CN101599976B - 过滤用户数据报协议数据包的方法和装置 - Google Patents
过滤用户数据报协议数据包的方法和装置 Download PDFInfo
- Publication number
- CN101599976B CN101599976B CN200910152203A CN200910152203A CN101599976B CN 101599976 B CN101599976 B CN 101599976B CN 200910152203 A CN200910152203 A CN 200910152203A CN 200910152203 A CN200910152203 A CN 200910152203A CN 101599976 B CN101599976 B CN 101599976B
- Authority
- CN
- China
- Prior art keywords
- fingerprint
- udp packet
- protocol
- udp
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明实施例涉及一种过滤用户数据报协议数据包的方法和装置。其中,所述方法包括:根据应用层协议的协议特征字,检测用户数据报协议数据包的包体;其中,所述协议特征字为使用所述应用层协议的用户数据报协议数据包的包体共有的数据;若所述用户数据报协议数据包的包体中不存在与所述协议特征字相匹配的数据,则丢弃所述用户数据报协议数据包。本发明实施例通过检测UDP数据包的包体,当UDP数据包的包体中不存在与应用层协议的协议特征字匹配的数据时,认为该UDP数据包为DDOS攻击的UDP数据包,因此丢弃该数据包,从而可以克服现有技术中无法有效过滤DDOS攻击的UDP数据包的缺陷,实现有效过滤DDOS攻击的UDP数据包。
Description
技术领域
本发明涉及通信技术,尤其涉及一种过滤用户数据报协议数据包的方法和装置。
背景技术
用户数据报协议(User Datagram Protocol,以下简称:UDP)是开放式系统互联参考模型(Open System Interconnect Reference Model,简称:OSI)中一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务。攻击者伪造源互联网协议(Internet Protocol,以下简称:IP)地址,然后组成UDP数据包发送给受害主机的随机端口,受害主机接收到该UDP数据包后,确定目的端口正在等待中的应用程序,当其发现该目的端口并不存在正在等待的应用程序,其会产生一个目的端口无法连接的网间控制报文协议(Internet Control Messages Protocol,以下简称:ICMP)数据包发送给该伪造的源IP地址。如果攻击者向受害主机发送足够多的UDP数据包,该受害主机发出大量的ICMP包,最后导致受害主机的资源耗尽而瘫痪,从而形成拒绝服务(Denial of Service,以下简称:DOS)攻击。如果攻击者攻击足够多的受害主机,则形成分布式拒绝服务(Distributed DOS,以下简称:DDOS)攻击。尽管受害主机可以设置防火墙,但是由于UDP数据包是完整和正常的,防火墙很难防范;并且由于UDP数据包的源IP地址为虚假的,一定时间的攻击后,会将防火墙的会话表打满,从而导致防火墙无法正常工作。
为了过滤DDOS攻击中的UDP数据包,可以对源IP地址的发包频率进行实时统计,若源IP地址的发包频率超过阈值,进行报警并丢弃该源IP地址的UDP数据包;但是由于DDOS攻击中的UDP数据包的源IP地址多为虚假IP地址,因此无法统计源IP地址的发包频率。现有技术中尚无有效过滤DDOS攻击中的 UDP数据包的解决方案。
发明内容
本发明实施例提供了一种过滤用户数据报协议数据包的方法和装置,用以实现有效过滤DDOS攻击中的UDP数据包。
本发明实施例还提供了一种过滤用户数据报协议数据包的方法,包括:
根据应用层协议的协议特征字,检测用户数据报协议数据包的包体;其中,所述协议特征字为使用所述应用层协议的用户数据报协议数据包的包体共有的数据;
若所述用户数据报协议数据包的包体中不存在与所述协议特征字相匹配的数据,将所述用户数据报协议数据包的指纹与目的指纹相比较;其中,所述用户数据报协议数据包的指纹包括所述用户数据报协议数据包的源互联网协议地址或目的互联网协议地址;所述目的指纹包括报文长度、数据偏移和数据字段;所述目的指纹包括静态指纹和/或动态指纹,其中,所述静态指纹通过外部设备输入,所述动态指纹通过对所述用户数据报协议数据包之前的用户数据报协议数据包进行检测得到;
若所述用户数据报协议数据包的指纹与所述目的指纹相匹配,则丢弃所述用户数据报协议数据包。
本发明实施例还提供了一种过滤用户数据报协议数据包的装置,包括:
检测模块,用于根据应用层协议的协议特征字,检测用户数据报协议数据包的包体;其中,所述协议特征字为使用所述应用层协议的用户数据报协议数据包的包体共有的数据;
匹配模块,用于若所述用户数据报协议数据包的包体中不存在与所述协议特征字相匹配的数据,将所述用户数据报协议数据包的指纹与目的指纹相比较;其中,所述用户数据报协议数据包的指纹包括所述用户数据报协议数据包的源互联网协议地址或目的互联网协议地址;所述目的指纹包括报文长度、数据偏移和数据字段;所述目的指纹包括静态指纹和/或动态指纹,其中, 所述静态指纹通过外部设备输入,所述动态指纹通过对所述用户数据报协议数据包之前的用户数据报协议数据包进行检测得到;
第一过滤模块,用于若所述匹配模块确定所述用户数据报协议数据包的指纹与所述目的指纹相匹配,则丢弃所述用户数据报协议数据包。
本发明实施例还提供了一种网关设备,包括过滤用户数据报协议数据包的装置,用于根据应用层协议的协议特征字,检测用户数据报协议数据包的包体,若所述用户数据报协议数据包的包体中不存在与所述协议特征字相匹配的数据,将所述用户数据报协议数据包的指纹与目的指纹相比较;其中,所述用户数据报协议数据包的指纹包括所述用户数据报协议数据包的源互联网协议地址或目的互联网协议地址;所述目的指纹包括报文长度、数据偏移和数据字段;所述目的指纹包括静态指纹和/或动态指纹,其中,所述静态指纹通过外部设备输入,所述动态指纹通过对所述用户数据报协议数据包之前的用户数据报协议数据包进行检测得到;若所述用户数据报协议数据包的指纹与所述目的指纹相匹配,则丢弃所述用户数据报协议数据包;其中,所述协议特征字为使用所述应用层协议的用户数据报协议数据包的包体共有的数据。
本发明实施例通过检测UDP数据包的包体,当UDP数据包的包体中不存在与应用层协议的协议特征字匹配的数据时,认为该UDP数据包为DDOS攻击的UDP数据包,因此丢弃该数据包,从而可以克服现有技术中无法有效过滤DDOS攻击的UDP数据包的缺陷,实现有效过滤DDOS攻击的UDP数据包。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的过滤UDP数据包的方法的流程示意图;
图2为本发明实施例二提供的过滤UDP数据包的方法的流程示意图;
图3为本发明实施例二提供的过滤UDP数据包的方法中对未知协议的UDP数据包进行指纹过滤的流程示意图;
图4为本发明实施例三提供的过滤UDP数据包的装置的结构示意图;
图5为本发明实施例四提供的过滤UDP数据包的装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
可以通过识别UDP数据包的应用将DDOS攻击与UDP协议的正常应用区分开来。“普通报文检测”分析UDP数据包的包头中层4以下的内容来识别UDP数据包的应用,包括五元组:源IP地址、目的IP地址、源端口号、目的端口号以及协议号。当通过检测UDP数据包的目的端口号来识别该UDP数据包的应用时,例如:检测到UDP数据包的目的端口号为80时,则认为该UDP数据包的应用为普通上网应用。而DDOS攻击的UDP数据包会采用仿冒目的端口号的方式躲避检测。因此用L2~L4层的普通报文检测无法将DDOS攻击与UDP协议的正常应用区分开来。
深度包检测(Deep Packet Inspection,以下简称:DPI)与普通报文检测的分析相比较,除了对IP数据包L2~L4层的分析外,还增加了对IP数据包的包体中的应用层的分析。由于非法应用可以隐藏目的端口号,但较难以隐藏应用层的协议特征,因此,通过分析应用层,从而识别UDP数据包的真正应用,从而可以将DDOS攻击与UDP协议的正常应用区分开来。
进一步地,不同的应用通常依赖于不同的应用层协议,因此,可以通过 识别应用层协议来识别应用。而应用层协议都有其特殊的协议特征字,这些协议特征字可以是特定的字符串或者特定的位(Bit)序列。例如:Bittorrent协议的识别,通过反向工程的方法对其对等协议进行分析,所谓对等协议指的是peer与peer之间交换信息的协议,其由一个握手开始,后面是循环的消息流,消息流中的每个消息前面,都有一个数字来表示该消息的长度。在其握手过程中,首先是先发送“19”,然后是字符串“BitTorrent protocol”。那么“19BitTorrent Protocol”就是Bittorrent协议的“协议特征字”。
如图1所示,为本发明实施例一提供的过滤UDP数据包的方法的流程示意图,可以包括如下步骤:
步骤11、根据应用层协议的协议特征字,检测UDP数据包的包体;其中,协议特征字为使用应用层协议的UDP数据包的包体共有的数据;
步骤12、若UDP数据包的包体中不存在与协议特征字相匹配的数据,丢弃UDP数据包。
本实施例通过检测UDP数据包的包体,当UDP数据包的包体中不存在与应用层协议的协议特征字匹配的数据时,认为该UDP数据包为DDOS攻击的UDP数据包,因此丢弃该数据包,从而可以克服现有技术中无法有效过滤DDOS攻击的UDP数据包的缺陷,实现有效过滤DDOS攻击的UDP数据包。
如图2所示,为本发明实施例二提供的过滤UDP数据包的方法的流程示意图,可以包括如下步骤:
步骤21、根据应用层协议的协议特征字,检测UDP数据包的包体;其中,协议特征字为使用应用层协议的UDP数据包的包体共有的数据;
步骤22、判断UDP数据包的包体中是否存在与协议特征字相匹配的数据,若UDP数据包的包体中不存在与协议特征字相匹配的数据,执行步骤23,否则执行步骤24;
步骤23、将UDP数据包的指纹与目的指纹相比较,判断UDP数据包的指纹与目的指纹是否匹配,若UDP数据包的指纹与目的指纹匹配,执行步骤25,否则执行步骤24;
其中,UDP数据包的指纹可以包括UDP数据包的源IP地址或目的IP地址。目的指纹由报文长度、数据偏移和数据字段三部分组成。
步骤24、放行该UDP数据包;
步骤25、丢弃UDP数据包;
具体地,步骤23-25对未知协议的UDP数据包进行指纹过滤,对于与目的指纹匹配的UDP数据包进行丢弃处理。
在本实施例中,目的指纹可以包括静态指纹和/或动态指纹,其中,静态指纹通过外部设备输入,动态指纹通过对UDP数据包之前的UDP数据包进行检测得到。静态指纹可以保存在静态指纹表中,动态指纹可以保存在动态指纹表中。将UDP数据包的指纹与静态指纹和/或动态指纹相比较,若UDP数据包的指纹与静态指纹和/或动态指纹相匹配,丢弃UDP数据包。
如图3所示,为本发明实施例二提供的过滤UDP数据包的方法中对未知协议的UDP数据包进行指纹过滤的流程示意图,可以包括如下步骤:
步骤31、判断静态指纹是否有效,若静态指纹有效,执行步骤32,否则执行步骤33;
优选地,可以为静态指纹提供一标志位,当该标志位有效时,表示该静态指纹有效。
步骤32、判断UDP数据包的指纹与静态指纹是否匹配,若UDP数据包的指纹与静态指纹匹配,执行步骤38,否则执行步骤33;
步骤33、判断动态指纹是否有效,若动态指纹有效,执行步骤34,否则执行39;
优选地,可以为动态指纹设置一标志位,当该标志位有效时,表示该动态指纹有效;
步骤34、判断UDP数据包的指纹与动态指纹是否匹配,若UDP数据包的指纹与动态指纹匹配,执行步骤38,否则执行步骤35;
步骤35、判断是否需要学习动态指纹,若需要学习动态指纹,执行步骤36,否则执行步骤39;
优选地,可以设置一标志位,当该标志位有效时,表示需要学习动态指纹;
步骤36,学习动态指纹,判断动态指纹学习是否成功,若动态指纹学习成功,执行步骤37,否则执行步骤39;
具体地,学习动态指纹指的是检测UDP数据包,提取其中的源IP地址或目的IP地址;
步骤37、更新指纹,执行步骤39;
具体地,将学习的动态指纹存储到动态指纹表中;
步骤38、丢弃UDP数据包,执行步骤39;
步骤39、结束。
再参见图2,步骤25之后还可以包括如下步骤:
步骤26、对目标IP地址的UDP数据包的流量进行统计,若流量大于设定阈值,丢弃目标IP地址的UDP数据包。
优选地,经过步骤21-25的处理后,但防范的效果不佳或者并不存在DDOS攻击后,对某一目标IP地址的UDP数据包的流量进行实时统计,该目标IP地址的UDP数据包的流量仍超过设定阈值,将对该目标IP地址的UDP数据包进行随机丢包处理,以保证目标IP地址尽可能少地受到DDOS攻击。
本实施例通过检测UDP数据包的包体,当UDP数据包的包体中不存在与应用层协议的协议特征字匹配的数据时,将UDP数据包的指纹与目的指纹进 行匹配,当该UDP数据包的指纹与目的指纹匹配时,认为该UDP数据包为DDOS攻击的UDP数据包,将其过滤掉,最后,对目标IP地址的UDP流量进行限流处理,将应用协议分析、指纹检测、限流几种方式结合,克服现有技术中无法有效过滤DDOS攻击的UDP数据包的缺陷,实现有效过滤DDOS攻击的UDP数据包。
本实施例可以用于网关类设备,例如:防火墙、抗DDOS设备、统一威胁管理(Unified Threat Management,简称:UTM)设备、入侵防护系统(Intrusion Prevention System,简称:IPS)设备等。
如图4所示,为本发明实施例三提供的过滤UDP数据包的装置的结构示意图,可以包括检测模块41和第一过滤模块42。
其中,检测模块41用于根据应用层协议的协议特征字,检测UDP数据包的包体;其中,协议特征字为使用应用层协议的UDP数据包的包体共有的数据。
第一过滤模块42用于若UDP数据包的包体中不存在与协议特征字相匹配的数据,丢弃UDP数据包。
本实施例通过检测模块41检测UDP数据包的包体,当UDP数据包的包体中不存在与应用层协议的协议特征字匹配的数据时,认为该UDP数据包为DDOS攻击的UDP数据包,因此第一过滤模块42丢弃该数据包,从而可以克服现有技术中无法有效过滤DDOS攻击的UDP数据包的缺陷,实现有效过滤DDOS攻击的UDP数据包。
如图5所示,为本发明实施例四提供的过滤UDP数据包的装置的结构示意图,可以包括检测模块41、匹配模块51、第一过滤模块42。
检测模块41用于根据应用层协议的协议特征字,检测UDP数据包的包体。 其中,协议特征字为使用应用层协议的UDP数据包的包体共有的数据。
匹配模块51用于若UDP数据包的包体中不存在与协议特征字相匹配的数据,将UDP数据包的指纹与目的指纹相比较;其中,UDP数据包的指纹包括UDP数据包的源IP地址或目的IP地址。
第一过滤模块42用于若匹配模块51确定UDP数据包的指纹与目的指纹相匹配,丢弃UDP数据包。
在本实施例中,目的指纹可以包括静态指纹和/或动态指纹,其中,静态指纹通过外部设备输入,动态指纹通过对UDP数据包之前的UDP数据包进行检测得到。匹配模块51还可以用于若UDP数据包的包体中不存在与协议特征字相匹配的数据,将UDP数据包的指纹与静态指纹和/或动态指纹相比较。第一过滤模块42还用于若匹配模块51确定UDP数据包的指纹与静态指纹和/或动态指纹相匹配,丢弃UDP数据包。
本实施例还可以包括第二过滤模块52,与第一过滤模块42连接,用于对目标IP地址的UDP数据包的流量进行统计,若流量大于设定阈值,丢弃目标IP地址的UDP数据包。
本实施例通过检测模块41检测UDP数据包的包体,当确定UDP数据包的包体中不存在与应用层协议的协议特征字匹配的数据时,匹配模块51将UDP数据包的指纹与目的指纹进行匹配,当该UDP数据包的指纹与目的指纹匹配时,认为该UDP数据包为DDOS攻击的UDP数据包,第一过滤模块42将其过滤掉,最后,第二过滤模块52对目标IP地址的UDP流量进行限流处理。本实施例将应用协议分析、指纹检测、限流几种方式结合,克服现有技术中无法有效过滤DDOS攻击的UDP数据包的缺陷,实现有效过滤DDOS攻击的UDP数据包。
本发明实施例还提供了一种网关设备,包括过滤UDP数据包的装置,用于根据应用层协议的协议特征字,检测UDP数据包的包体,若UDP数据包的包体中不存在与协议特征字相匹配的数据,丢弃UDP数据包;其中,协议特征字为使用应用层协议的UDP数据包的包体共有的数据。
需要说明的是,该过滤UDP数据包的装置可以包括前述过滤UDP数据包的装置实施例中任一模块,在此不再赘述。
本实施例通过过滤UDP数据包的装置检测UDP数据包的包体,当UDP数据包的包体中不存在与应用层协议的协议特征字匹配的数据时,认为该UDP数据包为DDOS攻击的UDP数据包,因此丢弃该数据包,从而可以克服现有技术中无法有效过滤DDOS攻击的UDP数据包的缺陷,实现有效过滤DDOS攻击的UDP数据包。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:ROM、RAM、磁盘或光盘等。最后应说明的是:以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围。
Claims (6)
1.一种过滤用户数据报协议数据包的方法,其特征在于,包括:
根据应用层协议的协议特征字,检测用户数据报协议数据包的包体;其中,所述协议特征字为使用所述应用层协议的用户数据报协议数据包的包体共有的数据;
若所述用户数据报协议数据包的包体中不存在与所述协议特征字相匹配的数据,将所述用户数据报协议数据包的指纹与目的指纹相比较;其中,所述用户数据报协议数据包的指纹包括所述用户数据报协议数据包的源互联网协议地址或目的互联网协议地址;所述目的指纹包括报文长度、数据偏移和数据字段;所述目的指纹包括静态指纹和/或动态指纹,其中,所述静态指纹通过外部设备输入,所述动态指纹通过对所述用户数据报协议数据包之前的用户数据报协议数据包进行检测得到;
若所述用户数据报协议数据包的指纹与所述目的指纹相匹配,则丢弃所述用户数据报协议数据包。
2.根据权利要求1所述的方法,其特征在于,还包括:
对目标互联网协议地址的用户数据报协议数据包的流量进行统计,若所述流量大于设定阈值,则丢弃所述目标互联网协议地址的用户数据报协议数据包。
3.一种过滤用户数据报协议数据包的装置,其特征在于,包括:
检测模块,用于根据应用层协议的协议特征字,检测用户数据报协议数据包的包体;其中,所述协议特征字为使用所述应用层协议的用户数据报协议数据包的包体共有的数据;
匹配模块,用于若所述用户数据报协议数据包的包体中不存在与所述协议特征字相匹配的数据,将所述用户数据报协议数据包的指纹与目的指纹相比较;其中,所述用户数据报协议数据包的指纹包括所述用户数据报协议数据包的源互联网协议地址或目的互联网协议地址;所述目的指纹包括报文长度、数据偏移和数据字段;所述目的指纹包括静态指纹和/或动态指纹,其中,所述静态指纹通过外部设备输入,所述动态指纹通过对所述用户数据报协议数据包之前的用户数据报协议数据包进行检测得到;
第一过滤模块,用于若所述匹配模块确定所述用户数据报协议数据包的指纹与所述目的指纹相匹配,则丢弃所述用户数据报协议数据包。
4.根据权利要求3所述的装置,其特征在于,还包括:
第二过滤模块,用于对目标互联网协议地址的用户数据报协议数据包的流量进行统计,若所述流量大于设定阈值,则丢弃所述目标互联网协议地址的用户数据报协议数据包。
5.一种网关设备,其特征在于,包括过滤用户数据报协议数据包的装置,用于根据应用层协议的协议特征字,检测用户数据报协议数据包的包体,若所述用户数据报协议数据包的包体中不存在与所述协议特征字相匹配的数据,将所述用户数据报协议数据包的指纹与目的指纹相比较;其中,所述用户数据报协议数据包的指纹包括所述用户数据报协议数据包的源互联网协议地址或目的互联网协议地址;所述目的指纹包括报文长度、数据偏移和数据字段;所述目的指纹包括静态指纹和/或动态指纹,其中,所述静态指纹通过外部设备输入,所述动态指纹通过对所述用户数据报协议数据包之前的用户数据报协议数据包进行检测得到;若所述用户数据报协议数据包的指纹与所述目的指纹相匹配,则丢弃所述用户数据报协议数据包;其中,所述协议特征字为使用所述应用层协议的用户数据报协议数据包的包体共有的数据。
6.根据权利要求5所述的网关设备,其特征在于,所述过滤用户数据报协议数据包的装置包括:
检测模块,用于根据所述应用层协议的协议特征字,检测用户数据报协议数据包的包体;
匹配模块,用于若所述用户数据报协议数据包的包体中不存在与所述协议特征字相匹配的数据,将所述用户数据报协议数据包的指纹与目的指纹相比较;其中,所述用户数据报协议数据包的指纹包括所述用户数据报协议数据包的源互联网协议地址或目的互联网协议地址;所述目的指纹包括报文长度、数据偏移和数据字段;所述目的指纹包括静态指纹和/或动态指纹,其中,所述静态指纹通过外部设备输入,所述动态指纹通过对所述用户数据报协议数据包之前的用户数据报协议数据包进行检测得到;
第一过滤模块,用于若所述匹配模块确定所述用户数据报协议数据包的指纹与所述目的指纹相匹配,则丢弃所述用户数据报协议数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910152203A CN101599976B (zh) | 2009-07-10 | 2009-07-10 | 过滤用户数据报协议数据包的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910152203A CN101599976B (zh) | 2009-07-10 | 2009-07-10 | 过滤用户数据报协议数据包的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101599976A CN101599976A (zh) | 2009-12-09 |
| CN101599976B true CN101599976B (zh) | 2012-10-17 |
Family
ID=41421221
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910152203A Active CN101599976B (zh) | 2009-07-10 | 2009-07-10 | 过滤用户数据报协议数据包的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101599976B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103856470A (zh) * | 2012-12-06 | 2014-06-11 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击检测方法及检测装置 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101917349B (zh) * | 2010-09-08 | 2013-09-18 | 北京网康科技有限公司 | 一种网络流量控制系统及方法 |
| CN103780602A (zh) * | 2012-10-17 | 2014-05-07 | 北京力控华康科技有限公司 | 一种阻止震网攻击的方法 |
| CN103051612B (zh) * | 2012-12-13 | 2015-09-30 | 华为技术有限公司 | 防火墙及防止网络攻击方法 |
| CN104022999A (zh) * | 2013-09-05 | 2014-09-03 | 北京科能腾达信息技术股份有限公司 | 基于协议分析的网络数据处理方法及系统 |
| CN106961393B (zh) * | 2017-03-06 | 2020-11-27 | 北京安博通科技股份有限公司 | 网络会话中udp报文的检测方法及装置 |
| CN108737447B (zh) * | 2018-06-22 | 2020-07-17 | 腾讯科技(深圳)有限公司 | 用户数据报协议流量过滤方法、装置、服务器及存储介质 |
| CN111786971A (zh) * | 2020-06-19 | 2020-10-16 | 杭州安恒信息技术股份有限公司 | 主机爆破攻击的防御方法、装置和计算机设备 |
| CN114124562A (zh) * | 2021-12-02 | 2022-03-01 | 湖北天融信网络安全技术有限公司 | 一种防御方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1913528A (zh) * | 2006-08-25 | 2007-02-14 | 清华大学 | 基于特征码的p2p数据报文检测方法 |
| CN101026510A (zh) * | 2007-01-31 | 2007-08-29 | 华为技术有限公司 | 一种网络流量异常检测方法和系统 |
| CN101321170A (zh) * | 2008-07-01 | 2008-12-10 | 北京锐安科技有限公司 | 一种新型的过滤查找表自动更新方法 |
-
2009
- 2009-07-10 CN CN200910152203A patent/CN101599976B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1913528A (zh) * | 2006-08-25 | 2007-02-14 | 清华大学 | 基于特征码的p2p数据报文检测方法 |
| CN101026510A (zh) * | 2007-01-31 | 2007-08-29 | 华为技术有限公司 | 一种网络流量异常检测方法和系统 |
| CN101321170A (zh) * | 2008-07-01 | 2008-12-10 | 北京锐安科技有限公司 | 一种新型的过滤查找表自动更新方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103856470A (zh) * | 2012-12-06 | 2014-06-11 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击检测方法及检测装置 |
| CN103856470B (zh) * | 2012-12-06 | 2018-06-19 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击检测方法及检测装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101599976A (zh) | 2009-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101599976B (zh) | 过滤用户数据报协议数据包的方法和装置 | |
| CN109756512B (zh) | 一种流量应用识别方法、装置、设备及存储介质 | |
| CN101594269B (zh) | 一种异常连接的检测方法、装置及网关设备 | |
| CN102035793B (zh) | 僵尸网络检测方法、装置以及网络安全防护设备 | |
| CN110830457B (zh) | 一种基于蜜罐诱导的攻击感知方法、装置、设备及介质 | |
| US10693908B2 (en) | Apparatus and method for detecting distributed reflection denial of service attack | |
| CN101631026A (zh) | 一种防御拒绝服务攻击的方法及装置 | |
| JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
| EP3343871A1 (en) | Method and system for detecting and mitigating denial-of-service attacks | |
| KR20080028381A (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법 | |
| CN101741862A (zh) | 基于数据包序列特征的irc僵尸网络检测系统和检测方法 | |
| CN105323259B (zh) | 一种防止同步包攻击的方法和装置 | |
| JPWO2008084729A1 (ja) | アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム | |
| KR20080026122A (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법 | |
| CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
| CN109474485A (zh) | 基于网络流量信息检测僵尸网络的方法、系统及存储介质 | |
| CN108566384B (zh) | 一种流量攻击防护方法、装置、防护服务器及存储介质 | |
| US20230115046A1 (en) | Network security system for preventing unknown network attacks | |
| CN108616488A (zh) | 一种攻击的防御方法及防御设备 | |
| CN112751861A (zh) | 一种基于密网和网络大数据的恶意邮件检测方法及系统 | |
| Hategekimana et al. | Hardware isolation technique for irc-based botnets detection | |
| CN115022034A (zh) | 攻击报文识别方法、装置、设备和介质 | |
| JP4391455B2 (ja) | DDoS攻撃に対する不正アクセス検知システム及びプログラム | |
| Hwang et al. | Effective Detecting Method of Nmap Idle Scan | |
| Rodriguez et al. | FLF4DoS. Dynamic DDoS Mitigation based on TTL field using fuzzy logic. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP03 | Change of name, title or address |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: High tech Park No. 88 University of Electronic Science and technology of Sichuan province 611731 Chengdu Tianchen Road Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220907 Address after: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041 Patentee after: Chengdu Huawei Technologies Co.,Ltd. Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |