一种基于FPGA的网络异常流量检测系统和方法技术方案

本发明专利技术公开了一种基于FPGA的网络异常流量检测系统和方法，该系统包括集成在FPGA中的智能处理模块、数据接入模块、流管理模块、攻击检测模块、状态上报模块和规则执行模块，由于该系统采用FPGA硬件设计，较传统纯软方式，大幅提升了检测性能，提高了对网络异常流量检测的效率，并且系统可串接在网络，不影响正常访问流量，提高了可靠性。提高了可靠性。提高了可靠性。

A network abnormal traffic detection system and method based on FPGA

【技术实现步骤摘要】
一种基于FPGA的网络异常流量检测系统和方法


[0001]本申请涉及计算机通信
，更具体地，涉及一种基于FPGA的网络异常流量检测系统和方法。

技术介绍

[0002]随着计算机技术的飞速发展，5G技术的普及，网络环境也逐渐变得复杂，网络中存在大量的异常流量，攻击流量，威胁后端服务器的安全使用。随着100G、400G以太网的普及，网络异常流量的监控与防治难度也不断增加，现有的软件检测方式过度依赖于CPU的处理性能，难以进行大数据情况下的检测。
[0003]因此，如何提高对网络异常流量检测的效率和可靠性，是目前有待解决的技术问题。

技术实现思路

[0004]本专利技术公开了一种基于FPGA的网络异常流量检测系统，用以解决现有技术中对网络异常流量检测时效率低、可靠性差的技术问题。
[0005]该系统包括集成在FPGA中的智能处理模块、数据接入模块、流管理模块、攻击检测模块、状态上报模块和规则执行模块，其中，智能处理模块，连接状态上报模块和规则执行模块，用于接收状态上报模块输出的攻击计数，若根据攻击计数判断存在网络攻击，将与网络攻击的类型对应的阻断规则输出至规则执行模块；数据接入模块，接收并缓存骨干网数据流，对骨干网数据流的原始报文进行解析，并将解析结果和原始报文输出至流管理模块；流管理模块，根据解析结果对原始报文进行流表建立操作，并将完成流表建立操作的原始报文作为目标报文输出至攻击检测模块；攻击检测模块，基于预设攻击检测规则对目标报文进行检测并确定攻击计数，并将攻击计数输出至状态上报模块；状态上报模块，将攻击计数上报至智能处理模块；规则执行模块，根据智能处理模块下发的阻断规则对目标报文进行阻断。
[0006]在本申请一些实施例中，数据接入模块具体用于：将解析结果合并后生成控制块，并根据原始报文生成数据块；将所述控制块和所述数据块同时输出至流管理模块；其中，所述解析结果包括每个原始报文的五元组信息，所述解析结果在原始报文为TCP报文时还包括FLAG标志。
[0007]在本申请一些实施例中，攻击检测模块具体用于：若目标报文为TCP报文且目标报文的源IP地址等于目的IP地址，确定目标报文为TCP LAND攻击，并将攻击计数加1；
若目标报文为TCP报文且不是TCP LAND攻击，且目标报文的目标端口为137或138或139，且FLAG标志位的URG位为1，确定目标报文为TCP WINnuke攻击，并将攻击计数加1；若目标报文为TCP报文，且目标报文不是TCP LAND攻击，且目标报文不是TCP WINnuke攻击，且目标报文的syn标志位和fin标志位同时设置为1，确定目标报文为SYN+FIN攻击，并将攻击计数加1；若目标报文为TCP报文，且目标报文不是TCP LAND攻击，且目标报文不是TCP WINnuke攻击，且目标报文不是SYN+FIN攻击，且目标报文中的flag的标志全为0，确定目标报文为NO FLAG攻击，并将攻击计数加1；若目标报文不是TCP报文，且当前ICMP报文速率高出ICMP阈值，确定目标报文为ICMP FLOOD攻击，并将攻击计数加1；若目标报文不是TCP报文，且目标报文不是ICMP FLOOD攻击，且目标报文的源IP地址设为广播地址或者为一个子网关闭地址，确定目标报文为SMURF攻击，并将攻击计数加1；若目标报文不是TCP报文，且目标报文不是ICMP FLOOD攻击，且目标报文不是SMURF攻击，且目标报文的IP头部的下一级协议号大于100，将攻击计数加1。
[0008]在本申请一些实施例中，攻击检测模块还用于：若目标报文为TCP报文且目标报文不是TCP LAND攻击，且目标报文不是TCP WINnuke攻击，且目标报文不是SYN+FIN攻击，且目标报文不是NO FLAG攻击，确定目标报文为非攻击报文；或，若目标报文不是TCP报文，且目标报文不是ICMP FLOOD攻击，且目标报文不是SMURF攻击，且目标报文的IP头部的下一级协议号不大于100，确定目标报文为非攻击报文。
[0009]在本申请一些实施例中，智能处理模块还用于：若目标报文不是TCP报文且攻击计数为零，根据ICMP流量速率设定所述ICMP阈值。
[0010]在本申请一些实施例中，智能处理模块还用于：若攻击计数为零，使规则执行模块输出与目标报文对应的原始报文。
[0011]在本申请一些实施例中，智能处理模块还用于：通过前端页面实时展示攻击计数。
[0012]在本申请一些实施例中，流管理模块具体用于：对控制块中原始报文的五元组信息进行hash计算确定hash值，并基于hash值对原始报文进行流表建立操作。
[0013]在本申请一些实施例中，流表建立操作包括新建，拆流，老化刷新和非老化刷新，基于流表建立操作生成的流表存放与外挂DDR芯片中。
[0014]相应的，本专利技术还提出了一种基于FPGA的网络异常流量检测方法，所述方法应用于如上所述的系统中，所述方法包括：接收并缓存骨干网数据流，对骨干网数据流的原始报文进行解析并生成解析结果；根据解析结果对原始报文进行流表建立操作，并将完成流表建立操作的原始报文确定为目标报文；基于预设攻击检测规则对目标报文进行检测并确定攻击计数；若根据攻击计数判断存在网络攻击，根据与网络攻击的类型对应的阻断规则对目
标报文进行阻断。
[0015]通过应用以上技术方案，基于FPGA的网络异常流量检测系统包括集成在FPGA中的智能处理模块、数据接入模块、流管理模块、攻击检测模块、状态上报模块和规则执行模块，其中，智能处理模块，连接状态上报模块和规则执行模块，用于接收状态上报模块输出的攻击计数，若根据攻击计数判断存在网络攻击，将与网络攻击的类型对应的阻断规则输出至规则执行模块；数据接入模块，接收并缓存骨干网数据流，对骨干网数据流的原始报文进行解析，并将解析结果和原始报文输出至流管理模块；流管理模块，根据解析结果对原始报文进行流表建立操作，并将完成流表建立操作的原始报文作为目标报文输出至攻击检测模块；攻击检测模块，基于预设攻击检测规则对目标报文进行检测并确定攻击计数，并将攻击计数输出至状态上报模块；状态上报模块，将攻击计数上报至智能处理模块；规则执行模块，根据智能处理模块下发的阻断规则对目标报文进行阻断，由于该系统采用FPGA硬件设计，较传统纯软方式，大幅提升了检测性能，提高了对网络异常流量检测的效率，并且系统可串接在网络，不影响正常访问流量，提高了可靠性。
附图说明
[0016]为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0017]图1示出了本专利技术实施例提出的一种基于FPGA的网络异常流量检测系统的结构示意图；图2示出了本专利技术实施例中攻击检测模块的工作原理示意图；图3示出了本专利技术实施例提出的一种基于FPGA的网络异常流量检本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于FPGA的网络异常流量检测系统，其特征在于，所述系统包括集成在FPGA中的智能处理模块、数据接入模块、流管理模块、攻击检测模块、状态上报模块和规则执行模块，其中，智能处理模块，连接状态上报模块和规则执行模块，用于接收状态上报模块输出的攻击计数，若根据攻击计数判断存在网络攻击，将与网络攻击的类型对应的阻断规则输出至规则执行模块；数据接入模块，接收并缓存骨干网数据流，对骨干网数据流的原始报文进行解析，并将解析结果和原始报文输出至流管理模块；流管理模块，根据解析结果对原始报文进行流表建立操作，并将完成流表建立操作的原始报文作为目标报文输出至攻击检测模块；攻击检测模块，基于预设攻击检测规则对目标报文进行检测并确定攻击计数，并将攻击计数输出至状态上报模块；状态上报模块，将攻击计数上报至智能处理模块；规则执行模块，根据智能处理模块下发的阻断规则对目标报文进行阻断。2.如权利要求1所述的系统，其特征在于，数据接入模块具体用于：将解析结果合并后生成控制块，并根据原始报文生成数据块；将所述控制块和所述数据块同时输出至流管理模块；其中，所述解析结果包括每个原始报文的五元组信息，所述解析结果在原始报文为TCP报文时还包括FLAG标志。3.如权利要求2所述的系统，其特征在于，攻击检测模块具体用于：若目标报文为TCP报文且目标报文的源IP地址等于目的IP地址，确定目标报文为TCP LAND攻击，并将攻击计数加1；若目标报文为TCP报文且不是TCP LAND攻击，且目标报文的目标端口为137或138或139，且FLAG标志位的URG位为1，确定目标报文为TCP WINnuke攻击，并将攻击计数加1；若目标报文为TCP报文，且目标报文不是TCP LAND攻击，且目标报文不是TCP WINnuke攻击，且目标报文的syn标志位和fin标志位同时设置为1，确定目标报文为SYN+FIN攻击，并将攻击计数加1；若目标报文为TCP报文，且目标报文不是TCP LAND攻击，且目标报文不是TCP WINnuke攻击，且目标报文不是SYN+FIN攻击，且目标报文中的flag的标志全为0，确定目标报文为NO FLAG攻击，并将攻击计数加1；若目标报文不是TCP报文，且当前ICMP报文速率高出ICMP阈值，确定目标报文为ICMP ...

【专利技术属性】
技术研发人员：刘云川，周昔元，眭新光，
申请(专利权)人：合肥卓讯云网科技有限公司，
类型：发明
国别省市：