本发明涉及网络安全技术领域,具体涉及一种提高审计架构CPU负载均衡的实现方法。
背景技术:
在网络信息化时代,信息采集和信息处理成为一大热点,信息审计系统扮演着重要角色,对于高并发和大数据情况下,审计系统的处理性能往往会遇到很大的瓶颈。
技术实现要素:
有鉴于此,本发明的主要目的在于提供一种提高审计架构CPU负载均衡的实现方法。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例提供一种提高审计架构CPU负载均衡的实现方法,该方法为:抓包线程从抓取的数据包中解析获得五元组,所述五元组构成一个会话,将具有相同会话的数据包送往相同的分析线程队列中。
上述方案中,该方法还包括:构造用于存放所有会话的hash表,同时记录当前每个分析线程队列的总会话数变量;当解析获得的某一会话不存在于所述hash表,将该会话对应的数据包送往分析线程队列中会话数最少的分析线程队列,如果解析获得的某一会话存在于所述hash表,将该会话对应的数据包送往之前处理该会话的分析线程队列。
上述方案中,该方法之前还包括:抓包线程24小时内默认采用轮询模式读取数据包,以30秒为单位结合时间点学习并建立数据量趋势模型,24小时之后查通过询同时刻数据量趋势模型选择此刻的运作模式;如果处于运作模式基线之下,则选择中断模式,屏蔽轮询模式,否则选择轮询模式,屏蔽中断模式。
上述方案中,该方法还包括:当抓包线程第一次建立数据量趋势模型后,后续抓包线程会依据实际情况持续扩充数据量趋势模型,直至一个月之后;当一个月结束后立刻对数据量趋势模型进行差异点的归纳合并及差异化处理等,形成数据量趋势最终模型。
上述方案中,所述抓包线程为主线程、分析线程为子线程,所述分析线程数量为n-1,n为CPU核心线程数。
上述方案中,所述五元组分别是源IP、目的IP、源端口、目的端口和传输层协议。
与现有技术相比,本发明的有益效果:
本发明能够有效提高审计架构CPU有效利用率及负载的均衡。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例提供一种提高审计架构CPU负载均衡的实现方法,该方法为:抓包线程从抓取的数据包中解析获得五元组,所述五元组构成一个会话,将具有相同会话的数据包送往相同的分析线程队列中。
该方法还包括:构造用于存放所有会话的hash表,同时记录当前每个分析线程队列的总会话数变量;当解析获得的某一会话不存在于所述hash表,将该会话对应的数据包送往分析线程队列中会话数最少的分析线程队列,如果解析获得的某一会话存在于所述hash表,将该会话对应的数据包送往之前处理该会话的分析线程队列。
该方法之前还包括:抓包线程24小时内默认采用轮询模式读取数据包,以30秒为单位结合时间点学习并建立数据量趋势模型,24小时之后查通过询同时刻数据量趋势模型选择此刻的运作模式。如果处于运作模式基线之下,则选择中断模式,屏蔽轮询模式,否则选择轮询模式,屏蔽中断模式。
该方法还包括:当抓包线程第一次建立数据量趋势模型后,后续抓包线程会依据实际情况持续扩充数据量趋势模型,直至一个月之后。当一个月结束后立刻对数据量趋势模型进行差异点的归纳合并及差异化处理等,形成数据量趋势最终模型。
所述抓包线程为主线程、分析线程为子线程,所述分析线程数量为n-1,n为CPU核心线程数。
所述五元组分别是源IP、目的IP、源端口、目的端口和传输层协议。
实施例1
本发明实施例提供一种提高审计架构CPU有效利用率及负载均衡的实现方法,该方法通过以下步骤实现:
一、智能混合中断轮询模式抓包
审计引擎启动后,抓包线程24小时内默认采用轮询模式读取数据包,抓包线程24小时内默认采用轮询模式读取数据包,以30秒为单位结合时间点学习并建立数据量趋势模型,24小时之后查通过询同时刻数据量趋势模型选择此刻的运作模式。如果此刻处于运作模式基线之下,则选择中断模式,屏蔽轮询模式,否则选择轮询模式,屏蔽中断模式。
当抓包线程第一次建立数据量趋势模型后,后续抓包线程会依据实际情况持续扩充数据量趋势模型,直至一个月之后。当一个月结束后立刻对数据量趋势模型进行差异点的归纳合并及差异化处理等,形成数据量趋势最终模型。后续完整模型不再主动更新。
二、均分会话处理
首先抓包线程抓到包后,首先从包中解析出五元组(注:五元组分别是源IP、目的IP、源端口、目的端口和传输层协议),五元组构成一个会话,首先构造一个用于存放会话的hash表,该hash表维护着整个系统所有会话,并维护一个记录当前每个分析线程队列的总会话数变量。如果该会话不存在,则创建该会话,则将该包送往分析线程队列中会话数最少的那个分析线程队列,如果几个分析线程队列的会话数一样,则随机选择一个队列进行存放,如果会话存在,则将该包送往之前处理那个会话的分析线程队列,这样就实现了会话被平均分配到各个分析线程队列中。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。