CN112788039A - 一种DDoS攻击识别方法、装置及存储介质 - Google Patents
一种DDoS攻击识别方法、装置及存储介质 Download PDFInfo
- Publication number
- CN112788039A CN112788039A CN202110053075.6A CN202110053075A CN112788039A CN 112788039 A CN112788039 A CN 112788039A CN 202110053075 A CN202110053075 A CN 202110053075A CN 112788039 A CN112788039 A CN 112788039A
- Authority
- CN
- China
- Prior art keywords
- target
- ddos attack
- data
- processing data
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种准确性更高的DDoS攻击识别方法、装置及存储介质,所述DDoS攻击识别方法包括以下步骤:接收原数据;解析原数据,获得第一处理数据;分组,根据第一处理数据,将接收的数据分组并汇聚;分析数据,获得第二处理数据;预判断,根据第二处理数据,判断是否发生攻击;预结果,根据预判断结果,生成预结果;二次判断,根据僵木蠕模块及预结果,判断攻击是否发生。本发明通过设备流记录检测技术和僵木蠕检测技术相结合的方法提升DDoS攻击检测的准确率,降低误报率,并降低检测系统的性能要求,有效的改善了传统的基于原始流量的检测方法中,对硬件的性能要求过高的问题,使得DDoS检测系统适合在各种骨干大带宽网络上进行部署。
Description
技术领域:
本发明涉及计算机网络安全技术领域,尤其涉及一种DDoS攻击识别方法、装置及存储介质。
背景技术:
分布式拒绝服务(Distributed Denial of Service,简称DDoS)攻击指借于客户/服务器技术,使用大量计算机作为攻击平台,对一个或多个目标主机发动流量攻击,占用主机资源,使攻击的目标无法正常使用,其特征表现为攻击的发出点是分布在不同地方,故针对DDoS 攻击,检测方通常具有识别困难、溯源困难等问题。目前针对DDoS攻击的识别方法,是采用接入NetFlow/sFlow/cFlow等设备流记录或者原始业务流量,根据单位时间内被防护对象的入方向流量是否超出设置的阈值来判断主机是否发生DDoS攻击,但是基于NetFlow/sFlow/cFlow等设备流记录的检测技术,由于设备流记录本身只包含五元组和流量的统计信息,缺少了原始流量中的流量特征,会造成检测的准确性相对不高,误报率比较高,而基于原始流量的检测方法,由于需要实时的对原始流量做处理,所以对硬件的性能要求非常高,不适合在运营商骨干网络等大带宽网络上部署。
因此,本领域亟需一种DDoS攻击识别方法、装置及存储介质。
有鉴于此,提出本发明。
发明内容:
本发明的目的在于提供一种准确性更高的DDoS攻击识别方法、装置及存储介质,以解决现有技术中的至少一项技术问题。
在本发明的第一方面,提供了一种准确性更高的DDoS攻击识别方法。
具体的,所述DDoS攻击识别方法包括以下步骤:
接收原数据;
解析原数据,获得第一处理数据;
分组,根据第一处理数据,将接收的数据分组并汇聚;
分析数据,获得第二处理数据;
预判断,根据第二处理数据,判断是否发生攻击;
预结果,根据预判断结果,生成预结果;
二次判断,根据僵木蠕模块及预结果,判断攻击是否发生。
采用上述方案,通过设备流记录检测技术和僵木蠕检测技术相结合的方法提升DDoS攻击检测的准确率,降低误报率,并降低检测系统的性能要求,有效的改善了传统的基于原始流量的检测方法中,对硬件的性能要求过高的问题,使得DDoS检测系统适合在各种骨干大带宽网络上进行部署,显著的提升了对DDoS攻击的检测效率。
优选地,所述接收原数据步骤中,所述原数据为NetFlow/sFlow/cFlow的设备流记录数据。
进一步地,所述解析原数据,获得第一处理数据步骤中,包括:解析每条设备流记录的五元组、协议、流量、包数、字节数。
进一步地,所述第一处理数据为每条设备流记录的五元组、协议、流量、包数、字节数。
采用上述方案,能够有效获得各个设备流中所记录的信息,便于对各个IP进行处理。
优选地,所述分组,根据第一处理数据,将接收的数据分组并汇聚步骤中,包括:按照目标ip,协议类型进行流量分组汇聚。
进一步地,所述分析数据,获得第二处理数据步骤中,包括:得到每一个目标ip的每个协议类型的流量值,并按照目标ip汇聚出单位时间内该目标ip的所有源ip,并每个目标 ip及对应的源ip信息进行存储,得到攻击事件临时表。
进一步地,所述分析数据,获得第二处理数据步骤中,所述第二处理数据为每一个目标 ip的每个协议类型的流量值,以及该目标ip的所有源ip。
采用上述方案,能够针对各个IP进行处理,有效的简化判断程序,提升识别效率。
优选地,所述预判断,根据第二处理数据,判断是否发生攻击步骤中,包括:根据每一个目标ip的每个协议类型的流量值,并按照目标ip汇聚出单位时间内该目标ip的所有源ip,结合该目标ip前时间阈值N内的历史流量信息和攻击检测规则,判断该目标ip是否发生DDoS攻击。
进一步地,所述预判断结果包括是或者否。
进一步地,所述预结果,根据预判断结果,生成预结果步骤中,包括:若预判断结果为是,将此目标ip及对应的源ip信息等进行存储,若预判断结果为否,不进行存储。
采用上述方案,能够有效的对目标ip是否遭受到攻击进行判断。
优选地,所述二次判断,根据僵木蠕模块及预结果,判断攻击是否发生步骤中,包括:当预判断结果为否时,标记为未受到攻击,当预判断结果为是时,进行僵木蠕模块判断。
进一步地,所述二次判断,根据僵木蠕模块及预结果,判断攻击是否发生步骤中,还包括:
僵木蠕模块信息获取,在固定时间点读取包含URI字段的话单,使用内置特征库对话单流量进行识别,通过特征匹配输出指定时间范围内的僵木蠕恶意事件,字段包括控制端IP,受控端IP,恶意事件类型,时间。
僵木蠕模块计算,在固定时间点对僵木蠕恶意事件库按照时间进行查询,查询前时间阈值N内的数据存入内存,并获取List数组,对List数组进行遍历,构造第一哈希Map,其中 key为前时间阈值N内的受控IP,value为计数。
僵木蠕模块比对,根据攻击事件临时表,构建第二哈希Map,其中key为目标ip,所述第二哈希Map的value取值规则为遍历该目标ip对应的源ip,分别计算哈希值,判断第一哈希Map中是否存在该哈希值,若存在,取出该哈希值对应的value填入,若不存在,进入比对循环。
比对循环,根据攻击事件临时表及第二哈希Map,遍历下一个源ip,计算哈希值,判断第一哈希Map中的哈希结构中是否存在该哈希值,若存在,取出该哈希值对应的value,累加到原有的value值后填入,若不存在,循环比对循环步骤,直至所有目标ip和源ip遍历结束,获得第三哈希Map,其中key为目标ip,权重值为value。
僵木蠕模块判断,遍历第三哈希Map,对于每一个目标ip,判断其权重值,若其权重值大于等于判读阈值M,则判定此IP该时间段发生了DDoS攻击,若其权重值小于M,则判定此IP该时间段没有发生了DDoS攻击。
本发明的第二方面,还提供了一种准确性更高的DDoS攻击识别装置。
具体的,所述DDoS攻击识别装置包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述DDoS攻击识别方法。
本发明的第三方面,还提供了一种计算机可读存储介质。
具体的,所述计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述DDoS攻击识别方法。
综上所述,本发明具有以下有益效果:
1采用上述方案,通过设备流记录检测技术和僵木蠕检测技术相结合的方法提升DDoS 攻击检测的准确率,降低误报率,并降低检测系统的性能要求,有效的改善了传统的基于原始流量的检测方法中,对硬件的性能要求过高的问题,使得DDoS检测系统适合在各种骨干大带宽网络上进行部署,显著的提升了对DDoS攻击的检测效率。
附图说明:
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明DDoS攻击识别方法流程一种实施方式的流程图;
图2为本发明的S700.二次判断步骤一种实施方式的流程图;
图3为本发明的攻击事件临时表一种实施方式的结构示意图;
图4为本发明的内置特征库一种实施方式的字段信息示意图;
图5为本发明的第一哈希Map一种实施方式的示意图;
图6为本发明DDoS攻击识别方法流程一种实施方式的示意图。
具体实施方式:
这里将详细地对示例性实施例进行说明,其示例表示在附图中。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
以下将通过实施例对本发明进行详细描述。
本发明中所称:
五元组:指的是源ip地址、源端口、目的ip地址、目的端口及传输层协议;
NetFlow:指的是在一个源ip地址和目的ip地址间传输的单向数据包流,且所有数据包具有共同的传输层源、目的端口号。
sFlow:指的是基于标准的网络导出协议RFC3176。
cFlow:指的是Cisco Netflow。
如图1及图6所示,在本发明的第一方面,提供了一种准确性更高的DDoS攻击识别方法,所述DDoS攻击识别方法包括以下步骤:
S100.接收原数据;
具体实施过程中,所述S100.接收原数据步骤中,所述原数据为NetFlow/sFlow/cFlow的设备流记录数据。
S200.解析原数据,获得第一处理数据;
具体实施过程中,所述解析原数据,获得第一处理数据步骤中,包括:解析每条设备流记录的五元组、协议、流量、包数、字节数,所述第一处理数据为每条设备流记录的五元组、协议、流量、包数、字节数。采用上述方案,能够有效获得各个设备流中所记录的信息,便于对各个IP进行处理。
S300.分组,根据第一处理数据,将接收的数据分组并汇聚;
具体实施过程中,所述S300.分组,根据第一处理数据,将接收的数据分组并汇聚步骤中,包括:按照目标ip,协议类型进行流量分组汇聚。
S400.分析数据,获得第二处理数据;
如图3所示,具体实施过程中,所述S400.分析数据,获得第二处理数据步骤中,包括:得到每一个目标ip的每个协议类型的流量值,并按照目标ip汇聚出单位时间内该目标ip的所有源ip,并每个目标ip及对应的源ip信息进行存储,得到攻击事件临时表。
进一步,所述分析数据,获得第二处理数据步骤中,所述第二处理数据为每一个目标ip 的每个协议类型的流量值,以及该目标ip的所有源ip。采用上述方案,能够针对各个IP进行处理,有效的简化判断程序,提升识别效率。
S500.预判断,根据第二处理数据,判断是否发生攻击;
具体实施过程中,所述S500.预判断,根据第二处理数据,判断是否发生攻击步骤中,包括:根据每一个目标ip的每个协议类型的流量值,并按照目标ip汇聚出单位时间内该目标ip的所有源ip,结合该目标ip前时间阈值N内的历史流量信息和攻击检测规则,判断该目标ip是否发生DDoS攻击,所述预判断结果包括是或者否,采用上述方案,能够有效的对目标ip是否遭受到攻击进行判断。
进一步,设定所述单位时间是为了能够将连续的时间概念转换为时间区间的概念,便于对相同时间区间的数据进行进一步汇聚等处理,所述单位时间可以为3秒或者5秒,所述时间阈值N大于等于3天。所述攻击检测规则为根据协议类型,对比历史流量与当前流量趋势,源ip熵,所述源ip熵为当前时间区间和上一时间区间同一个目标ip对应的源ip概率分布的变化程度。
S600.预结果,根据预判断结果,生成预结果;
具体实施过程中,所述S500.预结果,根据预判断结果,生成预结果步骤中,包括:若预判断结果为是,将此目标ip及对应的源ip信息等进行存储,若否预判断结果为否,不进行存储。
S700.二次判断,根据僵木蠕模块及预结果,判断攻击是否发生。
具体实施过程中,所述S700.二次判断,根据僵木蠕模块及预结果,判断攻击是否发生步骤中,包括:当预判断结果为否时,标记为未受到攻击,当预判断结果为是时,进行僵木蠕模块判断。
采用上述方案,通过设备流记录检测技术和僵木蠕检测技术相结合的方法提升DDoS攻击检测的准确率,降低误报率,并降低检测系统的性能要求,有效的改善了传统的基于原始流量的检测方法中,对硬件的性能要求过高的问题,使得DDoS检测系统适合在各种骨干大带宽网络上进行部署,显著的提升了对DDoS攻击的检测效率。
如图1、图2、图4及图5所示,在本发明的一些优选实施方式中,所述S700.二次判断,根据僵木蠕模块及预结果,判断攻击是否发生步骤中,还包括:
S710.僵木蠕模块信息获取,在固定时间点读取包含URI字段的话单,使用内置特征库对话单流量进行识别,通过特征匹配技术手段输出指定时间范围内的僵木蠕恶意事件,字段包括控制端IP,受控端IP,恶意事件类型,时间。
进一步,所述内置特征库,即为僵木蠕程序内置的僵木蠕恶意特征库,包括域名、URL、 IP特征。所述特征匹配技术手段包括协议分析、特征比对、关联分析。所述指定时间范围为话单中的时间字段,用于将僵木蠕恶意事件的结果与相同时间范围内的DDoS攻击结果进行关联。所述僵木蠕恶意事件,即为经过内置特征库匹配得到的流量。
S720.僵木蠕模块计算,在固定时间点对僵木蠕恶意事件库按照时间进行查询,查询前时间阈值N内的数据存入内存,并获取List数组,对List数组进行遍历,构造第一哈希Map,其中key为前时间阈值N内的受控IP,value为计数,所述时间阈值N大于等于3。
S730.僵木蠕模块比对,根据攻击事件临时表,构建第二哈希Map,其中key为目标ip,所述第二哈希Map的value取值规则为遍历该目标ip对应的源ip,分别计算哈希值,判断第一哈希Map中是否存在该哈希值,若存在,取出该哈希值对应的value填入,若不存在,进入比对循环。
S740.比对循环,根据攻击事件临时表及第二哈希Map,遍历下一个源ip,计算哈希值,判断第一哈希Map中的哈希结构中是否存在该哈希值,若存在,取出该哈希值对应的value,累加到原有的value值后填入,若不存在,循环比对循环步骤,直至所有目标ip和源ip遍历结束,获得第三哈希Map,其中key为目标ip,权重值为value。
S750.僵木蠕模块判断,遍历第三哈希Map,对于每一个目标ip,判断其权重值,若其权重值大于等于判读阈值M,则判定此IP该时间段发生了DDoS攻击,若其权重值小于M,则判定此IP该时间段没有发生了DDoS攻击。
进一步,所述权重值能够体现预判断过程中确定的攻击事件中目标ip的源ip同时出现在僵木蠕事件中的比例,所述判读阈值M为10,若权重值高于则认为该目标ip遭受了DDoS 攻击。
本发明的第二方面,还提供了一种准确性更高的DDoS攻击识别装置。
具体的,所述DDoS攻击识别装置包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述DDoS攻击识别方法。
本发明的第三方面,还提供了一种计算机可读存储介质。
具体的,所述计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述DDoS攻击识别方法。
综上所述,本发明通过设备流记录检测技术和僵木蠕检测技术相结合的方法提升DDoS 攻击检测的准确率,降低误报率,并降低检测系统的性能要求,有效的改善了传统的基于原始流量的检测方法中,对硬件的性能要求过高的问题,使得DDoS检测系统适合在各种骨干大带宽网络上进行部署,显著的提升了对DDoS攻击的检测效率。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
应当理解,本申请实施例中,从权、各个实施例、特征可以互相组合结合,都能实现解决前述技术问题。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM, Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种DDoS攻击识别方法,其特征在于:所述DDoS攻击识别方法包括以下步骤:
接收原数据;
解析原数据,获得第一处理数据;
分组,根据第一处理数据,将接收的数据分组并汇聚;
分析数据,获得第二处理数据;
预判断,根据第二处理数据,判断是否发生攻击;
预结果,根据预判断结果,生成预结果;
二次判断,根据僵木蠕模块及预结果,判断攻击是否发生。
2.根据权利要求1所述DDoS攻击识别方法,其特征在于:所述接收原数据步骤中,所述原数据为NetFlow/sFlow/cFlow的设备流记录数据。
3.根据权利要求2所述DDoS攻击识别方法,其特征在于:所述解析原数据,获得第一处理数据步骤中,包括:解析每条设备流记录的五元组、协议、流量、包数、字节数。
4.根据权利要求3所述DDoS攻击识别方法,其特征在于:所述分组,根据第一处理数据,将接收的数据分组并汇聚步骤中,包括:按照目标ip,协议类型进行流量分组汇聚。
5.根据权利要求4所述DDoS攻击识别方法,其特征在于:所述分析数据,获得第二处理数据步骤中,包括:得到每一个目标ip的每个协议类型的流量值,并按照目标ip汇聚出单位时间内该目标ip的所有源ip,并每个目标ip及对应的源ip信息进行存储,得到攻击事件临时表。
6.根据权利要求5所述DDoS攻击识别方法,其特征在于:所述分析数据,获得第二处理数据步骤中,所述第二处理数据为每一个目标ip的每个协议类型的流量值,以及该目标ip的所有源ip。
7.根据权利要求6所述DDoS攻击识别方法,其特征在于:所述预判断,根据第二处理数据,判断是否发生攻击步骤中,包括:根据每一个目标ip的每个协议类型的流量值,并按照目标ip汇聚出单位时间内该目标ip的所有源ip,结合该目标ip前时间阈值N内的历史流量信息和攻击检测规则,判断该目标ip是否发生DDoS攻击。
8.根据权利要求1-7任一项所述DDoS攻击识别方法,其特征在于:所述预结果,根据预判断结果,生成预结果步骤中,包括:若预判断结果为是,将此目标ip及对应的源ip信息等进行存储,若否不进行存储。
9.一种DDoS攻击识别装置,其特征在于:所述DDoS攻击识别装置包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如权利要求1-8任一项所述DDoS攻击识别方法。
10.一种计算机可读存储介质,其特征在于:所述计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如权利要求1-8任一种所述DDoS攻击识别方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110053075.6A CN112788039B (zh) | 2021-01-15 | 2021-01-15 | 一种DDoS攻击识别方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110053075.6A CN112788039B (zh) | 2021-01-15 | 2021-01-15 | 一种DDoS攻击识别方法、装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112788039A true CN112788039A (zh) | 2021-05-11 |
CN112788039B CN112788039B (zh) | 2023-07-25 |
Family
ID=75756155
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110053075.6A Active CN112788039B (zh) | 2021-01-15 | 2021-01-15 | 一种DDoS攻击识别方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112788039B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113824730A (zh) * | 2021-09-29 | 2021-12-21 | 恒安嘉新(北京)科技股份公司 | 一种攻击分析方法、装置、设备及存储介质 |
CN114584491A (zh) * | 2022-04-21 | 2022-06-03 | 腾讯科技(深圳)有限公司 | 检测方法、装置、存储介质、设备及程序产品 |
Citations (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101572670A (zh) * | 2009-05-07 | 2009-11-04 | 成都市华为赛门铁克科技有限公司 | 一种基于流表的数据包处理方法、装置和网络系统 |
KR20110009813A (ko) * | 2009-07-23 | 2011-01-31 | 충남대학교산학협력단 | 올아이피네트워크 환경의 공격 탐지 및 추적 시스템 및 방법 |
CN102271068A (zh) * | 2011-09-06 | 2011-12-07 | 电子科技大学 | 一种dos/ddos攻击检测方法 |
CN103428224A (zh) * | 2013-08-29 | 2013-12-04 | 中国科学院计算技术研究所 | 一种智能防御DDoS攻击的方法和装置 |
US20150264061A1 (en) * | 2014-03-11 | 2015-09-17 | Vectra Networks, Inc. | System and method for detecting network intrusions using layered host scoring |
CN106357673A (zh) * | 2016-10-19 | 2017-01-25 | 中国科学院信息工程研究所 | 一种多租户云计算系统DDoS攻击检测方法及系统 |
CN106850501A (zh) * | 2015-12-04 | 2017-06-13 | 中国电信股份有限公司 | 检测僵木蠕网络的方法以及系统 |
CN107332832A (zh) * | 2017-06-21 | 2017-11-07 | 北京东方棱镜科技有限公司 | 移动互联网分布式僵尸木马蠕虫检测方法和装置 |
CN107547526A (zh) * | 2017-08-17 | 2018-01-05 | 北京奇安信科技有限公司 | 一种云地结合的数据处理方法及装置 |
WO2018234039A1 (de) * | 2017-06-22 | 2018-12-27 | Siemens Aktiengesellschaft | Verfahren und vorrichtung zum übermitteln einer nachricht in einer sicherheitsrelevanten anlage |
CN109255237A (zh) * | 2018-08-31 | 2019-01-22 | 新华三大数据技术有限公司 | 安全事件关联分析方法及装置 |
US20190182291A1 (en) * | 2017-12-11 | 2019-06-13 | Radware, Ltd. | System and method for providing insights on distributed denial of service attacks |
CN109889550A (zh) * | 2019-04-12 | 2019-06-14 | 杭州迪普科技股份有限公司 | 一种DDoS攻击确定方法及装置 |
CN110266719A (zh) * | 2019-07-04 | 2019-09-20 | 杭州吉讯汇通科技有限公司 | 安全策略下发方法、装置、设备及介质 |
CN110855676A (zh) * | 2019-11-15 | 2020-02-28 | 腾讯科技(深圳)有限公司 | 网络攻击的处理方法、装置及存储介质 |
CN110933111A (zh) * | 2019-12-18 | 2020-03-27 | 北京浩瀚深度信息技术股份有限公司 | 一种基于DPI的DDoS攻击识别方法及装置 |
CN111181932A (zh) * | 2019-12-18 | 2020-05-19 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
CN111294328A (zh) * | 2019-10-23 | 2020-06-16 | 上海科技网络通信有限公司 | 基于信息熵计算对sdn网络主动安全防御的方法 |
-
2021
- 2021-01-15 CN CN202110053075.6A patent/CN112788039B/zh active Active
Patent Citations (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101572670A (zh) * | 2009-05-07 | 2009-11-04 | 成都市华为赛门铁克科技有限公司 | 一种基于流表的数据包处理方法、装置和网络系统 |
KR20110009813A (ko) * | 2009-07-23 | 2011-01-31 | 충남대학교산학협력단 | 올아이피네트워크 환경의 공격 탐지 및 추적 시스템 및 방법 |
CN102271068A (zh) * | 2011-09-06 | 2011-12-07 | 电子科技大学 | 一种dos/ddos攻击检测方法 |
CN103428224A (zh) * | 2013-08-29 | 2013-12-04 | 中国科学院计算技术研究所 | 一种智能防御DDoS攻击的方法和装置 |
US20150264061A1 (en) * | 2014-03-11 | 2015-09-17 | Vectra Networks, Inc. | System and method for detecting network intrusions using layered host scoring |
CN106850501A (zh) * | 2015-12-04 | 2017-06-13 | 中国电信股份有限公司 | 检测僵木蠕网络的方法以及系统 |
CN106357673A (zh) * | 2016-10-19 | 2017-01-25 | 中国科学院信息工程研究所 | 一种多租户云计算系统DDoS攻击检测方法及系统 |
CN107332832A (zh) * | 2017-06-21 | 2017-11-07 | 北京东方棱镜科技有限公司 | 移动互联网分布式僵尸木马蠕虫检测方法和装置 |
WO2018234039A1 (de) * | 2017-06-22 | 2018-12-27 | Siemens Aktiengesellschaft | Verfahren und vorrichtung zum übermitteln einer nachricht in einer sicherheitsrelevanten anlage |
CN107547526A (zh) * | 2017-08-17 | 2018-01-05 | 北京奇安信科技有限公司 | 一种云地结合的数据处理方法及装置 |
US20190182291A1 (en) * | 2017-12-11 | 2019-06-13 | Radware, Ltd. | System and method for providing insights on distributed denial of service attacks |
CN109255237A (zh) * | 2018-08-31 | 2019-01-22 | 新华三大数据技术有限公司 | 安全事件关联分析方法及装置 |
CN109889550A (zh) * | 2019-04-12 | 2019-06-14 | 杭州迪普科技股份有限公司 | 一种DDoS攻击确定方法及装置 |
CN110266719A (zh) * | 2019-07-04 | 2019-09-20 | 杭州吉讯汇通科技有限公司 | 安全策略下发方法、装置、设备及介质 |
CN111294328A (zh) * | 2019-10-23 | 2020-06-16 | 上海科技网络通信有限公司 | 基于信息熵计算对sdn网络主动安全防御的方法 |
CN110855676A (zh) * | 2019-11-15 | 2020-02-28 | 腾讯科技(深圳)有限公司 | 网络攻击的处理方法、装置及存储介质 |
CN110933111A (zh) * | 2019-12-18 | 2020-03-27 | 北京浩瀚深度信息技术股份有限公司 | 一种基于DPI的DDoS攻击识别方法及装置 |
CN111181932A (zh) * | 2019-12-18 | 2020-05-19 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
Non-Patent Citations (11)
Title |
---|
TALAL ALHARBI等: "Smart and Lightweight DDoS Detection Using NFV", 《ICCDA \'17: PROCEEDINGS OF THE INTERNATIONAL CONFERENCE ON COMPUTE AND DATA ANALYSIS》 * |
张静;胡华平;刘波;肖枫涛;陈新;: "剖析DDoS攻击对抗技术", 信息安全与技术, no. 07 * |
恒创IDC: ""DDoS高防云服务器如何防御攻击"", 《360DOC》 * |
恒创IDC: ""DDoS高防云服务器如何防御攻击"", 《360DOC》, 13 January 2021 (2021-01-13), pages 1 - 2 * |
朱云鹏;陆余良;: "针对P2P网络中DHT的DoS攻击技术研究", no. 03 * |
熊勇;周国志;彭鹏;张燕;: "基于大数据的CMNET网络安全评估系统", 电信快报, no. 10 * |
王琪强;尚春雷;殷正伟;杨念祖;: "网络攻击行为的自动封堵与压制系统方案简述" * |
王琪强;尚春雷;殷正伟;杨念祖;: "网络攻击行为的自动封堵与压制系统方案简述", no. 05 * |
王琪强等: "网络攻击行为的自动封堵与压制系统方案简述", 《网络安全技术与应用》, no. 05, 15 May 2020 (2020-05-15) * |
邓雪倩: "基于DPI技术的改进匹配算法研究" * |
郭成林;: "网络恶意流量检测技术研究", no. 22 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113824730A (zh) * | 2021-09-29 | 2021-12-21 | 恒安嘉新(北京)科技股份公司 | 一种攻击分析方法、装置、设备及存储介质 |
CN114584491A (zh) * | 2022-04-21 | 2022-06-03 | 腾讯科技(深圳)有限公司 | 检测方法、装置、存储介质、设备及程序产品 |
CN114584491B (zh) * | 2022-04-21 | 2023-09-08 | 腾讯科技(深圳)有限公司 | 检测方法、装置、存储介质及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN112788039B (zh) | 2023-07-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111277570A (zh) | 数据的安全监测方法和装置、电子设备、可读介质 | |
CN112544059B (zh) | 用于网络流量分析的方法、设备和系统 | |
Yang et al. | RIHT: a novel hybrid IP traceback scheme | |
Wang et al. | A new multistage approach to detect subtle DDoS attacks | |
US7596810B2 (en) | Apparatus and method of detecting network attack situation | |
US7669241B2 (en) | Streaming algorithms for robust, real-time detection of DDoS attacks | |
CN108429761B (zh) | 智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法 | |
US20030097439A1 (en) | Systems and methods for identifying anomalies in network data streams | |
CN112019574A (zh) | 异常网络数据检测方法、装置、计算机设备和存储介质 | |
US10440035B2 (en) | Identifying malicious communication channels in network traffic by generating data based on adaptive sampling | |
CN112788039B (zh) | 一种DDoS攻击识别方法、装置及存储介质 | |
CN102984178B (zh) | 数据报文的检测方法及装置 | |
CN113114694A (zh) | 一种面向高速网络分组抽样数据采集场景的DDoS攻击检测方法 | |
Lin et al. | Identifying application-layer DDoS attacks based on request rhythm matrices | |
CN110958245B (zh) | 一种攻击的检测方法、装置、设备和存储介质 | |
Bhandari | Survey on DDoS attacks and its detection & defence approaches | |
US11050771B2 (en) | Information processing apparatus, communication inspecting method and medium | |
CN111131309A (zh) | 分布式拒绝服务检测方法、装置及模型创建方法、装置 | |
CN115801475B (zh) | 一种基于双重扫描算法的ddos攻击检测方法及系统 | |
CN109257384B (zh) | 基于访问节奏矩阵的应用层DDoS攻击识别方法 | |
CN111901286B (zh) | 一种基于流量日志的apt攻击检测方法 | |
WO2024027079A1 (zh) | 域名反射攻击检测方法及装置、电子设备、存储介质 | |
Nie et al. | Intrusion detection using a graphical fingerprint model | |
CN113709105A (zh) | 基于计数型布隆过滤器的SYN Flood攻击检测方法 | |
CN114710343A (zh) | 一种入侵检测的方法和检测设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |