[发明专利]面向正则表达式的多模式匹配硬件引擎及生成方法

说明书

技术领域

本发明涉及的是一种基于FPGA硬件设备的面向正则表达式的多模式匹配 引擎。本发明也涉及一种引擎的生成方法。

背景技术

误用入侵检测系统作为当前主流的网络入侵检测系统，有判断准确性高、 误报率低等特点，此类系统是建立在对过去各种已知网络入侵方法和系统缺陷 知识的积累之上，根据对这些已知模式的检测来达到保障安全的目的。因此， 模式库和模式匹配是误用入侵检测系统的核心。随着网络速度的迅速提高，误 用入侵检测系统逐渐暴露其在性能上的致命缺陷：检测速率低、资源消耗大。 尤其当入侵模式库不断增大时，此类软件系统更是难有较佳表现。因此，误用 入侵检测系统在某些网络负载高的环境下不得不放弃对一些网络数据包的检 测，这种策略严重影响了误用入侵检测系统在功能上的完整性。

误用入侵检测系统性能的主要瓶颈在于模式匹配引擎的效率上。模式匹配 引擎根据入侵规则库中的规则模式对来自网络的数据包进行字符串模式匹配。 在许多误用入侵检测系统中（如Snort入侵检测系统），这些用以描述入侵特征 的字符串模式是以正则表达式形式给出的，将其作为判断规则的一部分存放于 入侵模式规则库中。文献[1]指出在误用入侵检测系统的模式匹配中，正则表达 式匹配占了CPU计算时间的90%以上。

软件模式匹配引擎为达到较高的匹配效率，通常采用一些多模式匹配算法， 文献[2]中作者指出，目前绝大多数的正则表达式匹配算法都是由GAC （Generalization of the Aho-Corasick）算法改进而来。文献[3]中给出了GAC算 法设计细节。此类软件多模式匹配算法在由NFA（Nondeterministic Finite  Automata）构建DFA（Deterministic Finite Automata）的过程中，状态机的状态 数成指数级增长，因此增大了对内存等硬件资源的消耗，其结果是制约了此类 系统所能匹配的正则表达式的规模，并且在无法增大规模的同时也降低了系统 的性能。

在硬件模式匹配引擎的设计上，目前主要采用NFA和DFA两类模式匹配 的方法，文献[4]中，作者应用DFA理论提出了一种新的结构，并通过压缩编码 的方式来提高密度；文献[5]的作者依据图论算法对多状态转移进行合并，将 DFA转化成D²FA，从而减小了95%的存储器占用。但这些利用DFA理论的方 法都不可避免面临着硬件资源有限的难题，由于相对NFA来说，DFA实现中的 状态数成指数级增长，这使得目前现有的FPGA硬件很难满足大规模正则表达 式匹配的任务。文献[6]首次提出了一种利用NFA机制实现的基于FPGA硬件 的正则表达式匹配引擎，该引擎可以每周期匹配一个字符，并采用模块化设计 思想给出了几种基本模块的设计方法。文献[7,8,9,10]虽然从不同角度各自提出 了基于NFA理论的硬件设计和相应的优化策略，但这些改进方案仍然只能做到 一个系统周期匹配一个字符，而本发明从其他角度提出基于双通道技术的多模 式匹配方法，能够达到每个系统周期匹配两个字符，匹配速度高于以前提出的 方法。同时，本发明以硬件模块化设计思想为基础，在进行模式匹配时无需硬 件控制逻辑单元调度，从而简化了引擎的控制。

相关参考文献包括：

1.Fang Yu,Zhifeng Chen,Yanlei Diao,T.V. Lakshman and Randy H.Katz.Fast and  Memory-Efficient Regular Expression Matching for Deep Packet Inspection.Proceedings  of the ACM/IEEE Symposium on Architecture for Networking and Communications  Systems(ANCS),2006:93-102.

2.Bruce W. Watson and Richard E.Watson.A Boyer-Moore-style algorithm for regular  expression pattern matching.Science of Computer Programming,2003:99-117.