入侵检测引擎的计研究.pdf

摘要 Detection 入侵检测系统(Intmsionsystem，简称IDs)，是防火墙后保护网络 安全的第二道防线，作为一种功能强大的动态实时安全防御技术，『F受到越来越 多的关注。而模式匹配则是入侵检测系统中最基本也是最关键的技术，匹配的速 度直接影响到系统的处理性能。 本文在分析了入侵检测系统结构，及各种模式匹配软硬件实现方法的基础 上，提出了两种基于G～M和TcAM的模式匹配引擎实现方式：(1)基于C舢讧 分组的模式匹配引擎；(2)基于流水线结构的模式匹配引擎。 基于cAM分组的模式匹配引擎有较强的通用性，除了适用于IDs规则库， 也适用于各种病毒库的检测匹配。它支持“?”通配符和大小写不敏感匹配，同时 对长模式串进行了压缩处理。为进一步提高系统的输出性能，待测串切换隐藏二 级匹配开销和多模块并行处理技术也被引入到引擎结构中。 基于流水线结构的模式匹配引擎，具有更高的处理性能，设计中提出的存储 单元共用的方法减少了50％以上对CAM资源的需求，解决了CAM面积和功耗 大的问题。这两种实现方式都达到了multi．西gabit的输出性能，能满足目前及今 后10G网络带宽内的高速入侵检测处理要求。在此基础上