CN111355686B - 泛洪攻击的防御方法、装置、系统和存储介质 - Google Patents

泛洪攻击的防御方法、装置、系统和存储介质 Download PDF

Info

Publication number
CN111355686B
CN111355686B CN201811568139.0A CN201811568139A CN111355686B CN 111355686 B CN111355686 B CN 111355686B CN 201811568139 A CN201811568139 A CN 201811568139A CN 111355686 B CN111355686 B CN 111355686B
Authority
CN
China
Prior art keywords
defense
bpf
attack
executable instruction
flood
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811568139.0A
Other languages
English (en)
Other versions
CN111355686A (zh
Inventor
王永功
白雪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tianyi Cloud Technology Co Ltd
Original Assignee
Tianyi Cloud Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tianyi Cloud Technology Co Ltd filed Critical Tianyi Cloud Technology Co Ltd
Priority to CN201811568139.0A priority Critical patent/CN111355686B/zh
Publication of CN111355686A publication Critical patent/CN111355686A/zh
Application granted granted Critical
Publication of CN111355686B publication Critical patent/CN111355686B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种泛洪攻击的防御方法、装置、系统和存储介质,涉及网络安全技术领域。泛洪攻击的防御方法包括:根据防御处理策略生成伯克利包过滤BPF可执行指令;将BPF可执行指令下发给云计算网络中的前端防御节点,以便前端防御节点执行BPF可执行指令。本发明的实施例提出了一种集中编译、分布式部署的架构,通过借助BPF机制,以轻量级、可编程的方式嵌入网络节点收包前端。即使是计算能力较弱的节点,也能够进行有效的防御。从而能够第一时间缓解攻击,提高了泛洪攻击的防御的效果和效率。

Description

泛洪攻击的防御方法、装置、系统和存储介质
技术领域
本发明涉及网络安全技术领域,特别涉及一种泛洪攻击的防御方法、装置、系统和存储介质。
背景技术
网络安全问题一直是学术界和工业界关注的重要问题。泛洪(Flooding)攻击具有存在广泛、危害严重、易于实施的特点,已引起领域内专家学者大量的关注和深入研究。泛洪攻击本质上是一种针对目标服务器或网络设备的资源耗尽型攻击,如TCP SYN泛洪、ICMP泛洪等。泛洪攻击通过大量的恶意访问来挤占正常业务的CPU、内存、带宽等资源,进而导致正常业务访问失败。
云计算环境通常使用硬件防火墙来防御来自外部的泛洪攻击。但对网络内部由被攻破节点发起的泛洪攻击尚无法有效防御,或防御成本较高。云计算中大多数服务节点都基于虚拟机或容器实现,单个节点的处理能力较低,更容易成为泛洪攻击的受害者。
当前主流云计算环境多基于Linux内核提供的iptables模块防御泛洪攻击。但在防御泛洪攻击时对部署节点的资源消耗较大。攻击流量较大时,iptables模块会占用服务节点大量CPU、内存资源,导致业务中断。
云计算环境下也有机制拟将深度学习应用于拒绝服务攻击的防御,可以完成泛洪攻击的实时发现和防御。但此类方法通常计算复杂度高,不利于深度计算的部署。
当前内网泛洪防御机制的共有缺点是大都基于Linux内核协议栈实现,并没有在收到攻击报文第一时间防御丢弃(通常在Netfilter INPUT阶段完成),导致防御响应时间长,对防御系统本身的冲击也大。
因此,现有技术中进行泛洪攻击的防御的效果较差、效率较低。
发明内容
本发明实施例所要解决的一个技术问题是:如何提高泛洪攻击的防御的效果和效率。
根据本发明一些实施例的第一个方面,提供一种泛洪攻击的防御方法,包括:根据防御处理策略生成伯克利包过滤BPF可执行指令;将BPF可执行指令下发给云计算网络中的前端防御节点,以便前端防御节点执行BPF可执行指令。
在一些实施例中,前端防御节点有多个。
在一些实施例中,防御处理策略包括:响应于接收到的流量为攻击流量,对流量进行限速处理;和/或,对接收到的流量执行流量的报文的特征对应的接入策略。
在一些实施例中,根据每个前端防御节点所属的租户的业务信息和设备能力信息生成节点对应的BPF可执行指令。
在一些实施例中,泛洪攻击的防御方法还包括:根据网络中的泛洪攻击数据和/或业务流量数据,更新防御处理策略。
在一些实施例中,将BPF可执行指令下发给云计算网络中的SDN控制器集群,以便SDN控制器集群将BPF可执行指令下发给前端防御节点。
在一些实施例中,泛洪攻击的防御方法还包括:SDN控制器集群通过Netconf协议将BPF可执行指令下发给云计算网络中的前端防御节点。
根据本发明一些实施例的第二个方面,提供一种泛洪攻击的防御装置,包括:指令生成模块,被配置为根据防御处理策略生成伯克利包过滤BPF可执行指令;指令下发模块,被配置为将BPF可执行指令下发给云计算网络中的前端防御节点,以便前端防御节点执行BPF可执行指令。
根据本发明一些实施例的第三个方面,提供一种泛洪攻击的防御系统,包括:泛洪攻击的防御装置;以及,前端防御节点,被配置为执行泛洪攻击的防御装置下发的BPF可执行指令。
在一些实施例中,泛洪攻击的防御装置位于云平台,进一步被配置为将BPF可执行指令下发给云计算网络中的SDN控制器集群;泛洪攻击的防御系统还包括:SDN控制器集群,被配置为将BPF可执行指令下发给前端防御节点。
根据本发明一些实施例的第四个方面,提供一种泛洪攻击的防御装置,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器中的指令,执行前述任意一种泛洪攻击的防御方法。
根据本发明一些实施例的第五个方面,提供一种计算机可读存储介质,其上存储有计算机程序,其中,该程序被处理器执行时实现前述任意一种泛洪攻击的防御方法。
上述发明中的一些实施例具有如下优点或有益效果:本发明的实施例提出了一种集中编译、分布式部署的架构,通过借助BPF机制,以轻量级、可编程的方式嵌入网络节点收包前端。即使是计算能力较弱的节点,也能够进行有效的防御。从而能够第一时间缓解攻击,提高了泛洪攻击的防御的效果和效率。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明一些实施例的泛洪攻击的防御方法的流程示意图。
图2为根据本发明另一些实施例的泛洪攻击的防御方法的流程示意图。
图3为根据本发明一些实施例的泛洪攻击的防御方法的流程示意图。
图4为根据本发明一些实施例的泛洪攻击的防御装置的结构示意图。
图5为根据本发明一些实施例的泛洪攻击的防御系统的结构示意图。
图6为根据本发明另一些实施例的泛洪攻击的防御系统的结构示意图。
图7为根据本发明另一些实施例的泛洪攻击的防御装置的结构示意图。
图8为根据本发明又一些实施例的泛洪攻击的防御装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
本发明的实施例提出了一种适用于云计算内网节点的泛洪攻击的防御方法。与已有的泛洪攻击的防御机制不同,本发明的实施例采用一种高效的报文过滤机制——BPF(Berkeley Packet Filter,伯克利包过滤)机制。BPF机制可以在报文尚未进入内核协议栈之前完成对攻击报文的识别、标记和丢弃。
发明人经过进一步分析后发现,BPF机制的特点是执行高效,但需要较复杂的编译环境来生成规则,这通常是云计算海量节点、尤其是虚拟节点不具备的。因此BPF机制并不能天然地应用于内网节点的泛洪攻击的防御。然而,发明人认识到,可以以单独的编译服务器配合云计算网络中的集群架构,来实现BPF防御规则的动态部署。下面参考图1描述本发明泛洪攻击的防御方法的实施例。
图1为根据本发明一些实施例的泛洪攻击的防御方法的流程示意图。如图1所示,该实施例的泛洪攻击的防御方法包括步骤S102~S106。
在步骤S102中,根据防御处理策略生成BPF可执行指令。
BPF是一种虚拟指令系统,定义了自有虚拟指令语义和寄存器使用方法。直接使用BPF虚拟指令编程难度很大,也不便于与Linux内核已有的网络功能结合。通常安全软件开发人员可以通过一种受限的C语言描述防御逻辑,再通过LLVM(Low Level VirutalMachine,低级别虚拟机)等编译软件编译生成BPF虚拟指令。
在一些实施例中,可以首先生成BPF虚拟指令,然后由Linux内核进行逻辑功能验证和编译处理,生成BPF可执行指令。
在步骤S104中,将BPF可执行指令下发给云计算网络中的前端防御节点。从而,前端防御节点无需额外对BPF指令进行编译,而是直接执行即可。前端防御节点包括运行Linux的软件环境,例如可以包括智能网卡、物理主机、虚拟主机、虚拟交换机、虚拟路由器等等。
在一些实施例中,前端防御节点有多个。
在步骤S106中,前端防御节点执行BPF可执行指令。
上述实施例的方法提出了一种集中编译、分布式部署的架构,通过借助BPF机制,以轻量级、可编程的方式嵌入网络节点收包前端。即使是计算能力较弱的节点,也能够进行有效的防御。从而能够第一时间缓解攻击,提高了泛洪攻击的防御的效果和效率。
在一些实施例中,防御处理策略包括:响应于接收到的流量为攻击流量,对流量进行限速处理。攻击流量的识别方法可以采用现有技术,本发明不再赘述。对于已发现的攻击流量,例如来自IP(Internet Protocol,网络协议)地址为212.11.12.1、端口为80的TCP(Transmission Control Protocol,传输控制协议)流量,可以通过BPF进行高效的过滤。
在一些实施例中,防御处理策略包括:对接收到的流量执行流量的报文的特征对应的接入策略。报文的特征例如可以包括源IP地址、目的IP地址、TTL(Time To Live,生存时间)等网络协议字段。接入策略表示是否准许该报文通过,例如可以实现为黑白名单机制。BFP在执行时通过读取其他安全模块组件提供的黑白名单以及相应的报文的特征,可以判断是否准许报文通过,或者是否需要进行进一步的判断等等。从而,可以完成对访问控制规则的高速处理。
在一些实施例中,可以根据每个前端防御节点所属的租户的业务信息和设备能力信息生成节点对应的BPF可执行指令。租户的业务信息包括网络IP地址段、网关、防火墙等网络相关信息,由用户手动配置的规则,由控制器动态感知到的攻击特征等。设备能力信息可以包括设备能力集API(Application Programming Interface,应用程序编程接口),是指设备都支持哪些BPF特性,例如支持cBPF(classic BPF,经典BPF)还是eBPF(extend BPF,扩展BPF)、对Buffer Modes(缓冲模式)的支持情况、BPF版本信息等等。从而,可以针对每个前端防御节点的特点,有针对性地生成BPF可执行指令。
在一些实施例中,防御处理策略还可以是动态的。下面参考图2描述本发明泛洪攻击的防御方法的实施例。
图2为根据本发明另一些实施例的泛洪攻击的防御方法的流程示意图。如图2所示,该实施例的泛洪攻击的防御方法包括步骤S202~S210。
在步骤S202中,监控网络中的泛洪攻击数据和/或业务流量数据。
在步骤S204中,根据网络中的泛洪攻击数据和/或业务流量数据,更新防御处理策略。
例如,当检测到从IP地址212.11.12.1发出的TCP SYN报文的速率超过100pps时,根据预设的攻击检测策略可以判断该IP地址为攻击源。因此,可以在防御处理策略中增加对IP地址212.11.12.1发出的TCP SYN报文的限速处理。该策略例如可以表示为:
src ip==212.11.12.1action:rate<1pps
在步骤S206中,根据防御处理策略更新BPF可执行指令。
在步骤S208中,将更新后的BPF可执行指令下发给云计算网络中的前端防御节点。
在步骤S210中,前端防御节点执行更新后的BPF可执行指令。
从而,可以根据当前的网络情况及时更新BPF可执行指令,从而能够灵活可控地对指令进行动态更新,更有效地实现了泛洪攻击的防御。
本发明的实施例可以应用于SDN控制器集群架构中。下面参考图3描述本发明泛洪攻击的防御方法的实施例。
图3为根据本发明一些实施例的泛洪攻击的防御方法的流程示意图。如图3所示,该实施例的泛洪攻击的防御方法包括步骤S302~S308。
在步骤S302中,云平台根据防御处理策略生成BPF可执行指令。
在步骤S304中,云平台将BPF可执行指令下发给SDN控制器集群。
在步骤S306中,SDN控制器集群将BPF可执行指令下发给前端防御节点。
在一些实施例中,SDN控制器集群通过Netconf(Network ConfigurationProtocol,网络配置协议)协议将BPF可执行指令下发给云计算网络中的前端防御节点。
在步骤S308中,前端防御节点执行BPF可执行指令。
通过上述实施例的方法,可以由性能较强的云平台进行BPF可执行指令的集中编译,并由SDN控制器集群下发指令。从而能够对云计算网络中的各类节点进行保护,提高了泛洪攻击的防御的效果和效率。
下面参考图4描述本发明泛洪攻击的防御装置的实施例。
图4为根据本发明一些实施例的泛洪攻击的防御装置的结构示意图。如图4所示,该实施例的泛洪攻击的防御装置400包括:指令生成模块4100,被配置为根据防御处理策略生成伯克利包过滤BPF可执行指令;指令下发模块4200,被配置为将BPF可执行指令下发给云计算网络中的前端防御节点,以便前端防御节点执行BPF可执行指令。
在一些实施例中,前端防御节点有多个。
在一些实施例中,防御处理策略包括:响应于接收到的流量为攻击流量,对流量进行限速处理;和/或,对接收到的流量执行流量的报文的特征对应的接入策略。
在一些实施例中,指令生成模块4100进一步被配置为根据每个前端防御节点所属的租户的业务信息和设备能力信息生成节点对应的BPF可执行指令。
在一些实施例中,泛洪攻击的防御装置400还包括:策略更新模块4300,被配置为根据网络中的泛洪攻击数据和/或业务流量数据,更新防御处理策略。
在一些实施例中,指令下发模块4200进一步被配置为将BPF可执行指令下发给云计算网络中的SDN控制器集群,以便SDN控制器集群将BPF可执行指令下发给前端防御节点。
下面参考图5和图6描述本发明泛洪攻击的防御系统的实施例。
图5为根据本发明一些实施例的泛洪攻击的防御系统的结构示意图。如图5所示,该实施例的泛洪攻击的防御系统50包括:泛洪攻击的防御装置510;以及,前端防御节点520,被配置为执行泛洪攻击的防御装置下发的BPF可执行指令。前端防御节点520的数量可以为一个或多个,图5中示例性地示出了多个。
图6为根据本发明另一些实施例的泛洪攻击的防御系统的结构示意图。如图6所示,该实施例的泛洪攻击的防御系统60包括云平台610、SDN控制器集群620和前端防御节点630。泛洪攻击的防御装置6100位于云平台610,进一步被配置为将BPF可执行指令下发给云计算网络中的SDN控制器集群620。SDN控制器集群620被配置为将BPF可执行指令下发给前端防御节点630。
图7为根据本发明另一些实施例的泛洪攻击的防御装置的结构示意图。如图7所示,该实施例的泛洪攻击的防御装置70包括:存储器710以及耦接至该存储器710的处理器720,处理器720被配置为基于存储在存储器710中的指令,执行前述任意一个实施例中的泛洪攻击的防御方法。
其中,存储器710例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。
图8为根据本发明又一些实施例的泛洪攻击的防御装置的结构示意图。如图8所示,该实施例的泛洪攻击的防御装置80包括:存储器810以及处理器820,还可以包括输入输出接口830、网络接口840、存储接口850等。这些接口830,840,850以及存储器810和处理器820之间例如可以通过总线860连接。其中,输入输出接口830为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口840为各种联网设备提供连接接口。存储接口850为SD卡、U盘等外置存储设备提供连接接口。
本发明的实施例还提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现前述任意一种泛洪攻击的防御方法。
本领域内的技术人员应当明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (11)

1.一种泛洪攻击的防御方法,包括:
根据防御处理策略生成伯克利包过滤BPF可执行指令;
将所述BPF可执行指令下发给云计算网络中的SDN控制器集群,以便SDN控制器集群将所述BPF可执行指令下发给云计算网络中的前端防御节点,以便所述前端防御节点执行所述BPF可执行指令。
2.根据权利要求1所述的泛洪攻击的防御方法,其中,所述前端防御节点有多个。
3.根据权利要求1所述的泛洪攻击的防御方法,其中,所述防御处理策略包括:
响应于接收到的流量为攻击流量,对所述流量进行限速处理;和/或,
对接收到的流量执行流量的报文的特征对应的接入策略。
4.根据权利要求1所述的泛洪攻击的防御方法,其中,根据每个前端防御节点所属的租户的业务信息和设备能力信息生成节点对应的BPF可执行指令。
5.根据权利要求1所述的泛洪攻击的防御方法,还包括:
根据网络中的泛洪攻击数据和/或业务流量数据,更新防御处理策略。
6.根据权利要求1所述的泛洪攻击的防御方法,还包括:
SDN控制器集群通过Netconf协议将所述BPF可执行指令下发给云计算网络中的前端防御节点。
7.一种泛洪攻击的防御装置,包括:
指令生成模块,被配置为根据防御处理策略生成伯克利包过滤BPF可执行指令;
指令下发模块,被配置为将所述BPF可执行指令下发给云计算网络中的SDN控制器集群,以便所述SDN控制器集群将所述BPF可执行指令下发给云计算网络中的前端防御节点,以便所述前端防御节点执行所述BPF可执行指令。
8.一种泛洪攻击的防御系统,包括:
权利要求7所述的泛洪攻击的防御装置;以及,
前端防御节点,被配置为执行所述泛洪攻击的防御装置下发的BPF可执行指令。
9.根据权利要求8所述的泛洪攻击的防御系统,其中,
所述泛洪攻击的防御装置位于云平台;
所述泛洪攻击的防御系统还包括:SDN控制器集群,被配置为将所述BPF可执行指令下发给前端防御节点。
10.一种泛洪攻击的防御装置,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求1~6中任一项所述的泛洪攻击的防御方法。
11.一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现权利要求1~6中任一项所述的泛洪攻击的防御方法。
CN201811568139.0A 2018-12-21 2018-12-21 泛洪攻击的防御方法、装置、系统和存储介质 Active CN111355686B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811568139.0A CN111355686B (zh) 2018-12-21 2018-12-21 泛洪攻击的防御方法、装置、系统和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811568139.0A CN111355686B (zh) 2018-12-21 2018-12-21 泛洪攻击的防御方法、装置、系统和存储介质

Publications (2)

Publication Number Publication Date
CN111355686A CN111355686A (zh) 2020-06-30
CN111355686B true CN111355686B (zh) 2022-07-05

Family

ID=71193804

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811568139.0A Active CN111355686B (zh) 2018-12-21 2018-12-21 泛洪攻击的防御方法、装置、系统和存储介质

Country Status (1)

Country Link
CN (1) CN111355686B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11507353B1 (en) 2021-07-14 2022-11-22 International Business Machines Corporation Adapting pre-compiled eBPF programs at runtime for the host kernel by offset inference
CN114462588B (zh) * 2021-09-28 2022-11-08 北京卫达信息技术有限公司 检测网络入侵用神经网络模型的训练方法、系统及设备
CN114465774B (zh) * 2021-12-30 2024-04-19 奇安信科技集团股份有限公司 一种网络入侵防御方法及装置
CN115987684B (zh) * 2023-03-16 2023-07-28 网络通信与安全紫金山实验室 分布式拒绝服务DDoS防御系统、方法、设备及介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101656634A (zh) * 2008-12-31 2010-02-24 暨南大学 基于IPv6网络环境的入侵检测系统及方法
CN101674204A (zh) * 2009-10-13 2010-03-17 东南大学 基于客户端的多媒体组播服务质量测量方法
CN102819527A (zh) * 2011-06-08 2012-12-12 中兴通讯股份有限公司 在移动通信系统中匹配规则的方法和系统
CN102833268A (zh) * 2012-09-17 2012-12-19 福建星网锐捷网络有限公司 抵抗无线网络泛洪攻击的方法、设备及系统
CN104022999A (zh) * 2013-09-05 2014-09-03 北京科能腾达信息技术股份有限公司 基于协议分析的网络数据处理方法及系统
CN105516184A (zh) * 2015-12-31 2016-04-20 清华大学深圳研究生院 一种基于增量部署sdn网络的链路洪泛攻击的防御方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140092900A1 (en) * 2012-09-28 2014-04-03 James W. Kisela Methods and apparatuses to split incoming data into sub-channels to allow parallel processing

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101656634A (zh) * 2008-12-31 2010-02-24 暨南大学 基于IPv6网络环境的入侵检测系统及方法
CN101674204A (zh) * 2009-10-13 2010-03-17 东南大学 基于客户端的多媒体组播服务质量测量方法
CN102819527A (zh) * 2011-06-08 2012-12-12 中兴通讯股份有限公司 在移动通信系统中匹配规则的方法和系统
CN102833268A (zh) * 2012-09-17 2012-12-19 福建星网锐捷网络有限公司 抵抗无线网络泛洪攻击的方法、设备及系统
CN104022999A (zh) * 2013-09-05 2014-09-03 北京科能腾达信息技术股份有限公司 基于协议分析的网络数据处理方法及系统
CN105516184A (zh) * 2015-12-31 2016-04-20 清华大学深圳研究生院 一种基于增量部署sdn网络的链路洪泛攻击的防御方法

Also Published As

Publication number Publication date
CN111355686A (zh) 2020-06-30

Similar Documents

Publication Publication Date Title
CN111355686B (zh) 泛洪攻击的防御方法、装置、系统和存储介质
US11496377B2 (en) Anomaly detection through header field entropy
Scholz et al. Performance implications of packet filtering with linux ebpf
CN112073411B (zh) 一种网络安全推演方法、装置、设备及存储介质
US9553845B1 (en) Methods for validating and testing firewalls and devices thereof
US10979453B2 (en) Cyber-deception using network port projection
US9397901B2 (en) Methods, systems, and computer readable media for classifying application traffic received at a network traffic emulation device that emulates multiple application servers
US10693899B2 (en) Traffic enforcement in containerized environments
WO2019055101A1 (en) LIMITATION OF NETWORK TRAFFIC FLOW IN COMPUTER SYSTEMS
Jackson et al. {SoftFlow}: A Middlebox Architecture for Open {vSwitch}
EP4160456A1 (en) Method, apparatus and system for processing attack behavior of cloud application in cloud computing system
CN112187825A (zh) 一种基于拟态防御的蜜罐防御方法、系统、设备及介质
CN105100026A (zh) 一种报文安全转发方法及装置
US8797876B2 (en) Identification of underutilized network devices
CN106576051B (zh) 一种检测零日威胁的方法、网络设备、非暂态机器可读介质
CN112019545B (zh) 一种蜜罐网络部署方法、装置、设备及介质
CN104702571A (zh) 一种Xen虚拟化环境下网络数据的入侵检测方法
Bonelli et al. A purely functional approach to packet processing
US11218447B2 (en) Firewall rule remediation for improved network security and performance
CN111865996A (zh) 数据检测方法、装置和电子设备
Tu et al. Linux network programming with p4
US9306908B2 (en) Anti-malware system, method of processing packet in the same, and computing device
WO2017131765A1 (en) Verifying a service function chain
CN114244891B (zh) 一种容器间的通信方法、装置、电子设备及存储介质
CN104184725A (zh) 一种入侵防御系统的引擎检测数据更新方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20220126

Address after: 100007 room 205-32, floor 2, building 2, No. 1 and No. 3, qinglonghutong a, Dongcheng District, Beijing

Applicant after: Tianyiyun Technology Co.,Ltd.

Address before: No.31, Financial Street, Xicheng District, Beijing, 100033

Applicant before: CHINA TELECOM Corp.,Ltd.

GR01 Patent grant
GR01 Patent grant