網(wǎng)絡(luò)業(yè)務(wù)處理系統(tǒng)的制作方法
【專(zhuān)利摘要】一種用于處理網(wǎng)絡(luò)業(yè)務(wù)的系統(tǒng)����,包括用以在硬件加速檢查模式下處理網(wǎng)絡(luò)業(yè)務(wù)的硬件加速檢查單元,以及用以在軟件檢查模式下處理網(wǎng)絡(luò)業(yè)務(wù)的軟件檢查單元�。該軟件檢查單元在軟件檢查模式下處理連接至少達(dá)到連接的連續(xù)預(yù)定字節(jié)數(shù)��。如果連接被確定為是干凈的��,則連接可過(guò)渡至硬件加速檢查模式���。
【專(zhuān)利說(shuō)明】網(wǎng)絡(luò)業(yè)務(wù)處理系統(tǒng)
【背景技術(shù)】
[0001]已經(jīng)提出因特網(wǎng)業(yè)務(wù)到2015年預(yù)期成為四倍。此外�,報(bào)告已經(jīng)顯示全球平均連接率已逐年增加43%且全球平均峰值率已逐年增加67%。因此�����,以一切種類(lèi)的病毒��、蠕蟲(chóng)和惡意軟件形式的內(nèi)部和外部網(wǎng)絡(luò)攻擊的復(fù)雜化已顯著增加���。
[0002]網(wǎng)絡(luò)管理員繼續(xù)承擔(dān)提供網(wǎng)絡(luò)安全的任務(wù)且其常常依賴(lài)于用于網(wǎng)絡(luò)安全的各種系統(tǒng)���。例如,入侵檢測(cè)系統(tǒng)(IDS)檢測(cè)網(wǎng)絡(luò)攻擊���,但是某些作為不提供遠(yuǎn)遠(yuǎn)超過(guò)事后攻擊通知的被動(dòng)式系統(tǒng)進(jìn)行操作�。相反地��,已經(jīng)開(kāi)發(fā)了入侵預(yù)防系統(tǒng)(IPS)以通過(guò)主動(dòng)地通過(guò)掃描輸入和輸出業(yè)務(wù)來(lái)分析網(wǎng)絡(luò)業(yè)務(wù)流而補(bǔ)充諸如防火墻之類(lèi)的傳統(tǒng)安全產(chǎn)品。然而����,由IPS進(jìn)行的深度分組檢查通常利用大量的資源且如果其性能跟不上增加的連接率和吞吐量帶寬,則可能變成網(wǎng)絡(luò)瓶頸���。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0003]參考在以下各圖中所示的示例來(lái)詳細(xì)地描述實(shí)施例:
圖1圖示出網(wǎng)絡(luò)業(yè)務(wù)處理系統(tǒng);
圖2A-B圖示出不同網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)業(yè)務(wù)處理系統(tǒng)����;以及圖3和4圖示出處理網(wǎng)絡(luò)業(yè)務(wù)。
【具體實(shí)施方式】
[0004]出于簡(jiǎn)化和說(shuō)明性目的�,通過(guò)主要參考其示例來(lái)描述實(shí)施例的原理。在以下描述中�,闡述了許多特定細(xì)節(jié)以便提供實(shí)施例的透徹理解。顯而易見(jiàn)的是�,可在不限于所有特定細(xì)節(jié)的情況下實(shí)施該實(shí)施例。并且��,可以各種組合一起使用實(shí)施例�����。
[0005]根據(jù)實(shí)施例�����,一種用于處理網(wǎng)絡(luò)業(yè)務(wù)的系統(tǒng)檢查網(wǎng)絡(luò)業(yè)務(wù)以識(shí)別潛在簽名匹配。進(jìn)一步檢查被認(rèn)為具有潛在簽名匹配的網(wǎng)絡(luò)業(yè)務(wù)以確定其是否具有簽名匹配��。如果檢測(cè)到簽名匹配��,則可對(duì)網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行阻止���、報(bào)告����、速率限制或者可采取其他補(bǔ)救措施�。
[0006]該系統(tǒng)包括硬件加速檢查單元(諸如現(xiàn)場(chǎng)可編程門(mén)陣列(FPGA),專(zhuān)用集成電路(ASIC)或另一類(lèi)型的可自定義集成電路或處理器)�����,其執(zhí)行分組的硬件加速檢查����,并且該系統(tǒng)包括軟件檢查單元,其包括由處理器或某個(gè)類(lèi)型的處理電路執(zhí)行以執(zhí)行分組的軟件檢查的機(jī)器可讀指令�����。硬件加速檢查單元在執(zhí)行其檢查時(shí)比軟件檢查單元更快,并且該系統(tǒng)利用硬件加速檢查單元以改善檢查處理速度���。例如����,在連接開(kāi)始時(shí)���,由軟件檢查單元來(lái)執(zhí)行分組檢查�。連接包括具有相同屬性的分組���。屬性的示例可包括源因特網(wǎng)協(xié)議(IP)地址、目的地IP地址����、源IP端口、目的地IP端口����、IP協(xié)議等。在一個(gè)示例中��,連接是傳輸控制協(xié)議(TCP)流���。在另一示例中����,連接是包括具有相同屬性的分組的偽流。例如��,連接可以是用戶(hù)數(shù)據(jù)報(bào)協(xié)議(UDP)或者不要求在先通信以建立傳輸信道或數(shù)據(jù)路徑的另一協(xié)議中的偽流�。如果到連接到達(dá)閾值位數(shù)(例如8千字節(jié)(KB))的時(shí)間未檢測(cè)到攻擊,則軟件檢查單元命令硬件加速檢查單元將流置于硬件加速檢查模式以改善性能���。
[0007]在硬件加速檢查模式下�����,由硬件加速檢查單元以比用軟件檢查單元可能的更快的速率來(lái)檢查連接��。由硬件加速檢查單元執(zhí)行的處理的速度可以是由軟件檢查單元執(zhí)行的處理的兩倍或三倍�����。在硬件加速檢查模式下��,如果連接是干凈的����,諸如被確定為不具有潛在簽名匹配,則在不對(duì)分組執(zhí)行軟件檢查的情況下發(fā)射用于連接的分組��。在硬件加速檢查模式下����,由硬件加速檢查單元來(lái)處理用于連接的分組,但是不被軟件檢查單元處理以使處理時(shí)間最小化���。然而����,如果硬件加速檢查單元在連接中檢測(cè)到潛在簽名匹配���,則將連接傳輸至軟件檢查模式以便由軟件檢查單元進(jìn)一步處理以確定是否存在簽名匹配��。在軟件檢查模式下,連接被軟件檢查單元處理��,并且還被硬件加速檢查單元處理�����。通過(guò)使連接的檢查在硬件加速檢查模式與軟件檢查模式之間過(guò)渡,在保持安全的同時(shí)增加吞吐量��。
[0008]軟件檢查單元執(zhí)行分組檢查���,其可包括比在硬件檢查模式下執(zhí)行的更詳細(xì)的分組檢查和過(guò)濾�。因此�,由硬件減速檢查單元執(zhí)行的分組處理可不同于由軟件檢查單元執(zhí)行的分組檢查。例如��,由軟件檢查單元執(zhí)行的分組處理包括深度分組檢查��。深度分組檢查包括檢查連接中的分組的有效負(fù)荷以及報(bào)頭�。深度分組檢查可包括在所有的七個(gè)開(kāi)放系統(tǒng)互連
(OSI)層中檢查來(lái)自連接的數(shù)據(jù)。由硬件加速檢查單元執(zhí)行的分組處理可不包括來(lái)自全部七個(gè)OSI層的數(shù)據(jù)����。例如,分組檢查可局限于報(bào)頭�。
[0009]具有潛在簽名匹配的連接是被確定為具有特定預(yù)定義屬性的連接。例如�,連接可包括具有表示安全威脅的屬性的分組或多個(gè)分組。例如���,由硬件加速檢查單元來(lái)檢查連接中的分組以確定其是否不按順序或者被分段或者其在其有效負(fù)荷中是否具有某個(gè)字節(jié)式樣�����。
[0010]連接還可具有潛在簽名匹配����,如果其包括基于策略或規(guī)則而被確定為令人感興趣的數(shù)據(jù)。例如��,規(guī)則指定監(jiān)視用于特定應(yīng)用程序的分組�����。如果連接包括來(lái)自那些應(yīng)用程序中的任何一個(gè)的分組�����,則基于該規(guī)則而將其視為簽名匹配���。例如�����,監(jiān)視來(lái)自即時(shí)通訊應(yīng)用程序的分組且可由系統(tǒng)阻止其離開(kāi)局域網(wǎng)(LAN)。
[0011]類(lèi)似于潛在簽名匹配��,可將連接確定為具有簽名匹配,如果其具有預(yù)定屬性�,然而,該屬性被軟件檢查單元而不是硬件加速檢查單元識(shí)別�����。用于簽名匹配的屬性可不同于用于潛在簽名匹配的屬性����。可由深度分組檢查來(lái)識(shí)別用于簽名匹配的屬性�。簽名匹配可包括由正則表達(dá)式匹配和/或其他過(guò)濾和分組簽名檢測(cè)技術(shù)確定的匹配以檢測(cè)關(guān)于分組及其數(shù)據(jù)的附加信息,該附加信息可指示其是惡意的還是以其他方式令人感興趣的���。惡意屬性可表示釣魚(yú)式攻擊���、嘗試的間諜軟件安裝、可能消耗網(wǎng)絡(luò)帶寬或服務(wù)器資源從而促使合法分組被丟棄的分組泛洪等����。
[0012]用于處理網(wǎng)絡(luò)業(yè)務(wù)的系統(tǒng)可包括連接到網(wǎng)絡(luò)的IPS。IPS檢查連接且如果發(fā)現(xiàn)其具有簽名匹配�,則可對(duì)連接進(jìn)行標(biāo)志、阻止和/或丟棄���。保持日志并生成警報(bào)或其他通知��,并且可由于簽名匹配而將其發(fā)送給系統(tǒng)管理員����。如果連接是干凈的,則IPS輸出要發(fā)射到其目的地的連接�。
[0013]圖1圖示出用于處理網(wǎng)絡(luò)業(yè)務(wù)的系統(tǒng)100。系統(tǒng)100可包括阻止被確定為具有簽名匹配的網(wǎng)絡(luò)業(yè)務(wù)的IPS���。系統(tǒng)100包括包含端口 102的接口 101���。接口 101是將系統(tǒng)100連接到網(wǎng)絡(luò)的網(wǎng)絡(luò)接口。在接口 101的端口 102上發(fā)送和接收分組��。
[0014]系統(tǒng)100包括硬件加速檢查單元110和軟件檢查單元120���?����?山?jīng)由總線(xiàn)130來(lái)連接系統(tǒng)100的部件��。軟件檢查單元120可包括一個(gè)或多個(gè)處理器121a-n�����,其包括數(shù)據(jù)儲(chǔ)存器122a-n�����,該數(shù)據(jù)儲(chǔ)存器122a_n包括可操作用于存儲(chǔ)機(jī)器可讀指令和數(shù)據(jù)的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)�。機(jī)器可讀指令可包括用以執(zhí)行本文所述的連接處理功能的代碼����。硬件加速單元110包括處理電路111,諸如FPGA�、ASIC或另一類(lèi)型的可自定義的集成電路或硬件,其也執(zhí)行連接處理但是在與軟件檢查單元120相比時(shí)以加速的速率����。硬件加速單元110還可包括數(shù)據(jù)儲(chǔ)存器112。
[0015]硬件加速檢查單元110和軟件檢查單元120處理從網(wǎng)絡(luò)接收到的連接以確定連接是否具有潛在簽名匹配����。這稱(chēng)為檢查。如果連接被確定為具有簽名匹配����,則可阻止該連接被發(fā)送到其目的地?����?捎上到y(tǒng)100對(duì)該連接進(jìn)行標(biāo)志和丟棄。被確定為干凈的連接經(jīng)由接口 101而被發(fā)射到其目的地��。干凈的連接是不具有潛在簽名匹配和/或簽名匹配的連接����。
[0016]可針對(duì)在線(xiàn)處理來(lái)配置硬件加速檢查單元110和軟件檢查單元120。例如,由接口101接收到的連接首先被硬件加速檢查單元110處理且然后可被軟件檢查單元120處理���。如果連接被確定為是干凈的�����,則經(jīng)由接口 101將其發(fā)送到其目的地����。
[0017]系統(tǒng)內(nèi)100可在其中由硬件加速檢查單元來(lái)檢查連接但未由軟件檢查單元120處理的硬件加速檢查模式與其中由軟件檢查單元來(lái)處理連接且還可由硬件加速檢查單元來(lái)處理(諸如以其中首先由硬件加速檢查單元110來(lái)處理連接且然后可由軟件檢查單元120來(lái)處理的在線(xiàn)配置)的軟件檢查模式之間進(jìn)行切換�����。
[0018]系統(tǒng)100可以是獨(dú)立網(wǎng)絡(luò)設(shè)備,其可連接到路由器或防火墻或一般地網(wǎng)絡(luò)以接收和檢查分組并發(fā)送出干凈的分組���??蓪⑾到y(tǒng)100結(jié)合在現(xiàn)有網(wǎng)絡(luò)設(shè)備中����,諸如路由器、防火墻或另一類(lèi)型的交換機(jī)�����。系統(tǒng)100可在多功能會(huì)聚安全設(shè)備中,諸如單個(gè)設(shè)備中的IPS和防火墻���。系統(tǒng)100可在刀片機(jī)架中或另一類(lèi)型的設(shè)備中���。
[0019]圖2A-B示出了連接在不同網(wǎng)絡(luò)環(huán)境中的系統(tǒng)100,其可以是IPS 200��。圖2A示出了以“導(dǎo)線(xiàn)中凸塊”配置連接的IPS 200����。用戶(hù)‘1’ 202至用戶(hù)‘η’ 204被連接到被連接到IPS 200的交換機(jī)206,該IPS 200又被連接到因特網(wǎng)213或網(wǎng)絡(luò)骨干���。IPS 200 —般地在交換機(jī)與網(wǎng)絡(luò)之間實(shí)現(xiàn)以防止從因特網(wǎng)213或網(wǎng)絡(luò)骨干接收到或向其發(fā)射安全威脅。
[0020]圖2B示出了在另一網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)的IPS 200a_c���。在此圖中����,內(nèi)部子網(wǎng)絡(luò)‘A’210包括客戶(hù)端個(gè)人計(jì)算機(jī)(PC) ‘1’ 212至客戶(hù)端PC ‘η’ 214���,其被連接到又被連接到IPS‘1’ 200a的交換機(jī)‘1’ 216。內(nèi)部子網(wǎng)絡(luò)‘B’ 220包括服務(wù)器‘1’ 222至服務(wù)器‘η’ 224����,其被連接到又被連接到IPS ‘2’ 200b的交換機(jī)‘2’ 226�����。內(nèi)部子網(wǎng)絡(luò)‘A’ 210和內(nèi)部子網(wǎng)絡(luò)‘B’ 220被連接到路由器230��,其被連接到又被連接到外部網(wǎng)絡(luò)234的IPS ‘3’ 200c�。一般地實(shí)現(xiàn)IPS ‘3’ 200c以防止安全威脅從外部網(wǎng)絡(luò)234到內(nèi)部子網(wǎng)絡(luò)‘A’ 210和內(nèi)部子網(wǎng)絡(luò)‘B���,220的入侵��。
[0021]IPS ‘1’ 200a通過(guò)防止源自于內(nèi)部子網(wǎng)絡(luò)‘A’ 210的安全威脅的入侵來(lái)提供附加入侵保護(hù)���。同樣地�,IPS ‘2’ 200b通過(guò)防止源自于內(nèi)部子網(wǎng)絡(luò)‘B’ 220的安全威脅的入侵來(lái)提供附加入侵保護(hù)。如對(duì)于本領(lǐng)域的技術(shù)人員而言將顯而易見(jiàn)的��,IPS ‘1’ 200a的實(shí)現(xiàn)隔離了到內(nèi)部子網(wǎng)絡(luò)210的入侵問(wèn)題����,包括一個(gè)或多個(gè)客戶(hù)端PC 212至214和相應(yīng)交換機(jī)‘1’216。同樣地����,IPS ‘2’ 200b的實(shí)現(xiàn)隔離了到內(nèi)部子網(wǎng)絡(luò)220的入侵問(wèn)題,包括一個(gè)或多個(gè)服務(wù)器222至224和相應(yīng)交換機(jī)‘1’ 226�。
[0022]圖3示出了隨時(shí)間推移的硬件加速檢查模式與軟件檢查模式之間的連接處理切換的示例。在連接開(kāi)始時(shí)����,由圖1中所示的軟件檢查單元120在軟件檢查模式下處理該連接。在軟件檢查模式下處理連接達(dá)到至少預(yù)定字節(jié)數(shù)直至點(diǎn)B為止����。如果連接被確定為具有潛在簽名匹配�,則繼續(xù)在軟件檢查模式下處理連接超過(guò)閾值(例如��,8KB)����。本示例示出了8KB,但閾值可更大或更小�。
[0023]如果連接是“干凈的”直至點(diǎn)B,則連接的處理從點(diǎn)B至C從軟件檢查模式過(guò)渡至硬件加速檢查模式并保持在硬件加速檢查模式�,其中以比軟件檢查模式快得多的速率處理分組直至連接被硬件加速檢查單元110確定為具有潛在簽名匹配為止,諸如在點(diǎn)D處�。然后,連接的處理過(guò)渡至軟件檢查模式以用于附加檢查�,其可包括從點(diǎn)D至E的深度分組檢查并保持在軟件檢查模式直至連接被確定為“干凈”為止。如果連接是“干凈的”��,則處理可再次從點(diǎn)F到G過(guò)渡至硬件加速檢查模式以用于最大性能�。連接處理過(guò)渡可在連接的壽命內(nèi)繼續(xù)發(fā)生。連接被單獨(dú)地處理�,因此不同的連接可根據(jù)是否和何時(shí)在連接中檢測(cè)到潛在簽名匹配或簽名匹配而具有不同的連接處理過(guò)渡。
[0024]圖4示出了用于處理網(wǎng)絡(luò)業(yè)務(wù)的方法400的示例����。以示例而非限制的方式相對(duì)于系統(tǒng)100來(lái)描述方法400?����?稍谄渌到y(tǒng)中實(shí)施該方法�。
[0025]在401處,系統(tǒng)接收新的連接����。可用定義連接的屬性來(lái)識(shí)別新的連接�,并且可在存儲(chǔ)于圖1中所示的硬件加速檢查單元110和/或軟件檢查單元120處的連接表中創(chuàng)建條目,其包括連接ID和連接屬性及用于連接的當(dāng)前模式的指示��。當(dāng)前模式是硬件加速模式或軟件檢查模式�。新的連接作為在軟件檢查模式下被處理而開(kāi)始。
[0026]在402處�����,在軟件檢查模式下處理連接達(dá)到至少預(yù)定字節(jié)數(shù)�。例如,由硬件加速檢查單元110來(lái)處理連接并從硬件加速檢查單元110將連接發(fā)送到軟件檢查單元120以用于進(jìn)一步處理至少直至達(dá)到閾值字節(jié)數(shù)為止����。硬件加速檢查單元110可在其連接表中指示該連接處于軟件檢查模式���。
[0027]在403處,在正在軟件檢查模式下處理連接達(dá)到至少預(yù)定字節(jié)的同時(shí)��,由軟件檢查單元120進(jìn)行關(guān)于該連接是否具有潛在簽名匹配的確定��。如果是�����,則在404處用于連接的分組處理在軟件檢查模式下繼續(xù)��。在405處連接處理在軟件檢查模式下繼續(xù)直至連接被確定為干凈為止�����。如果連接是干凈的�,則在407處連接處理過(guò)渡至硬件加速檢查模式。如果連接處理不是干凈的�,則在404處繼續(xù)軟件檢查模式下的連接處理。例如�,如果檢測(cè)到簽名匹配,則在404處繼續(xù)軟件檢查模式下的連接處理����。例如�����,如果通過(guò)簽名匹配檢測(cè)到惡意分組且連接被阻止,則繼續(xù)軟件檢查模式下的連接處理�����。連接處理過(guò)渡至軟件加速模式直至連接是干凈的為止�����。如果在406處連接是干凈的且其干凈達(dá)到預(yù)定的字節(jié)數(shù)��,則在407處連接處理過(guò)渡至硬件加速檢查模式����。例如,軟件檢查單元120命令硬件加速檢查單元110將連接置于硬件加速檢查模式����。例如,硬件加速檢查單元110更新其連接表以指示連接現(xiàn)在處于硬件加速檢查模式�。
[0028]在408處,例如由硬件加速檢查模式110在硬件加速檢查模式下處理連接,直至連接終止為止或者直至連接被硬件加速檢查單元110確定為具有潛在簽名匹配為止�。如果連接被確定為具有潛在簽名匹配,則處理過(guò)渡至軟件檢查模式且在409處在軟件檢查模式下處理連接��,并且在404處理可繼續(xù)�����。硬件加速檢查單元110然后可更新其連接表以指示連接處于軟件檢查模式�����,因此如果在接口 101上接收到任何分組以用于連接�����,則硬件加速檢查單元110知道將處理之后的分組發(fā)送到軟件檢查單元110�。
[0029]如果硬件加速檢查單元110中的連接表指示連接處于硬件加速檢查模式,則硬件加速檢查單元知道不將分組發(fā)送到軟件檢查單元120����,如果硬件加速檢查單元110確定連接是干凈的。如果基于策略規(guī)則將連接確定為是無(wú)興趣的�����,則可將其確定為是干凈的。替代地�����,經(jīng)由接口 110而發(fā)送出分組���。并且,如果由硬件加速檢查單元110識(shí)別分組可疑的信息�,諸如分組是否不按順序,具有可疑字節(jié)式樣或指示其為惡意或令人感興趣的某個(gè)其他屬性����,則可將該信息發(fā)送到軟件檢查單元120以幫助由軟件檢查單元120執(zhí)行的分組檢查?��?稍谲浖z查單元120與硬件加速檢查單元110之間傳送其他信息���,諸如處理模式的指示或過(guò)渡至不同模式的指令。
[0030]并且����,如果分組被軟件檢查單元120確定為是惡意的或令人感興趣的,則系統(tǒng)100可阻止連接并不發(fā)送用于該連接的可疑分組或任何其他分組�����。如果軟件檢查單元120確定用于連接的分組或分組集合是惡意的或令人感興趣的,則系統(tǒng)100可丟棄分組��。并且�����,可更新關(guān)于事件和關(guān)于事件發(fā)送的通知的日志文件���。
[0031]可將本文所述的步驟和功能中的一個(gè)或多個(gè)體現(xiàn)為可由處理器或可操作用于執(zhí)行機(jī)器可讀指令的另一類(lèi)型的處理電路執(zhí)行的機(jī)器可讀指令����?����?蓪⒃摍C(jī)器可讀指令存儲(chǔ)在非臨時(shí)存儲(chǔ)介質(zhì)中�����,其可包括圖1中所示的存儲(chǔ)器件中的一個(gè)或多個(gè)��。
[0032]雖然已參考示例描述了實(shí)施例��,但在不脫離要求保護(hù)的實(shí)施例的范圍的情況下可對(duì)所述實(shí)施例進(jìn)行各種修改。
【權(quán)利要求】
1.一種用于處理網(wǎng)絡(luò)業(yè)務(wù)的系統(tǒng)�����,包括: 硬件加速檢查單元�����,用以在硬件加速檢查模式下處理網(wǎng)絡(luò)業(yè)務(wù)��;以及軟件檢查單元����,用以在軟件檢查模式下處理網(wǎng)絡(luò)業(yè)務(wù)�����,其中�����,軟件檢查單元在軟件檢查模式下處理網(wǎng)絡(luò)業(yè)務(wù)中的連接以檢測(cè)簽名匹配�,并且如果連接被軟件檢查單元確定為是干凈的達(dá)到至少連接的連續(xù)預(yù)定字節(jié)數(shù),貝1J連接過(guò)渡至硬件加速檢查模式以便由硬件加速檢查進(jìn)行處理�����。
2.權(quán)利要求1的系統(tǒng),其中�,如果硬件加速檢查單元檢測(cè)到潛在簽名匹配,則連接過(guò)渡回到軟件檢查單元以對(duì)連接執(zhí)行深度分組檢查��。
3.權(quán)利要求2的系統(tǒng)�,其中,如果軟件檢查單元確定該連接具有簽名匹配����,則基于簽名匹配而采取動(dòng)作。
4.權(quán)利要求1的系統(tǒng)�,其中,所述硬件加速檢查單元以比軟件檢查單元更快的速率來(lái)處理連接���。
5.權(quán)利要求1的系統(tǒng)�����,其中��,在軟件檢查模式下���,由硬件加速檢查單元和軟件檢查單元來(lái)處理該連接����。
6.權(quán)利要求1的系統(tǒng)�����,其中��,在硬件加速檢查模式下��,僅僅由硬件加速檢查單元來(lái)處理連接�����。
7.權(quán)利要求1的系統(tǒng)����,其中����,由系統(tǒng)接收到的所有網(wǎng)絡(luò)業(yè)務(wù)至少由硬件加速檢查單元處理。
8.權(quán)利要求1的系統(tǒng)��,其中�,所述系統(tǒng)在獨(dú)立網(wǎng)絡(luò)設(shè)備中����。
9.權(quán)利要求1的系統(tǒng)����,其中,所述系統(tǒng)被結(jié)合到網(wǎng)絡(luò)交換機(jī)�、防火墻網(wǎng)絡(luò)設(shè)備、會(huì)聚安全設(shè)備或刀片機(jī)架中���。
10.一種入侵預(yù)防系統(tǒng)(IPS)����,包括: 接口���,用以接收網(wǎng)絡(luò)業(yè)務(wù)并朝著其目的地輸出網(wǎng)絡(luò)業(yè)務(wù)���,如果其被IPS確定為是干凈的; 硬件加速檢查單元����,用以在硬件加速檢查模式下處理網(wǎng)絡(luò)業(yè)務(wù)中的連接以確定該連接是否具有潛在簽名匹配;以及 軟件檢查單元,用以在軟件檢查模式下處理連接以確定該連接是否具有簽名匹配���;其中��,所述軟件檢查單元在軟件檢查模式下處理連接����,并且如果連接被確定為是干凈的達(dá)到連接的連續(xù)預(yù)定字節(jié)數(shù)����,則連接過(guò)渡至硬件加速檢查模式以供硬件加速檢查單元處理。
11.權(quán)利要求10的IPS���,其中����,如果所述硬件加速檢查單元確定該連接具有潛在簽名匹配����,則連接過(guò)渡回到軟件檢查單元以對(duì)連接執(zhí)行附加檢查���。
12.權(quán)利要求11的IPS����,其中,如果所述軟件檢查單元確定連接具有簽名匹配��,則阻止連接被從接口發(fā)送出��。
13.權(quán)利要求10的IPS���,其中����,所述硬件加速檢查單元以比軟件檢查單元更快的速率來(lái)處理連接��。
14.一種處理網(wǎng)絡(luò)業(yè)務(wù)的方法���,包括: 在網(wǎng)絡(luò)處理系統(tǒng)的接口上接收連接��; 在軟件檢查模式下處理連接達(dá)到連接的預(yù)定字節(jié)數(shù)以確定該連接是否具有簽名匹配����;以及 如果該連接被確定為是干凈的達(dá)到預(yù)定字節(jié)數(shù)�,則使連接的處理過(guò)渡至硬件加速檢查模式,其中���,硬件加速檢查模式下的連接處理比在軟件檢查模式下更快�。
15.權(quán)利要求14的方法,包括: 如果硬件加速檢查模式下的處理確定連接具有潛在簽名匹配�,則連接處理過(guò)渡回到軟件檢查模式。
【文檔編號(hào)】H04L12/26GK104488229SQ201280075018
【公開(kāi)日】2015年4月1日 申請(qǐng)日期:2012年7月31日 優(yōu)先權(quán)日:2012年7月31日
【發(fā)明者】E. 弗勒里 D., 羅勒特 J. 申請(qǐng)人:惠普發(fā)展公司�,有限責(zé)任合伙企業(yè)