CN108667682A - 基于安全网关深度包检测的连接同步方法、装置及介质 - Google Patents

基于安全网关深度包检测的连接同步方法、装置及介质 Download PDF

Info

Publication number
CN108667682A
CN108667682A CN201810236410.4A CN201810236410A CN108667682A CN 108667682 A CN108667682 A CN 108667682A CN 201810236410 A CN201810236410 A CN 201810236410A CN 108667682 A CN108667682 A CN 108667682A
Authority
CN
China
Prior art keywords
message
time
connection
deletion
caching
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810236410.4A
Other languages
English (en)
Other versions
CN108667682B (zh
Inventor
孙峰
张国兴
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN201810236410.4A priority Critical patent/CN108667682B/zh
Publication of CN108667682A publication Critical patent/CN108667682A/zh
Application granted granted Critical
Publication of CN108667682B publication Critical patent/CN108667682B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/50Queue scheduling
    • H04L47/62Queue scheduling characterised by scheduling criteria
    • H04L47/625Queue scheduling characterised by scheduling criteria for service slots or service orders
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/568Storing data temporarily at an intermediate stage, e.g. caching
    • H04L67/5682Policies or rules for updating, deleting or replacing the stored data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于安全网关深度包检测的连接同步方法、装置及介质,所述方法包括:在消息接收端按照预设长度设置接收消息缓存区;当消息接收端接收到来自消息发送端的删除连接消息时,根据删除连接消息的五元组信息检测是否存在五元组信息对应的新建连接;在不存在五元组信息对应的新建连接情况下,将删除连接消息缓存到接收消息缓存区。本发明通过对执行失败的删除连接消息进行缓存,提高了双机系统中对于DPI应用的可靠性。

Description

基于安全网关深度包检测的连接同步方法、装置及介质
技术领域
本发明涉及网络通信和网络安全领域,具体涉及一种基于安全网关深度包检测的连接同步方法、装置、计算机设备及计算机可读存储介质。
背景技术
在现有的各类网络环境中,安全网关作为重要的网络安全设备,一般都采用双机冗余备份模式。在实际使用中,由于应用和安全网关软件代码的日益复杂,安全网关在文件传输协议(File Transfer Protocol,FTP)、oracle提供的与网络层面交互协议SQL(Structured Query Language)*NET(Network Transaction)、会话初始协议(SessionInitiation Protocol,SIP)、音视频传输协议(H.323)等应用协议处理过程中,需要将主设备即主防火墙的连接信息同步到备份设备即备份防火墙,且在进行主、备份设备切换时不影响业务系统的正常运行。但是目前在设备切换时,当主设备的并发连接数量达到主设备的极限,会启动连接回收机制。连接回收机制当中处于关闭状态的连接首先被回收,后续依次分别握手状态的连接、数据报模式的连接及传输状态的连接。若某一个时刻父连接即控制连接刚刚建立,由于连接的回收机制被启动,这样大量的删除消息很快将深度包检测模块的删除消息队列填满,立即启动发送。那么此时深度包检测模块的新建消息队列并没有满,且没有超时,那么就会出现删除消息先于新建消息到达备份设备的情况。
例如:以FTP为例,在应用中父连接的新建和删除消息在不同的队列当中,新建连接消息存放在新建消息队列,删除消息存放在删除队列,这两个消息队列各自按照自己的状态运行,超时或者队列满时消息发送给备份设备,即消息接收端。但是系统在运行时存在这样的情况,当系统并发连接数达到安全网关设备的最大情况下,主设备上连接并发满的时候,即消息发送端,由于系统存在大量像FTP一样的带子连接即数据连接应用情况,在连接表回收过程中,存在刚刚新建的FTP父连接被回收的情况。另外,由于深度包检测模块在处理新建消息和删除消息同步时,新建和删除两个逻辑使用两套发送缓存区。一旦大量FTP的父连接被回收时,很快删除消息被同步到备份设备。而FTP的新建消息可能因为发包缓存还没有满,暂时处于缓存状态。当FTP的新建消息缓存满时,将会启动发送。此时,发送给备份设备的连接就会重建。但是,此连接已经在主墙被回收,不会再同步删除消息。如果备份系统出现大量连接残留,这些连接将无法回收,对系统冗余备份的可靠性产生非常的影响,甚至在系统出现切换的情况下会出现业务中断的情况。
综上所述,因此需要解决删除消息先于新建消息达到备份设备,导致备份设备的连接残留问题。
发明内容
鉴于上述问题,提出了一种基于安全网关深度包检测的连接同步方法、装置、计算机设备及计算机可读存储介质,以便解决上述问题。
依据本发明的一个方面,提供一种基于安全网关深度包检测的连接同步方法,包括:
在消息接收端按照预设长度设置接收消息缓存区;
当所述消息接收端接收到来自消息发送端的删除消息时,根据所述删除消息的五元组信息检测是否存在所述五元组信息对应的新建连接;
在不存在所述五元组信息对应的新建连接情况下,将所述删除消息缓存到所述接收消息缓存区。
可选地,本发明所述方法中,还包括:在消息接收端按照预设时长设置接收消息缓存超时时间;
在将所述删除消息缓存到所述接收消息缓存区之后:检测所述删除消息对应的所述接收消息缓存超时时间是否超时;
在所述接收消息缓存超时时间超时的情况下,删除所述删除消息;
在所述接收消息缓存超时时间未超时的情况下,按照预定周期检测是否存在所述删除消息的五元组信息对应的新建连接;
在存在所述五元组信息对应的新建连接情况下,所述删除消息执行成功。
可选地,本发明所述方法中,所述消息接收端的接收消息缓存区长度大于所述消息发送端的删除消息队列缓存区长度。
可选地,本发明所述方法中,所述消息接收端的接收消息缓存超时时间大于消息发送端的删除消息队列缓存超时时间。
依据本发明的第二个方面,提供一种基于安全网关深度包检测的连接同步装置,包括:
消息缓存模块,用于按照预设长度设置接收消息缓存区;
消息处理模块,用于当接收到来自消息发送端的删除消息时,根据所述删除消息的五元组信息检测是否存在所述五元组信息对应的新建连接;在不存在所述五元组信息对应的新建连接情况下,将所述删除消息缓存到所述接收消息缓存区;检测所述删除消息对应的所述接收消息缓存超时时间是否超时;在所述接收消息缓存超时时间超时的情况下,删除所述删除消息。
可选地,本发明所述装置中,消息缓存模块,还用于按照预设时长设置接收消息缓存超时时间;
所述消息处理模块,还用于在将所述删除消息缓存到所述接收消息缓存区之后,检测所述删除消息对应的所述接收消息缓存超时时间是否超时;在所述接收消息缓存超时时间超时的情况下,删除所述删除消息,在所述接收消息缓存超时时间未超时的情况下,按照预定周期检测是否存在所述删除消息的五元组信息对应的新建连接;在存在所述五元组信息对应的新建连接情况下,所述删除消息执行成功。
可选地,本发明所述装置中,所述消息缓存模块的接收消息缓存区长度大于所述消息发送端的删除消息队列缓存区长度。
可选地,本发明所述装置中,所述消息缓存模块的接收消息缓存超时时间大于消息发送端的删除消息队列缓存超时时间。
依据本发明的第三个方面,提供一种计算机设备,所述计算机设备包括处理器和存储器,所述存储器存储有基于安全网关深度包检测的连接同步方法的第一计算机程序,所述处理器执行所述第一计算机程序,以实现上述基于安全网关深度包检测的连接同步方法的步骤。
依据本发明的第四个方面,提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如上述基于安全网关深度包检测的连接同步方法的步骤。
与现有技术相比,本发明的效果如下:
本发明提供的基于安全网关深度包检测的连接同步方法、装置、计算机设备及计算机可读存储介质,在消息接收端按照预设长度设置接收消息缓存区,和按照预设时长设置接收消息缓存超时时间。该接收消息缓存区用于缓存执行失败的删除消息,等待下一次执行,通过暂时先对删除消息进行缓存一段时间,再执行缓存的删除消息,直到执行成功或者当达到超时时间,丢弃该删除消息;有效避免了当删除消息先于新建连接消息到达消息接收端时,导致的新建连接消息的连接残留,提高了双机系统中对于深度报文解析(DeepPacket Inspection,DPI)应用的可靠性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明第一实施例提供的基于安全网关深度包检测的连接同步方法流程图;
图2是本发明第二实施例提供的基于安全网关深度包检测的连接同步装置的结构原理框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决现有技术中的问题,本发明提供一种基于安全网关深度包检测的连接同步方法,参见图1所示,包括:
步骤S001:在消息接收端按照预设长度设置接收消息缓存区,和按照预设时长设置接收消息缓存超时时间;
步骤S002:当消息接收端接收到来自消息发送端的删除消息时,根据删除消息的五元组信息检测是否存在五元组信息对应的新建连接;在不存在五元组信息对应的新建连接情况下,将删除消息缓存到接收消息缓存区。
本实施例中,消息接收端的接收消息缓存区长度大于所述消息发送端的删除消息队列缓存区长度(queueLen),消息接收端的接收消息缓存区长度是所述消息发送端的删除消息队列缓存区长度的2~3倍,本领域的技术人员可以根据需要设置该接收消息缓存区长度,本发明不作进一步限制。本具体实施例采用消息接收端的接收消息缓存区长度大于所述消息发送端的删除消息队列缓存区长度的2倍,消息发送端的删除消息队列缓存区长度为1200字节,即消息接收端的接收消息缓存区长度是2400字节。
本发明的一个具体实施例,当消息接收端接收到来自消息发送端的新建连接消息时,立即执行新建消息,将新建消息创建的连接(简称新建连接)写入连接表中,并且在连接状态设置为确立状态;当消息接收端接收到来自消息发送端的删除消息时,立即执行删除消息,根据删除消息的五元组信息检测是否存在五元组信息对应的新建连接;若不存在五元组信息对应的新建连接情况下,删除消息执行失败,将删除消息缓存到接收消息缓存区中,等待下一次执行;若存在五元组信息对应的新建连接情况下,删除消息执行成功,立即执行删除消息。本发明避免了消息发送端的删除消息先达到消息接收端,导致消息接收端出现大量连接残留,这些连接将无法回收的问题。
进一步地,本实施例,为了避免长时间占用接收消息缓存区,在消息接收端按照预设时长设置接收消息缓存超时时间;
将删除消息缓存到接收消息缓存区之后,检测删除消息对应的接收消息缓存超时时间是否超时;
在接收消息缓存超时时间超时的情况下,删除删除消息;
在接收消息缓存超时时间未超时的情况下,按照预定周期检测是否存在删除消息的五元组信息对应的新建连接,本领域的技术人员可以根据需要设置该预定周期;在存在五元组信息对应的新建连接情况下,删除消息执行成功。
本发明通过设置接收消息缓存超时时间,在一段时间内对先抵达消息接收端的删除消息进行缓存,并且按照预定周期执行删除消息,一旦删除消息执行成功,删除该缓存在消息接收缓存区的删除消息,保障了接收消息缓冲区有足够的缓存空间。
本实施例中,消息接收端的接收消息缓存超时时间大于消息发送端的删除消息队列缓存超时时间(agingTime)。消息接收端的接收消息缓存超时时间是所述消息发送端的删除消息队列缓存超时时间的2~3倍,本领域的技术人员可以根据需要设置该接收消息缓存超时时间,本发明不作进一步限制。本具体实施例采用消息接收端的接收消息缓存超时时间大于消息发送端的删除消息队列缓存超时时间的3倍,设消息发送端的删除消息队列缓存超时时间为200ms,即消息接收端的接收消息缓存超时时间600ms。
本发明的一个具体实施例,在对删除消息进行缓存后,检测该删除消息对应的接收消息缓存超时时间,在未达到该缓存超时时间的情况下,按照预定周期调用缓存在接收消息缓存区的删除消息,再次执行删除消息,若删除消息的五元组信息检测存在五元组信息对应的新建连接,删除消息执行成功,不再进行缓存,若删除消息的五元组信息检测不存在五元组信息对应的新建连接,删除消息执行失败,再次对该删除消息进行缓存,等待下一次执行。
本发明实施例适用于同步连接的主设备和备份设备的双机系统中,消息发送端指同步连接的主设备端,消息接收端指同步连接的备份设备端。主设备负责连接的建立、同步、删除及业务转发工作。当主设备对FTP、SqlNet等应用类型的连接时,新建和删除消息会同步到备份设备,备份设备直接处理新建消息,将需要创建的连接写入连接表中,并且将连接状态设置为确立状态。备份设备对于需要删除的连接,如果执行失败需要对该删除消息进行缓存到消息缓存区,预定周期到,再执行缓存的删除消息,直到执行成功或者删除消息超时的时候,丢弃该消息。
本发明在同步消息的接收端通过建立接收消息缓存区以及为每一个缓存在接收消息缓存区的删除消息分配一个接收消息缓存超时时间,提高了主设备和备用设备的双机系统中对于DPI应用的可靠性。
在本发明的第二实施例中,提供一种基于安全网关深度包检测的连接同步装置,参见图2所示,包括:
消息缓存模块1,用于按照预设长度设置接收消息缓存区,和按照预设时长设置接收消息缓存超时时间;
消息处理模块2,用于当消息接收端接收到来自消息发送端的删除消息时,根据删除消息的五元组信息检测是否存在五元组信息对应的新建连接;在不存在五元组信息对应的新建连接情况下,将删除消息缓存到接收消息缓存区。
本实施例中,消息缓存模块的接收消息缓存区长度大于消息发送端的删除消息队列缓存区长度。消息接收端的接收消息缓存区长度是消息发送端的删除消息队列缓存区长度的2~3倍,本领域的技术人员可以根据需要设置该接收消息缓存区长度,本发明不作进一步限制。本具体实施例采用消息接收端的接收消息缓存区长度大于消息发送端的删除消息队列缓存区长度的2倍。
本发明的一个具体实施例,消息处理模块,当消息接收端接收到来自消息发送端的新建连接消息时,立即执行新建消息,将新建消息创建的连接写入连接表中,并且在连接状态设置为确立状态;当消息接收端接收到来自消息发送端的删除消息时,立即执行删除消息,根据删除消息的五元组信息检测是否存在五元组信息对应的新建连接;若不存在五元组信息对应的新建连接情况下,删除消息执行失败,将删除消息缓存到接收消息缓存区;若存在五元组信息对应的新建连接情况下,删除消息执行成功,立即执行删除消息。
进一步地,本实施例,为了避免长时间占用接收消息缓存区,消息缓存模块1,还用于按照预设时长设置接收消息缓存超时时间;
消息处理模块2,还用于检测删除消息对应的接收消息缓存超时时间是否超时;在接收消息缓存超时时间超时的情况下,删除删除消息;在接收消息缓存超时时间未超时的情况下,按照预定周期检测是否存在删除消息的五元组信息对应的新建连接;在存在五元组信息对应的新建连接情况下,执行删除消息。
本实施例中,消息缓存模块的接收消息缓存超时时间大于消息发送端的删除消息队列缓存超时时间。消息接收端的接收消息缓存超时时间是消息发送端的删除消息队列缓存超时时间的2~3倍,本领域的技术人员可以根据需要设置该接收消息缓存超时时间,本发明不作进一步限制。本具体实施例采用消息接收端的接收消息缓存超时时间大于消息发送端的删除消息队列缓存超时时间的3倍。
本发明的一个具体实施例,消息处理模块,在对删除消息进行缓存后,检测该删除消息对应的接收消息缓存超时时间,在未达到该缓存超时时间的情况下,按照预定周期调用缓存在接收消息缓存区的删除消息,再次执行删除消息,若删除消息的五元组信息检测到存在五元组信息对应的新建连接,删除消息执行成功,不再进行缓存,若删除消息的五元组信息检测不存在五元组信息对应的新建连接,删除消息执行失败,再次对该删除消息进行缓存,等待下一次执行;
本发明适用于同步连接的主设备和备份设备的双机系统中,消息发送端指同步连接的主设备端,消息接收端指同步连接的备份设备端。主设备负责连接的建立、同步、删除及业务转发工作。当主设备对FTP、SqlNet等应用类型的连接时,新建和删除消息会同步到备份设备,备份设备直接处理新建消息,将需要创建的连接写入连接表中,并且将连接状态设置为确立状态。备份设备对于需要删除的连接,如果执行失败需要对该删除消息进行缓存到消息缓存区,预定周期到,再执行缓存的删除消息,直到执行成功或者删除消息超时的时候,丢弃该消息。
本发明消息接收端即在同步消息的接收端,通过建立接收消息缓存区以及为每一个缓存在接收消息缓存区的删除消息分配一个接收消息缓存超时时间,提高了主设备和备用设备的双机系统中对于DPI应用的可靠性。
在本发明的第三实施例中,提供一种计算机设备,该计算机设备包括处理器和存储器,存储器存储有基于安全网关深度包检测的连接同步方法的第一计算机程序,处理器用于执行存储器中存储的基于安全网关深度包检测的连接同步方法的第一计算机程序,以实现如下方法步骤;
步骤S01:在消息接收端按照预设长度设置接收消息缓存区;
步骤S02:当消息接收端接收到来自消息发送端的删除消息时,根据删除消息的五元组信息检测是否存在五元组信息对应的新建连接;在不存在五元组信息对应的新建连接情况下,将删除消息缓存到接收消息缓存区。
本实施例中,消息接收端的接收消息缓存区长度大于所述消息发送端的删除消息队列缓存区长度(queueLen),消息接收端的接收消息缓存区长度是所述消息发送端的删除消息队列缓存区长度的2~3倍,本领域的技术人员可以根据需要设置该接收消息缓存区长度,本发明不作进一步限制。本具体实施例采用消息接收端的接收消息缓存区长度大于所述消息发送端的删除消息队列缓存区长度的2倍,消息发送端的删除消息队列缓存区长度为1200字节,即消息接收端的接收消息缓存区长度是2400字节。
本发明的一个具体实施例,当消息接收端接收到来自消息发送端的新建连接消息时,立即执行新建消息,将新建消息创建的连接(简称新建连接)写入连接表中,并且在连接状态设置为确立状态;当消息接收端接收到来自消息发送端的删除消息时,立即执行删除消息,根据删除消息的五元组信息检测是否存在五元组信息对应的新建连接;若不存在五元组信息对应的新建连接情况下,删除消息执行失败,将删除消息缓存到接收消息缓存区中,等待下一次执行;若存在五元组信息对应的新建连接情况下,删除消息执行成功,立即执行删除消息。本发明避免了消息发送端的删除消息先达到消息接收端,导致消息接收端出现大量连接残留,这些连接将无法回收的问题。
进一步地,本实施例,为了避免长时间占用接收消息缓存区,在消息接收端按照预设时长设置接收消息缓存超时时间,
将删除消息缓存到接收消息缓存区之后,检测删除消息对应的接收消息缓存超时时间是否超时;
在接收消息缓存超时时间超时的情况下,删除删除消息;
在接收消息缓存超时时间未超时的情况下,按照预定周期检测是否存在删除消息的五元组信息对应的新建连接,本领域的技术人员可以根据需要设置该预定周期;在存在五元组信息对应的新建连接情况下,删除消息执行成功。
本发明通过设置接收消息缓存超时时间,在一段时间内对先抵达消息接收端的删除消息进行缓存,并且按照预定周期执行删除消息,一旦删除消息执行成功,删除该缓存在消息接收缓存区的删除消息,保障了接收消息缓冲区有足够的缓存空间。
本实施例中,消息接收端的接收消息缓存超时时间大于消息发送端的删除消息队列缓存超时时间(agingTime)。消息接收端的接收消息缓存超时时间是该消息发送端的删除消息队列缓存超时时间的2~3倍,本领域的技术人员可以根据需要设置该接收消息缓存超时时间,本发明不作进一步限制。本具体实施例采用消息接收端的接收消息缓存超时时间大于消息发送端的删除消息队列缓存超时时间的3倍,设消息发送端的删除消息队列缓存超时时间为200ms,即消息接收端的接收消息缓存超时时间600ms。
本发明的一个具体实施例,在对删除消息进行缓存后,检测该删除消息对应的接收消息缓存超时时间,在未达到该缓存超时时间的情况下,按照预定周期调用缓存在接收消息缓存区的删除消息,再次执行删除消息,若删除消息的五元组信息检测存在五元组信息对应的新建连接,删除消息执行成功,不再进行缓存,若删除消息的五元组信息检测不存在五元组信息对应的新建连接,删除消息执行失败,再次对该删除消息进行缓存,等待下一次执行。
本发明在同步消息的接收端通过建立接收消息缓存区以及为每一个缓存在接收消息缓存区的删除消息分配一个接收消息缓存超时时间,提高了主设备和备用设备的双机系统中对于DPI应用的可靠性。
在本发明的第四实施例中,提供一种计算机可读存储介质,该计算机可读存储介质存储有一个或者多个程序,该一个或者多个程序可被一个或者多个处理器执行,该计算机可读存储介质存储用于存储基于安全网关深度包检测的连接同步方法,所述方法包括:
步骤S1:在消息接收端按照预设长度设置接收消息缓存区;
步骤S2:当消息接收端接收到来自消息发送端的删除消息时,根据删除消息的五元组信息检测是否存在五元组信息对应的新建连接;在不存在五元组信息对应的新建连接情况下,将删除消息缓存到接收消息缓存区;
本实施例中,消息接收端的接收消息缓存区长度大于所述消息发送端的删除消息队列缓存区长度(queueLen),消息接收端的接收消息缓存区长度是所述消息发送端的删除消息队列缓存区长度的2~3倍,本领域的技术人员可以根据需要设置该接收消息缓存区长度,本发明不作进一步限制。本具体实施例采用消息接收端的接收消息缓存区长度大于所述消息发送端的删除消息队列缓存区长度的2倍,消息发送端的删除消息队列缓存区长度为1200字节,即消息接收端的接收消息缓存区长度是2400字节。
本发明的一个具体实施例,当消息接收端接收到来自消息发送端的新建连接消息时,立即执行新建消息,将新建消息创建的连接(简称新建连接)写入连接表中,并且在连接状态设置为确立状态;当消息接收端接收到来自消息发送端的删除消息时,立即执行删除消息,根据删除消息的五元组信息检测是否存在五元组信息对应的新建连接;若不存在五元组信息对应的新建连接情况下,删除消息执行失败,将删除消息缓存到接收消息缓存区中,等待下一次执行;若存在五元组信息对应的新建连接情况下,删除消息执行成功,立即执行删除消息。本发明避免了消息发送端的删除消息先达到消息接收端,导致消息接收端出现大量连接残留,这些连接将无法回收的问题。
进一步地,本实施例,为了避免长时间占用接收消息缓存区,在消息接收端按照预设时长设置接收消息缓存超时时间,
将删除消息缓存到接收消息缓存区之后,检测删除消息对应的接收消息缓存超时时间是否超时;
在接收消息缓存超时时间超时的情况下,删除删除消息;
在接收消息缓存超时时间未超时的情况下,按照预定周期检测是否存在删除消息的五元组信息对应的新建连接,本领域的技术人员可以根据需要设置该预定周期;在存在五元组信息对应的新建连接情况下,删除消息执行成功。
本发明通过设置接收消息缓存超时时间,在一段时间内对先抵达消息接收端的删除消息进行缓存,并且按照预定周期执行删除消息,一旦删除消息执行成功,删除该缓存在消息接收缓存区的删除消息,保障了接收消息缓冲区有足够的缓存空间。
本实施例中,消息接收端的接收消息缓存超时时间大于消息发送端的删除消息队列缓存超时时间(agingTime)。消息接收端的接收消息缓存超时时间是所述消息发送端的删除消息队列缓存超时时间的2~3倍,本领域的技术人员可以根据需要设置该接收消息缓存超时时间,本发明不作进一步限制。本具体实施例采用消息接收端的接收消息缓存超时时间大于消息发送端的删除消息队列缓存超时时间的3倍,设消息发送端的删除消息队列缓存超时时间为200ms,即消息接收端的接收消息缓存超时时间600ms。
本发明的一个具体实施例,在对删除消息进行缓存后,检测该删除消息对应的接收消息缓存超时时间,在未达到该缓存超时时间的情况下,按照预定周期调用缓存在接收消息缓存区的删除消息,再次执行删除消息,若删除消息的五元组信息检测存在五元组信息对应的新建连接,删除消息执行成功,不再进行缓存,若删除消息的五元组信息检测不存在五元组信息对应的新建连接,删除消息执行失败,再次对该删除消息进行缓存,等待下一次执行。
本发明在同步消息的接收端通过建立接收消息缓存区以及为每一个缓存在接收消息缓存区的删除消息分配一个接收消息缓存超时时间,提高了主设备和备用设备的双机系统中对于DPI应用的可靠性。
本实施例中,的存储介质可以包括但不限于为:ROM、RAM、磁盘或光盘等。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种基于安全网关深度包检测的连接同步方法,其特征在于,包括:
在消息接收端按照预设长度设置接收消息缓存区;
当所述消息接收端接收到来自消息发送端的删除消息时,根据所述删除消息的五元组信息检测是否存在所述五元组信息对应的新建连接;
在不存在所述五元组信息对应的新建连接情况下,将所述删除消息缓存到所述接收消息缓存区。
2.如权利要求1所述的连接同步方法,其特征在于,所述方法还包括:在消息接收端按照预设时长设置接收消息缓存超时时间;
在将所述删除消息缓存到所述接收消息缓存区之后,检测所述删除消息对应的所述接收消息缓存超时时间是否超时;
在所述接收消息缓存超时时间超时的情况下,删除所述删除消息;
在所述接收消息缓存超时时间未超时的情况下,按照预定周期检测是否存在所述删除消息的五元组信息对应的新建连接;
在存在所述五元组信息对应的新建连接情况下,所述删除消息执行成功。
3.如权利要求1或2所述的连接同步方法,其特征在于,所述消息接收端的接收消息缓存区长度大于所述消息发送端的删除消息队列缓存区长度。
4.如权利要求2所述的连接同步方法,其特征在于,所述消息接收端的接收消息缓存超时时间大于所述消息发送端的删除消息队列缓存超时时间。
5.一种基于安全网关深度包检测的连接同步装置,其特征在于,包括:
消息缓存模块,用于按照预设长度设置接收消息缓存区;
消息处理模块,用于当接收到来自消息发送端的删除消息时,根据所述删除消息的五元组信息检测是否存在所述五元组信息对应的新建连接;在不存在所述五元组信息对应的新建连接情况下。
6.如权利要求5所述的连接同步装置,其特征在于,所述消息缓存模块,还用于按照预设时长设置接收消息缓存超时时间;
所述消息处理模块,还用于在将所述删除消息缓存到所述接收消息缓存区之后,检测所述删除消息对应的所述接收消息缓存超时时间是否超时;在所述接收消息缓存超时时间超时的情况下,删除所述删除消息;在所述接收消息缓存超时时间未超时的情况下,按照预定周期检测是否存在所述删除消息的五元组信息对应的新建连接;在存在所述五元组信息对应的新建连接情况下,所述删除消息执行成功。
7.如权利要求5或6所述的连接同步装置,其特征在于,所述消息缓存模块的接收消息缓存区长度大于所述消息发送端的删除消息队列缓存区长度。
8.如权利要求6所述的连接同步装置,其特征在于,所述消息缓存模块的接收消息缓存超时时间大于所述消息发送端的删除消息队列缓存超时时间。
9.一种计算机设备,其特征在于,所述计算机设备包括处理器和存储器,所述存储器存储有基于安全网关深度包检测的连接同步方法的第一计算机程序,所述处理器执行所述第一计算机程序,以实现如权利要求1至4任意一项所述方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1至4任意一项所述方法步骤。
CN201810236410.4A 2018-03-21 2018-03-21 基于安全网关深度包检测的连接同步方法、装置及介质 Active CN108667682B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810236410.4A CN108667682B (zh) 2018-03-21 2018-03-21 基于安全网关深度包检测的连接同步方法、装置及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810236410.4A CN108667682B (zh) 2018-03-21 2018-03-21 基于安全网关深度包检测的连接同步方法、装置及介质

Publications (2)

Publication Number Publication Date
CN108667682A true CN108667682A (zh) 2018-10-16
CN108667682B CN108667682B (zh) 2020-11-06

Family

ID=63781978

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810236410.4A Active CN108667682B (zh) 2018-03-21 2018-03-21 基于安全网关深度包检测的连接同步方法、装置及介质

Country Status (1)

Country Link
CN (1) CN108667682B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115334136A (zh) * 2022-07-05 2022-11-11 北京天融信网络安全技术有限公司 一种连接老化控制方法、系统、设备及存储介质

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1859307A (zh) * 2006-03-11 2006-11-08 华为技术有限公司 一种数据报传输系统及方法
CN101316145A (zh) * 2008-07-25 2008-12-03 中兴通讯股份有限公司 一种多路信息并行发送及回收的实现方法和装置
CN101370244A (zh) * 2007-08-13 2009-02-18 大唐移动通信设备有限公司 处理移动终端在切换过程并发小区更新的方法及装置
CN101471898A (zh) * 2007-12-28 2009-07-01 华为技术有限公司 一种接入网的保护方法、系统和虚拟接入边缘节点
CN102437959A (zh) * 2011-12-20 2012-05-02 东南大学 基于双超时网络报文的组流方法
US20120106545A1 (en) * 2009-07-24 2012-05-03 Zte Corporation Main/standby switching interface module, network element system, and link information synchronization detection method
CN102999532A (zh) * 2011-09-19 2013-03-27 中兴通讯股份有限公司 用户配置数据的方法及装置
CN103176828A (zh) * 2013-03-29 2013-06-26 北京奇虎科技有限公司 删除应用程序残留文件的方法及装置
US20140101321A1 (en) * 2012-10-05 2014-04-10 Cisco Technology, Inc. Redirecting of Network Traffic for Application of Stateful Services
CN105591810A (zh) * 2015-10-22 2016-05-18 杭州华三通信技术有限公司 备份消息发送方法和设备
US20160246961A1 (en) * 2014-03-18 2016-08-25 Dalian University Of Technology Countering attacks on a cache
CN106325942A (zh) * 2016-08-25 2017-01-11 维沃移动通信有限公司 一种应用程序数据的处理方法及移动终端

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1859307A (zh) * 2006-03-11 2006-11-08 华为技术有限公司 一种数据报传输系统及方法
CN101370244A (zh) * 2007-08-13 2009-02-18 大唐移动通信设备有限公司 处理移动终端在切换过程并发小区更新的方法及装置
CN101471898A (zh) * 2007-12-28 2009-07-01 华为技术有限公司 一种接入网的保护方法、系统和虚拟接入边缘节点
CN101316145A (zh) * 2008-07-25 2008-12-03 中兴通讯股份有限公司 一种多路信息并行发送及回收的实现方法和装置
US20120106545A1 (en) * 2009-07-24 2012-05-03 Zte Corporation Main/standby switching interface module, network element system, and link information synchronization detection method
CN102999532A (zh) * 2011-09-19 2013-03-27 中兴通讯股份有限公司 用户配置数据的方法及装置
CN102437959A (zh) * 2011-12-20 2012-05-02 东南大学 基于双超时网络报文的组流方法
US20140101321A1 (en) * 2012-10-05 2014-04-10 Cisco Technology, Inc. Redirecting of Network Traffic for Application of Stateful Services
CN103176828A (zh) * 2013-03-29 2013-06-26 北京奇虎科技有限公司 删除应用程序残留文件的方法及装置
US20160246961A1 (en) * 2014-03-18 2016-08-25 Dalian University Of Technology Countering attacks on a cache
CN105591810A (zh) * 2015-10-22 2016-05-18 杭州华三通信技术有限公司 备份消息发送方法和设备
CN106325942A (zh) * 2016-08-25 2017-01-11 维沃移动通信有限公司 一种应用程序数据的处理方法及移动终端

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115334136A (zh) * 2022-07-05 2022-11-11 北京天融信网络安全技术有限公司 一种连接老化控制方法、系统、设备及存储介质
CN115334136B (zh) * 2022-07-05 2024-02-02 北京天融信网络安全技术有限公司 一种连接老化控制方法、系统、设备及存储介质

Also Published As

Publication number Publication date
CN108667682B (zh) 2020-11-06

Similar Documents

Publication Publication Date Title
CN103747091A (zh) 一种嵌入式设备的分布式数据同步系统及方法
WO2023046088A1 (zh) 一种应用于音视频数据传输的端到端系统解决方法
CN107528891B (zh) 一种基于WebSocket的自动集群方法及其系统
CN103856440A (zh) 一种基于分布式总线的消息处理方法、服务器和系统
CN103973424A (zh) 缓存系统中的故障解决方法和设备
CN102111419A (zh) 一种基于消息中间件的客户端自动重连方法
CN106301969A (zh) Http长链接的管理方法及系统
CN103441937A (zh) 组播数据的发送方法和接收方法
CN107529229B (zh) 数据传输的方法,装置及系统
CN105025063A (zh) 面向大规模终端设备的在线数据传输方法
CN109189748A (zh) 一种缓存一致性处理方法及nfs服务器
US20080098255A1 (en) Communication management apparatus and communication management method
JP3439320B2 (ja) データ通信方法、データ通信装置、およびデータ通信プログラム記録媒体
CN108667682A (zh) 基于安全网关深度包检测的连接同步方法、装置及介质
CN103607311B (zh) 一种无缝重建tcp连接的系统及方法
CN113691616A (zh) 一种基于长轮询的微服务同步方法、装置及存储介质
CN103873474B (zh) 基于Windows的TCP/IP协议的网络传输方法
CN106612307B (zh) 一种永远在线业务的实现方法及装置
US7609683B2 (en) Communication system, connection management server apparatus, and recording medium on which program is recorded
CN108234595B (zh) 日志传输方法及系统
CN105471718A (zh) 一种全双工消息队列的实现方法
CN101494569B (zh) 一种报文处理方法和装置
CN109274774A (zh) 一种数据存储方法、装置和计算机可读存储介质
CN108234606A (zh) 一种消息管理方法及管理装置
CN101247415A (zh) 一种数据传输与同步的方法及无线终端

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant