CN108551448B - 一种分布式拒绝服务攻击检测方法 - Google Patents

一种分布式拒绝服务攻击检测方法 Download PDF

Info

Publication number
CN108551448B
CN108551448B CN201810325638.0A CN201810325638A CN108551448B CN 108551448 B CN108551448 B CN 108551448B CN 201810325638 A CN201810325638 A CN 201810325638A CN 108551448 B CN108551448 B CN 108551448B
Authority
CN
China
Prior art keywords
elements
bitmap files
estimating
measurement
recorded
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810325638.0A
Other languages
English (en)
Other versions
CN108551448A (zh
Inventor
黄河
孙玉娥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dunmeng (Shanghai) Network Technology Co., Ltd
Original Assignee
Dunmeng Shanghai Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dunmeng Shanghai Information Technology Co ltd filed Critical Dunmeng Shanghai Information Technology Co ltd
Priority to CN201810325638.0A priority Critical patent/CN108551448B/zh
Publication of CN108551448A publication Critical patent/CN108551448A/zh
Application granted granted Critical
Publication of CN108551448B publication Critical patent/CN108551448B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提出一种分布式拒绝服务攻击检测方法,能够准确检测低速DDoS攻击的方法,具体实现主要包含在线编码和离线译码两部分。在线编码操作在中心路由器的SRAM上进行。在每个测量周期,SRAM上会开辟一块连续内存空间用于攻击检测。当有数据包到达时,SRAM会将该数据包利用哈希技术记录到所开辟的连续内存空间中。等一个测量周期结束,SRAM将本周期的数据包记录下载到服务器,用于后面的分析。离线译码是在服务器上实现的,通过对得到的编码记录进行译码,分析得到每条流的k‑持续流量,从而判断是否受到攻击。本发明在存储资源严重受限的情况下,准确检测出每条流的k‑持续流量,进而判断出是否存在DDoS攻击。

Description

一种分布式拒绝服务攻击检测方法
技术领域
本发明涉及一种低速的分布式拒绝服务攻击检测方法,属于网络攻击检测领域。
背景技术
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击是指借助于客户/服务器技术,将大量计算机联合起来作为攻击平台,对一个或多个目标发动攻击,通过大量合法的请求占用大量资源,使被攻击的服务器瘫痪。在传统的DDoS攻击中,攻击者的发包速度一般要远大于合法的用户。因此,已有的DDoS攻击检测技术通过监测用户的发包速率,来判断该用户是否为攻击者。然而,此类DDoS攻击检测技术在攻击者降低发包速率时是无效的。通常将攻击者的发包速度与合法用户的发包速度基本相同时的DDoS攻击称为低速DDoS攻击。低速DDoS攻击虽然不能使被攻击的服务器瘫痪,但当攻击者足够多时,仍可以明显降低服务器的性能。当发生DDoS攻击时,服务器可能无法判断是遭到了攻击还是访问的合法用户突然增多。显然,低速DDoS攻击比传统的DDoS攻击的检测难度更大。通过分析发现,低速DDoS攻击中的非法用户(即攻击者)需要持续访问服务器,否则无法发起有效攻击。所以,这些攻击者访问服务器的时间要明显长于合法用户。如果将所有发送给同一个目的服务器的数据包抽象为一条流,每个源地址看作是流中的一个元素,那么该流的流量就应该等于发送给该服务器的不同源地址的个数。如果取t个测量周期,那么对于存在DDoS攻击的流,持续存在于给定的t个测量周期的元素数量会明显大于未被攻击的流。已有研究设计出了高效的持续流量估计器,用于检测是否存在低速DDoS攻击。然而,现有对持续流量的定义过于严格,只有在所有给定的测量周期均存在于流中的元素才会被认定为持续元素。而持续流量是由持续元素组成的。当攻击者随机丢弃几个测量周期时,就会有很大概率被认定为非持续元素,从而逃避检测。要彻底解决该问题,必须要设计出能够准确估计出每条流f的k-持续流量的估计器,即在给定的t个周期内,至少在其中的k个周期存在于流f的元素个数。由于低速DDoS的攻击者的访问被攻击服务器的总时间长度应该明显高于合法用户,因此总能找到合适的k值将攻击者和合法用户区分开。然而,现在还没有研究设计出准确的k-持续流量估计器。
发明内容
为了解决网络中遇到的低速DDoS攻击问题,本发明旨在设计一种网络流的k-持续流量统计方法,具体方案如下:
一种分布式拒绝服务攻击检测方法,包括:
在线编码步骤,在每个测量周期,利用哈希函数记录接收到的数据包,得到编码记录;
离线译码步骤,对所述编码记录进行译码,分析得到每条流的k-持续流量,从而判断是否受到攻击。
优选的,所述在线编码步骤在中心路由器的SRAM上进行,所述离线译码步骤由服务器实现。
优选的,所述在线编码步骤具体包括以下步骤:
设置所述SRAM上一块连续内存空间中的所有位为0;
判断是否有数据包到达,若是则执行下一个步骤,否则继续判断是否有数据包到达;
设置所述连续内存空间的某一位置为1;
判断本测量周期是否结束,若结束则下一个步骤,否则继续判断是否有数据包到达;
将所述连续内存空间从中心路由器下载到服务器。
优选的,利用哈希函数设置所述连续内存空间的第i位置为1:
Figure BDA0001626276370000021
其中,e为所述数据包的源地址流,f为数据包的目的地址流,M为所述连续内存空间,H是任意一个随机性很好的哈希函数,m为保存所述数据包的虚拟位图文件的长度,u为所述连续内存空间的长度,
Figure BDA0001626276370000022
是按位求异或操作,mod是求余操作。
优选的,所述离线译码步骤具体包括以下步骤:
构建t个发往同一个目的地址流f的虚拟位图文件;
估计
Figure BDA0001626276370000031
的值,即利用所述虚拟位图文件估计得到的恰好在j个测量周期存在于流f中的元素个数;
估计
Figure BDA0001626276370000032
的值,即利用t个虚拟位图文件估计得到的所有流中恰好存了j个测量周期的元素个数;
估计k-持续流量估计器的值,根据所述k-持续流量估计器是否大于给定阈值,判断该服务器是否受到了低速分布式拒绝服务攻击。
优选的,所述k-持续流量估计器Nf,k为:
Figure BDA0001626276370000033
优选的,所述估计
Figure BDA0001626276370000034
的值的步骤具体包括:
初始设置l=1;
遍历所有包含l个虚拟位图文件的组合,按位求或得到新位图文件;
估计得到同时被所述l个虚拟位图文件记录下来的元素个数
Figure BDA0001626276370000035
估计得到在给定的t个测量周期内恰好在其中l个测量周期被记录下来的元素个数nl,12...t
设置l=l+1;
判断l=j是否成立,若成立则执行下一个步骤,否则继续遍历所有包含l个虚拟位图文件的组合;
设置
Figure BDA0001626276370000036
优选的,所述估计
Figure BDA0001626276370000037
的值的步骤具体包括:
初始设置l=1;
遍历所有包含l个物理位图文件的组合,按位求或得到新位图文件;
估计得到同时被所述l个物理位图文件记录下来的元素个数
Figure BDA0001626276370000041
估计得到在给定的t个测量周期内恰好在其中l个测量周期被记录下来的元素个数Nu l,12...t
设置l=l+1;
判断l=j是否成立,若成立则执行下一个步骤,否则继续遍历所有包含l个物理位图文件的组合;
设置
Figure BDA0001626276370000042
本发明的优点在于:在存储资源严重受限的情况下,准确检测出每条流的k-持续流量,进而判断出是否存在DDoS攻击。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1是本发明的在线编码流程图。
图2是本发明的离线编码流程图。
图3是本发明的估计
Figure BDA0001626276370000043
的流程图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施方式。虽然附图中显示了本公开的示例性实施方式,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明提出的能够准确检测低速DDoS攻击的方法,具体实现主要包含在线编码和离线译码两部分。在线编码操作在中心路由器的SRAM上进行。在每个测量周期,SRAM上会开辟一块连续内存空间用于攻击检测。当有数据包到达时,SRAM会将该数据包利用哈希技术记录到所开辟的连续内存空间中。等一个测量周期结束,SRAM将本周期的数据包记录下载到服务器,用于后面的分析。离线译码是在服务器上实现的,通过对得到的编码记录进行译码,分析得到每条流的k-持续流量,从而判断是否受到攻击。具体的实现方式如下:
1)在每个测量周期开始,中心路由器在SRAM上开辟一块长度为u的连续内存空间,记作M。初始时,设置M中的所有位均为0。假设e为数据包的源地址,f为数据包的目的地址。将所有发往同一个目的地址f的数据包抽象为一条流,而流中不同源地址的个数看作是元素的个数。每条流f中的元素会被保存在一个虚拟位图文件Bf中,而所有的虚拟位图文件会共享连续的物理内存M。当有一个数据包<e,f>到达时,路由器会将其保存到Bf中,即将Bf的第i位置为1,具体实现方式为:
Bf[i]=Bf[H(e)mod m], 公式1
其中H可以是任意一个随机性很好的哈希函数,m为Bf的长度。而Bf中的第i位可以映射到物理存储空间中的第i′位,具体的映射公式为:
Figure BDA0001626276370000051
其中
Figure BDA0001626276370000052
是按位求异或操作。换句话说,当一个数据包<e,f>到达时,会将连续物理内存中的第
Figure BDA0001626276370000053
位置为1。
当一个测量周期结束时,中心路由器会将编码后的M下载到服务器上,用于后续的译码分析。
2)当服务器得到t个测量周期的编码数据后,可以为每条流构建出t个虚拟位图文件,分别记作Bf,1,Bf,2,...,Bf,t。然而,虚拟位图文件中不仅记录了流f中的元素,还记录了其他与其共享内存空间的流的元素。这就需要我们在根据虚拟位图文件估计流量的时候能有效滤除其他流带来的噪声。用M1,M2,...,Mt来表示t个周期得到编码数据,nf,j表示恰好在j个测量周期存在于流f中的元素个数,
Figure BDA0001626276370000054
表示利用虚拟位图文件估计得到的恰好在j个测量周期存在于流f中的元素个数,而
Figure BDA0001626276370000061
表示其他流所带来的噪声,那么k-持续流量估计器为:
Figure BDA0001626276370000062
其中,
Figure BDA0001626276370000063
表示利用t个物理位图文件估计得到的所有流中恰好存了j个测量周期的元素个数。
其中,利用虚拟位图文件估计恰好在j个测量周期存在于流f中的元素个数的具体实现方法如下:
1)初始设置l=1。
2)遍历所有包含l个虚拟位图文件的组合,求出同时经过了组合中l个虚拟位图文件的元素个数。对于给定的l个虚拟位图文件,
Figure BDA0001626276370000064
(i1≤i2≤...≤il),具体实现方法为:首先将l个虚拟位图文件按位求0R,得到新的虚拟位图文件,记作Ef,l。即,
Figure BDA0001626276370000065
然后,按照公式(4)估计得到同时被
Figure BDA0001626276370000066
记录下来的元素个数
Figure BDA0001626276370000067
Figure BDA0001626276370000068
其中,
Figure BDA0001626276370000069
p、q是遍历用于计数的变量,
Figure BDA00016262763700000610
表示同时被所述q+1个虚拟位图文件记录下来的元素个数;
Figure BDA00016262763700000611
表示将
Figure BDA00016262763700000612
按位求0R后得到的结果Ef,l中0的位数所占的比例。例如,Ef,l中0的位数为65,1的位数为35,那么
Figure BDA00016262763700000613
3)用nl,12...t表示在给定的t个测量周期内,恰好在其中l个测量周期被记录下来的元素个数。在步骤2中,经过大于l个测量周期的元素会在遍历不同的组合时重复计算,我们可以利用公式(5)将重复计算所带来的噪声滤掉,估计得到nl,12...t
Figure BDA0001626276370000071
其中,C是求组合数的运算,
Figure BDA0001626276370000072
为在给定的l个测量周期内恰好在其中k个测量周期被记录下来的元素个数;ni,12L t为在给定的t个测量周期内恰好在其中i个测量周期被记录下来的元素个数。
4)设置l=l+1,返回步骤2),直到l=j。
5)设置
Figure BDA0001626276370000073
其中,利用t个物理位图估计
Figure BDA0001626276370000074
的具体实现方法与估计
Figure BDA0001626276370000075
的方法类似,只需要将虚拟位图替换为所对应的物理位图即可。
实施例1
本发明提出的带隐私保护的持续交通流量统计方法,如图1所示,其中在线编码步骤的具体实现包括以下步骤:
S11:设置物理位图文件M中的所有位为0。
S12:判断是否有数据包<e,f>到达?若是,执行S13;否则,继续等待,执行S12。
S13:设置
Figure BDA0001626276370000076
S14:判断本测量周期是否结束?若结束,执行S15;否则,执行S12。
S15:将M从中心路由器下载到服务器,用于后续的离线译码。
如图2所示,所发明的离线译码步骤的具体实现步骤如下所示:
S21:构建出流f的虚拟位图文件,分别为Bf,1,Bf,2,...,Bf,t,其中
Figure BDA0001626276370000077
S22:估计
Figure BDA0001626276370000078
的值。
S23:估计
Figure BDA0001626276370000079
的值。
S24:根据公式(3)估计Nf,k的值。根据Nf,k是否大于给定阈值,我们可以判断该服务器是否受到了DDoS攻击。
其中,估计
Figure BDA0001626276370000081
的值的具体实现方法如图3所示:
S31:初始设置l=1。
S32:遍历所有包含l个虚拟位图文件的组合,
Figure BDA0001626276370000082
(i1≤i2≤...≤il),按位求0R得到新位图文件Ef,l,即
Figure BDA0001626276370000083
S33:根据公式(4)估计得到
Figure BDA0001626276370000084
S34:利用公式(5)估计得到nl,12...t
S35:设置l=l+1。
S36:判断l=j是否成立?若成立,执行S37;否则,执行S32。
S37:设置
Figure BDA0001626276370000085
估计
Figure BDA0001626276370000086
的具体实现步骤与
Figure BDA0001626276370000087
基本一致,只需要将原先在虚拟位图上所做的所有操作按照完全相同的方法在对应的物理位图上实现一遍即可。例如S32改为:遍历所有包含l个物理位图文件的组合,M1,M2,...,Mt(i1≤i2≤...≤il),按位求0R得到新位图文件M′l,即
Figure BDA0001626276370000088
这样就可以采用与估计
Figure BDA0001626276370000089
同样的方法估计得到
Figure BDA00016262763700000810
具体过程如下:
所述估计
Figure BDA00016262763700000811
的值的步骤具体包括:
初始设置l=1;
遍历所有包含l个物理位图文件的组合,按位求或得到新位图文件;
估计得到同时被所述l个物理位图文件记录下来的元素个数
Figure BDA00016262763700000812
估计得到在给定的t个测量周期内恰好在其中l个测量周期被记录下来的元素个数Nu l,12...t
设置l=l+1;
判断l=j是否成立,若成立则执行下一个步骤,否则继续遍历所有包含l个物理位图文件的组合;
设置
Figure BDA0001626276370000091
根据如下公式估计得到
Figure BDA0001626276370000092
Figure BDA0001626276370000093
其中,
Figure BDA0001626276370000094
p、q是遍历用于计数的变量,
Figure BDA0001626276370000095
表示同时被所述q+1个物理位图文件记录下来的元素个数;
Figure BDA0001626276370000096
表示将l个物理位图文件按位求或后得到的结果中0的位数所占的比例。
根据如下公式估计得到Nu l,12...t
Figure BDA0001626276370000097
其中,C是求组合数的运算,
Figure BDA0001626276370000098
为在给定的l个测量周期内恰好在其中k个测量周期被记录下来的元素个数;Ni,12L t为在给定的t个测量周期内恰好在其中i个测量周期被记录下来的元素个数。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (7)

1.一种分布式拒绝服务攻击检测方法,其特征在于,包括:
在线编码步骤,在每个测量周期,利用哈希函数记录接收到的数据包,得到编码记录;
离线译码步骤,对所述编码记录进行译码,分析得到每条流的k-持续流量,从而判断是否受到攻击;
所述在线编码步骤在中心路由器的SRAM上进行,所述离线译码步骤由服务器实现;
所述在线编码步骤具体包括以下步骤:
设置所述SRAM上一块连续内存空间中的所有位为0;
判断是否有数据包到达,若是则执行下一个步骤,否则继续判断是否有数据包到达;
设置所述连续内存空间的某一位置为1;
判断本测量周期是否结束,若结束则下一个步骤,否则继续判断是否有数据包到达;
将所述连续内存空间从中心路由器下载到服务器;
利用哈希函数设置所述连续内存空间的第i位置为1:
Figure FDA0002577941230000011
其中,e为所述数据包的源地址流,f为数据包的目的地址流,M为所述连续内存空间,H是任意一个随机性很好的哈希函数,m为保存所述数据包的虚拟位图文件的长度,u为所述连续内存空间的长度,
Figure FDA0002577941230000012
是按位求异或操作,mod是求余操作;
所述离线译码步骤具体包括以下步骤:
构建t个发往同一个目的地址流f的虚拟位图文件;
估计
Figure FDA0002577941230000013
的值,即利用t个所述虚拟位图文件估计得到的恰好在j个测量周期存在于流f中的元素个数;
估计
Figure FDA0002577941230000014
的值,即利用t个物理位图文件估计得到的所有流中恰好存了j个测量周期的元素个数;
估计k-持续流量估计器的值,根据所述k-持续流量估计器是否大于给定阈值,判断该服务器是否受到了低速分布式拒绝服务攻击;
所述k-持续流量估计器Nf,k为:
Figure FDA0002577941230000021
2.根据权利要求1所述的一种分布式拒绝服务攻击检测方法,其特征在于,
所述估计
Figure FDA0002577941230000022
的值的步骤具体包括:
初始设置l=1;
遍历所有包含l个虚拟位图文件的组合,按位求或得到新位图文件;
估计得到同时被所述l个虚拟位图文件记录下来的元素个数
Figure FDA0002577941230000023
估计得到在给定的t个测量周期内恰好在其中l个测量周期被记录下来的元素个数nl,12...t
设置l=l+1;
判断l=j是否成立,若成立则执行下一个步骤,否则继续遍历所有包含l个虚拟位图文件的组合;
设置
Figure FDA0002577941230000024
3.根据权利要求1所述的一种分布式拒绝服务攻击检测方法,其特征在于,
所述估计
Figure FDA0002577941230000025
的值的步骤具体包括:
初始设置l=1;
遍历所有包含l个物理位图文件的组合,按位求或得到新位图文件;
估计得到同时被所述l个物理位图文件记录下来的元素个数
Figure FDA0002577941230000026
估计得到在给定的t个测量周期内恰好在其中l个测量周期被记录下来的元素个数Nu l,12...t
设置l=l+1;
判断l=j是否成立,若成立则执行下一个步骤,否则继续遍历所有包含l个物理位图文件的组合;
设置
Figure FDA0002577941230000031
4.根据权利要求2所述的一种分布式拒绝服务攻击检测方法,其特征在于,
根据如下公式估计得到
Figure FDA0002577941230000032
Figure FDA0002577941230000033
其中,
Figure FDA0002577941230000034
p、q是遍历用于计数的变量;
Figure FDA0002577941230000035
表示将l个虚拟位图文件按位求或后得到的结果中0的位数所占的比例。
5.根据权利要求2所述的一种分布式拒绝服务攻击检测方法,其特征在于,
根据如下公式估计得到nl,12...t
Figure FDA0002577941230000036
其中,C是求组合数的运算,
Figure FDA0002577941230000037
为在给定的l个测量周期内恰好在其中k个测量周期被记录下来的元素个数;ni,12L t为在给定的t个测量周期内恰好在其中i个测量周期被记录下来的元素个数。
6.根据权利要求3所述的一种分布式拒绝服务攻击检测方法,其特征在于,
根据如下公式估计得到
Figure FDA0002577941230000038
Figure FDA0002577941230000039
其中,
Figure FDA0002577941230000041
p、q是遍历用于计数的变量;
Figure FDA0002577941230000042
表示将l个虚拟位图文件按位求或后得到的结果中0的位数所占的比例。
7.根据权利要求3所述的一种分布式拒绝服务攻击检测方法,其特征在于,
根据如下公式估计得到nl,12...t
Figure FDA0002577941230000043
其中,C是求组合数的运算,
Figure FDA0002577941230000044
为在给定的l个测量周期内恰好在其中k个测量周期被记录下来的元素个数;ni,12L t为在给定的t个测量周期内恰好在其中i个测量周期被记录下来的元素个数。
CN201810325638.0A 2018-04-12 2018-04-12 一种分布式拒绝服务攻击检测方法 Active CN108551448B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810325638.0A CN108551448B (zh) 2018-04-12 2018-04-12 一种分布式拒绝服务攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810325638.0A CN108551448B (zh) 2018-04-12 2018-04-12 一种分布式拒绝服务攻击检测方法

Publications (2)

Publication Number Publication Date
CN108551448A CN108551448A (zh) 2018-09-18
CN108551448B true CN108551448B (zh) 2020-09-15

Family

ID=63514723

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810325638.0A Active CN108551448B (zh) 2018-04-12 2018-04-12 一种分布式拒绝服务攻击检测方法

Country Status (1)

Country Link
CN (1) CN108551448B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109450873B (zh) * 2018-10-23 2021-01-01 盾盟(上海)网络科技有限公司 一种低速DDoS攻击防御方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008148099A1 (en) * 2007-05-25 2008-12-04 New Jersey Institute Of Technology Method and system to mitigate low rate denial of service (dos) attacks
CN101577642A (zh) * 2008-05-08 2009-11-11 吴志军 一步预测卡尔曼滤波检测LDoS攻击的方法
CN102457489A (zh) * 2010-10-26 2012-05-16 中国民航大学 低速率拒绝服务LDoS攻击、检测和防御模块
CN103139166A (zh) * 2011-11-30 2013-06-05 中国民航大学 基于小信号检测理论的LDoS攻击检测方法
CN103546465A (zh) * 2013-10-15 2014-01-29 北京交通大学长三角研究院 基于数据流周期监测的LDoS攻击检测及防御方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008148099A1 (en) * 2007-05-25 2008-12-04 New Jersey Institute Of Technology Method and system to mitigate low rate denial of service (dos) attacks
CN101577642A (zh) * 2008-05-08 2009-11-11 吴志军 一步预测卡尔曼滤波检测LDoS攻击的方法
CN102457489A (zh) * 2010-10-26 2012-05-16 中国民航大学 低速率拒绝服务LDoS攻击、检测和防御模块
CN103139166A (zh) * 2011-11-30 2013-06-05 中国民航大学 基于小信号检测理论的LDoS攻击检测方法
CN103546465A (zh) * 2013-10-15 2014-01-29 北京交通大学长三角研究院 基于数据流周期监测的LDoS攻击检测及防御方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"Information metrics for low-rate DDoS attack detection: A comparative evaluation";Monowar H. Bhuyan;《2014 Seventh International Conference on Contemporary Computing (IC3)》;20140915;全文 *
董阔;杨寿保." 一类慢速拒绝服务攻击的防御方法".《中国科学技术大学学报》.2010, *

Also Published As

Publication number Publication date
CN108551448A (zh) 2018-09-18

Similar Documents

Publication Publication Date Title
Yang et al. RIHT: a novel hybrid IP traceback scheme
Chen et al. CBF: a packet filtering method for DDoS attack defense in cloud environment
US7937586B2 (en) Defending against denial of service attacks
WO2016146609A1 (en) Learned profiles for malicious encrypted network traffic identification
EP3602371A1 (en) Intialisation vector identification for malware file detection
Xu et al. ELDA: Towards efficient and lightweight detection of cache pollution attacks in NDN
Homem et al. Entropy-based prediction of network protocols in the forensic analysis of dns tunnels
Wang et al. Detecting and mitigating interest flooding attacks in content‐centric network
CN113114694A (zh) 一种面向高速网络分组抽样数据采集场景的DDoS攻击检测方法
Kheir et al. Botsuer: Suing stealthy p2p bots in network traffic through netflow analysis
CN108551448B (zh) 一种分布式拒绝服务攻击检测方法
CN112073376A (zh) 一种基于数据面的攻击检测方法及设备
Xu et al. Towards persistent detection of DDoS attacks in NDN: A sketch-based approach
Wang et al. Identifying peer-to-peer botnets through periodicity behavior analysis
CN111901286B (zh) 一种基于流量日志的apt攻击检测方法
CN112788039A (zh) 一种DDoS攻击识别方法、装置及存储介质
Al-Duwairi et al. A novel packet marking scheme for IP traceback
Malliga et al. A proposal for new marking scheme with its performance evaluation for IP traceback
CN112134732B (zh) 一种用于DDoS攻击的取证方法及系统
CN112261004B (zh) 一种Domain Flux数据流的检测方法及装置
CN109450873B (zh) 一种低速DDoS攻击防御方法及系统
Yang et al. Hybrid multilayer network traceback to the real sources of attack devices
Chen et al. A novel ensemble anomaly based approach for command and control channel detection
Zhou et al. Limiting self-propagating malware based on connection failure behavior
Yang et al. Identify encrypted packets to detect stepping-stone intrusion

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20201105

Address after: 5 / F, building 1, No. 1599, Jungong Road, Yangpu District, Shanghai 200030 (centralized registration place)

Patentee after: Dunmeng (Shanghai) Network Technology Co., Ltd

Address before: Room j2307, building 1, 2222 Huancheng Road, Juyuan New District, Jiading District, Shanghai

Patentee before: DUNMENG (SHANGHAI) INFORMATION TECHNOLOGY Co.,Ltd.

TR01 Transfer of patent right