针对高速RDMA云环境下缺乏灵活且高效的访问控制列表（ACL）机制的问题，本文提出Janus系统。RDMA网络虽然性能极高，但现有安全方案（如基于软件的ACL或静态规则）无法同时满足表达能力和线速转发。Janus通过设计一种新的流规则表达语言，允许管理员精细定义基于五元组、协议状态、数据偏移等条件的过滤策略，并利用可编程交换硬件（如P4）实现规则编译与卸载，从而消除软件处理瓶颈。此外，Janus引入规则聚合与冲突检测算法，在保证语义正确的前提下压缩规则表项，适配有限的硬件资源。实验基于裸金属RDMA集群与仿真环境，分别测试吞吐量、延迟、规则容量和更新延迟。结果表明，相比传统方法（如iptables、OpenFlow），Janus在保持微秒级延迟的同时，ACL规则数减少约40%，吞吐量损耗低于3%。Janus还支持动态更新，规则变更可在毫秒内生效。该工作为RDMA云租户隔离与安全策略实施提供了可落地的解决方案。

本文提出了一种名为Jaqen的新型系统，利用可编程交换机（如P4交换机）在数据平面实现高吞吐量的DDoS攻击检测与缓解。传统基于软件的DDoS防御方案受限于CPU处理能力，难以应对超大规模流量攻击；而纯硬件方案又缺乏灵活性。Jaqen通过将检测和缓解逻辑直接部署在可编程交换机上，在保持线速处理（数十Tbps）的同时，实现了细粒度的流量分析和精准的恶意流量过滤。系统设计包括三个关键组件：1）轻量级的特征提取模块，利用交换机的寄存器、哈希和计数器资源实时计算数十种流量特征（如包速率、熵值、源IP分布等）；2）基于决策树的在线检测模型，通过硬件流水线实现低延迟分类；3）自适应缓解策略，支持动态更新过滤规则以响应攻击变化。在基于P4软件交换机（BMv2）和硬件交换机（Tofino）的原型评估中，Jaqen在100Gbps线速下能够检测多种DDoS攻击（如SYN Flood、DNS放大、UDP反射），误报率低于5%，且对正常流量的影响小于1%。实验还表明，Jaqen对加密流量攻击同样有效（利用元数据而非净荷）。该工作为数据平面可编程安全提供了新的范例，适合网络运维和研究人员借鉴。

本文提出Chimera，一个针对P4可编程网络基础设施的模糊测试工具，旨在检测跨控制平面和数据平面的多平面漏洞。传统P4安全研究主要关注数据平面，忽略了与控制平面的交互。作者通过分析开源P4实现中的历史漏洞报告，发现许多漏洞源于两个平面之间的相互影响。Chimera采用混合执行（concolic execution）来捕获控制-数据平面的交互，并提出了两种新的输入变异策略：解析器感知数据包变异（PAPM）和头部引导规则生成（HGRG），以利用跨平面和P4程序的依赖关系。在ONOS、Stratum和BMv2三个平台上的评估中，Chimera发现了7个新bug，包括3个安全关键漏洞，其中2个由多平面输入触发，2个为跨平面漏洞。与现有单平面模糊测试器相比，Chimera实现了更高的覆盖率和3.5倍的漏洞检测率。该研究适合网络协议安全研究人员、P4开发者和模糊测试工具开发者阅读。