本发明涉及一种基于标签的网安设备网络数据流预处理方法,属于网安设备数据处理的技术领域。
背景技术:
信息系统的不断发展,对网安设备的处理性能提出了更高的要求,而国产处理器在网络数据处理方面与国外先进处理器相比还有一定差距,如何在现有条件下提升网安设备的性能,是当前国产网安设备的一个重要任务。
技术实现要素:
针对现有技术的不足,本发明提供一种基于标签的网安设备网络数据流预处理方法。
本发明的技术方案为:
一种基于标签的网安设备网络数据流预处理方法,其过程为:
1)网安设备将网络数据包依据来源、数据包类型和端口参数分成不同的数据流类型,并将数据流的关键字下发给网络芯片组;所述网络芯片组包括多个网络芯片;所述网络芯片为带有流标签功能的千兆或万兆网络芯片;网络数据包为以太网数据帧格式;
2)网络芯片组利用其存储空间,记录需要匹配的关键字;
3)网络芯片组收到网络转发的数据包后,所述网络芯片的流标签处理模块根据网安设备处理器下发的数据流关键字比对数据包,自动判断数据包属于哪种数据流类型;所述流标签处理模块是网络芯片自带的网络数据预处理模块,可以对接收到的数据包进行初步检查,并依据上层处理器下发的关键字(来源、数据包类型、端口等参数)区分数据包,判断数据包是否属于关键字对应的数据流分类,并对对应的数据包打上标签;
4)网络芯片组的流标签处理模块给数据包打上流标签;
5)网安设备的处理器收到有流标签的数据包不再进行检测,依据流标签对数据包做对应处理;具体过程如下:标签检查模块检查数据包的流标签,并依据流标签采取不同的动作;如果网安设备判定数据包为可信的数据流,则将数据包直接发送至数据转发模块;如果数据包属于网安设备未检测过的数据流,或者网安设备判定数据包属于不可信的数据流,则数据包经安全检查模块进行检测后发给数据转发模块;
6)数据转发模块将数据包发送给网络芯片组,网络芯片组将数据包发送出去。
根据本发明优选的,所述网络芯片组为有flowdirector功能的网络芯片组。
根据本发明优选的,所述标签检查模块用于检查数据包的标签;所述数据转发模块将处理完的数据转发;安全检测模块用于网络安全检测及防护。
本发明的有益效果为:
1.本发明所述基于标签的网安设备网络数据流预处理方法,对进入网安设备的网络数据流依据网安设备下发给网络芯片的数据流分类关键字,打上流标签,对数据流进行分类,在网安设备处理器处理数据之前,对数据包进行预处理,能避免处理器对数据包的重复检测,降低系统处理器负载,有效提高处理效率,提升设备处理性能。
附图说明
图1为本发明所述基于标签的网安设备网络数据流预处理方法流程图。
具体实施方式
下面结合实施例和说明书附图对本发明做进一步说明,但不限于此。
实施例1
如图1所示。
一种基于标签的网安设备网络数据流预处理方法,其过程为:
1)网安设备将网络数据包依据来源、数据包类型和端口参数分成不同的数据流类型,并将数据流的关键字下发给网络芯片组;所述网络芯片组包括多个网络芯片;所述网络芯片为带有流标签功能的千兆或万兆网络芯片;网络数据包为以太网数据帧格式;
2)网络芯片组利用其存储空间,记录需要匹配的关键字;
3)网络芯片组收到网络转发的数据包后,所述网络芯片的流标签处理模块根据网安设备处理器下发的数据流关键字比对数据包,自动判断数据包属于哪种数据流类型;所述流标签处理模块是网络芯片自带的网络数据预处理模块,可以对接收到的数据包进行初步检查,并依据上层处理器下发的关键字(来源、数据包类型、端口等参数)区分数据包,判断数据包是否属于关键字对应的数据流分类,并对对应的数据包打上标签;
4)网络芯片组的流标签处理模块给数据包打上流标签;
5)网安设备的处理器收到有流标签的数据包不再进行检测,依据流标签对数据包做对应处理;具体过程如下:标签检查模块检查数据包的流标签,并依据流标签采取不同的动作;如果网安设备判定数据包为可信的数据流,则将数据包直接发送至数据转发模块;如果数据包属于网安设备未检测过的数据流,或者网安设备判定数据包属于不可信的数据流,则数据包经安全检查模块进行检测后发给数据转发模块;
6)数据转发模块将数据包发送给网络芯片组,网络芯片组将数据包发送出去。
所述网络芯片组为有flowdirector功能的网络芯片组。所述标签检查模块用于检查数据包的标签;所述数据转发模块将处理完的数据转发;安全检测模块用于网络安全检测及防护。