CN112437096B - 加速策略查找方法及系统 - Google Patents

加速策略查找方法及系统 Download PDF

Info

Publication number
CN112437096B
CN112437096B CN202011426376.0A CN202011426376A CN112437096B CN 112437096 B CN112437096 B CN 112437096B CN 202011426376 A CN202011426376 A CN 202011426376A CN 112437096 B CN112437096 B CN 112437096B
Authority
CN
China
Prior art keywords
jump table
kernel
byte code
network card
code program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011426376.0A
Other languages
English (en)
Other versions
CN112437096A (zh
Inventor
何得中
董兴水
肖日永
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Everything Safety Technology Co ltd
Original Assignee
Shenzhen Everything Safety Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Everything Safety Technology Co ltd filed Critical Shenzhen Everything Safety Technology Co ltd
Priority to CN202011426376.0A priority Critical patent/CN112437096B/zh
Publication of CN112437096A publication Critical patent/CN112437096A/zh
Application granted granted Critical
Publication of CN112437096B publication Critical patent/CN112437096B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种加速策略查找方法及系统,所述方法包括:将访问控制列表策略通过加速算法形成字典树,并基于所述字典树构建跳转表;将所述跳转表转换为内核字节码可读数据格式,用以下发至网卡;所述网卡启动内核字节码程序,接收报文并依据所述跳转表执行查找策略过滤。本发明实施例提供的技术方案中,利用字典树把ACL策略转换为DFA算法的MAP数据,然后基于操作系统的接口把MAP数据提供给网卡的内核字节码程序使用,对于网卡接收到的数据报文,在内核字节码程序利用这些MAP数据查找是否命中策略来做报文过滤。因此可以利用智能网卡可以硬件执行内核字节码的能力来加速查找,并且兼容普通网卡,无需特殊的硬件。

Description

加速策略查找方法及系统
技术领域
本发明涉及计算机技术领域,尤其涉及加速策略查找方法及系统。
背景技术
目前,防火墙类的设备主要的功能对数据流进行ACL策略匹配来进行数据流和报文的安全过滤。传统的策略查找规则,多为解析数据流的五元组(下一代防火墙中增加了源IP地址所属用户和数据流所属的应用类型ID形成七元组)来进行策略匹配。
在防火墙ACL(access contro list:访问控制列表)策略数量巨大的情况下,策略查找速度问题就显得非常重要。下表列出了现有技术和其主要问题:
硬件查找(TCAM),存在缺陷:需要专用硬件芯片,成本高,TCAM容量有限,限制多;
软件顺序查找,存在缺陷:顺序匹配,速度最慢;
软件加速查找,存在缺陷:一般在数据转发路径上做,经过了内核中断处理或者用户态(用户态指非特权状态)协议栈处理,处理位置不够靠前,不符合防火墙尽早丢弃原则,浪费设备性能。
因此现有技术还有待于进一步发展。
发明内容
针对上述技术问题,本发明提供了一种加速策略查找方法及系统,实现策略查找加速的功能。
本发明实施例的第一方面,提供一种加速策略查找方法,所述方法包括:
将访问控制列表策略通过加速算法形成字典树,并基于所述字典树构建跳转表;
将所述跳转表转换为内核字节码可读数据格式,用以下发至网卡;
所述网卡启动内核字节码程序,接收报文并依据所述跳转表执行查找策略过滤。
可选地,所述将所述跳转表转换为内核字节码可读数据格式,包括:
以键-值的方式将所述跳转表中的不同跳转模式,按照DFA(DeterministicFinite Automaton: 确定有穷自动机)算法采用MAP数据的形式下发至内核字节码程序中。
可选地,所述跳转表包括以下不同跳转模式:
DFAs:出边数大于5的节点;
QUADs:出边数不超过5的节点;
SINGLEs:出边数为1的节点;
MATCHes:匹配节点。
可选地,所述将所述跳转表转换为内核字节码可读数据格式,包括:
将所述跳转表以共享内存的形式同步到内核字节码程序中,用于内核字节码程序直接通过跳转表实现数据查找。
可选地,所述接收报文并依据所述跳转表执行查找策略过滤,包括:
内核字节码程序将报文以字节流的方式输入,在所述跳转表中查找;
根据最终匹配的节点结果来判断数据流是否被策略过滤。
本发明实施例的第二方面,提供一种加速策略查找系统,所述系统包括:
构建模块,用于将访问控制列表策略通过加速算法形成字典树,并基于所述字典树构建跳转表;
转换模块,用于将所述跳转表转换为内核字节码可读数据格式,用以下发至网卡;
过滤模块,用于所述网卡启动内核字节码程序,接收报文并依据所述跳转表执行查找策略过滤。
可选地,所述转换模块包括:
转换单元,用于以键-值的方式将所述跳转表中的不同跳转模式,按照DFA算法采用MAP数据的形式下发至内核字节码程序中。
可选地,所述将所述跳转表转换为内核字节码可读数据格式,包括:
将所述跳转表以共享内存的形式同步到内核字节码程序中,用于内核字节码程序直接通过跳转表实现数据查找。
可选地,所述过滤模块包括:
查找单元,用于内核字节码程序将报文以字节流的方式输入,在所述跳转表中查找;
判断单元,用于根据最终匹配的节点结果来判断数据流是否被策略过滤。
本发明实施例的第三方面,提供一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现前述的加速策略查找方法。
本发明实施例提供的技术方案中,利用字典树把ACL策略转换为DFA算法的MAP数据,然后基于操作系统的接口把MAP数据提供给网卡的内核字节码程序使用,对于网卡接收到的数据报文,在内核字节码程序利用这些MAP数据查找是否命中策略来做报文过滤。因此可以利用智能网卡可以硬件执行内核字节码的能力来加速查找,并且兼容普通网卡,无需特殊的硬件。
附图说明
图1为本发明实施例中一种加速策略查找方法的流程示意图;
图2为本发明实施例中一种字典树的示意图;
图3为本发明实施例中图2所示的字典树构建成的跳转表示意图;
图4为本发明实施例中一种加速策略查找系统的模块框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,图1为本发明实施例中一种加速策略查找方法的一实施例的流程示意图。所述加速策略查找方法,将基于内核字节码程序(如Linux系统下的eBPF,ExtendedBerkeley Packet Filter: 扩展伯克利包过滤)高效的报文过滤和现有的ACL策略软件加速相结合,实现策略查找加速的功能;该方法可利用内核字节码程序在数据包进入协议栈之前完成策略查找,达到防火墙尽早丢弃报文的技术效果。
本发明提供的技术方案可以很好的兼容智能网卡和普通网卡,在支持加载和运行上述内核字节码程序(支持eBPF offload或者XDP offload,XDP(eXpress Data Path):是位于网卡驱动程序里的一个快速处理包的HOOK点)的智能网卡上,可以利用硬件加速策略查找,在普通网卡上利用CPU处理策略查找。
所述方法具体包括以下步骤:
步骤S100:将访问控制列表策略通过加速算法形成字典树(Trie),并基于所述字典树构建跳转表。
把设备上的ACL(访问控制列表)策略通过软件加速算法形成字典树,利用一定的规则实现加速算法的计算;以下简单举例如下规则:
rule1: rule deny ip src 172.16.0.0/16;
rule2: rule deny ip src 172.18.0.0/16;
rule3: rule deny ip src 172.168.0.0/16;
rule4: rule deny ip src 172.186.0.0/16。
过滤上述ip,则以每个字节作为一级形成如图2所示的字典树,然后再构建跳转表。每个节点形成一个ip字段,节点1至节点2为ip第一字段172,节点2到节点3、节点4、节点5、节点6的ip第二字段 为16、18、168、186;如图所示再有其他节点延伸。
然后基于所述字典树构建跳转表,所述跳转表可用于网卡的内核字节码程序存储读取,在网卡读取而无需进入系统的协议栈,进而可以达到今早丢弃报文的效果。
由于数据包有固定的协议格式,结合所述字典树可以构建出不同的识别判断模式,然后根据识别判断模式完成跳转以及判断数据流是否被策略过滤。具体然后详述。
步骤S200:将所述跳转表转换为内核字节码可读数据格式,用以下发至网卡。
在该步骤中可以采用两种方式实现,形成分布式存储系统以键值的形式输入查找。一种是利用内核字节码程序中key&value(键值)的存储,另一种是计算出来的跳转表,作为一个共享内存同步到内核字节码程序中,内核字节码程序直接通过跳转表实现数据查找。
第一种方式利用key&value的方式存储,则需要将跳转表中的若干筛选模式以MAP数据方式下发,然后基于对应关系到网卡的内核字节码程序中。
第二中方式则不需要通过下发key&value的MAP数据进行查找,可以在内核字节程序中直接以键值查找。
步骤S300:所述网卡启动内核字节码程序,接收报文并依据所述跳转表执行查找策略过滤。
经过上述步骤S200,操作系统通过标准接口生产的策略数据下发到网卡,网卡启用内核字节码程序的上述过滤功能,内核字节码程序中把接收到的报文进行查找;即基于上述两种方式进行查找,然后根据查找的结果判断是否被策略过滤。
本发明提供的加速策略查找方法,利用字典树把ACL策略转换为DFA算法的MAP数据,然后基于操作系统的接口把MAP数据提供给网卡的内核字节码程序使用,对于网卡接收到的数据报文,在内核字节码程序利用这些MAP数据查找是否命中策略来做报文过滤。因此可以利用智能网卡可以硬件执行内核字节码的能力来加速查找,并且兼容普通网卡,无需特殊的硬件。
下面以具体的应用实例对本发明提供的技术方案做进一步地说明:
首先把设备上的ACL策略通过软件加速算法形成Trie树和跳转表;将ACL策略输入(见上述实施例中的rule1至rule5),利用加速算法形成如图2所示的字典树,然后基于字典树构建跳转表。
构建所跳转表时,首先计算字典树各个节点的出边数目,例如:
node1的出边数目为3([0-171]、[172-172]、[173-255]),node2的出边数为9([0-15]、[16-16]、[17-17]、[18-18]、[19-167]、[168-168]、[169-185]、[186-186]、[187-255]),node3出边数为1[0-255],以此类推把Trie树形成跳转表,分为DFAs、QUADs、SINGLEs和MATCHes等4类模式。
四个模式分别代表的跳转判断依据出边数据,具体如下:
DFAs:出边数大于5的节点;
QUADs:出边数不超过5的节点;
SINGLEs:出边数为1的节点;
MATCHes:匹配节点。
图2所示的字典树构建成为如图3所示的跳转表,其中node0特殊处理,定义为DFAs,转化为DFA0。后续可根据上述四个模式进行ip查找与跳转。
然后以键-值的方式将所述跳转表中的不同跳转模式,按照DFA算法采用MAP数据的形式下发至内核字节码程序中。
具体地,利用内核字节码程序中key&value的存储,把跳转表中的DFAs、QUADs、SINGLEs和MATCHes等以MAP数据的形式下发,按照DFA算法状态跳转的实现,下发key&value的MAP数据对应关系到内核字节码程序中。形成的key&value形式,通过key作为输入,得到的value值是下一个key&value的MAP数据。
又或者利用另一种方式:将所述跳转表以共享内存的形式同步到内核字节码程序中,用于内核字节码程序直接通过跳转表实现数据查找。
即,把整个在用户态计算出来的跳转表,作为一个共享内存同步到内核字节码程序中,内核字节码程序直接通过跳转表实现数据查找即可,不需要再通过下发的key&value的map进行查找。从方案需要实现用户态跳转表和内核字节码程序使用的跳转表的内存同步。
最后,内核字节码程序将报文以字节流的方式输入,在所述跳转表中查找;根据最终匹配的节点结果来判断数据流是否被策略过滤。
操作系统通过标准接口把生成的策略数据下发到网卡并启用网卡的内核字节码程序过滤功能,内核字节码程序中把接收到的报文进行查找。
例如接收到ICMP 172.18.16.1->172.18.16.28的报文,策略查找过程如下:
查找过程把内核字节码程序感兴趣的字段以字节流的方式作为输入,在跳转表中进行查找;
接上述例子,通过ICMP的协议号为1,以key为1,从node0生成的DFA0[1]中得到value为MAP QUAD1;
在QUAD1中通过源IP的首字节[172]查找QUAD1[172]得到DFA1;
在DFA1中通过源IP的第二个字节[18]得到SINGLE0;
由于SINGLE0只有一条出边,那么最终得到是MATCH[0]的结果;
根据MATCH[0]中得到的结果来判断数据流是否被策略过滤。
由于172.18.16.1跳转至172.18.16.28,不存在过滤规则里,因此可以根据MATCHes:匹配节点,从而完成ip跳转。
在上述具体实施方式中,可以看出所述的过滤策略存在于网卡的内核字节码程序中,并在其中执行,未达到协议栈,在协议栈之前即完成了策略查找,达到防火墙尽早丢弃报文的设计理念。
如图4所示,本发明还提供一种加速策略查找系统,所述系统包括:
构建模块100,用于将访问控制列表策略通过加速算法形成字典树,并基于所述字典树构建跳转表;
转换模块200,用于将所述跳转表转换为内核字节码可读数据格式,用以下发至网卡;
过滤模块300,用于所述网卡启动内核字节码程序,接收报文并依据所述跳转表执行查找策略过滤。
其中,所述转换模块200包括:转换单元,用于以键-值的方式将所述跳转表中的不同跳转模式,按照DFA算法采用MAP数据的形式下发至内核字节码程序中。
所述转换模块200包括:将所述跳转表以共享内存的形式同步到内核字节码程序中,用于内核字节码程序直接通过跳转表实现数据查找。
所述过滤模块300包括:查找单元,用于内核字节码程序将报文以字节流的方式输入,在所述跳转表中查找;判断单元,用于根据最终匹配的节点结果来判断数据流是否被策略过滤。
各模块执行的方法实例举例如下:
操作系统把设备上的ACL(访问控制列表)策略通过软件加速算法形成字典树,利用一定的规则实现加速算法的计算;
然后基于所述字典树构建跳转表,所述跳转表可用于网卡的内核字节码程序存储读取,在网卡读取而无需进入系统的协议栈,进而可以达到今早丢弃报文的效果。
由于数据包有固定的协议格式,结合所述字典树可以构建出不同的识别判断模式,然后根据识别判断模式完成跳转以及判断数据流是否被策略过滤。
在该步骤中可以采用两种方式实现,形成分布式存储系统以键值的形式输入查找。
第一种方式利用key&value的方式存储,则需要将跳转表中的若干筛选模式以MAP数据方式下发,然后基于对应关系到网卡的内核字节码程序中。
第二中方式则不需要通过下发key&value的MAP数据进行查找,可以在内核字节程序中直接以键值查找。
操作系统通过标准接口生产的策略数据下发到网卡,网卡启用内核字节码程序的上述过滤功能,内核字节码程序中把接收到的报文进行查找;即基于上述两种方式进行查找,然后根据查找的结果判断是否被策略过滤。
本发明还提供一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现如图1所示实施例所述的方法。所述计算机可读存储介质可以是U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统和方法,可以通过其它的方式实现。例如,以上所描述的系统实施例仅仅是示意性的。例如,各个单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例系统中的单元可以根据实际需要进行合并、划分和删减。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,终端,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种加速策略查找方法,其特征在于,所述方法包括:
将访问控制列表策略通过加速算法形成字典树,并基于所述字典树构建跳转表;
将所述跳转表转换为内核字节码可读数据格式,用以下发至网卡;
所述网卡启动内核字节码程序,接收报文并依据所述跳转表执行查找策略过滤。
2.根据权利要求1所述的加速策略查找方法,其特征在于,所述将所述跳转表转换为内核字节码可读数据格式,包括:
以键-值的方式将所述跳转表中的不同跳转模式,按照DFA算法采用MAP数据的形式下发至内核字节码程序中。
3.根据权利要求2所述的加速策略查找方法,其特征在于,所述跳转表包括以下不同跳转模式:
DFAs:出边数大于5的节点;
QUADs:出边数不超过5的节点;
SINGLEs:出边数为1的节点;
MATCHes:匹配节点。
4.根据权利要求1所述的加速策略查找方法,其特征在于,所述将所述跳转表转换为内核字节码可读数据格式,包括:
将所述跳转表以共享内存的形式同步到内核字节码程序中,用于内核字节码程序直接通过跳转表实现数据查找。
5.根据权利要求1所述的加速策略查找方法,其特征在于,所述接收报文并依据所述跳转表执行查找策略过滤,包括:
内核字节码程序将报文以字节流的方式输入,在所述跳转表中查找;
根据最终匹配的节点结果来判断数据流是否被策略过滤。
6.一种加速策略查找系统,其特征在于,所述系统包括:
构建模块,用于将访问控制列表策略通过加速算法形成字典树,并基于所述字典树构建跳转表;
转换模块,用于将所述跳转表转换为内核字节码可读数据格式,用以下发至网卡;
过滤模块,用于所述网卡启动内核字节码程序,接收报文并依据所述跳转表执行查找策略过滤。
7.根据权利要求6所述的加速策略查找系统,其特征在于,所述转换模块包括:
转换单元,用于以键-值的方式将所述跳转表中的不同跳转模式,按照DFA算法采用MAP数据的形式下发至内核字节码程序中。
8.根据权利要求6所述的加速策略查找系统,其特征在于,所述转换模块,包括:
将所述跳转表以共享内存的形式同步到内核字节码程序中,用于内核字节码程序直接通过跳转表实现数据查找。
9.根据权利要求6所述的加速策略查找系统,其特征在于,所述过滤模块包括:
查找单元,用于内核字节码程序将报文以字节流的方式输入,在所述跳转表中查找;
判断单元,用于根据最终匹配的节点结果来判断数据流是否被策略过滤。
10.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-5中任一所述的方法。
CN202011426376.0A 2020-12-09 2020-12-09 加速策略查找方法及系统 Active CN112437096B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011426376.0A CN112437096B (zh) 2020-12-09 2020-12-09 加速策略查找方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011426376.0A CN112437096B (zh) 2020-12-09 2020-12-09 加速策略查找方法及系统

Publications (2)

Publication Number Publication Date
CN112437096A CN112437096A (zh) 2021-03-02
CN112437096B true CN112437096B (zh) 2023-06-30

Family

ID=74691415

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011426376.0A Active CN112437096B (zh) 2020-12-09 2020-12-09 加速策略查找方法及系统

Country Status (1)

Country Link
CN (1) CN112437096B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113839889B (zh) * 2021-09-18 2024-04-05 深圳震有科技股份有限公司 一种报文处理方法、终端及计算机可读存储介质

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9237128B2 (en) * 2013-03-15 2016-01-12 International Business Machines Corporation Firewall packet filtering
US10810100B2 (en) * 2017-01-10 2020-10-20 Red Hat, Inc. Providing dynamic instrumentation using domain-specific monitoring-language-to-kernel-bytecode compilation
US10530711B2 (en) * 2017-11-09 2020-01-07 Nicira, Inc. Extensible virtual switch datapath
GB2583112B (en) * 2019-04-16 2023-02-01 Cisco Tech Inc Efficient protection for an IKEv2 device
CN111131079B (zh) * 2019-12-26 2023-11-24 杭州迪普科技股份有限公司 一种策略查询方法及装置
CN111064750A (zh) * 2019-12-31 2020-04-24 苏州浪潮智能科技有限公司 一种数据中心的网络报文控制方法和装置

Also Published As

Publication number Publication date
CN112437096A (zh) 2021-03-02

Similar Documents

Publication Publication Date Title
EP1832037B1 (en) Template access control lists
US9495479B2 (en) Traversal with arc configuration information
US9563399B2 (en) Generating a non-deterministic finite automata (NFA) graph for regular expression patterns with advanced features
US7949683B2 (en) Method and apparatus for traversing a compressed deterministic finite automata (DFA) graph
US8180803B2 (en) Deterministic finite automata (DFA) graph compression
US9275224B2 (en) Apparatus and method for improving detection performance of intrusion detection system
US9398033B2 (en) Regular expression processing automaton
US8819217B2 (en) Intelligent graph walking
US8484147B2 (en) Pattern matching
US20070011734A1 (en) Stateful packet content matching mechanisms
US8543528B2 (en) Exploitation of transition rule sharing based on short state tags to improve the storage efficiency
EP2342871A1 (en) Method and system for classifying date packets
CN112437096B (zh) 加速策略查找方法及系统
US10944724B2 (en) Accelerating computer network policy search
US7991917B1 (en) High performance packet processing using a general purpose processor
CN114255602B (zh) 一种交通信号机的安全防护方法及装置
KR102386289B1 (ko) 비정상 데이터 탐지를 위한 디텍터 모듈
CN116232894A (zh) 一种报文处理方法、报文处理装置及存储介质
EP2400424B1 (en) Anti-malware system and operating method thereof
Tripp An Instrusion Detection System for Gigabit Networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant