涉及一种高性能宽带互联网网络行为实时分析及管理系统,该系统包括一个网络数据处理控制单元、一个存储单元以及一个时间与电源管理单元。本系统在实现以太数据传输转发的同时,具备数据包有效载荷检测及处理功能,同时系统上增加了端口汇聚功能,设备带宽可达GEbps,有效解决了对互联网上高速流动的数据进行实时有效的分析和控制的问题,从而保证网络的正常运行和运营商的收益。
文档编号H04L29/06GK101364895SQ20081020032
公开日2009年2月11日 申请日期2008年9月24日 优先权日2008年9月24日
发明者杨博文, 潘志浩, 炜 胡 申请人:上海大学