公开(公告)号：CN101465864B

公开(公告)日：2012-09-05

申请号：CN200910076368.5

申请日：2009-01-14

Applicant: 中国科学院计算技术研究所

Inventor： 肖军 ,  张永铮 ,  云晓春 ,  戴磊

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明涉及一种带宽消耗随机伪造源地址攻击的过滤方法和系统，方法包括：步骤1，配置高低权重队列转发数据包的比例和数据包类型集合；步骤2，接收数据包，判断所述数据包的类型是否被包括在所述数据包类型集合中，如果是，则执行步骤3，否则，所述数据包进入低权重队列；所述步骤3，判断所述数据包的源地址是否合法，如果是，则所述数据包进入高权重队列，否则，所述数据包进入低权重队列；步骤4，在当前存在攻击时，按所述比例转发所述低权重队列和所述高权重队列中的数据包，在当前不存在攻击时，转发所述高权重队列中数据包。本发明能够以较低的计算开销和存储开销为代价进行带宽消耗随机伪造源地址攻击的过滤，并能应用于多种协议。

公开(公告)号：CN101465855A

公开(公告)日：2009-06-24

申请号：CN200810247440.1

申请日：2008-12-31

Applicant: 中国科学院计算技术研究所

Inventor： 肖军 ,  张永铮 ,  云晓春 ,  戴磊

IPC: H04L29/06

Abstract: 本发明涉及一种同步泛洪攻击的过滤方法及系统，方法包括：步骤1，配置高低权重队列转发数据包的比例；步骤2，接收数据包，确定当前状态，判断当前状态是否为正常状态，如果是，则数据包进入高权重队列，否则，执行步骤3；步骤3，根据数据包的类型，用于记录连接的连接状态表和用于记录合法IP地址的合法地址表，判断数据包是否合法，如果是，则数据包进入高权重队列，否则，数据包进入低权重队列；并更新连接状态表和合法地址表；步骤4，在当前状态为正常状态时，转发高权重队列中数据包，在当前状态为攻击状态时，按比列转发低权重队列和高权重队列中的数据包。本发明能够有效缓解、过滤和防御针对网络信息系统的大规模同步泛洪攻击。

公开(公告)号：CN101316268A

公开(公告)日：2008-12-03

申请号：CN200810116178.7

申请日：2008-07-04

Applicant: 中国科学院计算技术研究所

Inventor： 戴磊 ,  云晓春 ,  肖军

IPC: H04L29/06 ,  H04L12/26 ,  H04L12/24

Abstract: 本发明公开了一种异常流的检测方法及系统。该方法包括：捕获网络中的IP分组，采集其中满足预设条件的SYN分组，并提取所述SYN分组的地址信息作为数据项，组成数据项集合；挖掘所述数据项集合中预设时间内频繁出现的数据项作为频繁项，记录所述频繁项所对应的地址信息，并根据该频繁项定位行为异常的流；还包括：对所述频繁项进行熵值计算，为网络异常情况的评估提供依据。其能够在只使用少量计算存储资源的前提下，快速识别网络中试图频繁建立连接的流，可以帮助实现异常流的按需监控，减轻网络监控负担。

公开(公告)号：CN101465855B

公开(公告)日：2011-11-23

申请号：CN200810247440.1

申请日：2008-12-31

Applicant: 中国科学院计算技术研究所

Inventor： 肖军 ,  张永铮 ,  云晓春 ,  戴磊

IPC: H04L29/06

Abstract: 本发明涉及一种同步泛洪攻击的过滤方法及系统，方法包括：步骤1，配置高低权重队列转发数据包的比例；步骤2，接收数据包，确定当前状态，判断当前状态是否为正常状态，如果是，则数据包进入高权重队列，否则，执行步骤3；步骤3，根据数据包的类型，用于记录连接的连接状态表和用于记录合法IP地址的合法地址表，判断数据包是否合法，如果是，则数据包进入高权重队列，否则，数据包进入低权重队列；并更新连接状态表和合法地址表；步骤4，在当前状态为正常状态时，转发高权重队列中数据包，在当前状态为攻击状态时，按比列转发低权重队列和高权重队列中的数据包。本发明能够有效缓解、过滤和防御针对网络信息系统的大规模同步泛洪攻击。

公开(公告)号：CN101465864A

公开(公告)日：2009-06-24

申请号：CN200910076368.5

申请日：2009-01-14

Applicant: 中国科学院计算技术研究所

Inventor： 肖军 ,  张永铮 ,  云晓春 ,  戴磊

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明涉及一种带宽消耗随机伪造源地址攻击的过滤方法和系统，方法包括：步骤1，配置高低权重队列转发数据包的比例和数据包类型集合；步骤2，接收数据包，判断所述数据包的类型是否被包括在所述数据包类型集合中，如果是，则执行步骤3，否则，所述数据包进入低权重队列；所述步骤3，判断所述数据包的源地址是否合法，如果是，则所述数据包进入高权重队列，否则，所述数据包进入低权重队列；步骤4，在当前存在攻击时，按所述比例转发所述低权重队列和所述高权重队列中的数据包，在当前不存在攻击时，转发所述高权重队列中数据包。本发明能够以较低的计算开销和存储开销为代价进行带宽消耗随机伪造源地址攻击的过滤，并能应用于多种协议。

公开(公告)号：CN101316268B

公开(公告)日：2011-12-14

申请号：CN200810116178.7

申请日：2008-07-04

Applicant: 中国科学院计算技术研究所

Inventor： 戴磊 ,  云晓春 ,  肖军

IPC: H04L29/06 ,  H04L12/26 ,  H04L12/24

Abstract: 本发明公开了一种异常流的检测方法及系统。该方法包括：捕获网络中的IP分组，采集其中满足预设条件的SYN分组，并提取所述SYN分组的地址信息作为数据项，组成数据项集合；挖掘所述数据项集合中预设时间内频繁出现的数据项作为频繁项，记录所述频繁项所对应的地址信息，并根据该频繁项定位行为异常的流；还包括：对所述频繁项进行熵值计算，为网络异常情况的评估提供依据。其能够在只使用少量计算存储资源的前提下，快速识别网络中试图频繁建立连接的流，可以帮助实现异常流的按需监控，减轻网络监控负担。