[发明专利]通过优化的决策树进行的包分类

说明书

相关申请

本申请要求于2011年8月2日提交的美国临时申请No.61/514,344、于2011年8月2日提交的美国临时申请No.61/514,382、于2011年8月2日提交的美国临时申请No.61/514,379、于2011年8月2日提交的美国临时申请No.61/514,400、于2011年8月2日提交的美国临时申请No.61/514,406、于2011年8月2日提交的美国临时申请No.61/514,407、于2011年8月2日提交的美国临时申请No.61/514,438、于2011年8月2日提交的美国临时申请No.61/514,447、于2011年8月2日提交的美国临时申请No.61/514,450、于2011年8月2日提交的美国临时申请No.61/514,459、以及于2011年8月2日提交的美国临时申请No.61/514,463的权益。

上述申请的整个教导通过引用被合并于此。

背景技术

开放系统互连（OSI）参考模型定义了七个网络协议层（L1-L7）用于在传输介质上进行通信。上层（L4-L7）表示端到端通信，以及下层（L1-L3）表示本地通信。

网络化应用感知系统需要处理、滤波和切换L3至L7网络协议层的范围，例如L7网络协议层，诸如超文本传输协议（HTTP）和简单邮件传输协议（SMTP），以及L4网络协议层，诸如传输控制协议（TCP）。除了处理网络协议层，网络化应用感知系统需要使用通过L4-L7网络协议层的基于接入和内容的安全性以同时保护这些协议，这包括防火墙、虚拟私人网络（VPN）、安全套接层（SSL）、入侵检测系统（IDS）、互联网协议安全（IPsec）、以线速的反病毒（AV）和反垃圾邮件功能。

在现今的互联网世界中改善网络操作的有效性和安全性依然是互联网用户的终极目标。接入控制、流量工程、入侵检测和许多其他网络服务要求基于包头的多个字段（被称作包分类）进行包的识别。

互联网路由器对包进行分类以实施多个高级的互联网服务，诸如路由、速率限制、在防火墙中的接入控制、虚拟带宽分配、基于策略的路由、服务区分、负载平衡、流量整形和流量付费。这些服务要求路由器将到来的包分类成不同的流，并且然后依据这种分类执行适当的操作。

分类器，使用一组滤波器或规则，指定流或类别。例如，在防火墙中的每个规则可以指定一组源和目标地址，并且将它和相应的拒绝或许可动作相关联。备选地，规则可以基于包头的多个字段，包括OSI模型的层2、3、4和5，其包含了寻址和协议信息。

对于一些类型的专用硬件，接入控制列表（ACL）指代被应用于存在于主机或层3设备上的端口号或网络守护进程名称的规则，每个ACL具有被许可使用服务的主机和/或网络的列表。单独的服务器以及路由器都能够有网络ACL。ACL能够被配置为控制入界（inbound）和出界（outbound）的流量。

发明内容

一种系统、方法和相应的装置涉及对包进行分类。

一种方法可以使用具有多个规则的分类器表，该多个规则具有至少一个字段，并且建立包括多个节点的决策树结构。每个节点可以表示多个规则的子组。对于决策树的每个节点，方法可以（a）确定可以在至少一个字段的每个字段上进行的若干剪切，从而创建等于剪切的个数的子节点；（b）基于对所创建的每个子节点的规则的平均个数与至少一个字段的每个字段所创建的每个子节点的规则的实际个数之间的平均差异的比较，选择在其上剪切所述节点的字段；（c）在所选择的字段上将节点剪切成若干子节点，以及存储决策树结构。

该方法可以进一步基于针对给定的存储容量的剪切的最大个数来确定可以在至少字段的每个字段上进行的剪切的个数。

该方法可以基于如下字段，即所述至少一个字段中的、具有在每个子节点的规则的平均个数和每个子节点的规则的实际个数之间的最小平均差异的字段，而选择在其上将所述节点剪切成若干子节点的字段。

只有在节点具有比的多个规则的子组的预定个数更多时，该方法可以剪切节点。预定个数可以是可调整的个数。该方法可以进一步通过迭代地调整预定个数来控制决策树结构的深度。调整预定个数可以包括随着树的层次的增加而增加预定个数。

如果剪切创建了多个子节点，并且只有一个子节点具有多个规则的子组，那么方法可以在节点处存储至少一个字段中的字段的标识符以及所述至少一个字段中的、在遍历所述节点以获得规则匹配时略过的所述字段中的若干比特。至少一个字段中的、略过的字段的比特的个数可以与用于剪切所述节点的若干比特的个数相同。