CN113452651B - 网络攻击检测方法、装置、设备以及存储介质 - Google Patents

网络攻击检测方法、装置、设备以及存储介质 Download PDF

Info

Publication number
CN113452651B
CN113452651B CN202010214300.5A CN202010214300A CN113452651B CN 113452651 B CN113452651 B CN 113452651B CN 202010214300 A CN202010214300 A CN 202010214300A CN 113452651 B CN113452651 B CN 113452651B
Authority
CN
China
Prior art keywords
target address
sub
target
data packet
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010214300.5A
Other languages
English (en)
Other versions
CN113452651A (zh
Inventor
顾亿帆
钱华钩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Baidu Netcom Science and Technology Co Ltd
Original Assignee
Beijing Baidu Netcom Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baidu Netcom Science and Technology Co Ltd filed Critical Beijing Baidu Netcom Science and Technology Co Ltd
Priority to CN202010214300.5A priority Critical patent/CN113452651B/zh
Publication of CN113452651A publication Critical patent/CN113452651A/zh
Application granted granted Critical
Publication of CN113452651B publication Critical patent/CN113452651B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请公开了一种网络攻击检测方法、装置、设备以及存储介质,涉及网络安全技术领域。具体实现方案为:从交换机获取预设时段内的流量数据,流量数据中包括多个数据包,其中,交换机与多个内网设备连接,多个数据包为多个内网设备通过交换机向外网设备发送的;根据多个数据包的源地址和目标地址,在多个数据包中确定多个异常数据包,目标地址为接收数据包的外网设备的地址;根据多个异常数据包,确定被攻击的外网设备。本申请实施例提供的方案,可以在整个内网设备的网络连接不受任何影响的情况下对内网设备向外网设备发起的网络攻击进行检测,避免对内网设备的正常工作产生影响。

Description

网络攻击检测方法、装置、设备以及存储介质
技术领域
本申请涉及计算机技术领域,尤其涉及网络安全领域中的一种网络攻击检测方法、装置、设备以及存储介质。
背景技术
随着信息技术的发展,网络安全逐渐成为一个日益严峻的问题,因此,网络攻击检测方案显得尤为重要。目前的网络攻击主要包括两种,一种是外网设备向内网发起攻击,一种是内网设备向外网发起攻击。
当内网设备向外网设备发起网络攻击时,发起攻击的内网出口带宽通常会被大量占用,导致内网服务质量下降。目前的攻击检测方案,主要是通过拔插网线的方式来判断是否有异常流量。例如,通过切断某一个内网设备的网络连接,并获取在切断该内网设备的网络连接前后整个内网的流量变化,来判断该内网设备是否在向外网发起攻击。若切断该内网设备的网络连接前后整个内网的流量变化较大,则确定该内网设备在向外网发起攻击。
目前的攻击检测方案,需要切断内网设备的网络连接,使得内网设备暂停服务,对内网设备的影响较大。
发明内容
提供了一种网络攻击检测方法、装置、设备以及存储介质。
根据第一方面,提供了一种网络攻击检测方法,应用于服务器,所述服务器与交换机连接,所述方法包括:
从所述交换机获取预设时段内的流量数据,所述流量数据中包括多个数据包,其中,所述交换机与多个内网设备连接,所述多个数据包为所述多个内网设备通过所述交换机向外网设备发送的;
根据所述多个数据包的源地址和目标地址,在所述多个数据包中确定多个异常数据包,所述目标地址为接收数据包的外网设备的地址;
根据所述多个异常数据包,确定被攻击的外网设备。
根据第二方面,提供了一种网络攻击检测方法,应用于交换机,所述交换机与服务器连接,所述方法包括:
向所述服务器发送预设时段内的流量数据,所述流量数据中包括多个数据包,其中,所述交换机与多个内网设备连接,所述多个数据包为所述多个内网设备通过所述交换机向外网设备发送的;
从所述服务器接收控制指令,所述控制指令中包括攻击地址;
根据所述控制指令,切断目标地址为所述攻击地址的数据包的传输。
根据第三方面,提供了一种网络攻击检测装置,包括:
获取模块,用于从交换机获取预设时段内的流量数据,所述流量数据中包括多个数据包,其中,所述交换机与多个内网设备连接,所述多个数据包为所述多个内网设备通过所述交换机向外网设备发送的;
第一处理模块,用于根据所述多个数据包的源地址和目标地址,在所述多个数据包中确定多个异常数据包,所述目标地址为接收数据包的外网设备的地址;
第二处理模块,用于根据所述多个异常数据包,确定被攻击的外网设备。
根据第四方面,提供了一种网络攻击检测装置,包括:
发送模块,用于向服务器发送预设时段内的流量数据,所述流量数据中包括多个数据包,其中,交换机与多个内网设备连接,所述多个数据包为所述多个内网设备通过所述交换机向外网设备发送的;
接收模块,用于从所述服务器接收控制指令,所述控制指令中包括攻击地址;
处理模块,用于根据所述控制指令,切断目标地址为所述攻击地址的数据包的传输。
根据第五方面,提供了一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行第一方面中任一项所述的方法,或者,以使所述至少一个处理器能够执行第二方面所述的方法。
根据第六方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行第一方面中任一项所述的方法,或者,所述计算机指令用于使所述计算机执行第二方面中所述的方法。
根据第七方面,提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序,所述计算机程序存储在可读存储介质中,电子设备的至少一个处理器可以从所述可读存储介质读取所述计算机程序,所述至少一个处理器执行所述计算机程序使得电子设备执行第一方面所述的方法。
本申请实施例提供的网络攻击检测方案,首先从交换机获取预设时段内的流量数据,然后根据流量数据中的多个数据包的源地址和目标地址,在多个数据包中确定多个异常数据包,内网设备向外网设备发起的网络攻击中的异常流量就包括在异常数据包中,然后根据多个异常数据包,确定被攻击的外网设备。本申请实施例提供的方案,可以在整个内网设备的网络连接不受任何影响的情况下对内网设备向外网设备发起的网络攻击进行检测,内网设备无需暂停服务,能够避免对内网设备的正常工作产生影响。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本申请的限定。其中:
图1为本申请实施例提供的一种应用场景示意图;
图2为本申请实施例提供的网络攻击检测方法的流程示意图;
图3为本申请实施例提供的设备建立连接示意图;
图4为本申请实施例提供的设备断开连接示意图;
图5为本申请实施例提供的网络攻击示意图;
图6为本申请实施例提供的网络攻击检测示意图;
图7为本申请实施例提供的确定被攻击的外网设备的方法流程示意图;
图8为本申请实施例提供的攻击地址确定示意图;
图9为本申请实施例提供的又一网络攻击检测方法的流程示意图;
图10为本申请实施例提供的网络攻击检测装置的结构示意图;
图11为本申请实施例提供的网络攻击检测装置的结构示意图;
图12为用来实现本申请实施例的网络攻击检测方法的电子设备的框图。
具体实施方式
以下结合附图对本申请的示范性实施例做出说明,其中包括本申请实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本申请的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
首先结合图1对本申请适用的应用场景进行介绍。
图1为本申请实施例提供的一种应用场景示意图,如图1所示,包括机房内网、公网、检测设备和交换机,其中,机房内网中包括多个内网设备,机房内网为该交换机下的内网。公网也称为外网,公网中包括多个外网设备。内网设备和外网设备之间的数据交互或流量交互均需要通过该交换机实现。
当内网设备向外网设备发起攻击时,产生的流量比较高,因此可以通过该特点来判断是否有内网设备向外网设备发起网络攻击。目前检测是否存在内网设备向外网设备发起攻击的方案主要有以下几种:
第一种,是通过拔插网线的方式。例如,通过拔插网线的物理方式来切断某个内网设备的网络连接,根据内网设备在断开网络连接前后、整个机房内网的流量变化来判断该内网设备是否在向外网设备发起网络攻击。若断开网络连接前后,整个机房内网的流量变化过大,则表示该内网设备可能在向外网设备发起网络攻击。
第二种,是通过切换交换机的方式。第二种方式与第一种方式类似,也是通过切换交换机进而来切换机房内网的网络连接,并根据切换交换机前后机房内网的流量变化来判断机房内网中是否存在内网设备在向外网设备发起网络攻击。若断开网络连接前后,整个机房内网的流量变化过大,则表示机房内网中存在内网设备可能在向外网设备发起网络攻击。
第三种,是通过抓包分析的方式。具体的,由于内网设备和外网设备之间的交互均通过交换机,因此可以从交换机处进行流量抓包,人工分析是否存在异常流量,进而判断是否存在内网设备在向外网设备发起网络攻击。
在上述三种方式中,第一种和第二种方式,均需要操作物理设备,并导致部分内网设备暂停服务,其对内网的影响范围较大,时间较长,且在确定存在内网设备在向外网设备发起网络攻击后,也无法确定被攻击的外网设备具体是哪一个。
第三种方式通过人工分析,难度较大,花费的时间较长,且流量抓包中可能将正常流量和异常流量混杂在一起,也增加了分析的难度。
本申请实施例中,设置了一个检测设备,检测设备与交换机相连接,检测设备例如可以为一个服务器。由于内网设备和外网设备之间的交互均需要通过交换机,因此交换机可以将内网设备和外网设备之间的交互的流量数据发送到检测设备中,检测设备通过相应的处理判断是否存在内网设备在向外网设备发起网络攻击。若存在,则检测设备向交换机发送边界网关协议(border gateway protocol,BGP)宣告,来切断该网络攻击,保证网络安全。其中,当流量数据经过交换机时,交换机可以直接将流量数据复制之后,发送给检测设备,既能够保证检测设备获取到所有经过交换机的流量数据,从而根据经过交换机的流量数据进行网络攻击的检测,也能够保证网络检测的实时性。
下面将结合附图对本申请的方案进行说明。
图2为本申请实施例提供的网络攻击检测方法的流程示意图,如图2所示,该方法可以包括:
S21,从所述交换机获取预设时段内的流量数据,所述流量数据中包括多个数据包,其中,所述交换机与多个内网设备连接,所述多个数据包为所述多个内网设备通过所述交换机向外网设备发送的。
内网设备是一个局域网下的设备,一个路由器或一个交换机下连接的多个设备均为一个内网机房下的设备。例如一个家庭中有多台电脑,该家庭中通过路由器来共享无线热点,此时该家庭中组成了一个内网,家庭中的多台电脑均为内网设备。
本申请实施例中针对的是内网设备对外网设备发起的网络攻击,该内网中的多个内网设备与交换机连接,因此内网设备向外传输任何数据,均需要经过交换机。可以设置一个服务器与该交换机连接,交换机下的设备为内网设备,内网设备外还包括外网设备,而与交换机连接的服务器处于内网和外网的边缘,既不属于内网设备,也不属于外网设备。
内网设备要攻击外网设备,则需要与外网设备进行交互,因此必然会产生流量,经过交换机。服务器可以从交换机获取预设时段内的流量数据,该流量数据中包括多个数据包,进一步的,还可能包括设备之间的信令交互信息。
可选的,当流量数据经过交换机时,交换机对每一个经过的流量数据进行复制操作,然后将复制后的流量数据发送给服务器,使得服务器能够实时的获取所有经过交换机的流量数据。
S22,根据所述多个数据包的源地址和目标地址,在所述多个数据包中确定多个异常数据包,所述目标地址为接收数据包的外网设备的地址。
流量数据中,可能包括正常的内网设备和外网设备之间的连接和数据传输,也可能包括内网设备对外网设备发起网络攻击时的流量数据。因此,为了检测到内网设备对外网设备的攻击,首先需要确定异常流量数据,即在多个数据包中确定多个异常数据包。
通常,未对外网设备发起网络攻击的内网设备,在与外网设备进行交互或数据传输时,采用的是自身真实的网际互联协议(Internet Protocol,IP)地址,从而能够根据自身真实的IP地址和外网设备的IP地址建立连接,进行数据的传输。而对外网设备发起攻击的内网设备,为了不被迅速的检测到自身在发起网络攻击,通常会伪造一个IP地址,而伪造的IP地址是不能够与正常的外网设备建立连接并进行数据的传输的。
根据此特点,可以根据多个数据包中的源地址和目标地址来进行跟踪,其中数据包中的源地址指的是内网设备的地址,目标地址指的是要发送的外网设备的地址。若数据包中的源地址和目标地址对应的两个设备建立了连接,则表明该数据包为正常数据包,反之,则为异常数据包。通过该方法,能在多个数据包中确定异常数据包。
S23,根据所述多个异常数据包,确定被攻击的外网设备。
在确定了异常数据包后,根据异常数据包,就能够确定被攻击的外网设备。例如,若异常数据包中的目标地址多次指向同一个地址,则该地址对应的外网设备就可能是被攻击的外网设备。
本申请实施例提供的网络攻击检测方法,首先从交换机获取预设时段内的流量数据,然后根据流量数据中的多个数据包的源地址和目标地址,在多个数据包中确定多个异常数据包,内网设备向外网设备发起的网络攻击中的异常流量就包括在异常数据包中,然后根据多个异常数据包,确定被攻击的外网设备。本申请实施例提供的方案,可以在整个内网设备的网络连接不受任何影响的情况下对内网设备向外网设备发起的网络连接进行检测,内网设备无需暂停服务,能够避免对内网设备的正常工作产生影响。
下面结合具体的实施例对本申请的方案进行说明。
图3为本申请实施例提供的设备建立连接示意图,如图3所示,包括交换机30、内网设备31和外网设备32,当内网设备31要与外网设备32建立连接时,内网设备31和外网设备32之间会进行信令交互,内网设备31和外网设备32之间的交互均需要通过交换机30。
首先,内网设备31向外网设备32发送建立连接请求,外网设备32在接收到内网设备31发送的建立连接请求之后,能够获知内网设备31要与外网设备32建立连接,此后外网设备32会向内网设备31发送回复信息,回复信息用于告知内网设备31是否可与其建立连接,若是,则内网设备31会向外网设备发送告知建立连接的消息。
图3的示例中,内网设备31向外网设备发送建立连接请求、外网设备向内网设备31发送回复信息以及内网设备31向外网设备发送告知建立连接的消息等,均属于内网设备31和外网设备32之间的信令交互信息。在内网设备31和外网设备32之间进行交互,需要从相应的数据包中获取源地址和目标地址,在图3中,源地址即为内网设备31的地址,目标地址即为外网设备32的地址。
在内网设备31和外网设备32正常建立连接的过程中,内网设备31和外网设备32之间会有如上的三次交互和信息传输的过程,即内网设备和外网设备的“三次握手”过程。需要说明的是,由于内网设备与交换机相连,因此内网设备31所有发出去的数据、信令均要通过交换机发送出去,同时,外网设备32向内网设备31发送的所有的数据、信令等,也均是通过交换机然后到达内网设备31的,因此,交换机中包括了内网设备和外网设备的所有流量以及交互的过程。图3中示例的是内网设备31和外网设备32之间的信息传输,本领域技术人员可以获知,内网设备31和外网设备32之间还包括交换机。
图4为本申请实施例提供的设备断开连接示意图,如图4所示,包括内交换机40、网设备41和外网设备42,当内网设备41要与外网设备42断开连接时,内网设备41和外网设备42之间会进行信令交互,内网设备41和外网设备42之间的交互均需要通过交换机40。
以内网设备41主动断开连接为例,首先,内网设备41向外网设备42发送断开连接的消息,告知外网设备42想要断开连接,外网设备42在收到内网设备41断开连接的消息后,向内网设备41发送消息告知内网设备41已收到内网设备41发送的断开连接的消息。然后,外网设备42会向内网设备41发送消息告知内网设备41也准备与内网设备41断开连接,并开始断开连接的过程,最后内网设备41告知已收到断开连接的消息。
在内网设备41和外网设备42正常断开连接的过程中,内网设备41和外网设备42之间会有如上的四次交互和信息传输的过程,即内网设备和外网设备的“四次挥手”过程。需要说明的是,由于内网设备与交换机相连,因此内网设备41所有发出去的数据、信令均要通过交换机发送出去,同时,外网设备42向内网设备41发送的所有的数据、信令等,也均是通过交换机然后到达内网设备41的,因此,交换机中包括了内网设备和外网设备的所有流量以及交互的过程。
在如上的图3和图4中,示例了内网设备和外网设备建立连接的过程以及断开连接的过程,图3和图4中,示例的均为正常的内网设备和外网设备之间建立连接以及断开连接的过程。在内网设备和外网设备之间正常建立连接以及断开连接的过程中,内网设备没有对外网设备发起网络攻击,因此内网设备在传输的数据包中的源地址为内网设备真实的地址,此时的数据包为正常数据包。正常数据包中的源地址对应的内网设备和目标地址对应的外网设备能够建立连接过程。而当内网设备向外网设备发起网络攻击时,由于内网设备采用的是伪源地址,因此无法成功与外网设备建立连接。下面将结合图5对该过程进行说明。
图5为本申请实施例提供的网络攻击示意图,如图5所示,包括交换机50、内网设备51和外网设备52,内网设备51和外网设备52之间的交互均会通过交换机50。
当内网设备51向外网设备52发起攻击时,内网设备51会采用一个伪源地址与外网设备52进行数据传输。首先,内网设备51会向外网设备52发送建立连接请求,外网设备52在接收到内网设备51发送的建立连接请求之后,能够获知内网设备51要与外网设备52建立连接,此后外网设备52会向内网设备51发送回复信息,告知内网设备51是否可与其建立连接。若是,则外网设备52会为内网设备51分配相应的资源或内存。但是由于内网设备51采用的是伪源地址与外网设备52进行交互的,因此实际上内网设备51和外网设备52通过这个伪源地址是无法建立连接的。相对于图3示例的“三次握手”的过程,在内网设备向外网设备发起网络攻击的情况下,只有“前两次握手”,而并没有最后一次,即不存在内网设备向外网设备发送告知建立连接的消息。
尽管如此,内网设备51和外网设备52之间无法建立连接,但是由于内网设备51向外网设备52发送了建立连接的请求,外网设备52仍然会为这次的请求分配一定的资源,而分配的这部分资源由于内网设备和外网设备之间建立连接的失败导致无法被使用,从而对外网设备的资源形成了大量的占用。若此时有其他的设备希望与外网设备52建立连接并进行数据传输,由于外网设备52的资源被大量占用,从而导致外网设备52无法与其他设备进行正常的数据交互,内网设备51攻击外网设备52成功。
图4示例的是内网设备与外网设备断开连接的过程,可以理解的是,只有内网设备与外网设备建立了连接,才有后续的断开连接的步骤。而根据图5的示例可知,当内网设备通过伪造源地址来对外网设备发起网络攻击时,内网设备是无法与外网设备建立连接的,从而也就不存在断开连接的过程。因此,在内网设备向外网设备发起网络攻击的情形下,也不存在“四次挥手”的过程。
通常,网络中的主要流量都是传输控制协议(Transmission Control Protocol,TCP)流量。正常的TCP流量可以根据TCP状态机和流量五元组来跟踪一个连接,而攻击流量由于伪造了源IP,无法和目标地址建立连接。在本发明中,通过对TCP的三次握手和四次挥手进行跟踪,维护一个TCP连接的哈希表,用源和目的地址端口作为索引,可以为每个正常数据包找到其所属的TCP连接。而无法找到对应连接的数据包就是异常数据包,其目标地址就可能是攻击目标。
图6为本申请实施例提供的网络攻击检测示意图,如图6所示,包括交换机60、内网设备61、外网设备62和服务器63,交换机60下的内网中可能包括多个内网设备61。内网设备61和外网设备62之间进行的所有的流量交互均会经过交换机60。
本申请实施例采用的方案是,交换机60将所有经过的流量交互均复制一份,然后发送给服务器,由服务器判断是否存在内网设备在对外网设备发起网络攻击,以及来确定被攻击的外网设备具体是哪一个。
可选的,交换机60对所有经过的流量交互复制的方式是,当任意一个流量数据经过交换机60时,交换机60对该流量数据进行复制操作,复制完成后,将复制的流量数据发送给服务器63。当不断有流量数据经过交换机60时,交换机60不断对经过的流量数据进行复制,服务器63不断的接收交换机60复制后发送的流量数据,保证流量数据接收的实时性。
服务器63从交换机60处获取了复制的流量数据后,对流量数据中的数据包进行跟踪。针对每个数据包,首先获取流量数据中与该数据包对应的信令交互信息。其中,数据包对应的信令交互信息即为图3中示例的“三次握手”以及图4中示例的“四次挥手”等等。
若根据该数据包对应的信令交互信息确定该数据包的源地址和目标地址未建立连接关系,则确定该数据包为异常数据包。若该数据包的源地址和目标地址建立了连接关系,则该数据包为正常数据包。
通过信令交互信息,能够对正常的数据包和异常的数据包进行区分,对于正常的数据包,可以排除其与网络攻击相关的可能性,后续只需要针对异常数据包进行网络检测的分析,减小了检测的范围,从而有利于后续的被攻击的外网设备的确定。
通过将数据包划分为正常数据包和异常数据包,从而完成了异常流量的区分过程。之后,还需要进一步确定被攻击的外网设备是哪一个,才能够采取相应的措施。由于数据包中的目标地址即为外网设备的地址,因此可以根据多个异常数据包中每个异常数据包的目标地址来确定被攻击的外网设备。
由于异常数据包的目标地址可能分布在整个外部公网的IP地址池内,在内存中保存全部的IP地址的统计数据是非常庞大的,根据整个外部公网的IP地址池内的地址来进行被攻击的外网设备的确定是十分困难的。
基于此,本申请实施例提供了一种将目标地址进行分段并分别进行统计的方法,来减小统计的工作量。
图7为本申请实施例提供的确定被攻击的外网设备的方法流程示意图,如图7所示,包括:
S71,分别将每个异常数据包的目标地址划分为N段,得到N个目标地址组,其中,第i个目标地址组中包括每个异常数据包的第i段子目标地址,各异常数据包的第i段子目标地址的位数相同,N为大于1的正整数,i为大于或等于1且小于或等于N的整数。
各目标地址的位数是相同的,针对每个异常数据包中的目标地址,将其划分为N段,例如可以划分为2段、3段、4段等等。划分的段数可以根据实际需要确定,但是对每个目标地址均进行相同方式的划分。
例如,将每个目标地址划分为2段,第一段包括目标地址的前3位,第二段包括目标地址的后3位,则划分后可得到2个目标地址组。第一个目标地址组中包括每个目标地址的第1段子目标地址,第1段子目标地址为对应的目标地址的前3位;第二个目标地址组中包括每个目标地址的第2段子目标地址,第2段子目标地址为对应的目标地址的后3位。
S72,根据各子目标地址的频次,分别对每个目标地址组中的多个子目标地址进行排序,得到每个目标地址组的排序结果。
在得到N个目标地址组后,对每个目标地址组中包括子目标地址进行排序。本申请实施例中,由于是针对网络攻击进行的检测,而网络攻击的流量目标较为集中,因此可根据各个子目标地址的出现的频次来进行排序,出现频次更高的子目标地址更有可能是被攻击的外网设备的目标地址的一部分。
具体的,针对任意一个目标地址组k,确定目标地址组k中的每个子目标地址以及对应的频次,然后,根据每个子目标地址以及对应的频次,对目标地址组k中的子目标地址进行排序,得到频次从高到低排列的子目标地址。
S73,根据每个目标地址组的排序结果,确定所述被攻击的外网设备。
在得到目标地址组的排序结果后,即可根据每个目标地址组的排序结果确定被攻击的外网设备。具体的,根据每个目标地址组的排序结果,得到每个目标地址组中频次最高的子目标地址;然后,对每个目标地址组中频次最高的子目标地址进行拼接,得到攻击地址;最后,根据攻击地址,确定被攻击的外网设备,其中,被攻击的外网设备的IP地址即为该攻击地址。
通过上述的方法,能够根据流量数据中的数据包的目标地址,确定被攻击的网络设备,且通过目标地址分段统计的方式,能够减小统计的计算量和内存消耗,无需人工操作,能够较准确的定位被攻击的网络设备。
下面将结合图8对该过程进行说明。
图8为本申请实施例提供的攻击地址确定示意图,如图8所示,在集合80中包括所有的目标地址,以目标地址为IPv4地址为例,一个IPV4地址是32位整数。
将每个目标地址划分为2段,包括高16位的子目标地址和低16位的子目标地址,从而得到两个目标地址组。如图8中所示,包括第一目标地址组81和第二目标地址组82。
然后,分别对每个目标地址组中包括的子目标地址进行排序,例如在图8中,第一目标地址组81中,频次最高的子目标地址为a.b,第二目标地址组82中,频次最高的子目标地址为c.d,则将a.b和c.d进行拼接,得到攻击地址a.b.c.d。根据该攻击地址,即可确定被攻击的外网设备。
在确定了被攻击的外网设备后,服务器还可以向交换机发送控制指令,控制指令中包括该攻击地址。交换机接收该控制指令后,根据该控制指令切断目标地址为该攻击地址的数据包的传输。例如,在确定了被攻击的外网设备后,服务器可以向交换机发送BGP宣告,将目标地址为该攻击地址的流量进行黑洞封禁,切断了对外网设备的网络攻击,从而减小了带宽压力。其他设备之间的流量交互可以维持原样,不受影响。
本申请实施例提供的网络攻击检测方法,无需进行人工分析,而是首先从交换机获取预设时段内的流量数据,然后根据流量数据中的多个数据包的源地址和目标地址,在多个数据包中确定多个异常数据包,内网设备向外网设备发起的网络攻击中的异常流量就包括在异常数据包中,然后对多个异常数据包中的目标地址进行划分,对划分后的子目标地址进行排序,来确定被攻击的外网设备。本申请实施例提供的方案,可以在整个内网设备的网络连接不受任何影响的情况下对内网设备向外网设备发起的网络连接进行检测,内网设备无需暂停服务,能够避免对内网设备的正常工作产生影响。同时,通过对目标地址进行划分的方式来确定被攻击的外网设备,能够极大的减小统计和排序的计算量和占据的内存。
图9为本申请实施例提供的又一网络攻击检测方法的流程示意图,该方法应用于交换机,所述交换机与服务器连接,所述方法包括:
S91,向所述服务器发送预设时段内的流量数据,所述流量数据中包括多个数据包,其中,所述交换机与多个内网设备连接,所述多个数据包为所述多个内网设备通过所述交换机向外网设备发送的;
S92,从所述服务器接收控制指令,所述控制指令中包括攻击地址;
S93,根据所述控制指令,切断目标地址为所述攻击地址的数据包的传输。
图9所示的方法为交换机侧的方法,在上述实施例中已进行介绍,具体的方案请参见上述实施例,此处不再赘述。
图10为本申请实施例提供的网络攻击检测装置的结构示意图,如图10所示,该网络攻击检测装置100包括获取模块101、第一处理模块102和第二处理模块103,其中:
获取模块101用于从交换机获取预设时段内的流量数据,所述流量数据中包括多个数据包,其中,所述交换机与多个内网设备连接,所述多个数据包为所述多个内网设备通过所述交换机向外网设备发送的;
第一处理模块102用于根据所述多个数据包的源地址和目标地址,在所述多个数据包中确定多个异常数据包,所述目标地址为接收数据包的外网设备的地址;
第二处理模块103用于根据所述多个异常数据包,确定被攻击的外网设备。
在一种可能的实施方式中,所述第一处理模块102具体用于:
针对每个数据包,获取所述流量数据中与所述数据包对应的信令交互信息;
若根据所述流量数据中与所述数据包对应的信令交互信息确定所述数据包的源地址和目标地址未建立连接关系,则确定所述数据包为异常数据包。
在一种可能的实施方式中,所述第二处理模块103具体用于:
获取所述多个异常数据包中每个异常数据包的目标地址;
根据每个异常数据包的目标地址,确定所述被攻击的外网设备。
在一种可能的实施方式中,所述第二处理模块103具体用于:
分别将每个异常数据包的目标地址划分为N段,得到N个目标地址组,其中,第i个目标地址组中包括每个异常数据包的第i段子目标地址,各异常数据包的第i段子目标地址的位数相同,N为大于1的正整数,i为大于或等于1且小于或等于N的整数;
根据各子目标地址的频次,分别对每个目标地址组中的多个子目标地址进行排序,得到每个目标地址组的排序结果;
根据每个目标地址组的排序结果,确定所述被攻击的外网设备。
在一种可能的实施方式中,所述第二处理模块103具体用于:
针对任意一个目标地址组k,确定所述目标地址组k中的每个子目标地址以及对应的频次;
根据每个子目标地址以及对应的频次,对所述目标地址组k中的子目标地址进行排序,得到频次从高到低排列的子目标地址。
在一种可能的实施方式中,所述第二处理模块103具体用于:
根据每个目标地址组的排序结果,得到每个目标地址组中频次最高的子目标地址;
对每个目标地址组中频次最高的子目标地址进行拼接,得到攻击地址;
根据所述攻击地址,确定所述被攻击的外网设备。
在一种可能的实施方式中,所述第二处理模块103还用于:
向所述交换机发送控制指令,所述控制指令中包括所述攻击地址,所述控制指令用于指示交换机切断目标地址为所述攻击地址的数据包的传输。
本发明实施例提供的装置,可用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图11为本申请实施例提供的网络攻击检测装置的结构示意图,如图11所示,该网络攻击检测装置110包括发送模块111、接收模块112和处理模块113,其中:
发送模块111用于向服务器发送预设时段内的流量数据,所述流量数据中包括多个数据包,其中,交换机与多个内网设备连接,所述多个数据包为所述多个内网设备通过所述交换机向外网设备发送的;
接收模块112用于从所述服务器接收控制指令,所述控制指令中包括攻击地址;
处理模块113用于根据所述控制指令,切断目标地址为所述攻击地址的数据包的传输。
本发明实施例提供的装置,可用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
根据本申请的实施例,本申请还提供了一种电子设备和一种可读存储介质。
根据本申请的实施例,本申请还提供了一种计算机程序产品,计算机程序产品包括:计算机程序,计算机程序存储在可读存储介质中,电子设备的至少一个处理器可以从可读存储介质读取计算机程序,至少一个处理器执行计算机程序使得电子设备执行上述任一实施例提供的方案。
如图12所示,是根据本申请实施例的网络攻击检测方法的电子设备的框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本申请的实现。
如图12所示,该电子设备包括:一个或多个处理器1201、存储器1202,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在电子设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示GUI的图形信息的指令。在其它实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个电子设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图12中以一个处理器1201为例。
存储器1202即为本申请所提供的非瞬时计算机可读存储介质。其中,所述存储器存储有可由至少一个处理器执行的指令,以使所述至少一个处理器执行本申请所提供的网络攻击检测方法。本申请的非瞬时计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行本申请所提供的网络攻击检测方法。
存储器1202作为一种非瞬时计算机可读存储介质,可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块,如本申请实施例中的网络攻击检测方法对应的程序指令/模块(例如,附图10所示的获取模块101、第一处理模块102和第二处理模块103)。处理器1201通过运行存储在存储器1202中的非瞬时软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例中的网络攻击检测方法。
存储器1202可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据网络攻击检测电子设备的使用所创建的数据等。此外,存储器1202可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些实施例中,存储器1202可选包括相对于处理器1201远程设置的存储器,这些远程存储器可以通过网络连接至网络攻击检测的电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
网络攻击检测方法的电子设备还可以包括:输入装置1203和输出装置1204。处理器1201、存储器1202、输入装置1203和输出装置1204可以通过总线或者其他方式连接,图12中以通过总线连接为例。
输入装置1203可接收输入的数字或字符信息,以及产生与网络攻击检测的电子设备的用户设置以及功能控制有关的键信号输入,例如触摸屏、小键盘、鼠标、轨迹板、触摸板、指示杆、一个或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置1204可以包括显示设备、辅助照明装置(例如,LED)和触觉反馈装置(例如,振动电机)等。该显示设备可以包括但不限于,液晶显示器(LCD)、发光二极管(LED)显示器和等离子体显示器。在一些实施方式中,显示设备可以是触摸屏。
此处描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、专用ASIC(专用集成电路)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
这些计算程序(也称作程序、软件、软件应用、或者代码)包括可编程处理器的机器指令,并且可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。如本文使用的,术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置(例如,磁盘、光盘、存储器、可编程逻辑装置(PLD)),包括,接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发申请中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本申请公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。

Claims (12)

1.一种网络攻击检测方法,其特征在于,应用于服务器,所述服务器与交换机连接,所述方法包括:
从所述交换机获取预设时段内的流量数据,所述流量数据中包括多个数据包,其中,所述交换机与多个内网设备连接,所述多个数据包为所述多个内网设备通过所述交换机向外网设备发送的;
根据所述多个数据包的源地址和目标地址,在所述多个数据包中确定多个异常数据包,所述目标地址为接收数据包的外网设备的地址;
获取所述多个异常数据包中每个异常数据包的目标地址;
分别将每个异常数据包的目标地址划分为N段,得到N个目标地址组,其中,第i个目标地址组中包括每个异常数据包的第i段子目标地址,各异常数据包的第i段子目标地址的位数相同,N为大于1的正整数,i为大于或等于1且小于或等于N的整数;
根据各子目标地址的频次,分别对每个目标地址组中的多个子目标地址进行排序,得到每个目标地址组的排序结果;
根据每个目标地址组的排序结果,得到每个目标地址组中频次最高的子目标地址;
对每个目标地址组中频次最高的子目标地址进行拼接,得到攻击地址;
根据所述攻击地址,确定被攻击的外网设备。
2.根据权利要求1所述的方法,其特征在于,根据所述多个数据包的源地址和目标地址,在所述多个数据包中确定多个异常数据包,包括:
针对每个数据包,获取所述流量数据中与所述数据包对应的信令交互信息;
若根据所述流量数据中与所述数据包对应的信令交互信息确定所述数据包的源地址和目标地址未建立连接关系,则确定所述数据包为异常数据包。
3.根据权利要求2所述的方法,其特征在于,根据各子目标地址的频次,分别对每个目标地址组中的多个子目标地址进行排序,得到每个目标地址组的排序结果,包括:
针对任意一个目标地址组k,确定所述目标地址组k中的每个子目标地址以及对应的频次;
根据每个子目标地址以及对应的频次,对所述目标地址组k中的子目标地址进行排序,得到频次从高到低排列的子目标地址。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
向所述交换机发送控制指令,所述控制指令中包括所述攻击地址,所述控制指令用于指示交换机切断目标地址为所述攻击地址的数据包的传输。
5.一种网络攻击检测方法,其特征在于,应用于交换机,所述交换机与服务器连接,所述方法包括:
向所述服务器发送预设时段内的流量数据,所述流量数据中包括多个数据包,其中,所述交换机与多个内网设备连接,所述多个数据包为所述多个内网设备通过所述交换机向外网设备发送的;
从所述服务器接收控制指令,所述控制指令中包括攻击地址;所述攻击地址是所述服务器从所述多个数据包中获取多个异常数据包中每个异常数据包的目标地址后,分别将每个异常数据包的目标地址划分为N段,得到分别包括每个异常数据包的一段子目标地址的N个目标地址组,并根据各子目标地址的频次,分别对每个目标地址组中的多个子目标地址进行排序,得到每个目标地址组的排序结果,根据所述每个目标地址组的排序结果得到每个目标地址组中频次最高的子目标地址,对每个目标地址组中频次最高的子目标地址进行拼接得到的;其中,所述N个目标地址组的第i个目标地址组中包括每个异常数据包的第i段子目标地址,各异常数据包的第i段子目标地址的位数相同,N为大于1的正整数,i为大于或等于1且小于或等于N的整数;
根据所述控制指令,切断目标地址为所述攻击地址的数据包的传输。
6.一种网络攻击检测装置,其特征在于,包括:
获取模块,用于从交换机获取预设时段内的流量数据,所述流量数据中包括多个数据包,其中,所述交换机与多个内网设备连接,所述多个数据包为所述多个内网设备通过所述交换机向外网设备发送的;
第一处理模块,用于根据所述多个数据包的源地址和目标地址,在所述多个数据包中确定多个异常数据包,所述目标地址为接收数据包的外网设备的地址;
第二处理模块,用于获取所述多个异常数据包中每个异常数据包的目标地址;
分别将每个异常数据包的目标地址划分为N段,得到N个目标地址组,其中,第i个目标地址组中包括每个异常数据包的第i段子目标地址,各异常数据包的第i段子目标地址的位数相同,N为大于1的正整数,i为大于或等于1且小于或等于N的整数;
根据各子目标地址的频次,分别对每个目标地址组中的多个子目标地址进行排序,得到每个目标地址组的排序结果;
根据每个目标地址组的排序结果,得到每个目标地址组中频次最高的子目标地址;
对每个目标地址组中频次最高的子目标地址进行拼接,得到攻击地址;
根据所述攻击地址,确定被攻击的外网设备。
7.根据权利要求6所述的装置,其特征在于,所述第一处理模块具体用于:
针对每个数据包,获取所述流量数据中与所述数据包对应的信令交互信息;
若根据所述流量数据中与所述数据包对应的信令交互信息确定所述数据包的源地址和目标地址未建立连接关系,则确定所述数据包为异常数据包。
8.根据权利要求7所述的装置,其特征在于,所述第二处理模块具体用于:
针对任意一个目标地址组k,确定所述目标地址组k中的每个子目标地址以及对应的频次;
根据每个子目标地址以及对应的频次,对所述目标地址组k中的子目标地址进行排序,得到频次从高到低排列的子目标地址。
9.根据权利要求8所述的装置,其特征在于,所述第二处理模块还用于:
向所述交换机发送控制指令,所述控制指令中包括所述攻击地址,所述控制指令用于指示交换机切断目标地址为所述攻击地址的数据包的传输。
10.一种网络攻击检测装置,其特征在于,包括:
发送模块,用于向服务器发送预设时段内的流量数据,所述流量数据中包括多个数据包,其中,交换机与多个内网设备连接,所述多个数据包为所述多个内网设备通过所述交换机向外网设备发送的;
接收模块,用于从所述服务器接收控制指令,所述控制指令中包括攻击地址;所述攻击地址是所述服务器从所述多个数据包中获取多个异常数据包中每个异常数据包的目标地址后,分别将每个异常数据包的目标地址划分为N段,得到分别包括每个异常数据包的一段子目标地址的 N个目标地址组,并根据各子目标地址的频次,分别对每个目标地址组中的多个子目标地址进行排序,得到每个目标地址组的排序结果,根据所述每个目标地址组的排序结果得到每个目标地址组中频次最高的子目标地址,对每个目标地址组中频次最高的子目标地址进行拼接得到的;其中,所述N个目标地址组的第i个目标地址组中包括每个异常数据包的第i段子目标地址,各异常数据包的第i段子目标地址的位数相同,N为大于1的正整数,i为大于或等于1且小于或等于N的整数;
处理模块,用于根据所述控制指令,切断目标地址为所述攻击地址的数据包的传输。
11.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-4中任一项所述的方法,或者,以使所述至少一个处理器能够执行权利要求5中所述的方法。
12.一种存储有计算机程序的非瞬时计算机可读存储介质,其特征在于,所述计算机程序用于使所述计算机执行权利要求1-4中任一项所述的方法,或者,所述计算机程序用于使所述计算机执行权利要求5中所述的方法。
CN202010214300.5A 2020-03-24 2020-03-24 网络攻击检测方法、装置、设备以及存储介质 Active CN113452651B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010214300.5A CN113452651B (zh) 2020-03-24 2020-03-24 网络攻击检测方法、装置、设备以及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010214300.5A CN113452651B (zh) 2020-03-24 2020-03-24 网络攻击检测方法、装置、设备以及存储介质

Publications (2)

Publication Number Publication Date
CN113452651A CN113452651A (zh) 2021-09-28
CN113452651B true CN113452651B (zh) 2022-10-21

Family

ID=77806560

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010214300.5A Active CN113452651B (zh) 2020-03-24 2020-03-24 网络攻击检测方法、装置、设备以及存储介质

Country Status (1)

Country Link
CN (1) CN113452651B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114785579B (zh) * 2022-04-14 2022-11-25 福建实达集团股份有限公司 一种应用于云边端计算的网络攻击分析方法及服务器

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007325293A (ja) * 2002-08-20 2007-12-13 Nec Corp 攻撃検知システムおよび攻撃検知方法
CN101741847A (zh) * 2009-12-22 2010-06-16 北京锐安科技有限公司 一种ddos攻击检测方法
CN102546587A (zh) * 2011-11-16 2012-07-04 深信服网络科技(深圳)有限公司 防止网关系统会话资源被恶意耗尽的方法及装置
CN105207977A (zh) * 2014-06-24 2015-12-30 阿里巴巴集团控股有限公司 Tcp数据包处理方法及装置
CN107241301A (zh) * 2016-03-29 2017-10-10 阿里巴巴集团控股有限公司 防御反射攻击的方法、装置和系统
CN110798426A (zh) * 2018-08-01 2020-02-14 深信服科技股份有限公司 一种洪水类DoS攻击行为的检测方法、系统及相关组件

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007325293A (ja) * 2002-08-20 2007-12-13 Nec Corp 攻撃検知システムおよび攻撃検知方法
CN101741847A (zh) * 2009-12-22 2010-06-16 北京锐安科技有限公司 一种ddos攻击检测方法
CN102546587A (zh) * 2011-11-16 2012-07-04 深信服网络科技(深圳)有限公司 防止网关系统会话资源被恶意耗尽的方法及装置
CN105207977A (zh) * 2014-06-24 2015-12-30 阿里巴巴集团控股有限公司 Tcp数据包处理方法及装置
CN107241301A (zh) * 2016-03-29 2017-10-10 阿里巴巴集团控股有限公司 防御反射攻击的方法、装置和系统
CN110798426A (zh) * 2018-08-01 2020-02-14 深信服科技股份有限公司 一种洪水类DoS攻击行为的检测方法、系统及相关组件

Also Published As

Publication number Publication date
CN113452651A (zh) 2021-09-28

Similar Documents

Publication Publication Date Title
US20190012214A1 (en) Method of Facilitating Live Migration of Virtual Machines
CN103607399B (zh) 基于暗网的专用ip网络安全监测系统及方法
US10616246B2 (en) SDN controller
CN111414208B (zh) 应用程序的启动方法、装置及设备
US10587634B2 (en) Distributed denial-of-service attack detection based on shared network flow information
WO2015175007A1 (en) Method to enable deep packet inspection (dpi) in openflow-based software defined network (sdn)
CN111726413B (zh) 设备连接方法和装置
CN109714230B (zh) 一种流量监控方法、装置和计算设备
US9800593B2 (en) Controller for software defined networking and method of detecting attacker
US20190319923A1 (en) Network data control method, system and security protection device
US12052273B2 (en) Virtual switch-based threat defense for networks with multiple virtual network functions
US20190327155A1 (en) Tracking changes in network configurations
CN113452651B (zh) 网络攻击检测方法、装置、设备以及存储介质
CN113364804A (zh) 一种流量数据的处理方法和装置
CN111865688A (zh) 网关监测方法、装置、电子设备及存储介质
CN110958250B (zh) 一种端口监控方法、装置和电子设备
CN114697391B (zh) 数据处理方法、装置、设备以及存储介质
US9426022B2 (en) SEA failover mechanism with minimized packet losses
CN104243473B (zh) 一种数据传输的方法以及装置
CN106453367B (zh) 一种基于sdn的防地址扫描攻击的方法及系统
CN113825170A (zh) 用于确定网络通道的方法和装置
CN110213176B (zh) 交换机的报文处理方法、装置、设备及介质
JP2018010441A (ja) ログ収集システム、ログ収集サーバ、ログ収集方法、
US20120110665A1 (en) Intrusion Detection Within a Distributed Processing System
CN113949651B (zh) 网络传输方法、装置、设备、存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant