技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)數(shù)據(jù)包深度檢測領(lǐng)域，提出了一種基于眾核網(wǎng)絡(luò)處理器體系架構(gòu)、可以快速部署的數(shù)據(jù)包檢測監(jiān)控系統(tǒng)。?

背景技術(shù)

當(dāng)前，網(wǎng)絡(luò)中存在著一些不良信息，對網(wǎng)絡(luò)環(huán)境造成了一定的污染。針對這種情況，需要有效的監(jiān)管手段。而針對網(wǎng)絡(luò)中數(shù)據(jù)包進(jìn)行深度內(nèi)容檢測是必要的方法之一。通過對網(wǎng)絡(luò)中數(shù)據(jù)包的內(nèi)容進(jìn)行解析，能夠?qū)W(wǎng)絡(luò)中的數(shù)據(jù)流量和用戶的上網(wǎng)行為進(jìn)行監(jiān)控，及時(shí)阻止網(wǎng)絡(luò)內(nèi)的不良信息的流通，快速定位追查源頭，防止違規(guī)事件的發(fā)生。?

由于對數(shù)據(jù)包進(jìn)行深度的內(nèi)容檢測，需要對數(shù)據(jù)包的數(shù)據(jù)負(fù)載部分進(jìn)行關(guān)鍵詞匹配檢測。相對于僅僅是檢測數(shù)據(jù)包的協(xié)議層的協(xié)議頭信息的檢測系統(tǒng)，進(jìn)行深度數(shù)據(jù)包檢測需要更多的時(shí)間和資源，而在目前高速、大流量的網(wǎng)絡(luò)環(huán)境下，數(shù)據(jù)包檢測系統(tǒng)也需采用特定的體系結(jié)構(gòu)，保證檢測性能和用戶的通信質(zhì)量，否則，位于網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)的數(shù)據(jù)包檢測系統(tǒng)，將成為網(wǎng)絡(luò)流量的瓶頸，影響整個(gè)網(wǎng)絡(luò)的性能。同時(shí)，為滿足日益多變的網(wǎng)絡(luò)環(huán)境和結(jié)構(gòu)，檢測系統(tǒng)應(yīng)提供豐富的管理配置接口，易于快速部署；針對不同的需求，應(yīng)提供不同的內(nèi)容檢測、數(shù)據(jù)包轉(zhuǎn)發(fā)過濾策略。?

據(jù)此，本發(fā)明提出了一種基于眾核網(wǎng)絡(luò)處理器并可快速部署的數(shù)據(jù)包檢測監(jiān)控系統(tǒng)，該系統(tǒng)使用眾核體系架構(gòu)的網(wǎng)絡(luò)處理器，將處理器內(nèi)大量核心分為不同的處理工作組，眾多核心并行工作，并且充分利用網(wǎng)絡(luò)處理器內(nèi)硬件單元，滿足網(wǎng)絡(luò)的性能需求。同時(shí)，本發(fā)明提出的檢測監(jiān)控系統(tǒng)的部署單元，可以滿足檢測系統(tǒng)快速部署上線的需求，并可使用管理配置接口，滿足不同的檢測監(jiān)控需求。?

發(fā)明內(nèi)容

本發(fā)明提出的一種基于眾核網(wǎng)絡(luò)處理器并可快速部署的數(shù)據(jù)包檢測監(jiān)控系統(tǒng)，包括部署單元和眾核網(wǎng)絡(luò)處理器單元。?

該系統(tǒng)的部署單元，用于配置、編譯、部署運(yùn)行于眾核網(wǎng)絡(luò)處理器單元上的程序并監(jiān)控眾核網(wǎng)絡(luò)處理器單元運(yùn)行狀態(tài)，部署單元由如下組件組成：?

操作系統(tǒng)；?

程序編譯環(huán)境；?

程序配置文件；?

程序部署接口；?

狀態(tài)監(jiān)控與管理接口。?

該系統(tǒng)的眾核網(wǎng)絡(luò)處理器單元，作為帶有大量處理核心和專用硬件單元的處理器，負(fù)責(zé)對流入該單元的數(shù)據(jù)包進(jìn)行深度報(bào)文檢測并根據(jù)檢測結(jié)果采取不同的報(bào)文轉(zhuǎn)發(fā)策略，眾核網(wǎng)絡(luò)處理器帶有專用的硬件模式匹配DFA單元和定時(shí)器單元，前者用于快速地進(jìn)行敏感信息匹配檢測，后者用于實(shí)現(xiàn)本系統(tǒng)的基于流的過濾和基于端到端的監(jiān)控功能。?

眾核處理單元的眾多處理核心工作在不同的工作組，執(zhí)行不同的工作邏輯，包括：?

控制管理組，負(fù)責(zé)與遠(yuǎn)程管理端進(jìn)行交互，進(jìn)一步包括定時(shí)器處理模塊，遠(yuǎn)程交互接口模塊和控制核心模塊；?

報(bào)文處理轉(zhuǎn)發(fā)組，負(fù)責(zé)對數(shù)據(jù)包進(jìn)行深度報(bào)文內(nèi)容檢測，進(jìn)一步包括數(shù)據(jù)包預(yù)處理模塊，數(shù)據(jù)包檢測分析模塊和數(shù)據(jù)包轉(zhuǎn)發(fā)模塊，其中除了敏感內(nèi)容過濾功能外，還包括基于流的過濾和基于端到端的監(jiān)控功能；?

報(bào)文重組組，負(fù)責(zé)對分片的報(bào)文進(jìn)行重組，包括數(shù)據(jù)報(bào)文重組模塊；?

本地控制組，負(fù)責(zé)與本地的串口進(jìn)行交互，進(jìn)一步包括本地接口模塊和控制核心模塊。?

本發(fā)明的有益效果是：?

本發(fā)明提供的系統(tǒng)可以快速自動(dòng)化地進(jìn)行配置并部署上線，在運(yùn)行中充分利用眾核網(wǎng)絡(luò)處理器的眾核并行處理功能，可以滿足高速、大吞吐量網(wǎng)絡(luò)的數(shù)據(jù)包檢測需求。同時(shí)，本系統(tǒng)除了敏感內(nèi)容過濾功能外，還包括基于流的過濾和基于端到端的監(jiān)控功能以及分片重組功能，并具有靈活的配置功能，可滿足復(fù)雜的內(nèi)容檢測策略的需求。?

附圖說明

圖1是本發(fā)明提出的眾核并行數(shù)據(jù)包檢測監(jiān)控系統(tǒng)結(jié)構(gòu)圖；?

圖2是本發(fā)明提出的系統(tǒng)中基于流的過濾和基于端到端的監(jiān)控功能流程圖。?

具體實(shí)施方式

下面結(jié)合附圖對本發(fā)明進(jìn)行進(jìn)一步的具體描述。?

如圖1所示，本發(fā)明所述的一種基于眾核網(wǎng)絡(luò)處理器并可快速部署的數(shù)據(jù)包檢測監(jiān)控系統(tǒng)，其中包括：?

1、部署單元（1），用于配置、編譯、部署運(yùn)行于眾核網(wǎng)絡(luò)處理器單元上的程序并監(jiān)控眾核網(wǎng)絡(luò)處理器單元運(yùn)行狀態(tài)，包括：?

操作系統(tǒng)（2），支持編譯環(huán)境以及各類配置、部署和管理工具的運(yùn)行；?

程序編譯環(huán)境（3），提供編譯器、加載庫、第三方工具等，支持編譯得到可運(yùn)行于眾核網(wǎng)絡(luò)處理器上的程序；?