交换机上的非对称应用标识检测的制作方法

文档序号:34593856发布日期:2023-06-28 19:31阅读:54来源:国知局
交换机上的非对称应用标识检测的制作方法

1.本公开总体上涉及数据管理领域。更具体地,本公开涉及一种用 于交换机上的非对称应用标识检测的方法和系统。
附图说明
2.图1示出了根据本技术的一个方面的具有促进非对称应用标识检 测的实体和通信的环境;
3.图2a示出了根据本技术的一个方面的客户端、交换机与服务器 之间的通信,包括建立传输控制协议(tcp)会话,以用于促进非对 称应用标识检测;
4.图2b示出了根据本技术的一个方面的客户端、交换机与服务器 之间的通信,包括建立安全套接字层(ssl)协议和发送数据分组, 以促进非对称应用标识检测;
5.图3呈现了示出根据本技术的一个方面的促进非对称应用标识检 测的方法的流程图;
6.图4a呈现了示出根据本技术的一个方面的促进非对称应用标识 检测的方法的流程图;
7.图4b呈现了示出根据本技术的一个方面的促进非对称应用标识 检测的方法的流程图;
8.图4c呈现了示出根据本技术的一个方面的促进非对称应用标识 检测的方法的流程图;
9.图5示出了根据本技术的一个方面的促进非对称应用标识检测的 计算机系统;以及
10.图6示出了根据本技术的一个方面的促进非对称应用标识检测的 装置。
11.在附图中,相同的附图标记指代相同的附图元素。
具体实施方式
12.以下描述被呈现以使得本领域任何技术人员能够制作和使用这 些方面和示例,并且在特定应用及其要求的上下文中提供。对于本领 域技术人员来说,对所公开的方面的各种修改将是很清楚的,并且本 文中定义的一般原理可以被应用于其他方面和应用而不背离本公开 的精神和范围。因此,本文中描述的方面不限于所示的方面,而是应 当被赋予与本文中公开的原理和特征一致的最广泛的范围。
13.基于传输控制协议(tcp)安全套接字层(ssl)业务的应用的 标识对于获取应用可见性可能很重要,即使在应用数据被加密时也是 如此。入侵检测系统(ids)/入侵防御系统(ips)引擎可以通过检 查例如客户端与服务器之间的会话的前5到7个分组来执行应用标 识。相比之下,在分布式的基于硬件的交换平台中,业务可能并不总 是被发送到ids/ips引擎。相反,可以将新流的副本复制到入口接口 处的ids/ips引擎。这可能会带来两个挑战。首先,将所有新流复制 到ids/ips引擎可能会导致拒绝服务(dos)类型的攻击。其次,ids/
ips 引擎需要查看业务的双方(例如,客户端到服务器和服务器到客户 端),并且因此需要来自多个刀片/线卡的业务流的副本。因此,可扩 展的系统需要ips/ids引擎的多个实例。
14.本技术的所述方面提供了一种系统,该系统可以运行ids/ips引 擎的多个实例并且可以支持分布式硬件交换平台上的大规模应用标 识。交换机(即,交换机中的每个刀片或线卡)可以利用建立标准 tcp会话所涉及的时间(即,在三次tcp握手中使用三个控制分组) 来选择n个ids/ips引擎中的一个以向其发送具有与所建立的tcp 会话相关联的有效载荷的数据分组的后续副本。交换机可以包括多个 刀片或线卡,具有对应的入口和出口接口。当客户端与服务器之间建 立tcp会话时,交换机中的客户端入口接口可以选择与服务器入口 接口相同的ids/ips引擎,例如,以分布式方式并且基于选择算法。 在建立tcp会话之后,发送的数据分组可以通过客户端和服务器入 口接口中的每个入口接口被转发给所选择的ids/ips引擎,该引擎可 以在不同于与客户端和服务器入口接口相关联的线卡上的线卡上运 行。
15.通常,ids/ips引擎可以通过检查客户端与服务器之间的ssl协 议交换,例如,通过对初始加密的应用数据运行启发式方法,来执行 基于ssl的业务的应用标识。针对tcp-ssl业务,ssl握手可以在 三次tcp握手完成之后开始。也就是说,该系统可以在开始ssl协 议交换或开始应用数据的传输之前首先建立tcp会话,如下面关于 图1、图2a和图2b所述。
16.因此,通过利用在tcp会话建立期间花费的时间(即,三个控制 分组的传输、接收和处理)并且利用这三个控制分组的有效载荷长度 通常为零的事实,所描述的方面允许交换机的客户端入口接口和服务 器入口接口选择相同的ids/ips引擎,以将具有与所建立的tcp会话 相关联的有效载荷的后续数据分组转发给该引擎。此外,如果tcp 会话没有成功建立(即,tcp握手不成功),则该系统不需要创建任 何不必要的刀片间通信或状态。因此,所描述的方面提供了一种系统, 该系统可以运行ids/ips引擎的多个实例(即,在不同刀片或线卡上) 并且可以通过在tcp会话建立期间执行ids/ips引擎选择并且将后续 数据分组转发给所选择的ids/ips引擎来支持大规模应用标识。
17.用于促进应用标识的环境
18.图1示出了根据本技术的一个方面的具有促进非对称应用标识检 测的实体和通信的环境100。环境100可以是以太网、infiniband或 其他网络,并且可以使用对应的通信协议,诸如互联网协议(ip)、 以太网光纤通道(fcoe)或其他协议。环境100可以包括很多交换 机和设备。环境100可以包括:分布式隧道结构110,分布式隧道结 构110包括交换机112、114、116、118和120;主机132、134、136、 138、140和142;设备150和152;以及认证服务器154。结构110 可以经由交换机(例如,第3层路由器(未示出))被耦合到外部网 络160。备选地,架构110中的任何交换机都可以被耦合到外部网络 160。主机132-142可以是客户端计算设备,例如膝上型计算机、移 动电话、智能手机、平板计算机、台式计算机和手持设备、或在联网 设备上运行的进程。设备150和152可以是计算设备(例如,服务器、 联网实体和通信设备)。每个交换机可以包括多个刀片或线卡,并且 可以直接被耦合到服务器并且与之通信,或者经由外部网络160被耦 合到服务器并且与之通信。例如,交换机120可以包括:blade_1 122; blade_2 124;blade_3 126;以及blade_n 128。交换机120可以被耦合 到服务器152并且与服务器152通信(经由通信或接入172),并且 还可以经由外部网络160与服务器150通信(经由通信或接入166和 168)。在一些方面,交换机120可以基于由认证服务器
154执行的 操作来认证主机140。主机140的认证可以基于由接入层(未示出) 支持的认证过程,并且可以是基于端口的(例如,ieee 802.1x)或 基于用户名/密码的认证。
19.在环境100中,结构110中的相应链路可以是隧道。结构110的 交换机可以形成隧道网。隧道的示例包括但不限于虚拟可扩展局域网 (vxlan)、通用路由封装(gre)、使用gre的网络虚拟化 (nvgre)、通用联网虚拟化封装(geneve)和互联网协议安全 (ipsec)。可以在结构110之上部署虚拟专用网络(vpn),诸如以 太网vpn(evpn)。结构110还可以包括具有聚合交换机的聚合层 (未示出),其中相应聚合交换机可以聚合来自一个或多个下游接入 交换机的业务,并且还可以通过接入交换机被耦合到接入层(未示 出),该接入交换机可以促进对主机的接入。
20.主机可以与结构110的一个或多个交换机通信,并且结构110中 的交换机可以与一个或多个主机通信。主机可以通过经由结构110的 交换机发起与服务器的三次tcp握手来建立与服务器的tcp会话。 例如,主机140可以经由交换机120(经由通信160)向服务器152 发送第一控制分组。交换机120(例如,blade_1 122)上的第一入口 接口162可以接收第一控制分组并且选择在例如blade_3 126上运行 的ids/ips引擎。交换机120(例如,blade_2 124)上的出口接口可 以向服务器152发送第一控制分组(经由通信172)。
21.服务器152可以经由交换机120(经由通信172)向主机140发 送回第二控制分组。第二入口接口170(其与用于向服务器152发送 第一控制分组的出口接口相同)可以接收第二控制分组并且选择在 blade_3 126上运行的相同ids/ipd引擎。出口接口162(其与用于接 收第一控制分组的第一入口接口相同)可以向主机140发送第二控制 分组(经由通信160)。
22.主机140可以经由交换机120(经由通信160)向服务器152发 送第三控制分组。交换机120上的第一入口接口162(例如,blade_1122)可以接收第三控制分组,并且交换机120上的出口接口(例如, blade_2 124)可以将第三控制分组发送到服务器152(经由通信172)。 第一入口接口162还可以向blade_3 126上的所选择的ids/ips引擎发 送通知,该通知指示将由所选择的ids/ips引擎跟踪的tcp会话,例 如,通过所选择的ids/ips引擎的深度分组检查(dpi)模块或组件。 如上所述,主机140可以与服务器152建立tcp会话(其中三个控 制分组穿过出口和入口接口170),并且还可以与服务器154建立tcp 会话(其中三个控制分组穿过出口和入口接口164,出口和入口接口 164可以与例如blade_n 128相关联)。
23.这三个控制分组被成功地传输和接收之后,新的tcp会话被建 立。随后,该系统可以通过一系列四个ssl控制分组来执行ssl协 议(如下文关于图2b、图4b和图4c所述)。当四个ssl控制分组 中的每个ssl控制分组通过交换机120被接收到时,交换机120可以 将每个ssl控制分组转发给所选择的ids/ips引擎。类似地,针对在 建立tcp会话之后通过交换机120被接收的任何分组,交换机120 可以将相应分组转发给所选择的ids/ips引擎。也就是说,在建立tcp 会话之后通过第一入口接口或第二接口被接收的、与tcp会话相关 联的数据可以被转发给所选择的ids/ips引擎。
24.该系统可以通过基于例如所接收的分组的报头中的字段或信息 的任何组合来动态计算或重新计算引擎选择来执行引擎选择。备选 地,该系统可以在第一计算之后高速缓存引擎选择,并且在确定将与 所建立的tcp会话相关联的后续数据分组转发给哪里时使用高速缓 存的引擎选择。
25.促进应用标识的通信
26.图2a示出了根据本技术的一个方面的客户端202、交换机204 与服务器208之间的通信200,包括建立tcp会话,以用于促进非对 称应用标识检测。交换机204可以包括多个刀片或线卡(例如,blade_1205、blade_2 206和blade_3 207),每个刀片或线卡可以具有入口接 口和出口接口。客户端202可以向交换机204发送第一控制分组 (“tcp syn 210”)。交换机204的第一入口接口(blade_1 205) 可以接收控制分组210并且执行选择引擎211操作以选择在blade_3 207上运行的ids/ips引擎。交换机204上的出口接口(blade_2 206) 可以将第一控制分组(作为“tcp syn 212”)发送到服务器208。 控制分组212可以指示信息,包括:为客户端202的源到为服务器208 的目的地;分组的类型(“tcp第一syn”);tcp序列号为“100”; ack值为“0”;长度为“0”;入口接口为“blade_1 205”;以及出 口接口为“blade_2 206”。
27.服务器208可以经由交换机240向客户端202发送回第二控制分 组(“tcp syn ack 214”)。第二入口接口(blade_2 206,其与用 于向服务器208发送第一控制分组212的出口接口相同)可以接收第 二控制分组214并且执行选择引擎215操作以选择在blade_3 207上 运行的相同ids/ips引擎。控制分组214可以指示信息,包括:为服 务器208的源到为客户端202的目的地;分组的类型(“tcpsyn-ack”);tcp序列号为“200”;ack值为“101”;长度为
ꢀ“
0”;入口接口为“blade_2 206”;以及出口接口为“blade_1 205”。 第一入口接口(blade_1 205)可以将第二控制分组(作为“tcp synack 216”)发送到客户端202。
28.客户端202可以向交换机204发送第三控制分组(“tcp ack 218”)。交换机204(blade_1 205)的第一入口接口可以接收第三控 制分组218并且执行动作221以向在blade_3 207上运行的所选择的 ids/ips引擎发送通知,该通知表明tcp会话已经建立并且将被跟踪。 交换机204上的出口接口(blade_2 206)可以向服务器208发送第三 控制分组(作为“tcp ack 220”)。控制分组220可以指示信息, 包括:为客户端202的源到为服务器208的目的地;分组的类型(“tcp 第一ack”);tcp序列号为“101”;ack值为“201”;长度为
ꢀ“
0”;入口接口为“blade_1 205”;以及出口接口为“blade_2 206”。 通信可以如以下关于图2b所述的那样继续。
29.图2b示出了根据本技术的一个方面的客户端202、交换机204 与服务器208之间的通信230,包括建立ssl协议和发送数据分组, 以用于促进非对称应用标识检测。图2b中的通信可以在图2a中的 通信200之后发生,并且可以包括四个ssl控制分组。这四个ssl 控制分组可以:指定要使用的ssl或传输层安全(tls)版本;确定 要使用的密码套件;使用服务器的证书来认证服务器的身份;以及在 建立ssl协议时生成用于加密在客户端与服务器之间传输的消息的 会话密钥。虽然通信230描绘了ssl协议的建立,包括将四个控制分 组中的每个控制分组传输或转发给先前选择的ids/ips引擎,但具有 与所建立的tcp会话相关联的分组并且通过第一入口接口或第二入 口接口被接收的任何数据分组可以通过相应入口接口转发给所选择 的ids/ips引擎。
30.客户端202可以向交换机204发送第一ssl控制分组(“sslclient hello 232”)。交换机204(blade_1 205)的第一入口接 口可以接收第一ssl控制分组232并且执行动作235以将分组232 转发给在blade_3 207上运行的所选择的ids/ips引擎。交换机204 上的出口接口(blade_2 206)可以将第一ssl控制分组232(作为“sslclient hello 234”)发送
给服务器208。ssl控制分组234可以 指示信息,包括:为客户端202的源到为服务器208的目的地;分组 的类型(“ssl client hello”);tcp序列号为“101”;ack值为
ꢀ“
201”;长度大于“0”;入口接口为“blade_1 205”;以及出口接 口为“blade_2 206”。
31.在动作235之后,blade_3 207可以接收第一ssl控制分组232。 blade_3 207可以人工或自动生成三个新的控制分组(例如,表示三次 tcp握手的ip和tcp分组),这可以允许所选择的ids/ips引擎继 续进行,就好像tcp会话已经与所选择的ids/ips引擎被成功地建立 了一样。
32.服务器208可以经由交换机240向客户端202发送回第二ssl控 制分组(“ssl server hello 236”)。第二入口接口(blade_2 206) 可以接收第二ssl控制分组236并且可以执行动作237以将控制分组 236转发给在blade_3 207上运行的所选择的ids/ips引擎。ssl控制 分组236可以包括serverhello、服务器证书和serverhellodone,并 且还可以指示:为服务器208的源到为客户端202的目的地;分组的 类型(“ssl server hello”);tcp序列号为“201”;ack值为“1xx”; 长度大于“0”;入口接口为“blade_2 206”;以及出口接口为“blade_1 205”。第一入口接口(blade_1 205)可以将第二ssl控制分组236 (作为“ssl server hello 238”)发送给客户端202。
33.随后,客户端202可以向交换机204发送第三ssl控制分组(“sslclient key exch 240”),该第三ssl控制分组在交换机204的 第一入口接口(blade_1 205)上接收。blade_1 205上的第一入口接口 可以执行动作243以将分组240转发给在blade_3 207上运行的所选 择的ids/ips引擎。交换机204上的出口接口(blade_2 206)可以向 服务器208发送第三ssl控制分组240(作为“ssl client keyexch 242”)。ssl控制分组242可以包括clientkeyexchange、 changecipherspec和finished指示符。
34.服务器208可以经由交换机240向客户端202发送回第四ssl控 制分组(“ssl server finished 244”),该第四ssl控制分组 在交换机201的第二入口接口(blade_2 206)上接收。ssl控制分组 244可以包括changecipherspec和finished指示符。第二入口接口(blade_2 206)可以执行动作245以将分组244转发给在blade_3 207 上运行的所选择的ids/ips引擎。第一入口接口(blade_1 205)可以 向客户端202发送第四ssl控制分组244(作为“ssl serverfinished 246”)。
35.用于促进应用标识的方法
36.图3呈现了示出根据本技术的一个方面的促进非对称应用标识检 测的方法的流程图300。在操作期间,该系统通过交换机上的第一入 口接口接收用于建立传输控制协议(tcp)会话的第一控制分组(操 作302)。该系统通过第一入口接口选择在交换机中的第一线卡上运 行的第一引擎(操作304)。该系统通过交换机上的第二入口接口接 收用于建立tcp会话的第二控制分组(操作306)。该系统通过第二 入口接口选择在第一线卡上运行的相同的第一引擎,其中在建立tcp 会话之后通过第一入口接口或第二入口接口被接收的、与tcp会话 相关联的数据将被转发给所选择的第一引擎(操作308)。
37.该系统通过第一入口接口接收用于建立tcp会话的第三控制分 组(操作310)。该系统通过第一入口接口向所选择的第一引擎发送 通知,该通知指示将由第一引擎跟踪的tcp会话(操作312)。该系 统通过第一入口接口或第二入口接口接收具有与tcp会话相关联的 有效载荷的第四分组(操作314)。该系统通过第一入口接口或第二 入口接口将第四分
组的副本转发给所选择的第一引擎,由此促进多个 引擎实例支持应用标识(操作316)。
38.图4a呈现了示出根据本技术的一个方面的促进非对称应用标识 检测的方法的流程图400。在操作期间,该系统通过交换机上的第一 入口接口接收用于建立传输控制协议(tcp)会话的第一控制分组(操 作402)。该系统通过第一入口接口选择在交换机中的第一线卡上运 行的第一引擎(操作404)。该系统通过交换机上的第二入口接口接 收用于建立tcp会话的第二控制分组(操作406)。该系统通过第二 入口接口选择在第一线卡上运行的相同的第一引擎,其中在建立tcp 会话之后通过第一入口接口或第二入口接口被接收的、与tcp会话 相关联的数据将被转发给所选择的第一引擎(操作408)。该系统通 过第一入口接口接收用于建立tcp会话的第三控制分组(操作410)。 该系统通过第一入口接口向所选择的第一引擎发送通知,该通知指示 将由第一引擎跟踪的tcp会话(操作412)。
39.如果第三数据分组的有效载荷的长度大于零(判决414),则该 系统将第三数据分组的副本转发给所选择的第一引擎(操作416), 并且如果第三控制分组的有效载荷的长度为零(判决414),则该系 统通过第一入口接口将与第三控制分组相关联的流视为活动流(操作 418)。操作在图4b的标签a处继续。
40.图4b呈现了示出根据本技术的一个方面的促进非对称应用标识 检测的方法的流程图420。该系统通过第一入口接口接收具有与tcp 会话相关联的有效载荷的第四分组,其中第四分组包括第一ssl控制 分组(操作422)。该系统通过第一入口接口将第四分组的副本转发 给所选择的第一引擎(操作424)。该系统通过所选择的第一引擎接 收第四分组(操作426)。该系统通过所选择的第一引擎生成三个新 的控制分组,这允许所选择的第一引擎继续进行,就好像tcp会话 针对所选择的第一引擎被成功地建立了一样(操作428)。
41.该系统通过第二入口接口接收具有与tcp会话相关联的有效载 荷的第五分组,其中第五分组包括第二ssl控制分组(操作430)。 该系统通过第二入口接口将第五分组的副本转发给所选择的第一引 擎(操作432)。该系统通过所选择的第一引擎接收第五分组(操作 434),并且操作在图4c的标签b处继续。
42.图4c呈现了示出根据本技术的一个方面的促进非对称应用标识 检测的方法的流程图440。该系统通过第一入口接口接收具有与tcp 会话相关联的有效载荷的第六分组,其中第六分组包括第三ssl控制 分组(操作442)。该系统通过第一入口接口将第六分组的副本转发 给所选择的第一引擎(操作444)。该系统通过所选择的第一引擎接 收第六分组(操作446)。该系统通过第二入口接口接收具有与tcp 会话相关联的有效载荷的第七分组,其中第七分组包括第四ssl控制 分组(操作448)。该系统通过第二入口接口将第七分组的副本转发 给所选择的第一引擎(操作450)。该系统通过所选择的第一引擎接 收第七分组(操作452)。在建立tcp会话之后,该系统通过第一入 口接口或第二入口接口接收具有与tcp会话相关联的有效载荷的附 加分组(操作454)。该系统通过第一入口接口或第二入口接口将附 加分组的副本转发给所选择的第一引擎,由此促进多个引擎实例支持 应用标识(操作456)。注意,虽然操作454和456被描绘为在ssl 协议之后发生,但是操作454和456可以在tcp会话建立之后(例 如,上面在图4a的流程图400中描述的用于建立tcp会话的操作之 后)的任何时间发生。
43.计算机系统和设备
44.图5示出了根据本技术的一个方面的促进非对称应用标识检测的 计算机系统
500。计算机系统500包括处理器502、易失性存储器506 和存储设备508。易失性存储器506可以包括例如随机存取存储器 (ram),该ram用作受管理存储器并且可以用于存储一个或多个 存储器池。存储设备508可以包括可以经由处理器502来管理或访问 的持久存储。此外,计算机系统500可以被耦合到外围输入/输出(i/o) 用户设备510,例如显示设备511、键盘512、和指点设备514。存储 设备508可以存储操作系统516、内容处理系统518和数据534。
45.内容处理系统518可以包括指令,该指令在由计算机系统500执 行时可以使得计算机系统500或处理器502执行本公开中描述的方法 和/或过程。具体地,内容处理系统518可以包括用于接收和传输控制 分组和数据分组的指令(通信模块520)。
46.内容处理系统518还可以包括用于通过交换机上的第一入口接口 接收用于建立传输控制协议(tcp)会话的第一控制分组的指令(第 一接口管理模块522)。内容处理系统518可以包括用于通过第一入 口接口选择在交换机中的第一线卡上运行的第一引擎的指令(引擎选 择模块524)。内容处理系统518可以包括用于通过交换机上的第二 入口接口接收用于建立tcp会话的第二控制分组的指令(第二接口 管理模块526)。内容处理系统518还可以包括用于通过第二入口接 口选择在第一线卡上运行的相同的第一引擎的指令,其中在建立tcp 会话之后通过第一入口接口或第二入口接口被接收的、与tcp会话 相关联的数据将被转发给所选择的第一引擎(引擎选择模块524)。 内容处理系统518可以包括用于通过第一入口接口接收用于建立tcp 会话的第三控制分组的指令(第一接口管理模块522)。内容处理系 统518可以包括用于通过第一入口接口向所选择的第一引擎发送通知 的指令,该通知指示将由第一引擎跟踪的tcp会话(会话通知模块 528)。内容处理系统518还可以包括用于通过第一入口接口或第二 入口接口接收具有与tcp会话相关联的有效载荷的第四分组的指令 (通信模块520、第一接口管理模块522或第二接口管理模块526)。 内容处理系统518可以包括用于通过第一入口接口或第二入口接口将 第四分组的副本转发给所选择的第一引擎的指令,由此促进多个引擎 实例以支持应用标识(分组转发模块530)。
47.内容处理系统518可以另外包括用于在第一入口接口将第四分组 的副本转发给所选择的第一引擎之后通过所选择的第一引擎接收第 四分组的指令(通信模块520和分组转发模块530)、以及用于通过 所选择的第一引擎生成三个新的控制分组的指令,这允许所选择的第 一引擎继续进行,就好像tcp会话针对所选择的第一引擎被成功地 建立了一样(自动tcp控制分组生成模块532)。
48.数据534可以包括本公开中描述的方法和/或过程作为输入而需 要或作为输出而生成的任何数据。具体地,数据534至少可以存储: 分组;控制分组;tcp控制分组;ssl控制分组;交换机、入口接口 或出口接口的标识符;关于tcp会话是否已经成功建立的指示符; 所选择的引擎;所选择的ids/ips引擎;有效载荷;tcp序列号;确 认号码;长度;长度的值为零或更大;通知;如关于三个tcp控制 分组(图2a)或四个ssl控制分组(图2b)而描述的信息;活动流 的指示符;报头信息;新的控制分组;以及自动生成的控制分组。
49.图6示出了根据本技术的一个方面的促进非对称应用标识检测的装 置600。装置600可以包括多个单元或装置,这些单元或装置可以经由 有线、无线、量子光或电通信信道彼此通信。装置600可以使用一个或 多个集成电路而被实现,并且可以包括比图6所示的更少或更多的单元 或装置。此外,装置600可以集成在计算机系统中,或实现为能够与其 他计算机系统和/或设备通信的一个或多个单独的设备。装置600也可以 是具有被配置为执
行本文中描述(包括关于图1、图2a、图2b、图3、 图4a、图4b和图4c)的操作的逻辑的交换机。
50.装置600还可以包括非易失性存储系统或存储器管理单元。装置 600可以包括模块或单元602-614,模块或单元602-614被配置为执行 类似于图5的计算机系统500的模块520-532的功能或操作,包括: 通信单元602;第一接口管理单元604;引擎选择单元606;第二接口 管理单元608;会话通知单元610;分组转发单元612;以及自动tcp 控制分组生成单元614。
51.总体上,所公开的方面提供了一种促进检测计算机系统中的存储 器使用中的尖峰的系统。在一个方面,在操作期间,该系统通过交换 机上的第一入口接口接收用于建立传输控制协议(tcp)会话的第一 控制分组。该系统通过第一入口接口选择在交换机中的第一线卡上运 行的第一引擎。该系统通过交换机上的第二入口接口接收用于建立 tcp会话的第二控制分组。该系统通过第二入口接口选择在第一线卡 上运行的相同的第一引擎,其中在建立tcp会话之后通过第一入口 接口或第二入口接口被接收的、与tcp会话相关联的数据将被转发 给所选择的第一引擎。该系统通过第一入口接口接收用于建立tcp 会话的第三控制分组。该系统通过第一入口接口向所选择的第一引擎 发送通知,该通知指示将由第一引擎跟踪的tcp会话。该系统通过 第一入口接口或第二入口接口接收具有与tcp会话相关联的有效载 荷的第四分组。该系统通过第一入口接口或第二入口接口将第四分组 的副本转发给所选择的第一引擎,由此促进多个引擎实例支持应用标 识。
52.在这个方面的另外的变型中,交换机在分布式隧道结构中操作, 第一入口接口与和分布式隧道结构交互的客户端相关联,并且第二入 口接口与在分布式隧道结构中操作的服务器相关联。
53.在另外的变型中,第一引擎和多个引擎实例各自包括入侵检测系 统/入侵防御系统(ids/ids)模块或组件。
54.在另外的变型中,建立tcp会话包括成功地传输和接收第一控制 分组、第二控制分组和第三控制分组,并且还包括执行成功的三次 tcp握手。
55.在另外的变型中,发送指示tcp会话的通知是响应于第一入口接 口接收到第三控制分组的。
56.在另外的变型中,响应于确定第三控制分组的有效载荷的长度大 于零,该系统将第三分组的副本转发给所选择的第一引擎。响应于确 定第三控制分组的有效载荷的长度为零,该系统通过第一入口接口将 与第三控制分组相关联的流视为活动流。
57.在另外的变型中,第四分组中的报头信息将第四分组与所建立的 tcp会话相关联。
58.在另外的变型中,第四分组是ssl分组,并且包括clienthello 分组。
59.在另外的变型中,在第一入口接口将第四分组的副本转发给所选 择的第一引擎之后,该系统通过所选择的第一引擎接收第四分组。该 系统通过所选择的第一引擎生成三个新的控制分组,这允许所选择的 第一引擎继续进行,就好像tcp会话针对所选择的第一引擎被成功 地建立了一样。
60.在另外的变型中,生成三个新的控制分组基于来自第四分组的报 头信息。
61.本详细描述中描述的数据结构和代码通常被存储在计算机可读 存储介质上,该存储介质可以是可以存储代码和/或数据以用于计算机 系统使用的任何设备或介质。计算
机可读存储介质包括但不限于易失 性存储器、非易失性存储器、磁和光存储设备,诸如磁盘驱动器、磁 带、cd(压缩盘)、dvd(数字多功能盘或数字视频盘)、或能够 存储现在已知或以后开发的计算机可读介质的其他介质。
62.详细描述部分中描述的方法和过程可以体现为代码和/或数据,该 代码和/或数据可以被存储在如上所述的计算机可读存储介质中。当计 算机系统读取并且执行被存储在计算机可读存储介质上的代码和/或 数据时,计算机系统执行被体现为数据结构和代码并且被存储在计算 机可读存储介质内的方法和过程。
63.此外,上述方法和过程可以被包括在硬件设备或装置中。例如, 硬件设备或装置可以包括但不限于专用集成电路(asic)芯片、现场 可编程门阵列(fpga)、在特定时间执行特定软件程序或代码的专 用或共享处理器、以及现在已知或以后开发的其他可编程逻辑设备。 当硬件设备或装置被激活时,硬件模块执行其中包括的方法和过程。
64.仅出于说明和描述的目的而呈现了对各方面的前述描述。它们并 非旨在穷举或将本文中描述的方面限制为所公开的形式。因此,对于 本领域技术人员来说,很多修改和变化将是很清楚的。此外,上述公 开内容并非旨在限制本文所述的方面。本文所述的方面的范围由所附 权利要求限定。
当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1