CN110249603A - 用于检测无线网络中的分布式攻击的方法和攻击检测功能 - Google Patents
用于检测无线网络中的分布式攻击的方法和攻击检测功能 Download PDFInfo
- Publication number
- CN110249603A CN110249603A CN201780085298.2A CN201780085298A CN110249603A CN 110249603 A CN110249603 A CN 110249603A CN 201780085298 A CN201780085298 A CN 201780085298A CN 110249603 A CN110249603 A CN 110249603A
- Authority
- CN
- China
- Prior art keywords
- wireless device
- attack
- detecting function
- business stream
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
- H04W28/0215—Traffic management, e.g. flow control or congestion control based on user or device properties, e.g. MTC-capable devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/38—Services specially adapted for particular environments, situations or purposes for collecting sensor information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种用于检测多个无线设备经由网络节点(210)所连接到的无线网络(206)中的分布式攻击的方法和攻击检测功能(200)。检查来自多个无线设备(208)中的每个无线设备的业务流的特性是否满足与源自无线设备的异常业务相关的预定阈值条件。当检测到业务流的所述特性满足所述阈值条件时,例如,基于与源自所述无线设备的先前的业务有关的统计信息来识别来自所述无线设备的所述业务流的改变。然后,可以基于所述业务流的所述已识别的改变,确定所述无线设备是否被用于所述分布式攻击中。
Description
技术领域
本公开总体上涉及用于检测无线网络中由对无线设备的操纵所产生的分布式攻击的方法和攻击检测功能。
背景技术
在本公开中,术语“无线设备”用于表示能够通过发送和接收无线电信号与无线电网络进行无线电通信的任何通信实体,例如,移动电话、传感器以及M2M(机器对机器)设备,后者也被称作MTC(机器型通信)设备。该领域中的另一常见通用术语是“IoT(物联网)传感器”,其在本文中经常被用作无线设备的非限制性示例。
在无线通信领域中,采用各种传感器通过执行各种测量和观测来监控区域、机器或组件变得日益普遍。这些传感器通常通过无线网络报告其测量和观测结果,其中该测量和观测结果要由可以在云环境中操作的某一中央控制服务器等处理。
例如,传感器可以被配置为测量和报告可能感兴趣的某种度量或参数,例如温度、压力、光、移动和声音,仅列举几个说明性示例。上述传感器通常被配置为通过定期地报告相当数量的数据来自动地或自主地操作。这种传感器已经被设计用于以低成本进行简单操作,并且它们通常不良地实现较高层协议,因此这些较高层协议可能非常容易受到攻击。
在无线网络中,有时需要保护网络上的无线设备以免被某一非法方操纵从而触发大量的设备基本上同时向特定目标(例如,服务器或计算机)发送业务,其目的是在目标和/或网络上创建有害的和破坏性的负荷。对无线设备的这种分布式安全攻击通常被称作分布式拒绝服务(DDoS)攻击。具体地,上述传感器经常遭受DDoS攻击,其中DDoS攻击将作为分布式安全攻击的示例在下文中被更详细地描述。
可以利用恶意代码来修改被攻击的传感器,使其执行攻击者感兴趣的附加功能。具体地,传感器可以被修改以攻击其它传感器、用户设备或网络服务。当以这种方式修改若干个传感器时,这些传感器可以一起协调起来以执行分布式攻击。考虑到经常部署大量的传感器,这种攻击可能是毁灭性的,因为大量的传感器可能被编程为向单个目的地发送业务,从而使该目的地在高负荷下发生故障。
然而,在目前的无线网络中可能无法检测到分布式攻击何时可能发生并且因此不能及时地(即,在目标和/或网络已经被攻击(例如,被功能故障)严重破坏之前)停止该分布式攻击。跟踪这种攻击也是困难的,这是因为将需要检验和分析网络中的大量业务(包括合法和正常业务)
发明内容
本文描述的实施例的目的是解决至少一些以上概述的问题和情况。可以通过使用所附独立权利要求中定义的方法和攻击检测功能来实现该目的和其它目的。
根据一个方面,由攻击检测功能执行一种用于检测多个无线设备所连接到的无线网络中的分布式攻击的方法。在该方法中,攻击检测功能首先检测来自多个无线设备中的每个无线设备的业务流的特性满足与源自无线设备的异常业务相关的预定阈值条件,并且然后识别来自无线设备的业务流的改变。基于业务流的所述已识别的改变,攻击检测功能还确定无线设备是否被用于分布式攻击中。
根据另一方面,一种攻击检测功能被布置为实现或支持对多个无线设备所连接到的无线网络中的分布式攻击的检测。攻击检测功能被配置为:检测来自多个无线设备中的每个无线设备的业务流的特性满足与源自无线设备的异常业务相关的预定阈值条件。攻击检测功能还被配置为:例如基于与源自无线设备的先前的业务有关的统计信息来识别来自无线设备的业务流的改变。攻击检测功能还配置为:基于业务流的所述已识别的改变,确定无线设备是否被用于分布式攻击中。
通过使用上述方法和攻击检测功能中的任意一种,优点在于能够以自动且可靠的方式检测无线网络中的分布式攻击,并且由于能够识别和检验“可疑的”业务,因此业务的分析能够更加有效。因此,不是检验来自无线设备的所有的业务,而是只需要检验已识别的可疑的业务(即,指示无线设备的某种异常行为的业务)。因此,将减少来自无线设备的合法且正常的业务的传输延迟。
上述方法和攻击检测功能可以根据不同的可选实施例来配置和实现,以实现下文将要描述的其它特征和优点。
还提供了一种计算机程序,其包括当在攻击检测功能中的至少一个处理器上执行时使该至少一个处理器执行上述方法的指令。还提供包含上述计算机程序的载体,其中,所述载体是电信号、光信号、无线电信号或计算机可读存储介质中的一种。
附图说明
现在将通过示例性实施例并参考附图来更详细地描述该解决方案,在附图中:
图1是示出了根据一些可能的实施例的攻击检测功能中的过程的流程图。
图2是示出了根据一些可能的实施例的可以如何使用该解决方案的示例的通信场景。
图2A是示出了根据一些可能的实施例的可以如何在实践中在5G网络中使用该解决方案的另一个示例的通信场景。
图3是示出了根据另外的可能的实施例的使用该解决方案时的过程的示例的信令图。
图4示出了根据一些可能的实施例的可以如何在传输网络中实现与数据流有关的计量技术的示例的框图。
图5是示出了根据另外的可能的实施例的可以如何配置攻击检测功能的框图。
图5A是示出了根据另外的可能的实施例的可以如何配置攻击检测功能的另一示例的框图。
具体实施方式
本文描述的实施例可以用在用于检测是否通过操纵无线网络中的无线设备进行或已经进行了分布式攻击的过程中。下面描述了可能发生这种攻击的一些情况和情景。
所谓的“物联网”IoT通常用于表示数十亿的传感器在未来的网络中被连接的情景。由于可以在IoT传感器中使用的多种多样的技术集合,这些传感器可以连接到IoT网关的集合,其中这些IoT网关从传感器接收数据并且然后向对应的服务器提供IP连接。尽管在本说明书中将IoT传感器用作说明性示例,但是本文描述的实施例和特征不限于IoT传感器。
IoT传感器通常处于休眠模式以例如通过减少电池消耗来节省能量,并且传感器可以根据配置在短时间段内唤醒以执行一些操作。通常,大多数IoT传感器可以根据其激活时间段被分类成两个主要群组:即可以周期性地发送信息的IoT传感器(例如,温度传感器)和可以仅在由一些条件触发时才发送信息的IoT传感器(例如,烟雾检测器)。
在部署IoT时通常期望提供一些安全性。具体地,具有不同技术和操作系统的大量的IoT传感器使得难以检验和监控所有传感器以发现弱点和异常。因为传感器的简单性,可能需要弱化安全实现,这也是为了节省成本。IoT中的安全攻击的示例是上述DDoS攻击,其中攻击者能够通过唤醒数百个IoT传感器来利用IoT传感器的弱点以便创建用于对特定的目标执行分布式攻击的僵尸网络大军。在本说明书中,术语“分布式攻击”通常被用于表示涉及对多个无线设备(例如,IoT传感器)进行操纵以便使设备以可能损害网络或其中的任意数量的节点和实体的方式进行操作的任意这种攻击。
在另一方面,网络化的最新趋势是使未来的网络可编程,运营商可以在其中定义网络功能的集合并且可以决定网络化元件的转发行为。软件定义网络化SDN是用于在未来网络中提供高等级的网络可编程性和可管理性的关键技术。SDN在基础网络中提供更高等级的网络抽象以及更大的灵活性和可控性。OpenFlow是SDN网络中的最公知的协议,其提供网络资源上的根据流的控制。
SDN将是5G网络中用于在管理大量无线设备(例如,IoT传感器)时提供更高的可控性的一部分,然而对用于实现IoT情况下的SDN(特别是作为安全防护机制)的投入是有限的。已经在2016年的International Conference on Distributed Computing in SensorSystems上在Carlos Gonzalez的“Flow Based Security for IoT Devices using an SDNGateway”中描述了SDN可以被用于实现对使用启用SDN的网关的IoT传感器的按流分析(per-flow analysis)。也已经在2016的IEEE 4th International Conference on FutureInternet of Things and Cloud上在Peter Bull等人的“Flow Based Security for IoTDevices using an SDN Gateway”中描述了可以如何通过部署分布式的SDN架构以安全地连接位于不同的网络中的传感器来提高安全性。
现在将讨论可能出现在无线网络中的一些问题。如上文已经说明的,当在网络中使用大量的设备(例如,IoT传感器)和不同的技术时,难以检验和监控每个传感器。大量的设备或传感器可以连接到分布式网络中的多个网关,并且分析每个传感器的状态是非常困难的。考虑到传感器的密集和分布式部署,DDoS攻击可以从网络的不同部分开始。各个网关处的安全解决方案对于防止DDoS攻击可能不是有效或足够的。
而且,基于SDN的解决方案通常具有用于管理大量传感器的可扩展性问题,因为这些传感器可能需要对所有IoT网关进行改变。实际上,在集中式控制器中管理大量的IoT传感器可能不是可行的或“可扩展的”。另外,启用SDN的网关需要对已有的网关产品进行改变。
通过采用本文所述的攻击检测功能可以处理或解决上述问题。在一个示例中,可以使用基于SDN的可扩展方法来防止来自IoT传感器的DDoS攻击。在该解决方案中,可以利用许多IoT传感器通常在短时间段内是激活的以发送数据这一点。例如,控制节点(例如,SDN控制器)可以针对超过或超出一些预定阈值的数据流向DDoS检测器发送通知。术语“DDoS检测器”在本文中被用作攻击检测功能的示例。在接收到这种通知之后,DDoS检测器分析数据流中(例如,与数据流的业务量、脉冲串大小和/或目的地相关)的改变。然后,DDoS检测器可以通知SDN控制器丢弃业务或者在与无线网络相关联的传输网络处重新路由业务。
能够通过使用本文描述的解决方案和实施例实现的益处和优点的一些示例如下:
可以检测和防止来自位于无线或蜂窝网络的边缘处的IoT设备的DDoS攻击。
这种解决方案在大的网络(特别是在未来的5G网络)中是可扩展的和可部署的。
这种解决方案不需要对IoT网关或传感器进行任何改变。另外,这种解决方案不需要对OpenFlow协议或SDN架构进行任何改变。
不是检验源自传感器的所有业务,而是只需要检验可疑的业务(即,指示设备或传感器的某种异常行为的业务)。这将减少来自无线设备(例如,IoT传感器)的合法和正常业务的传输延迟。
现在将参考图1中的流程图来描述可以如何在动作方面采用该解决方案的示例,其中所述动作可以由攻击检测功能或类似的实体执行,并且图1示出了用于检测多个无线设备所连接到的无线网络中的分布式攻击的过程。该过程中的攻击检测功能可以备选地被称为监督节点或功能、或网络监控节点或功能、或分布式拒绝服务DDoS检测器,仅给出了本文描述的功能可以如何命名的几个非限制性的示例。还将描述可以在该过程中使用的一些可选示例实施例。
第一动作100示出了攻击检测功能检测来自多个无线设备中的每个无线设备的业务流的特性满足与源自无线设备的异常业务相关的预定阈值条件。在另一个动作102中,所述攻击检测功能还例如基于与源自无线设备的先前的业务有关的统计信息来识别来自无线设备的业务流的改变。业务流的这种改变可以包括:业务流的增大的业务速率、改变的脉冲串间隔和/或改变的目的地,其中的任一项都可以指示与分布式攻击相关联的异常行为。
在另一个动作104中,攻击检测功能还基于业务流的所述已识别的改变来确定无线设备是否被用于分布式攻击中。可以在检测到业务流的已识别的改变指示无线设备的可能潜在地促成分布式攻击的行为时做出该确定。例如,当业务流的已识别的改变超过一些阈值等时可以怀疑存在分布式攻击,这将在下面更详细地描述。
在可选的另一动作106中,攻击检测功能还可以向控制节点(其在本文也被称为“软件定义的网络化SDN控制器”)发送通知等,例如,使得可以按照分布式攻击以适当的方式被处理的方式来中断或重新路由来自无线设备的业务流。例如,可以通过消除攻击或以某种方式减小其不利影响来处理已检测的分布式攻击,但是这在本说明书的范围之外。
图2示出了用于检测无线网络中的分布式攻击的过程以图1的上述方式发生的通信场景,其中该通信场景包括攻击检测功能200、统计信息收集节点202和控制节点204。无线网络206还被示为多个无线设备208经由网络节点210与其连接,其中网络节点210由此提供对无线网络206的无线电接入。无线设备208可以包括IoT设备(例如,传感器等),然而本文的示例和实施例不限于这种设备。
当无线设备208通过无线网络206发送业务(例如,传感器测量结果和/或报告)时,网络节点210随着时间的推移检测和测量业务流,并且统计信息收集节点202收集与来自网络节点210的业务有关的统计信息(如由虚线箭头所示)。控制节点204可以从网络节点210接收指示业务流满足预定阈值条件的通知(如从网络节点210开始的带箭头的实线所示)。如果是这样的话,则控制节点204向攻击检测功能200发送分析请求,其中攻击检测功能200随后从统计信息收集节点202获得业务统计信息。
因此,攻击检测功能200能够基于从统计信息收集节点202获得的业务统计信息来识别业务流的改变(如上述动作102中那样),并且能够基于已识别的改变来确定无线设备208是否被用于分布式攻击中(如上述动作104中那样)。
在示例实施例中,上述预定阈值条件可以包括以下中的至少一项:
-来自至少一个无线设备的业务量超过预定业务速率阈值,以及
-由至少一个无线设备发送的分组脉冲串的大小超过预定脉冲串大小阈值。
在另一示例实施例中,业务流的所述改变可以包括以下中的任一项:业务流的增大的业务速率、改变的脉冲串间隔以及改变的目的地。
在另一示例实施例中,可以基于与源自无线设备的业务有关的统计信息来执行所述识别,其中所述统计信息可以从连接到为无线设备提供服务的一个或多个基站的统计信息收集节点获得。在以下部分中的一些部分中,统计信息收集节点可以备选地被表示为“聚合可观测性功能AOF”。
在另一示例实施例中,所述检测可以包括:当控制节点已经从业务流所经过的一个或多个网络节点接收到指示业务流满足预定阈值条件的通知时,从控制节点接收分析请求。
在另一示例实施例中,当确定无线设备被用于分布式攻击时,可以通知控制节点中断或重新路由所述业务流。在另一示例实施例中,网络节点可以包括传输网络中的交换机,其中该传输网络连接到为无线设备提供服务的无线网络。
在另一示例实施例中,可以基于业务流的已识别的改变来确定多个无线设备已经被操纵为对所述无线网络执行DDoS(分布式拒绝服务)攻击。
在另一示例实施例中,可以针对不同的无线设备应用不同的预定阈值条件。
在另一示例实施例中,阈值条件中的阈值可以基于以下中的任一项来确定:预定缺省阈值、无线设备的类型或标识以及与来自无线设备的正常业务有关的先前的测量。
在另一示例实施例中,无线设备可以包括IoT传感器和/或IoT网关。
现在将描述可以在实践中如何实现上述实施例的非限制性示例,其中IoT设备被连接到IoT网关,该IoT网关通过无线电向网络节点发送来自IoT设备的业务。尽管IoT设备被用作实际实现的说明性示例,然而这些示例也能够应用于其它类型的无线设备。
大多数IoT传感器可以以周期性方式激活以发送数据,而一些IoT传感器可以仅在条件发生时才发送数据。为了创建DDoS攻击,网络中的多个IoT传感器应该在短时间段期间变得激活,每个传感器在大致相同的时间感测业务以便向一个或多个特定目的地发送总计大量的数据。实际上,因为在IoT传感器中可用的处理能力很小,所以为了进行成功的DDoS攻击,附接到不同网关的若干个IoT传感器需要被同时唤醒并向一个或多个特定目的地发送数据。
因为难以预测各个传感器的激活时间,所以需要监控或检测从IoT网关发送的业务。该业务指示在每个时间段中来自IoT传感器的正常的传输速率,并且基于该业务速率,可以测量正常的业务并且甚至可以预测IoT传感器的未来的传输速率。而且,依靠来自仅一个IoT网关的测量结果可能是没有用的,并且为了预测DDoS攻击,可能需要考虑从若干个IoT网关发送的业务。
在本文的实施例中,可以考虑用于触发DDoS攻击的检测的以下度量中的一个或多个。这些度量可能无法单独用于检测DDoS攻击,因此,使用这些度量中的至少两个来检测DDoS攻击可能是有帮助的。
增大的业务速率:DDoS攻击的一种标志或指示可以是来自若干个IoT网关的业务同时增加。这意味着如果从若干个IoT网关发送给特定目的地的业务总量增加,则这可能暗示或表明DDoS攻击。
脉冲串间隔或大小的改变:每个IoT传感器可以具有其向特定服务器发送业务的特定脉冲串时间。脉冲串是一起被发送的一组分组,并且脉冲串中的分组的数目可以被称为“脉冲串大小”。在脉冲串之间,传感器处于休眠或未激活。该脉冲串大小通常是恒定的,并且脉冲串通常在特定时间点出现。脉冲串间隔基本上指的是两个相继的脉冲串之间的时间,并且脉冲串可以周期性地或当被条件触发时发送。
当若干个传感器连接到网关时也可以检测脉冲串间隔或大小,这是因为从网关接收的业务的峰值速率可能出现在特定时间段处。具体地,可能有用的是检测网关之后的传感器的独立脉冲串变得同步以使得所有传感器都以同一间隔进行发送的情景,这可能指示攻击。还可能有用的是检测脉冲串被替换为恒定业务的情景,因为常规的IoT业务通常是“突发性的”,而攻击者可以修改设备以不断地发送业务从而使目的地过载。
目的地的改变:IoT传感器通常向特定目的地(例如,服务器)发送业务。如果任一目的地的地址信息(例如,IP地址)改变,则这可能暗示DDoS攻击。
图2A示出了实际上可以如何借助于DDoS检测器200在5G无线网络中采用技术方案的另一非限制性示例,该DDoS检测器200因此与图2中的攻击检测功能200相对应。无线(或蜂窝)网络包括5G RAN(无线电接入网络)和5G传输网络,其中该5G RAN包括无线电网络的基站(或网络节点),并且5G传输网络进而采用SDN技术并实现服务链。SDN技术包括与图2中的控制节点204相对应的逻辑上集中的SDN控制器204以及转发来自多个传感器的数据流的一组SDN交换机“SW”。在该解决方案中,可以假设使用OpenFlow作为用于定义数据流的非限制性示例,但是也可以使用其它SDN协议。与图2中的统计信息收集节点202相对应的AOF节点202收集来自网络边缘处的基站的流统计信息和标识符。
基站从经由IoT网关连接或直接连接到基站的传感器接收IoT业务。在该示例中,示出并描述了IoT传感器,然而所述描述对于任意类型的无线设备都可以是有效的。在此处没有描述在基站处分离IoT业务和其它业务,但是这例如可以基于5G中的网络切片方法来实现。然后,基站向AOF节点202发送业务(即,数据流)的统计信息。DDoS检测器200负责识别和分析网络中的任何异常业务。DDoS检测器200能够从SDN控制器204接收事件和观测结果,并且DDoS检测器还可以通过使用由SDN控制器204提供的API(应用编程接口)来控制传输网络的行为。DDoS检测器200还可以从AOF节点202接收用于IoT业务的统计信息和标识符。
现在将参考图3中的信令图来描述可以如何采用该解决方案的示例,其中图3示出了可以如何通过采用本文描述的至少一些实施例来停止DDoS攻击。在下文并且还参考图2来说明该图中的步骤3:1–3:10,使得在图3中DDoS检测器200与攻击检测功能相对应,AOF202与统计信息收集节点相对应,并且SDN控制器204与控制节点相对应。
步骤3:1
首先,SDN控制器204将利用IoT业务的特定阈值对SDN交换机的计量器进行设置。在该示例中,为了简单仅示出一个这种SDN交换机。SDN交换机中的计量器可以被设置例如以便使用公知的OpenFlow协议。已有的启用OpenFlow的交换机(OpenFlow 1.3及更高版本)支持用于对流进行标记或分类并向SDN控制器204报告的按流计量技术(per flowmetering technique)。这些计量器将基于IoT业务的来源进行安装,其中该来源可以是网关或甚至是直接连接到基站的单独的传感器。在该示例中,IoT业务的两个来源被表示为IoT GW1和IoT GW2,其中IoT GW1和IoT GW2连接到网络节点(即,分别被表示为BS1和BS2的基站)。可以将任意数量的IoT设备(未示出)连接到IoT GW1和IoT GW2中的每一个。
阈值可以具有缺省值或者可以基于正常业务的先前的测量,其可以由SDN控制器204周期性地改变。另外,可以基于其它因素(例如,可用的网络容量、或IoT切片中的正常传输速率、或订阅信息)来选择适当的阈值。计量器和/或阈值应该被设置为使得它们针对特殊业务(即,偏离正常或预期行为的业务)进行触发。一种可能的方式是将阈值设置为正常业务加20%,然而其它方式也是可能的。该百分比还可以取决于在正常业务中检测到多少变化。
步骤3:2
连接到网关IoT GW1和IoT GW2的传感器(或直接连接的传感器)可以分别开始向基站BS1和BS2发送大量的业务。
步骤3:3
然后,基站BS1和BS2将从IoT网关或传感器接收的业务转发给传输网络,在该示例中转发给SDN交换机。
步骤3:4
基站BS1和BS2还将周期性地向AOF节点202发送用于IoT业务的测量或观测到的统计信息和标识符,其中AOF节点202存储该统计信息,该统计信息可被DDoS检测器200用于以后的分析。
步骤3:5
当交换机接收到高于指定阈值(例如,实现为OpenFlow计量器)的异常大量的IoT业务时,交换机将采取向SDN控制器204发送通知的动作。例如,如果交换机从若干个网关接收到高速率的IoT业务,则交换机可以针对每个计量器发送的多个通知。
步骤3:6
如果SDN控制器204接收到高速率业务仅位于一个网关中的通知,则SDN控制器204可以忽略该通知并且正常地路由业务。这可能是当一些IoT传感器有条件地变得激活并开始发送数据时的情况,并且单个网关超过其正常业务并不是DDoS的指示。然而,如果SDN控制器204接收到高速率业务位于若干个网关中的若干个通知,则这可能指示DDoS攻击。在这种情况下,SDN控制器204可以向DDoS检测器100发送请求以便进行进一步和深入的分析。
步骤3:7
在DDoS检测器100从SDN控制器204接收到这种通知之后,DDoS检测器100发送对与来自AOF节点202的IoT业务有关的精细粒度信息的请求,以便识别来自无线设备或IoT传感器的业务流的任何改变。
步骤3:8
如已经讨论的,DDoS检测器200可以针对DDoS攻击考虑以下三种条件:增大的业务速率、改变的脉冲串间隔或大小以及改变的目的地。基于DDoS检测器的分析,如果满足这些条件中的至少两个,则DDoS检测器200可以将其视为可能的DDoS攻击。
步骤3:9
然后,DDoS检测器向SDN控制器204发送判定或通知,以指示在网络中已经发生异常行为。
步骤3:10
在SDN控制器204接收到所述判定或通知之后,基于所述判定或通知以及网络配置,SDN控制器204可以丢弃该业务或者可以将业务重新路由到其它服务(例如,DPI(深度分组检验))或监控系统。
图4示出了可以如何在传输网络中的数据流上实现计量技术的示例。OpenFlow协议(版本1.3及更新的版本)支持多表格方法和计量技术。在流表0中,设置用于转发来自每个网关的业务的规则,并且将该规则映射到计量器表中的一组计量器。每个计量器都具有阈值,并且如果表0中的已接收的业务超过了阈值,则将标记业务的IP分组中的DSCP字段。在另一流表1中,如果已接收的数据分组未被标记,则将从交换机(输出端口)发出“正常业务”,否则,已接收的数据将被转发给控制器作为通知。然后,控制器可以检查分组是否已经被标记以及分组的来源IP,从而检测来自特定网关的任何侵犯。
因为云技术将是5G网络的一部分,所以该解决方案也可以用于保护在私有云网络或公有云网络中提供的服务。此外,可以在该方案中使用的一些组件(例如,DDoS检测器200、SDN控制器204或AOF节点202)可以被部署为基于云的服务。
本文的实施例可以用于提供如下优点:检测来自若干个IoT设备的、超过所分配的阈值的可疑业务或数据流,而不针对合法数据流引入附加开销,该合法数据流因此不受影响。通过使用上述攻击检测功能或DDoS检测器,可以使用可用的统计信息来对潜在恶意的业务流实施深入分析。由攻击检测功能或DDoS检测器执行的分析基于业务流的改变,例如,来自无线设备(例如,IoT传感器)的业务或数据流的业务量、脉冲串大小、脉冲串间隔或目的地的改变。
图5中的框图示出了可以如何构造攻击检测功能500以实现上述解决方案及其实施例的详细但非限制性的示例。攻击检测功能500可以被配置为在适当的情况下根据采用如上所述的解决方案的示例和实施例中的任何一个来操作,这将在下文描述。攻击检测功能500被示出为包括处理器P和存储器M,所述存储器包括由所述处理器P可执行的指令,由此攻击检测功能500如本文所述的那样操作。攻击检测功能500还包括通信电路C,其中通信电路C具有用于以本文描述的方式来接收和发送消息和信息的适当设备。
通信电路C被配置用于根据实施方式使用适当的协议与网络中的节点进行通信。该通信可以通过采用用于无线通信的无线电链路的通信网络以常规方式来执行,在此没有必要对其详细描述。因此,本文的解决方案和实施例不限于使用任何特定类型的通信网络、技术或协议。
攻击检测功能500在无线网络中可操作,并且包括被配置为或被布置为执行图1中的动作100-106中的至少一些的装置。攻击检测功能500被布置为或被配置为实现对多个无线设备所连接到的无线网络中的攻击的检测。
攻击检测功能500被配置为检测来自多个无线设备中的每个无线设备的业务流的特性满足与源自无线设备的异常业务相关的预定阈值条件。该操作可以由攻击检测功能500中的检测模块500A以例如上文针对动作100描述的方式来执行。
攻击检测功能500还被配置为:例如,基于与源自无线设备的先前的业务的有关统计信息来识别来自无线设备的业务流的改变。该操作可以由攻击检测功能500中的识别模块500B例如如上文针对动作102描述的那样执行。
攻击检测功能500还配置为:基于业务流的已识别的改变,确定无线设备是否被用于分布式攻击中。该操作可以由攻击检测功能500中的确定模块500C例如如上文针对动作104描述的那样执行。
应该注意的是,图5示出了攻击检测功能500中的各种功能单元,并且本领域技术人员能够使用适当的软件和硬件在实践中实现这些功能单元。因此,该解决方案通常不限于所示的攻击检测功能500的结构,并且其中的功能模块或单元500A至500C可以被配置为在适当的情况下根据本公开中所述的特征和实施例中的任何一个进行操作。
上述功能模块或单元500A至500C可以借助于合适的硬件和计算机程序的程序模块在攻击检测功能500中实现,其中所述计算机程序包括代码装置,该代码装置在由处理器P运行时使攻击检测功能500至少执行上述动作和过程中的至少一些。功能模块或单元500A至500C可以备选地被称作“装置”,因此包括检测装置500A、识别装置500B和确定装置500C。
图5A示出了可以如何利用存储器”、通信电路C”和处理电路P”配置攻击检测功能500的另一可能的备选方案。存储器M”包括由所述处理电路P”可执行的指令,由此攻击检测功能500如本文所述的那样进行操作。通信电路C”表示用于以本文描述的方式接收和发送信息并且针对描述的通信根据实施方式使用适当协议的适当设备。因此,本文的解决方案和实施例不限于使用任何特定类型的通信网络、技术或协议。
在图5或图5A中,处理器P和处理电路P”分别可以包括单个中央处理单元(CPU),或者可以包括两个或更多个处理单元(例如,CPU)。例如,处理器P和/或处理电路P”可以包括通用微处理器、指令集处理器和/或相关芯片集和/或专用微处理器(例如专用集成电路(ASIC))。处理器P和/或处理电路P”还可以包括用于高速缓存目的的储存器。
每个计算机程序可以由攻击检测功能500中的计算机程序产品以具有计算机可读介质且连接到处理器P和/或处理电路P”的存储器的形式承载。因此,攻击检测功能500中的计算机程序产品或存储器可以包括其上存储有(例如,以计算机程序模块等的形式的)计算机程序的计算机可读介质。例如,存储器可以是闪存、随机存取存储器(RAM)、只读存储器(ROM)、或电可擦除可编程ROM(EEPROM)、或硬盘存储(HDD),并且在备选实施例中,程序模块可以以攻击检测功能500内的存储器的形式分布在不同的计算机程序产品上。
本文描述的方案可以借助于诸如计算机可读存储介质500F之类的计算机程序产品在攻击检测功能500中实现,其中该计算机可读存储介质500F包括具有计算机可读指令的计算机程序500E,当该计算机可读指令在适当的情况下在攻击检测功能500上执行时,使攻击检测功能500执行根据上述实施例中的任一实施例的动作。
尽管解决方案是参考特定示例性实施例描述的,但是该描述通常仅旨在示出本发明的构思,并且不应视为限制解决方案的范围。例如,已经贯穿本公使用了术语“攻击检测功能”、“无线设备”,“统计信息收集节点”、“控制节点”、“网络节点”、“IoT传感器”、“IoT网关”、“SDN控制器”、“SDN交换机”、“DDoS检测器”和“AOF节点”,但是也可以使用具有本文描述的特征和特性的任何其它对应实体、功能和/或参数。可以根据所附的实施例来实现该解决方案。
缩写词
DDoS 分布式拒绝服务
DSCP 差分服务代码点
GW 网关
IoT 物联网
RAN 无线接入网络
SDN 软件定义的网络化
SW 交换机
AOF 聚合可观测性功能。
Claims (24)
1.一种由攻击检测功能(200)执行以便检测多个无线设备所连接到的无线网络(206)中的分布式攻击的方法,所述方法包括:
-检测(100)来自多个无线设备(208)中的每个无线设备的业务流的特性满足与源自所述无线设备的异常业务相关的预定阈值条件,
-识别(102)来自所述无线设备的业务流的改变,以及
-基于所述业务流的所述已识别的改变,确定(104)所述无线设备是否被用于所述分布式攻击中。
2.根据权利要求1所述的方法,其中,所述预定阈值条件包括以下中的至少一项:
-来自至少一个无线设备的业务量超过预定业务速率阈值,以及
-由至少一个无线设备发送的分组脉冲串的大小超过预定脉冲串大小阈值。
3.根据权利要求1或2所述的方法,其中,所述业务流的改变包括以下中的任一项:所述业务流的增大的业务速率、改变的脉冲串间隔以及改变的目的地。
4.根据权利要求1-3中任一项所述的方法,其中,所述识别是基于从统计信息收集节点(202)获得的、与源自所述无线设备的业务有关的统计信息来执行的,其中所述统计信息收集节点(202)连接到为所述无线设备提供服务的一个或多个基站。
5.根据权利要求1-4中任一项所述的方法,其中,所述检测包括从控制节点(204)接收分析请求,其中所述控制节点(204)已经从所述业务流所经过的一个或多个网络节点(210)接收到指示所述业务流满足所述预定阈值条件的通知。
6.根据权利要求5所述的方法,其中,当确定所述无线设备被用于所述分布式攻击时,通知(106)所述控制节点中断或重新路由所述业务流。
7.根据权利要求5或6所述的方法,其中,所述网络节点是传输网络中的交换机,其中所述传输网络连接到为所述无线设备提供服务的所述无线网络。
8.根据权利要求1-7中任一项所述的方法,其中,基于所述业务流的所述已识别的改变确定所述多个无线设备已经被操纵为对所述无线网络执行分布式拒绝服务DDoS攻击。
9.根据权利要求1-8中任一项所述的方法,其中,针对不同的无线设备应用不同的预定阈值条件。
10.根据权利要求9所述的方法,其中,所述阈值条件中的阈值是基于以下中的任一项确定的:预定缺省阈值、所述无线设备的类型或标识以及与来自所述无线设备的正常业务有关的先前的测量。
11.根据权利要求1-10中任一项所述的方法,其中,所述无线设备包括物联网IoT传感器或IoT网关。
12.一种被布置为实现或支持对多个无线设备所连接到的无线网络中的分布式攻击的检测的攻击检测功能(500),其中,所述攻击检测功能(500)被配置为:
-检测(500A)来自多个无线设备中的每个无线设备的业务流的特性满足与源自所述无线设备的异常业务相关的预定阈值条件,
-识别(500B)来自所述无线设备的业务流的改变,以及
-基于所述业务流的所述已识别的改变,确定(500C)所述无线设备是否被用于所述分布式攻击中。
13.根据权利要求12所述的攻击检测功能(500),其中,所述预定阈值条件包括以下中的至少一项:
-来自至少一个无线设备的业务量超过预定业务速率阈值,以及
-由至少一个无线设备发送的分组脉冲串的大小超过预定脉冲串大小阈值。
14.根据权利要求12或13所述的攻击检测功能(500),其中,所述业务流的改变包括以下中的任一项:所述业务流的增大的业务速率、改变的脉冲串间隔以及改变的目的地。
15.根据权利要求12-14中任一项所述的攻击检测功能(500),其中,所述攻击检测功能(500)被配置为:基于从统计信息收集节点获得的、与源自所述无线设备的业务有关的统计信息来执行所述识别,其中所述统计信息收集节点连接到为所述无线设备提供服务的一个或多个基站。
16.根据权利要求12-15中任一项所述的攻击检测功能(500),其中,所述攻击检测功能(500)被配置为:通过从控制节点接收分析请求来执行所述检测,其中所述控制节点已经从所述业务流所经过的一个或多个网络节点接收到指示所述业务流满足所述预定阈值条件的通知。
17.根据权利要求16所述的攻击检测功能(500),其中,当确定所述无线设备被用于所述分布式攻击时,所述攻击检测功能(500)被配置为通知所述控制节点中断或重新路由所述业务流。
18.根据权利要求16或17所述的攻击检测功能(500),其中,所述网络节点是传输网络中的交换机,其中所述传输网络连接到为所述无线设备提供服务的所述无线网络。
19.根据权利要求12-18中任一项所述的攻击检测功能(500),其中,所述攻击检测功能(500)被配置为:基于所述业务流的所述已识别的改变确定所述多个无线设备已经被操纵为对所述无线网络执行分布式拒绝服务DDoS攻击。
20.根据权利要求12-19中任一项所述的攻击检测功能(500),其中,所述攻击检测功能(500)被配置为针对不同的无线设备应用不同的预定阈值条件。
21.根据权利要求20所述的攻击检测功能(500),其中,所述攻击检测功能(500)被配置为基于以下中的任一项确定所述阈值条件中的阈值:预定缺省阈值、所述无线设备的类型或标识以及与来自所述无线设备的正常业务有关的先前的测量。
22.根据权利要求12-21中任一项所述的攻击检测功能(500),其中,所述无线设备包括物联网IoT传感器或IoT网关。
23.一种计算机程序(500E),包括指令,所述指令当在至少一个处理器上执行时使所述至少一个处理器执行根据权利要求1-11中任一项所述的方法。
24.一种包含根据权利要求23所述的计算机程序的载体,其中,所述载体是电信号、光信号、无线电信号或计算机可读存储介质(500F)之一。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201762452378P | 2017-01-31 | 2017-01-31 | |
| US62/452,378 | 2017-01-31 | ||
| PCT/EP2017/080040 WO2018141432A1 (en) | 2017-01-31 | 2017-11-22 | Method and attack detection function for detection of a distributed attack in a wireless network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110249603A true CN110249603A (zh) | 2019-09-17 |
| CN110249603B CN110249603B (zh) | 2022-08-09 |
Family
ID=60480301
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780085298.2A Active CN110249603B (zh) | 2017-01-31 | 2017-11-22 | 用于检测无线网络中的分布式攻击的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11381974B2 (zh) |
| EP (1) | EP3577872B1 (zh) |
| CN (1) | CN110249603B (zh) |
| WO (1) | WO2018141432A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110933111A (zh) * | 2019-12-18 | 2020-03-27 | 北京浩瀚深度信息技术股份有限公司 | 一种基于DPI的DDoS攻击识别方法及装置 |
| CN111224970A (zh) * | 2019-12-31 | 2020-06-02 | 中移(杭州)信息技术有限公司 | Sdn网络系统、网络攻击防御方法、设备及存储介质 |
| CN114651523A (zh) * | 2019-11-06 | 2022-06-21 | 三星电子株式会社 | 用于在无线通信系统中管理网络切片的方法和装置 |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10855546B2 (en) * | 2018-09-14 | 2020-12-01 | Juniper Networks, Inc. | Systems and methods for non-intrusive network performance monitoring |
| US10841383B2 (en) * | 2018-09-24 | 2020-11-17 | International Business Machines Corporation | Providing device specific security measures in the internet of things |
| ES2913434T3 (es) * | 2018-12-03 | 2022-06-02 | Siemens Ag | Reconociendo desviaciones en el comportamiento de la seguridad de unidades automatizadas |
| US11588850B2 (en) * | 2020-04-13 | 2023-02-21 | At&T Intellectual Property I, L.P. | Security techniques for 5G and next generation radio access networks |
| EP4289089A1 (en) * | 2021-02-05 | 2023-12-13 | Telefonaktiebolaget LM Ericsson (publ) | First node, second node, communications system and methods performed, thereby for handling security in a communications system |
| US11653229B2 (en) | 2021-02-26 | 2023-05-16 | At&T Intellectual Property I, L.P. | Correlating radio access network messages of aggressive mobile devices |
| US20220286470A1 (en) * | 2021-03-05 | 2022-09-08 | At&T Intellectual Property I, L.P. | Facilitation of network protection for 5g or other next generation network |
| US11653234B2 (en) | 2021-03-16 | 2023-05-16 | At&T Intellectual Property I, L.P. | Clustering cell sites according to signaling behavior |
| CN114124492B (zh) * | 2021-11-12 | 2023-07-25 | 中盈优创资讯科技有限公司 | 一种网络流量异常检测和分析方法及装置 |
| CN114422235B (zh) * | 2022-01-18 | 2023-03-24 | 福州大学 | 基于p4的工业互联网隐蔽攻击防御方法 |
| US12113827B2 (en) * | 2022-03-09 | 2024-10-08 | At&T Intellectual Property I, L.P. | Coordinated cellular network attack detection and mitigation |
| WO2024158323A1 (en) * | 2023-01-27 | 2024-08-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Detecting a denial-of-service (dos) attack on an upstream device based on traffic characteristics |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070283436A1 (en) * | 2006-06-02 | 2007-12-06 | Nicholas Duffield | Method and apparatus for large-scale automated distributed denial of service attack detection |
| US20110138463A1 (en) * | 2009-12-07 | 2011-06-09 | Electronics And Telecommunications Research Institute | Method and system for ddos traffic detection and traffic mitigation using flow statistics |
| CN104580222A (zh) * | 2015-01-12 | 2015-04-29 | 山东大学 | 基于信息熵的DDoS攻击分布式检测与响应系统及方法 |
| US20160028752A1 (en) * | 2014-07-23 | 2016-01-28 | Cisco Technology, Inc. | Hierarchical attack detection in a network |
| CN105493450A (zh) * | 2013-04-29 | 2016-04-13 | 瑞典爱立信有限公司 | 动态检测网络中的业务异常的方法和系统 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6768718B1 (en) * | 2000-08-01 | 2004-07-27 | Nortel Networks Limited | Courteous routing |
| NZ516346A (en) * | 2001-12-21 | 2004-09-24 | Esphion Ltd | A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack |
| US7295831B2 (en) * | 2003-08-12 | 2007-11-13 | 3E Technologies International, Inc. | Method and system for wireless intrusion detection prevention and security management |
| CN100370757C (zh) * | 2004-07-09 | 2008-02-20 | 国际商业机器公司 | 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统 |
| US20090094671A1 (en) * | 2004-08-13 | 2009-04-09 | Sipera Systems, Inc. | System, Method and Apparatus for Providing Security in an IP-Based End User Device |
| CA2531410A1 (en) * | 2005-12-23 | 2007-06-23 | Snipe Network Security Corporation | Behavioural-based network anomaly detection based on user and group profiling |
| CN101022459B (zh) * | 2007-03-05 | 2010-05-26 | 华为技术有限公司 | 预防病毒入侵网络的系统和方法 |
| WO2008117012A1 (en) * | 2007-03-28 | 2008-10-02 | British Telecommunications Public Limited Company | Identifying abnormal network traffic |
| US9026644B2 (en) * | 2011-03-10 | 2015-05-05 | Verizon Patent And Licensing Inc. | Anomaly detection and identification using traffic steering and real-time analytics |
| WO2013079090A1 (en) * | 2011-11-28 | 2013-06-06 | Telefonaktiebolaget L M Ericsson (Publ) | Traffic characteristic based selection of serving base station |
| US8832831B2 (en) * | 2012-03-21 | 2014-09-09 | Radware, Ltd. | Method and system for detecting and mitigating attacks performed using cryptographic protocols |
| US9282115B1 (en) * | 2014-01-03 | 2016-03-08 | Juniper Networks, Inc. | Systems and methods for detecting cache-poisoning attacks in networks using service discovery protocols |
| US9547834B2 (en) * | 2014-01-08 | 2017-01-17 | Bank Of America Corporation | Transaction performance monitoring |
| EP2966828B1 (de) * | 2014-07-11 | 2020-01-15 | Deutsche Telekom AG | Verfahren zum Erkennen eines Angriffs auf eine mit einem Kommunikationsnetzwerk verbundene Arbeitsumgebung |
| US9800592B2 (en) * | 2014-08-04 | 2017-10-24 | Microsoft Technology Licensing, Llc | Data center architecture that supports attack detection and mitigation |
| US9838296B2 (en) * | 2014-12-19 | 2017-12-05 | Ciena Corporation | Bandwidth optimization systems and methods in networks |
| US10834110B1 (en) * | 2015-12-18 | 2020-11-10 | F5 Networks, Inc. | Methods for preventing DDoS attack based on adaptive self learning of session and transport layers and devices thereof |
| BR112018074592A2 (pt) * | 2016-09-23 | 2019-04-09 | Hewlett Packard Development Co | acesso de endereço ip baseado em nível de segurança e em histórico de acessos |
-
2017
- 2017-11-22 WO PCT/EP2017/080040 patent/WO2018141432A1/en unknown
- 2017-11-22 EP EP17804861.7A patent/EP3577872B1/en active Active
- 2017-11-22 US US16/480,783 patent/US11381974B2/en active Active
- 2017-11-22 CN CN201780085298.2A patent/CN110249603B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070283436A1 (en) * | 2006-06-02 | 2007-12-06 | Nicholas Duffield | Method and apparatus for large-scale automated distributed denial of service attack detection |
| US20110138463A1 (en) * | 2009-12-07 | 2011-06-09 | Electronics And Telecommunications Research Institute | Method and system for ddos traffic detection and traffic mitigation using flow statistics |
| CN105493450A (zh) * | 2013-04-29 | 2016-04-13 | 瑞典爱立信有限公司 | 动态检测网络中的业务异常的方法和系统 |
| US20160028752A1 (en) * | 2014-07-23 | 2016-01-28 | Cisco Technology, Inc. | Hierarchical attack detection in a network |
| CN104580222A (zh) * | 2015-01-12 | 2015-04-29 | 山东大学 | 基于信息熵的DDoS攻击分布式检测与响应系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| KOSTAS GIOTIS*,GEORGE ANDROULIDAKIS AND VASILIS MAGLARIS: "A scalable anomaly detection and mitigation architecture for legacy networks via an OpenFlow middlebox", 《SECURITY AND COMMUNICATION NETWORKS》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114651523A (zh) * | 2019-11-06 | 2022-06-21 | 三星电子株式会社 | 用于在无线通信系统中管理网络切片的方法和装置 |
| CN110933111A (zh) * | 2019-12-18 | 2020-03-27 | 北京浩瀚深度信息技术股份有限公司 | 一种基于DPI的DDoS攻击识别方法及装置 |
| CN111224970A (zh) * | 2019-12-31 | 2020-06-02 | 中移(杭州)信息技术有限公司 | Sdn网络系统、网络攻击防御方法、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200021994A1 (en) | 2020-01-16 |
| WO2018141432A1 (en) | 2018-08-09 |
| EP3577872A1 (en) | 2019-12-11 |
| EP3577872B1 (en) | 2022-09-07 |
| US11381974B2 (en) | 2022-07-05 |
| CN110249603B (zh) | 2022-08-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110249603A (zh) | 用于检测无线网络中的分布式攻击的方法和攻击检测功能 | |
| CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
| RU129279U1 (ru) | Устройство обнаружения и защиты от аномальной активности на сети передачи данных | |
| JP5506871B2 (ja) | 3g無線ネットワークを悪意ある攻撃から防護するための方法および装置 | |
| US9069957B2 (en) | System and method of reporting and visualizing malware on mobile networks | |
| US8881283B2 (en) | System and method of malware sample collection on mobile networks | |
| KR101747079B1 (ko) | 하이 레이트 분산 서비스 거부(DDoS) 공격을 검출하고 완화하는 방법 및 시스템 | |
| US11070458B2 (en) | Encrypted traffic analysis control mechanisms | |
| JP4774357B2 (ja) | 統計情報収集システム及び統計情報収集装置 | |
| CN104202336A (zh) | 一种基于信息熵的DDoS攻击检测方法 | |
| US20080196104A1 (en) | Off-line mms malware scanning system and method | |
| CN110535888B (zh) | 端口扫描攻击检测方法及相关装置 | |
| JP2005210601A (ja) | 不正侵入検知装置 | |
| CN108882282A (zh) | 一种针对SDWSNs中新流攻击的检测和响应方法 | |
| KR101587845B1 (ko) | 디도스 공격을 탐지하는 방법 및 장치 | |
| KR20080040257A (ko) | 네트워크 수준의 웜, 바이러스 조기 탐지 방법 및 장치 | |
| CN103856455A (zh) | 一种保护计算机网络避免数据洪水攻击的方法及系统 | |
| KR100938647B1 (ko) | 플로우 데이터 분석 결과에 따라 이를 저장하는 장치 및방법 | |
| Shalinie et al. | CoDe—An collaborative detection algorithm for DDoS attacks | |
| CN118200002A (zh) | 一种基于安全管道的流量监控方法 | |
| JP2018037961A (ja) | フロー解析装置、トラフィック解析システム、及びフロー解析方法 | |
| Aun et al. | Adaptive Polling Rate for SNMP for Detecting Elusive DDOS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |