CN101594269B - 一种异常连接的检测方法、装置及网关设备 - Google Patents
一种异常连接的检测方法、装置及网关设备 Download PDFInfo
- Publication number
- CN101594269B CN101594269B CN200910151032.0A CN200910151032A CN101594269B CN 101594269 B CN101594269 B CN 101594269B CN 200910151032 A CN200910151032 A CN 200910151032A CN 101594269 B CN101594269 B CN 101594269B
- Authority
- CN
- China
- Prior art keywords
- client
- connection
- address information
- data packet
- tcp connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 106
- 238000000034 method Methods 0.000 title claims abstract description 53
- 238000001514 detection method Methods 0.000 claims description 72
- 238000012795 verification Methods 0.000 claims description 60
- 230000032683 aging Effects 0.000 description 8
- 230000004044 response Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/40—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种异常连接的检测方法、装置及网关设备。方法包括:接收客户端发送的连接请求消息;与所述客户端建立TCP连接;当在设定时间内未接收到所述客户端发送的数据包时,识别所述TCP连接为异常连接;当在设定时间内接收到所述客户端发送的数据包时,则根据协议报文对所述数据包进行验证,如果验证成功则识别所述TCP连接为正常连接,如果验证失败则识别所述TCP连接为异常连接。本发明实施例的技术方案中当客户端向服务器发起全连接攻击时,能够识别出与该客户端建立的TCP连接为异常连接,从而提高了检测全连接攻击的准确率。
Description
技术领域
本发明涉及信息安全领域,特别涉及一种异常连接的检测方法、装置及网关设备。
背景技术
分布式拒绝服务(Distributed Denial of Service,简称:DDOS)攻击就是利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令。DDOS攻击中的TCP全连接攻击是通过许多僵尸主机不断地与服务器建立大量的TCP连接,直到服务器的连接、内存等资源被耗尽,从而造成服务器拒绝服务,使服务器无法处理合法用户的指令。TCP全连接攻击的特点是可以绕过一般防火墙的防护而达到攻击的目的。对于通常的网络服务系统,能接受的TCP连接数是有限的,当遭受TCP全连接攻击时,会导致网站访问非常缓慢甚至无法访问。
为实现对全连接攻击的检测,现有技术采用的是连接数阈值判断法。通常防火墙或DDOS检测设备会检测被保护服务器的连接总数,如果检测出连接总数大于连接数阈值,则认为存在TCP连接异常,即存在全连接攻击。具体做法是防火墙或DDOS检测设备中的连接检查模块会对需要防范的流量中的TCP连接进行检测,统计TCP连接三次握手完成后的握手成功报文的数量,并在设定的时间段到达后得出统计值,当统计值大于连接数阈值时识别出TCP连接为异常连接,即存在全连接攻击。
发明人在实现本发明的过程中,发现由于正常访问流量会随时间段的不同而发生变化,正常访问流量增大时,流量中的TCP连接的数量也会随之增加,当一定时间段内流量中的TCP连接的数量超过连接数阈值时,正常的TCP连接会被识别为异常连接,即被判定为全连接攻击,从而产生对全连接攻击的误报。
发明内容
本发明的目的是提供一种异常连接的检测方法、装置及网关设备,可以提高检测全连接攻击的准确率。
本发明实施例提供了一种异常连接的检测方法,包括:
接收客户端发送的连接请求消息;
与所述客户端建立TCP连接;
当在设定时间内未接收到所述客户端发送的数据包时,识别所述TCP连接为异常连接;
当在设定时间内接收到所述客户端发送的数据包时,则根据协议报文对所述数据包进行验证,如果验证成功则识别所述TCP连接为正常连接,如果验证失败则识别所述TCP连接为异常连接。
本发明实施例还提供了一种异常连接的检测装置,包括:
收发模块,用于接收客户端发送的连接请求消息,并与所述客户端建立TCP连接;
检测模块,用于检测在设定时间内是否接收到所述客户端发送的数据包;
验证模块,用于当所述检测模块的检测结果为在设定时间内接收到所述客户端发送的数据包时,根据协议报文对所述数据包进行验证;
识别模块,用于当所述检测模块的检测结果为在设定时间内未接收到所述客户端发送的数据包时,识别所述TCP连接为异常连接,当所述验证模块对所述数据包验证成功时识别所述TCP连接为正常连接、或者当所述验证模块对所述数据包验证失败时识别所述TCP连接为异常连接。
本发明实施例提供了一种网关设备,包括上述异常连接的检测装置。
本发明实施例的技术方案中,在设定时间内检测是否接收到客户端发送的数据包,并根据协议报文对在设定时间内接收的数据包进行验证,当该客户端向服务器发起全连接攻击时,能够识别出与该客户端建立的TCP连接为异常连接,从而提高了检测全连接攻击的准确率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的异常连接的检测方法的流程图;
图2为本发明实施例二提供的异常连接的检测方法的流程图;
图3为本发明实施例三提供的异常连接的检测方法的流程图;
图4为本发明实施例四提供的异常连接的检测方法的流程图;
图5为本发明实施例五提供的异常连接的检测方法的流程图;
图6为本发明实施例六提供的异常连接的检测方法的流程图;
图7为本发明实施例七提供的异常连接的检测装置的结构示意图;
图8为本发明实施例八提供的异常连接的检测装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例一提供的异常连接的检测方法的流程图,如图1所示,该方法包括:
步骤101、接收客户端发送的连接请求消息;
具体地,连接请求消息可以为SYN消息,SYN(synchronize)消息是TCP/IP建立连接时使用的握手信号。
步骤102、与客户端建立TCP连接;
具体地,在接收到客户端发送的SYN消息后,向客户端返回SYN-ACK消息,客户端再发送ACK消息作为应答,从而完成建立TCP连接的过程。其中,SYN-ACK消息是对SYN消息的应答消息,而ACK消息是对SYN-ACK消息的响应消息。
本步骤中在接收到SYN消息后并未将该SYN消息转发给服务器,而是与客户端建立TCP连接。
步骤103、在设定时间内检测是否接收到客户端发送的数据包,如果是则执行步骤104,否则执行步骤106;
其中设定时间可以为预先设定的任意时间段。
步骤104、根据协议报文对所述数据包进行验证,如果验证成功则执行步骤105,如果验证失败则执行步骤106;
本实施例中协议报文根据实际应用的不同可以为http协议报文、ftp协议报文、ssh协议报文等。
具体地,可以验证数据包的内容与协议报文类型是否一致,如果数据包的内容与协议报文类型一致则验证成功,如果数据包的内容与协议报文类型不一致则验证失败。
步骤105、识别TCP连接为正常连接;
如果验证成功则认为接收的数据包是正常的数据包,该TCP连接为正常连接,即该客户端未对服务器进行全连接攻击。
步骤106、识别TCP连接为异常连接;
如果在设定时间内没有接收到任何数据包,则识别该TCP连接为异常连接,即该客户端对服务器进行全连接攻击。
本实施例的技术方案中,在设定时间内检测是否接收到客户端发送的数据包,并根据协议报文对在设定时间内接收的数据包进行验证,当该客户端向服务器发起全连接攻击时,能够识别出与该客户端建立的TCP连接为异常连接,从而提高了检测全连接攻击的准确率。
图2为本发明实施例二提供的异常连接的检测方法的流程图,如图2所示,该方法包括:
步骤201、接收客户端发送的连接请求消息,该连接请求消息中携带有客户端地址信息;
本实施例中的各步骤可以由异常连接的检测装置执行,具体的,当客户端向服务器发送连接请求消息时,异常连接的检测装置接收该连接请求消息。
步骤202、判断设置的记录表中是否包括客户端地址信息,如果是则执行步骤208,否则执行步骤203;
记录表中存储有可信的客户端地址信息和不可信的(或恶意的)客户端地址信息,可信的客户端地址信息为通过验证的客户端地址信息,不可信的客户端地址信息为未通过验证的客户端地址信息。在实际应用中记录表中可以包括白名单和黑名单,白名单中存储有可信的客户端地址信息,黑名单中存储有恶意的客户端地址信息。
步骤203、与客户端建立TCP连接;
具体的,即异常连接的检测装置接收到客户端发送的连接请求消息后,如果根据设置的记录表,判断该连接请求消息中携带的客户端地址信息为陌生的地址信息,则该检测装置代替服务器与客户端建立TCP连接。
步骤204、在设定时间内检测是否接收到客户端发送的数据包,如果是则执行步骤205,否则执行步骤207;
具体的,在正常连接的情况下,在异常连接的检测装置与客户端建立TCP连接后,客户端会向异常连接的检测装置发送数据包,因此,异常连接的检测装置可以通过检测是否在设定时间内检测是否接收到客户端发送的数据包初步判断该TCP连接是否为异常连接。
步骤205、根据协议报文对数据包进行验证,如果验证成功则执行步骤206,如果验证失败则执行步骤207;
具体地,根据协议报文对数据包进行验证具体可以为验证数据包的内容与协议报文是否一致,如果数据包的内容与协议报文一致则验证成功,如果数据包的内容与协议报文不一致则验证失败。
步骤206、识别TCP连接为正常连接,将客户端地址信息存储于设置的记录表中,断开与客户端建立的TCP连接,流程结束。
具体地,将客户端地址信息存储于记录表中的可信的客户端地址信息中。
步骤207、识别TCP连接为异常连接,将客户端地址信息存储于设置的记录表中,丢弃TCP连接,流程结束。
具体地,将客户端地址信息存储于记录表中的恶意的客户端地址信息中。
步骤208、允许或者拒绝客户端与服务器建立TCP连接,流程结束。
具体地,当判断出可信的客户端地址信息中包括该客户端地址信息即该客户端地址信息为可信的客户端地址信息时,允许客户端与服务器建立TCP连接,此时异常连接的检测装置将客户端发送的连接请求消息转发给服务器,使客户端与服务器建立TCP连接;当判断出恶意的客户端地址信息中包括该客户端地址信息即该客户端地址信息为恶意的客户端地址信息时,拒绝客户端与服务器建立TCP连接,此时异常连接的检测装置拒绝客户端的连接请求,从而保护服务器免受TCP全连接攻击。
本实施例的技术方案中,在设定时间内检测是否接收到客户端发送的数据包,并根据协议报文对在设定时间内接收的数据包进行验证,当该客户端向服务器发起全连接攻击时,能够及时识别出与该客户端建立的TCP连接为异常连接,从而提高了检测全连接攻击的准确率和实时性。
图3为本发明实施例三提供的异常连接的检测方法的流程图,如图3所示,该方法包括:
步骤301、接收客户端发送的连接请求消息,该连接请求消息中携带端口信息和客户端地址信息;
本实施例中各步骤可以由异常连接的检测装置来执行;
其中,根据应用协议的不同,端口信息可以为HTTPS端口等,并且该端口信息可以采用默认端口信息,也可以采用用户自定义的端口信息;客户端地址信息可以为客户端的IP地址信息。
步骤302、从连接请求消息携带的端口信息中解析出协议类型;
例如,异常连接的检测装置根据端口信息检测该端口为HTTPS端口,从而可以解析出该数据包为HTTPS协议类型的数据包,HTTPS协议是由SSL与HTTP协议一起构建的可进行加密传输、身份认证的网络协议。SSL是一个在客户机和具有SSL功能的服务器之间的安全连接中对数据进行加密和解密的协议。
步骤303、查询预先配置的待检测的协议类型中是否包括识别出的协议类型,如果是则执行步骤304,否则执行步骤313;
具体的,由于预先配置的待检测的协议类型可以包括一种或者多种协议,因此,可以查询识别出的所述数据包的协议类型是否属于待检测的范围。
步骤304、判断设置的白名单和黑名单中是否包括客户端地址信息,如果白名单和黑名单中不包括该客户端地址信息,则执行步骤305;如果白名单中包括客户端地址信息则执行步骤313;如果黑名单中包括客户端地址信息则执行步骤314;
具体的,为提高检测质量,可以同时设置白名单和黑名单。白名单中设置的客户端地址信息为允许通过的客户端地址信息,黑名单中设置的客户端地址信息为拒绝通过的客户端地址信息。当然,本领域技术人员可以知道,同时设置白名单和黑名单只是一种较佳的实现方式,也可以只设置白名单或只设置黑名单。
步骤305、与客户端建立TCP连接,进入步骤306;
步骤306、在设定时间内检测是否接收到客户端发送的数据包,如果是则执行步骤307,否则执行步骤310;
步骤307、根据协议报文对所述数据包进行验证,如果验证成功则执行步骤308;如果验证失败则执行步骤310;
具体的,可以验证数据包的内容与协议报文是否一致,如果数据包的内容与协议报文一致则验证成功,如果数据包的内容与协议报文不一致则验证失败。
步骤308、识别TCP连接为正常连接,进入步骤309;
步骤309、将客户端地址信息加入白名单,并向客户端发送断开连接消息,流程结束。
其中,断开连接消息可以为RST消息。
步骤310、识别TCP连接为异常连接,进入步骤311;
步骤311、丢弃TCP连接,释放TCP连接占用的资源,进入步骤312;
步骤312、将客户端地址信息加入黑名单,流程结束。
步骤313、允许客户端与服务器建立TCP连接,流程结束。
步骤314、拒绝客户端与服务器建立TCP连接,流程结束。
可以理解的是,本实施例中,当识别出TCP连接为异常连接后,可以先执行步骤312将客户端地址信息加入黑名单,再执行步骤311丢弃TCP连接,并释放TCP连接占用的资源。
本实施例中,当识别出TCP连接为异常连接后,还可以仅执行步骤311、丢弃TCP连接,并释放TCP连接占用的资源,而不执行步骤312,即不将客户端地址信息加入黑名单;或者,本实施例中,还可以仅设置白名单而不设置黑名单,这样当执行步骤311之后,不用执行步骤312中的将客户端地址信息加入黑名单的步骤。这样,当该客户端再次请求建立TCP连接时,需要执行本实施例中的各步骤以识别出该客户端的TCP连接为异常连接。此种情况中,异常连接的检测装置需要不断地与客户端建立TCP连接,并重复执行检测出该TCP连接为异常连接的过程。实际上,此种情况为异常连接的检测装置代替服务器承受客户端发起全连接攻击的情况。
本实施例的技术方案中,在设定时间内检测是否接收到客户端发送的数据包,并根据协议报文对在设定时间内接收的数据包进行验证,当该客户端向服务器发起全连接攻击时,能够及时识别出与该客户端建立的TCP连接为异常连接,从而提高了检测全连接攻击的准确率和实时性。
图4为本发明实施例四提供的异常连接的检测方法的流程图,本实施例主要应用于协议类型为FTPS协议的情况,如图4所示,该方法包括:
步骤401、接收客户端发送的连接请求消息,该连接请求消息中携带端口信息和客户端地址信息;
本实施例中各步骤可以由异常连接的检测装置来执行。
步骤402、从连接请求消息携带的端口信息中解析出协议类型;
具体的,在本实施例中,该协议类型为FTPS协议类型。FTPS是在安全套接层使用标准的FTP协议和指令的一种增强型TFP协议,为FTP协议和数据通道增加了SSL安全功能。FTPS也称作“FTP-SSL”和“FTP-over-SSL”。
步骤403、查询预先配置的协议类型中是否包括识别出的协议类型,如果是则执行步骤404,否则执行步骤415;
步骤404、判断设置的白名单和黑名单中是否包括客户端地址信息,如果白名单和黑名单中都不包括该客户端地址信息,则执行步骤405;如果白名单中包括客户端地址信息则执行步骤415;如果黑名单中包括客户端地址信息则执行步骤416;
步骤405、与客户端建立TCP连接;
步骤406、在静默时间内检测是否接收到客户端发送的数据包,如果是则执行步骤412,否则执行步骤407;
静默时间可以为任意设置的时间。在FTPS协议类型下,在与客户端建立TCP连接后,在设置的静默时间内,正常情况下客户端不会主动向异常连接的检测装置发送任何数据包,因此,本步骤中通过在静默时间内检测是否接收到客户端发送的数据包也可以判断发送该数据包的客户端是否为可信的客户端。
步骤407、向客户端发送版本数据包,进入步骤408;
具体的,在FTPS协议类型下,在设置的静默时间内,客户端不会向对端设备(与客户端建立TCP连接的对端设备)发送数据包,只在收到对端设备发送的版本数据包后才会根据该版本数据包向对端设备发送数据包。本实施例中如果客户端需要向异常连接的检测装置发送数据包,则需要先收到异常连接的检测装置发送的FTPS版本数据包。
步骤408、在设定时间内检测是否接收到客户端发送的数据包,如果是则执行步骤409;如果否则执行步骤412;
具体的,当异常连接的检测装置向客户端发送版本数据包后,在设定时间内检测是否接收到客户端发送的数据包,如果是则执行步骤409;如果否则执行步骤412。
步骤409、根据协议报文对所述数据包进行验证,如果验证成功则执行步骤410;如果验证失败则执行步骤412;
具体的,可以验证数据包的内容与协议报文是否一致,如果数据包的内容与协议报文一致则验证成功,如果数据包的内容与协议报文不一致则验证失败。
步骤410、识别TCP连接为正常连接,进入步骤411;
步骤411、将客户端地址信息加入白名单,并向客户端发送断开连接消息,流程结束。
其中,断开连接消息可以为RST消息。
步骤412、识别TCP连接为异常连接,进入步骤413;
步骤413、丢弃TCP连接,并释放TCP连接占用的资源,执行步骤414;
步骤414、将客户端地址信息加入黑名单,流程结束。
步骤415、允许客户端与服务器建立TCP连接,流程结束。
步骤416、拒绝客户端与服务器建立TCP连接,流程结束。
本实施例的技术方案中,在设定时间内检测是否接收到客户端发送的数据包,并根据协议报文对在设定时间内接收的数据包进行验证,当该客户端向服务器发起全连接攻击时,能够及时识别出与该客户端建立的TCP连接为异常连接,从而提高了检测全连接攻击的准确率和实时性。
下面通过一个具体的实施例对本发明异常连接的检测方法应用于HTTPS协议进行详细说明,HTTPS协议是由SSL与http协议一起构建的可进行加密传输、身份认证的网络协议。本实施例中客户端为HTTPS客户端,服务器为HTTPS服务器,本实施例中的流程描述的主要是对客户端发送的连接请求进行全连接攻击检测并检测出建立的TCP连接为正常连接的情况。本实施例中检测全连接攻击的过程可以由异常连接的检测装置来执行,该异常连接的检测装置可以单独部署,也可以设置于网关设备中,因此本实施例中以包括异常连接的检测装置的网关设备为例描述异常连接的检测方法。图5为本发明实施例五提供的异常连接的检测方法的流程图,如图5所示,包括:
步骤501、客户端向网关设备发送SYN消息,该SYN消息中携带HTTPS端口信息和HTTPS客户端的IP地址;
步骤502、网关设备从SYN消息携带的HTTPS端口信息解析出协议类型为HTTPS协议,并查询出预先配置的协议类型中包括HTTPS协议;
即识别出的HTTPS协议属于需要进行全连接攻击检测的范围。
其中HTTPS端口信息可以为默认的端口443,也可以采用用户自定义的端口信息。
步骤503、网关设备判断出设置的白名单和黑名单中均不包括客户端的IP地址信息;
步骤504、网关设备向HTTPS客户端发送SYN-ACK消息;
步骤505、HTTPS客户端向网关设备返回ACK消息;
从而HTTPS客户端与网关设备建立TCP连接。
步骤506、将HTTPS客户端的IP地址添加到老化表中,并设定老化时间,该老化时间即为设定时间;
步骤507、网关设备在老化时间内接收到HTTPS客户端发送的数据包;
步骤508、网关设备根据HTTPS协议报文对数据包进行验证并验证成功;
该HTTPS协议报文可以为HTTPS协议中的Hello消息。
网关设备可根据Hello消息对接收的数据包进行验证,如果数据包与Hello消息一致,则验证成功;如果数据包与Hello消息不一致,则验证失败。换言之,在验证成功的情况下,HTTPS客户端发送的数据包就是Hello消息
步骤509、网关设备识别出TCP连接为正常连接,将HTTPS客户端的地址信息加入白名单;
步骤510、网关设备向HTTPS客户端返回RST消息,以断开与HTTPS客户端的TCP连接;
步骤511、HTTPS客户端通过网关设备向HTTPS服务器发送SYN消息;
网关设备查询出白名单中包括SYN消息中携带的客户端的IP地址,则将SYN消息转发给HTTPS服务器。
步骤512、HTTPS服务器通过网关设备向HTTPS客户端发送SYN-ACK消息;
步骤513、HTTPS客户端向通过网关设备向HTTPS服务器返回ACK消息,从而与HTTPS服务器建立TCP连接;
步骤514、HTTPS客户端通过网关设备与HTTPS服务器进行HTTPS数据传输。
在本实施例中,如果网关设备根据HTTPS协议报文对数据包进行验证并验证失败,则识别出TCP连接为异常连接,并将客户端的IP地址加入黑名单,当该HTTPS客户端重新向HTTPS服务器发送SYN消息时,网关设备将拒绝HTTPS客户端与HTTPS服务器建立TCP连接。
下面通过一个具体的实施例对本发明异常连接的检测方法应用于FTPS协议进行详细说明,本实施例中客户端为FTPS客户端,服务器为FTPS服务器,本实施例中的流程描述的主要是对客户端发送的连接请求进行全连接攻击检测并检测出建立的TCP连接为正常连接的情况。本实施例中检测全连接攻击的过程可以由异常连接的检测装置来执行,该异常连接的检测装置可以单独部署,也可以设置于网关设备中,因此本实施例中以包括异常连接的检测装置的网关设备为例描述异常连接的检测方法。图6为本发明实施例六提供的异常连接的检测方法的流程图,如图6所示,包括:
步骤601、FTPS客户端向网关设备发送SYN消息,该SYN消息中携带FTPS端口信息和FTPS客户端的IP地址;
步骤602、网关设备从SYN消息携带的FTPS端口信息解析出协议类型为FTPS协议,并查询出预先配置的协议类型中包括FTPS协议;
即识别出的FTPS协议属于需要进行全连接攻击检测的范围。
其中FTPS端口信息可以为默认的端口21,也可以采用用户自定义的端口信息。
步骤603、网关设备判断出设置的白名单和黑名单中均不包括客户端的IP地址信息;
步骤604、网关设备向FTPS客户端发送SYN-ACK消息;
步骤605、FTPS客户端向网关设备返回ACK消息;
从而FTPS客户端与网关设备建立TCP连接。
步骤606、网关设备将FTPS客户端的IP地址添加到老化表中,并设定老化时间,该老化时间即为静默时间;
步骤607、网关设备在老化时间内检测出未接收到FTPS客户端发送的数据包;
步骤608、网关设备向FTPS客户端发送版本数据包ftp version;
ftp version为FTPS协议中的数据包;
步骤609、网关设备预先设置设定时间;
步骤610、网关设备在设定时间内接收到FTPS客户端发送的数据包;
步骤611、网关设备根据FTPS协议报文对数据包进行验证并验证成功;
该FTPS协议报文为FTPS协议中的USER Command消息;
网关设备可根据USER Command消息对接收的数据包进行验证,如果数据包与USER Command消息一致,则验证成功;如果数据包与USER Command消息不一致,则验证失败。换言之,在验证成功的情况下,FTPS客户端发送的数据包就是USER Command消息。
步骤612、网关设备识别出TCP连接为正常连接,将FTPS客户端的地址信息加入白名单;
步骤613、网关设备向FTPS客户端返回RST消息,以断开与HTTPS客户端的TCP连接;
步骤614、FTPS客户端通过网关设备向FTPS服务器发送SYN消息;
网关设备查询出白名单中包括SYN消息中携带的客户端的IP地址,则将SYN消息转发给FTPS服务器。
步骤615、FTPS服务器通过网关设备向FTPS客户端发送SYN-ACK消息;
步骤616、FTPS客户端向通过网关设备向FTPS服务器返回ACK消息,从而与FTPS服务器建立TCP连接;
步骤617、FTPS客户端通过网关设备与FTPS服务器进行FTPS数据传输。
在本实施例中,如果网关设备根据FTPS协议报文对数据包进行验证并验证失败,则识别出TCP连接为异常连接,并将客户端的IP地址加入黑名单,当该FTPS客户端重新向FTPS服务器发送SYN消息时,网关设备将拒绝FTPS客户端与FTPS服务器建立TCP连接。
本实施例中,如果网关设备在老化时间(也就是静默时间)检测出接收到FTPS客户端发送的数据包,则网关设备识别该TCP连接为异常连接,并将客户端的IP地址加入黑名单,当该FTPS客户端重新向FTPS服务器发送SYN消息时,网关设备将拒绝FTPS客户端与FTPS服务器建立TCP连接。
图7为本发明实施例七提供的异常连接的检测装置的结构示意图,如图7所示,异常连接的检测装置包括收发模块111、检测模块112、验证模块113和识别模块114,其中:
收发模块111,用于接收客户端发送的连接请求消息,并与该客户端建立TCP连接;
具体地,收发模块111接收客户端发送的连接请求消息后向客户端发送连接应答消息,并接收客户端返回的应答消息,与客户端建立TCP连接。其中连接请求消息可以为SYN消息、连接应答消息可以为SYN-ACK消息,应答消息可以为ACK消息。
检测模块112,用于在设定时间内检测是否接收到客户端发送的数据包;
具体地,检测模块112会将检测出接收到客户端发送的数据包的检测结果发送给验证模块113,或者将检测出未接收到客户端发送的数据包的检测结果发送给识别模块114。可以理解的是,客户端发送的数据包可以由收发模块111接收。
验证模块113,用于在检测模块112检测出接收到数据包时,根据协议报文对所接收的数据包进行验证;
具体地,验证模块113可以验证该数据包的内容与协议报文类型是否一致,如果数据包的内容与协议报文类型一致,则验证成功,如果数据包的内容与协议报文类型不一致,则验证失败。
识别模块114,用于当检测模块112检测的结果为未接收到数据包时识别TCP连接为异常连接,当在所述验证模块113对所述数据包验证成功时识别所述TCP连接为正常连接、或者在所述验证模块113对所述数据包验证失败时识别所述TCP连接为异常连接。
具体地,识别模块114可以根据检测模块112的检测结果识别TCP连接为异常连接。还可以根据验证模块113的验证结果识别所述TCP连接是否为异常连接,具体的,当验证模块113的验证结果为验证成功时识别TCP连接为正常连接,当验证模块113的验证结果为验证失败时识别TCP连接为异常连接。
本实施例的技术方案中,异常连接的检测装置可以在设定时间内检测是否接收到客户端发送的数据包,并根据协议报文对在设定时间内接收的数据包进行验证,当该客户端向服务器发起全连接攻击时,异常连接的检测装置能够识别出与该客户端建立的TCP连接为异常连接,从而提高了检测全连接攻击的准确率。
图8为本发明实施例八提供的异常连接的检测装置的结构示意图,如图8所示,本实施例中的异常连接的检测装置在图7中实施例的基础上增设了判断模块115、第一处理模块116和第二处理模块117,具体的,在本发明实施例中,收发模块111包括第一收发子模块1111和第二收发子模块1112,判断模块115包括第一判断子模块1151和第二判断子模块1152,其中:
第一收发子模块1111,用于接收客户端发送的连接请求消息,该连接请求消息携带有客户端端口号信息和客户端地址信息;
第一判断子模块1151,用于根据设置的记录表判断待检测的协议类型中是否包括所述连接请求消息的协议类型,如果是,则触发第二判断子模块1152,否则触发第一处理模块116;
具体的,所述连接请求消息的协议类型可以通过解析所述连接请求消息中携带的客户端端口号信息得到。该设置的记录表中包含有待检测的协议类型信息、可信的客户端地址信息以及不可信的客户端地址信息。
第二判断子模块1152,用于根据设置的记录表中的地址信息判断是否包括所述客户端地址信息,如果是则触发第一处理模块116,否则触发第二收发模块1112;
具体的,记录表中存储有可信的客户端地址信息和不可信的(或恶意的)客户端地址信息,可信的客户端地址信息为通过验证的客户端地址信息,不可信的客户端地址信息为未通过验证的客户端地址信息。在实际应用中记录表中可以包括白名单和/或黑名单,白名单中存储的是可信的客户端地址信息,黑名单中存储的是恶意的客户端地址信息。
第二收发模块1112,用于与所述客户端建立TCP连接,并触发检测模块113;
也就是说,此时,由该异常连接的检测装置代替服务器与所述客户端建立TCP连接,从而启动对该客户端的验证过程。
检测模块112,用于检测在设定时间内是否接收到客户端发送的数据包,如果是,则触发验证模块113,否则触发识别模块114;
具体的,在正常连接的情况下,在异常连接的检测装置与客户端建立TCP连接后,客户端会向异常连接的检测装置发送数据包,因此,检测模块112可以通过在设定时间内检测是否接收到客户端发送的数据包初步判断该TCP连接是否为异常连接。
验证模块113,用于根据协议报文对客户端在设定时间内发送的数据包进行验证;
具体的,根据协议报文对数据包进行验证具体可以为验证数据包的内容与协议报文是否一致,如果数据包的内容与协议报文一致则验证成功,如果数据包的内容与协议报文不一致则验证失败。
识别模块114,用于验证模块113的验证结果以及检测模块112的检测结果识别所述TCP连接是否为异常连接,并触发第二处理模块117;
具体的,当检测结果112结果为在设定时间内未接收到客户端发送的数据包时,识别该TCP连接为异常连接;当验证模块113的验证结果为验证失败时,识别该TCP连接为异常连接;当验证模块113的验证结果为验证成功时,识别该TCP连接为正常连接。
第一处理模块116,用于根据第一判断子模块1151的判断结果和第二判断子模块1152的判断结果对该连接请求消息进行相应处理;
具体的,当第一判断子模块1151根据设置的记录表判断该数据包的协议类型不是待检测的协议类型时,将该连接请求消息发送给服务器,使服务器与客户端建立TCP连接;当第二判断子模块1152根据设置的记录表判断出该客户端地址信息为可信的客户端地址信息时,将该连接请求消息发送给服务器,使服务器与客户端建立TCP连接;当第二判断子模块1152根据设置的记录表判断出该客户端地址信息为可信的客户端地址信息时,拒绝该客户端的连接请求消息。
第二处理模块117,用于当识别模块114识别出该TCP连接为正常连接时,将该客户端地址信息存储于设置的记录表中,并断开该TCP连接;当识别模块114识别出该TCP连接为异常连接时,将该客户端地址信息存储于设置的记录表中,并丢弃该TCP连接。
具体的,当识别出该TCP连接为正常连接时,可以向客户端返回RST消息,拒绝客户端的TCP连接;当识别出该TCP连接为异常连接时,丢弃该TCP连接,从而使服务器免受该客户端的全连接攻击。
可以理解的是,判断模块115中也可以只包括第二判断子模块1152,第一处理模块116和第二处理模块117可以是一个模块。
可以理解的是,对于ftp类型数据包,进一步地,检测模块112还可以在静默时间内检测是否接收到客户端发送的数据包,并将在静默时间内接收到数据包的检测结果发送给识别模块114,由识别模块114识别该TCP连接为异常连接;或者检测模块112将在静默时间内未接收到数据包的检测结果发送给收发模块111,由收发模块111向客户端发送版本数据包,并由检测模块112在设定时间内检测是否接收到客户端发送的数据包。
本实施例的技术方案中,异常连接的检测装置可以在设定时间内检测是否接收到客户端发送的数据包,并根据协议报文对在设定时间内接收的数据包进行验证,当该客户端向服务器发起全连接攻击时,异常连接的检测装置能够识别出与该客户端建立的TCP连接为异常连接,从而提高了检测全连接攻击的准确率。
本发明实施例的技术方案可应用于对多种协议类型的全连接攻击进行检测,包括HTTP、HTTPS、FTP、FTPS或者SSH等协议类型。
需要说明的是,本发明实施例中的异常连接的检测装置可单独设置,也可设置于各种网关设备中,例如防火墙、抗DDOS设备、统一威胁管理(UnifiedThreat Management,简称:UTM)设备或者入侵防御系统(IntrusionPrevention System,简称:IPS)设备等,具体不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
最后应说明的是:以上实施例仅用以说明本发明的技术方案而非对其进行限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对本发明的技术方案进行修改或者等同替换,而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。
Claims (8)
1.一种异常连接的检测方法,其特征在于,包括:
接收客户端发送的连接请求消息;
与所述客户端建立TCP连接;
当在设定时间内未接收到所述客户端发送的数据包时,识别所述TCP连接为异常连接;
当在设定时间内接收到所述客户端发送的数据包时,则根据协议报文对所述数据包进行验证,如果验证成功则识别所述TCP连接为正常连接,如果验证失败则识别所述TCP连接为异常连接。
2.根据权利要求1所述的方法,其特征在于,所述根据协议报文对所述数据包进行验证包括:
验证所述数据包的内容与所述协议报文是否一致,如果一致则验证成功,否则验证失败。
3.根据权利要求1所述的方法,其特征在于,所述连接请求消息携带客户端地址信息;
则所述接收客户端发送的连接请求消息之后还包括:
判断设置的记录表中是否包括所述客户端地址信息;
当所述记录表中未包括所述客户端地址信息时,执行所述与所述客户端建立TCP连接的步骤;或者,
当所述记录表中包括所述客户端地址信息时,则,如果根据所述记录表判断所述客户端地址信息为可信的客户端地址信息,则将所述客户端的连接请求消息发送给服务器,使所述客户端与服务器建立TCP连接;如果根据所述记录表判断所述客户端地址信息为不可信的客户端地址信息,则拒绝所述客户端的连接请求。
4.根据权利要求3所述的方法,其特征在于,还包括:
当识别所述TCP连接为异常连接时,将所述客户端地址信息存储于所述 记录表中,丢弃所述TCP连接;
当识别所述TCP连接为正常连接时,将所述客户端地址信息存储于所述记录表中,断开与所述客户端建立的TCP连接。
5.一种异常连接的检测装置,其特征在于,包括:
收发模块,用于接收客户端发送的连接请求消息,并与所述客户端建立TCP连接;
检测模块,用于检测在设定时间内是否接收到所述客户端发送的数据包;
验证模块,用于当所述检测模块的检测结果为在设定时间内接收到所述客户端发送的数据包时,根据协议报文对所述数据包进行验证;
识别模块,用于当所述检测模块的检测结果为在设定时间内未接收到所述客户端发送的数据包时,识别所述TCP连接为异常连接,当所述验证模块对所述数据包验证成功时识别所述TCP连接为正常连接、或者当所述验证模块对所述数据包验证失败时识别所述TCP连接为异常连接。
6.根据权利要求5所述的装置,其特征在于,还包括判断模块;所述收发模块包括第一收发子模块和第二收发子模块;
所述第一收发子模块,用于接收所述连接请求消息,所述连接请求消息携带客户端地址信息;
所述判断模块,用于判断设置的记录表中是否包括所述第一收发子模块接收的连接请求消息携带的客户端地址信息,当所述记录表中未包括所述客户端地址信息时,触发所述第二收发子模块;
所述第二收发子模块,用于当所述判断模块判断所述记录表中未包括客户端地址信息的判断结果时,与所述客户端建立TCP连接。
7.根据权利要求6所述的装置,其特征在于,还包括:
第一处理模块,用于当所述判断模块判断所述记录表中包含所述客户端地址信息时,如果根据所述记录表判断所述客户端地址信息为可信的客户端地址信息,则将所述客户端的连接请求消息发送给服务器,使所述客户端与 服务器建立TCP连接;如果根据所述记录表判断所述客户端地址信息为不可信的客户端地址信息,则拒绝所述客户端的连接请求。
8.根据权利要求6所述的装置,其特征在于,还包括:
第二处理模块,用于当识别模块识别出所述TCP连接为正常连接时,将该客户端地址信息存储于设置的记录表中,并断开该TCP连接;当识别模块识别出所述TCP连接为异常连接时,将该客户端地址信息存储于设置的记录表中,并丢弃所述TCP连接。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910151032.0A CN101594269B (zh) | 2009-06-29 | 2009-06-29 | 一种异常连接的检测方法、装置及网关设备 |
| PCT/CN2010/074660 WO2011000304A1 (zh) | 2009-06-29 | 2010-06-29 | 一种异常连接的检测方法、装置及网关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910151032.0A CN101594269B (zh) | 2009-06-29 | 2009-06-29 | 一种异常连接的检测方法、装置及网关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101594269A CN101594269A (zh) | 2009-12-02 |
| CN101594269B true CN101594269B (zh) | 2012-05-02 |
Family
ID=41408727
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910151032.0A Expired - Fee Related CN101594269B (zh) | 2009-06-29 | 2009-06-29 | 一种异常连接的检测方法、装置及网关设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101594269B (zh) |
| WO (1) | WO2011000304A1 (zh) |
Families Citing this family (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101600951B1 (ko) * | 2009-05-18 | 2016-03-08 | 삼성전자주식회사 | 고체 상태 드라이브 장치 |
| CN101594269B (zh) * | 2009-06-29 | 2012-05-02 | 成都市华为赛门铁克科技有限公司 | 一种异常连接的检测方法、装置及网关设备 |
| CN101771695A (zh) * | 2010-01-07 | 2010-07-07 | 福建星网锐捷网络有限公司 | Tcp连接的处理方法、系统及syn代理设备 |
| CN102025746B (zh) * | 2010-12-21 | 2013-04-17 | 北京星网锐捷网络技术有限公司 | 一种tcp连接的建立方法、装置及网络设备 |
| CN102571473B (zh) * | 2010-12-29 | 2015-12-16 | 中兴通讯股份有限公司 | 路径故障检测方法及装置 |
| CN102263826B (zh) * | 2011-08-11 | 2013-12-04 | 杭州华为企业通信技术有限公司 | 一种传输层建立连接的方法和装置 |
| CN102347874A (zh) * | 2011-11-10 | 2012-02-08 | 百度在线网络技术(北京)有限公司 | ftp和ssh服务监控方法及系统 |
| CN102647404B (zh) * | 2011-11-14 | 2014-10-22 | 北京安天电子设备有限公司 | 抵御flood攻击的流汇聚方法及装置 |
| CN102573111A (zh) * | 2012-01-10 | 2012-07-11 | 中兴通讯股份有限公司 | 传输控制协议资源的释放方法及装置 |
| WO2014040292A1 (zh) * | 2012-09-17 | 2014-03-20 | 华为技术有限公司 | 攻击防范方法和设备 |
| WO2015035576A1 (zh) * | 2013-09-11 | 2015-03-19 | 北京东土科技股份有限公司 | 一种基于工业以太网的数据安全传输方法、系统及装置 |
| CN103561025B (zh) * | 2013-11-01 | 2017-04-12 | 中国联合网络通信集团有限公司 | 防dos攻击能力检测方法、装置和系统 |
| CN105187359B (zh) * | 2014-06-17 | 2018-06-08 | 阿里巴巴集团控股有限公司 | 检测攻击客户端的方法和装置 |
| WO2016023163A1 (en) * | 2014-08-11 | 2016-02-18 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for access controlling |
| CN104394140B (zh) * | 2014-11-21 | 2018-03-06 | 南京邮电大学 | 一种基于sdn的虚拟网络优化方法 |
| WO2016084076A1 (en) * | 2014-11-25 | 2016-06-02 | enSilo Ltd. | Systems and methods for malicious code detection accuracy assurance |
| CN104618404A (zh) * | 2015-03-10 | 2015-05-13 | 网神信息技术(北京)股份有限公司 | 防止网络攻击Web服务器的处理方法、装置及系统 |
| CN106302347B (zh) * | 2015-05-28 | 2019-11-05 | 阿里巴巴集团控股有限公司 | 一种网络攻击处理方法和装置 |
| CN105049489A (zh) * | 2015-06-25 | 2015-11-11 | 上海斐讯数据通信技术有限公司 | 一种在uboot上实现三次握手的方法 |
| CN106656922A (zh) * | 2015-10-30 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种基于流量分析的网络攻击防护方法和装置 |
| CN107666383B (zh) * | 2016-07-29 | 2021-06-18 | 阿里巴巴集团控股有限公司 | 基于https协议的报文处理方法以及装置 |
| CN107087007A (zh) * | 2017-05-25 | 2017-08-22 | 腾讯科技(深圳)有限公司 | 一种网络攻击的防御方法、相关设备及系统 |
| CN107438074A (zh) * | 2017-08-08 | 2017-12-05 | 北京神州绿盟信息安全科技股份有限公司 | 一种DDoS攻击的防护方法及装置 |
| CN108234516B (zh) * | 2018-01-26 | 2021-01-26 | 北京安博通科技股份有限公司 | 一种网络泛洪攻击的检测方法及装置 |
| CN108881044A (zh) * | 2018-05-23 | 2018-11-23 | 新华三信息安全技术有限公司 | 一种报文处理方法和装置 |
| CN108810008B (zh) * | 2018-06-28 | 2020-06-30 | 腾讯科技(深圳)有限公司 | 传输控制协议流量过滤方法、装置、服务器及存储介质 |
| CN110830454B (zh) * | 2019-10-22 | 2020-11-17 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于alg协议实现tcp协议栈信息泄露的安防设备检测方法 |
| CN111163114A (zh) * | 2020-04-02 | 2020-05-15 | 腾讯科技(深圳)有限公司 | 用于检测网络攻击的方法和设备 |
| CN111857302A (zh) * | 2020-06-19 | 2020-10-30 | 浪潮电子信息产业股份有限公司 | 一种系统管理总线的复位方法、装置以及设备 |
| CN113709130A (zh) * | 2021-08-20 | 2021-11-26 | 江苏通付盾科技有限公司 | 基于蜜罐系统的风险识别方法及装置 |
| CN114257416B (zh) * | 2021-11-25 | 2024-07-12 | 中科创达软件股份有限公司 | 黑白名单的调整方法及装置 |
| CN114500021B (zh) * | 2022-01-18 | 2024-07-26 | 神州绿盟成都科技有限公司 | 一种攻击检测方法、装置、电子设备及存储介质 |
| CN114338233A (zh) * | 2022-02-28 | 2022-04-12 | 北京安帝科技有限公司 | 基于流量解析的网络攻击检测方法和系统 |
| CN115022384B (zh) * | 2022-05-05 | 2023-10-13 | 北京北方华创微电子装备有限公司 | 一种hsms通信连接方法和装置 |
| CN115150449B (zh) * | 2022-06-30 | 2023-08-08 | 苏州浪潮智能科技有限公司 | 网络共享拒绝异常连接的方法、系统、终端及存储介质 |
| WO2024168882A1 (zh) * | 2023-02-17 | 2024-08-22 | 京东方科技集团股份有限公司 | 信息交互方法及装置、计算设备、存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1905553A (zh) * | 2005-07-28 | 2007-01-31 | 易星 | 在dos攻击或者设备过载时保障所选用户访问的方法 |
| CN101175013A (zh) * | 2006-11-03 | 2008-05-07 | 飞塔信息科技(北京)有限公司 | 一种拒绝服务攻击防护方法、网络系统和代理服务器 |
| CN101202742A (zh) * | 2006-12-13 | 2008-06-18 | 中兴通讯股份有限公司 | 一种防止拒绝服务攻击的方法和系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100459611C (zh) * | 2004-08-06 | 2009-02-04 | 华为技术有限公司 | 超文本传输协议服务的安全管理方法 |
| US20060272018A1 (en) * | 2005-05-27 | 2006-11-30 | Mci, Inc. | Method and apparatus for detecting denial of service attacks |
| CN100589489C (zh) * | 2006-03-29 | 2010-02-10 | 华为技术有限公司 | 针对web服务器进行DDOS攻击的防御方法和设备 |
| KR100806492B1 (ko) * | 2006-11-13 | 2008-02-21 | 삼성에스디에스 주식회사 | Tcp 상태천이를 이용한 서비스거부 공격의 차단방법 |
| CN101436958B (zh) * | 2007-11-16 | 2011-01-26 | 太极计算机股份有限公司 | 抵御拒绝服务攻击的方法 |
| CN101594269B (zh) * | 2009-06-29 | 2012-05-02 | 成都市华为赛门铁克科技有限公司 | 一种异常连接的检测方法、装置及网关设备 |
-
2009
- 2009-06-29 CN CN200910151032.0A patent/CN101594269B/zh not_active Expired - Fee Related
-
2010
- 2010-06-29 WO PCT/CN2010/074660 patent/WO2011000304A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1905553A (zh) * | 2005-07-28 | 2007-01-31 | 易星 | 在dos攻击或者设备过载时保障所选用户访问的方法 |
| CN101175013A (zh) * | 2006-11-03 | 2008-05-07 | 飞塔信息科技(北京)有限公司 | 一种拒绝服务攻击防护方法、网络系统和代理服务器 |
| CN101202742A (zh) * | 2006-12-13 | 2008-06-18 | 中兴通讯股份有限公司 | 一种防止拒绝服务攻击的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2011000304A1 (zh) | 2011-01-06 |
| CN101594269A (zh) | 2009-12-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101594269B (zh) | 一种异常连接的检测方法、装置及网关设备 | |
| CN101136922B (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
| US8453208B2 (en) | Network authentication method, method for client to request authentication, client, and device | |
| US20180091547A1 (en) | Ddos mitigation black/white listing based on target feedback | |
| CN101631026A (zh) | 一种防御拒绝服务攻击的方法及装置 | |
| CN110784464B (zh) | 泛洪攻击的客户端验证方法、装置、系统及电子设备 | |
| JP2006506853A (ja) | 能動的ネットワーク防衛システム及び方法 | |
| US20220263823A1 (en) | Packet Processing Method and Apparatus, Device, and Computer-Readable Storage Medium | |
| US8978138B2 (en) | TCP validation via systematic transmission regulation and regeneration | |
| Kavisankar et al. | A mitigation model for TCP SYN flooding with IP spoofing | |
| KR102685997B1 (ko) | 유해 ip 판단 방법 | |
| JP2004140524A (ja) | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム | |
| EP2747345B1 (en) | Ips detection processing method, network security device and system | |
| Huang et al. | Detecting stepping-stone intruders by identifying crossover packets in SSH connections | |
| CN112235329A (zh) | 一种识别syn报文真实性的方法、装置及网络设备 | |
| CN109688136B (zh) | 一种伪造ip攻击行为的检测方法、系统及相关组件 | |
| CN113660666B (zh) | 一种中间人攻击的双向请求应答检测方法 | |
| Bojjagani et al. | Early DDoS Detection and Prevention with Traced-Back Blocking in SDN Environment. | |
| KR100862321B1 (ko) | 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치 | |
| JP2006033472A (ja) | 不正アクセス検知装置 | |
| KR102571147B1 (ko) | 스마트워크 환경을 위한 보안 장치 및 그를 수행하도록 컴퓨터 판독 가능한 기록 매체에 저장된 프로그램 | |
| FI126032B (en) | Detection of threats in communication networks | |
| CN111431913B (zh) | 路由器通告防护机制存在性检测方法及装置 | |
| KR101166352B1 (ko) | Ip 스푸핑 탐지 및 차단 방법 | |
| KR20100027829A (ko) | 가상 프록시 서버를 이용한 에스아이피 공격탐지 시스템 및방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP03 | Change of name, title or address |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: High tech Park No. 88 University of Electronic Science and technology of Sichuan province 611731 Chengdu Tianchen Road Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220831 Address after: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041 Patentee after: Chengdu Huawei Technologies Co.,Ltd. Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120502 |