[发明专利]模式检测的装置与方法

说明书

本发明涉及用于检测数据流中的模式的装置与方法。

在许多计算环境中，使用了对数据流中特定模式的检测。例如，在诸如病毒检测的领域中，将需要对计算机所接收的数据流监视病毒的存在。病毒检查器将能够识别特定的病毒以及一般类型的病毒。病毒检查器将存取包括大量不同模式，或许在数量上超过1000的数据结构。模式可以包括诸如“password(口令)”的简单的字符序列(串)，也可以按更灵活的方式被指定，例如，使用可以包括对字符类的一般参照，以及某字符和字符序列的出现次数的正则(regular)表达。

需要加以分析的、计算机所接收的数据流，将由一系列字节形成，并且按诸如TCP/IP(用于因特网通信)的公共协议，将以数据信息包的形式接收这些字节。当接收流时，针对所存储模式的存在，扫描形成数据流的这些数据信息包。可以通过软件执行这一扫描，或者在某些环境中，可以使用FPGA的专用的ASIC来执行模式匹配。如果检测到模式，则生成输出信号，然后依据具体的应用，执行诸如从数据信息包中删除该模式的动作。

所有已知的模式匹配系统都具有一或多个弱点。这些弱点包括对数据结构的大的存储需求、处理资源的高消费、对流动的数据实时模式匹配的困难、以及当要把针对新病毒的新模式添加于数据结构时更新存储模式的数据结构上的困难。

在A.V.Aho和M.J.Corasick的“Efficient string matching：An aid tobibliographic search(高效串匹配：文献搜索的助手)”，Communication of theACM，第18卷，第6期，第333～340页，1975年中，描述了一种通过构造传统的状态转变(transition)图而执行模式匹配的算法。该算法由根据关键字构造有限状态模式匹配机，以及使用该机器按单遍处理文本串组成。该方案把Knuth-Morris-Pratt算法的概念与有限状态机的概念相组合。然而，这一方法的存储效率、模式匹配性能以及更新性能受到相当大的限制。

因此，本发明的一个目的是对已知的技术进行改进。根据本发明的一个第一方面，提供了用于检测数据流中的模式的装置，一种用于检测数据流(12)中的模式的装置，该装置包括用于接收该数据流的模式匹配设备，该模式匹配设备包括一或多个规则引擎，所述或每一个规则引擎依据对多个模式进行编码的多个状态转变规则操作，第一状态转变规则包括通配符状态成分和通配符输入成分，第二状态转变规则包括通配符状态成分和指定的输入成分，以及第三状态转变规则包括指定的状态成分和指定的输入成分，该第一、第二以及第三规则具有不同的优先级，以及至少一个状态转变规则包括指示模式匹配的输出成分，该装置配置来把该数据流传送于所述或每一个规则引擎，并且进一步配置来当状态转变规则指示模式匹配时，输出指示模式匹配的信号。

根据本发明的第二方面，提供了一种用于检测数据流中的模式的方法，该方法包括接收该数据流、运行一或多个规则引擎，所述或每一个规则引擎依据对多个模式进行编码的多个状态转变规则操作，第一状态转变规则包括通配符状态成分和通配符输入成分，第二状态转变规则包括通配符状态成分和指定的输入成分，以及第三状态转变规则包括指定的状态成分和指定的输入成分，该第一、第二以及第三规则具有不同的优先级，以及至少一个状态转变规则包括指示模式匹配的输出成分，把该数据流传送于所述或每一个规则引擎，并且当状态转变规则指示模式匹配时，输出指示模式匹配的信号。

根据本发明的第三方面，提供了一种计算机可读媒体上的计算机程序产品，用于控制用于检测数据流中的模式的装置，该计算机程序产品包括用于接收所述数据流、运行一或多个规则引擎的指令，所述或每一个规则引擎依据对多个模式进行编码的多个状态转变规则操作，第一状态转变规则包括通配符状态成分和通配符输入成分，第二状态转变规则包括通配符状态成分和指定的输入成分，以及第三状态转变规则包括指定的状态成分和指定的输入成分，该第一、第二以及第三规则具有不同的优先级，以及至少一个状态转变规则包括指示模式匹配的输出成分，把该数据流传送于所述或每一个规则引擎，并且当状态转变规则指示模式匹配时，输出指示模式匹配的信号。

归功于本发明，可以提供一种改进的模式匹配方法。基于包括优先级的状态转变规则，使用规则引擎，以根据状态转变规则执行模式匹配，有助于系统在接收数据流时，可以针对数据流实时地进行操作，并且实现了对计算与存储器资源的有效的使用。可以按一种简单而及时的方式更新存储模式的数据结构。