协议特征识别是高性能DPI/lPS/IDS等网络应用中非常重要的一环,直接影响整个系统的性能和识别率。报文特征越来越复杂,常见使用端口和单个固定关键字已不再适用。常常需要多个特征一起使用(逻辑或与),并配合通配符(*)等正则表达式。使用专用的硬件DPI加速引擎,配合多年在MIPS多核的积累,可有效优化多个关键字与操作和通配符匹配性能低的问题,卸载服务器的负载,显著提升系统性能。

关键技术

  • 多关键字与操作:与操作在规则匹配中需要大量额外的逻辑运算,常常会明显降低匹配性能,uNIC智能网卡支持最大8个关键字的与操作,对性能无明显影响
  • 多命中:uNIC智能网卡支持对报文多命中,并对冗余命中根据优先级去重,排序
  • 通配符:是否支持通配符,以及通配符的大小,极大地影响规则匹配性能,uNIC智能网卡优化通配符匹配问题,对性能无明显影响
  • 报文级别保序:由于多核分发及流水处理,至多只能达到流保序,无法做到报文级别的严格保序。无法满足一些对用户行为时间敏感的应用。uNIC智能网卡在不明显影响系统性能的前提下支持报文级别保序
  • 大容量规则:实际测试支持6W多条匹配规则,对性能无明显影响

典型应用

TCP乱序重组

协议还原等应用通常需要将TCP会话的多个报文纠序、去重和拷贝组成一个完整数据块,这将非常耗费主机资源。uNIC智能网卡是一种TCP会话重组加速的卡,主要用于降低主机在进行TCP会话重组时的计算负载。

  • uNIC智能网卡能够对TCP 流执行顺序整理、重传报文清理等工作,将以一个完整TCP数据块提交分析主机,从而显著提高分析主机的性能。
  • uNIC智能网卡能够对报文进行五元组、关键字和正则表达式的过滤,衰减服务器不关心的流量,标识报文特征。
  • uNIC智能网卡能够对重组的报文进行多核分流,从而使得多个流可以被主机上多个核并发处理。

测试表明,采用uNIC智能网卡进行TCP会话管理可提高主机3~5倍性能。

流量识别

       网络安全应用中非常重要的一环是对流量识别,常规基于端口、协议类型、固定位置特征等方法已不再适用,需要基于报文更复杂的特征,使用X86服务器以软件识别的方法常常耗费了服务器大部分资源,且性能不高。uNIC智能网卡自带特征查找引擎,可卸载服务器的压力,并提高查找性能。

  • 支持可配置用户收包通道,支持多进程收包,减轻服务器多核之间的流量耦合,同一特征的流量送到相同的进程处理,可使进程间独立。
  • 五元组+关键字组合规则筛选,流量识别更有针对性,减少误命中
  • 大容量五元组规则,支持五元组规则100W条,支持掩码规则
  • 大容量关键字规则,支持关键字规则10W条,每个关键字长度3-128字节
  • 多命中规则:支持规则多命中,并按优先级排序、去重
  • 流标识:支持规则ID标记到报文自定义头部
  • 流回溯:报文特征通常出现在流开始的后几个报文,可支持流开始的N个报文,待流特征出现再标识
  • 流老化