太阳城集团

  • / 21
  • 下载费用:30 金币  

数据包转发和安全防护检测系统、负载均衡方法及装置.pdf

摘要
申请专利号:

太阳城集团CN201310753226.4

申请日:

2013.12.31

公开号:

CN103685321A

公开日:

2014.03.26

当前法律状态:

授权

有效性:

有权

法律详情: 授权|||实质审查的生效IPC(主分类):H04L 29/06申请日:20131231|||公开
IPC分类号: H04L29/06; H04L12/803(2013.01)I; G06F17/30 主分类号: H04L29/06
申请人: 北京神州绿盟太阳城集团安全科技股份有限公司; 北京神州绿盟科技有限公司
发明人: 彭权
地址: 100089 北京市海淀区北洼路4号益泰大厦三层
优先权:
专利代理机构: 北京同达信恒知识产权代理有限公司 11291 代理人: 黄志华
PDF完整版下载: PDF下载
法律状态
申请(专利)号:

太阳城集团CN201310753226.4

授权太阳城集团号:

||||||

法律状态太阳城集团日:

2016.09.14|||2014.04.23|||2014.03.26

法律状态类型:

授权|||实质审查的生效|||公开

摘要

本发明公开了数据包转发和安全防护检测系统,包括:数据包转发模块,多个安全引擎和与多个安全引擎一一对应的环形队列,其中:数据包转发模块包括包收取模块,包处理模块和包发送模块;安全引擎,用于从与自身对应的所述环形队列中获取待转发数据包;对待转发数据包进行安全防护检测;将携带有安全检测结果标识的待转发数据包放入与自身对应的环形队列中;环形队列,用于存储包处理模块发送的待转发数据包和与自身对应的安全引擎发送的携带有表示安全的安全检测结果标识的待转发数据包。采用本发明实施例提供的方案,提高了对数据包进行转发和安全防护检测的处理效率。

权利要求书

权利要求书
1.  一种数据包转发和安全防护检测系统,其特征在于,包括:数据包转发模块,多个安全引擎和与多个安全引擎一一对应的环形队列,其中:
所述数据包转发模块包括包收取模块,包处理模块和包发送模块;
所述包收取模块,用于接收多个待转发数据包;将多个所述待转发数据包发送给所述包处理模块;
所述包处理模块,用于接收所述包收取模块发送的多个所述待转发数据包;根据预设负载均衡算法,将所述待转发数据包发送给多个安全引擎中负载能力最强的安全引擎对应的环形队列;接收多个所述环形队列中携带有安全检测结果标识的所述待转发数据包;向所述包发送模块发送携带有表示安全的安全检测结果标识的待转发数据包;对携带有表示数据包有安全威胁的安全检测结果标识的待转发数据包进行丢弃或者阻断转发处理;
所述包发送模块,用于接收所述包处理模块发送的所述携带有表示安全的安全检测结果标识的待转发数据包;将所述携带有表示安全的安全检测结果标识的待转发数据包发送给接收端;
所述安全引擎,用于从与自身对应的所述环形队列中获取待转发数据包;对所述待转发数据包进行安全防护检测;将携带有安全检测结果标识的待转发数据包放入与自身对应的环形队列中;
所述环形队列,用于存储所述包处理模块发送的所述待转发数据包和与自身对应的所述安全引擎发送的携带有表示安全的安全检测结果标识的待转发数据包。

2.  如权利要求1所述的系统,其特征在于,所述包处理模块,具体用于对从所述包收取模块接收的多个所述待转发数据包进行底层协议安全防护检测;针对每个所述待转发数据包,当对该待转发数据包的检测结果为该待转发数据包安全时,根据预设负载均衡算法,将该待转发数据包发送给多个安全引擎中负载能力最强的安全引擎对应的环形队列;当对该待转发数据包的检测结 果为该待转发数据包有安全威胁时,将该待转发数据包丢弃或者阻断转发处理。

3.  如权利要求1所述的系统,其特征在于,还包括:配置解析模块,用于根据性能需求和处理器硬件制约条件设置所述数据包转发模块的线程个数和安全引擎的个数,对所述数据包转发模块和安全引擎进行初始化设置。

4.  如权利要求1所述的系统,其特征在于,所述配置解析模块,还用于根据已配置的所述安全引擎的个数,分别为每个安全引擎分配与自身对应的环形队列。

5.  一种负载均衡方法,其特征在于,应用于数据包转发和安全防护检测系统,所述数据包转发和安全防护检测系统包括:多个用于对数据包进行安全检测的安全引擎和与多个安全引擎一一对应的环形队列,所述环形队列用于存储与该环形队列对应的安全引擎将要进行检测的数据包;所述方法包括:
根据待转发数据包的源IP、目的IP和所述安全引擎的个数进行哈希运算,得到哈希运算结果;
确定是否存在与所述哈希运算结果对应的环形队列索引;
当存在与所述哈希运算结果对应的环形队列索引时,确定所述环形队列索引对应的安全引擎为将要对所述待转发数据包进行安全检测的安全引擎;
当不存在与所述哈希运算结果对应的环形队列索引时,从所述多个安全引擎中确定对所述待转发数据包进行安全检测的安全引擎,并建立所述哈希运算结果与确定的该安全引擎对应的环形队列索引之间的对应关系。

6.  如权利要求5所述的方法,其特征在于,当存在与所述哈希运算结果对应的环形队列索引时,确定所述环形队列索引对应的安全引擎为将要对所述待转发数据包进行安全检测的安全引擎,具体包括:
当存在与所述哈希运算结果对应的环形队列索引时,确定所述环形队列索引对应的安全引擎的负载权值是否不小于预设权值阈值,所述负载权值为基于所述安全引擎的工作状态、CPU占用率和获取的该安全引擎的当前数据处理流 量确定的,所述负载权值表示该安全引擎的当前数据包处理能力,所述当前数据处理流量表示该安全引擎当前单位太阳城集团内处理的数据包的流量;
当所述环形队列索引对应的安全引擎的负载权值不小于预设权值阈值时,确定该环形队列索引对应的安全引擎为将要对所述待转发数据包进行安全检测的安全引擎。

7.  如权利要求6所述的方法,其特征在于,还包括:
当所述环形队列索引对应的安全引擎的负载权值小于预设权值阈值时,确定所述环形队列索引对应的安全引擎的负载权值是否为零;
当所述环形队列索引对应的安全引擎的负载权值不为零时,确定除该环形队列索引对应的安全引擎以外的负载权值最大的安全引擎为将要对所述待转发数据包进行安全检测的安全引擎。

8.  如权利要求7所述的方法,其特征在于,还包括:
当所述环形队列索引对应的安全引擎的负载权值为零时,将已分发给该安全引擎的数据包标记为安全状态;或者
当所述环形队列索引对应的安全引擎的负载权值为零时,将已分发给该安全引擎的数据包分发给除该安全引擎以外的负载权值最大的安全引擎;或者
当所述环形队列索引对应的安全引擎的负载权值为零时,将已分发给该安全引擎的数据包平均分发给除该安全引擎以外的安全引擎。

9.  如权利要求6所述的方法,其特征在于,确定所述安全引擎的负载权值,具体包括:
每隔预设周期,基于所述安全引擎的工作状态、CPU占用率和获取的该安全引擎的当前数据处理流量确定所述安全引擎的负载权值。

10.  如权利要求5所述的方法,其特征在于,当不存在与所述哈希运算结果对应的环形队列索引时,从所述多个安全引擎中确定对所述待转发数据包进行安全检测的安全引擎,具体包括:
当不存在与所述哈希运算结果对应的环形队列索引时,从所述多个安全引 擎中确定负载权值最大的安全引擎为对所述待转发数据包进行安全检测的安全引擎,所述负载权值为基于所述安全引擎的工作状态、CPU占用率和获取的该安全引擎的当前数据处理流量确定的,所述负载权值表示该安全引擎的当前数据包处理能力,所述当前数据处理流量表示该安全引擎当前单位太阳城集团内处理的数据包的流量。

11.  如权利要求6-10任一所述的方法,其特征在于,针对每个安全引擎,基于该安全引擎的工作状态、CPU占用率和获取的该安全引擎的当前数据处理流量确定该安全引擎的负载权值,具体包括:
采用如下公式确定该安全引擎的负载权值:
F(i)=K×Q×[a×(1-Ci/Σi=1nCi)+b×(1-Si/Σi=1nSi)];]]>
其中,F(i)为第i个安全引擎的负载权值,K为常数,Q表示第i个安全引擎的工作状态,Q=0表示该安全引擎的工作状态为异常,Q=1表示该安全引擎的工作状态为正常,Ci为第i个安全引擎的CPU占用率,为各安全引擎的CPU占用率的和,Si为第i个安全引擎的当前数据处理流量,为各安全引擎的当前数据处理流量的和,n为所有安全引擎的个数,a,b为常数,a>b。

12.  一种负载均衡装置,其特征在于,应用于安全检测系统,所述安全检测系统包括:多个用于对数据包进行安全检测的安全引擎和与多个安全引擎一一对应的环形队列,所述环形队列用于存储与该环形队列对应的安全引擎将要进行检测的数据包;所述装置,包括:
运算单元,用于根据待转发数据包的源IP、目的IP和所述安全引擎的个数进行哈希运算,得到哈希运算结果;
索引确定单元,用于确定是否存在与所述哈希运算结果对应的环形队列索引;
第一确定单元,用于当存在与所述哈希运算结果对应的环形队列索引时, 确定所述环形队列索引对应的安全引擎为将要对所述待转发数据包进行安全检测的安全引擎;
第二确定单元,用于当不存在与所述哈希运算结果对应的环形队列索引时,从所述多个安全引擎中确定对所述待转发数据包进行安全检测的安全引擎,并建立所述哈希运算结果与确定的该安全引擎对应的环形队列索引之间的对应关系。

13.  如权利要求12所述的装置,其特征在于,所述第一确定单元,具体用于当存在与所述哈希运算结果对应的环形队列索引时,确定所述环形队列索引对应的安全引擎的负载权值是否不小于预设权值阈值,所述负载权值为基于所述安全引擎的工作状态、CPU占用率和获取的该安全引擎的当前数据处理流量确定的,所述负载权值表示该安全引擎的当前数据包处理能力,所述当前数据处理流量表示该安全引擎当前单位太阳城集团内处理的数据包的流量;当所述环形队列索引对应的安全引擎的负载权值不小于预设权值阈值时,确定该环形队列索引对应的安全引擎为将要对所述待转发数据包进行安全检测的安全引擎。

14.  如权利要求13所述的装置,其特征在于,还包括:
第三确定单元,用于当所述环形队列索引对应的安全引擎的负载权值小于预设权值阈值时,确定所述环形队列索引对应的安全引擎的负载权值是否为零;
第四确定单元,用于当所述环形队列索引对应的安全引擎的负载权值不为零时,确定除该环形队列索引对应的安全引擎以外的负载权值最大的安全引擎为将要对所述待转发数据包进行安全检测的安全引擎。

15.  如权利要求14所述的装置,其特征在于,还包括:
分发单元,用于当所述环形队列索引对应的安全引擎的负载权值为零时,将已分发给该安全引擎的数据包标记为安全状态;或者
当所述环形队列索引对应的安全引擎的负载权值为零时,将已分发给该安全引擎的数据包分发给除该安全引擎以外的负载权值最大的安全引擎;或者
当所述环形队列索引对应的安全引擎的负载权值为零时,将已分发给该安全引擎的数据包平均分发给除该安全引擎以外的安全引擎。

16.  如权利要求13所述的装置,其特征在于,所述第一确定单元,具体用于每隔预设周期,基于所述安全引擎的工作状态、CPU占用率和获取的该安全引擎的当前数据处理流量确定所述安全引擎的负载权值。

17.  如权利要求12所述的装置,其特征在于,所述第二确定单元,具体用于当不存在与所述哈希运算结果对应的环形队列索引时,从所述多个安全引擎中确定负载权值最大的安全引擎为对所述待转发数据包进行安全检测的安全引擎,所述负载权值为基于所述安全引擎的工作状态、CPU占用率和获取的该安全引擎的当前数据处理流量确定的,所述负载权值表示该安全引擎的当前数据包处理能力,所述当前数据处理流量表示该安全引擎当前单位太阳城集团内处理的数据包的流量。

18.  如权利要求13-17任一所述的装置,其特征在于,所述第一确定单元,具体用于采用如下公式确定所述安全引擎的负载权值:
F(i)=K×Q×[a×(1-Ci/Σi=1nCi)+b×(1-Si/Σi=1nSi)];]]>
其中,F(i)为第i个安全引擎的负载权值,K为常数,Q表示第i个安全引擎的工作状态,Q=0表示该安全引擎的工作状态为异常,Q=1表示该安全引擎的工作状态为正常,Ci为第i个安全引擎的CPU占用率,为各安全引擎的CPU占用率的和,Si为第i个安全引擎的当前数据处理流量,为各安全引擎的当前数据处理流量的和,n为所有安全引擎的个数,a,b为常数,a>b。

关 键 词:
数据包 转发 安全 防护 检测 系统 负载 均衡 方法 装置
  专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
太阳城集团本文
本文标题:数据包转发和安全防护检测系统、负载均衡方法及装置.pdf
链接地址:http://zh228.com/p-6180529.html
太阳城集团我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们

copyright@ 2017-2018 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备17046363号-1 
 


收起
展开
葡京赌场|welcome document.write ('');