RU2676021C1 - Система и способ определения DDoS-атак - Google Patents

Система и способ определения DDoS-атак Download PDF

Info

Publication number
RU2676021C1
RU2676021C1 RU2017125333A RU2017125333A RU2676021C1 RU 2676021 C1 RU2676021 C1 RU 2676021C1 RU 2017125333 A RU2017125333 A RU 2017125333A RU 2017125333 A RU2017125333 A RU 2017125333A RU 2676021 C1 RU2676021 C1 RU 2676021C1
Authority
RU
Russia
Prior art keywords
user
server
vector
requests
hardware
Prior art date
Application number
RU2017125333A
Other languages
English (en)
Inventor
Александр Александрович Халимоненко
Антон Владимирович Тихомиров
Сергей Валерьевич Коноплев
Original Assignee
Акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to RU2017125333A priority Critical patent/RU2676021C1/ru
Priority to US15/910,616 priority patent/US10771500B2/en
Priority to EP18161539.4A priority patent/EP3432544B1/en
Priority to JP2018051086A priority patent/JP2019021294A/ja
Priority to CN201810231273.5A priority patent/CN109274637B/zh
Application granted granted Critical
Publication of RU2676021C1 publication Critical patent/RU2676021C1/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Abstract

Изобретение относится к области технологий обеспечения информационной безопасности. Технический результат заключается в обеспечении определения DDoS-атак. Раскрыт программно-аппаратный комплекс для определения DDoS-атак, который содержит средство защиты от DDoS-атак, сервер, содержащий сервисы, к которым обращаются пользователи путем запросов к серверу, средства, отвечающие за информационную безопасность, аппаратные средства со встроенными механизмами защиты и средство администрирования; при этом средства, отвечающие за информационную безопасность, и аппаратные средства со встроенными механизмами защиты могут получать информацию от сервисов и конфигурировать их, а также обмениваться информацией со средством защиты от DDoS-атак; средство администрирования предназначено для настройки средств, отвечающих за информационную безопасность, и аппаратных средств со встроенными механизмами защиты; при этом средство защиты от DDoS-атак предназначено для: перехвата запросов от пользователей к серверу; выделения данных и их параметров из запросов пользователей; построения вектора пользователя по выделенным данным и их параметрам из перехваченных запросов; сравнения вектора пользователя с вектором эталонного пользователя; определения DDoS-атаки на сервер в том случае, если: вектор пользователя отличается от вектора эталонного пользователя, параметры данных из запросов пользователя характерны для DDoS-атаки на сервер. 2 н. и 4 з.п. ф-лы, 9 ил.

Description

Область техники
Изобретение относится к технологиям обеспечения информационной безопасности, а более конкретно, к способам обеспечения защиты от сетевых атак.
Уровень техники
В настоящее время практически все компании и организации так или иначе представлены в сети Интернет, а многие используют сеть Интернет как деловой инструмент. В то же время, сеть Интернет не обеспечивает должной защиты сервисов "по умолчанию". Кроме того, от ряда Интернет-угроз сегодня невозможно защититься персональными средствами защиты, подобными межсетевым экранам, системам предотвращения атак, антивирусами и т.п. Ярким примером подобных угроз являются DDoS атаки.
DoS-атака представляет атаку на вычислительную систему с целью довести ее до отказа, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверами), либо этот доступ затруднен. Мотивы подобных атак могут сильно разниться - они могут служить элементами конкурентной борьбы, средством вымогательства, мести, выражения недовольства, демонстрации возможностей и привлечения внимания, что чаще всего трактуется как кибертерроризм. Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service, распределенная атака типа «отказ в обслуживании»). Существуют две основные разновидности DDoS-атак: атаки на полосу пропускания и атаки на приложения.
Атаки на полосу пропускания - злоумышленник действует путем наполнения каналов связи, выделенных полос пропускания и оборудования большим количеством пакетов. Выбранные в качестве жертвы маршрутизаторы, серверы и межсетевые экраны, каждый из которых имеет лишь ограниченные ресурсы обработки, под действием атаки могут стать недоступны для обработки корректных транзакций или выйти из строя под большой нагрузкой. Самая распространенная форма атаки с заполнением полосы пропускания - это лавинная атака с отправкой пакетов, при которой большое количество внешне благонадежных пакетов протокола TCP, протокола пользовательских датаграмм (UDP) или протокола управления сообщениями в сети Интернет (ICMP) направляется в конкретную точку.
Атаки на приложения - злоумышленник, эксплуатируя особенности поведения протоколов взаимодействия компьютеров (TCP, HTTP и т.п.), а также поведения сервисов и приложений, захватывает вычислительные ресурсы компьютера, на котором функционирует объект атаки, что не позволяет последнему обрабатывать легитимные транзакции и запросы. Примерами атак на приложения являются атаки с полуоткрытыми соединениями HTTP и с ошибочными соединениями HTTP.
В последнее время все большую популярность приобретают так называемые Slow-Rate или "Low and Slow" атаки. Подобные атаки используют недостатки реализации приложений на стороне сервера (например, вебсервера) и позволяют, используя лишь небольшое количество запросов, вывести важный сервис на стороне сервера из строя. Объем трафика, который генерируется во время подобной атаки может быть совсем небольшим, поэтому методы обнаружения при атаках на полосу пропускания оказываются неэффективными, а традиционные методы обнаружения атак на приложения зачастую не отличают подобные вредоносные пакеты данных от легитимных ввиду их похожести.
Примером подобной атаки является атака Slowloris. Данный метод атаки может выполнить даже один компьютер. Заключается в отправке незавершенных (partial, например, для GET-запроса) HTTP запросов, при этом хост в дальнейшем отправляет дополнительные заголовки, но запрос никогда не завершается. Таким образом, сервер резервирует все сокеты для обработки HTTP, что приводит к отказу в обслуживании со стороны других клиентов. Атака занимает продолжительное время.
В ряде последних патентных публикаций, например, в US 20160226896, предлагается производит анализ данных исходя из сетевого протокола (в случае данной публикации это SSL), однако в случае использования других протоколов или перехода протокола на следующую версию подобный анализ окажется бесполезным. Требуется более гибкое и универсальное решение по анализу пакетов данных от пользователей вне зависимости от используемого протокола с целью заранее определить возможную сетевую атаку на сервер.
Кроме того, известны случаи, когда за DDoS-атакой производилась другая атака, известная как целевая кибератака - Advanced Persistent Threat (APT). Поэтому требуется решение, которое позволит не только обнаружить и обезвредить DDoS-атаку, но также дать обратную связь всей защитной инфраструктуре организации, на которую направлена DDoS-атака.
Анализ предшествующего уровня техники позволяет сделать вывод о неэффективности и в некоторых случаях о невозможности применения предшествующих технологий, недостатки которых решаются настоящим изобретением.
Раскрытие изобретения
Технический результат настоящего изобретения заключается в обеспечении определения DDoS-атак.
В рамках реализации настоящего изобретения предлагается программно-аппаратный комплекс для определения DDoS-атак, который предназначен для: перехвата запросов от пользователей к серверу; выделения данных и их параметров из запросов пользователей; построения вектора пользователя по выделенным данным и их параметрам из перехваченных запросов; сравнения вектора пользователя с вектором эталонного пользователя; определения DDoS-атаки на сервер в том случае, если вектор пользователя отличается от вектора эталонного пользователя, и параметры данных из запросов пользователя характерны для DDoS-атаки на сервер.
В рамках других вариантов реализации вектор пользователя строится для каждого пользователя, отправляющего запросы к серверу, а сам вектор пользователя характеризует запросы пользователя в течение времени и вычисляется из всех векторов пользователей как одно из: среднее арифметическое, среднее арифметическое взвешенное, среднее гармоническое, среднее гармоническое взвешенное. Параметры запросов пользователя, которые характерны для DDoS-атаки, характерны для атаки типа low & slow.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
Фиг. 1 изображает пример обработки трафика с помощью системы защиты от DDoS-атак.
Фиг. 2 отображает пример гистограммы запросов пользователя.
Фиг. 3 приводит гистограмму запросов со стороны злонамеренного пользователя (бота).
Фиг. 4 приводит гистограмму запросов со поискового робота.
Фиг. 5 показывает алгоритм работы средства защиты от DDoS-атак при сборе данных от пользователей.
Фиг. 6 отображает схему работы настоящего изобретения.
Фиг. 7а показывает пример взаимодействии средства 130 и приложения 620 при обнаруженной атаке со стороны средства 130.
Фиг. 76 показывает пример взаимодействии средства 130 и приложения 620 при пропущенной атаке со стороны средства 130.
Фиг. 8 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер с помощью которых может быть реализовано настоящее изобретение.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.
На Фиг. 1 изображен пример обработки трафика с помощью системы защиты от DDoS-атак. Обычные (легитимные) пользователи 110 делают запросы к серверу 140. В дальнейшем все примеры будут касаться защиты именно сервера 140, но помимо самого сервера в традиционном понимании (т.е. веб-сайт, куда заходят пользователи 110 со своих браузеров) там также могут находиться любые веб-сервисы, построенные с использованием стандартов HTML, XML, WSDL, SOAP. Кроме того, сервер 140 может предоставлять интерфейсы для доступа к другим сервисам, например, к СУБД (не отображено). Также следует понимать, что сервер 140 может включать не один физический компьютер (сервер), а целую группу (кластер или дата центр), имеющую собственные механизмы балансировки нагрузки (не рассматриваются в рамках настоящей заявки).
Кроме обычных пользователей 110 запросы к серверу 140 могут идти и от злонамеренных пользователей (или ботов) 120. Целью данных пользователей является атака сервера 140, при этом атака идет либо на полосу пропускания как количественно (байтов в секунду), так и частотно (запросов в секунду), либо на приложения, работающие на сервере (например, вебсервер). Для защиты от подобных атак используется средство защиты от DDoS-атак 130. Рассмотрим более подробно механизм его работы, для чего потребуется более детально рассмотреть процесс посещения сервера пользователем. Отметим, что как обычные пользователи 110, так и злонамеренные пользователи 120 являются клиентами сервера 140.
Пользователь 110 (или злонамеренный пользователь 120) отправляет запрос к серверу 140 либо используя браузер, либо отправляют уже специальным образом сформированный пакет данных. Например, в рамках протокола HTTP таковым будет являться GET (или POST) запрос. Рассмотрим более подробно сами параметры запроса:
Figure 00000001
В частности, одним из самых главных параметров является путь (англ. Universal Resource Identifier, URI, также используется понятие URL для доступа к веб-страницам), по которому идет обращения со стороны пользователя. Путь может быть как уникальным, так и динамическим, т.е. формироваться во время обмена информацией между браузером пользователя и сервером 140. Используя такие методы сверток, как нечеткие хеш-суммы (англ. Fuzzy hash), можно сформировать конечный набор путей по которому можно обратиться к серверу 140.
Таким образом, для каждого пользователя можно построить гистограмму запросов к серверу 140, пример которой отображен на Фиг. 2. Обычные пользователи совершают навигацию по сайту, отправляя запросы к серверу 140, в результате чего гистограмма их посещений обычно включает множество запросов по разным путям. В качестве примера можно привести заказ в онлайн-магазине, когда пользователь сначала заходит на сайт (первый путь), ищет нужный товар (несколько различных путей), читает отзывы и делает заказ (еще несколько путей).
В одном из вариантов реализации для каждого пользователя можно построить гистограмму частоты возникновения запросов к серверу 140, Обычные пользователи совершают навигацию по сайту, отправляя запросы вручную. Так, например, даже при многократном нажатии кнопки «Обновить» в браузере, частота запросов обычного пользователя не превышает 5 запросов в секунду.
В одном из вариантов реализации гистограмма частоты возникающих запросов строится с учетом страницы (URL), к которой обращается пользователь. Так, чем меньше страница содержит ссылок на другие страницы, тем меньше запросов (количественно и частотно) возникает у пользователя при переходе с этой страницы.
В одном из вариантов реализации гистограмма частоты возникающих запросов строится с учетом протокола, по которому взаимодействует пользователь. Так, например, протокол TCP гарантирует доставку пакетов, поэтому многократный запрос к одной и той же странице свидетельствовать об атаке.
В одном из вариантов реализации гистограмма частоты возникающих запросов строится с учетом содержимого страницы (URL), к которой обращается пользователь. Так, если страница содержит какой-либо обновляемый график (например, интернет-биржа), нормальная частота обновления 1 раз в 5 секунд. Если страница содержит новости (например, сайт новостного агрегатора), нормальная частота обновления 1 раз в 1 минуту. Если же страница содержит статическую информацию (например, страница Wikipedia), то многократный запрос к странице также может свидетельствовать о начале атаки на сервис. На Фиг. 3 приведена гистограмма запросов со стороны злонамеренного пользователя (бота) 120, который, как правило, обращается по определенному пути (иногда - по нескольким), что можно видеть в качестве одного столбца на гистограмме. Данное поведение не похоже на поведение обычного пользователя 110 на Фиг. 2.
Кроме того, приведем пример работы программ - поисковых роботов, которые занимаются обходом сайтов, как правило, с использованием методов рекурсивного обхода с целью считывания всех страниц на сайте, чтобы затем построить его карту. Гистограмма подобной программы отображена на Фиг. 4.
Как видно из указанных гистограмм, поведение различных пользователей (или программ и ботов) может сильно разниться, что может использовано средством защиты от DDoS-атак 130. В дальнейшем средство от защиты DDoS-атак 130 для краткости будет описывать как средство 130.
На Фиг. 5 показан алгоритм работы средства защиты от DDoS-атак 130 при сборе данных от пользователей. На момент этапа 510 у средства 130 нет данных о пользователей и в момент начала его работы ему требуется собрать статистику по всем возможным пользователям (как обычных 110, так и злонамеренных 120), что и происходит во время этапа 520. Длительность этапа 520 может составлять от нескольких секунд и минут до весьма продолжительного времени - дней и недель. Как правило, уже через несколько минут можно будет построить на этапе 530 эталонную гистограмму, которая является усредненной гистограммой для всех пользователей. Основное предположение в данном случае - подавляющее большинство пользователей являются обычными (легитимными) пользователями 110 и данные по ним позволяют "сгладить" данные по злонамеренным пользователям 120.
В одном из вариантов реализации, средство 130 после запуска использует гистограмму пользователей, полученную статистически на других ресурсах (например, с использованием Kaspersky Security Network, KSN).
Далее понятие гистограммы в рамках заявки мы заменим на вектор, который состоит из ряда величин, которые характеризуют пользователя, обращающегося к серверу 140.
Вектор может включать уже упомянутые данные по URI, которые запрашивает (посещает с использованием браузера) пользователь, а также следующую информацию:
- Используемый протокол (например, HTTP);
- Номер порта;
- Заголовки (headers), такие как User-Agent, Referer;
- IP-адрес;
- Идентификатор SSL-сессии;
- Код ответа сервера на запрос.
Таким образом, на этапе 540 можно сравнить векторы пользователей с эталонным, что позволит определить насколько пользователь подходит под понятие эталонный пользователь, который, как мы упомянули, соответствует некоторому "усредненному" пользователю. "Усредненный" (эталонный) пользователь - условный пользователь, чей вектор является средним арифметическим по отношению ко всем полученным векторам. Другими способами подсчета средних значений можно использовать среднее арифметическое взвешенное, среднее гармоническое, среднее гармоническое взвешенное.
Сравнение векторов может быть реализовано с использованием различным мер - с помощью использования расстояний Левенштейна, Хэмминга, меры Жаккара и других. С точки зрения использования подобных мер, можно говорить о том, что нет понятия является ли пользователь "хорошим" (пользователи 110) или "плохим" (пользователи 120). Хорошим (легитимным) можно считать того пользователь разница между вектором которого и вектором эталонного пользователя меньше заданного значения. Используя подобную меру можно проводить классификацию пользователей. Пример классификации:
Figure 00000002
Для атак типа Low & slow на уровне TCP можно дополнительно анализировать скорость передачи запросов, и генерацию ответов (при атаках типа slow HTTP POST) от пользователя, включая эти параметры в вектор пользователя. Для подобных атак характерна низкая скорость передачи запросов по сравнению с обычными DDoS-атаками на полосу пропускания. Например, достаточно 1 ООО соединений с 200 запросами в секунду, чтобы вебсервер смог обслужить трети соединений. Сами запросы могут содержать допустимые данные (например, правильно указанные заголовки), что не позволяет расценивать каждый запрос как злонамеренный.
Отметим основные характеристики атак типа low & slow:
- Запросы похожи на запросы от легитимных пользователей 110;
- Методы обнаружения обычных DDoS-атак на полосу пропускания не позволят обнаружить такую атаку;
- IPS/IDS методы обнаружения, основанных на сигнатурном обнаружении или обнаружении аномалий, также не смогут обнаружить подобную атаку;
- Данная атака не требует большого количества ресурсов и может быть произведена с одного компьютера;
- Подобные атаки могут вывести из строя веб-сервер даже с большим запасом аппаратной мощности.
Рассмотрим более подробно более детализированное использование и сравнение векторов пользователей с учетом данных от инфраструктуры сервера 140.
На Фиг. 6 отображена схема работы настоящего изобретения. Фиг. 6 отличается от Фиг. 1 тем, что на стороне сервера 140 более детально отображена инфраструктура такая как различные сервисы 610 (например, вебсервер, почтовый сервер, FTP-сервер и другие), а также приложения, отвечающие за безопасность 620. Приложениями 620 могут быть IPS/IDS решения, сетевой экран, элементы SIEM (англ. Security Information and Event Management) решений, DLP-модули. Примерами подобных решений можно назвать такие приложения как Kaspersky Security для Microsoft Exchange Servers или Endpoint Security для Windows. В одном из вариантов реализации в системе также используются аппаратные средства со встроенными механизмами защиты 625. Например, роутеры CISCO, риложение(-я) 620 и/или аппаратные средства 625 могут получать информацию от сервисов 610, конфигурировать их (менять их настройки), а также обмениваться информацией от средства 130. Обмен информацией между средством 130 и приложением 620 может быть осуществлен с использованием известных протоколов, например, JSON. В дальнейшем под приложением 620 будем описывать все множество приложений 620, отвечающих за информационную безопасность. В одном из вариантов реализации приложением 620 является прошивка аппаратного средства защиты 625.
Дополнительно также установлено средство администрирования 630. Примером средства администрирования может быть приложения Kaspersky Security Center или McAfee ePolicy Orchestrator. Данное приложение предназначено для настройки приложений 620 и аппаратных средств со встроенными механизмами защиты 625. Более подробно примеры работы этого средства будет приведен ниже.
Примеры нотификаций, которые могут быть получены от сервисов 610 приложением 620 и как данная информация может быть обработана приложением 620 и средством 130.
Пример 1.
В результате атаки на сервер 140, один из сервисов 610 - веб-сервер Apache - перестал корректно обрабатывать запросы пользователей. В свою очередь приложение 620 перезапускает сервис 610, а также может предварительно изменить его настройки на более подходящие для защиты от атаки. Например, для веб-сервера Apache в файл настройки httpd.conf прописывается следующая информация:
Figure 00000003
Дополнительно приложение 620 пересылает данные средству 130 о некорректной работе сервиса 610 для последующей перенастройки параметров работы средства 130. Примеры перенастройки работы средства 130 будут приведены ниже.
Пример 2.
В результате атаки на сервер 140, один из сервисов 610 - веб-сервер Apache - перестал корректно обрабатывать запросы пользователей. В свою очередь приложение 620 получает информацию от средства 130, что атака направлена на определенную версию Apache, например, 2.2.15 и для успешной защиты от нее включает дополнительный веб-сервер 610 nginx в режиме proxy перед атакуемым веб-сервером Apache.
Пример 3.
Средство 130 передает информацию о пользователе 120, который имеет нетипичный вектор, в рамках которого видно, что пользователь 120 постоянно обращается к странице с паролем. На стороне приложения 620 делается вывод о том, что происходит brute force атака и требуется либо перенастроить соответствующее приложение или модуль (например, IPS), либо добавить IP-адрес компьютера пользователя 120, с которого идет подобная атака в список запрещенных (англ. blacklist). Пример 4.
Средство 130 передает информацию о пользователе 110, который имеет нетипичный вектор, в рамках которого видно, что пользователь 110 постоянно обращается к определенному сервису 610 (например, постоянно скачивает файлы с FTP-сервера). Несмотря на то, что IP-адрес компьютера пользователя 110 находится в списке разрешенных адресов (англ. whitelist), подобная информация от средства 130 приведет к тому, что на стороне приложения 620 делается вывод о том, что происходит утечка данных и требуется либо перенастроить соответствующее приложение или модуль (например, DLP), либо добавить IP-адрес компьютера пользователя 110, с которого идет подобная атака в список запрещенных (англ. blacklist).
Пример 5.
На стороне приложения 620 определяется атака типа Response Splitting, связанная с отсутствием правильной проверки HTTP заголовка со стороны веб-сервера. В ответ на подобную атаку приложение 620 может перенастроить средство 130 для анализа HTTP заголовков.
Далее будут рассмотрены примеры перенастройки работы средства 130.
Как уже отмечалось, вектор может быть примерно следующим:
- Количество посещенных страниц/запросов по их URI за промежуток времени
- Используемый протокол (например, HTTP);
- Номер порта;
- Заголовки (headers);
- IP-адрес;
Приведем пример изменения подобного вектора. Приложение 620 уведомляет средство 130 о том, что веб-сервер 610 перестал обрабатывать запросы пользователей в результате возможной атаки типа Low & slow. По анализу этой информации средство 130 изменяет промежуток времени в течении которого накапливается информация о количестве посещенных страниц/запросов по их URI - например, с 10 минут до 5 минут. В результате чего согласно вышеприведенному примеру классификации, разница между вектором пользователя и эталонным, по сравнению с эталонным превысит 1, и будет обнаружен злонамеренный пользователь 120, который и проводит атаку типа Low & slow.
Другой пример изменения вектора включает решение проблемы, связанной с большим количество данных. Например, вектор включает слишком много данных в результате чего, сравнение всех векторов с эталонным не будет превышать некоторого значения, и все пользователи будут считаться обычными (легитимными). Однако, если исключить из вектора некоторые данные - например, информацию о заголовках, которые могут быть одинаковыми у подавляющего количества пользователей (как обычных 110, так и злонамеренных 120), то значения векторов изменятся и появится возможность более точно классифицировать пользователей. Пример решения подобной проблемы (Dimensionality reduction) может служить метод главных компонент (англ. principal component analysis, РСА).
Еще один пример изменения вектора также включает добавление новых параметров. Например, после добавления еще одного сервиса 610, который работает с REST протоколом, требуется анализировать данные, связанные с его работой на стороне средства 130. Один из примеров передаваемых данных через такой протокол может быть:
Figure 00000004
Для средства 130 таким образом добавится также анализатор (англ. parser) используемого протокола, который позволит извлечь информацию по нужным тегам (например, по тегу <reply>), которую можно будет занести в вектор для анализа.
Приведем также пример возможной корреляции данных между средством 130 и приложением 620. Например, в компании А произошла DDoS-атака, которая была зафиксирована с помощью средства 130, а в дальнейшем было также обнаружено, что во время атаки часть сервисов 610 работала некорректно, а с одной из СУБД (также один из сервисов 610) была переписана важная информация, что было зафиксировано в одном из журналов приложения 620. Таким образом, DDoS-атака использовалась для отвлечения внимания от кражи данных. Для будущего обнаружения подобных корреляций, сохраняется следующая информация в виде правила:
ЕСЛИ
Средство 130 определяет атаку по вектору
И
Указанный вектор имеет заданные характеристики
ТО
Настроить приложение 620 (например, DLP или IDS модули) для противодействия утечке данных на стороне одного из сервисов 610 (например, СУБД) Подобное правило может быть сохранено и использовано связкой средства 130 - приложение 620 на стороне любой другой компании, использующей подобный сервис.
Формирование правил может быть реализовано с помощью методов машинного обучения. Известные методы машинного обучения:
- Использование регрессионных моделей, таких как линейная или логистическая
- Метод опорных векторов
- Искусственные нейросети
- Кластеризация
На примере простой нейросети с одним скрытым слоем можно строить правила, аналогичные указанным выше. Например, нейроны из входного слоя нейросети будут получать данные от средства 130. Обучение (т.е. задавание весов для нейронов) можно производить на основании уже известных инцидентов.
Кроме того, упомянутые правила могут быть записаны на языке высокого уровня, например, Javascript, и правила принимают следующий вид:
Figure 00000005
Рассмотрим более подробно работу средства администрирования 630. Как было указано выше, данное средство 630 предназначено для настройки как для настройки приложений 620 и аппаратных средств со встроенными механизмами защиты 625. Примером средства 630 может служить Kaspesky Security Center 10.
Kaspersky Security Center 10 поддерживает технологию «Kaspersky Security Center Automation 10». Эта технология предоставляет администратору сети возможность автоматизировать антивирусную защиту или управлять настройками сервера администрирования, с помощью написания скриптов и сценариев запуска. Чтобы воспользоваться технологией «Kaspersky Security Center Automation 10», необходимо написать сценарий с использованием OLE компонентов (OLE объектов) или ActiveX. Сценарий может быть написан на языках Jscript и VBScript, а также на языках высокого уровня, поддерживающих технологию OLE (например, С, С++, Visual Basic, Visual Basic.NET, C#, J#).
Таким образом, работа средства 630 может быть полностью автоматизирована в том случае, если настройка приложений 620 и аппаратных средств со встроенными механизмами защиты 625 осуществляется с помощью упомянутых выше правил, которые были написаны на языках высокого уровняю
Фиг. 7а показывает пример взаимодействии средства 130 и приложения 620 при обнаруженной атаке со стороны средства 130. На этапе 710 средство 130 определяет DoS-атаку (или любую другую, которую способно обнаружить - например, типа "Low and Slow") на сервер 140 и его сервисы 610. Далее на этапе 720 средство 130 передает информацию о параметрах атаки (ее вектор) приложению 620. Приложение 620 в свою очередь вносит изменения в механизм собственной работы. Например, оно может добавить IP-адрес атакующего в список запрещенных. Также на этапе 740 приложение 620 вносит изменения в параметры работы сервисов 610 - например, модифицирует параметры работы веб-сервера.
Фиг. 7б показывает пример взаимодействии средства 130 и приложения 620 при пропущенной атаке со стороны средства 130. Приложение 620 на этапе 810 определяет, что один из сервисов работает некорректно - например, веб-сервер на отвечает на запросы от пользователей или СУБД передает нетипично большие объемы данных. Если подобные аномалии были зафиксированы, то на этапе 820 приложение 620 изменяет параметры собственной работы (например, запускает антивирусную проверку того компьютера, где расположены некорректно работающие сервисы 610), после чего на этапе 830 изменяет параметры работы вышеуказанных сервисов, в работе которых была обнаружена аномалия. После чего на этапе 840 приложение 620 вносит изменения в параметры работы средства 130 -например, изменяет промежуток времени в течение которого собираются данные о запросах пользователей к серверу 140 (и соответствующим сервисам 610).
В настоящем изобретении под средствами 630, 620, 625 и 140 понимаются реальные устройства, системы, компоненты, группа компонентов, реализованных с использованием аппаратных средств, таких как интегральные микросхемы (англ. application-specific integrated circuit, ASIC) или программируемой вентильной матрицы (англ. field-programmable gate array, FPGA) или, например, в виде комбинации программных и аппаратных средств, таких как микропроцессорная система и набор программных инструкций, а также на нейроморфных чипах (англ. neurosynaptic chips) Функциональность средств 630, 620, 625 и 140 может быть реализована исключительно аппаратными средствами, а также в виде комбинации, где часть функциональности реализована программными средствами, а часть аппаратными (программно-аппаратный комплекс). В некоторых вариантах реализации часть средств 630, 620, 625 и 140 может быть исполнена на процессоре компьютерной системы общего назначения (описана на Фиг. 8).
Фиг. 8 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 8. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

Claims (20)

1. Программно-аппаратный комплекс для определения DDoS-атак, который содержит средство защиты от DDoS-атак, сервер, содержащий сервисы, к которым обращаются пользователи путем запросов к серверу, средства, отвечающие за информационную безопасность, аппаратные средства со встроенными механизмами защиты и средство администрирования; при этом средства, отвечающие за информационную безопасность, и аппаратные средства со встроенными механизмами защиты могут получать информацию от сервисов и конфигурировать их, а также обмениваться информацией со средством защиты от DDoS-атак; средство администрирования предназначено для настройки средств, отвечающих за информационную безопасность, и аппаратных средств со встроенными механизмами защиты; при этом средство защиты от DDoS-атак предназначено для:
Figure 00000006
перехвата запросов от пользователей к серверу;
Figure 00000007
выделения данных и их параметров из запросов пользователей;
Figure 00000008
построения вектора пользователя по выделенным данным и их параметрам из перехваченных запросов;
Figure 00000009
сравнения вектора пользователя с вектором эталонного пользователя;
Figure 00000010
определения DDoS-атаки на сервер в том случае, если:
Figure 00000011
вектор пользователя отличается от вектора эталонного пользователя,
Figure 00000012
параметры данных из запросов пользователя характерны для DDoS-атаки на сервер.
2. Программно-аппаратный комплекс по п. 1, в котором вектор пользователя строится для каждого пользователя, отправляющего запросы к серверу.
3. Программно-аппаратный комплекс по п. 1, в котором вектор пользователя характеризует запросы пользователя в течение времени.
4. Программно-аппаратный комплекс по п. 1, в котором вектор эталонного пользователя вычисляется из всех векторов пользователей как одно из: среднее арифметическое, среднее арифметическое взвешенное, среднее гармоническое, среднее гармоническое взвешенное.
5. Программно-аппаратный комплекс по п. 1, в котором параметры запросов пользователя, которые характерны для DDoS-атаки, характерны для атаки типа low & slow.
6. Способ для определения DDoS-атак, реализуемый с помощью программно-аппаратного комплекса по п. 1, при этом способ состоит из этапов, на которых:
Figure 00000013
перехватывают запросы от пользователей к серверу;
Figure 00000014
выделяют данные и их параметры из запросов пользователей;
Figure 00000015
строят вектор пользователя по выделенным данным и их параметрам из перехваченных запросов;
Figure 00000016
сравнивают вектор пользователя с вектором эталонного пользователя;
Figure 00000017
определяют DDoS-атаку на сервер в том случае, если:
Figure 00000018
вектор пользователя отличается от вектора эталонного пользователя,
Figure 00000019
параметры данных из запросов пользователя характерны для DDoS-атаки на сервер.
RU2017125333A 2017-07-17 2017-07-17 Система и способ определения DDoS-атак RU2676021C1 (ru)

Priority Applications (5)

Application Number Priority Date Filing Date Title
RU2017125333A RU2676021C1 (ru) 2017-07-17 2017-07-17 Система и способ определения DDoS-атак
US15/910,616 US10771500B2 (en) 2017-07-17 2018-03-02 System and method of determining DDOS attacks
EP18161539.4A EP3432544B1 (en) 2017-07-17 2018-03-13 System and method of determining ddos attacks
JP2018051086A JP2019021294A (ja) 2017-07-17 2018-03-19 DDoS攻撃判定システムおよび方法
CN201810231273.5A CN109274637B (zh) 2017-07-17 2018-03-20 确定分布式拒绝服务攻击的系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2017125333A RU2676021C1 (ru) 2017-07-17 2017-07-17 Система и способ определения DDoS-атак

Publications (1)

Publication Number Publication Date
RU2676021C1 true RU2676021C1 (ru) 2018-12-25

Family

ID=64753864

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2017125333A RU2676021C1 (ru) 2017-07-17 2017-07-17 Система и способ определения DDoS-атак

Country Status (4)

Country Link
US (1) US10771500B2 (ru)
JP (1) JP2019021294A (ru)
CN (1) CN109274637B (ru)
RU (1) RU2676021C1 (ru)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3071633B1 (fr) * 2017-09-22 2022-06-03 Commissariat Energie Atomique Procede d'execution d'un code machine d'une fonction securisee
US10735459B2 (en) * 2017-11-02 2020-08-04 International Business Machines Corporation Service overload attack protection based on selective packet transmission
US10798124B2 (en) * 2018-04-25 2020-10-06 Arbor Networks, Inc. System and method for detecting slowloris-type attacks using server application statistics
US10764386B1 (en) * 2019-02-15 2020-09-01 Citrix Systems, Inc. Activity detection in web applications
US11575698B2 (en) * 2019-05-15 2023-02-07 Visa International Service Association Method, system, and computer program product for identifying a malicious user
US11451563B2 (en) * 2019-10-17 2022-09-20 Arbor Networks, Inc. Dynamic detection of HTTP-based DDoS attacks using estimated cardinality
JP7050042B2 (ja) * 2019-12-12 2022-04-07 Kddi株式会社 情報処理システムおよび情報処理方法
CN111130945B (zh) * 2019-12-30 2021-12-28 江苏万佳科技开发股份有限公司 一种数据监测云平台及使用方法
CN111444501B (zh) * 2020-03-16 2023-04-18 湖南大学 一种基于梅尔倒谱与半空间森林结合的LDoS攻击检测方法
US11765188B2 (en) * 2020-12-28 2023-09-19 Mellanox Technologies, Ltd. Real-time detection of network attacks
US11966319B2 (en) * 2021-02-23 2024-04-23 Mellanox Technologies, Ltd. Identifying anomalies in a data center using composite metrics and/or machine learning
CN113452692A (zh) * 2021-06-24 2021-09-28 北京卫达信息技术有限公司 一种防御网络攻击的方法
CN117014232B (zh) * 2023-10-07 2024-01-26 创云融达信息技术(天津)股份有限公司 一种拒绝服务攻击的防御方法、装置、设备和介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120054823A1 (en) * 2010-08-24 2012-03-01 Electronics And Telecommunications Research Institute Automated control method and apparatus of ddos attack prevention policy using the status of cpu and memory
RU133954U1 (ru) * 2013-04-29 2013-10-27 Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" (СПбГУТ) Устройство защиты сети
US8613089B1 (en) * 2012-08-07 2013-12-17 Cloudflare, Inc. Identifying a denial-of-service attack in a cloud-based proxy service
WO2016108415A1 (ko) * 2014-12-31 2016-07-07 주식회사 시큐아이 네트워크 보안 장비 및 그것의 디도스 공격 탐지 방법

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110214157A1 (en) 2000-09-25 2011-09-01 Yevgeny Korsunsky Securing a network with data flow processing
JP3790750B2 (ja) * 2003-06-20 2006-06-28 株式会社東芝 不正アクセス検出装置、不正アクセス検出方法およびプログラム
US9843596B1 (en) * 2007-11-02 2017-12-12 ThetaRay Ltd. Anomaly detection in dynamically evolving data and systems
WO2010151496A1 (en) * 2009-06-22 2010-12-29 Citrix Systems, Inc. Systems and methods for platform rate limiting
KR101061377B1 (ko) * 2009-11-18 2011-09-02 한국인터넷진흥원 분포 기반 디도스 공격 탐지 및 대응 장치
US8792491B2 (en) * 2010-08-12 2014-07-29 Citrix Systems, Inc. Systems and methods for multi-level quality of service classification in an intermediary device
US20120174196A1 (en) 2010-12-30 2012-07-05 Suresh Bhogavilli Active validation for ddos and ssl ddos attacks
US9843488B2 (en) * 2011-11-07 2017-12-12 Netflow Logic Corporation Method and system for confident anomaly detection in computer network traffic
US9900344B2 (en) * 2014-09-12 2018-02-20 Level 3 Communications, Llc Identifying a potential DDOS attack using statistical analysis
US9521162B1 (en) * 2014-11-21 2016-12-13 Narus, Inc. Application-level DDoS detection using service profiling
US10171491B2 (en) * 2014-12-09 2019-01-01 Fortinet, Inc. Near real-time detection of denial-of-service attacks
CN106302313B (zh) * 2015-05-14 2019-10-08 阿里巴巴集团控股有限公司 基于调度系统的DDoS防御方法和DDoS防御系统
US9912678B2 (en) 2015-06-24 2018-03-06 Verisign, Inc. Techniques for automatically mitigating denial of service attacks via attack pattern matching
US10476893B2 (en) 2015-10-30 2019-11-12 Citrix Systems, Inc. Feature engineering for web-based anomaly detection
CN105763560A (zh) * 2016-04-15 2016-07-13 北京思特奇信息技术股份有限公司 一种Web Service接口流量实时监控方法和系统
US10075468B2 (en) * 2016-06-24 2018-09-11 Fortinet, Inc. Denial-of-service (DoS) mitigation approach based on connection characteristics
WO2018017151A1 (en) * 2016-07-21 2018-01-25 Level 3 Communications, Llc System and method for voice security in a telecommunications network
US10225270B2 (en) * 2016-08-02 2019-03-05 Cisco Technology, Inc. Steering of cloned traffic in a service function chain
US9680951B1 (en) 2016-09-06 2017-06-13 Cloudflare, Inc. Method and apparatus for causing delay in processing requests for internet resources received from client devices
US20180139229A1 (en) * 2016-11-11 2018-05-17 Verisign, Inc. Profiling domain name system (dns) traffic
CN106411934B (zh) * 2016-11-15 2017-11-21 平安科技(深圳)有限公司 DoS/DDoS攻击检测方法和装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120054823A1 (en) * 2010-08-24 2012-03-01 Electronics And Telecommunications Research Institute Automated control method and apparatus of ddos attack prevention policy using the status of cpu and memory
US8613089B1 (en) * 2012-08-07 2013-12-17 Cloudflare, Inc. Identifying a denial-of-service attack in a cloud-based proxy service
RU133954U1 (ru) * 2013-04-29 2013-10-27 Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" (СПбГУТ) Устройство защиты сети
WO2016108415A1 (ko) * 2014-12-31 2016-07-07 주식회사 시큐아이 네트워크 보안 장비 및 그것의 디도스 공격 탐지 방법

Also Published As

Publication number Publication date
CN109274637A (zh) 2019-01-25
CN109274637B (zh) 2021-05-04
US10771500B2 (en) 2020-09-08
US20190020680A1 (en) 2019-01-17
JP2019021294A (ja) 2019-02-07

Similar Documents

Publication Publication Date Title
RU2676021C1 (ru) Система и способ определения DDoS-атак
US11627160B2 (en) Intelligent-interaction honeypot for IoT devices
CN107465651B (zh) 网络攻击检测方法及装置
CN112383546B (zh) 一种处理网络攻击行为的方法、相关设备及存储介质
US10581908B2 (en) Identifying phishing websites using DOM characteristics
US11483318B2 (en) Providing network security through autonomous simulated environments
US8356001B2 (en) Systems and methods for application-level security
RU2495486C1 (ru) Способ анализа и выявления вредоносных промежуточных узлов в сети
US11962611B2 (en) Cyber security system and method using intelligent agents
WO2017049042A1 (en) Identifying phishing websites using dom characteristics
Zuzčák et al. Causal analysis of attacks against honeypots based on properties of countries
WO2019110512A1 (en) Software container application security
RU2665919C1 (ru) Система и способ определения DDoS-атак при некорректной работе сервисов сервера
RU2659735C1 (ru) Система и способ настройки систем безопасности при DDoS-атаке
EP3432544B1 (en) System and method of determining ddos attacks
US11632393B2 (en) Detecting and mitigating malware by evaluating HTTP errors
Hatada et al. Finding new varieties of malware with the classification of network behavior
TWI761122B (zh) 網路資安威脅防護系統及相關的前攝性可疑網域示警系統
RU2757535C2 (ru) Способ выявления потенциально опасных устройств, с помощью которых пользователь взаимодействует с банковскими сервисами, по открытым портам
US20230056625A1 (en) Computing device and method of detecting compromised network devices
Salemi et al. " Automated rules generation into Web Application Firewall using Runtime Application Self-Protection
Ganapathi et al. A knowledgeable feature selection based on set theory for web intrusion detection system
Angelakis Firewall & WAF–Analysis & Implementation of a Machine Learning Integrated Solution
Li et al. Scan Me If You Can: Understanding and Detecting Unwanted Vulnerability Scanning
Xu et al. IAPD: Integrated Adaptive and Proactive Defense against Stealthy Botnets