[发明专利]基于现场可编程门阵列的检测入侵装置及方法

说明书

一种基于现场可编程门阵列的检测入侵装置及方法，主要解决现有硬件检测入侵方法检测速度较慢，且检测速度不稳定，依赖于攻击特征的问题。其装置包括布鲁姆过滤模块、先入先出FIFO模块、比特向量生成模块、控制模块和精确匹配模块。其方法步骤包括将已知攻击信息分组，经过哈希操作生成布鲁姆过滤数组；将攻击信息分组划分为子字段；通过比特向量方法编码每一子字段生成比特向量，并存储在相应的存储器中；通过布鲁姆过滤数组对待检测数据进行过滤，发现疑似攻击数据；对疑似攻击数据进行精确匹配；匹配结果一致时，输出攻击数据。本发明具有检测入侵速度高且稳定，占用存储资源较少等优点。

技术领域

本发明属于通信技术领域，更进一步涉及网络通信技术领域中的一种基于现场可编程门阵列的检测入侵装置及方法。本发明可用于从网络用户接收的数据包中，快速并准确检测出其中包含的恶意攻击信息。

背景技术

检测入侵根据已知的攻击信息库对网络数据进行检测，随着攻击库中攻击数目的急剧增长，检测入侵的难度越来越大。检测入侵装置的核心技术是多模式匹配算法，通过将用户接收到的数据与已知的攻击库进行匹配，匹配结果一致的即为恶意攻击信息。早期的检测入侵装置主要采用软件方式实现，随着网络速度的不断增长，软件的串行实现方法已无法满足高速的网络需求，可以充分利用硬件方法的并行性来克服软件实现方法遇到的瓶颈。目前已有的硬件实现的检测入侵装置主要基于状态机实现，该类方法的不足之处在于检测速度较慢，且检测速度不稳定，依赖于攻击特征。

赵海斌在其发表的硕士学位论文“快速多模式匹配算法与硬件实现研究”(杭州电子大学论文2012.12)中提出了一种检测入侵的装置及方法。该发明的装置包括数据拆分模块，过滤模块，仲裁模块，地址映射模块，匹配控制模块和存储模块。其中，数据拆分模块，用于将数据根据不同的偏移量进行拆分；过滤模块，用于对数据进行快速过滤，输出疑似攻击的数据；仲裁模块，用于顺序相应输出的疑似攻击数据；地址映射模块，用于利用数据信息访问存储模块，获取状态跳转状态；匹配控制模块，用于判断当前状态下有无匹配信息；存储模块，用于存储跳转到下一状态的信息。该装置存在的不足之处是：存储模块位于装置主体的外部，从地址映射模块访问存储模块中的数据延时较长，使得检测入侵速度较慢。该方法的实施步骤是：第一，将数据按偏移量进行拆分，并经过布鲁姆过滤器(Bloom filter)过滤掉大部分安全数据，得到疑似攻击数据；第二，通过AC(Aho-Corasick)算法进行状态跳转将疑似攻击数据与攻击库中的信息进行匹配，匹配一致即为攻击信息。该方法存在的不足之处是，采用AC算法构建的跳转状态跳转表和状态信息表，随着攻击集合规模的增大而急剧增大，占用存储资源较大；而且当AC算法对疑似攻击数据进行精确匹配时，布鲁姆过滤器需要停止工作，等待AC算法的匹配结果，降低匹配速度。

北京畅讯信通科技有限公司在其申请的专利文献“基于现场可编程门阵列的高速模式匹配算法”(申请日：2008.12.30，申请号：200810241135.1，公告号：1691581B)中公开了一种利用硬件技术实现数据安全检测的高速模式匹配方法。该方法主要用于检测网络入侵，实施步骤是：第一，根据AC(Aho-Corasick)算法利用攻击信息及其前缀特征将攻击信息构建状态跳转表和状态信息表。状态跳转表保存跳转的下一个状态号，状态信息表保存当前状态的相关信息；第二，利用待检测数据的每一字节读取状态跳转表，通过状态跳转完成数据检测。该方法存在的不足之处是：构建状态跳转表和状态信息表时需要利用攻击信息的前缀，使得当规则前缀特征不同时，检测速度相差很大，导致检测速度不稳定。

发明的内容

本发明的目的在于针对上述现有技术的不足，提供一种基于可编程门阵列的检测入侵装置及方法，以解决构建的跳转状态跳转表和状态信息表占用较多资源，过滤准确率低，检测速度慢且不稳定等问题。

本发明的检测入侵装置包括布鲁姆过滤模块、先入先出FIFO模块、控制模块、比特向量产生模块、精确匹配模块五个模块；