CN101610172A - 一种上报攻击日志的方法、系统和装置 - Google Patents

一种上报攻击日志的方法、系统和装置 Download PDF

Info

Publication number
CN101610172A
CN101610172A CNA2009100901384A CN200910090138A CN101610172A CN 101610172 A CN101610172 A CN 101610172A CN A2009100901384 A CNA2009100901384 A CN A2009100901384A CN 200910090138 A CN200910090138 A CN 200910090138A CN 101610172 A CN101610172 A CN 101610172A
Authority
CN
China
Prior art keywords
attack
reporting
log
mrow
messages
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CNA2009100901384A
Other languages
English (en)
Inventor
韩艳辉
刘宇征
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou H3C Technologies Co Ltd
Original Assignee
Hangzhou H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou H3C Technologies Co Ltd filed Critical Hangzhou H3C Technologies Co Ltd
Priority to CNA2009100901384A priority Critical patent/CN101610172A/zh
Publication of CN101610172A publication Critical patent/CN101610172A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明提供了一种上报攻击日志的方法、系统和装置,攻击检测装置在每一个预设的上报周期内执行以下操作:确定当前上报周期内统计的攻击报文数量与上一次上报的攻击日志包含的攻击报文数量之间的差值;判断确定的差值是否大于或等于预设的差值阈值,如果是,生成包含当前上报周期内统计的攻击报文数量的攻击日志,并向管理中心上报生成的攻击日志;否则,结束当前上报周期内的流程。本发明能够减小攻击检测装置上报的攻击信息量,缓解网络拥塞,减轻攻击日志的失真状况和攻击信息丢失的问题。

Description

一种上报攻击日志的方法、系统和装置
技术领域
本发明涉及网络安全技术领域,特别涉及一种上报攻击日志的方法、系统和装置。
背景技术
随着网络通信技术的不断发展、网络业务的不断多样化,各种类型的服务器不断涌现,为用户提供了方便的交流平台和信息获取途径。与此同时,对服务器进行恶意攻击的黑客也不断涌现,通常将通过向服务器发送攻击使服务器拒绝向正常用户提供服务的攻击手段成为拒绝服务(DOS)攻击,如果是多个攻击者,则称为分布式DOS攻击。
为了抵御DOS攻击,可以针对被保护的服务器设置攻击检测装置,例如流量清洗设备(AFC)和流量检测设备(AFD),这些攻击检测装置能够实现对各种攻击的识别和拦截,并将包含被攻击设备、攻击源地址、攻击报文数量、攻击类型、上报时间等攻击信息的攻击日志上报给管理中心。现有技术中,攻击日志的上报是以固定30秒为周期的,即每隔30秒上报一次包含该30秒中攻击信息的攻击日志。但这种方式会存在以下缺点:
1)由于每个上报周期都要进行攻击日志的上报,攻击检测装置需要构成并发送大量的日志报文,处理负担较大,其对CPU或内存的占用会影响攻击检测装置识别和拦截攻击的性能;大量攻击日志的上报,也可能导致攻击检测报文与管理中心之间的网络拥塞。
2)管理中心每次接收包含30秒内攻击信息的攻击日志,一次接收的信息量较大,可能造成管理中心处理速度过慢;又由于管理中心数据库的能力和空间有限,长时间接收到的攻击日志可能超出管理中心数据库的能力或空间,造成攻击信息丢失的问题。
如果单单缩短上报周期的时长,由于每个上报周期都会进行攻击日志的上报,因此对于攻击检测装置的性能影响、攻击日志的流量和因管理中心的处理不及所带来的攻击信息问题并不能得到减轻,甚至更为加剧。
发明内容
有鉴于此,本发明提供了一种上报攻击日志的方法、系统和装置,以便于减小攻击检测装置上报的攻击信息量,缓解网络拥塞和攻击信息丢失的问题。
一种上报攻击日志的方法,攻击检测装置在每一个预设的上报周期内执行以下操作:
确定当前上报周期内统计的攻击报文数量与上一次上报的攻击日志包含的攻击报文数量之间的差值;
判断确定的差值是否大于或等于预设的差值阈值,如果是,生成包含当前上报周期内统计的攻击报文数量的攻击日志,并向管理中心上报生成的攻击日志;否则,结束当前上报周期内的流程。
一种上报攻击日志的装置,该装置包括:差值确定单元、阈值判断单元、日志上报单元和上报记录单元;
所述差值确定单元,用于在每一个上报周期内,确定当前上报周期内统计的攻击报文数量与所述上报记录单元记录的上一次上报的攻击日志包含的攻击报文数量之间的差值;
所述阈值判断单元,用于判断所述差值确定单元确定的差值是否大于或等于预设的差值阈值;
所述日志上报单元,用于在所述阈值判断单元的判断结果为是时,生成包含当前上报周期内统计的攻击报文数量的攻击日志,并向管理中心上报生成的攻击日志;
所述上报记录单元,用于记录所述日志上报单元上报的攻击日志中包含的攻击报文数量。
一种上报攻击日志的系统该系统包含上述上报攻击日志的装置以及管理中心;
所述管理中心,用于接收到攻击日志后,将攻击日志中包含的攻击报文数量和该攻击日志的上报时间记录在数据库中。
由以上技术方案可以看出,本发明提供的方法、系统和装置并不是每个上报周期都会上报攻击日志,而是在当前上报周期内统计的攻击报文数量与上一次上报的攻击日志包含的攻击报文数量之间的差值大于或等于预设的差值阈值时,才会生成并上报包含当前上报周期内统计的攻击报文数量的攻击日志,大大减少了整个攻击过程中生成和上报的攻击日志的次数,从而减轻了攻击检测装置的处理负担,对识别和拦截攻击的功能影响减小,并减轻了与管理中心之间的网络拥塞。
相应地,管理中心相比较现有技术也减少了接收攻击日志的数量,对于管理中心处理负担和因数据库能力有限导致的信息丢失问题带来较大缓解。
附图说明
图1为本发明实施例提供的攻击实施过程的攻击报文数量示意图;
图2为本发明实施例提供的管理中心绘制的攻击报文数量统计图;
图3为本发明实施例提供的系统结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
为了提供合理的攻击日志上报方法,首先对黑客的攻击行为进行观察和分析,通常的攻击行为是在本机上或者控制傀儡机启动攻击工具,设置可变的源IP地址、攻击类型、被攻击的服务器IP地址、攻击报文的发送速率,然后按照该设置发送攻击报文;或者,控制傀儡机发送大量正常服务请求报文,以实现对服务器规格请求攻击。也就是说,攻击报文通常是突发性地发送,在攻击启动阶段和停止阶段都会有一个报文流量明显的变化过程,通常在几秒钟内完成,显然,固定设置30秒的上报周期完全不能够体现这一突发过程。在攻击启动后,会持续一段时间,此时报文流量会趋于平稳;如果攻击没有达到效果,攻击者会找到更多的攻击源发送攻击,这也会带来报文流量明显的变化过程;或者停止攻击,此时报文流量就会下降。
综合上述攻击实施过程的特性,攻击行为通常会有一个如图1所示的过程,包含启动期、稳定期和停止期,对于稳定期中包含的各个上报周期仅需要上报一次即可,重点关心的是启动期和停止期。
因此,本发明提供的方法可以主要包括:在每一个预设的上报周期内执行以下操作:确定当前上报周期内统计的攻击报文数量与上一次上报的攻击日志包含的攻击报文数量之间的差值,判断确定的差值是否大于或等于预设的差值阈值,如果是,生成包含当前上报周期内统计的攻击报文数量的攻击日志,并向管理中心上报生成的攻击报文;否则,结束当前上报周期内的流程。
通常,攻击检测装置是在接收到管理中心的检测开始指示之后开始进行攻击检测和日志上报的,在第一个上报周期时,没有上一次上报的攻击日志,可以将初始的上一次上报的攻击日志包含的攻击报文数量默认为0,这样,在第一个上报周期只要统计到攻击报文,则进行攻击日志的生成和上报;或者,也可以默认第一个上报周期固定进行攻击日志的生成和上报。
为了更加能够反映黑客攻击的突发性,本发明可以设置上报周期小于30秒,例如可以将上报周期缩短为5秒,甚至更短,具体可以根据实际使用需求进行设定。每个上报周期内都会进行本周期内攻击报文的数量统计,但并不是每个上报周期都会上报攻击日志,而是将当前周期内统计的攻击报文数量与上一次上报的攻击报文数量进行比较,如果大于或等于预设的差值阈值,则进行上报。
本发明中预设的差值阈值可以是一个固定的数值,更优地,可以是上一次上报的攻击报文数量与设定比例值的乘积。
下面以5秒的上报周期、1%的设定比例值和图1为例进行举例说明。在第一个5秒内,即t1时,统计的攻击报文数量为5000,
在此后的第2、3和4个5秒的上报周期内,假设统计的攻击报文数量为5010、5020和5030,与上一次上报的报文数量5000的差值均没有超过5000×1%,即均没有超过50,因此,在这些上报周期内均不进行攻击日志的生成和上报。
在第5个5秒的上报周期内,即t2时,假设统计的攻击报文数量为10000,与上一次上报的攻击报文数量5000的差值为5000,超过了50,因此,在t2时生成攻击日志,并上报该攻击日志。
在后续n个统计周期内,统计的攻击报文数量均在99901和10099之间,与上一次上报的攻击报文数量10000的差值均没有超过10000×1%,因此,在这n个统计周期内均不进行攻击日志的生成和上报。
在第n+6个统计周期内,即t3时,假设统计的攻击报文数量为8000,与上一次上报的攻击报文数量10000的差值为2000,超过了10000×1%,因此,在t3时生成攻击日志,并上报该攻击日志。
在第n+7个统计周期内,即t4时,统计的攻击报文数量为0,与上一次上报的攻击报文数量8000的差值为8000,超过了8000×1%,因此,在t4时生成攻击日志,并上报该攻击日志。
在整个过程中,仅在t1、t2、t3和t4处上报了4次攻击日志,如果采用现有技术中的方式,则需要上报(n+7)次攻击日志,显然,减少了攻击日志的上报次数,减轻了攻击检测装置的处理负担,也节约了网络带宽,并且,上报周期减小为5s,且上报的攻击日志均反映了攻击报文迅速增长或循序下降的过程,也就是说上报的攻击日志更加准确地反映了黑客攻击的突发特性,对于没有上报的上报周期则可以由这些上报周期之前最近一次上报的攻击报文数量确定平稳期内的攻击报文数量,误差显然不超过1%。
上报的攻击日志中除了包含一个上报周期内统计的攻击报文数量之外,还可以包括:被保护的服务器地址、攻击类型、攻击字节数、攻击报文的源地址等中的一种或任意组合。
管理中心接收到攻击日志后,将攻击日志中至少包含的攻击报文数量和上报时间记录在数据库中,数据库中的记录状况可以如表1所示。
表1
  被保护服务器IP地址   攻击类型   攻击报文数量   攻击字节数   攻击上报时间(当前年月日转换成的整数)
  1.1.1.1   Syn   5000   666   t1=544234005
  1.1.1.1   Syn   10000   888   t2=544234025
  1.1.1.1   Syn   8000   5555   t3=544234050
  1.1.1.1   Syn   0   0   t4=544234500
更优地,管理中心在接收到攻击检测装置上报的攻击日志后,可以向攻击检测装置发送接收响应报文,攻击检测装置上报攻击日志后如果在设定时间内没有接收到管理中心回应的接收响应报文,则重新上报攻击日志,以保证攻击日志的传输。可以规定重新上报攻击日志的次数,例如,规定最多重新上报3次攻击日志,在达到规定重新上报攻击日志的次数后,攻击检测装置发送网络拥塞的告警。
攻击检测装置与管理中心之间的交互,即攻击日志的上报和接收响应报文的发送,可以通过专用的接口,而不使用业务接口进行发送。也就是说,管理中心与攻击检测装置可以独立组网,从而保证攻击日志能够有足够的传输带宽。为了保证网络连通,管理中心与攻击检测装置之间可以保持心跳检测,如果管理中心在设定时间内没有接收到攻击检测装置的心跳报文,可以发出需要管理员确认的该攻击检测装置不可达的告警。
如果管理中心统计整个攻击过程中的攻击报文数量N,则可以采用如下公式: N = Σ i = 1 k N i × ( t i + 1 - t i ) / m , 其中,ti为第i次上报攻击日志的时间,k为整个攻击过程中上报攻击日志的总次数,Ni为第i次上报攻击日志所包含的攻击报文数量,m为上报周期。
对于上面所举得例子中,该管理中心所统计的整个攻击过程中的攻击报文数量为:N=5000×(t2-t1)/m+10000×(t3-t2)/m+8000×(t4-t3)/m。
在管理中心根据数据库中记录的内容进行统计图的绘制时,ti所在的上报周期,攻击报文数量从Ni-1变化至Ni,ti-1到(ti-m)的时间,攻击报文数量均为Ni-1,据此绘出的统计图即为图2所示的图,可见管理中心绘出的统计图与图1基本相同,能够较为准确地反映实际攻击过程,失真较小。
以上是对本发明所提供的方法进行的详细描述,下面对本发明所提供的系统和装置进行详细描述。图3为本发明实施例提供的系统结构图,如图3所示,该系统可以包括:攻击检测装置300和管理中心310。
其中,攻击检测装置300,用于确定当前上报周期内统计的攻击报文数量与上一次上报的攻击日志包含的攻击报文数量之间的差值;判断确定的差值是否大于或等于预设的差值阈值,如果是,生成包含当前上报周期内统计的攻击报文数量的攻击日志,并向管理中心310上报生成的攻击日志;否则,结束当前上报周期内的流程。
上述预设的上报周期可以设置为小于30秒,例如5秒,甚至更短,具体可以根据实际的需求进行设置。
管理中心310,用于接收到攻击日志后,将攻击日志中包含的攻击报文数量和该攻击日志的上报时间记录在数据库中。
其中,攻击检测装置300可以具体包括:差值确定单元301、阈值判断单元302、日志上报单元303和上报记录单元304。
差值确定单元301,用于在每一个上报周期内,确定当前上报周期内统计的攻击报文数量与上报记录单元304记录的上一次上报的攻击日志包含的攻击报文数量之间的差值;
阈值判断单元302,用于判断差值确定单元301确定的差值是否大于或等于预设的差值阈值。
日志上报单元303,用于在阈值判断单元302的判断结果为是时,生成包含当前上报周期内统计的攻击报文数量的攻击日志,并向管理中心310上报生成的攻击日志。
上报记录单元304,用于记录日志上报单元303上报的攻击日志中包含的攻击报文数量。
其中,上报记录单元304记录的攻击报文数量的初始值默认为0。或者,
该攻击检测装置300还可以包括:周期判断单元305,用于判断当前上报周期是否为第一个上报周期,如果否,触发差值确定单元301执行确定差值的操作;如果是,触发日志上报单元303直接生成包含当前上报周期内统计的攻击报文数量的攻击日志,并向管理中心310上报生成的攻击日志。
更进一步地,管理中心310,还可以用于根据数据库中记录的内容统计整个攻击过程中的攻击报文数量N; N = Σ i = 1 k N i × ( t i + 1 - t i ) / m , 其中,ti为攻击检测装置300第i次上报攻击日志的时间,k为整个攻击过程中上报攻击日志的总次数,Ni为攻击检测装置300第i次上报攻击日志所包含的攻击报文数量,m为攻击检测装置300的上报周期。
管理中心310,还用于根据数据库中记录的内容生成整个攻击过程中的攻击报文数量统计图,具体包括:在ti所在的上报周期,攻击报文数量从Ni-1变化至Ni;在ti-1到(ti-m)之间,攻击报文数量均为Ni-1;其中,ti为攻击检测装置300第i次上报攻击日志的时间,Ni为攻击检测装置300第i次上报攻击日志所包含的攻击报文数量,m为攻击检测装置300的上报周期。
另外,管理中心310还可以用于接收到攻击检测装置300的攻击日志后,可以向攻击检测装置300发送接收响应报文。
攻击检测装置300还可以用于在上报攻击日志后,如果在设定时间内没有接收到管理中心回应的接收响应报文,则重新上报攻击日志,直至达到预设的重新上报攻击日志的次数。
由以上描述可以看出,本发明提供的方法、系统和装置具备以下优点:
1)本发明并不是每个上报周期都会上报攻击日志,而是在当前上报周期内统计的攻击报文数量与上一次上报的攻击日志包含的攻击报文数量之间的差值大于或等于预设的差值阈值时,才会生成并上报包含当前上报周期内统计的攻击报文数量的攻击日志,大大减少了整个攻击过程中生成和上报的攻击日志的次数,从而减轻了攻击检测装置的处理负担,对识别和拦截攻击的功能影响减小,并减轻了与管理中心之间的网络拥塞。
2)相应地,管理中心相比较现有技术也减少了接收攻击日志的数量,对于管理中心处理负担和因数据库能力有限导致的信息丢失问题带来较大缓解。
3)现有技术中固定30秒的上报周期粒度过大,反映的是该30秒之内的平均水平,但往往黑客的攻击是突发性的,可能在某个5秒内攻击报文数量很大,其并不能够体现出攻击报文的突发特性,造成攻击日志上报的攻击信息严重失真。而本发明的提出基于黑客攻击过程的特性,可以采用小于30秒的上报周期,且在攻击报文数量变化较大时上报攻击日志,从而使得攻击日志的上报更加精确地反映黑客攻击的突发特性,减小攻击日志上报的攻击信息失真,更加方便对攻击特性的分析。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (12)

1、一种上报攻击日志的方法,其特征在于,攻击检测装置在每一个预设的上报周期内执行以下操作:
确定当前上报周期内统计的攻击报文数量与上一次上报的攻击日志包含的攻击报文数量之间的差值;
判断确定的差值是否大于或等于预设的差值阈值,如果是,生成包含当前上报周期内统计的攻击报文数量的攻击日志,并向管理中心上报生成的攻击日志;否则,结束当前上报周期内的流程。
2、根据权利要求1所述的方法,其特征在于,所述预设的上报周期小于30秒。
3、根据权利要求1所述的方法,其特征在于,针对第一个上报周期,将上一次上报的攻击日志包含的攻击报文数量的初始值默认为0;或者,
默认第一个上报周期直接进行攻击日志的生成和上报。
4、根据权利要求1所述的方法,其特征在于,所述差值阈值为:上一次上报的攻击日志包含的攻击报文数量与预设比例值的乘积。
5、根据权利要求1至4任一权项所述的方法,其特征在于,所述管理中心接收到攻击日志后,将攻击日志中包含的攻击报文数量和该攻击日志的上报时间记录在数据库中。
6、根据权利要求5所述的方法,其特征在于,该方法还包括:所述管理中心根据数据库中记录的内容统计整个攻击过程中的攻击报文数量N;所述 N = Σ i = 1 k N i × ( t i + 1 - t i ) / m , 其中,ti为所述攻击检测装置第i次上报攻击日志的时间,k为整个攻击过程中上报攻击日志的总次数,Ni为所述攻击检测装置第i次上报攻击日志所包含的攻击报文数量,m为所述上报周期。
7、根据权利要求5所述的方法,其特征在于,该方法还包括:所述管理中心根据数据库中记录的内容生成整个攻击过程中的攻击报文数量统计图,具体包括:在ti所在的上报周期,攻击报文数量从Ni-1变化至Ni;在ti-1到(ti-m)之间,攻击报文数量均为Ni-1;其中,ti为所述攻击检测装置第i次上报攻击日志的时间,Ni为所述攻击检测装置第i次上报攻击日志所包含的攻击报文数量,m为所述上报周期。
8、一种上报攻击日志的装置,其特征在于,该装置包括:差值确定单元、阈值判断单元、日志上报单元和上报记录单元;
所述差值确定单元,用于在每一个上报周期内,确定当前上报周期内统计的攻击报文数量与所述上报记录单元记录的上一次上报的攻击日志包含的攻击报文数量之间的差值;
所述阈值判断单元,用于判断所述差值确定单元确定的差值是否大于或等于预设的差值阈值;
所述日志上报单元,用于在所述阈值判断单元的判断结果为是时,生成包含当前上报周期内统计的攻击报文数量的攻击日志,并向管理中心上报生成的攻击日志;
所述上报记录单元,用于记录所述日志上报单元上报的攻击日志中包含的攻击报文数量。
9、根据权利要求8所述的装置,其特征在于,所述上报记录单元针对第一个上报周期记录的攻击报文数量的初始值默认为0;或者,
该装置还包括:周期判断单元,用于判断当前上报周期是否为第一个上报周期,如果否,触发所述差值确定单元执行确定差值的操作;如果是,触发所述日志上报单元直接生成包含当前上报周期内统计的攻击报文数量的攻击日志,并向管理中心上报生成的攻击日志。
10、一种上报攻击日志的系统,其特征在于,该系统包含如权利要求6所述的装置以及管理中心;
所述管理中心,用于接收到攻击日志后,将攻击日志中包含的攻击报文数量和该攻击日志的上报时间记录在数据库中。
11、根据权利要求10所述的系统,其特征在于,所述管理中心,还用于根据数据库中记录的内容统计整个攻击过程中的攻击报文数量N;所述 N = Σ i = 1 k N i × ( t i + 1 - t i ) / m , 其中,ti为所述装置第i次上报攻击日志的时间,k为整个攻击过程中上报攻击日志的总次数,Ni为所述装置第i次上报攻击日志所包含的攻击报文数量,m为所述装置的上报周期。
12、根据权利要求10所述的系统,其特征在于,所述管理中心,还用于根据数据库中记录的内容生成整个攻击过程中的攻击报文数量统计图,具体包括:在ti所在的上报周期,攻击报文数量从Ni-1变化至Ni;在ti-1到(ti-m)之间,攻击报文数量均为Ni-1;其中,ti为所述装置第i次上报攻击日志的时间,Ni为所述装置第i次上报攻击日志所包含的攻击报文数量,m为所述装置的上报周期。
CNA2009100901384A 2009-07-29 2009-07-29 一种上报攻击日志的方法、系统和装置 Pending CN101610172A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNA2009100901384A CN101610172A (zh) 2009-07-29 2009-07-29 一种上报攻击日志的方法、系统和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNA2009100901384A CN101610172A (zh) 2009-07-29 2009-07-29 一种上报攻击日志的方法、系统和装置

Publications (1)

Publication Number Publication Date
CN101610172A true CN101610172A (zh) 2009-12-23

Family

ID=41483770

Family Applications (1)

Application Number Title Priority Date Filing Date
CNA2009100901384A Pending CN101610172A (zh) 2009-07-29 2009-07-29 一种上报攻击日志的方法、系统和装置

Country Status (1)

Country Link
CN (1) CN101610172A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101977143A (zh) * 2010-10-12 2011-02-16 河源市特灵通通讯有限公司 基于数据挖掘的无线Mesh网络入侵的检测方法
CN102594581A (zh) * 2011-01-12 2012-07-18 鼎桥通信技术有限公司 一种日志数据的记录方法
WO2012159484A1 (zh) * 2011-05-24 2012-11-29 中兴通讯股份有限公司 一种日志记录管理方法和系统
CN106572083A (zh) * 2016-10-18 2017-04-19 汉柏科技有限公司 一种日志处理方法及系统

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101977143A (zh) * 2010-10-12 2011-02-16 河源市特灵通通讯有限公司 基于数据挖掘的无线Mesh网络入侵的检测方法
CN101977143B (zh) * 2010-10-12 2013-10-23 广东美晨通讯有限公司 基于数据挖掘的无线Mesh网络入侵的检测方法
CN102594581A (zh) * 2011-01-12 2012-07-18 鼎桥通信技术有限公司 一种日志数据的记录方法
CN102594581B (zh) * 2011-01-12 2016-03-16 鼎桥通信技术有限公司 一种日志数据的记录方法
WO2012159484A1 (zh) * 2011-05-24 2012-11-29 中兴通讯股份有限公司 一种日志记录管理方法和系统
CN106572083A (zh) * 2016-10-18 2017-04-19 汉柏科技有限公司 一种日志处理方法及系统

Similar Documents

Publication Publication Date Title
Reyes-Lecuona et al. A page-oriented WWW traffic model for wireless system simulations
CN102769549B (zh) 网络安全监控的方法和装置
CN109194680B (zh) 一种网络攻击识别方法、装置及设备
CN104580216B (zh) 一种对访问请求进行限制的系统和方法
CN101741847A (zh) 一种ddos攻击检测方法
US7669241B2 (en) Streaming algorithms for robust, real-time detection of DDoS attacks
US11095674B2 (en) DDoS attack detection method and device
CN110417747B (zh) 一种暴力破解行为的检测方法及装置
CN111585837B (zh) 物联网数据链路监控方法、装置、计算机设备和存储介质
CN110855717B (zh) 一种物联网设备防护方法、装置和系统
CN101150586A (zh) Cc攻击防范方法及装置
CN112260899B (zh) 基于mmu的网络监测方法和装置
CN112422554A (zh) 一种检测异常流量外连的方法、装置、设备及存储介质
CN101610172A (zh) 一种上报攻击日志的方法、系统和装置
US20050010817A1 (en) Technique of detecting denial of service attacks
CN110177075B (zh) 异常访问拦截方法、装置、计算机设备及存储介质
CN111343135B (zh) 一种网络安全态势检测方法
CN108322354A (zh) 一种偷跑流量账户识别方法及装置
CN108809678A (zh) 一种信息推送的方法以及服务器
CN104734939B (zh) 会话保活方法和设备
US20100175103A1 (en) Reactive throttling of inbound messages and ranges
WO2024159901A1 (zh) 网络攻击的防御方法、网元设备及计算机可读存储介质
WO2024027079A1 (zh) 域名反射攻击检测方法及装置、电子设备、存储介质
CN111641698B (zh) 一种数据统计方法、系统、设备及存储介质
CN108111476B (zh) C&c通道检测方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication

Open date: 20091223