CN102447707B - 一种基于映射请求的DDoS检测与响应方法 - Google Patents
一种基于映射请求的DDoS检测与响应方法 Download PDFInfo
- Publication number
- CN102447707B CN102447707B CN201110456012.1A CN201110456012A CN102447707B CN 102447707 B CN102447707 B CN 102447707B CN 201110456012 A CN201110456012 A CN 201110456012A CN 102447707 B CN102447707 B CN 102447707B
- Authority
- CN
- China
- Prior art keywords
- mapping
- request
- mapping request
- server
- asr
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013507 mapping Methods 0.000 title claims abstract description 254
- 238000000034 method Methods 0.000 title claims abstract description 87
- 230000004044 response Effects 0.000 title claims abstract description 38
- 238000001514 detection method Methods 0.000 title claims abstract description 32
- 230000002159 abnormal effect Effects 0.000 claims abstract description 29
- 230000008859 change Effects 0.000 claims abstract description 15
- 238000004891 communication Methods 0.000 claims abstract description 11
- 230000006866 deterioration Effects 0.000 claims abstract description 6
- 238000004422 calculation algorithm Methods 0.000 claims description 24
- 230000007246 mechanism Effects 0.000 claims description 14
- 238000001914 filtration Methods 0.000 claims description 8
- 238000012544 monitoring process Methods 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 6
- 238000009825 accumulation Methods 0.000 claims description 5
- 230000002547 anomalous effect Effects 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 claims description 4
- 230000001052 transient effect Effects 0.000 claims description 4
- 238000003745 diagnosis Methods 0.000 claims description 3
- 238000012423 maintenance Methods 0.000 claims description 3
- 238000003860 storage Methods 0.000 claims description 3
- 238000000926 separation method Methods 0.000 abstract description 5
- 230000005856 abnormality Effects 0.000 abstract description 3
- 238000009826 distribution Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 238000003070 Statistical process control Methods 0.000 description 1
- 230000003321 amplification Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003760 hair shine Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000003199 nucleic acid amplification method Methods 0.000 description 1
- 238000013450 outlier detection Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于映射请求的DDoS攻击检测和响应方法,当用户终端之间通信时,首先发送映射请求以获得通信对方的AID-to-RID的映射关系;映射服务器实时监测映射请求流量的变化来判断和识别异常变化点,识别和诊断映射请求流量的异常,以检测标识分离映射网络中的DDoS攻击;当判断出映射请求流量的异常时,诊断和识别标识分离映射网络中的DDoS攻击,并且提前报警;当映射服务器为一条AID-to-RID映射条目产生报警时,映射服务器响应DDoS攻击,遏制异常的攻击流量,防止DDoS攻击的进一步恶化,从而遏制攻击流量进一步威胁受害主机。本发明可以检测和防范DDoS攻击,提高标识分离映射网络的安全性与可靠性。
Description
技术领域
本发明涉及一种基于映射请求的DDoS检测与响应方法,其可检测和防止标识分离映射网络中DDoS攻击,属于计算机网络安全领域。
术语“异常变化点”是由具体的报警算法和实际的网络环境所决定的,不同的报警算法(例如CUSUM或者是小波分析法)可能会设定不同的报警门限,并且这个报警门限也是受到不同网络环境流量的限制。术语“预定义门限”也是需要看具体的网络环境而定,是根据实际运行经验而自己设定的数值,一般情况下,它受到ASR所管理的主机的数量的影响,同时也受到映射请求流量的影响。术语“一定时间”也是根据实际网络环境而定,同时也需要靠管理者的经验。“异常变化点”、“预定义门限”、和“一定时间”一般不能定义具体的数值,因为这些都与实际的网络情况或者管理人员的实际经验有关,同时,据发明人所知,任何检测算法都没有定义这些术语的具体数值。
背景技术
标识分离映射网络是一种新型的网络架构,虽然身份信息与位置信息分离的思想可以解决传统网络中的不合理性和安全隐患,但是,这种分离映射的思想无法解决传统网络中存在的DDoS攻击。
在传统互联网中,Internet网络传输可以看作一个复杂的随机模型,任何传输的异常(比如DDoS攻击)都将导致模型的急剧变化。目前,有两种方法对这种改变进行检测。一种方法是等长批量检测法,它通过检测在单位时间内被观测量变化的平均值实现检测。另一种方法是连续改变点检测方法,它监视的是变量的连续变化情况。其目的是确定观测的时间序列是否符合统计分布,如果不是,找到发生改变的时间点,这种方法具有在线实时检测的能力,符合DDoS检测的要求。使用该种方法一个难点是确定观测序列的整体分布。
到目前为止,关于Internet网络整体流量分布规律的研究已经非常广泛。事实上,通过一个简单的变量模型无法模拟整个网络流量的统计分布。因此,只能采用一种非确定模型的检测方法。
在现有技术中,使用非参数累积和CUSUM(Cumulative SUM)方法检测DDoS攻击。非参数CUSUM检测方法非常适合解决这类问题。该方法具有很多其他序列和非参数检测算法的优点。同时,该算法计算量很小,能够完全满足实时监测的要求。非参数累积和CUSUM算法是著名的变化点检测算法,它是工业生产过程中常用的异常检测算法。CUSUM基于这样一个事实:如果检测到统计过程的均值发生变化,则随机的概率分布也会发生变化。当其用在DDoS攻击检测时,它监测网络流量的变化,若网络流量超过其预设定的阀值(即改变点发生),则表明网络流量出现异常现象,并产生报警。
然而,该方法存在的问题是:由于网络流量是动态的、复杂的和多维度的,因此采用非参数CUSUM方法监测网络流量存在较高的误报率;另外,非参数CUSUM方法虽然能够实时监测Internet中的DDoS攻击,但其不能进行提前报警,即在DDoS攻击流量到达受害者之前产生报警;另外,非参数累计和CUSUM方法不能提供很好的实时响应来控制DDoS攻击流量。
发明内容
本发明的目的是提供一种基于映射请求的DDoS检测与响应方法,其可检测和防止标识分离映射网络中DDoS攻击。
本发明的进一步的目的是提供一种基于映射请求的DDoS检测与响应方法,其在标识分离映射网络中通过映射请求流量的异常来检测DDoS攻击,并发出连锁响应,以防范DDoS攻击,为标识分离映射网络提供了安全保障,确保了用户终端与服务器的可用性,提高了标识分离映射网络的安全性与可靠性。
为此,本发明提交了一种基于映射请求的DDoS攻击检测和响应方法,其特征在于,该方法包括:在标识分离映射网络中,所有用户终端的AID-to-RID映射条目都被分布式存储和维护在映射服务器中,当用户终端之间的通信时,首先发送映射请求以获得通信对方的AID-to-RID的映射关系,因此,在DDoS攻击产生危害之前就可进行报警;映射服务器实时监测映射请求流量的变化来判断和识别异常变化点,识别和诊断映射请求流量的异常,以检测标识分离映射网络中的DDoS攻击;当判断出映射请求流量的异常时,诊断和识别标识分离映射网络中的DDoS攻击,并且提前报警;当映射服务器为一条AID-to-RID映射条目产生报警时,映射服务器响应DDoS攻击,遏制异常的攻击流量,防止DDoS攻击的进一步恶化,从而遏制攻击流量进一步威胁受害主机。
优选地,映射服务器实时地产生报警,映射服务器使用累积和CUSUM算法探寻异常映射请求流量的改变点;异常点检测算法还可以采用其他的基于统计过程的异常点检测算法,如小波分析法。
优选地,当映射请求流量异常而产生报警时,映射服务器的响应方法有:方法一,通过映射服务器与攻击源端的ASR协作来过滤掉恶意的攻击流量;或方法二,映射服务器随机地响应映射请求或者预定义门限,以控制恶意的攻击流量。
优选地,在每一个ASR中都存在一个映射缓存来暂时存储通信对端的映射信息,当映射请求的数量超过预定义的门限时,ASR将映射请求的数量主动汇报给映射服务器,映射服务器用CUSUM算法统计映射请求的数量以报警。
优选地,如果采用方法一,当产生报警时,映射服务器主动告知每个攻击者所在的接入交换路由器ASR,每个ASR可以采用速率限制、或者是包过滤的方法来限制攻击流量,也可以采用数字签名技术保障映射服务器与ASR交互的控制信息的真实性。
优选地,如果采用方法二,针对即将到来的关于受害主机的映射请求,映射服务器可以采用一个随机规则或者是预定义门限的值来进一步响应即将到来的映射请求,即映射服务器随机的响应即将到来的映射请求。当映射请求的数量超过预定义门限时,映射服务器将在一定的时间内不在响应任何关于受害主机的映射请求。
优选地,采用映射缓存门限机制,每一个ASR实时地记录在一定时间内使用同一条映射信息的用户终端的数量,并将此数量主动汇报给映射服务器,映射服务器统计映射请求的数量进而检测异常。
根据本发明,依据标识分离映射网络中新引入的映射机制,提出了一种基于映射请求的DDoS检测和响应方法。该方法使用CUSUM算法,监测映射请求流量的变化,通过映射请求流量的异常来检测DDoS攻击的发生。
根据本发明,可在DDoS攻击发生时提前报警,有效地保障了检测的实时性,增强了合法用户或服务器的可用性。
根据本发明,不用考虑网络流量的复杂性与多维度性,由于映射请求流量的单一性与简单性,降低了检测的误报率,从而提高了DDoS攻击检测的效率。
根据本发明,能够提供实时的响应方法来控制和遏制DDoS攻击流量,防止DDoS攻击的进一步恶化,保障了合法用户通信的不间断性,提高了标识分离映射网络的安全性与可靠性。
附图说明
图1是标识分离映射网络中的DDoS攻击的示意图。
图2是基于映射请求的DDoS攻击检测和响应方法的工作流程示意图。
图3是大量攻击者属于同一个ASR的DDoS攻击示意图。
具体实施方式
基于映射请求的DDoS攻击检测和响应方法的主要工作流程如如图2所示:
步骤一:当大量恶意攻击者发起DDoS攻击时,如图1所示,攻击者首先将攻击数据包发送至其所属的接入交换路由器;
步骤二:当这些接入交换路由器收到攻击者的恶意数据包时,每个接入交换路由器将向映射服务器发送映射请求,查询受害者的AID-to-RID映射信息;
步骤三:当映射服务器收到这些查询受害者映射关系的映射请求时,映射服务器通过CUSUM算法检测映射请求流量的异常突变点;若发现映射请求流量的异常突变点,则产生报警;否则,映射服务器正常回答接入交换路由器的映射请求。
步骤四:当映射服务器产生报警后,可以选择两种方法来控制或遏制DDoS攻击的恶意流量。若选取方法一,映射服务器告知每个攻击者所属的接入交换路由器限制攻击流量;若选取方法二,映射服务器随机响应或者预定义门限响应即将到来的映射请求;
步骤五:倘若映射服务器选取方法一,当攻击者的ASR收到映射服务器的通知后,攻击者的ASR可以采用速率限制rate limiting或者是包过滤packet-filtering的方法来限制攻击流量;倘若映射服务器选取方法二,部分攻击者的ASR会收到映射服务器的映射请求响应,这些攻击者的ASR将不采取任何措施,正常转发攻击者的数据包。
当映射请求流量异常而产生报警时,映射服务器可以采取两种方法进一步遏制DDoS攻击。
方法一,是映射服务器与所有ASR协作来遏制恶意的攻击流量,即当产生报警时,映射服务器主动告知每个攻击者所在的接入交换路由器ASR,每个ASR可以采用速率限制rate limiting或者是包过滤packet-filtering的方法来限制攻击流量。同时,可以采用数字签名技术digital Signature technique保障映射服务器与ASR交互的控制信息的真实性。
方法二,是随机响应映射请求或者预定义门限来控制恶意的攻击流量,即针对即将到来的关于受害主机的映射请求,映射服务器可以采用随机响应或预定义门限的方法来回答映射请求,也就是说,映射服务器可以采用一个随机规则或者是预定义门限的值来进一步响应即将到来的映射请求,当映射请求的数量超过预定义门限时,映射服务器将在一定的时间内不在响应任何关于受害主机的映射请求。这种方法可以降低攻击者的数量,从而间接降低到达受害主机的攻击流量。
如图3所示,当大量攻击者属于同一个ASR向受害者发起DDoS攻击时,由于映射缓存的存在,这个ASR可能仅仅发送一次映射请求来查询受害者的映射关系,这就造成了映射服务器收到的映射请求流量的降低,从而影响检测的效率。为了解决这个问题,可以采用映射请求门限机制从ASR的映射缓存中解耦出映射请求流量。当受害者的AID-to-RID映射信息条目在接入交换路由器映射缓存中是处于活跃状态时,即此条映射信息的计时器的计时时间没有超过其Time-to-Live值,ASR将要在一定时间内记录最近使用这条映射信息的主机数量,倘若此数量超过了我们预先定义的映射请求门限值,则ASR将这个数量告知映射服务器。映射请求门限机制可以用公式表示为:
其中,d(yn)代表在指定的时间周期内ASR发送到映射服务器的映射请求数量;yn代表在第n个时间周期内ASR记录的最近使用这条映射信息的主机数量;m是根据实际经验预设定的映射请求门限值。
特别是,异常点检测算法可以是CUSUM算法,也可以采用其他的基于统计过程的异常点检测算法所替代,例如,小波分析法。
特别是,映射请求门限机制可以采用基于流量的统计方法,即ASR记录使用某一条映射信息的流量变化,当流量值超过预设定的门限时,ASR向映射服务器发送一个映射请求,但这种方法会增加检测的误报率。
特别是,数字签名机制不限定必须使用哪种数字签名技术,任何数字签名机制可以通用到本发明中。
本发明结合标识分离映射网络中身份与位置分离的特点,依据标识分离映射网络中新引入的映射机制,通过在映射服务器中部署检测方法,实时监测映射请求流量的变化来判断和识别异常变化点,从而实现对DDoS攻击的检测。
本发明使用CUSUM算法检测映射请求异常流量的突变点,完成异常报警,极大地提高了检测的及时准确性。
在标识分离映射网络中,当一个DDoS攻击发生时,所有攻击者首先需要发送映射请求来获得受害主机的AID-to-RID的映射关系,因此,本发明提出的检测方法能够在DDoS攻击产生危害之前进行报警。
本发明不用考虑网络流量的复杂性与多维度性,由于映射请求流量的单一性与简单性,降低了检测的误报率,从而提高了DDoS攻击检测的效率。
本发明提供两种实时响应方法来控制和遏制DDoS攻击的流量,方法一是映射服务器与所有ASR协作来遏制恶意的攻击流量;方法二是随机响应映射请求或者预定义门限来控制恶意的攻击流量。
为了解决ASR中映射缓存所带来的影响,本发明提出了映射缓存门限机制。
根据本发明的一种基于映射请求的DDoS攻击检测和响应方法。在标识分离映射网络中,用户终端之间的通信首先需要发送映射请求来获得通信对方的AID-to-RID的映射关系,因此,当一个DDoS攻击发生时,映射请求流量也随之变化。
本发明结合了标识分离映射网络中身份与位置分离体系结构的特点,通过使用CUSUM算法来检测映射请求流量的变化,从而识别标识分离映射网络中的DDoS攻击,保障了合法用户或服务器的可用性。
一旦报警产生,两种有效地响应方法可以被实施去遏制异常的攻击流量,防止DDoS攻击的进一步恶化,提高了标识分离映射网络的安全性与可靠性。
通过判断映射请求流量的异常来诊断和识别标识分离映射网络中的DDoS攻击。在标识分离映射网络中,所有用户终端的AID-to-RID映射条目都被分布式存储和维护在映射服务器中。
当许多攻击者或者是僵尸主机向受害主机发送大量无用的数据包时,他们的接入交换路由器ASR首先向映射服务器发送映射请求,以获得受害主机的AID-to-RID映射信息。
因此,本发明在映射服务器中实施异常检测,映射服务器负责识别和诊断映射请求流量的异常,以检测标识分离映射网络中的DDoS攻击。
为了让映射服务器实时地产生报警,映射服务器使用累积和CUSUM算法探寻异常映射请求流量的改变点。
一旦映射服务器为某一条AID-to-RID映射条目产生报警,映射服务器能够采用两种方法来响应DDoS攻击,从而遏制攻击流量进一步威胁受害主机。
方法一是通过映射服务器与攻击源端的ASR协作来过滤掉恶意的攻击流量;方法二是映射服务器随机的响应映射请求来控制恶意的攻击流量。
另外,由于在每一个ASR中都存在一个映射缓存来暂时存储通信对端的映射信息,这就有可能降低检测的效率,为此,本发明提出了映射缓存门限机制来解决这个问题,即当映射请求的数量超过预定义的门限时,ASR将映射请求的数量主动汇报给映射服务器,映射服务器使用CUSUM算法统计映射请求的数量进行报警。
为了能够准确及时地检测出映射请求流量的突变点,映射服务器使用CUSUM算法完成异常报警。CUSUM算法是统计过程控制中常用的算法,该算法是对信息进行累加,将过程中的小偏移量累加起来,达到放大的效果,以便提高检测灵敏度。CUSUM算法在检测均值的小偏移时比较有效,而且根据点的倾斜程度的改变,可以方便、直观地检测到变化。
当映射请求流量异常而产生报警时,映射服务器可以采取两种方法进一步遏制DDoS攻击。
方法一是映射服务器与所有ASR协作来遏制恶意的攻击流量,即当产生报警时,映射服务器主动告知每个攻击者所在的接入交换路由器ASR,每个ASR可以采用速率限制rate limiting或者是包过滤packet-filtering的方法来限制攻击流量。同时,可以采用数字签名技术digital signature technique保障映射服务器与ASR交互的控制信息的真实性。
方法二是随机响应映射请求或者预定义门限来控制恶意的攻击流量,即针对即将到来的关于受害主机的映射请求,映射服务器可以采用随机响应或预定义门限的方法来回答映射请求,也就是说,映射服务器可以采用一个随机规则或者是预定义门限的值来进一步响应即将到来的映射请求,当映射请求的数量超过预定义门限时,映射服务器将在一定的时间内不在响应任何关于受害主机的映射请求。这种方法可以降低攻击者的数量,从而间接降低到达受害主机的攻击流量。
在标识分离映射网络中,每一个接入网中的ASR都拥有一个映射缓存来存储通信对端暂时的映射信息,每一条映射信息都拥有一个存活时间值(Time-to-Live),即映射信息在映射缓存中的生命期,如果此条映射信息的计时器的计时时间超过其Time-to-Live值,则接入交换路由器将删除此条映射信息。这就存在一个问题:当大量攻击者同时属于同一个ASR时,会造成映射请求流量的降低,从而有可能降低检测的效率。为了解决这个问题,本发明提出了映射缓存门限机制:每一个ASR实时记录在一定时间内使用同一条映射信息的用户终端的数量,并将此数量主动汇报给映射服务器,映射服务器统计映射请求的数量进而检测异常。
本发明针对标识分离映射网络中存在的DDoS攻击,提出了一种基于映射请求的检测和响应DDoS攻击的方法。本发明能够监测映射请求流量的变化,通过映射请求流量的报警来间接诊断DDoS攻击的发生,能够在DDoS攻击发生时进行提前报警,有效地保障了合法用户或服务器的可用性。本发明不用考虑网络流量的复杂性与多维度性,由于映射请求流量的单一性与简单性,降低了检测的误报率,从而提高了DDoS攻击检测的效率。同时,本发明能够提供实时的响应方法来控制和遏制DDoS攻击流量,防止DDoS攻击的进一步恶化,提高了标识分离映射网络的安全性与可靠性。
Claims (5)
1.一种基于映射请求的DDoS攻击检测和响应方法,其特征在于,该方法包括:在标识分离映射网络中,所有用户终端的AID-to-RID映射条目都被分布式存储和维护在映射服务器中,当用户终端之间通信时,首先发送映射请求以获得通信对方的AID-to-RID的映射关系,在DDoS攻击产生危害之前就进行报警;映射服务器实时监测映射请求流量的变化来判断和识别异常变化点,识别和诊断映射请求流量的异常,以检测标识分离映射网络中的DDoS攻击;当判断出映射请求流量的异常时,诊断和识别标识分离映射网络中的DDoS攻击,并且提前报警;当映射服务器为一条AID-to-RID映射条目产生报警时,映射服务器响应DDoS攻击,遏制异常的攻击流量,防止DDoS攻击的进一步恶化,从而遏制攻击流量进一步威胁受害主机,
当映射请求流量异常而产生报警时,映射服务器的响应方法有:方法一,通过映射服务器与攻击源端的ASR协作来过滤掉恶意的攻击流量;或方法二,映射服务器随机地响应映射请求,以控制恶意的攻击流量;
如果采用方法一,当产生报警时,映射服务器主动告知每个攻击者所在的接入交换路由器ASR,每个ASR采用速率限制、或者是包过滤的方法来限制攻击流量,也可以采用数字签名技术保障映射服务器与ASR交互的控制信息的真实性;
如果采用方法二,针对即将到来的关于受害主机的映射请求,映射服务器采用一个随机规则来进一步响应即将到来的映射请求。
2.如权利要求1所述的基于映射请求的DDoS攻击检测和响应方法,其特征在于,映射服务器实时地产生报警,映射服务器使用累积和CUSUM算法探寻异常映射请求流量的改变点;映射服务器还采用基于统计过程的小波分析法作为异常点检测算法来探寻异常映射请求流量的改变点。
3.如权利要求1所述的基于映射请求的DDoS攻击检测和响应方法,其特征在于,在每一个网络中的攻击源端的接入交换路由器ASR中都存在一个映射缓存来暂时存储通信对端的映射信息,当映射请求的数量超过预定义的门限值时,网络中的攻击源端的接入交换路由器ASR将映射请求的数量主动汇报给映射服务器,映射服务器用CUSUM算法统计映射请求的数量以报警。
4.如权利要求1所述的基于映射请求的DDoS攻击检测和响应方法,其特征在于,采用映射缓存门限机制,每一个ASR实时地记录在一定时间内使用同一条映射信息的用户终端的数量,并将此数量主动汇报给映射服务器,映射服务器统计映射请求的数量进而检测异常。
5.如权利要求1所述的基于映射请求的DDoS攻击检测和响应方法,其特征在于,当大量攻击者属于同一个ASR向受害者发起DDoS攻击时,采用映射请求门限机制从ASR的映射缓存中计算出映射请求流量,当受害者的AID-to-RID映射信息条目在接入交换路由器映射缓存中是处于活跃状态时,即此条映射信息的计时器的计时时间没有超过其Time-to-Live值,ASR将要在一定时间内记录最近使用这条映射信息的主机数量,倘若此数量超过了预先定义的映射请求门限值,则ASR将这个数量告知映射服务器,映射请求门限机制用公式表示为:
其中,d(yn)代表在指定的时间周期内ASR发送到映射服务器的映射请求数量;yn代表在第n个时间周期内ASR记录的最近使用这条映射信息的主机数量;m是根据实际经验预设定的映射请求门限值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110456012.1A CN102447707B (zh) | 2011-12-30 | 2011-12-30 | 一种基于映射请求的DDoS检测与响应方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110456012.1A CN102447707B (zh) | 2011-12-30 | 2011-12-30 | 一种基于映射请求的DDoS检测与响应方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102447707A CN102447707A (zh) | 2012-05-09 |
| CN102447707B true CN102447707B (zh) | 2014-11-26 |
Family
ID=46009796
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110456012.1A Active CN102447707B (zh) | 2011-12-30 | 2011-12-30 | 一种基于映射请求的DDoS检测与响应方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102447707B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102932330A (zh) * | 2012-09-28 | 2013-02-13 | 北京百度网讯科技有限公司 | 一种检测分布式拒绝服务攻击的方法和装置 |
| CN104883362A (zh) * | 2015-05-11 | 2015-09-02 | 北京交通大学 | 异常访问行为控制方法及装置 |
| CN105208022A (zh) * | 2015-09-14 | 2015-12-30 | 北京交通大学 | 报警信息生成方法及装置 |
| CN105429936B (zh) * | 2015-10-21 | 2018-10-09 | 北京交通大学 | 专网路由器内存储资源恶意占用抵御方法及装置 |
| EP3422659A1 (en) * | 2017-06-30 | 2019-01-02 | Thomson Licensing | Method of blocking distributed denial of service attacks and corresponding apparatus |
| CN109842919B (zh) * | 2017-11-28 | 2021-11-23 | 阿里巴巴集团控股有限公司 | 一种终端与基站的通信、终端的入网方法和装置 |
| CN110149324B (zh) * | 2019-05-13 | 2020-02-14 | 特斯联(北京)科技有限公司 | 一种网络防攻击方法、装置及设备 |
| CN111786962A (zh) * | 2020-06-12 | 2020-10-16 | 广州市和昊信息技术有限公司 | 一种网络安全监控系统 |
| CN113365249B (zh) * | 2021-05-06 | 2023-01-03 | 西安交通大学 | 一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101702727A (zh) * | 2009-11-25 | 2010-05-05 | 北京交通大学 | 地址分离映射网络中DDoS防御方法 |
| US20110016523A1 (en) * | 2009-07-14 | 2011-01-20 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting distributed denial of service attack |
-
2011
- 2011-12-30 CN CN201110456012.1A patent/CN102447707B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110016523A1 (en) * | 2009-07-14 | 2011-01-20 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting distributed denial of service attack |
| CN101702727A (zh) * | 2009-11-25 | 2010-05-05 | 北京交通大学 | 地址分离映射网络中DDoS防御方法 |
Non-Patent Citations (2)
| Title |
|---|
| 《位置与身份分离协议下一种基于信任度模型的新型映射机制》;万明等;《通信学报》;20110731;第32卷(第7期);第133-145页 * |
| 万明等.《位置与身份分离协议下一种基于信任度模型的新型映射机制》.《通信学报》.2011,第32卷(第7期),第133-145页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102447707A (zh) | 2012-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102447707B (zh) | 一种基于映射请求的DDoS检测与响应方法 | |
| US10635817B2 (en) | Targeted security alerts | |
| CN101355463B (zh) | 网络攻击的判断方法、系统和设备 | |
| CN111404909B (zh) | 一种基于日志分析的安全检测系统及方法 | |
| Zhang et al. | Anomaly based network intrusion detection with unsupervised outlier detection | |
| US8326974B2 (en) | Typicality filtering of event indicators for information technology resources | |
| CN105141598A (zh) | 基于恶意域名检测的apt攻击检测方法及装置 | |
| CN107239707A (zh) | 一种用于信息系统的威胁数据处理方法 | |
| CN107508831B (zh) | 一种基于总线的入侵检测方法 | |
| CN101980506A (zh) | 一种基于流量特征分析的分布式入侵检测方法 | |
| CN113067804A (zh) | 网络攻击的检测方法、装置、电子设备及存储介质 | |
| CN106209902A (zh) | 一种应用于知识产权运营平台的网络安全系统及检测方法 | |
| CN101572609A (zh) | 检测拒绝服务攻击的方法及其装置 | |
| CN103036743B (zh) | 一种窃密木马的tcp心跳行为的检测方法 | |
| CN110618977B (zh) | 登录异常检测方法、装置、存储介质和计算机设备 | |
| CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
| CN117879961A (zh) | 一种态势感知系统的威胁预警分析模型 | |
| CN117729032A (zh) | 一种办公网络夜间安全防护方法 | |
| CN107277070A (zh) | 一种计算机网络入侵防御系统及入侵防御方法 | |
| Park et al. | Statistical process control‐based intrusion detection and monitoring | |
| CN106330975A (zh) | 一种基于scada系统的周期性异常检测的方法 | |
| Elshoush | An innovative framework for collaborative intrusion alert correlation | |
| CN111490976A (zh) | 一种面向工控网络的动态基线管理与监测方法 | |
| KR101576993B1 (ko) | 캡차를 이용한 아이디도용 차단방법 및 차단 시스템 | |
| CN101882997A (zh) | 一种基于nba的网络安全评估方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160512 Address after: 100044, Beijing, Haidian District sorghum Bridge oblique Street No. 59, No. 1, building 16, 1606 Patentee after: CHINA HIGH-SPEED RAILWAY TECHNOLOGY CO.,LTD. Address before: 100044 Beijing city Haidian District Shangyuan Village No. 3 Patentee before: Beijing Jiaotong University |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211202 Address after: 100083 2-305-18-7, 3 / F, building 2, yard 59, gaoliangqiaoxie street, Haidian District, Beijing Patentee after: BEIJING DPSHEEN ORBITAL TECHNOLOGY CO.,LTD. Address before: 100044 1606, 16th floor, building 1, yard 59, gaoliangqiaoxie street, Haidian District, Beijing Patentee before: CHINA HIGH-SPEED RAILWAY TECHNOLOGY CO.,LTD. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240327 Address after: 100044 1606, 16 / F, Zhongkun building, No.59 courtyard, gaoliangqiaoxie street, Haidian District, Beijing Patentee after: CHINA HIGH-SPEED RAILWAY TECHNOLOGY CO.,LTD. Country or region after: China Address before: 100083 2-305-18-7, 3 / F, building 2, yard 59, gaoliangqiaoxie street, Haidian District, Beijing Patentee before: BEIJING DPSHEEN ORBITAL TECHNOLOGY CO.,LTD. Country or region before: China |