閆 露 鄧浩江 陳 曉 葉曉舟

1(中國科學院聲學研究所國家網(wǎng)絡新媒體工程技術(shù)研究中心 北京 100190)2(中國科學院大學 北京 100039)

網(wǎng)絡安全審計系統(tǒng)中FTP解析策略研究

閆 露1,2鄧浩江1陳 曉1葉曉舟1

1(中國科學院聲學研究所國家網(wǎng)絡新媒體工程技術(shù)研究中心 北京 100190)2(中國科學院大學 北京 100039)

常見的防火墻、防病毒、入侵檢測等系統(tǒng)，對于防止外部非法入侵都有一定的作用，但對于防范內(nèi)部人員對企業(yè)網(wǎng)等網(wǎng)絡的破壞卻效果甚微。網(wǎng)絡安全審計系統(tǒng)針對內(nèi)部網(wǎng)絡進行監(jiān)控,受到越來越廣泛的重視。FTP由于其簡單性與易用性，廣泛運用于企業(yè)網(wǎng)中。針對FTP協(xié)議控制流和實時數(shù)據(jù)流分離的特點，提出了基于數(shù)據(jù)流信息封裝傳遞的解析策略。該策略可實現(xiàn)FTP命令、響應的正確解析，獲取實時建立的數(shù)據(jù)流端口，關(guān)聯(lián)數(shù)據(jù)流信息，并實時產(chǎn)生審計日志。基于網(wǎng)絡處理器平臺實現(xiàn)了該策略，平穩(wěn)階段系統(tǒng)每秒事務處理量大于3萬，吞吐率達到1 300 Mbps。

網(wǎng)絡安全審計系統(tǒng) FTP解析 控制流 數(shù)據(jù)流

0 引 言

信息安全審計[1]主要是對與安全有關(guān)的活動的相關(guān)信息進行識別、記錄、存儲和分析；審計的記錄用于檢查網(wǎng)絡上發(fā)生了那些與安全活動有關(guān)的活動，誰(用戶)對這個活動負責，主要功能包括：安全審計自動響應、安全審計數(shù)據(jù)生成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審計事件選擇等。網(wǎng)絡安全審計系統(tǒng)主要針對內(nèi)部網(wǎng)絡進行監(jiān)控，實現(xiàn)信息安全審計功能[2]。在網(wǎng)絡安全審計系統(tǒng)中，協(xié)議解析用于識別用戶、行為、生成審計數(shù)據(jù)等，對信息安全審計功能的實現(xiàn)起著至關(guān)重要的作用。網(wǎng)絡上的協(xié)議成千上萬，對于不同的協(xié)議，解析策略也不盡相同[3]。

目前，網(wǎng)絡上大多數(shù)協(xié)議均在同一條TCP上連接傳輸命令與數(shù)據(jù)，F(xiàn)TP協(xié)議則不同，在不同的TCP連接上分開處理命令與數(shù)據(jù)[4]。 FTP[5-6]是File Transfer Protocol的英文簡稱，為客戶機/服務器系統(tǒng)，在網(wǎng)絡上通過FTP協(xié)議傳輸，F(xiàn)TP客戶端可以訪問FTP服務器的資源。FTP支持兩種工作模式[7]：standard(PORT模式，主動模式)，passive(PASV模式，被動模式)。在standard模式下，F(xiàn)TP客戶端首先和服務器的TCP 21端口建立連接，用以傳輸命令、響應，客戶端在需要進行數(shù)據(jù)傳輸時，發(fā)送PORT命令，該命令包含客戶端使用的數(shù)據(jù)連接端口。在傳輸數(shù)據(jù)時，服務器通過TCP 20端口與客戶端的數(shù)據(jù)端口連接；在passive模式下，建立控制連接與standard模式類似，但在需要進行數(shù)據(jù)傳輸時發(fā)送PASV命令，服務器收到該命令后，打開一個臨時端口(大于1 023小于65 535)偵聽，并且將該端口通知客戶端等待連接?？蛻舳耸盏酵ㄖ?，連接FTP服務器此端口，以進行數(shù)據(jù)傳輸，具體采取哪種方式由客戶端決定。FTP的這兩種模式均是針對IPV4環(huán)境，當IPV6出現(xiàn)后，協(xié)議對模式進行了擴展，出現(xiàn)了EPRT、EPSV模式以支持更長的網(wǎng)絡地址，擴展后的與原模式類似，本文不做詳細討論。雖然FTP存在明文信息傳輸?shù)热秉c，但由于其簡單性和實用性，在網(wǎng)絡應用中還會長期應用[8]。

由于FTP將控制信息與數(shù)據(jù)分開處理的特性，網(wǎng)絡安全審計系統(tǒng)中FTP解析需在正確解析控制流命令、響應的基礎(chǔ)上，針對數(shù)據(jù)流需再解決兩個問題：(1) FTP數(shù)據(jù)流的端口不固定，如何判斷所經(jīng)過的數(shù)據(jù)包哪些為FTP數(shù)據(jù)流；(2) FTP數(shù)據(jù)連接上只傳輸數(shù)據(jù)，如文件內(nèi)容、目錄列表內(nèi)容等，而不包含文件名等信息，如何獲得文件名等信息以生成完整的審計數(shù)據(jù)?，F(xiàn)有的FTP安全審計，通過引入代理來實現(xiàn)[9]，F(xiàn)TP代理模塊分別與客戶端、服務端建立兩條連接，完成FTP會話維護、分析審計等功能。該方法只針對FTP審計任務，但若當系統(tǒng)中需要審計其他協(xié)議時，需增加其他協(xié)議代理模塊，而不同代理工作方式、支持功能都可能不同，擴展性不好,并且不是所有的應用軟件都可以使用代理，例如outlook軟件本身并不支持代理。其他常規(guī)FTP解析方法[10-11]僅分析控制流，并未將數(shù)據(jù)流端所傳送的文件名等信息與相應數(shù)據(jù)流相關(guān)聯(lián)，那么在解析數(shù)據(jù)流時，并不知道文件名、哪個用戶進行的操作等信息，審計文件日志不完整。

本文針對FTP協(xié)議的特性與網(wǎng)絡安全審計的需求，提出網(wǎng)絡安全審計系統(tǒng)中FTP協(xié)議的解析策略，該策略可以正確解析FTP協(xié)議，獲取并傳遞數(shù)據(jù)流傳輸端口與數(shù)據(jù)流信息，快速生成審計數(shù)據(jù)等。

1 網(wǎng)絡安全審計系統(tǒng)

為實現(xiàn)信息安全審計的功能，我們設(shè)計的網(wǎng)絡安全審計系統(tǒng)HL-Audit包括數(shù)據(jù)采集、配置管理、審計日志數(shù)據(jù)中心等子系統(tǒng)，其中數(shù)據(jù)采集子系統(tǒng)的框架如圖1所示。

圖1 HL-Audit數(shù)據(jù)采集子系統(tǒng)

由于通用服務器采用中斷方式處理網(wǎng)絡流量，性能受限，因此HL-Audit數(shù)據(jù)采集子系統(tǒng)采用網(wǎng)絡處理器完成數(shù)據(jù)采集功能，具有功耗低、延遲小、采集性能高等優(yōu)勢。其工作流程如下：當系統(tǒng)捕獲到數(shù)據(jù)包后，首先進行對數(shù)據(jù)包進行IP重組、隧道檢測、TCP重組，保證提交到上層的數(shù)據(jù)包嚴格有序；區(qū)分不同協(xié)議后，提交相應高層協(xié)議解析模塊；高層協(xié)議解析模塊，解析高層協(xié)議，識別用戶登錄、命令、響應等消息，調(diào)用命令黑名單模塊判斷是否允許命令執(zhí)行，并生成審計數(shù)據(jù)發(fā)送至數(shù)據(jù)中心保存。

2 FTP解析策略

FTP解析屬于HL-Audit網(wǎng)絡安全審計系統(tǒng)數(shù)據(jù)采集子系統(tǒng)高層協(xié)議解析模塊，分為控制流解析和數(shù)據(jù)流解析兩部分。控制流解析在正確識別用戶命令、響應的基礎(chǔ)上，將解析到的數(shù)據(jù)流端口、文件名等數(shù)據(jù)流信息進行封裝傳遞，封裝的信息用于底層進行FTP數(shù)據(jù)流的識別以及FTP數(shù)據(jù)流解析，以達到對數(shù)據(jù)流傳輸?shù)谋O(jiān)控審計。如圖2所示。

圖2 FTP解析策略

2.1 FTP控制流解析

控制流解析實現(xiàn)FTP控制連接上數(shù)據(jù)解析，識別用戶登錄、命令、響應等消息，當產(chǎn)生新的數(shù)據(jù)連接時，將解析到的數(shù)據(jù)流信息傳遞；調(diào)用命令黑名單模塊，判斷是否需要阻斷命令或會話，實現(xiàn)審計自動響應；實時產(chǎn)生審計數(shù)據(jù)，以日志的形式通過網(wǎng)絡會話模塊發(fā)送至數(shù)據(jù)中心，日志內(nèi)容包括會話四元組信息、源mac、目的mac、登錄用戶名稱、登錄時間、登出時間；操作日志的內(nèi)容包括操作命令、返回數(shù)據(jù)、操作開始時間、操作結(jié)束時間等。

2.1.1 FTP數(shù)據(jù)包處理

由于底層經(jīng)過TCP重組后提交的數(shù)據(jù)包僅保證有序，根據(jù)TCP/IP協(xié)議的特性[12-13]，TCP數(shù)據(jù)包不作為應用層消息的邊界，一個完備的解析方案不能假設(shè)一個TCP數(shù)據(jù)包即是一個完整的應用層FTP消息，因此需要先經(jīng)過數(shù)據(jù)包處理，提取出完整的單條FTP消息后，再進行接下來的解析。

數(shù)據(jù)包處理算法如下：

Algorithm1 FTP Packet Process

1: start ← packet

2: uproLen ← len(packet)

3: while uproLen > 0 do

4: msgend ← find(msgendMark; start)

5: if msgend is true then

6: msg ← cache + (msgend - start)

7: process msg

8: clear cache

9: uprolen ← uprolen - len(msgend - start)

10: start ← msgend + 1

11: else

12: cache ← cache + start

13: uproLen ← 0

14: end if

15: end while

我們以圖3為例來說明算法的執(zhí)行過程。首先客戶端至服務端方向cache中無緩存數(shù)據(jù)，收到客戶端發(fā)向服務端的第一個數(shù)據(jù)包后，在數(shù)據(jù)包中查找到命令結(jié)束標志“ ”,提取第一條完整消息“AA bbbb ”進行解析；繼續(xù)查找命令結(jié)束標志“ ”，提取第二條消息“CC dddd ”進行解析；繼續(xù)無命令結(jié)束標志，則將不完整消息“EE ff”復制到客戶端至服務端方向cache中緩存，該數(shù)據(jù)包處理完畢；經(jīng)過一段時間間隔后，收到客戶端發(fā)向服務端的第二個數(shù)據(jù)包“ff ”,在數(shù)據(jù)包中查找到命令結(jié)束標志“ ”,此時將cache中數(shù)據(jù)與第二個數(shù)據(jù)包中數(shù)據(jù)合成完整的第三條消息“EE ffff ”,并將客戶端至服務端發(fā)向cache中數(shù)據(jù)清空，至此第二個數(shù)據(jù)包處理完畢。

圖3 數(shù)據(jù)包處理算法執(zhí)行實例

該數(shù)據(jù)包處理算法，直接在新到數(shù)據(jù)包中查找結(jié)束標志，若相應方向存在緩存數(shù)據(jù)，與緩存數(shù)據(jù)進行拼接組成完整消息，不存在緩存數(shù)據(jù)，則直接提取完整消息，并將最后不完整的消息進行緩存以等待后續(xù)數(shù)據(jù)到來，而不需要將新到數(shù)據(jù)包全部進行緩存再進行提取完整消息，有效節(jié)約緩存空間，簡單高效。

2.1.2 FTP命令/響應解析

在數(shù)據(jù)包處理算法提取出完整消息后，首先根據(jù)系統(tǒng)需求，調(diào)用命令黑名單模塊，必要時阻斷命令或會話。該操作可實時監(jiān)控用戶不合理行為，及時阻止，而不至于產(chǎn)生不可逆后果后再追查審計日志追究責任。對于允許執(zhí)行的命令，進行接下來的解析工作。

FTP命令解析算法如下：

Algorithm2 FTP Comamnd Parse

1: command ← getcommand(msg)

2: if command is USER then

3: get the user name

4: else if command is PASS then

5: get the password

6: else if command is PORT then

7: get the standard mode client IP and port for data flow

8: else if command is LIST or NIST or RETR or STOR or STOU or APPE then

9: process the infomation of data flow

10: end if

11: generate audit logs

FTP響應解析算法如下：

Algorithm3 FTP Response Parse

1: code ← getcode(msg)

2: count ← total number of incorrect login

3: if code is 230 then

4: set the login successful state

5: else if code is 530 then

6: set the login incorrect state

7: count ←count + 1

8: else if code is 227 then

9: get the passive mode server IP and port for data flow

10: end if

11: generate audit logs

FTP命令眾多，解析過程中可選擇性地關(guān)注特定命令，如USER，通過該命令獲取登錄用戶名。對于暫不關(guān)注的命令，只需將命令響應生成審計日志，傳送至數(shù)據(jù)中心即可。

2.1.3 FTP數(shù)據(jù)流信息處理

FTP控制流解析，在正確解析命令、響應時獲得數(shù)據(jù)流信息，為解決底層FTP數(shù)據(jù)流識別問題以及數(shù)據(jù)流生成完整文件審計數(shù)據(jù)問題，還需將數(shù)據(jù)流信息傳遞。數(shù)據(jù)流信息以七元組(control_infoP,data_mode,s_ip,s_port,c_ip,c_port,file_name)來表示，稱為DFI(Date Flow Information)，其中control_infoP為指向控制流信息指針，data_mode為數(shù)據(jù)流傳輸模式，s_ip為數(shù)據(jù)流服務端ip，s_port為數(shù)據(jù)流服務端端口，c_ip為數(shù)據(jù)流客戶端ip，c_port為數(shù)據(jù)流客戶端端口， file_name為傳輸?shù)奈募蛭募夸浢?，同時定義DFIP為指向DFI的指針。

當FTP會話下只有一個數(shù)據(jù)流時，控制流收到引起數(shù)據(jù)流傳輸?shù)闹噶詈?，?chuàng)建DFI，當未知TCP流到達時,底層模塊通過與該DFI進行匹配來識別FTP數(shù)據(jù)流，分為兩種情況：(1) 若DFI中數(shù)據(jù)流傳輸模式為standard模式，則底層模塊需將數(shù)據(jù)流的客戶端IP、客戶端端口、服務端IP、服務端端口完整的四元組信息與已有DFI鏈表中每一項進行匹配；(2) 若DFI中數(shù)據(jù)流傳輸模式為passive模式，該模式下，我們并不能在控制流解析到數(shù)據(jù)流客戶端IP與端口，F(xiàn)TP協(xié)議并不要求客戶端數(shù)據(jù)流IP與控制流IP一致，這會帶來安全隱患[14]，在網(wǎng)絡安全審計系統(tǒng)中，我們不支持數(shù)據(jù)流IP與控制流客戶端IP不一致的情況，因此需將客戶端IP、服務端IP、服務端端口與已有DFI進行匹配。若匹配，則該TCP流為FTP數(shù)據(jù)流，將DFIP傳遞給FTP數(shù)據(jù)流解析，若不匹配，則該TCP流不為FTP數(shù)據(jù)流，進行其他處理。

當FTP會話下出現(xiàn)多個數(shù)據(jù)流時[15]，單個DFI顯然不能對所有數(shù)據(jù)流進行區(qū)分，因此需要為每個數(shù)據(jù)流建立相應DFI，所有的DFI以鏈表形式保存。當未知TCP流到達時，底層模塊首先需判斷該連接可能為FTP數(shù)據(jù)流的哪種數(shù)據(jù)連接模式，若發(fā)起TCP連接的端口為20，則此時為FTP服務端主動發(fā)起連接，為standard模式，若發(fā)起TCP連接的端口不為20，則此時可能為FTP客戶端發(fā)起連接，為passive模式。判斷出模式后，將該TCP流信息與所有DFI項進行匹配，匹配方法與單數(shù)據(jù)流匹配方法一致。若發(fā)現(xiàn)匹配項，則該數(shù)據(jù)流為FTP數(shù)據(jù)流，并將相應DFIP傳遞給FTP數(shù)據(jù)流解析，若未發(fā)現(xiàn)匹配項，則該數(shù)據(jù)流不為FTP數(shù)據(jù)流，進行其他處理。DFI數(shù)據(jù)結(jié)構(gòu)及DFIP傳遞,如圖4所示。

圖4 DFI數(shù)據(jù)結(jié)構(gòu)及DFIP傳遞

2.2 FTP數(shù)據(jù)流解析

FTP數(shù)據(jù)流解析模塊通過底層傳遞的DFIP，可直接獲得FTP控制流、文件名等信息。正常情況下，F(xiàn)TP控制連接會存在于會話整個生命周期，但存在控制連接先于數(shù)據(jù)連接關(guān)閉的異常情況。當控制連接先關(guān)閉DFI被釋放時，若數(shù)據(jù)流還未來得及關(guān)閉TCP連接，此時FTP數(shù)據(jù)流解析試圖通過DFI獲取信息則會發(fā)生錯誤，且無法保證生成DFI加入鏈表后，相應數(shù)據(jù)連接一定會建立成功。因此為保證DFI內(nèi)存管理的正確性，在FTP數(shù)據(jù)流初始化時，通過底層傳遞的DFIP讀取出DFI數(shù)據(jù)流信息并保存，而不在整個數(shù)據(jù)流傳輸過程中都依賴底層傳遞的DFIP。所有DFI占用的內(nèi)存空間，在控制流斷開連接時統(tǒng)一釋放。

通過DFIP的傳遞，數(shù)據(jù)流得到控制流、文件名等信息，加之數(shù)據(jù)流所傳輸數(shù)據(jù)生成完整文件審計數(shù)據(jù)，以文件日志形式發(fā)送至數(shù)據(jù)中心。

3 實驗測試及分析

基于Caviun OCTEON CN6645多核網(wǎng)絡處理器[16]，我們實現(xiàn)了網(wǎng)絡安全審計系統(tǒng)HL-Audit，并在一個處理器核心上運行FTP解析策略。本文利用IXIA測試儀模擬FTP客戶端與服務端，在上述嵌入式平臺下針對系統(tǒng)每秒事物處理量與吞吐率進行了測試。圖5為系統(tǒng)測試框圖。

圖5 系統(tǒng)測試框圖

3.1 每秒事務處理量測試

每秒系統(tǒng)能夠處理的事務量，是衡量系統(tǒng)處理能力的重要指標，實驗針對客戶端下載64 KB文件時，系統(tǒng)的每秒事務處理量進行了測試，測試結(jié)果顯示，平穩(wěn)階段系統(tǒng)每秒事務處理量大于3萬，測試結(jié)果如圖6所示。

圖6 系統(tǒng)每秒事務處理量測試結(jié)果

3.2 吞吐率測試

在存在文件傳輸?shù)那闆r下，系統(tǒng)吞吐率是很重要的一個指標，實驗針對常規(guī)方法只解析FTP控制流與本文策略通過DFIP傳遞解析控制流與數(shù)據(jù)流兩種情況進行了系統(tǒng)吞吐率測試，測試過程中客戶端下載服務端1 GB的文件，測試結(jié)果如圖7所示。

圖7 系統(tǒng)吞吐率測試結(jié)果

在常規(guī)方法只解析數(shù)據(jù)流沒有DFIP傳遞的情況下，底層模塊無法識別FTP數(shù)據(jù)流，故FTP數(shù)據(jù)流直接通過系統(tǒng)，系統(tǒng)也無法生成實時審計日志；而通過本文策略，當經(jīng)過DFIP的傳遞后，F(xiàn)TP數(shù)據(jù)流會經(jīng)過底層模塊識別匹配，并提交FTP協(xié)議解析模塊進行解析，由FTP解析模塊實時產(chǎn)生文件日志，而此時系統(tǒng)的吞吐率只是略低于直接通過的情況，F(xiàn)TP解析策略工作效果較好，DFIP的傳遞并沒有給系統(tǒng)造成過大負擔。

4 結(jié) 語

本文提出了網(wǎng)絡安全審計系統(tǒng)中FTP協(xié)議解析策略。該策略可以正確解析FTP協(xié)議，識別用戶名、密碼；在控制流端獲取FTP數(shù)據(jù)流信息，解決了底層模塊FTP數(shù)據(jù)流的識別問題；在控制流端獲取FTP數(shù)據(jù)流文件名等信息，通過DFIP的傳遞，實時關(guān)聯(lián)數(shù)據(jù)流信息；快速生成審計日志。通過分析日志，可確定哪個用戶在什么時間進行了哪些操作，實現(xiàn)安全審計。下一步的目標是利用多核平臺的特性，實現(xiàn)性能的優(yōu)化。

本文在解決網(wǎng)絡安全審計系統(tǒng)中FTP協(xié)議解析問題的同時，也為其他多TCP連接的協(xié)議解析提供參考。

[1] 通用準則發(fā)起組織.ISO/IEC 15408 信息技術(shù)安全性評估通用準則2.0版[S].1998.

[2] 張濤,余煬,李弋.Linux服務器安全審計系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機應用與軟件,2014,31(5):17-22,75.

[3] 陳泉清.基于協(xié)議解析的網(wǎng)絡安全審計系統(tǒng)的設(shè)計與實現(xiàn)[D].成都:電子科技大學,2014.

[4] 江浩,朱巧明,錢培德.一種高效的FTP流量統(tǒng)計方法及應用[J].計算機工程與科學,2007,29(1):30-32,69.

[5] 蔡勇.FTP服務器技術(shù)研究及實現(xiàn)[D].成都:電子科技大學,2005.

[6] Rani L,Narula P,Panchal N.Ftp-the file transfer protocol[J].International Journal of Research,2014,1(9):1029-1031.

[7] 孟欣.基于FTP的文件高效上傳方法的研究與實現(xiàn)[D].廣州:華南理工大學,2014.

[8] 梁秀花.淺談FTP協(xié)議在網(wǎng)絡傳輸中的應用[J].計算機光盤軟件與應用,2014,17(14):137-138.

[9] Li W,Hu X,Jia Y,et al.Proxy-based FTP secure audit technology[C]//Software Engineering and Service Science (ICSESS),2014 5th IEEE International Conference on.IEEE,2014:667-670.

[10] 史軼.基于應用協(xié)議分析的網(wǎng)絡信息監(jiān)控系統(tǒng)[D].哈爾濱:哈爾濱工程大學,2008.

[11] 李軍,倪宏,陳君,等.一種應用層協(xié)議解析加速算法[J].四川大學學報(工程科學版),2014,46(4):87-93.

[12] 劉靜菠,劉嘉勇,唐龍.基于應用層特征的TCP數(shù)據(jù)流重組方法研究[J].信息安全與通信保密,2014(5):111-113.

[13] 呂冠橋,柳寒冰,鄧曉紅.基于TCP協(xié)議的網(wǎng)絡擁塞控制算法設(shè)計[J].軟件導刊,2014,13(1):56-59.

[14] 黃世權(quán).FTP協(xié)議分析和安全研究[J].微計算機信息,2008,24(2-3):93-94,264.

[15] 蔡艷麗.基于FTP協(xié)議網(wǎng)絡流量模擬的設(shè)計與實現(xiàn)[J].海軍航空工程學院學報,2014,29(3):221-224.

[16] Cavium Inc.OCTEON II CN66XX Multi-Core MIP S64 Processors[OL].(2015-11-17).[2016-03-28].http://www.cavium.com/OCTEON-II_CN66XX.html.

RESEARCH ON FTP PARSING STRATEGY IN NETWORK SECURITY AUDIT SYSTEM

Yan Lu1,2Deng Haojiang1Chen Xiao1Ye Xiaozhou1

1(NationalNetworkNewMediaEngineeringResearchCenter,InstituteofAcoustics,ChineseAcademyofSciences,Beijing100190,China)2(UniversityofChineseAcademyofSciences,Beijing100039,China)

Common firewall, anti-virus, intrusion detection and other systems, for the prevention of external illegal invasion have a certain role, but for the prevention of internal staff on the enterprise network and other network damage has little effect. Network security audit system for internal network monitoring, has been more and more attention. Because of its simplicity and ease of use, FTP is widely used in enterprise networks. Aiming at the characteristics of FTP protocol control flow and real-time data flow separation, a parsing strategy based on packaging and transmitting the data flow information is proposed, which can realize the correct parsing of FTP command and response, obtain real-time data flow port, associate data flow information, and generate audit log in real time. The strategy is implemented based on the network processor platform. In the steady phase, the system transaction per second is more than 30 000, and the throughput reaches 1 300 Mbps.

Network security audit system FTP parsing Control flow Data flow

2016-04-06。中國科學院戰(zhàn)略性先導科技專項課題(XDA06010302)。閆露，博士生，主研領(lǐng)域：寬帶通信和信息安全。鄧浩江，研究員。陳曉，研究員。葉曉舟，研究員。

TP3

A

10.3969/j.issn.1000-386x.2017.05.053