[发明专利]一种海量流量下报文识别的方法和装置

权利要求书

1.一种海量流量下报文识别的方法，其特征在于：

调用dpdk，分配CPU的常规业务处理核和特殊业务处理核；

加载监控策略规则文件和业务特征文件，将监控策略规则文件和业务特征文件转换为Hyperscan模式的规则数据库和业务特征数据库；

调用dpdk完成数据接入，根据Hyperscan的业务特征数据库和数据五元组hash值的key区分常规业务和特殊业务，将每个数据五元组放入相应CPU内核的数据队列；

从每个CPU内核的数据队列中逐个取出数据五元组进行解码，生成每个数据五元组对应的数据报文；

根据Hyperscan的规则数据库和业务数据库，使用相应的CPU内核分别对相应队列中的数据报文进行扫描匹配，获取恶意报文，并对恶意报文进行处理。

2.根据权利要求1所述的海量流量下报文识别的方法，其特征在于，所述将每个数据五元组放入相应CPU内核的数据队列，具体包括：

根据业务特征数据库生成hash表，hash表的key为特殊业务对应的hash值的key；

判断每个数据五元组hash值的key是否存在于hash表中；

若存在于hash表中，将数据五元组放入hash表中相应的位置，并放入特殊业务处理核的数据队列；

若不存在于hash表中，将数据五元组放入常规业务处理核的处理队列。

3.根据权利要求1所述的海量流量下报文识别的方法，其特征在于，所述使用相应的CPU内核分别对相应队列中的数据报文进行扫描匹配，还包括：

判断常规业务核上的每个业务报文的应用ID是否为特殊业务ID；

若是特殊业务ID，将数据报文的五元组信息、应用ID和预设特殊业务标识符重新组包，将组包后的数据放入特殊业务处理核的数据队列，由特殊业务处理核进行扫描匹配；

若不是特殊业务ID，由常规业务处理核进行扫描匹配。

4.根据权利要求1所述的海量流量下报文识别的方法，其特征在于，所述使用相应的CPU内核分别对相应队列中的数据报文进行扫描匹配，还包括：

若规则数据库或业务特征数据库的一条规则同时包含多个并列的五元组特征和字符串特征，对规则中的数据报文的五元组特征和字符串特征进行并行扫描，再对扫描结果进行整合；

或，若规则数据库或业务特征数据库的规则包括多重限定，依次对数据报文的五元组特征和字符串特征进行串行扫描。

5.根据权利要求1所述的海量流量下报文识别的方法，其特征在于，所述分配CPU的常规业务处理核和特殊业务处理核之后，还包括：

配置报文的收包端口和发送端口，配置CPU的收包核、常规业务处理核、特殊业务处理核和数据转发核，配置内存通道的数量；

为每个CPU内核申请用于接收报文数据包和将报文发送到业务处理核的ring，以及一个用于发送数据包的ring，并初始化各ring；

建立内存池、ring和DMA之间的映射关系；

启动配置后的各端口和ring。

6.根据权利要求1所述的海量流量下报文识别的方法，其特征在于，所述从每个CPU内核的数据队列中逐个取出数据五元组进行解码，具体包括：

根据数据五元组中的协议层级，按照先序遍历的方式构建树结构，其中，树的层级与协议层级一致，树的每一个节点为一个协议节点；

构建树结构的同时，对树的每一个节点进行解码。

7.根据权利要求1所述的海量流量下报文识别的方法，其特征在于，所述从每个CPU内核的数据队列中逐个取出数据五元组进行解码之后，还包括：

判断数据五元组是否有对应的会话；

若没有对应的会话，创建对应的会话，加入会话hash表中，并提交超时；

若存在相应的会话，更新对应的会话hash节点，并判断会话是否结束。