技術領域

本發明涉及一種掃描系統及其方法，尤其是一種基于FPGA的應用層內容掃描系統及其方法。

背景技術

隨著網絡應用的發展，對于應用層深度的內容級檢測過濾也成為網絡安全的新課題。但是應用層深度內容過濾非常消耗系統資源的，傳統網絡安全產品的硬件加速技術，僅是網絡層的硬件加速，并沒有處理應用層的數據，僅僅處理網絡傳輸過程中少量的數據，如數據鏈路層、網絡層、傳輸層的頭信息，對應用層內容過濾性能提高沒有什么幫助，這就導致很高性能的網絡層安全設備，一旦打開應用層過濾功能，性能就會急驟下降。

發明內容

本發明提供了一種實現應用層的硬件內容加速的基于FPGA的應用層內容掃描系統及其方法。

實現本發明目的之一的基于FPGA的應用層內容掃描系統，包括依次相連的數據掃描啟動器、工作描述轉換器、工作任務存儲控制器、FPGA硬件掃描引擎和掃描結果接收器。

實現本發明目的之二的基于FPGA的應用層內容掃描方法，包括如下步驟：

(1)應用層的數據掃描啟動器將掃描數據傳入工作描述轉換器；

(2)工作描述轉換器將掃描數據轉換為工作描述列表寫入工作任務存儲控制器；

(3)工作任務存儲控制器下達工作任務指令到FPGA硬件掃描引擎；

(4)FPGA掃描引擎進行數據的掃描和匹配，完成后將掃描結果返回給系統應用層的掃描結果接收器。

本發明的基于FPGA的應用層內容掃描方法的有益效果如下：

本發明的基于FPGA的應用層內容掃描方法，通過FPGA硬件驅動將FPGA硬件加速卡與現有的操作系統無縫的進行結合。硬件加速卡采用內置的高速數據通信總線，在無需CPU參與的情況下，作為通信過程中的host，自動獲得掃描數據提交給并行處理高速內容掃描引擎，高速內容掃描引擎對相關文件進行每一個字節的逐一掃描和匹配，從而實現了應用層的硬件內容加速。

附圖說明

圖1為本發明的基于FPGA的應用層內容掃描系統的結構示意圖。

具體實施方式

如圖1所示，本發明的基于FPGA的應用層內容掃描系統，包括依次相連的數據掃描啟動器、工作描述轉換器、工作任務存儲控制器、FPGA硬件掃描引擎和掃描結果接收器。

本發明的基于FPGA的應用層內容掃描方法，包括如下步驟：

(1)應用層的數據掃描啟動器將掃描數據傳入工作描述轉換器；

(2)工作描述轉換器將掃描數據轉換為工作描述列表寫入工作任務存儲控制器；

(3)工作任務存儲控制器下達工作任務指令到FPGA硬件掃描引擎；

(4)FPGA掃描引擎進行數據的掃描和匹配，完成后將掃描結果返回給系統應用層的掃描結果接收器。

FPGA硬件加速卡內部處理主要包括下面幾個部分：

1.CPU與FPGA卡的通信和數據傳輸

采用PCIX總線，FPGA卡可以做為DMA?host，在無需CPU參與情況下，可以實現主機memory與FPGA卡內部buffer的DMA傳輸。PCIX采用133M時鐘，64bits模式，因而理論上的傳輸性能：133M*64bps＝8512Mbps。

2.內容掃描

設計的FPGA卡中內容掃描的部分采用CAM技術實現并行掃描。目前CAM采用72bits總線，特征庫采用18bytes(144bites)模式，在掃描過程中CAM只需要2個時鐘周期就可以完成對所有特征的掃描。每完成一次掃描，通過硬件移位1bytes。

CAM采用133M時鐘，因而一個CAM掃描器的工作性能：133M*8/2bps＝532Mbps。目前實現2個CAM掃描器并行掃描，因而2個CAM掃描器的掃描性能：532Mbps*2＝1064Mbps。

3.深度檢測和掃描

當CAM掃描命中之后，需要進行深度掃描和樣本檢測，這個過程需要將FPGA卡內DDR中的特征信息加載并進行進一步匹配。由于CAM采用18bytes(144bites)模式，需要深度掃描的概率很低，理論上的概率為1/2^144。因而這部分的性能影響對整個加速卡的性能影響可以不予考慮。

目前FPGA與CPU通信、CAM掃描器的掃描都采用并行工作方式，CAM掃描器的性能小余FPGA與CPU通信的性能，因而整個加速卡的性能主要取決于CAM掃描器的性能。因而FPGA加速卡的性能為1064Mbps，大于1Gbps。

上面所述的實施例僅僅是對本發明的優選實施方式進行描述，并非對本發明的范圍進行限定，在不脫離本發明設計精神前提下，本領域普通工程技術人員對本發明技術方案做出的各種變形和改進，均應落入本發明的權利要求書確定的保護范圍內。