CN109474567B - Ddos攻击溯源方法、装置、存储介质及电子设备 - Google Patents

Ddos攻击溯源方法、装置、存储介质及电子设备 Download PDF

Info

Publication number
CN109474567B
CN109474567B CN201710974000.5A CN201710974000A CN109474567B CN 109474567 B CN109474567 B CN 109474567B CN 201710974000 A CN201710974000 A CN 201710974000A CN 109474567 B CN109474567 B CN 109474567B
Authority
CN
China
Prior art keywords
sample
ddos
propagation
library
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710974000.5A
Other languages
English (en)
Other versions
CN109474567A (zh
Inventor
孔华锋
杨涛
谢康
康学斌
徐艺航
肖新光
王小丰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Third Research Institute of the Ministry of Public Security
Beijing Antiy Network Technology Co Ltd
Original Assignee
Third Research Institute of the Ministry of Public Security
Beijing Antiy Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Third Research Institute of the Ministry of Public Security, Beijing Antiy Network Technology Co Ltd filed Critical Third Research Institute of the Ministry of Public Security
Priority to CN201710974000.5A priority Critical patent/CN109474567B/zh
Publication of CN109474567A publication Critical patent/CN109474567A/zh
Application granted granted Critical
Publication of CN109474567B publication Critical patent/CN109474567B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明的实施例公开一种DDOS攻击溯源方法、装置、计算机可读存储介质及电子设备,涉及计算机安全技术,具有较强的网络环境适应能力。所述DDOS攻击溯源方法包括:接收输入的遭受DDOS攻击的攻击目标信息;根据所述攻击目标信息,查询预先建立的DDOS攻击溯源库,获取与所述攻击目标信息相关联的控制端信息;其中,所述DDOS攻击溯源库中具有控制端信息与攻击目标信息的关联关系。本发明适用于对DDOS攻击进行溯源。

Description

DDOS攻击溯源方法、装置、存储介质及电子设备
技术领域
本发明涉及计算机安全,尤其涉及一种DDOS攻击溯源方法、装置、计算机可读存储介质及电子设备。
背景技术
随着计算机互联网技术的快速发展以及宽带的普及,恶意攻击已经成为互联网上的一种最直接的竞争方式,在利益的驱使下,计算机网络攻击已经演变成非常完善的产业链。其中,分布式拒绝服务(DDOS,Distributed Denial of Service)攻击是实施成本较低和技术手段最为容易的恶意攻击方式,DDOS攻击是指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个攻击目标发动DDOS攻击,阻止合法用户对攻击目标网络资源的访问,从而成倍地提高拒绝服务攻击的威力,许多全球大型互联网企业都曾遭受过DDOS攻击,目前,黑客往往使用僵尸网络对攻击目标进行DDOS攻击,严重危害了网络安全环境。
为了维护计算机互联网络安全,溯源DDOS攻击控制端以获取攻击源头并对获取的攻击源头进行监管是行之有效的方法。目前的DDOS攻击溯源方法,一般通过在被监控的网络环境中布设入侵检测设备,通过入侵检测设备实时监控被监控的网络环境,例如,通过实时监测网络环境的网络流量状态来监测是否发生了DDOS攻击,当依据网络流量状态确定被监控的网络环境发生DDOS攻击后,再根据报警信息以及不断监测的网络流量包来对DDOS攻击进行溯源。
在实现本发明过程中,发明人发明现有技术至少存在以下问题:现有的DDOS攻击溯源方法,需要在被监控的网络环境中部署入侵检测设备,对于未部署入侵检测设备的网络环境,无法实现攻击溯源,由此导致现有的DDOS攻击溯源方法的网络环境适应能力较低。
发明内容
有鉴于此,本发明实施例提供一种DDOS攻击溯源方法、装置、计算机可读存储介质及电子设备,具有较强的网络环境适应能力。
第一方面,本发明实施例提供一种DDOS攻击溯源方法,包括:接收输入的遭受DDOS攻击的攻击目标信息;根据所述攻击目标信息,查询预先建立的DDOS攻击溯源库,获取与所述攻击目标信息相关联的控制端信息;其中,所述DDOS攻击溯源库中具有控制端信息与攻击目标信息的关联关系。
结合第一方面,在第一方面的第一种实施方式中,在接收输入的遭受DDOS攻击的攻击目标信息之前,所述方法还包括:预先建立DDOS攻击溯源库。
结合第一方面的第一种实施方式,在第一方面的第二种实施方式中,所述预先建立DDOS攻击溯源库包括:捕获互联网中传播的传播样本;提取所述传播样本的样本特征,与预先设置的DDOS样本特征库进行匹配;其中,所述样本特征包括:样本内容特征、和/或,样本运行特征;如果提取的样本特征与所述DDOS样本特征库相匹配,在预先设置的虚拟环境中运行所述传播样本;如果运行的所述传播样本满足预先设置的活性DDOS样本条件,持续运行所述传播样本,抓取运行中的网络流量包;解析抓取的网络流量包,提取解析的网络流量包中包含的攻击目标信息以及控制端信息,构建控制端信息与攻击目标信息的关联关系,建立DDOS攻击溯源库。
结合第一方面的第二种实施方式,在第一方面的第三种实施方式中,所述捕获互联网中传播的传播样本包括:通过预先部署在互联网中的蜜网捕获传播的传播样本。
结合第一方面的第二种实施方式,在第一方面的第四种实施方式中,在所述如果提取的样本特征与所述DDOS样本特征库相匹配之后,在预先设置的虚拟环境中运行所述传播样本之前,所述方法还包括:解析所述传播样本,得到所述传播样本对应的样本格式,查询预先设置的样本格式与虚拟环境的映射关系库,得到所述传播样本对应的样本格式映射的虚拟环境,以使所述传播样本在所述映射的虚拟环境中运行。
结合第一方面的第二种实施方式,在第一方面的第五种实施方式中,在捕获互联网中传播的传播样本之后,提取所述传播样本的样本特征之前,所述方法还包括:在预先设置的虚拟环境中运行所述传播样本。
结合第一方面的第二种实施方式,在第一方面的第六种实施方式中,所述方法还包括:提取与所述DDOS样本特征库不相匹配的并满足预先设置的活性DDOS样本条件的传播样本的内容特征,利用提取的内容特征更新所述DDOS样本特征库。
第二方面,本发明实施例提供一种DDOS攻击溯源装置,包括:目标信息输入单元、查询单元和控制端信息获取单元;其中,目标信息输入单元,用于接收输入的遭受DDOS攻击的攻击目标信息;查询单元,用于根据所述攻击目标信息,查询预先建立的DDOS攻击溯源库;其中,所述DDOS攻击溯源库中具有控制端信息与攻击目标信息的关联关系;控制端信息获取单元,用于根据所述查询单元的查询,获取与所述攻击目标信息相关联的控制端信息。
结合第二方面,在第二方面的第一种实施方式中,所述的DDOS攻击溯源方法,还包括:溯源库建立单元,用于预先建立所述DDOS攻击溯源库。
结合第二方面的第一种实施方式,在第二方面的第二种实施方式中,所述溯源库建立单元包括:样本捕获模块、特征提取模块、虚拟运行模块、抓包模块以及溯源库建立模块,其中,样本捕获模块,用于捕获互联网中传播的传播样本;特征提取模块,用于提取所述传播样本的样本特征,与预先设置的DDOS样本特征库进行匹配;其中,所述样本特征包括:样本内容特征、和/或,样本运行特征;虚拟运行模块,如果提取的样本特征与所述DDOS样本特征库相匹配,在预先设置的虚拟环境中运行所述传播样本;抓包模块,如果运行的所述传播样本满足预先设置的活性DDOS样本条件,持续运行所述传播样本,抓取运行中的网络流量包;溯源库建立模块,用于解析抓取的网络流量包,提取解析的网络流量包中包含的攻击目标信息以及控制端信息,构建控制端信息与攻击目标信息的关联关系,建立DDOS攻击溯源。
结合第二方面的第二种实施方式,在第二方面的第三种实施方式中,所述样本捕获模块为蜜网系统。
结合第二方面的第二种实施方式,在第二方面的第四种实施方式中,所述虚拟运行模块包括:判断子模块、虚拟环境获取子模块以及运行子模块,其中,判断子模块,如果提取的样本特征与所述DDOS样本特征库相匹配,通知虚拟环境获取子模块;虚拟环境获取子模块,用于解析所述传播样本,得到所述传播样本对应的样本格式,查询预先设置的样本格式与虚拟环境的映射关系库,得到所述传播样本对应的样本格式映射的虚拟环境,通知运行子模块;运行子模块,用于在所述映射的虚拟环境中运行所述传播样本。
结合第二方面的第二种实施方式,在第二方面的第五种实施方式中,所述虚拟运行模块还用于:在样本捕获模块捕获互联网中传播的传播样本之后,特征提取模块提取所述传播样本的样本特征之前,在预先设置的虚拟环境中运行所述传播样本。
结合第二方面的第二种实施方式,在第二方面的第六种实施方式中,所述装置还包括:DDOS样本特征库更新模块,用于提取与所述DDOS样本特征库不相匹配的并满足预先设置的活性DDOS样本条件的传播样本的内容特征,利用提取的内容特征更新所述DDOS样本特征库。
第三方面,本发明实施例提供一种计算机可读存储介质,其存储用于电子数据交换的计算机程序,其中,所述计算机程序使得计算机执行前述任一实施方式所述的方法。
第四方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施方式所述的方法。
本发明实施例提供的一种DDOS攻击溯源方法、装置、计算机可读存储介质及电子设备,在有攻击目标遭受DDOS攻击时,可通过查询预先建立的DDOS攻击溯源库,快速的溯源到被攻击目标的控制端,即使对于未部署入侵检测设备的网络环境,也可快速实现攻击溯源,具有较强的网络环境适应能力。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明的实施例一DDOS攻击溯源方法流程示意图;
图2为本发明的实施例一中预先建立DDOS攻击溯源库的流程示意图;
图3为本发明的实施例一中预先建立DDOS攻击溯源库的具体流程示意图;
图4为本发明的实施例二DDOS攻击溯源装置的结构示意图;
图5为本发明的实施例二DDOS攻击溯源装置中溯源库建立单元的结构示意图;
图6为本发明电子设备一个实施例的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例一
本发明实施例提供一种DDOS攻击溯源方法,在互联网中的网络环境遭受DDOS攻击时,可快速的溯源到被攻击目标的控制端,为快速对控制端采取控制措施提供基础。
需要说明的是,本发明实施例提供的一种DDOS攻击溯源方法,应用于互联网安全监控系统中的攻击溯源设备中,所述攻击溯源设备具体可以是一通用计算机设备。
图1为本发明的实施例一DDOS攻击溯源方法流程示意图,如图1所示,本实施例的方法可以包括:
步骤111、接收输入的遭受DDOS攻击的攻击目标信息;
本实施例中,攻击目标可以是互联网中的网站,攻击目标信息则可以是网站的域名或IP地址。
当监管机构接到报案得知某受害人的网站被攻击导致无法响应正常用户的服务时,若可初步判定为DDOS攻击,则可获取受害人的网站域名或IP地址,并将受害人的网站域名或IP地址通过攻击溯源设备提供的输入接口输入到攻击溯源设备中。
步骤112、查询预先建立的DDOS攻击溯源库;
攻击溯源设备接收到输入的遭受DDOS攻击的攻击目标信息之后,查询预先建立的DDOS攻击溯源库。所述DDOS攻击溯源库中维护有控制端信息与攻击目标信息的关联关系。
步骤113、获取与所述攻击目标信息相关联的控制端信息。
通过所述查询,如所述DDOS攻击溯源库中存在所述攻击目标信息,攻击溯源设备则可根据所述控制端信息与攻击目标信息的关联关系,获取与所述攻击目标信息相关联的控制端信息。
本实施例提供的DDOS攻击溯源方法,在有攻击目标遭受DDOS攻击时,可通过查询预先建立的DDOS攻击溯源库,快速的溯源到被攻击目标的控制端,即使对于未部署入侵检测设备的网络环境,也可快速实现攻击溯源,具有较强的网络环境适应能力。
根据本发明一实施例,在接收输入的遭受DDOS攻击的攻击目标信息(步骤111)之前,所述方法还可包括:预先建立DDOS攻击溯源库。
图2为本发明的实施例一中预先建立DDOS攻击溯源库的流程示意图,如图2所示,作为一可选实施方式,所述预先建立DDOS攻击溯源库可包括:
步骤101,捕获互联网中传播的传播样本;
本实施例中,作为一可选实施例,捕获互联网中传播的传播样本包括:
通过预先部署在互联网中的蜜网捕获传播的传播样本。
本实施例中,蜜网(honeynet)是一个网络系统,而并非某台单一主机,该网络系统隐藏在防火墙后,用以监控、捕获及控制所有进出的资料,即传播样本,蜜网构成了一个黑客诱捕网络体系架构,不仅保证了网络的高度可控性,还能提供多种工具以方便对攻击信息的采集和分析。因而,本实施例中,利用互联网中预先部署的蜜网,可以无需为每一被监控的网络环境布设相应的入侵检测设备,并能实现对未被监控的网络环境的监控、捕获及控制。
步骤102,提取所述传播样本的样本特征,与预先设置的DDOS样本特征库进行匹配;
本实施例中,作为一可选实施例,样本特征包括但不限于:内容特征以及运行特征,其中,内容特征包括但不限于:特征字符串、关键词等;运行特征包括但不限于:发包频率、发包的目标数量等。优选地,样本特征可为内容特征。
本实施例中,关于特征匹配的具体流程可参见相关技术文献,在此略去详述。如果提取的样本特征与DDOS样本特征库相匹配,表明该传播样本为DDOS样本,需要作进一步处理。
本实施例中,作为一可选实施例,在捕获互联网中传播的传播样本之后,提取所述传播样本的样本特征之前,可在预先设置的所述虚拟环境中运行所述传播样本,以防止所述传播样本感染本地设备。
步骤103,如果提取的样本特征与所述DDOS样本特征库相匹配,在预先设置的虚拟环境中运行所述传播样本;
本实施例中,作为一可选实施例,虚拟环境包括但不限于:虚拟Windows操作系统环境、虚拟Linux操作系统环境以及虚拟Unix操作系统环境等,本实施例对此不作限定。
本实施例中,作为一可选实施例,可以在虚拟Windows操作系统环境、虚拟Linux操作系统环境以及虚拟Unix操作系统环境中依次运行传播样本,如果传播样本能够在某一虚拟环境中运行,则继续下一流程,如果传播样本在某一虚拟环境中不能运行,则尝试在另一虚拟环境中运行,如果在所有虚拟环境中均不能运行,结束流程。
本实施例中,通过将提取的样本特征与DDOS样本特征库进行匹配,可以有效减少在虚拟环境中运行的传播样本数,节约资源。
本实施例中,作为另一可选实施例,在所述如果提取的样本特征与所述DDOS样本特征库相匹配之后,在预先设置的虚拟环境中运行所述传播样本之前,该方法还可以包括:解析所述传播样本,得到所述传播样本对应的样本格式,查询预先设置的样本格式与虚拟环境的映射关系库,得到所述传播样本对应的样本格式映射的虚拟环境,以使所述传播样本在所述映射的虚拟环境中运行。
本实施例中,样本格式表明该传播样本是在哪一类环境下运行。例如,如果解析得到的传播样本对应的样本格式为.exe,则该样本格式映射的环境为Windows操作系统环境,这样,通过解析传播样本得到其对应的样本格式,可以有效减少在各虚拟环境中尝试运行的次数。
步骤104,如果运行的所述传播样本满足预先设置的活性DDOS样本条件,持续运行所述传播样本,抓取运行中的网络流量包;
本实施例中,对于DDOS样本,可以分为活性DDOS样本以及非活性DDOS样本,其中,只有活性DDOS样本在运行中才会对网络安全造成威胁。
作为一可选实施例,活性DDOS样本条件为通过三次握手建立用以进行数据传输的TCP连接,如果传播样本在虚拟环境的运行中,通过三次握手建立TCP连接,则确认运行的所述传播样本满足预先设置的活性DDOS样本条件。其中,三次握手是指TCP 连接是通过三次握手进行初始化的,三次握手的目的是同步连接双方的序列号和确认号并交换 TCP 窗口大小信息,以保证在发送数据前建立可靠的连接。
本实施例中,若DDOS样本为活性DDOS样本,即存在三次握手通过后的网络连接,则将该样本持续运行并持续抓取其网络流量包。
本实施例中,作为另一可选实施例,如果运行的所述传播样本未满足预先设置的活性DDOS样本条件,则终止运行传播样本,并结束该传播样本的溯源流程。
本实施例中,作为另一可选实施例,由于预先设置的DDOS样本特征库中的样本特征较为有限,因而,对于提取的样本特征与DDOS样本特征库不相匹配的情形,该样本特征对应的传播样本也有可能是DDOS样本,为了提升DDOS样本判断的精确性,该方法还可以包括:如果提取的样本特征与所述DDOS样本特征库不相匹配,在预先设置的虚拟环境中运行所述传播样本,获取所述传播样本的运行特征,依据所述运行特征判断所述传播样本是否为DDOS样本,如果是,执行所述如果运行的所述传播样本满足预先设置的活性DDOS样本条件的步骤。
本实施例中,在未运行的传播样本进行样本特征提取,提取的是内容特征,如果内容特征与DDOS样本特征库不相匹配,可以进一步运行传播样本,进行运行特征提取,以判断该传播样本是否为DDOS样本。
本实施例中,样本的运行特征是指样本在虚拟环境中运行表现出来的特征或行为。以运行特征为发包频率为例,如果发包频率达到或超过一预先设置的发包频率阈值,可以认为该传播样本为DDOS样本。
步骤105,解析抓取的网络流量包,提取解析的网络流量包中包含的攻击目标信息以及控制端信息,构建控制端信息与攻击目标信息的关联关系,建立DDOS攻击溯源库。
本实施例中,关于解析网络流量包,提取其包含的信息,具体可参见相关技术文献,在此略去详述。
本实施例中,作为一可选实施例,控制端信息为控制命令服务器信息(C&C,Command and Control),包括但不限于:控制端IP、控制端域名。
本实施例中,作为一可选实施例,可将控制端信息与攻击目标信息的关联关系保存为关联关系库中的一个集合,并存储至文件或数据库中进行持续维护。
本实施例中,作为一可选实施例,在关联关系库中,控制端信息以及攻击目标信息的关联关系可以是一对多的关联,也可以是多对一的关联。
本实施例中,通过将维护的关联关系库作为攻击溯源的基础,若发现某个攻击目标被DDOS攻击,则可以直接去查看持续维护的关联关系库,若该攻击目标的攻击目标信息预先记录在关联关系库中,则可快速的溯源到该攻击目标信息的所有控制端信息,可以无需再解析网络流量包,进而对控制端采取进一步措施。
本实施例中,作为再一可选实施例,该方法还可以包括:封锁获取的控制端信息或解析得到的控制端信息。
本实施例中,作为另一可选实施例,在前述提取的样本特征与DDOS样本特征库不相匹配的情形下,如果最终确定该提取的样本特征对应的传播样本为活性DDOS样本,该方法还可以包括:提取与所述DDOS样本特征库不相匹配的并满足预先设置的活性DDOS样本条件的传播样本的内容特征,利用提取的内容特征更新所述DDOS样本特征库。
本实施例中,对于提取的样本特征与DDOS样本特征库不相匹配的传播样本,当判断为活性DDOS样本后,通过人工或自动的方法提取该传播样本的内容特征并添加至DDOS样本特征库,以用于加速判断后续传播样本是否为DDOS样本。
本实施例的DDOS攻击溯源方法,依据实时维护更新的DDOS样本特征库以及活性DDOS样本条件进行活性DDOS样本判定,监测发生DDOS攻击的技术手段全面,攻击溯源效率高;其次,由于传播样本获取依赖于部署在互联网中的蜜网来捕获活跃样本,因而,对于传播样本的获取没有内网环境的限制或地理位置的限制,能连接互连网即可,对网络环境无过高要求;而且,传播样本通过蜜网捕获,使得捕获的传播样本是当下活跃且流行的样本,因而,捕获的传播样本为DDOS样本的比例较高,提升了DDOS样本的捕获率;此外,通过从网路流量包中提取控制端信息与攻击目标信息的关联关系,准确性高、误报率低。
本实施例的DDOS攻击溯源方法,可以不局限于利用入侵检测设备监控的方法实现DDOS攻击溯源,对于威胁情报相关产品,可产出DDOS威胁情报信息,对于监管机构,可快速的溯源到被攻击目标的控制端,进而采取对控制端的进一步措施,例如,封锁控制端IP,甚至作为证据实施定罪等。举例来说,当监管机构,例如公安机关接到报案得知某受害人的网站被攻击导致无法响应正常用户的服务时,若初步判定为DDOS攻击,则可获取该受害人的网站域名或IP,在本发明实施例构建的控制端信息与攻击目标信息的关联关系中进行查询,查询该受害人的网站域名或IP是否出现在攻击目标信息中,若是,则可快速输出其关联的控制端IP或域名,该控制端的IP或域名既可作为证据使用,从而找到关联的犯罪嫌疑人,也可对该控制端IP或域名进行处置,使受害人的网站恢复正常运转。
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面对本发明实施例中预先建立DDOS攻击溯源库的技术方案作进一步详细的说明。
图3为本发明的实施例一中预先建立DDOS攻击溯源库的具体流程示意图,如图3所示,作为一可选实施方式,所述预先建立DDOS攻击溯源库可以包括:
步骤201,在互联网中部署蜜网系统,通过蜜网捕获传播样本;
步骤202,提取捕获的传播样本的样本特征;
本实施例中,作为一可选实施例,提取捕获的传播样本的特征,例如,内容特征或运行特征。
步骤203,将所述样本特征与预先设置的DDOS样本特征库进行匹配,如果相匹配,执行步骤204,如果不相匹配,丢弃所述捕获的传播样本;
本实施例中,将样本特征与预先存储的DDOS样本特征库中的字符串特征或行为特征进行匹配,以判断捕获的传播样本是否为DDOS样本,如果相匹配,则认为是DDOS样本,执行下一步骤,如果不相匹配,则认为是非DDOS样本,可以丢弃该传播样本或作进一步处理。
步骤204,在预先设置的虚拟环境中运行传播样本,判断运行的传播样本是否为活性DDOS样本,如果是,执行步骤205,如果不是,丢弃运行的传播样本;
本实施例中,将通过步骤203判断的传播样本,再通过动态运行传播样本以判断该传播样本是否为活性DDOS样本。其中,活性DDOS样本判断方法为自动化的通过网络流量包判断,如果该传播样本通过TCP三次握手成功后并有后续的通信行为,则该传播样本为活性DDOS样本。
步骤205,持续运行传播样本,抓取运行传播样本产生的网络流量包;
本实施例中,通过活性DDOS样本判断后,将传播样本持续动态运行并抓取其网路流量包。
步骤206,解析抓取的网络流量包,提取解析的网络流量包中包含的攻击目标信息以及控制端信息;
步骤207,构建解析得到的控制端信息以及攻击目标信息的关联关系,建立DDOS攻击溯源库。
本实施例中,将解析并构建的关联关系存储到数据库中,可重复执行步骤201至步骤207,以持续维护该数据库中的关联关系。
后续中,可以将持续维护的数据库应用到各种DDOS攻击端溯源的场景中。
实施例二
本发明实施例提供一种DDOS攻击溯源装置,在互联网中的网络环境遭受DDOS攻击时,可快速的溯源到被攻击目标的控制端,为快速对控制端采取控制措施提供基础。
需要说明的是,本发明实施例提供的一种DDOS攻击溯源装置,应用于互联网安全监控系统中。
图4为本发明实施例二DDOS攻击溯源装置的结构示意图,参看图4,本实施例一种DDOS攻击溯源装置,包括:目标信息输入单元21、查询单元22和控制端信息获取单元23;其中,
目标信息输入单元21,用于接收输入的遭受DDOS攻击的攻击目标信息;
本实施例中,攻击目标可以是互联网中的网站,攻击目标信息则可以是网站的域名或IP地址。
当监管机构接到报案得知某受害人的网站被攻击导致无法响应正常用户的服务时,若可初步判定为DDOS攻击,则可获取受害人的网站域名或IP地址,并将受害人的网站域名或IP地址通过输入接口输入到目标信息输入单元中。
查询单元22,用于根据所述攻击目标信息,查询预先建立的DDOS攻击溯源库;其中,所述DDOS攻击溯源库中具有控制端信息与攻击目标信息的关联关系;
目标信息输入单元接收到输入的遭受DDOS攻击的攻击目标信息之后,查询单元查询预先建立的DDOS攻击溯源库。所述DDOS攻击溯源库中维护有控制端信息与攻击目标信息的关联关系。
控制端信息获取单元23,用于根据所述查询单元的查询,获取与所述攻击目标信息相关联的控制端信息。
通过所述查询,如所述DDOS攻击溯源库中存在所述攻击目标信息,控制端信息获取单元则可根据所述控制端信息与攻击目标信息的关联关系,获取与所述攻击目标信息相关联的控制端信息。
本实施例提供的DDOS攻击溯源装置,在有攻击目标遭受DDOS攻击时,可通过查询预先建立的DDOS攻击溯源库,快速的溯源到被攻击目标的控制端,即使对于未部署入侵检测设备的网络环境,也可快速实现攻击溯源,具有较强的网络环境适应能力。
根据本发明一实施例,所述的DDOS攻击溯源装置,还可包括:溯源库建立单元,用于预先建立所述DDOS攻击溯源库。
图5为本发明的实施例二中溯源库建立单元的结构示意图,如图5所示,作为一可选实施方式,所述溯源库建立单元可以包括:样本捕获模块31、特征提取模块32、虚拟运行模块33、抓包模块34以及溯源库建立模块35,其中,
样本捕获模块31,用于捕获互联网中传播的传播样本;
本实施例中,作为一可选实施例,样本捕获模块31为蜜网系统。利用互联网中预先部署的蜜网系统,可以无需为每一被监控的网络环境布设相应的入侵检测设备,并能实现对未被监控的网络环境的监控、捕获及控制。
特征提取模块32,用于提取所述传播样本的样本特征,与预先设置的DDOS样本特征库进行匹配;
本实施例中,作为一可选实施例,样本特征包括但不限于:内容特征以及运行特征,其中,内容特征包括但不限于:特征字符串、关键词等;运行特征包括但不限于:发包频率、发包的目标数量等。优选地,样本特征可为内容特征。
虚拟运行模块33,如果提取的样本特征与所述DDOS样本特征库相匹配,在预先设置的虚拟环境中运行所述传播样本;
本实施例中,作为一可选实施例,虚拟环境包括但不限于:虚拟Windows操作系统环境、虚拟Linux操作系统环境以及虚拟Unix操作系统环境等,本实施例对此不作限定。
本实施例中,通过将提取的样本特征与DDOS样本特征库进行匹配,可以有效减少在虚拟环境中运行的传播样本数,节约资源。
本实施例中,作为一可选实施例,虚拟运行模块33包括:判断子模块、虚拟环境获取子模块以及运行子模块(图中未示出),其中,
判断子模块,如果提取的样本特征与所述DDOS样本特征库相匹配,通知虚拟环境获取子模块;
虚拟环境获取子模块,用于解析所述传播样本,得到所述传播样本对应的样本格式,查询预先设置的样本格式与虚拟环境的映射关系库,得到所述传播样本对应的样本格式映射的虚拟环境,通知运行子模块;
本实施例中,样本格式表明该传播样本是在哪一类环境下运行。例如,如果解析得到的传播样本对应的样本格式为.exe,则该样本格式映射的环境为Windows操作系统环境,这样,通过解析传播样本得到其对应的样本格式,可以有效减少在各虚拟环境中尝试运行的次数。
运行子模块,用于在所述映射的虚拟环境中运行所述传播样本。
抓包模块34,如果运行的所述传播样本满足预先设置的活性DDOS样本条件,持续运行所述传播样本,抓取运行中的网络流量包;
本实施例中,对于DDOS样本,可以分为活性DDOS样本以及非活性DDOS样本,其中,只有活性DDOS样本在运行中才会对网络安全造成威胁。活性DDOS样本条件为通过三次握手建立用以进行数据传输的TCP连接,如果传播样本在虚拟环境的运行中,通过三次握手建立TCP连接,则确认运行的所述传播样本满足预先设置的活性DDOS样本条件。
本实施例中,作为另一可选实施例,如果运行的所述传播样本未满足预先设置的活性DDOS样本条件,则终止运行传播样本,并结束该传播样本的溯源流程。
溯源库建立模块35,用于解析抓取的网络流量包,提取解析的网络流量包中包含的攻击目标信息以及控制端信息,构建控制端信息与攻击目标信息的关联关系,建立DDOS攻击溯源库。
本实施例中,作为一可选实施例,所述虚拟运行模块还用于:在样本捕获模块捕获互联网中传播的传播样本之后,特征提取模块提取所述传播样本的样本特征之前,在预先设置的虚拟环境中运行所述传播样本,以防止所述传播样本感染本地设备。
本实施例中,作为一可选实施例,由于预先设置的DDOS样本特征库中的样本特征较为有限,因而,对于提取的样本特征与DDOS样本特征库不相匹配的情形,该样本特征对应的传播样本也有可能是DDOS样本,为了提升DDOS样本判断的精确性,该装置还包括:DDOS样本判断模块(图中未示出),如果提取的样本特征与所述DDOS样本特征库不相匹配,在预先设置的虚拟环境中运行所述传播样本,获取所述传播样本的运行特征,依据所述运行特征判断所述传播样本是否为DDOS样本,如果是,通知抓包模块34。
本实施例中,作为一可选实施例,在前述提取的样本特征与DDOS样本特征库不相匹配的情形下,如果最终确定该提取的样本特征对应的传播样本为活性DDOS样本,该装置还包括:DDOS样本特征库更新模块,用于提取与所述DDOS样本特征库不相匹配的并满足预先设置的活性DDOS样本条件的传播样本的内容特征,利用提取的内容特征更新所述DDOS样本特征库。
本实施例中,作为一可选实施例,将控制端C&C与攻击目标信息的关联关系保存为关联关系库中的一个集合,并存储至文件或数据库中进行持续维护。
本实施例中,作为一可选实施例,在关联关系库中,控制端信息以及攻击目标信息的关联关系可以是一对多的关联,也可以是多对一的关联。
本实施例的装置,可以用于执行图1至图3所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本发明实施例还提供一种DDOS攻击溯源库建立方法,该DDOS攻击溯源库建立方法,与实施例一中所述的预先建立DDOS攻击溯源库的过程和技术效果相同,此处不再赘述。
本发明实施例还提供一种DDOS攻击溯源库建立装置,该DDOS攻击溯源库建立装置,与实施例二中所述的溯源库建立单元的结构和技术效果相同,此处不再赘述。
本发明实施例还提供一种计算机可读存储介质,其存储用于电子数据交换的计算机程序,其中,所述计算机程序使得计算机执行图1所示方法实施例的技术方案。
本发明实施例还提供了一种应用程序,用于执行本发明实施例所提供的一种DDOS攻击溯源方法。
本发明实施例还提供了一种应用程序,用于执行本发明实施例所提供的一种DDOS攻击溯源库建立方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM 或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。
在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本发明实施例还提供一种电子设备,所述电子设备包含前述任一实施例所述的装置。
图6为本发明电子设备一个实施例的结构示意图,可以实现本发明图1-3所示实施例的流程,如图6所示,上述电子设备可以包括:壳体41、处理器42、存储器43、电路板44和电源电路45,其中,电路板44安置在壳体41围成的空间内部,处理器42和存储器43设置在电路板44上;电源电路45,用于为上述电子设备的各个电路或器件供电;存储器43用于存储可执行程序代码;处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施方式所述的方法。
处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1-3所示实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:
(1) 移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通 信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2) 超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能, 一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3) 通用计算机:这类设备的构成包括处理器、硬盘、内存、系统总线等,有计算和处理功能,也具备上网特性。
(4) 服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5) 其他具有数据交互功能的电子设备。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本
发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种DDOS攻击溯源方法,其特征在于,包括:
接收输入的遭受DDOS攻击的攻击目标信息;
根据所述攻击目标信息,查询预先建立的DDOS攻击溯源库,获取与所述攻击目标信息相关联的控制端信息;其中,所述DDOS攻击溯源库中具有控制端信息与攻击目标信息的关联关系;
在接收输入的遭受DDOS攻击的攻击目标信息之前,所述方法还包括:预先建立DDOS攻击溯源库;
所述预先建立DDOS攻击溯源库包括:
捕获互联网中传播的传播样本;
提取所述传播样本的样本特征,与预先设置的DDOS样本特征库进行匹配;其中,所述样本特征包括:样本内容特征、和/或,样本运行特征;
如果提取的样本特征与所述DDOS样本特征库相匹配,在预先设置的虚拟环境中运行所述传播样本;
如果运行的所述传播样本满足预先设置的活性DDOS样本条件,持续运行所述传播样本,抓取运行中的网络流量包;
解析抓取的网络流量包,提取解析的网络流量包中包含的攻击目标信息以及控制端信息,构建控制端信息与攻击目标信息的关联关系,建立DDOS攻击溯源库;
所述捕获互联网中传播的传播样本包括:通过预先部署在互联网中的蜜网捕获传播的传播样本。
2.根据权利要求1所述的DDOS攻击溯源方法,其特征在于,在所述如果提取的样本特征与所述DDOS样本特征库相匹配之后,在预先设置的虚拟环境中运行所述传播样本之前,所述方法还包括:
解析所述传播样本,得到所述传播样本对应的样本格式,查询预先设置的样本格式与虚拟环境的映射关系库,得到所述传播样本对应的样本格式映射的虚拟环境,以使所述传播样本在所述映射的虚拟环境中运行。
3.根据权利要求2所述的DDOS攻击溯源方法,其特征在于,在捕获互联网中传播的传播样本之后,提取所述传播样本的样本特征之前,所述方法还包括:在预先设置的所述虚拟环境中运行所述传播样本。
4.根据权利要求3所述的DDOS攻击溯源方法,其特征在于,所述方法还包括:提取与所述DDOS样本特征库不相匹配的并满足预先设置的活性DDOS样本条件的传播样本的内容特征,利用提取的内容特征更新所述DDOS样本特征库。
5.一种DDOS攻击溯源装置,其特征在于,包括:目标信息输入单元、查询单元和控制端信息获取单元;其中,
目标信息输入单元,用于接收输入的遭受DDOS攻击的攻击目标信息;
查询单元,用于根据所述攻击目标信息,查询预先建立的DDOS攻击溯源库;其中,所述DDOS攻击溯源库中具有控制端信息与攻击目标信息的关联关系;
控制端信息获取单元,用于根据所述查询单元的查询,获取与所述攻击目标信息相关联的控制端信息;
还包括:溯源库建立单元,用于预先建立所述DDOS攻击溯源库;
所述溯源库建立单元包括:样本捕获模块、特征提取模块、虚拟运行模块、抓包模块以及溯源库建立模块,其中,
样本捕获模块,用于捕获互联网中传播的传播样本;
特征提取模块,用于提取所述传播样本的样本特征,与预先设置的DDOS样本特征库进行匹配;其中,所述样本特征包括:样本内容特征、和/或,样本运行特征;
虚拟运行模块,用于如果提取的样本特征与所述DDOS样本特征库相匹配,在预先设置的虚拟环境中运行所述传播样本;
抓包模块,用于如果运行的所述传播样本满足预先设置的活性DDOS样本条件,持续运行所述传播样本,抓取运行中的网络流量包;
溯源库建立模块,用于解析抓取的网络流量包,提取解析的网络流量包中包含的攻击目标信息以及控制端信息,构建控制端信息与攻击目标信息的关联关系,建立DDOS攻击溯源库;
所述样本捕获模块为蜜网系统。
6.根据权利要求5所述的DDOS攻击溯源装置,其特征在于,所述虚拟运行模块包括:判断子模块、虚拟环境获取子模块以及运行子模块,其中,
判断子模块,用于如果提取的样本特征与所述DDOS样本特征库相匹配,通知虚拟环境获取子模块;
虚拟环境获取子模块,用于解析所述传播样本,得到所述传播样本对应的样本格式,查询预先设置的样本格式与虚拟环境的映射关系库,得到所述传播样本对应的样本格式映射的虚拟环境,通知运行子模块;
运行子模块,用于在所述映射的虚拟环境中运行所述传播样本。
7.根据权利要求6所述的DDOS攻击溯源装置,其特征在于,所述虚拟运行模块还用于:在样本捕获模块捕获互联网中传播的传播样本之后,特征提取模块提取所述传播样本的样本特征之前,在预先设置的虚拟环境中运行所述传播样本。
8.根据权利要求7所述的DDOS攻击溯源装置,其特征在于,所述装置还包括:DDOS样本特征库更新模块,用于提取与所述DDOS样本特征库不相匹配的并满足预先设置的活性DDOS样本条件的传播样本的内容特征,利用提取的内容特征更新所述DDOS样本特征库。
9.一种计算机可读存储介质,其存储用于电子数据交换的计算机程序,其中,所述计算机程序使得计算机执行如权利要求1-4任一项所述的方法。
10.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行如下如权利要求1-4任一项所述的方法。
CN201710974000.5A 2017-10-19 2017-10-19 Ddos攻击溯源方法、装置、存储介质及电子设备 Active CN109474567B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710974000.5A CN109474567B (zh) 2017-10-19 2017-10-19 Ddos攻击溯源方法、装置、存储介质及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710974000.5A CN109474567B (zh) 2017-10-19 2017-10-19 Ddos攻击溯源方法、装置、存储介质及电子设备

Publications (2)

Publication Number Publication Date
CN109474567A CN109474567A (zh) 2019-03-15
CN109474567B true CN109474567B (zh) 2022-01-07

Family

ID=65658199

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710974000.5A Active CN109474567B (zh) 2017-10-19 2017-10-19 Ddos攻击溯源方法、装置、存储介质及电子设备

Country Status (1)

Country Link
CN (1) CN109474567B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110830500B (zh) * 2019-11-20 2022-03-11 北京天融信网络安全技术有限公司 网络攻击追踪方法、装置、电子设备及可读存储介质
CN111193749B (zh) * 2020-01-03 2022-05-17 北京明略软件系统有限公司 一种攻击溯源方法、装置、电子设备和存储介质
CN110830519B (zh) * 2020-01-08 2020-05-08 浙江乾冠信息安全研究院有限公司 攻击溯源方法、装置、电子设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101621428A (zh) * 2009-07-29 2010-01-06 成都市华为赛门铁克科技有限公司 一种僵尸网络检测方法及系统以及相关设备

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7613179B2 (en) * 2003-11-26 2009-11-03 Nortel Networks Limited Technique for tracing source addresses of packets
CN103297561B (zh) * 2013-05-31 2016-04-20 中国联合网络通信集团有限公司 Ip地址溯源方法和装置
CN106685803A (zh) * 2016-12-29 2017-05-17 北京安天网络安全技术有限公司 一种基于钓鱼邮件溯源apt攻击事件的方法及系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101621428A (zh) * 2009-07-29 2010-01-06 成都市华为赛门铁克科技有限公司 一种僵尸网络检测方法及系统以及相关设备

Also Published As

Publication number Publication date
CN109474567A (zh) 2019-03-15

Similar Documents

Publication Publication Date Title
CN111147504B (zh) 威胁检测方法、装置、设备和存储介质
CN105024976B (zh) 一种高级持续威胁攻击识别方法及装置
CA3159619C (en) Packet processing method and apparatus, device, and computer-readable storage medium
CN109474567B (zh) Ddos攻击溯源方法、装置、存储介质及电子设备
CN112738071A (zh) 一种攻击链拓扑的构建方法及装置
CN112685734B (zh) 安全防护方法、装置、计算机设备和存储介质
CN111565203B (zh) 业务请求的防护方法、装置、系统和计算机设备
CN111049786A (zh) 一种网络攻击的检测方法、装置、设备及存储介质
CN110768949B (zh) 探测漏洞的方法及装置、存储介质、电子装置
CN111464526A (zh) 一种网络入侵检测方法、装置、设备及可读存储介质
CN111901326B (zh) 多设备入侵的检测方法、装置、系统以及存储介质
CN114157450A (zh) 基于物联网蜜罐的网络攻击诱导方法及装置
CN111049781A (zh) 一种反弹式网络攻击的检测方法、装置、设备及存储介质
CN112910895A (zh) 网络攻击行为检测方法、装置、计算机设备和系统
CN113992386A (zh) 一种防御能力的评估方法、装置、存储介质及电子设备
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
CN112398829A (zh) 一种电力系统的网络攻击模拟方法及系统
CN111859374A (zh) 社会工程学攻击事件的检测方法、装置以及系统
CN106911665B (zh) 一种识别恶意代码弱口令入侵行为的方法及系统
CN113726825A (zh) 一种网络攻击事件反制方法、装置及系统
CN116319074B (zh) 一种基于多源日志的失陷设备检测方法、装置及电子设备
CN112751861A (zh) 一种基于密网和网络大数据的恶意邮件检测方法及系统
CN113722705B (zh) 一种恶意程序清除方法及装置
KR20200092508A (ko) IoT 기기 악성코드 분석을 위한 대규모 허니팟 시스템
CN105827627A (zh) 一种信息获取方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant