CN103166926B - 一种SIP DDoS攻击分布式防御系统及其负载均衡方法 - Google Patents

一种SIP DDoS攻击分布式防御系统及其负载均衡方法 Download PDF

Info

Publication number
CN103166926B
CN103166926B CN201110418430.1A CN201110418430A CN103166926B CN 103166926 B CN103166926 B CN 103166926B CN 201110418430 A CN201110418430 A CN 201110418430A CN 103166926 B CN103166926 B CN 103166926B
Authority
CN
China
Prior art keywords
load
defense
message
node
sip
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201110418430.1A
Other languages
English (en)
Other versions
CN103166926A (zh
Inventor
吕昕
林浒
李鸿彬
孙建伟
杨蕾
张彦功
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenyang Institute of Computing Technology of CAS
Original Assignee
Shenyang Institute of Computing Technology of CAS
Filing date
Publication date
Application filed by Shenyang Institute of Computing Technology of CAS filed Critical Shenyang Institute of Computing Technology of CAS
Priority to CN201110418430.1A priority Critical patent/CN103166926B/zh
Publication of CN103166926A publication Critical patent/CN103166926A/zh
Application granted granted Critical
Publication of CN103166926B publication Critical patent/CN103166926B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Abstract

本发明涉及VoIP网络安全和IP通信领域,具体地说是一种SIP DDoS攻击分布式防御系统及其负载均衡方法。本发明包括防御检测节点,与负载均衡器相连,用于将负载信息实时通报给负载均衡器,共享规则库;负载均衡器,与多个防御检测节点相连,用于将SIP消息分发到各个防御检测节点,根据防御检测节点发来的负载信息更新防御节点负载表。本发明采用分布式结构具有较高的消息处理能力和较好的可扩展性;基于检测算法负载均衡方法,具有较高的攻击检测率和较低的误报率;使用负载分发算法,各节点具有良好的负载均衡特性。

Description

一种SIP DDoS攻击分布式防御系统及其负载均衡方法
技术领域
本发明涉及VoIP网络安全和IP通信领域,具体地说是一种SIP DDoS攻击分布式防御系统及其负载均衡方法。
背景技术
随着人们对通信需求的多样化,IP通信的范畴已经大大扩展,开始从简单的VoIP系统(Voice Over IP)向统一通信(EoIP,Everything Over IP)演进。SIP(sessioninitiation protocol,应用层的信令控制协议)用于建立、修改和终止IP网络上的双方或多方多媒体会话。它以结构简单、使用方便的特点已成为VoIP、IMS、IPTV的核心协议,ETSI及ITU-T定义的NGN架构中也都采用了SIP。SIP协议在设计之初充分考虑了协议的易用性和灵活性,没有将安全性作为重点,使其在安全性方面存在一定缺陷,DoS(Denial ofService,拒绝服务)攻击是SIP协议面临的主要安全威胁之一。美国标准与技术研究院NIST将DoS攻击作为VoIP网络架构中一种严重安全威胁,在融合网络的安全威胁分析中,DoS攻击已成为融合网络考虑的首要安全问题。德国固网运营商Arcor正在大规模部署基于SIP的NGN网络,他们声称DoS攻击的防御已成为服务提供商的一个紧迫需求。
DDoS(Distributed Denial of Service,分布式拒绝服务)攻击由于防御难度高,攻击危害大,对SIP协议的应用造成的威胁更大。DDoS攻击中攻击者使用多台主机向服务器发送大量攻击消息,面对大量的网络流量,防御系统检测效率会大大降低,系统本身也可能成为DDoS攻击的对象。
对于SIP DDoS攻击防御模型的研究很少,现有的SIP DDoS防御系统主要可以分为四类:通过限制消息请求速率来实现防御的防御系统、基于SIP网络的状态防火墙的防御系统、基于流的分布式防御系统和SIP代理服务器自防御系统。通过限制消息请求速率来实现防御的系统无法区分正常消息和攻击消息,只能减弱攻击强度;于SIP网络的状态防火墙系统防御效率依赖设定的安全规则,只能防御已知攻击;基于流的分布式防御系统由于没有考虑SIP消息的特点,导致大多数的检测算法无法使用同时会产生较高的误报和漏报;SIP代理服务器自防御系统嵌入到SIP代理服务器中,加重了SIP代理服务器的处理负担,在面对大量攻击消息时会导致服务器崩溃。
现有的SIP DDoS防御模型都无法在高效防御的同时实现对未知攻击积极、主动的检测。同时一些主要的SIP DDoS攻击检测算法,如累加和算法和基于SIP事务状态机的检测方法等,虽然有较高的检测准确度,但是由于检测消耗资源大、检测速率慢等原因在单一主机的防御系统中无法用于防御。若防御系统采用分布式的体系结构,将检测任务分配到多台主机同时执行,能够使这些算法用于实时防御成为可能。
发明内容
针对现有SIP DDoS攻击的入侵防御系统存在的缺陷,本发明要解决的技术问题是提供一种能够在高效防御SIP DDoS攻击的同时使用检测算法检测未知攻击的分布式防御系统,并为此防御系统提供一种能够满足检测算法要求的负载均衡方法。
本发明为实现上述目的所采用的技术方案是:一种SIP DDoS攻击分布式防御系统,包括
防御检测节点,与负载均衡器相连,用于将负载信息实时通报给负载均衡器,共享规则库;
负载均衡器,与多个防御检测节点相连,用于将SIP消息分发到各个防御检测节点,根据防御检测节点发来的负载信息更新防御节点负载表。
所述防御检测节点包括
SIP防火墙模块,对SIP消息进行解析并匹配规则库,决定对SIP消息的下一步处理;
检测算法模块,对可疑SIP消息使用特定的检测算法进行检测,决定对可疑SIP消息的处理,对发现的攻击生成规则添加到规则库;
流量转发模块,将判定为正常的SIP消息发往目标服务器;
负载更新模块,将防御检测节点负载信息实时发送给负载均衡器。
所述负载均衡器包括
SIP消息过滤器,只将SIP消息转发给接入速率控制器,对其它消息一律放过;
接入速率控制器,检测SIP请求到达速率,若高于防御系统能够处理的速率阈值,则丢弃SIP消息;
负载均衡算法模块,查询防御节点负载表和历史记录表,决定SIP消息的分发去向;
流量分发模块,根据负载均衡算法模块决定的分发去向将SIP消息发送到相应的防御检测节点。
所述负载均衡器采用主从机冗余备份,活跃的负载均衡器和待机的负载均衡器共享历史记录表和防御检测节点负载表;
所述历史记录表包括Call-ID历史记录表和源IP地址对历史记录表;
所述历史记录表只记录一段时间内的历史记录。
一种SIP DDoS攻击分布式防御系统的负载均衡方法,包括以下步骤:
将SIP消息转发给接入速率控制器,放过其它消息;
检测SIP请求到达速率,若高于防御系统能够处理的速率阈值,则丢弃SIP消息;
查询防御节点负载表和历史记录表,决定SIP消息的分发去向;
根据两级负载均衡算法模块决定的分发去向将SIP消息发送到相应的防御检测节点;
防御检测节点对SIP消息的处理;
根据防御检测节点发来的负载信息更新防御节点负载表。
所述负载均衡算法为两级负载均衡算法,具体为:
对SIP消息进行解析,提取Call-ID头域和源IP地址对头域;
一级负载均衡模块根据Call-ID历史记录表进行分发;
对于Call-ID历史记录表中没有记录的消息,一级负载均衡模块根据源IP地址对头域历史记录表进行分发;
对于一级负载均衡模块没有分发的消息,二级负载均衡模块根据负载分发方法发送给合适的防御检测节点;
根据分发结果对历史记录表进行更新。
所述负载分发方法用Round-Robin算法对SIP消息进行分发。
在将消息发送到某个防御检测节点前,所述负载分发方法要根据负载表对该防御检测节点进行可用性检查,具体为:
检测防御检测节点负载,若该防御检测节点负载大于二级转发负载上限,则停止向该防御检测节点的二级负载转发;
检测防御检测节点负载,若该防御检测节点负载大于一级转发负载上限,则停止向该防御检测节点的一级负载转发;
计算恢复转发下限,若该防御检测节点负载小于恢复转发下限,则恢复向该防御检测节点转发消息。
所述防御检测节点对SIP消息的处理具体为:
SIP防火墙模块对消息进行解析并匹配规则库,决定对消息的下一步处理,丢弃攻击消息,将可疑消息发送到检测算法模块,将正常消息交给流量转发模块;
流量转发模块将判定为正常的消息发往目标服务器;
检测算法模块对可疑消息使用特定的检测算法进行检测,决定对可疑消息的处理,对发现的攻击生成规则添加到规则库。
所述根据防御检测节点发来的负载信息更新防御节点负载表的方法为:
负载均衡器等待所有防御检测节点的负载信息;
若在响应周期内没有收到来自某个防御检测节点的SIP消息,该防御检测节点的未应答次数加1;
若某个防御检测节点的未应答次数大于未应答上限,则该节点的可用性置为否;
若收到某个不可用的防御检测节点的负载信息,则将该节点的可用性置为是,将未应答次数置为零,并在防御节点负载表中更新该节点的负载信息。
本发明具有以下优点:
1.本发明建立了一种分布式防御检测系统用于抵御SIP DDoS攻击,建立了一种防御检测节点数目可扩展的SIP DDoS攻击防御体系,使本系统具有较高的消息处理能力和较好的可扩展性。
2.本发明建立了一种基于规则过滤和规则添加的防御检测方法,使本系统具有较高的防御效率和较低的处理延迟。
3.本发明建立了一种基于检测算法负载均衡方法,满足检测算法对检测消息的要求,使本系统具有较高的攻击检测率和较低的误报率。
4.本发明建立了一种用于二级负载均衡模块的负载分发算法,按照防御检测节点的负载进行消息的分发,使本系统的防御检测节点具有良好的负载均衡特性。
附图说明
图1为本发明网络拓扑结构图;
图2为本发明系统体系结构图;
图3为本发明防御检测节点负载更新处理流程图;
图4为本发明两级负载均衡方法处理流程图;
图5为本发明负载分发方法处理流程图;
图6为仿真实验环境示意图;
图7为两个防御检测节点的系统负载图;
图8为四个防御检测节点的系统负载图。
具体实施方式
下面结合附图及实施例对本发明做进一步的详细说明。
本发明SIP DDoS攻击分布式防御系统包括负载均衡器(Load Balacer,LB),与多个防御检测节点相连,对网络流量进行初步处理并使用负载均衡算法分发给各个防御检测节点;防御检测节点(Defending and Detecting Node,DDN),对分配到其上的SIP消息进行处理,过滤掉攻击消息,将正常消息发送给服务器。
本发明的系统是用于抵御SIP DDoS攻击的入侵防御系统。本实施例运行于SIP服务器集群前端,处理发往服务器的SIP消息,防御SIP DDoS攻击,使SIP服务器免于攻击的危害。如图1所示系统中的负载均衡器与多个防御检测节点相连,防御检测节点除共享规则库外,只与负载均衡器相连。负载均衡器采用主从机冗余备份,活跃的负载均衡器和待机的负载均衡器共享历史记录表和防御检测节点负载表。
本系统的历史记录表包括Call-ID历史记录表和源IP地址对历史记录表。本系统Call-ID历史记录表如表1所示,记录一条Call-ID的历史记录发往的防御检测节点的编号和虚拟IP地址。
表1
本系统源IP地址对历史记录表如表2所示,记录一条源IP地址对的历史记录发往的防御检测节点的编号和虚拟IP地址。
表2
本系统防御检测节点负载表如表3所示,记录系统防御检测节点编号、虚拟IP地址、可用性和CPU负载率。
表3
本系统只记录一段时间内(如24小时)的历史记录,保证历史记录表的查找效率。
如图2所示,本系统的防御检测节点采用相同结构,并用相同方式与负载均衡器相连。负载均衡器将SIP消息分发到各个防御检测节点,防御检测节点将负载信息实时通报给负载均衡器。
所述负载均衡器包括SIP消息过滤器,只将SIP消息转发给接入速率控制器,对其它消息一律放过;接入速率控制器,检测SIP请求到达速率,若高于防御系统能够处理的速率阈值,则丢弃SIP消息;负载均衡算法模块,查询防御节点负载表和历史记录表,决定SIP消息的分发去向;流量分发模块,根据负载均衡算法模块决定的分发去向将SIP消息发送到相应的防御检测节点;历史记录表;防御检测节点负载表。历史记录表和防御检测节点负载表如上所述。
所述防御检测节点包括SIP防火墙模块,对消息进行解析并匹配规则库,决定对消息的下一步处理,丢弃攻击消息,将可疑消息发送到检测算法模块,将正常消息交给流量转发模块;检测算法模块,对可疑消息使用特定的检测算法(如累加和算法、有限状态机算法等)进行检测,决定对可疑消息的处理,对发现的攻击生成规则添加到规则库;流量转发模块,将判定为正常的消息发往目标服务器;负载更新模块,将防御检测节点负载信息实时发送给负载均衡器;规则库,记录SIP消息的过滤规则。
所述负载更新模块与负载均衡器交互,将防御检测节点的可用性和负载信息实时报告给负载均衡器,负载均衡器在负载表中对防御检测节点的可用性和负载信息进行更新。如图3所示,负载均衡器等待所有防御检测节点的负载消息,若在响应周期内没有收到来自某个防御检测节点的消息,该防御检测节点的未应答次数加一;若某个防御检测节点的未应答次数大于未应答上限,则该节点的可用性置为否;若收到某个不可用防御检测节点的负载信息,则将该节点的可用性置为是,将未应答次数置为零,并在负载表中更新该节点的负载信息。
所述负载均衡器使用两级负载分发方法将SIP消息分发到各防御检测节点。如图4所示,所述两级负载均衡方法包括一级负载均衡模块和二级负载均衡模块。所述一级负载均衡模块包括SIP消息解析模块,解析SIP消息,提取Call-ID头域和源IP地址对头域;Call-ID匹配模块,查找Call-ID历史记录表,将Call-ID相同的SIP消息发往同一个防御检测节点;源IP地址对匹配模块,查找源IP地址对历史记录表,将源IP地址对相同的SIP消息发往同一个防御检测节点。所述二级负载均衡模块包括负载分发算法模块,查询防御检测节点负载表,对一级负载均衡模块未能分发的消息使用负载分发方法进行分发;防御检测节点可用性查询模块,对消息发往的防御检测节点进行可用性检查;流量分发模块,将SIP流量发往相应防御检测节点;历史记录更新模块,转发后更新历史记录表。
所述负载分发方法用Round-Robin算法对SIP消息进行分发。在将消息发送到某个防御检测节点前,所述负载分发方法要根据负载表对该防御检测节点进行可用性检查。
如图5所示,所述可用性检查方法在负载表中查找防御检测节点的负载,若该防御检测节点负载大于二级转发负载上限α2,则停止向该防御检测节点的二级负载转发。若该防御检测节点负载大于一级转发负载上限α1,则停止向该防御检测节点的一级负载转发。若有停止转发情况发生,则计算恢复转发下限β,恢复转发下限β计算方法如公式1,其中n为防御检测节点的数目,cpu_loadingi为第i个节点的CPU负载。若该防御检测节点负载小于恢复转发下限,则恢复向该防御检测节点转发消息。
β = ( Σ i = 1 n cpu _ loading i n ) - - - ( 1 )
所述两级负载均衡方法性能进行仿真实验。如图6所示,所述实验环境如下:用一台负载均衡器与四个防御检测节点相连,负载均衡器运行添加了两级负载分发方法的开源SIP服务器opensips,opensips按照两级负载均衡方法对SIP消息进行分发;四个防御检测节点运行添加了规则过滤机制的opensips,模拟对SIP消息的过滤和检测过程;用一台主机运行SIP消息生成工具SIPp生成SIP消息,模拟正常情况下的网络流量和发生攻击时的网络流量。实验实时记录防御检测节点的CPU负载和两级负载均衡方法各级发放消息数目。
SIPp生成100000个用户模拟无攻击时的网络流量,用户每秒发起呼叫的概率为0.09%~0.11%且相互独立;同时生成1000个IP,模拟攻击者进行DDoS攻击。为简化SIP消息的处理过程,我们只模拟INVITE、200OK、ACK和BYE消息。α1取95%,α2取85%。
两个防御检测节点的防御系统正常情况下和发生攻击时的CPU负载如图7所示,其中横坐标表示时间,纵坐标表示CPU使用率,上图是正常情况下防御检测节点的负载,下图表示发生攻击时的防御检测节点负载。可以看出在正常情况下,两个防御检测节点的负载都保持在40%左右且相差不大;发生攻击时两个节点的负载都达到85%以上,基本达到满负载。四个防御检测节点的系统正常情况下和发生攻击时的CPU负载如图8所示,上图是正常情况下节点的负载,下图表示发生攻击时的节点负载。可以看出在正常情况下,四个检测节点的负载都保持在25%左右且相差不大;发生攻击时四个节点的负载都达到50%以上。无论是正常情况下还是发生攻击时,算法都表现出较好的负载均衡特性。
在仿真实验中各级消息分发的百分比如表4所示。
表4
可以看出大多数消息由一级负载均衡机制转发,大多数消息在一级转发,保证了SIP会话的完整性,满足了检测算法的检测要求。对于同样强度的攻击,两个节点的系统已经无法处理,产生了较高的丢包率,而四个节点的系统依然可以处理所有消息并且每个节点有更低的CPU负载。因此在系统无法满足防御和检测要求时,可以考虑增加节点来提高系统的防御和检测能力。
本发明的负载均衡方法除了用于SIP DDoS入侵防御系统外,还可以用于SIP分布式机群服务器对SIP流量的分发。

Claims (6)

1.一种SIP DDoS攻击分布式防御系统,其特征在于,包括
防御检测节点,与负载均衡器相连,用于将负载信息实时通报给负载均衡器,共享规则库;
负载均衡器,与多个防御检测节点相连,用于将SIP消息分发到各个防御检测节点,根据防御检测节点发来的负载信息更新防御节点负载表;
所述防御检测节点包括
SIP防火墙模块,对SIP消息进行解析并匹配规则库,决定对SIP消息的下一步处理;
检测算法模块,对可疑SIP消息使用检测算法进行检测,决定对可疑SIP消息的处理,对发现的攻击生成规则添加到规则库;
流量转发模块,将判定为正常的SIP消息发往目标服务器;
负载更新模块,将防御检测节点负载信息实时发送给负载均衡器;
所述负载均衡器包括
SIP消息过滤器,只将SIP消息转发给接入速率控制器,对其它消息一律放过;
接入速率控制器,检测SIP消息到达速率,若高于防御系统能够处理的速率阈值,则丢弃SIP消息;
负载均衡算法模块,查询防御节点负载表和历史记录表,决定SIP消息的分发去向;
流量分发模块,根据负载均衡算法模块决定的分发去向将SIP消息发送到相应的防御检测节点;
所述负载均衡算法为两级负载均衡算法,具体为:
对SIP消息进行解析,提取Call-ID头域和源IP地址对头域;
一级负载均衡模块根据Call-ID历史记录表进行分发;
对于Call-ID历史记录表中没有记录的消息,一级负载均衡模块根据源IP地址对头域历史记录表进行分发;
对于一级负载均衡模块没有分发的消息,二级负载均衡模块根据负载分发方法发送给合适的防御检测节点;
根据分发结果对历史记录表进行更新。
2.根据权利要求1所述的一种SIP DDoS攻击分布式防御系统,其特征在于,所述负载均衡器采用主从机冗余备份,活跃的负载均衡器和待机的负载均衡器共享历史记录表和防御检测节点负载表;
所述历史记录表包括Call-ID历史记录表和源IP地址对历史记录表;
所述历史记录表只记录一段时间内的历史记录。
3.一种SIP DDoS攻击分布式防御系统的负载均衡方法,其特征在于,包括以下步骤:
将SIP消息转发给接入速率控制器,放过其它消息;
检测SIP消息到达速率,若高于防御系统能够处理的速率阈值,则丢弃SIP消息;
查询防御节点负载表和历史记录表,决定SIP消息的分发去向;
根据两级负载均衡算法模块决定的分发去向将SIP消息发送到相应的防御检测节点;
防御检测节点对SIP消息的处理;
根据防御检测节点发来的负载信息更新防御节点负载表;
所述防御检测节点对SIP消息的处理具体为:
SIP防火墙模块对消息进行解析并匹配规则库,决定对消息的下一步处理,丢弃攻击消息,将可疑消息发送到检测算法模块,将正常消息交给流量转发模块;
流量转发模块将判定为正常的消息发往目标服务器;
检测算法模块对可疑消息使用特定的检测算法进行检测,决定对可疑消息的处理,对发现的攻击生成规则添加到规则库;
所述负载均衡算法为两级负载均衡算法,具体为:
对SIP消息进行解析,提取Call-ID头域和源IP地址对头域;
一级负载均衡模块根据Call-ID历史记录表进行分发;
对于Call-ID历史记录表中没有记录的消息,一级负载均衡模块根据源IP地址对头域历史记录表进行分发;
对于一级负载均衡模块没有分发的消息,二级负载均衡模块根据负载分发方法发送给合适的防御检测节点;
根据分发结果对历史记录表进行更新。
4.根据权利要求3所述的一种SIP DDoS攻击分布式防御系统的负载均衡方法,其特征在于,所述负载分发方法用Round-Robin算法对SIP消息进行分发。
5.根据权利要求4所述的一种SIP DDoS攻击分布式防御系统的负载均衡方法,其特征在于,在将消息发送到某个防御检测节点前,所述负载分发方法要根据负载表对该防御检测节点进行可用性检查,具体为:
检测防御检测节点负载,若该防御检测节点负载大于二级转发负载上限,则停止向该防御检测节点的二级负载转发;
检测防御检测节点负载,若该防御检测节点负载大于一级转发负载上限,则停止向该防御检测节点的一级负载转发;
计算恢复转发下限,若该防御检测节点负载小于恢复转发下限,则恢复向该防御检测节点转发消息。
6.根据权利要求3所述的一种SIP DDoS攻击分布式防御系统的负载均衡方法,其特征在于,所述根据防御检测节点发来的负载信息更新防御节点负载表的方法为:
负载均衡器等待所有防御检测节点的负载信息;
若在响应周期内没有收到来自某个防御检测节点的SIP消息,该防御检测节点的未应答次数加1;
若某个防御检测节点的未应答次数大于未应答上限,则该节点的可用性置为否;
若收到某个不可用的防御检测节点的负载信息,则将该节点的可用性置为是,将未应答次数置为零,并在防御节点负载表中更新该节点的负载信息。
CN201110418430.1A 2011-12-14 一种SIP DDoS攻击分布式防御系统及其负载均衡方法 Active CN103166926B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201110418430.1A CN103166926B (zh) 2011-12-14 一种SIP DDoS攻击分布式防御系统及其负载均衡方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110418430.1A CN103166926B (zh) 2011-12-14 一种SIP DDoS攻击分布式防御系统及其负载均衡方法

Publications (2)

Publication Number Publication Date
CN103166926A CN103166926A (zh) 2013-06-19
CN103166926B true CN103166926B (zh) 2016-12-14

Family

ID=

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101815033A (zh) * 2010-03-12 2010-08-25 成都市华为赛门铁克科技有限公司 负载均衡的方法、设备及系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101815033A (zh) * 2010-03-12 2010-08-25 成都市华为赛门铁克科技有限公司 负载均衡的方法、设备及系统

Similar Documents

Publication Publication Date Title
US8601564B2 (en) Attack protection for a packet-based network
US8365284B2 (en) Method for protecting a packet-based network from attacks, and security border node
CN104580168B (zh) 一种攻击数据包的处理方法、装置及系统
Schuchard et al. Losing control of the internet: using the data plane to attack the control plane
Sengar et al. VoIP intrusion detection through interacting protocol state machines
CN107222491B (zh) 一种基于工业控制网络变种攻击的入侵检测规则创建方法
CN110224990A (zh) 一种基于软件定义安全架构的入侵检测系统
Seufert et al. Machine learning for automatic defence against distributed denial of service attacks
CN101127766B (zh) 基于sip协议的消息处理方法、装置及ip通信系统
TWI405434B (zh) 殭屍網路偵測系統及方法
CN102438025A (zh) 一种基于Web代理的间接分布式拒绝服务攻击抵御方法及系统
CN108809749A (zh) 基于采样率来执行流的上层检查
CN108683686A (zh) 一种随机子域名DDoS攻击检测方法
CN101340293A (zh) 一种报文安全检查方法和装置
CN107347066A (zh) 一种功能等价体异构度最大化调度方法及装置
Signorini et al. Advise: anomaly detection tool for blockchain systems
CN107454039A (zh) 网络攻击检测系统和检测网络攻击的方法
CN108989084A (zh) 异常数据监控方法、装置及系统
CN103747003A (zh) 对等僵尸网络核心节点检测方法及检测装置
CN106487790A (zh) 一种ack flood攻击的清洗方法及系统
CN103166926B (zh) 一种SIP DDoS攻击分布式防御系统及其负载均衡方法
CN106101088A (zh) 清洗设备、检测设备、路由设备和防范dns攻击的方法
CN108768949A (zh) 基于马尔科夫随机场理论的随机几何数据异常定位方法
Gupta Predicting number of zombies in DDoS attacks using pace regression model
Lu et al. Network security situation awareness based on network simulation

Legal Events

Date Code Title Description
PB01 Publication
SE01 Entry into force of request for substantive examination
GR01 Patent grant