支持三层环路流量检测以及抗DDOS攻击的分流系统及方法与流程

本发明涉及网络安全技术领域，具体涉及一种基于网络处理器实现多业务规则匹配以及流量复制的系统。

本发明同时涉及基于网络处理器实现多业务规则匹配以及流量复制的方法。

背景技术

近年来，骨干网海量数据的实时网络安全处理已经成为世界主要大国在互联网上进行战略对抗和竞争的主要焦点。在网络安全领域开展的网络攻击监测、恶意攻击防护等核心业务中系统中，三层环路流量检测和ddos攻击分析技术层出不断。

故，需要一种新的技术方案以解决上述问题。

技术实现要素：

本发明的目的在于：提供一种支持三层环路流量检测以及抗ddos攻击的分流系统，用以针对三层环路流量以及ddos攻击流量清洗，从而降低对二级处理设备的压力。

本发明同时提供支持三层环路流量检测以及抗ddos攻击的分流方法，同样用以针对三层环路流量以及ddos攻击流量清洗，从而降低对二级处理设备的压力。

为达到上述目的，本发明实现多业务规则匹配以及流量复制的系统可采用如下技术方案：

一种支持三层环路流量检测以及抗ddos攻击的分流系统，包括：

特征库模块，包含设置关键字段的特征库，特征库模块用以获取流量数据的特征信息，以匹配特征库内的关键字段，记录并标识已匹配特征信息流量或者记录并标识攻击流量：

裁决器模块，用于当流量数据经过特征库模块后，根据标识内容，对流量数据相应做出动作，包括输出或丢弃，超过阈值则产生告警。

有益效果：本发明支持三层环路流量检测以及抗ddos攻击的分流系统中通过特征库识别已匹配特征信息流量并进行标示，由裁决器决定流量动作处理，可以减轻对二级设备数据处理分析，并根据生产者需求产出相应信息“的一套分流系统解决方案。

进一步的，关键字段包括三层环路流量的关键字段及ddos攻击报文关键字段；三层环路流量报文关键字段包括五元组信息、报文长度字段和ip的id字段；其中ddos攻击报文关键字段包括报文长度字段和tcp的flags字段。

进一步的，所述特征库模块还具有学习功能，对符合特征库特征流量都会被学习，产生一条关键字段，用于标识已匹配特征信息流量。

进一步的，当接入海量数据后，对提取的报文关键字段信息匹配特征库，匹配时，记录并检测是否达到阈值，标识数据流量，用以裁决器模块进一步处理；不匹配时，特征库通过学习通道判断是否满足学习要求，若是满足则新增一条关键字段信息，后续数据匹配不再学习，若是不满足则不学习。

进一步的，裁决器模块通过api接口，修改或调整动作方式，实现动态调整。

本发明提供的支持三层环路流量检测以及抗ddos攻击的分流方法可以采用以下技术方案，包括以下步骤：

(1)、设置特征库，获取流量数据的特征信息，以匹配特征库内的关键字段，记录并标识已匹配特征信息流量或者记录并标识攻击流量：

(2)、根据标识内容，对流量数据相应做出动作，包括输出或丢弃，超过阈值则产生告警。

有益效果：本发明提供的支持三层环路流量检测以及抗ddos攻击的分流方法中通过特征库识别已匹配特征信息流量并进行标示，由裁决器决定流量动作处理，可以减轻对二级设备数据处理分析，并根据生产者需求产出相应信息“的一套分流系统解决方案。

进一步的，关键字段包括三层环路流量的关键字段及ddos攻击报文关键字段；三层环路流量报文关键字段包括五元组信息、报文长度字段和ip的id字段；其中ddos攻击报文关键字段包括报文长度字段和tcp的flags字段；

通过判断流量数据的特征信息与五元组信息、报文长度字段和ip的id字段是否匹配来确定是否是三层环路流量报文；

通过判断流量的特征信息与报文长度字段和tcp的flags字段是否匹配来确定是否是攻击报文。

本发明提供的实现多业务规则匹配以及流量复制的方法还可以采用以下技术方案，包括以下步骤：

步骤101，接入流量数据，经过分流设备提取特征库信息，用于特征库模块匹配处理；

步骤102，判断是否匹配特征库，若是匹配，则执行103步骤，否则执行105步骤；

步骤103，匹配特征库流量被标识，用于裁决器处理依据；

步骤104，裁决器根据标识信息，对数据进行相关处理，并获取数据信息；

步骤105，对于不能匹配特征库数据，判断是否符合特征库信息，若是匹配添加到特征库；

步骤106，添加特征库报文也被标识，并送到步骤103继续处理。

有益效果：本发明提供的支持三层环路流量检测以及抗ddos攻击的分流方法中通过特征库识别已匹配特征信息流量并进行标示，由裁决器决定流量动作处理，可以减轻对二级设备数据处理分析，并根据生产者需求产出相应信息“的一套分流系统解决方案。

附图说明

图1为本发明中的三层环路流量检测以及抗ddos攻击系统的处理流程图。

具体实施方式

本发明提供了支持三层环路流量检测以及抗ddos攻击的分流系统的技术方案，同时提供了支持三层环路流量检测以及抗ddos攻击的分流的方法的技术方案。系统及方法的技术方案中均引入特征库概念，用以标识数据唯一特性或某种类型数据，依此来确认是否是三层环路报文或ddos攻击报文。特征库不仅包括五元组信息，也包括了能够标识报文特征的其它信息。三层环路流量的关键字段包括五元组信息、报文长度字段和ip的id字段，当匹配关键字段后通过判断ttl值确定是否产生环路，并输出五元组信息用于产生告警信息；ddos攻击报文关键字段包括报文载荷长度和tcpflags，通过判断是否匹配来确定是否是攻击报文。匹配关键字段流量报文被标识，特征库可以根据不同需要灵活定义。同时，引入裁决器概念，决定了对匹配特征库流量数据后续动作处理，包括但不限于输出、丢弃等，也可产生相关告警信息，三层环路检测可以设置告警上线，当环路报文达到设置阈值就产生告警信息；ddos攻击流量可以实现流量丢弃或输出。当海量数据进入分流系统后，提取与特征库关键字段相关信息，通过与特征库一一筛选处理，标识匹配流量，然后由裁决器对流量进一步处理。

下面结合附图对进行说明。

实施例一

可参考图1，实施例一提供一种支持三层环路流量检测以及抗ddos攻击的分流系统，包括：

特征库模块，包含设置关键字段的特征库，特征库模块用以获取流量数据的特征信息，以匹配特征库内的关键字段，记录并标识已匹配特征信息流量或者记录并标识攻击流量：关键字段包括五元组信息、报文长度字段、ip的id字段、tcp的flags字段

裁决器模块，用于当流量数据经过特征库模块后，根据标识内容，对流量数据相应做出动作，包括输出或丢弃，超过阈值则产生告警。

其中，特征库模块还具有学习功能，对符合特征库特征流量都会被学习，产生一条关键字段，用于标识已匹配特征信息流量。在特征库模块中，当接入海量数据后，对提取的报文关键字段信息匹配特征库，匹配时，记录并检测是否达到阈值，标识数据流量，用以裁决器模块进一步处理；不匹配时，特征库通过学习通道判断是否满足学习要求，若是满足则新增一条关键字段信息，后续数据匹配不再学习，若是不满足则不学习。裁决器模块通过api接口，修改或调整动作方式，实现动态调整。

实施例二

请结合图1所示，实施例二提供一种支持三层环路流量检测以及抗ddos攻击的分流方法，包括：

(1)、设置特征库，获取流量数据的特征信息，以匹配特征库内的关键字段，记录并标识已匹配特征信息流量或者记录并标识攻击流量：关键字段包括五元组信息、报文长度字段、ip的id字段、tcp的flags字段。关键字段包括三层环路流量的关键字段及ddos攻击报文关键字段；三层环路流量报文关键字段包括五元组信息、报文长度字段和ip的id字段；其中ddos攻击报文关键字段包括报文长度字段和tcp的flags字段。

(2)、根据标识内容，对流量数据相应做出动作，包括输出或丢弃，超过阈值则产生告警。

同时，步骤(1)中，对符合特征库内的特征流量都会被学习，产生一条关键字段，用于标识已匹配特征信息流量。当接入海量数据后，对提取的报文关键字段信息匹配特征库，匹配时，记录并检测是否达到阈值，标识数据流量，转到步骤(2)进一步处理；不匹配时，通过学习通道判断是否满足学习要求，若是满足则新增一条关键字段信息，后续数据匹配不再学习，若是不满足则不学习。

实施例三

请结合图1所示，本实施例提供一种支持三层环路流量检测以及抗ddos攻击的分流方法，包括以下步骤：

步骤101，接入流量数据，经过分流设备提取特征库信息，用于特征库模块匹配处理；

步骤102，判断是否匹配特征库，若是匹配，则执行103步骤，否则执行105步骤；

步骤103，匹配特征库流量被标识，用于裁决器处理依据；

步骤104，裁决器根据标识信息，对数据进行相关处理，并获取数据信息；

步骤105，对于不能匹配特征库数据，判断是否符合特征库信息，若是匹配添加到特征库；

步骤106，添加特征库报文也被标识，并送到步骤103继续处理。。

本发明主要在于提出一种“通过一级分流设备和二级交换机级联的方式，实现多业务规则匹配和流量复制”的解决方案。