分享基于云网关的深度报文检测技术
发布时间:2023-10-16 12:57:06 所属栏目:云计算 来源:
导读:在 DPI 系统的结构中,采用了将控制权分配出去的分离式思想,主要包括数据转发面和控制管理面,控制管理面主要完成对规则的配置管理工作,数据转发面主要完成对报文应用层协议的解析和转发等工作。通过将数据转发面和
|
在 DPI 系统的结构中,采用了将控制权分配出去的分离式思想,主要包括数据转发面和控制管理面,控制管理面主要完成对规则的配置管理工作,数据转发面主要完成对报文应用层协议的解析和转发等工作。通过将数据转发面和控制管理面分离开来,对业务进行更好地维护和管理,从而提高系统的可维护性和可扩展性。 从控制管理层面上看,DPI各个业务模块的需求都可以抽象化成“规则”,基于这些规则定义可以生成不同的“分类”对象;规则同时具有“使能状态、报文动作”等属性,内部还设置有特征、选项等关键字部件。 控制管理层面的工作在用户状态完成,主要工作包括: 统一开放格式的规则管理; 统一开放格式的特征库加载和文件解析; 配置变更和下发流程管理,包括引擎的编译和下发、规则的下发,以及它们的板间同步。 从社交媒体数据特别是转发数据的层面上看,DPI各个业务需求都需要对应用层协议进行解析、解码和搜索。为了保证高效转发和单次报文处理,有别于传统防火墙的设计思路,在新一代安全产品的实现过程中必须有并行的检测引擎,尽可能保证只对报文进行一次处理。数据转发层面的需求主要在内核态进行处理,涉及到的几个功能模块如下: 协议解析器; 搜索算法引擎; 检测结果处理模块(又称报文动作处理模块),一般是在I/O 接口的处理流程中。 DPI系统架构如图所示,这种将控制管理层和数据转发层相互独立的设计模型,使得CPU密集型的引擎预处理(编译和下发)和高性能的搜索算法过程分离在用户态和内核态,也可以使得我们的预处理和匹配在不同的单板甚至不同的设备上进行,易于保证转发流程的检测持续性和稳定性,匹配也易于由软件查表扩展成硬件处理器来完成。 DPI根据自身的应用特征库与数据报文进行匹配,当DPI接收到数据报文时,先对数据报文进行解析,提取报文的五元组信息和特征字信息。 如图4所示,从报文应用层提取的特征字信息为Host信息,根据此Host信息依次与应用特征库中的特征信息进行匹配,并获取相应的标记结果。 如若从报文应用层获取的特征字信息与应用特征库中的特征信息成功匹配,则可在应用特征库中查找到该特征信息对应的业务类型,并给该报文流打上相应的业务标记;如若未能成功匹配,就给报文打上一个未知标记,并将报文特征字信息及其标记结果更新到特征表中,后续云网关将根据特征表对报文流进行策略分流处理,特征表部分特征信息如表1所示。 特征匹配完成后,业务报文都会被打上一层应用类型的标记结果,云网关根据标记结果对报文进行策略路由选路,打上未知标记的报文都统一被送到公网服务器进行卸载,而打上其他标记结果的业务报文被分别送往不同的业务服务器进行分流处理。报文内部转发过程如图5所示,上述QQ业务类型的报文经过特征识别后会打上标记tag8,云网关根据标记结果配置相应的策略路由指定下一跳转发,这样QQ业务报文就被送到IP为192.168.2.10的业务服务器进行业务处理了。在云网关的支持下,用户可以通过手机客户端访问网站,也可以通过云网关访问网站,并且可以直接访问网站的内容。 (编辑:马鞍山站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
