[发明专利]一种PCRE热切换方法、网络设备及存储介质

说明书

本申请涉及一种PCRE热切换方法、网络设备及存储介质，属于网络安全技术领域。该方法应用于网络设备，网络设备包括：对应同一个共享内存的管理进程和多个工作进程。方法包括：管理进程将PCRE特征库加载至共享内存，更新共享内存中的全局数据指针的值，并保存每个工作进程的当前全局计数；管理进程定期获取每个工作进程各自的全局计数，并判断获取的全局计数相较于保存的当前全局计数是否均发生变化；在所有工作进程的全局计数均发生变化时，管理进程释放所述共享内存中前一次加载的PCRE特征库。通过共享内存，使得多个工作进程之间可以访问相同的特征数据，搭配全局计数实现高效、无锁、不阻塞、无需进程重启的PCRE热切换。

技术领域

本申请属于网络安全技术领域，具体涉及一种PCRE热切换方法、网络设备及存储介质。

背景技术

在当前网络通信及安全领域，很多路由器及防火墙都采用基于包过滤的处理方式，来处理经过设备的报文。厂商为增加设备的数据处理能力，常常采用网卡与进程绑定的方式，利用特定进程对特定网卡进行轮询检测并转发报文。这就要求处理包转发的多个进程进行协调，并且每个进程处理每个报文的时间足够短，尽量降低网络的延迟。很多如入侵防御系统(Intrusion Prevention System，IPS)，Web应用防护系统(Web ApplicationFirewall，WAF)，防火墙等安全设备，会使用大量Perl兼容的正则表达式 (PerlCompatible Regular Expressions，PCRE)来定义各种过滤规则形成一个特征库，每次用户更改特征库的配置，定期升级自己特征库时，要求网络业务不能中断，而且不能长时间阻塞网络，导致影响整个网络的转发。目前所采用的处理方式，均无法满足上述要求。

发明内容

鉴于此，本申请的目的在于提供一种PCRE热切换方法、网络设备及存储介质，以改善当前在高负载数据包过滤处理进程中，PCRE特征库切换容易造成网络阻塞的问题。

本申请的实施例是这样实现的：

第一方面，本申请实施例提供了一种PCRE热切换方法，应用于网络设备，所述网络设备包括：管理进程和多个工作进程，所述管理进程和所述多个工作进程中的每个工作进程均对应有同一个共享内存；所述方法包括：所述管理进程将PCRE特征库加载至所述共享内存，更新所述共享内存中的全局数据指针的值，并保存每个工作进程的当前全局计数以及当前全局数据指针，其中，更新后的全局数据指针用于每个工作进程访问所述 PCRE特征库；所述管理进程定期获取每个工作进程各自的全局计数，并判断获取的全局计数相较于保存的所述当前全局计数是否均发生变化，其中，每个工作进程在根据所述PCRE特征库处理完成预设数量的报文处理时更新各自的全局计数；在所有工作进程的全局计数均发生变化时，所述管理进程根据所述当前全局数据指针释放所述共享内存中前一次加载的PCRE特征库。本申请实施例中，通过共享内存，使得管理进程每次在切换PCRE 特征库后，多个工作进程不需要重启，也不需要各自再重新配置PCRE特征库，就可直接访问该PCRE特征库进行报文处理，进而实现高效、无锁、不阻塞、无需进程重启的PCRE热切换；进一步，通过给每个工作进程配置全局计数，使得管理进程能够判断是否需要释放旧的特征库，以减少内存资源占用。

结合第一方面实施例的一种可能的实施方式，在所述管理进程将PCRE 特征库加载至所述共享内存之前，所述方法还包括：在启动所述管理进程的过程中，所述管理进程初始化所述共享内存以及所述全局数据指针，并初始化每个工作进程各自的全局计数。本申请实施例中，在启动管理进程的时候，初始化所述共享内存以及所述全局数据指针，并初始化每个工作进程各自的全局计数，以保证流程的顺利实施。

结合第一方面实施例的一种可能的实施方式，所述管理进程将PCRE 特征库加载至所述共享内存，包括：所述管理进程在接收到特征库重载信号时，将所述PCRE特征库加载至所述共享内存。本申请实施例中，管理进程在接收到特征库重载信号时，才加载新的特征库，避免造成特征库加载出错。