一种新型精确深度包检测引擎研究与设计

传统的深度包检测算法通常存在频率带宽瓶颈、不能精确匹配、不切实际的存储要求等其中之一或数个缺点.本文基于哈希与Bloom Filter提出一种新型精确匹配结构:Bloom Filter分类器,首先基于哈希对特征串分组,再用多组Bloom Filter对输入串分类,在每长度定位到唯一可能的匹配串并对比验证.对Snort、ClamAV集合进行了存储实验评估,以约1.22(字节/字符)的低存储代价实现对万条字符串集的精确匹配.该结构具有精确匹配、多字节匹配扩展简单、不存在带宽瓶颈等优点.     

一种用于深度包检测的正则表达式分组算法

当前深度包检测算法通常需要将正则表达式转换为NFA或者DFA．但是随着网络带宽的不断增加．NFA和DFA状态占用的存储空间越来越大,极大地考验着系统的存储能力。为了应对这个问题．提出一种基于正则表达式相性的分组算法来对表达式进行分组,实验证明该算法能减少NFA和DFA状态的数量,提高匹配的效率。     

一种深度包检测引擎的FPGA硬件实现

针对硬件防火墙的防护性能优势,提出一种基于FPGA实现的硬件防火墙,利用FPGA设计深度包检测引擎,实现基于应用层的内容防护。深度包检测引擎支持固定、浮动和统一资源定位符关键词匹配,可实现灵活的表项宽度变化和表项更新操作。实际测试表明,采用基于FPGA设计的深度包检测引擎,硬件防火墙的主要处理指标满足实用性要求。     

一种改进的自动机压缩算法在深度包检测中的应用

传统的基于自动机的深度包检测算法是把正则表达式转化成确定有限自动机,在转化过程中会导致自动机状态消耗巨大运算空间。针对这个缺点,本文提出了一种改进的、基于确定有限自动机的状态压缩算法。该算法在牺牲少量运算时间的情况下,能极大地减少算法所需的运算空间。最后,本文把此算法应用于深度包检测中,设计了对比实验,验证了该算法的有效性。     

一种面向深度包检测的DFA压缩算法

DFA (确定性有限自动机)对于实现深度包检测（deep packet inspection, DPI）技术具有重要作用。随着深度包检测规则的不断增多,DFA所需的存储空间急剧增大。为此,本文提出了一种基于字符替换的DFA压缩算法,利用状态转换表中每个状态通常只有少数几个不同跳转的特点,我们将状态转换表分解为剩余表和字符替换表,减少了存储空间。此外,通过使相似的状态可以共享相同的字符替换表以进一步压缩存储空间。最后,本文给出了复杂度为O(n2)的压缩算法,n为DFA的状态数。实验结果表明,该算法在L7-filter和Snort规则集上具有较稳定的压缩率,压缩率都在5%以下。     

一种面向边缘环境的多实例服务链在线部署算法

边缘设备的资源有限性促使部署边缘服务需要深入理解网络功能的资源消耗情况.通过无线路由器上容器化网络功能部署实验得出,除了处理业务流的计算开销外,网络功能实例间的通信也会消耗大量CPU资源.基于该发现,考虑在近距离和相对低负载的对等边缘设备上分布式地部署网络功能实例,在满足时延约束的条件下均衡流量,从而最小化边缘设备负载...     

工控协议深度包解析与检测技术研究

随着物联网的发展,工控安全已经成为企业国家都十分重视的安全问题,及时发现工控系统的安全漏洞、威胁攻击,可有效实现工控系统安全保护。工控协议解析与检测是实现工控安全的重要手段,可以通过流量分析与协议字段解析与检测,识别工控网络异常,及时对工控系统中的攻击进行预警。本综述分析了当前工控协议解析与检测的发展现状与存在问题,选择几种典型的工控协议解析方法,重点介绍方法的执行流程、优点与不足,最后,对工控协议解析与检测发展趋势进行总结。     

一种改进的XFA在深度包检测中的应用

提出了一种应用于深度包检测的改进XFA。该算法在XFA的分支迁移边上添加判断指令,消除XFA存在冗余迁移边的问题;采用并行检测机制,将匹配线程升级为两个并行的线程,预统计线程和状态机匹配线程,加快匹配速度。实验验证该算法有更快的运行速度和稳定性,适合多核计算环境。     

基于正则表达式的深度包检测算法

在深入分析了DFA状态数对算法性能影响的基础上,提出了一种新的基于正则表达式的深度包检测算法,该算法保证在任意有限的系统资源下算法的时间复杂度空间复杂度最小。在Linux下实现了该算法,并对基于L7-filter模式集合的网络数据包进行了大量检测实验。结果表明,与已有的正则表达式算法比较,该算法的时间复杂度和空降复杂度最小。     

部署虚拟化前需要思考的几个问题

服务器虚拟化最近已经成为人们关注的一个焦点。了解虚拟化的应用特点,以及认识部署虚拟化前应该考虑到的问题,可以避免用户因认识错误引起的盲目投资,时实施虚拟化技术具有十分重要的意义。     

隐私敏感的深包检测技术研究

传统深包检测技术需要检测网络包的完整有效载荷,从而给用户隐私安全带来隐患。隐私敏感的深包检测技术在实现较高协议识别率情况下能够有效保护用户隐私。对深包检测技术中涉及的用户隐私进行了研究,根据有效载荷深度对隐私级别进行了划分。设计了根据隐私级别对网络包有效载荷进行截断预处理的方法。针对12种常用协议,使用隐私敏感的深包检测技术进行协议识别,结果表明,隐私敏感的深包检测技术可以获得80%以上的准确率,并严格地限制了用户隐私的泄露。     

一种基于深度报文检测的FSM状态表压缩技术

针对深度报文检测中正则表达式模式匹配的状态表爆炸问题,提出并实现了一种集合交割的预编码方法(SI-precode),在正则表达式转换成DFA前对所有输入符号进行预编码,通过压缩输入,减少FSM中输入符号的种类,从而压缩状态转移表的空间.证明了预编码生成的状态机的正确性及其与原状态机的同态性.采用L7-filter模式进行实验表明SI-precode不仅提高了正则表达式的编译速度,针对单模式状态机,其状态转移表空间比不进行预编码压缩了87%～97%,50个模式的多模式状态机可压缩59%.预编码在软硬件结合体系结构下进行协议识别时不会对性能造成影响;对纯软件结构性能降低2%～4%.     

面向深度包检测的DFA细粒度并行匹配方法

确定性有限自动机(DFA)是实现正则表达式匹配的一种有效手段,但DFA的状态跳转是串行的,导致匹配速度慢、难以满足高速骨干网环境深度包检测(DPI)的性能需求.提出了一种称为LBDFA(Loopback DFA)的细粒度并行化状态跳转方法,通过将在Loopback状态上的连续跳转并行化,提高了匹配速度.此外,利用Bloom filter消除该并行跳转中的临时偏离现象,进一步提高了并行潜力.在L7-filter以及Snort规则集上的测试结果表明,LBDFA能够满足10 Gbps以上的正则表达式匹配需求.     

深度包检测中一种高效的正则表达式压缩算法

提出一种基于确定的有穷状态自动机(deterministic finite automaton,简称DFA)的正则表达式压缩算法.首先,定义了膨胀率DR(distending rate)来描述正则表达式的膨胀特性.然后基于DR提出一种分片的算法RECCADR (regular expressions cut and combine algorithm based on DR),有效地选择出导致DFA状态膨胀的片段并隔离,降低了单个正则表达式存储需求.同时,基于正则表达式的组合关系提出一种选择性分群算法REGADR(regular expressions group algorithm based on DR),在可以接受的存储需求总量下,通过选择性分群大幅度减少了状态机的个数,有效地降低了匹配算法的复杂性.     

Deep Packet Inspection: Shaping the Internet and the Implications on Privacy and Security

ABSTRACT

In recent debates on the issues of privacy and the Internet, Deep Packet Inspection (DPI) has been grossly oversimplified as a technology that is primarily harmful to consumers. Much of the commentary has been based on a poor understanding of what DPI is and how DPI works. All too often the debate over DPI is focused on unrelated issues such as free speech and censorship, which are largely political and not technological issues. DPI usage has been described as a violation of consumer privacy when the reality is far more complex and nuanced. What has been missing is a broader discussion on the full nature and application of DPI technology; DPI enables a wide range of applications, most of which are not only positive but also essential to the survival of the Internet. This paper will explain how DPI technology works and explore practical applications of its use. DPI will be an important tool to control economies of scale with the explosive growth of the Internet. While there will always be privacy concerns over the intrusive nature of DPI technology, this worry will be overshadowed by the security and control it allows.     

浅谈医院高稳定性虚拟化集群的部署

随着医院信息化的逐步深入,临床业务对信息系统的连续性、稳定性提出了更高的要求.结合医院虚拟化集群搭建和运维过程,探讨如何建设高可用性,低故障率的虚拟化集群,减少因为兼容性问题引起不可预知性系统故障,为构建稳定可靠的系统基础架构夯实基础探讨经验.     

一组提高存储效率的深度包检测算法

随着深度包检测规则数目的剧烈增长,为了适应网络处理的需求,必须对表示正则表达式的DFA(deterministic finite automata,确定的有限自动机)进行高效的存储.一方面,对DFA的状态点数目进行压缩,提出了一种复合的FSM(有限自动机)的构造方法,通过对正则表达转化成DFA的状态点数目复杂度的分析,将不同复杂度的正则表达式采用不同的方式构建DFA,使得所有平方级和指数级复杂度的状态点数目降低到了线性级.另一方面,对DFA的状态转移数目进行压缩,给出了一种高效的压缩算法,即WD2FA(weighted delayed input DFA,带权延迟DFA)算法,对于任意复杂度的正则表达式都可以将状态转移数目压缩为原来的5%左右,相对于D2FA(delayed input DFA,延迟的DFA)有更好的压缩能力,并且使得D2FA是WD2FA在权值为0情况下的特例.实验结果表明,有限自动机的状态点数目能够控制在线性级,并且在状态点压缩的基础上将状态转移数目压缩为原来的7%.     

部署服务器虚拟化的安全风险

虚拟化技术究竟是怎样一种技术?本文将探讨服务器虚拟化到底有哪些优势以及部署安全服务器虚拟化所存在的安全风险。