CN101631026A - 一种防御拒绝服务攻击的方法及装置 - Google Patents
一种防御拒绝服务攻击的方法及装置 Download PDFInfo
- Publication number
- CN101631026A CN101631026A CN200810116857A CN200810116857A CN101631026A CN 101631026 A CN101631026 A CN 101631026A CN 200810116857 A CN200810116857 A CN 200810116857A CN 200810116857 A CN200810116857 A CN 200810116857A CN 101631026 A CN101631026 A CN 101631026A
- Authority
- CN
- China
- Prior art keywords
- flow
- source host
- characteristic
- dos attack
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000001514 detection method Methods 0.000 claims abstract description 51
- 230000000903 blocking effect Effects 0.000 claims abstract description 6
- 238000001914 filtration Methods 0.000 claims description 22
- 239000000872 buffer Substances 0.000 claims description 21
- 238000007781 pre-processing Methods 0.000 claims description 8
- 238000005070 sampling Methods 0.000 abstract description 7
- 238000005516 engineering process Methods 0.000 description 18
- 235000014510 cooky Nutrition 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000007547 defect Effects 0.000 description 3
- 230000007123 defense Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种在TCP/IP网络中防御拒绝服务攻击的方法,所述方法包括:对TCP、UDP和ICMP流量进行随机抽样,统计并计算出每个流量的速率大小,然后进行流量比例特征和流量分布特征检测,并验证相应源主机身份的可信性,根据检测结果和源主机身份认证结果自学习黑白名单以及DoS攻击特征表,最后利用黑白名单和DoS攻击特征表对流量进行过滤,对正常流量进行放行,对拒绝服务攻击进行阻断。利用本发明,可以检测和阻断拒绝服务攻击,这样可以保证网络的可用性,并可以预防网络拒绝服务攻击的发生,为网络用户提供一个安全的网络环境。
Description
技术领域
本发明涉及网络与信息安全技术领域,具体涉及在TCP/IP网络中的一种防御拒绝服务攻击的方法及装置。
背景技术
目前,随着Internet和网络应用的快速发展,人们可以通过网络进行电子商务、资源共享和娱乐活动,网络逐渐成为人们在工作、生活和学习中不可缺少的一部分,同时,人们对网络中信息的高安全性的需求越来越强烈。网络安全产品的市场需求也越来越强烈。当前,在网络与信息安全市场上,防火墙产品、入侵检测产品和防病毒产品仍是主流产品。
在本发明的防御拒绝服务攻击的方法及装置中主要涉及以下技术:随机抽样技术、源主机可信性验证技术、自学习黑白名单技术、流量统计技术、阈值检测技术、流量比例特征检测技术、流量分布特征检测技术和DoS攻击特征检测技术。
防御拒绝服务攻击技术的发展有三大方向,一是流量统计和阈值检测技术;二是源主机可信性验证技术;三是分布与特征检测技术。对于这三大方向的技术,它们的优点是技术比较成熟,实现简单,能够比较有效地检测和阻断拒绝服务攻击;缺陷是对技术没有进行有效地整合,不能全面检测并阻断异常流量攻击,包括分布式拒绝服务攻击。本发明对这三大方向的技术进行了有效地整合,并采用自学习黑白名单和DoS攻击特征表技术对网络流量进行过滤,克服了以上三大方向的方法中存在的缺点,能够防御拒绝服务和分布式拒绝服务攻击。
发明内容
本发明的目的是克服现有技术的缺点,提供一种在TCP/IP网络中防御拒绝服务攻击的方法及装置,使得能够有效地检测和阻断拒绝服务攻击,以保证网络应用的安全性,给网络用户一个安全的网络应用环境。
本发明的目的是通过以下技术方案实现的:
一种防御拒绝服务攻击的方法,包括以下步骤:
A、预处理包括捕获和解析网络数据包;
B、黑白名单和DoS攻击特征表过滤;
C、阈值和流量比例特征检测;
D、源主机认证;
E、流量分布特征检测。
所述步骤A包括:
A1、捕获网络数据包;
A2、解析网络数据包;
所述通过解析所获得的信息包括:TCP包的SYN、ACK、FIN标志位、UDP数据包、ICMP包的类型和代码字段,其中包括Echo、Replay和Unreach,以及相应的源和目的IP地址、源和目的端口。
优选地,所述步骤B包括:
根据黑白名单和DoS攻击特征表中的信息进行过滤,对白名单中的可信源主机进行放行,对黑名单和DoS攻击特征表中恶意源主机进行阻断。
所述黑白名单中信息包括:可信和恶意源主机的IP地址、DoS攻击特征。
优选地,所述步骤C包括:
C1、计算流量速率;
C2、进行流量速率和速率阈值的比较;
C3、对流量比例特征进行计算;
C4、进行阈值检测和流量比例特征检测的综合判断。
所述阈值和流量比例特征检测信息包括:流量速率的阈值大小、TCP的SYN、SYN-ACK、ACK、FIN-ACK包的流量及其速率、UDP的流量及其速率、ICMP的Echo、Replay和Unreach包的流量及其速率。
优选地,所述步骤D包括:
对流量的源主机的身份进行认证,根据源主机认证状态机进行身份验证,将可信源主机保存到白名单中,将恶意源主机保存到黑名单和DoS攻击特征表中。
所述网络流量控制信息包括:源主机的IP地址、DoS攻击特征。
可选地,所述步骤E包括:
对攻击的分布特征进行检测,首先统计出源和目的IP地址以及目的端口的分布情况,并统计它们的流量数量,然后计算出分布数与流量数量的比例;
所述网络流量动态检测信息包括:源和目的IP地址以及目的端口的分布情况信息,各个流量数量信息。
一种防御拒绝服务攻击的装置,包括:
初始化装置,包括初始化阈值和流量比例特征检测的缓冲区、初始化流量分布特征检测的缓冲区、初始化黑白名单的缓冲区、初始化DoS攻击特征的缓冲区;
预处理装置,包括捕获网络数据包,并进行协议解析;
检测装置,包括对阈值和流量比例特征进行检测,对源主机的身份进行认证,对流量分布特征进行检测,以及提取DoS攻击特征并放入DoS攻击特征表中;
过滤装置,包括根据黑名单进行过滤,根据白名单进行过滤,根据DoS攻击特征进行过滤。
告警装置,向控制端的显示模块发送拒绝服务攻击的信息。
一种防御拒绝服务攻击的装置,首先,有初始化装置对本装置中存储流量信息的缓冲区进行初始化,然后由预处理装置捕获和解析网络数据包,并由检测装置分别进行阈值和流量比例特征检测、源主机认证、流量分布特征检测、以及提取DoS攻击特征,最后,由过滤装置根据黑白名单和DoS攻击特征表进行过滤,并由告警装置将攻击信息通知给用户。
由以上本发明提供的技术方案可以看出,本发明克服了现有技术的缺点,提供一种在TCP/IP网络中防御拒绝服务攻击的装置,使得能够有效地检测和阻断拒绝服务攻击,以保证网络应用的安全性,给网络用户一个安全的网络应用环境。
附图说明
图1是在TCP/IP网络中防御拒绝服务攻击装置的组网示意图;
图2是本发明方法的装置结构示意图;
图3是本发明方法的主流程图;
图4是本发明中源主机状态转换示意图;
图5是本发明中黑白名单过滤流程示意图;
图6是本发明中阈值和流量比例特征检测流程示意图;
图7是本发明中流量分布特征检测流程示意图;
图8是本发明中源主机认证流程示意图。
具体实施方式
本发明方法的核心在于克服现有技术的缺点,提供一种在TCP/IP网络中防御拒绝服务攻击的装置,使得能够有效地检测和阻断拒绝服务攻击,以保证网络应用的安全性,给网络用户一个安全的网络应用环境。
防御拒绝服务攻击的通用工作流程为:
初始化阶段,包括初始化阈值和流量比例特征检测的缓冲区、初始化流量分布特征检测的缓冲区、初始化黑白名单的缓冲区、初始化DoS攻击特征表的缓冲区;
预处理阶段,包括捕获网络数据包,并进行协议解析;
检测阶段,包括对对阈值和流量比例特征进行检测,对源主机的身份进行认证,对流量分布特征进行检测,以及提取DoS攻击特征并放入DoS攻击特征表中;
过滤阶段,包括根据黑名单进行过滤,根据白名单和DoS攻击特征表进行过滤。
告警阶段,向控制端的显示模块发送拒绝服务攻击的信息。
在TCP/IP中防御拒绝服务攻击的装置组网结构如图1所示。其中,
局域网,包括局域网内部的网络用户和网络服务;
防御拒绝服务攻击装置,用于捕获和解析网络数据包,统计和检测网络流量,阻断拒绝服务攻击;
Internet,包括路由器,可以传送和路由网络流量。
下面参照图2对本发明方法的装置结构作详细说明:
初始化装置,包括初始化阈值和流量比例特征检测的缓冲区、初始化流量分布特征检测的缓冲区、初始化黑白名单的缓冲区、初始化DoS攻击特征表的缓冲区;
预处理装置,包括捕获网络数据包,并进行协议解析;
检测装置,包括对阈值和流量比例特征进行检测,对源主机的身份进行认证,对流量分布特征进行检测,以及提取DoS攻击特征并放入DoS攻击特征表中;
过滤装置,包括根据黑名单进行过滤,根据白名单进行过滤,根据DoS攻击特征表进行过滤。
告警装置,向控制端的显示模块发送拒绝服务攻击的信息。
为了使本技术领域的人员更好地理解本发明,下面结合图3所示的流程图对本发明作进一步的详细说明。包括以下步骤:
步骤301:对流量信息的缓冲区进行初始化,为拒绝服务攻击的防御做准备工作;
步骤302:采用捕获器捕获网络数据包,并解析数据包头信息,包括源和目的IP地址、源和目的端口、TCP包的ACK、SYN和FIN标志位、UDP数据包、ICMP包的类型和代码字段,其中包括Echo、Replay和Unreach。
步骤303:根据黑白名单和DoS攻击特征表进行过滤,若源主机的IP地址在白名单中,则确认其为可信主机并放行,若源主机的IP地址在黑名单中,或网络数据包的特征在DoS攻击特征表中,则确认其为恶意主机并阻断和告警;
步骤304:计算出采集流量的时间点,为对网络流量进行随机抽样做准备工作;
步骤305:若是采样点,则采样并统计相应流量的大小,否则,放行;
步骤306:检查检测时间,若到了检测时间,则进行流量比例特征检测,否则,放行;
步骤307:若阈值和流量比例出现异常,则进行阈值和流量比例特征检测;
步骤308:若是拒绝服务或扫描攻击,则进行源主机认证,若该源主机存在,则认为其是DDoS攻击或扫描攻击,否则认为其是DoS攻击;
步骤309:对于DDoS攻击或扫描攻击,进行流量分布特征检测,若验证是DDoS攻击或扫描攻击,则将其放入黑名单,并阻断和告警,否则将其放入白名单并放行;
步骤310:对与DoS攻击,获取网络数据包中攻击的常量特征,并将其放入DoS攻击特征表中。
下面通过一个应用实例对图3的上述流程作进一步说明。
例如:设定捕获器捕获到的一个新的数据包的有关信息为
源IP地址:192.168.6.100 目的IP地址:218.25.41.110
源端口:1691 目的端口:80
SYN标志位:1,其余为0
设定白名单的源IP地址如下:
192.168.6.10 192.168.6.20 192.168.6.30
设定黑名单的源IP地址如下:
192.168.6.40 192.168.6.50 192.168.6.60
首先,解析出数据包的以上信息;然后检索源主机的黑白名单,192.168.6.100既不黑白名单中,也不在DoS攻击特征表中,则计算采样点,判断表明到了采样时间,取该流量为采样数据,将该数据包加到相应流量包个数统计变量中,并检查发现到了检测时间,则进行流量比例特征检测,阈值和比例异常,则进行阈值和流量比例特征检测,是拒绝服务或扫描攻击,则进行流量分布特征检测,并随后进行源主机认证,该源主机是存在的,但不是分布式拒绝服务攻击,则判断其是否是扫描攻击,结果是横向扫描攻击;最后将其放入黑名单并阻断和告警。
参照图4对本发明中源主机的状态机作详细说明:
一台源主机可以处于可疑状态、可信状态或恶意状态。当接收到一个网络流量时,该流量的源主机处于可疑状态,若该源主机存在且非DDoS和扫描,则进入可信状态,该源主机为可信主机,将该源主机的IP地址放入白名单中,当超时时,该源主机的状态转换为可疑状态;若该源主机不存在或源主机存在且是DDoS和扫描,则进入恶意状态,该源主机为恶意主机,将该源主机的IP地址放入黑名单中,当超时时,该源主机的状态转换为可疑状态。
下面通过一个应用实例对图4的上述流程作进一步说明。
接收到IP地址为192.168.6.100的SYN包,则其源主机处于可疑状态,经过身份认证表明,源主机存在且有横向扫描攻击行为,则其进入恶意状态,认为该源主机为恶意主机,将该源主机的IP地址放入黑名单中,并设置其状态超时的时间窗。
参照图5对本发明中流程作详细说明:
步骤501:计算源主机IP地址的散列值;
步骤502:以该散列值为索引查找黑白名单,若该源主机在黑名单中,并且不超时,则标记为恶意主机,若超时,则标记为可疑主机;若该源主机在白名单中,并且不超时,则标记为可信主机,若超时,则标记为可疑主机;若该源主机既不在黑名单中,也不在白名单中,则标记为可疑主机。
下面通过一个应用实例对图5的上述流程作进一步说明。
收到IP地址为192.168.6.100的SYN包,则其源主机处于可疑状态,计算的192.168.6.100散列值为41783,经查找可知,其在黑名单中,并且不超时,则标记为恶意主机。
参照图6对本发明中流程作详细说明:
当到达检测时间时,每次对缓冲区中1000个流量进行检测,检测步骤如下:
步骤601:计算SYN和SYN-ACK包的pps,并计算SYN-ACK与SYN包的比例,然后判断SYN包的pps是否大于阈值,并且SYN-ACK与SYN包的比例是否远小于1,若是,则标记为SYN攻击;
步骤602:若否,则计算RST包的pps以及RST与SYN包的比例,然后判断RST包的pps是否大于阈值,并且RST与SYN包的比例是否远大于0,若是,则标记为垂直扫描;
步骤603:若否,则计算FIN包的pps以及FIN与SYN-ACK包的比例,然后判断FIN包的pps是否大于阈值,并且FIN与SYN-ACK包的比例是否接近1,若是,则标记为半连接或连接攻击;
步骤604:若否,则计算ICMP-Reply与ICMP-Echo包的pps以及ICMP-Reply与ICMP-Echo包的比例,然后判断ICMP-Echo包的pps是否大于阈值,并且ICMP_Reply与ICMP-Echo包的比例是否远小于1,若是,则标记为ICMP攻击;
步骤605:若否,则计算ICMP-Unreach与UDP包的pps以及ICMP-Unreach与UDP包的比例,然后判断ICMP-Unreach包的pps是否大于阈值,并且ICMP-Unreach与UDP包的比例是否远小于1,若是,则标记为UDP攻击,若否,则标记为正常流量。
参照图7对本发明中流程作详细说明:
步骤701:计算源IP地址的散列值,使得能够在个数小于63356的缓冲区内管理源主机的信息;
步骤702:以计算得到的散列值为索引,赋源IP分布特征表中相应位置为1;
步骤703:统计分布特征表中的值并统计源IP包的个数;
步骤704:计算源IP分布特征个数与源IP包个数的比例,判断该比例是否接近1,若是,标记为发散,若否,标记为聚集;
步骤705:计算目的IP地址的散列值;
步骤706:赋目的IP分布特征表中相应位置为1;
步骤707:统计分布特征表中的值并统计源IP包的个数;
步骤708:计算目的IP分布特征个数与目的IP包个数的比例,若是,标记为发散,若否,标记为聚集;
步骤709:赋目的端口分布特征表中相应位置为1;
步骤710:统计分布特征表中的值并统计目的端口包的个数;
步骤711:计算目的端口分布特征个数与目的端口包个数的比例,若是,标记为发散,若否,标记为聚集,判断是否为DoS攻击,若是,标记为DoS攻击,若否,判断是否为横向扫描,若是标记为横向扫描,若否,判断是否为纵向扫描,若是标记为纵向扫描。
参照图8对本发明中流程作详细说明:
步骤801:读取计算cookie的秘密;
步骤802:计算cookie的值;
步骤803:将SYN-ACK包发送给SYN包的源主机,判断是否超时,若是,则标记该主机不存在;
步骤804:接收相应的ACK包;
步骤805:分析返回的cookie值,判断该cookie值是否SYN-ACK包中包含的cookie值,若是,则标记该主机存在,否则标记该主机不存在。
下面通过一个应用实例对图8的上述流程作进一步说明。
设定cookie的秘密为542332、984332和135726。cookie的值为874351,在超过6秒超时时间时,因此得出该主机不存在。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (7)
1、一种防御拒绝服务攻击的方法,其特征在于包括以下步骤:
A、预处理包括捕获和解析网络数据包;
B、黑白名单和DoS攻击特征表过滤;
C、阈值和流量比例特征检测;
D、源主机认证;
E、流量分布特征检测。
2、根据权利要求1所述的一种防御拒绝服务攻击的方法,其特征在于,所述步骤A包括:
A1、捕获网络数据包;
A2、解析网络数据包;
所述通过解析所获得的信息包括:TCP包的SYN、ACK、FIN标志位、UDP数据包、ICMP包的类型和代码字段,其中包括Echo、Replay和Unreach,以及相应的源和目的IP地址、源和目的端口。
3、根据权利要求1所述的一种防御拒绝服务攻击的方法,其特征在于,所述步骤B包括:
根据黑白名单和DoS攻击特征表中的信息进行过滤,对白名单中的可信源主机进行放行,对黑名单和DoS攻击特征表中恶意源主机进行阻断;
所述黑白名单和DoS攻击特征表中信息包括:可信和恶意源主机的IP地址、DoS攻击特征。
4、根据权利要求1所述的一种防御拒绝服务攻击的方法,其特征在于,所述步骤C包括:
C1、计算流量速率;
C2、进行流量速率和速率阈值的比较;
C3、对流量比例特征进行计算;
C4、进行阈值检测和流量比例特征检测的综合判断;
所述阈值和流量比例特征检测信息包括:流量速率的阈值大小、TCP的SYN、SYN-ACK、ACK、FIN-ACK包的流量及其速率、UDP的流量及其速率、ICMP的Echo、Replay和Unreach包的流量及其速率。
5、根据权利要求1所述的一种防御拒绝服务攻击的方法,其特征在于,所述步骤D包括:
对流量的源主机的身份进行认证,根据源主机认证状态机进行身份验证,将可信源主机保存到白名单中,将恶意源主机保存到黑名单和DoS攻击特征表中;
所述网络流量控制信息包括:源主机的IP地址、DoS攻击特征。
6、根据权利要求1所述的一种防御拒绝服务攻击的方法,其特征在于,所述步骤E包括:
对攻击的分布特征进行检测,首先统计出源和目的IP地址以及目的端口的分布情况,并统计它们的流量数量,然后计算出分布数与流量数量的比例;
所述网络流量动态检测信息包括:源和目的IP地址以及目的端口的分布情况信息,各个流量数量信息。
7、一种防御拒绝服务攻击的装置,其特征在于包括:
初始化装置,包括初始化阈值和流量比例特征检测的缓冲区、初始化流量分布特征检测的缓冲区、初始化黑白名单的缓冲区、初始化DoS攻击特征表的缓冲区;
预处理装置,包括捕获网络数据包,并进行协议解析;
检测装置,包括对阈值和流量比例特征进行检测,对源主机的身份进行认证,对流量分布特征进行检测,以及提取DoS攻击特征并放入DoS攻击特征表中;
过滤装置,包括根据黑名单进行过滤,根据白名单进行过滤,根据DoS攻击特征表进行过滤;
告警装置,向控制端的显示模块发送拒绝服务攻击的信息;
初始化装置对本装置中存储流量信息的缓冲区进行初始化,然后由预处理装置捕获和解析网络数据包,并由检测装置分别进行阈值和流量比例特征检测、源主机认证、以及流量分布特征检测,最后,由过滤装置根据黑白名单和DoS攻击特征表进行过滤,并由告警装置将攻击信息通知给用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810116857A CN101631026A (zh) | 2008-07-18 | 2008-07-18 | 一种防御拒绝服务攻击的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810116857A CN101631026A (zh) | 2008-07-18 | 2008-07-18 | 一种防御拒绝服务攻击的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101631026A true CN101631026A (zh) | 2010-01-20 |
Family
ID=41575987
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810116857A Pending CN101631026A (zh) | 2008-07-18 | 2008-07-18 | 一种防御拒绝服务攻击的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101631026A (zh) |
Cited By (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101873329A (zh) * | 2010-06-29 | 2010-10-27 | 迈普通信技术股份有限公司 | 一种Portal强制认证方法以及接入设备 |
| CN101902461A (zh) * | 2010-04-07 | 2010-12-01 | 北京星网锐捷网络技术有限公司 | 一种数据流内容过滤的方法及装置 |
| CN102291441A (zh) * | 2011-08-02 | 2011-12-21 | 杭州迪普科技有限公司 | 一种防范SYN Flood攻击的方法及安全代理装置 |
| CN102761500A (zh) * | 2011-04-26 | 2012-10-31 | 国基电子(上海)有限公司 | 防御网络钓鱼的网关及方法 |
| CN103095723A (zh) * | 2013-02-04 | 2013-05-08 | 中国科学院信息工程研究所 | 一种网络安全监控方法及系统 |
| CN103139246A (zh) * | 2011-11-25 | 2013-06-05 | 百度在线网络技术(北京)有限公司 | 负载均衡设备和负载均衡及防御方法 |
| CN103561048A (zh) * | 2013-09-02 | 2014-02-05 | 北京东土科技股份有限公司 | 一种确定tcp端口扫描的方法及装置 |
| CN103618730A (zh) * | 2013-12-04 | 2014-03-05 | 天津大学 | 一种基于积分策略的网站ddos攻击防御系统及方法 |
| CN103701793A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 服务器肉鸡的识别方法和装置 |
| CN103840971A (zh) * | 2014-02-18 | 2014-06-04 | 汉柏科技有限公司 | 一种对私有云病毒导致的云集群异常的处理方法及系统 |
| CN104361283A (zh) * | 2014-12-05 | 2015-02-18 | 网宿科技股份有限公司 | 防护Web攻击的方法 |
| CN104468631A (zh) * | 2014-12-31 | 2015-03-25 | 国家电网公司 | 基于ip终端异常流量及黑白名单库的网络入侵识别方法 |
| CN104506559A (zh) * | 2015-01-09 | 2015-04-08 | 重庆蓝岸通讯技术有限公司 | 一种基于Android系统的DDoS防御系统和方法 |
| CN104660459A (zh) * | 2015-01-15 | 2015-05-27 | 北京奥普维尔科技有限公司 | 基于fpga实现万兆以太网在线业务扫描的系统及方法 |
| CN105554016A (zh) * | 2015-12-31 | 2016-05-04 | 山石网科通信技术有限公司 | 网络攻击的处理方法和装置 |
| CN106131090A (zh) * | 2016-08-31 | 2016-11-16 | 北京力鼎创软科技有限公司 | 一种web认证下的用户访问网络的方法和系统 |
| CN106453242A (zh) * | 2016-08-29 | 2017-02-22 | 四川超腾达物联科技有限公司 | 一种网络安全防护系统 |
| CN106453421A (zh) * | 2016-12-08 | 2017-02-22 | 北京交通大学 | 融合LTE的智慧标识网络对服务篡改DoS攻击的协同防御方法 |
| CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御系统 |
| CN107465690A (zh) * | 2017-09-12 | 2017-12-12 | 国网湖南省电力公司 | 一种基于流量分析的被动式异常端口实时检测方法及系统 |
| CN108933731A (zh) * | 2017-05-22 | 2018-12-04 | 南京骏腾信息技术有限公司 | 基于大数据分析的智能网关 |
| CN110113336A (zh) * | 2019-05-06 | 2019-08-09 | 四川英得赛克科技有限公司 | 一种用于变电站网络环境的网络流量异常分析与识别方法 |
| WO2019178966A1 (zh) * | 2018-03-22 | 2019-09-26 | 平安科技(深圳)有限公司 | 抵抗网络攻击方法、装置、计算机设备及存储介质 |
| CN110352426A (zh) * | 2017-02-28 | 2019-10-18 | 松下知识产权经营株式会社 | 控制装置、住宅内设备以及程序 |
| CN110493230A (zh) * | 2019-08-21 | 2019-11-22 | 北京云端智度科技有限公司 | 一种基于网络流量应用层DDoS攻击检测方法 |
| CN110830494A (zh) * | 2019-11-14 | 2020-02-21 | 深信服科技股份有限公司 | 一种iot攻击防御方法、装置及电子设备和存储介质 |
| CN110858831A (zh) * | 2018-08-22 | 2020-03-03 | 阿里巴巴集团控股有限公司 | 安全防护方法、装置以及安全防护设备 |
| CN111107069A (zh) * | 2019-12-09 | 2020-05-05 | 烽火通信科技股份有限公司 | 一种DoS攻击防护方法及装置 |
| CN111241543A (zh) * | 2020-01-07 | 2020-06-05 | 中国搜索信息科技股份有限公司 | 一种应用层智能抵御DDoS攻击的方法及系统 |
| WO2020143119A1 (zh) * | 2019-01-08 | 2020-07-16 | 深圳大学 | 物联网DDoS攻击防御方法、装置、系统及存储介质 |
| CN112152895A (zh) * | 2020-09-02 | 2020-12-29 | 珠海格力电器股份有限公司 | 智能家居设备控制方法、装置、设备及计算机可读介质 |
| CN112260885A (zh) * | 2020-09-22 | 2021-01-22 | 武汉思普崚技术有限公司 | 一种工控协议自动测试方法、系统、装置及可读存储介质 |
| CN113179247A (zh) * | 2021-03-23 | 2021-07-27 | 杭州安恒信息技术股份有限公司 | 拒绝服务攻击防护方法、电子装置和存储介质 |
| CN113259366A (zh) * | 2021-05-27 | 2021-08-13 | 国网电力科学研究院有限公司 | 针对恶意攻击的信息与物理协同分析与防御系统 |
| CN113839912A (zh) * | 2020-06-24 | 2021-12-24 | 极客信安(北京)科技有限公司 | 主被动结合进行异常主机分析的方法、装置、介质和设备 |
| CN114006771A (zh) * | 2021-12-30 | 2022-02-01 | 北京微步在线科技有限公司 | 一种流量检测方法及装置 |
| CN115065397A (zh) * | 2022-05-18 | 2022-09-16 | 亚太卫星宽带通信(深圳)有限公司 | 无移动网络下的使用半开放卫星网络支付的系统及方法 |
-
2008
- 2008-07-18 CN CN200810116857A patent/CN101631026A/zh active Pending
Cited By (50)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902461A (zh) * | 2010-04-07 | 2010-12-01 | 北京星网锐捷网络技术有限公司 | 一种数据流内容过滤的方法及装置 |
| CN101902461B (zh) * | 2010-04-07 | 2013-01-30 | 北京星网锐捷网络技术有限公司 | 一种数据流内容过滤的方法及装置 |
| CN101873329A (zh) * | 2010-06-29 | 2010-10-27 | 迈普通信技术股份有限公司 | 一种Portal强制认证方法以及接入设备 |
| CN102761500A (zh) * | 2011-04-26 | 2012-10-31 | 国基电子(上海)有限公司 | 防御网络钓鱼的网关及方法 |
| CN102761500B (zh) * | 2011-04-26 | 2015-07-29 | 国基电子(上海)有限公司 | 防御网络钓鱼的网关及方法 |
| CN102291441A (zh) * | 2011-08-02 | 2011-12-21 | 杭州迪普科技有限公司 | 一种防范SYN Flood攻击的方法及安全代理装置 |
| CN102291441B (zh) * | 2011-08-02 | 2015-01-28 | 杭州迪普科技有限公司 | 一种防范SYN Flood攻击的方法及安全代理装置 |
| CN103139246A (zh) * | 2011-11-25 | 2013-06-05 | 百度在线网络技术(北京)有限公司 | 负载均衡设备和负载均衡及防御方法 |
| CN103139246B (zh) * | 2011-11-25 | 2016-06-15 | 百度在线网络技术(北京)有限公司 | 负载均衡设备和负载均衡及防御方法 |
| CN103095723A (zh) * | 2013-02-04 | 2013-05-08 | 中国科学院信息工程研究所 | 一种网络安全监控方法及系统 |
| CN103561048A (zh) * | 2013-09-02 | 2014-02-05 | 北京东土科技股份有限公司 | 一种确定tcp端口扫描的方法及装置 |
| CN103561048B (zh) * | 2013-09-02 | 2016-08-31 | 北京东土科技股份有限公司 | 一种确定tcp端口扫描的方法及装置 |
| CN103618730A (zh) * | 2013-12-04 | 2014-03-05 | 天津大学 | 一种基于积分策略的网站ddos攻击防御系统及方法 |
| CN103701793A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 服务器肉鸡的识别方法和装置 |
| CN103840971A (zh) * | 2014-02-18 | 2014-06-04 | 汉柏科技有限公司 | 一种对私有云病毒导致的云集群异常的处理方法及系统 |
| CN104361283B (zh) * | 2014-12-05 | 2018-05-18 | 网宿科技股份有限公司 | 防护Web攻击的方法 |
| CN104361283A (zh) * | 2014-12-05 | 2015-02-18 | 网宿科技股份有限公司 | 防护Web攻击的方法 |
| CN104468631A (zh) * | 2014-12-31 | 2015-03-25 | 国家电网公司 | 基于ip终端异常流量及黑白名单库的网络入侵识别方法 |
| CN104506559A (zh) * | 2015-01-09 | 2015-04-08 | 重庆蓝岸通讯技术有限公司 | 一种基于Android系统的DDoS防御系统和方法 |
| CN104506559B (zh) * | 2015-01-09 | 2018-01-23 | 重庆蓝岸通讯技术有限公司 | 一种基于Android系统的DDoS防御系统和方法 |
| CN104660459A (zh) * | 2015-01-15 | 2015-05-27 | 北京奥普维尔科技有限公司 | 基于fpga实现万兆以太网在线业务扫描的系统及方法 |
| CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御系统 |
| CN105554016A (zh) * | 2015-12-31 | 2016-05-04 | 山石网科通信技术有限公司 | 网络攻击的处理方法和装置 |
| CN106453242A (zh) * | 2016-08-29 | 2017-02-22 | 四川超腾达物联科技有限公司 | 一种网络安全防护系统 |
| CN106131090A (zh) * | 2016-08-31 | 2016-11-16 | 北京力鼎创软科技有限公司 | 一种web认证下的用户访问网络的方法和系统 |
| CN106453421A (zh) * | 2016-12-08 | 2017-02-22 | 北京交通大学 | 融合LTE的智慧标识网络对服务篡改DoS攻击的协同防御方法 |
| CN106453421B (zh) * | 2016-12-08 | 2019-08-16 | 北京交通大学 | 融合LTE的智慧标识网络对服务篡改DoS攻击的协同防御方法 |
| CN110352426A (zh) * | 2017-02-28 | 2019-10-18 | 松下知识产权经营株式会社 | 控制装置、住宅内设备以及程序 |
| CN108933731A (zh) * | 2017-05-22 | 2018-12-04 | 南京骏腾信息技术有限公司 | 基于大数据分析的智能网关 |
| CN108933731B (zh) * | 2017-05-22 | 2022-04-12 | 南京骏腾信息技术有限公司 | 基于大数据分析的智能网关 |
| CN107465690A (zh) * | 2017-09-12 | 2017-12-12 | 国网湖南省电力公司 | 一种基于流量分析的被动式异常端口实时检测方法及系统 |
| WO2019178966A1 (zh) * | 2018-03-22 | 2019-09-26 | 平安科技(深圳)有限公司 | 抵抗网络攻击方法、装置、计算机设备及存储介质 |
| CN110858831A (zh) * | 2018-08-22 | 2020-03-03 | 阿里巴巴集团控股有限公司 | 安全防护方法、装置以及安全防护设备 |
| WO2020143119A1 (zh) * | 2019-01-08 | 2020-07-16 | 深圳大学 | 物联网DDoS攻击防御方法、装置、系统及存储介质 |
| CN110113336A (zh) * | 2019-05-06 | 2019-08-09 | 四川英得赛克科技有限公司 | 一种用于变电站网络环境的网络流量异常分析与识别方法 |
| CN110493230A (zh) * | 2019-08-21 | 2019-11-22 | 北京云端智度科技有限公司 | 一种基于网络流量应用层DDoS攻击检测方法 |
| CN110830494A (zh) * | 2019-11-14 | 2020-02-21 | 深信服科技股份有限公司 | 一种iot攻击防御方法、装置及电子设备和存储介质 |
| CN111107069A (zh) * | 2019-12-09 | 2020-05-05 | 烽火通信科技股份有限公司 | 一种DoS攻击防护方法及装置 |
| CN111241543A (zh) * | 2020-01-07 | 2020-06-05 | 中国搜索信息科技股份有限公司 | 一种应用层智能抵御DDoS攻击的方法及系统 |
| CN113839912A (zh) * | 2020-06-24 | 2021-12-24 | 极客信安(北京)科技有限公司 | 主被动结合进行异常主机分析的方法、装置、介质和设备 |
| CN113839912B (zh) * | 2020-06-24 | 2023-08-22 | 极客信安(北京)科技有限公司 | 主被动结合进行异常主机分析的方法、装置、介质和设备 |
| CN112152895A (zh) * | 2020-09-02 | 2020-12-29 | 珠海格力电器股份有限公司 | 智能家居设备控制方法、装置、设备及计算机可读介质 |
| CN112260885A (zh) * | 2020-09-22 | 2021-01-22 | 武汉思普崚技术有限公司 | 一种工控协议自动测试方法、系统、装置及可读存储介质 |
| CN112260885B (zh) * | 2020-09-22 | 2022-06-24 | 武汉思普崚技术有限公司 | 一种工控协议自动测试方法、系统、装置及可读存储介质 |
| CN113179247A (zh) * | 2021-03-23 | 2021-07-27 | 杭州安恒信息技术股份有限公司 | 拒绝服务攻击防护方法、电子装置和存储介质 |
| CN113259366A (zh) * | 2021-05-27 | 2021-08-13 | 国网电力科学研究院有限公司 | 针对恶意攻击的信息与物理协同分析与防御系统 |
| CN113259366B (zh) * | 2021-05-27 | 2024-04-26 | 国网电力科学研究院有限公司 | 针对恶意攻击的信息与物理协同分析与防御系统 |
| CN114006771A (zh) * | 2021-12-30 | 2022-02-01 | 北京微步在线科技有限公司 | 一种流量检测方法及装置 |
| CN114006771B (zh) * | 2021-12-30 | 2022-03-29 | 北京微步在线科技有限公司 | 一种流量检测方法及装置 |
| CN115065397A (zh) * | 2022-05-18 | 2022-09-16 | 亚太卫星宽带通信(深圳)有限公司 | 无移动网络下的使用半开放卫星网络支付的系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101631026A (zh) | 一种防御拒绝服务攻击的方法及装置 | |
| US9060020B2 (en) | Adjusting DDoS protection based on traffic type | |
| US7478429B2 (en) | Network overload detection and mitigation system and method | |
| KR101111433B1 (ko) | 능동 네트워크 방어 시스템 및 방법 | |
| US8819821B2 (en) | Proactive test-based differentiation method and system to mitigate low rate DoS attacks | |
| US9141789B1 (en) | Mitigating denial of service attacks | |
| US8634717B2 (en) | DDoS attack detection and defense apparatus and method using packet data | |
| US7930740B2 (en) | System and method for detection and mitigation of distributed denial of service attacks | |
| US20140380457A1 (en) | Adjusting ddos protection | |
| CN108616488B (zh) | 一种攻击的防御方法及防御设备 | |
| EP2009864A1 (en) | Method and apparatus for attack prevention | |
| US8006303B1 (en) | System, method and program product for intrusion protection of a network | |
| Haris et al. | Detecting TCP SYN flood attack based on anomaly detection | |
| KR101209214B1 (ko) | 세션 상태 추적을 통한 서비스 거부 공격 방어 장치 및 방법 | |
| KR102501372B1 (ko) | Ai 기반 이상징후 침입 탐지 및 대응 시스템 | |
| JP2004140524A (ja) | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム | |
| Sawaya et al. | Detection of attackers in services using anomalous host behavior based on traffic flow statistics | |
| Kim et al. | A slow port scan attack detection mechanism based on fuzzy logic and a stepwise policy | |
| He et al. | Adaptive traffic sampling for P2P botnet detection | |
| CN113765849B (zh) | 一种异常网络流量检测方法和装置 | |
| Tritilanunt et al. | Entropy-based input-output traffic mode detection scheme for dos/ddos attacks | |
| Stanciu | Technologies, methodologies and challenges in network intrusion detection and prevention systems. | |
| US11997133B2 (en) | Algorithmically detecting malicious packets in DDoS attacks | |
| KR20110027386A (ko) | 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치, 시스템 및 방법 | |
| Patil et al. | Network intrusion detection and prevention techniques for DoS attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100120 |