CN101958883A - 一种基于Bloom Filter和开源内核防御SYN Flood攻击的方法 - Google Patents
一种基于Bloom Filter和开源内核防御SYN Flood攻击的方法 Download PDFInfo
- Publication number
- CN101958883A CN101958883A CN2010101332542A CN201010133254A CN101958883A CN 101958883 A CN101958883 A CN 101958883A CN 2010101332542 A CN2010101332542 A CN 2010101332542A CN 201010133254 A CN201010133254 A CN 201010133254A CN 101958883 A CN101958883 A CN 101958883A
- Authority
- CN
- China
- Prior art keywords
- ttl
- address
- packet
- bloom filter
- inner nuclear
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于Bloom Filter和开源内核防御SYN Flood攻击的方法,包括以下步骤:1、遭受SYN-Flood攻击判断;2、构建Bloom Filter结构;3、更新内核层可信IP地址和TTL数据,启用内核层数据包过滤;4、内核层根据可信IP地址和TTL记录过滤TCP SYN数据包;5、停止内核层数据包过滤。本发明可以达到如下的有益效果:1.通过改进Bloom Filter原始的单一位数组对应多个哈希函数的结构,采用一个哈希函数对应一个位数组的结构,有效降低了误报率,在保证准确率的前提下提高了存储和查找数据包的效率,使得本方法可以有效防御SYN Flood攻击。2.通过结合开源操作系统内核层和用户层协同处理来解决内核层效率高但不适宜处理复杂程序和用户层跟内核协议栈不紧密的问题,从而提高了对数据包的处理效率。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于Bloom Filter(即布隆过滤器)和开源内核防御SYN Flood攻击(DDoS攻击的一种,即TCP连接请求泛洪攻击)的方法。
背景技术
拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)是目前常用的网络攻击方式,这种攻击通过发送大量伪造的服务请求,消耗被攻击网络的带宽和受攻击主机的服务资源,从而使得正常的服务请求得不到响应。特别是SYN Flood攻击,由于它利用了TCP/IP协议(Transmission ControlProtocol/Internet Protocol的简写,传输控制协议/因特网互联协议)存在的固有的漏洞,所以现有的协议体系对此攻击毫无免疫力。当前对这种攻击采取的防御手段主要有入侵检测、包过滤、限制半连接数量、缩短操作系统维护半连接的时间长度、利用防火墙作TCP连接的中间代理以及增加资源的方法,如增加网络带宽、增加服务器并同时应用负载均衡技术等,但是这些方法的数据包的存储结构有待改进,而且没有考虑操作系统内核层与用户层的交互,以致对大规模DDoS攻击,基本束手无策。
Bloom Filter是一个广泛应用于网络环境下的高效存储匹配结构,具有占有内存小,匹配速度快等优点,其原理就是利用多次哈希运算在达到快速存储匹配的同时提高匹配的准确率。如附图1所示,初始状态时,Bloom Filter是一个包含m位的位数组,每一位都置为0。为了表达S={x1,x2,…,xn}这样一个n个元素的集合,如附图2所示,Bloom Filter使用k个相互独立的哈希函数(Hash Function),它们分别将集合中的每个元素映射到{1,…,m}的范围中。对任意一个元素x,第i个哈希函数映射的位置hi(x)就会被置为1(1≤i≤k)。在判断y是否属于这个集合时,如附图3所示,我们对y应用k次哈希函数,如果所有hi(y)的位置都是1(1≤i≤k),那么我们就认为y是集合中的元素, 否则就认为y不是集合中的元素。原始的Bloom Filter结构由于采用单一位数组,因此存在误报率大的问题,而且无法存储成对的元素,本发明改进了Bloom Filter结构,降低了误报率,使之适合存储成对的元素,达到了防御SYNFlood攻击的目的。
发明内容
本发明的目的是提供一种防御SYN Flood攻击的方法。
本发明是通过如下方式实现的:
一种基于Bloom Filter和开源内核防御SYN Flood攻击的方法,其特征在于:包括以下步骤:
第一步,遭受SYN-Flood攻击判断;
设置记录时间段,在设置记录时间段内在用户空间检测TCP连接请求包速率,取最小值作为阀值t的初始值;
设置一个单位长度为10的循环数组,数组第n项记录前n秒内TCP连接请求包的个数,记录最近10秒内连接请求包的个数,对此数组求平均值得到最近10秒内SYN包的平均速率,当这个速率超过阀值t时判断系统当前遭受SYN-Flood攻击,再转第2步;否则转第5步;
第二步,构建用户层Bloom Filter结构;
对处于连接状态下的TCP数据包,取其I P地址字段和TTL字段作为可信IP和TTL记录,利用改进的Bloom Filter组织成高效匹配结构;
对所有的TCP数据包,取数据包中的源IP地址字段和源端口字段,并使用查看当前网络联机状态的命令查看包含此源IP地址和源端口的TCP连接是否处于ESTABLISHED状态,对于处于ESTABLISHED状态的TCP数据包取其源IP地址字段和TTL字段,并使用下面的方法构建Bloom Filter结构;
构造2个2048位的一维数组和1个2048*8位的二维数组,其中数组每项为1位。初始状态时把整个数组的每项置为0,为了存储源IP地址A.B.C.D和TTL值总共5个字节的元素,使用ELFHash、RSHash、JSHash、PJWHash这样4个相互独立的哈希函数,用ELFHash哈希函数对IP地址的前两个字节A和B进行运算,即将A和B转换成两个字符,用ELFHash对其进行哈希运算,并将哈希值 对m取模,映射到第1个一维数组;用RSHash哈希函数对IP地址的C和D字节进行运算,并将哈希值对m取模,映射到第二个一维数组;用JSHash哈希函数对IP地址四个字节进行运算,并将运算后的哈希值对m取模,映射到二维数组的第一列的第k个位置,并记录下位置k,同时用PJWHash哈希函数对TTL值进行哈希,将哈希值对n取模,映射到二维数组的第k行。映射时,把映射的位置置为1,构建好Bloom Filter结构后转第3步;
第三步,更新内核层可信IP地址和TTL数据,启用内核层数据包过滤;
当检测到SYN包速率超过阀值t时,用户层通过内核通信方式通知内核开启数据包过滤器,同时把记录的可信IP地址和TTL记录通过内核通信方式发送至内核层组织成Bloom Filter结构,再转第4步;
具体的用户层和内核层通信方式如下:
通信数据包结构包含包头和包数据两部分,包头部分的nlmsg_type字段标志着数据包的类型,用户层发往内核层数据包定义nlmsg_type为4时代表关闭内核层数据包过滤,nlmsg_type为5时开启内核层数据包过滤,此两种类型的数据包无需携带数据,nlmsg_type为1时用户层传送可信IP地址和TTL记录,同时携带数据部分,数据部分为u_packet_info结构体,此结构体包含改进的Bloom Filter结构体三个位向量的一个字节以及字节序号;内核层发往用户层的数据包定义nlmsg_type为2,携带数据为k_packet_info结构体,该结构体包含通过或丢弃信息、源IP、目的IP、TTL、源端口、目的端口;
第四步,内核层根据可信IP地址和TTL记录过滤TCP SYN数据包;
取TCP连接请求包中的IP地址字段和TTL字段,用第二步中构造BloomFilter结构的方法对IP地址和TTL进行哈希操作,在对IP地址进行哈希操作时,如果每个哈希值映射到m位数组的对应位置是1则进行TTL检测,否则丢弃该数据包;
TTL检测:如果对TTL进行哈希操作后映射到二维数组对应位置为1则放行该数据包,否则丢弃;
第五步,停止内核层数据包过滤;
当检测到SYN包速率未超过阀值t并由记录可信IP地址和TTL记录后,停止数据包的过滤,用户层发送关闭命令到内核层数据包过滤模块。
所述Bloom Filter结构为每一个哈希函数对应一个数组并且利用二维数组的方式存储双变量。
利用内核层和用户层协同处理。
采用本发明可以达到如下的有益效果:
1.通过改进Bloom Filter原始的单一数组对应多个哈希函数的结构,采用一个哈希函数对应一个一维数组或二维数组的结构,有效降低了误报率,在保证准确率的前提下提高了存储和查找数据包的效率,使得本方法可以有效防御SYN Flood攻击。
2.通过结合开源操作系统内核层和用户层协同处理来解决内核层效率高但不适宜处理复杂程序和用户层跟内核协议栈不紧密的问题,从而提高了对数据包的处理效率。
附图说明
图1是初始化的Bloom Filter结构。
图2是Bloom Filter存储操作示意图。
图3是Bloom Filter查找操作示意图。
图4是改进的Bloom Filter结构。
图5是用Netlink机制定义的数据包结构。
图6是实施例网络拓扑图。
具体实施方式
下面结合实施例对本发明做进一步说明:
实施例
以H3C MSR 30-40路由器(带OAP单板)平台为例,此例为路由器部署方式。
如图6所示是本例网络拓扑图,H3C MSR 30-40Router是华为3Com面向企业网络的产品。OAP(Open Application Platform)中文名为开放应用平台,是Hangzhou Huawei-3Com公司为新兴业务提供的开放 式应用平台。每一个OAP单板拥有自己的处理器、存储器、内外网络接口以及与路由器的接口。单板上运行独立的Linux系统。
在本例中,保护的是DMZ区域,Internet上的流量流经OAP单板时进行过滤。先在OAP单板运行的Linux系统上作如下准备:
在用户层安装libpcap包(libpcap是unix/linux平台下的网络数据包捕获函数包);在内核层注册协议栈HOOK(钩子函数,通过该函数可以获得协议栈中的所有数据包)函数。
OAP单板上部署动作如下:
1、遭受SYN-Flood攻击判断;
在30分钟内对用户空间TCP连接请求包进行统计,计算出每10秒内TCP连接请求包的个数,取最小值作为阀值t的初始值,如105;
设置一个单位长度为10的循环数组,数组第i项的值设为前i秒内TCP连接请求包的个数,记录最近10秒内连接请求包的个数,对此数组求平均值得到最近10秒内SYN包的平均速率,当这个速率超过阀值105时判断系统有可能遭受SYN-Flood攻击,再转第2步;否则转第5步;
2、构建用户层Bloom Filter结构;
对处于连接状态下的TCP数据包,取其IP地址字段和TTL字段作为可信IP和TTL记录,利用改进的Bloom Filter组织成高效匹配结构;
对最近10秒内的TCP数据包,取数据包中的源IP地址字段和源端口字段,并使用查看当前网络联机状态的命令查看包含此源IP地址和源端口的TCP连接是否处于ESTABLISHED状态,对于处于ESTABLISHED状态的TCP数据包取其源IP地址字段和TTL字段,并使用下面的方法构建Bloom Filter结构;
因为图1所示的Bloom Filter结构只用了一个一维数组存储一个变量,而本方法要求存储IP地址和TTL两个变量,所以如图4所示,构造2个2048位的一维数组和1个2048*8位的二维数组,其中数组每项为1位。初始状态时把整个数组的每项置为0,因为图2中所有哈希函数哈希后映射到同一个一维向量,这样有很大的误判率,因此为了存储源IP地址A.B.C.D和TTL值总共5个字节的元素,使用ELFHash、RSHash、JSHash、PJWHash这样4个相互独立的 哈希函数,用ELFHash哈希函数对IP地址的前两个字节A和B进行运算,即将A和B转换成两个字符,用ELFHash对其进行哈希运算,并将哈希值对m取模,映射到第1个一维数组;用RSHash哈希函数对IP地址的C和D字节进行运算,并将哈希值对m取模,映射到第二个一维数组;用JSHash哈希函数对IP地址四个字节进行运算,并将运算后的哈希值对m取模,映射到二维数组的第一列的第k个位置,同时用PJWHash哈希函数对TTL值进行哈希,将哈希值对n取模,映射到二维数组的第k行。映射时,把映射的位置置为1;构建好BloomFilter结构后转第3步;
3、更新内核层可信IP地址和TTL数据,启用内核层数据包过滤;
用户层通过内核通信方式通知内核开启数据包过滤器,同时把记录的可信IP地址和TTL记录通过内核通信方式发送至内核层组织成内核层的BloomFilter结构,再转第4步;
具体的用户层和内核层通信方式如下:
如图5所示,通信数据包结构包含包头和包数据两部分,包头部分的nlmsg_type字段标志着数据包的类型,用户层发往内核层数据包定义nlmsg_type为4时代表关闭内核层数据包过滤,nlmsg_type为5时开启内核层数据包过滤,此两种类型的数据包无需携带数据,nlmsg_type为1时用户层传送可信IP地址和TTL记录,同时携带数据部分,数据部分为u_packet_info结构体,此结构体包含改进的Bloom Filter结构体三个位向量的一个字节以及字节序号;内核层发往用户层的数据包定义nlmsg_type为2,携带数据为k_packet_info结构体,该结构体包含通过或丢弃信息、源IP、目的IP、TTL、源端口、目的端口;
4、内核层根据可信IP地址和TTL记录过滤TCP SYN数据包;
与如图3所示的方法不同,因为本方法使用的是改进型Bloom Filter,存储了两个变量,采用了二维数组和一维数组,因此查找方法也不一样,取TCP连接请求包中的IP地址字段和TTL字段,用第2步中构造用户层BloomFilter结构的方法对IP地址和TTL进行哈希操作,在对IP地址进行哈希操作时,如果每个哈希值映射到m位数组的对应位置是1则进行TTL检测,否则丢 弃该数据包;
TTL检测:如果对TTL进行哈希操作后映射到二维数组对应位置为1则放行该数据包,否则丢弃;
5、停止内核层数据包过滤;
记录可信IP地址和TTL记录后,停止数据包的过滤,用户层发送关闭命令到内核层数据包过滤模块停止内核层数据包过滤。
具体的记录可信IP地址和TTL记录的方法如下:对最近10秒内的数据包,取数据包中的源IP地址字段和源端口字段,并使用查看当前网络联机状态的命令查看包含此源IP地址和源端口的TCP连接是否处于ESTABLISHED状态,对于处于ESTABLISHED状态的TCP数据包取其源IP地址字段和TTL字段作为可信IP地址和TTL记录。
Claims (3)
1.一种基于Bloom Filter和开源内核防御SYN Flood攻击的方法,其特征在于:包括以下步骤:
第一步,遭受SYN-Flood攻击判断;
设置记录时间段,在设置记录时间段内在用户空间检测TCP连接请求包速率,取最小值作为阀值t的初始值;
设置一个单位长度为10的循环数组,数组第n项记录前n秒内TCP连接请求包的个数,记录最近10秒内连接请求包的个数,对此数组求平均值得到最近10秒内SYN包的平均速率,当这个速率超过阀值t时判断系统当前可能遭受SYN-Flood攻击,再转第2步;否则转第5步;
第二步,构建用户层Bloom Filter结构;
对处于连接状态下的TCP数据包,取其IP地址字段和TTL字段作为可信IP和TTL记录,利用改进的Bloom Filter组织成高效匹配结构;
取TCP数据包中的源IP地址字段和源端口字段,并使用查看当前网络联机状态的命令查看包含此源IP地址和源端口的TCP连接是否处于ESTABLISHED状态,对于处于ESTABLISHED状态的TCP数据包取其源IP地址字段和TTL字段,并使用下面的方法构建Bloom Filter结构;
构造2个2048位的一维数组和1个2048*8位的二维数组,其中数组每项为1位,初始状态时把整个数组的每项置为0,为了存储源IP地址A.B.C.D和TTL值总共5个字节的元素,使用ELFHash、RSHash、JSHash、PJWHash这样4个相互独立的哈希函数,用ELFHash哈希函数对IP地址的前两个字节A和B进行运算,即将A和B转换成两个字符,用ELFHash对其进行哈希运算,并将哈希值对m取模,映射到第1个一维数组;用RSHash哈希函数对IP地址的C和D字节进行运算,并将哈希值对m取模,映射到第二个一维数组;用JSHash哈希函数对IP地址四个字节进行运算,并将运算后的哈希值对m取模,映射到二维数组的第一列的第k个位置,并记录下位置k,同时用PJWHash哈希函数对TTL值进行哈希,将哈希值对n取模,映射到二维数组的第k行;映射时,把映射的位置置为1,构建好Bloom Filter结构后转第3步;
第三步,更新内核层可信IP地址和TTL数据,启用内核层数据包过滤;
当检测到SYN包速率超过阀值t时,用户层通过内核通信方式通知内核开启数据包过滤器,同时把记录的可信IP地址和TTL记录通过内核通信方式发送至内核层组织成内核层Bloom Filter结构,再转第4步;
用户层和内核层通信方式如下:
通信数据包结构包含包头和包数据两部分,包头部分的nlmsg_type字段标志着数据包的类型,用户层发往内核层数据包定义nlmsg_type为4时代表关闭内核层数据包过滤,nlmsg_type为5时开启内核层数据包过滤,此两种类型的数据包无需携带数据,nlmsg_type为1时用户层传送可信IP地址和TTL记录,同时携带数据部分,数据部分为u_packet_info结构体,此结构体包含改进的Bloom Filter结构体三个位向量的一个字节以及字节序号;内核层发往用户层的数据包定义nlmsg_type为2,携带数据为k_packet_info结构体,该结构体包含通过或丢弃信息、源IP、目的IP、TTL、源端口、目的端口;
第四步,内核层根据可信IP地址和TTL记录过滤TCP SYN数据包;
取TCP连接请求包中的IP地址字段和TTL字段,用第二步中构造BloomFilter结构的方法对IP地址和TTL进行哈希操作,在对IP地址进行哈希操作时,如果每个哈希值映射到m位数组的对应位置是1则进行TTL检测,否则丢弃该数据包;
TTL检测:如果对TTL进行哈希操作后映射到二维数组对应位置为1则放行该数据包,否则丢弃;
第五步,停止内核层数据包过滤;
当检测到SYN包速率未超过阀值t并由记录可信IP地址和TTL记录后,停止数据包的过滤,用户层发送关闭命令到内核层数据包过滤模块。
2.如权利要求1所述的一种基于Bloom Filter和开源内核防御SYN Flood攻击的方法,其特征在于所述Bloom Filter结构为每一个哈希函数对应一个数组并且利用二维数组的方式存储双变量。
3.如权利要求1所述的一种基于Bloom Filter和开源内核防御SYNFlood攻击的方法,其特征在于利用内核层和用户层协同处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010133254 CN101958883B (zh) | 2010-03-26 | 2010-03-26 | 一种基于Bloom Filter和开源内核防御SYN Flood攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010133254 CN101958883B (zh) | 2010-03-26 | 2010-03-26 | 一种基于Bloom Filter和开源内核防御SYN Flood攻击的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101958883A true CN101958883A (zh) | 2011-01-26 |
| CN101958883B CN101958883B (zh) | 2012-12-12 |
Family
ID=43485990
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010133254 Expired - Fee Related CN101958883B (zh) | 2010-03-26 | 2010-03-26 | 一种基于Bloom Filter和开源内核防御SYN Flood攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101958883B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102609446A (zh) * | 2012-01-05 | 2012-07-25 | 厦门市美亚柏科信息股份有限公司 | 一种分布式Bloom过滤系统及其使用方法 |
| CN102693277A (zh) * | 2012-04-11 | 2012-09-26 | 佳都新太科技股份有限公司 | 一种海量电话号码的查找方法 |
| CN106649346A (zh) * | 2015-10-30 | 2017-05-10 | 北京国双科技有限公司 | 数据重复性校验方法及装置 |
| CN107046548A (zh) * | 2017-05-22 | 2017-08-15 | 东莞理工学院 | 一种隐私保护下的数据包过滤方法 |
| CN107948175A (zh) * | 2017-11-24 | 2018-04-20 | 成都知道创宇信息技术有限公司 | 一种识别DDoS反射放大攻击的方法 |
| WO2018130137A1 (zh) * | 2017-01-10 | 2018-07-19 | 贵州白山云科技有限公司 | 一种防御网络攻击的方法、装置、介质及设备 |
| CN108768984A (zh) * | 2018-05-17 | 2018-11-06 | 西安电子科技大学 | 基于现场可编程门阵列的检测入侵装置及方法 |
| CN108874941A (zh) * | 2018-06-04 | 2018-11-23 | 成都知道创宇信息技术有限公司 | 基于卷积特征和多重哈希映射的大数据url去重方法 |
| CN109977113A (zh) * | 2019-01-25 | 2019-07-05 | 北京工业大学 | 一种用于医疗影像数据的基于布隆过滤器的HBase索引设计方法 |
| CN110674163A (zh) * | 2019-08-26 | 2020-01-10 | 天津浪淘科技股份有限公司 | 一种基于bs构架的异构数据查询系统及其方法 |
| CN111212096A (zh) * | 2020-01-02 | 2020-05-29 | 杭州圆石网络安全技术有限公司 | 一种降低idc防御成本的方法、装置、存储介质和计算机 |
| CN114244618A (zh) * | 2021-12-22 | 2022-03-25 | 北京天融信网络安全技术有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050165983A1 (en) * | 2004-01-26 | 2005-07-28 | Samsung Electronics Co., Ltd. | System and method for processing data in kernel area by a user command |
| CN101035130A (zh) * | 2007-01-18 | 2007-09-12 | 北京北大方正电子有限公司 | 一种基于浏览器/服务器结构的信息分配方法及系统 |
| CN101122914A (zh) * | 2007-09-14 | 2008-02-13 | 湘潭大学 | 一种基于本体和注释技术的视频检索方法 |
-
2010
- 2010-03-26 CN CN 201010133254 patent/CN101958883B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050165983A1 (en) * | 2004-01-26 | 2005-07-28 | Samsung Electronics Co., Ltd. | System and method for processing data in kernel area by a user command |
| CN101035130A (zh) * | 2007-01-18 | 2007-09-12 | 北京北大方正电子有限公司 | 一种基于浏览器/服务器结构的信息分配方法及系统 |
| CN101122914A (zh) * | 2007-09-14 | 2008-02-13 | 湘潭大学 | 一种基于本体和注释技术的视频检索方法 |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102609446B (zh) * | 2012-01-05 | 2013-12-25 | 厦门市美亚柏科信息股份有限公司 | 一种分布式Bloom过滤系统及其使用方法 |
| CN102609446A (zh) * | 2012-01-05 | 2012-07-25 | 厦门市美亚柏科信息股份有限公司 | 一种分布式Bloom过滤系统及其使用方法 |
| CN102693277A (zh) * | 2012-04-11 | 2012-09-26 | 佳都新太科技股份有限公司 | 一种海量电话号码的查找方法 |
| CN106649346A (zh) * | 2015-10-30 | 2017-05-10 | 北京国双科技有限公司 | 数据重复性校验方法及装置 |
| CN106649346B (zh) * | 2015-10-30 | 2020-09-22 | 北京国双科技有限公司 | 数据重复性校验方法及装置 |
| WO2018130137A1 (zh) * | 2017-01-10 | 2018-07-19 | 贵州白山云科技有限公司 | 一种防御网络攻击的方法、装置、介质及设备 |
| CN107046548B (zh) * | 2017-05-22 | 2020-04-28 | 东莞理工学院 | 一种隐私保护下的数据包过滤方法 |
| CN107046548A (zh) * | 2017-05-22 | 2017-08-15 | 东莞理工学院 | 一种隐私保护下的数据包过滤方法 |
| CN107948175A (zh) * | 2017-11-24 | 2018-04-20 | 成都知道创宇信息技术有限公司 | 一种识别DDoS反射放大攻击的方法 |
| CN108768984A (zh) * | 2018-05-17 | 2018-11-06 | 西安电子科技大学 | 基于现场可编程门阵列的检测入侵装置及方法 |
| CN108768984B (zh) * | 2018-05-17 | 2020-02-21 | 西安电子科技大学 | 基于现场可编程门阵列的检测入侵装置及方法 |
| CN108874941A (zh) * | 2018-06-04 | 2018-11-23 | 成都知道创宇信息技术有限公司 | 基于卷积特征和多重哈希映射的大数据url去重方法 |
| CN108874941B (zh) * | 2018-06-04 | 2021-09-21 | 成都知道创宇信息技术有限公司 | 基于卷积特征和多重哈希映射的大数据url去重方法 |
| CN109977113A (zh) * | 2019-01-25 | 2019-07-05 | 北京工业大学 | 一种用于医疗影像数据的基于布隆过滤器的HBase索引设计方法 |
| CN110674163A (zh) * | 2019-08-26 | 2020-01-10 | 天津浪淘科技股份有限公司 | 一种基于bs构架的异构数据查询系统及其方法 |
| CN111212096A (zh) * | 2020-01-02 | 2020-05-29 | 杭州圆石网络安全技术有限公司 | 一种降低idc防御成本的方法、装置、存储介质和计算机 |
| CN111212096B (zh) * | 2020-01-02 | 2020-07-28 | 杭州圆石网络安全技术有限公司 | 一种降低idc防御成本的方法、装置、存储介质和计算机 |
| CN114244618A (zh) * | 2021-12-22 | 2022-03-25 | 北京天融信网络安全技术有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
| CN114244618B (zh) * | 2021-12-22 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101958883B (zh) | 2012-12-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101958883B (zh) | 一种基于Bloom Filter和开源内核防御SYN Flood攻击的方法 | |
| Singh et al. | Detection and mitigation of DDoS attacks in SDN: A comprehensive review, research challenges and future directions | |
| Meng | Intrusion detection in the era of IoT: Building trust via traffic filtering and sampling | |
| Bawany et al. | DDoS attack detection and mitigation using SDN: methods, practices, and solutions | |
| US11405410B2 (en) | System and method for detecting lateral movement and data exfiltration | |
| Cheng et al. | Machine learning based low-rate DDoS attack detection for SDN enabled IoT networks | |
| KR101070614B1 (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
| EP3374871B1 (en) | System and method for detecting lateral movement and data exfiltration | |
| Sheeja | Intrusion detection system and mitigation of threats in IoT networks using AI techniques: A review. | |
| Cui et al. | TDDAD: Time-based detection and defense scheme against DDoS attack on SDN controller | |
| Swami et al. | DDoS attacks and defense mechanisms using machine learning techniques for SDN | |
| CN104125213A (zh) | 一种防火墙抗分布式拒绝服务ddos攻击的方法和装置 | |
| Kareem et al. | The current trends of ddos detection in sdn environment | |
| Hsiao et al. | Detecting hiding malicious website using network traffic mining approach | |
| Das et al. | Flood control: Tcp-syn flood detection for software-defined networks using openflow port statistics | |
| Bose et al. | Detecting denial of service attacks using cross layer based intrusion detection system in wireless ad hoc networks | |
| Ouyang et al. | A novel framework of defense system against DoS attacks in wireless sensor networks | |
| CN102299901A (zh) | 一种基于二叉树检测UDP Flood攻击和防御的方法 | |
| Chesney et al. | AI empowered intrusion detection for MQTT networks | |
| Wei et al. | TCP DDOS attack detection on the host in the KVM virtual machine environment | |
| Canuto et al. | CoAP flow signatures for the internet of things | |
| Wabi et al. | DDOS attack detection in SDN: Method of attacks, detection techniques, challenges and research gaps | |
| Baiju | Ddos attack detection using SDN techniques | |
| Gil | MULTOPS: A data structure for denial-of-service attack detection | |
| CN102882883A (zh) | P2P网络中基于节点分级的DDoS攻击防御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121212 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |