CN101465760A - 一种检测拒绝服务攻击的方法和系统 - Google Patents
一种检测拒绝服务攻击的方法和系统 Download PDFInfo
- Publication number
- CN101465760A CN101465760A CNA200710179694XA CN200710179694A CN101465760A CN 101465760 A CN101465760 A CN 101465760A CN A200710179694X A CNA200710179694X A CN A200710179694XA CN 200710179694 A CN200710179694 A CN 200710179694A CN 101465760 A CN101465760 A CN 101465760A
- Authority
- CN
- China
- Prior art keywords
- denial
- service attack
- module
- data
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种检测拒绝服务攻击的方法和系统,本发明以布隆计数过滤器为基础,充分利用宏观网络中攻击发生时IP地址和/或端口呈现重尾分布的特点,能够检测宏观网络中的拒绝服务攻击行为。本发明包括:数据采集与解析模块、信息存储模块、信息统计模块、检测模块、告警模块。本发明采用了布隆计数过滤器和压缩数据还原技术,克服了维护和遍历IP地址空间而导致计算资源开销大的问题,达到了提高检索速度、检测性能的优点。本发明运用在网络入侵检测系统或者网络入侵防御系统中,能够完成宏观网络中大流量下的拒绝服务攻击检测。
Description
技术领域
本发明涉及一种检测拒绝服务攻击的方法和系统,是一种以网络行为模式为检测特征的安全检测方法和系统,属于计算机网络技术领域。
背景技术
网络入侵检测系统是网络安全防御体系的一个重要组成部分,它通过旁路方式接入被检测网络中,对网络中的数据包进行捕获,对其进行分析,并通过特征匹配或者异常分析,检测网络中是否存在违反安全策略行为或者攻击行为。
拒绝服务攻击指攻击者通过某些手段,如恶意数据包、泛洪,有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使得服务质量降低;其危害性在于使得受害主机无法响应,正常服务无法正常进行,或者网络被大量无效数据包所拥塞。
由于拒绝服务攻击中利用的主要是操作系统协议栈自身所存在的漏洞(包括协议栈设计漏洞以及各个操作系统在实现过程中所产生的漏洞),通过大量的数据包来攻击受害者,此时,网络数据呈现出若干属性的明显聚合状态。比如,在SYN包泛洪攻击中,受害者主机IP地址频繁的出现在网络数据中。在这种情况下,网络入侵检测系统单纯通过特征匹配不足以检测拒绝服务攻击,需要使用统计和异常分析的方法来检测。
然而,以往的检测方法采用哈希表来存储和定位网络数据包的信息,如IP、端口等,并采用不同的溢出处理技术(如哈希桶链表)解决冲突映射问题。
在宏观网络中,网络数据分布广泛而均匀,而且数据流量大,甚至每秒达到了10万个数据包,因此如果使用以往的检测方法,占用的空间消耗和查找所用的时间消耗都将是一个严峻的挑战。宏观网络的另一个特点在于,当拒绝服务攻击发生时,网络数据呈现出重尾分布现象,即只有少数若干IP地址、端口、或其组合,会呈现出明显的聚合现象,而其它网络数据仍处于较均匀的水平。如当一台主机使用UDP泛洪攻击另一台主机时,网络数据中受害主机的IP地址对会呈现高度聚合状态。
发明内容
为了克服现有技术的问题,本发明提出了一种检测拒绝服务攻击的方法和系统。克服了以往解决方案在检测拒绝服务攻击过程中导致的占用空间大、检测速度慢的技术问题。为了实现上述目的,本发明以布隆计数过滤器为基础,充分利用宏观网络中攻击发生时IP地址和(/或)端口呈现重尾分布的特点,能够检测宏观网络中的拒绝服务攻击行为。
本发明解决其技术问题所采用的技术方案是:一种检测拒绝服务攻击的方法,所述方法所使用的系统包括:数据采集与解析模块、信息存储模块、信息统计模块、检测模块、告警模块,所述方法包含以下步骤:
数据采集步骤,数据采集与解析模块直接从网卡获取原始网络数据报文,对报文进行协议分析与还原操作;
分类存储步骤:信息存储模块将数据采集步骤分析出的数据采用布隆计数过滤器进行分类存储;
判断是否到达检测周期步骤:如果检测周期到,转到下一步骤,否则转到数据采集步骤;
分类统计步骤:信息统计模块对判断是否到达检测周期步骤存储的每种数据进行分类统计,对每种类型的存储数据中的每个IP与端口信息存储单元提取最活跃的N个单元,并以此为依据,拼接得到访问频度最高的IP地址;
拒绝服务攻击检测步骤:检测模块根据分类统计步骤统计得到的信息进行拒绝服务攻击检测;
判断检测结果是否异常步骤:如果异常,转到下一步骤;否则,转到数据采集步骤;
告警步骤。
一种检测拒绝服务攻击的系统包括:采集网络数据并进行解析得到包括源IP、目的IP、源端口和目的端口的统计所需要的数据信息的数据采集与解析模块;将数据采集与解析模块提取的数据信息以布隆计数过滤器的方式进行存储的信息存储模块;周期性的从信息存储模块中存储的数据中提取出包括聚合的源IP、目的IP、源端口、目的端口之中的一个或者多个聚合数据信息的信息统计模块;针对信息统计模块提取出的聚合数据进行拒绝服务攻击检测得到攻击者的IP、受害者的IP和(/或)端口的检测模块;检测出异常后,将异常的详细信息进行告警输出的告警模块。
本发明的有益效果:本发明采用了布隆计数过滤器和压缩数据还原技术,克服了维护和遍历IP地址空间而导致计算资源开销大的问题,达到了提高检索速度、检测性能的优点。本发明运用在网络入侵检测系统或者网络入侵防御系统中,能够完成宏观网络中大流量下的拒绝服务攻击检测。
附图说明
下面结合附图和实施例对本发明进一步说明。
图1是本发明一种检测拒绝服务攻击的方法实施例一的流程图;
图2是本发明一种检测拒绝服务攻击的方法实施例二的数据采集与解析模块流程图;
图3是本发明一种检测拒绝服务攻击的方法实施例三中的布隆计数器的存储原理图;
图4是本发明一种检测拒绝服务攻击的方法实施例四中基于布隆计数过滤器实现的IP地址变换图;
图5是本发明一种检测拒绝服务攻击的方法实施例五中UDP泛洪攻击检测流程图。
具体实施方式
实施例一:
本实施例为一种检测拒绝服务攻击的方法的基本模式。本实施例可以简单叙述为:
(1)采集网络数据,并基于布隆计数过滤器进行空间压缩存储;
(2)周期性的对步骤(1)中所采集的数据信息进行统计,提取得到聚合的信息;
(3)对步骤(2)中得到的聚合信息进行检测,得到拒绝服务攻击的发起者和(/或)受害者。
实现本实施例的基本思路是:获取网络数据包并进行解析,提取数据包中的源IP、目的IP、源端口、目的端口;根据传输层协议类型进行分类,以布隆计数过滤器为基础将源IP、目的IP、源IP和目的端口的对应关系、目的IP和目的端口的关系、源IP和目的IP的对应关系分别进行存储。在检测周期到达时,提取出访问频率最高的N(N≥1)个IP以及IP-端口的对应关系,并进行拒绝服务攻击检测。
本发明的主要流程如附图1所示,包括数据采集与解析模块、信息存储模块、信息统计模块、检测模块和告警模块。
为了使本技术领域的人员更好地理解本发明,下面结合图1所示的流程图对本发明作进一步的详细说明。包括以下步骤:
数据采集步骤101:数据采集与解析模块直接从网卡获取原始网络数据报文,对报文进行协议分析与还原等操作,排除不正确的数据包后,针对SYN、SYN-ACK、ACK、RST-ACK、FIN、UDP、ICMP ECHO数据包提取出源IP、目的IP、源端口、目的端口等信息,具体处理流程参看图2。
分类存储步骤102:信息存储模块将步骤101分析出的数据采用布隆计数器方式进行分类存储,存储具体方式参看图3。
判断是否到达检测周期步骤103:判断是否到达检测周期,如果检测周期到,转到步骤104,否则转到步骤101,其中检测周期可配置,本实施例中默认检测周期为20秒。
分类统计步骤104:信息统计模块对步骤103存储的每种数据进行分类统计。对每种类型的存储数据中的每个ip与端口信息存储单元提取最活跃的N个单元(N可配置,在本实施例中选取N为20),并以此为依据,拼接出访问频度最高的IP地址。拼接过程参看图4。提取统计信息后,将原始存储信息清空,便于下一个检测周期的数据存储。
拒绝服务攻击检测步骤105:检测模块根据步骤104统计得到的信息(访问频度最高的源IP、目的IP、源IP-目的端口、目的IP-目的端口)进行拒绝服务攻击检测,能够检测的拒绝服务攻击包括SYN泛洪攻击、半连接攻击、空连接攻击、ACK泛洪攻击、RST泛洪攻击、UDP泛洪攻击、ICMP泛洪攻击,以UDP泛洪攻击为例,说明检测过程,具体步骤参看图5。
判断检测结果是否异常步骤106:判断检测结果是否异常,如果异常,转到步骤107;否则,转到步骤101。
告警步骤107。
实施例二:
本实施例为实施例一中数据采集步骤的优选方案。所述数据采集步骤包括的子步骤,流程如图2所示:
步骤201:直接从网卡捕获原始数据报文。
步骤202:进行链路层协议解析,为网络层协议解析提供信息;
步骤203:进行网络层协议解析,为传输层协议解析提供信息,同时提取出原始数据报文所对应的源ip和目的IP地址。
步骤204:进行传输层协议解析,提取出原始数据报文所对应的源和目的端口,至此分析出所有检测过程需要的信息。
实施例三:
本实施例为实施例一中的分类存储步骤的优选方案。本实施例的分类存储步骤中使用了布隆计数过滤器,布隆计数过滤器是一种含有数据压缩功能的存储方式,用集合的形式对元素进行存储。它通过将一个元素(在本发明中指IP地址)经过多个哈希函数映射到一个集合中,来表示该元素是否在集合中的问题;同时,它以计数的方式对冲突次数进行累积统计,即当映射值发生冲突时,通过在冲突单元进行计数表示对该单元的访问次数。如果能够将元素还原,就可以得到元素所出现的频度,对应到IP地址,就能够得到IP出现的频度。
为了能够正确的还原出IP地址,本实施例设计了5个哈希函数,并为这五个哈希函数使用独立整数向量{V1,V2,V3,V4,V5},从而能够减少各哈希函数之间的冲突,以在必要时尽可能恢复出布隆计数过滤器中部分存储元素值信息。设计的5个哈希算法如表1所示。
(假设IP地址为IP[0] IP[1] IP[2] IP[3])
| 哈希函数 | 函数构造方法 | 值域 | 备注 |
| H1 | (IP[0]<<4)|((IP[1]>>4)&0 x 0F) | [0-4095] | 直接映射 |
| H2 | (IP[1]<<4)|((IP[2]>>4)&0 x 0F) | [0-4095] | 直接映射 |
| H3 | (IP[2]<<4)|((IP[3]>>4)&0 x 0F) | [0-4095] | 直接映射 |
| H4 | (IP[3]<<4)|((IP[1]>>4)&0 x 0F) | [0-4095] | 直接映射 |
| H5 | 将IP地址均匀映射到V5 | [0-65535] | H5函数的构造包含整个IP地址4字节信息,且为一个均匀映射,用于验证TopN提取结果正确性,采用算法为times33 |
表1 布隆计数过滤器使用的5个哈希算法
因此,本实施例中使用了81920字符的单元向量记录了全IP。当拒绝服务攻击发生时,由于宏观网络中的重尾分布,V1~V5也会相应的呈现出一定的重尾分布现象,因而可以通过拼接的方式从V1~V5中访问频度大的单元中恢复出攻击相关的IP地址。
布隆计数器的存储原理和使用方式如下,如图3所示:
每类数据的存储结构(CONN_CBF)如下:(假设IP地址为AB CD EF GH,端口为IJ KL)
typedef struct_IPADDR_CBF{
unsigned int BF0[4096];//ABC
unsigned int BF1[4096];//CDE
unsigned int BF2[4096];//EFG
unsigned int BF3[4096];//GHA
unsigned int BF4[4096];//GHI
unsigned int BF5[4096];//IJK
unsigned int BF6[4096];//KLA
unsigned int BF7[65536];//均匀映射,IP还原
unsigned int BF8[65536];//均匀映射,IP-PORT还原
}IPADDR_CBF;
typedef struct_CONN_CBF{
IPADDR_CBF sip_cbf;//源IP地址
IPADDR_CBF dip_cbf;//目的IP地址
unsigned int sip_dip[65536];
}CONN_CBF;
假设获取到源IP为20.21.22.23(表示为16进制为0 x 14151617),目的端口为80(表示为16进制为0 x 0080),此时需要保存到sip_cbf中。根据计算公式得到:
(IP[0]<<4)|((IP[1]>>4)&0 x 0F)=0 x 141,BF0[0 x 141]++;
依次递推可得:
BF1[0 x 151]++;BF2[0 x 161]++;BF3[0 x 171]++;
BF4[0 x 170]++;BF5[0 x 008]++;BF6[0 x 801]++;
将源IP通过times33均匀映射算法映射到BF7中,将源IP-目的端口通过times33均匀映射算法映射到BF8中。在这个实例中可得,
BF7[0 x 02a1]++;BF8[0 x 2f31]++;
同样,将源IP-目的IP通过times33均匀映射算法映射到sip_dip中。
实施例四:
本实施例为实施例一中的分类统计步骤的优选方案,是分类统计步骤中的拼接IP地址的方法中的子步骤,图4说明IP地址拼接过程,结合图3说明的结构,按照下面步骤拼接IP地址:
A步骤:遍历BF*的各个TopN,并将(BF0*0 x f)与((BF1>>8)*0 x 0f)进行比较,如果相同则说明匹配,并进行下一级的比较,此时,该级的IP值即为(BF0>>4)*0 x ff;否则,进行同级下一个TopN数值的比较。依次类推BF1,BF2。
B步骤:对于BF3,需要对比(BF3*0 x f)与((BF0>>8)*0 x 0f),如果相同,则说明还原一条IP成功,并通过BF0-BF3计算出IP的值。
C步骤:将该IP在BF7中进行验证,同样采用times 33算法进行映射。如果BF7中的内容不为0,则说明验证成功。
D步骤:获取BF0-BF3,BF7中该IP相应节点的访问冲突值,从中取得最小值作为该IP的访问冲突值。
E步骤:继续进行下一条IP的还原。
实施例五:
本实施例为实施例一中的拒绝服务攻击检测步骤的优选方案。拒绝服务攻击检测步骤中对UDP泛洪攻击的检测的方法中的子步骤包括,图5是UDP泛洪攻击的检测流程:
A步骤:遍历源IP-目的端口的TopN数组,对每个单元,检测访问值是否超过了拒绝服务攻击所定义的阀值,如果超过,则对该单元执行B步骤;否则,对该单元执行C步骤;
B步骤:遍历目的IP-目的端口的TopN数组,对每个单元,检测访问值是否超过了拒绝服务攻击所定义的阀值,如果超过,则比较步骤A和步骤B中所得到的TopN数组中对应的目的端口值。如果目的端口相等,则某个源IP正在针对某个目的IP的目的端口实施攻击,进行报警,并将A和B中节点的共同counter删除,以便于后续其他攻击的检测。此时,如果目的IP-目的端口的访问值仍然超过了拒绝服务攻击所定义的阀值,则表示此时某个IP地址的某个端口正在被实施攻击,进行报警。执行D步骤;
C步骤:遍历目的IP目的端口的TopN数组,对每个单元,检测访问值是否超过了拒绝服务攻击所定义的阀值,如果超过,则表示此时某个IP地址的某个端口正在被实施攻击,进行报警;
D步骤:遍历目的IP的TopN数组,对每个单元,检测访问值是否超过了拒绝服务攻击所定义的阀值。
实施例六:
本实施例是一种检测拒绝服务攻击的系统,所述系统包括:采集网络数据并进行解析得到包括源IP、目的IP、源端口和目的端口的统计所需要的数据信息的数据采集与解析模块;将数据采集与解析模块提取的数据信息以布隆计数过滤器的方式进行存储的信息存储模块;周期性的从信息存储模块中存储的数据中提取出包括聚合的源IP、目的IP、源端口、目的端口之中的一个或者多个聚合数据信息的信息统计模块;针对信息统计模块提取出的聚合数据进行拒绝服务攻击检测得到攻击者的IP、受害者的IP和/或端口的检测模块;检测出异常后,将异常的详细信息进行告警输出的告警模块。
以上对本发明所提供的一种检测拒绝服务攻击的方法和系统进行了详细介绍,本文中选用了具体个例对本发明的原理和实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法和核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (6)
1.一种检测拒绝服务攻击的方法,所述方法所使用的系统包括:数据采集与解析模块、信息存储模块、信息统计模块、检测模块、告警模块,其特征在于所述方法包含以下步骤:
数据采集步骤,数据采集与解析模块直接从网卡获取原始网络数据报文,对报文进行协议分析与还原操作;
分类存储步骤:信息存储模块将数据采集步骤分析出的数据采用布隆计数过滤器进行分类存储;
判断是否到达检测周期步骤:如果检测周期到,转到下一步骤,否则转到数据采集步骤;
分类统计步骤:信息统计模块对判断是否到达检测周期步骤存储的每种数据进行分类统计,对每种类型的存储数据中的每个IP与端口信息存储单元提取最活跃的N个单元,并以此为依据,拼接得到访问频度最高的IP地址;
拒绝服务攻击检测步骤:检测模块根据分类统计步骤统计得到的信息进行拒绝服务攻击检测;
判断检测结果是否异常步骤:如果异常,转到下一步骤;否则,转到数据采集步骤;
告警步骤。
2.根据权利要求1所述的一种检测拒绝服务攻击的方法,其特征在于,所述数据采集步骤包括的子步骤:
直接从网卡捕获原始数据报文;
进行链路层协议解析,为网络层协议解析提供信息;
进行网络层协议解析,为传输层协议解析提供信息,同时提取出原始数据报文所对应的源IP和目IP的地址;
进行传输层协议解析,提取出原始数据报文所对应的源和目的端口,至此分析出所有检测过程需要的信息。
3.根据权利要求1所述的一种检测拒绝服务攻击的方法,其特征在于,所述分类存储步骤中的布隆计数过滤器设定的5个哈希函数,所述5个哈希函数使用独立整数向量{V1,V2,V3,V4,V5},设IP地址为IP[0]、IP[1]、IP[2]、P[3],则:
H1为(IP[0]<<4)|((IP[1]>>4)&0x0F),值域为[0-4095];
H2为(IP[1]<<4)|((IP[2]>>4)&0x0F),值域为[0-4095];
H3为(IP[2]<<4)|((IP[3]>>4)&0x0F),值域为[0-4095];
H4为(IP[3]<<4)|((IP[1]>>4)&0x0F),值域为[0-4095];
H5为将IP地址均匀映射到V5,值域为[0-65535]。
4.根据权利要求1所述的一种检测拒绝服务攻击的方法,其特征在于,所述分类统计步骤中的拼接IP地址的方法中的子步骤:
遍历BF*的各个TopN,并将(BF0*0xf)与((BF1>>8)*0x0f)进行比较,如果相同则说明匹配,并进行下一级的比较;否则进行同级下一个TopN数值的比较;依次类推BF1,BF2;
对于BF3,需要对比(BF3*0xf)与((BF0>>8)*0x0f),如果相同,则说明还原一条IP成功,并通过BF0-BF3计算出IP的值;
将该IP在BF7中进行验证,同样采用times 33算法进行映射。如果BF7中的内容不为0,则说明验证成功;
获取BF0-BF3,BF7中该IP相应节点的访问冲突值,从中取得最小值作为该IP的访问冲突值;
继续进行下一条IP的还原。
5.根据权利要求1所述的一种检测拒绝服务攻击的方法,其特征在于所述拒绝服务攻击检测步骤中对UDP泛洪攻击的检测的方法中的子步骤:
A步骤:遍历源IP-目的端口的TopN数组,对每个单元,检测访问值是否超过了拒绝服务攻击所定义的阀值,如果超过,则对该单元执行B步骤;否则,对该单元执行C步骤;
B步骤:遍历目的IP-目的端口的TopN数组,对每个单元,检测访问值是否超过了拒绝服务攻击所定义的阀值,如果超过,则比较步骤A和步骤B中所得到的TopN数组中对应的目的端口值。如果目的端口相等,则某个源IP正在针对某个目的IP的目的端口实施攻击,进行报警,并将A和B中节点的共同counter删除,以便于后续其他攻击的检测。此时,如果目的IP-目的端口的访问值仍然超过了拒绝服务攻击所定义的阀值,则表示此时某个IP地址的某个端口正在被实施攻击,进行报警。执行D步骤;
C步骤:遍历目的IP-目的端口的TopN数组,对每个单元,检测访问值是否超过了拒绝服务攻击所定义的阀值,如果超过,则表示此时某个IP地址的某个端口正在被实施攻击,进行报警;
D步骤:遍历目的IP的TopN数组,对每个单元,检测访问值是否超过了拒绝服务攻击所定义的阀值。
6.一种检测拒绝服务攻击的系统,其特征在于,包括:采集网络数据并进行解析得到包括源IP、目的IP、源端口和目的端口的统计所需要的数据信息的数据采集与解析模块;将数据采集与解析模块提取的数据信息以布隆计数过滤器的方式进行存储的信息存储模块;周期性的从信息存储模块中存储的数据中提取出包括聚合的源IP、目的IP、源端口、目的端口之中的一个或者多个聚合数据信息的信息统计模块;针对信息统计模块提取出的聚合数据进行拒绝服务攻击检测得到攻击者的IP、受害者的IP和/或端口的检测模块;检测出异常后,将异常的详细信息进行输出告警的告警模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA200710179694XA CN101465760A (zh) | 2007-12-17 | 2007-12-17 | 一种检测拒绝服务攻击的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA200710179694XA CN101465760A (zh) | 2007-12-17 | 2007-12-17 | 一种检测拒绝服务攻击的方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101465760A true CN101465760A (zh) | 2009-06-24 |
Family
ID=40806135
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA200710179694XA Pending CN101465760A (zh) | 2007-12-17 | 2007-12-17 | 一种检测拒绝服务攻击的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101465760A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101834847A (zh) * | 2010-03-31 | 2010-09-15 | 上海电机学院 | 基于多移动代理和数据挖掘技术的网络入侵防御系统 |
| CN102469084A (zh) * | 2010-11-10 | 2012-05-23 | 厦门市美亚柏科信息股份有限公司 | 一种防止tcp插入式拒绝服务攻击的方法和装置 |
| CN101741847B (zh) * | 2009-12-22 | 2012-11-07 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
| CN103916379A (zh) * | 2013-12-04 | 2014-07-09 | 哈尔滨安天科技股份有限公司 | 一种基于高频统计的cc攻击识别方法及系统 |
| CN104038494A (zh) * | 2014-06-11 | 2014-09-10 | 普联技术有限公司 | 一种记录攻击来源的方法及交换机 |
| CN105069158A (zh) * | 2015-08-25 | 2015-11-18 | 携程计算机技术(上海)有限公司 | 数据挖掘方法及系统 |
| CN105554016A (zh) * | 2015-12-31 | 2016-05-04 | 山石网科通信技术有限公司 | 网络攻击的处理方法和装置 |
| CN105591832A (zh) * | 2014-11-13 | 2016-05-18 | 腾讯数码(天津)有限公司 | 应用层慢速攻击检测方法和相关装置 |
| CN106067879A (zh) * | 2016-06-07 | 2016-11-02 | 腾讯科技(深圳)有限公司 | 信息的检测方法及装置 |
| CN106209814A (zh) * | 2016-07-04 | 2016-12-07 | 安徽天达网络科技有限公司 | 一种分布式网络入侵防御系统 |
| CN107465667A (zh) * | 2017-07-17 | 2017-12-12 | 全球能源互联网研究院有限公司 | 基于规约深度解析的电网工控安全协同监测方法及装置 |
| CN111368297A (zh) * | 2020-02-02 | 2020-07-03 | 西安电子科技大学 | 隐私保护移动恶意软件检测方法、系统、存储介质及应用 |
| CN113709105A (zh) * | 2021-07-20 | 2021-11-26 | 深圳市风云实业有限公司 | 基于计数型布隆过滤器的SYN Flood攻击检测方法 |
-
2007
- 2007-12-17 CN CNA200710179694XA patent/CN101465760A/zh active Pending
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741847B (zh) * | 2009-12-22 | 2012-11-07 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
| CN101834847A (zh) * | 2010-03-31 | 2010-09-15 | 上海电机学院 | 基于多移动代理和数据挖掘技术的网络入侵防御系统 |
| CN102469084A (zh) * | 2010-11-10 | 2012-05-23 | 厦门市美亚柏科信息股份有限公司 | 一种防止tcp插入式拒绝服务攻击的方法和装置 |
| CN102469084B (zh) * | 2010-11-10 | 2015-12-16 | 厦门市美亚柏科信息股份有限公司 | 一种防止tcp插入式拒绝服务攻击的方法和装置 |
| CN103916379A (zh) * | 2013-12-04 | 2014-07-09 | 哈尔滨安天科技股份有限公司 | 一种基于高频统计的cc攻击识别方法及系统 |
| CN103916379B (zh) * | 2013-12-04 | 2017-07-18 | 哈尔滨安天科技股份有限公司 | 一种基于高频统计的cc攻击识别方法及系统 |
| CN104038494A (zh) * | 2014-06-11 | 2014-09-10 | 普联技术有限公司 | 一种记录攻击来源的方法及交换机 |
| CN105591832A (zh) * | 2014-11-13 | 2016-05-18 | 腾讯数码(天津)有限公司 | 应用层慢速攻击检测方法和相关装置 |
| CN105069158A (zh) * | 2015-08-25 | 2015-11-18 | 携程计算机技术(上海)有限公司 | 数据挖掘方法及系统 |
| CN105554016A (zh) * | 2015-12-31 | 2016-05-04 | 山石网科通信技术有限公司 | 网络攻击的处理方法和装置 |
| CN106067879A (zh) * | 2016-06-07 | 2016-11-02 | 腾讯科技(深圳)有限公司 | 信息的检测方法及装置 |
| CN106067879B (zh) * | 2016-06-07 | 2019-03-15 | 腾讯科技(深圳)有限公司 | 信息的检测方法及装置 |
| CN106209814A (zh) * | 2016-07-04 | 2016-12-07 | 安徽天达网络科技有限公司 | 一种分布式网络入侵防御系统 |
| CN107465667A (zh) * | 2017-07-17 | 2017-12-12 | 全球能源互联网研究院有限公司 | 基于规约深度解析的电网工控安全协同监测方法及装置 |
| CN107465667B (zh) * | 2017-07-17 | 2019-10-18 | 全球能源互联网研究院有限公司 | 基于规约深度解析的电网工控安全协同监测方法及装置 |
| CN111368297A (zh) * | 2020-02-02 | 2020-07-03 | 西安电子科技大学 | 隐私保护移动恶意软件检测方法、系统、存储介质及应用 |
| CN111368297B (zh) * | 2020-02-02 | 2023-02-28 | 西安电子科技大学 | 隐私保护移动恶意软件检测方法、系统、存储介质及应用 |
| CN113709105A (zh) * | 2021-07-20 | 2021-11-26 | 深圳市风云实业有限公司 | 基于计数型布隆过滤器的SYN Flood攻击检测方法 |
| CN113709105B (zh) * | 2021-07-20 | 2023-08-29 | 深圳市风云实业有限公司 | 基于计数型布隆过滤器的SYN Flood攻击检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101465760A (zh) | 一种检测拒绝服务攻击的方法和系统 | |
| CN111935170B (zh) | 一种网络异常流量检测方法、装置及设备 | |
| CN113364752B (zh) | 一种流量异常检测方法、检测设备及计算机可读存储介质 | |
| CN101267313B (zh) | 泛洪攻击检测方法及检测装置 | |
| CN101789931B (zh) | 一种基于数据挖掘的网络入侵检测系统及方法 | |
| CN102882881B (zh) | 针对dns服务的拒绝服务攻击的数据过滤方法 | |
| US10523692B2 (en) | Load balancing method and apparatus in intrusion detection system | |
| CN104836702A (zh) | 一种大流量环境下主机网络异常行为检测及分类方法 | |
| CN110650020B (zh) | 拟态模糊判决方法、装置及系统 | |
| CN103491069A (zh) | 网络数据包的过滤方法 | |
| CN107196930A (zh) | 计算机网络异常检测的方法、系统及移动终端 | |
| CN103841096A (zh) | 自动调整匹配算法的入侵检测方法 | |
| CN103685224A (zh) | 网络入侵检测方法 | |
| CN107040405A (zh) | 网络环境下被动式多维度主机指纹模型构建方法及其装置 | |
| CN113452676A (zh) | 一种检测器分配方法和物联网检测系统 | |
| EP3823217A1 (en) | Network flow measurement method, network measurement device and control plane device | |
| CN112804253A (zh) | 一种网络流量分类检测方法、系统及存储介质 | |
| CN103685221A (zh) | 网络入侵检测方法 | |
| CN103685222A (zh) | 基于确定性有穷状态自动机的数据匹配检测方法 | |
| CN114281676A (zh) | 针对工控私有协议的黑盒模糊测试方法及系统 | |
| CN103746869A (zh) | 结合数据/掩码和正则表达式的多级深度包检测方法 | |
| Zhao et al. | HashFlow for better flow record collection | |
| CN101316268B (zh) | 一种异常流的检测方法及系统 | |
| Wang et al. | Abnormal traffic detection system in SDN based on deep learning hybrid models | |
| CN101719906A (zh) | 一种基于蠕虫传播行为的蠕虫检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20090624 |