专利名称:使用多处理单元架构的系统安全防护方法与相关装置的制作方法
技术领域:
本发明是有关于系统安全防护技术,尤指利用预防性手段(preventivemeasure)来响应针对网络中的装置所进行的攻击行为的方法与相关系统。
背景技术:
随着计算机网络愈来愈普及,任何与网络相连接的装置都有可能会受到各式各样的攻击,例如计算机病毒(virus)、电子蠕虫(worm)、或是网络黑客(cracker)的攻击等等。常用来对付这类网络攻击的解决方案,包含有防火墙(firewall)与防毒程序(anti-virus program)等。一般而言,防火墙可用来防止某些特定类型的文件或封包传入特定网络中,至于防毒程序则通常是用来防止单一装置或一群装置执行包含有病毒的文件。
现今业界已开发出几种防火墙技术,例如封包过滤器(packet filter)、应用层网关(application gateway)、以及代理服务器(proxy server)。封包过滤器会检视每一个封包中的控制消息,并依据使用者所定义的规则,来决定要接受或是拒绝该封包。应用层网关则是会针对特定的应用(例如文件传输协议(FTP)与远程登录服务器(Telnet server)等)使用特殊的安全机制。至于代理服务器则是利用一种中介的服务器来拦截及检查于客户应用端与该客户应用端所请求的服务器间进行传输的封包。然而,前述的各种技术都不会对每一个封包中的承载数据(payload data)部分进行检查,也无法处理分散在不同封包边界的恶意程序代码片段。
在已知装置上所执行的防毒程序通常是将该装置所收到的封包组合成文件,再判断组合后的文件中是否包含有预知的病毒型样。在这种作法中,检测病毒是否存在的动作唯有在文件或一个数据区块组合完成之后才会开始进行。对于针对实时通讯协议(real-time protocol)所进行的攻击而言,由于这类通讯协议对于时序的要求较为严格,使得前述「先组合后扫瞄」(assembling-before-scanning)的解决方案变得较不可行。
发明内容
因此本发明的目的之一在于可确保系统安全性的方法与相关装置,以解决现有技术所面临的问题。
本发明所提出的方法与系统是利用第一处理单元来将对应于多个型样的正规表示式分割成多个子表示式,并维持该等子表示式所对应的多个有限自动机间的相依关系。此外,本发明提出的方法与系统还会利用第二处理单元依据该等相依关系所决定的顺序,依序将多个数据单元通过该等有限自动机,以界定出可疑数据单元,其中,该可疑数据单元是指所包含的内容集合后符合于前述型样中的一种或多种型样的数据单元,而界定可疑数据单元的方式,则是依据该等有限自动机的输出合并后的结果来进行。
根据本发明的一个方面,提供了一种用来监测多个数据单元的方法,其包含有在第二处理器自该多个数据单元中界定出一组可疑数据单元前,利用第一处理器执行一组任务,其中该组任务包含有自该多个数据单元的内容中界定出多个型样;将对应于该多个型样的正规表示式划分为多个子表示式;以及致使该等子表示式所对应的多个有限自动机间的相依关系得以维持;以及依据该等相依关系所决定的顺序,依序将该多个数据单元通过该等有限自动机,以界定出该组可疑数据单元,其中该组可疑数据单元的内容,是会集合后符合于合并该等有限自动机的输出所产生的该多个型样中的任何型样。
根据本发明的另一个方面,还提供了一种用来监测多个数据单元的系统,其包含有第一处理手段,用来于第二处理手段自该多个数据单元中界定出一组可疑数据单元前,执行一组任务,其中该组任务包含有自该多个数据单元的内容中界定出多个型样;将对应于该多个型样的正规表示式划分为多个子表示式;以及致使该等子表示式所对应的多个有限自动机间的相依关系得以维持;以及该第二处理手段,用来依据该等相依关系所决定的顺序,依序将该多个数据单元通过该等有限自动机,以界定出该组可疑数据单元,其中该组可疑数据单元的内容,是会集合后符合于合并该等有限自动机的输出所产生的该多个型样中的任何型样。
根据本发明的另一个方面,还提供了一种用来监测多个数据单元的系统,其包含有分派引擎;处理单元,耦接于该分派引擎;内容检查引擎,耦接于该分派引擎与该处理单元;存储器控制器,耦接于该分派引擎、该处理单元与该内容检查引擎;其中该处理单元会于该内容检查引擎自该多个数据单元中界定出一组可疑数据单元前,执行一组任务,该组任务包含有自该多个数据单元的内容中界定出多个型样;将对应于该多个型样的正规表示式划分为多个子表示式;以及致使该存储器控制器维持该等子表示式所对应的多个有限自动机间的相依关系;以及该内容检查引擎依据该等相依关系所决定的顺序,依序将该多个数据单元通过该等有限自动机,以界定出该组可疑数据单元,其中该组可疑数据单元的内容,是会集合后符合于合并该等有限自动机的输出所产生的该多个型样中的任何型样。
根据本发明的另一个方面,还提供了一种用来监测多个数据单元的系统,其包含有通用处理器;内容检查协同处理器,直接或间接耦接于该通用处理器,其中该内容检查协同处理器包含有分派引擎;内容检查引擎,耦接于该分派引擎;以及存储器控制器,耦接于该分派引擎与该内容检查引擎;其中该通用处理器会于该内容检查引擎自该多个数据单元中界定出一组可疑数据单元前,执行一组任务,该组任务包含有自该多个数据单元的内容中界定出多个型样;将对应于该多个型样的正规表示式划分为多个子表示式;以及致使该存储器控制器维持该等子表示式所对应的多个有限自动机间的相依关系;以及该内容检查引擎是依据该等相依关系所决定的顺序,依序将该多个数据单元通过该等有限自动机,以界定出该组可疑数据单元,其中该组可疑数据单元的内容,是会集合后符合于合并该等有限自动机的输出所产生的该多个型样中的任何型样。
图1为本发明的系统安全防护架构的一实施例的数据流示意图。
图2为本发明的数据单元中的数据单元区段的一实施例的示意图。
图3为本发明用来建立与使用表达有害型样的自动机与状态表的方法的一实施例流程图。
图4为本发明用来解压缩数据单元中的数据的方法的一实施例流程图。
图5为本发明用来界定数据单元中的异常情形的方法的一实施例流程图。
图6为实现本发明的安全防护机制的系统的一实施例的示意图。
图7为图6中的内容检查协同处理器的一实施例的方块图。
图8为图6中的内容检查协同处理器的另一实施例的方块图。
具体实施方式
将下来将说明本发明所提出的系统安全防护机制。为了帮助了解,以下将会利用许多特定的实施例来阐释本发明的概念。在阅读完以下说明之后,所属技术领域中具有通常知识者将可对本发明的概念有较为透彻的了解。当然,本发明的实际实施方式并不局限于以下的说明中所提供的实施例。
由于「正规表示式」(regular expression)、「状态机」(state machine)、「自动机」(automaton)的相关理论以及相关知识为所属技术领域中具有通常知识者所熟知,故在此将不多作赘述。唯需注意,在后续的说明当中所使用的「状态机」与「状态自动机」(state automaton)这两个名词可相互替换。「万用字符」(Wild card)通常是指特殊的符号,例如英文中的句号(.)与星号(*)的组合,即可用来表示0个、1个、或多个字符(例如,″.*abc″即表示所有以″abc″作为结尾的型样)。每一个「数据单元」(data unit)通常系指储存于一特殊存储器位置中的数据或是一个具有目的地地址的封包。「应用程序」(application)则泛指为使用者、终端机或计算机系统的使用所设计的单一程序或程序群组。
1.0一般概要以下所介绍的系统安全防护技术,包含利用第一处理单元来将对应于多个型样(pattern)的正规表示式分割成多个子表示式(sub-expression),并维持该等子表示式所对应的多个有限自动机(finite automata)间的相依关系(dependency relationships)的方法与系统。本发明所提出的安全防护方法与系统,还会利用第二处理单元依据该等相依关系所决定的顺序,依序将多个数据单元通过该等有限自动机,以界定出可疑数据单元。此处所指称的「可疑数据单元」一词系指所包含的内容集合后符合于(collectively match)前述型样中的一种或多种型样的数据单元。至于可疑数据单元的界定方式,则是依据该等有限自动机的输出合并后的结果(merged results)来进行。
2.0系统安全防护方式2.1概要以下说明本发明提出的系统安全防护方式的概要。想要确保系统的安全性,作法之一是通过检视进入与离开该系统的数据单元,以确保该系统不受恶意程序代码或未获授权的存取所影响。此种作法是部分根基于正规表示式的使用。正规表示式一般是指用来表示特定型样的符号(symbol)集合与语法单元(syntactic element)的集合。举例来说,(a|b)t即是一个简单的正规表示式,用来表示″at″以及″bt″这两个型样。虽然一个精炼的(well-crafted)正规表示式看起来可能显得较为简洁,特别是在使用万用字符的情形下,但该正规表示式在一个具有许多状态的状态机中,仍可以表示多种不同的型样与结果。
另一种系统安全防护方式亦是部分根基于管理(managing)与操控(manipulating)从正规表示式所推导出的许多状态自动机(state automata)的状态,以有效地搜寻与匹配(match)特定的型样。随着越来越多的型样被界定为有害的型样,将需要利用额外的步骤来加快搜寻与匹配特定型样的速度,并同时减低对于储存空间的需求。
本发明所提出的系统安全防护方法的一实施例,具有至少一个专门用来从正规表示式中推导出状态自动机的处理程序,以及至少另一个专门使用状态自动机来搜寻有害型样的处理程序。此外,前述的处理程序当中至少有一处理程序可以用来监测数据单元中无法利用正规表示式来表达的异常情形(anomaly)。
图1所绘示为本发明的系统安全防护架构的一实施例的数据流示意图。本实施例包含有两个主要的处理程序处理程序102与处理程序110。处理程序102主要是由分派引擎(dispatch engine)104、内容检查引擎(contentinspection engine)106、以及存储器控制器108来执行,而处理程序110则主要是由处理单元112来进行。处理程序110会产生多个状态自动机,而处理程序102则会搜寻包含有该等状态自动机所表示的有害型样(如已知病毒、电子蠕虫、滥发(spam)、非法存取或任何恶意程序代码等)的可疑数据单元(suspected data unit)。这些有害型样亦可以是任何一种可转译为正规表示式的声音型样、图像型样、或者非文字型样等等。处理程序110还会解压缩数据单元中的数据,并监控数据单元中任何无法用正规表示式描述的不规则情形,但其实际功能并不局限于此。
图2所示为本发明一实施例的数据单元中的数据单元区段(data unitsegment)200的示意图。数据单元区段200主要包含有标头字段202与承载字段(payload field)210。标头字段202包含有额外的字段,例如(但不局限于)类型字段(type field)204、长度字段(length field)206以及命令字段(command field)208。承载字段210则包含文字数据、多媒体数据以及/或控制信息。
在本实施例中,类型字段204包含用来指示数据单元的各种类型的数据。例如,第一类型的数据单元中的承载字段210可能包含有用来表示有害型样的一部或全部的正规表示式,或是设定处理程序102或110所需的信息。另一方面,第二类型的数据单元中的承载字段210则可能会包含有需接受处理程序102检查有害型样及异常情形的数据。在某些实施例中,第二类型的数据单元中的数据亦会被处理程序110加以处理。因此,接收到数据单元的处理程序可利用类型字段204中的信息来判断该数据单元为第一类型或第二类型,并据以采取相对应的行动。在以下说明中,前述第一类型与第二类型的数据单元将分别称之为系统类型数据单元与使用者类型数据单元。
长度字段206包含有承载字段210中的数据的长度信息,而命令字段208则包含有指示处理单元112、存储器控制器108与内容检查引擎106执行特定任务的指令。例如,前述的指令可能会致使处理单元112对承载字段210中的数据进行解压缩,或是检查数据是否异常。每一个命令字段208可包含有一个或多个指令,且该等指令可以是对应于一个或多个元件。换言之,命令字段208可包含给单一元件(如处理单元112)的单一指令、给单一元件的多个指令、或是分别给不同元件的多个指令。例如,命令字段208可能同时包含有某些给处理单元112的指令、某些给存储器控制器108的指令、以及某些给内容检查引擎106的指令。
在一实施例中,分派引擎104的功能是作为与应用程序100沟通的网关。进一步而言,分派引擎104会依据所收到的数据单元的标头字段与承载字段中的信息,将收到的数据单元分派到内容检查引擎106、存储器控制器108以及处理单元112,以进行后续的处理。一般而言,内容检查引擎106系专供用来界定出具有集合后符合于(collectively match)有害型样的数据的可疑数据单元。另一方面,处理单元112则会进行解压缩数据单元的承载字段中的数据、监控数据单元中有无不规则情形或异常情形等等的任务,但其实际运用并不局限于此。此外,分派引擎104也会将内容检查引擎106与处理单元112输出结果作有系统的整理,并将整理后的结果传送给应用程序100。以下,将进一步说明前述不同元件间的互动运作。
2.2利用多处理单元架构建立与使用自动机与状态表图3所绘示为本发明建立与使用表达有害型样的自动机与状态表的方法的一实施例流程图。在步骤300中,倘若分派引擎104依据图2所示的类型字段204中的信息,识别出所接收到的数据单元为系统类型数据单元,则分派引擎104接着会检查该数据单元的命令字段208,以判断该数据单元是否包含待转换的正规表示式或与已转换的自动机及状态表相关的信息。此一将正规表示式转换为自动机或状态表的处理程序又称之为编译(compiling)处理。
若该数据单元的命令字段208包含有指示处理单元112产生自动机与状态表的指令,则分派引擎104接着会进行步骤304将该数据单元传送至处理单元112,以使处理单元112对该数据单元的承载字段210中的数据进行编译。在某些情形下,处理单元112在步骤306中会检测到编译错误的发生。举例而言,倘若该正规表示式的语法不精确,便无法据以产生自动机与状态表。倘若所产生的自动机及状态表所需占据的存储器位置比处理程序102、110或两者所分配到的存储器空间还多,则会导致另一种编译错误的情形发生。实作上,处理单元112会在步骤310中通过分派引擎104向应用程序100回报编译错误的情形。
另一方面,倘若该数据单元的命令字段208包含有指示存储器控制器108储存并管理已转换的自动机与状态表相关的信息,则分派引擎104会进行步骤308,将该数据单元传送至存储器控制器108,以使该数据单元的承载字段210中的数据被储存起来。在一实施例中,存储器控制器108会将已转换的自动机与状态表加载内容检查引擎106所对应的存储器位置,以供内容检查引擎106预先或于初始运作时进行存取。在某些应用例中,存储器控制器108会检测到加载错误的发生。例如,当所储存的数据已毁坏时,便会发生某一类型的加载错误。
倘若分派引擎104在步骤300中依据类型字段204中的信息,将所接收到的数据单元识别为使用者类型数据单元,且命令字段208包含有指示内容检查引擎106搜寻并界定可疑数据单元的指令,则分派引擎104会进行步骤312,将该数据单元传送至内容检查引擎106,以检查该数据单元的承载字段210中的数据。接着,内容检查引擎106会于步骤310中将其检查结果传送给应用程序100。
2.3解压缩数据当所接收到的数据单元为使用者类型数据单元时,该数据单元中可能会包含有压缩数据。例如,倘若应用程序100为电子邮件应用程序,则该数据单元可能会包含通过该电子邮件应用程序传送的压缩后的附加文件。图4所绘示为本发明解压缩数据单元中的数据的方法的一实施例流程图。
特别是在进行步骤410将该数据单元于传送至内容检查引擎106之前,分派引擎104会进行步骤400以检查该数据单元的命令字段208与承载字段210。在一实施例中,倘若命令字段208包含有指示处理单元112对承载字段210中的数据进行解压缩的指令,则分派引擎104会进行步骤404,将该数据单元传送至处理单元112,以使处理单元112依据该指令进行数据解压缩的动作。在某些例子中,处理单元112会于步骤406中检测到解压缩错误。例如,若处理单元112进行数值运算所需的存储器空间不足时,便会有解压缩错误发生。倘若处理单元112进行解压缩所需的信息不足,例如缺少密码等,也会造成解压缩错误的发生。在一实施例中,处理单元112会于步骤408中通过分派引擎104向应用程序100回报解压缩错误的情形,且不会检查该数据单元中是否存在有害型样。
2.4异常情形检测此外,当所接收到的数据单元为使用者类型数据单元时,该数据单元中可能包含有会导致接收系统发生不良后果但无法用正规表示式来描述的数据。举例而言,在阻绝服务(denial-of-service,DoS)攻击中,接收系统的资源会耗尽在处理所接收到的大量数据单元上,而非藏在数据单元中的有害型样。图5所绘示为本发明界定数据单元中的异常情形的方法的一实施例流程图。
在进行步骤510将数据单元于传送至内容检查引擎106之前,分派引擎104会进行步骤500以检查该数据单元的命令字段208与承载字段210。在一实施例中,倘若命令字段208包含有指示处理单元112寻找异常情形的指令,则分派引擎104会进行步骤504,将该数据单元传送至处理单元112,以使处理单元112依据该指令与特定的异常策略(anomaly policy)来分析所接收到的数据单元中的特定特征。举例而言,异常策略可限制接收与处理承载字段中的数据完全相同的数据单元的临界量。因此,处理单元112可依据该指令追踪符合该异常策略所设定的规则的数据单元数量,当该数量于步骤506中超过该临界量时,处理单元112便会对所检测到异常情形加以响应(例如拒绝后续所接收到具有相同数据的数据单元),以及/或将所检测到的异常情形回报予应用程序100。
虽然图5中并未明白绘示,但前述的步骤506与508亦可于检查完该数据单元的内容后才进行。换言之,在一实施例中,步骤510可于异常情形检测处理或步骤500之前来进行。在步骤510执行完毕后,处理单元112的一实施例还会通过在数据单元中垫入连续零值或预定数据型样的方式,来矫正于该数据单元中所检测出的有害型样或异常情形。例如,倘若数据单元中包含有可造成接收系统不稳的有害型样或命令,或是会破坏任何通讯与运作协议的程序代码,处理单元112不仅会检测出这些型样与异常部分,还可利用不会对接收系统造成不良影响的无害(harmless)型样(例如连续的零值),来替换掉这些检测到的型样或异常部分。
请注意,前述的异常策略可通过系统类型数据单元来加以设定,其设定的方式与前揭图3的编译程序相类似。具体而言,处理单元112可依据数据单元的命令字段与承载字段中的数据来变更该异常策略的设定。
3.0系统架构实施例图6所绘示为系统600的示意图,其为本发明用来实现前述安全防护机制的一实施例。进一步而言,系统600包含有处理器604,以及专门用来执行内容检查任务的内容检查协同处理器(content inspection co-processor,CICP)602。处理器604是对应于图1所示的处理单元112,而内容检查协同处理器602则对应于图1中的分派引擎104、存储器控制器108以及内容检查引擎106。图7所示为内容检查协同处理器602的一实施例的方块图。
图8为内容检查协同处理器602的另一实施例的方块图。在本实施例中,处理单元112为内容检查协同处理器602的一部分。换言之,本实施例的内容检查协同处理器602包含有两个处理单元,亦即图中的处理单元与内容检查引擎。
内容检查协同处理器可用特定应用集成电路(application-specificintegrated circuit,ASIC)来实现,亦可程序化于可程序化逻辑装置(programmable logic device)中,也可以是单芯片系统(system-on-chip,SOC)中的功能单元(functional unit)。在一实施例中,内容检查协同处理器602是通过桥接器608及存储器总线606来与处理器604进行联系。在另一实施例中,若处理器604可提供适当的通讯接口(未绘示于图6中),则内容检查协同处理器602便可通过该通讯接口直接与处理器604进行联系。
处理器604可以是通用处理器(general purpose processor)或是特定用途处理器(specific purpose processor)。特定用途处理器的实施例包含有(但不限定于)设计用来进行信号处理、移动运算、及多媒体相关应用的处理器。特定用途处理器通常会包含有可供其它外部单元直接与其连接的相关接口。举例来说,这样的特定用途处理器可能会包含一个或多个存储器接口,用来与各种的存储器相互连接,或用来与协同处理单元(例如前述的内容检查协同处理器602)相互连接。
各种类型的存储器模块可直接设置在内容检查协同处理器602之内,或是通过耦接于存储器总线606或内容检查协同处理器602的方式,来提供内容检查协同处理器602所需的暂存空间。前述的存储器模块亦可同时提供处理器604所需的暂存空间。实作上,可利用各式的随机存取存储器(RAM)与闪存(flash memory)来实现前述的存储器模块。此外,在不变更本发明的系统安全防护机制的情形下,在图6中所示的各个组成元件之外还可再加入其它的组成元件(例如显示装置),图6中所示的各个组成元件亦可彼此组合(例如可将内容检查协同处理器602与处理器604设置于单芯片系统中)、或更进一步地分割为更多元件(例如可将桥接器608分割成处理器桥接器、总线控制器、以及存储器控制器)。
4.0延伸以及变化以上所述仅为本发明的较佳实施例,凡依本发明权利要求范围所做的均等变化与修饰,皆应属本发明的涵盖范围。
权利要求
1.一种用来监测多个数据单元的方法,其包含有在第二处理器自该多个数据单元中界定出一组可疑数据单元前,利用第一处理器执行一组任务,其中该组任务包含有自该多个数据单元的内容中界定出多个型样;将对应于该多个型样的正规表示式划分为多个子表示式;以及致使该等子表示式所对应的多个有限自动机间的相依关系得以维持;以及依据该等相依关系所决定的顺序,依序将该多个数据单元通过该等有限自动机,以界定出该组可疑数据单元,其中该组可疑数据单元的内容,是会集合后符合于合并该等有限自动机的输出所产生的该多个型样中的任何型样。
2.根据权利要求1所述的方法,其还包含有依据该多个数据单元的类型及其所包含的数据,将该多个数据单元分派到该第一处理器与该第二处理器。
3.根据权利要求2所述的方法,其还包含有在界定该组可疑数据单元前,依据该多个数据单元中所包含的指令,对该多个数据单元中所包含的压缩数据进行解压缩。
4.根据权利要求2所述的方法,其还包含有依据异常策略来响应与该多个数据单元相关的异常情形,其中该异常策略会追踪该多个数据单元除了该多个型样以外的特征。
5.根据权利要求4所述的方法,其中该异常策略是可以变更设定的。
6.根据权利要求4所述的方法,其还包含有矫正该组可疑数据单元或该异常情形。
7.一种用来监测多个数据单元的系统,其包含有第一处理手段,用来于第二处理手段自该多个数据单元中界定出一组可疑数据单元前,执行一组任务,其中该组任务包含有自该多个数据单元的内容中界定出多个型样;将对应于该多个型样的正规表示式划分为多个子表示式;以及致使该等子表示式所对应的多个有限自动机间的相依关系得以维持;以及该第二处理手段,用来依据该等相依关系所决定的顺序,依序将该多个数据单元通过该等有限自动机,以界定出该组可疑数据单元,其中该组可疑数据单元的内容,是会集合后符合于合并该等有限自动机的输出所产生的该多个型样中的任何型样。
8.根据权利要求7所述的系统,其还包含有一种技术手段,用来依据该多个数据单元的类型及其所包含的数据,将该多个数据单元分派到该第一处理手段与该第二处理手段。
9.根据权利要求8所述的系统,其中该第一处理手段还会在界定该组可疑数据单元前,依据该多个数据单元中所包含的指令,对该多个数据单元中所包含的压缩数据进行解压缩。
10.根据权利要求8所述的系统,其中该第一处理手段还会依据异常策略来响应与该多个数据单元相关的异常情形,其中该异常策略会追踪该多个数据单元除了该多个型样以外的特征。
11.根据权利要求10所述的系统,其中该异常策略是可以变更设定的。
12.根据权利要求10所述的系统,其中该第一处理手段还会矫正该组可疑数据单元或该异常情形。
13.一种用来监测多个数据单元的系统,其包含有分派引擎;处理单元,耦接于该分派引擎;内容检查引擎,耦接于该分派引擎与该处理单元;存储器控制器,耦接于该分派引擎、该处理单元与该内容检查引擎;其中该处理单元会于该内容检查引擎自该多个数据单元中界定出一组可疑数据单元前,执行一组任务,该组任务包含有自该多个数据单元的内容中界定出多个型样;将对应于该多个型样的正规表示式划分为多个子表示式;以及致使该存储器控制器维持该等子表示式所对应的多个有限自动机间的相依关系;以及该内容检查引擎依据该等相依关系所决定的顺序,依序将该多个数据单元通过该等有限自动机,以界定出该组可疑数据单元,其中该组可疑数据单元的内容,是会集合后符合于合并该等有限自动机的输出所产生的该多个型样中的任何型样。
14.根据权利要求13所述的系统,其中该分派引擎会依据该多个数据单元的类型及其所包含的数据,将该多个数据单元分派到该处理单元、该内容检查引擎与该存储器控制器。
15.根据权利要求14所述的系统,其中该处理单元还会在界定该组可疑数据单元前,依据该多个数据单元中所包含的指令,对该多个数据单元中所包含的压缩数据进行解压缩。
16.根据权利要求14所述的系统,其中该处理单元还会依据异常策略来响应与该多个数据单元相关的异常情形,其中该异常策略会追踪该多个数据单元除了该多个型样以外的特征。
17.根据权利要求16所述的系统,其中该异常策略是可以变更设定的。
18.根据权利要求16所述的系统,其中该处理单元还会矫正该组可疑数据单元或该异常情形。
19.一种用来监测多个数据单元的系统,其包含有通用处理器;内容检查协同处理器,直接或间接耦接于该通用处理器,其中该内容检查协同处理器包含有分派引擎;内容检查引擎,耦接于该分派引擎;以及存储器控制器,耦接于该分派引擎与该内容检查引擎;其中该通用处理器会于该内容检查引擎自该多个数据单元中界定出一组可疑数据单元前,执行一组任务,该组任务包含有自该多个数据单元的内容中界定出多个型样;将对应于该多个型样的正规表示式划分为多个子表示式;以及致使该存储器控制器维持该等子表示式所对应的多个有限自动机间的相依关系;以及该内容检查引擎是依据该等相依关系所决定的顺序,依序将该多个数据单元通过该等有限自动机,以界定出该组可疑数据单元,其中该组可疑数据单元的内容,是会集合后符合于合并该等有限自动机的输出所产生的该多个型样中的任何型样。
20.根据权利要求19所述的系统,其中该分派引擎会依据该多个数据单元的类型及其所包含的数据,将该多个数据单元分派到该通用处理器、该内容检查引擎与该存储器控制器。
21.根据权利要求20所述的系统,其中该通用处理器还会在界定该组可疑数据单元前,依据该多个数据单元中所包含的指令,对该多个数据单元中所包含的压缩数据进行解压缩。
22.根据权利要求20所述的系统,其中该通用处理器还会依据异常策略来响应与该多个数据单元相关的异常情形,其中该异常策略会追踪该多个数据单元除了该多个型样以外的特征。
23.根据权利要求22所述的系统,其中该异常策略是可以变更设定的。
24.根据权利要求22所述的系统,其中该通用处理器还会矫正该组可疑数据单元或该异常情形。
全文摘要
本发明提供了用以确保系统安全的方法与相关系统。本发明提出的方法与系统是利用第一处理单元来将对应于多个型样的正规表示式分割成多个子表示式,并维持该等子表示式所对应的多个有限自动机间的相依关系。本发明提出的方法与系统还会利用第二处理单元依据该等相依关系所决定的顺序,依序将多个数据单元通过该等有限自动机,以界定出可疑数据单元,其中,该可疑数据单元是指所包含的内容集合后符合于前述型样中的一种或多种型样的数据单元,而可疑数据单元的界定方式,则是依据该等有限自动机的输出合并后的结果来进行。
文档编号H04L9/00GK1838670SQ200610059629
公开日2006年9月27日 申请日期2006年3月13日 优先权日2005年3月11日
发明者简士伟, 赵士铭 申请人:鸿璟科技股份有限公司