一种面向100Gbps网络的芯片级L7-filter加速方法
互联网安全环境日趋复杂,针对网络应用漏洞而产生的木马、蠕虫攻击等恶意行为逐渐增多现有网络安全系统巫待加强针对网络应用的检测能力,应用层协议识别成为网络安全、管理系统的核心功能之一.L7-filter是当前广泛应用的流量识别系统,其采用基于正则表达式的深包检测方法,通过检测数据包有效载荷中存在的字符串模式对流量进行分类.然而,由于计算复杂度高、存储消耗大等原因,现有L7-filter软硬件方法的处理性能严重不足,不能适应当前40Gbps以及更高性能骨干网络.本文首先对L7-filter的应用层协议规则集进行分析,总结其中广泛存在的模式;然后,提出一个高效的芯片级加速方法,其通过有针对性的数据模型、优化、匹配架构设计以提高流量分类系统的处理能力.为了验证方法的效果和可行性,作者使用FPGA板卡实现原型系统并对其进行测试与评估.实验结果表明,基于Virtex6的原型系统在保证识别准确性的前提下能够提供约115Gbps吞吐率.
网络安全 L7-filter系统 应用层协议 深包检测 可编程逻辑门阵列
付文亮 郭平 周舟
北京理工大学计算机科学与技术学院 北京100081 中国科学院信息工程研究所信息内容安全技术国家工程实验室 北京100093
国内会议
武汉
中文
620-627
2015-05-26(万方平台首次上网日期,不代表论文的发表时间)