基于FPGA的網絡監控與過濾系統設計

馬海虎

（喀什大學，新疆 喀什 844000）

基于FPGA的網絡監控與過濾系統設計

馬海虎

（喀什大學，新疆 喀什 844000）

人類已經進入信息時代，互聯網已經成為人們日常生活必不可少的工具，同時也帶來了一定的安全威脅.本文在分析網絡安全防護技術原理的基礎上，建立網絡監控與過濾系統，在網絡通信過程中對以太網進行監控和關鍵字匹配過濾，采用關鍵字匹配技術手段對被監測站點的數據報文進行檢查和監測，將有害信息排除在外，保證網絡安全.

監控；FPGA；過濾網絡安全

目前，網絡入侵檢測系統、網絡安全監測系統發展迅猛，本文通過研究網絡監控和過濾技術，促進互聯網應用的良性發展.針對網絡安全設計的特點，本文提出一種基于FPGA的網絡監控與過濾系統，采用關鍵字匹配的技術手段對被監測站點的數據報文進行檢查和監測，如果信息滿足安全性的要求則進行正常的路由轉發，如果不滿足安全性的要求，則根據安全策略的規定進行安全處理，實現網絡的安全監控和過濾，保證人們的信息安全.

1 網絡監控與過濾原理

網絡通信是在計算機網絡上發生的主機與主機之前或者主機與服務器之間的一種全雙工的通信.當通信建立連接后，主機與主機之間或主機與服務器之間產生數據交互，完成數據的收發、命令的交互等.網絡監控采用的主要技術為網絡監聽和協議分析技術，其主要方式有三種：服務器端監控、客戶端監控和網絡通信過程監控.

服務器端監控思路的提出是因為很多不法分子私自搭建服務器，建立網站，從而傳播不良信息，或者直接偽造銀行、商場的網站，誘騙消費者登錄網站，盜取消費者的賬號信息和金錢.從服務器端進行監控采用的手段是對其資源進行核查，當發現某服務器在網絡上發布了違法資源后，及時將其隔離，通過資源合法性審查和網絡地址合法性審查，實現服務器端的網絡監控.

客戶端監控是指限制客戶的訪問權限或者使用權限，在客戶端添加使用權限，使得客戶不能訪問和上傳非法資源，主要通過兩種方式實現：針對終端進行后臺監控，對客戶的權限進行限制，只能進行權限內的操作.針對終端的應用程序進行后臺監控，程序開發時，開發者已經為公安監管部門提供了監管口令，用戶上網時，程序已經對客戶的網絡行為進行了記錄，只有具有最高權限的部門才能查看用戶的瀏覽記錄.后臺口令一旦被不法分子獲取，則會造成嚴重后果.

網絡通信過程監控.對于通信過程監控是網絡監控最為成熟的方法，以客戶端和服務器端的通信過程作為突破口，當雙方發生通信時，加入分光設備，對數據流進行監控.監控過程具有數據捕獲、協議分析及還原、數據輸出及分析過濾等功能.

客戶端監控和服務器端監控都具有一定的局限性，服務器端監控需要資源提供者、客戶主機和權威機構的多方支持，并且網絡管理員能控制訪問服務器的每個客戶主機，監管的難度較大.客戶端監控需要健全的法律支持來保護客戶的隱私，還需要完整、安全的程序設計.基于上述分析，本文選用的是針對網絡通信過程的網絡監控，設計基于高速網絡下的網絡監控與過濾系統.

2 網絡監控與過濾系統功能設計

2.1 網絡監控與過濾系統需求分析

傳統的千兆以太網已經不能滿足人們對于快速上網的需求，萬兆以太網（10GE）應運而生，萬兆以太網繼承低速網絡的眾多優點，保持了原有的以太網模型、網絡的拓撲結構以及介質介入控制協議，并且提供了10Gbps的帶寬，大大擴展了以太網技術的應用空間，使其將應用空間從局域網（LAN）擴展到城域網（MAN）和廣域網（WAN）.網絡監控與過濾系統采用數據捕獲、協議分析與數據還原、數據過濾、數據輸出等多種手段，最終實現網絡行為的監控，使得監控者能夠通過本系統實現網絡數據的監控與過濾，保證網絡安全，其主要功能包括：

（1）數據采集：能夠在以太網環境下進行網絡數據通信數據采集，將經過該網絡的所有數據都經過系統處理，按照相關的規則和關鍵字分配到相應的處理模塊中；（2）協議分析和數據還原：系統獲取用戶網絡數據后，通過預先設定的關鍵字匹配，將數據包發送給協議分析和數據還原模塊，該模塊對網絡數據進行過過濾.（3）規則過濾：系統根據監控人員的要求，設計不同的匹配關鍵字，設置黑名單和白名單，將含有設定關鍵字的信息流轉發到指定的端口中，然后再由后臺的工作站處理，防止用戶受到有害信息的侵擾.（4）結果輸出.網絡通信數據經過規則過濾后，經過協議分析和數據還原，系統將數據輸送給用戶.

2.2 網絡監控與過濾系統功能設計

本系統主要是安裝在SONET/SDH分光線路中，通過在10Gbps網絡中分光接收數據，將數據分配到多個服務器或者工作站中.通過將網絡監控與過濾系統安裝在某網絡出口處，對網絡內訪問外部資源的數據包進行數據檢測和特征信息識別，還可以安裝在網絡的內部，對網絡內部的數據流進行監控.網絡監測與過濾系統的工作流程為，首先將感興趣的關鍵字存入到存儲設備中，并且配置好需要轉發的端口，當設備開始工作后，會對網絡信息進行檢測，設備會將含有設定關鍵字的信息流轉發到指定的端口中，然后再由后臺的工作站處理.根據系統的需要，存儲器最多可以設置3K條關鍵字，關鍵字的長度限制在64字節，系統對數據流設置為黑名單和白名單，根據關注度將不關注的信息歸入到白名單中，將關注的信息歸入到黑名單中.設備從10Gbps網絡中獲取數據，通過黑白名單過濾，實現數據的實時監測，防止有害信息入侵，實現網絡的安全監測.

3 基于FPGA的網絡監控與過濾系統整體設計

本文設計的基于FPGA的網絡監測與過濾系統分為五個主要組成部分，分別為：CPU單元，電源模塊、10G接口模塊、PPM模塊和GE接口模塊.

CPU模塊能夠實現系統控制，以及以太網和外部網絡的通信，實現系統間的數據交互.10G接口模塊可以介入網絡，將光信號經過光電耦合元件進行光電轉換、串并轉換，實現數據轉換，并且將數據幀傳遞給PPM功能模塊.PPM功能模塊由4塊FPGA組成，主要功能是將IP包轉發到GE端口，4塊 FPGA 組成 PPM0、PPM1、PPM2和 PPM3，PPM 接收10G接口傳入的數據，進行關鍵字的監控與過濾，不同的PPM模塊實現不同的關鍵字匹配，并根據不同的需要轉發到不同的端口.GE模塊將PPM模塊轉發的數據幀進行處理，得到完整的以太網幀并進行并聯轉換以及實現電信號向光信號的轉換，然后將以太網幀發送到GE鏈路上.電源模塊為整個系統提供電能，首先對市電完成濾波處理，然后通過電壓轉換模塊，提供±3V，±5V以及±12V的電壓.

4 功能模式設計實現

4.1 10G接口模塊設計

10G接口的功能是完成10G光信號的光電轉換、串并轉換，將數據幀傳輸給PPM模塊.10G接口模塊主要包含兩路TransPonder和兩路Framer，TransPonder主要用于將接口接收的光信號和16bit并行差分信號進行數據交換，光接口類型為LC.Framer主要用于對10G數據進行處理，轉換為SPI-4.2接口模式，該接口是10G接口模塊和PPM模塊的連接通道.SPI-4.2是OIF定義的局部高速總線標準，分為數據通道和狀態通道，數據通道16bit位寬，采用LVDS信號電平，按照cell格式傳送數據，每個cell以控制字開始，包含邏輯端口號、報文起始標志位、報文結束標志位、控制字校驗等信息.狀態通道傳輸對端反饋的邏輯通道接收FIFO的狀態，2bit位寬，TTL電平或者LVDS電平.

4.2 GE接口模塊設計

GE接口模塊將PPM模塊傳輸過來的數據幀處理為完整的以太網幀，并進行并串轉換，電光轉換，將其發送到GE鏈路上去.光收發器件將接口的光信號和串行的電信號進行相互轉換，接口類型為SFP.

4.3 網絡監測與過濾模塊設計

網絡的監測與過濾即PPM模塊采用的4片FPGA，分別為PPM0-3，每一片FPGA配置了獨立的CAM和SRAM，PPM0與10G接口模塊通過SPI-4.2接口連接，PPM模塊之間也通過該種接口類型連接，并且PPM1和PPM2同GE模塊之間設置有連接通道.PPM模塊按照預制的關鍵字將進入到PPM中的網絡數據轉發到不同的GE端口上去，PPM0根據黑名單和白名單查找數據，PPM1～3采用基于內容的查找模式，關鍵字預存在CAM表中.

FPGA模塊采用的是Altera公司的StratixⅡ系列的EP2S60F1020C5，4塊FPGA根據網絡監測和過濾的需要配置為不同的功能.PPM0接收10G模塊的數據幀，解析得到IP包數據，對IP包的五元組進行查表處理，并且對照CAM表中的黑名單和白名單，白名單中的數據流直接丟棄，黑名單數據設置標簽后通過PPM1端口轉發，剩下的數據傳送到PPM1進行關鍵字匹配查找.PPM1對數據包進行預處理，進行關鍵字匹配，如果匹配成功則直接確定轉發端口并進行轉發.PPM2接收到數據源有兩種情況，如果是從PPM1接收的數據包則直接進行轉發，如果需要進行關鍵字匹配，則需要提取有效數據進行匹配處理.PPM3接收的數據則肯定需要進行關鍵字匹配，然后決定轉發端口，如果經過3片FPGA沒有匹配成功，則通過CPU默認端口進行轉發.

5 總結

互聯網技術的發展給人們生活帶來便利的同時也帶來的巨大的挑戰，網絡安全問題已經成為人們面臨的重大威脅.本文在結合萬兆以太網絡，設計了網絡監控與過濾系統，采用CAM和SRAM相結合的關鍵字匹配查詢模式，在網絡通信環節實現網絡的監控與過濾，設計了網絡與監測系統的整體框架和主要功能模塊，為網絡安全防護提供了一定的技術基礎.

〔1〕呂建軍.基于文本特征提取算法的旁路監控系統設計與實現[D].四川大學,2005.

〔2〕李心霞.基于高職院校的網絡監控與分析系統設計與實現[D].山東大學,2013.

〔3〕霍衛濤,田澤,李攀,楊海波,王玉歡.基于 FPGA 的光纖通道網絡監控卡設計與實現[J].計算機技術與發展,2014,24(05):199-203.

〔4〕秦倩,謝寶娣,顧兆軍,王超,黃宇宮.網絡數據包還原和內容分析系統的設計與實現[J].中國民航大學學報,2011,29(03):24-27.

〔5〕許俊.網絡監控系統對網絡性能的影響分析[J].信息與電腦(理論版),2017,(03):182-183.

〔6〕安潔.基于SNMP協議的網絡監控安全審計系統的設計與實現[D].南京航空航天大學,2011.

TP393

A

1673-260X（2017）11-0014-02

2017-08-12