CN1484148A - 用于syn/fin对应关系的秘密散列 - Google Patents
用于syn/fin对应关系的秘密散列 Download PDFInfo
- Publication number
- CN1484148A CN1484148A CNA031381766A CN03138176A CN1484148A CN 1484148 A CN1484148 A CN 1484148A CN A031381766 A CNA031381766 A CN A031381766A CN 03138176 A CN03138176 A CN 03138176A CN 1484148 A CN1484148 A CN 1484148A
- Authority
- CN
- China
- Prior art keywords
- count value
- limited
- grouping
- syn
- router
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Ultra Sonic Daignosis Equipment (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Pharmaceuticals Containing Other Organic And Inorganic Compounds (AREA)
Abstract
本发明涉及在基于计算机的网络中防止洪水类型的业务拒绝攻击的方法。已知为SYN分组的连接建立消息利用散列算法与连接结束消息(FIN分组)匹配。散列算法或消息摘要利用信源和信宿IP地址、端口号和密钥作为输入参数。SYN分组和FIN分组利用散列算法映射到桶,每个桶中维护统计数字。保持SYN分组和FIN分组之间的对应关系来关闭安全漏洞。
Description
技术领域
本发明通常涉及基于计算机的系统,更特别是涉及在这种系统中检测与安全有关的攻击的方法。
背景技术
近年来对网址的攻击已经造成了网络业务的严重破坏。这些攻击可以采用多种形式的任何一种,包括,但不仅限于SYN洪水式(SYNflooding)攻击。
在SYN洪水式攻击中,攻击者使受攻击网址过载达到它无法应付到来的业务。这种攻击通常集中在基于TCP业务的固有特性。
实质上,TCP在建立连接时依靠三次握手协议。希望与主机建立连接的客户向主机发送同步信号(SYN),主机用SYN确认(ACK)应答来响应客户。然后客户返回确认,连接建立。握手协议在图1说明。
完成连接以后,客户向主机转发一结束(FIN)分组,表示不再有其它的数据或分组指向主机,此后连接结束。
在SYN洪水式攻击中,攻击者通常利用错误或无效的源地址,以使当主机返回SYN/ACK消息时它无法到达有效的客户。在TCP协议下,主机存储半开式连接,即三次协议的第三段(leg)在一时间段内或者直到系统超时出现还未完成的连接。如果在此时间间隔内在该主机网址建立了许多新的半开式连接,则分配用来保持这些连接的内存将被堵塞,并最终无法再接收SYN分组。在这个阶段,服务器或主机将崩溃或不再响应任何新的连接,该网址将停止使用。因为主机无法再接收数据,所以攻击者已经成功地产生了所谓的业务拒绝攻击。业务拒绝攻击正逐渐变成安全威胁的主要形式,迄今这个问题都非常难以解决。已经建议了多种对策,具体表现为防火墙和路由器过滤、操作系统改进、协议改进和侵入检测。
在安全攻击领域存在大量的现有技术,在1997年IEEE Symp.Security and Privacy会刊中C.Schuba,I.Krsul,M.Kuhn,E.Spafford,A.Sundaram和D.Zamboni发表的名称为“对TCP业务拒绝攻击的分析(Analysis of a denial of service attack on TCP)”论文中详细描述了该问题。Schuba等人的论文描述了该问题和代理业务的经典解决方案:TCP中继和半透明的TCP网关。在这两种解决方案中,防火墙截断TCP连接、保持TCP状态机的状态和引入新的分组来避免攻击。
根据该论文的代理解决方案必须为每次连接保持相应TCP状态机的状态。该机制需要大量的资源而且本身会成为新的业务拒绝攻击的目标。因此,计算开销的高成本使得该解决方案不适用于网络路由器或交换机。
更接近本发明的第二种现有技术由Proc.Infocom 2002中H.Wang,D.Zhang和K.G.Shin发表的“检测SYN洪水式攻击(Detecting SYN flooding attacks)”描述。根据Wang等人的方法依靠TCP连接中SYN和FIN分组的计数参数(argument)。这些分组应当成对进入任何运转正常的连接。因此,SYN分组的数目应当大致与FIN分组的数目匹配。这种方法的简易性在于无需状态和较低的计算开销,这使得检测机制本身免于洪水式攻击。这种简易性允许在连接终端主机与互联网的叶路由器中执行检测。
根据Wang等人的计数器机制具有一个主要的缺点。如果攻击者确切得知此方法所述的检测协议,他们可以简单地用同步SYN和无关的甚至无效的FIN分组完全淹没(overflooding)路由器来阻挠此方案。因此SYN计数器和FIN计数器应当大致相同。但是,受攻击的TCP/IP栈将会对无效FIN分组尚未结束的许多半开式连接开放。这相应于最初的业务拒绝攻击。
2001年11月20日授予Porras等人的美国专利6,321,338“网络监测(Network Survelillance)”也提供了一种现有技术。根据Porras等人的专利,提供了一种网络监测的方法,包括接收由网络实体处理的网络分组,和从监视数据传输、误差或网络连接的网络分组的测量值中建立至少一个长期和至少一个短期的统计档案(profile)。比较统计档案来确定统计档案的差别是否表示可疑的网络行为。
除了上述的细节以外,此专利还公开了事件流,例如ICMP分组的强度测量值特别适合于检测洪水式攻击。此外,该专利还公开了使SYN与SYN_ACK消息相关的强度测量值、SYN/RST消息或TCP/FIN消息的容量分析对于检测端口的可用性或扫描攻击有用。
第二项重要的专利是1999年9月28日授予Denker的美国专利5,958,053“具有改进安全性的通信协议(Communications protocolwith improved security)”。根据Denker的专利,其发明包括两个新的第一级协议和若干第二级协议的实施例。该发明的两个新的第一级协议包括TCP2B协议和TCP 2E协议。在TCP2B协议中,客户和服务器都表示利用TCP首部的一个或多个比特来支持此协议。根据TCP2B协议在ACK消息中客户重发它请求的选项,因此服务器在连接请求以后不必存储这些选项。在TCP 2E协议中,服务器保存列出了近来观察符合TCP装置地址的朋友表(Friends Table)。如果客户的地址在朋友表中,则连接请求根据TCP处理。否则服务器向客户发送一确认消息提醒客户发送复位(RST)消息。然后客户的地址加入到朋友表中。
此专利公开了将散列函数用于仅为服务器所知的信源和信宿IP地址、端口号加上密钥来区分SYN分组。另外,此专利还公开了包括计数器的散列表,该计数器对应于各个客户以检测SYN洪水式攻击中将会出现的不成功的尝试。在从相应的业务收到SYN消息以后每个计数器减一,在从客户收到ACK后在客户和服务器之间建立成功的连接时每个计数器加一。
业务拒绝攻击经常利用TCP建立SYN消息来用伪造的连接尝试淹没目标攻击。为了检测到这种攻击,已经开发了许多基于统计数字的试探法,这些试探法计数SYN比FIN消息并将偏离(skew)标记为攻击。遗憾的是,攻击者可以用与SYN一样多的FIN淹没同时使FIN与SYN无关来蒙蔽这些系统。
如果检测系统愿意维护所有SYN的表并且只计数对应于有效SYN的FIN,则也可以检测到。但遗憾的是,在高带宽的应用中,不可能维护如此之大的连接表。
美国专利5,958,053提供的解决方案只根据IP地址和端口号监视连接。不进行只基于IP地址的全局(global)监视。
发明人已知的最好的现有技术方案观察业务量和积累根据SYN比FIN的统计数字,如果存在差异则标记为攻击。在外出的SYN和进入的SIN之间没有对应关系的检验。这为精明的攻击者留下了可以利用的隐患,因为攻击者可以用SYN分组和不对应的FIN分组来淹没受攻击者。受攻击者积累半开式连接,检测器受到了蒙蔽。
发明内容
本发明通过维护SYN和FIN之间的对应关系、关闭安全漏洞来改进现有技术。
该解决方案还提供一种相干的方式处理复位分组。
因此,通常,本发明通过利用将SYN消息映射到对应的FIN消息的散列函数来检测SYN洪水式攻击。
因此,根据本发明的第一个方面,提供了一种在数字通信系统中的路由器检测异常不成功的连接尝试次数的方法,该方法包括步骤:a)为路由器在预定时间间隔期间收到的每个具有连接标记建立(SYN和SYN/ACK)的分组和为每个连接结束(FIN)分组,利用作为输入参数的信源和信宿IP地址、端口号和密钥的散列函数计算一值;b)在收到具有连接标记建立(SYN和SYN/ACK)的分组后使该值唯一识别的全局(global)计数值和桶(bucket)计数值加一;c)在收到连接结束(FIN)分组后,全局计数值和桶计数值减一,只要这些计数值严格为正;和d)响应全局计数值在连续时间间隔内的行为确定出现异常不成功的连接尝试次数。
根据本发明的第二个方面,提供了一种在数字通信系统中位于LAN和一网络之间的路由器检测异常不成功的连接尝试次数的方法,该方法包括步骤:a)为路由器在预定时间间隔期间收到的每个连接建立(SYN)和连接结束(FIN)分组,利用作为输入参数的信源和信宿IP地址、端口号和密钥的散列函数计算一值;b)在从路由器的LAN端收到连接建立(SYN)分组后使该值唯一识别的全局计数值和桶计数值加一;c)在从路由器的网络端收到连接结束(FIN)分组后,全局计数值和桶计数值减一,只要这些计数值严格为正;和d)响应全局计数值在连续时间间隔内的行为确定出现异常不成功的连接尝试次数。
根据本发明的再一个方面,提供了一种在数字通信系统中位于LAN和一网络之间的路由器检测异常不成功的连接尝试次数的方法,该方法包括步骤:a)为路由器在预定时间间隔期间收到的每个连接建立(SYN)和连接结束(FIN)分组,利用作为输入参数的信源和信宿IP地址、端口号和密钥的散列函数计算一值;b)在从路由器的网络端收到连接建立(SYN)分组后使该值唯一识别的全局计数值和桶计数值加一;c)在从路由器的LAN端收到连接结束(FIN)分组后,全局计数值和桶计数值减一,只要这些计数值严格为正;和d)响应全局计数值在连续时间间隔内的行为确定出现异常不成功的连接尝试次数。
根据本发明的再一个方面,提供了一种在数字通信系统中位于LAN和一网络之间的路由器检测异常不成功的连接尝试次数的方法,该方法包括步骤:a)为路由器在预定时间间隔期间收到的每个信令分组(SYN、SYN/ACK、FIN、RST),利用作为输入参数的信源和信宿IP地址、端口号和密钥的散列函数计算一值;b)为从路由器的LAN端和网络端到来的每个分组类型,使特定的桶计数值加一;c)维护全局计数值超过在步骤b)定义的所有桶计数值;和d)响应全局计数值在连续时间间隔内的行为确定出现异常不成功的连接尝试次数,其中桶计数值在时间间隔结束时复位。
附图说明
现在将参照附图更详细地描述本发明,其中:
图1说明TCP启动协议;
图2是实现本发明的高层说明;
图3是说明本发明一个实施方式的流程图。
具体实施方式
图1说明用于启动从客户到主机或服务器连接的TCP/IP协议,客户向服务器发送连接启动(SYN)消息,服务器用SYN/ACK消息回复客户。客户返回完全打开连接的确认消息。
在完成对话以后,客户向主机或服务器发送FIN或连接结束消息,服务器确认该消息并返回一确认来正式结束连接。
如前所述,如果连接启动消息的第三段,即从客户到服务器的确认在服务器没有收到,则服务器维护半开式连接的记录,多个这种半开式消息会淹没服务器,从而导致业务崩溃和中断。
预计本发明将在互联网边缘的路由器找到特殊的应用,该路由器提供从局域网到互联网或一般网络的接入。它还可以用于交换机、防火墙、主机等。图2是此应用的高层图,表示包括用于实现本发明方法机制的路由器。
SYN洪水式攻击可以通过用散列表维护连接状态来有效地检测。这种系统可以比现有技术中已知的其它方法更有效。相关的散列函数必须是抗碰撞的,即如果发现在同一捅中散列两个对联(couplets)则计算必定是不可行的。这可以通过利用密钥函数实现。
因此,在本发明中,进入的信令分组(SYN、SYN/ACK、FIN、RST)由加密散列函数映射到桶,统计数字可以在每个桶中维护,而不是整个系统。一个简单的计数器对SYN加一对FIN减一用于每个桶。这样,至少可以是SYN和FIN之间统计对应,而且因为不知道映射函数,攻击者没有途径伪造FIN映射到同一桶(无法对应同一个SYN)。这依赖攻击者只有两种选择的假设:或者完成三次握手,最终连接,或者不完成三次握手并为客户留下半开式连接。
映射函数可以散列【信源IP、信宿IP、信宿端口、密钥】到n个桶。n的选择是对检验器更高的要求和系统有效性之间的折中。举个例子,n=100将会冒攻击下过多统计碰撞的危险(即,系统不会检测到正在进行的攻击);n=106在碰撞方面要好得多;但是,它的存储要求对于小路由器(举例)来说会太大。事实上,可以使用支持插入、成员查询和可选择的,删除的任何有效的数据结构(例如,具有密钥散列函数的Bloom滤波器)。主要问题在于具有这样一种有效的数据结构,即错误的确定成员查询非常低。这就是该表容量巨大的原因。
密钥参数允许散列算法已知,但是【IP,端口】和桶之间的对应关系必须隐瞒攻击者。因此,密钥将是只为检测系统所知的随机数。
全局计数器必须保持跟踪所有开放的连接。它将是判定是否存在攻击的逻辑中心。
业务拒绝攻击正逐渐变成安全威胁的主要形式,这个问题看起来非常难以解决,因为攻击是TCP/IP基础设施的固有特性。本发明提供了比已知方法更有效和强壮的检测业务拒绝攻击的方式。
因此,本发明涉及一种检测洪水式类型业务拒绝攻击的方法,其中SYN消息通过利用包括使用密钥作为额外安全性的散列算法与FIN消息匹配。该方法还涉及一种说明相应的复位消息、维护SYN、FIN和复位消息的全局计数值的方法,从而这些计数值将用于进一步检测业务攻击。
本发明依赖一种测量路由器在预定时间间隔收到的连接建立分组(SYN)和连接结束分组(FIN)的方法。分组中的信息,例如信源和信宿IP地址、端口号和密钥用于使用散列函数计算一值。在收到连接建立分组后,全局计数值和桶计数值加一。如果与全局计数值和桶计数值有关的连接结束分组或FIN分组为正,则全局计数值和桶计数值减一。根据全局计数值在连续时间间隔的行为确定由异常不成功连接尝试所示的业务拒绝攻击。
通常,桶计数值在时间间隔结束时复位,该时间间隔可以是连续的滑动窗口或不重叠的滑动窗口。
确定业务拒绝攻击的方法依赖利用任何一个累加和、移动平均数、或滤波器导数来检测全局计数值的变化。
图3是表示本发明一个实施例的全图。
在前面的讨论中,大型散列表用于确保对于成员查询的少数错误的确定应答。但是,基于加密散列函数的小型散列表也很有用,如果通过路由器的业务量重要的话。在这种情况下,散列表用于将业务分成独立的不可预计的流。在这种情况下,只有桶计数值用于攻击检测。通常,上面段落所述的方法(确定业务拒绝攻击的方法依赖利用任何一个累计总和、移动平均数、或滤波器导数来检测全局计数值的变化)用于每个桶计数器而不是用于所有计数器。
尽管已经描述和说明了具体的实施例,但是显然对于本领域技术人员来说,可以引入各种改变而没有偏离基本的概念。但是,应当理解在可能程度内的这些改变都落入所附权利要求书所限定的本发明的全部范围内。
Claims (24)
1.一种在数字通信系统中的路由器检测异常不成功的连接尝试次数的方法,该方法包括步骤:
a)为路由器在预定时间间隔期间收到的每个连接建立分组和每个连接结束分组,利用作为输入参数的信源和信宿IP地址、端口号和密钥的散列函数计算一值;
b)在收到连接建立分组后使该值唯一识别的全局计数值和桶计数值加一;
c)在收到连接结束分组后,全局计数值和桶计数值减一,只要这些计数值严格为正;和
d)响应全局计数值在连续时间间隔内的行为确定出现异常不成功的连接尝试次数。
2.如权利要求1所限定的方法,其特征在于,预定的时间间隔是其中一个连续的滑动窗口或不重叠的滑动窗口。
3.如权利要求2所限定的方法,其特征在于,桶计数值在预定时间间隔结束时复位。
4.如权利要求3所限定的方法,其特征在于,步骤d)还包括利用任何一个累加和、移动平均数、或滤波器导数来检测全局计数值的变化。
5.如权利要求1所限定的方法,其特征在于,步骤d)还包括利用任何一个累加和、移动平均数、或滤波器导数来检测桶计数值的变化。
6.如权利要求1所限定的方法,实现TCP协议,所述连接建立分组是SYN和SYN/ACK分组,所述连接结束分组是FIN分组。
7.一种在数字通信系统中位于LAN和一网络之间的路由器检测异常不成功的连接尝试次数的方法,该方法包括步骤:
a)为路由器在预定时间间隔期间收到的每个连接建立和连接结束分组,利用作为输入参数的信源和信宿IP地址、端口号和密钥的散列函数计算一值;
b)在从路由器的LAN端收到连接建立分组后使该值唯一识别的全局计数值和桶计数值加一;
c)在从路由器的网络端收到连接结束分组后,全局计数值和桶计数值减一,只要这些计数值严格为正;和
d)响应全局计数值在连续时间间隔内的行为确定出现异常不成功的连接尝试次数。
8.如权利要求7所限定的方法,其特征在于,预定的时间间隔是其中一个连续的滑动窗口或不重叠的滑动窗口。
9.如权利要求8所限定的方法,其特征在于,桶计数值在预定时间间隔结束时复位。
10.如权利要求9所限定的方法,其特征在于,步骤d)还包括利用任何一个累加和、移动平均数、或滤波器导数来检测全局计数值的变化。
11.如权利要求7所限定的方法,其特征在于,步骤d)还包括利用任何一个累加和、移动平均数、或滤波器导数来检测桶计数值的变化。
12.如权利要求7所限定的方法,实现TCP协议,所述连接建立分组是SYN分组,所述连接结束分组是FIN分组。
13.一种在数字通信系统中位于LAN和一网络之间的路由器检测异常不成功的连接尝试次数的方法,该方法包括步骤:
a)为路由器在预定时间间隔期间收到的每个连接建立和连接结束分组,利用作为输入参数的信源和信宿IP地址、端口号和密钥的散列函数计算一值;
b)在从路由器的网络端收到连接建立分组后使该值唯一识别的全局计数值和桶计数值加一;
c)在从路由器的LAN端收到连接结束分组后,全局计数值和桶计数值减一,只要这些计数值严格为正;和
d)响应全局计数值在连续时间间隔内的行为确定出现异常不成功的连接尝试次数。
14.如权利要求13所限定的方法,其特征在于,预定的时间间隔是其中一个连续的滑动窗口或不重叠的滑动窗口。
15.如权利要求14所限定的方法,其特征在于,桶计数值在预定时间间隔结束时复位。
16.如权利要求15所限定的方法,其特征在于,步骤d)还包括利用任何一个累加和、移动平均数、或滤波器导数来检测全局计数值的变化。
17.如权利要求13所限定的方法,其特征在于,步骤d)还包括利用任何一个累加和、移动平均数、或滤波器导数来检测桶计数值的变化。
18.如权利要求13所限定的方法,实现TCP协议,所述连接建立分组是SYN分组,所述连接结束分组是FIN分组。
19.一种在数字通信系统中位于LAN和一网络之间的路由器检测异常不成功的连接尝试次数的方法,该方法包括步骤:
a)为路由器在预定时间间隔期间收到的每个连接建立和连接结束分组,利用作为输入参数的信源和信宿IP地址、端口号和密钥的散列函数计算一值;
b)为从路由器的LAN端和网络端到来的每个分组类型,使特定的桶计数值加一;
c)维护全局计数值超过在步骤b)定义的所有桶计数值;和
d)响应全局计数值在连续时间间隔内的行为确定出现异常不成功的连接尝试次数,其中桶计数值在时间间隔结束时复位。
20.如权利要求19所限定的方法,其特征在于,预定的时间间隔是其中一个连续的滑动窗口或不重叠的滑动窗口。
21.如权利要求20所限定的方法,其特征在于,桶计数值在预定时间间隔结束时复位。
22.如权利要求21所限定的方法,其特征在于,步骤d)还包括利用任何一个累加和、移动平均数、或滤波器导数来检测全局计数值的变化。
23.如权利要求19所限定的方法,其特征在于,步骤d)还包括利用任何一个累加和、移动平均数、或过滤导数来检测桶计数值的变化。
24.如权利要求19所限定的方法,实现TCP/IP协议,其中进入的信令分组是SYN、SYN/ACK、FIN和RST分组。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/158,115 US7284272B2 (en) | 2002-05-31 | 2002-05-31 | Secret hashing for TCP SYN/FIN correspondence |
| US10/158,115 | 2002-05-31 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1484148A true CN1484148A (zh) | 2004-03-24 |
| CN1316369C CN1316369C (zh) | 2007-05-16 |
Family
ID=29419669
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB031381766A Expired - Fee Related CN1316369C (zh) | 2002-05-31 | 2003-05-30 | 检测异常不成功的连接尝试次数的方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7284272B2 (zh) |
| EP (1) | EP1367799B1 (zh) |
| CN (1) | CN1316369C (zh) |
| AT (1) | ATE361621T1 (zh) |
| DE (1) | DE60313529T2 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100463461C (zh) * | 2005-05-10 | 2009-02-18 | 西安交通大学 | 主动式网络安全漏洞检测器 |
| CN1934835B (zh) * | 2004-03-25 | 2010-07-14 | 松下电器产业株式会社 | 动态网络管理系统、动态网络管理装置以及动态网络管理方法 |
| CN101286889B (zh) * | 2008-05-23 | 2012-07-11 | 杭州华三通信技术有限公司 | 一种状态记录的方法及装置 |
| CN113709105A (zh) * | 2021-07-20 | 2021-11-26 | 深圳市风云实业有限公司 | 基于计数型布隆过滤器的SYN Flood攻击检测方法 |
| CN117528502A (zh) * | 2024-01-08 | 2024-02-06 | 易联科技(深圳)有限公司 | 一种无线路由器间加密通讯方法及系统 |
Families Citing this family (52)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050033989A1 (en) * | 2002-11-04 | 2005-02-10 | Poletto Massimiliano Antonio | Detection of scanning attacks |
| US8191136B2 (en) * | 2002-11-04 | 2012-05-29 | Riverbed Technology, Inc. | Connection based denial of service detection |
| US7774839B2 (en) * | 2002-11-04 | 2010-08-10 | Riverbed Technology, Inc. | Feedback mechanism to minimize false assertions of a network intrusion |
| US7461404B2 (en) * | 2002-11-04 | 2008-12-02 | Mazu Networks, Inc. | Detection of unauthorized access in a network |
| US7827272B2 (en) * | 2002-11-04 | 2010-11-02 | Riverbed Technology, Inc. | Connection table for intrusion detection |
| US7716737B2 (en) * | 2002-11-04 | 2010-05-11 | Riverbed Technology, Inc. | Connection based detection of scanning attacks |
| US7603710B2 (en) * | 2003-04-03 | 2009-10-13 | Network Security Technologies, Inc. | Method and system for detecting characteristics of a wireless network |
| US7796515B2 (en) * | 2003-04-29 | 2010-09-14 | Hewlett-Packard Development Company, L.P. | Propagation of viruses through an information technology network |
| US7359983B1 (en) * | 2003-06-24 | 2008-04-15 | Nvidia Corporation | Fragment processing utilizing cross-linked tables |
| US7356587B2 (en) * | 2003-07-29 | 2008-04-08 | International Business Machines Corporation | Automatically detecting malicious computer network reconnaissance by updating state codes in a histogram |
| US20050144441A1 (en) * | 2003-12-31 | 2005-06-30 | Priya Govindarajan | Presence validation to assist in protecting against Denial of Service (DOS) attacks |
| US7512684B2 (en) | 2004-09-30 | 2009-03-31 | Intel Corporation | Flow based packet processing |
| US7620046B2 (en) | 2004-09-30 | 2009-11-17 | Intel Corporation | Dynamically assigning packet flows |
| US7784096B2 (en) * | 2004-11-15 | 2010-08-24 | Microsoft Corporation | Outgoing connection attempt limiting to slow down spreading of viruses |
| US20060126640A1 (en) * | 2004-12-14 | 2006-06-15 | Sood Sanjeev H | High performance Transmission Control Protocol (TCP) SYN queue implementation |
| GB2425912A (en) * | 2005-05-04 | 2006-11-08 | Psytechnics Ltd | Packet filtering |
| US8107822B2 (en) * | 2005-05-20 | 2012-01-31 | Finisar Corporation | Protocols for out-of-band communication |
| US7584507B1 (en) * | 2005-07-29 | 2009-09-01 | Narus, Inc. | Architecture, systems and methods to detect efficiently DoS and DDoS attacks for large scale internet |
| CN100384161C (zh) * | 2005-12-31 | 2008-04-23 | 华为技术有限公司 | 一种业务行为异常处理方法及系统 |
| US8332925B2 (en) | 2006-08-08 | 2012-12-11 | A10 Networks, Inc. | System and method for distributed multi-processing security gateway |
| US8079077B2 (en) | 2006-08-08 | 2011-12-13 | A10 Networks, Inc. | System and method for distributed multi-processing security gateway |
| US8661160B2 (en) | 2006-08-30 | 2014-02-25 | Intel Corporation | Bidirectional receive side scaling |
| JP4287456B2 (ja) * | 2006-10-26 | 2009-07-01 | 株式会社東芝 | サービス不能攻撃を防止するサーバ装置、方法およびプログラム |
| US8526821B2 (en) | 2006-12-29 | 2013-09-03 | Finisar Corporation | Transceivers for testing networks and adapting to device changes |
| US7865954B1 (en) * | 2007-08-24 | 2011-01-04 | Louisiana Tech Research Foundation; A Division Of Louisiana Tech University Foundation, Inc. | Method to detect SYN flood attack |
| JP2009065277A (ja) * | 2007-09-04 | 2009-03-26 | Kddi Corp | 情報収集装置、通信異常検知装置およびコンピュータプログラム |
| US8014282B2 (en) | 2008-06-26 | 2011-09-06 | Intel Corporation | Hashing packet contents to determine a processor |
| US8724466B2 (en) * | 2010-06-30 | 2014-05-13 | Hewlett-Packard Development Company, L.P. | Packet filtering |
| US8789176B1 (en) * | 2011-03-07 | 2014-07-22 | Amazon Technologies, Inc. | Detecting scans using a bloom counter |
| US8832830B2 (en) * | 2011-11-28 | 2014-09-09 | International Business Machines Corporation | Securing network communications from blind attacks with checksum comparisons |
| EP2806600A4 (en) * | 2011-12-26 | 2015-11-18 | Keelwit Technology & Beyond S L | PROTECTIVE DEVICE AND METHOD |
| US9118618B2 (en) | 2012-03-29 | 2015-08-25 | A10 Networks, Inc. | Hardware-based packet editor |
| US9596286B2 (en) | 2012-05-25 | 2017-03-14 | A10 Networks, Inc. | Method to process HTTP header with hardware assistance |
| WO2014052099A2 (en) | 2012-09-25 | 2014-04-03 | A10 Networks, Inc. | Load distribution in data networks |
| US10021174B2 (en) | 2012-09-25 | 2018-07-10 | A10 Networks, Inc. | Distributing service sessions |
| US9047417B2 (en) | 2012-10-29 | 2015-06-02 | Intel Corporation | NUMA aware network interface |
| GB201302985D0 (en) * | 2013-02-20 | 2013-04-03 | Nominet Uk | A method of, and apparatus for, analysing network communications data |
| US10027761B2 (en) | 2013-05-03 | 2018-07-17 | A10 Networks, Inc. | Facilitating a secure 3 party network session by a network device |
| US10684973B2 (en) | 2013-08-30 | 2020-06-16 | Intel Corporation | NUMA node peripheral switch |
| US8806011B1 (en) | 2014-01-06 | 2014-08-12 | Cloudflare, Inc. | Transparent bridging of transmission control protocol (TCP) connections |
| US8984635B1 (en) * | 2014-01-06 | 2015-03-17 | Cloudflare, Inc. | Authenticating the identity of initiators of TCP connections |
| US10020979B1 (en) | 2014-03-25 | 2018-07-10 | A10 Networks, Inc. | Allocating resources in multi-core computing environments |
| US9806943B2 (en) | 2014-04-24 | 2017-10-31 | A10 Networks, Inc. | Enabling planned upgrade/downgrade of network devices without impacting network sessions |
| US9935831B1 (en) * | 2014-06-03 | 2018-04-03 | Big Switch Networks, Inc. | Systems and methods for controlling network switches using a switch modeling interface at a controller |
| US9641485B1 (en) * | 2015-06-30 | 2017-05-02 | PacketViper LLC | System and method for out-of-band network firewall |
| US10044583B2 (en) | 2015-08-21 | 2018-08-07 | Barefoot Networks, Inc. | Fast detection and identification of lost packets |
| US10432730B1 (en) | 2017-01-25 | 2019-10-01 | United States Of America As Represented By The Secretary Of The Air Force | Apparatus and method for bus protection |
| US10296477B2 (en) | 2017-03-30 | 2019-05-21 | United States of America as represented by the Secretary of the AirForce | Data bus logger |
| US10038715B1 (en) * | 2017-08-01 | 2018-07-31 | Cloudflare, Inc. | Identifying and mitigating denial of service (DoS) attacks |
| US10601849B2 (en) * | 2017-08-24 | 2020-03-24 | Level 3 Communications, Llc | Low-complexity detection of potential network anomalies using intermediate-stage processing |
| US20190182286A1 (en) * | 2017-12-11 | 2019-06-13 | Xm Cyber Ltd. | Identifying communicating network nodes in the presence of Network Address Translation |
| CN112887213B (zh) * | 2019-11-29 | 2023-04-18 | 北京百度网讯科技有限公司 | 报文清洗方法和装置 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5542089A (en) | 1994-07-26 | 1996-07-30 | International Business Machines Corporation | Method and apparatus for estimating the number of occurrences of frequent values in a data set |
| US5958053A (en) | 1997-01-30 | 1999-09-28 | At&T Corp. | Communications protocol with improved security |
| US6725378B1 (en) * | 1998-04-15 | 2004-04-20 | Purdue Research Foundation | Network protection for denial of service attacks |
| US6321338B1 (en) | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
| US6597661B1 (en) * | 1999-08-25 | 2003-07-22 | Watchguard Technologies, Inc. | Network packet classification |
| US6816910B1 (en) * | 2000-02-17 | 2004-11-09 | Netzentry, Inc. | Method and apparatus for limiting network connection resources |
| EP1154610A3 (en) | 2000-05-12 | 2005-05-11 | International Business Machines Corporation | Methods and system for defeating TCP Syn flooding attacks |
| TW518864B (en) * | 2000-05-12 | 2003-01-21 | Ibm | Methods and system for defeating TCP SYN flooding attacks |
| US7043759B2 (en) * | 2000-09-07 | 2006-05-09 | Mazu Networks, Inc. | Architecture to thwart denial of service attacks |
| US6779033B1 (en) * | 2000-12-28 | 2004-08-17 | Networks Associates Technology, Inc. | System and method for transacting a validated application session in a networked computing environment |
-
2002
- 2002-05-31 US US10/158,115 patent/US7284272B2/en not_active Expired - Lifetime
-
2003
- 2003-05-30 CN CNB031381766A patent/CN1316369C/zh not_active Expired - Fee Related
- 2003-05-30 DE DE60313529T patent/DE60313529T2/de not_active Expired - Lifetime
- 2003-05-30 AT AT03300023T patent/ATE361621T1/de not_active IP Right Cessation
- 2003-05-30 EP EP03300023A patent/EP1367799B1/en not_active Expired - Lifetime
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1934835B (zh) * | 2004-03-25 | 2010-07-14 | 松下电器产业株式会社 | 动态网络管理系统、动态网络管理装置以及动态网络管理方法 |
| CN100463461C (zh) * | 2005-05-10 | 2009-02-18 | 西安交通大学 | 主动式网络安全漏洞检测器 |
| CN101286889B (zh) * | 2008-05-23 | 2012-07-11 | 杭州华三通信技术有限公司 | 一种状态记录的方法及装置 |
| CN113709105A (zh) * | 2021-07-20 | 2021-11-26 | 深圳市风云实业有限公司 | 基于计数型布隆过滤器的SYN Flood攻击检测方法 |
| CN113709105B (zh) * | 2021-07-20 | 2023-08-29 | 深圳市风云实业有限公司 | 基于计数型布隆过滤器的SYN Flood攻击检测方法 |
| CN117528502A (zh) * | 2024-01-08 | 2024-02-06 | 易联科技(深圳)有限公司 | 一种无线路由器间加密通讯方法及系统 |
| CN117528502B (zh) * | 2024-01-08 | 2024-03-29 | 易联科技(深圳)有限公司 | 一种无线路由器间加密通讯方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1367799A3 (en) | 2004-10-20 |
| US7284272B2 (en) | 2007-10-16 |
| CN1316369C (zh) | 2007-05-16 |
| EP1367799B1 (en) | 2007-05-02 |
| DE60313529T2 (de) | 2008-01-31 |
| US20030226034A1 (en) | 2003-12-04 |
| DE60313529D1 (de) | 2007-06-14 |
| EP1367799A2 (en) | 2003-12-03 |
| ATE361621T1 (de) | 2007-05-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1316369C (zh) | 检测异常不成功的连接尝试次数的方法 | |
| EP1429230B1 (en) | Improved secret hashing for TCP SYN/FIN correspondence | |
| US7114182B2 (en) | Statistical methods for detecting TCP SYN flood attacks | |
| US7398317B2 (en) | Thwarting connection-based denial of service attacks | |
| US7836498B2 (en) | Device to protect victim sites during denial of service attacks | |
| US7043759B2 (en) | Architecture to thwart denial of service attacks | |
| US7278159B2 (en) | Coordinated thwarting of denial of service attacks | |
| US7124440B2 (en) | Monitoring network traffic denial of service attacks | |
| US7743134B2 (en) | Thwarting source address spoofing-based denial of service attacks | |
| US7711790B1 (en) | Securing an accessible computer system | |
| US7743415B2 (en) | Denial of service attacks characterization | |
| CN101009607B (zh) | 用于检测并防止网络环境中的洪流攻击的系统和方法 | |
| Wang et al. | Syn-dog: Sniffing syn flooding sources | |
| US20020035628A1 (en) | Statistics collection for network traffic | |
| US20060107318A1 (en) | Detection of grid participation in a DDoS attack | |
| Gavaskar et al. | Three counter defense mechanism for TCP SYN flooding attacks | |
| CN1893375A (zh) | 用于检测和减轻分布式拒绝服务攻击的系统和方法 | |
| CN1968272A (zh) | 应用层入口过滤 | |
| Singh et al. | Analysis of Botnet behavior using Queuing theory | |
| CN1741473A (zh) | 一种网络数据包有效性判定方法及系统 | |
| Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies | |
| Mopari et al. | Detection of DDoS attack and defense against IP spoofing | |
| Goldschmidt | Adaptive SYN Flood Mitigation Based on Attack Vector Detection and Mitigation Process Monitoring | |
| Arumugam et al. | Novel Scheme for Detecting and Preventing Spoofed IP Access on Network using IP2HP Filter | |
| Thing et al. | Enhanced TCP SYN attack detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20070516 Termination date: 20180530 |