(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113709110A(43)申请公布日2021.11.26(21)申请号202110852723.4(22)申请日2021.07.27(71)申请人深圳市风云实业有限公司地址518040广东省深圳市福田区车公庙天安工业区天吉大厦2B2、3B2、4B１(72)发明人詹晋川张帆周志远张文(74)专利代理机构成都正华专利代理事务所(普通合伙)51229代理人代维凡(51)Int.Cl.H04L29/06(2006.01)权利要求书2页说明书7页附图2页(54)发明名称一种软硬结合的入侵检测系统及方法(57)摘要本发明公开了一种软硬结合的入侵检测系统，包括网络接口卡、FPGA、三态内容寻址存储器TCAM和CPU，还提出一种基于该系统的入侵检测方法，利用FPGA对引入的网络流量进行报文解析，并将解析之后的报文发送至TCAM，利用TCAM对步骤S2中获取的报文的内容进行初次规则匹配，并将命中规则的匹配结果反馈至FPGA，将命中规则的报文根据其源目IP地址进行hash分流，并将其发送至CPU进行二次规则匹配，通过上述方式，利用TCAM头尾表项匹配，让CPU流管理模块不用将一条流的全部报文进行缓存，只有在命中头尾表项情况下，才全部缓存，不命中头尾表项情况下，只缓存当前报文。大大节约了设备内存，降低了流重组的开销，提升了设备整体处理性能。CN113709110ACN113709110A权利要求书1/2页1.一种软硬结合的入侵检测系统，其特征在于，包括：网络接口卡、FPGA、三态内容寻址存储器TCAM和CPU，其中，所述网络接口卡用于引入网络流量，并将引入的网络流量发送给FPGA；所述FPGA用于对所述网络接口卡引入的网络流量进行报文解析和分流，并将报文发送至所述三态内容寻址存储器进行初次规则匹配，同时记录三态内容寻址存储器的匹配结果并将其发送至CPU；所述三态内容寻址存储器TCAM用于对所述FPGA送达的报文进行初次规则匹配，并反馈匹配结果；所述CPU用于根据特征库的规则提取TCAM的匹配项表并通过FPGA下发至TCAM，同时对FPGA和TCAM的匹配结果进行二次规则匹配。2.一种基于权利要求1所述入侵检测系统的入侵检测方法，其特征在于，包括如下步骤：S1、构建软硬结合的入侵检测系统并对三态内容寻址存储器进行匹配表项配置；S2、利用FPGA对引入的网络流量进行报文解析，并将解析之后的报文发送至TCAM；S3、利用TCAM对步骤S2中获取报文的报文内容进行初次规则匹配，并将命中规则的匹配结果反馈至FPGA；S4、FPGA将命中规则的报文根据其源目IP地址进行hash分流，并将其发送至CPU进行二次规则匹配；S5、对进行二次规则匹确定命中规则的报文进行警告。3.根据权利要求2所述的入侵检测方法，其特征在于，所述步骤S1中对TCAM进行匹配表项配置的具体方法为：S11、从特征库内容中的每一条规则中选取一个特征串，作为TCAM的原始表项，若所提取的特征串大于8字节，则提取其中8字节的内容作为TCAM的原始表项；S12、将步骤S11中得到的原始表项进行扩展，得到扩展后的匹配表项；S13、对原始表项进行扩展，得到头匹配表项和尾匹配表项。4.根据权利要求3所述的入侵检测方法，其特征在于，所述步骤S12具体包括：S121、将步骤S11选取的长度为n且n≤8的特征串从TCAM的第0字节开始放入TCAM中并将其掩码设置为0，同时将剩余16‑n字节的表项填充任意字符并将其掩码设置为1；S122、将步骤S11选取的特征串从TCAM表项的第i字节开始放入TCAM中，按照步骤S121的方式填充剩余字节，并依次位移直至表项尾，得到扩展后的匹配表项。5.根据权利要求4所述的入侵检测方法，其特征在于，所述步骤S13具体包括：S131、将步骤S11选取的特征串从TCAM表项的第16‑n+1字节开始放入TCAM中并将其掩码设置为0，同时剩余的字节依次放入当前TCAM表项中，并将特征串的最后1字节的内容放入下一TCAM表项中的第1个字节，按照步骤S121的方法将当前TCAM表项和下一TCAM表项中剩余位置填充并将掩码设置为1；S132、对步骤S131中当前TCAM表项中的特征串依次位移直至特征串的第一字节位移当前TCAM表项的最后一字节，并将依次位移之后的超出当前TCAM表项的特征串放入下一TCAM表项中；S131、将当前TCAM表项作为尾匹配表项并将下一TCAM表项作为头匹配表项。2CN113709110A权利要求书2/2页6.根据权利要求5所述的入侵检测方法，其特征在于，所述步骤S2中FPGA对报文解码的过程为，解析出报文的源目IP地址并解析出报文的四层负载。7.根据权利要求6所述的入侵检测方法，其特征