基于HBM算法的高速反蠕虫引擎的设计实现.pdfVIP

信息交全 InformationSecurity 基子HBM 算法的高速反蠕虫引擎的设计实现 倪 嘉，林 闯，陈 震 (清华大学 计算机科学与技术系 ，北京 100084) 摘 要 ：基 于网络 处理 器的特点 ，提 出了一种新的多模 匹配算法 HBM 算法 。在 Intel网络 处理 器 IXP2400上 ，设计 实现 了高速反蠕虫病毒 引擎。实验表 明，引擎达到 了千兆以太 网的性 能要求，具有 较 好 的实 际应 用价 值 。 关键词 ：网络 处理器 反 蠕虫病毒 引擎 多模 匹配算法 HBM 算法 Thedesign and implementation ofhigh speedanti-worm enginebased onHBM algorithm NIJia，LIN Chuang，CHEN Zhen (ComputerScienceandTechnologyDepartment，TsinghuaUniversity，Beijing100084，China) Abstract：The HBM algorithm isproposed asa new multi——pattern matching algorithm na d an na ti——wornlenginewith HBM algorithm is implemented and optimized on an IntelIXP 2400 network processor，Itgives astable performnace and meetstheneeds ofGigabitEhtemetaccording to hte experimentresults． Keyword：newtorkprocessor；nati-worm engine；multi-pattern matchingalgorithm；HBM algorithm 随着 Internet规模 的扩大 ，网络安全 已经成为 当前 针对 网络应 用进 行 了优 化 ，大大 提升 了分 组 处理 过程 ， 网络系统设计 中的一个重要 问题 。为此 ，在 当前 的网络 可 以得到较好 的性能指标 ，适合作为 网络应用 的开发平 防火墙和入侵检测系统 (IDS)中 ，除 了需要进 行协议分 台[1,5．91。 析 、流状态检测外 ，还 需要对 网络分组 的载荷进行特征 反蠕虫引擎 的核 心算 法是 多模 匹配算 法 (multi— 匹配 ，以此来确定 网络分组 中是否含有蠕虫病毒代码 。 patternmatchingalgorithm)[2．41，即对于输入 的字符 串 ，扫 与 网络带宽 的飞速提高相 比，反蠕虫系统 的扫描 引擎 的 描其是否包含预先给定 的若干特征字符 串之一 ，蠕虫携 发展还不成熟 ，开发千兆 以太 网环境下 的反蠕虫系统还 带 的特征字符 串也称为特征码 (signature)。 有难度 。本文给 出的对于网络分组载荷进 行扫描检测 的 多模 匹配 的主要算法之一是将 BM 算法 [61在 多模 匹 多模 匹配引擎 ，正是一种适合高速环境 下 的反蠕虫 引擎 配条件下进行扩展 。BM算法是一种启发式算法 ，主要 系统 。 利用 了失效字符转跳及好后缀转跳 思想 ，如 图 1和 图 2 1相 关工作 所示 。该算法思想是在每次匹配 中，从右往左反 向逐个 反蠕虫 引擎平 台主要有两种 ：一种是采用全硬件 定 比较字符 ，当发生 匹配失败 时 ，根据此字符 的信 息 以及 制 的方式 ；另一种是采用软件实现 的方式 。采用硬件方 之前 比较过 的字符 串后缀 (即字符 串最右部分 )信息 ，最 式往往能够得到较高的扫描检测速度 ，但是不适合设计 大程度地 向后