[发明专利]网络业务处理系统

说明书

背景技术

已经提出因特网业务到2015年预期成为四倍。此外，报告已经显示全球平均连接率已逐年增加43%且全球平均峰值率已逐年增加67%。因此，以一切种类的病毒、蠕虫和恶意软件形式的内部和外部网络攻击的复杂化已显著增加。

网络管理员继续承担提供网络安全的任务且其常常依赖于用于网络安全的各种系统。例如，入侵检测系统（IDS）检测网络攻击，但是某些作为不提供远远超过事后攻击通知的被动式系统进行操作。相反地，已经开发了入侵预防系统（IPS）以通过主动地通过扫描输入和输出业务来分析网络业务流而补充诸如防火墙之类的传统安全产品。然而，由IPS进行的深度分组检查通常利用大量的资源且如果其性能跟不上增加的连接率和吞吐量带宽，则可能变成网络瓶颈。

附图说明

参考在以下各图中所示的示例来详细地描述实施例：

图1图示出网络业务处理系统；

图2A-B图示出不同网络环境中的网络业务处理系统；以及

图3和4图示出处理网络业务。

具体实施方式

出于简化和说明性目的，通过主要参考其示例来描述实施例的原理。在以下描述中，阐述了许多特定细节以便提供实施例的透彻理解。显而易见的是，可在不限于所有特定细节的情况下实施该实施例。并且，可以各种组合一起使用实施例。

根据实施例，一种用于处理网络业务的系统检查网络业务以识别潜在签名匹配。进一步检查被认为具有潜在签名匹配的网络业务以确定其是否具有签名匹配。如果检测到签名匹配，则可对网络业务进行阻止、报告、速率限制或者可采取其他补救措施。

该系统包括硬件加速检查单元（诸如现场可编程门阵列（FPGA），专用集成电路（ASIC）或另一类型的可自定义集成电路或处理器），其执行分组的硬件加速检查，并且该系统包括软件检查单元，其包括由处理器或某个类型的处理电路执行以执行分组的软件检查的机器可读指令。硬件加速检查单元在执行其检查时比软件检查单元更快，并且该系统利用硬件加速检查单元以改善检查处理速度。例如，在连接开始时，由软件检查单元来执行分组检查。连接包括具有相同属性的分组。属性的示例可包括源因特网协议（IP）地址、目的地IP地址、源IP端口、目的地IP端口、IP协议等。在一个示例中，连接是传输控制协议（TCP）流。在另一示例中，连接是包括具有相同属性的分组的伪流。例如，连接可以是用户数据报协议（UDP）或者不要求在先通信以建立传输信道或数据路径的另一协议中的伪流。如果到连接到达阈值位数（例如8千字节（KB））的时间未检测到攻击，则软件检查单元命令硬件加速检查单元将流置于硬件加速检查模式以改善性能。

在硬件加速检查模式下，由硬件加速检查单元以比用软件检查单元可能的更快的速率来检查连接。由硬件加速检查单元执行的处理的速度可以是由软件检查单元执行的处理的两倍或三倍。在硬件加速检查模式下，如果连接是干净的，诸如被确定为不具有潜在签名匹配，则在不对分组执行软件检查的情况下发射用于连接的分组。在硬件加速检查模式下，由硬件加速检查单元来处理用于连接的分组，但是不被软件检查单元处理以使处理时间最小化。然而，如果硬件加速检查单元在连接中检测到潜在签名匹配，则将连接传输至软件检查模式以便由软件检查单元进一步处理以确定是否存在签名匹配。在软件检查模式下，连接被软件检查单元处理，并且还被硬件加速检查单元处理。通过使连接的检查在硬件加速检查模式与软件检查模式之间过渡，在保持安全的同时增加吞吐量。

软件检查单元执行分组检查，其可包括比在硬件检查模式下执行的更详细的分组检查和过滤。因此，由硬件减速检查单元执行的分组处理可不同于由软件检查单元执行的分组检查。例如，由软件检查单元执行的分组处理包括深度分组检查。深度分组检查包括检查连接中的分组的有效负荷以及报头。深度分组检查可包括在所有的七个开放系统互连（OSI）层中检查来自连接的数据。由硬件加速检查单元执行的分组处理可不包括来自全部七个OSI层的数据。例如，分组检查可局限于报头。

具有潜在签名匹配的连接是被确定为具有特定预定义属性的连接。例如，连接可包括具有表示安全威胁的属性的分组或多个分组。例如，由硬件加速检查单元来检查连接中的分组以确定其是否不按顺序或者被分段或者其在其有效负荷中是否具有某个字节式样。