(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111342254.8 (22)申请日 2021.11.12 (65)同一申请的已公布的文献号 申请公布号 CN 113992425 A (43)申请公布日 2022.01.28 (73)专利权人 北京天融信网络安全技 术有限公 司 地址 100000 北京市海淀区上地 东路1号院 3号楼四层 专利权人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 杜威　范雪俭　孙峰　鲍晓玲　 王开路　陈强　张碧林　(74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 李飞 (51)Int.Cl. H04L 9/40(2022.01) H04L 47/2483(2022.01) (56)对比文件 CN 104281493 A,2015.01.14 CN 103414535 A,2013.1 1.27 CN 110022330 A,2019.07.16 CN 113518130 A,2021.10.19 US 201727 7903 A1,2017.09.28 审查员 徐刚 (54)发明名称 一种收发网络数据包的方法、 网络设备以及 通信系统 (57)摘要 本申请实施例提供一种 收发网络数据包的 方法、 网络设备以及通信系统， 该收发网络数据 包的方法， 包括： 快核网络协议栈从网卡队列获 取数据包， 并将所述数据包发送到慢核协议栈； 在所述慢核网络协议栈将所述数据包与预设策 略进行匹配， 如果匹配成功则将所述数据包上送 到环形队列， 否则， 发送所述数据包到网卡队列； 通过所述监控进程从所述环形队列读取所述数 据包并获取针对 所述数据包的判决结果， 在所述 数据包添加判决结果标志， 将包含 所述判决结果 的数据包下发到所述环形队列； 若所述快核确认 所述数据包打上所述判决结果标志时， 则将所述 数据包发送到慢核， 由所述慢核根据判决结果确 定丢弃所述数据包或者将所述数据包发送到所 述网卡队列。 权利要求书3页 说明书10页 附图4页 CN 113992425 B 2022.09.23 CN 113992425 B 1.一种收发网络数据包的方法， 运行于包括多个计算核的电子设备上， 其特征在于， 所 述多个计算核中的各计算核被划分为属于快核或者慢核中的一类， 所述快核被配置为运行 快核网络协议栈， 所述慢核被配置为运行慢核网络协议栈， 监控进程运行于慢核包括的各 计算核上且与各应用进程 一一对应设置， 所述方法包括： 快核网络协议栈从网卡队列获取 数据包， 并确认所述数据包属于首包； 将所述数据包发送到慢核网络协议栈； 通过所述慢核网络协议栈将所述数据包携带的连接信 息与预设策略进行匹配， 如果匹 配成功则将所述数据包上送到环形队列， 否则发送所述数据包到网卡队列， 其中， 所述环形 队列与一个计算核对应； 通过所述监控进程从所述环形队列读取所述数据包， 对所述数据包进行检测以获取针 对所述数据包的判决结果， 并在所述数据包添加判决结果标志后 将包含所述判决结果标志 的数据包下发到所述环形队列； 若所述快核确认所述数据包被打上所述判决结果标志时， 则将所述数据包发送到慢 核， 由所述慢核根据所述判决结果确定丢弃所述数据包或者将所述数据包发送到所述网卡 队列。 2.如权利要求1所述的方法， 其特征在于， 所述将所述数据包发送到慢核网络协议栈， 包括： 若通过所述快核 网络协议栈确认不存在针对所述数据包的连接时， 则将所述数据包发 送至所述慢核网络协议栈； 其中， 在通过所述慢核网络协议栈将所述数据包与预设策略进行匹配之前， 所述方法 还包括： 通过所述慢核网络协议栈建立所述连接， 并在匹配成功时为所述连接添加标志， 以使 所述快核网络协议栈根据标志筛选出需要发送至所述环形队列的数据包； 其中， 所述连接 是与一个 应用进程唯一对应的； 所述方法还包括： 由所述慢核根据判决结果进行丢弃所述数据包、 删除所述连接或者 发送所述数据包到所述网卡队列。 3.如权利要求2所述的方法， 其特征在于， 所述慢核 网络协议栈是根据 所述数据包携带 的五元组信息建立所述连接的， 其中， 所述五元 组信息包括源IP地址、 目的IP地址、 源端口、 目的端口以及 传输层的协议类型； 其中， 所述快核网络协议栈通过所述数据包所携带的五元组信息确认不存在所述连接， 其 中， 所述五元组信息包括源IP地址、 目的IP地址、 源端口、 目的端口以及 传输层协议类型。 4.如权利要求1 ‑3任一项所述的方法， 其特征在于， 所述快核网络协议栈通过先进先出 队列将所述数据包发送到所述慢核网络协议栈。 5.如权利要求2所述的方法， 其特 征在于， 所述方法还 包括： 若所述快核网络协议栈确认存在针对所述数据包的连接且确认监控进程对所述连接 对应的所述数据包感兴趣， 则将所述数据包上送环形队列， 以使运行于慢核上 的所述监控 进程从所述环形队列中的读取待检测数据包并进行 数据检测； 若所述快核 网络协议栈确 认针对所述数据包的检测操作已完成， 则从所述环形队列读 取数据包并根据判决结果对所述数据包进行发送或丢弃。权　利　要　求　书 1/3 页 2 CN 113992425 B 26.如权利要求5所述的方法， 其特征在于， 通过所述慢核网络协议栈建立所述连接并为 与预设策略匹配成功的所述连接添加标志； 其中， 所述确认监控进程对所述连接对应的所述数据包感兴趣， 包括： 根据所述标志确认所述 监控进程对所述数据包感兴趣。 7.如权利要求5 ‑6任一项所述的方法， 其特征在于， 通过运行所述快核网络协议栈的快 核轮询所述环形队列并在确认所述数据包被打上判决结果标志时， 则确认完成针对所述数 据包的检测操作。 8.如权利要求5 ‑6任一项所述的方法， 其特征在于， 所述快核网络协议栈通过轮询网卡 队列获取 所述数据包。 9.如权利要求1所述的方法， 其特征在于， 所述方法还包括： 若所述快核网络协议栈确 认存在针对所述数据包的连接且确认监控进程对所述数据包不感兴趣时， 则由所述快核网 络协议栈将所述数据包转发到网卡队列。 10.如权利要求9所述的方法， 其特征在于， 通过慢核网络协议栈建立所述连接并对与 预设策略匹配成功的数据包 对应的连接添加标志； 其中， 所述确认监控进程对所述数据包不感兴趣， 包括： 若通过快速网络协议栈确 认不存在针对所述连接的标志时， 则确认所述监控进程对所 述数据包不感兴趣。 11.一种网络设备， 其特征在于， 该网络设备包括多个计算核， 且所述多个计算核中的 各计算核分别属于快核或慢核中的一类， 所述慢核包括至少一个计算核， 所述快核包括至 少一个计算核； 其中， 所述慢核包括的各计算核至少被配置为： 运行一个与 单个应用进程对应的监控进程实 现数据包检测， 获取判决结果； 所述快核至少被配置为： 从网卡队列读取数据包， 并实现数据包的转发或上送到应用 进程； 或者将待检测的数据包发送至慢核并转发具有判决结果的部分数据包； 其中， 所述慢核还被 配置为： 运行所述慢核网络协议栈以完成针对来自于快核网络协议栈的属于首包的数据包建 立连接并完成预设策略匹配， 其中， 通过所述策略匹配可筛选出需要进 行检测的数据包， 所 述快核运行 的快核网络协议栈被配置为根据所述连接确定针对来自于网卡数据包的处理 方式， 所述处 理方式包括 转发至网卡队列或者向所述慢核网络协议栈进行转发； 运行于所述慢核包括的各计算核上的监控进程被配资为： 从环形队列读取待检测的数 据包并对所述待检测的数据包进 行检测， 获取判决结果并为检测完成的数据包添加判决结 果标志， 将所述添加所述判决结果标志的数据包发送至环形队列。 12.如权利要求1 1所述的设备， 其特 征在于， 运行于快核上的所述快核网络协议栈被配置为： 轮询网卡NIC[A1]队列实现数据包的 收发， 通过先进先出队列将所述数据包发送到慢核网络协议栈， 或者轮询应用进程的环形 队列以在所述 监控进程完成对所述数据包的检测后对所述数据包进行转发； 所述慢核网络协议栈被 配置为： 在所述慢核 网络协议栈收到来自于所述快核 网络协议栈的数据包后， 根据五元组信 息权　利　要　求　书 2/3 页 3 CN 113992425 B 3