原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
2006 年 8 月 北 京 邮 电 大 学 学 报 Aug .2006
第 29 卷 第 4期 Journal of Beijing University of Posts and Telecommunications Vol .29 No .4
文章编号 :1007-5321(2006)04-0090-04
防火墙过滤规则集冲突检测算法
李 鑫 , 季振洲 , 刘韦辰 , 胡铭曾
(哈尔滨工业大学 计算机科学与技术学院 ,哈尔滨 150001)
摘要 :为提高多维规则集冲突检测算法的速度性能和可伸缩性 ,在 GoT (grid of trie)算法的基础上提出了一种新算
法 .其采用 Patricia trie 压缩搜索路径 ,通过限制因特网协议(IP)前缀长度引入哈希技术 ,在 5维规则的基础上引入
防火墙的入口和出口信息 ,使哈希技术能显著提高算法性能 .
关 键 词 :报文分类 ;规则冲突 ;冲突检测
中图分类号 :TP393.08 文献标识码 :A
An Algorithm for Detecting Firewall Filters Conflicts
LI Xin , JI Zhen-zhou , LIU Wei-chen , HU Ming-zeng
(School of Computer Science and Technology ,Harbin Institute of Technology ,Harbin 150001 ,China)
Abstract :To improve the efficiency and scalability of conflict detection for multi-dimensional classi-
fiers ,a new algorithm ,based on grid of trie (GoT) algorithm ,was proposed .The new algorithm uses
Patricia trie ,constricts the length of Internet protocol (IP) prefix in order to use Hash technology ,
and improves the performance of the algorithm by adding ingress and egress of firewall for each filter .
Key words :packet classification ;filter conflict ;conflict detect
规则冲突是指 2 个或多个规则重叠 ,从而导致 基于 GoT[1] 的冲突检测算法将规则 IP 域前缀
一个模糊的分类问题[1 -2] .不正确的报文分类将导 用 trie 树表示 ,并认为下面 2 种情况成立时 ,2 条 2
[3] 维规则 F 和 F 存在交叉匹配情况 :① F [1]是
致防火墙出现安全漏洞 ,无冲突规则集是报文分 x y y
F [1]的前缀 ,并且 F [2]是 F [2] 的前缀 . ②
类的一个前提 .规则集冲突检测算法的运行效率严 x x y
F [1]是 F [1]的前缀 ,并且 F [2]是 F [
文档评论(0)