【技术实现步骤摘要】
本专利技术涉及计算机网络安全领域,尤其涉及一种智能网卡场景下ddos防御方法。
技术介绍
1、近年来,随着互联网的迅猛发展,ddos(分布式拒绝服务攻击)已成为网络安全领域的重要问题之一。这种攻击利用大量的恶意流量,使目标系统资源耗尽,导致合法用户无法正常访问服务。
2、目前针ddos流量的检测和方法的主要方法大多还是依靠专有设备的cpu上进行统计并完成相应的处理,该类方法难以拓展到依靠硬件进行转发的智能网卡场景下。
3、在智能网卡上实现ddos流量的检测和防御所面临的问题有以下几点
4、智能网卡无法使用通用的cpu计算资源,只能通过提前设置处理逻辑,依靠在硬件上对处理过程进行编排的方式进而实现对于ddos流量的检测和防御;
5、在相对有限的内存大小下以线速执行近似每流的统计需要使用特殊的数据结构,如count-min sketch。而直接使用count-min sketch则容易出现高位浪费以及大象流的高程效应等问题,需要对count-min sketch进行适当调整。
6、其中,智能网卡是一种具有智能处理能力和高级功能的网络接口卡。传统的网络接口卡主要负责数据包的收发和物理层处理,而智能网卡则在此基础上增加了一些额外的功能和处理能力。智能网卡通常包括一个专用的处理器和一些内存资源,以及具有自己的操作系统和软件栈。它可以在硬件级别上处理一些网络协议、数据包过滤、流量控制等功能,从而减轻主机的负担,并提高网络性能和安全性。
7、count-min sketc
8、bloom filter是一种用于快速判断一个元素是否存在于一个集合中的概率型数据结构。它通过使用位数组和多个哈希函数来实现。bloom filter的核心思想是通过将元素映射到位数组中的多个位置,并将这些位置置为1来表示元素的存在。当查询一个元素是否存在时,首先将该元素经过相同的哈希函数映射到位数组中的相应位置,然后检查这些位置是否都为1。如果所有位置都为1,则认为该元素可能存在;如果有任何一个位置为0,则可以确定该元素一定不存在。
技术实现思路
1、鉴于上述问题,提出了本专利技术以便提供克服上述问题或者至少部分地解决上述问题的一种智能网卡场景下ddos防御方法。
2、根据本专利技术的一个方面,提供了一种智能网卡场景下ddos防御方法,所述防御方法包括:
3、步骤s1:在智能网卡上初始化bloom sketch数据结构;
4、步骤s2:在智能网卡上收集网络流量数据,在保持线速转发的同时在智能网卡上维护可供主机上的应用程序访问的寄存器;
5、步骤s3:在主机上拉取由bloom sketch检测到的网络流量数据信息并快速定位恶意流量;
6、步骤s4:根据检测结果,向智能网卡下发指令,将恶意流量进行过滤,将合法流量传递给目标系统;
7、步骤s5:在智能网卡上对后续流量进行处理和转发,并实时更新拦截规则,以适应新的恶意流量特征。
8、可选的,所述网络流量数据包括源ip地址、目标ip地址和访问次数。
9、可选的,所述在智能网卡上初始化bloom sketch数据结构具体包括:
10、设计在智能网卡上执行的bloom sketch单层数据结构;
11、设计在智能网卡上执行的bloom sketch多层数据结构;
12、在智能网卡上初始化bloom sketch数据结构。
13、可选的,所述在智能网卡上收集网络流量数据,在保持线速转发的同时在智能网卡上维护可供主机上的应用程序访问的寄存器具体包括:
14、智能网卡接收处理及转发新到达的网络流量;
15、智能网卡维护数据存储寄存器。
16、可选的,所述智能网卡接收处理及转发新到达的网络流量具体包括:
17、在程序启动时需要分别指定好用于收发流量的端口,在程序运行后对应端口会完成对流量的接收和转发,同时在智能网卡中完成对流量的处理;
18、智能网卡在处理流量时,会按照初始化的处理方法对所有转发流量进行处理,并将对应的流量访问信息插入bloom sketch数据结构。
19、可选的,所述智能网卡维护数据存储寄存器具体包括:
20、统计访问次数的功能是位于count-min sketch数据结构中,cpu向智能网卡对访问过的流量下发shared counter操作,只要后续该流量继续经由智能网卡进行处理,就会在智能网卡中的特定寄存器中存放该流量对应的访问次数,以供cpu后续主动获取。
21、可选的,所述在主机上拉取由bloom sketch检测到的网络流量数据信息并快速定位恶意流量具体包括:
22、主机服务器应用程序定期拉取流量统计信息;
23、主机服务器应用程序快速定位恶意流量。
24、可选的,所述步骤s5:在智能网卡上对后续流量进行处理和转发,并实时更新拦截规则,以适应新的恶意流量特征具体包括:
25、智能网卡在接收到处置命令后完成对后续流量处理的过程;
26、智能网卡会按照新的规则接收处理后续到达的网络流量。
27、本专利技术提供的一种智能网卡场景下ddos防御方法,所述防御方法包括:步骤s1:在智能网卡上初始化bloom sketch数据结构;步骤s2:在智能网卡上收集网络流量数据,在保持线速转发的同时在智能网卡上维护可供主机上的应用程序访问的寄存器;步骤s3:在主机上拉取由bloom sketch检测到的网络流量数据信息并快速定位恶意流量;步骤s4:根据检测结果,向智能网卡下发指令,将恶意流量进行过滤,将合法流量传递给目标系统;步骤s5:在智能网卡上对后续流量进行处理和转发,并实时更新拦截规则,以适应新的恶意流量特征。利用bloom sketch作为用于统计海量流量的数据结构,并结合智能网卡的规则集设计了对应数据处理逻辑的硬件实现,实现了对于海量流量的轻量级、快速且准确的检测和防御方法。
28、上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。
本文档来自技高网...【技术保护点】
1.一种智能网卡场景下DDos防御方法,其特征在于,所述防御方法包括:
2.根据权利要求1所述的一种智能网卡场景下DDos防御方法,其特征在于,所述网络流量数据包括源IP地址、目标IP地址和访问次数。
3.根据权利要求1所述的一种智能网卡场景下DDos防御方法,其特征在于,所述在智能网卡上初始化Bloom Sketch数据结构具体包括:
4.根据权利要求1所述的一种智能网卡场景下DDos防御方法,其特征在于,所述在智能网卡上收集网络流量数据,在保持线速转发的同时在智能网卡上维护可供主机上的应用程序访问的寄存器具体包括:
5.根据权利要求4所述的一种智能网卡场景下DDos防御方法,其特征在于,所述智能网卡接收处理及转发新到达的网络流量具体包括:
6.根据权利要求4所述的一种智能网卡场景下DDos防御方法,其特征在于,所述智能网卡维护数据存储寄存器具体包括:
7.根据权利要求1所述的一种智能网卡场景下DDos防御方法,其特征在于,所述在主机上拉取由Bloom Sketch检测到的网络流量数据信息并快速定位恶意流量
8.根据权利要求1所述的一种智能网卡场景下DDos防御方法,其特征在于,所述步骤S5:在智能网卡上对后续流量进行处理和转发,并实时更新拦截规则,以适应新的恶意流量特征具体包括:
...【技术特征摘要】
1.一种智能网卡场景下ddos防御方法,其特征在于,所述防御方法包括:
2.根据权利要求1所述的一种智能网卡场景下ddos防御方法,其特征在于,所述网络流量数据包括源ip地址、目标ip地址和访问次数。
3.根据权利要求1所述的一种智能网卡场景下ddos防御方法,其特征在于,所述在智能网卡上初始化bloom sketch数据结构具体包括:
4.根据权利要求1所述的一种智能网卡场景下ddos防御方法,其特征在于,所述在智能网卡上收集网络流量数据,在保持线速转发的同时在智能网卡上维护可供主机上的应用程序访问的寄存器具体包括:
5.根据权利要求4所述的...
【专利技术属性】
技术研发人员:展亮,郭超,韦崴,李绣雯,
申请(专利权)人:中国电子产业工程有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。