CN108667831A - 一种易于部署和保护隐私的ddos预防服务系统 - Google Patents

一种易于部署和保护隐私的ddos预防服务系统 Download PDF

Info

Publication number
CN108667831A
CN108667831A CN201810390748.5A CN201810390748A CN108667831A CN 108667831 A CN108667831 A CN 108667831A CN 201810390748 A CN201810390748 A CN 201810390748A CN 108667831 A CN108667831 A CN 108667831A
Authority
CN
China
Prior art keywords
umbrella
ddos
victim
congestion
dispose
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810390748.5A
Other languages
English (en)
Other versions
CN108667831B (zh
Inventor
曹元�
陈开泉
周茗蕊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Changzhou Campus of Hohai University
Original Assignee
Changzhou Campus of Hohai University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Changzhou Campus of Hohai University filed Critical Changzhou Campus of Hohai University
Priority to CN201810390748.5A priority Critical patent/CN108667831B/zh
Publication of CN108667831A publication Critical patent/CN108667831A/zh
Application granted granted Critical
Publication of CN108667831B publication Critical patent/CN108667831B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/22Traffic shaping
    • H04L47/225Determination of shaping rate, e.g. using a moving window
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/29Flow control; Congestion control using a combination of thresholds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种易于部署和保护隐私的DDOS预防服务系统,洪水节流层:用于通过保护伞停止基于放大的DDoS攻击,将受害者从公共互联网中分离出来,从而使受害者无法联系互联网服务提供商;拥塞解决层:用于通过保护伞防止DDoS攻击依赖的TCP通信,惩罚面对充血性损失而不断注入流量的攻击者;和用户特定层:保护伞允许DDoS受害者在攻击缓解期间执行自感的交通规则。本发明的保护伞是轻量级的,因为它不需要在互联网核心和客户端进行软硬件升级。伞是性能友好的,因为它在正常情况下是免费的,它完全空闲,并且在减少攻击时引入了可忽略的包处理开销。

Description

一种易于部署和保护隐私的DDOS预防服务系统
技术领域
本发明涉及计算机技术领域,尤其涉及一种易于部署和保护隐私的DDOS预防服务系统。
背景技术
参见图1和图2,在互联网上,防御分布式拒绝服务(DDoS)攻击是一个根本问题。然而,最近的工业采访涉及到超过100名受访者,他们来自10个易受DDoS攻击的行业,这表明这个问题并没有得到解决。一方面,在实际部署许多学术建议方面进展甚微。另一方面,现有的DDoS预防服务提供商(如Cloudflare,Akamai)的运营模式是针对大型组织(如政府)的隐私侵害。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是提供一种易于部署和保护隐私的DDOS预防服务系统,以解决现有技术的不足。
为实现上述目的,本发明提供了一种易于部署和保护隐私的DDOS预防服务系统,包括:
洪水节流层:用于通过保护伞停止基于放大的DDoS攻击,将受害者从公共互联网中分离出来,从而使受害者无法联系互联网服务提供商;洪水节流层默认情况下,保护伞在DDoS攻击期间为UDP流分配非零的权重,并加权公平排队用于确保受害者总是有足够的带宽来服务TCP流,用户层防御具有最高的优先级,用户覆盖默认值,并设置自己的交通规则;
拥塞解决层:用于通过保护伞防止DDoS攻击依赖的TCP通信,惩罚面对充血性损失而不断注入流量的攻击者;拥塞解决层在容量DDoS攻击中,无论哪个用户造成持久的拥塞,过载的路由器都会从所有用户中删除数据包,(即在丢包时不考虑拥塞责任),并从网络使用目标的角度分析每个用户的拥塞责任,为了解决拥塞问题,保护伞为每个用户保留一个速率限制窗口,用于防止任何用户发送的速度超过其限速窗口;
用户层:保护伞允许DDoS受害者在攻击缓解期间执行自感的交通规则;保护伞通过提供DDoS防御来创建额外的部署激励,即采用不同的公平性指标从保护伞的默认,为高端客户提供pre-active DDoS防御,这样他们永远不会脱离受害者。
上述的一种易于部署和保护隐私的DDOS预防服务系统,拥塞解决层的保护伞试图在受害者的网络上攻击受害者的网络之前,通过限制攻击流量来保护受害者,保护伞单独部署在受害者的ISP上,以提供即时的DDoS防御。
上述的一种易于部署和保护隐私的DDOS预防服务系统,所述ISP保护受害者应用程序隐私过程中在网络层上运行。
上述的一种易于部署和保护隐私的DDOS预防服务系统,所述保护伞是轻量级的,不需要在互联网核心和客户端进行软硬件升级,在域间链接中作为一个软件路由器实现,在每个源状态下保持。
上述的一种易于部署和保护隐私的DDOS预防服务系统,所述保护伞是性能友好的,在正常情况下是免费的,它完全空闲,在减少攻击时引入了可忽略的包处理开销。
上述的一种易于部署和保护隐私的DDOS预防服务系统,所述拥塞解决层通过流量表维护每个发送者的网络使用情况,从同一源发送的所有数据包都被聚合为一个同向流动,流量表维护每个同向流动的状态,且流量表只维护已经被受害者认证的源IP地址的状态。
上述的一种易于部署和保护隐私的DDOS预防服务系统,所述拥塞解决层通过速率限制算法惩罚那些行为不端的用户来加强拥塞责任,尽早删除用户在严重的拥堵性损失的情况下依旧不断发送的数据包,保护伞可以有效地防止带宽耗尽。
上述的一种易于部署和保护隐私的DDOS预防服务系统,所述速率限制算法对DDoS攻击期间的每个流执行周期性限制,在每个检测周期中,每个流所允许的数据包的数量受限于设定的的速率限制。
本发明的有益效果是:
本发明的DDOS预防服务系统保护伞机制使ISP能够为其客户提供易于部署和保护隐私的DDoS预防服务。保护伞的设计从现实世界的DDoS攻击中得到了减少,这种攻击故意将受害者从公共互联网中分离出来,从而使受害者无法联系互联网服务提供商。保护伞试图在受害者的网络上攻击受害者的网络之前,通过限制攻击流量来保护受害者。与以前需要互联网作为合作的方法相比,伞需要单独部署在受害者的ISP上,以提供即时的DDoS防御。与现有的安全服务提供者不同,ISP不需要终止应用程序连接。相反,ISP仍然像往常一样在网络层上运行,保护受害者的应用程序隐私。保护伞是轻量级的,因为它不需要在互联网核心和客户端进行软硬件升级。伞是性能友好的,因为它在正常情况下是免费的,它完全空闲,并且在减少攻击时引入了可忽略的包处理开销。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是传统的基于过滤的保护隐私的DDOS预防服务系统示意图;
图2是传统的基于权重的保护隐私的DDOS预防服务系统示意图;
图3是本发明的基于保护伞的保护隐私的DDOS预防服务系统示意图;
图4是本发明的实验拓扑结构示意图。
具体实施方式
本发明的DDOS预防服务系统保护伞机制开发了一个三层的防御建筑来阻止不受欢迎的交通。由受害者定义的用户特定的层执行策略,优先于其他两个并行操作的层。当它注意到针对interdomain链接的容错性DDoS攻击的特性时,伞只是活动的(例如,链接会导致严重的数据包丢失)。当链接恢复正常状态时,伞会停止交通管制并变得空闲。作为用户特定层的一部分,受害者可以自由定义特定的规则,以确定何时开始或终止交通管制。
A.洪水调节层:阻止基于扩增的攻击,攻击者将大量的请求发送到服务于某些互联网协议的公共服务器(例如NTP,DNS,SSDP)。
B.交通拥堵解决层:防止DDoS攻击依赖于大量TCP通信。防御的关键部分是加强交通拥堵责任,以惩罚那些面对充血性损失而不断注入大量流量的攻击者。
C.特定于用户层:添加特定于用户的防御层的目的是为受害者提供的灵活性来执行自私自利的交通治安规则,如采用不同的公平性指标从伞的默认,为高端客户提供pre-active DDoS防御,这样他们永远不会脱离受害者。
多层防御使伞能够处理各种体积DDoS攻击,并提供定制的防御。此外,伞为合法用户提供了保证和弹性的带宽:(i)无论攻击者的策略如何,合法的用户保证会收到每个发送者应得的带宽;(ii)当攻击者未能执行其最优策略时,合法客户可以享受更多带宽共享。
(1)易于部署和保护隐私的DDoS预防:伞的两个主要设计目标是在当前的Internet架构中立即部署,并在攻击缓解期间保护受害者的隐私。为此目的,伞的功能仅依赖于受害者的ISP的独立部署,而无需在Internet上的远程服务器上进一步部署需求。如图3、图4所示,伞可以部署在连接受害者网络和其ISP的链接的上游。在本文的其余部分中,我们将此链接称为域间链路和它的带宽域间带宽。注意,在受害者的ISP部署的保护伞不能阻止DDoS攻击,试图将受害者的ISP从上游ISP断开。然而,受害者的ISP,现在成为受害者本身,应该有保护自己的动机,通过购买保护伞的上游ISP保护自己。递归地,DDoS攻击发生在不同级别的Internet层次结构可以解决。伞的巧妙之处在于,它不再需要所有ISP之间的合作。相反,独立部署是充分和有效的。另外,保护伞不需要在ISP上终止应用程序连接,允许ISP像往常一样操作网络层。考虑到这种部署友好和隐私保护的特点,伞作为一种实用的DDoS防御服务,ISP愿意出售,受害者愿意购买。
(2)轻量级和性能友好:伞的部署非常轻量级:它可以在域间链接中作为一个软件路由器实现,在每个源状态下保持。我们的原型实现表明,一个商品服务器可以有效地扩展来处理数以百万计的状态。此外,在正常情况下,伞是完全空闲和透明的,引入了零开销。在DDoS攻击缓解期间,伞的流量管理引入了可忽略的包处理开销,与以前需要复杂和昂贵的操作的方法相比,比如添加加密功能和额外的包头。
由于洪水节流层和用户特定的层在其设计中是直接的,本发明将重点放在拥塞解析层,具体原理陈述如下:
A.流量表:
伞的流量表维护每个发送者的网络使用情况。具体地说,从同一源发送的所有数据包都被聚合(并定义)为一个同向流动,流表维护每个同向流动的状态。为了避免当前存在的源欺骗,流表只维护已经被受害者认证的源IP地址的状态。由于单个流的行为可能无法反映发送方的意图(恶意与否),所以伞将不会为每个单独的TCP流保留状态(由它的5元组标识)。例如,尽管之前的流量经历了严重的损失,一个机器人仍不断地向受害者发送新的流量。甚至每个单独的流都有可能是合法的TCP流,但机器人实际上是恶意的。然而,如果我们从
流动的角度来解释它的行为,我们就可以发现,机器人是在不断创建流量面对充血性的损失。因此,它对拥堵负责,而且将会受到限制。在论文的其余部分,除非另有说明,流动和共流可以互换使用。流条目中的每个字段及其相应的大小(位)如下:
流表中的每个流条目(由其源地址f标识)由时间戳TA、f的速率限制窗口WR、从f接收的数据包PR的数目、从f中删除的数据包PD的数量和它的数据包丢失率LR组成。此外,伞会维护WR T并且由所有的流项共享,WR T是所有流的速率限制窗口的总和。这些信息对于速率限制算法是必要的。
B.速率限制算法:
速率限制算法旨在通过惩罚那些行为不端的用户来加强拥塞责任。这些用户在严重的拥堵性损失的情况下依旧不断发送数据包。通过尽早删除不受欢迎的数据包,伞可以有效地防止带宽耗尽。在其设计中,该算法对DDoS攻击期间的每个流执行周期性限制。具体地说,在每个检测周期中,每个流(或发送方)所允许的数据包的数量受限于windowWR的速率限制。根据流表中记录的流量信息,WR对每个检测周期进行了更新,如流量的数据包丢失率LR和传输速率PR
(1)填充流表:假设在t时刻,启动一个新的流f。伞在其流表中为f创建了一个流条目。条目的所有字段初始化为零。然后TA被更新为ts,伞更新增加的公关,设置初始WR预定义的公平份额率Wfair。从那以后,保护伞在每个到达的数据包中增加一个,直到当前检测周期的结束(例如,第一个检测周期的结束)。雨伞使用包到达时间来检测是否应该启动f的新检测周期,具体来说,让DP表示检测周期的长度,当收到一个到达时间t0>TA+DP的包时,伞会意识到这个包是在新的检测周期中收到的第一个包。然后,伞会依次执行以下更新:(i)SetTA=t0;(ii)根据算法1更新WR和LR;(iii)重置PR和PD为零。
(2)速率限制算法:在非常高的水平上,速率限制算法根据其拥堵责任来确定每个流量的允许速率。尤其是拥挤的流量限制窗口(高分组损失率和高传输速率)都将显著降低。通过调整发送速率来保护数据包损失,保证了每个发送方的带宽份额。我们采用这样的公平性度量,因为它是在战略攻击下可以保证合法用户的最佳方案。证明方法很简单:通过与合法用户完全相同的行为,攻击者至少可以获得每个发送者的公平份额,这意味着合法用户的最优保证共享也是每个发送者的公平份额。然而,当攻击者未能执行其最优策略时,该算法允许合法用户获得更多的带宽共享。伞会执行周期性的速率限制。在每一个检测周期中,伞都了解每个流的传输速率和数据包丢失率以确定其WR。一个流f的传输速率被PR量化为在当前周期内接收到的数据包的数量。f的数据包可能被删除有两个原因:(i)f的发送速率超过了它的WR;(ii)由于拥塞,服务队列已经满了。在当前周期中,f的丢包率LR是丢包与接收包的比例。在制定限速决策时,雨伞采用的是公制包丢失,它既包含了当前周期的包损失,也包括以前的包损失。这样一种设计可以防止攻击者在发送新的流量(例如,断断续续的攻击)之前传输停止,从而隐藏先前的数据包丢失。如果包丢失和PR都超过了预定义的阈值,伞将f定义为恶意行为流并将其WR减少一半。
以下解释速率限制算法的两个设计细节:
首先,该算法不能在第一个检测周期内对新流量进行限速决策,因为此时伞还没有学会丢包率和发送速率。因此,在第一个检测周期中,伞将其WR初始化为预先定义的每个发送者公平共享率Wfair,通过创建新的流来防止攻击者耗尽带宽。除了Wfair,算法依赖于其他三个系统相关参数:DP,λ和激光。
此外,对于速度限制窗口函数返回允许的带宽,我们需要将带宽值转换为在一个检测周期内允许的1.5KB数据包的数量,这将是f新的WR。我们用关于同步攻击的评论来结束我们的算法设计。当一个SYN包的源地址与一个流条目匹配(意味着源地址已经被验证)时,它将以与来自源的常规数据包相同的方式处理。因此,发送SYN包也消耗攻击者的带宽预算。带有未验证源的SYN包被附加到具有有界带宽的队列中(例如,B的5%)。因此,欺骗的SYN泛滥不能影响伞的防御。在流表中使用可识别的源的常规数据包是不被允许的。
C.参数设置
DP:检测周期的长度应该足够长,以确定在拥塞期间每个流的行为特征,以确定其拥塞责任。特别是,DP需要足够长的时间来允许合法用户适应拥塞,从而保持一个非常低的丢包率。与此同时,雨伞公司相信,在这么长时间内,高丢包率的用户行为不端。考虑到TCP对每个RTT都进行了调整,DP应该比典型的Internet RTTs(基于CAIDA的测量的几百毫秒[30])长得多。但是,DP也不能太长,否则会导致对攻击的反应迟缓。
λ:λ的值代表分配给一个流之前的包丢失重量。来抵御攻击,伞给以前的包丢失通过设置高权重λ=0.5。因此,一旦一个流动的错误行为,它将会有一个坏名声一段时间。LTh:LTh的值应该大于正常的包损失率,以避免误报。根据之前的测量,我们设LTh=5%。Wfair:我们定义了每个流程的公平份额为Wfair=B/N,其中N是流动的数量在流表中。再次,带宽值需要转换成数据包的数量。当新流程启动时,Wfair会被更新。当我们将来自同一个发送方的所有流量聚合为一个流时,Wfair可能会比每个流的WR更新得更少。
综上,本发明的DDOS预防服务系统保护伞机制使ISP能够为其客户提供易于部署和保护隐私的DDoS预防服务。保护伞的设计从现实世界的DDoS攻击中得到了减少,这种攻击故意将受害者从公共互联网中分离出来,从而使受害者无法联系互联网服务提供商。保护伞试图在受害者的网络上攻击受害者的网络之前,通过限制攻击流量来保护受害者。与以前需要互联网作为合作的方法相比,伞需要单独部署在受害者的ISP上,以提供即时的DDoS防御。与现有的安全服务提供者不同,ISP不需要终止应用程序连接。相反,ISP仍然像往常一样在网络层上运行,保护受害者的应用程序隐私。保护伞是轻量级的,因为它不需要在互联网核心和客户端进行软硬件升级。伞是性能友好的,因为它在正常情况下是免费的,它完全空闲,并且在减少攻击时引入了可忽略的包处理开销。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术人员无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。

Claims (8)

1.一种易于部署和保护隐私的DDOS预防服务系统,其特征在于,包括:
洪水节流层:用于通过保护伞停止基于放大的DDoS攻击,将受害者从公共互联网中分离出来,从而使受害者无法联系互联网服务提供商;洪水节流层默认情况下,保护伞在DDoS攻击期间为UDP流分配非零的权重,并加权公平排队用于确保受害者总是有足够的带宽来服务TCP流,用户层防御具有最高的优先级,用户覆盖默认值,并设置自己的交通规则;
拥塞解决层:用于通过保护伞防止DDoS攻击依赖的TCP通信,惩罚面对充血性损失而不断注入流量的攻击者;拥塞解决层在容量DDoS攻击中,无论哪个用户造成持久的拥塞,过载的路由器都会从所有用户中删除数据包,并从网络使用目标的角度分析每个用户的拥塞责任,保护伞为每个用户保留一个速率限制窗口,用于防止任何用户发送的速度超过其限速窗口;
用户层:保护伞允许DDoS受害者在攻击缓解期间执行自感的交通规则;保护伞通过提供DDoS防御来创建额外的部署激励,即采用不同的公平性指标从保护伞的默认,为高端客户提供pre-active DDoS防御。
2.如权利要求1所述的一种易于部署和保护隐私的DDOS预防服务系统,其特征在于:所述拥塞解决层的保护伞试图在受害者的网络上攻击受害者的网络之前,通过限制攻击流量来保护受害者,保护伞单独部署在受害者的ISP上,以提供即时的DDoS防御。
3.如权利要求2所述的一种易于部署和保护隐私的DDOS预防服务系统,其特征在于:所述ISP的保护受害者应用程序隐私过程中在网络层上运行。
4.如权利要求1所述的一种易于部署和保护隐私的DDOS预防服务系统,其特征在于:所述保护伞是轻量级的,在域间链接中作为一个软件路由器实现,在每个源状态下保持。
5.如权利要求1所述的一种易于部署和保护隐私的DDOS预防服务系统,其特征在于:所述保护伞是性能友好的,在正常情况下是免费的,它完全空闲,在减少攻击时引入了可忽略的包处理开销。
6.如权利要求1所述的一种易于部署和保护隐私的DDOS预防服务系统,其特征在于:所述拥塞解决层通过流量表维护每个发送者的网络使用情况,从同一源发送的所有数据包都被聚合为一个同向流动,所述流量表维护每个同向流动的状态,且流量表只维护已经被受害者认证的源IP地址的状态。
7.如权利要求1所述的一种易于部署和保护隐私的DDOS预防服务系统,其特征在于:所述拥塞解决层通过速率限制算法惩罚那些行为不端的用户来加强拥塞责任,删除用户在严重的拥堵性损失的情况下依旧不断发送的数据包,保护伞有效地防止带宽耗尽。
8.如权利要求7所述的一种易于部署和保护隐私的DDOS预防服务系统,其特征在于:所述速率限制算法对DDoS攻击期间的每个流执行周期性限制,在每个检测周期中,每个流所允许的数据包的数量受限于设定的速率限制。
CN201810390748.5A 2018-04-27 2018-04-27 一种易于部署和保护隐私的ddos预防服务系统 Active CN108667831B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810390748.5A CN108667831B (zh) 2018-04-27 2018-04-27 一种易于部署和保护隐私的ddos预防服务系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810390748.5A CN108667831B (zh) 2018-04-27 2018-04-27 一种易于部署和保护隐私的ddos预防服务系统

Publications (2)

Publication Number Publication Date
CN108667831A true CN108667831A (zh) 2018-10-16
CN108667831B CN108667831B (zh) 2021-01-01

Family

ID=63781268

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810390748.5A Active CN108667831B (zh) 2018-04-27 2018-04-27 一种易于部署和保护隐私的ddos预防服务系统

Country Status (1)

Country Link
CN (1) CN108667831B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1716868A (zh) * 2004-06-29 2006-01-04 华为技术有限公司 一种抵御拒绝服务攻击的方法
US7502851B1 (en) * 1999-01-04 2009-03-10 Cisco Technology, Inc. Facility to transmit network management data to an umbrella management system
CN101072106B (zh) * 2006-05-12 2010-08-11 国际商业机器公司 用于防御拒绝服务攻击的方法和系统
CN102984178A (zh) * 2012-12-31 2013-03-20 山石网科通信技术(北京)有限公司 数据报文的检测方法及装置
US8677505B2 (en) * 2000-11-13 2014-03-18 Digital Doors, Inc. Security system with extraction, reconstruction and secure recovery and storage of data
CN104580222A (zh) * 2015-01-12 2015-04-29 山东大学 基于信息熵的DDoS攻击分布式检测与响应系统及方法
CN105516184A (zh) * 2015-12-31 2016-04-20 清华大学深圳研究生院 一种基于增量部署sdn网络的链路洪泛攻击的防御方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7502851B1 (en) * 1999-01-04 2009-03-10 Cisco Technology, Inc. Facility to transmit network management data to an umbrella management system
US8677505B2 (en) * 2000-11-13 2014-03-18 Digital Doors, Inc. Security system with extraction, reconstruction and secure recovery and storage of data
CN1716868A (zh) * 2004-06-29 2006-01-04 华为技术有限公司 一种抵御拒绝服务攻击的方法
CN101072106B (zh) * 2006-05-12 2010-08-11 国际商业机器公司 用于防御拒绝服务攻击的方法和系统
CN102984178A (zh) * 2012-12-31 2013-03-20 山石网科通信技术(北京)有限公司 数据报文的检测方法及装置
CN104580222A (zh) * 2015-01-12 2015-04-29 山东大学 基于信息熵的DDoS攻击分布式检测与响应系统及方法
CN105516184A (zh) * 2015-12-31 2016-04-20 清华大学深圳研究生院 一种基于增量部署sdn网络的链路洪泛攻击的防御方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
樊自甫: ""定制加权公平队列调度下的SIP_DoS攻击防御机制"", 《计算机工程与应用》 *

Also Published As

Publication number Publication date
CN108667831B (zh) 2021-01-01

Similar Documents

Publication Publication Date Title
Liu et al. Netfence: preventing internet denial of service from inside out
Liu et al. Practical proactive DDoS-attack mitigation via endpoint-driven in-network traffic control
Jansen et al. The Sniper Attack: Anonymously Deanonymizing and Disabling the Tor Network.
Kang et al. SPIFFY: Inducing Cost-Detectability Tradeoffs for Persistent Link-Flooding Attacks.
Wang et al. Mitigating bandwidth-exhaustion attacks using congestion puzzles
Gupta et al. Defending against distributed denial of service attacks: issues and challenges
Wu et al. On modeling and simulation of game theory-based defense mechanisms against DoS and DDoS attacks
Yue et al. Detecting LDoS attack bursts based on queue distribution
Luo et al. The NewShrew attack: A new type of low-rate TCP-Targeted DoS attack
Simsek et al. Dropppp: a P4 approach to mitigating dos attacks in SDN
Yue et al. High-potency models of ldos attack against cubic+ red
Kumar et al. Data sequence signal manipulation in multipath tcp (mptcp): The vulnerability, attack and its detection
Doron et al. Wda: A web farm distributed denial of service attack attenuator
Alicherry et al. Diploma: Distributed policy enforcement architecture for manets
Menth et al. Active queue management based on congestion policing (CP-AQM)
CN108667831A (zh) 一种易于部署和保护隐私的ddos预防服务系统
CN116155601A (zh) 一种基于区块链的lfa动态缓解方法
梁丰 Using adaptive router throttles against distributed denial-of-service attacks
Wang et al. IP easy-pass: Edge resource access control
Kieu et al. Using CPR metric to detect and filter low-rate DDoS flows
Wang et al. The effects of fairness in buffer sizing
Ahn et al. MF (minority first) scheme for defeating distributed denial of service attacks
Serwadda et al. When mice devour the elephants: a DDoS attack against size-based scheduling schemes in the internet
Liu et al. MiddlePolice: Fine-Grained Endpoint-Driven In-Network Traffic Control for Proactive DDoS Attack Mitigation
Liu et al. Fine-Grained Endpoint-Driven In-Network Traffic Control for Proactive DDoS Attack Mitigation

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant