[实用新型]基于FPGA的网络Smurf攻击特征瞬时防御电路

说明书

技术领域

本实用新型涉及一种网络攻击防御电路，具体讲涉及一种基于FPGA的网络Smurf攻击特征瞬时防御电路。

背景技术

随着因特网的迅速发展，电力系统对通信网络的依赖越来越大，特别是新一代智能电网使通信网络信息安全面临新的挑战。由于网络本身(特别是TCP/IP协议)的安全缺陷，各种拒绝服务(Denial of Service，简称DoS)攻击不可能消失，其中Smurf攻击以其攻击范围广、隐蔽性强、简单有效等特点成为最常见的网络攻击方式之一，严重威胁着电力信息通信网络的安全，极大地影响了电力系统的安全、稳定、经济、优质运行，影响着智能电网的实现进程。

信息通信网络的防Smurf攻击目前主要依靠纯软件防火墙和专用芯片加CPU方案实现的防火墙设备，它们都存在相应的缺点：纯软件防火墙要耗费一定的CPU资源和存在实际网络带宽不高等问题，在被攻击时问题尤为严重；专用芯片加CPU方案防火墙设备成本高、不灵活，需要额外增加设备且设备本身管理部分就是容易被各种攻击。迫切需要一种基于硬件电路的、不耗CPU资源、高实际网口带宽的网络物理层Smurf攻击的防御电路。

实用新型内容

为满足现有技术的需要，本实用新型提供了一种基于FPGA的网络Smurf攻击特征瞬时防御电路；所述防御电路设置在以太网接口的数据链路层和数据物理层之间；出向寄存器电路和出向逻辑电路依次连接于计数/控制器与出向FIFO缓存器之间；入向寄存器电路和入向逻辑电路依次连接于所述计数/控制器与入向FIFO缓存器之间；所述出向FIFO缓存器和所述入向FIFO缓存器通过MII接口连接于MAC电路和PHY电路之间；

所述计数/控制器通过对网络报文的半字节计数锁存寄存器，从而控制所述出向寄存器电路和所述入向寄存器电路的输出电平；所述计数/控制器控制所述出向逻辑电路和所述入向逻辑电路的开启和关断；所述出向FIFO缓存器缓存CPU发出的数据包，所述出向逻辑电路控制所述出向FIFO缓存器将所述数据包发送到外部网络；所述入向FIFO缓存器缓存由外部网络发送到所述CPU的数据包，所述入向逻辑电路控制所述入向FIFO缓存器将所述数据包发送到所述CPU。

优选的，所述计数/控制器为双路半字节计数/控制器；

优选的，所述出向寄存器电路包括时钟计数器和分别与数值比较器相连的报文类型寄存器、源IP地址寄存器、IP报文类型寄存器、分段标志寄存器、ICMP报文类型寄存器、目的IP地址寄存器和备份目的IP地址寄存器；所述数值比较器的数目为6；所述目的IP地址寄存器和所述备份目的IP地址寄存器分别与一个所述数值比较器的两个输入端相连；

所述入向寄存器电路包括分别与数值比较器相连的报文类型寄存器、IP报文类型寄存器、ICMP报文类型寄存器和ICMP报文类型Code寄存器；

优选的，所述出向逻辑电路包括或门电路、与门阵列电路和或门输出电路；

所述或门电路的输入端与所述时钟计数器和所述目的IP地址寄存器输出端的数值比较器相连；所述与门阵列电路的输入端与所述源IP地址寄存器、所述IP报文类型寄存器、所述分段标志寄存器、所述ICMP报文类型寄存器输出端的数值比较器和所述或门电路的输出端相连；所述或门输出电路的输入端与所述报文类型寄存器输出端的数值比较器和所述与门阵列电路的输出端相连；所述或门输出电路的输出端与所述出向FIFO缓存器相连；

优选的，所述入向逻辑电路包括与门阵列电路和或门输出电路；

所述与门阵列电路的输入端与所述IP报文类型寄存器、所述ICMP报文类型寄存器和所述ICMP报文类型Code寄存器输出端的数值比较器相连；所述或门输出电路的输入端与所述报文类型寄存器输出端的数值比较器和所述与门阵列电路的输出端相连；所述或门输出电路的输出端与所述入向FIFO缓存器相连。

与现有技术相比，本实用新型的优异效果是：

1、本实用新型技术方案中，防御电路设置在以太网口数据链路层和数据物理层之间，通过MII接口分别与MAC电路芯片和PHY芯片连接，实现了硬件网络的Smurf攻击特征瞬时防御；

2、本实用新型技术方案中，采用FPGA实现网络Smurf攻击特征瞬时防御，检测过滤速度快、不占CPU资源和网口带宽；

3、本实用新型技术方案中，采用FPGA实现网络Smurf攻击特征瞬时防御，提高了防御电路的灵活性，降低系统成本；