1 引言

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)流量不斷增大、網(wǎng)絡(luò)攻擊類型層出不窮。入侵檢測的高速度、低漏檢率、低誤報率等要求，使傳統(tǒng)的以軟件為核心的 IDS面臨著越來越大的壓力。僅靠模式匹配算法的改進對入侵檢測速度的提高是有限的，不是解決問題的根本策略。

通過對入侵檢測系統(tǒng)中檢測速度瓶頸及模式匹配算法的分析，提出了基于硬件實現(xiàn)入侵檢測的策略。在系統(tǒng)中用硬件代替?zhèn)鹘y(tǒng)入侵檢測系統(tǒng)中的軟件實現(xiàn)主要部件功能：如數(shù)據(jù)采集和過濾、多模式匹配及數(shù)據(jù)包調(diào)度等，硬件實現(xiàn)比軟件實現(xiàn)的速度能顯著提高。

2 系統(tǒng)設(shè)計

系統(tǒng)原型的設(shè)計基于SOPC技術(shù)，采用了多處理器并行處理結(jié)構(gòu)、可擴充指令集和協(xié)處理器加速算法等設(shè)計思想。其核心內(nèi)容是采用多級并行處理技術(shù)和專用功能部件代替復(fù)雜費時算法，以獲得極大的數(shù)據(jù)包處理性能。

1. 系統(tǒng)總體結(jié)構(gòu)設(shè)計

原型系統(tǒng)的主要部件有數(shù)據(jù)采集模塊、報文分派器、軟核處理單元、模式匹配協(xié)處理器、自定義指令、主控通路接口及響應(yīng)輸出等。系統(tǒng)的體系結(jié)構(gòu)如圖 1所示。

為了解決高速網(wǎng)絡(luò)環(huán)境下入侵檢測系統(tǒng)的檢測速度瓶頸問題，在入侵檢測過程的各個環(huán)節(jié)中，各處理器部件都必須能線速處理數(shù)據(jù)包。本系統(tǒng)中采用硬件模塊實現(xiàn)數(shù)據(jù)采集功能，對數(shù)據(jù)包的分析檢測模塊采用并行處理的方法來提速；另外還采用協(xié)處理器來加速完成模式匹配過程。基于 FPGA協(xié)處理器能夠加速多種不同的算法，其獲得的性能是軟件實現(xiàn)性能的幾十倍。

2．?dāng)?shù)據(jù)采集部件

傳統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)截獲用軟件實現(xiàn)，通過函數(shù)拷貝 MAC緩沖區(qū)內(nèi)的數(shù)據(jù)包來實現(xiàn)數(shù)據(jù)采集，運行速度低，丟包率高。本系統(tǒng)中的數(shù)據(jù)采集和過濾模塊直接用硬件實現(xiàn)。當(dāng)輸入端口有數(shù)據(jù)進來時，過濾單元選擇性的把需要的數(shù)據(jù)拷貝到 Buffer中，具有很高的采集速度，在千兆環(huán)境下丟包率很低。

報文分派器按照公平的輪詢策略依次從輸入通路上讀取 IP報文，然后根據(jù)輸入緩沖中 FIFO的空閑狀況，將 IP報文分派到軟核處理器的輸入緩沖 FIFO中。

3．軟核處理器單元

使用SOPC Builder定義網(wǎng)絡(luò)處理器原型芯片中的并行處理單元 ——Altera NiosⅡ處理器軟核。定義中需要設(shè)置各種硬件參數(shù)，包括工作頻率、cache選項、加電引導(dǎo)方式、中斷寄存器設(shè)置、內(nèi)存大小、Flash基地址以及各種的訪問模式和地址映射等。依次對多個處理器軟核進行描述，并因此生成每個處理器軟核的邏輯符號和軟件編程接口，生成.elf文件。對芯片原型中的其他硬件邏輯設(shè)計采用硬件描述語言，生成的硬件配置數(shù)據(jù)與處理器軟核的.elf文件合成用于配置芯片原型 FPGA的.hex文件。

本系統(tǒng)芯片原型內(nèi)的多個 PE采用并行結(jié)構(gòu)，各個 PE有自己的數(shù)據(jù)和指令存儲器，共享模式匹配協(xié)處理器模塊。PE之間的通信使用并行通信接口 PIO來實現(xiàn)。其中 NiosⅡ是微處理器軟核，RAM和 Cache存放指令和數(shù)據(jù)， Load_Header和 Send_Header是報文頭輸入 /

輸出邏輯，Lookup Controllor是多模式匹配協(xié)處理器接口邏輯， Cam_update Controllor是規(guī)則表管理邏輯接口，PIO是并行通信接口。

4. 協(xié)處理器設(shè)計

盡管有軟件模式匹配算法的改進，模式匹配仍然是高速流量分析的限制。我們通過下載所有模式匹配任務(wù)到可重配置的 FPGA協(xié)處理器來消除這個瓶頸。 FPGA能對 Snort規(guī)則中每種模式與包內(nèi)容進行比較，整個規(guī)則集裝入在一個低端 FPGA設(shè)備上。

本系統(tǒng)中處理器軟核 NiosⅡ共享匹配查表協(xié)處理器，采用總線仲裁器共享機制。每個處理器軟核有一個匹配查表協(xié)處理器的接口控制器 Lookup，它作為自定義指令邏輯包含在處理器軟核內(nèi)部。匹配查表協(xié)處理器與處理器軟核并行工作，通過查詢方式判斷協(xié)處理器工作是否結(jié)束。協(xié)處理器使用 CAM存放規(guī)則表。 3 系統(tǒng)關(guān)鍵技術(shù)及實現(xiàn)

1. 多處理器技術(shù)

PE（Processor Element）是網(wǎng)絡(luò)處理器的核心部件，承擔(dān)系統(tǒng)內(nèi)主要計算任務(wù)，每個 PE實際上是一個微處理器核。網(wǎng)絡(luò)處理器通常包括多個 PE，PE之間有兩種主要連接方式：并行連接和串行連接。

2. 多級并行處理技術(shù)

網(wǎng)絡(luò)數(shù)據(jù)包處理存在本質(zhì)上的并行性，為了昀大限度地提高報文處理速度，滿足網(wǎng)絡(luò)應(yīng)用的需求，網(wǎng)絡(luò)處理器實現(xiàn)不同層次并行處理：實現(xiàn)處理器級并行處理、通過硬件多線程實現(xiàn)線程級的并行處理、通過指令流水線實現(xiàn)指令級的并行處理。處理器間的并行還可以分為 PE之間的并行運行及 PE與協(xié)處理器之間的并行。

3. 硬件線程和 “0開銷”切換技術(shù)

PE內(nèi)部采用硬件多線程技術(shù)，每個 PE中有多個硬件線程，硬件線程是指享有獨立的程序計數(shù)器、寄存器和存儲空間的線程。 “0”延遲切換原理是：硬件線程在進行線程切換時，既不需要保存將要停止運行的線程的現(xiàn)場信息，也不需要恢復(fù)即將運行的就緒進程的現(xiàn)場信息，因此不消耗 PE資源，能做到“0開銷”切換。NP利用硬件線程掩蓋了線程切換的延遲，提高了 PE的運行效率。一般地，通過合理設(shè)計調(diào)度策略，PE運行效率可接近 。

4. 分布式數(shù)據(jù)存儲技術(shù)

存儲器也是網(wǎng)絡(luò)處理器的關(guān)鍵，其存取速度和帶寬是影響網(wǎng)絡(luò)處理器性能的重要因素。按照存儲轉(zhuǎn)發(fā)的思想，所有報文進入網(wǎng)絡(luò)處理器后必須緩存。要線速處理報文，報文的輸出速度必須與輸入速度一致，既存儲器帶寬是端口速度的兩倍以上，這對目前存儲器是一個巨大的挑戰(zhàn)。

一方面，NP采用數(shù)據(jù)分布式存儲結(jié)構(gòu)。NP內(nèi)設(shè)置多級存儲器：片上快速存儲器和片外慢速存儲器。另一方能，網(wǎng)絡(luò)處理器采用數(shù)據(jù)預(yù)取、塊傳送、高速數(shù)據(jù)通路等技術(shù)來解決高速計算和高速數(shù)據(jù)傳送的問題。

5.系統(tǒng)實現(xiàn)

本系統(tǒng)是面向入侵檢測的網(wǎng)絡(luò)處理器原型，入侵檢測的流程包括數(shù)據(jù)采集、數(shù)據(jù)包預(yù)處理、數(shù)據(jù)包檢測、及響應(yīng)四個步驟。原型系統(tǒng)將入侵檢測的主要工作，如數(shù)據(jù)采集及過濾、多模式匹配、數(shù)據(jù)包在多處理單元上的分派等用硬件實現(xiàn)，而數(shù)據(jù)包的分析檢測也用多個處理單元進行并行處理。

該原型系統(tǒng)包括：一個主控模塊、一個硬件數(shù)據(jù)采集模塊、八個軟核并行處理單元、一個多模式匹配協(xié)處理器。系統(tǒng)采用報文分派器完成 IP報文到核處理器的分派任務(wù)，軟核微處理器對報文做入侵檢測。每個軟核微處理器都擁有一個輸入緩沖 FIFO和輸出緩沖 FIFO，用于緩沖需要處理的報文。響應(yīng)和輸出控制模塊根據(jù)報文的檢查結(jié)果，決定是否作為非法包丟棄還是作為正常包轉(zhuǎn)發(fā)到相應(yīng)的輸出數(shù)據(jù)通路上。 4 系統(tǒng)測試及性能分析

為了進行系統(tǒng)測試，開發(fā)了如圖 2所示的驗證平臺。系統(tǒng)原型驗證平臺使用多片 FPGA實現(xiàn)各種功能接口，同時將網(wǎng)絡(luò)處理器的核心功能在單個 FPGA芯片中實現(xiàn)，用于支持網(wǎng)絡(luò)處理器控制功能和系統(tǒng)管理功能的主控模塊也采用一個獨立的 FPGA實現(xiàn)。

系統(tǒng)性能測試在系統(tǒng)驗證平臺下進行。通過JTAG接口將驗證平臺與微機相連，使用IDE開發(fā)環(huán)境進行軟件調(diào)試。報文生成器是 FPGA內(nèi)的一個模塊，使用它能產(chǎn)生變長的連續(xù)報文。網(wǎng)絡(luò)處理器芯片的輸入端接收 33位數(shù)據(jù)（ 32位數(shù)據(jù)和 1位標(biāo)志位），經(jīng)報文分派器分配給多個 PE進行處理。每個 PE對報文頭進行解析，并查找規(guī)則表，產(chǎn)生 11位轉(zhuǎn)發(fā)控制信息用于輸出控制。

在 FPGA上進行模式匹配的重要性能指標(biāo)是吞吐率。我們通過輸入不同大小的數(shù)據(jù)包進行實驗，實驗結(jié)果如表 1所示。

PE讀取第一個報文頭到讀取第二個報文頭的時間為 246個時鐘周期，報文處理延遲為 4920ns，實驗測量值與計算值基本符合。實驗中系統(tǒng)每秒處理 330K個報文，系統(tǒng)的吞吐率與報文長度有關(guān)，總的吞吐率理論上可達到 14Gbps，但理論值只有在 PE與協(xié)處理器滿負荷運行下才有可能獲得。從表 1還可看出，在 FPGA內(nèi)部隨著資源使用的增加，內(nèi)部延遲會增加，吞吐率稍有降低。

5 小結(jié)

通過對入侵檢測系統(tǒng)中檢測速度瓶頸的分析，設(shè)計了一個基于硬件的入侵檢測系統(tǒng)原型。該原型采用基于網(wǎng)絡(luò)處理器的硬件策略取代傳統(tǒng)入侵檢測的軟件策略，實驗證明該系統(tǒng)的性能與傳統(tǒng)方法相比有顯著的提高，很好地解決了入侵檢測中的速度問題。系統(tǒng)都是在基于 FPGA上實現(xiàn)的，并可以根據(jù)實際需要增加硬件和自定義指令來提高系統(tǒng)性能。

本文作者創(chuàng)新點：設(shè)計了一個基于 SOPC網(wǎng)絡(luò)處理器的入侵檢測系統(tǒng)原型，將入侵檢測的主要工作用硬件來實現(xiàn)，與傳統(tǒng)的基于軟件策略相比性能有顯著的提高。

責(zé)任編輯：gt