CN111464505A - 消息处理方法、设备、装置、存储介质及处理器 - Google Patents
消息处理方法、设备、装置、存储介质及处理器 Download PDFInfo
- Publication number
- CN111464505A CN111464505A CN202010167477.4A CN202010167477A CN111464505A CN 111464505 A CN111464505 A CN 111464505A CN 202010167477 A CN202010167477 A CN 202010167477A CN 111464505 A CN111464505 A CN 111464505A
- Authority
- CN
- China
- Prior art keywords
- message
- log
- processing chip
- network
- network processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2212/00—Encapsulation of packets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种消息处理方法、设备、装置、存储介质及处理器。该方法包括:获取网络处理芯片中目标事件对应的日志消息;通过网络处理芯片的逻辑电路,对日志消息进行封装,得到消息报文;将消息报文通过网络处理芯片的网络端口发送至目标设备。通过本申请,解决了相关技术中CPU参与网络处理芯片中消息的产生、处理与发出的过程,芯片中存在业务通道向日志通道渗透的安全问题。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种消息处理方法、设备、装置、存储介质及处理器。
背景技术
现有的网络安全防御体系中,存在网络处理专用芯片中业务通道向日志通道渗透的安全缺陷,为了克服该缺陷,相关技术中出现了以下解决方案。
一些专用芯片架构的防火墙设备,包括支持标准的OpenFlow协议的交换机设备,为了减少片内的策略查找表从而避免通道渗透问题,把收到的会话的首包转发给设备外部的控制器系统,由控制器系统查询并决定转发策略,然后再将转发策略下发给防火墙设备或交换机,而会话日志则由控制器根据收到的首包信息产生,同时会话结束的时候应该也会发消息给控制器。但是,这样的处理存在以下问题:一、会话首包的处理延迟增加,二、降低了每秒新建会话的性能指标,三、留下了从业务通道对控制器攻击的物理通道。
在一些专用芯片架构网络设备中,由芯片抽取流经流量日志(netflow或sflow)的每个报文的五元组信息,将日志消息发送给网络设备中的嵌入式CPU,再经过嵌入式CPU的处理后存储在本地的存储空间,或封装成日志报文发送给远端的管理平台。但是,这种日志的产生方式会造成两方面的问题:一、由CPU处理日志消息会耗费嵌入式CPU的大量运算资源,打开这个功能系统性能明显受到影响,同时后台分析系统的处理能力也要设计的足够强大,但是收到的大量信息是冗余的,真正有效的信息只占很小的比例。二、在骨干线路上部署的网络设备提取的报文信息量太大,往往超出设备的负载能力,在实际使用过程中并不是把所有报文的信息都封装成netflow消息,而是会设置抽取比例,例如20:1或50:1,即每20个包或50个包抽取一个包提取5元组信息,然后再按一定的算法推算出真实流量的情况,这种方式只能应用于电信运营商级别的宏观统计分析,无法用于安全事件分析。
此外,还存在基于CPU架构或基于多核网络处理器(Network Processer)架构的网络安全设备或流量分析设备,这些设备一般是通过镜像端口获得流量,CPU对所有报文进行缓存和拆包分析然后再将分析的结果生成攻击日志或流量日志消息,要么在本地存储,要么封装成日志报文发送给更高层的管理平台。但是,这样的处理方式存在的问题是:一、单台设备处理性能不足,只好采用集群方式分析,要前置部署分流设备,导致整个分析系统和管理系统过于庞大。二、这种集群处理方式会造成较大的处理延迟,实时性比较差,对突发性网络安全事件的分析和处置不及时。三、部署采集流量的探针(镜像)位置是关键问题,如果只在关键路径上部署,则很多内网之间(汇聚交换机以下的)的流量没有被覆盖到。因为接入交换机一般都不具备端口镜像功能,即便使用更高端具备端口镜像功能的交换机,在现有网络系统中难以形成全网覆盖。
也即,相关技术中要么是CPU软件直接产生的消息并完成报文封装,要么是硬件产生消息然后由CPU软件完成报文封装,再通过网络发送到分析系统。由于CPU系统的后门和漏洞不可避免,因此采用这样的消息处理方式就给攻击者留下了从业务通道向消息处理通道渗透的脆弱点,给整个网络安全防御体系造成潜在的风险。
针对相关技术中CPU参与网络处理芯片中消息的产生、处理与发出的过程,芯片中存在业务通道向日志通道渗透的安全问题,目前尚未提出有效的解决方案。
发明内容
本申请提供一种消息处理方法、设备、装置、存储介质及处理器,以解决相关技术中CPU参与网络处理芯片中消息的产生、处理与发出的过程,芯片中存在业务通道向日志通道渗透的安全问题。
根据本申请的一个方面,提供了一种消息处理方法。该方法包括:获取网络处理芯片中目标事件对应的日志消息;通过网络处理芯片的逻辑电路,对日志消息进行封装,得到消息报文;将消息报文通过网络处理芯片的网络端口发送至目标设备。
进一步地,至少获取以下之一目标事件对应的日志消息:新建会话时产生的日志消息,会话结束时产生的日志消息,进行目标策略匹配时产生的日志消息。
进一步地,获取网络处理芯片中目标事件对应的日志消息包括:将每个目标事件对应的日志消息缓存在该目标事件发生区域对应的消息队列中;不同消息队列分别将缓存的日志消息缓存至网络处理芯片中的缓存区。
进一步地,在将消息报文通过网络处理芯片的网络端口发送至目标设备之前,该方法还包括:查询目标网络端口的状态;在目标网络端口处于空闲状态的情况下,将缓存的日志消息合并后发送至网络处理芯片的报文修改区域。
进一步地,通过网络处理芯片的逻辑电路,对日志消息进行封装,得到消息报文包括:在报文修改区域内,通过消息报文包头寄存器的配置信息确定消息报文包头;通过合并的日志消息的数量确定消息头;通过日志消息的消息内容确定消息体;通过循环冗余校验值确定消息尾;基于消息报文包头、消息头、消息体和消息尾确定消息报文。
进一步地,将消息报文通过网络处理芯片的网络端口发送至目标设备包括:将消息报文发送至网络端口对应的发送缓存区;将发送缓存区的消息报文通过网络发送至日志分析存储服务器。
进一步地,消息报文包头寄存器由CPU通过PCIe接口在网络处理芯片初始化阶段进行配置。
根据本申请的另一方面,提供了另一种消息处理方法。该方法包括:在网络处理芯片初始化阶段,接收CPU读写网络处理芯片内部的消息报文包头寄存器的地址的请求,以配置消息报文包头寄存器,其中,消息报文包头寄存器用于确定消息报文包头;在网络处理芯片初始化完成后,在网络处理芯片内部执行上述任意一项的消息处理方法。
根据本申请的另一方面,提供了一种消息处理设备。该设备包括:网络处理芯片,用于通过逻辑电路对芯片内部的日志消息进行封装,得到消息报文;CPU,用于配置网络处理芯片内部的消息报文包头寄存器,其中,消息报文包头寄存器用于在封装日志消息的过程中确定消息报文包头;通信电路,用于将消息报文传输至目标设备。
根据本申请的另一方面,提供了一种消息处理装置。该装置包括:获取单元,用于获取网络处理芯片中目标事件对应的日志消息;封装单元,用于通过网络处理芯片的逻辑电路,对日志消息进行封装,得到消息报文;发送单元,用于将消息报文通过网络处理芯片的网络端口发送至目标设备。
根据本申请的另一方面,提供了另一种消息处理装置。该装置包括:配置单元,用于在网络处理芯片初始化阶段,接收CPU读写网络处理芯片内部的消息报文包头寄存器的地址的请求,以配置消息报文包头寄存器,其中,消息报文包头寄存器用于确定消息报文包头;执行单元,用于在网络处理芯片初始化完成后,在网络处理芯片内部执行上述任意一项的消息处理方法。
为了实现上述目的,根据本申请的另一方面,提供了一种存储介质,存储介质包括存储的程序,其中,程序执行上述任意一种消息处理方法。
为了实现上述目的,根据本申请的另一方面,提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述任意一种消息处理方法。
通过本申请,采用以下步骤:获取网络处理芯片中目标事件对应的日志消息;通过网络处理芯片的逻辑电路,对日志消息进行封装,得到消息报文;将消息报文通过网络处理芯片的网络端口发送至目标设备,解决了相关技术中CPU参与网络处理芯片中消息的产生、处理与发出的过程,芯片中存在业务通道向日志通道渗透的安全问题。进而达到了网络处理芯片中消息的产生、处理与发出的过程中无需CPU参与,阻断了芯片中业务通道向日志通道渗透的效果。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的一种消息处理方法的流程图;
图2是根据本申请实施例提供的一种消息处理方法的示意图;
图3是根据本申请实施例提供的另一种消息处理方法的流程图;
图4是根据本申请实施例提供的另一种消息处理方法的流程图;
图5是根据本申请实施例提供的消息处理设备的示意图;
图6是根据本申请实施例提供的消息处理设备中芯片内部的示意图;
图7是根据本申请实施例提供的一种消息处理装置的示意图;以及
图8是根据本申请实施例提供的另一种消息处理装置的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
根据本申请的实施例,提供了一种消息处理方法。
图1是根据本申请实施例的消息处理方法的流程图。如图1所示,该方法包括以下步骤:
步骤S101,获取网络处理芯片中目标事件对应的日志消息。
需要说明的是,网络处理芯片中的目标事件可以是安全策略匹配事件,具体地,安全策略匹配查找表建立在芯片内部,策略匹配查找不需要送到芯片片外处理,匹配的结果可直接被片内其他模块使用,并产生片内日志消息。目标事件也可以是会话事件,具体地,新会话的建立和已经存在的会话的拆除以及超时老化等处理,均产生片内日志消息。
日志消息的来源有多种,可选地,在本申请实施例提供的消息处理方法中,至少获取以下之一目标事件对应的日志消息:新建会话时产生的日志消息,会话结束时产生的日志消息,进行目标策略匹配时产生的日志消息。
日志消息的来源主要分为三种,具体地,在会话表新建会话的时候会产生一条日志消息,消息内容除了7元组外还包含会话建立的时间。在会话正常结束或被会话表轮询老化掉的会话也会产生一条日志消息,内容包括7元组、会话结束的时间、应用类型、上/下行报文数、上/下行字节数。此外,白名单匹配失败,或行为基线比对失败会产生报警消息,其他由策略匹配也会产生消息。
进一步地,在本申请实施例提供的消息处理方法中,获取网络处理芯片中目标事件对应的日志消息包括:将每个目标事件对应的日志消息缓存在该目标事件发生区域对应的消息队列中;不同消息队列分别将缓存的日志消息缓存至网络处理芯片中的缓存区。
具体地,各种触发条件导致来自多个片内模块的消息源产生消息,片内产生的消息先在各种模块的消息队列中做缓存,各个模块的消息队列向消息发送缓冲区发起写入请求,以先到先入的方式写入消息发送缓冲区,此时所有的消息按特定内容格式的数据块封装在消息容器中。
步骤S102,通过网络处理芯片的逻辑电路,对日志消息进行封装,得到消息报文。
进一步地,在本申请实施例提供的消息处理方法中,通过网络处理芯片的逻辑电路,对日志消息进行封装,得到消息报文包括:在报文修改区域内,通过消息报文包头寄存器的配置信息确定消息报文包头;通过合并的日志消息的数量确定消息头;通过日志消息的消息内容确定消息体;通过循环冗余校验值确定消息尾;基于消息报文包头、消息头、消息体和消息尾确定消息报文。
如图2所示,将3个会话老化消息、1个新建会话消息和1个白名单匹配消息共5个消息发送至消息发送缓存区后,将缓存好的5个消息容器合并后形成的消息数据块发送到报文修改缓冲区,同时根据缓冲区内装载的消息数量生成一个消息头信息,按指定偏移位置存放到报文修改缓冲区中,而消息报文的2~4层包头,则由CPU事先配置好的消息报文包头寄存器中的内容填充到报文修改缓冲区的MAC头、IP头、UDP头的位置,因而,经过消息报文2~4层头的填充,消息头的填充,以及合并后的消息体的填充,再计算CRC校验并封装在包的尾部,形成完整的消息报文通过报文发送模块发送。
以上为消息通道的处理途径,而在业务通道中,产生的会话以及策略匹配结果直接通过输出队列传至报文发送模块进行发出,虽然业务流量也通过各个模块的输出队列以及报文发送模块,但是,在同一模块中由经的具体路径不同。
通过本实施例,一方面,消息报文的特殊封装方式阻断了从CPU配置通道向消息通道渗透的可能性。另一方面,芯片本身的通道隔离模式防止了从业务通道向日志通道的渗透,以及从配置通道向日志通道的渗透。再一方面,业务通道与消息通道芯片内部完全不同的处理路径,阻断了业务通道向消息通道渗透的可能性。
进一步地,在本申请实施例提供的消息处理方法中,消息报文包头寄存器由CPU通过PCIe接口在网络处理芯片初始化阶段进行配置。
需要说明的是,芯片内部设计消息报文的包头封装信息寄存器,在芯片初始化阶段由嵌入式CPU通过PCIe接口进行配置,在芯片运行过程中该寄存器无需修改。也即,消息载荷由芯片内部产生,合并后形成消息数据块,没有CPU参与,CPU只能访问这个寄存器,无法直接通过这个通道发送任何报文到消息通道,也无法决定发送消息的内容或篡改消息的内容。
步骤S103,将消息报文通过网络处理芯片的网络端口发送至目标设备。
本申请实施例提供的消息处理方法,通过获取网络处理芯片中目标事件对应的日志消息;通过网络处理芯片的逻辑电路,对日志消息进行封装,得到消息报文;将消息报文通过网络处理芯片的网络端口发送至目标设备,解决了相关技术中CPU参与网络处理芯片中消息的产生、处理与发出的过程,芯片中存在业务通道向日志通道渗透的安全问题。进而达到了网络处理芯片中消息的产生、处理与发出的过程中无需CPU参与,阻断了芯片中业务通道向日志通道渗透的效果。
进一步地,在本申请实施例提供的消息处理方法中,在将消息报文通过网络处理芯片的网络端口发送至目标设备之前,该方法还包括:查询目标网络端口的状态;在目标网络端口处于空闲状态的情况下,将缓存的日志消息合并后发送至网络处理芯片的报文修改区域。
具体地,查询指定的消息报文输出物理端口状态,当端口空闲的时候,就将当前缓存的消息合并后发送至报文修改区域,通过报文修改模块进行封装,防止了端口繁忙时便进行消息的封装,封装后无法发送的问题。
进一步地,在本申请实施例提供的消息处理方法中,将消息报文通过网络处理芯片的网络端口发送至目标设备包括:将消息报文发送至网络端口对应的发送缓存区;将发送缓存区的消息报文通过网络发送至日志分析存储服务器。
具体地,将消息报文发送至输出物理端口的发送缓冲区,再由报文发送模块经MACTx模块发送到片外,消息报文最终通过网络到达日志分析和存储服务器,进行进一步的分析与存储。
实施例2
图3是根据本申请实施例的另一种消息处理方法的流程图。如图3所示,该方法包括以下步骤:
步骤S301,在网络处理芯片初始化阶段,接收CPU读写网络处理芯片内部的消息报文包头寄存器的地址的请求,以配置消息报文包头寄存器,其中,消息报文包头寄存器用于确定消息报文包头。
需要说明的是,芯片内部设计消息报文的包头封装信息寄存器,在芯片初始化阶段由嵌入式CPU通过PCIe接口进行配置,具体地,由CPU经过PCIe总线发送对片内地址读写命令的方式配置消息包头封装信息寄存器形,CPU只能访问这个寄存器,无法直接通过这个通道发送任何报文到消息通道,且在芯片运行过程中该寄存器无需修改。
步骤S302,在网络处理芯片初始化完成后,在网络处理芯片内部执行上述任意一项的消息处理方法。
具体地,芯片内部产生的消息经过片内逻辑电路的封装处理,通过消息报文包头寄存器添加2~4层包头,计算报文的校验和,形成完整的以太网帧格式的数据包,从指定的网口发送出去,消息从产生到发送出芯片的全过程,无CPU直接参与,从而避免了消息处理过程中CPU参与导致的不安全问题。
本申请实施例提供的消息处理方法,通过在网络处理芯片初始化阶段,接收CPU读写网络处理芯片内部的消息报文包头寄存器的地址的请求,以配置消息报文包头寄存器,其中,消息报文包头寄存器用于确定消息报文包头;在网络处理芯片初始化完成后,在网络处理芯片内部执行上述任意一项的消息处理方法,解决了相关技术中CPU参与网络处理芯片中消息的产生、处理与发出的过程,芯片中存在业务通道向日志通道渗透的安全问题。进而达到了网络处理芯片中消息的产生、处理与发出的过程中无需CPU参与,阻断了芯片中业务通道向日志通道渗透的效果。
实施例3
图4是根据本申请实施例的另一种消息处理方法的流程图。如图4所示,该方法包括以下步骤:
首先,各种触发条件导致来自多个片内模块消息源产生多源的片内消息;新产生的消息先分别在各自源的队列里缓存,也即,在各自模块的队列里缓存;各个模块的消息队列向消息发送缓冲区发起写入请求,以先到先入的方式写入消息发送缓冲区。
然后,查看日志输出网口的状态,如果空闲则将日志消息包头配置寄存器的信息写入报文修改缓冲区的MAC头、IP头、UDP头的位置,也即,消息报文2~4层头位置,根据该消息报文封装的消息数量、消息报文序列号等信息生成消息报文头信息填充在UDP头之后的位置,再将消息发送缓冲区中缓存的所有消息从消息报文头之后的偏移位置写入报文修改缓冲区,计算UDP校验值和包尾的CRC校验值写入报文修改缓冲区相应的位置。
最后,将报文修改缓冲区中的报文发送到消息输出网口发送缓冲区,并将报文发送出芯片网口
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
实施例4
图5是根据本申请实施例的消息处理设备的示意图。如图5所示,该设备包括:
网络处理芯片51,用于通过逻辑电路对芯片内部的日志消息进行封装,得到消息报文.。
具体地,如图6所示,网络处理芯片51包括会话日志处理模块,用于获取芯片内产生的日志消息;会话日志处理模块中包括消息合并处理模块,用于在将消息发送封装前实现消息的缓存和合并;带宽控制模块或输出队列管理模块,用于在端口队列空闲的情况下,将合并的消息发送至报文修改缓冲区;报文修改模块,用于在报文修改缓冲区将日志消息封装为消息报文,在消息封装的过程中,通过消息报文包头寄存器确定消息报文包头。报文发送模块,用于将封装好的报文进行发出。
CPU52,用于配置网络处理芯片内部的消息报文包头寄存器,其中,消息报文包头寄存器用于在封装日志消息的过程中确定消息报文包头。
需要说明的是,报文包头寄存器在芯片初始化阶段由嵌入式CPU通过PCIe接口进行配置,CPU只能访问这个寄存器,无法直接通过这个通道发送任何报文到消息通道,且在芯片运行过程中该寄存器无需修改。
通信电路53,用于将消息报文传输至目标设备。
具体地,报文发送模块通过通信电路53将消息报文传输至报文分析和存储服务器。
通过本实施例,在网络安全设备中的安全策略匹配和会话建立、拆除的相关消息全部由芯片内部逻辑产生并封装成以太网帧格式消息报文的能力,全过程不需要嵌入式CPU参与,提高了系统处理性能,降低了消息产生的延迟时间,降低了嵌入式CPU的负载,同时实现了在芯片内部的消息产生和发送通道与业务通道隔离,避免攻击者在网络安全设备上从业务通道向消息处理通道的渗透,芯片内部不存在任何通道可以将业务通道的数据报文转发到消息通道,提高了网络安全设备自身的安全性,也提高了网络安全防护体系的整体安全性,确保了部署在网络中的交换设备或安全设备采集到的日志信息的通道不会被入侵或渗透。
实施例5
本申请实施例还提供了一种消息处理装置,需要说明的是,本申请实施例的消息处理装置可以用于执行本申请实施例所提供的用于消息处理方法。以下对本申请实施例提供的消息处理装置进行介绍。
图7是根据本申请实施例的消息处理装置的示意图。如图7所示,该装置包括:获取单元71、封装单元72和发送单元73。
具体地,获取单元71,用于获取网络处理芯片中目标事件对应的日志消息。
封装单元72,用于通过网络处理芯片的逻辑电路,对日志消息进行封装,得到消息报文。
发送单元73,用于将消息报文通过网络处理芯片的网络端口发送至目标设备。
可选地,在本申请实施例提供的消息处理装置中,至少获取以下之一目标事件对应的日志消息:新建会话时产生的日志消息,会话结束时产生的日志消息,进行目标策略匹配时产生的日志消息。
可选地,在本申请实施例提供的消息处理装置中,获取单元71包括:第一缓存模块,用于将每个目标事件对应的日志消息缓存在该目标事件发生区域对应的消息队列中;第二缓存模块,用于不同消息队列分别将缓存的日志消息缓存至网络处理芯片中的缓存区。
可选地,在本申请实施例提供的消息处理装置中,该装置还包括:查询单元,用于在将消息报文通过网络处理芯片的网络端口发送至目标设备之前,查询目标网络端口的状态;合并单元,用于在目标网络端口处于空闲状态的情况下,将缓存的日志消息合并后发送至网络处理芯片的报文修改区域。
可选地,在本申请实施例提供的消息处理装置中,封装单元72包括:第一确定模块,用于在报文修改区域内,通过消息报文包头寄存器的配置信息确定消息报文包头;第二确定模块,用于通过合并的日志消息的数量确定消息头;第三确定模块,用于通过日志消息的消息内容确定消息体;第四确定模块,用于通过循环冗余校验值确定消息尾;第五确定模块,用于基于消息报文包头、消息头、消息体和消息尾确定消息报文。
可选地,在本申请实施例提供的消息处理装置中,发送单元73包括:第一发送模块,用于将消息报文发送至网络端口对应的发送缓存区;第二发送模块,用于将发送缓存区的消息报文通过网络发送至日志分析存储服务器。
可选地,在本申请实施例提供的消息处理装置中,消息报文包头寄存器由CPU通过PCIe接口在网络处理芯片初始化阶段进行配置。
本申请实施例提供的消息处理装置,通过获取单元71获取网络处理芯片中目标事件对应的日志消息;封装单元72通过网络处理芯片的逻辑电路,对日志消息进行封装,得到消息报文;发送单元73将消息报文通过网络处理芯片的网络端口发送至目标设备,解决了相关技术中CPU参与网络处理芯片中消息的产生、处理与发出的过程,芯片中存在业务通道向日志通道渗透的安全问题,进而达到了网络处理芯片中消息的产生、处理与发出的过程中无需CPU参与,阻断了芯片中业务通道向日志通道渗透的效果。
所述消息处理装置包括处理器和存储器,上述获取单元71、封装单元72和发送单元73等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来解决相关技术中CPU参与网络处理芯片中消息的产生、处理与发出的过程,芯片中存在业务通道向日志通道渗透的安全问题。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
实施例6
图8是根据本申请实施例的另一种消息处理装置的示意图。如图8所示,该装置包括:配置单元81和执行单元82。
具体地,配置单元81,用于在网络处理芯片初始化阶段,接收CPU读写网络处理芯片内部的消息报文包头寄存器的地址的请求,以配置消息报文包头寄存器,其中,消息报文包头寄存器用于确定消息报文包头。
执行单元82,用于在网络处理芯片初始化完成后,在网络处理芯片内部执行上述任意一项的消息处理方法。
本申请实施例提供的消息处理装置,通过配置单元81在网络处理芯片初始化阶段,接收CPU读写网络处理芯片内部的消息报文包头寄存器的地址的请求,以配置消息报文包头寄存器,其中,消息报文包头寄存器用于确定消息报文包头;执行单元82在网络处理芯片初始化完成后,在网络处理芯片内部执行上述任意一项的消息处理方法,解决了相关技术中CPU参与网络处理芯片中消息的产生、处理与发出的过程,芯片中存在业务通道向日志通道渗透的安全问题,进而达到了网络处理芯片中消息的产生、处理与发出的过程中无需CPU参与,阻断了芯片中业务通道向日志通道渗透的效果。
所述消息处理装置包括处理器和存储器,上述配置单元81和执行单元82等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来解决相关技术中CPU参与网络处理芯片中消息的产生、处理与发出的过程,芯片中存在业务通道向日志通道渗透的安全问题。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
实施例7
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现所述消息处理方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述消息处理方法。
本发明实施例提供了一种设备,该设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:获取网络处理芯片中目标事件对应的日志消息;通过网络处理芯片的逻辑电路,对日志消息进行封装,得到消息报文;将消息报文通过网络处理芯片的网络端口发送至目标设备。
至少获取以下之一目标事件对应的日志消息:新建会话时产生的日志消息,会话结束时产生的日志消息,进行目标策略匹配时产生的日志消息。
获取网络处理芯片中目标事件对应的日志消息包括:将每个目标事件对应的日志消息缓存在该目标事件发生区域对应的消息队列中;不同消息队列分别将缓存的日志消息缓存至网络处理芯片中的缓存区。
在将消息报文通过网络处理芯片的网络端口发送至目标设备之前,该方法还包括:查询目标网络端口的状态;在目标网络端口处于空闲状态的情况下,将缓存的日志消息合并后发送至网络处理芯片的报文修改区域。
通过网络处理芯片的逻辑电路,对日志消息进行封装,得到消息报文包括:在报文修改区域内,通过消息报文包头寄存器的配置信息确定消息报文包头;通过合并的日志消息的数量确定消息头;通过日志消息的消息内容确定消息体;通过循环冗余校验值确定消息尾;基于消息报文包头、消息头、消息体和消息尾确定消息报文。
将消息报文通过网络处理芯片的网络端口发送至目标设备包括:将消息报文发送至网络端口对应的发送缓存区;将发送缓存区的消息报文通过网络发送至日志分析存储服务器。
消息报文包头寄存器由CPU通过PCIe接口在网络处理芯片初始化阶段进行配置。本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:获取网络处理芯片中目标事件对应的日志消息;通过网络处理芯片的逻辑电路,对日志消息进行封装,得到消息报文;将消息报文通过网络处理芯片的网络端口发送至目标设备。
至少获取以下之一目标事件对应的日志消息:新建会话时产生的日志消息,会话结束时产生的日志消息,进行目标策略匹配时产生的日志消息。
获取网络处理芯片中目标事件对应的日志消息包括:将每个目标事件对应的日志消息缓存在该目标事件发生区域对应的消息队列中;不同消息队列分别将缓存的日志消息缓存至网络处理芯片中的缓存区。
在将消息报文通过网络处理芯片的网络端口发送至目标设备之前,该方法还包括:查询目标网络端口的状态;在目标网络端口处于空闲状态的情况下,将缓存的日志消息合并后发送至网络处理芯片的报文修改区域。
通过网络处理芯片的逻辑电路,对日志消息进行封装,得到消息报文包括:在报文修改区域内,通过消息报文包头寄存器的配置信息确定消息报文包头;通过合并的日志消息的数量确定消息头;通过日志消息的消息内容确定消息体;通过循环冗余校验值确定消息尾;基于消息报文包头、消息头、消息体和消息尾确定消息报文。
将消息报文通过网络处理芯片的网络端口发送至目标设备包括:将消息报文发送至网络端口对应的发送缓存区;将发送缓存区的消息报文通过网络发送至日志分析存储服务器。
消息报文包头寄存器由CPU通过PCIe接口在网络处理芯片初始化阶段进行配置。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (13)
1.一种消息处理方法,其特征在于,包括:
获取网络处理芯片中目标事件对应的日志消息;
通过所述网络处理芯片的逻辑电路,对所述日志消息进行封装,得到消息报文;
将所述消息报文通过所述网络处理芯片的网络端口发送至目标设备。
2.根据权利要求1所述的方法,其特征在于,至少获取以下之一目标事件对应的日志消息:
新建会话时产生的日志消息,会话结束时产生的日志消息,进行目标策略匹配时产生的日志消息。
3.根据权利要求1所述的方法,其特征在于,获取网络处理芯片中目标事件对应的日志消息包括:
将每个所述目标事件对应的日志消息缓存在该目标事件发生区域对应的消息队列中;
不同消息队列分别将缓存的所述日志消息缓存至所述网络处理芯片中的缓存区。
4.根据权利要求1所述的方法,其特征在于,在将所述消息报文通过所述网络处理芯片的网络端口发送至目标设备之前,所述方法还包括:
查询目标网络端口的状态;
在所述目标网络端口处于空闲状态的情况下,将缓存的所述日志消息合并后发送至所述网络处理芯片的报文修改区域。
5.根据权利要求4所述的方法,其特征在于,通过所述网络处理芯片的逻辑电路,对所述日志消息进行封装,得到消息报文包括:
在所述报文修改区域内,通过消息报文包头寄存器的配置信息确定消息报文包头;
通过合并的所述日志消息的数量确定消息头;
通过所述日志消息的消息内容确定消息体;
通过循环冗余校验值确定消息尾;
基于所述消息报文包头、所述消息头、所述消息体和所述消息尾确定所述消息报文。
6.根据权利要求1所述的方法,其特征在于,将所述消息报文通过所述网络处理芯片的网络端口发送至目标设备包括:
将所述消息报文发送至所述网络端口对应的发送缓存区;
将所述发送缓存区的所述消息报文通过网络发送至日志分析存储服务器。
7.根据权利要求5所述的方法,其特征在于,所述消息报文包头寄存器由CPU通过PCIe接口在所述网络处理芯片初始化阶段进行配置。
8.一种消息处理方法,其特征在于,包括:
在网络处理芯片初始化阶段,接收CPU读写所述网络处理芯片内部的消息报文包头寄存器的地址的请求,以配置所述消息报文包头寄存器,其中,所述消息报文包头寄存器用于确定消息报文包头;
在所述网络处理芯片初始化完成后,在所述网络处理芯片内部执行权利要求1至6任意一项所述的消息处理方法。
9.一种消息处理设备,其特征在于,包括:
网络处理芯片,用于通过逻辑电路对芯片内部的日志消息进行封装,得到消息报文;
CPU,用于配置所述网络处理芯片内部的消息报文包头寄存器,其中,所述消息报文包头寄存器用于在封装所述日志消息的过程中确定消息报文包头;
通信电路,用于将所述消息报文传输至目标设备。
10.一种消息处理装置,其特征在于,包括:
获取单元,用于获取网络处理芯片中目标事件对应的日志消息;
封装单元,用于通过所述网络处理芯片的逻辑电路,对所述日志消息进行封装,得到消息报文;
发送单元,用于将所述消息报文通过所述网络处理芯片的网络端口发送至目标设备。
11.一种消息处理装置,其特征在于,包括:
配置单元,用于在网络处理芯片初始化阶段,接收CPU读写所述网络处理芯片内部的消息报文包头寄存器的地址的请求,以配置所述消息报文包头寄存器,其中,所述消息报文包头寄存器用于确定消息报文包头;
执行单元,用于在所述网络处理芯片初始化完成后,在所述网络处理芯片内部执行权利要求1至6任意一项所述的消息处理装置。
12.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序执行权利要求1至7中任意一项所述的消息处理方法。
13.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至7中任意一项所述的消息处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010167477.4A CN111464505B (zh) | 2020-03-11 | 2020-03-11 | 消息处理方法、设备、装置、存储介质及处理器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010167477.4A CN111464505B (zh) | 2020-03-11 | 2020-03-11 | 消息处理方法、设备、装置、存储介质及处理器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111464505A true CN111464505A (zh) | 2020-07-28 |
CN111464505B CN111464505B (zh) | 2022-04-15 |
Family
ID=71680706
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010167477.4A Active CN111464505B (zh) | 2020-03-11 | 2020-03-11 | 消息处理方法、设备、装置、存储介质及处理器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111464505B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112260968A (zh) * | 2020-10-16 | 2021-01-22 | 盛科网络(苏州)有限公司 | 遥测数据报文的处理方法及装置 |
CN112468359A (zh) * | 2020-11-10 | 2021-03-09 | 许继集团有限公司 | 电力系统物联网边缘物联代理装置的日志采集系统及方法 |
CN112702173A (zh) * | 2020-12-23 | 2021-04-23 | 上海芯钛信息科技有限公司 | 基于批量运算机制实现车载通信网关高速密码运算的方法 |
CN113872886A (zh) * | 2021-09-07 | 2021-12-31 | 杭州迪普信息技术有限公司 | 一种报文封装的方法及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090157904A1 (en) * | 2007-12-14 | 2009-06-18 | Smith Thomas M | Analysis tool for intra-node application messaging |
CN102098291A (zh) * | 2010-12-17 | 2011-06-15 | 天津曙光计算机产业有限公司 | 一种基于fpga的网络安全日志处理方法和装置 |
CN103558995A (zh) * | 2013-10-15 | 2014-02-05 | 华为技术有限公司 | 一种存储控制芯片及磁盘报文传输方法 |
CN103781072A (zh) * | 2012-10-25 | 2014-05-07 | 中国移动通信集团江苏有限公司 | 一种终端智能卡的实现方法和芯片 |
CN108647131A (zh) * | 2018-04-08 | 2018-10-12 | 广州视源电子科技股份有限公司 | 运行日志的输出系统 |
CN109361608A (zh) * | 2018-11-23 | 2019-02-19 | 北京六方领安网络科技有限公司 | 报文处理方法、系统及存储介质 |
-
2020
- 2020-03-11 CN CN202010167477.4A patent/CN111464505B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090157904A1 (en) * | 2007-12-14 | 2009-06-18 | Smith Thomas M | Analysis tool for intra-node application messaging |
CN102098291A (zh) * | 2010-12-17 | 2011-06-15 | 天津曙光计算机产业有限公司 | 一种基于fpga的网络安全日志处理方法和装置 |
CN103781072A (zh) * | 2012-10-25 | 2014-05-07 | 中国移动通信集团江苏有限公司 | 一种终端智能卡的实现方法和芯片 |
CN103558995A (zh) * | 2013-10-15 | 2014-02-05 | 华为技术有限公司 | 一种存储控制芯片及磁盘报文传输方法 |
CN108647131A (zh) * | 2018-04-08 | 2018-10-12 | 广州视源电子科技股份有限公司 | 运行日志的输出系统 |
CN109361608A (zh) * | 2018-11-23 | 2019-02-19 | 北京六方领安网络科技有限公司 | 报文处理方法、系统及存储介质 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112260968A (zh) * | 2020-10-16 | 2021-01-22 | 盛科网络(苏州)有限公司 | 遥测数据报文的处理方法及装置 |
CN112468359A (zh) * | 2020-11-10 | 2021-03-09 | 许继集团有限公司 | 电力系统物联网边缘物联代理装置的日志采集系统及方法 |
CN112702173A (zh) * | 2020-12-23 | 2021-04-23 | 上海芯钛信息科技有限公司 | 基于批量运算机制实现车载通信网关高速密码运算的方法 |
CN112702173B (zh) * | 2020-12-23 | 2023-11-10 | 上海芯钛信息科技有限公司 | 基于批量运算机制实现车载通信网关高速密码运算的方法 |
CN113872886A (zh) * | 2021-09-07 | 2021-12-31 | 杭州迪普信息技术有限公司 | 一种报文封装的方法及装置 |
CN113872886B (zh) * | 2021-09-07 | 2024-03-26 | 杭州迪普信息技术有限公司 | 一种报文封装的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN111464505B (zh) | 2022-04-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111464505B (zh) | 消息处理方法、设备、装置、存储介质及处理器 | |
CN102055667B (zh) | 用于实现网络规则的方法和设备 | |
CN113326228B (zh) | 基于远程直接数据存储的报文转发方法、装置及设备 | |
CN110896373A (zh) | 用于动态选择虚拟交换的资源的技术 | |
US20220191140A1 (en) | Data transmission control method, apparatus, and storage medium | |
CN112737914B (zh) | 报文处理方法、装置、网络设备及可读存储介质 | |
US20220244861A1 (en) | Data Access Method and Apparatus, and First Computing Device | |
CN106549821B (zh) | 一种网络环路检测方法及控制器 | |
CN105897929B (zh) | 一种视频监控数据备份的方法及装置 | |
CN114598510A (zh) | 蜜场网络流量重定向系统、方法、电子设备、介质及产品 | |
CN114697387B (zh) | 数据包传输方法、装置及存储介质 | |
US11252184B2 (en) | Anti-attack data transmission method and device | |
CN116723162B (zh) | 一种网络首包处理方法、系统、装置、介质及异构设备 | |
CN116074253B (zh) | 一种报文链式转发方法及装置 | |
CN106817316B (zh) | 探测路径mtu的方法、装置和系统 | |
CN114039795A (zh) | 软件定义路由器及基于该软件定义路由器的数据转发方法 | |
CN109450794B (zh) | 一种基于sdn网络的通信方法及设备 | |
CN117376662B (zh) | 一种集群式视频安全边界交换方法及装置 | |
CN115190077B (zh) | 控制方法、装置及计算设备 | |
US20220353198A1 (en) | Forwarding Information Obtaining Method and Apparatus | |
CN114553583B (zh) | 一种网络安全分析系统、方法、设备与存储介质 | |
CN111835550B (zh) | 网络节点 | |
CN110445721B (zh) | 一种报文转发方法及装置 | |
US20220103250A1 (en) | Fault protection method, device, and system for optical network | |
CN116248605A (zh) | 故障处理方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20211203 Address after: 201100 Room 601, No. 72, phase I, Dongyuan gulongcheng, Lane 66, Gulong Road, Minhang District, Shanghai Applicant after: He Xuefeng Address before: 101100 Room 101, floor 2, building 55, yard 5, Yujing East Road, Tongzhou District, Beijing 2289 Applicant before: Beijing Jixin Network Security Technology Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |