一种报文处理方法及网络安全设备与流程

技术特征：
1.一种报文处理方法，其特征在于，应用于网络安全设备中，所述网络安全设备包括操作系统、深度报文检测dpi引擎和多个处理核，所述方法，包括：在控制平面，所述操作系统确定每个处理核的cpu利用率；所述操作系统当检测到多个处理核中目标处理核的cpu利用率满足告警条件时，则向所述dpi引擎发送告警事件；所述dpi引擎接收到所述告警事件后，在转发平面对所述目标处理核中当前需要执行深度报文检测的第一数据流执行旁路处理。2.根据权利要求1所述的方法，其特征在于，所述dpi引擎接收到所述告警事件后，在转发平面对所述目标处理核当前正在处理的第一数据流执行旁路处理，包括：所述dpi引擎为所述目标处理核设置告警标记并记录；当需要对所述目标处理核的第一数据流执行深度报文检测时，若读取到所述目标处理核的告警标记时，则对所述第一数据流执行转发处理。3.根据权利要求1所述的方法，其特征在于，还包括：在控制平面，所述操作系统再次确认所述目标处理核的cpu利用率；所述操作系统当检测到所述目标处理核的cpu利用率不满足告警条件时，则向所述dpi引擎发送恢复事件；所述dpi引擎接收到所述恢复事件后，若所述第一数据流未处理完，则继续对所述第一数据流执行旁路处理；对所述目标处理核新获取的第二数据流执行深度报文检测处理。4.根据权利要求3所述的方法，其特征在于，所述dpi引擎接收到所述恢复事件后，若所述第一数据流未处理完，则继续对所述第一数据流执行旁路处理，包括：所述dpi引擎清除所述目标处理核的告警标记；若当前要处理的数据流为所述第一数据流，若未读取到所述目标处理核的告警标记，则继续对所述第一数据流执行旁路处理；对所述目标处理核中新的第二数据流执行深度报文检测处理，包括：当处理完所述第一数据流后，需要处理所述目标处理核新获取的第二数据流时，若未读取到所述目标处理核的告警标记，则对所述第二数据流执行深度报文检测处理。5.根据权利要求2所述的方法，其特征在于，当需要对所述目标处理核的第一数据流执行深度报文检测时，若读取到所述目标处理核的告警标记时，则对所述第一数据流执行转发处理，包括：在需要处理所述第一数据流的报文时，查询所述第一数据流的会话表项；若所述会话表项包括旁路标记，则转发所述报文；若所述会话表项未包括旁路标记，则读取所述目标处理核的告警标记；若读取到所述目标处理核的告警标记，则转发所述报文；并对所述会话表项添加旁路标记，得到标记后的会话表项；当需要处理所述第一数据流的新的报文时，若所述新的报文命中所述标记后的会话表项，则转发所述新的报文。6.根据权利要求4所述的方法，其特征在于，当处理完所述第一数据流后，需要处理所述目标处理核新获取的第二数据流时，若未读取到所述目标处理核的告警标记，则对所述第二数据流执行深度报文检测处理，包括：
当处理所述第二数据流的首报文时，若未读取到所述目标处理核的告警标记，则对所述首报文执行深度报文检测处理；生成所述第二数据流的会话表项；根据所述会话表项对第二数据流的其他报文执行报文检测处理。7.一种网络安全设备，其特征在于，包括操作系统、深度报文检测dpi引擎和多个处理核，其中：所述操作系统，用于在控制平面确定每个处理核的cpu利用率；当检测到多个处理核中目标处理核的cpu利用率满足告警条件时，则向所述dpi引擎发送告警事件；所述dpi引擎，用于接收到所述告警事件后，在转发平面对所述目标处理核中当前需要执行深度报文检测的第一数据流执行旁路处理。8.根据权利要求7所述的网络安全设备，其特征在于，所述dpi引擎包括控制平面的dpi控制模块和转发平面的dpi业务处理模块；所述操作系统，具体用于向所述dpi控制模块发送告警事件，所述告警事件包括所述目标处理核的核标识；所述dpi控制模块，用于在接收到所述告警事件后，为所述核标识对应的目标处理核设置告警标记并记录；所述dpi业务处理模块，用于在转发平面，当需要对所述目标处理核的第一数据流执行深度报文检测时，若读取到所述目标处理核的告警标记时，则对所述第一数据流执行转发处理。9.根据权利要求7所述的网络安全设备，其特征在于，所述操作系统，还用于在控制平面，再次确认所述目标处理核的cpu利用率；以及，当检测到所述目标处理核的cpu利用率不满足告警条件时，则向所述dpi引擎发送恢复事件；所述dpi引擎，用于接收到所述恢复事件后，若所述第一数据流未处理完，则继续对所述第一数据流执行旁路处理；对所述目标处理核新获取的第二数据流执行深度报文检测处理。10.根据权利要求9所述的网络安全设备，其特征在于，所述dpi引擎包括控制平面的dpi控制模块和转发平面的dpi业务处理模块；所述操作系统，具体用于向所述dpi控制模块发送恢复事件，所述恢复事件包括所述目标处理核的核标识；所述dpi控制模块，用于在接收到所述恢复事件后，清除所述目标处理核的告警标记；所述dpi业务处理模块，用于若当前要处理的数据流为所述第一数据流，若未读取到所述目标处理核的告警标记，则继续对所述第一数据流执行旁路处理；当处理完所述第一数据流后，需要处理所述目标处理核新获取的第二数据流时，若未读取到所述目标处理核的告警标记，则对所述第二数据流执行深度报文检测处理。11.根据权利要求8所述的网络安全设备，其特征在于，所述dpi业务处理模块，具体用于在需要处理所述第一数据流的报文时，查询所述第一数据流的会话表项；若所述会话表项包括旁路标记，则转发所述报文；若所述会话表项未包括旁路标记，则读取所述目标处理核的告警标记；若读取到所述目标处理核的告警标记，则转发所述报文；并对所述会话表项添加旁路标记，得到标记后的会话表项；当需要处理所述
第一数据流的新的报文时，若所述新的报文命中所述标记后的会话表项，则转发所述新的报文。12.根据权利要求10所述的网络安全设备，其特征在于，所述dpi业务处理模块，具体用于当处理所述第二数据流的首报文时，若未读取到所述目标处理核的告警标记，则对所述首报文执行深度报文检测处理；生成所述第二数据流的会话表项；根据所述会话表项对第二数据流的其他报文执行报文检测处理。

技术总结
本申请提供了一种报文处理方法及网络安全设备，涉及通信技术领域。所述网络安全设备包括操作系统、深度报文检测DPI引擎和多个处理核，则在控制平面，所述操作系统确定每个处理核的CPU利用率；所述操作系统当检测到多个处理核中目标处理核的CPU利用率满足告警条件时，则向所述DPI引擎发送告警事件；所述DPI引擎接收到所述告警事件后，在转发平面对所述目标处理核中当前需要执行深度报文检测的第一数据流执行旁路处理。由此，实现了对单条大流量的有效应对，同时解决了因开启DPI业务后因遇到单条大流量造成网络安全设备中的内存资源消耗完而导致的丢包的问题。源消耗完而导致的丢包的问题。源消耗完而导致的丢包的问题。


技术研发人员：桂定旭
受保护的技术使用者：新华三信息安全技术有限公司
技术研发日：2022.04.28
技术公布日：2022/9/6