CN111193722B - 基于Linux内核加速转发的方法、装置、设备及介质 - Google Patents
基于Linux内核加速转发的方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN111193722B CN111193722B CN201911295721.9A CN201911295721A CN111193722B CN 111193722 B CN111193722 B CN 111193722B CN 201911295721 A CN201911295721 A CN 201911295721A CN 111193722 B CN111193722 B CN 111193722B
- Authority
- CN
- China
- Prior art keywords
- network data
- data stream
- data flow
- historical
- connection table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种基于Linux内核加速转发的方法、装置、设备及介质。包括:服务器获取网络数据流,将该网络数据流放入普通通道;实时获取网络数据流的位置,当网络数据流进入普通通道时,服务器从网络数据流中获取数据流信息,对该网络数据流进行标记,将完成标记的网络数据流放入高速通道中;设定安全检测规则,当网络数据流进入高速通道时,服务器根据安全检测规则对带有标记的网络数据流进行安全检测,当检测结果为安全时,将该带有标记的网络数据流转发。本发明通过建立普通和高速两个通道,设定通道进入条件,将网络数据报文放入对应的通道进行处理,通过这种方式可以提高Linux内核的转发性能,同时提高网络数据报文的安全性。
Description
技术领域
本发明涉及Linux内核网关通信技术领域,尤其涉及一种基于Linux内核加速转发的方法、装置、设备及介质。
背景技术
目前国内外普遍采用Linux内核作为一个通用操作系统内核,在网络安全领域,采用netfilter来作为网络防火墙的控制。Linux内核并非只是处理网络数据,它还有很多子系统,比如内存管理,文件系统,IPC等。导致Linux内核架构层次较多,在大流量环境下,极容易产生性能瓶颈,只能适合网络流量不高的应用场景使用;所以如何提升Linux内核转发性能成为了一个亟待解决的问题。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
有鉴于此,本发明提出了一种基于Linux内核加速转发的方法、装置、设备及介质,旨在解决现有技术无法在大流量环境下对Linux内核转发性能进行提升的技术问题。
本发明的技术方案是这样实现的:
一方面,本发明提供了一种基于Linux内核加速转发的方法,所述基于Linux内核加速转发的方法包括以下步骤:
S1,服务器获取历史数据流连接表,实时获取网络数据流,通过历史数据流连接表对网络数据流进行查找,当历史数据流连接表未查找到网络数据流时,将该网络数据流放入普通通道;
S2,实时获取网络数据流的位置,当网络数据流进入普通通道时,服务器从网络数据流中获取数据流信息,根据该数据流信息建立数据流连接表,对该网络数据流进行标记,将完成标记的网络数据流放入高速通道中;
S3,设定安全检测规则,当网络数据流进入高速通道时,服务器根据安全检测规则对带有标记的网络数据流进行安全检测,当检测结果为安全时,将该带有标记的网络数据流转发。
在以上技术方案的基础上,优选的,步骤S1中,当网络数据流进入普通通道时,还包括以下步骤,获取本地历史数据流连接表以及连接表对应的历史网络数据流,并实时获取网络数据流,通过历史数据流连接表对网络数据流进行查找,当历史数据流连接表对应的历史网络数据流与网络数据流相同时,将该网络数据流放入高速通道中;当历史数据流连接表对应的历史网络数据流与网络数据流不同时,将该网络数据流放入普通通道。
在以上技术方案的基础上,优选的,步骤S2中,实时获取网络数据流的位置,当网络数据流进入普通通道时,服务器从网络数据流中获取数据流信息,根据该数据流信息建立数据流连接表,对该网络数据流进行标记,将完成标记的网络数据流放入高速通道中,还包括以下步骤,服务器从网络数据流中获取数据流信息,所述数据流信息包括:通信信息、连接状态信息以及应用状态信息,根据该数据流信息建立数据流连接表,并通过连接状态信息对该数据流进行检测,所述连接状态信息包括:已连接以及未连接,当检测结果为已连接时,对该网络数据流进行标记,将完成标记的网络数据流放入高速通道中;当检测结果为未连接时,重新选择网络数据流。
在以上技术方案的基础上,优选的,对该网络数据流进行标记,将完成标记的网络数据流放入高速通道中,还包括以下步骤,设定策略判断表,所述策略判断表包括:地址转换表、流量统计策略表以及DDOS策略表,根据该策略判断表对网络数据流进行判断,当该网络数据流中存在策略判断表的所有内容时,对该网络数据流进行标记,将完成标记的网络数据流放入高速通道中;当该网络数据流中不存在策略判断表的所有内容时,重新选择网络数据流。
在以上技术方案的基础上,优选的,步骤S3中,设定安全检测规则,当网络数据流进入高速通道时,服务器根据安全检测规则对带有标记的网络数据流进行安全检测,当检测结果为安全时,将该带有标记的网络数据流转发,还包括以下步骤,设定安全数据流格式,当网络数据流进入高速通道时,服务器通过安全数据流格式对带有标记的网络数据流内容进行安全检测,当检测结果为安全时,将该带有标记的网络数据流转发;当检测结果为不安全时,删除该数据流并发出警报。
在以上技术方案的基础上,优选的,当检测结果为安全时,将该带有标记的网络数据流转发,还包括以下步骤,获取本地历史用户信息,获取访问请求,从该访问请求中提取用户信息,所述用户信息包括:用户IP以及用户端口,通过本地历史用户信息对该用户信息进行查找,当本地历史用户信息无法查找到该用户信息时,对该用户信息的安全性进行检测;当本地历史用户信息可以查找到该用户信息时,将带有标记的网络数据流转发至对应用户IP。
在以上技术方案的基础上,优选的,当本地历史用户信息无法查找到该用户信息时,对该用户信息的安全性进行检测,还包括以下步骤,设定IP数值范围以及端口数值范围,根据IP数值范围对用户IP进行判断,根据端口数值范围对用户端口进行判断,当用户IP满足IP数值范围以及用户端口满足端口数值范围时,将带有标记的网络数据流转发至对应用户IP,并记录该用户信息。
更进一步优选的,所述基于Linux内核加速转发的装置包括:
获取模块,用于服务器获取历史数据流连接表,实时获取网络数据流,通过历史数据流连接表对网络数据流进行查找,当历史数据流连接表未查找到网络数据流时,将该网络数据流放入普通通道;
表建立模块,用于实时获取网络数据流的位置,当网络数据流进入普通通道时,服务器从网络数据流中获取数据流信息,根据该数据流信息建立数据流连接表,对该网络数据流进行标记,将完成标记的网络数据流放入高速通道中;
转发模块,用于设定安全检测规则,用于当网络数据流进入高速通道时,服务器根据安全检测规则对带有标记的网络数据流进行安全检测,当检测结果为安全时,将该带有标记的网络数据流转发。
第二方面,所述基于Linux内核加速转发的方法还包括一种基于Linux内核加速转发的设备,所述设备包括:存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的基于Linux内核加速转发的方法程序,所述基于Linux内核加速转发的方法程序配置为实现如上文所述的基于Linux内核加速转发的方法的步骤。
第三方面,所述基于Linux内核加速转发的方法还包括一种计算机存储介质,所述介质为计算机介质,所述计算机介质上存储有基于Linux内核加速转发的方法程序,所述基于Linux内核加速转发的方法程序被处理器执行时实现如上文所述的基于Linux内核加速转发的方法的步骤。
本发明的一种基于Linux内核加速转发的方法相对于现有技术具有以下有益效果:
(1)通过将网络数据报文处理分为高速与普通两个通道,然后设定通道判断条件,来决定网络数据报文要流入的通道,如果是普通通道,则对网络数据报文走过的路径进行记录,然后将该报文流入高速通道;如果是高速通道,则对该报文进行安全检查后将报文发送,通过这种方式大大提高了Linux内核的转发性能,同时也减少了服务器处理数据的压力;
(2)通过对流入普通通道的网络数据报文进行记录,然后根据记录生成历史数据流连接表,将该历史数据流连接表存入储存库中,当该网络数据报文第二次进入服务器时,可以直接将该网络数据报文放入高速通道发送,通过这样的方式,减少了服务器处理数据的压力。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例方案涉及的硬件运行环境的设备的结构示意图;
图2为本发明基于Linux内核加速转发的方法第一实施例的流程示意图;
图3为本发明基于Linux内核加速转发的方法第一实施例的功能模块示意图。
具体实施方式
下面将结合本发明实施方式,对本发明实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施方式仅仅是本发明一部分实施方式,而不是全部的实施方式。基于本发明中的实施方式,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式,都属于本发明保护的范围。
如图1所示,该设备可以包括:处理器1001,例如中央处理器(Central ProcessingUnit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(Random Access Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对设备的限定,在实际应用中设备可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及基于Linux内核加速转发的方法程序。
在图1所示的设备中,网络接口1004主要用于建立设备与存储基于Linux内核加速转发的方法系统中所需的所有数据的服务器的通信连接;用户接口1003主要用于与用户进行数据交互;本发明基于Linux内核加速转发的方法设备中的处理器1001、存储器1005可以设置在基于Linux内核加速转发的方法设备中,所述基于Linux内核加速转发的方法设备通过处理器1001调用存储器1005中存储的基于Linux内核加速转发的方法程序,并执行本发明实施提供的基于Linux内核加速转发的方法。
结合图2,图2为本发明基于Linux内核加速转发的方法第一实施例的流程示意图。
本实施例中,所述基于Linux内核加速转发的方法包括以下步骤:
S10:服务器获取历史数据流连接表,实时获取网络数据流,通过历史数据流连接表对网络数据流进行查找,当历史数据流连接表未查找到网络数据流时,将该网络数据流放入普通通道。
应当理解的是,服务器会建立普通和高速两个通道来对网络数据流进行处理,其中,高速通道用于对数据进行处理,主要是对报文进行安全检查与转发,普通通道会根据网络数据流建立数据流连接表,同时记录该网络数据流是否经过安全检测,然后将该网络数据流放入高速通道中。
应当理解的是,当服务器获取网络数据流时,会同步检索服务器内部的历史数据流连接表,然后根据这些历史数据流连接表来判断这个网络数据流是否是第一次流入服务器,如果是,则将这个网络数据流放入普通通道,如果不是,则将这个网络数据流放入高速通道,通过这样的方式,来提高Linux内核加速转发的性能。
S20:实时获取网络数据流的位置,当网络数据流进入普通通道时,服务器从网络数据流中获取数据流信息,根据该数据流信息建立数据流连接表,对该网络数据流进行标记,将完成标记的网络数据流放入高速通道中。
应当理解的是,服务器会实时获取网络数据流的位置,当网络数据流已经进入普通通道时,服务器会从网络数据流中获取数据流信息,所述数据流信息包括:通信信息、连接状态信息以及应用状态信息,然后根据这些信息建立数据流连接表,在建立了数据流连接表之后,会根据该网络数据流信息的连接状态信息,这个连接状态信息是指网络数据流有没有与普通通道建立连接,如果有,则对该网络数据流进行标记,将完成标记的网络数据流放入高速通道中;如果没有,则表示这个网络数据流无法被使用,服务器会将这个网络数据流丢弃。
在将完成标记的网络数据流放入高速通道之前,服务器还会对该网络数据流近策略检测,这些策略是指一些网络策略,如地址转换表、流量统计策略表以及DDOS策略表,如果该网络数据流中能够检测到这些策略,则可以对这个网络数据流进行策略标记,表示这个网络数据流在进入高速通道后,不用进行策略检测;如果没有检测到相对应的策略,服务器会出现选择网络数据流。
应当理解的是,DDOS是指分布式拒绝服务攻击,分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用,分布式拒绝服务攻击已经出现了很多次,导致很多的大型网站都出现了无法进行操作的情况,这样不仅仅会影响用户的正常使用,同时造成的经济损失也是非常巨大的。
S30:设定安全检测规则,用于当网络数据流进入高速通道时,服务器根据安全检测规则对带有标记的网络数据流进行安全检测,当检测结果为安全时,将该带有标记的网络数据流转发。
应当理解的是,当网络数据流进入高速通道时,因为之前在普通通道已经对网络数据流的策略进行了检测,所以网络数据流在高速通道中,只需要进行安全性检测,设定安全数据流格式,当网络数据流进入高速通道时,服务器通过安全数据流格式对带有标记的网络数据流内容进行安全检测,当检测结果为安全时,将该带有标记的网络数据流转发;当检测结果为不安全时,删除该数据流并发出警报。
应当理解的是,当服务器中的防火墙检测到用户访问请求时,服务器会从用户访问请求中抽取用户信息数据来对该用户进行身份认证,所述用户信息包括:用户IP以及用户端口,如果这个用户信息从历史记录中可以寻找,那可以将网络数据流直接发送给对应的用户,如果这个用户信息从历史记录中无法寻找,那么这个用户可能是第一次发送访问请求,此时服务器会调用预先设定好的IP数值范围以及端口数值范围,由IP数值范围以及端口数值范围对这个用户信息进行判断,如果该用户信息满足IP数值范围以及端口数值范围,则表示该用户信息是安全用户信息,对这个用户信息进行标记,然后将这个用户信息存入历史用户库中;如果该用户信息不满足IP数值范围以及端口数值范围,服务器会拒绝该用户访问请求,并向工作人员发送警报。通过这种方式,可以提高网络数据流转发的安全性。
应当理解的是,防火墙会根据网络数据流中IP包的信息与安全策略来确定是否转发IP包,通常的包过滤机制在接到每一个IP包时,IP包是被单独匹配和检查的,系统认为IP包之间是没有关联的,是独立地进行路由和转发的,本实施例中,服务器会从上层协议(主要包含TCP、UDP、ICMP协议)的连接状态中,选择出属于相同协议会话的IP数据流。通过有关联的IP数据流来过滤和处理IP包,而不是独立地检查单个IP包,达到提高系统转发效率的目的。
需要说明的是,以上仅为举例说明,并不对本申请的技术方案构成任何限定。
通过上述描述不难发现,本实施例通过服务器获取历史数据流连接表,实时获取网络数据流,通过历史数据流连接表对网络数据流进行查找,当历史数据流连接表未查找到网络数据流时,将该网络数据流放入普通通道;实时获取网络数据流的位置,当网络数据流进入普通通道时,服务器从网络数据流中获取数据流信息,根据该数据流信息建立数据流连接表,对该网络数据流进行标记,将完成标记的网络数据流放入高速通道中;设定安全检测规则,当网络数据流进入高速通道时,服务器根据安全检测规则对带有标记的网络数据流进行安全检测,当检测结果为安全时,将该带有标记的网络数据流转发。本实施例通过建立普通和高速两个通道,设定通道进入条件,将网络数据报文放入对应的通道进行处理,通过这种方式可以提高Linux内核的转发性能,同时提高网络数据报文的安全性。
此外,本发明实施例还提出一种基于Linux内核加速转发的装置。如图3所示,该基于Linux内核加速转发的装置包括:获取模块10、表建立模块20、转发模块30。
获取模块10,用于服务器获取历史数据流连接表,实时获取网络数据流,通过历史数据流连接表对网络数据流进行查找,当历史数据流连接表未查找到网络数据流时,将该网络数据流放入普通通道;
表建立模块20,用于实时获取网络数据流的位置,当网络数据流进入普通通道时,服务器从网络数据流中获取数据流信息,根据该数据流信息建立数据流连接表,对该网络数据流进行标记,将完成标记的网络数据流放入高速通道中;
转发模块30,用于设定安全检测规则,用于当网络数据流进入高速通道时,服务器根据安全检测规则对带有标记的网络数据流进行安全检测,当检测结果为安全时,将该带有标记的网络数据流转发。
此外,需要说明的是,以上所描述的装置实施例仅仅是示意性的,并不对本发明的保护范围构成限定,在实际应用中,本领域的技术人员可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的,此处不做限制。
另外,未在本实施例中详尽描述的技术细节,可参见本发明任意实施例所提供的基于Linux内核加速转发的方法,此处不再赘述。
此外,本发明实施例还提出一种介质,所述介质为计算机介质,所述计算机介质上存储有基于Linux内核加速转发的方法程序,所述基于Linux内核加速转发的方法程序被处理器执行时实现如下操作:
S1,服务器获取历史数据流连接表,实时获取网络数据流,通过历史数据流连接表对网络数据流进行查找,当历史数据流连接表未查找到网络数据流时,将该网络数据流放入普通通道;
S2,实时获取网络数据流的位置,当网络数据流进入普通通道时,服务器从网络数据流中获取数据流信息,根据该数据流信息建立数据流连接表,对该网络数据流进行标记,将完成标记的网络数据流放入高速通道中;
S3,设定安全检测规则,当网络数据流进入高速通道时,服务器根据安全检测规则对带有标记的网络数据流进行安全检测,当检测结果为安全时,将该带有标记的网络数据流转发。
进一步地,所述基于Linux内核加速转发的方法程序被处理器执行时还实现如下操作:
获取本地历史数据流连接表以及连接表对应的历史网络数据流,并实时获取网络数据流,通过历史数据流连接表对网络数据流进行查找,当历史数据流连接表对应的历史网络数据流与网络数据流相同时,将该网络数据流放入高速通道中;当历史数据流连接表对应的历史网络数据流与网络数据流不同时,将该网络数据流放入普通通道。
进一步地,所述基于Linux内核加速转发的方法程序被处理器执行时还实现如下操作:
服务器从网络数据流中获取数据流信息,所述数据流信息包括:通信信息、连接状态信息以及应用状态信息,根据该数据流信息建立数据流连接表,并通过连接状态信息对该数据流进行检测,所述连接状态信息包括:已连接以及未连接,当检测结果为已连接时,对该网络数据流进行标记,将完成标记的网络数据流放入高速通道中;当检测结果为未连接时,重新选择网络数据流。
进一步地,所述基于Linux内核加速转发的方法程序被处理器执行时还实现如下操作:
设定策略判断表,所述策略判断表包括:地址转换表、流量统计策略表以及DDOS策略表,根据该策略判断表对网络数据流进行判断,当该网络数据流中存在策略判断表的所有内容时,对该网络数据流进行标记,将完成标记的网络数据流放入高速通道中;当该网络数据流中不存在策略判断表的所有内容时,重新选择网络数据流。
进一步地,所述基于Linux内核加速转发的方法程序被处理器执行时还实现如下操作:
设定安全数据流格式,当网络数据流进入高速通道时,服务器通过安全数据流格式对带有标记的网络数据流内容进行安全检测,当检测结果为安全时,将该带有标记的网络数据流转发;当检测结果为不安全时,删除该数据流并发出警报。
进一步地,所述基于Linux内核加速转发的方法程序被处理器执行时还实现如下操作:
获取本地历史用户信息,获取访问请求,从该访问请求中提取用户信息,所述用户信息包括:用户IP以及用户端口,通过本地历史用户信息对该用户信息进行查找,当本地历史用户信息无法查找到该用户信息时,对该用户信息的安全性进行检测;当本地历史用户信息可以查找到该用户信息时,将带有标记的网络数据流转发至对应用户IP。
进一步地,所述基于Linux内核加速转发的方法程序被处理器执行时还实现如下操作:
设定IP数值范围以及端口数值范围,根据IP数值范围对用户IP进行判断,根据端口数值范围对用户端口进行判断,当用户IP满足IP数值范围以及用户端口满足端口数值范围时,将带有标记的网络数据流转发至对应用户IP,并记录该用户信息。
以上所述仅为本发明的较佳实施方式而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种基于Linux内核加速转发的方法,其特征在于:包括以下步骤;
S1,服务器获取历史数据流连接表,实时获取网络数据流,通过历史数据流连接表对网络数据流进行查找,当历史数据流连接表未查找到网络数据流时,将该网络数据流放入普通通道;
S2,实时获取网络数据流的位置,当网络数据流进入普通通道时,服务器从网络数据流中获取数据流信息,根据该数据流信息建立数据流连接表,对该网络数据流进行标记,将完成标记的网络数据流放入高速通道中;服务器从网络数据流中获取数据流信息,所述数据流信息包括:通信信息、连接状态信息以及应用状态信息,根据该数据流信息建立数据流连接表,并通过连接状态信息对该数据流进行检测,所述连接状态信息包括:已连接以及未连接,当检测结果为已连接时,对该网络数据流进行标记,将完成标记的网络数据流放入高速通道中;当检测结果为未连接时,重新选择网络数据流;
S3,设定安全检测规则,当网络数据流进入高速通道时,服务器根据安全检测规则对带有标记的网络数据流进行安全检测,当检测结果为安全时,将该带有标记的网络数据流转发。
2.如权利要求1所述的基于Linux内核加速转发的方法,其特征在于:步骤S1中,服务器获取历史数据流连接表,实时获取网络数据流,通过历史数据流连接表对网络数据流进行查找,还包括以下步骤,获取本地历史数据流连接表以及连接表对应的历史网络数据流,并实时获取网络数据流,通过历史数据流连接表对网络数据流进行查找,当历史数据流连接表对应的历史网络数据流与网络数据流相同时,将该网络数据流放入高速通道中;当历史数据流连接表对应的历史网络数据流与网络数据流不同时,将该网络数据流放入普通通道。
3.如权利要求2所述的基于Linux内核加速转发的方法,其特征在于:对该网络数据流进行标记,将完成标记的网络数据流放入高速通道中,还包括以下步骤,设定策略判断表,所述策略判断表包括:地址转换表、流量统计策略表以及DDOS策略表,根据该策略判断表对网络数据流进行判断,当该网络数据流中存在策略判断表的所有内容时,对该网络数据流进行标记,将完成标记的网络数据流放入高速通道中;当该网络数据流中不存在策略判断表的所有内容时,重新选择网络数据流。
4.如权利要求3所述的基于Linux内核加速转发的方法,其特征在于:步骤S3中,设定安全检测规则,当网络数据流进入高速通道时,服务器根据安全检测规则对带有标记的网络数据流进行安全检测,当检测结果为安全时,将该带有标记的网络数据流转发,还包括以下步骤,设定安全数据流格式,当网络数据流进入高速通道时,服务器通过安全数据流格式对带有标记的网络数据流内容进行安全检测,当检测结果为安全时,将该带有标记的网络数据流转发;当检测结果为不安全时,删除该数据流并发出警报。
5.如权利要求4所述的基于Linux内核加速转发的方法,其特征在于:当检测结果为安全时,将该带有标记的网络数据流转发,还包括以下步骤,获取本地历史用户信息,获取访问请求,从该访问请求中提取用户信息,所述用户信息包括:用户IP以及用户端口,通过本地历史用户信息对该用户信息进行查找,当本地历史用户信息无法查找到该用户信息时,对该用户信息的安全性进行检测;当本地历史用户信息可以查找到该用户信息时,将带有标记的网络数据流转发至对应用户IP。
6.如权利要求5所述的基于Linux内核加速转发的方法,其特征在于:当本地历史用户信息无法查找到该用户信息时,对该用户信息的安全性进行检测,还包括以下步骤,设定IP数值范围以及端口数值范围,根据IP数值范围对用户IP进行判断,根据端口数值范围对用户端口进行判断,当用户IP满足IP数值范围以及用户端口满足端口数值范围时,将带有标记的网络数据流转发至对应用户IP,并记录该用户信息。
7.一种基于Linux内核加速转发的装置,其特征在于,所述基于Linux内核加速转发的装置包括:
获取模块,用于服务器获取历史数据流连接表,实时获取网络数据流,通过历史数据流连接表对网络数据流进行查找,当历史数据流连接表未查找到网络数据流时,将该网络数据流放入普通通道;
表建立模块,用于实时获取网络数据流的位置,当网络数据流进入普通通道时,服务器从网络数据流中获取数据流信息,根据该数据流信息建立数据流连接表,对该网络数据流进行标记,将完成标记的网络数据流放入高速通道中;
所述服务器从网络数据流中获取数据流信息,所述数据流信息包括:通信信息、连接状态信息以及应用状态信息,根据该数据流信息建立数据流连接表,并通过连接状态信息对该数据流进行检测,所述连接状态信息包括:已连接以及未连接,当检测结果为已连接时,对该网络数据流进行标记,将完成标记的网络数据流放入高速通道中;当检测结果为未连接时,重新选择网络数据流;
转发模块,用于设定安全检测规则,用于当网络数据流进入高速通道时,服务器根据安全检测规则对带有标记的网络数据流进行安全检测,当检测结果为安全时,将该带有标记的网络数据流转发。
8.一种基于Linux内核加速转发的设备,其特征在于,所述设备包括:存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的基于Linux内核加速转发的方法程序,所述基于Linux内核加速转发的方法程序配置为实现如权利要求1至6任一项所述的基于Linux内核加速转发的方法的步骤。
9.一种计算机存储介质,其特征在于,所述介质为计算机介质,所述计算机介质上存储有基于Linux内核加速转发的方法程序,所述基于Linux内核加速转发的方法程序被处理器执行时实现如权利要求1至6任一项所述的基于Linux内核加速转发的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911295721.9A CN111193722B (zh) | 2019-12-16 | 2019-12-16 | 基于Linux内核加速转发的方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911295721.9A CN111193722B (zh) | 2019-12-16 | 2019-12-16 | 基于Linux内核加速转发的方法、装置、设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111193722A CN111193722A (zh) | 2020-05-22 |
CN111193722B true CN111193722B (zh) | 2022-02-22 |
Family
ID=70709793
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911295721.9A Active CN111193722B (zh) | 2019-12-16 | 2019-12-16 | 基于Linux内核加速转发的方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111193722B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101699796A (zh) * | 2009-09-09 | 2010-04-28 | 成都飞鱼星科技开发有限公司 | 一种基于流信任的数据报文高速转发的方法、系统及路由器 |
CN101895729A (zh) * | 2010-07-06 | 2010-11-24 | 南京南自信息技术有限公司 | 基于嵌入式Linux裁剪系统的流媒体服务器 |
CN102404874A (zh) * | 2011-10-24 | 2012-04-04 | 上海汉枫电子科技有限公司 | 基于物联网的无线传感网络模块 |
CN102638453A (zh) * | 2012-03-13 | 2012-08-15 | 广州华多网络科技有限公司 | 一种基于Linux系统服务器的语音数据内核转发方法 |
CN103347014A (zh) * | 2013-06-25 | 2013-10-09 | 深圳市共进电子股份有限公司 | 网络快速转发模块及网络快速转发实现方法 |
CN105681194A (zh) * | 2016-03-14 | 2016-06-15 | 上海市共进通信技术有限公司 | 实现网关设备二层数据包快速转发的方法 |
CN106790309A (zh) * | 2017-03-31 | 2017-05-31 | 山东超越数控电子有限公司 | 一种应用于多协议安全网关系统的过滤模块及其应用 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102904959B (zh) * | 2012-10-19 | 2016-01-20 | 北京极科极客科技有限公司 | 网络加速方法和网关 |
JP2016536882A (ja) * | 2013-10-28 | 2016-11-24 | 華為技術有限公司Huawei Technologies Co.,Ltd. | Rrcステータス制御方法、装置およびデバイス |
-
2019
- 2019-12-16 CN CN201911295721.9A patent/CN111193722B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101699796A (zh) * | 2009-09-09 | 2010-04-28 | 成都飞鱼星科技开发有限公司 | 一种基于流信任的数据报文高速转发的方法、系统及路由器 |
CN101895729A (zh) * | 2010-07-06 | 2010-11-24 | 南京南自信息技术有限公司 | 基于嵌入式Linux裁剪系统的流媒体服务器 |
CN102404874A (zh) * | 2011-10-24 | 2012-04-04 | 上海汉枫电子科技有限公司 | 基于物联网的无线传感网络模块 |
CN102638453A (zh) * | 2012-03-13 | 2012-08-15 | 广州华多网络科技有限公司 | 一种基于Linux系统服务器的语音数据内核转发方法 |
CN103347014A (zh) * | 2013-06-25 | 2013-10-09 | 深圳市共进电子股份有限公司 | 网络快速转发模块及网络快速转发实现方法 |
CN105681194A (zh) * | 2016-03-14 | 2016-06-15 | 上海市共进通信技术有限公司 | 实现网关设备二层数据包快速转发的方法 |
CN106790309A (zh) * | 2017-03-31 | 2017-05-31 | 山东超越数控电子有限公司 | 一种应用于多协议安全网关系统的过滤模块及其应用 |
Non-Patent Citations (2)
Title |
---|
基于Linux的智能家居研究与实现;郑聪;《科技视界》;20170225;全文 * |
多通道高速数据转发系统的设计与实现;任敏;《中国优秀硕士学位论文全文数据库(电子期刊)》;20170228;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN111193722A (zh) | 2020-05-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114145004B (zh) | 用于使用dns消息以选择性地收集计算机取证数据的系统及方法 | |
US9660833B2 (en) | Application identification in records of network flows | |
US8732296B1 (en) | System, method, and computer program product for redirecting IRC traffic identified utilizing a port-independent algorithm and controlling IRC based malware | |
US9444821B2 (en) | Management server, communication cutoff device and information processing system | |
CN106936791B (zh) | 拦截恶意网址访问的方法和装置 | |
EP2136526A1 (en) | Method, device for identifying service flows and method, system for protecting against a denial of service attack | |
EP2482497B1 (en) | Data forwarding method, data processing method, system and device thereof | |
CN106302371B (zh) | 一种基于用户业务系统的防火墙控制方法和系统 | |
US20060198313A1 (en) | Method and device for detecting and blocking unauthorized access | |
CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
US20130294449A1 (en) | Efficient application recognition in network traffic | |
JP5980968B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
US10033734B2 (en) | Apparatus management system, apparatus management method, and program | |
WO2019043804A1 (ja) | ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体 | |
CN111010362B (zh) | 一种异常主机的监控方法及装置 | |
CN111193722B (zh) | 基于Linux内核加速转发的方法、装置、设备及介质 | |
CN107241297A (zh) | 通信拦截方法及装置、服务器 | |
CN113206852B (zh) | 一种安全防护方法、装置、设备及存储介质 | |
Li et al. | An efficient intrusion detection and prevention system against SIP malformed messages attacks | |
JP2006013732A (ja) | ルーティング装置および情報処理装置の認証方法 | |
CN103746918B (zh) | 报文转发系统和报文转发方法 | |
CN110768930B (zh) | 服务器的数据转发方法和装置 | |
CN107888624B (zh) | 一种防护网络安全的方法和装置 | |
JP2007142841A (ja) | 攻撃パケット迂回システム、方法、およびトンネル機能付きルータ | |
CN105827427B (zh) | 一种信息处理方法及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |