TW201804757A - 網路攻擊防禦系統、方法及裝置 - Google Patents
網路攻擊防禦系統、方法及裝置 Download PDFInfo
- Publication number
- TW201804757A TW201804757A TW106120792A TW106120792A TW201804757A TW 201804757 A TW201804757 A TW 201804757A TW 106120792 A TW106120792 A TW 106120792A TW 106120792 A TW106120792 A TW 106120792A TW 201804757 A TW201804757 A TW 201804757A
- Authority
- TW
- Taiwan
- Prior art keywords
- site
- protected
- protection
- operating state
- parameter
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本發明公開了一種網路攻擊防禦系統、方法及裝置,其中,該方法包括:獲取待保護站點的統計參數,其中,該統計參數為在第一預定時間內對所述待保護站點的特徵參數進行統計得到的參數;依據所述統計參數判斷所述待保護站點是否由當前運行狀態切換至目標運行狀態,得到判斷結果,其中,所述當前運行狀態和目標運行狀態所採用的防護策略是不同的;依據判斷結果調用與所述當前運行狀態對應的防護策略或所述目標運行狀態對應的防護策略對所述待保護站點進行防護。
Description
本申請係關於網路安全領域,具體而言,關於一種網路攻擊防禦系統、方法及裝置。
目前,針對超文本傳輸協議(Hyper Text Transfer Protocol,簡稱為HTTP)洪泛(Flood)攻擊存在以下幾種檢測方法:方法1:基於特定源IP或特定源Cookie的進行統計,超過特定頻率閾值則判定特定源存在攻擊行為。方法2:基於請求中的特定特徵(例如是否存在proxy頭)判定是否是攻擊行為;方法3:對特定源的特定欄位分佈進行統計判定特定源是否存在攻擊行為;方法4:對客戶端進行人機挑戰,篡改網站返回頁面,在其中返回驗證碼頁面、包含javascript的頁面、HTTP Set Cookie頭等正常客戶端或人可以響應而攻擊工具無法響應的內容,從而判斷特定源是正常用戶還是攻擊工具。但是,上述4種檢測方法存在以下缺陷:防護策略固定,這樣不能根據站點的實際情況,對防護策略進行調整,防護效率低且易出現誤殺和漏殺等情況。
根據本申請實施例的一個態樣,提供了一種網路攻擊防禦系統,包括:一個或多個第一終端,用於向第二終端上運行的待保護站點發送服務請求;所述第二終端,用於依據所述服務請求獲取所述待保護站點的統計參數,其中,該統計參數為在第一預定時間內對所述待保護站點的特徵參數進行統計得到的參數;依據所述統計參數判斷所述待保護站點是否由當前運行狀態切換至目標運行狀態,得到判斷結果,其中,所述當前運行狀態和目標運行狀態所採用的防護策略是不同的;以及依據判斷結果調用與所述當前運行狀態對應的防護策略或所述目標運行狀態對應的防護策略對所述待保護站點進行防護。
根據本申請實施例的一個態樣,提供了一種網路攻擊防禦方法,包括:獲取待保護站點的統計參數,其中,該統計參數為在第一預定時間內對所述待保護站點的特徵參數進行統計得到的參數;依據所述統計參數判斷所述待保護站點是否由當前運行狀態切換至目標運行狀態,得到判斷結果,其中,所述當前運行狀態和目標運行狀態所採用的防護策略是不同的;依據判斷結果調用與所述當前運行狀態對應的防護策略或所述目標運行狀態對應的防護策略對所述待保護站點進行防護。
根據本申請實施例的另一態樣,還提供了一種網路攻擊防禦裝置,包括:獲取模組,用於獲取待保護站點的統計參數,其中,該統計參數為在第一預定時間內對所述待
保護站點的特徵參數進行統計得到的參數;判斷模組,用於依據所述統計參數判斷所述待保護站點是否由當前運行狀態切換至目標運行狀態,得到判斷結果,其中,所述當前運行狀態和目標運行狀態所採用的防護策略是不同的;調用模組,用於依據判斷結果調用與所述當前運行狀態對應的防護策略或所述目標運行狀態對應的防護策略對所述待保護站點進行防護。
在本申請實施例中,採用依據站點的統計參數確定待保護站點是否要進行狀態切換,並調用與目標運行狀態對應的防護策略對待保護站點進行防護的方式,由於可以根據站點的運行狀態確定防護策略,因此達到了根據站點運行狀態靈活調整站點的防護策略的目的,進而解決了由於目前的防護策略固定造成的防護效率低且易出現誤殺和漏殺的技術問題。
10‧‧‧電腦終端(或移動設備)
102‧‧‧處理器
104‧‧‧記憶體
20‧‧‧第一終端
22‧‧‧第二終端
80‧‧‧獲取模組
82‧‧‧判斷模組
84‧‧‧調用模組
86‧‧‧調整模組
100‧‧‧電腦終端
1002‧‧‧處理器
1004‧‧‧記憶體
此處所說明的附圖用來提供對本發明的進一步理解,構成本申請的一部分,本發明的示意性實施例及其說明用於解釋本發明,並不構成對本發明的不當限定。在附圖中:圖1是本申請實施例的一種網路攻擊防禦方法的電腦終端的硬體結構框圖;圖2是本申請實施例的一種網路攻擊防禦系統的硬體結構框圖;
圖3是根據本申請實施例的一種可選的網路攻擊防禦方法的流程圖;圖4是根據本申請實施例的一種可選的流量獲取模組的工作流程示意圖;圖5是根據本申請實施例的一種可選的站點宏觀統計模組的工作流程示意圖;圖6是根據本申請實施例的一種可選的站點狀態跟蹤模組的工作流程示意圖;圖7是根據本申請實施例的一種可選的狀態跳轉的原理示意圖;圖8是根據本申請實施例的一種可選的網路攻擊防禦裝置的結構框圖;圖9是根據本申請實施例的另一種可選的網路攻擊防禦裝置的結構框圖;圖10是本申請實施例的一種電腦終端的硬體結構框圖。
為了使本技術領域的人員更好地理解本發明方案,下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分的實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都應當屬於本發
明保護的範圍。
需要說明的是,本申請的說明書和申請專利範圍及上述附圖中的術語“第一”、“第二”等是用於區別類似的對象,而不必用於描述特定的順序或先後次序。應該理解這樣使用的資料在適當情況下可以互換,以便這裡描述的本申請的實施例能夠以除了在這裡圖示或描述的那些以外的順序實施。此外,術語“包括”和“具有”以及他們的任何變形,意圖在於覆蓋不排他的包含,例如,包含了一系列步驟或單元的過程、方法、系統、產品或設備不必限於清楚地列出的那些步驟或單元,而是可包括沒有清楚地列出的或對於這些過程、方法、產品或設備固有的其它步驟或單元。
為便於理解本申請實施例,以下將本申請實施例中所涉及的術語解釋如下:
站點:在電腦網路中指網站,例如新浪網、搜狐網等。
站點的特徵參數:用於表徵站點特性的參數資訊,例如可以為站點每秒接收到的請求數、每秒正常回應數、每秒錯誤回應數、每秒疑似攻擊請求數、併發IP數、併發用戶(user)-代理(agent)數、併發cookie數等。
防護策略:在本申請實施例中是指對網站所採用的防護措施或規則,例如可以包括但不限於防護等級和/或防護算法等。
分散式拒絕服務(Distributed Denial of Service,簡稱
為DDOS):指借助於客戶/伺服器技術,將多個電腦聯合起來作為攻擊平台,對一個或多個目標發動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力。通常,攻擊者使用一個偷竊帳號將DDoS主控程式安裝在一個電腦上,在一個設定的時間主控程式將與大量代理程式通訊,代理程式已經被安裝在網路上的許多電腦上。代理程式收到指令時就發動攻擊。利用客戶/伺服器技術,主控程式能在幾秒鐘內激活成百上千次代理程式的運行。
超文本傳輸協議(HyperText Transfer Protocol,簡稱為HTTP):互聯網上應用最為廣泛的一種網路協議。所有的WWW檔案都必須遵守這個標準。
HTTP Flood/HTTP Get Flood/CC攻擊:攻擊者借助代理伺服器生成指向受害主機的合法請求,實現DDoS和偽裝,稱為(challenge collapsar,簡稱為CC)。當前在互聯網業務中,Web服務已經佔有相當大的比例,越來越多的人透過Web提供的服務來獲取和發佈資訊,所以Web安全也是當今網路安全的研究熱點。HTTP作為Web應用的關鍵協議,經常被駭客利用來實施DDoS攻擊,稱為HTTP Flood/HTTP Get Flood或CC攻擊,這種攻擊的特徵是正常請求和異常請求的內容非常相近,因此很難針對性的進行檢測和防禦。
實施例1
根據本申請實施例,還提供了一種網路攻擊防禦的方
法實施例,需要說明的是,在附圖的流程圖示出的步驟可以在諸如一組電腦可執行指令的電腦系統中執行,並且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同於此處的順序執行所示出或描述的步驟。
本申請實施例1所提供的方法實施例可以在移動終端、電腦終端或者類似的運算裝置中執行。圖1示出了一種用於實現網路攻擊防禦方法的電腦終端(或移動設備)的硬體結構框圖。如圖1所示,電腦終端10(或移動設備10)可以包括一個或多個(圖中採用102a、102b,......,102n來示出)處理器102(處理器102可以包括但不限於微處理器MCU或可編程邏輯器件FPGA等的處理裝置)、用於儲存資料的記憶體104、以及用於通信功能的傳輸模組106。除此以外,還可以包括:顯示器、輸入/輸出介面(I/O介面)、通用序列匯流排(USB)埠(可以作為I/O介面的埠中的一個埠被包括)、網路介面、電源和/或相機。本領域普通技術人員可以理解,圖1所示的結構僅為示意,其並不對上述電子裝置的結構造成限定。例如,電腦終端10還可包括比圖1中所示更多或者更少的組件,或者具有與圖1所示不同的配置。
應當注意到的是上述一個或多個處理器102和/或其他資料處理電路在本文中通常可以被稱為“資料處理電路”。該資料處理電路可以全部或部分的體現為軟體、硬體、韌體或其他任意組合。此外,資料處理電路可為單個獨立的處理模組,或全部或部分的結合到電腦終端10(或
移動設備)中的其他元件中的任意一個中。如本申請實施例中所涉及到的,該資料處理電路作為一種處理器控制(例如與介面連接的可變電阻終端路徑的選擇)。
記憶體104可用於儲存應用軟體的軟體程式以及模組,如本發明實施例中的網路攻擊防禦方法對應的程式指令/資料儲存裝置,處理器102透過運行儲存在記憶體104內的軟體程式以及模組,從而執行各種功能應用以及資料處理,即實現上述的應用程式的漏洞檢測方法。記憶體104可包括高速隨機存取記憶體,還可包括非揮發性記憶體,如一個或者多個磁性儲存裝置、快閃記憶體、或者其他非揮發性固態記憶體。在一些實例中,記憶體104可進一步包括相對於處理器102遠端設置的記憶體,這些遠端記憶體可以透過網路連接至電腦終端10。上述網路的實例包括但不限於互聯網、企業內部網、局域網、移動通信網及其組合。
傳輸裝置106用於經由一個網路接收或者發送資料。上述的網路具體實例可包括電腦終端10的通信供應商提供的無線網路。在一個實例中,傳輸裝置106包括一個網路適配器(Network Interface Controller,NIC),其可透過基地台與其他網路設備相連從而可與互聯網進行通訊。在一個實例中,傳輸裝置106可以為射頻(Radio Frequency,RF)模組,其用於透過無線方式與互聯網進行通訊。
顯示器可以例如觸控螢幕式的液晶顯示器(LCD),
該液晶顯示器可使得用戶能夠與電腦終端10(或移動設備)的用戶界面進行交互。
其中,圖1所示電腦終端可以為一種網路攻擊防禦系統中的終端(例如圖2中的第一終端或第二終端),如圖2所示,該系統包括:一個或多個第一終端20、第二終端22,其中,第一終端20,用於向第二終端上運行的待保護站點發送服務請求;該第一終端20可以表現為被駭客遠端控制的傀儡機(又稱為“肉雞”),即發起攻擊的終端。
在本申請的一個可選實施例中,該第一終端可以為多個,即多個終端聯合起來向第二終端一起發送服務請求,以達到佔用待保護站點的資源的目的,從而實現對待保護站點進行攻擊。
第二終端22,用於依據上述服務請求獲取上述待保護站點的統計參數,其中,該統計參數為在第一預定時間內對上述待保護站點的特徵參數進行統計得到的參數;依據上述統計參數判斷上述待保護站點是否由當前運行狀態切換至目標運行狀態,得到判斷結果,其中,上述當前運行狀態和目標運行狀態所採用的防護策略是不同的;以及依據判斷結果調用與上述當前運行狀態對應的防護策略或上述目標運行狀態對應的防護策略對上述待保護站點進行防護。
可選地,第二終端22,還用於獲取上述待保護站點接收的HTTP資料包;從上述HTTP資料包中提取上述特徵參
數,並對相同類型的上述特徵參數進行統計,得到上述統計參數。
可選地,第二終端22,還用於獲取上述統計參數的滑動平均值,以及上述待保護站點在當前運行狀態下的持續時間;以及依據上述滑動平均值、上述統計參數的參數值以及上述持續時間判斷上述待保護站點是否由當前運行狀態切換至目標運行狀態。
在本申請的一個可選實施例中,第二終端22,還用於將上述滑動平均值、上述統計參數的參數值以及上述持續時間輸入與上述待保護站點對應的布林表達式,輸出取值;以及依據上述取值確定上述待保護站點是否由當前運行狀態切換至目標運行狀態。
可選地,上述防護策略包括:防護等級和/或防護算法,其中,上述防護等級用於指示對上述待保護站點的防護程度。
在上述運行環境下,本申請提供了如圖3所示的網路攻擊防禦方法。圖3是根據本申請實施例1的網路攻擊防禦方法的流程圖。如圖3所述,該方法包括步驟S302-S306:步驟S302,獲取待保護站點的統計參數,其中,該統計參數為在第一預定時間內對上述待保護站點的特徵參數進行統計得到的參數;可選地,可以透過以下方式獲取上述統計參數,但不限於此:獲取上述待保護站點接收的HTTP資料包;從該HTTP資料包中提取上述特徵參數,並對相同類型的上述
特徵參數進行統計,得到上述統計參數。其中,對於上述特徵參數的提取可以表現為對HTTP請求頭進行拆解,例如將其拆解為請求方法、HTTP頭,請求URL、Cookie、請求參數或請求參數鍵值對。
其中,上述HTTP資料包可以來自多個資料源,此時步驟S302可以表現為以下實現形式:獲取來自多個資料源的上述HTTP資料包;對上述HTTP資料包按照站點進行分類,得到上述待保護站點的HTTP資料包。
具體地,該步驟S302可以透過一種攻擊防禦系統中的流量獲取模組實現,具體會在後續描述,此處不再贅述。
步驟S304,依據上述統計參數判斷上述待保護站點是否由當前運行狀態切換至目標運行狀態,得到判斷結果,其中,上述當前運行狀態和目標運行狀態所採用的防護策略是不同的;可選地,上述判斷過程可以透過以下方式實現:獲取上述統計參數的滑動平均值,以及上述待保護站點在當前運行狀態下的持續時間;依據上述滑動平均值、上述統計參數的參數值以及上述持續時間判斷上述待保護站點是否由當前運行狀態切換至目標運行狀態。
其中,依據上述持續時間、滑動平均值和統計參數的參數值進行上述判斷過程時,可以依據的規則有多種,例如,可以將上述參數分別與一個閾值進行比較,根據得到的各個比較結果確定最終的判斷結果,例如得到的比較結果中的一個或兩個或三個參數的比較結果滿足預設條件
時,確定判斷結果為是,否則為否。在本申請的一個可選實施例中,還可以依據布林表達式確定,具體地:將上述滑動平均值、上述統計參數的參數值以及上述持續時間輸入與上述待保護站點對應的布林表達式,輸出取值;依據上述取值確定上述待保護站點是否由當前運行狀態切換至目標運行狀態。
該步驟S304可以透過上述攻擊防禦系統中的站點宏觀統計模組實現,關於該宏觀統計模組的具體描述,會在後續進行描述,此處不再贅述。
步驟S306,依據判斷結果調用與上述當前運行狀態對應的防護策略或上述目標運行狀態對應的防護策略對上述待保護站點進行防護。
在本申請的一個可選實施例中,上述防護策略包括但不限於:防護等級和/或防護算法,其中,上述防護等級用於指示對上述待保護站點的防護程度。例如,對於防護等級,可以分為三級:第一級、第二級、第三級,其中,每級所對應的防護閾值不同,從第一級至第三級依次減小。例如可以根據運行狀態調整漏殺指標,依據漏殺指標調整防護等級(可透過調節閾值實現)。
上述防護等級的調整可以表現為以下實現形式,但不限於此:統計對上述待保護站點進行防護後在第二預定時間內的誤殺率;在上述誤殺率大於第一閾值時,變更上述防護算法;和/或統計對上述待保護站點進行防護後在第三預定時間內的漏殺率;在上述漏殺率大於第一閾值時,
調整上述防護等級。上述處理過程可以在依據判斷結果調用與上述當前運行狀態對應的防護策略或上述目標運行狀態對應的防護策略對上述待保護站點進行防護之後進行。
上述步驟S306的功能可以透過上述攻擊防禦系統中的站點狀態跟蹤模組和基於源的安全檢測模組和防護動作模組實現,具體可以參見下面的描述,此處不再贅述。
正如上面所述,本申請實施例提供的網路攻擊的防禦方法可以透過攻擊防禦系統實現,該系統包括如下模組:
1)流量獲取模組
2)站點宏觀流量統計模組
3)站點運行狀態規則管理模組
4)站點狀態跟蹤模組
5)基於源的安全檢測模組和防護動作模組
系統中各個模組的工作流程如下:
1.流量獲取模組透過日誌分析、旁路網路包監聽、7層負載均衡設備等渠道獲取到HTTP的請求頭特徵,並將這些特徵歸併後發送給站點宏觀統計模組和基於源的安全檢測模組。流量獲取模組的工作流程如圖4所示,包括以下處理步驟:步驟S402,從資料源獲取HTTP資料包;步驟S404,對HTTP資料包進行拆解,將其拆解為請求方法、HTTP頭、請求URL、Cookie、請求參數及其請求參數的鍵值對;步驟S406,將拆解得到的資料進行壓縮或匯總;
步驟S408,將壓縮或匯總後得到的資料發送給宏觀統計模組和基於源的安全檢測模組。
2.站點宏觀統計模組統計出站點的宏觀統計項資訊,包括1)每秒請求數、2)每秒正常回應數、3)每秒異常回應數、4)每秒疑似攻擊請求數、5)上述統計項是否存在峰值波動、6)上述統計項的在不同時間週期(15s/600s/1800s)下的滑動平均值7)站點併發IP數8)站點併發Cookie數9)站點併發User-Agent數等。站點宏觀統計模組的工作流程如圖5所示,包括以下處理步驟:步驟S502,從資料源獲取HTTP資料包;步驟S504,對HTTP資料包進行拆解,將其拆解為請求方法、HTTP頭、請求URL、Cookie、請求參數及其請求參數的鍵值對;步驟S506,將拆解得到的資料進行壓縮或匯總,包括:線程/進程1:統計每秒請求數;線程/進程2:統計每秒正常回應數;線程/進程3:統計每秒錯誤回應數;線程/進程4:統計每秒疑似攻擊請求數;線程/進程5:併發IP數統計;線程/進程6:併發User-Agent數統計;線程/進程7:併發Cookie數統計;…;線程/進程n:其它統計算法,n為自然數。
步驟S508,對上述各個統計項進行滑動平均值統計;步驟S510,輸出站點宏觀流量統計結果。
3.站點狀態跟蹤模組獲取站點宏觀統計模組計算出的統計值,結合站點運行狀態規則管理模組提供的規則內
容,進行狀態計算和躍遷,當狀態發生躍遷時動態調節基於源的安全檢測規則。站點狀態跟蹤模組的工作流程如圖6所示,包括以下處理步驟:步驟S602,加載站點運行狀態規則;步驟S604,初始化站點運行狀態表步驟S606,獲取統計資訊步驟S608,根據統計資訊域名,查找到具體站點運行狀態機;步驟S610,判斷是否滿足狀態跳轉條件,如果滿足,轉步驟S612,否則轉步驟S606;步驟S612,跳轉運行狀態,執行和運行狀態綁定的規則設置動作。
5.基於源的安全檢測模組基於站點狀態跟蹤模組下發的規則進行基於源的統計匹配、請求特定特徵匹配、特定源特定欄位值分佈統計匹配,匹配特徵成功後進行頁面阻斷或發送人機挑戰等具體防護動作。
6.站點狀態跟蹤模組透過站點宏觀統計模組分析當前具體防護動作的誤殺和漏殺情況,如果誤殺率/漏殺率超過閾值則更換防護策略。
狀態跳轉規則形式,如圖7所示:跳轉規則為n個變量所組成的布林表達式,表達式的參數值從宏觀統計模組計算輸出,包含:
1)宏觀統計模組輸出的每秒請求數、每秒正常回應數、每秒錯誤回應數、每秒疑似攻擊請求數、併發IP統計
數、併發User-Agent統計數、併發Cookie統計數等數值。
2)宏觀統計模組輸出的上述數值的滑動平均值。
3)跳轉到當前狀態後的持續時間。
計算安全營運人員針對上述參數編寫的布林表達式,得到狀態跳轉結果:需要跳轉且跳轉到狀態x,或者需要保持當前狀態而不做跳轉。
其中,狀態跳轉規則為一個二維組織的狀態機集合,垂直維度表示防護嚴格程度用於降低漏殺,水平維度表示不同的防護算法用於降低誤殺。
需要說明的是,對於前述的各方法實施例,為了簡單描述,故將其都表述為一系列的動作組合,但是本領域技術人員應該知悉,本發明並不受所描述的動作順序的限制,因為依據本發明,某些步驟可以採用其他順序或者同時進行。其次,本領域技術人員也應該知悉,說明書中所描述的實施例均屬於較佳實施例,所涉及的動作和模組並不一定是本發明所必須的。
透過以上的實施方式的描述,本領域的技術人員可以清楚地瞭解到根據上述實施例的方法可借助軟體加必需的通用硬體平台的方式來實現,當然也可以透過硬體,但很多情況下前者是更佳的實施方式。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來,該電腦軟體產品儲存在一個儲存媒體(如ROM/RAM、磁碟、光碟)中,包括若干指令用以使得一台終端設備(可以是手機,電腦,伺服
器,或者網路設備等)執行本發明各個實施例所述的方法。
實施例2
根據本申請實施例,還提供了一種用於實施上述網路攻擊防禦方法的裝置,如圖8所示,該裝置包括:獲取模組80,用於獲取待保護站點的統計參數,其中,該統計參數為在第一預定時間內對上述待保護站點的特徵參數進行統計得到的參數;可選地,獲取模組80,用於獲取上述待保護站點接收的HTTP資料包;以及從上述請求頭資料中提取上述特徵參數,並對相同類型的上述特徵參數進行統計,得到上述統計參數。
判斷模組82,用於依據上述統計參數判斷上述待保護站點是否由當前運行狀態切換至目標運行狀態,得到判斷結果,其中,上述當前運行狀態和目標運行狀態所採用的防護策略是不同的;可選地,判斷模組82,用於獲取上述統計參數的滑動平均值,以及上述待保護站點在當前運行狀態下的持續時間;以及依據上述滑動平均值、上述統計參數的參數值以及上述持續時間判斷上述待保護站點是否由當前運行狀態切換至目標運行狀態。
調用模組84,用於依據判斷結果調用與上述當前運行狀態對應的防護策略或上述目標運行狀態對應的防護策略
對上述待保護站點進行防護。
上述防護策略包括:防護等級和/或防護算法,其中,上述防護等級用於指示對上述待保護站點的防護程度。
如圖9所示,上述裝置還包括:調整模組86,用於統計對上述待保護站點進行防護後在第二預定時間內的誤殺率;在上述誤殺率大於第一閾值時,變更上述防護算法;和/或,統計對上述待保護站點進行防護後在第三預定時間內的漏殺率;在上述漏殺率大於第一閾值時,調整上述防護等級。
需要說明的是,本申請實施例中所提及的各個模組是可以透過軟體或硬體來實現的,對於後者,可以表現為以下實現形式:上述各個模組位於同一處理器中;或者,上述各個模組以任意組合的形式位於不同的處理器中。
實施例3
本申請的實施例可以提供一種電腦終端,該電腦終端可以是電腦終端群中的任意一個電腦終端設備。可選地,在本實施例中,上述電腦終端也可以替換為移動終端等終端設備。
可選地,在本實施例中,上述電腦終端可以位於電腦網路的多個網路設備中的至少一個網路設備。
在本實施例中,上述電腦終端可以執行方法中以下步驟的程式代碼:獲取待保護站點的統計參數,其中,該統
計參數為在第一預定時間內對所述待保護站點的特徵參數進行統計得到的參數;依據所述統計參數判斷所述待保護站點是否由當前運行狀態切換至目標運行狀態,得到判斷結果,其中,所述當前運行狀態和目標運行狀態所採用的防護策略是不同的;依據判斷結果調用與所述當前運行狀態對應的防護策略或所述目標運行狀態對應的防護策略對所述待保護站點進行防護。
可選地,圖10是根據本申請實施例的一種電腦終端的結構框圖。如圖10所示,該電腦終端100可以包括:一個或多個(圖中僅示出一個)處理器1002、記憶體1004。
其中,記憶體可用於儲存軟體程式以及模組,如本申請實施例中的方法和裝置對應的程式指令/模組,處理器透過運行儲存在記憶體內的軟體程式以及模組,從而執行各種功能應用以及資料處理,即實現上述的方法。記憶體可包括高速隨機存取記憶體,還可以包括非易失性記憶體,如一個或者多個磁性儲存裝置、快閃記憶體、或者其他非易失性固態記憶體。在一些實例中,記憶體可進一步包括相對於處理器遠端設置的記憶體,這些遠端記憶體可以透過網路連接至終端A。上述網路的實例包括但不限於互聯網、企業內部網、局域網、移動通信網及其組合。
處理器可以透過傳輸裝置調用記憶體儲存的資訊及應用程式,以執行下述步驟:獲取待保護站點的統計參數,其中,該統計參數為在第一預定時間內對所述待保護站點的特徵參數進行統計得到的參數;依據所述統計參數判斷
所述待保護站點是否由當前運行狀態切換至目標運行狀態,得到判斷結果,其中,所述當前運行狀態和目標運行狀態所採用的防護策略是不同的;依據判斷結果調用與所述當前運行狀態對應的防護策略或所述目標運行狀態對應的防護策略對所述待保護站點進行防護。
可選的,上述處理器還可以執行如下步驟的程式代碼:獲取所述待保護站點接收的HTTP資料包;從所述HTTP資料包中提取所述特徵參數,並對相同類型的所述特徵參數進行統計,得到所述統計參數。
可選的,上述處理器還可以執行如下步驟的程式代碼:獲取來自多個資料源的所述HTTP資料包;對所述HTTP資料包按照站點進行分類,得到所述待保護站點的HTTP資料包。
可選的,上述處理器還可以執行如下步驟的程式代碼:獲取所述統計參數的滑動平均值,以及所述待保護站點在當前運行狀態下的持續時間;依據所述滑動平均值、所述統計參數的參數值以及所述持續時間判斷所述待保護站點是否由當前運行狀態切換至目標運行狀態。
可選的,上述處理器還可以執行如下步驟的程式代碼:將所述滑動平均值、所述統計參數的參數值以及所述持續時間輸入與所述待保護站點對應的布林表達式,輸出取值;依據所述取值確定所述待保護站點是否由當前運行狀態切換至目標運行狀態。
可選的,上述處理器還可以執行如下步驟的程式代
碼:統計對所述待保護站點進行防護後在第二預定時間內的誤殺率;在所述誤殺率大於第一閾值時,變更所述防護算法;和/或,統計對所述待保護站點進行防護後在第三預定時間內的漏殺率;在所述漏殺率大於第一閾值時,調整所述防護等級
採用本申請實施例,提供了一種網路攻擊防禦方案,解決了由於目前的防護策略固定造成的防護效率低且易出現誤殺和漏殺的技術問題。
本領域普通技術人員可以理解,圖10所示的結構僅為示意,電腦終端也可以是智能手機(如Android手機、iOS手機等)、平板電腦、掌上型電腦以及移動互聯網設備(Mobile Internet Devices,MID)、PAD等終端設備。圖10其並不對上述電子裝置的結構造成限定。例如,電腦終端10還可包括比圖10中所示更多或者更少的組件(如網路介面、顯示裝置等),或者具有與圖10所示不同的配置。
本領域普通技術人員可以理解上述實施例的各種方法中的全部或部分步驟是可以透過程式來指令終端設備相關的硬體來完成,該程式可以儲存於一電腦可讀儲存媒體中,儲存媒體可以包括:快閃隨身碟、唯讀記憶體(Read-Only Memory,ROM)、隨機存取記憶體(Random Access Memory,RAM)、磁碟或光碟等。
實施例4
本申請的實施例還提供了一種儲存媒體。可選地,在
本實施例中,上述儲存媒體可以用於保存上述實施例1所提供的網路攻擊防禦方法所執行的程式代碼。
可選地,在本實施例中,上述儲存媒體可以位於電腦網路中電腦終端群中的任意一個電腦終端中,或者位於移動終端群中的任意一個移動終端中。
可選地,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式代碼:獲取待保護站點的統計參數,其中,該統計參數為在第一預定時間內對所述待保護站點的特徵參數進行統計得到的參數;依據所述統計參數判斷所述待保護站點是否由當前運行狀態切換至目標運行狀態,得到判斷結果,其中,所述當前運行狀態和目標運行狀態所採用的防護策略是不同的;依據判斷結果調用與所述當前運行狀態對應的防護策略或所述目標運行狀態對應的防護策略對所述待保護站點進行防護。
上述本申請實施例序號僅僅為了描述,不代表實施例的優劣。
在本申請的上述實施例中,對各個實施例的描述都各有側重,某個實施例中沒有詳述的部分,可以參見其他實施例的相關描述。
在本申請所提供的幾個實施例中,應該理解到,所揭露的技術內容,可透過其它的方式實現。其中,以上所描述的裝置實施例僅僅是示意性的,例如所述單元的劃分,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式,例如多個單元或組件可以結合或者可以集成到另一
個系統,或一些特徵可以忽略,或不執行。另一點,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是透過一些介面,單元或模組的間接耦合或通信連接,可以是電性或其它的形式。
所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位於一個地方,或者也可以分佈到多個網路單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。
另外,在本申請各個實施例中的各功能單元可以集成在一個處理單元中,也可以是各個單元單獨物理存在,也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以採用硬體的形式實現,也可以採用軟體功能單元的形式實現。
所述集成的單元如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時,可以儲存在一個電腦可讀取儲存媒體中。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟體產品的形式體現出來,該電腦軟體產品儲存在一個儲存媒體中,包括若干指令用以使得一台電腦設備(可為個人電腦、伺服器或者網路設備等)執行本發明各個實施例所述方法的全部或部分步驟。而前述的儲存媒體包括:USB隨身碟、唯讀記憶體(ROM,Read-Only Memory)、隨機存取記憶體(RAM,Random Access
Memory)、移動硬碟、磁碟或者光碟等各種可以儲存程式代碼的媒體。
以上所述僅是本發明的較佳實施方式,應當指出,對於本技術領域的普通技術人員來說,在不脫離本發明原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也應視為本發明的保護範圍。
Claims (15)
- 一種網路攻擊防禦系統,其特徵在於,包括:一個或多個第一終端,用於向第二終端上運行的待保護站點發送服務請求;該第二終端,用於依據該服務請求獲取該待保護站點的統計參數,其中,該統計參數為在第一預定時間內對該待保護站點的特徵參數進行統計得到的參數;依據該統計參數判斷該待保護站點是否由當前運行狀態切換至目標運行狀態,得到判斷結果,其中,該當前運行狀態和目標運行狀態所採用的防護策略是不同的;以及依據判斷結果調用與該當前運行狀態對應的防護策略或該目標運行狀態對應的防護策略對該待保護站點進行防護。
- 根據申請專利範圍第1項所述的系統,其中,該第二終端,還用於獲取該待保護站點接收的HTTP資料包;從該HTTP資料包中提取該特徵參數,並對相同類型的該特徵參數進行統計,得到該統計參數。
- 根據申請專利範圍第1項所述的系統,其中,該第二終端,還用於獲取該統計參數的滑動平均值,以及該待保護站點在當前運行狀態下的持續時間;以及依據該滑動平均值、該統計參數的參數值以及該持續時間判斷該待保護站點是否由當前運行狀態切換至目標運行狀態。
- 根據申請專利範圍第3項所述的系統,其中,該第二終端,還用於將該滑動平均值、該統計參數的參數值以及該持續時間輸入與該待保護站點對應的布林表達式,輸出取值;以及依據該取值確定該待保護站點是否由當前運行狀態切換至目標運行狀態。
- 根據申請專利範圍第1至4項中任一項所述的系統,其中,該防護策略包括:防護等級和/或防護算法,其中,該防護等級用於指示對該待保護站點的防護程度。
- 一種網路攻擊防禦方法,其特徵在於,包括:獲取待保護站點的統計參數,其中,該統計參數為在第一預定時間內對該待保護站點的特徵參數進行統計得到的參數,該特徵參數用於反映該待保護站點的運行狀態;依據該統計參數判斷該待保護站點是否由當前運行狀態切換至目標運行狀態,得到判斷結果,其中,該當前運行狀態和目標運行狀態所採用的防護策略是不同的;依據判斷結果調用與該當前運行狀態對應的防護策略或該目標運行狀態對應的防護策略對該待保護站點進行防護。
- 根據申請專利範圍第6項所述的方法,其中,獲取待保護站點的統計參數,包括: 獲取該待保護站點接收的HTTP資料包;從該HTTP資料包中提取該特徵參數,並對相同類型的該特徵參數進行統計,得到該統計參數。
- 根據申請專利範圍第7項所述的方法,其中,獲取該待保護站點接收的HTTP資料包,包括:獲取來自多個資料源的該HTTP資料包;對該HTTP資料包按照站點進行分類,得到該待保護站點的HTTP資料包。
- 根據申請專利範圍第6項所述的方法,其中,依據該統計參數判斷該待保護站點是否由當前運行狀態切換至目標運行狀態包括:獲取該統計參數的滑動平均值,以及該待保護站點在當前運行狀態下的持續時間;依據該滑動平均值、該統計參數的參數值以及該持續時間判斷該待保護站點是否由當前運行狀態切換至目標運行狀態。
- 根據申請專利範圍第9項所述的方法,其中,依據該滑動平均值、該統計參數的參數值以及該持續時間判斷該待保護站點是否由當前運行狀態切換至目標運行狀態,包括:將該滑動平均值、該統計參數的參數值以及該持續時 間輸入與該待保護站點對應的布林表達式,輸出取值;依據該取值確定該待保護站點是否由當前運行狀態切換至目標運行狀態。
- 根據申請專利範圍第6至9項中任一項所述的方法,其中,該防護策略包括:防護等級和/或防護算法,其中,該防護等級用於指示對該待保護站點的防護程度。
- 根據申請專利範圍第11項所述的方法,其中,依據判斷結果調用與該當前運行狀態對應的防護策略或該目標運行狀態對應的防護策略對該待保護站點進行防護之後,該方法還包括:統計對該待保護站點進行防護後在第二預定時間內的誤殺率;在該誤殺率大於第一閾值時,變更該防護算法;和/或統計對該待保護站點進行防護後在第三預定時間內的漏殺率;在該漏殺率大於第一閾值時,調整該防護等級。
- 一種網路攻擊防禦裝置,其特徵在於,包括:獲取模組,用於獲取待保護站點的統計參數,其中,該統計參數為在第一預定時間內對該待保護站點的特徵參數進行統計得到的參數;判斷模組,用於依據該統計參數判斷該待保護站點是否由當前運行狀態切換至目標運行狀態,得到判斷結果, 其中,該當前運行狀態和目標運行狀態所採用的防護策略是不同的;調用模組,用於依據判斷結果調用與該當前運行狀態對應的防護策略或該目標運行狀態對應的防護策略對該待保護站點進行防護。
- 根據申請專利範圍第13項所述的裝置,其中,該判斷模組,用於獲取該統計參數的滑動平均值,以及該待保護站點在當前運行狀態下的持續時間;以及依據該滑動平均值、該統計參數的參數值以及該持續時間判斷該待保護站點是否由當前運行狀態切換至目標運行狀態。
- 根據申請專利範圍第13或14項所述的裝置,其中,該防護策略包括:防護等級和/或防護算法,其中,該防護等級用於指示對該待保護站點的防護程度。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
??201610586673.9 | 2016-07-22 | ||
CN201610586673.9 | 2016-07-22 | ||
CN201610586673.9A CN107645478B (zh) | 2016-07-22 | 2016-07-22 | 网络攻击防御系统、方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201804757A true TW201804757A (zh) | 2018-02-01 |
TWI727060B TWI727060B (zh) | 2021-05-11 |
Family
ID=60990172
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW106120792A TWI727060B (zh) | 2016-07-22 | 2017-06-21 | 網路攻擊防禦系統、方法及裝置 |
Country Status (7)
Country | Link |
---|---|
US (2) | US10505974B2 (zh) |
EP (1) | EP3488559B1 (zh) |
JP (2) | JP6701390B2 (zh) |
KR (1) | KR102159930B1 (zh) |
CN (1) | CN107645478B (zh) |
TW (1) | TWI727060B (zh) |
WO (1) | WO2018017725A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI828347B (zh) * | 2021-10-14 | 2024-01-01 | 美商F5公司 | 使用硬體設備減輕DDoS攻擊的方法及其設備 |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112398800A (zh) * | 2019-08-19 | 2021-02-23 | 华为技术有限公司 | 一种数据处理方法及装置 |
CN111125671B (zh) * | 2019-12-19 | 2023-08-01 | 字节跳动有限公司 | 验证码处理方法及装置、存储介质 |
CN111600841B (zh) * | 2020-04-16 | 2022-12-09 | 广西电网有限责任公司电力科学研究院 | 一种Web站点的综合安全监测方法及系统 |
CN112202821B (zh) * | 2020-12-04 | 2021-03-30 | 北京优炫软件股份有限公司 | 一种cc攻击的识别防御系统及方法 |
CN112702321B (zh) * | 2020-12-15 | 2023-04-07 | 深圳市快付通金融网络科技服务有限公司 | 分布式交易限流方法、装置、设备及存储介质 |
US11552989B1 (en) | 2021-11-23 | 2023-01-10 | Radware Ltd. | Techniques for generating signatures characterizing advanced application layer flood attack tools |
US11582259B1 (en) | 2021-11-23 | 2023-02-14 | Radware Ltd. | Characterization of HTTP flood DDoS attacks |
CN114301796B (zh) * | 2021-12-20 | 2023-10-03 | 上海纽盾科技股份有限公司 | 预测态势感知的验证方法、装置及系统 |
CN115174233B (zh) * | 2022-07-08 | 2024-03-26 | 广东瑞普科技股份有限公司 | 基于大数据的网络安全分析方法、设备、系统及介质 |
Family Cites Families (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020032871A1 (en) * | 2000-09-08 | 2002-03-14 | The Regents Of The University Of Michigan | Method and system for detecting, tracking and blocking denial of service attacks over a computer network |
JP2002342279A (ja) | 2001-03-13 | 2002-11-29 | Fujitsu Ltd | フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム |
US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
US7467202B2 (en) | 2003-09-10 | 2008-12-16 | Fidelis Security Systems | High-performance network content analysis platform |
JP2005210601A (ja) | 2004-01-26 | 2005-08-04 | Nippon Telegr & Teleph Corp <Ntt> | 不正侵入検知装置 |
US7478429B2 (en) | 2004-10-01 | 2009-01-13 | Prolexic Technologies, Inc. | Network overload detection and mitigation system and method |
CN101112056B (zh) * | 2005-01-31 | 2012-07-18 | 英国电讯有限公司 | 对信息进行编码的方法 |
JP2007006054A (ja) | 2005-06-23 | 2007-01-11 | Hitachi Ltd | パケット中継装置及びパケット中継システム |
US20080083029A1 (en) | 2006-09-29 | 2008-04-03 | Alcatel | Intelligence Network Anomaly Detection Using A Type II Fuzzy Neural Network |
US7617170B2 (en) | 2006-10-09 | 2009-11-10 | Radware, Ltd. | Generated anomaly pattern for HTTP flood protection |
JP4957439B2 (ja) | 2007-08-02 | 2012-06-20 | パナソニック株式会社 | 正抵抗温度特性抵抗体 |
WO2009037897A1 (ja) * | 2007-09-20 | 2009-03-26 | Nec Corporation | セキュリティ運用管理システム、セキュリティ運用管理方法およびセキュリティ運用管理プログラム |
US8789173B2 (en) | 2009-09-03 | 2014-07-22 | Juniper Networks, Inc. | Protecting against distributed network flood attacks |
CN102075365B (zh) * | 2011-02-15 | 2012-12-26 | 中国工商银行股份有限公司 | 一种网络攻击源定位及防护的方法、装置 |
US8151341B1 (en) | 2011-05-23 | 2012-04-03 | Kaspersky Lab Zao | System and method for reducing false positives during detection of network attacks |
JP5752020B2 (ja) | 2011-12-06 | 2015-07-22 | 株式会社Kddi研究所 | 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム |
IL219499B (en) * | 2012-04-30 | 2019-02-28 | Verint Systems Ltd | A system and method for detecting malicious software |
CN104769864B (zh) * | 2012-06-14 | 2018-05-04 | 艾诺威网络有限公司 | 多播到单播转换技术 |
KR101394383B1 (ko) * | 2012-06-15 | 2014-05-13 | 건국대학교 산학협력단 | 디도스 방어를 위한 에이에스 내부 라우팅 배치 시스템 및 그 방법 |
US9679131B2 (en) * | 2013-01-25 | 2017-06-13 | Cybereason Inc. | Method and apparatus for computer intrusion detection |
US9571426B2 (en) * | 2013-08-26 | 2017-02-14 | Vmware, Inc. | Traffic and load aware dynamic queue management |
WO2015141630A1 (ja) | 2014-03-19 | 2015-09-24 | 日本電信電話株式会社 | 分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム |
EP3145130B1 (en) * | 2014-06-18 | 2019-02-27 | Nippon Telegraph and Telephone Corporation | Network system, communication control method, and communication control program |
US9587974B2 (en) * | 2014-07-21 | 2017-03-07 | Mettler-Toledo, LLC | Weighing scale diagnostics method |
US20160182542A1 (en) * | 2014-12-18 | 2016-06-23 | Stuart Staniford | Denial of service and other resource exhaustion defense and mitigation using transition tracking |
CN105991511A (zh) | 2015-01-27 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 一种检测cc攻击的方法及设备 |
ES2965917T3 (es) * | 2016-05-06 | 2024-04-17 | Sitelock Llc | Detección de debilidad de seguridad e infiltración y reparación en contenido de sitio web ofuscado |
US10530795B2 (en) * | 2017-03-17 | 2020-01-07 | Target Brands, Inc. | Word embeddings for anomaly classification from event logs |
-
2016
- 2016-07-22 CN CN201610586673.9A patent/CN107645478B/zh active Active
-
2017
- 2017-06-21 TW TW106120792A patent/TWI727060B/zh active
- 2017-07-18 US US15/653,157 patent/US10505974B2/en active Active
- 2017-07-19 JP JP2018567150A patent/JP6701390B2/ja active Active
- 2017-07-19 KR KR1020187037369A patent/KR102159930B1/ko active IP Right Grant
- 2017-07-19 EP EP17831798.8A patent/EP3488559B1/en active Active
- 2017-07-19 WO PCT/US2017/042880 patent/WO2018017725A1/en unknown
-
2019
- 2019-10-25 US US16/663,660 patent/US11184387B2/en active Active
-
2020
- 2020-05-01 JP JP2020081003A patent/JP6957675B2/ja active Active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI828347B (zh) * | 2021-10-14 | 2024-01-01 | 美商F5公司 | 使用硬體設備減輕DDoS攻擊的方法及其設備 |
Also Published As
Publication number | Publication date |
---|---|
US10505974B2 (en) | 2019-12-10 |
CN107645478B (zh) | 2020-12-22 |
KR102159930B1 (ko) | 2020-09-29 |
CN107645478A (zh) | 2018-01-30 |
US11184387B2 (en) | 2021-11-23 |
KR20190009379A (ko) | 2019-01-28 |
WO2018017725A1 (en) | 2018-01-25 |
US20200067946A1 (en) | 2020-02-27 |
EP3488559B1 (en) | 2022-03-16 |
JP6701390B2 (ja) | 2020-05-27 |
EP3488559A1 (en) | 2019-05-29 |
JP2019523584A (ja) | 2019-08-22 |
EP3488559A4 (en) | 2019-12-25 |
TWI727060B (zh) | 2021-05-11 |
JP6957675B2 (ja) | 2021-11-02 |
US20180026994A1 (en) | 2018-01-25 |
JP2020140723A (ja) | 2020-09-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI727060B (zh) | 網路攻擊防禦系統、方法及裝置 | |
US10735382B2 (en) | Detecting human activity to mitigate attacks on a host | |
US11212281B2 (en) | Attacker detection via fingerprinting cookie mechanism | |
JP5886422B2 (ja) | プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法 | |
CN105577608B (zh) | 网络攻击行为检测方法和装置 | |
EP2863611B1 (en) | Device for detecting cyber attack based on event analysis and method thereof | |
Kalluri et al. | Simulation and impact analysis of denial-of-service attacks on power SCADA | |
WO2017007705A1 (en) | Asymmetrical challenges for web security | |
CN110213208B (zh) | 一种处理请求的方法和装置以及存储介质 | |
CN106685899B (zh) | 用于识别恶意访问的方法和设备 | |
US10567395B2 (en) | Detection of potentially malicious web content by emulating user behavior and user environment | |
US20210144172A1 (en) | Early detection of dedicated denial of service attacks through metrics correlation | |
US20230283641A1 (en) | Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement | |
CN108600145B (zh) | 一种确定DDoS攻击设备的方法及装置 | |
CN108234516B (zh) | 一种网络泛洪攻击的检测方法及装置 | |
Huang et al. | An authentication scheme to defend against UDP DrDoS attacks in 5G networks | |
US11968235B2 (en) | System and method for cybersecurity analysis and protection using distributed systems | |
Singh | A Study on Cooperative Defense Against Network Attacks | |
Ono et al. | A proposal of port scan detection method based on Packet‐In Messages in OpenFlow networks and its evaluation | |
Tiwari et al. | Improving network security and design using honeypots | |
CN105592070B (zh) | 应用层DDoS防御方法及系统 | |
Oo et al. | Enhancement of preventing application layer based on DDoS attacks by using hidden semi-Markov model | |
Liu et al. | Real-time detection of covert channels in highly virtualized environments | |
Ezenwe et al. | Mitigating Denial of Service Attacks with Load Balancing | |
KR101812732B1 (ko) | 보안 장치 및 이의 동작 방법 |