基于多核處理器的DPI平臺的設計與應用

　　IDS/IPS類(lèi)應用傾向于將8比特字符的256個(gè)可能數值都明確地用規則表示出來(lái)，因此字符集壓縮對此類(lèi)應用來(lái)講作用較小，所以適合采用增量編譯。采用增量編譯的優(yōu)勢在于不會(huì )特別增加字節數。另外，為了進(jìn)行包分類(lèi)，這類(lèi)應用通常使用很多的起始狀態(tài)條件，這也適合采用增量編譯。有起始狀態(tài)條件的規則集使用增量編譯因為不需進(jìn)行字符集壓縮，所以可減小第一次的編譯時(shí)間;依賴(lài)于規則改變的數目和復雜度，第二次以及隨后的編譯時(shí)間也會(huì )大幅縮短;并且減小了存儲記錄的需求。

　　如果規則集沒(méi)有起始條件，那么最好還是使用全部編譯的方式，因為全部編譯具有字符集壓縮的優(yōu)勢。

　　DPI在UTM平臺上的應用

　　目前企業(yè)網(wǎng)都面臨著(zhù)入侵防御、防病毒和防垃圾郵件等三個(gè)主要的安全問(wèn)題，UTM的出現使得通過(guò)一臺設備來(lái)解決上述安全問(wèn)題成為可能。但這同時(shí)也帶來(lái)了性能瓶頸，因為對不間斷的數據流進(jìn)行處理，并根據不同的惡意威脅對包進(jìn)行深度掃描的計算量非常龐大，即使是多核平臺也很難達到預定性能。在這種情況下，專(zhuān)用的加速引擎Tarari就可以幫助UTM設備在安全能力和處理性能間達到均衡。

　　Tarari可以從主處理器上卸載內容處理任務(wù)，利用專(zhuān)用硬件來(lái)加速評估過(guò)程，最后再將評估結果送回主處理器上的安全應用程序。

　　對于入侵防御，UTM設備可以檢測輸入報文的所有內容，并將內容提交給Tarari的正則表達式處理引擎，由它來(lái)加速與攻擊模式的比較過(guò)程。匹配結果返回主處理器后，入侵防御應用程序會(huì )決定如何來(lái)處理攻擊包。

　　對于防病毒保護，數據流以文件形式通過(guò)UTM設備進(jìn)入正則表達式引擎，引擎在線(xiàn)速情況下會(huì )將文件與病毒特征數據庫進(jìn)行評估匹配，并對可疑內容進(jìn)行啟發(fā)分析。評估結束后，主處理器上的防病毒應用程序就可以對感染文件進(jìn)行預定處理。

　　對于防垃圾郵件應用，輸入流作為Email通過(guò)UTM設備接入正則表達式引擎，引擎會(huì )將內容圖案與垃圾郵件特征數據庫進(jìn)行評估對比，識別出問(wèn)題信息。主處理器上運行的反垃圾郵件應用程序讀出返回值后可以應用不同策略來(lái)處理這些信息。

　　當UTM平臺有了Tarari的加速，它可以真正實(shí)現對數據報文、信息和文件的深度檢測，以對網(wǎng)絡(luò )提供安全保護。

　　總結

　　通過(guò)軟件的方式也可以實(shí)現DPI檢測功能，但這種方式性?xún)r(jià)比較低，功耗較高。比如在3GHz的Xenon四核平臺上，每核只能實(shí)現60Mbit/s的吞吐量，而此時(shí)功耗為90W;采用最低端的T1000芯片可以實(shí)現250Mbit/s的吞吐量，而功耗不足2W。

　　Tarari與軟件方式相比還有一個(gè)明顯的優(yōu)勢，在于它基于硬件的跨包檢測能力，相對于用軟件來(lái)檢測跨包威脅，比如入侵、惡意攻擊等，Tarari的硬件處理速度遠遠超出了軟件的處理速度。

　　Tarari芯片內部檢測引擎的理論處理速度超過(guò)目前芯片的I/O吞吐率，因此，這些額外的處理能力使得LSI公司有能力在不遠的將來(lái)推出更快更高效的產(chǎn)品。目前T1000系列芯片LSI采用了90nm工藝技術(shù)，隨著(zhù)LSI向65nm工藝的推進(jìn)，Tarari系列的功耗將會(huì )更低，處理性能將會(huì )得到更大的釋放。