本文選題：防火墻 + 規(guī)則匹配　； 參考：《計算機科學》2017年03期

【摘要】：防火墻是確保網(wǎng)絡安全的關鍵設施,而規(guī)則匹配又是防火墻的核心技術。隨著網(wǎng)絡技術的發(fā)展,互聯(lián)網(wǎng)體系結(jié)構正逐漸從IPV4向IPV6結(jié)構發(fā)展,原有的IPV4防火墻規(guī)則匹配算法很難直接應用于IPV6網(wǎng)絡環(huán)境,因為IPV6協(xié)議所能表示的地址范圍遠遠超過IPV4協(xié)議對應的地址范圍。因此提出了一種適用于IPV6環(huán)境的高性能規(guī)則匹配算法HiPRM(High Performance Rule Matching)。HiPRM算法的核心思想是依據(jù)規(guī)則的協(xié)議和目的端口分布特征,先把整個規(guī)則集劃分成多個子規(guī)則集,再利用位選取算法對規(guī)則的源和目的IPV6地址組合的特定位進行選取,然后據(jù)此構建二叉查找規(guī)則樹,最后利用規(guī)則樹把多個規(guī)則子集劃分成若干個更小的規(guī)則集合。而當報文匹配到某個更小的規(guī)則集合時,在小規(guī)則集中利用線性匹配法確定具體匹配的對應規(guī)則。分析和測試表明,HiPRM算法可以在時間復雜度和空間復雜度較低的情況下實現(xiàn)報文的高速匹配,且具有較好的規(guī)則集適應性。
[Abstract]:Firewall is the key to ensure network security, and rule matching is the core technology of firewall. With the development of network technology, the Internet architecture is gradually developing from IPV4 to IPV6. It is difficult to directly apply the original IPV4 firewall rule matching algorithm to IPV6 network environment. Because the IPV6 protocol can represent the address range far more than the address range corresponding to the IPV4 protocol. Therefore, the core idea of a high-performance rule matching algorithm, HiPRM(High Performance Rule Matching).HiPRM algorithm, which is suitable for IPV6 environment, is to divide the whole rule set into multiple sub-rule sets according to the protocol of rules and the distribution characteristics of destination ports. Then the bit selection algorithm is used to select the specific bits of the source and destination IPV6 address combination of the rule, and then the binary search rule tree is constructed. Finally, the rule tree is used to divide the multiple rule subsets into several smaller rule sets. When the message matches to a smaller set of rules, the linear matching method is used to determine the matching rules in the small rule set. The analysis and test show that the HiPRM algorithm can achieve high speed packet matching with low time complexity and space complexity, and has good adaptability to rule set.
【作者單位】： 國防科學技術大學計算機學院;
【基金】：國家863項目:QoS服務質(zhì)量保證設計(2012AA01A50606) 國家自然科學基金項目:高級持續(xù)威脅網(wǎng)絡行為建模與檢測方法研究(61303264)資助
【分類號】：TP393.08

【相似文獻】

相關期刊論文 前10條

1 ;專家縱論IPv6[J];電信技術;2004年01期

2 劉東;IPv6應用走向現(xiàn)實[J];電信技術;2004年01期

3 劉東,張秀芳;IPv6的中國機會[J];電信技術;2004年01期

4 珠杰,雒偉群;淺析IPv6可集聚全局單播地址及應用[J];西藏科技;2004年04期

5 鄭曉紅;劉知貴;陸榮杰;;IPv6與IPv4網(wǎng)絡的攻擊方式[J];兵工自動化;2006年10期

6 黃松飛;我國首個IPv6演示網(wǎng)絡正式推出[J];通信世界;2004年14期

7 陳世清;探討IPv6對分布式仿真性能的影響[J];電腦與信息技術;2005年03期

8 魯士文;什么是下一代互聯(lián)網(wǎng)協(xié)議IPv6?[J];中關村;2005年06期

9 ;下一代互聯(lián)網(wǎng)協(xié)議IPv6的主要特點[J];電子元器件應用;2005年09期

10 康存輝;;IPv6在圖書館中的應用前景研究[J];圖書情報論壇;2006年03期

相關會議論文 前10條

1 莊嚴;王忠;;IPv6流標簽幾個問題的討論[A];四川省通信學會2005年學術年會論文集[C];2005年

2 張博;李偉華;史興建;王文奇;;IPv6環(huán)境下的入侵檢測系統(tǒng)模型設計[A];全國網(wǎng)絡與信息安全技術研討會’2004論文集[C];2004年

3 王勝開;孔寧;沈爍;;移動互聯(lián)網(wǎng)發(fā)展及其對IPv6的影響[A];2013年中國通信學會信息通信網(wǎng)絡技術委員會年會論文集[C];2013年

4 張世偉;符濤;;3G網(wǎng)絡中引入IPv6的分析和思考[A];中國通信學會信息通信網(wǎng)絡技術委員會2009年年會論文集（上冊）[C];2009年

5 李震;;IPv6測試國際認證以及最新進展[A];下一代互聯(lián)網(wǎng)與應用研討會論文集[C];2011年

6 錢福民;張海港;;淺談下一代基于IPv6互聯(lián)網(wǎng)的安全保護[A];第二屆全國信息安全等級保護測評體系建設會議論文集[C];2012年

7 謝榮軍;曹一家;程時杰;;嵌入式系統(tǒng)、IPv6與電氣工程[A];第三屆全國高等學校電氣工程及其自動化專業(yè)教學改革研討會論文集[C];2005年

8 楊鋒;胡捷;;IPv6技術標準最新進展[A];下一代互聯(lián)網(wǎng)與應用研討會論文集[C];2011年

9 解沖鋒;孫瓊;趙慧玲;;從互聯(lián)網(wǎng)的架構演進看IPv6的發(fā)展[A];下一代互聯(lián)網(wǎng)與應用研討會論文集[C];2011年

10 李正榮;韓江洪;魏振春;;基于IPv6的P2P技術研究[A];2005年“數(shù)字安徽”博士科技論壇論文集[C];2005年

相關重要報紙文章 前10條

1 ;IPv6開始實際部署但增速緩慢[N];網(wǎng)絡世界;2013年

2 ;IP地址向IPV6過渡乃大勢所趨[N];中國計算機報;2009年

3 張運洪;歐洲IPv6應用領先全球[N];人民郵電;2014年

4 中證研究 陳衍鵬;IPv6明星公司點兵[N];中國證券報;2013年

5 本報記者 廖劍鋒;IPv6進駐大運58個場館 四大優(yōu)勢或促商用提速[N];通信信息報;2011年

6 李國杰;IPv6普及思路 簡單易用 “八億龍網(wǎng)”[N];中國社會科學院院報;2004年

7 闞志剛 劉青;IPv6:給每一粒沙子一個IP地址[N];計算機世界;2003年

8 記者 張茜　通訊員 徐滔;廣州聯(lián)通率先實現(xiàn)全網(wǎng)升級IPv6[N];人民郵電;2013年

9 記者 岑義濤;淺談IPv6安全[N];網(wǎng)絡世界;2012年

10 本報記者 林敏;加強“產(chǎn)學”合作以發(fā)展IPv6業(yè)務應用[N];通信信息報;2005年

相關博士學位論文 前3條

1 崔宇;IPv6隧道性能優(yōu)化與安全性增強研究[D];哈爾濱工業(yè)大學;2015年

2 關建峰;基于IPv6的移動組播關鍵技術研究[D];北京交通大學;2009年

3 孫瓊;下一代互聯(lián)網(wǎng)的報文標識與查找技術的研究[D];北京郵電大學;2010年

相關碩士學位論文 前10條

1 張晴晴;基于IPv6流標簽的OpenFlow轉(zhuǎn)發(fā)研究及優(yōu)化[D];大連理工大學;2015年

2 李杰;基于IPv6校園網(wǎng)構建方案的研究與設計[D];河北科技大學;2015年

3 黃志騰;一個可管理的IPv6無線組播平臺的實現(xiàn)[D];大連海事大學;2006年

4 易侃;基于IPv6標簽交換體系結(jié)構的研究[D];河海大學;2006年

5 李建武;基于IPv6的網(wǎng)絡入侵檢測系統(tǒng)研究和設計[D];西北工業(yè)大學;2005年

6 陳璐;基于IPv6的網(wǎng)絡安全體系結(jié)構及認證技術研究[D];解放軍信息工程大學;2006年

7 劉玉強;基于IPv6數(shù)據(jù)隧道技術的虛擬網(wǎng)絡設計和實現(xiàn)[D];吉林大學;2012年

8 王迪尼;IPv6流標簽機制的實現(xiàn)與應用[D];華中科技大學;2012年

9 馬李罡;一種優(yōu)化的基于快速移動IPv6預先綁定協(xié)議（PB-FMIPv6）的網(wǎng)絡層移動性管理方案[D];南京郵電大學;2012年

10 馮為;基于IPv6的IP方案及路由研究[D];電子科技大學;2008年

，

本文編號：1823107