RU2666289C1 - Система и способ для ограничения запросов доступа - Google Patents

Система и способ для ограничения запросов доступа Download PDF

Info

Publication number
RU2666289C1
RU2666289C1 RU2017128207A RU2017128207A RU2666289C1 RU 2666289 C1 RU2666289 C1 RU 2666289C1 RU 2017128207 A RU2017128207 A RU 2017128207A RU 2017128207 A RU2017128207 A RU 2017128207A RU 2666289 C1 RU2666289 C1 RU 2666289C1
Authority
RU
Russia
Prior art keywords
load balancer
request
accordance
adder
aggregator
Prior art date
Application number
RU2017128207A
Other languages
English (en)
Inventor
Чжи ВЭН
Сысин СЯО
Original Assignee
Бэйцзин Цзиндун Шанкэ Информейшн Текнолоджи Ко, Лтд.
Бэйцзин Цзиндун Сенчури Трэйдинг Ко., Лтд.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Бэйцзин Цзиндун Шанкэ Информейшн Текнолоджи Ко, Лтд., Бэйцзин Цзиндун Сенчури Трэйдинг Ко., Лтд. filed Critical Бэйцзин Цзиндун Шанкэ Информейшн Текнолоджи Ко, Лтд.
Application granted granted Critical
Publication of RU2666289C1 publication Critical patent/RU2666289C1/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1023Server selection for load balancing based on a hash applied to IP addresses or costs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/564Enhancement of application control based on intercepted application data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/565Conversion or adaptation of application format or content
    • H04L67/5651Reducing the amount or size of exchanged application data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/566Grouping or aggregating service requests, e.g. for unified processing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/164Adaptation or special uses of UDP protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Multimedia (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Группа изобретений относится к системе и способу для ограничения запросов доступа. Технический результат – обеспечение защиты доступа сети. Для этого в системе балансировщик нагрузки принимает запрос доступа, интерпретирует принятый запрос доступа в UDP-сообщение и передает UDP-сообщение в агрегатор; агрегатор накапливает принятое UDP-сообщение в соответствии с предопределенной комбинацией полей данных и предопределенной длительностью таким образом, чтобы сформировать статистические данные, и отправляет статистические данные в сумматор в ответ на запрос от сумматора; сумматор запрашивает статистические данные от агрегатора в соответствии с предопределенным временным интервалом запроса, принимает статистические данные от агрегатора, формирует черный список для запросов доступа в соответствии с принимаемыми статистическими данными и предопределенным правилом и отправляет черный список в балансировщик нагрузки в ответ на запрос от балансировщика нагрузки. Балансировщик нагрузки определяет действие обработки по каждому из принимаемых запросов доступа в соответствии с текущим черным списком. 2 н. и 10 з.п. ф-лы, 3 ил.

Description

ОБЛАСТЬ ТЕХНИКИ, К КОТОРОЙ ОТНОСИТСЯ ИЗОБРЕТЕНИЕ
Изобретение относится к системе для ограничения запросов доступа из сети и ее соответствующему способу.
УРОВЕНЬ ТЕХНИКИ
Традиционный балансировщик нагрузки, например, использует конфигурацию HaProxy в Linux для чтения данных cookie или описания URL, содержащиеся в каждом запросе НТТР из сети, и перезаписи заголовка на основе этих порций информации и отправки запроса НТТР в кластер внутренних серверов, благодаря чему для каждого сервера в кластере внутренних серверов достигается сбалансированное состояние трафика и потребления ресурсов. Но традиционный балансировщик нагрузки не выполняет автоматически проверку фильтрации по трафикам из сети и не может выполнять регулирование или отбрасывание по трафикам, рассматриваемым как кибератака.
Из предшествующего уровня техники известно, что имеется решение для обеспечения защиты от лавинной рассылки ICMP/TCP/UDP путем обнаружения TCP-пакетов на основе технологии очистки потоков, что достигается путем повторной передачи TCP/UDP-пакетов. Но известное решение является эффективным только для пакетов с уровня TCP/UDP и бесполезно для предотвращения лавинной рассылки HTTP с прикладного уровня, требуемого для дешифрования, который является седьмым уровнем в Эталонной Модели Взаимодействия Открытых Систем (OSI).
Одна концепция состоит в анализе доступа к URL и ограничении запросов доступа в соответствии с числом запросов доступа в единицу времени, например, опросов в секунду (QPS). Анализ доступа к URL крупномасштабного веб-сайта обычно потребляет много памяти. Как правило, требуется регистрировать метку времени каждого доступа, связанную с любой комбинацией полей данных, таких как IP-адрес, идентификатор пользователя (USERID) и унифицированный указатель ресурса (URL). Когда требуется вычислить QPS, соответствующие моменты времени фильтруются или сортируются, что расходует время, а также расходует пространство памяти.
На предшествующем уровне техники, когда требуется вычислить QPS, соответствующие моменты времени фильтруются или сортируются, что расходует время, а также расходует пространство памяти.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
Целью данного изобретения является создание системы и способа, которые, по меньшей мере, частично решают вышеописанную проблему. Изобретение, в частности, подходит для решений проблемы DOS-атак (атак типа «отказ в обслуживании») и DDOS-атак (распределенных атак типа «отказ в обслуживании») в сети. Данный метод, в частности, подходит для предотвращения лавинной рассылки НТТР. В изобретении распознаются трафики атак, затем осуществляется сопоставление с шаблоном и выполняется регулирование или отбрасывание по трафикам атак путем накопления и анализа пользовательских трафиков для защиты посредством этого внутренних серверов.
В соответствии с одним аспектом изобретения, предлагается система для ограничения запросов доступа. Система содержит балансировщик нагрузки, агрегатор и сумматор. Балансировщик нагрузки выполнен с возможностью приема каждого запроса доступа из сети, интерпретации принятого запроса доступа в UDP-сообщение и передачи UDP-сообщения в агрегатор; агрегатор выполнен с возможностью накопления множества UDP-сообщений, принимаемых от балансировщика нагрузки, в соответствии с предопределенной комбинацией полей данных и предопределенной длительностью таким образом, чтобы формировать статистические данные, и отправки накопленных статистических данных в сумматор в ответ на запрос от сумматора; сумматор выполнен с возможностью запроса статистических данных от агрегатора в соответствии с предопределенным временным интервалом запроса, приема статистических данных от агрегатора, формирования черного списка для запросов доступа в соответствии с принимаемыми статистическими данными и предопределенным правилом и отправки черного списка в балансировщик нагрузки в ответ на запрос от балансировщика нагрузки, причем, черный список задает действие обработки, выполняемое по каждому из одного или более конкретных запросов доступа. Балансировщик нагрузки дополнительно выполнен с возможностью определения действия обработки по каждому из принимаемых запросов доступа в соответствии с текущим черным списком.
В соответствии с еще одним аспектом изобретения, предлагается реализованный с помощью компьютера способ ограничения запросов доступа. Способ включает с себя следующее: балансировщик нагрузки принимает каждый запрос доступа из сети, интерпретирует принимаемый запрос доступа в UDP-сообщение и передает UDP-сообщение в агрегатор; и балансировщик нагрузки определяет действие обработки по принимаемому запросу доcтупа в соответствии с текущим черным списком, причем, черный список задает действие обработки, выполняемое по каждому из одного или более конкретных запросов доступа; причем, агрегатор принимает UDP-сообщение, отправляемое балансировщиком нагрузки, накапливает принимаемое множество UDP-сообщений в соответствии с предопределенной комбинацией полей данных и предопределенной длительностью таким образом, чтобы формировать статистические данные, и отправляет накопленные статистические данные в сумматор в ответ на запрос от сумматора; и сумматор запрашивает статистические данные от агрегатора в соответствии с предопределенным временным интервалом запроса, принимает статистические данные от агрегатора, формирует черный список для запросов доступа в соответствии с принимаемыми статистическими данными и предопределенным правилом и отправляет черный список в балансировщик нагрузки в ответ на запрос от балансировщика нагрузки.
В соответствии с изобретением, статистические данные включают в себя число UDP-сообщений, содержащих предопределенную комбинацию полей данных, накопленных в течение предопределенной длительности.
В соответствии с изобретением, сеть представляет собой Интернет, а запрос доступа представляет собой запрос НТТР из Интернета.
В соответствии с изобретением, агрегатор содержит множество блоков агрегации, работающих независимо друг от друга, балансировщик нагрузки передает каждое UDP-сообщение в один из множества блоков агрегации, и каждый из множества блоков агрегации выполняет накопление соответственно. Сумматор принимает статистические данные от множества блоков агрегации соответственно и формирует суммарные статистические данные. При этом черный список формируется на основе суммарных статистических данных и предопределенного правила.
В соответствии с изобретением, балансировщик нагрузки дополнительно содержит предопределенный белый список, который содержит одну или более из записей, относящихся к пропускаемым запросам доступа. При этом балансировщик нагрузки определяет для каждого из принимаемых запросов доступа действие обработки по запросу доступа следующим образом: когда запрос доступа согласуется с одной из записей в белом списке или не согласуется ни с одной из записей в черном списке, запрос доступа пропускается; а когда запрос доступа не согласуется ни с одной из записей в белом списке и согласуется с одной из записей в черном списке, запрос доступа обрабатывается в соответствии с действием обработки, задаваемым согласованной записью в черном списке. Кроме того, предопределенный белый список в балансировщике нагрузки может быть получен из сумматора вместе с черным списком.
В системе в соответствии с изобретением действие обработки, задаваемое в черном списке, включает в себя одно из следующего: перехват, переадресация и задержка.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
Варианты осуществления изобретения подробно описываются далее со ссылкой на чертежи, на которых:
фиг. 1 представляет собой структурную диаграмму системы для ограничения запросов доступа в соответствии с изобретением;
фиг. 2 представляет собой блок-схему последовательности операций обработки принимаемых запросов доступа балансировщиком нагрузки в соответствии с изобретением; и
фиг. 3 представляет собой блок-диаграмму примера состава сумматора в соответствии с изобретением.
ПОДРОБНОЕ ОПИСАНИЕ
В изобретении предлагаются система и способ для ограничения запросов доступа из сети с помощью статистических данных.
Запрос доступа, такой как запрос НТТР, по меньшей мере, содержит следующие поля данных: доменное имя (хост) адресата, доступ к которому осуществляется пользователем, отправляющим запрос; универсальный идентификатор ресурса (uri), запрашиваемый пользователем; идентификатор пользователя (uid); IP-адрес клиента (cip) и тому подобное.
В соответствии с изобретением, в изобретении предлагается система для ограничения запросов доступа из сети, причем, система содержит балансировщик нагрузки, агрегатор и сумматор.
Балансировщик нагрузки принимает запрос доступа из сети, интерпретирует каждый из принимаемых запросов доступа в UDP-сообщение и передает UDP-сообщение в агрегатор.
Агрегатор накапливает принимаемое множество UDP-сообщений в соответствии с предопределенной комбинацией полей данных и предопределенной длительностью таким образом, чтобы сформировать статистические данные, и отправляет статистические данные в сумматор в ответ на запрос от сумматора. Статистические данные включают в себя число UDP-сообщений, содержащих предопределенную комбинацию полей данных, накопленных в течение предопределенной длительности.
Сумматор запрашивает статистические данные, относящиеся к запросам доступа, от агрегатора в соответствии с предопределенным временным интервалом запроса, принимает статистические данные от агрегатора, формирует черный список для запросов доступа в соответствии с принимаемыми статистическими данными и предопределенным правилом и отправляет черный список в балансировщик нагрузки в соответствии с запросом балансировщика нагрузки, причем, черный список задает действие обработки по каждому из одного или более конкретных запросов доступа.
Балансировщик нагрузки определяет действие обработки по каждому из принимаемых запросов доступа в соответствии с текущим черным списком.
Система в соответствии с одним из вариантов осуществления изобретения подробно описывается ниже с учетом конкретных вариантов осуществления. Однако следует понимать, что конкретные варианты осуществления используются лишь для понимания сущности и конкретной реализации изобретения, но изобретение не ограничено конкретными вариантами осуществления.
На фиг. 1 изображена система 100 в соответствии с одним из вариантов осуществления изобретения, при этом система 100 содержит следующие три модуля:
балансировщик 101 нагрузки,
агрегатор 102, и
сумматор 103.
Балансировщик 101 нагрузки принимает запросы доступа из сети, например, запрос НТТР из Интернета, интерпретирует каждый из принимаемых запросов доступа в UDP-сообщение и передает UDP-сообщение в агрегатор 102.
Поскольку обработка для UDP-сообщений расходует меньше ресурсов и имеет высокую скорость, затраты вычислительных ресурсов балансировщика нагрузки могут быть значительно уменьшены. Кроме того, UDP-протокол не является протоколом установления соединения, поэтому могут иметься некоторые случаи потери сообщений. Но такая потеря находится в приемлемом диапазоне ошибок, и ее влияние на устойчивость системы пренебрежимо мало.
Агрегатор 102 может содержать множество блоков агрегации. Множество блоков агрегации может увеличиваться независимо, то есть, каждый из блоков агрегации развертывается и эксплуатируется независимо, и, соответственно, блоки агрегации не влияют друг на друга и не зависят друг от друга. Если вычислительная мощность текущего агрегатора не может удовлетворять требованиям, целесообразно добавлять ресурсы сервера, благодаря чему развертываются новые блоки агрегации. Это может лучше удовлетворять требованиям к более высокому потоку трафика.
Балансировщик 101 нагрузки передает каждое UDP-сообщение, по меньшей мере, в один выбранный блок агрегации. При этом соответствующие блоки агрегации накапливают принимаемые UDP-сообщения, соответственно, и формируют статистические данные.
В соответствии с одним из вариантов осуществления изобретения, балансировщик 101 нагрузки отправляет UDP-сообщения в множество блоков агрегации по очереди. Например, первое UDP-сообщение отправляется в первый блок агрегации, второе UDP-сообщение отправляется во второй блок агрегации, а сформированные UDP-сообщения последовательно отправляются в соответствующие блоки агрегации. После того, как UDP-сообщение отправляется в последний блок агрегации, новое UDP-сообщение повторно отправляется в первый блок агрегации.
Каждый блок агрегации анализирует и накапливает принимаемые UDP-сообщения в соответствии с предопределенным правилом или условием, таким как предопределенная комбинация полей данных и предопределенный временной интервал. Каждое UDP-сообщение содержит информацию о запросе HTTP-доступа от пользователя, такую как доменное имя (хост) адресата, доступ к которому осуществляется пользователем, универсальный идентификатор ресурса (uri), запрашиваемый пользователем, идентификатор пользователя (uid) и IP-адрес клиента (cip). Блок агрегации подсчитывает число запросов доступа, имеющих одно и то же доменное имя адресата (один и тот же хост) и один и тот же источник (один и тот же uid, один и тот же cip) для получения посредством этого числа запросов доступа от источника.
Число запросов доступа в единицу времени от источника может быть получено в соответствии с числом принятых запросов доступа от источника в течение определенного периода (например, последних 60 секунд или последних 5 минут). Например, значение опросов в секунду (QPS), относящееся к источнику, может быть получено путем деления общего числа принятых запросов доступа от источника в течение определенного периода на длительность периода.
Затем блок агрегации отправляет последние статистические данные, относящиеся к запросам доступа, формируемым в блоке агрегации, в сумматор 103 в соответствии с запросом от сумматора 103.
Сумматор 103 может запрашивать «статистические данные» от агрегатора или каждого из блоков агрегации через предопределенные интервалы времени, например, каждые 10 секунд, и такой запрос, например, может быть выполнен в форме НТТР.
После того, как блок агрегации агрегатора принимает запрос от сумматора 103, он выстраивает последние статистические данные, относящиеся к формируемым посредством этого запросам доступа, в ответное сообщение, такое как ответное сообщение в форме НТТР, и отправляет ответное сообщение, содержащее последние статистические данные, в сумматор 103.
Сумматор 103 обрабатывает статистические данные, содержащиеся в сообщениях, в соответствии с конкретной классификацией после приема ответного сообщения от соответствующих блоков агрегации таким образом, чтобы сформировать суммарные статистические данные и сформировать черный список в соответствии с предопределенным правилом.
В соответствии с одним из вариантов осуществления изобретения, запись черного списка в черном списке может содержать следующие четыре параметра:
доменное имя адресата (хост),
идентификатор пользователя источника (uid),
IP-адрес клиента источника (cip), и
действие обработки (действие).
Записи в черном списке можно рассматривать следующим образом: для запроса, отправляемого в доменное имя адресата (хост), если идентификатор пользователя и IP-адрес клиента, содержащиеся в запросе, эквивалентны соответствующим значениям (идентификатору пользователя источника, IP-адресу клиента источника) в записи, выполняется действие обработки, заданное в записи. Действие обработки может, например, представлять собой перехват, переадресацию или задержку для запроса.
В тех случаях, когда доменное имя адресата, идентификатор пользователя и IP-адрес клиента, содержащиеся в запросе доступа, являются точно такими же, как и доменное имя адресата, идентификатор пользователя и IP-адрес клиента в записи в черном списке, запрос доступа считается согласующимся с черным списком.
Применительно к конкретному доменному имени адресата, пороговое значение для числа запросов в единицу времени и соответствующее действие обработки в том случае, когда пороговое значение превышено, устанавливаются в конфигурационном файле 1036 сумматора 103.
Сумматор 103 принимает решение в соответствии с суммарными статистическими данными для запросов доступа, имеющих одну и ту же комбинацию полей данных, когда значение числа запросов доступа в единицу времени (QPS) для таких запросов доступа превышает пороговое значение для числа запросов доступа в единицу времени, соответствующего их доменному имени адресата, установленному в конфигурационном файле 1036, сформирована соответствующая запись черного списка, а запись содержит доменное имя адресата, идентификатор пользователя источника и IP-адрес клиента запроса, а также соответствующее действие обработки. Сформированная запись черного списка добавляется в черный список для формирования посредством этого текущего черного списка.
Кроме того, в сумматоре 103 может также сохраняться белый список. Белый список может иметь ту же структуру, что и черный список, но белый список может реализовывать политику обработки с приоритетом, которая непосредственно пропускает запрос доступа, согласующийся с белым списком (т.е., в случае, когда запрос доступа согласуется с одной записью белого списка в белом списке), то есть, запрос доступа направляется в свой внутренний сервер (хост) адресата, а внутренний сервер непосредственно осуществляет ответ на запрос доступа.
Сумматор 103 может асинхронно загружать текущий черный список и предопределенный белый список в балансировщик 101 нагрузки. В соответствии с одним из вариантов осуществления изобретения, поток выполнения прослушивания сумматора 103 может предоставлять черный список в балансировщик 101 нагрузки. Когда балансировщик 101 нагрузки инициирует запрос в сумматор 103, поток выполнения прослушивания получает текущий черный список в сумматоре 103 и отправляет черный список в балансировщик 101 нагрузки вместе с белым списком.
Балансировщик 101 нагрузки является фактическим исполнителем «действия обработки», задаваемого каждой записью в черном списке.
Конечно, белый список не обязательно сохраняется в сумматоре 103, а может также сохраняться, например, в балансировщике 101 нагрузки.
Если запрос доступа согласуется с белым списком, поскольку принцип обработки балансировщика 101 нагрузки состоит в том, что белый список имеет более высокий приоритет, балансировщик 101 нагрузки будет пропускать запрос доступа независимо от того, согласуется ли запрос доступа с черным списком. Если запрос доступа не согласуется с белым списком, но согласуется с черным списком, балансировщик 101 нагрузки выполняет соответствующее действие обработки в соответствии с конкретной записью, согласованной в черном списке. Если запрос доступа не согласуется ни с белым списком, ни с черным списком, запрос доступа пропускается.
В соответствии с изобретением, балансировщик 101 нагрузки выполняет следующую обработку для каждого запроса доступа из сети в соответствии с черным списком и белым списком:
когда запрос доступа согласуется с белым списком или не согласуется с черным списком, запрос доступа пропускается, а соответствующее UDP-сообщение выстраивается и отправляется в агрегатор (поскольку только такой пропущенный трафик в действительности направляется в соответствующий внутренний сервер, агрегатору необходимо продолжать вычисление «статистических данных» таких запросов доступа); и
когда запрос доступа не согласуется с белым списком, но согласуется с черным списком, запрос доступа обрабатывается в соответствии с действием обработки, задаваемым согласованной записью в черном списке.
На фиг. 2 изображен способ ограничения запросов доступа из сети балансировщиком нагрузки в соответствии с изобретением.
На этапе S11 балансировщик нагрузки принимает запрос доступа из сети и интерпретирует принятый запрос доступа в UDP-сообщение.
На этапе S12 UDP-сообщение передается в агрегатор.
Затем балансировщик нагрузки определяет действие обработки по принятому запросу доступа в соответствии с текущим белым списком и текущим черным списком в балансировщике нагрузки, причем, черный список задает действия обработки по некоторым запросам доступа.
На этапе S13 балансировщик нагрузки принимает решение, согласуется ли запрос доступа с белым списком. Если это так, осуществляется переход к этапу S14, то есть, запрос доступа пропускается и отправляется в соответствующий внутренний сервер для последующего процесса. В противном случае процесс переходит к этапу S15.
На этапе S15 балансировщик нагрузки принимает решение, согласуется ли запрос доступа с черным списком. Если это не так, осуществляется переход к этапу S14, то есть, запрос доступа пропускается и отправляется в соответствующий внутренний сервер для последующего процесса. В противном случае процесс переходит к этапу S16.
На этапе S16 балансировщик нагрузки обрабатывает запрос доступа в соответствии с действием обработки, задаваемым согласованной записью в черном списке.
В соответствии с изобретением, агрегатор принимает UDP-сообщение, отправляемое балансировщиком нагрузки, накапливает принимаемые UDP-сообщения в соответствии с предопределенной комбинацией полей данных и предопределенной длительностью таким образом, чтобы сформировать статистические данные, и отправляет статистические данные в сумматор в ответ на запрос от сумматора. Статистические данные содержат число UDP-сообщений, содержащих предопределенную комбинацию полей данных, накопленных в течение текущего периода с длиной предопределенной длительности.
Сумматор запрашивает статистические данные от агрегатора в соответствии с предопределенным временным интервалом запроса, принимает статистические данные от агрегатора, формирует черный список для запросов доступа в соответствии с принимаемыми статистическими данными и предопределенным правилом и отправляет текущий черный список в сумматоре в балансировщик нагрузки в соответствии с запросом от балансировщика нагрузки.
Как указано выше, агрегатор может содержать множество блоков агрегации. Процесс выполнения накопления каждым блоком агрегации для формирования статистических данных подробно описывается ниже.
Блок агрегации формирует статистические данные в отношении комбинации конкретных полей данных в соответствии с UDP-сообщениями, принимаемыми от балансировщика нагрузки. В соответствии с одним из вариантов осуществления изобретения, блок агрегации содержит:
компонент приема для приема UDP-сообщения, отправляемого балансировщиком нагрузки, причем, UDP-сообщение формируется балансировщиком нагрузки, интерпретирующим запрос доступа из сети;
компонент вычисления, который накапливает принимаемые UDP-сообщения в соответствии с предопределенной комбинацией полей данных и предопределенной длительностью таким образом, чтобы сформировать статистические данные; и
компонент передачи, который отправляет текущие статистические данные в сумматор в соответствии с запросом от сумматора.
Для каждого запроса НТТР из сети он может интерпретироваться только балансировщиком 101 нагрузки в UDP-сообщение и передаваться в блок агрегации в кластере блоков агрегации агрегатора 102. Каждый блок агрегации накапливает число запросов доступа в соответствии с предопределенным условием, например, в соответствии с комбинацией конкретных полей данных, таких как идентификатор пользователя (userid), IP-адрес и универсальный идентификатор ресурса (uri) (то есть, комбинацией конкретных значений ​​, содержащихся в этих конкретных полях данных) в UDP-сообщении, и конкретную длительность.
Для принимаемого UDP-сообщения блок агрегации извлекает поля данных, такие как userid, ip и uri, из UDP-сообщений, заданная комбинация указанных полей данных (может существовать множество комбинаций) используется в качестве комбинации полей данных для накопления, а количества запросов накапливаются в соответствии с предопределенной длительностью (которая может включать в себя короткий период и длинный период).
Комбинация полей данных может представлять собой одно или более из следующего:
userid+ip+uri;
userid+uri;
ip+uri.
Несомненно, комбинация полей данных может также представлять собой комбинацию, содержащую иные поля данных.
После завершения накопления блок агрегации формирует статистические данные, например, в форме веб-страницы в формате данных JSONS. Когда принят запрос от сумматора 103, блок агрегации передает статистические данные в сумматор 103.
Подробный процесс вычисления статистики трафика одним блоком агрегации представляет собой следующее:
после того, как запущен процесс накопления, когда принято первое UDP-сообщение с комбинацией тех или иных полей данных, инициализируется соответствующая вариация, текущее время приема «первого UDP-сообщения» используется в качестве реального времени начала вычислений, число (total_count) запросов доступа устанавливается равным 1, время (start_time) начала устанавливается равным текущему времени, а величина продолжительности (lasting_length) времени устанавливается равной 0:
total_count=1;
start_time=время (NULL);
lasting_length=0.
При последующем вычислении накопления lasting_length представляет собой величину продолжительности времени от времени (start_time) начала вычисления до текущего времени (current_time).
Для каждого из принимаемых в последующем сообщений с комбинацией полей данных существуют три случая в отношении подсчета запросов доступа в соответствии с соотношением между временем приема сообщения и предопределенной длительностью:
(1) когда время приема сообщения попадает в первый предопределенный период от start_time (реального времени начала вычисления), число запросов доступа (total_count) постепенно увеличивается на 1, величина продолжительности времени представляет собой разность между текущим временем и start_time (если исходить из того, что предопределенная длительность установлена равной 60 секундам, то один час делится на 60 периодов с предопределенной длительностью, а «первый предопределенный период» в соответствии с этим относится к первому периоду величиной 60 секунд от реального времени начала вычисления);
(2) когда время приема сообщения попадает во второй предопределенный период непосредственно после первого предопределенного периода, start_time (реальное время начала вычисления) будет обновляться, причем, время приема сообщения используется в качестве конца нового периода с величиной, равной предопределенной длительности, при этом время начала нового периода (т.е., время, получаемое путем вычитания предопределенной длительности с времени приема сообщения) отмечается как реальное время начала вычисления; затем параметр total_count (т.е., число запросов доступа) обновляется сначала вычислением QPS для первого периода, умножением QPS на длительность нового периода, частично перекрывающего первый период, а затем постепенным приращением результата на 1; при этом величина длительности времени обновляется на предопределенную длительность; и
(3) когда время приема сообщения попадает в период после второго периода, текущее время приема устанавливается равным реальному времени начала вычисления, число запросов доступа сбрасывается на 1, величина длительности времени равна 0, то есть, такой случай рассматривается как инициализация, а затем трафик будет вычисляться повторно.
Если принять предопределенную длительность величиной 60 секунд в качестве примера, соответствующие псевдокоды алгоритма будут иметь следующий вид:
diff=current_time - start_time;
if (diff < 60 * X) { # когда время приема попадает в первый период
total_count ++; lasting_length=diff;
} else if (diff > 2 * 60 * X) { # когда время приема попадает в период после второго периода времени
total_count=1;
start_time=current_time;
lasting_length=0;
} else { # когда время приема попадает во второй период времени
start_time=current_time - 60 * x;
total_count=total_count-total_count/60/X * (diff - 60 * X)+1;
lasting_length=60 * X;
}
Предопределенная длительность может устанавливаться равной и короткому периоду, и длинному периоду. Предопределенная длительность устанавливается равной короткому периоду времени с целью предотвращения DOS-атак, то есть, большое число запросов соединения атакуют сервер в течение короткого времени, поэтому все имеющийся ресурсы истощаются, и, наконец, компьютер больше не может обрабатывать запросы от прошедших проверку пользователей. При этом предопределенная длительность устанавливается равной длинному периоду с целью предотвращения медленных DOS-атак.
Обработка суммирования сумматора 103 и формирование черного списка подробно описываются ниже.
Сумматор 103 считывает статистические данные, относящиеся к числу запросов от всех блоков агрегации в соответствии с конкретной классификацией, суммирует статистические данные, формирует черный список в соответствии с предопределенной политикой и асинхронно загружает черный список в балансировщик 101 нагрузки.
Конструкция и конкретный принцип работы сумматора 103 изображены на фиг. 3.
Сумматор 103 содержит компонент 1031 приема, компонент 1032 формирования, компонент 1033 прослушивания, конфигурационный файл 1036 и базу 1037 данных.
В соответствии с одним из вариантов осуществления изобретения, компонент 1031 приема может создавать поток выполнения приема для каждого блока агрегации, при этом поток выполнения приема считывает статистические данные для количеств запросов применительно к различным комбинациям полей данных с веб-страницы, выдаваемой каждым блоком агрегации раз в период (например, одну минуту). Статистические данные представляют собой, например, данные в формате JSONSG.
Компонент 1032 формирования сумматора 103 суммирует статистические данные, принимаемые от соответствующих блоков агрегации в соответствии с предопределенными комбинациями полей данных.
Указанные предопределенные комбинации полей данных могут представлять собой userid+ip+uri, ip+uri, userid+uri и так далее.
Количества запросов применительно к различным комбинациям полей данных будут храниться в соответствующих hashmap. Hashmap является реализацией интерфейса Map, основанного на хэш-таблице, и используется для функций хранения, поиска и т.п. при компьютерном программировании.
Когда число запросов с некоторой комбинацией полей данных превышает пороговое значение черного списка, относящееся к комбинации полей данных, предопределенной в конфигурацинном файле, например, 0,5 QPS (запроса в секунду), userid или ip добавляется в черный список, чтобы создать текущий черный список.
В соответствии с одним из вариантов осуществления, суммарные данные в hashmap сохраняются в базу 1037 данных потоком выполнения сохранения в компоненте 1032 формирования. В соответствии с одним из вариантов осуществления, механизм двойного hashmap используется для того, чтобы не блокировать совместно используемый hashmap между потоком выполнения сохранения и потоком выполнения приема.
Кроме того, терминал 200 контроля системы может непосредственно получать данные из базы 1037 данных посредством HTTP-протокола, то есть, данные могут непосредственно экспортироваться в формате JSONS без использования сумматора 103.
Компонент 1033 прослушивания сумматора 103 используется для предоставления черного списка в балансировщик 101 нагрузки. Когда балансировщик 101 нагрузки инициирует запрос, компонент 1033 прослушивания получает текущий черный список и отправляет текущий черный список в балансировщик 101 нагрузки вместе с белым списком.
В соответствии с одним из вариантов осуществления, сумматор 103 может работать в режиме, в котором два сервера работают вместе, причем, первичный сервер может действовать как нормальная рабочая машина, а вторичный сервер может действовать как машина резервного копирования данных. Когда в первичном сервере возникает отказ, вторичный сервер может автоматически брать на себя все задачи первичного сервера, благодаря чему обеспечивается высокая надежность системы.
Несмотря на то, что изобретение описано с учетом чертежей и конкретных вариантов осуществления, чертежи и варианты осуществления в Описании являются лишь примерами изобретения и не используются для ограничения изобретения. Объем изобретения определяется Формулой изобретения.

Claims (34)

1. Система для ограничения запросов доступа, причем система содержит балансировщик нагрузки, агрегатор и сумматор, в которой
балансировщик нагрузки выполнен с возможностью приема каждого запроса доступа из сети, интерпретации принятого запроса доступа в UDP-сообщение и передачи UDP-сообщения в агрегатор;
агрегатор выполнен с возможностью накопления множества UDP-сообщений, принимаемых от балансировщика нагрузки, в соответствии с предопределенной комбинацией полей данных и предопределенной длительностью таким образом, чтобы формировать статистические данные, и отправки накопленных статистических данных в сумматор в ответ на запрос от сумматора;
сумматор выполнен с возможностью запроса статистических данных от агрегатора в соответствии с предопределенным временным интервалом запроса, приема статистических данных от агрегатора, формирования черного списка для запросов доступа в соответствии с принимаемыми статистическими данными и предопределенным правилом и отправки черного списка в балансировщик нагрузки в ответ на запрос от балансировщика нагрузки, причем черный список задает действие обработки, выполняемое по каждому из одного или более конкретных запросов доступа, и
балансировщик нагрузки дополнительно выполнен с возможностью определения действия обработки по каждому из принимаемых запросов доступа в соответствии с текущим черным списком.
2. Система по п. 1, в которой статистические данные включают в себя число UDP-сообщений, содержащих предопределенную комбинацию полей данных, накопленных в течение предопределенной длительности.
3. Система по п. 1, в которой агрегатор содержит множество блоков агрегации, работающих независимо друг от друга, балансировщик нагрузки передает каждое UDP-сообщение в один из множества блоков агрегации, и каждый из множества блоков агрегации выполняет накопление соответственно,
сумматор принимает статистические данные от множества блоков агрегации соответственно и формирует суммарные статистические данные, и
черный список формируется на основе суммарных статистических данных и предопределенного правила.
4. Система по п. 1, в которой
балансировщик нагрузки дополнительно содержит предопределенный белый список, который содержит одну или более из записей, относящихся к пропускаемым запросам доступа, и
балансировщик нагрузки определяет для каждого из принимаемых запросов доступа действие обработки по запросу доступа следующим образом:
когда запрос доступа согласуется с одной из записей в белом списке или не согласуется ни с одной из записей в черном списке, запрос доступа пропускается, и
когда запрос доступа не согласуется ни с одной из записей в белом списке и согласуется с одной из записей в черном списке, запрос доступа обрабатывается в соответствии с действием обработки, задаваемым согласованной записью в черном списке.
5. Система по п. 4, в которой предопределенный белый список в балансировщике нагрузки получается из сумматора вместе с черным списком.
6. Система по п. 1, в которой действие обработки, задаваемое в черном списке, включает в себя одно из следующего: перехват, переадресация и задержка.
7. Способ ограничения запросов доступа, причем, способ включает в себя следующее:
балансировщик нагрузки принимает каждый запрос доступа из сети, интерпретирует принимаемый запрос доступа в UDP-сообщение и передает UDP-сообщение в агрегатор; и
балансировщик нагрузки определяет действие обработки по принимаемому запросу доcтупа в соответствии с текущим черным списком, причем черный список задает действие обработки, выполняемое по каждому из одного или более конкретных запросов доступа;
причем
агрегатор принимает UDP-сообщение, отправляемое балансировщиком нагрузки, накапливает принимаемое множество UDP-сообщений в соответствии с предопределенной комбинацией полей данных и предопределенной длительностью таким образом, чтобы формировать статистические данные, и отправляет накопленные статистические данные в сумматор в ответ на запрос от сумматора; и
сумматор запрашивает статистические данные от агрегатора в соответствии с предопределенным временным интервалом запроса, принимает статистические данные от агрегатора, формирует черный список для запросов доступа в соответствии с принимаемыми статистическими данными и предопределенным правилом и отправляет черный список в балансировщик нагрузки в ответ на запрос от балансировщика нагрузки.
8. Способ по п. 7, в котором статистические данные включают в себя число UDP-сообщений, содержащих предопределенную комбинацию полей данных, накопленных в течение предопределенной длительности.
9. Способ по п. 7, в котором
агрегатор содержит множество блоков агрегации, работающих независимо друг от друга, балансировщик нагрузки передает каждое UDP-сообщение в один из множества блоков агрегации, и каждый из множества блоков агрегации выполняет накопление соответственно,
сумматор принимает статистические данные от множества блоков агрегации соответственно и формирует суммарные статистические данные, и
черный список формируется на основе суммарных статистических данных и предопределенного правила.
10. Способ по п. 7, в котором
балансировщик нагрузки дополнительно содержит предопределенный белый список, который содержит одну или более из записей, относящихся к пропускаемым запросам доступа, и
балансировщик нагрузки определяет для каждого из принимаемых запросов доступа действие обработки по запросу доступа следующим образом:
когда запрос доступа согласуется с одной из записей в белом списке или не согласуется ни с одной из записей в черном списке, запрос доступа пропускается, и
когда запрос доступа не согласуется ни с одной из записей в белом списке и согласуется с одной из записей в черном списке, запрос доступа обрабатывается в соответствии с действием обработки, задаваемым согласованной записью в черном списке.
11. Способ по п. 10, в котором предопределенный белый список в балансировщике нагрузки получается из сумматора вместе с черным списком.
12. Способ по п. 7, в котором действие обработки, задаваемое в черном списке, включает в себя одно из следующего: перехват, переадресация и задержка.
RU2017128207A 2015-01-09 2016-01-08 Система и способ для ограничения запросов доступа RU2666289C1 (ru)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201510011598.9 2015-01-09
CN201510011598.9A CN104580216B (zh) 2015-01-09 2015-01-09 一种对访问请求进行限制的***和方法
PCT/CN2016/070522 WO2016110273A1 (zh) 2015-01-09 2016-01-08 一种对访问请求进行限制的***和方法

Publications (1)

Publication Number Publication Date
RU2666289C1 true RU2666289C1 (ru) 2018-09-06

Family

ID=53095397

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2017128207A RU2666289C1 (ru) 2015-01-09 2016-01-08 Система и способ для ограничения запросов доступа

Country Status (6)

Country Link
US (1) US10735501B2 (ru)
JP (2) JP2018508166A (ru)
CN (1) CN104580216B (ru)
HK (1) HK1204726A1 (ru)
RU (1) RU2666289C1 (ru)
WO (1) WO2016110273A1 (ru)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104580216B (zh) 2015-01-09 2017-10-03 北京京东尚科信息技术有限公司 一种对访问请求进行限制的***和方法
CN104580228A (zh) * 2015-01-16 2015-04-29 北京京东尚科信息技术有限公司 对来自网络的访问请求产生黑名单的***和方法
CN105939320A (zh) * 2015-12-02 2016-09-14 杭州迪普科技有限公司 处理报文的方法及装置
CN107454120A (zh) * 2016-05-30 2017-12-08 北京京东尚科信息技术有限公司 网络攻击防御***和防御网络攻击的方法
CN108683631B (zh) * 2018-03-30 2019-12-20 厦门白山耘科技有限公司 一种防止扫描权限文件的方法和***
CN109241458A (zh) * 2018-07-11 2019-01-18 上海斐讯数据通信技术有限公司 一种基于路由器的广告拦截方法和路由器
CN109617932B (zh) * 2019-02-21 2021-07-06 北京百度网讯科技有限公司 用于处理数据的方法和装置
CN112953985B (zh) * 2019-12-10 2023-04-07 贵州白山云科技股份有限公司 请求数据处理方法、装置、介质及***
CN113179317B (zh) * 2021-04-27 2023-02-07 杭州迪普科技股份有限公司 内容重写设备的测试***及方法
CN113904839A (zh) * 2021-09-30 2022-01-07 杭州数梦工场科技有限公司 访问请求管理方法及装置
CN115174249A (zh) * 2022-07-18 2022-10-11 湖北天融信网络安全技术有限公司 安全日志的处理方法及电子设备、存储介质
CN115396376A (zh) * 2022-08-22 2022-11-25 平安科技(深圳)有限公司 负载均衡方法、装置、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7478429B2 (en) * 2004-10-01 2009-01-13 Prolexic Technologies, Inc. Network overload detection and mitigation system and method
US20110083179A1 (en) * 2009-10-07 2011-04-07 Jeffrey Lawson System and method for mitigating a denial of service attack using cloud computing
RU133954U1 (ru) * 2013-04-29 2013-10-27 Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" (СПбГУТ) Устройство защиты сети
US20140373146A1 (en) * 2013-06-14 2014-12-18 Microsoft Corporation Dos detection and mitigation in a load balancer

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020133603A1 (en) * 2001-03-13 2002-09-19 Fujitsu Limited Method of and apparatus for filtering access, and computer product
US7463590B2 (en) * 2003-07-25 2008-12-09 Reflex Security, Inc. System and method for threat detection and response
FR2872983A1 (fr) * 2004-07-09 2006-01-13 Thomson Licensing Sa Systeme de pare-feu protegeant une communaute d'appareils, appareil participant au systeme et methode de mise a jour des regles de pare-feu au sein du systeme
US8089871B2 (en) * 2005-03-25 2012-01-03 At&T Intellectual Property Ii, L.P. Method and apparatus for traffic control of dynamic denial of service attacks within a communications network
JP4602158B2 (ja) * 2005-05-25 2010-12-22 三菱電機株式会社 サーバ装置保護システム
US9794272B2 (en) * 2006-01-03 2017-10-17 Alcatel Lucent Method and apparatus for monitoring malicious traffic in communication networks
JP2008135871A (ja) * 2006-11-27 2008-06-12 Oki Electric Ind Co Ltd ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム
JP4900119B2 (ja) * 2007-08-01 2012-03-21 ヤマハ株式会社 ネットワーク機器
JP4319246B2 (ja) * 2007-12-12 2009-08-26 デュアキシズ株式会社 通信制御装置及び通信制御方法
JP5142956B2 (ja) * 2008-11-20 2013-02-13 日本電信電話株式会社 トラフィック情報管理サーバ及びトラフィック情報管理方法
CN101437030B (zh) * 2008-11-29 2012-02-22 成都市华为赛门铁克科技有限公司 一种防止服务器被攻击的方法、检测装置及监控设备
JP2011049794A (ja) * 2009-08-27 2011-03-10 Alaxala Networks Corp パケットフロー統計値取得システム及びパケットフロー統計値取得方法
US9197600B2 (en) * 2011-09-29 2015-11-24 Israel L'Heureux Smart router
CN103491053A (zh) * 2012-06-08 2014-01-01 北京百度网讯科技有限公司 Udp负载均衡方法、***及装置
US9553809B2 (en) * 2013-04-16 2017-01-24 Amazon Technologies, Inc. Asymmetric packet flow in a distributed load balancer
CN103746982B (zh) 2013-12-30 2017-05-31 中国科学院计算技术研究所 一种http网络特征码自动生成方法及其***
CN104104669A (zh) * 2014-06-17 2014-10-15 上海地面通信息网络有限公司 适用于因特网数据中心领域的抗DDoS攻击防护***
CN104579841B (zh) 2015-01-09 2018-09-14 北京京东尚科信息技术有限公司 根据接收的udp报文产生对特定统计数据项的统计结果的***
CN104580216B (zh) 2015-01-09 2017-10-03 北京京东尚科信息技术有限公司 一种对访问请求进行限制的***和方法
CN104580228A (zh) 2015-01-16 2015-04-29 北京京东尚科信息技术有限公司 对来自网络的访问请求产生黑名单的***和方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7478429B2 (en) * 2004-10-01 2009-01-13 Prolexic Technologies, Inc. Network overload detection and mitigation system and method
US20110083179A1 (en) * 2009-10-07 2011-04-07 Jeffrey Lawson System and method for mitigating a denial of service attack using cloud computing
RU133954U1 (ru) * 2013-04-29 2013-10-27 Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" (СПбГУТ) Устройство защиты сети
US20140373146A1 (en) * 2013-06-14 2014-12-18 Microsoft Corporation Dos detection and mitigation in a load balancer

Also Published As

Publication number Publication date
US10735501B2 (en) 2020-08-04
JP6726331B2 (ja) 2020-07-22
CN104580216A (zh) 2015-04-29
JP2019134484A (ja) 2019-08-08
WO2016110273A1 (zh) 2016-07-14
HK1204726A1 (en) 2015-11-27
CN104580216B (zh) 2017-10-03
JP2018508166A (ja) 2018-03-22
US20180278678A1 (en) 2018-09-27

Similar Documents

Publication Publication Date Title
RU2666289C1 (ru) Система и способ для ограничения запросов доступа
US20200322374A1 (en) Identifying a Denial-of-Service Attack in a Cloud-Based Proxy Service
US10257224B2 (en) Method and apparatus for providing forensic visibility into systems and networks
US8856913B2 (en) Method and protection system for mitigating slow HTTP attacks using rate and time monitoring
CN109194680B (zh) 一种网络攻击识别方法、装置及设备
KR101312905B1 (ko) 네트워크 증폭 공격 완화 방법
US10505952B2 (en) Attack detection device, attack detection method, and attack detection program
JP2013201747A (ja) ネットワークシステム、ネットワーク中継方法及び装置
WO2020037781A1 (zh) 一种实现服务器防攻击方法及装置
CN112929376A (zh) 一种流量数据的处理方法、装置、计算机设备和存储介质
CN104580228A (zh) 对来自网络的访问请求产生黑名单的***和方法
Gonzalez et al. The impact of application-layer denial-of-service attacks
Kumar et al. Denial of Service due to direct and indirect ARP storm attacks in LAN environment
Shaar et al. DDoS attacks and impacts on various cloud computing components
US20230208874A1 (en) Systems and methods for suppressing denial of service attacks
WO2019159989A1 (ja) 監視システム、監視方法及び監視プログラム
CN113014530A (zh) Arp欺骗攻击防范方法及***
CN104579841A (zh) 根据接收的udp报文产生对特定统计数据项的统计结果的***
Junaid et al. An indigenous solution for SYN flooding
Sahu et al. A performance analysis of network under SYN-flooding attack
Tanabe et al. Adaptive timer-based countermeasures against TCP SYN flood attacks
Karlström Implementation of data-collection tools using NetFlow for statistical analysis at the ISP level
Korn Defense mechanisms against network attacks and worms
Ye et al. A Defensive OTP-Based Mechanism against Application Layer DDoS Attacks