本發(fā)明公開了一種基于FPGA的網(wǎng)絡(luò)異常流量檢測(cè)系統(tǒng)和方法，該系統(tǒng)包括集成在FPGA中的智能處理模塊、數(shù)據(jù)接入模塊、流管理模塊、攻擊檢測(cè)模塊、狀態(tài)上報(bào)模塊和規(guī)則執(zhí)行模塊，由于該系統(tǒng)采用FPGA硬件設(shè)計(jì)，較傳統(tǒng)純軟方式，大幅提升了檢測(cè)性能，提高了對(duì)網(wǎng)絡(luò)異常流量檢測(cè)的效率，并且系統(tǒng)可串接在網(wǎng)絡(luò)，不影響正常訪問流量，提高了可靠性。

技術(shù)領(lǐng)域

本申請(qǐng)涉及計(jì)算機(jī)通信技術(shù)領(lǐng)域，更具體地，涉及一種基于FPGA的網(wǎng)絡(luò)異常流量檢測(cè)系統(tǒng)和方法。

背景技術(shù)

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，5G技術(shù)的普及，網(wǎng)絡(luò)環(huán)境也逐漸變得復(fù)雜，網(wǎng)絡(luò)中存在大量的異常流量，攻擊流量，威脅后端服務(wù)器的安全使用。隨著100G、400G以太網(wǎng)的普及，網(wǎng)絡(luò)異常流量的監(jiān)控與防治難度也不斷增加，現(xiàn)有的軟件檢測(cè)方式過度依賴于CPU的處理性能，難以進(jìn)行大數(shù)據(jù)情況下的檢測(cè)。

因此，如何提高對(duì)網(wǎng)絡(luò)異常流量檢測(cè)的效率和可靠性，是目前有待解決的技術(shù)問題。

發(fā)明內(nèi)容

本發(fā)明公開了一種基于FPGA的網(wǎng)絡(luò)異常流量檢測(cè)系統(tǒng)，用以解決現(xiàn)有技術(shù)中對(duì)網(wǎng)絡(luò)異常流量檢測(cè)時(shí)效率低、可靠性差的技術(shù)問題。

該系統(tǒng)包括集成在FPGA中的智能處理模塊、數(shù)據(jù)接入模塊、流管理模塊、攻擊檢測(cè)模塊、狀態(tài)上報(bào)模塊和規(guī)則執(zhí)行模塊，其中，

智能處理模塊，連接狀態(tài)上報(bào)模塊和規(guī)則執(zhí)行模塊，用于接收狀態(tài)上報(bào)模塊輸出的攻擊計(jì)數(shù)，若根據(jù)攻擊計(jì)數(shù)判斷存在網(wǎng)絡(luò)攻擊，將與網(wǎng)絡(luò)攻擊的類型對(duì)應(yīng)的阻斷規(guī)則輸出至規(guī)則執(zhí)行模塊；

數(shù)據(jù)接入模塊，接收并緩存骨干網(wǎng)數(shù)據(jù)流，對(duì)骨干網(wǎng)數(shù)據(jù)流的原始報(bào)文進(jìn)行解析，并將解析結(jié)果和原始報(bào)文輸出至流管理模塊；

流管理模塊，根據(jù)解析結(jié)果對(duì)原始報(bào)文進(jìn)行流表建立操作，并將完成流表建立操作的原始報(bào)文作為目標(biāo)報(bào)文輸出至攻擊檢測(cè)模塊；

攻擊檢測(cè)模塊，基于預(yù)設(shè)攻擊檢測(cè)規(guī)則對(duì)目標(biāo)報(bào)文進(jìn)行檢測(cè)并確定攻擊計(jì)數(shù)，并將攻擊計(jì)數(shù)輸出至狀態(tài)上報(bào)模塊；

狀態(tài)上報(bào)模塊，將攻擊計(jì)數(shù)上報(bào)至智能處理模塊；

規(guī)則執(zhí)行模塊，根據(jù)智能處理模塊下發(fā)的阻斷規(guī)則對(duì)目標(biāo)報(bào)文進(jìn)行阻斷。

在本申請(qǐng)一些實(shí)施例中，數(shù)據(jù)接入模塊具體用于：

將解析結(jié)果合并后生成控制塊，并根據(jù)原始報(bào)文生成數(shù)據(jù)塊；

將所述控制塊和所述數(shù)據(jù)塊同時(shí)輸出至流管理模塊；

其中，所述解析結(jié)果包括每個(gè)原始報(bào)文的五元組信息，所述解析結(jié)果在原始報(bào)文為TCP報(bào)文時(shí)還包括FLAG標(biāo)志。

在本申請(qǐng)一些實(shí)施例中，攻擊檢測(cè)模塊具體用于：

若目標(biāo)報(bào)文為TCP報(bào)文且目標(biāo)報(bào)文的源IP地址等于目的IP地址，確定目標(biāo)報(bào)文為TCP LAND攻擊，并將攻擊計(jì)數(shù)加1；

若目標(biāo)報(bào)文為TCP報(bào)文且不是TCP LAND攻擊，且目標(biāo)報(bào)文的目標(biāo)端口為137或138或139，且FLAG標(biāo)志位的URG位為1，確定目標(biāo)報(bào)文為TCP WINnuke攻擊，并將攻擊計(jì)數(shù)加1；

若目標(biāo)報(bào)文為TCP報(bào)文，且目標(biāo)報(bào)文不是TCP LAND攻擊，且目標(biāo)報(bào)文不是TCPWINnuke攻擊，且目標(biāo)報(bào)文的syn標(biāo)志位和fin標(biāo)志位同時(shí)設(shè)置為1，確定目標(biāo)報(bào)文為SYN+FIN攻擊，并將攻擊計(jì)數(shù)加1；

若目標(biāo)報(bào)文為TCP報(bào)文，且目標(biāo)報(bào)文不是TCP LAND攻擊，且目標(biāo)報(bào)文不是TCPWINnuke攻擊，且目標(biāo)報(bào)文不是SYN+FIN攻擊，且目標(biāo)報(bào)文中的flag的標(biāo)志全為0，確定目標(biāo)報(bào)文為NO FLAG攻擊，并將攻擊計(jì)數(shù)加1；

若目標(biāo)報(bào)文不是TCP報(bào)文，且當(dāng)前ICMP報(bào)文速率高出ICMP閾值，確定目標(biāo)報(bào)文為ICMP FLOOD攻擊，并將攻擊計(jì)數(shù)加1；

若目標(biāo)報(bào)文不是TCP報(bào)文，且目標(biāo)報(bào)文不是ICMP FLOOD攻擊，且目標(biāo)報(bào)文的源IP地址設(shè)為廣播地址或者為一個(gè)子網(wǎng)關(guān)閉地址，確定目標(biāo)報(bào)文為SMURF攻擊，并將攻擊計(jì)數(shù)加1；