一种基于FPGA的网络安全探测处理方法技术

本发明专利技术涉及一种基于FPGA的网络安全探测处理方法，属于网络通信领域。本发明专利技术包括软件架构和逻辑架构，软件架构负责网络安全探测功能的控制，包括探测应答控制、探测发起、探测状态查询等，逻辑架构负责网络安全探测功能的实现，包括探测报文的产生、发送、接收、检查、应答。本发明专利技术提供的基于FPGA的网络安全探测处理方法可用于网络安全设备中，在设备组网过程中，打开网络探测功能，在保证网络探测安全性的基础上，可有效提高组网效率；在后期网络安全设备运行过程中，关闭网络探测功能，可进一步提升网络的安全性，降低安全设备被发现、攻击的风险系数。击的风险系数。击的风险系数。

全部详细技术资料下载

【技术实现步骤摘要】

一种基于FPGA的网络安全探测处理方法

[0001]本专利技术属于网络通信领域，具体涉及一种基于FPGA的网络安全探测处理方法。

技术介绍

[0002]网络安全探测处理方法一般使用防火墙和软件协议栈实现，防火墙负责网络报文的安全过滤，协议栈负责网络报文的数据处理。

[0003]传统的网络安全探测处理方法可以通过配置防火墙实现网络报文的安全过滤，通过协议栈实现数据的接收、处理。此方法通过CPU实现，提高了CPU的占用率，且软件协议栈处理数据具有很多不确定性，探测报文速率高时，将大幅度提高CPU的占用率。一旦软件协议栈漏洞被利用，遭到攻击，被攻陷，将对系统安全产生不可估量的后果。

技术实现思路

[0004](一)要解决的技术问题

[0005]本专利技术要解决的技术问题是如何提供一种基于FPGA的网络安全探测处理方法，以解决传统的网络安全探测处理方法将大幅度提高CPU的占用率。一旦软件协议栈漏洞被利用，遭到攻击，被攻陷，将对系统安全产生不可估量的后果的问题。

[0006](二)技术方案

[0007]为了解决上述技术问题，本专利技术提出一种基于FPGA的网络安全探测处理方法，该方法包括如下步骤：

[0008]S101：软件架构的网络探测应用程序启动主动探测功能；

[0009]S102：软件架构的网络探测应用程序通过写寄存器方式，配置主动安全探测的本机IP地址、本机MAC地址和目的主机的IP地址，此数据将用于逻辑架构中填充安全探测请求报文；

[0010]S103：软件架构的网络探测应用程序通过写寄存器方式，配置检测主动安全探测的应答报文使能，使能后逻辑架构将对输入的报文进行检测；

[0011]S104：软件架构的网络探测应用程序通过读寄存器方式获取主动探测应答计数寄存器中的主动探测应答报文计数；

[0012]S105：软件架构的网络探测应用程序通过写寄存器方式，配置主动探测请求报文发送使能，产生一个安全探测请求报文；

[0013]S106：逻辑架构的报文产生与检测模块根据配置信息产生安全探测请求报文，其中本机IP地址、本机MAC地址和目的主机的IP地址来自于步骤S102的配置，id和序列号由逻辑架构随机产生；

[0014]S107：逻辑架构的报文产生与检测模块完成安全探测请求报文的发送后，进入接收报文状态，等待其相应的应答报文；

[0015]S108：逻辑架构的报文产生与检测模块在接收到报文后，对接收的报文进行解析，解析结果包括报文类型、产生源IP地址、目的IP地址、目的MAC地址、ID信息和序列号信息；

[0016]S109：逻辑架构的报文产生与检测模块对解析结果的报文类型、源IP地址、目的IP地址、目的MAC地址、ID信息和序列号进行匹配；

[0017]S110：如果匹配结果一致，则主动探测应答报文计数+1，逻辑上完成一次主动探测的全流程；

[0018]S111：软件架构的网络探测应用程序在软件延迟一段实现后，通过读寄存器方式，获取主动探测应答报文计数；

[0019]S112：软件架构的网络探测应用程序，如果步骤S111获取计数值比步骤S104获取值增长，则安全探测成功；如果无增长，则跳转到步骤S104重新获取计数值；如果多次获取直至超时，数值均无变化，则表示安全探测未成功；

[0020]S113：主动探测完成。

[0021]进一步地，软件架构和逻辑架构通过MBUS总线连接，软件架构包括网络探测应用程序和寄存器配置模块，网络探测应用程序用于根据用户的需求通过操作寄存器发起主动探测或者被动探测，寄存器配置模块用于将应用程序的寄存器操作转换为MBUS总线帧；逻辑架构包括寄存器读写模块、报文产生与检测模块和网口模块，寄存器读写模块用于根据MBUS总线帧完成寄存器读写的访问，报文产生与检测模块用于根据上位机控制产生安全探测请求报文、检测安全探测请求的应答报文、或者检测接收到的来自其他设备的安全探测请求报文、根据探测请求信息产生应答报文，网口模块用于链路层网络数据包的接收与发送。

[0022]进一步地，网络探测应用程序的主动探测过程包括：通过写寄存器操作方式设置目的主机IP地址，设置本机MAC地址，设置本机IP地址；查询逻辑架构中报文产生与检测模块的主动探测应答计数寄存器，并记录当前值，该值记做主动探测前应答报文计数值；通过主动探测请求发送使能寄存器设置主动探测使能，每设置一次，逻辑架构中报文产生与检测模块产生一个探测报文；程序空闲10ms

‑‑‑

1s；查询逻辑架构中报文产生与检测模块的主动探测应答计数寄存器，记录当前值为主动探测后应答报文计数值，计算主动探测后应答报文计数值和主动探测前应答报文计数值的差，差值为1表示已探测完成，目的主机已应答，差值为0表示目标主机未应答。

[0023]进一步地，寄存器读写模块包括数据解析单元、数据封装单元和寄存器读写单元，其中，数据解析单元完成MBUS总线接口到本地接口转换；数据封装单元完成接口到MBUS总线接口的接口转换；寄存器读写单元完成寄存器读写的访问，通过写寄存器的方式配置发送报文的目的IP地址、本机IP地址、本机MAC地址，并通过读状态寄存器，实时监控逻辑运行状态。

[0024]进一步地，报文产生与检测模块根据上位机控制产生安全探测请求报文包括：根据上位机控制产生安全探测请求报文，根据上位机配置的目的IP地址、本机IP地址、本机MAC地址、以及逻辑架构内部随机产生的id和序列号信息产生ICMP请求报文，主动探测请求报文计数此时加1；报文产生与检测模块检测安全探测请求的应答报文包括：检测接收到的安全探测应答报文，对应答报文进行解析，产生源IP地址、目的IP地址、目的MAC地址、ID信息和序列号信息，将此信息与安全探测请求报文的同类信息进行匹配，完全匹配则认定应答报文有效，表明收到一个安全探测请求的应答报文，主动探测应答报文计数此时加1；如果不完全匹配，则认为此应答报文无效，检测结束。

[0025]一种基于FPGA的网络安全探测处理方法，该方法包括如下步骤：

[0026]S201：软件架构的网络探测应用程序启动被动探测功能；

[0027]S202：软件架构的网络探测应用程序配置本机IP地址、配置本机MAC地址；

[0028]S203：软件架构的网络探测应用程序通过读寄存器方式获取被动探测请求报文计数、获取被动探测应答报文计数；

[0029]S204：软件架构的网络探测应用程序通过写寄存器方式，配置检测安全请求报文使能、以及产生安全请求的应答报文使能，此时逻辑架构将实现报文解析、匹配及自动应答网络安全探测请求报文；

[0030]S205：逻辑架构的报文产生与检测模块等待接收报文；

[0031]S206：逻辑架构的报文产生与检测模块对接收报文进行解析，解析结果包括报文类型、产生源IP地址、目的IP地址、目的MAC地址、ID信息和序列号信息；

[0

【技术保护点】

【技术特征摘要】

1.一种基于FPGA的网络安全探测处理方法，其特征在于，软件架构和逻辑架构通过MBUS总线连接，该方法包括如下步骤：S101：软件架构的网络探测应用程序启动主动探测功能；S102：软件架构的网络探测应用程序通过写寄存器方式，配置主动安全探测的本机IP地址、本机MAC地址和目的主机的IP地址，这些配置地址将用于逻辑架构中填充安全探测请求报文；S103：软件架构的网络探测应用程序通过写寄存器方式，配置检测主动安全探测的应答报文使能，使能后逻辑架构将对输入的报文进行检测；S104：软件架构的网络探测应用程序通过读寄存器方式获取主动探测应答计数寄存器中的主动探测应答报文计数；S105：软件架构的网络探测应用程序通过写寄存器方式，配置主动探测请求报文发送使能，产生一个安全探测请求报文；S106：逻辑架构的报文产生与检测模块根据配置信息产生安全探测请求报文，其中本机IP地址、本机MAC地址和目的主机的IP地址来自于步骤S102的配置，ID和序列号由逻辑架构随机产生；S107：逻辑架构的报文产生与检测模块完成安全探测请求报文的发送后，进入接收报文状态，等待其相应的应答报文；S108：逻辑架构的报文产生与检测模块在接收到报文后，对接收的报文进行解析，解析结果包括报文类型、产生源IP地址、目的IP地址、目的MAC地址、ID和序列号信息；S109：逻辑架构的报文产生与检测模块对解析结果的报文类型、源IP地址、目的IP地址、目的MAC地址、ID和序列号进行匹配；S110：如果匹配结果一致，则主动探测应答报文计数+1，逻辑上完成一次主动探测的全流程；S111：软件架构的网络探测应用程序在软件延迟一段实现后，通过读寄存器方式，获取主动探测应答报文计数；S112：软件架构的网络探测应用程序，如果步骤S111获取计数值比步骤S104获取值增长，则安全探测成功；如果无增长，则跳转到步骤S104重新获取计数值；如果多次获取直至超时，数值均无变化，则表示安全探测未成功；S113：主动探测完成。

2.如权利要求1所述的基于FPGA的网络安全探测处理方法，其特征在于，软件架构包括网络探测应用程序和寄存器配置模块，网络探测应用程序用于根据用户的需求通过操作寄存器发起主动探测或者被动探测，寄存器配置模块用于将应用程序的寄存器操作转换为MBUS总线帧；逻辑架构包括寄存器读写模块、报文产生与检测模块和网口模块，寄存器读写模块用于根据MBUS总线帧完成寄存器读写的访问，报文产生与检测模块用于根据上位机控制产生安全探测请求报文、检测安全探测请求的应答报文、或者检测接收到的来自其他设备的安全探测请求报文、根据探测请求信息产生应答报文，网口模块用于链路层网络数据包的接收与发送。3.如权利要求2所述的基于FPGA的网络安全探测处理方法，其特征在于，网络探测应用程序的主动探测过程包括：通过写寄存器操作方式设置目的主机IP地址，设置本机MAC地

址，设置本机IP地址；查询逻辑架构中报文产生与检测模块的主动探测应答计数寄存器，并记录当前值，该值记做主动探测前应答报文计数值；通过主动探测请求发送使能寄存器设置主动探测使能，每设置一次，逻辑架构中报文产生与检测模块产生一个探测报文；程序空闲一段时间；查询逻辑架构中报文产生与检测模块的主动探测应答计数寄存器，记录当前值为主动探测后应答报文计数值，计算主动探测后应答报文计数值和主动探测前应答报文计数值的差，差值为1表示已探测完成，目的主机已应答，差值为0表示目标主机未应答。4.如权利要求2所述的基于FPGA的网络安全探测处理方法，其特征在于，寄存器读写模块包括数据解析单元、数据封装单元和寄存器读写单元，其中，数据解析单元完成MBUS总线接口到本地接口转换；数据封装单元完成接口到MBUS总线接口的接口转换；寄存器读写单元完成寄存器读写的访问，通过写寄存器的方式配置发送报文的目的IP地址、本机IP地址、本机MAC地址，并通过读状态寄存器，实时监控逻辑运行状态。5.如权利要求2所述的基于FPGA的网络安全探测处理方法，其特征在于，报文产生与检测模块根据上位机控制产生安全探测请求报文包括：根据上位机控制产生安全探测请求报文，根据上位机配置的目的IP地址、本机IP地址、本机MAC地址、以及逻辑架构内部随机产生的id和序列号信息产生ICMP请求报文，主动探测请求报文计数此时加1；报文产生与检测模块检测安全探测请求的应答报文包括：检测接收到的安全探测应答报文，对应答报文进行解析，产生源IP地址、目...

【专利技术属性】

技术研发人员：赵永杰，陈俊来，孙光来，于洪涛，

申请(专利权)人：北京左江科技股份有限公司，

类型：发明

国别省市：

全部详细技术资料下载 我是这个专利的主人