CN109040140A - 一种慢速攻击检测方法及装置 - Google Patents
一种慢速攻击检测方法及装置 Download PDFInfo
- Publication number
- CN109040140A CN109040140A CN201811203799.9A CN201811203799A CN109040140A CN 109040140 A CN109040140 A CN 109040140A CN 201811203799 A CN201811203799 A CN 201811203799A CN 109040140 A CN109040140 A CN 109040140A
- Authority
- CN
- China
- Prior art keywords
- attack
- message
- value
- threshold value
- slow speed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
公开了一种慢速攻击检测方法及装置。一种慢速攻击检测方法,其特征在于,所述方法包括:根据预设的攻击值计算规则,确定用于计算攻击值的预设攻击特征;确定接收到的报文中各预设攻击特征的值,并根据所述特征值计算所述报文的攻击值;比较所计算的攻击值是否大于预设攻击阈值;在所计算的攻击值大于预设攻击阈值的情况下,确定所述报文为慢速攻击报文,并计算新攻击阈值;所述新攻击阈值用于后续的慢速攻击检测,且所述新攻击阈值不大于旧攻击阈值。
Description
技术领域
本说明书实施例涉及网络通信技术领域,尤其涉及一种慢速攻击检测方法及装置。
背景技术
随着网络的高速发展,网络安全问题也日渐增多。DDoS(Distributed Denial ofService,分布式拒绝服务)攻击是目前最强大、最难防御的攻击之一,其主要目的是让指定目标无法提供正常服务。以往的DDoS攻击主要以单一报文的大流量攻击为主,近几年来已演变为慢速攻击,该慢速攻击更具有隐蔽性,是对正常网络协议的变形,完全符合协议要求,因此,对慢速攻击的防护更加困难。
慢速攻击主要是通过以较小的数据量、较低的速率,维持与服务器的连接,从而消耗服务器资源。现有技术中对慢速攻击的检测,主要通过检测请求数据的大小、服务器响应的时间与速率等属性,判断是否为慢速攻击,因此存在一定的误报率。
发明内容
有鉴于此,本说明书实施例提供一种慢速攻击检测方法及装置,技术方案如下:
一种慢速攻击检测方法,其特征在于,所述方法包括:
根据预设的攻击值计算规则,确定用于计算攻击值的预设攻击特征;
确定接收到的报文中各预设攻击特征的值,并根据所述特征值计算所述报文的攻击值;
比较所计算的攻击值是否大于预设攻击阈值;
在所计算的攻击值大于预设攻击阈值的情况下,确定所述报文为慢速攻击报文,并计算新攻击阈值;所述新攻击阈值用于后续的慢速攻击检测,且所述新攻击阈值不大于旧攻击阈值。
一种慢速攻击检测装置,其特征在于,所述装置包括:
特征确定模块,用于根据预设的攻击值计算规则,确定用于计算攻击值的预设攻击特征;
攻击值计算模块,用于确定接收到的报文中各预设攻击特征的值,并根据所述特征值计算所述报文的攻击值;
攻击值比较模块,用于比较所计算的攻击值是否大于预设攻击阈值;
攻击确定模块,用于在所计算的攻击值大于预设攻击阈值的情况下,确定所述报文为慢速攻击报文;
阈值更新模块,用于在所计算的攻击值大于预设攻击阈值的情况下,计算新攻击阈值;所述新攻击阈值用于后续的慢速攻击检测,且所述新攻击阈值不大于旧攻击阈值。
本说明书实施例所提供的技术方案,预先提取将各类慢速攻击的特征,针对接收到的报文,根据是否具有、符合慢速攻击的特征,计算该报文的攻击值,从而根据该攻击值的大小判断本次接收到的报文是否为慢速攻击报文,并且,随着同一发送端发送的攻击报文次数的增加,被认定为攻击报文的攻击值也将变小,从而动态、灵活地检测慢速攻击,减小误报率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书实施例。
此外,本说明书实施例中的任一实施例并不需要达到上述的全部效果。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书实施例中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本说明书实施例慢速攻击检测方法的流程示意图;
图2是本说明书实施例慢速攻击检测装置的结构示意图;
图3是本说明书实施例攻击值计算模块的一种结构示意图;
图4是本说明书实施例攻击值计算模块的另一种结构示意图;
图5是本说明书实施例攻击值计算模块的又一种结构示意图。
具体实施方式
为了使本领域技术人员更好地理解本说明书实施例中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行详细地描述,显然,所描述的实施例仅仅是本说明书的一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于保护的范围。
慢速攻击主要是通过以较小的数据量、较低的速率,维持与服务器的连接,从而消耗服务器资源。主要包括Slow headers、Slow body及Slow read三类。
Slow headers攻击的原理是,因为HTTP头部包含了一些应用可能用到的重要信息,服务器必须在接收完所有的HTTP头部以后才能处理HTTP请求中的数据。服务器必须收到2个连续的\r\n,即接收到“\r\n\r\n”时才会认为HTTP头部发送完毕,从而开始处理。因此,作为攻击者的发送端将发起一个HTTP请求,并一直不停的发送HTTP头部,从而消耗服务器的连接和内存资源。
Slow body攻击的原理是,作为攻击者的发送端向服务器发送一个HTTP POST请求,该请求的Content-Length头部值很大,因此服务器以为该端需要发送很大的数据,因而一直保持连接准备接收数据,但攻击者每次只发送很少量的数据,使该连接一直保持存活,从而消耗服务器大量资源。
Slow read攻击的原理是,作为攻击者的发送端与服务器建立连接并发送了一个HTTP请求建立连接,然后一直保持该连接,并以很低的速度读取服务器的响应数据,以消耗服务器的连接和内存资源。
现有技术中对上述慢速攻击的检测方案,主要包括2种。
第一种是通过mod_reqtimeout模块,配置接收HTTP头部和HTTP body的超时时间和最小速率,若发送端不能在配置时间内发送头部或body数据,则可以采取返回408REQUEST TIME OUT错误等手段进行防护。
另一种是通过mod_qos模块,配置HTTP请求阈值,若在一定的周期内,请求访问量过大,超过了阈值,则可以采取一定的防护手段。
上述2种检测方案中,对超时时间、最小速率或者请求阈值的配置均较为单一,若配置的数值较为严格,则误报率较高,而若配置的数值较为宽松,则无法有效检测到攻击并进行防护。
针对上述技术问题,本说明书实施例提供一种慢速攻击检测方法,参见图1所示,该方法可以包括以下步骤:
S101,根据预设的攻击值计算规则,确定用于计算攻击值的预设攻击特征;
根据前述介绍的3类慢速攻击的方式,可以确定检测时需要攻击的特征。例如,针对Slow headers攻击,可以将“\r\n\r\n”预先设置为攻击特征;又如,针对Slow body攻击,可以将“Content-Length”预先设置为攻击特征;等等,可以理解的是,本说明书实施例中对于具体的预设攻击特征不需要进行限定,本领域技术人员可以根据实际需求选取与设定。
S102,确定接收到的报文中各预设攻击特征的值,并根据所述特征值计算所述报文的攻击值;
在本说明书实施例的一种具体实施方式中,可以首先确定接收到的报文的长度,并判断所确定的报文长度是否为预设长度值,例如,判断请求包数据长度是否为0。
在所确定的报文长度为预设长度值的情况下,可以进一步判断所述报文是否为确认(ACK)报文。此外,传输数据时通过窗口大小控制数据流量,因此还可以判断所述报文的接收窗口值是否为预设窗口值,如是否为0。
在所述报文为确认报文且接收窗口值为预设窗口值的情况下,根据所述预设长度值、确认报文类型及预设窗口值,得到对应的攻击特征的值。
在所确定的报文长度不为预设长度值的情况下,可以进一步判断所述报文是否包括预设字符串。例如,是否包括“\r\n\r\n”,如果包括,则可以确定该报文不为Slowheaders攻击报文;如果不包括,则可以进一步地判断其他特征。
具体地,在所述报文包括预设字符串的情况下,判断所述报文中是否包括头信息与负载。在所述报文中仅包括头信息的情况下,可以只记录所述头信息中的预设字段值,如Content-Length字段值,并且可以确定该报文非慢速攻击报文,不继续进行检测;在所述报文中包括头信息与负载的情况下,记录所述头信息中的预设字段值(如Content-Length字段值)及所包括负载长度的值,并且可以确定该报文非慢速攻击报文,不继续进行检测。
而在所述报文中仅包括负载的情况下,则需要检测服务器是否受到了Slow body攻击,具体地,首先确定所述报文对应的上一请求报文,根据本报文的负载长度与所述上一请求报文的负载长度,得到总负载长度,比较总负载长度与所述上一请求报文的头信息中的预设字段值,例如,比较总负载长度与上一请求报文的头信息中的Content-Length字段值(在检测上一报文时已进行了记录),如果总负载长度小于该Content-Length字段值,则可能是受到了Slow body攻击,即根据比较结果与所述请求报文类型,得到对应的攻击特征的值。
在所述报文不包括预设字符串的情况下,可以进一步地判断其他特征,具体地,可以首先确定所述报文的最大分段长度,然后比较所述报文长度是否小于所述最大分段长度,若是,则根据所述报文长度与所述最大分段长度,得到对应的攻击特征的值。
在检测确定接收到的报文中各预设攻击特征的值后,便可以根据所述特征值,基于预设的攻击值计算规则,计算该报文的攻击值。
例如,可以通过检测到的各特征,如“报文长度小于最大分段长度”、“总负载长度小于Content-Length字段值”、“包括预设字符串”等等,确定可能的攻击类型。而预设的攻击值计算规则中,可以预先为各类攻击类型设置对应的加权值或其他计算系数,从而通过类型的加权运算或其他运算求得总的攻击值。
又例如,预设的攻击值计算规则中,可以预先为各预设攻击特征设置计算系数,从而根据检测后该报文中符合或包括的攻击特征,结合计算系数,求得总的攻击值。
S103,比较所计算的攻击值是否大于预设攻击阈值;
S104,在所计算的攻击值大于预设攻击阈值的情况下,确定所述报文为慢速攻击报文,并计算新攻击阈值;所述新攻击阈值用于后续的慢速攻击检测,且所述新攻击阈值不大于旧攻击阈值。
在本说明书实施例的一种具体实施方式中,在确定所述报文为慢速攻击报文的情况下,记录该报文的发送端标识,如发送端的IP地址、MAC地址等。
从而,在每次需要计算新攻击阈值时,可以首先确定所述报文的发送端标识,然后根据预先记录的发送端标识,确定本报文对应发送端的攻击次数,并根据所述攻击次数与攻击阈值,计算新攻击阈值,其中所述新攻击阈值与攻击次数负相关、且与旧攻击阈值正相关。
例如,假设某IP地址发送确定为慢速攻击报文的次数共n次,当前的攻击阈值为Y,并且预设计算基数m(m>1),则新攻击阈值Y’的计算公式可以为:
通过更新攻击阈值,使得对于是否为慢速攻击报文的检测,与攻击者发送慢速攻击报文的次数产生正相关,从而更灵活且更准确地检测到慢速攻击。
在本说明书实施例的一种具体实施方式中,还可以记录与计算多次攻击之间的时间间隔与持续时间。具体地,可以在确定所述报文为慢速攻击报文的情况下,记录该报文的发送端标识,并将当前时间记录为攻击时间,然后根据预先记录的攻击时间及发送端标识,确定本报文对应的发送端是否存在已记录的攻击时间,若是,则计算上一次攻击时间与本次攻击时间之间的时间间隔,并根据所述时间间隔与预设持续时间阈值的关系,确定对所述发送端的对应攻击处理操作。
例如,判断所述时间间隔是否不小于预设持续时间阈值,若是,则将所述发送端标识加入黑名单。还可以预先设置黑名单的封禁时长,并统计加入黑名单的时长,如果时长达到了封禁时长,则可以接触封禁。
对于发送端标识与攻击时间的记录,可以通过预先建立的哈希表进行记录,具体地,可以将不同的发送端作为一个节点,存入该哈希表中,并将攻击时间存入对应的节点,从而可以通过哈希表中的节点,记录与确定不同发送端向服务器发送慢速攻击报文的次数与时间。
并且,为了减轻服务器检测慢速攻击的负担,还可以设置检测周期,若同一发送端向服务器发送确定为攻击报文的时间间隔过长,超出了检测周期,则不进行更新攻击阈值、加入黑名单封禁等操作。
在本说明书实施例的一种具体实施方式中,还可以在确定所述报文为慢速攻击报文的情况下,根据所确定的各预设攻击特征的值,确定本次慢速攻击的攻击类型,并根据预先设定的攻击类型与防护动作的对应关系,采取本次攻击类型对应的防护动作。
其中,所述防护动作包括:阻断动作和/或告警动作;所述阻断动作用于阻断所述报文的发送端与本端的连接,如发送RST包;所述告警动作用于通过预设方式发出受到慢速攻击的告警,如在安全设备发送日志。
可见,应用本说明书提供的慢速攻击检测方案,可以通过各类慢速攻击的特点,计算接收到的报文的攻击值,与预设的攻击阈值进行比较,确定该报文是否可能为慢速攻击报文,并且,若同一发送端在短期内多次发送慢速攻击报文,则对其的攻击阈值将逐渐减小,即对其的检测将逐渐严格,从而实现更灵活且更准确的慢速攻击检测,在降低误报率与提高检测严格性之间实现平衡。
相应于上述方法实施例,本说明书实施例还提供一种慢速攻击检测装置,参见图2所示,该装置可以包括:
特征确定模块110,用于根据预设的攻击值计算规则,确定用于计算攻击值的预设攻击特征;
攻击值计算模块120,用于确定接收到的报文中各预设攻击特征的值,并根据所述特征值计算所述报文的攻击值;
攻击值比较模块130,用于比较所计算的攻击值是否大于预设攻击阈值;
攻击确定模块140,用于在所计算的攻击值大于预设攻击阈值的情况下,确定所述报文为慢速攻击报文;
阈值更新模块150,用于在所计算的攻击值大于预设攻击阈值的情况下,计算新攻击阈值;所述新攻击阈值用于后续的慢速攻击检测,且所述新攻击阈值不大于旧攻击阈值。
在本说明书实施例的一种具体实施方式中,参见图3所示,所述攻击值计算模块120,可以包括:
第一判断子模块121,用于确定接收到的报文的长度,判断所确定的报文长度是否为预设长度值;
第二判断子模块122,用于在所确定的报文长度为预设长度值的情况下,判断所述报文是否为确认报文及所述报文的接收窗口值是否为预设窗口值;
特征值确定子模块123,用于在所述报文为确认报文且接收窗口值为预设窗口值的情况下,根据所述预设长度值、确认报文类型及预设窗口值,得到对应的攻击特征的值。
在本说明书实施例的一种具体实施方式中,参见图4所示,所述攻击值计算模块120,还可以包括:
第三判断子模块124,用于在所确定的报文长度不为预设长度值的情况下,判断所述报文是否包括预设字符串;
第四判断子模块125,用于在所述报文包括预设字符串的情况下,判断所述报文中是否包括头信息与负载;
所述特征值确定子模块123,还用于在所述报文中仅包括负载的情况下,确定所述报文对应的上一请求报文;根据本报文的负载长度与所述上一请求报文的负载长度,得到总负载长度;比较总负载长度与所述上一请求报文的头信息中的预设字段值,并根据比较结果与所述包括预设字符串,得到对应的攻击特征的值。
在本说明书实施例的一种具体实施方式中,参见图5所示,所述攻击值计算模块120,还可以包括:
预设值记录子模块126,用于在所述报文中仅包括头信息的情况下,记录所述头信息中的预设字段值;和/或在所述报文中包括头信息与负载的情况下,记录所述头信息中的预设字段值及所包括负载长度的值。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
虽然本说明书包含许多具体实施细节,但是这些不应被解释为限制任何发明的范围或所要求保护的范围,而是主要用于描述特定发明的具体实施例的特征。本说明书内在多个实施例中描述的某些特征也可以在单个实施例中被组合实施。另一方面,在单个实施例中描述的各种特征也可以在多个实施例中分开实施或以任何合适的子组合来实施。此外,虽然特征可以如上所述在某些组合中起作用并且甚至最初如此要求保护,但是来自所要求保护的组合中的一个或多个特征在一些情况下可以从该组合中去除,并且所要求保护的组合可以指向子组合或子组合的变型。
类似地,虽然在附图中以特定顺序描绘了操作,但是这不应被理解为要求这些操作以所示的特定顺序执行或顺次执行、或者要求所有例示的操作被执行,以实现期望的结果。在某些情况下,多任务和并行处理可能是有利的。此外,上述实施例中的各种***模块和组件的分离不应被理解为在所有实施例中均需要这样的分离,并且应当理解,所描述的程序组件和***通常可以一起集成在单个软件产品中,或者封装成多个软件产品。
由此,主题的特定实施例已被描述。其他实施例在所附权利要求书的范围以内。在某些情况下,权利要求书中记载的动作可以以不同的顺序执行并且仍实现期望的结果。此外,附图中描绘的处理并非必需所示的特定顺序或顺次顺序,以实现期望的结果。在某些实现中,多任务和并行处理可能是有利的。
以上所述仅为本说明书实施例的较佳实施例而已,并不用以限制本说明书实施例,凡在本说明书实施例的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书实施例保护的范围之内。
Claims (10)
1.一种慢速攻击检测方法,其特征在于,所述方法包括:
根据预设的攻击值计算规则,确定用于计算攻击值的预设攻击特征;
确定接收到的报文中各预设攻击特征的值,并根据所述特征值计算所述报文的攻击值;
比较所计算的攻击值是否大于预设攻击阈值;
在所计算的攻击值大于预设攻击阈值的情况下,确定所述报文为慢速攻击报文,并计算新攻击阈值;所述新攻击阈值用于后续的慢速攻击检测,且所述新攻击阈值不大于旧攻击阈值。
2.根据权利要求1所述的方法,其特征在于,所述确定接收到的报文中各预设攻击特征的值,包括:
确定接收到的报文的长度;
判断所确定的报文长度是否为预设长度值;
在所确定的报文长度为预设长度值的情况下,判断所述报文是否为确认报文及所述报文的接收窗口值是否为预设窗口值;
在所述报文为确认报文且接收窗口值为预设窗口值的情况下,根据所述预设长度值、确认报文类型及预设窗口值,得到对应的攻击特征的值。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在所确定的报文长度不为预设长度值的情况下,判断所述报文是否包括预设字符串;
在所述报文包括预设字符串的情况下,判断所述报文中是否包括头信息与负载;
在所述报文中仅包括负载的情况下,确定所述报文对应的上一请求报文;
根据本报文的负载长度与所述上一请求报文的负载长度,得到总负载长度;
比较总负载长度与所述上一请求报文的头信息中的预设字段值,并根据比较结果与所述包括预设字符串,得到对应的攻击特征的值。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在所述报文中仅包括头信息的情况下,记录所述头信息中的预设字段值;
和/或
在所述报文中包括头信息与负载的情况下,记录所述头信息中的预设字段值及所包括负载长度的值。
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在所述报文不包括预设字符串的情况下,确定所述报文的最大分段长度;
比较所述报文长度是否小于所述最大分段长度,若是,则根据所述报文长度与所述最大分段长度,得到对应的攻击特征的值。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在确定所述报文为慢速攻击报文的情况下,记录该报文的发送端标识;
所述计算新攻击阈值,包括:
确定所述报文的发送端标识;
根据预先记录的发送端标识,确定本报文对应发送端的攻击次数;
根据所述攻击次数与攻击阈值,计算新攻击阈值,其中所述新攻击阈值与攻击次数负相关、且与旧攻击阈值正相关。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在确定所述报文为慢速攻击报文的情况下,记录该报文的发送端标识,并将当前时间记录为攻击时间;
根据预先记录的攻击时间及发送端标识,确定本报文对应的发送端是否存在已记录的攻击时间;
若是,则计算上一次攻击时间与本次攻击时间之间的时间间隔,并根据所述时间间隔与预设持续时间阈值的关系,确定对所述发送端的对应攻击处理操作。
8.根据权利要求7所述的方法,其特征在于,所述根据所述时间间隔与预设持续时间阈值的关系,确定对所述发送端的对应攻击处理操作,包括:
判断所述时间间隔是否不小于预设持续时间阈值;
若是,则将所述发送端标识加入黑名单。
9.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在确定所述报文为慢速攻击报文的情况下,根据所确定的各预设攻击特征的值,确定本次慢速攻击的攻击类型;
根据预先设定的攻击类型与防护动作的对应关系,采取本次攻击类型对应的防护动作;
其中,所述防护动作包括:阻断动作和/或告警动作;
所述阻断动作用于阻断所述报文的发送端与本端的连接;
所述告警动作用于通过预设方式发出受到慢速攻击的告警。
10.一种慢速攻击检测装置,其特征在于,所述装置包括:
特征确定模块,用于根据预设的攻击值计算规则,确定用于计算攻击值的预设攻击特征;
攻击值计算模块,用于确定接收到的报文中各预设攻击特征的值,并根据所述特征值计算所述报文的攻击值;
攻击值比较模块,用于比较所计算的攻击值是否大于预设攻击阈值;
攻击确定模块,用于在所计算的攻击值大于预设攻击阈值的情况下,确定所述报文为慢速攻击报文;
阈值更新模块,用于在所计算的攻击值大于预设攻击阈值的情况下,计算新攻击阈值;所述新攻击阈值用于后续的慢速攻击检测,且所述新攻击阈值不大于旧攻击阈值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811203799.9A CN109040140B (zh) | 2018-10-16 | 2018-10-16 | 一种慢速攻击检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811203799.9A CN109040140B (zh) | 2018-10-16 | 2018-10-16 | 一种慢速攻击检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109040140A true CN109040140A (zh) | 2018-12-18 |
| CN109040140B CN109040140B (zh) | 2021-03-23 |
Family
ID=64613344
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811203799.9A Active CN109040140B (zh) | 2018-10-16 | 2018-10-16 | 一种慢速攻击检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109040140B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111478893A (zh) * | 2020-04-02 | 2020-07-31 | 中核武汉核电运行技术股份有限公司 | 一种慢速http攻击的检测方法 |
| CN112738099A (zh) * | 2020-12-28 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 一种检测慢速攻击的方法、装置、存储介质和电子设备 |
| CN112866233A (zh) * | 2021-01-14 | 2021-05-28 | 华南理工大学 | 一种防护慢速ddos攻击的方法、设备及介质 |
| CN113242260A (zh) * | 2021-06-09 | 2021-08-10 | 中国银行股份有限公司 | 攻击检测方法、装置、电子设备及存储介质 |
| CN114422272A (zh) * | 2022-03-28 | 2022-04-29 | 北京信安世纪科技股份有限公司 | 数据处理***、方法及服务端设备 |
| CN115242551A (zh) * | 2022-09-21 | 2022-10-25 | 北京中科网威信息技术有限公司 | 慢速攻击的防御方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101998400A (zh) * | 2009-08-12 | 2011-03-30 | ***通信集团天津有限公司 | 一种鉴权随机数检测方法及sim卡 |
| KR20130006750A (ko) * | 2011-06-20 | 2013-01-18 | 한국전자통신연구원 | 서비스 거부 공격 탐지 방법 및 장치 |
| US20130055375A1 (en) * | 2011-08-29 | 2013-02-28 | Arbor Networks, Inc. | Method and Protection System for Mitigating Slow HTTP Attacks Using Rate and Time Monitoring |
| CN105991509A (zh) * | 2015-01-27 | 2016-10-05 | 杭州迪普科技有限公司 | 会话处理方法及装置 |
| CN106471778A (zh) * | 2014-07-04 | 2017-03-01 | 日本电信电话株式会社 | 攻击检测装置、攻击检测方法以及攻击检测程序 |
-
2018
- 2018-10-16 CN CN201811203799.9A patent/CN109040140B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101998400A (zh) * | 2009-08-12 | 2011-03-30 | ***通信集团天津有限公司 | 一种鉴权随机数检测方法及sim卡 |
| KR20130006750A (ko) * | 2011-06-20 | 2013-01-18 | 한국전자통신연구원 | 서비스 거부 공격 탐지 방법 및 장치 |
| US20130055375A1 (en) * | 2011-08-29 | 2013-02-28 | Arbor Networks, Inc. | Method and Protection System for Mitigating Slow HTTP Attacks Using Rate and Time Monitoring |
| CN106471778A (zh) * | 2014-07-04 | 2017-03-01 | 日本电信电话株式会社 | 攻击检测装置、攻击检测方法以及攻击检测程序 |
| CN105991509A (zh) * | 2015-01-27 | 2016-10-05 | 杭州迪普科技有限公司 | 会话处理方法及装置 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111478893A (zh) * | 2020-04-02 | 2020-07-31 | 中核武汉核电运行技术股份有限公司 | 一种慢速http攻击的检测方法 |
| CN111478893B (zh) * | 2020-04-02 | 2022-06-28 | 中核武汉核电运行技术股份有限公司 | 一种慢速http攻击的检测方法 |
| CN112738099A (zh) * | 2020-12-28 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 一种检测慢速攻击的方法、装置、存储介质和电子设备 |
| CN112738099B (zh) * | 2020-12-28 | 2022-07-12 | 北京天融信网络安全技术有限公司 | 一种检测慢速攻击的方法、装置、存储介质和电子设备 |
| CN112866233A (zh) * | 2021-01-14 | 2021-05-28 | 华南理工大学 | 一种防护慢速ddos攻击的方法、设备及介质 |
| CN113242260A (zh) * | 2021-06-09 | 2021-08-10 | 中国银行股份有限公司 | 攻击检测方法、装置、电子设备及存储介质 |
| CN113242260B (zh) * | 2021-06-09 | 2023-02-21 | 中国银行股份有限公司 | 攻击检测方法、装置、电子设备及存储介质 |
| CN114422272A (zh) * | 2022-03-28 | 2022-04-29 | 北京信安世纪科技股份有限公司 | 数据处理***、方法及服务端设备 |
| CN115242551A (zh) * | 2022-09-21 | 2022-10-25 | 北京中科网威信息技术有限公司 | 慢速攻击的防御方法、装置、电子设备及存储介质 |
| CN115242551B (zh) * | 2022-09-21 | 2022-12-06 | 北京中科网威信息技术有限公司 | 慢速攻击的防御方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109040140B (zh) | 2021-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109040140A (zh) | 一种慢速攻击检测方法及装置 | |
| US11924170B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
| CN105577608B (zh) | 网络攻击行为检测方法和装置 | |
| US10771501B2 (en) | DDoS attack defense method, system, and related device | |
| CN107645478B (zh) | 网络攻击防御***、方法及装置 | |
| Tang et al. | SIP flooding attack detection with a multi-dimensional sketch design | |
| Gasior et al. | Exploring covert channel in android platform | |
| CN104796405B (zh) | 反弹连接检测方法和装置 | |
| CN108234516B (zh) | 一种网络泛洪攻击的检测方法及装置 | |
| CN109743314A (zh) | 网络异常的监控方法、装置、计算机设备及其存储介质 | |
| CN110858831B (zh) | 安全防护方法、装置以及安全防护设备 | |
| Wang et al. | Walkie-talkie: An effective and efficient defense against website fingerprinting | |
| CN108616488A (zh) | 一种攻击的防御方法及防御设备 | |
| Liu et al. | Real-time diagnosis of network anomaly based on statistical traffic analysis | |
| CN107454065A (zh) | 一种UDP Flood攻击的防护方法及装置 | |
| CN104125213A (zh) | 一种防火墙抗分布式拒绝服务ddos攻击的方法和装置 | |
| Gharvirian et al. | Neural network based protection of software defined network controller against distributed denial of service attacks | |
| CN105939321B (zh) | 一种dns攻击检测方法及装置 | |
| Sree et al. | Detection of http flooding attacks in cloud using dynamic entropy method | |
| Huang et al. | Detecting stepping-stone intruders by identifying crossover packets in SSH connections | |
| Mohammadi et al. | Software defined network-based HTTP flooding attack defender | |
| Al-Dayil et al. | Detecting social media mobile botnets using user activity correlation and artificial immune system | |
| Shan-Shan et al. | The APT detection method based on attack tree for SDN | |
| Bhale et al. | An adaptive and lightweight solution to detect mixed rate ip spoofed ddos attack in iot ecosystem | |
| Khirwadkar | Defense against network attacks using game theory |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210610 Address after: 310051 05, room A, 11 floor, Chung Cai mansion, 68 Tong Xing Road, Binjiang District, Hangzhou, Zhejiang. Patentee after: Hangzhou Dip Information Technology Co.,Ltd. Address before: 6 / F, Zhongcai building, 68 Tonghe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee before: Hangzhou DPtech Technologies Co.,Ltd. |
|
| TR01 | Transfer of patent right |