Hyperscan 在Rspamd中的应用

最新推荐文章于 2024-05-09 10:02:25 发布
最新推荐文章于 2024-05-09 10:02:25 发布
阅读量999 收藏 2
点赞数
分类专栏: 网络安全系列 文章标签: hyperscan
原文链接:https://blog.csdn.net/weixin_37097605/article/details/101514309
版权

本文将介绍Hyperscan在电子邮件过滤系统Rspamd中的应用。

 

Rspamd简介 

Rspamd(https://www.rspamd.com)是一款快速、免费、开源的电子邮件过滤系统,由主进程、扫描进程、控制器和服务进程等部分构成。 

 

0?wx_fmt=jpeg

电子邮件过滤系统长期以来一直是模式匹配技术的重要用户,通常要求扫描通过邮件服务器的每个消息,对大量的正则表达式规则集进行匹配。Rspamd也不例外,每条MIME(Multipurpose Internet Mail Extensions)消息的各个部分都对应有预定义的正则规则集,Rspamd扫描消息各部分来检测是否有对应正则规则集上的匹配。原生的Rspamd使用PCRE做正则表达式匹配工作,但PCRE只能在一次扫描中对单条正则表达式进行匹配,对于大规模正则规则集需要对相同输入进行多次扫描。

 

0?wx_fmt=jpeg

Hyperscan在Rspamd中的应用 

自Rspamd 1.1 release开始,将Hyperscan集成其中,用于处理正则表达式匹配任务。其关键点在于下述几个方面: 

高性能 

Hyperscan在单条正则表达式匹配上的表现比PCRE更加优秀。此前有专门的文章(从PCRE到Hyperscan)介绍对比测试的结果。 

多模式匹配 

一种简单的解决方案是将多条正则规则用“或”合并成单条,例如:/abc/, /cde/, /efg/ 三条规则可以合并为 /(abc)|(cde)|(efg)/

但并非所有情况都可以这样做。通常我们的正则表达式是带有标志的,例如: 

/foo.*bar/H  –  单次匹配

/[a-f]{6,10}/i  –  忽略大小写

/^GET\s.*HTTP/m  –  支持换行

这些正则表达式无法简单的用”或”合并,但对于Hyperscan而言并不是问题。

多模式匹配(MPM: Multi-Pattern Matching)是Hyperscan的一大优势,Hyperscan支持对多条正则规则进行一次编译以及对输入数据进行一次扫描便找出其中所有的匹配。相比PCRE,这将大幅减少所需扫描的数据量,且在性能方面更优于对每条正则规则进行逐次扫描的累加结果。(参考:从PCRE到Hyperscan)  

预过滤模式支持 

目前Hyperscan不能全面覆盖PCRE的语法,不支持反向引用(Back Reference)和零宽断言

(Zero-Width Assertion)。但由于Hyperscan相对PCRE的性能优势,可以将这类Hyperscan不支持的语法转化为一个超集且为Hyperscan支持的语法做预过滤匹配。例如:

/foo(\d)+bar\1baz/ 转化为 /foo(\d)+bar(\d)+baz/

转化后的正则表达式与未经转化的正则表达式一起编译,对输入数据进行扫描,产生数处匹配。对正常匹配直接报告;对预过滤产生的匹配用PCRE做一次确认,确认成功才报告。如下图:  

0?wx_fmt=jpeg

Hyperscan预过滤模式使用 

Rspamd中对正则规则集中每条正则表达式做检查,确认是否为Hyperscan所支持,或者是否可使用Hyperscan预过滤功能。流程如下图所示:  

0?wx_fmt=jpeg

 

各阶段是调用什么API实现的呢?下面简要说明: 

Try Hyperscan 

hs_compile(pats[i], flags[i], …) 

Use Hyperscan 

hs_pats[n] = pats[i]

hs_flags[n] = flags[i]

hs_ids[n++] = i 

Try Prefilter 

hs_compile(pats[i], flags[i] | HS_FLAG_PREFILTER, …) 

Use Prefilter 

 hs_pats[n] = pats[i]

 hs_flags[n] = flags[i] | HS_FLAG_PREFILTER

 hs_ids[n++] = i 

其中pats[], flags[]数组保存整个正则规则集及其标志。Hyperscan或预过滤支持的正则表达式及其标志和id被保存在hs_pats[], hs_flags[], hs_ids[]数组中,使用预过滤功能的正则表达式在对应标志中加入了HS_FLAG_PREFILTER标志位。

准备工作完成后,Hyperscan对hs_pats[]中的所有正则表达式统一进行编译及序列化,由扫描进程读取并反序列化后使用,如下列图所示: 

0?wx_fmt=jpeg

0?wx_fmt=jpeg

0?wx_fmt=jpeg

其编译期和运行期所调用的API为: 

HS Compiler (可左右滑动) 

 hs_compile_multi(hs_pats, hs_flags, hs_ids, n, …, &hs_db, …)

 hs_serialize_database(hs_db, &hs_serialized, &serialized_len) 

Scanner(可左右滑动)

 hs_deserialize_database(ptr, len, &hs_db)

 hs_alloc_scratch(hs_db, &hs_scratch)

 hs_scan(hs_db, data, len, 0, hs_scratch, cb, cb_data) 

性能数据 

下面是一组来自于Rspamd作者Vsevolod Stakhov提供的测试数据,对于相同长度的消息,原生Rspamd与集成Hyperscan的Rspamd在扫描匹配用时、扫描数据量等方面进行了比较: 

原生Rspamd(只使用PCRE): 

len: 610591, time: 882.251ms

regexp statistics:

          4095 pcre regexps scanned, 

          694M bytes scanned using pcre 

集成Hyperscan的Rspamd(Hyperscan + Prefilter + PCRE): 

len: 610591, time: 309.785ms

regexp statistics:

           34 pcre regexps scanned, 

           8.41M bytes scanned using pcre, 

           9.56M bytes scanned total 

 

 

详情可参考以下文档:

https://www.slideshare.net/VsevolodStakhov/rspamdhyperscan

技术探索者
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用pcre弥补hyperscan的不足,实现hyperscan贪婪匹配
梦想专栏
09-16 430
Hyperscan专注于高性能的正则表达式匹配,并提供了一些高级功能(如多模式匹配和流式匹配),但在贪婪匹配方面的支持较有限。因此在一些特殊的场景下,我们需要使用使用hyperscan作为快速检索的手段,但是为了能够主动提取,我们需要使用pcre来协助使用。通常是由正则表达式引擎处理的特性,但Hyperscan的设计目标是高性能和可扩展性,因此它采用了一种针对高速匹配的扫描算法,而不是传统的回溯算法。假设我们匹配的目标是一个网站的信息,我们匹配需要快速匹配URL,然后提取Header部分的信息。
java使用hyperscan代码及资源
05-07
Hyperscan 是一个高性能的并行扫描库,主要用于网络和安全应用的正则表达式匹配。它利用硬件加速功能,能够在大规模数据流快速识别模式。在 Java 集成 Hyperscan 可以极大地提升正则表达式处理的效率。下面将...
intel提供的开源检测引擎库,hyperscan
11-27
hyperscan提供的开源检测引擎库,2015年10月刚刚开源,这给使用DPI引擎的厂家多了一个参考选择,以往常用的库多采用PCRE,现在hyperscan可以基于DPDK提供30%的性能,对于X86架构的产品是个福音
hyperscan在IPS/IDS产品应用
focus on security
12-06 789
hypercan简介 hyperscan是基于intel的高速正则表达式匹配引擎,这个基于状态机(Automata)的引擎经过了多年开发经过不断优化与完善,效率非常之高,虽然没有pcre等对正则语法支持全面,但非常适用于网络设备。用户可以在网络设备数据面(Data Plane)使用hyperscan进行规则匹配,实现高性能DPI/lPS/IDS等应用 API说明文档: http://01org.github.io/hyperscan/dev-reference/getting_started.h..
Rspamd:高效智能的邮件过滤系统
最新发布
gitblog_00013的博客
05-09 380
Rspamd:高效智能的邮件过滤系统 项目地址:https://gitcode.com/rspamd/rspamd 项目简介 Rspamd 是一个先进的垃圾邮件过滤系统和电子邮件处理框架,它采用了一系列规则进行消息评估,包括正则表达式、统计分析以及自定义服务,如URL黑名单。每个邮件都会经过Rspamd的分析,并给出判断结果,这些结果可以被MTA(邮件传输代理)用来决定如何进一步处理邮件,比如拒...
宝塔面板 邮局管理器 rspamd未安装 无法修复问题的解决办法
weixin_42628646的博客
11-27 4828
宝塔面板安装“宝塔邮局管理器”后,检查邮局环境时,会有提示rspamd未安装的情况,并且此时修复无效。目前已找到原因和完整的解决方案,详见正文。
Rspamd未安装,请点击修复按钮
卡农的魔笛
04-30 3710
宝塔安装邮局,提示Rspamd未安装,请点击修复按钮 ,点修复几次没有效果,只能手动安装Rspamd了 手动安装: [root@l]# yum install -y rspamd Last metadata expiration check: 0:54:44 ago on Sat 30 Apr 2022 08:44:45 AM CST. Error: Problem: conflicting requests - nothing provides libunwind.so.8()(64bi.
hyperscan函数说明
10-09
1. **模式集(Pattern Set)**: 在`hyperscan`,用户可以定义一组正则表达式,这些表达式组成模式集。每个模式都有一个唯一的ID,用于在匹配时区分不同的正则表达式。 2. **数据库(Database)**: 模式集经过编译...
hyperscan规则库生成及匹配代码
01-20
hyperscan规则库生成及匹配代码】是一个与高性能扫描引擎Hyperscan相关的实践示例,主要用于在Linux环境创建和应用正则表达式规则。Hyperscan是一款高效的并行扫描库,它支持多个模式的并行匹配,广泛应用于网络...
Hyperscan 在鲲鹏服务器上进行版本编译的指导
10-14
Hyperscan 在鲲鹏服务器上进行版本编译的指导 Hyperscan 是一款来自于 Intel 的高性能正则表达式匹配库。它是以 PCRE 为原型开发的,具有高性能和高scalability的特点。以下是 Hyperscan 在鲲鹏服务器上进行版本...
hyperscan安装包.zip
04-14
Hyperscan 5.1.0 安装包 Hyperscan 5.1.0 ,ragel-6.10.tar.gz,boost_1_69_0.tar.gz
hyperscan 安装测试以及性能分析报告
02-23
2015年10月19日,intel将它的高速正则表达式匹配引擎hyperscan开源了,版本4.0,基于BSD许可。这个基于自动机(Automata)的引擎经过了多年开发(2008年起),经过不断优化与完善,效率非常之高,虽然没有pcre等对正则语法支持全面,但非常适用于网络设备。用户可以在网络设备数据面(Data Plane)使用hyperscan进行规则匹配,实现高性能DPI/lPS/IDS等应用。之前开源的dpdk,搭配hyperscan,简直是双剑合璧。 从此之后,DPI/IPS/IDS/NGFW开发人员可以把精力更多地放在业务上,而不需要苦于优化报文转发(dpdk之功)和规则匹配(hyperscan之力)的性能。对于DPI来说,从此之后,也许特征/规则才是核心价值,软件本身已经不重要了。而基于dpdk的软件产品,凭借其不输太多的性能、较低的成本、较低的开发门槛和灵活性,也对相同功能的硬件产品发起了挑战。
rspamd:快速垃圾邮件过滤系统-开源
05-03
以C标题编写的快速反垃圾邮件系统,可实现基于最佳分数的邮件分析。
rspamd:快速垃圾邮件过滤系统
01-31
介绍 是高级垃圾邮件过滤系统和电子邮件处理框架,它允许通过许多规则评估邮件,包括正则表达式,统计分析和自定义服务(例如URL黑名单)。 Rspamd对每条消息进行分析,并给出一个决定,MTA可能会将该结论与其他信息(例如可能的DKIM签名或为消息建议的修改)一起用于进一步处理(例如,拒绝消息或添加表示垃圾邮件的特殊标头) 。 Rspamd可以充当允许与流行的MTA系统(如Postfix或Sendmail)直接交互。 Rspamd旨在每秒每秒处理数百条消息,并提供许多有用的功能,其包括允许访问各个方面的消息处理的全面以及用于访问外部资源(例如DNS,HTTP或HTTP)的网络API。甚至通用的TCP / UDP服务。 入门 是研究如何安装和配置Rspamd的一个很好的起点。 Rspamd被用于主要Linux发行版,也可以通过,NetBSD 和。 我们建议您使用Rspamd项目提供的软件包(如果适用于您的操作系统),而不要使用某些Linux发行版可能提供的软件包,因为它们通常已经过时,并且不能提供理想的垃圾邮件过滤质量,也不受Rspamd项目支持。 垃圾邮件过滤功能 Rspamd
邮件服务器DNS设置(MX、SPF、DKIM)记录详解
07-26
DNS记录,需要你到你的域名托管商那里进行设置或者你自己管理DNS服务器。不少域名托管商不支持txt记录或者不支持DKIM记录,所以你就无法使用SPF和DKIM的功能。 DNS的修改,需要48小时以上才能生效。 国内的万网是不支持DKIM,目前新网是支持SPF和DKIM
【无标题】
yousila的博客
10-18 382
关于linux在宝塔面板安装邮局时出现Rspamd Rspamd未安装问题的解决方案
hyperscan C APIstream相关接口总结
zhaojia_carol的博客
07-31 2677
1.基本的正则表达式编译器 这是将表达式编译到Hyperscan数据库的函数调用,该数据库可以传递给运行时函数(例如hs_scan(),hs_open_stream()等)。 hs_error_t hs_compile(const char * expression, unsigned int flags, unsigned int mode, const hs_platform_info_t * platform, hs_database_t ** db, hs_compile_error_t ** e
Hyperscan_in_Rspamd
weixin_37097605的博客
09-01 396
DPDK之前我们介绍过Hyperscan在IDS/IPS解决方案Snort、Suricata应用。本文将介绍Hyperscan在电子邮件过滤系统Rspamd应用。...
Rspamd_rule_compromised_hosts.lua自己的理解
Twilightuse93的专栏
07-07 515
以下是我对Rspamd系统的规则compromised.lua一些理解。HAS_PHPMAILER_SIG: description = "PHPMailer signature”,用于检测PHPMailer。 re = "X-Mailer=/^PHPMailer/Hi || Content-Type=/boundary=\”b[123]_/Hi",正则表达式:用于匹配消息的头部信息X-Mail
hyperscan java
09-07
Hyperscan是一种高性能的多模式匹配库,它可以用于在大规模数据集上进行快速有效的模式匹配。Hyperscan可以应用于多个领域,包括网络安全、数据分析和文本处理等。 Hyperscan具有Java绑定,使得开发人员可以在Java环境使用Hyperscan的功能。这个绑定包含了Java API和JNI(Java Native Interface)库,可以方便地将Hyperscan集成到Java应用程序。 使用Java绑定,开发人员可以充分利用Hyperscan的高性能和并行处理能力。Hyperscan支持多线程并行匹配,可以利用多核处理器的优势来提高匹配速度。此外,Hyperscan还提供了多种性能优化选项,如SIMD指令集和高效的数据结构,可以进一步提高匹配性能。 通过使用Hyperscan Java绑定,开发人员可以轻松地构建强大的模式匹配应用程序。他们可以使用高级的正则表达式和模式集合来描述待匹配的模式,并可以对匹配结果进行定制化的操作。此外,Hyperscan还提供了丰富的数据访问接口,便于开发人员获取匹配的详细信息。 总而言之,Hyperscan Java绑定为Java开发人员提供了一种方便和高效地使用Hyperscan的方式,使他们能够在Java应用程序进行快速有效的模式匹配。无论是进行网络安全分析、大规模数据处理还是文本搜索,Hyperscan都可以为Java开发人员提供强大的支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值