一种深度包检测引擎的FPGA硬件实现

针对硬件防火墙的防护性能优势,提出一种基于FPGA实现的硬件防火墙,利用FPGA设计深度包检测引擎,实现基于应用层的内容防护。深度包检测引擎支持固定、浮动和统一资源定位符关键词匹配,可实现灵活的表项宽度变化和表项更新操作。实际测试表明,采用基于FPGA设计的深度包检测引擎,硬件防火墙的主要处理指标满足实用性要求。     

一种虚拟化深度包检测部署机制

网络功能虚拟化转变了网络架构和网络业务的部署。在网络功能虚拟化架构中,实现虚拟化深度包检测只需在传输路径上进行一次扫描,但高效部署深度包检测功能引擎成为难题。将深度包检测功能部署问题形式化为线性规划问题以满足约束条件,并提出一种基于代价最小的贪婪算法和优化的贪婪算法来解决深度包检测功能部署问题。该算法对部署代价和网络资源代价进行折衷,实现了最小化的部署代价。实验结果表明,所提算法能够实现深度包检测功能部署并取得近似最优解。     

深度包检测中一种高效的正则表达式压缩算法

提出一种基于确定的有穷状态自动机(deterministic finite automaton,简称DFA)的正则表达式压缩算法.首先,定义了膨胀率DR(distending rate)来描述正则表达式的膨胀特性.然后基于DR提出一种分片的算法RECCADR (regular expressions cut and combine algorithm based on DR),有效地选择出导致DFA状态膨胀的片段并隔离,降低了单个正则表达式存储需求.同时,基于正则表达式的组合关系提出一种选择性分群算法REGADR(regular expressions group algorithm based on DR),在可以接受的存储需求总量下,通过选择性分群大幅度减少了状态机的个数,有效地降低了匹配算法的复杂性.     

基于正则表达式的深度包检测算法

在深入分析了DFA状态数对算法性能影响的基础上,提出了一种新的基于正则表达式的深度包检测算法,该算法保证在任意有限的系统资源下算法的时间复杂度空间复杂度最小。在Linux下实现了该算法,并对基于L7-filter模式集合的网络数据包进行了大量检测实验。结果表明,与已有的正则表达式算法比较,该算法的时间复杂度和空降复杂度最小。     

一种高效的逻辑复用深度包过滤技术

为提高检测系统的准确性,系统在数据流过滤过程中除了检查包头,还要针对载荷内容进行匹配检测,但运算量非常大,因此匹配模块的运行速度决定了入侵检测系统的性能.为此,提出了一种基于FPGA深度包过滤技术的入侵检测模型,以及一项既能减小系统规模,又能提高过滤速率的逻辑复用优化技术.     

特征匹配引擎设计与实现

网络入侵防御系统是维护网络安全的重要工具之一。特征匹配引擎是网络入侵防御系统的计算核心,用于从网络包中搜索出已知网络攻击的特征数据。对于现有的网络入侵防御系统,特征匹配引擎在整个系统中占据很大比例的计算时间。特征匹配属于计算密集型应用,对于底层的计算能力具有很高的要求。提出了一种并行特征匹配算法,并充分利用底层硬件特征,将提出的算法映射到现有的多核处理器上。在IBMSystemx3455上实现的系统具有高达17.2Gbps的处理速度和5万字条的特征字典容量,其处理速度和特征字典容量超过现有文献中的结果,包括FPGA、ASIC、网络处理器以及GPU上的实现。     

协议分析与深度包检测相结合的入侵防御系统

网络入侵防御系统是一种新型的网络安全防护系统,不仅要求具备防御网络入侵的能力,还要能够阻止隐藏在合法的数据包中的恶意程序进入网络.本文提出以深度包检测为主,结合协议分析的网络入侵防御系统结构,以完善系统对入侵行为与病毒的防御能力.     

工控协议深度包解析与检测技术研究

随着物联网的发展,工控安全已经成为企业国家都十分重视的安全问题,及时发现工控系统的安全漏洞、威胁攻击,可有效实现工控系统安全保护。工控协议解析与检测是实现工控安全的重要手段,可以通过流量分析与协议字段解析与检测,识别工控网络异常,及时对工控系统中的攻击进行预警。本综述分析了当前工控协议解析与检测的发展现状与存在问题,选择几种典型的工控协议解析方法,重点介绍方法的执行流程、优点与不足,最后,对工控协议解析与检测发展趋势进行总结。     

一种新的快速多模式匹配算法

在实际网络中,入侵数据包只占网络总流量的极少一部分.系统资源的消耗主要不是在对入侵包的检测,而是在对正常数据包的穷举匹配.针对这一实际情况,提出并实现了一种新的匹配算法.该算法采用两次匹配的思想,大幅度地提高了系统的检测速率.     

一种用于深度包检测的正则表达式分组算法

当前深度包检测算法通常需要将正则表达式转换为NFA或者DFA．但是随着网络带宽的不断增加．NFA和DFA状态占用的存储空间越来越大,极大地考验着系统的存储能力。为了应对这个问题．提出一种基于正则表达式相性的分组算法来对表达式进行分组,实验证明该算法能减少NFA和DFA状态的数量,提高匹配的效率。     

隐私敏感的深包检测技术研究

传统深包检测技术需要检测网络包的完整有效载荷,从而给用户隐私安全带来隐患。隐私敏感的深包检测技术在实现较高协议识别率情况下能够有效保护用户隐私。对深包检测技术中涉及的用户隐私进行了研究,根据有效载荷深度对隐私级别进行了划分。设计了根据隐私级别对网络包有效载荷进行截断预处理的方法。针对12种常用协议,使用隐私敏感的深包检测技术进行协议识别,结果表明,隐私敏感的深包检测技术可以获得80%以上的准确率,并严格地限制了用户隐私的泄露。     

一种基于深度报文检测的FSM状态表压缩技术

针对深度报文检测中正则表达式模式匹配的状态表爆炸问题,提出并实现了一种集合交割的预编码方法(SI-precode),在正则表达式转换成DFA前对所有输入符号进行预编码,通过压缩输入,减少FSM中输入符号的种类,从而压缩状态转移表的空间.证明了预编码生成的状态机的正确性及其与原状态机的同态性.采用L7-filter模式进行实验表明SI-precode不仅提高了正则表达式的编译速度,针对单模式状态机,其状态转移表空间比不进行预编码压缩了87%～97%,50个模式的多模式状态机可压缩59%.预编码在软硬件结合体系结构下进行协议识别时不会对性能造成影响;对纯软件结构性能降低2%～4%.     

Deep Packet Inspection: Shaping the Internet and the Implications on Privacy and Security

ABSTRACT

In recent debates on the issues of privacy and the Internet, Deep Packet Inspection (DPI) has been grossly oversimplified as a technology that is primarily harmful to consumers. Much of the commentary has been based on a poor understanding of what DPI is and how DPI works. All too often the debate over DPI is focused on unrelated issues such as free speech and censorship, which are largely political and not technological issues. DPI usage has been described as a violation of consumer privacy when the reality is far more complex and nuanced. What has been missing is a broader discussion on the full nature and application of DPI technology; DPI enables a wide range of applications, most of which are not only positive but also essential to the survival of the Internet. This paper will explain how DPI technology works and explore practical applications of its use. DPI will be an important tool to control economies of scale with the explosive growth of the Internet. While there will always be privacy concerns over the intrusive nature of DPI technology, this worry will be overshadowed by the security and control it allows.     

分布式入侵检测系统中自保护代理的系统设计

采用分布式结构的基于网络的入侵检测系统(NIDS)自身的安全性已经成为一个重要问题。在分析了已有NIDS的技术特点的基础上,根据其特性引入了报文过滤、进程控制、报文确认和安全通信的思想,提出了面向NIDS的向保护代理(Sclf-protcction Agent)的模型,并给出了SPA的体系结构与详细设计。在与已有的基于代理的入侵检测系统结合后,SPA可以提高NIDS的安全性。     

深度报文检测中基于GPU的正则表达式匹配引擎*

提出了一种基于GPU的正则表达式匹配引擎来加速深度报文检测中的模式匹配过程。该引擎基于DFA模型,在匹配时每一个GPU线程处理一个报文,通过大量的并行线程来提高引擎的吞吐量。基于NVIDIA GeForce 9800GT GPU的实验表明,该引擎处理实际网络报文时的吞吐量达到了7.91 Gbps。     

IDS检测引擎中模式匹配算法的加速研究

高速和准确是入侵检测系统(IDS)的主要指标,入侵检测引擎是基于特征的IDS的重要功能组件,加快入侵检测引擎的检测速度对提高IDS的整体性能至关重要.本文提出了一种有效分割目标文本,且能在并行体系结构下实现的模式匹配的方法.分析表明,新的处理方法能有效提高入侵检测引擎的检测速度.     

利用NIDS与防火墙的功能结合构建安全网络模型

通过剖析防火墙以及网络入侵检测系统的特点，提出了实现网络入侵检测系统与防火墙功能结合的观点，并就利用这种功能结合在构建安全网络的应用问题上进行了阐述。     

网络入侵检测系统的分析与设计

随着网络的高速发展,网络信息安全问题不断暴露出来。介绍了入侵检测系统中的网络入侵检测系统(NIDS)的基本概念和分析设计原理。系统采用了模块化设计,对各模块都进行了分析设计介绍。