基于特征匹配的深度报文检测性能优化分析-optimization analysis of deep message detection performance based on feature matching.docxVIP

摘要深度报文检测（DPI）作为网络入侵检测及应用层协议识别的核心技术，在网 络与信息安全领域中发挥着日益重要的作用。本文着眼于基于特征匹配的深度报 文检测的性能问题，在分析目前流行性能优化技术的基础上，研究新的性能优化 技术与方法。本文主要工作和贡献包括：1.对于当前基于特征匹配的深度报文检测技术进行了分析比较，深入研究了 Snort 中的深度报文检测引擎的设计思想、相关算法及实现细节，以此为 基础分析了深度报文检测软件实现方式的性能瓶颈问题。2.本文在对正则表达式匹配的两种软件实现算法的研究基础上，描述了正则 表达式匹配软件实现的性能不足，提出了一种基于正则表达式匹配硬件加 速的深度报文检测方案，采用流水化的工作方式设计了系统结构，针对新 的系统结构带来的队列调度问题和规则转换问题分别提出解决的办法并 设计了相关算法。3.通过对基于大规则集的深度报文检测中的规则集过滤算法进行研究，发现 传统的规则集过滤算法对于大规则集的过滤存在隐患，当规则集中包含大 量相似特征的规则时算法过滤效果不佳。针对该问题提出一种基于多层 AC 自动机的 Multi-AC 过滤算法，该算法对大规则集中未能有效过滤的部 分进行二次过滤，提高了最终的过滤效果。4.在基于 Linux 系统的 Snort 平台上对所设计的优化方法进行了实现。采用 正则表达式硬件匹配卡在 Snort 上实现了基于正则表达式硬件加速