[发明专利]期待连接处理方法、装置、可读存储介质和电子设备

说明书

本公开涉及一种期待连接处理方法、装置、可读存储介质和电子设备，所述方法包括：接收到新建连接时获取新建连接的属性信息；基于预设布隆过滤器的预设数量的哈希函数对属性信息做哈希计算得到预设数量个哈希值；获取预设数量个哈希值在预设布隆过滤器的整数数组中对应的位置点的元素值；在预设数量个哈希值对应的位置点的元素值均是非零时对期待连接哈希表进行加锁以在该哈希表中哈希查询确定新建连接是否为期待连接。本公开的实施方案基于预设布隆过滤器过滤掉部分非期待连接以减少对哈希表的加锁次数及相应哈希查询匹配期待连接的操作，避免多核转发架构下频繁地哈希表加锁以基于哈希表进行哈希查找操作，进而提高新建和转发性能。

技术领域

本公开实施例涉及计算机技术领域，尤其涉及一种多核转发架构下的期待连接处理方法、多核转发架构下的期待连接处理装置，以及实现期待连接处理方法的计算机可读存储介质和电子设备。

背景技术

随着互联网应用类型的不断增加及应用形式的不断变化，层出不穷的安全威胁时刻在发生。在这种情况下，网络安全设备被大量应用于实际环境中，为了适配当前需求的变化，网络安全设备架构也发生了很大变化，从传统的单一中央多核处理器(简称CPU)处理，进化为多个CPU并行处理。

由于当前应用丰富多样及网络的普及，对网络安全设备的功能要求越来越高，网络安全设备需要对应用层数据进行分析，而有些通信协议是有子连接的。子连接是在父连接的交互中协商出来的，为了使子连接与父连接使用相同的安全策略，网络安全设备需要识别出子连接。相关技术中，父连接在协商子连接时，生成至少包含子连接的IP(InternetProtocol)信息和端口信息的期待连接数据并插入期待连接哈希表中，然后在新建连接时，到该期待连接哈希表中查找判断新建连接是否为期待(expect)连接。

但是，对于具有多核转发架构的网络安全设备，通常都是多核CPU并发运行，该期待连接哈希表由多核CPU共享，导致在期待连接哈希表中查找判断新建连接是否为期待连接时，查找过程需要频繁加锁期待连接哈希表，严重影响新建和转发性能。

发明内容

为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种多核转发架构下的期待连接处理方法、多核转发架构下的期待连接处理装置，以及实现期待连接处理方法的计算机可读存储介质和电子设备。

第一方面，本公开实施例提供了一种多核转发架构下的期待连接处理方法，包括：

接收到新建连接时，获取所述新建连接的属性信息；

基于预设布隆过滤器的预设数量个哈希函数对所述属性信息做哈希计算得到所述预设数量个哈希值；

获取所述预设数量个哈希值在所述预设布隆过滤器的整数数组中对应的位置点的元素值；其中，所述预设布隆过滤器的整数数组中预先设置所述预设数量个位置点的元素值；该预设数量个位置点的元素值由所述预设数量个哈希函数对期待连接的属性信息做哈希计算得到的预设数量个哈希值匹配确定；

在所述预设数量个哈希值对应的位置点的元素值均是非零时，对期待连接哈希表进行加锁，以在所述期待连接哈希表中哈希查询所述新建连接是否为期待连接。

在本公开的一些实施例中，所述属性信息应包括源IP、目的IP、目的端口和IP协议号。

在本公开的一些实施例中，所述预设数量的取值为2～5；和/或，所述预设数量个哈希函数均不同。

在本公开的一些实施例中，所述基于预设布隆过滤器的预设数量个哈希函数对所述属性信息做哈希计算得到所述预设数量个哈希值，包括：

基于第一哈希函数对所述源IP、目的IP、目的端口、IP协议号做哈希计算得到第一哈希值；

基于第二哈希函数对所述源IP、目的IP、目的端口、IP协议号做哈希计算得到第二哈希值；