[发明专利]报文处理方法、装置和网络安全设备

说明书

技术领域

本发明涉及通信技术，尤其涉及一种报文处理方法、装置和网络安全设备。

背景技术

在网络安全设备中，普遍采用会话流状态跟踪技术来实现对经过设备的通信流量的监控管理，以对特定的非可信通信流量进行识别和阻断。在这种会话流状态跟踪技术框架下，一个报文的处理过程为：对于会话流的首个报文，建立一个新的会话流表项，并添加到流表中；对该会话流进行策略匹配和审核，并将处理策略更新到会话流表项中。对于非首个报文，在流表中已经存有该会话流的信息，则直接查找流表，获取该会话流的处理策略并执行。在上述报文处理过程中，安全策略可能众多，则策略匹配和审核的速率相对很慢，而只有会话流的首个报文才需要执行完整的策略匹配和审核，因此能够获得较高的报文转发速率。然而，当设备受到恶意的洪水攻击(攻击者通过发起大量非法链接，消耗网络安全设备和服务器的硬件资源，从而达到攻击的目的)时，即使攻击流被安全策略阻断，但由于延迟老化，处于阻断状态的攻击流仍会占满流表资源，则使得正常的会话流不能建立流表项，造成网络中断。

在现有技术中，为了解决上述问题，对于会话流的首个报文，则先执行策略匹配和审核操作，通过审核后才允许创建流表项，对于审核失败的会话流，则直接丢弃该报文，不允许创建流表项。

然而，现有技术中需要对攻击流的报文进行完整的策略匹配和审核过程，当攻击流数目较大时，导致系统性能下降，从而影响整体系统吞吐量。

发明内容

本发明提供一种报文处理方法、装置和网络安全设备，避免当攻击流数目较大时耗尽流表项资源，同时可以保持较高的系统性能，提高整体系统吞吐率。

本发明提供一种报文处理方法，包括：

当接收到会话流的首个报文时，为所述会话流创建会话流表项，并将所述会话流表项的索引添加到通用流散列表中；

对所述会话流进行策略匹配和审核处理，以判断所述会话流是合法会话流或非法会话流；

当所述会话流为非法会话流时，将所述会话流表项的索引添加到回收辅助表中，并将所述非法会话流的策略匹配和审核结果更新到所述会话流表项中。

本发明提供一种报文处理装置，包括：

创建模块，用于当接收到会话流的首个报文时，为所述会话流创建会话流表项，并将所述会话流表项的索引添加到通用流散列表中；

审核模块，用于对所述会话流进行策略匹配和审核处理，以判断所述会话流是合法会话流或非法会话流；

添加模块，用于当所述会话流为非法会话流时，将所述会话流表项的索引添加到回收辅助表中，并将所述非法会话流的策略匹配和审核结果更新到所述会话流表项中。

本发明提供一种网络安全设备，包括上述报文处理装置。

本发明提供的报文处理方法、装置和网络安全设备，通过新增回收辅助表，当接收到会话流的首个报文时，先为该会话流创建会话流表项，将该会话流表项的索引添加到通用流散列表中，通过策略匹配和审核处理获知该会话流为非法会话流时，还将该会话流表项的索引添加到回收辅助表中；本实施例通过回收辅助表来保存非法会话流的会话流表项的索引信息，以备后续资源紧张时使用，避免了当攻击流数目较大时耗尽流表项资源，同时可以保持较高的系统性能，提高了整体系统吞吐率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明报文处理方法实施例一的流程图；

图2为本发明报文处理方法实施例二的流程图；

图3为本发明报文处理方法实施例二中的双散列表结构示意图；

图4为本发明报文处理装置实施例一的结构示意图；

图5为本发明报文处理装置实施例二的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明报文处理方法实施例一的流程图，如图1所示，本实施例提供了一种报文处理方法，可以具体包括如下步骤：

步骤101，当接收到会话流的首个报文时，为所述会话流创建会话流表项，并将所述会话流表项的索引添加到通用流散列表中。