一种基于硬件重构的拟态安全网络架构的实现系统及方法

一种基于硬件重构的拟态安全网络架构的实现系统及方法
【专利摘要】本发明公开了一种基于硬件重构的拟态安全网络架构的实现系统及方法，系统包括CPU芯片，用于对系统内的各个硬件进行初始化，定时地调用存储器中的重构逻辑程序控制FPGA芯片对系统硬件架构形式进行重新架构；多个TCAM芯片，用于预存多个不同类型的特征值信息表项，并按照FPGA芯片提取的特征值信息表项进行查找并将查找信息反馈给FPGA芯片；FPGA芯片，用于按照所述CPU芯片下发的逻辑重构命令对系统的硬件架构形式进行重新架构以及存储器，用于存储若干个系统硬件架构的重构逻辑程序。本发明利用FPGA的重构特性并结合CPU与TCAM芯片，对系统硬件进行重新选择架构，进而使得系统具有硬件架构的不可确定性，从而有效地实现硬件层面的主动防御特性。
【专利说明】一种基于硬件重构的拟态安全网络架构的实现系统及方法

【技术领域】
[0001]本发明涉及一种网络安全架构的实现方法，尤其涉及一种基于硬件重构的拟态安全网络架构的实现系统及方法。

【背景技术】
[0002]随着网络技术的不断成熟，网络的应用也变得无孔不入，在很多情况下个人甚至国家的机密数据也需要在网络上进行大量的传输，如果网络环境不安全，则会对网络的使用者造成巨大的损失，因此网络安全技术是必须伴随网络成长的重要技术。
[0003]目前，人们越来越重视网络安全，对应的改进方法不断更新完善，如采用防火墙，动态IP，网络拓扑变换等方法，但上述的方法都是从软件层面实现的，并没有考虑系统硬件需要提高安全可靠性，如果我们使用的硬件本身就存在“后门”，那么在软件层面上的保护可能就会收效甚微。


【发明内容】

[0004]鉴于已有技术存在的缺陷，本发明的目的是要提供一种基于硬件重构技术实现的具有拟态特征的网络安全架构的实现系统及方法，本发明利用FPGA的重构特性并结合CPU与TCAM芯片，对系统硬件进行重新选择架构，进而使得系统具有硬件架构的不可确定性，从而有效地实现硬件层面的主动防御特性。
[0005]为了实现上述目的，本发明的技术方案:
[0006]一种基于硬件重构的拟态安全网络架构的实现系统，其特征在于:
[0007]包括
[0008]至少两个相互独立的CPU芯片，所述CPU芯片均用于对系统内的各个硬件进行初始化，定时地调用存储器中的重构逻辑程序控制FPGA芯片对系统硬件架构形式进行重新架构；
[0009]多个TCAM芯片，所述TCAM芯片用于预存多个不同类型的特征值信息表项，并按照FPGA芯片提取的特征值信息表项进行查找并将查找信息反馈给FPGA芯片，同时若当前FPGA芯片提取的特征值信息表项不属于预存的特征值信息表项时，对预存的特征值信息表项进行实时更新；
[0010]FPGA芯片，所述FPGA芯片用于按照所述CPU芯片下发的逻辑重构命令对系统的硬件架构形式进行重新架构；
[0011]以及存储器，所述存储器用于存储若干个系统硬件架构的重构逻辑程序。
[0012]进一步的，所述FPGA芯片与所述TCAM芯片还用于联合完成系统网络行为的分析过程即构建相应特征值信息表项的匹配域过程，所述的联合完成系统网络行为的分析过程是指当系统处于当前网络环境时，所述FPGA芯片实时对外部终端与系统之间的数据信息进行特征值信息表项提取，并发送给所述TCAM芯片进行比对；所述TCAM芯片按照该特征值信息表项与预存的特征值信息表项进行比对查找，并将查找信息反馈给FPGA芯片，若当前提取的特征值信息表项不属于预存的特征值信息表项时，自动对预存的特征值信息表项进行实时更新；同时所述FPGA芯片依据反馈的查找信息，计算当前提取的特征值信息表项对系统的访问数据信息，当超过所述FPGA芯片预设的报警下限时，确认当前特征值信息表项出现异常，通知所述CPU芯片；所述的CPU芯片对上述特征值信息表项异常信息进行后期处理。
[0013]所述后期处理是指按照上述特征值信息表项异常信息发布系统访问数据异常报警信息的处理过程或者记录到所述CPU芯片预设的日志表格中的处理过程的任意一种处理过程或者两者结合的处理过程。
[0014]所述系统还包括外部重构控制过程，系统通过网络接口，与上位机进行通信接收上位机重构控制逻辑命令，以实现系统硬件架构形式的外部重构控制过程。
[0015]所述的CPU芯片还包括用于对系统其它硬件的运行状态进行监控，在发现硬件状态异常时，发布对应硬件异常的信息。
[0016]进一步的，所述CPU芯片内部预设应急故障程序，在对系统其它硬件的状态进行监控并发现对应的硬件出现异常时，自动停止包括该异常硬件的重构逻辑程序，保障系统正常运行。
[0017]一种基于硬件重构的拟态安全网络架构的实现方法，其特征在于:
[0018]设置至少两个相互独立的CPU芯片，通过CPU芯片对系统内的各个硬件进行初始化，并定时地调用存储器中的重构逻辑程序控制FPGA芯片对系统硬件架构形式进行重新架构；
[0019]设置多个TCAM芯片，通过TCAM芯片预存多个不同类型的特征值信息表项，并使得TCAM芯片按照FPGA芯片提取的特征值信息表项进行查找并将查找信息反馈给FPGA芯片，同时若当前FPGA芯片提取的特征值信息表项不属于预存的特征值信息表项时，对预存的特征值信息表项进行实时更新；
[0020]同时通过设置FPGA芯片，使得所述FPGA芯片按照所述CPU芯片下发的逻辑重构命令对系统的硬件架构形式进行重新架构；
[0021]上述重构逻辑程序通过设置存储器将若干个系统硬件架构的重构逻辑程序存储于其内，便于CPU芯片调用。
[0022]进一步的，所述FPGA芯片与所述TCAM芯片还用于联合完成系统网络行为的分析过程即构建相应特征值信息表项的匹配域过程，所述的联合完成系统网络行为的分析过程是指当系统处于当前网络环境时，所述FPGA芯片实时对外部终端与系统之间的数据信息进行特征值信息表项提取，并发送给所述TCAM芯片进行比对；所述TCAM芯片按照该特征值信息表项与预存的特征值信息表项进行比对查找，并将查找信息反馈给FPGA芯片，若当前提取的特征值信息表项不属于预存的特征值信息表项时，自动对预存的特征值信息表项进行实时更新；同时所述FPGA芯片依据反馈的查找信息，计算当前提取的特征值信息表项对系统的访问数据信息，当超过所述FPGA芯片预设的报警下限时，确认当前特征值信息表项出现异常，通知所述CPU芯片；所述的CPU芯片对上述特征值信息表项异常信息进行后期处理。
[0023]所述后期处理是指按照上述特征值信息表项异常信息发布系统访问数据异常报警信息的处理过程或者记录到所述CPU芯片预设的日志表格中的处理过程的任意一种处理过程或者两者结合的处理过程。
[0024]所述方法还包括外部重构控制过程，通过网络接口，与上位机进行通信接收上位机重构控制逻辑命令，以实现系统硬件架构形式的外部重构控制过程。
[0025]所述的CPU芯片还包括用于对系统其它硬件的运行状态进行监控，在发现硬件状态异常时，发布对应硬件异常的信息。
[0026]进一步的，所述CPU芯片内部预设应急故障程序，在对系统其它硬件的状态进行监控并发现对应的硬件出现异常时，自动停止包括该异常硬件的重构逻辑程序，保障系统正常运行。
[0027]与现有技术相比，本发明的有益效果:
[0028]1.利用FPGA的重构特性并结合CPU与TCAM芯片，对系统硬件进行重新选择架构，进而使得系统具有硬件架构的不可确定性，从而有效地实现硬件层面的主动防御特性；
[0029]2.实时对外部终端与系统之间的数据信息进行监控，构建相应特征值信息表项的匹配域，核查系统的访问数据信息并进行异常报警，提高系统可靠性以及防御性。

【专利附图】

【附图说明】
[0030]图1为本发明所述系统的电路原理示意图；
[0031]图2为本发明所述实施例1的电路原理示意图。

【具体实施方式】
[0032]为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图，对本发明进行进一步详细说明。
[0033]本发明从网络安全角度出发，在硬件层面上设计了一种基于硬件架构形式不断变化的主动防御系统，该系统主要是利用FPGA的重构特性并结合CPU与TCAM芯片，对系统硬件进行重新选择架构，进而使得系统具有硬件架构的不可确定性，即拟态特性(来源于生物界，在此处引申为硬件环境在不断的变化中，使攻击者难以确定攻击点)从而有效地实现硬件层面的主动防御特性。
[0034]如图1所示，基于上述思想本发明所述的系统，主要包括至少两个相互独立的CPU芯片、多个TCAM芯片、FPGA芯片以及存储器；
[0035]其中，采用至少两个相互独立的CPU芯片，每一 CPU芯片均可用于对系统内的各个硬件进行初始化，定时地调用存储器中的重构逻辑程序控制FPGA芯片对系统硬件架构形式进行重新架构，为了提高系统强健性，可采用不同的CPU芯片型号或者类型；
[0036]多个TCAM芯片，所述TCAM芯片用于预存多个不同类型的特征值信息表项，并按照FPGA芯片提取的特征值信息表项进行查找并将查找信息反馈给FPGA芯片，同时若当前FPGA芯片提取的特征值信息表项不属于预存的特征值信息表项时，对预存的特征值信息表项进行实时更新(由CPU芯片控制完成)，当然也可以直接丢弃该特征值信息表项，但是为了提高系统主动防御性，因此设置实时更新功能)，同样的为了提高系统强健性，可采用不同的TCAM芯片型号或者类型，其中所述的特征值信息表项包括源Mac地址、目的Mac地址、源IP地址、目的IP地址、源端口、目的端口、协议类型及负载的一个或者多种组合信息；FPGA芯片，所述FPGA芯片用于按照所述CPU芯片下发的逻辑重构命令对系统的硬件架构形式进行重新架构；
[0037]以及存储器，所述存储器用于存储若干个系统硬件架构的重构逻辑程序，所述重构逻辑程序设置多种类型的硬件架构实施方案或者计划表。
[0038]上述硬件组成了一个基本的具有拟态特征的系统，该系统定时的从存储器中调用不同的重构逻辑程序进行硬件重构，使得当前时刻的硬件架构形式所使用的CPU芯片或者TCAM芯片可能有别于下一时刻的硬件架构形式，降低了系统硬件架构固定的潜在性安全隐患，以系统硬件不可确定性来提高整个系统的安全性。
[0039]为了进一步提高系统的主动防御能力，所述FPGA芯片与所述TCAM芯片还用于联合完成系统网络行为的分析过程即构建相应特征值信息表项的匹配域过程，所述的联合完成系统网络行为的分析过程是指当系统处于当前网络环境时，所述FPGA芯片实时对外部终端与系统之间的数据信息进行特征值信息表项提取，并发送给所述TCAM芯片进行比对；所述TCAM芯片按照该特征值信息表项与预存的特征值信息表项进行比对查找，并将查找信息反馈给FPGA芯片，若当前提取的特征值信息表项不属于预存的特征值信息表项时，自动对预存的特征值信息表项进行实时更新；同时所述FPGA芯片依据反馈的查找信息，计算当前提取的特征值信息表项(对应的外部终端)对系统的访问数据信息，当超过所述FPGA芯片预设的报警下限时，确认当前特征值信息表项出现异常，通知所述CPU芯片；所述的CPU芯片对上述特征值信息表项异常信息进行后期处理；所述后期处理是指按照上述特征值信息表项异常信息发布系统访问数据异常报警信息的处理过程或者记录到所述CPU芯片预设的日志表格中的处理过程的任意一种处理过程或者两者结合的处理过程。即假定在当前网络环境中，某一个IP(取名为ipaddl)地址对系统的访问的时间间隔应当不小于I分钟；FPGA芯片对其输入的数据提取IP地址，并将其发送给TCAM芯片(TCAM芯片内部预先存储着ipaddl信息或者将其加入到预存的特征值信息表项内)进行比对，当所述的IP与预存的ipaddl匹配，TCAM芯片发送信号给FPGA芯片，FPGA芯片计算ipaddl命中的平均时间间隔(即对系统的访问数据信息)，当超过所述FPGA芯片预设的报警下限(应当不小于I分钟)时，FPGA芯片发送信号给CPU芯片，告知ipaddl行为异常，CPU会采取相应的处理，或是发出警告给用户，或者记录到日志表格中。
[0040]为了提高系统的可控性，所述系统设置外部重构控制过程，系统通过网络接口与上位机进行通信，利用CPU芯片实现接口访问，控制FPGA芯片按照上位机下发的重构控制逻辑命令，以实现系统硬件架构形式的外部重构控制过程，如通过网络接口，对系统硬件架构形式进行定时或者随机地调用存储器中的重构逻辑程序进行硬件架构形式的切换过程或者下发新的重构逻辑程序等过程。
[0041]为了提高系统的可靠性性，所述的CPU芯片还包括用于对系统其它硬件的运行状态进行监控，在发现硬件状态异常时，发布对应硬件异常的信息；和或在所述CPU芯片内部预设应急故障程序，在对系统其它硬件的状态进行监控并发现对应的硬件出现异常时，自动停止包括该异常硬件的重构逻辑程序，保障系统正常运行。如系统中某一 TCAM芯片运行出现异常，则当前运行的CPU芯片发布该TCAM芯片异常的信息；或在CPU芯片内部预设应急故障程序，当前运行的CPU芯片在对系统其它硬件的状态进行监控并发现该TCAM芯片出现异常时，自动停止包括该TCAM芯片的重构逻辑程序(即包括当前正在运行的重构逻辑程序或者后续待调用的重构逻辑程序)，待故障恢复后，再继续调用包括该TCAM芯片的重构逻辑程序等。
[0042]具体实施例1:如图2所示，系统包括两个相互独立的CPU芯片(CPU1和CPU2)，两个TCAM芯片，FPGA芯片以及存储器flash ；
[0043]其中，在flash中存储4种重构后的硬件架构形式，包括硬件架构1:使用CPUl和TCAMl进行硬件上的联合；硬件架构2:使用CPUl和TCAM2进行硬件上的联合；硬件架构3:使用CPU2和TCAMl进行硬件上的联合；以及硬件架构4:使用CPU2和TCAM2进行硬件上的联合，其中CPUl和CPU2可以使用不同厂家的产品，FPGA重构方式使用动态重构，在CPU芯片设置内部重构控制机制为每天依次或者随机在4种硬件架构中选择一种来进行硬件的组合使用。这样就可以实现系统硬件层面的在不同硬件架构中随机的切换使用，就可以有效的避免硬件漏洞对系统的长时间的“监视”和“窃听”。同时上位机可通过网络接口控制FPGA芯片对系统硬件架构形式进行修改，将当前的硬件架构I修改为硬件架构2，或者指定下一次硬件架构形式为硬件架构3，而不是硬件架构4。
[0044]同时在硬件架构I运行的环境时，系统设定IP (取名为ipadd2)地址对系统的访问的时间间隔应当不小于3分钟；FPGA芯片对其输入的数据提取IP地址，并将其发送给TCAM芯片I (TCAM芯片内部预先存储着ipadd2信息)进行比对，当所述的IP与预存的ipadd2信息匹配，TCAMl芯片发送信号给FPGA芯片，FPGA芯片计算ipadd2命中的平均时间间隔(即对系统的访问数据信息)为2分钟，超过所述FPGA芯片预设的报警下限3分钟时，FPGA芯片发送信号给CPUl芯片，告知ipadd2行为异常，CPUl芯片发布关于ipadd2的系统访问数据异常报警信息并其记录到所述CPUl芯片预设的日志表格中。
[0045]若在硬件架构I运行的环境时，CPUl芯片发现TCAMl芯片运行出现异常时发布TCAMl芯片异常的信息；鉴于在CPUl芯片内部预设了应急故障程序，在发布TCAMl芯片异常的信息同时，CPUl芯片停止硬件架构1，待TCAMl芯片故障恢复后，系统重启运行。
[0046]另外本发明还提供一种基于硬件重构技术实现的具有拟态特征的网络安全架构的实现方法，包括:
[0047]设置至少两个相互独立的CPU芯片，通过CPU芯片对系统内的各个硬件进行初始化，并定时地调用存储器中的重构逻辑程序控制FPGA芯片对系统硬件架构形式进行重新架构；每一 CPU芯片均可进行初始化，定时地调用存储器中的重构逻辑程序控制FPGA芯片对系统硬件架构形式进行重新架构，为了提高系统强健性，可采用不同的CPU芯片型号或者类型；
[0048]设置多个TCAM芯片，通过TCAM芯片预存多个不同类型的特征值信息表项，并使得TCAM芯片按照FPGA芯片提取的特征值信息表项进行查找并将查找信息反馈给FPGA芯片，同时若当前FPGA芯片提取的特征值信息表项不属于预存的特征值信息表项时，对预存的特征值信息表项进行实时更新；同样的为了提高系统强健性，可采用不同的TCAM芯片型号或者类型，其中所述的特征值信息表项包括源Mac地址、目的Mac地址、源IP地址、目的IP地址、源端口、目的端口、协议类型及负载的一个或者多种组合信息；
[0049]同时通过设置FPGA芯片，使得所述FPGA芯片按照所述CPU芯片下发的逻辑重构命令对系统的硬件架构形式进行重新架构；
[0050]上述重构逻辑程序通过设置存储器将若干个系统硬件架构的重构逻辑程序存储于其内，便于CPU芯片调用；同时所述重构逻辑程序设置多种类型的硬件架构实施方案或者计划表。
[0051]上述设置组成了一个基本的具有拟态特征的硬件动态重构方案，其定时的从存储器中调用不同的重构逻辑程序进行硬件重构，使得当前时刻的硬件架构形式所使用的CPU芯片或者TCAM芯片可能有别于下一时刻的硬件架构形式，降低了系统硬件架构固定的潜在性安全隐患，以系统硬件不可确定性来提高整个系统的安全性。
[0052]为了进一步提高系统的主动防御能力，所述FPGA芯片与所述TCAM芯片还用于联合完成系统网络行为的分析过程即构建相应特征值信息表项的匹配域过程，所述的联合完成系统网络行为的分析过程是指当系统处于当前网络环境时，所述FPGA芯片实时对外部终端与系统之间的数据信息进行特征值信息表项提取，并发送给所述TCAM芯片进行比对；所述TCAM芯片按照该特征值信息表项与预存的特征值信息表项进行比对查找，并将查找信息反馈给FPGA芯片，若当前提取的特征值信息表项不属于预存的特征值信息表项时，自动对预存的特征值信息表项进行实时更新；同时所述FPGA芯片依据反馈的查找信息，计算当前提取的特征值信息表项对系统的访问数据信息，当超过所述FPGA芯片预设的报警下限时，确认当前特征值信息表项出现异常，通知所述CPU芯片；所述的CPU芯片对上述特征值信息表项异常信息进行后期处理；所述后期处理是指按照上述特征值信息表项异常信息发布系统访问数据异常报警信息的处理过程或者记录到所述CPU芯片预设的日志表格中的处理过程的任意一种处理过程或者两者结合的处理过程。即假定在当前网络环境中，某一个IP(取名为ipaddl)地址对系统的访问的时间间隔应当不小于I分钟；FPGA芯片对其输入的数据提取IP地址，并将其发送给TCAM芯片(TCAM芯片内部预先存储着ipaddl信息或者将其加入到预存的特征值信息表项内)进行比对，当所述的IP与预存的ipaddl匹配，TCAM芯片发送信号给FPGA芯片，FPGA芯片计算ipaddl命中的平均时间间隔(即对系统的访问数据信息)，当超过所述FPGA芯片预设的报警下限时，FPGA芯片发送信号给CPU芯片，告知ipaddl行为异常，CPU会采取相应的处理，或是发出警告给用户，或者记录到日志表格中。
[0053]为了提高可控性，所述系统设置外部重构控制过程，系统通过网络接口与上位机进行通信，利用CPU芯片实现接口访问，控制FPGA芯片按照上位机下发的重构控制逻辑命令，以实现系统硬件架构形式的外部重构控制过程，如通过网络接口，对系统硬件架构形式进行定时或者随机地调用存储器中的重构逻辑程序进行硬件架构形式的切换过程或者下发新的重构逻辑程序等过程。
[0054]为了提高可靠性性，所述的CPU芯片还包括用于对系统其它硬件的运行状态进行监控，在发现硬件状态异常时，发布对应硬件异常的信息；和或在所述CPU芯片内部预设应急故障程序，在对系统其它硬件的状态进行监控并发现对应的硬件出现异常时，自动停止包括该异常硬件的重构逻辑程序，保障系统正常运行。如系统中某一 TCAM芯片运行出现异常，则当前运行的CPU芯片发布该TCAM芯片异常的信息；或在CPU芯片内部预设应急故障程序，当前运行的CPU芯片在对系统其它硬件的状态进行监控并发现该TCAM芯片出现异常时，自动停止包括该TCAM芯片的重构逻辑程序(即包括当前正在运行的重构逻辑程序或者后续待调用的重构逻辑程序)，待故障恢复后，再继续调用包括该TCAM芯片的重构逻辑程序等。
[0055]以上所述，仅为本发明较佳的【具体实施方式】，但本发明的保护范围并不局限于此，任何熟悉本【技术领域】的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。
【权利要求】
1.一种基于硬件重构的拟态安全网络架构的实现系统，其特征在于: 包括 至少两个相互独立的CPU芯片，所述CPU芯片均用于对系统内的各个硬件进行初始化，定时地调用存储器中的重构逻辑程序控制FPGA芯片对系统硬件架构形式进行重新架构； 多个TCAM芯片，所述TCAM芯片用于预存多个不同类型的特征值信息表项，并按照FPGA芯片提取的特征值信息表项进行查找并将查找信息反馈给FPGA芯片，同时若当前FPGA芯片提取的特征值信息表项不属于预存的特征值信息表项时，对预存的特征值信息表项进行实时更新； FPGA芯片，所述FPGA芯片用于按照所述CPU芯片下发的逻辑重构命令对系统的硬件架构形式进行重新架构； 以及存储器，所述存储器用于存储若干个系统硬件架构的重构逻辑程序。
2.根据权利要求1所述的一种基于硬件重构的拟态安全网络架构的实现系统，其特征在于:所述FPGA芯片与所述TCAM芯片还用于联合完成系统网络行为的分析过程即构建相应特征值信息表项的匹配域过程，所述的联合完成系统网络行为的分析过程是指当系统处于当前网络环境时，所述FPGA芯片实时对外部终端与系统之间的数据信息进行特征值信息表项提取，并发送给所述TCAM芯片进行比对；所述TCAM芯片按照该特征值信息表项与预存的特征值信息表项进行比对查找，并将查找信息反馈给FPGA芯片，若当前提取的特征值信息表项不属于预存的特征值信息表项时，自动对预存的特征值信息表项进行实时更新；同时所述FPGA芯片依据反馈的查找信息，计算当前提取的特征值信息表项对系统的访问数据信息，当超过所述FPGA芯片预设的报警下限时，确认当前特征值信息表项出现异常，通知所述CPU芯片；所述的CPU芯片对上述特征值信息表项异常信息进行后期处理。
3.根据权利要求2所述的一种基于硬件重构的拟态安全网络架构的实现系统，其特征在于:所述系统还包括外部重构控制过程，系统通过网络接口，与上位机进行通信接收上位机重构控制逻辑命令，以实现系统硬件架构形式的外部重构控制过程。
4.根据权利要求1所述的一种基于硬件重构的拟态安全网络架构的实现系统，其特征在于:所述的CPU芯片还包括用于对系统其它硬件的运行状态进行监控，在发现硬件状态异常时，发布对应硬件异常的信息。
5.根据权利要求1或者4所述的一种基于硬件重构的拟态安全网络架构的实现系统，其特征在于:所述CPU芯片内部预设应急故障程序，在对系统其它硬件的状态进行监控并发现对应的硬件出现异常时，自动停止包括该异常硬件的重构逻辑程序，保障系统正常运行。
6.一种基于硬件重构的拟态安全网络架构的实现方法，其特征在于: 设置至少两个相互独立的CPU芯片，通过CPU芯片对系统内的各个硬件进行初始化，并定时地调用存储器中的重构逻辑程序控制FPGA芯片对系统硬件架构形式进行重新架构； 设置多个TCAM芯片，通过TCAM芯片预存多个不同类型的特征值信息表项，并使得TCAM芯片按照FPGA芯片提取的特征值信息表项进行查找并将查找信息反馈给FPGA芯片，同时若当前FPGA芯片提取的特征值信息表项不属于预存的特征值信息表项时，对预存的特征值信息表项进行实时更新； 同时通过设置FPGA芯片，使得所述FPGA芯片按照所述CPU芯片下发的逻辑重构命令对系统的硬件架构形式进行重新架构； 上述重构逻辑程序通过设置存储器将若干个系统硬件架构的重构逻辑程序存储于其内，便于CPU芯片调用。
7.根据权利要求6所述的一种基于硬件重构的拟态安全网络架构的实现方法，其特征在于:所述FPGA芯片与所述TCAM芯片还用于联合完成系统网络行为的分析过程即构建相应特征值信息表项的匹配域过程，所述的联合完成系统网络行为的分析过程是指当系统处于当前网络环境时，所述FPGA芯片实时对外部终端与系统之间的数据信息进行特征值信息表项提取，并发送给所述TCAM芯片进行比对；所述TCAM芯片按照该特征值信息表项与预存的特征值信息表项进行比对查找，并将查找信息反馈给FPGA芯片，若当前提取的特征值信息表项不属于预存的特征值信息表项时，自动对预存的特征值信息表项进行实时更新；同时所述FPGA芯片依据反馈的查找信息，计算当前提取的特征值信息表项对系统的访问数据信息，当超过所述FPGA芯片预设的报警下限时，确认当前特征值信息表项出现异常，通知所述CPU芯片；所述的CPU芯片对上述特征值信息表项异常信息进行后期处理。
8.根据权利要求7所述的一种基于硬件重构的拟态安全网络架构的实现方法，其特征在于:所述后期处理是指按照上述特征值信息表项异常信息发布系统访问数据异常报警信息的处理过程或者记录到所述CPU芯片预设的日志表格中的处理过程的任意一种处理过程或者两者结合的处理过程。
9.根据权利要求6所述的一种基于硬件重构的拟态安全网络架构的实现方法，其特征在于:所述方法还包括外部重构控制过程，通过网络接口，与上位机进行通信接收上位机重构控制逻辑命令，以实现系统硬件架构形式的外部重构控制过程。
10.根据权利要求6或者9所述的一种基于硬件重构的拟态安全网络架构的实现方法，其特征在于:所述的CPU芯片还包括用于对系统其它硬件的运行状态进行监控，在发现硬件状态异常时，发布对应硬件异常的信息；同时和或所述CPU芯片内部预设应急故障程序，在对系统其它硬件的状态进行监控并发现对应的硬件出现异常时，自动停止包括该异常硬件的重构逻辑程序，保障系统正常运行。
【文档编号】H04L29/06GK104394150SQ201410704598
【公开日】2015年3月4日 申请日期:2014年11月26日 优先权日:2014年11月26日
【发明者】官福山, 陈琨, 徐天赐, 张晓雷, 栾慎亭, 张宇, 路婧 申请人:大连梯耐德网络技术有限公司