面向100G高速网络处理的正则表达式匹配关键技术研究

基本信息
批准号:61702507
项目类别:青年科学基金项目
资助金额:17.00
负责人:姜磊
学科分类:
依托单位:中国科学院信息工程研究所
批准年份:2017
结题年份:2020
起止时间:2018-01-01 - 2020-12-31
项目状态: 已结题
项目参与者:杨嘉佳,白旭,张望,方山城,邓涵,刘泽生
关键词:
网络入侵检测正则表达式内容安全
结项摘要

Regular expression matching is the key algorithm of network intrusion detection systems and deep packet inspection systems, and becomes research hotspot of network security in rencent years. With the development of 100Gbps networking, it is a urgent problem to provide the 100Gbps regular expression matching speed for network content security systems. This project plans to solve this problem from two aspects: regular expression algorithm optimization and hardware acceleration. In the aspect of algorithm optimization, we first research the space optimization technology of regular expression automata. We plan to design the automata split algorithm to solve the state-explosion problem of regular expression. We will design the DFA automata compression algorithm to solve the state information redundancy problem. Then, we plan to research the automata acceleration technoloty. By building state trasition tree dynamically, we plan to solve the exponential growth problem of multi-stride automata state trasitions, and increase the processing speed of regular expression matching engine. In the aspect of hardware acceleration, we first research the FPGA-based sparse matrix index algorithm to solve the storage problem of compressed aotumata on hardware. Then we plan to research state prediction algorithm to solve the quick matching problem of compressed automata. Our research is supposed to satisfy the 100Gbps performance requirement of regular expression matching system, and promote the development of networking content security technology.

正则表达式匹配是网络入侵检测技术和深度包检测技术的核心算法,是网络安全领域的研究热点。随着100G网络技术的日益实用化,如何满足100Gbps网络流量的线速匹配是正则表达式研究领域亟待解决的技术难点。本课题拟从算法优化和硬件加速两个方面进行研究。算法研究方面,首先研究自动机的空间优化算法,通过自动机分割和转移表压缩,解决自动机构造的状态爆炸问题和状态信息冗余问题,减少自动机的内存开销;然后研究自动机的速度优化算法,通过动态构造状态转移树,解决多步长自动机的转移边数量指数膨胀问题,提高正则表达式自动机处理输入字符的速度。硬件加速方面,首先研究稀疏矩阵在FPGA硬件上的快速索引技术,解决压缩自动机的高效存储问题;然后研究自动机的状态预测技术,解决压缩自动机在FPGA上的快速匹配问题。本课题的研究以期完成满足100Gbps性能需求的正则表达式匹配系统,促进网络内容安全技术的发展。

项目摘要

本课题研究100Gbps高速网络流量下的正则表达式匹配技术,从算法优化和硬件加速两个方面开展工作,取得成果如下。.设计了基于轮询调度策略的正则表达式匹配算法,思路是将串行匹配过程划分成两个可以并行的阶段来执行,即:1、匹配过程;2、确认过程。对于匹配过程,主要是采用预处理、数据轮询分发、多路径猜测方法来实现正则表达式匹配的并行化和流水化。对于确认过程,则按照轮询的串行方式逐一确认下一跳状态。实验结果表明,架构的吞吐率可达到140Gbps,是原始DFA的108倍,且内存消耗仅为原始DFA的1/10。.提出一种基于FPGA平台的域分割五元组匹配技术。在预处理阶段,通过将五元组规则分割成比特位级别的子域,并将子域转换成正则表达式DFA状态转移表。在查找阶段,将正则表达式匹配、五元组匹配以及硬件流水线技术相结合,完成五元组的高性能匹配要求。此外,针对空间开销大的问题,利用一种新的数据结构来表示规则-状态表,进一步减少空间资源的消耗。从实验结果来看,算法可以在最小数据包的情况下获得100G+的高性能吞吐率,而且平均每条规则仅仅消耗约10个字节,与经典的基于TCAM方法相比,获得6.79倍的功耗比。.在FPGA平台上,设计与实现100G高速网络数据包过滤专用卡的原型系统。基于所提出的关键成果,面向高速网络流量的安全过滤需求,在Virtex® UltraScale™ FPGA VCU108高性能板卡上设计与实现面向100G网络的数据包过滤专用卡原型系统。重点给出了数据包过滤专用卡原型系统的总体架构及各模块的功能描述。实验结果表明,过滤专用卡原型系统的吞吐率约为100Gbps,可实际满足于当前以太网100G链路上的内容安全扫描检测需求。

项目成果
{{index+1}}

{{i.achievement_title}}

{{i.achievement_title}}

DOI:{{i.doi}}
发表时间:{{i.publish_year}}

暂无此项成果

数据更新时间:2023-05-31

其他相关文献

1

跨社交网络用户对齐技术综述

跨社交网络用户对齐技术综述

DOI:10.12198/j.issn.1673 − 159X.3895
发表时间:2021
2

硬件木马:关键问题研究进展及新动向

硬件木马:关键问题研究进展及新动向

DOI:
发表时间:2018
3

面向云工作流安全的任务调度方法

面向云工作流安全的任务调度方法

DOI:10.7544/issn1000-1239.2018.20170425
发表时间:2018
4

城市轨道交通车站火灾情况下客流疏散能力评价

城市轨道交通车站火灾情况下客流疏散能力评价

DOI:
发表时间:2015
5

基于FTA-BN模型的页岩气井口装置失效概率分析

基于FTA-BN模型的页岩气井口装置失效概率分析

DOI:10.16265/j.cnki.issn1003-3033.2019.04.015
发表时间:2019

姜磊的其他基金

1

“半胱氨酸结”肽类正电子显像剂在监测不稳定性动脉粥样硬化斑块药物治疗方面的研究

“半胱氨酸结”肽类正电子显像剂在监测不稳定性动脉粥样硬化斑块药物治疗方面的研究

批准号:81571703
批准年份:2015
资助金额:60.00
项目类别:面上项目
2

多价离子对高分子电解质透明质酸构象的影响及其相互作用的分子机理研究

多价离子对高分子电解质透明质酸构象的影响及其相互作用的分子机理研究

批准号:21204102
批准年份:2012
资助金额:25.00
项目类别:青年科学基金项目
3

PAR-1配体与血小板整合素αIIbβ3的解离活化机制及其功能研究

PAR-1配体与血小板整合素αIIbβ3的解离活化机制及其功能研究

批准号:81400098
批准年份:2014
资助金额:23.00
项目类别:青年科学基金项目
4

基于岩石学的TSR机制及其对碳酸岩储层改造机理研究

基于岩石学的TSR机制及其对碳酸岩储层改造机理研究

批准号:41402132
批准年份:2014
资助金额:24.00
项目类别:青年科学基金项目
5

PTPN22基因变异及其调控信号通路在中国汉族人类风湿关节炎患者中的研究

PTPN22基因变异及其调控信号通路在中国汉族人类风湿关节炎患者中的研究

批准号:31400781
批准年份:2014
资助金额:25.00
项目类别:青年科学基金项目
6

一种基于“半胱氨酸结”肽(Knottin)的多价肿瘤正电子分子探针

一种基于“半胱氨酸结”肽(Knottin)的多价肿瘤正电子分子探针

批准号:81101072
批准年份:2011
资助金额:23.00
项目类别:青年科学基金项目

相似国自然基金

1

超高速正则表达式匹配技术研究

批准号:61073184
批准年份:2010
负责人:董群峰
学科分类:F0207
资助金额:12.00
项目类别:面上项目
2

面向Web社会网络的查询处理关键技术研究

批准号:61003001
批准年份:2010
负责人:肖仰华
学科分类:F0202
资助金额:19.00
项目类别:青年科学基金项目
3

基于多级存储器的正则表达式匹配技术研究

批准号:61379148
批准年份:2013
负责人:陈曙晖
学科分类:F0205
资助金额:56.00
项目类别:面上项目
4

面向众核处理器的片上高速光互连网络体系结构关键技术研究

批准号:61572509
批准年份:2015
负责人:赖明澈
学科分类:F0204
资助金额:63.00
项目类别:面上项目