一种模式匹配装置及方法

专利名称：一种模式匹配装置及方法
技术领域：
本发明涉及模式匹配技术，尤指一种模式匹配装置及方法。
背景技术：
网络报文的模式匹配技术广泛地运用在入侵检测系统(IDS)、入侵防御系统(IPS)以及病毒防范(AV)上，用以发现网络攻击，病毒入侵。
参见图1，图1为基于单核的模式匹配装置的结构图。该装置包括模式匹配引擎检测(PMEI)单元和模式匹配引擎内存(PMEM)单元。PMEI单元接收待检测网络报文，并根据PMEM单元中存储的匹配规则，对收到的网络报文进行模式匹配，输出匹配结果。这里，PMEM单元存储用于模式匹配的模式匹配规则。
目前，模式匹配技术已经比较成熟的应用在各类单核系统中，但对于新兴技术的多核系统而言，急需一种能够在多核系统上使用的模式匹配技术。

发明内容
有鉴于此，本发明的主要目的在于提供一种模式匹配装置，应用本发明所提供的装置能够在多核系统中实现模式匹配。
另外，本发明的又一主要目的在于提供一种模式匹配方法，应用本发明提供的方法能够在多核系统上实现模式匹配。
为达到上述目的，本发明的技术方案是这样实现的一种模式匹配装置，包括模式匹配引擎内存PMEM单元、网络报文分发NDD单元和使用多核中不同独立内核的多个模式匹配引擎检测PMEI单元；所述PMEM单元，存储模式匹配规则；
所述NDD单元，按照设置的分发策略将待检测网络报文发送至多个PMEI单元中的一个PMEI单元；所述PMEI单元，在接收到所述NDD单元发送的待检测网络报文后，与所述PMEM单元交互，根据所述PMEM单元存储的模式匹配规则，对所述网络报文进行模式匹配得到匹配结果。
较佳地，该装置进一步包括模式匹配数据库PMDB单元、模式匹配引擎构建PMEC单元；所述PMDB单元，存储设置的模式匹配规则条目；所述PMEC单元，与所述PMDB单元交互，对所述PMDB单元存储的模式匹配规则条目进行解析，得到所述PMEM单元支持格式的模式匹配规则，并将所述模式匹配规则存入所述PMEM单元。
较佳地，所述PMEM单元包括与各PMEI单元分别对应的各子PMEM单元；所述PMEC单元，进一步依据各PMEI单元进行模式匹配的网络报文的共同特征，得到与各PMEI单元对应的模式匹配规则，并分别存入各PMEI单元对应的各子PMEM单元中；所述子PMEM单元，与其对应的PMEI单元交互，提供模式匹配规则。
较佳地，所述PMEC单元包括与各PMEM单元分别对应的各子PMEC单元；所述子PMEC单元，与所述PMDB单元交互，对所述PMDB单元存储的与自身对应的子PMEM单元对应的PMEI单元对应的模式匹配规则条目进行解析，得到自身对应的子PMEM单元支持格式的模式匹配规则，并将所述模式匹配规则存入自身对应的子PMEM单元。
较佳地，该装置进一步包括模式匹配结果收集(PMRC)单元；所述PMEI单元，将所述匹配结果发送至所述PMRC单元；所述PMRC单元，设置期望匹配结果，接收PMEI单元发送的匹配结果，在匹配结果与自身设置的期望匹配结果不一致时删除该匹配结果。
较佳地，所述PMRC单元包括与各PMEI单元分别对应的各子PMRC单元；所述PMEI单元，将所述匹配结果发送至与自身对应的子PMRC单元；所述子PMRC单元，设置与自身对应的PMEI单元对应的期望匹配结果；接收与自身对应的PMEI单元发送的所述匹配结果，在所述匹配结果与自身设置的期望匹配结果不一致时删除所述模式匹配的匹配结果。
另外，本发明还提供了一种模式匹配方法，设置模式匹配规则和分发策略；按照所述分发策略将待检测网络报文发送至使用多核中不同独立内核的多个模式匹配引擎检测器PMEI单元中的一个PMEI单元；收到所述网络报文的PMEI单元根据所述设置的模式匹配规则对所述网络报文进行模式匹配，得到匹配结果。
较佳地，该方法进一步包括，设置模式匹配规则条目；将待检测网络报文发送至所述多个PMEI单元中一个PMEI单元之前，进一步包括对所述设置的模式匹配规则条目进行解析，根据各PMEI单元所需访问共享内存的支持格式，得到所述共享内存支持格式的模式匹配规则，并将所述模式匹配规则存入所述共享内存；所述收到待检测网络报文的PMEI单元根据所述设置的模式匹配规则，对所述网络报文进行模式匹配包括所述PMEI单元根据所述共享内存中存储的模式匹配规则对所述网络报文进行模式匹配。
较佳地，该方法进一步包括，设置模式匹配规则条目；将待检测网络报文发送至所述多个PMEI单元中一个PMEI单元之前，进一步包括根据各PMEI单元进行模式匹配的网络报文的共同特征，对与该共同特征对应的模式匹配规则条目进行解析，得到各PMEI单元对应子内存支持格式的模式匹配规则，并将所述得到的模式匹配规则存入各自对应的PMEI单元对应的子内存中；所述收到待检测网络报文的PMEI单元根据所述设置的模式匹配规则，对所述网络报文进行模式匹配包括所述PMEI单元根据自身对应的子内存中存储的模式匹配规则对所述网络报文进行模式匹配。
较佳地，该方法进一步包括设置期望匹配结果；在得到所述模式匹配的匹配结果之后，进一步判断所述得到的匹配结果是否与所述设置的期望匹配结果一致，如果不一致，则删除所述模式匹配的匹配结果。
本发明所提供的基于多核系统的模式匹配技术方案，通过按照设置的分发策略将待检测网络报文发送至使用多核中独立内核的多个PMEI单元中的一个PMEI单元；收到网络报文的PMEI单元根据设置的模式匹配规则对网络报文进行模式匹配得到匹配结果，实现了基于多核系统的技术方案。由于本发明技术方案中的PMEI单元使用的是多核中的独立内核，因此多PMEI单元并行工作不会增加内存需求，有效地提高了网络报文的模式匹配的检测性能。
另外，在本发明的较佳实施例中可以通过对每个PMEI单元设置对应的子内存，用于专门存储该PMEI单元会使用的模式匹配规则，这里由于减少了PMEI单元所需匹配的模式匹配规则，进而更进一步大大的提高了模式匹配的检测性能。


图1为现有技术模式匹配装置的结构图；图2为本发明模式匹配装置的示例性结构图；图3为本发明模式匹配方法的示例性流程图；图4为本发明第一较佳实施例装置的结构图；图5为本发明第一较佳实施例方法的流程图；图6为本发明第二较佳实施例装置的结构图；图7为本发明第二较佳实施例方法的流程图。
具体实施例方式
当在多核系统中实现模式匹配技术时，可以依据多核系统提供的运行环境，对单核系统中模式匹配技术加以改进来实现。由于多核技术能够为不同业务提供独立工作的内核，并行处理多项业务，因此，在多核系统中可以据多核系统的独立内核数量增加PMEI单元，不同的PMEI单元使用多核中不同的独立内核。由于多个PMEI单元使用的是不同内核的资源，因此能够加快模式匹配的速度。同时，由于在多核系统上使用了多个PMEI单元，因此需要对待检测网络报文进行网络报文的分发，将需要检测的网络报文分发至不同的PMEI单元进行模式匹配，进而实现基于多核系统的模式匹配技术。
参见图2，图2为本发明基于多核系统的模式匹配装置的示例性结构图。该装置包括PMEM单元、网络报文分发(NDD)单元和使用多核中不同独立内核的多个PMEI单元。为了清楚的描述该装置的结构，在图2中仅描述了其中两个PMEI单元的连接情况，该两个PMEI单元分别为PMEI-1单元和PMEI-2单元。这里，所指的独立内核可以是多核中的1个虚拟中央处理单元(vCPU)或者1个硬线程。其中，PMEM单元存储模式匹配规则。NDD单元，按照设置的分发策略将待检测网络报文发送至多个PMEI单元中的一个PMEI单元。PMEI单元，接收NDD单元发送的待检测网络报文；与PMEM单元交互，根据PMEM单元存储的模式匹配规则，对网络报文进行模式匹配得到匹配结果。
参见图3，图3为本发明基于多核系统的模式匹配方法的示例性流程图。该方法具体包括设置模式匹配规则和分发策略；在步骤301中，按照设置的分发策略，将待检测网络报文发送至使用多核中独立内核的多个模式匹配引擎检测器PMEI单元中的一个PMEI单元；在步骤302中，收到网络报文的PMEI单元根据设置的模式匹配规则对网络报文进行模式匹配，得到匹配结果。
基于以上描述的模式匹配装置的示例性结构图以及模式匹配方法的示例性流程图，以下针对其具体实现细节，列举两个较佳实施例对本发明的技术方案进行详细说明。
在本发明的第一较佳实施例中，主要描述了根据设置的模式匹配规则条目得到适合PMEI单元访问的内存存储的模式匹配规则的具体技术细节；以及为达到更好的模式匹配效果，对模式匹配得到的匹配结果做进一步检查的操作。
参见图4，图4为本发明第一较佳实施例装置的结构图。在本较佳实施例装置的结构图中，仅以在模式匹配装置中设置两个PMEI单元为例进行说明，这两个PMEI单元可以表示为PMEI-1单元和PMEI-2单元，分别使用多核系统中的不同内核。当模式匹配单元中还存在其他PMEI单元时，其与该装置中的连接关系与图4中的PMEI-1单元和PMEI-2单元相同。
如图4所示，该装置除了包括PMEM单元、NDD单元、以及多个分别使用多核中独立内核的PMEI单元，在本较佳实施例中即为分别使用多核中独立内核的PMEI-1单元和PMEI-2单元，还包括模式匹配数据库(PMDB)单元、模式匹配引擎构建(PMEC)单元、模式匹配结果收集(PMRC)单元、以及模式匹配使用(PMU)单元。
由于在模式匹配过程中所需使用的模式匹配规则，通常是模式匹配的操作方以条目的形式存在表格中，不能直接被PMEI-1单元或PMEI-2单元直接读取。因此，PMDB单元用于存储预先设置的表格形式的模式匹配规则条目。PMEC单元，与PMDB单元交互，对PMDB单元存储的模式匹配规则条目进行解析，得到PMEM单元支持格式的模式匹配规则，并将模式匹配规则存入PMEM单元。
另外，NDD单元，从PMU单元接收将待检测网络报文，并按照设置的分发策略将待检测网络报文发送至多个PMEI单元中的一个PMEI单元。对于图4而言，则是将其发送至PMEI-1单元或PMEI-2单元中的一个。NDD单元分发报文的分发策略可以依据由源IP地址、目的IP地址、报文方向、源端口和目的端口构成的五元组确定，也可以依据IP协议栈四层和其以下层的协议信息的组合。对于以上报文分发依据可以采用hash机制加快报文分发，提高报文分发性能。PMEI单元，接收NDD单元发送的待检测网络报文，与PMEM交互，根据PMEM存储的模式匹配规则，对当前接收到的网络报文进行模式匹配得到模式匹配的匹配结果，将得到的匹配结果发送至PMRC单元。
为了保证在具体业务的应用过程中，模式匹配装置输出的匹配结果对当前业务可用，在PMRC单元中设置了当前模式匹配装置对应业务的期望匹配结果，该期望匹配结果通常为一个范围。PMRC单元，接收PMEI单元发送的匹配结果，在匹配结果与自身设置的期望匹配结果不一致时，则删除模式匹配的匹配结果。在匹配结果与自身设置的期望匹配结果一致时，则将匹配结果发送至PMU单元。
PMU单元，为模式匹配的操作方，用于从经过数据流中获得网络报文，并发送至NDD；并接收PMRC单元发送来的匹配结果，根据收到的匹配结果对数据流进行处理。
另外，参见图5，图5为本发明第一较佳实施例方法的流程图。为了实现模式匹配的方法，模式匹配的操作方需要设置模式匹配规则条目和分发策略；以及为了在具体业务的应用过程中，保证模式匹配装置输出的匹配结果对当前业务可用，设置期望匹配结果。其中，模式匹配规则条目设置在PMDB单元中，设置的期望匹配结果设置在PMRC单元中。本方法的具体流程如下在步骤501中，对设置的模式匹配规则条目进行解析，得到PMEI单元访问的共享内存支持格式的模式匹配规则，并将得到的模式匹配规则存入该共享内存中。
上述所提到的共享内存在图4中对应PMEM单元。在本较佳实施例中，可以由PMEC单元使用多核中一个指定的核，在PMEM单元读锁的状态下，对PMDB单元中的模式匹配规则进行解析，并将得到的解析结果存储到PMEM单元中。当PMEM单元处于读锁状态时，PMEI所在多核中的其他核不能对PMEM单元中的数据进行访问，保证了PMEM单元中的数据完整性。当PMEC单元完成模式匹配规则条目的解析后，则关闭PMEM单元的读锁保护，这时各PMEI单元可以并行使用PMEM单元对报文进行模式匹配检测。
在步骤502中，接收待检测网络报文，并按照设置的分发策略将当前收到的网络报文发送至多个PMEI单元中的一个PMEI单元。在本较佳实施例，就是PMEI-1单元或PMEI-2单元中的一个PMEI单元。在此，假设将当前收到的网络报文发送至了PMEI-1单元。
这里，当网络报文为IP包时，此时的分发策略可以是根据由IP包的源IP地址、目的IP地址、报文方向、源端口和目的端口构成的五元组来进行分发，也可以是根据IP协议栈四层及其以下层协议信息的组合来进行分发。同时，为了加快报文分发，提高报文分发性能，可以对在网络分发过程中采用hash机制。
在步骤503中，当收到的网络报文的PMEI单元为PMEI-1单元时，则PMEI-1单元根据共享内存中保存的模式匹配规则，对收到的网络报文进行模式匹配，并将模式匹配的匹配结果发送至PMRC单元。
在步骤504中，PMRC单元将收到的匹配结果与自身设置的期望匹配结果相比较，判断是否一致，在不一致的情况下，则删除当前PMEI-1单元发送的匹配结果。
这里设置期望匹配结果方法可以根据当前模式匹配装置对应的业务需求进行设置。由于对于不满足业务需求的匹配结果采用删除的操作，因此本较佳实施例的步骤504能够提高模式匹配的准确率，同时有利于提高整个系统的处理效率。
至此，针对本发明第一较佳实施例技术方案的介绍结束。
以下介绍本发明的第二较佳实施例。第二较佳实施例是在第一较佳实施例的基础上，对本发明技术方案的扩展。在第一较佳实施例中，PMEC单元将从PMDB单元解析得到的模式匹配规则全部存储至PMEM单元中，与NDD单元的分发没有任何联系。但是，由于NDD单元采用了一定的分发策略对收到的网络报文进行分发，因此发送至同一个PMEI单元进行模式匹配的网络报文必定会具备一些共同特征，因此具有共同特征的这类网络报文必然可以不必使用到PMEM单元中存储的所有模式匹配规则。在PMEM单元中存储的模式匹配规则中，必定会存在对这类网络报文不产生匹配校稿的模式匹配规则。例如，对于IPV4协议类的网络报文，必定不会匹配到IPV6协议类的模式匹配规则，因此IPV6协议类的模式匹配规则必然不会对IPV4协议类的网络报文产生匹配结果。
进而，在本较佳实施例的技术方案中，可以针对每个PMEI单元设置对应子内存，在该子内存中存储该PMEI单元需要使用到的模式匹配规则。通过这种技术处理，由于对每个PMEI单元而言均减少了其进行模式匹配时需匹配的模式匹配规则，因此大大提高的模式匹配的效率。在本较佳实施例中，由于NDD单元会对待检测的网络报文进行分发，因此根据NDD单元分发策略确定每个PMEI单元所需使用的模式匹配规则。
参见图6，图6为本发明第二较佳实施例装置的结构图。与第一较佳实施例相同，在本较佳实施例同样以在模式匹配装置中设置PMEI-1单元和PMEI-2单元为例进行说明，PMEI-1单元和PMEI-2单元分别使用多核系统中的不同内核。为了实现上述技术效果，对每个PMEI单元设置与其对应的子PMEM单元，该子PMEM单元仅存储其对应PMEI单元所需使用的模式匹配规则。PMEI单元所需使用的模式匹配规则由其进行模式匹配的网络报文的共同特征确定。
图6所示的装置结构图包括PMDB单元、PMEC单元、PMRC单元、PMEM单元、NDD单元、PMEI-1单元和PMEI-2单元、以及PMU单元。
其中，与第一较佳实施例不同的是PMEM单元包括与各PMEI单元分别对应的各子PMEM单元，即PMEI-1单元的子PMEM单元为PMEM-1单元，PMEI-2单元的子PMEM单元为PMEM-2单元。相应的，PMEC单元，与PMDB单元交互，对PMDB单元存储的模式匹配规则进行解析，根据各PMEI单元进行模式匹配的网络报文的共同特征，将解析后、与各PMEI单元对应的模式匹配规则分别存入各PMEI单元对应的各子PMEM单元。这里，PMEC单元可以根据NDD单元分发网络的机制将解析后的，与各PMEI单元对应的模式匹配规则分别存入各PMEI单元对应的各子PMEM单元。在此，假设PMEI-1单元对IPV4协议类的网络报文进行模式匹配，则PMEC单元则将与IPV4协议类对应的模式匹配规则存入与PMEI-1单元对应的PMEM-1单元中；假设PMEI-2单元对IPV6协议类的网络报文进行模式匹配，则PMEC单元则将与IPV6协议类对应的模式匹配规则存入与PMEI-2单元对应的PMEM-2单元中。此时，子PMEM单元，与其对应的PMEI单元交互，在其对应的PMEI单元进行模式匹配提供所需的模式匹配规则。
PMEC单元可以包括与各PMEM单元分别对应的各子PMEC单元。当然，也可以采用第一较佳实施例中单一PMEC单元的形式。此时，各子PMEC单元与PMDB单元交互，根据自身对应的子PMEM单元所需存储的模式匹配规则，对PMDB单元中对应的模式匹配规则条目进行解析，得到自身对应的子PMEM单元支持格式的模式匹配规则，并将模式匹配规则存入自身对应的子PMEM单元。这里子PMEM单元所需存储的模式匹配规则，由该子PMEM单元对应的PMEI单元处理的网络报文的共同特征确定。在本较佳实施例中，可以根据NDD单元的分发策略确定。
PMRC单元可以包括与各PMEI单元分别对应的各子PMRC单元。当然，也可以采用第一较佳实施例中单一PMRC单元的形式。其中，PMEI单元，将得到模式匹配的匹配结果发送至与自身对应的子PMRC单元。子PMRC单元，接收自身对应的PMEI单元发送的匹配结果，在匹配结果与自身设置的期望匹配结果不一致时删除模式匹配的匹配结果。在匹配结果与自身设置的期望匹配结果一致时，则将匹配结果发送至PMU单元。
另外，NDD单元的功能以及连接关系与第一较佳实施例装置中的相同，在此不再详述。各PMEI单元，则是与自身对应的子PMEM单元交互，根据其存储的模式匹配规则，对网络报文进行模式匹配得到模式匹配的匹配结果，并输出到与自身对应的子PMRC单元。PMU单元，与第一较佳实施例装置中的区别在于，接收各子PMRC单元发送的匹配结果。
另外，参见图7，图7为本发明第二较佳实施例方法的流程图。在本较佳实施例的方法中，与第一较佳实施例相同设置模式匹配规则条目、分发策略和设置期望匹配结果。这里，由于PMRC中包括了与各PMEI单元分别对应的各子PMRC单元，因此，此处设置的期望匹配结果，需要根据各子PMRC单元对应的PMEI单元处理的网络报文的共同特征分别设置。
在步骤701中，各子PMEC单元，与PMDB单元交互，根据自身对应的子PMEM单元所需存储的模式匹配规则，对PMDB单元中对应的模式匹配规则条目进行解析，得到子PMEM支持格式的模式匹配规则，并将得到的模式匹配规则存入对应的各子PMEM单元中。
此处子PMEM单元所需存储的模式匹配规则是根据其对应的PMEI单元处理的网络报文的共同特征来确定的。当然PMEI单元处理网络报文的共同特征可以根据NDD单元报文的特征进行确定。在对各子PMEM单元进行存储的操作时，可以使子PMEM单元处于读锁状态下。
如图6所示，与PMEI-1单元对应的子PMEM单元为子PMEM单元A，与子PMEM单元A对应的子PMEC单元为子PMEC单元A；与PMEI-2单元对应的子PMEM单元为子PMEM单元B，与子PMEM单元B对应的子PMEC单元为子PMEC单元B。根据NDD单元的分发策略，PMEI-1单元进行模式匹配的网络报文的共同特征为IPV4协议类报文，PMEI-2单元进行模式匹配的网络报文的共同特征为IPV6协议类报文。则子PMEC单元A对PMDB单元中与IPV4协议类相关的模式匹配规则条目进行解析，得到IPV4协议类的、子PMEM单元A支持格式的模式匹配规则，并将该得到的模式匹配规则存入子PMEM单元A中。此时，子PMEM单元A中仅保存了IPV4协议类的模式匹配规则，因此PMEI-1单元仅会在IPV4协议类的模式匹配规则对收到的网络报文进行模式匹配，提高了模式匹配的效率。按照相同的处理方式，子PMEC单元B会将IPV6协议类的、子PMEM单元B支持格式的模式匹配规则，存入PMEI-2单元对应的子PMEM单元B中，供PMEI-2单元访问。
在步骤702中，接收待检测网络报文，并按照设置的分发策略将当前收到的网络报文发送至多个PMEI单元中的一个PMEI单元。具体实现与第一较佳实施例中的步骤502相同，在此不再详述。
在步骤703中，假设当前收到待检测网络报文为PMEI-1单元时，则PMEI-1单元根据自身对应的子PMEM单元保存的模式匹配规则，对收到的网络报文进行模式匹配，并将模式匹配的匹配结果发送至自身对应的子PMRC单元。
在步骤704中，子PMRC单元将收到的匹配结果与自身设置的期望匹配结果相比较，判断是否一致，在不一致的情况下，则删除当前PMEI-1单元发送的匹配结果。
这里的期望匹配结果的具体设置方法，可以根据当前模式匹配装置对应的业务需求进行设置。由于对于不满足业务需求的匹配结果采用的删除的操作，因此本较佳实施例的步骤704能够提高模式匹配的准确率，同时有利于提高整个系统的处理效率。
综上所述，本发明所提供的基于多核系统的模式匹配技术方案，通过将待检测网络报文发送至使用多核中独立内核的多个PMEI单元中的一个PMEI单元；收到网络报文的PMEI单元根据设置的模式匹配规则对网络报文进行模式匹配得到匹配结果，实现了基于多核系统的技术方案。另外，本发明所提供的模式匹配技术并不限于使用在网络安全领域。
以上仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
权利要求
1.一种模式匹配装置，其特征在于，包括模式匹配引擎内存PMEM单元、网络报文分发NDD单元和使用多核中不同独立内核的多个模式匹配引擎检测PMEI单元；所述PMEM单元，存储模式匹配规则；所述NDD单元，按照设置的分发策略将待检测网络报文发送至多个PMEI单元中的一个PMEI单元；所述PMEI单元，在接收到所述NDD单元发送的待检测网络报文后，与所述PMEM单元交互，根据所述PMEM单元存储的模式匹配规则，对所述网络报文进行模式匹配得到匹配结果。
2.根据权利要求1所述的装置，其特征在于，该装置进一步包括模式匹配数据库PMDB单元、模式匹配引擎构建PMEC单元；所述PMDB单元，存储设置的模式匹配规则条目；所述PMEC单元，与所述PMDB单元交互，对所述PMDB单元存储的模式匹配规则条目进行解析，得到所述PMEM单元支持格式的模式匹配规则，并将所述模式匹配规则存入所述PMEM单元。
3.根据权利要求2所述的装置，其特征在于，所述PMEM单元包括与各PMEI单元分别对应的各子PMEM单元；所述PMEC单元，进一步依据各PMEI单元进行模式匹配的网络报文的共同特征，得到与各PMEI单元对应的模式匹配规则，并分别存入各PMEI单元对应的各子PMEM单元中；所述子PMEM单元，与其对应的PMEI单元交互，提供模式匹配规则。
4.根据权利要求3所述的装置，其特征在于，所述PMEC单元包括与各PMEM单元分别对应的各子PMEC单元；所述子PMEC单元，与所述PMDB单元交互，对所述PMDB单元存储的与自身对应的子PMEM单元对应的PMEI单元对应的模式匹配规则条目进行解析，得到自身对应的子PMEM单元支持格式的模式匹配规则，并将所述模式匹配规则存入自身对应的子PMEM单元。
5.根据权利要求1至4中任一权利要求所述的装置，其特征在于，该装置进一步包括模式匹配结果收集PMRC单元；所述PMEI单元，将所述匹配结果发送至所述PMRC单元；所述PMRC单元，设置期望匹配结果，接收PMEI单元发送的匹配结果，在匹配结果与自身设置的期望匹配结果不一致时删除该匹配结果。
6.根据权利要求5所述的装置，其特征在于，所述PMRC单元包括与各PMEI单元分别对应的各子PMRC单元；所述PMEI单元，将所述匹配结果发送至与自身对应的子PMRC单元；所述子PMRC单元，设置与自身对应的PMEI单元对应的期望匹配结果；接收与自身对应的PMEI单元发送的所述匹配结果，在所述匹配结果与自身设置的期望匹配结果不一致时删除所述模式匹配的匹配结果。
7.一种模式匹配方法，其特征在于，设置模式匹配规则和分发策略；按照所述分发策略将待检测网络报文发送至使用多核中不同独立内核的多个模式匹配引擎检测器PMEI单元中的一个PMEI单元；收到所述网络报文的PMEI单元根据所述设置的模式匹配规则对所述网络报文进行模式匹配，得到匹配结果。
8.根据权利要求7所述的方法，其特征在于，该方法进一步包括，设置模式匹配规则条目；将待检测网络报文发送至所述多个PMEI单元中一个PMEI单元之前，进一步包括对所述设置的模式匹配规则条目进行解析，根据各PMEI单元所需访问共享内存的支持格式，得到所述共享内存支持格式的模式匹配规则，并将所述模式匹配规则存入所述共享内存；所述收到待检测网络报文的PMEI单元根据所述设置的模式匹配规则，对所述网络报文进行模式匹配包括所述PMEI单元根据所述共享内存中存储的模式匹配规则对所述网络报文进行模式匹配。
9.根据权利要求7所述的方法，其特征在于，该方法进一步包括，设置模式匹配规则条目；将待检测网络报文发送至所述多个PMEI单元中一个PMEI单元之前，进一步包括根据各PMEI单元进行模式匹配的网络报文的共同特征，对与该共同特征对应的模式匹配规则条目进行解析，得到各PMEI单元对应子内存支持格式的模式匹配规则，并将所述得到的模式匹配规则存入各自对应的PMEI单元对应的子内存中；所述收到待检测网络报文的PMEI单元根据所述设置的模式匹配规则，对所述网络报文进行模式匹配包括所述PMEI单元根据自身对应的子内存中存储的模式匹配规则对所述网络报文进行模式匹配。
10.根据权利要求7、8或9所述的方法，其特征在于，该方法进一步包括设置期望匹配结果；在得到所述模式匹配的匹配结果之后，进一步判断所述得到的匹配结果是否与所述设置的期望匹配结果一致，如果不一致，则删除所述模式匹配的匹配结果。
全文摘要
本发明公开了一种模式匹配装置，包括模式匹配引擎内存(PMEM)单元、网络报文分发(NDD)单元和多个分别使用多核中独立内核的模式匹配引擎检测(PMEI)单元；所述PMEM单元，存储模式匹配规则；所述NDD单元，按照设置的分发策略将待检测网络报文发送至多个PMEI单元中的一个PMEI单元；所述PMEI单元，接收所述NDD单元发送的待检测网络报文；与所述PMEM单元交互，根据所述PMEM单元存储的模式匹配规则，对所述网络报文进行模式匹配得到匹配结果。另外，本发明还提供了一种模式匹配方法。通过应用本发明的技术方案，实现了在多核系统的模式匹配技术。
文档编号H04L29/02GK101060496SQ20071010794
公开日2007年10月24日 申请日期2007年5月18日 优先权日2007年5月18日
发明者陈忠良 申请人:杭州华三通信技术有限公司