CN109450873A - 一种低速DDoS攻击防御方法及系统 - Google Patents

一种低速DDoS攻击防御方法及系统 Download PDF

Info

Publication number
CN109450873A
CN109450873A CN201811235871.6A CN201811235871A CN109450873A CN 109450873 A CN109450873 A CN 109450873A CN 201811235871 A CN201811235871 A CN 201811235871A CN 109450873 A CN109450873 A CN 109450873A
Authority
CN
China
Prior art keywords
server
data packet
low rate
attacker
ddos attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811235871.6A
Other languages
English (en)
Other versions
CN109450873B (zh
Inventor
黄河
孙玉娥
朱丰杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dunmeng (Shanghai) Network Technology Co., Ltd
Original Assignee
Dun Meng (shanghai) Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dun Meng (shanghai) Information Technology Co Ltd filed Critical Dun Meng (shanghai) Information Technology Co Ltd
Priority to CN201811235871.6A priority Critical patent/CN109450873B/zh
Publication of CN109450873A publication Critical patent/CN109450873A/zh
Application granted granted Critical
Publication of CN109450873B publication Critical patent/CN109450873B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于紧凑数据结构的低速DDoS攻击防御方法及系统,包括:在线编码步骤,当有数据包到达时,SRAM将该数据包利用k个哈希函数将其记录到为访问服务器所开辟的连续内存空间中;在每个测量周期结束时,SRAM将本周期的数据包记录下载到服务器,用于离线分析;离线译码步骤,服务器对得到的所述数据包记录进行离线译码,并将得到的结果上传到所述中心路由器,用于判断下一个周期的用户是否为攻击者;攻击防御步骤,当有数据包到达时,将该数据包利用k个哈希函数映射到所述离线译码的结果中,从而判断该数据包是否来自攻击者。本发明能够快速准确地找到低速DDoS攻击者,进而有针对性的提供防御措施,提升了网络安全性。

Description

一种低速DDoS攻击防御方法及系统
技术领域
本发明涉及一种低速的分布式拒绝服务攻击防御方法及系统,属于网络攻击防御领域。
背景技术
分布式拒绝服务(Distributed Denial of Service)攻击,简称DDoS攻击,是指借助于客户/服务器技术,将大量计算机联合起来作为攻击平台,对一个或多个目标发动攻击,通过大量合法的请求占用大量资源,使被攻击的服务器瘫痪或性能降低。当大量DDoS攻击者以远大于合法用户发包速率的访问被攻击服务器时,会导致该服务器处于瘫痪状态,合法用户无法正常访问服务器。已有大量的DDoS攻击检测器可以通过检测用户的发包速率来判断其是否为DDoS攻击者。但当这些非法用户将发包速率降低到与正常用户基本相同时,仍可以大幅度地降低被攻击服务器的性能。此时,现有的大多数DDoS攻击检测器将会失效。我们将这种DDoS攻击称为低速DDoS攻击。通过分析发现,低速DDoS攻击中的非法用户访问服务器的时间要明显长于合法用户,否则无法发起有效攻击。为了检测低速DDoS攻击,已有研究设计了基于紧凑数据结构(bitmap)的持续流量估计器,用于测量持续访问特定服务器的用户数量。若有大量的用户长时间持续访问某服务器,则可以判定该服务器已经受到了低速DDoS攻击。然而,所设计的估计器只能检测到持续访问服务器的用户数量,而无法判断具体是哪些用户。因此,基于持续流量估计的低速DDoS估计技术无法实现攻击防御。
发明内容
为了解决网络中遇到的低速DDoS攻击防御问题,本发明旨在存储资源严重受限的情况下,设计一种基于紧凑数据结构的低速DDoS攻击防御技术,准确地找到低速DDoS攻击者。
根据本发明的一个方面,提供了一种基于紧凑数据结构的低速DDoS攻击防御方法,包括:
在线编码步骤,在每个测量周期,中心路由器在其SRAM上为每个受到低速DDoS攻击的服务器开辟一块连续内存空间用于攻击防御;当有数据包到达时,SRAM将该数据包利用k个哈希函数将其记录到为访问服务器所开辟的连续内存空间中;在每个测量周期结束时,SRAM将本周期的数据包记录下载到服务器,用于离线分析;
离线译码步骤,服务器对得到的所述数据包记录进行离线译码,并将得到的结果上传到所述中心路由器,用于判断下一个周期的用户是否为攻击者;
攻击防御步骤,当有数据包到达时,将该数据包利用k个哈希函数映射到所述离线译码的结果中,从而判断该数据包是否来自攻击者。
优选的,所述记录的具体实现方式为:
Mf[Hj(e)mod u]=1, 公式1
其中,Hj(g)是第j个哈希函数,Mf为所述连续内存空间,u=Nfk/ln2,其中Nf是估计的攻击者数量,e为数据包的源地址,f为数据包的目的地址,mod是取余操作的数学操作符。
优选的,所述离线译码的过程为:
在经过t个测量周期之后,服务器得到t个编码后的Mf,服务器对所述t个编码后的Mf按位求与,得到所述离线译码的结果。
优选的,所述判断数据包是否来自攻击者的过程为:
判断k个哈希函数所映射到的k个位置在所述结果中是否全部为1;若全部为1,则该数据包来自攻击者,直接丢弃;否则,该数据包来自合法用户,将其转发给服务器。
优选的,所述离线译码的过程为:
在经过t个测量周期之后,服务器得到t个编码后的Mf,服务器对所述t个编码后的Mf按位求和,得到所述离线译码的结果。
优选的,所述判断数据包是否来自攻击者的过程为:
判断k个哈希函数所映射到的k个位置在所述结果中是否大于阈值;若大于阈值,则该数据包来自攻击者,直接丢弃;否则,该数据包来自合法用户,将其转发给服务器。
优选的,所述阈值的取值依据服务器未被攻击时的历史数据确定,在给定误差的情况下,仅有不超过所述误差的合法用户访问所述服务器的时间大于等于所述阈值。
根据本发明的另一个方面,还提供了一种基于紧凑数据结构的低速DDoS攻击防御系统,包括:
中心路由器、服务器,通过如上任一项所述的方法,所述中心路由器实现在线编码,所述服务器实现离线译码,进而由中心路由器实现低速DDoS攻击防御。
根据本发明的另一个方面,还提供了一种基于紧凑数据结构的低速DDoS攻击防御系统,包括:
在线编码模块,位于中心路由器中,在每个测量周期,为每个受到低速DDoS攻击的服务器开辟一块连续内存空间用于攻击防御;当有数据包到达时,将该数据包利用k个哈希函数将其记录到为访问服务器所开辟的连续内存空间中;在每个测量周期结束时,将本周期的数据包记录下载到服务器,用于离线分析;
离线译码模块,位于服务器中,对得到的所述数据包记录进行离线译码,并将得到的结果上传到所述中心路由器,用于判断下一个周期的用户是否为攻击者;
攻击防御步骤,位于所述中心路由器,当有数据包到达时,将该数据包利用k个哈希函数映射到所述离线译码的结果中,从而判断该数据包是否来自攻击者。。
本发明的优势在于:能够快速准确地找到低速DDoS攻击者,进而有针对性的提供防御措施,有力的提升了网络安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是网络攻击模型图。
图2是基于持续攻击模型的低速DDoS攻击防御的在线编码流程图。
图3是基于持续攻击模型的低速DDoS攻击防御的离线译码流程图。
图4是基于随机丢弃攻击模型的低速DDoS攻击防御的在线编码流程图。
图5是基于随机丢弃攻击模型的低速DDoS攻击防御的离线译码流程图。
图6是本发明的一种基于紧凑数据结构的低速DDoS攻击防御系统结构图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施方式。虽然附图中显示了本公开的示例性实施方式,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明提出的能够准确找到低速DDoS攻击者的方法,具体实现主要包含在线编码、离线译码和攻击防御三部分。本发明所研究的网络模型如图1所示,互联网中的用户通过中心路由器访问内部网络。其中,内部网络由服务器机群组成。在线编码操作在中心路由器的SRAM上进行。在每个测量周期,SRAM上会为每个受到低速DDoS攻击的服务器开辟一块连续内存空间用于攻击防御。当有数据包到达时,SRAM会将该数据包利用k个哈希函数将其记录到为访问服务器所开辟的连续内存空间中。每个测量周期结束时,SRAM会将本周期的数据包记录下载到服务器,用于离线分析。离线译码是在服务器上实现的,通过对得到的编码记录进行译码,并将能得到的结果重新上传到中心路由,用于判断下一个周期的用户是否为攻击者。最后是攻击防御阶段,当有数据包到达时,将该数据包利用k个哈希函数映射到离线译码的结果中,从而可以判断出该数据包是否来自攻击者。
具体的实现方式如下:
1)在每个测量周期开始,中心路由器在SRAM上为每个被攻击的服务器f开辟一块长度为u的连续内存空间,记作Mf。设置u=Nfk/ln 2,其中Nf是估计的攻击者数量,可以用已有的持续流量估计器得到。初始时,设置Mf中的所有位均为0。假设e为数据包的源地址,f为数据包的目的地址。当有一个数据包<e,f>到达时,路由器会通过一组哈希函数{H1(g),H2(g),L,Hk(g)},将其映射到Mf中k个位置,并将这k个位置置1。具体实现方式为:
Mf[Hj(e)mod u]=1, 公式1
其中,Hj(g)是第j个哈希函数。通过在线译码技术,每个在本测量周期内访问过服务器f的源地址(即:用户)将Mf中k个位置置为1。mod是取余操作的数学操作符。
当一个测量周期结束时,中心路由器会将编码后的Mf下载到服务器上,用于后续的分析。
2)在经过t个测量周期之后,服务器得到了t个编码后的Mf,分别记作服务器对最近t个测量周期得到的按位求与(AND),得到结果也就是说最后,服务器将重新上传至中心路由,用于接下来的在线实时攻击防御。
3)在收到服务器上传的之后,在线攻击防御模块启动。当有数据包<e,f>到达时,除了完成步骤1)中的在线编码,还会判断k个哈希函数所映射到的k个位置在中是否全部为1。若全部为1,则该数据包来自攻击者,直接丢弃;否则,该数据包来自合法用户,将其转发给服务器f。
但是,持续流量估计器得到的是给定的t个测量周期中,在所有周期均访问了该服务器的用户的数量。显然,这个定义过于严格。攻击者只要在这t个周期中随机丢弃一个测量周期,就可以逃避检测。通过分析发现,在这种情况下非法用户访问服务器的时间长度仍会明显高于合法用户,否则将无法发起有效攻击。为了解决该问题,需要对上述攻击防御过程中的步骤2)和3)进一步改进,改进后的具体实现方法如下:
1)与基于持续流量估计器的攻击防御技术的步骤1)相同。
2)服务器对最近t个测量周期得到的按位求和(SUM),得到结果也就是说最后,服务器将重新上传至中心路由,用于接下来的在线实时攻击防御。
3)在收到服务器上传的之后,在线攻击防御模块启动。当有数据包<e,f>到达时,除了完成步骤1)中的在线编码,还会判断k个哈希函数所映射到的k个位置在中是否大于阈值θ。若大于阈值θ,则该数据包来自攻击者,直接丢弃;否则,该数据包来自合法用户,将其转发给服务器f。阈值θ的取值依据服务器未被攻击时的历史数据。在给定误差ε(0≤ε≤1)的情况下,应该仅有不超过ε的合法用户访问服务器f的时间大于等于θ。
实施例1
本发明所研究的低速DDoS攻击防御所基于的网络模型如图1所示,互联网中的用户通过中心网关访问内部网络,而内部网络则由服务器机群组成。中心网关包含一个中心路由器和一台中心服务器。中心路由器负责实时的数据转发以及在线攻击防御等工作,而中心服务器则可以实现离线译码。
如图2所示,发明内容中所涉及的基于持续攻击模型(攻击者在给定的t个周期内均访问了被攻击服务器)的低速DDoS攻击防御在线编码流程图的具体实现步骤如下:
S21:在每个测量周期开始时,初始化Mf中所有位均为0。
S22:判断是否是有数据包到达?若有数据包达到,则接续执行S23;否则,等待数据包达到,继续执行S22。
S23:设置j=1,攻击者标识符attacker为真,即设置attacker=true。
S24:判断j≤k是否成立?若成立,则继续执行S25;否则,执行S29。
S25:设置Mf[Hj(e)mod u]=1。
S26:判断是否成立?若成立,则继续执行S27;否则执行S28。
S27:设置攻击者标识符attacker为假。由于攻击者会持续访问被攻击的服务器,而每个攻击者会随机地在Mf中选择k个位置将其置1,且这k在位置在不同的测量周期是相同的。所以,当发现其中一位不为1时,则可以判定该用户并未在前t个周期持续访问该服务器,并不是一个攻击者。
S28:设置j=j+1,然后跳转至S24。
S29:判断攻击者标识符attacker是否为假?若是,则证明该用户不是攻击者,直接用数据包转发给目的服务器,执行S210;否则,证明该数据包来自攻击者,应该直接丢弃,执行S211。
S210:将该数据包直接转发给目的服务器f。
S211:判断本测量周期是否已经结束?若已经结束,执行S212;否则,执行S22。
S212:将在线编码后的Mf下载到中心服务器。
如图3所示,发明内容中所涉及的基于持续攻击模型的低速DDoS攻击防御的离线部分在中心服务器上完成,具体的实现步骤如下:
S31:对最近t个测量周期得到的按位求与(AND),得到结果即,设置中的每一位
S32:将步骤S31得到的结果上传至中心路由器。
如图4所示,发明内容中所涉及的基于随机丢弃攻击模型(攻击者在给定的t个周期内随机丢弃一些周期,以逃避检测)的低速DDoS攻击防御流程图的具体实现步骤如下:
S41:在每个测量周期开始时,初始化Mf中所有位均为0。
S42:判断是否是有数据包到达?若有数据包达到,则接续执行S43;否则,等待数据包达到,继续执行S42。
S43:设置j=1,攻击者标识符attacker为真,即设置attacker=true。
S44:判断j≤k是否成立?若成立,则继续执行S45;否则,执行S49。
S45:设置Mf[Hj(e)mod u]=1。
S46:判断是否成立?若成立,则继续执行S47;否则执行S48。
S47:设置攻击者标识符attacker为假。由于攻击者至少会在θ个测量周期访问被攻击的服务器,而每个攻击者会随机地在Mf中选择k个位置将其置1,且这k在位置在不同的测量周期是相同的。所以,当发现其中一位小于θ时,则可以判定该用户并不是一个攻击者。
S48:设置j=j+1,然后跳转至S44。
S49:判断攻击者标识符attacker是否为假?若是,则证明该用户不是攻击者,直接用数据包转发给目的服务器,执行S410;否则,证明该数据包来自攻击者,应该直接丢弃,执行S411。
S410:将该数据包直接转发给目的服务器f。
S411:判断本测量周期是否已经结束?若已经结束,执行S412;否则,执行S42。
S412:将在线编码后的Mf下载到中心服务器。
如图5所示,发明内容中所涉及的基于随机丢弃攻击模型的低速DDoS攻击防御的离线部分在中心服务器上完成,具体的实现步骤如下:
S51:对最近t个测量周期得到的按位求和(SUM),得到结果即,设置中的每一位
S52:将步骤S51得到的结果上传至中心路由器。
如图6所述,本发明还提供了一种基于紧凑数据结构的低速DDoS攻击防御系统,包括:在线编码模块、离线译码模块、攻击防御模块;
在线编码模块,位于中心路由器中,在每个测量周期,为每个受到低速DDoS攻击的服务器开辟一块连续内存空间用于攻击防御;当有数据包到达时,将该数据包利用k个哈希函数将其记录到为访问服务器所开辟的连续内存空间中;在每个测量周期结束时,将本周期的数据包记录下载到服务器,用于离线分析;
离线译码模块,位于服务器中,对得到的所述数据包记录进行离线译码,并将得到的结果上传到所述中心路由器,用于判断下一个周期的用户是否为攻击者;
攻击防御模块,位于所述中心路由器,当有数据包到达时,将该数据包利用k个哈希函数映射到所述离线译码的结果中,从而判断该数据包是否来自攻击者。
本发明的优势在于:能够克服现有技术对持续车流量检测的客观限制,将范围更广的持续车辆纳入统计范围,估计结果更符合客观实际,从而能够更准确的估计持续车流量,为交通规划、智能导航等提供基础数据和依据。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (9)

1.一种基于紧凑数据结构的低速DDoS攻击防御方法,其特征在于,包括:
在线编码步骤,在每个测量周期,中心路由器在其SRAM上为每个受到低速DDoS攻击的服务器开辟一块连续内存空间用于攻击防御;当有数据包到达时,SRAM将该数据包利用k个哈希函数将其记录到为访问服务器所开辟的连续内存空间中;在每个测量周期结束时,SRAM将本周期的数据包记录下载到服务器,用于离线分析;
离线译码步骤,服务器对得到的所述数据包记录进行离线译码,并将得到的结果上传到所述中心路由器,用于判断下一个周期的用户是否为攻击者;
攻击防御步骤,当有数据包到达时,将该数据包利用k个哈希函数映射到所述离线译码的结果中,从而判断该数据包是否来自攻击者。
2.根据权利要求1所述的一种基于紧凑数据结构的低速DDoS攻击防御方法,其特征在于,
所述记录的具体实现方式为:
Mf[Hj(e)mod u]=1, 公式1
其中,Hj(g)是第j个哈希函数,Mf为所述连续内存空间,u=Nfk/ln2,其中Nf是估计的攻击者数量,e为数据包的源地址,f为数据包的目的地址,mod是取余操作的数学操作符。
3.根据权利要求2所述的一种基于紧凑数据结构的低速DDoS攻击防御方法,其特征在于,
所述离线译码的过程为:
在经过t个测量周期之后,服务器得到t个编码后的Mf,服务器对所述t个编码后的Mf按位求与,得到所述离线译码的结果。
4.根据权利要求3所述的一种基于紧凑数据结构的低速DDoS攻击防御方法,其特征在于,
所述判断数据包是否来自攻击者的过程为:
判断k个哈希函数所映射到的k个位置在所述结果中是否全部为1;若全部为1,则该数据包来自攻击者,直接丢弃;否则,该数据包来自合法用户,将其转发给服务器。
5.根据权利要求2所述的一种基于紧凑数据结构的低速DDoS攻击防御方法,其特征在于,
所述离线译码的过程为:
在经过t个测量周期之后,服务器得到t个编码后的Mf,服务器对所述t个编码后的Mf按位求和,得到所述离线译码的结果。
6.根据权利要求5所述的一种基于紧凑数据结构的低速DDoS攻击防御方法,其特征在于,
所述判断数据包是否来自攻击者的过程为:
判断k个哈希函数所映射到的k个位置在所述结果中是否大于阈值;若大于阈值,则该数据包来自攻击者,直接丢弃;否则,该数据包来自合法用户,将其转发给服务器。
7.根据权利要求6所述的一种基于紧凑数据结构的低速DDoS攻击防御方法,其特征在于,
所述阈值的取值依据服务器未被攻击时的历史数据确定,在给定误差的情况下,仅有不超过所述误差的合法用户访问所述服务器的时间大于等于所述阈值。
8.一种基于紧凑数据结构的低速DDoS攻击防御系统,其特征在于,包括:
中心路由器、服务器,通过权利要求1-7任一项所述的方法,所述中心路由器实现在线编码,所述服务器实现离线译码,进而由中心路由器实现低速DDoS攻击防御。
9.一种基于紧凑数据结构的低速DDoS攻击防御系统,其特征在于,包括:
在线编码模块,位于中心路由器中,在每个测量周期,为每个受到低速DDoS攻击的服务器开辟一块连续内存空间用于攻击防御;当有数据包到达时,将该数据包利用k个哈希函数将其记录到为访问服务器所开辟的连续内存空间中;在每个测量周期结束时,将本周期的数据包记录下载到服务器,用于离线分析;
离线译码模块,位于服务器中,对得到的所述数据包记录进行离线译码,并将得到的结果上传到所述中心路由器,用于判断下一个周期的用户是否为攻击者;
攻击防御模块,位于所述中心路由器,当有数据包到达时,将该数据包利用k个哈希函数映射到所述离线译码的结果中,从而判断该数据包是否来自攻击者。
CN201811235871.6A 2018-10-23 2018-10-23 一种低速DDoS攻击防御方法及系统 Active CN109450873B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811235871.6A CN109450873B (zh) 2018-10-23 2018-10-23 一种低速DDoS攻击防御方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811235871.6A CN109450873B (zh) 2018-10-23 2018-10-23 一种低速DDoS攻击防御方法及系统

Publications (2)

Publication Number Publication Date
CN109450873A true CN109450873A (zh) 2019-03-08
CN109450873B CN109450873B (zh) 2021-01-01

Family

ID=65548239

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811235871.6A Active CN109450873B (zh) 2018-10-23 2018-10-23 一种低速DDoS攻击防御方法及系统

Country Status (1)

Country Link
CN (1) CN109450873B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107195179A (zh) * 2017-05-27 2017-09-22 中国科学技术大学苏州研究院 基于网络的单路口交通流量统计分析方法及系统
CN107968785A (zh) * 2017-12-03 2018-04-27 浙江工商大学 一种SDN数据中心中防御DDoS攻击的方法
CN108551448A (zh) * 2018-04-12 2018-09-18 盾盟(上海)信息技术有限公司 一种分布式拒绝服务攻击检测方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107195179A (zh) * 2017-05-27 2017-09-22 中国科学技术大学苏州研究院 基于网络的单路口交通流量统计分析方法及系统
CN107968785A (zh) * 2017-12-03 2018-04-27 浙江工商大学 一种SDN数据中心中防御DDoS攻击的方法
CN108551448A (zh) * 2018-04-12 2018-09-18 盾盟(上海)信息技术有限公司 一种分布式拒绝服务攻击检测方法

Also Published As

Publication number Publication date
CN109450873B (zh) 2021-01-01

Similar Documents

Publication Publication Date Title
Xie et al. A large-scale hidden semi-Markov model for anomaly detection on user browsing behaviors
US8516595B2 (en) Method and system for estimating the reliability of blacklists of botnet-infected computers
Wang et al. Decoupling malicious interests from pending interest table to mitigate interest flooding attacks
Marvi et al. A generalized machine learning‐based model for the detection of DDoS attacks
CN105681250A (zh) 一种僵尸网络分布式实时检测方法和系统
CN102438025A (zh) 一种基于Web代理的间接分布式拒绝服务攻击抵御方法及系统
Selvaraj et al. Ant‐based distributed denial of service detection technique using roaming virtual honeypots
US20170134413A1 (en) System and method for connection fingerprint generation and stepping-stone traceback based on netflow
Xie et al. Detecting latent attack behavior from aggregated Web traffic
Deshpande et al. Stochastic game-based analysis of the DNS bandwidth amplification attack using probabilistic model checking
Kesavamoorthy et al. Classification of DDoS attacks–A survey
KR20170054215A (ko) 넷플로우 기반 연결 핑거프린트 생성 및 경유지 역추적 방법
Malliga et al. A proposal for new marking scheme with its performance evaluation for IP traceback
CN112788039A (zh) 一种DDoS攻击识别方法、装置及存储介质
CN111901286B (zh) 一种基于流量日志的apt攻击检测方法
CN109450873A (zh) 一种低速DDoS攻击防御方法及系统
Gao et al. A cyber deception defense method based on signal game to deal with network intrusion
CN108551448B (zh) 一种分布式拒绝服务攻击检测方法
Gojic et al. Proposal of security architecture in 5G mobile network with DDoS attack detection
Lashchiver Domain Name System Anomaly Detection and Prevention
CN112261004A (zh) 一种Domain Flux数据流的检测方法及装置
Bellaïche et al. SYN flooding attack detection by TCP handshake anomalies
Nagaonkar et al. Detecting stealthy scans and scanning patterns using threshold random walk
CN118018323B (zh) 一种防护DNS随机子域名DDoS攻击的系统、电子设备及存储介质
CN113055395B (zh) 一种安全检测方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20201106

Address after: 200082 Shanghai Yangpu District Military Road No. 1599 1 Building 5 (centralized registration)

Applicant after: Dunmeng (Shanghai) Network Technology Co., Ltd

Address before: Room j2307, building 1, 2222 Huancheng Road, Juyuan New District, Jiading District, Shanghai

Applicant before: DUNMENG (SHANGHAI) INFORMATION TECHNOLOGY Co.,Ltd.

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant