CN116074083B - 慢速攻击识别方法、装置、电子设备及存储介质 - Google Patents
慢速攻击识别方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116074083B CN116074083B CN202310042925.1A CN202310042925A CN116074083B CN 116074083 B CN116074083 B CN 116074083B CN 202310042925 A CN202310042925 A CN 202310042925A CN 116074083 B CN116074083 B CN 116074083B
- Authority
- CN
- China
- Prior art keywords
- request
- slow attack
- data packet
- network system
- slow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 230000005540 biological transmission Effects 0.000 claims abstract description 90
- 238000004590 computer program Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 abstract description 9
- 238000012423 maintenance Methods 0.000 abstract description 8
- 230000009286 beneficial effect Effects 0.000 abstract description 4
- 238000004891 communication Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 8
- 230000002411 adverse Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了慢速攻击识别方法、装置、电子设备及存储介质,涉及网络通信技术领域。该方法包括:接收请求对应的数据包;网络系统的传输层,在所述数据包满足预设的慢速攻击条件的情况下,将所述数据包确定为慢速攻击数据包,并在所述请求对应的数据包中包括慢速攻击数据包的情况下,将所述请求确定为慢速攻击请求。在网络系统的传输层就完成了慢速攻击数据包、慢速攻击请求的识别,无需在应用层进行慢速攻击请求的识别,无需占用应用层的资源,使得应用层对于应用具有更高的处理性能。传输层比应用层更靠前,尽早识别有助于尽早防护,保障了后端应用服务的资源利用,免去了各个应用均一一识别慢速攻击的操作,降低了运维工作量。
Description
技术领域
本发明属于网络通信技术领域,特别是涉及慢速攻击识别方法、装置、电子设备及存储介质。
背景技术
随着网络的快速发展,网络安全问题日渐严峻,其中,慢速攻击是较为难以防御的一种攻击。慢速攻击主要是指通过较小的数据量、较低的速率,维持与网络系统的链接,从而消耗网络系统的资源。
中国专利CN109040140A公开了一种慢速攻击检测方法及装置,该专利中对于慢速攻击的防御主要是在网络系统的应用层进行识别并拦截等。
然而,在应用层对慢速攻击进行识别等,占用了应用层的较多资源,使得应用层对于应用处理性能欠佳。
发明内容
本发明提供一种慢速攻击识别方法、装置、电子设备及存储介质,旨在解决在应用层对慢速攻击进行识别等,占用了应用层的较多资源的问题。
第一方面,本发明提供一种慢速攻击识别方法,应用于网络系统,包括:
接收请求对应的数据包;
所述网络系统的传输层,在所述数据包满足预设的慢速攻击条件的情况下,将所述数据包确定为慢速攻击数据包,并在所述请求对应的数据包中包括慢速攻击数据包的情况下,将所述请求确定为慢速攻击请求。
第二方面,本发明提供一种慢速攻击识别装置,应用于网络系统,包括:
接收模块,用于接收请求对应的数据包;
识别模块,用于所述网络系统的传输层,在所述数据包满足预设的慢速攻击条件的情况下,将所述数据包确定为慢速攻击数据包,并在所述请求对应的数据包中包括慢速攻击数据包的情况下,将所述请求确定为慢速攻击请求。
第三方面,本发明提供一种电子设备,包括:处理器、存储器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现上述慢速攻击识别方法。
第四方面,本发明提供一种可读存储介质,当所述存储介质中的指令由电子设备的处理器执行时,使得电子设备能够执行上述慢速攻击识别方法。
在本发明实施例中,在网络系统的传输层就将满足预设的慢速攻击条件的数据包确定为慢速攻击数据包,在网络系统的传输层,将包括慢速攻击数据包的请求,确定为慢速攻击请求,也就是说在网络系统的传输层就完成了慢速攻击数据包、慢速攻击请求的识别,无需在应用层进行慢速攻击请求的识别,应用层无需解析协议等,进而识别慢速攻击无需占用应用层的资源,使得应用层对于应用具有更高的处理性能。而且,传输层比应用层更靠前,在传输层就实现了对慢速攻击的识别,一方面,尽早识别有助于尽早防护,保障了后端应用服务的资源利用,另一方面,免去了后端的各个应用服务均一一识别慢速攻击的操作,大大降低了运维工作量。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种慢速攻击识别方法的步骤流程图;
图2是本发明实施例提供的另一种慢速攻击识别方法的步骤流程图;
图3是本发明实施例提供的一种慢速攻击识别装置的结构图;
图4示出了本发明实施例提供的一种网络系统的局部架构示意图;
图5示出了本发明实施例提供的一种网络系统的初始化流程示意图;
图6示出了本发明实施例提供的一种网络系统的慢速攻击的流程示意图;
图7是本发明实施例提供的一种电子设备的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是本发明实施例提供的一种慢速攻击识别方法的步骤流程图,该方法应用于网络系统,网络系统的网络模型可以为七层模型(Open System Interconnection,OSI)或四层模型等,七层模型从下至上为:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。四层模型从下至上为:链路层、网络层、传输层和应用层。
本申请中所提及的慢速攻击主要分为三种,分别为:Slow read(慢速读取)攻击、Slow headers(慢速头部)攻击、Slow body(慢速主体)攻击。Slow read攻击是指攻击者建立链接后发送完整的请求给网络系统,然后一直保持这个链接,以很低的速度读取Response或者让网络系统误以为客户端很忙,以消耗网络系统的链接和内存资源。Slowheaders攻击是指攻击者对网络系统发起一个HTTP(Hyper Text Transfer Protocol,超文本传输协议)请求,一直不停地发送HTTP头部,而网络系统在处理之前需要先接收完所有的HTTP头部,这样就消耗了网络系统的链接和内存资源。Slow body攻击是指攻击者发送一个HTTP POST请求,表示要发送大量数据,此时网络系统会保持链接准备接收数据,但攻击客户端每次只发送很少量的数据,以此消耗网络系统的链接和内存资源。
如图1所示,该方法可以包括如下步骤。
步骤101、接收请求对应的数据包。
该网络系统可以提供网络数据服务,各个客户端可以向网络系统发送请求对应的数据包。该请求对应的数据包用于向网络系统请求网络数据服务。对于一个请求对应的数据包的数量不作具体限定。
步骤102、所述网络系统的传输层,在所述数据包满足预设的慢速攻击条件的情况下,将所述数据包确定为慢速攻击数据包,并在所述请求对应的数据包中包括慢速攻击数据包的情况下,将所述请求确定为慢速攻击请求。
网络系统的传输层,在请求对应的数据包中包括至少一个慢速攻击数据包的情况下,就将该请求确定为慢速攻击请求。就是说网络系统的传输层,在请求对应的数据包中只要包括慢速攻击数据包的情况下,就将该请求确定为慢速攻击请求。
发明人发现,现有技术在网络系统的应用层才识别慢速攻击,则不同的应用服务需要各自识别慢速攻击,并且,如果慢速攻击有改变,各个不同的应用服务还需要针对上述改变后的慢速攻击进行升级、更改配置等,使得运维的工作量很大。例如,若网络系统包括基于线程(thread-base)的应用服务Apache,以及应用服务Httpd。该网络系统还包括基于事件(event-base)的应用服务Nginx,以及应用服务lighttpd。 该网络系统还包括其他的应用服务,如应用服务falsk、应用服务gin等,若采用现有技术在网络系统的应用层才识别慢速攻击,则应用服务Apache、应用服务Httpd、应用服务Nginx、应用服务lighttpd、应用服务falsk、应用服务gin等每一个应用服务,需要各自识别慢速攻击,且上述各个应用服务还需要针对改变后的慢速攻击进行升级、更改配置等,使得运维的工作量很大。
相对于现有技术在网络系统的应用层才识别慢速攻击而言,本申请中,在网络系统的传输层,在数据包满足预设的慢速攻击条件的情况下,就将该数据包确定为慢速攻击数据,在网络系统的传输层,将包括慢速攻击数据包的请求,确定为慢速攻击请求,也就是说,本申请在网络系统的传输层就实现了慢速攻击数据包、慢速攻击请求的识别,就是在网络系统的传输层就实现了慢速攻击的识别,无需在应用层进行慢速攻击的识别,应用层无需解析协议等,进而识别慢速攻击无需占用应用层的资源,使得应用层对于应用具有更高的处理性能。而且,传输层比应用层更靠前,在传输层就实现了对慢速攻击的识别,一方面,尽早识别有助于尽早防护,保障了后端应用服务的资源利用,另一方面,免去了后端的各个应用均一一识别慢速攻击的操作,大大降低了运维工作量。
此处的传输层可以是网络系统的七层模型中的传输层,或者可以是四层模型中的传输层等,对此不作具体限定。
可选的,前述步骤102中确定慢速攻击数据包可以包括下述各个子步骤中的至少一种。
子步骤1021、所述网络系统的传输层,在连续的各个数据包均是小数据包,且所述连续的各个数据包的第一总数量,大于或等于第一预设数量的情况下,将所述连续的各个数据包,均确定为慢速攻击数据包;所述小数据包的长度,小于或等于预设长度。
小数据包就是其长度小于或等于预设长度的数据包。此处的预设长度可以根据实际需要进行确定。例如,此处的预设长度可以为50字节,或者,此处的预设长度可以为60字节等。
就是说网络系统的传输层不管连续的各个数据包是不是同一个请求的,只要是接收到连续的各个数据包均是小数据包,且连续的各个数据包或连续的各个小数据包的第一总数量,大于或等于第一预设数量,就将连续的各个数据包或者连续的各个小数据包,均确定为慢速攻击数据包。相当于,客户端每次只发送很少量的数据,以此消耗网络系统的链接和内存资源,则,连续的各个数据包或连续的各个小数据包均为慢速攻击数据包。
第一预设数量的大小根据实际需要确定。可选的,第一预设数量大于或等于3,该第一预设数量的大小设置较为合适,能够更为准确的识别出慢速攻击数据包。如,网络系统的传输层不管连续的各个数据包是不是同一个请求的,只要是接收到连续的各个数据包均是小数据包,且连续的各个数据包或连续的各个小数据包的第一总数量,大于或等于3,则,连续的各个数据包或连续的各个小数据包均为慢速攻击数据包。
例如,第一预设数量为3,若网络系统连续接收到了4个小数据包,则,连续的各个数据包或连续的各个小数据包的第一总数量为4,4大于3,则,网络系统的传输层将连续的4个数据包或连续的4个小数据包,均确定为慢速攻击数据包。
子步骤1022、所述网络系统的传输层,在同一请求对应的相邻两个数据包的接收时刻之间的间隔时长,大于或等于预设时长的情况下,将所述相邻两个数据包,均确定为慢速攻击数据包。
同一请求对应的相邻两个数据包的接收时刻之间的间隔时长,大于或等于预设时长,则网络系统对于该请求,需要保持较长时间的链接,以接收该请求的各个数据包,会让网络系统误以为客户端很忙,以消耗网络系统的链接和内存资源,则,网络系统的传输层将该相邻两个数据包,均确定为慢速攻击数据包。
该预设时长可以根据实际需要进行设定。可选的,该预设时长大于或等于120秒,该预设时长设置的较为合适,能够更为准确的识别出慢速攻击数据包。
例如,预设时长为120秒,对于请求A,网络系统在2022年12月20日13:20:20接收到一个数据包,接着又在2022年12月20日13:22:40接收到下一个数据包,则,对于请求A,相邻的这两个数据包的接收时刻之间的间隔时长为140秒,大于或等于预设时长120秒,网络系统的传输层将请求A,相邻的这两个数据包均确定为慢速攻击数据包。
子步骤1023、所述网络系统的传输层,在所述请求对应的SYN数据包中的窗口值小于或等于预设窗口值的情况下,将所述SYN数据包确定为慢速攻击数据包。
SYN数据包是传输控制协议(TCP,Transmission Control Protocol)连接的第一个包或首包,是TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/网际协议)建立连接时使用的握手信号。在客户端和网络系统之间建立正常的TCP网络连接时,客户端首先发出一个SYN消息或SYN数据包,网络系统使用SYN+ACK应答表示接收到了这个消息,最后客户端再以ACK消息响应。这样在客户端和网络系统之间才能建立起可靠的TCP连接,数据才可以在客户端和网络系统之间传递。
SYN数据包中的窗口值可以从SYN数据包的包头等位置中获取。请求对应的SYN数据包中的窗口值小于或等于预设窗口值的情况下,网络系统只能以很小的比特率向客户端传输数据,会让网络系统误以为客户端很忙,以消耗网络系统的链接和内存资源,因此,网络系统的传输层,将该SYN数据包确定为慢速攻击数据包。
此处的预设窗口值根据实际需要确定,本发明实施例中,对此不作具体限定。例如,该预设窗口值可以为512字节。
例如,该预设窗口值为512字节,请求对应的SYN数据包中的窗口值为400字节,小于预设窗口值512字节,则,网络系统的传输层将该SYN数据包确定为慢速攻击数据包。
子步骤1024、所述网络系统的传输层,在连续的各个数据包均是零窗口数据包,且所述连续的各个数据包的第二总数量,大于或等于第二预设数量的情况下,将所述连续的各个数据包,均确定为慢速攻击数据包;所述零窗口数据包中的窗口值为0。
零窗口数据包中的窗口值为0,网络系统接收到的数据包为零窗口数据包,则网络系统只能以特别小的比特率向客户端传输数据,或者,网络系统需要等待一段时间才能向客户端传输数据。
在网络系统接收到连续的各个数据包均是零窗口数据包,且该连续的各个数据包的第二总数量,大于或等于第二预设数量的情况下,会让网络系统误以为客户端很忙,以消耗网络系统的链接和内存资源,因此,网络系统的传输层,将该连续的各个数据包,均确定为慢速攻击数据包。
此处的第二预设数量可以根据实际需要确定。可选的,该第二预设数量大于或等于4,该第二预设数量的大小设置较为合适,能够更为准确的识别出慢速攻击数据包。如,网络系统的传输层不管连续的各个数据包是不是同一个请求的,只要是接收到连续的各个数据包均是零窗口数据包,且连续的各个数据包或连续的各个零窗口数据包的第二总数量,大于或等于4,则,连续的各个数据包或连续的各个零窗口数据包均为慢速攻击数据包。
例如,第二预设数量为4,若网络系统连续接收到了4个零窗口数据包,则,连续的各个数据包或连续的各个零窗口数据包的第二总数量为4,4等于第二预设数量,则,网络系统的传输层将连续的4个数据包或连续的4个零窗口数据包,均确定为慢速攻击数据包。
可选的,网络系统的传输层布设有负载均衡器,则,上述步骤102由该负载均衡器实现。网络系统的传输层布设有负载均衡器,可以提升该网络系统的性能。需要说明的是该负载均衡器的类型等不作具体限定。例如,该负载均衡器可以是基于DPDK开发的DPVS负载均衡器。
可选的,在前述步骤102之后,该方法还可以包括:所述网络系统的传输层,在所述请求不是慢速攻击请求的情况下,放行所述请求对应的数据包。就是说,在请求不是慢速攻击请求的情况下,正常转发或正常处理该请求对应的数据包,以保证正常数据包的转发和处理。
图2是本发明实施例提供的另一种慢速攻击识别方法的步骤流程图,该方法同样应用于前述的网络系统,参照图2所示,该方法包括如下步骤。
步骤201、接收请求对应的数据包。
步骤202、所述网络系统的传输层,在所述数据包满足预设的慢速攻击条件的情况下,将所述数据包确定为慢速攻击数据包,并在所述请求对应的数据包中包括慢速攻击数据包的情况下,将所述请求确定为慢速攻击请求。
该步骤201和步骤202可以分别参照前述的步骤101和步骤102,且能达到相同或相似的有益效果,为了避免重复,此处不再赘述。
步骤203、在所述请求为慢速攻击请求的情况下,针对所述请求进行防护操作。
在该请求为慢速攻击请求的情况下,针对该请求进行防护操作,可以尽可能的减少该慢速攻击请求带来的不良影响。
可选的,该步骤203可以包括:在该请求为慢速攻击请求的情况下,该网络系统的传输层,针对该请求进行防护操作,就是在网络系统的传输层就完成了慢速攻击请求的防护操作,无需在应用层进行慢速攻击请求的防护操作,应用层无需解析协议等,进而对慢速攻击请求的防护操作无需占用应用层的资源,使得应用层对于应用具有更高的处理性能。而且,传输层比应用层更靠前,在传输层就实现了对慢速攻击请求的防护操作,一方面,尽早实现了对慢速攻击请求的防护操作,保障了后端应用服务的资源利用,另一方面,免去了后端的各个应用服务均一一针对慢速攻击请求进行防护操作,大大降低了运维工作量。
可选的,前述在该请求为慢速攻击请求的情况下,该网络系统的传输层,针对该请求进行防护操作,可以包括下述步骤中的至少一种。
步骤S1、在所述请求为慢速攻击请求的情况下,所述网络系统的传输层,丢弃所述请求对应的数据包。
在该请求为慢速攻击请求的情况下,网络系统的传输层,丢弃该请求对应的数据包,也就是不响应该请求对应的数据包,可以减少该慢速攻击请求带来的不良影响。
步骤S2、在所述请求为慢速攻击请求的情况下,所述网络系统的传输层,断开所述请求对应的链接。
在该请求为慢速攻击请求的情况下,网络系统的传输层,断开该请求对应的链接,断开该请求对应的链接后,网络系统将不再接收该请求对应的数据包,可以减少该慢速攻击请求带来的不良影响。
步骤S3、在所述请求为慢速攻击请求的情况下,所述网络系统的传输层,将所述请求对应的源IP地址拉进黑名单。
在该请求为慢速攻击请求的情况下,网络系统的传输层,将该请求对应的源IP地址拉进黑名单,进而按照黑名单中的防护操作来对该请求进行防护操作,可以减少该慢速攻击请求带来的不良影响,并减少后续该源IP地带来的不良影响。
步骤S4、在所述请求为慢速攻击请求的情况下,所述网络系统的传输层,增加所述请求为慢速攻击请求的日志记录。
在该请求为慢速攻击请求的情况下,网络系统的传输层,增加该请求为慢速攻击请求的日志记录,便于后续查找等该慢速攻击请求。例如,在网络系统的测试环节,通过增加该慢速攻击请求的日志记录,可以尽可能多的掌握该网络系统容易遭受哪些慢速攻击请求等。
需要说明的是,在该请求为慢速攻击请求的情况下,网络系统的传输层具体执行一个还是多个上述步骤以进行防护操作,不作具体限定。例如,在该请求为慢速攻击请求的情况下,网络系统的传输层,可以断开该请求对应的链接,并将该请求对应的源IP地址拉进黑名单。
可选的,该步骤203可以包括:在该请求为慢速攻击请求,且该请求对应的数据包中慢速攻击数据包的第三总数量大于或等于第三预设数量的情况下,针对该请求进行防护操作,进而可以避免误操作。该第三预设数量可以根据实际需要进行设定,在本发明实施例中,对此不作具体限定。
可选的,该第三预设数量大于等于2,就是说,在该请求为慢速攻击请求,且该请求对应的数据包中慢速攻击数据包的第三总数量大于或等于2的情况下,针对该请求进行防护操作,进而可以避免误操作,且尽可能减少慢速攻击带来的不良影响。
例如,第三预设数量为2,网络系统一共接收到请求B对应的5个数据包,网络系统的传输层识别出该5个数据包中3个数据包是慢速攻击数据包,则请求B对应的数据包中慢速攻击数据包的第三总数量即为3,大于第三预设数量2,则,针对请求B进行防护操作。再例如,第三预设数量为2,网络系统一共接收到请求C对应的6个数据包,网络系统的传输层识别出该6个数据包中1个数据包是慢速攻击数据包,则请求C对应的数据包中慢速攻击数据包的第三总数量即为1,小于第三预设数量2,则,针对请求C不进行防护操作。
可选的,前述在该请求为慢速攻击请求,且该请求对应的数据包中慢速攻击数据包的第三总数量大于或等于第三预设数量的情况下,针对该请求进行防护操作,可以包括:在该请求为慢速攻击请求,且在预设周期内该请求对应的数据包中慢速攻击数据包的第三总数量,大于或等于该第三预设数量的情况下,网络系统的传输层,针对该请求进行防护操作,可以进一步减少误操作,而且,在网络系统的传输层就完成了慢速攻击请求的防护操作,无需在应用层进行慢速攻击请求的防护操作,应用层无需解析协议等,进而对慢速攻击请求的防护操作无需占用应用层的资源,使得应用层对于应用具有更高的处理性能。而且,传输层比应用层更靠前,在传输层就实现了对慢速攻击请求的防护操作,一方面,尽早实现了对慢速攻击请求的防护操作,保障了后端应用服务的资源利用,另一方面,免去了后端的各个应用服务均一一针对慢速攻击请求进行防护操作,大大降低了运维工作量。
需要说明的是,该预设周期可以根据实际需要进行设定,在本发明实施例中,对于该预设周期的大小不作具体限定。例如,该预设周期可以为900秒。
可选的,前述的在该请求为慢速攻击请求,且在预设周期内所述请求对应的数据包中慢速攻击数据包的第三总数量,大于或等于所述第三预设数量的情况下,所述网络系统的传输层,针对所述请求进行防护操作,包括下述步骤中的至少一种。
步骤X1、在所述请求为慢速攻击请求,且在所述预设周期内所述请求对应的数据包中慢速攻击数据包的第三总数量,大于或等于所述第三预设数量的情况下,所述网络系统的传输层,丢弃所述请求对应的数据包。
步骤X2、在所述请求为慢速攻击请求,且在所述预设周期内所述请求对应的数据包中慢速攻击数据包的第三总数量,大于或等于所述第三预设数量的情况下,所述网络系统的传输层,断开所述请求对应的链接。
步骤X3、在所述请求为慢速攻击请求,且在所述预设周期内所述请求对应的数据包中慢速攻击数据包的第三总数量,大于或等于所述第三预设数量的情况下,所述网络系统的传输层,将所述请求对应的源IP地址拉进黑名单。
步骤X4、在所述请求为慢速攻击请求,且在所述预设周期内所述请求对应的数据包中慢速攻击数据包的第三总数量,大于或等于所述第三预设数量的情况下,所述网络系统的传输层,增加所述请求为慢速攻击请求的日志记录。
上述步骤X1至步骤X4,可以对应参照前述步骤S1至步骤S4,以及前述有关内容,为了避免重复此处不再赘述。上述步骤X1至步骤X4,可以进一步减少误操作,而且,在网络系统的传输层就完成了慢速攻击请求的防护操作,无需在应用层进行慢速攻击请求的防护操作,应用层无需解析协议等,进而对慢速攻击请求的防护操作无需占用应用层的资源,使得应用层对于应用具有更高的处理性能。而且,传输层比应用层更靠前,在传输层就实现了对慢速攻击请求的防护操作,一方面,尽早实现了对慢速攻击请求的防护操作,保障了后端应用服务的资源利用,另一方面,免去了后端的各个应用服务均一一针对慢速攻击请求进行防护操作,大大降低了运维工作量。
需要说明的是,该申请的慢速攻击识别方法的某些步骤的执行先后顺序不作具体限定。
图3是本发明实施例提供的一种慢速攻击识别装置的结构图,该装置应用于网络系统,该装置可以包括:接收模块301,用于接收请求对应的数据包。
以及识别模块302,用于该网络系统的传输层,在前述数据包满足预设的慢速攻击条件的情况下,将前述数据包确定为慢速攻击数据包,并在该请求对应的数据包中包括慢速攻击数据包的情况下,将该请求确定为慢速攻击请求。
可选的,识别模块302,可以包括下述子模块中的至少一种。
第一识别子模块,用于所述网络系统的传输层,在连续的各个数据包均是小数据包,且所述连续的各个数据包的第一总数量,大于或等于第一预设数量的情况下,将所述连续的各个数据包,均确定为慢速攻击数据包;所述小数据包的长度,小于或等于预设长度。
第二识别子模块,用于所述网络系统的传输层,在同一请求对应的相邻两个数据包的接收时刻之间的间隔时长,大于或等于预设时长的情况下,将所述相邻两个数据包,均确定为慢速攻击数据包;
第三识别子模块,用于所述网络系统的传输层,在所述请求对应的SYN数据包中的窗口值小于或等于预设窗口值的情况下,将所述SYN数据包确定为慢速攻击数据包。
第四识别子模块,用于所述网络系统的传输层,在连续的各个数据包均是零窗口数据包,且所述连续的各个数据包的第二总数量,大于或等于第二预设数量的情况下,将所述连续的各个数据包,均确定为慢速攻击数据包;所述零窗口数据包中的窗口值为0。
可选的,慢速攻击识别装置还可以包括:防护模块,用于在所述请求为慢速攻击请求的情况下,针对所述请求进行防护操作。
可选的,所述防护模块,可以包括:第一防护子模块,用于在所述请求为慢速攻击请求的情况下,所述网络系统的传输层,针对所述请求进行防护操作。
可选的,所述第一防护子模块,可以包括下述单元中的至少一种。
第一防护单元,用于在所述请求为慢速攻击请求的情况下,所述网络系统的传输层,丢弃所述请求对应的数据包。
第二防护单元,用于在所述请求为慢速攻击请求的情况下,所述网络系统的传输层,断开所述请求对应的链接。
第三防护单元,用于在所述请求为慢速攻击请求的情况下,所述网络系统的传输层,将所述请求对应的源IP地址拉进黑名单。
第四防护单元,用于在所述请求为慢速攻击请求的情况下,所述网络系统的传输层,增加所述请求为慢速攻击请求的日志记录。
可选的,所述防护模块,可以包括:第二防护子模块,用于在所述请求为慢速攻击请求,且所述请求对应的数据包中慢速攻击数据包的第三总数量大于或等于第三预设数量的情况下,针对所述请求进行防护操作。
可选的,所述第二防护子模块,可以包括:第五防护单元,用于在所述请求为慢速攻击请求,且在预设周期内所述请求对应的数据包中慢速攻击数据包的第三总数量,大于或等于所述第三预设数量的情况下,所述网络系统的传输层,针对所述请求进行防护操作。
可选的,所述第五防护单元,可以包括下述子单元中的至少一种。
第一子单元,用于在所述请求为慢速攻击请求,且在所述预设周期内所述请求对应的数据包中慢速攻击数据包的第三总数量,大于或等于所述第三预设数量的情况下,所述网络系统的传输层,丢弃所述请求对应的数据包。
第二子单元,用于在所述请求为慢速攻击请求,且在所述预设周期内所述请求对应的数据包中慢速攻击数据包的第三总数量,大于或等于所述第三预设数量的情况下,所述网络系统的传输层,断开所述请求对应的链接。
第三子单元,用于在所述请求为慢速攻击请求,且在所述预设周期内所述请求对应的数据包中慢速攻击数据包的第三总数量,大于或等于所述第三预设数量的情况下,所述网络系统的传输层,将所述请求对应的源IP地址拉进黑名单。
第四子单元,用于在所述请求为慢速攻击请求,且在所述预设周期内所述请求对应的数据包中慢速攻击数据包的第三总数量,大于或等于所述第三预设数量的情况下,所述网络系统的传输层,增加所述请求为慢速攻击请求的日志记录。
可选的,所述传输层布设有负载均衡器。
可选的,慢速攻击识别装置还可以包括:放行模块,用于所述网络系统的传输层,在所述请求不是慢速攻击请求的情况下,放行所述请求对应的数据包。
可选的,所述第一预设数量大于或等于3;所述预设时长大于或等于120秒;所述第二预设数量大于或等于4。
可选的,所述第三预设数量大于或等于2。
该慢速攻击识别装置与任一前述的慢速攻击识别方法具有相同或相似的有益效果,为了避免重复此处不再赘述。
下面结合具体的实施例,进一步解释说明本申请。
实施例
图4示出了本发明实施例提供的一种网络系统的局部架构示意图。图5示出了本发明实施例提供的一种网络系统的初始化流程示意图。图6示出了本发明实施例提供的一种网络系统的慢速攻击的流程示意图。
参照图4所示,该网络系统中,网络系统的传输层布设有负载均衡器,负载均衡器实现慢速攻击请求的识别,以及针对该慢速攻击请求进行防护操作。负载均衡器在请求不是慢速攻击请求的情况下,将该请求对应的数据包放行,上述数据包可以转发至对应的应用服务。该网络系统包括的应用服务包括:应用服务Nginx、应用服务Apache,以及其他应用服务。
参照图5所示,本实施例中,网络系统的程序启动后,会加载识别模块和防护模块,然后读取前述的第一预设数量、第二预设数量、第三预设数量、预设长度、预设时长、预设窗口值等配置,配置读取后,则初始化流程完成。
该实施例中的上述配置可以如下程序段所示。
{
"slowhttp":{
"enalbe" : 0, //char型,防护识别开关 1开启,0关闭,默认为0
"action_sip": 1, //char型,对源IP采取的措施: 1drop,2断连,3拉黑,4断连并拉黑,5日志记录,默认为1
"expire_time": 300, //int型,拉黑超时时间
"period": 900, //int型,阈值统计周期,默认900s
"defense": [
{//针对80端口,如果满足以下情况之一,
"port": 80, //uint16_t型,用于指定该端口服务的是http服务
"http_request_size_limit":50,//payload的大小,当连续超过http_request_count_limit个数,则视为异常。
"http_request_count_limit": 3, //连续几个payload小于http_request_size_limit的个数,最大7个,0表示不参与异常统计
"http_package_interval_limit": 120,//两数据个包之间的间隔时长,大于该值,当连续超过http_package_timeout_count则视为异常。
"http_package_interval_count_limit": 2,//连续几个包,包间隔时长大于http_package_timeout_limit的个数。最大7个,0表示不参与异常统计
"tcp_syn_win_size_limit": 512,//uint16_t型,SYN数据包中的窗口值低于该值,视为异常。默认值512,0表示不参与异常统计
"tcp_zero_win_count_limit": 4 ,//连续收到零窗口数据包的个数,超过该值视为异常,最大7个,0表示不参与异常统计
"exception_count_limit": 2,//int型,异常次数阈值,阈值统计周期内超过2次,执行action_sip动作即防护操作
}
]
}
}
具体的,参照图6所示,1.数据包经过前述的slowhttp_process处理逻辑。
2.先从req->l4hdr获取dst_port,匹配不到,放行。
3.匹配到的话,则进行慢速攻击识别。
(1).连续收到的http数据包的大小小于或等于http_request_size_limit的包个数大于或等于http_request_count_limit,视为攻击。http_request_size_limit中限定的是预设长度,http_request_count_limit限定的是第一预设数量。
(2).针对同一请求,连续收到的相邻两个数据包的接收时刻之间的间隔时长,大于或等于http_package_interval_limit的数据包个数超过http_package_interval_count_limit,则视为攻击。http_package_interval_limit限制的是预设时长,http_package_interval_count_limit限制的是相邻的两个数据包。
(3).tcp SYN包中的窗口值小于tcp_syn_win_size_limit,则视为攻击。tcp_syn_win_size_limit限定的是预设窗口值。
(4).连续收到zero windows的个数大tcp_zero_win_count_limit 则视为攻击。tcp_zero_win_count_limit限定的是第二预设数量。
4.Slowhttp防护操作过程。
(1).当识别模块检测到上述攻击的任何一种时,慢速攻击数据包的计数器累加。
(2).当统计周期内(period),针对该同一请求的统计慢速攻击数据包数大于exception_count_limit,则对该请求执行action_sip防护操作。period 限定的是预设周期,exception_count_limit限定的是第三预设数量。
本发明还提供了一种电子设备,参见图7,包括:处理器901、存储器902以及存储在所述存储器上并可在所述处理器上运行的计算机程序9021,所述处理器执行所述程序时实现前述实施例的慢速攻击识别方法。
本发明还提供了一种可读存储介质,当所述存储介质中的指令由电子设备的处理器执行时,使得电子设备能够执行前述实施例的慢速攻击识别方法。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,本发明实施例中获取的各种信息、数据,均是在得到信息/数据持有方授权的情况下获取的。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的替代特征来代替。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明的排序设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明所涉及的用户信息(包括但不限于用户的设备信息、用户个人信息等)、相关数据等均为经用户授权或经各方授权后的信息。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (14)
1.一种慢速攻击识别方法,其特征在于,应用于网络系统,所述方法包括:
接收请求对应的数据包;
所述网络系统的传输层,在所述数据包满足预设的慢速攻击条件的情况下,将所述数据包确定为慢速攻击数据包,并在所述请求对应的数据包中包括慢速攻击数据包的情况下,将所述请求确定为慢速攻击请求;
所述网络系统的传输层,在所述数据包满足预设的慢速攻击条件的情况下,将所述数据包确定为慢速攻击数据包,包括下述步骤中的至少一种:
所述网络系统的传输层,在连续的各个数据包均是小数据包,且所述连续的各个数据包的第一总数量,大于或等于第一预设数量的情况下,将所述连续的各个数据包,均确定为慢速攻击数据包;所述小数据包的长度,小于或等于预设长度;
所述网络系统的传输层,在同一请求对应的相邻两个数据包的接收时刻之间的间隔时长,大于或等于预设时长的情况下,将所述相邻两个数据包,均确定为慢速攻击数据包;
所述网络系统的传输层,在所述请求对应的SYN数据包中的窗口值小于或等于预设窗口值的情况下,将所述SYN数据包确定为慢速攻击数据包;
所述网络系统的传输层,在连续的各个数据包均是零窗口数据包,且所述连续的各个数据包的第二总数量,大于或等于第二预设数量的情况下,将所述连续的各个数据包,均确定为慢速攻击数据包;所述零窗口数据包中的窗口值为0。
2.根据权利要求1所述的慢速攻击识别方法,其特征在于,所述方法还包括:
在所述请求为慢速攻击请求的情况下,针对所述请求进行防护操作。
3.根据权利要求2所述的慢速攻击识别方法,其特征在于,所述在所述请求为慢速攻击请求的情况下,针对所述请求进行防护操作,包括:
在所述请求为慢速攻击请求的情况下,所述网络系统的传输层,针对所述请求进行防护操作。
4.根据权利要求3所述的慢速攻击识别方法,其特征在于,所述在所述请求为慢速攻击请求的情况下,所述网络系统的传输层,针对所述请求进行防护操作,包括下述步骤中的至少一种:
在所述请求为慢速攻击请求的情况下,所述网络系统的传输层,丢弃所述请求对应的数据包;
在所述请求为慢速攻击请求的情况下,所述网络系统的传输层,断开所述请求对应的链接;
在所述请求为慢速攻击请求的情况下,所述网络系统的传输层,将所述请求对应的源IP地址拉进黑名单;
在所述请求为慢速攻击请求的情况下,所述网络系统的传输层,增加所述请求为慢速攻击请求的日志记录。
5.根据权利要求2所述的慢速攻击识别方法,其特征在于,所述在所述请求为慢速攻击请求的情况下,针对所述请求进行防护操作,包括:
在所述请求为慢速攻击请求,且所述请求对应的数据包中慢速攻击数据包的第三总数量大于或等于第三预设数量的情况下,针对所述请求进行防护操作。
6.根据权利要求5所述的慢速攻击识别方法,其特征在于,所述在所述请求为慢速攻击请求,且所述请求对应的数据包中慢速攻击数据包的第三总数量大于或等于第三预设数量的情况下,针对所述请求进行防护操作,包括:
在所述请求为慢速攻击请求,且在预设周期内所述请求对应的数据包中慢速攻击数据包的第三总数量,大于或等于所述第三预设数量的情况下,所述网络系统的传输层,针对所述请求进行防护操作。
7.根据权利要求6所述的慢速攻击识别方法,其特征在于,所述在所述请求为慢速攻击请求,且在预设周期内所述请求对应的数据包中慢速攻击数据包的第三总数量,大于或等于所述第三预设数量的情况下,所述网络系统的传输层,针对所述请求进行防护操作,包括下述步骤中的至少一种:
在所述请求为慢速攻击请求,且在所述预设周期内所述请求对应的数据包中慢速攻击数据包的第三总数量,大于或等于所述第三预设数量的情况下,所述网络系统的传输层,丢弃所述请求对应的数据包;
在所述请求为慢速攻击请求,且在所述预设周期内所述请求对应的数据包中慢速攻击数据包的第三总数量,大于或等于所述第三预设数量的情况下,所述网络系统的传输层,断开所述请求对应的链接;
在所述请求为慢速攻击请求,且在所述预设周期内所述请求对应的数据包中慢速攻击数据包的第三总数量,大于或等于所述第三预设数量的情况下,所述网络系统的传输层,将所述请求对应的源IP地址拉进黑名单;
在所述请求为慢速攻击请求,且在所述预设周期内所述请求对应的数据包中慢速攻击数据包的第三总数量,大于或等于所述第三预设数量的情况下,所述网络系统的传输层,增加所述请求为慢速攻击请求的日志记录。
8.根据权利要求1至7中任一所述的慢速攻击识别方法,其特征在于,所述传输层布设有负载均衡器。
9.根据权利要求1至7中任一所述的慢速攻击识别方法,其特征在于,所述方法还包括:
所述网络系统的传输层,在所述请求不是慢速攻击请求的情况下,放行所述请求对应的数据包。
10.根据权利要求1所述的慢速攻击识别方法,其特征在于,所述第一预设数量大于或等于3;
所述预设时长大于或等于120秒;
所述第二预设数量大于或等于4。
11.根据权利要求5所述的慢速攻击识别方法,其特征在于,所述第三预设数量大于或等于2。
12.一种慢速攻击识别装置,其特征在于,应用于网络系统,包括:
接收模块,用于接收请求对应的数据包;
识别模块,用于所述网络系统的传输层,在所述数据包满足预设的慢速攻击条件的情况下,将所述数据包确定为慢速攻击数据包,并在所述请求对应的数据包中包括慢速攻击数据包的情况下,将所述请求确定为慢速攻击请求;
所述识别模块,包括下述子模块中的至少一种:
第一识别子模块,用于所述网络系统的传输层,在连续的各个数据包均是小数据包,且所述连续的各个数据包的第一总数量,大于或等于第一预设数量的情况下,将所述连续的各个数据包,均确定为慢速攻击数据包;所述小数据包的长度,小于或等于预设长度;
第二识别子模块,用于所述网络系统的传输层,在同一请求对应的相邻两个数据包的接收时刻之间的间隔时长,大于或等于预设时长的情况下,将所述相邻两个数据包,均确定为慢速攻击数据包;
第三识别子模块,用于所述网络系统的传输层,在所述请求对应的SYN数据包中的窗口值小于或等于预设窗口值的情况下,将所述SYN数据包确定为慢速攻击数据包;
第四识别子模块,用于所述网络系统的传输层,在连续的各个数据包均是零窗口数据包,且所述连续的各个数据包的第二总数量,大于或等于第二预设数量的情况下,将所述连续的各个数据包,均确定为慢速攻击数据包;所述零窗口数据包中的窗口值为0。
13.一种电子设备,其特征在于,包括:
处理器、存储器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如权利要求1至11中任一所述的方法。
14.一种可读存储介质,其特征在于,当所述存储介质中的指令由电子设备的处理器执行时,使得电子设备能够执行权利要求1至11中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310042925.1A CN116074083B (zh) | 2023-01-28 | 2023-01-28 | 慢速攻击识别方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310042925.1A CN116074083B (zh) | 2023-01-28 | 2023-01-28 | 慢速攻击识别方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116074083A CN116074083A (zh) | 2023-05-05 |
| CN116074083B true CN116074083B (zh) | 2023-06-23 |
Family
ID=86181591
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310042925.1A Active CN116074083B (zh) | 2023-01-28 | 2023-01-28 | 慢速攻击识别方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116074083B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111478893A (zh) * | 2020-04-02 | 2020-07-31 | 中核武汉核电运行技术股份有限公司 | 一种慢速http攻击的检测方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20140122044A (ko) * | 2013-04-09 | 2014-10-17 | 한국전자통신연구원 | 슬로우 리드 도스 공격 탐지 장치 및 방법 |
| CN105591832B (zh) * | 2014-11-13 | 2019-12-10 | 腾讯数码(天津)有限公司 | 应用层慢速攻击检测方法和相关装置 |
| KR102135024B1 (ko) * | 2019-11-25 | 2020-07-20 | 한국인터넷진흥원 | IoT 디바이스에 대한 사이버 공격의 종류를 식별하는 방법 및 그 장치 |
| CN113242260B (zh) * | 2021-06-09 | 2023-02-21 | 中国银行股份有限公司 | 攻击检测方法、装置、电子设备及存储介质 |
| CN115242551B (zh) * | 2022-09-21 | 2022-12-06 | 北京中科网威信息技术有限公司 | 慢速攻击的防御方法、装置、电子设备及存储介质 |
-
2023
- 2023-01-28 CN CN202310042925.1A patent/CN116074083B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111478893A (zh) * | 2020-04-02 | 2020-07-31 | 中核武汉核电运行技术股份有限公司 | 一种慢速http攻击的检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116074083A (zh) | 2023-05-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8149705B2 (en) | Packet communications unit | |
| CN110266678B (zh) | 安全攻击检测方法、装置、计算机设备及存储介质 | |
| CN108173812B (zh) | 防止网络攻击的方法、装置、存储介质和设备 | |
| US8856913B2 (en) | Method and protection system for mitigating slow HTTP attacks using rate and time monitoring | |
| US7930740B2 (en) | System and method for detection and mitigation of distributed denial of service attacks | |
| CN110198293B (zh) | 服务器的攻击防护方法、装置、存储介质和电子装置 | |
| CN100588201C (zh) | 一种针对DDoS攻击的防御方法 | |
| CN110830457B (zh) | 一种基于蜜罐诱导的攻击感知方法、装置、设备及介质 | |
| US8769681B1 (en) | Methods and system for DMA based distributed denial of service protection | |
| Cambiaso et al. | Slowcomm: Design, development and performance evaluation of a new slow DoS attack | |
| Moustis et al. | Evaluating security controls against HTTP-based DDoS attacks | |
| CN110365658B (zh) | 一种反射攻击防护与流量清洗方法、装置、设备及介质 | |
| US7478168B2 (en) | Device, method and program for band control | |
| US20050060557A1 (en) | Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs | |
| CN109981629A (zh) | 病毒防护方法、装置、设备及存储介质 | |
| CN111756685A (zh) | 一种基于假设检验的ddos攻击检测方法 | |
| Sudar et al. | TFAD: TCP flooding attack detection in software-defined networking using proxy-based and machine learning-based mechanisms | |
| CN113242260B (zh) | 攻击检测方法、装置、电子设备及存储介质 | |
| US20030074434A1 (en) | Determination of message source in network communications | |
| Rana et al. | A Study and Detection of TCP SYN Flood Attacks with IP spoofing and its Mitigations | |
| EP1154610A2 (en) | Methods and system for defeating TCP Syn flooding attacks | |
| CN116074083B (zh) | 慢速攻击识别方法、装置、电子设备及存储介质 | |
| KR20130022089A (ko) | 서비스 거부 공격에 대한 tcp연결 해제 방법 및 장치 | |
| Dharmadhikari et al. | Comparative Analysis of DDoS Mitigation Algorithms in SDN | |
| CN114679309A (zh) | 报文检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: 100007 room 205-32, floor 2, building 2, No. 1 and No. 3, qinglonghutong a, Dongcheng District, Beijing Patentee after: Tianyiyun Technology Co.,Ltd. Address before: 100093 Floor 4, Block E, Xishan Yingfu Business Center, Haidian District, Beijing Patentee before: Tianyiyun Technology Co.,Ltd. |