【摘 要】
:
通过提升服务器CPU主频来增强海量网络数据处理能力将增加服务器边际成本以及带来功耗、机房散热等一系列问题。本文基于FPGA、TOE、零拷贝等关键技术设计并实现了一种可重构智能网卡,将TCP/IP协议栈部分下移至高速FPGA,完成基于硬件的网络数据包报文捕获、IP分片重组、TCP包排序后进行IP、端口以及字符串匹配识别,并打上协议标签提交给服务器应用层数据处理软件处理。与普通网卡相比,可重构智能网卡
【机 构】
:
中国科学院计算技术研究所国家智能计算机研究开发中心,北京 100080;中国科学院研究生院,北京 100039
【出 处】
:
2007年全国网络与信息安全技术研讨会
论文部分内容阅读
通过提升服务器CPU主频来增强海量网络数据处理能力将增加服务器边际成本以及带来功耗、机房散热等一系列问题。本文基于FPGA、TOE、零拷贝等关键技术设计并实现了一种可重构智能网卡,将TCP/IP协议栈部分下移至高速FPGA,完成基于硬件的网络数据包报文捕获、IP分片重组、TCP包排序后进行IP、端口以及字符串匹配识别,并打上协议标签提交给服务器应用层数据处理软件处理。与普通网卡相比,可重构智能网卡可获得较高的性能加速比。
其他文献
身份认证是实现资源保护的第一道防线,是网络安全的核心。最常见的身份认证方式应该是使用用户名和口令对用户进行认证:当用户需要访问系统资源时,系统提示用户输入用户名和口令。系统采用加密方式或明文方式将用户名和口令传送到认证中心,并和认证中心保存的用户信息进行比对。如果验证通过,系统允许该用户进行随后的访问操作,否则拒绝用户的进一步的访问操作。本文在组合公钥算法的基础上,提出了一种新的动态口令算法,分析
图像中的叠加文字是理解图像语义的重要语义线索。叠加文字区域除对比度强和边缘密集特点外,文字笔画的线条、尺度以及空间分布等也会随着不同语言而呈现出不同于背景区域的特定纹理模式。本论文提出一种利用笔画线条的统计特征基于支持向量机进行图像中叠加文字检测的方法。以汉字为例的初步实验表明所提出笔画纹理特征对较多字符构成的文字区域具有很好的性能。
随着中文网络的快速发展,对于网络中海量中文数据的实时处理成为一个引人关注的话题,而中文文本的自动分词技术是中文信息处理系统的重要基础部分,直接关系到系统的处理效率和准确性。作者在对中文词典分词机制和真实网络数据进行充分分析后,注意到中文分词机制的关键是对单双字词的识别。基于这种认识,本文提出了一种新型的中文分词机制:双字词-长词哈希机制,通过提高对单双字词的查询效率来实现对中文分词机制的改进。文章
本文介绍了作者在开发文本挖掘系统时,针对高维文本向量的可视化降维方法的研究情况。将文本挖掘系统获取的数百维的高维文本向量通过可视化降维算法转化为二维平面上便于人眼直接观察的点,有助于人们通过肉眼观察快速地判断感知大量文本在内容上的相似程度。该技术可以在一定程度上作为传统的文本浏览和搜索技术的有益扩充。本文简要介绍了该领域已经存在的几种典型方法,描述了作者通过分析实验并且结合实际系统的具体情况采用的
电信数据网的安全评估旨在从评估的角度为数据网提出安全要求,保护其安全运行。本文针对电信数据网的安全性评估方法进行了研究。主要阐述了电信数据网安全评估的基本思想,以ITU-T X.805的安全体系框架为基础建立了我国电信数据网安全评估框架,提出了基于安全框架的电信数据网安全评估指标提取方法。在此基础上,研究了基于指标体系的电信数据网安全性等级划分方法。文章为我国电信数据网进行安全评估、划分安全等级确
攻击图是表达计算机网络安全状况的一种直观方法,对攻击图的生成方法做了深入研究。分析网络主机、用户权限、主机之间的连接关系等安全属性,结合攻击规则,建立一个面向安全分析的计算机网络安全状态空间。攻击图中的节点表达网络安全状态,有向边表达攻击规则。使用一个正向搜索、广度优先和深度限制的攻击路径生成算法,实现了攻击路径的生成。通过实验和比较,证明本文提出的方法能够完成这一工作,在攻击图的生成速度上也具有
僵尸网络已经成为网络攻击者首选的攻击平台,用以发起分布式拒绝服务攻击、窃取敏感信息和发送垃圾邮件等,对公共互联网的正常运行和互联网用户的利益造成了严重的威胁。较大规模地发现和监测实际僵尸网络的活动行为,并对其规律进行深入调查分析是进一步更为全面地监测和反制僵尸网络的必要前提。本文对1,961个实际僵尸网络的活动行为记录进行了深入调查和分析,给出了僵尸网络捕获趋势、控制服务器分布、僵尸网络规模与被控
本文在分析现有入侵检测技术和系统的基础上,针对目前入侵检测系统中存在的报警信息过多,不能感知入侵的范围和程度等问题,提出了一种宏观网络下的多层次分布式入侵检测感知算法。该算法充分利用报警信息间的相似度关系,对来自不同IDS的报警进行多层次聚合关联,从总体上把握当前网络态势,进而精炼信息、提高检测的准确率。由于在预警代理部分将原始报警信息处理成统计信息,以后的融合算法以统计信息为处理对象,极大的减少
对于端口扫描行为,多数的入侵检测系统根据单位时间内所访问的主机数和端口数是否超过所设定的域值来判断,这种方法无法检测慢速的端口扫描行为。本文根据网络流量的统计特征提出一种慢速端口扫描行为检测算法,以主机数和端口数的比值及被访问主机端口集合之间的相似度为基础,采用非参数累积和CUSUM算法及小波变换方法对流量统计特征进行分析,进而判断是否存在端口扫描行为。实验结果表明,本文所提取的网络流量特征及算法
高速网络流量吞吐量大且复杂多变,对网络流量异常检测的准确性和及时性提出了挑战。本文提出了一种多时间尺度同步的异常检测算法DA-MTS。该算法通过无抽取Haar小波变换对网络流量时间序列进行分解,获得不同时间尺度下的细节信号,去冗余后的无抽取Haar小波变换细节信号为平稳随机序列且逼近高斯白噪声,根据正态分布的"3σ"法则可以判断细节信号中的异常情况。随着新数据的获取,该算法能够同时在多个时间尺度上