基于三态位分割的低功耗TCAM报文分类算法

针对传统基于TCAM的报文分类算法存在功耗较大的问题, 提出了一种基于三态位分割的低功耗TCAM报文分类算法——TSP-PR(tri-state-based partition for power reduction)。利用TCAM支持三态位的特点, 设计标志位选取函数动态选取标志位划分规则集, 报文查找时只选取与待匹配报文相关的子集参与比较, 减少了参与匹配的表项数目, 从而达到了降低功耗的目的。实验表明, 相对于传统基于TCAM的报文分类算法, TSP-PR算法在付出较小存储代价的情况下功耗减少了60%以上。     

用于控制器保护的防火墙规则的三叉树算法

为提高防火墙安全规则的查找速度,提出了一种面向IP地址集合处理的时间复杂度为O([log32N])的三叉树查找算法,N为安全规则数。用空间分析法解决规则冲突,并给出规则树的生成算法,该方法适用于控制应用的可靠性分析和安全完整性等级验证的要求。     

IPV6下的路由技术

IPV6报头的简化和地址空间的增大带给我们很多便利的同时也产生了一些亟待解决的问题,比如对IPv6的路由查找仍需解决最长前缀匹配问题,这给拥有128位地址的IPv6应用带来了很大的困难。文章主要讨论IPV6相对于IPV4下的路由协议和算法都有些什么样的改进,有哪些优势或不足的地方。     

IPV6下的路由技术

IPV6报头的简化和地址空间的增大带给我们很多便利的同时也产生了一些亟待解决的问题。比如对IPv6的路由查找仍需解决最长前缀匹配问题。这给拥有128位地址的IPv6应用带来了很大的困难。文章主要讨论IPV6相对于IPV4下的路由协议和算法都有些什么样的改进．有哪些优势或不足的地方。     

IPv6应用系统迁移方法研究

随着网络的不断发展,有限的IPV4协议地址越来越无法满足更多用户的需求。鉴于此,IPV6协议应运而生,而且其足量的地址能够满足所有的需求,其强大的功能可以进一步解决IPV4协议在网络中存在的问题和隐患,但是如何从IPV4向IPV6过渡和迁移是一个需要解决的问题,而且还要解决IPV4和IPV6两种协议共存的情况下的相关问题。本文给出了IPv6应用系统的迁移方法。     

基于规则集划分的多决策树报文分类算法

为克服决策树算法处理高速网络、大容量规则集下的报文分类问题时内存使用量大的弊端,提出一种基于规则集划分的多决策树报文分类算法。在保证规则子集数量可控的前提下,采用启发式算法将规则集划分为有限个规则子集,最大限度分离交叠规则;提出两级级联决策树结构,降低决策树深度以减少规则查找时间。理论分析表明,该算法空间复杂度较传统单决策树算法大幅降低。仿真结果表明,该算法的内存使用量比目前空间性能最好的EffiCuts算法减少了30%,且维度可扩展性更好。     

基于权重与匹配效率的防火墙规则集优化算法

研究并分析防火墙规则集的优化方法,给出规则与网络数据包的的匹配频率、匹配热度和规则权重的关系公式;设计并编写基于权重与基于匹配效率的规则集优化算法程序;最后通过对相应的实验数据的分析比较,得出两种算法均可较大幅度的降低防火墙规则集与网络数据包的匹配次数,从而优化防火墙性能的结论。     

面向IP地址集过滤的高效包分类技术

针对传统防火墙线性匹配算法匹配效率低、维护困难等问题,提出并实现了一种面向IP地址集过滤的高效、灵活的Netfilter扩展框架Salist。 Salist包含一个基于内核虚拟文件的表管理模块,一个可自动对IP地址集进行去重、归并和排序的表内规则管理模块,一个基于Bsearch算法的高效的包匹配模块。通过理论分析和实际测试证明, Salist使包匹配算法时间复杂度由传统线性匹配的O( n)降低为O( log n),规则合并减少了规则表占用的内核内存空间10%以上,按文件分离的规则管理机制简化了对规则集进行维护的难度。结果表明Salist使用在核心网络设备中可极大提高包转发速率,降低规则的内存占用和管理难度。     

一种交换式以太网拓扑结构的发现算法

首先介绍了目前局域网拓扑发现的主要方法及存在的问题,然后提出一个基于生成树协议 地址转发表的交换式以太网物理拓扑结构的自动发现算法.算法首先利用生成树协议建立起交换机之间的连接关系,在此基础上进一步利用地址转发表建立起交换机与主机的连接关系.该算法 1)能给发现被生成树协议阻塞的连接;2)通过处理连接冲突,能够准确无误的发现网络物理拓扑结构;3)算法开销小,时间复杂度低.文中算法已成功地应用于社区宽带综合业务网络管理系统(CBISNMS)中.     

IPV6安全机制分析

IPV6是新一代网络互联协议,它比IPV4能提供更多的地址空间,提供更安全的服务。本文简单介绍了IPV6的IP Sec安全协议,并分析了IPV6存在的安全问题。     

Ant Colony Optimization based approach for efficient packet filtering in firewall

A firewall is a security guard placed at the point of entry between a private network and the outside network. The function of a firewall is to accept or discard the incoming packets passing through it based on the rules in a ruleset. Approaches employing Neural networks for packet filtering in firewall and packet classification using 2D filters have been proposed in the literature. These approaches suffer from the drawbacks of acceptance of packets from the IP address or ports not specified in the firewall rule set and a restricted search in the face of multiple occurrences of the same IP address or ports respectively. In this paper we propose an Ant Colony Optimization (ACO) based approach for packet filtering in the firewall rule set. Termed Ant Colony Optimization Packet Filtering algorithm (ACO-PF), the scheme unlike its predecessors, considers all multiple occurrences of the same IP address or ports in the firewall rule set during its search process. The other parameters of the rule matching with the compared IP address or ports in the firewall ruleset are retrieved and the firewall decides whether the packet has to be accepted or rejected. Also this scheme has a search space lesser than that of binary search in a worst case scenario. It also strictly filters the packets according to the filter rules in the firewall rule set. It is shown that ACO-PF performs well when compared to other existing packet filtering methods. Experimental results comparing the performance of the ACO-PF scheme with the binary search scheme, sequential search scheme and neural network based approaches are presented.     

Application of evolutionary algorithm in performance optimization of embedded network firewall

With the development of the network, the problem of network security is becoming increasingly serious. The importance of a firewall as the "first portal" to network security is obvious. In order to cope with a complex network environment, the firewall must formulate a large number of targeted rules to help it implement network security policies. Based on the characteristics of the cloud environment, this paper makes in-depth research on network security protection technology, and studies the network firewall system. The system implements unified configuration of firewall policy rules on the cloud management end and delivers them to the physical server where the virtual machine is located. Aiming at the characteristics of virtual machines sharing network resources through kernel bridges, a network threat model for virtual machines in a cloud environment is proposed. Through analysis of network security threats, a packet filtering firewall scheme based on kernel bridges is determined. Various conflict relationships between rules are defined, and a conflict detection algorithm is designed. Based on this, a rule order adjustment algorithm that does not destroy the original semantics of the rule table is proposed. Starting from the matching probability of the rules, simple rules are separated from the default rules according to the firewall logs, the relationships between these rules and the original rules are analyzed, and the rules are merged into new rules to evaluate the impact of these rules on the performance of the firewall. New rules are added to the firewall rule base to achieve linear firewall optimization. It can be seen from the experimental results that the optimization strategy proposed in this paper can effectively reduce the average number of matching rules and improve the performance of the firewall.     

一种性能优化的防火墙规则匹配算法

设计了一种防火墙规则匹配算法,该算法基于分治思想将规则集按照协议类型分割为多个子集,并根据规则之间的关系,将各子集分为无序组和有序组,通过设计哈希函数和索引算法对两组规则进行分别匹配。分析表明,该算法的效率远优于同类算法,大大提高了防火墙的工作性能。     

数据包过滤规则的快速匹配算法和冲突检测

通过分析数据包过滤技术中的性能瓶颈,提出了过滤规则的快速匹配算法BSLT．该算法采用Trie数据结构存储规则表,并只在叶节点存储相应规则,节省了存储空间,其空间复杂度为O(NW),查找的时间复杂度为O(W);在匹配时采用二分法进行查找,提高了匹配速度,匹配的时间复杂度为O(N)．实验证明BSLT的吞吐率在100条规则内比顺序匹配算法提高了近20％,而且规则越多．BSLT的优势越明显．此外,分析了数据包过滤技术的另一个问题——规则冲突,给出了冲突的理论证明和查找算法．实验证明该算法能准确地检测出冲突规则．     

运用差分演化算法实现多维包匹配的研究

互联网的发展已经使网速的瓶颈由链路速度转移到核心网络设备的包处理速度上,而包处理的核心工作是包匹配。传统方法难以做到包匹配速度适应核心网络设备数据包线速转发。提出了一种新的包匹配算法,该算法对差分演化算法进行了改进,并结合了改进算法和传统的包匹配算法。在适应值处理上运用统计学方法,从而增加了分析问题的客观性。数值实验表明,新算法与传统算法相比,在速度、存储空间以及更新时间等性能上得到了有效改善,另外新算法的包匹配的时间性能与规则数目只有很弱的相关性,从而适合处理多维和大规模问题。新算法把演化算法运用于多域大规模规则库的网络数据包的转发,并且数据包还能做到线速转发。新算法具有普适性,适用于防火墙、差别服务路由器等网络设备。     

一种分布式防火墙规则冲突的检测算法

为解决分布式防火墙中因规则冲突而导致策略异常问题,提出了一种基于XML的DFW策略异常的发现算法;该算法在分布式防火墙系统中,对于处在不同防火墙策略中的每条规则,设计一棵单根结点的树来表示分布式防火墙策略,即策略树(Policy Tree),然后通过集合全部的策略树,完成防火墙之间策略异常的发现过程;通过对算法的模拟运行,发现该算法在速度性能和可伸缩性方面较其他算法有很大的改进。     

一种基于冲突检测的无关联规则集匹配算法

防火墙已经成为网络安全体系中一个关键的角色,对防火墙的管理越来越受到重视。本文针对在防火墙管理中容易出现的过滤规则冲突问题和规则匹配效率问题,提出了一种基于冲突检测的无关联规则集匹配算法。本文通过对规则进行分析,确定了规则库中的规则应该符合的五个关系;通过对冲突规则的分类,得到了按照各种冲突的特性进行冲突检测产生的状态图,有助于对防火墙的现有规则库进行重写优化。本文在分析传统的线性顺序规则匹配算法和树形规则匹配算法的基础上,提出一种基于冲突检测的无关联规则集匹配算法,其平均比较次数为O(lg(n)),性能上大大优于现有的算法。     

一种基于自适应缓存机制的报文分类算法

提出了一种高效、适用性好、易于实现的报文分类算法CSAC（classification on self-adaptive cache）．该算法通过缓存属性子空间内报文集合的分类查询路径,将查询结果复用于同一子空间后续报文的分类．而缓存命中失效时也不必从头开始查询,减少了失效的时间开销．根据通信流量上下文变化对缓存运行状态造成的影响,算法采用自适应缓存机制,通过动态调整缓存的粒度、结构和缓存项在散列桶中的位置,有效地保证了缓存命中率．此外,算法不需要预处理过程,支持多维复杂规则（如4～7层属性、逻辑匹配操作等）和规则增量更新,比较适合于网络边界安全、用户流量审计和负载均衡等报文分类比较复杂的应用．采用CSAC算法开发的高端防火墙和入侵检测设备在实际网络环境中的性能良好．     

基于防火墙规则匹配优化算法的研究

随着网络功能和应用程序的增加,过滤规则集日益庞大,这严重影响了网络的性能。该文提出了一种基于规则匹配的防火墙优化方法。该方法对通过防火墙匹配的数据包进行权重计算相关规则排序,从而减少规则匹配时间。仿真结果显示,该方法有效地改善了防火墙的性能。