專利名稱:降質攻擊檢測及防御方法、檢測設備及接入設備的制作方法
技術領域:
本發明涉及網絡上的降質攻擊防御,特別涉及網絡上的降質攻擊檢測及防御方 法、檢測設備及接入設備。
背景技術:
關于R0Q(Reduce of Quality,降質)攻擊,國際上最通用的說法就是 Low-rateDoS(Denial of Service,拒絕月艮務)或者是 Low-rate DDoS(Distributed Denialof Service,分布式拒絕服務),指的是一種針對于自適應系統的攻擊。攻擊最重要的是針對TCP (Transmission Control Protocol,傳輸控制協議)擁塞 控制的攻擊。TCP擁塞控制本來是一種有效的避免鏈路擁塞的方法,其最本質的原理是發送 端根據鏈路擁塞情況動態地調整發送報文的速率。在鏈路暢通的時候,發送端增大發送報 文的速率;反之,當鏈路擁塞的時候,發送端降低發送報文的速率,以此來避免和緩解鏈路 的擁塞。擁塞控制 是一種非常有效的提高系統性能的機制,但是卻給攻擊提供了一種可能。 RoQ攻擊就是利用了發送端在鏈路擁塞時降低發送報文速率的特點,周期性發送瞬時高速 報文流,迫使系統反復處于不穩態到穩態的恢復過程中,從而造成系統性能的急劇下降。這種攻擊可以由一個攻擊源發起,也可以由多個攻擊源聯合發起(稱為DDoS)。圖1所示為RoQ攻擊的方波模型。參看圖1所示,RoQ攻擊的參數主要有攻擊周期 T,攻擊時長L,攻擊幅值R。即每隔T時間,攻擊者發送速率為R,時長為L的攻擊報文流。由此可見,RoQ攻擊的主要特征是攻擊報文流具有周期性、高速、短時的特性。瞬時 高速的報文流造成鏈路擁塞,系統進入擁塞控制階段,發送端自適應地降低發送報文速率。 而周期性的攻擊可以使系統恢復到穩態之前再次進入擁塞狀態。RoQ攻擊可以用很小的流 量,甚至只是單一攻擊源就可以達到和Flood(洪水)攻擊一樣或接近的效果。現有的拒絕服務攻擊的檢測方法基本上都是通過檢測平均速率來發現異常的。而 RoQ攻擊由于時間太短,平均速率過低,所以就成功地逃避了現有的拒絕服務攻擊檢測。現有技術中提出了一種根據流的報文統計檢測RoQ攻擊的方法,將沒有RoQ攻擊 的流保存在信任流表中。發明人在實現本發明的過程中,發現RoQ檢測沒有降速后的驗證措施,而僅僅依 賴于報文統計,因此檢測結果是不準確的,并且,由于檢測結果不準確,則難以避免攻擊報 文進行骨干網,造成網絡擁塞。
發明內容
本發明實施例提供一種降質攻擊檢測方法,能夠提高RoQ檢測的準確性降低網絡擁塞。為解決上述技術問題,本發明實施例一方面提供了一種降質攻擊檢測方法,包 括在服務器端對報文流進行降質攻擊流檢測,當檢測出可疑RoQ流時,將對該可疑RoQ流的后續報文進行報文信息統計的時間段向源端發送;接收所述源端發送的在所述時間段內的該可疑RoQ流的后續報文統計信息,根據 該統計信息對所述可疑RoQ流進行再次檢測;當經過再次檢測確認所述可疑RoQ流為RoQ流時,通知所述源端對所述RoQ流進 行丟棄處理。本發明實施例另一方面還提供一種降質攻擊防御方法,包括源端接收服務器端發送的對可疑RoQ流的后續報文進行報文信息統計的時間段;源端在所述時間段內對所述可疑RoQ流的后續報文信息進行統計獲得統計信息, 并將該統計信息向服務器端發送以對所述可疑RoQ流進行確認;接收服務器端發送的確認所述可疑RoQ流為RoQ流的信息,源端對所述RoQ流進 行丟棄處理。本發明實施例另一方面還提供一種降質攻擊檢測設備,包括接收單元,用于接收源端發送的報文流及報文統計信息;檢測單元,用于對所述接收單元接收到的報文流進行降質攻擊流檢測,當檢測出 可疑RoQ流后,根據所述報文統計信息對可疑RoQ流進行再次檢測確認;發送單元,用于根據所述檢測單元的檢測結果向所述源端發送處理消息。本發明實施例另一方面還提供一種接入設備,包括發送單元,用于向服務器端發送報文流及預定時間段內的報文統計信息;接收單元,用于接收服務器端發送的對可疑RoQ流的后續報文進行報文信息統計 的時間段;處理單元,用于在所述時間段內對可疑RoQ流的后續報文進行報文信息統計,獲 得所述時間段內的報文統計信息,以及在所述服務器端根據所述時間段內的報文統計信息 對可疑RoQ流進行再次檢測確定所述可疑RoQ流為RoQ流時,對所述RoQ流進行轉發以用 于丟棄處理。本發明實施例接入設備,在服務器端確認可疑RoQ流為RoQ流后,對所述RoQ流進 行轉發以用于丟棄處理。這樣在源端實現對RoQ流的防御,能夠防止攻擊報文進入骨干網, 減少網絡擁塞。
為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例或現 有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本 發明的一些實施例,對于本領域普通技術人員來講,在不付出創造性勞動性的前提下,還可 以根據這些附圖獲得其他的附圖。圖1為現有技術中RoQ攻擊的方波模型示意圖;圖2為本發明實施例降質攻擊檢測方法的流程圖;圖3為本發明實施例降質攻擊防御方法的流程圖;圖4所示為服務器端檢測并確認可疑RoQ流為RoQ流時的報文流處理流程;圖5所示為服務器端檢測并確認可疑RoQ流為非RoQ流時的報文流處理流程;圖6所示為本發明實施例降質攻擊檢測設備的方框示意圖7所示為本發明降質攻擊檢測設備另一實施例的方框示意圖;圖8所示為本發明實施例接入設備的方框示意圖;圖9所示為本發明接入設備另一實施例的方框示意圖。
具體實施例方式下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基于 本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他 實施例,都屬于本發明保護的范圍。圖2為本發明實施例降質攻擊檢測方法的流程圖。參看圖2所示,本發明實施例 降質攻擊檢測方法,包括S10、在服務器端對報文流進行降質攻擊RoQ流檢測,當檢測出可疑RoQ流時,確定 并向源端發送對該可疑RoQ流的后續報文進行報文信息統計的時間段;S11、接收所述源端發送的在所述時間段內的該可疑RoQ流的后續報文統計信息, 根據該統計信息對所述可疑RoQ流進行再次檢測;S12、當經過再次檢測確認所述可疑RoQ流為RoQ流時,通知所述源端對所述RoQ 流進行丟棄處理。本發明實施例降質攻擊檢測方法中,當檢測出可疑RoQ流后,根據源端對該可疑 RoQ流的后續報文進行統計的信息對所述可疑RoQ流進行再次檢測,當經過再次檢測確認 所述可疑RoQ流為RoQ流時,通知所述源端對所述RoQ流進行丟棄處理。這樣能夠提高RoQ 檢測的準確性。進一步地,在所述步驟SlO中,在服務器端對報文流進行降質攻擊流檢測時,可以 對報文流的特性進行檢測,如檢測報文流的周期性、高速性和短時性,當檢測出的報文流的 特性符合RoQ流的特性時,則可確定所述被檢測的報文流為可疑RoQ流。當檢測出可疑 RoQ流時,則將對該可疑RoQ流的后續報文進行報文信息統計的時間段向源端發送,以便源 端在所述時間段內對可疑RoQ流的后續報文進行信息統計,如獲得在所述時間段內的可疑 RoQ流的后續報文的數量。在將對該可疑RoQ流的后續報文進行報文信息統計的時間段向源端發送的同時, 還可以向源端發送對該可疑RoQ流打上特殊標簽的指令。這樣便于源端根據該指令對可疑 RoQ流打上特殊標簽使之與正常報文流進行區分,以便對可疑RoQ流進行有針對性的防御。其中,上述步驟Sl 1中,根據可疑RoQ流的后續報文統計信息對所述可疑RoQ流進 行再次檢測,可根據公開號為US20080320585的美國專利申請中所公開的方法進行。本實 施例中具體是根據在所述時間段內的可疑RoQ流的報文數量對所述可疑RoQ流進行再次檢 測,當所述報文數量達到預定閾值時,則確定所述可疑RoQ流為真實的RoQ流。當然,也可 以根據在所述時間段內的響應該可疑RoQ流的報文數量對所述可疑RoQ流進行再次檢測。在上述步驟S12中,當經過再次檢測確認所述可疑RoQ流為RoQ流時,通知所述源 端對所述RoQ流進行丟棄處理包括當經過再次檢測確認所述可疑RoQ流為RoQ流時,通 知所述源端對在所述可疑RoQ流打上的所述特殊標簽進行確認并對所述RoQ流進行丟棄處 理。這樣能夠通過在服務器端對報文流進行檢測,在源端對經檢測確認的RoQ攻擊進行有效防御,防止攻擊報文進入骨干網,減少網絡擁塞。當經過再次檢測確認所述可疑RoQ流不是RoQ流時,通知所述源端對在所述可疑 RoQ流打上的所述特殊標簽進行撤銷處理。圖3為本發明實施例降質攻擊防御方法的流程圖。參看圖3所示,與上述降質攻 擊檢測方法相對應,本發明實施例提供一種降質攻擊防御方法,包括S21、源端接收服務器端發送的對可疑RoQ流的后續報文進行報文信息統計的時 間段;S22、源端在所述時間段內對所述可疑RoQ流的后續報文信息進行統計獲得統計 信息,并將該統計信息向服務器端發送以使服務器對所述可疑RoQ流進行確認;S23、源端接收服務器端發送的確認所述可疑RoQ流為RoQ流的信息,源端對所述 R0Q流進行丟棄處理。本發明實施例提供的降質攻擊防御方法,在服務器端確認可疑RoQ流為RoQ流后, 源端對所述RoQ流進行丟棄處理。這樣在源端實現對RoQ流的防御,能夠防止攻擊報文進 入骨干網,減少網絡擁塞。在所述步驟S21中,在接收服務器端發送的對可疑RoQ流的后續報文進行報文信 息統計的時間段的同時,還包括接收服務器端發送的對可疑RoQ流打上特殊標簽的指令;對所述可疑RoQ流打上特殊標簽,并將具有該特殊標簽的可疑RoQ流進行平滑處 理。對具有特殊標簽的可疑RoQ流進行平滑處理,能夠防止RoQ誤判造成合法報文的丟失。在上述步驟S22中,在所述時間段內對所述可疑RoQ流的后續報文信息進行統計 獲得統計信息包括在所述時間段內對所述可疑RoQ流的后續報文信息進行統計,獲得在 所述時間段內的報文數量。在上述步驟S23中,所述接收服務器端發送的確認所述可疑RoQ流為RoQ流的信 息,源端對所述RoQ流進行丟棄處理包括接收服務器端發送的對所述可疑RoQ流上所加的 特殊標簽進行確認的信息;源端對所述可疑RoQ流上所加的特殊標簽進行確認,并將帶有 所述特殊標簽的RoQ流進行丟棄處理。這樣,在源端即可對RoQ攻擊進行防御,能夠防止攻 擊報文進入骨干網,減少網絡擁塞。根據本發明實施例降質攻擊防御方法的另一方面,所述的降質攻擊防御方法還包 括接收服務器端發送的對所述可疑RoQ流上所加的所述特殊標簽進行撤銷處理的信息; 源端對所述可疑RoQ流上所加的所述特殊標簽進行撤銷,并對特殊標簽撤銷后的報文流打 上普通標簽并進行正常轉發。下面以在由源端與服務器端所組成的網絡中對RoQ流進行檢測與防御為例,對本 發明實施例降質攻擊檢測及防御方法進行具體說明。在本發明實施例中,所述源端包括客 戶端、接入設備和流量管理設備;所述服務器端包括服務器設備和網關設備。圖4所示為服務器端檢測并確認可疑RoQ流為RoQ流時的報文流處理流程。參看圖4所示,所述流程包括步驟31)客戶端向接入設備發送報文流,所述報文流中可能為RoQ流;32)接入設備對所述報文流打上上普通標簽或打上普通標簽后,將所述報文流發
送給流量管理設備;33)流量管理設備將所述報文流轉發給網關設備;
34)網關設備對所述報文流進行檢測,當檢測出所述報文流為可疑RoQ流時,將對 該可疑RoQ流打上特殊標簽的指令,以及對該可疑RoQ流的后續報文進行報文信息統計的 時間段向所述接入設備發送;當檢測出所述報文流為非RoQ流時,所述網關設備將所述報文流正常轉發給服務
ο35)所述接入設備根據所述打上特殊標簽的指令,對所述可疑RoQ流打上特殊標 簽,并將具有該特殊標簽的可疑RoQ流轉發給流量管理設備進行平滑處理。36)所述接入設備根據所述時間段對可疑RoQ流的后續報文的報文數量進行統 計,并將在所述時間段內統計的報文數量發送給網關設備;37)網關設備根據所述報文數量對所述可疑RoQ流進行再次檢測,當經過再次檢 測確認所述可疑RoQ流為RoQ流時,通知所述接入設備對所述RoQ流的特殊標簽進行確認;
38)接入設備對所述RoQ流的特殊標簽進行確認,并將帶有所述特殊標簽的RoQ流 轉發給流量管理設備,所述流量管理設備對所述RoQ流進行丟棄處理。圖5所示為服務器端檢測并確認可疑RoQ流為非RoQ流時的報文流處理流程。參 看圖5所示,所述流程包括步驟41)客戶端向接入設備發送報文流,所述報文流中可能為RoQ流;42)接入設備對所述報文流打上上普通標簽或打上普通標簽后,將所述報文流發
送給流量管理設備;43)流量管理設備將所述報文流轉發給網關設備;44)網關設備對所述報文流進行檢測,當檢測出所述報文流為可疑RoQ流時,將對 該可疑RoQ流打上特殊標簽的指令,以及對該可疑RoQ流的后續報文進行報文信息統計的 時間段向所述接入設備發送;當檢測出所述報文流為非RoQ流時,所述網關設備將所述報文流正常轉發給服務
ο45)所述接入設備根據所述打上特殊標簽的指令,對所述可疑RoQ流打上特殊標 簽,并將具有該特殊標簽的可疑RoQ流轉發給流量管理設備進行平滑處理。46)所述接入設備根據所述時間段對可疑RoQ流的后續報文的報文數量進行統 計,并將在所述時間段內統計的報文數量發送給網關設備;47)網關設備根據所述報文數量對所述可疑RoQ流進行再次檢測,當經過再次檢 測確認所述可疑RoQ流為非RoQ流時,通知所述接入設備對所述RoQ流的特殊標簽進行撤 銷;48)接入設備對所述RoQ流的特殊標簽進行撤銷,并對撤銷特殊標簽后的報文流 打上上普通標簽發送給流量管理設備,流量管理設備對打上了普通標簽的報文流進行正常 轉發。圖6所示為本發明實施例降質攻擊檢測設備的方框示意圖。參看圖6所示,本發 明實施例還提供一種降質攻擊檢測設備60,用于實現本發明上述方法實施例,包括接收單元61,用于接收源端發送的報文流及報文統計信息;檢測單元62,用于對所述接收單元接收到的報文流進行降質攻擊流檢測,并根據 所述報文統計信息對可疑RoQ流進行確認;
發送單元63,用于根據所述檢測單元的檢測結果向所述源端發送處理消息。本發明實施例降質攻擊檢測設備,能夠對報文流進行降質攻擊流檢測,當檢測出 可疑RoQ流時,能夠根據報文統計信息對可疑RoQ流進行再次檢測確認。這樣能夠提高RoQ 檢測的準確性。圖7所示為本發明降質攻擊檢測設備另一實施例的方框示意圖。參看圖7所示,在圖6基礎上,所述檢測單元62包括第一檢測模塊621,用于對所述接收單元接收到的報文流進行降質攻擊流檢測,以 確定所述報文流是否為可疑RoQ流;第二檢測模塊622,用于根據所述報文統計信息對可疑RoQ流進行再次檢測,以確 認所述可疑RoQ流是否為RoQ流。圖8所示為本發明實施例接入設備的方框示意圖。參看圖8所示,本發明實施例 還提供一種接入設備80,,用于實現本發明上述方法實施例包括發送單元81,用于向服務器端發送報文流及預定時間段內的報文統計信息;接收單元82,用于接收服務器端發送的對可疑RoQ流的后續報文進行報文信息統 計的時間段;處理單元83,用于在所述時間段內對可疑RoQ流的后續報文進行報文信息統計, 獲得所述時間段內的報文統計信息,以及在所述服務器端根據所述時間段內的報文統計信 息對可疑RoQ流進行再次檢測確定所述可疑RoQ流為RoQ流時,對所述RoQ流進行轉發以 用于丟棄處理。本發明實施例接入設備,在服務器端確認可疑RoQ流為RoQ流后,對所述RoQ流進 行轉發以用于丟棄處理。這樣在源端實現對RoQ流的防御,能夠防止攻擊報文進入骨干網, 減少網絡擁塞。圖9所示為本發明接入設備另一實施例的方框示意圖。參考圖9所示,其中,在圖 8基礎上,所述接收單元82,還用于接收服務器端發送的對可疑RoQ流打上特殊標簽的指 令,和接收服務器端發送的對所述特殊標簽進行確認的指令。所述處理單元83進一步包括特殊標簽處理模塊831,用于根據所述服務器端發送的對可疑RoQ流打上特殊標 簽的指令,對所述可疑RoQ流打上特殊標簽,以及根據所述接收單元接收的對所述特殊標 簽進行確認的指令對所述特殊標簽進行確認;流轉發模塊832,用于對經過特殊標簽確認的可疑RoQ流進行轉發以用于丟棄處理。進一步地,所述流轉發模塊832,還用于對可疑RoQ流進行轉發以用于平滑處理。以上所述,僅為本發明的具體實施方式
,但本發明的保護范圍并不局限于此,任何 熟悉本技術領域的技術人員在本發明揭露的技術范圍內,可輕易想到變化或替換,都應涵 蓋在本發明的保護范圍之內。因此,本發明的保護范圍應所述以權利要求的保護范圍為準。
權利要求
一種降質攻擊檢測方法,其特征在于,包括在服務器端對報文流進行降質攻擊流檢測,當檢測出可疑RoQ流時,確定并向源端發送對該可疑降質攻擊流的后續報文進行報文信息統計的時間段;接收所述源端發送的在所述時間段內的該可疑降質攻擊流的后續報文統計信息,根據該統計信息對所述可疑降質攻擊流進行再次檢測;當經過再次檢測確認所述可疑降質攻擊流為降質攻擊流時,通知所述源端對所述降質攻擊流進行丟棄處理。
2.根據權利要求1所述的降質攻擊檢測方法,其特征在于,在將對該可疑降質攻擊流 的后續報文進行報文信息統計的時間段向源端發送的同時,還包括將對該可疑降質攻擊流打上特殊標簽的指令向源端發送。
3.根據權利要求2所述的降質攻擊檢測方法,其特征在于,所述當經過再次檢測確認 所述可疑降質攻擊流為降質攻擊流時,通知所述源端對所述降質攻擊流進行丟棄處理包 括當經過再次檢測確認所述可疑降質攻擊流為降質攻擊流時,通知所述源端對在所述可 疑降質攻擊流打上的所述特殊標簽進行確認并對所述降質攻擊流進行丟棄處理。
4.根據權利要求2所述的降質攻擊檢測方法,其特征在于,所述方法還包括當確認所述可疑降質攻擊流不是降質攻擊流時,通知所述源端對在所述可疑降質攻擊 流打上的所述特殊標簽進行撤銷處理。
5.一種降質攻擊防御方法,其特征在于,包括源端接收服務器端發送的對可疑降質攻擊流的后續報文進行報文信息統計的時間段;源端在所述時間段內對所述可疑降質攻擊流的后續報文信息進行統計獲得統計信息, 并將該統計信息向服務器端發送以對所述可疑降質攻擊流進行確認;接收服務器端發送的確認所述可疑降質攻擊流為降質攻擊流的信息,源端對所述降質 攻擊流進行丟棄處理。
6.根據權利要求5所述的降質攻擊防御方法,其特征在于,在接收服務器端發送的對 可疑降質攻擊流的后續報文進行報文信息統計的時間段的同時,還包括接收服務器端發送的對可疑降質攻擊流打上特殊標簽的指令;對所述可疑降質攻擊流打上特殊標簽,并將具有該特殊標簽的可疑降質攻擊流進行平 滑處理。
7.根據權利要求5所述的降質攻擊防御方法,其特征在于,在所述時間段內對所述可 疑降質攻擊流的后續報文信息進行統計獲得統計信息包括在所述時間段內對所述可疑降質攻擊流的后續報文信息進行統計,獲得在所述時間段 內的報文數量。
8.根據權利要求6所述的降質攻擊防御方法,其特征在于,所述接收服務器端發送的 確認所述可疑降質攻擊流為降質攻擊流的信息,源端對所述降質攻擊流進行丟棄處理包 括接收服務器端發送的對所述可疑降質攻擊流上所加的特殊標簽進行確認的信息源端對所述可疑降質攻擊流上所加的特殊標簽進行確認,并將帶有所述特殊標簽的降質攻擊流進行丟棄處理。
9.根據權利要求6所述的降質攻擊防御方法,其特征在于,所述方法還包括 源端接收服務器端發送的對所述可疑降質攻擊流上所加的所述特殊標簽進行撤銷處理的信息;源端對所述可疑降質攻擊流上所加的所述特殊標簽進行撤銷,并對特殊標簽撤銷后的 報文流打上普通標簽并進行正常轉發。
10.一種降質攻擊檢測設備,其特征在于,包括 接收單元,用于接收源端發送的報文流及報文統計信息;檢測單元,用于對所述接收單元接收到的報文流進行降質攻擊流檢測,當檢測出可疑 降質攻擊流后,根據所述報文統計信息對可疑降質攻擊流進行再次檢測確
11.根據權利要求10所述的降質攻擊檢測設備,其特征在于,所述檢測單元包括第一檢測模塊,用于對所述接收單元接收到的報文流進行降質攻擊流檢測,以確定所 述報文流是否為可疑降質攻擊流;第二檢測模塊,用于根據所述報文統計信息對可疑降質攻擊流進行再次檢測,以確認 所述可疑降質攻擊流是否為降質攻擊流。
12.—種接入設備,其特征在于,包括發送單元,用于向服務器端發送報文流及預定時間段內的報文統計信息; 接收單元,用于接收服務器端發送的對可疑降質攻擊流的后續報文進行報文信息統計 的時間段;處理單元,用于在所述時間段內對可疑降質攻擊流的后續報文進行報文信息統計,獲 得所述時間段內的報文統計信息,以及在所述服務器端根據所述時間段內的報文統計信息 對可疑降質攻擊流進行再次檢測確定所述可疑降質攻擊流為降質攻擊流時,對所述降質攻 擊流進行轉發以用于丟棄處理。
13.根據權利要求12所述的接入設備,其特征在于所述接收單元,還用于接收服務器端發送的對可疑降質攻擊流打上特殊標簽的指令, 和接收服務器端發送的對所述特殊標簽進行確認的指令; 所述處理單元進一步包括特殊標簽處理模塊,用于根據所述服務器端發送的對可疑降質攻擊流打上特殊標簽的 指令,對所述可疑降質攻擊流打上特殊標簽,以及根據所述接收單元接收的對所述特殊標 簽進行確認的指令對所述特殊標簽進行確認;流轉發模塊,用于對經過特殊標簽確認的可疑降質攻擊流進行轉發以用于丟棄處理。
14.根據權利要求13所述的接入設備,其特征在于所述流轉發模塊,還用于對可疑降 質攻擊流進行轉發以用于平滑處理。
全文摘要
本發明公開了一種降質攻擊檢測及防御方法、檢測設備及接入設備,涉及網絡上的降質攻擊防御。為提高RoQ檢測的準確性、防止攻擊報文進入骨干網,減少網絡擁塞的問題而發明。降質攻擊檢測方法,包括在服務器端對可疑RoQ流進行再次檢測;當經過再次檢測確認所述可疑RoQ流為RoQ流時,通知所述源端對所述RoQ流進行丟棄處理。降質攻擊防御方法,包括源端對可疑RoQ流的后續報文信息進行統計獲得統計信息,并將該統計信息向服務器端發送以對所述可疑RoQ流進行確認;接收服務器端發送的確認所述可疑RoQ流為RoQ流的信息,源端對所述RoQ流進行丟棄處理。本發明適用于在網絡上對降質攻擊的檢測和防御。
文檔編號H04L29/06GK101834761SQ20101017924
公開日2010年9月15日 申請日期2010年5月21日 優先權日2010年5月21日
發明者張波, 王勇, 白媛, 胡新宇, 覃健誠, 趙玉超, 辛陽 申請人:華為技術有限公司