专利名称:基于智能网卡多核平台的超高带宽网络安全审计方法
技术领域:
本发明涉及计算机网络安全领域,特别地说是一种基于智能网卡多核平台的超高带宽网络安全审计方法。
背景技术:
随着网络应用越来越多,对于带宽的需求也水涨船高,由此给安全审计的软硬件实际解决方案提出了挑战,怎样在不牺牲性能或者付出较少性能代价的基础上实现企业应用的安全审计为成设计的重点。深度检测的技术主要是应用状态检测防火墙的技术与应用层数据流识别的技术相给合,高效地识别出网络上的各种应用,以及通过对应用流数据的检测从而实现对网络应用级别的安全审计,流量控制,企业级应用的安全策略实施,高可靠性等的功能需求。深度检测技术的实际方案遇到许多实现的挑战,比如应用程序的加密,隧道技术。安全网关类产品应用越来越宽泛,从经典的防火墙扩展到UTM、IPS、在线流量分析监控设备、在线流量管理设备、web访问管理设备等等。这些应用既有强大丰富的报文分析和流量分析功能,也需要对经过本设备的流量进行高效地转发处理,从安全网关类产品的共性来看,它们虽然应用场景各异,但都需要有强大的CPU处理能力来同时保证分析工作和转发工作,而CPU处理能力的限制往往使得转发工作挤占了分析工作所需的资源,产品应用开发人员不得不在性能和功能的平衡取舍问题上花费很多的精力,网络性能问题甚至成了制约功能进一步丰富完善的瓶颈。回顾典型的基于X86系统的安全网关应用软件实现,有如下瓶颈制约着网络性能提升
(1)总线;
(2)中断;
(3)报文转换和校验处理;
(4)路由表、状态表查询;
(5)流分类算法;
(6)流量采样、统计和调度。针对这些问题,ASIC芯片、网络处理器、多核处理器等技术相继出现,并从不同层面不同角度或多或少的解决了上述问题,然而,和网络性能的飞快提升、业务功能飞快丰富的需求增长速度相比,这些架构并没有快速普及,从出色的芯片能力到成熟的应用产品之间仍然存在不小的跨越距离,这种距离制约了上述专有硬件架构在安全网关领域的流行和普及。
发明内容
本发明采用智能万兆网卡多核平台,将数据包的分包与组装,基本协议及应用协议的识别处理,压缩、解压缩,加密,解密等功能分流由智能网卡的多核平台处理,而将审计业务流程的处理通过高带宽的PCI-EXPRESS总线分流到X86 CPU平台处理,这样的解决方案能够在较短的时间内整合系统资源满足用户的带宽控制,基本应用的安全策略控制等的功能需求。为了达到上述目的,本发明设计了一种基于智能网卡多核平台的超高带宽网络安全审计方法,其特征在于采用如下步骤
A.配置智能网卡多核平台包括DPI引擎配置、过滤关键字集设置、应用协议配置、力口密解密设置、压缩算法配置;
B.智能网卡多核平台接收并处理原始报文通过配置PCI-EXPRESS总线传输,智能网卡多核平台处理原始网络数据报文,并将处理后的应用数据经由PCI-EXPRESS总线传输到X86的CPU平台;
C.应用数据的深度检测及审计对应用数据进行深度检测后进行审计,通过X86的(PU平台的业务流程管理界面配置;
D.审计后的后续处理根据应用数据的审计结果进行后续处理。在步骤C中,所述应用数据的深度检测主要包括模式特征识别,用户行为分析,动态应用识别。在步骤C中,所述应用数据的审计主要包括流量控制、安全控制。在步骤D中,所述的后续处理主要包括发送警报消息,限制或阻断数据流,生成统计报表。本发明采用智能网卡多核平台,为网络安全、流量监测、业务分析、信令检测等多种业务领域提供了有效的加速方案,可以应用于100G的超高带宽中;同时采用分流业务流程的方式,应用策略安全、可靠性强,同时采用深度检测技术,从而实现对网络应用级别的安全审计、流量控制、企业级应用的安全策略实施等的功能需求。
图I为本发明方法的步骤示意流程图。图2为本发明业务分流处理的结构示意图。图3为本发明深度检测中数据包的处理流程图。图4为本发明中主CPU与智能网卡多核平台之间的数据传输及处理示意图。
具体实施例方式现结合附图对本发明作进一步说明。如图I所示,本发明用如下步骤
A.配置智能网卡多核平台包括过DPI引擎配置,滤关键字集设置、应用协议配置、力口密解密设置、压缩算法配置;
B.智能网卡多核平台接收并处理原始报文通过配置PCI-EXPRESS总线传输,智能网卡多核平台处理原始网络数据报文,其处理包括数据包重组、解密、深度检测、内容过滤、分类等,并将处理后的应用数据经由PCI-EXPRESS总线传输到X86的CPU平台,参见图2 ; C.应用数据的深度检测及审计对应用数据进行深度检测后进行审计,通过X86的CPU平台的业务流程管理界面配置;D.审计后的后续处理根据应用数据的审计结果进行后续处理。在步骤C中,应用数据的深度检测主要包括模式特征识别,用户行为分析,动态应用识别。参见图3,其中一种检测为对压缩后的数据包进行处理,其处理流程如下数据包进入DPI引擎后进行深度检测,并采用深度检测的用户行为分析技术,对数据包进行决策树的分类,分类后的数据根据不同优先级队列进行排序,即完成数据包的处理。在步骤C中,应用数据的审计主要包括流量控制、安全控制。在步骤D中,后续处理主要包括发送警报消息,限制或阻断数据流,生成统计报表。如图4所示为本发明中主CPU与智能网卡多核平台之间的数据传输及处理示意图,X86的主CPU通过配置PCI-EXPRESS总线并采用数据通道传输原始网络数据报文到智能网卡多核平台,智能网卡多核平台的多核处理器处理原始网络数据报文并将其排列为硬件维护输入/输出优先级队列,处理后的应用数据经由PCI-EXPRESS总线传输到X86的主CPU ;其中,主CPU与智能网卡多核平台均可以将数据保存至内存Memory中,智能网卡多核平台还可以设有网络接口,与其他硬件连接传输数据。本发明采用智能万兆网卡多核平台,将数据包的分包与重组,基本协议及应用协议的深度识别处理,压缩、解压缩,加密,解密等功能分流由智能网卡的多核平台处理,而将审计业务流程的处理通过高带宽的PCI-EXPRESS总线分流到X86 CPU平台处理,这样的解决方案能够在较短的时间内整合系统资源满足用户的带宽控制,基本应用的安全策略控制等的功能需求,可以应用于50G、100G等超高带宽中;同时采用深度检测技术,从而实现对网络应用级别的安全审计、流量控制、企业级应用的安全策略实施等,可靠性强。
权利要求
1.一种基于智能网卡多核平台的超高带宽网络安全审计方法,其特征在于采用如下步骤 A.配置智能网卡多核平台包括DPI引擎配置、过滤关键字集设置、应用协议配置、力口密解密设置、压缩算法配置; B.智能网卡多核平台接收并处理原始报文通过配置PCI-EXPRESS总线传输,智能网卡多核平台处理原始网络数据报文,并将处理后的应用数据经由PCI-EXPRESS总线传输到X86的CPU平台; C.应用数据的深度检测及审计对应用数据进行深度检测后进行审计,通过X86的CPU平台的业务流程管理界面配置; D.审计后的后续处理根据应用数据的审计结果进行后续处理。
2.根据权利要求I所述的基于智能网卡多核平台的超高带宽网络安全审计方法,其特征在于在步骤C中,所述应用数据的深度检测主要包括模式特征识别,用户行为分析,动态应用识别。
3.根据权利要求I或2所述的基于智能网卡多核平台的超高带宽网络安全审计方法,其特征在于在步骤C中,所述应用数据的审计主要包括流量控制、安全控制。
4.根据权利要求I所述的基于智能网卡多核平台的超高带宽网络安全审计方法,其特征在于在步骤D中,所述的后续处理主要包括发送警报消息,限制或阻断数据流,生成统计报表。
全文摘要
本发明涉及计算机网络安全领域,特别地说是一种基于智能网卡多核平台的超高带宽网络安全审计方法,其特征在于采用如下步骤配置智能网卡多核平台;智能网卡多核平台接收并处理原始报文;应用数据的深度检测及审计;审计后的后续处理。本发明采用智能网卡多核平台,为网络安全、流量监测、业务分析、信令检测等多种业务领域提供了有效的加速方案,可以应用于100G的超高带宽中;同时采用分流业务流程的方式,应用策略安全、可靠性强,同时采用深度检测技术,从而实现对网络应用级别的安全审计、流量控制、企业级应用的安全策略实施等的功能需求。
文档编号H04L29/06GK102624726SQ20121005882
公开日2012年8月1日 申请日期2012年3月7日 优先权日2012年3月7日
发明者葛云生, 谢卫 申请人:上海盖奇信息科技有限公司