[发明专利]一种软硬结合的入侵检测系统及方法

说明书

本发明公开了一种软硬结合的入侵检测系统，包括网络接口卡、FPGA、三态内容寻址存储器TCAM和CPU，还提出一种基于该系统的入侵检测方法，利用FPGA对引入的网络流量进行报文解析，并将解析之后的报文发送至TCAM，利用TCAM对步骤S2中获取的报文的内容进行初次规则匹配，并将命中规则的匹配结果反馈至FPGA，将命中规则的报文根据其源目IP地址进行hash分流，并将其发送至CPU进行二次规则匹配，通过上述方式，利用TCAM头尾表项匹配，让CPU流管理模块不用将一条流的全部报文进行缓存，只有在命中头尾表项情况下，才全部缓存，不命中头尾表项情况下，只缓存当前报文。大大节约了设备内存，降低了流重组的开销，提升了设备整体处理性能。

技术领域

本发明涉及网络安全领域，具体涉及一种软硬结合的入侵检测系统及方法。

背景技术

随着网络带宽和流量的不断提升，通过软件实现的IDS在性能上难以满足要求，如何快速将报文信息与特征库中的内容进行比较从而发现攻击行为成为影响整个系统性能的关键。

随着新型网络入侵手段的不断涌现，IDS特征库的复杂性也不断提高，特征库的日益复杂带来处理复杂性的不断提高。由于各种新型网络入侵手段的不断涌现，IDS的规则数目也不断增加。由于规则匹配算法的时间和空间复杂度与规则集大小密切相关，因此IDS特征库的扩充带来了严重的计算复杂性问题。

IDS实现的将报文内容跟特征库比对功能需要借助DPI(deep packetinspection,深度报文检测)技术来实现。DPI是为了发现隐藏在报文负载中的特征，这些特征可能是应用层协议、病毒、蠕虫等。深度报文检测通常将报文或流的负载部分与特征库中的规则集进行匹配，判断负载是否符合规则集中的某些规则特征，因此DPI是IDS最核心的功能，也是整个系统的性能瓶颈所在。

发明内容

针对现有技术中的上述不足，本发明提供了一种软硬结合的入侵检测系统及方法。

为了达到上述发明目的，本发明采用的技术方案为：

一种软硬结合的入侵检测系统，包括：网络接口卡、FPGA、三态内容寻址存储器TCAM和CPU，其中，

所述网络接口卡用于引入网络流量，并将引入的网络流量发送给FPGA；

所述FPGA用于对所述网络接口卡引入的网络流量进行报文解析和分流，并将报文发送至所述三态内容寻址存储器进行初次规则匹配，同时记录三态内容寻址存储器的匹配结果并将其发送至CPU；

所述三态内容寻址存储器TCAM用于对所述FPGA送达的报文进行初次规则匹配，并反馈匹配结果；

所述CPU用于根据报文规则提取TCAM的匹配项表并通过FPGA下发至TCAM，同时对FPGA和TCAM的匹配结果进行二次规则匹配。

上述方案的有益效果是，网络上大部分的报文是不会命中规则的，利用FPGA和TCAM实现了初次匹配，CPU不用对所有报文进行规则检测，只需要对初次匹配命中的报文进行二次匹配，大大提高了CPU的处理能力。

还提出一种软硬结合的系统入侵检测方法，包括如下步骤：

S1、构建软硬结合的入侵检测系统并对TCAM进行匹配表项配置；

S2、利用FPGA对引入的网络流量进行报文解析，并将解析之后的报文发送至TCAM；

S3、利用TCAM对步骤S2中获取的报文的源目IP地址及报文内容进行初次规则匹配，并将命中规则的匹配结果反馈至FPGA；

S4、FPGA将命中规则的报文根据其源目IP地址进行hash分流，并将其发送至CPU进行二次规则匹配；

S5、对进行二次规则匹确定命中规则的报文进行警告。