[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

TWI657681B - 網路流分析方法及其相關系統 - Google Patents

網路流分析方法及其相關系統 Download PDF

Info

Publication number
TWI657681B
TWI657681B TW107105258A TW107105258A TWI657681B TW I657681 B TWI657681 B TW I657681B TW 107105258 A TW107105258 A TW 107105258A TW 107105258 A TW107105258 A TW 107105258A TW I657681 B TWI657681 B TW I657681B
Authority
TW
Taiwan
Prior art keywords
destination address
address
list
network flow
source address
Prior art date
Application number
TW107105258A
Other languages
English (en)
Other versions
TW201935896A (zh
Inventor
葉哲宏
黃建庭
林岳鋒
Original Assignee
愛迪爾資訊有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 愛迪爾資訊有限公司 filed Critical 愛迪爾資訊有限公司
Priority to TW107105258A priority Critical patent/TWI657681B/zh
Priority to CN201810306128.9A priority patent/CN110149300A/zh
Priority to US15/990,703 priority patent/US20190253438A1/en
Priority to IL260803A priority patent/IL260803A/en
Application granted granted Critical
Publication of TWI657681B publication Critical patent/TWI657681B/zh
Publication of TW201935896A publication Critical patent/TW201935896A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

一種網路流的分析方法,包含有擷取該網路流之一來源位址與一目的位址;判斷該目的位址是否符合一預設條件;以及於該目的位址不符合該預設條件時,判斷該來源位址是否在一白名單或該目的位址是否在一活動網址清單之中,以判斷該網路流是否屬於一攻擊行為。

Description

網路流分析方法及其相關系統
本發明係指一種網路流分析方法及其相關電腦系統,尤指一種辨識網路流種類的分析方法及其相關電腦系統。
隨著科技的發展與網路的進步,人們對網路的依賴也日漸增加,相對地,關於網路安全的問題也隨之產生。舉例來說,分散式阻斷(Distributed Denial of Service,DDoS)攻擊即為一種常見的網路攻擊事件,其透過發送大量請求服務要求的網路封包來攻擊伺服器或電腦主機,造成伺服器或電腦主機無法提供正常服務的運作,進而佔用資源、消耗頻寬甚至癱瘓網路系統等。然而,現行針對網路攻擊事件防護措施並不完善,並且網路攻擊事件通常為隨機且無法預測的。因此,當事件發生時,應變時程可能長達數十分鐘甚至數小時,而損害網路安全。如此一來,必須針對網路流進行分析,以即時地過濾可疑的網路流,進而有效地防止網路攻擊事件的產生。此外,現有針對網路流分析的技術需要較長時間才能完成分析網路流的程序,而無法即時過濾可疑的網路流。
因此,如何有效解決上述問題,以即時且有效率地提供網路流的分析方法,進而提高網路的防護效率,便成為此技術領域的重要課題之一。
因此,本發明提供一種網路流分析方法及其相關電腦系統,以有效率地分析網路流,進而有效防止網路攻擊事件。
本發明揭露一種網路流(network flow)的分析方法,包含有擷取該網路流之一來源位址與一目的位址;判斷該目的位址是否符合一預設條件;以及於該目的位址不符合該預設條件時,判斷該目的來源位址是否在一白名單或該目的位址是否在一活動網址清單之中,以判斷該網路流是否屬於一攻擊行為。
本發明另揭露一種電腦系統,包含有至少一路由器,用來決定一網路流的一路徑;一搜集器,用來搜集該網路流的該路徑的一目的位址及一來源位址;以及一分析器,用來擷取該網路流之該來源位址與該目的位址,判斷該目的位址是否符合一預設條件,以及於該目的位址不符合該預設條件時,判斷該來源位址是否在一白名單或該目的位址是否在一活動網址清單之中,以判斷該網路流是否屬於一攻擊行為。
10‧‧‧電腦系統
102‧‧‧路由器
104‧‧‧搜集器
106‧‧‧分析器
20、30、40‧‧‧流程
202~210、302~316、402~414‧‧‧步驟
第1圖為本發明實施例之一電腦系統之示意圖。
第2圖至第4圖為本發明實施例之一分析流程之示意圖。
請參考第1圖,第1圖為本發明實施例之一電腦系統10之示意圖。電腦系統10包含有複數個路由器102、一搜集器104及一分析器106。電腦系統10可 用來分析一網路流,以針對網路流進行偵測、辨識、分類或封鎖等步驟,進而判斷網路流是否屬於一攻擊行為,並於確定網路流屬於攻擊行為時,通知一維運人員(Operator)或一應用程式介面(Application Program Interface,API)呼叫應用交付控制器將服務自動導轉至特殊機群與呼叫路由器調整路由表,避免網路遭受攻擊。路由器102用來決定網路流的一路徑,搜集器104用來匯聚或搜集關於網路流路徑的一目的位址及一來源位址,以及分析器106用來擷取網路流之目的位址,並據以判斷目的位址是否符合一預設條件,以於目的位址符合預設條件時,判斷來源位址是否在一白名單或目的位址是否在一活動網址清單之中,進而確定攻擊行為是否持續進行。
詳細來說,請參考第2圖,第2圖為本發明實施例之一分析流程20之示意圖。分析流程20可應用於電腦系統10,進而針對網路流進行偵測、分類及分析等步驟,分析流程20包含下列步驟:
步驟202:開始。
步驟204:擷取網路流之來源位址及目的位址。
步驟206:判斷目的位址是否符合預設條件。
步驟208:於目的位址不符合預設條件時,判斷來源位址是否在白名單中或目的網址是否在活動網址清單中,以判斷網路流是否屬於攻擊行為。
步驟210:結束。
根據分析流程20,電腦系統10可根據網路流的目的位址,確定網路流是否屬於攻擊行為。首先,在步驟204中,電腦系統10的分析器106擷取搜集器104所搜集的網路流的目的位址,以於步驟206根據目的位址判斷是否符合預設條件。在一實施例中,預設條件可以是電腦系統10接收來自同一目的位址的 每秒封包數、單位時間內連線數或位元數是否超過一閾值(threshold)。因此,當分析器106檢測到傳送到同一目的位址的每秒封包數、單位時間內連線數或位元數超過預先設定的閾值時,可發出一警告並通知一控制端。此外,當目的位址不符合預設條件時,於步驟208,則進一步判斷來源位址是否在白名單或目的位址是否在活動網址清單之中,以確定網路流是否屬於攻擊行為。在此例中,控制端可以是維運人員。此外,當目的位址符合預設條件時,則將網路流留存於一資料庫備查。值得注意的是,針對每一種預設條件的閾值皆可根據電腦系統或維運人員的需求調整,例如,可設定傳送至同一目的位址的每秒封包數超過100MB時,即發出警告,或者,傳送至同一目的位址的位元數超過1GB等預設條件,不限於此,皆適用於本發明。
上述範例僅概略性地說明本發明之電腦系統,透過判斷網路流的目的位址是否符合預設條件,以判斷網路流是否屬於攻擊事件,進而預先採取措施以避免網路遭受攻擊。需注意的是,本領域具通常知識者可根據不同系統需求適當設計電腦系統,舉例來說,以一或多個預設條件判斷網路流是否屬於攻擊事件,或者,以其他網路流所包含的指標作為判斷的依據,而不限於此,皆屬本發明之範疇。
在一實施例中,當網路流的目的位址不符合預設條件時,分析器106可進一步判斷其來源位址是否在白名單或其目的位址是否在活動網址清單,以執行對應的措施。請參考第3圖,第3圖為本發明實施例之另一分析流程30之示意圖。分析流程30包含下列步驟:
步驟302:開始。
步驟304:判斷來源位址是否在白名單之中。若是,執行步驟306;若否,執行 步驟308。
步驟306:當來源位址在白名單之中,通知控制端以排除狀況。
步驟308:根據一查表方式確定目的位址之一服務網域(Service Domain),以即時分析對應於服務網域之一訪問日誌(Access Log)。
步驟310:判斷目的位址是否在活動網址清單之中。若是,執行步驟312;若否,執行步驟314。
步驟312:當目的位址在活動網址清單之中,透過應用程式介面呼叫應用交付控制器將服務自動導轉至特殊機群與呼叫路由器調整路由表。
步驟314:當活動網址清單不包含目的位址時,透過應用程式介面聯絡一防護設備,以啟動旁路清洗流程。
步驟316:結束。
根據分析流程30,電腦系統10可根據網路流的來源位址是否在白名單或目地位址是否在活動網址清單之中,以執行對應的措施。首先,於步驟304中,分析器106判斷來源位址是否在白名單之中。當來源位址確實在白名單之中時,則執行步驟306,以通知控制端以排除狀況。相反地,則執行步驟308,以查表方式確定目的位址之服務網域,以即時分析對應於服務網域之訪問日誌。也就是說,透過即時分析服務網域的訪問日誌,來判斷該服務網域所提供的網路流是否為可疑的網路流。接著,於步驟310中,判斷目的位址是否在活動網址清單中。若目的位址包含於活動網址清單中,則執行步驟312,透過應用程式介面呼叫應用交付控制器將服務自動導轉至特殊機群與呼叫路由器調整路由表。反之,當活動網址清單不包含目的位址時,則執行步驟314,以透過應用程式介面聯絡防護設備,以啟動旁路清洗流程。具體而言,旁路清洗流程係將網路流導入一流量清洗系統過濾掉攻擊封包後,再將網路流導回伺服器。如此一來, 電腦系統10根據分析流程30,可針對屬於攻擊行為的網路流進行清洗,以避免網路持續遭受攻擊行為。
由上述可知,根據分析流程20及30,電腦系統10可對網路流進行偵測、辨識、判斷分類等步驟,以即時地判斷網路流是否屬於攻擊行為,進而啟動旁路清洗流程,以避免電腦系統10遭受攻擊。在另一實施例中,當分析器106於啟動旁路清洗流程以過濾網路流中的攻擊封包後,仍可持續觀察攻擊行為是否持續。請參考第4圖,第4圖為本發明實施例之另一分析流程40之示意圖。分析流程40包含下列步驟:
步驟402:開始。
步驟404:確定攻擊行為是否持續進行。若是,則執行步驟408;若否,則執行步驟406。
步驟406:將網路流留存於資料庫備查。
步驟408:透過應用程式介面聯絡路由器102將網路流調整為一防駭路由。
步驟410:觀察攻擊行為是否持續進行。若是,則執行步驟412;若否,則執行步驟406。
步驟412:透過應用程式介面聯絡路由器102,將攻擊流量導至黑洞路由後,執行步驟406。
步驟414:結束。
電腦系統10可根據分析流程40進一步針對旁路清洗流程的網路流進行分析。於步驟404中,先確定攻擊行為是否持續。若沒有遭受到攻擊,則執行步驟406,將網路流留存於資料庫備查;相反地,若攻擊行為仍持續進行,則執行步驟408以透過應用程式介面聯絡路由器102將網路流調整為防駭路由,也就 是說,將網路流的路徑調整至防駭路由的路徑,以避免持續遭受攻擊。接著,於步驟410中,觀察攻擊行為是否持續,以於持續遭受攻擊時,透過應用程式介面聯絡路由器102丟棄網路流,或者,將攻擊流量導至黑洞路由(Black Hole Route)。
需注意的是,前述實施例係用以說明本發明之精神,本領域具通常知識者當可據以做適當之修飾,而不限於此。根據不同應用及設計理念,網路流的分析方法及電腦系統可以各式各樣的方式實現。相較於前述以網路流的目的位址進行分析,在另一實施例中,也可針對網路流的來源位址進行分析。舉例來說,分析器106可根據網路流的來源位址,以判斷網路流是否存在於一不良IP信譽評等清單(IP Reputation List)之中,以於來源位址存在於任一不良IP信譽評等清單時,透過應用程式介面將網路流導向一誘捕系統(HoneyPot System),或者,當來源位址不存在於任一不良IP信譽評等清單時,將該來源位址與目的位址留存於資料庫備查,而不限於此,皆屬本發明之範疇。
綜上所述,本發明提供一種網路流分析方法及其相關電腦系統,根據網路流的多個指標即時地分析網路流,以採取防護步驟,進而有效防止網路攻擊事件及提高網路安全。
以上所述僅為本發明之較佳實施例,凡依本發明申請專利範圍所做之均等變化與修飾,皆應屬本發明之涵蓋範圍。

Claims (12)

  1. 一種網路流(network flow)的分析方法,包含有:擷取該網路流之一來源位址與一目的位址;判斷該目的位址是否符合一預設條件;以及於該目的位址不符合該預設條件時,判斷該來源位址是否在一白名單或該目的位址是否在一活動網址清單之中,以判斷該網路流是否屬於一攻擊行為;其中,於該目的位址符合該預設條件時,判斷該來源位址是否在該白名單或該目的位址是否在該活動網址清單之中的步驟包含:當該來源位址在該白名單之中,通知該控制端以排除狀況;以及當該白名單不包含該來源位址時,確認該目的位址是否在該活動網址清單之中,根據一查表方式確定該目的位址之一服務網域,以即時分析對應於該服務網域之一訪問日誌。
  2. 如請求項1所述之分析方法,其另包含:判斷該來源位址是否存在於任一不良IP信譽評等清單之中;於確定該來源位址存在於該任一不良IP信譽評等清單時,透過一應用程式介面將該網路流導向一誘捕系統;以及當該來源位址不存在於該任一不良IP信譽評等清單時,將該來源位址與該目的位址留存於一資料庫備查。
  3. 如請求項1所述之分析方法,其中該預設條件為該目的位址所接收之一每秒封包數、一單位時間內連線數或一位元數超過一閾值。
  4. 如請求項3所述之分析方法,其另包含當該目的位址所接收之該每秒封包數、該單位時間內連線數或該位元數超過該閾值時,發出一警告以通知一控制端。
  5. 如請求項1所述之分析方法,其中當該白名單不包含該來源位址時,確認該目的位址是否在該活動網址清單之中的步驟包含:當該目的位址在該活動網址清單之中,透過一應用程式介面呼叫一應用交付控制器(ApplicationDeliveryController,ADC)將服務自動導轉至一特殊機群與呼叫路由器調整路由表;以及當該活動網址清單不包含該目的位址時,透過該應用程式介面聯絡一防護設備,以啟動一旁路清洗流程。
  6. 如請求項5所述之分析方法,其中當該活動網址清單不包含該目的位址時,透過該應用程式介面聯絡該防護設備,以啟動該旁路清洗流程的步驟包含:判斷攻擊行為是否持續,以透過該應用程式介面聯絡一路由器將該網路流調整為一防駭路由,或者透過該應用程式介面聯絡該路由器丟棄該網路流;以及當該攻擊行為未持續進行時,將該來源位址與目的位址留存於一資料庫備查。
  7. 一種電腦系統,包含有:至少一路由器,用來決定一網路流的一路徑;一搜集器,用來搜集該網路流的該路徑的一目的位址及一來源位址;以及一分析器,用來擷取該網路流之該來源位址與該目的位址,判斷該目的位址是否符合一預設條件,以及於該目的位址不符合該預設條件時,判斷該來源位址是否在一白名單或該目的位址是否在一活動網址清單之中,以判斷該網路流是否屬於一攻擊行為;其中,於該目的位址符合該預設條件時,判斷該來源位址是否在該白名單或該目的位址是否在該活動網址清單之中的步驟包含:當該來源位址在該白名單之中,通知該控制端以排除狀況;以及當該白名單不包含該來源位址時,確認該目的位址是否在該活動網址清單之中,根據一查表方式確定該目的位址之一服務網域,以即時分析對應於該服務網域之一訪問日誌。
  8. 如請求項7所述之電腦系統,其中該分析器用來判斷該來源位址是否存在於任一不良IP信譽評等清單,以於確定該來源位址存在於該任一不良IP信譽評等清單時,透過一應用程式介面將該網路流導向一誘捕系統,以及當該來源位址不存在於該任一不良IP信譽評等清單時,將該來源位址與目的位址留存於一資料庫備查。
  9. 如請求項7所述之電腦系統,其中該預設條件為該目的位址所接收之一每秒封包數、一單位時間內連線數或一位元數超過一閾值。
  10. 如請求項9所述之電腦系統,其中該分析器另用來當該目的位址所接收之該每秒封包數、該單位時間內連線數或該位元數超過該閾值時,發出一警告以通知一控制端。
  11. 如請求項7所述之電腦系統,其中當該白名單不包含該來源位址時,該分析器另用來:當該目的位址在該活動網址清單之中,透過一應用程式介面呼叫一應用交付控制器將服務自動導轉至一特殊機群與呼叫路由器調整路由表;以及當該活動網址清單不包含該目的位址時,透過該應用程式介面聯絡一防護設備,以啟動一旁路清洗流程。
  12. 如請求項11所述之電腦系統,其中當該活動網址清單不包含該目的位址時,該分析器另用來:判斷攻擊行為是否持續,以透過該應用程式介面聯絡該複數個路由器之其中之一將該網路調整為一防駭路由,或者透過該應用程式介面聯絡該複數個路由器之其中之一丟棄該網路流;以及當該攻擊行為未持續進行時,將該來源位址與目的位址留存於一資料庫備查。
TW107105258A 2018-02-13 2018-02-13 網路流分析方法及其相關系統 TWI657681B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
TW107105258A TWI657681B (zh) 2018-02-13 2018-02-13 網路流分析方法及其相關系統
CN201810306128.9A CN110149300A (zh) 2018-02-13 2018-04-08 网络流分析方法及其相关系统
US15/990,703 US20190253438A1 (en) 2018-02-13 2018-05-28 Analysis Method for Network Flow and System
IL260803A IL260803A (en) 2018-02-13 2018-07-26 Analysis method for network flow and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW107105258A TWI657681B (zh) 2018-02-13 2018-02-13 網路流分析方法及其相關系統

Publications (2)

Publication Number Publication Date
TWI657681B true TWI657681B (zh) 2019-04-21
TW201935896A TW201935896A (zh) 2019-09-01

Family

ID=66624342

Family Applications (1)

Application Number Title Priority Date Filing Date
TW107105258A TWI657681B (zh) 2018-02-13 2018-02-13 網路流分析方法及其相關系統

Country Status (4)

Country Link
US (1) US20190253438A1 (zh)
CN (1) CN110149300A (zh)
IL (1) IL260803A (zh)
TW (1) TWI657681B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI736457B (zh) * 2020-10-27 2021-08-11 財團法人資訊工業策進會 動態網路特徵處理裝置以及動態網路特徵處理方法

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111585984B (zh) * 2020-04-24 2021-10-26 清华大学 面向分组全生存周期的去中心化安全保障方法及装置
US12074875B2 (en) * 2022-01-31 2024-08-27 Sap Se Domain-specific access management using IP filtering
CN115118500B (zh) * 2022-06-28 2023-11-07 深信服科技股份有限公司 攻击行为规则获取方法、装置及电子设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120151583A1 (en) * 2010-12-13 2012-06-14 Electronics And Telecommunications Research Institute Ddos attack detection and defense apparatus and method
CN104580222A (zh) * 2015-01-12 2015-04-29 山东大学 基于信息熵的DDoS攻击分布式检测与响应系统及方法
US20170223052A1 (en) * 2016-01-29 2017-08-03 Sophos Limited Honeypot network services

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0022485D0 (en) * 2000-09-13 2000-11-01 Apl Financial Services Oversea Monitoring network activity
US6983380B2 (en) * 2001-02-06 2006-01-03 Networks Associates Technology, Inc. Automatically generating valid behavior specifications for intrusion detection
US20040103314A1 (en) * 2002-11-27 2004-05-27 Liston Thomas F. System and method for network intrusion prevention
US7383578B2 (en) * 2002-12-31 2008-06-03 International Business Machines Corporation Method and system for morphing honeypot
US7426634B2 (en) * 2003-04-22 2008-09-16 Intruguard Devices, Inc. Method and apparatus for rate based denial of service attack detection and prevention
US7526807B2 (en) * 2003-11-26 2009-04-28 Alcatel-Lucent Usa Inc. Distributed architecture for statistical overload control against distributed denial of service attacks
US7657735B2 (en) * 2004-08-19 2010-02-02 At&T Corp System and method for monitoring network traffic
US8949986B2 (en) * 2006-12-29 2015-02-03 Intel Corporation Network security elements using endpoint resources
US8181250B2 (en) * 2008-06-30 2012-05-15 Microsoft Corporation Personalized honeypot for detecting information leaks and security breaches
US10146989B2 (en) * 2009-09-09 2018-12-04 Htc Corporation Methods for controlling a hand-held electronic device and hand-held electronic device utilizing the same
KR101077135B1 (ko) * 2009-10-22 2011-10-26 한국인터넷진흥원 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치
EP2712145A1 (en) * 2010-09-24 2014-03-26 VeriSign, Inc. IP prioritization and scoring system for DDOS detection and mitigation
RU2444056C1 (ru) * 2010-11-01 2012-02-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ ускорения решения проблем за счет накопления статистической информации
CN102291411B (zh) * 2011-08-18 2013-11-06 网宿科技股份有限公司 针对dns服务的防ddos攻击方法和系统
US8781093B1 (en) * 2012-04-18 2014-07-15 Google Inc. Reputation based message analysis
US20140096229A1 (en) * 2012-09-28 2014-04-03 Juniper Networks, Inc. Virtual honeypot
US9350758B1 (en) * 2013-09-27 2016-05-24 Emc Corporation Distributed denial of service (DDoS) honeypots
US9503894B2 (en) * 2014-03-07 2016-11-22 Cellco Partnership Symbiotic biometric security
US9667656B2 (en) * 2015-03-30 2017-05-30 Amazon Technologies, Inc. Networking flow logs for multi-tenant environments
CN105141604B (zh) * 2015-08-19 2019-03-08 国家电网公司 一种基于可信业务流的网络安全威胁检测方法及系统
CN107454043A (zh) * 2016-05-31 2017-12-08 阿里巴巴集团控股有限公司 一种网络攻击的监控方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120151583A1 (en) * 2010-12-13 2012-06-14 Electronics And Telecommunications Research Institute Ddos attack detection and defense apparatus and method
CN104580222A (zh) * 2015-01-12 2015-04-29 山东大学 基于信息熵的DDoS攻击分布式检测与响应系统及方法
US20170223052A1 (en) * 2016-01-29 2017-08-03 Sophos Limited Honeypot network services

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI736457B (zh) * 2020-10-27 2021-08-11 財團法人資訊工業策進會 動態網路特徵處理裝置以及動態網路特徵處理方法

Also Published As

Publication number Publication date
CN110149300A (zh) 2019-08-20
IL260803A (en) 2019-01-31
US20190253438A1 (en) 2019-08-15
TW201935896A (zh) 2019-09-01

Similar Documents

Publication Publication Date Title
US8089871B2 (en) Method and apparatus for traffic control of dynamic denial of service attacks within a communications network
US8001601B2 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
US7624447B1 (en) Using threshold lists for worm detection
US7870611B2 (en) System method and apparatus for service attack detection on a network
CN108040057B (zh) 适于保障网络安全、网络通信质量的sdn系统的工作方法
TWI657681B (zh) 網路流分析方法及其相關系統
TWI294726B (zh)
US8156557B2 (en) Protection against reflection distributed denial of service attacks
JP4827972B2 (ja) ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
US20110035801A1 (en) Method, network device, and network system for defending distributed denial of service attack
KR101424490B1 (ko) 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법
US11005865B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
US10911473B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
US20110138463A1 (en) Method and system for ddos traffic detection and traffic mitigation using flow statistics
RU2480937C2 (ru) Система и способ уменьшения ложных срабатываний при определении сетевой атаки
WO2022088405A1 (zh) 一种网络安全防护方法、装置及系统
TWI492090B (zh) 分散式阻斷攻擊防護系統及其方法
KR101042291B1 (ko) 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법
Cheng et al. Detecting and mitigating a sophisticated interest flooding attack in NDN from the network-wide view
JP2004328307A (ja) 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法
JP2006350561A (ja) 攻撃検出装置
Hariri et al. Quality-of-protection (QoP)-an online monitoring and self-protection mechanism
WO2024159901A1 (zh) 网络攻击的防御方法、网元设备及计算机可读存储介质
JP2006067078A (ja) ネットワークシステムおよび攻撃防御方法
KR101466895B1 (ko) VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체