高效深度报文检测的研究与实现

论文摘要

随着目前Internet的广泛应用,网络安全形势日益严峻,而深度报文检测（deep packet inspection,DPI）是实现内容安全的重要方法,同时它还可以更好的审计分析用户的行为,如应用层协议识别。由于正则表达式的灵活性与强大功能,在深度报文检测中,正则表达式模式匹配日益得到广泛的应用。目前的大部分研究和实现都是基于软件方法的,如Snort和L7-Filter,然而由于软件系统基于通用的体系结构,在流水、并行化处理等方面的性能较低,不能满足骨干链路报文处理的要求。本文通过硬件实现的并行结构加速了正则表达式的匹配,并通过与流管理的结合实现了基于流状态的高效协议识别。论文的主要工作和贡献包括:⑴本文设计软硬件协同的正则表达式匹配模型,其中软件将正则表达式编译为MPDFA并通过软硬件接口配置到状态转移表,具有较大的灵活性,无回溯线性匹配算法简单高效,易于硬件实现。本文设计多引擎并行正则表达式匹配的结构,该加速方法达到了IP报文的线速处理的能力。本文深入研究了多引擎结构中报文输入输出队列的调度,通过理论分析确定了在报文不丢失情况下每个匹配引擎的输入输出最小缓冲区大小和报文调度延时的上限。⑵本文提出了一种基于流状态的协议识别模型,硬件实现的PI控制模块和PI引擎模块的协同工作使得系统能够在流的正则表达式匹配状态基础上执行高效的协议识别。为了支持基于流的有状态处理,本文设计了一种基于硬件的高效流生存周期管理方法,通过分析计算证明本方法可在10Gbps网络接口上实现线速的流生存周期管理。⑶在CIA内容检查网卡上实现了基于流状态的高效协议识别方法,并通过协议正则表达式集对其进行了测试。测试结果表明4个PIME的并行处理可实现千兆以太网接口报文的线速正则表达式匹配。ModelSim下的模拟证明本文设计的基于流状态的高效协议识别方法的执行是正确的。本文研究了报文正则表达式匹配和基于流的协议识别,并在实际的硬件系统中加以实现,在高速网络环境中具有较大的应用价值。

论文目录

摘要

ABSTRACT

第一章绪论

1.1 课题背景

1.2 正则表达式匹配

1.3 课题研究内容和主要成果

1.4 论文组织

第二章深度报文检测相关研究

2.1 基本的多模式匹配算法

2.1.1 Aho-Corasick 算法

2.1.2 Wu-Manber 算法

2.2 基于硬件的多模式匹配算法

2.2.1 基于比较器的模式匹配

2.2.2 基于有限自动机的模式匹配算法

2.2.3 基于TCAM 的匹配方法

2.2.4 基于Bloom Filter 的模式匹配算法

2.3 正则表达式匹配算法

2.3.1 NFA 和DFA 的构造算法

2.3.2 正则表达式匹配的相关研究

2.4 深度报文检测系统-SNORT

2.5 小结

第三章正则表达式匹配的硬件加速

3.1 软硬件协同的正则表达式匹配

3.1.1 系统模型

3.1.2 通过MPDFA 构造状态转移表

3.1.3 无回溯线性匹配算法

3.2 多引擎正则表达式匹配

3.2.1 单引擎正则表达式匹配的性能分析

3.2.2 多引擎正则表达式匹配加速

3.3 多引擎的报文调度策略及性能分析

3.3.1 最短队列输入调度

3.3.2 连续输出调度

3.4 小结

第四章应用层协议识别技术

4.1 应用层协议识别方法

4.1.1 基于内容检测的协议识别

4.1.2 报文匹配方式研究

4.2 一种基于流状态的协议识别方法

4.2.1 系统模型

4.2.2 关键数据结构

4.2.3 实现结构

4.3 高效流生存周期管理

4.3.1 流生存周期管理模型

4.3.2 关键数据结构

4.3.3 处理流程

4.3.4 性能分析

4.4 小结

第五章内容检查网卡的设计实现

5.1 网卡总体硬件模块设计与实现

5.2 基于流状态协议识别的实现

5.2.1 流生存周期管理的设计实现

5.2.2 四引擎并行协议识别的实现

5.3 网卡软件模块的设计与实现

5.4 性能测试及评估

5.5 小结

第六章结束语

致谢

参考文献

作者在学期间取得的学术成果

高效深度报文检测的研究与实现

论文摘要

论文目录

相关论文文献

猜你喜欢