CN101505218A - 攻击报文的检测方法和装置 - Google Patents
攻击报文的检测方法和装置 Download PDFInfo
- Publication number
- CN101505218A CN101505218A CNA200910080444XA CN200910080444A CN101505218A CN 101505218 A CN101505218 A CN 101505218A CN A200910080444X A CNA200910080444X A CN A200910080444XA CN 200910080444 A CN200910080444 A CN 200910080444A CN 101505218 A CN101505218 A CN 101505218A
- Authority
- CN
- China
- Prior art keywords
- message
- verification
- attack
- value
- class
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种攻击报文的检测方法和装置。该方法中,针对每类报文,统计具有相同校验和且连续到来的报文数量,当统计值在预设长度时间内达到设定门限值时,确定该类报文中具有所述相同校验和的报文为攻击报文。其中,所述校验和为报文中包含数据内容部分的校验和。使用本发明能够准确有效地识别出内容不变的攻击报文,为有针对性的进行攻击抵御处理提供了基础。
Description
技术领域
本发明涉及通信网络领域中的攻击防范技术,具体涉及内容不变的攻击报文的检测方法和装置。
背景技术
泛洪攻击,通过发送大量需要网络设备处理的报文,使网络设备的处理单元处于超负荷工作状态,影响网络中正常报文的处理,甚至使重要的协议报文因超时而被丢弃,造成网络的瘫痪。
对于一些常见的泛洪攻击类型,例如传输控制协议泛洪(TCP SYNFlood)攻击和用户数据报协议-域名服务器泛洪(UDP-DNS Flood)攻击,根据这些报文协议特征,可以采用SYN Cookie或DNS TC Reply等比较成熟的攻击报文识别和抵御方法加以防范。但对于以下这几种变源IP的攻击和内容不变的不变源攻击,由于协议上没有报文交互特征或者攻击源IP可能合法,以上这些成熟的方法都不能很好的进行识别和防范。
其中,变源IP攻击例如UDP泛洪(UDP Flood)攻击、TCP ACK泛洪(TCP ACK Flood)攻击、因特网控制报文协议泛洪(ICMP Flood)攻击,攻击者通过不断变换源IP地址或者控制大量傀儡主机向目标服务器发送报文。不变源IP的攻击例如内容不变的HTTP Get请求泛洪(HTTP Get Flood)攻击,攻击者在一个连接中携带多个Get请求,使得服务器忙于处理这些请求而无法处理其它正常的应用请求。
针对上述几种变源IP攻击和内容不变的不变源攻击,目前只能采用限流或限速的方式对可能是攻击报文的流量进行限制,从而保证被保护服务器有足够的能力处理其它报文。但是限流和限速的方式对所有流量采用相同的处理方式,为了能够限制可能是攻击报文的流量,其作法本质上是牺牲了部分正常流量,其结果必然在一定程度上影响了正常应用,如果门限值设置的不合理,则对正常应用的影响则会更大。
通过分析这两种攻击报文的特点可以得知,攻击者虽然可以通过变源IP发出大量速率极高的报文,或者在同一连接上发送大量报文,但是这种攻击报文的内容通常是不变的。倘若能够从到同一服务器上相同应用端口的报文流中区分出攻击报文和正常报文,则可以有针对性的只对攻击报文进行相应攻击抵御处理,从而降低对正常应用的影响。
发明内容
有鉴于此,本发明提供了一种攻击报文的检测方法,能够准确有效地识别出内容不变的变源和不变源的攻击报文,为有针对性的进行攻击抵御处理提供了基础。
该方法包括:将到被保护设备上符合相同分类条件的报文作为一类;所述分类条件为:目的IP地址、目的端口号和协议号均相同的报文,或同一连接中所传输的报文,或目的IP地址、类型字段和协议号均相同的报文;
针对每类报文,统计具有相同校验和且连续到来的报文数量,当统计值在预设长度时间内达到设定门限值时,确定该类报文中具有所述相同校验和的报文为攻击报文;
所述校验和为报文中包含数据内容部分的校验和。
其中,所述包含数据内容部分的校验和的获取方式为:
对于传输控制协议TCP报文,将报文携带的传输层校验和字段值作为所述校验和,或对报文中除去全部头信息或部分头信息的部分进行校验和计算,得到所述校验和,或对报文中除去序列号、确认序号、TCP标志位和窗口大小的传输层数据进行校验和计算,得到所述校验和;
对于用户数据报协议UDP报文,将报文携带的传输层校验和字段值作为所述校验和,或对报文中除去全部头信息或部分头信息的部分进行校验和计算,得到所述校验和;
对于因特网控制报文协议ICMP报文,将报文携带的ICMP报文校验和字段值作为所述校验和,或对报文中除去标识符和序列号的部分进行校验和计算,得到所述校验和。
较佳地,所述统计操作和统计值在预设长度时间内达到设定门限值的确定操作,采用针对每类报文设置的记录变量、计数器和计时器实现;
所述记录变量记录所属类别报文的校验和,当校验和变化时,采用变化后的校验和更新该记录变量;
所述计数器统计所属类别报文中具有相同校验和且连续到来的报文数量;当所属类别报文的校验和变化时,该计数器从初始值开始计数;
所述计时器累计所属类别报文中相同校验和的连续报文持续时间,当所属类别报文的校验和变化时,该计时器从初始值开始计时,当计时值大于或等于预设时间长度时,将所属类别对应的计数器设置为初始值;
所述当统计值在预设长度时间内达到设定门限值时,确定该类报文中具有所述相同校验和的报文为攻击报文为:针对每类报文,当计数器的计数值达到预设门限值且计时器的计时值小于预设时间长度,则确定该类报文中校验和等于记录变量值的报文为攻击报文。
较佳地,所述确定该类报文中具有所述相同校验和的报文为攻击报文之后,方法进一步包括:
对后续连续到来的攻击报文进行攻击抵御处理;针对每类报文,当检测到后续到来报文的校验和与攻击报文的校验和不同,则撤销对攻击报文的认定,重新执行所述统计操作。
较佳地,所述攻击抵御处理为:减小攻击报文的通过带宽或直接丢弃攻击报文。
本发明还提供了一种攻击报文的检测装置,能够准确有效地识别出内容不变的攻击报文,为有针对性的进行攻击抵御处理提供了基础。
该装置设置在报文发送侧和被保护侧之间,用于对发向被保护侧的报文进行攻击检测;该装置包括校验和获取单元和检测单元;
所述检测单元,用于将到被保护设备上符合相同分类条件的报文作为一类,所述分类条件为:目的IP地址、目的端口号和协议号均相同的报文,或同一连接中所传输的报文,或目的IP地址、类型字段和协议号均相同的报文;针对每类报文,统计具有相同校验和且连续到来的报文数量,当统计值在预设长度时间内达到设定门限值时,确定该类报文中具有所述相同校验和的报文为攻击报文;
所述校验和获取单元,用于为检测单元提供各报文的校验和,该校验和为报文中包含数据内容部分的校验和。
对于TCP报文,所述校验和获取单元将报文携带的传输层校验和字段值作为所述校验和,或对报文中除去全部头信息或部分头信息的部分进行校验和计算,得到所述校验和,或对报文中除去序列号、确认序号、TCP标志位和窗口大小的传输层数据进行校验和计算,得到所述校验和;
对于UDP报文,所述校验和获取单元将报文携带的传输层校验和字段值作为所述校验和,或对报文中除去全部头信息或部分头信息的部分进行校验和计算,得到所述校验和;
对于ICMP报文,所述校验和获取单元将报文携带的ICMP报文校验和字段值作为所述校验和,或对报文中除去标识符和序列号的部分进行校验和计算,得到所述校验和。
较佳地,该装置进一步包括处理单元;
所述检测单元进一步用于,在确定出现攻击报文后,将当前攻击报文和后续连续到来的、与所述攻击报文类别相同且校验和相同的报文标记为攻击报文发送给处理单元;针对每类报文,当检测到后续到来报文的校验和与所述攻击报文的校验和不同,则撤销对攻击报文的认定,将当前到来的报文标记为正常报文发送给所述处理单元,并重新执行所述统计操作;
所述处理单元,用于对接收的攻击报文进行攻击抵御处理,将接收的正常报文进行常规处理。
根据以上技术方案可见,本发明通过对报文中包含数据内容部分的校验和进行检查,能够准确有效地识别出数据内容不变的攻击报文,从而从同一报文流中区分出攻击报文和正常报文。
进一步地,本发明只对区分出的攻击报文进行攻击抵御处理,从而避免对正常应用报文进行攻击抵御处理,减少了对正常应用的影响。
此外,利用攻击者不会为每个攻击报文计算校验和,内容相同的攻击报文校验和相同的特点,本发明直接从报文中提取校验和字段进行报文重复性检查,使得本发明的实施方式简单,实施成本降低。
附图说明
图1为本发明应用于报文过滤设备的网络示意图。
图2为本发明实施例一中攻击报文的检测方法流程图。
图3为本发明采用记录变量、计数器和计时器的实施流程示意图。
图4为本发明实施例中攻击报文的检测装置的结构示意图。
图5为图4中检测单元的结构示意图。
具体实施方式
如背景技术所述,通过分析目前常见攻击报文的特点可以得知,虽然目前的攻击方式可以通过变化源IP地址发出大量速率极高的报文,或者基于同一连接发送大量报文,但是攻击报文的数据内容通常是不变的。而对于正常报文来说,不同报文的数据内容通常不完全相同,即使有些报文的数据内容相同,例如正常的重传报文,这类报文的数量也不多,且速率不会太高,因此正常情况下,不会在短时间内出现大量的数据内容相同的报文。
通过以上分析可以得到,短时间内是否出现大量的具有相同数据内容的报文可以作为识别攻击报文和正常报文的一个特征。本发明就是利用这一特征,提出一种简单有效的检测攻击报文的方法,其基本思想为:将到被保护设备上符合相同分类条件的报文作为一类,针对每类报文流进行报文重复性检查:获取报文中包含数据内容部分的校验和,统计具有相同校验和且连续到来的报文数量,当统计值在预设长度时间内达到设定门限值时,确定检测到攻击报文,则后续校验和仍然不变的报文作为攻击报文,予以攻击抵御处理,例如给一个很小的带宽或直接丢弃。
其中,分类条件可以为:(1)目的IP地址、目的端口号和协议号均相同的报文,或者(2)同一连接中所传输的报文,或者(3)目的IP地址、类型字段和协议号均相同的报文。
上述分类条件适用于不同的报文协议。例如,对于传输控制协议(TCP)报文和用户数据报协议(UDP)报文,这两种报文均属于传输层协议报文,采用这类报文实现攻击时,将大量报文发向同一被保护设备的相同应用端口,使得被保护设备不能处理其它应用请求。因此对于TCP和UDP报文,可以采用分类条件(1)或(2),将到同一被保护设备上相同应用端口的报文作为一类,对每类报文进行报文重复性检查。
对于因特网控制报文协议(ICMP)报文,其介于IP层和传输层协议报文之间,报文中不具备端口信息,采用这类报文实现攻击时,将大量相同类别字段的报文发向同一被保护设备上,使得该设备根据类别字段不停地执行同一操作,不能够处理其它请求。因此对于ICMP报文,可以采用分类条件(3),将到同一被保护设备上类别相同的报文作为一类,对每类报文进行重复性检查。ICMP报文的类型根据报文中的类型(Type)字段确定。
可见,本发明通过对报文中包含数据内容部分的校验和进行检查,能够准确有效地识别出数据内容不变的攻击报文,从而从到同一被保护目标的报文流中区分出攻击报文和正常报文。进一步地,如果只对区分出的攻击报文进行攻击抵御处理,则可以避免对正常应用报文进行错误的攻击抵御处理,减少了对正常应用的影响。
当本发明对变源IP的报文进行检测时,能够准确有效地识别出内容不变的变源IP攻击报文;当本发明对同一连接中的报文进行检测时,能够准确有效地识别出同一连接上内容不变的攻击报文。
本发明方案可以应用在防火墙、异常流量检测或清洗等报文过滤设备中,如图1所示,将该报文过滤设备设置在公共网络与被保护的网络之间,可以实现对被保护网络中各服务器的保护,或者将该报文过滤设备设置在公共网络与被保护的网络设备之间,可以实现对特定被保护网络设备的保护。
下面结合附图并举实施例,对本发明进行详细描述。
实施例一:对变源IP的报文进行攻击检测。被检测的报文可以包括TCP报文、UDP报文和ICMP报文。
本实施例中,到同一被保护设备上相同应用端口的报文为目的IP地址、目的端口号(ICMP报文为类型字段值)和协议号均相同的报文,报文的源IP地址可以相同或不同。图2为本发明实施例一中攻击报文的检测方法流程图。如图2所示,该流程包括以下步骤:
步骤201:预先配置被保护网络中被保护的IP地址和/或端口号。
其中,配置的IP地址可以为一个IP地址或IP地址段。
一个IP地址对应一台被保护设备,这里所说的设备是具有单一网卡的设备。如果一台实际设备中具有多个网卡,该实际设备被看作多个被保护设备。一个端口号对应一个应用,一个应用提供一类服务,例如HTTP应用对应的端口号为80,FTP应用对应的端口号为21。IP地址+端口号唯一确定了一台设备上的一个应用。配置IP地址+端口号信息是为了从发向被保护网络的所有TCP和UDP报文中过滤出所关注的报文,后续对这些被关注的报文进行内容重复性检查,从而缩小内容重复性检查的范围,保证有针对性地进行检查。ICMP报文没有端口号,因此只有配置的IP地址对其有效。
在实际中,也可以只配置被保护的IP地址,还可以只配置被保护应用的端口号。如果不配置任何IP地址或端口号,那么内容重复性检查的对象是发向被保护网络的所有报文。
步骤202:从发向被保护网络的报文中,过滤出符合配置条件的报文。
步骤203:对过滤出的报文进行内容重复性检查:定义目的IP地址、目的端口号(ICMP报文为类型)和协议号为三元组,将三元组相同的报文作为一类,针对每类报文,统计具有相同校验和且连续到来的报文数量;当预设时间长度内相同校验和Sum1的连续报文数量大于或等于设定门限值,则确定该类报文中校验和等于Sum1的报文为攻击报文。其中的预设时间长度例如设置为2秒、3秒等等。
本步骤中,包含数据内容的校验和的获取方式可以有多种:
方式一、在现有技术中,TCP和UDP报文被发送之前,发送端对报文的数据内容部分和三层头信息进行校验和计算,得到传输层校验和,将计算得到的传输层校验和携带在报文中传输。对于TCP报文,三层头信息包括报文的序列号、确认序号、TCP标志位、窗口大小、报文头长度、紧急指针以及源端口号和目的端口号;对于UDP报文,三层头信息包括源端口号、目的端口号和报文长度。而ICMP报文在被发送前,发送端对整个ICMP报文内容进行校验和计算,得到ICMP报文校验和。ICMP报文没有头信息的概念,其包括标识符(identifier)、序列号(sequence number)、类型(Type)和代码(Code)等字段。
通常,攻击者不会为每个攻击报文计算校验和,内容相同的攻击报文其校验和相同。那么在本步骤中可以直接提取报文中携带的校验和字段值。这种方式对TCP报文、UDP报文和ICMP报文均适用。
方式二、为了避免攻击者修改校验和导致的检测失误,可以对报文中除去一些非数据内容后的剩余部分进行校验和计算:
对于TCP和UDP报文,可以对报文中除去全部头信息或部分头信息的部分进行校验和计算。至于去除哪些头信息,可以预先进行配置。对于TCP报文,序列号、确认序号、TCP标志位和窗口大小这几个字段容易变化,因此较佳地对报文中去除序列号、确认序号、TCP标志位和窗口大小这几个字段的部分进行校验和计算。
对于ICMP报文,没有头信息的概念,报文中标识符(identifier)和序列号(sequence number)这两个字段容易变化,因此较佳地对报文中除去标识符和序列号字段的部分进行校验和计算。
方式三、如果希望仅仅获得数据内容部分的校验和,则可以直接对报文中的数据内容部分进行校验和计算。
本步骤判定是否为攻击报文所采用的校验和门限值可以针对不同三元组设置不同的校验和门限值。门限具体数值可以根据经验值设置,例如设置为20、30等等,也可以通过动态学习校验和的分布得到。一种动态学习方式可以为:在实际网络环境中,分别学习各种应用流量(对于ICMP报文是各种类别流量)对应的各种校验和的报文数量,从而得到各种应用流量对应的校验和分布情况,学习时间可以设置得较长,例如24小时,或48小时。然后根据学习时间长度和校验和分布情况,确定单位时间内各应用流量中不同校验和报文的数量,将其作为相应三元组的门限值。或者在学习时,直接学习各三元组对应的校验和分布情况得到相应门限值。
在本步骤对过滤出的报文进行内容重复性检查之前或之后,还可以进行现有的攻击报文检测,识别出其它已知形式的攻击报文,从而增加对攻击报文的识别力度。
至此,识别攻击报文的流程结束。
此后,可以对后续到来的攻击报文进行攻击抵御处理。但是在实际中,网络环境可能随时发生变化,例如攻击者停止攻击,该被保护IP上的被保护应用被正常访问,此时需要及时撤销对攻击报文的认定。为了实时地适应网络环境的变化,在步骤203确定出现攻击报文后,仅对后续且连续到来的攻击报文进行攻击抵御处理。针对每类报文,当检测到后续到来的某个报文的校验和与攻击报文的校验和不同,则撤销对攻击报文的认定,重新执行步骤203的统计操作和攻击报文判定操作。所述攻击抵御处理可以为丢弃攻击报文,较佳地,还可以是减小攻击报文的通过带宽,从而将攻击报文的通过带宽限制在小范围内。具体通过带宽的值可以预先设置。
可见,本发明的一种实施方式只对识别出的攻击报文进行攻击抵御处理,从而避免对正常报文进行错误的攻击抵御处理,减少了对正常报文的影响,且实现方式简单,成本低。
实施例二:对同一连接中的报文进行攻击检测。被检测的报文可以包括TCP报文和UDP报文。
本实施例二的具体实现流程与图2的流程基本相同。不同之处在于,在本实施例二中,报文的分类标准为“连接”,同一连接中传输的报文为一类。众所周知,连接建立起来后,连接中所传输报文的五元组固定,所述五元组包括源IP地址、源端口号、目的IP地址、目的端口号和协议号。同一连接中传输的报文就是五元组均相同的报文。
那么,步骤203对过滤出的报文进行内容重复性检查的操作具体为:针对每个连接,统计该连接中具有相同校验和且连续到来的报文数量;当预设时间长度内相同校验和Sum2的连续报文数量大于或等于设定门限值,则确定该连接传输的报文中,校验和等于Sum2的报文为攻击报文。
在确定攻击报文后,对后续报文的处理为:对后续连续到来的攻击报文进行攻击抵御处理。针对每个连接,当检测到后续到来的某个报文的校验和与攻击报文的校验和不同,则撤销对攻击报文的认定,重新执行统计操作和攻击报文判定操作。
上述两个实施例中的统计操作和攻击报文判定操作可以通过针对每类报文设置的记录变量、计数器和计时器实现。其中,
记录变量记录所属类别报文的校验和,当校验和变化时,采用变化后的校验和更新该记录变量。
计数器统计所属类别报文中具有相同校验和且连续到来的报文数量;当所属类别报文的校验和变化时,该计数器从初始值开始计数。
计时器累计所属类别报文中相同校验和的连续报文到来的持续时间,当所属类别报文的校验和变化时,该计时器从初始值开始计时,当计时值大于或等于预设时间长度时,将所属类别对应的计数器设置为初始值。
针对每类报文,当计数器的计数值达到预设门限值且计时器的计时值小于预设时间长度,则确定检测到攻击报文。
当本发明应用于检测变源IP的攻击报文时,每个三元组对应一组记录变量、计数器和计时器。当本发明应用于检测同一连接上的内容相同的攻击报文时,每个连接对应一组记录变量、计数器和计时器。记录变量与报文类别的对应关系可以通过维护统计表项实现。例如,对于变源IP的报文进行攻击检测时,统计表项包括目的IP地址、目的端口号或ICMP报文的类型字段、协议号以及记录变量。
图3为采用记录变量、计数器和计时器的实施方式。图3中省略了被报文流中过滤出接受重复性检查报文的步骤,且省略了确定报文类别的步骤。以下流程中所述的被检查报文、计时器、计数器和记录变量也均是对应同一类报文而言。
在对被检查报文进行处理之前,需要对计时器、计数器和记录变量初始化。令将计时器从0开始计时,将计数器设置为0,将记录变量设置为0。
开始检测后,在步骤301中,接收被检查报文,提取被检查报文中包含数据内容部分的校验和。这里仅以提取校验和为例,还可以采用前述多种方式获取校验和。
在步骤302中,判断提取的校验和是否与记录变量的值相同。如果相同,则在步骤303中将计数器的当前计数值加1,接着在步骤304中判断计时器的计时值是否小于预设时间长度,如果是,则在步骤305中判断计数器的计数值是否大于或等于预设门限值;如果大于,则判定出现攻击报文,且当前被检查报文就是攻击报文,接着执行步骤306。如果计数器的计数值小于预设门限值,则返回步骤301对下一个被检查报文进行处理。
在步骤301到305的流程中,如果步骤302判定提取的校验和与记录变量的值不相同,或者步骤304判定计时器的计时值大于或等于预设时间长度,都执行步骤310,即采用提取的校验和更新记录变量,同时将计数器更新为1,令计时器从零开始计时,从而开始了新一轮的统计和攻击报文确定操作。
当步骤305判定出现攻击报文后,在步骤306中继续接收后续到来的被检查报文,提取该被检查报文的校验和,在步骤307中判断提取的校验和是否与记录变量的值相同,如果是,则确定当前被检查报文为攻击报文,在步骤308中对攻击报文进行攻击抵御处理,并返回步骤306继续对后续被检查报文进行处理。如果步骤307判定提取的校验和与记录变量的值不相同,则确定当前被检查报文不是攻击报文,执行步骤310,从而撤销之前对攻击报文的认定,并开始了新一轮的统计和攻击报文确定操作。
图3仅仅示出了一种实施方式。在另一实施例中,也可以将步骤304的计时值判断步骤从图3的流程中提出来,作为单独线程处理。当计时值小于预设时间长度时,不打断图3的流程,而当计时值大于或等于预设时间长度时才中断图3的流程,令该流程跳转到310。这种实施方式省略了计时值的判断操作,有利于系统优化。
为了实现本发明的攻击报文检测方法,本发明还提供了一种攻击报文的检测装置。图4为本发明实施例中攻击报文的检测装置的结构示意图。该装置设置在报文发送侧和被保护侧之间,用于对发向被保护侧的报文进行攻击检测。例如该装置可以设置为图1的报文过滤设备处。
如图4所示,该装置包括校验和获取单元和检测单元;为了有针对性的进行检测,缩小被检测报文范围,该装置还可以包括监控单元;
监控单元,用于监控发向被保护侧的报文流,将被监控报文发给检测单元。
该监控单元具体包括配置模块和监控模块;其中,配置模块用于配置被保护设备的IP地址和/或被保护应用的端口号。监控模块用于根据配置模块的配置,监控符合配置条件的报文,将符合配置条件的报文发给检测单元。
检测单元,用于将到被保护设备上符合相同分类条件的报文作为一类,针对每类被监控报文,统计具有相同校验和且连续到来的报文数量,当统计值在预设长度时间内达到设定门限值时,确定该类报文中具有所述相同校验和的报文为攻击报文;所述分类条件为:目的IP地址、目的端口号和协议号均相同的报文,或同一连接中所传输的报文,或目的IP地址、类型字段和协议号均相同的报文。
校验和获取单元,用于为检测单元提供各报文的校验和,该校验和为报文中包含数据内容部分的校验和。获取方式在方法实施例中已经详细描述,这里略。
图5示出了图4中检测单元的具体结构,包括控制模块、对应模块和针对每类报文设置的计数器和计时器。其中,
对应模块,记录各类报文的分类特征,以及各类报文对应的记录变量,该记录变量记录所属类别报文的校验和。当本发明应用于变源IP的攻击报文检测时,所述分类特征为目的IP地址、目的端口号(ICMP报文为类型)和协议号组成的三元组(如图5所示的对应模块内容);当应用于对同一连接内的攻击报文检测时,所述分类特征为目的IP地址、目的端口号、协议号、源IP地址和源端口号组成的五元组。
计数器,用于统计所属类别报文中具有相同校验和且连续到来的报文数量。初始化时,设置为初始值0。
计时器,用于累计所属类别报文中相同校验和的连续报文持续时间。初始化时,从0开始计时。
控制模块,接收监控单元发来的被监控报文,根据对应模块记录的信息,对所接收报文进行分类,并获取对应记录变量记载的校验和Sum;由校验和获取单元获取所接收报文的校验和X。判断X是否与Sum相同,如果不相同,则采用X更新Sum,并将对应的计数器清零并加1或者直接置1,令对应的计时器从0开始计时;如果X与Sum相同,将对应的计数器加1,继而判断计数值是否大于或等于设定门限值,如果是,则确定所接收报文为攻击报文,且后续连续到来的与该攻击报文类别和校验和相同的报文也为攻击报文;如果计数值小于设定门限值,则继续对下一个被接收报文进行处理。
该控制模块,还在计时器的计时值大于或等于预设时间长度时,更新对应的记录变量,将对应的计数器清零并加1或者直接置1,令对应的计时器从0开始计时。
检测单元完成检测后,将攻击报文和正常报文打上不同的标记发送给处理单元,由处理单元根据标识对正常报文和攻击报文分别进行相应处理。
具体来说,检测单元在确定出现攻击报文后,将该攻击报文和后续连续到来的、与该攻击报文类别相同且校验和相同的报文标记为攻击报文发送给处理单元;针对每类报文,当检测到当前到来报文的校验和与该攻击报文的校验和不同时,撤销对攻击报文的认定,将当前到来的报文标记为正常报文发送给处理单元,并重新执行统计和攻击报文确定操作。
处理单元,用于对接收的攻击报文进行攻击抵御处理,例如丢弃或减小通过带宽,如果经攻击抵御处理后,仍存在可通过报文,则发给被保护侧;而对于接收的正常报文进行常规处理,例如可以直接发送给被保护侧。
在报文进入检测模块之前或者从检测模块出来进入处理模块之前,还可以配置现有的攻击报文检测模块,以识别出其它已知形式的攻击报文,从而增加对攻击报文的识别力度。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1、一种攻击报文的检测方法,其特征在于,该方法包括:
将到被保护设备上符合相同分类条件的报文作为一类;所述分类条件为:目的IP地址、目的端口号和协议号均相同的报文,或同一连接中所传输的报文,或目的IP地址、类型字段和协议号均相同的报文;
针对每类报文,统计具有相同校验和且连续到来的报文数量,当统计值在预设长度时间内达到设定门限值时,确定该类报文中具有所述相同校验和的报文为攻击报文;
所述校验和为报文中包含数据内容部分的校验和。
2、如权利要求1所述的方法,其特征在于,所述包含数据内容部分的校验和的获取方式为:
对于传输控制协议TCP报文,将报文携带的传输层校验和字段值作为所述校验和,或对报文中除去全部头信息或部分头信息的部分进行校验和计算,得到所述校验和,或对报文中除去序列号、确认序号、TCP标志位和窗口大小的传输层数据进行校验和计算,得到所述校验和;
对于用户数据报协议UDP报文,将报文携带的传输层校验和字段值作为所述校验和,或对报文中除去全部头信息或部分头信息的部分进行校验和计算,得到所述校验和;
对于因特网控制报文协议ICMP报文,将报文携带的ICMP报文校验和字段值作为所述校验和,或对报文中除去标识符和序列号的部分进行校验和计算,得到所述校验和。
3、如权利要求1所述的方法,其特征在于,所述统计操作和统计值在预设长度时间内达到设定门限值的确定操作,采用针对每类报文设置的记录变量、计数器和计时器实现;
所述记录变量记录所属类别报文的校验和,当校验和变化时,采用变化后的校验和更新该记录变量;
所述计数器统计所属类别报文中具有相同校验和且连续到来的报文数量;当所属类别报文的校验和变化时,该计数器从初始值开始计数;
所述计时器累计所属类别报文中相同校验和的连续报文持续时间,当所属类别报文的校验和变化时,该计时器从初始值开始计时,当计时值大于或等于预设时间长度时,将所属类别对应的计数器设置为初始值;
所述当统计值在预设长度时间内达到设定门限值时,确定该类报文中具有所述相同校验和的报文为攻击报文为:针对每类报文,当计数器的计数值达到预设门限值且计时器的计时值小于预设时间长度,则确定该类报文中校验和等于记录变量值的报文为攻击报文。
4、如权利要求1所述的方法,其特征在于,所述确定该类报文中具有所述相同校验和的报文为攻击报文之后,方法进一步包括:
对后续连续到来的攻击报文进行攻击抵御处理;针对每类报文,当检测到后续到来报文的校验和与攻击报文的校验和不同,则撤销对攻击报文的认定,重新执行所述统计操作。
5、如权利要求4所述的方法,其特征在于,所述攻击抵御处理为:减小攻击报文的通过带宽或直接丢弃攻击报文。
6、一种攻击报文的检测装置,其特征在于,该装置设置在报文发送侧和被保护侧之间,用于对发向被保护侧的报文进行攻击检测;该装置包括校验和获取单元和检测单元;
所述检测单元,用于将到被保护设备上符合相同分类条件的报文作为一类,所述分类条件为:目的IP地址、目的端口号和协议号均相同的报文,或同一连接中所传输的报文,或目的IP地址、类型字段和协议号均相同的报文;针对每类报文,统计具有相同校验和且连续到来的报文数量,当统计值在预设长度时间内达到设定门限值时,确定该类报文中具有所述相同校验和的报文为攻击报文;
所述校验和获取单元,用于为检测单元提供各报文的校验和,该校验和为报文中包含数据内容部分的校验和。
7、如权利要求6所述的装置,其特征在于,对于TCP报文,所述校验和获取单元将报文携带的传输层校验和字段值作为所述校验和,或对报文中除去全部头信息或部分头信息的部分进行校验和计算,得到所述校验和,或对报文中除去序列号、确认序号、TCP标志位和窗口大小的传输层数据进行校验和计算,得到所述校验和;
对于UDP报文,所述校验和获取单元将报文携带的传输层校验和字段值作为所述校验和,或对报文中除去全部头信息或部分头信息的部分进行校验和计算,得到所述校验和;
对于ICMP报文,所述校验和获取单元将报文携带的ICMP报文校验和字段值作为所述校验和,或对报文中除去标识符和序列号的部分进行校验和计算,得到所述校验和。
8、如权利要求6所述的装置,其特征在于,该装置进一步包括处理单元;
所述检测单元进一步用于,在确定出现攻击报文后,将当前攻击报文和后续连续到来的、与所述攻击报文类别相同且校验和相同的报文标记为攻击报文发送给处理单元;针对每类报文,当检测到后续到来报文的校验和与所述攻击报文的校验和不同,则撤销对攻击报文的认定,将当前到来的报文标记为正常报文发送给所述处理单元,并重新执行所述统计操作;
所述处理单元,用于对接收的攻击报文进行攻击抵御处理,将接收的正常报文进行常规处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910080444XA CN101505218B (zh) | 2009-03-18 | 2009-03-18 | 攻击报文的检测方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910080444XA CN101505218B (zh) | 2009-03-18 | 2009-03-18 | 攻击报文的检测方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101505218A true CN101505218A (zh) | 2009-08-12 |
CN101505218B CN101505218B (zh) | 2012-04-18 |
Family
ID=40977303
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910080444XA Expired - Fee Related CN101505218B (zh) | 2009-03-18 | 2009-03-18 | 攻击报文的检测方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101505218B (zh) |
Cited By (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101827081A (zh) * | 2010-02-09 | 2010-09-08 | 蓝盾信息安全技术股份有限公司 | 检测请求安全性的方法及系统 |
CN101883038A (zh) * | 2010-06-30 | 2010-11-10 | 中兴通讯股份有限公司 | Eaps环网保护倒换的方法及eaps环网中的主节点 |
CN101997859A (zh) * | 2009-08-28 | 2011-03-30 | 国际商业机器公司 | 识别tcp流中的数据包的载荷的方法和设备 |
CN102510385A (zh) * | 2011-12-12 | 2012-06-20 | 汉柏科技有限公司 | 防ip数据报分片攻击的方法 |
CN103685168A (zh) * | 2012-09-07 | 2014-03-26 | 中国科学院计算机网络信息中心 | 一种dns递归服务器的查询请求服务方法 |
CN103856470A (zh) * | 2012-12-06 | 2014-06-11 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击检测方法及检测装置 |
CN103916379A (zh) * | 2013-12-04 | 2014-07-09 | 哈尔滨安天科技股份有限公司 | 一种基于高频统计的cc攻击识别方法及系统 |
CN105282152A (zh) * | 2015-09-28 | 2016-01-27 | 广东睿江科技有限公司 | 一种异常流量检测的方法 |
CN105592055A (zh) * | 2015-09-18 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种用于tcp syn flood的防攻击方法和装置 |
CN105939342A (zh) * | 2016-03-31 | 2016-09-14 | 杭州迪普科技有限公司 | Http攻击检测方法及装置 |
CN105959300A (zh) * | 2016-06-24 | 2016-09-21 | 杭州迪普科技有限公司 | 一种DDoS攻击防护的方法及装置 |
CN105978890A (zh) * | 2016-06-23 | 2016-09-28 | 贵州白山云科技有限公司 | Syn攻击域名定位方法和装置 |
CN106101088A (zh) * | 2016-06-04 | 2016-11-09 | 北京兰云科技有限公司 | 清洗设备、检测设备、路由设备和防范dns攻击的方法 |
CN106656967A (zh) * | 2016-10-09 | 2017-05-10 | 广东睿江云计算股份有限公司 | 一种udp flood攻击的清洗方法及系统 |
CN107707512A (zh) * | 2016-11-17 | 2018-02-16 | 杭州迪普科技股份有限公司 | 一种报文的防护方法及装置 |
CN107958165A (zh) * | 2016-10-18 | 2018-04-24 | 国民技术股份有限公司 | 一种抗攻击系统、方法以及电子设备 |
CN109104437A (zh) * | 2018-10-22 | 2018-12-28 | 盛科网络(苏州)有限公司 | 路由域、用于在路由域中处理ip报文的方法和装置 |
CN109672545A (zh) * | 2017-10-16 | 2019-04-23 | 中兴通讯股份有限公司 | 一种处理链路检测报文的方法、装置、设备及存储介质 |
CN110035041A (zh) * | 2018-01-12 | 2019-07-19 | 华为技术有限公司 | 一种识别应用攻击源的方法和设备 |
CN110392034A (zh) * | 2018-09-28 | 2019-10-29 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
CN110430103A (zh) * | 2019-09-18 | 2019-11-08 | 光大兴陇信托有限责任公司 | 一种报文监测方法 |
CN113098878A (zh) * | 2021-04-06 | 2021-07-09 | 哈尔滨工业大学(威海) | 一种基于支持向量机的工业互联网入侵检测方法及实现系统 |
CN113596050A (zh) * | 2021-08-04 | 2021-11-02 | 四川英得赛克科技有限公司 | 异常流量的分离过滤方法、系统、存储介质及电子设备 |
WO2022100707A1 (zh) * | 2020-11-13 | 2022-05-19 | 华为技术有限公司 | 一种确定数据流信息的方法、装置及系统 |
CN114760216A (zh) * | 2022-04-12 | 2022-07-15 | 国家计算机网络与信息安全管理中心 | 一种扫描探测事件确定方法、装置及电子设备 |
CN114760163A (zh) * | 2022-04-22 | 2022-07-15 | 惠州华阳通用电子有限公司 | 一种can通信方法 |
CN115396314A (zh) * | 2022-08-26 | 2022-11-25 | 湖北天融信网络安全技术有限公司 | 获得防护策略集合、报文检测的方法、装置、系统及介质 |
WO2022267490A1 (zh) * | 2021-06-23 | 2022-12-29 | 华为技术有限公司 | 攻击识别方法、装置及系统、计算机可读存储介质 |
CN116866055A (zh) * | 2023-07-26 | 2023-10-10 | 中科驭数(北京)科技有限公司 | 数据泛洪攻击的防御方法、装置、设备及介质 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1322711C (zh) * | 2004-05-14 | 2007-06-20 | 清华大学 | 因特网蠕虫病毒的早期预警方法 |
JP4313266B2 (ja) * | 2004-07-29 | 2009-08-12 | 株式会社エヌ・ティ・ティ・ドコモ | サーバ装置、その制御方法およびコネクション確立方法 |
US7609625B2 (en) * | 2005-07-06 | 2009-10-27 | Fortinet, Inc. | Systems and methods for detecting and preventing flooding attacks in a network environment |
CN101267313B (zh) * | 2008-04-23 | 2010-10-27 | 成都市华为赛门铁克科技有限公司 | 泛洪攻击检测方法及检测装置 |
CN101282209A (zh) * | 2008-05-13 | 2008-10-08 | 杭州华三通信技术有限公司 | 防范dns请求报文泛洪攻击的方法及设备 |
-
2009
- 2009-03-18 CN CN200910080444XA patent/CN101505218B/zh not_active Expired - Fee Related
Cited By (49)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101997859B (zh) * | 2009-08-28 | 2014-10-08 | 国际商业机器公司 | 识别tcp流中的数据包的载荷的方法和设备 |
CN101997859A (zh) * | 2009-08-28 | 2011-03-30 | 国际商业机器公司 | 识别tcp流中的数据包的载荷的方法和设备 |
US8526318B2 (en) | 2009-08-28 | 2013-09-03 | International Business Machines Corporation | Method and device of identifying the payload of a data packet in a TCP stream |
CN101827081A (zh) * | 2010-02-09 | 2010-09-08 | 蓝盾信息安全技术股份有限公司 | 检测请求安全性的方法及系统 |
CN101827081B (zh) * | 2010-02-09 | 2013-04-24 | 蓝盾信息安全技术股份有限公司 | 检测请求安全性的方法及系统 |
CN101883038A (zh) * | 2010-06-30 | 2010-11-10 | 中兴通讯股份有限公司 | Eaps环网保护倒换的方法及eaps环网中的主节点 |
CN102510385A (zh) * | 2011-12-12 | 2012-06-20 | 汉柏科技有限公司 | 防ip数据报分片攻击的方法 |
CN103685168A (zh) * | 2012-09-07 | 2014-03-26 | 中国科学院计算机网络信息中心 | 一种dns递归服务器的查询请求服务方法 |
CN103856470A (zh) * | 2012-12-06 | 2014-06-11 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击检测方法及检测装置 |
CN103856470B (zh) * | 2012-12-06 | 2018-06-19 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击检测方法及检测装置 |
CN103916379A (zh) * | 2013-12-04 | 2014-07-09 | 哈尔滨安天科技股份有限公司 | 一种基于高频统计的cc攻击识别方法及系统 |
CN103916379B (zh) * | 2013-12-04 | 2017-07-18 | 哈尔滨安天科技股份有限公司 | 一种基于高频统计的cc攻击识别方法及系统 |
CN105592055A (zh) * | 2015-09-18 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种用于tcp syn flood的防攻击方法和装置 |
CN105282152A (zh) * | 2015-09-28 | 2016-01-27 | 广东睿江科技有限公司 | 一种异常流量检测的方法 |
CN105282152B (zh) * | 2015-09-28 | 2018-08-28 | 广东睿江云计算股份有限公司 | 一种异常流量检测的方法 |
CN105939342A (zh) * | 2016-03-31 | 2016-09-14 | 杭州迪普科技有限公司 | Http攻击检测方法及装置 |
CN106101088A (zh) * | 2016-06-04 | 2016-11-09 | 北京兰云科技有限公司 | 清洗设备、检测设备、路由设备和防范dns攻击的方法 |
CN106101088B (zh) * | 2016-06-04 | 2019-05-24 | 北京兰云科技有限公司 | 清洗设备、检测设备、路由设备和防范dns攻击的方法 |
CN105978890A (zh) * | 2016-06-23 | 2016-09-28 | 贵州白山云科技有限公司 | Syn攻击域名定位方法和装置 |
CN105978890B (zh) * | 2016-06-23 | 2019-03-29 | 贵州白山云科技股份有限公司 | Syn攻击域名定位方法和装置 |
CN105959300A (zh) * | 2016-06-24 | 2016-09-21 | 杭州迪普科技有限公司 | 一种DDoS攻击防护的方法及装置 |
CN105959300B (zh) * | 2016-06-24 | 2019-09-17 | 杭州迪普科技股份有限公司 | 一种DDoS攻击防护的方法及装置 |
CN106656967A (zh) * | 2016-10-09 | 2017-05-10 | 广东睿江云计算股份有限公司 | 一种udp flood攻击的清洗方法及系统 |
CN106656967B (zh) * | 2016-10-09 | 2019-11-19 | 广东睿江云计算股份有限公司 | 一种udp flood攻击的清洗方法及系统 |
CN107958165A (zh) * | 2016-10-18 | 2018-04-24 | 国民技术股份有限公司 | 一种抗攻击系统、方法以及电子设备 |
CN107707512A (zh) * | 2016-11-17 | 2018-02-16 | 杭州迪普科技股份有限公司 | 一种报文的防护方法及装置 |
CN107707512B (zh) * | 2016-11-17 | 2020-04-03 | 杭州迪普科技股份有限公司 | 一种报文的防护方法及装置 |
CN109672545A (zh) * | 2017-10-16 | 2019-04-23 | 中兴通讯股份有限公司 | 一种处理链路检测报文的方法、装置、设备及存储介质 |
CN109672545B (zh) * | 2017-10-16 | 2022-04-15 | 中兴通讯股份有限公司 | 一种处理链路检测报文的方法、装置、设备及存储介质 |
CN110035041A (zh) * | 2018-01-12 | 2019-07-19 | 华为技术有限公司 | 一种识别应用攻击源的方法和设备 |
CN110035041B (zh) * | 2018-01-12 | 2020-11-17 | 华为技术有限公司 | 一种识别应用攻击源的方法和设备 |
US20220038426A1 (en) * | 2018-09-28 | 2022-02-03 | New H3C Security Technologies Co., Ltd. | Message Processing |
CN110392034A (zh) * | 2018-09-28 | 2019-10-29 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
CN109104437A (zh) * | 2018-10-22 | 2018-12-28 | 盛科网络(苏州)有限公司 | 路由域、用于在路由域中处理ip报文的方法和装置 |
CN110430103A (zh) * | 2019-09-18 | 2019-11-08 | 光大兴陇信托有限责任公司 | 一种报文监测方法 |
CN110430103B (zh) * | 2019-09-18 | 2020-06-05 | 光大兴陇信托有限责任公司 | 一种报文监测方法 |
WO2022100707A1 (zh) * | 2020-11-13 | 2022-05-19 | 华为技术有限公司 | 一种确定数据流信息的方法、装置及系统 |
CN113098878A (zh) * | 2021-04-06 | 2021-07-09 | 哈尔滨工业大学(威海) | 一种基于支持向量机的工业互联网入侵检测方法及实现系统 |
CN113098878B (zh) * | 2021-04-06 | 2022-12-30 | 哈尔滨工业大学(威海) | 一种基于支持向量机的工业互联网入侵检测方法及实现系统 |
WO2022267490A1 (zh) * | 2021-06-23 | 2022-12-29 | 华为技术有限公司 | 攻击识别方法、装置及系统、计算机可读存储介质 |
CN113596050A (zh) * | 2021-08-04 | 2021-11-02 | 四川英得赛克科技有限公司 | 异常流量的分离过滤方法、系统、存储介质及电子设备 |
CN114760216A (zh) * | 2022-04-12 | 2022-07-15 | 国家计算机网络与信息安全管理中心 | 一种扫描探测事件确定方法、装置及电子设备 |
CN114760216B (zh) * | 2022-04-12 | 2023-12-05 | 国家计算机网络与信息安全管理中心 | 一种扫描探测事件确定方法、装置及电子设备 |
CN114760163A (zh) * | 2022-04-22 | 2022-07-15 | 惠州华阳通用电子有限公司 | 一种can通信方法 |
CN114760163B (zh) * | 2022-04-22 | 2024-01-12 | 惠州华阳通用电子有限公司 | 一种can通信方法 |
CN115396314A (zh) * | 2022-08-26 | 2022-11-25 | 湖北天融信网络安全技术有限公司 | 获得防护策略集合、报文检测的方法、装置、系统及介质 |
CN115396314B (zh) * | 2022-08-26 | 2024-04-26 | 湖北天融信网络安全技术有限公司 | 获得防护策略集合、报文检测的方法、装置、系统及介质 |
CN116866055A (zh) * | 2023-07-26 | 2023-10-10 | 中科驭数(北京)科技有限公司 | 数据泛洪攻击的防御方法、装置、设备及介质 |
CN116866055B (zh) * | 2023-07-26 | 2024-02-27 | 中科驭数(北京)科技有限公司 | 数据泛洪攻击的防御方法、装置、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN101505218B (zh) | 2012-04-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101505218B (zh) | 攻击报文的检测方法和装置 | |
CN108282497B (zh) | 针对SDN控制平面的DDoS攻击检测方法 | |
US9065847B2 (en) | Systems and methods for detecting and preventing flooding attacks in a network environment | |
US20140189867A1 (en) | DDoS ATTACK PROCESSING APPARATUS AND METHOD IN OPENFLOW SWITCH | |
US9009830B2 (en) | Inline intrusion detection | |
US8634717B2 (en) | DDoS attack detection and defense apparatus and method using packet data | |
US20130074183A1 (en) | Method and apparatus for defending distributed denial-of-service (ddos) attack through abnormally terminated session | |
US20060045017A1 (en) | Network-quality determining method and apparatus for use therewith | |
CN101465855B (zh) | 一种同步泛洪攻击的过滤方法及系统 | |
CN109922072B (zh) | 一种分布式拒绝服务攻击检测方法及装置 | |
CN1492328A (zh) | 用于检测tcp syn洪水式攻击的统计方法 | |
CN102833263B (zh) | 入侵检测和防护的方法及设备 | |
CN102882881A (zh) | 针对dns服务的拒绝服务攻击的数据过滤方法 | |
CN108600003A (zh) | 一种面向视频监控网络的入侵检测方法、装置及系统 | |
CN105337957A (zh) | 一种SDN网络DDoS和DLDoS分布式时空检测系统 | |
CN106357660A (zh) | 一种ddos防御系统中检测伪造源ip的方法和装置 | |
CN106534068A (zh) | 一种ddos防御系统中清洗伪造源ip的方法和装置 | |
CN106657126A (zh) | 检测及防御DDoS攻击的装置及方法 | |
US20210234871A1 (en) | Infection-spreading attack detection system and method, and program | |
KR101424504B1 (ko) | 포지티브 방식을 이용한 통합보안관제시스템 | |
CN114268458A (zh) | 一种终端公网安全通信用安全防护模块的防护方法 | |
JP2010263432A (ja) | パケットロス頻度推定システム、パケットロス頻度推定方法およびプログラム | |
US9742699B2 (en) | Network apparatus and selective information monitoring method using the same | |
RU2264649C1 (ru) | Способ обнаружения удаленных атак на автоматизированные системы управления | |
CN117294538B (zh) | 一种数据安全风险行为的旁路检测与阻断方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120418 Termination date: 20200318 |