摘要: 随着互联网的高速发展，针对网络的攻击变得层出不穷。如果单靠软件来实现网络安全保护，对于处理器来说是无疑是一个很沉重的负担。越来越多的网络安全设备厂商趋向于采用ASIC芯片与CPU组合的策略。ASIC芯片负责对数据包进行模式匹配；而CPU来实现控... 展开 随着互联网的高速发展，针对网络的攻击变得层出不穷。如果单靠软件来实现网络安全保护，对于处理器来说是无疑是一个很沉重的负担。越来越多的网络安全设备厂商趋向于采用ASIC芯片与CPU组合的策略。ASIC芯片负责对数据包进行模式匹配；而CPU来实现控制功能。这种策略下，ASIC芯片所能达到数据吞吐率便成了衡量网络安全设备性能的关键指标。这类ASIC芯片的核心技术是多模式匹配算法。算法的选择以及实现对芯片的数据吞吐率有着非常重要的影响。在本研究中，我们首先深入分析了目前两种主流的多模式匹配算法：A-C算法和W-M算法的特点，对比了两者算法的性能差别，重点考虑了硬件方面的可实现性。然后融合了A-C算法的诸多改进算法中的两种，分别是基于位图压缩的改进算法和去掉failure函数的改进算法，进行了ASIC的设计。融合之后的算法不仅保持了原A-C算法在最差情形下也能保持高效的特点，还可以对存储模式特征的数据库进行了很大的压缩。在芯片的架构方面，考虑到硬件的可并行性，存储器资源的利用率以及芯片面积等诸多因素，我们在片内集成了9个扫描匹配引擎，来实现多线程并行扫描。另外配备3个高速缓存，并且合理安排了扫描引擎与高速缓存之间的比例。这样就可以在增加模式匹配并行进程数的同时，极大地减少了命令读取和数据存取的时间，以及各个扫描线程轮流访问高速缓存所需要的时间，使得该ASIC芯片的整体数据处理效率得到很大地提高，达到了在133Mhz的工作频率下，1Gbps的目标数据匹配流量。 收起