基于FPGA面向典型應(yīng)用的安全防護系統(tǒng)研究與設(shè)計.pdf

1、隨著網(wǎng)絡(luò)的發(fā)展和普及，基于網(wǎng)絡(luò)的應(yīng)用技術(shù)、模式逐漸成熟，尤其是在云計算日趨完善的大背景下，更多的公司、個人選擇在線系統(tǒng)作為商業(yè)、生活的一部分。隨之而來，網(wǎng)絡(luò)攻擊行為不斷增加，帶來的危害日趨嚴(yán)重，成為任何網(wǎng)絡(luò)系統(tǒng)所要面對的首要問題?，F(xiàn)在的網(wǎng)絡(luò)攻擊手段以應(yīng)用層、混合性攻擊為主，對于這種攻擊方式，采用的主要識別手段是深度內(nèi)容檢測(DPI)，這種技術(shù)深入到數(shù)據(jù)包負(fù)載對內(nèi)容進行檢測，與已知的攻擊指紋特征進行模式匹配以識別非法行為，具備較高的識別率

2、和準(zhǔn)確性。但深度內(nèi)容檢測是一項時間復(fù)雜度、空間復(fù)雜度都比較大的工作，時間、資源消耗與規(guī)則庫大小成線性關(guān)系，對設(shè)備性能有很高的要求。傳統(tǒng)的軟件系統(tǒng)受體系結(jié)構(gòu)的制約，往往難以勝任高速網(wǎng)絡(luò)環(huán)境下的安全檢測任務(wù)，導(dǎo)致安全設(shè)備成為系統(tǒng)的瓶頸，安全性的提高以應(yīng)用性的降低為代價，迫切需要一種新的系統(tǒng)平臺架構(gòu)。
　　 半導(dǎo)體技術(shù)的發(fā)展與成熟帶來了硬件化的解決方案，可編程邏輯器件以其優(yōu)越的性能、較高的靈活性、低廉的成本逐漸成為時間敏感計算的上佳解

3、決方案，在通信、宇航、汽車、工業(yè)控制等越來越多的領(lǐng)域得到了廣泛的應(yīng)用，也成為使用硬件對數(shù)據(jù)包掃描進行加速、構(gòu)造安全過濾設(shè)備的良好選擇。在本文中，設(shè)計出一種集成式的片上防火墻與入侵檢測系統(tǒng)聯(lián)動模型，使用FPGA（現(xiàn)場可編程邏輯門陣列）構(gòu)建專用的安全過濾芯片，融合包頭過濾與深度內(nèi)容檢測技術(shù)，應(yīng)用經(jīng)典的Snort入侵檢測規(guī)則，將掃描功能實施于網(wǎng)卡處，以獨立子系統(tǒng)的方式為各種典型應(yīng)用提供針對性的安全防護，有效降低安全過濾的延遲，方便系統(tǒng)升級與修

4、改，是對網(wǎng)絡(luò)防護體系進行創(chuàng)新的有益嘗試。
　　 本文首先介紹了安全防護系統(tǒng)的研究現(xiàn)狀，分析目前體系架構(gòu)的利弊，探討對其進行改進的必要性與方向，之后重點研究以下內(nèi)容：1、防火墻與入侵檢測聯(lián)動的必要性以及實現(xiàn)的技術(shù)途徑，并探討集成式片上安全防護模型。2、NetFPGA的配置、接口與功能，以及適合于高速網(wǎng)絡(luò)數(shù)據(jù)處理的特點，并以此為硬件平臺，構(gòu)建安全過濾芯片，應(yīng)用Snort入侵檢測規(guī)則，構(gòu)建集包頭過濾和深度內(nèi)容檢測于一體的安全防護系統(tǒng)；

5、3、根據(jù)Snort規(guī)則同時包含普通字符串與PCRE正則表達式的特點，分別討論兩者所用的面向FPGA的模式匹配算法的異同，并針對安全過濾的特殊需求，提出深度內(nèi)容檢測的實現(xiàn)算法與結(jié)構(gòu)；4、將包頭過濾、深度內(nèi)容檢測、規(guī)則接口、并行控制整合于一體，設(shè)計通用安全檢測平臺，方便規(guī)則的更新與擴展。
　　 隨后，詳細(xì)介紹各個模塊的細(xì)節(jié)，包括線速包頭過濾結(jié)構(gòu)，普通字符串匹配算法的FPGA實現(xiàn)與存儲結(jié)構(gòu)，PCRE正則表達式的非限定性有限狀態(tài)自動機結(jié)