CN102487339B - 一种网络设备攻击防范方法及装置 - Google Patents
一种网络设备攻击防范方法及装置 Download PDFInfo
- Publication number
- CN102487339B CN102487339B CN201010567907.8A CN201010567907A CN102487339B CN 102487339 B CN102487339 B CN 102487339B CN 201010567907 A CN201010567907 A CN 201010567907A CN 102487339 B CN102487339 B CN 102487339B
- Authority
- CN
- China
- Prior art keywords
- attack
- message
- port
- main frame
- network equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种网络设备攻击防范方法及装置,所述方法包括:检测周期开始,解析网络设备接收到的报文,分别计数网络设备各端口收到的每种报文的数目,同时分别计数来自不同主机的报文数目;检测周期结束,获取各项计数结果,若某个端口收到的某种报文的速率大于其对应的预设阈值,则确定该端口收到的该类报文存在攻击行为,若来自某个主机的报文速率大于其对应的预设阈值,则确定来自该主机的报文存在攻击行为;丢弃存在攻击行为的报文。所述装置包括报文计数模块、攻击行为确定模块和攻击处理模块。本发明可以具体针对协议报文的类型和特定主机进行防范,从而达到了防范网络设备攻击的目的。
Description
技术领域
本发明涉及网络通信技术,尤其涉及一种网络设备攻击防范方法及装置。
背景技术
随着网络技术的发展和普及,网络设备的安全可靠变得越来越重要,也越来越多的受到人们的重视。目前网络上对于网络设备的攻击日趋频繁,而且手段也越发多样,这给网络设备自身的安全和整个网络的安全稳定带来了巨大的挑战。为了增强这些网络设备的安全防范性能,使其具有更强的抗网络攻击能力和更好的网络适应性,需要对网络设备攻击防范技术做进一步的研究。
目前对于网络设备的攻击手段主要有拒绝服务型(DoS,Deny of Service)攻击、扫描窥探攻击和畸形报文攻击三大类。拒绝服务型攻击是使用大量的数据包攻击网络设备,使网络设备无法接受正常用户的请求,或者使网络设备挂起不能提供正常的工作。DoS攻击主要有SYN Flood、Fraggle等。拒绝服务型攻击和其他类型的攻击的不同之处在于:攻击者并不是去寻找进入内部网络的入口,而是阻止合法用户访问资源或路由器,比如发送大量的协议请求报文到处理器,造成处理器一直处理这些请求而没法响应其他用户的合法请求。扫描窥探攻击是利用ping扫射(包括ICMP和TCP)来标识网络设备,从而准确的指出潜在的目标:利用TCP和UDP端口扫描,就能检测出操作系统和监听者的潜在服务。攻击者通过扫描窥探就能大致了解目标网络设备提供的服务种类和潜在的安全漏洞,为进一步侵入网络设备做好准备。畸形报文攻击是通过向网络设备发送有缺陷的IP报文,使得网络设备在处理这样的IP包时会出现崩溃,给网络设备带来损失。畸形报文攻击主要有Ping of Death、Teardrop等。
上述这几种攻击类型当中大多数手段是利用网络设备的CPU处理能力有限,通过在短时间内集中大量的数据包来冲击网络设备的CPU,从而使得网络设备的CPU疲于响应攻击报文,导致其他正常的数据和报文得不到有效处理来达到攻击的目的。
发明内容
本发明提供一种网络设备攻击防范方法及装置,通过对网络设备接收到的报文的分析检测,实现对特定端口的特定报文类型或特定主机的报文攻击防范。
本发明技术方案包括:
一种网络设备攻击防范方法,包括步骤:
A、检测周期开始,解析网络设备接收到的报文,分别计数网络设备各端口收到的每种报文的数目,同时分别计数来自不同主机的报文数目;
B、检测周期结束,获取各项计数结果,若某个端口收到的某种报文的速率大于其对应的预设阈值,则确定该端口收到的该类报文存在攻击行为,若来自某个主机的报文速率大于其对应的预设阈值,则确定来自该主机的报文存在攻击行为;
C、丢弃存在攻击行为的报文。
进一步地,所述步骤B中,若本检测周期内未发生攻击行为,且之前的检测周期中也未发生过攻击行为,则清除所有端口及主机的报文计数值。
进一步地,所述步骤B中,若本检测周期内未发生攻击行为,然而之前的检测周期中发生过攻击行为,则判断发生过攻击行为的端口或主机的未再发生攻击行为的周期是否达到预设的阈值,若达到,则解除发生过攻击行为的端口或主机的报文丢弃措施,同时将其报文计数值清除,否则,将发生过攻击行为的端口或主机对应的未再发生攻击行为的周期计数值加一。
进一步地,所述步骤A中报文计数的具体过程为:
根据接收到的报文的端口号及报文类型信息,分别计数网络设备各端口收到的每种报文的数目,将结果存储到以设备端口为索引的全局数组中;同时根据接收到的报文中的主机信息,分别计数来自不同主机的报文数目,将结果存储到主机信息链表中。
进一步地,在确定某个端口收到的某种报文存在攻击行为时,将该端口中该类报文的攻击行为标志位置位;在确定来自某个主机的报文存在攻击行为时,将该主机的攻击行为标志位置位。
进一步地,所述检测周期为1秒。
一种网络设备攻击防范装置,包括:
报文计数模块,用于在检测周期开始后解析网络设备接收到的报文,分别计数网络设备各端口收到的每种报文的数目,同时分别计数来自不同主机的报文数目;
攻击行为确定模块,用于在检测周期结束后获取各项计数结果,若某个端口收到的某种报文的速率大于其对应的预设阈值,则确定该端口收到的该类报文存在攻击行为,若来自某个主机的报文速率大于其对应的预设阈值,则确定来自该主机的报文存在攻击行为;
攻击处理模块,用于丢弃存在攻击行为的报文。
进一步地,若所述攻击行为确定模块判定本检测周期内未发生攻击行为,且之前的检测周期中也未发生过攻击行为,则通知报文计数模块清除所有端口及主机的报文计数值。
进一步地,若所述攻击行为确定模块判定本检测周期内未发生攻击行为,然而之前的检测周期中发生过攻击行为,则判断发生过攻击行为的端口或主机的未再发生攻击行为的周期是否达到预设的阈值,若达到,则通知攻击处理模块解除发生过攻击行为的端口或主机的报文丢弃措施,同时通知报文计数模块将发生过攻击行为的端口或主机的报文计数值清除,否则,将发生过攻击行为的端口或主机对应的未再发生攻击行为的周期计数值加一。
进一步地,所述检测周期为1秒。
本发明有益效果如下:
本发明能够对网络设备的具体端口以及由其送至网络设备的报文进行全面的监控,可以具体针对协议报文的类型和特定主机进行防范,从而达到了防范网络设备攻击的目的。
附图说明
图1为本发明所述网络设备攻击防范方法的流程图;
图2为本发明中网络设备CPU收包驱动对报文的检测分类流程图;
图3为本发明中检测到端口上有攻击网络设备CPU行为后的处理流程图;
图4为本发明所述网络设备攻击防范装置的结构框图。
具体实施方式
本发明的主要技术构思是在网络设备的收包部分对接收到的报文进行分析检测,判定攻击行为是否存在,并根据分析判定的结果实施相应的动作措施,以达到防范网络设备受到报文攻击的目的。
具体来说就是在检测周期开始后,网络设备CPU的收包驱动中检测经由硬件送至CPU的报文,从报文中读取端口号,同时分析报文内容,将其分类,比如为ARP(Address Resolution Protocol,地址解析协议)报文、IGMP(InternetGroup Management Protocol,网际组管理协议)报文、ICMP(Internet ControlMessage Protocol,网际控制信息协议)报文、DHCP(Dynamic Host ConfigurationProtocol,动态主机配置协议)/PPPOE(Point-to-Point Protocol over Ethernet,以太网的点对点协议)报文、BPDU(Bridge Protocol Data Unit,网桥协议数据单元)报文、还是其他报文等等,并对各端口送至CPU的各种类型报文的数目分别进行计数。同时在分析报文之后将其中的主机信息提取出来,记录到主机信息链表中,同时计数该主机送来的报文。待检测周期结束时,检测进程主动获取CPU收包驱动中的各项计数结果,并和预先设定的标准进行比较,若检测到某端口送至CPU的某种报文速率大于其对应的预设阈值,即可以认定CPU受到来自该端口的该种类型的报文攻击(比如端口送至CPU的ARP报文速率大于10pps,即可以认定CPU受到来自该端口的ARP报文的攻击),以及是来自具体哪个主机的攻击;若检测到来自某个主机的报文速率大于其对应的预设阈值,即可以认定CPU受到来自该主机的报文攻击。然后对各相关计数器和标志位进行赋值或清除操作,CPU的收包驱动便可以根据这些被置位的标志位来决定丢弃送至CPU的被认定为攻击的报文。
下面结合各个附图对本发明的具体实现过程予以进一步详细的说明。
请参阅图1,该图为本发明所述网络设备攻击防范方法的流程图,本发明所述网络设备攻击防范方法属于一种基于软件分析实现对网络设备CPU攻击的防范方法,主要包括以下步骤:
步骤一、设置各项参数。
具体包括:网络设备CPU攻击的检测周期,默认设置为1s;端口上判定报文攻击网络设备CPU的报文速率阈值,判定某个主机攻击网络设备CPU的报文速率阈值;初始化各端口的各类计数器和标志位的值;同时,开辟一个主机信息链表,链表中的各节点中记录了每个发送报文到网络设备CPU的主机的IP地址和其送至CPU的报文计数,以及该主机是否存在攻击行为的标志位。
步骤二、启动检测任务进程。
请参阅图2,该图为本发明中网络设备CPU收包驱动对报文的检测分类流程图,由图中可见,网络设备CPU收包驱动中对接收到的报文进行内容分析归类,属于哪个端口接收到的哪种类型的报文就将其计数值相应增加,并将结果存储到以端口为索引的全局数组结构中去;接着提取报文中的主机信息,遍历主机信息链表,若已有记录,则将节点中的报文计数加1,否则将其记录到链表中新的节点,并将报文计数加1。
步骤三、确定网络设备各端口或者某个特定主机是否存在利用报文攻击网络设备CPU的行为。
请参阅图3,该图为本发明中检测到端口上有攻击网络设备CPU行为后的处理流程图,如图中可见,检测周期结束时,检测进程主动获取全局数组的值,并以端口为索引,将数组结构中的各项结果与开始阶段设定的阈值进行比对,若有达到或超过设定阈值的项存在,则表明存在攻击CPU的行为,则将相应端口的数组结构中攻击CPU的标志位以及报文类型标志位置位。同时,根据主机信息链表中记录的各个主机发送的报文数判定是否存在有恶意攻击行为的主机,若有,则将该主机信息存到一个记录攻击行为主机的数组中去。
步骤四、检测到端口或主机存在报文攻击CPU的行为之后的处理。
在检测到端口或主机存在报文攻击CPU的行为后,置位全局数组中相应元素结构中的相应标志位或主机信息链表中相应节点的标志位,根据标志位即可知道具体CPU受到哪个端口何种类型(或特定主机)的报文攻击,(设为X端口Y型报文攻击),然后设置丢弃X端口Y(或该特定主机)报文的标识变量。CPU收包驱动中根据上述置位标志量来决定丢弃哪(几)个端口的哪(几)种类型的报文,或者丢弃某个特定主机的报文。
若本检测周期内没有攻击行为发生,进一步地,若某端口或链表中主机的攻击CPU的标志位当前被置位(即之前被检测出存在攻击行为但尚未被认定攻击已经结束),则给全局数组相应元素结构或链表节点中的未再发生攻击行为的周期计数值加1,否则,将端口和链表各节点上的各项计数值清零,然后返回步骤二,进入下一个检测周期。若自前次被认定存在攻击行为之后的连续N个周期(N为预设的阈值,可设定)内都未再被认定发生新的攻击行为(即端口或主机的攻击CPU的标志位当前被置位,且未发生攻击的周期计数值达到N次),则认为该端口或主机已经恢复正常,可以解除对端口或主机送至CPU的报文的限制措施,并将端口或主机攻击CPU的标志位和各项计数器的值清零,返回步骤二,进入下一个检测周期。
相应于本发明上述方法,本发明还提供了一种网络设备攻击防范装置,请参阅图4,该图为本发明所述网络设备攻击防范装置的结构框图,其主要包括:
报文计数模块,用于在检测周期开始后解析网络设备接收到的报文,分别计数网络设备各端口收到的每种报文的数目,同时分别计数来自不同主机的报文数目;所述检测周期为1秒。
攻击行为确定模块,用于在检测周期结束后获取各项计数结果,若某个端口收到的某种报文的速率大于其对应的预设阈值,则确定该端口收到的该类报文存在攻击行为,若来自某个主机的报文数目大于其对应的预设阈值,则确定来自该主机的报文存在攻击行为。
攻击处理模块,用于丢弃存在攻击行为的报文。
其中,若所述攻击行为确定模块判定本检测周期内未发生攻击行为,且之前的检测周期中也未发生过攻击行为,则通知报文计数模块清除所有端口及主机的报文计数值;
若所述攻击行为确定模块判定本检测周期内未发生攻击行为,然而之前的检测周期中发生过攻击行为,则判断发生过攻击行为的端口或主机的未再发生攻击行为的周期是否达到预设的阈值,若达到,则通知攻击处理模块解除发生过攻击行为的端口或主机的报文丢弃措施,同时通知报文计数模块将发生过攻击行为的端口或主机的报文计数值清除,否则,将发生过攻击行为的端口或主机对应的未再发生攻击行为的周期计数值加一。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (6)
1.一种网络设备攻击防范方法,其特征在于,包括步骤:
A、检测周期开始,解析网络设备接收到的报文,分别计数网络设备各端口收到的每种报文的数目,同时分别计数来自不同主机的报文数目;
B、检测周期结束,获取各项计数结果,若某个端口收到的某种报文的速率大于其对应的预设阈值,则确定该端口收到的该类报文存在攻击行为,若来自某个主机的报文速率大于其对应的预设阈值,则确定来自该主机的报文存在攻击行为;
C、丢弃存在攻击行为的报文;
其中,所述步骤B中,若本检测周期内未发生攻击行为,且之前的检测周期中也未发生过攻击行为,则清除所有端口及主机的报文计数值;
所述步骤B中,若本检测周期内未发生攻击行为,然而之前的检测周期中发生过攻击行为,则判断发生过攻击行为的端口或主机的未再发生攻击行为的周期是否达到预设的阈值,若达到,则解除发生过攻击行为的端口或主机的报文丢弃措施,同时将其报文计数值清除,否则,将发生过攻击行为的端口或主机对应的未再发生攻击行为的周期计数值加一。
2.如权利要求1所述的方法,其特征在于,所述步骤A中报文计数的具体过程为:
根据接收到的报文的端口号及报文类型信息,分别计数网络设备各端口收到的每种报文的数目,将结果存储到以设备端口为索引的全局数组中;同时根据接收到的报文中的主机信息,分别计数来自不同主机的报文数目,将结果存储到主机信息链表中。
3.如权利要求1所述的方法,其特征在于,在确定某个端口收到的某种报文存在攻击行为时,将该端口中该类报文的攻击行为标志位置位;在确定来自某个主机的报文存在攻击行为时,将该主机的攻击行为标志位置位。
4.如权利要求1所述的方法,其特征在于,所述检测周期为1秒。
5.一种网络设备攻击防范装置,其特征在于,包括:
报文计数模块,用于在检测周期开始后解析网络设备接收到的报文,分别计数网络设备各端口收到的每种报文的数目,同时分别计数来自不同主机的报文数目;
攻击行为确定模块,用于在检测周期结束后获取各项计数结果,若某个端口收到的某种报文的速率大于其对应的预设阈值,则确定该端口收到的该类报文存在攻击行为,若来自某个主机的报文速率大于其对应的预设阈值,则确定来自该主机的报文存在攻击行为;
攻击处理模块,用于丢弃存在攻击行为的报文;
其中,若所述攻击行为确定模块判定本检测周期内未发生攻击行为,且之前的检测周期中也未发生过攻击行为,则通知报文计数模块清除所有端口及主机的报文计数值;
若所述攻击行为确定模块判定本检测周期内未发生攻击行为,然而之前的检测周期中发生过攻击行为,则判断发生过攻击行为的端口或主机的未再发生攻击行为的周期是否达到预设的阈值,若达到,则通知攻击处理模块解除发生过攻击行为的端口或主机的报文丢弃措施,同时通知报文计数模块将发生过攻击行为的端口或主机的报文计数值清除,否则,将发生过攻击行为的端口或主机对应的未再发生攻击行为的周期计数值加一。
6.如权利要求5所述的装置,其特征在于,所述检测周期为1秒。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010567907.8A CN102487339B (zh) | 2010-12-01 | 2010-12-01 | 一种网络设备攻击防范方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010567907.8A CN102487339B (zh) | 2010-12-01 | 2010-12-01 | 一种网络设备攻击防范方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102487339A CN102487339A (zh) | 2012-06-06 |
CN102487339B true CN102487339B (zh) | 2015-06-03 |
Family
ID=46152795
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010567907.8A Active CN102487339B (zh) | 2010-12-01 | 2010-12-01 | 一种网络设备攻击防范方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102487339B (zh) |
Families Citing this family (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102984069B (zh) * | 2012-11-30 | 2016-01-27 | 福建星网锐捷网络有限公司 | 表项调整方法、装置和交换设备 |
CN103441946A (zh) * | 2013-09-05 | 2013-12-11 | 上海斐讯数据通信技术有限公司 | 保护cpu的大流量攻击识别方法及装置 |
CN104580107B (zh) * | 2013-10-24 | 2018-02-06 | 华为技术有限公司 | 恶意攻击检测方法及控制器 |
CN104702560A (zh) * | 2013-12-04 | 2015-06-10 | 华为技术有限公司 | 一种防止报文攻击方法及装置 |
CN104038494A (zh) * | 2014-06-11 | 2014-09-10 | 普联技术有限公司 | 一种记录攻击来源的方法及交换机 |
CN105474602B (zh) | 2014-06-17 | 2019-02-05 | 华为技术有限公司 | 软件定义网络中识别攻击流的方法、装置以及设备 |
CN105704097A (zh) * | 2014-11-26 | 2016-06-22 | 华为数字技术(苏州)有限公司 | 一种防御攻击的方法及装置 |
CN104378380A (zh) * | 2014-11-26 | 2015-02-25 | 南京晓庄学院 | 一种基于SDN架构的识别与防护DDoS攻击的系统及方法 |
CN107786578A (zh) * | 2014-12-17 | 2018-03-09 | 蔡留凤 | 适于解决网络安全问题的sdn架构及工作方法 |
CN107979607A (zh) * | 2014-12-17 | 2018-05-01 | 蔡留凤 | 适于网络安全的软件定义的网络架构及其工作方法 |
CN108063765B (zh) * | 2014-12-17 | 2021-07-16 | 南昌理工学院 | 适于解决网络安全的sdn系统 |
CN104506531B (zh) * | 2014-12-19 | 2018-05-01 | 上海斐讯数据通信技术有限公司 | 针对流量攻击的安全防御系统及方法 |
CN104539554B (zh) * | 2014-12-22 | 2018-05-18 | 上海斐讯数据通信技术有限公司 | 一种报文传输方法及报文处理系统 |
CN104966257A (zh) * | 2014-12-31 | 2015-10-07 | 常州工学院 | 药物智能服用监控方法及远程监控系统 |
CN104966256A (zh) * | 2014-12-31 | 2015-10-07 | 江苏网泰信息技术有限公司 | 慢病药物服用监控专家系统及其工作方法 |
CN104967649B (zh) * | 2014-12-31 | 2018-10-09 | 常州工学院 | 药物智能服用专家系统及远程服务器 |
CN104966255A (zh) * | 2014-12-31 | 2015-10-07 | 常州金智涯医疗科技有限公司 | 药物智能服用专家系统及其工作方法 |
CN108877883A (zh) * | 2014-12-31 | 2018-11-23 | 丁永新 | 能抵御网络恶意攻击的药物服用监控专家系统及工作方法 |
CN104539625B (zh) * | 2015-01-09 | 2017-11-14 | 江苏理工学院 | 一种基于软件定义的网络安全防御系统及其工作方法 |
CN105871773A (zh) * | 2015-01-18 | 2016-08-17 | 吴正明 | 一种基于SDN网络架构的DDoS过滤方法 |
CN105100181A (zh) * | 2015-01-19 | 2015-11-25 | 刘辉 | 一种基于大数据的监控系统及其工作方法 |
CN105592055A (zh) * | 2015-09-18 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种用于tcp syn flood的防攻击方法和装置 |
CN105611561B (zh) * | 2016-01-07 | 2019-08-27 | 中国联合网络通信集团有限公司 | 一种链路故障处理方法、装置和系统 |
CN105978859B (zh) * | 2016-04-25 | 2019-09-06 | 新华三技术有限公司 | 一种报文处理的方法和装置 |
CN106789954A (zh) * | 2016-11-30 | 2017-05-31 | 杭州迪普科技股份有限公司 | 一种基于多cpu的ddos攻击识别的方法和装置 |
CN106789700B (zh) * | 2016-12-23 | 2020-11-03 | 京信通信系统(中国)有限公司 | 一种流量整形方法及网络设备 |
CN107016284A (zh) * | 2017-03-31 | 2017-08-04 | 武汉光迅科技股份有限公司 | 一种数据通信设备cpu前端动态防护方法及系统 |
CN106790310B (zh) * | 2017-03-31 | 2021-02-02 | 网宿科技股份有限公司 | 分布式拒绝服务攻击防护与负载均衡一体化的方法和系统 |
CN108833203B (zh) * | 2018-05-23 | 2021-04-30 | 新华三信息安全技术有限公司 | 一种报文统计方法及装置 |
CN109347810B (zh) * | 2018-09-27 | 2021-06-11 | 新华三技术有限公司 | 一种处理报文的方法和装置 |
EP3905599A4 (en) * | 2018-12-28 | 2022-03-02 | Panasonic Intellectual Property Corporation of America | STATISTICAL INFORMATION GENERATION DEVICE, STATISTICAL INFORMATION GENERATION METHOD AND PROGRAM |
CN111478896A (zh) * | 2020-04-03 | 2020-07-31 | 中电科航空电子有限公司 | 一种解决rstp假冒根桥攻击的方法 |
CN111641659A (zh) * | 2020-06-09 | 2020-09-08 | 北京东土军悦科技有限公司 | 一种交换机的中央处理器防攻击的方法、装置、设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1878082A (zh) * | 2005-06-09 | 2006-12-13 | 杭州华为三康技术有限公司 | 网络攻击的防护方法 |
CN101150586A (zh) * | 2007-11-20 | 2008-03-26 | 杭州华三通信技术有限公司 | Cc攻击防范方法及装置 |
CN101202744A (zh) * | 2006-12-15 | 2008-06-18 | 北京大学 | 一种自学习检测蠕虫的装置及其方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7603711B2 (en) * | 2002-10-31 | 2009-10-13 | Secnap Networks Security, LLC | Intrusion detection system |
-
2010
- 2010-12-01 CN CN201010567907.8A patent/CN102487339B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1878082A (zh) * | 2005-06-09 | 2006-12-13 | 杭州华为三康技术有限公司 | 网络攻击的防护方法 |
CN101202744A (zh) * | 2006-12-15 | 2008-06-18 | 北京大学 | 一种自学习检测蠕虫的装置及其方法 |
CN101150586A (zh) * | 2007-11-20 | 2008-03-26 | 杭州华三通信技术有限公司 | Cc攻击防范方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN102487339A (zh) | 2012-06-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102487339B (zh) | 一种网络设备攻击防范方法及装置 | |
CN103795709B (zh) | 一种网络安全检测方法和系统 | |
WO2021008028A1 (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
US8634717B2 (en) | DDoS attack detection and defense apparatus and method using packet data | |
KR101391781B1 (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
Berk et al. | Designing a framework for active worm detection on global networks | |
CN104135474B (zh) | 基于主机出入度的网络异常行为检测方法 | |
KR102088299B1 (ko) | 분산 반사 서비스 거부 공격 탐지 장치 및 방법 | |
CN107018084B (zh) | 基于sdn架构的ddos攻击防御网络安全方法 | |
JP2006352669A (ja) | 攻撃検知・防御システム | |
US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
US20090282478A1 (en) | Method and apparatus for processing network attack | |
CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
CN105553974A (zh) | 一种http慢速攻击的防范方法 | |
CN103297433A (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
US20180020014A1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method, and malicious communication pattern extraction program | |
CN107864110B (zh) | 僵尸网络主控端检测方法和装置 | |
Kaushik et al. | Network forensic system for ICMP attacks | |
Asha et al. | Analysis on botnet detection techniques | |
Satrya et al. | The detection of DDOS flooding attack using hybrid analysis in IPv6 networks | |
CN115664833B (zh) | 基于局域网安全设备的网络劫持检测方法 | |
JP5568344B2 (ja) | 攻撃検出装置、攻撃検出方法、及びプログラム | |
Manasrah et al. | Detecting botnet activities based on abnormal DNS traffic | |
Chanthakoummane et al. | Improving intrusion detection on snort rules for botnets detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |