CN117596079A - 分布式拒绝服务攻击检测方法、装置、电子设备及介质 - Google Patents

分布式拒绝服务攻击检测方法、装置、电子设备及介质 Download PDF

Info

Publication number
CN117596079A
CN117596079A CN202410074112.5A CN202410074112A CN117596079A CN 117596079 A CN117596079 A CN 117596079A CN 202410074112 A CN202410074112 A CN 202410074112A CN 117596079 A CN117596079 A CN 117596079A
Authority
CN
China
Prior art keywords
dimension
data
address
destination
source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410074112.5A
Other languages
English (en)
Inventor
钟竹
马学聪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Abt Networks Co ltd
Original Assignee
Beijing Abt Networks Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Abt Networks Co ltd filed Critical Beijing Abt Networks Co ltd
Priority to CN202410074112.5A priority Critical patent/CN117596079A/zh
Publication of CN117596079A publication Critical patent/CN117596079A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种分布式拒绝服务攻击检测方法、装置、电子设备及介质,其方法包括:获取实时流量数据;将实时流量数据按照源IP地址、源端口、目的IP地址以及目的端口进行分类,得到多维度数据类别;根据多维度数据类别中数据包的属性统计对应的报文数量得到多维度基线统计表;根据历史数据得到基线模型;将多维度基线统计表中的每个报文数量按照多维度数据类别与基线模型比对,确定实时流量数据是否存在异常。本发明从多个维度对流量数据的报文数量进行统计,并将统计结果与历史流量数据进行比较判断是否存在异常,从而提高分布式拒绝服务攻击检测和防御效果。

Description

分布式拒绝服务攻击检测方法、装置、电子设备及介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种分布式拒绝服务攻击检测方法、装置、电子设备及介质。
背景技术
分布式拒绝服务攻击(Distributed Denial of Service,DDoS)是一种常见的网络攻击方式,其通过大量合法或非法请求,使目标服务器过载,从而使得合法用户无法访问服务。这种攻击方式严重影响了网络服务的正常运行,给企业和个人带来了巨大的损失。
动态基线技术是一种针对DDoS攻击的检测和防御方法,它基于维度(如流量大小、连接数等)进行动态基线的建立和检测。在这种技术中,首先通过对历史流量数据进行学习,建立代表正常网络行为的基线模型。这个基线模型会根据单一维度的指标进行动态调整,以适应网络流量的变化。
现有的防御技术往往针对单一维度的攻击,难以有效地抵御复杂多变的DDoS攻击。
发明内容
有鉴于此,有必要提供一种分布式拒绝服务攻击检测方法,用以解决现有技术中针对单一维度的攻击进行防御的问题。
为了解决上述问题,本发明提供一种分布式拒绝服务攻击检测方法,包括:
获取实时流量数据;
将所述实时流量数据按照源IP地址、源端口、目的IP地址以及目的端口进行分类,得到多维度数据类别;
根据所述多维度数据类别中数据包的属性统计对应的报文数量得到多维度基线统计表;
根据历史数据得到基线模型;
将所述多维度基线统计表中的每个报文数量按照所述多维度数据类别与所述基线模型进行比对,确定所述实时流量数据是否存在异常。
在一些可能的实现方式中,所述多维度数据类别,包括:第一维度、第二维度、第三维度、第四维度、第五维度、第六维度、第七维度、第八维度、第九维度、第十维度、第十一维度、第十二维度、第十三维度、第十四维度和第十五维度:
所述第一维度包括源IP地址;
所述第二维度包括源IP地址和目的IP地址;
所述第三维度包括源IP地址和源端口;
所述第四维度包括源IP地址和目的端口;
所述第五维度包括源IP地址、源端口和目的端口;
所述第六维度包括源IP地址、源端口和目的IP地址;
所述第七维度包括源IP地址、目的IP地址和源端口;
所述第八维度包括源IP地址、源端口、目的IP地址以及目的端口;
所述第九维度包括目的IP地址;
所述第十维度包括目的IP地址和源端口;
所述第十一维度包括目的IP地址和目的端口;
所述第十二维度包括目的IP地址、源端口和目的端口;
所述第十三维度包括源端口;
所述第十四维度包括源端口和目的端口;
所述第十五维度包括目的端口。
在一些可能的实现方式中,所述数据包的属性包括:tcp连接首包数、tcp连接关闭包数、udp报文数、icmp协议报文数、分片报文数、http协议报文数、ssl协议报文数、dns请求包、dns响应包、流数、新建流数、入口流量大小以及出口流量大小中的一种或者多种。
在一些可能的实现方式中,根据历史数据得到基线模型,包括:
按照预设时间间隔统计若干天的历史流量数据;
将所述历史流量数据按照所述多维度数据类别统计各个维度的报文数量;
计算各个时刻所述各个维度的报文数量的峰值或均值,得到基线模型。
在一些可能的实现方式中,所述将所述多维度基线统计表中的每个报文数量按照所述多维度数据类别与所述基线模型进行比对,确定所述实时流量数据是否存在异常,包括:
将所述多维度基线统计表中的每个报文数量和与其对应时刻的基线模型中的报文数量的峰值或均值进行比对,确定所述实时流量数据是否存在异常。
在一些可能的实现方式中,确定所述实时流量数据是否存在异常,包括:
当所述多维度基线统计表中的每个报文数量大于与其对应时刻的基线模型中的报文数量的峰值或均值,确定所述多维度基线统计表对应的流量数据存在异常。
在一些可能的实现方式中,如果所述历史数据中存在攻击,剔除攻击时所述历史数据中的噪音数据。
另一方面,本发明还提供了一种分布式拒绝服务攻击检测装置,包括:
流量数据获取模块,用于获取实时流量数据;
类别获取模块,用于将所述实时流量数据按照源IP地址、源端口、目的IP地址以及目的端口进行分类,得到多维度数据类别;
基线统计表获取模块,用于根据所述多维度数据类别中数据包的属性统计对应的报文数量得到多维度基线统计表;
基线模型获取模块,用于根据历史数据得到基线模型;
异常判断模块,用于将所述多维度基线统计表中的每个报文数量按照所述多维度数据类别与所述基线模型进行比对,确定所述实时流量数据是否存在异常。
另一方面,本发明还提供了一种电子设备,包括存储器和处理器,其中,
所述存储器,用于存储程序;
所述处理器,与所述存储器耦合,用于执行所述存储器中存储的所述程序,以实现上述任意一种实现方式中所述的一种分布式拒绝服务攻击检测方法中的步骤。
另一方面,本发明还提供了一种计算机可读存储介质,用于存储计算机可读取的程序或指令,所述程序或指令被处理器执行时能够实现上述任意一种实现方式中所述的一种分布式拒绝服务攻击检测方法中的步骤。
采用上述实施例的有益效果是:本发明提供的一种分布式拒绝服务攻击检测方法,获取实时流量数据并将实时流量数据按照源IP地址、源端口、目的IP地址以及目的端口进行分类,得到多维度数据类别,进一步根据多维度数据类别中数据包的属性统计对应的报文数量得到多维度基线统计表,进一步根据历史数据得到基线模型进一步将多维度基线统计表中的每个报文数量按照多维度数据类别与基线模型比对,最终确定实时流量数据是否存在异常。本发明从多个维度对流量数据的报文数量进行统计,并将统计结果与历史流量数据进行比较判断是否存在异常,从而提高分布式拒绝服务攻击检测和防御效果。
附图说明
图1为本发明提供的一种分布式拒绝服务攻击检测方法一实施例的方法流程图;
图2为本发明提供的一种分布式拒绝服务攻击检测装置的一个实施例结构示意图;
图3为本发明提供的电子设备的一个实施例结构示意图。
具体实施方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理,并非用于限定本发明的范围。
图1为本发明提供的一种分布式拒绝服务攻击检测方法的一个实施例流程示意图,如图1所示,一种分布式拒绝服务攻击检测方法,包括:
S101、获取实时流量数据;
S102、将所述实时流量数据按照源IP地址、源端口、目的IP地址以及目的端口进行分类,得到多维度数据类别;
S103、根据所述多维度数据类别中数据包的属性统计对应的报文数量得到多维度基线统计表;
S104、根据历史数据得到基线模型;
S105、将所述多维度基线统计表中的每个报文数量按照所述多维度数据类别与所述基线模型进行比对,确定所述实时流量数据是否存在异常。
与现有技术相比,本实施例提供的一种分布式拒绝服务攻击检测方法,获取实时流量数据并将实时流量数据按照源IP地址、源端口、目的IP地址以及目的端口进行分类,得到多维度数据类别,进一步根据多维度数据类别中数据包的属性统计对应的报文数量得到多维度基线统计表,进一步根据历史数据得到基线模型进一步将多维度基线统计表中的每个报文数量按照多维度数据类别与基线模型比对,最终确定实时流量数据是否存在异常。本发明从多个维度对流量数据的报文数量进行统计,并将统计结果与历史流量数据进行比较判断是否存在异常,从而提高分布式拒绝服务攻击检测和防御效果。
在本发明的一些实施例中,所述多维度数据类别,包括:第一维度、第二维度、第三维度、第四维度、第五维度、第六维度、第七维度、第八维度、第九维度、第十维度、第十一维度、第十二维度、第十三维度、第十四维度和第十五维度:
所述第一维度包括源IP地址;
所述第二维度包括源IP地址和目的IP地址;
所述第三维度包括源IP地址和源端口;
所述第四维度包括源IP地址和目的端口;
所述第五维度包括源IP地址、源端口和目的端口;
所述第六维度包括源IP地址、源端口和目的IP地址;
所述第七维度包括源IP地址、目的IP地址和源端口;
所述第八维度包括源IP地址、源端口、目的IP地址以及目的端口;
所述第九维度包括目的IP地址;
所述第十维度包括目的IP地址和源端口;
所述第十一维度包括目的IP地址和目的端口;
所述第十二维度包括目的IP地址、源端口和目的端口;
所述第十三维度包括源端口;
所述第十四维度包括源端口和目的端口;
所述第十五维度包括目的端口。
在本发明的具体实施例中,用keymask代表多维度数据类别即15种组合,源IP地址sip、源端口sport、目的IP地址dip以及目的端口dport,15 种组合方式:分别是<sip>,<sip,dip>,<sip,sport>,<sip,dip,sport>,<sip,dip,sport,dport>,<sip,sport>,<sip,sport,dport>,<dip>,<dip,sport>,<dip,dport>,<dip,sport,dport>,<sport>,<sport,dport>,<dport>每种组合方式,都有对应的表存在keymasks,是当前DFI规则使用的keymask的累加,当一个报文到达时,会根据 keymasks的值查找当前使用的几个表。如当前规则中有根据目的IP、源IP的统计维度,则一个报文到达时,只会查找这两个表。
在本发明的一些实施例中,所述数据包的属性包括:tcp连接的首包数、tcp连接关闭包数、udp报文数、icmp协议报文数、分片报文数、http协议报文数、ssl协议报文数、dns请求包、dns响应包、流数、新建流数、入口流量大小以及出口流量大小中的一种或者多种。
在本发明的一些实施例中,根据历史数据得到基线模型,包括:
按照预设时间间隔统计若干天的历史流量数据;
将所述历史流量数据按照所述多维度数据类别统计各个维度的报文数量;
计算各个时刻所述各个维度的报文数量的峰值或均值,得到基线模型。
在本发明的具体实施例中,按五分钟粒度即五分钟的数据取峰值和均值),统计每天的基线阈值,保留最近一个月的基线阈值。
历史流量数据的统计还可以按月日对比,即对比上月同天数据,或者按周天对比,即对比上周同天数据,或者按天数对比,例如对比昨天数据。
当程序重启时,可以获取以前存储的历史数据基线值。为了满足该需求,设计如下:
每隔300秒记录一个数据,保留最多15天的数据,即历史基线表大小为4320(15*24*6015)。
系统开始启动时,可能不是从300 秒的整数倍开始,此时只统计当前时刻到下一个300 秒开始的数据(即调整时间段为300秒的整数倍),index= time()%30。
时间取uinx时间,根据uinx时间可以获取其在历史基线表中的下标 index=(time()/300%4320),如果index位置有数据,则表明是15天前的数据,直接覆盖。
正常时的业务值为零,则学习记录到的数据为零,使用数据库存储(推荐redis)历史基线数据 (index和value都要存储),重启后可以加载。
在一些可能的实现方式中,所述将所述多维度基线统计表中的每个报文数量按照所述多维度数据类别与所述基线模型进行比对,确定所述实时流量数据是否存在异常,包括:
将所述多维度基线统计表中的每个报文数量和与其对应时刻的基线模型中的报文数量的峰值或均值进行比对,确定所述实时流量数据是否存在异常。
在本发明的一些实施例中,所述确定所述实时流量数据是否存在异常,包括:
当所述多维度基线统计表中的每个报文数量大于与其对应时刻的基线模型中的报文数量的峰值或均值,确定所述多维度基线统计表对应的流量数据存在异常。
在本发明的一些实施例中,如果所述历史数据中存在攻击,剔除攻击时所述历史数据中的噪音数据。
为了更好实施本发明实施例中的一种分布式拒绝服务攻击检测方法,在一种分布式拒绝服务攻击检测方法基础之上,对应地,如图2所示,本发明实施例还提供了一种分布式拒绝服务攻击检测装置,一种分布式拒绝服务攻击检测装置200包括:
流量数据获取模块201,用于获取实时流量数据;
类别获取模块202,用于将所述实时流量数据按照源IP地址、源端口、目的IP地址以及目的端口进行分类,得到多维度数据类别;
基线统计表获取模块203,用于根据所述多维度数据类别中数据包的属性统计对应的报文数量得到多维度基线统计表;
基线模型获取模块204,用于根据历史数据得到基线模型;
异常判断模块205,用于将所述多维度基线统计表中的每个报文数量按照所述多维度数据类别与所述基线模型进行比对,确定所述实时流量数据是否存在异常。上述实施例提供的一种分布式拒绝服务攻击检测装置200可实现上述一种分布式拒绝服务攻击检测方法实施例中描述的技术方案,上述各模块或单元具体实现的原理可参见上述一种分布式拒绝服务攻击检测方法实施例中的相应内容,此处不再赘述。
如图3所示,本发明还相应提供了一种电子设备300。该电子设备300包括处理器301、存储器302及显示器303。图3仅示出了电子设备300的部分组件,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
处理器301在一些实施例中可以是一中央处理器(Central Processing Unit,CPU),微处理器或其他数据处理芯片,用于运行存储器302中存储的程序代码或处理数据,例如本发明中的一种分布式拒绝服务攻击检测方法。
在一些实施例中,处理器301可以是单个服务器或服务器组。服务器组可为集中式或分布式的。在一些实施例中,处理器301可为本地的或远程的。在一些实施例中,处理器301可实施于云平台。在一实施例中,云平台可包括私有云、公共云、混合云、社区云、分布式云、内部云、多重云等,或以上的任意组合。
存储器302在一些实施例中可以是电子设备300的内部存储单元,例如电子设备300的硬盘或内存。存储器302在另一些实施例中也可以是电子设备300的外部存储设备,例如电子设备300上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。
进一步地,存储器302还可既包括电子设备300的内部储存单元也包括外部存储设备。存储器302用于存储安装电子设备300的应用软件及各类数据。
显示器303在一些实施例中可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。显示器303用于显示电子设备300的信息以及用于显示可视化的用户界面。电子设备300的部件301-303通过系统总线相互通信。
在一实施例中,当处理器301执行存储器302中的一种分布式拒绝服务攻击检测程序时,可实现以下步骤:
获取实时流量数据;
将所述实时流量数据按照源IP地址、源端口、目的IP地址以及目的端口进行分类,得到多维度数据类别;
根据所述多维度数据类别中数据包的属性统计对应的报文数量得到多维度基线统计表;
根据历史数据得到基线模型;
将所述多维度基线统计表中的每个报文数量按照所述多维度数据类别与所述基线模型进行比对,确定所述实时流量数据是否存在异常。
应当理解的是:处理器301在执行存储器302中的一种分布式拒绝服务攻击检测程序时,除了上面的功能之外,还可实现其他功能,具体可参见前面相应方法实施例的描述。
进一步地,本发明实施例对提及的电子设备300的类型不作具体限定,电子设备300可以为手机、平板电脑、个人数字助理(personaldigitalassistant,PDA)、可穿戴设备、膝上型计算机(laptop)等便携式电子设备。便携式电子设备的示例性实施例包括但不限于搭载IOS、android、microsoft或者其他操作系统的便携式电子设备。上述便携式电子设备也可以是其他便携式电子设备,诸如具有触敏表面(例如触控面板)的膝上型计算机(laptop)等。还应当理解的是,在本发明其他一些实施例中,电子设备300也可以不是便携式电子设备,而是具有触敏表面(例如触控面板)的台式计算机。
本领域技术人员可以理解,实现上述实施例方法的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读存储介质中。其中,所述计算机可读存储介质为磁盘、光盘、只读存储记忆体或随机存储记忆体等。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。

Claims (10)

1.一种分布式拒绝服务攻击检测方法,其特征在于,包括:
获取实时流量数据;
将所述实时流量数据按照源IP地址、源端口、目的IP地址以及目的端口进行分类,得到多维度数据类别;
根据所述多维度数据类别中数据包的属性统计对应的报文数量得到多维度基线统计表;
根据历史数据得到基线模型;
将所述多维度基线统计表中的每个报文数量按照所述多维度数据类别与所述基线模型进行比对,确定所述实时流量数据是否存在异常。
2.根据权利要求1所述的分布式拒绝服务攻击检测方法,其特征在于,所述多维度数据分类表,包括:第一维度、第二维度、第三维度、第四维度、第五维度、第六维度、第七维度、第八维度、第九维度、第十维度、第十一维度、第十二维度、第十三维度、第十四维度和第十五维度:
所述第一维度包括源IP地址;
所述第二维度包括源IP地址和目的IP地址;
所述第三维度包括源IP地址和源端口;
所述第四维度包括源IP地址和目的端口;
所述第五维度包括源IP地址、源端口和目的端口;
所述第六维度包括源IP地址、源端口和目的IP地址;
所述第七维度包括源IP地址、目的IP地址和源端口;
所述第八维度包括源IP地址、源端口、目的IP地址以及目的端口;
所述第九维度包括目的IP地址;
所述第十维度包括目的IP地址和源端口;
所述第十一维度包括目的IP地址和目的端口;
所述第十二维度包括目的IP地址、源端口和目的端口;
所述第十三维度包括源端口;
所述第十四维度包括源端口和目的端口;
所述第十五维度包括目的端口。
3.根据权利要求1所述的分布式拒绝服务攻击检测方法,其特征在于,所述数据包的属性包括:tcp连接首包数、tcp连接关闭包数、udp报文数、icmp协议报文数、分片报文数、http协议报文数、ssl协议报文数、dns请求包、dns响应包、流数、新建流数、入口流量大小以及出口流量大小中的一种或者多种。
4.根据权利要求1所述的分布式拒绝服务攻击检测方法,其特征在于,根据历史数据得到基线模型,包括:
按照预设时间间隔统计若干天的历史流量数据;
将所述历史流量数据按照所述多维度数据类别统计各个维度的报文数量;
计算各个时刻所述各个维度的报文数量的峰值和均值,得到基线模型。
5.根据权利要求4所述的分布式拒绝服务攻击检测方法,其特征在于,所述将所述多维度基线统计表中的每个报文数量按照所述多维度数据类别与所述基线模型进行比对,确定所述实时流量数据是否存在异常,包括:
将所述多维度基线统计表中的每个报文数量和与其对应时刻的基线模型中的报文数量的峰值或均值进行比对,确定所述实时流量数据是否存在异常。
6.根据权利要求5所述的分布式拒绝服务攻击检测方法,其特征在于,确定所述实时流量数据是否存在异常,包括:
当所述多维度基线统计表中的每个报文数量大于与其对应时刻的基线模型中的报文数量的峰值或均值,确定所述多维度基线统计表对应的流量数据存在异常。
7.根据权利要求1所述的分布式拒绝服务攻击检测方法,其特征在于,如果所述历史数据中存在攻击,剔除攻击时所述历史数据中的噪音数据。
8.一种分布式拒绝服务攻击检测装置,其特征在于,包括:
流量数据获取模块,用于获取实时流量数据;
类别获取模块,用于将所述实时流量数据按照源IP地址、源端口、目的IP地址以及目的端口进行分类,得到多维度数据类别;
基线统计表获取模块,用于根据所述多维度数据类别中数据包的属性统计对应的报文数量得到多维度基线统计表;
基线模型获取模块,用于根据历史数据得到基线模型;
异常判断模块,用于将所述多维度基线统计表中的每个报文数量按照所述多维度数据类别与所述基线模型比对,确定所述实时流量数据是否存在异常。
9.一种电子设备,其特征在于,包括存储器和处理器,其中,
所述存储器,用于存储程序;
所述处理器,与所述存储器耦合,用于执行所述存储器中存储的所述程序,以实现上述权利要求1至7中任意一项所述的一种分布式拒绝服务攻击检测方法中的步骤。
10.一种计算机可读存储介质,其特征在于,用于存储计算机可读取的程序或指令,所述程序或指令被处理器执行时能够实现上述权利要求1至7中任意一项所述的一种分布式拒绝服务攻击检测方法中的步骤。
CN202410074112.5A 2024-01-18 2024-01-18 分布式拒绝服务攻击检测方法、装置、电子设备及介质 Pending CN117596079A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410074112.5A CN117596079A (zh) 2024-01-18 2024-01-18 分布式拒绝服务攻击检测方法、装置、电子设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410074112.5A CN117596079A (zh) 2024-01-18 2024-01-18 分布式拒绝服务攻击检测方法、装置、电子设备及介质

Publications (1)

Publication Number Publication Date
CN117596079A true CN117596079A (zh) 2024-02-23

Family

ID=89916961

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410074112.5A Pending CN117596079A (zh) 2024-01-18 2024-01-18 分布式拒绝服务攻击检测方法、装置、电子设备及介质

Country Status (1)

Country Link
CN (1) CN117596079A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040057257A (ko) * 2002-12-26 2004-07-02 한국과학기술정보연구원 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체
CN108234524A (zh) * 2018-04-02 2018-06-29 广州广电研究院有限公司 网络数据异常检测的方法、装置、设备及存储介质
CN108965347A (zh) * 2018-10-10 2018-12-07 腾讯科技(深圳)有限公司 一种分布式拒绝服务攻击检测方法、装置及服务器
CN111600859A (zh) * 2020-05-08 2020-08-28 恒安嘉新(北京)科技股份公司 分布式拒绝服务攻击的检测方法、装置、设备及存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040057257A (ko) * 2002-12-26 2004-07-02 한국과학기술정보연구원 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체
CN108234524A (zh) * 2018-04-02 2018-06-29 广州广电研究院有限公司 网络数据异常检测的方法、装置、设备及存储介质
CN108965347A (zh) * 2018-10-10 2018-12-07 腾讯科技(深圳)有限公司 一种分布式拒绝服务攻击检测方法、装置及服务器
CN111600859A (zh) * 2020-05-08 2020-08-28 恒安嘉新(北京)科技股份公司 分布式拒绝服务攻击的检测方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
US11212306B2 (en) Graph database analysis for network anomaly detection systems
Li Change trend of averaged Hurst parameter of traffic under DDOS flood attacks
US10505932B2 (en) Method and system for tracking machines on a network using fuzzy GUID technology
CN107124434B (zh) 一种dns恶意攻击流量的发现方法及系统
CN110213212B (zh) 一种设备的分类方法和装置
US7669241B2 (en) Streaming algorithms for robust, real-time detection of DDoS attacks
CN110855576B (zh) 应用识别方法及装置
AU2017224993A1 (en) Malicious threat detection through time series graph analysis
US20100162350A1 (en) Security system of managing irc and http botnets, and method therefor
US20160072848A1 (en) Detecting and managing abnormal data behavior
EP3200435A1 (en) System and method for identifying devices behind network address translators
CN109347892B (zh) 一种互联网工业资产扫描处理方法及装置
CN111083157B (zh) 报文过滤规则的处理方法和装置
Meiss et al. What's in a session: tracking individual behavior on the web
CN110266650A (zh) Conpot工控蜜罐的识别方法
CN109688099B (zh) 服务器端撞库识别方法、装置、设备及可读存储介质
WO2010099560A1 (en) Device and method for monitoring of data packets
US20170149821A1 (en) Method And System For Protection From DDoS Attack For CDN Server Group
CN106790175A (zh) 一种蠕虫事件的检测方法及装置
US11228619B2 (en) Security threat management framework
CN117596079A (zh) 分布式拒绝服务攻击检测方法、装置、电子设备及介质
CN101789884B (zh) 网络入侵检测的负载均衡方法
US11671441B2 (en) Systems and methods for external detection of misconfigured systems
CN110162969B (zh) 一种流量的分析方法和装置
CN114866342B (zh) 流量特征识别方法、装置、计算机设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination