馬?；?/p>

（喀什大學(xué)，新疆 喀什 844000）

基于FPGA的網(wǎng)絡(luò)監(jiān)控與過濾系統(tǒng)設(shè)計

馬?；?/p>

（喀什大學(xué)，新疆 喀什 844000）

人類已經(jīng)進入信息時代，互聯(lián)網(wǎng)已經(jīng)成為人們?nèi)粘Ｉ畋夭豢缮俚墓ぞ?，同時也帶來了一定的安全威脅.本文在分析網(wǎng)絡(luò)安全防護技術(shù)原理的基礎(chǔ)上，建立網(wǎng)絡(luò)監(jiān)控與過濾系統(tǒng)，在網(wǎng)絡(luò)通信過程中對以太網(wǎng)進行監(jiān)控和關(guān)鍵字匹配過濾，采用關(guān)鍵字匹配技術(shù)手段對被監(jiān)測站點的數(shù)據(jù)報文進行檢查和監(jiān)測，將有害信息排除在外，保證網(wǎng)絡(luò)安全.

監(jiān)控；FPGA；過濾網(wǎng)絡(luò)安全

目前，網(wǎng)絡(luò)入侵檢測系統(tǒng)、網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)發(fā)展迅猛，本文通過研究網(wǎng)絡(luò)監(jiān)控和過濾技術(shù)，促進互聯(lián)網(wǎng)應(yīng)用的良性發(fā)展.針對網(wǎng)絡(luò)安全設(shè)計的特點，本文提出一種基于FPGA的網(wǎng)絡(luò)監(jiān)控與過濾系統(tǒng)，采用關(guān)鍵字匹配的技術(shù)手段對被監(jiān)測站點的數(shù)據(jù)報文進行檢查和監(jiān)測，如果信息滿足安全性的要求則進行正常的路由轉(zhuǎn)發(fā)，如果不滿足安全性的要求，則根據(jù)安全策略的規(guī)定進行安全處理，實現(xiàn)網(wǎng)絡(luò)的安全監(jiān)控和過濾，保證人們的信息安全.

1 網(wǎng)絡(luò)監(jiān)控與過濾原理

網(wǎng)絡(luò)通信是在計算機網(wǎng)絡(luò)上發(fā)生的主機與主機之前或者主機與服務(wù)器之間的一種全雙工的通信.當通信建立連接后，主機與主機之間或主機與服務(wù)器之間產(chǎn)生數(shù)據(jù)交互，完成數(shù)據(jù)的收發(fā)、命令的交互等.網(wǎng)絡(luò)監(jiān)控采用的主要技術(shù)為網(wǎng)絡(luò)監(jiān)聽和協(xié)議分析技術(shù)，其主要方式有三種：服務(wù)器端監(jiān)控、客戶端監(jiān)控和網(wǎng)絡(luò)通信過程監(jiān)控.

服務(wù)器端監(jiān)控思路的提出是因為很多不法分子私自搭建服務(wù)器，建立網(wǎng)站，從而傳播不良信息，或者直接偽造銀行、商場的網(wǎng)站，誘騙消費者登錄網(wǎng)站，盜取消費者的賬號信息和金錢.從服務(wù)器端進行監(jiān)控采用的手段是對其資源進行核查，當發(fā)現(xiàn)某服務(wù)器在網(wǎng)絡(luò)上發(fā)布了違法資源后，及時將其隔離，通過資源合法性審查和網(wǎng)絡(luò)地址合法性審查，實現(xiàn)服務(wù)器端的網(wǎng)絡(luò)監(jiān)控.

客戶端監(jiān)控是指限制客戶的訪問權(quán)限或者使用權(quán)限，在客戶端添加使用權(quán)限，使得客戶不能訪問和上傳非法資源，主要通過兩種方式實現(xiàn)：針對終端進行后臺監(jiān)控，對客戶的權(quán)限進行限制，只能進行權(quán)限內(nèi)的操作.針對終端的應(yīng)用程序進行后臺監(jiān)控，程序開發(fā)時，開發(fā)者已經(jīng)為公安監(jiān)管部門提供了監(jiān)管口令，用戶上網(wǎng)時，程序已經(jīng)對客戶的網(wǎng)絡(luò)行為進行了記錄，只有具有最高權(quán)限的部門才能查看用戶的瀏覽記錄.后臺口令一旦被不法分子獲取，則會造成嚴重后果.

網(wǎng)絡(luò)通信過程監(jiān)控.對于通信過程監(jiān)控是網(wǎng)絡(luò)監(jiān)控最為成熟的方法，以客戶端和服務(wù)器端的通信過程作為突破口，當雙方發(fā)生通信時，加入分光設(shè)備，對數(shù)據(jù)流進行監(jiān)控.監(jiān)控過程具有數(shù)據(jù)捕獲、協(xié)議分析及還原、數(shù)據(jù)輸出及分析過濾等功能.

客戶端監(jiān)控和服務(wù)器端監(jiān)控都具有一定的局限性，服務(wù)器端監(jiān)控需要資源提供者、客戶主機和權(quán)威機構(gòu)的多方支持，并且網(wǎng)絡(luò)管理員能控制訪問服務(wù)器的每個客戶主機，監(jiān)管的難度較大.客戶端監(jiān)控需要健全的法律支持來保護客戶的隱私，還需要完整、安全的程序設(shè)計.基于上述分析，本文選用的是針對網(wǎng)絡(luò)通信過程的網(wǎng)絡(luò)監(jiān)控，設(shè)計基于高速網(wǎng)絡(luò)下的網(wǎng)絡(luò)監(jiān)控與過濾系統(tǒng).

2 網(wǎng)絡(luò)監(jiān)控與過濾系統(tǒng)功能設(shè)計

2.1 網(wǎng)絡(luò)監(jiān)控與過濾系統(tǒng)需求分析

傳統(tǒng)的千兆以太網(wǎng)已經(jīng)不能滿足人們對于快速上網(wǎng)的需求，萬兆以太網(wǎng)（10GE）應(yīng)運而生，萬兆以太網(wǎng)繼承低速網(wǎng)絡(luò)的眾多優(yōu)點，保持了原有的以太網(wǎng)模型、網(wǎng)絡(luò)的拓撲結(jié)構(gòu)以及介質(zhì)介入控制協(xié)議，并且提供了10Gbps的帶寬，大大擴展了以太網(wǎng)技術(shù)的應(yīng)用空間，使其將應(yīng)用空間從局域網(wǎng)（LAN）擴展到城域網(wǎng)（MAN）和廣域網(wǎng)（WAN）.網(wǎng)絡(luò)監(jiān)控與過濾系統(tǒng)采用數(shù)據(jù)捕獲、協(xié)議分析與數(shù)據(jù)還原、數(shù)據(jù)過濾、數(shù)據(jù)輸出等多種手段，最終實現(xiàn)網(wǎng)絡(luò)行為的監(jiān)控，使得監(jiān)控者能夠通過本系統(tǒng)實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的監(jiān)控與過濾，保證網(wǎng)絡(luò)安全，其主要功能包括：

（1）數(shù)據(jù)采集：能夠在以太網(wǎng)環(huán)境下進行網(wǎng)絡(luò)數(shù)據(jù)通信數(shù)據(jù)采集，將經(jīng)過該網(wǎng)絡(luò)的所有數(shù)據(jù)都經(jīng)過系統(tǒng)處理，按照相關(guān)的規(guī)則和關(guān)鍵字分配到相應(yīng)的處理模塊中；（2）協(xié)議分析和數(shù)據(jù)還原：系統(tǒng)獲取用戶網(wǎng)絡(luò)數(shù)據(jù)后，通過預(yù)先設(shè)定的關(guān)鍵字匹配，將數(shù)據(jù)包發(fā)送給協(xié)議分析和數(shù)據(jù)還原模塊，該模塊對網(wǎng)絡(luò)數(shù)據(jù)進行過過濾.（3）規(guī)則過濾：系統(tǒng)根據(jù)監(jiān)控人員的要求，設(shè)計不同的匹配關(guān)鍵字，設(shè)置黑名單和白名單，將含有設(shè)定關(guān)鍵字的信息流轉(zhuǎn)發(fā)到指定的端口中，然后再由后臺的工作站處理，防止用戶受到有害信息的侵擾.（4）結(jié)果輸出.網(wǎng)絡(luò)通信數(shù)據(jù)經(jīng)過規(guī)則過濾后，經(jīng)過協(xié)議分析和數(shù)據(jù)還原，系統(tǒng)將數(shù)據(jù)輸送給用戶.

2.2 網(wǎng)絡(luò)監(jiān)控與過濾系統(tǒng)功能設(shè)計

本系統(tǒng)主要是安裝在SONET/SDH分光線路中，通過在10Gbps網(wǎng)絡(luò)中分光接收數(shù)據(jù)，將數(shù)據(jù)分配到多個服務(wù)器或者工作站中.通過將網(wǎng)絡(luò)監(jiān)控與過濾系統(tǒng)安裝在某網(wǎng)絡(luò)出口處，對網(wǎng)絡(luò)內(nèi)訪問外部資源的數(shù)據(jù)包進行數(shù)據(jù)檢測和特征信息識別，還可以安裝在網(wǎng)絡(luò)的內(nèi)部，對網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)流進行監(jiān)控.網(wǎng)絡(luò)監(jiān)測與過濾系統(tǒng)的工作流程為，首先將感興趣的關(guān)鍵字存入到存儲設(shè)備中，并且配置好需要轉(zhuǎn)發(fā)的端口，當設(shè)備開始工作后，會對網(wǎng)絡(luò)信息進行檢測，設(shè)備會將含有設(shè)定關(guān)鍵字的信息流轉(zhuǎn)發(fā)到指定的端口中，然后再由后臺的工作站處理.根據(jù)系統(tǒng)的需要，存儲器最多可以設(shè)置3K條關(guān)鍵字，關(guān)鍵字的長度限制在64字節(jié)，系統(tǒng)對數(shù)據(jù)流設(shè)置為黑名單和白名單，根據(jù)關(guān)注度將不關(guān)注的信息歸入到白名單中，將關(guān)注的信息歸入到黑名單中.設(shè)備從10Gbps網(wǎng)絡(luò)中獲取數(shù)據(jù)，通過黑白名單過濾，實現(xiàn)數(shù)據(jù)的實時監(jiān)測，防止有害信息入侵，實現(xiàn)網(wǎng)絡(luò)的安全監(jiān)測.

3 基于FPGA的網(wǎng)絡(luò)監(jiān)控與過濾系統(tǒng)整體設(shè)計

本文設(shè)計的基于FPGA的網(wǎng)絡(luò)監(jiān)測與過濾系統(tǒng)分為五個主要組成部分，分別為：CPU單元，電源模塊、10G接口模塊、PPM模塊和GE接口模塊.

CPU模塊能夠?qū)崿F(xiàn)系統(tǒng)控制，以及以太網(wǎng)和外部網(wǎng)絡(luò)的通信，實現(xiàn)系統(tǒng)間的數(shù)據(jù)交互.10G接口模塊可以介入網(wǎng)絡(luò)，將光信號經(jīng)過光電耦合元件進行光電轉(zhuǎn)換、串并轉(zhuǎn)換，實現(xiàn)數(shù)據(jù)轉(zhuǎn)換，并且將數(shù)據(jù)幀傳遞給PPM功能模塊.PPM功能模塊由4塊FPGA組成，主要功能是將IP包轉(zhuǎn)發(fā)到GE端口，4塊 FPGA 組成 PPM0、PPM1、PPM2和 PPM3，PPM 接收10G接口傳入的數(shù)據(jù)，進行關(guān)鍵字的監(jiān)控與過濾，不同的PPM模塊實現(xiàn)不同的關(guān)鍵字匹配，并根據(jù)不同的需要轉(zhuǎn)發(fā)到不同的端口.GE模塊將PPM模塊轉(zhuǎn)發(fā)的數(shù)據(jù)幀進行處理，得到完整的以太網(wǎng)幀并進行并聯(lián)轉(zhuǎn)換以及實現(xiàn)電信號向光信號的轉(zhuǎn)換，然后將以太網(wǎng)幀發(fā)送到GE鏈路上.電源模塊為整個系統(tǒng)提供電能，首先對市電完成濾波處理，然后通過電壓轉(zhuǎn)換模塊，提供±3V，±5V以及±12V的電壓.

4 功能模式設(shè)計實現(xiàn)

4.1 10G接口模塊設(shè)計

10G接口的功能是完成10G光信號的光電轉(zhuǎn)換、串并轉(zhuǎn)換，將數(shù)據(jù)幀傳輸給PPM模塊.10G接口模塊主要包含兩路TransPonder和兩路Framer，TransPonder主要用于將接口接收的光信號和16bit并行差分信號進行數(shù)據(jù)交換，光接口類型為LC.Framer主要用于對10G數(shù)據(jù)進行處理，轉(zhuǎn)換為SPI-4.2接口模式，該接口是10G接口模塊和PPM模塊的連接通道.SPI-4.2是OIF定義的局部高速總線標準，分為數(shù)據(jù)通道和狀態(tài)通道，數(shù)據(jù)通道16bit位寬，采用LVDS信號電平，按照cell格式傳送數(shù)據(jù)，每個cell以控制字開始，包含邏輯端口號、報文起始標志位、報文結(jié)束標志位、控制字校驗等信息.狀態(tài)通道傳輸對端反饋的邏輯通道接收FIFO的狀態(tài)，2bit位寬，TTL電平或者LVDS電平.

4.2 GE接口模塊設(shè)計

GE接口模塊將PPM模塊傳輸過來的數(shù)據(jù)幀處理為完整的以太網(wǎng)幀，并進行并串轉(zhuǎn)換，電光轉(zhuǎn)換，將其發(fā)送到GE鏈路上去.光收發(fā)器件將接口的光信號和串行的電信號進行相互轉(zhuǎn)換，接口類型為SFP.

4.3 網(wǎng)絡(luò)監(jiān)測與過濾模塊設(shè)計

網(wǎng)絡(luò)的監(jiān)測與過濾即PPM模塊采用的4片F(xiàn)PGA，分別為PPM0-3，每一片F(xiàn)PGA配置了獨立的CAM和SRAM，PPM0與10G接口模塊通過SPI-4.2接口連接，PPM模塊之間也通過該種接口類型連接，并且PPM1和PPM2同GE模塊之間設(shè)置有連接通道.PPM模塊按照預(yù)制的關(guān)鍵字將進入到PPM中的網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)到不同的GE端口上去，PPM0根據(jù)黑名單和白名單查找數(shù)據(jù)，PPM1～3采用基于內(nèi)容的查找模式，關(guān)鍵字預(yù)存在CAM表中.

FPGA模塊采用的是Altera公司的StratixⅡ系列的EP2S60F1020C5，4塊FPGA根據(jù)網(wǎng)絡(luò)監(jiān)測和過濾的需要配置為不同的功能.PPM0接收10G模塊的數(shù)據(jù)幀，解析得到IP包數(shù)據(jù)，對IP包的五元組進行查表處理，并且對照CAM表中的黑名單和白名單，白名單中的數(shù)據(jù)流直接丟棄，黑名單數(shù)據(jù)設(shè)置標簽后通過PPM1端口轉(zhuǎn)發(fā)，剩下的數(shù)據(jù)傳送到PPM1進行關(guān)鍵字匹配查找.PPM1對數(shù)據(jù)包進行預(yù)處理，進行關(guān)鍵字匹配，如果匹配成功則直接確定轉(zhuǎn)發(fā)端口并進行轉(zhuǎn)發(fā).PPM2接收到數(shù)據(jù)源有兩種情況，如果是從PPM1接收的數(shù)據(jù)包則直接進行轉(zhuǎn)發(fā)，如果需要進行關(guān)鍵字匹配，則需要提取有效數(shù)據(jù)進行匹配處理.PPM3接收的數(shù)據(jù)則肯定需要進行關(guān)鍵字匹配，然后決定轉(zhuǎn)發(fā)端口，如果經(jīng)過3片F(xiàn)PGA沒有匹配成功，則通過CPU默認端口進行轉(zhuǎn)發(fā).

5 總結(jié)

互聯(lián)網(wǎng)技術(shù)的發(fā)展給人們生活帶來便利的同時也帶來的巨大的挑戰(zhàn)，網(wǎng)絡(luò)安全問題已經(jīng)成為人們面臨的重大威脅.本文在結(jié)合萬兆以太網(wǎng)絡(luò)，設(shè)計了網(wǎng)絡(luò)監(jiān)控與過濾系統(tǒng)，采用CAM和SRAM相結(jié)合的關(guān)鍵字匹配查詢模式，在網(wǎng)絡(luò)通信環(huán)節(jié)實現(xiàn)網(wǎng)絡(luò)的監(jiān)控與過濾，設(shè)計了網(wǎng)絡(luò)與監(jiān)測系統(tǒng)的整體框架和主要功能模塊，為網(wǎng)絡(luò)安全防護提供了一定的技術(shù)基礎(chǔ).

〔1〕呂建軍.基于文本特征提取算法的旁路監(jiān)控系統(tǒng)設(shè)計與實現(xiàn)[D].四川大學(xué),2005.

〔2〕李心霞.基于高職院校的網(wǎng)絡(luò)監(jiān)控與分析系統(tǒng)設(shè)計與實現(xiàn)[D].山東大學(xué),2013.

〔3〕霍衛(wèi)濤,田澤,李攀,楊海波,王玉歡.基于 FPGA 的光纖通道網(wǎng)絡(luò)監(jiān)控卡設(shè)計與實現(xiàn)[J].計算機技術(shù)與發(fā)展,2014,24(05):199-203.

〔4〕秦倩,謝寶娣,顧兆軍,王超,黃宇宮.網(wǎng)絡(luò)數(shù)據(jù)包還原和內(nèi)容分析系統(tǒng)的設(shè)計與實現(xiàn)[J].中國民航大學(xué)學(xué)報,2011,29(03):24-27.

〔5〕許俊.網(wǎng)絡(luò)監(jiān)控系統(tǒng)對網(wǎng)絡(luò)性能的影響分析[J].信息與電腦(理論版),2017,(03):182-183.

〔6〕安潔.基于SNMP協(xié)議的網(wǎng)絡(luò)監(jiān)控安全審計系統(tǒng)的設(shè)計與實現(xiàn)[D].南京航空航天大學(xué),2011.

TP393

A

1673-260X（2017）11-0014-02

2017-08-12