[发明专利]一种适合网络处理芯片存储超大规格会话的方法

说明书

本发明涉及一种适合网络处理芯片存储超大规格会话的方法，属于网络安全领域。本发明提取网络数据包中的五元组，包括源IP地址、目的IP地址、源端口、目的端口和协议号，在前面加上key_hash_count形成key；将key的key_hash_count赋值为X，计算得到32位的hash_value＝f(key)；计算该key的存储地址，addr＝hash_value％N，准备插入key到位置addr；遍历addr地址上的链表，即S个slot，找到空闲的slot，把相关信息存储到slot，存储会话结束；如果S个slot满，需再次hash，判断hash的次数X，如果X等于P，表明未把该数据包存储到hash表，那把该数据包存储到芯片资源中，反之X累加1，继续计算Hash。本发明使用较少的芯片资源存储大量的会话，节省了芯片成本，通过简单的多次hash运算，降低了技术难度，加快了开发周期。

技术领域

本发明属于网络安全领域，具体涉及一种适合网络处理芯片存储超大规格会话的方法。

背景技术

网络安全领域中，无论是开发防火墙还是开发DPI、IPS，这些产品的背后都有一个共同的需求就是把报文有序的组织起来，还原用户在网络上通信的过程，而目前完成该需求采用的技术是创建会话，把报文按流来分类。

随着网络通信量的增加，需要创建的会话数量也越来越多，从几万条增加到百万条，在大型网络中，会话数量甚至增加到几千万到上亿条。在存储这些超大规格的会话时，常采用的技术是hash，由于其技术本身的特点，hash算法存在冲突，当冲突发生时有各种处理方式，如丢弃数据报文，不创建会话。可在网络安全领域中是不允许会话创建失败的，如要达到这个要求，最简单的方式就增加hash的存储空间，但是芯片对资源又是最敏感的，不能无限制增加，并且还需要同时考虑芯片对网络报文的处理速度，方案的复杂度等。因此网络处理芯片需要灵活的冲突解决方案。目前hash冲突的解决方案主要从两方面考虑，一个是容量，一个是查找速度。Hash冲突链表方案是当产生hash冲突时，通过链表的方式解决，即有相同存储地址的key组成一个链表，其组织方式如图1所示。

N代表桶的深度，X代表链表的长度。解决冲突的方式如下。

·选定hash函数为f。

·计算f(key1)/N＝addr1，把key1放在slot1。

·计算f(key2)/N＝addr1，于key1产生冲突，把key2链接在key1后面，即slot2的位置。

·计算f(keyX)/N＝addrX，处理冲突。

该方案的优点是技术简单，便于芯片实现。

缺点是在超大规格会话(如千万级)中，X的增长不受控制，导致链表长度增加，降低了查找效率。为了提高查找效率，也可以把链表改成红黑树，但增加了技术复杂度，不便于芯片实现。

一种变化的方案是固定X的值，如为8，增加N的值。该方案的优点是查找效率固定，便于芯片实现，但是缺点是浪费存储空间，在超大规格(如千万级)的会话中，芯片的资源可能满足不了N的增长需求。

因此现有的方案在超大规格会话下有以下缺陷。

·芯片存储资源利用率低；

·查找效率低；

·技术复杂度高。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是如何提供一种适合网络处理芯片存储超大规格会话的方法，以解决现有的的方案在超大规格会话下存在芯片存储资源利用率低；查找效率低；技术复杂度高等方面的问题。

(二)技术方案

为了解决上述技术问题，本发明提出一种适合网络处理芯片存储超大规格会话的方法，该方法包括如下步骤：