技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全和組網(wǎng)技術(shù)領(lǐng)域，特別涉及一種采用AMP架構(gòu)提升IPS檢測(cè)性能的方法。

背景技術(shù)

入侵防御系統(tǒng)(IPS)作為一種串接在網(wǎng)絡(luò)當(dāng)中，對(duì)所保護(hù)網(wǎng)絡(luò)提供深層攻擊防御的安全產(chǎn)品，已經(jīng)得到了越來越廣泛的應(yīng)用。然而，隨著網(wǎng)路技術(shù)的進(jìn)步和各行業(yè)網(wǎng)路應(yīng)用的縱深發(fā)展，入侵防御系統(tǒng)的性能在檢測(cè)過程中的地位越來越重要，只有在保證入侵防御檢測(cè)性能的情況下，高效的分析算法、完整的規(guī)則集等技術(shù)才可能發(fā)揮作用。

鑒于IPS的特征的復(fù)雜性和實(shí)時(shí)更新的特點(diǎn)，IPS的檢測(cè)和特征過濾一般都是通過軟件來實(shí)現(xiàn)，但是傳統(tǒng)的軟件形式的IPS產(chǎn)品受到性能的限制，只能應(yīng)用在中小型網(wǎng)絡(luò)中，基于X86的架構(gòu)的產(chǎn)品無(wú)法達(dá)到千兆流量的要求。

目前市場(chǎng)上的IPS產(chǎn)品為了突破IPS的性能瓶頸，大多通過硬件的方式來提升IPS的處理速度，具體做法是用硬件來加速對(duì)數(shù)據(jù)包網(wǎng)路層以下的處理，具體包括數(shù)據(jù)包解碼、交換、ACL(訪問控制列表)、路由、NAT(網(wǎng)路地址轉(zhuǎn)換)等；IPS檢測(cè)功能則由軟件來實(shí)現(xiàn)。主要采用的硬件方式有NP(網(wǎng)絡(luò)處理器)、ASIC(供專門應(yīng)用的集成電路)。近年來，網(wǎng)絡(luò)處理器(NP)在千兆環(huán)境中得到了日益廣泛的應(yīng)用，但NP的優(yōu)勢(shì)主要在于網(wǎng)絡(luò)層以下的包處理上，若進(jìn)行內(nèi)容處理則會(huì)導(dǎo)致性能的下降，ASIC架構(gòu)的IPS是通過專門設(shè)計(jì)的ASIC芯片邏輯進(jìn)行硬件加速處理，通過把指令或計(jì)算邏輯固化到芯片中，獲得很高的處理能力，由此，能明顯地提升了IPS產(chǎn)品的性能；但ASIC架構(gòu)的IPS的缺點(diǎn)也同樣明顯：靈活性和擴(kuò)展性不夠、開發(fā)費(fèi)用高、開發(fā)周期過長(zhǎng)，還不能支持太多的功能。

以上硬件加速實(shí)現(xiàn)方式雖然在一定程度上提升了對(duì)網(wǎng)路數(shù)據(jù)包的網(wǎng)路層以下的處理性能，但對(duì)提升IPS的檢測(cè)性能卻無(wú)能為力。

發(fā)明內(nèi)容

本發(fā)明的目的在于，提供一種采用AMP架構(gòu)提升IPS檢測(cè)性能的方法，能夠解決現(xiàn)有的IPS性能瓶頸，在多核處理器平臺(tái)上利用并行處理技術(shù)來提升IPS產(chǎn)品性能。

本發(fā)明的采用AMP架構(gòu)提升IPS檢測(cè)性能的方法，包括下列步驟：

步驟A：硬件層接收網(wǎng)絡(luò)數(shù)據(jù)包，通過硬件分流機(jī)制把數(shù)據(jù)包交給網(wǎng)絡(luò)處理器NP；

步驟B：NP處理數(shù)據(jù)包收到數(shù)據(jù)包后，對(duì)該數(shù)據(jù)包執(zhí)行網(wǎng)絡(luò)流量處理，包括IP碎片重組、數(shù)據(jù)包解碼、交換、連接的建立和維護(hù)，將處理后的數(shù)據(jù)包入IPS隊(duì)列，其中，每個(gè)IPS檢測(cè)進(jìn)程對(duì)應(yīng)一個(gè)IPS隊(duì)列；

步驟C：IPS進(jìn)程在其IPS隊(duì)列上等待數(shù)據(jù)，在IPS隊(duì)列上有數(shù)據(jù)時(shí)，對(duì)數(shù)據(jù)包進(jìn)行特征檢測(cè)，并將檢測(cè)過的數(shù)據(jù)包注入網(wǎng)絡(luò)處理層；

步驟D：NP獲取從IPS進(jìn)程傳下來的經(jīng)過IPS檢測(cè)后的數(shù)據(jù)包，進(jìn)行網(wǎng)絡(luò)流量處理。

其中，所述步驟A中，所述硬件分流機(jī)制包括硬件五元組方式和采用輪詢方式。

其中，所述硬件五元組包括：源IP地址、目的IP地址、源端口、目的端口、協(xié)議。

其中，在所述步驟B中，將處理后的數(shù)據(jù)包入IPS隊(duì)列時(shí)，根據(jù)每個(gè)連接的ID的hash值確定IPS接收隊(duì)列。

另外，在所述步驟A之前，進(jìn)一步包括下列步驟：

預(yù)先在多處理硬件平臺(tái)上，根據(jù)具體流量需求，將CPU集分成Linux?CPU集和網(wǎng)絡(luò)操作系統(tǒng)CPU集，二者之間采用非對(duì)稱多處理器AMP架構(gòu)異步執(zhí)行，Linux?CPU集和網(wǎng)絡(luò)操作系統(tǒng)CPU集分別采用對(duì)稱多處理器SMP架構(gòu)并發(fā)執(zhí)行。

本發(fā)明的有益效果是：依照本發(fā)明的采用AMP架構(gòu)提升IPS檢測(cè)性能的方法，NP集并發(fā)執(zhí)行，能夠大大提高對(duì)網(wǎng)絡(luò)數(shù)量的處理效率；IPS檢測(cè)進(jìn)程并行執(zhí)行，能夠大幅提高IPS檢測(cè)的性能；分解任務(wù)，采用AMP架構(gòu)能夠減少并發(fā)系統(tǒng)中CPU之間的同步等額外的開銷；對(duì)接收的數(shù)據(jù)包使用了零拷貝技術(shù)，減少數(shù)據(jù)拷貝次數(shù)，減少系統(tǒng)調(diào)用。

附圖說明

圖1為本發(fā)明采用AMP架構(gòu)提升IPS檢測(cè)性能的整體框架圖；

圖2為本發(fā)明采用AMP架構(gòu)提升IPS檢測(cè)性能的數(shù)據(jù)流程圖。

具體實(shí)施方式

以下，參考附圖1～2詳細(xì)描述本發(fā)明的采用AMP架構(gòu)提升IPS檢測(cè)性能的方法。

本發(fā)明的核心思想是：開發(fā)一款基于多核的IPS系統(tǒng)，該系統(tǒng)采用AMP架構(gòu)，使數(shù)據(jù)包的網(wǎng)路處理和IPS檢測(cè)異步執(zhí)行，并且讓IPS檢測(cè)進(jìn)程和網(wǎng)路處理內(nèi)部的多個(gè)處理器并行執(zhí)行，這樣任何時(shí)候都有多個(gè)IPS檢測(cè)進(jìn)程并行執(zhí)行，從而在根本上解決IPS系統(tǒng)的性能瓶頸。