本发明专利技术公开了一种基于硬件重构的拟态安全网络架构的实现系统及方法,系统包括CPU芯片,用于对系统内的各个硬件进行初始化,定时地调用存储器中的重构逻辑程序控制FPGA芯片对系统硬件架构形式进行重新架构;多个TCAM芯片,用于预存多个不同类型的特征值信息表项,并按照FPGA芯片提取的特征值信息表项进行查找并将查找信息反馈给FPGA芯片;FPGA芯片,用于按照所述CPU芯片下发的逻辑重构命令对系统的硬件架构形式进行重新架构以及存储器,用于存储若干个系统硬件架构的重构逻辑程序。本发明专利技术利用FPGA的重构特性并结合CPU与TCAM芯片,对系统硬件进行重新选择架构,进而使得系统具有硬件架构的不可确定性,从而有效地实现硬件层面的主动防御特性。
【技术实现步骤摘要】
一种基于硬件重构的拟态安全网络架构的实现系统及方法
本专利技术涉及一种网络安全架构的实现方法,尤其涉及一种基于硬件重构的拟态安全网络架构的实现系统及方法。
技术介绍
随着网络技术的不断成熟,网络的应用也变得无孔不入,在很多情况下个人甚至国家的机密数据也需要在网络上进行大量的传输,如果网络环境不安全,则会对网络的使用者造成巨大的损失,因此网络安全技术是必须伴随网络成长的重要技术。目前,人们越来越重视网络安全,对应的改进方法不断更新完善,如采用防火墙,动态IP,网络拓扑变换等方法,但上述的方法都是从软件层面实现的,并没有考虑系统硬件需要提高安全可靠性,如果我们使用的硬件本身就存在“后门”,那么在软件层面上的保护可能就会收效甚微。
技术实现思路
鉴于已有技术存在的缺陷,本专利技术的目的是要提供一种基于硬件重构技术实现的具有拟态特征的网络安全架构的实现系统及方法,本专利技术利用FPGA的重构特性并结合CPU与TCAM芯片,对系统硬件进行重新选择架构,进而使得系统具有硬件架构的不可确定性,从而有效地实现硬件层面的主动防御特性。为了实现上述目的,本专利技术的技术方案:一种基于硬件重构的拟态安全网络架构的实现系统,其特征在于:包括至少两个相互独立的CPU芯片,所述CPU芯片均用于对系统内的各个硬件进行初始化,定时地调用存储器中的重构逻辑程序控制FPGA芯片对系统硬件架构形式进行重新架构;多个TCAM芯片,所述TCAM芯片用于预存多个不同类型的特征值信息表项,并按照FPGA芯片提取的特征值信息表项进行查找并将查找信息反馈给FPGA芯片,同时若当前FPGA芯片提取的特征值信息表项不属于预存的特征值信息表项时,对预存的特征值信息表项进行实时更新;FPGA芯片,所述FPGA芯片用于按照所述CPU芯片下发的逻辑重构命令对系统的硬件架构形式进行重新架构;以及存储器,所述存储器用于存储若干个系统硬件架构的重构逻辑程序。进一步的,所述FPGA芯片与所述TCAM芯片还用于联合完成系统网络行为的分析过程即构建相应特征值信息表项的匹配域过程,所述的联合完成系统网络行为的分析过程是指当系统处于当前网络环境时,所述FPGA芯片实时对外部终端与系统之间的数据信息进行特征值信息表项提取,并发送给所述TCAM芯片进行比对;所述TCAM芯片按照该特征值信息表项与预存的特征值信息表项进行比对查找,并将查找信息反馈给FPGA芯片,若当前提取的特征值信息表项不属于预存的特征值信息表项时,自动对预存的特征值信息表项进行实时更新;同时所述FPGA芯片依据反馈的查找信息,计算当前提取的特征值信息表项对系统的访问数据信息,当超过所述FPGA芯片预设的报警下限时,确认当前特征值信息表项出现异常,通知所述CPU芯片;所述的CPU芯片对上述特征值信息表项异常信息进行后期处理。所述后期处理是指按照上述特征值信息表项异常信息发布系统访问数据异常报警信息的处理过程或者记录到所述CPU芯片预设的日志表格中的处理过程的任意一种处理过程或者两者结合的处理过程。所述系统还包括外部重构控制过程,系统通过网络接口,与上位机进行通信接收上位机重构控制逻辑命令,以实现系统硬件架构形式的外部重构控制过程。所述的CPU芯片还包括用于对系统其它硬件的运行状态进行监控,在发现硬件状态异常时,发布对应硬件异常的信息。进一步的,所述CPU芯片内部预设应急故障程序,在对系统其它硬件的状态进行监控并发现对应的硬件出现异常时,自动停止包括该异常硬件的重构逻辑程序,保障系统正常运行。一种基于硬件重构的拟态安全网络架构的实现方法,其特征在于:设置至少两个相互独立的CPU芯片,通过CPU芯片对系统内的各个硬件进行初始化,并定时地调用存储器中的重构逻辑程序控制FPGA芯片对系统硬件架构形式进行重新架构;设置多个TCAM芯片,通过TCAM芯片预存多个不同类型的特征值信息表项,并使得TCAM芯片按照FPGA芯片提取的特征值信息表项进行查找并将查找信息反馈给FPGA芯片,同时若当前FPGA芯片提取的特征值信息表项不属于预存的特征值信息表项时,对预存的特征值信息表项进行实时更新;同时通过设置FPGA芯片,使得所述FPGA芯片按照所述CPU芯片下发的逻辑重构命令对系统的硬件架构形式进行重新架构;上述重构逻辑程序通过设置存储器将若干个系统硬件架构的重构逻辑程序存储于其内,便于CPU芯片调用。进一步的,所述FPGA芯片与所述TCAM芯片还用于联合完成系统网络行为的分析过程即构建相应特征值信息表项的匹配域过程,所述的联合完成系统网络行为的分析过程是指当系统处于当前网络环境时,所述FPGA芯片实时对外部终端与系统之间的数据信息进行特征值信息表项提取,并发送给所述TCAM芯片进行比对;所述TCAM芯片按照该特征值信息表项与预存的特征值信息表项进行比对查找,并将查找信息反馈给FPGA芯片,若当前提取的特征值信息表项不属于预存的特征值信息表项时,自动对预存的特征值信息表项进行实时更新;同时所述FPGA芯片依据反馈的查找信息,计算当前提取的特征值信息表项对系统的访问数据信息,当超过所述FPGA芯片预设的报警下限时,确认当前特征值信息表项出现异常,通知所述CPU芯片;所述的CPU芯片对上述特征值信息表项异常信息进行后期处理。所述后期处理是指按照上述特征值信息表项异常信息发布系统访问数据异常报警信息的处理过程或者记录到所述CPU芯片预设的日志表格中的处理过程的任意一种处理过程或者两者结合的处理过程。所述方法还包括外部重构控制过程,通过网络接口,与上位机进行通信接收上位机重构控制逻辑命令,以实现系统硬件架构形式的外部重构控制过程。所述的CPU芯片还包括用于对系统其它硬件的运行状态进行监控,在发现硬件状态异常时,发布对应硬件异常的信息。进一步的,所述CPU芯片内部预设应急故障程序,在对系统其它硬件的状态进行监控并发现对应的硬件出现异常时,自动停止包括该异常硬件的重构逻辑程序,保障系统正常运行。与现有技术相比,本专利技术的有益效果:1.利用FPGA的重构特性并结合CPU与TCAM芯片,对系统硬件进行重新选择架构,进而使得系统具有硬件架构的不可确定性,从而有效地实现硬件层面的主动防御特性;2.实时对外部终端与系统之间的数据信息进行监控,构建相应特征值信息表项的匹配域,核查系统的访问数据信息并进行异常报警,提高系统可靠性以及防御性。附图说明图1为本专利技术所述系统的电路原理示意图;图2为本专利技术所述实施例1的电路原理示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图,对本专利技术进行进一步详细说明。本专利技术从网络安全角度出发,在硬件层面上设计了一种基于硬件架构形式不断变化的主动防御系统,该系统主要是利用FPGA的重构特性并结合CPU与TCAM芯片,对系统硬件进行重新选择架构,进而使得系统具有硬件架构的不可确定性,即拟态特性(来源于生物界,在此处引申为硬件环境在不断的变化中,使攻击者难以确定攻击点)从而有效地实现硬件层面的主动防御特性。如图1所示,基于上述思想本专利技术所述的系统,主要包括至少两个相互独立的CPU芯片、多个TCAM芯片、FPGA芯片以及存储器;其中,采用至少两个相互独立的CPU芯片,每一CPU芯片均可用于对系统内的各个硬件进行初始化,定本文档来自技高网...
【技术保护点】
一种基于硬件重构的拟态安全网络架构的实现系统,其特征在于:包括至少两个相互独立的CPU芯片,所述CPU芯片均用于对系统内的各个硬件进行初始化,定时地调用存储器中的重构逻辑程序控制FPGA芯片对系统硬件架构形式进行重新架构;多个TCAM芯片,所述TCAM芯片用于预存多个不同类型的特征值信息表项,并按照FPGA芯片提取的特征值信息表项进行查找并将查找信息反馈给FPGA芯片,同时若当前FPGA芯片提取的特征值信息表项不属于预存的特征值信息表项时,对预存的特征值信息表项进行实时更新;FPGA芯片,所述FPGA芯片用于按照所述CPU芯片下发的逻辑重构命令对系统的硬件架构形式进行重新架构;以及存储器,所述存储器用于存储若干个系统硬件架构的重构逻辑程序。
【技术特征摘要】
1.一种基于硬件重构的拟态安全网络架构的实现系统,其特征在于:包括至少两个相互独立的CPU芯片,所述CPU芯片均用于对系统内的各个硬件进行初始化,定时地调用存储器中的重构逻辑程序控制FPGA芯片对系统硬件架构形式进行重新架构;多个TCAM芯片,所述TCAM芯片用于预存多个不同类型的特征值信息表项,并按照FPGA芯片提取的特征值信息表项进行查找并将查找信息反馈给FPGA芯片,同时若当前FPGA芯片提取的特征值信息表项不属于预存的特征值信息表项时,对预存的特征值信息表项进行实时更新;FPGA芯片,所述FPGA芯片用于按照所述CPU芯片下发的逻辑重构命令对系统的硬件架构形式进行重新架构;以及存储器,所述存储器用于存储若干个系统硬件架构的重构逻辑程序;所述FPGA芯片与所述TCAM芯片还用于联合完成系统网络行为的分析过程即构建相应特征值信息表项的匹配域过程,所述的联合完成系统网络行为的分析过程是指当系统处于当前网络环境时,所述FPGA芯片实时对外部终端与系统之间的数据信息进行特征值信息表项提取,并发送给所述TCAM芯片进行比对;所述TCAM芯片按照该特征值信息表项与预存的特征值信息表项进行比对查找,并将查找信息反馈给FPGA芯片,若当前提取的特征值信息表项不属于预存的特征值信息表项时,自动对预存的特征值信息表项进行实时更新;同时所述FPGA芯片依据反馈的查找信息,计算当前提取的特征值信息表项对系统的访问数据信息,当超过所述FPGA芯片预设的报警下限时,确认当前特征值信息表项出现异常,通知所述CPU芯片;所述的CPU芯片对上述特征值信息表项异常信息进行后期处理;所述系统还包括外部重构控制过程,系统通过网络接口,与上位机进行通信接收上位机重构控制逻辑命令,以实现系统硬件架构形式的外部重构控制过程;所述的CPU芯片还包括用于对系统其它硬件的运行状态进行监控,在发现硬件状态异常时,发布对应硬件异常的信息。2.根据权利要求1所述的一种基于硬件重构的拟态安全网络架构的实现系统,其特征在于:所述CPU芯片内部预设应急故障程序,在对系统其它硬件的状态进行监控并发现对应的硬件出现异常时,自动停止包括该异常硬件的重构逻辑程序,保障系统正常运行。3.一种基于硬件重构的拟态安全网络架构的实现方法,其特征在于:设置至少两个相互独立的CPU芯片,通过CPU芯片对系统内...
【专利技术属性】
技术研发人员:官福山,陈琨,徐天赐,张晓雷,栾慎亭,张宇,路婧,
申请(专利权)人:大连梯耐德网络技术有限公司,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。