周 碧 英

(渭南師范學(xué)院 網(wǎng)絡(luò)安全與信息化學(xué)院,陜西 渭南 714099)

?

基于模式匹配的網(wǎng)絡(luò)安全協(xié)處理器優(yōu)化研究

周 碧 英

(渭南師范學(xué)院 網(wǎng)絡(luò)安全與信息化學(xué)院,陜西 渭南 714099)

摘要：網(wǎng)絡(luò)安全成為計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用中一個(gè)亟待解決的問題，對(duì)網(wǎng)絡(luò)病毒進(jìn)行有效防治是提高信息安全的重要途徑之一。在網(wǎng)絡(luò)安全系統(tǒng)應(yīng)用層中通常采用深度包檢測技術(shù)來進(jìn)行流量檢測和控制，但難以實(shí)現(xiàn)對(duì)大型網(wǎng)絡(luò)進(jìn)行有效監(jiān)控和處理。因此，構(gòu)建一種基于模式匹配的高性能協(xié)處理器架構(gòu)，用以監(jiān)測和識(shí)別網(wǎng)絡(luò)攻擊。為了解決過濾器并發(fā)問題，采用變長度多模式匹配設(shè)計(jì)。結(jié)果表明，該方法能有效提高網(wǎng)絡(luò)入侵檢測系統(tǒng)的性能。

關(guān)鍵詞：網(wǎng)絡(luò)安全；入侵；模式匹配；模式搜索

0　引言

目前，計(jì)算機(jī)病毒已經(jīng)成為困擾計(jì)算機(jī)系統(tǒng)安全和網(wǎng)絡(luò)發(fā)展的重要問題[1-3]。現(xiàn)今大多數(shù)防火墻的數(shù)據(jù)包過濾是通過對(duì)數(shù)據(jù)包的IP頭和TCP頭或UDP頭的檢查來實(shí)現(xiàn)的，但應(yīng)用層的網(wǎng)絡(luò)攻擊卻能夠通過安全系統(tǒng)而不被發(fā)現(xiàn)。深度包檢測對(duì)于這種攻擊是一種有效的安全措施[4]，它同時(shí)考慮了包頭和有效載荷數(shù)據(jù)。因此，包含深層數(shù)據(jù)包檢測的安全系統(tǒng)比傳統(tǒng)的防火墻提供了更好的攻擊保護(hù)。而現(xiàn)今使用的多數(shù)防火墻并不能有效區(qū)分包含蠕蟲病毒Sobig-F的郵件與正常的電子郵件。

模式匹配是數(shù)據(jù)結(jié)構(gòu)中字符串的一種基本運(yùn)算，分為單模式匹配和多模式匹配，其主要包括KMP(Knuth Morris Pratt, KMP)算法、Commentz-Walter算法以及Boyer-Moore算法等。多模式匹配通過一次掃描可以找到多個(gè)模式的所有出現(xiàn)，較之于單模式匹配，雖然實(shí)現(xiàn)復(fù)雜，但應(yīng)用范圍更廣。

1　深度包檢測現(xiàn)狀分析

網(wǎng)絡(luò)數(shù)據(jù)流量是進(jìn)行了分片的數(shù)據(jù)包，對(duì)于每個(gè)數(shù)據(jù)流需要先發(fā)送到深度包檢測系統(tǒng)然后再重新組合。但有些攻擊可以通過使用某些非常規(guī)協(xié)議功能避免入侵檢測系統(tǒng)。因此，必須消除這種攻擊所使用重疊零碎的IP數(shù)據(jù)包，但對(duì)于復(fù)雜條件的網(wǎng)絡(luò)通信進(jìn)行分片時(shí)可能會(huì)產(chǎn)生異常。

目前使用的深度包檢測系統(tǒng)一般采用一個(gè)或多個(gè)通用處理器來運(yùn)行簽名過濾軟件。雖然這些軟件系統(tǒng)通過重新配置可以很容易檢測新攻擊，但由于處理器功能不夠強(qiáng)大，無法滿足千兆及以上網(wǎng)絡(luò)速度的過濾要求。例如Snort系統(tǒng)，當(dāng)可檢字符串模式長度設(shè)定為500時(shí)，僅可維持1 GHz奔騰雙核系統(tǒng)在帶寬速度小于50 Mbps時(shí)的檢測。有效載荷數(shù)據(jù)由用戶應(yīng)用程序控制，必須保證對(duì)每一個(gè)字節(jié)的比較處于有效載荷的搜索過程[5-6]。當(dāng)數(shù)據(jù)量猛增時(shí)，過濾過程則需要維持在很高的處理水平上，而對(duì)通用處理器的改造需要付出的代價(jià)更高。

2　檢測模式構(gòu)架

在Snort規(guī)則中是通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的所有層進(jìn)行查找來發(fā)現(xiàn)特定攻擊的。檢測是對(duì)數(shù)據(jù)包有效載荷字符串詳盡搜索的過程，是計(jì)算最密集的階段。在此提出了一種緊湊的多模式搜索和可編程協(xié)處理器以適用于網(wǎng)絡(luò)動(dòng)態(tài)檢測。

2.1模式檢測模塊

基本的模式檢測模塊(pattern detection module，PDM)如圖1所示。該檢測模塊通過可編程哈希分離字符串比較函數(shù)來實(shí)現(xiàn)有效檢測。

圖1　模式檢測模塊

在每一個(gè)時(shí)鐘周期，輸入字符串以哈希索引值方法被散列時(shí)，其索引結(jié)果以相應(yīng)的存儲(chǔ)模式段作為內(nèi)存地址。在內(nèi)存檢索模式中與輸入模式進(jìn)行比較，確定該模式段是否為一個(gè)完全匹配值。當(dāng)匹配時(shí)，可以發(fā)出一個(gè)與該模式對(duì)應(yīng)的唯一標(biāo)識(shí)符信號(hào)來確認(rèn)。通過參數(shù)整定和硬件級(jí)聯(lián)，可保證檢測模式的長度為動(dòng)態(tài)非固定。輸入的最大長度字節(jié)由哈希生成，作為單PDM檢測的最小長度字節(jié)。此外，最大的散列索引范圍決定了可存儲(chǔ)值在內(nèi)存中的最大項(xiàng)。

2.1.1散列索引

散列靜態(tài)位置上的模式約束可被PDM檢測。所有模式的前兩個(gè)字節(jié)產(chǎn)生的索引，即使有相同的哈希值，也不能在同一數(shù)據(jù)管理中存儲(chǔ)[7-8]。為了獲得更高的資源利用率，允許任何模式的子串生成該值。在實(shí)際中，每個(gè)模式包括多于一個(gè)的獨(dú)立子串。允許散列函數(shù)在該模式下不同的起始字節(jié)有偏移量，且被存儲(chǔ)在模式內(nèi)存中，使得PDM內(nèi)存使用率得到改善。圖2為轉(zhuǎn)換通道，該指數(shù)輸出時(shí)間可以進(jìn)行調(diào)整以符合模式的起始要求。由于該指數(shù)的產(chǎn)生是一個(gè)子模式不同的偏移，該標(biāo)識(shí)指數(shù)輸出時(shí)間可能并不表明該模式的起始字節(jié)。

圖2　轉(zhuǎn)換通道

2.1.2優(yōu)先級(jí)并行模塊

一些模式，特別是獨(dú)特的小子集，無法映射到同一數(shù)據(jù)管理模塊，因?yàn)樗鼈兊墓Ｖ笖?shù)可能被使用到另一種模式[9-10]。因此，多個(gè)PDM必須運(yùn)行在平行檢測與均等的哈希值模式下。為了提高內(nèi)存的利用率，每個(gè)PDM可以有不同大小的存儲(chǔ)器和基于不同目標(biāo)范圍模式的邏輯值。為了保持一致的模塊輸出時(shí)間，較小的PDM需要與最大的PDM進(jìn)行匹配。

如果多個(gè)PDM檢查相同的數(shù)據(jù)，將只有一個(gè)PDM輸出一個(gè)有效的模式匹配指數(shù)。擴(kuò)展輸出位指向其模塊數(shù)，多PDM輸出可以合并產(chǎn)生一個(gè)索引輸出。依賴多PDM存儲(chǔ)內(nèi)容，可在給定的周期輸出有效指標(biāo)。如果某個(gè)模式是一個(gè)字符串檢測，先從第一個(gè)字節(jié)開始進(jìn)行混合檢測，將其稱之為重疊模式。當(dāng)多個(gè)指標(biāo)在同一周期被發(fā)現(xiàn)，輸出最長模式的索引已經(jīng)足以表示較短的模式。上述PDM結(jié)構(gòu)允許數(shù)據(jù)管理的模式檢測長度小于或等于所有最廣PDM的內(nèi)存模塊，這種方式稱為短模式。

2.2長模式狀態(tài)機(jī)

Snort入侵檢測系統(tǒng)中存在一些長模式，PDM沒有足夠的內(nèi)存來存儲(chǔ)這些模式且效率不高。通過組件架構(gòu)多個(gè)PDM就可以完成超出存儲(chǔ)長度的模式。圖3為長模式多PDM分段檢測策略。

圖3　長模式多PDM分段檢測策略

長模式被分段賦予不同的索引指數(shù)，通過平行PMD進(jìn)行分段成短模式進(jìn)行檢測。對(duì)短模式的檢測順序和序列時(shí)間進(jìn)行匹配，即可有效地檢測其對(duì)應(yīng)的長模式。分段PDM檢測結(jié)果的輸出進(jìn)入由優(yōu)先級(jí)復(fù)用器處理，復(fù)用器有一個(gè)單獨(dú)的輸出，與選擇的數(shù)據(jù)輸入值相同。輸出生成分段索引指數(shù)進(jìn)入存儲(chǔ)器，檢測到的指標(biāo)被發(fā)到長模式狀態(tài)機(jī)(long pattern state machine，LPSM)中。LPSM結(jié)構(gòu)類似于PDM，包含了存儲(chǔ)器和數(shù)據(jù)通道，不同的是存儲(chǔ)器僅存儲(chǔ)當(dāng)前和下一個(gè)狀態(tài)。索引剩余位被存儲(chǔ)在存儲(chǔ)器，以驗(yàn)證當(dāng)前狀態(tài)，還有一個(gè)類型字段用來指示當(dāng)前索引是否在首位、中間和末端。類型還指定了下一狀態(tài)是什么，以及PDM預(yù)檢狀態(tài)。

當(dāng)目前狀態(tài)類型指示為一個(gè)長模式段的開始時(shí)，序列匹配過程才啟動(dòng)。下一期望狀態(tài)被轉(zhuǎn)發(fā)到類似PDM的交換通道并設(shè)置適當(dāng)?shù)难舆t。當(dāng)下一個(gè)索引到達(dá)通道末端時(shí)，將其與實(shí)際當(dāng)前值進(jìn)行比較，以確定是否存在匹配。當(dāng)先前下一狀態(tài)與當(dāng)前通道狀態(tài)中的端部完全匹配，預(yù)期下一狀態(tài)就轉(zhuǎn)發(fā)到通道。當(dāng)下一狀態(tài)與當(dāng)前狀態(tài)不匹配，則此過程結(jié)束，沒有任何輸出。否則，該過程將會(huì)繼續(xù)，直到當(dāng)前狀態(tài)被指定為長模式的最后一個(gè)段，然后該匹配索引被轉(zhuǎn)發(fā)作為用于檢測長模式的索引。

依賴LPSM存儲(chǔ)器深度和長模式索引，多個(gè)模式會(huì)進(jìn)入同一地址。 為了解決這個(gè)問題，采用多個(gè)LPSM并行運(yùn)行以檢測多個(gè)狀態(tài)序列。為了融合LPSM之間的互操作，匹配位被轉(zhuǎn)發(fā)到包含所有當(dāng)前狀態(tài)對(duì)應(yīng)的下一個(gè)狀態(tài)模塊。當(dāng)任何一個(gè)LPSM接收匹配位時(shí)，其預(yù)期的下一個(gè)狀態(tài)被轉(zhuǎn)發(fā)到通道，而不計(jì)自身比較結(jié)果。

3　系統(tǒng)集成和功能

有了正確的內(nèi)存值，短模式就可以使用PDM標(biāo)識(shí)，而長模式則同時(shí)使用PDM和LPSM模塊標(biāo)識(shí)。由于多個(gè)索引序列可以被并行LPSM跟蹤，它們可以被編程生成重用模式段，出現(xiàn)在一個(gè)以上的模式，通過使用模式分段可以降低PDM的內(nèi)存要求。將一組模式存儲(chǔ)到一個(gè)優(yōu)化共同樹的關(guān)鍵字，這種轉(zhuǎn)換不僅減少了所需的存儲(chǔ)量，而且作為模式搜索算法遍歷樹時(shí)也縮小了潛模式的數(shù)目，將一組模式存儲(chǔ)到具有公共關(guān)鍵字的優(yōu)化樹中。首先，對(duì)模式組進(jìn)行分析，以形成關(guān)鍵字樹。一旦關(guān)鍵字樹生成，其關(guān)鍵字被作為分段模式存儲(chǔ)在PDM，末端作為轉(zhuǎn)換狀態(tài)被存儲(chǔ)在并行LPSM中。這種優(yōu)化允許重復(fù)模式段被折疊成單一分段，以節(jié)省PDM存儲(chǔ)空間。

4　硬件及參數(shù)配置

Snort是一種應(yīng)用廣泛的基于深度包檢測技術(shù)的網(wǎng)絡(luò)入侵檢測系統(tǒng)，目前已發(fā)展成為一個(gè)綜合了多平臺(tái)(Multi-Platform)、實(shí)時(shí)(Real-Time)流量分析和網(wǎng)絡(luò)IP數(shù)據(jù)包(Pocket)記錄等多個(gè)特性的網(wǎng)絡(luò)入侵檢測與防御系統(tǒng)。Snort有數(shù)據(jù)包嗅探、數(shù)據(jù)包分析、數(shù)據(jù)包檢測、響應(yīng)處理等多種功能，每個(gè)模塊實(shí)現(xiàn)不同的功能，各模塊都是用插件的方式和Snort相結(jié)合，功能擴(kuò)展方便。為了評(píng)估架構(gòu)的有效性，實(shí)現(xiàn)了基于該架構(gòu)以支持整個(gè)Snort規(guī)則集的過濾器，設(shè)計(jì)考慮了面向新進(jìn)攻的內(nèi)存空間靈活配置策略。

結(jié)構(gòu)主要參數(shù)包括存儲(chǔ)器容量、PDM和LPSM的數(shù)目和散列函數(shù)。根據(jù)這些參數(shù)，設(shè)計(jì)人員可以針對(duì)給定的威脅狀況來自定義過濾器。根據(jù)不同的模式設(shè)置，該體系結(jié)構(gòu)的參數(shù)可能會(huì)大大不同，以便于優(yōu)化資源利用。例如，當(dāng)所有的目標(biāo)模式較短且長度均勻時(shí)，設(shè)計(jì)者可以忽略不必要的LPSM 環(huán)節(jié)；另一方面，當(dāng)模式為重復(fù)通用子串時(shí)，設(shè)計(jì)者可以根據(jù)多個(gè)并行LPSM選擇少量PDM。確定體系結(jié)構(gòu)參數(shù)是一個(gè)復(fù)雜的過程，需要反復(fù)權(quán)衡，因?yàn)檫@將會(huì)影響整個(gè)系統(tǒng)的性能。

按照Snort規(guī)則，模式的長度范圍為1～122字節(jié)，模式內(nèi)容由二進(jìn)制序列轉(zhuǎn)換為ASCII字符串。因此需要設(shè)計(jì)過濾器，以支持各種長度的模式及內(nèi)容。對(duì)于模式集合，在PDM中使用大小不同的存儲(chǔ)容量，可提高內(nèi)存的利用率，降低邏輯分區(qū)。為了簡化設(shè)計(jì)過程，可以選擇設(shè)置所有PDM是相同的。散列函數(shù)的邏輯包括一系列多路復(fù)用器來自主選擇任意9位和16位，每個(gè)PDM散列邏輯都單獨(dú)配置以獲得靈活性。

設(shè)計(jì)分為8個(gè)LPSM單元，每個(gè)單元由29位512 MB內(nèi)存條實(shí)現(xiàn)。雖然LPSM存儲(chǔ)記錄足以完全映射整個(gè)Snort的內(nèi)容，但是在可編程濾波器中仍然需要使用更大的存儲(chǔ)器。由于每個(gè)LPSM可以匹配不同的序列模式，設(shè)計(jì)中短模式段能夠重復(fù)使用多達(dá)8次。

5　軟件模式

完成硬件參數(shù)設(shè)置后，所得到的數(shù)據(jù)通路就可以使用多種不同的算法進(jìn)行編程。根據(jù)算法、模式的復(fù)雜性和程序大小，在編譯時(shí)就會(huì)有很大的不同。一般情況下，描述相同事件的短程序會(huì)比長程序需要更長的編譯時(shí)間，但較短的程序往往會(huì)產(chǎn)生更少的索引結(jié)果，而系統(tǒng)性能的穩(wěn)定性與程序的長短無關(guān)。

根據(jù)上述硬件及參數(shù)配置，長模式必須被分解成17個(gè)字節(jié)或更少的短段，由于分配到PDM的優(yōu)先次序，對(duì)應(yīng)短模式并不是唯一的。消除重復(fù)模式將會(huì)大大地節(jié)省存儲(chǔ)空間，為了保證每個(gè)索引模式具有唯一的識(shí)別性，要求每個(gè)模式的最后段必須是不同的。為了有效消除重復(fù)模式，先將長模式分割成合適的短模式，同時(shí)產(chǎn)生含有重疊模式的列表，通過向兩個(gè)任意重疊模式分配更高的優(yōu)先級(jí)，時(shí)間越長的索引會(huì)包含更短的模式。如果長模式的任何部分是重疊的，它必須有最高的優(yōu)先權(quán)，當(dāng)算法獲得模式的最大長度段時(shí)，這種優(yōu)先級(jí)會(huì)自動(dòng)分配，這樣在一個(gè)周期內(nèi)多個(gè)PDM重疊模式段就可以被區(qū)分。

一旦模式段的列表生成，它就可以被用于產(chǎn)生對(duì)所有長模式索引的序列。當(dāng)長模式被分成較小的段，段標(biāo)識(shí)符的相應(yīng)序列與隨后的段和類型標(biāo)志之間的時(shí)間延遲會(huì)被同時(shí)記錄。這些數(shù)據(jù)輸入到LPSM單元用于跟蹤長模式。

6　結(jié)語

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，信息安全問題顯得越來越重要，網(wǎng)絡(luò)入侵已經(jīng)成為危害計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素之一。網(wǎng)絡(luò)入侵檢測系統(tǒng)是提高安全性能的重要手段，已成為當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)問題。本文對(duì)入侵檢測研究現(xiàn)狀進(jìn)行了分析，提出了一種基于模式匹配的網(wǎng)絡(luò)入侵檢測系統(tǒng)的協(xié)處理器架構(gòu)。分析了深度包檢測現(xiàn)狀，對(duì)模式匹配和協(xié)議分析進(jìn)行了比較，設(shè)計(jì)了檢測模式構(gòu)架，考慮了多模式情況，總結(jié)了系統(tǒng)集成和功能，最后給出了硬件及參數(shù)配置，為提高網(wǎng)絡(luò)入侵檢測效率提供了有力支撐。

參考文獻(xiàn)：

[1] 樊愛京，楊照峰.用于網(wǎng)絡(luò)入侵檢測的模式匹配新方法[J].計(jì)算機(jī)應(yīng)用,2011,31(11):2961-2964.

[2] 王曉程，劉恩德，謝小權(quán).攻擊分類研究與分布式網(wǎng)絡(luò)入侵檢測系統(tǒng)[J].計(jì)算機(jī)研究與發(fā)展,2001,38(6):727-734.

[3] 陳科，李之棠.網(wǎng)絡(luò)入侵檢測系統(tǒng)和防火墻集成的框架模型[J].計(jì)算機(jī)工程與科學(xué),2001,23(2):26-28.

[4] 譚愛平，陳浩，吳伯橋.基于SVM的網(wǎng)絡(luò)入侵檢測集成學(xué)習(xí)算法[J].計(jì)算機(jī)科學(xué),2014,41(2):197-200.

[5] 陳穎悅. 一種基于聚類算法的網(wǎng)絡(luò)入侵檢測應(yīng)用[J].廈門理工學(xué)院學(xué)報(bào),2014,22(1):70-74.

[6] 趙建華，劉寧.結(jié)合主動(dòng)學(xué)習(xí)和半監(jiān)督學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測算法[J].西華大學(xué)學(xué)報(bào)(自然科學(xué)版),2015,34(6):53-57.

[7] 趙夫群.基于混合核函數(shù)的LSSVM網(wǎng)絡(luò)入侵檢測方法[J].現(xiàn)代電子技術(shù),2015,38(21):96-99.

[8] 馬世歡，胡彬.基于特征選取和樣本選擇的網(wǎng)絡(luò)入侵檢測[J].計(jì)算機(jī)系統(tǒng)應(yīng)用,2015，(9):240-243.

[9] 王興柱，顏君彪，曾慶懷.基于均值聚類分析和多層核心集凝聚算法相融合的網(wǎng)絡(luò)入侵檢測[J].計(jì)算機(jī)應(yīng)用與軟件,2015,32(12):313-315.

[10] 穆俊.基于蟻群聚類算法的數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用研究[J].洛陽理工學(xué)院學(xué)報(bào)(自然科學(xué)版),2015，(2):68-72.

【責(zé)任編輯牛懷崗】

中圖分類號(hào)：TP18

文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1009-5128(2016)16-0059-05

收稿日期：2016-05-15

基金項(xiàng)目：渭南師范學(xué)院科研計(jì)劃項(xiàng)目：基于智能算法的預(yù)測控制策略研究(16YKP007)

作者簡介：周碧英(1978—)，女，陜西大荔人，渭南師范學(xué)院網(wǎng)絡(luò)安全與信息化學(xué)院副教授，工學(xué)碩士，主要從事計(jì)算機(jī)軟件與理論研究。

Research on Optimization of Network Security Co-processor Based on Pattern Matching

ZHOU Bi-ying

(School of Network Security and Informationization, Weinan Normal University, Weinan 714099, China)

Abstract:Network security has become a serious problem for computer network, and the effective control network virus is an important way to improve information security. In the network, security system commonly uses deep packet inspection technology to detect and control the traffic, but it is difficult to achieve large-scale network for effective monitoring and processing. A high-performance coprocessor architecture based on pattern matching is proposed in this paper, which can be used for a large number of intrusion detection and recognition. In order to solve the filter concurrency problems, using variable-length multi-mode matching design, the results show that the method can effectively improve the performance of network intrusion detection system.

Key words:network security; intrusion; pattern matching; pattern search

【現(xiàn)代應(yīng)用技術(shù)研究】