[发明专利]一种基于FPGA的入侵检测系统及方法

说明书

技术领域

本发明属于网络安全技术领域，特别涉及一种基于FPGA的入侵检测系统及方法。

背景技术

随着网络安全越来越受重视，入侵检测系统作为实现网络安全的核心技术与实现难点也越来越受人们关注，入侵检测系统包括字符匹配与包分类两部分。

目前，国内外对于入侵安全中的字符匹配与包分类两部分主要采用硬件与软件方法。其中基于软件的匹配算法有BM算法、Aho-Corasick算法、AC-BM改进算法等，其处理速度较慢，很难满足现在网络发展的要求。基于硬件中较流行的是基于FPGA的处理方法。使用CAM(即内容可寻址存储器)是一种最为普遍的字符串匹配与包分类方法。CAM是一种特殊的存储阵列，它具有将输入数据与CAM中存储的所有数据项同时进行比较，迅速判断输入数据是否与CAM中存储的数据项相匹配，并给出数据项对应地址和匹配信息的特点。使用大量FPGA的查找表和控制逻辑可以拼接成CAM，不同的拼接方法实现CAM可以得到不同的性能和资源利用率。离散比较器是使用FPGA的查找表来实现的。由于可以实现字符串的并行匹配，所以这种方法的匹配性能是非常好的。但是其资源利用率却比较差，必须使用一些特殊的方法来达到资源共享的目的。基于CAM，TCAM实现的字符串匹配算法匹配速度较快，但其价格相当昂贵且容量小，耗电量大，只适用于小规模的规则库。

发明内容

针对现有方法存在的不足，本发明提出一种基于FPGA的入侵检测系统及方法，以达到提高处理能力的目的。

本发明的技术方案是这样实现的：一种基于FPGA的入侵检测系统，包括以太网驱动电路、FPGA、数据缓存器、哈希存储器、串口驱动电路和上位机，其连接关系为：以太网驱动电路的输出端连接FPGA的输入端，数据缓存器的数据输入输出端连接FPGA的第一数据输入输出端，哈希存储器的数据输入输出端连接FPGA的第二数据输入输出端，FPGA的输出端连接串口驱动电路的输入端，串口驱动电路的输出端连接上位机；

其中，所述的FPGA，其内部模块包括：用于接收网络数据包的以太网接口、用于对接收的网络数据进行包分类的包分类IP核(是一种外设)、用于对接收的网络数据进行字符匹配的字符匹配IP核(是一种外设)、作为哈希存储器的同步动态随机存储器SDRAM及作为树节点存储器的片上只读存储器ROM、用于存储检测出的入侵数据的片上随机存储存储器RAM、用于将网络数据包存入双口随机存储存储器(双口RAM)的以太网接口及两个Nios II处理器，所述的两个Nios II处理器一个用于控制以太网数据的接收，另一个用于控制包分类IP核、字符匹配IP核及控制检测出的入侵数据到上位机的发送；

所述的FPGA的内部模块之间通过Avalon总线进行通讯；

以太网接口将接收到的网络数据发送给双口随机存储存储器，Nios II处理器调用双口随机存储存储器中的数据，并控制字符匹配IP核及包分类IP核检测入侵数据，通过串口通讯将检测到的入侵数据传递给上位机，由上位机进行显示；

采用基于FPGA的入侵检测系统的入侵检测方法，包括以下步骤：

步骤1：将Snort规则通过基于异或操作的哈希函数(XOR Hash)产生对应的地址，将Snort规则存放入哈希存储器相应的地址中，所述的哈希存储器是指：通过哈希映射后存储Snort规则的存储器；其中，所述的Sonrt是一个多平台、实时流量分析，网络IP数据包记录等特性的强大的网络入侵检测/防御系统，其基于一个实时维护的入侵数据Snort规则库，基于异或操作的哈希函数(XOR Hash)产生对应的地址具体方法为：

步骤1-1：将Sonrt规则中的每一条规则分解成32位位串，某一条Sonrt规则的分解方法为：从所述规则的高位到低位按顺序依次截取32位，不足32位的部分在高位用0补足，所述规则被分解成若干条待处理的32位位串；

步骤1-2：输入待处理的32位位串X＝<x0，x1，x2，x3，...，x31>，采用哈希函数计算X在哈希存储器中的地址h(X)，公式为：