[发明专利]一种多CPU架构下的多网络安全审计方法和系统

说明书

技术领域

本发明是一种多CPU架构下的多网络安全审计方法和系统，属于计算机系统集成及应用技术，用于网络审计管理软件中多网卡多核设备网络审计系统。

背景技术

随着信息和网络技术的普及，政府和企事业单位的核心业务信息系统不断的网络化，面临的信息安全风险日益增加；另一方面，为了加强内控，国家强制机关和行业的主管部门相继颁布了各种合规和内控方面的法律法规和指引。在这几种情况下，针对网络中业务系统进行全方位审计的系统是越来越重要。业务性网络审计系统一般都是服务器设备，而在企事业单位中，业务网络一般都有多个子业务网络组成。针对有多个子业务网络的业务网络，我们一般采用多级部署方式或者多网卡的设备来进行审计。分级部署方式可以提高审计能力，但是需要多套审计系统会大大加大审计成本，同时需要统一分析处理数据，也会人为的加大网络流量。多网卡设备可以避免分级部署的缺点，但多网卡设备需要审计从多个网卡获取的数据，对系统的要求比较高，需要数据处理量会很大，为了提高性能，一般会选用高性能的多CPU服务器。

多CPU设备在目前已知的linux内核一般都采用SMP的处理方式。为了在CPU之间维护任务(进程)负载的均衡，任务可以重新进行分发：将任务从负载重的CPU上移动到负载轻的CPU上。Linux最新版本内核的调度器使用负载均衡(load balancing)提供了这种功能。每隔一个时间段，处理器都会检查CPU的负载是否不均衡；如果负载不均衡，处理器就会在CPU之间进行一次任务均衡操作。在这个过程，新CPU的缓存对于迁移过来的任务来说需要将数据读入缓存中。若是某个任务数据处理能力需要很高，那么就会导致负载一直不均衡，任务就会在不同的处理器上不断地切换，对需要高数据处理能力的软件会有很大的影响，若用一般的多CPU设备无法达到系统需要达到的性能要求，需要高性能服务器或者集群才能完成审计多子业务网络的业务网络。若是能够人为的控制软件CPU的使用率，则可以大幅度提高性能，使用一般服务器就能代替高性能服务器或者集群达到软件需要的性能要求。

发明目的

本发明正是针对上述现有技术中存在的不足和对其改进设想提出了一种多CPU架构下的多网络安全审计方法和系统，其目的是尽可能提高业务网络审计系统在多网卡多处理器设备中的性能，以多网卡多处理器的普通设备来代替高性能服务器或者集群，实现对多子业务网络的审计。本发明根据网卡数量和CPU数量运行多个网络审计监听程序，手动设置CPU亲和性，设置CPU的亲和性是指进程可以在指定CPU上运行，并且能够根据需要在处理器之间进行迁移，进程绑定CPU的过程，各个网络监听程序根据一定算法，运行在不同CPU上，运行一个业务周期(默认一个星期，主要按照业务流量来确定周期)，根据网络流量、峰值、CPU使用率等数据来重新调整各个程序CPU的亲和性，充分利用CPU的处理能力，完成复杂的审计工作。

本发明的目的是通过以下技术方案来实现的：

本发明提出了一种多CPU架构下的多网络安全审计系统，包括宿主服务器和网络设备，其特征在于：该系统由审计引擎和业务网络审计系统的WEB服务模块组成，其中，审计引擎是由启动模块、通讯模块、协调控制模块和子业务网络嗅探器组成，其中：

启动模块是其它模块的创建和初始化模块，从宿主服务器获取网卡信息和处理器信息，确定子业务网络嗅探器启动方式和CPU亲和性；

通讯模块分别连接子业务网络嗅探器和业务网络审计系统的WEB服务模块，通过通讯模块，子业务网络嗅探器能够实时获得业务网络审计系统的WEB服务模块下发的实时策略，并且能够实时的更新审计策略；

协调控制模块与子业务网络嗅探器连接，用于根据实际流量再次调整子业务网络嗅探器的CPU亲和性；

子业务网络嗅探器的作用是以混杂模式从子网络捕获数据包、经过会话管理分配不同的数据包到处理及规则模块中，获取所需要的信息，它是由抓包模块、会话管理模块和数据包处理及规则匹配模块组成，其中：

抓包模块与会话管理模块连接，用于从子网络捕获数据包；

会话管理模块与数据包处理及规则匹配模块连接，将从子网络捕获数据包进行会话处理；

数据包处理及规则匹配模块用于数据包处理及规则匹配，从中获取符合要求的数据。

本发明技术方案还提出一种用于上述多CPU架构下的多网络安全审计系统的方法，其特征在于：该算法是步骤是：

(1)据子业务网络数量M，启动M个子业务网络嗅探器；

(2)根据处理器数量N，与子业务网络嗅探器进行绑定，绑定的规则是：