[发明专利]网络入侵检测的动态负载均衡方法

摘要

本发明涉及网络安全技术领域。本发明公开了一种应用于网络入侵防御系统中的多检测引擎负载均衡方法，以多核网络服务处理器为硬件基础，使用多核网络服务处理器的多个处理核作为检测引擎，利用基于流的动态负载均衡方法保证多核间负载均衡、保证检测准确率和千兆处理线速的处理需求。本发明的网络入侵检测的动态负载均衡方法，包括检测引擎实时负载表的更新和维护步骤，数据包的下发步骤，数据包下发表的更新和维护步骤和负载均衡步骤。通过上述步骤的具体实施，能够保证流的完整性，使后续检测或其他处理更加准确。同时采用动态负载均衡方法，使各处理引擎的负载量分配均衡、相应快速。本发明特别适合千兆网络环境下的入侵检测。

主权项

网络入侵检测的动态负载均衡方法，包括检测引擎实时负载表的更新和维护步骤，数据包的下发步骤，数据包下发表的更新和维护步骤和负载均衡步骤；其特征在于：检测引擎实时负载表的更新和维护具体步骤如下：a1、当定时器时间到，调用信息收集函数收集所有检测引擎处理的会话数Si(t)、检测引擎的待处理队列中的待处理数据包数目Pi(t)、检测引擎的内存占用率Mi(t)、检测引擎的核利用率Ci(t)；a2、计算相应检测引擎的负载量Li(t)：a3、调用负载判断函数判断是否需要负载均衡；如果需要负载均衡，执行步骤a4；否则执行步骤a5；a4、执行负载均衡处理函数；a5、更新负载表；a6、结束检测引擎实时负载表的更新和维护步骤；数据包的下发具体步骤如下b1、从输入队列中获得当前待下发数据包的五元组Hash值；b2、利用查找算法从数据包下发表中查找是否有当前数据包的Hash值，如果命中，执行步骤b3；如果未命中，执行b6；b3、检查数据包的TCP标志位，如果其标志位是FIN或RST中之一，说明这是一个会话终止数据包，执行步骤b4，否则执行步骤b5；b4、删除下发表中对应当前Hash值的相应表项，该会话结束；b5、下发数据包到下发表中命中表项的相应引擎号的队列中；返回步骤b1；b6、未命中表明一个新的会话到来，查找引擎负载表中负载最小的引擎号，将当前数据包下发到对应的待检测队列中；b7、将新到来的会话的Hash值，分配的检测引擎号，当前时间生成一个新的下发表项，更新下发表；b8、返回步骤b1；数据包下发表的更新和维护具体步骤如下：c1、根据调用函数传递的参数判断是何种原因引起的更新；如果是定时器引起的更新，执行步骤c2；否则执行步骤c6；c2、获得下发表的当前指针，如果是刚开始则是头指针，读取下发表下一表项；检测表项是否是TCP连接的表项，如果不是执行步骤c3；如果是执行步骤c5；c3、判断表项的更新时间和当前时间的差值，如果超过更新阈值Th，执行步骤c4；否则执行步骤c5；c4、删除表项；c5、判断是否到链表的尾节点，如果是则返回步骤c2，否则执行步骤c9；c6、判断是否是新的连接到来，如果是，执行下步骤c7；否则执行步骤c8；c7、添加新表项，执行步骤c9。c8、删除表项；c9、结束数据包下发表的更新和维护步骤；负载均衡具体步骤如下：d1、负载表更新完成后，读取负载表的表项；d2、判断当前的引擎的负载是否超过规定的阈值，如果超过，执行步骤d3；否则，执行步骤d4；d3、将当前表项加入过载链表。d4、读取下一个表项，判断是否为空，如果是，执行步骤d5；否则，返回步骤d2；d5、判断过载链表是否为空，如果是空，则执行步骤d8；否则，执行步骤d6；d6、如果链表中只有一个表项，表明只有一个引擎过载，调用负载均衡函数，将部分连接分配到负载小的引擎；否则执行步骤d7；d7、如果多个检测引擎过载，调用异常处理函数；d8、结束。