随着互联网技术的不断发展以及网络硬件设备的不断革新,网络安全问题日益严重,尤其是DDoS攻击更是让人防不胜防。为此,开展了弹性智能网络项目,以解决DDoS攻击难以实时准确且低能耗地识别的问题。目前DDoS攻击的检测在方法上主要有统计分析和机器学习等两类,这些方法在努力保证实时性和准确率之间的平衡的同时一般默认计算资源足够多,忽视了检测时的资源占用。传统的检测方法较难同时满足实时性、准确率和资源使用率的要求。本文针对以上问题,在弹性智能网络背景下,提出了软硬件协同的DDoS攻击检测方法。本文主要包括以下几点研究内容:(1)提出了基于FPGA的硬件层特征值提取算法。对可编程设备OpenBox的软硬件架构进行修改,使得可以利用FPGA从硬件层统计特征值。新增“统计”逻辑模块和“分光”逻辑模块,其中“统计”模块可以在硬件层统计特征值,并存入指定的硬件寄存器,“分光”模块可以提取报文摘要并将其发送至软件层以供后续进一步处理和分析,并基于以上两个硬件逻辑模块提出了软硬件协同的特征值提取算法。实验结果表明,本文提出的基于FPGA的软硬件协同的特征值提取方法能够在不影响原有性能的情况下从硬件层正确地提取特征值。(2)提出了基于可编程设备OpenBox的两级递进的DDoS攻击检测方法。先硬件感知,后在线识别。硬件感知模块基于滑动窗口思想提出,主要目的是监控整个网络环境是否相对稳定,无突发流量等情况。在硬件感知模块感知到网络异常后,启动在线识别模块,在线识别模块采用机器学习技术,使用SVM、C4.5和贝叶斯网络算法进行集成学习,实时识别DDoS攻击。实验结果表明,基于本文提出的实时DDoS攻击识别算法能够实时准确地检测DDoS攻击。(3)基于以上方法设计并实现了能够展示面向弹性智能网络的DDoS攻击检测方法各项性能的原型系统。设计了原型系统的整体框架,从DDoS攻击检测、用户界面展示等方面描述了原型系统的设计与实现。系统提供人性化的操作界面,使用者可以从可视化角度离线训练分类器模型、更新分类器参数,也能实时通过DDoS攻击检测展示系统了解全网的攻击状态,系统有着较强的实用性。