（计算机系统结构专业论文）基于netfpga的嵌入式安全防护系统研究.pdf

r e s e a r c ho nn e t f p g a b a s e de m b e d d e dn e t w o r k s e c u r i t yp r e v e n t i o ns y s t e m l v l i a n g u n d e rt h es u p e r v i s i o no f p r o f y a n gb o at h e s i ss u b m i t t e dt ot h eu n i v e r s i t yo fj i n a n i np a r t i a lf u l f i l l m e n to ft h er e q u i r e m e n t s f o rt h ed e g r e eo fm a s t e ro fs c i e n c e u n i v e r s i t yo fj i n a n j i n a n ，s h a n d o n g ，p r c h i n a m a y1 ，2 0 1 0 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不 包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研 究作出重要贡献的个人和集体，均已在文中以明确方式标明。本人完 全意识到本声明的法律责任由本人承担。 论文作者签名：墨氐 日期：兰! 丝：至：三呈 关于学位论文使用授权的声明 本人完全了解济南大学有关保留、使用学位论文的规定，同意学 校保留或向国家有关部门或机构送交论文的复印件和电子版，允许论 文被查阅和借鉴；本人授权济南大学可以将学位论文的全部或部分内 容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段保 存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：虽氐导师签名： 济南大学硕l 学位论文 目录 摘要i l l a b s t r a c t 。v 第一章绪论 1 1 课题的意义与背景( 1 ) l - 2 现场可编程门阵列( f p g a ) 简介( 2 ) 1 3 论文的创新点( 3 ) 1 3 1 嵌入式安全防护系统的结构设计( 3 ) 1 3 2 并行模式匹配算法的改进及应用( 3 ) 1 4 论文的组织结构( 3 ) 第二章网络攻击手段与安全防护技术概述 2 1 常见网络攻击手段分析( 5 ) 2 1 1 拒绝服务d o s 攻击方式( 5 ) 2 1 2 基于恶意软件的攻击方式( 6 ) 2 1 3 1 p 数据包欺骗技术( 6 ) 2 2 安全防护技术概述( 7 ) 2 2 1 嵌入式安全防护系统研究概述( 7 ) 2 2 2 防火墙技术概述( 9 ) 2 2 1 入侵检测技术概述( 1 2 ) 2 3 本章小结( 1 5 ) 第三章模式匹配算法的研究与应用 3 1 模式匹配算法简述( 1 7 ) 3 2 模式匹配算法的改进( 1 9 ) 3 2 1 右向最大移位模式匹配算法( 2 0 ) 3 2 2 规则按字节比较模式匹配算法( 2 2 ) 3 2 3 模式匹配算法的比较与选用( 2 4 ) 3 3 本章小结( 2 5 ) 第四章嵌入式安全防护系统的设计与实现 基于n e t f p g a 的嵌入式安全防护系统研究 曼i l l l i i 皇曼皇! 曼曼曼曼皇曼! ! 曼! 曼曼曼曼曼曼曼曼曼皇昙曼窖 4 1 嵌入式安全防护系统的整体设计( 2 7 ) 4 2 开发平台( 2 8 ) 4 3 嵌入式安全防护系统的具体实现( 2 9 ) 4 3 1 入侵检测模块设计( 3 0 ) 4 3 2 软硬件信息交互界面设计( 3 8 ) 4 3 3 防火墙模块设计( 4 2 ) 4 4 系统测试结果( 4 9 ) 4 5 本章小结( 5 0 ) 第五章总结与展望 5 1 全文总结( 5 1 ) 5 2 下一步的工作( 5 1 ) 参考文献( 5 3 ) 致谢( 5 7 ) 附录a ( 攻读学位其间发表论文目录) ( 5 9 ) 附录b ( 攻读学位其间参加科研项目) ( 5 9 ) 济南大学硕l 学位论文 摘要 网络的发展在给人们带来便利的同时也引发了一系列新的问题。针对网络服务供 应商的网络攻击屡屡发生，造成网络阻塞、瘫痪、丧失服务能力。网络安全技术日益 引起人们的重视，针对网络攻击、入侵手段的复杂化，单一的防火墙、入侵检测系统 等防护手段越来越不能满足人们的需求。一个新的发展的方向就是综合多种防护手段 来提高系统的安全性。 本文首先提出了一种基于n e t f p g a 的嵌入式安全防护系统设计方案，结合了防 火墙和入侵检测的技术，防火墙与入侵检测系统之间通过规则来进行联动。可以及时 发现入侵行为，并由防火墙做出反应阻止入侵。系统采用服务器主机加n e t f p g a 板 卡的嵌入式架构，服务器主机与n e t f p g a 板卡通过p c i 插槽进行通信。系统通过 f p g a 进行硬件加速，提高了系统性能。 其次，本文论述了模式匹配算法的改进以及在系统中的使用。本系统中所进行的 安全性过滤和检测都涉及到大量的模式匹配操作，所以依据软件和硬件不同的特点选 用和设计了不同的模式匹配算法。 。 随后，详细介绍了各个功能模块的具体实现方法。具体分为三部分：一是，在服 务器主机下由软件实现的入侵检测功能模块；二是，软、硬件信息交互模块，负责在 服务器主机和n e t f p g a 板卡进行信息通信；三是，在底层n e t f p g a 板卡用v e r i l o g 硬件描述语言实现的防火墙功能模块。 综上所述，本文提出了一种基于n e f f p g a 的嵌入式安全防护系统的设计方案。 采用服务器主机加n e t f p g a 板卡的嵌入式架构，n e t f p g a 完成包过滤和内容检测功 能，而配置、更新规则及入侵检测功能在服务器由软件实现。n e t f p g a 通过p c i 接 口与被防护主机联合工作，实现了防火墙与入侵检测的联动。结果表明在发现入侵之 后可以更准确，更有针对性地做出反应，具有实用性。 关键词：网络安全；入侵检测；防火墙；f p g a i l l i v 济南大学硕i ：学位论文 a b s t r a c t t h ed e v e l o p m e n to fn e t w o r km a k e sp e o p l e sl i v e sm o r ea n dm o r ec o n v e n i e n t h o w e v e r , a tt h es a m et i m e , i ta l s ol e a d st oas e r i e so fn e wp r o b l e m s al a r g en u m b e ro f a t t a c k st on e t w o r ks e r v i c ep r o v i d e r st h r o u g hn e t w o r ko c c u r r e d ，w h i c hr e s u l ti nn e t w o r k c o n g e s t i o na n dl o s so fs e r v i c e sa b i l i t y m o r ea t t e n t i o n sa r ea t t r a c t e db yn e t w o r ks e c u r i t y t e c h n o l o g i e s s i n c et h ei n v a s i v em e a n s a r em o r ea n dm o r ec o m p l e x ，s i n g l em e t h o ds u c ha s f i r e w a l l ，i n t r u s i o nd e t e c t i o ns y s t e mc a n n o ts a t i s f yd e m a n d so fp e o p l e an e w d i r e c t i o no f d e v e l o p m e n t i st oi n t e g r a t ev a r i o u sp r o t e c t i v em e a n st oi m p r o v es y s t e ms e c u r i t y f i r s t ，i nt h i sp a p e r , ad e s i g n o fn e t f p g a - b a s e de m b e d d e dn e t w o r ks e c u r i t y p r e v e n t i o ns y s t e mi sp r o p o s e d ，w h i c hi n t e g r a t e sf i r e w a l l a n di n t r u s i o nd e t e c t i o ns y s t e m t h ec o m m u n i c a t i o n sb e t w e e nf i r e w a l la n di n t r u s i o nd e t e c t i o ns y s t e mi si m p l e m e n t e db y r u l e s o n c ei n t r u s i o nb e h a v i o r sa r ed e t e c t e db yi n t r u s i o ns y s t e m ，i tt i m e l ys e n d st h e r e l e v a n tr u l e st of i r e w a l l ，a n dt h e nt h ef i r e w a l lr e s p o n db ys t o p p i n gt h ei n v a s i o n t h e s y s t e mc h o o s e st h es t r u c t u r e o fs e r v e rh o s tw i t hn e t f p g ab o a r d t h es e r v e rh o s ta n d n e t f p g ab o a r dc o m m u n i c a t ev i ap c is l o t s e c o n d l y , t h i sp a p e rd i s c u s s e st h ei m p r o v e m e n to fp a t t e r nm a t c h i n ga l g o r i t h m ，w h i c h h a sb e e na p p l i e di nt h es e c u r i t yp r e v e n t i o ns y s t e m s i n c es e c u r i t yf i l t e r i n ga n dd e t e c t i o n a r er e l a t e dt op l e n t yo fp a t t e r nm a t c h i n gi nt h i ss y s t e m ，i ti sd e s i g n e dt h a td i f f e r e n tp a t t e r n m a t c h i n ga l g o r i t h m sa c c o r d i n g t ot h ec h a r a c t e r i s t i c so fs o r w a r ea n dh a r d w a r e s u b s e q u e n t l y , t h i sp a p e ri n t r o d u c e st h ei m p l e m e n t a t i o n so fe v e r yf u n c t i o n a lm o d u l e s p e c i f i cc o n t e n tc o n s i s t so f t h r e ep a r t s ：f i r s t , t h ei n t r u s i o nd e t e c t i o nm o d u l et h a ta c t u a l i z e d b ys o f t w a r ei nt h es e r v e rh o t s e c o n d ，t h ed e s i g no f h a r d w a r e s o f t w a r ei n t e r f a c e t h i r d ，t h e i m p l e m e n t a t i o no f t h ef i r e w a l lf u n c t i o nm o d u l ew i t hv e r i l o gh a r d w a r ed e s c r i p t i o n l a n g u a g eo nt h en e t f p g a c a r d i nc o n c l u s i o n , ad e s i g no fn e t f p g a - b a s e de m b e d d e ds e c u r i t yp r e v e n t i o ns y s t e mi s p r o p o s e d t h es t r u c t u r e s e v e rh o s tw i t hn e t f p g ac a r di su s e d p a c k e tf i l t e r i n ga n d c o n t e n t sd e t e c t i o na r ei m p l e m e n t e du s i n gn e t f p g a s o f t w a r eo nt h ep r o t e c t e dh o s tt a k e s c h a r g eo fc o n f i g u r a t i o n , u p d a t i n gr u l e sa n di m p l e m e n t a t i o no fi n t r u s i o nd e t e c t i o ns y s t e m n e t f p g aw o r k sw i t hh o s tv i ap c ii n t e r f a c e f u r t h e r m o r e ，f i r e w a l lc o m b i n e d 讯t l l v 基于n e t f p g a 的嵌入式安全防护系统研究 i n t r u s i o ns y s t e mi sa c c o m p l i s h e d t h er e s u l t sh a v es h o w nt h a tt h es e c u r i t yp r o t e c t i o n s y s t e me m b e d d e dr e a c t sa c c u r a t e ，p e r t i n e n ta n df i ti np r a c t i c e k e yw o r d s ：n e t w o r ks e c u r i t y ；i n t r u s i o nd e t e c t i o n ；f i r e w a u ；f p g a tt v 1 济南大学硕1 j 学位论文 1 1 课题的意义与背景 第一章绪论 在向信息社会迈进的过程中，安全问题日益引起人们的重视 1 。安全问题已经 成为了目前迫切需要解决的问题 2 】 3 】。而攻击、入侵行为的日益多样化，单一的安全 技术已经不能满足当前的安全需求。 对服务器来说，安全防护包括，操作系统加固、对外接口防毒监控、入侵检测系 统和防火墙 4 】。操作系统加固是一项利用安全内核来提升操作系统安全等级的技术， 这项技术的核心就是再操作系统的核心层重构操作系统的权限访问模型，实现真正的 强制访问控制；对外接口防毒监控主要用来防止病毒、木马、恶意软件入侵并对它们 进行清除等；入侵检测系统是依照一定的安全策略，对网络、系统的运行状况进行监 视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密 性、完整性和可用性，入侵检测系统不能对攻击做出响应，仅仅只能检测入侵，它需 要有人来对警报分析并配合其它手段做出反应来阻止入侵；防火墙主要用于维护网络 安全，防止非法连接和黑客窃取本地信息等。 随着各种威胁的集成化、复杂化，杀毒软件、入侵检测系统与防火墙的界限日趋 模糊，各种防护手段功能的融合成为维护安全的必要选择。 传统的安全防护基于软件实现，虽然杀毒软件与防火墙相对于普通应用软件来 说，更像是系统软件，但它们还是基于操作系统、并处在操作系统之上，只是相对之 下更接近底层。基于软件的实现有两个比较大的问题： 1 、它们与操作系统、应用软件共享系统硬件资源，而且一般占用资源比较大。 虽然现在硬件性能的提高使得杀毒软件和防火墙的资源占用逐渐可以接受，但在很多 情况下，由它带来系统性能下降与瓶颈还是难以忍受。 2 、一旦病毒入侵成功，容易造成杀毒软件和防火墙失效，本质上讲杀毒软件、 防火墙、病毒都是地位平等的进程，它们不能保证自己的安全。 为了解决以上问题，一个新发展方向是，将安全防护功能独立出来，成为一个专 用的子系统，安全防护系统研究的目的是通过设计基于n e t f p g a 的嵌入式安全防护系 统，建立一套解决方案，从而实现对服务器的安全防护，提升服务器的安全等级，通 过对服务器对外接口进行监控，防止网络攻击、病毒对服务器的入侵。 基于n e t f p g a 的嵌入式安全防护系统研究 1 2 现场可编程门阵列( f p g a ) 简介 f p g a ( f i e l d - - p r o g r a m m a b l eg a t e a r r a y ) ，也就是现场可编程门阵列【5 】，它是在 p a l 、g a l 、c p l d 6 7 等可编程器件的基础之上进一步发展而来的产物。f p g a 是 作为专用集成电路( a s i c ) 领域之中的一种半定制的电路而出现的，它既弥补了定 制电路的不足，又克服了原有可编程器件门电路数目有限的缺点。具有数字化、系列 化、小型化、低功耗、多功能、标准化、保密性好、集成度高、可现场模拟调试验证、 并有无限次反复编程的优点。 f p g a 采用了逻辑单元阵列l c a ( l o g i cc e l la r r a y ) 这样一个概念 8 】，内部包括 可配置逻辑模块c l b ( c o n f i g u r a b l el o g i cb l o c k ) 、输出输入模块i o b ( i n p u to u t p u t b l o c k ) 和内部连线( h t 彻衄e c t ) 三个部分。目前以硬件描述语言( v e r i l o g 或v h d l ) 所完成的电路设计，可以经过综合与布局，然后烧录至f p g a 芯片上进行测试，是 现代i c 设计验证的技术主流。这些可编辑元件可以被用来实现一些基本的逻辑门电 路和更复杂的组合功能。可以根据需要，通过可编辑的连接把f p g a 内部的逻辑单元 连接起来，就好像一个电路试验板被放在了一个芯片里。一个出厂后的成品f p g a 的 逻辑块和连接可以按照设计者而改变，所以f p g a 可以完成所需要的逻辑功能。 采用f p g a 设计a s i c 电路，用户不需要投片生产，就可以得到合乎要求的芯片。 正是因为这样的特性使得f p g a 可以作为其它全定制或半定制a s i c 电路中的试样 片，从而大大缩短了开发周期和节约了成本。 f p g a 采用查找表的原理来实现其功能。查找表l u t ( l o o k 说就是r a m 。目前f p g a 中较多采用的是4 位输入的l u t ，每个l u t 都可以看作一 个地址线为4 位的1 6xi b i t 的r a m 。当开发者通过原理图或h d l ( h a r dd e s c r i p t i o n l a n g u e ) 语言描述一个实际的逻辑电路，然后用f p g a 开发软件自动计算这个逻辑电 路的所有可能的结果，并将结果输入r a m 。这样每输入一个信号进行逻辑运算，就 等于输入一个地址进行查表运算，并找出该地址对应的内容，然后输出结果。 在f p g a 开发软件中编译通过后，输入信号通过f p g a 芯片的f o 引脚连接到 l u t ，u j l r 中己经写入了所有可能的逻辑结果，通过地址查询到相应的结果，然后输 出数据，由此实现了所设计的电路的逻辑功能。对于一个u 丌单元无法完成的电路 逻辑功能，可以通过进位逻辑将多个l u t 单元相连，这样就实现了复杂的逻辑功能。 2 1 3 论文的创新点 1 3 1 嵌入式安全防护系统的结构设计 本文提出了一种服务器主机加n e t f p g a 板卡的嵌入式系统架构，主机和 n e t f p g a 板卡通过p c i 接口进行信息交互。以p c i 接口为分界线，在上层部分主机 运行l i n u x ，在l i n u x 下由软件来完成入侵检测功能、配置和更新规则功能。在底层 n e t f p g a 板卡上，在斯坦福大学n f 2 工程的基础上，添加用户自定义模块实现防火 墙功能和内容检测功能，并实现与主机的通信。通过设计这样一种架构，结合软件的 灵活性和硬件的并行处理能力，整合防火墙和入侵检测系统功能，对服务器主机进行 更好的防护。 1 3 2 并行模式匹配算法的改进及应用 本系统中涉及大量的模式匹配操作，针对于软件层面和硬件平台上不同的特点和 限制，选用不同的模式匹配算法，提高系统性能，在入侵检测功能模块中通过设计多 层结构的规则匹配引擎，提高系统匹配性能。在n e t f p g a 板卡上实现的防火墙功能 模块实现中，针对硬件控制灵活性差，但高度并行的特点，设计右向最大移位模式匹哪， 配算法和规则按字节比较模式匹配算法，并利用模块间的并行处理，充分发挥了f p g a 强大的并行处理能力，提高了系统整体性能。 1 4 论文的组织结构 鼬 第二章主要介绍网络攻击和入侵的手段以及主要的安全防护技术的发展，对各种 防护手段进行了比较和评价。 第三章主要介绍了本设计中涉及到的模式匹配算法，包括基于软件和基于硬件的 模式匹配算法的比较、选择和改进及应用。 第四章主要介绍系统的整体设计与实现方法，包括软件下实现入侵检测功能和 软、硬件信息交互界面的设计，还有在n e t f p g a 板卡实现的防火墙功能模块设计。 最后是系统的测试与分析。 第五章对整个论文进行了总结，指出了有待改进的问题，并且对进一步的研究方 向做出了初步的设想。 3 寸o ： ? t， ， 。，i0 ，j 4 济南大学硕 ：学位论文 第二章网络攻击手段与安全防护技术概述 2 1 常见网络攻击手段分析 安全与攻击之间的关系密不可分，如果在信息世界中不存在攻击行为，似乎没有 太多的必要在这里讨论安全。只有全面、透彻的了解了网络攻击行为之后，才可能有 的放矢，将网络防护做好，加以完善。因此在本文中，把攻击手段放在前面。在讨论 网络安全防护方案之前，先分析一下目前互联网上各种黑客攻击方法的技术特点，并 对每种攻击方法的技术原理作以简单的分析。 2 1 1 拒绝服务d o s 攻击方式 拒绝服务d o s 攻击方式有淹没、s m u r f i n g 拒绝服务、分片攻击、分布式拒绝服务 攻击d d o s 等【9 】。 淹没也被称作是泛洪攻击，是指黑客向目标主机发送大量的垃圾数据或者无效的 请求，阻碍服务器的为合法用户提供正常服务。 s m u r f i n g 拒绝服务攻击是指黑客使用i p 广播和p 欺骗使泛洪攻击的效果倍增， 使用伪造的i c m pe c h or e q u e st 包发往目标网络的p 广播地址。i c m p ( i n t e l n e t c o n t r o lm e s s a g ep r o t o c 0 1 ) i n t e m e t 控制报文协议是用来处理错误和交换控制信息的一 种协议，可以用来确定网络上的某台主机是否响应 1 0 】。在一个网络上，既可以向某 个单一的主机，也可以向局域网的广播地址发送数据包。当黑客向某个网络上的 广播地址发送这种i c m pe c h or e q u e s t 信息包时，如果该网络的路由器没有对发 往该的网络广播地址i c m p 包进行过滤，则此网络内部的所有主机都会收到该i c m p 请求数据包，并且都要将一个i c m pe c h or e p l y 数据包发往该i c m p 包所指示的 源地址进行回应。黑客将i c m p 请求数据包的源地址伪造成为受害者的地址，导致所 有i c m pe c h or e p l y 回应包都发往被攻击的受害者主机，可以造成被攻击的主机 出现流量过载，相应减慢，严重的甚至停止正常的服务。 分片的攻击方式抓住了t c p i p 协议所存在的弱点，在t c p 口协议实现中， 当口分段出现重叠的情况时，不能够做出正确的处理。黑客可以利用这个弱点在远 程向目标主机发送口的片段，而后在目标主机重新构造一个无效的u d p 数据包，这 个无效的u d p 数据包就可以使目标主机处于不稳定的状态。一旦这种情况发生，被 攻击的目标主机就会处于停机状态或重新启动。还有一些t c p i p 协议的实现对于一 些特定的数据包会暴露出脆弱性。例如，当远程向目标主机发出s y n 数据包时，若 5 基于n e t f p g a 的嵌入式安令防护系统研究 其源地址和端口与目标主机的地址和端口相同时，目标主机也可能死机或挂起，从而 达到攻击目的。 分布式拒绝服务攻击d d o s 摆脱了单一主机出口带宽的限制，通过间接操纵互联 网上被操控的计算机进行攻击，突破了传统的本地攻击方式的局限性，提高了隐蔽性。 通过这种方式攻击的规模可以做的很大，使目标完全瘫痪失去提供服务的能力。所以， 分布式拒绝服务攻击体现了对互联网上丰富资源的利用和个人技术能力的放大。由于 攻击点众多，因此要针对其进行防范就更加不易。 2 1 2 基于恶意软件的攻击方式 恶意软件能够造成非常严重的安全威胁，可以用来被截获保密的信息，并发送到 入侵者手中，关键的信息与软件配置可以被改动以方便黑客进行连续的入侵，造成不 可估量的损失【1 1 】。 这样的恶意软件包括： 逻辑炸弹，它在特定的条件下通常是利用了系统本身的漏洞对目标系统产生破坏 作用。在特定逻辑条件满足时，该程序触发后可以造成计算机数据的丢失、计算机不 能从硬盘引导，严重的甚至会使整个系统瘫痪，并出现物理损坏的虚假现象。 后门程序，在恶意入侵攻破某个系统后，为了可以再次访问该系统，黑客往往在 系统中安放这样的后门程序。这样即使随后系统管理员发现了入侵行为并堵住了系统 的漏洞，入侵者依然可以通过该后门程序远程执行任意命令。 蠕虫，能够繁殖并从一个系统到另一个系统传播其自身拷贝的程序，通常在整个 网络上。蠕虫可以对数据进行破坏，或者消耗系统资源从而降低系统的性能，甚至使 整个网络瘫痪。 木马，是具有隐藏性的、自发性的可以被用来进行恶意行为的程序，一般不会直 接对电脑产生危害，而是以控制为主要目的。这类程序往往能够执行某种用户需要的 功能，而非法程序却隐藏在其中，当用户使用这样的功能时，木马也同时执行了非授 权的功能，达到监视别人和盗窃别人密码，数据等目的。 2 1 3 i p 数据包欺骗技术 i p 欺骗是指伪造i p 数据包的地址、端口等相关信息，以便冒充其他系统或发件 人的身分【1 2 】。可以伪造端口信息，利用常用的服务端口如2 0 5 3 8 0 1 0 2 4 等特 定端口，从而避开包过滤防火墙的过滤。也可以改变源口地址进行欺骗，在黑客发 6 济南人学硕上学位论文 送的修改过源地址的数据包后，将造成被攻击方不能与目标主机进行连接并收到响应 的情况。这种口欺骗往往是黑客事先可以预计到目标主机可能的响应，从而发起攻 击。这种口欺骗可以造成严重的后果，基于i p 地址欺骗的攻击方式可以穿过过滤路 由器，并获得受到保护的主机的r o o t 权限。 2 2 常见网络攻击手段分析 伴随着网络上层出不穷、日新月异的攻击、入侵手段，加之广大的用户安全意识 的普遍提升，与之相对应的安全防护技术的研究也在这场较量中与时俱进，不断向前 发展。在这些众多技术之中，防火墙技术、入侵检测技术和安全防护系统的研究逐渐 成熟，被各大运营经济实体和普通用户所接受。 2 2 1 嵌入式安全防护系统研究概述 各种攻击手段相互融合使得安全防护面临越来越大的困难，为了实现安全防护的 目的，目前已经有不少研究尝试在一个安全平台上将多种安全防护措施整合起来，以 期待可以达到更高的安全性。 传统的安全防护基于软件实现，虽然杀毒软件与防火墙相对于普通应用软件来 说，更像是系统软件，但它们还是基于操作系统、并处在操作系统之上，只是相对之 下更接近底层。基于软件的实现有两个比较大的问题： ( 1 ) 它们与操作系统、应用软件共享系统硬件资源，而且一般占用资源比较大。 ( 2 ) 一旦病毒入侵成功，容易造成杀毒软件和防火墙失效，本质上讲杀毒软件、 防火墙、病毒都是地位平等的进程，它们不能保证自己的安全。 为了解决以上问题，一个新发展方向是，将安全防护功能独立出来，成为一个专 用的嵌入式系统，表现在市场上，就是目前已经出现的产品化的专用硬件防火墙、硬 件杀毒等。 硬件杀毒的产品有基于u 盘来实现的，内部由c p u 、f l a s h 、r a m 等组成一个小 型嵌入式系统，运行u n i x 、l i n u x 操作系统和杀毒软件，通过u s b 接口连接受保护 主机并对它进行实时保护。以单机u 盘式的硬件病毒防火墙有 y o g g i ep i c o ”。它运行 l i n u x2 6 操作系统核心，包含了多个安全模块，可以完成一定的防护功能。 7 基于n e t f p g a 的嵌入式安全防护系统研究 曼曼皇曼皇曼曼曼曼皇量皇曼皇曼璺曼曼曼曼曼曼! 曼! 皇! i 1 i i 皇曼曼曼曼曼曼曼曼曼曼! 曼曼! 曼曼曼! 曼! ! 曼曼曼! 曼曼曼曼皇曼曼曼曼量曼曼曼曼曼曼曼曼曼曼曼 ， ?，? 臻垂 s d ，黜m * e p uf l a s h 圜 ，j s d , r a m 图2 1y o g g i ep i e o 样品图【1 3 】 硬件防火墙一般是独立于被保护主机或者网络的一个专用网络设备，处于连接外 网与内网的网关处。同杀毒硬件类似，它实际上也是一个专用的嵌入式系统，在完成 路由功能的同时进行安全防护。较为成熟的产品有联想网御2 0 0 0f wg l 千兆线速防 火墙【1 4 】。其采用高性能的i x p p c i 高速总线结构的架构、专用的动态协议处理器、 独特的安全策略快速匹配算法，确保在加载大量安全规则的情形下，真正实现了全双 工状态的千兆数据传输性能。联想网御千兆防火墙也是在硬件平台上融合了多种防护 功能，能够识别并防范对网络和主机的扫描攻击、异常网络协议攻击、口欺骗攻击、 源p 攻击、口碎片攻击、d o s d d o s 攻击等。 清华大学的贾晓剑、于荣等则提出了一种基于网络处理器的网络入侵检测防御系 统 1 5 1 ，该系统采用i x p l 2 0 0 实现了一个轻量级的网络入侵检测防御系统。i x p l 2 0 0 内 部有6 个微引擎，每个微引擎拥有4 个硬件线程。其中1 个微引擎共4 个线程执行 接收数据；1 个微引擎共4 个线程执行包解码；1 个微引擎共4 个线程执行包预处理 和对有非法记录的口的预拦截；2 个微引擎共8 个线程用来对规则体进行快速、便 利的匹配检测；1 个微引擎共4 个线程执行数据发送。该构架由网络处理器实现的入 侵防御系统可实现入侵检测功能，并做出一定的反应。 c h a r l e s 和t o m 提出了一个嵌入式防火墙的设计方案【1 6 】，弥补了传统防火墙的 致命缺陷。传统防火墙总是假设所防护的主机是安全可信的，但这一假设是存在问题 的，考虑到病毒等因素，本地用户也未必可信。另外，传统基于软件的防火墙存在被 攻击者绕过的可能，安全性不能保证。因为这些原因，b e l l o v i n 首先提出了防火墙功 能在网卡上实现的思路 1 7 】。续而c h a r l e s 和t o m 提出了嵌入式防火墙的设计方案。 该嵌入式防火墙是将防火墙功能在网卡上实现，通过该网卡接收或发送的数据都要由 济南大学硕仁学位论文 该嵌入式的防火墙来进行安全过滤控制。在该方案是一种更加完善的安全架构，具有 防火墙功能的网卡有属于自身的处理器和存储器，嵌入式系统独立工作。防火墙不依 赖于主机的操作系统控制，具有更高的安全性。该基于网卡的嵌入式防火墙结构如图 2 2 所示： 图2 2 嵌入式防火墙结构示意图 图中e f wn i c 表示带有防火墙功能的网卡，该网卡可以完成对接收和发送的数 据包的过滤，决定是拒绝还是接收。该嵌入式防火墙由远端策略服务器进行控制，控 制信号是被网卡加密过的，保证了通信的安全性。 2 2 2 防火墙技术概述 防火墙是最早发展起来的一种安全防护技术 1 8 2 4 】。防火墙在网络中通常被作为 第一道安全防线，用来隔离内部网络与外部网络，过滤不安全的信息。防火墙有基于 软件的防火墙运行在路由器和服务器主机之上。也有基于硬件的防火墙，作为单独的 网络设备部署在网络中。防火墙通过配置规则对流经它的数据包进行过滤，从而实现 了对数据传输的物理访问控制机制。防火墙一般部署在内外部网络的交界处，用来阻 止非法用户的入侵行为和合法用户的超越权限行为。 防火墙主要有以下几类： 包过滤防火墙： t c p i p 协议下，以包的方式来发送数据，每个数据包都含有包头信息和数据本 身。数据包头部定义如表2 1 所示 2 5 - 9 努 a 基于n e t f p g a 的嵌入式安全防护系统研究 表2 1t c p i p 数据包格式 版本口头长度服务类型总长度 生存时间协议类型首部校验和 目的地址 数据 其中的源口地址、目的巾地址、源端口、目的端口和协议类型是包过滤防火墙 主要的检测字段。包过滤防火墙扫描流经的网络数据包，根据防火墙所配置的规则， 检查数据包的相关信息，如果匹配成功，则依据规则阻止该数据包或其他预定义操作。 包过滤防火墙又分为静态过滤、状态检查两种。 静态过滤防火墙是依靠配置过滤规则决定防火墙对数据包是阻拦还是放行。此类 型的防火墙在网络上的路由器和网关中被大量使用。 状态检测防火墙是采用状态链接表来记录跟踪网络连接，相比包过滤防火墙只能 阻止地址或端口不合法的数据包进入。状态检测防火墙通过建立这个状态链接表就可 以把不响应状态链接请求的数据包阻挡在防火墙外部，从而保证了内部网络的安全 性。 应用网关防火墙： 这类防火墙一般安装在专用服务器主机上，这样的应用网关防火墙也被称为代理 服务器，可以为服务请求提供代理服务。这类防火墙需要针对特定的协议而专门设计， 在配置更新和可移植性上表现不尽如人意。应用网关防火墙可以将它所防护的网络内 部的服务请求转发到特殊区域的计算机上进行处理。 电路网关防火墙： 这种类型的防火墙工作在传输层上，电路网关防火墙在传输层见了连接进程和系 统的信道，只有通过授权，数据传输才能通过信道。 m a c 层防火墙： 顾名思义这类防火墙应用于m a c 层上，在网络中的应用并不广泛。 1 0 济南大学硕上学位论文 曼曼曼皇曼! 皇! 曼! 曼曼曼量曼曼曼曼鼍曼曼曼鼍曼曼i 一一；一i i 一一i m ! 曼曼曼! 皇曼曼 不同类型的防火墙在o s i 七层模型中的对应关系如图2 3 所示： 应用网关防火墙 电路网关防火墙 包过滤防火墙 m a c 层防火墙 图2 3 各种类型的防火墙在o s i 模型中的部署位置示意图 防火墙的主要功能： ( 1 ) 包过滤功能： 包过滤是防火墙最基本也是最常用的功能，它能依据配置的访问控制列表对流经 的数据包进行过滤，决定对数据包是放行还是阻拦，以上提到的几种类型的防火墙都 含有这项功能，只是部署在网络中的位置和采取的技术手段有区别。 _ ( 2 ) 审计功能： 审计功能向网络管理员提供了防火墙的相关信息，通过将日志保存下来，为相关_ ， 专业技术人员分析网络状况，发现存在的隐患提供了可靠的数据。与之相配合这类功 能一般还包含一定的报警功能。 ( 3 ) 代理功能： 防火墙的代理功能一般分为两种：透明代理与传统代理。透明代理对用户保持透 明，不需要在用户端进行相关的配置即可转发受到保护的用户的网络请求。传统代理 则相反，这种代理方式需要在用户端做一定的配置，最常见的配置就是要配置代理服 务器的网络地址。 ( 4 ) 网络地址转换： 网络地址转换分为：源地址转换与目的地址转换。源地址转换一般在内部网络和 外部网络进行信息交互的时候使用。对于内部网络采用保留的口地址，当内部网络 的主机需要和外部网络进行信息交互时，就需要进行源地址转换将保留的口地址转 换为外部网络可用的合法地址。目的地址转换针对于代理功能的实现，通过目的地址 1 l 基于n d f p g a 的嵌入式安全防护系统研究 转换将数据包发往代理服务器。 ( 5 ) 虚拟专用网络m ： 虚拟专用网络针对于跨地区的企业网络越来越多，覆盖的范围越来越广，采用专 业连接的费用非常昂贵，而发展起来的一项借助于公网进行连接的技术。在防火墙进 行相关的配置采用加密技术保证连接的安全性，通过v p n 服务器进行相互通信。 现在对于防火墙的研究主要有以下两个方向： ( 1 ) 防火墙规则配置的研究，使防火墙配置的规则之间不存在冲突，也即防火 墙的冲突检测方面问题的研究。 ( 2 ) 防火墙过滤算法的研究，通过改进匹配算法和运用并行技术提高防火墙的 性能，对防火墙进行优化。 2 2 3 入侵检测技术概述 j a m e s p a n d e r s o n 于1 9 8 0 年在为美国军方所作的计算机安全威胁监控与监视的 报告中，首次提出了入侵检测的概念【2 6 】。入侵检测是针对于网络上的各种入侵行为， 而发展起来的一项技术措旌。这些入侵行为包括：外部入侵行为，非系统授权用户所 进行的入侵行为 2 7 】【2 8 】；内部入侵行为，系统授权的合法用户所进行的超越权限的 行为 2 9 】 3 0 】；违法入侵行为，包括恶意程序、病毒、脚本、木马和扫描系统安全漏 洞等入侵行为【3 l 】。入侵检测就是对计划中的入侵、正在发生的入侵和已经发生的入 侵进行识别和检测，并及时提出警告。1 9 8 6 年w t t e n e r 研发除了用于侦测用户数 据库异常访问的d i s c o v e r y 系统，被认为是入侵检测系统基于主机的雏形【3 2 】。1 9 9 0 年来自于加州大学的l t h e b e r l e n 提出了基于网络的入侵检测的概念，他提出通过 检测网络信息流量来检测可能的入侵行为，这是网络信息流量第一次被作为检测数据 的来源，之前检测的数据一般都来自于主机系统的记录 3 3 】。在入侵技术层出不穷的 背景下，入侵检测技术也不断更新发展，力求可以为网络的安全性提供保障 3 4 】。 入侵检测是针对于网络上的各种入侵行为，而发展起来的一项技术措施 3 5 1 。这 些入侵行为包括：外部入侵行为，非系统授权用户所进行的入侵行为；内部入侵行为， 系统授权的合法用户所进行的超越权限的行为；违法入侵行为，包括恶意程序、病毒、 脚本、木马和扫描系统安全漏洞等入侵行为 3 6 】。入侵检测就是对计划中的入侵、正 在发生的入侵和已经发生的入侵进行识别和检测，并及时提出警告。 一个完整的入侵检测系统一般包括数据采集器、感应器、分析器、控制平台和响 1 2 应部件构成，具体如图2 4 所示。各个部件配合工作共同完成入侵检测的功能。 图2 4 入侵检测系构成示意图 数据采