[发明专利]一种针对DDoS攻击的模块化防护检测方法及系统

说明书

技术领域

本发明属于计算机网络技术学科中网络安全领域，具体涉及一种针对DDoS攻击的模块化防护检测方法及系统。

背景技术

DDoS（Distributed Denial of Service)攻击，中文名为分布式拒绝服务攻击，攻击者将其控制的多个计算机和服务器肉鸡联合起来，同时对一个或多个攻击目标发动DoS攻击，从而成倍地提高DoS攻击的威力，使得被攻击设备负载过高，导致设备系统崩溃。

随着公众对Internet依赖程度的日益增加，拒绝式服务攻击和分布式拒绝服务攻击给公众所带来的危害和影响也愈加严重，受害者包括了政府、企事业单位、移动运营商等各种机构及相关的用户。通过长期分析发现，DDoS攻击有以下发展趋势：

1、攻击流量成几何倍数增长，DDoS攻击流量将占用大量网络运营商互联网出口带宽，因此将大大降低运营商网络层设备的运行效率。

2、攻击难度降低，将会有大量可轻易获得的DDoS工具用来发动DDoS攻击，DDoS攻击发生频率增大。

3、针对应用层面服务的DDoS攻击将成为主流，DDoS攻击已形成成熟的产业链，背后的经济利益成为攻击的原始驱动。

4、由于IPV4资源的问题，IPV6网络被更广泛地部署，所以针对IPV6网络的DDOS攻击将会越来越频繁。

5、DDoS攻击方式更为复杂多变，带宽型攻击夹杂应用型攻击的混合攻击增多，增加了防御的难度。

目前，对分布式拒绝服务攻击的防护有很多方法，但缺乏一种整体的解决方法，包括防火墙、入侵检测系统在内的传统网络安全边界设备，都不能有效的防御DDoS的攻击。

传统防护技术主要是靠检验数据包的真实性，其检验技术为：（1）基于数据包标记的伪造IP DDoS攻击防御；（2）基于路由器指纹的概率包标记方案。类似的研究内容和技术是DDoS防护中的一小方面，只能实现通过伪装IP地址方式发起的DDoS攻击，应用推广价值比较小，更适合将该种方法集合到DDoS攻击防护的第一个功能项。

发明内容

本发明所要解决的技术问题在于克服现有技术中DDoS攻击防护多集合于防火墙、入侵防护等安全系统中，无法根据DDoS攻击的特性进行有效的检测和防护的缺陷，提供一种独特的针对DDoS攻击的模块化防护检测方法及系统，可以解决网络层、混合型、连接耗尽型等的拒绝服务攻击。

为解决上述技术问题，本发明所采取的技术方案为：

一种针对DDoS攻击的模块化防护系统，其包括转发子系统、清洗子系统和管理子系统：

所述转发子系统即ASIC，负责数据的分检，判断网络中是否有DDoS攻击发生，并负责将原来本要去往被攻击目标IP的DDoS攻击流量牵引至清洗子系统；

所述清洗子系统，主要是由NP芯片和系统内存组成，所述清洗子系统中每个NP由多个微内核引擎组成，负责实现流量清洗算法，并根据算法的结果决定包的动作，将DDoS攻击流量从混合流量中分离、过滤；

所述管理子系统，包括控制CPU、串口管理器和ROM，实现系统的管理控制功能。

进一步的，所述转发子系统用于根据报文的IP地址对数据进行分流，将需要清洗的流量直接送到清洗子系统的NP上。

进一步的，所述管理子系统的控制CPU在整个过程中完成策略配置下发和获取数据统计信息等设备管理和监控功能，通过双向数据通道完成对其它模块的管理和控制。

本发明另一方面提供一种针对DDoS攻击的模块化防护的检测方法，其具体包括以下步骤：

步骤1 构建如权利要求1-3任一项所述的防护系统；

步骤2 数据通过物理接口进入设备后，首先由ASIC根据报文的IP地址对进行分流，正常需要清洗的流量将直接送到清洗子系统的NP上；

步骤3 每个NP的多个微引擎中按照清洗算法和防护策略，对报文进行深度解析、统计分析等攻击识别和验证，并由NP决定对每个报文采取丢弃、探测、转发或带宽限制的功能；

步骤4 经过NP处理后的数据被转发给ASIC，再由ASIC对数据进行封装并转发到相应物理端口上，或者送回入口ADS 的ASIC上，再做最终的回注。

与现有技术相比，本发明取得的有益效果为：

本发明通过建立并应用DDoS攻击防护方法，解决了非专有设备检测DDoS攻击的局限性，系统清洗子系统基于DDoS算法研究，形成多层次的检测、防护算法结构，同时，检测模块支持多NP芯片的分布式算法，从而支持大容量的清洗系统组合。

附图说明