[发明专利]基于报文内容感知的动态规则链式递归触发方法及其系统

权利要求书

1.一种基于报文内容感知的动态规则链式递归触发方法，其特征在于它包括以下步骤：

1）用户配置触发器，指定需触发的规则类型、老化时间、报文匹配方向、规则各组成域的来源、以及触发后的规则与其它触发器的关联关系，保存在触发描述库模块中，其中规则各组成域可以由用户配置静态值，也可以指定从当前报文的指定域提取动态值；

2）用户配置MAC、IP五元组、报文载荷特征码静态规则，定义当前静态规则与某个触发器的关联关系，保存在静态规则库模块中；

3）触发描述库模块和静态规则库模块将静态规则和触发器定义分发给设备中的多个报文匹配引擎，保存在报文匹配引擎的规则表中；

4）报文匹配引擎在接收到网络报文时，查询规则表进行匹配；

5）如果当前报文与规则表中某一条规则匹配，根据规则关联的触发器，提取当前触发器指定的报文字段，与用户静态配置规则域、以及当前的触发关联关系一起构成新的动态规则；

6）报文匹配引擎将新动态规则发送给动态规则库模块；

7）动态规则库模块在收到新动态规则后，保存在规则库中，将其分发给所有报文匹配引擎，保存在各报文匹配引擎的规则表中，保证所有报文匹配引擎的动态规则严格同步；

8）动态规则库模块周期性查询各个动态规则的报文匹配计数，在达到动态规则老化时间且无报文匹配本条规则时，通知所有报文匹配引擎删除该动态规则。

2.根据权利要求1所述的基于报文内容感知的动态规则链式递归触发方法，其特征在于报文与报文匹配引擎规则表中的新动态规则和静态规则匹配后的处理过程完全相同，不需区分新动态规则和静态规则的匹配过程。

3.一种实现如权利要求1至2 任一所述基于报文内容感知的动态规则链式递归触发方法的系统，其特征在于它包括：控制平面、数据平面；

所述的控制平面包括触发描述库模块、静态规则库模块、多线程并行的动态规则处理线程模块；

触发描述库模块：保存用户定义的触发器信息，其中触发器包括触发的规则类型、规则优先级、从报文中动态提取的规则域描述、用户静态配置的规则域、以及新触发规则与其它触发器的关联关系、新触发规则的老化时间，触发描述库模块将所有触发器信息可靠分发给所有的报文匹配引擎；

静态规则库模块：保存用户定义的基于MAC地址、IP五元组和报文载荷内容匹配静态规则，以及静态规则与某个触发器的关联关系，用于过滤筛选网络报文，静态规则库模块将所有静态规则信息可靠分发给所有的报文匹配引擎；

动态规则处理线程模块：由多个动态规则处理线程构成，基于动态规则内容的HASH值，每个动态规则处理线程只负责处理一部分动态规则，通过多个动态规则处理线程的无锁高速并行，实现整个触发装置动态规则处理性能的最大化，每个动态规则处理线程负责处理并保存所有通过触发器触发的动态规则，具体包括：MAC地址、IP五元组和报文载荷内容匹配规则，每条动态规则携带老化时间、最近一次报文命中时间、以及与某个触发器的关联关系，动态规则处理线程对本线程保存的动态规则按照老化时间进行老化删除，在达到动态规则老化时间且无报文匹配本条规则时，删除该动态规则，同时将动态规则的创建和删除信息可靠分发给所有的报文匹配引擎；

所述的数据平面包括多个报文匹配引擎模块；

报文匹配引擎：负责网络报文的接收、解析、规则匹配和发送处理，报文匹配引擎将输入报文与规则库中的动态规则和静态规则进行匹配，如果动态规则和静态规则均匹配当前输入报文，则动态规则的优先级高于静态规则，规则匹配后，根据规则关联的触发器，提取当前触发器指定的报文字段，与用户静态配置规则域、以及当前的触发关联关系一起构成新的动态规则，发送给动态规则库进行处理。