[發(fā)明專利]一種基于FPGA的網(wǎng)絡(luò)異常流量檢測系統(tǒng)和方法在審
| 申請?zhí)枺?/td> | 202210391282.7 | 申請日: | 2022-04-14 |
| 公開(公告)號: | CN114785582A | 公開(公告)日: | 2022-07-22 |
| 發(fā)明(設(shè)計)人: | 劉云川;周昔元;眭新光 | 申請(專利權(quán))人: | 合肥卓訊云網(wǎng)科技有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;H04L69/22 |
| 代理公司: | 北京睿博行遠(yuǎn)知識產(chǎn)權(quán)代理有限公司 11297 | 代理人: | 申超平 |
| 地址: | 230000 安徽省合肥市高新區(qū)創(chuàng)新*** | 國省代碼: | 安徽;34 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 基于 fpga 網(wǎng)絡(luò) 異常 流量 檢測 系統(tǒng) 方法 | ||
1.一種基于FPGA的網(wǎng)絡(luò)異常流量檢測系統(tǒng),其特征在于,所述系統(tǒng)包括集成在FPGA中的智能處理模塊、數(shù)據(jù)接入模塊、流管理模塊、攻擊檢測模塊、狀態(tài)上報模塊和規(guī)則執(zhí)行模塊,其中,
智能處理模塊,連接狀態(tài)上報模塊和規(guī)則執(zhí)行模塊,用于接收狀態(tài)上報模塊輸出的攻擊計數(shù),若根據(jù)攻擊計數(shù)判斷存在網(wǎng)絡(luò)攻擊,將與網(wǎng)絡(luò)攻擊的類型對應(yīng)的阻斷規(guī)則輸出至規(guī)則執(zhí)行模塊;
數(shù)據(jù)接入模塊,接收并緩存骨干網(wǎng)數(shù)據(jù)流,對骨干網(wǎng)數(shù)據(jù)流的原始報文進(jìn)行解析,并將解析結(jié)果和原始報文輸出至流管理模塊;
流管理模塊,根據(jù)解析結(jié)果對原始報文進(jìn)行流表建立操作,并將完成流表建立操作的原始報文作為目標(biāo)報文輸出至攻擊檢測模塊;
攻擊檢測模塊,基于預(yù)設(shè)攻擊檢測規(guī)則對目標(biāo)報文進(jìn)行檢測并確定攻擊計數(shù),并將攻擊計數(shù)輸出至狀態(tài)上報模塊;
狀態(tài)上報模塊,將攻擊計數(shù)上報至智能處理模塊;
規(guī)則執(zhí)行模塊,根據(jù)智能處理模塊下發(fā)的阻斷規(guī)則對目標(biāo)報文進(jìn)行阻斷。
2.如權(quán)利要求1所述的系統(tǒng),其特征在于,數(shù)據(jù)接入模塊具體用于:
將解析結(jié)果合并后生成控制塊,并根據(jù)原始報文生成數(shù)據(jù)塊;
將所述控制塊和所述數(shù)據(jù)塊同時輸出至流管理模塊;
其中,所述解析結(jié)果包括每個原始報文的五元組信息,所述解析結(jié)果在原始報文為TCP報文時還包括FLAG標(biāo)志。
3.如權(quán)利要求2所述的系統(tǒng),其特征在于,攻擊檢測模塊具體用于:
若目標(biāo)報文為TCP報文且目標(biāo)報文的源IP地址等于目的IP地址,確定目標(biāo)報文為TCPLAND攻擊,并將攻擊計數(shù)加1;
若目標(biāo)報文為TCP報文且不是TCP LAND攻擊,且目標(biāo)報文的目標(biāo)端口為137或138或139,且FLAG標(biāo)志位的URG位為1,確定目標(biāo)報文為TCP WINnuke攻擊,并將攻擊計數(shù)加1;
若目標(biāo)報文為TCP報文,且目標(biāo)報文不是TCP LAND攻擊,且目標(biāo)報文不是TCP WINnuke攻擊,且目標(biāo)報文的syn標(biāo)志位和fin標(biāo)志位同時設(shè)置為1,確定目標(biāo)報文為SYN+FIN攻擊,并將攻擊計數(shù)加1;
若目標(biāo)報文為TCP報文,且目標(biāo)報文不是TCP LAND攻擊,且目標(biāo)報文不是TCP WINnuke攻擊,且目標(biāo)報文不是SYN+FIN攻擊,且目標(biāo)報文中的flag的標(biāo)志全為0,確定目標(biāo)報文為NOFLAG攻擊,并將攻擊計數(shù)加1;
若目標(biāo)報文不是TCP報文,且當(dāng)前ICMP報文速率高出ICMP閾值,確定目標(biāo)報文為ICMPFLOOD攻擊,并將攻擊計數(shù)加1;
若目標(biāo)報文不是TCP報文,且目標(biāo)報文不是ICMP FLOOD攻擊,且目標(biāo)報文的源IP地址設(shè)為廣播地址或者為一個子網(wǎng)關(guān)閉地址,確定目標(biāo)報文為SMURF攻擊,并將攻擊計數(shù)加1;
若目標(biāo)報文不是TCP報文,且目標(biāo)報文不是ICMP FLOOD攻擊,且目標(biāo)報文不是SMURF攻擊,且目標(biāo)報文的IP頭部的下一級協(xié)議號大于100,將攻擊計數(shù)加1。
4.如權(quán)利要求3所述的系統(tǒng),其特征在于,攻擊檢測模塊還用于:
若目標(biāo)報文為TCP報文且目標(biāo)報文不是TCP LAND攻擊,且目標(biāo)報文不是TCP WINnuke攻擊,且目標(biāo)報文不是SYN+FIN攻擊,且目標(biāo)報文不是NO FLAG攻擊,確定目標(biāo)報文為非攻擊報文;或,
若目標(biāo)報文不是TCP報文,且目標(biāo)報文不是ICMP FLOOD攻擊,且目標(biāo)報文不是SMURF攻擊,且目標(biāo)報文的IP頭部的下一級協(xié)議號不大于100,確定目標(biāo)報文為非攻擊報文。
5.如權(quán)利要求4所述的系統(tǒng),其特征在于,智能處理模塊還用于:
若目標(biāo)報文不是TCP報文且攻擊計數(shù)為零,根據(jù)ICMP流量速率設(shè)定所述ICMP閾值。
6.如權(quán)利要求4所述的系統(tǒng),其特征在于,智能處理模塊還用于:
若攻擊計數(shù)為零,使規(guī)則執(zhí)行模塊輸出與目標(biāo)報文對應(yīng)的原始報文。
7.如權(quán)利要求1所述的系統(tǒng),其特征在于,智能處理模塊還用于:
通過前端頁面實時展示攻擊計數(shù)。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于合肥卓訊云網(wǎng)科技有限公司,未經(jīng)合肥卓訊云網(wǎng)科技有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202210391282.7/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 網(wǎng)絡(luò)和網(wǎng)絡(luò)終端
- 網(wǎng)絡(luò)DNA
- 網(wǎng)絡(luò)地址自適應(yīng)系統(tǒng)和方法及應(yīng)用系統(tǒng)和方法
- 網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)至網(wǎng)絡(luò)橋接器
- 一種電力線網(wǎng)絡(luò)中根節(jié)點網(wǎng)絡(luò)協(xié)調(diào)方法和系統(tǒng)
- 一種多網(wǎng)絡(luò)定位方法、存儲介質(zhì)及移動終端
- 網(wǎng)絡(luò)裝置、網(wǎng)絡(luò)系統(tǒng)、網(wǎng)絡(luò)方法以及網(wǎng)絡(luò)程序
- 從重復(fù)網(wǎng)絡(luò)地址自動恢復(fù)的方法、網(wǎng)絡(luò)設(shè)備及其存儲介質(zhì)
- 神經(jīng)網(wǎng)絡(luò)的訓(xùn)練方法、裝置及存儲介質(zhì)
- 網(wǎng)絡(luò)管理方法和裝置
