[发明专利]一种多CPU架构下的多网络安全审计方法和系统

权利要求书

1.一种多CPU架构下的多网络安全审计系统，包括宿主服务器和网络设备，其特征在于：该系统由审计引擎和业务网络审计系统的WEB服务模块(5)组成，其中，审计引擎是由启动模块(1)、通讯模块(2)、协调控制模块(3)和子业务网络嗅探器(4)组成，其中：

启动模块(1)是其它模块的创建和初始化模块，从宿主服务器获取网卡信息和处理器信息，确定子业务网络嗅探器(4)启动方式和CPU亲和性；

通讯模块(2)分别连接子业务网络嗅探器(4)和业务网络审计系统的WEB服务模块(5)，通过通讯模块(2)，子业务网络嗅探器(4)能够实时获得业务网络审计系统的WEB服务模块(5)下发的实时策略，并且能够实时的更新审计策略；

协调控制模块(3)与子业务网络嗅探器(4)连接，用于根据实际流量再次调整子业务网络嗅探器(4)的CPU亲和性；

子业务网络嗅探器(4)的作用是以混杂模式从子网络捕获数据包、经过会话管理分配不同的数据包到处理及规则模块中，获取所需要的信息，它是由抓包模块(6)、会话管理模块(7)和数据包处理及规则匹配模块(8)组成，其中：

抓包模块(6)与会话管理模块(7)连接，用于从子网络捕获数据包；

会话管理模块(7)与数据包处理及规则匹配模块(8)连接，将从子网络捕获数据包进行会话处理；

数据包处理及规则匹配模块(8)用于数据包处理及规则匹配，从中获取符合要求的数据。

2.用于上述权利要求1所述多CPU架构下的多网络安全审计系统的方法，其特征在于：该算法是步骤是：

(1)根据子业务网络数量M，启动M个子业务网络嗅探器(4)；

(2)根据处理器数量N，与子业务网络嗅探器(4)进行绑定，绑定的规则是：

如果N≥M，M个子业务网络sniffer依次绑定在前M个CPU处理器上；

如果N＜M，前N个子业务网络sniffer依次绑定在N个CPU处理器上；

如果M-N≥N，前2N-N个子业务网络sniffer依次绑定在N个CPU处理器上；

如果M-2N≥N，前3N-2N个子业务网络sniffer依次绑定在N个CPU处理器上；

……依次类推；

(3)运行过程中，记录各子业务网络嗅探器(4)每一分钟的网络吞吐量、每秒事务处理数，再计算一个周期的工作时段平均值、非工作时段平均值、峰值、峰值时段、CPU的使用率，重新确定子业务网络嗅探器(4)CPU的亲和性，重新确定子业务网络嗅探器(4)CPU亲和性的方式分以下两种：

A、根据各子业务网络的一个周期的工作时段流量平均值、流量峰值、峰值时段、CPU的使用率，重新确认各个子业务网络嗅探器(4)的CPU亲和性；

B、遇到某个子业务网络嗅探器(4)的CPU使用率、流量远远大于其它子业务网络嗅探器(4)时，根据各子业务网络的一个周期的工作时段流量平均值、流量峰值、峰值时段、CPU的使用率，重新调整子业务网络嗅探器(4)的CPU亲和性，不能达到预期的效果时，修改子业务网络嗅探器(4)的运行模式，使会话管理模块(7)启动多个数据包处理、策略匹配模块，到达CPU的负载均衡。