收藏本站
《华中科技大学》 2010年
收藏 | 手机打开
二维码
手机客户端打开本文

高速分组查找规则匹配算法研究

朱国胜  
【摘要】:互联网流量增长和通信线路速率的提高,对路由交换网络设备数据平面的报文处理提出了更高的要求,以100Gbps以太网接口为例,要实现最小包长线速转发,每报文处理时间要小于6.72ns,其中二到七层的分组查找规则匹配是分组转发、QoS调度、流量控制等处理的关键。本文在三层IP路由最长匹配(LPM:Longest Prefix matching)、三到四层的报文分类(PC:Packet Classification)和七层的深度报文检测(DPI:Deep Packet Inspection)等方面开展研究,基于硬件三态内容寻址存储器(TCAM:Ternary Content Addressable Memory)提出了相关的分组查找规则匹配算法,并对算法进行分析、仿真和实验验证。 传统IP路由查找算法在前缀值或者前缀长度维度采用线性或者二分搜索,存在查找速率慢、预计算复杂和功耗高的缺点。为提高查找速率和降低功耗,提出了一种采用TCAM实现前缀覆盖级别的二分路由查找算法BSPCL (Binary Search on Prefix Covered Level),其特点是:前缀按照所在覆盖级别划分到不同的集合并放置在TCAM中,通过二分算法来实现路由查找。查找性能方面:路由查找可以在O(log2max_level+1)个TCAM时钟周期内完成,max_level为最大的前缀覆盖级别,目前对于IPv4和IPv6来说max_level分别为7和2;功耗方面:二分查找特性可以降低功耗约50%;路由更新方面:前缀在TCAM中的存放无需排序,支持随机更新。 为加速IP路由查找,提出了一种并行IP路由查找方法LEAF-TCAM。路由表分区方面:LEAF-TCAM方法基于叶子节点(Leaf Node)进行路由表分区,分区算法实现简单且分区均匀;负载均衡方面:分区子表按照流量特征,基于贪心方法在K个TCAM芯片中进行均衡分布;查找性能方面:和其他并行方法一样具有K-1倍加速因子;路由更新方面:该方法无需进行前缀扩展,可以采用随机更新。针对骨干网路由表的分析表明在引入0.1*(K-1)冗余,90%以上的路由无需排序,功耗只有传统单片方案的12%。 缓存技术也应用于IP路由查找,目前用于IP路由查找的地址缓存时间局部性和空间局部性有限,前缀缓存技术的存在不公平性以及不支持增量更新的问题。本文提出了一种基于阈值的IP路由缓存方法(TRC:Threshold-based Route Caching),该方法结合了地址缓存和前缀缓存技术,克服了地址缓存技术缓存空间要求过大,前缀缓存技术无法缓存内部前缀节点的问题,在缓存空间、缓存命中率、缓存公平性以及路由增量更新方面具有优势。仿真实验表明对于路由条目超过260K的路由表,缓存空间大小为30K,选择阈值K=4时,缓存失效率为0.02,可以用小的缓存空间实现高速接口的线速转发。 基于TCAM的报文分类在实现范围匹配时存在范围扩张问题,最坏情况下,基于前缀扩展方法(PE:Prefix Expansion)的范围扩张因子为2(W-1),基于格雷码表示方法(SRGE:Short Range Gray Encoding)的范围扩张因子为2(W-2),其中W为范围字段的长度。范围扩张一方面会导致TCAM空间利用率的降低,另一方面会导致查找匹配时功耗的升高。本文提出了一种基于TCAM的范围匹配方法:C-TCAM (Compressed TCAM).空间方面,通过二级压缩存储,C-TCAM可以将2个扩展后的TCAM表项压缩成1个,最坏情况下范围扩张因子为W-1或者W-2,提高了空间利用率;功耗方面,通过一种新的TCAM查找算法来避免无效表项参与比较从而降低了功耗;扩展性方面,在性能允许的条件下,C-TCAM可以向多级扩展,从而进一步减少空间和降低功耗。分析和仿真显示C-TCAM方法在实现性能报文分类的同时在空间利用率、功耗等方面具有优势。 基于报文内容扫描的深度报文检测技术广泛应用于网络入侵检测、业务识别和控制系统,传统基于三层、四层报文头部的安全访问控制需要扫描的三层、四层报头内容在报文中的位置固定,而DPI需要检测的特征字在报文中出现的位置不固定,因此需要对报文内容进行逐字节扫描。为实现低功耗高速DPI,提出一种基于布鲁姆过滤器(BF:Bloom Fliter)和TCAM的分级DPI方法BF-TCAM。第一级采用低功耗的并行布鲁姆过滤器排除无需检测的正常报文;第二级采用TCAM对真正需要检测的攻击报文和第一级的假阳性误判报文做进一步的检测。由于网络流量中大部分报文是正常报文,攻击报文在其中只占很少的部分,布鲁姆过滤器的假阴性(False Negative)概率为0,可以保证不会产生漏检,假阳性(False Positive)概率很低,可以保证高速DPI检测的同时大大的降低功耗。
【学位授予单位】:华中科技大学
【学位级别】:博士
【学位授予年份】:2010
【分类号】:TP301.6

免费申请
【相似文献】
中国期刊全文数据库 前10条
1 刘理樵;;二叉比较树实现规则引擎的实践[J];程序员;2010年08期
2 关天明;;交换机FFP技术探究[J];中国教育网络;2011年09期
3 林秀琴;;一种改进的Snort系统模型[J];电脑知识与技术;2011年13期
4 张树壮;罗浩;方滨兴;;大规模复杂规则匹配技术研究[J];高技术通讯;2010年12期
5 严志;邓河;;信息处理中模式匹配算法研究[J];现代计算机(专业版);2011年11期
6 ;江民KV2011告诉你:如何让网银安然无恙[J];电脑爱好者;2010年24期
7 李玉峰;郜晓晶;;中文垃圾邮件过滤综合方法[J];计算机应用与软件;2011年08期
8 ;[J];;年期
9 ;[J];;年期
10 ;[J];;年期
中国重要会议论文全文数据库 前10条
1 李玮;候整风;;防火墙配置中规则异常研究[A];计算机技术与应用进展·2007——全国第18届计算机技术与应用(CACIS)学术会议论文集[C];2007年
2 王斯日古楞;德·萨日娜;那顺乌日图;;现代蒙古语谓语段自动标注系统的设计与实现[A];民族语言文字信息技术研究——第十一届全国民族语言文字信息学术研讨会论文集[C];2007年
3 任晓峰;董占球;;IDS中Snort的研究与改进[A];第十八次全国计算机安全学术交流会论文集[C];2003年
4 曾柯达;杨树强;韩伟红;郑黎明;徐镜湖;;基于推理机的网络安全事件关联分析研究及实现[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年
5 高倩倩;李成荣;;语音聊天机器人中的对话管理技术研究[A];第八届全国人机语音通讯学术会议论文集[C];2005年
6 张帆;卢昱;;基于可信度的不确定推理辅助定密[A];2009全国计算机网络与通信学术会议论文集[C];2009年
7 陈晓云;胡运发;;利用规则权重改进文本关联分类[A];第二十一届中国数据库学术会议论文集(研究报告篇)[C];2004年
8 张亚琼;韩江洪;魏振春;;一种改进的DES自动机模型知识表示和快速知识提取方法[A];全国第十届企业信息化与工业工程学术年会论文集[C];2006年
9 于静;康建初;孟祥怡;;决策信息处理方法中遗传分类器的研究[A];2007中国控制与决策学术年会论文集[C];2007年
10 陈璐璐;李清东;任章;;航天运载器故障诊断专家系统的设计与实现[A];2009中国仪器仪表与测控技术大会论文集[C];2009年
中国重要报纸全文数据库 前10条
1 北京中科红旗软件技术有限公司研发工程师 时坚;编写Iptables规则脚本[N];中国计算机报;2006年
2 赵晓涛;金融业挖掘UTM力量[N];网络世界;2009年
3 肖 荣 郑 蛟;华蓥法官依法助民工四处奔波追收劳务费[N];人民法院报;2004年
4 张弛;NP架构防火墙性价比显锋芒[N];中国高新技术产业导报;2006年
5 ;NP架构防火墙 性价比显锋芒[N];政府采购信息报;2006年
6 北京市教育科学研究院 曹飞;“四阶段”理论为信息化发展“把脉”[N];中国教育报;2007年
7 张琦;以融合应用围剿垃圾邮件[N];中国计算机报;2008年
8 ;安氏实时监控入侵者[N];中国计算机报;2001年
9 北京中科安胜信息技术有限公司总经理 卫宏儒;安胜高保障防火墙 系统硬件一体化[N];中国计算机报;2002年
10 ;三星NXG全新系列防火墙安全和性能兼得[N];中国计算机报;2004年
中国博士学位论文全文数据库 前10条
1 朱国胜;高速分组查找规则匹配算法研究[D];华中科技大学;2010年
2 邓一贵;基于移动代理的入侵检测系统研究[D];重庆大学;2009年
3 李林;防火墙规则集关键技术研究[D];电子科技大学;2009年
4 刘栋;上下文感知计算技术研究及其在语义Web服务中的应用[D];北京邮电大学;2009年
5 李万;基于本体的入侵报警关联[D];北京交通大学;2010年
6 李云照;高速网数据过滤若干关键技术研究[D];国防科学技术大学;2009年
7 朱辉生;基于情节规则匹配的数据流预测研究[D];复旦大学;2011年
8 向军;网络处理器并行线速处理关键技术研究[D];华南理工大学;2010年
9 张树壮;面向网络安全的高性能特征匹配技术研究[D];哈尔滨工业大学;2011年
10 夏虎;移动社交网络结构和行为研究及其应用[D];电子科技大学;2012年
中国硕士学位论文全文数据库 前10条
1 胡波;IDS检测方法及其工具研究[D];西安电子科技大学;2011年
2 张琦;基于MapReduce的分布式规则匹配系统的研究与实现[D];浙江大学;2011年
3 王毅;防火墙规则冲突检测研究与实现[D];中国工程物理研究院;2012年
4 谭俊璐;基于决策树规则分类算法的研究与应用[D];暨南大学;2010年
5 领吉;描述逻辑与规则整合研究[D];吉林大学;2010年
6 孟敏;基于两级逻辑综合技术的防火墙规则最小化研究[D];南京理工大学;2011年
7 余兆力;基于Snort的网络入侵检测系统研究[D];浙江工业大学;2005年
8 袁英亭;高速安全路由器中查找算法的研究[D];浙江大学;2006年
9 章春来;入侵检测系统的应用研究[D];吉林大学;2006年
10 王玲;无线局域网入侵检测系统的研究[D];太原理工大学;2007年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026