一种基于FPGA的网络安全日志处理方法和装置

摘要

本发明提供了一种基于FPGA的网络安全日志处理装置和方法，装置包括网络数据存储器，用户规则存储器，特征比较器。接收外部网络送入的数据包，并将该数据包暂存于网络数据存储器；检测网络数据包的源目IP地址，源目端口以及协议，并监控报文的控制比特；对于与设定的源目IP地址，源目端口以及协议一致的数据包，命中的数据包根据规则过滤结果，分析包头信息及过滤动作，判断是否发送日志包以及发送哪种类型的日志包；当特征值符合时，从网络数据存储器中取出数据包进行组包，并发送到要求贮存的主机内存中，进行数据分析。本发明可以及时的监控网络上的数据包内容，避免增加网络安全风险，保障网络安全。

主权项

一种基于FPGA的网络安全日志处理装置的处理方法，其特征在于：所述网络安全日志处理装置的处理方法基于FPGA实现，步骤如下：A、接收外部网络送入的数据包，并将该数据包暂存于网络数据存储器；B、检测网络数据包的源目IP地址，源目端口以及协议，并监控报文的控制比特；C、对于与设定的源目IP地址，源目端口以及协议一致的数据包，命中的数据包根据规则过滤结果，分析包头信息及过滤动作，判断是否发送日志包以及发送哪种类型的日志包；D、当特征值符合时，从网络数据存储器中取出数据包进行组包，并发送到要求贮存的主机内存中，进行数据分析；所述网络安全日志处理装置包括网络数据存储器，用户规则存储器，特征比较器；所述处理方法的状态机状态转化时各个状态的动作如下：IDLE：初始状态，当PendingPktCMDBuf有数据，且存放日志包的缓冲区有空间时，则跳转到WAITACK状态，发出读请求；WAITACK：向DDR2控制器发出读请求，等待返回Ack信号；WAITDATA：等待DDR2控制器将所有数据返回，读取到最后一个数据时，跳转到APPHEADER；APPHEADER：填写附加包头，总共需要两个字，填写完后，则跳转到CHECKSUM；CHECKSUM：将计算的checksum折叠相加，最后得到32位的数据，写入到RAM地址0处，同时写入的还有长度信息；日志包组包，也就是在CHECKSUM状态机的状态的基础上加上MAC头、IP头以及UDP头；同时完成UDP checksum的计算；然后等待数据发送完成后即可处理下一个包；所述处理方法的日志包组包状态时各状态操作如下：IDLE：初始状态；当PendingLogPktBuf有数据包准备好时，进入下一状态；PRESTATE：预处理状态；向缓冲区中填写包头，所需时钟周期固定；进入CHECKSUM状态；包头包括MAC头、IP头、UDP头、附加包头；CHECKSUM：计算数据包CheckSum；读取缓冲区中数据，每一拍数据为128b，即16B，每次加法完成32b运算，需要进行四次加法运算；所有数据计算完后则进入下一状态；对最后一个字的处理是在写入数据的时候保证无效的数据位上填0，所有数据统一处理，对计算结果就没有影响；WAITDONE：将CheckSum折叠相加，最后将稳定的CheckSum然后填入缓冲区中对应字段里，填写完CheckSum后则将数据包ready信号拉高；TXLOWDATA：发送高64位数据；TXHIGHDATA：发送低64位数据。