CN115567260A - 一种基于fpga的网络安全探测处理方法 - Google Patents

一种基于fpga的网络安全探测处理方法 Download PDF

Info

Publication number
CN115567260A
CN115567260A CN202211138598.1A CN202211138598A CN115567260A CN 115567260 A CN115567260 A CN 115567260A CN 202211138598 A CN202211138598 A CN 202211138598A CN 115567260 A CN115567260 A CN 115567260A
Authority
CN
China
Prior art keywords
detection
message
register
network
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211138598.1A
Other languages
English (en)
Inventor
赵永杰
陈俊来
孙光来
于洪涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Zuojiang Technology Co ltd
Original Assignee
Beijing Zuojiang Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Zuojiang Technology Co ltd filed Critical Beijing Zuojiang Technology Co ltd
Priority to CN202211138598.1A priority Critical patent/CN115567260A/zh
Publication of CN115567260A publication Critical patent/CN115567260A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于FPGA的网络安全探测处理方法,属于网络通信领域。本发明包括软件架构和逻辑架构,软件架构负责网络安全探测功能的控制,包括探测应答控制、探测发起、探测状态查询等,逻辑架构负责网络安全探测功能的实现,包括探测报文的产生、发送、接收、检查、应答。本发明提供的基于FPGA的网络安全探测处理方法可用于网络安全设备中,在设备组网过程中,打开网络探测功能,在保证网络探测安全性的基础上,可有效提高组网效率;在后期网络安全设备运行过程中,关闭网络探测功能,可进一步提升网络的安全性,降低安全设备被发现、攻击的风险系数。

Description

一种基于FPGA的网络安全探测处理方法
技术领域
本发明属于网络通信领域,具体涉及一种基于FPGA的网络安全探测处理方法。
背景技术
网络安全探测处理方法一般使用防火墙和软件协议栈实现,防火墙负责网络报文的安全过滤,协议栈负责网络报文的数据处理。
传统的网络安全探测处理方法可以通过配置防火墙实现网络报文的安全过滤,通过协议栈实现数据的接收、处理。此方法通过CPU实现,提高了CPU的占用率,且软件协议栈处理数据具有很多不确定性,探测报文速率高时,将大幅度提高CPU的占用率。一旦软件协议栈漏洞被利用,遭到攻击,被攻陷,将对系统安全产生不可估量的后果。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是如何提供一种基于FPGA的网络安全探测处理方法,以解决传统的网络安全探测处理方法将大幅度提高CPU的占用率。一旦软件协议栈漏洞被利用,遭到攻击,被攻陷,将对系统安全产生不可估量的后果的问题。
(二)技术方案
为了解决上述技术问题,本发明提出一种基于FPGA的网络安全探测处理方法,该方法包括如下步骤:
S101:软件架构的网络探测应用程序启动主动探测功能;
S102:软件架构的网络探测应用程序通过写寄存器方式,配置主动安全探测的本机IP地址、本机MAC地址和目的主机的IP地址,此数据将用于逻辑架构中填充安全探测请求报文;
S103:软件架构的网络探测应用程序通过写寄存器方式,配置检测主动安全探测的应答报文使能,使能后逻辑架构将对输入的报文进行检测;
S104:软件架构的网络探测应用程序通过读寄存器方式获取主动探测应答计数寄存器中的主动探测应答报文计数;
S105:软件架构的网络探测应用程序通过写寄存器方式,配置主动探测请求报文发送使能,产生一个安全探测请求报文;
S106:逻辑架构的报文产生与检测模块根据配置信息产生安全探测请求报文,其中本机IP地址、本机MAC地址和目的主机的IP地址来自于步骤S102的配置,id和序列号由逻辑架构随机产生;
S107:逻辑架构的报文产生与检测模块完成安全探测请求报文的发送后,进入接收报文状态,等待其相应的应答报文;
S108:逻辑架构的报文产生与检测模块在接收到报文后,对接收的报文进行解析,解析结果包括报文类型、产生源IP地址、目的IP地址、目的MAC地址、ID信息和序列号信息;
S109:逻辑架构的报文产生与检测模块对解析结果的报文类型、源IP地址、目的IP地址、目的MAC地址、ID信息和序列号进行匹配;
S110:如果匹配结果一致,则主动探测应答报文计数+1,逻辑上完成一次主动探测的全流程;
S111:软件架构的网络探测应用程序在软件延迟一段实现后,通过读寄存器方式,获取主动探测应答报文计数;
S112:软件架构的网络探测应用程序,如果步骤S111获取计数值比步骤S104获取值增长,则安全探测成功;如果无增长,则跳转到步骤S104重新获取计数值;如果多次获取直至超时,数值均无变化,则表示安全探测未成功;
S113:主动探测完成。
进一步地,软件架构和逻辑架构通过MBUS总线连接,软件架构包括网络探测应用程序和寄存器配置模块,网络探测应用程序用于根据用户的需求通过操作寄存器发起主动探测或者被动探测,寄存器配置模块用于将应用程序的寄存器操作转换为MBUS总线帧;逻辑架构包括寄存器读写模块、报文产生与检测模块和网口模块,寄存器读写模块用于根据MBUS总线帧完成寄存器读写的访问,报文产生与检测模块用于根据上位机控制产生安全探测请求报文、检测安全探测请求的应答报文、或者检测接收到的来自其他设备的安全探测请求报文、根据探测请求信息产生应答报文,网口模块用于链路层网络数据包的接收与发送。
进一步地,网络探测应用程序的主动探测过程包括:通过写寄存器操作方式设置目的主机IP地址,设置本机MAC地址,设置本机IP地址;查询逻辑架构中报文产生与检测模块的主动探测应答计数寄存器,并记录当前值,该值记做主动探测前应答报文计数值;通过主动探测请求发送使能寄存器设置主动探测使能,每设置一次,逻辑架构中报文产生与检测模块产生一个探测报文;程序空闲10ms---1s;查询逻辑架构中报文产生与检测模块的主动探测应答计数寄存器,记录当前值为主动探测后应答报文计数值,计算主动探测后应答报文计数值和主动探测前应答报文计数值的差,差值为1表示已探测完成,目的主机已应答,差值为0表示目标主机未应答。
进一步地,寄存器读写模块包括数据解析单元、数据封装单元和寄存器读写单元,其中,数据解析单元完成MBUS总线接口到本地LOCALBUS接口转换;数据封装单元完成LOCALBUS接口到MBUS总线接口的接口转换;寄存器读写单元完成寄存器读写的访问,通过写寄存器的方式配置发送报文的目的IP地址、本机IP地址、本机MAC地址,并通过读状态寄存器,实时监控逻辑运行状态。
进一步地,报文产生与检测模块根据上位机控制产生安全探测请求报文包括:根据上位机控制产生安全探测请求报文,根据上位机配置的目的IP地址、本机IP地址、本机MAC地址、以及逻辑架构内部随机产生的id和序列号信息产生ICMP请求报文,主动探测请求报文计数此时加1;报文产生与检测模块检测安全探测请求的应答报文包括:检测接收到的安全探测应答报文,对应答报文进行解析,产生源IP地址、目的IP地址、目的MAC地址、ID信息和序列号信息,将此信息与安全探测请求报文的同类信息进行匹配,完全匹配则认定应答报文有效,表明收到一个安全探测请求的应答报文,主动探测应答报文计数此时加1;如果不完全匹配,则认为此应答报文无效,检测结束。
一种基于FPGA的网络安全探测处理方法,该方法包括如下步骤:
S201:软件架构的网络探测应用程序启动被动探测功能;
S202:软件架构的网络探测应用程序配置本机IP地址、配置本机MAC地址;
S203:软件架构的网络探测应用程序通过读寄存器方式获取被动探测请求报文计数、获取被动探测应答报文计数;
S204:软件架构的网络探测应用程序通过写寄存器方式,配置检测安全请求报文使能、以及产生安全请求的应答报文使能,此时逻辑架构将实现报文解析、匹配及自动应答网络安全探测请求报文;
S205:逻辑架构的报文产生与检测模块等待接收报文;
S206:逻辑架构的报文产生与检测模块对接收报文进行解析,解析结果包括报文类型、产生源IP地址、目的IP地址、目的MAC地址、ID信息和序列号信息;
S207:逻辑架构的报文产生与检测模块对解析结果进行匹配,包括解析结果的报文类型、源IP地址、目的IP地址、目的MAC地址信息进行匹配;
S208:如果解析结果匹配,则被动探测请求报文计数+1,跳转到步骤S209;否则跳转到步骤S205;
S209:逻辑架构的报文产生与检测模块产生安全探测应答报文;
S210:逻辑架构的报文产生与检测模块输出安全探测应答报文,被动探测应答报文计数+1,跳转到步骤S205;
S211:软件架构的网络探测应用程序定时或实时获取被动探测请求报文计数、被动探测应答报文计数,或者随时跳转到步骤S213,关闭被动探测功能;
S212:软件架构的网络探测应用程序,根据步骤S211获取的计数值实时了解逻辑安全探测运行状态;
S213:软件架构的网络探测应用程序配置关闭安全探测请求、安全请求的应答报文功能;
S214:被动探测完成。
进一步地,软件架构和逻辑架构通过MBUS总线连接,软件架构包括网络探测应用程序和寄存器配置模块,网络探测应用程序用于根据用户的需求通过操作寄存器发起主动探测或者被动探测,寄存器配置模块用于将应用程序的寄存器操作转换为MBUS总线帧;逻辑架构包括寄存器读写模块、报文产生与检测模块和网口模块,寄存器读写模块用于根据MBUS总线帧完成寄存器读写的访问,报文产生与检测模块用于根据上位机控制产生安全探测请求报文、检测安全探测请求的应答报文、或者检测接收到的来自其他设备的安全探测请求报文、根据探测请求信息产生应答报文,网口模块用于链路层网络数据包的接收与发送。
进一步地,网络探测应用程序的被动探测过程包括:通过写寄存器操作方式设置本机MAC地址,设置本机IP地址;查询逻辑架构中报文产生与检测模块的被动探测应答计数寄存器,并记录当前值,该值记做被动探测前应答报文计数值;设置被动探测使能;程序空闲一段时间;查询逻辑架构中报文产生与检测模块的被动探测应答计数寄存器,记录当前值为被动探测后应答报文计数值,计算被动探测后应答报文计数值和被动探测前应答报文计数值的差,差值为已应答其他主机探测本机的次数。
进一步地,寄存器读写模块包括数据解析单元、数据封装单元和寄存器读写单元,其中,数据解析单元完成MBUS总线接口到本地LOCALBUS接口转换;数据封装单元完成LOCALBUS接口到MBUS总线接口的接口转换;寄存器读写单元完成寄存器读写的访问,通过写寄存器的方式配置发送报文的目的IP地址、本机IP地址、本机MAC地址,并通过读状态寄存器,实时监控逻辑运行状态。
进一步地,报文产生与检测模块检测接收到的来自其他设备的安全探测请求报文、根据探测请求信息产生应答报文包括:检测收到的来自其他设备的安全探测请求报文,对请求报文进行解析,产生源IP地址、目的IP地址、目的MAC地址、ID信息和序列号信息,将目的IP地址、目的MAC地址与本地配置的IP地址、MAC地址进行匹配,完全匹配表明收到一个安全探测请求报文,则根据请求报文解析出的信息封装安全探测请求报文的应答报文并输出,被动探测应答报文计数此时加1;如果不完全匹配,则认为此请求报文无效,结束。
(三)有益效果
本发明提出一种基于FPGA的网络安全探测处理方法,本发明的方法可保证网络探测的安全性。开启探测功能后,逻辑仅对本机的请求报文进行应答(应答数据除了部分来自于请求报文中,其它均填充为固定值),其它报文一律丢弃。
本发明的方法被动探测时,此功能最低可将CPU占用率降至0%。
本发明的方法可保证CPU不会因为任何探测而遭受攻击。
本发明的方法由逻辑实现,在安全基础上,保证了其实时性、高效性。
本发明的方法由上位机软件和逻辑联合实现,可实现绝对静默。
本发明提供的基于FPGA的网络安全探测处理方法。可用于网络安全设备中,在设备组网过程中,打开网络探测功能,在保证网络探测安全性的基础上,可有效提高组网效率;在后期网络安全设备运行过程中,关闭网络探测功能,可进一步提升网络的安全性,降低安全设备被发现、攻击的风险系数。
附图说明
图1为本发明基于FPGA的网络安全探测处理方法整体方案架构;
图2为本发明基于FPGA的网络安全探测处理方法主动探测流程;
图3为本发明基于FPGA的网络安全探测处理方法被动探测流程;
图4为软件架构发往逻辑架构的数据包格式。
具体实施方式
为使本发明的目的、内容和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
基于FPGA的网络安全探测处理方法,主要目的是发明一种适用于FPGA的网络安全探测处理方法,此方法具备安全性强,响应速度快,性能高,降低CPU占用率等特点。
基于FPGA的网络安全探测处理方法整体方案架构如图1所示,包括软件(Software)技术架构部分和逻辑(FPGA)技术架构部分,软件架构和逻辑架构通过MBUS总线连接。在某个实施例中,软件架构在CPU中实现,逻辑架构在FPGA中实现。
软件(Software)技术架构部分主要负责网络安全探测功能的控制,包括探测应答控制、探测发起、探测状态查询等。
逻辑(FPGA)技术架构部分主要负责网络安全探测功能的实现,包括探测报文的产生、发送、接收、检查、应答等。
在本发明实现中,设计了多个寄存器,寄存器列表详见表1。
表1寄存器定义
Figure BDA0003852433260000071
软件架构包括网络探测应用程序和寄存器配置模块;
网络探测应用程序主要负责根据用户的需求通过操作寄存器发起主动探测或者被动探测。
主动探测:1.通过写寄存器操作方式设置目的主机IP地址,设置本机MAC地址,设置本机IP地址(寄存器列表详见表1);2.查询逻辑架构中报文产生与检测模块的主动探测应答计数寄存器,并记录当前值,该值记做主动探测前应答报文计数值;3.通过主动探测请求发送使能寄存器设置主动探测使能,每设置一次,逻辑架构中报文产生与检测模块产生一个探测报文;4.程序空闲10ms---1s;5.查询逻辑架构中报文产生与检测模块的主动探测应答计数寄存器,记录当前值为主动探测后应答报文计数值,计算主动探测后应答报文计数值和主动探测前应答报文计数值的差,差值为1表示已探测完成,目的主机已应答,差值为0表示目标主机未应答。
被动探测:1.通过写寄存器操作方式设置本机MAC地址,设置本机IP地址;2.查询逻辑架构中报文产生与检测模块的被动探测应答计数寄存器,并记录当前值,该值记做被动探测前应答报文计数值;3.设置被动探测使能;4.程序空闲一段时间;5.查询逻辑架构中报文产生与检测模块的被动探测应答计数寄存器,记录当前值为被动探测后应答报文计数值,计算被动探测后应答报文计数值和被动探测前应答报文计数值的差,差值为已应答其他主机探测本机的次数。
软件架构中寄存器配置模块主要负责将应用程序的寄存器操作转换为实际的MBUS总线帧,MBUS总线接口物理上采用12个引脚,双向全双工,分别包括4个数据引脚、1个时钟引脚、一个数据有效引脚。MBUS总线传输自定义的帧格式,帧格式包括帧头、地址、数据、帧尾等字段,格式见图4。
逻辑架构包括寄存器读写模块、报文产生与检测模块和网口模块;
寄存器读写模块包括数据解析单元、数据封装单元和寄存器读写单元,用于根据MBUS总线帧完成寄存器读写的访问。其中,数据解析单元完成MBUS总线接口到本地LOCALBUS接口转换(将串行数据帧转化为寄存器读写时序);数据封装单元完成LOCALBUS接口到MBUS总线接口的接口转换(将寄存器读写操作时序转化为串行数据帧);寄存器读写单元完成寄存器读写的访问,通过写寄存器的方式配置发送报文的目的IP地址、本机IP地址、本机MAC地址等关键信息,并可通过读控制状态寄存器(包括主动探测应答计数寄存器、被动探测应答计数寄存器),实时监控逻辑运行状态。
逻辑架构中的报文产生与检测模块主要功能包括3部分:1.根据上位机控制产生安全探测请求报文;2.检测安全探测请求的应答报文;3.检测接收到的来自其他设备的安全探测请求报文、根据探测请求信息产生应答报文。
A.根据上位机控制产生安全探测请求报文:根据上位机配置的目的IP地址(通过目的IP地址可查表获取目的MAC地址)、本机IP地址、本机MAC地址、以及逻辑架构内部随机产生的id和序列号等信息产生ICMP请求报文,主动探测请求报文计数此时加1;
B.检测安全探测请求的应答报文:检测接收到的安全探测应答报文,对应答报文进行解析,产生源IP地址、目的IP地址、目的MAC地址、ID信息和序列号信息,将此信息与安全探测请求报文的同类信息进行匹配,完全匹配则认定应答报文有效,表明收到一个安全探测请求的应答报文,主动探测应答报文计数此时加1;如果不完全匹配,则认为此应答报文无效,检测结束;
C.检测安全探测请求报文、产生安全探测请求报文的应答报文:检测收到的来自其他设备的安全探测请求报文,对请求报文进行解析,产生源IP地址、目的IP地址、目的MAC地址、ID信息和序列号信息,将目的IP地址(接收报文的目的IP地址、目的MAC地址分别对应本机IP地址和MAC地址)、目的MAC地址与本地配置的IP地址、MAC地址进行匹配,完全匹配表明收到一个安全探测请求报文,则根据请求报文解析出的信息封装安全探测请求报文的应答报文(ICMP应答报文)并输出,被动探测应答报文计数此时加1;如果不完全匹配,则认为此请求报文无效,结束;
逻辑架构中的网口模块主要负责链路层网络数据包的接收与发送。数据包上行方向(数据包从逻辑架构到软件架构),网口模块需要实现链路层数据包的帧同步检测、帧间隔检验,和FCS校验等功能;数据包下行方向(数据包从软件架构到逻辑架构),网口模块需要实现链路层网络数据包的FCS计算、数据包帧头(同步头)、帧尾(FCS)的添加、帧间隙的控制等。
基于FPGA的网络安全探测处理方法分为主动探测和被动探测两部分,工作流程分别如图3和图4所示。
主动探测流程包括如下步骤:
S101:软件架构的网络探测应用程序启动主动探测功能;
S102:软件架构的网络探测应用程序通过写寄存器方式,配置主动安全探测的本机IP地址、本机MAC地址和目的主机的IP地址,此数据将用于逻辑架构中填充安全探测请求报文;
S103:软件架构的网络探测应用程序通过写寄存器方式,配置检测主动安全探测的应答报文使能,使能后逻辑架构将对输入的报文进行检测;(通过主动探测应答使能寄存器使能应答报文的检测)
S104:软件架构的网络探测应用程序通过读寄存器方式获取主动探测应答计数寄存器中的主动探测应答报文计数;
S105:软件架构的网络探测应用程序通过写寄存器方式,配置主动探测请求报文发送使能,产生一个安全探测请求报文;(通过主动探测请求发送使能寄存器使能请求报文的发送);
S106:逻辑架构的报文产生与检测模块根据配置信息产生安全探测请求报文,其中本机IP地址、本机MAC地址和目的主机的IP地址来自于步骤S102的配置,id和序列号由逻辑架构随机产生;
S107:逻辑架构的报文产生与检测模块完成安全探测请求报文的发送后,进入接收报文状态,等待其相应的应答报文(安全探测请求报文发送和等待应答报文逻辑上独立实现,可同时工作);
S108:逻辑架构的报文产生与检测模块在接收到报文后,对接收的报文进行解析,解析结果包括报文类型、产生源IP地址、目的IP地址、目的MAC地址、ID信息和序列号信息。
S109:逻辑架构的报文产生与检测模块对解析结果的报文类型(需为应答报)、源IP地址、目的IP地址、目的MAC地址、ID信息和序列号等信息进行匹配。
S110:如果匹配结果一致,则主动探测应答报文计数+1,逻辑上完成一次主动探测的全流程。
S111:软件架构的网络探测应用程序在软件延迟一段实现后,通过读寄存器方式,获取主动探测应答报文计数。
S112:软件架构的网络探测应用程序,如果步骤S111获取计数值比步骤S104获取值增长,则安全探测成功。如果无增长,则跳转到步骤S104重新获取计数值;如果多次获取直至超时,数值均无变化,则表示安全探测未成功(目的无应答);
S113:主动探测完成。
被动探测包括如下步骤:
S201:软件架构的网络探测应用程序启动被动探测功能;
S202:软件架构的网络探测应用程序配置本机IP地址、配置本机MAC地址(接收报文,此数据将用于逻辑架构对接收报文进行匹配使用;发送报文,用于填充相应字段);
S203:软件架构的网络探测应用程序通过读寄存器方式获取被动探测请求报文计数、获取被动探测应答报文计数;(通过读被动探测请求计数寄存器和被动探测应答计数寄存器获得相关计数);
S204:软件架构的网络探测应用程序通过写寄存器方式,配置检测安全请求报文使能、以及产生安全请求的应答报文使能,此时逻辑架构将可以实现报文解析、匹配及自动应答网络安全探测请求报文;(通过被动探测检测请文使能寄存器使能安全请求报文检测,通过被动探测应答使能寄存器使能产生安全请求的应答报文);
S205:逻辑架构的报文产生与检测模块等待接收报文;
S206:逻辑架构的报文产生与检测模块对接收报文进行解析,解析结果包括报文类型、产生源IP地址、目的IP地址、目的MAC地址、ID信息和序列号信息;
S207:逻辑架构的报文产生与检测模块对解析结果进行匹配,包括解析结果的报文类型(需为请求报)、源IP地址、目的IP地址、目的MAC地址等信息进行匹配;
S208:如果解析结果匹配,则被动探测请求报文计数+1,跳转到步骤S209;否则跳转到步骤S205;
S209:逻辑架构的报文产生与检测模块产生安全探测应答报文(报文信息来源于步骤S206的解析结果);
S210:逻辑架构的报文产生与检测模块输出安全探测应答报文,被动探测应答报文计数+1,跳转到步骤S205;
S211:软件架构的网络探测应用程序定时或实时获取被动探测请求报文计数、被动探测应答报文计数,或者随时跳转到步骤S213,关闭被动探测功能;
S212:软件架构的网络探测应用程序,根据步骤S211获取的计数值实时了解逻辑安全探测运行状态;
S213:软件架构的网络探测应用程序配置关闭安全探测请求、安全请求的应答报文功能;
S214:被动探测完成。
本发明的方法可保证网络探测的安全性。开启探测功能后,逻辑仅对本机的请求报文进行应答(应答数据除了部分来自于请求报文中,其它均填充为固定值),其它报文一律丢弃。
本发明的方法被动探测时,此功能最低可将CPU占用率降至0%。
本发明的方法可保证CPU不会因为任何探测而遭受攻击。
本发明的方法由逻辑实现,在安全基础上,保证了其实时性、高效性。
本发明的方法由上位机软件和逻辑联合实现,可实现绝对静默。
本发明提供的基于FPGA的网络安全探测处理方法。可用于网络安全设备中,在设备组网过程中,打开网络探测功能,在保证网络探测安全性的基础上,可有效提高组网效率;在后期网络安全设备运行过程中,关闭网络探测功能,可进一步提升网络的安全性,降低安全设备被发现、攻击的风险系数。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。

Claims (10)

1.一种基于FPGA的网络安全探测处理方法,其特征在于,软件架构和逻辑架构通过MBUS总线连接,该方法包括如下步骤:
S101:软件架构的网络探测应用程序启动主动探测功能;
S102:软件架构的网络探测应用程序通过写寄存器方式,配置主动安全探测的本机IP地址、本机MAC地址和目的主机的IP地址,这些配置地址将用于逻辑架构中填充安全探测请求报文;
S103:软件架构的网络探测应用程序通过写寄存器方式,配置检测主动安全探测的应答报文使能,使能后逻辑架构将对输入的报文进行检测;
S104:软件架构的网络探测应用程序通过读寄存器方式获取主动探测应答计数寄存器中的主动探测应答报文计数;
S105:软件架构的网络探测应用程序通过写寄存器方式,配置主动探测请求报文发送使能,产生一个安全探测请求报文;
S106:逻辑架构的报文产生与检测模块根据配置信息产生安全探测请求报文,其中本机IP地址、本机MAC地址和目的主机的IP地址来自于步骤S102的配置,ID和序列号由逻辑架构随机产生;
S107:逻辑架构的报文产生与检测模块完成安全探测请求报文的发送后,进入接收报文状态,等待其相应的应答报文;
S108:逻辑架构的报文产生与检测模块在接收到报文后,对接收的报文进行解析,解析结果包括报文类型、产生源IP地址、目的IP地址、目的MAC地址、ID和序列号信息;
S109:逻辑架构的报文产生与检测模块对解析结果的报文类型、源IP地址、目的IP地址、目的MAC地址、ID和序列号进行匹配;
S110:如果匹配结果一致,则主动探测应答报文计数+1,逻辑上完成一次主动探测的全流程;
S111:软件架构的网络探测应用程序在软件延迟一段实现后,通过读寄存器方式,获取主动探测应答报文计数;
S112:软件架构的网络探测应用程序,如果步骤S111获取计数值比步骤S104获取值增长,则安全探测成功;如果无增长,则跳转到步骤S104重新获取计数值;如果多次获取直至超时,数值均无变化,则表示安全探测未成功;
S113:主动探测完成。
2.如权利要求1所述的基于FPGA的网络安全探测处理方法,其特征在于,软件架构包括网络探测应用程序和寄存器配置模块,网络探测应用程序用于根据用户的需求通过操作寄存器发起主动探测或者被动探测,寄存器配置模块用于将应用程序的寄存器操作转换为MBUS总线帧;逻辑架构包括寄存器读写模块、报文产生与检测模块和网口模块,寄存器读写模块用于根据MBUS总线帧完成寄存器读写的访问,报文产生与检测模块用于根据上位机控制产生安全探测请求报文、检测安全探测请求的应答报文、或者检测接收到的来自其他设备的安全探测请求报文、根据探测请求信息产生应答报文,网口模块用于链路层网络数据包的接收与发送。
3.如权利要求2所述的基于FPGA的网络安全探测处理方法,其特征在于,网络探测应用程序的主动探测过程包括:通过写寄存器操作方式设置目的主机IP地址,设置本机MAC地址,设置本机IP地址;查询逻辑架构中报文产生与检测模块的主动探测应答计数寄存器,并记录当前值,该值记做主动探测前应答报文计数值;通过主动探测请求发送使能寄存器设置主动探测使能,每设置一次,逻辑架构中报文产生与检测模块产生一个探测报文;程序空闲一段时间;查询逻辑架构中报文产生与检测模块的主动探测应答计数寄存器,记录当前值为主动探测后应答报文计数值,计算主动探测后应答报文计数值和主动探测前应答报文计数值的差,差值为1表示已探测完成,目的主机已应答,差值为0表示目标主机未应答。
4.如权利要求2所述的基于FPGA的网络安全探测处理方法,其特征在于,寄存器读写模块包括数据解析单元、数据封装单元和寄存器读写单元,其中,数据解析单元完成MBUS总线接口到本地LOCALBUS接口转换;数据封装单元完成LOCALBUS接口到MBUS总线接口的接口转换;寄存器读写单元完成寄存器读写的访问,通过写寄存器的方式配置发送报文的目的IP地址、本机IP地址、本机MAC地址,并通过读状态寄存器,实时监控逻辑运行状态。
5.如权利要求2所述的基于FPGA的网络安全探测处理方法,其特征在于,报文产生与检测模块根据上位机控制产生安全探测请求报文包括:根据上位机控制产生安全探测请求报文,根据上位机配置的目的IP地址、本机IP地址、本机MAC地址、以及逻辑架构内部随机产生的id和序列号信息产生ICMP请求报文,主动探测请求报文计数此时加1;报文产生与检测模块检测安全探测请求的应答报文包括:检测接收到的安全探测应答报文,对应答报文进行解析,产生源IP地址、目的IP地址、目的MAC地址、ID信息和序列号信息,将此信息与安全探测请求报文的同类信息进行匹配,完全匹配则认定应答报文有效,表明收到一个安全探测请求的应答报文,主动探测应答报文计数此时加1;如果不完全匹配,则认为此应答报文无效,检测结束。
6.一种基于FPGA的网络安全探测处理方法,其特征在于,该方法包括如下步骤:
S201:软件架构的网络探测应用程序启动被动探测功能;
S202:软件架构的网络探测应用程序配置本机IP地址、配置本机MAC地址;
S203:软件架构的网络探测应用程序通过读寄存器方式获取被动探测请求报文计数、获取被动探测应答报文计数;
S204:软件架构的网络探测应用程序通过写寄存器方式,配置检测安全请求报文使能、以及产生安全请求的应答报文使能,此时逻辑架构将实现报文解析、匹配及自动应答网络安全探测请求报文;
S205:逻辑架构的报文产生与检测模块等待接收报文;
S206:逻辑架构的报文产生与检测模块对接收报文进行解析,解析结果包括报文类型、产生源IP地址、目的IP地址、目的MAC地址、ID信息和序列号信息;
S207:逻辑架构的报文产生与检测模块对解析结果进行匹配,包括解析结果的报文类型、源IP地址、目的IP地址、目的MAC地址信息进行匹配;
S208:如果解析结果匹配,则被动探测请求报文计数+1,跳转到步骤S209;否则跳转到步骤S205;
S209:逻辑架构的报文产生与检测模块产生安全探测应答报文;
S210:逻辑架构的报文产生与检测模块输出安全探测应答报文,被动探测应答报文计数+1,跳转到步骤S205;
S211:软件架构的网络探测应用程序定时或实时获取被动探测请求报文计数、被动探测应答报文计数,或者随时跳转到步骤S213,关闭被动探测功能;
S212:软件架构的网络探测应用程序,根据步骤S211获取的计数值实时了解逻辑安全探测运行状态;
S213:软件架构的网络探测应用程序配置关闭安全探测请求、安全请求的应答报文功能;
S214:被动探测完成。
7.如权利要求6所述的基于FPGA的网络安全探测处理方法,其特征在于,软件架构和逻辑架构通过MBUS总线连接,软件架构包括网络探测应用程序和寄存器配置模块,网络探测应用程序用于根据用户的需求通过操作寄存器发起主动探测或者被动探测,寄存器配置模块用于将应用程序的寄存器操作转换为MBUS总线帧;逻辑架构包括寄存器读写模块、报文产生与检测模块和网口模块,寄存器读写模块用于根据MBUS总线帧完成寄存器读写的访问,报文产生与检测模块用于根据上位机控制产生安全探测请求报文、检测安全探测请求的应答报文、或者检测接收到的来自其他设备的安全探测请求报文、根据探测请求信息产生应答报文,网口模块用于链路层网络数据包的接收与发送。
8.如权利要求7所述的基于FPGA的网络安全探测处理方法,其特征在于,网络探测应用程序的被动探测过程包括:通过写寄存器操作方式设置本机MAC地址,设置本机IP地址;查询逻辑架构中报文产生与检测模块的被动探测应答计数寄存器,并记录当前值,该值记做被动探测前应答报文计数值;设置被动探测使能;程序空闲一段时间;查询逻辑架构中报文产生与检测模块的被动探测应答计数寄存器,记录当前值为被动探测后应答报文计数值,计算被动探测后应答报文计数值和被动探测前应答报文计数值的差,差值为已应答其他主机探测本机的次数。
9.如权利要求7所述的基于FPGA的网络安全探测处理方法,其特征在于,寄存器读写模块包括数据解析单元、数据封装单元和寄存器读写单元,其中,数据解析单元完成MBUS总线接口到本地LOCALBUS接口转换;数据封装单元完成LOCALBUS接口到MBUS总线接口的接口转换;寄存器读写单元完成寄存器读写的访问,通过写寄存器的方式配置发送报文的目的IP地址、本机IP地址、本机MAC地址,并通过读状态寄存器,实时监控逻辑运行状态。
10.如权利要求7所述的基于FPGA的网络安全探测处理方法,其特征在于,报文产生与检测模块检测接收到的来自其他设备的安全探测请求报文、根据探测请求信息产生应答报文包括:检测收到的来自其他设备的安全探测请求报文,对请求报文进行解析,产生源IP地址、目的IP地址、目的MAC地址、ID信息和序列号信息,将目的IP地址、目的MAC地址与本地配置的IP地址、MAC地址进行匹配,完全匹配表明收到一个安全探测请求报文,则根据请求报文解析出的信息封装安全探测请求报文的应答报文并输出,被动探测应答报文计数此时加1;如果不完全匹配,则认为此请求报文无效,结束。
CN202211138598.1A 2022-09-19 2022-09-19 一种基于fpga的网络安全探测处理方法 Pending CN115567260A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211138598.1A CN115567260A (zh) 2022-09-19 2022-09-19 一种基于fpga的网络安全探测处理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211138598.1A CN115567260A (zh) 2022-09-19 2022-09-19 一种基于fpga的网络安全探测处理方法

Publications (1)

Publication Number Publication Date
CN115567260A true CN115567260A (zh) 2023-01-03

Family

ID=84741454

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211138598.1A Pending CN115567260A (zh) 2022-09-19 2022-09-19 一种基于fpga的网络安全探测处理方法

Country Status (1)

Country Link
CN (1) CN115567260A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116527406A (zh) * 2023-07-03 2023-08-01 北京左江科技股份有限公司 一种基于fpga的多主机的安全系统和通信方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116527406A (zh) * 2023-07-03 2023-08-01 北京左江科技股份有限公司 一种基于fpga的多主机的安全系统和通信方法
CN116527406B (zh) * 2023-07-03 2023-09-12 北京左江科技股份有限公司 一种基于fpga的多主机的安全系统和通信方法

Similar Documents

Publication Publication Date Title
CN108055202B (zh) 一种报文处理设备和方法
Uchida Hardware-based TCP processor for gigabit ethernet
CN113194097B (zh) 一种安全网关的数据处理方法、装置及安全网关
US10609633B2 (en) Method for triggering registrar protocol interaction, access point, and station
US20220263823A1 (en) Packet Processing Method and Apparatus, Device, and Computer-Readable Storage Medium
US12074729B2 (en) Message encapsulation method and apparatus, and message decapsulation method and apparatus
CN101997700A (zh) 基于深度包检测和深度流检测技术的IPv6监测设备
KR20170005848A (ko) 통신 프로토콜 테스팅 방법과 테스트된 디바이스 및 그 테스팅 플랫폼
CN103973509A (zh) 回路检测的方法及网络装置
CN111614580A (zh) 一种数据转发方法、装置及设备
CN115567260A (zh) 一种基于fpga的网络安全探测处理方法
CN110061999A (zh) 一种基于zynq的网络数据安全分析辅助设备
CN112804263A (zh) 一种面向物联网的漏洞扫描方法、系统及设备
CN102971983A (zh) 具有精确计时协议支持的包协议处理
WO2024159952A1 (zh) 双向转发侦测方法、装置、电子设备及可读存储介质
CN112737995B (zh) 以太网帧的处理方法、装置、设备及存储介质
Pan et al. Design and Performance Analysis of Protocol Conversion between 5G and Modbus TCP
Xiaoguang et al. Packet capture and protocol analysis based on Winpcap
CN111064729A (zh) 报文的处理方法及装置、存储介质和电子装置
CN113094762B (zh) 一种数据处理方法、装置及签名验签服务器
US11824657B2 (en) Frame processing method and apparatus
CN102790663A (zh) 一种应用于vlbi硬件相关处理机的全硬件网络接口
CN112737932B (zh) 一种基于dpdk实现高性能ipsce网关
US11252064B2 (en) System and method for monitoring ingress/egress packets at a network device
CN209913856U (zh) 一种基于zynq的网络数据安全分析辅助设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination