CN104202329A - DDoS攻击检测方法和装置 - Google Patents
DDoS攻击检测方法和装置 Download PDFInfo
- Publication number
- CN104202329A CN104202329A CN201410465475.8A CN201410465475A CN104202329A CN 104202329 A CN104202329 A CN 104202329A CN 201410465475 A CN201410465475 A CN 201410465475A CN 104202329 A CN104202329 A CN 104202329A
- Authority
- CN
- China
- Prior art keywords
- flow rate
- constantly
- change curve
- ddos attack
- moment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种DDoS攻击检测方法和装置,通过采样获得在第一周期内的目标时刻的网络流量之后,查询预先获得的流量周期变化曲线,确定与目标时刻对应的预测流量,若采样获得的网络流量大于所确定的预测流量,则检测出DDoS攻击,由于流量周期变化曲线用于指示预测流量的周期性变化规律,因此,在每一个目标时刻进行DDoS攻击检测前,仅需要根据流量周期变化曲线,确定与该目标时刻对应的预测流量,而不需要在每一次DDoS攻击检测前根据大量历史流量数据计算预测流量,减小了计算量。
Description
技术领域
本发明涉及网络安全技术,尤其涉及一种DDoS攻击检测方法和装置。
背景技术
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是指将多个计算机联合起来作为攻击平台,采用合理的服务请求来占用一个或多个目标服务器的大量服务资源,从而使合法用户无法得到该服务器的服务响应。
在防御DDoS攻击时,通常由旁路网络监控设备根据当前的网络流量检测是否受到DDoS攻击。具体通过旁路网络监控设备对网络流量进行采样,将采样结果与当前阈值进行比较,若超出该对应当前时刻的预测流量则确定检测到DDoS攻击。
由于在现有技术中,对应当前时刻的预测流量是在每一次检测DDoS攻击之前,根据最近若干次所采样获得的历史网络流量,利用区间估计算法或者累积变量算法进行计算所获得的。因此,现有技术需要在每一次检测DDoS攻击之前利用所存储的大量历史流量数据计算当前时刻的预测流量,计算量较大。
发明内容
本发明提供一种DDoS攻击检测方法和装置,用于解决在每一次检测DDoS攻击之前计算当前时刻的预测流量所造成的计算量较大的技术问题。
本发明的第一个方面是提供一种DDoS攻击检测方法,包括:
采样获得在第一周期内的目标时刻的网络流量;
查询预先获得的流量周期变化曲线,确定所述目标时刻的预测流量;所述流量周期变化曲线用于指示预测流量的周期性变化规律;
若采样获得的网络流量大于所确定的预测流量,则检测出DDoS攻击。
本发明的另一个方面是提供一种DDoS攻击检测装置,包括:
采样单元,用于采样获得在第一周期内的目标时刻的网络流量;
确定单元,用于查询预先获得的流量周期变化曲线,确定所述目标时刻的预测流量;所述流量周期变化曲线用于指示预测流量的周期性变化规律;
检测单元,用于若采样获得的网络流量大于所确定的预测流量,则检测出DDoS攻击。
本发明提供的DDoS攻击检测方法和装置,通过采样获得在第一周期内的目标时刻的网络流量之后,查询预先获得的流量周期变化曲线,确定与目标时刻对应的预测流量,若采样获得的网络流量大于所确定的预测流量,则检测出DDoS攻击,由于流量周期变化曲线用于指示预测流量的周期性变化规律,因此,在每一个目标时刻进行DDoS攻击检测前,仅需要根据流量周期变化曲线,确定与该目标时刻对应的预测流量,而不需要在每一次DDoS攻击检测前根据大量历史流量数据计算预测流量,减小了计算量。DDoS攻击检测依靠流量周期性变化规律,当流量发生突增的时候,可以根据流量周期性变化规律来判定,能够正确判定当前是否受到DDoS攻击,减少误报。
附图说明
图1为本发明一实施例提供的DDoS攻击检测方法的流程示意图;
图2为本发明另一实施例提供的DDoS攻击检测方法的流程示意图;
图3为本发明一实施例提供的DDoS攻击检测装置的结构示意图;
图4为本发明另一实施例提供的DDoS攻击检测装置的结构示意图。
具体实施方式
图1为本发明一实施例提供的DDoS攻击检测方法的流程示意图,本实施例所提供的方法可以由旁路网络监控设备执行,如图1所示,包括:
101、采样获得在第一周期内的目标时刻的网络流量。
102、查询预先获得的流量周期变化曲线,确定目标时刻的预测流量。
其中,流量周期变化曲线用于指示预测流量的周期性变化规律,具体的,流量周期变化曲线用于指示至少一个周期内的各时刻与预测流量之间的对应关系,即指示至少一个周期内的各时刻的预测流量。
可选的,采样获得在第一周期内的目标时刻的网络流量之后,判断是否已获得流量周期变化曲线,若已获得流量周期变化曲线,则根据流量周期变化曲线,确定与所述目标时刻对应的预测流量。否则,获取所述第一周期之前的第二周期内的n个时刻的网络流量Si;其中,i=1,2,…n,n为自然数;然后,根据公式TEi=αSi-1+(1-α)TEi-1进行计算,获得流量周期变化曲线{TEi|i=1,2,…,n};其中,α为预设的平滑阻尼系数,取值范围为0<α<1,典型取值为0.2至0.4;TEi为所述第一周期内第i个时刻的预测流量。从而查询预先获得的流量周期变化曲线,确定目标时刻tcur的预测流量为TEcur,其中,第二周期是已经过确认的在第二周期内不存在DDoS攻击。
也就是说,本实施例所提供的方法,仅需要针对一个周期内所获取的网络流量进行计算,即可获得流量周期变化曲线,在此后的DDoS攻击检测时,则不需要再次计算流量周期变化曲线,可利用已获得的流量周期变化曲线即可完成DDoS攻击检测,从而减少了计算量,避免了系统消耗,利用已获得的流量周期变化曲线检测DDoS还可以确定流量突增是否属于正常流量,从而较少误报。
需要说明的是,获取第二周期内的n个时刻的网络流量Si可以是以相同时间间隔采样获取n个时刻的网络流量Si,还可以是以不同时间间隔采样获取n个时刻的网络流量Si,本实施例中对此不作限定。
另外,需要说明的是,所获得流量周期变化曲线{TEi|i=1,2,…,n}在本实施例中为离散点的集合,还可进一步参考现有技术中的曲线拟合算法,获得连续的流量周期变化曲线。
103、若采样获得的网络流量大于所确定的预测流量,则检测出DDoS攻击。
具体的,判断采样获得的网络流量是否大于所确定的预测流量,若采样获得的网络流量大于所确定的预测流量,则检测出DDoS攻击,否则,确定网络流量正常。
本实施例中,通过采样获得在第一周期内的目标时刻的网络流量之后,查询预先获得的流量周期变化曲线,确定与目标时刻对应的预测流量,若采样获得的网络流量大于所确定的预测流量,则检测出DDoS攻击,由于流量周期变化曲线用于指示预测流量的周期性变化规律,因此,在每一个目标时刻进行DDoS攻击检测前,仅需要根据流量周期变化曲线,确定与该目标时刻对应的预测流量,而不需要在每一次DDoS攻击检测前根据大量历史流量数据计算预测流量,减小了计算量,利用已获得的流量周期变化曲线检测DDoS还可以确定流量突增是否属于正常流量,从而较少误报。
图2为本发明另一实施例提供的DDoS攻击检测方法的流程示意图,如图2所示,包括:
201、计算获得流量周期变化曲线。
可选的,接收数据包,分析包的内容,将数据包保存在数据库中。然后,从数据库中提取在第二周期内各时刻的网络流量,一个周期为一天或一周,其中,第二周期内各时刻之间的间隔时长为G。将提取的网络流量记为Si,i=1,2,…n,n为提取的网络流量的个数,n取值为自然数。根据公式TEi=αSi-1+(1-α)TEi-1进行计算,获得流量周期变化曲线{TEi|i=1,2,…,n};其中,α为预设的平滑阻尼系数,取值范围为0<α<1;TEi为第i个时刻的预测流量。
202、对流量周期变化曲线进行修正。
具体的,根据公式Di=|{Si-TEi}|进行计算,获得第i个时刻的残差Di;根据公式THi=TEi+MAX(Di),对所述流量周期变化曲线进行修正,获得修正后的流量周期变化曲线{THi|i=1,2,…,n},其中,THi为修正后的第i个时刻的预测流量。
需要说明的是,在计算获得第i个时刻的残差Di之后,发现第二周期内的n个时刻的网络流量Si存在突增的误差,在执行根据公式Di=|{Si-TEi}|进行计算,获得第i个时刻的残差Di之后,进一步进行剔除残差Di中的坏点:
首先,取中位数Dmed=(Dmax-Dmin)/2;其中,Dmax代表计算出的最大残差,Dmin代表计算出的最小残差。
然后,依次取下四分位数D1=(Dmed-Dmin)/2;
取上四分位数D2=(Dmax-Dmed)/2;
取四分位间距ΔQ=D2-D1。
最后,取区间[D1-1.5ΔQ,D2+1.5ΔQ],若残差Di在该区间内的是有效值,则保留,若在该区间外,为无效值,需要去掉。
203、查询流量周期变化曲线,确定目标时刻的预测流量。
具体的,确定目标时刻tcur对应的预测流量为THcur,其中,
204、根据预设时间规则对目标时刻的预测流量进行调整。
具体的,为了解决在一个周期内,如一年里,也会区分出一些特殊的日子,这些特殊日子的特殊时刻,网络流量会出现突增的情况,即若出现这种情况,网络流量的周期性被打破。考虑不同的服务端提供服务不同,网络流量变化的幅度和时间段也不同。但这种网络流量的增长属于正常情况,而非受到DDoS攻击,为了配合这种情况,提供了动态调整机制。也就是说,若所述第一周期为预设时间规则所指示的流量抬升周期,和/或所述目标时刻为所述预设时间规则所指示的流量抬升时刻,则将所确定的预测流量进行增大;若所述第一周期为预设时间规则所指示的流量降低周期,和/或所述目标时刻为所述时间规则所指示的流量降低时刻,则将所确定的预测流量进行减小。由于基于特殊的时间规则对预测流量进行调整,可以进一步完善预测流量的周期性变化规律,提高准确性,而且减少了运维人员的工作量。
205、根据调整后的目标时刻的预测流量,检测DDoS攻击。
具体的,判断采样获得的网络流量是否大于所确定的预测流量,若采样获得的网络流量大于所确定的预测流量,则检测出DDoS攻击,否则,确定网络流量正常。
需要说明的是,可以预设时间间隔,如前述时间间隔G,重复执行步骤203至205。
本实施例中,通过采样获得在第一周期内的目标时刻的网络流量之后,查询预先获得的流量周期变化曲线,确定与目标时刻对应的预测流量,若采样获得的网络流量大于所确定的预测流量,则检测出DDoS攻击,由于流量周期变化曲线用于指示预测流量的周期性变化规律,因此,在每一个目标时刻进行DDoS攻击检测前,仅需要根据流量周期变化曲线,确定与该目标时刻对应的预测流量,而不需要在每一次DDoS攻击检测前根据大量历史流量数据计算预测流量,减小了计算量,通过历史流量趋势来检测DDoS,可以有效判断在流量突增是正常流量还是DDoS攻击,减少误报。另外,由于基于特殊的时间规则对预测流量进行调整,可以进一步完善预测流量的周期性变化规律,提高准确性。
图3为本发明一实施例提供的DDoS攻击检测装置的结构示意图,本实施例所提供的装置可设置于旁路网络监控设备中,如图3所示,包括:采样单元31,确定单元32和检测单元33。
采样单元31,用于采样获得在第一周期内的目标时刻的网络流量。
确定单元32,与采样单元31连接,用于查询预先获得的流量周期变化曲线,确定目标时刻的预测流量。
其中,流量周期变化曲线用于指示预测流量的周期性变化规律,具体的,流量周期变化曲线用于指示至少一个周期内的各时刻与预测流量之间的对应关系,即指示至少一个周期内的各时刻的预测流量。
可选的,采样单元31采样获得在第一周期内的目标时刻的网络流量之后,确定单元32判断是否已获得流量周期变化曲线,若已获得流量周期变化曲线,则根据流量周期变化曲线,确定与所述目标时刻对应的预测流量。否则,触发DDoS攻击检测装置中的其他单元获取所述第一周期之前的第二周期内的n个时刻的网络流量Si;其中,i=1,2,…n,n为自然数;然后,根据公式TEi=αSi-1+(1-α)TEi-1进行计算,获得流量周期变化曲线{TEi|i=1,2,…,n};其中,α为预设的平滑阻尼系数,取值范围为0<α<1;TEi为所述第一周期内第i个时刻的预测流量。从而查询预先获得的流量周期变化曲线,确定目标时刻tcur的预测流量为TEcur,其中,第二周期是已经过确认的在第二周期内不存在DDoS攻击。
需要说明的是,获取第二周期内的n个时刻的网络流量Si可以是以相同时间间隔采样获取n个时刻的网络流量Si,还可以是以不同时间间隔采样获取n个时刻的网络流量Si,本实施例中对此不作限定。
另外,需要说明的是,所获得流量周期变化曲线{TEi|i=1,2,…,n}在本实施例中为离散点的集合,还可进一步参考现有技术中的曲线拟合算法,获得连续的流量周期变化曲线。
检测单元33,与确定单元32连接,用于若采样获得的网络流量大于所确定的预测流量,则检测出DDoS攻击。
具体的,检测单元33判断采样获得的网络流量是否大于所确定的预测流量,若采样获得的网络流量大于所确定的预测流量,则检测出DDoS攻击,否则,确定网络流量正常。
本实施例中,通过采样获得在第一周期内的目标时刻的网络流量之后,查询预先获得的流量周期变化曲线,确定与目标时刻对应的预测流量,若采样获得的网络流量大于所确定的预测流量,则检测出DDoS攻击,由于流量周期变化曲线用于指示预测流量的周期性变化规律,因此,在每一个目标时刻进行DDoS攻击检测前,仅需要根据流量周期变化曲线,确定与该目标时刻对应的预测流量,而不需要在每一次DDoS攻击检测前根据大量历史流量数据计算预测流量,减小了计算量,通过历史流量趋势来检测DDoS,可以有效判断在流量突增是正常流量还是DDoS攻击,减少误报。
图4为本发明另一实施例提供的DDoS攻击检测装置的结构示意图,在上一实施例的基础上,本实施例中的装置进一步包括:获取单元41、计算单元42和修正单元43。
获取单元41,用于获取所述第一周期之前的第二周期内的n个时刻的网络流量Si。
其中,i=1,2,…n,n为自然数。
计算单元42,与获取单元41连接,用于根据公式TEi=αSi-1+(1-α)TEi-1进行计算,获得流量周期变化曲线{TEi|i=1,2,…,n}。
其中,α为预设的平滑阻尼系数,取值范围为0<α<1,TEi为第i个时刻的预测流量。
修正单元43,与计算单元42和确定单元32连接,用于根据公式Di=|{Si-TEi}|进行计算,获得第i个时刻的残差Di;根据公式THi=TEi+MAX(Di),对所述流量周期变化曲线进行修正,获得修正后的流量周期变化曲线{THi|i=1,2,…,n}。
其中,THi为修正后的第i个时刻的预测流量。
需要说明的是,在计算获得第i个时刻的残差Di之后,发现第二周期内的n个时刻的网络流量Si存在突增的误差,在执行根据公式Di=|{Si-TEi}|进行计算,获得第i个时刻的残差Di之后,修正单元43还可以进一步剔除残差Di中的坏点:
首先,取中位数Dmed=(Dmax-Dmin)/2;其中,Dmax代表计算出的最大残差,Dmin代表计算出的最小残差。
然后,依次取下四分位数D1=(Dmed-Dmin)/2;
取上四分位数D2=(Dmax-Dmed)/2;
取四分位间距ΔQ=D2-D1。
最后,取区间[D1-1.5ΔQ,D2+1.5ΔQ],若残差Di在该区间内的是有效值,则保留,若在该区间外,为无效值,需要去掉。
在计算获得第i个时刻的残差Di之后,也可不经过前述剔除坏点的过程,直接执行根据公式THi=TEi+MAX(Di),对所述流量周期变化曲线进行修正。
基于此,确定单元32,具体用于确定目标时刻tour的预测流量为THcur,其中,
进一步,DDoS攻击检测装置还包括:调整单元44。
调整单元44,与确定单元32连接,用于若所述第一周期为预设时间规则所指示的流量抬升周期,和/或所述目标时刻为所述时间规则所指示的流量抬升时刻,则将所确定的预测流量进行增大;若所述第一周期为预设时间规则所指示的流量降低周期,和/或所述目标时刻为所述时间规则所指示的流量降低时刻,则将所确定的预测流量进行减小。
本实施例中,通过采样获得在第一周期内的目标时刻的网络流量之后,查询预先获得的流量周期变化曲线,确定与目标时刻对应的预测流量,若采样获得的网络流量大于所确定的预测流量,则检测出DDoS攻击,由于流量周期变化曲线用于指示预测流量的周期性变化规律,因此,在每一个目标时刻进行DDoS攻击检测前,仅需要根据流量周期变化曲线,确定与该目标时刻对应的预测流量,而不需要在每一次DDoS攻击检测前根据大量历史流量数据计算预测流量,减小了计算量。另外,由于基于特殊的时间规则对预测流量进行调整,可以进一步完善预测流量的周期性变化规律,提高准确性;利用历史流量数据检测,可以有效区分流量突增情况下,流量是正常流量还是DDoS攻击,减少误报。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种分布式拒绝服务DDoS攻击检测方法,其特征在于,包括:
采样获得在第一周期内的目标时刻的网络流量;
查询预先获得的流量周期变化曲线,确定所述目标时刻的预测流量;所述流量周期变化曲线用于指示预测流量的周期性变化规律;
若采样获得的网络流量大于所确定的预测流量,则检测出DDoS攻击。
2.根据权利要求1所述的DDoS攻击检测方法,其特征在于,所述查询预先获得的流量周期变化曲线,确定所述目标时刻的预测流量之前,还包括:
获取所述第一周期之前的第二周期内的n个时刻的网络流量Si;其中,i=1,2,…n,n为自然数;
根据公式TEi=αSi-1+(1-α)TEi-1进行计算,获得流量周期变化曲线{TEi|i=1,2,…,n};其中,α为预设的平滑阻尼系数,取值范围为0<α<1,TEi为第i个时刻的预测流量。
3.根据权利要求2所述的DDoS攻击检测方法,其特征在于,所述根据公式TEi=αSi-1+(1-α)TEi-1进行计算,获得流量周期变化曲线{TEi|i=1,2,…,n}之后,还包括:
根据公式Di=|{Si-TEi}|进行计算,获得第i个时刻的残差Di;
根据公式THi=TEi+MAX(Di),对所述流量周期变化曲线进行修正,获得修正后的流量周期变化曲线{THi|i=1,2,…,n};其中,THi为修正后的第i个时刻的预测流量。
4.根据权利要求3所述的DDoS攻击检测方法,其特征在于,所述第二周期内的n个时刻相互间的间隔时长为G,所述确定所述目标时刻的预测流量,包括:
确定目标时刻tcur的预测流量为THcur,其中,
5.根据权利要求1-4任一项所述的DDoS攻击检测方法,其特征在于,所述查询预先获得的流量周期变化曲线,确定所述目标时刻的预测流量之后,还包括:
若所述第一周期为预设时间规则所指示的流量抬升周期,和/或所述目标时刻为所述时间规则所指示的流量抬升时刻,则将所确定的预测流量进行增大;
若所述第一周期为预设时间规则所指示的流量降低周期,和/或所述目标时刻为所述时间规则所指示的流量降低时刻,则将所确定的预测流量进行减小。
6.一种分布式拒绝服务DDoS攻击检测装置,其特征在于,包括:
采样单元,用于采样获得在第一周期内的目标时刻的网络流量;
确定单元,用于查询预先获得的流量周期变化曲线,确定所述目标时刻的预测流量;所述流量周期变化曲线用于指示预测流量的周期性变化规律;
检测单元,用于若采样获得的网络流量大于所确定的预测流量,则检测出DDoS攻击。
7.根据权利要求6所述的DDoS攻击检测装置,其特征在于,所述装置,还包括:
获取单元,用于获取所述第一周期之前的第二周期内的n个时刻的网络流量Si;其中,i=1,2,…n,n为自然数;
计算单元,用于根据公式TEi=αSi-1+(1-α)TEi-1进行计算,获得流量周期变化曲线{TEi|i=1,2,…,n};其中,α为预设的平滑阻尼系数,取值范围为0<α<1,TEi为第i个时刻的预测流量。
8.根据权利要求7所述的DDoS攻击检测装置,其特征在于,所述装置,还包括:
修正单元,用于根据公式Di=|{Si-TEi}|进行计算,获得第i个时刻的残差Di;根据公式THi=TEi+MAX(Di),对所述流量周期变化曲线进行修正,获得修正后的流量周期变化曲线{THi|i=1,2,…,n};其中,THi为修正后的第i个时刻的预测流量。
9.根据权利要求8所述的DDoS攻击检测装置,其特征在于,所述第二周期内的n个时刻相互间的间隔时长为G,
所述确定单元,具体用于确定目标时刻tcur的预测流量为THcur,其中,
10.根据权利要求6-9任一项所述的DDoS攻击检测装置,其特征在于,所述装置,还包括:
调整单元,用于若所述第一周期为预设时间规则所指示的流量抬升周期,和/或所述目标时刻为所述时间规则所指示的流量抬升时刻,则将所确定的预测流量进行增大;若所述第一周期为预设时间规则所指示的流量降低周期,和/或所述目标时刻为所述时间规则所指示的流量降低时刻,则将所确定的预测流量进行减小。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410465475.8A CN104202329B (zh) | 2014-09-12 | 2014-09-12 | DDoS攻击检测方法和装置 |
JP2017513493A JP6377261B2 (ja) | 2014-09-12 | 2015-09-10 | DDoS攻撃検出のための方法および装置 |
PCT/CN2015/089334 WO2016037579A1 (zh) | 2014-09-12 | 2015-09-10 | DDoS攻击检测方法和装置 |
US15/439,901 US11140197B2 (en) | 2014-09-12 | 2017-02-22 | Method and apparatus for DDoS attack detection |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410465475.8A CN104202329B (zh) | 2014-09-12 | 2014-09-12 | DDoS攻击检测方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104202329A true CN104202329A (zh) | 2014-12-10 |
CN104202329B CN104202329B (zh) | 2018-01-26 |
Family
ID=52087554
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410465475.8A Active CN104202329B (zh) | 2014-09-12 | 2014-09-12 | DDoS攻击检测方法和装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11140197B2 (zh) |
JP (1) | JP6377261B2 (zh) |
CN (1) | CN104202329B (zh) |
WO (1) | WO2016037579A1 (zh) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016037579A1 (zh) * | 2014-09-12 | 2016-03-17 | 北京神州绿盟信息安全科技股份有限公司 | DDoS攻击检测方法和装置 |
CN105471835A (zh) * | 2015-08-03 | 2016-04-06 | 汉柏科技有限公司 | 提升防火墙处理性能的方法及系统 |
CN106411947A (zh) * | 2016-11-24 | 2017-02-15 | 广州华多网络科技有限公司 | 一种实时阈值自适应流量预警方法及装置 |
CN107302534A (zh) * | 2017-06-21 | 2017-10-27 | 广东工业大学 | 一种基于大数据平台的DDoS网络攻击检测方法及装置 |
CN107508815A (zh) * | 2017-08-30 | 2017-12-22 | 杭州安恒信息技术有限公司 | 基于网站流量分析预警方法及装置 |
CN107579981A (zh) * | 2017-09-08 | 2018-01-12 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络流量监控方法及系统 |
CN107689967A (zh) * | 2017-10-23 | 2018-02-13 | 中国联合网络通信集团有限公司 | 一种DDoS攻击检测方法和装置 |
CN108334774A (zh) * | 2018-01-24 | 2018-07-27 | 中国银联股份有限公司 | 一种检测攻击的方法、第一服务器及第二服务器 |
CN108803565A (zh) * | 2018-06-05 | 2018-11-13 | 北京科技大学 | 一种工控系统隐蔽攻击实时检测方法及装置 |
CN109413071A (zh) * | 2018-10-31 | 2019-03-01 | 新华三信息安全技术有限公司 | 一种异常流量检测方法及装置 |
CN113518057A (zh) * | 2020-04-09 | 2021-10-19 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 |
CN113794696A (zh) * | 2021-08-27 | 2021-12-14 | 北京航空航天大学杭州创新研究院 | 一种基于因果模型的网络安全信息处理方法和系统 |
CN115499251A (zh) * | 2022-11-18 | 2022-12-20 | 广州信泽信息科技有限公司 | 一种边缘IoT设备的异常流量及攻击检测方法及系统 |
CN117440382A (zh) * | 2023-12-20 | 2024-01-23 | 深圳市友恺通信技术有限公司 | 基于物联网的无线设备运行分析方法 |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9860268B2 (en) * | 2016-02-09 | 2018-01-02 | International Business Machines Corporation | Detecting and predicting cyber-attack phases in data processing environment regions |
US9866580B2 (en) * | 2016-02-09 | 2018-01-09 | International Business Machines Corporation | Forecasting and classifying cyber-attacks using neural embeddings |
JP6891671B2 (ja) | 2017-06-29 | 2021-06-18 | 富士通株式会社 | 攻撃検知装置および攻撃検知方法 |
JP7172043B2 (ja) * | 2018-01-19 | 2022-11-16 | 富士通株式会社 | 攻撃検知装置および攻撃検知方法 |
RU2679219C1 (ru) * | 2018-02-07 | 2019-02-06 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | СПОСОБ ЗАЩИТЫ СЕРВЕРА УСЛУГ ОТ DDoS АТАК |
RU2684575C1 (ru) * | 2018-05-14 | 2019-04-09 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Способ управления потоками данных распределенной информационной системы при ddos атаках |
US10880329B1 (en) | 2019-08-26 | 2020-12-29 | Nanning Fugui Precision Industrial Co., Ltd. | Method for preventing distributed denial of service attack and related equipment |
RU2718650C1 (ru) * | 2019-12-26 | 2020-04-10 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Способ защиты серверов услуг сети связи от компьютерных атак |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030149648A1 (en) * | 2000-05-01 | 2003-08-07 | Olsen Richard B. | Method and system for measuring market conditions |
CN101355463A (zh) * | 2008-08-27 | 2009-01-28 | 成都市华为赛门铁克科技有限公司 | 网络攻击的判断方法、系统和设备 |
CN102111307A (zh) * | 2009-12-29 | 2011-06-29 | 亿阳信通股份有限公司 | 网络风险监控方法和装置 |
CN102118272A (zh) * | 2009-12-31 | 2011-07-06 | 蓝盾信息安全技术股份有限公司 | 一种网络边界异常监控方法 |
CN103546319A (zh) * | 2013-10-18 | 2014-01-29 | 中国南方电网有限责任公司 | 网络设备的流量告警方法和系统 |
CN103973663A (zh) * | 2013-02-01 | 2014-08-06 | 中国移动通信集团河北有限公司 | 一种ddos攻击动态阈值异常流量检测方法及装置 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7426634B2 (en) * | 2003-04-22 | 2008-09-16 | Intruguard Devices, Inc. | Method and apparatus for rate based denial of service attack detection and prevention |
JP4688083B2 (ja) * | 2007-06-12 | 2011-05-25 | 日本電信電話株式会社 | 基準値予測方法とシステムおよびプログラム |
CN101729389B (zh) * | 2008-10-21 | 2012-05-23 | 北京启明星辰信息技术股份有限公司 | 基于流量预测和可信网络地址学习的流量控制装置和方法 |
CN101534305A (zh) * | 2009-04-24 | 2009-09-16 | 中国科学院计算技术研究所 | 网络流量异常检测方法和系统 |
US10241887B2 (en) * | 2013-03-29 | 2019-03-26 | Vmware, Inc. | Data-agnostic anomaly detection |
CN104202329B (zh) * | 2014-09-12 | 2018-01-26 | 北京神州绿盟信息安全科技股份有限公司 | DDoS攻击检测方法和装置 |
-
2014
- 2014-09-12 CN CN201410465475.8A patent/CN104202329B/zh active Active
-
2015
- 2015-09-10 WO PCT/CN2015/089334 patent/WO2016037579A1/zh active Application Filing
- 2015-09-10 JP JP2017513493A patent/JP6377261B2/ja active Active
-
2017
- 2017-02-22 US US15/439,901 patent/US11140197B2/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030149648A1 (en) * | 2000-05-01 | 2003-08-07 | Olsen Richard B. | Method and system for measuring market conditions |
CN101355463A (zh) * | 2008-08-27 | 2009-01-28 | 成都市华为赛门铁克科技有限公司 | 网络攻击的判断方法、系统和设备 |
CN102111307A (zh) * | 2009-12-29 | 2011-06-29 | 亿阳信通股份有限公司 | 网络风险监控方法和装置 |
CN102118272A (zh) * | 2009-12-31 | 2011-07-06 | 蓝盾信息安全技术股份有限公司 | 一种网络边界异常监控方法 |
CN103973663A (zh) * | 2013-02-01 | 2014-08-06 | 中国移动通信集团河北有限公司 | 一种ddos攻击动态阈值异常流量检测方法及装置 |
CN103546319A (zh) * | 2013-10-18 | 2014-01-29 | 中国南方电网有限责任公司 | 网络设备的流量告警方法和系统 |
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016037579A1 (zh) * | 2014-09-12 | 2016-03-17 | 北京神州绿盟信息安全科技股份有限公司 | DDoS攻击检测方法和装置 |
US11140197B2 (en) | 2014-09-12 | 2021-10-05 | NSFOCUS Information Technology Co., Ltd. | Method and apparatus for DDoS attack detection |
CN105471835A (zh) * | 2015-08-03 | 2016-04-06 | 汉柏科技有限公司 | 提升防火墙处理性能的方法及系统 |
CN106411947B (zh) * | 2016-11-24 | 2019-07-09 | 广州华多网络科技有限公司 | 一种实时阈值自适应流量预警方法及装置 |
CN106411947A (zh) * | 2016-11-24 | 2017-02-15 | 广州华多网络科技有限公司 | 一种实时阈值自适应流量预警方法及装置 |
CN107302534A (zh) * | 2017-06-21 | 2017-10-27 | 广东工业大学 | 一种基于大数据平台的DDoS网络攻击检测方法及装置 |
CN107508815A (zh) * | 2017-08-30 | 2017-12-22 | 杭州安恒信息技术有限公司 | 基于网站流量分析预警方法及装置 |
CN107508815B (zh) * | 2017-08-30 | 2020-09-11 | 杭州安恒信息技术股份有限公司 | 基于网站流量分析预警方法及装置 |
CN107579981A (zh) * | 2017-09-08 | 2018-01-12 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络流量监控方法及系统 |
CN107689967B (zh) * | 2017-10-23 | 2020-03-03 | 中国联合网络通信集团有限公司 | 一种DDoS攻击检测方法和装置 |
CN107689967A (zh) * | 2017-10-23 | 2018-02-13 | 中国联合网络通信集团有限公司 | 一种DDoS攻击检测方法和装置 |
CN108334774A (zh) * | 2018-01-24 | 2018-07-27 | 中国银联股份有限公司 | 一种检测攻击的方法、第一服务器及第二服务器 |
CN108803565A (zh) * | 2018-06-05 | 2018-11-13 | 北京科技大学 | 一种工控系统隐蔽攻击实时检测方法及装置 |
CN109413071A (zh) * | 2018-10-31 | 2019-03-01 | 新华三信息安全技术有限公司 | 一种异常流量检测方法及装置 |
CN109413071B (zh) * | 2018-10-31 | 2021-08-06 | 新华三信息安全技术有限公司 | 一种异常流量检测方法及装置 |
CN113518057A (zh) * | 2020-04-09 | 2021-10-19 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 |
CN113518057B (zh) * | 2020-04-09 | 2024-03-08 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 |
CN113794696A (zh) * | 2021-08-27 | 2021-12-14 | 北京航空航天大学杭州创新研究院 | 一种基于因果模型的网络安全信息处理方法和系统 |
CN115499251A (zh) * | 2022-11-18 | 2022-12-20 | 广州信泽信息科技有限公司 | 一种边缘IoT设备的异常流量及攻击检测方法及系统 |
CN117440382A (zh) * | 2023-12-20 | 2024-01-23 | 深圳市友恺通信技术有限公司 | 基于物联网的无线设备运行分析方法 |
CN117440382B (zh) * | 2023-12-20 | 2024-03-26 | 深圳市友恺通信技术有限公司 | 基于物联网的无线设备运行分析方法 |
Also Published As
Publication number | Publication date |
---|---|
US20170163680A1 (en) | 2017-06-08 |
CN104202329B (zh) | 2018-01-26 |
JP2017528996A (ja) | 2017-09-28 |
JP6377261B2 (ja) | 2018-08-22 |
US11140197B2 (en) | 2021-10-05 |
WO2016037579A1 (zh) | 2016-03-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104202329A (zh) | DDoS攻击检测方法和装置 | |
CN111984503B (zh) | 一种监控指标数据异常数据识别的方法及装置 | |
JP4799168B2 (ja) | 配水及び管路情報解析システム | |
CN108038044B (zh) | 一种面向连续被监测对象的异常检测方法 | |
CN107301570B (zh) | 业务量预测方法、异常业务量检测方法、装置和电子设备 | |
CN106502868B (zh) | 一种适用于云计算的动态调整监测频率方法 | |
WO2013121298A3 (en) | System and method for analyzing gis data to improve operation and monitoring of water distribution networks | |
CN112730938B (zh) | 一种基于用电采集大数据的窃电用户判断方法 | |
CN110633893B (zh) | 一种策略效能监控方法、装置以及计算机设备 | |
US11060899B2 (en) | Method for determining a maximum allowable volume of water that can be removed over time from an underground water source | |
CN104954192A (zh) | 一种网络流量监测方法和设备 | |
CN104636874B (zh) | 检测业务异常的方法及设备 | |
CN106598822B (zh) | 一种用于容量评估的异常数据检测方法及装置 | |
CN108108253A (zh) | 一种面向多数据流的异常状态检测方法 | |
US20080215641A1 (en) | High speed data historian | |
CN113114530A (zh) | 一种网元健康状态的检测方法及设备 | |
CN104281779A (zh) | 一种异常数据判定与处理方法及装置 | |
EP3652596A1 (en) | Method and system for deviation detection in sensor datasets | |
CN103605096A (zh) | 在线调整电网状态检测系统参数的方法与系统 | |
CN110837933A (zh) | 基于神经网络的漏损识别方法、装置、设备及存储介质 | |
US10169364B2 (en) | Gauging accuracy of sampling-based distinct element estimation | |
CN113123955B (zh) | 柱塞泵异常检测方法、装置、存储介质及电子设备 | |
RU121944U1 (ru) | Автоматизированная система выявления неисправных датчиков среди датчиков, предназначенных для контроля технологических процессов | |
CN103957500A (zh) | 用户流量提醒方法和装置 | |
CN115102790B (zh) | 基于大数据的网络流量异常感知系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder | ||
CP01 | Change in the name or title of a patent holder |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai 3 storey building Co-patentee after: NSFOCUS TECHNOLOGIES Inc. Patentee after: NSFOCUS Technologies Group Co.,Ltd. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai 3 storey building Co-patentee before: NSFOCUS TECHNOLOGIES Inc. Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. |