[发明专利]一种基于可编程芯片的大流量DDoS攻击检测方法及系统

说明书

本发明公开了一种基于可编程芯片的大流量DDoS攻击检测方法，该方法应用于DDoS攻击检测系统，包括设置于CPU上的控制面和设置于可编程芯片上的转发面，该方法包括：通过转发面检测可疑流量，当检测到可疑流量时，将可疑流量上报至控制面；控制面根据可疑流量向所述转发面下发预置的攻击流量模型；转发面根据攻击流量模型检测所述可疑流量是否发生攻击，当可疑流量发生攻击时，向控制面上报通知信息；控制面响应于所述通知信息，对发生攻击的可疑流量进行清洗流程。本发明还公开了一种基于可编程芯片的大流量DDoS攻击检测系统，根据本发明公开的方法和系统，对CPU的性能要求很低，极大的降低了硬件成本，并且可以有效且及时的应对脉冲型的DDoS攻击。

技术领域

本发明计算机网络安全技术领域，尤其涉及一种基于可编程芯片的大流量DDoS攻击检测方法及系统。

背景技术

分布式拒绝服务（Distributed Denial of Service,DDoS）是指攻击者通过控制网络中大量的设备向目标发送大流量数据，耗尽目标的资源，导致其无法正常的响应服务请求。实现DDoS攻击的防御前提是要能够快速、准确的检测到攻击的发生，现有的DDoS检测系统通常会使用分光器或者核心设备的端口镜像功能将所有全量全部通过分流器负载均衡到一组检测设备集群进行检测，检测到DDoS攻击后通知清洗系统，由清洗系统向核心设备宣告路由实现引流，从而实现将流量牵引到清洗系统进行清洗。目前检测系统大多数是基于通用服务器，通过软件的方式来实现，即软件从硬件上收到报文后会进行分类统计，然后根据流量模型判断是否发生DDoS攻击。

但是，随着攻击流量的不断增大，对检测系统的要求也越来越高，因此需要堆叠大量的服务器或者采用性能更高的CPU才能满足要求包处理速率的要求。这就会导致硬件成本急剧增加，包括机房、供电、散热以及维护等等。同时集群系统的设计也会非常复杂，技术门槛较高。更为重要的是基于软件的DDoS攻击检测响应时间通常为秒级，但是目前的攻击流量的特点为不持续、每秒可能发动数次，并且能够及时停止或及时发起脉冲型攻击，难以有效且及时的应对。

发明内容

本发明所要解决的技术问题在于，提供一种基于可编程芯片的大流量DDoS攻击检测方法，能够通过可编程芯片实现大流量DDoS攻击控制面与转发面联动，对CPU的性能要求很低，极大的降低了硬件成本，并且可以有效且及时的应对脉冲型的DDoS攻击。

为了解决上述技术问题，本发明第一方面公开了一种基于可编程芯片的大流量DDoS攻击检测方法，所述方法应用于DDoS攻击检测系统，所述系统包括设置于CPU上的控制面和设置于可编程芯片上的转发面，所述方法包括：通过转发面检测可疑流量，当检测到可疑流量时，将所述可疑流量上报至控制面；

控制面根据所述可疑流量向所述转发面下发预置的攻击流量模型；转发面根据所述攻击流量模型检测所述可疑流量是否发生攻击，当所述可疑流量发生攻击时，向所述控制面上报通知信息；所述控制面响应于所述通知信息，对发生攻击的可疑流量进行清洗流程。

在一些实施方式中，所述通过转发面检测可疑流量，之前包括：在转发面中配置多个Hash函数，其中，所述Hash函数存储有记录信息，所述记录信息至少包括记录时间戳、目的地址、报文数量和字节数信息。

在一些实施方式中，通过转发面检测可疑流量，包括：根据接收的报文信息和Hash函数计算生成各单位时间的BPS值和PPS值；在所述各单位时间的BPS值和PPS值选取BPS最小值和PPS最小值；判断所述BPS最小值和PPS最小值是否均小于正常流量阈值；若所述BPS最小值和PPS最小值均小于正常流量阈值，则判断所述报文信息为可疑流量。

在一些实施方式中，控制面根据所述可疑流量向所述转发面下发预置的攻击流量模型，其中，所述预置的攻击流量模型实现为：统计每一次接收报文信息的PPS值、BPS值；配置第一攻击条件，所述第一攻击条件包括当接收到的报文信息的目的地址的PPS值和BPS值超过正常流量阈值时，控制面发生带宽耗尽类攻击。