本申請公開了一種網絡流量處理方法、相關設備及可讀存儲介質，在多線程的網絡入侵檢測系統中，為每個線程設置一個網絡流量接收隊列和一個連接跟蹤表，同一網絡連接的網絡數據由一個網絡流量接收隊列接收，針對同一網絡連接，不會存在多個線程對其網絡數據進行處理，且，每個線程對網絡數據進行處理時，只需操作與其對應的連接跟蹤表，各個線程之間不會相互干擾，實現了系統中的各線程對各網絡流量接收隊列中的網絡數據進行并行處理，進而提升了多線程網絡入侵檢測系統的性能。

技術領域

本申請涉及網絡安全技術領域，更具體的說，是涉及一種網絡流量處理方法、相關設備及可讀存儲介質。

背景技術

隨著互聯網業務的高速發展，網絡流量呈爆發式增長，對網絡流量進行全面分析，以檢測網絡中存在的攻擊行為顯得尤為必要，因此，NIDS(Network Intrusion DetectionSystem，網絡入侵檢測系統)應運而生。NIDS在進行網絡入侵檢測時，一般包括對網絡流量的處理和規則匹配兩個過程，在對網絡流量的處理過程中，需要網絡數據(報文、數據包等)進行連接跟蹤，確定出網絡數據的連接跟蹤信息并進行存儲，以便后續規則匹配過程中基于網絡數據的連接跟蹤信息對每個網絡連接的網絡數據進行重組得到該網絡連接的網絡流量，并對每個網絡連接的網絡流量進行入侵檢測。目前，NIDS系統是采用統一的連接跟蹤表對網絡數據的連接跟蹤信息進行存儲的。

隨著多核處理器的發展，多線程的NIDS(比如基于Suricata引擎的worker模式實現的NIDS)也得到了廣泛應用，這種多線程的NIDS，對網絡流量的處理過程中，同一網絡連接的不同網絡數據可能會被不同的線程接收并處理，這種情況下，不同線程可能會同時對連接跟蹤表進行操作，為了保證連接跟蹤信息的正確性，需要對連接跟蹤表進行加鎖操作，這樣會導致每個時刻，都只有一個線程可以對連接跟蹤表進行操作，影響了多線程NIDS的性能。

因此，如何改進多線程NIDS對網絡流量的處理過程，以提升多線程NIDS的性能，成為本領域技術人員亟待解決的技術問題。

發明內容

鑒于上述問題，本申請提出了一種網絡流量處理方法、相關設備及可讀存儲介質。具體方案如下：

一種網絡流量處理方法，應用于多線程的網絡入侵檢測系統，所述系統中的每個線程對應一個網絡流量接收隊列，同一網絡連接的網絡數據由一個網絡流量接收隊列接收，且，所述系統中的每個線程對應一個連接跟蹤表，所述方法包括：

針對每個線程，從與所述線程對應的網絡流量接收隊列中，獲取第一網絡數據；

對所述第一網絡數據進行解析，得到所述第一網絡數據的連接跟蹤信息；

將所述第一網絡數據的連接跟蹤信息存儲至與所述線程對應的連接跟蹤表中。

可選地，為每個線程設置對應的網絡流量接收隊列的方式如下：

基于網絡入侵檢測引擎與數據平面開發工具集，為每個線程設置對應的網絡流量接收隊列。

可選地，所述基于網絡入侵檢測引擎與數據平面開發工具集，為每個線程設置對應的網絡流量接收隊列，包括：

初始化所述數據平面開發工具集，在網卡中設置與所述網絡入侵檢測引擎中工作線程數量一致的網絡流量接收隊列；

針對每個網絡流量接收隊列，設置與所述網絡流量接收隊列對應的網絡入侵檢測引擎中的一個工作線程作為與所述網絡流量接收隊列對應的線程。

可選地，所述系統中的每個線程對應一個定時器，則所述方法還包括：

針對每個線程，在將所述第一網絡數據的連接跟蹤信息存儲至與所述線程對應的連接跟蹤表中后，啟動所述定時器開始計時；