技術領域

本發明涉及一種網絡攻擊防御電路的實現方法，具體涉及一種基于FPGA的網絡Smurf攻擊特征瞬時防御電路實現方法。

背景技術

隨著因特網的迅速發展，電力系統對通信網絡的依賴越來越大，特別是新一代智能電網使通信網絡信息安全面臨新的挑戰。由于網絡本身(特別是TCP/IP協議)的安全缺陷，各種拒絕服務(Denial?of?Service，簡稱DoS)攻擊不可能消失，其中Smurf攻擊以其攻擊范圍廣、隱蔽性強、簡單有效等特點成為最常見的網絡攻擊方式之一，嚴重威脅著電力信息通信網絡的安全，極大地影響了電力系統的安全、穩定、經濟、優質運行，影響著智能電網的實現進程。

信息通信網絡的防Smurf攻擊目前主要依靠純軟件防火墻和專用芯片加CPU方案實現的防火墻設備，它們都存在相應的缺點：純軟件防火墻要耗費一定的CPU資源和存在實際網絡帶寬不高等問題，在被攻擊時問題尤為嚴重；專用芯片加CPU方案防火墻設備成本高、不靈活，需要額外增加設備且設備本身管理部分就是容易被各種攻擊。迫切需要一種基于硬件電路的、不耗CPU資源、高實際網口帶寬的網絡物理層Smurf攻擊防御邏輯電路的實現方法。

發明內容

為了滿足現有技術的需求，本發明提供了一種基于FPGA的網絡Smurf攻擊特征瞬時防御電路實現方法；所述防御電路設置在以太網接口的數據鏈路層和數據物理層之間；所述防御電路通過MII接口分別與MAC和PHY連接；所述方法包括如下步驟：

A、所述MII接口接收到報文發送信號或報文接收信號后啟動所述防御電路；

B、半字節計數控制器將網絡數據幀的字段分配到寄存器鎖存；

C、數值比較器將所述寄存器與特征數值編碼進行數值比較；

D、組合邏輯電路控制FIFO緩存模塊電路對所述網絡數據幀進行丟棄或通過處理。

優選的，所述步驟A中的所述防御電路包括出向數據防御電路和入向數據防御電路；

優選的，所述出向數據防御電路的寄存器包括報文類型寄存器、源IP地址寄存器、IP報文類型寄存器、報文分段標志寄存器、IP報文類型寄存器、ICMP報文類型寄存器、目的IP地址寄存器和備份目的IP地址寄存器；

優選的，所述步驟C中的所述數值比較器將所述寄存器與所述特征數值編碼比較包括：

所述報文類型寄存器與0x0800比較，若比較結果相同則所述網絡數據幀為IP報文；

所述源IP地址寄存器與本網口IP地址比較；

所述IP報文類型寄存器與0x01比較，若比較結果相同則所述網絡數據幀為ICMP報文；

所述報文分段標志寄存器與0x02比較，若比較結果相同則所述網絡數據幀為分段報文；

所述ICMP報文類型寄存器與0x08或0x0d比較，若比較結果相同則所述網絡數據幀為請求報文；

所述目的IP地址寄存器與所述備份目的IP地址寄存器的上一個網絡數據幀鎖存的備份目的IP地址比較；所述目的IP地址寄存器與所述備份目的IP地址寄存器的數值比較器的輸出電平與時鐘計數器輸出的20ms時鐘脈沖電平進行邏輯或運算，用于確保20ms內所述網絡數據幀的目的IP地址不等于所述上一個網絡數據幀的目的IP地址，防止Smurf攻擊時的連續數據包；

優選的，所述入向數據防御電路的寄存器包括報文類型寄存器、IP報文類型寄存器、ICMP報文類型寄存器和ICMP報文類型Code寄存器；

優選的，所述數值比較器將所述寄存器與所述特征數值編碼比較包括：

所述報文類型寄存器與0x0800比較，若比較結果相同則所述網絡數據幀為IP報文；

所述IP報文類型寄存器與0x01比較，若比較結果相同則所述網絡數據幀為ICMP報文；

所述ICMP報文類型寄存器與0x03比較，若比較結果相同則所述網絡數據幀為目的不可達報文；

所述ICMP報文類型Code寄存器與0x03比較，若比較結果相同則所述網絡數據幀為端口不可達報文；

優選的，所述步驟D中的FIFO緩存模塊電路包括出向FIFO緩存模塊電路和入向FIFO緩存模塊電路；

所述出向數據防御電路中的組合邏輯電路依據所述數值比較器的輸出電平控制出向FIFO緩存模塊電路將所述網絡數據幀輸出到所述PHY芯片或進行丟棄處理；

所述入向數據防御電路中的組合邏輯電路依據所述數值比較器的輸出電平控制入向FIFO緩存模塊電路將所述網絡數據幀輸入到所述MAC芯片或進行丟棄處理；