[发明专利]一种用于网络入侵和病毒检测的过滤器

说明书

技术领域

本公开一般涉及网络处理领域。特别地，本公开涉及一种新型过滤器架构，用以在用于例如入侵检测/预防和病毒检测的网络应用的分组检查中加快串匹配。

背景技术

在现代网络中，例如入侵检测/预防和病毒检测的应用对于保护网络和/或网络用户免受攻击是重要的。在这种应用中，通常通过找到与已知数据模式集合的匹配来检查网络分组以识别问题分组。将输入数据流的每一字节与大型(如高达几十万)模式数据库匹配是非常计算密集的。程序已使用了例如有限状态机和过滤器的技术来找到与已知集的匹配。

由Burton H.Bloom在1970年设计的Bloom过滤器是一种用来确定元素是否是集合的成员的概率结构。对元素执行哈希运算。使用多个不同的哈希函数来生成到比特阵列中的多个不同哈希索引。为了将元素增加或插入到集合中，对于该元素，使用这些哈希函数来索引阵列中的多个比特位置，并且然后将这些比特位置设置为1。为了对于任意元素查询过滤器，使用哈希函数来对于该元素索引阵列中的多个比特位置，并且然后核查这些比特位置来看它们是否全部被设置为1。如果它们没有全部被设置为1，讨论的该任意元素不是集合的成员。

每当过滤器对于并不真正是集合的成员的元素生成正结果时，该结果被称为误测。Bloom过滤器不会生成误测。误测的概率“小”是任何特定过滤器设计的目标。对Bloom过滤器来说，在使用k个不同哈希函数将n个元素插入到由m个比特的阵列表示的集合中之后，误测的概率是

为特定问题设计过滤器可能是令人厌烦的，而且在高数据速率时，最先进的处理器在甚至接近线速率的速率下完成设计也是困难或不可能的。为了实现接近每秒一个或多个吉比特的速率，提出了专用的现场可编程门阵列解决方案或定制电路。

迄今为止，在用于例如入侵检测/预防和病毒检测的网络应用的分组检查中用以加速串匹配的更一般的可重配置架构尚未被完全开发。

附图说明

本发明通过示例来说明但不局限于附图中的各图。

图1示出了过滤器装置的一个实施例，该装置用来在用于诸如入侵检测/预防和病毒检测的网络应用的分组检查中加速串匹配。

图2示出了初始化用于分组检查中的串匹配的过滤器装置的过程的一个实施例的流程图。

图3示出了将过滤器装置用于分组检查中的串匹配的过程的一个实施例的流程图。

图4示出了采用过滤器装置以在用于诸如入侵检测/预防和病毒检测的网络应用的分组检查中加速串匹配的系统的一个实施例。

具体实施方式

下面公开了执行用于网络分组检查的串匹配的方法和装置。在一些实施例中，过滤器装置可配置为串匹配片电路(slice circuit)的集合，该集合的每个片电路配置为与其他片电路并行地执行串匹配步骤。每个片电路可包括存储来自输入数据流的数据的某一数目的字节的输入窗口。如果需要，可填充数据的输入窗口，并且可将其乘以独特的伽罗瓦(Galois)域多项式模不可约的伽罗瓦域多项式以生成哈希索引。可访问对应于哈希索引的存储器片的存储位置来生成多个片命中(slice-hit)信号中的片命中信号。可将片命中信号提供给与或逻辑阵列，其中该多个片命中信号被逻辑组合为匹配结果。

这种方法和装置的实施例表示在用于诸如入侵检测/预防和病毒检测的网络应用的分组检查中加速串匹配的可重配置架构。

在下述说明中，阐述了许多具体细节。然而，应当理解，在没有这些具体细节的情况下，也可实行本发明的实施例。在其他情况中，为了不混淆对本描述的理解，没有详细示出公知电路、结构和技术。本发明的这些和其他实施例可根据下述教导实现，并且应当显而易见的是在不偏离本发明的更宽的精神和范围的情况下可以对下述教导做出多种修改和变动。相应地，应认为说明书和附图是说明性的而不是限制性的，并且本发明仅按照权利要求及其等同物来度量。