CN102497362B - 异常网络流量的攻击源追踪方法及装置 - Google Patents
异常网络流量的攻击源追踪方法及装置 Download PDFInfo
- Publication number
- CN102497362B CN102497362B CN201110402733.4A CN201110402733A CN102497362B CN 102497362 B CN102497362 B CN 102497362B CN 201110402733 A CN201110402733 A CN 201110402733A CN 102497362 B CN102497362 B CN 102497362B
- Authority
- CN
- China
- Prior art keywords
- attack
- network
- starting point
- network node
- link
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Abstract
本发明提供了一种异常网络流量的攻击源追踪方法及装置,其中,上述方法包括:在攻击链路的网络节点中,选择任意一个或多个所述网络节点作为追踪起点,其中,所述攻击链路为被攻击目标和攻击源之间的通信链路;根据所述追踪起点逐级确定所述攻击链路中的上一级网络节点,直至确认最终的攻击源。采用本发明提供的上述技术方案,解决了相关技术中,网络安全机制,只能缓解网络攻击,并不能定位攻击的源头(即攻击源)的问题,进而达到了可以反向追踪定位攻击源的效果。
Description
技术领域
本发明涉及网络通信领域,具体而言,涉及一种异常网络流量的攻击源追踪方法及装置。
背景技术
目前,基于网络的攻击大多利用网络资源、系统资源的有限性,或利用网络协议和认证机制自身的不完善性,通过在短时间内发动大规模网络攻击,消耗特定资源,实现对目标的攻击。现有的网络安全机制如入侵检测系统(IDS)、防火墙和虚拟专用网络(VPN)以及容忍攻击技术等均只是在遭受到网络攻击时被动地进行防御:例如,设置诸如RandomDrop,SYN Cookie、带宽限制之类的防护算法,实现IDS与防火墙联动以及技术专家分析攻击等办法。
上述网络安全机制大多收效甚微,只能缓解网络攻击,并不能定位攻击的源头(即攻击源),因此,基于网络的攻击己经成为当前网络信息系统的严重阻碍,再加上网络本身的虚拟性为执法过程带来了很大的难度。
针对相关技术中的上述问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中的上述问题,本发明主要目的在于提供一种异常网络流量的攻击源追踪方法及装置,以至少解决上述问题。
为了实现上述目的,根据本发明的一个方面,提供了一种异常网络流量的攻击源追踪方法,包括:在攻击链路的网络节点中,选择任意一个或多个所述网络节点作为追踪起点,其中,所述攻击链路为被攻击目标和攻击源之间的通信链路;根据所述追踪起点逐级确定所述攻击链路中的上一级网络节点,直至确认最终的攻击源。
为了实现上述目的,根据本发明的另一方面,提供了一种异常网络流量的攻击源追踪装置,包括:选择模块,用于在攻击链路的网络节点中,选择任意一个或多个所述网络节点作为追踪起点,其中,所述攻击链路为被攻击目标和攻击源之间的通信链路;确定模块,用于根据所述追踪起点逐级确定所述攻击链路中的上一级网络节点,直至确认最终的攻击源。
通过本发明,采用选择攻击链路中的任意网络节点作为追踪起点逐级确定上一级网络节点的技术手段,解决了相关技术中,网络安全机制,只能缓解网络攻击,并不能定位攻击的源头(即攻击源)的问题,进而达到了可以反向追踪定位攻击源的效果。
附图说明
构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为根据本发明实施例的异常网络流量的攻击源追踪方法流程示意图;
图2为根据本发明实施例的异常网络流量的攻击源追踪装置的结构框图;
图3为根据本发明实施例的异常网络流量的攻击源追踪装置的结构示意图;
图4为根据本发明实施例的反向攻击流量追踪示意图;
图5为根据本发明实施例的第1级来源流量追踪示意图;
图6为根据本发明实施例的第2级来源流量追踪示意图;
图7为根据本发明实施例的第3级来源流量追踪示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
图1为根据本发明实施例的异常网络流量的攻击源追踪方法流程示意图。如图1所示,该方法包括:
步骤S102,在攻击链路的网络节点中,选择任意一个或多个所述网络节点作为追踪起点,其中,所述攻击链路为被攻击目标和攻击源之间的通信链路;
步骤S104,根据所述追踪起点逐级确定所述攻击链路中的上一级网络节点,直至确认最终的攻击源。
通过上述处理过程,由于采用了根据追踪起点逐级确定所述攻击链路中的上一级网络节点,直至确认最终的攻击源的技术手段,因此,可以实现反向追踪定位攻击源,提高了网络安全执法性。
在步骤S102中,可以任意选择攻击链路中的一个或多个网络节点作为追踪起点,还可以根据预设条件选择网络节点作为追踪起点,例如:根据预设周期采集所述攻击链路的网络节点的端口数据包载荷;根据当前采集的数据包载荷和上一个所述预设周期采集的数据包载荷确定所述追踪起点。
在本发明的一个优选实施方式中,上述数据包载荷为所述预设周期内平均每个数据包载荷。其中,该预设周期内平均每个数据包载荷可以通过以下方式确定:预设周期内平均每个数据包载荷=预设周期内平均带宽/预设周期内数据包总数。
在本发明的一个优选实施方式中,当上述上一级网络节点为多个时,还可以包括以下处理步骤:根据所述攻击链路的匹配度来区分多个不同的上一级网络节点,其中,所述匹配度用于指示所述追踪起点的预设周期内平均每个数据包载荷与不同的所述上一级节点的预设周期内平均每个数据包载荷的相似程度。
在具体实施时,上述根据当前采集的数据包载荷和上一个所述预设周期采集的数据包载荷确定所述追踪起点,可以通过以下处理过程实现:根据当前采集的数据包载荷和上一个所述预设周期采集的数据包载荷确定所述攻击链路的网络节点的端口流的指纹,其中,所述流的指纹根据以下公式确定:流的指纹=【1-(▲P/▲BP)】×100%,▲P=P0-(P-1),▲BP=BP0-(BP-1),P0表示当前数据;(P-1)表示当前预设周期的前一个周期数据;BP0表示前一天的同时刻数据;(BP-1)表示前一天当前预设周期的前一个周期数据;当所述流的指纹在未到达预设阈值时,确定所述流的指纹所对应的网络节点可作为所述追踪起点。
步骤S104中,即根据所述追踪起点逐级确定所述攻击链路中的上一级网络节点,可以包括以下处理过程:获取所述追踪起点的入流量增量及所述上一级网络节点的出流量增量,其中,所述入流量增量为所述追踪起点在其接收的网络流量异常时相对于网络流量正常时所增加的网络流量,所述出流量增量为所述上一级网络节点在其传出的网络流量异常时相对于网络流量正常时所增加的网络流量;根据所述入流量增量及所述出流量增量的比值确定所述上一级节点作为新的追踪起点;根据所述新的追踪起点逐级确定所述攻击链路中的所述新的追踪起点的上一级网络节点。
在步骤S104中,可以通过以下方式确认最终的攻击源:当所述上一级网络节点的数量为0时,则确定所述上一级网络节点的下一级网络节点为最终的攻击源。
在本实施例中还提供了一种异常网络流量的攻击源追踪装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述,下面对该装置中涉及到模块进行说明。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。图7为根据本发明实施例的服务质量处理装置的结构框图。如图2所示,该装置包括:
选择模块20,连接至确定模块22,用于在攻击链路的网络节点中,选择任意一个或多个所述网络节点作为追踪起点,其中,所述攻击链路为被攻击目标和攻击源之间的通信链路;
确定模块22,用于根据所述追踪起点逐级确定所述攻击链路中的上一级网络节点,直至确认最终的攻击源。
在本发明的一个优选实施方式中,如图3所示,上述确定模块22可以包括以下处理单元:
获取单元220,连接至第一确定单元222,获取所述追踪起点的入流量增量及所述上一级网络节点的出流量增量,其中,所述入流量增量为所述追踪起点在其接收的网络流量异常时相对于网络流量正常时所增加的网络流量,所述出流量增量为所述上一级网络节点在其传出的网络流量异常时相对于网络流量正常时所增加的网络流量;
第一确定单元222,连接至第二确定单元224,用于根据所述入流量增量及所述出流量增量的比值确定所述上一级节点作为新的追踪起点;
第二确定单元224,用于根据所述新的追踪起点逐级确定所述攻击链路中的所述新的追踪起点的上一级网络节点,直至确认最终的攻击源。
为了更好地理解上述实施例,以下结合具体实例和相关附图详细说明。在具体说明以下实施例的技术方案之前,先说明一下本实例所涉及的一些概念及定义。
1、平均数据包载荷PPDA:
采集周期内平均每个数据包大小,反映周期内数据包规律特征,计算公式如下:
周期内平均数据包载荷(in/out)=周期内平均带宽(in/out)/周期内数据包总数(in/out)是或的关系,可以修改为下面的:
周期内平均数据包载荷(in)=周期内平均带宽(in)/周期内数据包总数(in)
周期内平均数据包载荷(out)=周期内平均带宽(out)/周期内数据包总数(out)
简称:PPDA(Per Package Data Average)
2、数据包和流的指纹
端口P当前数据,P0代表当前数据;P-1是相对当前数据采集周期前一个周期的数据;P-2是相对当前数据采集周期前二个周期的数据;FP1是相对当前数据采集周期后一个周期的预测数据;FP2是相对当前数据采集周期后二个周期的预测数据;
FP2 预测第二个周期数据FP2=2*FP1/(P-1/P0+P0/FP1)
FP1 预测第一个周期数据FP1=2*P0/(P-2/P-1+P-1/P0)
P0 当前数据
P-1 前一个周期数据
P-2 前二个周期数据
前一天历史数据(此项为参考基数,可用于平衡预测数据波动),其中BP0是相对于P0数据的前一天同一时刻的数据,其它以此类推;
BP2 前一天后两个周期数据
BP1 前一天后一个周期数据
BP0 前一天同时刻数据
BP-1 前一天前一个周期数据
BP-2 前一天前两个周期数据
▲P=P0-P-1;▲BP=BP0-BP-1
端口P流的指纹=(1-▲P/▲BP)×100%在≤±15%(系数可调整),根据流的指纹设定非目标主机为目标点,作为反向追踪的起点。
3、反向追踪算法
以攻击目标为起点的反向追踪算法,是通过确定攻击方向和目的最终端口出发,向上逐步计算判断的过程和方法,其中包括:增量流向算法和源端口会聚算法
4、增量流向算法
增量流向算法是一种判断指定端口流量异常的算法,并通过与进出设备总异常流量的关系确定增量数据流的来源和目的确定到设备的具体端口,进而获得攻击的来源端口;
▲T(target)P(Port)(out)=TP0-TP1,面向攻击目标的出流量增量
▲S(source)P(Port)(in)=(P0-P1)(1-n),除TP外的所有端口
▲A(all)P(in)=∑(P0-P1)n(in)-▲TP(out);此处all排除TP端口,获得非攻击流量的入增量
▲A(all)P(out)=∑(P0-P1)n(out)-▲TP(in);此处all排除TP端口,获得非攻击流量的出增量
正常流量波动系数=▲AP(in)/▲AP(out)在±20%内(系数可调整)
锁定来源端口SP(i)可以多个来源:▲SP/▲TP≥20%(系数可调整)
辅助判断条件PPDA(TP)/PPDA(SP)在±10%内(系数可调整)
5、源端口会聚算法
源端口会聚算法是同一网络层面上多台设备参与流量追踪时,根据在上一级获得总攻击流量数据在多台设备的分散程度,进行分别追踪,循环向下计算获得多条链路,根据端口增量算法排除掉不重要的追踪链路,最后获得主要的攻击来源的汇聚算法。
第1级算法,采用增量流向算法确定来源SP(i)端口和数量n;
I第2级算法,将I级确定来源的SP(i)上联端口确定为TP(i),重复增量流向算法获取新的SP(i)和数量n;
第3级算法,重复II级算法,直到确认最终来源或网络边界(不受我们监控网络)
6、攻击链路匹配度(可疑度)
匹配度是指确认攻击端口的PPDA与来源端口的PPDA的相似程度;根据数据包和流的指纹PPDA以及PPDA波动指数,为所有获取攻击路径进行标示匹配度,在同一会聚级上按照匹配度由高至低进行分步处理。
匹配度=PPDA(TP)/PPDA(SP)*PPDA波动系数
PPDA波动系数=BPPDA(SP)/PPDA(SP)或PPDA(SP)/BPPDA(SP)取大于1一个值
7、追踪停止
来源端口数量为0的链路停止追踪,标记本端口为源,可以为上行进入不可管理网络或到达下行用户源头。
Num(SP)=0
以下结合附图详细说明本实施例所采用的技术方案。本实例的反向追踪方法的流程示意图可以参见图4所示。
如图5所示,第1级来源锁定:目标节点(相当于追踪起点)收到来自C-L1每秒80万的数据包流量攻击,即▲TP=80万,此处的目标点可以是一台设备,也可以是一组设备(具有相同属性或应用的系统);
根据对C-L1的采集数据进行增量流向算法和源端口会聚算法,最终锁定攻击流量进入C-L1的源端口;
▲SP(C-L1-I-1)=50万 计算匹配度为99.8%
▲SP(C-L1-II-2)=30万 计算匹配度为98.6%
如图6所示,第2级来源锁定:将与C-L1-I-1和C-L1-I-2端口直连上行端口定位目标端口:
▲TP(C1-I-1)=50万
▲TP(C2-II-2)=30万
根据对C1、C2的采集数据进行增量流向算法和源端口会聚算法,最终锁定攻击流量进入C1和C2的源端口:
▲SP(C1-II-1)=30万 计算匹配度为96.2%
▲SP(C1-II-2)=20万 计算匹配度为94.8%
▲SP(C2-II-3)=20万 计算匹配度为95.1%
▲SP(C2-II-4)=10万 计算匹配度为93.5%
如图7所示,第3级来源锁定:将C1-II-1、C1-II-2、C2-II-3、C2-II-4端口直连上行端口作为目标端口。
▲TP(A1-II-1)=30万
▲TP(B1-II-2)=20万
▲TP(A1-II-3)=20万
▲TP(B1-II-4)=10万
根据对A1、B1的采集数据进行增量流向算法和源端口会聚算法,最终锁定攻击流量进入A1和B1的源端口:
▲SP(A1-III-1)=50万 计算匹配度为99.9%
▲SP(B1-III-2)=30万 计算匹配度为99.8%
最终锁定攻击来源到私有网络1和私有网络2的接入端口(即最终停止,确定最终的攻击源)。
在另外一个实施例中,还提供了一种软件,该软件用于执行上述实施例及优选实施方式中描述的技术方案。
在另外一个实施例中,还提供了一种存储介质,该存储介质中存储有上述软件,该存储介质包括但不限于:光盘、软盘、硬盘、可擦写存储器等。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种异常网络流量的攻击源追踪方法,其特征在于,包括:
在攻击链路的网络节点中,选择任意一个或多个所述网络节点作为追踪起点,其中,所述攻击链路为被攻击目标和攻击源之间的通信链路;
根据所述追踪起点逐级确定所述攻击链路中的上一级网络节点,直至确认最终的攻击源;
选择任意一个或多个所述网络节点作为追踪起点,包括:根据预设周期采集所述攻击链路的网络节点的端口数据包载荷;根据当前采集的数据包载荷和上一个所述预设周期采集的数据包载荷确定所述追踪起点;
根据当前采集的数据包载荷和上一个所述预设周期采集的数据包载荷确定所述追踪起点,包括:
根据当前采集的数据包载荷和上一个所述预设周期采集的数据包载荷确定所述攻击链路的网络节点的端口流的指纹,其中,所述流的指纹根据以下公式确定:
流的指纹=【1-(▲P/▲BP)】×100%,▲P=P0-(P-1),▲BP=BP0-(BP-1),P0表示当前数据;(P-1)表示当前预设周期的前一个周期数据;BP0表示前一天的同时刻数据;(BP-1)表示前一天当前预设周期的前一个周期数据;
当所述流的指纹在未到达预设阈值时,确定所述流的指纹所对应的网络节点可作为所述追踪起点。
2.根据权利要求1所述的方法,其特征在于,所述数据包载荷为所述预设周期内平均每个数据包载荷。
3.根据权利要求2所述的方法,其特征在于,所述预设周期内平均每个数据包载荷通过以下方式确定:
预设周期内平均每个数据包载荷=预设周期内平均带宽/预设周期内数据包总数。
4.根据权利要求2所述的方法,其特征在于,当所述上一级网络节点为多个时,还包括:
根据所述攻击链路的匹配度来区分多个不同的上一级网络节点,其中,所述匹配度用于指示所述追踪起点的预设周期内平均每个数据包载荷与不同的所述上一级节点的预设周期内平均每个数据包载荷的相似程度。
5.根据权利要求1所述的方法,其特征在于,根据所述追踪起点逐级确定所述攻击链路中的上一级网络节点,包括:
获取所述追踪起点的入流量增量及所述上一级网络节点的出流量增量,其中,所述入流量增量为所述追踪起点在其接收的网络流量异常时相对于网络流量正常时所增加的网络流量,所述出流量增量为所述上一级网络节点在其传出的网络流量异常时相对于网络流量正常时所增加的网络流量;
根据所述入流量增量及所述出流量增量的比值确定所述上一级节点作为新的追踪起点;
根据所述新的追踪起点逐级确定所述攻击链路中的所述新的追踪起点的上一级网络节点。
6.根据权利要求1所述的方法,其特征在于,通过以下方式确认最终的攻击源:
当所述上一级网络节点的数量为0时,则确定所述上一级网络节点的下一级网络节点为最终的攻击源。
7.一种异常网络流量的攻击源追踪装置,其特征在于,包括:
选择模块,用于在攻击链路的网络节点中,选择任意一个或多个所述网络节点作为追踪起点,其中,所述攻击链路为被攻击目标和攻击源之间的通信链路;
确定模块,用于根据所述追踪起点逐级确定所述攻击链路中的上一级网络节点,直至确认最终的攻击源;
所述确定模块包括:
获取单元,获取所述追踪起点的入流量增量及所述上一级网络节点的出流量增量,其中,所述入流量增量为所述追踪起点在其接收的网络流量异常时相对于网络流量正常时所增加的网络流量,所述出流量增量为所述上一级网络节点在其传出的网络流量异常时相对于网络流量正常时所增加的网络流量;
第一确定单元,用于根据所述入流量增量及所述出流量增量的比值确定所述上一级节点作为新的追踪起点;
第二确定单元,用于根据所述新的追踪起点逐级确定所述攻击链路中的所述新的追踪起点的上一级网络节点,直至确认最终的攻击源;
根据当前采集的数据包载荷和上一个预设周期采集的数据包载荷确定所述攻击链路的网络节点的端口流的指纹,其中,所述流的指纹根据以下公式确定:
流的指纹=【1-(▲P/▲BP)】×100%,▲P=P0-(P-1),▲BP=BP0-(BP-1),P0表示当前数据;(P-1)表示当前预设周期的前一个周期数据;BP0表示前一天的同时刻数据;(BP-1)表示前一天当前预设周期的前一个周期数据;
当所述流的指纹在未到达预设阈值时,确定所述流的指纹所对应的网络节点可作为所述追踪起点。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110402733.4A CN102497362B (zh) | 2011-12-07 | 2011-12-07 | 异常网络流量的攻击源追踪方法及装置 |
US14/349,071 US9729559B2 (en) | 2011-12-07 | 2012-11-22 | Method and apparatus for tracing attack source of abnormal network traffic |
PCT/CN2012/085039 WO2013082997A1 (zh) | 2011-12-07 | 2012-11-22 | 异常网络流量的攻击源追踪方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110402733.4A CN102497362B (zh) | 2011-12-07 | 2011-12-07 | 异常网络流量的攻击源追踪方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102497362A CN102497362A (zh) | 2012-06-13 |
CN102497362B true CN102497362B (zh) | 2018-01-05 |
Family
ID=46189148
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110402733.4A Active CN102497362B (zh) | 2011-12-07 | 2011-12-07 | 异常网络流量的攻击源追踪方法及装置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US9729559B2 (zh) |
CN (1) | CN102497362B (zh) |
WO (1) | WO2013082997A1 (zh) |
Families Citing this family (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102497362B (zh) * | 2011-12-07 | 2018-01-05 | 北京润通丰华科技有限公司 | 异常网络流量的攻击源追踪方法及装置 |
US10454950B1 (en) * | 2015-06-30 | 2019-10-22 | Fireeye, Inc. | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks |
WO2017028031A1 (zh) * | 2015-08-14 | 2017-02-23 | 华为技术有限公司 | 一种移动网络安全的处理方法、警示方法及用户终端 |
WO2017167391A1 (en) * | 2016-03-31 | 2017-10-05 | Nec Europe Ltd. | Method and system for preserving privacy in an http communication between a client and a server |
CN106549929B (zh) * | 2016-07-15 | 2019-11-05 | 北京安天网络安全技术有限公司 | 一种apt攻击源头的定位方法及系统 |
DE102017208547A1 (de) * | 2017-05-19 | 2018-11-22 | Robert Bosch Gmbh | Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff |
DE102017208551A1 (de) * | 2017-05-19 | 2018-11-22 | Robert Bosch Gmbh | Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff |
CN107612890B (zh) * | 2017-08-24 | 2020-09-15 | 中国科学院信息工程研究所 | 一种网络监测方法及系统 |
CN107360196B (zh) * | 2017-09-08 | 2020-06-26 | 杭州安恒信息技术股份有限公司 | 攻击检测方法、装置及终端设备 |
CN107995289B (zh) * | 2017-12-01 | 2019-08-06 | 中国联合网络通信集团有限公司 | 一种网络用户的行为追踪方法及平台 |
US10999304B2 (en) | 2018-04-11 | 2021-05-04 | Palo Alto Networks (Israel Analytics) Ltd. | Bind shell attack detection |
US20210211439A1 (en) * | 2018-05-22 | 2021-07-08 | Nokia Technologies Oy | Attack source tracing in sfc overlay network |
CN108833388B (zh) * | 2018-06-05 | 2020-10-02 | 上海垣安环保科技有限公司 | 一种针对网络身份入侵的主动式响应网安系统 |
CN109246124B (zh) * | 2018-09-30 | 2020-05-19 | 华中科技大学 | 一种加密信息的主动防御方法 |
US11070569B2 (en) | 2019-01-30 | 2021-07-20 | Palo Alto Networks (Israel Analytics) Ltd. | Detecting outlier pairs of scanned ports |
US11316872B2 (en) | 2019-01-30 | 2022-04-26 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious port scan detection using port profiles |
US11184376B2 (en) * | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Port scan detection using destination profiles |
US11184377B2 (en) * | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious port scan detection using source profiles |
US11184378B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Scanner probe detection |
CN110365635B (zh) * | 2019-05-23 | 2022-04-26 | 新华三技术有限公司 | 一种非法端点的接入控制方法和装置 |
CN110392039A (zh) * | 2019-06-10 | 2019-10-29 | 浙江高速信息工程技术有限公司 | 基于日志和流量采集的网络系统事件溯源方法及系统 |
CN110365674B (zh) * | 2019-07-11 | 2021-09-03 | 武汉思普崚技术有限公司 | 一种预测网络攻击面的方法、服务器和系统 |
CN110378404B (zh) * | 2019-07-11 | 2021-11-26 | 武汉思普崚技术有限公司 | 一种网络追踪长链条攻击的方法、装置和系统 |
CN110365673B (zh) * | 2019-07-11 | 2021-09-03 | 武汉思普崚技术有限公司 | 一种隔离网络攻击面的方法、服务器和系统 |
CN110381047B (zh) * | 2019-07-11 | 2021-09-03 | 武汉思普崚技术有限公司 | 一种网络攻击面追踪的方法、服务器和系统 |
GB202004748D0 (en) * | 2020-03-30 | 2020-05-13 | British Telecomm | Method of analysing anomalous network traffic |
US11509680B2 (en) | 2020-09-30 | 2022-11-22 | Palo Alto Networks (Israel Analytics) Ltd. | Classification of cyber-alerts into security incidents |
RU2751987C1 (ru) * | 2020-10-18 | 2021-07-21 | Юрий Иванович Стародубцев | Способ физического разнесения трактов приема и передачи данных в условиях деструктивных программных воздействий |
CN112738044B (zh) * | 2020-12-22 | 2023-03-24 | 湖南麒麟信安科技股份有限公司 | 一种多协议链路路径追踪方法及系统 |
CN112905996A (zh) * | 2021-03-23 | 2021-06-04 | 贵州航天云网科技有限公司 | 基于多维度数据关联分析的信息安全溯源系统及方法 |
CN113489605B (zh) * | 2021-06-29 | 2023-02-03 | 南京航空航天大学 | 一种基于健康度的网络节点重要度评估方法 |
US11799880B2 (en) | 2022-01-10 | 2023-10-24 | Palo Alto Networks (Israel Analytics) Ltd. | Network adaptive alert prioritization system |
CN115134250B (zh) * | 2022-06-29 | 2024-03-15 | 北京计算机技术及应用研究所 | 一种网络攻击溯源取证方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1553624A (zh) * | 2003-12-19 | 2004-12-08 | 上海交通大学 | 基于主动网回溯技术防御拒绝服务攻击的方法 |
CN101262373A (zh) * | 2008-04-18 | 2008-09-10 | 北京启明星辰信息技术股份有限公司 | 一种计算机网络入侵定位系统和方法 |
CN101459519A (zh) * | 2009-01-08 | 2009-06-17 | 西安交通大学 | 一种基于网络流量的泛洪拒绝服务攻击防御方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8010469B2 (en) * | 2000-09-25 | 2011-08-30 | Crossbeam Systems, Inc. | Systems and methods for processing data flows |
KR101003094B1 (ko) * | 2008-04-28 | 2010-12-21 | 한국전자통신연구원 | 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템 |
CN102497362B (zh) * | 2011-12-07 | 2018-01-05 | 北京润通丰华科技有限公司 | 异常网络流量的攻击源追踪方法及装置 |
-
2011
- 2011-12-07 CN CN201110402733.4A patent/CN102497362B/zh active Active
-
2012
- 2012-11-22 WO PCT/CN2012/085039 patent/WO2013082997A1/zh active Application Filing
- 2012-11-22 US US14/349,071 patent/US9729559B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1553624A (zh) * | 2003-12-19 | 2004-12-08 | 上海交通大学 | 基于主动网回溯技术防御拒绝服务攻击的方法 |
CN101262373A (zh) * | 2008-04-18 | 2008-09-10 | 北京启明星辰信息技术股份有限公司 | 一种计算机网络入侵定位系统和方法 |
CN101459519A (zh) * | 2009-01-08 | 2009-06-17 | 西安交通大学 | 一种基于网络流量的泛洪拒绝服务攻击防御方法 |
Also Published As
Publication number | Publication date |
---|---|
US9729559B2 (en) | 2017-08-08 |
WO2013082997A1 (zh) | 2013-06-13 |
US20140230059A1 (en) | 2014-08-14 |
CN102497362A (zh) | 2012-06-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102497362B (zh) | 异常网络流量的攻击源追踪方法及装置 | |
CN104272653B (zh) | 分组数据联网中的拥塞控制 | |
CN101523845B (zh) | 因为建立呼叫时性能下降而调整传输路径中编解码器速度的系统和方法 | |
US20180109557A1 (en) | SOFTWARE DEFINED NETWORK CAPABLE OF DETECTING DDoS ATTACKS USING ARTIFICIAL INTELLIGENCE AND CONTROLLER INCLUDED IN THE SAME | |
CN104954367B (zh) | 一种互联网全向跨域DDoS攻击防护方法 | |
CN104468636A (zh) | DDoS威胁过滤与链路重配的SDN架构及工作方法 | |
CN105897575A (zh) | 一种sdn下基于多约束路径计算策略的路径计算方法 | |
CN103999414B (zh) | 一种归因针对相应用户寄存器的共享资源的拥塞贡献的方法和装置 | |
CN105763449A (zh) | 基于存储资源自适应调整的单包溯源方法 | |
CN104539594A (zh) | 融合DDoS威胁过滤与路由优化的SDN架构、系统及工作方法 | |
CN100459589C (zh) | 流量监管方法及流量监管设备 | |
CN104660582A (zh) | DDoS识别、防护和路径优化的软件定义的网络架构 | |
GB2494350A (en) | A method and system of bandwidth control | |
CN104618377A (zh) | 基于NetFlow的僵尸网络检测系统与检测方法 | |
CN105812372A (zh) | 基于标签交换的单包溯源方法 | |
CN104539595A (zh) | 一种集威胁处理和路由优化于一体的sdn架构及工作方法 | |
CN108337179A (zh) | 链路流量控制方法及装置 | |
Giuliari et al. | Colibri: a cooperative lightweight inter-domain bandwidth-reservation infrastructure | |
CN107682191A (zh) | 一种电力调度网络信息集中管控方法及系统 | |
CN108924825A (zh) | 一种面向SDWSNs的高能效信任管理与可信路由方法 | |
Swain et al. | Mitigating DDoS attack and Saving Computational Time using a Probabilistic approach and HCF method | |
CN105791300A (zh) | 基于追踪痕迹重要性评估的单包溯源方法 | |
CN101808031A (zh) | 一种路由器的可信改造方法 | |
CN107147585A (zh) | 一种流量控制方法及装置 | |
CN108881241A (zh) | 一种面向软件定义网络的动态源地址验证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |