CN109831461A - 一种分布式拒绝服务DDoS攻击防御方法及装置 - Google Patents
一种分布式拒绝服务DDoS攻击防御方法及装置 Download PDFInfo
- Publication number
- CN109831461A CN109831461A CN201910247959.8A CN201910247959A CN109831461A CN 109831461 A CN109831461 A CN 109831461A CN 201910247959 A CN201910247959 A CN 201910247959A CN 109831461 A CN109831461 A CN 109831461A
- Authority
- CN
- China
- Prior art keywords
- message
- address
- source
- blacklist
- threshold value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种分布式拒绝服务DDoS攻击防御方法及装置,统计当前报文流量值,判断当前报文流量值是否达到攻击阈值,若达到,则查询接收到的各报文的源IP地址是否处于黑名单中,如果一个报文的源IP地址处于黑名单中,则阻断该报文,如果一个报文的源地址不处于黑名单中,则判断接收到该报文的接收时间是否处于锁定时间段内,如果接收时间处于锁定时间段内,则将该报文的源IP地址加入黑名单,并阻断该报文。通过本方案,可以实现及时、有效地对DDoS攻击的防御。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种分布式拒绝服务DDoS攻击防御方法及装置。
背景技术
DDoS(Distributed Denial of Service,分布式拒绝服务)攻击是目前黑客惯用的一种网络攻击手段,攻击者利用足够数量的傀儡计算机产生数量庞大的攻击报文,对网络中的一台或者多台服务器发起攻击,造成被攻击的服务器无法提供正常的服务,这些傀儡计算机往往分布在网络中的不同位置,因此称为分布式的拒绝服务攻击。
DDoS攻击的方式有很多种,最基本的DDoS攻击方式包括:攻击者通过傀儡计算机不断地向服务器发送服务请求,以占用过多的服务资源,从而使合法的用户无法得到服务响应,或者,攻击者通过傀儡计算机在短时间内向服务器发送海量报文阻塞服务器的通信链路,导致终端计算机和服务器之间的可用带宽大幅减少,造成正常业务报文流量的陡降,从而达到拒绝服务的目的。如何对DDoS攻击进行及时、有效地防御已成为亟待解决的问题。
发明内容
本发明实施例的目的在于提供一种分布式拒绝服务DDoS攻击防御方法及装置,以实现对DDoS攻击进行及时、有效地防御。具体技术方案如下:
第一方面,本发明实施例提供了一种DDoS攻击防御方法,所述方法包括:
统计当前报文流量值;
判断所述当前报文流量值是否达到攻击阈值;
若达到,则查询接收到的各报文的源IP地址是否处于黑名单中,所述黑名单包括报文流量值持续大于预警阈值、且在老化时间内达到所述攻击阈值时各报文的源IP地址,所述攻击阈值大于所述预警阈值;
若报文的源IP地址处于所述黑名单中,则阻断所述报文;
若所述报文的源IP地址不处于所述黑名单中,则判断接收到所述报文的接收时间是否处于锁定时间段内,所述锁定时间段为从报文流量值达到所述攻击阈值的时间点开始到预设统计时段结束的时间点之间的时间段;
若所述接收时间处于所述锁定时间段内,则将所述报文的源IP地址加入所述黑名单,并阻断所述报文。
第二方面,本发明实施例提供了一种DDoS攻击防御装置,所述装置包括:
统计模块,用于统计当前报文流量值;
判断模块,用于判断所述当前报文流量值是否达到攻击阈值;
查询模块,用于若所述判断模块的判断结果为达到,则查询接收到的各报文的源IP地址是否处于黑名单中,所述黑名单包括报文流量值持续大于预警阈值、且在老化时间内达到所述攻击阈值时各报文的源IP地址,所述攻击阈值大于所述预警阈值;
阻断模块,用于若报文的源IP地址处于所述黑名单中,则阻断所述报文;
所述判断模块,还用于若所述报文的源IP地址不处于所述黑名单中,则判断接收到所述报文的接收时间是否处于锁定时间段内,所述锁定时间段为从报文流量值达到所述攻击阈值的时间点开始到预设统计时段结束的时间点之间的时间段;
所述阻断模块,还用于若所述接收时间处于所述锁定时间段内,则将所述报文的源IP地址加入所述黑名单,并阻断所述报文。
第三方面,本发明实施例提供了一种防御设备,包括处理器和机器可读存储介质,其中,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述机器可执行指令由所述处理器加载并执行,以实现本发明实施例第一方面所提供的方法步骤。
第四方面,本发明实施例提供了一种机器可读存储介质,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令在被处理器加载并执行时,实现本发明实施例第一方面所提供的方法步骤。
本发明实施例提供的分布式拒绝服务DDoS攻击防御方法及装置,通过统计当前报文流量值,判断当前报文流量值是否达到攻击阈值,若达到,则查询接收到的各报文的源IP地址是否处于黑名单中,如果一个报文的源IP地址处于黑名单中,则阻断该报文,如果一个报文的源地址不处于黑名单中,则判断接收到该报文的接收时间是否处于锁定时间段内,如果接收时间处于锁定时间段内,则将该报文的源IP地址加入黑名单,并阻断该报文。其中,黑名单包括报文流量值持续大于预警阈值、且在老化时间内达到攻击阈值时各报文的源IP地址,攻击阈值大于预警阈值,锁定时间段为从报文流量值达到攻击阈值的时间点开始到预设统计时段结束的时间点之间的时间段。
正常情况下,某一终端计算机对服务器的多次访问之间都有一定的时间间隔,而DDoS攻击是连续的,当报文流量值大于预警阈值时,可能会发生DDoS攻击,而报文流量值持续大于预警阈值且在一定时间内达到了攻击阈值,此时认为发生了DDoS攻击,且在DDoS攻击发生的前后,大部分的报文是攻击报文。因此,可以将报文流量值大于预警阈值到达到攻击阈值这一时段内各报文的源IP地址划到黑名单中。并且从报文流量值大于攻击阈值开始,到一定的统计时段结束的时间段内,攻击已经发生,因此在锁定时间段内接收到的报文极大可能为攻击报文,通过将锁定时间段内收到的报文的源IP地址加入黑名单中,能够保证黑名单尽可能的包含发起攻击报文的源IP地址,从而在利用黑名单进行DDoS攻击防御时,最大可能的阻断了攻击报文,能够实现及时、有效地对DDoS攻击的防御。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的网络架构示意图;
图2为本发明实施例的DDoS攻击防御方法的流程示意图;
图3为本发明实施例的执行DDoS攻击防御的具体执行流程图;
图4为本发明实施例的DDoS攻击防御装置的结构示意图;
图5为本发明实施例的防御设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了实现对DDoS攻击进行及时、有效地防御,本发明实施例提供了一种DDoS攻击防御方法、装置、防御设备及机器可读存储介质。下面,首先对本发明实施例所提供的DDoS攻击防御方法进行介绍。
本发明实施例所提供的DDoS攻击防御方法的执行主体为防御设备,该防御设备可以为网络架构中的流量清洗设备、防火墙设备等,本发明实施例所提供的网络架构如图1所示,防御设备120和服务器110、外网130之间是串行的关系,防御设备120设置在服务器110和外网130之间,正常工作时,防御设备120将外网130发送的报文直接转发给服务器110,当受到DDoS攻击时,防御设备120会将外网130发送的攻击报文做阻断处理,只将正常报文转发给服务器110。实现本发明实施例所提供的DDoS攻击防御方法的方式可以为设置于防御设备中的软件、硬件电路和逻辑电路中的至少一种。
如图2所示,本发明实施例所提供的一种DDoS攻击防御方法,可以包括如下步骤。
S201,统计当前报文流量值。
当有外网的终端计算机发送的报文到达防御设备时,防御设备开始统计整体的报文流量值,报文流量值可以是防御设备在单位时间内接收到的平均报文数、也可以是防御设备在某一个预设时间段内(例如5分钟内)接收到的总的报文数。
S202,判断当前报文流量值是否达到攻击阈值。
攻击阈值是用于判断是否发生DDoS攻击所设置的阈值,当到达防御设备的报文流量值达到攻击阈值,则认为发生了DDoS攻击。
S203,若达到,则查询接收到的各报文的源IP地址是否处于黑名单中,其中,黑名单包括报文流量值持续大于预警阈值、且在老化时间内达到攻击阈值时各报文的源IP地址,其中,攻击阈值大于预警阈值。若报文的源IP地址处于黑名单中,则执行S204,否则执行S205至S206。
如果当前报文流量值达到攻击阈值,说明此时发生了DDoS攻击,则需要去黑名单中查询是否有接收到的各报文的源IP地址,黑名单为发生DDoS攻击时不允许通过的源IP地址名单。预警阈值是指服务器正常提供服务时能够达到的流量最大值,如果到达防御设备的报文流量值超过预警阈值,则表示可能发生了DDoS攻击,通常情况下,将预警阈值设置为正常阈值的1.5倍左右,以减少误判,这里所提及的正常阈值是指服务器正常工作时能够达到的流量的峰值平均值。
在一般情况下,某一外网终端计算机对服务器的多次正常访问之间都有一定的时间间隔,而DDoS攻击是连续的,报文流量值一旦大于预警阈值则说明可能发生了DDoS攻击,并且由于在DDoS攻击发生的前后时刻,大部分的报文是攻击报文,则可以确定如果报文流量值持续超过预警阈值、且在一定时间内达到了攻击阈值,这一时段内防御设备接收到的报文均可认为是攻击报文,则黑名单中所包括的就是报文流量值持续大于预警阈值、且在老化时间内达到所述攻击阈值时各报文的源IP地址。
本发明实施例中还可以设置一白名单,白名单为发生DDoS攻击时允许通过的源IP地址名单,则在当前报文流量值达到攻击阈值时,也就是发生DDoS攻击时,首先可以查询各报文的源IP地址是否处于白名单中,对于源IP地址处于白名单中的报文可以直接放行,保证关键用户服务不受影响。
可选的,黑名单的建立方式,具体可以包括:
实时检测报文流量值是否达到预警阈值;
若达到,则将各报文的源IP地址添加至灰名单中,其中,灰名单包括报文流量值达到预警阈值、但未达到攻击阈值时各报文的源IP地址;
判断在老化时间内,报文流量值是否达到攻击阈值;
若在老化时间内报文流量值达到攻击阈值,则将灰名单转换为黑名单。
防御设备可以对报文流量进行实时检测,判断报文流量是否达到预警阈值。如果没有达到,则可以对报文流量值进行分析,将可靠的源IP地址放入白名单中,这样在发生DDoS攻击时能够保证活跃用户的体验,然后继续对后续到达的报文进行流量检测,判断是否达到预警阈值。如果报文流量达到了预警阈值,则将各报文的源IP地址添加到灰名单中,灰名单是达到预警阈值但没有达到攻击阈值时接收的报文的源IP地址名单,即灰名单中记录的源IP地址为可能的DDoS攻击源。由于报文流量值达到预警阈值时,可能发生了DDoS攻击,所以将报文流量值达到预警阈值时的各报文的源IP地址都添加到灰名单中进行记录,这些源IP地址均有可能为DDoS攻击源。灰名单并不会阻碍报文的转发,只是用来防御DDoS攻击发生时能够防御DDoS攻击的基础信息。
而在报文流量值达到预警阈值之后,需要判断报文流量值是否达到攻击阈值,一旦达到攻击阈值,则说明发生了DDoS攻击,在DDoS攻击发生的前后时刻,大部分的报文是攻击报文,因此,可以将灰名单直接转换为黑名单,将报文流量值达到预警阈值之后直至达到攻击阈值这段时间内的报文的源IP地址均认为是DDoS攻击源。
针对灰名单,相应的设置有灰名单的老化时间,从生成灰名单开始,一旦到达老化时间,则会将灰名单里的源IP地址全部删除,重新进行统计;或者,还可以对灰名单中的每一条源IP地址的记录单独进行老化处理,一旦某一条源IP地址的记录到达老化时间,则会相应的从灰名单中删除该条源IP地址。如果在老化时间内报文流量值达到攻击阈值,将灰名单转换为黑名单时,同时会关闭老化时间,不对黑名单进行老化处理。
当然,在报文流量值达到预警阈值之后,如果在老化时间内,报文流量值低于了预警阈值,也就是流量恢复了正常,此时可以删除灰名单中的源IP地址并关闭老化时间。
可选的,在执行将各报文的源IP地址添加至灰名单中的步骤之后,本发明实施例所提供的DDoS攻击防御方法还可以包括如下步骤。
若在预设时段内,未再次检测到第一源IP地址的报文,则将第一源IP地址从灰名单中删除,其中,第一源IP地址为灰名单中的任一源IP地址。
正常情况下,某一终端计算机对服务器的多次正常访问之间都有一定的时间间隔,而DDoS攻击是连续的,所以如果一段时间内某个源IP地址没有再次出现则认为该源IP地址是正常的IP地址,需要将其从灰名单中删除。
由于在进行网络架构的搭建时,可以设置白名单,用于记录发生DDoS攻击时允许通过的源IP地址,因此如果发生DDoS攻击,若某一个报文的源IP地址处于白名单中,则可以直接放行该报文。但是,在网络实际运行时,某一些攻击者可能会挟持白名单中源IP地址的终端计算机,利用本身是正常访问的终端计算机对服务器发起攻击。因此,为避免此种情况,本发明实施例所提供的DDoS攻击防御方法还可以包括如下步骤。
步骤一、在当前报文流量值达到攻击阈值时,判断白名单中各源IP地址的流量值是否超过异常阈值,其中,白名单包括发生DDoS攻击时允许通过的源IP地址。
步骤二、将白名单中流量值超过异常阈值的源IP地址添加至黑名单,并删除白名单中流量值超过异常阈值的源IP地址。
防御设备在确定发生DDoS攻击时(当前报文流量值达到攻击阈值时),可以对白名单中各源IP地址的流量值进行统计,并判断流量值是否超过异常阈值,如果一个源IP地址的流量值超过了异常阈值,则说明该源IP地址的终端计算机被攻击者挟持,通过该源IP地址发送来的报文为攻击报文,因此,需要将这些源IP地址添加到黑名单中,并且从白名单中删除掉这些源IP地址。
在一些特殊情况下,正常用户通过某一个源IP地址对服务器的访问具有一定的规律性,而这些情况可能会发生在DDoS攻击发生的时期,为了应对这种情况,可选的,本发明实施例所提供的DDoS攻击防御方法还可以包括如下步骤。
步骤A、在预设统计时段中的各子时段内,统计黑名单中各源IP地址的流量值。
步骤B、针对黑名单中的各源IP地址,基于用户访问行为特征,分析各子时段内统计的流量值,确定访问正常的源IP地址。
步骤C、将黑名单中访问正常的源IP地址添加至白名单,并删除黑名单中访问正常的源IP地址。
本发明实施例中,可以设置一个预设统计时段,例如10:00-12:00,在预设统计时段内可以设置多个子时段,例如每30分钟统计一次黑名单中各源IP地址的流量值,每个用户有自己的访问行为特征,例如,用户A在10:00-12:00内,固定会在10:00-10:30、11:30-12:00这两个子时间段频繁地访问外网,产生的流量值会非常大,而在10:30-11:30内基本不会访问外网,产生的流量值较小,则基于这样的用户访问特征,对各子时段内的流量值进行分析。如果对于某一个用户的源IP地址,在预设统计时段内统计的各子时段的流量值符合该用户的访问行为特征,则认为该用户的源IP地址为访问正常的源IP地址,这些源IP地址的报文本应该是发生DDoS攻击时允许通过的报文,因此,需要将这些源IP地址添加至白名单中,并从黑名单中删除这些源IP地址。
对于在当前报文流量值达到攻击阈值后,可以对源IP地址处于白名单的报文进行流量统计,用来进行上述的判断白名单中的源IP地址的流量值是否达到异常阈值。对于源IP地址不在白名单中的报文,则按照预设统计时段中各子时段进行流量值统计,并可以进行访问用户行为特征的分析,从黑名单中确定出正常访问的源IP地址。
S204,阻断源IP地址处于黑名单中的报文。
由于黑名单中记录的是发生DDoS攻击时不允许通过的源IP地址,则需要阻断源IP地址处于黑名单中的报文,防止这些报文对服务器的攻击。
S205,判断接收到报文的接收时间是否处于锁定时间段内,其中,锁定时间段为从报文流量值达到攻击阈值的时间点开始到预设统计时段结束的时间点之间的时间段。
S206,若接收到报文的接收时间处于锁定时间段内,则将该报文的源IP地址加入黑名单,并阻断该报文。
判断如果某一报文的源IP地址不处于黑名单中,则无法确定该报文是否为攻击报文,需要判断接收到该报文的接收时间是否处于锁定时间段内,锁定时间段是从报文流量值达到攻击阈值的时间点开始、到预设统计时间段结束的时间点之间的时间段,报文流量值达到攻击阈值时,就可确定已发生DDoS攻击,而预设统计时间段为统计是否为攻击者的时间段,因此,在锁定时间段内接收到的报文极大概率为攻击报文,则将接收时间处于锁定时间段内的报文的源IP地址添加到黑名单中,并阻断该报文。如果接收到某一报文的接收时间不处于锁定时间段内,为了提高网络访问的安全性,可以直接阻断这个报文。
应用本发明实施例,通过统计当前报文流量值,判断当前报文流量值是否达到攻击阈值,若达到,则查询接收到的各报文的源IP地址是否处于黑名单中,如果一个报文的源IP地址处于黑名单中,则阻断该报文,如果一个报文的源地址不处于黑名单中,则判断接收到该报文的接收时间是否处于锁定时间段内,如果接收时间处于锁定时间段内,则将该报文的源IP地址加入黑名单,并阻断该报文。其中,黑名单包括报文流量值持续大于预警阈值、且在老化时间内达到攻击阈值时各报文的源IP地址,攻击阈值大于预警阈值,锁定时间段为从报文流量值达到攻击阈值的时间点开始到预设统计时段结束的时间点之间的时间段。
正常情况下,某一终端计算机对服务器的多次访问之间都有一定的时间间隔,而DDoS攻击是连续的,当报文流量值大于预警阈值时,可能会发生DDoS攻击,而报文流量值持续大于预警阈值且在一定时间内达到了攻击阈值,此时认为发生了DDoS攻击,且在DDoS攻击发生的前后,大部分的报文是攻击报文。因此,可以将报文流量值大于预警阈值到达到攻击阈值这一时段内各报文的源IP地址划到黑名单中。并且从报文流量值大于攻击阈值开始,到一定的统计时段结束的时间段内,攻击已经发生,因此在锁定时间段内接收到的报文极大可能为攻击报文,通过将锁定时间段内收到的报文的源IP地址加入黑名单中,能够保证黑名单尽可能的包含发起攻击报文的源IP地址,从而在利用黑名单进行DDoS攻击防御时,最大可能的阻断了攻击报文,能够实现及时、有效地对DDoS攻击的防御。
为了便于理解,下面结合具体实例,对本发明实施例所提供的DDoS攻击防御方法进行详细说明。
如图3所示,为本发明实施例执行DDoS攻击防御的具体执行流程图。
第一步,当接收到报文时,判断当前报文流量值是否达到攻击阈值。如果达到,则执行第二步,否则执行第三步。
第二步,查询各报文的源IP地址是否处于白名单中,如果是则放行,并对白名单中的源IP地址的流量值进行统计,判断白名单中的源IP地址的流量值是否达到了异常阈值,并将白名单中流量值超过异常阈值的源IP地址添加至黑名单,并删除白名单中流量值超过异常阈值的源IP地址。
如果报文的源IP地址不在白名单中,则查询源IP地址是否处于黑名单中,如果是则直接丢弃,阻断报文的转发。
如果报文的源IP地址既不在白名单中,也不在黑名单中,则判断接收到报文的接收时间是否处于锁定时间段内,如果是则将该报文的源IP地址加入黑名单并丢弃该报文;如果接收到报文的接收时间不处于锁定时间段,可以放行该报文、也可以丢弃该报文,然而由于该报文的源IP地址既不在白名单中,也不在黑名单中,无法确认该报文究竟是攻击报文还是正常报文,为了保证网络的安全性,可以选择将该报文直接丢弃,同时由于无法确定该报文是攻击报文,故可以不将该报文的源IP地址加入黑名单。
在防御设备上设定白名单和黑名单,初始白名单中由用户设定发生DDoS攻击时允许通过的源IP地址;初始黑名单中由用户设定发生DDoS攻击时不允许通过的源IP地址。
假设当前报文流量值为每秒35个报文,且防御设备接收到的各报文的源IP地址分别为192.168.1.117、12.12.16.152,能够从黑名单中查找到这两个源IP地址,说明目前接收到的报文均为攻击报文,则需要阻断这些报文的转发,直接将这些报文丢弃。
第三步,判断是否达到预警阈值。若达到,则执行第四步,否则执行第七步。
第四步,将各报文的源IP地址放入灰名单中,然后正常转发报文。并启动灰名单的老化时间,灰名单中的地址为报文流量值达到预警阈值后统计的各报文的源IP地址,这些源IP地址为可能的DDoS攻击源。
假设实时检查到的报文流量值为每秒30个报文,预警阈值为每秒22个报文,而此时接收到的各报文的源IP地址分别为10.10.18.101、11.11.17.102、192.168.1.117、12.12.16.152,由于报文流量值大于预警阈值,则灰名单实际为{10.10.18.101,11.11.17.102,192.168.1.117,12.12.16.152}。
报文流量值达到预警阈值之后需要进行两个步骤的判断,见第五步及第八步。
第五步,判断报文流量值是否低于预警阈值。也就是判断报文流量值是否恢复了正常,如果不低于,则继续循环执行第五步;如果低于,则执行第六步和第七步。
第六步,删除灰名单中的源IP地址并关闭老化时间。
第七步,对当前报文流量值进行分析,将可靠的源IP地址放入白名单中,这样在发生DDoS攻击时能够保证活跃用户的体验。
第八步,判断报文流量值是否达到攻击阈值,如果没有达到则继续循环执行第八步;如果达到,则执行第九步。
第九步,将灰名单转换成黑名单并且关闭老化时间。为避免白名单中的源IP地址可能被DDoS攻击者挟持,本实施例同时,需要分析白名单中各源IP地址的流量值是否大于异常阈值,当某些源IP地址的流量值超出了异常阈值时,将其加入黑名单。再者,还需要在预设统计时段中的各子时段内,统计黑名单中各源IP地址的流量值,基于用户访问行为特征,分析各子时段内的流量值,将分析认定为访问正常的源IP地址从黑名单中删除并加入白名单中。应当理解的是,在达到攻击阈值时,前述第二步中的步骤也会执行。
假设设置的攻击阈值为每秒28个报文,实时检测到的报文流量值为每秒30个报文,大于攻击阈值,则需要将灰名单转换为黑名单。
第十步,继续判断实时的报文流量值是否低于攻击阈值,如果不低于,则返回执行第九步,如果低于,则执行第十一步。
第十一步,将黑名单转换成灰名单,并启动老化时间。同时,还可以将各子时段内统计的黑名单中各源IP地址的流量值删除。
相应于上述方法实施例,本发明实施例提供了一种DDoS攻击防御装置,如图4所示,该DDoS攻击防御装置可以包括:
统计模块410,用于统计当前报文流量值;
判断模块420,用于判断所述当前报文流量值是否达到攻击阈值;
查询模块430,用于若所述判断模块420的判断结果为达到,则查询接收到的各报文的源IP地址是否处于黑名单中,所述黑名单包括报文流量值持续大于预警阈值、且在老化时间内达到所述攻击阈值时各报文的源IP地址,所述攻击阈值大于所述预警阈值;
阻断模块440,用于若报文的源IP地址处于所述黑名单中,则阻断所述报文;
所述判断模块420,还可以用于若所述报文的源IP地址不处于所述黑名单中,则判断接收到所述报文的接收时间是否处于锁定时间段内,所述锁定时间段为从报文流量值达到所述攻击阈值的时间点开始到预设统计时段结束的时间点之间的时间段;
所述阻断模块440,还可以用于若所述接收时间处于所述锁定时间段内,则将所述报文的源IP地址加入所述黑名单,并阻断所述报文。
可选的,所述装置还可以包括:
检测模块,用于实时检测报文流量值是否达到所述预警阈值;
灰名单添加模块,用于若所述报文流量值达到所述预警阈值,则将各报文的源IP地址添加至灰名单中,所述灰名单包括报文流量值达到所述预警阈值、但未达到所述攻击阈值时各报文的源IP地址;
所述判断模块420,还可以用于判断在所述老化时间内,所述报文流量值是否达到所述攻击阈值;
转换模块,用于若在所述老化时间内所述报文流量值达到所述攻击阈值,则将所述灰名单转换为所述黑名单。
可选的,所述装置还可以包括:
删除模块,用于若在预设时段内,未再次检测到第一源IP地址的报文,则将所述第一源IP地址从所述灰名单中删除,所述第一源IP地址为所述灰名单中的任一源IP地址。
可选的,所述判断模块420,还可以用于在所述当前报文流量值达到所述攻击阈值时,判断白名单中各源IP地址的流量值是否超过异常阈值,所述白名单包括发生DDoS攻击时允许通过的源IP地址;
所述装置还可以包括:
黑名单添加模块,用于将所述白名单中流量值超过所述异常阈值的源IP地址添加至所述黑名单,并删除所述白名单中流量值超过所述异常阈值的源IP地址。
可选的,所述统计模块410,还可以用于在所述预设统计时段中的各子时段内,统计所述黑名单中各源IP地址的流量值;
所述装置还可以包括:
分析模块,用于针对所述黑名单中的各源IP地址,基于用户访问行为特征,分析所述各子时段内统计的流量值,确定访问正常的源IP地址;
白名单添加模块,用于将所述黑名单中所述访问正常的源IP地址添加至白名单,并删除所述黑名单中所述访问正常的源IP地址。
应用本发明实施例,通过统计当前报文流量值,判断当前报文流量值是否达到攻击阈值,若达到,则查询接收到的各报文的源IP地址是否处于黑名单中,如果一个报文的源IP地址处于黑名单中,则阻断该报文,如果一个报文的源地址不处于黑名单中,则判断接收到该报文的接收时间是否处于锁定时间段内,如果接收时间处于锁定时间段内,则将该报文的源IP地址加入黑名单,并阻断该报文。其中,黑名单包括报文流量值持续大于预警阈值、且在老化时间内达到攻击阈值时各报文的源IP地址,攻击阈值大于预警阈值,锁定时间段为从报文流量值达到攻击阈值的时间点开始到预设统计时段结束的时间点之间的时间段。正常情况下,某一终端计算机对服务器的多次访问之间都有一定的时间间隔,而DDoS攻击是连续的,当报文流量值大于预警阈值时,可能会发生DDoS攻击,而报文流量值持续大于预警阈值且在一定时间内达到了攻击阈值,此时认为发生了DDoS攻击,且在DDoS攻击发生的前后,大部分的报文是攻击报文。因此,可以将报文流量值大于预警阈值到达到攻击阈值这一时段内各报文的源IP地址划到黑名单中。并且从报文流量值大于攻击阈值开始,到一定的统计时段结束的时间段内,攻击已经发生,因此在锁定时间段内接收到的报文极大可能为攻击报文,通过将锁定时间段内收到的报文的源IP地址加入黑名单中,能够保证黑名单尽可能的包含发起攻击报文的源IP地址,从而在利用黑名单进行DDoS攻击防御时,最大可能的阻断了攻击报文,能够实现及时、有效地对DDoS攻击的防御。
本发明实施例还提供了一种防御设备,如图5所示,包括处理器501和机器可读存储介质502,其中,所述机器可读存储介质502存储有能够被所述处理器501执行的机器可执行指令,所述机器可执行指令由所述处理器501加载并执行,以实现本发明实施例所提供的DDoS攻击防御方法。
上述机器可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-volatile Memory,非易失性存储器),例如至少一个磁盘存储器。可选的,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processor,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
机器可读存储介质502与处理器501之间可以通过有线连接或者无线连接的方式进行数据传输,并且防御设备与其他设备之间可以通过有线通信接口或者无线通信接口进行通信。图5所示的仅为通过总线进行数据传输的示例,不作为具体连接方式的限定。
本实施例中,处理器通过读取机器可读存储介质中存储的机器可执行指令,并通过加载和执行机器可执行指令,能够实现:通过统计当前报文流量值,判断当前报文流量值是否达到攻击阈值,若达到,则查询接收到的各报文的源IP地址是否处于黑名单中,如果一个报文的源IP地址处于黑名单中,则阻断该报文,如果一个报文的源地址不处于黑名单中,则判断接收到该报文的接收时间是否处于锁定时间段内,如果接收时间处于锁定时间段内,则将该报文的源IP地址加入黑名单,并阻断该报文。其中,黑名单包括报文流量值持续大于预警阈值、且在老化时间内达到攻击阈值时各报文的源IP地址,攻击阈值大于预警阈值,锁定时间段为从报文流量值达到攻击阈值的时间点开始到预设统计时段结束的时间点之间的时间段。正常情况下,某一终端计算机对服务器的多次访问之间都有一定的时间间隔,而DDoS攻击是连续的,当报文流量值大于预警阈值时,可能会发生DDoS攻击,而报文流量值持续大于预警阈值且在一定时间内达到了攻击阈值,此时认为发生了DDoS攻击,且在DDoS攻击发生的前后,大部分的报文是攻击报文。因此,可以将报文流量值大于预警阈值到达到攻击阈值这一时段内各报文的源IP地址划到黑名单中。并且从报文流量值大于攻击阈值开始,到一定的统计时段结束的时间段内,攻击已经发生,因此在锁定时间段内接收到的报文极大可能为攻击报文,通过将锁定时间段内收到的报文的源IP地址加入黑名单中,能够保证黑名单尽可能的包含发起攻击报文的源IP地址,从而在利用黑名单进行DDoS攻击防御时,最大可能的阻断了攻击报文,能够实现及时、有效地对DDoS攻击的防御。
另外,本发明实施例还提供了一种机器可读存储介质,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令在被处理器加载并执行时,实现本发明实施例所提供的DDoS攻击防御方法。
本实施例中,机器可读存储介质存储有在运行时执行本发明实施例所提供的DDoS攻击防御方法的机器可执行指令,因此能够实现:通过统计当前报文流量值,判断当前报文流量值是否达到攻击阈值,若达到,则查询接收到的各报文的源IP地址是否处于黑名单中,如果一个报文的源IP地址处于黑名单中,则阻断该报文,如果一个报文的源地址不处于黑名单中,则判断接收到该报文的接收时间是否处于锁定时间段内,如果接收时间处于锁定时间段内,则将该报文的源IP地址加入黑名单,并阻断该报文。其中,黑名单包括报文流量值持续大于预警阈值、且在老化时间内达到攻击阈值时各报文的源IP地址,攻击阈值大于预警阈值,锁定时间段为从报文流量值达到攻击阈值的时间点开始到预设统计时段结束的时间点之间的时间段。正常情况下,某一终端计算机对服务器的多次访问之间都有一定的时间间隔,而DDoS攻击是连续的,当报文流量值大于预警阈值时,可能会发生DDoS攻击,而报文流量值持续大于预警阈值且在一定时间内达到了攻击阈值,此时认为发生了DDoS攻击,且在DDoS攻击发生的前后,大部分的报文是攻击报文。因此,可以将报文流量值大于预警阈值到达到攻击阈值这一时段内各报文的源IP地址划到黑名单中。并且从报文流量值大于攻击阈值开始,到一定的统计时段结束的时间段内,攻击已经发生,因此在锁定时间段内接收到的报文极大可能为攻击报文,通过将锁定时间段内收到的报文的源IP地址加入黑名单中,能够保证黑名单尽可能的包含发起攻击报文的源IP地址,从而在利用黑名单进行DDoS攻击防御时,最大可能的阻断了攻击报文,能够实现及时、有效地对DDoS攻击的防御。
对于防御设备及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、防御设备及机器可读存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种分布式拒绝服务DDoS攻击防御方法,其特征在于,所述方法包括:
统计当前报文流量值;
判断所述当前报文流量值是否达到攻击阈值;
若达到,则查询接收到的各报文的源IP地址是否处于黑名单中,所述黑名单包括报文流量值持续大于预警阈值、且在老化时间内达到所述攻击阈值时各报文的源IP地址,所述攻击阈值大于所述预警阈值;
若报文的源IP地址处于所述黑名单中,则阻断所述报文;
若所述报文的源IP地址不处于所述黑名单中,则判断接收到所述报文的接收时间是否处于锁定时间段内,所述锁定时间段为从报文流量值达到所述攻击阈值的时间点开始到预设统计时段结束的时间点之间的时间段;
若所述接收时间处于所述锁定时间段内,则将所述报文的源IP地址加入所述黑名单,并阻断所述报文。
2.根据权利要求1所述的方法,其特征在于,所述黑名单的建立方式,包括:
实时检测报文流量值是否达到所述预警阈值;
若达到,则将各报文的源IP地址添加至灰名单中,所述灰名单包括报文流量值达到所述预警阈值、但未达到所述攻击阈值时各报文的源IP地址;
判断在所述老化时间内,所述报文流量值是否达到所述攻击阈值;
若在所述老化时间内所述报文流量值达到所述攻击阈值,则将所述灰名单转换为所述黑名单。
3.根据权利要求2所述的方法,其特征在于,在所述将各报文的源IP地址添加至灰名单中之后,所述方法还包括:
若在预设时段内,未再次检测到第一源IP地址的报文,则将所述第一源IP地址从所述灰名单中删除,所述第一源IP地址为所述灰名单中的任一源IP地址。
4.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
在所述当前报文流量值达到所述攻击阈值时,判断白名单中各源IP地址的流量值是否超过异常阈值,所述白名单包括发生DDoS攻击时允许通过的源IP地址;
将所述白名单中流量值超过所述异常阈值的源IP地址添加至所述黑名单,并删除所述白名单中流量值超过所述异常阈值的源IP地址。
5.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
在所述预设统计时段中的各子时段内,统计所述黑名单中各源IP地址的流量值;
针对所述黑名单中的各源IP地址,基于用户访问行为特征,分析所述各子时段内统计的流量值,确定访问正常的源IP地址;
将所述黑名单中所述访问正常的源IP地址添加至白名单,并删除所述黑名单中所述访问正常的源IP地址。
6.一种分布式拒绝服务DDoS攻击防御装置,其特征在于,所述装置包括:
统计模块,用于统计当前报文流量值;
判断模块,用于判断所述当前报文流量值是否达到攻击阈值;
查询模块,用于若所述判断模块的判断结果为达到,则查询接收到的各报文的源IP地址是否处于黑名单中,所述黑名单包括报文流量值持续大于预警阈值、且在老化时间内达到所述攻击阈值时各报文的源IP地址,所述攻击阈值大于所述预警阈值;
阻断模块,用于若报文的源IP地址处于所述黑名单中,则阻断所述报文;
所述判断模块,还用于若所述报文的源IP地址不处于所述黑名单中,则判断接收到所述报文的接收时间是否处于锁定时间段内,所述锁定时间段为从报文流量值达到所述攻击阈值的时间点开始到预设统计时段结束的时间点之间的时间段;
所述阻断模块,还用于若所述接收时间处于所述锁定时间段内,则将所述报文的源IP地址加入所述黑名单,并阻断所述报文。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
检测模块,用于实时检测报文流量值是否达到所述预警阈值;
灰名单添加模块,用于若所述报文流量值达到所述预警阈值,则将各报文的源IP地址添加至灰名单中,所述灰名单包括报文流量值达到所述预警阈值、但未达到所述攻击阈值时各报文的源IP地址;
所述判断模块,还用于判断在所述老化时间内,所述报文流量值是否达到所述攻击阈值;
转换模块,用于若在所述老化时间内所述报文流量值达到所述攻击阈值,则将所述灰名单转换为所述黑名单。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
删除模块,用于若在预设时段内,未再次检测到第一源IP地址的报文,则将所述第一源IP地址从所述灰名单中删除,所述第一源IP地址为所述灰名单中的任一源IP地址。
9.根据权利要求6或7所述的装置,其特征在于,所述判断模块,还用于在所述当前报文流量值达到所述攻击阈值时,判断白名单中各源IP地址的流量值是否超过异常阈值,所述白名单包括发生DDoS攻击时允许通过的源IP地址;
所述装置还包括:
黑名单添加模块,用于将所述白名单中流量值超过所述异常阈值的源IP地址添加至所述黑名单,并删除所述白名单中流量值超过所述异常阈值的源IP地址。
10.根据权利要求6或7所述的装置,其特征在于,所述统计模块,还用于在所述预设统计时段中的各子时段内,统计所述黑名单中各源IP地址的流量值;
所述装置还包括:
分析模块,用于针对所述黑名单中的各源IP地址,基于用户访问行为特征,分析所述各子时段内统计的流量值,确定访问正常的源IP地址;
白名单添加模块,用于将所述黑名单中所述访问正常的源IP地址添加至白名单,并删除所述黑名单中所述访问正常的源IP地址。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910247959.8A CN109831461B (zh) | 2019-03-29 | 2019-03-29 | 一种分布式拒绝服务DDoS攻击防御方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910247959.8A CN109831461B (zh) | 2019-03-29 | 2019-03-29 | 一种分布式拒绝服务DDoS攻击防御方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109831461A true CN109831461A (zh) | 2019-05-31 |
CN109831461B CN109831461B (zh) | 2021-10-26 |
Family
ID=66873634
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910247959.8A Active CN109831461B (zh) | 2019-03-29 | 2019-03-29 | 一种分布式拒绝服务DDoS攻击防御方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109831461B (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110519248A (zh) * | 2019-08-19 | 2019-11-29 | 光通天下网络科技股份有限公司 | DDoS攻击判定及流量清洗的方法、装置和电子设备 |
CN110545259A (zh) * | 2019-07-27 | 2019-12-06 | 苏州哈度软件有限公司 | 一种基于报文更替的应用层攻击防护方法及其防护系统 |
CN110572416A (zh) * | 2019-10-15 | 2019-12-13 | 赛尔网络有限公司 | 黑名单生成方法、装置、电子设备及介质 |
CN110912904A (zh) * | 2019-11-27 | 2020-03-24 | 腾讯科技(深圳)有限公司 | 恶意设备识别方法、装置、存储介质和计算机设备 |
CN112019533A (zh) * | 2020-08-20 | 2020-12-01 | 紫光云(南京)数字技术有限公司 | 一种缓解CDN系统被DDoS攻击的方法及系统 |
CN112769734A (zh) * | 2019-11-05 | 2021-05-07 | 中国电信股份有限公司 | 网络攻击的检测方法、装置和计算机可读存储介质 |
CN112769791A (zh) * | 2020-12-30 | 2021-05-07 | 北京天融信网络安全技术有限公司 | 一种网络防御方法及装置 |
CN112804230A (zh) * | 2020-05-12 | 2021-05-14 | 上海有孚智数云创数字科技有限公司 | 分布式拒绝服务攻击的监控方法、系统、设备及存储介质 |
CN112929347A (zh) * | 2021-01-25 | 2021-06-08 | 百果园技术(新加坡)有限公司 | 一种限频方法、装置、设备及介质 |
CN114024768A (zh) * | 2021-12-01 | 2022-02-08 | 北京天融信网络安全技术有限公司 | 一种基于DDoS攻击的安全防护方法及装置 |
CN114338233A (zh) * | 2022-02-28 | 2022-04-12 | 北京安帝科技有限公司 | 基于流量解析的网络攻击检测方法和系统 |
CN116132194A (zh) * | 2023-03-24 | 2023-05-16 | 杭州海康威视数字技术股份有限公司 | 嵌入式设备未知攻击入侵检测防御方法、系统及装置 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2204963B1 (en) * | 2007-11-20 | 2014-09-10 | Huawei Technologies Co., Ltd. | Session monitoring method, device and system based on multicast technique |
CN105516165A (zh) * | 2015-12-22 | 2016-04-20 | 华为技术有限公司 | 一种识别计费欺诈的非法代理的方法、设备及系统 |
CN105939361A (zh) * | 2016-06-23 | 2016-09-14 | 杭州迪普科技有限公司 | 防御cc攻击的方法及装置 |
CN105959250A (zh) * | 2015-10-22 | 2016-09-21 | 杭州迪普科技有限公司 | 网络攻击黑名单管理方法及装置 |
CN108173812A (zh) * | 2017-12-07 | 2018-06-15 | 东软集团股份有限公司 | 防止网络攻击的方法、装置、存储介质和设备 |
US10116671B1 (en) * | 2017-09-28 | 2018-10-30 | International Business Machines Corporation | Distributed denial-of-service attack detection based on shared network flow information |
CN109474575A (zh) * | 2018-09-11 | 2019-03-15 | 北京奇安信科技有限公司 | 一种dns隧道的检测方法及装置 |
-
2019
- 2019-03-29 CN CN201910247959.8A patent/CN109831461B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2204963B1 (en) * | 2007-11-20 | 2014-09-10 | Huawei Technologies Co., Ltd. | Session monitoring method, device and system based on multicast technique |
CN105959250A (zh) * | 2015-10-22 | 2016-09-21 | 杭州迪普科技有限公司 | 网络攻击黑名单管理方法及装置 |
CN105516165A (zh) * | 2015-12-22 | 2016-04-20 | 华为技术有限公司 | 一种识别计费欺诈的非法代理的方法、设备及系统 |
CN105939361A (zh) * | 2016-06-23 | 2016-09-14 | 杭州迪普科技有限公司 | 防御cc攻击的方法及装置 |
US10116671B1 (en) * | 2017-09-28 | 2018-10-30 | International Business Machines Corporation | Distributed denial-of-service attack detection based on shared network flow information |
CN108173812A (zh) * | 2017-12-07 | 2018-06-15 | 东软集团股份有限公司 | 防止网络攻击的方法、装置、存储介质和设备 |
CN109474575A (zh) * | 2018-09-11 | 2019-03-15 | 北京奇安信科技有限公司 | 一种dns隧道的检测方法及装置 |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110545259A (zh) * | 2019-07-27 | 2019-12-06 | 苏州哈度软件有限公司 | 一种基于报文更替的应用层攻击防护方法及其防护系统 |
CN110519248A (zh) * | 2019-08-19 | 2019-11-29 | 光通天下网络科技股份有限公司 | DDoS攻击判定及流量清洗的方法、装置和电子设备 |
CN110572416A (zh) * | 2019-10-15 | 2019-12-13 | 赛尔网络有限公司 | 黑名单生成方法、装置、电子设备及介质 |
CN112769734A (zh) * | 2019-11-05 | 2021-05-07 | 中国电信股份有限公司 | 网络攻击的检测方法、装置和计算机可读存储介质 |
CN112769734B (zh) * | 2019-11-05 | 2022-08-02 | 中国电信股份有限公司 | 网络攻击的检测方法、装置和计算机可读存储介质 |
CN110912904B (zh) * | 2019-11-27 | 2021-07-02 | 腾讯科技(深圳)有限公司 | 恶意设备识别方法、装置、存储介质和计算机设备 |
CN110912904A (zh) * | 2019-11-27 | 2020-03-24 | 腾讯科技(深圳)有限公司 | 恶意设备识别方法、装置、存储介质和计算机设备 |
CN112804230B (zh) * | 2020-05-12 | 2023-01-24 | 上海有孚智数云创数字科技有限公司 | 分布式拒绝服务攻击的监控方法、系统、设备及存储介质 |
CN112804230A (zh) * | 2020-05-12 | 2021-05-14 | 上海有孚智数云创数字科技有限公司 | 分布式拒绝服务攻击的监控方法、系统、设备及存储介质 |
CN112019533A (zh) * | 2020-08-20 | 2020-12-01 | 紫光云(南京)数字技术有限公司 | 一种缓解CDN系统被DDoS攻击的方法及系统 |
CN112769791A (zh) * | 2020-12-30 | 2021-05-07 | 北京天融信网络安全技术有限公司 | 一种网络防御方法及装置 |
CN112929347A (zh) * | 2021-01-25 | 2021-06-08 | 百果园技术(新加坡)有限公司 | 一种限频方法、装置、设备及介质 |
CN114024768A (zh) * | 2021-12-01 | 2022-02-08 | 北京天融信网络安全技术有限公司 | 一种基于DDoS攻击的安全防护方法及装置 |
CN114338233A (zh) * | 2022-02-28 | 2022-04-12 | 北京安帝科技有限公司 | 基于流量解析的网络攻击检测方法和系统 |
CN116132194A (zh) * | 2023-03-24 | 2023-05-16 | 杭州海康威视数字技术股份有限公司 | 嵌入式设备未知攻击入侵检测防御方法、系统及装置 |
CN116132194B (zh) * | 2023-03-24 | 2023-06-27 | 杭州海康威视数字技术股份有限公司 | 嵌入式设备未知攻击入侵检测防御方法、系统及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN109831461B (zh) | 2021-10-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109831461A (zh) | 一种分布式拒绝服务DDoS攻击防御方法及装置 | |
CN106453215B (zh) | 一种网络攻击的防御方法、装置及系统 | |
Jansen et al. | The Sniper Attack: Anonymously Deanonymizing and Disabling the Tor Network. | |
KR101425107B1 (ko) | 네트워크 도메인간 보안정보 공유 장치 및 방법 | |
Pham et al. | Detecting colluding blackhole and greyhole attacks in delay tolerant networks | |
KR101070614B1 (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
Cambiaso et al. | Taxonomy of slow DoS attacks to web applications | |
US8601081B1 (en) | Method of detecting compromised computers in a network | |
CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
CN101465855B (zh) | 一种同步泛洪攻击的过滤方法及系统 | |
US7617526B2 (en) | Blocking of spam e-mail at a firewall | |
CN107395632B (zh) | SYN Flood防护方法、装置、清洗设备及介质 | |
CN105553974A (zh) | 一种http慢速攻击的防范方法 | |
CN109657463B (zh) | 一种报文洪泛攻击的防御方法及装置 | |
CN104468554A (zh) | 基于ip和host的攻击检测方法和装置 | |
CN103428224A (zh) | 一种智能防御DDoS攻击的方法和装置 | |
CN110519251A (zh) | 一种攻击行为检测方法及装置 | |
CN108234486A (zh) | 一种网络监测方法及监测服务器 | |
KR101409758B1 (ko) | 콘텐츠 중심 네트워크에서의 서비스 거부 공격 탐지 장치 및 방법 | |
CN110266673A (zh) | 基于大数据的安全策略优化处理方法和装置 | |
Traynor et al. | Exploiting open functionality in SMS-capable cellular networks | |
Huang et al. | FSDM: Fast recovery saturation attack detection and mitigation framework in SDN | |
Wan et al. | A SIP DoS flooding attack defense mechanism based on priority class queue | |
CN107454065A (zh) | 一种UDP Flood攻击的防护方法及装置 | |
JP2008136176A (ja) | メモリブロックの割り当てを管理する方法及びデバイス、データ伝送ネットワークシステム、コンピュータ可読媒体、並びにコンピュータプログラム製品 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |