什么是fpga漏洞：FPGA做正则匹配和网络安全 究竟有多大的优势

什么是fpga漏洞：FPGA做正则匹配和网络安全 究竟有多大的优势参考文献 FPGA云服务作为一种面向未来的全新平台，横跨互联网与芯片设计领域，相信对任何人都是新鲜和陌生的。越来越多的互联网公司也开始招聘FPGA或IC设计人员，对人才的要求也越来越高，了解互联网、会FPGA、又要会算法、同时还要了解网络安全......你准备好了吗？ FPGA结合云计算形成新的FaaS（FaaS，FPGA-as-a-Service）或者AaaS（AaaS，Accelerator-as-a-Service）平台，则可以整合多方资源解决上述问题。平台厂商与FPGA硬件厂商合作，在云端提供统一硬件平台与中间件，可大大降低加速器的开发与部署成本。加速器开发商的加速器上传到云，可以形成服务销售给加速器用户，消除加速技术与最终用户的硬件壁垒。而加速器用户则能够在无需了解底层硬件的情况下，直接按需购买和使用加速服务，较传统方案更快更省地完成数据处理。 FPGA以其高能效和可重编程的

下图是相关IP在Xilinx FPGA上占用资源的情况：

HeliOS RXPF是一个被授权为软IP的FPGA正则表达式处理器。它的目标是StimNIC FPGA和固态驱动FPGA解决方案。HeliOS RXPF是专为高吞吐量、低延迟的深度包检测（DPI）应用而设计的，它需要硬件加速正则表达式（ReGEX）模式匹配和字符串匹配。从上图中可以看出，上述两种Xilinx的FPGA分别是KintexUltraScale KU115 FPGA和UltraScale VU9P，这两款FPGA尤其是后者，是去年亚马逊推出的云加速器硬件平台AWS F1，Xilinx官方VU9P开发版VCU118价格是 $6 995。

FPGA结合云计算形成新的FaaS（FaaS，FPGA-as-a-Service）或者AaaS（AaaS，Accelerator-as-a-Service）平台，则可以整合多方资源解决上述问题。平台厂商与FPGA硬件厂商合作，在云端提供统一硬件平台与中间件，可大大降低加速器的开发与部署成本。加速器开发商的加速器上传到云，可以形成服务销售给加速器用户，消除加速技术与最终用户的硬件壁垒。而加速器用户则能够在无需了解底层硬件的情况下，直接按需购买和使用加速服务，较传统方案更快更省地完成数据处理。

FPGA以其高能效和可重编程的优势，在大型互联网企业内部早有应用并逐渐成为常态。例如本文前面介绍的网络安全加速应用，媒体压缩 ， 加解密 ， AI ， 大数据处理 等领域，FPGA方案较传统CPU和GPGPU，往往可达到 几倍甚至几十倍的能效提升。然而过高的开发门槛和开发成本，却让中小型企业对FPGA技术可望而不可及。即便是大企业，力量也只够集中开发有数的几种加速器难以全面铺开。

FPGA云服务作为一种面向未来的全新平台，横跨互联网与芯片设计领域，相信对任何人都是新鲜和陌生的。越来越多的互联网公司也开始招聘FPGA或IC设计人员，对人才的要求也越来越高，了解互联网、会FPGA、又要会算法、同时还要了解网络安全......你准备好了吗？

参考文献

[1] 李建.入侵检测技术[M]. 北京: 高等教育出版社 2008.

[2] 何一凡. 入侵检测引擎的设计研究[D]. 浙江大学 2006.

[3] Hieu T T Tran N T. A memory efficient fpga-based patternmatching engine for stateful nids[C]//Ubiquitous and Future Networks (ICUFN) 2013 Fifth International Conference on. IEEE 2013: 252-257.

[4] 马春光 郭方方等. 防火墙、入侵检测与VPN[M]. 北京: 北京邮电大学出版社 2008.

[5] 顾健，沈亮等.高性能入侵检测系统产品原理与应用[M]. 北京: 电子工业出版社 2017.

[6] Dharmapurikar S Krishnamurthy P Sproull T S et al. DeepPacket Inspection using Parallel Bloom Filters[J]. IEEE Micro 2004 24(1):52-61.

[7] Moscola J Lockwood J Loui R P et al. Implementation of acontent-scanning module for an Internet firewall[C]// IEEE Symposium onField-programmable Custom Computing Machines. IEEE 2003:31-38.

[8] Kim H J Choi K I. A Pipelined Non-Deterministic FiniteAutomaton-Based String Matching Scheme Using Merged State Transitions in an FPGA[J]. Plos One 2016 11(10):1-24.

[9] Rathod P M Marathe N Vidhate A V. A survey on FiniteAutomata based pattern matching techniques for network Intrusion DetectionSystem (NIDS) [C]// International Conference on Advances in Electronics Computers and Communications. IEEE 2015:1-5.

[10] Abdulhammed R Faezipour M Elleithy K M. Network intrusion detection using hardware techniques:A review[C]// Long Island Systems Applications and Technology Conference.IEEE 2016:1-7.

[11] A.V. Aho M. J.Corasick. Efficient string matching: an aid to bibliographic search [J].Communications of the ACM 1975 18 (6): 330-340.

[12] Van Lunteren J. High-PerformancePattern-Matching for Intrusion Detection[C]. International conference oncomputer communications 2006: 1-13.

[13] Dharmapurikar S Lockwood J W. Fast and Scalable Pattern Matching for Network IntrusionDetection Systems [J]. IEEE Journal on Selected Areas in Communications 2006 24(10): 1781-1792.

[14] Lee T H Huang N L. APattern-Matching Scheme With High Throughput Performance and Low Memory Requirement[M]. IEEE Press 2013.

[15] Jung H Baker Z K Prasanna V K et al. Performance of FPGA implementation of bit-splitarchitecture for intrusion detection systems[C]. International parallel anddistributed processing symposium 2006: 189-189.

[16] Yang Y E Prasanna V K. Memory-Efficient PipelinedArchitecture for Large-Scale String Matching[C]. Field-programmable customcomputing machines 2009: 104-111.

[17] Jiang W Yang Y E Prasanna V K et al. Scalablemulti-pipeline architecture for high performance multi-pattern stringmatching[C]. International parallel and distributed processing symposium 2010:1-12.

[18] QU Y R PRASANNA V K. High-performance and dynamicallyupdatable packet classification engine on fpga[J]. IEEE Transactions onParallel and Distributed Systems 2016 27(1): 197–209.

全文完。