CN111131337A - UDP Flood攻击的检测方法及装置 - Google Patents
UDP Flood攻击的检测方法及装置 Download PDFInfo
- Publication number
- CN111131337A CN111131337A CN202010239821.6A CN202010239821A CN111131337A CN 111131337 A CN111131337 A CN 111131337A CN 202010239821 A CN202010239821 A CN 202010239821A CN 111131337 A CN111131337 A CN 111131337A
- Authority
- CN
- China
- Prior art keywords
- attack
- target
- address
- source
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种UDP Flood攻击的检测方法及装置。所述方法包括:在拦截到目标请求报文之后,判断预设黑名单中是否存在目标源IP地址,如果预设黑名单中存在目标源IP地址,则确定目标请求报文是UDP Flood攻击报文,如果预设黑名单中不存在目标源IP地址,则为目标请求报文创建新会话,并根据创建的新会话对目标请求报文进行转换后发送至目的设备。如此,一旦发生UDP flood攻击,本申请实施例提供的UDP Flood攻击的检测方法能够主动地发现攻击,响应速度快,从而能够实现对UDP Flood攻击进行更有效的防护。
Description
技术领域
本申请涉及计算机技术领域,特别涉及一种UDP Flood攻击的检测方法及装置。
背景技术
用户数据报协议泛洪(UDP Flood)是日渐猖獗的流量型拒绝服务(DenialofService,DoS)攻击,常见的情况是利用大量用户数据报协议(User Datagram Protocol,UDP)小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。由于UDP协议是一种无连接的协议,在UDP Flood攻击中,攻击者可发送大量虚假源IP地址的小UDP包,在进行数据传输之前,源IP不必与服务器进行连接,只要服务器有一个UDP的端口提供相关服务的话,那么源IP就可针对相关服务对所述服务器进行攻击。
现有技术中,在对UDP Flood攻击进行检测时,通常在网络设备上指定目的IP和目的端口号,限制访问此目的IP和目的端口号的总会话数。当会话数达到限制值后直接丢弃所有访问此目的IP和端口号的所有新流量,以达到避免异常流量影响网络设备性能的目的。但是,这种方法只有在攻击发生后才能知道应该对哪些目的IP和目的端口号进行限制,是在网络异常发生后恢复网络的被动措施。
基于此,目前亟需一种UDP Flood攻击的检测方法,用于实现对UDP Flood攻击进行更有效的防护。
发明内容
本申请提供了一种UDP Flood攻击的检测方法及装置,可用于实现对UDP Flood攻击进行更有效的防护。
第一方面,本申请实施例提供一种UDP Flood攻击的检测方法,所述方法包括:
拦截源设备向目的设备发送的目标请求报文;
获取所述目标请求报文的五元组信息,所述目标请求报文的五元组信息包括目标源IP地址;
判断预设黑名单中是否存在所述目标源IP地址,如果预设黑名单中存在所述目标源IP地址,则确定所述目标请求报文是UDP Flood攻击报文;如果预设黑名单中不存在所述目标源IP地址,则为所述目标请求报文创建新会话,并根据创建的新会话对所述目标请求报文进行转换后发送至所述目的设备;
其中,所述预设黑名单通过以下方式确定:
获取历史时间段内攻击报文的五元组信息;所述攻击报文的五元组信息包括攻击目的IP地址和攻击目的端口号;所述攻击报文是根据为历史时间段内拦截到的历史请求报文创建新会话的重试次数确定的;
确定与所述攻击目的IP地址和所述攻击目的端口号相关联的第一历史会话;
确定所述第一历史会话分别对应的攻击源IP地址;
针对第一攻击源IP地址,获取与所述第一攻击源IP地址相关联的第二历史会话,如果所述第二历史会话对应的目的IP地址均与所述攻击目的IP地址一致,且所述第二历史会话对应的目的端口号均与所述攻击目的端口号一致,则将所述第一攻击源IP地址添加到所述预设黑名单中;所述第一攻击源IP地址是所述第一历史会话分别对应的攻击源IP地址中的任一源IP地址。
结合第一方面,在第一方面的一种可实现方式中,所述攻击报文通过以下方式确定:
在历史时间段内,如果为所述历史请求报文创建新会话的重试次数大于预设次数阈值,则确定所述历史请求报文是疑似攻击报文;
获取所述疑似攻击报文的五元组信息,所述疑似攻击报文的五元组信息包括疑似目的IP地址和疑似目的端口号;
确定与所述疑似目的IP地址和所述疑似目的端口号相关联的第三历史会话的数量;
如果所述第三历史会话的数量大于第一阈值,则确定所述疑似攻击报文是所述攻击报文。
结合第一方面,在第一方面的一种可实现方式中,所述目标请求报文的五元组信息还包括目标目的IP地址和目标目的端口号;
在为所述目标请求报文创建新会话之前,所述方法还包括:
判断预设攻击目标列表中是否存在所述目标目的IP地址和所述目标目的端口号,如果预设攻击目标列表中存在所述目标目的IP地址和所述目标目的端口号,则根据预设会话数量对创建新会话进行限制;如果预设攻击目标列表中不存在所述目标目的IP地址和所述目标目的端口号,则为所述目标请求报文创建新会话;所述预设攻击目标列表中存储有所述攻击目的IP地址和所述攻击目的端口号。
结合第一方面,在第一方面的一种可实现方式中,所述预设会话数量通过以下方式确定:
获取历史时间段内与所述目标源IP地址和所述目标目的IP地址相关联的第四历史会话;
确定所述第四历史会话对应的初始源IP地址集合;
针对第一初始源IP地址,如果所述预设黑名单中存在所述第一初始源IP地址,则将所述第一初始源IP地址从所述初始源IP地址集合中剔除后,得到候选源IP地址集合;以及根据端口的总数量及所述候选源IP地址集合中的源IP地址的数量,确定所述预设会话数量。
结合第一方面,在第一方面的一种可实现方式中,根据预设会话数量对创建新会话进行限制,包括:
确定与所述目标源IP地址和所述目标目的IP地址相关联的当前会话的数量;
如果所述当前会话的数量大于或等于所述预设会话数量,则丢弃所述目标请求报文;
如果所述当前会话的数量小于所述预设会话数量,则为所述目标请求报文创建新会话。
结合第一方面,在第一方面的一种可实现方式中,在判断预设黑名单中是否存在所述目标源IP地址之前,所述方法还包括:
如果查找到与所述目标请求报文的五元组信息一致的会话,则根据目标会话将所述目标请求报文进行转换后发送至所述目的设备;
如果未查找到与所述目标请求报文的五元组信息一致的会话,则判断所述预设黑名单中是否存在所述目标源IP地址。
结合第一方面,在第一方面的一种可实现方式中,在将所述第一攻击源IP地址添加到所述预设黑名单中之后,所述方法还包括:
从所述第二历史会话中删除与所述第一攻击源IP地址相关联的攻击会话,以及释放所述攻击会话占用的NAT端口资源。
第二方面,本申请实施例提供一种UDP Flood攻击的检测装置,所述装置包括:
拦截单元,用于拦截源设备向目的设备发送的目标请求报文;
第一获取单元,用于获取所述目标请求报文的五元组信息,所述目标请求报文的五元组信息包括目标源IP地址;
第一处理单元,用于判断预设黑名单中是否存在所述目标源IP地址,如果预设黑名单中存在所述目标源IP地址,则确定所述目标请求报文是UDP Flood攻击报文;如果预设黑名单中不存在所述目标源IP地址,则为所述目标请求报文创建新会话,并根据创建的新会话对所述目标请求报文进行转换后发送至所述目的设备;
其中,所述预设黑名单通过以下方式确定:
第二获取单元,用于获取历史时间段内攻击报文的五元组信息;所述攻击报文的五元组信息包括攻击目的IP地址和攻击目的端口号;所述攻击报文是根据为历史时间段内拦截到的历史请求报文创建新会话的重试次数确定的;
第二处理单元,用于确定与所述攻击目的IP地址和所述攻击目的端口号相关联的第一历史会话;以及,确定所述第一历史会话分别对应的攻击源IP地址;以及,针对第一攻击源IP地址,获取与所述第一攻击源IP地址相关联的第二历史会话,如果所述第二历史会话对应的目的IP地址均与所述攻击目的IP地址一致,且所述第二历史会话对应的目的端口号均与所述攻击目的端口号一致,则将所述第一攻击源IP地址添加到所述预设黑名单中;所述第一攻击源IP地址是所述第一历史会话分别对应的攻击源IP地址中的任一源IP地址。
结合第二方面,在第二方面的一种可实现方式中,所述攻击报文通过以下方式确定:
所述第一处理单元,还用于在历史时间段内,如果为所述历史请求报文创建新会话的重试次数大于预设次数阈值,则确定所述历史请求报文是疑似攻击报文;
所述第二获取单元,还用于获取所述疑似攻击报文的五元组信息,所述疑似攻击报文的五元组信息包括疑似目的IP地址和疑似目的端口号;
所述第二处理单元,还用于确定与所述疑似目的IP地址和所述疑似目的端口号相关联的第三历史会话的数量;以及,如果所述第三历史会话的数量大于第一阈值,则确定所述疑似攻击报文是所述攻击报文。
结合第二方面,在第二方面的一种可实现方式中,所述目标请求报文的五元组信息还包括目标目的IP地址和目标目的端口号;
所述第一处理单元在为所述目标请求报文创建新会话之前,还用于:
判断预设攻击目标列表中是否存在所述目标目的IP地址和所述目标目的端口号,如果预设攻击目标列表中存在所述目标目的IP地址和所述目标目的端口号,则根据预设会话数量对创建新会话进行限制;如果预设攻击目标列表中不存在所述目标目的IP地址和所述目标目的端口号,则为所述目标请求报文创建新会话;所述预设攻击目标列表中存储有所述攻击目的IP地址和所述攻击目的端口号。
结合第二方面,在第二方面的一种可实现方式中,所述预设会话数量通过以下方式确定:
所述第二获取单元,还用于获取历史时间段内与所述目标源IP地址和所述目标目的IP地址相关联的第四历史会话;
所述第二处理单元,还用于确定所述第四历史会话对应的初始源IP地址集合;以及,针对第一初始源IP地址,如果所述预设黑名单中存在所述第一初始源IP地址,则将所述第一初始源IP地址从所述初始源IP地址集合中剔除后,得到候选源IP地址集合;以及根据端口的总数量及所述候选源IP地址集合中的源IP地址的数量,确定所述预设会话数量。
结合第二方面,在第二方面的一种可实现方式中,所述第一处理单元具体用于:
确定与所述目标源IP地址和所述目标目的IP地址相关联的当前会话的数量;
如果所述当前会话的数量大于或等于所述预设会话数量,则丢弃所述目标请求报文;
如果所述当前会话的数量小于所述预设会话数量,则为所述目标请求报文创建新会话。
结合第二方面,在第二方面的一种可实现方式中,所述第一处理单元在判断预设黑名单中是否存在所述目标源IP地址之前,还用于:
如果查找到与所述目标请求报文的五元组信息一致的会话,则根据目标会话将所述目标请求报文进行转换后发送至所述目的设备;如果未查找到与所述目标请求报文的五元组信息一致的会话,则判断所述预设黑名单中是否存在所述目标源IP地址。
结合第二方面,在第二方面的一种可实现方式中,所述第二处理单元在将所述第一攻击源IP地址添加到所述预设黑名单中之后,还用于:
从所述第二历史会话中删除与所述第一攻击源IP地址相关联的攻击会话,以及释放所述攻击会话占用的NAT端口资源。
本申请实施例中,在拦截到目标请求报文之后,通过判断预设黑名单中是否存在目标源IP地址,来确定目标请求报文是否为UDP Flood攻击报文。如此,一旦发生UDP flood攻击,本申请实施例提供的UDP Flood攻击的检测方法能够主动地发现攻击,响应速度快,从而能够实现对UDP Flood攻击进行更有效的防护。
附图说明
图1为本申请实施例适用的监测系统的结构示意图;
图2为本申请实施例提供的一种UDP Flood攻击的检测方法所对应的流程示意图;
图3为本申请实施例提供的一种预设黑名单的确定方法所对应的流程示意图;
图4为本申请实施例提供的一种攻击报文的确定方法所对应的流程示意图;
图5为本申请实施例提供的一种对目标请求报文进行会话限制的方法所对应的流程示意图;
图6为本申请实施例提供的一种预设会话数量的确定方法所对应的流程示意图;
图7为本申请实施例中业务处理模块检测UDP Flood攻击的整体性流程的示意图;
图8为本申请实施例中统计控制模块执行的整体性操作流程的示意图;
图9为本申请实施例提供的一种UDP Flood攻击的检测装置的结构示意图;
图10为本申请实施例提供的电子设备硬件结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
下面首先结合图1对本申请实施例适用的系统进行介绍。
请参考图1,其示例性示出了本申请实施例适用的监测系统的结构示意图。该监测系统100包括业务处理模块101和统计控制模块102。
业务处理模块101,用于阻断已识别出的攻击源IP地址的流量,以及限制攻击目标相关会话的建立,以及将疑似攻击目标的目的IP地址和目的端口号发送给统计控制模块102进行识别,以确定是否为攻击目标。
统计控制模块102,用于识别攻击目标并记录至预设攻击目标列表,识别攻击者伪造的攻击源IP地址,删除攻击源IP地址相关联的所有会话,并释放占用的NAT端口资源,以及计算每个源IP地址可以访问攻击目标的限制会话规格,并删除超规格会话。
请参考图2,其示例性示出了本申请实施例提供的一种UDP Flood攻击的检测方法所对应的流程示意图,具体包括如下步骤:
步骤201,拦截源设备向目的设备发送的目标请求报文。
步骤202,获取目标请求报文的五元组信息。
步骤203,判断预设黑名单中是否存在所述目标源IP地址,如果预设黑名单中存在所述目标源IP地址,则执行步骤104;否则,执行步骤105。
步骤204,确定目标请求报文是UDP Flood攻击报文。
步骤205,为目标请求报文创建新会话,并根据创建的新会话对所述目标请求报文进行转换后发送至目的设备。
需要说明的是,上述步骤201至步骤205可以由图1中示出的业务处理模块101执行。
本申请实施例中,在拦截到目标请求报文之后,通过判断预设黑名单中是否存在目标源IP地址,来确定目标请求报文是否为UDP Flood攻击报文。如此,一旦发生UDP flood攻击,本申请实施例提供的UDP Flood攻击的检测方法能够主动地发现攻击,响应速度快,从而能够实现对UDP Flood攻击进行更有效的防护。
具体来说,步骤201和步骤202中,目标请求报文的五元组信息包括目标源IP地址、目标源端口号、目标目的IP地址、目标目的端口号和通信协议。
其中,目标源IP地址是源设备的IP地址;目标源端口号是源设备的端口号;目标目的IP地址是目的设备的IP地址;目标目的端口号是目的设备的端口号;通信协议是源设备与目的设备进行通信所采用的协议。
在执行步骤203之前,业务处理模块101可以先判断当前正常运行的会话中,是否存在与目标请求报文的五元组信息一致的会话。
如果查找到与目标请求报文的五元组信息一致的会话,则根据目标会话将目标请求报文进行转换后发送至目的设备。
如果未查找到与目标请求报文的五元组信息一致的会话,则执行步骤203。
步骤203中,请参考图3,其示例性示出了本申请实施例提供的一种预设黑名单的确定方法所对应的流程示意图,具体包括如下步骤:
步骤301,获取历史时间段内攻击报文的五元组信息。
其中,攻击报文的五元组信息包括攻击源IP地址、攻击源端口号、攻击目的IP地址、攻击目的端口号和通信协议。
攻击源IP地址是攻击源设备的IP地址;攻击源端口号是攻击源设备的端口号;攻击目的IP地址是攻击目的设备的IP地址;攻击目的端口号是攻击目的设备的端口号;通信协议是攻击源设备与攻击目的设备进行通信所采用的协议。
本申请实施例中,攻击报文可以是根据为历史时间段内拦截到的历史请求报文创建新会话的重试次数确定的。
具体地,请参考图4,其示例性示出了本申请实施例提供的一种攻击报文的确定方法所对应的流程示意图,具体包括如下步骤:
步骤401,在历史时间段内,如果为历史请求报文创建新会话的重试次数大于预设次数阈值,则确定历史请求报文是疑似攻击报文。
本申请实施例中,预设次数阈值可以是本领域技术人员根据经验和实际情况确定的,具体不做限定。
示例性地,预设次数阈值可以设置为3次,业务处理模块101判断为历史请求报文创建新会话的重试次数是否超过3次,如果超过3次,则认为NAT源端口资源已被大量占用,网络存在已被攻击的可能性,确定历史请求报文是疑似攻击报文,并将历史请求报文的目的IP地址和目的端口号作为疑似攻击目标发给统计控制模块102进行识别,同时,并根据创建好的会话将历史请求报文进行源IP地址和源端口号转换后发送;如果未超过3次,则认为NAT源端口资源仍充足,直接根据创建好的会话将历史请求报文进行源IP地址和源端口号转换后发送即可。
步骤402,获取疑似攻击报文的五元组信息。
其中,疑似攻击报文的五元组信息包括疑似源IP地址、疑似源端口号、疑似目的IP地址、疑似目的端口号和通信协议。
疑似源IP地址是疑似攻击源设备的IP地址;疑似源端口号是疑似攻击源设备的端口号;疑似目的IP地址是疑似攻击目的设备的IP地址;疑似目的端口号是疑似攻击目的设备的端口号;通信协议是疑似攻击源设备与疑似攻击目的设备进行通信所采用的协议。
步骤403,确定与疑似目的IP地址和疑似目的端口号相关联的第三历史会话的数量。
步骤404,如果第三历史会话的数量大于第一阈值,则确定疑似攻击报文是攻击报文。
本领域技术人员可以根据经验和实际情况确定第一阈值,具体不做限定。
下面将举例描述攻击报文的确定过程。
统计控制模块102判断第三历史会话的数量是否大于第二阈值(假设第二阈值是16K,K=1024),如果第三历史会话的数量小于或等于16*1024,则认为NAT源端口资源被占用率不到25%(16*1024÷端口号的总数量≈25%),是误识别,确定该疑似攻击报文不是攻击报文,从疑似攻击目标设备中剔除该设备的疑似目的IP地址和疑似目的端口号。
如果第三历史会话的数量大于16*1024,则判断第三历史会话的数量是否大于第三阈值(假设第三阈值是32K,K=1024),如果第三历史会话的数量小于或等于32*1024,则认为NAT源端口资源被占用率在25%~50%之间,确定该疑似攻击报文存在攻击风险,仍将继续统计监测该疑似攻击目标设备。
如果第三历史会话的数量大于32*1024,则判断第三历史会话的数量是否大于第一阈值(假设第一阈值是48K,K=1024),如果第三历史会话的数量小于或等于48*1024,则认为NAT源端口资源被占用率在50%~75%之间,确定该疑似攻击报文存在高攻击风险,仍将继续统计监测本疑似攻击目标(即疑似攻击目的设备),并且将与疑似目的IP地址和疑似目的端口号相关联的会话的老化时间设置为3秒,从而可以使无用会话可以快速老化,不再占用NAT端口资源,有用会话仍可由报文触发更新会话老化时间为正常值,不会影响正常业务转发。
如果第三历史会话的数量大于48*1024,则认为NAT源端口资源被占用率已超过75%,确定疑似攻击报文是攻击报文,并且,需要对NAT源端口的使用进行限制。
其中,第二阈值小于第三阈值,且,第三阈值小于第一阈值。
需要说明的是,上述步骤401可以是由图1中示出的业务处理模块101在历史时间段内执行的;上述步骤402至步骤404可以是由图1中示出的统计控制模块102执行。
步骤302,确定与攻击目的IP地址和攻击目的端口号相关联的第一历史会话。
步骤303,确定第一历史会话分别对应的攻击源IP地址。
步骤304,针对第一攻击源IP地址,获取与第一攻击源IP地址相关联的第二历史会话,如果第二历史会话对应的目的IP地址均与攻击目的IP地址一致,且第二历史会话对应的目的端口号均与攻击目的端口号一致,则将第一攻击源IP地址添加到预设黑名单中。
其中,第一攻击源IP地址是第一历史会话分别对应的攻击源IP地址中的任一源IP地址。
具体地,考虑到正常主机会访问不同的服务既有UDP又有TCP,若源IP地址只有访问目的设备的UDP会话,则基本可以认定此源IP地址是攻击者伪造的攻击源。
基于此,通过遍历第一历史会话,得到第一历史会话中所有的源IP 地址,再基于每个源IP地址遍历网络设备上的所有会话,确认每个源IP地址是否有访问目的设备之外的会话,如果有访问目的设备之外的会话,则认为此源IP是一个真正的主机IP,不需要加入预设黑名单中;如果没有访问目的设备之外的UDP会话,则认为该源IP地址是攻击者伪造的攻击源,需要将该源IP地址加入黑名单。
需要说明的是,上述步骤301至步骤304可以由图1中示出的统计控制模块102执行。
在执行步骤304之后,统计控制模块102还可以从第二历史会话中删除与第一攻击源IP地址相关联的攻击会话,以及释放攻击会话占用的NAT端口资源。
步骤204中,如果确定目标请求报文是UDP Flood攻击报文,即认为目标请求报文是伪造的攻击报文,可直接丢包。
在执行步骤205之前,业务处理模块101还可以判断预设攻击目标列表中是否存在目标目的IP地址和所述目标目的端口号,具体的执行步骤可参考图5,其示例性示出了本申请实施例提供的一种对目标请求报文进行会话限制的方法所对应的流程示意图,包括如下步骤:
步骤501,判断预设攻击目标列表中是否存在目标目的IP地址和所述目标目的端口号,如果预设攻击目标列表中存在目标目的IP地址和所述目标目的端口号,则执行步骤502;否则,执行步骤503。
其中,预设攻击目标列表中存储有述攻击目的IP地址和攻击目的端口号。
步骤502,根据预设会话数量对创建新会话进行限制。
具体地,请参考图6,其示例性示出了本申请实施例提供的一种预设会话数量的确定方法所对应的流程示意图,具体包括如下步骤:
步骤601,获取历史时间段内与目标源IP地址和目标目的IP地址相关联的第四历史会话。
步骤602,确定第四历史会话对应的初始源IP地址集合。
步骤603,针对第一初始源IP地址,判断预设黑名单中是否存在第一初始源IP地址,如果预设黑名单中存在第一初始源IP地址,则执行步骤604;否则,执行步骤606。
步骤604,将第一初始源IP地址从初始源IP地址集合中剔除后,得到候选源IP地址集合。
步骤605,根据端口的总数量及候选源IP地址集合中的源IP地址的数量,确定预设会话数量。
具体来说,步骤603至步骤605中,统计控制模块102先统计剔除存在于预设黑名单中的源IP地址后,得到候选源IP地址集合中所有源IP地址的个数(设为N),将总端口数(取64K,K=1024)除以N,即可得出每个源IP地址可以访问目的设备的预设会话数量。如此,能够使每个源IP地址尽可能多的平均分配源NAT端口号资源,该预设会话数量只限制源IP地址访问该目的设备的会话数,并不限制源IP地址访问其它目的设备的会话数。
步骤606,根据端口的总数量及初始源IP地址集合中的源IP地址的数量,确定预设会话数量。
具体来说,步骤606中,统计控制模块102确定初始源IP地址集合中所有源IP地址的个数(设为M),将总端口数(取64K,K=1024) 除以M,即可得出每个源IP地址可以访问目的设备的预设会话数量。
需要说明的是,上述步骤601至步骤606可以由图1中示出的统计控制模块102执行。
在执行步骤606之后,针对每个源IP地址对应的会话中超出预设会话数量的会话,统计控制模块102还可以将该会话删除,从而释放被多占用的源NAT端口资源。
进一步地,在确定预设会话数量之后,可以根据预设会话数量对创建新会话进行限制。具体来说,可以先确定与目标源IP地址和目标目的IP地址相关联的当前会话的数量,如果当前会话的数量大于或等于预设会话数量,则丢弃目标请求报文;如果当前会话的数量小于预设会话数量,则为目标请求报文创建新会话。
其中,当前会话可以是指当前正常运行的会话中,与目标源IP地址和目标目的IP地址相关联的会话。
步骤503,为目标请求报文创建新会话。
需要说明的是,上述步骤501至步骤503可以由图1中示出的业务处理模块101执行。
步骤205中,业务处理模块101将使用随机端口号进行NAT转换尝试创建会话,会话创建失败则递增端口号重试,最多重试128次(最多重试的次数可以根据实际情况进行修改)。
其中,使用随机端口号的目的是,能在端口已被大量占用时出现创建会话失败的现象,以便提取目标请求报文的目标目的IP地址和目标目的端口号作为疑似攻击目标,否则只有基于所有的目的IP地址和目的端口号进行会话统计,才能得知哪些目的IP和端口号对应的NAT源端口资源不足,进而会增加统计控制模块的计算负担。
重试128次可以确保了NAT源端口资源耗尽前能够成功建立会话,少丢正常报文。
若重试128次后仍建立会话失败,则认为NAT源端口资源确实耗尽,可直接丢弃目标请求报文。
为了更加清楚地描述本申请实施例提供的UDP Flood攻击的检测方法,下面结合图7,对本申请实施例中业务处理模块检测UDP Flood攻击的流程进行整体性描述,具体包括如下步骤:
步骤701,拦截源设备向目的设备发送的目标请求报文。
步骤702,获取目标请求报文的五元组信息。
步骤703,判断当前正常运行的会话中,是否存在与目标请求报文的五元组信息一致的会话,如果查找到与目标请求报文的五元组信息一致的目标会话,则执行步骤704;否则,执行步骤705。
步骤704,根据目标会话将目标请求报文进行转换后发送至目的设备。
步骤705,判断预设黑名单中是否存在目标源IP地址,如果预设黑名单中存在目标源IP地址,则执行步骤706;否则,执行步骤707。
步骤706,确定目标请求报文是UDP Flood攻击报文。
步骤707,判断预设攻击目标列表中是否存在目标目的IP地址和目标目的端口号,如果预设攻击目标列表中存在目标目的IP地址和目标目的端口号,则执行步骤708;否则,执行步骤711。
步骤708,确定与目标源IP地址和目标目的IP地址相关联的当前会话的数量。
步骤709,判断当前会话的数量是否大于或等于预设会话数量,如果当前会话的数量大于或等于预设会话数量,则执行步骤710;否则,执行步骤711。
步骤710,丢弃目标请求报文。
步骤711,为目标请求报文创建新会话,并根据创建的新会话对目标请求报文进行转换后发送至目的设备。
需要说明的是,上述步骤701至步骤711可以由图1中示出的业务处理模块101执行。
本申请实施例中,在拦截到目标请求报文之后,通过判断预设黑名单中是否存在目标源IP地址,来确定目标请求报文是否为UDP Flood攻击报文。如此,一旦发生UDP flood攻击,本申请实施例提供的UDP Flood攻击的检测方法能够主动地发现攻击,响应速度快,从而能够实现对UDP Flood攻击进行更有效的防护。
为了更加清楚地描述本申请实施例中统计控制模块执行的操作,下面结合图8,对本申请实施例中统计控制模块执行的操作流程进行整体性描述,具体包括如下步骤:
步骤801,获取疑似攻击报文的五元组信息。
步骤802,确定与疑似目的IP地址和疑似目的端口号相关联的第三历史会话的数量。
步骤803,判断第三历史会话的数量是否大于第二阈值,如果大于第二阈值,则执行步骤805;否则,执行步骤804。
步骤804,确定该疑似攻击报文不是攻击报文。
步骤805,判断第三历史会话的数量是否大于第三阈值,如果大于第三阈值,则执行步骤807;否则,执行步骤806。
步骤806,确定该疑似攻击报文存在攻击风险。
步骤807,判断第三历史会话的数量是否大于第一阈值,如果大于第一阈值,则执行步骤809;否则,执行步骤808。
步骤808,确定该疑似攻击报文存在高攻击风险。
步骤809,确定该疑似攻击报文是攻击报文。
步骤810,获取攻击报文的五元组信息。
步骤811,将攻击目的IP地址和攻击目的端口号存储至预设攻击目标列表。
步骤812,确定与攻击目的IP地址和攻击目的端口号相关联的第一历史会话。
步骤813,确定第一历史会话分别对应的攻击源IP地址。
步骤814,遍历第一历史会话对应的所有攻击源IP地址。
步骤815,获取与攻击源IP地址相关联的第二历史会话。
步骤816,判断第二历史会话对应的目的IP地址是否均与攻击目的IP地址一致,且判断第二历史会话对应的目的端口号均与攻击目的端口号一致,如果两个判断结果均为一致,则执行步骤817;否则,执行步骤819。
步骤817,将攻击源IP地址添加到预设黑名单中。
步骤818,从第二历史会话中删除与攻击源IP地址相关联的攻击会话,以及释放攻击会话占用的NAT端口资源。
步骤819,判断第一历史会话对应的所有攻击源IP地址是否遍历完毕,如果遍历完毕,则结束流程;否则,返回步骤814。
需要说明的是:(1)上述步骤801至步骤819可以由图1中示出的统计控制模块102执行;(2)步骤801至步骤819中仅描述了统计控制模块确定预设攻击列表和预设黑名单的操作,而关于统计控制模块确定预设会话数量的操作可以参考图6示出的内容,此处不再赘述。
下述为本申请装置实施例,可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节,请参照本申请方法实施例。
图9示例性示出了本申请实施例提供的一种UDP Flood攻击的检测装置的结构示意图。如图9所示,该装置具有实现上述UDP Flood攻击的检测装置方法的功能,所述功能可以由硬件实现,也可以由硬件执行相应的软件实现。该装置可以包括:拦截单元901、第一获取单元902、第一处理单元903、第二获取单元904和第二处理单元905。
拦截单元901,用于拦截源设备向目的设备发送的目标请求报文;
第一获取单元902,用于获取所述目标请求报文的五元组信息,所述目标请求报文的五元组信息包括目标源IP地址;
第一处理单元903,用于判断预设黑名单中是否存在所述目标源IP地址,如果预设黑名单中存在所述目标源IP地址,则确定所述目标请求报文是UDP Flood攻击报文;如果预设黑名单中不存在所述目标源IP地址,则为所述目标请求报文创建新会话,并根据创建的新会话对所述目标请求报文进行转换后发送至所述目的设备;
其中,所述预设黑名单通过以下方式确定:
第二获取单元904,用于获取历史时间段内攻击报文的五元组信息;所述攻击报文的五元组信息包括攻击目的IP地址和攻击目的端口号;所述攻击报文是根据为历史时间段内拦截到的历史请求报文创建新会话的重试次数确定的;
第二处理单元905,用于确定与所述攻击目的IP地址和所述攻击目的端口号相关联的第一历史会话;以及,确定所述第一历史会话分别对应的攻击源IP地址;以及,针对第一攻击源IP地址,获取与所述第一攻击源IP地址相关联的第二历史会话,如果所述第二历史会话对应的目的IP地址均与所述攻击目的IP地址一致,且所述第二历史会话对应的目的端口号均与所述攻击目的端口号一致,则将所述第一攻击源IP地址添加到所述预设黑名单中;所述第一攻击源IP地址是所述第一历史会话分别对应的攻击源IP地址中的任一源IP地址。
可选地,所述攻击报文通过以下方式确定:
所述第一处理单元903,还用于在历史时间段内,如果为所述历史请求报文创建新会话的重试次数大于预设次数阈值,则确定所述历史请求报文是疑似攻击报文;
所述第二获取单元904,还用于获取所述疑似攻击报文的五元组信息,所述疑似攻击报文的五元组信息包括疑似目的IP地址和疑似目的端口号;
所述第二处理单元905,还用于确定与所述疑似目的IP地址和所述疑似目的端口号相关联的第三历史会话的数量;以及,如果所述第三历史会话的数量大于第一阈值,则确定所述疑似攻击报文是所述攻击报文。
可选地,所述目标请求报文的五元组信息还包括目标目的IP地址和目标目的端口号;
所述第一处理单元903在为所述目标请求报文创建新会话之前,还用于:
判断预设攻击目标列表中是否存在所述目标目的IP地址和所述目标目的端口号,如果预设攻击目标列表中存在所述目标目的IP地址和所述目标目的端口号,则根据预设会话数量对创建新会话进行限制;如果预设攻击目标列表中不存在所述目标目的IP地址和所述目标目的端口号,则为所述目标请求报文创建新会话;所述预设攻击目标列表中存储有所述攻击目的IP地址和所述攻击目的端口号。
可选地,所述预设会话数量通过以下方式确定:
所述第二获取单元904,还用于获取历史时间段内与所述目标源IP地址和所述目标目的IP地址相关联的第四历史会话;
所述第二处理单元905,还用于确定所述第四历史会话对应的初始源IP地址集合;以及,针对第一初始源IP地址,如果所述预设黑名单中存在所述第一初始源IP地址,则将所述第一初始源IP地址从所述初始源IP地址集合中剔除后,得到候选源IP地址集合;以及根据端口的总数量及所述候选源IP地址集合中的源IP地址的数量,确定所述预设会话数量。
可选地,所述第一处理单元903具体用于:
确定与所述目标源IP地址和所述目标目的IP地址相关联的当前会话的数量;
如果所述当前会话的数量大于或等于所述预设会话数量,则丢弃所述目标请求报文;
如果所述当前会话的数量小于所述预设会话数量,则为所述目标请求报文创建新会话。
可选地,所述第一处理单元903在判断预设黑名单中是否存在所述目标源IP地址之前,还用于:
如果查找到与所述目标请求报文的五元组信息一致的会话,则根据目标会话将所述目标请求报文进行转换后发送至所述目的设备;如果未查找到与所述目标请求报文的五元组信息一致的会话,则判断所述预设黑名单中是否存在所述目标源IP地址。
可选地,所述第二处理单元905在将所述第一攻击源IP地址添加到所述预设黑名单中之后,还用于:
从所述第二历史会话中删除与所述第一攻击源IP地址相关联的攻击会话,以及释放所述攻击会话占用的NAT端口资源。
如此,一旦发生UDP flood攻击,本申请实施例提供的UDP Flood攻击的检测装置能够主动地发现攻击,响应速度快,从而能够实现对UDP Flood攻击进行更有效的防护。
图10为本申请实施例提供的电子设备硬件结构示意图。如图10所示,本申请实施例提供的电子设备包括:存储器1001,用于存储程序指令;处理器1002,用于调用并执行所述存储器中的程序指令,以实现上述实施例所述的UDP Flood攻击的检测方法。
本实施例中,处理器1002和存储器1001可通过总线或其他方式连接。处理器可以是通用处理器,例如中央处理器、数字信号处理器、专用集成电路,或者被配置成实施本申请实施例的一个或多个集成电路。存储器可以包括易失性存储器,例如随机存取存储器;存储器也可以包括非易失性存储器,例如只读存储器、快闪存储器、硬盘或固态硬盘。
本申请实施例还提供了一种存储介质,所述存储介质中存储有计算机程序,当UDPFlood攻击的检测装置的至少一个处理器执行所述计算机程序时,UDP Flood攻击的检测装置执行上述实施例所述的UDP Flood攻击的检测方法。
所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:read-only memory,简称:ROM)或随机存储记忆体(英文:random access memory,简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中各个实施例之间相同相似的部分互相参见即可。尤其,对于服务构建装置和服务加载装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。
Claims (14)
1.一种UDP Flood攻击的检测方法,其特征在于,所述方法包括:
拦截源设备向目的设备发送的目标请求报文;
获取所述目标请求报文的五元组信息,所述目标请求报文的五元组信息包括目标源IP地址;
判断预设黑名单中是否存在所述目标源IP地址,如果预设黑名单中存在所述目标源IP地址,则确定所述目标请求报文是UDP Flood攻击报文;如果预设黑名单中不存在所述目标源IP地址,则为所述目标请求报文创建新会话,并根据创建的新会话对所述目标请求报文进行转换后发送至所述目的设备;
其中,所述预设黑名单通过以下方式确定:
获取历史时间段内攻击报文的五元组信息;所述攻击报文的五元组信息包括攻击目的IP地址和攻击目的端口号;所述攻击报文是根据为历史时间段内拦截到的历史请求报文创建新会话的重试次数确定的;
确定与所述攻击目的IP地址和所述攻击目的端口号相关联的第一历史会话;
确定所述第一历史会话分别对应的攻击源IP地址;
针对第一攻击源IP地址,获取与所述第一攻击源IP地址相关联的第二历史会话,如果所述第二历史会话对应的目的IP地址均与所述攻击目的IP地址一致,且所述第二历史会话对应的目的端口号均与所述攻击目的端口号一致,则将所述第一攻击源IP地址添加到所述预设黑名单中;所述第一攻击源IP地址是所述第一历史会话分别对应的攻击源IP地址中的任一源IP地址。
2.根据权利要求1所述的方法,其特征在于,所述攻击报文通过以下方式确定:
在历史时间段内,如果为所述历史请求报文创建新会话的重试次数大于预设次数阈值,则确定所述历史请求报文是疑似攻击报文;
获取所述疑似攻击报文的五元组信息,所述疑似攻击报文的五元组信息包括疑似目的IP地址和疑似目的端口号;
确定与所述疑似目的IP地址和所述疑似目的端口号相关联的第三历史会话的数量;
如果所述第三历史会话的数量大于第一阈值,则确定所述疑似攻击报文是所述攻击报文。
3.根据权利要求2所述的方法,其特征在于,所述目标请求报文的五元组信息还包括目标目的IP地址和目标目的端口号;
在为所述目标请求报文创建新会话之前,所述方法还包括:
判断预设攻击目标列表中是否存在所述目标目的IP地址和所述目标目的端口号,如果预设攻击目标列表中存在所述目标目的IP地址和所述目标目的端口号,则根据预设会话数量对创建新会话进行限制;如果预设攻击目标列表中不存在所述目标目的IP地址和所述目标目的端口号,则为所述目标请求报文创建新会话;所述预设攻击目标列表中存储有所述攻击目的IP地址和所述攻击目的端口号。
4.根据权利要求3所述的方法,其特征在于,所述预设会话数量通过以下方式确定:
获取历史时间段内与所述目标源IP地址和所述目标目的IP地址相关联的第四历史会话;
确定所述第四历史会话对应的初始源IP地址集合;
针对第一初始源IP地址,如果所述预设黑名单中存在所述第一初始源IP地址,则将所述第一初始源IP地址从所述初始源IP地址集合中剔除后,得到候选源IP地址集合;以及根据端口的总数量及所述候选源IP地址集合中的源IP地址的数量,确定所述预设会话数量。
5.根据权利要求4所述的方法,其特征在于,根据预设会话数量对创建新会话进行限制,包括:
确定与所述目标源IP地址和所述目标目的IP地址相关联的当前会话的数量;
如果所述当前会话的数量大于或等于所述预设会话数量,则丢弃所述目标请求报文;
如果所述当前会话的数量小于所述预设会话数量,则为所述目标请求报文创建新会话。
6.根据权利要求1至5中任一项所述的方法,其特征在于,在判断预设黑名单中是否存在所述目标源IP地址之前,所述方法还包括:
如果查找到与所述目标请求报文的五元组信息一致的会话,则根据目标会话将所述目标请求报文进行转换后发送至所述目的设备;
如果未查找到与所述目标请求报文的五元组信息一致的会话,则判断所述预设黑名单中是否存在所述目标源IP地址。
7.根据权利要求1至5中任一项所述的方法,其特征在于,在将所述第一攻击源IP地址添加到所述预设黑名单中之后,所述方法还包括:
从所述第二历史会话中删除与所述第一攻击源IP地址相关联的攻击会话,以及释放所述攻击会话占用的NAT端口资源。
8.一种UDP Flood攻击的检测装置,其特征在于,所述装置包括:
拦截单元,用于拦截源设备向目的设备发送的目标请求报文;
第一获取单元,用于获取所述目标请求报文的五元组信息,所述目标请求报文的五元组信息包括目标源IP地址;
第一处理单元,用于判断预设黑名单中是否存在所述目标源IP地址,如果预设黑名单中存在所述目标源IP地址,则确定所述目标请求报文是UDP Flood攻击报文;如果预设黑名单中不存在所述目标源IP地址,则为所述目标请求报文创建新会话,并根据创建的新会话对所述目标请求报文进行转换后发送至所述目的设备;
其中,所述预设黑名单通过以下方式确定:
第二获取单元,用于获取历史时间段内攻击报文的五元组信息;所述攻击报文的五元组信息包括攻击目的IP地址和攻击目的端口号;所述攻击报文是根据为历史时间段内拦截到的历史请求报文创建新会话的重试次数确定的;
第二处理单元,用于确定与所述攻击目的IP地址和所述攻击目的端口号相关联的第一历史会话;以及,确定所述第一历史会话分别对应的攻击源IP地址;以及,针对第一攻击源IP地址,获取与所述第一攻击源IP地址相关联的第二历史会话,如果所述第二历史会话对应的目的IP地址均与所述攻击目的IP地址一致,且所述第二历史会话对应的目的端口号均与所述攻击目的端口号一致,则将所述第一攻击源IP地址添加到所述预设黑名单中;所述第一攻击源IP地址是所述第一历史会话分别对应的攻击源IP地址中的任一源IP地址。
9.根据权利要求8所述的装置,其特征在于,所述攻击报文通过以下方式确定:
所述第一处理单元,还用于在历史时间段内,如果为所述历史请求报文创建新会话的重试次数大于预设次数阈值,则确定所述历史请求报文是疑似攻击报文;
所述第二获取单元,还用于获取所述疑似攻击报文的五元组信息,所述疑似攻击报文的五元组信息包括疑似目的IP地址和疑似目的端口号;
所述第二处理单元,还用于确定与所述疑似目的IP地址和所述疑似目的端口号相关联的第三历史会话的数量;以及,如果所述第三历史会话的数量大于第一阈值,则确定所述疑似攻击报文是所述攻击报文。
10.根据权利要求9所述的装置,其特征在于,所述目标请求报文的五元组信息还包括目标目的IP地址和目标目的端口号;
所述第一处理单元在为所述目标请求报文创建新会话之前,还用于:
判断预设攻击目标列表中是否存在所述目标目的IP地址和所述目标目的端口号,如果预设攻击目标列表中存在所述目标目的IP地址和所述目标目的端口号,则根据预设会话数量对创建新会话进行限制;如果预设攻击目标列表中不存在所述目标目的IP地址和所述目标目的端口号,则为所述目标请求报文创建新会话;所述预设攻击目标列表中存储有所述攻击目的IP地址和所述攻击目的端口号。
11.根据权利要求10所述的装置,其特征在于,所述预设会话数量通过以下方式确定:
所述第二获取单元,还用于获取历史时间段内与所述目标源IP地址和所述目标目的IP地址相关联的第四历史会话;
所述第二处理单元,还用于确定所述第四历史会话对应的初始源IP地址集合;以及,针对第一初始源IP地址,如果所述预设黑名单中存在所述第一初始源IP地址,则将所述第一初始源IP地址从所述初始源IP地址集合中剔除后,得到候选源IP地址集合;以及根据端口的总数量及所述候选源IP地址集合中的源IP地址的数量,确定所述预设会话数量。
12.根据权利要求11所述的装置,其特征在于,所述第一处理单元具体用于:
确定与所述目标源IP地址和所述目标目的IP地址相关联的当前会话的数量;
如果所述当前会话的数量大于或等于所述预设会话数量,则丢弃所述目标请求报文;
如果所述当前会话的数量小于所述预设会话数量,则为所述目标请求报文创建新会话。
13.根据权利要求8至12中任一项所述的装置,其特征在于,所述第一处理单元在判断预设黑名单中是否存在所述目标源IP地址之前,还用于:
如果查找到与所述目标请求报文的五元组信息一致的会话,则根据目标会话将所述目标请求报文进行转换后发送至所述目的设备;如果未查找到与所述目标请求报文的五元组信息一致的会话,则判断所述预设黑名单中是否存在所述目标源IP地址。
14.根据权利要求8至12中任一项所述的装置,其特征在于,所述第二处理单元在将所述第一攻击源IP地址添加到所述预设黑名单中之后,还用于:
从所述第二历史会话中删除与所述第一攻击源IP地址相关联的攻击会话,以及释放所述攻击会话占用的NAT端口资源。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010239821.6A CN111131337B (zh) | 2020-03-31 | 2020-03-31 | UDP Flood攻击的检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010239821.6A CN111131337B (zh) | 2020-03-31 | 2020-03-31 | UDP Flood攻击的检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111131337A true CN111131337A (zh) | 2020-05-08 |
CN111131337B CN111131337B (zh) | 2020-06-26 |
Family
ID=70493911
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010239821.6A Active CN111131337B (zh) | 2020-03-31 | 2020-03-31 | UDP Flood攻击的检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111131337B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112532620A (zh) * | 2020-11-26 | 2021-03-19 | 杭州迪普信息技术有限公司 | 一种会话表控制方法及装置 |
CN113873057A (zh) * | 2021-09-28 | 2021-12-31 | 奇安信科技集团股份有限公司 | 数据处理方法和装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104219200A (zh) * | 2013-05-30 | 2014-12-17 | 杭州迪普科技有限公司 | 一种防范dns缓存攻击的装置和方法 |
WO2017024977A1 (zh) * | 2015-08-13 | 2017-02-16 | 阿里巴巴集团控股有限公司 | 一种网络攻击的防御方法、装置及系统 |
CN106453350A (zh) * | 2016-10-31 | 2017-02-22 | 杭州华三通信技术有限公司 | 一种防攻击的方法及装置 |
CN108234473A (zh) * | 2017-12-28 | 2018-06-29 | 新华三技术有限公司 | 一种报文防攻击方法及装置 |
US20190109713A1 (en) * | 2017-10-06 | 2019-04-11 | Stealthpath, Inc. | Methods for internet communication security |
-
2020
- 2020-03-31 CN CN202010239821.6A patent/CN111131337B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104219200A (zh) * | 2013-05-30 | 2014-12-17 | 杭州迪普科技有限公司 | 一种防范dns缓存攻击的装置和方法 |
WO2017024977A1 (zh) * | 2015-08-13 | 2017-02-16 | 阿里巴巴集团控股有限公司 | 一种网络攻击的防御方法、装置及系统 |
CN106453350A (zh) * | 2016-10-31 | 2017-02-22 | 杭州华三通信技术有限公司 | 一种防攻击的方法及装置 |
US20190109713A1 (en) * | 2017-10-06 | 2019-04-11 | Stealthpath, Inc. | Methods for internet communication security |
CN108234473A (zh) * | 2017-12-28 | 2018-06-29 | 新华三技术有限公司 | 一种报文防攻击方法及装置 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112532620A (zh) * | 2020-11-26 | 2021-03-19 | 杭州迪普信息技术有限公司 | 一种会话表控制方法及装置 |
CN113873057A (zh) * | 2021-09-28 | 2021-12-31 | 奇安信科技集团股份有限公司 | 数据处理方法和装置 |
CN113873057B (zh) * | 2021-09-28 | 2024-03-15 | 奇安信科技集团股份有限公司 | 数据处理方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN111131337B (zh) | 2020-06-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4545647B2 (ja) | 攻撃検知・防御システム | |
CN109831461B (zh) | 一种分布式拒绝服务DDoS攻击防御方法及装置 | |
US6738814B1 (en) | Method for blocking denial of service and address spoofing attacks on a private network | |
CN111010409B (zh) | 加密攻击网络流量检测方法 | |
CN109922072B (zh) | 一种分布式拒绝服务攻击检测方法及装置 | |
CN111131337B (zh) | UDP Flood攻击的检测方法及装置 | |
JP2004507978A (ja) | ネットワークノードに対するサービス拒絶アタックに対抗するシステム及び方法 | |
US20110026529A1 (en) | Method And Apparatus For Option-based Marking Of A DHCP Packet | |
CN112751862A (zh) | 一种端口扫描攻击检测方法、装置及电子设备 | |
US9350754B2 (en) | Mitigating a cyber-security attack by changing a network address of a system under attack | |
CN112073376A (zh) | 一种基于数据面的攻击检测方法及设备 | |
CN107690004B (zh) | 地址解析协议报文的处理方法及装置 | |
KR100950900B1 (ko) | 분산서비스거부 공격 방어방법 및 방어시스템 | |
CN112738110A (zh) | 一种旁路阻断方法、装置、电子设备和存储介质 | |
CN112491911B (zh) | Dns分布式拒绝服务防御方法、装置、设备及存储介质 | |
CN114024731A (zh) | 报文处理方法及装置 | |
KR101400127B1 (ko) | 비정상 데이터 패킷 검출 방법 및 장치 | |
KR102046612B1 (ko) | Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법 | |
JP5328283B2 (ja) | 情報処理装置、プログラム、および記録媒体 | |
Smith et al. | Comparison of operating system implementations of SYN flood defenses (cookies) | |
CN115913784B (zh) | 一种网络攻击防御系统、方法、装置及电子设备 | |
CN115225297B (zh) | 一种阻断网络入侵的方法及装置 | |
CN111193689B (zh) | 一种网络攻击处理方法、装置、电子设备及存储介质 | |
CN115208596B (zh) | 网络入侵防御方法、装置及存储介质 | |
CN115622754B (zh) | 一种检测并防止mqtt漏洞的方法、系统和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |