各種調查、眾多事例以及媒體報道都在關注同樣一個重大問題，即電信與計算機網絡的安全性需求日益增長。
《CSO》-《首席安全官》雜志、美國聯(lián)邦經濟情報局以及 CERT 協(xié)調中心于 2004 年進行的一項調查[1]顯示，受調查的網絡安全或IT部門的管理人員及執(zhí)法部門人員中有 77% 稱其所在機構遭受過電子犯罪（特別是惡意軟件代碼的攻擊）。這種代碼的范圍十分廣泛，其中包括病毒、蠕蟲、特洛伊木馬、間諜軟件以及后門軟件等。
第二種最常見的電子犯罪是拒絕服務 (DoS) 攻擊，約有 44% 的受調查者受到過其影響。 Cisco 近期收購了一家剛成立一年的新創(chuàng)公司 NetSift，這進一步說明電子犯罪迫切需要我們的高度重視 [2]。
與有關電子犯罪進行斗爭，通常采取的方法是簽名模式匹配 (signature pattern matching)，即掃描進入流量是否包含已知的惡意代碼。隨著網絡的訪問節(jié)點從快速以太網發(fā)展到千兆以太網，骨干網絡連接速度也從 OC-192 (10 Gbits/s) 上升到 OC-768 (40 Gbits/s)。;
;對于這種線路速度而言，采用軟件檢查數(shù)據包的方法已經很不實用了，因為我們幾乎沒有時間來進行上述檢查。這種情況要求我們采用基于硬件的數(shù)據包監(jiān)測工具 (packet monitor) 來跟上線路傳輸速度的要求。同時，路由器必須處理的簽名（或規(guī)則）數(shù)量也從 10 年前的約 1,000 個增長到了目前支持細分服務的網絡中的數(shù)千個。
規(guī)則數(shù)據庫規(guī)定應如何對進入的數(shù)據包進行分類、細分服務、安全性、負載平衡以及流量測量等方面的處理。這些數(shù)據庫包含有10萬條規(guī)則，目前正處于探討之中，在今后一兩年內預計就可以應用于網絡中[3]。由于網絡處理器本身就是高度優(yōu)化的專用集成電路 (ASIC) 器件，根據數(shù)據庫中規(guī)定的規(guī)則執(zhí)行高速模式匹配工作，因此其能夠很好地滿足打擊電子犯罪的要求。
;

以上的圖 1 顯示了典型的入侵檢測系統(tǒng)，該系統(tǒng)在 IDS 中采用網絡處理器，用于進行簽名匹配。
以下圖 2 顯示的簡單 (Aho – Corasick) 算法采用狀態(tài)機在進入流量中搜索所有已知的惡意簽名。搜索從根節(jié)點 (root node) 開始。只要有新的字符抵達，就會根據到達字符來改變狀態(tài)。如果出現(xiàn)紅色節(jié)點，就意味著找到了簽名，并隨之采取糾正措施，如避免該數(shù)據包進入 LAN，將其存儲用作隨后的分析并向有關管理部門發(fā)出告警等。


如果新字符未發(fā)現(xiàn)問題，也沒有出現(xiàn)在目錄樹中，則搜索會重置為 START 節(jié)點。我們還采用 Bloom 過濾器等技術來提高效率，從而改善上述工作方法 [4]。 Bloom 過濾器作為預處理器工作，在識別可能有害的代碼的同時讓大多數(shù)正常信息流通過，查到的潛在有害的代碼要進行全面檢查，從而降低檢查系統(tǒng)的負荷。
DDoS 攻擊
拒絕服務 (DoS) 攻擊會使合法用戶不能從所需的資源處獲得服務，這種攻擊手段通常使用大量無用信息流量使網絡處于癱瘓狀態(tài)。大量無用信息會使服務供應方（如 web 服務器）過載，從而導致無法交付服務。DoS 攻擊還有可能導致系統(tǒng)之間不能實現(xiàn)彼此通信。
分布式拒絕服務 (DDoS) 攻擊采用“多對一”的方式進行攻擊，通常會控制數(shù)臺僵尸機 (zombie machine)（即在主人不知情的情況下被控制用來進行攻擊的系統(tǒng)）同時向目標服務供應方系統(tǒng)進行攻擊。針對這種攻擊，我們提出了相關解決方案 [6]。典型的方法是將合法信息流量與大量的 DdoS 流量相分離，忽略旨在消耗資源的非法流量，同時繼續(xù)為合法流量提供服務。我們可以通過同時采用以下技術來實現(xiàn)上述目的：;
;- 將客戶端（如 web 瀏覽器）重新指向新的服務器 IP 地址與端口號，從而識別包含真實 IP 源地址的數(shù)據包，并剔除欺騙性數(shù)據包。由于重定向進程可針對客戶端的IP 源地址采用消息認證代碼 (MAC)，因此我們能夠識別并剔除欺騙性數(shù)據包。
- 如攻擊者用合法 IP 地址進行攻擊，則應采取配額系統(tǒng) (quota system) 來應對。這可確保所有客戶端系統(tǒng)不會非法消耗大量可用資源，從而避免了客戶端不能獲得服務的情況發(fā)生（即拒絕服務）。;
;- 讓客戶端（如 web 瀏覽器）“解決”密碼問題。該技術讓客戶端（如本例中的 web 瀏覽器）必須承擔一定的計算任務才能獲得所需的服務（如下載網頁）。相關可行性算法[5]能夠確保讓請求服務的客戶端（通常為最終用戶的計算機終端）執(zhí)行適量的計算任務，這樣就能避免過載。我們強制客戶端計算機終端每次都為獲得所請求的服務執(zhí)行小量的計算，這樣就能查出黑客是否已經控制僵尸機來進行攻擊。
有鑒于此，只要系統(tǒng)發(fā)生危險，就會向系統(tǒng)主人與主管部門發(fā)出告警。只要實施良好的 IT 策略，企業(yè)就能解決攻擊者控制僵尸機的問題，從而贏得打擊電子犯罪的戰(zhàn)斗。
-盡管我們事先不能確切了解會發(fā)生什么情況，但采用算法可測量通信流量是否正常[7]。我們可用網絡處理器中提供的精細粒度流量測量功能來識別可疑的流量模式