[发明专利]一种基于DPDK的用户空间内数据包快速检测方法

说明书

本发明公开了一种基于DPDK的用户空间内数据包快速检测方法。包括以下几个步骤：A、从网卡接收数据流，对网卡多队列进行配置，将队列与指定的CPU逻辑核进行绑定，数据包将绕过linux内核转移到DPDK提供的用户空间中；B、在DPDK提供的用户空间中进行数据包的处理，具体是：B1、将数据帧进行剥离，直至到应用层；B2、分析HTTP报文特征，比对各个应用层各种应用的特征进行分类识别；C、最后，记录分类结果，检测完成。

技术领域

本发明属于信息安全领域，具体是一种基于DPDK的用户空间内数据包快速检测方法。

背景技术

现如今4G网络以及计算机网络用户的数量急剧攀升，各类智能移动终端的使用使得核心网出入口流量出现爆发式的增长。网络流量记录了当前网络的运行状况，所以对网络流量的分析有助于网络管理人员进行网络性能的测试，并跟据测试的结果依次进行网络架构的优化、发现异常流量、排除网络故障的过程，最后采取相应的管控措施。

新的网络形势下，面对大量高速高吞吐量的网络环境，基于传统操作系统内核的数据采集机制在丢包率以及吞吐量方面已经难以匹配现有的需求。在当前高速网络环境中，高性能系统需要在极其有限的时间内成功地收集和处理大量数据，因此如何高效、完整、快速捕获数据包，是准确分析网络数据的基础以及进行下一步管控的关键。

DPDK即英特尔数据面开发套件，是基于x86平台开发专为报文快速处理而提供的一系列库和驱动的集合。DPDK通过环境抽象层提供数据面功能以取代内核的系统调用，使用UIO机制使网卡驱动程序运行在用户态，绕开内核网络协议栈。采用轮询和零拷贝技术从网卡收取报文，并且使用大页和CPU亲和机制提高应用程序处理报文的性能，由此可以节约开销，达到提高数据包处理性能的要求。

发明内容

本发明的目的是提出一种基于DPDK的用户空间内数据包快速检测方法，利用DPDK的优化方法，把网卡接收到的数据包转移到DPDK提供的用户空间中，在用户空间进行数据包的处理。处理过程绕过了linux内核中网络协议栈的处理，省去了频繁的系统调用和内存拷贝，网卡收到的数据包直接复制到用户空间，在用户空间进行数据包的处理。为了实现对数据包的检测，需要深入到数据帧的应用层，以区分不同应用的数据。

为了实现上述目的，本发明采用如下的技术方案：

一种基于DPDK的用户空间内数据包快速检测方法，

A、从网卡接收数据流，对网卡多队列进行配置，将队列与指定的CPU逻辑核进行绑定，数据包将绕过linux内核转移到DPDK提供的用户空间中；利用DPDK提供的用户空间机制，在用户层进行数据包的处理；

B、在DPDK提供的用户空间中进行数据包的处理，具体是：

B1、将数据帧进行剥离，直至到应用层；

B2、分析HTTP报文特征，比对各个应用层各种应用的特征进行分类识别；

C、最后，记录分类结果，检测完成。

所述的步骤A具体包括：

预处理数据包，当数据包到达网卡时，接收所有经过网卡的数据包，将网卡设置为混杂模式，同时开启网卡的硬件卸载功能，提前在硬件上进行TCP组包，将多个TCP分片进行处理聚合成一个大的分片，数据包预处理之后分配接收队列；所述分配接收队列的方法包括：

A1、查询系统所包含的可用的逻辑核数目，记录此核数，根据现存的处理器核数和网卡队列数，配置网卡的接收队列；

A2、配置一个控制报文队列，使此队列与大量的数据包处理进行区分隔离，以方便使用单独的核来处理；

A3、按照负载均衡原则，将其余数据流量平均分配到其余的队列中；