簡易檢索 / 詳目顯示

研究生: 賴正岳
Lai Cheng-Yueh
論文名稱: 以Microblaze處理器為基礎的網路入侵偵測系統之FPGA硬體電路實現
FPGA Implementation of Network Intrusion Detection System Based on Microblaze Processor
指導教授: 黃文吉
Hwang, Wen-Jyi
學位類別: 碩士
Master
系所名稱: 資訊工程學系
Department of Computer Science and Information Engineering
論文出版年: 2008
畢業學年度: 96
語文別: 中文
論文頁數: 53
中文關鍵詞: 網路入侵偵測系統吞吐量系統傳輸延遲時間
英文關鍵詞: network intrusion detection system, System Throughput, Transmission Latency Time
論文種類: 學術論文
相關次數: 點閱:177下載:0
分享至:
查詢本校圖書館目錄 查詢臺灣博碩士論文知識加值系統 勘誤回報
  • 目前的網路入侵偵測研究中,主要都是以找到好的演算法來設計快速的硬體比對電路為主,鮮少有於系統方面的探討,本論文希望除了針對電路層面的研究外,也能將其實現成系統,將電路以模組化的方式掛在系統上,成為系統中最重要的核心技術。緊接著我們希望從系統層面來觀看,提出兩種不同架構來做比較,瞭解在使用不同的Buffer來傳輸時,對整體的系統效能的影響性,不管是在System Throughput或者是System Transmission Latency Time的表現上,都會是我們發展入侵偵測系統的一些參考指標。最後在實驗部分,我們希望將整個系統建構在一個乾淨的網路環境底下,以避免量測上得誤差,並利用流量產生工具實際送出攻擊封包以對數據做量測。

    Existing researches on network intrusion detection system often focus on the design of a fast pattern matching circuit instead of a discussion for the whole system. This paper not only looks into the circuit level but also implements a complete system. The fast pattern matching circuit, which is the core technique for detection, will be embedded as a module in the system. We proposed two different architectures and provided a system-level comparison. We use System Throughput and System Transmission Latency Time as the reference targets to find out the impact of using different buffers to transmit on system performance. In experiments, we setup the detection system in a clean environment to prevent the measurement error, and do the measurements by using the network traffic generation tool to send attack packets.

    中文摘要 Ⅰ 英文摘要 Ⅱ 目錄 Ⅳ 第一章 緒論 1 1.1 研究背景及動機 1 1.2 研究目的 4 1.3 研究方法 5 1.4 全文架構 6 第二章 理論背景介紹 7 2.1 Xilinx EDK系統整合環境 7 2.1.1 Xilinx EDK簡介 7 2.1.2 MicroBlaze架構 8 2.1.3 MicroBlaze週邊架構 11 2.2 Snort簡介與原理 13 2.3 Shift-or Algorithm簡介 16 2.3.1 樣式比對簡介 16 2.3.2 Shift-or Algorithm 17 第三章 系統架構 20 3.1 NIDS系統架構 20 3.1.1 DDRRAM-Base架構 21 3.1.2 BRAM-Base架構 24 3.2 NIDS系統實作 25 3.2.1 封包擷取部份(The Linux Socket Filter) 25 3.2.2 高速比對電路部份 29 3.2.3 系統整合部份(uClinux On The MicroBlaze Processor) 31 第四章 實驗結果與討論 37 4.1 開發平台與實驗環境介紹 37 4.2 實驗數據的呈現與討論 40 4.2.1 定義量測項目 40 4.2.2 System Throughput 41 4.2.3 System Transmission Latency Time 44 4.2.4 Pattern Matching Experiment Result 48 第五章 結論與未來展望 51 參考著作 52 附表目錄 表2.1 (Mask Table) 19 表2.2 Shift-or Algorithm完全比對範例 19 表4.1 NIDS系統與User和Attacker之規格表 38 表4.2系統的完整規格表 39 表4.3 DDRRAM-Base架構的系統Throughput 42 表4.4 BRAM-Base架構的系統Throughput 42 表4.5 硬體比對電路系統與純軟體比對系統的比對時間比較 45 表4.6 Signature Matching Circuit分別在q等於1、4的架構所做的較49 表4.7 Header Classification Circuit與現有的架構所做的比較 50 附圖目錄 圖1.1 Network Intrusion Detection System 2 圖2.1 Xilinx EDK設計流程 8 圖2.2 MicroBlaze 元件架構圖 10 圖2.3 OPB與FSL匯流排架構圖 11 圖2.4 Snort運作流程圖 14 圖3.1 NIDS初始系統架構 20 圖3.2管理者與NIDS系統之互動圖 21 圖3.3 DDRRAM-Base系統架構 22 圖3.4 DDRRAM-Base系統內部運作流程圖 23 圖3.5 BRAM-Base系統架構與運作流程 24 圖3.6網路入侵偵測系統之高效能封包分類與比對電路 29 圖3.7 Shift-or法則基礎電路架構 30 圖3.8 uClinux移植流程 32 圖3.9系統硬體架構圖 34 圖3.10載入uClinux映像檔圖 35 圖3.11成功啟動uClinux圖 35 圖3.12系統執行比對時的狀態 36 圖3.13以DDoS攻擊為比對規則範例 36 圖4.1系統量測架構圖 37 圖4.2 ML405 Evaluation Platform 38 圖4.3 UDP Flooder 2.00攻擊軟體 40 圖4.4 UDP Flooder攻擊流程圖 41 圖4.5 DDRRAM-Base架構與BRAM-Base架構的System Throughput比較 43 圖4.6 DDRRAM-Base架構與BRAM-Base架構的System Dropping Rate比較圖 44 圖4.7 DDRRAM-Base架構、BRAM-Base架構和FSL-Base架構的System Transmission Latency Time比較圖 48

    [1] SNORT official web site.
    http://www.winsnort.com/

    [2] 薛宇盛, 入侵偵測系統實務 WinSnort for Windows 2003, 松崗圖書, 2006

    [3] XILINX official web site.
    http://www.xilinx.com/

    [4] R. Baeza-Tates, G.H. Gonnet, "A new approach to text searching,"
    Communications of the ACM, Vol. 35, pp.74-82, 1992.

    [5] The Linux Socket Filter
    http://www.linuxjournal.com/article/4659

    [6] 阮煥鈞, 應用於網路入侵偵測系統之高效能電路可程式化系統晶片設計, 國立台灣師範大學資訊工程研究所碩士論文, 94學年度。

    [7] 黃威智, 在可程式化系統晶片中實現網路入侵偵測系統之高效能封包分類與比對電路, 國立臺灣師範大學資訊工程學系研究所碩士論文, 95學年度

    [8] 施映男, 超越10Gbps之超高速特徵比對電路設計及其在網路入侵偵測系統之應用, 國立臺灣師範大學資訊工程學系研究所碩士論文, 95學年度

    [9] H.C. Roan, W.J. Hwang, W.J. Huang, C.T.D. Lo, "Network Intrusion Detection Based On Shift-OR Circuit," accepted for publication in the Journal of Information Science and Engineering, 2007.

    [10] H.C. Roan, W.J. Hwang, C.T.D. Lo, "Shift-Or Circuit for Efficient Network
    Intrusion Detection Pattern Matching," in the 2006 International Conference on Embedded and Ubiquitous Computing, Aug. 1-4, Korea, Vol. 4096, pp. 776-784, 2006.

    [11] H.C. Roan, W.J. Hwang, C.T.D. Lo, "Shift-Or Circuit for Efficient Network
    Intrusion Detection Pattern Matching," in the 16th International Conference on Field Programmable Logic and Applications (FPL 2006), Madrid, SPAIN, August 28-30, 2006, pp. 785 - 790.

    [12] Xilinx XAPP912, Reference System: MCH OPB DDR SDRAM with OPB
    Central DMA, 2007

    [13] Xilinx XAPP730, Getting Started with uClinux on the MicroBlaze Processor,
    2007

    [14] UDP Flooder 2.00
    http://www.csie.ncu.edu.tw/~cs000877/security/html/process.html

    [15] Xilinx XAPP529, Connecting Customized IP to the MicroBlaze Soft Processor
    Using the Fast Simplex Link (FSL) Channel, 2004

    [16] C.H. Lin, C.T. Huang, C.P. Jiang, S.C. Chang, "Optimization of Pattern Matching
    Circuits for Regular Expression on FPGA," Proceedings of the IEEE Transactions on Very Large Scale Integration (VLSI) Systems, VOL. 15, NO. 12, December 2007.

    [17] V. Dimopoulos, G. Papadopoulos, and D. Pnevmatikatos, "On the importance of
    header classification in hw/sw network intrusion detection systems," Proceedings of the 10th Panhellenic Conference on Informatics, 2005.

    [18] H. Song and J. Lockwood, "Efficient packet classification for network intrusion
    detection using FPGAs," Proceedings of the IEEE Symposium on Field-Programmable Gate Arrays, pp.238-245, 2005.

    無法下載圖示 本全文未授權公開
    QR CODE