[发明专利]一种利用内容加速卡实现内容检测的装置和方法

说明书

技术领域

本发明涉及网络技术领域，特别涉及一种利用内容加速卡实现内容检测的装置和方法。

背景技术

随着网络信息安全需求的不断发展，传统的作用于TCP/IP协议栈2层、3层的防火墙等安全产品已经无法满足人们的需要。现在人们更关心在网络上传输的是什么内容，这些内容是否会造成危害。因此，入侵防御系统(IntrusionProtection System，IPS)、杀毒(Antivirus，AV)等基于内容检测的安全产品渐渐成为主流。然而，一个关键的问题制约着此类产品的发展，那就是性能。内容检测的核心是字符串模式匹配，模式匹配相当消耗CPU计算资源，而且随着模式串的增长，对CPU的消耗呈线性增长。因此，只有突破模式匹配的性能瓶颈，才能使基于内容检测的安全产品得到进一步的发展。

基于专用集成电路(Application Specific Integrated Circuit，ASIC)和PCI-E技术的内容加速卡是为解决上述问题而发明的。内容加速卡利用了专用硬件的特点，具有处理能力强、处理速度不随模式串的递增而递减、成本低廉等特点。内容加速卡通过PCI-E接口连接到网络安全设备上，因此也比较容易对现有的网络安全设备进行扩展。

内容检测的核心字符串模式匹配工作可以使用内容加速卡硬件来提升性能，但是内容检测是一个复杂的过程，包含很多步骤，字符串匹配只是其中之一，其它部分工作还需要CPU来处理，这就形成了CPU处理一部分工作，交给内容加速卡处理，然后再返回给CPU处理的工作过程，其中CPU与内容加速卡的交互过程直接影响了整个工作过程的效率，也是使用内容加速卡来提升内容检测性能的关键。

CPU与内容加速卡的交互过程通常如下：CPU处理一部分，完成后交给内容加速卡处理，内容加速卡处理完成后再交回给CPU处理，整个处理过程是完整贯通的，是连续不中断的，这种方式对检测过程改动比较小，但是因为内容加速卡的延迟特性，CPU需要一段等待空耗时间，所以效率不高。

发明内容

本发明的目的在于，提供一种利用内容加速卡实现内容检测的装置，能够最大限度的提升内容检测安全产品的检测效率和性能。

本发明的另一目的在于，提供一种利用内容加速卡实现内容检测的方法，能够最大限度的提升内容检测安全产品的检测效率和性能。

本发明的利用内容加速卡实现内容检测的装置，包括第一线程单元和第二线程单元，所述第一线程单元和第二线程单元同时工作，其中，第一线程单元，用于接收数据包，并进行预处理，将预处理后的数据报文发送给内容加速卡进行匹配，不等待结果，开始处理下一个报文；第二线程单元，用于从内容加速卡获取匹配结果，并根据匹配结果执行相应处理。

其中，在所述第一线程单元中，包含预处理模块，用于接收的数据包进行预处理，所述预处理至少包括下列一种：协议分析、对IP分片的报文进行重组、对TCP报文记录连接信息，以及对应用层协议进行解析，拆解出需要检测的报文头部结构。

其中，所述预处理模块，进一步用于进行DDOS检测。

其中，所述预处理模块，进一步用于在网络层面进行处理，对于特定报文不进行检测，直接转发或提交，其中，所述特定报文，包括没有数据内容的数据包、提交给设备本身的管理报文、路由交换信息报文以及二层广播报文。

其中，所述第二线程单元，根据匹配结果执行相应处理，包括检查报文头部、调用第三方插件、采取阻断动作或者记录日志。

其中，第一线程单元将待检测报文送到内容加速卡做模式匹配时，返回数据流ID，该数据流ID是数据报文的唯一标识，在第二线程单元取得匹配结果时也带有该数据流ID，用于将一个数据报文和一个匹配结果进行对应。

本发明的利用内容加速卡实现内容检测的方法，包括：

第一线程接收数据包，并进行预处理，将预处理后的数据报文发送给内容加速卡进行匹配，不等待结果，开始处理下一个报文；第二线程从内容加速卡获取匹配结果，并根据匹配结果执行相应处理；其中，所述第一线程和第二线程同时工作。

其中，在所述第一线程中，对接收的数据包进行预处理，至少包括下列一种：协议分析、对IP分片的报文进行重组、对TCP报文记录连接信息，以及对应用层协议进行解析，拆解出需要检测的报文头部结构。

其中，在所述第二线程中，根据匹配结果执行相应处理，包括检查报文头部、调用第三方插件、采取阻断动作或者记录日志。