[发明专利]一种基于FPGA的入侵检测系统及方法

权利要求书

1.一种基于FPGA的入侵检测系统，其特征在于：包括以太网驱动电路、FPGA、数据缓存器、哈希存储器、串口驱动电路和上位机，其连接关系为：以太网驱动电路的输出端连接FPGA的输入端，数据缓存器的数据输入输出端连接FPGA的第一数据输入输出端，哈希存储器的数据输入输出端连接FPGA的第二数据输入输出端，FPGA的输出端连接串口驱动电路的输入端，串口驱动电路的输出端连接上位机。

2.根据权利要求1所述的基于FPGA的入侵检测系统，其特征在于：所述的FPGA，其内部模块包括：用于接收网络数据包的以太网接口、用于对接收的网络数据进行包分类的包分类IP核、用于对接收的网络数据进行字符匹配的字符匹配IP核、作为哈希存储器的同步动态随机存储器及作为树节点存储器的片上只读存储器、用于存储检测出的入侵数据的片上随机存储存储器、用于将网络数据包存入双口随机存储存储器的以太网接口及两个Nios II处理器，所述的两个Nios II处理器一个用于控制以太网数据的接收，另一个用于控制包分类IP核、字符匹配IP核及控制检测出的入侵数据到上位机的发送；

所述的FPGA的内部模块之间通过Avalon总线进行通讯；

以太网接口将接收到的网络数据发送给双口随机存储存储器，Nios II处理器调用双口随机存储存储器中的数据，并控制字符匹配IP核及包分类IP核检测入侵数据，通过串口通讯将检测到的入侵数据传递给上位机，由上位机进行显示。

3.采用权利要求1所述的基于FPGA的入侵检测系统的检测方法，其特征在于：包括以下步骤：

步骤1：将Snort规则通过基于异或操作的哈希函数产生对应的地址，将Snort规则存放入哈希存储器相应的地址中；

步骤2：通过以太网控制器接收网络数据包；

步骤3：对接收到的网络中的数据包进行包分类，然后采用线性搜索方法进行数据包的包头匹配；

步骤4：将采集到网络中的数据包的数据信息与Snort规则利用哈希算法进行字符匹配，得到匹配信息；

步骤5：将步骤3和步骤4检测出的入侵数据发送给上位机。

4.根据权利要求3所述的基于FPGA的入侵检测系统的检测方法，其特征在于：步骤1所述的将Snort规则通过基于异或操作的哈希函数产生对应的地址，方法为：

步骤1-1：将Sonrt规则中的每一条规则分解成32位串，某一条Sonrt规则的分解方法为：从所述规则的高位到低位按顺序依次截取32位，不足32位的部分在高位用0补足，所述规则被分解成若干条待处理的32位串；

步骤1-2：输入待处理的32位串X＝<x0，x1，x2，x3，...，31>，采用哈希函数计算X在哈希存储器中的地址h(X)，公式为：

h(X)=d0·x0⊕d1·x1⊕d2·x2⊕...⊕di·xi⊕...⊕d31·x31---(1)]]>

式中，d0，d1，d2，d3，...，d31为哈希函数中的随机数，且通过如下公式计算：

di＝(α·di-1+c)mod N，i＝1，2，3，...，31    (2)

式中，di是所求随机数，其初始值d0为任一随机正整数，N是使di归一化的正整数，且当N＝2³¹-1，α＝16034时，获得的随机数di具有较好的随机性，α是小于N的正整数，c是非负的整数；

步骤1-3：在进行Hash计算时，不同的数据进行Hash运算后得出相同的地址数据，需对上述哈希冲突进行处理，方法为：对于不同长度的Snort规则选择不同随机数的Hash函数，同时给不同长度的Snort规则分配不同的存储区域，对个数较多的长度的Snort规则分配更多的存储区域，经过以上处理后，若仍有个别冲突，则对Snort规则进行进一步处理，方法为：对步骤1-1至步骤1-2产生的哈希地址冲突的Snort规则进行单独保存，然后反复进行步骤1-1至步骤1-2，选取冲突小于4个的哈希函数；

步骤1-4：将Snort规则存放入哈希存储器相应的地址中；

步骤1-5：利用二叉树结构包分类算法对Snort包头规则进行包分类，其中每条包头规则包含两个域，第1个域是IP源地址，第2个域是IP目的地址，均为32位数值。