[发明专利]异构平台间的深度报文检测方法及装置

说明书

技术领域

本发明涉及数据处理领域，更为具体地，涉及一种异构平台间的深度报文检测方法和装置。

背景技术

传统的网络安全设备通常涉及L3/L4（网络层和传输层）级别的安全防护，并且可以采用异构平台实现，所述异构平台通常包括FPGA架构下的第一平台以及X86架构下的第二平台。

FPGA(Field-programmable gate array)，即现场可编程门阵列，是可重新编程的硅芯片。广泛采用FPGA芯片是源于FPGA综合了ASIC和传统处理器的最大优势。FPGA能够提供硬件定时的速度和稳定性，且无需比如自定制ASIC设计的巨额前期费用的大规模投入。可重新编程的硅芯片的灵活性与在基于处理器的系统上运行的软件在某些逻辑实现上相当。与处理器不同的是，FPGA属于真正的并行实行，因此不同的处理操作无需竞争相同的资源。每个独立的处理任务都配有专用的芯片部分，能在不受其它逻辑块的影响下自主运作。因此，添加更多处理任务时，其它应用性能也不会受到影响。

但是FPGA技术并不能真正代替传统处理器，毕竟FPGA使用的预建逻辑块和可重新编程布线资源都是有限的，这也就制约FPGA不可能实现过于复杂的逻辑运算。作为传统通用处理器的代表，X86平台显然在这方面具有优势，通过运行其上的软件，可以很好地实现复杂业务逻辑。由此，结合FPGA和X86的优点，利用异构平台来实现网络安全设备。

通常，异构平台对于传统网络安全设备的需求是有优势的，这种优势在架构上的主要体现是：

首先，记录状态检测的核心Session数据结构可硬件化，并可以提供所有操作的原子操作，基于Session在架构层面很容易将系统划分为快速通路和慢速通路，所有已经记录在Session中得报文会话可以通过硬件直接转发。

其次，对报文分类的方式主要是通过包分类算法实现，在这里需要的包分类主要是依据L3和L4报文头中三层或四层地址信息，逻辑相对简单，可以通过硬件的专有查表芯片实现，这使大多数的新建连接操作也是可以通过硬件来完成。

上述两点使得在网络报文的处理上能够很好的符合二八原则，也就是大多数的报文都可以通过硬件直接转发，而少数逻辑相对复杂、处理流程较长的可以通过慢速处理实现。

此外，不同平台之间的耦合度相对较小，平台之间的交互主要为配置信息以及慢速数据报文等，这使得异构平台之间的消息交换代价相对较小。

图1示出了传统需求下的异构平台架构的示意图，在图1中，主要示出了两个数据通路在不同平台下的流位置和调用关系。

然而，随着整个社会信息化程度的不断加深，尤其是越来越多的业务加速转移到云端，针对报文进行的数据处理面临的安全风险也越来越复杂。在这种情况下，L3/L4（网络层和传输层）级别的传统安全防护已经无法满足复杂多样的需求。由此，在下一代网络安全产品中，要求对报文的处理越来越深入和复杂，它不仅仅要求对传统报文头部进行处理，而且要求对报文的负载（L7应用层）进行处理，包括对报文的负载进行深度检测。为了对报文的负载进行深度检测，需要引入深度报文检测（DPI，Deep Packet Inspector）技术。

DPI是目前识别和鉴定协议及应用（IP流）的最重要的技术。所谓“深度报文检测”，“深度”是和标准数据包分析层次相比较而言的，“标准数据包检测”仅仅分析IP包的4层以下的基础信息，包括源IP地址、目的IP地址、源端口、目的端口以及连接状态，这些信息保存在数据包的4层以下的包头内。而DPI除了对4层以下的基础信息进行分析外，还增加了应用层分析，识别各种应用及其内容。这是通过对一系列数据报文的报头以及负载中的签名特征（Signature）进行分析，如图2所示。图2示出了基于负载中的多模特征进行应用层分析的示意图，所述多模特征是对应用进行分析后得出的与应用相关的特征。

由于DPI（深度报文检测）的引入，给原有的网络安全设备的架构带来了新的挑战。图3示出了新需求下异构平台架构的示意图，在图3中，示出了两个数据通路在当前需求下所遭遇的主要矛盾。