[发明专利]一种实现网络内容特征搜索/分流及访问控制的处理装置

说明书

技术领域

本发明涉及网络安全领域，尤其是涉及一种对网络内容特征搜索/分流及访问控制的处理装置。

本发明应用于以太网网络中，尤其是千兆及多千兆的线速的处理敏感数据的传输系统中，在不影响原来以太网网络拓扑结构的前提下，实现对网络L2-L7层内容特征搜索、网络内容分流、访问控制及其处理等功能。

背景技术

以太网技术已经成为当今网络发展的主流，人们对网络通讯设备的需求已经不仅限于连接的实现，在要求网络高性能的同时，也逐渐开始注重网络的安全性。网络流的病毒过滤、内容特征搜索、入侵检查技术、入侵防御技术、针对网络特殊应用流的访问控制、统计等技术都应用到网络安全技术领域。这些应用，从网络数据流开始，都必不可少的完成如下功能：从传输的数据流进行内容还原、特征搜索、分流和访问控制及其处理等。

现有网络设备对网络数据流内容的处理能力非常低，所有的任务全部依赖CPU完成。在进行内容处理时，从包的流重组、碎片重组到数据还原，到数据流特征搜索，数据转发等所有工作全部由CPU承担，资源消耗全部集中到CPU，在面临网络上大流量以及大规模的规则查找比对时，会造成整个系统处理速度缓慢，从而导致网络性能严重下降甚至瘫痪。

发明内容

为了克服现有技术中存在的问题，本发明提出一种处理装置，通过所述装置对网络数据流内容进行特征搜索、分流和访问控制及其处理等操作，减少了对CPU的资源消耗，且所述装置的高速处理能力提高了系统的处理速度和性能。

本发明具体是这样实现的：

一种实现网络内容特征搜索/分流及访问控制的处理装置，包括：

本地CPU，

交换模块，

搜索引擎模块，

连接模块，

至少一个千兆接口；

所述本地CPU，通过PCI接口与交换模块相连，通过对数据的收发管理，完成本地管理；

所述交换模块，负责与其直接连接的搜索引擎模块和连接模块之间的数据交换；

所述连接模块，对来自交换模块的数据流进行维护与处理；

所述搜索引擎模块，对连接模块处理后的数据流进行内容特征搜索，将搜索结果发送给交换模块；

所述千兆接口，完成数据的接收、发送功能。

所述交换模块，对经过连接模块和搜索引擎模块处理后的数据，至少进行如下一种的处理方式：

丢弃；

重定向到CPU；

复制到CPU；

透传。

所述连接模块，对以太网数据流中的TCP数据流进行基于五元组为特征的连接表项维护，基于同一条TCP数据流的五元组是相同的，而相同五元组的TCP数据包都会命中同一条连接表项，从而实现对整条TCP数据流进行相同的处理。

所述搜索引擎模块的内容特征搜索具体实现步骤，

以字节为比较单元，搜索引擎模块将数据流分解为以字节为单位的字节流与规则库中的字节进行逐一比对，实现内容特征搜索。

所述千兆接口为三个；

所述千兆接口，以1000baseT接口方式完成对以太网数据包的接收和发送。

所述千兆接口，可以与远端的CPU进行以太网网络连接通讯，接收管理指令，完成远程管理。

本发明所述装置只把需要送CPU的数据或日志发送到CPU进行处理，不需要交付CPU处理的数据，利用所述装置对网络数据流进行内容还原，网络内容特征搜索，基于网络内容的分流访问控制及其处理等操作。这样的处理模式，减轻了CPU的处理负担，CPU需要处理的数据只是以前的5％-10％，大大降低其处理负荷，提高系统性能。通过本地CPU与其他模块的协作，极大的提高了系统对网络数据流的处理性能的同时，又保留其灵活性。

附图说明

图1为本发明所述装置的结构图；

图2为利用千兆接口实现远程管理的示意图；

图3为使用单CPU进行多台接口装置串联管理的示意图。

具体实施方式

下面结合附图对本发明所述装置进行详细描述。

如附图1所示，本发明所述装置由三个千兆接口、交换模块、连接模块、搜索引擎模块和本地CPU组成。网络数据流从三个千兆接口输入，经过交换逻辑送向连接模块，在连接模块中对网络数据流进行维护与处理，处理后的数据流再传送到搜索引擎模块中进行基于特征内容的搜索，两级处理完成后，再把连接处理结果和搜索处理结果传送回交换模块中，交换模块根据两级模块的处理结果对数据流进行综合处理。

上述装置中的各个模块的功能如下：