CN100369416C - 流量攻击网络设备的报文特征的检测方法 - Google Patents
流量攻击网络设备的报文特征的检测方法 Download PDFInfo
- Publication number
- CN100369416C CN100369416C CNB2005100694738A CN200510069473A CN100369416C CN 100369416 C CN100369416 C CN 100369416C CN B2005100694738 A CNB2005100694738 A CN B2005100694738A CN 200510069473 A CN200510069473 A CN 200510069473A CN 100369416 C CN100369416 C CN 100369416C
- Authority
- CN
- China
- Prior art keywords
- message
- detection
- characteristic value
- network equipment
- characteristic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title abstract description 11
- 238000001514 detection method Methods 0.000 claims description 101
- 238000012545 processing Methods 0.000 claims description 16
- 238000000605 extraction Methods 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 description 7
- 238000012546 transfer Methods 0.000 description 3
- 206010033799 Paralysis Diseases 0.000 description 2
- 241000700605 Viruses Species 0.000 description 2
- 230000015654 memory Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种流量攻击网络设备的报文特征检测方法,包括以下步骤:在报文的报头各字段和网络设备的端口中选择至少一个检测项,以所述检测项在报文中的具体数值作为该检测项的特征值;统计预定检测周期内所述网络设备处理的报文中所述检测项的特征值相同的报文总数;查找超过预定攻击阈值的所述报文总数所对应的所述检测项和所述特征值,即为攻击报文的特征。本发明能够自动识别流量攻击报文的特征,能够快速准确地检测出内容不断变化的攻击报文,同时基本不会影响网络设备的性能。
Description
技术领域
本发明涉及网络设备的安全保护,尤其涉及一种流量攻击网络设备的报文特征的检测方法。
背景技术
随着网络设备在运营商网络和企业网络的应用越来越广,不可避免地会面对一些病毒流或恶意数据流的攻击。
报文通过网络设备时,网络设备对报文主要完成两种工作:直接转发或处理后转发。其中,对处理后转发的报文,网络设备中的处理单元如CPU(Central Process Unit,中央处理器)需要根据报文的协议进行相关计算,以及对报文进行分用和封装等。
针对网络设备的攻击中最主要的一类是流量攻击,即发送大量需要网络设备处理的报文,使网络设备的处理单元处于超负荷工作状态,影响网络中正常报文的传输,甚至使重要的协议报文因超时而被丢弃,造成网络的瘫痪。例如,如果网络配置了STP(Spanning Tree Protocol,生成树协议),而STP报文被丢弃,就会在网络中出现广播风暴。
美国专利US2004215976中公开了一种检测流量攻击报文的方法,根据攻击报文的特征在网络设备中对符合特征的报文流量进行统计,当报文流量超过一定阈值时,即认为发生了流量攻击。
这种方法只能防止已知特征的流量攻击策略,而对未知特征的流量攻击则无法检测。网络上的数据流***,用户无法预知新出现的攻击报文可能具有什么样的特征。尤其是攻击报文越来越倾向于采用内容可变的报文,例如红码病毒发作时不停地发送源IP(Internet Protocol,互联网协议)地址和/或目的IP地址可变的报文,靠用户去总结这样的攻击报文的特征相当费时,在此期间网络通常处于性能极低甚至瘫痪的状态。
发明内容
本发明要解决的技术问题是现有技术中不能自动检测流量攻击报文的特征。
本发明所述流量攻击网络设备的报文特征检测方法,包括以下步骤:
a)在报文的报头各字段和网络设备的端口中选择至少两个检测项,以所述检测项在报文中的具体数值作为该检测项的特征值;
b)统计预定检测周期内所述网络设备处理的报文中所述检测项的特征值相同的报文总数;
c)查找超过预定攻击阈值的所述报文总数所对应的所述检测项和所述特征值,即为攻击报文的特征。
优选地,所述步骤b)具体为:
b1)网络设备收到处理的报文;
b2)从所述报文的报头中提取检测项的特征值;
b3)将所述检测项的所述特征值的统计计数加1;
b4)如果所有检测项已统计完毕,转步骤b5);否则转步骤b2)统计下一个检测项;
b5)判断预定检测周期的计时是否完毕,如果否,转步骤b1)。
优选地,在所述步骤a)与步骤b)之间包括:
ab1)确定每个所述检测项下保存的特征值总数N;
在所述步骤b2)与步骤b3)之间包括:
b21)如果所述检测项下保存的特征值中有所述提取的特征值,执行步骤b3);
b22)如果所述检测项保存的特征值个数小于N,则保存提取的特征值,执行步骤b3);
b23)将所述检测项下当前统计计数最小的特征值修改为所述提取的特征值,将其统计计数清零,执行步骤b3)。
优选地,在所述步骤ab1)与步骤b)之间包括:
ab2)统计所述网络设备处理报文的到达速率;
ab3)判断所述到达速率是否超过预定检测阈值,如果否,转步骤ab2);如果是,启动所述预定检测周期的计时,执行步骤b)。
优选地,在所述步骤b)与步骤c)之间包括:判断每个检测项的每个特征值的报文总数是否不超过预定攻击阈值,如果是,没有流量攻击发生;如果否,转步骤c)。
优选地,在所述步骤c)之后还包括:所述网络设备根据所述攻击报文的特征输出告警或下发访问控制列表ACL过滤。
优选地,所述检测项为源媒体接入控制地址、源端口号、目的端口号和网络设备的物理端口;所述预定检测周期为1秒,所述预定攻击阈值为300,每个所述检测项下保存的特征值总数N为5。
优选地,所述报文为传输控制协议/网际协议TCP/IP报文;所述TCP/IP报文的报头字段包括源媒体接入控制地址、帧类型号、源IP地址、目的IP地址、协议类型号、源端口号和目的端口号;
优选地,所述网络设备的端口包括所述网络设备的逻辑端口和物理端口。
优选地,所述网络设备包括交换设备、路由设备、防火墙和入侵检测设备。
通过监测具有相同的检测项特征值的报文数量,本发明能够自动识别流量攻击报文的特征,从而快速准确地检测出各种攻击报文,不论其内容是否不断变化;
同时,本发明只在网络设备处理报文的速率达到一定阈值后才启动流量攻击检测,基本不会影响网络设备的性能。
附图说明
图1所示为TCP/IP协议的层次结构参考模型;
图2所示为以太网上IPv4协议报文报头部分的字段结构示意图;
图3所示为本发明所述检测方法的流程图;
图4所示为本发明中对一个报文进行统计计数的流程图。
具体实施方式
对攻击报文而言,要想在网络上造成很大的流量,就必须具备以某种方式进行自我复制的能力。而复制生成的报文必然会具有与原报文相同的特征,即使攻击报文的作者有意地在复制过程中对特征进行变更,也不可能改变报文的所有特征。
对网络设备而言,这些特征主要包括报文报头部分的各字段。报文报头部分的各字段与该报文采用的协议和该协议的层次结构有关,以下以TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/网际协议)为例来进行说明。
图1所示为TCP/IP协议的层次结构参考模型。TCP/IP通常被认为是一个四层的协议***,由链路层、网络层、传输层和应用层。其中,链路层通常包括操作***中设备驱动程序和计算机中对应的网络接口卡,用于处理与传输媒介有关的物理接口细节,例如以太网、令牌环和无线局域网等;网络层处理报文在网络中的传输,网络层协议包括IP、ICMP(Internet Control MessageProtocol,互联网控制报文协议)、ARP(Address Resolution Protocol,地址解析协议)和IGMP(Internet Group Management Protocol,互联网组管理协议)等;传输层主要为两台主机上的应用程序提供端到端的通信,传输层协议主要包括TCP(Transmission Control Protocol,传输控制协议)和UDP(UserDatagram Protocol,用户数据报协议);应用层负责处理特定的应用程序细节,应用层协议非常多,如FTP(File Transfer Protocol,文件传输协议)、HTTP(Hypertext Transfer Protocol,超文本传输协议)、DNS(Domain Name Service,域名服务)和SNMP(Simple Network Management Protocol,简单网络管理协议)等。
对应于TCP/IP协议的层次结构,TCP/IP报文的报头按照应用层、传输层、网络层和链路层的顺序逐层封装。以以太网上的IPv4(Internet Protocol version4,第4版互联网协议)报文为例,其报头部分的各字段结构请参阅图2,需要说明的是,图2中没有显示完整的报头结构,仅选择了与本发明关系密切的字段。传输层报头中封装了应用层数据的源端口号和目的端口号,用于寻找发端和收端的应用层进程;网络层报头中封装了协议类型号、源IP地址和目的IP地址,其中协议类型号用来标识所封装的数据段采用的是哪种协议;链路层报头中封装了目的MAC地址、源MAC地址和帧类型号,其中帧类型号用来指明生成数据段的网络层协议。
对于以太网上的IPv4攻击报文,其报头中会包括至少一部分上述字段。而要形成流量攻击,这些报文中至少一个字段会具有相同的数值。因此,如果检测某个时间段内由网络设备处理的报文中上述字段的值相同的报文数量,则可以检测出流量攻击。
对于其他类型网络及其他协议,也可以在其报文的报头中选择与网络寻址和各层协议间寻址相关的字段作为检测项。
同时,考虑到网络设备设定过滤措施的便利性,可以将报文经过的网络设备端口也作为检测中的可选项。其中网络设备的端口包括物理端口和逻辑端口,其中,逻辑端口通常通过在物理端口上配置某种协议而形成,例如一些高可用性协议将两个以上的物理端口组合为一个逻辑端口,一些VLAN协议将一个物理端口对应于多个逻辑端口。
图3所示为本发明所述检测方法的流程图。
在步骤S10,在报文的报头各字段和网络设备端口中选择至少一个检测项。如前所述,可以选择与网络寻址和各层协议间寻址相关的字段作为检测项,还可以增加网络设备的物理端口或逻辑端口作为检测项。
网络管理者选择的检测项越多,对流量攻击报文的特征描述就越准确。理论上讲,选择所有与网络寻址和各层协议间寻址相关的字段作为检测项基本上可以检测出所有的流量攻击,但在这种情况下流量攻击检测本身也会对网络设备造成较重的负担。因此,网络管理者应综合考虑网络设备所在网络的安全状况、该网络设备的处理能力、负载程度、对该网络设备的安全要求等来决定检测项的个数和选择策略。
在步骤S20,监测网络设备处理报文的到达速率,当到达速率超过预定检测阈值时,执行步骤S30。
在正常情况下,网络设备处理的报文流量比较小,为了尽可能减小流量攻击检测对网络设备的性能造成的影响,只有当报文流量大到具有遭到攻击的可能性时,才进行攻击报文检测。当然,对性能高于网络传输需求的网络设备,可以省略这一步骤。
在步骤S30,启动预定检测周期的计时。
在步骤S40,网络设备收到处理的报文。
在步骤S50,网络设备将该报文中每个检测项的特征值所对应的统计计数加1。检测项的特征值是该检测项在到达报文中的具体数值。在本发明中,网络设备以检测项的特征值作为报文特征,对具有相同的特征的报文进行总数统计。
在步骤S60,判断预定检测周期的计时是否完毕,如果完毕,执行步骤S70;计时未到则转步骤S40,对下一个到达的报文进行检测。
在步骤S70,判断是否每个检测项下每个特征值的统计计数是否都不超过预定攻击阈值,如果是,则未发生流量攻击;如果否,执行步骤S80。预定攻击阈值应根据该网络设备通常情况下处理的报文流量进行设定,当通常情况下处理的报文流量大时,应选择较高的值。
在步骤S80,网络设备检测到发生了流量攻击,并且攻击报文的特征为超过预定攻击阈值的报文总数所对应的具有该特征值的该检测项。
在步骤S90,根据检测到的流量攻击报文的特征,网络设备可以输出告警,或下发ACL(Access Control List,访问控制列表)过滤,或采用其他措施防御流量攻击。
考虑到一些核心网络设备处理的报文中,各个检测项可能具有非常多的特征值,网络设备需要对这些特征值进行分别统计,这样会占用较多的内存。因此,对核心网络设备和一些内存小的网络设备,可以设定每个检测项保存的特征值的个数N,只对总数最大的N个特征值进行统计。此时网络设备对单个报文进行统计计数的流程如图4所示,整个流程对应于图3中的步骤S50。
在步骤S51,在报文的报头部分取第i个检测项的值P(i)。i的初始值为1。
在步骤S52,网络设备查找在该检测项下保存的特征值中是否有P(i),如果有,执行步骤S56;如果没有,执行步骤S53。
在步骤S53,网络设备检查该检测项下保存的特征值的个数是否小于设定特征值个数N,如果小于,执行步骤S54;否则执行步骤S55。
在步骤S54,在该检测项下增加对特征值P(i)的统计计数,并设置统计计数Count(i,P(i))初始值为0,转步骤S56。
在步骤S55,取该检测项下当前统计计数最小的特征值,将该特征值修改为P(i),并将统计计数Count(i,P(i))清零。即当保存的特征值个数达到N后,如果到达报文中该检测项的值不同于所保存的特征值,则不再对已保存的特征值中当前统计计数最小的一个进行统计,而改为统计新的特征值。
在步骤S56,将统计计数Count(i,P(i))加1。
在步骤S57,判断该检测项是否为最后一个检测项,如果是,则对该报文的检测结束;如果否,则令i=i+1,转步骤S51,对下一个检测项进行统计。
例如,一个交换机工作在如前所述的以太网中,选择源MAC地址、目的端口号、源端口号和该交换机的物理端口作为检测项,设置预定检测周期为1秒,预定攻击阈值为300,为每个检测项保存的特征值个数为5。该交换机启动攻击检测,一个预定检测周期后得到的统计计数结果如下表所示:
| 检测项 | 特征值 | 报文总数 |
| 源MAC地址 | 00a6-4513-0011 | 330 |
| 00e0-fc00-2222 | 11 | |
| 0030-fc00-2034 | 3 | |
| 0030-ce00-2034 | 1 | |
| 0020-2200-2034 | 1 | |
| 目的端口号 | 3344 | 325 |
| 23 | 50 | |
| 130 | 11 | |
| 139 | 2 | |
| 138 | 2 | |
| 源端口号 | 23 | 45 |
| 3345 | 13 | |
| 3346 | 11 | |
| 3347 | 9 | |
| 3348 | 8 | |
| 交换机的物理端口号 | 21 | 320 |
| 1 | 46 | |
| 3 | 11 | |
| 19 | 8 | |
| 8 | 6 |
可见,统计计数结果中,源MAC地址的特征值是00a6-4513-0011的报文总数为330,目的端口号是3344的报文总数为为325,物理端口号是21的报文总数为320,其他检测项特征值的统计计数结果都小于300,则检测出攻击报文特征具有以下特征:
源MAC地址00a6-4513-0011;
目的端口号3344;
来自21号物理端口。
根据这些特征,交换机就可以自动采取输出告警或下发ACL过滤的措施。
本发明适用于各种具有处理单元、能够对检测项的特征值进行计数的网络设备,例如交换设备、路由设备、防火墙和IDS(入侵检测设备)等。
可见,本发明不仅能够检测出流量攻击,而且能够自动检测出攻击报文的特征。同时,由于本发明采用报文中报头的协议字段作为检测项,这些检测项中有的本来就是网络设备在处理该报文时需要读取的,而且本发明只在需要时才启动攻击检测,因而实施本发明基本上不会影响网络设备的性能。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的权利要求保护范围之内。
Claims (10)
1.一种流量攻击网络设备的报文特征检测方法,其特征在于,包括以下步骤:
a)在报文的报头各字段和网络设备的端口中选择至少两个检测项,以所述检测项在报文中的具体数值作为该检测项的特征值;
b)统计预定检测周期内所述网络设备处理的报文中所述检测项的特征值相同的报文总数;
c)查找超过预定攻击阈值的所述报文总数所对应的所述检测项和所述特征值,即为攻击报文的特征。
2.按照权利要求1所述的报文特征检测方法,其特征在于,所述步骤b)具体为:
b1)网络设备收到处理的报文;
b2)从所述报文的报头中提取检测项的特征值;
b3)将所述检测项的所述特征值的统计计数加1;
b4)如果所有检测项已统计完毕,转步骤b5);否则转步骤b2)统计下一个检测项;
b5)判断预定检测周期的计时是否完毕,如果否,转步骤b1)。
3.按照权利要求2所述的报文特征检测方法,其特征在于,在所述步骤a)与步骤b)之间包括:
ab1)确定每个所述检测项下保存的特征值总数N;
在所述步骤b2)与步骤b3)之间包括:
b21)如果所述检测项下保存的特征值中有所述提取的特征值,执行步骤b3);
b22)如果所述检测项保存的特征值个数小于N,则保存提取的特征值,执行步骤b3);
b23)将所述检测项下当前统计计数最小的特征值修改为所述提取的特征值,将其统计计数清零,执行步骤b3)。
4.按照权利要求3所述的报文特征检测方法,其特征在于,在所述步骤ab1)与步骤b)之间包括:
ab2)统计所述网络设备处理报文的到达速率;
ab3)判断所述到达速率是否超过预定检测阈值,如果否,转步骤ab2);如果是,启动所述预定检测周期的计时,执行步骤b)。
5.按照权利要求4所述的报文特征检测方法,其特征在于,在所述步骤b)与步骤c)之间包括:判断每个检测项的每个特征值的报文总数是否不超过预定攻击阈值,如果是,没有流量攻击发生;如果否,转步骤c)。
6.按照权利要求5所述的报文特征检测方法,其特征在于,在所述步骤c)之后还包括:所述网络设备根据所述攻击报文的特征输出告警或下发访问控制列表ACL过滤。
7.按照权利要求6所述的报文特征检测方法,其特征在于:所述检测项为源媒体接入控制地址、源端口号、目的端口号和网络设备的物理端口;所述预定检测周期为1秒,所述预定攻击阈值为300,每个所述检测项下保存的特征值总数N为5。
8.按照权利要求1所述的报文特征检测方法,其特征在于:所述报文为传输控制协议/网际协议TCP/IP报文;所述TCP/IP报文的报头字段包括源媒体接入控制地址、帧类型号、源IP地址、目的IP地址、协议类型号、源端口号和目的端口号。
9.按照权利要求8所述的报文特征检测方法,其特征在于:所述网络设备的端口包括所述网络设备的逻辑端口和物理端口。
10.按照权利要求1所述的报文特征检测方法,其特征在于:所述网络设备包括交换设备、路由设备、防火墙和入侵检测设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100694738A CN100369416C (zh) | 2005-05-09 | 2005-05-09 | 流量攻击网络设备的报文特征的检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100694738A CN100369416C (zh) | 2005-05-09 | 2005-05-09 | 流量攻击网络设备的报文特征的检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1725705A CN1725705A (zh) | 2006-01-25 |
| CN100369416C true CN100369416C (zh) | 2008-02-13 |
Family
ID=35924957
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100694738A Expired - Fee Related CN100369416C (zh) | 2005-05-09 | 2005-05-09 | 流量攻击网络设备的报文特征的检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100369416C (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103856470A (zh) * | 2012-12-06 | 2014-06-11 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击检测方法及检测装置 |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101202742B (zh) * | 2006-12-13 | 2011-10-26 | 中兴通讯股份有限公司 | 一种防止拒绝服务攻击的方法和*** |
| CN101114938B (zh) * | 2007-08-10 | 2010-06-23 | 杭州华三通信技术有限公司 | 分布式***减少统计所需控制报文量的方法、***和装置 |
| CN101123492B (zh) * | 2007-09-06 | 2012-01-18 | 杭州华三通信技术有限公司 | 检测扫描攻击的方法和设备 |
| CN101286979B (zh) * | 2008-06-03 | 2011-02-09 | 电子科技大学 | 一种网络攻击检测方法 |
| CN101640666B (zh) * | 2008-08-01 | 2012-06-06 | 北京启明星辰信息技术股份有限公司 | 一种面向目标网络的流量控制装置及方法 |
| CN101834761B (zh) * | 2010-05-21 | 2012-02-22 | 华为技术有限公司 | 降质攻击检测及防御方法、检测设备及接入设备 |
| CN103368909B (zh) * | 2012-03-30 | 2016-12-14 | 迈普通信技术股份有限公司 | 一种通信设备控制平面保护装置及方法 |
| CN102916940A (zh) * | 2012-09-19 | 2013-02-06 | 浪潮(北京)电子信息产业有限公司 | 一种实现云数据中心网络安全的方法及*** |
| CN102882895A (zh) * | 2012-10-31 | 2013-01-16 | 杭州迪普科技有限公司 | 一种识别报文攻击的方法及装置 |
| CN103095603B (zh) * | 2013-02-21 | 2015-07-29 | 南京磐能电力科技股份有限公司 | 一种以太网风暴抑制方法 |
| CN103561001A (zh) * | 2013-10-21 | 2014-02-05 | 华为技术有限公司 | 一种安全防护方法及路由设备 |
| WO2015081499A1 (zh) * | 2013-12-03 | 2015-06-11 | 北京东土科技股份有限公司 | 一种防止环网协议报文攻击设备cpu的方法及装置 |
| CN103840971B (zh) * | 2014-02-18 | 2018-01-02 | 汉柏科技有限公司 | 一种对私有云病毒导致的云集群异常的处理方法及*** |
| CN104506531B (zh) * | 2014-12-19 | 2018-05-01 | 上海斐讯数据通信技术有限公司 | 针对流量攻击的安全防御***及方法 |
| CN105939328A (zh) * | 2016-01-27 | 2016-09-14 | 杭州迪普科技有限公司 | 网络攻击特征库的更新方法及装置 |
| CN106130962B (zh) * | 2016-06-13 | 2020-01-14 | 浙江宇视科技有限公司 | 一种报文处理方法和装置 |
| CN108111472A (zh) * | 2016-11-24 | 2018-06-01 | 腾讯科技(深圳)有限公司 | 一种攻击特征检测方法及装置 |
| CN107592243B (zh) * | 2017-10-23 | 2020-12-22 | 王蕴卓 | 一种验证路由器静态绑定功能的方法及装置 |
| CN110290124B (zh) * | 2019-06-14 | 2022-09-30 | 杭州迪普科技股份有限公司 | 一种交换机入端口阻断方法及装置 |
| CN114268592A (zh) * | 2020-09-15 | 2022-04-01 | 华为技术有限公司 | 一种报文的处理方法、***及设备 |
| CN113285918B (zh) * | 2021-04-08 | 2023-10-24 | 锐捷网络股份有限公司 | 针对网络攻击的acl过滤表项建立方法及装置 |
| CN115589300A (zh) * | 2021-06-23 | 2023-01-10 | 华为技术有限公司 | 攻击识别方法、装置及***、计算机可读存储介质 |
| CN114143089B (zh) * | 2021-11-30 | 2024-02-09 | 迈普通信技术股份有限公司 | 报文处理方法、装置、网络设备及计算机可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1411209A (zh) * | 2002-03-29 | 2003-04-16 | 华为技术有限公司 | 一种检测并监控恶意用户主机攻击的方法 |
| US20040054925A1 (en) * | 2002-09-13 | 2004-03-18 | Cyber Operations, Llc | System and method for detecting and countering a network attack |
| US20040215976A1 (en) * | 2003-04-22 | 2004-10-28 | Jain Hemant Kumar | Method and apparatus for rate based denial of service attack detection and prevention |
-
2005
- 2005-05-09 CN CNB2005100694738A patent/CN100369416C/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1411209A (zh) * | 2002-03-29 | 2003-04-16 | 华为技术有限公司 | 一种检测并监控恶意用户主机攻击的方法 |
| US20040054925A1 (en) * | 2002-09-13 | 2004-03-18 | Cyber Operations, Llc | System and method for detecting and countering a network attack |
| US20040215976A1 (en) * | 2003-04-22 | 2004-10-28 | Jain Hemant Kumar | Method and apparatus for rate based denial of service attack detection and prevention |
Non-Patent Citations (2)
| Title |
|---|
| 基于数据挖掘的实时入侵检测技术研究. 杨德刚.重庆大学硕士学位论文. 2004 * |
| 基于流量分析的入侵检测***研究. 陈健,张亚平,李艳.天津理工学院学报,第Vol.20卷第No.2期. 2004 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103856470A (zh) * | 2012-12-06 | 2014-06-11 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击检测方法及检测装置 |
| CN103856470B (zh) * | 2012-12-06 | 2018-06-19 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击检测方法及检测装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1725705A (zh) | 2006-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100369416C (zh) | 流量攻击网络设备的报文特征的检测方法 | |
| US10681079B2 (en) | Method for mitigation of cyber attacks on industrial control systems | |
| Barbosa et al. | Flow whitelisting in SCADA networks | |
| EP1908219B1 (en) | Active packet content analyzer for communications network | |
| Dharma et al. | Time-based DDoS detection and mitigation for SDN controller | |
| US8122494B2 (en) | Apparatus and method of securing network | |
| US7646728B2 (en) | Network monitoring and intellectual property protection device, system and method | |
| US8028160B1 (en) | Data link layer switch with protection against internet protocol spoofing attacks | |
| US7555774B2 (en) | Inline intrusion detection using a single physical port | |
| CN108353068B (zh) | Sdn控制器辅助的入侵防御*** | |
| CN101018156A (zh) | 防止带宽型拒绝服务攻击的方法、设备及*** | |
| CN101399711A (zh) | 网络监视装置以及网络监视方法 | |
| CN106534068B (zh) | 一种ddos防御***中清洗伪造源ip的方法和装置 | |
| Cui et al. | TDDAD: Time-based detection and defense scheme against DDoS attack on SDN controller | |
| CN106657161A (zh) | 数据包过滤的实现方法和装置 | |
| WO2012014509A1 (ja) | 不正アクセス遮断制御方法 | |
| CN101714948B (zh) | 一种多域的网包的分类方法和装置 | |
| CN105429974B (zh) | 一种面向sdn的入侵防御***和方法 | |
| Luo et al. | SDN/NFV-based security service function tree for cloud | |
| CN108418794B (zh) | 一种智能变电站通信网络抵御arp攻击的方法及*** | |
| CN107864110A (zh) | 僵尸网络主控端检测方法和装置 | |
| Kang et al. | FPGA-based real-time abnormal packet detector for critical industrial network | |
| CN111030970B (zh) | 一种分布式访问控制方法、装置及存储设备 | |
| Zhang et al. | Scan attack detection based on distributed cooperative model | |
| Lin et al. | Collaborative distributed intrusion detection system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: NEW H3C TECHNOLOGIES Co.,Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: HANGZHOU H3C TECHNOLOGIES Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080213 |