CN101267313A - 泛洪攻击检测方法及检测装置 - Google Patents
泛洪攻击检测方法及检测装置 Download PDFInfo
- Publication number
- CN101267313A CN101267313A CN200810095023.XA CN200810095023A CN101267313A CN 101267313 A CN101267313 A CN 101267313A CN 200810095023 A CN200810095023 A CN 200810095023A CN 101267313 A CN101267313 A CN 101267313A
- Authority
- CN
- China
- Prior art keywords
- source messages
- keywords
- characteristic parameter
- source
- messages
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开一种泛洪攻击检测方法及检测装置。所述方法包括:获取源报文的关键字总数;获取对应所述源报文的特征参数的数目;将所述特征参数的数目占所述关键字总数的比例值与预设阈值进行比较,若大于等于所述预设阈值,则判断出发生泛洪攻击。相应的,本发明实施例还提供一种检测装置,包括:获取单元,用于获取源报文的关键字总数和对应所述源报文的特征参数的数目;处理单元,用于将所述特征参数的数目占所述关键字总数的比例值与预设阈值进行比较,若大于等于所述预设阈值,则判断出发生泛洪攻击。本发明实施例提供的技术方案能够更准确的检测出泛洪攻击。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种泛洪攻击检测方法及检测装置。
背景技术
DDOS(Distributed Denial of Service,分布式拒绝服务攻击)攻击是泛洪(flood)攻击的其中一种,主要是指攻击者利用主控主机做跳板(可能多级多层),控制大量受感染的主机组成攻击网络对受害主机进行大规模的拒绝服务攻击。这种攻击往往能把单个攻击者的攻击以级数形式进行放大,从而对受害主机造成重大影响,也造成网络严重拥塞。
现有技术中对DDOS攻击进行检测的一种方式是流量异常检测:流量异常检测主要根据各种协议的报文流量在正常情况下是相对平稳变化的,只有在受到特定攻击时候才会发生明显的突变。流量异常检测一般分两个阶段,一个是学习阶段,通过一些样本流量进行学习,从而建立初始分析模型;然后***进入工作状态,采集报文流量后进行流量统计,并进行流量模型的分析,然后把分析结果和初始分析模型进行比对,两者的差异如果大于阈值则认为异常;如果是正常,则进行流量学习,不断修正初始分析模型。
现有技术中对DDOS攻击进行检测的另一种方式是发包频率检测。因为对于DDOS攻击,通常会出现报文的大流量特征,而流量通常和报文的发包频率密切相关,因此,可以统计发包频率,将统计结果和阈值进行比较,如果大于阈值则认为异常,否则认为正常。
在对现有技术的研究和实践过程中,发明人发现现有技术存在以下问题:
现有技术目前存在的检测方法检测出DDOS攻击的准确性都不太高,对于流量异常检测方式,如果攻击是小流量下的泛洪攻击,流量变化短期内变化不是特别大,如果流量分析算法简单的话可能很难检测,对于一些正常的请求,类似代理或网络地址转换nat服务,也有可能短时内流量很大,因此容易出现误检测。对于发包频率检测方式,对于小流量攻击,很难检测,对于一些正常的请求,类似代理或nat服务,也容易出现误检测。
发明内容
本发明实施例要解决的技术问题是提供一种泛洪攻击检测方法及检测装置,能够更准确的检测出泛洪攻击。
为解决上述技术问题,本发明所提供的实施例是通过以下技术方案实现的:
本发明实施例提供一种泛洪攻击检测方法,包括:获取源报文的关键字总数;获取对应所述源报文的特征参数的数目;将所述特征参数的数目占所述关键字总数的比例值与预设阈值进行比较,若大于等于所述预设阈值,则判断出发生泛洪攻击。
本发明实施例提供一种检测装置,包括:获取单元,用于获取源报文的关键字总数和对应所述源报文的特征参数的数目;处理单元,用于将所述特征参数的数目占所述关键字总数的比例值与预设阈值进行比较,若大于等于所述预设阈值,则判断出发生泛洪攻击。
上述技术方案可以看出,本发明实施例充分利用了泛洪攻击所具有的特征,获取源报文的关键字总数和对应源报文的特征参数的数目后,将特征参数的数目占所述关键字总数的比例值与预设阈值进行比较,若大于等于所述预设阈值,则判断出发生泛洪攻击,这种检测方法更为准确和简单。
附图说明
图1是本发明实施例一泛洪攻击检测方法流程图;
图2是本发明实施例数据表的数据结构示意图;
图3是本发明实施例一的应用场景示意图;
图4是本发明实施例二泛洪攻击检测方法流程图;
图5是本发明实施例二的应用场景示意图;
图6是本发明实施例检测装置结构示意图。
具体实施方式
本发明实施例提供了一种泛洪攻击检测方法,能够更准确的检测出泛洪攻击。
本发明实施例技术方案是:对同一被保护的目的主机,检测其接收的报文记录,如果检测出接收的由多个主机发送的报文的正文内容都是雷同的,则认为目的主机正遭受这些主机的DDOS攻击;如果检测出接收的由多个主机发送的报文的正文内容可以随机变换,则检测对所接收报文进行应答的响应报文,如果检测出响应报文错误率高,也认为目的主机正遭受这些主机的DDOS攻击。
以下结合附图详细介绍本发明实施例内容。
请参阅图1,是本发明实施例一泛洪攻击检测方法流程图,实施例一针对正常携带关键字的情况,包括:
101、确定源IP报文关键字总数、源IP报文正文哈希字串重复数目;
该步骤中是根据预先配置的数据表确定源IP报文关键字总数、源IP报文正文哈希字串重复数目。
以下先对本发明实施例的数据表进行介绍。
请参阅图2,是本发明实施例数据表的数据结构示意图。
如图2所示,该数据表的数据结构第一层以报文的目的IP字段为索引构建,第二层则根据报文的源IP字段为索引构建,第三层是主要工作的数据层,由报文的正文关键句进行哈希变换后的关键句哈希字串为索引构建。
第二层中的源IP有效标记表示该条记录是否有效,第二层中的最近接收报文时间指的是在老化时间内收到的第一个带该关键字的数据报文的时间,关键字总数表示在老化时间内收到带该关键字的报文的总数目,失败总数表示该关键字的响应报文的失败总数。
第三层中的关键句哈希字串表示对该带关键字的关键句选取特定长度进行哈希变换,得到一固定长度的字符串,即关键句哈希字串,第三层中的时间表示是在老化时间内该源IP发出的对该目的IP响应的第一个带关键字的报文的时间,第三层中的雷同数表示收到相同关键句哈希字串的报文数目,第三层中的有效标记表示该关键句哈希字串是否有效。
当接收报文后,首先对报文进行协议解析,通常解析到应用层,再进行协议分类,如可分成常规的http协议(Hypertext Transfer Protocol,超文本传输协议)、DNS协议(Domain Name System,域名***)等。协议分类完成后,进行特征过滤,也就是只留下有关键字的报文,例如http协议报文就留下带get的报文。完成特征过滤后,按目的IP进行分组,也就是根据该的目的IP是否属于保护IP进行操作,如果是属于保护IP则进行分组,填入数据结构的第一层。然后,在第二层中寻找源IP相同的那项记录,如果没有记录则创建该项,然后修改该项记录的源IP有效标记、最近接收报文时间、关键字总数。之后,对该报文正文关键句取定长进行哈希变换,如果报文正文关键句长度超过定长,则截断后再进行哈希变换,哈希变换完成后形成关键句哈希字串。之后,遍历第三层,寻找相同的关键句哈希字串,如果存在相同的关键句哈希字串,则将雷同数加1、并修改第三层中的该关键句哈希字串的时间字段,如果不存在相同的关键句哈希字串,则创建新项,并修改相应的时间、雷同数。如果对于接收的报文进行应答失败,则将第二层相应的失败总数加1。经过上述过程,则可以完成本发明实施例的数据表配置。
102、判断所述源IP报文正文哈希字串重复数目与所述源IP报文关键字总数的比例值是否超过预先设置的相似阈值,若是,进入103,若否,进入104;
103、判断出发生DDOS攻击;
104、判断出属于正常情况。
上述过程具体如下:
假设在一段时间内,第二层表里面有n项源IP记录,第三层有m项关键句哈希字串记录。假设第i个源IP的关键字总数目为total[i],第i个源IP第j个哈希字串的重复个数为sam[i][j]。在设定的有效时间内将大于某一阈值的关键句哈希字串挑选出来,并统计雷同的重复个数,将雷同的重复个数占关键字总数的比例值与预先设置的相似阈值进行比较,若大于等于相似阈值则判断出该源IP为攻击源之一。
程序代码按以下进行举例说明但不局限于此,也可以通过其他编程代码实现相同的目的:
int count[n];
for(int i=0;i<n;j++)
{
count[i]=0;
for(int j=0;j<m;j++)
{
If(sam[i][j]>=相似个数阈值&&valid[i]==true)
{
count[i]+=sam[i][j];
}
}
If(count[i]/total[i]>=相似比例阈值)
{
Do_Flood_Action1(&IP[i]);//IP[i]为DDOS攻击源之一
}
}
请参阅图3,是本发明实施例一的应用场景示意图。
如图3所示是从实际网络中获取攻击报文。根据本发明实施例方法,对Http协议的Get关键字进行过滤,按照上面所述方法,统计出源IP地址为192.168.1.15的Get语句的哈希字串数量的雷同次数过大,其在整个Get数据报文的比例超过相似阈值,判断出发生DDOS攻击,该IP地址为攻击源之一。
请参阅图4,是本发明实施例二泛洪攻击检测方法流程图,实施例二针对随机携带关键字的情况,包括:
401、确定源IP报文关键字总数、源IP报文的响应报文失败总数;
该步骤中是根据预先配置的数据表确定源IP报文关键字总数、源IP报文的响应报文失败总数。
本发明实施例的数据表如前面实施例一中所介绍,此处不再详述。
402、判断所述源IP报文的响应报文失败总数与所述源IP报文关键字总数的比例值是否超过预先设置的失败阈值,若是,进入203,若否,进入204;
403、判断出发生DDOS攻击;
404、判断出属于正常情况。
上述过程具体如下:
假设在一段时间内,第二层表里面有n项源IP记录,第三层有m项关键句哈希字串记录。假设第i个源IP的关键字总数目为total[i],第i个源IP响应报文失败总数为fail[i]。统计出响应报文失败总数,将响应报文失败总数占关键字总数的比例值与预先设置的失败阈值进行比较,若大于等于失败阈值则判断出该源IP为攻击源之一。
程序代码按以下进行举例说明但不局限于此,也可以通过其他编程代码实现相同的目的:
for(int i=0;i<n;j++)
{
If(fail[i]>=失败个数阈值&&fail[i]/total[i]>=失败比例阈值)
{
Do_Flood_Action2(&IP[i]);//IP[i]为DDOS攻击源之一
}
}
请参阅图5,是本发明实施例二的应用场景示意图。
如图5所示是从实际网络中获取攻击报文。根据本发明实施例方法,对Http协议的Get关键字进行过滤,统计出源IP地址为192.168.1.15的Get语句的响应状态是大量存在表示失败的响应报文例如http 400,说明其随机构造的请求导致了大量的请求失败。通过统计出Get语句的失败响应报文总数在整个Get数据报文的比例超过失败阈值,从而判断出发生DDOS攻击,该IP地址为攻击源之一。
需要说明的是,上述本发明实施例方法是以DDOS攻击举例说明但不局限于此,还可以用在DNS的泛洪攻击检测及其他各种应用协议的泛洪攻击检测中。
上述内容详细介绍了本发明实施例泛洪攻击检测方法,相应的,本发明实施例提供一种检测装置。
请参阅图6,是本发明实施例检测装置结构示意图。
检测装置包括获取单元601和处理单元602。
获取单元601,用于获取源报文的关键字总数和对应所述源报文的特征参数的数目。
处理单元602,用于将所述特征参数的数目占所述关键字总数的比例值与预设阈值进行比较,若大于等于所述预设阈值,则判断出发生泛洪攻击,否则认为属于正常情况。
所述获取单元601包括:第一获取单元6011和第二获取单元6012。
第一获取单元6011,用于获取源报文的关键字总数。
第二获取单元6012,用于获取所述源报文的特征参数的数目,所述特征参数的数目为源报文的正文哈希字串重复数目,或者为源报文的响应报文失败总数。当所述特征参数的数目为源报文的正文哈希字串重复数目时,所述预设阈值为预设的相似阈值;当所述特征参数的数目为源报文的响应报文失败总数时,所述预设阈值为预设的失败阈值。
所述检测装置进一步包括:存储单元603。
存储单元603,用于存储含有源报文的关键字总数和所述源报文的特征参数的数目的数据表,所述数据表中的源报文的关键字总数是统计设定时间内接收的携带所述关键字的源报文的数目后得到,所述数据表中所述源报文的特征参数的数目为源报文的正文哈希字串重复数目时,是接收所述源报文后将进行哈希变换得到的正文哈希字串与已存储的正文哈希字串比较后得到,所述数据表中所述源报文的特征参数的数目为所述源报文的响应报文失败总数时,是统计对接收的源报文进行应答的失败报文数目得到。
这里所述的源报文是根据关键字过滤后得到的源报文,所述数据表中以源报文的目的地址为索引进行分组,每组以源报文的地址为索引存储所述源报文的关键字总数和所述源报文的特征参数的数目。
综上所述,本发明实施例充分利用了泛洪攻击所具有的特征,获取源报文的关键字总数和对应源报文的特征参数的数目后,将特征参数的数目占所述关键字总数的比例值与预设阈值进行比较,若大于等于所述预设阈值,则判断出发生泛洪攻击,这种检测方法更为准确和简单。
进一步的,本发明实施例方案中对于报文属于正常携带关键字时,所述特征参数的数目为源报文的正文哈希字串重复数目,对于报文属于随机携带关键字时,所述特征参数的数目为源报文的响应报文失败总数,从而针对不同攻击情况都能有效检测出发生泛洪攻击。
以上对本发明实施例所提供的一种泛洪攻击检测方法及检测装置进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1、一种泛洪攻击检测方法,其特征在于,包括:
获取源报文的关键字总数;
获取对应所述源报文的特征参数的数目;
将所述特征参数的数目占所述关键字总数的比例值与预设阈值进行比较,若大于等于所述预设阈值,则判断出发生泛洪攻击。
2、根据权利要求1所述的泛洪攻击检测方法,其特征在于:
所述特征参数的数目为源报文的正文哈希字串重复数目,所述预设阈值为预设的相似阈值。
3、根据权利要求2所述的泛洪攻击检测方法,其特征在于:
所述源报文的关键字总数和所述源报文的正文哈希字串重复数目从数据表中获取,
所述数据表中的源报文的关键字总数是统计设定时间内接收的携带所述关键字的源报文的数目后得到,
所述数据表中的源报文的正文哈希字串重复数目是接收所述源报文后将进行哈希变换得到的正文哈希字串与已存储的正文哈希字串比较后得到。
4、根据权利要求1所述的泛洪攻击检测方法,其特征在于:
所述特征参数的数目为源报文的响应报文失败总数,所述预设阈值为预设的失败阈值。
5、根据权利要求4所述的泛洪攻击检测方法,其特征在于:
所述源报文的关键字总数和所述源报文的响应报文失败总数从数据表中获取,
所述数据表中的源报文的关键字总数是统计设定时间内接收的携带所述关键字的源报文的数目后得到,
所述数据表中的所述源报文的响应报文失败总数是统计对接收的源报文进行应答的失败报文数目得到。
6、根据权利要求3或5所述的泛洪攻击检测方法,其特征在于:
所述源报文是根据关键字过滤后得到的源报文,
所述数据表中以源报文的目的地址为索引进行分组,每组以源报文的地址为索引存储所述源报文的关键字总数和所述源报文的特征参数的数目。
7、一种检测装置,其特征在于,包括:
获取单元,用于获取源报文的关键字总数和对应所述源报文的特征参数的数目;
处理单元,用于将所述特征参数的数目占所述关键字总数的比例值与预设阈值进行比较,若大于等于所述预设阈值,则判断出发生泛洪攻击。
8、根据权利要求7所述的检测装置,其特征在于,所述获取单元包括:
第一获取单元,用于获取源报文的关键字总数;
第二获取单元,用于获取所述源报文的特征参数的数目,所述特征参数的数目为源报文的正文哈希字串重复数目。
9、根据权利要求7所述的检测装置,其特征在于,所述获取单元包括:
第一获取单元,用于获取源报文的关键字总数;
第二获取单元,用于获取所述源报文的特征参数的数目,所述特征参数的数目为源报文的响应报文失败总数。
10、根据权利要求7至9任一项所述的检测装置,其特征在于,所述检测装置进一步包括:
存储单元,用于存储含有源报文的关键字总数和所述源报文的特征参数的数目的数据表,
所述数据表中的源报文的关键字总数是统计设定时间内接收的携带所述关键字的源报文的数目后得到,
所述数据表中所述源报文的特征参数的数目为源报文的正文哈希字串重复数目时,是接收所述源报文后将进行哈希变换得到的正文哈希字串与已存储的正文哈希字串比较后得到,
所述数据表中所述源报文的特征参数的数目为所述源报文的响应报文失败总数时,是统计对接收的源报文进行应答的失败报文数目得到。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810095023.XA CN101267313B (zh) | 2008-04-23 | 2008-04-23 | 泛洪攻击检测方法及检测装置 |
| US12/390,664 US8429747B2 (en) | 2008-04-23 | 2009-02-23 | Method and device for detecting flood attacks |
| PCT/CN2009/070633 WO2009129706A1 (zh) | 2008-04-23 | 2009-03-04 | 泛洪攻击检测方法及检测装置 |
| US13/681,703 US8990936B2 (en) | 2008-04-23 | 2012-11-20 | Method and device for detecting flood attacks |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810095023.XA CN101267313B (zh) | 2008-04-23 | 2008-04-23 | 泛洪攻击检测方法及检测装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101267313A true CN101267313A (zh) | 2008-09-17 |
| CN101267313B CN101267313B (zh) | 2010-10-27 |
Family
ID=39989466
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810095023.XA Active CN101267313B (zh) | 2008-04-23 | 2008-04-23 | 泛洪攻击检测方法及检测装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US8429747B2 (zh) |
| CN (1) | CN101267313B (zh) |
| WO (1) | WO2009129706A1 (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009129706A1 (zh) * | 2008-04-23 | 2009-10-29 | 成都市华为赛门铁克科技有限公司 | 泛洪攻击检测方法及检测装置 |
| CN101917733A (zh) * | 2010-08-06 | 2010-12-15 | 深圳市兆讯达科技实业有限公司 | 无线自组织网络路由查询泛洪攻击的检测方法 |
| CN101465855B (zh) * | 2008-12-31 | 2011-11-23 | 中国科学院计算技术研究所 | 一种同步泛洪攻击的过滤方法及*** |
| CN101505218B (zh) * | 2009-03-18 | 2012-04-18 | 杭州华三通信技术有限公司 | 攻击报文的检测方法和装置 |
| CN102577303A (zh) * | 2009-04-20 | 2012-07-11 | 思杰***有限公司 | 用于生成dns查询以提高抗dns攻击性的***和方法 |
| CN103997427A (zh) * | 2014-03-03 | 2014-08-20 | 浙江大学 | 通信网络检测与防攻击保护方法、装置、通信设备及*** |
| CN105119942A (zh) * | 2015-09-16 | 2015-12-02 | 广东睿江科技有限公司 | 一种洪水攻击检测方法 |
| CN105939321A (zh) * | 2015-12-07 | 2016-09-14 | 杭州迪普科技有限公司 | 一种dns攻击检测方法及装置 |
| CN106209861A (zh) * | 2016-07-14 | 2016-12-07 | 南京邮电大学 | 一种基于广义杰卡德相似系数Web应用层DDoS攻击检测方法及装置 |
| CN106656912A (zh) * | 2015-10-28 | 2017-05-10 | 华为技术有限公司 | 一种检测拒绝服务攻击的方法及装置 |
| WO2017084529A1 (zh) * | 2015-11-19 | 2017-05-26 | 阿里巴巴集团控股有限公司 | 识别网络攻击的方法和装置 |
| CN108494791A (zh) * | 2018-04-08 | 2018-09-04 | 北京明朝万达科技股份有限公司 | 一种基于Netflow日志数据的DDOS攻击检测方法及装置 |
| CN109889550A (zh) * | 2019-04-12 | 2019-06-14 | 杭州迪普科技股份有限公司 | 一种DDoS攻击确定方法及装置 |
| CN110166408A (zh) * | 2018-02-13 | 2019-08-23 | 北京京东尚科信息技术有限公司 | 防御泛洪攻击的方法、装置和*** |
| CN110881212A (zh) * | 2019-12-09 | 2020-03-13 | Oppo广东移动通信有限公司 | 设备省电的方法、装置、电子设备及介质 |
| CN112839018A (zh) * | 2019-11-25 | 2021-05-25 | 华为技术有限公司 | 一种度数值生成方法以及相关设备 |
| CN112910918A (zh) * | 2021-02-26 | 2021-06-04 | 南方电网科学研究院有限责任公司 | 基于随机森林的工控网络DDoS攻击流量检测方法及装置 |
| WO2023142045A1 (en) * | 2022-01-29 | 2023-08-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for determining alarm flood cause |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007081023A1 (ja) * | 2006-01-16 | 2007-07-19 | Cyber Solutions Inc. | トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム |
| US8543807B2 (en) * | 2009-07-14 | 2013-09-24 | Electronics And Telecommunications Research Institute | Method and apparatus for protecting application layer in computer network system |
| US8347100B1 (en) | 2010-07-14 | 2013-01-01 | F5 Networks, Inc. | Methods for DNSSEC proxying and deployment amelioration and systems thereof |
| US9106699B2 (en) | 2010-11-04 | 2015-08-11 | F5 Networks, Inc. | Methods for handling requests between different resource record types and systems thereof |
| CN102281298A (zh) * | 2011-08-10 | 2011-12-14 | 深信服网络科技(深圳)有限公司 | 检测和防御cc攻击的方法及装置 |
| US9843554B2 (en) | 2012-02-15 | 2017-12-12 | F5 Networks, Inc. | Methods for dynamic DNS implementation and systems thereof |
| US9609017B1 (en) | 2012-02-20 | 2017-03-28 | F5 Networks, Inc. | Methods for preventing a distributed denial service attack and devices thereof |
| US9282116B1 (en) * | 2012-09-27 | 2016-03-08 | F5 Networks, Inc. | System and method for preventing DOS attacks utilizing invalid transaction statistics |
| US8910285B2 (en) * | 2013-04-19 | 2014-12-09 | Lastline, Inc. | Methods and systems for reciprocal generation of watch-lists and malware signatures |
| US9794278B1 (en) * | 2013-12-19 | 2017-10-17 | Symantec Corporation | Network-based whitelisting approach for critical systems |
| US9888033B1 (en) * | 2014-06-19 | 2018-02-06 | Sonus Networks, Inc. | Methods and apparatus for detecting and/or dealing with denial of service attacks |
| US11838851B1 (en) | 2014-07-15 | 2023-12-05 | F5, Inc. | Methods for managing L7 traffic classification and devices thereof |
| US9294490B1 (en) * | 2014-10-07 | 2016-03-22 | Cloudmark, Inc. | Apparatus and method for identifying a domain name system resource exhaustion attack |
| US10182013B1 (en) | 2014-12-01 | 2019-01-15 | F5 Networks, Inc. | Methods for managing progressive image delivery and devices thereof |
| US11895138B1 (en) | 2015-02-02 | 2024-02-06 | F5, Inc. | Methods for improving web scanner accuracy and devices thereof |
| JP6952679B2 (ja) | 2015-07-15 | 2021-10-20 | サイランス・インコーポレイテッドCylance Inc. | マルウェア検出 |
| US10797888B1 (en) | 2016-01-20 | 2020-10-06 | F5 Networks, Inc. | Methods for secured SCEP enrollment for client devices and devices thereof |
| CN107196891B (zh) * | 2016-03-15 | 2020-02-14 | 华为技术有限公司 | 数据流转发异常检测方法、控制器和*** |
| CN105959300B (zh) * | 2016-06-24 | 2019-09-17 | 杭州迪普科技股份有限公司 | 一种DDoS攻击防护的方法及装置 |
| US10298605B2 (en) * | 2016-11-16 | 2019-05-21 | Red Hat, Inc. | Multi-tenant cloud security threat detection |
| JP6834768B2 (ja) * | 2017-05-17 | 2021-02-24 | 富士通株式会社 | 攻撃検知方法、攻撃検知プログラムおよび中継装置 |
| WO2018225667A1 (ja) * | 2017-06-05 | 2018-12-13 | 日本電気株式会社 | 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体 |
| CN108881294B (zh) * | 2018-07-23 | 2021-05-25 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
| CN110798426A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种洪水类DoS攻击行为的检测方法、***及相关组件 |
| US20230171099A1 (en) * | 2021-11-27 | 2023-06-01 | Oracle International Corporation | Methods, systems, and computer readable media for sharing key identification and public certificate data for access token verification |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6901517B1 (en) * | 1999-07-16 | 2005-05-31 | Marconi Communications, Inc. | Hardware based security groups, firewall load sharing, and firewall redundancy |
| US20040054925A1 (en) | 2002-09-13 | 2004-03-18 | Cyber Operations, Llc | System and method for detecting and countering a network attack |
| US7996544B2 (en) * | 2003-07-08 | 2011-08-09 | International Business Machines Corporation | Technique of detecting denial of service attacks |
| US7966658B2 (en) * | 2004-04-08 | 2011-06-21 | The Regents Of The University Of California | Detecting public network attacks using signatures and fast content analysis |
| CN100370757C (zh) * | 2004-07-09 | 2008-02-20 | 国际商业机器公司 | 识别网络内分布式拒绝服务攻击和防御攻击的方法和*** |
| US8423645B2 (en) | 2004-09-14 | 2013-04-16 | International Business Machines Corporation | Detection of grid participation in a DDoS attack |
| US7818795B1 (en) * | 2005-04-07 | 2010-10-19 | Marvell Israel (M.I.S.L) Ltd. | Per-port protection against denial-of-service and distributed denial-of-service attacks |
| KR20080010095A (ko) | 2006-07-26 | 2008-01-30 | 전북대학교산학협력단 | 개선된 블룸필터 기반의 분산 서비스 거부 공격 탐지구조와 이를 이용한 탐지 알고리즘. |
| US7617170B2 (en) | 2006-10-09 | 2009-11-10 | Radware, Ltd. | Generated anomaly pattern for HTTP flood protection |
| CN101018156A (zh) | 2007-02-16 | 2007-08-15 | 华为技术有限公司 | 防止带宽型拒绝服务攻击的方法、设备及*** |
| CN101267313B (zh) | 2008-04-23 | 2010-10-27 | 成都市华为赛门铁克科技有限公司 | 泛洪攻击检测方法及检测装置 |
-
2008
- 2008-04-23 CN CN200810095023.XA patent/CN101267313B/zh active Active
-
2009
- 2009-02-23 US US12/390,664 patent/US8429747B2/en active Active
- 2009-03-04 WO PCT/CN2009/070633 patent/WO2009129706A1/zh active Application Filing
-
2012
- 2012-11-20 US US13/681,703 patent/US8990936B2/en active Active
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009129706A1 (zh) * | 2008-04-23 | 2009-10-29 | 成都市华为赛门铁克科技有限公司 | 泛洪攻击检测方法及检测装置 |
| US8429747B2 (en) | 2008-04-23 | 2013-04-23 | Huawei Technologies Co., Ltd. | Method and device for detecting flood attacks |
| US8990936B2 (en) | 2008-04-23 | 2015-03-24 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method and device for detecting flood attacks |
| CN101465855B (zh) * | 2008-12-31 | 2011-11-23 | 中国科学院计算技术研究所 | 一种同步泛洪攻击的过滤方法及*** |
| CN101505218B (zh) * | 2009-03-18 | 2012-04-18 | 杭州华三通信技术有限公司 | 攻击报文的检测方法和装置 |
| CN102577303A (zh) * | 2009-04-20 | 2012-07-11 | 思杰***有限公司 | 用于生成dns查询以提高抗dns攻击性的***和方法 |
| CN101917733A (zh) * | 2010-08-06 | 2010-12-15 | 深圳市兆讯达科技实业有限公司 | 无线自组织网络路由查询泛洪攻击的检测方法 |
| CN101917733B (zh) * | 2010-08-06 | 2012-11-21 | 深圳市兆讯达科技实业有限公司 | 无线自组织网络路由查询泛洪攻击的检测方法 |
| CN103997427A (zh) * | 2014-03-03 | 2014-08-20 | 浙江大学 | 通信网络检测与防攻击保护方法、装置、通信设备及*** |
| CN105119942A (zh) * | 2015-09-16 | 2015-12-02 | 广东睿江科技有限公司 | 一种洪水攻击检测方法 |
| CN106656912A (zh) * | 2015-10-28 | 2017-05-10 | 华为技术有限公司 | 一种检测拒绝服务攻击的方法及装置 |
| US11240258B2 (en) * | 2015-11-19 | 2022-02-01 | Alibaba Group Holding Limited | Method and apparatus for identifying network attacks |
| WO2017084529A1 (zh) * | 2015-11-19 | 2017-05-26 | 阿里巴巴集团控股有限公司 | 识别网络攻击的方法和装置 |
| CN105939321A (zh) * | 2015-12-07 | 2016-09-14 | 杭州迪普科技有限公司 | 一种dns攻击检测方法及装置 |
| CN105939321B (zh) * | 2015-12-07 | 2019-08-06 | 杭州迪普科技股份有限公司 | 一种dns攻击检测方法及装置 |
| CN106209861A (zh) * | 2016-07-14 | 2016-12-07 | 南京邮电大学 | 一种基于广义杰卡德相似系数Web应用层DDoS攻击检测方法及装置 |
| CN106209861B (zh) * | 2016-07-14 | 2019-07-12 | 南京邮电大学 | 一种基于广义杰卡德相似系数Web应用层DDoS攻击检测方法及装置 |
| CN110166408A (zh) * | 2018-02-13 | 2019-08-23 | 北京京东尚科信息技术有限公司 | 防御泛洪攻击的方法、装置和*** |
| CN110166408B (zh) * | 2018-02-13 | 2022-09-06 | 北京京东尚科信息技术有限公司 | 防御泛洪攻击的方法、装置和*** |
| CN108494791A (zh) * | 2018-04-08 | 2018-09-04 | 北京明朝万达科技股份有限公司 | 一种基于Netflow日志数据的DDOS攻击检测方法及装置 |
| CN109889550A (zh) * | 2019-04-12 | 2019-06-14 | 杭州迪普科技股份有限公司 | 一种DDoS攻击确定方法及装置 |
| CN109889550B (zh) * | 2019-04-12 | 2021-02-26 | 杭州迪普科技股份有限公司 | 一种DDoS攻击确定方法及装置 |
| CN112839018A (zh) * | 2019-11-25 | 2021-05-25 | 华为技术有限公司 | 一种度数值生成方法以及相关设备 |
| CN110881212A (zh) * | 2019-12-09 | 2020-03-13 | Oppo广东移动通信有限公司 | 设备省电的方法、装置、电子设备及介质 |
| CN110881212B (zh) * | 2019-12-09 | 2023-08-25 | Oppo广东移动通信有限公司 | 设备省电的方法、装置、电子设备及介质 |
| CN112910918A (zh) * | 2021-02-26 | 2021-06-04 | 南方电网科学研究院有限责任公司 | 基于随机森林的工控网络DDoS攻击流量检测方法及装置 |
| WO2023142045A1 (en) * | 2022-01-29 | 2023-08-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for determining alarm flood cause |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101267313B (zh) | 2010-10-27 |
| US8990936B2 (en) | 2015-03-24 |
| US8429747B2 (en) | 2013-04-23 |
| US20130081136A1 (en) | 2013-03-28 |
| US20090271865A1 (en) | 2009-10-29 |
| WO2009129706A1 (zh) | 2009-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101267313B (zh) | 泛洪攻击检测方法及检测装置 | |
| CN103179132B (zh) | 一种检测和防御cc攻击的方法及装置 | |
| CN101841442B (zh) | 一种在名址分离网络中对网络异常进行检测的方法 | |
| CN102271068B (zh) | 一种dos/ddos攻击检测方法 | |
| CN102624706B (zh) | 一种dns隐蔽信道的检测方法 | |
| CN101567815B (zh) | 域名服务器dns放大攻击的有效检测与抵御方法 | |
| CN102694696B (zh) | Dns服务器异常检测的方法及装置 | |
| US20140047543A1 (en) | Apparatus and method for detecting http botnet based on densities of web transactions | |
| CN104618377B (zh) | 基于NetFlow的僵尸网络检测***与检测方法 | |
| CN101702660A (zh) | 异常域名检测方法及*** | |
| EP3905622A1 (en) | Botnet detection method and system, and storage medium | |
| CN103491069A (zh) | 网络数据包的过滤方法 | |
| CN102801709A (zh) | 一种钓鱼网站识别***及方法 | |
| CN101572701A (zh) | 针对DNS服务的抗DDoS攻击安全网关*** | |
| CN103685224A (zh) | 网络入侵检测方法 | |
| CN104579974A (zh) | 面向ndn中名字查找的哈希布鲁姆过滤器及数据转发方法 | |
| CN100352208C (zh) | 一种大型网站数据流的检测与防御方法 | |
| CN105721494A (zh) | 一种异常流量攻击检测处置的方法和装置 | |
| CN105491018A (zh) | 一种基于dpi技术的网络数据安全性分析***及方法 | |
| CN101834763B (zh) | 高速网络环境下多类型大流并行测量方法 | |
| CN107018136A (zh) | 一种arp攻击的检测方法及装置 | |
| CN103685221A (zh) | 网络入侵检测方法 | |
| CN103685222A (zh) | 基于确定性有穷状态自动机的数据匹配检测方法 | |
| Feng et al. | A behavior-based method for detecting distributed scan attacks in darknets | |
| CN106209907A (zh) | 一种检测恶意攻击的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: CHENGDU CITY HUAWEI SAIMENTEKE SCIENCE CO., LTD. Free format text: FORMER OWNER: HUAWEI TECHNOLOGY CO., LTD. Effective date: 20090424 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20090424 Address after: Qingshui River District, Chengdu high tech Zone, Sichuan Province, China: 611731 Applicant after: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. Address before: Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Province, China: 518129 Applicant before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220823 Address after: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee after: HUAWEI TECHNOLOGIES Co.,Ltd. Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |