JP2020503775A - DDoS攻撃検出方法およびデバイス - Google Patents
DDoS攻撃検出方法およびデバイス Download PDFInfo
- Publication number
- JP2020503775A JP2020503775A JP2019535749A JP2019535749A JP2020503775A JP 2020503775 A JP2020503775 A JP 2020503775A JP 2019535749 A JP2019535749 A JP 2019535749A JP 2019535749 A JP2019535749 A JP 2019535749A JP 2020503775 A JP2020503775 A JP 2020503775A
- Authority
- JP
- Japan
- Prior art keywords
- data stream
- traffic
- long
- stream
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
各検出期間に保護対象デバイスに送信されたデータストリームを取得し、各データストリームの総持続時間を取得するステップと、
各データストリームの総持続時間に基づいて、各データストリームが長いデータストリームまたは短いデータストリームであるかどうかを判定するステップと、
長いデータストリームが通過する検出期間に基づいて、長いデータストリームの総データトラフィックを、長いデータストリームが通過する各検出期間の統計トラフィックに割り当てるステップと、
各検出期間の統計トラフィックを判定するために、各検出期間の短いデータストリームのデータトラフィックを、対応する検出期間に割り当てられた長いデータストリームのデータトラフィックに追加するステップと、
統計トラフィックが予め設定されたトラフィック閾値を超える検出期間がある場合、保護対象デバイスが検出期間にDDoS攻撃を受けていると判定するステップと
を行うように構成される。
長いデータストリームのデータトラフィックレコードについて現在のデータトラフィックキャッシュレコードを検索するステップと、
長いデータストリームのデータトラフィックレコードが現在のデータトラフィックキャッシュレコードに存在する場合、長いデータストリームの総データトラフィックを判定するために、現在の保存期間の長いデータストリームのデータトラフィックを、発見された現在のデータトラフィックキャッシュレコードにおける過去の保存期間の長いデータストリームのデータトラフィックに追加するステップと
がさらに含まれる。
長いデータストリームがアクティブストリームであるかどうかを判定するステップと、
長いデータストリームがアクティブストリームである場合、現在の保存期間の長いデータストリームのデータトラフィックと発見された現在のデータトラフィックキャッシュレコードにおける過去の保存期間の長いデータストリームのデータトラフィックとの総データトラフィックをキャッシュするステップ、または
長いデータストリームが非アクティブストリームである場合、現在の保存期間の長いデータストリームのデータトラフィックと発見された現在のデータトラフィックキャッシュレコードにおける過去の保存期間の長いデータストリームのデータトラフィックとの総データトラフィックに対してキャッシュクリアを行うステップと
がさらに含まれる。
20 データストリーム分割モジュール
30 トラフィック割当モジュール
40 トラフィック統計モジュール
50 攻撃判定モジュール
60 レコード検索モジュール
70 アクティブストリーム判定モジュール
1000 DDoS攻撃検出デバイス
1001 プロセッサ
1002 バス
1003 メモリ
1004 トランシーバ
Claims (10)
- 分散型サービス妨害DDoS攻撃検出方法であって、
各検出期間に保護対象デバイスに送信されたデータストリームを取得し、各データストリームの総持続時間を取得するステップと、
各データストリームの前記総持続時間に基づいて、各データストリームが長いデータストリームまたは短いデータストリームであるかどうかを判定するステップと、
前記長いデータストリームが通過する検出期間に基づいて、前記長いデータストリームの総データトラフィックを、前記長いデータストリームが通過する各検出期間の統計トラフィックに割り当てるステップと、
各検出期間の前記統計トラフィックを判定するために、各検出期間の短いデータストリームのデータトラフィックを、対応する検出期間に割り当てられた長いデータストリームのデータトラフィックに追加するステップと、
前記統計トラフィックが予め設定されたトラフィック閾値を超える検出期間がある場合、前記保護対象デバイスが前記検出期間にDDoS攻撃を受けていると判定するステップと
を含む方法。 - 前記長いデータストリームが通過する検出期間に基づいて、前記長いデータストリームの総データトラフィックを、前記長いデータストリームが通過する各検出期間の統計トラフィックに割り当てる前記ステップが、
前記長いデータストリームが各検出期間を通過するのに使用した持続時間に基づいて、前記長いデータストリームの前記総データトラフィックを、前記長いデータストリームが通過する各検出期間の前記統計トラフィックに割り当てるステップ
を含む、請求項1に記載の方法。 - 前記長いデータストリームのデータトラフィックレコードについて現在のデータトラフィックキャッシュレコードを検索するステップと、
前記長いデータストリームの前記データトラフィックレコードが前記現在のデータトラフィックキャッシュレコードに存在する場合、前記長いデータストリームの前記総データトラフィックを判定するために、現在の保存期間の前記長いデータストリームのデータトラフィックを、発見された現在のデータトラフィックキャッシュレコードにおける過去の保存期間の前記長いデータストリームのデータトラフィックに追加するステップと
をさらに含む、請求項1または2に記載の方法。 - 前記長いデータストリームがアクティブストリームであるかどうかを判定するステップと、
前記長いデータストリームが前記アクティブストリームである場合、前記現在の保存期間の前記長いデータストリームの前記データトラフィックと前記発見された現在のデータトラフィックキャッシュレコードにおける前記過去の保存期間の前記長いデータストリームの前記データトラフィックとの総データトラフィックをキャッシュするステップ、または
前記長いデータストリームが非アクティブストリームである場合、前記現在の保存期間の前記長いデータストリームの前記データトラフィックと前記発見された現在のデータトラフィックキャッシュレコードにおける前記過去の保存期間の前記長いデータストリームの前記データトラフィックとの総データトラフィックに対してキャッシュクリアを行うステップと
をさらに含む、請求項3に記載の方法。 - 前記長いデータストリームがアクティブストリームであるかどうかを判定する前記ステップが、
データトラフィックが予め設定されたアクティブストリームエージング時点で前記長いデータストリームから連続的に出力されるかどうかを判定するステップ
を含む、請求項4に記載の方法。 - 分散型サービス妨害DDoS攻撃検出デバイスであって、
各検出期間に保護対象デバイスに送信されたデータストリームを取得し、各データストリームの総持続時間を取得するように構成された、持続時間取得モジュールと、
各データストリームの前記総持続時間に基づいて、各データストリームが長いデータストリームまたは短いデータストリームであるかどうかを判定するように構成された、データストリーム分割モジュールと、
前記長いデータストリームが通過する検出期間に基づいて、前記長いデータストリームの総データトラフィックを、前記長いデータストリームが通過する各検出期間の統計トラフィックに割り当てるように構成された、トラフィック割当モジュールと、
各検出期間の前記統計トラフィックを判定するために、各検出期間の短いデータストリームのデータトラフィックを、対応する検出期間に割り当てられた長いデータストリームのデータトラフィックに追加するように構成された、トラフィック統計モジュールと、
前記統計トラフィックが予め設定されたトラフィック閾値を超える検出期間がある場合、前記保護対象デバイスが前記検出期間にDDoS攻撃を受けていると判定するように構成された、攻撃判定モジュールと
を備えるDDoS攻撃検出デバイス。 - 前記トラフィック割当モジュールが、各検出期間を通過するために前記長いデータストリームによって使用される持続時間に基づいて、前記長いデータストリームの前記総データトラフィックを、前記長いデータストリームが通過する各検出期間の前記統計トラフィックに割り当てるように特に構成される、請求項6に記載のDDoS攻撃検出デバイス。
- 前記長いデータストリームのデータトラフィックレコードについて現在のデータトラフィックキャッシュレコードを検索し、前記長いデータストリームの前記データトラフィックレコードが前記現在のデータトラフィックキャッシュレコードに存在する場合、前記長いデータストリームの前記総データトラフィックを判定するために、現在の保存期間の前記長いデータストリームのデータトラフィックを、発見された現在のデータトラフィックキャッシュレコードにおける過去の保存期間の前記長いデータストリームのデータトラフィックに追加するように構成された、レコード検索モジュール
をさらに備える、請求項6または7に記載のDDoS攻撃検出デバイス。 - 前記長いデータストリームがアクティブストリームであるかどうかを判定し、前記長いデータストリームが前記アクティブストリームである場合、前記現在の保存期間の前記長いデータストリームの前記データトラフィックと前記発見された現在のデータトラフィックキャッシュレコードにおける前記過去の保存期間の前記長いデータストリームの前記データトラフィックとの総データトラフィックをキャッシュし、または前記長いデータストリームが非アクティブストリームである場合、前記現在の保存期間の前記長いデータストリームの前記データトラフィックと前記発見された現在のデータトラフィックキャッシュレコードにおける前記過去の保存期間の前記長いデータストリームの前記データトラフィックとの総データトラフィックに対してキャッシュクリアを行うように構成された、アクティブストリーム判定モジュール
をさらに備える、請求項8に記載のDDoS攻撃検出デバイス。 - 前記長いデータストリームが前記アクティブストリームであるかどうかを判定する前記アクティブストリーム判定モジュールが、データトラフィックが予め設定されたアクティブストリームエージング時点で前記長いデータストリームから連続的に出力されるかどうかを判定するように特に構成される、請求項9に記載のDDoS攻撃検出デバイス。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611243772.3 | 2016-12-29 | ||
CN201611243772.3A CN108259426B (zh) | 2016-12-29 | 2016-12-29 | 一种DDoS攻击检测方法及设备 |
PCT/CN2017/101338 WO2018120915A1 (zh) | 2016-12-29 | 2017-09-12 | 一种DDoS攻击检测方法及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020503775A true JP2020503775A (ja) | 2020-01-30 |
JP6768964B2 JP6768964B2 (ja) | 2020-10-14 |
Family
ID=62710336
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019535749A Active JP6768964B2 (ja) | 2016-12-29 | 2017-09-12 | DDoS攻撃検出方法およびデバイス |
Country Status (5)
Country | Link |
---|---|
US (1) | US11095674B2 (ja) |
EP (1) | EP3554036B1 (ja) |
JP (1) | JP6768964B2 (ja) |
CN (2) | CN111641585B (ja) |
WO (1) | WO2018120915A1 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109495447B (zh) * | 2018-10-10 | 2021-05-07 | 光通天下网络科技股份有限公司 | 分布式DDoS防御系统的流量数据整合方法、整合装置和电子设备 |
JP6824491B2 (ja) * | 2018-11-28 | 2021-02-03 | 三菱電機株式会社 | 攻撃打消装置、攻撃打消方法および攻撃打消プログラム |
CN110708258B (zh) * | 2019-09-29 | 2023-04-07 | Oppo广东移动通信有限公司 | 流量控制方法、装置、服务器及存储介质 |
WO2021137182A1 (en) * | 2019-12-31 | 2021-07-08 | Edgehawk Security Ltd. | Techniques for disaggregated detection and mitigation of distributed denial-of-service attacks |
CN113132262B (zh) * | 2020-01-15 | 2024-05-03 | 阿里巴巴集团控股有限公司 | 一种数据流处理及分类方法、装置和系统 |
CN115086060B (zh) * | 2022-06-30 | 2023-11-07 | 深信服科技股份有限公司 | 一种流量检测方法、装置、设备及可读存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020032774A1 (en) * | 2000-09-07 | 2002-03-14 | Kohler Edward W. | Thwarting source address spoofing-based denial of service attacks |
JP2015111770A (ja) * | 2013-12-06 | 2015-06-18 | Kddi株式会社 | 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法 |
US20160080411A1 (en) * | 2014-09-17 | 2016-03-17 | Fortinet, Inc. | Hardware-logic based flow collector for distributed denial of service (ddos) attack mitigation |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100370757C (zh) * | 2004-07-09 | 2008-02-20 | 国际商业机器公司 | 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统 |
US8331234B1 (en) * | 2004-09-08 | 2012-12-11 | Q1 Labs Inc. | Network data flow collection and processing |
US7669241B2 (en) * | 2004-09-30 | 2010-02-23 | Alcatel-Lucent Usa Inc. | Streaming algorithms for robust, real-time detection of DDoS attacks |
US8085775B1 (en) * | 2006-07-31 | 2011-12-27 | Sable Networks, Inc. | Identifying flows based on behavior characteristics and applying user-defined actions |
CN101854341B (zh) * | 2009-03-31 | 2014-03-12 | 国际商业机器公司 | 用于数据流的模式匹配方法和装置 |
US8134934B2 (en) * | 2009-09-21 | 2012-03-13 | Alcatel Lucent | Tracking network-data flows |
KR101574193B1 (ko) * | 2010-12-13 | 2015-12-11 | 한국전자통신연구원 | 분산 서비스 거부 공격 탐지 및 방어 장치 및 방법 |
US20120163178A1 (en) * | 2010-12-23 | 2012-06-28 | Telefonaktiebolaget L M Ericsson (Publ) | Multiple-Algorithm Congestion Management |
CN102394868B (zh) * | 2011-10-12 | 2014-05-07 | 镇江金钛软件有限公司 | 一种动态阈值DDoS被攻击地址检测方法 |
US9386030B2 (en) * | 2012-09-18 | 2016-07-05 | Vencore Labs, Inc. | System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks |
CN105163321B (zh) * | 2014-06-03 | 2019-01-01 | 中国移动通信集团公司 | 一种数据流量定位方法及装置 |
CN105024942B (zh) * | 2015-05-29 | 2018-05-08 | 桂林电子科技大学 | 一种动态流量监控方法 |
NL2015680B1 (en) * | 2015-10-29 | 2017-05-31 | Opt/Net Consulting B V | Anomaly detection in a data stream. |
CN106027546A (zh) * | 2016-06-28 | 2016-10-12 | 华为技术有限公司 | 网络攻击的检测方法、装置及系统 |
-
2016
- 2016-12-29 CN CN202010292223.5A patent/CN111641585B/zh active Active
- 2016-12-29 CN CN201611243772.3A patent/CN108259426B/zh active Active
-
2017
- 2017-09-12 EP EP17885469.1A patent/EP3554036B1/en active Active
- 2017-09-12 WO PCT/CN2017/101338 patent/WO2018120915A1/zh unknown
- 2017-09-12 JP JP2019535749A patent/JP6768964B2/ja active Active
-
2019
- 2019-06-27 US US16/455,717 patent/US11095674B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020032774A1 (en) * | 2000-09-07 | 2002-03-14 | Kohler Edward W. | Thwarting source address spoofing-based denial of service attacks |
JP2015111770A (ja) * | 2013-12-06 | 2015-06-18 | Kddi株式会社 | 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法 |
US20160080411A1 (en) * | 2014-09-17 | 2016-03-17 | Fortinet, Inc. | Hardware-logic based flow collector for distributed denial of service (ddos) attack mitigation |
Also Published As
Publication number | Publication date |
---|---|
CN111641585B (zh) | 2023-11-10 |
US20190327255A1 (en) | 2019-10-24 |
CN111641585A (zh) | 2020-09-08 |
JP6768964B2 (ja) | 2020-10-14 |
EP3554036B1 (en) | 2023-07-26 |
EP3554036A1 (en) | 2019-10-16 |
WO2018120915A1 (zh) | 2018-07-05 |
US11095674B2 (en) | 2021-08-17 |
CN108259426A (zh) | 2018-07-06 |
CN108259426B (zh) | 2020-04-28 |
EP3554036A4 (en) | 2019-11-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6768964B2 (ja) | DDoS攻撃検出方法およびデバイス | |
US9979624B1 (en) | Large flow detection for network visibility monitoring | |
US10637771B2 (en) | System and method for real-time load balancing of network packets | |
US10536360B1 (en) | Counters for large flow detection | |
CN107395683B (zh) | 一种回源路径的选择方法及服务器 | |
WO2018113594A1 (zh) | 防御dns攻击的方法、装置及存储介质 | |
US8904524B1 (en) | Detection of fast flux networks | |
US10541857B1 (en) | Public DNS resolver prioritization | |
US10666672B2 (en) | Collecting domain name system traffic | |
US10003515B1 (en) | Network visibility monitoring | |
EP3282643B1 (en) | Method and apparatus of estimating conversation in a distributed netflow environment | |
US11489780B1 (en) | Traffic estimations for backbone networks | |
CN114020734A (zh) | 一种流量统计去重方法及装置 | |
CN115296904B (zh) | 域名反射攻击检测方法及装置、电子设备、存储介质 | |
CN110972199B (zh) | 一种流量拥塞监测方法及装置 | |
Turkovic et al. | Detecting heavy hitters in the data-plane | |
EP3800833B1 (en) | Deep packet inspection application classification systems and methods | |
US10333966B2 (en) | Quarantining an internet protocol address | |
CN113766046A (zh) | 迭代流量跟踪方法、dns服务器及计算机可读存储介质 | |
JP2023500418A (ja) | Cdnにおけるurlリフレッシュ方法、装置、機器及びcdnノード | |
CN111835599A (zh) | 一种基于SketchLearn的混合网络测量方法、装置及介质 | |
CN106708867B (zh) | 一种基于数据基类型的资源调配方法和服务器 | |
JP5659393B2 (ja) | ネットワーク装置、及び、パケット処理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190808 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190808 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200824 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200826 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200923 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6768964 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |