CN103618641A - 一种基于众核网络处理器并可快速部署的数据包检测监控*** - Google Patents
一种基于众核网络处理器并可快速部署的数据包检测监控*** Download PDFInfo
- Publication number
- CN103618641A CN103618641A CN201310598644.0A CN201310598644A CN103618641A CN 103618641 A CN103618641 A CN 103618641A CN 201310598644 A CN201310598644 A CN 201310598644A CN 103618641 A CN103618641 A CN 103618641A
- Authority
- CN
- China
- Prior art keywords
- message
- packet
- many nuclear
- network processor
- nuclear network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出一种基于众核网络处理器并可快速部署的数据包检测监控***。本发明由部署单元和众核网络处理器单元组成。部署单元包括程序配置、编译、载入功能和处理器单元状态监控功能;众核网络处理器内多个核心分为不同的工作组,包括控制管理组,报文处理转发组,报文重组组和本地控制组。控制管理组包括定时器处理模块,远程交互接口模块和控制核心模块;报文处理转发组包括数据包预处理模块,数据包检测分析模块和数据包转发模块;报文重组组包括数据报文重组模块;本地控制组包括本地接口模块和控制核心模块。本发明提供的***可以快速自动化地进行配置并部署上线,在运行中可以满足大吞吐量网络的数据包检测需求,并具有灵活的配置功能。
Description
技术领域
本发明涉及网络数据包深度检测领域,提出了一种基于众核网络处理器体系架构、可以快速部署的数据包检测监控***。
背景技术
当前,网络中存在着一些不良信息,对网络环境造成了一定的污染。针对这种情况,需要有效的监管手段。而针对网络中数据包进行深度内容检测是必要的方法之一。通过对网络中数据包的内容进行解析,能够对网络中的数据流量和用户的上网行为进行监控,及时阻止网络内的不良信息的流通,快速定位追查源头,防止违规事件的发生。
由于对数据包进行深度的内容检测,需要对数据包的数据负载部分进行关键词匹配检测。相对于仅仅是检测数据包的协议层的协议头信息的检测***,进行深度数据包检测需要更多的时间和资源,而在目前高速、大流量的网络环境下,数据包检测***也需采用特定的体系结构,保证检测性能和用户的通信质量,否则,位于网络关键节点的数据包检测***,将成为网络流量的瓶颈,影响整个网络的性能。同时,为满足日益多变的网络环境和结构,检测***应提供丰富的管理配置接口,易于快速部署;针对不同的需求,应提供不同的内容检测、数据包转发过滤策略。
据此,本发明提出了一种基于众核网络处理器并可快速部署的数据包检测监控***,该***使用众核体系架构的网络处理器,将处理器内大量核心分为不同的处理工作组,众多核心并行工作,并且充分利用网络处理器内硬件单元,满足网络的性能需求。同时,本发明提出的检测监控***的部署单元,可以满足检测***快速部署上线的需求,并可使用管理配置接口,满足不同的检测监控需求。
发明内容
本发明提出的一种基于众核网络处理器并可快速部署的数据包检测监控***,包括部署单元和众核网络处理器单元。
该***的部署单元,用于配置、编译、部署运行于众核网络处理器单元上的程序并监控众核网络处理器单元运行状态,部署单元由如下组件组成:
操作***;
程序编译环境;
程序配置文件;
程序部署接口;
状态监控与管理接口。
该***的众核网络处理器单元,作为带有大量处理核心和专用硬件单元的处理器,负责对流入该单元的数据包进行深度报文检测并根据检测结果采取不同的报文转发策略,众核网络处理器带有专用的硬件模式匹配DFA单元和定时器单元,前者用于快速地进行敏感信息匹配检测,后者用于实现本***的基于流的过滤和基于端到端的监控功能。
众核处理单元的众多处理核心工作在不同的工作组,执行不同的工作逻辑,包括:
控制管理组,负责与远程管理端进行交互,进一步包括定时器处理模块,远程交互接口模块和控制核心模块;
报文处理转发组,负责对数据包进行深度报文内容检测,进一步包括数据包预处理模块,数据包检测分析模块和数据包转发模块,其中除了敏感内容过滤功能外,还包括基于流的过滤和基于端到端的监控功能;
报文重组组,负责对分片的报文进行重组,包括数据报文重组模块;
本地控制组,负责与本地的串口进行交互,进一步包括本地接口模块和控制核心模块。
本发明的有益效果是:
本发明提供的***可以快速自动化地进行配置并部署上线,在运行中充分利用众核网络处理器的众核并行处理功能,可以满足高速、大吞吐量网络的数据包检测需求。同时,本***除了敏感内容过滤功能外,还包括基于流的过滤和基于端到端的监控功能以及分片重组功能,并具有灵活的配置功能,可满足复杂的内容检测策略的需求。
附图说明
图1是本发明提出的众核并行数据包检测监控***结构图;
图2是本发明提出的***中基于流的过滤和基于端到端的监控功能流程图。
具体实施方式
下面结合附图对本发明进行进一步的具体描述。
如图1所示,本发明所述的一种基于众核网络处理器并可快速部署的数据包检测监控***,其中包括:
1、部署单元(1),用于配置、编译、部署运行于众核网络处理器单元上的程序并监控众核网络处理器单元运行状态,包括:
操作***(2),支持编译环境以及各类配置、部署和管理工具的运行;
程序编译环境(3),提供编译器、加载库、第三方工具等,支持编译得到可运行于众核网络处理器上的程序;
程序配置文件(4),包括参数设定文件和匹配模式表达式集合文件。参数设定文件用于设定程序初始运行的工作状态,以键值对的形式保存有各个参数的设置值,在程序编译时,编译工具根据该文件中的设置值,设定程序的初始化代码,保证程序运行时相关参数初始值即为配置文件所设置。匹配模式表达式集合文件含有预先定义的模式集合,每行为一个正则表达式规则,众核处理器单元将根据这些模式集合判定流入的数据报文的转发策略;
程序部署接口(5),提供自动化工具,自动将编译完成的程序正确地载入众核网络处理器单元并使众核网络处理器单元启动运行,在该工具执行之后,众核网络处理器即正常启动并开始正常工作。
状态监控与管理接口(6),提供自动化工具,自动与众核网络处理器单元交互获取众核网络处理器单元的运行状态信息,并能正确捕获众核网络处理器单元运行发生的错误,在众核网络处理器单元发生错误时自动地调用程序部署接口重置众核网络处理器单元。
2、本***另一个功能单元是众核网络处理器单元(7),作为带有大量核心的专用网络处理器,负责对流入该单元的数据包进行深度报文检测并根据检测结果采取不同的报文转发策略,在众核网络处理器单元中,众多处理核心工作在不同的工作组(12),执行不同的工作逻辑,包括:
2-1报文处理转发组(8),负责收取流入***的数据报文并进行深度数据包检测,根据检测结果采取不同的转发策略将报文发出。包括:
数据包预处理模块:负责接收流入***的数据包,并将带有特殊控制格式的UDP报文发送给控制管理组,将分片报文发送给报文重组组,将普通IP报文送往数据包检测分析模块;
数据包检测分析模块:负责将数据包送交众核网络处理器上的硬件模式匹配单元DFA(13)进行匹配检查,分析模式匹配检查操作操作结果,并将分析结论送交数据包转发模块,其结论包括:
1)命中过滤:该数据包在模式匹配中发生命中;
2)同一流命中:该数据包在模式匹配中未发生命中,但在该数据包流入***之前一段时间内,流入***的、与该数据包带有同一源IP地址和源端口号的数据包发生过模式匹配命中;
3)同一端到端命中:该数据包在模式匹配中位发生命中,但在该数据包流入***之前一 段时间内,流入***的、与该数据包带有同一源IP地址和同一目的IP地址的数据包发生过模式匹配命中;
4)未命中:该数据包在模式匹配中未发生命中,且在该数据包流入***之前一段时间内,流入***的、与该数据包带有同一源IP地址和源端口号的数据包未发生过模式匹配命中,且在该数据包流入***之前一段时间内,流入***的、与该数据包带有同一源IP地址和目的IP地址的数据包未发生过模式匹配命中;
数据包转发模块:负责根据数据包检测分析模块的分析结论,对相应的数据包采取不同的转发策略,包括:
1)命中过滤:将数据包转发至预先设定的过滤用端口,设定报文流和报文端到端信息表,并设定定时器发送给控制管理组;
2)同一流命中:将数据包转发至预先设定的过滤用端口;
3)同一端到端命中:将数据包同时转发至预先设定的正常转发端口和预先设定的过滤用端口;
4)未命中:将数据包转发至预先设定的正常转发端口。
报文处理转发组中有大量的处理核心,所有处理核心并行工作,当有新的报文到达***时,空闲的核心将会收取新报文并开始处理,从而使得众多报文在众多核心中并行被处理,从而保证了***的报文处理速度性能要求。
2-2控制管理组(11),由定时器处理模块和远程交互接口模块组成,其中的定时器处理模块负责接收***中由报文处理转发组设定的多个定时器的到时报告,并根据到时的定时器信息,清除对应的报文流和报文端到端信息表中的记录。
远程交互接口模块,负责接受特定格式的UDP报文,此类报文的负载部分带有相关控制信息,此类控制信息由一个命令字和若干个参数值组成,根据不同的命令字和参数值,调用控制核心模块完成***控制操作。
2-3本地控制组(9),包括本地接口模块和与远程控制组共用的控制核心模块,本地接口模块通过串口设备接收本地输入命令,调用核心控制模块完成***控制操作,并通过串口设备输出命令执行结果。
上述控制管理组和本地控制组都共用的一个控制核心模块,该模块是实际执行完成各类***参数设置、***状态反馈等操作的核心模块,并可被其他模块调用。
2-4报文重组组(10),接收分片的IP报文,并将属于同一IP报文的多个分片重组,并 将重组后的报文提交给报文处理转发组。
众核网络处理器的众多核心分别位于上述不同的工作组中,并可在部署单元的配置文件中指派各个核心的工作组,同时,在***运行时,也可通过部署单元的状态监控与管理接口使各个核心在不同工作组中转移,动态调整各工作组中核心数量,满足不同的网络状况需求。
上述报文处理转发组和控制管理组,会共用报文流和报文端到端信息表,且报文处理转发组会使用定时器(14)与控制管理组交互。报文流信息表,记录的是源IP和源端口的组合,代表了某一主机发出的某种网络业务;报文端到端信息表,记录的是源IP和目的IP的组合,代表了网络中两台主机的通信。图2所示的是***利用上述的报文流信息表、报文端到端信息表和定时器,实现的基于流的过滤和基于端到端的监控的功能。在某一个数据包发生敏感信息匹配后,对于一段时间内的后续流量,***将可拦截过滤所有与敏感信息数据包的同一源主机发出的同一网络业务的流量,同时转发并监控产生敏感信息通信的两台主机的之间的所有网络业务的流量;在设定的时间到时后,控制管理组负责清楚两个信息表中的相关记录,以免影响后续网络流量。
Claims (9)
1.一种基于众核网络处理器并可快速部署的数据包检测监控***,其中包括:
部署单元,用于配置、编译、部署运行于众核网络处理器单元上的程序并监控众核网络处理器单元运行状态;
众核网络处理器单元,作为带有多个核心的网络处理器,负责对流入该单元的数据包进行深度报文检测并根据检测结果采取不同的报文转发策略;
其中,所述的部署单元包括:
操作***,支持编译环境以及各类配置、部署和管理工具的运行;
程序编译环境,提供编译器、加载库、第三方工具等,支持编译得到可运行于众核网络处理器上的程序;
程序配置文件,包括参数设定文件和待检测模式表达式集合文件,参数设定文件用于设定程序初始运行的工作状态,待检测模式表达式集合文件含有预先定义的模式集合,众核网络处理器单元将根据这些模式集合判定流入的数据报文的转发策略;
程序部署接口,提供相关工具帮助将可执行的程序加载到众核网络处理器单元的程序加载位置和启动众核网络处理器单元;
状态监控和管理接口,提供相关工具帮助监控众核网络处理器单元的运行状态、获得运行时信息、运行时配置管理众核处理器单元并在众核网络处理器单元出错时重置众核网络处理器单元;
所述的众核网络处理器单元中,多个核心工作在不同的工作组,执行不同的工作逻辑,包括:
控制管理组,负责接收远程的控制报文并根据报文内容做出相应管理动作;
报文处理转发组,负责收取流入***的数据报文并进行深度数据包检测,根据检测结果采取不同的转发策略将报文发出;
报文重组组,负责收取网络层出现分片的报文,将同一报文的多个分片重组后,再进行报文检测和转发;
本地控制组,通过处理器串口部件接收控制命令,并根据不同命令采取不同控制动作;
硬件模式匹配DFA单元,用于快速地进行敏感信息匹配检测;
定时器单元,用于实现基于流的过滤和基于端到端的监控功能。
2.根据权利要求1所述的一种基于众核网络处理器并可快速部署的数据包检测监控***,其特征是,所述的部署单元的程序配置文件,以键值对的形式保存有各个参数的设置值,在程序编译时,编译工具根据该文件中的设置值,设定程序的初始化代码,保证程序运行时相关参数初始值即为配置文件所设置。
3.根据权利要求1所述的一种基于众核网络处理器并可快速部署的数据包检测监控***,其特征是,部署单元的程序部署接口可提供自动化工具,自动将编译完成的程序正确地载入众核网络处理器单元并使众核网络处理器单元启动运行,在该工具执行之后,众核网络处理器即正常启动并开始正常工作。
4.根据权利要求1所述的一种基于众核网络处理器并可快速部署的数据包检测监控***,其特征是,部署单元的状态监控和管理接口提供自动化工具,自动与众核网络处理器单元交互获取众核网络处理器单元的运行状态信息,并能正确捕获众核网络处理器单元运行发生的错误,在众核网络处理器单元发生错误时自动地调用程序部署接口重置众核网络处理器单元。
5.根据权利要求1所述的一种基于众核网络处理器并可快速部署的数据包检测监控***,其特征是,众核网络处理器单元的控制管理组和报文处理转发组公用一个报文流记录表和报文端到端记录表,报文流记录表中记录的是发生匹配的报文所带有的源IP地址和源端口号的组合;报文端到端记录表中记录的是发生匹配的报文所带有的源IP地址和目的IP地址的组合。
6.根据权利要求1所述的一种基于众核网络处理器并可快速部署的数据包检测监控***,其特征是,众核网络处理器单元的包括控制管理组和本地控制组,作为单元的管理组件,其中,控制管理组包括定时器处理模块,负责接收***中由报文处理转发组设定的多个定时器的到时报告,并根据到时的定时器信息,清除对应的报文流和报文端到端信息表中的记录。控制管理组还包括远程交互接口模块,负责接受特定格式的UDP报文,此类报文的负载部分带有相关控制信息,此类控制信息由一个命令字和若干个参数值组成,根据不同的命令字和参数值,调用控制核心模块完成***控制操作。
本地控制组的本地接口模块通过串口设备接收本地输入命令,调用核心控制模块完成***控制操作,并通过串口设备输出命令执行结果。
7.根据权利要求1所述的一种基于众核网络处理器并可快速部署的数据包检测监控***,其特征是,众核网络处理器单元的报文处理转发组包括:
数据包预处理模块:负责接收流入***的数据包,并将带有特殊控制格式的UDP报文发送给控制管理组,将分片报文发送给报文重组组,将普通IP报文送往数据包检测分析模块;
数据包检测分析模块:负责将数据包送交众核网络处理器上的模式匹配硬件单元进行匹配检查,分析模式匹配检查操作操作结果,并将分析结论送交数据包转发模块,其结论包括:
(1)命中过滤:该数据包在模式匹配中发生命中;
(2)同一流命中:该数据包在模式匹配中未发生命中,但在该数据包流入***之前一段时间内,流入***的、与该数据包带有同一源IP地址和源端口号的数据包发生过模式匹配命中;
(3)同一端到端命中:该数据包在模式匹配中位发生命中,但在该数据包流入***之前一段时间内,流入***的、与该数据包带有同一源IP地址和同一目的IP地址的数据包发生过模式匹配命中;
(4)未命中:该数据包在模式匹配中未发生命中,且在该数据包流入***之前一段时间内,流入***的、与该数据包带有同一源IP地址和源端口号的数据包未发生过模式匹配命中,且在该数据包流入***之前一段时间内,流入***的、与该数据包带有同一源IP地址和目的IP地址的数据包未发生过模式匹配命中;
数据包转发模块:负责根据数据包检测分析模块的分析结论,对相应的数据包采取不同的转发策略,包括:
(1)命中过滤:将数据包转发至预先设定的过滤用端口,设定报文流和报文端到端信息表,并设定定时器;
(2)同一流命中:将数据包转发至预先设定的过滤用端口;
(3)同一端到端命中:将数据包同时转发至预先设定的正常转发端口和预先设定的过滤用端口;
(4)未命中:将数据包转发至预先设定的正常转发端口。
8.根据权利要求1所述的一种基于众核网络处理器并可快速部署的数据包检测监控***,其特征是,众核网络处理器单元的报文重组组能够接收分片的IP报文,并将属于同一IP报文的多个分片重组,并将重组后的报文提交给报文处理转发组。
9.根据权利要求1所述的一种基于众核网络处理器并可快速部署的数据包检测监控***,其特征是,众核网络处理器单元的众多核心分别位于不同的工作组中,并可在部署单元的配置文件中指派各个核心的工作组,同时,在***运行时,也可通过部署单元的状态监控与管理接口使各个核心在不同工作组中转移,动态调整各工作组中核心数量。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310598644.0A CN103618641B (zh) | 2013-11-25 | 2013-11-25 | 一种基于众核网络处理器并可快速部署的数据包检测监控*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310598644.0A CN103618641B (zh) | 2013-11-25 | 2013-11-25 | 一种基于众核网络处理器并可快速部署的数据包检测监控*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103618641A true CN103618641A (zh) | 2014-03-05 |
CN103618641B CN103618641B (zh) | 2017-01-11 |
Family
ID=50169345
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310598644.0A Active CN103618641B (zh) | 2013-11-25 | 2013-11-25 | 一种基于众核网络处理器并可快速部署的数据包检测监控*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103618641B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104375868A (zh) * | 2014-11-26 | 2015-02-25 | 浪潮(北京)电子信息产业有限公司 | 一种适用于海量存储***快速部署的方法和设备 |
CN104102579B (zh) * | 2014-06-30 | 2017-07-28 | 重庆邮电大学 | 一种基于多核或众核嵌入式处理器的网络测量***及方法 |
CN107241305A (zh) * | 2016-12-28 | 2017-10-10 | 神州灵云(北京)科技有限公司 | 一种基于多核处理器的网络协议分析***及其分析方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101488946A (zh) * | 2008-01-16 | 2009-07-22 | 华为技术有限公司 | 报文检测方法及*** |
US20100172257A1 (en) * | 2009-01-05 | 2010-07-08 | Shaohua Yu | Internet Real-Time Deep Packet Inspection and Control Device and Method |
CN102497297A (zh) * | 2011-12-13 | 2012-06-13 | 曙光信息产业(北京)有限公司 | 基于多核多线程的深度报文检测技术的实现***和方法 |
CN103281158A (zh) * | 2013-05-13 | 2013-09-04 | 昊优明镝(天津)科技有限公司 | 深度网络通信粒度检测方法及其检测设备 |
-
2013
- 2013-11-25 CN CN201310598644.0A patent/CN103618641B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101488946A (zh) * | 2008-01-16 | 2009-07-22 | 华为技术有限公司 | 报文检测方法及*** |
US20100172257A1 (en) * | 2009-01-05 | 2010-07-08 | Shaohua Yu | Internet Real-Time Deep Packet Inspection and Control Device and Method |
CN102497297A (zh) * | 2011-12-13 | 2012-06-13 | 曙光信息产业(北京)有限公司 | 基于多核多线程的深度报文检测技术的实现***和方法 |
CN103281158A (zh) * | 2013-05-13 | 2013-09-04 | 昊优明镝(天津)科技有限公司 | 深度网络通信粒度检测方法及其检测设备 |
Non-Patent Citations (1)
Title |
---|
万志涛等: "基于多核处理器的深度包检测的实现和性能评估", 《2009年信息通信网络技术委员会年会征文》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104102579B (zh) * | 2014-06-30 | 2017-07-28 | 重庆邮电大学 | 一种基于多核或众核嵌入式处理器的网络测量***及方法 |
CN104375868A (zh) * | 2014-11-26 | 2015-02-25 | 浪潮(北京)电子信息产业有限公司 | 一种适用于海量存储***快速部署的方法和设备 |
CN104375868B (zh) * | 2014-11-26 | 2018-05-18 | 浪潮(北京)电子信息产业有限公司 | 一种适用于海量存储***快速部署的方法和设备 |
CN107241305A (zh) * | 2016-12-28 | 2017-10-10 | 神州灵云(北京)科技有限公司 | 一种基于多核处理器的网络协议分析***及其分析方法 |
Also Published As
Publication number | Publication date |
---|---|
CN103618641B (zh) | 2017-01-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100471139C (zh) | 一种网络测试的***和方法 | |
CN110401581B (zh) | 基于流量追溯的工控协议模糊测试用例生成方法 | |
CN102638453B (zh) | 一种基于Linux***服务器的语音数据内核转发方法 | |
CN103491575A (zh) | 会话感知GTPv1负载平衡 | |
CN100466563C (zh) | 无网管接口的数据业务***的集中监控方法 | |
CN105989539A (zh) | 一种金融交易行情获取***以及获取方法 | |
CN103067218B (zh) | 一种高速网络数据包内容分析装置 | |
WO2011134739A1 (en) | Method for searching for message sequences, protocol analysis engine and protocol analyzer | |
CN103200190A (zh) | 一种面向QualNet网络半实物仿真的实物接入方法 | |
CN109271793A (zh) | 物联网云平台设备类别识别方法及*** | |
CN107947994B (zh) | 网络拓扑自发现方法、装置、网络设备及计算机存储介质 | |
CN102387045A (zh) | 嵌入式p2p流量监控***及方法 | |
CN104539483A (zh) | 网络测试*** | |
CN103078791A (zh) | Oam报文处理方法、设备及*** | |
CN102469045B (zh) | 一种提升web安全网关并发性能的方法 | |
CN106411863A (zh) | 一种实时处理虚拟交换机网络流量的虚拟化平台 | |
CN104243230A (zh) | 一种获取Linux服务器中监控数据的方法和装置 | |
CN103618641A (zh) | 一种基于众核网络处理器并可快速部署的数据包检测监控*** | |
CN101668036A (zh) | 分布式设备的模拟***和模拟分布式设备处理业务的方法 | |
CN102104609B (zh) | 一种网络协议安全缺陷分析方法 | |
CN110708209B (zh) | 虚拟机流量采集方法、装置、电子设备及存储介质 | |
CN101753456A (zh) | 一种对等网络流量检测方法及其*** | |
CN107317810A (zh) | 一种数据拦截方法及装置 | |
CN101753372B (zh) | 承载网路由设备的检测方法及装置 | |
CN110493210A (zh) | 一种基于sdn的可配置网络安全实验*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |