面向网络安全应用硬件特征匹配结构探究.docVIP

面向网络安全应用硬件特征匹配结构探究 　　摘要：描写能力强、编写简单是正则表达式的特点，并在报文深度内容检测中得到应用和推广。但因处理繁琐，在流量很大的报文检测中，基于软件的正则表达式匹配的实现是无法满足的。在硬件结构中研究多正则表达式匹配结构以及特征匹配硬件结构的实现和使用方法，构建一个主从协同处理的特征匹配结构模型，基于此模型设计并实现了一款内容安全匹配加速卡，该加速卡通过PCI协议与主机通讯，采用Xilinx FPGA实现字符串匹配与正则表达式匹配，通过访问SRAM/DDR存储器读取转换规则进行状态切换 关键词：内容安全加速卡；特征匹配；正则表达式匹配 中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）35-0013-04 经过几十年的飞速发展，互联网已经深入到社会的方方面面，对网络内容的监控和管理成为当今时代的必然要求，也是社会治安管理的重要保障。基于底层网络硬件设备，是确保网络信息安全的重点，针对计算机协议中应用层和网络层的安全侧罗，监控和辨别网络中传递的信息。深度包检测技术，此技术是以应用层流量检测和控制技术为基础的，一般用于网络包不良内容的检测，通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组，从而得到整个应用程序的内容，然后按照系统定义的管理策略对流量进行整形操作，通过深度检测报文内容，可对网络间的行为有更好的感知。匹配报文载荷与预定义的模式集合来实现报文内容检测 正则表达式有很强的表示字符串的能力，因此基于正则表达式的特征匹配成为一个热门的研究课题。例如，检测入侵系统Snort[1]和Bro[2]的规则集都满足基于正则表达式的描述规则，应用于应用层协议的识别系统L7-filter[2]也采用正则表达式的描述规则。对检测入侵系统Snort的测试结果表明，特征匹配占用了整个系统超过30%的处理时间。以网络应用为主的网络数据，特征匹配的占用系统时间则更长达80%[3]。因此，可以看出基于正则表达式的特征匹配很消耗计算资源的空间与时间 随着网络数据飞速的增长，基于软件算法的实现难以满足高速网络的性能要求，也难以缩减特征匹配的占用时间。目前的解决办法就是设计专用网络安全系统的内容安全硬件才能有效实现特征匹配加速。基于FPGA方式的实现一般采用NFA。2001年，Sidhu R等[4]采用NFA 实现正则表达式匹配， 将正则表达式的表达式转换为触发器中与或门逻辑电路。在此基础上，Sutton P等[5]做出了修改，应用部分字符解码的方式来优化正则表达式的实现。文献[6] 于2006年，通过减少NFA中重复多余的与门和状态减少了50 %的FPGA资源。采用DFA方法实现的正则匹配通常采用存储器，Kumar S等[7]采用对多个模式进行分组的思想，每个分组分配单独正则匹配引擎的方式可明?@降低DFA 状态转移表的大小。Kumar S等[7，8]提出将DFA 中一个状态的多条边用单个缺省边代替，引入输入延迟的DFA（D2 FA）来减少边的存储空间的方法，并解决了一个字节多次访存的问题，达到了提高DFA 的性能 本文提出了构建一个主从协同处理的特征匹配结构模型，并且根据此模型设计并实现了一款内容安全匹配加速卡，该加速卡通过PCI协议与主机通讯，采用Xilinx FPGA实现字符串匹配与正则表达式匹配，通过访问SRAM/DDR存储器读取转换规则进行状态切换。此模块的使用，对硬件结构在网络安全系统中应用时的系统修改大大降低了，数据交换效率改善效果明显，系统整体性能得到提升，在实际系统中，提供了完整的硬件加速 1相关工作 字符串和正则表达式两种形式是笔者所研究的“特征”，而字符串只是正则表达式的另一种特殊形式。正则表达式是对字符串操作的一种逻辑公式，就是用事先定义好的一些特定字符、及这些特定字符的组合，组成一个“规则字符串”，这个“规则字符串”用来表达对字符串的一种过滤逻辑 特征匹配就是查找输入信息中是否存在特征集中某些特征的问题。其中特征集是以正则表达式的形式定义，输入信息是文本格式，输出匹配的结果。如图1所示，本文设计了特征匹配操作 图1 特征匹配示意图 特征匹配硬件结构的研究可分成基于FPGA特征匹配结构的研究和面向ASIC的特征匹配结构研究两大类，都应用于入侵检测和系统防御，这两类方法的根本不同在于特征的存储方式。基于FPGA的特征匹配结构[9-11]的实现方式是使用FPGA内部的逻辑单元来进行特征匹配，FPGA的优点在于具有很强的灵活性、执行速度快、集成度比较高，而且方便重新配置，其明显的不足是更新特征时要重新产生FPGA下载文件，难以满足计算机网络安全中频繁更新特征的需求。ASIC的特点是面向特定用户的需求，ASI