CN102932330A - 一种检测分布式拒绝服务攻击的方法和装置 - Google Patents
一种检测分布式拒绝服务攻击的方法和装置 Download PDFInfo
- Publication number
- CN102932330A CN102932330A CN2012103714593A CN201210371459A CN102932330A CN 102932330 A CN102932330 A CN 102932330A CN 2012103714593 A CN2012103714593 A CN 2012103714593A CN 201210371459 A CN201210371459 A CN 201210371459A CN 102932330 A CN102932330 A CN 102932330A
- Authority
- CN
- China
- Prior art keywords
- buffer
- statistics
- ddos
- treatment progress
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种检测分布式拒绝服务攻击(DDoS)的方法和装置,预先设置N个处理进程与N个核一一绑定,所述N为2以上的整数;所述N个处理进程对进入检测设备的数据包采用分担的方式进行DDoS特征解析;统计进程将各处理进程分别解析得到的DDoS特征进行汇总统计;依据汇总统计得到的DDoS特征判断是否存在DDoS。通过本发明在提高检测性能的前提下,解决现有技术中开发费用高、开发周期长和扩展性差的缺陷。
Description
【技术领域】
本发明涉及计算机网络安全技术领域,特别涉及一种检测分布式拒绝服务攻击的方法和装置。
【背景技术】
随着互联网的迅速发展,人们对网络的使用和依赖程度逐渐增加,相对地关于网络安全问题也随之而来,特别是服务器或计算机主机遭受网络攻击事件层出不穷,因而安全的网络环境更受到重视。
分布式拒绝服务攻击(DDoS,Distributed Denial of Service)是利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令。由于互联网业务的复杂性,这种直接针对业务的应用层攻击往往可以用较低的成本造成拒绝服务的后果,因此,DDoS越来越普遍的得到应用,DDoS的检测和防御就十分重要。
随着网络规模的迅猛发展,DDoS检测所面临的主要技术问题就是处理性能无法跟上复杂和规模庞大的业务需求,如何提高DDoS检测的处理性能成为亟待解决的问题。针对这一问题,现有的DDoS检测方法主要存在以下几种:
其一、基于ASIC/FPGA架构,设计专门的硬件逻辑加入到网络处理流程中,获得较高的并行处理能力。但这种方式开发费用高,开发周期长,比较适合应用于模式简单、对吞吐量和时延指标要求高的网络设备。
其二、基于网络处理器(NP)架构,其体系结构和指令集对DDoS检测所常用的数据包处理进行特定的优化。但对于应用层防攻击而言,其功能的扩展依旧受限于NP的指令集和配套的软件支持,扩展性较差。
【发明内容】
本发明提供了一种检测DDoS的方法和装置,以便于在提高检测性能的前提下,解决现有技术中开发费用高、开发周期长和扩展性差的缺陷。
具体技术方案如下:
一种检测分布式拒绝服务攻击DDoS的方法,预先设置N个处理进程与N个核一一绑定,所述N为2以上的整数,该方法包括:
S1、所述N个处理进程对进入检测设备的数据包采用分担的方式进行DDoS特征解析;
S2、统计进程将各处理进程分别解析得到的DDoS特征进行汇总统计;
S3、依据汇总统计得到的DDoS特征判断是否存在DDoS。
根据本发明一优选实施例,所述进入检测设备的数据包统一在收包队列中,所述N个处理进程采用轮叫调度round-robin的方式对收包队列中的数据包进行分担。
根据本发明一优选实施例,所述DDoS特征包括源IP、HTTP头部字段中的URL、host域、cookie或者参照页referer。
根据本发明一优选实施例,各处理进程与统计进程之间均通过双缓存进行数据交互,以保证同一时刻处理进程和统计进程对不同的缓存区进行不同的操作。
根据本发明一优选实施例,所述双缓存中两个缓存区的状态包括:可供进行数据写操作的活动状态以及可供进行数据读操作的空闲状态;
所述各处理进程与统计进程之间均通过双缓存进行数据交互具体包括:
处理进程从收包队列中获取到数据包时,通过调用双缓存激活指令获取活动状态的缓存区,将解析得到的DDoS特征写入获取的活动状态的缓存区;
所述统计进程执行完统计操作后调用双缓存切换指令申请对双缓存进行切换;
如果所述双缓存切换指令被调用时处理进程正在进行写数据操作,则等待处理进程完成写数据操作后,两个缓存区的状态被切换;
所述统计进程调用双缓存切换完成指令查看是否完成所述切换,如果是,则通过调用双缓存获取空闲指令获得空闲状态的缓存区,从空闲状态的缓存区中读取DDoS特征。
根据本发明一优选实施例,在所述步骤S2中还包括:将汇总统计得到的统计结果存入哈希表并记录存入哈希表的时间,如果发生缓存要溢出的情况,则淘汰存入哈希表的时间最早的统计结果。
一种检测分布式拒绝服务攻击DDoS的装置,该装置包括:
初始化单元,用于预先设置N个处理进程与N个核一一绑定,所述N为2以上的整数;
所述N个处理进程,用于对进入检测设备的数据包采用分担的方式进行DDoS特征解析;
统计进程,用于将各处理进程分别解析得到的DDoS特征进行汇总统计;
检测单元,用于依据所述统计进程汇总统计得到的DDoS特征判断是否存在DDoS。
根据本发明一优选实施例,所述进入检测设备的数据包统一在收包队列中,所述N个处理进程采用轮叫调度round-robin的方式对收包队列中的数据包进行分担。
根据本发明一优选实施例,所述DDoS特征包括源IP、HTTP头部字段中的URL、host域、cookie或者参照页referer。
根据本发明一优选实施例,各处理进程与统计进程之间均通过双缓存进行数据交互,以保证同一时刻处理进程和统计进程对不同的缓存区进行不同的操作。
根据本发明一优选实施例,所述双缓存中两个缓存区的状态包括:可供进行数据写操作的活动状态以及可供进行数据读操作的空闲状态;
所述处理进程从收包队列中获取到数据包时,通过调用双缓存激活指令获取活动状态的缓存区,将解析得到的DDoS特征写入获取的活动状态的缓存区;
所述统计进程执行完统计操作后调用双缓存切换指令申请对双缓存进行切换,如果所述双缓存切换指令被调用时处理进程正在进行写数据操作,则等待处理进程完成写数据操作后,两个缓存区的状态被切换;调用双缓存切换完成指令查看是否完成所述切换,如果是,则通过调用双缓存获取空闲指令获得空闲状态的缓存区,从空闲状态的缓存区中读取DDoS特征。
根据本发明一优选实施例,所述统计进程,还用于将统计得到的统计结果存入哈希表并记录存入哈希表的时间,如果发生缓存要溢出的情况,则淘汰存入哈希表的时间最早的统计结果。
由以上技术方案可以看出,本发明基于众核硬件平台,用软件实现应用层攻击的检测,通过将多个处理进程与多个核一一绑定,将多个处理进程解析得到的DDoS特征由一个统计进程进行汇总统计来最终确定是否存在DDoS,从而提高DDoS检测的处理性能来满足复杂和规模庞大的业务需求,并且,该方式无需涉及专门的硬件逻辑和特殊的体系结构、指令集,而采用多核来负责处理的应用逻辑,相比较现有技术而言,降低了开发费用,缩减了开发周期,且能够根据实际需求进行处理进程的扩展。
【附图说明】
图1为本发明实施例一提供的检测DDoS的方法流程图;
图2为本发明实施例一提供的N个处理进程对一个收包队列的处理示意图;
图3为本发明实施例一提供的dataplane的核的分布示意图;
图4为本发明实施例一提供的DDoS特征解析采用的状态机示意图;
图5为本发明实施例一提供的双缓存技术的实现示意图;
图6为本发明实施例二提供的装置结构图。
【具体实施方式】
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
实施例一、
图1为本发明实施例一提供的检测DDoS的方法流程图,如图1所示,该方法可以包括以下步骤:
步骤101:预先设置N个处理进程与N个核一一绑定,该N个处理进程对进入检测设备的数据包采用分担的方式进行DDoS特征解析,N为2以上的整数。
在众核硬件平台下,采用多个处理进程以分担的方式进行DDoS特征解析。在本发明实施例中进入检测设备的数据包可以是通过分光镜像平台将从网络服务提供商(ISP)来的流量镜像至检测设备,进入检测设备的数据包统一在收包队列中,上述N个处理进程可以采用轮叫调度(round-robin)的方式进行分担处理(当然也可以采用其他负载分担的方式)。N个处理进程各自独立,且保证收包队列中的每个数据包能够被其中一个处理进程处理,图2为N个处理进程对一个收包队列的处理示意图。
由于诸如XGBE、GBE、PCIE等外设的驱动需要专有的核来实现,因此有一部分核是不能够用于绑定本发明实施例中的处理进程的,处理进程可以与数据层(dataplane)的核进行绑定。在双万兆、一个PCI-Ex4的配置下,64个核中dataplane的核可以如图3中阴影部分所示。
上述N个处理进程是与dataplane中的N个核一一绑定的,这些绑定的核的时钟中断被关闭,因此这些绑定的核上的调度器将不会主动运行,采用轮叫调度的方式从收包队列中获取对应位置的数据包,如不进行系统调用,则其对数据包的解析不会被其他事务打断。
DDoS特征可以包括但不限于:源IP、URL、host域、cookie或者参照页(referer),这些DDoS特征除了源IP之外均包含在HTTP头部字段中,因此本步骤中各处理单元对数据包进行的DDoS特征解析主要是对HTTP头部字段的解析。
源IP直接从数据包的网络层字段中获取,不再赘述。
在对HTTP头部字段进行解析时,对于URL的解析是对数据包HTTP的method字段的头部开始依次进行字符读取,直至“HTTP/”为止,即method字段的头部和“HTTP/”之间的字符串为解析得到的URL。
对于其他DDoS特征的解析,可以依据标识类型的字段中进行识别,例如“*start_post”字段内容为“h”时,解析到host域;“*start_post”字段内容为“c”时,解析到cookie域;“*start_post”字段内容为“r”时,解析到referer域。由于它们在HTTP头部出现的顺序是不一致的,为了方便查找可以采用状态机的方式,如图4所示。从HTTP头部中字段开始状态,如果“*start_post”字段内容为“h”,则转移至host域状态,如果“*start_post”字段内容为“c”,则转移至cookie状态,如果*start_post”字段内容为“r”,则转移至referer状态,如果“is_end”字段为1或者遍历的长度达到净荷长度,则转移至HTTP头部结束状态。从除了HTTP头部中字段开始状态之外的任意状态,如果“is_end”字段为1,则转移至HTTP头部中字段开始状态。从除了HTTP头部中字段开始状态以及HTTP头部结束状态之外的任意状态,如果遍历的长度达到净荷长度,则转移至HTTP头部结束状态。
各处理进程可以将解析得到的DDoS特征送入本地的哈希表中,哈希表可以分别存在于对应处理进程的缓存中。
步骤102:统计进程将各处理进程分别解析得到的DDoS特征进行汇总统计。
N个处理进程得到的独立的解析结果通过一个统一的进程进行汇总统计,即统计进程。然而各处理进程与统计进程之间在通过共享内存技术进行数据交互时,可能会涉及同步锁的问题,锁的引入在多进程情况下会显著降低性能,因此为了避免锁,本发明实施例中引入了双缓存技术,即每一个处理进程和统计进程之间均通过双缓存进行数据交互,以保证同一时刻处理进程和统计进程对不同的缓存进行不同的操作。下面以其中一个处理进程与统计进程之间的双缓存为例进行详细描述。
首先将双缓存中的两个缓存区进行如下两个状态的区分:活动状态和空闲状态,其中缓存区处于活动状态时可供进行数据写操作,缓存区处于空闲状态时可供进行数据读操作。
如图5所示,处理进程每从收包进程中获取到数据包,就通过调用双缓存激活指令(double_buffer_get_active)来获取活动状态的缓存区,该活动状态的缓存区在下一次调用double_buffer_get_active之前一直有效。double_buffer_get_active被调用时,获取活动状态的缓存区,处理进程在该活动状态的缓存区进行写操作,即将解析得到的DDoS写入活动状态的缓存区。
统计进程执行完统计操作后调用双缓存切换指令(double_buffer_switch)申请对双缓存进行切换,double_buffer_switch被调用时判断处理进程是否正在进行写数据操作,如果是,等待处理进程完成写操作后,将两个缓存区的状态进行切换。double_buffer_switch完成后,统计进程调用双缓存切换完成指令(double_buffer_switch_ready)查看是否完成切换,如果是,则统计进程通过调用双缓存获取空闲指令(double_buffer_get_idle)获得空闲状态的缓存区,从空闲状态的缓存区中读取数据,即DDos特征。空闲状态的缓存区直到下一次调用double_buffer_switch之前都是有效的。
统计进程在进行汇总统计时,按照汇总周期获取各个处理进程在该汇总周期内的DDoS特征,然后进行汇总处理。具体可以将各处理进程得到的DDoS特征依据属性进行统计,例如依据时间进行统计、依据类型进行统计、依据攻击源进行统计等等。
由于DDoS特征的数量非常庞大,对汇总统计得到的统计结果进行缓存将造成极大的内存消耗,在此可以采用基于hash的最早访问淘汰(LRU)的方法。也就是说,汇总统计得到的统计结果存入hash表时,记录缓存时间,如果发生缓存要溢出的情况,则淘汰缓存时间最早的统计结果。具体地,在hash表中增加一个LRU双向链表,用于标识统计结果存入hash表的时间,即缓存时间,将统计结果存入hash表时,将刚刚存入的统计结果的时间存入LRU双向链表的头部,那么尾部就是最老的。当hash表中的统计结果个数超过hash表的容量时,从LRU双向链表的尾部所指示的统计结果进行淘汰。
假设统计进程所能缓存的统计结果为300个URL,在每秒访问10000次请求的情况下,本发明采用的算法失效的概率可以通过形式化的方法进行计算,失效概率大概为10-10。
步骤103:依据汇总统计得到的DDoS特征判断是否存在DDoS。
对汇总统计得到的DDoS特征出现的频率来判断是否存在DDoS,例如当某个源IP的出现频率高于一定的阈值,则可以认为该源IP为DDoS攻击源。依据DDoS特征来判断是否存在DDoS的方法为已有技术,在此不再赘述。
当判断存在DDoS时,可以采用报警、邮件等方式通知外界。
以上是对本发明所提供的方法进行的详细描述,下面通过实施例二对本发明所提供的装置进行详细描述。
实施例二、
图6为本发明实施例二提供的装置结构图,如图6所示,该装置可以包括:
初始化单元600,用于预先设置N个处理进程与N个核一一绑定,N为2以上的整数。该初始化模块600负责进行进程的创建、配置和初始化等,完成该装置中策略信息的配置,并可以通过接收外界的信息完成对所有策略的动态加载和动态修改等。
N个处理进程610,用于对进入检测设备的数据包采用分担的方式进行DDoS特征解析。该处理进程除了负责收包之外,即从收包队列中获取数据包之外,为了达到线速处理能力,还调用统计进程620和检测单元630中的回调回调函数完成部分特征检测的工作,即DDoS特征解析。
进入检测设备的数据包可以是通过分光镜像平台将ISP来的流量镜像至检测设备,进入检测设备的数据包统一在收包队列中,N个处理进程可以采用round-robin的方式对收包队列中的数据包进行分担。
DDoS特征可以包括但不限于:源IP、URL、host域、cookie或者referer,这些DDoS特征除了源IP之外均包含在HTTP头部字段中,因此本步骤中各处理单元对数据包进行的DDoS特征解析主要是对HTTP头部字段的解析。其中各DDoS特征的解析方式可以参照实施例一中所描述的方式,在此不再赘述。
统计进程620,用于将各处理进程分别解析得到的DDoS特征进行汇总统计。
各处理进程与统计进程之间在通过共享内存技术进行数据交互时,可能会涉及同步锁的问题,锁的引入在多进程情况下会显著降低性能,因此为了避免锁,本发明实施例中引入了双缓存技术,即每一个处理进程和统计进程之间均通过双缓存进行数据交互,以保证同一时刻处理进程和统计进程对不同的缓存进行不同的操作。
双缓存中两个缓存区的状态包括:可供进行数据写操作的活动状态以及可供进行数据读操作的空闲状态。
具体地,处理进程从收包队列中获取到数据包时,通过调用double_buffer_get_active获取活动状态的缓存区,将解析得到的DDoS特征写入获取的活动状态的缓存区。
统计进程执行完统计操作后调用double_buffer_switch申请对双缓存进行切换,如果double_buffer_switch被调用时处理进程正在进行写数据操作,则等待处理进程完成写数据操作后,两个缓存区的状态被切换;调用double_buffer_switch_ready查看是否完成切换,如果是,则通过调用double_buffer_get_idle获得空闲状态的缓存区,从空闲状态的缓存区中读取DDoS特征。
统计进程在进行汇总统计时,按照汇总周期获取各个处理进程在该汇总周期内的DDoS特征,然后进行汇总处理。具体可以将各处理进程得到的DDoS特征依据属性进行统计,例如依据时间进行统计、依据类型进行统计、依据攻击源进行统计等等。
由于DDoS特征的数量非常庞大,对汇总统计得到的统计结果进行缓存将造成极大的内存消耗,因此统计进程在此采用基于hash的LRU方法,即汇总统计得到的统计结果存入hash表时,记录缓存时间,如果发生缓存要溢出的情况,则淘汰缓存时间最早的统计结果。具体地,在hash表中增加一个LRU双向链表,用于标识统计结果存入hash表的时间,即缓存时间,将统计结果存入hash表时,将刚刚存入的统计结果的时间存入LRU双向链表的头部,那么尾部就是最老的。当hash表中的统计结果个数超过hash表的容量时,从LRU双向链表的尾部所指示的统计结果进行淘汰。
检测单元630,用于依据统计进程汇总统计得到的DDoS特征判断是否存在DDoS。
对汇总统计得到的DDoS特征出现的频率来判断是否存在DDoS,例如当某个源IP的出现频率高于一定的阈值,则可以认为该源IP为DDoS攻击源。依据DDoS特征来判断是否存在DDoS的方法为已有技术,在此不再赘述。
除此之外,如果确定存在DDoS,还可以通过该装置中的诸如报警模块、邮件通知模块(图中未示出)等通知外界。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (12)
1.一种检测分布式拒绝服务攻击DDoS的方法,其特征在于,预先设置N个处理进程与N个核一一绑定,所述N为2以上的整数,该方法包括:
S1、所述N个处理进程对进入检测设备的数据包采用分担的方式进行DDoS特征解析;
S2、统计进程将各处理进程分别解析得到的DDoS特征进行汇总统计;
S3、依据汇总统计得到的DDoS特征判断是否存在DDoS。
2.根据权利要求1所述的方法,其特征在于,所述进入检测设备的数据包统一在收包队列中,所述N个处理进程采用轮叫调度round-robin的方式对收包队列中的数据包进行分担。
3.根据权利要求1所述的方法,其特征在于,所述DDoS特征包括源IP、HTTP头部字段中的URL、host域、cookie或者参照页referer。
4.根据权利要求1所述的方法,其特征在于,各处理进程与统计进程之间均通过双缓存进行数据交互,以保证同一时刻处理进程和统计进程对不同的缓存区进行不同的操作。
5.根据权利要求4所述的方法,其特征在于,所述双缓存中两个缓存区的状态包括:可供进行数据写操作的活动状态以及可供进行数据读操作的空闲状态;
所述各处理进程与统计进程之间均通过双缓存进行数据交互具体包括:
处理进程从收包队列中获取到数据包时,通过调用双缓存激活指令获取活动状态的缓存区,将解析得到的DDoS特征写入获取的活动状态的缓存区;
所述统计进程执行完统计操作后调用双缓存切换指令申请对双缓存进行切换;
如果所述双缓存切换指令被调用时处理进程正在进行写数据操作,则等待处理进程完成写数据操作后,两个缓存区的状态被切换;
所述统计进程调用双缓存切换完成指令查看是否完成所述切换,如果是,则通过调用双缓存获取空闲指令获得空闲状态的缓存区,从空闲状态的缓存区中读取DDoS特征。
6.根据权利要求1所述的方法,其特征在于,在所述步骤S2中还包括:将汇总统计得到的统计结果存入哈希表并记录存入哈希表的时间,如果发生缓存要溢出的情况,则淘汰存入哈希表的时间最早的统计结果。
7.一种检测分布式拒绝服务攻击DDoS的装置,其特征在于,该装置包括:
初始化单元,用于预先设置N个处理进程与N个核一一绑定,所述N为2以上的整数;
所述N个处理进程,用于对进入检测设备的数据包采用分担的方式进行DDoS特征解析;
统计进程,用于将各处理进程分别解析得到的DDoS特征进行汇总统计;
检测单元,用于依据所述统计进程汇总统计得到的DDoS特征判断是否存在DDoS。
8.根据权利要求7所述的装置,其特征在于,所述进入检测设备的数据包统一在收包队列中,所述N个处理进程采用轮叫调度round-robin的方式对收包队列中的数据包进行分担。
9.根据权利要求7所述的装置,其特征在于,所述DDoS特征包括源IP、HTTP头部字段中的URL、host域、cookie或者参照页referer。
10.根据权利要求7所述的装置,其特征在于,各处理进程与统计进程之间均通过双缓存进行数据交互,以保证同一时刻处理进程和统计进程对不同的缓存区进行不同的操作。
11.根据权利要求10所述的装置,其特征在于,所述双缓存中两个缓存区的状态包括:可供进行数据写操作的活动状态以及可供进行数据读操作的空闲状态;
所述处理进程从收包队列中获取到数据包时,通过调用双缓存激活指令获取活动状态的缓存区,将解析得到的DDoS特征写入获取的活动状态的缓存区;
所述统计进程执行完统计操作后调用双缓存切换指令申请对双缓存进行切换,如果所述双缓存切换指令被调用时处理进程正在进行写数据操作,则等待处理进程完成写数据操作后,两个缓存区的状态被切换;调用双缓存切换完成指令查看是否完成所述切换,如果是,则通过调用双缓存获取空闲指令获得空闲状态的缓存区,从空闲状态的缓存区中读取DDoS特征。
12.根据权利要求7所述的装置,其特征在于,所述统计进程,还用于将统计得到的统计结果存入哈希表并记录存入哈希表的时间,如果发生缓存要溢出的情况,则淘汰存入哈希表的时间最早的统计结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012103714593A CN102932330A (zh) | 2012-09-28 | 2012-09-28 | 一种检测分布式拒绝服务攻击的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012103714593A CN102932330A (zh) | 2012-09-28 | 2012-09-28 | 一种检测分布式拒绝服务攻击的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102932330A true CN102932330A (zh) | 2013-02-13 |
Family
ID=47647032
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012103714593A Pending CN102932330A (zh) | 2012-09-28 | 2012-09-28 | 一种检测分布式拒绝服务攻击的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102932330A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106789954A (zh) * | 2016-11-30 | 2017-05-31 | 杭州迪普科技股份有限公司 | 一种基于多cpu的ddos攻击识别的方法和装置 |
| CN108337314A (zh) * | 2018-02-07 | 2018-07-27 | 北京百度网讯科技有限公司 | 分布式系统、用于主服务器的信息处理方法和装置 |
| CN108696498A (zh) * | 2017-03-31 | 2018-10-23 | 三星电子株式会社 | 检测和防范对计算机存储阵列的拒绝服务攻击的系统 |
| CN109327441A (zh) * | 2018-10-10 | 2019-02-12 | 光通天下网络科技股份有限公司 | 分布式DDoS防御系统的攻击数据整合方法、整合装置和电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060230444A1 (en) * | 2005-03-25 | 2006-10-12 | At&T Corp. | Method and apparatus for traffic control of dynamic denial of service attacks within a communications network |
| US20070130619A1 (en) * | 2005-12-06 | 2007-06-07 | Sprint Communications Company L.P. | Distributed denial of service (DDoS) network-based detection |
| CN101980506A (zh) * | 2010-10-29 | 2011-02-23 | 北京航空航天大学 | 一种基于流量特征分析的分布式入侵检测方法 |
| CN102447707A (zh) * | 2011-12-30 | 2012-05-09 | 北京交通大学 | 一种基于映射请求的DDoS检测与响应方法 |
| US20120151593A1 (en) * | 2010-12-13 | 2012-06-14 | Electronics And Telecommunications Research Institute | Distributed denial of service attack detection apparatus and method, and distributed denial of service attack detection and prevention apparatus for reducing false-positive |
-
2012
- 2012-09-28 CN CN2012103714593A patent/CN102932330A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060230444A1 (en) * | 2005-03-25 | 2006-10-12 | At&T Corp. | Method and apparatus for traffic control of dynamic denial of service attacks within a communications network |
| US20070130619A1 (en) * | 2005-12-06 | 2007-06-07 | Sprint Communications Company L.P. | Distributed denial of service (DDoS) network-based detection |
| CN101980506A (zh) * | 2010-10-29 | 2011-02-23 | 北京航空航天大学 | 一种基于流量特征分析的分布式入侵检测方法 |
| US20120151593A1 (en) * | 2010-12-13 | 2012-06-14 | Electronics And Telecommunications Research Institute | Distributed denial of service attack detection apparatus and method, and distributed denial of service attack detection and prevention apparatus for reducing false-positive |
| CN102447707A (zh) * | 2011-12-30 | 2012-05-09 | 北京交通大学 | 一种基于映射请求的DDoS检测与响应方法 |
Non-Patent Citations (2)
| Title |
|---|
| 朱裕福: "基于多核CPU的DDOS检测技术研究", 《万方数据知识服务平台》 * |
| 李阳: "双缓冲消息队列-减少锁竞争", 《URL:WWW.CPPBLOG.COM/DEANE/ARTICLES/113983.HTML》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106789954A (zh) * | 2016-11-30 | 2017-05-31 | 杭州迪普科技股份有限公司 | 一种基于多cpu的ddos攻击识别的方法和装置 |
| CN108696498A (zh) * | 2017-03-31 | 2018-10-23 | 三星电子株式会社 | 检测和防范对计算机存储阵列的拒绝服务攻击的系统 |
| US11140198B2 (en) | 2017-03-31 | 2021-10-05 | Samsung Electronics Co., Ltd. | System and method of detecting and countering denial-of-service (DoS) attacks on an NVMe-oF-based computer storage array |
| CN108696498B (zh) * | 2017-03-31 | 2022-11-15 | 三星电子株式会社 | 检测和防范对计算机存储阵列的拒绝服务攻击的系统 |
| CN108337314A (zh) * | 2018-02-07 | 2018-07-27 | 北京百度网讯科技有限公司 | 分布式系统、用于主服务器的信息处理方法和装置 |
| CN108337314B (zh) * | 2018-02-07 | 2019-07-09 | 北京百度网讯科技有限公司 | 分布式系统、用于主服务器的信息处理方法和装置 |
| CN109327441A (zh) * | 2018-10-10 | 2019-02-12 | 光通天下网络科技股份有限公司 | 分布式DDoS防御系统的攻击数据整合方法、整合装置和电子设备 |
| CN109327441B (zh) * | 2018-10-10 | 2021-01-05 | 光通天下网络科技股份有限公司 | 分布式DDoS防御系统的攻击数据整合方法、整合装置和电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9641413B2 (en) | Methods and computer program products for collecting storage resource performance data using file system hooks | |
| EP3090345B1 (en) | Method of delaying checkpoints by inspecting network packets | |
| EP3097661B1 (en) | A method for scalable distributed network traffic analytics in telco | |
| US10277717B2 (en) | Network introspection in an operating system | |
| US20090013407A1 (en) | Intrusion detection system/intrusion prevention system with enhanced performance | |
| CN102932330A (zh) | 一种检测分布式拒绝服务攻击的方法和装置 | |
| CN106254394A (zh) | 一种攻击流量的记录方法和装置 | |
| Zhang et al. | Optimization of traditional Snort intrusion detection system | |
| Shuai et al. | Performance optimization of Snort based on DPDK and Hyperscan | |
| CN111800472A (zh) | 一种区块链节点负载均衡方法、装置、介质及设备 | |
| CN118041660A (zh) | 一种高速大规模并发全量网络流量入侵检测方法及系统 | |
| WO2022170347A1 (en) | Systems and methods for monitoring and securing networks using a shared buffer | |
| Weigert et al. | Mining large distributed log data in near real time | |
| CN105871849A (zh) | 一种防火墙系统架构 | |
| US20210297510A1 (en) | Efficient packet processing for express data paths | |
| Wang et al. | Design and analysis of a robust pipelined memory system | |
| WO2024006144A1 (en) | Security subsystem for execution verification | |
| CN113315743B (zh) | 防御处理方法、装置、设备和存储介质 | |
| Schuff et al. | Design alternatives for a high-performance self-securing ethernet network interface | |
| AT&T | ||
| US12034740B1 (en) | Distributed denial of service mitigation in a container based framework | |
| US20230308470A1 (en) | Systems and Methods for Deriving Application Security Signals from Application Performance Data | |
| CN112596955B (zh) | 云计算中处理大规模系统突发事件的应急处理系统及方法 | |
| Zhan et al. | Deep packet inspection based on many-core platform | |
| Wang et al. | Robust pipelined memory system with worst case performance guarantee for network processing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130213 |