本發明公開一種低時延的數據包安全檢測方法，對于每個連接的第一個數據包進行過濾，以確定是否需要進一步解析和檢測，從而節約處理資源；對于經過阻斷策略匹配檢測合法的數據包，提取連接信息保存到連接記錄表中，以使序號滿足預設條件的合法數據包能執行快速轉發，只有不滿足條件的數據包才進行進一步檢測。大大降低包轉發的時延，有效保障網絡防護設備的吞吐性能，降低對網絡傳輸效率的影響。

技術領域

本發明屬于網絡數據包處理技術領域，尤其是涉及一種網絡防護設備實現對數據包進行低延時安全檢測的方法。

背景技術

計算機與網絡在企業和組織業務中的作用愈發重要。內部網用戶訪問Internet的需求在不斷增加，一些企業也需要對外提供諸如WWW頁面瀏覽、FTP文件傳輸、DNS 域名解析等服務，這些因素會導致網絡流量的急劇增加。隨著網絡流量的不斷增長，網絡安全問題日益突出，對網絡數據包的安全檢測范圍與深度都需要不斷加強。而各種網絡防護設備作為內外網之間的數據通道，都需要對數據包進行分析，在高并發和大數據情況下，設備的數據包處理分析性能瓶頸不僅將影響安全防護效率，還會給整個網絡的傳輸效率帶來負面影響。

發明內容

有鑒于此，本發明旨在提供一種有效保障網絡防護設備流量吞吐性能進而提高防護效率的數據包安全檢測方法。

一種低時延的數據包安全檢測方法，包括：

預設快速轉發的數據包序號限值N；

依次接收同一鏈接內的數據包，根據接收的時間順序標記數據包序號為n；

對比所述數據包序號n與N：

若n=1，對該數據包進行過濾策略匹配，若匹配成功則該數據包為非法，丟棄且不更新對應連接記錄；若匹配失敗則將該數據包通過內核處理后轉發至目的端，同時將該數據包所在鏈接的連接信息記錄到連接記錄表中；

若1nN，對該數據包不進行過濾策略匹配，通過內核處理后轉發至目的端；

若n等于或大于N，讀取連接記錄表中的連接信息，根據有無快轉標志確定是否進行快轉。

較佳的，上述的數據包序號限值N，根據不同的應用層協議類型分別設置，協議的數據越長，對應的N越大。

上述的過濾策略中配置有需要保護的IP和端口信息，若數據包的IP、端口與策略一致則匹配成功，否則匹配失敗。

進一步的，上述的連接記錄表是實時維護的所有連接信息的數據表，單條連接記錄由該連接的五元組信息來唯一標識；所述五元組信息包括源端IP地址、源端口號、目的IP地址、目的端口號、協議類型。所述單條連接記錄還包括源連接設備標識、目的連接設備標識、數據包總數和快轉標志。

較佳的，若n等于/大于N，讀取連接記錄表中連接信息，若具有快轉標記則根據記錄的五元組信息轉發至相應的目標端。

上述的通過內核處理，包括深度解析數據包獲取字段信息，進行阻斷策略匹配。

采用上述技術方案的本發明，至少具有以下有益效果：對于每個連接的第一個數據包進行過濾，以確定是否需要進一步解析和檢測，從而節約處理資源；對于經過阻斷策略匹配檢測合法的數據包，提取連接信息保存到連接記錄表中，以使序號滿足預設條件的合法數據包能執行快速轉發，只有不滿足條件的數據包才進行進一步檢測。大大降低包轉發的時延，有效保障網絡防護設備的吞吐性能，降低對網絡傳輸效率的影響。

具體實施方式

為使本發明實施例的目的、技術方案和優點更加清楚，下面將結合具體實施例對本發明的技術方案進行清楚、完整地描述。

吞吐性能的高低主要由網絡防護設備的網卡、CPU性能、及防護規則集的復雜度和執行效率決定，尤其是防護規則集的復雜度和執行效率，會使網絡設備防護系統進行大量運算，通信量大打折扣。因此，大多數網絡防護設備雖然號稱千兆、萬兆設備，但由于其算法依靠軟件實現，通信量遠遠沒有達到千兆、萬兆，實際可能只有10-20%的流量。