CN116232767B - DDoS防御方法、装置、计算机设备及存储介质 - Google Patents

DDoS防御方法、装置、计算机设备及存储介质 Download PDF

Info

Publication number
CN116232767B
CN116232767B CN202310500459.7A CN202310500459A CN116232767B CN 116232767 B CN116232767 B CN 116232767B CN 202310500459 A CN202310500459 A CN 202310500459A CN 116232767 B CN116232767 B CN 116232767B
Authority
CN
China
Prior art keywords
terminal
tested
access information
access
trusted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310500459.7A
Other languages
English (en)
Other versions
CN116232767A (zh
Inventor
柳遵梁
王月兵
毛菲
周杰
闻建霞
覃锦端
刘聪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Meichuang Technology Co ltd
Original Assignee
Hangzhou Meichuang Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Meichuang Technology Co ltd filed Critical Hangzhou Meichuang Technology Co ltd
Priority to CN202310500459.7A priority Critical patent/CN116232767B/zh
Publication of CN116232767A publication Critical patent/CN116232767A/zh
Application granted granted Critical
Publication of CN116232767B publication Critical patent/CN116232767B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例公开了DDoS防御方法、装置、计算机设备及存储介质。方法包括:解析可信终端的数据包信息,形成可信终端ID集合;采集对应的可信终端的访问信息特征,并生成可信终端访问信息特征库;确定待测终端指纹信息;确定待测终端访问信息特征;将待测终端指纹信息与可信终端ID集合进行ID匹配,以判断待测终端是否可信;当待测终端不可信且待测终端的通信时间或固定访问次数不符合设定条件;以及当待测终端可信而待测终端访问信息特征与可信终端访问信息特征库内的元素不一一对应匹配,确定待测终端的访问存在DDoS攻击行为,进行异常处理。通过实施本发明实施例的方法可实现精准判别DDoS攻击行为。

Description

DDoS防御方法、装置、计算机设备及存储介质
技术领域
本发明涉及计算机,更具体地说是指DDoS防御方法、装置、计算机设备及存储介质。
背景技术
DDoS(分布式拒绝服务攻击,Distributed denial of service attack)是指依靠分布式的攻击源发起的庞大规模的拒绝服务攻击。这种攻击是通过操纵大量的“僵尸”计算机,创建一个攻击网络,同时以猛烈的频率和速度对一个或多个目标发起攻击,从而成倍地提高拒绝服务攻击的威力。由于DDoS攻击会消耗网络带宽或***资源,导致网络或***过载,从而造成目标***或网络几近瘫痪,甚至于出现宕机。
在网络安全领域,DDoS以其隐蔽性和高效性成为最流行的攻击方法,攻击者不断提升攻击手段的复杂度和使用变幻多样的攻击手法,以高强度、新颖的手法持续获得显著的攻击效果。而现有的DDoS防御技术对难以缓解日益严峻的DDoS攻击形势。
因此,有必要设计一种新的方法,实现精准判别DDoS攻击行为,从而精准防御DDoS攻击行为。
发明内容
本发明的目的在于克服现有技术的缺陷,提供DDoS防御方法、装置、计算机设备及存储介质。
为实现上述目的,本发明采用以下技术方案:DDoS防御方法,包括:
获取可信终端发出的数据包信息;
解析所述数据包信息,以得到可信终端指纹信息,形成可信终端ID集合;
根据可信终端ID集合采集对应的可信终端的访问信息特征,并根据所述访问信息特征生成可信终端访问信息特征库;
获取待测终端发出的待测数据包信息以及待测终端访问信息;
解析所述待测数据包信息,以得到待测终端指纹信息;
解析所述待测终端访问信息,以得到待测终端访问信息特征;
将所述待测终端指纹信息与所述可信终端ID集合进行ID匹配,以判断所述待测终端是否可信;
若所述待测终端不可信,则根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件;
若所述待测终端的通信时间或固定访问次数不符合设定条件,则确定所述待测终端的访问存在DDoS攻击行为,将所述待测终端的访问进行异常处理;
若所述待测终端可信,则判断所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素是否一一对应匹配;
若所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配,则执行所述确定所述待测终端的访问存在DDoS攻击行为,将所述待测终端的访问进行异常处理。
其进一步技术方案为:所述根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件之后,还包括:
若所述待测终端的通信时间以及固定访问次数都符合设定条件,则确定所述待测终端的访问不存在DDoS攻击行为,放行所述待测终端的访问。
其进一步技术方案为:所述解析所述数据包信息,以得到可信终端指纹信息,形成可信终端ID集合,包括:
对所述数据包信息根据IP地址、MAC地址、业务数据包大小范围、序列号进行特征解析,以得到可信终端指纹;
对所述可信终端指纹进行计算,以生成可信终端ID号;
统计所有的可信终端ID号,以得到可信终端ID号集合。
其进一步技术方案为:所述根据可信终端ID集合采集对应的可信终端的访问信息特征,并根据所述访问信息特征生成可信终端访问信息特征库,包括:
通过agent软件采集可信终端ID集合中对应的可信终端在学习时间内的访问信息特征;
统计可信终端ID号集合所对应的可信终端上的每一条访问信息特征,以得到访问信息特征集合;
对所述访问信息特征集合内的访问信息特征进行去重,以得到可信终端访问信息特征库。
其进一步技术方案为:所述根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件,包括:
根据所述待测终端访问信息特征判断所述待测终端的通信时间是否在固定通信时间段内;
若所述待测终端的通信时间不在固定通信时间段内,则确定待测终端的通信时间不符合设定条件;
若所述待测终端的通信时间在固定通信时间段内,则确定待测终端的通信时间符合设定条件;
放行所述待测终端的访问信息,并记录所述待测终端针对访问目标在单位时间内的访问次数,以得到访问频率;
判断所述访问频率是否在设定的单位时间的固定访问次数范围内;
若所述访问频率在设定的单位时间的固定访问次数范围内,则确定所述待测终端的固定访问次数符合设定要求;
若所述访问频率不在设定的单位时间的固定访问次数范围内,则确定所述待测终端的固定访问次数不符合设定要求。
其进一步技术方案为:所述判断所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素是否一一对应匹配,包括:
判断所述待测终端访问信息特征中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素是否一致;
若所述待测终端访问信息特征中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素不一致,则确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配;
若所述待测终端访问信息特征中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素一致,则判断所述待测终端访问信息特征中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素是否一致;
若所述待测终端访问信息特征中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素不一致,则执行所述确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配;
若所述待测终端访问信息特征中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素一致,则判断所述待测终端访问信息特征中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素是否一致;
若所述待测终端访问信息特征中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素不一致,则执行所述确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配;
若所述待测终端访问信息特征中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素一致,则确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素一一对应匹配。
本发明还提供了DDoS防御装置,包括:
可信信息获取单元,用于获取可信终端发出的数据包信息;
第一解析单元,用于解析所述数据包信息,以得到可信终端指纹信息,形成可信终端ID集合;
采集单元,用于根据可信终端ID集合采集对应的可信终端的访问信息特征,并根据所述访问信息特征生成可信终端访问信息特征库;
待测信息获取单元,用于获取待测终端发出的待测数据包信息以及待测终端访问信息;
第二解析单元,用于解析所述待测数据包信息,以得到待测终端指纹信息;
第三解析单元,用于解析所述待测终端访问信息,以得到待测终端访问信息特征;
ID匹配单元,用于将所述待测终端指纹信息与所述可信终端ID集合进行ID匹配,以判断所述待测终端是否可信;
第一判断单元,用于若所述待测终端不可信,则根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件;
第一确定单元,用于若所述待测终端的通信时间或固定访问次数不符合设定条件,则确定所述待测终端的访问存在DDoS攻击行为,将所述待测终端的访问进行异常处理;
第二判断单元,用于若所述待测终端可信,则判断所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素是否一一对应匹配;若所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配,则执行所述确定所述待测终端的访问存在DDoS攻击行为,将所述待测终端的访问进行异常处理。
其进一步技术方案为:还包括:
第二确定单元,用于若所述待测终端的通信时间以及固定访问次数都符合设定条件,则确定所述待测终端的访问不存在DDoS攻击行为,放行所述待测终端的访问。
本发明还提供了一种计算机设备,所述计算机设备包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现上述的方法。
本发明还提供了一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法。
本发明与现有技术相比的有益效果是:本发明通过构建可信终端ID集合以及可信终端访问信息特征库,针对待测终端发出的待测数据包信息以及待测终端访问信息,进行解析,并将解析结果与可信终端ID集合以及可信终端访问信息特征库进行匹配,以防御存在DDoS攻击行为的终端的访问,实现利用可信终端指纹信息策略,以可信终端访问信息特征库为依托,自动化判别可信终端及终端访问信息,从而精准判别DDoS攻击行为。
下面结合附图和具体实施例对本发明作进一步描述。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的DDoS防御方法的应用场景示意图;
图2为本发明实施例提供的DDoS防御方法的流程示意图;
图3为本发明实施例提供的DDoS防御装置300的示意性框图;
图4为本发明实施例提供的计算机设备的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
请参阅图1和图2,图1为本发明实施例提供的DDoS防御方法的应用场景示意图。图2为本发明实施例提供的DDoS防御方法的示意性流程图。该DDoS防御方法应用于服务器中。该服务器与终端进行数据交互,对终端向服务器发出的特定数据包信息进行终端指纹信息收集,生成可信终端ID;基于可信终端ID进行其访问目标、通信时间段、访问频率学习,生成可信终端访问信息特征库;当检测到终端向服务器发送特定数据包及终端访问信息时,依次进行可信终端ID匹配,可信终端访问信息特征库匹配,根据匹配结果判定是否存在DDoS攻击,并对所述DDoS攻击进行异常告警与阻断,实现精准判别DDoS攻击。
图2是本发明实施例提供的DDoS防御方法的流程示意图。如图2所示,该方法包括以下步骤S110至S210。
S110、获取可信终端发出的数据包信息。
在本实施例中,服务端需在时间U内统计终端群组T发出的特定数据包,即针对终端群组T{T1,T2,……,Tn},其中T1,T2,……,Tn为各终端代号,获取各终端在时间U内发出的特定数据包,生成终端特定数据包集合RT{RT1,RT2,……,RTn};U为指定的时间段,默认为一定值,可人工设定。
S120、解析所述数据包信息,以得到可信终端指纹信息,形成可信终端ID集合。
在本实施例中,可信终端ID集合是指所有的可信终端指纹信息构成的集合。
在一实施例中,上述的步骤S120可包括步骤S121~S123。
S121、对所述数据包信息根据IP地址、MAC地址、业务数据包大小范围、序列号进行特征解析,以得到可信终端指纹。
具体地,针对服务器收集到的终端特定数据包集合RT{RT1,RT2,……,RTn},根据IP地址、MAC地址、业务数据包大小范围、序列号四个特征进行解析,生成特定数据包RTn所对应的终端Tn的终端指纹RTn{ARTn:BRTn:CRTn:DRTn},其中ARTn为特定数据包RTn所对应的终端Tn的IP地址,BRTn为特定数据包RTn所对应的终端Tn的MAC地址,CRTn为特定数据包RTn所对应的终端Tn的业务数据包大小范围,DRTn为特定数据包RTn所对应的终端Tn的序列号。
S122、对所述可信终端指纹进行计算,以生成可信终端ID号。
在本实施例中,存在算法F1,该算法针对特定数据包RTn所对应的终端Tn的终端指纹RTn{ARTn:BRTn:CRTn:DRTn}进行计算,并生成特定数据包RTn所对应的终端Tn的终端ID号ETn
S123、统计所有的可信终端ID号,以得到可信终端ID号集合。
在本实施例中,统计经过算法F1生成的特定数据包RTn所对应的终端Tn的终端ID号,生成可信终端ID号集合ET{ET1,ET2,……,ETn}。
S130、根据可信终端ID集合采集对应的可信终端的访问信息特征,并根据所述访问信息特征生成可信终端访问信息特征库。
在本实例中,可信终端访问信息特征库是指可信终端ID号集合内的每一条访问信息特征构成的集合。
在一实施例中,上述的步骤S130可包括步骤S131~S133。
S131、通过agent软件采集可信终端ID集合中对应的可信终端在学习时间内的访问信息特征。
在本实施例中,通过在可信终端ID号ET{ET1,ET2,……,ETn}所对应的可信终端中安装agent软件,采集可信终端在学习时间Q内的访问信息特征,包括终端的访问目标、通信时间段、单位时间内的访问次数。设当前可信终端的ID号为ETn,其终端上的1条访问信息特征为GyETn{AGyETn,{AGyETn:BGyETn},{AGyETn:BGyETn:CGyETn}},其中AGyETn为可信终端的ID号ETn所对应的可信终端上的1个访问目标,BGyETn为其访问目标所对应的通信时间段,CGyETn为单位时间内(默认单位:分钟)针对其访问目标的访问次数。
S132、统计可信终端ID号集合所对应的可信终端上的每一条访问信息特征,以得到访问信息特征集合。
在本实施例中,统计可信终端的ID号ETn所对应的可信终端上的每一条访问信息特征,生成可信终端的ID号ETn所对应的可信终端上的所有访问信息特征集合GETn{G1ETn,G2ETn,……,GyETn}。
S133、对所述访问信息特征集合内的访问信息特征进行去重,以得到可信终端访问信息特征库。
在本实施例中,统计可信终端ID号ET{ET1,ET2,……,ETn}所对应的可信终端的访问信息特征,生成所有可信终端的访问信息特征集合GET{GET1,GET2,……,GETn},并针对访问信息特征进行去重,生成全部且唯一的可信终端访问信息特征库W。
S140、获取待测终端发出的待测数据包信息以及待测终端访问信息。
在本实施例中,通过在服务器安装agent软件监控是否存在待检测访问信息,即待测终端访问信息。若存在待检测访问信息,则获取待测终端代号Tx,以及终端向服务器发出的待检测特定数据包S和待测终端访问信息K。
S150、解析所述待测数据包信息,以得到待测终端指纹信息。
在本实施例中,针对待测终端访问信息K的访问信息特征进行解析,采集访问信息特征GkTx{AGkTx,(AGkTx:BGkTx)},其中AGkTx为待测终端访问信息K的访问目标,BGkTx为访问目标所对应的通信时间。
S160、解析所述待测终端访问信息,以得到待测终端访问信息特征。
在本实施例中,针对待检测特定数据包S进行解析,采集其对应的待测终端Tx的终端指纹RSTx{ARSTx:BRSTx:CRSTx:DRSTx},ARSTx为待检测特定数据包S所对应的待测终端Tx的IP地址,BRSTx为待检测特定数据包S所对应的待测终端Tx的MAC地址,CRSTx为待检测特定数据包S所对应的待测终端Tx的业务数据包大小范围,DRSTx为待检测特定数据包S所对应的待测终端Tx的序列号。
S170、将所述待测终端指纹信息与所述可信终端ID集合进行ID匹配,以判断所述待测终端是否可信。
具体地,使用算法F1,针对待检测特定数据包S对应的待测终端Tx的终端指纹RSTx{ARSTx:BRSTx:CRSTx:DRSTx}进行计算,并生成待检测特定数据包S所对应的待测终端Tx的ID号ESTx
在本实施例中,存在算法F2{(ESTx,ET)},该算法针对待检测特定数据包S对应的终端ID号ESTx与可信终端ID号集合ET进行匹配,并判定是否为可信终端。
时,则F2{(ESTx,ET)}=0,认为待检测特定数据包S对应的待测终端Tx不可信,将进入算法F3和算法F4,进行固定通信时间段及单位时间内的固定访问次数判断;
当ESTx∈ET时,则F2{(ESTx,ET)}=1,认为待检测特定数据包S对应的待测终端Tx为可信终端,将依次进入算法F5、算法F6、算法F7,进行可信终端访问信息特征库匹配。
S180、若所述待测终端不可信,则根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件。
在一实施例中,上述的步骤S180可包括步骤S181~S187。
S181、根据所述待测终端访问信息特征判断所述待测终端的通信时间是否在固定通信时间段内;
S182、若所述待测终端的通信时间不在固定通信时间段内,则确定待测终端的通信时间不符合设定条件;
S183、若所述待测终端的通信时间在固定通信时间段内,则确定待测终端的通信时间符合设定条件;
S184、放行所述待测终端的访问信息,并记录所述待测终端针对访问目标在单位时间内的访问次数,以得到访问频率;
S185、判断所述访问频率是否在设定的单位时间的固定访问次数范围内。
在本实施例中,存在算法F3{(BGkTx,P)},该算法针对该算法针对待测终端Tx为不可信终端的前提下,将待测终端访问信息K的通信时间BGkTx与固定通信时间段P进行匹配,其中,P为指定的时间段,默认为一定值,可人工设定,并判定会否符合固定通信时间段;
时,则F3{(BGkTx,P)}=0,认为待测终端访问信息K的通信时间BGkTx不符合固定通信时间段,即存在DDoS攻击行为,将进行异常处理,拦截或告警该则终端访问信息;
当BGkTx∈P时,则F3{(BGkTx,P)}=1,认为待测终端访问信息K的通信时间BGkTx符合固定通信时间段,即该则终端访问信息正常,放行该则终端访问信息,同时记录待测终端访问信息K所对应的待测终端Tx针对访问目标AGkTx在单位时间(默认单位:分钟)内的访问次数CGkTx,并进入算法F4,进行访问频率判断。
S186、若所述访问频率在设定的单位时间的固定访问次数范围内,则确定所述待测终端的固定访问次数符合设定要求;
S187、若所述访问频率不在设定的单位时间的固定访问次数范围内,则确定所述待测终端的固定访问次数不符合设定要求。
在本实施例中,存在算法F4{(CGkTx,H)},该算法针对待测终端Tx为不可信终端且待测终端访问信息K的通信时间BGkTx符合固定通信时间段的前提下,将待测终端访问信息K所对应的待测终端Tx针对访问目标AGkTx在单位时间(默认单位:分钟)内的访问次数CGkTx与单位时间(默认单位:分钟)内的固定访问次数H(H为指定的阈值,默认为一定值,可人工设定)进行比对,并判定会否符合固定访问次数;
当CGkTx>H时,则F4{(CGkTx,H)}=0,认为待测终端访问信息K所对应的终端Tx针对访问目标AGkTx在单位时间内的访问次数CGkTx不在单位时间的固定访问次数范围内,即存在DDoS攻击行为,将进行异常处理,拦截或告警该则终端访问信息;
当CGkTx≤H时,则F4{(CGkTx,H)}=1,认为待测终端访问信息K所对应的待测终端Tx针对访问目标AGkTx在单位时间内的访问次数CGkTx在单位时间的固定访问次数范围内,即该则终端访问信息正常,放行该则终端访问信息。
S190、若所述待测终端的通信时间或固定访问次数不符合设定条件,则确定所述待测终端的访问存在DDoS攻击行为,将所述待测终端的访问进行异常处理;
S200、若所述待测终端可信,则判断所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素是否一一对应匹配。
在一实施例中,上述的步骤S200可包括步骤S201~S205。
S201、判断所述待测终端访问信息特征中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素是否一致;
S202、若所述待测终端访问信息特征中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素不一致,则确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配。
在本实施例中,存在算法F5{AGkTx,W[1]},该算法针对待测终端访问信息K的访问目标AGkTx与可信终端访问信息特征库W中每一条特征的第一个元素进行匹配,即在终端Tx为可信终端的前提下,将待测终端访问信息K的访问目标AGkTx与可信终端访问信息特征库W中的终端访问目标进行匹配;当 时,则F5{AGkTx,W[1]}=0,认为待测终端访问信息K的访问目标AGkTx与可信终端访问信息特征库W中的终端访问目标不匹配,即存在DDoS攻击行为,将进行异常处理,拦截或告警该则终端访问信息;当AGkTx∈W[1]时,则F5{AGkTx,W[1]}=1,认为待测终端访问信息K的访问目标AGkTx与可信终端访问信息特征库W中的终端访问目标匹配,即进入算法F6,进行可信终端访问信息特征库W中通信时间段的匹配。
S203、若所述待测终端访问信息特征中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素一致,则判断所述待测终端访问信息特征中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素是否一致;
在本实施例中,存在算法F6{(AGkTx:BGkTx),W[2]},该算法针对待测终端访问信息K的通信时间BGkTx与可信终端访问信息特征库W中每一条特征的第二个元素进行匹配,即在终端Tx为可信终端且符合可信终端访问信息特征库W中终端访问目标的前提下,将待测终端访问信息K的通信时间BGkTx与可信终端访问信息特征库W中的通信时间段进行匹配;
时,则F6{(AGkTx:BGkTx),W[2]}=0,认为待测终端访问信息K的通信时间BGkTx与可信终端访问信息特征库W中的通信时间段不匹配,即存在DDoS攻击行为,将进行异常处理,拦截或告警该则终端访问信息;
当BGkTx∈W[2]时,则F6{(AGkTx:BGkTx),W[2]}=1,认为待测终端访问信息K的通信时间BGkTx与可信终端访问信息特征库W中的通信时间段匹配,即该则终端访问信息正常,放行该则终端访问信息,同时记录待测终端访问信息K所对应的终端Tx针对访问目标AGkTx在单位时间(默认单位:分钟)内的访问次数CGkTx,并进入算法F7,进行可信终端访问信息特征库W中单位时间内的访问次数的匹配。
若所述待测终端访问信息特征中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素不一致,则执行所述步骤S202;
S204、若所述待测终端访问信息特征中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素一致,则判断所述待测终端访问信息特征中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素是否一致。
在本实施例中,存在算法F7{CGkTx,W[3]},该算法针对待测终端访问信息K所对应的待测终端Tx针对访问目标AGkTx在单位时间内的访问次数CGkTx与可信终端访问信息特征库W中每一条特征的第三个元素进行匹配,即在终端Tx为可信终端且符合可信终端访问信息特征库W中终端访问目标和通信时间段的前提下,将待测终端访问信息K所对应的终端Tx针对访问目标AGkTx在单位时间内的访问次数CGkTx与可信终端访问信息特征库W中的单位时间内针对其访问目标AGkTx的访问次数进行比对;
当CGkTx>W[3]时,则F7{CGkTx,W[3]}=0,认为待测终端访问信息K所对应的终端Tx针对访问目标AGkTx在单位时间内的访问次数CGkTx不在可信终端访问信息特征库W中的单位时间内针对其访问目标AGkTx的访问次数范围内,即存在DDoS攻击行为,将进行异常处理,拦截或告警该则终端访问信息;
当CGkTx≤W[3]时,则F7{CGkTx,W[3]}=1,认为待测终端访问信息K所对应的终端Tx针对访问目标AGkTx在单位时间内的访问次数CGkTx在可信终端访问信息特征库W中的单位时间内针对其访问目标AGkTx的访问次数范围内,即该则终端访问信息正常,放行该则终端访问信息。
若所述待测终端访问信息特征中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素不一致,则执行所述步骤S202;
S205、若所述待测终端访问信息特征中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素一致,则确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素一一对应匹配。
若所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配,则执行所述步骤S190。
S210、若所述待测终端的通信时间以及固定访问次数都符合设定条件,则确定所述待测终端的访问不存在DDoS攻击行为,放行所述待测终端的访问。
若所述待测终端可信,则执行所述步骤S210;
若所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素一一对应匹配,则执行所述步骤S210。
举个例子:
在本实施例中,所述终端群组T包含10个终端,即T{T1,T2,……,T10}。服务端需获取各终端在时间U内发出的特定数据包,得到终端特定数据包集合RT{RT1,RT2,……,RT10}。
针对服务端收集到的终端特定数据包集合RT{RT1,RT2,……,RT10},根据IP地址、MAC地址、业务数据包大小范围、序列号四个特征进行解析,其中序列号为终端具有的唯一序列号,Windows***可通过“wmic bios get serialnumber”命令获得,Linux***可通过“dmidecode-t system|grep'Serial Number'”命令获得。在本实施例中,以终端特定数据包RT1为例,解析后得到特定数据包RT1所对应的终端T1的终端指纹RT1{ART1:BRT1:CRT1:DRT1}。以此类推,依次解析终端特定数据包集合RT{RT1,RT2,……,RT10}中每一个特定数据包的特征,最终得到终端群组T中每一台终端的终端指纹。
以特定数据包RT1所对应的终端T1的终端指纹RT1{ART1:BRT1:CRT1:DRT1}为例,经过算法F1计算后,得到特定数据包RT1所对应的终端T1的终端ID号ET1。以此类推,使用算法F1依次对终端群组T中每一台终端的终端指纹进行计算并得到各终端的终端ID号,最终生成可信终端ID号集合ET{ET1,ET2,……,ET10}。
以可信终端的ID号ET1所对应的可信终端为例,其终端上包含5条访问特征:
特征1:G1ET1{AGyET1,{AG1ET1:B1GyET1},{AG1ET1:BGyET1:CG1ET1}}
特征2:G2ET1{AG2ET1,{AG2ET1:BG2ET1},{AG2ET1:BG2ET1:CG2ET1}}
特征3:G3ET1{AG3ET1,{AG3ET1:BG3ET1},{AG3ET1:BG3ET1:CG3ET1}}
特征4:G4ET1{AG4ET1,{AG4ET1:BG4ET1},{AG4ET1:BG4ET1:CG4ET1}}
特征5:G5ET1{AG5ET1,{AG5ET1:BG5ET1},{AG5ET1:BG5ET1:CG5ET1}}。
统计可信终端的ID号ET1所对应的可信终端中的该5条访问信息特征,得到可信终端的ID号ET1所对应的可信终端上的所有访问信息特征集合GET1{G1ET1,G2ET1,G3ET1,G2ET1,G5ET1}。
依次统计可信终端ID号ET{ET1,ET2,……,ETn}所对应的每一台可信终端的访问信息特征,得到所有可信终端的访问信息特征集合GET{GET1,GET2,……,GET5}。并针对访问信息特征进行去重,得到全部且唯一的可信终端访问信息特征库W。
检测到终端T1发出的1个待检测特定数据包和1则待测终端访问信息,其内容如下:
终端T1的终端指纹RST1{ARST1:BRST1:CRST1:DRST1};
终端T1的待检测访问信息GkT1{AGkT1,(AGkT1:BGkT1)};
检测到终端T2发出的1个待检测特定数据包和1则待测终端访问信息,其内容如下:
终端T2的终端指纹RST2{ARST2:BRST2:CRST2:DRST2};
终端T2的待检测访问信息GkT2{AGkT2,(AGkT2:BGkT2)}。
使用算法F1,针对终端T1和终端T2的终端指纹进行计算,生成终端T1的ID号EST1以及终端T2的ID号EST2
则F2{(ESTx,ET)}=0,认为终端T1为不可信终端,则进入算法F3和算法F4,进行固定通信时间段及单位时间内的固定访问次数判断。
EST2∈ET,则F2{(ESTx,ET)}=1,认为终端T2为可信终端,则依次进入算法F5、算法F6、算法F7,进行可信终端访问信息特征库匹配。
在本实施例中,BGkT2∈P,则F3{(BGkTx,P)}=1,认为终端T1的待检测访问信息中的通信时间BGkT1符合固定通信时间段,则该则终端访问信息正常,放行该则终端访问信息。同时记录终端T1针对访问目标AGkT1在单位时间(默认单位:分钟)内的访问次数CGkT1,并进算法F4。
在终端T1为不可信终端且终端T1的待测终端访问信息中的通信时间BGkT1符合固定通信时间段的前提下,通过算法F4{(CGkTx,H)},将终端T1针对访问目标AGkT1在单位时间(默认单位:分钟)内的访问次数CGkT1与单位时间(默认单位:分钟)内的固定访问次数H(H为指定的阈值,默认为一定值,可人工设定)进行比对,并判定会否符合固定访问次数。
在本实施例中,CGkT1>H,则F4{(CGkTx,H)}=0,认为终端T1针对访问目标AGkT1在单位时间内的访问次数CGkT1不在单位时间的固定访问次数范围内,则存在DDoS攻击行为,将进行异常处理,拦截或告警该则终端访问信息。
通过算法F5{AGkTx,W[1]},将终端T2的待检测访问信息中的访问目标AGkT2与可信终端访问信息特征库W中每一条特征的第一个元素进行匹配,即在终端T2为可信终端的前提下,将终端T2的待检测访问信息中的访问目标AGkT2与可信终端访问信息特征库W中的终端访问目标进行匹配。
在本实施例中,AGkT2∈W[1],则F5{AGkTx,W[1]}=1,认为终端T2的待检测访问信息中的访问目标AGkT2与可信终端访问信息特征库W中的终端访问目标相匹配,则进入算法F6。
通过算法F6{(AGkTx:BGkTx),W[2]},将终端T2的待检测访问信息中针对访问目标AGkT2的通信时间BGkT2与可信终端访问信息特征库W中每一条特征的第二个元素进行匹配,即在终端T2为可信终端且符合可信终端访问信息特征库W中终端访问目标的前提下,将终端T2的待检测访问信息中针对访问目标AGkT2的通信时间BGkT2与可信终端访问信息特征库W中的通信时间段进行匹配。
在本实施例中,BGkT2∈W[2],则F6{(AGkTx:BGkTx),W[2]}=1,认为终端T2的待检测访问信息中针对访问目标AGkT2的通信时间BGkT2与可信终端访问信息特征库W中的通信时间段相匹配,则该则终端访问信息正常,放行该则终端访问信息。同时记录终端T2针对访问目标AGkT2在单位时间(默认单位:分钟)内的访问次数CGkT2,并进入算法F7。
通过算法F7{CGkTx,W[3]},将终端T2针对访问目标AGkT2在单位时间(默认单位:分钟)内的访问次数CGkT2与可信终端访问信息特征库W中每一条特征的第三个元素进行匹配,即在终端T2为可信终端且符合可信终端访问信息特征库W中终端访问目标和通信时间段的前提下,将终端T2针对访问目标AGkT2在单位时间内的访问次数CGkT2与可信终端访问信息特征库W中的单位时间内针对其访问目标AGkT2的访问次数进行比对。
在本实施例中,CGkT2>W[3],则F7{CGkTx,W[3]}=0,认为终端T2针对访问目标AGkT2在单位时间内的访问次数CGkT2不在可信终端访问信息特征库W中的单位时间内针对其访问目标AGkT2的访问次数范围内,则存在DDoS攻击行为,将进行异常处理,拦截或告警该则终端访问信息。
上述的DDoS防御方法,通过构建可信终端ID集合以及可信终端访问信息特征库,针对待测终端发出的待测数据包信息以及待测终端访问信息,进行解析,并将解析结果与可信终端ID集合以及可信终端访问信息特征库进行匹配,以防御存在DDoS攻击行为的终端的访问,实现利用可信终端指纹信息策略,以可信终端访问信息特征库为依托,自动化判别可信终端及终端访问信息,从而精准判别DDoS攻击行为。
图3是本发明实施例提供的一种DDoS防御装置300的示意性框图。如图3所示,对应于以上DDoS防御方法,本发明还提供一种DDoS防御装置300。该DDoS防御装置300包括用于执行上述DDoS防御方法的单元,该装置可以被配置于服务器中。具体地,请参阅图3,该DDoS防御装置300包括可信信息获取单元301、第一解析单元302、采集单元303、待测信息获取单元304、第二解析单元305、第三解析单元306、ID匹配单元307、第一判断单元308、第一确定单元309、第二判断单元310以及第二确定单元311。
可信信息获取单元301,用于获取可信终端发出的数据包信息;第一解析单元302,用于解析所述数据包信息,以得到可信终端指纹信息,形成可信终端ID集合;采集单元303,用于根据可信终端ID集合采集对应的可信终端的访问信息特征,并根据所述访问信息特征生成可信终端访问信息特征库;待测信息获取单元304,用于获取待测终端发出的待测数据包信息以及待测终端访问信息;第二解析单元305,用于解析所述待测数据包信息,以得到待测终端指纹信息;第三解析单元306,用于解析所述待测终端访问信息,以得到待测终端访问信息特征;ID匹配单元307,用于将所述待测终端指纹信息与所述可信终端ID集合进行ID匹配,以判断所述待测终端是否可信;第一判断单元308,用于若所述待测终端不可信,则根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件;第一确定单元309,用于若所述待测终端的通信时间或固定访问次数不符合设定条件,则确定所述待测终端的访问存在DDoS攻击行为,将所述待测终端的访问进行异常处理;第二判断单元310,用于若所述待测终端可信,则判断所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素是否一一对应匹配;若所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配,则执行所述确定所述待测终端的访问存在DDoS攻击行为,将所述待测终端的访问进行异常处理。第二确定单元311,用于若所述待测终端的通信时间以及固定访问次数都符合设定条件,则确定所述待测终端的访问不存在DDoS攻击行为,放行所述待测终端的访问。
在一实施例中,所述第一解析单元包括特征解析子单元、计算子单元以及第一统计子单元。
特征解析子单元,用于对所述数据包信息根据IP地址、MAC地址、业务数据包大小范围、序列号进行特征解析,以得到可信终端指纹;计算子单元,用于对所述可信终端指纹进行计算,以生成可信终端ID号;第一统计子单元,用于统计所有的可信终端ID号,以得到可信终端ID号集合。
在一实施例中,所述采集单元包括特征采集子单元、第二统计子单元以及去重子单元。
特征采集子单元,用于通过agent软件采集可信终端ID集合中对应的可信终端在学习时间内的访问信息特征;第二统计子单元,用于统计可信终端ID号集合所对应的可信终端上的每一条访问信息特征,以得到访问信息特征集合;去重子单元,用于对所述访问信息特征集合内的访问信息特征进行去重,以得到可信终端访问信息特征库。
在一实施例中,所述第一判断单元包括通信时间判断子单元、第三确定子单元、第四确定子单元、记录子单元、频率判断子单元、第五确定子单元以及第六确定子单元。
通信时间判断子单元,用于根据所述待测终端访问信息特征判断所述待测终端的通信时间是否在固定通信时间段内;第三确定子单元,用于若所述待测终端的通信时间不在固定通信时间段内,则确定待测终端的通信时间不符合设定条件;第四确定子单元,用于若所述待测终端的通信时间在固定通信时间段内,则确定待测终端的通信时间符合设定条件;记录子单元,用于放行所述待测终端的访问信息,并记录所述待测终端针对访问目标在单位时间内的访问次数,以得到访问频率;频率判断子单元,用于判断所述访问频率是否在设定的单位时间的固定访问次数范围内;第五确定子单元,用于若所述访问频率在设定的单位时间的固定访问次数范围内,则确定所述待测终端的固定访问次数符合设定要求;第六确定子单元,用于若所述访问频率不在设定的单位时间的固定访问次数范围内,则确定所述待测终端的固定访问次数不符合设定要求。
在一实施例中,所述第二判断单元包括第一元素判断子单元、第七确定子单元、第二元素判断子单元、第三元素判断子单元以及第八确定子单元。
第一元素判断子单元,用于判断所述待测终端访问信息特征中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素是否一致;第七确定子单元,用于若所述待测终端访问信息特征中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素不一致,则确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配;第二元素判断子单元,用于若所述待测终端访问信息特征中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素一致,则判断所述待测终端访问信息特征中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素是否一致;若所述待测终端访问信息特征中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素不一致,则执行所述确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配;第三元素判断子单元,用于若所述待测终端访问信息特征中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素一致,则判断所述待测终端访问信息特征中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素是否一致;若所述待测终端访问信息特征中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素不一致,则执行所述确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配;第八确定子单元,用于若所述待测终端访问信息特征中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素一致,则确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素一一对应匹配。
需要说明的是,所属领域的技术人员可以清楚地了解到,上述DDoS防御装置300和各单元的具体实现过程,可以参考前述方法实施例中的相应描述,为了描述的方便和简洁,在此不再赘述。
上述DDoS防御装置300可以实现为一种计算机程序的形式,该计算机程序可以在如图4所示的计算机设备上运行。
请参阅图4,图4是本申请实施例提供的一种计算机设备的示意性框图。该计算机设备500可以是服务器,其中,服务器可以是独立的服务器,也可以是多个服务器组成的服务器集群。
参阅图4,该计算机设备500包括通过***总线501连接的处理器502、存储器和网络接口505,其中,存储器可以包括非易失性存储介质503和内存储器504。
该非易失性存储介质503可存储操作***5031和计算机程序5032。该计算机程序5032包括程序指令,该程序指令被执行时,可使得处理器502执行一种DDoS防御方法。
该处理器502用于提供计算和控制能力,以支撑整个计算机设备500的运行。
该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境,该计算机程序5032被处理器502执行时,可使得处理器502执行一种DDoS防御方法。
该网络接口505用于与其它设备进行网络通信。本领域技术人员可以理解,图4中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备500的限定,具体的计算机设备500可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
其中,所述处理器502用于运行存储在存储器中的计算机程序5032,以实现如下步骤:
获取可信终端发出的数据包信息;解析所述数据包信息,以得到可信终端指纹信息,形成可信终端ID集合;根据可信终端ID集合采集对应的可信终端的访问信息特征,并根据所述访问信息特征生成可信终端访问信息特征库;获取待测终端发出的待测数据包信息以及待测终端访问信息;解析所述待测数据包信息,以得到待测终端指纹信息;解析所述待测终端访问信息,以得到待测终端访问信息特征;将所述待测终端指纹信息与所述可信终端ID集合进行ID匹配,以判断所述待测终端是否可信;若所述待测终端不可信,则根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件;若所述待测终端的通信时间或固定访问次数不符合设定条件,则确定所述待测终端的访问存在DDoS攻击行为,将所述待测终端的访问进行异常处理;若所述待测终端可信,则判断所述待测终端指纹信息与所述可信终端访问信息特征库内的元素是否一一对应匹配;若所述待测终端指纹信息与所述可信终端访问信息特征库内的元素不是一一对应匹配,则执行所述确定所述待测终端的访问存在DDoS攻击行为,将所述待测终端的访问进行异常处理。
在一实施例中,处理器502在实现所述根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件步骤之后,还实现如下步骤:
若所述待测终端的通信时间以及固定访问次数都符合设定条件,则确定所述待测终端的访问不存在DDoS攻击行为,放行所述待测终端的访问。
在一实施例中,处理器502在实现所述解析所述数据包信息,以得到可信终端指纹信息,形成可信终端ID集合步骤时,具体实现如下步骤:
对所述数据包信息根据IP地址、MAC地址、业务数据包大小范围、序列号进行特征解析,以得到可信终端指纹;对所述可信终端指纹进行计算,以生成可信终端ID号;统计所有的可信终端ID号,以得到可信终端ID号集合。
在一实施例中,处理器502在实现所述根据可信终端ID集合采集对应的可信终端的访问信息特征,并根据所述访问信息特征生成可信终端访问信息特征库步骤时,具体实现如下步骤:
通过agent软件采集可信终端ID集合中对应的可信终端在学习时间内的访问信息特征;统计可信终端ID号集合所对应的可信终端上的每一条访问信息特征,以得到访问信息特征集合;对所述访问信息特征集合内的访问信息特征进行去重,以得到可信终端访问信息特征库。
在一实施例中,处理器502在实现所述根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件步骤时,具体实现如下步骤:
根据所述待测终端访问信息特征判断所述待测终端的通信时间是否在固定通信时间段内;若所述待测终端的通信时间不在固定通信时间段内,则确定待测终端的通信时间不符合设定条件;若所述待测终端的通信时间在固定通信时间段内,则确定待测终端的通信时间符合设定条件;放行所述待测终端的访问信息,并记录所述待测终端针对访问目标在单位时间内的访问次数,以得到访问频率;判断所述访问频率是否在设定的单位时间的固定访问次数范围内;若所述访问频率在设定的单位时间的固定访问次数范围内,则确定所述待测终端的固定访问次数符合设定要求;若所述访问频率不在设定的单位时间的固定访问次数范围内,则确定所述待测终端的固定访问次数不符合设定要求。
在一实施例中,处理器502在实现所述判断所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素是否一一对应匹配步骤时,具体实现如下步骤:
判断所述待测终端访问信息特征中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素是否一致;若所述待测终端访问信息特征中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素不一致,则确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配;若所述待测终端访问信息特征中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素一致,则判断所述待测终端访问信息特征中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素是否一致;若所述待测终端访问信息特征中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素不一致,则执行所述确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配;若所述待测终端访问信息特征中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素一致,则判断所述待测终端访问信息特征中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素是否一致;若所述待测终端访问信息特征中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素不一致,则执行所述确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配;若所述待测终端访问信息特征中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素一致,则确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素一一对应匹配。
应当理解,在本申请实施例中,处理器502可以是中央处理单元(CentralProcessing Unit,CPU),该处理器502还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific IntegratedCircuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成。该计算机程序包括程序指令,计算机程序可存储于一存储介质中,该存储介质为计算机可读存储介质。该程序指令被该计算机***中的至少一个处理器执行,以实现上述方法的实施例的流程步骤。
因此,本发明还提供一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序,其中该计算机程序被处理器执行时使处理器执行如下步骤:
获取可信终端发出的数据包信息;解析所述数据包信息,以得到可信终端指纹信息,形成可信终端ID集合;根据可信终端ID集合采集对应的可信终端的访问信息特征,并根据所述访问信息特征生成可信终端访问信息特征库;获取待测终端发出的待测数据包信息以及待测终端访问信息;解析所述待测数据包信息,以得到待测终端指纹信息;解析所述待测终端访问信息,以得到待测终端访问信息特征;将所述待测终端指纹信息与所述可信终端ID集合进行ID匹配,以判断所述待测终端是否可信;若所述待测终端不可信,则根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件;若所述待测终端的通信时间或固定访问次数不符合设定条件,则确定所述待测终端的访问存在DDoS攻击行为,将所述待测终端的访问进行异常处理;若所述待测终端可信,则判断所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素是否一一对应匹配;若所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配,则执行所述确定所述待测终端的访问存在DDoS攻击行为,将所述待测终端的访问进行异常处理。
在一实施例中,所述处理器在执行所述计算机程序而实现所述根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件步骤之后,还实现如下步骤:
若所述待测终端的通信时间以及固定访问次数都符合设定条件,则确定所述待测终端的访问不存在DDoS攻击行为,放行所述待测终端的访问。
在一实施例中,所述处理器在执行所述计算机程序而实现所述解析所述数据包信息,以得到可信终端指纹信息,形成可信终端ID集合步骤时,具体实现如下步骤:
对所述数据包信息根据IP地址、MAC地址、业务数据包大小范围、序列号进行特征解析,以得到可信终端指纹;对所述可信终端指纹进行计算,以生成可信终端ID号;统计所有的可信终端ID号,以得到可信终端ID号集合。
在一实施例中,所述处理器在执行所述计算机程序而实现所述根据可信终端ID集合采集对应的可信终端的访问信息特征,并根据所述访问信息特征生成可信终端访问信息特征库步骤时,具体实现如下步骤:
通过agent软件采集可信终端ID集合中对应的可信终端在学习时间内的访问信息特征;统计可信终端ID号集合所对应的可信终端上的每一条访问信息特征,以得到访问信息特征集合;对所述访问信息特征集合内的访问信息特征进行去重,以得到可信终端访问信息特征库。
在一实施例中,所述处理器在执行所述计算机程序而实现所述根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件步骤时,具体实现如下步骤:
根据所述待测终端访问信息特征判断所述待测终端的通信时间是否在固定通信时间段内;若所述待测终端的通信时间不在固定通信时间段内,则确定待测终端的通信时间不符合设定条件;若所述待测终端的通信时间在固定通信时间段内,则确定待测终端的通信时间符合设定条件;放行所述待测终端的访问信息,并记录所述待测终端针对访问目标在单位时间内的访问次数,以得到访问频率;判断所述访问频率是否在设定的单位时间的固定访问次数范围内;若所述访问频率在设定的单位时间的固定访问次数范围内,则确定所述待测终端的固定访问次数符合设定要求;若所述访问频率不在设定的单位时间的固定访问次数范围内,则确定所述待测终端的固定访问次数不符合设定要求。
在一实施例中,所述处理器在执行所述计算机程序而实现所述判断所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素是否一一对应匹配步骤时,具体实现如下步骤:
判断所述待测终端访问信息特征中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素是否一致;若所述待测终端访问信息特征中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素不一致,则确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配;若所述待测终端访问信息特征中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素一致,则判断所述待测终端访问信息特征中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素是否一致;若所述待测终端访问信息特征中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素不一致,则执行所述确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配;若所述待测终端访问信息特征中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素一致,则判断所述待测终端访问信息特征中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素是否一致;若所述待测终端访问信息特征中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素不一致,则执行所述确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配;若所述待测终端访问信息特征中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素一致,则确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素一一对应匹配。
所述存储介质可以是U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的。例如,各个单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,终端,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (7)

1.DDoS防御方法,其特征在于,包括:
获取可信终端发出的数据包信息;
解析所述数据包信息,以得到可信终端指纹信息,形成可信终端ID集合;
根据可信终端ID集合采集对应的可信终端的访问信息特征,并根据所述访问信息特征生成可信终端访问信息特征库;
获取待测终端发出的待测数据包信息以及待测终端访问信息;
解析所述待测数据包信息,以得到待测终端指纹信息;
解析所述待测终端访问信息,以得到待测终端访问信息特征;
将所述待测终端指纹信息与所述可信终端ID集合进行ID匹配,以判断所述待测终端是否可信;
若所述待测终端不可信,则根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件;
若所述待测终端的通信时间或固定访问次数不符合设定条件,则确定所述待测终端的访问存在DDoS攻击行为,将所述待测终端的访问进行异常处理;
若所述待测终端可信,则判断所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素是否一一对应匹配;
若所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配,则执行所述确定所述待测终端的访问存在DDoS攻击行为,将所述待测终端的访问进行异常处理;
其中,所述访问信息特征包括终端的访问目标、通信时间段、单位时间内的访问次数;
所述解析所述数据包信息,以得到可信终端指纹信息,形成可信终端ID集合,包括:
对所述数据包信息根据IP地址、MAC地址、业务数据包大小范围、序列号进行特征解析,以得到可信终端指纹;
对所述可信终端指纹进行计算,以生成可信终端ID号;
统计所有的可信终端ID号,以得到可信终端ID号集合;
所述根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件,包括:
根据所述待测终端访问信息特征判断所述待测终端的通信时间是否在固定通信时间段内;
若所述待测终端的通信时间不在固定通信时间段内,则确定待测终端的通信时间不符合设定条件;
若所述待测终端的通信时间在固定通信时间段内,则确定待测终端的通信时间符合设定条件;
放行所述待测终端的访问信息,并记录所述待测终端针对访问目标在单位时间内的访问次数,以得到访问频率;
判断所述访问频率是否在设定的单位时间的固定访问次数范围内;
若所述访问频率在设定的单位时间的固定访问次数范围内,则确定所述待测终端的固定访问次数符合设定要求;
若所述访问频率不在设定的单位时间的固定访问次数范围内,则确定所述待测终端的固定访问次数不符合设定要求;
所述判断所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素是否一一对应匹配,包括:
判断所述待测终端访问信息特征中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素是否一致;
若所述待测终端访问信息特征中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素不一致,则确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配;
若所述待测终端访问信息特征中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素一致,则判断所述待测终端访问信息特征中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素是否一致;
若所述待测终端访问信息特征中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素不一致,则执行所述确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配;
若所述待测终端访问信息特征中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素一致,则判断所述待测终端访问信息特征中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素是否一致;
若所述待测终端访问信息特征中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素不一致,则执行所述确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配;
若所述待测终端访问信息特征中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素一致,则确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素一一对应匹配。
2.根据权利要求1所述的DDoS防御方法,其特征在于,所述根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件之后,还包括:
若所述待测终端的通信时间以及固定访问次数都符合设定条件,则确定所述待测终端的访问不存在DDoS攻击行为,放行所述待测终端的访问。
3.根据权利要求1所述的DDoS防御方法,其特征在于,所述根据可信终端ID集合采集对应的可信终端的访问信息特征,并根据所述访问信息特征生成可信终端访问信息特征库,包括:
通过agent软件采集可信终端ID集合中对应的可信终端在学习时间内的访问信息特征;
统计可信终端ID号集合所对应的可信终端上的每一条访问信息特征,以得到访问信息特征集合;
对所述访问信息特征集合内的访问信息特征进行去重,以得到可信终端访问信息特征库。
4.DDoS防御装置,其特征在于,包括:
可信信息获取单元,用于获取可信终端发出的数据包信息;
第一解析单元,用于解析所述数据包信息,以得到可信终端指纹信息,形成可信终端ID集合;
采集单元,用于根据可信终端ID集合采集对应的可信终端的访问信息特征,并根据所述访问信息特征生成可信终端访问信息特征库;
待测信息获取单元,用于获取待测终端发出的待测数据包信息以及待测终端访问信息;
第二解析单元,用于解析所述待测数据包信息,以得到待测终端指纹信息;
第三解析单元,用于解析所述待测终端访问信息,以得到待测终端访问信息特征;
ID匹配单元,用于将所述待测终端指纹信息与所述可信终端ID集合进行ID匹配,以判断所述待测终端是否可信;
第一判断单元,用于若所述待测终端不可信,则根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件;
第一确定单元,用于若所述待测终端的通信时间或固定访问次数不符合设定条件,则确定所述待测终端的访问存在DDoS攻击行为,将所述待测终端的访问进行异常处理;
第二判断单元,用于若所述待测终端可信,则判断所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素是否一一对应匹配;若所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配,则执行所述确定所述待测终端的访问存在DDoS攻击行为,将所述待测终端的访问进行异常处理;
其中,所述访问信息特征包括终端的访问目标、通信时间段、单位时间内的访问次数;
所述解析所述数据包信息,以得到可信终端指纹信息,形成可信终端ID集合,包括:
对所述数据包信息根据IP地址、MAC地址、业务数据包大小范围、序列号进行特征解析,以得到可信终端指纹;
对所述可信终端指纹进行计算,以生成可信终端ID号;
统计所有的可信终端ID号,以得到可信终端ID号集合;
所述根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件,包括:
根据所述待测终端访问信息特征判断所述待测终端的通信时间是否在固定通信时间段内;
若所述待测终端的通信时间不在固定通信时间段内,则确定待测终端的通信时间不符合设定条件;
若所述待测终端的通信时间在固定通信时间段内,则确定待测终端的通信时间符合设定条件;
放行所述待测终端的访问信息,并记录所述待测终端针对访问目标在单位时间内的访问次数,以得到访问频率;
判断所述访问频率是否在设定的单位时间的固定访问次数范围内;
若所述访问频率在设定的单位时间的固定访问次数范围内,则确定所述待测终端的固定访问次数符合设定要求;
若所述访问频率不在设定的单位时间的固定访问次数范围内,则确定所述待测终端的固定访问次数不符合设定要求;
所述判断所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素是否一一对应匹配,包括:
判断所述待测终端访问信息特征中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素是否一致;
若所述待测终端访问信息特征中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素不一致,则确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配;
若所述待测终端访问信息特征中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素一致,则判断所述待测终端访问信息特征中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素是否一致;
若所述待测终端访问信息特征中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素不一致,则执行所述确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配;
若所述待测终端访问信息特征中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素一致,则判断所述待测终端访问信息特征中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素是否一致;
若所述待测终端访问信息特征中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素不一致,则执行所述确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素不是一一对应匹配;
若所述待测终端访问信息特征中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素一致,则确定所述待测终端访问信息特征与所述可信终端访问信息特征库内的元素一一对应匹配。
5.根据权利要求4所述的DDoS防御装置,其特征在于,还包括:
第二确定单元,用于若所述待测终端的通信时间以及固定访问次数都符合设定条件,则确定所述待测终端的访问不存在DDoS攻击行为,放行所述待测终端的访问。
6.一种计算机设备,其特征在于,所述计算机设备包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至3中任一项所述的方法。
7.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至3中任一项所述的方法。
CN202310500459.7A 2023-05-06 2023-05-06 DDoS防御方法、装置、计算机设备及存储介质 Active CN116232767B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310500459.7A CN116232767B (zh) 2023-05-06 2023-05-06 DDoS防御方法、装置、计算机设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310500459.7A CN116232767B (zh) 2023-05-06 2023-05-06 DDoS防御方法、装置、计算机设备及存储介质

Publications (2)

Publication Number Publication Date
CN116232767A CN116232767A (zh) 2023-06-06
CN116232767B true CN116232767B (zh) 2023-08-15

Family

ID=86585833

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310500459.7A Active CN116232767B (zh) 2023-05-06 2023-05-06 DDoS防御方法、装置、计算机设备及存储介质

Country Status (1)

Country Link
CN (1) CN116232767B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117113340B (zh) * 2023-10-20 2024-01-23 杭州美创科技股份有限公司 主机失陷检测方法、装置、计算机设备及存储介质
CN117688540B (zh) * 2024-02-01 2024-04-19 杭州美创科技股份有限公司 接口敏感数据泄露检测防御方法、装置及计算机设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110944016A (zh) * 2019-12-25 2020-03-31 中移(杭州)信息技术有限公司 DDoS攻击检测方法、装置、网络设备及存储介质
CN112019508A (zh) * 2020-07-28 2020-12-01 杭州安恒信息技术股份有限公司 基于Web日志分析检测DDos攻击的方法、***和电子装置
CN112751815A (zh) * 2019-10-31 2021-05-04 华为技术有限公司 报文处理方法、装置、设备及计算机可读存储介质
CN114726579A (zh) * 2022-03-08 2022-07-08 北京百度网讯科技有限公司 防御网络攻击的方法、装置、设备、存储介质及程序产品

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160173526A1 (en) * 2014-12-10 2016-06-16 NxLabs Limited Method and System for Protecting Against Distributed Denial of Service Attacks

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112751815A (zh) * 2019-10-31 2021-05-04 华为技术有限公司 报文处理方法、装置、设备及计算机可读存储介质
CN110944016A (zh) * 2019-12-25 2020-03-31 中移(杭州)信息技术有限公司 DDoS攻击检测方法、装置、网络设备及存储介质
CN112019508A (zh) * 2020-07-28 2020-12-01 杭州安恒信息技术股份有限公司 基于Web日志分析检测DDos攻击的方法、***和电子装置
CN114726579A (zh) * 2022-03-08 2022-07-08 北京百度网讯科技有限公司 防御网络攻击的方法、装置、设备、存储介质及程序产品

Also Published As

Publication number Publication date
CN116232767A (zh) 2023-06-06

Similar Documents

Publication Publication Date Title
CN116232767B (zh) DDoS防御方法、装置、计算机设备及存储介质
US8805995B1 (en) Capturing data relating to a threat
US8776226B2 (en) Method and apparatus for detecting SSH login attacks
US9276950B2 (en) Apparatus method and medium for detecting payload anomaly using N-gram distribution of normal data
US20160359870A1 (en) Method and apparatus for detecting malware infection
US9705899B2 (en) Digital filter correlation engine
CN113329029B (zh) 一种针对apt攻击的态势感知节点防御方法及***
US7500266B1 (en) Systems and methods for detecting network intrusions
CN111507597A (zh) 一种网络信息安全风险评估模型和方法
EP2284752B1 (en) Intrusion detection systems and methods
CN109344611B (zh) 应用的访问控制方法、终端设备及介质
CN112839017B (zh) 一种网络攻击检测方法及其装置、设备和存储介质
CN110417747B (zh) 一种暴力破解行为的检测方法及装置
CN106878314A (zh) 基于可信度的网络恶意行为检测方法
CN114785567A (zh) 一种流量识别方法、装置、设备及介质
CN111901286B (zh) 一种基于流量日志的apt攻击检测方法
Moustafa et al. RCNF: Real-time collaborative network forensic scheme for evidence analysis
CN112199668A (zh) 一种检测容器中应用层消耗CPU的DoS攻击的方法和装置
CN115296855B (zh) 一种用户行为基线生成方法及相关装置
CN113726775B (zh) 一种攻击检测方法、装置、设备及存储介质
Sievierinov et al. Analysis of correlation rules in Security information and event management systems
EP3484122A1 (en) Malicious relay and jump-system detection using behavioral indicators of actors
Hiruta et al. Ids alert priority determination based on traffic behavior
Al-Hammadi et al. Performance evaluation of DCA and SRC on a single bot detection
CN114884740B (zh) 一种基于ai的入侵防护应答数据处理方法及服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant