1 引言

隨著互聯網的飛速發展，網絡流量不斷增大、網絡攻擊類型層出不窮。入侵檢測的高速度、低漏檢率、低誤報率等要求，使傳統的以軟件為核心的 IDS面臨著越來越大的壓力。僅靠模式匹配算法的改進對入侵檢測速度的提高是有限的，不是解決問題的根本策略。

通過對入侵檢測系統中檢測速度瓶頸及模式匹配算法的分析，提出了基于硬件實現入侵檢測的策略。在系統中用硬件代替傳統入侵檢測系統中的軟件實現主要部件功能：如數據采集和過濾、多模式匹配及數據包調度等，硬件實現比軟件實現的速度能顯著提高。

2 系統設計

系統原型的設計基于SOPC技術，采用了多處理器并行處理結構、可擴充指令集和協處理器加速算法等設計思想。其核心內容是采用多級并行處理技術和專用功能部件代替復雜費時算法，以獲得極大的數據包處理性能。

1. 系統總體結構設計

原型系統的主要部件有數據采集模塊、報文分派器、軟核處理單元、模式匹配協處理器、自定義指令、主控通路接口及響應輸出等。系統的體系結構如圖 1所示。

為了解決高速網絡環境下入侵檢測系統的檢測速度瓶頸問題，在入侵檢測過程的各個環節中，各處理器部件都必須能線速處理數據包。本系統中采用硬件模塊實現數據采集功能，對數據包的分析檢測模塊采用并行處理的方法來提速；另外還采用協處理器來加速完成模式匹配過程。基于 FPGA協處理器能夠加速多種不同的算法，其獲得的性能是軟件實現性能的幾十倍。

2．數據采集部件

傳統的網絡數據截獲用軟件實現，通過函數拷貝 MAC緩沖區內的數據包來實現數據采集，運行速度低，丟包率高。本系統中的數據采集和過濾模塊直接用硬件實現。當輸入端口有數據進來時，過濾單元選擇性的把需要的數據拷貝到 Buffer中，具有很高的采集速度，在千兆環境下丟包率很低。

報文分派器按照公平的輪詢策略依次從輸入通路上讀取 IP報文，然后根據輸入緩沖中 FIFO的空閑狀況，將 IP報文分派到軟核處理器的輸入緩沖 FIFO中。

3．軟核處理器單元

使用SOPC Builder定義網絡處理器原型芯片中的并行處理單元 ——Altera NiosⅡ處理器軟核。定義中需要設置各種硬件參數，包括工作頻率、cache選項、加電引導方式、中斷寄存器設置、內存大小、Flash基地址以及各種的訪問模式和地址映射等。依次對多個處理器軟核進行描述，并因此生成每個處理器軟核的邏輯符號和軟件編程接口，生成.elf文件。對芯片原型中的其他硬件邏輯設計采用硬件描述語言，生成的硬件配置數據與處理器軟核的.elf文件合成用于配置芯片原型 FPGA的.hex文件。

本系統芯片原型內的多個 PE采用并行結構，各個 PE有自己的數據和指令存儲器，共享模式匹配協處理器模塊。PE之間的通信使用并行通信接口 PIO來實現。其中 NiosⅡ是微處理器軟核，RAM和 Cache存放指令和數據， Load_Header和 Send_Header是報文頭輸入 /

輸出邏輯，Lookup Controllor是多模式匹配協處理器接口邏輯， Cam_update Controllor是規則表管理邏輯接口，PIO是并行通信接口。

4. 協處理器設計

盡管有軟件模式匹配算法的改進，模式匹配仍然是高速流量分析的限制。我們通過下載所有模式匹配任務到可重配置的 FPGA協處理器來消除這個瓶頸。 FPGA能對 Snort規則中每種模式與包內容進行比較，整個規則集裝入在一個低端 FPGA設備上。

本系統中處理器軟核 NiosⅡ共享匹配查表協處理器，采用總線仲裁器共享機制。每個處理器軟核有一個匹配查表協處理器的接口控制器 Lookup，它作為自定義指令邏輯包含在處理器軟核內部。匹配查表協處理器與處理器軟核并行工作，通過查詢方式判斷協處理器工作是否結束。協處理器使用 CAM存放規則表。 3 系統關鍵技術及實現

1. 多處理器技術

PE（Processor Element）是網絡處理器的核心部件，承擔系統內主要計算任務，每個 PE實際上是一個微處理器核。網絡處理器通常包括多個 PE，PE之間有兩種主要連接方式：并行連接和串行連接。

2. 多級并行處理技術

網絡數據包處理存在本質上的并行性，為了昀大限度地提高報文處理速度，滿足網絡應用的需求，網絡處理器實現不同層次并行處理：實現處理器級并行處理、通過硬件多線程實現線程級的并行處理、通過指令流水線實現指令級的并行處理。處理器間的并行還可以分為 PE之間的并行運行及 PE與協處理器之間的并行。

3. 硬件線程和 “0開銷”切換技術

PE內部采用硬件多線程技術，每個 PE中有多個硬件線程，硬件線程是指享有獨立的程序計數器、寄存器和存儲空間的線程。 “0”延遲切換原理是：硬件線程在進行線程切換時，既不需要保存將要停止運行的線程的現場信息，也不需要恢復即將運行的就緒進程的現場信息，因此不消耗 PE資源，能做到“0開銷”切換。NP利用硬件線程掩蓋了線程切換的延遲，提高了 PE的運行效率。一般地，通過合理設計調度策略，PE運行效率可接近 。

4. 分布式數據存儲技術

存儲器也是網絡處理器的關鍵，其存取速度和帶寬是影響網絡處理器性能的重要因素。按照存儲轉發的思想，所有報文進入網絡處理器后必須緩存。要線速處理報文，報文的輸出速度必須與輸入速度一致，既存儲器帶寬是端口速度的兩倍以上，這對目前存儲器是一個巨大的挑戰。

一方面，NP采用數據分布式存儲結構。NP內設置多級存儲器：片上快速存儲器和片外慢速存儲器。另一方能，網絡處理器采用數據預取、塊傳送、高速數據通路等技術來解決高速計算和高速數據傳送的問題。

5.系統實現

本系統是面向入侵檢測的網絡處理器原型，入侵檢測的流程包括數據采集、數據包預處理、數據包檢測、及響應四個步驟。原型系統將入侵檢測的主要工作，如數據采集及過濾、多模式匹配、數據包在多處理單元上的分派等用硬件實現，而數據包的分析檢測也用多個處理單元進行并行處理。

該原型系統包括：一個主控模塊、一個硬件數據采集模塊、八個軟核并行處理單元、一個多模式匹配協處理器。系統采用報文分派器完成 IP報文到核處理器的分派任務，軟核微處理器對報文做入侵檢測。每個軟核微處理器都擁有一個輸入緩沖 FIFO和輸出緩沖 FIFO，用于緩沖需要處理的報文。響應和輸出控制模塊根據報文的檢查結果，決定是否作為非法包丟棄還是作為正常包轉發到相應的輸出數據通路上。 4 系統測試及性能分析

為了進行系統測試，開發了如圖 2所示的驗證平臺。系統原型驗證平臺使用多片 FPGA實現各種功能接口，同時將網絡處理器的核心功能在單個 FPGA芯片中實現，用于支持網絡處理器控制功能和系統管理功能的主控模塊也采用一個獨立的 FPGA實現。

系統性能測試在系統驗證平臺下進行。通過JTAG接口將驗證平臺與微機相連，使用IDE開發環境進行軟件調試。報文生成器是 FPGA內的一個模塊，使用它能產生變長的連續報文。網絡處理器芯片的輸入端接收 33位數據（ 32位數據和 1位標志位），經報文分派器分配給多個 PE進行處理。每個 PE對報文頭進行解析，并查找規則表，產生 11位轉發控制信息用于輸出控制。

在 FPGA上進行模式匹配的重要性能指標是吞吐率。我們通過輸入不同大小的數據包進行實驗，實驗結果如表 1所示。

PE讀取第一個報文頭到讀取第二個報文頭的時間為 246個時鐘周期，報文處理延遲為 4920ns，實驗測量值與計算值基本符合。實驗中系統每秒處理 330K個報文，系統的吞吐率與報文長度有關，總的吞吐率理論上可達到 14Gbps，但理論值只有在 PE與協處理器滿負荷運行下才有可能獲得。從表 1還可看出，在 FPGA內部隨著資源使用的增加，內部延遲會增加，吞吐率稍有降低。

5 小結

通過對入侵檢測系統中檢測速度瓶頸的分析，設計了一個基于硬件的入侵檢測系統原型。該原型采用基于網絡處理器的硬件策略取代傳統入侵檢測的軟件策略，實驗證明該系統的性能與傳統方法相比有顯著的提高，很好地解決了入侵檢測中的速度問題。系統都是在基于 FPGA上實現的，并可以根據實際需要增加硬件和自定義指令來提高系統性能。

本文作者創新點：設計了一個基于 SOPC網絡處理器的入侵檢測系統原型，將入侵檢測的主要工作用硬件來實現，與傳統的基于軟件策略相比性能有顯著的提高。

責任編輯：gt