[发明专利]基于现场可编程门阵列的高速模式匹配算法

说明书

技术领域

本发明涉及一种计算机的匹配算法，尤其涉及一种基于计算机硬 件技术实现内容检测功能的协处理器的高速模式匹配算法。属于计算 机网络安全(network security)技术领域。

背景技术

网络面临的安全威胁大体可分为两种：一是对网络数据的威胁； 二是对网络设备的威胁。这些威胁可能来源于各种各样的因素。其中， 来自外部和内部人员的恶意攻击和入侵是当前Internet网络所面临 的最大威胁，也是网络安全策略最需要解决的问题。为满足网络信息 安全要求，防止非法用户利用网络系统的安全缺陷进行数据的窃取、 伪造和破坏，必须建立网络信息系统的安全服务体系。

现有的计算机网络大多数在建设之初就忽略了安全问题，即使 考虑到安全问题，大部分情况也只是把安全建立在物理机制上，随着 网络互连程度的扩大，这种安全机制对于网络环境来说形同虚设。由 于网络安全问题的敏感性，我们不能像引进其他高科技产品一样，大 量引进国外网络的安全产品。因此，研究和开发自己的网络安全产品 就显得格外重要。

如何有效地防范网络入侵，将其可能造成的安全风险降到最低 限度，成为近年来网络安全理论研究和技术开发的热点问题之一。在 对信息安全迫切需要的高呼声中，各种检测系统应运而生，并在信息 安全领域中占据重要的地位。与传统的安全技术和产品相比，检测系 统更具有实时监控和响应的特征，已经成为信息安全整体架构的必不 可少的一道防线。数据分析模块是检测系统中非常关键的模块，也是 系统性能的瓶颈所在。现在一般采用模式匹配来对数据进行分析，其 使用的匹配算法决定着整个模块的性能，也随之影响着检测系统的性 能。

传统的内容检测设备都是通过软件程序来实现模式匹配这种计 算密集型的处理操作。但是，随着模式匹配规则的不断增加，例如添 加更多的内容过滤规则、病毒识别特征等，基于软件技术的模式匹配 速度将相应降低，而模式数据库也会变得日益庞大(空间复杂度为 O(2ⁿ)，n是模式字符串的长度)。以目前的Snort这类轻量级开源 网络入侵检测软件为例，它一般使用简单规则来识别可能的安全威 胁，这些规则包括对数据包包头中固定位置内容的查找操作以及对应 用层负载中非固定位置变长内容的检测操作。当采用Intel 3.02GHz Xeon处理器时，其最高数据包吞吐量仅为100Mbps左右。而一个有 效的检测系统不仅要求能够正确地识别系统中的入侵行为，还要考虑 到如何适应网络环境发展的需要。因此，随着各种攻击手段的不断提 高，网络流量持续增大，迫切需要新型的具有高速处理能力的内容检 测系统。

发明内容

本发明的目的是为了克服现有技术中存在的不足，而提供的一种 基于现场可编程门阵列的高速模式匹配算法的高速模式匹配的算法。

本发明的基于FPGA的高速模式匹配的算法是通过以下技术方案 实现的：

本发明的方法不同于软件技术的串行顺序处理机制，可以非常方 便的实现并行处理架构，即设置多个同时工作的硬件检测器，根据预 先设定的规则对每个输入数据包的负载部分进行精确的内容检测，即 判断数据包中全部/局部内容是否与某些规则发生匹配，从而大大提 高模式匹配的执行速度。

为实现本发明目的，现以多模式匹配的AC算法(即Aho-Corasick 算法)为基础建立高速模式匹配算法。

多模式匹配：定义字母表∑、模式集合P＝{p1，p2，...，pk}、 数据流T＝t1t2...tn(P和T均由∑构成)，多模式匹配是指寻找 P所含模式在输入数据流T中是否存在(有时也包含存在位置)的 处理过程。