CN107666473B - 一种攻击检测的方法及控制器 - Google Patents
一种攻击检测的方法及控制器 Download PDFInfo
- Publication number
- CN107666473B CN107666473B CN201610618891.6A CN201610618891A CN107666473B CN 107666473 B CN107666473 B CN 107666473B CN 201610618891 A CN201610618891 A CN 201610618891A CN 107666473 B CN107666473 B CN 107666473B
- Authority
- CN
- China
- Prior art keywords
- terminal equipment
- scanning
- port
- terminal device
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种攻击检测的方法及控制器,所述方法包括:统计终端设备向特定服务的主机发起请求的次数,所述向特定服务的主机发起的请求至少包括访问端口、访问网际协议IP地址和发送地址解析协议ARP报文中的一个;根据所述终端设备向特定服务的主机发起请求的次数确定所述终端设备是否存在攻击行为,所述攻击行为至少包括端口扫描、IP扫描和ARP扫描中的一个;若存在攻击行为,则将所述终端设备标识为扫描者,对所述终端设备进行扫描检测,所述扫描检测至少包括端口扫描检测、IP扫描检测和ARP扫描中的一个。能够降低控制器对终端设备的扫描检测时性能损耗。
Description
技术领域
本发明涉及无线通信技术领域,尤其涉及一种攻击检测方法及控制器。
背景技术
在终端设备通过控制器访问主机时,主要包括三种行为:对网段的特定IP地址发起ARP请求、向端口发起访问请求以及向网段的特定IP发起访问请求。控制器会通过统计终端设备的请求行为来判断该终端设备是否存在对主机的攻击行为,攻击行为包括ARP扫描、端口扫描以及IP扫描中的至少一个,若存在攻击行为,则控制器需要对该终端设备进行扫描检测,例如ARP扫描检测、端口扫描检测或IP扫描检测。
在终端设备访问端口或主机时,控制器会为该终端设备创建一张表,该表用来记录该终端设备在一段时间内所访问的所有的端口和IP地址。控制器若判断该终端设备在一定时间内访问的端口或IP地址超过一定个数,就认为该终端设备在短时间内发生了访问大量端口或大量IP的攻击行为,则标识该终端设备为扫描者。
由于控制器需要给每个访问主机的终端设备维护一张表,使得在终端设备数量很多时,需要分配更多的内存来维护所有终端设备的表,当用户很多的时候,这样极大的消耗控制器的性能,从而导致很多业务速度变慢,甚至中断,例如转发数据的速度变慢。
发明内容
本发明提供了一种攻击检测的方法及控制器,能够解决现有技术中控制器对终端设备的扫描检测时性能损耗较大的问题。
第一方面提供一种攻击检测的方法,所述方法包括:
统计终端设备向特定服务的主机发起的请求的次数,所述向特定服务的主机发起的请求至少包括访问端口、访问网际协议IP地址和发送地址解析协议ARP报文中的一个;
根据所述终端设备向特定服务的主机发起的请求的次数确定所述终端设备是否存在攻击行为,所述攻击行为至少包括端口扫描、IP扫描和ARP扫描中的一个;
若存在攻击行为,则将所述终端设备标识为扫描者,对所述终端设备进行扫描检测,所述扫描检测至少包括端口扫描检测、IP扫描检测和ARP扫描中的一个。
在一些可能的设计中,当所述向特定服务的主机发起的请求为发送ARP报文时,所述方法还包括:
若确定所述终端设备不存在攻击行为时,将所述终端设备向特定服务的主机发送ARP报文的个数置0;
重新执行统计所述终端设备向特定服务的主机发送ARP报文的个数以及判断是否存在攻击行为的操作。
在一些可能的设计中,当向特定服务的主机发起的请求为访问端口和/或访问IP地址时,所述方法还包括:
在确定所述终端设备不存在攻击行为时,将访问特定网段的访问次数置0;
执行统计会话个数、统计特定网段的访问次数以及判断是否存在攻击行为的操作。
在一些可能的设计中,当向特定服务的主机发起的请求为访问端口和/或访问IP地址时,所述统计所述终端设备向特定服务的主机发起的请求的次数之前,所述方法还包括:
统计所述终端设备在第一时长内请求创建的会话个数,当所述会话个数大于第一阈值时,确定所述终端设备满足攻击行为怀疑条件。
在一些可能的设计中,所述向特定服务的主机发起的请求为访问端口时,所述统计所述终端设备向特定服务的主机发起的请求的次数,根据所述终端设备向特定服务的主机发起的请求的次数确定所述终端设备是否存在攻击行为,包括:
在连续至少两个第二时长内统计所述终端设备访问的不同类型的端口个数;
若在每个所述第二时长内统计的端口个数大于第二阈值的次数超过预设次数,或所述终端设备请求的端口个数将端口数组填满,则确定所述终端设备存在端口扫描的攻击行为。
在一些可能的设计中,所述方法至少还包括以下项之一:
对于信任等级高于第一等级的第一终端设备,在所述第一终端设备在第二时长内请求创建的会话个数小于第三阈值时,减少针对所述第一终端设备访问端口的端口扫描检测的次数,或者缩短端口扫描检测的时间;
或者,对于信任等级高于第一等级的第二终端设备,在所述第二终端设备满足攻击行为怀疑条件的次数大于第一预设次数时,对所述第二终端设备进行端口扫描检测;
或者,对于信任等级高于第二等级的终端设备,在预设时长内不对信任等级高于第二等级的终端设备进行端口扫描检测。
在一些可能的设计中,所述向特定服务的主机发起的请求为访问IP地址时,所述统计所述终端设备向特定服务的主机发起的请求的次数,根据所述终端设备向特定服务的主机发起的请求的次数确定所述终端设备是否存在攻击行为,包括:
在连续至少两个第三时长内统计所述终端设备访问的不用类型的IP地址个数;
若在每个所述第三时长内统计的IP地址个数大于第四阈值的次数超过第二预设次数,或所述终端设备请求的IP地址个数将IP地址数组填满,则确定所述终端设备存在IP扫描的攻击行为。
在一些可能的设计中,所述方法至少还包括以下之一:
对于信任等级高于第三等级的第三终端设备,在所述第三终端设备在第二时长内请求创建的会话个数小于第五阈值时,减少针对所述第三终端设备访问IP地址的IP扫描检测的次数,或者缩短IP扫描检测的时间;
或者,对于信任等级高于第三等级的第四终端设备,在所述第四终端设备满足攻击行为怀疑标准的次数高于第三预设次数时,对所述第四终端设备进行IP扫描检测;
或者,对于信任等级高于第四等级的终端设备,在预设时长内不对信任等级高于第四等级的终端设备进行IP扫描检测。
在一些可能的设计中,所述向特定服务的主机发起的请求为发送ARP报文时,所述统计所述终端设备向特定服务的主机发起的请求的次数,根据所述终端设备向特定服务的主机发起的请求的次数确定所述终端设备是否存在攻击行为,包括:
统计第三时长内终端设备发出的ARP报文个数,当所述ARP报文个数大于第六阈值时,则确定所述终端设备存在ARP扫描的攻击行为。
在一些可能的设计中,所述方法还包括:
若存在攻击行为,则将所述终端设备的信任等级置为最低等级;
若所述终端设备多次满足攻击行为怀疑条件,且不存在攻击行为,则提高所述终端设备的信任等级。
在一些可能的设计中,所述方法还包括:
若所述终端设备访问的端口为所述防御检测列表中的特定端口,或访问的IP地址为所述防御检测列表中的特定IP地址,则将所述终端设备访问的IP地址和端口记录在所述防御检测列表。
在一些可能的设计中,所述方法还包括:
将内网网段添加到所述防御检测列表,使得针对所述终端设备的点对点请求的网址对应的端口扫描或IP扫描或ARP扫描不作统计。
本发明第二方面提供一种控制器,具有实现对应于上述第一方面提供的攻击检测的方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块,所述模块可以是软件和/或硬件。
一种可能的设计中,所述控制器包括:
统计模块,用于统计终端设备向特定服务的主机发起的请求的次数,所述向特定服务的主机发起的请求至少包括访问端口、访问网际协议IP地址和发送地址解析协议ARP报文中的一个;
处理模块,用于根据所述统计模块统计得到的所述终端设备向特定服务的主机发起的请求的次数确定所述终端设备是否存在攻击行为,所述攻击行为至少包括端口扫描、IP扫描和ARP扫描中的一个;
若存在攻击行为,则将所述终端设备标识为扫描者;
并对所述终端设备进行扫描检测,所述扫描检测至少包括端口扫描检测、IP扫描检测和ARP扫描中的一个。
相较于现有技术,本发明提供的方案中,通过统计所述终端设备向特定服务的主机发起请求的次数,根据次数确定所述终端设备存在攻击行为时,将终端设备标识为扫描者,对终端设备进行扫描检测,仅针对特定服务的主机的攻击行为进行扫描检测,并且仅对标识为扫描者的终端设备进行扫描检测,从而减少控制器的内存消耗和提高控制器的性能。
附图说明
图1为本实施例中一种攻击检测的方法的一种示意图;
图2为本实施例中控制器的一种结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块,本文中所出现的模块的划分,仅仅是一种逻辑上的划分,实际应用中实现时可以有另外的划分方式,例如多个模块可以结合成或集成在另一个系统中,或一些特征可以忽略,或不执行,另外,所显示的或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,模块之间的间接耦合或通信连接可以是电性或其他类似的形式,本文中均不作限定。并且,作为分离部件说明的模块或子模块可以是也可以不是物理上的分离,可以是也可以不是物理模块,或者可以分布到多个电路模块中,可以根据实际的需要选择其中的部分或全部模块来实现本发明实施例方案的目的。
本发明实施例提供了一种攻击检测的方法及控制器,用于无线通信技术领域,能够解决现有机制中控制器对终端设备的扫描检测时性能损耗较大的问题。以下进行详细说明。
本文中的控制器用来集中化控制无线接入点(英文全称:Access Point,英文简称:AP),是一个无线网络的核心,负责管理无线网络中的所有无线AP,对AP管理包括:下发配置、修改相关配置参数、射频智能管理、接入安全控制等,其中,AP是连接有线网络和无线网络,为终端设备提供一个无线网络的接入点。控制器可以是无线接入点控制器(英文全称:Wireless Access Point Controller,英文简称:WAPC)。
ARP扫描:终端设备使用扫描工具对一个网段所有的IP地址发起ARP请求,根据ARP回应来判断发送ARP回应的主机的活跃状态。ARP扫描主要用于跨二层寻找活跃主机。
端口扫描:终端设备使用扫描工具,使用传输控制协议(英文全称:TransmissionControl Protocol,英文简称:TCP)或用户数据报协议(英文全称:User DatagramProtocol,英文简称:UCP)等方式,向该端口发起请求,终端设备根据主机回应的报文来判断该端口是否开启。端口扫描主要用于终端设备的用户确认用户开启服务。
IP扫描:终端设备使用扫描工具,使用TCP、UCP、网际控制报文协议(英文全称:Internet Control Messages Protocol,英文简称:ICMP)等方式,向网段中的所有IP地址发起请求,WAPC根据回应的报文来确认该终端设备的状态,IP扫描主要用于跨三层寻找活跃主机。
会话:是根据五元组建立的一个结构,用来记录该五元组的一些额外信息。
为解决上述技术问题,本发明实施例主要提供以下技术方案:
1、设定仅针对特定网段的异常扫描才进行扫描检测。
2、设置信任等级机制,对信任等级较高的终端设备的扫描行为不作扫描检测。
3、仅针对一段时间内,会话个数的增长频率很高的终端设备才进行扫描检测。
通过以上技术方案,一定程度上可以减少不必要的扫描检测,从而减少控制器的性能损耗。
需要说明的是,本发明中所述的方案还可以通过应用来实现,不限于通过控制器。
请参照图1,以下对本发明提供一种攻击检测的方法进行举例说明,所述方法包括:
101、统计终端设备向特定服务的主机发起的请求的次数。
所述向特定服务的主机发起的请求至少包括访问端口、访问网际协议IP地址和发送地址解析协议ARP报文中的一个。
其中,特定网段包括提供特定服务的端口、特定服务的IP地址。
102、根据所述终端设备向特定服务的主机发起的请求的次数确定所述终端设备是否存在攻击行为。
所述攻击行为至少包括端口扫描、IP扫描和ARP扫描中的一个;
103、若存在攻击行为,则将所述终端设备标识为扫描者。
104、对所述终端设备进行扫描检测。
即只有判断终端设备存在攻击行为时,控制器才为该终端设备申请内存用于扫描检测,以及申请存储资源用于保存存在攻击行为的终端设备的历史访问的端口、IP地址、或者发送的ARP报文个数等信息。
所述扫描检测至少包括端口扫描检测、IP扫描检测和ARP扫描中的一个。
本发明实施例中,通过统计所述终端设备向特定服务的主机发起请求的次数,根据次数确定所述终端设备存在攻击行为时,将终端设备标识为扫描者,对终端设备进行扫描检测,仅针对特定服务的主机的攻击行为进行扫描检测,从而减少控制器的内存消耗和提高控制器的性能,相应的也提高业务速度。
可选的,在一些发明实施例中,对于终端设备向特定服务的主机发起的请求后,控制器可以根据终端设备向特定服务的主机发起的请求的次数进行攻击行为的判断,或者对终端设备的请求行为进行记录、置0等管理,主要分以下两种情况:
A、当向特定服务的主机发起的请求为访问端口和/或访问IP地址时,所述方法还包括:
在确定所述终端设备不存在攻击行为时,将向特定服务的主机发起的请求的次数置0,例如请求为访问端口时,将访问端口的次数置0;请求为访问IP地址时,将访问该IP地址的次数置0;请求为访问端口和访问IP地址时,将访问该端口的次数置0,以及将访问该IP地址的次数置0;
重新执行统计会话个数、统计特定网段的访问次数,以及判断是否存在攻击行为的操作。
进一步的,在统计所述终端设备向特定服务的主机发起的请求的次数之前,控制器还可以统计所述终端设备在第一时长内请求创建的会话个数,当所述会话个数大于第一阈值时,则可确定所述终端设备满足攻击行为怀疑条件,将所述终端设备加入防御检测列表,不需要为每一个终端设备都维护一张单独的表,进一步减少控制器的内存消耗和提高控制器的性能。其中,第一阈值为预定义的定值,可用于对终端设备在第一时长内请求创建的会话个数的比较,便于控制器判断是否需要将该终端设备加入防御检测列表,第一阈值的取值可根据实际场景或者网络状况等动态设置、更新,具体的取值或取值方式本发明不作限定。
其中,攻击行为怀疑条件是指终端设备在单位时长内创建的会话个数达到所述第一阈值时,则将该终端设备列为怀疑对象。该第一阈值可以根据单位时间内同时访问同一端口的最大用户数量、以及同时访问同一IP地址的最大用户数量计算得到,本发明包括但不限于本发明实施例中所描述的第一阈值的计算方式。
B、当所述向特定服务的主机发起的请求为发送ARP报文时,所述方法还包括:
若确定所述终端设备不存在攻击行为时,将向特定服务的主机发送ARP报文的个数置0;
重新执行统计向特定服务的主机发送ARP报文的个数,以及判断是否存在攻击行为的操作。
以下分别从终端设备访问端口、访问IP地址和ARP扫描三个方面对本发明实施例的攻击行为的判断以及是否执行扫描检测进行说明:
一、对于访问端口
在连续至少两个第二时长内统计所述终端设备访问的不同类型的端口个数;
若在每个所述第二时长内统计的端口个数大于第二阈值的次数超过预设次数,或所述终端设备请求的端口个数将端口数组填满,则确定所述终端设备存在端口扫描的攻击行为。其中,第二阈值为预定义的阈值,可用于对终端设备在每个所述第二时长内统计的端口个数的比较,第二阈值的取值可根据实际场景或者网络状况等动态设置、更新,具体的取值或取值方式本发明不作限定。
具体来说,在进行端口检测的时候,控制器可以统计该终端设备单位时间内访问的不同类型的端口个数,在该终端设备内保存单位时间内访问的端口记录。若在连续检查几个单位时间后,如果没有检测到攻击行为,则将之前的信息清空,重新开始计算。如果一个用户多次进入怀疑状态,但都没有检测出攻击行为,则可以提高该用户的信任级别。可选的,对于高信任的级别的用户,可以不用在每次达到攻击行为怀疑条件后都进行端口扫描检测,另外,对于高信任的级别的用户,还可以设置缩短每次进行端口检测的时间。
二、对于访问IP地址
在连续至少两个第三时长内统计所述终端设备访问的不用类型的IP地址个数;
若在每个所述第三时长内统计的IP地址个数大于第四阈值的次数超过第二预设次数,或所述终端设备请求的IP地址个数将IP地址数组填满,则确定所述终端设备存在IP扫描的攻击行为。其中,第四阈值为预定义的阈值,可用于对终端设备在每个所述第三时长内统计的IP地址个数的比较,第四阈值的取值可根据实际场景或者网络状况等动态设置、更新,具体的取值或取值方式本发明不作限定。
三、对于发送ARP报文
统计第三时长内终端设备发出的ARP报文个数,当所述ARP报文个数大于第六阈值时,则确定所述终端设备存在ARP扫描的攻击行为。其中,第六阈值为预定义的阈值,可用于对第三时长内终端设备发出的ARP报文个数的比较,第六阈值的取值可根据实际场景或者网络状况等动态设置、更新,具体的取值或取值方式本发明不作限定。
例如,统计1秒内终端设备A发出的ARP报文个数,如果发出的ARP报文个数达到第六阈值,则认为终端设备A进行了ARP扫描。如果没有达到,则在1秒结束后的1秒内重新开始统计该终端设备A发出的ARP报文个数,同样判断发出的ARP报文个数是否达到第六阈值。若未达到第六阈值,则重复统计终端设备A发出的ARP报文个数,以及判断发出的ARP报文个数是否达到第六阈值的过程……如此循环往复。若在某个1秒的统计时间内,终端设备A发出的ARP报文个数达到第六阈值,则可认为终端设备A正在进行ARP扫描,即存在攻击行为,控制器可以对该终端设备A进行扫描检测。
在以上三种情况中,控制器在对终端设备进行IP扫描检测、端口扫描检测或ARP扫描检测后,还可以将该终端设备加入黑名单、封锁终端设备的流量访问或踢掉该终端设备,以阻止该终端设备进行攻击行为,具体的防御措施本发明不作限定。
需要说明的是,本发明实施例中的第一时长、第二时长以及第三时长可相同或不同,可以是采用定时器进行周期性计时,也可以是采用系统时间等计时,每一次计时都可称为一个单位时间,具体的计时方式本发明不作限定。
可选的,在一些发明实施例中,在实际应用场景中,终端设备虽然多次满足攻击行为怀疑条件,但经过多次扫描检测,都没有发现存在攻击行为,一定程度上可以认为该终端设备是合法用户,控制器是可以不用专门分配内存和资源来对该终端设备一直进行扫描检测的,特别是接入控制器的终端设备很多时,对控制器的性能消耗很大,从而影响业务的进行。所以,控制器还可以对每个向特定服务的主机发起请求的终端设备设置信任等级,即使信任等级较高的终端设备多次满足攻击行为怀疑条件,但从未产生攻击行为,所以是不需要对此类终端设备进行扫描检测的,从而在一定程度上,可以减少控制器的性能消耗,提高其他业务运行的速度。具体的信任等级的设定过程如下:
若存在攻击行为,则将所述终端设备的信任等级置为最低等级;
若所述终端设备多次满足攻击行为怀疑条件,且不存在攻击行为,则提高所述终端设备的信任等级。
以下分别针对端口和IP两种情况对终端设备设置信任等级的规则,具体如下:
1、对于端口扫描和扫描检测的情况,设置信任等级的规则具体如下:
对于信任等级高于第一等级的第一终端设备,在所述第一终端设备在第二时长内请求创建的会话个数小于第三阈值时,减少针对所述第一终端设备访问端口的端口扫描检测的次数,或者缩短端口扫描检测的时间,第三阈值为预定义的阈值,可用于对高于第一等级的第一终端设备在单位时间内会话个数的比较,第三阈值的取值可根据实际场景或者网络状况等动态设置、更新,具体的取值或取值方式本发明不作限定。
或者,对于信任等级高于第一等级的第二终端设备,在所述第二终端设备满足攻击行为怀疑条件的次数大于第一预设次数时,对所述第二终端设备进行端口扫描检测。
或者,对于信任等级高于第二等级的终端设备,在预设时长内不对信任等级高于第二等级的终端设备进行端口扫描检测。
2、对于IP扫描和扫描检测的情况,设置信任等级的规则具体如下:
对于信任等级高于第三等级的第三终端设备,在所述第三终端设备在第二时长内请求创建的会话个数小于第五阈值时,减少针对所述第三终端设备的IP扫描检测的次数,或者缩短IP扫描检测的时间,第五阈值为预定义的阈值,可用于对高于第三等级的第三终端设备在单位时间内会话个数的比较,第五阈值的取值可根据实际场景或者网络状况等动态设置、更新,具体的取值或取值方式本发明不作限定。
或者,对于信任等级高于第三等级的第四终端设备,在所述第四终端设备满足攻击行为怀疑标准的次数高于第三预设次数时,对所述第四终端设备进行IP扫描检测。
或者,对于信任等级高于第四等级的终端设备,在预设时长内不对信任等级高于第四等级的终端设备进行IP扫描检测。
在上述1&2中,针对信用等级的设置,本发明实施例不对等级的个数进行限定,以及不对每次提升多少等级进行限定,也可以设置,针对每一个信任等级对应的满足攻击行为怀疑条件的次数可相同或不同,具体,每一个信任等级对应的满足攻击行为怀疑条件的次数本文不作限定。另外,针对不同信任等级的终端设备在单位时间内的会话个数达到某个阈值才需要进行扫描检测,本发明实施例也不作限定。
可选的,在一些发明实施例中,为进一步的降低控制器不必要的扫描检测所带来的性能消耗,还可以只针对或优先针对所述防御检测列表中的特定端口和特定IP地址进行扫描检测,具体如下:
若所述终端设备访问的端口为所述防御检测列表中的特定端口,或访问的IP地址为所述防御检测列表中的特定IP地址,则将所述终端设备访问的IP地址和端口记录在所述防御检测列表,可以是以日志的形式记录,便于实时查看。
例如,对于端口扫描来说,攻击者一般都是希望扫描特定的范围的端口,比如端口号为1~1000的端口,这些端口中有很多特定服务的端口,例如安全壳协议(英文全称:Secure Shell,英文简称:SSH)、超文本传输协议(英文全称:Hyper Text TransportProtocol,英文简称:HTTP)、文件传输协议(英文全称:File Transfer Protocol,英文简称:FTP)等特定服务的端口,所以大多情况下只需要优先保护这些端口。
可选的,在一些发明实施例中,在某些场景下,会有些终端设备会进行点对点(英文全称:Point to Point,英文简称:P2P)下载,这些P2P下载一般情况下是用户的正常下载行为,但P2P下载在短时间内会频繁的访问端口或访问IP地址,所以在控制器看来,该终端设备在进行端口扫描或IP扫描,如果控制器因此便进行P2P下载的终端设备进行端口扫描,将是在做无用功。所以,对于P2P下载的合法终端设备,控制器是不需要分配内存和资源进行扫描检测的。为了减少此类不必要的扫描检测,控制器可以通过将该终端设备所处的内网网段添加到上述防御检测列表中,使得针对所述终端设备的点对点请求的网址对应的端口扫描或IP扫描或ARP扫描无需作统计。
上面对本发明中的一种攻击检测的方法,以下对执行上述攻击检测的方法的控制器进行说明,参阅图2,本发明实施例中的控制器20包括:
统计模块201,用于统计终端设备向特定服务的主机发起的请求的次数,所述向特定服务的主机发起的请求至少包括访问端口、访问网际协议IP地址和发送地址解析协议ARP报文中的一个;
处理模块202,用于根据所述统计模块201统计得到的所述终端设备向特定服务的主机发起的请求的次数确定所述终端设备是否存在攻击行为,所述攻击行为至少包括端口扫描、IP扫描和ARP扫描中的一个;
若存在攻击行为,则将所述终端设备标识为扫描者;
然后对所述终端设备进行扫描检测,所述扫描检测至少包括端口扫描检测、IP扫描检测和ARP扫描中的一个。
可选的,在一些发明实施例中,当所述向特定服务的主机发起的请求为发送ARP报文时,所述统计模块201还用于:
若所述处理模块202确定所述终端设备不存在攻击行为时,将所述终端设备向特定服务的主机发送ARP报文的个数置0;
重新统计所述终端设备向特定服务的主机发送ARP报文的个数;
以及由所述处理模块202判断是否存在攻击行为的操作。
可选的,在一些发明实施例中,当向特定服务的主机发起的请求为访问端口和/或访问IP地址时,所述统计模块201还用于:
在所述处理模块202确定所述终端设备不存在攻击行为时,将向特定服务的主机发起的访问端口和/或访问IP地址的次数置0;
重新统计会话个数、统计访问端口和/或访问IP地址的次数;
以及由所述处理模块202判断是否存在攻击行为的操作。
可选的,在一些发明实施例中,当向特定服务的主机发起的请求为访问端口和/或访问IP地址时,所述统计模块201在统计所述终端设备向特定服务的主机发起的请求的次数之前,还用于:
统计所述终端设备在第一时长内请求创建的会话个数;
所述处理模块202还用于当所述会话个数大于第一阈值时,确定所述终端设备满足攻击行为怀疑条件,将所述终端设备加入防御检测列表。
可选的,在一些发明实施例中,所述向特定服务的主机发起的请求为访问端口时,所述统计模块201具体用于:
在连续至少两个第二时长内统计所述终端设备访问的不同类型的端口个数;
所述处理模块202具体用于:若在每个所述第二时长内所述统计模块201统计的端口个数大于第二阈值的次数超过预设次数,或所述终端设备请求的端口个数将端口数组填满,则确定所述终端设备存在端口扫描的攻击行为。
可选的,在一些发明实施例中,所述处理模块202至少还用于执行以下项之一:
对于信任等级高于第一等级的第一终端设备,在所述第一终端设备在第二时长内请求创建的会话个数小于第三阈值时,减少针对所述第一终端设备访问端口的端口扫描检测的次数,或者缩短端口扫描检测的时间;
或者,对于信任等级高于第一等级的第二终端设备,在所述第二终端设备满足攻击行为怀疑条件的次数大于第一预设次数时,对所述第二终端设备进行端口扫描检测;
或者,对于信任等级高于第二等级的终端设备,在预设时长内不对信任等级高于第二等级的终端设备进行端口扫描检测。
可选的,在一些发明实施例中,所述向特定服务的主机发起的请求为访问IP地址时,所述统计模块201具体用于:
在连续至少两个第三时长内统计所述终端设备访问的不用类型的IP地址个数;
所述处理模块202具体用于:若在每个所述第三时长内所述统计模块统计的IP地址个数大于第四阈值的次数超过第二预设次数,或所述终端设备请求的IP地址个数将IP地址数组填满,则确定所述终端设备存在IP扫描的攻击行为。
可选的,在一些发明实施例中,所述处理模块至少还用于执行以下项之一:
对于信任等级高于第三等级的第三终端设备,在所述第三终端设备在第二时长内请求创建的会话个数小于第五阈值时,减少针对所述第三终端设备访问IP地址的IP扫描检测的次数,或者缩短IP扫描检测的时间;
或者,对于信任等级高于第三等级的第四终端设备,在所述第四终端设备满足攻击行为怀疑标准的次数高于第三预设次数时,对所述第四终端设备进行IP扫描检测;
或者,对于信任等级高于第四等级的终端设备,在预设时长内不对信任等级高于第四等级的终端设备进行IP扫描检测。
可选的,在一些发明实施例中,所述向特定服务的主机发起的请求为发送ARP报文时,所述处理模块202具体用于:
通过所述统计模块201统计第三时长内终端设备发出的ARP报文个数,当所述ARP报文个数大于第六阈值时,则确定所述终端设备存在ARP扫描的攻击行为。
可选的,在一些发明实施例中,所述处理模块202还用于:
若存在攻击行为,则将所述终端设备的信任等级置为最低等级;
若所述终端设备多次满足攻击行为怀疑条件,且不存在攻击行为,则提高所述终端设备的信任等级。
可选的,在一些发明实施例中,所述处理模块202还用于:
若所述终端设备访问的端口为所述防御检测列表中的特定端口,或访问的IP地址为所述防御检测列表中的特定IP地址,则将所述终端设备访问的IP地址和端口记录在所述防御检测列表。
可选的,在一些发明实施例中,所述处理模块202还用于:
将内网网段添加到所述防御检测列表,使得针对所述终端设备的点对点请求的网址对应的端口扫描或IP扫描或ARP扫描不作统计。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文全称:Read-OnlyMemory,英文简称:ROM)、随机存取存储器(英文全称:Random Access Memory,英文简称:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上对本发明所提供的技术方案进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (22)
1.一种攻击检测的方法,其特征在于,所述方法包括:
统计终端设备向特定服务的主机发起请求的次数,所述向特定服务的主机发起的请求至少包括访问端口、访问网际协议IP地址和发送地址解析协议ARP报文中的一个;
根据所述终端设备向特定服务的主机发起请求的次数确定所述终端设备是否存在攻击行为,所述攻击行为至少包括端口扫描、IP扫描和ARP扫描中的一个;
若存在攻击行为,则将所述终端设备标识为扫描者,对所述终端设备进行扫描检测,所述扫描检测至少包括端口扫描检测、IP扫描检测和ARP扫描中的一个;
当向特定服务的主机发起的请求为访问端口和/或访问IP地址时,所述统计所述终端设备向特定服务的主机发起的请求的次数之前,所述方法还包括:
统计所述终端设备在第一时长内请求创建的会话个数,当所述会话个数大于第一阈值时,确定所述终端设备满足攻击行为怀疑条件,将所述终端设备加入防御检测列表。
2.根据权利要求1所述的方法,其特征在于,当所述向特定服务的主机发起的请求为发送ARP报文时,所述方法还包括:
若确定所述终端设备不存在攻击行为时,将所述终端设备向特定服务的主机发送ARP报文的个数置0;
重新执行统计所述终端设备向特定服务的主机发送ARP报文的个数,以及判断是否存在攻击行为的操作。
3.根据权利要求1所述的方法,其特征在于,当向特定服务的主机发起的请求为访问端口和/或访问IP地址时,所述方法还包括:
在确定所述终端设备不存在攻击行为时,将向特定服务的主机发起的访问端口和/或访问IP地址的次数置0;
重新执行统计会话个数、统计访问端口和/或访问IP地址的次数,以及判断是否存在攻击行为的操作。
4.根据权利要求1所述的方法,其特征在于,所述向特定服务的主机发起的请求为访问端口时,所述统计所述终端设备向特定服务的主机发起的请求的次数,根据所述终端设备向特定服务的主机发起的请求的次数确定所述终端设备是否存在攻击行为,包括:
在连续至少两个第二时长内统计所述终端设备访问的不同类型的端口个数;
若在每个所述第二时长内统计的端口个数大于第二阈值的次数超过预设次数,或所述终端设备请求的端口个数将端口数组填满,则确定所述终端设备存在端口扫描的攻击行为。
5.根据权利要求4所述的方法,其特征在于,所述方法至少还包括以下项之一:
对于信任等级高于第一等级的第一终端设备,在所述第一终端设备在第二时长内请求创建的会话个数小于第三阈值时,减少针对所述第一终端设备访问端口的端口扫描检测的次数,或者缩短端口扫描检测的时间;
或者,对于信任等级高于第一等级的第二终端设备,在所述第二终端设备满足攻击行为怀疑条件的次数大于第一预设次数时,对所述第二终端设备进行端口扫描检测;
或者,对于信任等级高于第二等级的终端设备,在预设时长内不对信任等级高于第二等级的终端设备进行端口扫描检测。
6.根据权利要求1所述的方法,其特征在于,所述向特定服务的主机发起的请求为访问IP地址时,所述统计所述终端设备向特定服务的主机发起的请求的次数,根据所述终端设备向特定服务的主机发起的请求的次数确定所述终端设备是否存在攻击行为,包括:
在连续至少两个第三时长内统计所述终端设备访问的不用类型的IP地址个数;
若在每个所述第三时长内统计的IP地址个数大于第四阈值的次数超过第二预设次数,或所述终端设备请求的IP地址个数将IP地址数组填满,则确定所述终端设备存在IP扫描的攻击行为。
7.根据权利要求6所述的方法,其特征在于,所述方法至少还包括以下之一:
对于信任等级高于第三等级的第三终端设备,在所述第三终端设备在第二时长内请求创建的会话个数小于第五阈值时,减少针对所述第三终端设备访问IP地址的IP扫描检测的次数,或者缩短IP扫描检测的时间;
或者,对于信任等级高于第三等级的第四终端设备,在所述第四终端设备满足攻击行为怀疑标准的次数高于第三预设次数时,对所述第四终端设备进行IP扫描检测;
或者,对于信任等级高于第四等级的终端设备,在预设时长内不对信任等级高于第四等级的终端设备进行IP扫描检测。
8.根据权利要求2所述的方法,其特征在于,所述向特定服务的主机发起的请求为发送ARP报文时,所述统计所述终端设备向特定服务的主机发起的请求的次数,根据所述终端设备向特定服务的主机发起的请求的次数确定所述终端设备是否存在攻击行为,包括:
统计第三时长内终端设备发出的ARP报文个数,当所述ARP报文个数大于第六阈值时,则确定所述终端设备存在ARP扫描的攻击行为。
9.根据权利要求5或7所述的方法,其特征在于,所述方法还包括:
若存在攻击行为,则将所述终端设备的信任等级置为最低等级;
若所述终端设备多次满足攻击行为怀疑条件,且不存在攻击行为,则提高所述终端设备的信任等级。
10.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述终端设备访问的端口为所述防御检测列表中的特定端口,或访问的IP地址为所述防御检测列表中的特定IP地址,则将所述终端设备访问的IP地址和端口记录在所述防御检测列表。
11.根据权利要求1或10所述的方法,其特征在于,所述方法还包括:
将内网网段添加到所述防御检测列表,使得针对所述终端设备的点对点请求的网址对应的端口扫描或IP扫描或ARP扫描不作统计。
12.一种控制器,其特征在于,所述控制器包括:
统计模块,用于统计终端设备向特定服务的主机发起的请求的次数,所述向特定服务的主机发起的请求至少包括访问端口、访问网际协议IP地址和发送地址解析协议ARP报文中的一个;
处理模块,用于根据所述统计模块统计得到的所述终端设备向特定服务的主机发起的请求的次数确定所述终端设备是否存在攻击行为,所述攻击行为至少包括端口扫描、IP扫描和ARP扫描中的一个;
若存在攻击行为,则将所述终端设备标识为扫描者;
并对所述终端设备进行扫描检测,所述扫描检测至少包括端口扫描检测、IP扫描检测和ARP扫描中的一个;
当向特定服务的主机发起的请求为访问端口和/或访问IP地址时,所述统计模块在统计所述终端设备向特定服务的主机发起的请求的次数之前,还用于:
统计所述终端设备在第一时长内请求创建的会话个数,当所述会话个数大于第一阈值时,确定所述终端设备满足攻击行为怀疑条件,将所述终端设备加入防御检测列表。
13.根据权利要求12所述的控制器,其特征在于,当所述向特定服务的主机发起的请求为发送ARP报文时,所述统计模块还用于:
若所述处理模块确定所述终端设备不存在攻击行为时,将所述终端设备向特定服务的主机发送ARP报文的个数置0;
重新统计所述终端设备向特定服务的主机发送ARP报文的个数;
所述处理模块还用于判断是否存在攻击行为。
14.根据权利要求12所述的控制器,其特征在于,当向特定服务的主机发起的请求为访问端口和/或访问IP地址时,所述统计模块还用于:
在所述处理模块确定所述终端设备不存在攻击行为时,将向特定服务的主机发起的访问端口和/或访问IP地址的次数置0;
重新统计会话个数、统计访问端口和/或访问IP地址的次数;
所述处理模块还用于判断是否存在攻击行为。
15.根据权利要求12所述的控制器,其特征在于,所述向特定服务的主机发起的请求为访问端口时,所述统计模块具体用于:
在连续至少两个第二时长内统计所述终端设备访问的不同类型的端口个数;
所述处理模块具体用于:若在每个所述第二时长内所述统计模块统计的端口个数大于第二阈值的次数超过预设次数,或所述终端设备请求的端口个数将端口数组填满,则确定所述终端设备存在端口扫描的攻击行为。
16.根据权利要求15所述的控制器,其特征在于,所述处理模块至少还用于执行以下项之一:
对于信任等级高于第一等级的第一终端设备,在所述第一终端设备在第二时长内请求创建的会话个数小于第三阈值时,减少针对所述第一终端设备访问端口的端口扫描检测的次数,或者缩短端口扫描检测的时间;
或者,对于信任等级高于第一等级的第二终端设备,在所述第二终端设备满足攻击行为怀疑条件的次数大于第一预设次数时,对所述第二终端设备进行端口扫描检测;
或者,对于信任等级高于第二等级的终端设备,在预设时长内不对信任等级高于第二等级的终端设备进行端口扫描检测。
17.根据权利要求12所述的控制器,其特征在于,所述向特定服务的主机发起的请求为访问IP地址时,所述统计模块具体用于:
在连续至少两个第三时长内统计所述终端设备访问的不用类型的IP地址个数;
所述处理模块具体用于:若在每个所述第三时长内所述统计模块统计的IP地址个数大于第四阈值的次数超过第二预设次数,或所述终端设备请求的IP地址个数将IP地址数组填满,则确定所述终端设备存在IP扫描的攻击行为。
18.根据权利要求17所述的控制器,其特征在于,所述处理模块至少还用于执行以下项之一:
对于信任等级高于第三等级的第三终端设备,在所述第三终端设备在第二时长内请求创建的会话个数小于第五阈值时,减少针对所述第三终端设备访问IP地址的IP扫描检测的次数,或者缩短IP扫描检测的时间;
或者,对于信任等级高于第三等级的第四终端设备,在所述第四终端设备满足攻击行为怀疑标准的次数高于第三预设次数时,对所述第四终端设备进行IP扫描检测;
或者,对于信任等级高于第四等级的终端设备,在预设时长内不对信任等级高于第四等级的终端设备进行IP扫描检测。
19.根据权利要求12所述的控制器,其特征在于,所述向特定服务的主机发起的请求为发送ARP报文时,所述处理模块具体用于:
通过所述统计模块统计第三时长内终端设备发出的ARP报文个数,当所述ARP报文个数大于第六阈值时,则确定所述终端设备存在ARP扫描的攻击行为。
20.根据权利要求16或18所述的控制器,其特征在于,所述处理模块还用于:
若存在攻击行为,则将所述终端设备的信任等级置为最低等级;
若所述终端设备多次满足攻击行为怀疑条件,且不存在攻击行为,则提高所述终端设备的信任等级。
21.根据权利要求12所述的控制器,其特征在于,所述处理模块还用于:
若所述终端设备访问的端口为所述防御检测列表中的特定端口,或访问的IP地址为所述防御检测列表中的特定IP地址,则将所述终端设备访问的IP地址和端口记录在所述防御检测列表。
22.根据权利要求12或21所述的控制器,其特征在于,所述处理模块还用于:
将内网网段添加到所述防御检测列表,使得针对所述终端设备的点对点请求的网址对应的端口扫描或IP扫描或ARP扫描不作统计。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610618891.6A CN107666473B (zh) | 2016-07-29 | 2016-07-29 | 一种攻击检测的方法及控制器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610618891.6A CN107666473B (zh) | 2016-07-29 | 2016-07-29 | 一种攻击检测的方法及控制器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107666473A CN107666473A (zh) | 2018-02-06 |
CN107666473B true CN107666473B (zh) | 2020-07-17 |
Family
ID=61121918
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610618891.6A Active CN107666473B (zh) | 2016-07-29 | 2016-07-29 | 一种攻击检测的方法及控制器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107666473B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110493166A (zh) * | 2018-07-03 | 2019-11-22 | 北京数安鑫云信息技术有限公司 | 一种账号异常检测方法和装置 |
CN112822143B (zh) * | 2019-11-15 | 2022-05-27 | 网宿科技股份有限公司 | 一种ip地址的评估方法、系统及设备 |
CN111597556B (zh) * | 2020-05-21 | 2023-05-02 | 四川英得赛克科技有限公司 | 应用于工业控制环境的arp扫描检测方法、系统 |
CN111669376B (zh) * | 2020-05-27 | 2022-05-03 | 福建健康之路信息技术有限公司 | 一种内网安全风险识别的方法和装置 |
CN111683162B (zh) * | 2020-06-09 | 2022-10-25 | 福建健康之路信息技术有限公司 | 一种基于流量识别的ip地址管理方法 |
CN112153011A (zh) * | 2020-09-01 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | 一种机器扫描的检测方法、装置、电子设备和存储介质 |
CN112532617B (zh) * | 2020-11-27 | 2022-09-23 | 神州绿盟成都科技有限公司 | 一种针对HTTP Flood攻击的检测方法、装置、设备及介质 |
CN113347205B (zh) * | 2021-06-30 | 2022-10-28 | 深圳前海微众银行股份有限公司 | 一种检测业务访问请求的方法及装置 |
CN114285654A (zh) * | 2021-12-27 | 2022-04-05 | 北京天融信网络安全技术有限公司 | 一种检测攻击的方法和装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103701816A (zh) * | 2013-12-27 | 2014-04-02 | 北京奇虎科技有限公司 | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 |
CN103957195A (zh) * | 2014-04-04 | 2014-07-30 | 上海聚流软件科技有限公司 | Dns系统以及dns攻击的防御方法和防御装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9654495B2 (en) * | 2006-12-01 | 2017-05-16 | Websense, Llc | System and method of analyzing web addresses |
-
2016
- 2016-07-29 CN CN201610618891.6A patent/CN107666473B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103701816A (zh) * | 2013-12-27 | 2014-04-02 | 北京奇虎科技有限公司 | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 |
CN103957195A (zh) * | 2014-04-04 | 2014-07-30 | 上海聚流软件科技有限公司 | Dns系统以及dns攻击的防御方法和防御装置 |
Also Published As
Publication number | Publication date |
---|---|
CN107666473A (zh) | 2018-02-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107666473B (zh) | 一种攻击检测的方法及控制器 | |
US11671402B2 (en) | Service resource scheduling method and apparatus | |
KR102039842B1 (ko) | 네트워크 공격 방지 방법, 장치 및 시스템 | |
US8910282B2 (en) | System and method for protecting devices on dynamically configured network | |
CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
US20140325648A1 (en) | Attack Defense Method and Device | |
CN106453669B (zh) | 一种负载均衡方法及一种服务器 | |
EP2136526A1 (en) | Method, device for identifying service flows and method, system for protecting against a denial of service attack | |
EP2615793A1 (en) | Methods and systems for protecting network devices from intrusion | |
CN100563149C (zh) | 一种dhcp监听方法及其装置 | |
CN107733867B (zh) | 一种发现僵尸网络及防护的方法、系统和存储介质 | |
CN108833450B (zh) | 一种实现服务器防攻击方法及装置 | |
WO2020107446A1 (zh) | 攻击者信息的获取方法、装置、设备和存储介质 | |
CN102045327B (zh) | 防范cc攻击的方法和设备 | |
EP3582463A1 (en) | Threat detection method and apparatus | |
CN111970261A (zh) | 网络攻击的识别方法、装置及设备 | |
CN107690004B (zh) | 地址解析协议报文的处理方法及装置 | |
CN112073376A (zh) | 一种基于数据面的攻击检测方法及设备 | |
KR20120121668A (ko) | 네트워크 기반 고성능 유해사이트 차단 시스템 및 방법 | |
CN107707569A (zh) | Dns请求处理方法及dns系统 | |
WO2019096104A1 (zh) | 攻击防范 | |
KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
JP2019152912A (ja) | 不正通信対処システム及び方法 | |
CN113014530B (zh) | Arp欺骗攻击防范方法及系统 | |
CN110417615B (zh) | 校验开关控制方法、装置、设备及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |