CN108173812B - 防止网络攻击的方法、装置、存储介质和设备 - Google Patents
防止网络攻击的方法、装置、存储介质和设备 Download PDFInfo
- Publication number
- CN108173812B CN108173812B CN201711286263.3A CN201711286263A CN108173812B CN 108173812 B CN108173812 B CN 108173812B CN 201711286263 A CN201711286263 A CN 201711286263A CN 108173812 B CN108173812 B CN 108173812B
- Authority
- CN
- China
- Prior art keywords
- data packet
- packet
- data
- information entropy
- syn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开涉及一种防止网络攻击的方法、装置、存储介质和设备,涉及通信技术领域,该方法包括:当接收到第一数据包时,根据第一数据包所属数据流中每个数据包的源IP地址,获取数据流的源IP地址的信息熵,根据信息熵确定是否存在拒绝服务DoS攻击,当存在DoS攻击时,通过信息熵的大小对第一数据包进行防御处理。能够降低防御机制对TCP协议的影响,并且降低系统资源的消耗。
Description
技术领域
本公开涉及通信技术领域,具体地,涉及一种防止网络攻击的方法、装置、存储介质和设备。
背景技术
随着互联网等信息技术的迅猛发展,人们的生活方式和习惯也相应地发生了巨大的改变,每个时刻,互联网中都会有海量的数据进行通信,为人们的各种活动提供服务,因此,网络安全问题在现今通信技术领域中显得格外重要。在互联网各种攻击手段中,以针对适用范围最广的TCP/IP协议(英文:Transmission Control Protocol/InternetProtocol,中文:传输控制协议/网际协议)的DoS(英文:Denial of Service,中文:拒绝服务)攻击最为严重。
DoS攻击中,最主要的方式是SYN(英文:Synchronize,中文:同步) Flood攻击,通过发送大量SYN数据包,利用TCP协议栈自身缺陷来消耗大量的系统资源和网络带宽,目前,应对SYN Flood攻击的技术手段是采用 SYN Cookie算法,将SYN序列号修改为经过加密处理的Cookie值,通过验证Cookie值来建立连接,从而保证防火墙的通信能力。但是如果一直开启上述的防御机制可能也会有一些不利的影响,例如SYN Cookie算法会限制 TCP协议中的某些功能,同时Cookie值的计算仍会消耗较多系统资源。由此可见常态化地开启上述防御机制可能会对TCP协议中的某些功能造成限制,并且会造成不必要的系统资源消耗。
发明内容
本公开的目的是提供一种防止网络攻击的方法、装置、存储介质和设备,用以解决常态化开启防御机制造成的限制TCP协议中的某些功能,以及消耗系统资源的问题。
为了实现上述目的,根据本公开实施例的第一方面,提供一种防止网络攻击的方法,所述方法包括:
当接收到第一数据包时,根据所述第一数据包所属数据流中每个数据包的源IP地址,获取所述数据流的源IP地址的信息熵;
根据所述信息熵确定是否存在拒绝服务DoS攻击;
当存在所述DoS攻击时,通过所述信息熵的大小对所述第一数据包进行防御处理。
可选的,所述根据所述第一数据包所属数据流中每个数据包的源IP地址,获取所述数据流的源IP地址的信息熵,包括:
根据信息熵计算公式,以及所述数据流中的每个数据包的源IP地址,获取所述数据流的源IP地址的信息熵;
信息熵计算公式包括:
其中,H(x)表示所述信息熵,n表示所述数据流中数据包的个数,xi表示所述数据流的n个数据包中的第i个数据包的源IP地址,p(xi)表示所述第 i个数据包的源IP地址出现的概率,其中,n、i为正整数,且i≤n。
可选的,所述根据所述信息熵确定是否存在DoS攻击,包括:
判断所述信息熵是否在第一阈值范围内;
若所述信息熵在所述第一阈值范围内,确定不存在所述DoS攻击;
若所述信息熵不在所述第一阈值范围内,确定存在所述DoS攻击。
可选的,所述当存在所述DoS攻击时,通过所述信息熵的大小对所述第一数据包进行防御处理,包括:
当所述信息熵在预设的第二阈值范围内时,通过同步SYN Cookie算法对所述第一数据包进行处理;
当所述信息熵超过所述第二阈值范围时,丢弃所述第一数据包。
可选的,所述方法还包括:
当不存在所述DoS攻击时,确定所述第一数据包是否为同步SYN数据包;
当所述第一数据包不是SYN数据包时,在同步登记表中查找与所述第一数据包的SYN的序列号相匹配的记录;
当所述同步登记表中存在与所述第一数据包的SYN的序列号相匹配的第一记录时,将所述第一数据包记录在连接跟踪记录表中;
根据所述连接跟踪记录表中的所述第一数据包的记录建立连接;
当所述同步登记表中不存在所述第一记录时,丢弃所述第一数据包。
可选的,所述方法还包括:
当所述第一数据包是SYN数据包时,确定半连接队列是否为满;
当所述半连接队列为满时,采用所述SYN Cookie算法对所述第一数据包进行处理;
当所述半连接队列不为满时,确认所述第一数据包是否满足匹配规则库中的规则;
当所述第一数据包不满足所述匹配规则库中的规则时,丢弃所述第一数据包;
当所述第一数据包满足所述匹配规则库中的规则时,在所述同步登记表中查找与所述第一数据包的SYN的序列号相匹配的记录;
当所述同步登记表中存在与所述第一数据包的SYN的序列号相匹配的所述第一记录时,丢弃所述第一数据包;当所述同步登记表中不存在第一记录时,在所述同步登记表中记录所述第一数据包的信息。
根据本公开实施例的第二方面,提供一种防止网络攻击的装置,所述装置包括:
获取模块,用于当接收到第一数据包时,根据所述第一数据包所属数据流中每个数据包的源IP地址,获取所述数据流的源IP地址的信息熵;
确定模块,用于根据所述信息熵确定是否存在拒绝服务DoS攻击;
处理模块,用于当存在所述DoS攻击时,通过所述信息熵的大小对所述第一数据包进行防御处理。
可选的,所述获取模块用于:
根据信息熵计算公式,以及所述数据流中的每个数据包的源IP地址,获取所述数据流的源IP地址的信息熵;
信息熵计算公式包括:
其中,H(x)表示所述信息熵,n表示所述数据流中数据包的个数,xi表示所述数据流的n个数据包中的第i个数据包的源IP地址,p(xi)表示所述第 i个数据包的源IP地址出现的概率,其中,n、i为正整数,且i≤n。
可选的,所述确定模块包括:
判断子模块,用于判断所述信息熵是否在第一阈值范围内;
第一确定子模块,用于若所述信息熵在所述第一阈值范围内,确定不存在所述DoS攻击;
第二确定子模块,用于若所述信息熵不在所述第一阈值范围内,确定存在所述DoS攻击。
可选的,所述处理模块包括:
第一处理子模块,用于当所述信息熵在预设的第二阈值范围内时,通过同步SYNCookie算法对所述第一数据包进行处理;
第二处理子模块,用于当所述信息熵超过所述第二阈值范围时,丢弃所述第一数据包。
可选的,所述装置还包括:
数据识别模块,用于当不存在所述DoS攻击时,确定所述第一数据包是否为同步SYN数据包;
匹配模块,用于当所述第一数据包不是SYN数据包时,在同步登记表中查找与所述第一数据包的SYN的序列号相匹配的记录;
所述匹配模块,还用于当所述同步登记表中存在与所述第一数据包的SYN的序列号相匹配的第一记录时,将所述第一数据包记录在连接跟踪记录表中;
连接模块,用于根据所述连接跟踪记录表中的所述第一数据包的记录建立连接;
所述处理模块,还用于当所述同步登记表中不存在所述第一记录时,丢弃所述第一数据包。
可选的,所述装置还包括:
半连接模块,用于当所述第一数据包是SYN数据包时,确定半连接队列是否为满;
所述处理模块,还用于当所述半连接队列为满时,采用所述SYN Cookie 算法对所述第一数据包进行处理;
所述半连接模块,还用于当所述半连接队列不为满时,确认所述第一数据包是否满足匹配规则库中的规则;
所述处理模块,还用于当所述第一数据包不满足所述匹配规则库中的规则时,丢弃所述第一数据包;
同步登记模块,用于当所述第一数据包满足所述匹配规则库中的规则时,在所述同步登记表中查找与所述第一数据包的SYN的序列号相匹配的记录;
所述处理模块,还用于当所述同步登记表中存在与所述第一数据包的 SYN的序列号相匹配的所述第一记录时,丢弃所述第一数据包;
所述同步登记模块,还用于当所述同步登记表中不存在第一记录时,在所述同步登记表中记录所述第一数据包的信息。
根据本公开实施例的第三方面,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本公开实施例的第一方面提供的防止网络攻击的方法的步骤。
根据本公开实施例的第四方面,提供一种电子设备,包括:
本公开实施例的第三方面提供的计算机可读存储介质;以及
一个或者多个处理器,用于执行所述计算机可读存储介质中的程序。
通过上述技术方案,本公开通过监控通过防火墙的数据流,在接收到第一数据包时,根据包含了第一数据包的数据流中的每一个数据包的源IP地址,确定能够反映数据流中包含信息量大小的信息熵,并根据信息熵的大小确定当前是否存在对防火墙发起的DoS攻击,进一步的,当确定存在DoS 攻击时,根据信息熵的大小确定对第一数据包的处理步骤。相比于现有技术需要常态化开启SYN Cookie的方式来防御DoS攻击而导致的限制TCP协议中的某些功能,以及Cookie值的计算会消耗较多系统资源的问题,本公开所提供的技术方案能够先识别数据流是否存在攻击,并在存在DoS攻击时,再根据信息熵的大小进行相应的防御处理,因此相比于现有技术而言,在确定存在DoS攻击时,才根据信息熵的大小进行相应的防御处理,能够避免例如SYN Cookie等防御机制的常态化开启,因此能够降低对TCP协议的影响,并且降低系统资源的消耗。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本公开的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本公开,但并不构成对本公开的限制。在附图中:
图1是根据一示例性实施例示出的一种防止网络攻击的方法的流程图;
图2是根据一示例性实施例示出的另一种防止网络攻击的方法的流程图;
图3是根据一示例性实施例示出的另一种防止网络攻击的方法的流程图;
图4是根据一示例性实施例示出的另一种防止网络攻击的方法的流程图;
图5是根据一示例性实施例示出的另一种防止网络攻击的方法的流程图;
图6是根据一示例性实施例示出的一种防止网络攻击的装置的框图;
图7是根据一示例性实施例示出的另一种防止网络攻击的装置的框图;
图8是根据一示例性实施例示出的另一种防止网络攻击的装置的框图;
图9是根据一示例性实施例示出的另一种防止网络攻击的装置的框图;
图10是根据一示例性实施例示出的另一种防止网络攻击的装置的框图;
图11是根据一示例性实施例示出的一种电子设备的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
在介绍本公开提供的一种防止网络攻击的方法、装置、存储介质和设备之前,首先对本公开各个实施例所涉及应用场景进行介绍。该应用场景为防止基于TCP/IP协议的网络数据通信的DoS攻击。当网络中的节点需要和服务器进行数据通信之前,需要先通过三次握手来建立连接,即节点向服务器发送服务请求(SYN数据包)时,服务器收到服务请求后向节点发送确认应答(SYN+ACK(英文:Acknowledgment,中文:应答)),节点收到确认应答后向服务器发送确认应答(ACK),服务器收到后建立连接。SYN Flood 攻击作为最主要的DoS攻击方式,通过欺骗和伪装的策略,向服务器发送大量正常的服务请求,使服务器回复大量的确认应答,并且在没有收到节点的确认应答之前,一直等待或重新发送确认应答,消耗了网络带宽和系统资源。
图1是根据一示例性实施例示出的一种防止网络攻击的方法的流程图,如图1所示,该方法包括:
步骤101,当接收到第一数据包时,根据第一数据包所属数据流中每个数据包的源IP地址,获取数据流的源IP地址的信息熵。
举例来说,该方法可以部署在防火墙上,可以是属于服务器、路由器或交换机等网关设备上的防火墙,通过实时监控通过防火墙的数据流,根据 TCP协议中规定的数据包格式,能够解析出数据流中多个数据包的源IP地址。在接收到第一数据包时,根据包含了第一数据包的数据流中的每一个数据包的源IP地址,确定该数据流中所有数据包的源IP地址的信息熵。
信息熵可以理解为对不确定度的度量,对于任意一个随机变量,它的熵定义如下:变量的不确定性越大,熵就越大,把它弄清楚所需要的信息量就越大。一个系统越是有序,信息熵就越低;反之,一个系统越是混乱,信息熵就越高。因此,信息熵越大,表示数据流中包含的信息量越大,信息熵越小,表示数据流中包含的信息量越小。在本实施例中,源IP地址的信息熵能够反映出该数据流中的这些数据包的源IP地址的分布情况,熵值越高说明源IP地址分布范围越大,熵值越低说明源IP地址分布范围越小。其中,该第一数据包可以是通过防火墙的任一数据包,该数据流可以包括第一数据包以及第一数据包之前预设个数的数据包,即可以理解为,每收到一个数据包,都根据该数据包以及之前的预设个数的数据包计算一次信息熵,因此每次获取的信息熵都能够反映当前接收到的第一数据包和第一数据包之前预设个数的数据包的源IP地址的信息量。其中,预设个数可以根据防火墙的防御策略来设置,也可以根据该防火墙所属设备所在网络的部署规划来统一确定,例如该预设个数为9个,则每收到1个数据包,就对接收到的数据包以及前9个数据包进行一次信息熵的计算。
步骤102,根据信息熵确定是否存在拒绝服务DoS攻击。
举例来说,在网络中,对于特定的防火墙所属设备,经过该设备的数据流会具有一定的特点,例如数据流中的源IP地址会满足一定的统计特性,即数据流的源IP地址的信息熵在一定的范围内,如果出现了针对该设备的 DoS攻击,对应的统计特性也会被改变,即超出原有范围。由于DoS攻击通常有两种攻击方式:伪造IP地址发送大量的服务请求,和使用几个固定的IP地址发送大量的服务请求。那么对应的会出现两种情况:当DoS攻击采取伪造IP地址的方式时,由于伪造IP地址是随机的,信息熵会变大,当 DoS攻击采取固定IP地址的方式时,由于固定IP地址出现的频率变大,信息熵就会变小,因此能够根据信息熵的变化判断当前是否存在DoS攻击。
步骤103,当存在DoS攻击时,通过信息熵的大小对第一数据包进行防御处理。
示例的,为了保证防火墙能够正常工作,不会因为遭受攻击而瘫痪,可以针对Dos攻击的严重程度,选取不同的处理方式。当存在DoS攻击时,根据信息熵的大小,来确定Dos攻击的严重程度,即Dos攻击的数据流的规模。例如,当信息熵较小时,说明Dos攻击的数据流规模较小,可以选择 SYN Cookie等算法来处理第一数据包,当信息熵较大时,说明Dos攻击的数据流规模较大,超过了防火墙所属设备(例如路由器)的处理能力,那么将第一数据包丢弃。
综上所述,本公开通过监控通过防火墙的数据流,在接收到第一数据包时,根据包含了第一数据包的数据流中的每一个数据包的源IP地址,确定能够反映数据流中包含信息量大小的信息熵,并根据信息熵的大小确定当前是否存在对防火墙发起的DoS攻击,进一步的,当确定存在DoS攻击时,根据信息熵的大小确定对第一数据包的处理步骤。本公开所提供的技术方案能够先识别数据流是否存在攻击,并在存在DoS攻击时,再根据信息熵的大小进行相应的防御处理,因此相比于现有技术而言,在确定存在DoS攻击时,才根据信息熵的大小进行相应的防御处理,能够避免例如SYN Cookie等防御机制的常态化开启,因此能够降低对TCP协议的影响,并且降低系统资源的消耗。
可选的,步骤101可以包括:
根据信息熵计算公式,以及该数据流中的每个数据包的源IP地址,获取数据流的源IP地址的信息熵。
其中,该信息熵计算公式可以为:
其中,H(x)表示信息熵,n表示该数据流中数据包的个数,xi表示该数据流的n个数据包中的第i个数据包的源IP地址,p(xi)表示第i个数据包的源IP地址出现的概率,其中,n、i为正整数,且i≤n。
利用上述公式可以得到源IP地址的熵值H(x)。该熵值提供了源IP地址的随机分布特性的描述。其中,熵值越大,表示源IP地址分布越随机,熵值越小,表示源IP地址分布范围小,在一些地址出现的几率高。由此我们可以通过检测该熵值变化来检测源IP地址的随机分布特性的变化。
因此,如果熵值变大,表明其源IP地址分布更加随机,我们可以怀疑报文有很大一部分是随机伪造源IP地址的攻击报文,如果熵值变小,我们可以认为某些固定IP地址增加了报文发送量,可以怀疑这些源IP地址正发送具有真实源IP地址攻击流。由此可见,当熵值H(x)的值的变化超出了正常熵值范围时,就可以确定当前存在DoS攻击。
图2是根据一示例性实施例示出的另一种防止网络攻击的方法的流程图,如图2所示,步骤102可以包括:
步骤1021,判断信息熵是否在第一阈值范围内。
步骤1022,若信息熵在第一阈值范围内时,确定不存在DoS攻击。
步骤1023,若信息熵不在第一阈值范围内时,确定存在DoS攻击。
示例的,第一阈值范围能够反映在正常情况下流经防火墙所属设备(例如路由器)的数据流的正常统计特性,该第一阈值范围可以通过测量一段时间内的数据流中数据包的源IP地址的信息熵,进行统计来确定,也可以根据具体需求进行设置。第一阈值范围可以包括上下两个门限,例如第一阈值范围为[a1,b1],其中a1<b1,即a1对应第一阈值范围的下限,b1对应第一阈值范围的上限。
图3是根据一示例性实施例示出的另一种防止网络攻击的方法的流程图,如图3所示,步骤103包括:
步骤1031,当信息熵在预设的第二阈值范围内时,通过同步SYN Cookie 算法对第一数据包进行处理。
举例来说,为了保证防火墙能够正常工作,不会因为遭受攻击而瘫痪,针对Dos攻击的严重程度,选取不同的处理方式。例如,当信息熵在预设的第二阈值范围内时,即信息熵超过第一阈值范围,但在第二阈值范围内时,可以将当前的Dos攻击确定为轻度攻击,流经防火墙所属设备(例如路由器) 的数据流是中小规模的,此时可以使用SYN Cookie算法对当前时刻接收到的数据包进行处理。需要说明的是,SYN Cookie算法是通过修改SYN序列号来实现的,当防火墙所属设备收到客户端的SYN数据包时,根据SYN数据包中的源IP地址,目的IP地址、源端口、目的端口、接收到SYN数据包的时间,以及随机生成的两个随机数经过sha1加密得到的一个哈希(hash) 值,sha1是SHA(Secure Hash Algorithm,安全哈希算法)中的一种算法,将该hash值作为SYN序列号(即cookie值),防火墙所属设备将cookie值回复给客户端,当客户端回复ACK数据包时,防火墙所属设备根据ACK数据包中所包含的信息再计算出一个cookie值,如果ACK数据包对应的cookie 值和SYN数据包对应的cookie值相同,则建立连接,从而保证了防火墙所属设备能够正常工作。
步骤1032,当信息熵超过第二阈值范围时,丢弃第一数据包。
示例的,当信息熵超过第二阈值范围时,可以确定当前Dos攻击为重度攻击,流经防火墙所属设备的数据流过多,如果使用SYN Cookie算法,也会消耗大量的系统资源和网络带宽,此时可以丢弃数据流中的所有数据包。
其中,第二阈值范围大于第一阈值范围。第一阈值范围表示不存在DoS 攻击时的熵值的正常变化范围,第二阈值范围表示存在轻度攻击时的熵值的变化范围,超过第二阈值范围表示存在重度攻击时的熵值的变化范围,该第一阈值范围、第二阈值范围均可以预先通过实验数据获取。其中,第二阈值范围的上限大于第一阈值范围的上限,第二阈值范围的下限小于第一阈值范围的下限。示例的,以第一阈值范围为[a1,b1],第二阈值范围为[a2,b2] 为例,用H表示熵值,那么a2<a1,b1<b2,当a1≤H≤b1时,确定当前不存在DoS攻击。当a2≤H<a1或b1<H≤b2时,确定当前存在DoS攻击,且为轻度攻击。当H<a2或b2<H时,确定当前存在DoS攻击,且为重度攻击。
进一步的,根据DoS攻击的流量大小,将攻击分为轻度攻击和重度攻击,用来反映DoS攻击的严重程度。当DoS攻击的流量较大时,例如采取伪造IP地址的DoS攻击,会使信息熵变大,而采取固定IP地址的DoS攻击,会使信息熵减小。如果DoS攻击的流量较小时,相对于流量较大的情景,信息熵的变化范围会变小。因此能够根据信息熵的变化判断DoS攻击的严重程度。防火墙所属设备(比如路由器、服务器等)可以通过文字、图像(可以通过防火墙所属设备本身自带的屏幕或者是与防火墙所属设备连接的控制设备,比如电脑的屏幕来显示)或声音来表示设备当前的状态,以图像颜色举例,在确定当前存在DoS攻击时,可以根据攻击的严重程度选择不同的颜色,当DoS攻击为轻度攻击,则可以显示黄色,用于指示当前存在DoS 攻击,系统的性能在降低,当DoS攻击为重度攻击,则可以显示显示红色,用于指示当前存在严重的DoS攻击,系统存在崩溃的可能。当确定不存在 DoS攻击时,则可以显示绿色,用于指示当前系统运行正常。
因此,本公开实施例中针对大流量的Dos攻击的情况,选取丢弃数据包的处理方式,能够解决现有技术中无法处理大流量攻击的问题,从而能够提高防火墙的防护能力,保证不会因为遭受大流量攻击而瘫痪。
图4是根据一示例性实施例示出的另一种防止网络攻击的方法的流程图,如图4所示,该方法还包括:
步骤104,当不存在DoS攻击时,确定第一数据包是否为SYN数据包。
步骤105,当第一数据包不是SYN数据包时,在同步登记表中查找与第一数据包的SYN的序列号相匹配的记录。
步骤106,当同步登记表中存在与第一数据包的SYN的序列号相匹配的第一记录时,将第一数据包记录在连接跟踪记录表中。
可选的,在将第一数据包记录在连接跟踪记录表中后,可以删除同步登记表中的第一记录。
步骤107,根据连接跟踪记录表中的第一数据包的记录建立连接。
步骤108,当同步登记表中不存在第一记录时,丢弃第一数据包。
举例来说,进一步的,为了避免不必要的规则库匹配,增加一个同步登记表。同步登记表是用来登记进出防火墙的SYN数据包,除了登记SYN序列号,还需要登记SYN数据的流向是流入防火墙还是流出防火墙。当不存在DoS攻击时,先确定第一数据包是否是SYN数据包。
当第一数据包不是SYN数据包时,在同步登记表中查找与第一数据包的SYN的序列号相匹配的记录,其中,第一数据包为数据流中的任一数据包。此时,可以确认第一数据包是ACK数据包(即三次握手中的第三次握手),如果是正常的建立连接过程,应该在之前已经收到过与该ACK数据包对应的SYN数据包,与该ACK数据包对应的SYN数据包已经存放同步登记表中。因此,当同步登记表中存在与第一数据包的SYN的序列号相匹配的第一记录时,表示这是客户端一次正常的请求建立连接的过程,将第一数据包记录在连接跟踪记录表中,同时可以删除同步登记表中的第一记录。并且,防火墙所属设备根据连接跟踪记录表中的第一数据包的记录,建立连接。如果同步登记表中不存在与第一数据包的SYN的序列号相匹配的第一记录,表示,之前没有收到过与该ACK数据包对应的SYN数据包,不是正常的建立连接过程,则丢弃第一数据包。
图5是根据一示例性实施例示出的另一种防止网络攻击的方法的流程图,如图5所示,该方法还包括:
步骤109,当第一数据包是SYN数据包时,确定半连接队列是否为满。
步骤110,当半连接队列为满时,采用SYN Cookie算法对第一数据包进行处理。
步骤111,当半连接队列不为满时,确认第一数据包是否满足匹配规则库中的规则。
示例的,当第一数据包是SYN数据包时(即三次握手中的第一次握手),那么查询此时半连接队列是否为满。半连接队列用于存储在向客户端发送的 SYN+ACK数据包之后,需要等待客户端的ACK数据包确认的SYN数据包,半连接队列中的每个表项都是等待ACK数据包的状态。
进一步的,当半连接队列为满时,表示此时防火墙所属设备的处理能力已满,此时,可能存在DoS攻击,也可能是正常的数据流流量过大,超出了防火墙所属设备的处理能力,采用SYN Cookie算法对当前时刻接收到的数据包进行处理。当半连接队列不为满时,确认第一数据包是否满足匹配规则库中的规则。
步骤112,当第一数据包不满足匹配规则库中的规则时,丢弃第一数据包。
步骤113,当第一数据包满足匹配规则库中的规则时,在同步登记表中查找与第一数据包的SYN的序列号相匹配的记录。
需要说明的是,规则库设置在防火墙中,其中存储有防火墙所能处理的数据对应的规则,即防火墙所能处理的数据应该具备的条件,例如可以是数据流中数据包的格式、数据包的大小等限制,防火墙接收到一个数据包时,使用规则库检测该数据包,通过规则库匹配的数据包才能流入防火墙,没有通过规则库匹配的数据包则可以丢弃。步骤112和步骤113中,是对第一数据包进行识别后,仅对SYN数据包进行规则库匹配,避免了ACK数据包等其他类型的数据包进行规则库匹配,节省了系统资源。
步骤114,当同步登记表中存在与第一数据包的SYN的序列号相匹配的第一记录时,丢弃第一数据包。
步骤115,当同步登记表中不存在第一记录时,在同步登记表中记录第一数据包的信息。
举例来说,当第一数据包为SYN数据包时,如果在正常的建立连接过程中,此时应该是三次握手中的第一次握手,即第一数据包的SYN的序列号应该第一次出现。如果同步登记表中存在与第一数据包的SYN的序列号相匹配的第一记录,表示第一数据包的SYN的序列号不是第一次出现,可以判断该数据包有DoS攻击的可能性,所以丢弃第一数据包。 如果同步登记表中不存在第一记录时,则在同步登记表中记录第一数据包的信息。
进一步的,上述实施例中所述的丢弃第一数据包可以通过下列步骤实现:
首先,将第一数据包的源IP地址记录在防火墙的黑名单中,黑名单用于记录对防火墙所属设备发起过DoS攻击的源IP地址。
最后,丢弃第一数据包。
示例的,在丢弃第一数据包之前,可以将第一数据包的源IP地址记录在防火墙的黑名单中,表示该IP地址对防火墙所属设备发起过DoS攻击,防火墙可以根据黑名单,直接拒绝由该IP发送的数据包,能够有效地防御 DoS攻击。进一步的,还可以对每个黑名单中的IP地址设置一个隔离时限,当一个IP地址在黑名单中存储超过隔离时限时,将该IP地址从黑名单中删除。
综上所述,本公开通过监控通过防火墙的数据流,在接收到第一数据包时,根据包含了第一数据包的数据流中的每一个数据包的源IP地址,确定能够反映数据流中包含信息量大小的信息熵,并根据信息熵的大小确定当前是否存在对防火墙发起的DoS攻击,进一步的,当确定存在DoS攻击时,根据信息熵的大小确定对第一数据包的处理步骤。本公开所提供的技术方案能够先识别数据流是否存在攻击,并在存在DoS攻击时,再根据信息熵的大小进行相应的防御处理,因此相比于现有技术而言,在确定存在DoS攻击时,才根据信息熵的大小进行相应的防御处理,能够避免例如SYN Cookie等防御机制的常态化开启,因此能够降低对TCP协议的影响,并且降低系统资源的消耗。
图6是根据一示例性实施例示出的一种防止网络攻击的装置的框图,如图6所示,该装置200包括:
获取模块201,用于当接收到第一数据包时,根据第一数据包所属数据流中每个数据包的源IP地址,获取数据流的源IP地址的信息熵。
确定模块202,用于根据信息熵确定是否存在拒绝服务DoS攻击。
处理模块203,用于当存在DoS攻击时,通过信息熵的大小对第一数据包进行防御处理。
可选的,获取模块201用于:
根据信息熵计算公式,以及数据流中的数据包的源IP地址,获取数据流的源IP地址的信息熵;
其中,该信息熵计算公式可以是:
其中,H(x)表示信息熵,n表示数据流中数据包的个数,xi表示数据流的n个数据包中的第i个数据包的源IP地址,p(xi)表示第i个数据包的源IP 地址出现的概率,其中,n、i为正整数,且i≤n。
图7是根据一示例性实施例示出的另一种防止网络攻击的装置的框图,如图7所示,确定模块202包括:
判断子模块2021,用于判断信息熵是否在第一阈值范围内。
第一确定子模块2022,用于若信息熵在第一阈值范围内,确定不存在 DoS攻击。
第二确定子模块2023,用于若信息熵不在第一阈值范围内,确定存在 DoS攻击。
图8是根据一示例性实施例示出的另一种防止网络攻击的装置的框图,如图8所示,处理模块203包括:
第一处理子模块2031,用于当信息熵在预设的第二阈值范围内时,通过同步SYNCookie算法对第一数据包进行处理。
第二处理子模块2032,用于当信息熵超过第二阈值范围时,丢弃第一数据包。
图9是根据一示例性实施例示出的另一种防止网络攻击的装置的框图,如图9所示,该装置200还包括:
数据识别模块204,用于当不存在DoS攻击时,确定第一数据包是否为同步SYN数据包。
匹配模块205,用于当第一数据包不是SYN数据包时,在同步登记表中查找与第一数据包的SYN的序列号相匹配的记录。
匹配模块205,还用于当同步登记表中存在与第一数据包的SYN的序列号相匹配的第一记录时,将第一数据包记录在连接跟踪记录表中。
连接模块206,用于根据连接跟踪记录表中的第一数据包的记录建立连接。
处理模块203,还用于当同步登记表中不存在第一记录时,丢弃第一数据包。
图10是根据一示例性实施例示出的另一种防止网络攻击的装置的框图,如图10所示,该装置200还包括:
半连接模块207,用于当第一数据包是SYN数据包时,确定半连接队列是否为满。
处理模块203,还用于当半连接队列为满时,采用SYN Cookie算法对第一数据包进行处理。
半连接模块207,还用于当半连接队列不为满时,确认第一数据包是否满足匹配规则库中的规则。
处理模块203,还用于当第一数据包不满足匹配规则库中的规则时,丢弃第一数据包。
同步登记模块208,用于当第一数据包满足匹配规则库中的规则时,在同步登记表中查找与第一数据包的SYN的序列号相匹配的记录。
处理模块203,还用于当同步登记表中存在与第一数据包的SYN的序列号相匹配的第一记录时,丢弃第一数据包。
同步登记模块208,还用于当同步登记表中不存在第一记录时,在同步登记表中记录第一数据包的信息。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
综上所述,本公开通过监控通过防火墙的数据流,在接收到第一数据包时,根据包含了第一数据包的数据流中的每一个数据包的源IP地址,确定能够反映数据流中包含信息量大小的信息熵,并根据信息熵的大小确定当前是否存在对防火墙发起的DoS攻击,进一步的,当确定存在DoS攻击时,根据信息熵的大小确定对第一数据包的处理步骤。本公开所提供的技术方案能够先识别数据流是否存在攻击,并在存在DoS攻击时,再根据信息熵的大小进行相应的防御处理,因此相比于现有技术而言,在确定存在DoS攻击时,才根据信息熵的大小进行相应的防御处理,能够避免例如SYN Cookie等防御机制的常态化开启,因此能够降低对TCP协议的影响,并且降低系统资源的消耗。
图11是根据一示例性实施例示出的一种电子设备800的框图。例如,电子设备800可以被提供为一服务器。参照图11,电子设备800包括处理器 822,其数量可以为一个或多个,以及存储器832,用于存储可由处理器822 执行的计算机程序。存储器832中存储的计算机程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理器822可以被配置为执行该计算机程序,以执行上述的图1至图5所示的防止网络攻击的方法。
另外,电子设备800还可以包括电源组件826和通信组件850,该电源组件826可以被配置为执行电子设备800的电源管理,该通信组件850可以被配置为实现电子设备800的通信,例如,有线或无线通信。此外,该电子设备800还可以包括输入/输出(I/O)接口858。电子设备800可以操作基于存储在存储器832的操作系统,例如Windows ServerTM,Mac OSXTM, UnixTM,LinuxTM等等。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,例如包括程序指令的存储器832,上述程序指令可由电子设备800的处理器822执行以完成上述的图1至图5所示的防止网络攻击的方法。
综上所述,本公开通过监控通过防火墙的数据流,在接收到第一数据包时,根据包含了第一数据包的数据流中的每一个数据包的源IP地址,确定能够反映数据流中包含信息量大小的信息熵,并根据信息熵的大小确定当前是否存在对防火墙发起的DoS攻击,进一步的,当确定存在DoS攻击时,根据信息熵的大小确定对第一数据包的处理步骤。本公开所提供的技术方案能够先识别数据流是否存在攻击,并在存在DoS攻击时,再根据信息熵的大小进行相应的防御处理,因此相比于现有技术而言,在确定存在DoS攻击时,才根据信息熵的大小进行相应的防御处理,能够避免例如SYN Cookie等防御机制的常态化开启,因此能够降低对TCP协议的影响,并且降低系统资源的消耗。
以上结合附图详细描述了本公开的优选实施方式,但是,本公开并不限于上述实施方式中的具体细节,在本公开的技术构思范围内,本领域技术人员在考虑说明书及实践本公开后,容易想到本公开的其它实施方案,均属于本公开的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合。同时本公开的各种不同的实施方式之间也可以进行任意组合,只要其不违背本公开的思想,其同样应当视为本公开所公开的内容。本公开并不局限于上面已经描述出的精确结构,本公开的范围仅由所附的权利要求来限制。
Claims (7)
1.一种防止网络攻击的方法,其特征在于,所述方法包括:
当接收到第一数据包时,根据所述第一数据包所属数据流中每个数据包的源IP地址,获取所述数据流的源IP地址的信息熵,所述数据流包括所述第一数据包以及所述第一数据包之前预设个数的数据包;
根据所述信息熵确定是否存在拒绝服务DoS攻击;
当存在所述DoS攻击时,通过所述信息熵的大小对所述第一数据包进行防御处理;
所述当存在所述DoS攻击时,通过所述信息熵的大小对所述第一数据包进行防御处理,包括:
当所述信息熵在预设的第二阈值范围内时,确定所述DoS攻击为轻度攻击;当所述信息熵超过所述第二阈值范围时,确定所述DoS攻击为重度攻击;
当所述DoS攻击为轻度攻击时,通过同步SYN Cookie算法对所述第一数据包进行处理;
当所述DoS攻击为重度攻击时,丢弃所述第一数据包;
所述方法还包括:
当不存在所述DoS攻击时,确定所述第一数据包是否为同步SYN数据包;
当所述第一数据包不是SYN数据包时,在同步登记表中查找与所述第一数据包的SYN的序列号相匹配的记录;
当所述同步登记表中存在与所述第一数据包的SYN的序列号相匹配的第一记录时,将所述第一数据包记录在连接跟踪记录表中,并删除所述同步登记表中的所述第一记录;
根据所述连接跟踪记录表中的所述第一数据包的记录建立连接;
当所述同步登记表中不存在所述第一记录时,丢弃所述第一数据包;
当所述第一数据包是SYN数据包时,确定半连接队列是否为满;
当所述半连接队列为满时,采用所述SYN Cookie算法对所述第一数据包进行处理;
当所述半连接队列不为满时,确认所述第一数据包是否满足匹配规则库中的规则;
当所述第一数据包不满足所述匹配规则库中的规则时,丢弃所述第一数据包;
当所述第一数据包满足所述匹配规则库中的规则时,在所述同步登记表中查找与所述第一数据包的SYN的序列号相匹配的记录;
当所述同步登记表中存在与所述第一数据包的SYN的序列号相匹配的所述第一记录时,丢弃所述第一数据包;当所述同步登记表中不存在第一记录时,在所述同步登记表中记录所述第一数据包的信息。
2.根据权利要求1所述的方法,其特征在于,所述根据所述第一数据包所属数据流中每个数据包的源IP地址,获取所述数据流的源IP地址的信息熵,包括:
根据信息熵计算公式,以及所述数据流中的每个数据包的源IP地址,获取所述数据流的源IP地址的信息熵;
所述信息熵计算公式包括:
其中,H(x)表示所述信息熵,n表示所述数据流中数据包的个数,x i 表示所述数据流的n个数据包中的第i个数据包的源IP地址,p(x i )表示所述第i个数据包的源IP地址出现的概率,其中,n、i为正整数,且i≤n。
3.根据权利要求1所述的方法,其特征在于,所述根据所述信息熵确定是否存在DoS攻击,包括:
判断所述信息熵是否在第一阈值范围内;
若所述信息熵在所述第一阈值范围内,确定不存在所述DoS攻击;
若所述信息熵不在所述第一阈值范围内,确定存在所述DoS攻击。
4.一种防止网络攻击的装置,其特征在于,所述装置包括:
获取模块,用于当接收到第一数据包时,根据所述第一数据包所属数据流中每个数据包的源IP地址,获取所述数据流的源IP地址的信息熵,所述数据流包括所述第一数据包以及所述第一数据包之前预设个数的数据包;
确定模块,用于根据所述信息熵确定是否存在拒绝服务DoS攻击;
处理模块,用于当存在所述DoS攻击时,通过所述信息熵的大小对所述第一数据包进行防御处理;
所述处理模块用于:
当所述信息熵在预设的第二阈值范围内时,确定所述DoS攻击为轻度攻击;当所述信息熵超过所述第二阈值范围时,确定所述DoS攻击为重度攻击;
当所述DoS攻击为轻度攻击时,通过同步SYN Cookie算法对所述第一数据包进行处理;
当所述DoS攻击为重度攻击时,丢弃所述第一数据包;
所述装置还包括:
数据识别模块,用于当不存在所述DoS攻击时,确定所述第一数据包是否为同步SYN数据包;
匹配模块,用于当所述第一数据包不是SYN数据包时,在同步登记表中查找与所述第一数据包的SYN的序列号相匹配的记录;
所述匹配模块,还用于当所述同步登记表中存在与所述第一数据包的SYN的序列号相匹配的第一记录时,将所述第一数据包记录在连接跟踪记录表中,并删除所述同步登记表中的所述第一记录;
连接模块,用于根据所述连接跟踪记录表中的所述第一数据包的记录建立连接;
所述处理模块,还用于当所述同步登记表中不存在所述第一记录时,丢弃所述第一数据包;
半连接模块,用于当所述第一数据包是SYN数据包时,确定半连接队列是否为满;
所述处理模块,还用于当所述半连接队列为满时,采用所述SYN Cookie算法对所述第一数据包进行处理;
所述半连接模块,还用于当所述半连接队列不为满时,确认所述第一数据包是否满足匹配规则库中的规则;
所述处理模块,还用于当所述第一数据包不满足所述匹配规则库中的规则时,丢弃所述第一数据包;
同步登记模块,用于当所述第一数据包满足所述匹配规则库中的规则时,在所述同步登记表中查找与所述第一数据包的SYN的序列号相匹配的记录;
所述处理模块,还用于当所述同步登记表中存在与所述第一数据包的SYN的序列号相匹配的所述第一记录时,丢弃所述第一数据包;
所述同步登记模块,还用于当所述同步登记表中不存在第一记录时,在所述同步登记表中记录所述第一数据包的信息。
5.根据权利要求4所述的装置,其特征在于,所述获取模块用于:
根据信息熵计算公式,以及所述数据流中的每个数据包的源IP地址,获取所述数据流的源IP地址的信息熵;
所述信息熵计算公式包括:
其中,H(x)表示所述信息熵,n表示所述数据流中数据包的个数,x i 表示所述数据流的n个数据包中的第i个数据包的源IP地址,p(x i )表示所述第i个数据包的源IP地址出现的概率,其中,n、i为正整数,且i≤n。
6.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-3中任一项所述方法的步骤。
7.一种电子设备,其特征在于,包括:
权利要求6中所述的计算机可读存储介质;以及
一个或者多个处理器,用于执行所述计算机可读存储介质中的程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711286263.3A CN108173812B (zh) | 2017-12-07 | 2017-12-07 | 防止网络攻击的方法、装置、存储介质和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711286263.3A CN108173812B (zh) | 2017-12-07 | 2017-12-07 | 防止网络攻击的方法、装置、存储介质和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108173812A CN108173812A (zh) | 2018-06-15 |
| CN108173812B true CN108173812B (zh) | 2021-05-07 |
Family
ID=62524553
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711286263.3A Active CN108173812B (zh) | 2017-12-07 | 2017-12-07 | 防止网络攻击的方法、装置、存储介质和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108173812B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109561090B (zh) * | 2018-11-30 | 2022-04-26 | 杭州安恒信息技术股份有限公司 | 一种web智能防御方法、装置、设备及可读存储介质 |
| US11005893B2 (en) * | 2018-12-04 | 2021-05-11 | Microsoft Technology Licensing, Llc | Automatic generation of security rules for network micro and nano segmentation |
| CN109617925B (zh) * | 2019-01-29 | 2021-08-27 | 网宿科技股份有限公司 | 一种针对网络攻击的防护、区间标记的设置方法及系统 |
| CN110011983B (zh) * | 2019-03-19 | 2021-02-19 | 中国民航大学 | 一种基于流表特征的拒绝服务攻击检测方法 |
| CN109831461B (zh) * | 2019-03-29 | 2021-10-26 | 新华三信息安全技术有限公司 | 一种分布式拒绝服务DDoS攻击防御方法及装置 |
| CN110324339B (zh) * | 2019-07-02 | 2021-10-08 | 光通天下网络科技股份有限公司 | 基于信息熵的DDoS攻击检测方法、装置和电子设备 |
| CN111107069A (zh) * | 2019-12-09 | 2020-05-05 | 烽火通信科技股份有限公司 | 一种DoS攻击防护方法及装置 |
| CN111181932B (zh) * | 2019-12-18 | 2022-09-27 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
| CN111314323B (zh) * | 2020-01-21 | 2022-07-26 | 江苏艾佳家居用品有限公司 | 一种基于应用层的ddos精确识别方法 |
| CN112019499A (zh) * | 2020-07-15 | 2020-12-01 | 上海趣蕴网络科技有限公司 | 一种握手过程中对连接请求的优化方法和系统 |
| CN113765896B (zh) * | 2021-08-18 | 2023-06-30 | 广东三水合肥工业大学研究院 | 基于人工智能的物联网实现系统及方法 |
| CN116866055B (zh) * | 2023-07-26 | 2024-02-27 | 中科驭数(北京)科技有限公司 | 数据泛洪攻击的防御方法、装置、设备及介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599957A (zh) * | 2009-06-04 | 2009-12-09 | 东软集团股份有限公司 | 一种syn洪水攻击的防御方法和装置 |
| CN104113519A (zh) * | 2013-04-16 | 2014-10-22 | 阿里巴巴集团控股有限公司 | 网络攻击检测方法及其装置 |
| CN104202336A (zh) * | 2014-09-22 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种基于信息熵的DDoS攻击检测方法 |
| CN105049276A (zh) * | 2015-05-29 | 2015-11-11 | 北京东方棱镜科技有限公司 | 对广域网流量行为进行监测管理的方法和装置 |
| CN106330906A (zh) * | 2016-08-23 | 2017-01-11 | 上海海事大学 | 一种大数据环境下的DDoS攻击检测方法 |
| CN106357673A (zh) * | 2016-10-19 | 2017-01-25 | 中国科学院信息工程研究所 | 一种多租户云计算系统DDoS攻击检测方法及系统 |
| CN106453419A (zh) * | 2016-12-07 | 2017-02-22 | 东软集团股份有限公司 | 识别源ip地址合法性、网络攻击防御的方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100531213C (zh) * | 2006-03-20 | 2009-08-19 | 赵洪宇 | 一种抵御拒绝服务攻击事件的网络安全保护方法 |
| CN101175013B (zh) * | 2006-11-03 | 2012-07-04 | 飞塔公司 | 一种拒绝服务攻击防护方法、网络系统和代理服务器 |
| KR20110067264A (ko) * | 2009-12-14 | 2011-06-22 | 성균관대학교산학협력단 | 네트워크 이상징후 탐지장치 및 방법 |
| CN106685930B (zh) * | 2016-12-06 | 2020-03-31 | 深信服科技股份有限公司 | 一种传输控制协议选项的处理方法及装置 |
-
2017
- 2017-12-07 CN CN201711286263.3A patent/CN108173812B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599957A (zh) * | 2009-06-04 | 2009-12-09 | 东软集团股份有限公司 | 一种syn洪水攻击的防御方法和装置 |
| CN104113519A (zh) * | 2013-04-16 | 2014-10-22 | 阿里巴巴集团控股有限公司 | 网络攻击检测方法及其装置 |
| CN104202336A (zh) * | 2014-09-22 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种基于信息熵的DDoS攻击检测方法 |
| CN105049276A (zh) * | 2015-05-29 | 2015-11-11 | 北京东方棱镜科技有限公司 | 对广域网流量行为进行监测管理的方法和装置 |
| CN106330906A (zh) * | 2016-08-23 | 2017-01-11 | 上海海事大学 | 一种大数据环境下的DDoS攻击检测方法 |
| CN106357673A (zh) * | 2016-10-19 | 2017-01-25 | 中国科学院信息工程研究所 | 一种多租户云计算系统DDoS攻击检测方法及系统 |
| CN106453419A (zh) * | 2016-12-07 | 2017-02-22 | 东软集团股份有限公司 | 识别源ip地址合法性、网络攻击防御的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108173812A (zh) | 2018-06-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108173812B (zh) | 防止网络攻击的方法、装置、存储介质和设备 | |
| US6816910B1 (en) | Method and apparatus for limiting network connection resources | |
| US7936682B2 (en) | Detecting malicious attacks using network behavior and header analysis | |
| US8879388B2 (en) | Method and system for intrusion detection and prevention based on packet type recognition in a network | |
| EP1844596B1 (en) | Method and system for mitigating denial of service in a communication network | |
| CN107710680B (zh) | 网络攻击防御策略发送、网络攻击防御的方法和装置 | |
| US8224976B2 (en) | Using a server's capability profile to establish a connection | |
| EP2136526A1 (en) | Method, device for identifying service flows and method, system for protecting against a denial of service attack | |
| US8769681B1 (en) | Methods and system for DMA based distributed denial of service protection | |
| CN110198293B (zh) | 服务器的攻击防护方法、装置、存储介质和电子装置 | |
| US7854000B2 (en) | Method and system for addressing attacks on a computer connected to a network | |
| US10505952B2 (en) | Attack detection device, attack detection method, and attack detection program | |
| US7404210B2 (en) | Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs | |
| CN110266678B (zh) | 安全攻击检测方法、装置、计算机设备及存储介质 | |
| WO2021082834A1 (zh) | 报文处理方法、装置、设备及计算机可读存储介质 | |
| CN111314328A (zh) | 网络攻击防护方法、装置、存储介质及电子设备 | |
| CN106487790B (zh) | 一种ack flood攻击的清洗方法及系统 | |
| Nagai et al. | Design and implementation of an openflow-based tcp syn flood mitigation | |
| US11616796B2 (en) | System and method to protect resource allocation in stateful connection managers | |
| US11431750B2 (en) | Detecting and mitigating application layer DDoS attacks | |
| Strother | Denial of service protection the nozzle | |
| Oliveira et al. | Investigation of amplification-based DDoS attacks on IoT devices | |
| JP2007074087A (ja) | DDoS攻撃に対する不正アクセス検知システム及びプログラム | |
| CN112565309B (zh) | 报文处理方法、装置、设备以及存储介质 | |
| CN115473680B (zh) | 一种基于在线交互式WEB动态防御的防应用DDoS方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |