CN101136922B - 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 - Google Patents
业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 Download PDFInfo
- Publication number
- CN101136922B CN101136922B CN2007101387844A CN200710138784A CN101136922B CN 101136922 B CN101136922 B CN 101136922B CN 2007101387844 A CN2007101387844 A CN 2007101387844A CN 200710138784 A CN200710138784 A CN 200710138784A CN 101136922 B CN101136922 B CN 101136922B
- Authority
- CN
- China
- Prior art keywords
- user
- totem information
- information
- module
- user totem
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Abstract
业务流识别方法、装置和分布式拒绝服务攻击防御方法、系统。业务流识别方法包括:对用户访问目标系统进行检测;根据检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成用户标识信息集合;提取业务流中的用户标识信息;比较提取的用户标识信息和集合中的用户标识信息,以确定提取的用户标识信息与生成的用户标识信息是否匹配;根据确定的是否匹配的比较结果确定所述业务流是否为合法业务流。上述业务流识别方法应用于分布式拒绝服务攻击防御时,对上述确定的合法业务流进行后续的正常处理操作,拒绝对所述确定的非法业务流进行后续的正常处理操作。从而提高了识别合法业务流的准确性,提高了分布式拒绝服务攻击防御系统的防御能力。
Description
技术领域
本发明涉及网络通讯技术领域,具体涉及一种业务流识别方法、业务流识别装置、分布式拒绝服务攻击防御方法、分布式拒绝服务攻击防御系统和装置。
背景技术
DDoS(Distributed Deny of Service,分布式拒绝服务)攻击主要包括两种实现方式,1、通过大流量来攻击网络设备和服务器;2、通过制造大量无法完成的不完全请求,以快速耗尽服务器资源。
DDoS攻击的一个重要特点是:从大量的傀儡主机发起攻击。防止DDoS攻击的关键在于:如何将攻击数据包从合法数据包中区分出来,即如何分辨合法业务流和恶意业务流。
目前,分辨合法业务流和恶意业务流的方法、以及DDoS防御方法主要有如下两种:
方法一、黑洞技术。在发生DDoS攻击时,运营商将发送至被攻击者的数据包尽量阻截在上游,然后,将阻截的数据包引进“黑洞”并丢弃,从而保全运营商的基础网络和其它客户的业务。
方法二、MVP(Multi-Verification Process,多次验证处理)技术。在攻击间隙,DDoS防御系统处于“自学习”模式,监测不同来源的业务流,了解正常业务行为,并建立基准配置文件。该基准配置文件用于调整策略。该策略主要用于在实时网络活动中识别和过滤已知、未知以及以前从未见过的攻击业务流。
发明人发现现有技术中的上述两种方法至少存在如下问题:
在方法一中,由于运营商将发送至被攻击者的数据包丢弃了,因此该被攻击者的合法数据包和恶意攻击数据包一起被丢弃了。虽然该方法能够保全运营商的基础网络以及其它客户的业务,但是,被攻击者失去了所有的业务服务,从客观上讲,攻击者达到了攻击的目的。
在方法二中,由于攻击业务流是受控制的傀儡主机发出的,因此,从报文特征和报文行为的角度上讲,攻击业务流和正常业务流没有什么不同,攻击业务流也可以看作是大量的正常业务流,因此方法二不能够准确的识别攻击业务流,存在大量的误报、漏报现象,从而使DDoS防御系统的防御能力差。
发明内容
本发明实施方式提供一种业务流识别方法、装置及分布式拒绝服务攻击防御应用,提高了识别合法业务流的准确性,提高了分布式拒绝服务攻击防御系统的防御能力。
本发明实施方式提供的一种业务流识别方法,包括:
对用户访问目标系统进行检测;
根据所述检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成用户标识信息集合;
提取业务流中的用户标识信息;
比较所述提取的用户标识信息和所述集合中的用户标识信息,以确定所述提取的用户标识信息与所述集合中的用户标识信息是否匹配;
根据所述确定的是否匹配的比较结果确定所述业务流是否为合法业务流。
本发明实施方式还提供一种分布式拒绝服务攻击防御方法,该方法包括:
对用户访问目标系统进行检测;
根据所述检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成用户标识信息集合;
提取业务流中的用户标识信息;
比较所述提取的用户标识信息和所述集合中的用户标识信息,以确定所述提取的用户标识信息与所述集合中的用户标识信息是否匹配;
根据所述确定的是否匹配的比较结果确定所述业务流是否为合法业务流。
允许对所述确定的合法业务流进行后续的正常处理操作,拒绝对所述确定的非法业务流进行后续的正常处理操作。
本发明实施方式还提供一种业务流识别装置,所述装置包括:
第一模块:用于检测用户对目标系统的访问,并根据所述检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成的用户标识信息,并输出;
第二模块:用于接收第一模块输出的用户标识信息,并存储为用户标识信息集合;
第三模块:用于提取业务流中的用户标识信息,将所述提取的用户标识信息与所述第二模块中存储的用户标识信息进行比较,以确定所述业务流中的用户标识信息与所述第二模块存储的用户标识信息是否匹配,并根据是否匹配的比较结果判断所述业务流是否为合法业务流,并输出所述业务流是否为合法业务流的判断结果信息。
本发明实施方式还提供一种分布式拒绝服务攻击防御系统,该系统包括:
第一模块用于检测用户对目标系统的访问,并根据检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成的用户标识信息,并输出;
第二模块:用于接收第一模块输出的用户标识信息,并存储为用户标识信息集合;
第三模块:用于提取业务流中的用户标识信息,将所述提取的用户标识信息与所述第二模块中存储的用户标识信息进行比较,以确定所述业务流中的用户标识信息与所述第二模块存储的用户标识信息是否匹配,并根据是否匹配的比较结果判断所述业务流是否为合法业务流,并输出所述业务流是否为合法业务流的判断结果信息;
第四模块:用于接收第三模块输出的业务流是否为合法业务的判断结果信息,并允许对所述确定的合法业务流进行后续的正常处理操作,拒绝对所述确定的非法业务流进行后续的正常处理操作。
本发明实施方式还提供一种装置,所述装置中包括:
第一模块:用于检测用户对目标系统的访问,并根据检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成的用户标识信息,并输出;
第二模块:用于接收第一模块输出的用户标识信息,并存储为用户标识信息集合。
通过上述技术方案的描述可知,本发明实施方式通过利用用户访问统计模型来动态生成用户标识信息集合,使用户标识信息集合易于维护、而且使生成的用户标识信息集合能够尽可能准确的标识出合法用户;因此在利用动态生成的用户标识信息集合对合法业务流和非法业务流进行识别时,能够提高识别合法业务流的准确性;由于本发明实施方式能够准确识别出合法业务流,因此,本发明实施方式能够有效防止非法业务流带来的分布式拒绝服务攻击;在避免了被攻击者失去合法业务流现象的同时,提高了分布式拒绝服务攻击防御系统的防御能力。
附图说明
图1是依据本发明实施方式的业务流识别方法示意流程图;
图2是依据本发明实施方式的分布式拒绝服务攻击防御方法示意流程图;
图3是依据本发明实施方式的分布式拒绝服务攻击防御系统示意图。
具体实施方式
发明人通过大量研究发现:在DDoS攻击中,虽然从报文特征和报文行为的角度上讲,攻击业务流和正常业务流没有什么不同,但是,攻击业务流和正常业务流在访问目标系统的用户上是有区别的。其区别在于:由于DDoS攻击是大量傀儡主机发起的,所以攻击业务流是大量傀儡主机发送出来的;而正常业务流是合法用户发送出来的。一般来说,合法用户访问目标系统是可预期的,而傀儡主机访问目标系统是不可预期的。
发明人正是利用了上述发现的合法用户访问目标系统的可预期性这一特点,来实现业务流识别和DDoS攻击防御的。也就是说,由于合法用户访问目标系统一般是符合一定的用户访问统计模型的,因此,本发明实施方式利用了用户访问统计模型来预测合法用户或非法用户。预测合法用户或非法用户的一个具体的例子为:根据用户访问目标系统的历史信息,预测在DDoS攻击状态下可能对业务系统进行访问的概率,并根据预测出的概率来判断用户是合法用户,还是非法用户,如果需要记录合法用户的标识信息,则在判断出合法用户时,从用户访问目标系统的业务流中获取该用户对应的用户标识信息,并记录在用户标识信息集合中,此时记录的用户标识信息集合可以为用户白名单;如果需要记录非法用户的用户标识信息,则在判断出非法用户时,从用户访问目标系统的业务流中获取该用户对应的用户标识信息,并记录在用户标识信息集合中,此时记录的用户标识信息集合可以为用户黑名单。例如可以将预测出的大概率用户确定为合法用户,然后从该用户的访问目标系统的业务流中获取相应的用户标识信息,并记录。然后,可根据记录的用户标识信息来识别合法业务流和非法业务流。由于根据用户访问统计模型产生的用户标识信息能够尽可能准确标识出合/非法用户,因此,通过记录的用户标识信息能够尽可能准确的识别出合法业务流和非法业务流。上述识别合法业务流和非法业务流的过程可以应用在DDoS攻击防御中。即在进行DDoS攻击防御时,可以允许对识别出的合法业务流进行后续的正常处理操作,可以拒绝对识别出的非法业务流进行后续的正常处理操作。即在进行DDoS攻击防御时,可以根据预期可能访问目标系统的用户对应的用户标志信息来识别业务流,并对识别出的合/非法业务流进行相应的后续处理操作。从而本发明实施方式在有效保证了合法用户对目标系统的正常访问的同时,有效拦截了非法业务流的攻击。
在本发明实施方式中,用户标识信息集合中记录的用户标识信息可以为目前业务流中承载的现有的用户标识信息;也可以为本发明实施方式为实现业务流识别、以及分布式拒绝服务攻击防御方法而新增的用户标识信息;还可以为上述现有的用户标识信息和新增的用户标识信息。当用户标识信息包括新增的用户标识信息时,新增的用户标识信息可以携带在报文新增的字段中,例如可以携带在应用层协议报文新增的字段中,也可以携带在安全协议报文新增的字段中;再例如新增的用户标识信息可以携带在用户登录阶段的报文中,也可以携带在用户登录之前阶段的报文中。
新增的用户标识信息可以是用户侧生成的,例如业务系统的客户端在用户首次启动并接入业务系统初始化时生成。新增的用户标识信息也可以是网络侧生成的,例如,业务系统的客户端在用户首次启动并接入业务系统时,业务系统为用户指定用户标识信息,并将指定的用户标识信息携带在消息中返回给客户端。之后,用户访问业务系统时,可以在报文中携带新增的用户标识信息,也可以不携带新增的用户标识信息。
当新增的用户标识信息为用户侧生成时,新增的用户标识信息可以携带在用户访问业务系统的第一个应用层报文中,当新增的用户标识信息为网络侧生成时,新增的用户标识信息可以携带在业务系统发送至用户的第一个报文中。
本发明实施方式可以采用随机生成方式生成新增的用户标识信息,即新增的用户标识信息可以为随机值。
在本发明实施方式中,一个用户可以对应多个用户标识信息。
下面首先对本发明实施方式提供的业务流识别方法进行说明。
在业务流识别方法的实施方式中,设置有用户标识信息集合。设置用户标识信息集合的方式为:根据用户对目标系统进行访问的历史情况、以及预先设置的、一定的用户访问统计模型预测出合/非法用户,如预测出在DDoS攻击状态下可能访问目标系统的用户和/或不可能访问目标系统的用户,然后,获取可能访问目标系统的用户和/或不可能访问目标系统的用户的、访问目标系统的业务流中对应的用户标志信息。用户标识信息可以为IP地址,也可以为其它在网络报文中能够标识用户的信息,如HTTP报文中的Cookie字段等,还可以为上述新增的用户标识信息。本发明实施方式不排除采用静态配置用户标识信息的方式。
本发明实施方式中设置的用户标识信息集合可以为合法用户的标识信息集合,此时,设置的用户标识信息集合可以称为用户白名单。上述设置的用户标识信息集合也可以为非法用户的标识信息集合,此时,设置的用户标识信息集合可以称为用户黑名单。用户访问统计模型可以根据网络的实际情况来设置,而且设置用户访问统计模型的方式有多种,本发明实施方式不限制用户访问统计模型的具体表现形式,也不限制用户标识信息的具体表现形式。
在进行业务流识别过程中,需要提取业务流中的用户标识信息,该用户标识信息应该与用户白/黑名单中的用户标识信息相对应,如用户白/黑名单中的用户标识信息为IP地址,则需要从业务流中提取源IP地址。在从业务流中提取了用户标识信息后,需要对提取的用户标识信息与上述设置的用户标识信息进行比较,如将提取的用户标识信息与用户白名单中的用户标识信息进行比较,以确定从业务流中提取的用户标识信息是否与用户白名单中的用户标识信息匹配。如果从业务流中提取的用户标识信息与用户白名单中的用户标识信息匹配,则表示从业务流中提取的用户标识信息为合法用户标识信息,该业务流是合法用户发送的,该业务流为合法业务流;如果从业务流中提取的用户标识信息与用户白名单中的用户标识信息不匹配,则表示从业务流中提取的用户标识信息为非法用户标识信息,该业务流是非法用户发送的,该业务流为非法业务流。
上述针对业务流识别过程的描述是以用户白名单为例进行说明的,如果利用用户访问统计模型生成的是用户黑名单,其业务流识别过程与上述描述基本相同,在此不再重复描述。
上述业务流识别过程可以应用于多种防御技术方案中,如可以应用于DDoS攻击防御技术方案中。下面对本发明实施方式提供的DDoS攻击防御方法进行说明。
DDoS攻击防御过程中,利用了上述业务流识别过程。在利用上述描述的业务流识别过程识别出业务流为合法业务流还是非法业务流后,可以允许对识别出的合法业务流进行后续的正常处理操作,如允许正常传输等;可以拒绝对识别出的非法业务流进行后续的正常处理操作,如拒绝正常传输、并将识别出的非法业务流丢弃等。
上述DDoS攻击防御过程可以在出现DDoS攻击时启动。启动方式可以为手工配置启动,也可以为动态检测启动。动态检测启动如对业务流量进行检测,并判断检测结果,以确定是否出现DDoS攻击;在确定出现DDoS攻击时,开始提取业务流中的用户标识信息,并进行业务流识别等后续过程。对业务流量进行检测、并根据检测结果确定是否出现DDoS攻击的实现方式有多种,本发明实施方式可以采用现有的方法来检测判断是否出现DDoS攻击。本发明实施方式不限制检测判断是否出现DDoS攻击的具体实现方式。
在识别出合法业务流和非法业务流后,可以根据优先级对业务流进行后续处理。这里的优先级可以是通过用户访问统计模型动态生成的;如在检测用户对目标系统的历史访问数据过程中,利用用户访问统计模型动态预测出在DDoS攻击过程中可能访问目标系统的用户或者不可能访问目标系统的用户、以及对应的优先级信息。根据上述预期可能访问目标系统或者不可能访问目标系统的用户、以及优先级信息动态生成包含用户标识信息、以及对应的优先级信息的用户白名单或用户黑名单。在动态生成了包含优先级信息的用户白/黑名单后,如果检测到DDoS攻击、并启动了DDoS攻击防御,根据优先级信息对业务流进行处理的方式有多种,如按照优先级从高到低的顺序来允许合法业务流进行后续的正常处理流程,再如在DDoS攻击严重时,也可以按照从低到高的顺丢弃合法业务流。本发明实施方式不限制根据优先级信息对业务流进行处理的具体实现方式。
本发明实施方式还可以限制合法业务流占用的带宽,例如,对每个合法业务流均进行带宽限制。而且,每个合法业务流对应的限制带宽可以相同,也可以有所区别。
下面以用户白名单为例、结合附图对本发明实施方式提供的业务流识别方法进行说明。
本发明实施方式提供的业务流识别方法如附图1所示。
图1中,步骤1、设置用户访问统计模型。简单的用户访问统计模型可以为根据历史访问记录访问过目标系统,或者为根据历史访问记录访问过目标系统预定次数等等。这里仅仅举了两个很简单的用户访问统计模型的例子,用户访问统计模型可以多种多样的。
步骤2、检测用户对目标系统进行访问的情况,根据用户访问统计模型动态生成用户标识信息,如根据用户访问统计模型确定该用户在DDoS攻击过程中可能访问目标系统的概率,并根据确定出的概率判断出该用户为合法用户时,从该用户访问目标系统的业务流中获取相应的用户标识信息。在步骤2中也可以根据用户访问统计模型动态生成用户标识信息、以及该用户标识信息对应的优先级信息,如根据预测出的概率来确定该用户的优先级信息。
步骤3、将动态生成的用户标识信息存储在用户白名单中。
如果在步骤2中动态生成了该用户标识信息对应的优先级信息,则在步骤3中,可以将动态生成的用户标识信息以及优先级信息存储在用户白名单中。
在需要进行业务流识别时,到步骤4,提取业务流中的用户标识信息,如从业务流中提取源IP地址等。
步骤5、将提取的用户标识信息与用户白名单中的用户标识信息进行比较,如果从业务流中提取的用户标识信息与用户白名单中的用户标识信息匹配,则到步骤6;否则到步骤7。
步骤6、确认该业务流是合法用户发送的,输出该业务流为合法业务流的信息。如果用户白名单中包含有优先级信息,则在步骤6中,可以输出该业务流为合法业务流的信息、以及该合法业务流对应的优先级信息。
步骤7、确认该业务流是非法用户发送的,输出该业务流为非法业务流的信息。
下面结合附图对本发明实施方式提供的DDoS攻击防御方法进行说明。
本发明实施方式提供的DDoS攻击防御方法如附图2所示。
图2中,步骤1、设置用户访问统计模型。简单的用户访问统计模型可以为根据历史访问记录访问过目标系统,或者为根据历史访问记录访问过目标系统预定次数等等。这里仅仅举了两个很简单的用户访问统计模型的例子,用户访问统计模型可以多种多样的。
步骤2、根据用户发送的业务流检测用户对目标系统进行访问的情况,根据用户访问统计模型动态生成用户标识信息、以及该用户标识信息对应的优先级信息。例如根据用户访问统计模型确定该用户在DDoS攻击过程中可能访问目标系统的概率,并根据确定出的概率判断出该用户为合法用户时,从该用户访问目标系统的业务流中获取相应用户标识信息,并根据确定出的概率确定该用户的优先级信息。
步骤3、将动态生成的用户标识信息以及优先级信息存储在用户白名单中。
步骤4、检测业务流量,并根据业务流量检测结果判断是否出现DDoS攻击,如果出现DDoS攻击,到步骤5;如果没有出现DDoS攻击,仍然进行业务流量检测过程。
步骤5,提取业务流中的用户标识信息,如从业务流中提取源IP地址等。
步骤6、将提取的用户标识信息与用户白名单中的用户标识信息进行比较,如果从业务流中提取的用户标识信息与用户白名单中的用户标识信息匹配,则到步骤7;否则到步骤8。
步骤7、确认该业务流是合法用户发送的,根据该业务流对应的优先级信息允许对该业务流进行后续的正常处理操作。
步骤8、确认该业务流是非法用户发送的,拒绝对该业务流进行后续的正常处理操作,并丢弃该业务流。
在上述针对图2的描述中,步骤2和步骤3这两个步骤与步骤4之间是可以没有先后顺序的,即步骤2和步骤3的执行过程是独立的,与步骤4的执行没有先后关系,步骤4的执行过程是独立的,与步骤2和步骤3的执行没有先后关系。本发明实施方式还可以在检测出DDoS攻击后,持续对业务流量进行检测,在根据业务流量检测结果确定出DDoS攻击结束后,停止执行步骤5至步骤8,而继续执行步骤2、步骤3。该流程仅仅是一个示意,具体的实现流程可以有多种,在此不再一一例举。
在上述各实施方式的描述中,如果用户标识信息为新增的用户标识信息、且用户标识信息只携带在用户登录阶段的报文或者用户登录之前阶段的报文中的情况下,在检测出DDoS攻击后,则在有用户登录或者发起连接时,可以根据用户标识信息来确定是否允许用户登录或者允许与该用户建立连接,从而可以在一定程度上避免DDoS攻击。
在上述各实施方式的描述中,用户标识信息集合中可以设置一个对应关系来作为用户标识信息,例如,设置用户账号与新增的用户标识信息的对应关系。这样,在根据业务流中携带的新增的用户标识信息确定出该业务流为合法业务流后,该用户账号下的不携带对应关系中新增的用户标识信息的其它业务流也可以确认为合法业务流。上述对应关系可以更新。
下面以新增的用户标识信息为例,对本发明实施方式提供的DDoS攻击防御方法进行说明。
设定与该业务系统交互的所有协议报文中都可以包含UID(用户标识信息)字段,该字段可以为128bit。
设定用户A和用户B成功注册到一个业务系统,该业务系统可以是为用户提供应用服务的业务系统,也可以是为用户提供接入认证服务的业务系统。用户A和用户B在首次访问业务系统时,将用户A的UID字段初始化为为随机值0x0123456789abcdef,将用户B的UID字段初始化为0xfedcba9876543210。
业务系统根据用户访问统计模型建立的用户标识信息集合中动态设置了用户A和用户B的UID。
设定检测出业务系统出现DDoS攻击,则该业务系统可以立刻根据用户标识信息集合中的UID、以及业务流中的UID字段对业务流进行过滤。由于该业务系统的用户标识信息集合中只设置有用户A和用户B的UID,所以,该业务系统在判断出接收到的业务流中的UID字段中的值不为0x0123456789abcdef或者0xfedcba9876543210时,确定该业务流为非法业务流,拒绝对非法业务流进行后续的正常处理操作;该业务系统在判断出接收到业务流中的UID字段中的值为0x0123456789abcdef或者0xfedcba9876543210时,确定该业务流为合法业务流,允许对合法业务流进行后续的正常处理操作。从而有效防范了DDoS攻击。
该业务系统还可以对用户A和用户B的业务流进行带宽限制,使用户A和用户B的业务流不会超过预设定带宽,这样,即使是攻击者通过伪造UID值进行DDOS攻击,也能够在一定程度上避免DDOS攻击带来的严重的不良后果。这里的用户A和用户B的预设定带宽可以相同,也可以不同。
下面对本发明实施方式提供的业务流识别装置进行说明。
本发明实施方式提供的业务流识别装置包括:第一模块、第二模块和第三模块。
第一模块主要用于检测用户对目标系统的访问,并根据检测到的用户对目标系统的访问、以及预先设置的用户访问统计模型动态生成用户标识信息,第一模块将动态生成的用户标识信息存储至第二模块。而且第一模块还可以根据检测到的用户对目标系统的访问、以及预先设置的用户访问统计模型动态生成用户标识信息对应的优先级信息,并将动态生成的优先级信息存储至第二模块。例如,第一模块在根据用户访问统计模型预测出该用户在DDoS攻击过程中可能访问目标系统的概率,并根据确定出的概率判断出该用户为合法用户时,从该用户访问目标系统的业务流中获取相应用户标识信息,并根据确定出的概率确定该用户的优先级信息,然后将用户标识信息和优先级信息存储至第二模块。这里的用户标识信息可以为目前业务流中承载的现有的用户标识信息;也可以为本发明实施方式为实现业务流识别、以及分布式拒绝服务攻击防御方法而新增的用户标识信息,具体如上述方法实施方式中的描述。
第二模块主要用于接收第一模块输出的用户标识信息,并存储为用户标识集合。第二模块中存储的用户标识信息集合可以称为用户白名单。而且在第一模块传输来用户标识对应的优先级信息时,第二模块中存储的用户白名单中还可以包括用户标识信息对应的优先级信息。
第三模块主要用于提取业务流中的用户标识信息,将提取的用户标识信息与第二模块中存储的用户标识信息进行比较,以确定业务流中的用户标识信息与第二模块存储的用户标识信息是否匹配;在判断出业务流中的用户标识信息与第二模块存储的用户标识信息匹配时,确定该业务流是否为合法业务流,并输出业务流为合法业务流的判断结果信息,在第二模块中存储有用户标识对应的优先级信息时,第三模块还可以输出该合法业务流对应的优先级信息;在判断出业务流中的用户标识信息与第二模块存储的用户标识信息不匹配时,确定该业务流为非法业务流,并输出业务流为非法业务流的判断结果信息。
下面对本发明实施方式提供的DDoS攻击防御系统进行说明。
本发明实施方式提供的DDoS攻击防御系统包括:第一模块、第二模块、第三模块、第四模块、第五模块和第六模块。
第一模块主要用于检测用户对目标系统的访问,并根据检测到的用户对目标系统的访问、以及预先设置的用户访问统计模型动态生成用户标识信息,或者动态生成用户标识信息、以及用户标识信息对应的优先级信息。然后,第一模块并将用户标识信息、或者将用户标识信息、以及优先级信息存储至第二模块。例如,第一模块在根据用户访问统计模型预测出该用户在DDoS攻击过程中可能访问目标系统的概率,并根据确定出的概率判断出该用户为合法用户时,从该用户访问目标系统的业务流中获取相应用户标识信息,并根据确定出的概率确定该用户的优先级信息,然后将用户标识信息和优先级信息存储至第二模块。
第一模块可以由存储子模块、检测子模块和第一动态子模块组成,也可以由存储子模块、检测子模块、第一动态子模块和第二动态子模块组成。
存储子模块主要用于存储用户访问统计模型。
检测子模块主要用于检测用户对目标系统的访问情况,并根据检测到的用户对目标系统的访问情况、存储子模块中存储的用户访问统计模型动态生成用户标识信息,预测出该用户在DDoS攻击过程中可能访问目标系统的概率,并输出该概率信息。
第一动态子模块主要用于根据检测子模块输出的概率信息判断出该用户为合法用户时,从该用户访问目标系统的业务流中获取相应用户标识信息,然后将用户标识信息存储至第二模块。第一动态子模块也可以确定出该用户为非法用户时,从该用户访问目标系统的业务流中获取相应用户标识信息,然后将用户标识信息存储至第二模块。
第二动态子模块主要用于根据检测子模块输出的概率信息确定该用户对应的优先级信息,并将优先级信息传输至第二模块存储。第二动态子模块可以在第一动态子模块判断出该用户为合法用户时,确定该用户对应的优先级信息,并输出;第二动态子模块也可以直接根据其内部存储的概率阈值来判断是否需要确定优先级信息,在根据概率阈值判断出需要确定优先级信息时,确定该用户对应的优先级信息并输出。
第二模块主要用于接收第一模块传输来的用户标识信息、以及优先级信息,并存储,如第二模块接收第一动态子模块传输来的用户标识信息并存储,再如第二模块接收第二动态子模块传输来的优先级信息并存储。第二模块中存储的用户标识信息、以及优先级信息可以称为用户白名单。第二模块中存储的信息也可以称为用户黑名单。
第三模块主要用于提取业务流中的用户标识信息,将提取的用户标识信息与第二模块中存储的用户标识信息进行比较,以确定业务流中的用户标识信息与第二模块存储的用户标识信息是否匹配;在判断出业务流中的用户标识信息与第二模块存储的用户标识信息匹配时,确定该业务流是否为合法业务流,并输出业务流为合法业务流的判断结果信息,在第二模块中存储有用户标识对应的优先级信息时,第三模块还可以输出该合法业务流对应的优先级信息;在判断出业务流中的用户标识信息与第二模块存储的用户标识信息不匹配时,确定该业务流为非法业务流,并输出业务流为非法业务流的判断结果信息。
第三模块可以根据第五模块的通知启动提取业务流中的用户标识信息、以及后续比较过程的操作。当然,在该系统不包括第五模块时,第三模块可以根据手工配置等其它方式来启动提取业务流中的用户标识信息、以及后续比较过程的操作。
第四模块主要用于接收第三模块输出的业务流是否为合法业务的判断结果信息,当第三模块输出的判断结果信息为合法业务时,允许对该业务流进行后续的正常处理操作,如允许该业务流的继续传输;当第三模块输出的判断结果信息为非法业务时,拒绝对该业务流进行后续的正常处理操作,如禁止该业务流的继续传输,将该业务流丢弃等。当第三模块输出的信息包括优先级信息时,第四模块在允许对该业务流进行后续的正常处理操作时,应根据该业务流对应的优先级来进行后续的正常处理操作,如第四模块根据各合法业务流的优先级信息、按照由高到低的顺序允许业务流依次进行继续传输。
第五模块主要用于检测业务流量,并判断业务流量检测结果,在根据业务流量检测结果确定出现DDoS攻击时,通知第三模块提取业务流中的用户标识信息。在根据业务流量检测结果确定出现DDoS攻击后,第五模块仍然可以继续检测业务流量,并继续判断业务流量检测结果,在根据业务流量检测结果确定DDoS攻击消失时,通知第三模块停止提取业务流中的用户标识信息。第三模块可以在接收到停止通知时,停止进行提取并判断的后续处理操作。在本发明系统实施方式中,第五模块可以为可选模块。
第六模块主要用于根据第三模块输出的业务流是否为合法业务的判断结果信息,限制合法业务流占用的带宽。对不同用户的合法业务流进行带宽限制时,可以对不同用户的合法业务流进行不同带宽的限制,也可以对不同用户的合法业务流进行相同带宽的限制。在本发明系统实施方式中,第六模块可以为可选模块。
本发明实施方式提供的系统可以针对一个目标系统,也可以针对多个目标系统。也就是说,本发明实施方式提供的系统可以为某一个目标系统提供DDoS攻击防御,也可以同时为多个目标系统提供DDoS攻击防御。当本发明实施方式提供的系统为某一个目标系统提供DDoS攻击防御时,该系统可以为目标系统的前置系统,而且可以独立于目标系统设置,也可以设置于目标系统中。
下面结合附图对本发明实施方式提供的DDoS攻击防御系统进行说明。
图3为本发明实施方式提供的DDoS攻击防御系统。
图3中的系统包括:DDoS检测模块、报文过滤装置、用户白名单及优先级模块、用户访问统计模型模块。DDoS检测模块即上述第五模块。报文过滤装置即上述第三模块、第四模块和第六模块。用户白名单及优先级模块即上述第二模块。用户访问统计模型模块即上述第一模块。
报文过滤装置主要用于完成对试图访问业务系统的业务流进行过滤,即对报文包进行过滤。报文过滤装置可以是基于用户白名单及优先级模块中存储的信息进行过滤的。例如,报文过滤装置根据报文包中的源IP地址、用户白名单及优先级模块中的IP地址对报文包进行过滤。这里的业务系统即上述目标系统。报文过滤装置还可以对合法业务流占用的带宽进行限制。
用户白名单及优先级模块中存储的信息为包含优先级信息的用户白名单。用户白名单及优先级模块中存储的用户标识信息和优先级信息可以以表项的形式存在。用户白名单及优先级表项中记录有可以访问该业务系统的用户标识信息、及其该用户标识信息对应的优先级信息。
上述用户白名单及优先级表项由用户访问统计模型模块来进行维护。在DDoS攻击防御时,上述用户白名单及优先级表项为报文过滤装置提供查询。
用户访问统计模型模块主要用于在正常情况下根据用户对业务系统的访问情况建立并维护用户白名单和优先级表项。用户访问统计模型模块建立并维护的表项为用户访问统计模型声明的、在受到DDoS攻击情况下、允许访问业务系统的用户标识信息以及优先级信息。如果用户标识信息对应高优先级,则可以表示在没有受到DDoS攻击的正常情况下、经常访问该业务系统的用户可以在受到DDoS攻击情况下、毫无限制的访问该业务系统。如果用户标识信息对应低优先级,则可以表示在没有受到DDoS攻击的正常情况下、偶然访问业务系统的用户在受到DDoS攻击情况下、需要受限制的访问该业务系统。
DDoS攻击检测模块主要用于检测业务系统的业务流量,以确定业务系统目前是否受到DDoS攻击,在检测到业务系统受到DDoS攻击后,向报文过滤模块发出通知,如发送过滤指令等。
下面分正常状态、受攻击状态对上述防御系统的工作流程进行说明。
在正常状态下,报文过滤模块执行透明传输操作,即不对业务流进行任何处理。用户访问统计模型模块检测用户对业务系统的访问情况,并根据用户访问统计模型动态生成包含各用户对应的优先级的用户访问白名单。包含优先级的用户访问白名单可以在DDoS攻击期间使用。DDoS攻击检测模块持续对业务系统的业务流量进行检测,以确定是否出现DDoS攻击。
在受到DDoS攻击状态下,报文过滤模块开始提取业务流的用户标识信息,并根据用户白名单及优先级表项声称的过滤规则对试图访问业务系统的业务流进行过滤,以保证用户白名单中的用户可以根据优先级顺序访问业务系统。报文过滤模块还可以根据预先设定的带宽对业务流执行带宽限制操作。用户访问统计模型模块停止运作。DDoS攻击检测模块持续对业务流量进行检测,以确定DDoS攻击是否消失。
上述正常状态和受到DDoS攻击状态的切换是由DDoS攻击检测模块触发的。即DDoS攻击检测模块在检测到业务系统出现DDoS攻击时,则触发报文过滤模块,使DDoS攻击防御系统进入受到DDoS攻击状态,DDoS攻击检测模块在检测到业务系统的DDoS攻击消失时,则触发报文过滤模块,使DDoS攻击防御系统进入正常状态。
上述用户访问统计模型模块可以集成设置于业务系统中。DDOS攻击检测模块可以和报文过滤装置合设在同一个设备中,DDOS攻击检测模块、报文过滤装置和用户白名单及优先级模块也可以合设在同一个设备中。
下面对本发明实施方式提供的装置进行说明。
本发明实施方式提供的装置包括第一模块和第二模块。第一模块可以由存储子模块、检测子模块和第一动态子模块组成,也可以由存储子模块、检测子模块、第一动态子模块和第二动态子模块组成。上述各模块、子模块所执行的操作如上述实施方式中的描述,在此不再重复说明。
本发明实施方式提供的装置可以为业务系统的服务器等需要产生用户白名单、和/或黑名单的设备。
本发明实施方式通过利用用户访问统计模型来动态生成用户标识信息,使用户标识信息易于维护、而且使生成的用户标识信息能够尽可能准确的标识出合法用户;因此在利用动态生成的用户标识信息对合法业务流和非法业务流进行识别时,能够提高识别合法业务流的准确性;由于本发明实施方式能够准确识别出合法业务流,因此,本发明实施方式能够有效防止非法业务流带来的分布式拒绝服务攻击;即本发明实施方式采用用户访问模型与报文过滤连动防御的分布式拒绝服务攻击,在避免了被攻击者失去合法业务流现象的同时,提高了分布式拒绝服务攻击防御系统的防御能力。本发明实施方式通过限制合法业务流占用的带宽,能够在一定程度上避免分布式拒绝服务攻击带来的严重的不良后果,进一步提高了分布式拒绝服务攻击防御系统的防御能力。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,本发明的申请文件的权利要求包括这些变形和变化。
Claims (12)
1.一种业务流识别方法,其特征在于,所述方法包括:
对用户访问目标系统进行检测;
根据所述检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成用户标识信息集合和用户标识信息对应的优先级信息,所述用户访问统计模型包括:用户访问目标系统的历史信息;
提取业务流中的用户标识信息;
比较所述提取的用户标识信息和所述集合中的用户标识信息,以确定所述提取的用户标识信息与所述集合中的用户标识信息是否匹配;
根据所述确定的是否匹配的比较结果确定所述业务流是否为合法业务流,以便于使所述确定出的合法业务流基于所述合法业务流对应的优先级信息被允许进行后续的正常处理操作,所述确定出的非法业务流被拒绝进行后续的正常处理操作;
其中,所述对用户访问目标系统进行检测、以及动态生成用户标识信息集合和用户标识信息对应的优先级信息包括:
存储用户访问统计模型;
检测用户对目标系统的访问,并根据检测到的用户对目标系统的访问信息和存储的用户访问统计模型确定用户访问目标系统的概率;
根据确定的概率确定需要从用户访问目标系统的业务流中获取用户标识信息时,获取用户标识信息,并输出;
根据确定的概率动态生成用户标识信息对应的优先级信息,并输出。
2.一种分布式拒绝服务攻击防御方法,其特征在于,所述方法包括:
对用户访问目标系统进行检测;
根据所述检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成用户标识信息集合和用户标识信息对应的优先级信息;
提取业务流中的用户标识信息;
比较所述提取的用户标识信息和所述集合中的用户标识信息,以确定所述提取的用户标识信息与所述集合中的用户标识信息是否匹配;
根据所述确定的是否匹配的比较结果确定所述业务流是否为合法业务流;
允许对所述确定的合法业务流进行后续的正常处理操作,拒绝对所述确定的非法业务流进行后续的正常处理操作;
所述允许对所述确定的合法业务流进行后续的正常处理操作包括:确定所述合法业务流的用户标识信息对应的优先级信息,根据所述确定的优先级信息允许对所述确定的合法业务流进行后续的正常处理操作;
其中,所述对用户访问目标系统进行检测、以及动态生成用户标识信息集合和用户标识信息对应的优先级信息包括:
存储用户访问统计模型;
检测用户对目标系统的访问,并根据检测到的用户对目标系统的访问信息和存储的用户访问统计模型确定用户访问目标系统的概率;
根据确定的概率确定需要从用户访问目标系统的业务流中获取用户标识信息时,获取用户标识信息,并输出;
根据确定的概率动态生成用户标识信息对应的优先级信息,并输出;
当允许对所述确定的合法业务流进行后续的正常处理操作时,根据存储的信息确定所述合法业务流的用户标识信息对应的优先级,并根据所述确定的优先级允许对所述确定的合法业务流进行后续的正常处理操作。
3.如权利要求2所述的方法,其特征在于,所述提取业务流中的用户标识信息的步骤包括:
检测业务流量,根据业务流量检测结果确定出现分布式拒绝服务攻击时,提取业务流中的用户标识信息。
4.如权利要求2或3所述的方法,其特征在于,所述集合中的用户标识信息包括:业务流中现有的用户标识信息、和/或业务流中新增的用户标识信息,且所述提取业务流中的用户标识信息包括:
提取业务流中现有的用户标识信息;和/或
提取业务流中新增的用户标识信息。
5.如权利要求4所述的方法,其特征在于,所述新增的用户标识信息由用户侧生成、或者由网络侧生成。
6.如权利要求2或3所述的方法,其特征在于,所述方法还包括:
限制所述合法业务流占用的带宽。
7.一种业务流识别装置,其特征在于,所述装置包括:
第一模块:用于检测用户对目标系统的访问,并根据所述检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成用户标识信息和用户标识信息对应的优先级信息,并输出,所述用户访问统计模型包括:用户访问目标系统的历史信息;
第二模块:用于接收第一模块输出的用户标识信息和用户标识信息对应的优先级信息,并存储;
第三模块:用于提取业务流中的用户标识信息,将所述提取的用户标识信息与所述第二模块中存储的用户标识信息进行比较,以确定所述业务流中的用户标识信息与所述第二模块存储的用户标识信息是否匹配,并根据是否匹配的比较结果判断所述业务流是否为合法业务流,并输出所述业务流是否为合法业务流的判断结果信息,以便于使所述确定出的合法业务流基于所述合法业务流对应的优先级信息被允许进行后续的正常处理操作,所述确定出的非法业务流被拒绝进行后续的正常处理操作;
所述第一模块包括:
存储子模块:用于存储用户访问统计模型;
检测子模块:用于检测用户对目标系统的访问,并根据检测到的用户对目标系统的访问信息、存储子模块中存储的用户访问统计模型确定用户访问目标系统的概率;
第一动态子模块:用于根据检测子模块确定的概率确定需要从用户访问目标系统的业务流中获取用户标识信息时,获取用户标识信息,并输出;
第二动态子模块:用于根据检测子模块确定的概率动态生成用户标识信息对应的优先级信息,并输出;
所述优先级信息由第二模块存储。
8.一种分布式拒绝服务攻击防御系统,其特征在于,所述系统包括:
第一模块:用于检测用户对目标系统的访问,并根据检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成用户标识信息和用户标识信息对应的优先级信息,并输出,所述用户访问统计模型包括:用户访问目标系统的历史信息;
第二模块:用于接收第一模块输出的用户标识信息和用户标识信息对应的优先级信息,并存储;
第三模块:用于提取业务流中的用户标识信息,将所述提取的用户标识信息与所述第二模块中存储的用户标识信息进行比较,以确定所述业务流中的用户标识信息与所述第二模块存储的用户标识信息是否匹配,并根据是否匹配的比较结果判断所述业务流是否为合法业务流,并输出所述业务流是否为合法业务流的判断结果信息;
第四模块:用于接收第三模块输出的业务流是否为合法业务的判断结果信息,并允许对所述确定的合法业务流进行后续的正常处理操作,拒绝对所述确定的非法业务流进行后续的正常处理操作,所述允许对所述确定的合法业务流进行后续的正常处理操作包括:根据所述合法业务流的用户标识信息对应的优先级信息允许对所述确定的合法业务流进行后续的正常处理操作;
所述第一模块包括:
存储子模块:用于存储用户访问统计模型;
检测子模块:用于检测用户对目标系统的访问,并根据检测到的用户对目标系统的访问信息、存储子模块中存储的用户访问统计模型确定用户访问目标系统的概率;
第一动态子模块:用于根据检测子模块确定的概率确定需要从用户访问目标系统的业务流中获取用户标识信息时,获取用户标识信息,并输出;
第二动态子模块:用于根据检测子模块确定的概率动态生成用户标识信息对应的优先级信息,并输出;
所述优先级信息由第二模块存储;
且所述第四模块在允许对所述确定的合法业务流进行后续的正常处理操作时,根据第二模块中存储的信息确定所述合法业务流的用户标识信息对应的优先级,并根据所述确定的优先级允许对所述确定的合法业务流进行后续的正常处理操作。
9.如权利要求8所述的系统,其特征在于,所述系统还包括:
第五模块:用于检测业务流量,并根据业务流量检测结果确定出现分布式拒绝服务攻击时,通知第三模块提取业务流中的用户标识信息。
10.如权利要求8或9所述的系统,其特征在于,所述第一模块设置于目标系统中,或者所述第一模块独立于目标系统设置,或者所述第一模块和第二模块设置于目标系统中,或者所述第一模块和第二模块独立于目标系统设置。
11.如权利要求8或9所述的系统,其特征在于,所述分布式拒绝服务攻击防御系统对应一个目标系统、或者对应多个目标系统。
12.如权利要求8或9所述的系统,其特征在于,所述系统还包括:
第六模块:用于根据第三模块输出的业务流是否为合法业务的判断结果信息,限制合法业务流占用的带宽。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101387844A CN101136922B (zh) | 2007-04-28 | 2007-08-20 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
| PCT/CN2008/070621 WO2008131667A1 (fr) | 2007-04-28 | 2008-03-28 | Procédé, dispositif d'identification des flux de services et procédé, système de protection contre une attaque par déni de service |
| EP08715357A EP2136526A4 (en) | 2007-04-28 | 2008-03-28 | METHOD, DEVICE FOR IDENTIFYING SERVICE FLOWS AND METHOD, SYSTEM FOR PROTECTING AGAINST SERVICE DISNI ATTACK |
| US12/607,854 US20100095351A1 (en) | 2007-04-28 | 2009-10-28 | Method, device for identifying service flows and method, system for protecting against deny of service attack |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007100988798A CN101039326A (zh) | 2007-04-28 | 2007-04-28 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
| CN200710098879.8 | 2007-04-28 | ||
| CN2007101387844A CN101136922B (zh) | 2007-04-28 | 2007-08-20 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101136922A CN101136922A (zh) | 2008-03-05 |
| CN101136922B true CN101136922B (zh) | 2011-04-13 |
Family
ID=39160749
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101387844A Expired - Fee Related CN101136922B (zh) | 2007-04-28 | 2007-08-20 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20100095351A1 (zh) |
| EP (1) | EP2136526A4 (zh) |
| CN (1) | CN101136922B (zh) |
| WO (1) | WO2008131667A1 (zh) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101136922B (zh) * | 2007-04-28 | 2011-04-13 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
| US8533821B2 (en) | 2007-05-25 | 2013-09-10 | International Business Machines Corporation | Detecting and defending against man-in-the-middle attacks |
| FR2932043B1 (fr) * | 2008-06-03 | 2010-07-30 | Groupe Ecoles Telecomm | Procede de tracabilite et de resurgence de flux pseudonymises sur des reseaux de communication, et procede d'emission de flux informatif apte a securiser le trafic de donnees et ses destinataires |
| US20100269162A1 (en) | 2009-04-15 | 2010-10-21 | Jose Bravo | Website authentication |
| US8683609B2 (en) | 2009-12-04 | 2014-03-25 | International Business Machines Corporation | Mobile phone and IP address correlation service |
| US8838988B2 (en) | 2011-04-12 | 2014-09-16 | International Business Machines Corporation | Verification of transactional integrity |
| CN102761531B (zh) * | 2011-04-29 | 2015-12-16 | 腾讯科技(深圳)有限公司 | 一种社区验证方法和服务器 |
| CN102263788B (zh) * | 2011-07-14 | 2014-06-04 | 百度在线网络技术(北京)有限公司 | 一种用于防御指向多业务系统的DDoS攻击的方法与设备 |
| CN103139246B (zh) * | 2011-11-25 | 2016-06-15 | 百度在线网络技术(北京)有限公司 | 负载均衡设备和负载均衡及防御方法 |
| US9338095B2 (en) | 2012-05-01 | 2016-05-10 | F5 Networks, Inc. | Data flow segment optimized for hot flows |
| US8917826B2 (en) | 2012-07-31 | 2014-12-23 | International Business Machines Corporation | Detecting man-in-the-middle attacks in electronic transactions using prompts |
| CN102868737B (zh) * | 2012-08-30 | 2015-09-02 | 浪潮(北京)电子信息产业有限公司 | 安全调度方法和系统 |
| CN104348795B (zh) * | 2013-07-30 | 2019-09-20 | 深圳市腾讯计算机系统有限公司 | 通用网关接口业务入侵防护的方法及装置 |
| US10152605B2 (en) * | 2014-05-21 | 2018-12-11 | Siddharth Shetye | Systems and methods for front-end and back-end data security protocols |
| US10193922B2 (en) | 2015-01-13 | 2019-01-29 | Level 3 Communications, Llc | ISP blacklist feed |
| KR101621019B1 (ko) * | 2015-01-28 | 2016-05-13 | 한국인터넷진흥원 | 시계열 통계 기반 공격의심 이상징후를 탐지하기 위한 방법 |
| US10284595B2 (en) * | 2015-05-08 | 2019-05-07 | Citrix Systems, Inc. | Combining internet routing information with access logs to assess risk of user exposure |
| CN105991637B (zh) * | 2015-06-15 | 2019-06-07 | 杭州迪普科技股份有限公司 | 网络攻击的防护方法和装置 |
| CN105337970A (zh) * | 2015-10-20 | 2016-02-17 | 上海斐讯数据通信技术有限公司 | 路由器、服务器以及两者协同的网络访问控制方法 |
| US20170115864A1 (en) | 2015-10-24 | 2017-04-27 | Oracle International Corporation | Visual form designer |
| CN105721494B (zh) * | 2016-03-25 | 2019-04-19 | 中国互联网络信息中心 | 一种异常流量攻击检测处置的方法和装置 |
| CN106059939B (zh) * | 2016-05-19 | 2019-12-06 | 新华三技术有限公司 | 一种报文转发方法及装置 |
| CN106204847B (zh) * | 2016-07-18 | 2018-10-19 | 北京千丁互联科技有限公司 | 门禁管理系统、后台服务器及其自学习方法 |
| CN107239928B (zh) * | 2017-01-03 | 2018-04-06 | 北京嘀嘀无限科技发展有限公司 | 一种资源分配的流程生成方法及装置 |
| CN110636508B (zh) * | 2018-06-25 | 2023-05-09 | 中国移动通信有限公司研究院 | 一种拒绝服务Detach控制方法及网络设备 |
| US10944783B2 (en) | 2018-07-12 | 2021-03-09 | At&T Intellectual Property I, L.P. | Dynamic denial of service mitigation system |
| US11483346B2 (en) * | 2020-05-27 | 2022-10-25 | Sap Se | Reinforcement learning for application responses using deception technology |
| RU2768536C1 (ru) * | 2021-04-21 | 2022-03-24 | Федеральное государственное бюджетное образовательное учреждение высшего образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" | Способ защиты сервера услуг от DDoS атак |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1514625A (zh) * | 2002-12-18 | 2004-07-21 | 英特尔公司 | 检测网络攻击 |
| CN1764126A (zh) * | 2005-11-11 | 2006-04-26 | 上海交通大学 | 突发性异常网络流量的检测与监控方法 |
| CN1822593A (zh) * | 2006-03-20 | 2006-08-23 | 赵洪宇 | 一种抵御拒绝服务攻击事件的网络安全保护方法 |
| CN1838607A (zh) * | 2005-03-23 | 2006-09-27 | 中国人民解放军理工大学 | 一种阻止网络拒绝服务攻击的高速检测和控制机制 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7225270B2 (en) * | 2000-10-17 | 2007-05-29 | Cisco Technology, Inc. | Selective diversion and injection of communication traffic |
| US7707305B2 (en) * | 2000-10-17 | 2010-04-27 | Cisco Technology, Inc. | Methods and apparatus for protecting against overload conditions on nodes of a distributed network |
| US7342929B2 (en) * | 2001-04-27 | 2008-03-11 | Cisco Technology, Inc. | Weighted fair queuing-based methods and apparatus for protecting against overload conditions on nodes of a distributed network |
| US6513122B1 (en) * | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
| US6907525B2 (en) * | 2001-08-14 | 2005-06-14 | Riverhead Networks Inc. | Protecting against spoofed DNS messages |
| CN100380336C (zh) * | 2001-12-10 | 2008-04-09 | 思科技术公司 | 用于过滤和分析基于分组的通信流量的方法和装置 |
| CA2548336A1 (en) * | 2004-01-26 | 2005-08-04 | Cisco Technology, Inc. | Upper-level protocol authentication |
| JP2005277804A (ja) * | 2004-03-25 | 2005-10-06 | Hitachi Ltd | 情報中継装置 |
| CN100352208C (zh) * | 2005-03-09 | 2007-11-28 | 中山大学 | 一种大型网站数据流的检测与防御方法 |
| CN1333552C (zh) * | 2005-03-23 | 2007-08-22 | 北京首信科技有限公司 | 基于机器学习的用户行为异常的检测方法 |
| CN1750481A (zh) * | 2005-09-29 | 2006-03-22 | 西安交大捷普网络科技有限公司 | 基于时间段加权统计模型的网络异常检测方法 |
| CN101039326A (zh) * | 2007-04-28 | 2007-09-19 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
| CN101136922B (zh) * | 2007-04-28 | 2011-04-13 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
-
2007
- 2007-08-20 CN CN2007101387844A patent/CN101136922B/zh not_active Expired - Fee Related
-
2008
- 2008-03-28 EP EP08715357A patent/EP2136526A4/en not_active Withdrawn
- 2008-03-28 WO PCT/CN2008/070621 patent/WO2008131667A1/zh active Application Filing
-
2009
- 2009-10-28 US US12/607,854 patent/US20100095351A1/en not_active Abandoned
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1514625A (zh) * | 2002-12-18 | 2004-07-21 | 英特尔公司 | 检测网络攻击 |
| CN1838607A (zh) * | 2005-03-23 | 2006-09-27 | 中国人民解放军理工大学 | 一种阻止网络拒绝服务攻击的高速检测和控制机制 |
| CN1764126A (zh) * | 2005-11-11 | 2006-04-26 | 上海交通大学 | 突发性异常网络流量的检测与监控方法 |
| CN1822593A (zh) * | 2006-03-20 | 2006-08-23 | 赵洪宇 | 一种抵御拒绝服务攻击事件的网络安全保护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2136526A1 (en) | 2009-12-23 |
| CN101136922A (zh) | 2008-03-05 |
| EP2136526A4 (en) | 2010-04-14 |
| WO2008131667A1 (fr) | 2008-11-06 |
| US20100095351A1 (en) | 2010-04-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101136922B (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
| US7889735B2 (en) | Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs | |
| KR101231975B1 (ko) | 차단서버를 이용한 스푸핑 공격 방어방법 | |
| KR101088852B1 (ko) | 인터넷 전화 과금우회 공격 탐지 시스템 및 그 탐지 방법 | |
| US20040073800A1 (en) | Adaptive intrusion detection system | |
| EP1911241B9 (en) | Method for defending against denial of service attacks in ip networks by target victim self-identification and control | |
| CN113228591B (zh) | 用于动态补救安全系统实体的方法、系统和计算机可读介质 | |
| EP1519541B1 (en) | DOS attack mitigation using upstream router suggested remedies | |
| CN101039326A (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
| US8555394B2 (en) | Network security server suitable for unified communications network | |
| CN110611682A (zh) | 一种网络访问系统及网络接入方法和相关设备 | |
| CN115378625B (zh) | 一种跨网信息安全交互方法及系统 | |
| KR101268104B1 (ko) | 침입방지시스템 및 그 제어방법 | |
| CN112367315A (zh) | 一种内生安全waf蜜罐部署方法 | |
| CN112231679A (zh) | 一种终端设备验证方法、装置及存储介质 | |
| WO2005026872A2 (en) | Internal lan perimeter security appliance composed of a pci card and complementary software | |
| CN109274638A (zh) | 一种攻击源接入自动识别处理的方法和路由器 | |
| EP2109284A1 (en) | Protection mechanism against denial-of-service attacks via traffic redirection | |
| US11539741B2 (en) | Systems and methods for preventing, through machine learning and access filtering, distributed denial of service (“DDoS”) attacks originating from IoT devices | |
| KR101022787B1 (ko) | 차세대 네트워크 보안 관리 시스템 및 그 방법 | |
| CN114697136A (zh) | 一种基于交换网络的网络攻击检测方法与系统 | |
| KR100954348B1 (ko) | 패킷 감시 시스템 및 그 방법 | |
| KR20110069481A (ko) | 보안 유지를 위한 장치 및 방법 | |
| JP2004363915A (ja) | DoS攻撃対策システムおよび方法およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110413 Termination date: 20150820 |
|
| EXPY | Termination of patent right or utility model |