[发明专利]基于多核多线程的深度报文检测技术的实现系统和方法

说明书

技术领域

本发明属于网络安全技术领域，具体涉及一种基于多核多线程的深度报文检测技术的实现系统和方法。

技术背景

目前深度报文检测技术的实现主要是采用单线程流水作业的方式进行，当处理的数据量非常大时，使得CPU负担很大，且容易出现处理不及时丢包的现象。

专利号CN200710198554.7(深度报文检测设备和方法)公开了一种深度报文检测的设备和方法，该方法包括以下步骤：(a)由网络处理器向深度报文检测设备发送待检测报文数据，包括待检测报文及网络处理器附加的控制信息，该控制信息包括当前待检测关键字信息；(b)深度报文检测设备根据网络处理器发送的待检测报文数据进行检测，当检测到当前待检测关键字时，根据是否进一步检测的配置及下一个关键字信息继续进行检测，直到无法检测到某关键字或检测到所有关键字检测结束，深度报文检测设备记录检测结果；(c)深度报文检测设备返回检测结果给网络处理器。本发明设备和方法可以增强检测功能，并为上层软件处理提供更有力的支持。

专利号CN200710074538.7(一种深度报文检测方法、网络设备及系统)公开了一种深度报文检测方法、网络设备和系统。所述方法包括：接收数据流中的数据报文；判断所述数据报文是否需要检测，如果需要，首先对所述数据报文进行识别；若不能识别所述数据报文，则复制所述数据报文，并将其中一份数据报文发送给深度报文检测装置，即DPI检测装置进行深度报文检测。通过实施本发明，能够解决DPI检测和快速数据转发性能之间的平衡问题，满足了网络运营商对互联网业务感知、控制的需求，节约了网络资源。

基于“特征字”的识别技术是目前一种比较常见的实现深度报文检测技术的方法，它通常会对网卡收到报文的负载逐一进行“特征字”的匹配，根据所匹配到的“特征字”类型，配合当前报文在整个流连接中所处的位置信息，实现业务识别、业务控制、业务统计等功能。由于现有的这种技术会深入报文的负载进行内容检索，造成CPU的占用率很高，处理的效率不高。

发明内容

本发明克服现有技术存在的不足，减轻CPU负担，加速深度报文检测处理过程。

本发明提供了一种基于多核多线程的深度报文检测技术的实现系统，该系统包括多个报文收包缓冲区模块和多个CPU模块，该报文收包缓冲区模块对应于CPU模块，从而实现并行的对所收报文内容的关键词进行精确匹配。

本发明提供的基于多核多线程的深度报文检测技术的实现系统，该系统包括TCP连接的流表模块，用于识别和统计报文协议。

本发明提供的基于多核多线程的深度报文检测技术的实现系统，该TCP连接的流表模块是动态维护的。

本发明还提供了一种基于多核多线程的深度报文检测技术的实现方法，开辟多个收包缓冲区，将处理缓冲区报文的线程与多个CPU一一绑定，从而实现并行的对所收报文内容的关键词进行精确匹配。

本发明提供的基于多核多线程的深度报文检测技术的实现方法，借助TCP连接的流表，实现对报文协议的实时识别和统计。

本发明提供的基于多核多线程的深度报文检测技术的实现方法，TCP连接的流表是动态维护的。

本发明提供的基于多核多线程的深度报文检测技术的实现方法，实现对102种互联网报文协议的实时识别和统计。

本发明提供的基于多核多线程的深度报文检测技术的实现方法，在多核服务器上的专业网卡上开辟多个收包缓冲区。

本发明与当前深度报文检测技术所采取的单线程收包检测的方法不同，利用插在多核服务器上的专业网卡开辟多个收包缓冲区，将处理缓冲区报文的线程与各个CPU一一绑定，从而实现并行的对所收报文内容的关键词进行精确匹配，同时借助动态维护的TCP连接的流表，实现对102种互联网报文协议的实时识别和统计。

与现有技术相比，本发明的有益效果在于：本深度报文检测技术的实现方法，相对于传统方法，能够更加充分地利用多核服务器的计算优势，实现了报文的并行处理，使得处理报文的速度更快，同时利用专业网卡的“零拷贝”优势，将CPU从快速收包的繁复工作中解脱出来，专心进行报文的深度检测，最终使得CPU的负荷更小，适合在大流量的环境下使用。

附图说明

图1是本发明的结构示意图。

具体实施方式