高速网络流过滤关键技术研究与应用

摘要

随着网络的发展，网络上的非法信息严重威胁了网络的安全，因此，需要对有害的或不符合安全策略的信息进行过滤。传统的过滤技术基于数据包头部进行过滤，但越来越多的有害信息隐藏于数据包内容中，仅仅依靠传统的过滤技术无法有效的解决此问题。由于正则表达式描述能力强大、灵活、丰富，因此利用正则表达式匹配技术作为过滤关键技术来实现对网络数据流的过滤。
　　正则表达式规则转换成确定型有穷自动机(Deterministic Finite Automaton, DFA)时存在“空间爆炸”问题，会消耗大量的内存空间，导致无法有效地直接将DFA状态表存储于内存里，因此，需要对DFA状态表进行压缩以减少占用的内存空间。在高速网络流环境下，过滤数据需要消耗大量的计算能力，而现场可编程门阵列(Field—Programmable Gate Array, FPGA)具有硬件并行性的特点，很适合用来处理大量的网络流。针对上述问题，结合FPGA并行加速的特点，本文研究基于正则表达式匹配的高速网络流过滤技术，并在NetFPGA-10G平台上设计与实现高速网络流过滤系统。主要包括以下几点:
　　(1)提出一种改善ClusterFA压缩率的算法，称之为En_ClusterFA算法。为了解决正则表达式匹配中的“空间爆炸”问题，前人提出了基于簇聚类的DFA压缩算法，即ClusterFA算法，但该算法的分组个数取理想值较为困难，且其类中心向量表中每一行连续重复的转移状态出现频率较高。针对此问题，提出一种改善ClusterFA压缩率的算法，即En_ClusterFA算法:提取类中心向量表行与行之间相同的首尾部分，并对其进行游程编码以建立索引表，然后对类中心向量表余下部分的转移状态进行游程编码。实验结果表明，与ClusterFA算法中DFA状态表的压缩率相比，En_ClusterFA算法平均提高了4％。
　　(2)利用En_ClusterFA算法的优点和FPGA的并行加速特点，在NetFPGA-10G平台上设计与实现高速网络流过滤系统:在硬件上通过精确串匹配和DFA匹配，识别和过滤得到相应的网络流后将其传至内核驱动层对应的数据缓冲区，然后绕过协议栈，直接拷贝至用户空间。为了验证精确串匹配和DFA匹配功能的正确性，在硬件里对过滤得到的数据包个数分类进行统计，然后在用户界面上显示出来。实验结果验证了En_ClusterFA算法在FPGA上实现的正确性。

目录

声明

摘要

第一章 绪论

1．1 选题背景及意义

1．2 国内外研究现状

1．3 研究内容

1．4 论文结构

第二章 基础知识

2．2 正则表达式

2．3 NetFPGA-10G原理

2．3．1 NetFPGA

2．3．2 SOC片上系统

2．3．3 AXI4协议

2．3．4 流水线架构

2．4 本章小结

第三章 基于簇聚类与游程编码的正则表达式压缩算法

3．1 簇聚类与游程编码

3．1．1 簇聚类

3．1．2 游程编码

3．2 ClusterFA算法简介

3．3 基于ClusterFA的改进

3．3．1 ClusterFA算法分析

3．3．2 ClusterFA算法的改进方法

3．4 算法性能分析

3．4．1 规则集分析

3．4．2 压缩率

3．4．3 吞吐率

3．5 本章小结

第四章 基于NetFPGA-10G高速网络流过滤系统的设计与实现

4．1 过滤系统整体设计

4．2 DFA匹配引擎与精确串匹配引擎的设计

4．2．1 精确串匹配引擎

4．2．2 DFA匹配引擎

4．3 硬件功能模块的设计

4．3．1 输入判定IP核

4．3．2 数据包过滤IP核

4．3．3 输出队列IP核

4．4 过滤系统的实现

4．5 过滤系统的性能评测

4．5．1 测试环境

4．5．2 功能验证

4．5．3 性能测试

4．6 本章小结

第五章 结束语

5．1 本文工作总结

5．2 下一步研究工作

参考文献

致谢

附录A (攻读硕士学位期间发表论文目录)