RU2538292C1 - Способ обнаружения компьютерных атак на сетевую компьютерную систему - Google Patents
Способ обнаружения компьютерных атак на сетевую компьютерную систему Download PDFInfo
- Publication number
- RU2538292C1 RU2538292C1 RU2013134440/08A RU2013134440A RU2538292C1 RU 2538292 C1 RU2538292 C1 RU 2538292C1 RU 2013134440/08 A RU2013134440/08 A RU 2013134440/08A RU 2013134440 A RU2013134440 A RU 2013134440A RU 2538292 C1 RU2538292 C1 RU 2538292C1
- Authority
- RU
- Russia
- Prior art keywords
- tcp
- attack
- flood
- condition
- values
- Prior art date
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Изобретение относится к вычислительной технике. Технический результат заключается в обнаружении компьютерных атак разных видов, комбинированных одновременных атак разных видов и определении видов атак. Способ обнаружения компьютерных атак на сетевую компьютерную систему, включающую, по крайней мере, один компьютер, подключенный к сети и имеющий установленную операционную систему и установленное прикладное программное обеспечение, включающее систему анализа трафика, в котором для анализа получаемых из сети пакетов выбираются определенные параметры и вычисляются их значения, которые затем сравниваются с эталонными значениями, а факт наличия одиночной или комбинированной одновременной атаки и определение видов атак определяется по сочетанию установленных условий для параметров. Для обработки получаемых из сети пакетов данных используется система анализа трафика, позволяющая вычислять параметры трафика в реальном масштабе времени. 13 ил., 3 табл.
Description
Область техники, к которой относится изобретение
Изобретение относится к области защиты информационных систем и, в частности, к способам обнаружения компьютерных атак на сетевые информационные системы с использованием анализа сетевого трафика.
Уровень техники
Сетевые информационные системы могут и зачастую подвергаются компьютерным атакам со стороны злоумышленников.
Большое распространение в сети Интернет получили атаки типа "отказ в обслуживании" (Distributed Denial of Service, DDoS), на входе которых создаются такие условия работы атакуемой системе (например, серверу), при которых обычные, легальные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднен.
Различают, в частности, следующие характерные виды DDoS-атак [1, 2].
HTTP-flood - атака, которая заключается в отправке множества HTTP-пакетов, на которые сервер отвечает пакетами, размер которых во много раз больше полученных, для исчерпания вычислительных ресурсов сервера.
SYN-flood - атака, которая заключается в отправке большого количества SYN-запросов (запросов на подключение по протоколу TCP) в достаточно короткий срок.
UDP-flood - атака, которая заключается в отправке большого количества UDP-пакетов на случайные порты атакуемого компьютера (жертвы), в результате чего атакуемый компьютер генерирует ответные ICMP-сообщения.
ICMP-flood - атака, при которой отправляется множество эхо-запросов, требующих от атакуемого компьютера принятия пакета, его обработки и формирования/отправки пакета с ответом на запрос. Объем выполняемых действий при этом многократно превышает объем работы по маршрутизации обычного пакета. В результате при формальном сохранении небольшого трафика возникает перегрузка по количеству пакетов.
TCP-flood - атака, предусматривающая отправку на конкретный адрес большого количества TCP пакетов, что в результате приводит к "связыванию" ресурсов атакуемого компьютера.
Известен способ защиты информационно-вычислительных сетей от компьютерных атак [3], заключающийся в том, что принимают i-й, где i=1, 2, 3, пакет сообщения из канала связи, запоминают его, принимают пакет сообщения, запоминают его, выделяют из запомненных пакетов сообщений характеризующие их параметры, сравнивают их и по результатам сравнения принимают решение о факте наличия или отсутствия компьютерной атаки. При этом при обнаружении фрагментированных пакетов сообщений запоминают их в предварительно созданном массиве и определяют правильность сборки выявленных фрагментированных пакетов сообщений. В случае невозможности правильной сборки фрагментированных пакетов сообщений принимают решение о наличии компьютерной атаки (атака вида "Teardrop") и запрещают передачу выявленных пакетов сообщений в защищаемую компьютерную сеть.
Недостатком этого способа является специализация только на одном виде атак и, соответственно, невозможность обнаружения атак других видов.
Известен также способ защиты информационно-вычислительных сетей от компьютерных атак [4], заключающийся в том, что
- формируют массив для запоминания фрагментированных пакетов сообщения и массивы для запоминания параметров, выделенных из запомненных пакетов сообщений;
- в качестве выделенных полей из запомненных пакетов сообщений используют поля данных: "Время жизни пакета" {Т}, "Опции" {О}, "IP адрес назначения" {D}, "IP адрес источника" {I}, которые запоминают в сформированных для них массивах;
- дополнительно формируют список доверенных адресов получателя и отправителя пакетов сообщений, которые запоминают в массивах эталонных параметров значений полей данных: "IP адрес назначения" {D эт) и "IP адрес источника" {I эт}, затем
- адаптируют информационно-вычислительную сеть, для чего
- в тестовом режиме измеряют значения полей данных пакета "Время жизни пакета" и "Опции" для всех маршрутов между доверенными получателями и отправителем пакетов сообщений;
- запоминают измеренные значения параметров в соответствующих массивах эталонных параметров значений полей данных: "Время жизни пакета" T эт, "Опции" O эт, после запоминания принятого пакета сообщения, для обнаружения факта атаки или ее отсутствия;
- принимают очередной пакет сообщения из канала связи, запоминают его;
- выделяют из заголовка данного пакета значения полей данных: "Время жизни пакета" T, "Опции" O, "IP адрес назначения" D и "IP адрес источника" I и запоминают их в соответствующих массивах {Т}, {О}, {D} и {I};
- сравнивают эталонные значения полей данных "Время жизни пакета", "Опции", "IP адрес назначения" и "IP адрес источника" со значениями полей данных из полученного пакета;
- анализируют запомненный пакет на обнаружение факта наличия или отсутствия компьютерной атаки;
- устанавливают факт отсутствия атаки, если эталонные значения полей данных: "Время жизни пакета", "Опции", "IP адрес назначения" и "IP адрес источника" совпадают со значениями полей данных из полученного пакета;
- устанавливают факт наличия атаки, если эталонные значения полей данных: "Время жизни пакета", "Опции", "IP адрес назначения" и "IP адрес источника" не совпадают со значениями полей данных из полученного пакета;
- при отсутствии компьютерной атаки передают очередной пакет сообщения в информационно-вычислительную сеть;
- а в случае обнаружения компьютерной атаки принимают решение о запрете передачи пакета в информационно-вычислительную сеть и
- удаляют ранее запомненные значения пакетов сообщения из массивов.
Описанный способ принимается за прототип.
В известном способе используется анализ ряда параметров пакетов и сравнение этих параметров с эталонными значениями, полученными в ходе адаптации сетевой компьютерной системы.
Недостатками известного способа являются невозможность обнаружения атак разных видов, а также невозможность обнаружения комбинированных одновременных атак и определения вида атак.
Раскрытие изобретения
Техническим результатом является обеспечение возможности обнаружения компьютерных атак разных видов, комбинированных одновременных атак разных видов и определения видов атак.
Для этого предлагается способ, в котором для анализа получаемых из сети пакетов выбираются определенные параметры и вычисляются их значения, которые затем сравниваются с эталонными значениями, а факт наличия одиночной или комбинированной одновременной атаки и определение видов атак определяется по сочетанию установленных условий для параметров.
Для обработки получаемых из сети пакетов данных используется система анализа трафика, входящая в состав компьютерной системы и позволяющая вычислять параметры трафика в реальном масштабе времени.
Для использования в предлагаемом способе выбираются параметры трафика, инвариантные к изменению величины легального трафика, но чувствительные к появлению DDoS-атак. Все параметры вычисляются за единицу времени.
Проведенные исследования [5, 6] и дополнительные исследования показали, что в качестве таких параметров целесообразно выбрать следующие.
Отношение входящего и исходящего трафика
RIP=VIN/VOUT,
где VIN - объем входящего трафика, принятого по протоколу IP;
VOUT - объем исходящего трафика, отправленного по протоколу IP.
Повышение скорости входящего трафика без соразмерного повышения скорости исходящего трафика ведет к росту величины RIP, что означает более высокую вероятность наличия атаки. На фиг.1-3 показан этот эффект для системы, работающей как Web-сервер. Как правило, входящий трафик Web-сервера представляет собой набор кратких HTTP-запросов, а исходящий - большое количество Web-страниц и мультимедийных данных. Поэтому величина RIP в нормальном режиме должна быть меньше единицы, а продолжительное превышение входящего трафика над исходящим в 2 и более раз может рассматриваться как один из признаков атаки.
Количество потоков критических приложений NCR используется для обнаружения атак прикладного уровня.
Наиболее частой задачей сетевой информационной системы является обработка поступающих по сети запросов пользователей, для чего в компьютере используются соответствующие критически важные программы (приложения). Такие приложения обычно выполняются в несколько потоков, общее количество которых для компьютера конкретной конфигурации может быть велико, но, тем не менее, ограничено некоторым максимальным значением. При возникновении атаки величина NCR возрастает, соответственно, признаком наличия атаки может быть нахождение величины NCR в районе своего максимума.
Так, для сетевой информационной системы в виде Web-сервера характерной задачей является обработка HTTP-запросов, выполняемая серверными процессами (например, httpd, nginx), поэтому целесообразно измерять число их потоков NCR. Если Web-сервер обращается к другим приложениям (например, к базе данных или системе инженерных вычислений), следует измерить количество потоков и этих приложений. Стандартная конфигурация сервера, например, для широко распространенного серверного ПО Apache v.2.2.22, ограничивает количество потоков до 150, поэтому опасность представляет близость NCR к этому значению. Характерное возрастание NCR при возникновении атаки для этого случая показано на фиг.4.
Разность
dACK = NOUT-NIN,
где NOUT - количество исходящих ACK-флагов в TCP-трафике;
NIN - количество входящих ACK-флагов в TCP-трафике.
Этот параметр характеризует, как часто сервер отказывает клиенту из-за перегрузки. Эта величина имеет ценность для различных видов атак, в особенности для SYN-flood и HTTP-flood. Результаты экспериментов показывают, что при наличии атаки SYN-flood отклонение dACK от нуля превышает 100. В качестве примера показано, как параметр изменяется после начала атаки SYN-flood (фиг.5). Значительное отклонение модуля dACK от нуля
DACK=|dACK|
является признаком дисбаланса трафика и может свидетельствовать о DDoS-атаке.
Отношение
RUDP=VUDP/VTCP,
где VUDP - объем входящего UDP-трафика;
VTCP - объем входящего TCP-трафика.
Этот параметр может характеризовать наличие атаки класса UDP-flood. Хотя в трафике Web-сервера присутствует небольшое количество пакетов, принадлежащих этому протоколу (фиг.6), в целом UDP-трафик для HTTP-соединений является нехарактерным, поэтому превышение UDP-трафика над TCP-трафиком, выражающееся в увеличении RUDP, позволяет выявить UDP-flood (фиг.7). Порог для RUDP может варьироваться, так как это значение определяется потенциальной мощностью атаки, которую система должна обнаруживать, и его выбор представляет собой компромисс, минимизирующий вероятность как ложной тревоги, так и пропуска атаки. Величина порога должна быть больше 1, так как в ином случае система может принять за атаку легальный трафик, и иметь некоторый запас, чтобы не реагировать на случайные отклонения. В силу этих причин порог для RUDP устанавливается равный 10.
Характерные изменения параметров трафика для атаки SYN-flood приведены на фиг.8-11.
Отношение
RNUD=NUDP/NTCP,
где NUDP - количество входящих UDP-пакетов;
NTCP - количество входящих TCP-пакетов.
Этот параметр отражает уровень загрузки канала трафиком, полученным по протоколу UDP.
Отношение
RICM=VICM/VIN,
где VICM - объем входящего трафика, полученного по протоколу ICMP.
Этот параметр отражает загруженность трафика служебными пакетами. Если величина служебного трафика сравнима по величине с другими видами трафика (что означает, что ICMP-трафик представляет собой половину всего трафика и что RICM≈0,5) или превышает их (т.е. RICM≥0,5), то этот факт может рассматриваться как признак ICMP-flood.
Относительные доли флагов SYN и PSH во входящих пакетах позволяют определить эффективность передачи данных:
RSYN=NSYN/NTCP,
RPSH=NPSH/NTCP,
где NSYN - количество SYN-флагов во входящих пакетах, переданных по протоколу TCP;
NPSH - количество PSH-флагов во входящих пакетах, переданных по протоколу TCP.
Пакеты с флагом SYN пересылаются между клиентом и сервером в ходе установления TCP-соединения, после чего начинается обмен данными с помощью пакетов без SYN-флага. Таким образом, количество SYN-флагов, пришедших на сервер, равно числу запросов на соединение, а относительная доля SYN-флагов определяет относительную долю служебных пакетов этого типа в TCP-трафике.
Установленный флаг PSH означает, что данные, содержащиеся в пакете, должны быть переданы программе прикладного уровня. В случае Web-сервера эти данные представляют собой HTTP-запросы и HTTP-ответы, содержащие Web-страницы. Поэтому относительная доля PSH-флагов, напротив, характеризует полезную загрузку канала.
При атаке класса SYN-flood субъект атаки не намерен передавать какие-либо данные серверу и пытается перегрузить его очередь соединений с помощью служебных пакетов. Поэтому относительные доли флагов SYN и PSH изменяются, как показано на фиг.12 и 13.
Изменение эффективности использования сети с учетом обоих типов флагов отслеживается с помощью параметра
RSP=RSYN/RPSH=NSYN/NPSH.
Значение параметра увеличивается как при увеличении RSYN, так и при уменьшении RPSH, поэтому SYN-flood проще отследить с помощью RSP. О наличии SYN-flood может говорить многократное превышение количества флагов SYN над PSH. Предельным для легального трафика значением RSP является 1, что говорит в среднем об одной передаче данных на одно подключение к серверу. Значения RSP, большие 1, говорят о том, что к серверу производятся подключения без последующей передачи данных.
Отношение
RTCP=NPSH/(NTCP-NPSH)
характеризует степень полезной загрузки канала данными прикладных программ, которая резко падает при SYN-flood и повышается при TCP-flood. Значения, близкие к нулю, означают, что при большом объеме TCP-трафика передача полезных данных минимальна (при RTCP=0,05 на 1 пакет с прикладными данными приходится 20 служебных). Это соотношение означает, что канал сервера перегружен служебными пакетами, что может быть следствием атаки.
Средняя длина принятого IP-пакета
LAVG=VIN/NIP,
где NIP - количество входящих пакетов, передаваемых по протоколу IP.
Этот параметр позволяет выявить факт атаки в следующих случаях:
- если LAVG приближается к минимальному значению (около 65 байт - пакет с такой длиной не содержит данных, а состоит только из обязательных заголовочных структур), это говорит о перегрузке сервера служебными пакетами, что характерно для SYN-flood и ICMP-flood;
- если LAVG приближается к максимальному значению (около 1,5 Кбайт - это значение обусловливается ограничениями на размер кадра Ethernet для его надежной передачи по физическому каналу), это говорит о попытке перегрузить канал передачи данных сервера и может быть результатом UDP-flood, TCP-flood или HTTP-flood.
Средняя длина принятого TCP-пакета
LTCP=VTCP/NTCP.
Этот параметр позволяет выявить SYN flood. Если LTCP приближается к минимальному значению (около 65 байт - пакет с такой длиной не содержит данных, а состоит только из обязательных заголовочных структур), это говорит о перегрузке сервера служебными пакетами, что характерно для SYN-flood.
Для снижения влияния отдельных случайных выбросов после вычисления значений параметров целесообразно проводить некоторое усреднение величин, снижая влияние шума. Для этого вполне пригодным является метод вычисления скользящего среднего (СС) для всех параметров. Расчет СС выполняется но известной формуле [7]
где m - начальный момент вычисления скользящего среднего;
n - длина окна (т.е. временной промежуток, на котором производится вычисление).
Важным является определение пороговых (эталонных) значений для рассмотренных параметров. Такое определение может быть проведено несколькими методами. Так, в известном способе, принятом за прототип, пороговые значения определяются в результате адаптации системы, т.е. путем первоначальной работы системы в обычном режиме эксплуатации, но при заведомом отсутствии атак.
В предлагаемом способе возможен и использовался другой метод, предусматривающий исходное логико-аналитическое определение значений параметров с последующей экспериментальной проверкой. Результаты определения пороговых значений параметров приведены в табл.1.
Таблица 1 | |
Пороговые значения параметров | |
Условие для параметра | Виды атак, при которых выполняется условие |
RIP>2 | Все |
RSP>10 | SYN |
RUDP>10 | UDP |
RNUD>5 | UDP |
RTCP>10 | TCP |
RTCP<0.05 | SYN |
DACK>100 | SYN, TCP |
LAVG<65 | SYN, ICMP |
RICM>0,5 | ICMP |
NCR>140 | HTTP |
LTCP<65 | SYN |
Повышение вероятности обнаружения атаки достигается также рассмотрением приведенных выше параметров в совокупности. Так как характер влияния каждого вида атаки на параметры известен и отличается от влияния других классов атак, представляется возможным не только определить факт атаки, но и определить ее вид.
Для обнаружения атак используются пороговые значения параметров путем сравнения текущего значения СС параметра с пороговым значением. Результаты выполнения условий для пороговых значений параметров в ходе одиночных атак различного вида приведены в табл.2 (знак V указывает на выполнение соответствующего условия).
Таблица 2 | |||||
Выполнение условий для пороговых значений параметров в ходе одиночных атак различного вида | |||||
Параметр | HTTP-flood | SYN-flood | TCP-flood | UDP-flood | ICMP-flood |
RIP>2 | V | V | V | V | V |
NCR>140 | V | ||||
DACK>100 | V | V | |||
RUDP>10 | V | ||||
RNUD>5 | V | ||||
RICM>0,5 | V | ||||
RSP>10 | V | ||||
RTCP>10 | V | ||||
RTCP<0,05 | V | ||||
LAVG<65 | V | ||||
LTCP<65 | V |
Таким образом, предложенный набор параметров позволяет определить наличие одиночных атак разных видов и вид атаки.
Помимо этого, предложенный набор параметров и их пороговых значений позволяет также определить наличие одновременных комбинированных атак разных видов и виды применяемых атак. Результаты выполнения условий для пороговых значений параметров в ходе одновременных комбинированных атак различного вида приведены в табл.3.
Таблица 3 | |||||
Выполнение условий для пороговых значений параметров в ходе одновременных комбинированных атак различного вида | |||||
Параметр | HTTP+SYN flood | HTTP+TCP flood | HTTP+ICMP flood | SYN+ICMP flood | TCP+ICMP flood |
RIP>2 | V | V | V | V | V |
NCR>140 | V | V | V | ||
DACK>100 | V | V | V | V | |
RICM>0,5 | V | V | V | ||
RSP>10 | V | V | |||
RTCP>10 | V | V | |||
RTCP<0,05 | V | V | |||
LAVG<65 | V | V | V | ||
LTCP<65 | V | V |
Таким образом, предложенный набор параметров позволяет достичь при его использовании заявленный технический результат и обеспечить возможность обнаружения одиночных компьютерных атак разных видов, комбинированных одновременных атак разных видов и определения видов атак.
Можно непосредственно определить наличие и вид одиночной компьютерной атаки по сочетанию рассчитанных значений параметров на основе следующих условий:
- если значения параметров RIP и NCR превысили пороговое значение, то определяется атака типа HTTP-flood (условие 1);
- если значения параметров RIP, DACK и RSP превысили пороговое значение, а RTCP и LTCP меньше порогового значения, то определяется атака типа SYN-flood (условие 2);
- если значения параметров RIP, RTCP и DACK превысили пороговое значение, то определяется атака типа TCP-flood (условие 3);
- если значения параметров RIP, RUDP и RNUD превысили пороговое значение, то определяется атака типа UDP-flood (условие 4);
- если значения параметров RIP и RICM превысили пороговое значение, а LAVG меньше порогового значения, то определяется атака типа ICMP-flood (условие 5).
Наличие комбинированной компьютерной атаки и виды одновременно применяемых атак можно определить по сочетанию рассчитанных значений параметров на основе следующих условий:
- если одновременно выполняется условие 1 и условие 2, то определяется комбинированная атака HTTP-flood и SYN-flood;
- если одновременно выполняется условие 1 и условие 3, то определяется комбинированная атака HTTP-flood и TCP-flood;
- если одновременно выполняется условие 1 и условие 5, то определяется комбинированная атака HTTP-flood и ICMP-flood;
- если одновременно выполняется условие 2 и условие 5, то определяется комбинированная атака SYN-flood и ICMP-flood;
- если одновременно выполняется условие 3 и условие 5, то определяется комбинированная атака TCP-flood и ICMP-flood.
Краткое описание чертежей
На фиг.1 показан график характерного изменения параметра RIP при возникновении атаки HTTP-flood.
На фиг.2 показан график характерного изменения параметра RIP при возникновении атаки SYN-flood.
На фиг.3 показан график характерного изменения параметра RIP при возникновении атаки UDP-flood.
На фиг.4 показан график характерного изменения количества потоков критических приложений NCR от времени для Web-сервера на основе Apache после начала атаки HTTP-flood.
На фиг.5 показан график характерного изменения параметра dACK после начала атаки SYN-flood.
На фиг.6 показан график характерного изменения параметра RUDP при начале атаки HTTP-flood.
На фиг.7 показан график характерного изменения параметра RUDP при начале атаки UDP-flood.
На фиг.8 показан график, иллюстрирующий влияние атаки SYN-flood на скользящие средние значения параметра RIP.
На фиг.9 показан график, иллюстрирующий влияние атаки SYN-flood на скользящие средние значения параметра DACK.
На фиг.10 показан график, иллюстрирующий влияние атаки SYN-flood на скользящие средние значения параметра RUDP.
На фиг.11 показан график, иллюстрирующий влияние атаки SYN-flood на скользящие средние значения параметров RSYN и RPSH.
На фиг.12 показан график характерного изменения относительной доли флагов SYN при атаке SYN-flood.
На фиг.13 показан график характерного изменения относительной доли флагов PSH при атаке SYN-flood.
На графиках крупной точкой указан момент начала атаки.
Осуществление изобретения
Практическая реализация предложенного способа возможна для различных сетевых компьютерных систем, включающей как один, так и несколько компьютеров.
Рассмотрим пример практической реализации способа для распространенного варианта сетевой компьютерной системы, представляющей собой одиночный Web-сервер, обслуживающий запросы пользователей в сети Интернет.
Сервер может быть выполнен в виде производительного компьютера с процессором типа Intel Core, подключенного к сети через сетевую карту, работать под управлением операционной системы (ОС) общего назначения, например, Microsoft Windows 7 или Linux Ubuntu 12.04 и иметь установленное прикладное программное обеспечение (ППО), например, включающее в свой состав серверное ППО типа Apache версии 2.2.22, СУБД типа PostgreSQL 9.1 или MySQL 5.6.
Для реализации предложенного способа в состав ППО сервера необходимо дополнительно включить ППО системы анализа трафика, которая выполнена с возможностью
- приема из сети и запоминания пакетов сообщений;
- определения характеристик пакетов сообщений;
- проведения расчетов для пакетов сообщений и их характеристик;
- формирования сигналов о наличии атаки по результатам расчетов;
Создание (формирование) такого ППО может выполнить специалист но программированию (программист) на основе знания указанных функций ППО и приведенных выше формул для расчета параметров. Очевидно, что создание такого ППО зависит от личных предпочтений при программировании отдельных действий и функций.
После предварительной подготовки системы анализа трафика можно непосредственно реализовать все действия предложенного способа.
Сначала устанавливают и запоминают в системе анализа трафика пороговые значения параметров, например, посредством ввода с клавиатуры. Пороговые значения параметров могут быть определены заранее на основе результатов исследований, приведенных выше, что предпочтительно, или возможно определение этих величин методом проведения адаптации системы, как описано в известном способе [4].
Затем сервер переводят в обычный режим эксплуатации, в ходе которого из сети в сервер поступают пакеты сообщений от пользователей. Система анализа трафика, работая автоматически, параллельно с сервером принимает из сети последовательность пакетов сообщений, запоминает принятые пакеты сообщений, выделяет из запомненных пакетов сообщений характеризующие их данные, рассчитывает значения параметров, зависящие от полученных пакетов сообщений, и сравнивает рассчитанные значения параметров с пороговыми значениями.
Если выполняется хотя бы одно из условий 1-5, то система анализа трафика автоматически формирует сигнал установленной формы о наличии атаки и виде атаки по результатам расчетов, например, в форме текстового сообщения на экране монитора, в форме звукового сигнала для системного администратора и т.п.
Если по результатам расчетов выполняется хотя бы одно из указанных выше сочетаний условий 1-5, то система анализа трафика автоматически формирует сигнал установленной формы о наличии одновременной комбинированной атаки и видах применяемых атак, например, также в форме текстового сообщения на экране монитора, в форме звукового сигнала для системного администратора и т.п.
Таким образом, в таком варианте система анализа трафика автоматически принимает решение о факте наличия или отсутствия компьютерной атаки при сравнении рассчитанных значений параметров с пороговыми значениями и подает сигнал установленной формы. Дальнейшие действия будут зависеть от персонала, контролирующего работу сервера (системного администратора, дежурного программиста и др.), и могут предусматривать, например, блокировку приема сетевого трафика, отключение от сети или другие регламентные действия.
Другой вариант может предусматривать, например, только индикацию рассчитанных значений параметров вместе с пороговыми значениями, например, на экране монитора. На основе наблюдаемых значений принимать решение о факте наличия или отсутствия компьютерной атаки при сравнении рассчитанных значений параметров с пороговыми значениями будет персонал, контролирующий работу сервера.
Источники информации
1. UDP Port Denial-of-Service Attack, 1997, CERT Coordination Center, статья в сети Интернет по адресу http://vnvw.cert.org/advisories/CA-1996-01.html
2. TCP SYN Flooding and IP Spoofing Attacks, 2000, CERT Coordination Center, статья в сети Интернет по адресу http://www.cert.org/advisories/CA-1996-21.html
3. Патент РФ №2285287, приоритет от 04.04.2005г.
4. Патент РФ №2472211, приоритет от 23.11.2011г.
5. Levonevskiy D.K., Fatkieva R.R. Statistical research of traffic-based metrics for the purpose of DDos attack detection / European Science and Technology: materials of the IV international research and practice conference, Vol.1, Munich, April 10th - 11th, 2013 / publishing office Vela Verlag Waldkraiburg, Munich, Germany, 2013, pp.259-268, статья в сети Интернет по адресу http://sciencic.com/conference_10_04_2013_l.pdf
6. Фаткиева P.P. Разработка метрик для обнаружения атак на основе анализа сетевого трафика / Вестник Бурятского государственного университета, 2013.
7. Булашев СВ. Статистика для трейдеров. М.: Компания Спутник+, 2003, 245 с.
Claims (1)
- Способ обнаружения компьютерных атак на сетевую компьютерную систему, включающую, по крайней мере, один компьютер, подключенный к сети и имеющий
установленную операционную систему;
установленное прикладное программное обеспечение, включающее систему анализа трафика, которая выполнена с возможностью
приема из сети и запоминания пакетов сообщений;
определения характеристик пакетов сообщений;
проведения расчетов для пакетов сообщений и их характеристик;
формирования сигналов о наличии атаки по результатам расчетов; способ, заключающийся в том, что
устанавливают и запоминают пороговые значения параметров, причем в качестве параметров, рассчитываемых в единицу времени, выбираются следующие:
RIP=VIN/VOUT,
где VIN - объем входящего трафика, принятого по протоколу IP;
VOUT - объем исходящего трафика, отправленного по протоколу IP;
NCR - количество потоков критических приложений;
DACK=|NOUT-NIN|,
где NOUT - количество исходящих ACK-флагов в TCP-трафике;
NIN - количество входящих ACK-флагов в TCP-трафике;
RUDP=VUDP/VTCP,
где VUDP - объем входящего UDP-трафика;
VTCP - объем входящего TCP-трафика;
RNUD=NUDP/NTCP,
где NUDP - количество входящих UDP-пакетов;
NTCP - количество входящих TCP-пакетов;
RICM=VICM/VIN,
где VICM - объем входящего трафика, полученного по протоколу ICMP;
RSP=NSYN/NPSH,
где NSYN - количество SYN-флагов во входящих пакетах, переданных по протоколу TCP;
NPSH - количество PSH-флагов во входящих пакетах, переданных по протоколу TCP;
RTCP=NPSH/(NTCP-NPSH),
LAVG=VIN/NIP,
где NIP - количество входящих пакетов, передаваемых по протоколу IP;
LTCP=VTCP/NTCP;
принимают из сети последовательность пакетов сообщений;
запоминают принятые пакеты сообщений;
выделяют из запомненных пакетов сообщений характеризующие их данные;
рассчитывают значения параметров, зависящих от полученных пакетов сообщений;
сравнивают рассчитанные значения параметров с пороговыми значениями;
принимают решение о факте наличия или отсутствия компьютерной атаки при сравнении рассчитанных значений параметров с пороговыми значениями;
определяют тип одиночной компьютерной атаки по сочетанию рассчитанных значений параметров на основе следующих условий:
если значения параметров RIP и NCR превысили пороговое значение, то определяется атака типа HTTP-flood (условие 1);
если значения параметров RIP, DACK и RSP превысили пороговое значение, а RTCP и LTCP меньше порогового значения, то определяется атака типа SYN-flood (условие 2);
если значения параметров RIP, RTCP и DACK превысили пороговое значение, то определяется атака типа TCP-flood (условие 3);
если значения параметров RIP, RUDP и RNUD превысили пороговое значение, то определяется атака типа UDP-flood (условие 4);
если значения параметров RIP и RICM превысили пороговое значение, а LAVG меньше порогового значения, то определяется атака типа ICMP-flood (условие 5);
определяют комбинированную компьютерную атаку по сочетанию рассчитанных значений параметров на основе следующих условий:
если одновременно выполняется условие 1 и условие 2, то определяется комбинированная атака HTTP-flood и SYN-flood;
если одновременно выполняется условие 1 и условие 3, то определяется комбинированная атака HTTP-flood и TCP-flood;
если одновременно выполняется условие 1 и условие 5, то определяется комбинированная атака HTTP-flood и ICMP-flood;
если одновременно выполняется условие 2 и условие 5, то определяется комбинированная атака SYN-flood и ICMP-flood;
если одновременно выполняется условие 3 и условие 5, то определяется комбинированная атака TCP-flood и ICMP-flood.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2013134440/08A RU2538292C1 (ru) | 2013-07-24 | 2013-07-24 | Способ обнаружения компьютерных атак на сетевую компьютерную систему |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2013134440/08A RU2538292C1 (ru) | 2013-07-24 | 2013-07-24 | Способ обнаружения компьютерных атак на сетевую компьютерную систему |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2538292C1 true RU2538292C1 (ru) | 2015-01-10 |
RU2013134440A RU2013134440A (ru) | 2015-01-27 |
Family
ID=53281246
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2013134440/08A RU2538292C1 (ru) | 2013-07-24 | 2013-07-24 | Способ обнаружения компьютерных атак на сетевую компьютерную систему |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2538292C1 (ru) |
Cited By (40)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2611243C1 (ru) * | 2015-10-05 | 2017-02-21 | Сергей Николаевич Андреянов | Способ обнаружения дестабилизирующих воздействий на вычислительные сети |
RU2615317C1 (ru) * | 2016-01-28 | 2017-04-04 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | Способ обнаружения кодов вредоносных компьютерных программ в трафике сети передачи данных, в том числе подвергнутых комбинациям полиморфных преобразований |
RU2625045C1 (ru) * | 2016-03-11 | 2017-07-11 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | Способ моделирования оценки ущерба, наносимого сетевыми и компьютерными атаками виртуальным частным сетям |
RU2628913C1 (ru) * | 2016-04-18 | 2017-08-22 | Вадим Геннадиевич Фёдоров | Способ обнаружения удаленных атак на автоматизированные системы управления |
RU2634209C1 (ru) * | 2016-09-19 | 2017-10-24 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью |
RU2644537C2 (ru) * | 2016-07-05 | 2018-02-12 | Общество с ограниченной ответственностью "Айдеко" | Способ определения типа сетевого трафика для фильтрации и управления сетевыми соединениями |
RU2647616C1 (ru) * | 2016-12-21 | 2018-03-16 | Общество с ограниченной ответственностью "ОНСЕК ИНК." | Способ обнаружения атак перебора на веб-сервис |
RU2649290C1 (ru) * | 2017-04-28 | 2018-03-30 | Акционерное общество "Лаборатория Касперского" | Система и способ фильтрации трафика при обнаружении DDoS-атаки |
RU2661533C1 (ru) * | 2017-09-29 | 2018-07-17 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения признаков компьютерной атаки |
RU2680756C1 (ru) * | 2017-12-14 | 2019-02-26 | Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" | Способ обнаружения сетевых атак на основе анализа временной структуры трафика |
RU2683631C1 (ru) * | 2017-12-08 | 2019-03-29 | федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Способ обнаружения компьютерных атак |
US10430588B2 (en) | 2016-07-06 | 2019-10-01 | Trust Ltd. | Method of and system for analysis of interaction patterns of malware with control centers for detection of cyber attack |
RU2704741C2 (ru) * | 2018-03-16 | 2019-10-30 | Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" | СПОСОБ ЗАЩИТЫ ОТ DDoS-АТАК НА ОСНОВЕ КЛАССИФИКАЦИИ ТРАФИКА |
US10721271B2 (en) | 2016-12-29 | 2020-07-21 | Trust Ltd. | System and method for detecting phishing web pages |
US10721251B2 (en) | 2016-08-03 | 2020-07-21 | Group Ib, Ltd | Method and system for detecting remote access during activity on the pages of a web resource |
RU2728289C1 (ru) * | 2019-07-26 | 2020-07-29 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Система выбора средств и способов защиты организационно-технических систем от групповых разнородных информационно-технических воздействий |
US10762352B2 (en) | 2018-01-17 | 2020-09-01 | Group Ib, Ltd | Method and system for the automatic identification of fuzzy copies of video content |
US10778719B2 (en) | 2016-12-29 | 2020-09-15 | Trust Ltd. | System and method for gathering information to detect phishing activity |
US10873590B2 (en) | 2017-09-29 | 2020-12-22 | AO Kaspersky Lab | System and method of cloud detection, investigation and elimination of targeted attacks |
US10958684B2 (en) | 2018-01-17 | 2021-03-23 | Group Ib, Ltd | Method and computer device for identifying malicious web resources |
US11005779B2 (en) | 2018-02-13 | 2021-05-11 | Trust Ltd. | Method of and server for detecting associated web resources |
US11122061B2 (en) | 2018-01-17 | 2021-09-14 | Group IB TDS, Ltd | Method and server for determining malicious files in network traffic |
US11151581B2 (en) | 2020-03-04 | 2021-10-19 | Group-Ib Global Private Limited | System and method for brand protection based on search results |
US11153351B2 (en) | 2018-12-17 | 2021-10-19 | Trust Ltd. | Method and computing device for identifying suspicious users in message exchange systems |
US11250129B2 (en) | 2019-12-05 | 2022-02-15 | Group IB TDS, Ltd | Method and system for determining affiliation of software to software families |
US11356470B2 (en) | 2019-12-19 | 2022-06-07 | Group IB TDS, Ltd | Method and system for determining network vulnerabilities |
CN114666001A (zh) * | 2022-02-23 | 2022-06-24 | 中国电子科技集团公司第三十研究所 | 一种时间同步系统及其多级安全监测方法、设备及介质 |
US11431749B2 (en) | 2018-12-28 | 2022-08-30 | Trust Ltd. | Method and computing device for generating indication of malicious web resources |
US11451580B2 (en) | 2018-01-17 | 2022-09-20 | Trust Ltd. | Method and system of decentralized malware identification |
US11475090B2 (en) | 2020-07-15 | 2022-10-18 | Group-Ib Global Private Limited | Method and system for identifying clusters of affiliated web resources |
RU2781822C1 (ru) * | 2021-04-30 | 2022-10-18 | Общество С Ограниченной Ответственностью "Варити+" | Система и способ автоматической оценки качества сигнатур сетевого трафика |
WO2022231480A2 (ru) | 2021-04-30 | 2022-11-03 | Общество С Ограниченной Ответственностью "Варити+" | Система и способ автоматической оценки качества сигнатур сетевого трафика |
US11503044B2 (en) | 2018-01-17 | 2022-11-15 | Group IB TDS, Ltd | Method computing device for detecting malicious domain names in network traffic |
US11526608B2 (en) | 2019-12-05 | 2022-12-13 | Group IB TDS, Ltd | Method and system for determining affiliation of software to software families |
US11755700B2 (en) | 2017-11-21 | 2023-09-12 | Group Ib, Ltd | Method for classifying user action sequence |
US11847223B2 (en) | 2020-08-06 | 2023-12-19 | Group IB TDS, Ltd | Method and system for generating a list of indicators of compromise |
US11934498B2 (en) | 2019-02-27 | 2024-03-19 | Group Ib, Ltd | Method and system of user identification |
US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
US11985147B2 (en) | 2021-06-01 | 2024-05-14 | Trust Ltd. | System and method for detecting a cyberattack |
US12088606B2 (en) | 2021-06-10 | 2024-09-10 | F.A.C.C.T. Network Security Llc | System and method for detection of malicious network resources |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2769651C2 (ru) * | 2020-08-24 | 2022-04-04 | Акционерное общество "Лаборатория Касперского" | Способ формирования сигнатуры для обнаружения неправомерного доступа к компьютеру, получаемого с помощью средств удаленного администрирования, и реализующая его система |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2381550C2 (ru) * | 2007-06-04 | 2010-02-10 | Академия ФСО России | Способ мониторинга безопасности web-сервера |
US8423645B2 (en) * | 2004-09-14 | 2013-04-16 | International Business Machines Corporation | Detection of grid participation in a DDoS attack |
RU2480937C2 (ru) * | 2011-04-19 | 2013-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ уменьшения ложных срабатываний при определении сетевой атаки |
RU2483348C1 (ru) * | 2012-04-26 | 2013-05-27 | Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Способ защиты информационно-вычислительных сетей от компьютерных атак |
-
2013
- 2013-07-24 RU RU2013134440/08A patent/RU2538292C1/ru active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8423645B2 (en) * | 2004-09-14 | 2013-04-16 | International Business Machines Corporation | Detection of grid participation in a DDoS attack |
RU2381550C2 (ru) * | 2007-06-04 | 2010-02-10 | Академия ФСО России | Способ мониторинга безопасности web-сервера |
RU2480937C2 (ru) * | 2011-04-19 | 2013-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ уменьшения ложных срабатываний при определении сетевой атаки |
RU2483348C1 (ru) * | 2012-04-26 | 2013-05-27 | Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Способ защиты информационно-вычислительных сетей от компьютерных атак |
Cited By (44)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2611243C1 (ru) * | 2015-10-05 | 2017-02-21 | Сергей Николаевич Андреянов | Способ обнаружения дестабилизирующих воздействий на вычислительные сети |
RU2615317C1 (ru) * | 2016-01-28 | 2017-04-04 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | Способ обнаружения кодов вредоносных компьютерных программ в трафике сети передачи данных, в том числе подвергнутых комбинациям полиморфных преобразований |
RU2625045C1 (ru) * | 2016-03-11 | 2017-07-11 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | Способ моделирования оценки ущерба, наносимого сетевыми и компьютерными атаками виртуальным частным сетям |
RU2628913C1 (ru) * | 2016-04-18 | 2017-08-22 | Вадим Геннадиевич Фёдоров | Способ обнаружения удаленных атак на автоматизированные системы управления |
RU2644537C2 (ru) * | 2016-07-05 | 2018-02-12 | Общество с ограниченной ответственностью "Айдеко" | Способ определения типа сетевого трафика для фильтрации и управления сетевыми соединениями |
US10430588B2 (en) | 2016-07-06 | 2019-10-01 | Trust Ltd. | Method of and system for analysis of interaction patterns of malware with control centers for detection of cyber attack |
US10721251B2 (en) | 2016-08-03 | 2020-07-21 | Group Ib, Ltd | Method and system for detecting remote access during activity on the pages of a web resource |
RU2634209C1 (ru) * | 2016-09-19 | 2017-10-24 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью |
US10581880B2 (en) | 2016-09-19 | 2020-03-03 | Group-Ib Tds Ltd. | System and method for generating rules for attack detection feedback system |
RU2647616C1 (ru) * | 2016-12-21 | 2018-03-16 | Общество с ограниченной ответственностью "ОНСЕК ИНК." | Способ обнаружения атак перебора на веб-сервис |
US10778719B2 (en) | 2016-12-29 | 2020-09-15 | Trust Ltd. | System and method for gathering information to detect phishing activity |
US10721271B2 (en) | 2016-12-29 | 2020-07-21 | Trust Ltd. | System and method for detecting phishing web pages |
RU2649290C1 (ru) * | 2017-04-28 | 2018-03-30 | Акционерное общество "Лаборатория Касперского" | Система и способ фильтрации трафика при обнаружении DDoS-атаки |
RU2661533C1 (ru) * | 2017-09-29 | 2018-07-17 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения признаков компьютерной атаки |
US10873590B2 (en) | 2017-09-29 | 2020-12-22 | AO Kaspersky Lab | System and method of cloud detection, investigation and elimination of targeted attacks |
US11755700B2 (en) | 2017-11-21 | 2023-09-12 | Group Ib, Ltd | Method for classifying user action sequence |
RU2683631C1 (ru) * | 2017-12-08 | 2019-03-29 | федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Способ обнаружения компьютерных атак |
RU2680756C1 (ru) * | 2017-12-14 | 2019-02-26 | Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" | Способ обнаружения сетевых атак на основе анализа временной структуры трафика |
US11122061B2 (en) | 2018-01-17 | 2021-09-14 | Group IB TDS, Ltd | Method and server for determining malicious files in network traffic |
US11475670B2 (en) | 2018-01-17 | 2022-10-18 | Group Ib, Ltd | Method of creating a template of original video content |
US10958684B2 (en) | 2018-01-17 | 2021-03-23 | Group Ib, Ltd | Method and computer device for identifying malicious web resources |
US10762352B2 (en) | 2018-01-17 | 2020-09-01 | Group Ib, Ltd | Method and system for the automatic identification of fuzzy copies of video content |
US11503044B2 (en) | 2018-01-17 | 2022-11-15 | Group IB TDS, Ltd | Method computing device for detecting malicious domain names in network traffic |
US11451580B2 (en) | 2018-01-17 | 2022-09-20 | Trust Ltd. | Method and system of decentralized malware identification |
US11005779B2 (en) | 2018-02-13 | 2021-05-11 | Trust Ltd. | Method of and server for detecting associated web resources |
RU2704741C2 (ru) * | 2018-03-16 | 2019-10-30 | Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" | СПОСОБ ЗАЩИТЫ ОТ DDoS-АТАК НА ОСНОВЕ КЛАССИФИКАЦИИ ТРАФИКА |
US11153351B2 (en) | 2018-12-17 | 2021-10-19 | Trust Ltd. | Method and computing device for identifying suspicious users in message exchange systems |
US11431749B2 (en) | 2018-12-28 | 2022-08-30 | Trust Ltd. | Method and computing device for generating indication of malicious web resources |
US11934498B2 (en) | 2019-02-27 | 2024-03-19 | Group Ib, Ltd | Method and system of user identification |
RU2728289C1 (ru) * | 2019-07-26 | 2020-07-29 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Система выбора средств и способов защиты организационно-технических систем от групповых разнородных информационно-технических воздействий |
US11250129B2 (en) | 2019-12-05 | 2022-02-15 | Group IB TDS, Ltd | Method and system for determining affiliation of software to software families |
US11526608B2 (en) | 2019-12-05 | 2022-12-13 | Group IB TDS, Ltd | Method and system for determining affiliation of software to software families |
US11356470B2 (en) | 2019-12-19 | 2022-06-07 | Group IB TDS, Ltd | Method and system for determining network vulnerabilities |
US11151581B2 (en) | 2020-03-04 | 2021-10-19 | Group-Ib Global Private Limited | System and method for brand protection based on search results |
US11475090B2 (en) | 2020-07-15 | 2022-10-18 | Group-Ib Global Private Limited | Method and system for identifying clusters of affiliated web resources |
US11847223B2 (en) | 2020-08-06 | 2023-12-19 | Group IB TDS, Ltd | Method and system for generating a list of indicators of compromise |
US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
WO2022231480A3 (ru) * | 2021-04-30 | 2023-01-19 | Общество С Ограниченной Ответственностью "Варити+" | Система автоматической оценки качества сигнатур сетевого трафика |
WO2022231480A2 (ru) | 2021-04-30 | 2022-11-03 | Общество С Ограниченной Ответственностью "Варити+" | Система и способ автоматической оценки качества сигнатур сетевого трафика |
RU2781822C1 (ru) * | 2021-04-30 | 2022-10-18 | Общество С Ограниченной Ответственностью "Варити+" | Система и способ автоматической оценки качества сигнатур сетевого трафика |
US11985147B2 (en) | 2021-06-01 | 2024-05-14 | Trust Ltd. | System and method for detecting a cyberattack |
US12088606B2 (en) | 2021-06-10 | 2024-09-10 | F.A.C.C.T. Network Security Llc | System and method for detection of malicious network resources |
CN114666001A (zh) * | 2022-02-23 | 2022-06-24 | 中国电子科技集团公司第三十研究所 | 一种时间同步系统及其多级安全监测方法、设备及介质 |
CN114666001B (zh) * | 2022-02-23 | 2024-04-02 | 中国电子科技集团公司第三十研究所 | 一种时间同步系统及其多级安全监测方法、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
RU2013134440A (ru) | 2015-01-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2538292C1 (ru) | Способ обнаружения компьютерных атак на сетевую компьютерную систему | |
US10432650B2 (en) | System and method to protect a webserver against application exploits and attacks | |
CN108353079B (zh) | 对针对基于云的应用的网络威胁的检测 | |
US10476897B2 (en) | Method and apparatus for improving network security | |
US8677473B2 (en) | Network intrusion protection | |
US20160182542A1 (en) | Denial of service and other resource exhaustion defense and mitigation using transition tracking | |
EP2472822A2 (en) | Method and system for estimating the reliability of blacklists of botnet-infected computers | |
US20050278779A1 (en) | System and method for identifying the source of a denial-of-service attack | |
CN109587179A (zh) | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 | |
KR102088299B1 (ko) | 분산 반사 서비스 거부 공격 탐지 장치 및 방법 | |
US11750632B2 (en) | Method and system for detecting and mitigating HTTPS flood attacks | |
CN109922072B (zh) | 一种分布式拒绝服务攻击检测方法及装置 | |
KR20130014226A (ko) | 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법 | |
JP2007179131A (ja) | イベント検出システム、管理端末及びプログラムと、イベント検出方法 | |
US8966638B2 (en) | System, method, and computer program product for selecting a wireless network based on security information | |
JP2004356915A (ja) | 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法 | |
Barbhuiya et al. | An active host-based detection mechanism for ARP-related attacks | |
US20230208857A1 (en) | Techniques for detecting cyber-attack scanners | |
CN110519301A (zh) | 一种攻击检测方法及装置 | |
Wattanapongsakorn et al. | Web-based monitoring approach for network-based intrusion detection and prevention | |
Song et al. | Collaborative defense mechanism using statistical detection method against DDoS attacks | |
US11652843B1 (en) | Quantile regression analysis method for detecting cyber attacks | |
Trabelsi et al. | IDS performance enhancement technique based on dynamic traffic awareness histograms | |
Kabiri et al. | Category-based selection of effective parameters for intrusion detection | |
US20240171607A1 (en) | Techniques for detecting advanced application layer flood attack tools |