高效的模式匹配算法研究

对入侵检测中模式匹配的方法进行了研究,分析了当前常用的模式匹配方法的弱点与不足,提出了一种基于三叉树结构的自动机方法,较好的避免了传统树型结构中由于节点数目变化而导致的不便。此外,利用匹配失败的信息,实现了跳跃匹配,提高了模式匹配的速度。*     

基于TCAM的深部包检测技术研究与实现

深度包检测技术(DPI)已成为网络信息安全的研究重点。基于硬件实现模式匹配的DPI技术凭借其更强的处理能力受到广泛关注。本文提出一种基于TCAM模式匹配的方法实现DPI,规则表项按字节分别存储在TCAM(三态内容寻址存储器)中,输入字符按不同字节与TCAM中内容进行匹配,提高了DPI中模式匹配的处理速度。针对该技术功耗大的缺点,提出BF(Bloom Filter)和TCAM相结合的两级模式匹配技术,BF可将较少可疑包转发给TCAM处理模块,从而降低了系统功耗,大大提高了系统处理速度。     

基于云计算的深度包检测技术研究

针对云计算平台的分布式、虚拟化等特点,从深度包检测技术的算法原理和实现框架两方面入手,研究如何将深度包检测技术引入云计算平台,提出深度包检测系统在云计算环境中的系统框架;其根据云后台硬件资源的异构性来智能地协调配置,并协作均衡处理和防御重复攻击,提高了整体效率;实验结果表明云计算框架比传统框架的深度包检测系统有效性和在时间、空间上的性能优势。     

NAT／FW和深度包检测技术

深度包检测技术的应用日益深广，其对于宽带多媒体数据应用的支持作用也日益凸现。深度包检测和NAT／FW的结合是一个重要的发展趋势，本文将就这个问题展开讨论。深度包检测和IPTV的关系也非常密切，广泛开展IPTV业务，将离不开内容安全，而深度包检测可以成为保障内容安全的一个重要技术基础。文章还将讨论深度包检测的市场前景分析以及近期在国际标准活动中和深度包检测相关的一些动态。     

一种基于BM算法的改进模式匹配算法研究

基于模式匹配的检测方法是目前入侵检测系统的一种重要方法,因此作为模式匹配方法核心的字符串匹配算法直接影响入侵检测系统的性能和效率.在研究现有算法的基础上提出一种改进的模式匹配算法--New-Search算法.该算法以BM算法为基础,通过预处理阶段处理,首末字符部分定位的思想,增加字符跳转距离,比较稳定地减少匹配过程中字符比较的次数,提高了匹配的速度和效率.     

深度包检测中一种正则表达式匹配算法的改进

网络数据包内容检测技术已在网络安全、网络监视、HTTP负载均衡等方面得到广泛的应用,因此,对快速数据包内容的检测就变得异常重要。在数据包内容检测过程中,数据包的净载数据要通过一系列已经定义好的正则表达式模式进行数据匹配。在此,阐述目前数据包检测存在的问题,如传统数据包检测应用程序要求很大的内存空间去存储相应的正则表达式模式,提出一种大大降低对内存空间使用的改进算法。通过将该改进算法应用到以DFA为基础的包检测应用程序中,说明经过真实网络数据来检测算法的改进成果。结果表明了改进算法的有效性。     

基于Netfilter的深度包检测SIP防火墙的设计

针对传统包过滤防火墙不适用于SIP会话这一情况,采用深度包检测技术,设计了一个基于Netfilter的深度包检测SIP防火墙。此防火墙能够实施有状态的SIP感知,深度检查SIP消息,并且动态生成媒体流传输通道,达到SIP会话安全防护能力。     

深度包检测(DPI)技术浅谈及应用

DPI(深度包检测)是一种智能管道的感知技术,随着电信运营商提出"智能管道"的概念,DPI技术在电信网络中的应用越来越广泛。文章介绍了DPI的概念,系统架构有串接、并接和串并一体化方式,系统工作包括数据采集、数据分析、数据统计和控制,主要实现全业务分析与控制、用户行为分析、广告推送等功能,并提出了在电信运营商的应用场景。     

字符串模式匹配算法的研究及改进

串的模式匹配是一种重要的串运算。本文首先对朴素的模式匹配BF算法与KMP算法进行了分析,在此基础上寻求出一种简单实用、易于理解的字符串模式匹配改进算法。结果表明改进算法能减少模式匹配中字符的比较次数和尝试次数,提高模式匹配的效率。     

面向深度分组检测的高速数据分组解析结构

提出了一种面向深度分组检测的高速数据分组解析结构BiPPCS（bidirectional packet parsing architecture for content security）。结构采用内容萃取树描述协议的耦合关系从而提高了数据分组解析的灵活性;利用硬件双向并行流水线提升了数据分组解析的处理速率;通过使用节点映射算法来均衡各级流水线上的节点数目优化存储空间;分析和仿真显示BiPPCS在处理速率、空间利用率等方面能取得较好的均衡。     

高速低功耗深度报文检测方法

针对基于三态内容寻址存储器(TCAM,ternary content addressable memory)的深度报文检测(DPI,deep packet inspection)存在的高功耗问题,提出一种分级DPI方法BF-TCAM。第一级采用低功耗的并行布鲁姆过滤器(bloom fliter)排除无需检测的正常报文;第二级采用TCAM对真正需要检测的攻击报文和第一级的假阳性误判报文做进一步的检测。由于网络流量中大部分报文是正常报文,攻击报文在其中只占很少的部分,布鲁姆过滤器的假阴性(false negative)概率为0,可以保证不会产生漏检,假阳性概率很低,可以保证高速DPI检测的同时大大地降低功耗。     

A scalable architecture for reducing power consumption in pipelined deep packet inspection system

A scalable architecture for reducing power consumption in pipelined AC-DFA (Aho-Corasick deterministic finite automaton) tries for deep packet inspection (DPI) system is proposed. A new scheme for deciding the strides of the AC-DFA trie is devised where the stride of each pipeline is decided variably to reduce the power consumption. Scaling down the clock frequency of the rarely-used stages is applied to reduce wasted power consumption. As a result, a DPI system with the proposed schemes shows a reduction of up to 27% in power consumption, compared with the state-of-the-art DPI systems.     

一种答案匹配算法

对于给定两个串S1(标准答案)和S2(实际答案)，长分别m和n，给出了一个找出两串间最大匹配的算法。通过该算法，可以比较两个串S1和S2的相似程度，从而可以断定实际答案与标准答案的匹配程度，进而可以对试卷打分。     

基于文本片断的多模部分匹配算法

在进行基于针对该问题,首先提出了基于文本片断的部分匹配概念,然后设计并实现了一种基于文本片断的多模部分匹配算法.该算法能检测文本片断中的特征片断而无需进行重组.最后经过实验验证,相对于基于完整文本的多模匹配算法,在文本片断足够大的情况下,该算法漏报率为0,且误报率足够小.     

新颖的正则NFA引擎构造方法

提出了一种新颖的正则NFA引擎构造方法——PFA构造法。PFA构造法包括3个主要算法：预处理算法、解析树编码算法和基于编码树的NFA构造算法。采用PFA构造法能够构造出只含有一个开始状态和一个终止状态的规模更小的NFA,称其为NFAp。NFAp的规模与正则表达式组的长度线性相关,较Thompson自动机、后跟自动机、位置自动机以及部分派生自动机的规模都要小,是Thompson NFA的1/3,比已经接近最优的后跟自动机构造法所获得的NFA还要小。     

REFINE: The reconfigurable packet filtering on network processor

Network processors (NPs) are emerging as very promising platforms for developing reconfigurable and high‐performance network devices, due to their capability to combine the flexibility of general‐purpose processors with the high‐performance features of hardware‐based systems. They represent the most suitable solutions for implementing complex and dynamic tasks, such as packet classification and scheduling, which are key operations, for example, in DS networks. Programmability and reconfigurability allow NP‐based devices to be continuously adapted to the new network requirements, obtaining a high time in market. This paper illustrates the compound process that leads to the implementation of a reconfigurable multidimensional packet filtering on the Intel^® IXP2400 NP. The multidimensional multibit trie is chosen as the best algorithm to be implemented and it is modified to exploit the specific features of NP. The different tasks are mapped on the NP computational resources and an optimized implementation is performed, with subsequent experimental validation. Copyright © 2008 John Wiley & Sons, Ltd.