专利名称:网络特征提取装置及方法
技术领域:
本发明涉及互联网管理与测量技术领域,具体为一种网络特征提取装置及方法。
背景技术:
随着网络的发展,越来越多的用户接入互联网,使互联网空前的繁荣、壮大,互联网成了绝大多数用户获取信息资源的重要场所。互联网接入的计算机网络规模不断扩大、复杂性不断增加以及异构性越来越普遍,使得网络管理越来越困难。另外,如何更有效地保护重要的信息数据、提高计算机网络系统的安全性也成为了一个关系国家安全和社会稳定的重要问题。以太网是目前计算机接入互联网的主要连接方式,通过对以太网帧提取网络管理、网络安全和计费所需要的有用信息,有利于提高互联网性能监控能力。所以,网络特征提取装置是互联网进行进一步网络管理和安全分析的基础。目前为进行互联网的管理,绝大部分都是采用软件的方式来提取以太网中传送的数据包的网络特征的。此种软件方式是通过网卡驱动程序、操作系统、应用层等一系列层次捕获TCP/IP数据包,结果造成捕获数据包的延迟,无法做到线速处理TCP/IP数据包,因此软件方式捕获TCP/IP数据包网络特征时,会有70%至90%的TCP/IP数据包无法捕获,即使占用100%的CPU也无法保证网络特征提取的速度与当前的网络速度匹配。无法实时提取以太网中传输的各TCP/IP数据包网络特征,就不能及时进行网络流量统计、网络协议分析等。另外,为了软件的运行,至少需要一台通用的计算机或者工控机,成本也比较高。
发明内容
本发明的目的在于提供一种网络特征提取装置,以现场可编程门阵列为核心,以硬件实现以太网网络特征提取,减少捕获TCP/IP数据包的延迟。本发明的另一目的在于提供一种网络特征提取方法,采用网络特征提取装置,通过循环监听、接收TCP/IP数据包、提取网络特征、累积组包发送,实现线速提取以太网的网络特征。本发明的网络特征提取装置,包括电源电路、时钟电路,还有现场可编程门阵列、下载电路及物理芯片电路。所述电源电路将直流电压降压、接入现场可编程门阵列和本装置其它电路,为本装置各电路提供工作电压。所述时钟电路为本装置提供标准时钟信号。所述现场可编程门阵列包括FPGA芯片及外围的滤波电容、匹配电阻。FPGA芯片包括时钟分配模块、网络特征提取模块和以太网MAC模块。FPGA芯片即现场可编程门阵列芯片(FPGA为英文Field Programmable Gate Array的缩写)。MAC即媒体访问控制(MAC为英文 Media Access Control 的缩写)。时钟分配模块与所述时钟电路连接,根据时钟电路的时钟信号,时钟分配模块产生25M的时钟信号提供给物理芯片电路。时钟分配模块接入网络特征提取模块,以太网MAC模块连接网络特征提取模块和物理芯片电路。时钟分配模块给以太网MAC模块、网络特征提取模块、物理芯片电路提供时钟信号。所述时钟电路为有源晶振。FPGA芯片中的以太网MAC模块含有MAC主模块及与之连接的接收模块、发送模块、接收缓冲区和发送缓冲区,接收模块连接接收缓冲区,发送模块连接发送缓冲区。MAC主模块通过接收模块和发送模块与物理芯片电路连接,所述接收模块的各引脚为接收时钟信号引脚、接收数据有效信号引脚、接收数据引脚和接收错误信号引脚,所述发送模块的各引脚为发送时钟信号引脚、发送有效信号引脚、发送数据引脚和发送错误信号引脚。所述物理芯片电路包括以太网物理芯片,集成连接器以及外围器件。其中以太网物理芯片支持标准的CSMA/⑶(载波监听和冲突检测)10M、100M以太网,还支持IEEE802. 3u定义的全双工的100M的快速以太网;以太网物理芯片包括跳线和上拉电阻,跳线用于选择以太网物理芯片接口的工作模式及发送数据时,信号的转换率(Slew rate)的快慢。以太网物理芯片通过MII接口,即介质无关接口(英文为Medium Independent hterface)与FPGA芯片连接。集成连接器集成了网络变压器、显示灯,支持ADSL Modem,集线器,路由器,交换机等应用。以太网物理芯片经集成连接器与以太网连接。外围器件包括信号匹配电阻、配置电阻,数字电源(+3. 3V)和模拟电源(+3. 3VA)的滤波电容以及隔离数字电源和模拟电源的磁珠。本装置的现场可编程门阵列连接2 8个物理芯片电路,即本装置有2 8个网络接口。各物理芯片电路的集成连接器连接局域网的主干线或主干交换机、或者局域网的出口线或出口路由器,并且连接网络管理设备。所述网络管理设备为入侵检测设备、和/或网络流量统计设备、和/或网络行为管理设备、和/或网络计费设备、和/或防火墙设备等。本装置的现场可编程门阵列还接有下载电路,所述下载电路为与上述FPGA芯片相匹配的可编程只读存储器芯片,通过JTAG接口以及跳线接口与FPGA芯片连接。JTAG接口为标准接口,包括模式选择、时钟、数据输入和数据输出的4线接口。跳线接口决定下载数据存储于FPGA芯片或可编程只读存储器芯片。本装置调试时,下载电路经JTAG数据输入线、数据输出线与进行程序调试的计算机连接,将计算机中的程序下载至FPGA进行调试,程序调试成功后,计算机将程序烧写于可编程只读存储器芯片。本装置初始化时,程序直接从可编程只读存储器芯片迁移至FPGA芯片运行。所述现场可编程门阵列还接有复位电路,复位电路包括复位开关及相关电容、电阻,初始化时接通复位电路使以太网MAC模块的接收模块和发送模块的各引脚高电平复位。本发明的网络特征提取方法,采用上述本发明的网络特征提取装置,其主要步骤如下A、循环监听,接收以太帧;以太网物理芯片经集成连接器接收以太帧,MAC主模块循环监听MII接口的数据,由以太帧中的类型字段是否O X 0800判断该以太帧是否TCP/IP数据包,若是,则接收数据;若否,则将以太帧直接转发回以太网;MAC主模块循环监听其MII接口的数据时,当MII接口的接收数据有效信号引脚在接收时钟信号引脚的上升沿为高电平、且接收错误信号引脚在接收时钟信号引脚的上升沿为低电平时,表示MII接口的接收数据信号引脚数据有效,开始接收以太帧的半字节(Nibble)数据;FPGA芯片内的以太网MAC模块的接收模块将从MII接口接收到以太帧的每2个半字节数据组成一个字节,送入接收缓冲区,将接收的同一以太帧的数据还原成一个完整的TCP/IP数据包,并完成循环冗余校验(CRC校验);B、提取TCP/IP数据包的网络特征并累积;MAC主模块将接收缓冲区内的TCP/IP数据包送入网络特征提取模块提取其网络特征,所得该TCP/IP数据包的网络特征组送回以太网MAC模块,累积于发送缓冲区暂存;同时,为了不影响正常的网络运行,MAC主模块将提取网络特征后的TCP/IP数据包经物理电路芯片直接透明发回以太网;C、发送累积的网络特征组;当以太网MAC模块所计接收的TCP/IP数据包数未达到N,所述N为正整数,50 < N < 100,返回A步骤,,继续接收TCP/IP数据包与提取网络特征;当以太网MAC模块所计接收的TCP/IP数据包数达到N,MAC主模块从发送缓冲区读出累积的各TCP/IP数据包的网络特征组并构成一个网络特征组IP数据包,送入发送模块,经MII接口通过物理芯片电路将网络特征组IP数据包发送到网络管理设备。返回步骤A,再重新开始接收TCP/IP数据包与提取网络特征。当MII接口的发送时钟信号引脚的上升沿、发送数据有效信号引脚为高电平、且发送错误信号引脚为低电平时,将网络特征组的TCP/IP数据包送到发送数据信号引脚,将网络特征组IP数据包发送到网络管理设备。所述步骤B中提取TCP/IP数据包的网络特征为目的IP地址、源IP地址、包长度、目的端口、源端口及网络协议。本发明网络特征提取装置及方法的有益效果为1、本装置以纯硬件接收网络数据包并提取其网络特征,可以做到线速地处理网络数据包,比以前的用软件进行网络特征的提取方法具有速度上的优势,采用本发明可以100%捕获到以太网上运行的TCP/IP数据包的网络特征并及时发送到相关网络管理设备,网络特征的提取速度与全速的网络速度相匹配,从而保证入侵检测、网络流量统计、网络行为管理设备、网络计费、防火墙等网络管理的有效实施;2、本装置无需专门配备计算机或者工控机,且结构简单,采用通用元器件,成本比较低,适合于推广应用。
图1本网络特征提取装置实施例的整体结构框图;图2为图1中以太网MAC模块的结构框图;图3为本网络特征提取装置实施例接入以太网使用情况示意图;图4为本网络特征提取方法实施例的流程图。
具体实施例方式网络特征提取装置实施例
本例如图1所示,包括电源电路、时钟电路、现场可编程门阵列、物理芯片电路、下载电路和复位电路。所述电源电路将直流电压降压、接入现场可编程门阵列及本装置其他的电路,为本装置各电路提供工作电压。所述现场可编程门阵列包括FPGA芯片及外围的滤波电容、匹配电阻。FPGA芯片包括时钟分配模块、网络特征提取模块和以太网MAC模块。时钟分配模块接入网络特征提取模块,以太网MAC模块连接网络特征提取模块和物理芯片电路所述时钟电路为有源晶振,与所述时钟分配模块连接。如图2所示,FPGA芯片中的以太网MAC模块含有MAC主模块及与之连接的接收模块、发送模块、接收缓冲区和发送缓冲区,接收模块连接接收缓冲区,发送模块连接发送缓冲区。MAC主模块通过接收模块和发送模块与物理芯片电路的MII接口连接,所述接收模块的各引脚为接收时钟信号引脚、接收数据有效信号引脚、接收数据引脚和接收错误信号引脚,所述发送模块的各引脚为发送时钟信号引脚、发送有效信号引脚、发送数据引脚和发送错误信号引脚。所述物理芯片电路包括以太网物理芯片,集成连接器以及外围器件。本例所用以太网物理芯片支持标准的CSMA/CD10M、100M以太网及IEEE802. 定义的全双工的100M的快速以太网的标准以太网物理芯片。以太网物理芯片通过MII接口与FPGA芯片连接。每个以太网物理芯片配一个集成连接器,集成连接器集成了网络变压器和LED显示灯,以太网物理芯片经集成连接器与以太网连接。如图3所示本装置的FPGA芯片连接4个物理芯片电路,即本例装置有4个网络接口。其中物理芯片电路1连接局域网的主干交换机、物理芯片电路2连接局域网的出口线,物理芯片电路4连接网络管理设备。物理芯片电路3闲置备用,可以在需要连接两个网络管理设备时启用。物理芯片电路也可选择连接局域网主干线,或局域网出口路由器。所述网络管理设备为入侵检测设备、或网络流量统计设备、或网络行为管理设备、或网络计费设备、或防火墙设备。本例现场可编程门阵列还接有下载电路,所述下载电路为与上述FPGA芯片相匹配的可编程只读存储器芯片,通过JTAG接口以及跳线接口与FPGA芯片连接。所述现场可编程门阵列还接有复位电路。网络特征提取方法实施例本例采用上述网络特征提取装置实施例,其主要步骤如图4所示,具体如下A、循环监听,接收以太帧;以太网物理芯片经集成连接器接收以太帧,MAC主模块循环监听其MII接口的数据,并由以太帧中的类型字段是否O X 0800判断该以太帧是否TCP/IP数据包,若是,则接收数据;若否,则将以太帧直接转发回以太网;当MII接口的接收数据有效信号引脚在接收时钟信号引脚的上升沿为高电平、且接收错误信号引脚在接收时钟信号引脚的上升沿为低电平时,表示MII接口的接收数据信号引脚数据有效,开始接收以太帧的半字节数据;FPGA芯片内的以太网MAC模块的接收模块将从MII接口接收到以太帧的每2个半字节数据组成一个字节,送入接收缓冲区,将接收的同一以太帧的数据还原成一个完整的TCP/IP数据包,并完成循环冗余校验(CRC校验);B、提取TCP/IP数据包的网络特征并累积;MAC主模块将接收缓冲区内的TCP/IP数据包送入网络特征提取模块提取其网络特征,所得该TCP/IP数据包的网络特征组送回以太网MAC模块,累积于发送缓冲区暂存;所提取TCP/IP数据包的网络特征为目的IP地址、源IP地址、包长度、目的端口、源端口及网络协议,一个TCP/IP数据包的网络特征组的名称和字长如表1所示。表1网络特征组名称及字长表
目的IP地址源IP地址包长度目的端口源端口网络协议4字节4字节2字节2字节2字节1字节同时,MAC主模块将提取网络特征后的TCP/IP数据包经物理电路芯片直接透明发回以太网;C、发送累积的网络特征组;当以太网MAC模块所计接收的TCP/IP数据包数未达到80,返回步骤A,重复A、B步骤;当以太网MAC模块所计接收的TCP/IP数据包数达到80,MAC主模块从发送缓冲区读出累积的各TCP/IP数据包的网络特征组并构成一个网络特征组IP数据包,送入发送模块,经MII接口通过物理芯片电路将网络特征组IP数据包发送到网络管理设备。返回步骤A,再重新开始接收TCP/IP数据包与提取网络特征。当MII接口的发送时钟信号引脚的上升沿、发送数据有效信号引脚为高电平、且发送错误信号引脚为低电平时,将网络特征组IP数据包送到发送数据信号引脚,将网络特征组IP数据包发送到网络管理设备。上述实施例,仅为对本发明的目的、技术方案和有益效果进一步详细说明的具体个例,本发明并非限定于此。凡在本发明的公开的范围之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围之内。
权利要求
1.网络特征提取装置,包括电源电路、时钟电路,其特征在于还有现场可编程门阵列、下载电路及物理芯片电路;所述电源电路接入现场可编程门阵列及本装置其他的电路;所述现场可编程门阵列包括FPGA芯片及外围的滤波电容、匹配电阻;FPGA芯片包括时钟分配模块、网络特征提取模块和以太网MAC模块,时钟分配模块与所述时钟电路连接,时钟分配模块接入网络特征提取模块,以太网MAC模块连接网络特征提取模块和物理芯片电路;FPGA芯片中的以太网MAC模块含有MAC主模块及与之连接的接收模块、发送模块、接收缓冲区和发送缓冲区,接收模块连接接收缓冲区,发送模块连接发送缓冲区;所述物理芯片电路包括以太网物理芯片,集成连接器以及外围的器件;以太网物理芯片通过MII接口与FPGA芯片连接;集成连接器集成了网络变压器、显示灯,以太网物理芯片经集成连接器与以太网连接;所述下载电路为与上述FPGA芯片相匹配的可编程只读存储器芯片,通过JTAG接口以及跳线接口与FPGA芯片连接。
2.根据权利要求1所述的网络特征提取装置,其特征在于所述现场可编程门阵列还接有复位电路,复位电路包括复位开关及相关电容、电阻,初始化时接通复位电路使以太网MAC模块的接收模块和发送模块的各引脚高电平复位。
3.根据权利要求1所述的网络特征提取装置,其特征在于所述FPGA芯片连接2 8个物理芯片电路,各物理芯片电路的集成连接器连接局域网的主干线或主干交换机、或者局域网的出口线或出口路由器,并且连接网络管理设备。
4.根据权利要求1所述的网络特征提取装置,其特征在于所述MAC主模块通过接收模块和发送模块与物理芯片电路的MII接口连接,所述接收模块的各引脚为接收时钟信号引脚、接收数据有效信号引脚、接收数据引脚和接收错误信号引脚所述发送模块的各引脚为发送时钟信号引脚、发送有效信号引脚、发送数据引脚和发送错误信号引脚。
5.根据权利要求1所述的网络特征提取装置,其特征在于所述以太网物理芯片为支持标准的CSMA/⑶载波监听和冲突检测10MU00M以太网和IEEE802. 3u定义的全双工的100M的快速以太网的物理芯片。
6.根据权利要求1所述的网络特征提取方法,其特征在于所述时钟电路为有源晶振。
7.根据权利要求3所述的网络特征提取方法,其特征在于所述网络管理设备为入侵检测设备、和/或网络流量统计设备、和/或网络行为管理设备、和/或网络计费设备、和/或防火墙设备。
8.网络特征提取方法,采用权利要求1至6中任一项所述的网络特征提取装置,其特征在于主要步骤如下A、循环监听,接收以太帧;以太网物理芯片经集成连接器接收以太帧,MAC主模块循环监听MII接口的数据,由以太帧中的类型字段是否OX0800判断该以太帧是否TCP/IP数据包,若是,则接收数据;若否,则将以太帧直接转发回以太网;FPGA芯片内的以太网MAC模块的接收模块将从MII接口接收到以太帧的每2个半字节数据组成一个字节,送入接收缓冲区,将接收的同一以太帧的数据还原成一个完整的TCP/IP数据包,并完成循环冗余校验;B、提取TCP/IP数据包的网络特征并累积;MAC主模块将接收缓冲区内的TCP/IP数据包送入网络特征提取模块提取其网络特征,所得该TCP/IP数据包的网络特征组送回以太网MAC模块,累积于发送缓冲区暂存;同时,MAC主模块将提取网络特征后的TCP/IP数据包透明发回以太网;C、发送累积的网络特征组;当以太网MAC模块所计接收的TCP/IP数据包数未达到N,N为正整数,50 ^ N ^ 100,返回步骤A,继续接收TCP/IP数据包与提取网络特征;当以太网MAC模块所计接收的TCP/IP数据包数达到N,MAC主模块从发送缓冲区读出累积的各TCP/IP数据包的网络特征组并构成一个网络特征组IP数据包,送入发送模块,经MII接口通过物理芯片电路将网络特征组IP数据包发送到网络管理设备;返回步骤A,再重新开始接收TCP/IP数据包与提取网络特征。
9.根据权利要求8所述的网络特征提取方法,其特征在于所述步骤A中MAC主模块循环监听MII接口的数据,当MII接口的接收数据有效信号引脚在接收时钟信号引脚的上升沿为高电平、且接收错误信号引脚在接收时钟信号引脚的上升沿为低电平时,表示MII接口的接收数据信号引脚数据有效,开始接收数据;所述步骤C当MII接口的发送时钟信号引脚的上升沿、发送数据有效信号引脚为高电平、且发送错误信号引脚为低电平时,将网络特征组的TCP/IP数据包送到发送数据信号引脚将网络特征组IP数据包发送到网络管理设备。
10.根据权利要求8所述的网络特征提取方法,其特征在于所述步骤B中提取TCP/IP数据包的网络特征为目的IP地址、源IP地址、包长度、目的端口、源端口及网络协议。
全文摘要
本发明为网络特征提取装置及方法,本装置的FPGA芯片包括依次相接的时钟分配模块、网络特征提取模块和以太网MAC模块。连接时钟电路的时钟分配模块接入网络特征提取模块,以太网MAC模块连接物理芯片电路。以太网MAC模块含有MAC主模块及与之连接的接收、发送模块和接收、发送缓冲区。FPGA芯片经多个物理芯片电路连接局域网和网络管理设备。本方法为A、接收以太帧,接收TCP/IP数据包,在接收缓冲区还原并完成CRC校验;B、提取TCP/IP数据包的网络特征累积于发送缓冲区,数据包发回以太网;C、网络特征组累积数达到N,构成网络特征组IP数据包,发送到网络管理设备,返回A再次循环。本发明以硬件线速接收数据包并提取其网络特征,与网络速度相匹配。
文档编号H04L12/24GK102571496SQ201210017300
公开日2012年7月11日 申请日期2012年1月19日 优先权日2012年1月19日
发明者周晴伦, 王勇, 陶晓玲 申请人:桂林电子科技大学