CN101447996A - 分布式拒绝服务攻击防护方法、系统及设备 - Google Patents
分布式拒绝服务攻击防护方法、系统及设备 Download PDFInfo
- Publication number
- CN101447996A CN101447996A CNA200810189812XA CN200810189812A CN101447996A CN 101447996 A CN101447996 A CN 101447996A CN A200810189812X A CNA200810189812X A CN A200810189812XA CN 200810189812 A CN200810189812 A CN 200810189812A CN 101447996 A CN101447996 A CN 101447996A
- Authority
- CN
- China
- Prior art keywords
- port
- cos
- server
- service
- protected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种分布式拒绝服务攻击防护方法、系统及设备,所述方法包括:定时扫描被保护服务器的端口,确定所述端口的服务类型;根据所述端口的服务类型生成对应所述被保护服务器的服务策略;利用所述服务策略对访问所述被保护服务器的数据流进行过滤。利用本发明,可以保障应用层数据的安全性,提高网络对分布式拒绝服务攻击的防护能力。
Description
技术领域
本发明涉及网络技术,具体涉及一种分布式拒绝服务攻击防护方法、系统及设备。
背景技术
拒绝服务(DOS,Denial of Service)是指使用超出被攻击目标处理能力的海量数据包消耗系统可用带宽资源,致使网络服务瘫痪的一种攻击手段。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了。此时,分布式拒绝服务攻击(DDOS,Distributed Denialof Service)应运而生。
DDOS是在传统的DoS攻击基础之上产生的一类攻击方式。如图1所示,整个DDOS攻击主要是指攻击者利用主控主机做跳板(可能多级多层)控制大量受感染而被控制的主机(受控主机)组成攻击网络来对受害主机进行大规模的拒绝服务攻击。这种攻击往往能把单个攻击者的攻击以级数形式进行放大,从而对用户主机造成重大影响,对网络也会造成严重拥塞。
DDoS的攻击类型目前主要包括三种方式,即TCP-SYN Flood(传输控制协议同步洪水)攻击、UDP Flood(用户数据报协议洪水)攻击以及提交脚本攻击。
为了防御运营商难以避免的而且日益严重的网络威胁,一些安全厂商也相应发布了自己的DoS/DDoS防御安全解决方案。其中一种方案是在运营商的城域网或IDC(Internet Data Center,互联网数据中心)内构建一个DoS/DDoS流量清洗中心,即将两台DoS/DDoS防御设备旁路部署在两台城域网核心路由器上,两台DoS/DDoS防御设备构成了城域网安全防护/DDoS清洗中心,安全防护中心监听网络的下行数据,当安全防护中心发现攻击后通知清洗中心进行清洗,清洗中心通知核心路由器将被保护网段的数据流导向到清洗中心,达到过滤掉DDOS攻击流量,放行正常访问流量的目的。
在实现本发明的过程中,发明人发现这种解决方案至少还存在以下问题:
由于目前常规防护算法大都是采用的三层、四层防护技术,而没有针对于应用层的防护,即清洗中心无法对应用数据进行过滤。
发明内容
本发明实施例提供一种分布式拒绝服务攻击防护方法、系统及设备,以保障应用层数据的安全性,提高网络对DDOS攻击的防护能力。
本发明实施例提供的一种分布式拒绝服务攻击防护方法,包括:
定时扫描被保护服务器的端口,确定所述端口的服务类型;
根据所述端口的服务类型生成对应所述被保护服务器的服务策略;
利用所述服务策略对访问所述被保护服务器的数据流进行过滤。
本发明实施例提供的一种分布式拒绝服务攻击防护系统,包括:
扫描装置,用于定时扫描被保护服务器的端口,确定所述端口的服务类型;并根据所述端口的服务类型生成对应所述被保护服务器的服务策略;
清洗装置,利用所述服务策略对访问所述被保护服务器的数据流进行过滤。
本发明实施例提供的一种扫描装置,包括:
端口选择单元,用于选择被保护服务器的一个或多个端口;
状态检查单元,用于检查所述端口是否处于开放状态;
服务类型确定单元,用于向经所述状态检查单元检查确定处于开放状态的端口发送预定的数据包,根据所述端口返回的数据包确定所述端口的服务类型;
策略生成单元,用于根据所述端口的服务类型生成对应所述被保护服务器的服务策略。
本发明实施例提供的分布式拒绝服务攻击防护方法及系统,通过定时扫描被保护服务器的端口,确定所述端口的服务类型,根据所述端口的服务类型生成对应所述被保护服务器的服务策略,利用所述服务策略对访问所述被保护服务器的数据流进行过滤。从而可以防止无状态服务的类似UDP上的应用服务洪水攻击,保证应用层数据的安全,提高网络对DDOS攻击的防护能力。
附图说明
图1是现有技术中DDOS攻击的原理示意图;
图2是本发明实施例分布式拒绝服务攻击防护方法的流程图;
图3是本发明实施例方法中对被保护服务器进行扫描的流程图;
图4是本发明实施例分布式拒绝服务攻击防护系统的一种结构示意图;
图5是本发明实施例分布式拒绝服务攻击防护系统的另一种结构示意图;
图6是本发明实施例分布式拒绝服务攻击防护系统的一种应用组网示意图;
图7是本发明实施例分布式拒绝服务攻击防护系统的另一种应用组网示意图;
图8是本发明实施例扫描装置的结构示意图;
图9是本发明实施例清洗装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例的方案,下面结合附图和实施方式对本发明实施例作进一步的详细说明。
如图2所示,是本发明实施例分布式拒绝服务攻击防护方法的流程图,主要包括以下步骤:
步骤201,定时扫描被保护服务器的端口,确定所述端口的服务类型;
在扫描被保护服务器的端口,确定所述端口的服务类型时,可以选择被保护服务器的一个或多个端口,检查所述端口是否处于开放状态,然后向处于开放状态的端口发送预定的数据包,根据所述端口返回的数据包确定所述端口的服务类型;
在检查所述端口是否处于开放状态时,向所述端口发送请求消息,如果收到所述端口的回复消息,则可以确定所述端口处于开放状态;
在一个网络系统中,需要被保护的服务器可以有多个,而且可以分布于不同的网段。这样,可以依次对这些服务器的一个或多个端口进行扫描,来确定各端口的服务类型;
当然,需要扫描的服务器以及服务器的端口这些信息,是可以预先配置的,可以将其存放在一个列表文件中,需要扫描时,从该列表文件中依次读取各服务器的地址进行扫描;
步骤202,根据所述端口的服务类型生成对应所述被保护服务器的服务策略;
所述服务策略可以包括以下一种或任意多种:非法端口过滤、协议内容检查、协议数据限速;当然,本发明实施例并不仅限于这几种,还可以生成更细的服务策略;
步骤203,利用所述服务策略对访问所述被保护服务器的数据流进行过滤。
比如,首先进行非法端口过滤,对访问未开放端口的数据流直接丢弃;对访问开放端口的数据流进行协议内容检查,即利用应用协议的协议格式进行数据包格式校验,不符合的数据包直接丢弃;除此之外,还可以进一步进行协议数据限速处理,比如,根据服务的重要性和用户确认的服务优先级动态生成各个服务的限速阈值,保证用户的重要流量能优先通过。
可见,本发明实施例通过对被保护服务器进行扫描,根据所述端口的服务类型生成对应所述被保护服务器的服务策略,因而可以根据其端口类型即可过滤到流经该端口的一些非法数据流,即使对访问该被保护服务器的UDP等无状态的数据,也可以根据相应的服务策略进行过滤,从而保证了被保护服务器的安全。
在前面提到,在一个网络系统中,需要被保护的服务器可以有多个,而且可以分布于不同的网段。针对这种情况,可以将需要扫描的服务器以及服务器的端口这些信息,存放在一个列表文件中,需要扫描时,从该列表文件中依次读取各服务器的地址进行扫描。
图3示出了本发明实施例方法中对被保护服务器进行扫描的流程图,主要包括以下步骤:
步骤301,读取服务器列表文件;
步骤302,读取文件中服务器的地址;
步骤303,检查所述服务器的一个或多个端口是否处于开放状态;如果是,执行步骤304;否则执行步骤306;
步骤304,向处于开放状态的端口发送预定的数据包;
步骤305,根据所述端口返回的数据包确定所述端口的服务类型;
步骤306,检查服务器列表文件中是否还有服务器待扫描;如果是,则执行步骤302;否则执行步骤307;
步骤307,根据扫描结果生成对应各服务器的服务策略。
需要说明的是,通过生成的服务策略主要可以解决无状态服务的类似UDP上的应用服务洪水安全问题,保证应用层数据的安全。
本发明实施例的方法,可以对访问所述被保护服务器的数据流进行实时过滤,而且由于是根据对被保护服务器的端口扫描结果生成相应的服务策略,因而可以根据该服务策略可以过滤到无状态服务的类似UDP上的应用服务洪水攻击,以及非法的应用数据。也可以同时结合现有的对三层、四层的防护算法,同时实现对三层、四层以及应用层的防护。
比如,实时检测访问所述被保护服务器的数据流,如果发现所述数据流中有攻击数据,则根据预设的防护算法对所述数据流进行清洗。
在具体实现时,可以设置一个清洗中心,在发现所述数据流中有攻击数据时,通知清洗中心,由清洗中心通知核心路由器将访问所述被保护服务器的数据流导向到该清洗中心,由清洗中心根据预设的防护算法对所述数据流进行清洗。所述预设的防护算法可以是常规的对三层、四层的防护算法。同时,还需要将生成的服务策略也发送给清洗中心。这样,清洗中心根据首先预设的防护算法对所述数据流进行清洗后,然后再根据所述服务策略对清洗后的数据流进行过滤,从而既可以保证被保护服务器的安全性,又可以提高清洗中心的处理效率。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,所述的存储介质,如:ROM/RAM、磁碟、光盘等。
如图4所示,是本发明实施例分布式拒绝服务攻击防护系统的结构示意图。
该系统包括:扫描装置401和清洗装置402。其中,扫描装置401用于定时扫描被保护服务器的端口,确定所述端口的服务类型;并根据所述端口的服务类型生成对应所述被保护服务器的服务策略;清洗装置402利用所述服务策略对访问所述被保护服务器的数据流进行过滤。
针对在网络中有多个需要被保护的服务器的情况,所述系统还可以进一步包括:存储装置403,用于存储被保护服务器列表,在该被保护服务器列表中包括服务器的IP地址,还可进一步包括各服务器需要扫描的端口。当然,各服务器需要扫描的端口也可以设为默认值,比如,扫描服务器的所有端口,或者仅扫描HTTP端口(默认值为80)等。
优选地,所述扫描装置401包括:端口选择单元411、状态检查单元412、服务类型确定单元413和策略生成单元414。其中:
端口选择单元411用于选择所述被保护服务器列表中的被保护服务器的一个或多个端口;状态检查单元412用于检查所述端口是否处于开放状态;服务类型确定单元413用于向经所述状态检查单元检查确定处于开放状态的端口发送预定的数据包,根据所述端口返回的数据包确定所述端口的服务类型;策略生成单元414用于根据所述端口的服务类型生成对应所述被保护服务器的服务策略,所述服务策略可以包括以下一种或任意多种:非法端口过滤、协议内容检查、协议数据限速。当然,本发明实施例中的服务策略并不仅限于这几种,根据实际应用需要,还可以生成更细的服务策略。
利用本发明实施例分布式拒绝服务攻击防护系统,可以实现对DDOS攻击的防护,解决无状态服务的类似UDP上的应用服务洪水安全问题,保证应用层数据的安全,具体过程可参照前面本发明方法实施例中的描述,在此不再详细赘述。
如图5所示,是本发明实施例分布式拒绝服务攻击防护系统的另一种结构示意图。
与图4所示实施例的区别在于,在该实施例中,所述系统还包括:监控装置404,用于实时检测访问所述被保护服务器的数据流,并在发现所述数据流中有攻击数据后,通知清洗装置402。这样,清洗装置402还可以根据预设的防护算法对所述数据流进行清洗,所述预设的防护算法可以是常规的对三层、四层的防护算法。
利用本发明实施例分布式拒绝服务攻击防护系统,可以同时实现对三层、四层以及应用层的防护。不仅可以保证被保护服务器的安全性,而且可以提高清洗中心的处理效率。
在具体应用时,本发明实施例分布式拒绝服务攻击防护系统,与网络中的设备的连接可以有多种方式。
如图6所示,是本发明实施例分布式拒绝服务攻击防护系统的一种应用组网示意图。
在该组网方式中,本发明实施例分布式拒绝服务攻击防护系统60串接在路由器67和路由器65之间的网路上,其中的清洗装置602用来对访问被保护服务器61、62、63、64的数据流进行实时清洗,以防止三层、四层的DDOS攻击。同时,所述系统60中的扫描装置601通过路由器65定时对所述被保护服务器进行扫描,并生成相应的服务策略,清洗装置602根据该服务策略对清洗后的数据流进行过滤,比如,首先进行非法端口过滤,对访问未开放端口的数据流直接丢弃;对访问开放端口的数据流进行协议内容检查,即利用应用协议的协议格式进行数据包格式校验,不符合的数据包直接丢弃;除此之外,还可以进一步进行协议数据限速处理,比如,根据服务的重要性和用户确认的服务优先级动态生成各个服务的限速阈值,保证用户的重要流量能优先通过。
如图7所示,是本发明实施例分布式拒绝服务攻击防护系统的另一种应用组网示意图。
在该组网方式中,本发明实施例分布式拒绝服务攻击防护系统70通过并联方式实时监听网络的上下行数据流,在监控装置703中可以设置各种检测算法对监听到的网络数据进行分析、判断,一旦判断有攻击数据,则通知清洗装置702。清洗装置702能够和网络中的核心路由器通信,接到通知后便向上层路由器发送一个更新路由的信息,这样下行数据便会经过清洗装置702,清洗装置702根据监控装置703的检测结果和预置的防护算法对下行数据流进行清洗。同时,扫描装置701通过网络中的核心路由器定时对被保护服务器71、72、73进行扫描,并根据扫描结果生成对应于各被保护服务器的服务策略,并将所述服务策略发送给清洗装置702。这样,清洗装置702根据该服务策略对清洗后的数据流进一步过滤,比如,首先进行非法端口过滤,对访问未开放端口的数据流直接丢弃;对访问开放端口的数据流进行协议内容检查,即利用应用协议的协议格式进行数据包格式校验,不符合的数据包直接丢弃;除此之外,还可以进一步进行协议数据限速处理,比如,根据服务的重要性和用户确认的服务优先级动态生成各个服务的限速阈值,保证用户的重要流量能优先通过。这样,不仅可以保证被保护服务器的安全性,而且可以提高清洗中心的处理效率。
由上述实施例可见,不论哪种组网方式,利用本发明实施例分布式拒绝服务攻击防护系统,可以同时实现对三层、四层以及应用层的防护。
本发明实施例还提供了一种扫描装置,如图8所示,是该扫描装置的结构示意图。
在该实施例中,所述扫描装置包括:端口选择单元801、状态检查单元802、服务类型确定单元803和策略生成单元804。其中,端口选择单元801,用于选择被保护服务器的一个或多个端口;状态检查单元802,用于检查所述端口是否处于开放状态;服务类型确定单元803,用于向经所述状态检查单元检查确定处于开放状态的端口发送预定的数据包,根据所述端口返回的数据包确定所述端口的服务类型;策略生成单元804,用于根据所述端口的服务类型生成对应所述被保护服务器的服务策略,所述服务策略包括以下一种或任意多种:非法端口过滤、协议内容检查、协议数据限速。
利用本发明实施例的扫描装置,可以扫描被保护服务器的端口,确定所述端口的服务类型,并根据所述端口的服务类型生成对应所述被保护服务器的服务策略。具体扫描过程可参照前面本发明实施例的方法中的描述。
本发明实施例还提供了一种清洗装置,如图9所示,是该清洗装置的结构示意图。
在该实施例中,所述清洗装置900包括:过滤单元901和清洗单元902。其中,过滤单元901,用于利用预先根据服务器端口的服务类型生成的服务策略对访问被保护服务器的数据流进行过滤;清洗单元902,用于根据预设的防护算法对被保护服务器的数据流中的攻击数据进行清洗。
其中,服务策略的生成可以有多种实现方式,同样,预设的防护算法也可以有多种。利用本发明实施例的清洗装置,可以同时实现对三层、四层以及应用层的防护,保证被保护服务器的安全性。
以上对本发明实施例进行了详细介绍,本文中应用了具体实施方式对本发明进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及设备;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (12)
1、一种分布式拒绝服务攻击防护方法,其特征在于,包括:
定时扫描被保护服务器的端口,确定所述端口的服务类型;
根据所述端口的服务类型生成对应所述被保护服务器的服务策略;
利用所述服务策略对访问所述被保护服务器的数据流进行过滤。
2、根据权利要求1所述的方法,其特征在于,所述定时扫描被保护服务器的端口,确定所述端口的服务类型包括:
选择被保护服务器的一个或多个端口,检查所述端口是否处于开放状态;
向处于开放状态的端口发送预定的数据包;
根据所述端口返回的数据包确定所述端口的服务类型。
3、根据权利要求2所述的方法,其特征在于,所述检查所述端口是否处于开放状态包括:
向所述端口发送请求消息;
如果收到所述端口的回复消息,则确定所述端口处于开放状态。
4、根据权利要求1所述的方法,其特征在于,所述服务策略包括以下一种或任意多种:非法端口过滤、协议内容检查、协议数据限速。
5、根据权利要求1至4任一项所述的方法,其特征在于,所述方法还包括:
实时检测访问所述被保护服务器的数据流;
如果发现所述数据流中有攻击数据,则根据预设的防护算法对所述数据流进行清洗。
6、一种分布式拒绝服务攻击防护系统,其特征在于,包括:
扫描装置,用于定时扫描被保护服务器的端口,确定所述端口的服务类型;并根据所述端口的服务类型生成对应所述被保护服务器的服务策略;
清洗装置,利用所述服务策略对访问所述被保护服务器的数据流进行过滤。
7、根据权利要求6所述的系统,其特征在于,所述扫描装置包括:
端口选择单元,用于选择被保护服务器的一个或多个端口;
状态检查单元,用于检查所述端口是否处于开放状态;
服务类型确定单元,用于向经所述状态检查单元检查确定处于开放状态的端口发送预定的数据包,根据所述端口返回的数据包确定所述端口的服务类型;
策略生成单元,用于根据所述端口的服务类型生成对应所述被保护服务器的服务策略。
8、根据权利要求6所述的系统,其特征在于,所述系统还包括:
存储装置,用于存储被保护服务器列表;
所述端口选择单元根据所述被保护服务器列表选择被保护服务器的一个或多个端口。
9、根据权利要求6所述的系统,其特征在于,所述服务策略包括以下一种或任意多种:非法端口过滤、协议内容检查、协议数据限速。
10、根据权利要求6至9任一项所述的系统,其特征在于,所述系统还包括:
监控装置,用于实时检测访问所述被保护服务器的数据流,并在发现所述数据流中有攻击数据后,通知所述清洗装置;
所述清洗装置还用于根据预设的防护算法对所述数据流进行清洗。
11、一种扫描装置,其特征在于,包括:
端口选择单元,用于选择被保护服务器的一个或多个端口;
状态检查单元,用于检查所述端口是否处于开放状态;
服务类型确定单元,用于向经所述状态检查单元检查确定处于开放状态的端口发送预定的数据包,根据所述端口返回的数据包确定所述端口的服务类型;
策略生成单元,用于根据所述端口的服务类型生成对应所述被保护服务器的服务策略。
12、根据权利要求11所述的扫描装置,其特征在于,所述服务策略包括以下一种或任意多种:非法端口过滤、协议内容检查、协议数据限速。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810189812A CN101447996B (zh) | 2008-12-31 | 2008-12-31 | 分布式拒绝服务攻击防护方法、系统及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810189812A CN101447996B (zh) | 2008-12-31 | 2008-12-31 | 分布式拒绝服务攻击防护方法、系统及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101447996A true CN101447996A (zh) | 2009-06-03 |
| CN101447996B CN101447996B (zh) | 2012-08-29 |
Family
ID=40743393
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810189812A Active CN101447996B (zh) | 2008-12-31 | 2008-12-31 | 分布式拒绝服务攻击防护方法、系统及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101447996B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102137075A (zh) * | 2010-01-27 | 2011-07-27 | 中华电信股份有限公司 | 分布式拒绝服务攻击防护系统及其方法 |
| CN102843367A (zh) * | 2012-08-13 | 2012-12-26 | 北京神州绿盟信息安全科技股份有限公司 | 一种抗拒绝服务防护策略配置方法、装置及相关设备 |
| CN103368858A (zh) * | 2012-04-01 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 多策略组合加载的流量清洗方法及装置 |
| CN102118255B (zh) * | 2009-12-30 | 2013-11-06 | 华为技术有限公司 | 一种网元自动适配方法、装置及系统 |
| CN103812693A (zh) * | 2014-01-23 | 2014-05-21 | 汉柏科技有限公司 | 一种基于不同类型服务的云计算防护处理方法及系统 |
| CN106330962A (zh) * | 2016-09-30 | 2017-01-11 | 中国联合网络通信集团有限公司 | 一种流量清洗管理方法及装置 |
| CN107018084A (zh) * | 2017-04-12 | 2017-08-04 | 南京工程学院 | 基于sdn架构的ddos攻击防御网络安全系统和方法 |
| CN107070928A (zh) * | 2017-04-19 | 2017-08-18 | 北京网康科技有限公司 | 一种应用层防火墙及其处理方法 |
| CN108574681A (zh) * | 2017-03-13 | 2018-09-25 | 贵州白山云科技有限公司 | 一种服务器智能扫描方法及装置 |
| CN110213214A (zh) * | 2018-06-06 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种攻击防护方法、系统、装置和存储介质 |
| CN110875908A (zh) * | 2018-08-31 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 一种防御分布式拒绝服务攻击的方法及设备 |
| CN112367331A (zh) * | 2020-11-18 | 2021-02-12 | 简和网络科技(南京)有限公司 | 基于计算机系统运行状态对拒绝服务攻击的实时处理系统及方法 |
| CN113923027A (zh) * | 2021-10-11 | 2022-01-11 | 中国建设银行股份有限公司 | 针对反射型DDoS攻击的流量压制方法及相关装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100370757C (zh) * | 2004-07-09 | 2008-02-20 | 国际商业机器公司 | 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统 |
| US8089871B2 (en) * | 2005-03-25 | 2012-01-03 | At&T Intellectual Property Ii, L.P. | Method and apparatus for traffic control of dynamic denial of service attacks within a communications network |
| CN1988439A (zh) * | 2006-12-08 | 2007-06-27 | 亿阳安全技术有限公司 | 实现网络安全的装置及方法 |
-
2008
- 2008-12-31 CN CN200810189812A patent/CN101447996B/zh active Active
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102118255B (zh) * | 2009-12-30 | 2013-11-06 | 华为技术有限公司 | 一种网元自动适配方法、装置及系统 |
| CN102137075A (zh) * | 2010-01-27 | 2011-07-27 | 中华电信股份有限公司 | 分布式拒绝服务攻击防护系统及其方法 |
| CN103368858A (zh) * | 2012-04-01 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 多策略组合加载的流量清洗方法及装置 |
| CN103368858B (zh) * | 2012-04-01 | 2016-01-20 | 百度在线网络技术(北京)有限公司 | 多策略组合加载的流量清洗方法及装置 |
| CN102843367A (zh) * | 2012-08-13 | 2012-12-26 | 北京神州绿盟信息安全科技股份有限公司 | 一种抗拒绝服务防护策略配置方法、装置及相关设备 |
| CN103812693A (zh) * | 2014-01-23 | 2014-05-21 | 汉柏科技有限公司 | 一种基于不同类型服务的云计算防护处理方法及系统 |
| CN103812693B (zh) * | 2014-01-23 | 2017-12-12 | 汉柏科技有限公司 | 一种基于不同类型服务的云计算防护处理方法及系统 |
| CN106330962A (zh) * | 2016-09-30 | 2017-01-11 | 中国联合网络通信集团有限公司 | 一种流量清洗管理方法及装置 |
| CN106330962B (zh) * | 2016-09-30 | 2019-04-12 | 中国联合网络通信集团有限公司 | 一种流量清洗管理方法及装置 |
| CN108574681A (zh) * | 2017-03-13 | 2018-09-25 | 贵州白山云科技有限公司 | 一种服务器智能扫描方法及装置 |
| CN107018084B (zh) * | 2017-04-12 | 2020-10-27 | 南京工程学院 | 基于sdn架构的ddos攻击防御网络安全方法 |
| CN107018084A (zh) * | 2017-04-12 | 2017-08-04 | 南京工程学院 | 基于sdn架构的ddos攻击防御网络安全系统和方法 |
| CN107070928A (zh) * | 2017-04-19 | 2017-08-18 | 北京网康科技有限公司 | 一种应用层防火墙及其处理方法 |
| CN110213214A (zh) * | 2018-06-06 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种攻击防护方法、系统、装置和存储介质 |
| CN110875908A (zh) * | 2018-08-31 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 一种防御分布式拒绝服务攻击的方法及设备 |
| CN112367331A (zh) * | 2020-11-18 | 2021-02-12 | 简和网络科技(南京)有限公司 | 基于计算机系统运行状态对拒绝服务攻击的实时处理系统及方法 |
| CN112367331B (zh) * | 2020-11-18 | 2023-07-04 | 简和网络科技(南京)有限公司 | 基于计算机系统运行状态对拒绝服务攻击的实时处理系统及方法 |
| CN113923027A (zh) * | 2021-10-11 | 2022-01-11 | 中国建设银行股份有限公司 | 针对反射型DDoS攻击的流量压制方法及相关装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101447996B (zh) | 2012-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101447996B (zh) | 分布式拒绝服务攻击防护方法、系统及设备 | |
| Gu et al. | Worm detection, early warning and response based on local victim information | |
| CN101309150B (zh) | 分布式拒绝服务攻击的防御方法、装置和系统 | |
| Wu et al. | An effective architecture and algorithm for detecting worms with various scan techniques | |
| Deshmukh et al. | Understanding DDoS attack & its effect in cloud environment | |
| Zou et al. | The monitoring and early detection of internet worms | |
| CN102263788B (zh) | 一种用于防御指向多业务系统的DDoS攻击的方法与设备 | |
| CN101616129B (zh) | 防网络攻击流量过载保护的方法、装置和系统 | |
| CN102111394B (zh) | 网络攻击防护方法、设备及系统 | |
| CN101631026A (zh) | 一种防御拒绝服务攻击的方法及装置 | |
| CN112351012A (zh) | 一种网络安全防护方法、装置及系统 | |
| Chen et al. | Detecting and Preventing IP-spoofed Distributed DoS Attacks. | |
| Liljenstam et al. | Comparing passive and active worm defenses | |
| Tanachaiwiwat et al. | Differential packet filtering against DDoS flood attacks | |
| Xia et al. | Effective worm detection for various scan techniques | |
| Rajam et al. | A novel traceback algorithm for DDoS attack with marking scheme for online system | |
| Kannan et al. | Analyzing Cooperative Containment of Fast Scanning Worms. | |
| Malliga et al. | Filtering spoofed traffic at source end for defending against DoS/DDoS attacks | |
| Khirwadkar | Defense against network attacks using game theory | |
| Thang et al. | Synflood spoofed source DDoS attack defense based on packet ID anomaly detection with bloom filter | |
| JP5193362B2 (ja) | アクセスレベル保安装置及び保安システム | |
| Tang et al. | Traceback-based Bloomfilter IPS in defending SYN flooding attack | |
| Li et al. | Evaluation of Collaborative Worm Containments on DETER Testbed. | |
| Su et al. | An on-line DDoS attack traceback and mitigation system based on network performance monitoring | |
| Nakashima et al. | Performance estimation of TCP under SYN flood attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220829 Address after: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee after: HUAWEI TECHNOLOGIES Co.,Ltd. Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |