入侵检测系统(Intrusion Detection System,简称IDS),是防火墙后保护网络安全的第二道防线,作为一种功能强大的动态实时安全防御技术,正受到越来越多的关注。而模式匹配则是入侵检测系统中最基本也是最关键的技术,匹配的速度直接影响到系统的处理性能。 本文在分析了入侵检测系统结构,及各种模式匹配软硬件实现方法的基础上,提出了两种基于CAM和TCAM的模式匹配引擎实现方式:(1)基于CAM分组的模式匹配引擎;(2)基于流水线结构的模式匹配引擎。 基于CAM分组的模式匹配引擎有较强的通用性,除了适用于IDS规则库,也适用于各种病毒库的检测匹配。它支持“?”通配符和大小写不敏感匹配,同时对长模式串进行了压缩处理。为进一步提高系统的输出性能,待测串切换隐藏二级匹配开销和多模块并行处理技术也被引入到引擎结构中。 基于流水线结构的模式匹配引擎,具有更高的处理性能,设计中提出的存储单元共用的方法减少了50%以上对CAM资源的需求,解决了CAM面积和功耗大的问题。这两种实现方式都达到了multi-gigabit的输出性能,能满足目前及今后10G网络带宽内的高速入侵检测处理要求。在此基础上,本文给出了以上述引擎为核心的模式匹配系统,介绍了系统框架、总线结构和数据接口等内容。 本文还对目前使用最为广泛的Snort规则库进行了分析,并针对上述引擎提出了Snort规则库中的模式匹配硬件实现的方法。此外,根据Snort规则库的特性,引入了协议分析和规则头分类技术,进一步减少系统功耗,提高系统输出性能。