用于使用内联模式匹配加速安全检查的装置、系统和方法制造方法及图纸

本公开的各实施例总体上涉及用于使用内联模式匹配加速安全检查的装置、系统和方法。具体地，所公开的装置可以包括(1)在网络设备处，接收去往网络内计算设备的分组，(2)通过(A)将分组的至少一部分与促进关于网络流量的模式匹配的签名集比较，以及(B)至少部分基于比较，确定分组的部分匹配签名中的至少一个签名，来对分组执行模式匹配，(3)在执行模式匹配之后，解析分组的至少该部分以至少部分基于分组的部分来确定分组是否为恶意，然后(4)在确定分组为恶意时，执行关于分组的至少一个安全措施的物理处理。还公开了各种其他装置、系统和方法。

【技术实现步骤摘要】
用于使用内联模式匹配加速安全检查的装置、系统和方法
本公开的各实施例总体上涉及计算机网络，具体地涉及用于使用内联模式匹配加速安全检查的装置、系统和方法。
技术介绍
对网络通信执行的安全检查经常消耗大量资源。例如，防火墙可以对进入网络的分组进行安全检查。作为安全检查的一部分，防火墙可以首先解析分组，然后尝试将从分组中解析的某些信息与入侵防御系统(IPS)数据库中包括的签名进行匹配。在此示例中，防火墙可以利用中央处理单元(CPU)和/或图形处理单元(GPU)来执行解析和匹配。在从分组之一中解析的信息与表示已知攻击模式的签名匹配的情况下，防火墙可以将该分组分类为恶意，然后采取某种补救措施。遗憾的是，由于传统IPS解析和匹配操作由CPU和/或GPU执行，因此这些操作可能相对于分组输入/输出(I/O)速率和/或线路速率减缓CPU和/或GPU，由此削弱防火墙的性能。此外，由于传统IPS安全检查要求分组在被匹配之前进行解析，因此防火墙可以结束解析最终导致不匹配的分组，由此降低IPS安全检查的效率。因此，本公开标识并解决了对使用内联模式匹配加速安全检查的系统和方法的需求。
技术实现思路
如下面将更详细所述，本公开总体上涉及用于使用内联模式匹配加速安全检查的装置、系统和方法。在一个示例中，一种用于完成这种任务的装置可以包括(1)至少一个存储设备，其存储促进关于网络流量的模式匹配的签名集，以及(2)至少一个物理处理设备，其被通信地耦合至存储设备，其中物理处理设备(A)在网络设备处，接收去往网络内计算设备的分组，(B)通过(I)将分组的至少一部分与存储设备中存储的签名集比较，以及(II)至少部分基于比较，确定分组的部分匹配签名中的至少一个签名，来对分组执行模式匹配，(C)在执行模式匹配之后，解析分组的至少部分以至少部分基于分组的部分来确定分组是否为恶意，然后(D)在确定分组为恶意时，执行关于分组的至少一个安全措施。在一个实施例中，其中物理处理设备可以包括以下至少一个：中央处理单元(CPU)；图形处理单元(GPU)；线卡；以及专用集成电路(ASIC)。在一个实施例中，其中：物理处理设备可以包括线卡和CPU；线卡：通过网络设备上的入口端口接收分组；对分组执行模式匹配；以及在完成模式匹配之后，向CPU转发分组；CPU：从线卡接收分组；以及解析分组以确定分组的部分是否匹配任意已知恶意签名。在一个实施例中，其中：线卡可以标识对应于分组中匹配签名的部分的位置的偏移；以及线卡可以标识相对于存储设备指定分组的部分与之匹配的签名的至少一个签名的索引；以及线卡可以随分组一起向CPU转发偏移和索引。在一个实施例中，其中：在向CPU转发分组之前，线卡可以将偏移和索引插入分组的脚注；以及CPU：可以从分组的脚注获得偏移和索引；可以以偏移解析分组的部分；以及可以将以偏移从分组的部分解析的内容与由索引指定的签名的至少一个签名比较。在一个实施例中，其中分组的部分可以包括以下至少一个：分组的净荷；以及分组的报头。在一个实施例中，其中物理处理设备可以：在网络设备，接收去往网络内计算设备的另一分组；通过以下对另一分组执行模式匹配：将另一分组与存储设备中存储的签名集比较；以及至少部分基于比较，确定没有另一分组的部分匹配签名的任意签名；以及至少部分由于没有分组的部分匹配签名的任意签名，拒绝解析另一分组。在一个实施例中，其中物理处理设备可以通过仅解析具有匹配签名的至少一个签名的模式的分组，来加速对网络流量执行的安全措施。在一个实施例中，其中安全措施可以包括以下至少一个：丢弃分组；终止其中发起分组的通信会话；以及将发送分组的设备列入黑名单。在一个实施例中，其中物理处理设备解析分组的部分可以作为入侵防御系统(IPS)的一部分。类似地，并入上述装置的系统可以包括(1)至少一个存储设备，其存储促进关于网络流量的模式匹配的签名集，以及(2)至少一个物理处理设备，其被通信地耦合至存储设备，其中物理处理设备(A)在防火墙设备处，接收去往网络内计算设备的分组，(B)通过(I)将分组的至少一部分与存储设备中存储的签名集比较，以及(II)至少部分基于比较，确定分组的部分匹配签名中的至少一个签名，来对分组执行模式匹配，(C)在执行模式匹配之后，解析分组的至少部分以至少部分基于分组的部分来确定分组是否为恶意，然后(D)在确定分组为恶意时，执行关于分组的至少一个安全措施。在一个实施例中，其中物理处理设备可以包括以下至少一个：中央处理单元(CPU)；图形处理单元(GPU)；线卡；以及专用集成电路(ASIC)。在一个实施例中，其中：物理处理设备可以包括线卡和CPU；线卡：通过网络设备上的入口端口接收分组；对分组执行模式匹配；以及在完成模式匹配之后，向CPU转发分组；CPU：从线卡接收分组；以及解析分组以确定分组的部分是否匹配任意已知恶意签名。在一个实施例中，其中：线卡可以标识对应于分组中匹配签名的至少一个签名的部分的位置的偏移；以及线卡可以标识相对于存储设备指定分组的部分与之匹配的签名的至少一个签名的索引；以及线卡可以随分组一起向CPU转发偏移和索引。在一个实施例中，其中：在向CPU转发分组之前，线卡可以将偏移和索引插入分组的脚注；以及CPU：可以从分组的脚注获得偏移和索引；可以以偏移解析分组的部分；以及可以将以偏移从分组的部分解析的内容与由索引指定的签名的至少一个签名比较。在一个实施例中，其中分组的部分可以包括以下至少一个：分组的净荷；以及分组的报头。在一个实施例中，其中物理处理设备可以：在防火墙设备，接收去往网络内计算设备的另一分组；通过以下对另一分组执行模式匹配：将另一分组与存储设备中存储的签名集比较；以及至少部分基于比较，确定没有另一分组的部分匹配签名的任意签名；以及至少部分由于没有分组的部分匹配签名的任意签名，拒绝解析另一分组。在一个实施例中，其中物理处理设备可以通过仅解析具有匹配签名的至少一个签名的模式的分组，来加速对网络流量执行的安全措施。在一个实施例中，其中安全措施可以包括以下至少一个：丢弃分组；终止其中发起分组的通信会话；以及将发送分组的设备列入黑名单。对应的方法可以包括(1)在网络设备处，接收去往网络内计算设备的分组，(2)通过(A)将分组的至少一部分与促进关于网络流量的模式匹配的签名集比较，以及(B)至少部分基于比较，确定分组的部分匹配签名中的至少一个签名，来对分组执行模式匹配，(3)在执行模式匹配之后，解析分组的至少部分以至少部分基于分组的部分来确定分组是否为恶意，然后(4)在确定分组为恶意时，执行关于分组的至少一个安全措施。可以根据这里描述的一般原理相互组合地使用来自上述实施例中的任何实施例的特征。在与附图和权利要求结合阅读以下具体实施方式时，将更完全地理解这些和其他实施例、特征和优点。附图说明附图图示了多个示例性实施例并且是说明书的一部分。与以下描述一起，这些附图示范和说明了本公开内容的各种原理。图1是用于使用内联模式匹配加速安全检查的示例性装置的框图。图2是用于使用内联模式匹配加速安全检查的装置的示例性实现的框图。图3是示例性超文本传输协议(HTTP)请求的图示。图4是促进关于网络流量的模式匹配的示例性签名集的图示。图5是用于使用内联模式匹配加速安全检查的本文档来自技高网...

【技术保护点】
1.一种装置，包括：至少一个存储设备，其存储促进关于网络流量的模式匹配的签名集；以及至少一个物理处理设备，其被通信地耦合至所述存储设备，其中所述物理处理设备：在网络设备处，接收去往网络内计算设备的分组；通过以下对所述分组执行模式匹配：将所述分组的至少一部分与所述存储设备中存储的所述签名集比较；以及至少部分基于所述比较，确定所述分组的所述部分匹配所述签名中的至少一个签名；在执行所述模式匹配之后，解析所述分组的至少所述部分以至少部分基于所述分组的所述部分来确定所述分组是否为恶意；以及在确定所述分组为恶意时，执行关于所述分组的至少一个安全措施。

【技术特征摘要】
2017.01.06 US 15/400,9221.一种装置，包括：至少一个存储设备，其存储促进关于网络流量的模式匹配的签名集；以及至少一个物理处理设备，其被通信地耦合至所述存储设备，其中所述物理处理设备：在网络设备处，接收去往网络内计算设备的分组；通过以下对所述分组执行模式匹配：将所述分组的至少一部分与所述存储设备中存储的所述签名集比较；以及至少部分基于所述比较，确定所述分组的所述部分匹配所述签名中的至少一个签名；在执行所述模式匹配之后，解析所述分组的至少所述部分以至少部分基于所述分组的所述部分来确定所述分组是否为恶意；以及在确定所述分组为恶意时，执行关于所述分组的至少一个安全措施。2.根据权利要求1所述的装置，其中所述物理处理设备包括以下至少一个：中央处理单元(CPU)；图形处理单元(GPU)；线卡；以及专用集成电路(ASIC)。3.根据权利要求1所述的装置，其中：所述物理处理设备包括线卡和CPU；所述线卡：通过所述网络设备上的入口端口接收所述分组；对所述分组执行所述模式匹配；以及在完成所述模式匹配之后，向所述CPU转发所述分组；所述CPU：从所述线卡接收所述分组；以及解析所述分组以确定所述分组的所述部分是否匹配任意已知恶意签名。4.根据权利要求3所述的装置，其中：所述线卡标识对应于所述分组中匹配所述签名的所述部分的位置的偏移；以及所述线卡标识相对于所述存储设备指定所述分组的所述部分与之匹配的所述签名的所述至少一个签名的索引；以及所述线卡随所述分组一起向所述CPU转发所述偏移和所述索引。5.根据权利要求4所述的装置，其中：在向所述CPU转发所述分组之前，所述线卡将所述偏移和所述索引插入所述分组的脚注；以及所述CPU：从所述分组的所述脚注获得所述偏移和所述索引；以所述偏移解析所述分组的所述部分；以及将以所述偏移从所述分组的所述部分解析的内容与由所述索引指定的所述签名的所述至少一个签名比较。6.根据权利要求1所述的装置，其中所述分组的所述部分包括以下至少一个：所述分组的净荷；以及所述分组的报头。7.根据权利要求1所述的装置，其中所述物理处理设备：在所述网络设备，接收去往所述网络内计算设备的另一分组；通过以下对所述另一分组执行模式匹配：将所述另一分组与所述存储设备中存储的所述签名集比较；以及至少部分基于所述比较，确定没有所述另一分组的部分匹配所述签名的任意签名；以及至少部分由于没有所述分组的部分匹配所述签名的任意签名，拒绝解析所述另一分组。8....

【专利技术属性】
技术研发人员：D·库施瓦哈，M·乔施，P·图特利亚尼，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：美国,US