CN101150586A - Cc攻击防范方法及装置 - Google Patents

Cc攻击防范方法及装置 Download PDF

Info

Publication number
CN101150586A
CN101150586A CNA2007101777205A CN200710177720A CN101150586A CN 101150586 A CN101150586 A CN 101150586A CN A2007101777205 A CNA2007101777205 A CN A2007101777205A CN 200710177720 A CN200710177720 A CN 200710177720A CN 101150586 A CN101150586 A CN 101150586A
Authority
CN
China
Prior art keywords
ratio
message number
destination host
request message
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CNA2007101777205A
Other languages
English (en)
Inventor
高宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou H3C Technologies Co Ltd
Original Assignee
Hangzhou H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou H3C Technologies Co Ltd filed Critical Hangzhou H3C Technologies Co Ltd
Priority to CNA2007101777205A priority Critical patent/CN101150586A/zh
Publication of CN101150586A publication Critical patent/CN101150586A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种CC攻击防范方法,该方法包括:计算目标主机发出的响应报文数与目标主机收到的请求报文数间的比值;根据计算得到的比值与预先设定的比值阈值之间的大小关系确定目标主机是否受到CC攻击。另外,本发明还提供了一种CC攻击防范装置。利用本发明提供的技术方案,可以准确识别CC攻击,从而实现对目标主机的有效保护。

Description

CC攻击防范方法及装置
技术领域
本发明涉及网络安全技术,尤其涉及挑战黑洞(CC,Challenge Collapsar)攻击防范方法及装置。
背景技术
随着信息技术的迅速发展,计算机网络技术在全球各行各业中得到了广泛普及和推广,然而,网络应用的快速发展以及网络规模的急剧膨胀,在为企业带来生产经营效率的同时,也使得网络中的安全漏洞无处不在。这些安全漏洞为网络攻击提供了滋生的土壤,近年来流行的CC攻击便是网络攻击中的一种。
CC攻击是一种基于页面的分布式拒绝服务(DDoS,Distributed Denial ofService)攻击,它通过发送耗性能的超文本传输协议(HTTP,HypertextTransfer Protocol)请求HTTP GET来消耗服务器资源。图1示出了CC攻击的典型模式示意图,攻击主机(attacker host)多次通过网络中的代理服务器向目标主机(target host)上开销比较大的页面发起HTTP请求,如数据库查询等,导致目标主机进行大量计算,很快达到处理能力极限,从而拒绝所有用户的服务请求。
与普通的依靠大量报文进行攻击、导致目标主机瞬间瘫痪的DDoS攻击不同,CC攻击主要是通过多次访问目标主机上开销比较大的页面来实现目标主机的资源消耗的,其不需要过大的报文流量,具有很强的隐蔽性。由于CC攻击的流量与合法用户的访问流量完全一样,因此,普通的DDoS检测(如GET报文速率检测或利用HTTP协议特性检测)并不能准确识别CC攻击,无法对目标主机实行有效的保护。
发明内容
有鉴于此,本发明的主要目的在于提供一种CC攻击防范方法及装置,以准确识别CC攻击,实现对目标主机的有效保护。
为达到上述目的,本发明提供的技术方案如下:
一种CC攻击防范方法,该方法包括:计算目标主机发出的响应报文数与目标主机收到的请求报文数间的比值;根据计算得到的比值与预先设定的比值阈值之间的大小关系确定目标主机是否受到CC攻击。
所述比值为目标主机发出的响应报文数除以目标主机收到的请求报文数的值;所述根据计算得到的比值与预先设定的比值阈值之间的大小关系确定目标主机是否受到CC攻击包括:判断计算得到的比值是否小于预先设定的比值阈值,如果小于,则确定目标主机受到CC攻击。
所述比值为目标主机发出的响应报文数除以目标主机收到的请求报文数的值时,所述比值阈值通过以下方式获得:在统计时间内,以分钟为单位,统计处于正常负荷状态下的目标主机每分钟发出的响应报文数除以收到的请求报文数的值,并从中选取最小的值作为比值阈值。
所述比值为目标主机收到的请求报文数除以目标主机发出的响应报文数的值;所述根据计算得到的比值与预先设定的比值阈值之间的大小关系确定目标主机是否受到CC攻击包括:判断计算得到的比值是否大于预先设定的比值阈值,如果大于,则确定目标主机受到CC攻击。
所述比值为目标主机收到的请求报文数除以目标主机发出的响应报文数的值时,所述比值阈值通过以下方式获得:在统计时间内,以分钟为单位,统计处于正常负荷状态下的目标主机每分钟收到的请求报文数除以发出的响应报文数的值,并从中选取最大的值作为比值阈值。
该方法进一步包括:分别计算各个向目标主机发送请求报文的客户端收到的响应报文数与发出的请求报文数间的比值,在确定目标主机受到CC攻击后,对所述比值满足预定要求的客户端执行重定向操作。
所述客户端收到的响应报文数与发出的请求报文数间的比值为客户端收到的响应报文数除以客户端发出的请求报文数的值,所述被执行重定向操作的客户端为所述比值相对较小或低于预设值的客户端;
或者,所述客户端收到的响应报文数与发出的请求报文数间的比值为客户端发出的请求报文数除以客户端收到的响应报文数的值,所述被执行重定向操作的客户端为所述比值相对较大或超过预设值的客户端。
该方法进一步包括:设置阻断阈值,在目标主机发出的响应报文数与收到的请求报文数间的比值达到阻断阈值后,对收到的响应报文数与发出的请求报文数间的比值满足预定要求的客户端进行阻断。
该方法进一步包括:统计被阻断的客户端在当前统计周期内发送的请求报文数量,在目标主机发出的响应报文数与收到的请求报文数间的比值恢复正常后,解除对统计的请求报文数小于设定报文阈值的客户端的阻断。
一种CC攻击防范装置,包括:比值计算单元和攻击判断单元,其中,
比值计算单元,用于计算目标主机发出的响应报文数与目标主机收到的请求报文数间的比值,并将计算得到的比值发送给攻击判断单元;
攻击判断单元,用于根据收到的比值与预先设定的比值阈值之间的大小关系确定目标主机是否受到CC攻击。
所述比值计算单元计算的比值为目标主机发出的响应报文数除以目标主机收到的请求报文数的值,所述攻击判断单元判断收到的比值是否小于预先设定的比值阈值,如果小于,则确定目标主机受到CC攻击;
或者,所述比值计算单元计算的比值为目标主机收到的请求报文数除以目标主机发出的响应报文数的值,所述攻击判断单元判断收到的比值是否大于预先设定的比值阈值,如果大于,则确定目标主机受到CC攻击。
该装置进一步包括:重定向单元,用于分别计算各个向目标主机发送请求报文的客户端收到的响应报文数与发出的请求报文数间的比值,在确定目标主机受到CC攻击后,对所述比值满足预定要求的客户端执行重定向操作。
该装置进一步包括:阻断单元,用于在目标主机发出的响应报文数与收到的请求报文数间的比值达到预先设定的阻断阈值后,对收到的响应报文数与发出的请求报文数间的比值满足预定要求的客户端进行阻断。
所述阻断单元进一步用于,统计被阻断的客户端在当前统计周期内发送的请求报文数量,在目标主机发出的响应报文数与收到的请求报文数间的比值恢复正常后,解除对统计的请求报文数小于设定报文阈值的客户端的阻断。
该装置位于HTTP代理服务器或网关设备中。
由此可见,本发明充分利用了目标主机在遭受CC攻击后性能逐渐下降,目标主机发出的响应报文数与收到的请求报文数之间的差距逐渐增大的特性,提出了一种有效的CC攻击防范方案,即计算目标主机发出的响应报文数与收到的请求报文数间的比值,根据计算得到的比值与预先设定的比值阈值之间的大小关系确定目标主机是否受到CC攻击。利用本发明所提供的技术方案,可以准确地识别CC攻击,为有效保护目标主机奠定坚实基础。
并且,进一步地,本发明还可以通过统计各个客户端收到的响应报文数与发出的请求报文数间的比值,来确定哪些客户端是最有可能发送恶意流量的客户端,从而对这些恶意客户端执行重定向操作或者阻断操作,以保护目标主机不受恶意客户端的CC攻击。
附图说明
图1为CC攻击的典型模式示意图。
图2为本发明实施例中的CC攻击防范方法流程图。
图3为本发明实施例中的CC攻击防范装置结构示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,下面参照附图并举实施例,对本发明作进一步详细说明。
本发明提供了一种CC攻击防范方法,其基本思想是:统计目标主机发出的响应报文(RESPONSE)数与目标主机收到的请求报文(GET)数间的比值,根据该比值的变化来确定目标主机是否受到CC攻击。比如,计算目标主机发出的响应报文数除以目标主机收到的请求报文数的值(下称目标主机的RESPONSE/GET值),并预先设定一个比值阈值(该比值阈值小于1),然后,判断计算得到的比值是否小于预先设定的比值阈值,如果小于,则确定目标主机受到CC攻击。
由于CC攻击与其它普通的DDoS攻击不同,其不是通过构造大量攻击报文使目标主机在极短的时间内处于瘫痪状态,而是通过持续不断地发送性能消耗比较大的请求报文使目标主机的性能逐渐下降,目标主机从遭受CC攻击到被攻击瘫痪需要一定的时间,因此,虽然本发明检测到目标主机RESPONSE/GET值变小确定发生CC攻击的时候,目标主机已经遭受了CC攻击,但鉴于CC攻击的特性,此时再及时采取相应的处理措施,还是可以保护目标主机的。
另外,当目标主机遭受CC攻击时,不仅目标主机发出的响应报文数与目标主机收到的请求报文数的比值会变小,同理,客户端收到的响应报文数与客户端发出的请求报文数的比值(下称客户端的RESPONSE/GET值)同样也会变小。并且,客户端发出的请求报文数越多,其收到的响应报文数与发出的请求报文数的比值就相对越小。鉴于攻击主机是通过持续不断地向目标主机发送耗性能的请求报文来消耗目标主机的资源的,其发出的请求报文数比合法主机要多,因此,当发生CC攻击时,客户端的RESPONSE/GET值越小,该客户端是攻击主机的嫌疑就越大。也就是说,本发明不仅可以通过统计目标主机的RESPONSE/GET值来判断是否发生了CC攻击,进一步地,还可以通过统计客户端的RESPONSE/GET值来确定哪些客户端是发出恶意流量的攻击主机。
其中,所述统计目标主机RESPONSE/GET值并确定是否发生CC攻击,以及统计客户端RESPONSE/GET值并确定攻击主机的操作,可以由位于被保护的目标主机前端的安全设备(如位于目标主机和客户端之间的HTTP代理服务器或网关设备等)来完成。
为更加清楚起见,下面结合图2对本发明中的CC攻击防范方法进行详细阐述。如图2所示,该方法主要包括以下步骤:
步骤201:在目标主机负荷正常的情况下,统计目标主机RESPONSE/GET的比值阈值。
比如,在预先设定的统计时间内,安全设备以一分钟为一个统计周期,统计处于正常负荷状态下的目标主机在构成统计时间的每个统计周期发出的响应报文数与收到的请求报文数的比值即RESPONSE/GET值,并从中选取最小的比值作为比值阈值。需要说明的是,所述统计周期可以根据实际需求自行设置,而不限于以分钟为单位进行。
其中,统计目标主机在每个统计周期发出的响应报文数与收到的请求报文数的比值的具体过程包括:在该统计周期内,目标主机每收到一个请求报文(即安全设备每向目标主机转发一个来自客户端的请求报文),安全设备就将目标主机收到的请求报文数加1;目标主机每发出一个响应报文(即安全设备每向客户端转发一个来自目标主机的响应报文),安全设备就将目标主机发出的响应报文数加1;最后,安全设备计算在该统计周期内目标主机发出的响应报文总数与目标主机收到的请求报文总数的比值,将该比值作为该统计周期的RESPONSE/GET值。并且,安全设备持续一段时间(如8小时)反复执行上述统计操作,并在构成该时间段即统计时间的各个统计周期中,取其中最小的RESPONSE/GET值作为目标主机RESPONSE/GET的比值阈值。较佳地,所述统计时间应该包括目标主机的典型应用时段,即如果目标主机应用最繁忙的时段是20:00~22:00,则统计时间就应该包含20:00~22:00这个时段。
假设目标主机192.168.1.1在统计时间内的各个统计周期中统计的RESPONSE/GET值如表1所示,且在这些统计周期中,比值最小的是0.8,那么,目标主机RESPONSE/GET的比值阈值将会被设置成0.8。
  目标主机(192.168.1.1)   RESPONSE/GET   统计周期
  0.9   第一分钟
  1.0   第二分钟
  0.8   第三分钟
  ......   ......
表1
步骤202:实时统计目标主机的RESPONSE/GET值,同时,统计向目标主机发送请求报文的各个客户端的RESPONSE/GET值,并在每个统计周期,判断当前统计周期内统计的目标主机的RESPONSE/GET值是否小于步骤201中确定的比值阈值,如果小于,则确定目标主机遭受CC攻击,执行步骤203;否则,继续执行步骤202。
其中,步骤202所述实时统计周期与确定比值阈值时的统计周期相同,在本实施例中,均是以分钟为单位,即安全设备每分钟统计一次目标主机的RESPONSE/GET值和客户端的RESPONSE/GET值。统计客户端的RESPONSE/GET值是针对各个不同的客户端分别进行的,即安全设备分别为各个客户端统计RESPONSE/GET值,其具体操作过程如下:在当前统计周期内,客户端每发出一个请求报文(即安全设备每向目标主机转发一个来自客户端的请求报文),安全设备就将该客户端发出的请求报文数加1;该客户端每收到一个响应报文(即安全设备每向该客户端转发一个来自目标主机的响应报文),安全设备就将该客户端收到的响应报文数加1;最后,安全设备计算当前统计周期内该客户端收到的响应报文总数与发出的请求报文总数的比值,将该比值作为该客户端在当前统计周期内的RESPONSE/GET值。
步骤203:在确定目标主机遭受CC攻击后,安全设备根据步骤202中统计的各个客户端的当前RESPONSE/GET值,确定最有可能是攻击主机的客户端,并执行相应处理措施,对目标主机进行保护。
比如,假设安全设备维护的当前统计周期内各个客户端的RESPONSE/GET值如表2所示。由于客户端的RESPONSE/GET值越小,是攻击主机的嫌疑就越大,因此,安全设备在确定目标主机遭受CC攻击后,可以从表2中选取RESPONSE/GET值最小的几个客户端(如10个)或者选取RESPONSE/GET值低于预设值的客户端,在收到来自这些被选择的客户端的请求报文后,不立即转发给目标主机,而是向这些客户端发送重定向报文,要求这些客户端重新发送请求报文,这样可以延迟将来自这些客户端的请求报文发向目标主机,从而降低目标主机的处理压力,防止目标主机某个时刻流量特别大而造成误判。
  客户端   RESPONSE/GET
  192.168.1.2   0.8
  192.168.1.3   0.7
  10.1.1.1   0.9
  ......   ......
表2
在执行重定向操作后,安全设备依然对目标主机和客户端的RESPONSE/GET值进行统计,如果目标主机的RESPONSE/GET值继续减少,低于预先设定的阻断阈值(如0.75),则安全设备可以对当前统计周期内RESPONSE/GET值较小的几个客户端(如10个)进行阻断,不允许这些客户端向目标主机发送请求报文,以消除对目标主机的CC攻击,其中,所述阻断阈值小于比值阈值。
并且,对于被阻断的客户端,安全设备分别统计它们在每个统计周期内发送的请求报文数量,在目标主机的RESPONSE/GET值恢复到正常值(如0.8)后一定时间(如2分钟),如果安全设备统计的当前统计周期内被阻断的某个客户端发送的请求报文数量小于预先设定的报文阈值(如8个),则安全设备解除对该客户端的阻断。
在以上实施例中,对根据目标主机的RESPONSE/GET值来确定目标主机是否受到CC攻击,以及根据客户端的RESPONSE/GET值来确定最有可能是攻击主机的客户端并采取相应处理措施的方案进行了详细说明。需要说明的是,本发明不仅可以通过计算目标主机的RESPONSE/GET值来确定目标主机是否受到CC攻击,还可以通过计算目标主机的GET/RESPONSE值来确定目标主机是否受到CC攻击,即计算目标主机收到的请求报文数除以目标主机发出的响应报文数的值,并判断计算得到的比值是否大于预先设定的比值阈值(该比值阈值大于1),如果大于,则确定目标主机受到CC攻击。
与步骤201中确定比值阈值的过程同理,这里的比值阈值也可以通过以下方式获得:在统计时间内,以分钟为单位,统计处于正常负荷状态下的目标主机每分钟收到的请求报文数与发出的响应报文数的比值即GET/RESPONSE值,并从中选取最大的值作为比值阈值。
另外,在确定目标主机受到CC攻击后,不仅可以对收到的响应报文数与发出的请求报文数的比值即RESPONSE/GET值满足预定要求的客户端执行重定向或阻断操作,也可以对发出的请求报文数与收到的响应报文数的比值即GET/RESPONSE值满足预定要求的客户端执行重定向或阻断操作。比如,从所有向目标主机发送请求报文的客户端中,选取GET/RESPONSE值最大的5个客户端或者选取GET/RESPONSE值超过预设值的客户端,对它们执行重定向或阻断操作。
与本发明提供的CC攻击防范方法相对应,本发明还提供了一种CC攻击防范装置,该装置可位于HTTP代理服务器或网关设备中,其结构参见图3所示,主要包括:比值计算单元和攻击判断单元,其中,
比值计算单元,用于计算目标主机发出的响应报文数与目标主机收到的请求报文数间的比值,并将计算得到的比值发送给攻击判断单元;
攻击判断单元,用于根据收到的比值与预先设定的比值阈值之间的大小关系确定目标主机是否受到CC攻击。
较佳地,所述比值计算单元计算的比值为目标主机发出的响应报文数除以目标主机收到的请求报文数的值,所述攻击判断单元判断收到的比值是否小于预先设定的比值阈值,如果小于,则确定目标主机受到CC攻击;
或者,所述比值计算单元计算的比值为目标主机收到的请求报文数除以目标主机发出的响应报文数的值,所述攻击判断单元判断收到的比值是否大于预先设定的比值阈值,如果大于,则确定目标主机受到CC攻击。
如图3所示,该装置可进一步包括:重定向单元,用于分别计算各个向目标主机发送请求报文的客户端收到的响应报文数与发出的请求报文数间的比值,在确定目标主机受到CC攻击后,对所述比值满足预定要求的客户端执行重定向操作。
另外,该装置还可进一步包括:阻断单元,用于在目标主机发出的响应报文数与收到的请求报文数间的比值达到预先设定的阻断阈值后,对收到的响应报文数与发出的请求报文数间的比值满足预定要求的客户端进行阻断。
所述阻断单元还可进一步用于,统计被阻断的客户端在当前统计周期内发送的请求报文数量,在目标主机发出的响应报文数与收到的请求报文数间的比值恢复正常后,解除对统计的请求报文数小于设定报文阈值的客户端的阻断。
以上所述对本发明的目的、技术方案和有益效果进行了进一步的详细说明,所应理解的是,以上所述并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (15)

1.一种CC攻击防范方法,其特征在于,该方法包括:
计算目标主机发出的响应报文数与目标主机收到的请求报文数间的比值;
根据计算得到的比值与预先设定的比值阈值之间的大小关系确定目标主机是否受到CC攻击。
2.根据权利要求1所述的方法,其特征在于,所述比值为目标主机发出的响应报文数除以目标主机收到的请求报文数的值;
所述根据计算得到的比值与预先设定的比值阈值之间的大小关系确定目标主机是否受到CC攻击包括:判断计算得到的比值是否小于预先设定的比值阈值,如果小于,则确定目标主机受到CC攻击。
3.根据权利要求2所述的方法,其特征在于,所述比值阈值通过以下方式获得:在统计时间内,以分钟为单位,统计处于正常负荷状态下的目标主机每分钟发出的响应报文数除以收到的请求报文数的值,并从中选取最小的值作为比值阈值。
4.根据权利要求1所述的方法,其特征在于,所述比值为目标主机收到的请求报文数除以目标主机发出的响应报文数的值;
所述根据计算得到的比值与预先设定的比值阈值之间的大小关系确定目标主机是否受到CC攻击包括:判断计算得到的比值是否大于预先设定的比值阈值,如果大于,则确定目标主机受到CC攻击。
5.根据权利要求4所述的方法,其特征在于,所述比值阈值通过以下方式获得:在统计时间内,以分钟为单位,统计处于正常负荷状态下的目标主机每分钟收到的请求报文数除以发出的响应报文数的值,并从中选取最大的值作为比值阈值。
6.根据权利要求1所述的方法,其特征在于,该方法进一步包括:
分别计算各个向目标主机发送请求报文的客户端收到的响应报文数与发出的请求报文数间的比值,在确定目标主机受到CC攻击后,对所述比值满足预定要求的客户端执行重定向操作。
7.根据权利要求6所述的方法,其特征在于,所述客户端收到的响应报文数与发出的请求报文数间的比值为客户端收到的响应报文数除以客户端发出的请求报文数的值,所述被执行重定向操作的客户端为所述比值相对较小或低于预设值的客户端;
或者,所述客户端收到的响应报文数与发出的请求报文数间的比值为客户端发出的请求报文数除以客户端收到的响应报文数的值,所述被执行重定向操作的客户端为所述比值相对较大或超过预设值的客户端。
8.根据权利要求1或7所述的方法,其特征在于,该方法进一步包括:
设置阻断阈值,在目标主机发出的响应报文数与收到的请求报文数间的比值达到阻断阈值后,对收到的响应报文数与发出的请求报文数间的比值满足预定要求的客户端进行阻断。
9.根据权利要求8所述的方法,其特征在于,该方法进一步包括:
统计被阻断的客户端在当前统计周期内发送的请求报文数量,在目标主机发出的响应报文数与收到的请求报文数间的比值恢复正常后,解除对统计的请求报文数小于设定报文阈值的客户端的阻断。
10.一种CC攻击防范装置,其特征在于,包括:比值计算单元和攻击判断单元,其中,
比值计算单元,用于计算目标主机发出的响应报文数与目标主机收到的请求报文教间的比值,并将计算得到的比值发送给攻击判断单元;
攻击判断单元,用于根据收到的比值与预先设定的比值阈值之间的大小关系确定目标主机是否受到CC攻击。
11.根据权利要求10所述的装置,其特征在于,所述比值计算单元计算的比值为目标主机发出的响应报文数除以目标主机收到的请求报文数的值,所述攻击判断单元判断收到的比值是否小于预先设定的比值阈值,如果小于,则确定目标主机受到CC攻击;
或者,所述比值计算单元计算的比值为目标主机收到的请求报文数除以目标主机发出的响应报文数的值,所述攻击判断单元判断收到的比值是否大于预先设定的比值阈值,如果大于,则确定目标主机受到CC攻击。
12.根据权利要求10所述的装置,其特征在于,该装置进一步包括:
重定向单元,用于分别计算各个向目标主机发送请求报文的客户端收到的响应报文数与发出的请求报文数间的比值,在确定目标主机受到CC攻击后,对所述比值满足预定要求的客户端执行重定向操作。
13.根据权利要求10至12任一项所述的装置,其特征在于,该装置进一步包括:
阻断单元,用于在目标主机发出的响应报文数与收到的请求报文数间的比值达到预先设定的阻断阈值后,对收到的响应报文数与发出的请求报文数间的比值满足预定要求的客户端进行阻断。
14.根据权利要求13所述的装置,其特征在于,所述阻断单元进一步用于,统计被阻断的客户端在当前统计周期内发送的请求报文数量,在目标主机发出的响应报文数与收到的请求报文教间的比值恢复正常后,解除对统计的请求报文数小于设定报文阈值的客户端的阻断。
15.根据权利要求10所述的装置,其特征在于,该装置位于HTTP代理服务器或网关设备中。
CNA2007101777205A 2007-11-20 2007-11-20 Cc攻击防范方法及装置 Pending CN101150586A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNA2007101777205A CN101150586A (zh) 2007-11-20 2007-11-20 Cc攻击防范方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNA2007101777205A CN101150586A (zh) 2007-11-20 2007-11-20 Cc攻击防范方法及装置

Publications (1)

Publication Number Publication Date
CN101150586A true CN101150586A (zh) 2008-03-26

Family

ID=39250924

Family Applications (1)

Application Number Title Priority Date Filing Date
CNA2007101777205A Pending CN101150586A (zh) 2007-11-20 2007-11-20 Cc攻击防范方法及装置

Country Status (1)

Country Link
CN (1) CN101150586A (zh)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101834866A (zh) * 2010-05-05 2010-09-15 北京来安科技有限公司 一种cc攻击防护方法及其系统
CN102045327A (zh) * 2009-10-09 2011-05-04 杭州华三通信技术有限公司 防范cc攻击的方法和设备
CN102075443A (zh) * 2011-02-28 2011-05-25 电子科技大学 基于主动探测的主机ip出流量估算方法
CN102137111A (zh) * 2011-04-20 2011-07-27 北京蓝汛通信技术有限责任公司 一种防御cc攻击的方法、装置和内容分发网络服务器
CN102281298A (zh) * 2011-08-10 2011-12-14 深信服网络科技(深圳)有限公司 检测和防御cc攻击的方法及装置
CN102487339A (zh) * 2010-12-01 2012-06-06 中兴通讯股份有限公司 一种网络设备攻击防范方法及装置
CN103379099A (zh) * 2012-04-19 2013-10-30 阿里巴巴集团控股有限公司 恶意攻击识别方法及系统
CN104243408A (zh) * 2013-06-14 2014-12-24 中国移动通信集团公司 域名解析服务dns系统中监控报文的方法、装置及系统
CN105939342A (zh) * 2016-03-31 2016-09-14 杭州迪普科技有限公司 Http攻击检测方法及装置
CN103685293B (zh) * 2013-12-20 2017-05-03 北京奇安信科技有限公司 拒绝服务攻击的防护方法和装置
CN107426136A (zh) * 2016-05-23 2017-12-01 腾讯科技(深圳)有限公司 一种网络攻击的识别方法和装置
CN107682341A (zh) * 2017-10-17 2018-02-09 北京奇安信科技有限公司 Cc攻击的防护方法及装置

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102045327A (zh) * 2009-10-09 2011-05-04 杭州华三通信技术有限公司 防范cc攻击的方法和设备
CN102045327B (zh) * 2009-10-09 2013-11-27 杭州华三通信技术有限公司 防范cc攻击的方法和设备
CN101834866B (zh) * 2010-05-05 2013-06-26 北京来安科技有限公司 一种cc攻击防护方法及其系统
CN101834866A (zh) * 2010-05-05 2010-09-15 北京来安科技有限公司 一种cc攻击防护方法及其系统
CN102487339B (zh) * 2010-12-01 2015-06-03 中兴通讯股份有限公司 一种网络设备攻击防范方法及装置
CN102487339A (zh) * 2010-12-01 2012-06-06 中兴通讯股份有限公司 一种网络设备攻击防范方法及装置
CN102075443A (zh) * 2011-02-28 2011-05-25 电子科技大学 基于主动探测的主机ip出流量估算方法
CN102075443B (zh) * 2011-02-28 2012-11-21 电子科技大学 基于主动探测的主机ip出流量估算方法
CN102137111A (zh) * 2011-04-20 2011-07-27 北京蓝汛通信技术有限责任公司 一种防御cc攻击的方法、装置和内容分发网络服务器
CN102281298A (zh) * 2011-08-10 2011-12-14 深信服网络科技(深圳)有限公司 检测和防御cc攻击的方法及装置
CN103379099A (zh) * 2012-04-19 2013-10-30 阿里巴巴集团控股有限公司 恶意攻击识别方法及系统
CN104243408A (zh) * 2013-06-14 2014-12-24 中国移动通信集团公司 域名解析服务dns系统中监控报文的方法、装置及系统
CN104243408B (zh) * 2013-06-14 2017-11-21 中国移动通信集团公司 域名解析服务dns系统中监控报文的方法、装置及系统
CN103685293B (zh) * 2013-12-20 2017-05-03 北京奇安信科技有限公司 拒绝服务攻击的防护方法和装置
CN105939342A (zh) * 2016-03-31 2016-09-14 杭州迪普科技有限公司 Http攻击检测方法及装置
CN107426136A (zh) * 2016-05-23 2017-12-01 腾讯科技(深圳)有限公司 一种网络攻击的识别方法和装置
CN107426136B (zh) * 2016-05-23 2020-01-14 腾讯科技(深圳)有限公司 一种网络攻击的识别方法和装置
CN107682341A (zh) * 2017-10-17 2018-02-09 北京奇安信科技有限公司 Cc攻击的防护方法及装置

Similar Documents

Publication Publication Date Title
CN101150586A (zh) Cc攻击防范方法及装置
Le et al. Specification-based IDS for securing RPL from topology attacks
CN102739683B (zh) 一种网络攻击过滤方法及装置
US20160182542A1 (en) Denial of service and other resource exhaustion defense and mitigation using transition tracking
CN110249603B (zh) 用于检测无线网络中的分布式攻击的方法和装置
CN103179132B (zh) 一种检测和防御cc攻击的方法及装置
US8844034B2 (en) Method and apparatus for detecting and defending against CC attack
US8356350B2 (en) Method and system for managing denial of service situations
CN101478540B (zh) 一种防御挑战黑洞攻击的方法及装置
WO2011075922A1 (zh) 一种ddos攻击检测方法
CN106453669B (zh) 一种负载均衡方法及一种服务器
US20160234230A1 (en) System and method for preventing dos attacks utilizing invalid transaction statistics
CN103916379B (zh) 一种基于高频统计的cc攻击识别方法及系统
CN103442018A (zh) Cc攻击的动态防御方法和系统
CN103379099A (zh) 恶意攻击识别方法及系统
CN109922072B (zh) 一种分布式拒绝服务攻击检测方法及装置
US20120159632A1 (en) Method and Arrangement for Detecting Fraud in Telecommunication Networks
Jeyanthi et al. An enhanced entropy approach to detect and prevent DDoS in cloud environment
EP2672676A1 (en) Methods and systems for statistical aberrant behavior detection of time-series data
CN102447707A (zh) 一种基于映射请求的DDoS检测与响应方法
CN105282152A (zh) 一种异常流量检测的方法
Bawa et al. Enhanced mechanism to detect and mitigate economic denial of sustainability (EDoS) attack in cloud computing environments
CN103685317A (zh) 用于域名系统的防护方法和装置
CN101795277B (zh) 一种单向流检测模式下的流量检测方法和设备
CN101459561A (zh) 基于cusum算法检测sip消息洪泛攻击的装置和方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication

Open date: 20080326