本发明专利技术公开了一种网络安全接入设备,属于计算机IP网络安全应用领域。该网络安全接入设备基于动态Hash表进行TCP连接跟踪,包括:对维护的TCP连接按照IP地址所在的子网进行一次分类,按子网计算得出Hash值,子网信息存储在根Hash表的节点中;利用TCP连接的五元组(源IP,目的IP,源端口,目的端口,协议号)计算Hash值,将TCP连接信息存储在根Hash对应节点所指向的子Hash表中,动态二级Hash表能够减少Hash值冲突的发生,提高Hash表访问命中率,达到提高网络用户请求接入吞吐量、提高并发接入处理能力的主要目的。的主要目的。的主要目的。
【技术实现步骤摘要】
一种网络安全接入设备
[0001]本专利技术属于计算机IP网络安全应用领域,更具体地,涉及一种网络安全接入设备。
技术介绍
[0002]网络服务设备(如网络防火墙、交换机等)一般管理维护两张表::用户连接请求表和安全策略表。用户连接表记录用户TCP/UDP连接请求信息。两张表通常以普通二维表或Hash表方式存在一个高速缓存区中;策略表存放边界防护策略信息,通常由规则号、规则域、动作三部分组成,其中规则域包含五元组信息(源IP、目的IP、源端口、目的端口、协议)。在实际业务中,随着网络服务设备客户增加、运行时间增长,上述表信息数量将会急剧增长,冲突表项也将会急剧增多,从而无法做到O(1)的查表速率,难于做到线速处理,进而使得设备运行速度下降,影响设备处理效率和服务质量。
技术实现思路
[0003]针对现有技术的缺陷,本专利技术的目的在于提供一种网络安全接入设备,旨在解决在设备处理的并发连接数达到一定数量级时,Hash冲突表项将会急剧增多,从而无法做到O(1)的查表速率,从而难于做到线速处理的问题。
[0004]为实现上述目的,本专利技术提供了一种网络安全接入设备,所述网络安全接入设备基于动态Hash表进行TCP连接跟踪,具体如下:
[0005]用户连接请求表维护TCP连接信息,按照IP地址所在的子网进行一次分类,按子网计算得出Hash值,子网信息存储在根Hash表的节点中;
[0006]利用TCP连接的五元组(源IP,目的IP,源端口,目的端口,协议号)计算Hash值,将TCP连接信息存储在根Hash对应节点所指向的子Hash表中。
[0007]优选地,按照子网与哈希表之间的对应关系,创建Hash索引表,所述Hash索引表长驻内存,与硬盘的Hash存储表,组成一个二级存储结构。
[0008]优选地,当进行查询时,根据子网信息查询索引表找出对应哈希存储表地址,将哈希存储表从硬盘空间读取和加载到内存,利用哈希算法函数从Hash存储表检索出结果。
[0009]优选地,在关键字发生冲突时,采取了再次运用拉链法来计算地址,存放在一个指向的数组空间里。
[0010]优选地,所述网络安全接入设备上的安全策略表中的规则包括:规则序号、过滤域、动作域、规则总命中率和最近时间段的规则命中率;
[0011]所述规则总命中率为该规则对应的命中总次数/设备规则命中总次数;
[0012]所述最近时间段的规则命中率为该规则最近时间段对应的命中总次数/设备规则最近时间段命中总次数。
[0013]优选地,所述网络安全接入设备采用以下方式进行策略辅助决策:通过后台程序自动轮询、统计和监测规则总命中率和/或最近时间段的规则命中率,并对符合筛选条件的规则进行归并或删减。
[0014]优选地,所述网络安全接入设备通过以下方式进行策略冲突检测:
[0015]将每条规则转化为过滤域集合A={源IP地址,源端口,目的IP地址,目的端口,协议类型}和动作域集合B={动作};
[0016]若两条规则的过滤域集合完全匹配或者包含匹配,进一步判断两者的动作域集合是否相同,若相同,则为冗余异常;否则,为屏蔽异常;
[0017]若两条规则的过滤域集合交叉匹配,且动作域集合不相同,则为交叉异常;
[0018]其他情形均为正常。
[0019]总体而言,通过本专利技术所构思的以上技术方案与现有技术相比,具有以下有益效果:
[0020]本专利技术提出一种网络安全接入设备,所述网络安全接入设备基于动态Hash表进行TCP连接跟踪,具体如下:用户连接请求表维护TCP连接信息,按照IP地址所在的子网进行一次分类,按子网计算得出Hash值,子网信息存储在根Hash表的节点中;利用TCP连接的五元组(源IP,目的IP,源端口,目的端口,协议号)计算Hash值,将TCP连接信息存储在根Hash对应节点所指向的子Hash表中,动态二级Hash表减少Hash值冲突的发生,提高Hash表访问命中率,达到提高网络用户请求接入吞吐量、提高并发接入处理能力的主要目的。
附图说明
[0021]图1为本专利技术提供的二维Hash表会话存储原理示意图。
[0022]图2为本专利技术提供的Hash表快速查询示意图。
[0023]图3为本专利技术提供的递归拉链法示意图。
[0024]图4为本专利技术提供的策略异常检测线性遍历方法过程示意图。
[0025]图5为本专利技术提供的策略异常检测树形匹配方法过程示意图。
[0026]图6为本专利技术提供的策略规则智能优化示意图。
具体实施方式
[0027]为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。
[0028]如图1所示,本专利技术采用了动态Hash表的思路(DHT,Dynamic Hash Table),以用户IP地址的子网为键值,创建一级Hash根表(Root,Hash),在根Hash表内再以五元组为键值,创建二级Hash子表,从而避免多数Hash表冲突,可大大减少冲突概率的发生,提高设备吞吐量。
[0029]通过该方法,首先对用户连接表所维护的TCP连接信息,按照IP地址所在的子网进行一次分类,按子网计算得出Hash值,子网信息存储在根Hash表(一级Hash表)某节点Node A中,然后利用TCP连接的五元组计算Hash值,将TCP连接信息存储在节点Node A所指向的二级Hash表中。该技术可有效提高在国产化CPU处理能力较弱的情况下的并发处理能力。
[0030]此外,如图2所示,可按子网与哈希表之间创建Hash索引表,此索引表长驻内存,与硬盘的Hash存储表,组成一个二级存储结构。当进行查询时,根据子网信息查询索引表找出对应哈希存储表地址,将哈希存储表从硬盘空间读取和加载到内存,利用哈希算法函数从
Hash存储表快速检索出结果,提高密钥资源检索速率,大大缩短Hash表查询时间。
[0031]两个不同的关键字,由于散列函数相同,因而被映射到同一表位置上,即为冲突或碰撞。拉链法是解决冲突问题的传统方法,将所有关键字为同义词的结点放在同一个链表中,可拉链法存在一些缺点,若是在单链表中又出现冲突时问题无法解决。
[0032]如图3所示,本专利技术采用递归拉链法解决上述问题,其基本思想如下:在关键字发生冲突时,采取了再次运用拉链法来计算地址,存放在一个指向的数组空间里,递归拉链法就是将拉链法递归的应用在一个散列表中,很好地解决散列表中的地址冲突问题,既能够很好地解决对于同义词在备份空间的存储方法问题,又能很好地解决在同义词中又出现地址冲突问题,完善了拉链法,是对拉链法的充分应用和优化。
[0033]在实际应用中,除了用户请求表外,随着设备运行时间的增长,安全策略表表项也将会急剧增长,将会带来两类问题:一是安全防护策略的冲突,在部署运用时难于考虑所有防火墙策略,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络安全接入设备,其特征在于,所述网络安全接入设备基于动态Hash表进行TCP连接跟踪,具体如下:用户连接请求表维护TCP连接信息,按照IP地址所在的子网进行一次分类,按子网计算得出Hash值,子网信息存储在根Hash表的节点中;利用TCP连接的五元组(源IP,目的IP,源端口,目的端口,协议号)计算Hash值,将TCP连接信息存储在根Hash对应节点所指向的子Hash表中。2.如权利要求1所述的网络安全接入设备,其特征在于,按照子网与哈希表之间的对应关系,创建Hash索引表,所述Hash索引表长驻内存,与硬盘的Hash存储表,组成一个二级存储结构。3.如权利要求2所述的网络安全接入设备,其特征在于,当进行查询时,根据子网信息查询索引表找出对应哈希存储表地址,将哈希存储表从硬盘空间读取和加载到内存,利用哈希算法函数从Hash存储表检索出结果。4.如权利要求2所述的网络安全接入设备,其特征在于,在关键字发生冲突时,采取了再次运用拉链法来计算地址,存放在一个指向的数组空间里。5.如权利要求1至4任一项所述的网络安全接入设...
【专利技术属性】
技术研发人员:费久江,刘路遥,刘海峰,宋威,徐林杰,王正,詹鹏,林飞,刘翼,邓超,魏文流,赵亦昕,蔡超,张龙,赵鹏,
申请(专利权)人:武汉船舶通信研究所中国船舶重工集团公司第七二二研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。