在执行与模式检测不相关的数据处理时,使数据移动通过管线。与数据移动通过管线时的数据处理并行地,检测器在数据移动通过管线时在预定位置处或者基于预定参考来在该数据内检测模式。检测器在不延迟数据进入、通过和退出管线的移动的情况下,在数据移动通过管线时在该数据内检测模式。
【技术实现步骤摘要】
【国外来华专利技术】模式检测
技术介绍
随着联网技术和互联网的出现,全世界的计算设备已经能够与彼此相互通信。尽管这已经提供了许多优点,但是存在着一些问题。一个问题是:不期望的计算机代码或信息(例如计算机病毒、特洛伊木马、蠕虫、垃圾邮件等)可以更容易且不期望地遍布于大量计算设备上。附图说明图1是根据本公开的实施例的模式检测设备的图。图2是根据本公开的实施例的详细的图1的设备的处理管线的图。图3是根据本公开的实施例的详细的图1的设备的检测器的图。图4是根据本公开的实施例的用于检测的方法的流程图。具体实施例方式随着计算设备通过互联网和其他网络的互联性的提高,不期望的计算机代码或信息的散播已经成为问题。由此,用户和网络管理员通常关心检测这种不期望的计算机代码或信息。此外,用户和网络管理员通常关心在可以在一个或多个给定计算设备上接收到和/或安装这种不期望的计算机代码或信息或者这种不期望的计算机代码或信息以其他方式感染一个或多个给定计算设备之前,检测到这种不期望的计算机代码或信息。其他时候,其不是不期望的信息,而是用户和/或网络管理员希望以某种独特方式检测和处理的感兴趣信息。例如,公司可能希望检测到在保密信息中找到的具体模式,并确保它们未被传输至不安全位置。因而,如本文所讨论的,不期望的计算机代码或信息包括以下这两种类型的信息:包括不期望的计算机代码或信息以及感兴趣信息。如本文所讨论的,提供了一种模式检测机制,其中,在数据移动通过管线时,可以在不延迟数据通过管线的移动的情况下,在管线内检测一个或多个模式。在数据移动通过管线时,对模式的检测可以聚焦于特定位置,或者相对于数据分组内的特定参考。例如,可以在多个层报头之一内、在分组有效载荷内、在特定位置或相对于另一模式的匹配位置中等等检测到模式。如本文所讨论的,将针对一个或多个模式和/或一个或多个模式部分来讨论不期望的计算机代码或信息。图1示出了根据本公开的示例的代表性设备100。设备100可以是联网设备,例如,交换机、路由器或其他类型的联网设备。可替换地或附加地,设备100可以是像通用计算机之类的计算设备,诸如,服务器计算设备、客户端计算设备、台式计算机和/或膝上型计算机、除此之外还有其他类型的计算设备。设备100包括处理管线102和检测器104。管线102和检测器104 二者均至少以硬件实现。在一个示例中,管线102和检测器104 二者诸如通过使用适当的专用集成电路(ASIC)、现场可编程门阵列(FPGA)和其他类型的仅硬件组件而完全以硬件来加以实现。在另一示例中,管线102和检测器104可以在以下范围内至少以硬件加以实现:它们也是由处理器(硬件)执行以执行其相应功能的软件。为了在设备100内处理数据,使数据移动通过管线102,如由箭头106所指示的那样。该处理与模式检测不相关。即,使数据移动通过管线102以对数据执行处理的目的与模式检测不相关。在数据移动通过管线102时对数据执行处理,其中,数据由管线102内执行的处理代理更改,该处理代理可以控制数据移动通过管线102的速率。例如,在设备100是联网设备(例如,交换机或路由器)的情况下,数据可以是从对于其而言设备100是网守(gateke印er)的网络的外部接收到的输入数据分组。管线102可以用于修改这些数据分组的报头信息,从而使得将分组传输至网络内的合适设备。例如,可以将与万维网(WWW)请求相关的数据分组传输至网络上的WWW服务器设备,可以将与文件传输协议(FTP)请求相关的数据分组传输至网络上的FTP服务器设备,等等。因此,网络上的外部设备可以将网络视为具有单个联网地址,而实际上,网络由具有对应(内部)网络地址的多个设备组成。因此,在该示例中,使用管线102将输入数据分组的联网地址更改为网络上的要处理所述数据分组的设备的内部网络地址。输入数据分组的联网地址向内部网络地址的修改是可在管线102内对这些数据分组执行的处理的示例。然而,与在数据移动通过管线102时的数据处理并行地,检测器104在数据移动通过管线102时在该数据内检测一个或多个模式,如由虚线108所指示的那样。检测器104能够在不延迟数据进入、通过和退出管线102的移动的情况下,在数据移动通过管线102时在该数据内检测至少一个模式。在管线102中执行的数据处理与由检测器104执行的模式检测无关。在无需等待检测器104执行其检测的情况下,数据进入、移动通过并退出管线102。在该方面,图1的示例能够在不降低设备100的总体性能的情况下检测至少一个模式。此外,图1的示例不需要潜在地昂贵且功耗大的专用处理器来进行模式检测。更确切地,可以经由与专用处理器相比消耗低得多的功率的低得多成本的硬件组件、以硬件方式实现检测器104。图1的示例的附加优点在于:在至少一些情形中,进入设备100的所有数据移动通过管线102以供处理,从而使得检测器104能够在所有数据内检测至少一个模式。图2更详细地示出了根据本公开的示例的处理管线102。管线102包括多个行202A、202B、202C、......、202N,通称为行202。行202还可以被称为管线102的级。行202A是管线102的第一行,以及行202N是管线102的最后一行。管线102的每个行202存储相同数目的字节。出于示例性目的,每个行202存储8个字节。然而,每个行202可以存储不同数目的字节,诸如16个字节、32个字节等。管线宽度不限于2的幂次数目的字节。与每个行202可存储的字节数目相等的数目的数据字节在第一行202A处进入管线102,并逐行地行进通过管线102,直到数据退出最后一行202N为止,如由箭头106所指示的那样。例如,第一 8个数据字节在第一行202A处进入管线102。然后,这第一 8个数据字节向下级联至第二行202B,并且同时,第二 8个数据字节在第一行202A处进入管线102。接着,第一 8个数据字节向下移动至第三行202C,第二 8个字节向下移动至第二行202B,以及第三8个数据字节在第一行202A处进入管线。该过程继续,直到第一 8个数据字节进入并且然后退出管线102的最后一行202N,紧接着,第二 8个字节进入并且然后退出最后一行202N,依此类推。在管线102的任何给定行202处,可以更改或处理数据。例如,如上所记录的,在处理管线102是网守联网设备100的一部分的情况下,可以更改数据分组的报头信息。例如,可以利用联网地址E.F.G.H来替换联网地址A.B.C.D.联网地址A.B.C.D指定了设备100作为其一部分的网络作为整体的外部联网地址。联网地址E.F.G.H指定了要处理所讨论的数据分组的网络内的设备的内部联网地址。在图2中明确地标注了行202的两个特定行204和206,将与图2相关地描述由检测器 104 对模式的检测。行 204 包括字节 208A、208B、208C、208D、208E、208F、208G 和 208H,起始于字节208A并结束于字节208H。行206包括字节2081、208J、208K、208L、208M、208N、2080和208P,起始于字节2081并结束于字节208P。在初步示例中,数据分组210被认为由12个字节208C-208N组成,其在图2中由阴影指示。注本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】
【专利技术属性】
技术研发人员:DA沃伦,BE拉维涅,
申请(专利权)人:惠普发展公司,有限责任合伙企业,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。