[发明专利]规则匹配装置和方法

说明书

技术领域

本发明涉及数据处理，特别是数据过滤技术。

背景技术

计算机系统现在运行在一个近乎无所不在的互连环境中，无论是连接到互联网和网络还是通过有线或无线技术。虽然在线通讯的采用已经为商务网络和信息共享建立了无数新机会，但是也同时增加了网络安全被试图侵害、骇客攻击、意图访问保密信息，或者其他妨碍网络通讯的行为的频率。

最近，大量以侦测和阻止网络中攻击为目标的计算机软件程序出现，包括反病毒数据过滤，防火墙，侵入侦测/阻止和网络保护。几乎每个现代网络安全系统的核心都是一个内容匹配引擎，其扫描一个输入数据流以寻找特定的内容，这些内容是已知有威胁或危险的数据。内容匹配引擎也是一个已知的模式匹配引擎，并且被扫描的特定内容(模式)通常被称作内容(模式)标志存在于标志数据库中。如果在被扫描的数据流和在标志数据库中的一个内容标志之间找到一个匹配，一个警报就会发出，并且被扫描的数据流会在其造成任何损害之前被捕捉住。除了在网络安全计算机软件中的应用，内容匹配也被用于因特网通讯协议(IP，internet protocol)路径，其中每个穿过IP路径的数据流都可以被追溯到其IP地址。

内容匹配引擎的一个实施方式是利用一个处理器(CPU/NPU)。在运行中，标志数据库的内容组被存储在一个外部同步随机存取存储器(SRAM，synchronous random accessmemory，)或者一个动态随机存取存储器(DRAM，(dynamic random access memory)中。被处理器运行的软件比较输入数据流和标志数据库中的内容组以执行内容匹配功能。因为处理器(CPU/NPU)不是专门用于执行内容匹配的，因此基于处理器运行的匹配速度十分慢。

内容匹配引擎的另外一个实施方式是利用内容可寻址存储器(CAM，content addressable memory)或者三重内容可寻址存储器(TCAM，ternary content addressable memory)。CAM(TCAM)是一个存储装置，其尤其适用于匹配功能。然而，CAM(TCAM)是一个特别昂贵的存储元件，其一般的费用是SRAM的五倍。而且，CAM(TCAM)的存储容量特别小并且不能随着标志数据库中内容组的增加而调整。

内容匹配引擎的另外一个实施方式是利用一个现场可再编程门阵列((FRGA，field reprogrammable gate array))。在运行中，在标志数据库中的内容组被转换成状态图并且在FRGA中作为状态机实施。FRGA被编程用来扫描输入数据流以在其中寻找标志数据库中已经在FRGA中被转换成状态图的内容组。然而，一旦标志数据库中的内容组被修改，FRGA必须被相应重新配置。一般来说，此类重新配置需要大量时间以至于FRGA的灵活性会受到影响。

总的来说，以上实施方式具有多种缺点。

发明内容

为了解决上述问题，本发明提供了一种用于对数据流实现规则匹配的装置，包括：内容匹配模块，其用来搜索所述数据流以寻找多个内容；和

第一规则匹配模块，其连接到所述内容匹配模块，所述第一规则匹配模块根据搜索结果更新多个状态寄存器，并且根据所述多个状态寄存器，用来判断规则组是否被所述数据流匹配；

其中所述规则组包含从所述多个内容中选出的具有一个单一内容的简单规则，和从所述多个内容中选出的具有多重内容 的复杂规则，并且其中每个所述状态寄存器表示所述规则组中的一个规则是否被所述数据流匹配。

本发明进一步提供了一种用来对数据流实现规则匹配的方法，包括：

搜索所述数据流寻找多个内容；

根据搜索结果更新多个状态寄存器；并且

根据所述多个状态寄存器判断所述规则组是否被所述数据流匹配，

其中所述规则组包含具有一个单一内容的简单规则和具有多重内容的复杂规则，并且其中所述多个状态寄存器中的每个状态寄存器表示所述规则组中的一个规则是否被所述数据流匹配。

本发明还提供一种用来对数据流执行规则匹配的系统，包括：具有规则组的标志数据库，所述规则组包含多个内容；以及匹配引擎，连接到所述标志数据库用来搜索所述数据流以便寻找所述多个内容，并根据搜索结果更新多个状态寄存器，并且根据所述多个状态寄存器判断所述规则组是否被所述数据流匹配；其中所述状态寄存器组中的每个状态寄存器显示所述规则组中的规则是否被所述数据流匹配。

本发明所述的规则匹配装置和方法，可有效利用资源，并具有相对高的灵活性和相对低的价格。

附图说明