r>[0063] 步骤102、网络安全设备根据各安全业务消耗时间之和最少的安全业务排序方案 对当前的安全业务顺序进行调整,并基于调整后的安全业务顺序对报文进行处理。
[0064] 具体的,W上述例子进行说明,确定最少消耗时间的业务排序方案为方案5,方案 5中各业务的顺序为312,将当前的业务顺序调整为312进行业务处理。
[00化]考虑到虽然一定时间被业务处理的报文是确定的,不过确定的时间不是特别准 确,因此本发明中,网络安全设备判断当前时间与上一次对安全业务顺序进行调整的时间 之间的差值是否超过预设时间阔值;若判断结果为是,网络安全设备执行基于每个安全业 务处理一个报文所需的时间和在预定时间内每个安全业务丢弃的报文数量确定各安全业 务消耗时间之和最少的安全业务排序方案的过程。W此定时确定消耗时间最少的业务排 序方案,W便指导后续的业务处理,尽可能的在保证安全的情况下,提高正常业务的处理能 力。
[0066] 为了进一步对本发明进行说明,本发明实施例在具体的场景下提供了一种业务处 理方法,包括:
[0067] 在本发明具体的一种应用场景下,如图1所示,网络安全设备中存在五个安全业 务,即攻击防范业务,连接数限制和流量限制业务,报文过滤防火墙业务,状态防火墙业务, 应用层防火墙业务,首先确定当前情况下的安全业务的处理顺序W及每个安全业务单独处 理一个报文的时间,确定的结果如表1所示。
[0068] 表 1
[0069]
【主权项】
1. 一种业务处理方法,其特征在于,网络安全设备上运行多个用于对报文进行安全检 查的安全业务,所述方法包括: 所述网络安全设备基于每个安全业务处理一个报文所需的时间和在预定时间内每个 安全业务丢弃的报文数量确定各安全业务消耗时间之和最少的安全业务排序方案; 所述网络安全设备根据所述各安全业务消耗时间之和最少的安全业务排序方案对当 前的安全业务顺序进行调整,并基于调整后的安全业务顺序对报文进行处理。
2. 如权利要求1所述的方法,其特征在于,在所述网络安全设备基于每个安全业务处 理一个报文所需的时间和在预定时间内每个安全业务丢弃的报文数量确定各安全业务消 耗时间之和最少的安全业务排序方案之前,还包括: 所述网络安全设备获取当前的安全业务顺序; 所述网络安全设备按照当前的安全业务顺序依次对接收到的报文进行处理; 所述网络安全设备记录每个安全业务处理一个报文所需要的时间; 所述网络安全设备记录在预定时间内每个安全业务丢弃的报文数量。
3. 如权利要求1或2所述的方法,其特征在于,所述网络安全设备基于每个安全业务处 理一个报文所需的时间和在预定时间内每个安全业务丢弃的报文数量确定各安全业务消 耗时间之和最少的安全业务排序方案,具体为: 所述网络安全设备通过对所述多个安全业务进行排列组合确定所有的安全业务排序 方案; 针对每个安全业务排序方案,所述网络安全设备确定该安全业务排序方案中的每个安 全业务所处的位置以及所述位置之前的所有安全业务; 所述网络安全设备通过对每个安全业务以及处于该安全业务所在位置之前的各安全 业务的处理一个报文所需的时间进行求和得到每个安全业务的业务处理时间; 针对于该安全业务排序方案中的每个安全业务,所述网络安全设备通过将该安全业务 的业务处理时间乘以所述预定时间内该安全业务丢弃的报文数量得到该安全业务的业务 处理总时间; 所述网络安全设备对该安全业务排序方案中的所有的安全业务的业务处理总时间进 行求和得到该安全业务排序方案中的各安全业务消耗时间之和; 所述网络安全设备根据各安全业务排序方案中的各安全业务消耗时间之和确定各安 全业务消耗时间之和最少的安全业务排序方案。
4. 如权利要求1所述的方法,其特征在于,所述方法进一步包括: 所述网络安全设备判断当前时间与上一次对安全业务顺序进行调整的时间之间的差 值是否超过预设时间阈值; 若判断结果为是,所述网络安全设备执行基于每个安全业务处理一个报文所需的时间 和在预定时间内每个安全业务丢弃的报文数量确定各安全业务消耗时间之和最少的安全 业务排序方案的过程。
5. -种网络安全设备,其特征在于,所述网络安全设备上运行多个用于对报文进行安 全检查的安全业务,所述设备包括: 确定模块,用于基于每个安全业务处理一个报文所需的时间和在预定时间内每个安全 业务丢弃的报文数量确定各安全业务消耗时间之和最少的安全业务排序方案; 调整模块,用于根据所述各安全业务消耗时间之和最少的安全业务排序方案对当前的 安全业务顺序进行调整,并基于调整后的安全业务顺序对报文进行处理。
6. 如权利要求5所述的设备,其特征在于,还包括: 获取模块,用于获取当前的安全业务顺序; 处理模块,用于按照当前的安全业务顺序依次对接收到的报文进行处理; 第一记录模块,用于记录每个安全业务处理一个报文所需要的时间; 第二记录模块,用于记录在预定时间内每个安全业务丢弃的报文数量。
7. 如权利要求5或6所述的设备,其特征在于, 所述确定模块具体用于:通过对所述多个安全业务进行排列组合确定所有的安全业务 排序方案; 针对每个安全业务排序方案,确定该安全业务排序方案中的每个安全业务所处的位置 以及所述位置之前的所有安全业务; 通过对每个安全业务以及处于该安全业务所在所述位置之前的各安全业务的处理一 个报文所需的时间进行求和得到每个安全业务的业务处理时间; 针对于该安全业务排序方案中的每个安全业务,通过将该安全业务的业务处理时间乘 以所述预定时间内该安全业务丢弃的报文数量得到该安全业务的业务处理总时间; 对该安全业务排序方案中的所有的安全业务的业务处理总时间进行求和得到该安全 业务排序方案中的各安全业务消耗时间之和; 根据各安全业务排序方案中的各安全业务消耗时间之和确定各安全业务消耗时间之 和最少的安全业务排序方案。
8. 如权利要求5所述的设备,其特征在于,所述设备还包括: 判断模块,用于判断当前时间与上一次对安全业务顺序进行调整的时间之间的差值是 否超过预设时间阈值; 执行模块,用于当所述判断模块判断结果为是时,执行基于每个安全业务处理一个报 文所需的时间和在预定时间内每个安全业务丢弃的报文数量确定各安全业务消耗时间之 和最少的安全业务排序方案的过程。
【专利摘要】本发明公开了一种业务处理方法和设备,该方法包括:基于每个安全业务处理一个报文所需的时间和在预定时间内每个安全业务丢弃的报文数量确定各安全业务消耗时间之和最少的安全业务排序方案;并根据各安全业务消耗时间之和最少的安全业务排序方案对当前的安全业务顺序进行调整,并基于调整后的安全业务顺序对报文进行处理;以此保证了安全性,同时提高了进行正常业务处理的能力,并能基于接收到的报文的情况的不同对当前的安全业务顺序进行及时调整,以更好地适应当前的报文接收情况。
【IPC分类】H04L12-863, H04L12-823
【公开号】CN104702532
【申请号】CN201510072103
【发明人】宋海宾
【申请人】杭州华三通信技术有限公司
【公开日】2015年6月10日
【申请日】2015年2月11日