CN106301992B - 一种攻击报文检测方法及设备 - Google Patents
一种攻击报文检测方法及设备 Download PDFInfo
- Publication number
- CN106301992B CN106301992B CN201510324859.2A CN201510324859A CN106301992B CN 106301992 B CN106301992 B CN 106301992B CN 201510324859 A CN201510324859 A CN 201510324859A CN 106301992 B CN106301992 B CN 106301992B
- Authority
- CN
- China
- Prior art keywords
- message
- detected
- node
- computing node
- master computing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本申请公开了一种攻击报文检测方法,预先在计算设备中设置并行计算能力以及并发处理能力高于主计算节点的从计算节点,在接收到待检测报文后,根据待检测报文的属性信息判断是否需要将待检测报文上报主计算节点,基于判断结果以及分别为主计算节点和从计算节点设置的负载阈值将待检测报文上报至主计算节点或是发送至从计算节点。从而在能够实现针对攻击报文检测的前提下,减少了硬件成本,提高针对报文攻击的适应性,保障网络的稳定性。
Description
技术领域
本申请涉及通信技术领域,特别涉及一种攻击报文检测方法。本申请同时还涉及攻击报文检测设备。
背景技术
随着电脑的广泛应用和网络的不断普及,来自网络内部和外部的危险和犯罪也日益增多。用户打开带有病毒的电子信函附件就可能会触发附件所带的病毒。为了能够是降低攻击的影响以及保证业务系统的连续性和可用性,如何能够有效检测到各种类型的攻击变得愈发重要。作为电脑网络安全设施,IPS(Intrusion Prevention System,入侵防御系统)是对现有的防病毒软件和防火墙在安全上的补充。在实际应用过程中,入侵预防系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
如图1所示,为传统IPS设备的组网拓扑图,现有的IPS通过直接嵌入到网络流量中实现安全检测的功能,具体地,IPS首先通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包以及所有来自同一数据流的后续数据包都能在IPS设备中被清除掉。因为其所处的重要位置和对性能的苛刻要求,因此一般都会采用ASIC(Application-specific integrated circuit,专用集成电路)芯片来处理这些网络数据包请求。具体的处理流程如图2所示,包括如下步骤:
步骤201,将报文根据头部信息和流信息进行分类。
步骤202,根据报文的分类,使用对应的过滤器进行检查。
步骤203,过滤器并行处理数据包,查找符合过滤器要求的数据包。并标记为命中。
步骤204,如果被标记为命中,则丢弃该数据包并将流状态信息更新,指示系统删除或丢弃该类型的数据包。
根据以上流程可知,IPS能够实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,从而能够防止各种网络报文的攻击。也正因为对性能的高速需求,传统IPS设备会采用ASIC芯片作为处理核心。也只有集合了流水和大规模并行处理硬件的过滤器引擎,才能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统,尽最大可能减少因检查带来的网络延时。
在实现本申请的过程中,发明人发现现有技术存在以下技术问题:
(1)现有技术中都是将ASIC芯片作为计算节点针对攻击报文进行检测,并且处理流程是机械且固定的。如果不法份子采用新型的攻击或者利用可绕过的BUG的话,很容易就能够使当前的攻击报文检测设备(例如IPS设备)失效。
(2)现有针对攻击报文进行检测的设备在扩展性上往往受到当前设备计算节点的限制,因此目前对网络数据包处理的局限性非常大。例如,现有的IPS处理流程依赖于ASIC芯片,如果不对ASIC芯片进行更新,IPS处理将难以适应层出不穷的报文攻击;
(3)现有的攻击报文检测设备基本都是IPS处理设备,而IPS处理设备在市场上的成品价格非常高,对于一般的用户来说其成本难以承受。
由此可见,如何能够在减少硬件成本消耗的前提下,如何高效对攻击报文进行检测,并提高针对攻击方式的适应性,成为本领域技术人员亟待解决的技术问题。
发明内容
有鉴于背景技术中的问题,本申请提出了一种攻击报文检测方法,用以在降低硬件耗费成本的前提下,对攻击报文进行检测,并提高针对不同攻击方式的适应性。该方法所述方法应用于包括主计算节点以及从计算节点的计算设备中,所述从计算节点的并行计算能力以及并发处理能力高于所述主计算节点,该方法包括:
接收待检测报文;
根据所述待检测报文的属性信息判断是否需要将所述待检测报文上报所述主计算节点;
若需要将所述待检测报文上报所述主计算节点,且所述主计算节点当前的负载未超过为所述主计算节点设置的第一负载阈值,将所述待检测报文上报至所述主计算节点,由所述主计算节点根据所述属性信息以及自身的过滤器规则确认所述待检测报文是否为攻击报文;
若不需要将所述待检测报文上报所述主计算节点,且所述从计算节点当前的负载未超过为所述从计算节点设置的第二负载阈值,将所述待检测报文发送至所述从计算节点,由所述从计算节点根据所述属性信息以及所述主计算节点下发的过滤器规则确认所述待检测报文是否为攻击报文。
优选地,在接收所述待检测报文之前,还包括:
将所述计算设备中用于检测攻击报文的处理单元划分为主计算节点以及从计算节点;
为所述主计算节点设置所述第一负载阈值,以及为所述从计算节点设置所述第二负载阈值。
优选地,若所述主计算节点当前的负载超所述第一负载阈值,将需要上报所述主计算节点的待检测报文发送至当前与所述计算设备的互为备份的其他计算设备;若所述从计算节点当前的负载超过所述第二负载阈值,将需要发送至所述从计算节点的待检测报文发送至当前与所述计算设备的互为备份的其他计算设备。
优选地,所述从计算节点为相对于所述主计算节点的异构计算节点,在接收所述待检测报文之前,还包括:
读取预设于所述主计算节点的所述过滤器规则;
将所述过滤器规则下发至所述从计算节点进行适配;
对所述计算设备的线路以及端口进行初始化配置,并在所述初始化配置完成后配置网卡直接内存存取DMA、远程直接数据存取RDMA映射以及与所述从计算节点对应的DMA。
优选地,将所述待检测报文发送至所述从计算节点,具体为:
根据与所述从计算节点对应的DMA为所述待检测报文设置DMA标签,所述DMA标签用于指示将所述待检测报文发送至所述从计算节点。
优选地,在接收所述待检测报文后,还包括:
根据预设的负载均衡策略确定是否需要将所述待检测报文转发至当前与所述计算设备的互为备份的其他计算设备;
若是,根据所述RDMA映射将所述待检测报文转发至当前与所述计算设备的互为备份的其他计算设备;
若否,根据所述待检测报文的属性信息判断是否需要将所述待检测报文上报所述主计算节点。
优选地,所述主计算节点具体为中央处理器CPU,所述从计算节点具体为图形处理器GPU。
相应地,本申请还提出了一种攻击报文检测方法,所述方法应用于计算设备中的主计算节点,所述计算设备还包括从计算节点,所述从计算节点的并行计算能力以及并发处理能力高于所述主计算节点,该方法包括:
接收待检测报文,所述待检测报文是在根据其中携带的属性信息确认需要上报所述主计算节点且所述主计算节点当前的负载未超过为所述主计算节点设置的负载阈值之后上报至所述主计算节点的;
根据所述属性信息以及自身的过滤器规则确认所述待检测报文是否为攻击报文。
优选地,所述属性信息中包含所述待检测报文的目的地址信息,还包括:
若所述待检测报文为攻击报文,将所述攻击报文上报所述主计算节点,以使所述主计算节点对所述攻击报文进行处理;
若所述待检测报文非攻击报文,将所述待检测报文发送至与所述待检测报文的属性信息中的目的地址信息对应的设备。
优选地,所述从计算节点为相对于所述主计算节点的异构计算节点,在接收所述待检测报文之前,还包括:
读取预设于所述主计算节点的所述过滤器规则;
将所述过滤器规则下发至所述从计算节点进行适配;
对所述计算设备的线路以及端口进行初始化配置,并在所述初始化配置完成后配置网卡直接内存存取DMA、远程直接数据存取RDMA映射以及与所述从计算节点对应的DMA。
优选地,所述主计算节点具体为中央处理器CPU,所述从计算节点具体为图形处理器GPU。
相应地,本申请还提出了一种攻击报文检测方法,所述方法应用于计算设备中的从计算节点,所述计算设备还包括主计算节点,所述从计算节点的并行计算能力以及并发处理能力高于所述主计算节点,该方法包括:
接收待检测报文,所述待检测报文是在根据其中携带的属性信息确认不需要上报所述主计算节点且所述从计算节点当前的负载未超过为所述从计算节点设置的负载阈值之后发送至所述从计算节点的;
根据所述属性信息以及所述主计算节点下发的过滤器规则确认所述待检测报文是否为攻击报文。
优选地,所述属性信息中包含所述待检测报文的目的地址信息,还包括:
若所述待检测报文为攻击报文,将所述攻击报文上报所述主计算节点,以使所述主计算节点对所述攻击报文进行处理;
若所述待检测报文非攻击报文,将所述待检测报文发送至与所述待检测报文的属性信息中的目的地址信息对应的设备。
优选地,所述从计算节点为相对于所述主计算节点的异构计算节点,在接收所述待检测报文之前,还包括:
接收由所述主计算节点下发的过滤器规则,所述过滤器规则预设于所述主计算节点中并由所述主计算节点读取。
优选地,所述主计算节点具体为中央处理器CPU,所述从计算节点具体为图形处理器GPU。
相应地,本申请还提出了一种攻击报文检测设备,应用于包括主计算节点以及从计算节点的计算设备中,所述从计算节点的并行计算能力以及并发处理能力高于所述主计算节点,该设备包括:
接收模块,用于接收待检测报文;
判断模块,用于根据所述待检测报文的属性信息判断是否需要将所述待检测报文上报所述主计算节点;
上报模块,用于在需要将所述待检测报文上报所述主计算节点且所述主计算节点当前的负载未超过为所述主计算节点设置的第一负载阈值时,将所述待检测报文上报至所述主计算节点,由所述主计算节点根据所述属性信息以及自身的过滤器规则确认所述待检测报文是否为攻击报文;
发送模块,用于在不需要将所述待检测报文上报所述主计算节点且所述从计算节点当前的负载未超过为所述从计算节点设置的第二负载阈值时,将所述待检测报文发送至所述从计算节点,由所述从计算节点根据所述属性信息以及所述主计算节点下发的过滤器规则确认所述待检测报文是否为攻击报文。
优选地,所述属性信息中包含所述待检测报文的目的地址信息,还包括:
若所述待检测报文为攻击报文,所述上报模块将所述攻击报文上报所述主计算节点,以使所述主计算节点对所述攻击报文进行处理;
若所述待检测报文非攻击报文,所述发送模块将所述待检测报文发送至与所述待检测报文的属性信息中的目的地址信息对应的设备。
优选地,还包括:
若所述主计算节点当前的负载超所述第一负载阈值,所述上报模块将需要上报所述主计算节点的待检测报文发送至当前与所述计算设备的互为备份的其他计算设备;
若所述从计算节点当前的负载超过所述第二负载阈值,所述发送模块将需要发送至所述从计算节点的待检测报文发送至当前与所述计算设备的互为备份的其他计算设备。
优选地,所述从计算节点为相对于所述主计算节点的异构计算节点,所述设备还包括:
读取模块,用于读取预设于所述主计算节点的所述过滤器规则;
适配模块,用于将所述过滤器规则下发至所述从计算节点进行适配;
配置模块,用于对所述计算设备的线路以及端口进行初始化配置,并在所述初始化配置完成后配置网卡直接内存存取DMA、远程直接数据存取RDMA映射以及与所述从计算节点对应的DMA。
优选地,将所述待检测报文发送至所述从计算节点,具体为:
根据与所述从计算节点对应的DMA为所述待检测报文设置DMA标签,所述DMA标签用于指示将所述待检测报文发送至所述从计算节点。
优选地,所述设备还包括:
负载均衡模块,用于根据预设的负载均衡策略确定是否需要将所述待检测报文转发至当前与所述计算设备的互为备份的其他计算设备;
若是,所述负载均衡模块根据所述RDMA映射将所述待检测报文转发至当前与所述计算设备的互为备份的其他计算设备;
若否,所述负载均衡模块根据所述待检测报文的属性信息判断是否需要将所述待检测报文上报所述主计算节点。
优选地,所述设备还包括设置模块,用于将所述计算设备中用于检测攻击报文的处理单元划分为主计算节点以及从计算节点,并为所述主计算节点设置所述第一负载阈值,以及为所述从计算节点设置所述第二负载阈值。
优选地,所述主计算节点具体为中央处理器CPU,所述从计算节点具体为图形处理器GPU。
相应地,本申请还提出了一种攻击报文处理设备,作为主计算节点应用于计算设备中,其特征在于,所述计算设备还包括从计算节点,所述从计算节点的并行计算能力以及并发处理能力高于所述主计算节点,该设备包括:
接收模块,用于接收待检测报文,所述待检测报文是在根据其中携带的属性信息确认需要上报所述主计算节点且所述主计算节点当前的负载未超过为所述主计算节点设置的负载阈值之后上报至所述主计算节点的;
确定模块,用于根据所述属性信息以及自身的过滤器规则确认所述待检测报文是否为攻击报文。
优选地,所述属性信息中包含所述待检测报文的目的地址信息,还包括:
若所述待检测报文为攻击报文,所述确定模块将所述攻击报文上报所述主计算节点,以使所述主计算节点对所述攻击报文进行处理;
若所述待检测报文非攻击报文,所述确定模块将所述待检测报文发送至与所述待检测报文的属性信息中的目的地址信息对应的设备。
优选地,所述从计算节点为相对于所述主计算节点的异构计算节点,所述设备还包括:
读取模块,用于读取预设于所述主计算节点的所述过滤器规则;
下发模块,用于将所述过滤器规则下发至所述从计算节点进行适配;
配置模块,用于对所述计算设备的线路以及端口进行初始化配置,并在所述初始化配置完成后配置网卡直接内存存取DMA、远程直接数据存取RDMA映射以及与所述从计算节点对应的DMA。
优选地,所述主计算节点具体为中央处理器CPU,所述从计算节点具体为图形处理器GPU。
相应地,本申请还提出了一种攻击报文检测设备,作为从计算节点应用于计算设备中,其特征在于,所述计算设备还包括主计算节点,所述从计算节点的并行计算能力以及并发处理能力高于所述主计算节点,该设备包括:
接收模块,接收待检测报文,所述待检测报文是在根据其中携带的属性信息确认不需要上报所述主计算节点且所述从计算节点当前的负载未超过为所述从计算节点设置的负载阈值之后发送至所述从计算节点的;
确定模块,用于根据所述属性信息以及所述主计算节点下发的过滤器规则确认所述待检测报文是否为攻击报文。
优选地,所述属性信息中包含所述待检测报文的目的地址信息,还包括:
若所述待检测报文为攻击报文,所述确定模块将所述攻击报文上报所述主计算节点,以使所述主计算节点对所述攻击报文进行处理;
若所述待检测报文非攻击报文,所述确定模块将所述待检测报文发送至与所述待检测报文的属性信息中的目的地址信息对应的设备。
优选地,所述从计算节点为相对于所述主计算节点的异构计算节点,所述接收模块还用于接收由所述主计算节点下发的过滤器规则,所述过滤器规则预设于所述主计算节点中并由所述主计算节点读取。
优选地,所述主计算节点具体为中央处理器CPU,所述从计算节点具体为图形处理器GPU。
由此可见,通过应用本申请的技术方案,预先在计算设备中设置并行计算能力以及并发处理能力高于主计算节点的从计算节点,在接收到待检测报文后,根据待检测报文的属性信息判断是否需要将待检测报文上报主计算节点,基于判断结果以及分别为主计算节点和从计算节点设置的负载阈值将待检测报文上报至主计算节点或是发送至从计算节点。从而在能够实现针对攻击报文检测的前提下,减少了硬件成本,提高针对报文攻击的适应性,保障网络的稳定性。
附图说明
图1为现有技术中传统IPS设备的组网拓扑图;
图2为现有技术中IPS设备进行报文检测的示意图;
图3为本申请提出的一种攻击报文检测方法的流程示意图;
图4为本申请具体实施例所提出的一种IPS系统的结构示意图;
图5为本申请提出的另一种攻击报文检测方法的流程示意图;
图6为本申请提出的另一种攻击报文检测方法的流程示意图;
图7为本申请提出的一种攻击报文检测设备的结构示意图;
图8为本申请提出的一种攻击报文检测设备的结构示意图;
图9为本申请提出的另一种攻击报文检测设备的结构示意图。
具体实施方式
如背景技术所述,现有的具有攻击报文检测功能的设备价格高昂,而且在面对现有越来越多的报文攻击方式也存在着检测能力上的局限性。为此本申请提出了一种攻击报文检测方法,该方法不仅能够根据实际的待处理报文的数量以及其他客观因素进行性能上的适应性扩展,而且在硬件成本花费上远小于传统IPS设备的成本售价。
如图3所示,为本申请提出的一种攻击报文检测方法的流程示意图,在应用以下方案进行攻击报文检测之前,本申请预先对现有的针对攻击报文进行检测的计算设备进行了改进,在该计算设备中原有的用于处理报文的主计算节点的基础上额外地设置一个或多个并行计算能力以及并发处理能力高于主计算节点的从计算节点,其中从计算节点既可为与主计算节点相同类型的芯片或是处理器,也可以与主计算节点不同,但是从计算节点具备与主计算节点一样的针对攻击报文的检测能力。
基于以上同时具有主计算节点以及从计算节点的计算设备,本申请的方案包括以下步骤:
S301,接收待检测报文。
由于本申请的方案是利用从计算节点辅助主计算节点对报文进行攻击检测处理,在当一个计算设备同时具有多个用于检测攻击报文的处理单元时,本申请的优选实施例针对该计算设备中的的处理单元进行主计算节点以及从计算节点的划分,即将所述计算设备中用于检测攻击报文的处理单元划分为主计算节点以及从计算节点,并为主计算节点设置第一负载阈值,以及为从计算节点设置第二负载阈值,其中第一负载阈值和第二负载阈值分别为主计算节点以及从计算节点当前所能够处理报文的最大的负载阈值,其既可由各个处理单元根据自身的角色自行设定,也可以由技术人员预先根据实际使用经验进行设置,这些都属于本发明的保护范围。
相对于使用多个同类型的攻击报文处理单元的设计,在主计算节点的基础上设置异构计算节点的方案往往能够以低成本取得更好的处理效率,然而在当从计算节点为相对于主计算节点的异构计算节点时,需要将主计算节点中的过滤器规则同步至各个从计算节点中。
在本申请优选的实施例中,采用的是DMA(Direct Memory Access,直接内存存取)以及RDMA(Remote Direct Memory Access,远程直接数据存取)将主计算节点中的过滤器规则与各个从计算节点进行同步。作为计算机科学中的一种内存访问技术,DMA允许某些电脑内部的硬件子系统或者是电脑外设独立地直接读写系统存储器而不需绕道CPU。在同等程度的处理器负担下,DMA是一种快速的数据传送方式。很多硬件的系统会使用DMA,包含硬盘控制器、绘图显卡、网卡和声卡。而RDMA也是计算机科学中的一种内存访问技术,其通过网络把资料直接传入计算机的存储区,将数据从一个系统快速移动到远程系统存储器中,而不对操作系统造成任何影响,这样就不需要用到多少计算机的处理功能。它消除了外部存储器复制和文本交换操作,因而能解放内存带宽和CPU周期用于改进应用系统性能。
基于上述内存访问技术,本申请的优选实施例在该步骤之前读取预设于主计算节点的所述过滤器规则,将过滤器规则下发至所述从计算节点进行适配,对计算设备的线路以及端口进行初始化配置,并在所述初始化配置完成后配置网卡DMA(Direct MemoryAccess,直接内存存取)、RDMA映射以及与从计算节点对应的DMA。特别地,为了将原本需要统一上报主计算节点的待检测报文发送至从计算节点,本申请根据与从计算节点对应的DMA为待检测报文设置DMA标签,该DMA标签用于指示将待检测报文发送至从计算节点
在如图4所示的具体应用场景中,该方法应用于包括CPU(Central ProcessingUnit,中央处理器)以及GPU(Graphic Processing Unit,图形处理器)的IPS系统中,该IPS系统设备的硬件主要由CPU、GPU、网卡、内存和PIC(Programmable Interrupt Controller,可编程中断控制器)控制器五个核心部件组成。该IPS系统采用异构计算方式,即使用不同类型指令集和体系架构的计算单元组成系统的计算方式,其中常见的计算单元类别包括CPU、GPU等协处理器等。异构计算能够很好的解决由于提升CPU时钟频率和内核数量而带来的散热和能耗瓶颈的问题。与此同时,GPU等专用计算单元虽然工作频率较低,具有更多的内核数和并行计算能力,总体性能-芯片面积比和性能-功耗比都很高,却远远没有得到充分利用。因此,该具体实施例通过在GPU上设置由CPU下发的过滤器规则,从而为充分利用IPS系统中的GPU建立基础。
基于以上IPS系统,CPU作为该计算设备的主计算节点,而GPU则作为该计算设备的从计算节点。本领域技术人员能够根据传统IPS系统的ASIC芯片处理流程设计CPU过滤器和GPU过滤器的处理方式,由于过滤器规则预设在CPU内,因此过滤器规则读取以及下发GPU的操作可由CPU完成。在该IPS系统工作之前,进行初始化的流程包括以下步骤:
步骤a)CPU读取过滤器规则;
步骤b)下发过滤器规则至GPU进行适配。
在该初始化过程中最重要的过程是给GPU下发过滤器规则,这个也是比ASIC芯片可扩展能力强的地方。因为GPU可以通过编程等手段更新自己的处理逻辑,因此具有很强的可扩展性。
步骤c)对IPS系统中的PCI进行配置,实现各个部件之间的连接。
步骤d)配置网卡DMA;
步骤e)配置GPU DMA;
步骤f)读取备份IPS设备(系统)信息,并配置RDMA映射。
通过配置PCI的DMA映射可以让网卡所接收的数据报文在被确认需要转发至GPU的时候能够直接转给GPU使用,在此过程中无需CPU参与转发处理,这样不仅节省了系统资源开销,也大大降低了CPU处理的负荷。
此外,根据需求的不同,各个计算节点接收下发规则后的过滤器可以支持例如IP(Internet Protocol,网络协议)碎片重组、TCP(Transmission Control Protocol,传输控制协议)流量汇聚、TCP状态跟踪、特定协议分析、暴力破解、SQL(Structured QueryLanguage,结构化查询语言)防注入等一系列的入侵行为分析。后续在发现了攻击报文之后,CPU也可以根据这些攻击行为执行相应的防御策略。比如代理TCP连接、对会话进行检查、网络访问控制等。
另外,为了进一步提高主IPS系统以及备份IPS系统的使用效率,本申请优选实施例不仅在当前使用的计算设备外设置了相同的备份计算设备,同时也设置了相应的负载均衡策略,在当前的IPS系统接收到待检测报文后,首先根据预设的负载均衡策略确定是否需要将所述待检测报文转发至当前与所述计算设备的互为备份的其他计算设备,若是则根据所述RDMA映射将所述待检测报文转发至当前与所述计算设备的互为备份的其他计算设备;若否则根据所述待检测报文的属性信息判断是否需要将所述待检测报文上报所述主计算节点。
S302,根据所述待检测报文的属性信息判断是否需要将所述待检测报文上报所述主计算节点。
在本申请优选的实施例中,该属性信息可以采用报文描述符。报文描述符为IP数据报文的一种抽象信息,主要包含源MAC(Media Access Control,介质访问控制)、目的MAC、VLAN(Virtual Local Area Network,虚拟局域网)、源IP、目的IP、源端口、目的端口和协议类型等信息,在此基础上技术人员也可以采取其他同样能够针对报文进行检测的属性信息,这些都属于本发明的保护范围。
S303,若需要将所述待检测报文上报所述主计算节点,且所述主计算节点当前的负载未超过为所述主计算节点设置的第一负载阈值,将所述待检测报文上报至所述主计算节点,由所述主计算节点根据所述属性信息以及自身的过滤器规则确认所述待检测报文是否为攻击报文。
S304,若不需要将所述待检测报文上报所述主计算节点,且所述从计算节点当前的负载未超过为所述从计算节点设置的第二负载阈值,将所述待检测报文发送至所述从计算节点,由所述从计算节点根据所述属性信息以及所述主计算节点下发的过滤器规则确认所述待检测报文是否为攻击报文
在针对待处理报文的属性信息确认是否需要将其上报至主计算节点的同时,本申请同时也将考虑当前计算设备中主计算节点以及从计算节点的负载是否过高。为了应对大量攻击报文同时发送或是当前计算设备中的主计算节点以及从计算节点的负荷均已满的情况,本申请的优选实施例基于与当前的计算设备的互为备份的其他计算设备,在当主计算节点当前的负载超第一负载阈值时,将需要上报主计算节点的待检测报文发送至当前与计算设备的互为备份的其他计算设备;相应地,若从计算节点当前的负载超过第二负载阈值,将需要发送至从计算节点的待检测报文发送至当前与计算设备的互为备份的其他计算设备。这样不仅能够在正常情况下可以实现流量的分担处理,在其中的某个计算设备发生异常的情况下可以互为备份,保证流量处理不中断。
当检测出异常的数据流量时,从计算节点将及时将数据上送给当前计算设备的主计算节点,由主计算节点进行后续处理。从攻击数据和正常数据的比例而言,处理攻击数据不会成为主计算节点的瓶颈和负担。虽然从计算节点的工作主计算节点都能处理,但是主计算节点往往在处理能力以及效率上不及从计算节点。
以上一步骤具体实施例中的IPS系统设备为例,如果单纯的提升CPU的处理性能(比如增加核数目,增加线程数目),甚至还不如一块普通的GPU显卡性能来得强劲。就GPU的特性而言,虽然工作频率相对于CPU而言不算太高,但是相比CPU的优势在于它的并行计算和并发处理能力。它内部的运算单元和并发处理器数远远多于CPU。因此在报文处理方面,如果以过滤器的形式进行处理数据而言,GPU天然的高并发处理和众多运算单元相结合的处理模式,性能远比CPU强劲,技术人员可以据此对需要转交GPU处理的报文的属性信息进行设置,从而使得大部分待检测报文能够转发至GPU进行处理,而CPU则主要用于处理攻击报文,以此高效的检测出攻击报文并进行防御。
无论是由主计算节点判断还是从计算节点对待检测报文进行判断,在确认待检测报文为攻击报文后,都是将所述攻击报文上报至主计算节点中专用于处理攻击报文的模块,以使主计算节点对攻击报文进行处理,而在确认待检测报文非攻击报文时,则是将待检测报文发送至与待检测报文的属性信息中的目的地址信息对应的设备。虽然本申请在当检测出异常的数据流量时及时将数据都上送给主计算节点并进行后续决断处理,但从攻击数据和正常数据的比例而言,处理攻击数据不会成为主计算节点的瓶颈和负担。
由此可见,由于从计算节点帮助主计算节点分担了针对待检测报文的检测工作(主要为大量繁重的运算工作),使得主计算节点可以解放出来对攻击行为进行防御。从而在一套计算设备中集成解决攻击报文的入侵检测以及防御工作。
以上实施例从全局角度阐述了如何在具有多个计算节点的计算设备中针对攻击报文进行检测,接下来本申请将分别以计算设备中主计算节点以及从计算节点的角度进行说明。
如图5所示,为本申请提出的另一种攻击报文检测方法的流程示意图,该攻击报文检测方法应用于计算设备中的主计算节点,所述计算设备还包括从计算节点,所述从计算节点的并行计算能力以及并发处理能力高于所述主计算节点,该方法包括以下步骤:
S501,接收待检测报文,所述待检测报文是在根据其中携带的属性信息确认需要上报所述主计算节点且所述主计算节点当前的负载未超过为所述主计算节点设置的负载阈值之后上报至所述主计算节点的。
S502,根据所述属性信息以及自身的过滤器规则确认所述待检测报文是否为攻击报文。
在本申请优选的实施例中,所述属性信息中包含所述待检测报文的目的地址信息,还包括:
若所述待检测报文为攻击报文,将所述攻击报文上报所述主计算节点,以使所述主计算节点对所述攻击报文进行处理;
若所述待检测报文非攻击报文,将所述待检测报文发送至与所述待检测报文的属性信息中的目的地址信息对应的设备。
在本申请优选的实施例中,所述从计算节点为相对于所述主计算节点的异构计算节点,在接收所述待检测报文之前,还包括:
读取预设于所述主计算节点的所述过滤器规则;
将所述过滤器规则下发至所述从计算节点进行适配;
对所述计算设备的线路以及端口进行初始化配置,并在所述初始化配置完成后配置网卡直接内存存取DMA、远程直接数据存取RDMA映射以及与所述从计算节点对应的DMA。
在本申请优选的实施例中,所述主计算节点具体为中央处理器CPU,所述从计算节点具体为图形处理器GPU。
如图6所示,为本申请提出的另一种攻击报文检测方法的流程示意图,该方法应用于计算设备中的从计算节点,所述计算设备还包括主计算节点,所述从计算节点的并行计算能力以及并发处理能力高于所述主计算节点,该方法包括以下步骤:
S601,接收待检测报文,所述待检测报文是在根据其中携带的属性信息确认不需要上报所述主计算节点且所述从计算节点当前的负载未超过为所述从计算节点设置的负载阈值之后发送至所述从计算节点的;
S602,根据所述属性信息以及所述主计算节点下发的过滤器规则确认所述待检测报文是否为攻击报文。
在本申请优选的实施例中,所述属性信息中包含所述待检测报文的目的地址信息,还包括:
若所述待检测报文为攻击报文,将所述攻击报文上报所述主计算节点,以使所述主计算节点对所述攻击报文进行处理;
若所述待检测报文非攻击报文,将所述待检测报文发送至与所述待检测报文的属性信息中的目的地址信息对应的设备。
在本申请优选的实施例中,所述从计算节点为相对于所述主计算节点的异构计算节点,在接收所述待检测报文之前,还包括:
接收由所述主计算节点下发的过滤器规则,所述过滤器规则预设于所述主计算节点中并由所述主计算节点读取。
在本申请优选的实施例中,所述主计算节点具体为中央处理器CPU,所述从计算节点具体为图形处理器GPU。
为达到以上技术目的,本申请还提出了一种攻击报文检测设备,如图7所示,该设备应用于包括主计算节点以及从计算节点的计算设备中,所述从计算节点的并行计算能力以及并发处理能力高于所述主计算节点,该设备包括:
接收模块710,用于接收待检测报文;
判断模块720,用于根据所述待检测报文的属性信息判断是否需要将所述待检测报文上报所述主计算节点;
上报模块730,用于在需要将所述待检测报文上报所述主计算节点且所述主计算节点当前的负载未超过为所述主计算节点设置的第一负载阈值时,将所述待检测报文上报至所述主计算节点,由所述主计算节点根据所述属性信息以及自身的过滤器规则确认所述待检测报文是否为攻击报文;
发送模块740,用于在不需要将所述待检测报文上报所述主计算节点且所述从计算节点当前的负载未超过为所述从计算节点设置的第二负载阈值时,将所述待检测报文发送至所述从计算节点,由所述从计算节点根据所述属性信息以及所述主计算节点下发的过滤器规则确认所述待检测报文是否为攻击报文。
在具体的应用场景中,所述属性信息中包含所述待检测报文的目的地址信息,还包括:
若所述待检测报文为攻击报文,所述上报模块将所述攻击报文上报所述主计算节点,以使所述主计算节点对所述攻击报文进行处理;
若所述待检测报文非攻击报文,所述发送模块将所述待检测报文发送至与所述待检测报文的属性信息中的目的地址信息对应的设备。
在具体的应用场景中,还包括:
若所述主计算节点当前的负载超所述第一负载阈值,所述上报模块将需要上报所述主计算节点的待检测报文发送至当前与所述计算设备的互为备份的其他计算设备;
若所述从计算节点当前的负载超过所述第二负载阈值,所述发送模块将需要发送至所述从计算节点的待检测报文发送至当前与所述计算设备的互为备份的其他计算设备。
在具体的应用场景中,所述从计算节点为相对于所述主计算节点的异构计算节点,所述设备还包括:
读取模块,用于读取预设于所述主计算节点的所述过滤器规则;
适配模块,用于将所述过滤器规则下发至所述从计算节点进行适配;
配置模块,用于对所述计算设备的线路以及端口进行初始化配置,并在所述初始化配置完成后配置网卡直接内存存取DMA、远程直接数据存取RDMA映射以及与所述从计算节点对应的DMA。
在具体的应用场景中,将所述待检测报文发送至所述从计算节点,具体为:
根据与所述从计算节点对应的DMA为所述待检测报文设置DMA标签,所述DMA标签用于指示将所述待检测报文发送至所述从计算节点。
在具体的应用场景中,所述设备还包括:
负载均衡模块,用于根据预设的负载均衡策略确定是否需要将所述待检测报文转发至当前与所述计算设备的互为备份的其他计算设备;
若是,所述负载均衡模块根据所述RDMA映射将所述待检测报文转发至当前与所述计算设备的互为备份的其他计算设备;
若否,所述负载均衡模块根据所述待检测报文的属性信息判断是否需要将所述待检测报文上报所述主计算节点。
在具体的应用场景中,所述设备还包括设置模块,用于将所述计算设备中用于检测攻击报文的处理单元划分为主计算节点以及从计算节点,并为所述主计算节点设置所述第一负载阈值,以及为所述从计算节点设置所述第二负载阈值。
在具体的应用场景中,所述主计算节点具体为中央处理器CPU,所述从计算节点具体为图形处理器GPU。
相应地,本申请还提出了一种攻击报文处理设备,作为主计算节点应用于计算设备中,所述计算设备还包括从计算节点,所述从计算节点的并行计算能力以及并发处理能力高于所述主计算节点,如图8所示,该设备包括:
接收模块810,用于接收待检测报文,所述待检测报文是在根据其中携带的属性信息确认需要上报所述主计算节点且所述主计算节点当前的负载未超过为所述主计算节点设置的负载阈值之后上报至所述主计算节点的;
确定模块820,用于根据所述属性信息以及自身的过滤器规则确认所述待检测报文是否为攻击报文。
在具体的应用场景中,所述属性信息中包含所述待检测报文的目的地址信息,还包括:
若所述待检测报文为攻击报文,所述确定模块将所述攻击报文上报所述主计算节点,以使所述主计算节点对所述攻击报文进行处理;
若所述待检测报文非攻击报文,所述确定模块将所述待检测报文发送至与所述待检测报文的属性信息中的目的地址信息对应的设备。
在具体的应用场景中,所述从计算节点为相对于所述主计算节点的异构计算节点,所述设备还包括:
读取模块,用于读取预设于所述主计算节点的所述过滤器规则;
下发模块,用于将所述过滤器规则下发至所述从计算节点进行适配;
配置模块,用于对所述计算设备的线路以及端口进行初始化配置,并在所述初始化配置完成后配置网卡直接内存存取DMA、远程直接数据存取RDMA映射以及与所述从计算节点对应的DMA。
在具体的应用场景中,所述主计算节点具体为中央处理器CPU,所述从计算节点具体为图形处理器GPU。
相应地,本申请还提出了一种攻击报文检测设备,作为从计算节点应用于计算设备中,所述计算设备还包括主计算节点,所述从计算节点的并行计算能力以及并发处理能力高于所述主计算节点,如图9所示,该设备包括:
接收模块910,接收待检测报文,所述待检测报文是在根据其中携带的属性信息确认不需要上报所述主计算节点且所述从计算节点当前的负载未超过为所述从计算节点设置的负载阈值之后发送至所述从计算节点的;
确定模块920,用于根据所述属性信息以及所述主计算节点下发的过滤器规则确认所述待检测报文是否为攻击报文。
在具体的应用场景中,所述属性信息中包含所述待检测报文的目的地址信息,还包括:
若所述待检测报文为攻击报文,所述确定模块将所述攻击报文上报所述主计算节点,以使所述主计算节点对所述攻击报文进行处理;
若所述待检测报文非攻击报文,所述确定模块将所述待检测报文发送至与所述待检测报文的属性信息中的目的地址信息对应的设备。
在具体的应用场景中,所述从计算节点为相对于所述主计算节点的异构计算节点,所述接收模块还用于接收由所述主计算节点下发的过滤器规则,所述过滤器规则预设于所述主计算节点中并由所述主计算节点读取。
在具体的应用场景中,所述主计算节点具体为中央处理器CPU,所述从计算节点具体为图形处理器GPU。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。
本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。
以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (18)
1.一种攻击报文检测方法,其特征在于,所述方法应用于包括主计算节点以及从计算节点的计算设备中,所述从计算节点的并行计算能力以及并发处理能力高于所述主计算节点,该方法包括:
接收待检测报文;
根据所述待检测报文的属性信息判断是否需要将所述待检测报文上报所述主计算节点;
若需要将所述待检测报文上报所述主计算节点,且所述主计算节点当前的负载未超过为所述主计算节点设置的第一负载阈值,将所述待检测报文上报至所述主计算节点,由所述主计算节点根据所述属性信息以及自身的过滤器规则确认所述待检测报文是否为攻击报文;
若不需要将所述待检测报文上报所述主计算节点,且所述从计算节点当前的负载未超过为所述从计算节点设置的第二负载阈值,将所述待检测报文发送至所述从计算节点,由所述从计算节点根据所述属性信息以及所述主计算节点下发的过滤器规则确认所述待检测报文是否为攻击报文。
2.如权利要求1所述的方法,其特征在于,所述属性信息中包含所述待检测报文的目的地址信息,还包括:
若所述待检测报文为攻击报文,将所述攻击报文上报所述主计算节点,以使所述主计算节点对所述攻击报文进行处理;
若所述待检测报文非攻击报文,将所述待检测报文发送至与所述待检测报文的属性信息中的目的地址信息对应的设备。
3.如权利要求1所述的方法,其特征在于,还包括:
若所述主计算节点当前的负载超所述第一负载阈值,将需要上报所述主计算节点的待检测报文发送至当前与所述计算设备互为备份的其他计算设备;
若所述从计算节点当前的负载超过所述第二负载阈值,将需要发送至所述从计算节点的待检测报文发送至当前与所述计算设备互为备份的其他计算设备。
4.如权利要求3所述的方法,其特征在于,在接收所述待检测报文后,还包括:
根据预设的负载均衡策略确定是否需要将所述待检测报文转发至当前与所述计算设备互为备份的其他计算设备;
若是,根据RDMA映射将所述待检测报文转发至当前与所述计算设备互为备份的其他计算设备;
若否,根据所述待检测报文的属性信息判断是否需要将所述待检测报文上报所述主计算节点。
5.如权利要求1所述的方法,其特征在于,所述从计算节点为相对于所述主计算节点的异构计算节点,在接收所述待检测报文之前,还包括:
读取预设于所述主计算节点的所述过滤器规则;
将所述过滤器规则下发至所述从计算节点进行适配;
对所述计算设备的线路以及端口进行初始化配置,并在所述初始化配置完成后配置网卡直接内存存取DMA、远程直接数据存取RDMA映射以及与所述从计算节点对应的DMA。
6.如权利要求5所述的方法,其特征在于,将所述待检测报文发送至所述从计算节点,具体为:
根据与所述从计算节点对应的DMA为所述待检测报文设置DMA标签,所述DMA标签用于指示将所述待检测报文发送至所述从计算节点。
7.如权利要求1-6任一项所述的方法,其特征在于,
所述主计算节点具体为中央处理器CPU,所述从计算节点具体为图形处理器GPU。
8.一种攻击报文检测方法,其特征在于,所述方法应用于计算设备中的主计算节点,所述计算设备还包括从计算节点,所述从计算节点的并行计算能力以及并发处理能力高于所述主计算节点,该方法包括:
接收待检测报文,所述待检测报文是在根据其中携带的属性信息确认需要上报所述主计算节点且所述主计算节点当前的负载未超过为所述主计算节点设置的负载阈值之后上报至所述主计算节点的;
根据所述属性信息以及自身的过滤器规则确认所述待检测报文是否为攻击报文。
9.一种攻击报文检测方法,其特征在于,所述方法应用于计算设备中的从计算节点,所述计算设备还包括主计算节点,所述从计算节点的并行计算能力以及并发处理能力高于所述主计算节点,该方法包括:
接收待检测报文,所述待检测报文是在根据其中携带的属性信息确认不需要上报所述主计算节点且所述从计算节点当前的负载未超过为所述从计算节点设置的负载阈值之后发送至所述从计算节点的;
根据所述属性信息以及所述主计算节点下发的过滤器规则确认所述待检测报文是否为攻击报文。
10.一种攻击报文检测设备,应用于包括主计算节点以及从计算节点的计算设备中,其特征在于,所述从计算节点的并行计算能力以及并发处理能力高于所述主计算节点,该设备包括:
接收模块,用于接收待检测报文;
判断模块,用于根据所述待检测报文的属性信息判断是否需要将所述待检测报文上报所述主计算节点;
上报模块,用于在需要将所述待检测报文上报所述主计算节点且所述主计算节点当前的负载未超过为所述主计算节点设置的第一负载阈值时,将所述待检测报文上报至所述主计算节点,由所述主计算节点根据所述属性信息以及自身的过滤器规则确认所述待检测报文是否为攻击报文;
发送模块,用于在不需要将所述待检测报文上报所述主计算节点且所述从计算节点当前的负载未超过为所述从计算节点设置的第二负载阈值时,将所述待检测报文发送至所述从计算节点,由所述从计算节点根据所述属性信息以及所述主计算节点下发的过滤器规则确认所述待检测报文是否为攻击报文。
11.如权利要求10所述的设备,其特征在于,所述属性信息中包含所述待检测报文的目的地址信息,还包括:
若所述待检测报文为攻击报文,所述上报模块将所述攻击报文上报所述主计算节点,以使所述主计算节点对所述攻击报文进行处理;
若所述待检测报文非攻击报文,所述发送模块将所述待检测报文发送至与所述待检测报文的属性信息中的目的地址信息对应的设备。
12.如权利要求10所述的设备,其特征在于,还包括:
若所述主计算节点当前的负载超所述第一负载阈值,所述上报模块将需要上报所述主计算节点的待检测报文发送至当前与所述计算设备互为备份的其他计算设备;
若所述从计算节点当前的负载超过所述第二负载阈值,所述发送模块将需要发送至所述从计算节点的待检测报文发送至当前与所述计算设备互为备份的其他计算设备。
13.如权利要求12所述的设备,其特征在于,所述设备还包括:
负载均衡模块,用于根据预设的负载均衡策略确定是否需要将所述待检测报文转发至当前与所述计算设备互为备份的其他计算设备;
若是,所述负载均衡模块根据RDMA映射将所述待检测报文转发至当前与所述计算设备互为备份的其他计算设备;
若否,所述负载均衡模块根据所述待检测报文的属性信息判断是否需要将所述待检测报文上报所述主计算节点。
14.如权利要求10所述的设备,其特征在于,所述从计算节点为相对于所述主计算节点的异构计算节点,所述设备还包括:
读取模块,用于读取预设于所述主计算节点的所述过滤器规则;
适配模块,用于将所述过滤器规则下发至所述从计算节点进行适配;
配置模块,用于对所述计算设备的线路以及端口进行初始化配置,并在所述初始化配置完成后配置网卡直接内存存取DMA、远程直接数据存取RDMA映射以及与所述从计算节点对应的DMA。
15.如权利要求14所述的设备,其特征在于,将所述待检测报文发送至所述从计算节点,具体为:
根据与所述从计算节点对应的DMA为所述待检测报文设置DMA标签,所述DMA标签用于指示将所述待检测报文发送至所述从计算节点。
16.如权利要求10-15任一项所述的设备,其特征在于,
所述主计算节点具体为中央处理器CPU,所述从计算节点具体为图形处理器GPU。
17.一种攻击报文处理设备,作为主计算节点应用于计算设备中,其特征在于,所述计算设备还包括从计算节点,所述从计算节点的并行计算能力以及并发处理能力高于所述主计算节点,所述设备包括:
接收模块,用于接收待检测报文,所述待检测报文是在根据其中携带的属性信息确认需要上报所述主计算节点且所述主计算节点当前的负载未超过为所述主计算节点设置的负载阈值之后上报至所述主计算节点的;
确定模块,用于根据所述属性信息以及自身的过滤器规则确认所述待检测报文是否为攻击报文。
18.一种攻击报文检测设备,作为从计算节点应用于计算设备中,其特征在于,所述计算设备还包括主计算节点,所述从计算节点的并行计算能力以及并发处理能力高于所述主计算节点,所述设备包括:
接收模块,接收待检测报文,所述待检测报文是在根据其中携带的属性信息确认不需要上报所述主计算节点且所述从计算节点当前的负载未超过为所述从计算节点设置的负载阈值之后发送至所述从计算节点的;
确定模块,用于根据所述属性信息以及所述主计算节点下发的过滤器规则确认所述待检测报文是否为攻击报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510324859.2A CN106301992B (zh) | 2015-06-12 | 2015-06-12 | 一种攻击报文检测方法及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510324859.2A CN106301992B (zh) | 2015-06-12 | 2015-06-12 | 一种攻击报文检测方法及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106301992A CN106301992A (zh) | 2017-01-04 |
CN106301992B true CN106301992B (zh) | 2019-09-03 |
Family
ID=57650860
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510324859.2A Active CN106301992B (zh) | 2015-06-12 | 2015-06-12 | 一种攻击报文检测方法及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106301992B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110830283B (zh) * | 2018-08-10 | 2021-10-15 | 华为技术有限公司 | 故障检测方法、装置、设备和系统 |
CN109257444B (zh) * | 2018-11-12 | 2021-07-23 | 迈普通信技术股份有限公司 | 一种负载分担方法、装置及系统 |
US10795840B2 (en) | 2018-11-12 | 2020-10-06 | At&T Intellectual Property I, L.P. | Persistent kernel for graphics processing unit direct memory access network packet processing |
CN110191104A (zh) * | 2019-05-10 | 2019-08-30 | 新华三信息安全技术有限公司 | 一种安全防护的方法及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101599963A (zh) * | 2009-06-10 | 2009-12-09 | 电子科技大学 | 网络疑似威胁信息筛选器及筛选处理方法 |
US7818806B1 (en) * | 2005-11-08 | 2010-10-19 | Nvidia Corporation | Apparatus, system, and method for offloading pattern matching scanning |
CN102064977A (zh) * | 2010-11-10 | 2011-05-18 | 中国人民解放军国防科学技术大学 | 基于gpu的高速网络报文内容检测方法 |
CN103297293A (zh) * | 2013-05-17 | 2013-09-11 | 华为技术有限公司 | 报文检测方法及装置 |
CN103559018A (zh) * | 2013-10-23 | 2014-02-05 | 东软集团股份有限公司 | 基于gpu计算的字符串匹配方法和系统 |
CN104052789A (zh) * | 2013-03-13 | 2014-09-17 | 国际商业机器公司 | 用于虚拟联网系统的负载平衡 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9342366B2 (en) * | 2012-10-17 | 2016-05-17 | Electronics And Telecommunications Research Institute | Intrusion detection apparatus and method using load balancer responsive to traffic conditions between central processing unit and graphics processing unit |
-
2015
- 2015-06-12 CN CN201510324859.2A patent/CN106301992B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7818806B1 (en) * | 2005-11-08 | 2010-10-19 | Nvidia Corporation | Apparatus, system, and method for offloading pattern matching scanning |
CN101599963A (zh) * | 2009-06-10 | 2009-12-09 | 电子科技大学 | 网络疑似威胁信息筛选器及筛选处理方法 |
CN102064977A (zh) * | 2010-11-10 | 2011-05-18 | 中国人民解放军国防科学技术大学 | 基于gpu的高速网络报文内容检测方法 |
CN104052789A (zh) * | 2013-03-13 | 2014-09-17 | 国际商业机器公司 | 用于虚拟联网系统的负载平衡 |
CN103297293A (zh) * | 2013-05-17 | 2013-09-11 | 华为技术有限公司 | 报文检测方法及装置 |
CN103559018A (zh) * | 2013-10-23 | 2014-02-05 | 东软集团股份有限公司 | 基于gpu计算的字符串匹配方法和系统 |
Non-Patent Citations (1)
Title |
---|
基于CPU+GPU异构平台的字符串匹配算法研究与实现.;彭江锋.;《中国优秀硕士学位论文全文数据库信息科技辑2012年》;20120115(第01期);全文 |
Also Published As
Publication number | Publication date |
---|---|
CN106301992A (zh) | 2017-01-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106301992B (zh) | 一种攻击报文检测方法及设备 | |
CN103929334B (zh) | 网络异常通知方法和装置 | |
CN109144820A (zh) | 一种异常主机的检测方法及装置 | |
US11909642B2 (en) | Offload of acknowledgements to a network device | |
CN104660565A (zh) | 恶意攻击的检测方法和装置 | |
US20200322313A1 (en) | Data Transfer Method and Virtual Switch | |
CN104142867A (zh) | 数据处理装置及数据处理方法 | |
CN106330951B (zh) | 一种网络防护方法、装置和系统 | |
KR101679573B1 (ko) | 멀티코어 처리 시스템에서 dimm 채널 분산을 이용한 트래픽 보안 서비스 제공 방법 및 장치 | |
US9491190B2 (en) | Dynamic selection of network traffic for file extraction shellcode detection | |
CN104580120A (zh) | 一种可按需服务的虚拟化网络入侵检测方法和装置 | |
CN104125214B (zh) | 一种实现软件定义安全的安全架构系统及安全控制器 | |
US11907751B2 (en) | Resource fairness enforcement in shared IO interfaces | |
Scholz et al. | SYN flood defense in programmable data planes | |
US9866639B2 (en) | Communication apparatus, information processor, communication method, and computer-readable storage medium | |
CN105337789A (zh) | 一种监控虚拟网络流量的方法和装置 | |
CN106603409B (zh) | 一种数据处理系统、方法及设备 | |
TWI520002B (zh) | Protection Method and System of Cloud Virtual Network Security | |
CN108965148A (zh) | 一种处理器及报文处理方法 | |
US20210303477A1 (en) | Management of distributed shared memory | |
KR101200906B1 (ko) | 네트워크 기반 고성능 유해사이트 차단 시스템 및 방법 | |
CN108028828A (zh) | 一种分布式拒绝服务DDoS攻击检测方法及相关设备 | |
WO2019033891A1 (zh) | 一种基于rdma的网络流量确定方法及装置 | |
Yang et al. | Implementation of network traffic monitor system with SDN | |
Cao et al. | CoFilter: High-performance switch-accelerated stateful packet filter for bare-metal servers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |