[发明专利]一种软硬结合的入侵检测系统及方法

权利要求书

1.一种软硬结合的入侵检测系统，其特征在于，包括：网络接口卡、FPGA、三态内容寻址存储器TCAM和CPU，其中，

所述网络接口卡用于引入网络流量，并将引入的网络流量发送给FPGA；

所述FPGA用于对所述网络接口卡引入的网络流量进行报文解析和分流，并将报文发送至所述三态内容寻址存储器进行初次规则匹配，同时记录三态内容寻址存储器的匹配结果并将其发送至CPU；

所述三态内容寻址存储器TCAM用于对所述FPGA送达的报文进行初次规则匹配，并反馈匹配结果；

所述CPU用于根据特征库的规则提取TCAM的匹配项表并通过FPGA下发至TCAM，同时对FPGA和TCAM的匹配结果进行二次规则匹配。

2.一种基于权利要求1所述入侵检测系统的入侵检测方法，其特征在于，包括如下步骤：

S1、构建软硬结合的入侵检测系统并对三态内容寻址存储器进行匹配表项配置；

S2、利用FPGA对引入的网络流量进行报文解析，并将解析之后的报文发送至TCAM；

S3、利用TCAM对步骤S2中获取报文的报文内容进行初次规则匹配，并将命中规则的匹配结果反馈至FPGA；

S4、FPGA将命中规则的报文根据其源目IP地址进行hash分流，并将其发送至CPU进行二次规则匹配，具体包括：

S41、FPGA将接收到的初次匹配命中规则的报文以及未命中的报文上传至CPU；

S42、CPU对步骤S41上传的报文进行二层、三层和四层解析，得到报文的四层负载，并对初次匹配结果进行解析，得到报文命中的规则；

S43、对经过步骤S42解析的报文进行流处理管理，具体包括：

S431、对经过步骤S42处理的报文进行分片报文的重组，对其中非分片报文进行流管理处理，将五元组相同的报文划分为同一条流；

S432、将没有命中头匹配表项及尾匹配表项的报文存储在流表上，缓存该报文时将之前的报文清除；对命中头匹配表项及尾匹配表项的报文，将该条流上所有的报文进行缓存同时进行流重组；对没有命中任何表项的报文进行舍弃；

S44、对命中初次匹配的报文，CPU从TCAM 结果中进行任意规则的匹配，确定报文是否命中该规则；

S5、对进行二次规则匹配确定命中规则的报文进行警告。

3.根据权利要求2所述的入侵检测方法，其特征在于，所述步骤S1中对TCAM进行匹配表项配置的具体方法为：

S11、从特征库内容中的每一条规则中选取一个特征串，作为TCAM的原始表项，若所提取的特征串大于8字节，则提取其中8字节的内容作为TCAM的原始表项；

S12、将步骤S11中得到的原始表项进行扩展，得到扩展后的匹配表项；

S13、对原始表项进行扩展，得到头匹配表项和尾匹配表项。

4.根据权利要求3所述的入侵检测方法，其特征在于，所述步骤S12具体包括：

S121、将步骤S11选取的长度为n且n≤8的特征串从TCAM的第0字节开始放入TCAM中并将其掩码设置为0，同时将剩余16-n字节的表项填充任意字符并将其掩码设置为1；

S122、将步骤S11选取的特征串从TCAM表项的第i字节开始放入TCAM中，按照步骤S121的方式填充剩余字节，并依次位移直至表项尾，得到扩展后的匹配表项。

5.根据权利要求4所述的入侵检测方法，其特征在于，所述步骤S13具体包括：

S131、将步骤S11选取的特征串从TCAM表项的第16-n+1字节开始放入TCAM中并将其掩码设置为0，同时剩余的字节依次放入当前TCAM表项中，并将特征串的最后1字节的内容放入下一TCAM表项中的第1个字节，按照步骤S121的方法将当前TCAM表项和下一TCAM表项中剩余位置填充并将掩码设置为1；

S132、对步骤S131中当前TCAM表项中的特征串依次位移直至特征串的第一字节位移当前TCAM表项的最后一字节，并将依次位移之后的超出当前TCAM表项的特征串放入下一TCAM表项中；

S131、将当前TCAM表项作为尾匹配表项并将下一TCAM表项作为头匹配表项。