CN108390856B - 一种DDoS攻击检测方法、装置及电子设备 - Google Patents
一种DDoS攻击检测方法、装置及电子设备 Download PDFInfo
- Publication number
- CN108390856B CN108390856B CN201810029407.5A CN201810029407A CN108390856B CN 108390856 B CN108390856 B CN 108390856B CN 201810029407 A CN201810029407 A CN 201810029407A CN 108390856 B CN108390856 B CN 108390856B
- Authority
- CN
- China
- Prior art keywords
- attack
- confirmed
- terminal
- statistical information
- terminals
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种DDoS攻击检测方法、装置及电子设备,所述方法包括:获取中央处理器CPU的多个内核各自针对终端设备统计的统计信息;针对所述多个内核中的每个内核,基于该内核的所述统计信息,采用第一预设检测规则,确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端;针对确定出的每个待确认攻击终端,整合该待确认攻击终端的统计信息,得到该待确认攻击终端的整合后统计信息;基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从所述各待确认攻击终端中确定出攻击终端。本发明在DDoS攻击检测过程中,充分利用了CPU的所有内核,资源利用率高,相应地,检测效率也会提高。
Description
技术领域
本发明涉及网络通信技术领域,特别是涉及一种DDoS(Distributed Denial ofService,分布式拒绝服务)攻击检测方法及装置。
背景技术
DDoS攻击指将多个计算机联合起来作为攻击平台,对网络设备发动攻击,使其无法提供正常的服务或资源访问,更有甚者还会使其服务系统停止响应甚至崩溃。随着互联网技术不断融入公众的日常生活,DDoS攻击所带来的危害也越来越严重,因此,进行DDoS攻击检测非常必要。
目前,现有的DDoS攻击检测方法主要是:从网络设备的CPU(Central ProcessingUnit,中央处理器)内核中指定一个内核,使用该内核对整个CPU在单位时间内接收到的不同终端设备发送的网络数据包数量分别进行统计,当某一终端设备发送的网络数据包数量超过预设数值时,则认为该网络设备受到DDoS攻击。
采用上述方法进行DDoS攻击检测时,对资源的利用率较低,检测效率也较低。
发明内容
本发明实施例的目的在于提供一种DDoS攻击检测方法及装置,以解决现有技术中存在的资源利用率低及检测效率低的问题。具体技术方案如下:
第一方面,本发明实施例提供了一种DDoS攻击检测方法,包括:
获取中央处理器CPU的多个内核各自针对终端设备统计的统计信息,一个内核针对一个终端设备的所述统计信息为,该内核单位时间内接收到的来自该终端设备的网络数据包的统计信息;
针对所述多个内核中的每个内核,基于该内核的所述统计信息,采用第一预设检测规则,确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端;
针对确定出的每个待确认攻击终端,整合该待确认攻击终端的统计信息,得到该待确认攻击终端的整合后统计信息;
基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从所述各待确认攻击终端中确定出攻击终端。
进一步的,所述统计信息包括网络数据包的数量和/或网络数据包的数据量。
进一步的,所述基于该内核的所述统计信息,采用第一预设检测规则,确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端,包括:
针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备,判断该内核的该终端设备的所述统计信息与第一预设统计阈值的大小关系;
当该内核的该终端设备的所述统计信息大于所述第一预设统计阈值时,将该终端设备确定为待确认攻击终端。
进一步的,所述基于该内核的所述统计信息,采用第一预设检测规则,确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端,包括:
针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备,判断该内核的该终端设备的所述统计信息与第一预设统计阈值的大小关系;
当该内核的该终端设备的所述统计信息大于所述第一预设统计阈值时,将该终端设备确定为候选待确认攻击终端;
从所述候选待确认攻击终端中,确定出所述统计信息从大到小的前指定数量个候选待确认攻击终端,作为待确认攻击终端。
进一步的,所述统计信息包括网络数据包的数量和网络数据包的数据量;
所述基于该内核的所述统计信息,采用第一预设检测规则,确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端,包括:
针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备,分别判断该内核的该终端设备的所述网络数据包的数量与第一预设数量阈值的大小关系、该内核的该终端设备的所述网络数据包的数据量与第一预设数据量阈值的大小关系;
当该内核的该终端设备的所述网络数据包的数量大于所述第一预设数量阈值,且该内核的该终端设备的所述网络数据包的数据量大于所述第一预设数据量阈值时,将该终端设备确定为候选待确认攻击终端;
从所述候选待确认攻击终端中,确定出所述网络数据包的数量从大到小的前指定数量个候选待确认攻击终端,作为待确认攻击终端;
或者
从所述候选待确认攻击终端中,确定出所述网络数据包的数据量从大到小的前指定数量个候选待确认攻击终端,作为待确认攻击终端。
进一步的,所述基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从所述各待确认攻击终端中确定出攻击终端,包括:
针对每个待确认攻击终端,判断该待确认攻击终端的所述整合后统计信息与第二预设统计阈值的大小关系;
当该待确认攻击终端的所述整合后统计信息大于所述第二预设统计阈值时,将该待确认攻击终端确定为攻击终端。
进一步的,所述基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从所述各待确认攻击终端中确定出攻击终端,包括:
针对每个待确认攻击终端,判断该待确认攻击终端的所述整合后统计信息与第二预设统计阈值的大小关系;
当该待确认攻击终端的所述整合后统计信息大于所述第二预设统计阈值时,将该待确认攻击终端确定为候选攻击终端;
从所述候选攻击终端中,确定出所述整合后统计信息从大到小的前指定数量个候选攻击终端,作为攻击终端。
进一步的,所述整合后统计信息包括整合后网络数据包的数量和整合后网络数据包的数据量;
所述基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从所述各待确认攻击终端中确定出攻击终端,包括:
针对每个待确认攻击终端,分别判断该待确认攻击终端的所述整合后网络数据包的数量与第二预设数量阈值的大小关系、该待确认攻击终端的所述整合后网络数据包的数据量与第二预设数据量阈值的大小关系;
当该待确认攻击终端的所述整合后网络数据包的数量大于所述第二预设数量阈值,且该待确认攻击终端的所述整合后网络数据包的数据量大于所述第二预设数据量阈值时,将该待确认攻击终端确定为候选攻击终端;
从所述候选攻击终端中,确定出所述整合后网络数据包的数量从大到小的前指定数量个候选攻击终端,作为攻击终端;
或者
从所述候选攻击终端中,确定出所述整合后网络数据包的数据量从大到小的前指定数量个候选攻击终端,作为攻击终端。
第二方面,本发明实施例提供了一种DDoS攻击检测装置,包括:
信息获取模块,用于获取中央处理器CPU的多个内核各自针对终端设备统计的统计信息,一个内核针对一个终端设备的所述统计信息为,该内核单位时间内接收到的来自该终端设备的网络数据包的统计信息;
第一确认模块,用于针对所述多个内核中的每个内核,基于该内核的所述统计信息,采用第一预设检测规则,确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端;
信息整合模块,用于针对确定出的每个待确认攻击终端,整合该待确认攻击终端的统计信息,得到该待确认攻击终端的整合后统计信息;
第二确认模块,用于基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从所述各待确认攻击终端中确定出攻击终端。
进一步的,所述统计信息包括网络数据包的数量和/或网络数据包的数据量。
进一步的,所述第一确认模块,具体用于针对所述多个内核中的每个内核,针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备,判断该内核的该终端设备的所述统计信息与第一预设统计阈值的大小关系;当该内核的该终端设备的所述统计信息大于所述第一预设统计阈值时,将该终端设备确定为待确认攻击终端。
进一步的,所述第一确认模块,具体用于针对所述多个内核中的每个内核,针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备,判断该内核的该终端设备的所述统计信息与第一预设统计阈值的大小关系;当该内核的该终端设备的所述统计信息大于所述第一预设统计阈值时,将该终端设备确定为候选待确认攻击终端;从所述候选待确认攻击终端中,确定出所述统计信息从大到小的前指定数量个候选待确认攻击终端,作为待确认攻击终端。
进一步的,所述统计信息包括网络数据包的数量和网络数据包的数据量;
所述第一确认模块,具体用于针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备,分别判断该内核的该终端设备的所述网络数据包的数量与第一预设数量阈值的大小关系、该内核的该终端设备的所述网络数据包的数据量与第一预设数据量阈值的大小关系;当该内核的该终端设备的所述网络数据包的数量大于所述第一预设数量阈值,且该内核的该终端设备的所述网络数据包的数据量大于所述第一预设数据量阈值时,将该终端设备确定为候选待确认攻击终端;从所述候选待确认攻击终端中,确定出所述网络数据包的数量从大到小的前指定数量个候选待确认攻击终端,作为待确认攻击终端;或者,从所述候选待确认攻击终端中,确定出所述网络数据包的数据量从大到小的前指定数量个候选待确认攻击终端,作为待确认攻击终端。
进一步的,所述第二确认模块,具体用于针对每个待确认攻击终端,判断该待确认攻击终端的所述整合后统计信息与第二预设统计阈值的大小关系;当该待确认攻击终端的所述整合后统计信息大于所述第二预设统计阈值时,将该待确认攻击终端确定为攻击终端。
进一步的,所述第二确认模块,具体用于针对每个待确认攻击终端,判断该待确认攻击终端的所述整合后统计信息与第二预设统计阈值的大小关系;当该待确认攻击终端的所述整合后统计信息大于所述第二预设统计阈值时,将该待确认攻击终端确定为候选攻击终端;从所述候选攻击终端中,确定出所述整合后统计信息从大到小的前指定数量个候选攻击终端,作为攻击终端。
进一步的,所述整合后统计信息包括整合后网络数据包的数量和整合后网络数据包的数据量;
所述第二确认模块,具体用于针对每个待确认攻击终端,分别判断该待确认攻击终端的所述整合后网络数据包的数量与第二预设数量阈值的大小关系、该待确认攻击终端的所述整合后网络数据包的数据量与第二预设数据量阈值的大小关系;当该待确认攻击终端的所述整合后网络数据包的数量大于所述第二预设数量阈值,且该待确认攻击终端的所述整合后网络数据包的数据量大于所述第二预设数据量阈值时,将该待确认攻击终端确定为候选攻击终端;从所述候选攻击终端中,确定出所述整合后网络数据包的数量从大到小的前指定数量个候选攻击终端,作为攻击终端;或者,从所述候选攻击终端中,确定出所述整合后网络数据包的数据量从大到小的前指定数量个候选攻击终端,作为攻击终端。
第三方面,本发明实施例提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述任一DDoS攻击检测方法的步骤。
第四方面,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述任一所述的DDoS攻击检测方法。
第五方面,本发明实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述任一所述的DDoS攻击检测方法。
本发明实施例提供的一种DDoS攻击检测方法、装置及电子设备,获取中央处理器CPU的多个内核各自针对终端设备统计的统计信息;针对所述多个内核中的每个内核,基于该内核的所述统计信息,采用第一预设检测规则,确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端;针对确定出的每个待确认攻击终端,整合该待确认攻击终端的统计信息,得到该待确认攻击终端的整合后统计信息;基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从所述各待确认攻击终端中确定出攻击终端。本发明在DDoS攻击检测过程中,充分利用了CPU的所有内核,资源利用率高,相应地,检测效率也会提高。
当然,实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1为本发明一个实施例提供的DDoS攻击检测方法的流程示意图;
图2为本发明另一个实施例提供的DDoS攻击检测方法的流程示意图;
图3为本发明另一个实施例提供的DDoS攻击检测装置的结构示意图;
图4为本发明一个实施例提供的电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
图1为本发明一个实施例提供的DDoS攻击检测方法的流程示意图,包括:
步骤101,获取中央处理器CPU的多个内核各自针对终端设备统计的统计信息,一个内核针对一个终端设备的统计信息为,该内核单位时间内接收到的来自该终端设备的网络数据包的统计信息。
步骤102,针对多个内核中的每个内核,基于该内核的统计信息,采用第一预设检测规则,确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端。
步骤103,针对确定出的每个待确认攻击终端,整合该待确认攻击终端的统计信息,得到该待确认攻击终端的整合后统计信息。
步骤104,基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从各待确认攻击终端中确定出攻击终端。
在本发明实施例提供的图1所示的DDoS攻击检测方法中,通过获取中央处理器CPU的多个内核各自针对终端设备统计的统计信息;针对多个内核中的每个内核,基于该内核的统计信息,采用第一预设检测规则,确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端;针对确定出的每个待确认攻击终端,整合该待确认攻击终端的统计信息,得到该待确认攻击终端的整合后统计信息;基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从各待确认攻击终端中确定出攻击终端。本发明在DDoS攻击检测过程中,充分利用了CPU的所有内核,资源利用率高,相应地,检测效率也会提高。
上述步骤101中,一个内核针对一个终端设备的统计信息为,该内核单位时间内接收到的来自该终端设备的网络数据包的统计信息。其中,网络数据包的统计信息,可以为能够表征网络数据包大小的属性信息,例如,可以包括网络数据包的数量,也可以包括网络数据包的数据量,还可以既包括网络数据包的数量,还包括网络数据包的数据量。
在上述步骤102中,第一预设检测规则的作用为确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端。第一预设检测规则可以是当该内核单位时间接收到的来自某终端设备的网络数据包的统计信息(如网络数据包的数据量或者网络数据包的数量)的大小满足指定预设条件时,判断该终端设备为该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端。
在上述步骤104中,第二预设检测规则的作用为从待确认攻击终端中确定出攻击终端。第二预设检测规则可以是当某待确认攻击终端的整合后统计信息(如网络数据包的数据量或者网络数据包的数量)的大小满足一定条件时,判断为该待确认攻击终端为攻击终端。
下面结合附图,对本发明实施例提供的DDoS攻击检测方法、装置及电子设备进行详细描述。
如附图2所示,本发明实施例提供一种DDoS攻击检测方法,具体包括如下步骤:
步骤201,获取中央处理器CPU的多个内核各自针对终端设备统计的统计信息,一个内核针对一个终端设备的统计信息为,该内核单位时间内接收到的来自该终端设备的网络数据包的统计信息。
本步骤中,统计信息可以网络数据包的数量或者网络数据包的数据量中的一项,也可以同时包括网络数据包的数量和网络数据包的数据量。
步骤202,针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备,判断该内核的该终端设备的统计信息与第一预设统计阈值的大小关系。
步骤203,当该内核的该终端设备的统计信息大于第一预设统计阈值时,将该终端设备确定为待确认攻击终端。
在本实施例中,可以基于上述步骤201中的各内核的统计信息,将其与第一预设统计阈值进行比较,具体可以如下:
当各内核的统计信息为各内核收到的来自各终端设备的网络数据包的数量时,针对每个内核接收到的网络数据包所来自的各终端设备的每个终端设备,判断该内核的该终端设备的网络数据包的数量与第一预设数量阈值的大小关系,当该内核的该终端设备的网络数据包的数量大于第一预设数量阈值时,将该终端设备确定为待确认攻击终端;
当各内核的统计信息为各内核收到的来自各终端设备的网络数据包的数据量时,针对每个内核接收到的网络数据包所来自的各终端设备的每个终端设备,判断该内核的该终端设备的网络数据包的数据量与第一预设数据量阈值的大小关系,当该内核的该终端设备的网络数据包的数据量大于第一预设数据量阈值时,将该终端设备确定为待确认攻击终端。
进一步的,在本发明的另一实施例中,可以将上述步骤202和步骤203替换为下述方法:
针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备,判断该内核的该终端设备的统计信息与第一预设统计阈值的大小关系;
当该内核的该终端设备的统计信息大于第一预设统计阈值时,将该终端设备确定为候选待确认攻击终端;
从候选待确认攻击终端中,确定出统计信息从大到小的前指定数量个候选待确认攻击终端,作为待确认攻击终端。
进一步的,针对于统计信息包括网络数据包的数量和网络数据包的数据量的情况,具体可以通过如下方法确定待确认攻击终端:
针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备,分别判断该内核的该终端设备的网络数据包的数量与第一预设数量阈值的大小关系、该内核的该终端设备的网络数据包的数据量与第一预设数据量阈值的大小关系;
当该内核的该终端设备的网络数据包的数量大于第一预设数量阈值,且该内核的该终端设备的网络数据包的数据量大于第一预设数据量阈值时,将该终端设备确定为候选待确认攻击终端;
从候选待确认攻击终端中,确定出网络数据包的数量从大到小的前指定数量个候选待确认攻击终端,作为待确认攻击终端;
或者
从候选待确认攻击终端中,确定出网络数据包的数据量从大到小的前指定数量个候选待确认攻击终端,作为待确认攻击终端。
步骤204,针对确定出的每个待确认攻击终端,整合该待确认攻击终端的统计信息,得到该待确认攻击终端的整合后统计信息。
步骤203确定了待确认攻击终端后,获得的统计信息为CPU的多个内核各自针对不同待确认攻击终端的统计信息,也就是说,针对于某个待确认攻击终端而言,获得的是该待确认攻击终端分别向不同内核发送的网络数据包的统计信息,因此,本步骤中,需要对将同一待确认攻击终端向不同内核发送的网络数据包的统计信息进行整合,得到该待确认攻击终端的整合后统计信息。
步骤205,基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从各待确认攻击终端中确定出攻击终端。
本步骤中,基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从各待确认攻击终端中确定出攻击终端,可以具体采用如下方法:
针对每个待确认攻击终端,判断该待确认攻击终端的整合后统计信息与第二预设统计阈值的大小关系;
当该待确认攻击终端的整合后统计信息大于第二预设统计阈值时,将该待确认攻击终端确定为攻击终端。
进一步的,基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从各待确认攻击终端中确定出攻击终端,还可以采用如下方法:
针对每个待确认攻击终端,判断该待确认攻击终端的整合后统计信息与第二预设统计阈值的大小关系;
当该待确认攻击终端的整合后统计信息大于第二预设统计阈值时,将该待确认攻击终端确定为候选攻击终端;
从候选攻击终端中,确定出整合后统计信息从大到小的前指定数量个候选攻击终端,作为攻击终端。
针对于整合后统计信息包括整合后网络数据包的数量和整合后网络数据包的数据量的情况,可以采用如下方法,从各待确认攻击终端中确定出攻击终端:
针对每个待确认攻击终端,分别判断该待确认攻击终端的整合后网络数据包的数量与第二预设数量阈值的大小关系、该待确认攻击终端的整合后网络数据包的数据量与第二预设数据量阈值的大小关系;
当该待确认攻击终端的整合后网络数据包的数量大于第二预设数量阈值,且该待确认攻击终端的整合后网络数据包的数据量大于第二预设数据量阈值时,将该待确认攻击终端确定为候选攻击终端;
从候选攻击终端中,确定出整合后网络数据包的数量从大到小的前指定数量个候选攻击终端,作为攻击终端;
或者
从候选攻击终端中,确定出整合后网络数据包的数据量从大到小的前指定数量个候选攻击终端,作为攻击终端。
在本发明实施例中,首先获取了中央处理器CPU的多个内核各自针对终端设备统计的统计信息;然后针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备,判断该内核的该终端设备的统计信息与第一预设统计阈值的大小关系;当该内核的该终端设备的统计信息大于第一预设统计阈值时,将该终端设备确定为待确认攻击终端;针对确定出的每个待确认攻击终端,整合该待确认攻击终端的统计信息,得到该待确认攻击终端的整合后统计信息;最后再基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从各待确认攻击终端中确定出攻击终端。本发明在DDoS攻击检测过程中,充分利用了CPU的所有内核,资源利用率高,相应地,检测效率也会提高。
基于同一发明构思,根据本发明上述实施例提供的DDoS攻击检测方法,相应地,本发明一个实施例还提供了一种DDoS攻击检测装置,其结构示意图如图3所示,包括:
信息获取模块301,用于获取中央处理器CPU的多个内核各自针对终端设备统计的统计信息,一个内核针对一个终端设备的统计信息为,该内核单位时间内接收到的来自该终端设备的网络数据包的统计信息;
第一确认模块302,用于针对多个内核中的每个内核,基于该内核的统计信息,采用第一预设检测规则,确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端;
信息整合模块303,用于针对确定出的每个待确认攻击终端,整合该待确认攻击终端的统计信息,得到该待确认攻击终端的整合后统计信息;
第二确认模块304,用于基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从各待确认攻击终端中确定出攻击终端。
进一步的,统计信息包括网络数据包的数量和/或网络数据包的数据量。
进一步的,第一确认模块302,具体用于针对多个内核中的每个内核,针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备,判断该内核的该终端设备的统计信息与第一预设统计阈值的大小关系;当该内核的该终端设备的统计信息大于第一预设统计阈值时,将该终端设备确定为待确认攻击终端。
进一步的,第一确认模块302,具体用于针对多个内核中的每个内核,针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备,判断该内核的该终端设备的统计信息与第一预设统计阈值的大小关系;当该内核的该终端设备的统计信息大于第一预设统计阈值时,将该终端设备确定为候选待确认攻击终端;从候选待确认攻击终端中,确定出统计信息从大到小的前指定数量个候选待确认攻击终端,作为待确认攻击终端。
进一步的,统计信息包括网络数据包的数量和网络数据包的数据量;
第一确认模块302,具体用于针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备,分别判断该内核的该终端设备的网络数据包的数量与第一预设数量阈值的大小关系、该内核的该终端设备的网络数据包的数据量与第一预设数据量阈值的大小关系;当该内核的该终端设备的网络数据包的数量大于第一预设数量阈值,且该内核的该终端设备的网络数据包的数据量大于第一预设数据量阈值时,将该终端设备确定为候选待确认攻击终端;从候选待确认攻击终端中,确定出网络数据包的数量从大到小的前指定数量个候选待确认攻击终端,作为待确认攻击终端;或者,从候选待确认攻击终端中,确定出网络数据包的数据量从大到小的前指定数量个候选待确认攻击终端,作为待确认攻击终端。
进一步的,第二确认模块304,具体用于针对每个待确认攻击终端,判断该待确认攻击终端的整合后统计信息与第二预设统计阈值的大小关系;当该待确认攻击终端的整合后统计信息大于第二预设统计阈值时,将该待确认攻击终端确定为攻击终端。
进一步的,第二确认模块304,具体用于针对每个待确认攻击终端,判断该待确认攻击终端的整合后统计信息与第二预设统计阈值的大小关系;当该待确认攻击终端的整合后统计信息大于第二预设统计阈值时,将该待确认攻击终端确定为候选攻击终端;从候选攻击终端中,确定出整合后统计信息从大到小的前指定数量个候选攻击终端,作为攻击终端。
进一步的,整合后统计信息包括整合后网络数据包的数量和整合后网络数据包的数据量;
第二确认模块304,具体用于针对每个待确认攻击终端,分别判断该待确认攻击终端的整合后网络数据包的数量与第二预设数量阈值的大小关系、该待确认攻击终端的整合后网络数据包的数据量与第二预设数据量阈值的大小关系;当该待确认攻击终端的整合后网络数据包的数量大于第二预设数量阈值,且该待确认攻击终端的整合后网络数据包的数据量大于第二预设数据量阈值时,将该待确认攻击终端确定为候选攻击终端;从候选攻击终端中,确定出整合后网络数据包的数量从大到小的前指定数量个候选攻击终端,作为攻击终端;或者,从候选攻击终端中,确定出整合后网络数据包的数据量从大到小的前指定数量个候选攻击终端,作为攻击终端。
上述各模块的功能可对应于图1和图2所示流程中的相应处理步骤,在此不再赘述。
本发明实施例提供的DDoS攻击检测装置中,首先由信息获取模块301获取中央处理器CPU的多个内核各自针对终端设备统计的统计信息;然后由第一确认模块302针对多个内核中的每个内核,基于该内核的统计信息,采用第一预设检测规则,确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端;再由信息整合模块303针对确定出的每个待确认攻击终端,整合该待确认攻击终端的统计信息,得到该待确认攻击终端的整合后统计信息;最后由第二确认模块304基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从各待确认攻击终端中确定出攻击终端。本发明在DDoS攻击检测过程中,充分利用了CPU的所有内核,资源利用率高,相应地,检测效率也会提高。
基于同一发明构思,根据本发明上述实施例提供的DDoS攻击检测方法,相应地,本发明实施例还提供了一种电子设备,如图4所示,包括处理器401、通信接口402、存储器403和通信总线404,其中,处理器401,通信接口402,存储器403通过通信总线404完成相互间的通信,
存储器403,用于存放计算机程序;
处理器401,用于执行存储器403上所存放的程序时,实现本发明实施例提供的上述DDoS攻击检测方法。
例如,可以包括如下步骤:
获取中央处理器CPU的多个内核各自针对终端设备统计的统计信息,一个内核针对一个终端设备的统计信息为,该内核单位时间内接收到的来自该终端设备的网络数据包的统计信息;
针对多个内核中的每个内核,基于该内核的统计信息,采用第一预设检测规则,确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端;
针对确定出的每个待确认攻击终端,整合该待确认攻击终端的统计信息,得到该待确认攻击终端的整合后统计信息;
基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从各待确认攻击终端中确定出攻击终端。
进一步的,还可以包括本发明实施例提供的上述DDoS攻击检测方法中的其他处理流程,在此不再进行详细描述。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本发明实施例提供的DDoS攻击检测电子设备中,其采用的DDoS攻击检测方法为:获取中央处理器CPU的多个内核各自针对终端设备统计的统计信息;针对多个内核中的每个内核,基于该内核的统计信息,采用第一预设检测规则,确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端;针对确定出的每个待确认攻击终端,整合该待确认攻击终端的统计信息,得到该待确认攻击终端的整合后统计信息;基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从各待确认攻击终端中确定出攻击终端。本发明在DDoS攻击检测过程中,充分利用了CPU的所有内核,资源利用率高,相应地,检测效率也会提高。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一上述的DDoS攻击检测方法。
本发明实施例提供的计算机可读存储介质中,其采用的DDoS攻击检测方法为:获取中央处理器CPU的多个内核各自针对终端设备统计的统计信息;针对多个内核中的每个内核,基于该内核的统计信息,采用第一预设检测规则,确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端;针对确定出的每个待确认攻击终端,整合该待确认攻击终端的统计信息,得到该待确认攻击终端的整合后统计信息;基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从各待确认攻击终端中确定出攻击终端。本发明在DDoS攻击检测过程中,充分利用了CPU的所有内核,资源利用率高,相应地,检测效率也会提高。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一上述的DDoS攻击检测方法。
本发明实施例提供的包含指令的计算机程序产品中,其采用的DDoS攻击检测方法为:获取中央处理器CPU的多个内核各自针对终端设备统计的统计信息;针对多个内核中的每个内核,基于该内核的统计信息,采用第一预设检测规则,确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端;针对确定出的每个待确认攻击终端,整合该待确认攻击终端的统计信息,得到该待确认攻击终端的整合后统计信息;基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从各待确认攻击终端中确定出攻击终端。本发明在DDoS攻击检测过程中,充分利用了CPU的所有内核,资源利用率高,相应地,检测效率也会提高。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行上述计算机程序指令时,全部或部分地产生按照本发明实施例上述的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。上述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。上述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置和电子设备实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (17)
1.一种分布式拒绝服务DDoS攻击检测方法,其特征在于,包括:
获取中央处理器CPU的多个内核各自针对终端设备统计的统计信息,一个内核针对一个终端设备的所述统计信息为,该内核单位时间内接收到的来自该终端设备的网络数据包的统计信息;
针对所述多个内核中的每个内核,基于该内核的所述统计信息,采用第一预设检测规则,确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端;
针对确定出的每个待确认攻击终端,整合该待确认攻击终端的统计信息,得到该待确认攻击终端的整合后统计信息;
基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从所述各待确认攻击终端中确定出攻击终端。
2.根据权利要求1所述的方法,其特征在于,所述统计信息包括网络数据包的数量和/或网络数据包的数据量。
3.根据权利要求1所述的方法,其特征在于,所述基于该内核的所述统计信息,采用第一预设检测规则,确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端,包括:
针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备,判断该内核的该终端设备的所述统计信息与第一预设统计阈值的大小关系;
当该内核的该终端设备的所述统计信息大于所述第一预设统计阈值时,将该终端设备确定为待确认攻击终端。
4.根据权利要求1所述的方法,其特征在于,所述基于该内核的所述统计信息,采用第一预设检测规则,确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端,包括:
针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备,判断该内核的该终端设备的所述统计信息与第一预设统计阈值的大小关系;
当该内核的该终端设备的所述统计信息大于所述第一预设统计阈值时,将该终端设备确定为候选待确认攻击终端;
从所述候选待确认攻击终端中,确定出所述统计信息从大到小的前指定数量个候选待确认攻击终端,作为待确认攻击终端。
5.根据权利要求1所述的方法,其特征在于,所述统计信息包括网络数据包的数量和网络数据包的数据量;
所述基于该内核的所述统计信息,采用第一预设检测规则,确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端,包括:
针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备,分别判断该内核的该终端设备的所述网络数据包的数量与第一预设数量阈值的大小关系、该内核的该终端设备的所述网络数据包的数据量与第一预设数据量阈值的大小关系;
当该内核的该终端设备的所述网络数据包的数量大于所述第一预设数量阈值,且该内核的该终端设备的所述网络数据包的数据量大于所述第一预设数据量阈值时,将该终端设备确定为候选待确认攻击终端;
从所述候选待确认攻击终端中,确定出所述网络数据包的数量从大到小的前指定数量个候选待确认攻击终端,作为待确认攻击终端;
或者
从所述候选待确认攻击终端中,确定出所述网络数据包的数据量从大到小的前指定数量个候选待确认攻击终端,作为待确认攻击终端。
6.根据权利要求1所述的方法,其特征在于,所述基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从所述各待确认攻击终端中确定出攻击终端,包括:
针对每个待确认攻击终端,判断该待确认攻击终端的所述整合后统计信息与第二预设统计阈值的大小关系;
当该待确认攻击终端的所述整合后统计信息大于所述第二预设统计阈值时,将该待确认攻击终端确定为攻击终端。
7.根据权利要求1所述的方法,其特征在于,所述基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从所述各待确认攻击终端中确定出攻击终端,包括:
针对每个待确认攻击终端,判断该待确认攻击终端的所述整合后统计信息与第二预设统计阈值的大小关系;
当该待确认攻击终端的所述整合后统计信息大于所述第二预设统计阈值时,将该待确认攻击终端确定为候选攻击终端;
从所述候选攻击终端中,确定出所述整合后统计信息从大到小的前指定数量个候选攻击终端,作为攻击终端。
8.根据权利要求1所述的方法,其特征在于,所述整合后统计信息包括整合后网络数据包的数量和整合后网络数据包的数据量;
所述基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从所述各待确认攻击终端中确定出攻击终端,包括:
针对每个待确认攻击终端,分别判断该待确认攻击终端的所述整合后网络数据包的数量与第二预设数量阈值的大小关系、该待确认攻击终端的所述整合后网络数据包的数据量与第二预设数据量阈值的大小关系;
当该待确认攻击终端的所述整合后网络数据包的数量大于所述第二预设数量阈值,且该待确认攻击终端的所述整合后网络数据包的数据量大于所述第二预设数据量阈值时,将该待确认攻击终端确定为候选攻击终端;
从所述候选攻击终端中,确定出所述整合后网络数据包的数量从大到小的前指定数量个候选攻击终端,作为攻击终端;
或者
从所述候选攻击终端中,确定出所述整合后网络数据包的数据量从大到小的前指定数量个候选攻击终端,作为攻击终端。
9.一种分布式拒绝服务DDoS攻击检测装置,其特征在于,包括:
信息获取模块,用于获取中央处理器CPU的多个内核各自针对终端设备统计的统计信息,一个内核针对一个终端设备的所述统计信息为,该内核单位时间内接收到的来自该终端设备的网络数据包的统计信息;
第一确认模块,用于针对所述多个内核中的每个内核,基于该内核的所述统计信息,采用第一预设检测规则,确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端;
信息整合模块,用于针对确定出的每个待确认攻击终端,整合该待确认攻击终端的统计信息,得到该待确认攻击终端的整合后统计信息;
第二确认模块,用于基于各待确认攻击终端的整合后统计信息,采用第二预设检测规则,从所述各待确认攻击终端中确定出攻击终端。
10.根据权利要求9所述的装置,其特征在于,所述统计信息包括网络数据包的数量和/或网络数据包的数据量。
11.根据权利要求9所述的装置,其特征在于,所述第一确认模块,具体用于针对所述多个内核中的每个内核,针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备,判断该内核的该终端设备的所述统计信息与第一预设统计阈值的大小关系;当该内核的该终端设备的所述统计信息大于所述第一预设统计阈值时,将该终端设备确定为待确认攻击终端。
12.根据权利要求9所述的装置,其特征在于,所述第一确认模块,具体用于针对所述多个内核中的每个内核,针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备,判断该内核的该终端设备的所述统计信息与第一预设统计阈值的大小关系;当该内核的该终端设备的所述统计信息大于所述第一预设统计阈值时,将该终端设备确定为候选待确认攻击终端;从所述候选待确认攻击终端中,确定出所述统计信息从大到小的前指定数量个候选待确认攻击终端,作为待确认攻击终端。
13.根据权利要求9所述的装置,其特征在于,所述统计信息包括网络数据包的数量和网络数据包的数据量;
所述第一确认模块,具体用于针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备,分别判断该内核的该终端设备的所述网络数据包的数量与第一预设数量阈值的大小关系、该内核的该终端设备的所述网络数据包的数据量与第一预设数据量阈值的大小关系;当该内核的该终端设备的所述网络数据包的数量大于所述第一预设数量阈值,且该内核的该终端设备的所述网络数据包的数据量大于所述第一预设数据量阈值时,将该终端设备确定为候选待确认攻击终端;从所述候选待确认攻击终端中,确定出所述网络数据包的数量从大到小的前指定数量个候选待确认攻击终端,作为待确认攻击终端;或者,从所述候选待确认攻击终端中,确定出所述网络数据包的数据量从大到小的前指定数量个候选待确认攻击终端,作为待确认攻击终端。
14.根据权利要求9所述的装置,其特征在于,所述第二确认模块,具体用于针对每个待确认攻击终端,判断该待确认攻击终端的所述整合后统计信息与第二预设统计阈值的大小关系;当该待确认攻击终端的所述整合后统计信息大于所述第二预设统计阈值时,将该待确认攻击终端确定为攻击终端。
15.根据权利要求9所述的装置,其特征在于,所述第二确认模块,具体用于针对每个待确认攻击终端,判断该待确认攻击终端的所述整合后统计信息与第二预设统计阈值的大小关系;当该待确认攻击终端的所述整合后统计信息大于所述第二预设统计阈值时,将该待确认攻击终端确定为候选攻击终端;从所述候选攻击终端中,确定出所述整合后统计信息从大到小的前指定数量个候选攻击终端,作为攻击终端。
16.根据权利要求9所述的装置,其特征在于,所述整合后统计信息包括整合后网络数据包的数量和整合后网络数据包的数据量;
所述第二确认模块,具体用于针对每个待确认攻击终端,分别判断该待确认攻击终端的所述整合后网络数据包的数量与第二预设数量阈值的大小关系、该待确认攻击终端的所述整合后网络数据包的数据量与第二预设数据量阈值的大小关系;当该待确认攻击终端的所述整合后网络数据包的数量大于所述第二预设数量阈值,且该待确认攻击终端的所述整合后网络数据包的数据量大于所述第二预设数据量阈值时,将该待确认攻击终端确定为候选攻击终端;从所述候选攻击终端中,确定出所述整合后网络数据包的数量从大到小的前指定数量个候选攻击终端,作为攻击终端;或者,从所述候选攻击终端中,确定出所述整合后网络数据包的数据量从大到小的前指定数量个候选攻击终端,作为攻击终端。
17.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-8任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810029407.5A CN108390856B (zh) | 2018-01-12 | 2018-01-12 | 一种DDoS攻击检测方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810029407.5A CN108390856B (zh) | 2018-01-12 | 2018-01-12 | 一种DDoS攻击检测方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108390856A CN108390856A (zh) | 2018-08-10 |
| CN108390856B true CN108390856B (zh) | 2020-09-18 |
Family
ID=63076114
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810029407.5A Active CN108390856B (zh) | 2018-01-12 | 2018-01-12 | 一种DDoS攻击检测方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108390856B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109327441B (zh) * | 2018-10-10 | 2021-01-05 | 光通天下网络科技股份有限公司 | 分布式DDoS防御系统的攻击数据整合方法、整合装置和电子设备 |
| CN109696892A (zh) * | 2018-12-21 | 2019-04-30 | 上海瀚之友信息技术服务有限公司 | 一种安全自动化系统及其控制方法 |
| CN110266726B (zh) * | 2019-07-08 | 2021-07-20 | 新华三信息安全技术有限公司 | 一种识别ddos攻击数据流的方法及装置 |
| CN110545291B (zh) * | 2019-09-29 | 2022-02-11 | 东软集团股份有限公司 | 一种攻击报文的防御方法、多核转发系统及相关产品 |
| CN110958245B (zh) * | 2019-11-29 | 2022-03-04 | 广州市百果园信息技术有限公司 | 一种攻击的检测方法、装置、设备和存储介质 |
| CN114629694B (zh) * | 2022-02-28 | 2024-01-19 | 天翼安全科技有限公司 | 一种分布式拒绝服务DDoS的检测方法及相关装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016039491A1 (ko) * | 2014-09-11 | 2016-03-17 | 주식회사 코닉글로리 | 패킷과 시그니처 기반의 침입 탐지 장치 및 침입 탐지 방법 |
| CN106230771A (zh) * | 2016-07-07 | 2016-12-14 | 国网青海省电力公司 | 基于多核处理器的工业控制系统工业防火墙 |
| CN106709357A (zh) * | 2016-12-14 | 2017-05-24 | 武汉虹旭信息技术有限责任公司 | Android平台基于内核内存监控的漏洞防护系统 |
| CN106789954A (zh) * | 2016-11-30 | 2017-05-31 | 杭州迪普科技股份有限公司 | 一种基于多cpu的ddos攻击识别的方法和装置 |
| CN107463856A (zh) * | 2017-08-01 | 2017-12-12 | 杭州中天微系统有限公司 | 一种基于可信内核的防攻击数据处理器 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10230767B2 (en) * | 2015-07-29 | 2019-03-12 | At&T Intellectual Property I, L.P. | Intra-carrier and inter-carrier network security system |
| US9904805B2 (en) * | 2015-09-23 | 2018-02-27 | Intel Corporation | Cryptographic cache lines for a trusted execution environment |
-
2018
- 2018-01-12 CN CN201810029407.5A patent/CN108390856B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016039491A1 (ko) * | 2014-09-11 | 2016-03-17 | 주식회사 코닉글로리 | 패킷과 시그니처 기반의 침입 탐지 장치 및 침입 탐지 방법 |
| CN106230771A (zh) * | 2016-07-07 | 2016-12-14 | 国网青海省电力公司 | 基于多核处理器的工业控制系统工业防火墙 |
| CN106789954A (zh) * | 2016-11-30 | 2017-05-31 | 杭州迪普科技股份有限公司 | 一种基于多cpu的ddos攻击识别的方法和装置 |
| CN106709357A (zh) * | 2016-12-14 | 2017-05-24 | 武汉虹旭信息技术有限责任公司 | Android平台基于内核内存监控的漏洞防护系统 |
| CN107463856A (zh) * | 2017-08-01 | 2017-12-12 | 杭州中天微系统有限公司 | 一种基于可信内核的防攻击数据处理器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108390856A (zh) | 2018-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108390856B (zh) | 一种DDoS攻击检测方法、装置及电子设备 | |
| CN110213068B (zh) | 一种消息中间件的监控方法及相关设备 | |
| CN110830986B (zh) | 一种物联网卡异常行为检测方法、装置、设备及存储介质 | |
| CN109889547B (zh) | 一种异常网络设备的检测方法及装置 | |
| CN108038130B (zh) | 虚假用户的自动清理方法、装置、设备及存储介质 | |
| CN110417778B (zh) | 访问请求的处理方法和装置 | |
| CN104219230B (zh) | 识别恶意网站的方法及装置 | |
| CN111522711B (zh) | 一种数据监控处理系统、方法、执行端、监控端及电子设备 | |
| CN110022259B (zh) | 消息到达率确定方法、装置、数据统计服务器及存储介质 | |
| CN103973635A (zh) | 页面访问控制方法和相关装置及系统 | |
| CN109067794B (zh) | 一种网络行为的检测方法和装置 | |
| CN115378713A (zh) | 区块链应用预警防御方法、存储介质和电子设备 | |
| CN109474623B (zh) | 网络安全防护及其参数确定方法、装置及设备、介质 | |
| CN110069217B (zh) | 一种数据存储方法及装置 | |
| CN114301800A (zh) | 一种网络设备质差分析方法及装置 | |
| CN114003904A (zh) | 情报共享方法、装置、计算机设备及存储介质 | |
| WO2024041436A1 (zh) | 业务请求处理方法、装置、电子设备及存储介质 | |
| CN113051571B (zh) | 一种误报漏洞的检测方法、装置及计算机设备 | |
| CN110808967A (zh) | 挑战黑洞攻击的检测方法及相关装置 | |
| CN108388797B (zh) | 一种入侵检测方法、装置及电子设备 | |
| CN114221807A (zh) | 访问请求处理方法、装置、监控设备及存储介质 | |
| CN116416992A (zh) | 一种通信设备的监控方法、监控设备、装置和电子设备 | |
| CN116708013B (zh) | 一种DDoS防护方法及装置 | |
| CN110909171B (zh) | 一种数据调度方法、装置、终端及存储介质 | |
| CN117294578B (zh) | 一种通信方法、系统、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |