CN117997644A - 一种用于分布式拒绝服务攻击的监控检测系统 - Google Patents
一种用于分布式拒绝服务攻击的监控检测系统 Download PDFInfo
- Publication number
- CN117997644A CN117997644A CN202410287760.9A CN202410287760A CN117997644A CN 117997644 A CN117997644 A CN 117997644A CN 202410287760 A CN202410287760 A CN 202410287760A CN 117997644 A CN117997644 A CN 117997644A
- Authority
- CN
- China
- Prior art keywords
- connection
- flow
- traffic
- target
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 15
- 238000004891 communication Methods 0.000 claims abstract description 63
- 230000002159 abnormal effect Effects 0.000 claims abstract description 56
- 238000001514 detection method Methods 0.000 claims abstract description 24
- 238000000034 method Methods 0.000 claims description 11
- 238000004364 calculation method Methods 0.000 claims description 8
- 238000012163 sequencing technique Methods 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 claims description 4
- 230000037435 normal mutation Effects 0.000 description 4
- 206010000117 Abnormal behaviour Diseases 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种用于分布式拒绝服务攻击的监控检测系统,属于网络安全技术领域,具体包括实时获取网络系统中的通信流量;当所述通信流量大于预设攻击阈值,则将该通信流量标定为待定通信流量;将待定通信流量划分为若干子通信流量,依次获取目标IP地址服务器的访问请求状态数据,得到任一访问请求的连接状态和连接时间,计算半连接访问请求的第一概率,若半连接熵小于预设阈值,则判定目标IP所对应的通信流量为异常流量;所述请求状态信息为建立连接和半连接和关闭连接;若存在异常流量,则向所述应用服务器发出异常警报信息。本发明实现了对分布式拒绝服务攻击的精准识别。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种用于分布式拒绝服务攻击的监控检测系统。
背景技术
分布式拒绝服务攻击是指借助于客户/服务器技术,木马病毒技术,僵尸网络技术等将多台计算机、服务器、网络设备联合起来作为攻击平台,对一个或多个网络目标发动分布式拒绝服务攻击。攻击者通过控制软件、程序控制多台网络设备在同一时间对某个网络设备重复发送大量畸形报文、连接请求、服务请求造成被攻击的网络设备带宽拥挤、硬件资源耗尽、服务瘫痪达到攻击者的破坏目的。
网络层DDoS攻击对云服务商和互联网数据中心服务商影响更大,由于云服务商和IDC服务商通过集中的互联网出入口为多租户提供网络服务,当某一个IP被攻击,如果不及时处理,都有可能影响到其他所有租户的网络服务。在现有技术中,为了防止这种DDOS攻击,通常采用动态基线的检测方法来检测是否受到DDOS攻击。通过模型预测得到某个预测值,再以该预测值作为参考,来计算实际观测值与该预测值偏离大小,如果偏离超出一定范围认为受到攻击,当网络流量出现与攻击类似的正常突变流量时,则极易导致检测算法的误判,导致将正常突变流量也判定为攻击异常流量,影响正常用户的实际体验。
发明内容
本发明的目的在于提供一种用于分布式拒绝服务攻击的监控检测系统,解决以下技术问题:
当网络流量出现与攻击类似的正常突变流量则极易导致检测算法的误判,导致将正常突变流量也判定为攻击异常流量,影响正常用户的实际体验。
本发明的目的可以通过以下技术方案实现:
一种用于分布式拒绝服务攻击的监控检测系统,包括被控对象、观测器、控制器和应用服务器,其特征在于,所述观测器与控制器连接,应用服务器设置于观测器与控制器之间且分别与观测器与控制器相连,还包括:
流量获取模块,用于实时获取单位时间t内网络系统中的通信流量;
流量监控模块,用于将所述通信流量与预设攻击阈值进行对比,当所述通信流量大于预设攻击阈值,则将该通信流量标定为待定通信流量并向应用服务器发出预警信息;所述攻击阈值包括流量带宽阈值和传输包数阈值;
流量检测模块,用于根据目标IP地址,将待定通信流量划分为若干子通信流量,根据划分后的子通信流量大小对目标IP地址进行依次进行排序,依次获取目标IP地址服务器的访问请求状态数据,得到任一访问请求的连接状态和连接时间,计算半连接访问请求的第一概率,通过信息熵公式计算半连接熵,若半连接熵小于预设阈值,则判定目标IP所对应的通信流量为异常流量;所述请求状态信息为建立连接和半连接和关闭连接;
结果生成模块,用于若存在异常流量,则向所述应用服务器发出异常警报信息,若不存在异常流量,则向所述应用服务器发出取消预警信息。
作为本发明进一步的方案:所述流量检测模块中,访问请求的第一概率计算过程为:
获取单位时间t内目标IP地址服务器所有半连接的次数和对应的半连接时间并标记为T1,T2,...,Tn,T≤t,n为正整数,根据所述连接时间计算第一概率。
作为本发明进一步的方案:所述流量检测模块中,所述流量检测模块中,所述半连接时间熵的计算过程为:
H为半连接熵,Pi为任一半连接时间对应的连接概率。
作为本发明进一步的方案:所述流量检测模块中,若半连接熵大于等于预设阈值,获取该目标IP地址对应服务器的每个访问请求的连接时长,及所述总连接时长,确定每个连接时长对应的第一概率,根据每个所述第一概率,计算访问时间熵,若所述访问时间熵小于预设阈值,则判断目标IP所对应的通信流量为异常流量,若所述访问时间熵大于等于预设阈值,则判断目标IP所对应的通信流量为正常流量。
作为本发明进一步的方案:所述连接时长的第一概率的计算过程为:
获取目标IP地址服务器与任一源IP建立连接时长和次数,并按连接时长依次进行排序,生成连接时间序列,计算每个连接时长所占总连接时长的比例,得到任一连接时长的第一概率。
作为本发明进一步的方案:所述结果生成模块中,当检测得到首个目的IP地址所对应的通信流量为异常流量时,则向控制器发出目标IP地址流量控制信息。
作为本发明进一步的方案:当检测得到首个目的IP地址所对应的通信流量为异常流量时,依次继续下一目标IP地址的通信流量检测,当存在异常流量时,向所述应用服务器继续发出下一目标IP地址的异常警报信息,当不存在异常流量时,则向所述应用服务器发出取消预警信息。
作为本发明进一步的方案:当所述控制器目标IP地址流量控制信息时,对所述目标IP地址的访问流量进行阻断。
本发明的有益效果:
本发明通过实时获取网络系统中的通信流量,并将通信流量与预设攻击阈值进行对比,当所述通信流量大于预设攻击阈值,则将该通信流量标定为待定通信流量,并向应用服务器发出预警信息,对待定通信流量进行检测,依次获取目标IP地址服务器的访问请求状态数据,得到任一访问请求的连接状态和连接时间,计算半连接访问请求的第一概率,通过信息熵公式计算半连接熵,若半连接熵小于预设阈值,则判定目标IP所对应的通信流量为异常流量,若存在异常流量,则向所述应用服务器发出异常警报信息,通过对目标IP地址服务器的连接请求数据进行行为识别,并根据当服务器受到DDoS攻击时,服务器会接收到大量的异常半连接申请,而服务器必须等待一段时间超时后才能断开这些半连接,导致当前检测时间内半连接熵偏离正常熵这一现象,来确定服务器在检测周期内受到DDoS攻击,实现了对DDOS攻击的精准识别,降低了误检率。
附图说明
下面结合附图对本发明作进一步的说明。
图1是本发明的一种用于分布式拒绝服务攻击的监控检测系统流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1所示,本发明为一种用于分布式拒绝服务攻击的监控检测系统,包括被控对象、观测器、控制器和应用服务器,其特征在于,所述观测器与控制器连接,应用服务器设置于观测器与控制器之间且分别与观测器与控制器相连,还包括:
流量获取模块,用于实时获取单位时间t内网络系统中的通信流量;
流量监控模块,用于将所述通信流量与预设攻击阈值进行对比,当所述通信流量大于预设攻击阈值,则将该通信流量标定为待定通信流量并向应用服务器发出预警信息;所述攻击阈值包括流量带宽阈值和传输包数阈值;
流量检测模块,用于根据目标IP地址,将待定通信流量划分为若干子通信流量,根据划分后的子通信流量大小对目标IP地址进行依次进行排序,依次获取目标IP地址服务器的访问请求状态数据,得到任一访问请求的连接状态和连接时间,计算半连接访问请求的第一概率,通过信息熵公式计算半连接熵,若半连接熵小于预设阈值,则判定目标IP所对应的通信流量为异常流量;所述请求状态信息为建立连接、半连接和关闭连接;
结果生成模块,用于若存在异常流量,则向所述应用服务器发出异常警报信息,若不存在异常流量,则向所述应用服务器发出取消预警信息。
本发明通过实时获取网络系统中的通信流量,并将通信流量与预设攻击阈值进行对比,当所述通信流量大于预设攻击阈值,则将该通信流量标定为待定通信流量,并向应用服务器发出预警信息,对待定通信流量进行检测,依次获取目标IP地址服务器的访问请求状态数据,得到任一访问请求的连接状态和连接时间,计算半连接访问请求的第一概率,通过信息熵公式计算半连接熵,若半连接熵小于预设阈值,则判定目标IP所对应的通信流量为异常流量,若存在异常流量,则向所述应用服务器发出异常警报信息,通过对目标IP地址服务器的连接请求数据进行行为识别,并根据当服务器受到DDoS攻击时,服务器会接收到大量的异常半连接申请,而服务器必须等待一段时间超时后才能断开这些半连接,导致当前检测时间内半连接熵偏离正常熵这一现象,来确定服务器在检测周期内受到DDoS攻击,保证了对DDoS攻击检测的准确性,降低了误检率。
作为本领域的公共常识,通常拒绝服务攻击使用的TCP协议,而SYN Flood攻击就是利用了TCP协议三次握手的缺陷实现的。TCP建立连接,需要客户端和服务器端完成3次握手。当客户端希望与服务器建立一个TCP连接时,其首先向服务器端发送一个SYN消息,若服务器端同意连接建立,则回复一个对应的响应SYN-ACK,客户端收到服务器端回复的SYN-ACK后,再向服务器端发送一个ACK,服务器端收到消息后,到此一个完整的TCP连接才算完成,而攻击者常采用伪造地址的手段,将攻击数据包的源IP地址伪造成不存在的或者是主机没有运行的IP地址,向服务器端发送请求,而服务器端必须等待一段时间,超时后才能断开这些半开连接,如果攻击者向受害者发送很多个这样的连接请求,服务器端的连接堆栈会消耗完毕,从而不能接受其他连接请求,造成拒绝服务攻击,或者通过大量访问时长极短的正常连接的访问请求,来转移服务器断电带宽和资源,从而造成拒绝服务攻击。
值得注意的是因为DDOS攻击造成的数据包的原数据IP地址通常为伪造的,导致了大量使用一个或几个相同的IP地址来访问同一台服务器的情况十分普遍,随机化源IP地址或使用伪造的源IP地址,来降低源IP熵的值,使其看起来更接近正常流量,从而绕过基于源IP熵处于正常范围,因此本发明通过半连接熵这一不受源IP和流量影响的网络行为进行识别,来对DDOS攻击进行精准识别。
在本发明的另一种优选的实施例中,所述流量检测模块中,访问请求的第一概率计算过程为:
获取单位时间t内目标IP地址服务器所有半连接的次数和对应的半连接时间并标记为T1,T2,...,Tn,T≤t,n为正整数,根据所述连接时间计算第一概率。
获取任一半连接时间,获取该半连接时间在所述序列中出现的次数i,根据计算公式Pi=i/n,得到所述连接时间的第一概率。
在本发明的另一种优选的实施例中,所述流量检测模块中,所述流量检测模块中,所述半连接时间熵的计算过程为:
H为半连接熵,Pi为任一半连接时间对应的连接概率。
DDoS攻击通常具有一定的特征和模式,例如攻击流量的频率、来源分布、协议类型等方面可能会有明显区别于正常流量。通过对信息熵的分析,可以揭示这些攻击模式,从而有助于及时识别和应对DDoS攻击。异常行为检测:DDoS攻击可能导致网络流量的统计特性发生变化,例如源IP地址分布、目标端口占用情况、数据包大小分布等,通过信息熵检测这些异常行为,从而快速发现可能的攻击迹象或已经发生的DDOS攻击。
在本发明的另一种优选的实施例中,所述流量检测模块中,若半连接熵大于等于预设阈值,获取该目标IP地址对应服务器的每个访问请求的连接时长,及所述总连接时长,确定每个连接时长对应的第一概率,根据每个所述第一概率,计算访问时间熵,若所述访问时间熵小于预设阈值,则判断目标IP所对应的通信流量为异常流量,若所述访问时间熵大于等于预设阈值,则判断目标IP所对应的通信流量为正常流量。
DDOS攻击主要是通过以目标服务器进行异常连接来占用大量的服务器带宽从而导致目标服务器出现拥堵,当若半连接熵大于等于预设阈值,说明当前流量异常存在2种情况,一种是正常流量引起的流量突变,另一种为DDOS攻击与目标服务器建立大量短暂连接请求后,与服务器断开再重新连接,不断重复消耗服务器端的连接堆栈,从而导致服务器不能接受其他连接请求,造成拒绝服务攻击,而正常流量的访问时长具备不规则周期性的,因此当发生DDOS攻击时,服务器的访问时间熵要远小于正常访问时间熵,因此,若所述访问时间熵小于预设阈值,则能够判定该IP地址对应的服务器出现异常流量。
在本发明的另一种优选的实施例中,所述连接时长的第一概率的计算过程为:
获取目标IP地址服务器与任一源IP建立连接时长和次数,并按连接时长依次进行排序,生成连接时间序列,计算每个连接时长所占总连接时长的比例,得到任一连接时长的第一概率。
在本发明的另一种优选的实施例中,所述结果生成模块中,当检测得到首个目的IP地址所对应的通信流量为异常流量时,则向控制器发出目标IP地址流量控制信息。
在本发明的另一种优选的实施例中,当检测得到首个目的IP地址所对应的通信流量为异常流量时,依次继续下一目标IP地址的通信流量检测,当存在异常流量时,向所述应用服务器继续发出下一目标IP地址的异常警报信息,当不存在异常流量时,则向所述应用服务器发出取消预警信息。
现有技术通常为集中的互联网出入口为多租户提供网络服务,某一个IP被攻击,如果不及时处理,会影响到其他所有租户的网络服务,通过级联式的异常流量检测和警报机制,在发现异常流量时迅速向应用服务器发送警报信息,加快异常情况的响应速度,有助于及时采取必要的措施来应对异常情况,并在发现首个目标IP地址的异常流量后,继续检测下一个目标IP地址,得到所有异常IP地址,同时避免对所有目标IP地址进行重复检测,并且只有在检测到异常流量时才会触发向应用服务器发送警报信息,从而节省了系统资源的消耗,提高了系统的效率。
在本发明的另一种优选的实施例中,当所述控制器接收信息为目标IP地址流量控制信息时,则对所述目标IP地址的访问流量进行阻断。
当控制器检测到目标IP地址的流量异常时,立即对该目标IP地址的访问流量进行阻断,能够迅速停止异常流量的传输,有效遏制攻击或异常行为的发展,减轻服务器负载,避免这些行为对系统造成更大的破坏和风险,实现对异常流量的精确控制,同时,根据需要选择性地阻断特定的目标IP地址,以满足不同的安全和业务需求。
以上对本发明的一个实施例进行了详细说明,但所述内容仅为本发明的较佳实施例,不能被认为用于限定本发明的实施范围。凡依本发明申请范围所作的均等变化与改进等,均应仍归属于本发明的专利涵盖范围之内。
Claims (8)
1.一种用于分布式拒绝服务攻击的监控检测系统,包括被控对象、观测器、控制器和应用服务器,其特征在于,所述观测器与控制器连接,应用服务器设置于观测器与控制器之间且分别与观测器与控制器相连,还包括:
流量获取模块,用于实时获取单位时间t内网络系统中的通信流量;
流量监控模块,用于将所述通信流量与预设攻击阈值进行对比,当所述通信流量大于预设攻击阈值,则将该通信流量标定为待定通信流量,并向应用服务器发出预警信息;所述攻击阈值包括流量带宽阈值和传输包数阈值;
流量检测模块,用于根据目标IP地址,将待定通信流量分为多个子通信流量,根据各子通信流量的大小对目标IP地址进行排序,根据排列顺序依次获取目标IP地址所在服务器的访问请求状态数据,得到任一访问请求的连接状态和连接时间,计算半连接访问请求的第一概率,通过信息熵公式计算半连接熵,若半连接熵小于预设阈值,则判定目标IP所对应的通信流量为异常流量;所述请求状态信息为建立连接和半连接和关闭连接;
结果生成模块,用于若存在异常流量,则向所述应用服务器发出异常警报信息,若不存在异常流量,则向所述应用服务器发出取消预警信息。
2.根据权利要求1所述的一种用于分布式拒绝服务攻击的监控检测系统,其特征在于,所述流量检测模块中,访问请求的第一概率计算过程为:
获取单位时间t内目标IP地址服务器所有半连接的次数和对应的半连接时间并标记为T1,T2,...,Tn,T≤t,n为正整数,根据所述连接时间计算第一概率。
3.根据权利要求1所述的一种用于分布式拒绝服务攻击的监控检测系统,其特征在于,所述流量检测模块中,所述流量检测模块中,所述半连接时间熵的计算过程为:
H为半连接熵,Pi为任一半连接时间对应的第一连接概率,n为半连接数量。
4.根据权利要求1所述的一种用于分布式拒绝服务攻击的监控检测系统,其特征在于,所述流量检测模块中,若半连接熵大于等于预设阈值,获取该目标IP地址对应服务器的每个访问请求的连接时长,及总连接时长,确定每个连接时长对应的第一概率,根据每个所述第一概率,计算访问时间熵,若所述访问时间熵小于预设阈值,则判断目标IP所对应的通信流量为异常流量,若所述访问时间熵大于等于预设阈值,则判断目标IP所对应的通信流量为正常流量。
5.根据权利要求3所述的一种用于分布式拒绝服务攻击的监控检测系统,其特征在于,所述连接时长的第一概率的计算过程为:
获取目标IP地址服务器与任一源IP建立连接时长和次数,并按连接时长依次进行排序,生成连接时间序列,计算每个连接时长所占总连接时长的比例,得到任一连接时长的第一概率。
6.根据权利要求1所述的一种用于分布式拒绝服务攻击的监控检测系统,其特征在于,所述结果生成模块中,当检测得到首个目的IP地址所对应的通信流量为异常流量时,则向控制器发出目标IP地址流量控制信息。
7.根据权利要求6所述的一种用于分布式拒绝服务攻击的监控检测系统,其特征在于,当检测得到首个目的IP地址所对应的通信流量为异常流量时,依次继续下一目标IP地址的通信流量检测,当存在异常流量时,向所述应用服务器继续发出下一目标IP地址的异常警报信息。
8.根据权利要求7所述的一种用于分布式拒绝服务攻击的监控检测系统,其特征在于,当所述控制器接收信息为目标IP地址流量控制信息时,则对所述目标IP地址的访问流量进行阻断。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410287760.9A CN117997644A (zh) | 2024-03-13 | 2024-03-13 | 一种用于分布式拒绝服务攻击的监控检测系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410287760.9A CN117997644A (zh) | 2024-03-13 | 2024-03-13 | 一种用于分布式拒绝服务攻击的监控检测系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117997644A true CN117997644A (zh) | 2024-05-07 |
Family
ID=90899176
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410287760.9A Pending CN117997644A (zh) | 2024-03-13 | 2024-03-13 | 一种用于分布式拒绝服务攻击的监控检测系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117997644A (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106357673A (zh) * | 2016-10-19 | 2017-01-25 | 中国科学院信息工程研究所 | 一种多租户云计算系统DDoS攻击检测方法及系统 |
CN106953833A (zh) * | 2016-01-07 | 2017-07-14 | 无锡聚云科技有限公司 | 一种DDoS攻击检测系统 |
CN109981533A (zh) * | 2017-12-27 | 2019-07-05 | 中移(杭州)信息技术有限公司 | 一种DDoS攻击检测方法、装置、电子设备及存储介质 |
CN111600859A (zh) * | 2020-05-08 | 2020-08-28 | 恒安嘉新(北京)科技股份公司 | 分布式拒绝服务攻击的检测方法、装置、设备及存储介质 |
CN113206824A (zh) * | 2021-03-23 | 2021-08-03 | 中国科学院信息工程研究所 | 动态网络异常攻击检测方法、装置、电子设备和存储介质 |
CN116846591A (zh) * | 2023-05-23 | 2023-10-03 | 上海螣龙科技有限公司 | 基于二次熵和支持向量机的DDoS攻击分类检测方法 |
CN117014232A (zh) * | 2023-10-07 | 2023-11-07 | 创云融达信息技术(天津)股份有限公司 | 一种拒绝服务攻击的防御方法、装置、设备和介质 |
-
2024
- 2024-03-13 CN CN202410287760.9A patent/CN117997644A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106953833A (zh) * | 2016-01-07 | 2017-07-14 | 无锡聚云科技有限公司 | 一种DDoS攻击检测系统 |
CN106357673A (zh) * | 2016-10-19 | 2017-01-25 | 中国科学院信息工程研究所 | 一种多租户云计算系统DDoS攻击检测方法及系统 |
CN109981533A (zh) * | 2017-12-27 | 2019-07-05 | 中移(杭州)信息技术有限公司 | 一种DDoS攻击检测方法、装置、电子设备及存储介质 |
CN111600859A (zh) * | 2020-05-08 | 2020-08-28 | 恒安嘉新(北京)科技股份公司 | 分布式拒绝服务攻击的检测方法、装置、设备及存储介质 |
CN113206824A (zh) * | 2021-03-23 | 2021-08-03 | 中国科学院信息工程研究所 | 动态网络异常攻击检测方法、装置、电子设备和存储介质 |
CN116846591A (zh) * | 2023-05-23 | 2023-10-03 | 上海螣龙科技有限公司 | 基于二次熵和支持向量机的DDoS攻击分类检测方法 |
CN117014232A (zh) * | 2023-10-07 | 2023-11-07 | 创云融达信息技术(天津)股份有限公司 | 一种拒绝服务攻击的防御方法、装置、设备和介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4083747B2 (ja) | DoS攻撃の検出及び追跡を行うシステム及び方法 | |
US8819821B2 (en) | Proactive test-based differentiation method and system to mitigate low rate DoS attacks | |
Chapade et al. | Securing cloud servers against flooding based DDoS attacks | |
EP2127313B1 (en) | A containment mechanism for potentially contaminated end systems | |
Wang et al. | Syn-dog: Sniffing syn flooding sources | |
Sanmorino et al. | DDoS attack detection method and mitigation using pattern of the flow | |
US9800593B2 (en) | Controller for software defined networking and method of detecting attacker | |
WO2016194123A1 (ja) | 中継装置、ネットワーク監視システム及びプログラム | |
US20050060557A1 (en) | Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs | |
JP2004507978A (ja) | ネットワークノードに対するサービス拒絶アタックに対抗するシステム及び方法 | |
CN106487790B (zh) | 一种ack flood攻击的清洗方法及系统 | |
US8978138B2 (en) | TCP validation via systematic transmission regulation and regeneration | |
Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
Jeyanthi et al. | RQA based approach to detect and prevent DDoS attacks in VoIP networks | |
CN111641628B (zh) | 一种子网欺骗DDoS攻击监测预警方法 | |
Salim et al. | Preventing ARP spoofing attacks through gratuitous decision packet | |
CN117997644A (zh) | 一种用于分布式拒绝服务攻击的监控检测系统 | |
CN111695115A (zh) | 基于通信时延与安全性评估的工控系统网络攻击溯源方法 | |
US10250635B2 (en) | Defending against DoS attacks over RDMA connections | |
Jingna | An analysis on DoS attack and defense technology | |
CN109088896B (zh) | 一种基于物联网的互联网DDoS防御系统的工作方法 | |
US9537878B1 (en) | Network adaptor configured for connection establishment offload | |
Song et al. | Collaborative defense mechanism using statistical detection method against DDoS attacks | |
CN112055028B (zh) | 网络攻击防御方法、装置、电子设备及存储介质 | |
KR101037575B1 (ko) | VoIP 환경에서, 디도스 공격 탐지 및 탐지 효율성 측정 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |