一种面向连接的快速多维包分类算法

为进一步提高聚合位向量(ABV)算法分类数据包的速度,该文提出一种面向连接的改进ABV(IABV)算法。该算法利用同一连接包分类查找规则相对一致的特点,建立哈希表-规则库两级优化查找结构,首先通过哈希表查找包分类规则,若未命中继续从规则库中查找。利用连接时效性特点设计哈希表冲突处理机制,根据表项最近命中时间判断是否进行覆写更新,避免规则累积导致查找时间增加;其次对ABV算法各维度进行等分处理,为各等分区间建立数组索引,从而快速缩小向量查找范围,加快查找规则库速度;最后,将规则中前缀转化为范围降低辅助查找结构复杂度,以减少内存空间占用量并加快规则查找速度。实验结果表明,将规则中前缀转化为范围后能够有效提升算法性能,相同条件下IABV算法相比ABV算法时间性能有显著提高。

     

区域分割包分类算法的优化实现

包分类就是根据到达数据包的包头信息将包按一定规则进行分类的过程，包分类技术是下一代路由器、防火墙、QoS保证机制实现、网络信息检测等设备的关键技术。区域分割包分类算法是目前多种分类算法中较为有效的算法之一。根据给定分类规则集的特点对算法进行优化实现是区域分割包分类算法的核心研究内容，它包括高效率的区域优化分割准则和在分割后小区域内的单域化线性查找两部分。优化实现不仅保证算法具有良好的时间和空间性能，而且极大地降低了规则数增加对算法性能的影响。仿真实验结果表明区域分割包分类算法在一定规则数范围内每秒能处理3-6M个IP包头，具有O(d）的时间复杂度(d为域的个数)和O(dN)的空间复杂度(N为规则数)。区域分割包分类算法支持规则集的实时更新。     

基于计数布鲁姆过滤器的快速多维包分类算法

本文从数据包匹配规则的聚集特性出发,将计数布鲁姆过滤器和哈希表相结合,设计并实现了一种高效的多维包分类算法CBHT(Counting Bloom filter and Hash Table).基于包匹配规则的聚集特性,对于五维包分类问题,CBHT算法首先利用计数布鲁姆过滤器的过滤功能结合单域匹配获得与前两维匹配的小规模规则集,而后在此有限规则集中对后三维进行匹配.利用计数布鲁姆过滤器提高了包匹配速度并有效支持规则库的动态更新.实验结果表明CBHT算法比现有的B2PC算法节省60%的硬件资源,包匹配访问内存次数平均低于B2PC算法22.8%.     

一种基于CAM的数据包分类引擎的设计

随着网络速度的提升,对数据包进行线速分类变得越来越具有挑战性.本文提出了一种基于CAM的数据包分类引擎的ASIC实现方案,达到了双路OC-48流量的线速查找性能.另外该方案使用规则表来控制用于查找的关键字的生成,使分类引擎具有较强的灵活性和可扩展性.     

IPV6环境下的高维大规模包匹配算法

传统的包匹配算法不是无法运用于IPV6环境,就是性能太差.本文把基于实数编码的差分演化算法与传统的包匹配算法相融合.在适应值设计上引入变异系数的思想,从而使问题的处理更具有客观性.通过引入分布性特征,自适应调整变异的剧烈程度,从而动态权衡种群的多样性和收敛性之间的矛盾.数值实验表明此算法与传统算法相比,在速度、存储空间等综合性能上得到有效改善,另外本文提出的算法还有一个显著特点：包匹配的时间性能与规则数目之间具有很弱的相关性,从而本算法适合处理高维和大规模包匹配问题.本算法运用到IPV6网络,使数据包能快速转发.而且本文提出的方法具有普适性,适用于防火墙、路由器等网络设备.     

千兆网络数据包分析过滤采集系统设计

介绍了基于高性能FPGA的千兆网络数据分析过滤采集系统设计.该系统能够对千兆主干网的网络数据进行分析,过滤和采集.该系统提供良好的配置接口,并将所关心的数据转发,百分比采样或是抛弃.而且能够对报文进行统计,并按照协议类型,源地址,目的地址等规则将数据包分类存储起来.本系统采用硬件查找方式进行数据包的分类极大地加速了数据包分类的速度.     

基于统计的高效决策树分组分类算法

基于决策树的分组分类算法因易于实现和高效性,在快速分组分类中广泛使用。决策树算法的基本目标是构造一棵存储高效且查找时间复杂度低的决策树。设计了一种基于规则集统计特性和评价指标的决策树算法——HyperEC 算法。HyperEC算法避免了在构建决策树过程中决策树高度过高和存储空间膨胀的问题。HyperEC算法对IP地址长度不敏感,同样适用于IPv6的多维分组分类。实验证明,HyperEC算法当规则数量较少时,与HyperCuts基本相同,但随着规则数量的增加,该算法在决策树高度、存储空间占用和查找性能方面都明显优于经典的决策树算法。     

一种采用启发式分割点计算的包分类算法

针对区域分割包分类算法存在的规则分布差异较大的缺陷,该文提出一种基于启发式分割点计算的区域分割包分类算法。首先依据规则集的分布规律进行分割点计算,然后再进行结构化建树。规则检索时间主要包括分割点匹配时间和分割点内规则的线性查找时间。该算法能够尽量将规则平分到各分割点,减少了规则分布的差异。仿真实验结果表明该算法降低了规则数增加对算法性能的影响,支持规则集的实时更新。     

基于多域并行编码的高速IPv6流分类

IPv6的多域流分类是高速路由器设计中的一个难点.本文提出了一种使用TCAM的高速IPv6流分类方案,其核心思想是:(1)区分IPv6包头5个域字段的不同特征,根据IPv6地址的特征及其分配信息对其进行压缩,对TCP端口域实施扩展的层次编码,根据统计数据对协议域进行压缩,最终结果是把原始域的296比特转换成280比特的查找关键字,与TCAM的表项宽度相匹配;(2)使用嵌入SSRAM表查找技术,对5个域并行进行独立编码,消除瓶颈编码环节,达到线速处理要求;(3)分类规则数据库按照本文预设计的编码方式存储在TCAM中,使用流水线技术让域的编码操作和查找操作并行执行,每个TCAM访存周期完成一次查找操作.同时,为解决范围匹配问题,本文设计了一种预定义位宽的动态范围编码算法,既节省了TCAM的存储空间,又提高了硬件规则库的更新速度.分析和仿真表明,当路由查找和流分类共用一个TCAM时,使用较低的工作频率(66MHz),流分类和路由查找速度均可达到22Mpps,满足高速OC-192接口的线速查找与流分类要求.     

基于近邻传播聚类与核匹配追踪的遥感图像目标识别方法

核匹配追踪算法在生成函数字典的过程中常采用贪婪算法进行全局最优搜索,导致算法学习时间过长。该文针对这一缺陷,提出一种基于近邻传播(Affinity Propagation, AP)聚类与核匹配追踪相结合的分类方法(AP-Kernel Matching Pursuit, AP-KMP),该方法利用聚类算法来优化核匹配追踪算法中的字典划分过程,使用近邻传播聚类将目标数据集划分为若干小型字典空间,随后KMP算法在小型字典空间进行局部搜索,从而缩短学习时间。针对部分UCI数据集和遥感图像数据集,分别采用AP-KMP算法与另4种经典算法进行分类比较实验,结果表明该文算法在时间开销和分类性能上均有一定的优越性。     

一种防御SYN Flood的自适应阈值状态模型

SYN Flood攻击可在短时间内发送大量的SYN数据包给防火墙,造成状态检测防火墙的状态表溢出,使其无法响应合法请求,从而导致整个网络的系统性能下降。在防御SYN Flood攻击的状态检测模型的基础上,提出一种自适应阈值状态检测模型。它利用自适应阈值算法对流量进行预处理,保障防火墙在高强度攻击下的自身安全。实验表明,该模型能有效抵御SYN Flood对内网主机的攻击,同时在一定程度上提高了状态检测防火墙自身防御的能力。     

一种基于切割映射的规则冲突消除算法

防火墙规则冲突不仅使规则集变得难于管理,而且会影响报文分类的效率.现有的规则冲突消除算法不能完全消除冲突.针对这一情况,从计算几何角度对规则冲突进行了分析,提出了一种基于切割映射的冲突消除算法.该算法对规则冲突进行了详细的分类,并根据不同的类型消除冲突.算法以两条冲突规则为基本处理对象,在其冲突消除过程中,顺序切割优先级较低的规则的每一维分量.理论分析和测试表明,算法达到了只需增加少量规则即能彻底消除冲突的目的.     

浅析网络安全技术

,文中论述了防火墙部署原则,并从防火墙部署的位置详细阐述了防火墙的选择标准.并就信息交换加密技术的分类及RSA算法作以分析,针对PKI技术这一信息安全核心技术,论述了其安全体系的构成.     

基于雷达海杂波的大气折射率剖面估计技术

基于雷达海杂波的海洋大气折射率剖面估计简称为RFC,RFC技术能实时地将雷达海杂波中携带的大气折射率空间分布信息提取出来,为舰载雷达和通信系统提供环境评估信息.从Bayes参数统计估计和多参数最优理论的角度简要介绍了RFC的基本原理,其次对其研究历史和研究现状作了介绍,对其有待解决的四个关键问题:传播模型、环境模型、海杂波模型及反演算法作了重点探讨,对其下一步的研究方向作了展望.     

Scalable packet classification

Packet classification is important for applications such as firewalls, intrusion detection, and differentiated services. Existing algorithms for packet classification reported in the literature scale poorly in either time or space as filter databases grow in size. Hardware solutions such as TCAMs do not scale to large classifiers. However, even for large classifiers (say, 100 000 rules), any packet is likely to match a few (say, 10) rules. This paper seeks to exploit this observation to produce a scalable packet classification scheme called Aggregated Bit Vector (ABV). It takes the bit vector search algorithm (BV) described in Lakshman and Stidialis, 1998 (which takes linear time) and adds two new ideas, recursive aggregation of bit maps and filter rearrangement, to create ABV (which can take logarithmic time for many databases). We show that ABV outperforms BV by an order of magnitude using simulations on both industrial firewall databases and synthetically generated databases.     

H‐LCFST: a hash lowest cost first search tree for flexible packet classification

Packet classification (PC) categorizes incoming packets into multiple forwarding classes in a router based on predefined filters. It is one of the most important enabling technologies for next generation network services, for example, firewall, quality of service routing, load balancing, and virtual private network. IPv6 technology has posed a great challenge on the wire‐speed router for the PC because of its longer IP addresses. In this paper, we propose a new algorithm to support both IPv4 and IPv6, called hash lowest cost first search tree (H‐LCFST) for the PC. The H‐LCFST combines the advantages of the hash tree and a novel LCFST to achieve a better lookup performance. More important, the H‐LCFST algorithm is able to utilize the features of distinct IPv4 and IPv6 classifiers and design corresponding data structure for different characteristics of the classifiers, with which it is able to avoid the performance degrade because of the longer address of the IPv6. The experiment results show that our proposed algorithm has only approximately seven times of memory accesses for the IPv4/IPv6 PC, which make it to be the fastest PC solutions so far. Moreover, it occupies extremely small memory and supports incremental update at the same time. Copyright © 2016 John Wiley & Sons, Ltd.     

An MTIDD Based Firewall

This paper explores the use of Multi-Terminal Interval Decision Diagrams (MTIDDs) as the central structure of a firewall packet filtering mechanism. This is done by first relating the packet filtering problem to predicate logic, then implementing a prototype which is used in an empirical evaluation. The main benefits of the MTIDD structure are that it provides access to Boolean algebra over filters, efficient classification time, and a compact representation. Results from the empirical evaluation shows that MTIDDs are scalable in terms of memory usage: a 50,000 rule filter requires only 3MB of memory, and efficient for packet classification: it is able to handle more rules than the schemes it was compared to without causing a degradation in performance.     

一种个人入侵防御系统方案研究

入侵防御系统是网络安全领域为弥补防火墙及入侵检测系统的不足而新发展起来的一种信息安全技术。系统采用NDIS Hooking技术捕获本机进出的网络数据流，通过模式匹配算法可以一次在数据包的负载中查找多个入侵模式。该系统不仅能够实现入侵检测的功能，而且可以在入侵检测的基础上提供有效的阻断。     

防火墙策略建模与其全局冲突分析(英文)

The global view of firewall policy conflict is important for administrators to optimize the policy.It has been lack of appropriate firewall policy global conflict analysis,existing methods focus on local conflict detection.We research the global conflict detection algorithm in this paper.We presented a semantic model that captures more complete classifications of the policy using knowledge concept in rough set.Based on this model,we presented the global conflict formal model,and represent it with OBDD(Ordered Binary Decision Diagram).Then we developed GFPCDA(Global Firewall Policy Conflict Detection Algorithm) algorithm to detect global conflict.In experiment,we evaluated the usability of our semantic model by eliminating the false positives and false negatives caused by incomplete policy semantic model,of a classical algorithm.We compared this algorithm with GFPCDA algorithm.The results show that GFPCDA detects conflicts more precisely and independently,and has better performance.