本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，具體地，涉及一種分布式攻擊檢測方法及裝置。
背景技術(shù)：
：分布式拒絕服務(wù)(DDoS，DistributedDenialofService)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺，對一個(gè)或多個(gè)目標(biāo)發(fā)動DDoS攻擊，從而大量占用目標(biāo)服務(wù)器的網(wǎng)絡(luò)資源，使其無法正常服務(wù)，達(dá)到攻擊的目的。通常，攻擊者使用一個(gè)偷竊帳號將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在網(wǎng)絡(luò)上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行，使得目標(biāo)服務(wù)器收到超過其服務(wù)承載能力的請求，進(jìn)而導(dǎo)致崩潰或無法為正常請求提供服務(wù)。為屏蔽這類分布式攻擊報(bào)文，交換機(jī)芯片一般會針對這類攻擊報(bào)文的屬性特征，如IP地址、報(bào)文類型(ICMP、TCP等)、分片(fragment)特征等，分別進(jìn)行檢測，然后根據(jù)統(tǒng)計(jì)特征來判斷該類報(bào)文是否屬于攻擊報(bào)文，進(jìn)而進(jìn)行屏蔽。然而，現(xiàn)有針對分布式攻擊的檢測方法，一般是針對有限固定特征(如IP地址、報(bào)文類型、報(bào)文特殊屬性等)進(jìn)行檢測和分析，不但針對的種類有限，而且一旦芯片邏輯確定后就不能更改，因而難以應(yīng)對快速更新的攻擊手段。技術(shù)實(shí)現(xiàn)要素：本發(fā)明的目的是提供一種分布式攻擊檢測方法及裝置，以解決上述現(xiàn)有技術(shù)中的問題。為了實(shí)現(xiàn)上述目的，本發(fā)明提供一種分布式攻擊檢測方法，其中，該方法包括：從報(bào)文的報(bào)文頭中選擇部分或全部字節(jié)中的報(bào)文屬性特征作為攻擊檢測對象；對所選擇的部分或全部字節(jié)中的報(bào)文屬性特征執(zhí)行匹配操作；以及根據(jù)匹配操作結(jié)果判斷所述報(bào)文是否為攻擊報(bào)文。優(yōu)選地，對所選擇的部分或全部字節(jié)中的報(bào)文屬性特征執(zhí)行匹配操作包括：判斷每個(gè)報(bào)文屬性特征是否滿足對應(yīng)的預(yù)定條件并分別輸出針對每個(gè)報(bào)文屬性特征的判斷結(jié)果；判斷針對每個(gè)報(bào)文屬性特征的判斷結(jié)果之間的關(guān)系是否滿足任意一個(gè)預(yù)設(shè)匹配條件；在針對每個(gè)報(bào)文屬性特征的判斷結(jié)果之間的關(guān)系滿足任意一個(gè)預(yù)設(shè)匹配條件的情況下，確定所述匹配操作結(jié)果為匹配。優(yōu)選地，根據(jù)匹配操作結(jié)果判斷所述報(bào)文是否為攻擊報(bào)文包括：在所述匹配操作結(jié)果為匹配的情況下，判斷所述報(bào)文為攻擊報(bào)文。優(yōu)選地，根據(jù)匹配操作結(jié)果判斷所述報(bào)文是否為攻擊報(bào)文包括：在預(yù)定周期內(nèi)對所述匹配操作結(jié)果為匹配的情況進(jìn)行計(jì)數(shù)；將計(jì)數(shù)值與閾值進(jìn)行比較；以及在所述計(jì)數(shù)值大于或等于所述閾值的情況下，判斷所述報(bào)文為攻擊報(bào)文。優(yōu)選地，所述報(bào)文屬性特征包括以下中的至少一者源/目的IP地址、報(bào)文類型、報(bào)文分片信息、源/目的端口號和報(bào)文長度。本發(fā)明還提供一種分布式攻擊檢測裝置，其中，該裝置包括：自定義模塊，用于從報(bào)文的報(bào)文頭中選擇部分或全部字節(jié)中的報(bào)文屬性特征作為攻擊檢測對象；匹配模塊，用于對所選擇的部分或全部字節(jié)中的報(bào)文屬性特征執(zhí)行匹配操作；以及判斷模塊，用于根據(jù)匹配操作結(jié)果判斷所述報(bào)文是否為攻擊報(bào)文。優(yōu)選地，所述匹配模塊對所選擇的部分或全部字節(jié)中的報(bào)文屬性特征執(zhí)行匹配操作包括：判斷每個(gè)報(bào)文屬性特征是否滿足對應(yīng)的預(yù)定條件并分別輸出針對每個(gè)報(bào)文屬性特征的判斷結(jié)果；判斷針對每個(gè)報(bào)文屬性特征的判斷結(jié)果之間的關(guān)系是否滿足任意一個(gè)預(yù)設(shè)匹配條件；在針對每個(gè)報(bào)文屬性特征的判斷結(jié)果之間的關(guān)系滿足任意一個(gè)預(yù)設(shè)匹配條件的情況下，確定所述匹配操作結(jié)果為匹配。優(yōu)選地，所述判斷模塊根據(jù)匹配操作結(jié)果判斷所述報(bào)文是否為攻擊報(bào)文包括：在所述匹配操作結(jié)果為匹配的情況下，所述判斷模塊判斷所述報(bào)文為攻擊報(bào)文。優(yōu)選地，所述判斷模塊根據(jù)匹配操作結(jié)果判斷所述報(bào)文是否為攻擊報(bào)文包括：在預(yù)定周期內(nèi)對所述匹配操作結(jié)果為匹配的情況進(jìn)行計(jì)數(shù)；將計(jì)數(shù)值與閾值進(jìn)行比較；以及在所述計(jì)數(shù)值大于或等于所述閾值的情況下，判斷所述報(bào)文為攻擊報(bào)文。優(yōu)選地，所述報(bào)文屬性特征包括以下中的至少一者：源/目的IP地址、報(bào)文類型、報(bào)文分片信息、源/目的端口號和報(bào)文長度。通過將上述技術(shù)方案例如應(yīng)用于交換機(jī)芯片中，可以從報(bào)文的報(bào)文頭中選擇部分或全部字節(jié)中的報(bào)文屬性特征作為攻擊檢測對象，然后可以對所選擇的部分或全部字節(jié)中的報(bào)文屬性特征執(zhí)行匹配操作，進(jìn)而可以根據(jù)匹配操作結(jié)果判斷所述報(bào)文是否為攻擊報(bào)文。由于報(bào)文的報(bào)文頭中包括判斷報(bào)文是否為攻擊報(bào)文的各種屬性特征信息，所以通過本發(fā)明上述的技術(shù)方案可以從報(bào)文的報(bào)文頭中自定義選擇報(bào)文屬性特征作為攻擊檢測對象(也就是，可以例如根據(jù)可能的攻擊報(bào)文類型自定義攻擊檢測對象，而不再局限于固定屬性特征作為攻擊檢測對象檢測有限類型的攻擊報(bào)文，例如可以從報(bào)文頭中選擇一個(gè)、多個(gè)或全部報(bào)文屬性特征作為攻擊檢測對象)，從而實(shí)現(xiàn)交換機(jī)芯片對多種攻擊報(bào)文的快速檢測。本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的具體實(shí)施方式部分予以詳細(xì)說明。附圖說明附圖是用來提供對本發(fā)明的進(jìn)一步理解，并且構(gòu)成說明書的一部分，與下面的具體實(shí)施方式一起用于解釋本發(fā)明，但并不構(gòu)成對本發(fā)明的限制。在附圖中：圖1是根據(jù)本發(fā)明一種實(shí)施方式的分布式攻擊檢測方法的流程圖；圖2是根據(jù)本發(fā)明一種實(shí)施方式的分布式攻擊檢測裝置的方框圖；圖3是根據(jù)本發(fā)明一種實(shí)施方式的分布式攻擊檢測裝置中的可編程匹配邏輯的結(jié)構(gòu)示意圖；以及圖4根據(jù)本發(fā)明一種實(shí)施方式的分布式攻擊檢測裝置的示意圖；具體實(shí)施方式以下結(jié)合附圖對本發(fā)明的具體實(shí)施方式進(jìn)行詳細(xì)說明。應(yīng)當(dāng)理解的是，此處所描述的具體實(shí)施方式僅用于說明和解釋本發(fā)明，并不用于限制本發(fā)明。圖1是根據(jù)本發(fā)明一種實(shí)施方式的分布式攻擊檢測方法的流程圖。如圖1所示，本發(fā)明一種實(shí)施方式提供的分布式攻擊檢測方法包括：S100，從報(bào)文的報(bào)文頭中選擇部分或全部字節(jié)中的報(bào)文屬性特征作為攻擊檢測對象；S102，對所選擇的部分或全部字節(jié)中的報(bào)文屬性特征執(zhí)行匹配操作；以及S104，根據(jù)匹配操作結(jié)果判斷所述報(bào)文是否為攻擊報(bào)文。通過將上述技術(shù)方案例如應(yīng)用于交換機(jī)芯片中，可以從報(bào)文的報(bào)文頭中選擇部分或全部字節(jié)中的報(bào)文屬性特征作為攻擊檢測對象，然后可以對所選擇的部分或全部字節(jié)中的報(bào)文屬性特征執(zhí)行匹配操作，進(jìn)而可以根據(jù)匹配操作結(jié)果判斷所述報(bào)文是否為攻擊報(bào)文。由于報(bào)文的報(bào)文頭中包括判斷報(bào)文是否為攻擊報(bào)文的各種屬性特征信息，所以通過本發(fā)明上述的技術(shù)方案可以從報(bào)文的報(bào)文頭中自定義選擇報(bào)文屬性特征作為攻擊檢測對象(也就是，可以例如根據(jù)可能的攻擊報(bào)文類型自定義攻擊檢測對象，而不再局限于固定屬性特征作為攻擊檢測對象檢測有限類型的攻擊報(bào)文)，從而實(shí)現(xiàn)交換機(jī)芯片對多種攻擊報(bào)文的快速檢測。根據(jù)本發(fā)明一種實(shí)施方式，根據(jù)現(xiàn)有主流網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)報(bào)文的頭長度通常不超過128字節(jié)。因此，在本發(fā)明中，以128字節(jié)的報(bào)文頭為例進(jìn)行說明，但本發(fā)明不限于此。由于本發(fā)明只涉及對報(bào)文頭的處理，所以為了不混淆本發(fā)明，省略了關(guān)于報(bào)文所攜帶的數(shù)據(jù)體中的內(nèi)容的描述。其中，對于步驟S100中的從報(bào)文的報(bào)文頭中選擇部分或全部字節(jié)中的報(bào)文屬性特征，例如可以指的是從報(bào)文頭中選擇一個(gè)、多個(gè)或全部報(bào)文屬性特征作為攻擊檢測對象，具體選擇的內(nèi)容和數(shù)量可以根據(jù)實(shí)際情況自定義設(shè)定。在本發(fā)明中，舉例來講，報(bào)文頭是指在以太網(wǎng)7層協(xié)議中，從L2、L3、L4層報(bào)文的頭部字段中提取的部分信息組成的集合，這些信息包括L2層的源/目的MAC地址、VLANID，L3層的源/目的IP地址、IP報(bào)文長度、報(bào)文分片信息，L4層的源/目的端口號等等。對于L2層報(bào)文格式，目的和源MAC地址位于報(bào)文的前導(dǎo)碼(Preamble)字段后，占12個(gè)字節(jié)。L2層報(bào)文的Payload字段包含L3層以上的報(bào)文內(nèi)容，各層報(bào)文又有自己的頭部字段格式。根據(jù)本發(fā)明一種實(shí)施方式，步驟S102可以包括：S1020，判斷每個(gè)報(bào)文屬性特征是否滿足對應(yīng)的預(yù)定條件并分別輸出針對每個(gè)報(bào)文屬性特征的判斷結(jié)果；S1022，判斷針對每個(gè)報(bào)文屬性特征的判斷結(jié)果之間的關(guān)系是否滿足任意一個(gè)預(yù)設(shè)匹配條件；S1024，在針對每個(gè)報(bào)文屬性特征的判斷結(jié)果之間的關(guān)系滿足任意一個(gè)預(yù)設(shè)匹配條件的情況下，確定所述匹配操作結(jié)果為匹配。由此，可以通過對每個(gè)報(bào)文屬性特征的判斷以及對判斷結(jié)果之間的關(guān)系的判斷來執(zhí)行匹配操作，進(jìn)而確定匹配操作結(jié)果。其中，本領(lǐng)域技術(shù)人員可以根據(jù)實(shí)際情況對所述預(yù)定條件和所述預(yù)設(shè)匹配條件進(jìn)行設(shè)定，本發(fā)明不對此進(jìn)行限定。例如，預(yù)定條件可以為以下中的至少一者：數(shù)值大于一預(yù)定值、數(shù)值大于或等于一預(yù)定值、數(shù)值等于一預(yù)定值、數(shù)值小于一預(yù)定值、數(shù)值小于或等于一預(yù)定值和數(shù)值處于一預(yù)定范圍內(nèi)等等。上述的預(yù)定值可以根據(jù)實(shí)際情況進(jìn)行設(shè)定。預(yù)設(shè)匹配條件例如可以為針對每個(gè)報(bào)文屬性特征的判斷結(jié)果均為滿足對應(yīng)的預(yù)定條件或任意一個(gè)針對每個(gè)報(bào)文屬性特征的判斷結(jié)果為滿足對應(yīng)的預(yù)定條件等等。如果僅選擇了一個(gè)報(bào)文屬性特征作為攻擊檢測對象進(jìn)行匹配操作，則在步驟S102中，省略步驟S1022的內(nèi)容，步驟S1024直接根據(jù)S1020的判斷結(jié)果確定匹配操作結(jié)果。例如，如果所選擇的報(bào)文屬性特征滿足對應(yīng)的預(yù)定條件，則確定匹配操作結(jié)果為匹配，否則為不匹配。根據(jù)本發(fā)明一種實(shí)施方式，步驟S104可以包括：在所述匹配操作結(jié)果為匹配的情況下，判斷所述報(bào)文為攻擊報(bào)文。由此，可以實(shí)現(xiàn)攻擊報(bào)文的快速檢測，進(jìn)而防止攻擊報(bào)文對目標(biāo)網(wǎng)絡(luò)的攻擊?？商鎿Q地，根據(jù)本發(fā)明一種實(shí)施方式，步驟S104可以包括：在預(yù)定周期內(nèi)對所述匹配操作結(jié)果為匹配的情況進(jìn)行計(jì)數(shù)；將計(jì)數(shù)值與閾值進(jìn)行比較；以及在所述計(jì)數(shù)值大于或等于所述閾值的情況下，判斷所述報(bào)文為攻擊報(bào)文。由此，可以利用計(jì)數(shù)器對匹配操作結(jié)果進(jìn)行閾值判斷，進(jìn)而提高攻擊報(bào)文的檢測的適用性。其中，本領(lǐng)域技術(shù)人員可以根據(jù)實(shí)際情況對所述預(yù)定周期和所述閾值進(jìn)行設(shè)定，本發(fā)明不對此進(jìn)行限定。根據(jù)本發(fā)明一種實(shí)施方式，所述報(bào)文屬性特征可以包括以下中的至少一者：源/目的IP地址、報(bào)文類型、報(bào)文分片信息、源/目的端口號和報(bào)文長度和報(bào)文長度。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解，上述關(guān)于報(bào)文屬性特征的描述僅僅是示例性的，并非用于限定本發(fā)明。換言之，本發(fā)明所述的報(bào)文屬性特征不限于上述列舉的內(nèi)容。圖2是根據(jù)本發(fā)明一種實(shí)施方式的分布式攻擊檢測裝置的方框圖。如圖2所示，本發(fā)明一種實(shí)施方式提供的分布式攻擊檢測裝置包括：自定義模塊20，用于從報(bào)文的報(bào)文頭中選擇部分或全部字節(jié)中的報(bào)文屬性特征作為攻擊檢測對象；匹配模塊22，用于對所選擇的部分或全部字節(jié)中的報(bào)文屬性特征執(zhí)行匹配操作；以及判斷模塊24，用于根據(jù)匹配操作結(jié)果判斷所述報(bào)文是否為攻擊報(bào)文。由于報(bào)文的報(bào)文頭中包括判斷報(bào)文是否為攻擊報(bào)文的各種屬性特征信息，所以通過在交換機(jī)芯片中設(shè)置本發(fā)明上述的檢測裝置可以從報(bào)文的報(bào)文頭中自定義選擇報(bào)文屬性特征作為攻擊檢測對象(也就是，可以例如根據(jù)可能的攻擊報(bào)文類型自定義攻擊檢測對象，而不再局限于固定屬性特征作為攻擊檢測對象檢測有限類型的攻擊報(bào)文)，從而實(shí)現(xiàn)交換機(jī)芯片對多種攻擊報(bào)文的快速檢測。其中，在自定義模塊20中，可以包括多個(gè)自定義字段，自定義字段用來選擇需要參與攻擊條件檢測的報(bào)文頭字節(jié)。自定義字段的數(shù)量以及每個(gè)自定義字段包含的報(bào)文頭字節(jié)數(shù)目可以根據(jù)實(shí)際情況進(jìn)行設(shè)定。根據(jù)本發(fā)明一種實(shí)施方式，所述匹配模塊22對所選擇的部分或全部字節(jié)中的報(bào)文屬性特征執(zhí)行匹配操作包括：判斷每個(gè)報(bào)文屬性特征是否滿足對應(yīng)的預(yù)定條件并分別輸出針對每個(gè)報(bào)文屬性特征的判斷結(jié)果；判斷針對每個(gè)報(bào)文屬性特征的判斷結(jié)果之間的關(guān)系是否滿足任意一個(gè)預(yù)設(shè)匹配條件；在針對每個(gè)報(bào)文屬性特征的判斷結(jié)果之間的關(guān)系滿足任意一個(gè)預(yù)設(shè)匹配條件的情況下，確定所述匹配操作結(jié)果為匹配。由此，可以通過對每個(gè)報(bào)文屬性特征的判斷以及對判斷結(jié)果之間的關(guān)系的判斷來執(zhí)行匹配操作，進(jìn)而確定匹配操作結(jié)果。根據(jù)本發(fā)明一種實(shí)施方式，所述判斷模塊24根據(jù)匹配操作結(jié)果判斷所述報(bào)文是否為攻擊報(bào)文包括：在所述匹配操作結(jié)果為匹配的情況下，所述判斷模塊24判斷所述報(bào)文為攻擊報(bào)文。由此，可以實(shí)現(xiàn)攻擊報(bào)文的快速檢測，進(jìn)而防止攻擊報(bào)文對目標(biāo)網(wǎng)絡(luò)的攻擊。根據(jù)本發(fā)明一種實(shí)施方式，所述判斷模塊24根據(jù)匹配操作結(jié)果判斷所述報(bào)文是否為攻擊報(bào)文包括：在預(yù)定周期內(nèi)對所述匹配操作結(jié)果為匹配的情況進(jìn)行計(jì)數(shù)；將計(jì)數(shù)值與閾值進(jìn)行比較；以及在所述計(jì)數(shù)值大于或等于所述閾值的情況下，判斷所述報(bào)文為攻擊報(bào)文。其中，判斷模塊24可以通過可編程計(jì)數(shù)器實(shí)現(xiàn)。由此，可以利用計(jì)數(shù)器對匹配操作結(jié)果進(jìn)行閾值判斷，進(jìn)而提高攻擊報(bào)文的檢測的適用性。根據(jù)本發(fā)明一種實(shí)施方式，所述報(bào)文屬性特征包括以下中的至少一者：源/目的IP地址、報(bào)文類型、報(bào)文分片信息、源/目的端口號和報(bào)文長度和報(bào)文長度。本發(fā)明實(shí)施例上述的裝置與上述的方法相對應(yīng)，對于裝置的詳細(xì)描述請參見方法中對應(yīng)部分，在此不再贅述。下面結(jié)合實(shí)例對本發(fā)明上述的分布式攻擊檢測方法及裝置進(jìn)行說明。在本示例中，匹配操作過程中涉及的可編程匹配邏輯(例如，預(yù)定條件和預(yù)設(shè)匹配條件)與自定義字段一一對應(yīng)，用來判斷自定義字段選擇的報(bào)文屬性特征是否滿足預(yù)定條件和預(yù)設(shè)匹配條件，可編程匹配邏輯的結(jié)構(gòu)如圖3所示(圖3示出了本發(fā)明一種實(shí)施方式的分布式攻擊檢測裝置中的可編程匹配邏輯的結(jié)構(gòu)示意圖)。其中，圖3中所示的可編程匹配邏輯300對應(yīng)于圖2中所示的匹配模塊22。在圖3中，自定義字段30可以包括N個(gè)字段。針對每個(gè)字段，都可以有對應(yīng)的比較值和兩個(gè)比較邏輯，產(chǎn)生的兩位比較結(jié)果(通過兩個(gè)比較器產(chǎn)生，0號比較器320和1號比較器322)隨后送入一個(gè)二輸入查找表34，然后產(chǎn)生1位的比較結(jié)果，作為對此單個(gè)字段(所選擇的報(bào)文屬性特征)的判斷結(jié)果。之后，單個(gè)字段的判斷結(jié)果將經(jīng)過一組交叉選擇網(wǎng)絡(luò)36，送入(K+1)個(gè)具有m個(gè)輸入的查找表38，產(chǎn)生對某種類型攻擊報(bào)文的匹配操作結(jié)果。在本發(fā)明中，K決定著系統(tǒng)能夠處理的攻擊報(bào)文類型的數(shù)量，K越大，系統(tǒng)能夠屏蔽的攻擊類型越多。m則決定著對每種攻擊類型所支持的判斷邏輯的復(fù)雜程度，m越大，所支持的判斷邏輯就可以越精細(xì)。比較邏輯可以屏蔽部分不關(guān)心的位，使用兩組比較邏輯和二輸入查找表可以實(shí)現(xiàn)對自定義字段選擇的報(bào)文屬性特征的絕大部分比較需求，包括大于/大于或等于、小于/小于或等于和位于某個(gè)區(qū)間等。雖然圖3中示出的是使用兩組比較邏輯和二輸入查找表，但本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解，其僅僅是示例性的，并非用于限定本發(fā)明。為了更清晰地描述上述匹配邏輯的工作過程，在本示例中，可以假定判斷報(bào)文為DDOS攻擊報(bào)文的條件之一為“該報(bào)文是TCP報(bào)文且所在IP報(bào)文長度來自[5,15]號源端口”。并且，假設(shè)報(bào)文頭中報(bào)文類型字段為5位(假設(shè)報(bào)文為TCP報(bào)文的編號為10)，源端口號為8位，自定義字段中每個(gè)字段寬度為8位，共64個(gè)字段。設(shè)定字段0(例如可以記為Field0Sel[7:0])從報(bào)文頭中選擇的位為：3位不相關(guān)數(shù)據(jù)+5位報(bào)文類型；字段1從報(bào)文頭中選擇的為源端口號。由此，在可編程匹配邏輯中，字段0的比較值有兩個(gè)，分別記為Field0Cmp0[7:0]和Field0Cmp1[7:0]，因此字段只需用到1個(gè)比較器；相應(yīng)地配置Field0Cmp0為10(TCP報(bào)文編號)，相應(yīng)地字段使能也有兩個(gè)，分別記為Field0En0[7:0]和Field0En1[7:0]，同樣也只用到Field0En0，配置為0x1f(高3位為0，表示不關(guān)心其具體值)。兩個(gè)比較器只用1個(gè)(例如，0號比較器320)，邏輯設(shè)定為等于(即對應(yīng)的預(yù)定條件設(shè)定為等于10)，即0號比較器的邏輯為((Field0En0&Field0Sel)＝(Field0En0&Field0Cmp0))，其中的“&”表示多位數(shù)值的按位與，邏輯比較結(jié)果為真則輸出1，否則輸出0。對應(yīng)的二輸入查找表34應(yīng)該是直接輸出0號比較器320的結(jié)果，因此二輸入查找表34的表項(xiàng)0-3(分別對應(yīng)著[1號比較器322結(jié)果，0號比較器320結(jié)果]的值為b00、b01、b10、b11)的內(nèi)容應(yīng)該依次填為0、1、0、1。對于字段1，其比較值Field1Cmp0和Field1Cmp1應(yīng)分別被設(shè)定為5和15(分別對應(yīng)源端口號的下限和上限)，F(xiàn)ield1En0和Field1En1均為0xff(8位全使能)，0號比較器320的邏輯為大于或等于(即對應(yīng)的預(yù)定條件設(shè)定為大于或等于5)，1號比較器322的邏輯為小于或等于(即對應(yīng)的預(yù)定條件設(shè)定為小于或等于15)，二輸入查找表34的邏輯可以設(shè)定為0號比較器320與1號322結(jié)果的與，因此二輸入查找表34的表項(xiàng)0-3(分別對應(yīng)著[1號比較器322結(jié)果，0號比較器320結(jié)果]的值為b00、b01、b10、b11)的值應(yīng)依次填為0、0、0、1。針對字段0和1產(chǎn)生的判斷結(jié)果，隨后將被選擇并送入第一個(gè)m輸入查找表。在本發(fā)明示例中，可以假定m＝3，3位輸入從低到高依次為字段0-2的二輸入查找表34的輸出的判斷結(jié)果。因判斷邏輯只用到了低2位，高1位不影響結(jié)果，且低兩位的邏輯應(yīng)該是“與”邏輯(報(bào)文是TCP報(bào)文且源端口號在[5,15]范圍內(nèi))，故m輸入查找表38的表項(xiàng)內(nèi)容應(yīng)按如下表1填寫：表13個(gè)輸入111110101100011010001000表項(xiàng)值10001000之后，第一個(gè)m輸入查找表38的1位結(jié)果即作為前述“報(bào)文是TCP報(bào)文且所在IP報(bào)文長度來自[5,15]號源端口”這個(gè)攻擊報(bào)文判別特征的匹配操作結(jié)果(即匹配操作結(jié)果為匹配)，隨后被送入到可編程計(jì)數(shù)器40如圖4所示，圖4示出了本發(fā)明一種實(shí)施方式的分布式攻擊檢測裝置的示意圖。圖3中第一個(gè)m輸入查找表38輸出的1位的匹配操作結(jié)果送入對應(yīng)的可編程計(jì)數(shù)器40，可以在預(yù)定周期內(nèi)確定符合攻擊報(bào)文特征條件的報(bào)文數(shù)量。其中，預(yù)定周期占用的硬件時(shí)鐘周期個(gè)數(shù)、計(jì)數(shù)個(gè)數(shù)閾值可根據(jù)實(shí)際情況通過軟件編程確定，達(dá)到計(jì)數(shù)閾值的計(jì)數(shù)器結(jié)果為1，否則為0。需要注意的是，雖然圖4中示出了通過可編程計(jì)數(shù)器40進(jìn)行閾值判斷，但有些攻擊報(bào)文特征不需要進(jìn)行閾值控制，那么可編程計(jì)數(shù)器40可以置為旁路(Bypass)模式，即直接輸出1位的匹配操作結(jié)果的值。全部可編程計(jì)數(shù)器40的結(jié)果輸入到一個(gè)最終的“或”邏輯42中，即“或”邏輯42的任意一個(gè)輸入為1，都表示當(dāng)前報(bào)文屬于攻擊報(bào)文，標(biāo)記為1。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解，上述的N、K和m可以根據(jù)實(shí)際情況進(jìn)行設(shè)定，且上述示例僅僅是示例性的，并非用于限定本發(fā)明。例如，N可以等于4，每個(gè)自定義字段可以包含16個(gè)字節(jié)，每個(gè)字節(jié)可以選取報(bào)文頭128字節(jié)中的任意1個(gè)。以上結(jié)合附圖詳細(xì)描述了本發(fā)明的優(yōu)選實(shí)施方式，但是，本發(fā)明并不限于上述實(shí)施方式中的具體細(xì)節(jié)，在本發(fā)明的技術(shù)構(gòu)思范圍內(nèi)，可以對本發(fā)明的技術(shù)方案進(jìn)行多種簡單變型，這些簡單變型均屬于本發(fā)明的保護(hù)范圍。另外需要說明的是，在上述具體實(shí)施方式中所描述的各個(gè)具體技術(shù)特征，在不矛盾的情況下，可以通過任何合適的方式進(jìn)行組合。為了避免不必要的重復(fù)，本發(fā)明對各種可能的組合方式不再另行說明。此外，本發(fā)明的各種不同的實(shí)施方式之間也可以進(jìn)行任意組合，只要其不違背本發(fā)明的思想，其同樣應(yīng)當(dāng)視為本發(fā)明所公開的內(nèi)容。當(dāng)前第1頁1 2 3