[发明专利]一种基于可编程芯片的大流量DDoS攻击检测方法及系统

权利要求书

1.一种基于可编程芯片的大流量DDoS攻击检测方法，所述方法应用于DDoS攻击检测系统，所述系统包括设置于CPU上的控制面和设置于可编程芯片上的转发面，其特征在于，所述方法包括：

通过转发面检测可疑流量，根据接收的报文信息和Hash函数计算生成各单位时间的BPS值和PPS值，在所述各单位时间的BPS值和PPS值选取BPS最小值和PPS最小值，判断所述BPS最小值和PPS最小值是否均小于正常流量阈值来检测可疑流量；当检测到可疑流量时，将所述可疑流量上报至控制面；

控制面根据所述可疑流量向所述转发面下发预置的攻击流量模型；

转发面根据所述攻击流量模型检测所述可疑流量是否发生攻击，当所述可疑流量发生攻击时，向所述控制面上报通知信息；

所述控制面响应于所述通知信息，对发生攻击的可疑流量进行清洗。

2.根据权利要求1所述的基于可编程芯片的大流量DDoS攻击检测方法，其特征在于，所述通过转发面检测可疑流量，之前包括：

在转发面中配置多个Hash函数，其中，所述Hash函数存储有记录信息，所述记录信息至少包括记录时间戳、目的地址、报文数量和字节数信息。

3.根据权利要求2所述的基于可编程芯片的大流量DDoS攻击检测方法，其特征在于，所述通过转发面检测可疑流量时，若所述BPS最小值和PPS最小值均小于正常流量阈值，则判断所述报文信息为可疑流量。

4.根据权利要求1所述的基于可编程芯片的大流量DDoS攻击检测方法，其特征在于，所述控制面根据所述可疑流量向所述转发面下发预置的攻击流量模型，其中，所述预置的攻击流量模型实现为：

统计每一次接收报文信息的PPS值、BPS值；

配置第一攻击条件，所述第一攻击条件包括当接收到的报文信息的目的地址的PPS值和BPS值超过正常流量阈值时，控制面发生带宽耗尽类攻击。

5.根据权利要求1所述的基于可编程芯片的大流量DDoS攻击检测方法，其特征在于，所述控制面根据所述可疑流量向所述转发面下发预置的攻击流量模型，其中，所述预置的攻击流量模型实现为：

统计每一次接收报文信息的CPS值；

配置第二攻击条件，所述第二攻击条件包括当接收到的报文信息的目的地址的CPS值超过正常连接阈值时，控制面发生TCP连接耗尽类攻击。

6.根据权利要求1所述的基于可编程芯片的大流量DDoS攻击检测方法，其特征在于，所述控制面根据所述可疑流量向所述转发面下发预置的攻击流量模型，其中，所述预置的攻击流量模型实现为：

统计每一次接收报文信息的TCP-Ratio值；

配置第三攻击条件，所述第三攻击条件包括当接收到的报文信息的目的地址的TCP-Ratio值为异常比例时，控制面发生sync flood类攻击；

所述TCP-Ratio值具体含义为：SYN 报文与SYN报文+ACK 报文的比例，正常情况下应该是1:1，当有SYN Flood 攻击发生时，SYN报文会远远高于SYN报文+ACK报文。

7.根据权利要求1-6任一项所述的基于可编程芯片的大流量DDoS攻击检测方法，其特征在于，所述方法还包括：

所述转发面通过DMA与所述控制面进行数据交互。

8.一种基于可编程芯片的大流量DDoS攻击检测系统，所述系统包括设置于CPU上的控制面和设置于可编程芯片上的转发面，其特征在于，

所述转发面包括：

检测单元，用于检测可疑流量，当检测到可疑流量时，将所述可疑流量上报至所述控制面；

所述控制面包括：

攻击流量模型；

下发单元，用于根据所述可疑流量向所述转发面下发预置的攻击流量模型；

所述转发面还包括：

上报单元，用于根据所述攻击流量模型检测所述可疑流量是否发生攻击，当所述可疑流量发生攻击时，向所述控制面上报通知信息；

所述控制面还包括：

清洗单元，用于响应于所述通知信息，对发生攻击的可疑流量进行清洗流程。