一種采用專用芯片的軟硬協同安全防護技術

沈 晶，陳雙龍

（中國船舶重工集團公司江蘇自動化研究所 江蘇 連云港 222006）

信息時代的到來引發了一場軍事革命，使得以信息技術為特征的新戰爭形態正在出現。在信息化戰爭中，以計算機病毒、黑客等為首的信息武器顯示出重要的作用，而信息系統的安全問題也成為當前各國研究的重點[1]。為了解決這些安全問題，各種安全機制、安全策略和安全防護工具紛紛投入研究和使用。

然而，即使在使用安全工具的情況下，網絡的安全仍然存在很大隱患，因為現有的每一種安全機制都有一定的適用范圍，不足以應付不斷變化的攻擊手段。針對于此，人們開始對網絡安全產品之間進行功能融合和網絡安全防護設備體系結構的調整[2]，提出了將防病毒、入侵檢測和防火墻安全防護技術融合成一體的統一威脅管理方案（UTM）。UTM需要無縫融合多種安全功能，在不降低網絡性能的前提下，提供從網絡層到內容層的安全保護，而傳統的基于X86體系的架構不能滿足UTM的高吞吐量、低時延的要求，網絡處理器和專用集成電路（ASIC）兩種新的技術成為主要選擇。網絡處理器的軟件色彩使它具有更好的靈活性，但性能較低。而ASIC是將算法固化在硬件中，在性能上有比較明顯的優勢，但在升級維護方面跟不上網絡安全防護設備功能的快速發展。

為了融合網絡處理器的靈活性和ASIC的快速高效，本文提出一種以專用安全處理芯片為基礎，軟硬結合的安全防護方案[3]。本方案通過軟硬協同，實現全包線速檢測、安全威脅實時評估、統一威脅管理等功能，從而形成檢測、保護、響應這一完整的閉環管理模式，在OSI網絡模型的各個層次上提供實時保護，為信息系統創造安全可靠的工作環境，提高檢測效率和靈活性。

1 基于專用網絡安全處理器的處理平臺

目前，市場上已經出現針對網絡安全檢測的芯片[4]。以TS8210為例，它是一款我國自主研發的網絡安全專用芯片，以硬件方式實現千兆線速下數據包逐字節的內容檢索、內容標簽以及流重組，其主要應用在網關反病毒、垃圾郵件過濾、傳輸文件內容檢查、URL過濾、IDS/IPS 系統、網絡安全審計、BT 流量控制、有害信息監察等，在保證網絡安全的同時，不影響網絡傳輸速率。

TS8210芯片可提供3個線速千兆以太網端口，內置所有優化后的規則庫，它集包分析、查找、分流與規則庫管理功能為一體，真正實現了單芯片高功能集成系統。它根據芯片內預置規則庫中的基本病毒特征進行硬件過濾，同時轉發可疑數據包給主機做進一步分析。圖1是基于TS8210芯片的安全處理平臺硬件組成原理圖。

針對網絡安全防護發展趨勢，本文提出一種以專用安全處理芯片為基礎，軟硬結合的安全防護方案[4]。本方案通過軟硬協同，實現全包線速檢測、安全威脅實時評估、統一威脅管理等功能，從而形成檢測、保護、響應這一完整的閉環管理模式，在OSI網絡模型的各個層次上提供實時保護，為信息系統創造安全可靠的工作環境。

圖1 基于TS8210芯片的系統基本硬件框圖

2 軟硬協同一體化安全防護框架

軟硬協同一體化安全防護框架以網絡安全專用芯片為基礎，通過軟硬結合的方法，對多種安全功能進行深度混合，實現一體化綜合網絡安全防護。圖2是軟硬協同一體化安全防護框架原理圖。

圖2 軟硬協同一體化安全防護框架原理圖

2.1 一體化安全檢測

將入侵檢測、安全審計、異常流量等功能[5]進行集成，并將防拒絕服務攻擊、防蠕蟲和黑客攻擊、混合攻擊、緩沖溢出、網絡欺詐、防垃圾郵件的攻擊、防違規信件攻擊等攻擊信息相互關聯和共享，通過將各種檢測過程關聯在一起，跟蹤每一安全環節的檢測活動，并通過啟發式掃描和異常檢測引擎檢查，提高整個系統的檢測精確度。如圖3所示。

圖3 一體化安全檢測功能框圖

2.2 軟硬協同處理

軟硬協同一體化安全防護框架充分發揮專用芯片高速處理和軟件靈活適應的特點，提高了系統處理能力和適應能力。首先由專用芯片完成千兆線速全包過濾、流重組、流量控制和應用分流，并在芯片內完成大部分攻擊檢查和剔除，對未知可疑的報文則上報給上層一體化檢測防御處理軟件，由一體化檢測防御處理軟件完成數據報的威脅判別和處理，并根據處理的結果確定是否要調整規則庫。

3 威脅實時監測與智能化處理

威脅實時監測的主體工作由專業芯片完成，其工作流程如圖4所示。

圖4 威脅實時監測流程

a)數據包進入專用芯片經過解析后，可分為管理報文和普通報文。管理報文有其固定格式和可配置的MAC地址，PKT_ID等，只有管理端口才接收管理報文，非管理端口會將接收的管理報文丟棄掉。

b)管理報文經過管理端口轉化為訪問消息訪問專用芯片，針對每個訪問報文，專用芯片都會產生一個響應報文，其格式也為管理報文格式，只是目的地址和源地址與訪問消息的管理報文相反。

c)專用芯片的所有寄存器、表項的配置和讀取都可經過管理報文完成。專用芯片還有另外一個配置渠道，即E2PROM配置。專用芯片可根據管腳配置采用上電自動讀取E2PROM的內容配置表項和各個寄存器。

d)如果數據包的流向是過濾方向則進入過濾流程；如果數據包的流向是透傳方向則根據解析結果由寄存器控制數據包的轉發，或發送硬件建立TCP連接請求，或送CPU（環回模式只有過濾方向，沒有透傳方向）。

e)數據包進入過濾流程后，首先根據解析結果決定是否建立/查詢TCP連接，最多可建10萬條連接，硬件建立連接可達線速，針對每條TCP連接都有自己的ACTION，在建立/查詢TCP連接后取得TCP連接的ID號和ACTION。

f)取得TCP連接的ID號后進入TCP連接的亂序流重組，狀態檢測和數據包調度，在做流重組后形成的指針表可作為統計每條TCP連接的流量所用，它可精確地統計每條連接的TCP_DATA流量（不包括重傳報文）。

g)流重組后進入跨包過濾階段，專用芯片支持線速查找數萬條規則。

h)查找完以后會根據結果執行流量統計與流量控制。

i)數據包傳向輸出端口，并根據解析結果和rule/TCP連接的Action執行各種操作。

數據包經過專用芯片處理后，將一些無法處理的諸如未知數據包、可疑數據包轉由上層軟件模塊進行最終處理，其處理流程如圖5所示。

圖5 軟件處理模塊

1）軟件模塊對接收到芯片部分發過來的數據包進行分析，首先將其交由防火墻檢測模塊進行處理。該模塊將狀態檢測和防火墻技術結合在一起，采用深度檢測算法[6]，深入分析了TCP或UDP數據包的內容。深度檢測能夠自動進行動態設置，以便正確檢測服務變量，如最大長度、隱藏字段和Radio按鈕等。如果請求的變量不匹配、不存在或不正確的話，則會將請求丟棄掉，將該事件寫入日志，給管理員發出警告信息，并將處理結果反饋給芯片，修改完善其規則庫。

2）通過防火墻檢測的數據包交由防病毒檢測模塊進行處理。采用啟發式查毒方案[7]，為每一項它定義的可疑病毒功能調用賦予一個旗標，如F,R,A……， 這樣以來可以直觀地對被檢測程序進行是否染毒的主觀判斷。對于某個文件來說，被點亮的標志愈多，染毒的可能性就愈大。常規干凈程序甚至不會點亮一個標志旗，但如果要作為可疑病毒報警的話，則至少要點亮兩個以上標志旗。對檢測出的病毒進行隔離查殺，并將處理結果反饋給芯片，修改完善其規則庫。

3）通過防病毒檢測的數據包交由入侵檢測模塊進行處理。首先對所有的包首標（header）進行檢測，其次檢測數據包載荷的內容，查找網絡攻擊中使用的命令或語法，對檢測出異常的流和數據進行過濾處理，并將處理結果反饋給芯片，修改完善其規則庫。

4）對通過了防火墻檢測、防病毒檢測以及入侵檢測的異常數據，進行統計，并進行徹底分析，同時通過人工干預，對其進行智能化處理，并根據處理結果決定是否修改完善規則庫。

4 性能分析

為了驗證采用專用芯片的軟硬協同安全防護方案的檢測性能，本文對純軟件檢測、軟硬一體化檢測兩種情況進行了實驗對比。先通過抓包工具截取網絡數據包，存成文件，再從文件中讀取數據包，以消除網絡數據包快慢對實驗結果的影響。實驗環境為：基于龍芯2E處理器和TS8210芯片的實驗平臺。實驗結果如表1所示。

表1 不同規則數下，每10000個數據包匹配時間對比（ms）

從表1中看出，純軟件檢測時間平均為447.391ms,采用專用芯片的軟硬一體化檢測其平均時間為24.109ms，檢測的時間平均降低了約46.2%，并且隨著規則數目的逐漸增加，后者的優勢也在逐漸擴大。從理論上說，后者由于大部分攻擊檢測由安全處理專用芯片完成，能實現千兆線速下的全包內容檢測、過濾，因此在速度上具有更大的優勢。

同時，選用3000個攻擊數據包對系統進行測試，其中包含了各種常見的攻擊行為，如拒絕服務攻擊（ip包碎片攻擊，UDP洪水，SYN洪水）、掃描技術（地址掃描，端口掃描）、利用信息服務（DNS域轉換，Finger服務，LADP服務）等。測試結果表明，系統均能檢測出以上攻擊，保證了檢測的準確性。

5 結束語

隨著網絡的普及和快速發展，網絡用戶面臨著日益嚴重的安全問題。現有的安全防護技術多存在軟硬分離等缺點，不能充分滿足用戶需求。本文提出的基于芯片的一體化安全防護技術充分發揮專用芯片高速處理和軟件靈活適應的特點，提高設備處理能力和適應能力。通過將各種檢測過程關聯在一起，跟蹤每一安全環節的檢測活動，提高整個系統的檢測精確度。另外，本方案采用國產專用安全處理芯片和國產高性能處理器，可以有效消除使用國外芯片的安全隱患。

[1]徐茂智,鄒維. 信息安全概論[M].北京:人民郵電出版社,2007.

[2]陳曉蘇,林植. 基于策略的網絡安全防護系統框架研究[J].軟件世界,2008:142-151.

[3]陳雙龍,顧穎彥. 嵌入式實時網絡信息系統安全隱患及對策[C].國防科技工業網絡信息安全技術發展研討會論文集,2004:92-96.

[4]葉世芬. 安全芯片物理防護研究[J].浙江大學學校，2005(2):37-40.

[5]崔蔚,徐鐵鋼. 主機網絡安全防護技術的研究與應用[J].成都信息工程學院學報,2005(2):79-86.

[6]Ndeep Kumar.Classification and Detection of Computer Intrusions [D].Purdue University,2005:34-39

[7]郭春霞,裘雪紅. 嵌入式系統安全的研究與設計[J].電子科技,2005 (8):49-54.