System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 一种基于智能网卡的DDoS攻击检测方法及系统技术方案_技高网
当前位置: 首页 > 专利查询>天翼云科技有限公司专利>正文

一种基于智能网卡的DDoS攻击检测方法及系统技术方案

技术编号:40605101 阅读:9 留言:0更新日期:2024-03-12 22:11
本发明专利技术涉及网络技术与安全技术领域,具体公开了一种基于智能网卡的DDoS攻击检测方法及系统,其包括:软硬协同流量测量模块,用于编排智能网卡的硬件对网络流量的测量;DDoS攻击检测模块,用于根据流量测量结果判断DDoS攻击流量;其中,软硬件协同模块的输入与输出与网络链路相连,而DDoS攻击检测模块的输入与输出则与软硬件协同模块相通;所述软硬协同流量测量模块包括包处理单元、规则单元和异步事件单元;本发明专利技术通过将Sketch测量算法卸载到智能网卡的硬件加速引擎,提升了处理能力,并降低了对CPU计算资源的占用;通过将通用智能网卡与NFV技术相结合的方式,提高了系统的通用性与可维护性。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及网络技术与安全,具体是一种基于智能网卡的ddos攻击检测方法及系统。


技术介绍

1、智能网卡在实现基础网卡网络传输功能的同时还能灵活地卸载复杂网络数据平面功能,其主要可利用内置的可编程硬件加速引擎将原有的由cpu负责的计算任务卸载到智能网卡中,提高处理性能的同时还释放了宝贵的cpu计算资源。

2、ddos(distributed denial of services,分布式拒绝服务)攻击是一种恶意的网络攻击,攻击是通过操纵多台被感染的计算机,向受害服务器发起大量非法的网络请求,从而消耗受害系统的计算或网络资源,最终使得普通用户无法获取目标系统所提供的网络服务

3、现有的ddos攻击检测技术主要分为传统基于专用硬件的检测方案和基于nfv技术的软件检测方案。基于专用硬件的检测方案是通过购买相关生产厂商的独立硬件设备来提供服务,该方案主要面临着技术封闭、升级困难等问题。而基于nfv的软件方案则是通过在通用服务器上部署软件的方式来进行攻击检测,其缺点主要在于性能有限,难以应对越发增长的网络带宽。

4、为了解决上述问题,本专利技术提出一种基于智能网卡的ddos攻击检测方法及系统。


技术实现思路

1、本专利技术的目的在于提供一种基于智能网卡的ddos攻击检测方法及系统,旨在解决
技术介绍
中提出问题。

2、为实现上述目的,本专利技术提供如下技术方案:一种基于智能网卡的ddos攻击检测系统,所述系统包括:

3、软硬协同流量测量模块,用于编排智能网卡的硬件对网络流量的测量;

4、ddos攻击检测模块,用于根据流量测量结果判断ddos攻击流量;

5、其中,软硬件协同模块的输入与输出与网络链路相连,而ddos攻击检测模块的输入与输出则与软硬件协同模块相通。

6、作为本专利技术所述的一种优选实施方案,其中,所述软硬协同流量测量模块包括包处理单元,所述包处理单元包括软件包处理单元和硬件包处理单元,所述软件包处理单元通过dpdk框架实现的软件包处理功能;所述硬件包处理单元是智能网卡内置的硬件包处理功能。

7、作为本专利技术所述的一种优选实施方案,其中,所述软件包处理单元内设置有多个rx队列,所述队列编号规则如下:队列1、队列2、队列3…队列n,n取自然数。

8、作为本专利技术所述的一种优选实施方案,其中,所述硬件包处理单元内置多组group,所述group用于执行rss操作,所述group编号规则如下:group 0、group 1、group2…group n+1,n取自然数。

9、作为本专利技术所述的一种优选实施方案,其中,所述硬件包处理单元还包括使用indirect动作提供的共享计数器实现了sketch中用于计数的哈希桶。

10、作为本专利技术所述的一种优选实施方案,其中,所述软硬协同流量测量模块还包括规则单元,所述规则单元用于在初始化时下发硬件流表中的所有基础表项,以及在上述流程中辅助包处理单元生成对应的多条带有计数动作的流处理规则,并最终实现对sketch测量算法的卸载。

11、作为本专利技术所述的一种优选实施方案,其中,所述软硬协同流量测量模块还包括异步事件单元,所述异步事件单元用于处理流规则的超时事件,并对一些过期的流规则进行回收。

12、一种基于智能网卡的ddos攻击检测方法,所述方法包括:

13、s1:通过软硬协同流量测量模块编排智能网卡的硬件对网络流量的测量;将sketch需要的多次哈希操作转化为了在软硬协同流量测量模块中硬件包处理单元的多组group中执行rss动作,rss动作通过智能网卡的硬件加速哈希计算;

14、s2:通过ddos攻击检测模块按固定间隔时间检测攻击。

15、作为本专利技术所述的一种优选实施方案,其中,所述步骤s1中硬件包处理单元处理流程如下:

16、步骤s1.1、数据包到来后会进入到智能网卡的rx队列中,并会默认与智能网卡硬件流表group 0中的规则进行匹配,添加一条将所有数据包跳转到group 1的jump动作;

17、步骤s1.2、数据包进入group 1中首先会进行规则匹配,对非首次出现的流的数据包有,数据包通过indirect share counter动作增加对应的多个sketch计数桶的计数器,之后按照hairpin动作直接转发到对应的网卡tx队列;对首次出现的流的数据包直接跳转到group 2;

18、步骤s1.3、数据包在group 2中利用sample动作对流进行采样,此时采样比例应为1,将流量中的数据包完整复制一次,数据包的一份会进行rss动作,即进行哈希计算并将其上送到软件包处理单元,软件包处理单元通过读取数据包的hash.rss字段获得哈希计算的结果,哈希计算结果取值为[0-m);接着软件包处理单元即可借助哈希计算结果获得对应的sketch计数桶,调用规则单元将该桶对应的indirect share counter作为动作下发到group 1中,并让该动作匹配该流的后续数据包即可,之后的数据包便可直接在group 1中完成计数与转发;

19、步骤s1.4、数据包采样后的另一份继续进行jump动作跳转到下一个group重复进行此操作,直至到达group n+1,这个过程中共进行了n次哈希,但每次哈希采用的种子皆不相同,即sketch算法使用了n层的哈希桶;除去规则下发外以上其他操作皆由智能网卡的硬件加速引擎执行。

20、作为本专利技术所述的一种优选实施方案,其中,所述步骤s2的流程如下:

21、s2.1每次检测会先通过indirect handler查询所有sketch计数桶对应的indirect share counter数据;

22、s2.2计算每一层的概率分布p(x)n,概率分布计算公式如式1所示;

23、s2.3概率分布计算完成后,继续计算其与上一正常时刻的概率分布l(x)n的差值d(p,l)n,此处通过海灵格距离进行计算,每一层的具体计算公式如式2所示;

24、s2.4之后需判断每一层的差值是否超过了阈值thr,若未超过则更新l(x)n并等待进入下一周期,若超过则将每层计数值前i个最大的桶视为异常桶,并更新这些流的计数信息;

25、s2.5最后将所有累加完成后的流中计数结果最大的j个流视为异常流,至此便认为攻击检测完成;

26、计算公式如下:

27、

28、

29、其中,p(x)n表示每一层的概率分布,n表示层数,m表示列数,l(x)n表示上一周期每层的概率分布,d(p,l)n表示每一层概率分布的差值,sn1至snm分别为第n层m个计数桶中的计数值,m为列数最大值,x为概率分布函数的自变量,可带入从1到m的值。

30、与现有技术相比,本专利技术的有益效果是:

31、本专利技术通过将sketch测量算法卸载到智能网卡的本文档来自技高网...

【技术保护点】

1.一种基于智能网卡的DDoS攻击检测系统,其特征在于,包括:

2.根据权利要求1所述的一种基于智能网卡的DDoS攻击检测系统,其特征在于,所述软硬协同流量测量模块包括包处理单元,所述包处理单元包括软件包处理单元和硬件包处理单元,所述软件包处理单元通过DPDK框架实现的软件包处理功能;所述硬件包处理单元是智能网卡内置的硬件包处理功能。

3.根据权利要求2所述的一种基于智能网卡的DDoS攻击检测系统,其特征在于,所述软件包处理单元内设置有多个RX队列,所述队列编号规则如下:队列1、队列2、队列3…队列n,n取自然数。

4.根据权利要求3所述的一种基于智能网卡的DDoS攻击检测系统,其特征在于,所述硬件包处理单元内置多组Group,所述Group用于执行RSS操作,所述Group编号规则如下:Group 0、Group 1、Group 2…Group n+1,n取自然数。

5.根据权利要求4所述的一种基于智能网卡的DDoS攻击检测系统,其特征在于,所述硬件包处理单元还包括使用INDIRECT动作提供的共享计数器实现了Sketch中用于计数的哈希桶。

6.根据权利要求5所述的一种基于智能网卡的DDoS攻击检测系统,其特征在于,所述软硬协同流量测量模块还包括规则单元,所述规则单元用于在初始化时下发硬件流表中的所有基础表项,以及在上述流程中辅助包处理单元生成对应的多条带有计数动作的流处理规则,并最终实现对Sketch测量算法的卸载。

7.根据权利要求6所述的一种基于智能网卡的DDoS攻击检测系统,其特征在于,所述软硬协同流量测量模块还包括异步事件单元,所述异步事件单元用于处理流规则的超时事件,并对一些过期的流规则进行回收。

8.一种基于智能网卡的DDoS攻击检测方法,其特征在于,所述方法用于执行权利要求1-7任一项所述系统,所述方法包括:

9.根据权利要求8所述的一种基于智能网卡的DDoS攻击检测方法,其特征在于,所述步骤S1中硬件包处理单元处理流程如下:

10.根据权利要求8所述的一种基于智能网卡的DDoS攻击检测方法,其特征在于,所述步骤S2的流程如下:

...

【技术特征摘要】

1.一种基于智能网卡的ddos攻击检测系统,其特征在于,包括:

2.根据权利要求1所述的一种基于智能网卡的ddos攻击检测系统,其特征在于,所述软硬协同流量测量模块包括包处理单元,所述包处理单元包括软件包处理单元和硬件包处理单元,所述软件包处理单元通过dpdk框架实现的软件包处理功能;所述硬件包处理单元是智能网卡内置的硬件包处理功能。

3.根据权利要求2所述的一种基于智能网卡的ddos攻击检测系统,其特征在于,所述软件包处理单元内设置有多个rx队列,所述队列编号规则如下:队列1、队列2、队列3…队列n,n取自然数。

4.根据权利要求3所述的一种基于智能网卡的ddos攻击检测系统,其特征在于,所述硬件包处理单元内置多组group,所述group用于执行rss操作,所述group编号规则如下:group 0、group 1、group 2…group n+1,n取自然数。

5.根据权利要求4所述的一种基于智能网卡的ddos攻击检测系统,其特征在于,所述硬件包处理单元还包括使用indire...

【专利技术属性】
技术研发人员:畅晨铭程霄郎桾侠宋雨昊刘浩林王天一
申请(专利权)人:天翼云科技有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有