高性能網路套用層協定識別方法和體系結構研究

套用層協定識別是網路管理和安全中的重要功能，其處理速度已經成為制約高速網路設備發展的性能瓶頸之一。本研究針對千萬兆網路，採用計算機體系結構方法，以高性能處理為目標，全面地研究適合套用層協定識別的軟體方法與硬體體系結構。主要研究內容包括：高性能網路流維護方法與體系結構、基於網路流特徵和協定特徵的識別方法與體系結構、具備網路流維護的高性能套用層協定識別統一框架、基於隱私等級的套用層協定特徵庫建立等。我們擬設計一個套用層協定識別綜合評價體系評估所提出方法和體系結構的適用性和有效性。在性能上，本研究採用軟體模擬器和EDA工具進行初步分析，結合理論建模探討解決方案的理論界限，並設計實現基於多核/引擎的軟體原型系統和基於FPGA的硬體原型系統，測試實際效果。本研究內容將滿足中高端網路設備在套用層協定識別方面未來5-10年的計算性能需求。

對網路套用層協定的反向理解是網路管理和網路安全中的重要基礎性功能，除了分析的準確性，協定分析更需要提高分析性能及延伸價值。本研究圍繞網路套用層協定分析這一基礎性問題，結合當下網路發展的重要套用，從準確性、性能和延伸價值等角度開展了5項研究，取得了一批重要結論，包括：（1）提出了高速流表維護結構框架，支持根據五元組到幾十個元組的流表維護；（2）分析了特定套用的協定特點，得到了微信等幾十個移動套用的協定特點，形成了一套方法，具備了從網路流量中分流不同類型套用及套用內子功能流量的能力；（3）提出了兼顧隱私保護的套用層協定分析方法，將用戶隱私定義為5個級別，為合規採集網路流量提供理論依據；（4）針對下一代網路，研究了多種提高網路協定分析性能的方法，尤其針對軟體定義網路，提出了快速識別並匹配流表的方法，相比國際上現有方法，性能提高近一倍；針對命名數據網路，提出了快速的包轉發方法，相比國內外已有成果，性能提高10餘倍；（5）結合綠色網路和路由器設計原理，通過協定分析手段，提出了功耗有效路由器的設計方法，並給出了原型系統實現，在真實流量下達到了對路由器節能47%的效果，基本接近了路由器可達的最優功耗。