CN115794371A - 防御网络攻击的方法、装置和计算机设备和存储介质 - Google Patents

防御网络攻击的方法、装置和计算机设备和存储介质 Download PDF

Info

Publication number
CN115794371A
CN115794371A CN202211196479.1A CN202211196479A CN115794371A CN 115794371 A CN115794371 A CN 115794371A CN 202211196479 A CN202211196479 A CN 202211196479A CN 115794371 A CN115794371 A CN 115794371A
Authority
CN
China
Prior art keywords
command
packet
user
time
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211196479.1A
Other languages
English (en)
Inventor
王柏森
紀柏雄
盧彥呈
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Inspur Intelligent Technology Co Ltd
Original Assignee
Suzhou Inspur Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Inspur Intelligent Technology Co Ltd filed Critical Suzhou Inspur Intelligent Technology Co Ltd
Priority to CN202211196479.1A priority Critical patent/CN115794371A/zh
Publication of CN115794371A publication Critical patent/CN115794371A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种防御网络攻击的方法、装置、计算机设备和存储介质。所述方法包括:接收用户使用的命令;判断所使用的命令是否存在尝试越权或是异常行为;若是,则对该用户停止服务第一时长,同时收集所使用的命令对应的系统日志汇总形成预警文档并发送至管理端;当对该用户停止服务第一时长后,恢复对该用户的服务;若否,则在不同的时间段内对每一进程进行分类,并对应分配占用资源比例。采用本方法能够在检测到所使用的命令存在尝试越权或是异常行为时,通过利用停止服务第一时长的方式可避免使用者尝试越权或是异常行为,同时形成预警文档可进行跟踪监控,且利用分配占用资源比例方式限制了网络攻击占用资源而导致的延宕或断线。

Description

防御网络攻击的方法、装置和计算机设备和存储介质
技术领域
本申请涉及网络安全技术领域,特别是涉及一种防御网络攻击的方法、装置、计算机设备和存储介质。
背景技术
随着网络安全意识的逐渐普及与提升,有越来越多的组织布署了安全防御设备或是上网行为管控机制,系统日志服务器的信息除了能帮助IT人员得知组织中所发生的网络安全威胁事件之外,对于人员的网络使用行为也可以有更完整的了解。现今大多数的网络安全设备、计算机操作系统都已支持透过syslog协议的方式将日志输出,IT管理人员则透过日志收集与分析的方式掌握网络使用行为以及跟网络安全相关的事件。
从现有的技术,可以从log当中知道远程机器目前的状态,包含有哪些进程(process)正在运行中,或是哪个IP来源的封包正在对远程机器做甚么事情。针对大量封包的进入,可以利用第三方套件筛选出这些数据包,并了解关于网络用量的讯息,诸如某个客户端IP发送了多少封包、总共传送了的少字节,某个服务器接收了多少登陆(Session)请求、回应了多少封包与多少字节,某个应用(例如TCP 80)占据多少带宽等。以ICMP流量的网络流为例,其方法是由攻击者故意发送大于65535字节的IP数据包给对方,操作系统收到一个特大号的IP包时候,它们不知道该做什么,服务器会被冻结、宕机或重新启动。因此检测ICMP攻击就可以根据下面的条件:在连续的几个时间段,假设每个时间段为5分钟,各个时间段内ICMP报文大于5000。符合这个条件的,可以认为受到了ICMP攻击。
使用网络流数据来分析黑客入侵及攻击,包括利用来源地址(the source IPaddress)、目的地址(the destination IP address)、时间(time duration)、传输协议与埠号(transport protocol and port number)、联机数(the number of session/flow)、封包数(the number of packet)与传输量(traffic)。就像大数据的原理一般,我们可以透过分析庞大的IP资料,找出其行为规律性等规则,藉以分辨是否为黑客入侵或攻击的行为,透过syslog以及第三方套件收集到的报文可以很好的帮助我们对这些网络异常进行检测和分析。
随着资安意识的逐渐普及与提升,有越来越多的组织布署了安全防御设备或是上网行为管控机制,我们除了可以透过Syslog的讯息得知组织中所发生的资安威胁事件之外,对于人员的网络使用行为(例如P2P下载、使用通讯软件、浏览哪些网站等)是否异常或是多次尝试越权的行为可以有更完整的了解。IT管理人员可以透过日志收集与分析的方式掌握网络使用行为以及跟资安相关的事件。
目前的syslog仅能做到储存日志(log)以及传送日志至远程服务器(Server),以提供IT人员可以查看究竟发生了甚么问题,对于发生问题后的辨别都还得靠人工,但人员无法常常随时盯着log或是机器看。如果网络发生传输问题或是服务器的服务出现异常状况时,技术人员无法及时去除错,或是没有人力及时去了解网络设备或是服务器的健康状态,所以当发生问题时,可能会使得机器延宕,或是断线(crash),导致服务一段时间无法使用。并且随着组织内网络架构逐渐庞大,采购设备的品牌也越来越多样,对于人员说无形间也就提升了维运与除错的难度。所以当遭受到封包攻击时,或是机器被不当使用,或是其他原因导致断线,如果当下没有人员去实时做判断,则会呈现网络被攻击导致断线或是被入侵或是无法使用的状态。
发明内容
基于此,有必要针对上述技术问题,一方面提供一种防御网络攻击的方法、装置、计算机设备和存储介质,能够分辨目前使用者的使用情景以及是否会造成机器无法使用的行为,或是使用者有尝试越权去控制交换机的行为,在技术人员短时间内不在场或是无法解决时提供解决方案,用以解决当封包量过多,让CPU的附载过大,导致机台延宕或是断线的问题。
本申请另一方面能依照日志中每个进程处理的时间点以及时长,来判断哪些进程是需要常驻的,哪些进程是在某些时段比较活跃的方式来分配资源,以达到节能的效果。
一方面,提供一种防御网络攻击的方法,所述方法包括:
接收用户使用的命令;
判断所使用的命令是否存在尝试越权或是异常行为;
若是,则对该用户停止服务第一时长,同时收集所使用的命令对应的系统日志汇总形成预警文档并发送至管理端;当对该用户停止服务第一时长后,恢复对该用户的服务;
若否,则在不同的时间段内对每一进程进行分类,并对应分配占用资源比例。
在其中一个实施例中,所述判断所使用的命令是否存在尝试越权或是异常行为的步骤包括:
检测用户使用的命令的种类;
当所使用的命令的种类为尝试存取root权限命令时,判定所使用的命令为尝试越权;
当所使用的命令的种类为暴力测试账号与密码时,判定所使用的命令为异常行为。
在其中一个实施例中,当所使用的命令的种类为控制交换机命令时,判定所使用的命令为尝试越权或异常行为。
在其中一个实施例中,当所使用的命令不存在尝试越权或是异常行为时,所述在不同的时间段内对每一进程进行分类,并对应分配占用资源比例步骤包括:
收集系统日志及进程记录;
检查所有进程的使用时间和使用频率;
在不同的时间段内根据使用时间和使用频率对每一进程分类为大量使用进程和非大量使用进程;
设置所述大量使用进程分配的资源大于所述非大量使用进程分配的资源。
在其中一个实施例中,所述在不同的时间段内根据使用时间和使用频率对每一进程分类为大量使用进程和非大量使用进程,包括:
将一天时长划分为多个使用时间段,在每一使用时间段内统计所有进程的使用时间和使用频率;
当某一进程在该使用时间段内的总使用时间大于等于第一阈值时,将该进程归类为大量使用进程,反之将该进程归类为非大量使用进程;
当某一进程在该使用时间段内的使用频率大于等于第二阈值时,将该进程归类为大量使用进程,反之将该进程归类为非大量使用进程。
在其中一个实施例中,当所使用的命令不存在尝试越权或是异常行为时,还包括步骤:
接收导入的流量封包;
将流量封包的信息与系统日志进行分析比较,确定封包是否是攻击封包;
若是,阻断发送攻击封包的IP拦截攻击封包;
若否,限制流量控制封包进入的速度,同时收集数据以及IP并发送到管理端。
在其中一个实施例中,所述将流量封包的信息与系统日志进行分析比较,确定封包是否是攻击封包的步骤包括:
分析系统日志获取封包记录在两个IP之间传输用量统计;
查找封包资料内容带有源IP、源端口号、目标IP、目标端口号、通讯协议、数据包、字节行的IP地址;
在查找的IP地址中将两个IP之间传输用量大于设定的流量阈值的源IP判定为可疑IP地址,将所述可疑IP地址按照使用次数降序排列生成可疑IP名单;
根据所述可疑IP名单中的可疑IP地址将系统日志过滤找到特定IP的数据,以加速对系统日志的筛选;
对特定IP传输的封包内容进行检查与分析,判断封包是否为攻击封包。
另一方面,提供了一种防御网络攻击的装置,所述装置包括:
命令接收模块,用于接收用户使用的命令;
命令检测模块,用于判断所使用的命令是否存在尝试越权或是异常行为;
防御控制模块,用于在所述判断所使用的命令存在尝试越权或是异常行为时,则停止服务第一时长,同时收集所使用的命令对应的系统日志汇总形成预警文档并发送至管理端。
再一方面,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
接收用户使用的命令;
判断所使用的命令是否存在尝试越权或是异常行为;
若是,则对该用户停止服务第一时长,同时收集所使用的命令对应的系统日志汇总形成预警文档并发送至管理端;当对该用户停止服务第一时长后,恢复对该用户的服务;
若否,则在不同的时间段内对每一进程进行分类,并对应分配占用资源比例。
又一方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
接收用户使用的命令;
判断所使用的命令是否存在尝试越权或是异常行为;
若是,则对该用户停止服务第一时长,同时收集所使用的命令对应的系统日志汇总形成预警文档并发送至管理端;当对该用户停止服务第一时长后,恢复对该用户的服务;
若否,则在不同的时间段内对每一进程进行分类,并对应分配占用资源比例。
上述防御网络攻击的方法、装置、计算机设备和存储介质,通过在检测到所使用的命令是否存在尝试越权或是异常行为时,利用停止服务第一时长的方式可避免使用者尝试越权或是异常行为,在技术人员短时间内不在场或是无法解决时提供了解决方案,能解决封包量过多让CPU的附载过大而导致机台延宕或是断线的问题。同时收集所使用的命令对应的系统日志汇总形成预警文档并发送至管理端,可及时对使用者尝试越权或是异常行为进行跟踪监控。而且利用分配占用资源比例方式限制了网络攻击占用资源而导致的延宕或是断线的问题。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有的syslog日志与日志讯息的对应关系图;
图2为一个实施例中防御网络攻击的方法的应用环境图;
图3为一个实施例中防御网络攻击的方法的流程示意图;
图4为一个实施例中防御网络攻击的方法的命令监控处理流程图;
图5为一个实施例中判断所使用的命令是否存在尝试越权或是异常行为的步骤的流程示意图;
图6为一个实施例中所述在不同的时间段内对每一进程进行分类,并对应分配占用资源比例步骤的流程示意图;
图7为一个实施例中防御网络攻击的方法的分配进程资源的流程图;
图8为一个实施例中防御网络攻击的方法的在不同的时间段内根据使用时间和使用频率对每一进程分类为大量使用进程和非大量使用进程的步骤的流程示意图;
图9为一个实施例中防御网络攻击的方法的根据IP拦截攻击封包的流程图;
图10为一个实施例中防御网络攻击的方法的将流量封包的信息与系统日志进行分析比较,确定封包是否是攻击封包的步骤的流程示意图;
图11为一个实施例中防御网络攻击的装置的结构框图;
图12为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
如背景技术所述,syslog是一种标准的协议,基于UDP(用户数据报协议),分为客户端和服务器端,客户端是产生日志讯息的一方,而服务器端负责接收客户端传送来的日志讯息。是让网络装置能够运用标准讯息格式与记录服务器通讯的方法,Syslog日志讯息既可以记录在本地(console、tty、buffer),也可以通过网络传送到syslog服务器。syslog服务器可以对syslog讯息进行统一的储存,或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。完整的syslog日志中包含产生日志的程序模块(Facility)、严重性(Security或Level)、助记符、正文、时间、主机名、IP或程序ID。请参阅图1,这里的facil ity为模块,serverity(严重性)为等级,由这两个信息共同计算出一个PRI头部。HEADER部分包含了时间和主机名。在HEADER和MSG之间有一个空格,MSG是需要记录的日志部分(日志讯息体),也就是说,理论上使用这种格式构造的字符串传送,接收方就能解析出来。
Rsyslog是涵盖Syslog的常用功能,不过在功能和性能上更为出色,它所做的事就是统一记录系统的各个子系统产生的日志。在Rsyslog系统有两个进程分别是klogd和syslogd。而需要两个守护进程是因为内核跟其他信息需要记录的详细程度及格式的不同。
klogd为记录内核信息,系统启动中在登录之前使用的都是物理终端/dev/console,这个时候虚拟终端还没有启动而内核启动日志都存放在/var/log/dmesg文件中,使用dmesg命令可以查看。
Syslogd为记录非内核系统产生的信息,当系统启动/sbin/init程序时产生的日志都存放在以下各个日志文件中。
在rsyslog.conf档案当中,服务器端可以将该主机系统日志传送到一个指定的目录里面,打印机或者是远程主机上面去,进行按IP和日志简单分类存储,与传统的syslog服务器相比,rsyslog具有下列的优势:1)提供Multi-threading功能:同一台机器上支持多子rsyslog进程,可以监听不同端口;2)提供SSL加密功能,除了继续支持udp外,还添加了tcp进行传输的功能。让syslog信息传输不再是明码的形式,提升数据传输的安全性:在日志传输安全方面;3)提供数据库输出功能,可将syslog相关信息储存到数据库服务器上;4)提供过滤功能,用户可自行定义相关的过滤条件,从繁杂的记录文件中取得符合的信息。
RPC为远程过程调用(Remote Procedure Call,RPC),是一个计算机通信协议。该协议允许执行于一台计算机的程序呼叫另一个地址空间(通常为一个开放网络的一台计算机)的子程序,而程序设计师就像呼叫本地程序一样,无需额外地为这个互动作用编程(无需关注细节)。RPC是一种服务器-客户端(Client/Server)模式,经典实现是一个通过传送请求-接受响应进行信息互动的系统。如果涉及的软件采用面向对象程序设计,那么远程过程调用亦可称作远程呼叫或远程方法呼叫,例:Java RMI。RPC是一种行程间通讯的模式,程序分布在不同的地址空间里。如果在同一主机里,RPC可以通过不同的虚拟地址空间(即便使用相同的实体地址)进行通讯,而在不同的主机间,则通过不同的实体地址进行互动。许多技术(通常是不兼容)都是基于这种概念而实现的。
下面列举现有的网络攻击方式。
TCP-SYN攻击:是用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。服务器将等待确认一段时间,因为简单的网络拥塞也可能是丢失ACK的原因。但是,在攻击中,恶意客户端创建的半开连接会绑定服务器上的资源,最终可能会超过服务器上可用的资源。此时,服务器无法连接到任何客户端,无论是否合法。这有效地拒绝了对合法客户的服务。当其他操作系统功能以这种方式缺乏资源时,某些系统也可能会出现故障或崩溃。
ICMP Flood Attack为透过发送ping指令或是ICMP大量封包造成系统瘫痪。
UDP Flood Attack为传送大量UDP的封包造成系统瘫痪。
Smurf攻击:传送伪装的ICMP数据报,目的地址设为某个网络的广播地址,SIP设为要攻击的目的主机,使所有收到此ICMP数据报的主机都将对目的主机发出一个回应,使被攻击主机在某一段时间内收到成千上万的数据报。
TCP标志位非法攻击:TCP报文包含6个标志位:URG、ACK、PSH、RST、SYN、FIN,不同的系统对这些标志位组合的应答是不同的。6个标志全部为1,也就是圣诞树攻击。该攻击旨在向网络上的设备发送精心制作的TCP数据包。这种数据包的制作是打开一堆标志的,6个标志全部为0,第一个TCP消息一定有设定SYN标志。有些协议栈是基于这个假设的,对于没有设置任何标志的TCP数据包,不会去处理。一般情况下,SYN标志(连接请求标志)和FIN标志(连接拆卸标志)不能同时出现在一个TCP报文中。
封包碎片攻击:当一个数据包太大时,它必须被切成更小的片段才能成功传输。这会导致发送多个数据包,其中一个包含有关数据包的所有信息,包括源/目标端口、长度等。这是初始片段。攻击者可以利用分片来攻击通信系统和安全组件,这些碎片被放置在临时存储中,占用内存并在某些情况下耗尽所有可用的内存资源。攻击者也会将碎片包发送到目标服务器,并且在某些存在TCP/IP漏洞的情况下,服务器无法重新组装数据包,从而导致过载。或者是攻击者试图通过发送格式错误或过大的数据包来使目标计算机或服务崩溃、不稳定或冻结。
现有技术防御网络攻击的方式为ACL过滤或依靠chip原有的功能可以屏蔽特定攻击。其中ACL过滤(访问控制列表)可以网络中的流量,控制访问的一种网络技术手段。实际上,ACL的本质就是用于描述IP数据包、以太网数据等特征的集合。然后这些集合去匹配网络中的流量(由大量数据包组成),同时策略来「允许」或「禁止」。ACL可以限制网络流量、提高网络性能、提供对通信流量的控制手段、提供网络安全访问的基本手段、以及在路由器埠处决定哪种类型的通信流量被转发或被阻塞。
为解决上述问题,本发明实施例中创造性的提出了一种防御网络攻击的方法,可以应用于如图2所示的应用环境中。其中,终端102通过网络与服务器104通过网络进行通信。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,终端102用于发送用户使用的命令、提交流量封包。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。服务器104也可以为交换机,交换机通常用于接收命令及流量封包等信息,本实施例通过交换机为例说明避免网络攻击的方法,可降低交换机延宕问题,提升交换机效能以及节能,还有提升封包传输可靠度的效果。
本技术方案提出可通过自动化分析syslog记录,能够协助侦侧网络的DDoS攻击,例如当发生封包碎片攻击时,会去分析封包内容,判断封包是否被切割成碎片(fragment),偏移字段是否被设定成不正确的值,导致接收端在收到这些分拆的数据报后,就不能按数据报中的偏移域值正确组合这些拆分的数据报,可能致使目标计算器操作系统因资源耗尽而崩溃。通过分析封包以及来源地址实施防御,以及网络发生传输问题或是服务器的服务出现异常状况时,技术人员无法及时去除错,或是没有人力及时去了解网络设备或是服务器的健康状态时,能够自动分析并且及时处理。根据攻击的特性以及来源IP先加以阻隔,以争取技术人员临时不在场或是无法立即解决的问题。因此,在原本的监控功能之外,也能早一步比技术人员进行反制行动。并且同时间回报管理者,管理者也可藉此加以判断网络效能异常,或是设备发生问题的根源。例如管理者从Flow流量排行榜中,发现特定设备传送大量封包时,可进而分析这个设备产生高流量的原因,也能透过设备取得的Syslog讯息,确认是否遭受DDoS攻击等情况。
具体的,在一个实施例中,如图3、图4所示,提供了一种防御网络攻击的方法,以该方法应用于图1中的服务器104为例进行说明,包括以下步骤S1-S3。
步骤S1,接收用户使用的命令。
步骤S2,判断所使用的命令是否存在尝试越权或是异常行为。
步骤S3,若是,则对该用户停止服务第一时长,同时收集所使用的命令对应的系统日志汇总形成预警文档并发送至管理端;当对该用户停止服务第一时长后,恢复对该用户的服务;
步骤S4,若否,则在不同的时间段内对每一进程进行分类,并对应分配占用资源比例。
本实施例利用停止服务第一时长的方式可避免使用者尝试越权或是异常行为。优选停止服务第一时长为五分钟。管理端为IT人员或IT部门。
如图5所示,在本实施例中,所述判断所使用的命令是否存在尝试越权或是异常行为的步骤包括:
步骤S31,检测用户使用的命令的种类;
步骤S32,当所使用的命令的种类为尝试存取root权限命令时,判定所使用的命令为尝试越权;
步骤S33,当所使用的命令的种类为暴力测试账号与密码时,判定所使用的命令为异常行为。
在本实施例中,当所使用的命令的种类为控制交换机命令时,判定所使用的命令为尝试越权或异常行为。使用者暴力测试账号与密码等异常行为,可以根据使用者的操作方式,从log当中纪录并比对时间,查看用户是否尝试破解密码或是使用越权的指令加以控制交换机,并且同时收集Syslog数据并传送给IT人员以做分析。
如图6、图7所示,在本实施例中,当所使用的命令不存在尝试越权或是异常行为时,所述在不同的时间段内对每一进程进行分类,并对应分配占用资源比例步骤包括:
步骤S41,收集系统日志及进程记录;
步骤S42,检查所有进程的使用时间和使用频率;
步骤S43,在不同的时间段内根据使用时间和使用频率对每一进程分类为大量使用进程和非大量使用进程;其中,在不同的时间段均设有大量使用进程和非大量使用进程;
步骤S44,在不同的时间段内,设置所述大量使用进程分配的资源大于所述非大量使用进程分配的资源。
交换机也能够从log当中去找到规律,去纪录哪些进程在甚么时段特别活跃,使用到的资源比较多,哪些进程在夜晚时段数据消耗较少,根据使用者的使用习惯去分配资源,以达到节省能源以及分配资源的功能。
而且可利用分配资源的特点,将不同时间段内的进程的占用资源固化,达到了节能的效果,而且使得利用非大量使用进程中的任何进程进行大量占用资源的方式不可生效,有效避免了在不同的时间段内不能利用非大量使用进程中的进程实现网络攻击。
如图8所示,在本实施例中,所述在不同的时间段内根据使用时间和使用频率对每一进程分类为大量使用进程和非大量使用进程,包括:
步骤S421,将一天时长划分为多个使用时间段,在每一使用时间段内统计所有进程的使用时间和使用频率;
步骤S422,当某一进程在该使用时间段内的总使用时间大于等于第一阈值时,将该进程归类为大量使用进程,反之将该进程归类为非大量使用进程;
步骤S423,当某一进程在该使用时间段内的使用频率大于等于第二阈值时,将该进程归类为大量使用进程,反之将该进程归类为非大量使用进程。
如图3、图9所示,在本实施例中,当所使用的命令不存在尝试越权或是异常行为时,还包括步骤:
步骤S5,接收导入的流量封包;
步骤S6,将流量封包的信息与系统日志进行分析比较,确定封包是否是攻击封包;
步骤S7,若是,阻断发送攻击封包的IP拦截攻击封包;
步骤S8,若否,限制流量控制封包进入的速度,同时收集数据以及IP并发送到管理端。
如图10所示,在本实施例中,所述将流量封包的信息与系统日志进行分析比较,确定封包是否是攻击封包的步骤包括:
步骤S61,分析系统日志获取封包记录在两个IP之间传输用量统计;
步骤S62,查找封包资料内容带有源IP、源端口号、目标IP、目标端口号、通讯协议、数据包、字节行的IP地址;
步骤S63,在查找的IP地址中将两个IP之间传输用量大于设定的流量阈值的源IP判定为可疑IP地址,将所述可疑IP地址按照使用次数降序排列生成可疑IP名单;
步骤S64,根据所述可疑IP名单中的可疑IP地址将系统日志过滤找到特定IP的数据,以加速对系统日志的筛选;
步骤S65,对特定IP传输的封包内容进行检查与分析,判断封包是否为攻击封包。
本方法因应一套算法,去查案syslog纪录并加以分析,透过算法可以得知用户是否尝试存取root权限的行为,或是使用不正当的操作方法,可能对机器造成不可控的状态,将之行为以及时间点加以记录,并实时传送给IT人员以供判断,并且短暂限制使用者的使用权利,让IT人员有时间可以去判断并处理。利用此算法也可以得知每个process的使用时间以及使用频率,透过算法将这些process加以排序,在特定时间点分配多一些资源给特定的process,也可以透过此算法得知那些process在某些时间点是没有在使用的,也可以将此process使用的姿云分配给其他更需要的process,或是讲此关闭一阵子,等到user使用后再唤醒,藉以达到节省能源的功能以及提高性能。也可以透过自动化分析日志的算法拟定出一套当封包进入device时,可以透过分析封包记录两个IP之间的传输用量统计,资料内容带有Source IP、Source Port、Destination IP、Destination Port、Protocol、Packet、Byte行并找出可疑的IP地址,再根据从Flow流量记录中,找出的可疑的IP统计Syslog资料并制作Top名单(即倒序排列方式的名单),将Syslog过滤找寻特定IP的数据,加速syslog的讯息撷取,并针对封包内容进行检查与分析。这些讯息除了能帮助IT人员得知目前所发生的资安威胁事件之外,对于人员的网络使用行为(例如P2P下载、使用通讯软件、浏览哪些网站等)也可以迅速知道发生了甚么事件,包括事件名称与说明、Source IP、Source Port、Destination IP、Destination Port、Protocol、事件发生次数(Hit Count),IP在哪个实体位置(例如哪个Switch的哪个Port),是哪个用户正在操作这部计算机,而又是甚么样的Application让这些IP发送出这么大量的封包,所以管理者可以透过这些讯息知道下一步该如何处理。根据搜集这些信息以及这个IP的流量行为进行数据累加与分析的工作,去判断是否为封包攻击,若是封包攻击的话,则依据辨别到的攻击方式,透过ACLrule或是chip的机制先屏蔽攻击者的封包,并且同时间收集数据以及该IP后回报管理者,如此一来人员就能有足够的缓冲时间进行后续的处置作为,并且在最短的时间内恢复网络的正常运作。若是判断为非封包攻击,但也因为大量的封包流入也会导致CPU的附载过大,进而引发断线或是死机的问题,则会以限制流量的方式去控制封包进入的速度,同时间也会收集数据以及该IP回报管理者,让管理者知道发生了甚么事情。
在本申请技术方案中,改善了旧有技术中无法得知使用者的不当使用以及越权行为。也改善了交换机中资源分配的问题,使得交换机能够更加节能,并且效率更高。也改善了当面对封包攻击或是大量封包同时间流入时,引发断线,被入侵或是死机(crash)的问题。
本实施例采用的是对于使用者不当使用的行为以及越权的行为加以限制,并通知IT人员去判断是否需要处理,以及针对交换机中资源分配的问题,让特定资源根据算法选择,是否需要常驻,或是在特定时间可以关闭,再经由事件触发后唤醒,以此节省能源和提高效率。也可以透过分析封包流量以及针对封包流量异常的IP去交叉比对日志中的IP以及application,并且加以判断该如何处置封包流量,并且将这些讯息filter后传给技术人员,以加速人员迅速判断并解决。避免技术人员临时不在场或是无法立即解决的问题的状况时,能比技术人员早一步先进行反制行动,也替技术人员争取时间,避免网络持续被攻击导致断线或是被入侵的状态。
本申请实施例利用自动化分析日志的算法,此算法不仅可以得知用户的行为,也可以得知进程的使用状况,还可以根据封包的内容去做分析,将封包分析以判断是否需要屏蔽攻击或是降低流量,改善了旧有的技术,不会因使用者不当使用而导致延宕,也不会因大量封包流入或遭受攻击时,导致的网络断线或是死机(crash),并将该信息搜集并传送给管理者,让管理者得以知道发生甚么事以及后续该处理的方式。还可以通过得知进程的使用状况后,拟定一些策略,使得这些进程能够使用更多资源,或是提高效能。
上述防御网络攻击的方法中,通过在检测到所使用的命令是否存在尝试越权或是异常行为时,利用停止服务第一时长的方式可避免使用者尝试越权或是异常行为,在技术人员短时间内不在场或是无法解决时提供了解决方案,能解决封包量过多让CPU的附载过大而导致机台延宕或是断线的问题。同时收集所使用的命令对应的系统日志汇总形成预警文档并发送至管理端,可及时对使用者尝试越权或是异常行为进行跟踪监控。而且利用分配占用资源比例方式限制了网络攻击占用资源而导致的延宕或是断线的问题。
应该理解的是,虽然图2-图12的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-图12中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图11所示,提供了一种防御网络攻击的装置10,包括:命令接收模块11、命令检测模块12和防御控制模块13。
所述命令接收模块11用于接收用户使用的命令。
所述命令检测模块12用于判断所使用的命令是否存在尝试越权或是异常行为。
所述防御控制模块13用于在所述判断所使用的命令存在尝试越权或是异常行为时,则停止服务第一时长,同时收集所使用的命令对应的系统日志汇总形成预警文档并发送至管理端。
在本实施例中,所述命令检测模块12在判断所使用的命令是否存在尝试越权或是异常行为时的步骤包括:检测用户使用的命令的种类;当所使用的命令的种类为尝试存取root权限命令时,判定所使用的命令为尝试越权;当所使用的命令的种类为暴力测试账号与密码时,判定所使用的命令为异常行为。
在本实施例中,当所使用的命令的种类为控制交换机命令时,判定所使用的命令为尝试越权或异常行为。
如图11所示,在本实施例中,当所使用的命令不存在尝试越权或是异常行为时,防御网络攻击的装置10还包括:运行记录管理模块14、进程使用统计模块15、进程分类模块16和资源分配模块17。
运行记录管理模块14用于收集系统日志及进程记录。
进程使用统计模块15用于检查所有进程的使用时间和使用频率。
进程分类模块16用于在不同的时间段内根据使用时间和使用频率对每一进程分类为大量使用进程和非大量使用进程;其中,在不同的时间段均设有大量使用进程和非大量使用进程。
资源分配模块17用于在不同的时间段内,设置所述大量使用进程分配的资源大于所述非大量使用进程分配的资源。
在本实施例中,所述在不同的时间段内根据使用时间和使用频率对每一进程分类为大量使用进程和非大量使用进程,包括:将一天时长划分为多个使用时间段,在每一使用时间段内统计所有进程的使用时间和使用频率;当某一进程在该使用时间段内的总使用时间大于等于第一阈值时,将该进程归类为大量使用进程,反之将该进程归类为非大量使用进程;当某一进程在该使用时间段内的使用频率大于等于第二阈值时,将该进程归类为大量使用进程,反之将该进程归类为非大量使用进程。
如图11所示,在本实施例中,当所使用的命令不存在尝试越权或是异常行为时,防御网络攻击的装置10还包括:接收流量封包模块18和封包控制模块19。
接收流量封包模块18用于接收导入的流量封包。
封包控制模块19用于将流量封包的信息与系统日志进行分析比较,确定封包是否是攻击封包;若是,阻断发送攻击封包的IP拦截攻击封包;若否,限制流量控制封包进入的速度,同时收集数据以及IP并发送到管理端。
在本实施例中,所述将流量封包的信息与系统日志进行分析比较,确定封包是否是攻击封包的步骤包括:分析系统日志获取封包记录在两个IP之间传输用量统计;查找封包资料内容带有源IP、源端口号、目标IP、目标端口号、通讯协议、数据包、字节行的IP地址;
在查找的IP地址中将两个IP之间传输用量大于设定的流量阈值的源IP判定为可疑IP地址,将所述可疑IP地址按照使用次数降序排列生成可疑IP名单;根据所述可疑IP名单中的可疑IP地址将系统日志过滤找到特定IP的数据,以加速对系统日志的筛选;对特定IP传输的封包内容进行检查与分析,判断封包是否为攻击封包。
上述防御网络攻击的装置10中,通过在检测到所使用的命令是否存在尝试越权或是异常行为时,利用停止服务第一时长的方式可避免使用者尝试越权或是异常行为,在技术人员短时间内不在场或是无法解决时提供了解决方案,能解决封包量过多让CPU的附载过大而导致机台延宕或是断线的问题。同时收集所使用的命令对应的系统日志汇总形成预警文档并发送至管理端,可及时对使用者尝试越权或是异常行为进行跟踪监控。而且利用分配占用资源比例方式限制了网络攻击占用资源而导致的延宕或是断线的问题。
关于防御网络攻击的装置10的具体限定可以参见上文中对于防御网络攻击的方法的限定,在此不再赘述。上述防御网络攻击的装置10中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图12所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储防御网络攻击的数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种防御网络攻击的方法。
本领域技术人员可以理解,图12中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
接收用户使用的命令;
判断所使用的命令是否存在尝试越权或是异常行为;
若是,则对该用户停止服务第一时长,同时收集所使用的命令对应的系统日志汇总形成预警文档并发送至管理端;当对该用户停止服务第一时长后,恢复对该用户的服务;
若否,则在不同的时间段内对每一进程进行分类,并对应分配占用资源比例。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
所述判断所使用的命令是否存在尝试越权或是异常行为的步骤包括:
检测用户使用的命令的种类;
当所使用的命令的种类为尝试存取root权限命令时,判定所使用的命令为尝试越权;
当所使用的命令的种类为暴力测试账号与密码时,判定所使用的命令为异常行为。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
当所使用的命令的种类为控制交换机命令时,判定所使用的命令为尝试越权或异常行为。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
当所使用的命令不存在尝试越权或是异常行为时,所述在不同的时间段内对每一进程进行分类,并对应分配占用资源比例步骤包括:
收集系统日志及进程记录;
检查所有进程的使用时间和使用频率;
在不同的时间段内根据使用时间和使用频率对每一进程分类为大量使用进程和非大量使用进程;
设置所述大量使用进程分配的资源大于所述非大量使用进程分配的资源。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
所述在不同的时间段内根据使用时间和使用频率对每一进程分类为大量使用进程和非大量使用进程,包括:
将一天时长划分为多个使用时间段,在每一使用时间段内统计所有进程的使用时间和使用频率;
当某一进程在该使用时间段内的总使用时间大于等于第一阈值时,将该进程归类为大量使用进程,反之将该进程归类为非大量使用进程;
当某一进程在该使用时间段内的使用频率大于等于第二阈值时,将该进程归类为大量使用进程,反之将该进程归类为非大量使用进程。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
当所使用的命令不存在尝试越权或是异常行为时,还包括步骤:
接收导入的流量封包;
将流量封包的信息与系统日志进行分析比较,确定封包是否是攻击封包;
若是,阻断发送攻击封包的IP拦截攻击封包;
若否,限制流量控制封包进入的速度,同时收集数据以及IP并发送到管理端。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
所述将流量封包的信息与系统日志进行分析比较,确定封包是否是攻击封包的步骤包括:
分析系统日志获取封包记录在两个IP之间传输用量统计;
查找封包资料内容带有源IP、源端口号、目标IP、目标端口号、通讯协议、数据包、字节行的IP地址;
在查找的IP地址中将两个IP之间传输用量大于设定的流量阈值的源IP判定为可疑IP地址,将所述可疑IP地址按照使用次数降序排列生成可疑IP名单;
根据所述可疑IP名单中的可疑IP地址将系统日志过滤找到特定IP的数据,以加速对系统日志的筛选;
对特定IP传输的封包内容进行检查与分析,判断封包是否为攻击封包。
关于处理器执行计算机程序时实现步骤的具体限定可以参见上文中对于防御网络攻击的的方法的限定,在此不再赘述。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
接收用户使用的命令;
判断所使用的命令是否存在尝试越权或是异常行为;
若是,则对该用户停止服务第一时长,同时收集所使用的命令对应的系统日志汇总形成预警文档并发送至管理端;当对该用户停止服务第一时长后,恢复对该用户的服务;
若否,则在不同的时间段内对每一进程进行分类,并对应分配占用资源比例。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
所述判断所使用的命令是否存在尝试越权或是异常行为的步骤包括:
检测用户使用的命令的种类;
当所使用的命令的种类为尝试存取root权限命令时,判定所使用的命令为尝试越权;
当所使用的命令的种类为暴力测试账号与密码时,判定所使用的命令为异常行为。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
当所使用的命令的种类为控制交换机命令时,判定所使用的命令为尝试越权或异常行为。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
当所使用的命令不存在尝试越权或是异常行为时,所述在不同的时间段内对每一进程进行分类,并对应分配占用资源比例步骤包括:
收集系统日志及进程记录;
检查所有进程的使用时间和使用频率;
在不同的时间段内根据使用时间和使用频率对每一进程分类为大量使用进程和非大量使用进程;
设置所述大量使用进程分配的资源大于所述非大量使用进程分配的资源。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
所述在不同的时间段内根据使用时间和使用频率对每一进程分类为大量使用进程和非大量使用进程,包括:
将一天时长划分为多个使用时间段,在每一使用时间段内统计所有进程的使用时间和使用频率;
当某一进程在该使用时间段内的总使用时间大于等于第一阈值时,将该进程归类为大量使用进程,反之将该进程归类为非大量使用进程;
当某一进程在该使用时间段内的使用频率大于等于第二阈值时,将该进程归类为大量使用进程,反之将该进程归类为非大量使用进程。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
当所使用的命令不存在尝试越权或是异常行为时,还包括步骤:
接收导入的流量封包;
将流量封包的信息与系统日志进行分析比较,确定封包是否是攻击封包;
若是,阻断发送攻击封包的IP拦截攻击封包;
若否,限制流量控制封包进入的速度,同时收集数据以及IP并发送到管理端。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
所述将流量封包的信息与系统日志进行分析比较,确定封包是否是攻击封包的步骤包括:
分析系统日志获取封包记录在两个IP之间传输用量统计;
查找封包资料内容带有源IP、源端口号、目标IP、目标端口号、通讯协议、数据包、字节行的IP地址;
在查找的IP地址中将两个IP之间传输用量大于设定的流量阈值的源IP判定为可疑IP地址,将所述可疑IP地址按照使用次数降序排列生成可疑IP名单;
根据所述可疑IP名单中的可疑IP地址将系统日志过滤找到特定IP的数据,以加速对系统日志的筛选;
对特定IP传输的封包内容进行检查与分析,判断封包是否为攻击封包。
关于计算机程序被处理器执行时实现步骤的具体限定可以参见上文中对于防御网络攻击的的方法的限定,在此不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种防御网络攻击的方法,其特征在于,包括:
接收用户使用的命令;
判断所使用的命令是否存在尝试越权或是异常行为;
若是,则对该用户停止服务第一时长,同时收集所使用的命令对应的系统日志汇总形成预警文档并发送至管理端;当对该用户停止服务第一时长后,恢复对该用户的服务;
若否,则在不同的时间段内对每一进程进行分类,并对应分配占用资源比例。
2.根据权利要求1所述的防御网络攻击的方法,其特征在于,所述判断所使用的命令是否存在尝试越权或是异常行为的步骤包括:
检测用户使用的命令的种类;
当所使用的命令的种类为尝试存取root权限命令时,判定所使用的命令为尝试越权;
当所使用的命令的种类为暴力测试账号与密码时,判定所使用的命令为异常行为。
3.根据权利要求1或2所述的防御网络攻击的方法,其特征在于,当所使用的命令的种类为控制交换机命令时,判定所使用的命令为尝试越权或异常行为。
4.根据权利要求1所述的防御网络攻击的方法,其特征在于,当所使用的命令不存在尝试越权或是异常行为时,所述在不同的时间段内对每一进程进行分类,并对应分配占用资源比例步骤包括:
收集系统日志及进程记录;
检查所有进程的使用时间和使用频率;
在不同的时间段内根据使用时间和使用频率对每一进程分类为大量使用进程和非大量使用进程;
设置所述大量使用进程分配的资源大于所述非大量使用进程分配的资源。
5.根据权利要求4所述的防御网络攻击的方法,其特征在于,所述在不同的时间段内根据使用时间和使用频率对每一进程分类为大量使用进程和非大量使用进程,包括:
将一天时长划分为多个使用时间段,在每一使用时间段内统计所有进程的使用时间和使用频率;
当某一进程在该使用时间段内的总使用时间大于等于第一阈值时,将该进程归类为大量使用进程,反之将该进程归类为非大量使用进程;
当某一进程在该使用时间段内的使用频率大于等于第二阈值时,将该进程归类为大量使用进程,反之将该进程归类为非大量使用进程。
6.根据权利要求1或4所述的防御网络攻击的方法,其特征在于,当所使用的命令不存在尝试越权或是异常行为时,还包括步骤:
接收导入的流量封包;
将流量封包的信息与系统日志进行分析比较,确定封包是否是攻击封包;
若是,阻断发送攻击封包的IP拦截攻击封包;
若否,限制流量控制封包进入的速度,同时收集数据以及IP并发送到管理端。
7.根据权利要求6所述的防御网络攻击的方法,其特征在于,所述将流量封包的信息与系统日志进行分析比较,确定封包是否是攻击封包的步骤包括:
分析系统日志获取封包记录在两个IP之间传输用量统计;
查找封包资料内容带有源IP、源端口号、目标IP、目标端口号、通讯协议、数据包、字节行的IP地址;
在查找的IP地址中将两个IP之间传输用量大于设定的流量阈值的源IP判定为可疑IP地址,将所述可疑IP地址按照使用次数降序排列生成可疑IP名单;
根据所述可疑IP名单中的可疑IP地址将系统日志过滤找到特定IP的数据,以加速对系统日志的筛选;
对特定IP传输的封包内容进行检查与分析,判断封包是否为攻击封包。
8.一种防御网络攻击的装置,其特征在于,所述装置包括:
命令接收模块,用于接收用户使用的命令;
命令检测模块,用于判断所使用的命令是否存在尝试越权或是异常行为;
防御控制模块,用于在所述判断所使用的命令存在尝试越权或是异常行为时,则停止服务第一时长,同时收集所使用的命令对应的系统日志汇总形成预警文档并发送至管理端。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
CN202211196479.1A 2022-09-29 2022-09-29 防御网络攻击的方法、装置和计算机设备和存储介质 Pending CN115794371A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211196479.1A CN115794371A (zh) 2022-09-29 2022-09-29 防御网络攻击的方法、装置和计算机设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211196479.1A CN115794371A (zh) 2022-09-29 2022-09-29 防御网络攻击的方法、装置和计算机设备和存储介质

Publications (1)

Publication Number Publication Date
CN115794371A true CN115794371A (zh) 2023-03-14

Family

ID=85432355

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211196479.1A Pending CN115794371A (zh) 2022-09-29 2022-09-29 防御网络攻击的方法、装置和计算机设备和存储介质

Country Status (1)

Country Link
CN (1) CN115794371A (zh)

Similar Documents

Publication Publication Date Title
US10097578B2 (en) Anti-cyber hacking defense system
US10432650B2 (en) System and method to protect a webserver against application exploits and attacks
Schuba et al. Analysis of a denial of service attack on TCP
US8356349B2 (en) Method and system for intrusion prevention and deflection
US9633202B2 (en) Managing a DDoS attack
US8370936B2 (en) Multi-method gateway-based network security systems and methods
US9253153B2 (en) Anti-cyber hacking defense system
US20020107953A1 (en) Method and device for monitoring data traffic and preventing unauthorized access to a network
Apiecionek et al. Protection tool for distributed denial of services attack
US20030084322A1 (en) System and method of an OS-integrated intrusion detection and anti-virus system
US20030084319A1 (en) Node, method and computer readable medium for inserting an intrusion prevention system into a network stack
US20030145231A1 (en) Architecture to thwart denial of service attacks
US20100251370A1 (en) Network intrusion detection system
Moustis et al. Evaluating security controls against HTTP-based DDoS attacks
EP1654608A1 (en) Method and system for detecting unauthorised use of a communication network
Arafat et al. A practical approach and mitigation techniques on application layer DDoS attack in web server
KR20020072618A (ko) 네트워크 기반 침입탐지 시스템
US11943250B2 (en) Test device
Singh Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis
KR100543664B1 (ko) 네트워크 보호 장치 및 이의 운영 방법
Araújo et al. EICIDS-elastic and internal cloud-based detection system
CN115794371A (zh) 防御网络攻击的方法、装置和计算机设备和存储介质
Chen et al. Active event correlation in Bro IDS to detect multi-stage attacks
KR20190007697A (ko) 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템
Selvaraj Distributed Denial of Service Attack Detection, Prevention and Mitigation Service on Cloud Environment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination