高速網絡數(shù)據(jù)包協(xié)議分析系統(tǒng)的研究與實現(xiàn).pdf

1、在計算機處理能力和網絡帶寬日漸提高的時代，病毒和惡意網絡攻擊傳播更快，威脅也更大。針對不局限于某個網絡層次上的攻擊行為，深度數(shù)據(jù)包檢測技術通過對數(shù)據(jù)包頭部和有效載荷的掃描，將入侵檢測的對象由網絡層和傳輸層擴展到應用層上。協(xié)議分析技術根據(jù)協(xié)議規(guī)范分析網絡數(shù)據(jù)包，確認數(shù)據(jù)包的協(xié)議類型并檢測其攻擊特征。協(xié)議分析有效地利用了網絡協(xié)議的層次性，高度規(guī)則性和相關協(xié)議的知識，從而快速準確地判斷攻擊特征是否存在。隨著網絡通信量的迅速膨脹，傳統(tǒng)的軟件協(xié)議

2、分析系統(tǒng)中模式匹配的處理速度成為系統(tǒng)性能的瓶頸，而硬件技術的發(fā)展使得采用硬件方案實現(xiàn)深度數(shù)據(jù)包檢測技術和高速網絡協(xié)議分析系統(tǒng)成為可能。 本文針對10Gbps速率高速網絡的特點討論實現(xiàn)高速深度數(shù)據(jù)包檢測的硬件技術。鑒于TCAM的高度并行性和高速處理能力，本文提出二級TCAM串聯(lián)搜索引擎的架構，以流水線策略實現(xiàn)深度數(shù)據(jù)包檢測，并在此基礎上實現(xiàn)基于會話的應用層協(xié)議分析技術。最終本文提出一個采用二級TCAM串聯(lián)搜索引擎做深度數(shù)據(jù)包檢測的

3、協(xié)議分析系統(tǒng)實現(xiàn)方案。系統(tǒng)采用移幀合并查找的方式擴大單次查找的寬度，從而平衡TCAM的查找頻率限制，使系統(tǒng)具備高速處理數(shù)據(jù)包的能力，吞吐量符合10Gbps的網絡速率要求。另外在實現(xiàn)深度數(shù)據(jù)包檢測的同時，根據(jù)應用層協(xié)議會話的交互特性，提取出基于會話的特征規(guī)則，通過TCAM的規(guī)則設置管理和查找結果處理，來判斷關鍵字的相關性，從而判別處于同一會話的數(shù)據(jù)包，實現(xiàn)應用層協(xié)議分析。本文提出的設計，在硬件平臺上實現(xiàn)并驗證。結果證明，本設計能很好的滿足