本发明专利技术提供一种支持三层环路流量检测以及抗DDOS攻击的分流系统及防反,在分流系统中利用系统特性,实现三层环路流量检测和抗DDOS攻击功能。其中,引入特征库和裁决器模块,通过分流设备获取报文关键字段匹配特征库,通过设置阈值来确认流量标识内容,对于无法匹配特征库报文,增加学习模块以适应网络报文多样性,增加特征库的动态实时调整;裁决器根据标识内容,对报文做进一步处理,包括分流到特定设备或者丢弃包文等操作。
【技术实现步骤摘要】
支持三层环路流量检测以及抗DDOS攻击的分流系统及方法
本专利技术涉及网络安全
,具体涉及一种基于网络处理器实现多业务规则匹配以及流量复制的系统。本专利技术同时涉及基于网络处理器实现多业务规则匹配以及流量复制的方法。
技术介绍
近年来,骨干网海量数据的实时网络安全处理已经成为世界主要大国在互联网上进行战略对抗和竞争的主要焦点。在网络安全领域开展的网络攻击监测、恶意攻击防护等核心业务中系统中,三层环路流量检测和DDOS攻击分析技术层出不断。故,需要一种新的技术方案以解决上述问题。
技术实现思路
本专利技术的目的在于:提供一种支持三层环路流量检测以及抗DDOS攻击的分流系统,用以针对三层环路流量以及DDOS攻击流量清洗,从而降低对二级处理设备的压力。本专利技术同时提供支持三层环路流量检测以及抗DDOS攻击的分流方法,同样用以针对三层环路流量以及DDOS攻击流量清洗,从而降低对二级处理设备的压力。为达到上述目的,本专利技术实现多业务规则匹配以及流量复制的系统可采用如下技术方案:一种支持三层环路流量检测以及抗DDOS攻击的分流系统,包括:特征库模块,包含设置关键字段的特征库,特征库模块用以获取流量数据的特征信息,以匹配特征库内的关键字段,记录并标识已匹配特征信息流量或者记录并标识攻击流量:裁决器模块,用于当流量数据经过特征库模块后,根据标识内容,对流量数据相应做出动作,包括输出或丢弃,超过阈值则产生告警。有益效果:本专利技术支持三层环路流量检测以及抗DDOS攻击的分流系统中通过特征库识别已匹配特征信息流量并进行标示,由裁决器决定流量动作处理,可以减轻对二级设备数据处理分析,并根据生产者需求产出相应信息“的一套分流系统解决方案。进一步的,关键字段包括三层环路流量的关键字段及DDOS攻击报文关键字段;三层环路流量报文关键字段包括五元组信息、报文长度字段和IP的ID字段;其中DDOS攻击报文关键字段包括报文长度字段和TCP的Flags字段。进一步的,所述特征库模块还具有学习功能,对符合特征库特征流量都会被学习,产生一条关键字段,用于标识已匹配特征信息流量。进一步的,当接入海量数据后,对提取的报文关键字段信息匹配特征库,匹配时,记录并检测是否达到阈值,标识数据流量,用以裁决器模块进一步处理;不匹配时,特征库通过学习通道判断是否满足学习要求,若是满足则新增一条关键字段信息,后续数据匹配不再学习,若是不满足则不学习。进一步的,裁决器模块通过API接口,修改或调整动作方式,实现动态调整。本专利技术提供的支持三层环路流量检测以及抗DDOS攻击的分流方法可以采用以下技术方案,包括以下步骤:(1)、设置特征库,获取流量数据的特征信息,以匹配特征库内的关键字段,记录并标识已匹配特征信息流量或者记录并标识攻击流量:(2)、根据标识内容,对流量数据相应做出动作,包括输出或丢弃,超过阈值则产生告警。有益效果:本专利技术提供的支持三层环路流量检测以及抗DDOS攻击的分流方法中通过特征库识别已匹配特征信息流量并进行标示,由裁决器决定流量动作处理,可以减轻对二级设备数据处理分析,并根据生产者需求产出相应信息“的一套分流系统解决方案。进一步的,关键字段包括三层环路流量的关键字段及DDOS攻击报文关键字段;三层环路流量报文关键字段包括五元组信息、报文长度字段和IP的ID字段;其中DDOS攻击报文关键字段包括报文长度字段和TCP的Flags字段;通过判断流量数据的特征信息与五元组信息、报文长度字段和IP的ID字段是否匹配来确定是否是三层环路流量报文;通过判断流量的特征信息与报文长度字段和TCP的Flags字段是否匹配来确定是否是攻击报文。本专利技术提供的实现多业务规则匹配以及流量复制的方法还可以采用以下技术方案,包括以下步骤:步骤101,接入流量数据,经过分流设备提取特征库信息,用于特征库模块匹配处理;步骤102,判断是否匹配特征库,若是匹配,则执行103步骤,否则执行105步骤;步骤103,匹配特征库流量被标识,用于裁决器处理依据;步骤104,裁决器根据标识信息,对数据进行相关处理,并获取数据信息;步骤105,对于不能匹配特征库数据,判断是否符合特征库信息,若是匹配添加到特征库;步骤106,添加特征库报文也被标识,并送到步骤103继续处理。有益效果:本专利技术提供的支持三层环路流量检测以及抗DDOS攻击的分流方法中通过特征库识别已匹配特征信息流量并进行标示,由裁决器决定流量动作处理,可以减轻对二级设备数据处理分析,并根据生产者需求产出相应信息“的一套分流系统解决方案。附图说明图1为本专利技术中的三层环路流量检测以及抗DDOS攻击系统的处理流程图。具体实施方式本专利技术提供了支持三层环路流量检测以及抗DDOS攻击的分流系统的技术方案,同时提供了支持三层环路流量检测以及抗DDOS攻击的分流的方法的技术方案。系统及方法的技术方案中均引入特征库概念,用以标识数据唯一特性或某种类型数据,依此来确认是否是三层环路报文或DDOS攻击报文。特征库不仅包括五元组信息,也包括了能够标识报文特征的其它信息。三层环路流量的关键字段包括五元组信息、报文长度字段和IP的ID字段,当匹配关键字段后通过判断TTL值确定是否产生环路,并输出五元组信息用于产生告警信息;DDOS攻击报文关键字段包括报文载荷长度和TCPFlags,通过判断是否匹配来确定是否是攻击报文。匹配关键字段流量报文被标识,特征库可以根据不同需要灵活定义。同时,引入裁决器概念,决定了对匹配特征库流量数据后续动作处理,包括但不限于输出、丢弃等,也可产生相关告警信息,三层环路检测可以设置告警上线,当环路报文达到设置阈值就产生告警信息;DDOS攻击流量可以实现流量丢弃或输出。当海量数据进入分流系统后,提取与特征库关键字段相关信息,通过与特征库一一筛选处理,标识匹配流量,然后由裁决器对流量进一步处理。下面结合附图对进行说明。实施例一可参考图1,实施例一提供一种支持三层环路流量检测以及抗DDOS攻击的分流系统,包括:特征库模块,包含设置关键字段的特征库,特征库模块用以获取流量数据的特征信息,以匹配特征库内的关键字段,记录并标识已匹配特征信息流量或者记录并标识攻击流量:关键字段包括五元组信息、报文长度字段、IP的ID字段、TCP的Flags字段裁决器模块,用于当流量数据经过特征库模块后,根据标识内容,对流量数据相应做出动作,包括输出或丢弃,超过阈值则产生告警。其中,特征库模块还具有学习功能,对符合特征库特征流量都会被学习,产生一条关键字段,用于标识已匹配特征信息流量。在特征库模块中,当接入海量数据后,对提取的报文关键字段信息匹配特征库,匹配时,记录并检测是否达到阈值,标识数据流量,用以裁决器模块进一步处理;不匹配时,特征库通过学习通道判断是否满足学习要求,若是满足则新增一条关键字段信息,后续数据匹配不再学习,若是不满足则不学习。裁决器模块通过API接口,修改或调整动作方式,实现动态调整。实施例二请结合图1所示,实施例二提供一种支持三层环路流量检测以及抗DDOS攻击的分流方法,包括:(1)、设置特征库,获取流量数据的特征信息,以匹配特征库内的关键字段,记录并标识已匹配特征信息流量或者记录并标识攻击流量:关键字段包括五元组信息、报文长度字段、IP的ID字段、T本文档来自技高网...
【技术保护点】
1.一种支持三层环路流量检测以及抗DDOS攻击的分流系统,其特征在于,包括:特征库模块,包含设置关键字段的特征库,特征库模块用以获取流量数据的特征信息,以匹配特征库内的关键字段,记录并标识已匹配特征信息流量或者记录并标识攻击流量:裁决器模块,用于当流量数据经过特征库模块后,根据标识内容,对流量数据相应做出动作,包括输出或丢弃,超过阈值则产生告警。
【技术特征摘要】
1.一种支持三层环路流量检测以及抗DDOS攻击的分流系统,其特征在于,包括:特征库模块,包含设置关键字段的特征库,特征库模块用以获取流量数据的特征信息,以匹配特征库内的关键字段,记录并标识已匹配特征信息流量或者记录并标识攻击流量:裁决器模块,用于当流量数据经过特征库模块后,根据标识内容,对流量数据相应做出动作,包括输出或丢弃,超过阈值则产生告警。2.根据权利要求1所述的系统,其特征在于:关键字段包括三层环路流量的关键字段及DDOS攻击报文关键字段;三层环路流量报文关键字段包括五元组信息、报文长度字段和IP的ID字段;其中DDOS攻击报文关键字段包括报文长度字段和TCP的Flags字段。3.根据权利要求1或2所述的系统,其特征在于:所述特征库模块还具有学习功能,对符合特征库特征流量都会被学习,产生一条关键字段,用于标识已匹配特征信息流量。4.根据权利要求3所述的系统,其特征在于:在特征库模块中,当接入海量数据后,对提取的报文关键字段信息匹配特征库,匹配时,记录并检测是否达到阈值,标识数据流量,用以裁决器模块进一步处理;不匹配时,特征库通过学习通道判断是否满足学习要求,若是满足则新增一条关键字段信息,后续数据匹配不再学习,若是不满足则不学习。5.根据权利要求1所述的系统,其特征在于:裁决器模块通过API接口,修改或调整动作方式,实现动态调整。6.一种支持三层环路流量检测以及抗DDOS攻击的分流方法,其特征在于,包括以下步骤:(1)、设置特征库,获取流量数据的特征信息,以匹配特征库内的关键字段,记录并标识已匹配特征信息流量或者记录并标识攻击流量:(2)、根据标识内容,对流量数据相应做出动作,包括输出...
【专利技术属性】
技术研发人员:邹昕,张家琦,仝国利,孙浩,翟海滨,薛春晖,王维晟,
申请(专利权)人:国家计算机网络与信息安全管理中心,南京中新赛克科技有限责任公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。