CN110519273A - 入侵防御方法和装置 - Google Patents
入侵防御方法和装置 Download PDFInfo
- Publication number
- CN110519273A CN110519273A CN201910803911.0A CN201910803911A CN110519273A CN 110519273 A CN110519273 A CN 110519273A CN 201910803911 A CN201910803911 A CN 201910803911A CN 110519273 A CN110519273 A CN 110519273A
- Authority
- CN
- China
- Prior art keywords
- message
- matched
- attack signature
- customized
- traffic filtering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种入侵防御方法及装置,应用于部署IPS的网络设备中,所述方法包括:接收用户输入的各个自定义攻击特征;根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图;接收到待匹配报文后,根据所述攻击特征地图匹配所述待匹配报文;根据安全策略集合和所述待匹配报文的匹配结果处理所述待匹配报文。应用本申请的实施例,灵活性较好,入侵防御效率较高,大大提升网络设备的性能。
Description
技术领域
本申请涉及网络通信技术领域,特别设计一种入侵防御方法和装置。
背景技术
当今时代,网络技术不断发展,网络环境日益复杂。为了保护网络内部数据安全及时阻止来自网络内外的各种未知攻击,一般会在服务器群组入口或网络入口处的网络设备部署入侵防御系统(Intrusion Prevention System,IPS)。部署IPS的网络设备每天要防御大量的网络攻击,为了方便对网络状况进行分析和改进,IPS要具备高可靠性、高灵活性的攻击特征匹配机制。
目前的入侵防御方法是,部署IPS的网络设备接收报文后,对于互联网协议第四版(Internet Protocol version 4,IPv4)或互联网协议第六版(Internet Protocolversion 4,IPv6)的报文要建立会话,经过预设流量过滤策略集合过滤后,匹配预设攻击特征集合,最后根据安全策略集合中匹配结果对应的安全策略进行安全响应处理,例如,采取阻断或告警提示的方式。
上述方案对于网络攻击的拦截效果取决于预设攻击特征集合的覆盖面是否全面、准确,若接收到网络攻击的报文的特征不在预设攻击特征集合中,那么拦截效果就捉襟见肘了。针对该问题,各种IPS都提供了自定义攻击特征的功能,用户可以根据实际需要设置自定义攻击特征集合,然后结合预设攻击特征集合进行入侵防御。该方案中,能够应付的场景过于单一,各个IPS提供自定义特征的功能都是将某个通信协议的报文中的特定字段为某个特定值或者某个通信协议的报文中存在某个特定字符串作为自定义攻击特征,而自定义攻击特征集合的匹配又都是在预定义攻击特征集合的匹配之后进行,灵活性较差,入侵防御效率较低,大大浪费了网络设备的性能。
发明内容
有鉴于此,本申请提供一种入侵防御方法和装置,以解决相关技术中存在的灵活性较差,入侵防御效率较低,大大浪费了网络设备的性能的问题。
具体地,本申请是通过如下技术方案实现的:
一种入侵防御方法,应用于部署IPS的网络设备中,其特征在于,所述方法包括:
接收用户输入的各个自定义攻击特征;
根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图;
接收到待匹配报文后,根据所述攻击特征地图匹配所述待匹配报文;
根据安全策略集合和所述待匹配报文的匹配结果处理所述待匹配报文。
一种入侵防御装置,应用于部署IPS的网络设备中,所述装置包括:
接收模块,用于接收用户输入的各个自定义攻击特征;
建立模块,用于根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图;
匹配模块,用于接收到待匹配报文后,根据所述攻击特征地图匹配所述待匹配报文;
处理模块,用于根据安全策略集合和所述待匹配报文的匹配结果处理所述待匹配报文。
由以上本申请提供的技术方案可见,可以根据各个自定义攻击特征和各个预定义攻击特征灵活地建立攻击特征地图,然后基于攻击特征地图快速匹配待匹配报文,最后根据安全策略集合和待匹配报文的匹配结果处理待匹配报文,灵活性较好,入侵防御效率较高,大大提升网络设备的性能。
附图说明
图1为本申请示出的一种入侵防御方法的流程图;
图2为本申请示出的Netgraph的架构示意图;
图3为本申请示出的流量过滤策略地图;
图4为本申请示出的图3的流量过滤策略地图的单向Hook连接的示意图;
图5为本申请示出的攻击特征地图;
图6为本申请示出的一种入侵防御装置的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了解决上述问题,本发明实施例提供了一种入侵防御方法,以提高入侵防御效率,大大提升网络设备的性能。请参见图1,图1为本申请示出的一种入侵防御方法的流程图,应用于部署IPS的网络设备中。
S11:接收用户输入的各个自定义攻击特征。
用户输入自定义攻击特征的方式有很多种,例如,可以但不限于为命令行或者网页的页面的方式。
S12:根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图。
通常IPS会预先设置一些攻击特征,这些攻击特征可以定义为预定义攻击特征。当接收用户输入的自定义攻击特征后,直接根据自定义攻击特征和预定义攻击特征建立攻击特征地图。
S13:接收到待匹配报文后,根据攻击特征地图匹配待匹配报文。
S14:根据安全策略集合和待匹配报文的匹配结果处理待匹配报文。
由以上本申请提供的技术方案可见,可以根据各个自定义攻击特征和各个预定义攻击特征灵活地建立攻击特征地图,然后基于攻击特征地图快速匹配待匹配报文,最后根据安全策略集合和待匹配报文的匹配结果处理待匹配报文,灵活性较好,入侵防御效率较高,大大提升网络设备的性能。
具体的,上述S12中的根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图,实现方式具体包括:
确定各个自定义攻击特征和各个预定义攻击特征包括的各个第一通信协议;
根据各个自定义攻击特征和各个预定义攻击特征生成各个第一通信协议对应的第一节点、并为各个第一节点定义至少一个第一钩子函数;
通过对应的第一钩子函数连接各个第一节点,得到攻击特征地图。
可以基于FreeBSD的Netgraph对攻击特征地图进行设计,请参见图2,图2为Netgraph的架构示意图,图2中有两种元素,一种是节点(Node),另一种是连接到节点的边的两端的钩子函数(Hook)。Node与Node直接通过Hook相连,Hook与Hook连成线,互为一条线的两个端点(Peer)。Node就是一个对象,每一个Node都有它所属的类(Type),Hook就是一个Node的私有数据,整个地图通过“各个Hook的对接”来完成。
其中,每个Node的结构如下表1所示,包含Node名称、Hook个数、Hook链、当前节点的私有结构对应的指针。
节点名称 |
Hook个数 |
Hook链表 |
私有结构指针 |
...... |
表1
每个Hook的结构如下表2所示,包含Hook名称、所属Node的指针、对端Hook、私有结构对应的指针、该Hook将可能要执行的系列回调函数。如果匹配条件复杂,可以设立优先级字段。
Hook名称 |
所属的Node |
Peer Hook链表 |
私有结构指针 |
回调函数 |
...... |
表2
Hook连接、节点创建均可以通过命令行实现。例如业务在内核运行则MKPEER/CREATE NODE等命令通过系统调用在内核执行对应的操作,即时生效,灵活可控。
具体的,上述S14中的根据安全策略集合和待匹配报文的匹配结果处理待匹配报文,实现方式具体包括:
在安全策略集合中查找待匹配报文的匹配结果;
若在安全策略集合中查找到待匹配报文的匹配结果,则在安全策略集合中获取待匹配报文的匹配结果对应的安全策略;
根据待匹配报文的匹配结果对应的安全策略处理待匹配报文。
安全策略集合中有很多安全策略,可以从中查找待匹配报文的匹配结果对应的安全策略,然后基于查找到的安全策略处理待匹配报文。
安全策略可以根据页面配置,配置指定协议、指定应用程序甚至指定特征等等,对满足安全策略的报文则做出对应的响应动作,例如阻断或者告警提示等。
一种可选的实施方式,在过滤报文的时候也可以通过建立流量过滤策略地图的方式来实现,上述方法还包括:
接收用户输入的各个自定义流量过滤策略;
根据各个自定义流量过滤策略和各个预定义流量过滤策略建立流量过滤策略地图;
接收到待过滤报文后,根据流量过滤策略地图确定是否过滤待过滤报文。
用户输入自定义流量过滤策略的方式有很多种,例如,可以但不限于为命令行或者网页的页面的方式。通常IPS会预先设置一些流量过滤策略,这些流量过滤策略可以定义为预定义流量过滤策略。当接收用户输入的自定义流量过滤策略后,直接根据自定义流量过滤策略和预定义流量过滤策略建立流量过滤策略地图。
其中,流量过滤策略可以但不限于包括报文的入接口、源互联网协议(InternetProtocol,IP)地址、目的IP地址、虚拟局域网(Virtual Local Area Network,VLAN)等属性。
其中,根据各个自定义流量过滤策略和各个预定义流量过滤策略建立流量过滤策略地图,具体包括:
确定各个自定义流量过滤策略和各个预定义流量过滤策略包括的各个第二通信协议;
根据各个自定义流量过滤策略和各个预定义流量过滤策略生成各个第二通信协议对应的第二节点、并为各个第二节点定义至少一个第二钩子函数;
通过对应的第二钩子函数连接各个第二节点,得到流量过滤策略地图。
可以使用Netgraph建立流量过滤策略地图。
以上介绍了使用Netgraph建立攻击特征地图和过滤特征地图,实际上也可以使用Netgraph建立安全策略地图,建立的方式与上述两种方式是相同的,这里不再赘述。
下面以一个实例说明上述方法。
假设,配置的流量过滤策略集合为:
流量过滤策略1:对于入接口为A1,源IP地址在B1网段,目的IP地址在C1网段的报文进行检测。
流量过滤策略2:对于入接口为A2,源IP地址在B2网段,目的IP地址在C2网段的报文进行检测。
基于上述流量过滤策略集合建立的流量过滤策略地图请参见图3所示,图4为图3的流量过滤策略地图的单向Hook连接的示意图。
同时配置了攻击特征集合:
特征s1:IP的I属性,传输控制协议(Transmission Control Protocol,TCP)的T1属性,超文本传输协议(Hyper Text Transfer Protocol,HTTP)的H属性。
特征s2:IP的I属性,TCP的T2属性,文件传输协议(File Transfer Protocol,FTP)的F属性。
特征s3:用户数据报协议(User Datagram Protocol,UDP)的U属性,域名系统(Domain Name System,DNS)协议的D属性。
特征s4:邮局协议版本3(Post Office Protocol-Version 3,POP3)的P属性。
以上特征只需要在命令行下建立几个节点,将对应的Hook执行MKPEER连接成线即可,最终的攻击特征地图如图5所示。
除此之外还配置了安全策略集合:
安全策略1:基于任意协议的特征,严重级别为致命的均做阻断处理。
安全策略2:基于FTP协议的特征,验证级别为严重的,均做告警提示。
下面列举三种情景进行说明:
情景一,当前报文为TFTP协议,满足I属性,T2属性,TFTP独有属性:
IP_Node中做了当前阶段的一些处理之后,进入Hook处理流程,经过IP协议的Hook1,成功命中;
接着查看Peer-Hook,发现Peer-Hook有多个,则遍历Peer-Hook链表,该链表中两个节点T1和T2,,最终命中了T2。接着查看了T2节点的Peer-Hook,没有命中,则进入流程出口,做了转发处理OR其他。
情景二,当前报文为HTTP协议,命中s1特征:
IP_Node中做了当前阶段的一些处理之后,进入Hook处理流程,经过IP协议的Hook1,成功命中;
接着查看Peer-Hook,发现Peer-Hook有多个,则遍历Peer-Hook链表,该链表中两个节点T1和T2,最终命中了T1。接着查看了T1节点的Peer-Hook,进入了安全策略Hook,如果当前特征为致命特征,则命中了安全策略1的Hook,阻断该报文;反之,按其他严重级别的默认处理作出相应的相应动作。
情景三,当前报文为POP3协议:
流量过滤策略地图的各种Node遍历之后,进入攻击特征地图,在POP3的Hook中命中,接着查看了POP3节点的Peer-Hook,进入了安全策略Hook,如果当前特征为致命特征,则命中了安全策略1的Hook,阻断该报文;反之,按其他严重级别的默认处理作出相应的相应动作。
请参见图6,图6为本申请示出的一种入侵防御装置的结构示意图,应用于部署IPS的网络设备中,该装置包括:
接收模块61,用于接收用户输入的各个自定义攻击特征;
建立模块62,用于根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图;
匹配模块63,用于接收到待匹配报文后,根据攻击特征地图匹配待匹配报文;
处理模块64,用于根据安全策略集合和待匹配报文的匹配结果处理待匹配报文。
由以上本申请提供的技术方案可见,可以根据各个自定义攻击特征和各个预定义攻击特征灵活地建立攻击特征地图,然后基于攻击特征地图快速匹配待匹配报文,最后根据安全策略集合和待匹配报文的匹配结果处理待匹配报文,灵活性较好,入侵防御效率较高,大大提升网络设备的性能。
具体的,建立模块62,用于根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图,具体用于:
确定各个自定义攻击特征和各个预定义攻击特征包括的各个第一通信协议;
根据各个自定义攻击特征和各个预定义攻击特征生成各个第一通信协议对应的第一节点、并为各个第一节点定义至少一个第一钩子函数;
通过对应的第一钩子函数连接各个第一节点,得到攻击特征地图。
具体的,处理模块64,用于根据安全策略集合和待匹配报文的匹配结果处理待匹配报文,具体用于:
在安全策略集合中查找待匹配报文的匹配结果;
若在安全策略集合中查找到待匹配报文的匹配结果,则在安全策略集合中获取待匹配报文的匹配结果对应的安全策略;
根据待匹配报文的匹配结果对应的安全策略处理待匹配报文。
一种可选的实施方式,装置还包括过滤模块,其中:
接收模块61,还用于接收用户输入的各个自定义流量过滤策略;
建立模块62,还用于根据各个自定义流量过滤策略和各个预定义流量过滤策略建立流量过滤策略地图;
过滤模块,用于接收到待过滤报文后,根据流量过滤策略地图确定是否过滤待过滤报文。
具体的,建立模块61,用于根据各个自定义流量过滤策略和各个预定义流量过滤策略建立流量过滤策略地图,具体用于:
确定各个自定义流量过滤策略和各个预定义流量过滤策略包括的各个第二通信协议;
根据各个自定义流量过滤策略和各个预定义流量过滤策略生成各个第二通信协议对应的第二节点、并为各个第二节点定义至少一个第二钩子函数;
通过对应的第二钩子函数连接各个第二节点,得到流量过滤策略地图。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种入侵防御方法,应用于部署入侵防御系统IPS的网络设备中,其特征在于,所述方法包括:
接收用户输入的各个自定义攻击特征;
根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图;
接收到待匹配报文后,根据所述攻击特征地图匹配所述待匹配报文;
根据安全策略集合和所述待匹配报文的匹配结果处理所述待匹配报文。
2.根据权利要求1所述的方法,其特征在于,根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图,具体包括:
确定各个自定义攻击特征和各个预定义攻击特征包括的各个第一通信协议;
根据各个自定义攻击特征和各个预定义攻击特征生成各个第一通信协议对应的第一节点、并为各个第一节点定义至少一个第一钩子函数;
通过对应的第一钩子函数连接各个第一节点,得到攻击特征地图。
3.根据权利要求1所述的方法,其特征在于,根据安全策略集合和所述待匹配报文的匹配结果处理所述待匹配报文,具体包括:
在安全策略集合中查找所述待匹配报文的匹配结果;
若在所述安全策略集合中查找到所述待匹配报文的匹配结果,则在所述安全策略集合中获取所述待匹配报文的匹配结果对应的安全策略;
根据所述待匹配报文的匹配结果对应的安全策略处理所述待匹配报文。
4.根据权利要求1-3任一所述的方法,其特征在于,所述方法还包括:
接收用户输入的各个自定义流量过滤策略;
根据各个自定义流量过滤策略和各个预定义流量过滤策略建立流量过滤策略地图;
接收到待过滤报文后,根据所述流量过滤策略地图确定是否过滤所述待过滤报文。
5.根据权利要求4所述的方法,其特征在于,根据各个自定义流量过滤策略和各个预定义流量过滤策略建立流量过滤策略地图,具体包括:
确定各个自定义流量过滤策略和各个预定义流量过滤策略包括的各个第二通信协议;
根据各个自定义流量过滤策略和各个预定义流量过滤策略生成各个第二通信协议对应的第二节点、并为各个第二节点定义至少一个第二钩子函数;
通过对应的第二钩子函数连接各个第二节点,得到流量过滤策略地图。
6.一种入侵防御装置,应用于部署IPS的网络设备中,其特征在于,所述装置包括:
接收模块,用于接收用户输入的各个自定义攻击特征;
建立模块,用于根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图;
匹配模块,用于接收到待匹配报文后,根据所述攻击特征地图匹配所述待匹配报文;
处理模块,用于根据安全策略集合和所述待匹配报文的匹配结果处理所述待匹配报文。
7.根据权利要求6所述的装置,其特征在于,所述建立模块,用于根据各个自定义攻击特征和各个预定义攻击特征建立攻击特征地图,具体用于:
确定各个自定义攻击特征和各个预定义攻击特征包括的各个第一通信协议;
根据各个自定义攻击特征和各个预定义攻击特征生成各个第一通信协议对应的第一节点、并为各个第一节点定义至少一个第一钩子函数;
通过对应的第一钩子函数连接各个第一节点,得到攻击特征地图。
8.根据权利要求6所述的装置,其特征在于,所述处理模块,用于根据安全策略集合和所述待匹配报文的匹配结果处理所述待匹配报文,具体用于:
在安全策略集合中查找所述待匹配报文的匹配结果;
若在所述安全策略集合中查找到所述待匹配报文的匹配结果,则在所述安全策略集合中获取所述待匹配报文的匹配结果对应的安全策略;
根据所述待匹配报文的匹配结果对应的安全策略处理所述待匹配报文。
9.根据权利要求6-8任一所述的装置,其特征在于,所述装置还包括过滤模块,其中:
所述接收模块,还用于接收用户输入的各个自定义流量过滤策略;
所述建立模块,还用于根据各个自定义流量过滤策略和各个预定义流量过滤策略建立流量过滤策略地图;
所述过滤模块,用于接收到待过滤报文后,根据所述流量过滤策略地图确定是否过滤所述待过滤报文。
10.根据权利要求9所述的装置,其特征在于,所述建立模块,用于根据各个自定义流量过滤策略和各个预定义流量过滤策略建立流量过滤策略地图,具体用于:
确定各个自定义流量过滤策略和各个预定义流量过滤策略包括的各个第二通信协议;
根据各个自定义流量过滤策略和各个预定义流量过滤策略生成各个第二通信协议对应的第二节点、并为各个第二节点定义至少一个第二钩子函数;
通过对应的第二钩子函数连接各个第二节点,得到流量过滤策略地图。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910803911.0A CN110519273B (zh) | 2019-08-28 | 2019-08-28 | 入侵防御方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910803911.0A CN110519273B (zh) | 2019-08-28 | 2019-08-28 | 入侵防御方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110519273A true CN110519273A (zh) | 2019-11-29 |
CN110519273B CN110519273B (zh) | 2021-11-02 |
Family
ID=68628491
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910803911.0A Active CN110519273B (zh) | 2019-08-28 | 2019-08-28 | 入侵防御方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110519273B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110044349A1 (en) * | 2004-05-05 | 2011-02-24 | Gigamon Llc. | Packet switch and method of use |
CN105959290A (zh) * | 2016-06-06 | 2016-09-21 | 杭州迪普科技有限公司 | 攻击报文的检测方法及装置 |
US20170013001A1 (en) * | 2011-11-07 | 2017-01-12 | Netflow Logic Corporation | Streaming Method and System for Processing Network Metadata |
CN107547504A (zh) * | 2017-06-16 | 2018-01-05 | 新华三信息安全技术有限公司 | 入侵防御方法及装置 |
CN107710680A (zh) * | 2016-03-29 | 2018-02-16 | 华为技术有限公司 | 网络攻击防御策略发送、网络攻击防御的方法和装置 |
CN108965336A (zh) * | 2018-09-10 | 2018-12-07 | 杭州迪普科技股份有限公司 | 一种攻击检测方法及装置 |
CN109698836A (zh) * | 2019-02-01 | 2019-04-30 | 重庆邮电大学 | 一种基于深度学习的无线局域网入侵检测方法和系统 |
-
2019
- 2019-08-28 CN CN201910803911.0A patent/CN110519273B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110044349A1 (en) * | 2004-05-05 | 2011-02-24 | Gigamon Llc. | Packet switch and method of use |
US20170013001A1 (en) * | 2011-11-07 | 2017-01-12 | Netflow Logic Corporation | Streaming Method and System for Processing Network Metadata |
CN107710680A (zh) * | 2016-03-29 | 2018-02-16 | 华为技术有限公司 | 网络攻击防御策略发送、网络攻击防御的方法和装置 |
CN105959290A (zh) * | 2016-06-06 | 2016-09-21 | 杭州迪普科技有限公司 | 攻击报文的检测方法及装置 |
CN107547504A (zh) * | 2017-06-16 | 2018-01-05 | 新华三信息安全技术有限公司 | 入侵防御方法及装置 |
CN108965336A (zh) * | 2018-09-10 | 2018-12-07 | 杭州迪普科技股份有限公司 | 一种攻击检测方法及装置 |
CN109698836A (zh) * | 2019-02-01 | 2019-04-30 | 重庆邮电大学 | 一种基于深度学习的无线局域网入侵检测方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN110519273B (zh) | 2021-11-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
De Donno et al. | DDoS‐capable IoT malwares: comparative analysis and Mirai investigation | |
US9992225B2 (en) | System and a method for identifying malware network activity using a decoy environment | |
Shen et al. | Adaptive Markov game theoretic data fusion approach for cyber network defense | |
CN108737344A (zh) | 一种网络攻击防护方法和装置 | |
Fuertes et al. | Alternative engine to detect and block port scan attacks using virtual network environments | |
Sultana et al. | Detecting and preventing ip spoofing and local area network denial (land) attack for cloud computing with the modification of hop count filtering (hcf) mechanism | |
Zammit | A machine learning based approach for intrusion prevention using honeypot interaction patterns as training data | |
CN110519273A (zh) | 入侵防御方法和装置 | |
Jain et al. | Mitigation of denial of service (DoS) attack | |
CN110445808A (zh) | 异常流量攻击防护方法、装置、电子设备 | |
Bruschi et al. | Formal verification of ARP (address resolution protocol) through SMT-based model checking-A case study | |
Thang et al. | Synflood spoof source DDoS attack defence based on packet ID anomaly detection-PIDAD | |
Patel | Demilitarized zone: An exceptional layer of network security to mitigate DDoS attack | |
Frank Jr | Mirai bot scanner summation prototype | |
Fanfara et al. | Autonomous hybrid honeypot as the future of distributed computer systems security | |
Shen et al. | Strategies comparison for game theoretic cyber situational awareness and impact assessment | |
Gorbatiuk et al. | Method of detection of http attacks on a smart home using the algebraic matching method | |
Valizadeh et al. | On the convergence rates of learning-based signature generation schemes to contain self-propagating malware | |
Movva et al. | Intelligent IDS: Venus Fly-Trap Optimization with Honeypot Approach for Intrusion Detection and Prevention | |
Chaithanya et al. | Intelligent IDS: Venus Fly-trap Optimization with Honeypot Approach for Intrusion Detection and Prevention | |
Repp | Theoretical Aspects of Cyber-Atack Modeling | |
Al-Dabagh et al. | Monitoring and analyzing system activities using high interaction honeypot | |
Sari | Countering the IoT-powered volumetric cyberattacks with next-generation cyber-firewall: Seddulbahir | |
Göbel | Amun: automatic capturing of malicious software | |
Balik et al. | Endpoint Firewall for Local Security Hardening in Academic Research Environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |