CN111556068A - 基于流量特征识别的分布式拒绝服务的监控和防控方法 - Google Patents
基于流量特征识别的分布式拒绝服务的监控和防控方法 Download PDFInfo
- Publication number
- CN111556068A CN111556068A CN202010395318.XA CN202010395318A CN111556068A CN 111556068 A CN111556068 A CN 111556068A CN 202010395318 A CN202010395318 A CN 202010395318A CN 111556068 A CN111556068 A CN 111556068A
- Authority
- CN
- China
- Prior art keywords
- traffic
- blocking
- service unit
- attack
- internet protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/142—Denial of service attacks against network infrastructure
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种基于流量特征识别的分布式拒绝服务的监控和防控方法。所述基于流量特征识别的分布式拒绝服务的监控和防控方法通过判断服务单元调用阻断服务单元,以通过所述阻断服务单元对受保护的互联网协议地址的访问流量进行阻断,所述判断服务单元记录所述遭受攻击的类型、遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数。本发明能够针对分布式拒绝服务攻击能够有效地阻断攻击流量。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种基于流量特征识别的分布式拒绝服务的监控和防控方法。
背景技术
分布式拒绝服务(DDoS,Distributed Denial of Service)攻击指借助于客户、服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。DDoS攻击是当今互联网重要的安全威胁之一,发起者通过遍布各地的攻击源同时向目标服务器大量请求,大量消耗攻击目标的网络和计算资源,使被攻击目标无法提供正常的服务。相对于对攻击目标造成的影响,其攻击成本低廉,因此是互联网上很常见的一种攻击方式。
网络层DDoS攻击对云服务商和互联网数据中心(IDC,Internet Data Center)服务商影响更大,由于云服务商和IDC服务商通过集中的互联网出入口为多租户提供网络服务,某一个IP被攻击,如果不及时处理,都有可能影响到其它所有租户的网络服务。现有技术中在防御DDoS攻击的方法通常手动切换别名记录(CNAME),手动做路由黑洞,现有技术在发现DDoS攻击、响应DDoS攻击方面需要大量人工操作,因此针对DDOS攻击,无法及时发现并进行快速响应,无法阻断攻击流量,因此迫切需要改进。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种基于流量特征识别的分布式拒绝服务的监控和防控方法,用于解决现有技术中的无法及时发现并进行快速响应,无法阻断攻击流量的问题。
为实现上述目的及其他相关目的,本发明提供一种基于流量特征识别的分布式拒绝服务的监控和防控方法,所述基于流量特征识别的分布式拒绝服务的监控和防控方法包括:
S1、在边界网络交换机上配置端口镜像单元,以用于将输入至所述边界网络交换机中的访问流量进行镜像处理,将所述访问流量镜像复制一份或多份,以生成镜像后的一份或多份镜像的流量;
S2、客户端对服务器端进行访问,以生成访问流量;
S3、所述访问流量经过网络运营商,进入所述边界网络交换机;
S4、将所述镜像的流量发送至分布式拒绝服务检测单元;
S5、所述分布式拒绝服务检测单元对所述镜像的流量进行实时流量特征分析,以根据所述镜像的流量的特征,实时检测出分布式拒绝服务的攻击,并检测得出遭受攻击的类型、被攻击的互联网协议地址、遭受攻击时的流量带宽以及遭受攻击时的每秒传输的包数,其中,所述镜像的流量的特征包括实时流量带宽以及实时流量每秒传输的包数;
S6、预先在判断服务单元中根据不同的受保护的互联网协议地址设置最大忍受被攻击阈值,所述最大忍受被攻击阈值包括流量带宽阈值、每秒传输的包数阈值以及阻断持续时间;
S7、通过所述判断服务单元判断遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数是否在所述流量带宽阈值、每秒传输的包数阈值的范围内;若是,则执行步骤S8操作;若否,则执行步骤S9操作;
S8、判断所述镜像的流量是否对所述边界网络交换机有影响;若是,则执行步骤S10操作;若否,则执行步骤S11操作;
S9、所述判断服务单元调用阻断服务单元,以通过所述阻断服务单元对所述受保护的互联网协议地址的访问流量进行阻断,所述判断服务单元记录所述遭受攻击的类型、遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数;
S10、通过人机交互界面调用阻断服务单元,以对所述受保护的互联网协议地址的访问流量进行阻断;
S11、所述判断服务单元不进行处理;
S12、所述阻断服务单元判断对所述受保护的互联网协议地址的访问流量进行阻断的时间是否在所述阻断持续时间的范围内;若是,则执行步骤S13操作;若否,则执行步骤S14操作;
S13、判断当前镜像的流量的状况是否可以解除阻断;若是,则执行步骤S15操作;若否,则执行步骤S16操作;
S14、所述阻断服务单元解除对所述受保护的互联网协议地址的访问流量的阻断;
S15、通过人机交互界面调用阻断服务单元,以对所述受保护的互联网协议地址的访问流量进行解除阻断;
S16、所述阻断服务单元持续对所述受保护的互联网协议地址的访问流量进行阻断。
在本发明的一实施例中,所述基于流量特征识别的分布式拒绝服务的监控和防控方法还包括:
S0、将各个网络运营商提供的流量防护服务应用程序编程接口封装于阻断服务单元中,以为阻断服务提供统一的应用程序编程接口。
在本发明的一实施例中,所述基于流量特征识别的分布式拒绝服务的监控和防控方法还包括:
S17、通过所述判断服务单元对已阻断的受保护的互联网协议地址的访问流量进行记录和审计;
S18、记录和审计所述已阻断的受保护的互联网协议地址的访问流量的信息。
在本发明的一实施例中,通过所述阻断服务单元对所述受保护的互联网协议地址的访问流量进行阻断的方式包括:
所述阻断服务单元阻断进入所述边界网络交换机的受保护的互联网协议地址的访问流量;
和/或所述阻断服务单元调用相应的网络运营商提供的流量防护服务应用程序编程接口,以令所述相应的网络运营商阻断受保护的互联网协议地址的访问流量。
在本发明的一实施例中,步骤S10中的通过人机交互界面调用阻断服务单元,以对所述受保护的互联网协议地址的访问流量进行阻断的步骤包括:
S101、设置一人机交互界面;
S102、通过所述人机交互界面输入指定的受保护的互联网协议地址;
S103、将所述受保护的互联网协议地址由判断服务单元发送至所述阻断服务单元;
S104、通过所述阻断服务单元对所述受保护的互联网协议地址的访问流量进行阻断。
在本发明的一实施例中,步骤S15中的通过人机交互界面调用阻断服务单元,以对所述受保护的互联网协议地址的访问流量进行解除阻断的步骤包括:
S151、设置一人机交互界面;
S152、通过所述人机交互界面输入指定的受保护的互联网协议地址;
S153、将所述受保护的互联网协议地址由所述判断服务单元发送至所述阻断服务单元;
S154、通过所述阻断服务单元对所述受保护的互联网协议地址的访问流量进行解除阻断。
在本发明的一实施例中,所述已阻断的受保护的互联网协议地址的访问流量的信息包括阻断开始时间、阻断持续时间、阻断解除时间、阻断途径、遭受攻击的类型、遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数中的一种或几种。
本发明还提供一种基于流量特征识别的分布式拒绝服务的监控和防控系统,所述基于流量特征识别的分布式拒绝服务的监控和防控系统包括:
边界网络交换机,其上配置有端口镜像单元,以用于将输入至所述边界网络交换机中的访问流量进行镜像处理,将所述访问流量镜像复制一份或多份,以生成镜像后的一份或多份镜像的流量;
客户端,用于对服务器端进行访问,以生成访问流量;所述访问流量经过网络运营商,进入所述边界网络交换机;
端口镜像单元,用于将所述镜像的流量发送至分布式拒绝服务检测单元;
分布式拒绝服务检测单元,用于对所述镜像的流量进行实时流量特征分析,以根据所述镜像的流量的特征,实时检测出分布式拒绝服务的攻击,并检测得出遭受攻击的类型、被攻击的互联网协议地址、遭受攻击时的流量带宽以及遭受攻击时的每秒传输的包数,其中,所述镜像的流量的特征包括实时流量带宽以及实时流量每秒传输的包数;
判断服务单元,用于预先在判断服务单元中根据不同的受保护的互联网协议地址设置最大忍受被攻击阈值,所述最大忍受被攻击阈值包括流量带宽阈值、每秒传输的包数阈值以及阻断持续时间;
所述判断服务单元,用于判断遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数是否在所述流量带宽阈值、每秒传输的包数阈值的范围内;若是,判断所述镜像的流量是否对所述边界网络交换机有影响,若所述镜像的流量对所述边界网络交换机有影响,则通过人机交互界面调用阻断服务单元,以对所述受保护的互联网协议地址的访问流量进行阻断,若所述镜像的流量对所述边界网络交换机没有影响,则所述判断服务单元不进行处理;若否,则所述判断服务单元调用阻断服务单元,以通过所述阻断服务单元对所述受保护的互联网协议地址的访问流量进行阻断,所述判断服务单元记录所述遭受攻击的类型、遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数;
所述阻断服务单元,用于判断对所述受保护的互联网协议地址的访问流量进行阻断的时间是否在所述阻断持续时间的范围内;若是,则判断当前镜像的流量的状况是否可以解除阻断;若当前镜像的流量的状况可以解除阻断,则通过人机交互界面调用阻断服务单元,以对所述受保护的互联网协议地址的访问流量进行解除阻断,若当前镜像的流量的状况不可以解除阻断,则所述阻断服务单元持续对所述受保护的互联网协议地址的访问流量进行阻断;若否,则所述阻断服务单元解除对所述受保护的互联网协议地址的访问流量的阻断。
本发明还提供一种电子设备,包括处理器和存储器,所述存储器存储有程序指令,所述处理器运行程序指令实现上述的基于流量特征识别的分布式拒绝服务的监控和防控方法。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行上述的基于流量特征识别的分布式拒绝服务的监控和防控方法。
如上所述,本发明的一种基于流量特征识别的分布式拒绝服务的监控和防控方法,具有以下有益效果:
本发明的基于流量特征识别的分布式拒绝服务的监控和防控方法通过分布式拒绝服务检测单元、判断服务单元、阻断服务单元对受保护的互联网协议地址的访问流量进行自动阻断,还能够通过所述阻断服务单元对受保护的互联网协议地址的访问流量进行指定的阻断,本发明能够针对分布式拒绝服务攻击,及时发现并进行快速响应,能够有效地阻断攻击流量。
本发明的基于流量特征识别的分布式拒绝服务的监控和防控方法能够及时识别分布式拒绝服务的流量攻击,并自动作出响应,大幅降低了由于分布式拒绝服务攻击对云服务商或者IDC服务提供商带来的影响。
本发明的基于流量特征识别的分布式拒绝服务的监控和防控系统包括分布式拒绝服务检测单元、判断服务单元以及阻断服务单元,本发明的基于流量特征识别的分布式拒绝服务的监控和防控系统响应速度快,能够迅速地对分布式拒绝服务的流量攻击做出响应,并且使用方便,能够方便地查询到已阻断的互联网协议地址的访问流量的信息,实施效果较好。
附图说明
图1为本申请一个实施例提供的一种基于流量特征识别的分布式拒绝服务的监控和防控系统的结构示意图。
图2为本申请又一个实施例提供的一种基于流量特征识别的分布式拒绝服务的监控和防控系统的结构示意图。
图3为本申请实施例提供的一种基于流量特征识别的分布式拒绝服务的监控和防控方法的工作流程图。
图4为本申请实施例提供的图3的一种基于流量特征识别的分布式拒绝服务的监控和防控方法的步骤S10的工作流程图。
图5为本申请实施例提供的图3的一种基于流量特征识别的分布式拒绝服务的监控和防控方法的步骤S15的工作流程图。
图6为本申请实施例提供的一种基于流量特征识别的分布式拒绝服务的监控和防控系统的阻断服务单元的接口结构示意图。
图7为本申请实施例提供的一种电子设备的结构示意图。
元件标号说明
1客户端
2网络运营商
3边界网络交换机
4服务器
5分布式拒绝服务检测单元
6判断服务单元
7阻断服务单元
8人机交互界面
9处理器
10存储器
21第一网络运营商应用程序编程接口
22第二网络运营商应用程序编程接口
23第三网络运营商应用程序编程接口。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图示中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
请参阅图3,图3为本申请实施例提供的一种基于流量特征识别的分布式拒绝服务的监控和防控方法的工作流程图。本发明的基于流量特征识别的分布式拒绝服务的监控和防控方法能够针对DDOS(分布式拒绝服务)攻击,及时发现并进行快速响应,阻断攻击流量,从源头上切断DDOS攻击。本发明提供一种基于流量特征识别的分布式拒绝服务的监控和防控方法,所述基于流量特征识别的分布式拒绝服务的监控和防控方法包括:
如图3所示,步骤S1、在边界网络交换机3上配置端口镜像单元,以用于将输入至所述边界网络交换机3中的访问流量进行镜像处理,将所述访问流量镜像复制一份或多份,以生成镜像后的一份或多份镜像的流量。具体的,所述端口镜像单元用在所述边界网络交换机3中,所述端口镜像单元不仅对进入所述边界网络交换机3的访问流量进行镜像处理,也可以对从所述边界网络交换机3输出的访问流量进行镜像处理。
如图3所示,步骤S2、客户端1对服务器端进行访问,以生成访问流量。所述客户端1可以但不限于为手机、电脑、平板电脑等通讯装置。
如图3所示,步骤S3、所述访问流量经过网络运营商2,进入所述边界网络交换机3。所述网络运营商2包括但不限于三大网络运营商(例如,中国移动、中国联通、中国电信等)。
如图3所示,步骤S4、将所述镜像的流量发送至分布式拒绝服务检测单元5。具体的,步骤S4中的所述镜像的流量来自所述边界网络交换机3。
如图3所示,步骤S5、分布式拒绝服务检测单元5对所述镜像的流量进行实时流量特征分析,以根据所述镜像的流量的特征,实时检测出分布式拒绝服务的攻击,并检测得出遭受攻击的类型、被攻击的互联网协议地址、遭受攻击时的流量带宽以及遭受攻击时的每秒传输的包数,其中,所述镜像的流量的特征包括实时流量带宽以及实时流量每秒传输的包数。具体的,在步骤S5中,所述分布式拒绝服务检测单元5为针对网络层和传输层进行的DDOS检测,由于不同的分布式拒绝服务的攻击类型(例如:UDP flood、SYN flood、ACKflood、ICMP flood等)会具有不同的流量特征。所述分布式拒绝服务检测单元5将检测得出的所述遭受攻击的类型、被攻击的互联网协议地址、遭受攻击时的流量带宽以及遭受攻击时的每秒传输的包数发送至判断服务单元6。
如图3所示,步骤S6、预先在判断服务单元6中根据不同的受保护的互联网协议地址设置最大忍受被攻击阈值,所述最大忍受被攻击阈值包括流量带宽阈值、每秒传输的包数阈值以及阻断持续时间。具体的,所述最大忍受被攻击阈值根据用户的级别、用户的访问流量带宽、边界网络带宽以及网络运营商的状况进行设置。由于DDOS攻击的流量与平时用户访问的流量不同,DDOS攻击很可能在进入边界网络后,在中间一些安全设备中被拦截,但是DDOS攻击会堵塞边界网络的出入口,因此设置的值是结合数据中心的入口带宽,以及网络运营商的状况,例如:网络运营商的结算费用等来设定的,能够有效地将所述DDOS攻击阻拦在边界网络,如果用户的访问流量很大,例如,五百M、六百M,则所述最大忍受被攻击阈值可以放宽至2G、3G等。如果同时有很多互联网协议地址同时被DDOS攻击,导致出入口被堵塞,则可以对所述最大忍受被攻击阈值进行临时调低操作。根据不同的受保护的互联网协议地址设置不同的最大忍受被攻击阈值,所述最大忍受被攻击阈值可以根据客户需要或者客户级别等来进行调整,所述最大忍受被攻击阈值的流量带宽阈值可以但不限于为1024M,所述最大忍受被攻击阈值的每秒传输的包数阈值可以但不限于为90万pps至110万pps,例如,所述每秒传输的包数阈值可以但不限于为95万pps、100万pps、105万pps、108万pps等,可以根据客户需要或者客户级别等来设置变低或者变高。
如图3所示,步骤S7、通过所述判断服务单元6判断所述遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数是否在所述流量带宽阈值、每秒传输的包数阈值的范围内,若所述遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数均在所述流量带宽阈值、每秒传输的包数阈值的范围内,则执行步骤S8操作。若所述遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数均不在所述流量带宽阈值、每秒传输的包数阈值的范围内,则执行步骤S9操作,所述步骤S9操作即为对受保护的互联网协议地址的访问流量进行自动阻断操作。
如图3所示,步骤S8、判断所述镜像的流量是否对所述边界网络交换机3有影响。若所述镜像的流量对所述边界网络交换机3有影响,则执行步骤S10操作;若所述镜像的流量对所述边界网络交换机3没有影响,则执行步骤S11操作。具体的,例如,总出口带宽为10G,某个互联网协议地址正常的流量为500M左右,针对这个互联网协议地址的攻击流量达到4G,此时会影响到边界网络正常数据的流入和流出,那么则需要执行步骤S10操作,以对攻击流量进行阻断操作,具体的,步骤S8操作是根据进入边界网络交换机3的整体的流量的状况来进行判断。所述步骤S10操作即为指定阻断操作,步骤S10操作执行完毕后,进入步骤S12操作。
如图3所示,步骤S9、所述判断服务单元6调用阻断服务单元7,以通过所述阻断服务单元7对所述受保护的互联网协议地址的访问流量进行阻断,所述判断服务单元6记录所述遭受攻击的类型、遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数,步骤S9操作执行完毕后,进入步骤S12操作。
如图3所示,步骤S10、通过人机交互界面8调用阻断服务单元7,以对所述受保护的互联网协议地址的访问流量进行阻断。具体的,步骤S10操作即为对指定的受保护的互联网协议地址的访问流量进行阻断。
如图3所示,步骤S11、所述判断服务单元6不进行处理。具体的,在步骤S11中,由于所述镜像的流量属于正常的访问流量,不属于攻击流量,因此无需对所述镜像的流量进行处理。
如图3所示,步骤S12、所述阻断服务单元7判断对所述受保护的互联网协议地址的访问流量进行阻断的时间是否在所述阻断持续时间的范围内;若对所述受保护的互联网协议地址的访问流量进行阻断的时间在所述阻断持续时间的范围内,则执行步骤S13操作;若对所述受保护的互联网协议地址的访问流量进行阻断的时间不在所述阻断持续时间的范围内,则执行步骤S14操作。所述步骤S14操作即为对受保护的互联网协议地址的访问流量进行自动解除阻断操作。具体的,所述阻断持续时间可以但不限于为24小时。
如图3所示,步骤S13、判断当前镜像的流量的状况是否可以解除阻断;若当前镜像的流量的状况可以解除阻断,则执行步骤S15操作;若当前镜像的流量的状况不可以解除阻断,则执行步骤S16操作。例如,如果边界网络平稳正常,没有正在遭受影响比较明显的DDOS攻击,那么则需要执行步骤S15操作,以对攻击流量进行解除阻断操作,所述步骤S15操作即为对受保护的互联网协议地址的访问流量进行指定解除阻断操作,步骤S15操作执行完毕后,可以进入步骤S17操作。
如图3所示,步骤S14、所述阻断服务单元7解除对所述受保护的互联网协议地址的访问流量的阻断。具体的,例如,所述阻断持续时间超过24小时,则对所述受保护的互联网协议地址的访问流量的阻断会自动解除。步骤S14操作执行完毕后,可以进入步骤S17操作。
如图3所示,步骤S15、通过人机交互界面8调用阻断服务单元7,以对所述受保护的互联网协议地址的访问流量进行解除阻断。例如,如果用户要求提前对访问流量解除阻断,则发出解除阻断请求,可以通过步骤S15来执行。步骤S15操作执行完毕后,可以进入步骤S17操作。
如图3所示,步骤S16、所述阻断服务单元7持续对所述受保护的互联网协议地址的访问流量进行阻断。具体的,在步骤S16中,由于所述阻断持续时间未超过24小时,所述访问流量属于攻击流量,那么需要持续对所述访问流量进行阻断。在步骤S16中,所述阻断服务单元7对所述受保护的互联网协议地址的访问流量进行阻断的方式包括但不限于所述阻断服务单元7阻断进入所述边界网络交换机3的受保护的互联网协议地址的访问流量,和/或所述阻断服务单元7调用相应的网络运营商2提供的流量防护服务应用程序编程接口,以令所述相应的网络运营商2阻断受保护的互联网协议地址的访问流量,所述判断服务单元6提供了统一的调用接口。
如图3所示,所述基于流量特征识别的分布式拒绝服务的监控和防控方法还包括步骤S0。步骤S0、将各个网络运营商2提供的流量防护服务应用程序编程接口封装于阻断服务单元7中,以为阻断服务提供统一的应用程序编程接口。所述阻断服务单元7对来自不同网络防护服务网络运营商2提供的流量防护服务应用程序编程接口进行了封装。
请参阅图4,图4为本申请实施例提供的图3的一种基于流量特征识别的分布式拒绝服务的监控和防控方法的步骤S10的工作流程图。具体的,步骤S10中的通过人机交互界面8调用阻断服务单元7,以对所述受保护的互联网协议地址的访问流量进行阻断的步骤包括:
如图4所示,步骤S101、设置一人机交互界面8。具体的,在步骤S101中,登陆操作系统和人机交互界面8,再对所述判断服务单元6提供的人机交互界面8进行登陆。
如图4所示,步骤S102、通过所述人机交互界面8输入指定的受保护的互联网协议地址。具体的,在步骤S102中,可以将指定的受保护的互联网协议地址输入至人机交互界面8。
如图4所示,步骤S103、将所述受保护的互联网协议地址由判断服务单元6发送至所述阻断服务单元7。具体的,在步骤S103中,所述判断服务单元6对所述受保护的互联网协议地址起到传输的作用。
如图4所示,步骤S104、通过所述阻断服务单元7对所述受保护的互联网协议地址的访问流量进行阻断。从而本发明能够对指定的受保护的互联网协议地址的访问流量进行阻断。
请参阅图5,图5为本申请实施例提供的图3的一种基于流量特征识别的分布式拒绝服务的监控和防控方法的步骤S15的工作流程图。步骤S15中的通过人机交互界面8调用阻断服务单元7,以对所述受保护的互联网协议地址的访问流量进行解除阻断的步骤包括:
如图5所示,步骤S151、设置一人机交互界面8。具体的,在步骤S151中,登陆操作系统和人机交互界面8,再对所述判断服务单元6提供的人机交互界面8进行登陆。
如图5所示,步骤S152、通过所述人机交互界面8输入指定的受保护的互联网协议地址。具体的,在步骤S152中,可以将指定的受保护的互联网协议地址输入至人机交互界面8。
如图5所示,步骤S153、将所述受保护的互联网协议地址由所述判断服务单元6发送至所述阻断服务单元7。具体的,在步骤S153中,所述判断服务单元6对所述受保护的互联网协议地址起到传输的作用。
如图5所示,步骤S154、通过所述阻断服务单元7对所述受保护的互联网协议地址的访问流量进行解除阻断。从而本发明的能够对指定的受保护的互联网协议地址的访问流量进行解除阻断。
如图3所示,所述基于流量特征识别的分布式拒绝服务的监控和防控方法还包括:
如图3所示,步骤S17、通过所述判断服务单元6对已阻断的受保护的互联网协议地址的访问流量进行记录和审计。具体的,步骤S17中的对已阻断的受保护的互联网协议地址的访问流量进行记录和审计,起到了历史记录和存储的作用。
如图3所示,步骤S18、记录和审计所述已阻断的受保护的互联网协议地址的访问流量的信息。具体的,所述已阻断的受保护的互联网协议地址的访问流量的信息包括阻断开始时间、阻断持续时间、阻断解除时间、阻断途径、遭受攻击的类型、遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数中的一种或几种。所述基于流量特征识别的分布式拒绝服务的监控和防控方法还包括:建立所述网络运营商2中的当前阻断列表。具体的,所述当前阻断列表可以以表格的形式显示。所述基于流量特征识别的分布式拒绝服务的监控和防控方法还包括:通过所述阻断服务单元7查看所述网络运营商2中的当前阻断列表的信息。具体的,所述当前阻断列表信息包括互联网协议地址、阻断持续时间。具体的,通过所述阻断服务单元7查看所述网络运营商2中的当前阻断列表的信息可以在任意时间进行。
请参阅图1、图2、图6,图1为本申请一个实施例提供的一种基于流量特征识别的分布式拒绝服务的监控和防控系统的结构示意图。图2为本申请又一个实施例提供的一种基于流量特征识别的分布式拒绝服务的监控和防控系统的结构示意图。图6为本申请实施例提供的一种基于流量特征识别的分布式拒绝服务的监控和防控系统的阻断服务单元的接口结构示意图。与本发明的一种基于流量特征识别的分布式拒绝服务的监控和防控方法的原理相似的是,本发明还提供一种基于流量特征识别的分布式拒绝服务的监控和防控系统,所述基于流量特征识别的分布式拒绝服务的监控和防控系统响应速度快,能够迅速地对分布式拒绝服务的流量攻击做出响应。所述基于流量特征识别的分布式拒绝服务的监控和防控系统包括但不限于边界网络交换机3、客户端1、分布式拒绝服务检测单元5、判断服务单元6、阻断服务单元7、人机交互界面8。所述分布式拒绝服务检测单元5的功能可以但不限于为对所述镜像的流量进行实时分析,根据流量特征,所述流量特征包括但不限于流量带宽以及流量每秒传输的包数,及时识别DDoS攻击。
如图1所示,在边界网络交换机3上配置有端口镜像单元,所述客户端1通过网络运营商2与边界网络交换机3通信连接。所述客户端1用于对所述服务器端进行访问,以生成访问流量;所述访问流量经过所述网络运营商2,进入所述边界网络交换机3。所述端口镜像单元用于对所述访问流量进行镜像处理,以生成镜像的流量。
如图1所示,所述分布式拒绝服务检测单元5用于对所述镜像的流量进行实时流量特征分析,以根据所述镜像的流量的特征,实时检测出分布式拒绝服务的攻击,并检测得出遭受攻击的类型、被攻击的互联网协议地址、遭受攻击时的流量带宽以及遭受攻击时的每秒传输的包数,其中,所述镜像的流量的特征包括实时流量带宽以及实时流量每秒传输的包数。
如图1所示,所述判断服务单元6用于预先根据不同的受保护的互联网协议地址设置最大忍受被攻击阈值,所述最大忍受被攻击阈值包括流量带宽阈值、每秒传输的包数阈值以及阻断持续时间。所述判断服务单元6可以针对受保护的互联网协议地址所属的客户,设置设置最大忍受被攻击阈值,被阻断的互联网协议地址到期后,所述判断服务单元6能够自动解除阻断。
如图1所示,所述判断服务单元6还用于记录和审计所述已阻断的受保护的互联网协议地址的访问流量的信息。所述已阻断的受保护的互联网协议地址的访问流量的信息包括阻断开始时间、阻断持续时间、阻断解除时间、阻断途径、遭受攻击的类型、遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数中的一种或几种。
请参阅图1,所述判断服务单元6还用于判断遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数是否在所述流量带宽阈值、每秒传输的包数阈值的范围内;若是,判断所述镜像的流量是否对所述边界网络交换机3有影响,若所述镜像的流量对所述边界网络交换机3有影响,则通过人机交互界面8调用阻断服务单元7,以对所述受保护的互联网协议地址的访问流量进行阻断,若所述镜像的流量对所述边界网络交换机3没有影响,则所述判断服务单元6不进行处理;若否,则所述判断服务单元6调用阻断服务单元7,以通过所述阻断服务单元7对所述受保护的互联网协议地址的访问流量进行阻断,所述判断服务单元6记录所述遭受攻击的类型、遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数。
请参阅图2、图6,所述阻断服务单元7用于判断对所述受保护的互联网协议地址的访问流量进行阻断的时间是否在所述阻断持续时间的范围内;若是,则判断当前镜像的流量的状况是否可以解除阻断;若当前镜像的流量的状况可以解除阻断,则通过人机交互界面8调用阻断服务单元7,以对所述受保护的互联网协议地址的访问流量进行解除阻断,若当前镜像的流量的状况不可以解除阻断,则所述阻断服务单元7持续对所述受保护的互联网协议地址的访问流量进行阻断;若否,则所述阻断服务单元7解除对所述受保护的互联网协议地址的访问流量的阻断。具体的,所述阻断服务单元7能够把不同的网络运营商2提供的流量防护服务应用程序编程接口,进行统一封装,为所述判断服务单元6提供统一的调用接口,所述流量防护服务应用程序编程接口包括但不限于阻断、解除阻断、查看当前阻断列表等。所述人机交互界面8用于输入指定的受保护的互联网协议地址,以将所述受保护的互联网协议地址由所述判断服务单元6发送至所述阻断服务单元7。
请参阅图7,图7为本申请实施例提供的一种电子设备的结构示意图。本发明还提供一种电子设备,包括处理器9和存储器10,所述存储器10存储有程序指令,所述处理器9运行程序指令实现上述的基于流量特征识别的分布式拒绝服务的监控和防控方法。本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行上述的基于流量特征识别的分布式拒绝服务的监控和防控方法。
如图7所示,需要说明的是,所述处理器9可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件;所述存储器10可能包含随机存取存储器(Random Access Memory,简称RAM),也可能还包括非易失性存储器(Non-Volatile Memory),例如至少一个磁盘存储器。所述存储器10也可以为随机存取存储器(Random Access Memory,RAM)类型的内部存储器,所述处理器9、存储器10可以集成为一个或多个独立的电路或硬件,如:专用集成电路(Application SpecificIntegrated Circuit,ASIC)。需要说明的是,上述的存储器10中的计算机程序可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,电子设备,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。
综上所述,本发明的基于流量特征识别的分布式拒绝服务的监控和防控方法通过分布式拒绝服务检测单元5、判断服务单元6、阻断服务单元7对受保护的互联网协议地址的访问流量进行自动阻断,还能够通过所述阻断服务单元7对受保护的互联网协议地址的访问流量进行指定的阻断,本发明能够针对分布式拒绝服务攻击,及时发现并进行快速响应,能够有效地阻断攻击流量。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
Claims (10)
1.一种基于流量特征识别的分布式拒绝服务的监控和防控方法,其特征在于,所述基于流量特征识别的分布式拒绝服务的监控和防控方法包括:
S1、在边界网络交换机上配置端口镜像单元,以用于将输入至所述边界网络交换机中的访问流量进行镜像处理,将所述访问流量镜像复制一份或多份,以生成镜像后的一份或多份镜像的流量;
S2、客户端对服务器端进行访问,以生成访问流量;
S3、所述访问流量经过网络运营商,进入所述边界网络交换机;
S4、将所述镜像的流量发送至分布式拒绝服务检测单元;
S5、所述分布式拒绝服务检测单元对所述镜像的流量进行实时流量特征分析,以根据所述镜像的流量的特征,实时检测出分布式拒绝服务的攻击,并检测得出遭受攻击的类型、被攻击的互联网协议地址、遭受攻击时的流量带宽以及遭受攻击时的每秒传输的包数,其中,所述镜像的流量的特征包括实时流量带宽以及实时流量每秒传输的包数;
S6、预先在判断服务单元中根据不同的受保护的互联网协议地址设置最大忍受被攻击阈值,所述最大忍受被攻击阈值包括流量带宽阈值、每秒传输的包数阈值以及阻断持续时间;
S7、通过所述判断服务单元判断遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数是否在所述流量带宽阈值、每秒传输的包数阈值的范围内;若是,则执行步骤S8操作;若否,则执行步骤S9操作;
S8、判断所述镜像的流量是否对所述边界网络交换机有影响;若是,则执行步骤S10操作;若否,则执行步骤S11操作;
S9、所述判断服务单元调用阻断服务单元,以通过所述阻断服务单元对所述受保护的互联网协议地址的访问流量进行阻断,所述判断服务单元记录所述遭受攻击的类型、遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数;
S10、通过人机交互界面调用阻断服务单元,以对所述受保护的互联网协议地址的访问流量进行阻断;
S11、所述判断服务单元不进行处理;
S12、所述阻断服务单元判断对所述受保护的互联网协议地址的访问流量进行阻断的时间是否在所述阻断持续时间的范围内;若是,则执行步骤S13操作;若否,则执行步骤S14操作;
S13、判断当前镜像的流量的状况是否可以解除阻断;若是,则执行步骤S15操作;若否,则执行步骤S16操作;
S14、所述阻断服务单元解除对所述受保护的互联网协议地址的访问流量的阻断;
S15、通过人机交互界面调用阻断服务单元,以对所述受保护的互联网协议地址的访问流量进行解除阻断;
S16、所述阻断服务单元持续对所述受保护的互联网协议地址的访问流量进行阻断。
2.根据权利要求1所述的一种基于流量特征识别的分布式拒绝服务的监控和防控方法,其特征在于,所述基于流量特征识别的分布式拒绝服务的监控和防控方法还包括:
S0、将各个网络运营商提供的流量防护服务应用程序编程接口封装于阻断服务单元中,以为阻断服务提供统一的应用程序编程接口。
3.根据权利要求1所述的一种基于流量特征识别的分布式拒绝服务的监控和防控方法,其特征在于,所述基于流量特征识别的分布式拒绝服务的监控和防控方法还包括:
S17、通过所述判断服务单元对已阻断的受保护的互联网协议地址的访问流量进行记录和审计;
S18、记录和审计所述已阻断的受保护的互联网协议地址的访问流量的信息。
4.根据权利要求1至3任意一项所述的一种基于流量特征识别的分布式拒绝服务的监控和防控方法,其特征在于,通过所述阻断服务单元对所述受保护的互联网协议地址的访问流量进行阻断的方式包括:
所述阻断服务单元阻断进入所述边界网络交换机的受保护的互联网协议地址的访问流量;
和/或所述阻断服务单元调用相应的网络运营商提供的流量防护服务应用程序编程接口,以令所述相应的网络运营商阻断受保护的互联网协议地址的访问流量。
5.根据权利要求1所述的一种基于流量特征识别的分布式拒绝服务的监控和防控方法,其特征在于,步骤S10中的通过人机交互界面调用阻断服务单元,以对所述受保护的互联网协议地址的访问流量进行阻断的步骤包括:
S101、设置一人机交互界面;
S102、通过所述人机交互界面输入指定的受保护的互联网协议地址;
S103、将所述受保护的互联网协议地址由判断服务单元发送至所述阻断服务单元;
S104、通过所述阻断服务单元对所述受保护的互联网协议地址的访问流量进行阻断。
6.根据权利要求1所述的一种基于流量特征识别的分布式拒绝服务的监控和防控方法,其特征在于,步骤S15中的通过人机交互界面调用阻断服务单元,以对所述受保护的互联网协议地址的访问流量进行解除阻断的步骤包括:
S151、设置一人机交互界面;
S152、通过所述人机交互界面输入指定的受保护的互联网协议地址;
S153、将所述受保护的互联网协议地址由所述判断服务单元发送至所述阻断服务单元;
S154、通过所述阻断服务单元对所述受保护的互联网协议地址的访问流量进行解除阻断。
7.根据权利要求3所述的一种基于流量特征识别的分布式拒绝服务的监控和防控方法,其特征在于:所述已阻断的受保护的互联网协议地址的访问流量的信息包括阻断开始时间、阻断持续时间、阻断解除时间、阻断途径、遭受攻击的类型、遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数中的一种或几种。
8.一种基于流量特征识别的分布式拒绝服务的监控和防控系统,其特征在于,所述基于流量特征识别的分布式拒绝服务的监控和防控系统包括:
边界网络交换机,其上配置有端口镜像单元,以用于将输入至所述边界网络交换机中的访问流量进行镜像处理,将所述访问流量镜像复制一份或多份,以生成镜像后的一份或多份镜像的流量;
客户端,用于对服务器端进行访问,以生成访问流量;所述访问流量经过网络运营商,进入所述边界网络交换机;
端口镜像单元,用于将所述镜像的流量发送至分布式拒绝服务检测单元;
分布式拒绝服务检测单元,用于对所述镜像的流量进行实时流量特征分析,以根据所述镜像的流量的特征,实时检测出分布式拒绝服务的攻击,并检测得出遭受攻击的类型、被攻击的互联网协议地址、遭受攻击时的流量带宽以及遭受攻击时的每秒传输的包数,其中,所述镜像的流量的特征包括实时流量带宽以及实时流量每秒传输的包数;
判断服务单元,用于预先在判断服务单元中根据不同的受保护的互联网协议地址设置最大忍受被攻击阈值,所述最大忍受被攻击阈值包括流量带宽阈值、每秒传输的包数阈值以及阻断持续时间;
所述判断服务单元,用于判断遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数是否在所述流量带宽阈值、每秒传输的包数阈值的范围内;若是,判断所述镜像的流量是否对所述边界网络交换机有影响,若所述镜像的流量对所述边界网络交换机有影响,则通过人机交互界面调用阻断服务单元,以对所述受保护的互联网协议地址的访问流量进行阻断,若所述镜像的流量对所述边界网络交换机没有影响,则所述判断服务单元不进行处理;若否,则所述判断服务单元调用阻断服务单元,以通过所述阻断服务单元对所述受保护的互联网协议地址的访问流量进行阻断,所述判断服务单元记录所述遭受攻击的类型、遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数;
所述阻断服务单元,用于判断对所述受保护的互联网协议地址的访问流量进行阻断的时间是否在所述阻断持续时间的范围内;若是,则判断当前镜像的流量的状况是否可以解除阻断;若当前镜像的流量的状况可以解除阻断,则通过人机交互界面调用阻断服务单元,以对所述受保护的互联网协议地址的访问流量进行解除阻断,若当前镜像的流量的状况不可以解除阻断,则所述阻断服务单元持续对所述受保护的互联网协议地址的访问流量进行阻断;若否,则所述阻断服务单元解除对所述受保护的互联网协议地址的访问流量的阻断。
9.一种电子设备,包括处理器和存储器,所述存储器存储有程序指令,其特征在于:所述处理器运行程序指令实现如权利要求1至权利要求7任一项所述的基于流量特征识别的分布式拒绝服务的监控和防控方法。
10.一种计算机可读存储介质,其特征在于:所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行权利要求1至权利要求7任一项所述的基于流量特征识别的分布式拒绝服务的监控和防控方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010395318.XA CN111556068B (zh) | 2020-05-12 | 2020-05-12 | 基于流量特征识别的分布式拒绝服务的监控和防控方法 |
| CN202110038870.8A CN112804230B (zh) | 2020-05-12 | 2020-05-12 | 分布式拒绝服务攻击的监控方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010395318.XA CN111556068B (zh) | 2020-05-12 | 2020-05-12 | 基于流量特征识别的分布式拒绝服务的监控和防控方法 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110038870.8A Division CN112804230B (zh) | 2020-05-12 | 2020-05-12 | 分布式拒绝服务攻击的监控方法、系统、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111556068A true CN111556068A (zh) | 2020-08-18 |
| CN111556068B CN111556068B (zh) | 2020-12-22 |
Family
ID=72008088
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110038870.8A Active CN112804230B (zh) | 2020-05-12 | 2020-05-12 | 分布式拒绝服务攻击的监控方法、系统、设备及存储介质 |
| CN202010395318.XA Active CN111556068B (zh) | 2020-05-12 | 2020-05-12 | 基于流量特征识别的分布式拒绝服务的监控和防控方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110038870.8A Active CN112804230B (zh) | 2020-05-12 | 2020-05-12 | 分布式拒绝服务攻击的监控方法、系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN112804230B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112804230A (zh) * | 2020-05-12 | 2021-05-14 | 上海有孚智数云创数字科技有限公司 | 分布式拒绝服务攻击的监控方法、系统、设备及存储介质 |
| CN113660146A (zh) * | 2021-10-20 | 2021-11-16 | 成都数默科技有限公司 | 一种网络边界流量采集方法、装置及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101309150A (zh) * | 2008-06-30 | 2008-11-19 | 华为技术有限公司 | 分布式拒绝服务攻击的防御方法、装置和系统 |
| CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
| CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
| US20130263259A1 (en) * | 2011-08-29 | 2013-10-03 | Arbor Networks, Inc. | Analyzing response traffic to detect a malicious source |
| CN110719299A (zh) * | 2019-11-18 | 2020-01-21 | 中国移动通信集团内蒙古有限公司 | 防御网络攻击的蜜罐构建方法、装置、设备及介质 |
| CN110855633A (zh) * | 2019-10-24 | 2020-02-28 | 华为终端有限公司 | 分布式拒绝服务ddos攻击的防护方法、装置及系统 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7426634B2 (en) * | 2003-04-22 | 2008-09-16 | Intruguard Devices, Inc. | Method and apparatus for rate based denial of service attack detection and prevention |
| CN102891829A (zh) * | 2011-07-18 | 2013-01-23 | 航天信息股份有限公司 | 检测与防御分布式拒绝服务攻击的方法及系统 |
| US20160173526A1 (en) * | 2014-12-10 | 2016-06-16 | NxLabs Limited | Method and System for Protecting Against Distributed Denial of Service Attacks |
| US11005865B2 (en) * | 2017-08-31 | 2021-05-11 | Charter Communications Operating, Llc | Distributed denial-of-service attack detection and mitigation based on autonomous system number |
| CN107493300A (zh) * | 2017-09-20 | 2017-12-19 | 河北师范大学 | 网络安全防护系统 |
| US10116671B1 (en) * | 2017-09-28 | 2018-10-30 | International Business Machines Corporation | Distributed denial-of-service attack detection based on shared network flow information |
| CN108683682B (zh) * | 2018-06-04 | 2021-01-01 | 上海交通大学 | 一种基于软件定义网络的DDoS攻击检测及防御方法和系统 |
| CN109257384B (zh) * | 2018-11-14 | 2020-12-04 | 济南百纳瑞信息技术有限公司 | 基于访问节奏矩阵的应用层DDoS攻击识别方法 |
| CN109831461B (zh) * | 2019-03-29 | 2021-10-26 | 新华三信息安全技术有限公司 | 一种分布式拒绝服务DDoS攻击防御方法及装置 |
| CN109962927B (zh) * | 2019-04-17 | 2022-01-04 | 杭州安恒信息技术股份有限公司 | 基于威胁情报的防攻击方法 |
| CN110519248B (zh) * | 2019-08-19 | 2020-11-24 | 光通天下网络科技股份有限公司 | DDoS攻击判定及流量清洗的方法、装置和电子设备 |
| CN110798404A (zh) * | 2019-11-14 | 2020-02-14 | 北京首都在线科技股份有限公司 | 攻击数据的清洗方法、装置、设备、存储介质和系统 |
| CN111031004B (zh) * | 2019-11-21 | 2021-11-26 | 腾讯科技(深圳)有限公司 | 业务流量处理的方法、业务流量学习的方法、装置及系统 |
| CN111131335B (zh) * | 2020-03-30 | 2020-08-28 | 腾讯科技(深圳)有限公司 | 基于人工智能的网络安全防护方法、装置、电子设备 |
| CN112804230B (zh) * | 2020-05-12 | 2023-01-24 | 上海有孚智数云创数字科技有限公司 | 分布式拒绝服务攻击的监控方法、系统、设备及存储介质 |
-
2020
- 2020-05-12 CN CN202110038870.8A patent/CN112804230B/zh active Active
- 2020-05-12 CN CN202010395318.XA patent/CN111556068B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101309150A (zh) * | 2008-06-30 | 2008-11-19 | 华为技术有限公司 | 分布式拒绝服务攻击的防御方法、装置和系统 |
| CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
| US20130263259A1 (en) * | 2011-08-29 | 2013-10-03 | Arbor Networks, Inc. | Analyzing response traffic to detect a malicious source |
| CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
| CN110855633A (zh) * | 2019-10-24 | 2020-02-28 | 华为终端有限公司 | 分布式拒绝服务ddos攻击的防护方法、装置及系统 |
| CN110719299A (zh) * | 2019-11-18 | 2020-01-21 | 中国移动通信集团内蒙古有限公司 | 防御网络攻击的蜜罐构建方法、装置、设备及介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112804230A (zh) * | 2020-05-12 | 2021-05-14 | 上海有孚智数云创数字科技有限公司 | 分布式拒绝服务攻击的监控方法、系统、设备及存储介质 |
| CN113660146A (zh) * | 2021-10-20 | 2021-11-16 | 成都数默科技有限公司 | 一种网络边界流量采集方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111556068B (zh) | 2020-12-22 |
| CN112804230A (zh) | 2021-05-14 |
| CN112804230B (zh) | 2023-01-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11671402B2 (en) | Service resource scheduling method and apparatus | |
| US11140198B2 (en) | System and method of detecting and countering denial-of-service (DoS) attacks on an NVMe-oF-based computer storage array | |
| Deng et al. | DoS vulnerabilities and mitigation strategies in software-defined networks | |
| US10826933B1 (en) | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints | |
| EP3362938A1 (en) | Automated construction of network whitelists using host-based security controls | |
| CN110839017B (zh) | 代理ip地址识别方法、装置、电子设备及存储介质 | |
| CN111556068B (zh) | 基于流量特征识别的分布式拒绝服务的监控和防控方法 | |
| KR20060013491A (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
| CN112565266A (zh) | 一种信息泄露攻击检测方法、装置、电子设备及存储介质 | |
| US20150150079A1 (en) | Methods, systems and devices for network security | |
| CN109743294A (zh) | 接口访问控制方法、装置、计算机设备及存储介质 | |
| JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| JP7462757B2 (ja) | ネットワークセキュリティ保護方法及び保護デバイス | |
| CN111181850B (zh) | 数据包泛洪抑制方法、装置和设备及计算机存储介质 | |
| CN113676449A (zh) | 网络攻击处理方法及装置 | |
| CN112019516A (zh) | 一种共享文件的访问控制方法、装置、设备及存储介质 | |
| CN115174269A (zh) | Linux主机网络通信安全防护方法和装置 | |
| CN112887105A (zh) | 会议安全监控方法、装置、电子设备及存储介质 | |
| CN110808967B (zh) | 挑战黑洞攻击的检测方法及相关装置 | |
| KR101090815B1 (ko) | 데이터 통신 네트워크 상의 공격 검출 방법, 데이터 통신 네트워크 상의 공격 검출 장치, 라우터, 데이터 통신 시스템, 컴퓨터 판독가능 기록 매체 및 클라이언트 시스템 구비 방법 | |
| CN113783892A (zh) | 反射攻击检测方法、系统、设备及计算机可读存储介质 | |
| KR102046612B1 (ko) | Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법 | |
| KR20010082018A (ko) | 무선 프로토콜을 이용한 네트워크 플러딩 공격을 방지하는방법 및 장치 | |
| CN112671783B (zh) | 一种基于vlan用户组的防主机ip扫描方法 | |
| CN103997488B (zh) | 一种网络攻击的监控方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |