【技术实现步骤摘要】
用于使用内联模式匹配加速安全检查的装置、系统和方法
本公开的各实施例总体上涉及计算机网络,具体地涉及用于使用内联模式匹配加速安全检查的装置、系统和方法。
技术介绍
对网络通信执行的安全检查经常消耗大量资源。例如,防火墙可以对进入网络的分组进行安全检查。作为安全检查的一部分,防火墙可以首先解析分组,然后尝试将从分组中解析的某些信息与入侵防御系统(IPS)数据库中包括的签名进行匹配。在此示例中,防火墙可以利用中央处理单元(CPU)和/或图形处理单元(GPU)来执行解析和匹配。在从分组之一中解析的信息与表示已知攻击模式的签名匹配的情况下,防火墙可以将该分组分类为恶意,然后采取某种补救措施。遗憾的是,由于传统IPS解析和匹配操作由CPU和/或GPU执行,因此这些操作可能相对于分组输入/输出(I/O)速率和/或线路速率减缓CPU和/或GPU,由此削弱防火墙的性能。此外,由于传统IPS安全检查要求分组在被匹配之前进行解析,因此防火墙可以结束解析最终导致不匹配的分组,由此降低IPS安全检查的效率。因此,本公开标识并解决了对使用内联模式匹配加速安全检查的系统和方法的需求。
技术实现思路
如下面将更详细所述,本公开总体上涉及用于使用内联模式匹配加速安全检查的装置、系统和方法。在一个示例中,一种用于完成这种任务的装置可以包括(1)至少一个存储设备,其存储促进关于网络流量的模式匹配的签名集,以及(2)至少一个物理处理设备,其被通信地耦合至存储设备,其中物理处理设备(A)在网络设备处,接收去往网络内计算设备的分组,(B)通过(I)将分组的至少一部分与存储设备中存储的签名集比较,以及( ...
【技术保护点】
1.一种装置,包括:至少一个存储设备,其存储促进关于网络流量的模式匹配的签名集;以及至少一个物理处理设备,其被通信地耦合至所述存储设备,其中所述物理处理设备:在网络设备处,接收去往网络内计算设备的分组;通过以下对所述分组执行模式匹配:将所述分组的至少一部分与所述存储设备中存储的所述签名集比较;以及至少部分基于所述比较,确定所述分组的所述部分匹配所述签名中的至少一个签名;在执行所述模式匹配之后,解析所述分组的至少所述部分以至少部分基于所述分组的所述部分来确定所述分组是否为恶意;以及在确定所述分组为恶意时,执行关于所述分组的至少一个安全措施。
【技术特征摘要】
2017.01.06 US 15/400,9221.一种装置,包括:至少一个存储设备,其存储促进关于网络流量的模式匹配的签名集;以及至少一个物理处理设备,其被通信地耦合至所述存储设备,其中所述物理处理设备:在网络设备处,接收去往网络内计算设备的分组;通过以下对所述分组执行模式匹配:将所述分组的至少一部分与所述存储设备中存储的所述签名集比较;以及至少部分基于所述比较,确定所述分组的所述部分匹配所述签名中的至少一个签名;在执行所述模式匹配之后,解析所述分组的至少所述部分以至少部分基于所述分组的所述部分来确定所述分组是否为恶意;以及在确定所述分组为恶意时,执行关于所述分组的至少一个安全措施。2.根据权利要求1所述的装置,其中所述物理处理设备包括以下至少一个:中央处理单元(CPU);图形处理单元(GPU);线卡;以及专用集成电路(ASIC)。3.根据权利要求1所述的装置,其中:所述物理处理设备包括线卡和CPU;所述线卡:通过所述网络设备上的入口端口接收所述分组;对所述分组执行所述模式匹配;以及在完成所述模式匹配之后,向所述CPU转发所述分组;所述CPU:从所述线卡接收所述分组;以及解析所述分组以确定所述分组的所述部分是否匹配任意已知恶意签名。4.根据权利要求3所述的装置,其中:所述线卡标识对应于所述分组中匹配所述签名的所述部分的位置的偏移;以及所述线卡标识相对于所述存储设备指定所述分组的所述部分与之匹配的所述签名的所述至少一个签名的索引;以及所述线卡随所述分组一起向所述CPU转发所述偏移和所述索引。5.根据权利要求4所述的装置,其中:在向所述CPU转发所述分组之前,所述线卡将所述偏移和所述索引插入所述分组的脚注;以及所述CPU:从所述分组的所述脚注获得所述偏移和所述索引;以所述偏移解析所述分组的所述部分;以及将以所述偏移从所述分组的所述部分解析的内容与由所述索引指定的所述签名的所述至少一个签名比较。6.根据权利要求1所述的装置,其中所述分组的所述部分包括以下至少一个:所述分组的净荷;以及所述分组的报头。7.根据权利要求1所述的装置,其中所述物理处理设备:在所述网络设备,接收去往所述网络内计算设备的另一分组;通过以下对所述另一分组执行模式匹配:将所述另一分组与所述存储设备中存储的所述签名集比较;以及至少部分基于所述比较,确定没有所述另一分组的部分匹配所述签名的任意签名;以及至少部分由于没有所述分组的部分匹配所述签名的任意签名,拒绝解析所述另一分组。8....
【专利技术属性】
技术研发人员:D·库施瓦哈,M·乔施,P·图特利亚尼,
申请(专利权)人:瞻博网络公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。