[发明专利]消息处理方法、设备、装置、存储介质及处理器

说明书

本申请公开了一种消息处理方法、设备、装置、存储介质及处理器。该方法包括：获取网络处理芯片中目标事件对应的日志消息；通过网络处理芯片的逻辑电路，对日志消息进行封装，得到消息报文；将消息报文通过网络处理芯片的网络端口发送至目标设备。通过本申请，解决了相关技术中CPU参与网络处理芯片中消息的产生、处理与发出的过程，芯片中存在业务通道向日志通道渗透的安全问题。

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种消息处理方法、设备、装置、存储介质及处理器。

背景技术

现有的网络安全防御体系中，存在网络处理专用芯片中业务通道向日志通道渗透的安全缺陷，为了克服该缺陷，相关技术中出现了以下解决方案。

一些专用芯片架构的防火墙设备，包括支持标准的OpenFlow协议的交换机设备，为了减少片内的策略查找表从而避免通道渗透问题，把收到的会话的首包转发给设备外部的控制器系统，由控制器系统查询并决定转发策略，然后再将转发策略下发给防火墙设备或交换机，而会话日志则由控制器根据收到的首包信息产生，同时会话结束的时候应该也会发消息给控制器。但是，这样的处理存在以下问题：一、会话首包的处理延迟增加，二、降低了每秒新建会话的性能指标，三、留下了从业务通道对控制器攻击的物理通道。

在一些专用芯片架构网络设备中，由芯片抽取流经流量日志(netflow或sflow)的每个报文的五元组信息，将日志消息发送给网络设备中的嵌入式CPU，再经过嵌入式CPU的处理后存储在本地的存储空间，或封装成日志报文发送给远端的管理平台。但是，这种日志的产生方式会造成两方面的问题：一、由CPU处理日志消息会耗费嵌入式CPU的大量运算资源，打开这个功能系统性能明显受到影响，同时后台分析系统的处理能力也要设计的足够强大，但是收到的大量信息是冗余的，真正有效的信息只占很小的比例。二、在骨干线路上部署的网络设备提取的报文信息量太大，往往超出设备的负载能力，在实际使用过程中并不是把所有报文的信息都封装成netflow消息，而是会设置抽取比例，例如20：1或50：1，即每20个包或50个包抽取一个包提取5元组信息，然后再按一定的算法推算出真实流量的情况，这种方式只能应用于电信运营商级别的宏观统计分析，无法用于安全事件分析。

此外，还存在基于CPU架构或基于多核网络处理器(Network Processer)架构的网络安全设备或流量分析设备，这些设备一般是通过镜像端口获得流量，CPU对所有报文进行缓存和拆包分析然后再将分析的结果生成攻击日志或流量日志消息，要么在本地存储，要么封装成日志报文发送给更高层的管理平台。但是，这样的处理方式存在的问题是：一、单台设备处理性能不足，只好采用集群方式分析，要前置部署分流设备，导致整个分析系统和管理系统过于庞大。二、这种集群处理方式会造成较大的处理延迟，实时性比较差，对突发性网络安全事件的分析和处置不及时。三、部署采集流量的探针(镜像)位置是关键问题，如果只在关键路径上部署，则很多内网之间(汇聚交换机以下的)的流量没有被覆盖到。因为接入交换机一般都不具备端口镜像功能，即便使用更高端具备端口镜像功能的交换机，在现有网络系统中难以形成全网覆盖。

也即，相关技术中要么是CPU软件直接产生的消息并完成报文封装，要么是硬件产生消息然后由CPU软件完成报文封装，再通过网络发送到分析系统。由于CPU系统的后门和漏洞不可避免，因此采用这样的消息处理方式就给攻击者留下了从业务通道向消息处理通道渗透的脆弱点，给整个网络安全防御体系造成潜在的风险。

针对相关技术中CPU参与网络处理芯片中消息的产生、处理与发出的过程，芯片中存在业务通道向日志通道渗透的安全问题，目前尚未提出有效的解决方案。

发明内容

本申请提供一种消息处理方法、设备、装置、存储介质及处理器，以解决相关技术中CPU参与网络处理芯片中消息的产生、处理与发出的过程，芯片中存在业务通道向日志通道渗透的安全问题。