高速包分类平台的FPGA设计

在网络安全系统中,基于软件的包分类系统受处理器性能与软件串行执行等因素影响,包分类速度有限.为了提高包分类和规则预处理的速度并快速适应规则的更新,本文用硬件电路与通过预规则处理生成的二叉树结构,设计并实现了基于FPGA的包分类系统.实验结果显示:50 000个规则的预处理时间不超过0.051 s;系统的包分类平均速度大于10 Gbit/s,Snort入侵检测系统的规则头的分类平均速度大于20 Gbit/s.     

基于FPGA的数据采集系统的设计

文章介绍了基于FPGA对多路数据同步实时采集的一种新型数据采集系统设计,该系统将多个功能模块封装在一个FPGA系统中,并用FPGA来完成A/D转换和双口RAM等模块的控制,对采集到的数据在存储器中进行分页存储,有效解决了通信过程中地址冲突问题,实现了对信号任意长度的连续采样.该数据采集系统具有性能稳定、实时性强、集成度...     

基于FPGA技术的网络包头分类的研究

在基于FPGA技术的入侵检测系统的研究中,提出了一类结合三态内容可寻址内存(TCAM)和普通存储器(RAM)的网络包包头分类方案.将检测规则编号并位图化,使用RAM存储与包头结构相关的规则位图,通过TCAM上的数据匹配操作,快速关联待分析的网络数据包与入侵检测规则.在Quartus II 5.0上的仿真结果表明,时钟频率100 MHz下的片内分类速度达到1.8 Gbps.     

SNORT规则集匹配的优化策略研究

SNORT作为一种受人关注的开源NIDS系统,为入侵检测系统的研究提供了很好的平台.SNORT采用基于规则匹配的入侵检测方法,其规则集大小与匹配算法执行的频度直接影响着系统的性能.分析SNORT系统的工作原理及其规则结构,探讨规则集匹配的优化策略,提出基于双活跃度链表的工作方式,并通过实验证明该方式的有效性.     

基于关联规则挖掘的IPv6入侵检测系统研究

入侵检测系统应用了很多智能信息处理方法,数据挖掘等被应用到IPv4中改善检测性能.实现系统首先利用Libpcap获取实验数据包,并对数据构造决策表进行了粗糙集约简.经预处理后的数据进行规则约束的关联挖掘.最后用相似度比较算法实现模式比较完成入侵检测.系统将基于数据挖掘的入侵检测应用于IPv6环境,系统的实现过程提出了优化提出的改进策略.经实验该系统可以在IPv6环境下较好工作.     

网络入侵检测规则的冲突检测和解决

为了解决入侵检测系统中当前输入事件同时匹配入侵规则库中多条规则(检测冲突)从而导致漏报和误报的问题,利用形式化方法研究了冲突的类型和判定标准,给出了冲突检测和解决的算法.对Snort规则库分析的结果表明:提出的冲突判定标准正确有效,且冲突在规则库中实际存在并以交叉冲突为主.因此依靠专家经验建立的规则库不可避免地存在语义矛盾,对规则库进行冲突检测和冲突解决有助于提高入侵检测系统的有效性.     

基于移动模糊推理的DoS攻击检测方法

通过对入侵检测中模糊技术应用和移动模糊推理方法的研究,设计并实现了基于移动模糊推理的DoS攻击入侵检测系统.首先,描述了移动模糊推理方法与模糊推理步骤;其次,详细阐述了用时间差与IP地址分布变化的DoS攻击检测方法与基于移动模糊推理的攻击检测系统,创建了用于检测的模糊规则,确定网络攻击.最后,把DoS攻击工具与DARPA 98数据集作为入侵检测数据集,对基于移动模糊推理的方法与现行方法进行测试,验证了所提方法的有效性.     

基于Snort的入侵检测系统的研究与改进

模式匹配算法是基于规则的入侵检测系统的核心,文章对Snort的模式匹配原理及在基于BM算法上改进的2C-BM算法给出了简单描述;提供了一种数组标记定位法,来记录被匹配串中字符的位置,并存入定位表中,类似于路由算法中的路由表;同时对规则库中的规则给出动态的排序和删除,提高了匹配常见规则的匹配速度;并对基于Snort的算法...     

SNORT规则匹配算法改进

检测引擎作为入侵检测系统(IDS)的核心模块,基本上采用基于模式匹配的检测方法,选择设计1个好的模式匹配算法对入侵检测系统的性能至关重要。对SNORT的原有规则匹配算法bm进行改进,在改进规则匹配算法中,将具有相同前缀的规则生成1棵规则树,在规则匹配的过程中将数据包内容和规则树进行匹配,在匹配时,可以和多个规则同时进行,大大减少了在规则匹配中花费的时间,从而提高了SNORT的性能。改进后的系统和原来系统进行了几种测试,通过测试改进后的系统比原来的系统速度明显提高。在流量大的情况,丢包情况也减少了。     

基于FPGA的多接口路由系统设计与实现

在异构设备采集数据的过程中,为解决多种接口之间数据传输与交互的问题,设计了一种基于FPGA的多接口路由系统。给出了该系统的总体设计方案,针对不同端口间地址不匹配的问题,提出了一种基于虚拟IP地址分配方法的路由算法,并对其进行了仿真,最后在FPGA上实现了该算法。实验结果表明该系统具有不同接口之间数据路由寻址功能,能够满足不同应用场景、带有多种接口设备数据采集与传输的功能需求。     

用于高速网络入侵检测系统的并行TCP/IP协议栈

随着网络应用层内容检测技术的速度提高到10Gb/s的数量级,底层的TCP/IP协议栈已经成为制约网络入侵检测系统的检测速度的新瓶颈。该文的前期工作采用64位指令、并行计算指令和操作系统内核数据映射等软件硬件系统特性来优化TCP校验码计算、TCP连接表Hash值计算和内核态到用户态的数据复制等性能瓶颈。在此基础上,该文进一步研究了连接表Hash值计算、半开连接过滤和并行化问题,采用通用Hash(universal Hash)函数作为TCP连接表查找的Hash函数,以避免算法复杂度攻击,并利用SSE(streaming SIMD extensions)指令集中的并行指令来提高计算速度;采用Bloom过滤器过滤TCP半开连接;使用多次加载动态链接库(DLL)的方法,利用并行化获得更高的吞吐率。实验表明:经过上述改进后,使用3个处理器核心的TCP/IP协议栈,对平均包长110 B的攻击流量能达到4.4 Gb/s的吞吐率,对平均包长501 B的正常流量能达到15.2 Gb/s的吞吐率,达到原始系统的4倍以上,比该文前期工作的结果提高了50%到70%。     

一种Hash高速分词算法

对于基于词的搜索引擎等中文处理系统,分词速度要求较高。设计了一种高效的中文电子词表的数据结构,它支持首字和词的Hash查找。提出了一种Hash高速分词算法,理论分析表明,其平均匹配次数低于1．08,优于目前的同类算法。     

轻量化神经网络和哈希跟踪算法在嵌入式人脸抓拍系统中的应用

针对嵌入式设备上难以兼顾人脸抓拍的速度和准确率的问题, 基于轻量化神经网络和哈希 (Hash) 跟踪算法设计了一种快速精准的嵌入式人脸抓拍系统. 首先, 对轻量化网络 MobileNet 固态硬盘 (solid state disk, SSD) 剪枝和优化网络结构构建人脸检测网络; 其次, 人脸对齐后基于均值哈希 (average Hash, aHash) 与感知哈希 (perceptual Hash, pHash) 设计融合哈希 (fusion Hash, fHash) 算法跟踪人脸, 使用关键点欧氏距离、人脸尺寸和四方向 Sobel 算子三标准提取最佳的人脸图像; 最后, 使用 MobileFaceNet 对最佳人脸进行识别. 实验结果表明: 与 MobileNet SSD 相比, 该人脸检测算法速度提升了 22.6%; 与均值哈希和感知哈希算法相比, 该融合哈希算法匹配准确率提高了 21.7% 和 10.1%; 实际场景中系统人脸抓拍准确率超过 95%, 抓拍速度达到 28 帧/s.     

基于最小完美哈希函数的数据挖掘算法

提出了一种基于最小完美哈希函数的关联规则的挖掘算法.这一基于Apriori的算法在综合了传统哈希剪枝技术的同时,充分利用了最小完美哈希函数的优点,从而在保证静态数据库关联规则挖掘的同时,使对关联规则的哈希结构数据进行动态调整成为可能.这一算法不仅提高了挖掘效率,而且通过抑制哈希地址冲突提高了算法的稳定性和可用性.     

高密度RFID事件流上的复杂事件检测

由于高密度事件流具有实时性和海量性特点,应用已有的复杂事件检测技术处理时,存在时间效率不高、占用内存空间较大等不足.针对这些问题,提出了一种基于哈希链表结构的复杂事件检测算法.该算法设计有效的哈希映射分类来保存中间结果,加快了匹配过程,同时,提出高效的更新机制及时删除内存中过期的数据.针对常见的事件流的乱序现象,对原有自动机处理机制进行了改进.实验和分析证明,复杂事件流检测方法具有理论上的可行性和操作上的高效性与正确性.     

一种网络内容快速动态检测方法

高速网络内容检测与过滤依赖于快速多模式匹配算法按预先定义的模式集对分组的任意位置内容进行匹配。模式集往往有成千上万条,长短不一且十分复杂。多模式匹配算法对存贮器的访问速度很敏感,算法的好坏往往成为系统的性能瓶颈。另外,新的攻击层出不穷导致模式内容不断变化,如何在检测的同时有效地更新模式集合对网络安全设备在不停机检测条件下实现规则的升级与更新尤其重要。针对上述问题,提出了一种松散耦合的双通道线速动态内容检测方法,快速通道利用可动态查询的并行Counting Bloom filter引擎过滤网络分组。过滤出的嫌疑分组送慢速通道利用高效动态模式匹配算法一步准确鉴别和分析,从而避免对正常分组的阻碍达到线速检测。基于程序局部性原理,采用了额定长度前缀的方法实现了对长模式的可扩展性。分析与模拟试验表明,检测方法具有较高的吞吐性能,可以实现线速动态深度分组检测,同时减少了硬件资源开销,提高了可扩展性。     

基于感知Hash和极线约束的改进AKAZE算法

针对图像在发生变化时特征点匹配准确率较低的问题, 提出一种基于感知Hash和极线约束的改进AKAZE（accelerated-KAZE）算法. 该算法将特征点匹配分为粗匹配和精匹配两个阶段, 粗匹配阶段利用特征点的最近邻次近邻比值和感知Hash算法进行匹配点对的筛选； 精匹配阶段使用随机抽样一致算法和极线约束进一步筛选匹配点对. 仿真实验结果表明, 与进行随机抽样一致算法剔除误匹配点对后的原算法相比, 特征点匹配准确率仍平均提高12.9%, 速度仅慢2.4%, 可在保证算法效率的前提下有效提升图像发生变化时匹配点对的准确率.     

一种新的哈希函数的构造

为了提高Hash函数性能,文章构造了一种新的基于AES的哈希函数,该哈希函数散列结果的长度为 256比特,可以很好的防御穷举攻击。经过分析测试,该函数具有很好的散列性、混乱与扩散特性和抗冲突性,能有效的抵御差分密码分析和线性密码分析,且具有很快的执行速度,有成为一种快速实用的单向Hash函数的潜力。     

基于哈希树的分布式目录同步方法

在云存储应用中,用户通常需要在多个终端上对其工作目录副本进行修改,如何在分布式目录副本之间进行高效的数据同步是一个重要问题。设计实现了一个面向私有云存储的分布式目录同步系统HTD2Sync。系统以文件哈希值为依据进行并发同步冲突检测,能够在文件同步过程中过滤大量伪冲突;针对目录副本同步中的2种冲突类型和6种冲突场景,给出了对应的冲突消解方法;引入有序哈希树对用户目录副本的内容和结构进行建模,给出了有序哈希树的创建和更新方法。提出了一种基于有序哈希树的分布式目录副本同步方法,对其流程和核心操作步骤进行了说明,给出了有序哈希树比对算法COMPARE_OHT。实验表明,HTD2Sync系统能够快速感知私有云存储终端的文件变化,在云端文件变化感知方面也具有较高的效率。     

基于散列表的快速分组分类算法

通过分析Internet网络主干路由器分组分类的关键问题和解决方案, 提出了基于散列表的快速分组分类算法, 该算法时间复杂度为O(1); 通过分析规则表的相关性将规则表分成相关子集和不相关子集, 对不相关子集采用哈希法构造散列表. 实验测试表明, 所给算法比顺序匹配算法的吞吐率提高近10%. 进一步分析了规则冲突, 并给出了冲突的理论证明和查找算法.