RU2538292C1 - Способ обнаружения компьютерных атак на сетевую компьютерную систему - Google Patents

Способ обнаружения компьютерных атак на сетевую компьютерную систему Download PDF

Info

Publication number
RU2538292C1
RU2538292C1 RU2013134440/08A RU2013134440A RU2538292C1 RU 2538292 C1 RU2538292 C1 RU 2538292C1 RU 2013134440/08 A RU2013134440/08 A RU 2013134440/08A RU 2013134440 A RU2013134440 A RU 2013134440A RU 2538292 C1 RU2538292 C1 RU 2538292C1
Authority
RU
Russia
Prior art keywords
tcp
attack
flood
condition
values
Prior art date
Application number
RU2013134440/08A
Other languages
English (en)
Other versions
RU2013134440A (ru
Inventor
Роза Равильевна Фаткиева
Алексей Юрьевич Атисков
Дмитрий Константинович Левоневский
Original Assignee
Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" filed Critical Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы"
Priority to RU2013134440/08A priority Critical patent/RU2538292C1/ru
Application granted granted Critical
Publication of RU2538292C1 publication Critical patent/RU2538292C1/ru
Publication of RU2013134440A publication Critical patent/RU2013134440A/ru

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Изобретение относится к вычислительной технике. Технический результат заключается в обнаружении компьютерных атак разных видов, комбинированных одновременных атак разных видов и определении видов атак. Способ обнаружения компьютерных атак на сетевую компьютерную систему, включающую, по крайней мере, один компьютер, подключенный к сети и имеющий установленную операционную систему и установленное прикладное программное обеспечение, включающее систему анализа трафика, в котором для анализа получаемых из сети пакетов выбираются определенные параметры и вычисляются их значения, которые затем сравниваются с эталонными значениями, а факт наличия одиночной или комбинированной одновременной атаки и определение видов атак определяется по сочетанию установленных условий для параметров. Для обработки получаемых из сети пакетов данных используется система анализа трафика, позволяющая вычислять параметры трафика в реальном масштабе времени. 13 ил., 3 табл.

Description

Область техники, к которой относится изобретение
Изобретение относится к области защиты информационных систем и, в частности, к способам обнаружения компьютерных атак на сетевые информационные системы с использованием анализа сетевого трафика.
Уровень техники
Сетевые информационные системы могут и зачастую подвергаются компьютерным атакам со стороны злоумышленников.
Большое распространение в сети Интернет получили атаки типа "отказ в обслуживании" (Distributed Denial of Service, DDoS), на входе которых создаются такие условия работы атакуемой системе (например, серверу), при которых обычные, легальные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднен.
Различают, в частности, следующие характерные виды DDoS-атак [1, 2].
HTTP-flood - атака, которая заключается в отправке множества HTTP-пакетов, на которые сервер отвечает пакетами, размер которых во много раз больше полученных, для исчерпания вычислительных ресурсов сервера.
SYN-flood - атака, которая заключается в отправке большого количества SYN-запросов (запросов на подключение по протоколу TCP) в достаточно короткий срок.
UDP-flood - атака, которая заключается в отправке большого количества UDP-пакетов на случайные порты атакуемого компьютера (жертвы), в результате чего атакуемый компьютер генерирует ответные ICMP-сообщения.
ICMP-flood - атака, при которой отправляется множество эхо-запросов, требующих от атакуемого компьютера принятия пакета, его обработки и формирования/отправки пакета с ответом на запрос. Объем выполняемых действий при этом многократно превышает объем работы по маршрутизации обычного пакета. В результате при формальном сохранении небольшого трафика возникает перегрузка по количеству пакетов.
TCP-flood - атака, предусматривающая отправку на конкретный адрес большого количества TCP пакетов, что в результате приводит к "связыванию" ресурсов атакуемого компьютера.
Известен способ защиты информационно-вычислительных сетей от компьютерных атак [3], заключающийся в том, что принимают i-й, где i=1, 2, 3, пакет сообщения из канала связи, запоминают его, принимают пакет сообщения, запоминают его, выделяют из запомненных пакетов сообщений характеризующие их параметры, сравнивают их и по результатам сравнения принимают решение о факте наличия или отсутствия компьютерной атаки. При этом при обнаружении фрагментированных пакетов сообщений запоминают их в предварительно созданном массиве и определяют правильность сборки выявленных фрагментированных пакетов сообщений. В случае невозможности правильной сборки фрагментированных пакетов сообщений принимают решение о наличии компьютерной атаки (атака вида "Teardrop") и запрещают передачу выявленных пакетов сообщений в защищаемую компьютерную сеть.
Недостатком этого способа является специализация только на одном виде атак и, соответственно, невозможность обнаружения атак других видов.
Известен также способ защиты информационно-вычислительных сетей от компьютерных атак [4], заключающийся в том, что
- формируют массив для запоминания фрагментированных пакетов сообщения и массивы для запоминания параметров, выделенных из запомненных пакетов сообщений;
- в качестве выделенных полей из запомненных пакетов сообщений используют поля данных: "Время жизни пакета" {Т}, "Опции" {О}, "IP адрес назначения" {D}, "IP адрес источника" {I}, которые запоминают в сформированных для них массивах;
- дополнительно формируют список доверенных адресов получателя и отправителя пакетов сообщений, которые запоминают в массивах эталонных параметров значений полей данных: "IP адрес назначения" {D эт) и "IP адрес источника" {I эт}, затем
- адаптируют информационно-вычислительную сеть, для чего
- в тестовом режиме измеряют значения полей данных пакета "Время жизни пакета" и "Опции" для всех маршрутов между доверенными получателями и отправителем пакетов сообщений;
- запоминают измеренные значения параметров в соответствующих массивах эталонных параметров значений полей данных: "Время жизни пакета" T эт, "Опции" O эт, после запоминания принятого пакета сообщения, для обнаружения факта атаки или ее отсутствия;
- принимают очередной пакет сообщения из канала связи, запоминают его;
- выделяют из заголовка данного пакета значения полей данных: "Время жизни пакета" T, "Опции" O, "IP адрес назначения" D и "IP адрес источника" I и запоминают их в соответствующих массивах {Т}, {О}, {D} и {I};
- сравнивают эталонные значения полей данных "Время жизни пакета", "Опции", "IP адрес назначения" и "IP адрес источника" со значениями полей данных из полученного пакета;
- анализируют запомненный пакет на обнаружение факта наличия или отсутствия компьютерной атаки;
- устанавливают факт отсутствия атаки, если эталонные значения полей данных: "Время жизни пакета", "Опции", "IP адрес назначения" и "IP адрес источника" совпадают со значениями полей данных из полученного пакета;
- устанавливают факт наличия атаки, если эталонные значения полей данных: "Время жизни пакета", "Опции", "IP адрес назначения" и "IP адрес источника" не совпадают со значениями полей данных из полученного пакета;
- при отсутствии компьютерной атаки передают очередной пакет сообщения в информационно-вычислительную сеть;
- а в случае обнаружения компьютерной атаки принимают решение о запрете передачи пакета в информационно-вычислительную сеть и
- удаляют ранее запомненные значения пакетов сообщения из массивов.
Описанный способ принимается за прототип.
В известном способе используется анализ ряда параметров пакетов и сравнение этих параметров с эталонными значениями, полученными в ходе адаптации сетевой компьютерной системы.
Недостатками известного способа являются невозможность обнаружения атак разных видов, а также невозможность обнаружения комбинированных одновременных атак и определения вида атак.
Раскрытие изобретения
Техническим результатом является обеспечение возможности обнаружения компьютерных атак разных видов, комбинированных одновременных атак разных видов и определения видов атак.
Для этого предлагается способ, в котором для анализа получаемых из сети пакетов выбираются определенные параметры и вычисляются их значения, которые затем сравниваются с эталонными значениями, а факт наличия одиночной или комбинированной одновременной атаки и определение видов атак определяется по сочетанию установленных условий для параметров.
Для обработки получаемых из сети пакетов данных используется система анализа трафика, входящая в состав компьютерной системы и позволяющая вычислять параметры трафика в реальном масштабе времени.
Для использования в предлагаемом способе выбираются параметры трафика, инвариантные к изменению величины легального трафика, но чувствительные к появлению DDoS-атак. Все параметры вычисляются за единицу времени.
Проведенные исследования [5, 6] и дополнительные исследования показали, что в качестве таких параметров целесообразно выбрать следующие.
Отношение входящего и исходящего трафика
RIP=VIN/VOUT,
где VIN - объем входящего трафика, принятого по протоколу IP;
VOUT - объем исходящего трафика, отправленного по протоколу IP.
Повышение скорости входящего трафика без соразмерного повышения скорости исходящего трафика ведет к росту величины RIP, что означает более высокую вероятность наличия атаки. На фиг.1-3 показан этот эффект для системы, работающей как Web-сервер. Как правило, входящий трафик Web-сервера представляет собой набор кратких HTTP-запросов, а исходящий - большое количество Web-страниц и мультимедийных данных. Поэтому величина RIP в нормальном режиме должна быть меньше единицы, а продолжительное превышение входящего трафика над исходящим в 2 и более раз может рассматриваться как один из признаков атаки.
Количество потоков критических приложений NCR используется для обнаружения атак прикладного уровня.
Наиболее частой задачей сетевой информационной системы является обработка поступающих по сети запросов пользователей, для чего в компьютере используются соответствующие критически важные программы (приложения). Такие приложения обычно выполняются в несколько потоков, общее количество которых для компьютера конкретной конфигурации может быть велико, но, тем не менее, ограничено некоторым максимальным значением. При возникновении атаки величина NCR возрастает, соответственно, признаком наличия атаки может быть нахождение величины NCR в районе своего максимума.
Так, для сетевой информационной системы в виде Web-сервера характерной задачей является обработка HTTP-запросов, выполняемая серверными процессами (например, httpd, nginx), поэтому целесообразно измерять число их потоков NCR. Если Web-сервер обращается к другим приложениям (например, к базе данных или системе инженерных вычислений), следует измерить количество потоков и этих приложений. Стандартная конфигурация сервера, например, для широко распространенного серверного ПО Apache v.2.2.22, ограничивает количество потоков до 150, поэтому опасность представляет близость NCR к этому значению. Характерное возрастание NCR при возникновении атаки для этого случая показано на фиг.4.
Разность
dACK = NOUT-NIN,
где NOUT - количество исходящих ACK-флагов в TCP-трафике;
NIN - количество входящих ACK-флагов в TCP-трафике.
Этот параметр характеризует, как часто сервер отказывает клиенту из-за перегрузки. Эта величина имеет ценность для различных видов атак, в особенности для SYN-flood и HTTP-flood. Результаты экспериментов показывают, что при наличии атаки SYN-flood отклонение dACK от нуля превышает 100. В качестве примера показано, как параметр изменяется после начала атаки SYN-flood (фиг.5). Значительное отклонение модуля dACK от нуля
DACK=|dACK|
является признаком дисбаланса трафика и может свидетельствовать о DDoS-атаке.
Отношение
RUDP=VUDP/VTCP,
где VUDP - объем входящего UDP-трафика;
VTCP - объем входящего TCP-трафика.
Этот параметр может характеризовать наличие атаки класса UDP-flood. Хотя в трафике Web-сервера присутствует небольшое количество пакетов, принадлежащих этому протоколу (фиг.6), в целом UDP-трафик для HTTP-соединений является нехарактерным, поэтому превышение UDP-трафика над TCP-трафиком, выражающееся в увеличении RUDP, позволяет выявить UDP-flood (фиг.7). Порог для RUDP может варьироваться, так как это значение определяется потенциальной мощностью атаки, которую система должна обнаруживать, и его выбор представляет собой компромисс, минимизирующий вероятность как ложной тревоги, так и пропуска атаки. Величина порога должна быть больше 1, так как в ином случае система может принять за атаку легальный трафик, и иметь некоторый запас, чтобы не реагировать на случайные отклонения. В силу этих причин порог для RUDP устанавливается равный 10.
Характерные изменения параметров трафика для атаки SYN-flood приведены на фиг.8-11.
Отношение
RNUD=NUDP/NTCP,
где NUDP - количество входящих UDP-пакетов;
NTCP - количество входящих TCP-пакетов.
Этот параметр отражает уровень загрузки канала трафиком, полученным по протоколу UDP.
Отношение
RICM=VICM/VIN,
где VICM - объем входящего трафика, полученного по протоколу ICMP.
Этот параметр отражает загруженность трафика служебными пакетами. Если величина служебного трафика сравнима по величине с другими видами трафика (что означает, что ICMP-трафик представляет собой половину всего трафика и что RICM≈0,5) или превышает их (т.е. RICM≥0,5), то этот факт может рассматриваться как признак ICMP-flood.
Относительные доли флагов SYN и PSH во входящих пакетах позволяют определить эффективность передачи данных:
RSYN=NSYN/NTCP,
RPSH=NPSH/NTCP,
где NSYN - количество SYN-флагов во входящих пакетах, переданных по протоколу TCP;
NPSH - количество PSH-флагов во входящих пакетах, переданных по протоколу TCP.
Пакеты с флагом SYN пересылаются между клиентом и сервером в ходе установления TCP-соединения, после чего начинается обмен данными с помощью пакетов без SYN-флага. Таким образом, количество SYN-флагов, пришедших на сервер, равно числу запросов на соединение, а относительная доля SYN-флагов определяет относительную долю служебных пакетов этого типа в TCP-трафике.
Установленный флаг PSH означает, что данные, содержащиеся в пакете, должны быть переданы программе прикладного уровня. В случае Web-сервера эти данные представляют собой HTTP-запросы и HTTP-ответы, содержащие Web-страницы. Поэтому относительная доля PSH-флагов, напротив, характеризует полезную загрузку канала.
При атаке класса SYN-flood субъект атаки не намерен передавать какие-либо данные серверу и пытается перегрузить его очередь соединений с помощью служебных пакетов. Поэтому относительные доли флагов SYN и PSH изменяются, как показано на фиг.12 и 13.
Изменение эффективности использования сети с учетом обоих типов флагов отслеживается с помощью параметра
RSP=RSYN/RPSH=NSYN/NPSH.
Значение параметра увеличивается как при увеличении RSYN, так и при уменьшении RPSH, поэтому SYN-flood проще отследить с помощью RSP. О наличии SYN-flood может говорить многократное превышение количества флагов SYN над PSH. Предельным для легального трафика значением RSP является 1, что говорит в среднем об одной передаче данных на одно подключение к серверу. Значения RSP, большие 1, говорят о том, что к серверу производятся подключения без последующей передачи данных.
Отношение
RTCP=NPSH/(NTCP-NPSH)
характеризует степень полезной загрузки канала данными прикладных программ, которая резко падает при SYN-flood и повышается при TCP-flood. Значения, близкие к нулю, означают, что при большом объеме TCP-трафика передача полезных данных минимальна (при RTCP=0,05 на 1 пакет с прикладными данными приходится 20 служебных). Это соотношение означает, что канал сервера перегружен служебными пакетами, что может быть следствием атаки.
Средняя длина принятого IP-пакета
LAVG=VIN/NIP,
где NIP - количество входящих пакетов, передаваемых по протоколу IP.
Этот параметр позволяет выявить факт атаки в следующих случаях:
- если LAVG приближается к минимальному значению (около 65 байт - пакет с такой длиной не содержит данных, а состоит только из обязательных заголовочных структур), это говорит о перегрузке сервера служебными пакетами, что характерно для SYN-flood и ICMP-flood;
- если LAVG приближается к максимальному значению (около 1,5 Кбайт - это значение обусловливается ограничениями на размер кадра Ethernet для его надежной передачи по физическому каналу), это говорит о попытке перегрузить канал передачи данных сервера и может быть результатом UDP-flood, TCP-flood или HTTP-flood.
Средняя длина принятого TCP-пакета
LTCP=VTCP/NTCP.
Этот параметр позволяет выявить SYN flood. Если LTCP приближается к минимальному значению (около 65 байт - пакет с такой длиной не содержит данных, а состоит только из обязательных заголовочных структур), это говорит о перегрузке сервера служебными пакетами, что характерно для SYN-flood.
Для снижения влияния отдельных случайных выбросов после вычисления значений параметров целесообразно проводить некоторое усреднение величин, снижая влияние шума. Для этого вполне пригодным является метод вычисления скользящего среднего (СС) для всех параметров. Расчет СС выполняется но известной формуле [7]
R ¯ m + n = i = m m + n R i n
Figure 00000001
,
где m - начальный момент вычисления скользящего среднего;
n - длина окна (т.е. временной промежуток, на котором производится вычисление).
Важным является определение пороговых (эталонных) значений для рассмотренных параметров. Такое определение может быть проведено несколькими методами. Так, в известном способе, принятом за прототип, пороговые значения определяются в результате адаптации системы, т.е. путем первоначальной работы системы в обычном режиме эксплуатации, но при заведомом отсутствии атак.
В предлагаемом способе возможен и использовался другой метод, предусматривающий исходное логико-аналитическое определение значений параметров с последующей экспериментальной проверкой. Результаты определения пороговых значений параметров приведены в табл.1.
Таблица 1
Пороговые значения параметров
Условие для параметра Виды атак, при которых выполняется условие
RIP>2 Все
RSP>10 SYN
RUDP>10 UDP
RNUD>5 UDP
RTCP>10 TCP
RTCP<0.05 SYN
DACK>100 SYN, TCP
LAVG<65 SYN, ICMP
RICM>0,5 ICMP
NCR>140 HTTP
LTCP<65 SYN
Повышение вероятности обнаружения атаки достигается также рассмотрением приведенных выше параметров в совокупности. Так как характер влияния каждого вида атаки на параметры известен и отличается от влияния других классов атак, представляется возможным не только определить факт атаки, но и определить ее вид.
Для обнаружения атак используются пороговые значения параметров путем сравнения текущего значения СС параметра с пороговым значением. Результаты выполнения условий для пороговых значений параметров в ходе одиночных атак различного вида приведены в табл.2 (знак V указывает на выполнение соответствующего условия).
Таблица 2
Выполнение условий для пороговых значений параметров в ходе одиночных атак различного вида
Параметр HTTP-flood SYN-flood TCP-flood UDP-flood ICMP-flood
RIP>2 V V V V V
NCR>140 V
DACK>100 V V
RUDP>10 V
RNUD>5 V
RICM>0,5 V
RSP>10 V
RTCP>10 V
RTCP<0,05 V
LAVG<65 V
LTCP<65 V
Таким образом, предложенный набор параметров позволяет определить наличие одиночных атак разных видов и вид атаки.
Помимо этого, предложенный набор параметров и их пороговых значений позволяет также определить наличие одновременных комбинированных атак разных видов и виды применяемых атак. Результаты выполнения условий для пороговых значений параметров в ходе одновременных комбинированных атак различного вида приведены в табл.3.
Таблица 3
Выполнение условий для пороговых значений параметров в ходе одновременных комбинированных атак различного вида
Параметр HTTP+SYN flood HTTP+TCP flood HTTP+ICMP flood SYN+ICMP flood TCP+ICMP flood
RIP>2 V V V V V
NCR>140 V V V
DACK>100 V V V V
RICM>0,5 V V V
RSP>10 V V
RTCP>10 V V
RTCP<0,05 V V
LAVG<65 V V V
LTCP<65 V V
Таким образом, предложенный набор параметров позволяет достичь при его использовании заявленный технический результат и обеспечить возможность обнаружения одиночных компьютерных атак разных видов, комбинированных одновременных атак разных видов и определения видов атак.
Можно непосредственно определить наличие и вид одиночной компьютерной атаки по сочетанию рассчитанных значений параметров на основе следующих условий:
- если значения параметров RIP и NCR превысили пороговое значение, то определяется атака типа HTTP-flood (условие 1);
- если значения параметров RIP, DACK и RSP превысили пороговое значение, а RTCP и LTCP меньше порогового значения, то определяется атака типа SYN-flood (условие 2);
- если значения параметров RIP, RTCP и DACK превысили пороговое значение, то определяется атака типа TCP-flood (условие 3);
- если значения параметров RIP, RUDP и RNUD превысили пороговое значение, то определяется атака типа UDP-flood (условие 4);
- если значения параметров RIP и RICM превысили пороговое значение, а LAVG меньше порогового значения, то определяется атака типа ICMP-flood (условие 5).
Наличие комбинированной компьютерной атаки и виды одновременно применяемых атак можно определить по сочетанию рассчитанных значений параметров на основе следующих условий:
- если одновременно выполняется условие 1 и условие 2, то определяется комбинированная атака HTTP-flood и SYN-flood;
- если одновременно выполняется условие 1 и условие 3, то определяется комбинированная атака HTTP-flood и TCP-flood;
- если одновременно выполняется условие 1 и условие 5, то определяется комбинированная атака HTTP-flood и ICMP-flood;
- если одновременно выполняется условие 2 и условие 5, то определяется комбинированная атака SYN-flood и ICMP-flood;
- если одновременно выполняется условие 3 и условие 5, то определяется комбинированная атака TCP-flood и ICMP-flood.
Краткое описание чертежей
На фиг.1 показан график характерного изменения параметра RIP при возникновении атаки HTTP-flood.
На фиг.2 показан график характерного изменения параметра RIP при возникновении атаки SYN-flood.
На фиг.3 показан график характерного изменения параметра RIP при возникновении атаки UDP-flood.
На фиг.4 показан график характерного изменения количества потоков критических приложений NCR от времени для Web-сервера на основе Apache после начала атаки HTTP-flood.
На фиг.5 показан график характерного изменения параметра dACK после начала атаки SYN-flood.
На фиг.6 показан график характерного изменения параметра RUDP при начале атаки HTTP-flood.
На фиг.7 показан график характерного изменения параметра RUDP при начале атаки UDP-flood.
На фиг.8 показан график, иллюстрирующий влияние атаки SYN-flood на скользящие средние значения параметра RIP.
На фиг.9 показан график, иллюстрирующий влияние атаки SYN-flood на скользящие средние значения параметра DACK.
На фиг.10 показан график, иллюстрирующий влияние атаки SYN-flood на скользящие средние значения параметра RUDP.
На фиг.11 показан график, иллюстрирующий влияние атаки SYN-flood на скользящие средние значения параметров RSYN и RPSH.
На фиг.12 показан график характерного изменения относительной доли флагов SYN при атаке SYN-flood.
На фиг.13 показан график характерного изменения относительной доли флагов PSH при атаке SYN-flood.
На графиках крупной точкой указан момент начала атаки.
Осуществление изобретения
Практическая реализация предложенного способа возможна для различных сетевых компьютерных систем, включающей как один, так и несколько компьютеров.
Рассмотрим пример практической реализации способа для распространенного варианта сетевой компьютерной системы, представляющей собой одиночный Web-сервер, обслуживающий запросы пользователей в сети Интернет.
Сервер может быть выполнен в виде производительного компьютера с процессором типа Intel Core, подключенного к сети через сетевую карту, работать под управлением операционной системы (ОС) общего назначения, например, Microsoft Windows 7 или Linux Ubuntu 12.04 и иметь установленное прикладное программное обеспечение (ППО), например, включающее в свой состав серверное ППО типа Apache версии 2.2.22, СУБД типа PostgreSQL 9.1 или MySQL 5.6.
Для реализации предложенного способа в состав ППО сервера необходимо дополнительно включить ППО системы анализа трафика, которая выполнена с возможностью
- приема из сети и запоминания пакетов сообщений;
- определения характеристик пакетов сообщений;
- проведения расчетов для пакетов сообщений и их характеристик;
- формирования сигналов о наличии атаки по результатам расчетов;
Создание (формирование) такого ППО может выполнить специалист но программированию (программист) на основе знания указанных функций ППО и приведенных выше формул для расчета параметров. Очевидно, что создание такого ППО зависит от личных предпочтений при программировании отдельных действий и функций.
После предварительной подготовки системы анализа трафика можно непосредственно реализовать все действия предложенного способа.
Сначала устанавливают и запоминают в системе анализа трафика пороговые значения параметров, например, посредством ввода с клавиатуры. Пороговые значения параметров могут быть определены заранее на основе результатов исследований, приведенных выше, что предпочтительно, или возможно определение этих величин методом проведения адаптации системы, как описано в известном способе [4].
Затем сервер переводят в обычный режим эксплуатации, в ходе которого из сети в сервер поступают пакеты сообщений от пользователей. Система анализа трафика, работая автоматически, параллельно с сервером принимает из сети последовательность пакетов сообщений, запоминает принятые пакеты сообщений, выделяет из запомненных пакетов сообщений характеризующие их данные, рассчитывает значения параметров, зависящие от полученных пакетов сообщений, и сравнивает рассчитанные значения параметров с пороговыми значениями.
Если выполняется хотя бы одно из условий 1-5, то система анализа трафика автоматически формирует сигнал установленной формы о наличии атаки и виде атаки по результатам расчетов, например, в форме текстового сообщения на экране монитора, в форме звукового сигнала для системного администратора и т.п.
Если по результатам расчетов выполняется хотя бы одно из указанных выше сочетаний условий 1-5, то система анализа трафика автоматически формирует сигнал установленной формы о наличии одновременной комбинированной атаки и видах применяемых атак, например, также в форме текстового сообщения на экране монитора, в форме звукового сигнала для системного администратора и т.п.
Таким образом, в таком варианте система анализа трафика автоматически принимает решение о факте наличия или отсутствия компьютерной атаки при сравнении рассчитанных значений параметров с пороговыми значениями и подает сигнал установленной формы. Дальнейшие действия будут зависеть от персонала, контролирующего работу сервера (системного администратора, дежурного программиста и др.), и могут предусматривать, например, блокировку приема сетевого трафика, отключение от сети или другие регламентные действия.
Другой вариант может предусматривать, например, только индикацию рассчитанных значений параметров вместе с пороговыми значениями, например, на экране монитора. На основе наблюдаемых значений принимать решение о факте наличия или отсутствия компьютерной атаки при сравнении рассчитанных значений параметров с пороговыми значениями будет персонал, контролирующий работу сервера.
Источники информации
1. UDP Port Denial-of-Service Attack, 1997, CERT Coordination Center, статья в сети Интернет по адресу http://vnvw.cert.org/advisories/CA-1996-01.html
2. TCP SYN Flooding and IP Spoofing Attacks, 2000, CERT Coordination Center, статья в сети Интернет по адресу http://www.cert.org/advisories/CA-1996-21.html
3. Патент РФ №2285287, приоритет от 04.04.2005г.
4. Патент РФ №2472211, приоритет от 23.11.2011г.
5. Levonevskiy D.K., Fatkieva R.R. Statistical research of traffic-based metrics for the purpose of DDos attack detection / European Science and Technology: materials of the IV international research and practice conference, Vol.1, Munich, April 10th - 11th, 2013 / publishing office Vela Verlag Waldkraiburg, Munich, Germany, 2013, pp.259-268, статья в сети Интернет по адресу http://sciencic.com/conference_10_04_2013_l.pdf
6. Фаткиева P.P. Разработка метрик для обнаружения атак на основе анализа сетевого трафика / Вестник Бурятского государственного университета, 2013.
7. Булашев СВ. Статистика для трейдеров. М.: Компания Спутник+, 2003, 245 с.

Claims (1)

  1. Способ обнаружения компьютерных атак на сетевую компьютерную систему, включающую, по крайней мере, один компьютер, подключенный к сети и имеющий
    установленную операционную систему;
    установленное прикладное программное обеспечение, включающее систему анализа трафика, которая выполнена с возможностью
    приема из сети и запоминания пакетов сообщений;
    определения характеристик пакетов сообщений;
    проведения расчетов для пакетов сообщений и их характеристик;
    формирования сигналов о наличии атаки по результатам расчетов; способ, заключающийся в том, что
    устанавливают и запоминают пороговые значения параметров, причем в качестве параметров, рассчитываемых в единицу времени, выбираются следующие:
    RIP=VIN/VOUT,
    где VIN - объем входящего трафика, принятого по протоколу IP;
    VOUT - объем исходящего трафика, отправленного по протоколу IP;
    NCR - количество потоков критических приложений;
    DACK=|NOUT-NIN|,
    где NOUT - количество исходящих ACK-флагов в TCP-трафике;
    NIN - количество входящих ACK-флагов в TCP-трафике;
    RUDP=VUDP/VTCP,
    где VUDP - объем входящего UDP-трафика;
    VTCP - объем входящего TCP-трафика;
    RNUD=NUDP/NTCP,
    где NUDP - количество входящих UDP-пакетов;
    NTCP - количество входящих TCP-пакетов;
    RICM=VICM/VIN,
    где VICM - объем входящего трафика, полученного по протоколу ICMP;
    RSP=NSYN/NPSH,
    где NSYN - количество SYN-флагов во входящих пакетах, переданных по протоколу TCP;
    NPSH - количество PSH-флагов во входящих пакетах, переданных по протоколу TCP;
    RTCP=NPSH/(NTCP-NPSH),
    LAVG=VIN/NIP,
    где NIP - количество входящих пакетов, передаваемых по протоколу IP;
    LTCP=VTCP/NTCP;
    принимают из сети последовательность пакетов сообщений;
    запоминают принятые пакеты сообщений;
    выделяют из запомненных пакетов сообщений характеризующие их данные;
    рассчитывают значения параметров, зависящих от полученных пакетов сообщений;
    сравнивают рассчитанные значения параметров с пороговыми значениями;
    принимают решение о факте наличия или отсутствия компьютерной атаки при сравнении рассчитанных значений параметров с пороговыми значениями;
    определяют тип одиночной компьютерной атаки по сочетанию рассчитанных значений параметров на основе следующих условий:
    если значения параметров RIP и NCR превысили пороговое значение, то определяется атака типа HTTP-flood (условие 1);
    если значения параметров RIP, DACK и RSP превысили пороговое значение, а RTCP и LTCP меньше порогового значения, то определяется атака типа SYN-flood (условие 2);
    если значения параметров RIP, RTCP и DACK превысили пороговое значение, то определяется атака типа TCP-flood (условие 3);
    если значения параметров RIP, RUDP и RNUD превысили пороговое значение, то определяется атака типа UDP-flood (условие 4);
    если значения параметров RIP и RICM превысили пороговое значение, а LAVG меньше порогового значения, то определяется атака типа ICMP-flood (условие 5);
    определяют комбинированную компьютерную атаку по сочетанию рассчитанных значений параметров на основе следующих условий:
    если одновременно выполняется условие 1 и условие 2, то определяется комбинированная атака HTTP-flood и SYN-flood;
    если одновременно выполняется условие 1 и условие 3, то определяется комбинированная атака HTTP-flood и TCP-flood;
    если одновременно выполняется условие 1 и условие 5, то определяется комбинированная атака HTTP-flood и ICMP-flood;
    если одновременно выполняется условие 2 и условие 5, то определяется комбинированная атака SYN-flood и ICMP-flood;
    если одновременно выполняется условие 3 и условие 5, то определяется комбинированная атака TCP-flood и ICMP-flood.
RU2013134440/08A 2013-07-24 2013-07-24 Способ обнаружения компьютерных атак на сетевую компьютерную систему RU2538292C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2013134440/08A RU2538292C1 (ru) 2013-07-24 2013-07-24 Способ обнаружения компьютерных атак на сетевую компьютерную систему

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2013134440/08A RU2538292C1 (ru) 2013-07-24 2013-07-24 Способ обнаружения компьютерных атак на сетевую компьютерную систему

Publications (2)

Publication Number Publication Date
RU2538292C1 true RU2538292C1 (ru) 2015-01-10
RU2013134440A RU2013134440A (ru) 2015-01-27

Family

ID=53281246

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2013134440/08A RU2538292C1 (ru) 2013-07-24 2013-07-24 Способ обнаружения компьютерных атак на сетевую компьютерную систему

Country Status (1)

Country Link
RU (1) RU2538292C1 (ru)

Cited By (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2611243C1 (ru) * 2015-10-05 2017-02-21 Сергей Николаевич Андреянов Способ обнаружения дестабилизирующих воздействий на вычислительные сети
RU2615317C1 (ru) * 2016-01-28 2017-04-04 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Способ обнаружения кодов вредоносных компьютерных программ в трафике сети передачи данных, в том числе подвергнутых комбинациям полиморфных преобразований
RU2625045C1 (ru) * 2016-03-11 2017-07-11 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Способ моделирования оценки ущерба, наносимого сетевыми и компьютерными атаками виртуальным частным сетям
RU2628913C1 (ru) * 2016-04-18 2017-08-22 Вадим Геннадиевич Фёдоров Способ обнаружения удаленных атак на автоматизированные системы управления
RU2634209C1 (ru) * 2016-09-19 2017-10-24 Общество с ограниченной ответственностью "Группа АйБи ТДС" Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью
RU2644537C2 (ru) * 2016-07-05 2018-02-12 Общество с ограниченной ответственностью "Айдеко" Способ определения типа сетевого трафика для фильтрации и управления сетевыми соединениями
RU2647616C1 (ru) * 2016-12-21 2018-03-16 Общество с ограниченной ответственностью "ОНСЕК ИНК." Способ обнаружения атак перебора на веб-сервис
RU2649290C1 (ru) * 2017-04-28 2018-03-30 Акционерное общество "Лаборатория Касперского" Система и способ фильтрации трафика при обнаружении DDoS-атаки
RU2661533C1 (ru) * 2017-09-29 2018-07-17 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения признаков компьютерной атаки
RU2680756C1 (ru) * 2017-12-14 2019-02-26 Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" Способ обнаружения сетевых атак на основе анализа временной структуры трафика
RU2683631C1 (ru) * 2017-12-08 2019-03-29 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Способ обнаружения компьютерных атак
US10430588B2 (en) 2016-07-06 2019-10-01 Trust Ltd. Method of and system for analysis of interaction patterns of malware with control centers for detection of cyber attack
RU2704741C2 (ru) * 2018-03-16 2019-10-30 Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" СПОСОБ ЗАЩИТЫ ОТ DDoS-АТАК НА ОСНОВЕ КЛАССИФИКАЦИИ ТРАФИКА
US10721271B2 (en) 2016-12-29 2020-07-21 Trust Ltd. System and method for detecting phishing web pages
US10721251B2 (en) 2016-08-03 2020-07-21 Group Ib, Ltd Method and system for detecting remote access during activity on the pages of a web resource
RU2728289C1 (ru) * 2019-07-26 2020-07-29 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Система выбора средств и способов защиты организационно-технических систем от групповых разнородных информационно-технических воздействий
US10762352B2 (en) 2018-01-17 2020-09-01 Group Ib, Ltd Method and system for the automatic identification of fuzzy copies of video content
US10778719B2 (en) 2016-12-29 2020-09-15 Trust Ltd. System and method for gathering information to detect phishing activity
US10873590B2 (en) 2017-09-29 2020-12-22 AO Kaspersky Lab System and method of cloud detection, investigation and elimination of targeted attacks
US10958684B2 (en) 2018-01-17 2021-03-23 Group Ib, Ltd Method and computer device for identifying malicious web resources
US11005779B2 (en) 2018-02-13 2021-05-11 Trust Ltd. Method of and server for detecting associated web resources
US11122061B2 (en) 2018-01-17 2021-09-14 Group IB TDS, Ltd Method and server for determining malicious files in network traffic
US11151581B2 (en) 2020-03-04 2021-10-19 Group-Ib Global Private Limited System and method for brand protection based on search results
US11153351B2 (en) 2018-12-17 2021-10-19 Trust Ltd. Method and computing device for identifying suspicious users in message exchange systems
US11250129B2 (en) 2019-12-05 2022-02-15 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11356470B2 (en) 2019-12-19 2022-06-07 Group IB TDS, Ltd Method and system for determining network vulnerabilities
CN114666001A (zh) * 2022-02-23 2022-06-24 中国电子科技集团公司第三十研究所 一种时间同步系统及其多级安全监测方法、设备及介质
US11431749B2 (en) 2018-12-28 2022-08-30 Trust Ltd. Method and computing device for generating indication of malicious web resources
US11451580B2 (en) 2018-01-17 2022-09-20 Trust Ltd. Method and system of decentralized malware identification
US11475090B2 (en) 2020-07-15 2022-10-18 Group-Ib Global Private Limited Method and system for identifying clusters of affiliated web resources
RU2781822C1 (ru) * 2021-04-30 2022-10-18 Общество С Ограниченной Ответственностью "Варити+" Система и способ автоматической оценки качества сигнатур сетевого трафика
WO2022231480A2 (ru) 2021-04-30 2022-11-03 Общество С Ограниченной Ответственностью "Варити+" Система и способ автоматической оценки качества сигнатур сетевого трафика
US11503044B2 (en) 2018-01-17 2022-11-15 Group IB TDS, Ltd Method computing device for detecting malicious domain names in network traffic
US11526608B2 (en) 2019-12-05 2022-12-13 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11755700B2 (en) 2017-11-21 2023-09-12 Group Ib, Ltd Method for classifying user action sequence
US11847223B2 (en) 2020-08-06 2023-12-19 Group IB TDS, Ltd Method and system for generating a list of indicators of compromise
US11934498B2 (en) 2019-02-27 2024-03-19 Group Ib, Ltd Method and system of user identification
US11947572B2 (en) 2021-03-29 2024-04-02 Group IB TDS, Ltd Method and system for clustering executable files
US11985147B2 (en) 2021-06-01 2024-05-14 Trust Ltd. System and method for detecting a cyberattack
US12088606B2 (en) 2021-06-10 2024-09-10 F.A.C.C.T. Network Security Llc System and method for detection of malicious network resources

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2769651C2 (ru) * 2020-08-24 2022-04-04 Акционерное общество "Лаборатория Касперского" Способ формирования сигнатуры для обнаружения неправомерного доступа к компьютеру, получаемого с помощью средств удаленного администрирования, и реализующая его система

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2381550C2 (ru) * 2007-06-04 2010-02-10 Академия ФСО России Способ мониторинга безопасности web-сервера
US8423645B2 (en) * 2004-09-14 2013-04-16 International Business Machines Corporation Detection of grid participation in a DDoS attack
RU2480937C2 (ru) * 2011-04-19 2013-04-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ уменьшения ложных срабатываний при определении сетевой атаки
RU2483348C1 (ru) * 2012-04-26 2013-05-27 Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Способ защиты информационно-вычислительных сетей от компьютерных атак

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8423645B2 (en) * 2004-09-14 2013-04-16 International Business Machines Corporation Detection of grid participation in a DDoS attack
RU2381550C2 (ru) * 2007-06-04 2010-02-10 Академия ФСО России Способ мониторинга безопасности web-сервера
RU2480937C2 (ru) * 2011-04-19 2013-04-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ уменьшения ложных срабатываний при определении сетевой атаки
RU2483348C1 (ru) * 2012-04-26 2013-05-27 Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Способ защиты информационно-вычислительных сетей от компьютерных атак

Cited By (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2611243C1 (ru) * 2015-10-05 2017-02-21 Сергей Николаевич Андреянов Способ обнаружения дестабилизирующих воздействий на вычислительные сети
RU2615317C1 (ru) * 2016-01-28 2017-04-04 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Способ обнаружения кодов вредоносных компьютерных программ в трафике сети передачи данных, в том числе подвергнутых комбинациям полиморфных преобразований
RU2625045C1 (ru) * 2016-03-11 2017-07-11 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Способ моделирования оценки ущерба, наносимого сетевыми и компьютерными атаками виртуальным частным сетям
RU2628913C1 (ru) * 2016-04-18 2017-08-22 Вадим Геннадиевич Фёдоров Способ обнаружения удаленных атак на автоматизированные системы управления
RU2644537C2 (ru) * 2016-07-05 2018-02-12 Общество с ограниченной ответственностью "Айдеко" Способ определения типа сетевого трафика для фильтрации и управления сетевыми соединениями
US10430588B2 (en) 2016-07-06 2019-10-01 Trust Ltd. Method of and system for analysis of interaction patterns of malware with control centers for detection of cyber attack
US10721251B2 (en) 2016-08-03 2020-07-21 Group Ib, Ltd Method and system for detecting remote access during activity on the pages of a web resource
RU2634209C1 (ru) * 2016-09-19 2017-10-24 Общество с ограниченной ответственностью "Группа АйБи ТДС" Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью
US10581880B2 (en) 2016-09-19 2020-03-03 Group-Ib Tds Ltd. System and method for generating rules for attack detection feedback system
RU2647616C1 (ru) * 2016-12-21 2018-03-16 Общество с ограниченной ответственностью "ОНСЕК ИНК." Способ обнаружения атак перебора на веб-сервис
US10778719B2 (en) 2016-12-29 2020-09-15 Trust Ltd. System and method for gathering information to detect phishing activity
US10721271B2 (en) 2016-12-29 2020-07-21 Trust Ltd. System and method for detecting phishing web pages
RU2649290C1 (ru) * 2017-04-28 2018-03-30 Акционерное общество "Лаборатория Касперского" Система и способ фильтрации трафика при обнаружении DDoS-атаки
RU2661533C1 (ru) * 2017-09-29 2018-07-17 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения признаков компьютерной атаки
US10873590B2 (en) 2017-09-29 2020-12-22 AO Kaspersky Lab System and method of cloud detection, investigation and elimination of targeted attacks
US11755700B2 (en) 2017-11-21 2023-09-12 Group Ib, Ltd Method for classifying user action sequence
RU2683631C1 (ru) * 2017-12-08 2019-03-29 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Способ обнаружения компьютерных атак
RU2680756C1 (ru) * 2017-12-14 2019-02-26 Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" Способ обнаружения сетевых атак на основе анализа временной структуры трафика
US11122061B2 (en) 2018-01-17 2021-09-14 Group IB TDS, Ltd Method and server for determining malicious files in network traffic
US11475670B2 (en) 2018-01-17 2022-10-18 Group Ib, Ltd Method of creating a template of original video content
US10958684B2 (en) 2018-01-17 2021-03-23 Group Ib, Ltd Method and computer device for identifying malicious web resources
US10762352B2 (en) 2018-01-17 2020-09-01 Group Ib, Ltd Method and system for the automatic identification of fuzzy copies of video content
US11503044B2 (en) 2018-01-17 2022-11-15 Group IB TDS, Ltd Method computing device for detecting malicious domain names in network traffic
US11451580B2 (en) 2018-01-17 2022-09-20 Trust Ltd. Method and system of decentralized malware identification
US11005779B2 (en) 2018-02-13 2021-05-11 Trust Ltd. Method of and server for detecting associated web resources
RU2704741C2 (ru) * 2018-03-16 2019-10-30 Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" СПОСОБ ЗАЩИТЫ ОТ DDoS-АТАК НА ОСНОВЕ КЛАССИФИКАЦИИ ТРАФИКА
US11153351B2 (en) 2018-12-17 2021-10-19 Trust Ltd. Method and computing device for identifying suspicious users in message exchange systems
US11431749B2 (en) 2018-12-28 2022-08-30 Trust Ltd. Method and computing device for generating indication of malicious web resources
US11934498B2 (en) 2019-02-27 2024-03-19 Group Ib, Ltd Method and system of user identification
RU2728289C1 (ru) * 2019-07-26 2020-07-29 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Система выбора средств и способов защиты организационно-технических систем от групповых разнородных информационно-технических воздействий
US11250129B2 (en) 2019-12-05 2022-02-15 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11526608B2 (en) 2019-12-05 2022-12-13 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11356470B2 (en) 2019-12-19 2022-06-07 Group IB TDS, Ltd Method and system for determining network vulnerabilities
US11151581B2 (en) 2020-03-04 2021-10-19 Group-Ib Global Private Limited System and method for brand protection based on search results
US11475090B2 (en) 2020-07-15 2022-10-18 Group-Ib Global Private Limited Method and system for identifying clusters of affiliated web resources
US11847223B2 (en) 2020-08-06 2023-12-19 Group IB TDS, Ltd Method and system for generating a list of indicators of compromise
US11947572B2 (en) 2021-03-29 2024-04-02 Group IB TDS, Ltd Method and system for clustering executable files
WO2022231480A3 (ru) * 2021-04-30 2023-01-19 Общество С Ограниченной Ответственностью "Варити+" Система автоматической оценки качества сигнатур сетевого трафика
WO2022231480A2 (ru) 2021-04-30 2022-11-03 Общество С Ограниченной Ответственностью "Варити+" Система и способ автоматической оценки качества сигнатур сетевого трафика
RU2781822C1 (ru) * 2021-04-30 2022-10-18 Общество С Ограниченной Ответственностью "Варити+" Система и способ автоматической оценки качества сигнатур сетевого трафика
US11985147B2 (en) 2021-06-01 2024-05-14 Trust Ltd. System and method for detecting a cyberattack
US12088606B2 (en) 2021-06-10 2024-09-10 F.A.C.C.T. Network Security Llc System and method for detection of malicious network resources
CN114666001A (zh) * 2022-02-23 2022-06-24 中国电子科技集团公司第三十研究所 一种时间同步系统及其多级安全监测方法、设备及介质
CN114666001B (zh) * 2022-02-23 2024-04-02 中国电子科技集团公司第三十研究所 一种时间同步系统及其多级安全监测方法、设备及介质

Also Published As

Publication number Publication date
RU2013134440A (ru) 2015-01-27

Similar Documents

Publication Publication Date Title
RU2538292C1 (ru) Способ обнаружения компьютерных атак на сетевую компьютерную систему
US10432650B2 (en) System and method to protect a webserver against application exploits and attacks
CN108353079B (zh) 对针对基于云的应用的网络威胁的检测
US10476897B2 (en) Method and apparatus for improving network security
US8677473B2 (en) Network intrusion protection
US20160182542A1 (en) Denial of service and other resource exhaustion defense and mitigation using transition tracking
EP2472822A2 (en) Method and system for estimating the reliability of blacklists of botnet-infected computers
US20050278779A1 (en) System and method for identifying the source of a denial-of-service attack
CN109587179A (zh) 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法
KR102088299B1 (ko) 분산 반사 서비스 거부 공격 탐지 장치 및 방법
US11750632B2 (en) Method and system for detecting and mitigating HTTPS flood attacks
CN109922072B (zh) 一种分布式拒绝服务攻击检测方法及装置
KR20130014226A (ko) 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법
JP2007179131A (ja) イベント検出システム、管理端末及びプログラムと、イベント検出方法
US8966638B2 (en) System, method, and computer program product for selecting a wireless network based on security information
JP2004356915A (ja) 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法
Barbhuiya et al. An active host-based detection mechanism for ARP-related attacks
US20230208857A1 (en) Techniques for detecting cyber-attack scanners
CN110519301A (zh) 一种攻击检测方法及装置
Wattanapongsakorn et al. Web-based monitoring approach for network-based intrusion detection and prevention
Song et al. Collaborative defense mechanism using statistical detection method against DDoS attacks
US11652843B1 (en) Quantile regression analysis method for detecting cyber attacks
Trabelsi et al. IDS performance enhancement technique based on dynamic traffic awareness histograms
Kabiri et al. Category-based selection of effective parameters for intrusion detection
US20240171607A1 (en) Techniques for detecting advanced application layer flood attack tools