[发明专利]基于FPGA的应用层内容扫描系统及其方法

说明书

技术领域

本发明涉及一种扫描系统及其方法，尤其是一种基于FPGA的应用层内容扫描系统及其方法。

背景技术

随着网络应用的发展，对于应用层深度的内容级检测过滤也成为网络安全的新课题。但是应用层深度内容过滤非常消耗系统资源的，传统网络安全产品的硬件加速技术，仅是网络层的硬件加速，并没有处理应用层的数据，仅仅处理网络传输过程中少量的数据，如数据链路层、网络层、传输层的头信息，对应用层内容过滤性能提高没有什么帮助，这就导致很高性能的网络层安全设备，一旦打开应用层过滤功能，性能就会急骤下降。

发明内容

本发明提供了一种实现应用层的硬件内容加速的基于FPGA的应用层内容扫描系统及其方法。

实现本发明目的之一的基于FPGA的应用层内容扫描系统，包括依次相连的数据扫描启动器、工作描述转换器、工作任务存储控制器、FPGA硬件扫描引擎和扫描结果接收器。

实现本发明目的之二的基于FPGA的应用层内容扫描方法，包括如下步骤：

(1)应用层的数据扫描启动器将扫描数据传入工作描述转换器；

(2)工作描述转换器将扫描数据转换为工作描述列表写入工作任务存储控制器；

(3)工作任务存储控制器下达工作任务指令到FPGA硬件扫描引擎；

(4)FPGA扫描引擎进行数据的扫描和匹配，完成后将扫描结果返回给系统应用层的扫描结果接收器。

本发明的基于FPGA的应用层内容扫描方法的有益效果如下：

本发明的基于FPGA的应用层内容扫描方法，通过FPGA硬件驱动将FPGA硬件加速卡与现有的操作系统无缝的进行结合。硬件加速卡采用内置的高速数据通信总线，在无需CPU参与的情况下，作为通信过程中的host，自动获得扫描数据提交给并行处理高速内容扫描引擎，高速内容扫描引擎对相关文件进行每一个字节的逐一扫描和匹配，从而实现了应用层的硬件内容加速。

附图说明

图1为本发明的基于FPGA的应用层内容扫描系统的结构示意图。

具体实施方式

如图1所示，本发明的基于FPGA的应用层内容扫描系统，包括依次相连的数据扫描启动器、工作描述转换器、工作任务存储控制器、FPGA硬件扫描引擎和扫描结果接收器。

本发明的基于FPGA的应用层内容扫描方法，包括如下步骤：

(1)应用层的数据扫描启动器将扫描数据传入工作描述转换器；

(2)工作描述转换器将扫描数据转换为工作描述列表写入工作任务存储控制器；

(3)工作任务存储控制器下达工作任务指令到FPGA硬件扫描引擎；

(4)FPGA扫描引擎进行数据的扫描和匹配，完成后将扫描结果返回给系统应用层的扫描结果接收器。

FPGA硬件加速卡内部处理主要包括下面几个部分：

1.CPU与FPGA卡的通信和数据传输

采用PCIX总线，FPGA卡可以做为DMA host，在无需CPU参与情况下，可以实现主机memory与FPGA卡内部buffer的DMA传输。PCIX采用133M时钟，64bits模式，因而理论上的传输性能：133M*64bps＝8512Mbps。

2.内容扫描

设计的FPGA卡中内容扫描的部分采用CAM技术实现并行扫描。目前CAM采用72bits总线，特征库采用18bytes(144bites)模式，在扫描过程中CAM只需要2个时钟周期就可以完成对所有特征的扫描。每完成一次扫描，通过硬件移位1bytes。

CAM采用133M时钟，因而一个CAM扫描器的工作性能：133M*8/2bps＝532Mbps。目前实现2个CAM扫描器并行扫描，因而2个CAM扫描器的扫描性能：532Mbps*2＝1064Mbps。

3.深度检测和扫描

当CAM扫描命中之后，需要进行深度扫描和样本检测，这个过程需要将FPGA卡内DDR中的特征信息加载并进行进一步匹配。由于CAM采用18bytes(144bites)模式，需要深度扫描的概率很低，理论上的概率为1/2^144。因而这部分的性能影响对整个加速卡的性能影响可以不予考虑。

目前FPGA与CPU通信、CAM扫描器的扫描都采用并行工作方式，CAM扫描器的性能小余FPGA与CPU通信的性能，因而整个加速卡的性能主要取决于CAM扫描器的性能。因而FPGA加速卡的性能为1064Mbps，大于1Gbps。

上面所述的实施例仅仅是对本发明的优选实施方式进行描述，并非对本发明的范围进行限定，在不脱离本发明设计精神前提下，本领域普通工程技术人员对本发明技术方案做出的各种变形和改进，均应落入本发明的权利要求书确定的保护范围内。