【技术实现步骤摘要】
一种基于DPDK的DDoS实时防御系统
[0001]本专利技术涉及计算机网络安全
,属于分布式拒绝服务攻击(DDoS)的防御,尤其涉及一种基于DPDK的DDoS实时防御系统。
技术介绍
[0002]分布式拒绝服务攻击已成为当前互联网面临的主要威胁之一。DDoS防御一直以来是一个很有研究价值的课题,引发学术界和工业界共同的广泛关注。目前针对DDoS防御的方法面临的共同挑战是针对先前未知复杂的攻击的可部署性和效率。
[0003]由于自治系统的异质性,要求在大量自治系统中进行部署的方法在实际环境中的部署受到很大的限制。因此,云安全服务提供商在当今的 DDoS 防护中起着至关重要的作用。他们首先将DDoS 受害者的流量重定向到配置完善并配备过滤机制的数据中心,以便将剩余的良性流量传递到目标之前移除攻击流量。然而,由于防御重点放在处理大型但特征明显的攻击上,当面对没有先例或尚未充分展露的未知复杂攻击时,云安全服务提供商部署的清理服务无法识别攻击,这对企业构成了严重威胁。现有基于目标驱动策略的方法只能简单的按流或按源公平共...
【技术保护点】
【技术特征摘要】
1.一种基于DPDK的DDoS实时防御系统,其特征在于,包括快速转发表模块、流量监测模块、机器学习规则表模块、中间桶模块和优先队列调度模块:所述快速转发表模块利用快速转发表对网络流量进行匹配,所述快速转发表包括未被攻击者控制的源地址列表,所述网络流量先与快速转发表进行IP匹配,得到优先级标签;若匹配成功则绕过机器学习规则表模块直接进入优先队列调度模块,并使用高优先级标签进行标记;若匹配不成功则与机器学习规则表进行匹配;并对快速转发表进行定期验证更新;所述流量监测模块利用trTCM算法实时监测当前的带宽利用率,触发快速转发表的验证或者重置;所述机器学习规则表模块接收快速转发表模块匹配不成功的数据包:与快速转发表不匹配的数据包,将与机器学习规则表中的字节规则进行匹配;将机器学习生成的规则转换成在DPDK配置的字节规则;所述每个字节规则都是一个范围列表,第i个范围指定了一个整数范围,所述整数范围为[0,255],该整数范围与第i个字节位置的字节规则匹配;如果一个数据包至少匹配一个字节规则,则该数据包被视为良性数据包,并使用高优先级标签进行标记;否则,数据包将被转发到低优先级队列,使用 DPDK 中的访问控制库以及Trie树算法实现机器学习规则表的范围匹配;所述Trie树的步长设为 8 位,即一次匹配一个字节;对于每个字节规则,将字节规则转换为Trie树,并构造一个 256 位长位图的Trie树,其中Trie树的每个节点表示一...
【专利技术属性】
技术研发人员:张帆,陈欢,赵子鸣,宋卓学,李亮,汤尧,
申请(专利权)人:浙江大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。