CN106953833A - 一种DDoS攻击检测系统 - Google Patents
一种DDoS攻击检测系统 Download PDFInfo
- Publication number
- CN106953833A CN106953833A CN201610009340.XA CN201610009340A CN106953833A CN 106953833 A CN106953833 A CN 106953833A CN 201610009340 A CN201610009340 A CN 201610009340A CN 106953833 A CN106953833 A CN 106953833A
- Authority
- CN
- China
- Prior art keywords
- attack
- flood
- tcp
- data
- ssl
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种综合了DoS(拒绝服务)和DDoS(分布式拒绝服务)两类安全攻击的一体化检测系统:TCP攻击监测通过分析TCP三次握手的连接过程可以识别DoS攻击(即SYN Flood少量源攻击),TCP异常检测通过全流量分析客户端和服务器端的流量和连接性能,识别SYN Flood巨量源攻击检测和Tsunami流量攻击检测;UDP攻击检测包括NTP反射放大型攻击检测和DNS反射放大型攻击检测;HTTPS攻击检测包括SSL Flood检测、SSL Alert检测和SSL重协商检测;HTTP攻击检测包括Slow loris检测、Get Flood检测、Slow post检测和Hash Dos检测。本发明能识别出骨干网络中的攻击流,过滤掉攻击者发送的流量,防止其对目的主机造成危害。
Description
技术领域
本发明涉及网络安全技术,尤其涉及一种DDoS攻击检测系统。
背景技术
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是一种通过发送大量数据包使得计算机或网络无法提供正常服务的攻击形式。它可能在短时间内耗尽所有可用的网络资源或被攻击对象的系统资源,使得合法的用户请求无法通过或被处理,从而阻碍网络中的正常通信,给被攻击者乃至网络带来巨大的危害。
在防御DDoS攻击时,通常由旁路网络监控设备根据当前的网络流量检测是否受到DDoS攻击。具体通过旁路网络监控设备对网络流量进行采样,将采样结果与当前阈值进行比较,若超出该对应当前时刻的预测流量则确定检测到DDoS攻击。
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是一种隐蔽的拒绝服务攻击,攻击中的数据包来自不同的攻击源。与DoS攻击相比,DDoS攻击在单条链路上的流量更小,难以被网络设备检测,因而更易于形成。另一放面,DDoS攻击汇聚后的异常流量总量很大,极具破坏力。目前,国内外已对网络中的DDoS攻击检测进行了大量研究,提出了很多方法。然而,这些方法大部分是基于一般的用户网络的,适用于骨干网中DDoS攻击检测的方法很少。现有的DDoS攻击检测方法按照数据源的不同主要可以分为两类:基于包信息的检测方法和基于网络流量特征的检测方法。以下对这两种方法进行简要介绍:
基于包信息的检测方法通过分析数据包中的特定信息或是用户日志等,建立判定规则,并根据实际的流量数据和这些规则的匹配关系来检测DoS/DDoS攻击。例如,在文献“S.E.Smaha,Haystack:An Intrusion Detection System.Proc,IEEE Fourth AerospaceComputer Security Applications Conference,Orlando,FL,Dec.1988”提出的基于主机日志分析的统计方法通过对主机日志数据的分析,利用统计理论提取用户或系统正常行为的活动数据,从而建立起系统主体(单个用户、一组用户、主机甚至系统中某个关键程序和文件等)的正常行为特征。之后,若检测到系统中的日志数据与已建立的系统主体正常行为特征有较大出入,则认为系统可能遭到了攻击。这一类的检测方法检测粒度很细,其检测准确度也很高,并且能够追溯攻击源,在一般用户网络中的效果很好。然而,由于骨干网中的流量巨大,使用这种方法将耗费大量的时间,无法保证检测的实时性。
基于网络流量特征的检测方法对网络中的流进行分析,提取出流数据中的一些特征,与攻击发生时的数据特征相对照,从而判断是否发生了攻击。例如,Cheng等人在文献“Chen-Mou Cheng,Kung,H.T.,Koan-Sin Tan,Use of spectralanalysis in defenseagainst DoS attacks.Global TelecommunicationsConference,2002”用一条流在定长的时隙内到达的数据包数作为信号,估算其功率谱密度,从中观察其周期性,基于正常的TCP流在其往返时间内在两个放向都会表现出较强的周期性这一性质来判断是否出现了攻击;P.Barford等人在文献“P.Barford,J.Lline,D.Plonka,A.Ron,A Signal Analysisof Network TrafficAnomalies.In Proceedings,ACM SIGCOMM Internet MeasurementWorkshop,2002”首先对网络流量进行小波分析,区分出背景流量和异常流量,而后根据异常持续时间和信号频率的不同采用不同的放式来检测攻击。这类方法的检测粒度相对较粗,效率较高,可以做到实时检测,但使用这类方法难以准确识别出攻击流,并找出攻击者的确切IP地址,以便对攻击流进行过滤。其次,这类检测方法的准确度普遍不高,经常出现漏检。
发明内容
本发明的目的在于:针对现有技术中存在的上述技术问题,提供一种DDoS攻击检测系统。
本发明是通过以下技术放案实现的:一种DDoS攻击检测系统,包括TCP攻击检测、UDP攻击检测、HTTPS攻击检测和HTTP攻击检测;
TCP攻击检测和UDP攻击检测都通过与基线数据对比,检测出异常服务器,然后特定的规则检测出具体的DDOS攻击,如果未识别出具体的DDOS攻击,获取出当前异常服务器TOPN的源地址信息;
TCP攻击检测包括TCP异常检测和SYN Flood少量源攻击,TCP异常检测针对流量和连接;TCP异常检测包括SYN Flood巨量源攻击检测和Tsunami流量攻击检测;
UDP攻击检测包括NTP反射放大型攻击检测和DNS反射放大型攻击检测;
HTTPS攻击检测包括SSL Flood检测、SSL Alert检测和SSL重协商检测;
HTTP攻击检测包括Slowloris检测、Get Flood检测、Slow post检测和HashDos检测。
进一步,所述基线数据的设计步骤如下:
(1)基线学习时间可配置;
(2)基线指标包含流量和连接数;
(3)异常数据不作为基线数据,此时会将基线数据的平均值作为本次数据节点,放入到基线库中;
(4)实际的基线数据的颗粒量必须大于整个学习时间颗粒量的30%,否则不进行异常判断。
TCP攻击检测的异常检测是阀值和基线组合判断的结果即:先通过当前数据与基线数据比较,然后再根据阀值进行定量的比较;在初步检测出服务器异常后,再判断当前超时连接数占当前总的连接数比例超过指定阀值,即认为服务器有异常;
所述的Tsunami流量攻击检测为在检测出服务器异常后,查询TCP建连过程中超时中INPKT包长在[950,1050]范围的所有的连接,获取的TCP连接数占当前总TCP的连接超过30%,即为Tsunami流量攻击;所述的SYN Flood巨量源攻击检测在检测出服务器异常后,查询TCP建链过程中超时中源IP地址的个数占连接数预设百分比,并且当前超时的连接数超过预设阀值,满足所述条件即认为是SYN Flood巨量源攻击;所述的SYN Flood少量源攻击为按源IP统计服务器中半连接状态的连接数,超过预设阈值则认为该服务器受到特定客户的SYNFlood攻击。
所述UDP攻击检测的异常检测方法是阀值和基线组合判断的结果即:先通过当前数据与基线数据比较,然后再根据阀值进行定量的比较,如果满足上述条件,即认为服务器有异常。
所述的DNS反射放大型攻击检测为在测出UDP服务器流量异常后,统计该服务器DNS的流量信息,如果当前DNS流量占UDP流量超过预设百分比,并且如果出流量为空,或入流量超过出流量预设倍数,即认为DNS反射攻击检测。
所述的NTP反射放大型攻击检测为在测出UDP服务器流量异常后,查询NTP的流量信息,如果当前NTP流量占UDP流量超过预设百分比,并且如果出流量为空,或入流量超过出流量的预设倍数,即认为NTP反射攻击。
所述的SlowPost检测为协议分析模块在接收POST数据时,POST请求包个数超过阈值,并且消息体长度小于指定阀值,则输出攻击识别数据到攻击检测模块,攻击检测模块按源IP统计服务器下的SlowPost类型数据输出次数,每分钟超过预定阈值,则认为SlowPost攻击;
所述的SlowLoris检测为协议分析模块在接收到HTTP请求时,一次HTTP请求中请求头的包个数超过阈值,并且请求头长度小于指定阀值,则输出攻击识别数据到攻击检测模块,攻击检测模块按源IP统计服务器下的SlowLoris类型数据输出次数,每分钟超过预定阈值,则认为SlowLoris攻击;
所述的Hash Dos检测为协议分析模块在接收到HTTP请求时,解析URL或POST数据或Cookie时,查看类似A=B&A=C,搜索‘=’字符个数,如果超过阈值1,则输出攻击识别数据到攻击检测模块,如果超过阈值2,则输出攻击检测数据后不再进行检测。攻击检测模块按源IP统计服务器下的HashDos类型数据输出次数,每分钟超过预定阈值,则认为Hash Dos攻击;
所述的Get Flood检测为攻击检测模块按照源IP统计服务器下Get请求的连接数,超过阈值则认为Get Flood攻击。
所述的SSL Flood检测为攻击检测模块过滤目的端口为443的TCP连接,按照源IP统计服务器下的TCP连接数,如果一分钟的连接数超过预设阈值,则认为SSL Flood攻击;
所述的SSL Alert检测为攻击检测模块过滤Alert触发的SSL的数据,按照源IP统计服务器下的SSL连接数,如果超过预设阈值,则认为SSL Alert攻击;
所述的SSL重协商检测为协议分析模块统计重协商次数,超过指定阈值,则输出检测数据至攻击检测模块,攻击检测模块过滤重协商触发的SSL的数据,按照源IP统计服务器下的SSL连接数,如果超过预设阈值,则认为SSL重协商攻击。
综上所述,由于采用了上述技术放案,本发明的有益效果是:本发明的方法首先从网络流数据中提取需要的流量特征参数,通过分析流量特征参数确定异常时间点并构建历史时间窗,然后找出异常时间点流量最大的前N个目的IP,通过分析历史时间窗内包含各选出目的IP的子流确定异常目的IP,最后确认攻击并识别出异常流。本发明的方法有别于传统的逐包分析的方法,适应了骨干网络流量巨大的特点,能满足骨干网络异常检测的实时性要求,能较为精确的检测出骨干网络中的DDoS攻击,能识别出骨干网络中的攻击流,找出攻击者的确切IP,从而使网络管理者能够及时地在路由器进行设置,过滤掉攻击者发送的流量,防止其对目的主机造成危害。
附图说明
本发明将通过例子并参照附图的放式说明,其中:
图1为本发明的系统示意图;
图2为本发明的识别模型示意图;
图3为本发明的按攻击类型展示示意图;
图4为本发明的攻击记录列表示意图。
具体实施放式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何放式组合。
本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
如图1和2所示的,一种DDoS攻击检测系统,其特征在于:包括TCP攻击检测、UDP攻击检测、HTTPS攻击检测和HTTP攻击检测;
TCP攻击检测和UDP攻击检测都通过与基线数据对比,检测出异常服务器,然后特定的规则检测出具体的DDOS攻击,如果未识别出具体的DDOS攻击,获取出当前异常服务器TOPN的源地址信息;
TCP攻击检测包括TCP异常检测和SYN Flood少量源攻击,TCP异常检测针对流量和连接;TCP异常检测包括SYN Flood巨量源攻击检测和Tsunami流量攻击检测;
UDP攻击检测包括NTP反射放大型攻击检测和DNS反射放大型攻击检测;
HTTPS攻击检测包括SSL Flood检测、SSL Alert检测和SSL重协商检测;
HTTP攻击检测包括Slowloris检测、Get Flood检测、Slow post检测和HashDos检测。
具体地,所述基线数据的设计步骤如下:
(1)基线学习时间可配置,默认为1小时(可配置);
(2)基线指标包含流量和连接数(flow);
(3)异常数据不作为基线数据,此时会将基线数据的平均值作为本次数据节点,放入到基线库中;
(4)实际的基线数据的颗粒量必须大于整个学习时间颗粒量的30%,否则不进行异常判断。
具体地,TCP攻击检测的异常检测是阀值和基线组合判断的结果即:先通过当前数据与基线数据比较(比如超过基线的N倍,可配置),然后再根据阀值进行定量的比较;在初步检测出服务器异常后,再判断当前超时连接数占当前总的连接数比例超过指定阀值,默认为30%(可配置),即认为服务器有异常;
具体地,所述的Tsunami流量攻击检测为在检测出服务器异常后,查询TCP建连过程中超时中INPKT包长在[950,1050]范围的所有的连接,获取的TCP连接数占当前总TCP的连接超过30%;
所述的SYN Flood巨量源攻击检测在检测出服务器异常后,查询TCP建连过程中超时中源IP地址的个数占连接数预设百分比,并且当前超时的连接数超过阀值如10000(可配置),满足所述条件即认为是SYN Flood巨量源攻击;
所述的SYN Flood少量源攻击为按源IP统计服务器中半连接状态的连接数,超过阈值(如1000/s)则认为该服务器受到特定客户的SYN Flood攻击。
如图2所示的,所述UDP攻击检测的异常检测方法是阀值和基线组合判断的结果即:先通过当前数据与基线数据比较,然后再根据阀值进行定量的比较,如果满足上述条件,即认为服务器有异常。
具体地,所述的DNS反射放大型攻击检测为在测出UDP服务器流量异常后,统计该服务器DNS的流量信息(端口53),如果当前DNS流量占UDP流量超过30%(可配置),并且如果出流量为空,或入流量超过出流量的30倍(可配置),即认为DNS反射攻击检测。
具体地,所述的NTP反射放大型攻击检测为在测出UDP服务器流量异常后,查询NTP的流量信息(端口123),如果当前NTP流量占UDP流量超过预设百分比,并且如果出流量为空,或入流量超过出流量的30倍(可配置),即认为NTP反射攻击。
具体地,所述的SlowPost检测为协议分析模块在接收POST数据时,POST请求包个数超过阈值(如30),并且消息体长度小于指定阀值,则输出攻击识别数据到攻击检测模块,攻击检测模块按源IP统计服务器下的SlowPost类型数据输出次数,每分钟超过预定阈值(如10),则认为SlowPost攻击;
所述的SlowLoris检测为协议分析模块在接收到HTTP请求时,一次HTTP请求中请求头的包个数超过阈值(如50),并且请求头长度小于指定阀值,则输出攻击识别数据到攻击检测模块,攻击检测模块按源IP统计服务器下的SlowLoris类型数据输出次数,每分钟超过预定阈值(如10),则认为SlowLoris攻击;
所述的Hash Dos检测为协议分析模块在接收到HTTP请求时,解析URL或POST数据或Cookie时,查看类似A=B&A=C,搜索‘=’字符个数,如果超过阈值1(如50),则输出攻击识别数据到攻击检测模块,如果超过阈值2(如70),则输出攻击检测数据后不再进行检测。攻击检测模块按源IP统计服务器下的HashDos类型数据输出次数,每分钟超过预定阈值(如10),则认为Hash Dos攻击;
所述的Get Flood检测为攻击检测模块按照源IP统计服务器下Get请求的连接数,超过阈值(如5000)则认为Get Flood攻击。
具体地,所述的SSL Flood检测为攻击检测模块过滤目的端口为443的TCP连接,按照源IP统计服务器下的TCP连接数,如果一分钟的连接数超过预设阈值(如1000),则认为SSL Flood攻击;
所述的SSL Alert检测为攻击检测模块过滤Alert触发的SSL的数据,按照源IP统计服务器下的SSL连接数,如果超过预设阈值(如1000),则认为SSL Alert攻击;
所述的SSL重协商检测为协议分析模块统计重协商次数,超过指定阈值(如15),则输出检测数据至攻击检测模块,攻击检测模块过滤重协商触发的SSL的数据,按照源IP统计服务器下的SSL连接数,如果超过预设阈值(如10),则认为SSL重协商攻击。
如图3所示的按攻击类型展示,1)饼图显示每种攻击类型的5分钟(可选)的攻击次数,2)曲线图显示每种攻击类型特定时间段的攻击次数趋势曲线图。
如图4所示的攻击记录列表,1)攻击事件列表罗列每一次攻击的记录信息:主要包含时间,受攻击服务器,攻击类型等信息;2)详细子页面,罗列特定攻击的服务器下客户端信息包含源IP,连接数,报数等;
SYN Flood巨量源地址攻击不输出源IP地址信息,使用HTTPS模块代替SSL模块(专为SSL攻击使用),影响:如果没有密钥,SSL重协商攻击识别不了,攻击记录信息结果信息存入数据库(如Mongo),利于后期页面灵活展示,服务器流量等基线数据存入数据库(如Mongo),利于后期基线数据统计,而且程序退出,基线数据不会丢失,页面增加基于服务器的攻击类型统计页面。
以上所述的具体实施例,对本发明的目的、技术放案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限制本发明。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
Claims (9)
1.一种DDoS攻击检测系统,其特征在于:包括TCP攻击检测、UDP攻击检测、HTTPS攻击检测和HTTP攻击检测;
TCP攻击检测和UDP攻击检测都通过与基线数据对比,检测出异常服务器,然后特定的规则检测出具体的DDOS攻击,如果未识别出具体的DDOS攻击,获取出当前异常服务器TOPN的源地址信息;
TCP攻击检测包括TCP异常检测和SYN Flood少量源攻击,TCP异常检测针对流量和连接;TCP异常检测包括SYN Flood巨量源攻击检测和Tsunami流量攻击检测;
UDP攻击检测包括NTP反射放大型攻击检测和DNS反射放大型攻击检测;
HTTPS攻击检测包括SSL Flood检测、SSL Alert检测和SSL重协商检测;
HTTP攻击检测包括Slowloris检测、Get Flood检测、Slow post检测和HashDos检测。
2.根据权利要求1所述的DDoS攻击检测系统,其特征在于,所述基线数据的设计步骤如下:
(1)基线学习时间可配置;
(2)基线指标包含流量和连接数;
(3)异常数据不作为基线数据,此时会将基线数据的平均值作为本次数据节点,放入到基线库中;
(4)实际的基线数据的颗粒量必须大于整个学习时间颗粒量的30%,否则不进行异常判断。
3.根据权利要求1所述的DDoS攻击检测系统,其特征在于,TCP攻击检测的异常检测是阀值和基线组合判断的结果即:先通过当前数据与基线数据比较,然后再根据阀值进行定量的比较;在初步检测出服务器异常后,再判断当前超时连接数占当前总的连接数比例超过指定阀值,即认为服务器有异常。
4.根据权利要求1所述的DDoS攻击检测系统,其特征在于,所述的Tsunami流量攻击检测为在检测出服务器异常后,查询TCP建连过程中超时中INPKT包长在[950,1050]范围的所有的连接,获取的TCP连接数占当前总TCP的连接超过30%,即为Tsunami流量攻击;所述的SYN Flood巨量源攻击检测在检测出服务器异常后,查询TCP建链过程中超时中源IP地址的个数占连接数预设百分比,并且当前超时的连接数超过预设阀值,满足所述条件即认为是SYN Flood巨量源攻击;所述的SYN Flood少量源攻击为按源IP统计服务器中半连接状态的连接数,超过预设阈值则认为该服务器受到DOS类型的SYN Flood攻击。
5.根据权利要求1所述的DDoS攻击检测系统,其特征在于,所述UDP攻击检测的异常检测方法是阀值和基线组合判断的结果,即先通过当前数据与基线数据比较,然后再根据阀值进行定量的比较,如果满足上述条件,即认为服务器有异常。
6.根据权利要求1所述的DDoS攻击检测系统,其特征在于,所述的DNS反射放大型攻击检测为在测出UDP服务器流量异常后,统计该服务器DNS的流量信息,如果当前DNS流量占UDP流量超过预设百分比,并且如果出流量为空,或入流量超过出流量预设倍数,即认为DNS反射攻击检测。
7.根据权利要求1所述的DDoS攻击检测系统,其特征在于,所述的NTP反射放大型攻击检测为在测出UDP服务器流量异常后,查询NTP的流量信息,如果当前NTP流量占UDP流量超过预设百分比,并且如果出流量为空,或入流量超过出流量的预设倍数,即认为NTP反射攻击。
8.根据权利要求1所述的DDoS攻击检测系统,其特征在于,所述的SlowPost检测为协议分析模块在接收POST数据时,POST请求包个数超过阈值,并且消息体长度小于指定阀值,则输出攻击识别数据到攻击检测模块,攻击检测模块按源IP统计服务器下的SlowPost类型数据输出次数,每分钟超过预定阈值,则认为SlowPost攻击;
所述的SlowLoris检测为协议分析模块在接收到HTTP请求时,一次HTTP请求中请求头的包个数超过阈值,并且请求头长度小于指定阀值,则输出攻击识别数据到攻击检测模块,攻击检测模块按源IP统计服务器下的SlowLoris类型数据输出次数,每分钟超过预定阈值,则认为slowLoris攻击;
所述的Hash Dos检测为协议分析模块在接收到HTTP请求时,解析URL或POST数据或Cookie时,查看类似A=B&A=C,搜索‘=’字符个数,如果超过阈值1,则输出攻击识别数据到攻击检测模块,如果超过阈值2,则输出攻击检测数据后不再进行检测。攻击检测模块按源IP统计服务器下的HashDos类型数据输出次数,每分钟超过预定阈值,则认为Hash Dos攻击;
所述的Get Flood检测为攻击检测模块按照源IP统计服务器下Get请求的连接数,超过阈值则认为Get Flood攻击。
9.根据权利要求1所述的DDoS攻击检测系统,其特征在于,所述的SSL Flood检测为攻击检测模块过滤目的端口为443的TCP连接,按照源IP统计服务器下的TCP连接数,如果一分钟的连接数超过预设阈值;
所述的SSL Alert检测为攻击检测模块过滤Alert触发的SSL的数据,按照源IP统计服务器下的SSL连接数,如果超过预设阈值,则认为SSL Flood攻击;
所述SSL重协商检测为协议分析模块统计重协商次数,超过指定阈值,则输出检测数据至攻击检测模块,攻击检测模块过滤重协商触发的SSL的数据,按照源IP统计服务器下的SSL连接数,如果超过预设阈值,则认为SSL重协商攻击。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610009340.XA CN106953833A (zh) | 2016-01-07 | 2016-01-07 | 一种DDoS攻击检测系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610009340.XA CN106953833A (zh) | 2016-01-07 | 2016-01-07 | 一种DDoS攻击检测系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106953833A true CN106953833A (zh) | 2017-07-14 |
Family
ID=59465304
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610009340.XA Pending CN106953833A (zh) | 2016-01-07 | 2016-01-07 | 一种DDoS攻击检测系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106953833A (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107438074A (zh) * | 2017-08-08 | 2017-12-05 | 北京神州绿盟信息安全科技股份有限公司 | 一种DDoS攻击的防护方法及装置 |
| CN108334774A (zh) * | 2018-01-24 | 2018-07-27 | 中国银联股份有限公司 | 一种检测攻击的方法、第一服务器及第二服务器 |
| CN108737447A (zh) * | 2018-06-22 | 2018-11-02 | 腾讯科技(深圳)有限公司 | 用户数据报协议流量过滤方法、装置、服务器及存储介质 |
| CN109194680A (zh) * | 2018-09-27 | 2019-01-11 | 腾讯科技(深圳)有限公司 | 一种网络攻击识别方法、装置及设备 |
| CN110311925A (zh) * | 2019-07-30 | 2019-10-08 | 百度在线网络技术(北京)有限公司 | DDoS反射型攻击的检测方法及装置、计算机设备与可读介质 |
| CN110602021A (zh) * | 2018-06-12 | 2019-12-20 | 蓝盾信息安全技术有限公司 | 一种基于http请求行为与业务流程相结合的安全风险值评估方法 |
| CN111181932A (zh) * | 2019-12-18 | 2020-05-19 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
| CN112202791A (zh) * | 2020-09-28 | 2021-01-08 | 湖南大学 | 一种基于p-f的软件定义网络慢速拒绝服务攻击检测方法 |
| CN112333174A (zh) * | 2020-10-29 | 2021-02-05 | 杭州光通天下网络科技有限公司 | 一种反射型DDos的IP扫描探测系统 |
| CN112583850A (zh) * | 2020-12-27 | 2021-03-30 | 杭州迪普科技股份有限公司 | 网络攻击防护方法、装置及系统 |
| CN114257452A (zh) * | 2021-12-24 | 2022-03-29 | 中国人民解放军战略支援部队信息工程大学 | 基于流量分析发现未知udp反射放大攻击的方法 |
| CN114491517A (zh) * | 2022-01-27 | 2022-05-13 | 中国农业银行股份有限公司 | 一种防止攻击方法、装置、设备及存储介质 |
| CN114503518A (zh) * | 2019-11-28 | 2022-05-13 | 住友电气工业株式会社 | 检测装置、车辆、检测方法及检测程序 |
| CN114553543A (zh) * | 2022-02-23 | 2022-05-27 | 安天科技集团股份有限公司 | 一种网络攻击检测方法、硬件芯片及电子设备 |
| CN115150108A (zh) * | 2021-03-17 | 2022-10-04 | 腾讯科技(深圳)有限公司 | 面向DDoS防护系统的流量监控方法、设备及介质 |
| CN117014232A (zh) * | 2023-10-07 | 2023-11-07 | 创云融达信息技术(天津)股份有限公司 | 一种拒绝服务攻击的防御方法、装置、设备和介质 |
| CN117997644A (zh) * | 2024-03-13 | 2024-05-07 | 渤海大学 | 一种用于分布式拒绝服务攻击的监控检测系统 |
| US12388844B2 (en) | 2020-12-16 | 2025-08-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Detecting a TCP session hijacking attack |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1750536A (zh) * | 2004-09-14 | 2006-03-22 | 国际商业机器公司 | 管理拒绝服务攻击的方法和系统 |
| CN102271068A (zh) * | 2011-09-06 | 2011-12-07 | 电子科技大学 | 一种dos/ddos攻击检测方法 |
| US20140189867A1 (en) * | 2013-01-02 | 2014-07-03 | Electronics And Telecommunications Research Institute | DDoS ATTACK PROCESSING APPARATUS AND METHOD IN OPENFLOW SWITCH |
| CN104348811A (zh) * | 2013-08-05 | 2015-02-11 | 深圳市腾讯计算机系统有限公司 | 分布式拒绝服务攻击检测方法及装置 |
| CN104378358A (zh) * | 2014-10-23 | 2015-02-25 | 河北省电力建设调整试验所 | 一种基于服务器日志的HTTP Get Flood攻击防护方法 |
| CN106034105A (zh) * | 2015-03-09 | 2016-10-19 | 国家计算机网络与信息安全管理中心 | OpenFlow交换机及处理DDoS攻击的方法 |
-
2016
- 2016-01-07 CN CN201610009340.XA patent/CN106953833A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1750536A (zh) * | 2004-09-14 | 2006-03-22 | 国际商业机器公司 | 管理拒绝服务攻击的方法和系统 |
| CN102271068A (zh) * | 2011-09-06 | 2011-12-07 | 电子科技大学 | 一种dos/ddos攻击检测方法 |
| US20140189867A1 (en) * | 2013-01-02 | 2014-07-03 | Electronics And Telecommunications Research Institute | DDoS ATTACK PROCESSING APPARATUS AND METHOD IN OPENFLOW SWITCH |
| CN104348811A (zh) * | 2013-08-05 | 2015-02-11 | 深圳市腾讯计算机系统有限公司 | 分布式拒绝服务攻击检测方法及装置 |
| CN104378358A (zh) * | 2014-10-23 | 2015-02-25 | 河北省电力建设调整试验所 | 一种基于服务器日志的HTTP Get Flood攻击防护方法 |
| CN106034105A (zh) * | 2015-03-09 | 2016-10-19 | 国家计算机网络与信息安全管理中心 | OpenFlow交换机及处理DDoS攻击的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 鲍旭华 著: "《破坏之王 DDoS攻击与防范深度剖析》", 30 April 2014 * |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107438074A (zh) * | 2017-08-08 | 2017-12-05 | 北京神州绿盟信息安全科技股份有限公司 | 一种DDoS攻击的防护方法及装置 |
| CN108334774A (zh) * | 2018-01-24 | 2018-07-27 | 中国银联股份有限公司 | 一种检测攻击的方法、第一服务器及第二服务器 |
| CN110602021A (zh) * | 2018-06-12 | 2019-12-20 | 蓝盾信息安全技术有限公司 | 一种基于http请求行为与业务流程相结合的安全风险值评估方法 |
| CN108737447A (zh) * | 2018-06-22 | 2018-11-02 | 腾讯科技(深圳)有限公司 | 用户数据报协议流量过滤方法、装置、服务器及存储介质 |
| CN108737447B (zh) * | 2018-06-22 | 2020-07-17 | 腾讯科技(深圳)有限公司 | 用户数据报协议流量过滤方法、装置、服务器及存储介质 |
| CN109194680A (zh) * | 2018-09-27 | 2019-01-11 | 腾讯科技(深圳)有限公司 | 一种网络攻击识别方法、装置及设备 |
| CN109194680B (zh) * | 2018-09-27 | 2021-02-12 | 腾讯科技(深圳)有限公司 | 一种网络攻击识别方法、装置及设备 |
| CN110311925A (zh) * | 2019-07-30 | 2019-10-08 | 百度在线网络技术(北京)有限公司 | DDoS反射型攻击的检测方法及装置、计算机设备与可读介质 |
| CN114503518B (zh) * | 2019-11-28 | 2024-01-12 | 住友电气工业株式会社 | 检测装置、车辆、检测方法及检测程序 |
| CN114503518A (zh) * | 2019-11-28 | 2022-05-13 | 住友电气工业株式会社 | 检测装置、车辆、检测方法及检测程序 |
| CN111181932A (zh) * | 2019-12-18 | 2020-05-19 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
| CN111181932B (zh) * | 2019-12-18 | 2022-09-27 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
| CN112202791A (zh) * | 2020-09-28 | 2021-01-08 | 湖南大学 | 一种基于p-f的软件定义网络慢速拒绝服务攻击检测方法 |
| CN112333174B (zh) * | 2020-10-29 | 2022-08-23 | 杭州光通天下网络科技有限公司 | 一种反射型DDos的IP扫描探测系统 |
| CN112333174A (zh) * | 2020-10-29 | 2021-02-05 | 杭州光通天下网络科技有限公司 | 一种反射型DDos的IP扫描探测系统 |
| US12388844B2 (en) | 2020-12-16 | 2025-08-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Detecting a TCP session hijacking attack |
| CN112583850A (zh) * | 2020-12-27 | 2021-03-30 | 杭州迪普科技股份有限公司 | 网络攻击防护方法、装置及系统 |
| CN112583850B (zh) * | 2020-12-27 | 2023-02-24 | 杭州迪普科技股份有限公司 | 网络攻击防护方法、装置及系统 |
| CN115150108A (zh) * | 2021-03-17 | 2022-10-04 | 腾讯科技(深圳)有限公司 | 面向DDoS防护系统的流量监控方法、设备及介质 |
| CN114257452B (zh) * | 2021-12-24 | 2023-06-23 | 中国人民解放军战略支援部队信息工程大学 | 基于流量分析发现未知udp反射放大攻击的方法 |
| CN114257452A (zh) * | 2021-12-24 | 2022-03-29 | 中国人民解放军战略支援部队信息工程大学 | 基于流量分析发现未知udp反射放大攻击的方法 |
| CN114491517A (zh) * | 2022-01-27 | 2022-05-13 | 中国农业银行股份有限公司 | 一种防止攻击方法、装置、设备及存储介质 |
| CN114553543A (zh) * | 2022-02-23 | 2022-05-27 | 安天科技集团股份有限公司 | 一种网络攻击检测方法、硬件芯片及电子设备 |
| CN117014232A (zh) * | 2023-10-07 | 2023-11-07 | 创云融达信息技术(天津)股份有限公司 | 一种拒绝服务攻击的防御方法、装置、设备和介质 |
| CN117014232B (zh) * | 2023-10-07 | 2024-01-26 | 创云融达信息技术(天津)股份有限公司 | 一种拒绝服务攻击的防御方法、装置、设备和介质 |
| CN117997644A (zh) * | 2024-03-13 | 2024-05-07 | 渤海大学 | 一种用于分布式拒绝服务攻击的监控检测系统 |
| CN117997644B (zh) * | 2024-03-13 | 2024-09-24 | 渤海大学 | 一种用于分布式拒绝服务攻击的监控检测系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106953833A (zh) | 一种DDoS攻击检测系统 | |
| CN105027510B (zh) | 网络监视装置和网络监视方法 | |
| CN104937886B (zh) | 日志分析装置、信息处理方法 | |
| Yegneswaran et al. | Using honeynets for internet situational awareness | |
| US11316878B2 (en) | System and method for malware detection | |
| US8205259B2 (en) | Adaptive behavioral intrusion detection systems and methods | |
| Bilge et al. | Disclosure: detecting botnet command and control servers through large-scale netflow analysis | |
| EP2241072B1 (en) | Method of detecting anomalies in a communication system using numerical packet features | |
| US7512980B2 (en) | Packet sampling flow-based detection of network intrusions | |
| US10637885B2 (en) | DoS detection configuration | |
| US20030188189A1 (en) | Multi-level and multi-platform intrusion detection and response system | |
| US20050182950A1 (en) | Network security system and method | |
| Paredes-Oliva et al. | Practical anomaly detection based on classifying frequent traffic patterns | |
| CN107360118B (zh) | 一种高级持续威胁攻击防护方法及装置 | |
| CN105812200B (zh) | 异常行为检测方法及装置 | |
| Aiello et al. | A similarity based approach for application DoS attacks detection | |
| CN120263505A (zh) | 面向全量数据中心的流量异常检测与网络安全加固方法 | |
| Aslan | Using machine learning techniques to detect attacks in computer networks | |
| Abudalfa et al. | Evaluating performance of supervised learning techniques for developing real-time intrusion detection system | |
| Shomura et al. | Analyzing the number of varieties in frequently found flows | |
| Vaidya et al. | Intrusion detection system | |
| CN120811785B (zh) | 网络资产风险识别方法和系统 | |
| Ramaki et al. | Enhancement intrusion detection using alert correlation in co-operative intrusion detection systems | |
| CN113194087A (zh) | 一种用于不同信息域的安全风险高强度监测系统 | |
| Clementschitsch | Flowbreaker: Enriched Descriptions of Network Traffic Captures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170714 |
|
| WD01 | Invention patent application deemed withdrawn after publication |