[发明专利]前置可重构DDoS攻击防御装置及方法

权利要求书

1.一种前置可重构DDoS攻击防御装置，包括与外部网络相连接的接收来自网络数据流的接入模块，其特征在于：

DDoS攻击防御装置作为一个硬化的功能模块，称之为Anti-DDoS Engin，简称ADE，部署在Web服务器IP协议栈执行部件之前；

接入模块的输出端口分别与检测模块和处理模块相连接，检测模块提取数据流的特征值，并根据特征值检测DDoS攻击的类型,检测模块通过输入输出端口与控制模块相连，控制模块根据反馈信息对系统行为进行控制,控制模块与TCP状态监测模块输出端口相连接，TCP状态监测模块的输入端口接收IP协议栈处理部件的状态信息，TCP状态监测模块对IP协议栈的状态进行监测，依此判断是否发生DDoS攻击及攻击的程度, 处理模块的两个输入端口分别与控制模块和接入模块相连，处理模块的输出端口向IP协议栈发送经过处理后的数据包,并根据控制模块的指令完成不同级别的DDoS防护功能。

2.根据权利要求1所述的前置可重构DDoS攻击防御装置，其特征在于：检测模块和处理模块采用可编程逻辑器件实现，用户通过控制模块对它们进行重配置，以检测和处理不同类型、不同程度的DDoS攻击，保证硬件实现的高效性和满足灵活性需求。

3.一种前置可重构DDoS攻击防御方法，其特征在于：按如下步骤进行：

步骤1：接入模块接收经过分类的IP数据流；

步骤2：TCP状态监测模块对IP协议栈的执行状态进行监测，以便控制模块判断是否发生DDoS攻击以及服务器收到攻击的程度，并向控制模块反馈监测结果，避免检测模块的漏检问题；

步骤3：检测模块提取输入IP数据流的特征值，根据设定的检测规则或算法进行检测；

步骤4：根据检测结果判断是否存在DDoS攻击数据包，并确定攻击的类型，如果存在，则对数据流进行处理，将检测结果反馈给控制模块，否则直接转发通过；

步骤5：控制模块根据检测模块和TCP状态监测模块的反馈信息，向检测模块和处理模块发出控制命令，更新检测规则和处理策略，对输入的网络数据流进行处理，实现对不同类型DDoS攻击的精确防护，阻止潜在的DDoS攻击；

步骤6：得到安全的数据流。