基于FPGA面向典型应用的安全防护系统研究与设计

摘要

随着网络的发展和普及，基于网络的应用技术、模式逐渐成熟，尤其是在云计算日趋完善的大背景下，更多的公司、个人选择在线系统作为商业、生活的一部分。随之而来，网络攻击行为不断增加，带来的危害日趋严重，成为任何网络系统所要面对的首要问题。现在的网络攻击手段以应用层、混合性攻击为主，对于这种攻击方式，采用的主要识别手段是深度内容检测(DPI)，这种技术深入到数据包负载对内容进行检测，与已知的攻击指纹特征进行模式匹配以识别非法行为，具备较高的识别率和准确性。但深度内容检测是一项时间复杂度、空间复杂度都比较大的工作，时间、资源消耗与规则库大小成线性关系，对设备性能有很高的要求。传统的软件系统受体系结构的制约，往往难以胜任高速网络环境下的安全检测任务，导致安全设备成为系统的瓶颈，安全性的提高以应用性的降低为代价，迫切需要一种新的系统平台架构。
　　 半导体技术的发展与成熟带来了硬件化的解决方案，可编程逻辑器件以其优越的性能、较高的灵活性、低廉的成本逐渐成为时间敏感计算的上佳解决方案，在通信、宇航、汽车、工业控制等越来越多的领域得到了广泛的应用，也成为使用硬件对数据包扫描进行加速、构造安全过滤设备的良好选择。在本文中，设计出一种集成式的片上防火墙与入侵检测系统联动模型，使用FPGA（现场可编程逻辑门阵列）构建专用的安全过滤芯片，融合包头过滤与深度内容检测技术，应用经典的Snort入侵检测规则，将扫描功能实施于网卡处，以独立子系统的方式为各种典型应用提供针对性的安全防护，有效降低安全过滤的延迟，方便系统升级与修改，是对网络防护体系进行创新的有益尝试。
　　 本文首先介绍了安全防护系统的研究现状，分析目前体系架构的利弊，探讨对其进行改进的必要性与方向，之后重点研究以下内容：1、防火墙与入侵检测联动的必要性以及实现的技术途径，并探讨集成式片上安全防护模型。2、NetFPGA的配置、接口与功能，以及适合于高速网络数据处理的特点，并以此为硬件平台，构建安全过滤芯片，应用Snort入侵检测规则，构建集包头过滤和深度内容检测于一体的安全防护系统；3、根据Snort规则同时包含普通字符串与PCRE正则表达式的特点，分别讨论两者所用的面向FPGA的模式匹配算法的异同，并针对安全过滤的特殊需求，提出深度内容检测的实现算法与结构；4、将包头过滤、深度内容检测、规则接口、并行控制整合于一体，设计通用安全检测平台，方便规则的更新与扩展。
　　 随后，详细介绍各个模块的细节，包括线速包头过滤结构，普通字符串匹配算法的FPGA实现与存储结构，PCRE正则表达式的非限定性有限状态自动机结构，两种匹配机构的同步机制，Snort规则的转化方法，板级并行的控制方式，分布式部署方案等。
　　 最后，给出实际的测试环境与得出的测试数据，表明基于NetFPGA的安全防护平台的良好性能，能够在一定程度上满足高速网络环境下的安全扫描需求。同时，这种基于嵌入式独立子系统的安全防护架构，代表了高速度、分布式、低成本网络安全防护的一个崭新方向，具备一定的学术研究意义与商业价值。

目录

文摘

英文文摘

TABLE OF CONTENTS

第1章 绪论

1.1 课题研究背景和意义

1.2 相关工作和研究现状

1.2.1 安全防护系统基本原理

1.2.2 常见的安全防护系统硬件架构

1.2.3 基于FPGA的安全防护架构

1.3 主要工作及章节安排

1.3.1 本文的主要工作

1.3.2 本文的章节安排

第2章 安全防护系统模型分析

2.1 传统安全防护系统模型

2.1.1 防火墙

2.1.2 入侵检测系统

2.2 防火墙与入侵检测的联动

2.2.1 防火墙与入侵检测系统联动模型

2.2.2 联动关键技术分析

2.2.3 集成式片上安全防护系统模型

2.3 本章小结

第3章 系统整体设计与关键技术

3.1 需求分析

3.2 硬件平台

3.2.1 NetFPGA的配置与功能

3.2.2 NetFPGA的数据处理流程

3.2.3 基于NetFPGA的网络处理系统

3.3 面向多种应用的Snort入侵检测系统

3.4 通用安全检测平台

3.5 分布式部署

3.6 本章小结

第4章 系统详细设计与实现

4.1 开发环境与语言

4.1.1 FPGA开发流程与环境

4.1.2 NF2工程

4.2 包头过滤

4.2.1 包头过滤模块的结构

4.2.2 包头过滤的资源占用

4.3 深度内容检测

4.3.1 Snort规则简介

4.3.2 Snort规则转化

4.3.3 普通字符串模式匹配

4.3.4 普通字符串特定偏移量匹配

4.3.5 URL过滤

4.3.6 PCRE正则表达式模式匹配

4.4 存储结构

4.4.1 普通字符串存储结构

4.4.2 PCRE存储的优化

4.4.3 连接译码器

4.5 并行安全检测技术

4.6 分布式部署方案

4.6.1 分布式部署

4.6.2 嵌入式安全平台的通信

4.7 控制管理软件

4.7.1 对各种典型应用的支持

4.7.2 规则下载

4.7.3 配置

4.7.3 服务监听

4.8 本章小结

第5章 系统运行结果分析

5.1 硬件测试

5.2 配置管理软件

5.3 本章小结

第6章 总结及展望

参考文献

致谢

攻读学位期间发表的主要学术论文

攻读学位期间参加的项目

学位论文评阅及答辩情况表