面向骨干网DPI系统的资源消耗攻击防御技术研究

Deep packet inspection (DPI) plays a critical role in network content analysis and filtering. The large-scale resource consumption attacks presente a serious challenge to the safety of DPI systems in backbone networks (B-DPI systems in short), because the attacks cause B-DPI systems to experience the decline or even complete loss of processing capabilities. To address the problem of services unavailability for B-DPI systems, we conduct a study on detection models and evaluation methods to defend the attacks, and design defense stratigies for three main attacks of this type, namely hash attack, massive unidirectional flow attack and implicit matching attack, in order to significantly reduce the system's computing and storage overhead. Our work can be widely used in the fields of high-speed network security and information security to significantly improve the processing efficiency of DPI systems and enhance their safety. The work has an important value in both theory and practice.

深度包检测（DPI）是进行网络内容分析与过滤的关键技术和重要手段。大规模资源消耗型攻击对骨干网DPI系统的安全性提出了严重挑战，使得其服务能力下降甚至完全丧失服务能力。针对骨干网DPI系统的服务失效问题，本课题研究骨干网DPI系统防御资源消耗型攻击的检测模型和评估方法，针对骨干网DPI系统面临的三种主要资源消耗攻击方式：哈希攻击、海量单向流攻击和隐式匹配攻击，设计相应的防御策略，显著减少系统的计算和存储开销。本课题的研究成果可以广泛应用于高速网络安全和网络信息安全等领域，可以大幅度地提升DPI系统的处理效率和安全性，具有重要的理论研究价值和实际应用价值。

本项目针对骨干网DPI系统的资源消耗攻击的检测和防御技术开展研究，围绕高性能正则表达式匹配、海量单向流攻击的检测和防御、半结构化的大规模日志消息内容理解、误植域名的视觉相似性计算等方面开展较为系统和深入的研究，取得了一系列研究成果，具体表现在：提出了DFAestimator算法，对给定正则表达式集合，该算法能够快速估计DFA状态数并且不需要构造DFA，进而提出基于DFAestimator的正则表达式分组算法RegexGrouper和基于DFAestimator的i-DFA构造方法，大幅降低大规模正则表达式匹配所需的内存空间开销；提出了一种轻量级攻击检测和混合连接管理策略相结合的SYN flood攻击防御方法，有效地减轻SYN flood攻击对网络安全设施的影响；提出首个语义感知的日志格式推断方法LTE，能够快速高效地在多种混杂格式的日志文件中挖掘出重要数据特征，将半结构化日志转化为结构化数据；提出了TypoPegging方法能够快速基于视觉相似性发现误植域名，大幅降低了所需要的空间开销。截至2016年12月31日，项目组已发表（含录用）学术论文6篇（其中SCI检索论文1篇，EI检索论文2篇），1篇论文发表在CCF A类期刊JSAC；申请专利8项，获得软件著作权1项。项目负责人柳厅文作为第五完成人申请了2016年国家保密科技进步二等奖（正在评审中）。项目主要参与人员刘庆云作为第七完成人获得了2016年国家科技进步二等奖。多次与美国密歇根州立大学副教授Alex X. Liu进行学术交流和合作。累计培养博士研究生4人（已毕业2人）、硕士研究生2人（已毕业1人）。综上所述，项目组按照项目任务书完成了所计划的研究任务。