基于模式匹配的網(wǎng)絡(luò)安全協(xié)處理器優(yōu)化研究

周 碧 英

(渭南師范學(xué)院 網(wǎng)絡(luò)安全與信息化學(xué)院,陜西 渭南 714099)

?

基于模式匹配的網(wǎng)絡(luò)安全協(xié)處理器優(yōu)化研究

周 碧 英

(渭南師范學(xué)院 網(wǎng)絡(luò)安全與信息化學(xué)院,陜西 渭南 714099)

摘要：網(wǎng)絡(luò)安全成為計算機網(wǎng)絡(luò)應(yīng)用中一個亟待解決的問題，對網(wǎng)絡(luò)病毒進行有效防治是提高信息安全的重要途徑之一。在網(wǎng)絡(luò)安全系統(tǒng)應(yīng)用層中通常采用深度包檢測技術(shù)來進行流量檢測和控制，但難以實現(xiàn)對大型網(wǎng)絡(luò)進行有效監(jiān)控和處理。因此，構(gòu)建一種基于模式匹配的高性能協(xié)處理器架構(gòu)，用以監(jiān)測和識別網(wǎng)絡(luò)攻擊。為了解決過濾器并發(fā)問題，采用變長度多模式匹配設(shè)計。結(jié)果表明，該方法能有效提高網(wǎng)絡(luò)入侵檢測系統(tǒng)的性能。

關(guān)鍵詞：網(wǎng)絡(luò)安全；入侵；模式匹配；模式搜索

0　引言

目前，計算機病毒已經(jīng)成為困擾計算機系統(tǒng)安全和網(wǎng)絡(luò)發(fā)展的重要問題[1-3]。現(xiàn)今大多數(shù)防火墻的數(shù)據(jù)包過濾是通過對數(shù)據(jù)包的IP頭和TCP頭或UDP頭的檢查來實現(xiàn)的，但應(yīng)用層的網(wǎng)絡(luò)攻擊卻能夠通過安全系統(tǒng)而不被發(fā)現(xiàn)。深度包檢測對于這種攻擊是一種有效的安全措施[4]，它同時考慮了包頭和有效載荷數(shù)據(jù)。因此，包含深層數(shù)據(jù)包檢測的安全系統(tǒng)比傳統(tǒng)的防火墻提供了更好的攻擊保護。而現(xiàn)今使用的多數(shù)防火墻并不能有效區(qū)分包含蠕蟲病毒Sobig-F的郵件與正常的電子郵件。

模式匹配是數(shù)據(jù)結(jié)構(gòu)中字符串的一種基本運算，分為單模式匹配和多模式匹配，其主要包括KMP(Knuth Morris Pratt, KMP)算法、Commentz-Walter算法以及Boyer-Moore算法等。多模式匹配通過一次掃描可以找到多個模式的所有出現(xiàn)，較之于單模式匹配，雖然實現(xiàn)復(fù)雜，但應(yīng)用范圍更廣。

1　深度包檢測現(xiàn)狀分析

網(wǎng)絡(luò)數(shù)據(jù)流量是進行了分片的數(shù)據(jù)包，對于每個數(shù)據(jù)流需要先發(fā)送到深度包檢測系統(tǒng)然后再重新組合。但有些攻擊可以通過使用某些非常規(guī)協(xié)議功能避免入侵檢測系統(tǒng)。因此，必須消除這種攻擊所使用重疊零碎的IP數(shù)據(jù)包，但對于復(fù)雜條件的網(wǎng)絡(luò)通信進行分片時可能會產(chǎn)生異常。

目前使用的深度包檢測系統(tǒng)一般采用一個或多個通用處理器來運行簽名過濾軟件。雖然這些軟件系統(tǒng)通過重新配置可以很容易檢測新攻擊，但由于處理器功能不夠強大，無法滿足千兆及以上網(wǎng)絡(luò)速度的過濾要求。例如Snort系統(tǒng)，當(dāng)可檢字符串模式長度設(shè)定為500時，僅可維持1 GHz奔騰雙核系統(tǒng)在帶寬速度小于50 Mbps時的檢測。有效載荷數(shù)據(jù)由用戶應(yīng)用程序控制，必須保證對每一個字節(jié)的比較處于有效載荷的搜索過程[5-6]。當(dāng)數(shù)據(jù)量猛增時，過濾過程則需要維持在很高的處理水平上，而對通用處理器的改造需要付出的代價更高。

2　檢測模式構(gòu)架

在Snort規(guī)則中是通過對網(wǎng)絡(luò)數(shù)據(jù)包的所有層進行查找來發(fā)現(xiàn)特定攻擊的。檢測是對數(shù)據(jù)包有效載荷字符串詳盡搜索的過程，是計算最密集的階段。在此提出了一種緊湊的多模式搜索和可編程協(xié)處理器以適用于網(wǎng)絡(luò)動態(tài)檢測。

2.1模式檢測模塊

基本的模式檢測模塊(pattern detection module，PDM)如圖1所示。該檢測模塊通過可編程哈希分離字符串比較函數(shù)來實現(xiàn)有效檢測。

圖1　模式檢測模塊

在每一個時鐘周期，輸入字符串以哈希索引值方法被散列時，其索引結(jié)果以相應(yīng)的存儲模式段作為內(nèi)存地址。在內(nèi)存檢索模式中與輸入模式進行比較，確定該模式段是否為一個完全匹配值。當(dāng)匹配時，可以發(fā)出一個與該模式對應(yīng)的唯一標(biāo)識符信號來確認(rèn)。通過參數(shù)整定和硬件級聯(lián)，可保證檢測模式的長度為動態(tài)非固定。輸入的最大長度字節(jié)由哈希生成，作為單PDM檢測的最小長度字節(jié)。此外，最大的散列索引范圍決定了可存儲值在內(nèi)存中的最大項。

2.1.1散列索引

散列靜態(tài)位置上的模式約束可被PDM檢測。所有模式的前兩個字節(jié)產(chǎn)生的索引，即使有相同的哈希值，也不能在同一數(shù)據(jù)管理中存儲[7-8]。為了獲得更高的資源利用率，允許任何模式的子串生成該值。在實際中，每個模式包括多于一個的獨立子串。允許散列函數(shù)在該模式下不同的起始字節(jié)有偏移量，且被存儲在模式內(nèi)存中，使得PDM內(nèi)存使用率得到改善。圖2為轉(zhuǎn)換通道，該指數(shù)輸出時間可以進行調(diào)整以符合模式的起始要求。由于該指數(shù)的產(chǎn)生是一個子模式不同的偏移，該標(biāo)識指數(shù)輸出時間可能并不表明該模式的起始字節(jié)。

圖2　轉(zhuǎn)換通道

2.1.2優(yōu)先級并行模塊

一些模式，特別是獨特的小子集，無法映射到同一數(shù)據(jù)管理模塊，因為它們的哈希指數(shù)可能被使用到另一種模式[9-10]。因此，多個PDM必須運行在平行檢測與均等的哈希值模式下。為了提高內(nèi)存的利用率，每個PDM可以有不同大小的存儲器和基于不同目標(biāo)范圍模式的邏輯值。為了保持一致的模塊輸出時間，較小的PDM需要與最大的PDM進行匹配。

如果多個PDM檢查相同的數(shù)據(jù)，將只有一個PDM輸出一個有效的模式匹配指數(shù)。擴展輸出位指向其模塊數(shù)，多PDM輸出可以合并產(chǎn)生一個索引輸出。依賴多PDM存儲內(nèi)容，可在給定的周期輸出有效指標(biāo)。如果某個模式是一個字符串檢測，先從第一個字節(jié)開始進行混合檢測，將其稱之為重疊模式。當(dāng)多個指標(biāo)在同一周期被發(fā)現(xiàn)，輸出最長模式的索引已經(jīng)足以表示較短的模式。上述PDM結(jié)構(gòu)允許數(shù)據(jù)管理的模式檢測長度小于或等于所有最廣PDM的內(nèi)存模塊，這種方式稱為短模式。

2.2長模式狀態(tài)機

Snort入侵檢測系統(tǒng)中存在一些長模式，PDM沒有足夠的內(nèi)存來存儲這些模式且效率不高。通過組件架構(gòu)多個PDM就可以完成超出存儲長度的模式。圖3為長模式多PDM分段檢測策略。

圖3　長模式多PDM分段檢測策略

長模式被分段賦予不同的索引指數(shù)，通過平行PMD進行分段成短模式進行檢測。對短模式的檢測順序和序列時間進行匹配，即可有效地檢測其對應(yīng)的長模式。分段PDM檢測結(jié)果的輸出進入由優(yōu)先級復(fù)用器處理，復(fù)用器有一個單獨的輸出，與選擇的數(shù)據(jù)輸入值相同。輸出生成分段索引指數(shù)進入存儲器，檢測到的指標(biāo)被發(fā)到長模式狀態(tài)機(long pattern state machine，LPSM)中。LPSM結(jié)構(gòu)類似于PDM，包含了存儲器和數(shù)據(jù)通道，不同的是存儲器僅存儲當(dāng)前和下一個狀態(tài)。索引剩余位被存儲在存儲器，以驗證當(dāng)前狀態(tài)，還有一個類型字段用來指示當(dāng)前索引是否在首位、中間和末端。類型還指定了下一狀態(tài)是什么，以及PDM預(yù)檢狀態(tài)。

當(dāng)目前狀態(tài)類型指示為一個長模式段的開始時，序列匹配過程才啟動。下一期望狀態(tài)被轉(zhuǎn)發(fā)到類似PDM的交換通道并設(shè)置適當(dāng)?shù)难舆t。當(dāng)下一個索引到達通道末端時，將其與實際當(dāng)前值進行比較，以確定是否存在匹配。當(dāng)先前下一狀態(tài)與當(dāng)前通道狀態(tài)中的端部完全匹配，預(yù)期下一狀態(tài)就轉(zhuǎn)發(fā)到通道。當(dāng)下一狀態(tài)與當(dāng)前狀態(tài)不匹配，則此過程結(jié)束，沒有任何輸出。否則，該過程將會繼續(xù)，直到當(dāng)前狀態(tài)被指定為長模式的最后一個段，然后該匹配索引被轉(zhuǎn)發(fā)作為用于檢測長模式的索引。

依賴LPSM存儲器深度和長模式索引，多個模式會進入同一地址。 為了解決這個問題，采用多個LPSM并行運行以檢測多個狀態(tài)序列。為了融合LPSM之間的互操作，匹配位被轉(zhuǎn)發(fā)到包含所有當(dāng)前狀態(tài)對應(yīng)的下一個狀態(tài)模塊。當(dāng)任何一個LPSM接收匹配位時，其預(yù)期的下一個狀態(tài)被轉(zhuǎn)發(fā)到通道，而不計自身比較結(jié)果。

3　系統(tǒng)集成和功能

有了正確的內(nèi)存值，短模式就可以使用PDM標(biāo)識，而長模式則同時使用PDM和LPSM模塊標(biāo)識。由于多個索引序列可以被并行LPSM跟蹤，它們可以被編程生成重用模式段，出現(xiàn)在一個以上的模式，通過使用模式分段可以降低PDM的內(nèi)存要求。將一組模式存儲到一個優(yōu)化共同樹的關(guān)鍵字，這種轉(zhuǎn)換不僅減少了所需的存儲量，而且作為模式搜索算法遍歷樹時也縮小了潛模式的數(shù)目，將一組模式存儲到具有公共關(guān)鍵字的優(yōu)化樹中。首先，對模式組進行分析，以形成關(guān)鍵字樹。一旦關(guān)鍵字樹生成，其關(guān)鍵字被作為分段模式存儲在PDM，末端作為轉(zhuǎn)換狀態(tài)被存儲在并行LPSM中。這種優(yōu)化允許重復(fù)模式段被折疊成單一分段，以節(jié)省PDM存儲空間。

4　硬件及參數(shù)配置

Snort是一種應(yīng)用廣泛的基于深度包檢測技術(shù)的網(wǎng)絡(luò)入侵檢測系統(tǒng)，目前已發(fā)展成為一個綜合了多平臺(Multi-Platform)、實時(Real-Time)流量分析和網(wǎng)絡(luò)IP數(shù)據(jù)包(Pocket)記錄等多個特性的網(wǎng)絡(luò)入侵檢測與防御系統(tǒng)。Snort有數(shù)據(jù)包嗅探、數(shù)據(jù)包分析、數(shù)據(jù)包檢測、響應(yīng)處理等多種功能，每個模塊實現(xiàn)不同的功能，各模塊都是用插件的方式和Snort相結(jié)合，功能擴展方便。為了評估架構(gòu)的有效性，實現(xiàn)了基于該架構(gòu)以支持整個Snort規(guī)則集的過濾器，設(shè)計考慮了面向新進攻的內(nèi)存空間靈活配置策略。

結(jié)構(gòu)主要參數(shù)包括存儲器容量、PDM和LPSM的數(shù)目和散列函數(shù)。根據(jù)這些參數(shù)，設(shè)計人員可以針對給定的威脅狀況來自定義過濾器。根據(jù)不同的模式設(shè)置，該體系結(jié)構(gòu)的參數(shù)可能會大大不同，以便于優(yōu)化資源利用。例如，當(dāng)所有的目標(biāo)模式較短且長度均勻時，設(shè)計者可以忽略不必要的LPSM 環(huán)節(jié)；另一方面，當(dāng)模式為重復(fù)通用子串時，設(shè)計者可以根據(jù)多個并行LPSM選擇少量PDM。確定體系結(jié)構(gòu)參數(shù)是一個復(fù)雜的過程，需要反復(fù)權(quán)衡，因為這將會影響整個系統(tǒng)的性能。

按照Snort規(guī)則，模式的長度范圍為1～122字節(jié)，模式內(nèi)容由二進制序列轉(zhuǎn)換為ASCII字符串。因此需要設(shè)計過濾器，以支持各種長度的模式及內(nèi)容。對于模式集合，在PDM中使用大小不同的存儲容量，可提高內(nèi)存的利用率，降低邏輯分區(qū)。為了簡化設(shè)計過程，可以選擇設(shè)置所有PDM是相同的。散列函數(shù)的邏輯包括一系列多路復(fù)用器來自主選擇任意9位和16位，每個PDM散列邏輯都單獨配置以獲得靈活性。

設(shè)計分為8個LPSM單元，每個單元由29位512 MB內(nèi)存條實現(xiàn)。雖然LPSM存儲記錄足以完全映射整個Snort的內(nèi)容，但是在可編程濾波器中仍然需要使用更大的存儲器。由于每個LPSM可以匹配不同的序列模式，設(shè)計中短模式段能夠重復(fù)使用多達8次。

5　軟件模式

完成硬件參數(shù)設(shè)置后，所得到的數(shù)據(jù)通路就可以使用多種不同的算法進行編程。根據(jù)算法、模式的復(fù)雜性和程序大小，在編譯時就會有很大的不同。一般情況下，描述相同事件的短程序會比長程序需要更長的編譯時間，但較短的程序往往會產(chǎn)生更少的索引結(jié)果，而系統(tǒng)性能的穩(wěn)定性與程序的長短無關(guān)。

根據(jù)上述硬件及參數(shù)配置，長模式必須被分解成17個字節(jié)或更少的短段，由于分配到PDM的優(yōu)先次序，對應(yīng)短模式并不是唯一的。消除重復(fù)模式將會大大地節(jié)省存儲空間，為了保證每個索引模式具有唯一的識別性，要求每個模式的最后段必須是不同的。為了有效消除重復(fù)模式，先將長模式分割成合適的短模式，同時產(chǎn)生含有重疊模式的列表，通過向兩個任意重疊模式分配更高的優(yōu)先級，時間越長的索引會包含更短的模式。如果長模式的任何部分是重疊的，它必須有最高的優(yōu)先權(quán)，當(dāng)算法獲得模式的最大長度段時，這種優(yōu)先級會自動分配，這樣在一個周期內(nèi)多個PDM重疊模式段就可以被區(qū)分。

一旦模式段的列表生成，它就可以被用于產(chǎn)生對所有長模式索引的序列。當(dāng)長模式被分成較小的段，段標(biāo)識符的相應(yīng)序列與隨后的段和類型標(biāo)志之間的時間延遲會被同時記錄。這些數(shù)據(jù)輸入到LPSM單元用于跟蹤長模式。

6　結(jié)語

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，信息安全問題顯得越來越重要，網(wǎng)絡(luò)入侵已經(jīng)成為危害計算機網(wǎng)絡(luò)安全的主要因素之一。網(wǎng)絡(luò)入侵檢測系統(tǒng)是提高安全性能的重要手段，已成為當(dāng)前計算機網(wǎng)絡(luò)安全領(lǐng)域的研究熱點問題。本文對入侵檢測研究現(xiàn)狀進行了分析，提出了一種基于模式匹配的網(wǎng)絡(luò)入侵檢測系統(tǒng)的協(xié)處理器架構(gòu)。分析了深度包檢測現(xiàn)狀，對模式匹配和協(xié)議分析進行了比較，設(shè)計了檢測模式構(gòu)架，考慮了多模式情況，總結(jié)了系統(tǒng)集成和功能，最后給出了硬件及參數(shù)配置，為提高網(wǎng)絡(luò)入侵檢測效率提供了有力支撐。

參考文獻：

[1] 樊愛京，楊照峰.用于網(wǎng)絡(luò)入侵檢測的模式匹配新方法[J].計算機應(yīng)用,2011,31(11):2961-2964.

[2] 王曉程，劉恩德，謝小權(quán).攻擊分類研究與分布式網(wǎng)絡(luò)入侵檢測系統(tǒng)[J].計算機研究與發(fā)展,2001,38(6):727-734.

[3] 陳科，李之棠.網(wǎng)絡(luò)入侵檢測系統(tǒng)和防火墻集成的框架模型[J].計算機工程與科學(xué),2001,23(2):26-28.

[4] 譚愛平，陳浩，吳伯橋.基于SVM的網(wǎng)絡(luò)入侵檢測集成學(xué)習(xí)算法[J].計算機科學(xué),2014,41(2):197-200.

[5] 陳穎悅. 一種基于聚類算法的網(wǎng)絡(luò)入侵檢測應(yīng)用[J].廈門理工學(xué)院學(xué)報,2014,22(1):70-74.

[6] 趙建華，劉寧.結(jié)合主動學(xué)習(xí)和半監(jiān)督學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測算法[J].西華大學(xué)學(xué)報(自然科學(xué)版),2015,34(6):53-57.

[7] 趙夫群.基于混合核函數(shù)的LSSVM網(wǎng)絡(luò)入侵檢測方法[J].現(xiàn)代電子技術(shù),2015,38(21):96-99.

[8] 馬世歡，胡彬.基于特征選取和樣本選擇的網(wǎng)絡(luò)入侵檢測[J].計算機系統(tǒng)應(yīng)用,2015，(9):240-243.

[9] 王興柱，顏君彪，曾慶懷.基于均值聚類分析和多層核心集凝聚算法相融合的網(wǎng)絡(luò)入侵檢測[J].計算機應(yīng)用與軟件,2015,32(12):313-315.

[10] 穆俊.基于蟻群聚類算法的數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用研究[J].洛陽理工學(xué)院學(xué)報(自然科學(xué)版),2015，(2):68-72.

【責(zé)任編輯牛懷崗】

中圖分類號：TP18

文獻標(biāo)志碼：A

文章編號：1009-5128(2016)16-0059-05

收稿日期：2016-05-15

基金項目：渭南師范學(xué)院科研計劃項目：基于智能算法的預(yù)測控制策略研究(16YKP007)

作者簡介：周碧英(1978—)，女，陜西大荔人，渭南師范學(xué)院網(wǎng)絡(luò)安全與信息化學(xué)院副教授，工學(xué)碩士，主要從事計算機軟件與理論研究。

Research on Optimization of Network Security Co-processor Based on Pattern Matching

ZHOU Bi-ying

(School of Network Security and Informationization, Weinan Normal University, Weinan 714099, China)

Abstract:Network security has become a serious problem for computer network, and the effective control network virus is an important way to improve information security. In the network, security system commonly uses deep packet inspection technology to detect and control the traffic, but it is difficult to achieve large-scale network for effective monitoring and processing. A high-performance coprocessor architecture based on pattern matching is proposed in this paper, which can be used for a large number of intrusion detection and recognition. In order to solve the filter concurrency problems, using variable-length multi-mode matching design, the results show that the method can effectively improve the performance of network intrusion detection system.

Key words:network security; intrusion; pattern matching; pattern search

【現(xiàn)代應(yīng)用技術(shù)研究】