CN1232922C - 一种改进防火墙性能的方法 - Google Patents
一种改进防火墙性能的方法 Download PDFInfo
- Publication number
- CN1232922C CN1232922C CN 02104228 CN02104228A CN1232922C CN 1232922 C CN1232922 C CN 1232922C CN 02104228 CN02104228 CN 02104228 CN 02104228 A CN02104228 A CN 02104228A CN 1232922 C CN1232922 C CN 1232922C
- Authority
- CN
- China
- Prior art keywords
- node
- network
- address
- rule
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及计算机网络***中防火墙安全模型,通过对防火墙多维空间模型和快速搜索方法的运用,提高防火墙的转发效率。应用了多维空间模型产生安全规则的产生方法如下:1)用户输入安全策略步骤;2)对用户输入的安全规则进行空间划分、语法检查、语义分析的预处理步骤;3)对经过预处理的规则表进行编译、优化,生成安全策略语义结构树,并下装到核心中去的生成步骤。4)对按上述方法生成的防火墙安全策略进行查询的方法。其中步骤4)可如下操作:下装运行后,防火墙包过滤模块截获每一个经过防火墙主机的数据包,抽取数据包中的信息(ip源地址、ip目的地址、源端口号、服务端口号),甚至应用层中的数据,根据这些信息在所述的安全规则多维空间中查找,得到相应的访问状态位,进而采取相应的行动。
Description
技术领域
本发明涉及计算机网络***中防火墙安全模型,通过对防火墙多维空间模型和快速搜索方法的运用,提高防火墙的转发效率。
背景技术
现有的防火墙包过滤规则一般是根据一些参数如ip源地址、ip目的地址、服务端口号、用户标示、时间等采取行动,如接收、丢弃,或者网络地址转换等。防火墙把规则按顺序存储,在过滤数据包时,根据数据包中提取的包头信息(ip源地址,ip目的地址,源端口,目的端口)与防火墙的n条规则逐一对比,直到找到某条规则与此数据包中的信息匹配,此时可应用该条规则,采取某种行动,这种方法对于查找过程没有经过优化,平均查找长度为(n+1)/2。现有防火墙存在如下一些缺点:顺序查找效率慢,规则数增多时,转发效率下降;查找规则复杂度为o(N)(N为简单规则条数)等等。
发明内容
本发明通过一种改进防火墙安全规则组织的方法,提高防火墙安全规则处理速度和吞吐率。本发明的方法将上述传统参数在多维空间上表示,而行动可抽象成在多维空间上的函数映射。Action=f(x1,x2,…….,xn)其中x1,x2,….,xn为在多维空间上表示的自变量,action为函数值,用以表示一组特定的行动。空间模型方法和传统方法规则处理能力比较查找规则复杂度为o(logN)(N为简单规则条数)。本发明重新组织包过滤规则,形成一棵树;语义结构树把防火墙规则在多维空间中展开,使得总的规则查找计算量大幅下降,计算复杂度降为o(logN)。
附图说明
图1是一种典型的网络环境
图2是对根据本发明所形成的查找规则进行查找的方法的流程图
具体实施方式
下面结合具体实施例及相关附图对本发明进行详细描述。应用了多维空间模型的安全规则树的产生方法如下:1)用户输入安全策略步骤;2)对用户输入的安全规则进行空间划分、语法检查、语义分析的预处理步骤。3)对经过预处理的规则表进行编译、优化,生成安全策略语义结构树,并下装到核心中去的生成步骤。4)对按上述方法生成的防火墙安全策略进行查询的步骤。图1中的网络环境是配置了cygergate2.0的一个典型网络应用环境,内部网用户可以访问DMZ区的dns服务、www服务,可以访问internet;internet上的用户可以访问DMZ区提供的服务。在防火墙主机上对外部网有三个合法的IP地址,分别是用于用户对外访问的159.226.232.254,用于域名服务的159.226.232.73和用作web服务的159.226.232.116,对内部网和DMZ各有一个局部IP地址,分别是172.16.1.222(内部网),172.16.9.222(DMZ)。一般情况下,图1的示例中允许以下几种访问:
1.外部网访问DMZ的服务器,具体为Internet的用户可以访问websrv提供的http服务;
2.内部网用户访问外部网,具体为内部网的普通用户可以访问Internet提供的某些服务,
3.通常我们并不使用IP地址直接访问,所以允许内部网访问DMZ的dnssrv提供的域名服务,也允许dnssrv和外部网的域名服务器互相访问。
下面叙述在这样的网络环境下,怎样实施cygergate2.0防火墙的安全规则多维空间模型。首先,用户输入安全规则:防火墙在进行包过滤之前,用户首先对防火墙进行配置,内容包括网络对象,网口对象,规则表的输入。网络对象是构成访问控制规则的最基本元素。我们给一段ip,或者单个ip起个名字,便于用户记忆。例如服务器、普通主机、网段等。防火墙就是根据这些最基本的元素,作为源或者目的来构成访问控制的规则。可参见下图。
| 名称 | 接口 | 最小IP | 最大IP |
| net1 | qfe0 | 1.0.0.1 | 9.255.255.254 |
| net2 | qfe0 | 11.0.0.1 | 126.255.255.254 |
| net3 | qfe0 | 128.0.0.1 | 172.15.255.254 |
| net4 | qfe0 | 172.32.0.1 | 192.167.255.254 |
| net5 | qfe0 | 192.169.0.1 | 223.255.255.254 |
| 名称 | 网络地址转换 | 转换后IP | 接口 | 服务器IP地址 |
| websrv | 静态目的模式 | 172.16.9.94 | Qfe2 | 159.226.232.116 |
| 名称 | 网络地址转换 | 转换后IP | 接口 | 服务器IP地址 |
| Dnssrv | 静态目的模式 | 172.16.9.95 | qfe2 | 159.226.232.73 |
网口对象的配置是让用户设定防火墙上的接口的信息,主要包括搜索防火墙的所有网卡信息,设置防火墙的内部网卡,外部网卡。可参见下图。
| 序号 | 接口名称 | IP地址 | 位置 | 网关名 |
| 1 | qfe0 | 159.226.232.254 | 外部 | gate |
| 2 | qfe1 | 172.16.1.222 | 内部 | gate |
| 3 | qfe2 | 172.16.9.222 | 内部 | gate |
规则表,规则表就是用户制定的访问控制规则的集合。可参见下图。
第一条规则:
| 源地址 | 目的地址 | 服务 | 动作 |
| Net1Net2Net3Net4Net5 | websrv | http | Accept |
根据用户的输入生成如下数据库:
(1)网络对象管理数据库、(2)网口对象管理数据库、(3)规则表数据库
接着进行空间划分,它们将服务的端口号以及网络对象的IP地址划分成没有交集的区域,存放在数据库里,经过空间划分后,网络对象和服务已经被划分成互不相连的小块,它们存放在数据库中供下装函数使用。空间划分的作用是为语法检查、语义分析做准备,尽量减少语法错误、语义冲突、并且使编译过程简单化。
用户输入控制规则时按照人的习惯,输入的规则会有重复,矛盾的现象,输入模块把用户输入的规则进行预处理,得到一个语法上无错误、语义上不矛盾的规则集合。因此,要进行语法语义检查,即规则预处理步骤。检查是否出现下列情况:
1.对规则的构成元素的检查:包括源和目的不能相同;规则必须含有源、目的、服务;
2.对多条规则之间的关系的检查:包括规则之间有语义冲突,则以排在规则表前头的规则具有优先权的原则处理
3.检查避免无效规则的出现:包括内部无效地址不经网络地址转换不能访问外部。
4.检查以使网络对象与实际的网络接口、网络地址、转换模式相符:包括同一条规则内的源或目的应该具有相同的接口、网络地址、转换模式。
每条规则要进入数据库必须经过这么多检查,当规则经过检测后就可以正确的输入进入数据库了。
若没有出现上述问题,则进入编译步骤,生成规则树,所述的规则树在结构上共有三级:Snet、Dnet、Port。规则树的作用是使包过滤模块在逐级查完规则树的三级结构后将得到应触发的行动类型的信息。生成规则树的语义分析具体步骤:
1.从规则表数据库中检索出所有的id∈行动编号的规则,将这些规则中的Snet节点生成一个Snet链表,链表中的每个节点都含有id、规则编号、网络对象编号信息。
2.同理,从规则表数据库中检索出所有id∈行动编号的所有规则的Dnet节点,生成一个Dnet链表,链表中的每个节点都含有id、规则编号、网络对象编号信息。
3.同理,从规则表数据库中检索出所有id∈行动编号的所有规则的服务节点,生成一个服务链表,链表中的每个节点都含有id、规则编号信息。
4.从Snet链表的第一个节点开始,生成其Dnet链表,再生成其Dnet链表中的第一个节点的服务链表,并将此服务链表生成平衡二叉树树,连在Dnet节点上。则第一个Snet节点的第一个Dnet节点的树已生成。
5.依次,再生成第一个Snet节点的第二个Dnet节点的树,直至第一个Snet节点的最后一个Dnet节点的服务树生成,这时可将第一个Snet节点的Dnet树生成,连在这第一个Snet节点上。
6.类似于步骤4、5,接着处理第二个Snet节点。直至Snet链表中所有Snet链表均处理完毕,则将此Snet链表生成平衡二叉树树。由此规则树的三级结构已完成。只需将每一个服务节点的规则表查询结果中加载网络地址转换信息。
7.网络地址转换分析。可具体分成如下步骤:
(a)在整个规则树的结构已全部生成后,遍历树中每一个Snet节点,对每一个Snet节点依次处理加载网络地址转换信息。具体如下:
读出每一个Snet的网络对象id(即网络对象编号),在网络对象数据库中根据网络对象编号进行逐次查找,将得出所对应的几项信息:有效ip、网卡编号、网络地址转换模式、网络地址转换后的ip、Ipsrc。
(b)如果读出的一个网络对象编号对应的有效ip=1,即此Ipsrc为合法地址,则不需经过网络地址转换。
这时置该节点的网络地址转换模式=0/*0:needn’t网络地址转换*/;
再根据网卡编号在网口对象管理表中查到相应的NIC;
将这些NIC、网络地址转换模式、Ipsrc信息封装,遍历此Snet节点下的每一个Dnet的每一个服务节点,将每一个服务节点上已加载的Action信息连同以上的NIC、网络地址转换模式、Ipsrc信息,一同封装于fg_RuleResult中,仍加载于每一个服务节点上。
(c)如果读出的一个网络对象编号对应的有效ip=0,即此Ipsrc为局部地址,读取其网络地址转换模式,这时网络地址转换模式的值有两种可能1:hide(隐藏模式);2:static src(静态源模式);记录网络地址转换后的ip(目前对于Hide模式的网络地址转换,转换后都只对应一个合法IP),置IpAddr=网络地址转换后的ip;置网络地址转换模式=hide;记录NIC;记录此Snet的Ipsrc。
(d)接着遍历此Snet节点下的每一个Dnet节点,读出每一个Dnet节点对应的网络对象编号。读出一个网络对象编号对应的有效ip,
当有效ip=0,则对连在此Snet节点下的此Dnet节点的下一级服务节点进行遍历,在每一个服务节点的规则表查询结果中将置其网络地址转换模式=0(no网络地址转换);将其NIC置为网络对象编号的NIC,
若有效ip=1(Ipdst为合法地址),根据这个网络对象编号的值查出其有效ip和网络地址转换模式,记录网络地址转换模式,则在网口对象管理表中继续查出其NIC和location,记录NIC,
(1)若location=0(此Ipdst绑定在内部网口上),则查看已记录的Dnet节点的网络地址转换模式,(a)若网络地址转换模式=0(no网络地址转换)意味着此Ipdst是放在内部的合法IP,不需转换,则置其网络地址转换模式=0(no网络地址转换);置其NIC为已记录的Snet的NIC;封装。(b)若网络地址转换模式=3(static dst),此Ipdst是放在内部网口的DMZ,要按静态目的来转换,则置其网络地址转换模式=3;置其NIC为此Dnet节点的NIC。封装。
(2)若location=1(此Ipdst绑定在外部网口上),则查看在步步骤c中已记录的NIC、网络地址转换模式、IpAddr,封装。
(e)遍历此Dnet节点下每一个服务节点,并将已封装好的信息加载在每一个服务节点的规则表查询结果中。
下面对接和附图2详细描述规则树的查找过程。规则树的查找比较简单,在过滤数据包时,从数据包中提取包头信息(ip源地址,ip目的地址,源端口,目的端口),以ip源地址在规则树中查找,最终会得到一个指针,以次为根节点,在子树空间中继续查找ip目的地址;同理,继续查目的端口,最后得到一个规则树查询结果,据此,包过滤模块可采取相应的行动。
本发明可以在许多计算机或计算机组的大量不同操作***下运行。本发明阐述的是在防火墙***上组织过滤规则,从而提高查找速度的一种改进的通用的模型,对于依此模型在不同硬件平台上的实现,以及以此模型为基础对此模型进行的进一步的扩充,都属本发明的权益范围之内。例如,此种方法在windows平台,各种unix平台,包括solaris,linux,平台上的实现,或者在不同硬件平台上的实现如pc机,sparc机。或者对本方法的一些扩充,如规则中对用户,组的概念的支持、对认证的支持、对审计的支持、记费的支持、对加密的支持、对vpn的支持。以及对以此发明为基础建立起来的防火墙***上的管理界面所作的修改;以及对规则树本身某些方面所作的一些修改。都包含有本发明的权益。
Claims (9)
1.一种改进防火墙性能的方法,包括步骤:
1)输入步骤,由用户输入安全策略步骤;
2)预处理步骤,对用户输入的安全规则进行空间划分、语法检查、语义分析的预处理步骤;
3)生成步骤,对经过预处理的规则表进行编译、优化,生成相应的安全策略语义结构树,并下装到核心中去的步骤;
4)查询步骤,对按上述方法生成的防火墙安全策略按照二叉树查找方法进行查询的步骤。
2.如权利要求1所述的改进防火墙性能的方法,其中步骤2)还进一步包括对规则中的的地址进行空间划分的步骤;
3.如权利要求1所述的改进防火墙性能的方法,其中步骤2)还进一步包括生成网络对象管理数据库、网口对象管理数据库、规则表数据库的过程;
4.如权利要求1所述的改进防火墙性能的方法,其中步骤2)还进一步包括对规则的构成元素的检查。
5.如权利要求1所述的改进防火墙性能的方法,其中步骤2)还进一步包括对多条规则之间的关系的检查。
6.如权利要求1所述的改进防火墙性能的方法,其中步骤2)还进一步包括检查避免无效规则的出现。
7.如权利要求1所述的改进防火墙性能的方法,其中步骤2)还进一步包括检查以使网络对象与实际的网络接口、网络地址、转换模式相符。
8.如权利要求1所述的改进防火墙性能的方法,其中步骤3)还进一步包括如下步骤:
(1)从规则表数据库中检索出所有的属于同一行动所标示的规则,将这些规则中的所有源IP地址节点集生成一个源IP地址节点集链表,链表中的每个节点都含有标示、规则编号、网络对象编号信息;
(2)同理,从规则表数据库中检索出所有的属于同一行动所标示的规则,将这些规则中的所有目的IP地址节点集生成一个目的IP地址节点集链表,链表中的每个节点都含有标示、规则编号、网络对象编号信息;
(3)同理,从规则表数据库中检索出所有的属于同一行动所标示的规则的服务节点网络端口号,生成一个服务链表,链表中的每个节点都含有标示、规则编号信息;
(4)从源IP地址节点集链表的第一个节点开始,生成其相同规则的所有目的IP地址节点链表,从目的IP地址节点链表第一个节点开始,再生成其相同规则的服务链表,并将此服务链表生成平衡二叉树,级联在目的IP地址节点链表第一个节点上;则源IP地址节点集中第一个节点的目的IP地址节点集中第一个节点的树已生成;
(5)依次,再生成源IP地址节点集中的第一个节点的目的IP地址节点链表第二个节点的树,直至源IP地址节点集的第一个节点的目的IP地址节点链表中的最后一个节点的服务树生成,级联在这源IP地址节点集的第一个节点上;
(6)同步骤4、5,接着处理源IP地址节点集的第二个节点;直至源IP地址节点集链表中所有的节点均处理完毕,则将此源IP地址节点集链表生成平衡二叉树;由此规则树的三级结构已完成;只需将每一个服务节点的规则表查询结果中加载网络地址转换信息;
(7)网络地址转换分析;
9.如权利要求8所述的改进防火墙性能的方法,其中步骤(7)还进一步包括如下步骤:
(a)在整个规则树的结构已全部生成后,遍历树中每一个源IP节点,对每一个源IP节点依次处理加载网络地址转换信息,具体如下:读出每一个源IP节点的网络对象编号,在网络对象数据库中根据网络对象编号进行逐次查找,将得出所对应的几项信息:有效IP、网卡编号、网络地址转换模式、网络地址转换后的IP地址;
(b)如果读出的一个网络对象编号对应的有效IP=1,即此源IP为合法地址,则不需经过网络地址转换;
这时置该节点的网络地址转换模式=0,既不需要网络地址转换;
再根据网卡编号在网口对象管理表中查到相应的网络接口卡;
将这些网络接口卡、网络地址转换模式、源IP地址信息封装,遍历此源IP地址节点集下的每一个目的IP地址节点集的每一个服务节点,将每一个服务节点上已加载的行动信息连同以上的网络接口卡、网络地址转换模式、源IP地址信息,一同封装于处理过程中,仍加载于每一个服务节点上;
(c)如果读出的一个网络对象编号对应的有效IP=0,即此源IP地址为局部地址,读取其网络地址转换模式,这时网络地址转换模式的值有两种可能1:隐藏模式;2:静态源模式;记录网络地址转换后的IP地址,目前对于隐藏模式的网络地址转换,转换后都只对应一个合法IP,置经过网络地址转换后的IP地址;置网络地址转换模式=隐藏模式;记录网络接口卡;记录此源IP地址节点集中的源IP地址;
(d)接着遍历此源IP地址节点集下所级联的每一个属于目的IP节点集的节点,读出每一个节点对应的网络对象编号;读出一个网络对象编号对应的有效IP,当有效IP=0,则对连在此源IP地址节点集下的属于目的IP节点集的节点所及联的下一级服务节点进行遍历,在每一个服务节点的规则表查询结果中将置其网络地址转换模式=0,无网络地址转换:将其置为网络对象编号的网络接口卡,若有效IP=1目的IP为合法地址,根据这个网络对象编号的值查出其有效IP和网络地址转换模式,记录网络地址转换模式,则在网口对象管理表中继续查出其网络接口卡和局部地址,记录网络接口卡,
(1)若局部地址=0此目的IP绑定在内部网口上,则查看已记录的目的IP节点集的网络地址转换模式,(a)若网络地址转换模式=0无网络地址转换意味着此目的IP是放在内部的合法IP,不需转换,则置其网络地址转换模式=0无网络地址转换;置其网络接口卡为已记录的源IP地址节点集的网络接口卡;封装;(b)若网络地址转换模式=3静态目的模式,此目的IP是放在内部网口的非军事区,要按静态目的模式来转换,则置其网络地址转换模式=3;置其网络接口卡为此目的IP节点集的网络接口卡,封装;
(2)若局部地址=1此目的IP绑定在外部网口上,则查看在步骤c中已记录的网络接口卡、网络地址转换模式、IP地址值,封装;
(e)遍历此目的IP节点集所级联的每一个服务节点,并将已封装好的信息加载在每一个服务节点的规则表查询结果中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02104228 CN1232922C (zh) | 2002-02-20 | 2002-02-20 | 一种改进防火墙性能的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02104228 CN1232922C (zh) | 2002-02-20 | 2002-02-20 | 一种改进防火墙性能的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1439985A CN1439985A (zh) | 2003-09-03 |
| CN1232922C true CN1232922C (zh) | 2005-12-21 |
Family
ID=27793058
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 02104228 Expired - Fee Related CN1232922C (zh) | 2002-02-20 | 2002-02-20 | 一种改进防火墙性能的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1232922C (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100384143C (zh) * | 2004-08-24 | 2008-04-23 | 华为技术有限公司 | 一种网络交换设备检测恶意ip扫描的方法 |
| US7490235B2 (en) * | 2004-10-08 | 2009-02-10 | International Business Machines Corporation | Offline analysis of packets |
| CN100359889C (zh) * | 2004-10-29 | 2008-01-02 | 江苏南大苏富特软件股份有限公司 | 基于策略树的报文分组过滤及管理方法 |
| CN1863193B (zh) * | 2005-05-10 | 2010-10-13 | 联想网御科技(北京)有限公司 | 实现网络安全装置安全策略的方法 |
| CN100395997C (zh) * | 2005-07-12 | 2008-06-18 | 华为技术有限公司 | 一种保护接入用户安全的方法 |
| CN1988447B (zh) * | 2006-12-22 | 2010-08-18 | 华为技术有限公司 | 通信网络业务处理方法和设备 |
| CN101242260B (zh) * | 2007-02-08 | 2010-12-15 | 北京天融信网络安全技术有限公司 | 防火墙***自动修复方法 |
| CN101330495B (zh) * | 2007-06-19 | 2012-07-25 | 瑞达信息安全产业股份有限公司 | 一种在计算机网络内实现非对等访问的控制方法和控制*** |
| US8238238B2 (en) * | 2008-05-16 | 2012-08-07 | Microsoft Corporation | Performing networking tasks based on destination networks |
| CN101299683B (zh) * | 2008-06-25 | 2012-07-18 | 中兴通讯股份有限公司 | 一种离线数据的配置设备和方法 |
| CN102833271B (zh) * | 2012-09-20 | 2014-11-26 | 桂林电子科技大学 | 虚拟专用网络中安全隐患的解决方法 |
| US9692727B2 (en) * | 2014-12-02 | 2017-06-27 | Nicira, Inc. | Context-aware distributed firewall |
| CN106603524A (zh) * | 2016-12-09 | 2017-04-26 | 浙江宇视科技有限公司 | 一种安全规则的合并方法以及智能设备 |
| TW201926108A (zh) * | 2017-12-04 | 2019-07-01 | 和碩聯合科技股份有限公司 | 網路安全系統及其方法 |
| CN111698110B (zh) * | 2019-03-14 | 2023-07-18 | 深信服科技股份有限公司 | 一种网络设备性能分析方法、***、设备及计算机介质 |
-
2002
- 2002-02-20 CN CN 02104228 patent/CN1232922C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1439985A (zh) | 2003-09-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1232922C (zh) | 一种改进防火墙性能的方法 | |
| Borders et al. | Chimera: A declarative language for streaming network traffic analysis | |
| US7089240B2 (en) | Longest prefix match lookup using hash function | |
| US9183244B2 (en) | Rule modification in decision trees | |
| US20130036102A1 (en) | Incremental update | |
| Cheung et al. | Optimal routing table design for IP address lookups under memory constraints | |
| Qiao et al. | Fast Bloom filters and their generalization | |
| US20140279850A1 (en) | Batch incremental update | |
| US20110016154A1 (en) | Profile-based and dictionary based graph caching | |
| US9647947B2 (en) | Block mask register key processing by compiling data structures to traverse rules and creating a new rule set | |
| CN101426000A (zh) | 一种通用协议解析方法及*** | |
| CN1333617A (zh) | 基于mac地址的通信限制方法 | |
| CN104243315A (zh) | 用于唯一枚举解析树中的路径的装置和方法 | |
| WO2020171410A1 (ko) | 멀티 도메인에서 데이터를 수집하는 방법, 장치 및 컴퓨터 프로그램 | |
| CN105939269A (zh) | 基于网络地址转换规则的报文转换方法及装置 | |
| CN103685222A (zh) | 基于确定性有穷状态自动机的数据匹配检测方法 | |
| Jepsen et al. | Forwarding and routing with packet subscriptions | |
| CN107798106A (zh) | 一种分布式爬虫***中的url去重方法 | |
| Aldwairi et al. | n‐Grams exclusion and inclusion filter for intrusion detection in Internet of Energy big data systems | |
| Hsieh et al. | Multiprefix trie: A new data structure for designing dynamic router-tables | |
| US20150032732A1 (en) | Classification engine for data packet classification | |
| Liu et al. | A hierarchical blockchain-enabled security-threat assessment architecture for IoV | |
| Nottingham | GPF: A framework for general packet classification on GPU co-processors | |
| Jahanian et al. | Formal verification of interoperability between future network architectures using Alloy | |
| Lucchesi et al. | High-performance IP lookup using Intel Xeon Phi: a Bloom filters based approach |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20051221 Termination date: 20110220 |