數(shù)據(jù)處理方法及數(shù)據(jù)處理系統(tǒng)的制作方法
【技術領域】
[0001]本申請涉及網絡通信技術���,特別涉及數(shù)據(jù)處理方法及數(shù)據(jù)處理系統(tǒng)。
【背景技術】
[0002]隨著網絡數(shù)據(jù)的爆炸式增長�����,目前���,對于大多數(shù)網絡設備而言��,其在業(yè)務處理過程中�,會因為網絡數(shù)據(jù)的增多而出現(xiàn)網絡資源不足的情況出現(xiàn),比如出現(xiàn)CPU資源����、存儲資源不足的情況,這會導致網絡設備的處理速度緩慢���、甚至導致網絡設備故障等情況。
[0003]下面以應用于入侵防御系統(tǒng)中的網絡設備為例描述網絡資源不足的情況�。
[0004]通常入侵防御系統(tǒng)部署為在線(Inline)的工作模式,在數(shù)據(jù)傳輸?shù)穆窂街?�,任何報文都必須經過其中的網絡設備做檢測���,網絡設備一旦發(fā)現(xiàn)有蠕蟲�、病毒���、后門����、木馬��、間諜軟件�、可疑代碼、網絡釣魚等攻擊行為����,就會立即阻斷攻擊����,隔離攻擊源����,屏蔽蠕蟲、病毒和間諜軟件等�����,同時記錄日志告知網絡管理員���,這樣就會預防病毒在網絡中傳播����。圖1具體示出了入侵防御系統(tǒng)對報文的處理流程圖��。
[0005]在圖1所示的處理流程中�,應用識別(UAAE)、深度檢測(OCIF)兩個處理操作大量占用網絡設備的CPU資源��,通過測試數(shù)據(jù)發(fā)現(xiàn),UAAE�����、0CIF在運行時幾乎占用了網絡設備的所有CPU資源�,這在目前入侵防御系統(tǒng)中計算的數(shù)據(jù)諸多的情況下,網絡設備就會出現(xiàn)CPU資源不足的情況����,無法滿足入侵防御的需求,也會影響網絡設備執(zhí)行圖1所示其他處理操作���。
【發(fā)明內容】
[0006]本申請?zhí)峁┝藬?shù)據(jù)處理方法及數(shù)據(jù)處理系統(tǒng),以避免網絡設備出現(xiàn)網絡資源不足的情況�。
[0007]本申請?zhí)峁┑募夹g方案包括:
[0008]一種數(shù)據(jù)處理系統(tǒng),包括:
[0009]業(yè)務邏輯層模塊��,用于接收到任一網絡設備轉發(fā)的應用報文時���,對所述應用報文的應用進行分類識別����,并依據(jù)識別結果決策出對所述應用報文進行的處理操作��;以及接收數(shù)據(jù)處理層模塊反饋的處理結果,并依據(jù)處理結果決策出對應的處理操作�;
[0010]數(shù)據(jù)處理層模塊,包括單任務讀/寫(I/O)并發(fā)處理模塊和檢索模塊���;
[0011]其中�,單任務I/O并發(fā)處理模塊��,用于用于在所述業(yè)務邏輯層模塊決策出的處理操作為針對單任務的I/o處理操作時�����,控制單任務的I/O并發(fā)處理����,并在執(zhí)行完單任務的I/O并發(fā)處理后,會將最終的處理結果反饋給業(yè)務邏輯層模塊�����;
[0012]檢索模塊����,用于在所述業(yè)務邏輯層模塊決策出的處理操作為數(shù)據(jù)檢索時,執(zhí)行數(shù)據(jù)檢索以找到最終的檢索結果����,并將最終的檢索結果反饋給業(yè)務邏輯層模塊����。
[0013]一種數(shù)據(jù)處理方法�����,該方法應用于如上所述的數(shù)據(jù)處理系統(tǒng)����,包括:
[0014]業(yè)務邏輯層模塊接收任一網絡設備轉發(fā)的原本由該網絡設備處理的應用報文;
[0015]所述業(yè)務邏輯層模塊對所述應用報文的應用進行分類識別���,并依據(jù)識別結果決策出對所述應用報文進行的處理操作;
[0016]數(shù)據(jù)處理層模塊的單任務讀/寫(I/O)并發(fā)處理模塊在所述業(yè)務邏輯層模塊決策出的處理操作為針對單任務的I/o處理操作時�,控制單任務的I/O并發(fā)處理,并在執(zhí)行完單任務的I/o并發(fā)處理后���,會將最終的處理結果反饋給業(yè)務邏輯層模塊��;
[0017]數(shù)據(jù)處理層模塊的檢索模塊在所述業(yè)務邏輯層模塊決策出的處理操作為數(shù)據(jù)檢索時��,執(zhí)行數(shù)據(jù)檢索以找到最終的檢索結果���,并將最終的檢索結果反饋給業(yè)務邏輯層模塊��;
[0018]業(yè)務邏輯層模塊接收數(shù)據(jù)處理層模塊反饋的處理結果�����,并依據(jù)處理結果繼續(xù)決策出對應的處理操作��。
[0019]由以上技術方案可以看出����,本發(fā)明中�����,業(yè)務邏輯層模塊能夠對種類繁多的應用協(xié)議進行模型化����,分類進行識別,同時在模型化識別的基礎上進行智能決策���,這能夠提高數(shù)據(jù)處理精度����;
[0020]進一步地,本發(fā)明中����,通過單任務I/O并發(fā)處理模塊能夠實現(xiàn)單個任務并發(fā)執(zhí)行,解決現(xiàn)有技術中單個任務無法并發(fā)執(zhí)行的問題���;
[0021]更進一步地��,本發(fā)明中,通過將現(xiàn)有網絡設備比較耗費CPU資源的檢索模塊移除出來,放至本發(fā)明提供的系統(tǒng)中執(zhí)行�����,并且采用異構方式執(zhí)行檢索���,這能夠在任務層面實現(xiàn)I/o的并發(fā),避免網絡設備出現(xiàn)網絡資源不足的情況�����。
【附圖說明】
[0022]圖1為現(xiàn)有入侵防御的流程圖�����;
[0023]圖2為本發(fā)明實施例提供的數(shù)據(jù)處理系統(tǒng)的結構圖����;
[0024]圖3為本發(fā)明實施例提供的數(shù)據(jù)處理系統(tǒng)運行的硬件結構圖;
[0025]圖4為本發(fā)明實施例提供的數(shù)據(jù)處理系統(tǒng)的運行流程圖����;
[0026]圖5為本發(fā)明實施例提供的單任務I/O并發(fā)處理模塊的結構圖����;
[0027]圖6為本發(fā)明實施例提供的檢索模塊的結構圖;
[0028]圖7為本發(fā)明實施例提供的檢索處理模塊實現(xiàn)流程圖����;
[0029]圖8為本發(fā)明實施例提供的網絡設備與本發(fā)明的數(shù)據(jù)處理系統(tǒng)相結合實現(xiàn)入侵防御的結構圖。
【具體實施方式】
[0030]為了使本發(fā)明的目的����、技術方案和優(yōu)點更加清楚����,下面結合附圖和具體實施例對本發(fā)明進行詳細描述。
[0031]本發(fā)明提供了一種數(shù)據(jù)處理系統(tǒng)�����,其中����,該系統(tǒng)可以運行在一臺由若干個虛擬機構成的物理主機上,也可以運行在一組物理主機組成的集群設備上���。
[0032]下面對本發(fā)明提供的數(shù)據(jù)處理系統(tǒng)進行描述:
[0033]參見圖2�����,圖2為本發(fā)明實施例提供的數(shù)據(jù)處理系統(tǒng)的結構圖��。如圖2所示���,所述數(shù)據(jù)處理系統(tǒng)包括:業(yè)務邏輯層模塊和數(shù)據(jù)處理層模塊����。下面對業(yè)務邏輯層模塊和數(shù)據(jù)處理層模塊這兩個模塊進行描述:
[0034]業(yè)務邏輯層模塊:
[0035]本發(fā)明中���,業(yè)務邏輯層模塊���,其存儲了預先設置的業(yè)務邏輯�����,比如預設的用于對應用報文的數(shù)據(jù)特征進行跟蹤的具有狀態(tài)的特征狀態(tài)機,以及預先針對至少一種應用協(xié)議建立的應用協(xié)議模型化�����,該應用協(xié)議模型化能夠方便業(yè)務邏輯層模塊對后續(xù)收到的應用報文進行應用識別。
[0036]當然�����,業(yè)務邏輯層模塊存儲的業(yè)務邏輯還包括目前安全產品常用的邏輯�����,這里不再贅述�����。
[0037]本發(fā)明中,所述業(yè)務邏輯層模塊用于接收任一網絡設備轉發(fā)的原本由該網絡設備處理的應用報文���,當接收到所述應用報文時�����,利用預先設置的應用協(xié)議模型對所述應用報文的應用進行分類識別,和/或��,對所述應用報文的數(shù)據(jù)特征進行識別,并通過預設的具有狀態(tài)的特征狀態(tài)機對所述應用報文的數(shù)據(jù)特征進行跟蹤���,以精確識別出所述應用報文的應用��。
[0038]之后,所述業(yè)務邏輯層模塊依據(jù)識別結果決策出對所述應用報文進行的處理操作�,并通知數(shù)據(jù)處理層模塊執(zhí)行本業(yè)務邏輯層模塊決策出的處理操作。反過來���,業(yè)務邏輯層模塊還會結合當前的應用環(huán)境對數(shù)據(jù)處理層模塊執(zhí)行完處理操作的結果進行分析�����,并依據(jù)分析結果繼續(xù)決策出對應的處理操作���,如果該處理操作需要數(shù)據(jù)處理層模塊執(zhí)行���,則再通知數(shù)據(jù)處理層模塊,而如果該處理操作需要網絡設備執(zhí)行�,比如該處理操作為策略管理,其執(zhí)行時占用的CPU資源比較少�,則返回給網絡設備執(zhí)行。這能夠提高數(shù)據(jù)處理精度��。
[0039]作為本發(fā)明的一個實施例�,本發(fā)明中,所述業(yè)務邏輯層模塊接收到的來自所述網絡設備的應用報文�,是由所述網絡設備依據(jù)所述應用報文本身的需求識別出針對該應用報文的處理滿足設定條件時發(fā)送的���。
[0040]優(yōu)選地�,所述設定條件包括但不限于:針對所述應用報文的處理占用所述網絡設備的CPU資源大于設定閾值����。這里,設定閾值可依據(jù)實際情況設置��,其在設置時可考慮由網絡設備將所有原由本設備處理的所有應用報文發(fā)送至本發(fā)明的數(shù)據(jù)處理系統(tǒng),也可考慮由網絡設備僅將原本由本設備處理的部分應用報文發(fā)送至本發(fā)明的數(shù)據(jù)處理系統(tǒng)�����,本發(fā)明并不具體限定����。
[0041]優(yōu)選地,本發(fā)明中����,業(yè)務邏輯層模塊內置統(tǒng)一的定義語言,為用戶提供了可擴展��、可升級的應用識別和行為識別能力�����。業(yè)務邏輯層的定義語言融合了協(xié)議定義���、攻擊特征定義����、內容過濾特征定義、應用協(xié)議行為定義���,能夠很好地擴展各項功能����。
[0042]以應用于入侵防御系統(tǒng)為例�����,由于應用識別UAAE執(zhí)行時占用的網絡設備的CPU資源比較大�,以大于上述的設定閾值為例,則應用于本發(fā)明��,當網絡設備收到應用報文后�,識別出該應用報文是用于入侵防御,則對該應用報文進行一些占用CPU資源遠遠小于設定閾值的處理�����,之后�����,將該處理后的應用報文發(fā)送至所述業(yè)務邏輯層模塊�����。業(yè)務邏輯層模塊收到應用報文后�����,在應用中識別攻擊等特征行為�,對應用報文的應用協(xié)議進行協(xié)議解析,然后決策出對應的處理操作為UAAE�����,并通知給數(shù)據(jù)處理層模塊執(zhí)行UAAE�。反過來,業(yè)務邏輯層模塊會結合當前的應用環(huán)境對數(shù)據(jù)處理層模塊的UAAE結果進行分析����,并繼續(xù)智能決策出對應的處理操作,如果該處理操作需要數(shù)據(jù)處理層模塊執(zhí)行�,則通知數(shù)據(jù)處理層模塊,而如果該處理操作需要網絡設備執(zhí)行�����,比如該處理操作為策略管理��,其執(zhí)行時占用的CPU資源比較少,則返回給網絡設備執(zhí)行��。這能夠提高數(shù)據(jù)處理精度�。
[0043]數(shù)據(jù)處理層模塊:
[0044]數(shù)據(jù)處理層模塊,其依賴于業(yè)務邏輯層模塊決策出的處理操作執(zhí)行�����,其中���,數(shù)據(jù)處理層模塊具體實現(xiàn)時可包括單任務讀/寫(I/O)并發(fā)處理模塊和檢索模塊�。
[0045]這里�,單任務I/O并發(fā)處理模塊,用于在所述業(yè)務邏輯層模塊決策出的處理操作為針對單任務的I/o處理操作時��,控制單任務的I/O并發(fā)處理���,并在執(zhí)行完單任務的I/O并發(fā)處理后��,會將最終的處理結果反饋給業(yè)務邏輯層模塊�����;
[0046]檢索模塊�,用于在所述業(yè)務邏輯層模塊決策出的處理操作為數(shù)據(jù)