CN108183901A - 基于fpga的主机安全防护物理卡及其数据处理方法 - Google Patents
基于fpga的主机安全防护物理卡及其数据处理方法 Download PDFInfo
- Publication number
- CN108183901A CN108183901A CN201711461877.0A CN201711461877A CN108183901A CN 108183901 A CN108183901 A CN 108183901A CN 201711461877 A CN201711461877 A CN 201711461877A CN 108183901 A CN108183901 A CN 108183901A
- Authority
- CN
- China
- Prior art keywords
- unit
- rule
- host
- protection
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Abstract
本发明涉及计算机安全技术领域,公开了一种基于FPGA的主机安全防护物理卡及其数据处理方法,以确保主机的安全性。本发明安全防护物理卡主要是在FPGA芯片的可配置逻辑模块中分别设置虚拟的身份认证单元、数据加密单元、入侵检测单元、防火墙单元、陷阱单元以及规则策略单元;规则策略单元与身份认证单元、数据加密单元、入侵检测单元、防火墙单元、陷阱单元以及规则策略单元建立逻辑关联以根据本地固有的以及被防护主机上层应用所制定的各类规格策略进行联动;且入侵检测单元还用于记录引发报警的规则,并对规则进行格式转换后传送至规则策略单元以供防火墙单元进行加载并执行。
Description
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种基于FPGA的主机安全防护物理卡及其数据处理方法。
背景技术
网络的发展在给人们带来便利的同时也引发了一系列的新问题。针对网络服务供应商的网络攻击屡屡发生,造成网络阻塞、瘫痪、丧失服务能力,有意或无意的非法操作主机造成主机被破坏,进而造成生产故障。网络安全技术日益引起人们的重视,针对网络攻击、入侵手段的复杂化,单一防火墙、入侵检测系统等保护手段越来越不能满足人们的需求。一个新的发展方向就是综合多种防护手段来提高系统的安全性。
发明内容
本发明目的在于公开一种基于FPGA的主机安全防护物理卡及其数据处理方法,以确保主机的安全性。
为实现上述目的,本发明公开了一种基于FPGA的主机安全防护物理卡,包括FPGA芯片及其连接的数字信号处理器及存储器,还包括:
与被防护主机进行通信的通信接口;以及
在FPGA芯片的可配置逻辑模块中分别设置虚拟的身份认证单元、数据加密单元、入侵检测单元、防火墙单元、陷阱单元以及规则策略单元;
所述规则策略单元与所述身份认证单元、数据加密单元、入侵检测单元、防火墙单元、陷阱单元以及规则策略单元建立逻辑关联以根据本地固有的以及被防护主机上层应用所制定的各类规格策略进行联动;
所述身份认证单元,主要用于对访问被防护主机的合法用户及非法用户进行身份识别并阻止非法用户进行操作;
所述数据加密单元,主要用于对被防护主机关键进程的数据传输进行加密;
所述入侵检测单元,主要用于从被防护主机的进程中检测入侵行为,并在发现入侵行为后,记录引发报警的规则,并对规则进行格式转换后传送至所述规则策略单元以供所述防火墙单元进行加载并执行;
所述防火墙单元,主要用于从所述规则策略单元获取各类规则策略以阻止对被防护主机的入侵行为;
所述陷阱单元,用于在被防护主机的进程受干扰后,通过软件陷阱技术恢复被防护主机的正常进程。
与上述物理卡相对应的,本发明还公开一种基于FPGA的主机安全防护物理卡的数据处理方法,包括:
所述物理卡监听被防护主机的进程,以及调用在FPGA芯片可配置逻辑模块中所设置的身份认证单元、数据加密单元、入侵检测单元、防火墙单元以及陷阱单元以根据规则策略单元固有的以及被防护主机上层应用所制定的各类规格策略进行安全防护联动;具体包括:
所述身份认证单元对访问被防护主机的合法用户及非法用户进行身份识别并阻止非法用户进行操作;
所述数据加密单元对被防护主机关键进程的数据传输进行加密;
所述入侵检测单元从被防护主机的进程中检测入侵行为,并在发现入侵行为后,记录引发报警的规则,并对规则进行格式转换后传送至所述规则策略单元以供所述防火墙单元进行加载并执行;
所述防火墙单元从所述规则策略单元获取各类规则策略以阻止对被防护主机的入侵行为;以及
所述陷阱单元在被防护主机的进程受干扰后,通过软件陷阱技术恢复被防护主机的正常进程。
本发明具有以下有益效果:
基于FPGA的可配置逻辑资源虚拟了对主机进行多重保护的功能单元,且各功能单元之间进行合理的分工及联动,精简成本、缩短开发时间的同时,还确保了主机的安全性。而且,基于FPGA便捷的在线更新,使得产品的维护方便且可实现对主机的定制化保护。
下面将参照附图,对本发明作进一步详细的说明。
附图说明
构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例公开的安全防护物理卡与主机的通信连接框图;
图2为本发明实施例公开的安全防护物理卡的结构框图。
具体实施方式
以下结合附图对本发明的实施例进行详细说明,但是本发明可以由权利要求限定和覆盖的多种不同方式实施。
实施例1
本实施例公开一种基于FPGA的主机安全防护物理卡。
如图1和图2所示,本实施例安全防护物理卡包括FPGA芯片及其连接的数字信号处理器及存储器(包括内存和缓存),以及还包括:与被防护主机进行通信的通信接口(如图1所示的PCI接口或图2所示的PCIE接口)。
本实施例中,在FPGA芯片的可配置逻辑模块中分别设置虚拟的身份认证单元、数据加密单元、入侵检测单元、防火墙单元、陷阱单元以及规则策略单元。其中,规则策略单元与身份认证单元、数据加密单元、入侵检测单元、防火墙单元、陷阱单元以及规则策略单元建立逻辑关联以根据本地固有的以及被防护主机上层应用所制定的各类规格策略进行联动。各单元的功能分述如下:
身份认证单元,主要用于对访问被防护主机的合法用户及非法用户进行身份识别并阻止非法用户进行操作。
数据加密单元,主要用于对被防护主机关键进程的数据传输进行加密。
入侵检测单元,主要用于从被防护主机的进程中检测入侵行为,并在发现入侵行为后,记录引发报警的规则,并对规则进行格式转换后传送至规则策略单元以供防火墙单元进行加载并执行。其中,可选地,将入侵检测的规则格式转换为防火墙单元可以执行的规则,还可通过主机的软/硬件交互界面进行辅助处理,进一步的,用户可以通过主机相关应用层的交互界面修改规则和配置,实现了对主机更好的保护。
可选地,本实施例入侵检测单元可采用开源Snort入侵检测系统,在此基础上进行修改使之完成对数据包进行预处理,完成规则分析和特征检测功能。
防火墙单元,主要用于从规则策略单元获取各类规则策略以阻止对被防护主机的入侵行为。例如:根据数据包的头部信息完成最基本的静态过滤,阻断访问服务器未开放服务的数据包。
陷阱单元,用于在被防护主机的进程受干扰后,通过软件陷阱技术恢复被防护主机的正常进程。
优选地,本实施例安全防护物理卡上还集成有指示灯和声光报警装置以方便用户使用及维护并及时发现相关告警。
实施例2
与上述安全防护物理卡相对应的,本实施例公开一种基于FPGA的主机安全防护物理卡的数据处理方法,主要包括:
物理卡监听被防护主机的进程,以及调用在FPGA芯片可配置逻辑模块中所设置的身份认证单元、数据加密单元、入侵检测单元、防火墙单元以及陷阱单元以根据规则策略单元固有的以及被防护主机上层应用所制定的各类规格策略进行安全防护联动。
具体的,本实施例的安全防护联动包括下述几方面:
a、身份认证单元对访问被防护主机的合法用户及非法用户进行身份识别并阻止非法用户进行操作;
b、数据加密单元对被防护主机关键进程的数据传输进行加密;
c、入侵检测单元从被防护主机的进程中检测入侵行为,并在发现入侵行为后,记录引发报警的规则,并对规则进行格式转换后传送至规则策略单元以供防火墙单元进行加载并执行;
d、防火墙单元从规则策略单元获取各类规则策略以阻止对被防护主机的入侵行为;以及
e、陷阱单元在被防护主机的进程受干扰后,通过软件陷阱技术恢复被防护主机的正常进程。
综上,本发明上述各实施例公开的基于FPGA的主机安全防护物理卡及其数据处理方法,具有以下有益效果:
基于FPGA的可配置逻辑资源虚拟了对主机进行多重保护的功能单元,且各功能单元之间进行合理的分工及联动,精简成本、缩短开发时间的同时,还确保了主机的安全性。而且,基于FPGA便捷的在线更新,使得产品的维护方便且可实现对主机的定制化保护。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种基于FPGA的主机安全防护物理卡,包括FPGA芯片及其连接的数字信号处理器及存储器,其特征在于,还包括:
与被防护主机进行通信的通信接口;以及
在FPGA芯片的可配置逻辑模块中分别设置虚拟的身份认证单元、数据加密单元、入侵检测单元、防火墙单元、陷阱单元以及规则策略单元;
所述规则策略单元与所述身份认证单元、数据加密单元、入侵检测单元、防火墙单元、陷阱单元以及规则策略单元建立逻辑关联以根据本地固有的以及被防护主机上层应用所制定的各类规格策略进行联动;
所述身份认证单元,主要用于对访问被防护主机的合法用户及非法用户进行身份识别并阻止非法用户进行操作;
所述数据加密单元,主要用于对被防护主机关键进程的数据传输进行加密;
所述入侵检测单元,主要用于从被防护主机的进程中检测入侵行为,并在发现入侵行为后,记录引发报警的规则,并对规则进行格式转换后传送至所述规则策略单元以供所述防火墙单元进行加载并执行;
所述防火墙单元,主要用于从所述规则策略单元获取各类规则策略以阻止对被防护主机的入侵行为;
所述陷阱单元,用于在被防护主机的进程受干扰后,通过软件陷阱技术恢复被防护主机的正常进程。
2.根据权利要求1所述的基于FPGA的主机安全防护物理卡,其特征在于,所述通信接口为PCI接口或PCIE接口。
3.根据权利要求1或2所述的基于FPGA的主机安全防护物理卡,其特征在于,所述安全防护物理卡上还集成有指示灯和声光报警装置。
4.一种应用于如权利要求1至3任一所述基于FPGA的主机安全防护物理卡的数据处理方法,其特征在于,包括:
所述物理卡监听被防护主机的进程,以及调用在FPGA芯片可配置逻辑模块中所设置的身份认证单元、数据加密单元、入侵检测单元、防火墙单元以及陷阱单元以根据规则策略单元固有的以及被防护主机上层应用所制定的各类规格策略进行安全防护联动;具体包括:
所述身份认证单元对访问被防护主机的合法用户及非法用户进行身份识别并阻止非法用户进行操作;
所述数据加密单元对被防护主机关键进程的数据传输进行加密;
所述入侵检测单元从被防护主机的进程中检测入侵行为,并在发现入侵行为后,记录引发报警的规则,并对规则进行格式转换后传送至所述规则策略单元以供所述防火墙单元进行加载并执行;
所述防火墙单元从所述规则策略单元获取各类规则策略以阻止对被防护主机的入侵行为;以及
所述陷阱单元在被防护主机的进程受干扰后,通过软件陷阱技术恢复被防护主机的正常进程。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711461877.0A CN108183901B (zh) | 2017-12-28 | 2017-12-28 | 基于fpga的主机安全防护物理卡及其数据处理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711461877.0A CN108183901B (zh) | 2017-12-28 | 2017-12-28 | 基于fpga的主机安全防护物理卡及其数据处理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108183901A true CN108183901A (zh) | 2018-06-19 |
CN108183901B CN108183901B (zh) | 2021-03-16 |
Family
ID=62548451
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711461877.0A Active CN108183901B (zh) | 2017-12-28 | 2017-12-28 | 基于fpga的主机安全防护物理卡及其数据处理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108183901B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110071929A (zh) * | 2019-04-28 | 2019-07-30 | 江苏极元信息技术有限公司 | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 |
CN110719267A (zh) * | 2019-09-25 | 2020-01-21 | 山东三未信安信息科技有限公司 | 一种服务器板卡及其数据处理方法 |
CN110891063A (zh) * | 2019-11-30 | 2020-03-17 | 信联科技(南京)有限公司 | 一种基于安全智能控制器的安全工业控制系统 |
CN113014385A (zh) * | 2021-03-25 | 2021-06-22 | 黑龙江大学 | 一种双网口硬件网络数据加密系统及方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102438026A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 工业控制网络安全防护方法及系统 |
US9009809B2 (en) * | 2010-01-26 | 2015-04-14 | Frampton E. Ellis | Computer or microchip with a secure system BIOS and a secure control bus connecting a central controller to many network-connected microprocessors and volatile RAM |
CN106296045A (zh) * | 2016-10-14 | 2017-01-04 | 国网江苏省电力公司电力科学研究院 | 一种电网异物激光清除设备安全管理控制装置及方法 |
CN106503524A (zh) * | 2016-10-31 | 2017-03-15 | 辽东学院 | 一种计算机网络安全防护系统 |
CN106850593A (zh) * | 2017-01-14 | 2017-06-13 | 河南工程学院 | 一种计算机网络安全防护系统 |
CN107134110A (zh) * | 2017-06-02 | 2017-09-05 | 安庆师范大学 | 基于物联网技术的安全防护与早教系统及方法 |
-
2017
- 2017-12-28 CN CN201711461877.0A patent/CN108183901B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9009809B2 (en) * | 2010-01-26 | 2015-04-14 | Frampton E. Ellis | Computer or microchip with a secure system BIOS and a secure control bus connecting a central controller to many network-connected microprocessors and volatile RAM |
CN102438026A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 工业控制网络安全防护方法及系统 |
CN106296045A (zh) * | 2016-10-14 | 2017-01-04 | 国网江苏省电力公司电力科学研究院 | 一种电网异物激光清除设备安全管理控制装置及方法 |
CN106503524A (zh) * | 2016-10-31 | 2017-03-15 | 辽东学院 | 一种计算机网络安全防护系统 |
CN106850593A (zh) * | 2017-01-14 | 2017-06-13 | 河南工程学院 | 一种计算机网络安全防护系统 |
CN107134110A (zh) * | 2017-06-02 | 2017-09-05 | 安庆师范大学 | 基于物联网技术的安全防护与早教系统及方法 |
Non-Patent Citations (1)
Title |
---|
孙建国 等: ""安全通信系统的FPGA 实现"", 《电子产品世界》 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110071929A (zh) * | 2019-04-28 | 2019-07-30 | 江苏极元信息技术有限公司 | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 |
CN110071929B (zh) * | 2019-04-28 | 2021-03-16 | 江苏极元信息技术有限公司 | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 |
CN110719267A (zh) * | 2019-09-25 | 2020-01-21 | 山东三未信安信息科技有限公司 | 一种服务器板卡及其数据处理方法 |
CN110891063A (zh) * | 2019-11-30 | 2020-03-17 | 信联科技(南京)有限公司 | 一种基于安全智能控制器的安全工业控制系统 |
CN110891063B (zh) * | 2019-11-30 | 2022-04-29 | 信联科技(南京)有限公司 | 一种基于安全智能控制器的安全工业控制系统 |
CN113014385A (zh) * | 2021-03-25 | 2021-06-22 | 黑龙江大学 | 一种双网口硬件网络数据加密系统及方法 |
CN113014385B (zh) * | 2021-03-25 | 2023-09-01 | 黑龙江大学 | 一种双网口硬件网络数据加密系统 |
Also Published As
Publication number | Publication date |
---|---|
CN108183901B (zh) | 2021-03-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Chigada et al. | Cyberattacks and threats during COVID-19: A systematic literature review | |
Cheng et al. | Enterprise data breach: causes, challenges, prevention, and future directions | |
KR101737726B1 (ko) | 네트워크 트래픽에서의 불일치들을 검출하기 위한 하드웨어 자원들의 사용에 의한 루트킷 검출 | |
CN104023034B (zh) | 一种基于软件定义网络的安全防御系统及防御方法 | |
CN109155774B (zh) | 用于检测安全威胁的系统和方法 | |
US20160099960A1 (en) | System and method for scanning hosts using an autonomous, self-destructing payload | |
US20060101128A1 (en) | System for preventing keystroke logging software from accessing or identifying keystrokes | |
CN107851155A (zh) | 用于跨越多个软件实体跟踪恶意行为的系统及方法 | |
CN108183901A (zh) | 基于fpga的主机安全防护物理卡及其数据处理方法 | |
CN105359156B (zh) | 非法访问检测系统和非法访问检测方法 | |
CN103493061A (zh) | 用于应对恶意软件的方法和装置 | |
US10496836B2 (en) | Preventing ransomware from encrypting data elements | |
CN108369542A (zh) | 用于检测横向运动和数据泄漏的系统和方法 | |
JP2023550974A (ja) | イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム | |
US20240045954A1 (en) | Analysis of historical network traffic to identify network vulnerabilities | |
JP2008287706A (ja) | 情報セキュリティ装置、セキュリティシステム及び入力情報漏洩防止方法 | |
CN106663176A (zh) | 检测装置、检测方法以及检测程序 | |
US8978150B1 (en) | Data recovery service with automated identification and response to compromised user credentials | |
Kamil et al. | The rise of ransomware: A review of attacks, detection techniques, and future challenges | |
CN106778257A (zh) | 一种虚拟机防逃逸装置 | |
CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
CN112613000A (zh) | 一种敏感信息保护方法、装置、电子设备及可读存储介质 | |
BA et al. | Cyber security threats in the era of COVID-19 pandemic: a case study of Nigeria system | |
DeMara et al. | Mitigation of network tampering using dynamic dispatch of mobile agents | |
Wolf | Ransomware detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |