[发明专利]恶意攻击检测系统和相关的使用方法

权利要求书

1.一种恶意攻击检测系统，包括：

首部解析功能，用于接收并将数据分组的首部帧解析为首部信息和网际协议(“IP”)地址；

约束过滤功能，用于对首部信息检查潜在的恶意攻击条件，其中，如果潜在的恶意攻击条件存在，则生成约束过滤结果；

比较功能，比较所述网际协议(“IP”)地址，以便确定网际协议(“IP”)地址是否先前已经被接收；

检测功能，用于确定如果所述比较功能已经确定出网际协议(“IP”)地址先前已经被接收，那么约束过滤结果增加计数，然后确定所述计数在预定阈值时间段内是否超出预定阈值；

控制功能，用于根据检测功能确定出所述计数在预定阈值时间段内超出预定阈值而提供控制信号，以便从系统中丢弃至少一个数据分组；以及

至少一个处理器，用于提供所述首部解析功能、约束过滤功能、检测功能和控制功能。

2.如权利要求1所述的恶意攻击检测系统，其中，所述潜在的恶意攻击条件包括拒绝服务(“DoS”)攻击。

3.如权利要求1所述的恶意攻击检测系统，其中，所述潜在的恶意攻击条件包括端口扫描。

4.如权利要求1所述的恶意攻击检测系统，其中，所述首部解析功能、约束过滤功能、检测功能和控制功能中的至少一个是以网速进行的。

5.如权利要求1所述的恶意攻击检测系统，其中，所述约束过滤功能包括多个约束条件，所述约束条件能够被有选择地激活。

6.如权利要求1所述的恶意攻击检测系统，其中，所述检测功能包括多个计数器和相应的多个阈值计数器值比较，以及具有多个时间间隔和相应的多个阈值时间间隔值的相关时间间隔过滤功能。

7.如权利要求1所述的恶意攻击检测系统，其中，所述首部信息是由至少一个先进先出存储缓冲器接收的。

8.如权利要求1所述的恶意攻击检测系统，还包括由至少一个处理器提供的更新和存储功能，用于修订由比较功能使用的网际协议(“IP”)地址的列表。

9.如权利要求1所述的恶意攻击检测系统，其中，所述比较功能使用至少一个按内容寻址存储器(“CAM”)。

10.如权利要求1所述的恶意攻击检测系统，还包括由至少一个处理器提供的报告功能，用于在从系统丢弃至少一个数据分组之前，提供即将出现的恶意攻击的类型的报告，其中，恶意攻击的类型是从包含拒绝服务(“DoS”)攻击或者端口扫描的组中选择的。

11.如权利要求1所述的恶意攻击检测系统，还包括由至少一个处理器提供的报告功能，可被用来表明从系统丢弃的至少一个数据分组。

12.如权利要求1所述的恶意攻击检测系统，还包括由至少一个处理器提供的输出功能，用于提供从系统丢弃的至少一个数据分组的指示。

13.如权利要求1所述的恶意攻击检测系统，还包括与至少一个处理器相关联的接口，用于对约束过滤功能和检测功能提供控制。

14.如权利要求1所述的恶意攻击检测系统，还包括与至少一个处理器相关联的接口，用于对约束过滤功能、控制功能提供控制，并且还包括第一报告功能，所述第一报告功能用于在从系统丢弃至少一个数据分组之前，提供即将出现的恶意攻击的类型的第一报告功能，其中，恶意攻击的类型是从包含拒绝服务(“DoS”)攻击或者端口扫描的组中选择的，并且还包括第二报告功能，能够用于表明从系统丢弃的至少一个数据分组，其中第一报告功能和第二报告功能可由至少一个处理器来提供。