CN112688970B - 一种基于可编程芯片的大流量DDoS攻击检测方法及系统 - Google Patents
一种基于可编程芯片的大流量DDoS攻击检测方法及系统 Download PDFInfo
- Publication number
- CN112688970B CN112688970B CN202110288884.5A CN202110288884A CN112688970B CN 112688970 B CN112688970 B CN 112688970B CN 202110288884 A CN202110288884 A CN 202110288884A CN 112688970 B CN112688970 B CN 112688970B
- Authority
- CN
- China
- Prior art keywords
- flow
- attack
- suspicious
- traffic
- control plane
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于可编程芯片的大流量DDoS攻击检测方法,该方法应用于DDoS攻击检测系统,包括设置于CPU上的控制面和设置于可编程芯片上的转发面,该方法包括:通过转发面检测可疑流量,当检测到可疑流量时,将可疑流量上报至控制面;控制面根据可疑流量向所述转发面下发预置的攻击流量模型;转发面根据攻击流量模型检测所述可疑流量是否发生攻击,当可疑流量发生攻击时,向控制面上报通知信息;控制面响应于所述通知信息,对发生攻击的可疑流量进行清洗流程。本发明还公开了一种基于可编程芯片的大流量DDoS攻击检测系统,根据本发明公开的方法和系统,对CPU的性能要求很低,极大的降低了硬件成本,并且可以有效且及时的应对脉冲型的DDoS攻击。
Description
技术领域
本发明计算机网络安全技术领域,尤其涉及一种基于可编程芯片的大流量DDoS攻击检测方法及系统。
背景技术
分布式拒绝服务(Distributed Denial of Service,DDoS)是指攻击者通过控制网络中大量的设备向目标发送大流量数据,耗尽目标的资源,导致其无法正常的响应服务请求。实现DDoS攻击的防御前提是要能够快速、准确的检测到攻击的发生,现有的DDoS检测系统通常会使用分光器或者核心设备的端口镜像功能将所有全量全部通过分流器负载均衡到一组检测设备集群进行检测,检测到DDoS攻击后通知清洗系统,由清洗系统向核心设备宣告路由实现引流,从而实现将流量牵引到清洗系统进行清洗。目前检测系统大多数是基于通用服务器,通过软件的方式来实现,即软件从硬件上收到报文后会进行分类统计,然后根据流量模型判断是否发生DDoS攻击。
但是,随着攻击流量的不断增大,对检测系统的要求也越来越高,因此需要堆叠大量的服务器或者采用性能更高的CPU才能满足要求包处理速率的要求。这就会导致硬件成本急剧增加,包括机房、供电、散热以及维护等等。同时集群系统的设计也会非常复杂,技术门槛较高。更为重要的是基于软件的DDoS攻击检测响应时间通常为秒级,但是目前的攻击流量的特点为不持续、每秒可能发动数次,并且能够及时停止或及时发起脉冲型攻击,难以有效且及时的应对。
发明内容
本发明所要解决的技术问题在于,提供一种基于可编程芯片的大流量DDoS攻击检测方法,能够通过可编程芯片实现大流量DDoS攻击控制面与转发面联动,对CPU的性能要求很低,极大的降低了硬件成本,并且可以有效且及时的应对脉冲型的DDoS攻击。
为了解决上述技术问题,本发明第一方面公开了一种基于可编程芯片的大流量DDoS攻击检测方法,所述方法应用于DDoS攻击检测系统,所述系统包括设置于CPU上的控制面和设置于可编程芯片上的转发面,所述方法包括:通过转发面检测可疑流量,当检测到可疑流量时,将所述可疑流量上报至控制面;
控制面根据所述可疑流量向所述转发面下发预置的攻击流量模型;转发面根据所述攻击流量模型检测所述可疑流量是否发生攻击,当所述可疑流量发生攻击时,向所述控制面上报通知信息;所述控制面响应于所述通知信息,对发生攻击的可疑流量进行清洗流程。
在一些实施方式中,所述通过转发面检测可疑流量,之前包括:在转发面中配置多个Hash函数,其中,所述Hash函数存储有记录信息,所述记录信息至少包括记录时间戳、目的地址、报文数量和字节数信息。
在一些实施方式中,通过转发面检测可疑流量,包括:根据接收的报文信息和Hash函数计算生成各单位时间的BPS值和PPS值;在所述各单位时间的BPS值和PPS值选取BPS最小值和PPS最小值;判断所述BPS最小值和PPS最小值是否均小于正常流量阈值;若所述BPS最小值和PPS最小值均小于正常流量阈值,则判断所述报文信息为可疑流量。
在一些实施方式中,控制面根据所述可疑流量向所述转发面下发预置的攻击流量模型,其中,所述预置的攻击流量模型实现为:统计每一次接收报文信息的PPS值、BPS值;配置第一攻击条件,所述第一攻击条件包括当接收到的报文信息的目的地址的PPS值和BPS值超过正常流量阈值时,控制面发生带宽耗尽类攻击。
在一些实施方式中,控制面根据所述可疑流量向所述转发面下发预置的攻击流量模型,其中,所述预置的攻击流量模型实现为:统计每一次接收报文信息的CPS值;配置第二攻击条件,所述第二攻击条件包括当接收到的报文信息的目的地址的CPS值超过正常连接阈值时,控制面发生TCP连接耗尽类攻击。
在一些实施方式中,所述控制面根据所述可疑流量向所述转发面下发预置的攻击流量模型,其中,所述预置的攻击流量模型实现为:统计每一次接收报文信息的TCP-Ratio值;配置第三攻击条件,所述第三攻击条件包括当接收到的报文信息的目的地址的TCP-Ratio值维异常比例时,控制面发生sync flood类攻击。
在一些实施方式中,所述方法还包括:所述转发面通过DMA与所述控制面进行数据交互。
根据本发明的第二个方面,提供了一种基于可编程芯片的大流量DDoS攻击检测系统,所述系统包括设置于CPU上的控制面和设置于可编程芯片上的转发面,所述转发面包括:检测单元,用于检测可疑流量,当检测到可疑流量时,将所述可疑流量上报至所述控制面;所述控制面包括:攻击流量模型;下发单元,用于根据所述可疑流量向所述转发面下发预置的攻击流量模型;所述转发面还包括:上报单元,用于根据所述攻击流量模型检测所述可疑流量是否发生攻击,当所述可疑流量发生攻击时,向所述控制面上报通知信息;所述控制面还包括:清洗单元,用于响应于所述通知信息,对发生攻击的可疑流量进行清洗流程。
根据本发明的第三个方面,提供了基于可编程芯片的大流量DDoS攻击检测装置,所述装置包括: 存储有可执行程序代码的存储器;与所述存储器耦合的处理器;所述处理器调用所述存储器中存储的所述可执行程序代码,执行如上述的基于可编程芯片的大流量DDoS攻击检测方法。
根据本发明的第四个方面,提供了一种计算机存储介质,所述计算机存储介质存储有计算机指令,所述计算机指令被调用时,用于执行如上述的基于可编程芯片的大流量DDoS攻击检测方法。
与现有技术相比,本发明的有益效果在于:
实施本发明能够通过可编程芯片实现大流量DDoS攻击控制面与转发面联动,并且通过预置的攻击流量模型有效且及时的识别出攻击流量类型,特别是针对了SYN、ACK以及UDP等形式的Flood攻击。并且,本发明对CPU的性能要求很低,极大的降低了硬件成本,灵敏度高,可以由转发面主动通知控制面,无需再由CPU定时轮询。从而,能够有效的解决因攻击流量增大导致系统性能不足的问题,同时也极大的简化集群系统设计并提升检测灵敏度,有效应对脉冲型攻击。
附图说明
图1为本发明实施例公开的一种基于可编程芯片的大流量DDoS攻击检测的流程示意图;
图2为本发明实施例公开的又一种基于可编程芯片的大流量DDoS攻击检测的流程示意图;
图3为本发明实施例公开的又一种基于可编程芯片的大流量DDoS攻击检测的流程示意图;
图4为本发明实施例公开的一种基于可编程芯片的大流量DDoS攻击检测的控制面和转发面联动流程示意图;
图5为本发明实施例公开的一种控制面和转发面联动实现的流程示意图;
图6为本发明实施例公开的又一种基于可编程芯片的大流量DDoS攻击检测的系统示意图;
图7为本发明实施例公开的一种基于可编程芯片的大流量DDoS攻击检测的装置结构示意图。
具体实施方式
为了更好地理解和实施,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例的术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块。
本发明实施例公开了一种基于可编程芯片的大流量DDoS攻击检测方法及系统,能够通过可编程芯片实现大流量DDoS攻击控制面与转发面联动,并且通过预置的攻击流量模型有效且及时的识别出攻击流量类型,特别是针对了SYN、ACK以及UDP等形式的Flood攻击。并且,本发明对CPU的性能要求很低,极大的降低了硬件成本,灵敏度高,可以由转发面主动通知控制面,无需再由CPU定时轮询。从而,能够有效的解决因攻击流量增大导致系统性能不足的问题,同时也极大的简化集群系统设计并提升检测灵敏度,有效应对脉冲型攻击。
实施例一
请参阅图1,图1为本发明实施例公开的一种基于可编程芯片的大流量DDoS攻击检测方法的流程示意图。其中,该基于可编程芯片的大流量DDoS攻击检测方法可以应用在DDoS攻击检测系统,该系统包括设置于CPU上的控制面和设置于可编程芯片上的转发面。对于该基于可编程芯片的大流量DDoS攻击检测方法本发明实施例不做限制。如图1所示,该基于可编程芯片的大流量DDoS攻击检测方法可以包括以下操作:
101、通过转发面检测可疑流量,当检测到可疑流量时,将可疑流量上报至控制面。
转发面实现为可编程芯片上的逻辑线程,当可编程芯片即转发面收到报文信息后,即可通过算法识别出可疑流量的具体信息并主动上报给控制面。在本实施例中配置多个Hash函数,每个Hash函数都对应一个独立的存储空间,存储空间中的每个位置记录有记录信息,记录信息至少包括记录时间戳、目的地址、报文数量和字节数信息等。之所以使用多个Hash函数是为了避免Hash函数与转发面的工作线程的冲突。
具体地,如图2所示,转发面检测可疑流量实现为:首先根据接收的报文信息选择Hash函数,之后按照报文信息所携带的目的地址进行Hash函数下的哈希计算出索引,之后根据读取上一次记录的记录信息(若为初始检测,则默认根据当前的报文信息作为记录信息)计算出BPS值(每秒传输比特数)和PPS值(网络吞吐率的单位,即每秒发送多少个分组数据包),在此可采用单位时间作为计算基准,计算的方式可以采用现有技术实现,在此不进行赘述。之后,根据计算出的BPS值和PPS值更新索引位置所存储的时间戳、目的地址、报文数量和字节数信息,完成当前的哈希计算。
选取在各单位时间的BPS值和PPS值中的BPS最小值和PPS最小值,再判断BPS最小值和PPS最小值是否均小于正常流量阈值,该正常流量阈值可以根据用户需求或经验进行手动设定。若BPS最小值和PPS最小值均小于正常流量阈值,则判断报文信息为可疑流量,需要引起控制面的重视,将可疑流量上报至控制面。其中,上报的方式可以实现为:在可编程芯片中的报文生成器将可疑流量生成报文摘要,由硬件队列传输至对应的控制面。
102、控制面根据可疑流量向转发面下发预置的攻击流量模型。
当控制面接收到可疑流量后,就会向转发面下发预置的攻击流量模型,攻击流量模型中包含有多项指标,示例性地,包括sync flood的速率、ack报文的速率。其中,预置的攻击流量模型实现为:统计每一次接收报文信息的PPS值、BPS值,根据配置的第一攻击条件,即第一攻击条件包括当接收到的报文信息的目的地址的PPS值和BPS值超过正常流量阈值时,控制面发生带宽耗尽类攻击对当前可疑流量的PPS值和BPS值进行监测。
作为一种优选实施方式中,预置的攻击流量模型实现为:统计每一次接收报文信息的CPS值(新建连接数),根据配置的第二攻击条件,即第二攻击条件包括当接收到的报文信息的目的地址的CPS值超过正常连接阈值时,控制面发生TCP连接耗尽类攻击对当前可疑流量的CPS值进行监测。
作为一种优选实施方式中,预置的攻击流量模型实现为:统计每一次接收报文信息的TCP-Ratio值(SYN报文与SYN报文+ACK报文的比例),根据配置的第三攻击条件,即第三攻击条件包括当接收到的报文信息的目的地址的TCP-Ratio值为异常比例时,一般将超过1:1的比例视为异常比例,控制面发生sync flood类攻击对当前可疑流量的TCP-Ratio值进行监测。
如图3所示,在优选实施方式中,当控制面接收到可疑流量之后,马上开启监控模式,之后再向转发面发送攻击流量模型,提高控制面的灵敏度。
103、转发面根据攻击流量模型检测可疑流量是否发生攻击,当可疑流量发生攻击时,向控制面上报通知信息。
转发面根据接收到的攻击流量模型,对以上的三种攻击条件进行监控,在其他实施方式中,也不限于这三种攻击条件。当检测到的可疑流量PPS值和BPS值超过正常流量阈值时,检测结果为控制面发生带宽耗尽类攻击,将该可疑流量和攻击类型生成通知信息上报给控制面。当检测到的可疑流量CPS值超过正常连接阈值时,检测结果为控制面发生TCP连接耗尽类攻击,将该可疑流量和攻击类型生成通知信息上报给控制面。当检测到的可疑流量TCP-Ratio值为异常比例时,检测结果为控制面发生sync flood类攻击,将该可疑流量和攻击类型生成通知信息上报给控制面。其中,对于通知信息上报给控制面采用的是主动通知的方式,无需CPU的问询设置,灵敏度更高,还可针对SYN、ACK以及UDP等形式的Flood攻击进行检测。
104、控制面响应于通知信息,对发生攻击的可疑流量进行清洗。
当控制面接收到通知信息后,获取通知信息中包含的可疑流量以及攻击类型,根据不同类似的攻击类型对可疑流量进行相应的清洗流程,清洗的方式可以采用现有技术实现,本发明不作为重点。
具体地,如图4所示,为一种具体的可编程芯片和CPU的交互方式,实现方式可以参照上述步骤在此不进行赘述。其中,转发面与控制面的交互可以通过DMA(Direct MemoryAccess,直接存储器访问)实现。由此,可以降低硬件成本。
具体地,如图5所示,为一种转发面与控制面通过DMA进行交互的实施方式,在可编程芯片即转发面上的业务报文处理流水线,在接收到报文信息后进行了业务流量统计,即通过计量器和计数器统计计算经过的报文的PPS值和BPS值,选取在各单位时间的BPS值和PPS值中的BPS最小值和PPS最小值,再判断BPS最小值和PPS最小值是否均小于正常流量阈值,该正常流量阈值可以根据用户需求或经验进行手动设定。若BPS最小值和PPS最小值均小于正常流量阈值,则判断报文信息为可疑流量,需要引起控制面的重视,将可疑流量通过报文生成器生成摘要报文,将该摘要报文通过硬件队列上报至控制面。在上报过程中,首先通过DMA经过操作系统的环形缓冲器并进行缓存,由操作系统的线程对该环形缓冲器的报文进行轮询后,检测到包含有可疑流量以及攻击类型的通知信息,发送至应用层即控制面,实现了控制面与转发面的交互联动。
根据本实施例提供的方法,能够通过可编程芯片实现大流量DDoS攻击控制面与转发面联动,并且通过预置的攻击流量模型有效且及时的识别出攻击流量类型,特别是针对了SYN、ACK以及UDP等形式的Flood攻击。并且,本发明对CPU的性能要求很低,极大的降低了硬件成本,灵敏度高,可以由转发面主动通知控制面,无需再由CPU定时轮询。从而,能够有效的解决因攻击流量增大导致系统性能不足的问题,同时也极大的简化集群系统设计并提升检测灵敏度,有效应对脉冲型攻击。
实施例二
请参阅图6,图6为本发明实施例公开的一种基于可编程芯片的大流量DDoS攻击检测系统示意图。其中,该系统包括设置于CPU上的控制面和设置于可编程芯片上的转发面。如图6所示,该基于可编程芯片的大流量DDoS攻击检测系统包括:
转发面1包括:检测单元101,用于检测可疑流量,当检测到可疑流量时,将可疑流量上报至控制面。其中,转发面实现为可编程芯片上的逻辑线程,当可编程芯片即转发面收到报文信息后,即可通过算法识别出可疑流量的具体信息并主动上报给控制面。在本实施例中配置多个Hash函数,每个Hash函数都对应一个独立的存储空间,存储空间中的每个位置记录有记录信息,记录信息至少包括记录时间戳、目的地址、报文数量和字节数信息等。之所以使用多个Hash函数是为了避免Hash函数与转发面的工作线程的冲突。
具体地,检测单元101实现为:首先根据接收的报文信息选择Hash函数,之后按照报文信息所携带的目的地址进行Hash函数下的哈希计算出索引,之后根据读取上一次记录的记录信息(若为初始检测,则默认根据当前的报文信息作为记录信息)计算出BPS值(每秒传输比特数)和PPS值(网络吞吐率的单位,即每秒发送多少个分组数据包),在此可采用单位时间作为计算基准,计算的方式可以采用现有技术实现,在此不进行赘述。之后,根据计算出的BPS值和PPS值更新索引位置所存储的时间戳、目的地址、报文数量和字节数信息,完成当前的哈希计算。
选取在各单位时间的BPS值和PPS值中的BPS最小值和PPS最小值,再判断BPS最小值和PPS最小值是否均小于正常流量阈值,该正常流量阈值可以根据用户需求或经验进行手动设定。若BPS最小值和PPS最小值均小于正常流量阈值,则判断报文信息为可疑流量,需要引起控制面的重视,将可疑流量上报至控制面。其中,上报的方式可以实现为:在可编程芯片中的报文生成器将可疑流量生成报文摘要,由硬件队列传输至对应的控制面2。
控制面2包括:攻击流量模型201。攻击流量模型中包含有多项指标,示例性地,包括sync flood的速率、ack报文的速率。其中,预置的攻击流量模型实现为:统计每一次接收报文信息的PPS值、BPS值,根据配置的第一攻击条件,即第一攻击条件包括当接收到的报文信息的目的地址的PPS值和BPS值超过正常流量阈值时,控制面发生带宽耗尽类攻击对当前可疑流量的PPS值和BPS值进行监测。
作为一种优选实施方式中,预置的攻击流量模型实现为:统计每一次接收报文信息的CPS值(新建连接数),根据配置的第二攻击条件,即第二攻击条件包括当接收到的报文信息的目的地址的CPS值超过正常连接阈值时,控制面发生TCP连接耗尽类攻击对当前可疑流量的CPS值进行监测。
作为一种优选实施方式中,预置的攻击流量模型实现为:统计每一次接收报文信息的TCP-Ratio值(SYN报文与SYN报文+ACK报文的比例),根据配置的第三攻击条件,即第三攻击条件包括当接收到的报文信息的目的地址的TCP-Ratio值为异常比例时,一般将超过1:1的比例视为异常比例,控制面发生sync flood类攻击对当前可疑流量的TCP-Ratio值进行监测。
下发单元202,用于根据可疑流量向转发面下发预置的攻击流量模型。
转发面1还包括:上报单元102,用于根据攻击流量模型检测可疑流量是否发生攻击,当可疑流量发生攻击时,向控制面上报通知信息。转发面根据接收到的攻击流量模型,对以上的三种攻击条件进行监控,在其他实施方式中,也不限于这三种攻击条件。当检测到的可疑流量PPS值和BPS值超过正常流量阈值时,检测结果为控制面发生带宽耗尽类攻击,将该可疑流量和攻击类型生成通知信息上报给控制面。当检测到的可疑流量CPS值超过正常连接阈值时,检测结果为控制面发生TCP连接耗尽类攻击,将该可疑流量和攻击类型生成通知信息上报给控制面。当检测到的可疑流量TCP-Ratio值为异常比例时,检测结果为控制面发生sync flood类攻击,将该可疑流量和攻击类型生成通知信息上报给控制面。其中,对于通知信息上报给控制面采用的是主动通知的方式,无需CPU的问询设置,灵敏度更高,还可针对SYN、ACK以及UDP等形式的Flood攻击进行检测。
控制面2还包括:清洗单元203,用于响应于通知信息,对发生攻击的可疑流量进行清洗流程。当控制面接收到通知信息后,获取通知信息中包含的可疑流量以及攻击类型,根据不同类似的攻击类型对可疑流量进行相应的清洗流程,清洗的方式可以采用现有技术实现,本发明不作为重点。
具体地,对于转发面1与控制面2通过DMA进行交互的实施方式可以实现为,在可编程芯片即转发面上的业务报文处理流水线,在接收到报文信息后进行了业务流量统计,即通过计量器和计数器统计计算经过的报文的PPS值和BPS值,选取在各单位时间的BPS值和PPS值中的BPS最小值和PPS最小值,再判断BPS最小值和PPS最小值是否均小于正常流量阈值,该正常流量阈值可以根据用户需求或经验进行手动设定。若BPS最小值和PPS最小值均小于正常流量阈值,则判断报文信息为可疑流量,需要引起控制面的重视,将可疑流量通过报文生成器生成摘要报文,将该摘要报文通过硬件队列上报至控制面。在上报过程中,首先通过DMA经过操作系统的环形缓冲器并进行缓存,由操作系统的线程对该环形缓冲器的报文进行轮询后,检测到包含有可疑流量以及攻击类型的通知信息,发送至应用层即控制面,实现了控制面与转发面的交互联动。
根据本实施例提供的系统,能够通过可编程芯片实现大流量DDoS攻击控制面与转发面联动,并且通过预置的攻击流量模型有效且及时的识别出攻击流量类型,特别是针对了SYN、ACK以及UDP等形式的Flood攻击。并且,本发明对CPU的性能要求很低,极大的降低了硬件成本,灵敏度高,可以由转发面主动通知控制面,无需再由CPU定时轮询。从而,能够有效的解决因攻击流量增大导致系统性能不足的问题,同时也极大的简化集群系统设计并提升检测灵敏度,有效应对脉冲型攻击。
实施例三
请参阅图7,图7是本发明实施例公开的一种基于可编程芯片的大流量DDoS攻击检测装置的结构示意图。其中,图7所描述的基于可编程芯片的大流量DDoS攻击检测装置可以应用在DDoS攻击检测系统,对于该基于可编程芯片的大流量DDoS攻击检测装置的应用系统本发明实施例不做限制。如图7所示,该装置可以包括:
存储有可执行程序代码的存储器601;
与存储器601耦合的处理器602;
处理器602调用存储器601中存储的可执行程序代码,用于执行实施例一所描述的基于可编程芯片的大流量DDoS攻击检测方法。
实施例四
本发明实施例公开了一种计算机可读存储介质,其存储用于电子数据交换的计算机程序,其中,该计算机程序使得计算机执行实施例一所描述的基于可编程芯片的大流量DDoS攻击检测方法。
实施例五
本发明实施例公开了一种计算机程序产品,该计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质,且该计算机程序可操作来使计算机执行实施例一中所描述的基于可编程芯片的大流量DDoS攻击检测方法。
以上所描述的实施例仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施例的具体描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,存储介质包括只读存储器(Read-Only Memory,ROM)、随机存储器(Random Access Memory,RAM)、可编程只读存储器(Programmable Read-only Memory,PROM)、可擦除可编程只读存储器(ErasableProgrammable Read Only Memory,EPROM)、一次可编程只读存储器(One-timeProgrammable Read-Only Memory,OTPROM)、电子抹除式可复写只读存储器(Electrically-Erasable Programmable Read-Only Memory,EEPROM)、只读光盘(CompactDisc Read-Only Memory,CD-ROM)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。
最后应说明的是:本发明实施例公开的一种基于可编程芯片的大流量DDoS攻击检测方法及系统所揭露的仅为本发明较佳实施例而已,仅用于说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解;其依然可以对前述各项实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或替换,并不使相应的技术方案的本质脱离本发明各项实施例技术方案的精神和范围。
Claims (10)
1.一种基于可编程芯片的大流量DDoS攻击检测方法,所述方法应用于DDoS攻击检测系统,所述系统包括设置于CPU上的控制面和设置于可编程芯片上的转发面,其特征在于,所述方法包括:
通过转发面检测可疑流量,根据接收的报文信息和Hash函数计算生成各单位时间的BPS值和PPS值,在所述各单位时间的BPS值和PPS值选取BPS最小值和PPS最小值,判断所述BPS最小值和PPS最小值是否均小于正常流量阈值来检测可疑流量;当检测到可疑流量时,将所述可疑流量上报至控制面;
控制面根据所述可疑流量向所述转发面下发预置的攻击流量模型;
转发面根据所述攻击流量模型检测所述可疑流量是否发生攻击,当所述可疑流量发生攻击时,向所述控制面上报通知信息;
所述控制面响应于所述通知信息,对发生攻击的可疑流量进行清洗。
2.根据权利要求1所述的基于可编程芯片的大流量DDoS攻击检测方法,其特征在于,所述通过转发面检测可疑流量,之前包括:
在转发面中配置多个Hash函数,其中,所述Hash函数存储有记录信息,所述记录信息至少包括记录时间戳、目的地址、报文数量和字节数信息。
3.根据权利要求2所述的基于可编程芯片的大流量DDoS攻击检测方法,其特征在于,所述通过转发面检测可疑流量时,若所述BPS最小值和PPS最小值均小于正常流量阈值,则判断所述报文信息为可疑流量。
4.根据权利要求1所述的基于可编程芯片的大流量DDoS攻击检测方法,其特征在于,所述控制面根据所述可疑流量向所述转发面下发预置的攻击流量模型,其中,所述预置的攻击流量模型实现为:
统计每一次接收报文信息的PPS值、BPS值;
配置第一攻击条件,所述第一攻击条件包括当接收到的报文信息的目的地址的PPS值和BPS值超过正常流量阈值时,控制面发生带宽耗尽类攻击。
5.根据权利要求1所述的基于可编程芯片的大流量DDoS攻击检测方法,其特征在于,所述控制面根据所述可疑流量向所述转发面下发预置的攻击流量模型,其中,所述预置的攻击流量模型实现为:
统计每一次接收报文信息的CPS值;
配置第二攻击条件,所述第二攻击条件包括当接收到的报文信息的目的地址的CPS值超过正常连接阈值时,控制面发生TCP连接耗尽类攻击。
6.根据权利要求1所述的基于可编程芯片的大流量DDoS攻击检测方法,其特征在于,所述控制面根据所述可疑流量向所述转发面下发预置的攻击流量模型,其中,所述预置的攻击流量模型实现为:
统计每一次接收报文信息的TCP-Ratio值;
配置第三攻击条件,所述第三攻击条件包括当接收到的报文信息的目的地址的TCP-Ratio值为异常比例时,控制面发生sync flood类攻击;
所述TCP-Ratio值具体含义为:SYN 报文与SYN报文+ACK 报文的比例,正常情况下应该是1:1,当有SYN Flood 攻击发生时,SYN报文会远远高于SYN报文+ACK报文。
7.根据权利要求1-6任一项所述的基于可编程芯片的大流量DDoS攻击检测方法,其特征在于,所述方法还包括:
所述转发面通过DMA与所述控制面进行数据交互。
8.一种基于可编程芯片的大流量DDoS攻击检测系统,所述系统包括设置于CPU上的控制面和设置于可编程芯片上的转发面,其特征在于,
所述转发面包括:
检测单元,用于检测可疑流量,当检测到可疑流量时,将所述可疑流量上报至所述控制面;
所述控制面包括:
攻击流量模型;
下发单元,用于根据所述可疑流量向所述转发面下发预置的攻击流量模型;
所述转发面还包括:
上报单元,用于根据所述攻击流量模型检测所述可疑流量是否发生攻击,当所述可疑流量发生攻击时,向所述控制面上报通知信息;
所述控制面还包括:
清洗单元,用于响应于所述通知信息,对发生攻击的可疑流量进行清洗流程。
9.基于可编程芯片的大流量DDoS攻击检测装置,其特征在于,所述装置包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行如权利要求1-7任一项所述的基于可编程芯片的大流量DDoS攻击检测方法中控制面侧或转发面侧的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令被计算机调用时,用于执行如权利要求1-7任一项所述的基于可编程芯片的大流量DDoS攻击检测方法中控制面侧或转发面侧的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110288884.5A CN112688970B (zh) | 2021-03-18 | 2021-03-18 | 一种基于可编程芯片的大流量DDoS攻击检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110288884.5A CN112688970B (zh) | 2021-03-18 | 2021-03-18 | 一种基于可编程芯片的大流量DDoS攻击检测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112688970A CN112688970A (zh) | 2021-04-20 |
CN112688970B true CN112688970B (zh) | 2021-07-02 |
Family
ID=75455717
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110288884.5A Active CN112688970B (zh) | 2021-03-18 | 2021-03-18 | 一种基于可编程芯片的大流量DDoS攻击检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112688970B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113438258A (zh) * | 2021-08-27 | 2021-09-24 | 广东省新一代通信与网络创新研究院 | 一种用于UDP Flood攻击的防御方法及系统 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101519623B1 (ko) * | 2010-12-13 | 2015-05-12 | 한국전자통신연구원 | 오탐률을 줄이기 위한 분산 서비스 거부 공격 탐지 장치 및 방법, 분산 서비스 거부 공격 탐지 및 방어 장치 |
CN104202336A (zh) * | 2014-09-22 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种基于信息熵的DDoS攻击检测方法 |
CN105187437B (zh) * | 2015-09-24 | 2018-06-26 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 一种sdn网络拒绝服务攻击的集中式检测系统 |
US9973528B2 (en) * | 2015-12-21 | 2018-05-15 | Fortinet, Inc. | Two-stage hash based logic for application layer distributed denial of service (DDoS) attack attribution |
CN106357673B (zh) * | 2016-10-19 | 2019-06-21 | 中国科学院信息工程研究所 | 一种多租户云计算系统DDoS攻击检测方法及系统 |
CN208079101U (zh) * | 2018-02-27 | 2018-11-09 | 深圳市风云实业有限公司 | 网络安全监测设备 |
CN110784481B (zh) * | 2019-11-04 | 2021-09-07 | 重庆邮电大学 | SDN网络中基于神经网络的DDoS检测方法及系统 |
CN110798404A (zh) * | 2019-11-14 | 2020-02-14 | 北京首都在线科技股份有限公司 | 攻击数据的清洗方法、装置、设备、存储介质和系统 |
-
2021
- 2021-03-18 CN CN202110288884.5A patent/CN112688970B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN112688970A (zh) | 2021-04-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11153336B2 (en) | Network security analysis for smart appliances | |
US7373666B2 (en) | Distributed threat management | |
US20110138463A1 (en) | Method and system for ddos traffic detection and traffic mitigation using flow statistics | |
US20220021573A1 (en) | Link fault monitoring method and apparatus | |
US20160352774A1 (en) | Mitigation of computer network attacks | |
CN108028828B (zh) | 一种分布式拒绝服务DDoS攻击检测方法及相关设备 | |
CN105991617B (zh) | 使用网络评分来选择安全路径的计算机实施系统及方法 | |
EP3382973B1 (en) | Early-warning decision method, node and sub-system | |
JP6220625B2 (ja) | 遅延監視システムおよび遅延監視方法 | |
JP6834768B2 (ja) | 攻撃検知方法、攻撃検知プログラムおよび中継装置 | |
CN105577669B (zh) | 一种识别虚假源攻击的方法及装置 | |
CN102447707A (zh) | 一种基于映射请求的DDoS检测与响应方法 | |
CN112688970B (zh) | 一种基于可编程芯片的大流量DDoS攻击检测方法及系统 | |
KR101352553B1 (ko) | 플로우별 통계정보를 이용한 분산 서비스 거부 공격(ddos) 탐지 및 트래픽 경감 방법 및 그 시스템 | |
CN112817815A (zh) | 一种基于业务层监控大数据的网络服务器故障告警系统 | |
CN114783121B (zh) | 自助设备的故障处理方法、装置、设备及可读存储介质 | |
CN110247893B (zh) | 一种数据传输方法和sdn控制器 | |
US8370897B1 (en) | Configurable redundant security device failover | |
CN112929347B (zh) | 一种限频方法、装置、设备及介质 | |
KR20060130892A (ko) | 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법 | |
CN114884806A (zh) | 一种基于高集聚场景下的环路识别与阻断方法 | |
CN114826741B (zh) | 一种攻击监测系统及攻击监测方法 | |
WO2024159901A1 (zh) | 网络攻击的防御方法、网元设备及计算机可读存储介质 | |
US20240007490A1 (en) | Malicious activity probability determinations for autonomous systems | |
CN109039732A (zh) | 消息处理系统及消息处理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |