一种基于深度报文检测的合成视频质量评估方法

移动视频业务快速发展,用户感知与网络KPI指标发生偏离,传统视频运维支撑手段存在端到端问题定界难的问题。本文对国内电信运营商移动视频业务特性进行分析,提出一种基于深度报文检测的视频合成算法,将事务级的DPI单据进行关联,以一个完整的视频业务为单位输出相关体验评估信息,进而研究以业务级为基础的DPI指标,用于评估用户观看完整视频的全过程感知,提升用户感知保障。此方法能够覆盖主流的视频网站资源,本文所提出的方法经过实际应用验证,可真实评估视频质量及用户感知体验,助力实现国内电信运营商通信网络问题定界与网络自动驾驶。

基于深度报文检测的家庭宽带业务流量分析

本文从运维层面出发,基于深度报文检测技术,全方位、分层次地对家庭宽带业务流量进行分析研究,通过精准定位东方有线网络有限公司网内家庭宽带用户的画像,有效地进行用户宽带套餐的个性化设置,提升家庭宽带客户的使用体验,降低用户流失率,达到“降本增效”的目的。

一种基于深度报文检测的FSM状态表压缩技术

针对深度报文检测中正则表达式模式匹配的状态表爆炸问题,提出并实现了一种集合交割的预编码方法(SI-precode),在正则表达式转换成DFA前对所有输入符号进行预编码,通过压缩输入,减少FSM中输入符号的种类,从而压缩状态转移表的空间.证明了预编码生成的状态机的正确性及其与原状态机的同态性.采用L7-filter模式进行实验表明SI-precode不仅提高了正则表达式的编译速度,针对单模式状态机,其状态转移表空间比不进行预编码压缩了87%～97%,50个模式的多模式状态机可压缩59%.预编码在软硬件结合体系结构下进行协议识别时不会对性能造成影响;对纯软件结构性能降低2%～4%.

深度报文检测中基于GPU的正则表达式匹配引擎

提出了一种基于GPU的正则表达式匹配引擎来加速深度报文检测中的模式匹配过程。该引擎基于DFA模型,在匹配时每一个GPU线程处理一个报文,通过大量的并行线程来提高引擎的吞吐量。基于NVIDIA GeForce 9800GT GPU的实验表明,该引擎处理实际网络报文时的吞吐量达到了7.91 Gbps。

高速低功耗深度报文检测方法

针对基于三态内容寻址存储器(TCAM,ternary content addressable memory)的深度报文检测(DPI,deep packet inspection)存在的高功耗问题,提出一种分级DPI方法BF-TCAM。第一级采用低功耗的并行布鲁姆过滤器(bloom fliter)排除无需检测的正常报文;第二级采用TCAM对真正需要检测的攻击报文和第一级的假阳性误判报文做进一步的检测。由于网络流量中大部分报文是正常报文,攻击报文在其中只占很少的部分,布鲁姆过滤器的假阴性(false negative)概率为0,可以保证不会产生漏检,假阳性概率很低,可以保证高速DPI检测的同时大大地降低功耗。

基于深度报文检测和安全增强的正向隔离装置设计及实现

为了提高新的网络安全环境及配电网接入环境中电力系统内部通信网络的安全性,提出了基于深度报文检测和安全增强的正向隔离装置。在对传统正向隔离装置原理和脆弱性分析的基础上,通过采用现场可编程门阵列(FPGA)作为隔离岛部件提高了隔离岛的传输速率并降低了误码率,通过采用深度报文检测技术解决了反向穿透性威胁,通过采用双因子身份鉴别技术提高了人机用户管理的安全性,通过采用基于国密算法的加密认证技术提高了本地管理的安全性。与传统的正向隔离装置相比,装置的性能和安全性都得到了提高。最后通过工程应用验证了理论的可行性和技术的实用性。

一种用于深度报文检测的DFA状态表压缩方法

基于正则表达式进行深度报文检测在IDS/IPS、应用层协议识别等网络应用中具有重要作用。然而,采用DFA实现正则表达式需要大量的存储空间,限制了它的实际应用。将DFA状态转换表拆分成3个表,使用run-length编码进行压缩,并对压缩方法进行了优化。采用l7-filter中几个常用应用程序的正则表达式进行测试,结果表明该方法压缩效果一般在90%以上。

新一代深度报文检测设备对城市安全态势感知的影响

随着网络规模的不断壮大,网络结构的日益复杂,网络病毒、Dos/DDos攻击等构成的威胁和损失越来越大,传统的网络安全管理模式仅仅依靠防火墙、防病毒、IDS等单一的网络安全防护技术来实现被动的网络安全管理,已满足不了目前网络安全的要求,城市安全态势感知研究便应运而生。态势感知中的新一代深度报文检测设备采用了新的深度报文检测技术,深度报文检测技术对比传统检测技术,加入了应用层分析,能够准确识别各种应用。采用了净荷特征匹配技术、交互式业务识别技术、行为模式识别技术、深度流检测技术。带来的好处包含:可视化全网、流量细粒度管理、及时发现和抑制异常流量、输出全量日志功能、减少或延迟带宽投入。

基于FPGA的深度报文检测系统设计

针对当前采用正则表达式匹配的深度报文检测系统匹配效率低下,难以满足高速网络线速处理的问题,本文提出了一种基于现场可编程门阵列(Field Programmable Gate Array,FPGA)的深度报文检测系统。该系统采用模块化架构,充分利用FPGA并行处理的特点,通过流水线设计来提升深度报文检测系统的处理速率。

基于骨干网上行流量深度报文检测的网络质差评估方法

文章介绍通过基于骨干网上行流量深度报文检测(Deep Packet Inspect,DPI)的网速慢评估方法。DPI包含了报文信息的七层解析,也就包含了TCP协议的四层交互信息。TCP连接建立异常、TCP交互重传或者乱序的统计量都能表征网络质量情况。但对于运营商骨干网来说,上下行流量特别大,特别是下行流量,因此,运营商也只能存储上行若干TCP端口流量。由于缺乏双向TCP流量特征,网络质量异常很难精准发现。文章通过研究骨干网上行流量HTTP/HTTPS端口与用户申告网速慢的关联关系,提出骨干网上行流量特征的生成方法及网络质差评估方法。

OpenDPI报文识别分析

传统数据流分析方法不能实现对数据流的精细化管理。为此,介绍开源深度报文检测程序OpenDPI,研究其源代码的设计结构和功能,分析报文识别的原理和过程,解决数据流会话的有效期和多报文处理问题。分析结果表明,OpenDPI可实现对报文协议规则的动态添加与更新。

加密流量分类识别研究综述

为了加强通信安全和增强隐私保护,越来越多的网络流量采用加密技术,随之而来的恶意软件也利用加密技术进行伪装。加密流量分类与识别在提高网络服务质量、增强安全防御能力方面起着基础性作用。本文首先介绍了传统的流量分类方法,总结了这些方法在加密流量识别方面的应用价值。其次,介绍了基于机器学习的识别分类方法,包括有监督、无监督和半监督方法,对相关研究文献进行了梳理归纳,总结并比较现有研究优缺点。最后,基于目前加密流量识别研究,结合互联网发展趋势和当前研究出现的实际问题,从完善加密流量样本数据集、大数据环境下高效识别、通用模型和细分领域研究以及用户隐私保护等方面展望未来加密流量分类识别的研究方向。

新华三发布零信任一体机

5月10日,新华三正式发布零信任一体机,为中小企业提供轻量化、低成本、多场景、更便捷的身份安全管控产品,实现零信任快速落地。据介绍,新华三零信任一体机充分践行了零信任理念,融合了SDP控制器、环境感知平台、态势感知平台、SDP网关的多重架构。身材小巧,内容丰富,具备身份管理、认证管理、权限管理、策略管理、终端准入、环境合规、终端数据安全、行为分析、可信接入、隧道加密、深度报文检测、流量管控等多方面的功能。

采用回归方法优化网络流量管理模型处理性能

为探索优化网络流量管理性能的有效途径,在分析"深度报文检测和深度流行为检测"网络流量管理模型结构的基础上,确定了影响网络流量管理效率的性能指标及其计算方法,通过实际抽样流量数据计算性能指标值,建立性能指标关系散点图,发现性能指标间呈线性特征,采用多元回归方法建立性能指标估计函数,并利用标准化残差估计方法验证了函数的可用性和适应性,从而得到优化网络流量管理性能的定量计算方法。

基于nDPI的流量监控分析实验平台研究

流量监控分析是信息网络学科的重要内容,也是网络工程、计算机科学与技术、物联网等专业的实验教学体系中的核心内容之一。针对现有的网络流量监控分析实验平台大多过于简单,未能提供有关分光、端口镜像、深度报文检测等深层次的实验内容,该文提出一种基于nDPI的网络流量监控分析实验平台TMALab,不仅能提供基本的报文采集、协议分析等基础实验,同时还能为大学生创新、集中性实践教学以及科学研究提供实验条件。给出了其设计框架和系统的实现。实际测试结果表明,该系统可以较好满足流量监控分析实验教学的需要。

基于DPI的流媒体流量监控系统的分析与设计

针对网络上P2P流媒体应用日益盛行所引发的一系列诸如耗费网络宽带、不良信息传播、信息安全等问题的负面影响,结合DPI(Deep Packet Inspection)技术应用背景,综合考虑网络用户实际需求,提出一种基于DPI的流媒体流量监控系统,文中对系统的架构及相关各模块的分析设计进行了详细的阐述,并通过搭载实际试验环境对系统性能进行验证,结果证明该系统对于流媒体应用流量的识别与控制均能达到较好的效果,完全能满足用户的需求。

网络流量管理控制技术在校园网的应用研究

以P2P为代表的网络应用已经给当前校园网络出口带宽带来了前所未有的拥塞和安全问题,而这些问题产生的内在原因在于当前的网络流量管理缺乏应用识别控制能力。因此,有必要在网络流量管理中引入流量应用识别控制技术。本文介绍了两种网络流量应用识别技术DPI和DFI,并对两者进行了比较;然后对网络流量管理控制技术在校园网中进行了实施和初步的研究;最后提出了在实际应用中需要思考的问题。

一种路由交换阵列节点芯片及其系统的设计与实现

介绍一种面向大数据处理数据中心应用的计算/控制/网络存储的路由交换阵列节点芯片及其所组成的安全交换阵列原型机的设计与实现;该路由交换阵列系统通过因特网远程使用软件定义网络(SDN)方式对高速安全交换网络的内部路由控制和安全等模块进行集中编程控制,满足数据中心对数据传输带宽容量的需求;同时并行计算过程中消除网络传输瓶颈,避免了数据中心网络等资源的长期占用浪费,为下一代数据中心解决方案的形成打下基础。另外还简述了其在金融交易系统领域大数据应用尝试的研究近况。

一种不可靠环境中的智能电表数据安全采集方案

智能电表已广泛应用于智能电网的用户侧数据采集,但开放式的采集和运行环境给数据的真实性、传输的可靠性和设备的安全性都带来了挑战,甚至会对智能电网的安全运行带来不利影响.从身份认证、数据完整性角度提出了一种适用于智能电表的安全数据采集方案,能够较好地确保用户侧数据采集真实可靠;同时针对特殊指令设置了二次确认机制,结合入侵检测和深度报文检测手段,避免恶意攻击的发生.

一种EPON串接前端的设计与实现

网络应用的发展造成接入网流量复杂多样,对接入网数据流量的精细化管控成为业务运营方和管理者的紧迫需求,网络流量的识别与监控对保障网络安全具有越来越重要的作用。在对以太网无源光网络流量识别系统需求分析的基础上,给出一种基于现场可编程门阵列(FPGA)的流量识别系统串接前端的硬件架构,并详细介绍了其中关键匹配引擎模块的设计方案。经过测试,原型系统能够在不引入较大时延的情况下,对10Gbit/s EPON线路数据帧前64字节固定字段进行线速流量识别,完成对以太网数据的匹配与串接管控操作,为后端分析系统进一步解析数据流量提供有效的支撑。