论文部分内容阅读
随着网络的深入发展,入侵检测已经成为防范网络安全的重要手段。其检测引擎的性能直接影响了入侵检测系统的性能。入侵检测引擎包含两部分技术——协议分析技术以及特征分析技术。传统的入侵检测系统用软件实现。然而,随着网络通信量的迅速膨胀,特征分析中的字符串匹配速度已经成为其进一步发展的瓶颈。一种快速入侵检测系统的硬件实现法已成为必要,并已成为最近的一大研究热点。本文特别针对上述问题,对检测引擎中的协议分析技术以及特征分析技术进行了硬件的研究并最终进行实现。在协议分析方面,本文提出TCAM协议分析方法。该方法能够快速准确的进行数据包的协议分析,达到了线速处理。通过不同指令,它能够支持72/144/288比特关键字的查找。与传统的软件方法相比,其速度有大幅提高,并且支持新的动态协议类型。在特征分析方面,本文还给出了一种基于FPGA的字符串匹配算法。该算法通过位宽扩展,流水线间字符串共享、以及FPGA的查找表(LUT)共享这三步,用低端FPGA成功解决了高速字符串匹配问题。与传统字符串匹配算法相比,该算法大幅缩小了匹配算法芯片资源的占用率,是一种高效的并行多模式字符串匹配算法。本文在实现部分给出了入侵检测系统的一个参考设计。其中包括数据包采集模块,协议解析模块,特征分析模块以及协议分析模块。在文章的最后还对该设计进行了仿真验证。通过实验证明,本文提出的入侵检测引擎的硬件实现法能够很好的应用于实际网络。