一种网络安全防护系统的设计及FPGA实现

第一章 绪论

 

1 网络安全概述

 

1.1 网络安全形势分析

全球使用Internet的用户人数飞速增加，与此同时，关于黑客入侵的报道也呈指数增长，黑客的网络攻击与入侵行为，对于国家安全、经济健康、社会生活稳定造成了极大的威胁[2]。目前，有120多个国家己经或正在开发网络攻击技术，有些恐怖分子和极端分子甚至可以获得对国防信息系统的控制，严重削弱一个国家对军事力量的部署和维持能力。现在我国在Internet上开展的各种业务也迅速增加。但是，对于网络系统的安全保护，无论是思想意识，还是相关技术，都有所欠缺。大部分的网站存在严重的安全漏洞，国内一些著名的门户网站与商务网站曾被黑客攻击过。我国使用Internet的用户已经过亿，网络被攻击造成重大损失事件频发不止，网络安全形势十分严重[3]。2010年底国家计算机网络应急技术处理协调中心发布的数据显示: 2010年我国网络安全事件发生量的增长幅度较大，网络仿冒、网页恶意代码、网站篡改等增长速度接近200%，木马主机的增长率为2125%。网络安全的主要威胁来自木马、僵尸网络和与域名相关的安全问题。面临严峻的网络安全形势，如何寻求网络安全问题的解决之道，成为重中之重[4]。针对此问题，当务之急是建立并拥有一套完善的网络安全预警和应急保障体系。为达到这一目标，各方面都要贯彻执行“积极预防、及时发现、快速响应、力保恢复”的十六字方针。据2010年病毒疫情调查报告的数据显示，调查的网络安全事件中，由信息网络管理员通过技术监测发现的占53.5%，通过部署购买安全产品报警发现的占46.4%，事后分析发现的占35.4%。由此可见，除进一步完善信息安全制度和行政管理制度之外，信息安全技术及其设备的设计开发与合理使用同样十分重要。

........

 

2 本文的研究内容及结构安排

 

2.1 研究的主要内容

本文在分析当前的网络安全形势、网络攻击分类以及一些重要的网络安全防范措施的基础上，设计一个网络安全防护系统，具体研究内容如下：

a) 对 TCP、UDP、ICMP 数据包的包头特征进行详细的分析；

b) 对各种 IP 数据包的状态检测技术以及入侵检测技术进行研究；

c) 在对以上技术进行分析的基础上设计网络安全防护系统的模型，并采用 FPGA 对该防护模型进行具体的硬件系统设计实现；

d) 对此系统进行功能和性能上的测试，并分析测试结果。

 

2.2 结构安排

全文共分四章及结论部分，组织如下：第一章是绪论，介绍当前的网络安全形势、网络攻击分类和一些网络安全防护措施，分析硬件实现网络安全防护的必要性，进而确定论文的研究内容；第二章介绍本网络安全防护系统中涉及到的各种相关技术，并给出设计的网络安全防护系统模型；

.........

 

第二章 网络安全防护系统的相关技术分析

 

1 IP 数据包格式分析

 

1.1 IP 包头格式

IP包头由版本、包头长度、服务类型、总长、标识符、标志位、段偏移、生存时间、协议、包头校验和、源IP地址和目的IP地址组成[11]，如图2.1。

a) 版本：长度为 4bit，表明用于建立数据包的 IP 版本。

b) 报头长度：长度为 4bit，表示 32bit 字长的报头长度。

c) 服务类型：长度为 8bit，用于指定数据报所要求的服务质量。

d) 总长：长度为 16bit，表明 IP 数据报的字节长度，其中包括报头长度和数据的长度。

........

 

2 状态检测技术

 

2.1 状态检测概述

 

2.1.1 状态检测技术来源

状态检测的思想来源于防火墙。防火墙（Firewall）是指隔离在本地网络与外界网络之间的一道执行控制策略的防御系统。它对网络之间传输的数据包依照一定的安全策略进行检查，以决定通信是否被允许，对外屏蔽内部网络的信息、结构和运行状况，并提供单一的安全和审计的控制点，从而达到保护内部网络的信息不被外部非授权的用户访问和过滤不良信息的目的。防火墙实质上是一种隔离控制技术，其核心思想是在不安全的网络环境下构造一种相对安全的内部网络环境。

.......

 

第三章 网络安全防护系统的详细 FPGA 实现.................21 

1 各模块详细实现 ..................21 

2 关键问题解决总结.............40 

3 本章小结 ......................42 

第四章 功能验证与性能测试........................43 

1 测试环境 ........................43 

2 测试方法及结果 .................43 

3 本章小结 .........................45 

 

第四章 功能验证与性能测试

 

1 测试环境

测试环境如图4.1，采用网络发包器SmartBits 600B作为包发送器和包接收器，它有两个网口，均可以发包和收包；采用Xilinx公司的型号为XC3S4000的FPGA实现网络安全防护系统模型；在PC上运行SmartWindow软件，通过此软件控制SmartBits 600B发包及收包，查看收到的包数据信息。

.......

 

第五章 总结与展望

 

1 总结

本论文以船舶工业国防科技预研基金项目“具有身份验证功能的网络防护专用芯片”为背景，对网络安全防护进行了研究，设计了一个采用FPGA实现的网络安全防护系统，综合了状态检测技术和入侵检测技术。论文创新研究的工作主要有以下几个方面：

（1）对不同类型的IP数据包的包头信息进行了状态检测分析。无论是基于连接的还是基于“虚”连接的数据包，都可以跟踪其连接状态，保证状态变换正常的数据包顺利通过，不正常的，不符合正常转换过程的数据包被检测出来，实现状态检测。

（2）在状态检测的基础上综合了入侵检测技术，对不同类型的IP数据包的包数据信息进行了匹配检测分析。将进行匹配的攻击数据存入规则库，保证数据正常的数据包顺利通过，匹配成功的带有攻击性的数据包被检测出来，实现误用入侵检测。

（3）对DOS，DDOS，和占TCP网络攻击的90%以上的SYN FLOOD攻击进行了特征分析，对IP包流量、TTL变化以及SYN包流量进行实时监测，使系统具有主动防护功能，实现异常入侵检测。

（4）采用FPGA实现网络安全检测，大大提高了检测速率，保证能够在高速的网络环境中实现安全防护。

............

参考文献（略）