CN101035034A - 一种检测报文攻击的方法及装置 - Google Patents
一种检测报文攻击的方法及装置 Download PDFInfo
- Publication number
- CN101035034A CN101035034A CNA2007100962459A CN200710096245A CN101035034A CN 101035034 A CN101035034 A CN 101035034A CN A2007100962459 A CNA2007100962459 A CN A2007100962459A CN 200710096245 A CN200710096245 A CN 200710096245A CN 101035034 A CN101035034 A CN 101035034A
- Authority
- CN
- China
- Prior art keywords
- message
- source
- address
- port
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种检测报文攻击的方法及装置,具体包括:判断收到的报文是否经过网络地址转换处理,若是,则基于源IP地址加源端口进行报文速率的统计,否则,基于源IP地址进行报文速率的统计;若统计结果超过预定的阈值,则确定基于该源IP地址或该源IP地址加源端口的报文为攻击报文;如不超过阈值时,则对所述的报文进一步解析判断,以便识别伪造网络地址转换的报文攻击。因此,本发明的实现可以解决存在地址转换或端口转换环境下准确标记每个报文流的问题,以便准确识别流攻击。
Description
技术领域
本发明涉及固定通信网络,尤其涉及一种检测报文攻击的方法及装置。
背景技术
会话初始协议流(SIP Flood)攻击是指攻击者通过发送比正常IP多媒体系统(IMS)业务情况下的会话初始协议的(SIP)信令速率高出几十倍到成千上万倍的SIP信令速率攻击IMS网络设备,使得被攻击设备大量消耗处理能力和占用网络带宽,造成被攻击设备无法对其他用户正常提供服务,严重的情况下会导致IMS网络的瘫痪。
由于,目前在IMS网络中现有的SIP固定终端大多数仅仅支持HTTP摘要(HTTP Digest),而不支持IMS认证和安全协议(IMS AKA)认证或不支持IP协议安全扩展(IPSEC),因此,无法采用3GPP TS 33.20中建议的IPSEC方式保护固定终端和代理呼叫会话控制功能实体(P-CSCF)之间的SIP信令通道。网络运营商通常采用数字用户线路(XDSL)或专线方式接入个人用户或者企业用户,在多服务接入点(MSAN)、宽带远程接入服务器(BRAS)或路由器上提供源IP地址仿冒过滤,来保障SIP信令通道安全。
如图1所示,采用源IP地址标记每个IMS用户的SIP信令流来发现SIPFlood攻击,即在P-CSCF或者在P-CSCF和固定SIP终端之间的某个设备,通过统计基于源IP地址的SIP信令速率(即单位时间内的流量),当统计出的SIP信令速率超过预先设定的阈值,则判断从该源IP地址发出的SIP信令流为SIP Flood攻击。
相应的识别SIP Flood攻击的具体处理步骤包括:
接收报文,进行1-4层解析,然后检查是否是用户数据协议(UDP),且目的端口(PORT)是否是5060,如否则抛弃该报文,继续接收报文,如是则按照源IP地址进行分类统计速率,并检查从该源IP地址收到的SIP报文速率是否超过预先设定的阈值,如是则将该源IP地址收到的SIP信令流标记为SIPFlood攻击,然后继续接收报文,如否则转正常处理流程。
但是,采用此方案存在以下缺点:若网络中在终端和P-CSCF之间设置有网络地址信息转换设备(NAT/PAT),且NAT/PAT设备后有多个固定SIP终端时,则无法区分转换后的单个SIP信令流,仍如图1所示,固定SIP终端A、B、C在经过PAT转换后具有相同的源IP地址IPf,因此,容易将正常的SIP信令流误判为SIP Flood攻击。
为了克服上述方案存在的缺陷,目前采用的另一种技术方案如图2所示,即采用源IP地址加源PORT标记每个IMS用户的SIP信令流,即在P-CSCF或者在P-CSCF和固定SIP终端之间的某个设备,通过统计基于源IP地址加源端口(PORT)的SIP信令速率,当统计出的SIP信令速率超过预先设定的阈值,则判断从该源IP地址发出的SIP信令流为SIP Flood攻击速率。
相应的识别SIP Flood攻击的具体处理步骤包括:
接收报文,进行1-4层解析,然后检查是否是用户数据协议(UDP),且目的端口(PORT)是否是5060,如否则抛弃该报文,继续接受报文,如是则按照源IP地址加源PORT进行分类统计速率,并检查从该源IP地址收到的SIP报文速率是否超过预先设定的阈值,如是则将该源IP地址收到的SIP信令流标记为SIP Flood攻击,然后继续接收报文,如否则转正常处理流程。
由于在该方案中采用基于源IP地址加源PORT进行分类统计SIP报文速率,即使固定SIP终端A、B、C在经过PAT转换后具有相同的源IP地址IPf,但是由于端口不同,也不会将正常的SIP信令流误判为SIP Flood攻击。
然而,在该技术实现方案中,正是由于采用基于源IP地址加源PORT进行分类统计SIP报文速率,当攻击者采用真实的源IP地址加不同的源PORT方式伪造NAT/PAT转换后的SIP信令报文时,便可以保证每个单独的源IP地址加源PORT的SIP信令速率都在正常的速率范围;但是,实际上,基于该源IP地址总的SIP信令速率已经构成SIP Flood攻击。也就是说,在该方案中,易将伪造的进行SIP Flood攻击的SIP信令流误判为正常的SIP信令流,从而无法有效过滤SIP Flood攻击。
发明内容
本发明实施例提供了一种检测报文攻击的方法及装置,从而可以根据实际的网络环境准确识别SIP Flood攻击。
本发明实施例提供了一种检测报文攻击的方法,包括:
判断收到的报文是否经过网络地址转换处理,若是,则基于源IP地址加源端口进行报文速率的统计,否则,基于源IP地址进行报文速率的统计;
若统计结果超过预定的阈值,则确定基于该源IP地址或该源IP地址加源端口的报文为攻击报文。
本发明实施例提供了一种检测报文攻击的装置,包括:
第一网络地址转换判断单元:用于对网络传输层收到的报文判断是否经过网络地址转换处理,若是,则将所接收的报文发送到第二报文速率统计单元处理;否则,将所接收的报文发送到第一报文速率统计单元处理;
第一报文速率统计单元:基于源IP地址对所接收的报文进行速率统计,并将统计结果发送到第一流报文攻击判断单元;
第二报文速率统计单元:基于源IP地址加源端口对所接收的报文进行速率统计,并将统计结果发送到第一流报文攻击判断单元;
第一报文攻击判断单元:将第一报文速率统计单元和第二报文速率统计单元统计出的报文速率与预先设定的阈值进行比较,如超出阈值则判断基于该源IP地址或源IP地址加源端口对应的报文为攻击报文。
由上述本发明实施例提供的技术方案可以看出,通过解析收到的报文判断终端和代理呼叫会话控制功能实体之间是否存在网络地址转换设备,以确定针对报文流的统计方式。因此,本发明实施例的实现可以根据实际网络环境中是否存在网络地址转换设备的情况,准确标记每个报文流的问题,进而准确识别会话初始协议流攻击。
附图说明
图1为现有技术一提供的识别攻击的方法的处理过程示意图;
图2为现有技术二提供的识别攻击的方法的处理过程示意图;
图3为本发明实施例提供的方法的处理流程示意图;
图4为本发明实施例提供的装置的结构示意图。
具体实施方式
本发明实施例提供的检测报文攻击的实现方案中,首先判断收到的报文是否经过网络地址转换处理,之后,根据判断结果,若收到的报文是经过网络地址转换处理,则基于源IP地址加源端口进行报文速率的统计,否则,基于源IP地址进行报文速率的统计;当确定获得的报文速率的统计结果超过预定的阈值后,则确定基于该源IP地址或该源IP地址加源端口的报文为攻击报文。因此,本发明实施例的实现可以有效克服现有技术存在的问题。
具体一点讲,本发明实施例提供的所述的检测报文攻击的方法可以包括以下处理过程:
(1)在网络传输层接收到该源IP地址的报文后,解析收到的报文,并判断是否经过网络地址转换处理;
其中,所述的网络地址转换处理具体可以包括地址转换(NAT)和端口转换(PAT)等;
而且,相应的判断是否经过网络地址转换处理的过程如下可以为:
在网络传输层接收基于该源IP地址的第一个报文后,缺省判断所接收的该源IP地址第一个报文未经过网络地址转换处理,当解析出的该报文的网络传输层的源IP地址加源端口与经过应用层解析后的源IP地址加源端口进行比较,若所述源IP地址加源端口均相同,则确定该报文未经过网络地址转换处理;否则,确定该报文经过网络地址转换处理。
在该判断处理过程中,当应用层在确定所述的基于该源IP地址的第一个报文经过网络地址转换处理后,则记录该报文的源IP地址加源端口对应的报文为经过网络地址转换处理后的报文;同时,还需要将该记录信息通知网络传输层,以便于在网络传输层接收到后续报文时,若确定后续接收的报文中的网络传输层的源IP地址加源端口与所述的记录报文的源IP地址加端口匹配,则确定该后续接收的报文为经过网络地址转换处理的报文。
(2)根据上述判断结果,进行基于源IP地址或基于源IP地址加源端口的报文统计;
具体可以为:若所接收的报文没有经过网络地址转换处理时,则按源IP地址进行分类统计报文速率;若所接收的报文经过网络地址转换处理,则按源IP地址加源端口(PORT)进行分类统计报文速率。
(3)根据上述处理过程(2)中统计的速率值与预设的阈值进行比较,当所述的统计结果超过预定的阈值时,则判断按源IP地址或源IP地址加源PORT的报文为攻击报文。
在该处理过程(3)中,若统计的速率未超过阈值,则对所述接收的报文作进一步应用层解析,以进一步判断该报文是否经过网络地址转换处理,若经过网络地址转换处理,进一步识别所述接收的报文是否为伪造网络地址转换的报文攻击;
其相应的识别伪造网络地址转换的报文攻击的具体处理步骤包括:
首先,对当前接收的报文作应用层解析,在确定所述报文为经过网络地址转换处理后的报文时,判断该报文的源IP地址加源端口是否注册,若确定未注册,且该报文不是注册报文,则统计该报文中的源IP地址下不同的端口数量,当所述端口数量超过预定的数量,则确定该源IP地址对应的报文为攻击报文。
为了便于理解本发明实施例的技术方案,现结合附图3对本发明的实施例提供的基于源IP地址和源IP地址加源PORT识别SIP Flood攻击的方法进行详细的说明。
如图3所示是本发明实施例提供的在网络传输层基于源IP地址和源IP地址加源PORT标记每个接收的报文,并实现识别SIP Flood攻击的流程图,具体包括以下步骤:
步骤31:网络传输层开始接收报文,所述的报文包括基于该源IP地址的第一个报文或基于该源IP地址的后续报文;
步骤32:对所接收的报文进行网络传输层的1-4层解析;
步骤33:根据解析结果,判断是否是UDP,且目的PORT是否是5060,如否则抛弃报文,如是,则确定为SIP报文,并执行步骤34;
步骤34:判断终端和P-CSCF之间是否存在NAT/PAT设备,所述的NAT/PAT设备为网络地址转换设备,包括地址转换(NAT)设备和端口转换(PAT)设备,用于对所接收的报文进行IP地址转换和端口地址转换,若存在NAT/PAT设备则执行步骤35,否则执行步骤36;
所述的判断终端和P-CSCF之间是否存在NAT/PAT设备的过程具体包括:网络传输层接收基于该源IP地址的第一个报文后,缺省判断所接收的该源IP地址第一个报文不经过网络地址转换处理,当解析出的该第一个报文的网络传输层的源IP地址加源端口与经过应用层解析后的源IP地址加源端口进行比较,若所述源IP地址加源端口均相同,则确定该报文未经过网络地址转换处理,即不存在NAT/PAT设备;否则,确定该报文经过网络地址转换处理,即存在NAT/PAT设备。
当应用层在确定所述的基于该源IP地址的第一个报文经过网络地址转换处理后,则记录该报文的源IP地址加源端口对应的报文为经过网络地址转换处理后的报文,并将该记录信息通知网络传输层,在网络传输层接收到后续报文时,若后续接收的报文中的网络传输层的源IP地址加源端口与所述的记录报文的源IP地址加端口匹配后,则确定该后续接收的报文经过网络地址转换处理。
步骤35:对接收到的报文按源IP地址加源PORT进行分类统计报文速率,并执行步骤37;
步骤36:对接收到的报文按源IP地址进行分类统计报文速率,并执行步骤37;
步骤37:判断按源IP地址和源IP加源PORT分类统计的报文速率是否超过预设的阈值,如是则执行步骤38,如否则执行步骤39,以便于对所述的报文进行进一步地解析判断;
在确定所述报文速率未超过预设的阈值后需要执行步骤39,这是因为:
当按源IP地址进行速率统计,若统计的速率不超过阈值时,由于在网络传输层对基于该源IP地址的第一个报文做1-4层的解析,缺省判断为不存在网络地址信息转换设备,此时,应对所述的第一次接收的从该源IP地址发出的报文通过应用层作进一步5-7层的解析,判断是否经过网络地址转换处理,若是,将该源IP地址加端口对应的报文记录为经过网络地址转换处理的报文,并将记录信息通知网络传输层;
当按源IP地址加源端口进行速率统计,若统计的速率不超过阈值时,对所述的基于该源IP地址的后续报文也应在应用层作进一步解析,判断是否为伪造网络地址转换处理的报文攻击。
步骤38:确定相应报文为攻击报文,并按源IP地址或源IP地址加源PORT的速率标记为SIP Flood攻击。
步骤39:对所接收的报文在应用层进行5-7层解析;
步骤310:根据解析结果,判断终端和P-CSCF之间是否存在NAT/PAT设备,如否则按正常流程处理,如是则执行步骤311;
步骤311:进一步判断该报文的源IP地址加源PORT是否已经注册,如是,则确定该源IP地址加源PORT对应的报文为正常报文,并可以按照正常流程对其进行处理,否则,执行步骤312;
步骤312:进一步判断该报文是否为注册报文,如是,则执行步骤313,否则,执行步骤314;
步骤313:待注册报文注册成功后,在应用层标记该源IP地址加源PORT已注册,并通知网络传输层标记该源IP地址加源PORT存在NAT/PAT设备,并按正常流程处理,例如,可以采用现有技术提供的处理进行相应后续处理。
步骤314:统计该报文的源IP地址下不同PORT的数量,以便于根据该统计的数量确定是否为伪造的攻击报文,同时,抛弃所述的报文,并执行步骤315;
步骤315:判断不同的PORT数量是否超过预定的阈值,如是,则执行步骤316;
步骤316:确定相应报文为攻击报文,并将所述判断结果通知网络传输层,即通知网络传输层标记该源IP地址对应的报文为SIP Flood攻击。
综上所述,由于本发明实施例对SIP Flood攻击的检测分为网络传输层和应用层检测两个部分进行,在网络传输层通过采用基于源IP地址和源IP地址加源PORT统计收到的报文速率来检测SIP Flood攻击,在应用层通过识别终端和P-CSCF之间是否存在NAT/PAT和伪造NAT/PAT报文来检测SIP Flood攻击。因此,能够实现存在NAT/PAT环境且无法采用IPSEC情况下的SIP Flood攻击识别,同时具有准确性高,无需现有的固定SIP终端进行改动的特点,有利于IMS网络的快速部署。
本发明实施例还提供了一种检测报文攻击的装置,其具体实现结构如图4所示,具体可以包括以下单元:
(1)第一网络地址转换判断单元:用于对网络传输层收到的报文判断是否经过网络地址转换处理,若是,则将所接收的报文发送到第二报文速率统计单元处理;否则,将所接收的报文发送到第一报文速率统计单元处理;
所述的第一网络地址转换判断单元具体可以包括:网络传输层解析单元、信息记录单元和判断处理单元,其中,
网络传输层解析单元,用于在网络传输层解析获得报文中的网络传输层的源IP地址加源端口信息,并发送判断处理单元作为比较判断依据;
信息记录单元,用于根据应用层第二网络地址转换判断单元确定所述的报文经过网络地址转换处理的结果,记录该报文的源IP地址加源端口对应的报文为经过网络地址转换处理后的报文,并发送判断处理单元作为判断依据;
判断处理单元,用于将网络传输层接收的报文在网络传输层解析单元获得的报文源IP地址加源端口与所述信息记录单元记录的报文的源IP地址加端口进行匹配比较,若完全匹配,则判断所述接收的报文经过网络地址转换处理,否则判断所述接收的报文未经过网络地址转换处理。
(2)第一报文速率统计单元:基于源IP地址对每个报文进行速率统计,并将统计结果发送到第一报文攻击判断单元;
(3)第二报文速率统计单元:基于源IP地址加源PORT对每个报文进行速率统计,并将统计结果发送到第一报文攻击判断单元;
(4)第一报文攻击判断单元:当根据第一报文速率统计单元和第二报文速率统计单元统计出的报文速率与预先设定的阈值进行比较,如超过阈值则判断按源IP地址或源IP地址加源PORT的报文为攻击报文。
可选地,所述的装置还可以包括第二网络地址转换判断单元和第二报文攻击判断单元,其中:
第二网络地址转换判断单元,用于在应用层对收到的报文判断是否经过网络地址转换处理,在确定该报文经过网络地址转换处理,将判断结果发送第一网络地址转换判断单元中所述的信息记录单元进行记录,并将所接收的报文发送第二报文攻击判断单元,用以判断所述接收的报文是否为伪造网络地址转换的报文攻击;
所述的在应用层对收到的报文判断是否经过网络地址转换处理过程包括:将网络传输层解析单元获得的报文中的网络传输层的源IP地址加源端口与应用层解析获得的该报文的应用层的源IP地址加源端口进行比较,若所述源IP地址加源端口均相同,则确定该报文未经过网络地址转换处理;否则,确定该报文经过网络地址转换处理;
第二报文攻击判断单元,用于在确定接收的报文不是注册报文时,统计该源IP地址下不同端口的数量,并当统计出不同的端口数量超过阈值时,通知网络传输层标记该源IP地址对应的报文是伪造网络地址转换的报文攻击。
所述的装置还可以包括源IP地址加源端口注册判断单元,用于判断所接收的报文的源IP地址加源端口是否已经注册,若确定没有注册,则将所接收的报文发送到所述第二报文攻击判断单元。
所述的第二报文攻击判断单元还可以连接有注册报文判断单元,用于在判断接收到的报文是注册报文时,待注册报文注册成功后,在应用层标记该源IP地址加源端口已注册,并通知网络传输层标记该源IP地址加源端口对应的报文是经过网络地址转换的报文。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (11)
1、一种检测报文攻击的方法,其特征在于,包括:
判断收到的报文是否经过网络地址转换处理,若是,则基于源IP地址加源端口进行报文速率的统计,否则,基于源IP地址进行报文速率的统计;
若统计结果超过预定的阈值,则确定基于该源IP地址或该源IP地址加源端口的报文为攻击报文。
2、根据权利要求1所述的方法,其特征在于,所述的判断收到的报文是否经过网络地址转换处理的步骤包括:
将报文中的网络传输层的源IP地址加源端口与应用层的源IP地址加源端口进行比较,若所述源IP地址加源端口均相同,则确定该报文未经过网络地址转换处理;否则,确定该报文经过网络地址转换处理。
3、根据权利要求2所述的方法,其特征在于,在确定所述的报文经过网络地址转换处理后,则记录该报文的源IP地址加源端口对应的报文为经过网络地址转换处理后的报文,且所述的判断收到的报文是否经过网络地址转换处理的步骤还包括:
在确定后续接收的报文中的网络传输层的源IP地址加源端口与所述记录报文的源IP地址加端口匹配后,则确定后续接收的报文经过网络地址转换处理。
4、根据权利要求1、2或3所述的方法,其特征在于,在确定该报文经过网络地址转换处理且针对该报文的统计结果未超过所述预定的阈值后,所述方法还包括:
统计该报文中的源IP地址下不同的端口数量,若所述端口数量超过预定的数量,则确定该源IP地址对应的报文为攻击报文。
5、根据权利要求4所述的方法,其特征在于,所述统计该报文中的源IP地址下不同的端口数量的步骤具体包括:
确定接收到的报文的源IP地址加源端口未注册,且该报文不是注册报文,则统计该报文中的源IP地址下不同的端口数量。
6、根据权利要求5所述的方法,其特征在于,若接收到的报文是注册报文,则待注册成功后,在应用层标记该源IP地址加源端口已注册,并记录该源IP地址加源端口对应的报文为经过网络地址转换处理后的报文。
7、一种检测报文攻击的装置,其特征在于,包括:
第一网络地址转换判断单元:用于对网络传输层收到的报文判断是否经过网络地址转换处理,若是,则将所接收的报文发送到第二报文速率统计单元处理;否则,将所接收的报文发送到第一报文速率统计单元处理;
第一报文速率统计单元:基于源IP地址对所接收的报文进行速率统计,并将统计结果发送到第一流报文攻击判断单元;
第二报文速率统计单元:基于源IP地址加源端口对所接收的报文进行速率统计,并将统计结果发送到第一流报文攻击判断单元;
第一报文攻击判断单元:将第一报文速率统计单元和第二报文速率统计单元统计出的报文速率与预先设定的阈值进行比较,如超出阈值则判断基于该源IP地址或源IP地址加源端口对应的报文为攻击报文。
8、根据权利要求7所述的装置,其特征在于,所述的第一网络地址转换判断单元包括:
网络传输层解析单元,用于在网络传输层解析获得报文中的网络传输层的源IP地址加源端口信息;
信息记录单元,用于根据应用层解析后确定所述的报文经过网络地址转换处理的结果,记录该报文的源IP地址加源端口对应的报文为经过网络地址转换处理后的报文;
判断处理单元,用于将网络传输层接收的报文在网络传输层解析单元获得的报文源IP地址加源端口与所述信息记录单元记录的报文的源IP地址加端口进行匹配比较,若完全匹配,则判断所述接收的报文经过网络地址转换处理,否则判断所述接收的报文未经过网络地址转换处理。
9、根据权利要求7所述的装置,其特征在于,所述的装置还包括:
第二网络地址转换判断单元,用于在应用层对收到的报文判断是否经过网络地址转换处理,并在确定该报文经过网络地址转换处理,将所接收的报文发送第二报文攻击判断单元;
第二报文攻击判断单元,用于确定接收的报文不是注册报文时,统计该源IP地址下不同端口的数量,并当统计出不同的端口数量超过阈值时,通知网络传输层标记该源IP地址对应的报文为攻击报文。
10、根据权利要求9所述的装置,其特征在于,所述的装置还包括源IP地址加源端口注册判断单元,用于判断所接收的报文的源IP地址加源端口是否已经注册,若确定没有注册,则将所接收的报文发送到所述第二报文攻击判断单元。
11、根据权利要求9所述的装置,其特征在于,所述的第二报文攻击判断单元还连接有注册报文判断单元,用于判断接收到的报文是否为注册报文,若是注册报文,待注册报文注册成功后,在应用层标记该源IP地址加源端口已注册,并通知网络传输层标记该源IP地址加源端口对应的报文经过网络地址转换的报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2007100962459A CN100479396C (zh) | 2007-04-02 | 2007-04-02 | 一种检测报文攻击的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2007100962459A CN100479396C (zh) | 2007-04-02 | 2007-04-02 | 一种检测报文攻击的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101035034A true CN101035034A (zh) | 2007-09-12 |
| CN100479396C CN100479396C (zh) | 2009-04-15 |
Family
ID=38731353
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2007100962459A Expired - Fee Related CN100479396C (zh) | 2007-04-02 | 2007-04-02 | 一种检测报文攻击的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100479396C (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009105913A1 (en) * | 2008-02-26 | 2009-09-03 | Lucent Technologies Inc. | Method for preventing attack of message flood and network element |
| CN101127649B (zh) * | 2007-09-30 | 2010-12-08 | 成都市华为赛门铁克科技有限公司 | 一种防御网络攻击的方法和系统 |
| CN102255910A (zh) * | 2011-07-11 | 2011-11-23 | 北京天融信科技有限公司 | 一种测试入侵防御产品性能的方法和装置 |
| CN104270229A (zh) * | 2014-09-12 | 2015-01-07 | 汉柏科技有限公司 | 一种防止负载均衡链路连续震荡的方法及装置 |
| CN105207997A (zh) * | 2015-08-19 | 2015-12-30 | 北京星网锐捷网络技术有限公司 | 一种防攻击的报文转发方法和系统 |
| CN105763531A (zh) * | 2016-01-04 | 2016-07-13 | 杭州华三通信技术有限公司 | 一种报文检测方法及装置 |
| CN105991632A (zh) * | 2015-04-20 | 2016-10-05 | 杭州迪普科技有限公司 | 网络安全防护方法及装置 |
| CN107360122A (zh) * | 2016-05-10 | 2017-11-17 | 北京京东尚科信息技术有限公司 | 防止恶意请求的方法和装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2320601B1 (en) * | 2009-11-05 | 2017-01-04 | Amadeus S.A.S. | Method and system for adapting a session timeout period |
-
2007
- 2007-04-02 CN CNB2007100962459A patent/CN100479396C/zh not_active Expired - Fee Related
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127649B (zh) * | 2007-09-30 | 2010-12-08 | 成都市华为赛门铁克科技有限公司 | 一种防御网络攻击的方法和系统 |
| WO2009105913A1 (en) * | 2008-02-26 | 2009-09-03 | Lucent Technologies Inc. | Method for preventing attack of message flood and network element |
| CN102255910A (zh) * | 2011-07-11 | 2011-11-23 | 北京天融信科技有限公司 | 一种测试入侵防御产品性能的方法和装置 |
| CN102255910B (zh) * | 2011-07-11 | 2017-03-22 | 北京天融信科技有限公司 | 一种测试入侵防御产品性能的方法和装置 |
| CN104270229A (zh) * | 2014-09-12 | 2015-01-07 | 汉柏科技有限公司 | 一种防止负载均衡链路连续震荡的方法及装置 |
| CN105991632A (zh) * | 2015-04-20 | 2016-10-05 | 杭州迪普科技有限公司 | 网络安全防护方法及装置 |
| CN105207997A (zh) * | 2015-08-19 | 2015-12-30 | 北京星网锐捷网络技术有限公司 | 一种防攻击的报文转发方法和系统 |
| CN105207997B (zh) * | 2015-08-19 | 2018-11-09 | 北京星网锐捷网络技术有限公司 | 一种防攻击的报文转发方法和系统 |
| CN105763531A (zh) * | 2016-01-04 | 2016-07-13 | 杭州华三通信技术有限公司 | 一种报文检测方法及装置 |
| CN105763531B (zh) * | 2016-01-04 | 2019-04-09 | 新华三技术有限公司 | 一种报文检测方法及装置 |
| CN107360122A (zh) * | 2016-05-10 | 2017-11-17 | 北京京东尚科信息技术有限公司 | 防止恶意请求的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100479396C (zh) | 2009-04-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101035034A (zh) | 一种检测报文攻击的方法及装置 | |
| CN108282497B (zh) | 针对SDN控制平面的DDoS攻击检测方法 | |
| KR101107742B1 (ko) | 에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 시스템 | |
| CN101056306A (zh) | 网络设备及其访问控制方法 | |
| US20080026778A1 (en) | Message spoofing detection via validation of originating switch | |
| US9641561B2 (en) | Method and system for managing a SIP server | |
| CN1612532A (zh) | 基于主机的网络入侵检测系统 | |
| CN101056222A (zh) | 一种深度报文检测方法、网络设备及系统 | |
| CN1878141A (zh) | 网络控制装置及其控制方法 | |
| CN1697404A (zh) | 一种交互式的网络蠕虫检测系统和方法 | |
| CN101039326A (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
| CN1882170A (zh) | 传统终端用户接入ims域的实现方法及系统 | |
| EP2073457A1 (en) | A method and apparatus for preventing igmp message attack | |
| CN1762139A (zh) | Imc中的请求重定向处理 | |
| CN1819560A (zh) | 多单元发送时的报文序列号检测方法及装置 | |
| CN1866951A (zh) | 在网络中检测共享接入主机的方法及系统 | |
| CN101540758A (zh) | 抑制垃圾业务的方法、装置和系统 | |
| US20090138959A1 (en) | DEVICE, SYSTEM AND METHOD FOR DROPPING ATTACK MULTIMEDIA PACKET IN THE VoIP SERVICE | |
| CN1885856A (zh) | 在网络中识别rtp媒体流的实现方法 | |
| WO2012151929A1 (zh) | 一种短消息监控方法及装置 | |
| CN101047509A (zh) | 会话攻击检测系统及检测方法 | |
| CN1567900A (zh) | 一种在路由设备中实现报文转发控制的方法 | |
| CN1874256A (zh) | 通信网络中在线维护的实现方法 | |
| CN1698393A (zh) | 通信系统 | |
| JP5596626B2 (ja) | DoS攻撃検出方法及びDoS攻撃検出装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201202 Address after: Unit 2414-2416, main building, no.371, Wushan Road, Tianhe District, Guangzhou City, Guangdong Province Patentee after: GUANGDONG GAOHANG INTELLECTUAL PROPERTY OPERATION Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. Effective date of registration: 20201202 Address after: 221300 No. 88 Liaohe West Road, Pizhou Economic Development Zone, Xuzhou City, Jiangsu Province Patentee after: SU Normal University Semiconductor Materials and Equipment Research Institute (Pizhou) Co.,Ltd. Address before: Unit 2414-2416, main building, no.371, Wushan Road, Tianhe District, Guangzhou City, Guangdong Province Patentee before: GUANGDONG GAOHANG INTELLECTUAL PROPERTY OPERATION Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090415 Termination date: 20200402 |