[发明专利]一种基于网络处理器的流量限制系统及其方法

说明书

技术领域

本发明涉及网络信息安全领域，特别涉及一种基于网络处理器的流量限制 系统及其方法。

背景技术

随着网络的快速发展，网络安全问题也日益严重。从对大多数网络安全事 件的分析来看，发生安全威胁时的网络流量都会表现出异常，所以对网络流量 进行检测和限制，对保障网络的安全有着非常积极的意义。网络流量异常是指 某段时间内网络中流量发生明显的不规则变化。总的来说，导致网络流量异常 的原因可以大致分为两类：系统或者网络配置错误致使网络流量达到环境承受 限度；发生恶意的网络攻击行为。至今为止，有大量的国内外研究人员对网络 异常流量的检测技术进行了深入的研究，并且取得了很多积极的成果。比较经 典的网络异常流量检测方法有：基于统计学模型的异常流量检测法、基于正常 阈值基线的检测法、基于马尔可夫链的检测方法和基于小波分析的检测方法等 等。根据这些方法检测出网络流量出现异常之后，就可以采取相应的措施进行 限流了。

但是，和异常流量检测技术相匹配的异常流量限制技术就相对滞后。目 前，流量限制一般都是与负载均衡关联在一起的，为了达到系统负载均衡的目 的才采取流量限制，这虽然可以保证系统的稳定性，但是比较难保证优质的 QoS(服务质量，Quality of Service)。另一方面，TCP/IP协议自身有与流量 限制相关的拥塞控制技术，这对于正常的流量有着较好的控制作用，并且也可 以保证必要的QoS，但是当涉及到异常流量时，就显得力不从心，无法保证必 要的QoS。再者，现有的流量限制方法，大都缺乏自适应性和智能性。

根据国际网络处理器会议(Network Processors Conference)的定义： 网络处理器是一种可编程器件，它特定地应用于通信领域的各种任务，比如包 处理、协议分析、路由查找、声音/数据的汇聚、防火墙或QoS等等。所以， 将网络处理器应用于网络中的检测是个很合适的方案。

发明内容

本发明的目的在于克服上述现有技术的缺点与不足，提供一种基于网络处 理器的流量限制系统，本发明采用基于流量状态来制定限流策略，这不仅可以 保证系统的稳定性，并且可以很好地保证了QoS。

本发明的另一目的在于提供上述一种基于网络处理器的流量限制系统的流 量限制方法。

本发明的目的是通过下述技术方案实现的：一种基于网络处理器的流量限 制系统，包括网络处理器和上位机；所述网络处理器连接有用于存储数据包原 始信息的DRAM存储器和用于存储流量状态信息和限流策略表的SRAM存储器； 所述网络处理器设置有：

与外部网络相连的MSF交换结构(介质交换结构，Media Switch  Fabric)，用于接收网络数据包，并将数据包原始信息存入DRAM存储器；

流量嗅探微模块，用于读取DRAM存储器中的数据包原始信息并进行流量 嗅探，得出相应的流量状态信息存入SRAM存储器并上传给学习机；

流量过滤微模块，用于执行SRAM存储器中限流策略表中的限流策略；

学习机，用于实时学习DRAM存储器的数据包原始信息及其相应的流量状 态信息以调整相应的限流策略，将调整后的限流策略更新到SRAM存储器的限 流策略表，并将调整限流策略的信息通过Xscale管理界面反馈给上位机；

Xscale管理界面，用于实现学习机与上位机之间的通信。

所述MSF交换结构与DRAM存储器、流量嗅探微模块与DRAM存储器、流量 嗅探微模块与SRAM存储器、MSF交换结构与流量过滤微模块、以及Xscale管 理界面与上位机之间均通过PCI总线相连接，有效提供了网络处理器的内部通 信、处理速度，以及网络处理器和上位机的通信速度。

所述学习机通过学习机的芯片内部总线，分别与DRAM存储器、SRAM存储 器、流量嗅探微模块、流量过滤微模块以及Xscale管理界面相连接。

为更好地实现本发明，本发明采用的网络处理器为Intel公司的第二代网 络处理器IXP2850，与第一代相比，它充分而全面地考虑了网络数据 流的统计特性，并采取了相应硬件加速设备和软件技术，极大地提高了网络数 据包的处理速度，并且在很大程度上缩短了网络应用的开发周期。

上述一种基于网络处理器的流量限制系统的流量限制方法，具体如下：