[发明专利]用于处理有限自动机的方法和装置

说明书

一种用于运行时间处理的方法和相应的装置使用确定有限自动机(DFA)和非确定有限自动机(NFA)找到有效载荷中图样的存在。可以基于至少一种启发法从一个或多个正则表达式图样的一个集合中的每个图样选择一个子图样。可以从来自该集合中的所有图样的所选择的该子图样生成该DFA，并且可以针对该集合中的至少一个图样生成该至少一个NFA，从而优化该运行时间处理的运行时间性能。

发明背景

开放系统互连(OSI)参考模型定义了用于通过传输介质进行通信的7个网络协议层(L1-L7)。上层(L4-L7)表示端到端通信并且下层(L1-L3)表示本地通信。

联网应用感知系统需要处理、过滤和切换L3到L7网络协议层的范围，例如，L7网络协议层诸如超文本传输协议(HTTP)和简单邮件传输协议(SMTP)，以及L4网络协议层诸如传输控制协议(TCP)。除了处理网络协议层以外，联网应用感知系统需要以线速通过L4-L7网络协议层来同时通过基于访问和内容的安全性来保护这些协议，这些协议层包括防火墙、虚拟专用网(VPN)、安全套接字层(SSL)、入侵检测系统(IDS)、互联网协议安全(IPSec)、防病毒(AV)和防垃圾邮件功能。

网络处理器可用于高吞吐量L2和L3网络协议处理，即，执行数据包处理从而以线速转发数据包。通常，通用处理器用于处理需要更多智能处理的L4-L7网络协议。虽然通用处理器可以执行计算密集型任务，但是没有提供足够用于处理数据使得其能够被以线速转发的性能。

内容感知联网需要以“线速”对数据包的内容进行检查。可以对内容进行分析，以确定是否存在安全漏洞或入侵。应用大量正则表达式形式的图样和规则以确保所有的安全漏洞或入侵被检测到。正则表达式是用于描述字符串中的图样的紧凑型方法。由正则表达式所匹配的最简单图样是单个字符或字符串，例如，/c/或/cat/。正则表达式还包括具有特殊含义的运算符和元字符。

通过使用元字符，正则表达式可以用于更复杂的搜索，诸如“abc.*xyz”。即，在“abc”和“xyz”之间的无限量字符的情况下，找到字符串“abc”，之后是字符串“xyz”。另一示例是正则表达式“abc..abc.*xyz”，即，找到字符串“abc”，在两个字符以后跟随字符串“abc”并且在无限量字符后跟随字符串“xyz”。

入侵检测系统(IDS)应用检查所有流过网络的单独数据包的内容，并且标识可能指示尝试闯入或危害系统的可疑图样。可疑图样的一个示例可以是数据包中的特定文本串，该特定文本串在100个字符以后跟随另一特定文本串。

通常使用搜索方法(如用于处理正则表达式的确定有限自动机(DFA)或非确定有限自动机(NFA))执行内容搜索。

发明概述

本发明的实施例提供了一种用于有限自动机的编译和运行时间处理的方法、装置、计算机程序产品、和相应的系统。

根据一个实施例，在操作性地耦合至一个网络的一个安全装置中的操作性地耦合至至少一个存储器的至少一个处理器中，一种方法可以：通过用来自一个有效载荷的多个字符遍历该至少一个存储器中所存储的一个统一确定有限自动机(DFA)的多个节点，使该有效载荷的多个字符走过该统一DFA，由基于至少一种启发法从一个或多个正则表达式图样的一个集合中的每个图样所选择的多个子图样生成该统一DFA。该方法可以：通过用来自该有效载荷的多个字符遍历该至少一个存储器中所存储的至少一个非确定有限自动机(NFA)的多个节点，使该有效载荷的多个字符走过该至少一个NFA，针对该集合中的至少一个图样生成的该至少一个NFA、该至少一个图样的用于生成该至少一个NFA的一部分、以及用于使多个字符走过该至少一个NFA的至少一个行走方向基于选自该至少一个图样的一个子图样的一个长度是固定的还是可变的以及所选择的该子图样在该至少一个图样内的一个位置。

该方法可以在遍历该至少一个NFA的与指示该至少一个图样的一次最终匹配的元数据相关联的一个NFA节点的基础上上报该有效载荷中的该至少一个图样的一次匹配。