CN105791220A - 用于主动防御分布式拒绝服务攻击的方法和系统 - Google Patents
用于主动防御分布式拒绝服务攻击的方法和系统 Download PDFInfo
- Publication number
- CN105791220A CN105791220A CN201410806276.9A CN201410806276A CN105791220A CN 105791220 A CN105791220 A CN 105791220A CN 201410806276 A CN201410806276 A CN 201410806276A CN 105791220 A CN105791220 A CN 105791220A
- Authority
- CN
- China
- Prior art keywords
- botnet
- attack
- list
- ddos attack
- analysis platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种用于主动防御分布式拒绝服务攻击的方法和系统。其中,异常流量监控设备监测网络中出现的DDoS攻击,生成实时攻击列表并发送给集中分析平台,其中实时攻击列表中包括DDoS攻击源的IP地址;DPI检测设备进行僵尸网络追踪,生成僵尸网络历史列表并发送给集中分析平台,其中僵尸网络历史列表中包括僵尸网络标识,以及与僵尸网络标识相关联的僵尸网络被控端IP地址;集中分析平台根据实时攻击列表和僵尸网络历史列表,确定DDoS攻击源归属的僵尸网络;对来自所述僵尸网络的DDoS攻击进行预警,以便实现主动防御DDoS攻击。本发明能够迅速、准确定位DDoS攻击源所属的僵尸网络,从而实现对DDoS攻击的主动防御。
Description
技术领域
本发明涉及互联网安全技术领域,尤其涉及一种用于主动防御分布式拒绝服务攻击的方法和系统。
背景技术
分布式拒绝服务(DistributedDenialofService,简称:DDoS)攻击,是一种互联网常见的攻击手段,黑客利用多台傀儡机向攻击目标发起大量“合法”请求,从而造成网络阻塞或服务器资源耗尽而拒绝服务。
目前防御DDoS攻击的方法主要包括流量限制技术和流量采样分析技术。这两种方法均存在响应速度慢和溯源成本高的问题。只有当大规模DDoS攻击出现后,才能发现并采取防御措施,是被动防御;同时,由于攻击数据包的源IP(InternetProtocol,网络之间互联的协议)地址通常都是伪造的,发送攻击数据包的主机通常是傀儡机,因此很难通过分析攻击数据包实现真正的溯源。
发明内容
本发明提供了一种用于主动防御分布式拒绝服务攻击的方法和系统,能够迅速、准确定位DDoS攻击源所属的僵尸网络,从而实现对DDoS攻击的主动防御。
根据本发明的一个方面,提供了一种用于主动防御分布式拒绝服务攻击的方法,包括:
异常流量监控设备监测网络中出现的分布式拒绝服务DDoS攻击,生成实时攻击列表并发送给集中分析平台,其中实时攻击列表中包括DDoS攻击源的IP地址;
DPI检测设备进行僵尸网络追踪,生成僵尸网络历史列表并发送给集中分析平台,其中僵尸网络历史列表中包括僵尸网络标识,以及与僵尸网络标识相关联的僵尸网络被控端IP地址;
集中分析平台根据实时攻击列表和僵尸网络历史列表,确定DDoS攻击源归属的僵尸网络;
集中分析平台对来自僵尸网络的DDoS攻击进行预警,以便实现主动防御DDoS攻击。
在一个实施例中,集中分析平台根据实时攻击列表和僵尸网络历史列表,确定DDoS攻击源归属的僵尸网络的步骤包括:
集中分析平台针对实时攻击列表中的DDoS攻击源IP地址,在僵尸网络历史列表中查询具有相同IP地址的僵尸网络被控端;
将具有相同IP地址的僵尸网络被控端归属的僵尸网络作为DDoS攻击源归属的僵尸网络。
在一个实施例中,僵尸网络标识为僵尸网络主控端的IP地址。
在一个实施例中,上述任一涉及的方法,实时攻击列表还包括与DDoS攻击源相关联的攻击目标IP地址和实时最大流量。
在一个实施例中,集中分析平台对来自僵尸网络的DDoS攻击进行预警的步骤包括:
集中分析平台在僵尸网络中,查询全部僵尸网络被控端的历史最大流量;
将查询到的历史最大流量之和作为相应攻击目标的DDoS攻击峰值流量。
在一个实施例中,集中分析平台对来自僵尸网络的DDoS攻击进行预警的步骤还包括:
集中分析平台根据僵尸网络成长速度对僵尸网络中的僵尸网络被控端数量进行估计,以便对相应攻击目标的DDoS攻击峰值流量进行修正。
根据本发明的另一方面,提供了一种用于主动防御分布式拒绝服务攻击的系统,包括异常流量监控设备、DPI检测设备和集中分析平台,其中:
异常流量监控设备,用于监测网络中出现的分布式拒绝服务DDoS攻击,生成实时攻击列表并发送给集中分析平台,其中实时攻击列表中包括DDoS攻击源的IP地址;
DPI检测设备,用于进行僵尸网络追踪,生成僵尸网络历史列表并发送给集中分析平台,其中僵尸网络历史列表中包括僵尸网络标识,以及与僵尸网络标识相关联的僵尸网络被控端IP地址;
集中分析平台,用于根据实时攻击列表和僵尸网络历史列表,确定DDoS攻击源归属的僵尸网络;还用于对来自僵尸网络的DDoS攻击进行预警,以便实现主动防御DDoS攻击。
在一个实施例中,集中分析平台具体针对实时攻击列表中的DDoS攻击源IP地址,在僵尸网络历史列表中查询具有相同IP地址的僵尸网络被控端;将具有相同IP地址的僵尸网络被控端归属的僵尸网络作为DDoS攻击源归属的僵尸网络。
在一个实施例中,僵尸网络标识为僵尸网络主控端的IP地址。
在一个实施例中,上述任一涉及的系统中,实时攻击列表还包括与DDoS攻击源相关联的攻击目标IP地址和实时最大流量。
在一个实施例中,集中分析平台具体在僵尸网络中,查询全部僵尸网络被控端的历史最大流量;将查询到的历史最大流量之和作为相应攻击目标的DDoS攻击峰值流量。
在一个实施例中,集中分析平台具体根据僵尸网络成长速度对僵尸网络中的僵尸网络被控端数量进行估计,以便对相应攻击目标的DDoS攻击峰值流量进行修正。
本发明提供了一种用于主动防御分布式拒绝服务攻击的方法和系统,引入了DPI(DeepPacketInspection,深度报文检测)技术,能够迅速、准确定位DDoS攻击源所属的僵尸网络,从而实现对DDoS攻击的主动防御。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明用于主动防御分布式拒绝服务攻击的方法一个实施例的示意图。
图2为本发明用于主动防御分布式拒绝服务攻击的方法另一个实施例的示意图。
图3为本发明用于主动防御分布式拒绝服务攻击的方法中对僵尸网络的DDoS攻击进行预警的方法一个实施例的示意图。
图4为本发明用于主动防御分布式拒绝服务攻击的系统的一个实施例示意图。
图5为实现本发明主动防御分布式拒绝服务攻击的网络架构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
图1为用于主动防御分布式拒绝服务攻击的方法一个实施例的示意图。优选的,本实施例的方法步骤可由本发明的系统执行,其中:
步骤101,异常流量监控设备监测网络中出现的分布式拒绝服务DDoS攻击,生成实时攻击列表并发送给集中分析平台,其中实时攻击列表中包括DDoS攻击源的IP地址。
步骤102,DPI检测设备进行僵尸网络追踪,生成僵尸网络历史列表并发送给集中分析平台,其中僵尸网络历史列表中包括僵尸网络标识,以及与僵尸网络标识相关联的僵尸网络被控端IP地址。
步骤103,集中分析平台根据实时攻击列表和僵尸网络历史列表,确定DDoS攻击源归属的僵尸网络。
步骤104,集中分析平台对来自僵尸网络的DDoS攻击进行预警,以便实现主动防御DDoS攻击。
本发明的用于主动防御分布式拒绝服务攻击的方法,解决了现有技术在防御DDoS攻击时只能被动防御,无法准确获得控制端主机IP地址的问题。本发明能够迅速、准确定位DDoS攻击源所属的僵尸网络,对DDoS攻击进行预警,从而实现对DDoS攻击的主动防御。
图2示出了本发明的用于主动防御分布式拒绝服务攻击的方法另一个实施例的示意图。优选的,本实施例的方法步骤可由本发明的系统执行,其中:
步骤201,异常流量监控设备监测网络中出现的分布式拒绝服务DDoS攻击,生成实时攻击列表并发送给集中分析平台,其中实时攻击列表中包括DDoS攻击源的IP地址。一个实施攻击列表的实施例如表1所示:
| 攻击源IP地址 |
| 2.2.2.2 |
| 3.3.3.3 |
| 5.5.5.5 |
表1
步骤202,DPI检测设备进行僵尸网络追踪,生成僵尸网络历史列表并发送给集中分析平台,其中僵尸网络历史列表中包括僵尸网络标识,以及与僵尸网络标识相关联的僵尸网络被控端IP地址。在一个实施例中,僵尸网络标识为主控端的IP地址,一个僵尸网络历史列表的实施例如下表所示:
表2
如表2所示,IP地址为2.2.2.2、3.3.3.3和4.4.4.4的被控端归属于主控端IP地址为1.1.1.1的僵尸网络,IP地址为5.5.5.5、6.6.6.6和7.7.7.7的被控端均归属于主控端IP地址为8.8.8.8的僵尸网络。
步骤203,集中分析平台针对实时攻击列表中的DDoS攻击源IP地址,在僵尸网络历史列表中查询具有相同IP地址的僵尸网络被控端。例如,如以上两表所示,在僵尸网络历史列表中查找IP地址为2.2.2.2、3.3.3.3和5.5.5.5的被控端。
步骤204,将具有相同IP地址的僵尸网络被控端归属的僵尸网络作为DDoS攻击源归属的僵尸网络。在僵尸网络历史列表中找到了攻击源2.2.2.2和3.3.3.3同属于IP地址为1.1.1.1的主控端的僵尸网络,攻击源5.5.5.5归属于IP地址为8.8.8.8的主控端的僵尸网络。
步骤205,集中分析平台对来自僵尸网络的DDoS攻击进行预警,以便实现主动防御DDoS攻击。预警形式可以采用生成DDoS危害预警列表的形式,依据僵尸网络成长速度和历史攻击最大流量预警DDoS攻击峰值流量。对被控端进行清除木马、加固主机、断开网络和流量限速等技术手段,对控制端主机除了上述手段外,还可通过法律手段打击黑色产业链,从而实现对DDoS攻击的主动防御。
本发明的用于主动防御分布式拒绝服务攻击的方法利用DPI检测设备对DDoS攻击的僵尸网络进行溯源,提高了僵尸网络溯源的准确性,节省了溯源的时间和成本。
在一个实施例中,上述实时攻击列表还包括与DDoS攻击源相关联的攻击目标IP地址和实时最大流量,如下表所示:
| 攻击源IP地址 | 攻击目标IP地址 | 实时最大流量 |
| 2.2.2.2 | 9.9.9.9 | 20Mbps |
| 3.3.3.3 | 9.9.9.9 | 100Mbps |
| 5.5.5.5 | 9.9.9.9 | 80Mbps |
表3
图3为本发明用于主动防御分布式拒绝服务攻击的方法中对僵尸网络的DDoS攻击进行预警的方法一个实施例的示意图。如图3所示:
步骤301,集中分析平台在僵尸网络中,查询全部僵尸网络被控端的历史最大流量。例如,异常流量监控设备生成的实时攻击列表如表3所示,DPI检测设备生成的僵尸网络历史列表如表2所示。由于集中分析平台存储了历次异常流量监控设备发送的实时攻击列表,因此在确定了攻击源归属的僵尸网络后,集中分析平台在僵尸网络中,查询全部僵尸网络被控端对攻击目标攻击的历史最大流量,如表4所示:
表4
步骤302,集中分析平台将查询到的历史最大流量之和作为相应攻击目标的DDoS攻击峰值流量。如表4所示,集中分析平台查询各个受控端对IP地址为9.9.9.9的攻击目标发动攻击的历史最大流量,进行加总后得到DDoS攻击峰值流量470Mbps(Millionbitspersecond,兆比特每秒)。这里的攻击流量仅为示例性的,不作为对本发明的限制。
优选的,本发明中对僵尸网络的DDoS攻击进行预警的方法还包括:
步骤303,集中分析平台根据僵尸网络成长速度对僵尸网络中的僵尸网络被控端数量进行估计,以便对相应攻击目标的DDoS攻击峰值流量进行修正。
例如,在步骤302中,已经得到了IP地址为1.1.1.1主控端的僵尸网络被控端的数量为n1个,n1个被控端攻击的历史最大流量之和为Q1Mbps。而在s周前,被控端的数量为n2个,则估计的被控终端的增长速度为:
在t周后的被控端数量n预计为:
n=n1(n1/n2)t/s
在t周后的DDoS攻击峰值流量Q预计为:
Q=Q1(n1/n2)t/s
例如,已经得到了当前被控端的数量为195个,被控端攻击的历史最大流量之和为600Mbps。集中分析平台根据僵尸网络的历史数据进一步得到,被控端在3周前的数量为100个,那么被控端每周的增长率采用如下公式计算:
在4周后的被控端数量预计为:
n=195×(195/100)4/3=476
在4周后的被控端攻击峰值流量Q预计为:
Q=600×(195/100)4/3=1462Mbps
本领域技术人员可以根据本发明得到,具体的时间间隔不仅限于按周计算,也可根据需要,采用小时、天、月的单位来得到攻击中被控端数量和攻击峰值的预期。从而对DDoS攻击及时主动防御。
图4为本发明用于主动防御分布式拒绝服务攻击的系统的一个实施例示意图。如图4所示,本发明的系统包括异常流量监控设备401、DPI检测设备402和集中分析平台403,其中:
异常流量监控设备401,用于监测网络中出现的分布式拒绝服务DDoS攻击,生成实时攻击列表并发送给集中分析平台403,其中实时攻击列表中包括DDoS攻击源的IP地址。
DPI检测设备402,用于进行僵尸网络追踪,生成僵尸网络历史列表并发送给集中分析平台403,其中僵尸网络历史列表中包括僵尸网络标识,以及与僵尸网络标识相关联的僵尸网络被控端IP地址。
集中分析平台403,用于根据实时攻击列表和僵尸网络历史列表,确定DDoS攻击源归属的僵尸网络;还用于对来自僵尸网络的DDoS攻击进行预警,以便实现主动防御DDoS攻击。
本发明的用于主动防御分布式拒绝服务攻击的系统能够迅速、准确定位DDoS攻击源所属的僵尸网络,从而实现对DDoS攻击的主动防御。
优选的,在一个实施例中,集中分析平台具体针对实时攻击列表中的DDoS攻击源IP地址,在僵尸网络历史列表中查询具有相同IP地址的僵尸网络被控端;将具有相同IP地址的僵尸网络被控端归属的僵尸网络作为DDoS攻击源归属的僵尸网络。具体实施例可参见上述用于主动防御分布式拒绝服务攻击的方法的实施例中对表1和表2的描述,这里不再赘述。
进一步的,僵尸网络标识为僵尸网络主控端的IP地址。
优选的,实时攻击列表还包括与DDoS攻击源相关联的攻击目标IP地址和实时最大流量。
进一步的,集中分析平台具体在僵尸网络中,查询全部僵尸网络被控端的历史最大流量;将查询到的历史最大流量之和作为相应攻击目标的DDoS攻击峰值流量。具体实施例可参见上述用于主动防御分布式拒绝服务攻击的方法的实施例中对表1-表4的描述,这里不再赘述。
优选的,集中分析平台根据僵尸网络成长速度对僵尸网络中的僵尸网络被控端数量进行估计,以便对相应攻击目标的DDoS攻击峰值流量进行修正。
图5为实现本发明主动防御分布式拒绝服务攻击的网络架构图。下面结合图4和图5,对本发明的用于主动防御分布式拒绝服务攻击的方案做示例性说明。
主控端通过植入木马等方式控制傀儡机变成DDoS的攻击源,对目标主机发起DDoS攻击,本发明可对DDoS攻击快速溯源,找到主控端IP地址,实现主动防御,步骤如下:
步骤501,异常流量监控设备监测网络中出现的分布式拒绝服务DDoS攻击,生成实时攻击列表并发送给集中分析平台,其中实时攻击列表中包括DDoS攻击源的IP地址、攻击目标IP地址和实时最大流量。一个实施攻击列表的实施例如表5所示:
| 攻击源IP地址 | 攻击目标IP地址 | 实时最大流量 |
| 2.2.2.2 | 9.9.9.9 | 20Mbps |
| 3.3.3.3 | 9.9.9.9 | 100Mbps |
| …… | 9.9.9.9 | …… |
| 5.5.5.5 | 9.9.9.9 | 80Mbps |
| …… | 9.9.9.9 | …… |
表5
表5中包括了IP地址为2.2.2.2、3.3.3.3和5.5.5.5等共160个被控端。
步骤502,DPI检测设备进行僵尸网络追踪,生成僵尸网络历史列表并发送给集中分析平台,其中僵尸网络历史列表中包括僵尸网络标识,以及与僵尸网络标识相关联的僵尸网络被控端IP地址。在一个实施例中,僵尸网络标识为主控端的IP地址,一个僵尸网络历史列表的实施例如表6所示:
表6
IP地址为2.2.2.2和3.3.3.3的被控端归属于主控端IP地址为1.1.1.1的僵尸网络,IP地址为5.5.5.5和6.6.6.6的被控端归属于主控端IP地址为8.8.8.8的僵尸网络。其中主控端IP地址为1.1.1.1的僵尸网络的被控端数量为100,主控端IP地址为8.8.8.8的僵尸网络的被控端数量为200。
步骤503,集中分析平台针对表5中的DDoS攻击源IP地址,在表6中查询具有相同IP地址的僵尸网络被控端。即在表6中查找IP地址为2.2.2.2、3.3.3.3和5.5.5.5等的被控端。
步骤504,通过在表6中查询具有相同IP地址的僵尸网络被控端得到,攻击源属于两个僵尸网络,分别为主控端IP地址为1.1.1.1的僵尸网络和主控端IP地址为8.8.8.8的僵尸网络。攻击源2.2.2.2和3.3.3.3等归属于IP地址为1.1.1.1的主控端的僵尸网络,攻击源5.5.5.5等归属于IP地址为8.8.8.8的主控端的僵尸网络。
步骤505,集中分析平台在僵尸网络中,查询全部僵尸网络被控端对攻击目标9.9.9.9攻击的历史最大流量,得到IP地址为1.1.1.1主控端的僵尸网络100个被控端对目标攻击的历史最大流量之和为的600Mbps,IP地址为8.8.8.8主控端的僵尸网络200个被控端对目标攻击的历史最大流量之和为的800Mbps,
步骤506,集中分析平台查询到3周内,IP地址为1.1.1.1主控端的僵尸网络被控端数量从60增长到100;3周内IP地址为8.8.8.8主控端的僵尸网络被控端数量从150增长到200,则预计4周后,IP地址为1.1.1.1主控端的僵尸网络被控端数量为:
N1=100×(100/60)4/3=198
DDoS攻击峰值流量为:
Q1=600×(100/60)4/3=1186Mbps
IP地址为8.8.8.8主控端的僵尸网络被控端数量为:
N2=200×(200/150)4/3=294
DDoS攻击峰值流量为:
Q2=800×(200/150)4/3=1175Mbps
因此,得到4周后预计的攻击源数量为198+294=492个,预计的DDoS攻击峰值流量为1186+1175=2361Mbps。
步骤507,集中分析平台对来自僵尸网络的DDoS攻击进行预警,以便实现主动防御DDoS攻击。对被控端进行清除木马、加固主机、断开网络和流量限速等技术手段,对控制端主机除了上述手段外,还可通过法律手段打击黑色产业链,从而实现对DDoS攻击的主动防御。
本发明的用于主动防御分布式拒绝服务攻击的方法利用DPI检测设备对DDoS攻击的僵尸网络进行溯源,提高了僵尸网络溯源的准确性,节省了溯源的时间和成本。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (12)
1.一种用于主动防御分布式拒绝服务攻击的方法,其特征在于,包括:
异常流量监控设备监测网络中出现的分布式拒绝服务DDoS攻击,生成实时攻击列表并发送给集中分析平台,其中实时攻击列表中包括DDoS攻击源的IP地址;
DPI检测设备进行僵尸网络追踪,生成僵尸网络历史列表并发送给集中分析平台,其中僵尸网络历史列表中包括僵尸网络标识,以及与僵尸网络标识相关联的僵尸网络被控端IP地址;
集中分析平台根据实时攻击列表和僵尸网络历史列表,确定DDoS攻击源归属的僵尸网络;
集中分析平台对来自所述僵尸网络的DDoS攻击进行预警,以便实现主动防御DDoS攻击。
2.根据权利要求1所述的方法,其特征在于,
集中分析平台根据实时攻击列表和僵尸网络历史列表,确定DDoS攻击源归属的僵尸网络的步骤包括:
集中分析平台针对实时攻击列表中的DDoS攻击源IP地址,在僵尸网络历史列表中查询具有相同IP地址的僵尸网络被控端;
将具有相同IP地址的僵尸网络被控端归属的僵尸网络作为DDoS攻击源归属的僵尸网络。
3.根据权利要求2所述的方法,其特征在于,
僵尸网络标识为僵尸网络主控端的IP地址。
4.根据权利要求1-3中任一项所述的方法,其特征在于,
实时攻击列表还包括与DDoS攻击源相关联的攻击目标IP地址和实时最大流量。
5.根据权利要求4所述的方法,其特征在于,
集中分析平台对来自所述僵尸网络的DDoS攻击进行预警的步骤包括:
集中分析平台在所述僵尸网络中,查询全部僵尸网络被控端的历史最大流量;
将查询到的历史最大流量之和作为相应攻击目标的DDoS攻击峰值流量。
6.根据权利要求5所述的方法,其特征在于,
集中分析平台对来自所述僵尸网络的DDoS攻击进行预警的步骤还包括:
集中分析平台根据僵尸网络成长速度对所述僵尸网络中的僵尸网络被控端数量进行估计,以便对相应攻击目标的DDoS攻击峰值流量进行修正。
7.一种用于主动防御分布式拒绝服务攻击的系统,其特征在于,包括异常流量监控设备、DPI检测设备和集中分析平台,其中:
异常流量监控设备,用于监测网络中出现的分布式拒绝服务DDoS攻击,生成实时攻击列表并发送给集中分析平台,其中实时攻击列表中包括DDoS攻击源的IP地址;
DPI检测设备,用于进行僵尸网络追踪,生成僵尸网络历史列表并发送给集中分析平台,其中僵尸网络历史列表中包括僵尸网络标识,以及与僵尸网络标识相关联的僵尸网络被控端IP地址;
集中分析平台,用于根据实时攻击列表和僵尸网络历史列表,确定DDoS攻击源归属的僵尸网络;还用于对来自所述僵尸网络的DDoS攻击进行预警,以便实现主动防御DDoS攻击。
8.根据权利要求7所述的系统,其特征在于,
集中分析平台具体针对实时攻击列表中的DDoS攻击源IP地址,在僵尸网络历史列表中查询具有相同IP地址的僵尸网络被控端;将具有相同IP地址的僵尸网络被控端归属的僵尸网络作为DDoS攻击源归属的僵尸网络。
9.根据权利要求8所述的系统,其特征在于,
僵尸网络标识为僵尸网络主控端的IP地址。
10.根据权利要求7-9任一所述的系统,其特征在于,
实时攻击列表还包括与DDoS攻击源相关联的攻击目标IP地址和实时最大流量。
11.根据权利要求10所述的系统,其特征在于,
集中分析平台具体在所述僵尸网络中,查询全部僵尸网络被控端的历史最大流量;将查询到的历史最大流量之和作为相应攻击目标的DDoS攻击峰值流量。
12.根据权利要求11所述的系统,其特征在于,
集中分析平台具体根据僵尸网络成长速度对所述僵尸网络中的僵尸网络被控端数量进行估计,以便对相应攻击目标的DDoS攻击峰值流量进行修正。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410806276.9A CN105791220A (zh) | 2014-12-22 | 2014-12-22 | 用于主动防御分布式拒绝服务攻击的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410806276.9A CN105791220A (zh) | 2014-12-22 | 2014-12-22 | 用于主动防御分布式拒绝服务攻击的方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105791220A true CN105791220A (zh) | 2016-07-20 |
Family
ID=56386356
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410806276.9A Pending CN105791220A (zh) | 2014-12-22 | 2014-12-22 | 用于主动防御分布式拒绝服务攻击的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105791220A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106302525A (zh) * | 2016-09-27 | 2017-01-04 | 黄小勇 | 一种基于伪装的网络空间安全防御方法及系统 |
| CN106657001A (zh) * | 2016-11-10 | 2017-05-10 | 广州赛讯信息技术有限公司 | 一种基于Netflow及DNS日志的僵尸网络检测方法 |
| CN106911726A (zh) * | 2017-05-02 | 2017-06-30 | 深圳大学 | 一种软件定义网络的DDoS攻击模拟和攻击检测方法及装置 |
| CN107172085A (zh) * | 2017-06-30 | 2017-09-15 | 江苏华信区块链产业研究院有限公司 | 基于区块链智能合约的主动防御方法及节点 |
| CN107864110A (zh) * | 2016-09-22 | 2018-03-30 | 中国电信股份有限公司 | 僵尸网络主控端检测方法和装置 |
| CN108574668A (zh) * | 2017-03-10 | 2018-09-25 | 北京大学 | 一种基于机器学习的DDoS攻击流量峰值预测方法 |
| CN110113367A (zh) * | 2019-06-26 | 2019-08-09 | 电子科技大学 | 一种基于信息干扰的DDoS攻击中僵尸主机检测方法 |
| CN112437035A (zh) * | 2019-08-26 | 2021-03-02 | 南宁富桂精密工业有限公司 | 分布式拒绝服务攻击防护方法及相关设备 |
| CN113556309A (zh) * | 2020-04-23 | 2021-10-26 | 中国电信股份有限公司 | 一种用于预测攻击规模的方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101321171A (zh) * | 2008-07-04 | 2008-12-10 | 北京锐安科技有限公司 | 一种检测分布式拒绝服务攻击的方法及设备 |
| CN101383694A (zh) * | 2007-09-03 | 2009-03-11 | 电子科技大学 | 基于数据挖掘技术的拒绝服务攻击防御方法和系统 |
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
| CN101621428A (zh) * | 2009-07-29 | 2010-01-06 | 成都市华为赛门铁克科技有限公司 | 一种僵尸网络检测方法及系统以及相关设备 |
| US7669241B2 (en) * | 2004-09-30 | 2010-02-23 | Alcatel-Lucent Usa Inc. | Streaming algorithms for robust, real-time detection of DDoS attacks |
| CN101997830A (zh) * | 2009-08-17 | 2011-03-30 | 华为技术有限公司 | 一种分布式入侵检测方法、装置和系统 |
-
2014
- 2014-12-22 CN CN201410806276.9A patent/CN105791220A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7669241B2 (en) * | 2004-09-30 | 2010-02-23 | Alcatel-Lucent Usa Inc. | Streaming algorithms for robust, real-time detection of DDoS attacks |
| CN101383694A (zh) * | 2007-09-03 | 2009-03-11 | 电子科技大学 | 基于数据挖掘技术的拒绝服务攻击防御方法和系统 |
| CN101321171A (zh) * | 2008-07-04 | 2008-12-10 | 北京锐安科技有限公司 | 一种检测分布式拒绝服务攻击的方法及设备 |
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
| CN101621428A (zh) * | 2009-07-29 | 2010-01-06 | 成都市华为赛门铁克科技有限公司 | 一种僵尸网络检测方法及系统以及相关设备 |
| CN101997830A (zh) * | 2009-08-17 | 2011-03-30 | 华为技术有限公司 | 一种分布式入侵检测方法、装置和系统 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107864110A (zh) * | 2016-09-22 | 2018-03-30 | 中国电信股份有限公司 | 僵尸网络主控端检测方法和装置 |
| CN106302525B (zh) * | 2016-09-27 | 2021-02-02 | 黄小勇 | 一种基于伪装的网络空间安全防御方法及系统 |
| CN106302525A (zh) * | 2016-09-27 | 2017-01-04 | 黄小勇 | 一种基于伪装的网络空间安全防御方法及系统 |
| CN106657001B (zh) * | 2016-11-10 | 2019-12-13 | 广州赛讯信息技术有限公司 | 一种基于Netflow及DNS日志的僵尸网络检测方法 |
| CN106657001A (zh) * | 2016-11-10 | 2017-05-10 | 广州赛讯信息技术有限公司 | 一种基于Netflow及DNS日志的僵尸网络检测方法 |
| CN108574668B (zh) * | 2017-03-10 | 2020-10-20 | 北京大学 | 一种基于机器学习的DDoS攻击流量峰值预测方法 |
| CN108574668A (zh) * | 2017-03-10 | 2018-09-25 | 北京大学 | 一种基于机器学习的DDoS攻击流量峰值预测方法 |
| CN106911726A (zh) * | 2017-05-02 | 2017-06-30 | 深圳大学 | 一种软件定义网络的DDoS攻击模拟和攻击检测方法及装置 |
| WO2018201581A1 (zh) * | 2017-05-02 | 2018-11-08 | 深圳大学 | 一种软件定义网络的DDoS攻击模拟和攻击检测方法及装置 |
| CN106911726B (zh) * | 2017-05-02 | 2020-09-08 | 深圳大学 | 一种软件定义网络的DDoS攻击模拟和攻击检测方法及装置 |
| CN107172085B (zh) * | 2017-06-30 | 2018-06-22 | 浙江华信区块链科技服务有限公司 | 基于区块链智能合约的主动防御方法及节点 |
| CN107172085A (zh) * | 2017-06-30 | 2017-09-15 | 江苏华信区块链产业研究院有限公司 | 基于区块链智能合约的主动防御方法及节点 |
| CN110113367A (zh) * | 2019-06-26 | 2019-08-09 | 电子科技大学 | 一种基于信息干扰的DDoS攻击中僵尸主机检测方法 |
| CN112437035A (zh) * | 2019-08-26 | 2021-03-02 | 南宁富桂精密工业有限公司 | 分布式拒绝服务攻击防护方法及相关设备 |
| US11522909B2 (en) | 2019-08-26 | 2022-12-06 | Nanning Fulian Fugui Precision Industrial Co., Ltd. | Method for preventing distributed denial of service attack and related equipment |
| CN113556309A (zh) * | 2020-04-23 | 2021-10-26 | 中国电信股份有限公司 | 一种用于预测攻击规模的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105791220A (zh) | 用于主动防御分布式拒绝服务攻击的方法和系统 | |
| US9537887B2 (en) | Method and system for network connection chain traceback using network flow data | |
| Dou et al. | A confidence-based filtering method for DDoS attack defense in cloud environment | |
| US8935785B2 (en) | IP prioritization and scoring system for DDoS detection and mitigation | |
| Yu et al. | Traceback of DDoS attacks using entropy variations | |
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| US8904524B1 (en) | Detection of fast flux networks | |
| CN109587167B (zh) | 一种报文处理的方法和装置 | |
| CN110858229B (zh) | 数据处理方法、设备、访问控制系统及存储介质 | |
| CN110166480B (zh) | 一种数据包的分析方法及装置 | |
| KR102050089B1 (ko) | 적응적 룰셋 세팅을 수행하는 네트워크 보안 시스템 및 그 방법 | |
| CN105577608A (zh) | 网络攻击行为检测方法和装置 | |
| CN105577669B (zh) | 一种识别虚假源攻击的方法及装置 | |
| CN110213254A (zh) | 一种识别伪造互联网协议ip报文的方法和设备 | |
| CN109743314A (zh) | 网络异常的监控方法、装置、计算机设备及其存储介质 | |
| Saurabh et al. | ICMP based IP traceback with negligible overhead for highly distributed reflector attack using bloom filters | |
| KR101528928B1 (ko) | 플로우 및 세션 기반의 네트워크 트래픽 관리 장치 및 그 방법 | |
| CN109413022B (zh) | 一种基于用户行为检测http flood攻击的方法和装置 | |
| CN105007271B (zh) | 一种DDoS攻击僵尸网络的识别方法及系统 | |
| KR101684456B1 (ko) | 패킷 저장을 수행하는 네트워크 검사 시스템 및 그 제공방법 | |
| KR101715107B1 (ko) | 리트로액티브 네트워크 검사 시스템 및 그 제공방법 | |
| Praveena et al. | Hybrid approach for IP traceback analysis in wireless networks | |
| KR102174462B1 (ko) | 네트워크 보안 방법 및 이를 수행하는 시스템 | |
| TW201818285A (zh) | 基於FedMR之殭屍網路聯偵方法 | |
| CN108521413A (zh) | 一种未来信息战争的网络抵抗和防御方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160720 |
|
| RJ01 | Rejection of invention patent application after publication |