CN101282340A - 网络攻击处理方法及处理装置 - Google Patents
网络攻击处理方法及处理装置 Download PDFInfo
- Publication number
- CN101282340A CN101282340A CNA2008100961836A CN200810096183A CN101282340A CN 101282340 A CN101282340 A CN 101282340A CN A2008100961836 A CNA2008100961836 A CN A2008100961836A CN 200810096183 A CN200810096183 A CN 200810096183A CN 101282340 A CN101282340 A CN 101282340A
- Authority
- CN
- China
- Prior art keywords
- attack
- main frame
- target
- network
- control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title abstract description 8
- 238000004891 communication Methods 0.000 claims abstract description 19
- 238000003672 processing method Methods 0.000 claims abstract description 15
- 238000012876 topography Methods 0.000 claims description 18
- 238000004458 analytical method Methods 0.000 claims description 12
- 230000001143 conditioned effect Effects 0.000 claims description 2
- 230000008520 organization Effects 0.000 abstract 1
- 238000012098 association analyses Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 238000004140 cleaning Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000032683 aging Effects 0.000 description 2
- 230000002547 anomalous effect Effects 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开一种网络攻击处理方法及处理装置。所述方法包括:确定被攻击目标后,查找记录的与所述被攻击目标相关的攻击事件,确定攻击网络中的受控主机;根据所述受控主机查找记录的与所述受控主机相关的控制事件,确定攻击网络中的控制主机;将检测出与多台控制主机进行相同通信的主机确定为攻击操控者。相应的,本发明实施例还提供一种处理装置。本发明实施例提供的技术方案能够提供完整的网络攻击拓扑,发现真正的攻击组织控制者。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种网络攻击处理方法及处理装置。
背景技术
DDOS(Distributed Denial of Service,分布式拒绝服务攻击)攻击是泛洪(flood)攻击的其中一种,主要是指攻击者利用主控主机做跳板(可能多级多层),控制大量受感染的主机组成攻击网络对受害主机进行大规模的拒绝服务攻击。这种攻击往往能把单个攻击者的攻击以级数形式进行放大,从而对受害主机造成重大影响,也造成网络严重拥塞。
现有技术中检测出DDOS攻击有多种方式,例如流量异常检测、发包频率检测、特征报文检测等。流量异常检测主要根据各种协议流量在正常情况下是相对平稳变化的,只有在受到特定攻击时候才会发生明显的突变的原理进行检测。通过采集流量后进行流量统计,进行流量模型的分析,然后把分析结果和初始分析模型进行比对,两者的差异如果大于阈值则认为异常。发包频率检测是通过统计发包频率,将统计结果和阈值进行比较,如果大于阈值则认为异常。特征报文检测主要是根据已经建立好的攻击特征库,对接收的报文进行特征匹配,识别出攻击报文或控制报文后,则确定为异常。
在对现有技术的研究和实践过程中,发明人发现现有技术存在以下问题:
现有技术检测方法检测出DDOS攻击时所得到的信息只是整个DDOS攻击中的某一孤立事件,例如要么是某些控制报文或攻击报文,要么是受害主机的某几种协议的流量大规模异常等等,但实际上这些事件是密切关联的,现有技术并没有将这些孤立事件综合考虑,因此无法提供完整的网络攻击拓扑,不能发现真正的攻击操控者。
发明内容
本发明实施例要解决的技术问题是提供一种网络攻击处理方法及处理装置,能够提供完整的网络攻击拓扑,发现真正的攻击组织控制者。
为解决上述技术问题,本发明所提供实施例是通过以下技术方案实现的:
本发明实施例提供一种网络攻击处理方法,包括:确定被攻击目标后,查找记录的与所述被攻击目标相关的攻击事件,确定攻击网络中的受控主机;根据所述受控主机查找记录的与所述受控主机相关的控制事件,确定攻击网络中的控制主机;将检测出与多台控制主机进行相同通信的主机确定为攻击操控者。
本发明实施例提供一种处理装置,包括:攻击对象建模模块,用于确定被攻击目标;拓扑模块,用于在所述攻击对象建模模块确定被攻击目标后,查找记录的与所述被攻击目标相关的攻击事件,确定攻击网络中的受控主机;根据所述受控主机查找记录的与所述受控主机相关的控制事件,确定攻击网络中的控制主机;通信分析模块,用于将检测出与多台控制主机进行相同通信的主机确定为攻击操控者。
上述技术方案可以看出,本发明实施例技术方案是在确定被攻击目标后,查找记录的与所述被攻击目标相关的攻击事件,确定攻击网络中的受控主机;根据所述受控主机查找记录的与所述受控主机相关的控制事件,确定攻击网络中的控制主机;将检测出与多台控制主机进行相同通信的主机确定为攻击操控者,从而利用关联分析技术把获得的孤立事件关联起来分析,得出一个完整的攻击网络的拓扑关系,发现真正的攻击操控者。
附图说明
图1是本发明实施例网络攻击处理方法流程图;
图2是本发明实施例数据表DBTT中主要内容的逻辑结构示意图;
图3是本发明实施例处理装置结构示意图。
具体实施方式
本发明实施例提供了一种网络攻击处理方法,用于提供完整的网络攻击拓扑,从而发现真正的攻击操控者。
本发明实施例中设置事件收集模块,主要是从日志记录中读取相关事件的日志信息,可以通过在数据库中按要求进行过滤得到。本发明实施例所指的相关事件主要是指5类:协议流量异常事件、频率超限事件、DDOS攻击事件、连接耗尽事件和DDOS控制事件。以下先对这些事件的信息进行介绍。
请参阅表项1,为频率超限事件正文段数据结构:
| 目的IP | 源IP | 目的端口 | 源端口 | 协议类型 | 发包频率 | 累计数量 |
表项1
表项1中,发包频率表示发送数据包的快慢,累计数量表示该类型的数据包在老化时间内积累的数目。
请参阅表项2,为连接耗尽事件正文段数据结构:
| 目的IP | 源IP | 目的端口 | 源端口 | 协议类型 | 连接频率 | 累计数量 |
表项2
表项2中,连接频率表示某主机和目标主机间连接的快慢,累计数量表示在老化时间内连接的累计次数。连接耗尽事件描述的通信状态主要是指某主机针对某目标主机短时间内形成大量连接,超过连接频率和累计数量的阈值。
请参阅表项3,为DDOS攻击事件正文段数据结构:
| 目的IP | 源IP | 目的端口 | 源端口 | 协议类型 | DDOS名称 | 攻击类型 | 触犯规则 |
表项3
表项3中,DDOS名称主要是指在单包的DDOS特征报文检测中,通过匹配攻击规则成功后得出是哪种工具发起的DDOS攻击命令,攻击类型指其采用的具体攻击类型,触犯规则主要是指匹配成功的攻击规则。
请参阅表项4,为DDOS控制事件正文段数据结构:
| 目的IP | 源IP | 目的端口 | 源端口 | 协议类型 | DDOS名称 | 控制类型 | 触犯规则 |
表项4
表项4中,DDOS名称主要是指在单包的DDOS特征报文检测中,通过匹配控制规则成功后得出是哪种工具发起的DDOS控制命令,控制类型指其采用的具体控制类型,触犯规则主要是指该匹配成功的控制规则。
表项5为协议流量异常事件正文段数据结构:
| 目的端口 | 源端口 | 协议类型 | 流量数值 | 当前阈值 | 动作标记 | 异常类别 |
表项5
表项5中,流量数值指当前流量数值,当前阈值指的是动态阈值,动作标记表示流量是否恢复正常,异常类别表示出现流量异常的类型。
除事件收集模块外,本发明实施例还设置攻击对象建模模块、攻击关联模块、控制关联模块、拓扑模块、输出模块、通信分析模块。
以下结合流程图详细介绍本发明实施例网络攻击处理方法。
请参阅图1,是本发明实施例网络攻击处理方法流程图,包括步骤:
步骤101、确定被攻击目标;
攻击对象建模模块通过读取事件收集模块中流量异常事件的信息,根据流量异常事件的优先级确定哪个被攻击目标作为关联分析的攻击对象,该确定的被攻击目标一般采用IP地址表示。
确定被攻击目标后,攻击对象建模模块再创建相关资源,并将确定的被攻击目标通知拓扑模块。
步骤102、根据确定的被攻击目标查找出与其相关的攻击事件集合,建立僵尸主机表;
拓扑模块以确定的被攻击目标的IP地址为匹配条件,遍历攻击关联模块记录的攻击实时列表,从中找出所有以该IP地址为攻击对象的攻击事件集合,根据攻击事件中的攻击报文建立临时的僵尸主机表。
攻击关联模块的攻击实时列表是根据事件收集模块中收集的各事件信息,并按照目的IP地址分类整理后建立。这里所述的各事件主要包括频率超限事件、DDOS攻击事件和连接耗尽事件,各事件的信息可以通过上面描述的各表项体现。
步骤103、根据僵尸主机的地址查找与其相关的控制事件集合,建立控制事件与攻击事件的关联,形成基本的拓扑数据表DBTT(DDOS BotnetTopology Table);
拓扑模块根据建立的僵尸主机表,以僵尸主机的IP地址为匹配条件,遍历控制关联模块中记录的所有的控制实时列表,从中找出所有以该IP地址为控制对象的控制事件集合,建立控制事件与已找出的攻击事件的关联,也就是将根据控制报文确定的控制主机与僵尸主机表中的僵尸主机进行关联,从而形成基本的拓扑数据表DBTT,后续则根据变化动态维护该DBTT。
控制关联模块的控制实时列表是根据事件收集模块中收集的DDOS控制事件信息,把各种控制事件根据源IP地址分类整理后建立。
步骤104、对数据表DBTT中的控制主机进行通信信息分析,确定操控者。
拓扑模块形成基本的DBTT后,通信分析模块对DBTT中的多台控制机主机进行通信信息(包括数据信息和连接信息等)的分析,查找出与这些控制主机进行相同通信的主机,判断该主机为发起攻击的操控者,将该主机的IP地址确定为操控者IP地址。
通信分析模块确定发起攻击的操控者后,将操控者IP地址返回给拓扑模块,由拓扑模块记录到DBTT中,形成最终的DBTT。
请参阅图2,是本发明实施例DBTT中主要内容的逻辑结构示意图。
如图2所示,所述逻辑结构主要包括三个层次。第一层次是操控者IP地址,第二层次是控制主机的相关信息,包括IP地址、控制方式、控制次数、有效标记等。第三层次则是僵尸主机的相关信息,包括IP地址、类型、攻击IP组、有效标记等。
操控者IP地址借助获取控制主机的通信信息来确定,而控制主机则通过获取对僵尸主机的控制报文确定,僵尸主机通过获取攻击报文确定。第三层次中的类型表示该僵尸主机属于哪种僵尸类别,攻击IP组则是历史记录中其攻击的目的IP的集合,有效标记则表示该条记录是否有效。
当通过上述步骤完成DBTT后,可以由输出模块将DBTT依照策略定时或者实时形成黑名单后向外输出,用于指导后续对攻击行为的处理,例如进行流量清洗等。
通过上述内容的介绍,可以发现,本发明实施例技术方案通过利用关联分析技术把获得的孤立事件进行关联分析,从而得出整个DDOS攻击网络的完整体系,发现真正的攻击操控者,并能更方便的对整个DDOS攻击网络进行监控、跟踪,为后续的流量清洗、攻击反制、法律诉讼提供信息。另外,即使攻击组织控制者在发起攻击中应变策略,例如攻击一段时间后停止攻击,然后再发起攻击,或者时而采用一种攻击方法,时而又采用另外一种方法,或者操控者经常转换IP,本发明实施例的技术方案通过最终形成的DBTT都可以反映出来,从而仍然可以解决这个问题。
上述内容详细介绍了本发明实施例网络攻击处理方法,相应的,本发明实施例提供一种处理装置。
请参阅图3,是本发明实施例处理装置结构示意图。如图3所示,处理装置包括:攻击对象建模模块301、拓扑模块302、通信分析模块303。
攻击对象建模模块301,用于确定被攻击目标。
拓扑模块302,用于在所述攻击对象建模模块确定被攻击目标后,查找记录的与所述被攻击目标相关的攻击事件,确定攻击网络中的受控主机;根据所述受控主机查找记录的与所述受控主机相关的控制事件,确定攻击网络中的控制主机。
通信分析模块303,用于将检测出与多台控制主机进行相同通信的主机确定为攻击操控者。
处理装置进一步包括:事件收集模块304。
事件收集模块304,用于根据预设条件从日志记录中收集事件信息;所述攻击对象建模模块301根据事件收集模块304中收集的流量异常事件的优先级信息确定被攻击目标。
处理装置进一步包括:攻击关联模块305。
攻击关联模块305,用于将所述事件收集模块304中的多种事件的信息按目的IP地址分类整理后建立攻击实时列表,其中所述多种事件包括频率超限事件、DDOS攻击事件和连接耗尽事件;所述拓扑模块302是在所述攻击实时列表中查找记录的与所述被攻击目标相关的攻击事件。
处理装置进一步包括:控制关联模块306。
控制关联模块306,用于将所述事件收集模块304中的各种控制事件的信息按源IP地址分类整理后建立控制实时列表;所述拓扑模块302是在所述控制实时列表中根据所述受控主机查找记录的与所述受控主机相关的控制事件。
进一步的,所述处理装置中的拓扑模块302包括:第一处理单元3021和第二处理单元3022。
第一处理单元3021,用于在所述攻击关联模块305建立的攻击实时列表中,以被攻击目标的IP地址为匹配条件,查找出将所述被攻击目标作为攻击对象的攻击事件,确定攻击网络中的受控主机。
第二处理单元3022,用于在所述控制关联模块306建立的控制实时列表中,以受控主机的IP地址为匹配条件,查找出将所述受控主机作为控制对象的控制事件,确定攻击网络中的控制主机。
处理装置进一步包括:输出模块307。
上述得出的受控主机、控制主机和攻击操控者由拓扑模块302组成一个拓扑数据表DBTT,输出模块307将DBTT依照策略定时或者实时形成黑名单后向外输出,用于指导后续对攻击行为的处理,例如进行流量清洗等。
综上所述,本发明实施例技术方案是在确定被攻击目标后,查找记录的与所述被攻击目标相关的攻击事件,确定攻击网络中的受控主机;根据所述受控主机查找记录的与所述受控主机相关的控制事件,确定攻击网络中的控制主机;将检测出与多台控制主机进行相同通信的主机确定为攻击操控者,从而利用关联分析技术把获得的孤立事件关联起来分析,得出一个完整的攻击网络的拓扑关系,发现真正的攻击操控者。
以上对本发明实施例所提供的一种网络攻击处理方法及处理装置进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (11)
1、一种网络攻击处理方法,其特征在于,包括:
确定被攻击目标后,查找记录的与所述被攻击目标相关的攻击事件,确定攻击网络中的受控主机;
根据所述受控主机查找记录的与所述受控主机相关的控制事件,确定攻击网络中的控制主机;
将检测出与多台控制主机进行相同通信的主机确定为攻击操控者。
2、根据权利要求1所述的网络攻击处理方法,其特征在于:
所述确定被攻击目标具体是根据流量异常事件的优先级信息来确定。
3、根据权利要求1或2所述的网络攻击处理方法,其特征在于:
所述查找记录的与所述被攻击目标相关的攻击事件具体为:
在建立的攻击实时列表中,以被攻击目标的IP地址为匹配条件,查找出将所述被攻击目标作为攻击对象的攻击事件。
4、根据权利要求3所述的网络攻击处理方法,其特征在于:
所述攻击实时列表是将收集到的多种事件的信息按目的IP地址分类整理后得到;其中所述多种事件包括频率超限事件、分布式拒绝服务DDOS攻击事件和连接耗尽事件。
5、根据权利要求1或2所述的网络攻击处理方法,其特征在于:
所述根据受控主机查找记录的与所述受控主机相关的控制事件具体为:
在建立的控制实时列表中,以受控主机的IP地址为匹配条件,查找出将所述受控主机作为控制对象的控制事件。
6、根据权利要求5所述的网络攻击处理方法,其特征在于:
所述控制实时列表是将收集到的各种控制事件的信息按源IP地址分类整理后得到。
7、一种处理装置,其特征在于,包括:
攻击对象建模模块,用于确定被攻击目标;
拓扑模块,用于在所述攻击对象建模模块确定被攻击目标后,查找记录的与所述被攻击目标相关的攻击事件,确定攻击网络中的受控主机;根据所述受控主机查找记录的与所述受控主机相关的控制事件,确定攻击网络中的控制主机;
通信分析模块,用于将检测出与多台控制主机进行相同通信的主机确定为攻击操控者。
8、根据权利要求7所述的处理装置,其特征在于,所述处理装置进一步包括:
事件收集模块,用于根据预设条件从日志记录中收集事件信息;
所述攻击对象建模模块根据所述事件收集模块中收集的流量异常事件的优先级信息确定被攻击目标。
9、根据权利要求8所述的处理装置,其特征在于,所述处理装置进一步包括:
攻击关联模块,用于将所述事件收集模块中的多种事件的信息按目的IP地址分类整理后建立攻击实时列表;
所述拓扑模块是在所述攻击实时列表中查找记录的与所述被攻击目标相关的攻击事件。
10、根据权利要求8所述的处理装置,其特征在于,所述处理装置进一步包括:
控制关联模块,用于将所述事件收集模块中的各种控制事件的信息按源IP地址分类整理后建立控制实时列表;
所述拓扑模块是在所述控制实时列表中根据所述受控主机查找记录的与所述受控主机相关的控制事件。
11、根据权利要求9或10所述的处理装置,其特征在于,所述拓扑模块包括:
第一处理单元,用于在所述攻击关联模块建立的攻击实时列表中,以被攻击目标的IP地址为匹配条件,查找出将所述被攻击目标作为攻击对象的攻击事件,确定攻击网络中的受控主机;
第二处理单元,用于在所述控制关联模块建立的控制实时列表中,以受控主机的IP地址为匹配条件,查找出将所述受控主机作为控制对象的控制事件,确定攻击网络中的控制主机。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100961836A CN101282340B (zh) | 2008-05-09 | 2008-05-09 | 网络攻击处理方法及处理装置 |
| PCT/CN2009/071020 WO2009135396A1 (zh) | 2008-05-09 | 2009-03-26 | 网络攻击处理方法、处理装置及网络分析监控中心 |
| US12/435,001 US20090282478A1 (en) | 2008-05-09 | 2009-05-04 | Method and apparatus for processing network attack |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100961836A CN101282340B (zh) | 2008-05-09 | 2008-05-09 | 网络攻击处理方法及处理装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101282340A true CN101282340A (zh) | 2008-10-08 |
| CN101282340B CN101282340B (zh) | 2010-09-22 |
Family
ID=40014615
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100961836A Expired - Fee Related CN101282340B (zh) | 2008-05-09 | 2008-05-09 | 网络攻击处理方法及处理装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20090282478A1 (zh) |
| CN (1) | CN101282340B (zh) |
| WO (1) | WO2009135396A1 (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009135396A1 (zh) * | 2008-05-09 | 2009-11-12 | 成都市华为赛门铁克科技有限公司 | 网络攻击处理方法、处理装置及网络分析监控中心 |
| WO2011047600A1 (zh) * | 2009-10-20 | 2011-04-28 | 成都市华为赛门铁克科技有限公司 | 僵尸网络检测方法、装置和系统 |
| EP2448211A1 (en) * | 2009-07-29 | 2012-05-02 | Chengdu Huawei Symantec Technologies Co., Ltd | Method, system and equipment for detecting botnets |
| CN105282152A (zh) * | 2015-09-28 | 2016-01-27 | 广东睿江科技有限公司 | 一种异常流量检测的方法 |
| CN106060045A (zh) * | 2016-05-31 | 2016-10-26 | 东北大学 | 面向带宽消耗型攻击的过滤位置选择方法 |
| CN107104920A (zh) * | 2016-02-19 | 2017-08-29 | 阿里巴巴集团控股有限公司 | 用于识别中控机的方法及装置 |
| CN108768917A (zh) * | 2017-08-23 | 2018-11-06 | 长安通信科技有限责任公司 | 一种基于网络日志的僵尸网络检测方法及系统 |
| CN109194680A (zh) * | 2018-09-27 | 2019-01-11 | 腾讯科技(深圳)有限公司 | 一种网络攻击识别方法、装置及设备 |
| CN110198319A (zh) * | 2019-06-03 | 2019-09-03 | 电子科技大学 | 基于多反例的安全协议漏洞挖掘方法 |
| CN110611673A (zh) * | 2019-09-18 | 2019-12-24 | 赛尔网络有限公司 | Ip信用计算方法、装置、电子设备及介质 |
| CN113709130A (zh) * | 2021-08-20 | 2021-11-26 | 江苏通付盾科技有限公司 | 基于蜜罐系统的风险识别方法及装置 |
| CN114039772A (zh) * | 2021-11-08 | 2022-02-11 | 北京天融信网络安全技术有限公司 | 针对网络攻击的检测方法及电子设备 |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100332641A1 (en) * | 2007-11-09 | 2010-12-30 | Kulesh Shanmugasundaram | Passive detection of rebooting hosts in a network |
| KR20120072266A (ko) * | 2010-12-23 | 2012-07-03 | 한국전자통신연구원 | 전역 네트워크 보안상황 제어 장치 및 방법 |
| KR101036750B1 (ko) * | 2011-01-04 | 2011-05-23 | 주식회사 엔피코어 | 좀비행위 차단 시스템 및 방법 |
| US9088606B2 (en) * | 2012-07-05 | 2015-07-21 | Tenable Network Security, Inc. | System and method for strategic anti-malware monitoring |
| CN104601526B (zh) * | 2013-10-31 | 2018-01-09 | 华为技术有限公司 | 一种冲突检测及解决的方法、装置 |
| US10454950B1 (en) * | 2015-06-30 | 2019-10-22 | Fireeye, Inc. | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks |
| US10826933B1 (en) | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
| US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
| CN107104951B (zh) * | 2017-03-29 | 2020-06-19 | 国家电网公司 | 网络攻击源的检测方法和装置 |
| CN108540441A (zh) * | 2018-02-07 | 2018-09-14 | 广州锦行网络科技有限公司 | 一种基于真实性虚拟网络的主动防御系统及方法 |
| CN111641951B (zh) * | 2020-04-30 | 2023-10-24 | 中国移动通信集团有限公司 | 一种基于sa架构的5g网络apt攻击溯源方法及系统 |
| CN111740855B (zh) * | 2020-05-06 | 2023-04-18 | 首都师范大学 | 基于数据迁移的风险识别方法、装置、设备及存储介质 |
| DE102020209993A1 (de) * | 2020-08-06 | 2022-02-10 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren und Vorrichtung zur Verarbeitung von Daten eines technischen Systems |
| CN113904866B (zh) * | 2021-10-29 | 2024-02-09 | 中国电信股份有限公司 | Sd-wan业务流量安全处置引流方法、设备、系统以及介质 |
| CN114363002B (zh) * | 2021-12-07 | 2023-06-09 | 绿盟科技集团股份有限公司 | 一种网络攻击关系图的生成方法及装置 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7168093B2 (en) * | 2001-01-25 | 2007-01-23 | Solutionary, Inc. | Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures |
| US7603709B2 (en) * | 2001-05-03 | 2009-10-13 | Computer Associates Think, Inc. | Method and apparatus for predicting and preventing attacks in communications networks |
| US7107619B2 (en) * | 2001-08-31 | 2006-09-12 | International Business Machines Corporation | System and method for the detection of and reaction to denial of service attacks |
| US20030065943A1 (en) * | 2001-09-28 | 2003-04-03 | Christoph Geis | Method and apparatus for recognizing and reacting to denial of service attacks on a computerized network |
| KR100468232B1 (ko) * | 2002-02-19 | 2005-01-26 | 한국전자통신연구원 | 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법 |
| CN100370757C (zh) * | 2004-07-09 | 2008-02-20 | 国际商业机器公司 | 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统 |
| US8423645B2 (en) * | 2004-09-14 | 2013-04-16 | International Business Machines Corporation | Detection of grid participation in a DDoS attack |
| US7454790B2 (en) * | 2005-05-23 | 2008-11-18 | Ut-Battelle, Llc | Method for detecting sophisticated cyber attacks |
| US8161555B2 (en) * | 2005-06-28 | 2012-04-17 | At&T Intellectual Property Ii, L.P. | Progressive wiretap |
| CN1777182A (zh) * | 2005-12-06 | 2006-05-24 | 南京邮电大学 | 一种基于洪泛攻击的高效、安全追踪方案 |
| KR100951770B1 (ko) * | 2005-12-30 | 2010-04-08 | 경희대학교 산학협력단 | IPv6 네트워크에서 IP를 역추적하는 방법 |
| KR100770354B1 (ko) * | 2006-08-03 | 2007-10-26 | 경희대학교 산학협력단 | IPv6 네트워크에서 공격자 호스트의 IP를 역추적하는방법 |
| CN1997023B (zh) * | 2006-12-19 | 2011-04-27 | 中国科学院研究生院 | 用于ip追踪的内部边采样方法和系统 |
| CN101282340B (zh) * | 2008-05-09 | 2010-09-22 | 成都市华为赛门铁克科技有限公司 | 网络攻击处理方法及处理装置 |
-
2008
- 2008-05-09 CN CN2008100961836A patent/CN101282340B/zh not_active Expired - Fee Related
-
2009
- 2009-03-26 WO PCT/CN2009/071020 patent/WO2009135396A1/zh active Application Filing
- 2009-05-04 US US12/435,001 patent/US20090282478A1/en not_active Abandoned
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009135396A1 (zh) * | 2008-05-09 | 2009-11-12 | 成都市华为赛门铁克科技有限公司 | 网络攻击处理方法、处理装置及网络分析监控中心 |
| EP2448211A1 (en) * | 2009-07-29 | 2012-05-02 | Chengdu Huawei Symantec Technologies Co., Ltd | Method, system and equipment for detecting botnets |
| EP2448211A4 (en) * | 2009-07-29 | 2012-05-02 | Chengdu Huawei Symantec Tech | METHOD, SYSTEM AND EQUIPMENT FOR RECOGNIZING BOTNET NETWORKS |
| WO2011047600A1 (zh) * | 2009-10-20 | 2011-04-28 | 成都市华为赛门铁克科技有限公司 | 僵尸网络检测方法、装置和系统 |
| US8904532B2 (en) | 2009-10-20 | 2014-12-02 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method, apparatus and system for detecting botnet |
| CN105282152A (zh) * | 2015-09-28 | 2016-01-27 | 广东睿江科技有限公司 | 一种异常流量检测的方法 |
| CN105282152B (zh) * | 2015-09-28 | 2018-08-28 | 广东睿江云计算股份有限公司 | 一种异常流量检测的方法 |
| CN107104920B (zh) * | 2016-02-19 | 2020-09-29 | 阿里巴巴集团控股有限公司 | 用于识别中控机的方法及装置 |
| CN107104920A (zh) * | 2016-02-19 | 2017-08-29 | 阿里巴巴集团控股有限公司 | 用于识别中控机的方法及装置 |
| CN106060045A (zh) * | 2016-05-31 | 2016-10-26 | 东北大学 | 面向带宽消耗型攻击的过滤位置选择方法 |
| CN106060045B (zh) * | 2016-05-31 | 2019-12-06 | 东北大学 | 面向带宽消耗型攻击的过滤位置选择方法 |
| CN108768917A (zh) * | 2017-08-23 | 2018-11-06 | 长安通信科技有限责任公司 | 一种基于网络日志的僵尸网络检测方法及系统 |
| CN108768917B (zh) * | 2017-08-23 | 2021-05-11 | 长安通信科技有限责任公司 | 一种基于网络日志的僵尸网络检测方法及系统 |
| CN109194680A (zh) * | 2018-09-27 | 2019-01-11 | 腾讯科技(深圳)有限公司 | 一种网络攻击识别方法、装置及设备 |
| CN109194680B (zh) * | 2018-09-27 | 2021-02-12 | 腾讯科技(深圳)有限公司 | 一种网络攻击识别方法、装置及设备 |
| CN110198319A (zh) * | 2019-06-03 | 2019-09-03 | 电子科技大学 | 基于多反例的安全协议漏洞挖掘方法 |
| CN110611673A (zh) * | 2019-09-18 | 2019-12-24 | 赛尔网络有限公司 | Ip信用计算方法、装置、电子设备及介质 |
| CN110611673B (zh) * | 2019-09-18 | 2021-08-31 | 赛尔网络有限公司 | Ip信用计算方法、装置、电子设备及介质 |
| CN113709130A (zh) * | 2021-08-20 | 2021-11-26 | 江苏通付盾科技有限公司 | 基于蜜罐系统的风险识别方法及装置 |
| CN114039772A (zh) * | 2021-11-08 | 2022-02-11 | 北京天融信网络安全技术有限公司 | 针对网络攻击的检测方法及电子设备 |
| CN114039772B (zh) * | 2021-11-08 | 2023-11-28 | 北京天融信网络安全技术有限公司 | 针对网络攻击的检测方法及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101282340B (zh) | 2010-09-22 |
| WO2009135396A1 (zh) | 2009-11-12 |
| US20090282478A1 (en) | 2009-11-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101282340B (zh) | 网络攻击处理方法及处理装置 | |
| CN101309150B (zh) | 分布式拒绝服务攻击的防御方法、装置和系统 | |
| CN107231384B (zh) | 一种面向5g网络切片的DDoS攻击检测防御方法及系统 | |
| KR100748246B1 (ko) | 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법 | |
| CN101431449B (zh) | 一种网络流量清洗系统 | |
| CN105208037B (zh) | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 | |
| CN101980506B (zh) | 一种基于流量特征分析的分布式入侵检测方法 | |
| CN102821002B (zh) | 网络流量异常检测方法和系统 | |
| CN1160899C (zh) | 分布式网络动态安全保护系统 | |
| CN104202336A (zh) | 一种基于信息熵的DDoS攻击检测方法 | |
| CN104618377B (zh) | 基于NetFlow的僵尸网络检测系统与检测方法 | |
| CN101547187B (zh) | 宽带接入设备的网络攻击防护方法 | |
| US20040255162A1 (en) | Security gateway system and method for intrusion detection | |
| CN108282497A (zh) | 针对SDN控制平面的DDoS攻击检测方法 | |
| CN103607399A (zh) | 基于暗网的专用ip网络安全监测系统及方法 | |
| CN104683346A (zh) | 基于流量分析的p2p僵尸网络检测装置及方法 | |
| CN113037567B (zh) | 一种用于电网企业的网络攻击行为仿真系统的仿真方法 | |
| CN105187437A (zh) | 一种sdn网络拒绝服务攻击的集中式检测系统 | |
| CN111786986B (zh) | 一种数控系统网络入侵防范系统及方法 | |
| CN106209902A (zh) | 一种应用于知识产权运营平台的网络安全系统及检测方法 | |
| CN101202744A (zh) | 一种自学习检测蠕虫的装置及其方法 | |
| CN106685962A (zh) | 一种反射型ddos攻击流量的防御系统及方法 | |
| CN113162939A (zh) | 一种基于改进k近邻算法的SDN下DDoS攻击的检测防御系统 | |
| CN103957128A (zh) | 云计算环境下监控数据流向的方法及系统 | |
| CN103139206B (zh) | 一种僵尸主机的检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: CHENGDU CITY HUAWEI SAIMENTEKE SCIENCE CO., LTD. Free format text: FORMER OWNER: HUAWEI TECHNOLOGY CO., LTD. Effective date: 20090424 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20090424 Address after: Qingshui River District, Chengdu high tech Zone, Sichuan Province, China: 611731 Applicant after: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. Address before: Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Province, China: 518129 Applicant before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220826 Address after: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041 Patentee after: Chengdu Huawei Technologies Co.,Ltd. Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100922 |