CN1297101C - 检测拒绝服务攻击的方法 - Google Patents
检测拒绝服务攻击的方法 Download PDFInfo
- Publication number
- CN1297101C CN1297101C CNB2004100617667A CN200410061766A CN1297101C CN 1297101 C CN1297101 C CN 1297101C CN B2004100617667 A CNB2004100617667 A CN B2004100617667A CN 200410061766 A CN200410061766 A CN 200410061766A CN 1297101 C CN1297101 C CN 1297101C
- Authority
- CN
- China
- Prior art keywords
- grouping
- discarded
- attack
- time interval
- accordance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims description 16
- 238000012544 monitoring process Methods 0.000 claims abstract description 15
- 238000001514 detection method Methods 0.000 claims description 10
- 238000007689 inspection Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 3
- 230000015572 biosynthetic process Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000006424 Flood reaction Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明通过相对于入站分组的数目,监视废弃分组的数目,检测位于某一节点的拒绝服务攻击。当检测到攻击时,收集攻击期间,相关入站分组信息,以帮助表征所述攻击,以及至少查明到被攻击节点的最后路由段的来源。
Description
技术领域
本发明涉及组网领域,更具体地说,涉及防卸试图通过利用网络通信淹没服务器,使服务器失去能力的恶意用户的攻击。
背景技术
通常称为拒绝服务攻击的淹没攻击近来越来越频繁地用于针对因特网上的服务器,使这些服务器失去能力。当用户在较短的时间内向服务器发送大量请求,企图使服务器过载,从而使服务器失去能力时,发生淹没攻击(flooding attack)。按照和来自错误配置系统的大量分组使服务器过载的相同方式,来自恶意用户的大量分组能够使服务器过载。但是最终结果相同;在试图服务请求方面,服务器变得过载。这阻止合法请求及时得到服务,通常导致服务器崩溃。近来报告了针对FBI,白宫的web目标,以及后期圣徒教会(Church of LatterDay Saints)的谱系(genealogy)网站的许多淹没攻击。由于难以确定通信是否合法,因此传统的入侵检测系统很难检测或防止淹没攻击。仅仅根据活动率的增大不是检测淹没的良好标准;使用这种标准会导致许多错误的检测。与使用入站活动率作为检测淹没的方法相关的另一缺陷是与这种检测方法相关的高开销,因为必须在主线分组处理路径中进行检测处理。由于攻击者通常使用欺骗的源IP地址,从而地址给不出攻击源的任何正确指示,因此也难以确定攻击源。
发明内容
本发明提供一种检测位于网络服务器的拒绝服务攻击的方法,包括下述步骤:计数规定时间间隔内,入站分组的数目和废弃分组的数目X,如果所述时间间隔内废弃分组的数目X超过规定的最小值XMIN,则计算废弃分组的百分率R=X/入站分组的数目,和如果R超过规定阈值,则设置拒绝服务事件标记。
本发明认识到通过放弃试图区分合法通信和非法通信的传统想法,能够减轻由连接请求的突发导致的有意淹没攻击和无意过载情形的后果。协议栈废弃的分组的增加是攻击的良好指示符。攻击者的意图是耗尽系统资源。这可通过淤积队列,消耗存储空间或只是消耗CPU循环来实现。多数TCP协议栈限制队列大小,并检测和废弃溢流和残缺分组。分组废弃的数目和废弃率通常相当低。本发明监视分组废弃的数目和废弃率,当在某一物理接口上接收的规定百分率的通信被废弃时,产生一个事件。协议栈已包含许多分组检查,例如残缺分组,检查和故障,无接收分组的申请,队列层次充满等。所有这些检查都废弃分组。在优选实施例中,不是对每个废弃进行废弃率检查,而是在收到规定数目的废弃分组之后进行废弃率检查。这限制了主分组处理线路中专用于攻击检查的处理量。
在许多情况下,优选实施例还能够把淹没源至少回溯到在先路由段(hop)。
优选实施例要求在规定时间间隔内发生最小数目的分组废弃,以便触发进一步的检测。例如,策略可规定某一时间间隔,并要求在进行进一步的淹没检查之前,在该时间间隔内发生1000次分组废弃。这防止了当在较少分组中发生较高的废弃率时,触发淹没条件的情形。如果所述时间间隔中最小数目的废弃被满足,则确定该时间间隔或不同时间间隔的废弃率。如果废弃率超过规定的阈值,则启动淹没事件。在淹没事件内,进行淹没监视。淹没监视再次利用最小废弃和废弃率阈值,尝试检测何时淹没已结束。在监视过程中,每隔一定时间收集并保存淹没数据,供未来分析之用。这些数据包括与废弃的分组相关的废弃计数,废弃率,协议类型,废弃类型和在先路由段媒体接入控制(MAC)地址。
附图说明
图1表示了在服务器执行的,检测淹没攻击并触发淹没监视操作的操作的例证流程图;
图2表示了响应图1的流程图监视的淹没的开始,由淹没监视进程执行的例证操作。
具体实施方式
本发明要求用某些参数配置使用本发明的服务器。例如,优选实施例要求规定某一策略,所述策略规定在进行淹没事件的检测之前,必须检测的废弃分组的数目。此外,还规定最小数目的废弃分组和相关的废弃率,以便声明(declare)淹没事件。一旦声明某一淹没事件,则所述策略规定将多频繁地执行淹没监视进程,以及和监视相关的其它参数。
图1中,步骤102表示正常的协议栈处理操作。对于应废弃的分组,所述协议栈执行的检查有许多。图解说明的是残缺分组,输入队列溢出和称为其它废弃的统称。当协议栈进行任意这样的分组废弃时,进入步骤104,在步骤104,分组废弃计数器递增。步骤106随后确定淹没事件(早先启动的监视操作)是否已在进行。如果回答为否,则步骤110检查分组废弃计数器,确定废弃数是否已超过最小阈值X(在优选实施例中,根据系统策略获得)。如果否,则不对该废弃进行淹没检测,处理返回步骤102的协议栈操作。如果废弃的最小数目XMIN被超过,则步骤112确定该数目的废弃是否在时间间隔T内发生。T也由优选实施例中的策略规定。如果步骤112的回答是否,则认为不存在任何淹没攻击。这种情况下,步骤122重置分组废弃计数器和入站分组计数器并退出。
在步骤106,如果淹没事件已在进行中,则步骤108收集并保存一组信息供分析之用。例如,这种信息可以是在前的路由段地址(前一节点的适配器的MAC地址),用于最后废弃的分组的协议,废弃原因等。另外,步骤108启动后续分组的跟踪。在优选实施例中,保存和接下来的100个分组相关的分组信息,以便稍后分析。
返回步骤112,如果在小于时间间隔T中发生了最小数目的丢弃,则可能正在发生淹没攻击。为了确定这一点,步骤116通过把废弃数X除以在所述时间间隔中接收的输入分组的数目,计算废弃率R。在步骤114,如果废弃率R未超过阈值Y(同样由优选实施例中的策略设置),则没有任何攻击正在进行,程序在步骤122重置计数器并退出。另一方面,如果在步骤114超过了阈值Y,则认为正在进行攻击。这种情况下,通过设置恰当的标记,步骤118启动淹没事件,并向系统控制台和出错日志发送报告。步骤120安排图2的淹没监视进程的执行。步骤122重置分组废弃计数器和入站分组计数器,程序退出。一旦声明淹没事件,则策略规定将多频繁地进行淹没监视进程,以及和监视相关的其它参数。优选实施例使用一分钟的监视时间间隔,不过这也可由策略规定。
一旦步骤118启动了淹没事件,则稍后在预定的时间进入图2的淹没监视进程。在优选实施例中,该时间间隔被设置成1分钟。步骤202首先确定最后时间间隔(优选实施例中为1分钟)中的分组废弃计数是否小于或等于最小废弃数XMIN2。在优选实施例中,XMIN等于XMIN2;但是,这不是必要条件,在其它实施例中,这两个规定的阈值可不同。如果在步骤202,废弃计数小于XMIN2,则认为淹没攻击结束。步骤204通过重置淹没标记,步骤204停止淹没事件。步骤212分析并报告在步骤108中收集的一组数据。该组数据最好是最后废弃计数,废弃率和最频繁的废弃MAC地址,协议类型及废弃类型。在步骤214重置计数器,淹没监视进程结束。
返回步骤202,如果XMIN2被超过,则步骤206确定最后监视时间间隔中的废弃率R是否小于规定的阈值Y的一半。如果回答为是,则这也被用于指示淹没攻击结束。但是,如果步骤206的回答为否,则认为攻击仍然正在进行。步骤208分析并报告和在步骤212中报告的相同数据。但是,这里是在淹没事件有效的情况下,每隔一段时间进行报告。步骤210安排下一淹没监视事件,从而当监视时间间隔期满时,将再次执行图2的淹没监视进程。同样,步骤214重置计数器并退出。最后,将在步骤202或206认为攻击结束,在步骤212分析并报告最终的一组数据。
在一些情况下,本发明能够确定位于攻击源中的最可能的在先路由段。一旦出现接口淹没事件,就收集和在所述接口接收的每个废弃分组相关的信息。该数据包括在先路由段源MAC地址(如果接口类型提供这种信息)。在淹没事件内每隔一定时间,并且当淹没事件结束时,报告和淹没特性相关的信息。该数据包括针对淹没事件废弃最频繁报告的在先路由段源MAC地址。
本领域的技术人员将很快认识到,在本教导的精神和范围内,优选的公开实施例可具有许多较小的变化。发明人的意图是根据本领域中的实用相关技术的状态,尽可能地包含这些变化。
Claims (9)
1、一种检测位于网络服务器的拒绝服务攻击的方法,包括下述步骤:
计数规定时间间隔内,入站分组的数目和废弃分组的数目X,
如果所述时间间隔内废弃分组的数目X超过规定的最小值XMIN,则计算废弃分组的百分率R=X/入站分组的数目,和
如果R超过规定阈值,则设置拒绝服务事件标记。
2、按照权利要求1所述的方法,还包括收集相关入站分组信息,以便进一步表征所述攻击的步骤。
3、按照权利要求2所述的方法,其中收集相关入站分组信息的步骤还包括:
当攻击正在进行时,启动每隔规定时间执行的淹没监视进程,以收集相关入站分组信息。
4、按照权利要求3所述的方法,其中淹没监视进程包括:
如果在执行所述进程之前,规定时间间隔中废弃分组的数目小于规定的最小值XMIN2,则重置拒绝服务事件标记,其中XMIN2可等于XMIN,也可不等于XMIN。
5、按照权利要求3所述的方法,其中淹没监视进程包括:
如果在执行所述进程之前,规定时间间隔中废弃分组的比率小于规定阈值,则重置拒绝服务事件标记。
6、按照权利要求4或5所述的方法,还包括收集相关入站分组信息,以便当声明攻击结束时,进一步表征所述攻击的步骤。
7、按照权利要求6所述的方法,其中收集的分组信息可由下述一个或多个组成:
a)最后时间间隔中入站分组的数目;
b)最后时间间隔中废弃分组的数目;
c)分组废弃率;
d)最频繁废弃协议类型;
e)最频繁废弃类型;
f)前一分组路由段的媒体接入控制地址。
8、按照权利要求3所述的方法,其中淹没监视进程包括:
通过比较在最后时间间隔中废弃的分组和入站分组的数目,确定淹没攻击是否仍在进行,和
如果攻击仍在进行,则维持淹没监视进程的时间安排。
9、按照权利要求8所述的方法,还包括收集最后时间间隔的相关入站分组信息。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/615,438 | 2003-07-08 | ||
US10/615,438 US7996544B2 (en) | 2003-07-08 | 2003-07-08 | Technique of detecting denial of service attacks |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1578231A CN1578231A (zh) | 2005-02-09 |
CN1297101C true CN1297101C (zh) | 2007-01-24 |
Family
ID=33564557
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2004100617667A Expired - Lifetime CN1297101C (zh) | 2003-07-08 | 2004-06-30 | 检测拒绝服务攻击的方法 |
Country Status (2)
Country | Link |
---|---|
US (2) | US7996544B2 (zh) |
CN (1) | CN1297101C (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011041960A1 (zh) * | 2009-10-10 | 2011-04-14 | 中兴通讯股份有限公司 | 一种防止拒绝服务攻击的方法及装置 |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005277804A (ja) * | 2004-03-25 | 2005-10-06 | Hitachi Ltd | 情報中継装置 |
JP4616020B2 (ja) * | 2005-01-27 | 2011-01-19 | 富士通株式会社 | ネットワーク監視プログラム及びネットワークシステム |
CN100417090C (zh) * | 2005-10-19 | 2008-09-03 | 华为技术有限公司 | 一种定位拒绝服务攻击源的方法及系统 |
JP4512196B2 (ja) * | 2005-10-20 | 2010-07-28 | アラクサラネットワークス株式会社 | 異常トラヒックの検出方法およびパケット中継装置 |
US7796590B1 (en) * | 2006-02-01 | 2010-09-14 | Marvell Israel (M.I.S.L.) Ltd. | Secure automatic learning in ethernet bridges |
US8689334B2 (en) * | 2007-02-28 | 2014-04-01 | Alcatel Lucent | Security protection for a customer programmable platform |
US9083712B2 (en) * | 2007-04-04 | 2015-07-14 | Sri International | Method and apparatus for generating highly predictive blacklists |
US8429742B2 (en) * | 2007-04-16 | 2013-04-23 | International Business Machines Corporation | Detection of a denial of service attack on an internet server |
CN101102323B (zh) * | 2007-08-09 | 2011-04-20 | 华为技术有限公司 | 防止dos攻击的方法及设备 |
CN101267313B (zh) * | 2008-04-23 | 2010-10-27 | 成都市华为赛门铁克科技有限公司 | 泛洪攻击检测方法及检测装置 |
US10530463B2 (en) * | 2017-11-16 | 2020-01-07 | Grand Mate Co., Ltd. | Method of extending RF signals in a wireless control system |
US10897411B1 (en) * | 2019-04-05 | 2021-01-19 | Rockwell Collins, Inc. | Passive packet cross check for multi-node systems |
CN110912904B (zh) * | 2019-11-27 | 2021-07-02 | 腾讯科技(深圳)有限公司 | 恶意设备识别方法、装置、存储介质和计算机设备 |
CN111176935B (zh) * | 2019-12-17 | 2022-02-01 | 宁波市轨道交通集团有限公司建设分公司 | 一种综合监控系统面向应用的服务监控方法 |
US11962615B2 (en) | 2021-07-23 | 2024-04-16 | Bank Of America Corporation | Information security system and method for denial-of-service detection |
US20230396648A1 (en) * | 2022-06-01 | 2023-12-07 | Arbor Networks, Inc. | Detecting ddos attacks by correlating inbound and outbound network traffic information |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001265678A (ja) * | 2000-02-11 | 2001-09-28 | Internatl Business Mach Corp <Ibm> | コネクションレス・プロトコルを使用したフラッド攻撃防止方法 |
WO2002021800A1 (en) * | 2000-09-08 | 2002-03-14 | The Regents Of The University Of Michigan | Method and system for detecting, tracking and blocking denial of service attacks over a computer network |
WO2002037755A2 (en) * | 2000-11-02 | 2002-05-10 | Asta Networks, Inc. | Detecting and preventing undesirable network traffic from being sourced out of a network domain |
CN1350231A (zh) * | 2001-12-04 | 2002-05-22 | 上海复旦光华信息科技股份有限公司 | 旁路式拒绝服务攻击的侦测与缓解的方法 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3602972B2 (ja) * | 1998-07-28 | 2004-12-15 | 富士通株式会社 | 通信性能測定装置及びその測定方法 |
US6480892B1 (en) * | 1998-12-16 | 2002-11-12 | Siemens Information And Communication Networks, Inc. | Apparatus and method for inserting predetermined packet loss into a data flow |
US6513133B1 (en) * | 1999-06-29 | 2003-01-28 | Microsoft Corporation | Uniformly distributed induction of exceptions for testing computer software |
US7137144B1 (en) * | 2000-02-11 | 2006-11-14 | International Business Machines Corporation | Technique of defending against network connection flooding attacks |
JP3994614B2 (ja) * | 2000-03-13 | 2007-10-24 | 株式会社日立製作所 | パケット交換機、ネットワーク監視システム及びネットワーク監視方法 |
US6904529B1 (en) * | 2000-04-28 | 2005-06-07 | Microsoft Corporation | Method and system for protecting a security parameter negotiation server against denial-of-service attacks |
US20020083331A1 (en) * | 2000-12-21 | 2002-06-27 | 802 Systems, Inc. | Methods and systems using PLD-based network communication protocols |
US7684317B2 (en) * | 2001-06-14 | 2010-03-23 | Nortel Networks Limited | Protecting a network from unauthorized access |
US6513122B1 (en) | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
US20030037141A1 (en) * | 2001-08-16 | 2003-02-20 | Gary Milo | Heuristic profiler software features |
NZ516346A (en) * | 2001-12-21 | 2004-09-24 | Esphion Ltd | A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack |
US7222366B2 (en) * | 2002-01-28 | 2007-05-22 | International Business Machines Corporation | Intrusion event filtering |
US7076803B2 (en) * | 2002-01-28 | 2006-07-11 | International Business Machines Corporation | Integrated intrusion detection services |
US7194538B1 (en) * | 2002-06-04 | 2007-03-20 | Veritas Operating Corporation | Storage area network (SAN) management system for discovering SAN components using a SAN management server |
-
2003
- 2003-07-08 US US10/615,438 patent/US7996544B2/en active Active
-
2004
- 2004-06-30 CN CNB2004100617667A patent/CN1297101C/zh not_active Expired - Lifetime
-
2011
- 2011-04-28 US US13/096,258 patent/US8489755B2/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001265678A (ja) * | 2000-02-11 | 2001-09-28 | Internatl Business Mach Corp <Ibm> | コネクションレス・プロトコルを使用したフラッド攻撃防止方法 |
WO2002021800A1 (en) * | 2000-09-08 | 2002-03-14 | The Regents Of The University Of Michigan | Method and system for detecting, tracking and blocking denial of service attacks over a computer network |
WO2002037755A2 (en) * | 2000-11-02 | 2002-05-10 | Asta Networks, Inc. | Detecting and preventing undesirable network traffic from being sourced out of a network domain |
CN1350231A (zh) * | 2001-12-04 | 2002-05-22 | 上海复旦光华信息科技股份有限公司 | 旁路式拒绝服务攻击的侦测与缓解的方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011041960A1 (zh) * | 2009-10-10 | 2011-04-14 | 中兴通讯股份有限公司 | 一种防止拒绝服务攻击的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
US8489755B2 (en) | 2013-07-16 |
US20050010817A1 (en) | 2005-01-13 |
US20110239301A1 (en) | 2011-09-29 |
CN1578231A (zh) | 2005-02-09 |
US7996544B2 (en) | 2011-08-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1297101C (zh) | 检测拒绝服务攻击的方法 | |
CN111935170B (zh) | 一种网络异常流量检测方法、装置及设备 | |
US8191149B2 (en) | System and method for predicting cyber threat | |
CN107124434B (zh) | 一种dns恶意攻击流量的发现方法及系统 | |
US20040111531A1 (en) | Method and system for reducing the rate of infection of a communications network by a software worm | |
CN111600865B (zh) | 一种异常通信检测方法、装置及电子设备和存储介质 | |
CN109525611B (zh) | 一种内网用户的异常外发行为检测方法及装置 | |
EP3534232B1 (en) | A safety monitoring method and apparatus for an industrial control system | |
CN110417747B (zh) | 一种暴力破解行为的检测方法及装置 | |
CN112422554B (zh) | 一种检测异常流量外连的方法、装置、设备及存储介质 | |
CN105282152A (zh) | 一种异常流量检测的方法 | |
CN113518057A (zh) | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 | |
CN112861132A (zh) | 一种协同防护方法和装置 | |
CN111526109B (zh) | 自动检测web威胁识别防御系统的运行状态的方法及装置 | |
CN109005181B (zh) | 一种dns放大攻击的检测方法、系统及相关组件 | |
CN112217777A (zh) | 攻击回溯方法及设备 | |
CN112104523B (zh) | 流量透传的检测方法、装置、设备及存储介质 | |
CN109246157B (zh) | 一种http慢速请求dos攻击的关联检测方法 | |
CN115296904B (zh) | 域名反射攻击检测方法及装置、电子设备、存储介质 | |
CN116112229A (zh) | 一种流量清洗方法、系统、存储介质以及智能终端 | |
CN113556342A (zh) | 一种dns缓存服务器前缀变化攻击防护方法及装置 | |
CN116471047A (zh) | 自动化框架爬虫的检测方法、设备及可读存储介质 | |
Song et al. | Collaborative defense mechanism using statistical detection method against DDoS attacks | |
Yanchun | The intrusion detection system based on fuzzy association rules mining | |
Bellaiche et al. | Measuring defense systems against flooding attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CX01 | Expiry of patent term |
Granted publication date: 20070124 |