发明内容
本发明实施例提供了一种僵尸网络DDoS攻击的防护方法、装置及存储介质,用以解决现有技术中对僵尸网络DDoS攻击的防护准确率和效率较低的问题。
本发明实施例提供了一种僵尸网络DDoS攻击的防护方法,所述方法包括:
接收防护设备发送的每个第一特征组;其中,所述每个第一特征组是防护设备接收预设数量的每个终端发送的报文,对每个报文进行特征提取得到的;
针对接收到的每个第一特征组,将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配;其中,所述每个僵尸网络的特征库中的第二特征是通过统计历史周期内的每个僵尸网络DDoS攻击报文,并进行特征提取得到的;
将匹配成功的特征库对应的地址信息发送至所述防护设备,使所述防护设备将所述地址信息加入黑名单,丢弃所述地址信息对应的终端发送的报文。
进一步地,所述第一特征组中的第一特征至少包括:
源IP、源端口、目的IP、报文类型、报文类型顺序、报文间隔时间和同类型报文的相似性。
进一步地,针对接收到的每个第一特征组,将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配包括:
针对接收到的每个第一特征组,将该第一特征组中的每个第一特征按照重要程度进行排序;按顺序依次选定第一特征,将该第一特征与每个僵尸网络的特征库中的第二特征进行匹配;
所述将匹配成功的特征库对应的地址信息发送至所述防护设备包括:
识别第一特征匹配成功数量最多的第一特征组,将所述匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库,将所述匹配成功的特征库对应的地址信息发送至所述防护设备。
进一步地,所述识别第一特征匹配成功数量最多的第一特征组之后,将所述匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库之前,所述方法还包括:
判断第一特征匹配成功数量最多的第一特征组对应的特征库的地址信息的数量是否大于预设的第一数量阈值,如果否,将所述匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库。
进一步地,如果第一特征匹配成功数量最多的第一特征组对应的特征库的地址信息的数量大于预设的第一数量阈值,所述方法还包括:
统计预设的第二时间长度内每个地址信息发起攻击的次数;
按照发起攻击次数由高到低选取预设的第二数量的地址信息作为活跃地址信息;
确定第一特征匹配成功数量最多的每个第一特征组对应的特征库,选取所述特征库中的活跃地址信息发送至所述防护设备。
进一步地,如果不存在匹配成功的第一特征组,所述方法还包括:
统计预设的第二时间长度内每个地址信息发起攻击的次数;
按照发起攻击次数由高到低选取预设的第二数量的地址信息作为活跃地址信息;
将所述活跃地址信息发送至所述防护设备。
进一步地,所述方法还包括:
接收所述防护设备发送的第三特征;其中,所述第三特征是所述防护设备对接收到僵尸网络的地址信息对应的终端发送的报文进行特征提取得到的;
将所述第三特征保存至对应的僵尸网络的特征库。
本发明实施例提供了一种僵尸网络DDoS攻击的防护方法,所述方法包括:
针对预设数量的每个终端,接收该终端发送的报文,对所述报文进行特征提取,确定所述报文的第一特征组;并将所述报文的第一特征组发送至服务器;
判断是否接收到所述服务器发送的地址信息;其中,所示地址信息是所述服务器针对接收到的每个第一特征组,将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配,匹配成功的特征库对应的地址信息;
如果是,将所述地址信息加入黑名单,丢弃所述地址信息对应的终端发送的报文。
进一步地,所述针对预设数量的每个终端,接收该终端发送的报文,对所述报文进行特征提取之前,所述方法还包括:
针对预设数量的每个终端,当接收到该终端发送的请求报文,向该终端发送响应报文;判断在预设的第一时间长度内,是否接收到该终端发送的确认报文,如果是,进行后续步骤。
进一步地,接收该终端发送的报文,对所述报文进行特征提取,确定所述报文的第一特征组包括:
对该终端发送的任意报文进行特征提取,确定所述报文的源IP、源端口、目的IP、报文类型;
对该终端在预设的时间长度内发送的每个报文依次进行特征提取,确定每个报文的报文类型并统计每个报文的时间戳;根据每个报文的报文类型确定报文类型顺序,并确定同类型报文的相似性,根据每个报文的时间戳确定报文间隔时间;
将所述源IP、源端口、目的IP、报文类型、文类型顺序、报文间隔时间和同类型报文的相似性分别作为第一特征并构成第一特征组。
进一步地,接收到所述服务器发送的地址信息之后,丢弃所述地址信息对应的终端发送的报文之前,所述方法还包括:
对接收到的僵尸网络的地址信息对应的终端发送的报文进行特征提取,确定所述报文的第三特征;
将所述第三特征发送至所述服务器,使所述服务器将所述第三特征保存至对应的僵尸网络的特征库。
本发明实施例提供了一种僵尸网络DDoS攻击的防护装置,所述装置包括:
第一接收模块,用于接收防护设备发送的每个第一特征组;其中,所述每个第一特征组是防护设备接收预设数量的每个终端发送的报文,对每个报文进行特征提取得到的;
匹配模块,用于针对接收到的每个第一特征组,将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配;其中,所述每个僵尸网络的特征库中的第二特征是通过统计历史周期内的每个僵尸网络DDoS攻击报文,并进行特征提取得到的;
第一发送模块,用于将匹配成功的特征库对应的地址信息发送至所述防护设备,使所述防护设备将所述地址信息加入黑名单,丢弃所述地址信息对应的终端发送的报文。
进一步地,所述匹配模块,具体用于针对接收到的每个第一特征组,将该第一特征组中的每个第一特征按照重要程度进行排序;按顺序依次选定第一特征,将该第一特征与每个僵尸网络的特征库中的第二特征进行匹配;
所述第一发送模块,具体用于识别第一特征匹配成功数量最多的第一特征组,将所述匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库,将所述匹配成功的特征库对应的地址信息发送至所述防护设备。
进一步地,所述装置还包括:
第一判断模块,用于判断第一特征匹配成功数量最多的第一特征组对应的特征库的地址信息的数量是否大于预设的第一数量阈值,如果否,将所述匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库。
进一步地,所述装置还包括:
确定模块,用于统计预设的第二时间长度内每个地址信息发起攻击的次数;按照发起攻击次数由高到低选取预设的第二数量的地址信息作为活跃地址信息;确定第一特征匹配成功数量最多的每个第一特征组对应的特征库,选取所述特征库中的活跃地址信息发送至所述防护设备。
进一步地,所述装置还包括:
第二发送模块,用于统计预设的第二时间长度内每个地址信息发起攻击的次数;按照发起攻击次数由高到低选取预设的第二数量的地址信息作为活跃地址信息;将所述活跃地址信息发送至所述防护设备。
进一步地,所述装置还包括:
第二接收模块,用于接收所述防护设备发送的第三特征;其中,所述第三特征是所述防护设备对接收到僵尸网络的地址信息对应的终端发送的报文进行特征提取得到的;将所述第三特征保存至对应的僵尸网络的特征库。
本发明实施例提供了一种僵尸网络DDoS攻击的防护装置,所述装置包括:
第三接收模块,用于针对预设数量的每个终端,接收该终端发送的报文,对所述报文进行特征提取,确定所述报文的第一特征组;并将所述报文的第一特征组发送至服务器;
第二判断模块,用于判断是否接收到所述服务器发送的地址信息;其中,所示地址信息是所述服务器针对接收到的每个第一特征组,将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配,匹配成功的特征库对应的地址信息;
添加模块,用于如果所述第二判断模块的判断结果为是,将所述地址信息加入黑名单,丢弃所述地址信息对应的终端发送的报文。
进一步地,所述装置还包括:
第三判断模块,用于针对预设数量的每个终端,当接收到该终端发送的请求报文,向该终端发送响应报文;判断在预设的第一时间长度内,是否接收到该终端发送的确认报文,如果是,触发所述第三接收模块。
进一步地,所述第三接收模块,具体用于对该终端发送的任意报文进行特征提取,确定所述报文的源IP、源端口、目的IP、报文类型;对该终端在预设的时间长度内发送的每个报文依次进行特征提取,确定每个报文的报文类型并统计每个报文的时间戳;根据每个报文的报文类型确定报文类型顺序,并确定同类型报文的相似性,根据每个报文的时间戳确定报文间隔时间;将所述源IP、源端口、目的IP、报文类型、文类型顺序、报文间隔时间和同类型报文的相似性分别作为第一特征并构成第一特征组。
进一步地,所述装置还包括:
特征提取模块,用于对接收到的僵尸网络的地址信息对应的终端发送的报文进行特征提取,确定所述报文的第三特征;将所述第三特征发送至所述服务器,使所述服务器将所述第三特征保存至对应的僵尸网络的特征库。
本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的方法步骤。
本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的方法步骤。
本发明实施例提供了一种僵尸网络DDoS攻击的防护方法、装置及存储介质,所述方法包括:接收防护设备发送的每个第一特征组;其中,所述每个第一特征组是防护设备接收预设数量的每个终端发送的报文,对每个报文进行特征提取得到的;针对接收到的每个第一特征组,将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配;其中,所述每个僵尸网络的特征库中的第二特征是通过统计历史周期内的每个僵尸网络DDoS攻击报文,并进行特征提取得到的;将匹配成功的特征库对应的地址信息发送至所述防护设备,使所述防护设备将所述地址信息加入黑名单,丢弃所述地址信息对应的终端发送的报文。
由于在本发明实施例中,首先,服务器统计历史周期内全网的僵尸网络DDoS攻击报文,并进行特征提取得到的特征库中的第二特征,基于全网的僵尸网络DDoS攻击报文的第二特征,与第一特征组中每个第一特征进行匹配,从而确定出进行攻击的地址信息,使得确定出的地址信息准确率高。另外,服务器基于特征匹配确定地址信息。不需要进行反向探测,也就是不需要向终端发送图片验证或者脚本验证等反向探测报文,因此节省了僵尸网络DDoS攻击的防护时间,提高了防护效率。再者,服务器针对预设数量的终端发送的报文的第一特征组确定出匹配成功的僵尸网络特征库,然后将僵尸网络特征库中所有的地址信息发送至防护设备。防护设备对于没有进行特征提取的终端,也不再需要浪费资源进行特征提取,以及判断终端是否为发起攻击终端,因此节省了大量的防护资源。
具体实施方式
下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例1:
图1为本发明实施例提供的僵尸网络DDoS攻击的防护过程示意图,该过程包括以下步骤:
S101:接收防护设备发送的每个第一特征组;其中,所述每个第一特征组是防护设备接收预设数量的每个终端发送的报文,对每个报文进行特征提取得到的。
S102:针对接收到的每个第一特征组,将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配;其中,所述每个僵尸网络的特征库中的第二特征是通过统计历史周期内的每个僵尸网络DDoS攻击报文,并进行特征提取得到的。
S103:将匹配成功的特征库对应的地址信息发送至所述防护设备,使所述防护设备将所述地址信息加入黑名单,丢弃所述地址信息对应的终端发送的报文。
本发明实施例提供的僵尸网络DDoS攻击的防护方法应用于服务器。该服务器可以是僵尸网络botnet服务器。
防护设备可以接收预设数量的终端发送的报文,预设数量可以是1000个、2000个等。针对每个终端,对该终端发送的报文进行特征提取,得到多个第一特征,该多个第一特征构成第一特征组。其中,提取的第一特征可以是报文的源IP、源端口等特征。防护设备在确定出每个第一特征组之后,将每个第一特征组发送至服务器。
其中,防护设备对报文进行特征提取,确定第一特征的过程属于现有技术,在此不再对该过程进行赘述。
服务器中保存有每个僵尸网络的特征库,每个僵尸网络的特征库中保存的是对对应的僵尸网络DDoS攻击报文提取出的第二特征。具体的,服务器可以统计历史周期内确定出的每个僵尸网络的DDoS攻击报文,然后对每个僵尸网络的DDoS攻击报文进行特征提取,确定第二特征并保存至对应的僵尸网络的特征库中。其中,历史周期可以是3个月、6个月、永久等。
服务器在接收到每个第一特征组之后,针对接收到的每个第一特征组,将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配。下面针对一个僵尸网络的特征库进行匹配的过程进行举例说明。
例如,第一特征组中包括源IP,服务器针对接收到的每个第一特征组中的源IP,判断特征库是否存在与该源IP相同的源IP,如果存在,则确定源IP这个第一特征匹配成功,否则匹配失败。再例如,第一特征组中还包括源端口,服务器针对接收到的每个第一特征组中的源端口,判断特征库是否存在与该源端口相同的源端口,如果存在,则确定源端口这个第一特征匹配成功,否则匹配失败。
服务器针对第一特征组中的每个第一特征都进行特征匹配。服务器可以将每个第一特征都匹配成功的第一特征组作为匹配成功的第一特征组,将匹配成功的第一特征组对应的匹配特征库作为匹配成功的特征库;也可以将超过设定数量的第一特征匹配成功的第一特征组作为匹配成功的第一特征组,将匹配成功的第一特征组对应的匹配特征库作为匹配成功的特征库。
例如,第一特征组中包括五个第一特征,服务器可以将五个第一特征都匹配成功的第一特征组作为匹配成功的第一特征组;也可以设定数量为三,将超过三个第一特征匹配成功的第一特征组作为匹配成功的第一特征组。例如与匹配成功的第一特征组进行匹配的特征库为特征库X,则特征库X为匹配成功的特征库。需要说明的是,匹配成功的特征库有可能是一个,也有可能是多个。
每个僵尸网络的特征库中保存有该僵尸网络攻击的地址信息,服务器确定出匹配成功的特征库后,将匹配成功的特征库对应的地址信息发送至防护设备。其中,服务器可以将匹配成功的特征库对应的地址信息依次下发至防护设备,较佳的,为了提高地址信息的下发效率,也可以将匹配成功的特征库对应的地址信息进行打包,封装为一个地址信息包一并下发至防护设备。本发明实施例中的地址信息包括源IP。
防护设备在接收到地址信息后,将地址信息对应的终端确定为进行僵尸网络DDoS攻击的终端,因此将地址信息加入黑名单,之后再收到黑名单中的地址信息对应的终端发送的报文时,直接丢弃。从而实现对僵尸网络DDoS攻击的防护。
由于在本发明实施例中,首先,服务器统计历史周期内全网的僵尸网络DDoS攻击报文,并进行特征提取得到的特征库中的第二特征,基于全网的僵尸网络DDoS攻击报文的第二特征,与第一特征组中每个第一特征进行匹配,从而确定出进行攻击的地址信息,使得确定出的地址信息准确率高。另外,服务器基于特征匹配确定地址信息。不需要进行反向探测,也就是不需要向终端发送图片验证或者脚本验证等反向探测报文,因此节省了僵尸网络DDoS攻击的防护时间,提高了防护效率。再者,服务器针对预设数量的终端发送的报文的第一特征组确定出匹配成功的僵尸网络特征库,然后将僵尸网络特征库中所有的地址信息发送至防护设备。防护设备对于没有进行特征提取的终端,也不再需要浪费资源进行特征提取,以及判断终端是否为发起攻击终端,因此节省了大量的防护资源。
实施例2:
为了使确定的地址信息更准确,在上述各实施例的基础上,在本发明实施例中,所述第一特征组中的第一特征至少包括:
源IP、源端口、目的IP、报文类型、报文类型顺序、报文间隔时间和同类型报文的相似性。
在本发明实施例中,第一特征组中的第一特征至少包括源IP、源端口、目的IP、报文类型、报文类型顺序、报文间隔时间和同类型报文的相似性。其中,防护设备可以对终端发送的任意报文进行特征提取,确定报文的源IP、源端口、目的IP、报文类型等第一特征,为了提高响应速度,该过程可以在1秒或2秒内提取完成。在提取报文类型顺序、报文间隔时间和同类型报文的相似性等第一特征时,防护设备首先统计终端在预设的时间长度内发送的每个报文,预设的时间长度可以是8秒、10秒等。然后对每个报文依次进行特征提取,确定每个报文的报文类型并统计每个报文的时间戳;根据依次确定出的每个报文的报文类型,确定报文类型顺序,然后确定同类型报文的相似性,根据每个报文的时间戳确定报文间隔时间。其中,报文类型可以是传输控制协议(Transmission Control Protocol,TCP)报文、用户数据报协议(User Datagram Protocol,UDP)报文、确认字符(Acknowledgement,ACK)报文等。报文间隔时间可以取报文间隔最大时间、报文间隔最小时间和报文间隔平均时间。针对同类型的报文,也可以确定出同类型报文间的相似性。例如,可以采用余弦相似性,欧氏距离,海明距离等相似性算法确定出同类型报文间的相似性,其中,确定同类型报文间的相似性的过程属于现有技术,在此不再进行赘述。
在本发明实施例中,服务器中的每个僵尸网络的特征库中的第二特征也至少包括源IP、源端口、目的IP、报文类型、报文类型顺序、报文间隔时间和同类型报文的相似性。
在本发明实施例中,针对接收到的每个第一特征组,将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配包括:
针对接收到的每个第一特征组,将该第一特征组中的每个第一特征按照重要程度进行排序;按顺序依次选定第一特征,将该第一特征与每个僵尸网络的特征库中的第二特征进行匹配;
所述将匹配成功的特征库对应的地址信息发送至所述防护设备包括:
识别第一特征匹配成功数量最多的第一特征组,将所述匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库,将所述匹配成功的特征库对应的地址信息发送至所述防护设备。
在本发明实施例中,服务器针对接收到的每个第一特征组,将该第一特征组中的每个第一特征按照重要程度进行排序,该顺序由高到低可以是源IP、源端口、目的IP、报文类型、报文类型顺序、报文间隔时间和同类型报文的相似性。在进行特征匹配时,按照重要程度由高到低的顺序依次选定第一特征进行匹配。
具体的,针对每个第一特征组在进行特征匹配时,首先选定源IP,针对每个僵尸网络的特征库,判断该特征库中是否存在与该源IP相同的源IP,如果是,则匹配成功。针对源IP匹配成功的每个第一特征组,再选定源端口,判断该特征库中是否存在与该源端口相同的源端口,如果是,则匹配成功。以此类推,后续依次针对匹配成功的第一特征组再依次选定目的IP、报文类型、报文类型顺序、报文间隔时间和同类型报文的相似性进行匹配。需要说明的是,对于报文间隔时间,在每个特征库中可以保存报文间隔时间范围,只要第一特征组中的报文间隔时间在特征库中的报文间隔时间范围内,则认为匹配成功。
服务器在将特征匹配结束后,识别第一特征匹配成功数量最多的第一特征组。例如,当匹配报文类型顺序这一特征时,发现匹配成功的第一特征组不存在,这种情况下,第一特征匹配成功数量最多的第一特征组也就是匹配报文类型成功的第一特征组。再例如,当匹配同类型报文的相似性这一特征时,仍然存在匹配成功的第一特征组,这种情况下,第一特征匹配成功数量最多的第一特征组也就是匹配同类型报文的相似性成功的第一特征组。
服务器将匹配成功数量最多的第一特征组作为匹配成功的第一特征组,将匹配成功的第一特征组对应的特征库作为匹配成功的特征库,然后将匹配成功的特征库对应的地址信息发送至防护设备。防护设备在接收到地址信息后,将地址信息对应的终端确定为进行僵尸网络DDoS攻击的终端,将地址信息加入黑名单,之后再收到黑名单中的地址信息对应的终端发送的报文时,直接丢弃。从而实现对僵尸网络DDoS攻击的防护。
由于在本发明实施例中,服务器将每个第一特征按照重要程度进行排序;按顺序依次选定第一特征,将该第一特征与每个僵尸网络的特征库中的第二特征进行匹配,并且将匹配成功数量最多的第一特征组作为匹配成功的第一特征组,将匹配成功的第一特征组对应的特征库作为匹配成功的特征库,然后将匹配成功的特征库对应的地址信息发送至防护设备。使得确定的地址信息更准确。
另外,在本发明实施例中,服务器还可以根据接收到的目的IP确定出目标行业,一般可以将行业划分为20个大类,用1到20表示,例如政府行业、军事行业等等。服务器中可以预先保存特征库中每个目的IP所属的行业。如果用户想要统计某个行业的僵尸网络DDoS攻击的终端,则服务器按照用户指示选定行业的目的IP进行匹配,并且提高第一特征组中目的IP的重要程度,从而根据用户需要统计某个行业的僵尸网络DDoS攻击的终端。
实施例3:
为了保证服务器下发的地址信息的准确率,在上述各实施例的基础上,在本发明实施例中,所述识别第一特征匹配成功数量最多的第一特征组之后,将所述匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库之前,所述方法还包括:
判断第一特征匹配成功数量最多的第一特征组对应的特征库的地址信息的数量是否大于预设的第一数量阈值,如果否,将所述匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库。
服务器在确定出第一特征匹配成功数量最多的第一特征组对应的特征库的地址信息之后,有可能确定出的地址信息仍然很多,此时如果将确定出的地址信息全部下发至防护设备,首先使得地址信息下发量很大,而且,地址信息很多时,也会使得地址信息的准确率较差。防护设备将接收到的大量的地址信息对应的终端发送的报文丢弃,有可能出现丢弃正常业务报文的情况。
因此,为了保证服务器下发的地址信息的准确率,服务器中可以保存预设的第一数量阈值,其中,预设的第一数量阈值可以根据用户需要进行设定,例如可以是10000、50000、100000等。服务器在识别第一特征匹配成功数量最多的第一特征组之后,将匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库之前,还需要第一特征匹配成功数量最多的第一特征组对应的特征库的地址信息的数量是否大于预设的第一数量阈值,如果不大于,此时将匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库。
如果第一特征匹配成功数量最多的第一特征组对应的特征库的地址信息的数量大于预设的第一数量阈值,所述方法还包括:
统计预设的第二时间长度内每个地址信息发起攻击的次数;
按照发起攻击次数由高到低选取预设的第二数量的地址信息作为活跃地址信息;
确定第一特征匹配成功数量最多的每个第一特征组对应的特征库,选取所述特征库中的活跃地址信息发送至所述防护设备。
如果判断第一特征匹配成功数量最多的第一特征组对应的特征库的地址信息的数量大于预设的第一数量阈值,则需要对第一特征组对应的特征库的地址信息进行精简。
具体的,服务器可以统计预设的第二时间长度内每个地址信息发起攻击的次数。预设的第二时间长度可以是3天、10天、一个月或者永久等。按照发起攻击次数由高到低的顺序将地址信息进行排序,并选取顺序靠前的预设的第二数量的地址信息作为活跃地址信息。预设的第二数量和预设的第一数量阈值可以相同或不同,例如预设的第二数量可以是5000个、10000个等。
服务器确定第一特征匹配成功数量最多的每个第一特征组对应的特征库中的所有地址信息,然后选取所有地址信息中的活跃地址信息发送至防护设备。其中,服务器可以将选取的活跃地址信息依次下发至防护设备,较佳的,为了提高地址信息的下发效率,也可以将选取的活跃地址信息进行打包,封装为一个地址信息包一并下发至防护设备。
由于在本发明实施例中,服务器确定第一特征匹配成功数量最多的每个第一特征组对应的特征库,选取特征库中的活跃地址信息发送至防护设备。活跃地址信息为发起攻击的地址信息的可能性更大,因此可以提高地址信息的准确率,同时保证服务器下发的地址信息的数量较小。
实施例4:
为了避免遗漏发起攻击的地址信息,在上述各实施例的基础上,在本发明实施例中,如果不存在匹配成功的第一特征组,所述方法还包括:
统计预设的第二时间长度内每个地址信息发起攻击的次数;
按照发起攻击次数由高到低选取预设的第二数量的地址信息作为活跃地址信息;
将所述活跃地址信息发送至所述防护设备。
如果服务器判断不存在匹配成功的第一特征组,在本发明实施例中,为了避免遗漏发起攻击的地址信息,服务器统计预设的第二时间长度内每个地址信息发起攻击的次数。预设的第二时间长度可以是3天、10天、一个月或者永久等。按照发起攻击次数由高到低的顺序将地址信息进行排序,并选取顺序靠前的预设的第二数量的地址信息作为活跃地址信息。然后将活跃地址信息打包发送至防护设备,防护设备将活跃地址信息加入黑名单,丢弃活跃地址信息对应的终端发送的报文。
由于在本发明实施例中,如果服务器判断不存在匹配成功的第一特征组,服务器将活跃地址信息发送至防护设备,防护设备将活跃地址信息加入黑名单,丢弃活跃地址信息对应的终端发送的报文。从而避免了遗漏发起攻击的地址信息。
实施例5:
为了不断完善服务器中的特征库,在上述各实施例的基础上,在本发明实施例中,所述方法还包括:
接收所述防护设备发送的第三特征;其中,所述第三特征是所述防护设备对接收到僵尸网络的地址信息对应的终端发送的报文进行特征提取得到的;
将所述第三特征保存至对应的僵尸网络的特征库。
在本发明实施例中,服务器在向防护设备打包发送地址信息时,可以携带地址信息对应的僵尸网络信息,防护设备在接收到服务器发送的地址信息之后,丢弃地址信息对应的终端发送的报文之前,还可以对地址信息对应的终端发送的报文进行特征提取,确定报文的第三特征。该第三特征为对僵尸网络DDoS攻击报文提取出的特征。防护设备将提取出的第三特征发送至服务器,防护设备在向服务器发送第三特征时,也可以携带对应的僵尸网络信息。服务器接收第三特征,并根据携带的对应的僵尸网络信息将第三特征保存至对应的僵尸网络的特征库。如果对应的僵尸网络的特征库中原先存在与第三特征相同的第二特征,则可以采用第三特征替换相同的第二特征,避免对应的僵尸网络的特征库数据的冗余,如果对应的僵尸网络的特征库中原先不存在与第三特征相同的第二特征,则直接将第三特征保存至对应的僵尸网络的特征库中。
由于在本发明实施例中,防护设备丢弃地址信息对应的终端发送的报文之前,对地址信息对应的终端发送的报文进行特征提取,确定报文的第三特征,将第三特征发送至服务器,使服务器将第三特征保存至对应的僵尸网络的特征库。从而可以保证服务器对特征库的完善。即使攻击者开发出了新的攻击报文,通过对特征库不断的完善,也可以应对僵尸网络DDoS的攻击。
实施例6:
在上述各实施例的基础上,图2为本发明实施例提供的僵尸网络DDoS攻击的防护过程示意图,该过程包括以下步骤:
S201:针对预设数量的每个终端,接收该终端发送的报文,对所述报文进行特征提取,确定所述报文的第一特征组;并将所述报文的第一特征组发送至服务器。
S202:判断是否接收到所述服务器发送的地址信息,如果是,进行S203;其中,所示地址信息是所述服务器针对接收到的每个第一特征组,将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配,匹配成功的特征库对应的地址信息。
S203:将所述地址信息加入黑名单,丢弃所述地址信息对应的终端发送的报文。
本发明实施例提供的僵尸网络DDoS攻击的防护方法应用于网络安全防护设备。该防护设备可以是抗D设备。
防护设备可以接收预设数量的终端发送的报文,预设数量可以是1000个、2000个等。针对每个终端,对该终端发送的报文进行特征提取,得到多个第一特征,该多个第一特征构成第一特征组。其中,提取的第一特征可以是报文的源IP、源端口等特征。防护设备在确定出每个第一特征组之后,将每个第一特征组发送至服务器。
其中,防护设备对报文进行特征提取,确定第一特征的过程属于现有技术,在此不再对该过程进行赘述。
服务器中保存有每个僵尸网络的特征库,每个僵尸网络的特征库中保存的是对对应的僵尸网络DDoS攻击报文提取出的第二特征。具体的,服务器可以统计历史周期内确定出的每个僵尸网络的DDoS攻击报文,然后对每个僵尸网络的DDoS攻击报文进行特征提取,确定第二特征并保存至对应的僵尸网络的特征库中。其中,历史周期可以是3个月、6个月、永久等。
服务器在接收到每个第一特征组之后,针对接收到的每个第一特征组,将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配。下面针对一个僵尸网络的特征库进行匹配的过程进行举例说明。
例如,第一特征组中包括源IP,服务器针对接收到的每个第一特征组中的源IP,判断特征库是否存在与该源IP相同的源IP,如果存在,则确定源IP这个第一特征匹配成功,否则匹配失败。再例如,第一特征组中还包括源端口,服务器针对接收到的每个第一特征组中的源端口,判断特征库是否存在与该源端口相同的源端口,如果存在,则确定源端口这个第一特征匹配成功,否则匹配失败。
服务器针对第一特征组中的每个第一特征都进行特征匹配。服务器可以将每个第一特征都匹配成功的第一特征组作为匹配成功的第一特征组,将匹配成功的第一特征组对应的匹配特征库作为匹配成功的特征库;也可以将超过设定数量的第一特征匹配成功的第一特征组作为匹配成功的第一特征组,将匹配成功的第一特征组对应的匹配特征库作为匹配成功的特征库。
例如,第一特征组中包括五个第一特征,服务器可以将五个第一特征都匹配成功的第一特征组作为匹配成功的第一特征组;也可以设定数量为三,将超过三个第一特征匹配成功的第一特征组作为匹配成功的第一特征组。例如与匹配成功的第一特征组进行匹配的特征库为特征库X,则特征库X为匹配成功的特征库。需要说明的是,匹配成功的特征库有可能是一个,也有可能是多个。
每个僵尸网络的特征库中保存有该僵尸网络攻击的地址信息,服务器确定出匹配成功的特征库后,将匹配成功的特征库对应的地址信息发送至防护设备。其中,服务器可以将匹配成功的特征库对应的地址信息依次下发至防护设备,较佳的,为了提高地址信息的下发效率,也可以将匹配成功的特征库对应的地址信息进行打包,封装为一个地址信息包一并下发至防护设备。本发明实施例中的地址信息包括源IP。
防护设备在接收到地址信息后,将地址信息对应的终端确定为进行僵尸网络DDoS攻击的终端,因此将地址信息加入黑名单,之后再收到黑名单中的地址信息对应的终端发送的报文时,直接丢弃。从而实现对僵尸网络DDoS攻击的防护。
由于在本发明实施例中,首先,服务器统计历史周期内全网的僵尸网络DDoS攻击报文,并进行特征提取得到的特征库中的第二特征,基于全网的僵尸网络DDoS攻击报文的第二特征,与第一特征组中每个第一特征进行匹配,从而确定出进行攻击的地址信息,使得确定出的地址信息准确率高。另外,服务器基于特征匹配确定地址信息。不需要进行反向探测,也就是不需要向终端发送图片验证或者脚本验证等反向探测报文,因此节省了僵尸网络DDoS攻击的防护时间,提高了防护效率。再者,服务器针对预设数量的终端发送的报文的第一特征组确定出匹配成功的僵尸网络特征库,然后将僵尸网络特征库中所有的地址信息发送至防护设备。防护设备对于没有进行特征提取的终端,也不再需要浪费资源进行特征提取,以及判断终端是否为发起攻击终端,因此节省了大量的防护资源。
实施例7:
为了减小数据处理量,在上述实施例的基础上,在本发明实施例中,所述针对预设数量的每个终端,接收该终端发送的报文,对所述报文进行特征提取之前,所述方法还包括:
针对预设数量的每个终端,当接收到该终端发送的请求报文,向该终端发送响应报文;判断在预设的第一时间长度内,是否接收到该终端发送的确认报文,如果是,进行后续步骤。
防护设备为了减小数据处理量,在对每个终端发送的报文进行特征提取之前,可以针对每个终端的流量进行初步筛选。通过初步筛选的再进行后续特征匹配的过程。
由于正常报文交互需要满足三次握手协议,因此在本发明实施例中,防护设备针对每个终端,在接收到该终端发送的请求报文之后,向该终端发送响应报文。然后判断在预设的第一时间长度内,是否接收到该终端发送的确认报文。预设的第一时间长度为较短的时间长度,例如1秒、2秒等。如果在预设的第一时间长度内,接收到了该终端发送的确认报文。则说明该终端满足三次握手协议。此时需要进行后续针对该终端报文进行特征提取以及特征匹配的过程。
针对每个终端,如果在预设的第一时间长度内,未接收到该终端发送的确认报文,直接将该终端的地址信息加入黑名单,在后续接收到该终端发送的报文时,直接丢弃。
针对每个终端,防护设备在接收到该终端发送的请求报文之后,向该终端发送响应报文。如果在预设的第一时间长度内,未接收到该终端发送的确认报文。则说明该终端不满足三次握手协议。此时直接将该终端加入黑名单。之后再收到黑名单中的终端发送的报文时,直接丢弃。从而实现对僵尸网络DDoS攻击的防护。
图3为本发明实施例提供的僵尸网络DDoS攻击的防护过程示意图,该过程包括:
S301:针对预设数量的每个终端,当接收到该终端发送的请求报文,向该终端发送响应报文;判断在预设的第一时间长度内,是否接收到该终端发送的确认报文,如果是,进行S302,如果否,将该终端的地址信息加入黑名单。
S302:针对预设数量的每个终端,接收该终端发送的报文,对所述报文进行特征提取,确定所述报文的第一特征组;并将所述报文的第一特征组发送至服务器。
S303:判断是否接收到所述服务器发送的地址信息,如果是,进行S304;其中,所示地址信息是所述服务器针对接收到的每个第一特征组,将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配,匹配成功的特征库对应的地址信息。
S304:将所述地址信息加入黑名单,丢弃所述地址信息对应的终端发送的报文。
由于在本发明实施例中,防护设备在对每个终端发送的报文进行特征提取之前,首先对每个终端进行初步筛选,针对每个终端,判断该终端是否满足三次握手协议,如果满足,继续进行后续针对该终端报文进行特征提取以及特征匹配的过程,而如果不满足,则直接将该终端的地址信息加入黑名单。不需要再对该终端的报文进行特征提取。因此减小了数据处理量。
在本发明实施例中,接收该终端发送的报文,对所述报文进行特征提取,确定所述报文的第一特征组包括:
对该终端发送的任意报文进行特征提取,确定所述报文的源IP、源端口、目的IP、报文类型;
对该终端在预设的时间长度内发送的每个报文依次进行特征提取,确定每个报文的报文类型并统计每个报文的时间戳;根据每个报文的报文类型确定报文类型顺序,并确定同类型报文的相似性,根据每个报文的时间戳确定报文间隔时间;
将所述源IP、源端口、目的IP、报文类型、文类型顺序、报文间隔时间和同类型报文的相似性分别作为第一特征并构成第一特征组。
在本发明实施例中,第一特征组中的第一特征至少包括源IP、源端口、目的IP、报文类型、报文类型顺序、报文间隔时间和同类型报文的相似性。其中,防护设备可以对终端发送的任意报文进行特征提取,确定报文的源IP、源端口、目的IP、报文类型等第一特征,为了提高响应速度,该过程可以在1秒或2秒内提取完成。在提取报文类型顺序、报文间隔时间和同类型报文的相似性等第一特征时,防护设备首先统计终端在预设的时间长度内发送的每个报文,预设的时间长度可以是8秒、10秒等。然后对每个报文依次进行特征提取,确定每个报文的报文类型并统计每个报文的时间戳;根据依次确定出的每个报文的报文类型,确定报文类型顺序,然后确定同类型报文的相似性,根据每个报文的时间戳确定报文间隔时间。其中,报文类型可以是传输控制协议(Transmission Control Protocol,TCP)报文、用户数据报协议(User Datagram Protocol,UDP)报文、确认字符(Acknowledgement,ACK)报文等。报文间隔时间可以取报文间隔最大时间、报文间隔最小时间和报文间隔平均时间。针对同类型的报文,也可以确定出同类型报文间的相似性。例如,可以采用余弦相似性,欧氏距离,海明距离等相似性算法确定出同类型报文间的相似性,其中,确定同类型报文间的相似性的过程属于现有技术,在此不再进行赘述。
在本发明实施例中,服务器中的每个僵尸网络的特征库中的第二特征也至少包括源IP、源端口、目的IP、报文类型、报文类型顺序、报文间隔时间和同类型报文的相似性。
实施例8:
为了不断完善服务器中的特征库,在上述各实施例的基础上,在本发明实施例中,接收到所述服务器发送的地址信息之后,丢弃所述地址信息对应的终端发送的报文之前,所述方法还包括:
对接收到的僵尸网络的地址信息对应的终端发送的报文进行特征提取,确定所述报文的第三特征;
将所述第三特征发送至所述服务器,使所述服务器将所述第三特征保存至对应的僵尸网络的特征库。
在本发明实施例中,服务器在向防护设备打包发送地址信息时,可以携带地址信息对应的僵尸网络信息,防护设备在接收到服务器发送的地址信息之后,丢弃地址信息对应的终端发送的报文之前,还可以对地址信息对应的终端发送的报文进行特征提取,确定报文的第三特征。该第三特征为对僵尸网络DDoS攻击报文提取出的特征。防护设备将提取出的第三特征发送至服务器,防护设备在向服务器发送第三特征时,也可以携带对应的僵尸网络信息。服务器接收第三特征,并根据携带的对应的僵尸网络信息将第三特征保存至对应的僵尸网络的特征库。如果对应的僵尸网络的特征库中原先存在与第三特征相同的第二特征,则可以采用第三特征替换相同的第二特征,避免对应的僵尸网络的特征库数据的冗余,如果对应的僵尸网络的特征库中原先不存在与第三特征相同的第二特征,则直接将第三特征保存至对应的僵尸网络的特征库中。
由于在本发明实施例中,防护设备丢弃地址信息对应的终端发送的报文之前,对地址信息对应的终端发送的报文进行特征提取,确定报文的第三特征,将第三特征发送至服务器,使服务器将第三特征保存至对应的僵尸网络的特征库。从而可以保证服务器对特征库的完善。即使攻击者开发出了新的攻击报文,通过对特征库不断的完善,也可以应对僵尸网络DDoS的攻击。
图4为本发明实施例提供的防护设备和服务器之间的数据交互示意图。如图4所示,防护设备对报文进行特征提取,得到第一特征组,防护设备将第一特征组发送至服务器。服务器中保存有每个僵尸网络的特征库,每个僵尸网络的特征库中的第二报文是对历史周期内的对应的僵尸网络DDoS攻击报文进行特征提取汇总得到的。服务器将每个僵尸网络的特征库中的第二特征与接收到的第一特征组中的每个第一特征进行匹配,将匹配成功的特征库的地址信息发送至防护设备。防护设备将地址信息对应的终端加入黑名单。并且在丢弃地址信息对应的终端发送的报文之前,对地址信息对应的终端发送的报文进行特征提取,确定报文的第三特征,将第三特征作为反馈信息发送至服务器,服务器将第三特征保存至对应的僵尸网络的特征库。
图5为本发明实施例提供的僵尸网络DDoS攻击的防护系统结构示意图,如图5所示,僵尸网络DDoS攻击的防护系统中包括服务器和多个防护设备,图5中仅示出了3个防护设备,每个防护设备通过网络Internet与服务器进行信息交互。服务器在向防护设备发送地址信息时,可以向每个防护设备都发送地址信息。
图6为本发明实施例提供的服务器处理流程示意图,如图6所示,服务器中存放有每个僵尸网络的特征库,特征库中为已知的僵尸网络DDoS攻击报文的第二特征。接收防护设备发送的第一特征组,然后将第一特征组中的每个第一特征按照重要程度进行排序。按顺序选定第一特征进行特征匹配,如果匹配成功,则增加下一个特征匹配项,也就是进行下一个第一特征的匹配。然后确定出第一特征匹配成功数量最多的第一特征组。判断第一特征匹配成功数量最多的第一特征组对应的特征库的地址信息的数量是否大于预设的第一数量阈值,如果否,将匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库,将匹配成功的特征库的地址信息发送至防护设备;如果是,确定匹配成功的特征库的地址信息,选取地址信息中的活跃地址信息发送至防护设备。
采用本发明实施例提供的僵尸网络DDoS攻击防护方法,通过多个第一特征进行匹配,最终得到地址信息并发送至防护设备,因此地址信息下发量较小,准确率很高,防护设备处理效率很快,可以达到3秒内响应。
图7为本发明实施例提供的一种僵尸网络DDoS攻击的防护装置结构示意图,所述装置包括:
第一接收模块71,用于接收防护设备发送的每个第一特征组;其中,所述每个第一特征组是防护设备接收预设数量的每个终端发送的报文,对每个报文进行特征提取得到的;
匹配模块72,用于针对接收到的每个第一特征组,将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配;其中,所述每个僵尸网络的特征库中的第二特征是通过统计历史周期内的每个僵尸网络DDoS攻击报文,并进行特征提取得到的;
第一发送模块73,用于将匹配成功的特征库对应的地址信息发送至所述防护设备,使所述防护设备将所述地址信息加入黑名单,丢弃所述地址信息对应的终端发送的报文。
所述匹配模块72,具体用于针对接收到的每个第一特征组,将该第一特征组中的每个第一特征按照重要程度进行排序;按顺序依次选定第一特征,将该第一特征与每个僵尸网络的特征库中的第二特征进行匹配;
所述第一发送模块73,具体用于识别第一特征匹配成功数量最多的第一特征组,将所述匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库,将所述匹配成功的特征库对应的地址信息发送至所述防护设备。
所述装置还包括:
第一判断模块74,用于判断第一特征匹配成功数量最多的第一特征组对应的特征库的地址信息的数量是否大于预设的第一数量阈值,如果否,将所述匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库。
所述装置还包括:
确定模块75,用于统计预设的第二时间长度内每个地址信息发起攻击的次数;按照发起攻击次数由高到低选取预设的第二数量的地址信息作为活跃地址信息;确定第一特征匹配成功数量最多的每个第一特征组对应的特征库,选取所述特征库中的活跃地址信息发送至所述防护设备。
所述装置还包括:
第二发送模块76,用于统计预设的第二时间长度内每个地址信息发起攻击的次数;按照发起攻击次数由高到低选取预设的第二数量的地址信息作为活跃地址信息;将所述活跃地址信息发送至所述防护设备。
所述装置还包括:
第二接收模块77,用于接收所述防护设备发送的第三特征;其中,所述第三特征是所述防护设备对接收到僵尸网络的地址信息对应的终端发送的报文进行特征提取得到的;将所述第三特征保存至对应的僵尸网络的特征库。
图8为本发明实施例提供的一种僵尸网络DDoS攻击的防护装置结构示意图,所述装置包括:
第三接收模块81,用于针对预设数量的每个终端,接收该终端发送的报文,对所述报文进行特征提取,确定所述报文的第一特征组;并将所述报文的第一特征组发送至服务器;
第二判断模块82,用于判断是否接收到所述服务器发送的地址信息;其中,所示地址信息是所述服务器针对接收到的每个第一特征组,将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配,匹配成功的特征库对应的地址信息;
添加模块83,用于如果所述第二判断模块的判断结果为是,将所述地址信息加入黑名单,丢弃所述地址信息对应的终端发送的报文。
所述装置还包括:
第三判断模块84,用于针对预设数量的每个终端,当接收到该终端发送的请求报文,向该终端发送响应报文;判断在预设的第一时间长度内,是否接收到该终端发送的确认报文,如果是,触发所述第三接收模块。
所述第三接收模块81,具体用于对该终端发送的任意报文进行特征提取,确定所述报文的源IP、源端口、目的IP、报文类型;对该终端在预设的时间长度内发送的每个报文依次进行特征提取,确定每个报文的报文类型并统计每个报文的时间戳;根据每个报文的报文类型确定报文类型顺序,并确定同类型报文的相似性,根据每个报文的时间戳确定报文间隔时间;将所述源IP、源端口、目的IP、报文类型、文类型顺序、报文间隔时间和同类型报文的相似性分别作为第一特征并构成第一特征组。
所述装置还包括:
特征提取模块85,用于对僵尸网络的地址信息对应的终端发送的报文进行特征提取,确定所述报文的第三特征;将所述第三特征发送至所述服务器,使所述服务器将所述第三特征保存至对应的僵尸网络的特征库。
实施例9:
在上述各实施例的基础上,本发明实施例还提供了一种计算机存储可读存储介质,所述计算机可读存储介质内存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行时实现如下步骤:
接收防护设备发送的每个第一特征组;其中,所述每个第一特征组是防护设备接收预设数量的每个终端发送的报文,对每个报文进行特征提取得到的;
针对接收到的每个第一特征组,将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配;其中,所述每个僵尸网络的特征库中的第二特征是通过统计历史周期内的每个僵尸网络DDoS攻击报文,并进行特征提取得到的;
将匹配成功的特征库对应的地址信息发送至所述防护设备,使所述防护设备将所述地址信息加入黑名单,丢弃所述地址信息对应的终端发送的报文。
基于同一发明构思,本发明实施例中还提供了一种计算机可读存储介质,由于处理器在执行上述计算机可读存储介质上存储的计算机程序时解决问题的原理与僵尸网络DDoS攻击的防护方法相似,因此处理器在执行上述计算机可读存储介质存储的计算机程序的实施可以参见方法的实施,重复之处不再赘述。
上述计算机可读存储介质可以是电子设备中的处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器如软盘、硬盘、磁带、磁光盘(MO)等、光学存储器如CD、DVD、BD、HVD等、以及半导体存储器如ROM、EPROM、EEPROM、非易失性存储器(NANDFLASH)、固态硬盘(SSD)等。
在本发明实施例中提供的计算机可读存储介质内存储计算机程序,计算机程序被处理器执行时,实现接收防护设备发送的每个第一特征组;其中,所述每个第一特征组是防护设备接收预设数量的每个终端发送的报文,对每个报文进行特征提取得到的;针对接收到的每个第一特征组,将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配;其中,所述每个僵尸网络的特征库中的第二特征是通过统计历史周期内的每个僵尸网络DDoS攻击报文,并进行特征提取得到的;将匹配成功的特征库对应的地址信息发送至所述防护设备,使所述防护设备将所述地址信息加入黑名单,丢弃所述地址信息对应的终端发送的报文。由于在本发明实施例中,首先,服务器统计历史周期内全网的僵尸网络DDoS攻击报文,并进行特征提取得到的特征库中的第二特征,基于全网的僵尸网络DDoS攻击报文的第二特征,与第一特征组中每个第一特征进行匹配,从而确定出进行攻击的地址信息,使得确定出的地址信息准确率高。另外,服务器基于特征匹配确定地址信息。不需要进行反向探测,也就是不需要向终端发送图片验证或者脚本验证等反向探测报文,因此节省了僵尸网络DDoS攻击的防护时间,提高了防护效率。再者,服务器针对预设数量的终端发送的报文的第一特征组确定出匹配成功的僵尸网络特征库,然后将僵尸网络特征库中所有的地址信息发送至防护设备。防护设备对于没有进行特征提取的终端,也不再需要浪费资源进行特征提取,以及判断终端是否为发起攻击终端,因此节省了大量的防护资源。
实施例10:
在上述各实施例的基础上,本发明实施例还提供了一种计算机存储可读存储介质,所述计算机可读存储介质内存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行时实现如下步骤:
针对预设数量的每个终端,接收该终端发送的报文,对所述报文进行特征提取,确定所述报文的第一特征组;并将所述报文的第一特征组发送至服务器;
判断是否接收到所述服务器发送的地址信息;其中,所示地址信息是所述服务器针对接收到的每个第一特征组,将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配,匹配成功的特征库对应的地址信息;
如果是,将所述地址信息加入黑名单,丢弃所述地址信息对应的终端发送的报文。
基于同一发明构思,本发明实施例中还提供了一种计算机可读存储介质,由于处理器在执行上述计算机可读存储介质上存储的计算机程序时解决问题的原理与僵尸网络DDoS攻击的防护方法相似,因此处理器在执行上述计算机可读存储介质存储的计算机程序的实施可以参见方法的实施,重复之处不再赘述。
上述计算机可读存储介质可以是电子设备中的处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器如软盘、硬盘、磁带、磁光盘(MO)等、光学存储器如CD、DVD、BD、HVD等、以及半导体存储器如ROM、EPROM、EEPROM、非易失性存储器(NANDFLASH)、固态硬盘(SSD)等。
在本发明实施例中提供的计算机可读存储介质内存储计算机程序,计算机程序被处理器执行时,实现针对预设数量的每个终端,接收该终端发送的报文,对所述报文进行特征提取,确定所述报文的第一特征组;并将所述报文的第一特征组发送至服务器;判断是否接收到所述服务器发送的地址信息;其中,所示地址信息是所述服务器针对接收到的每个第一特征组,将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配,匹配成功的特征库对应的地址信息;如果是,将所述地址信息加入黑名单,丢弃所述地址信息对应的终端发送的报文。由于在本发明实施例中,首先,服务器统计历史周期内全网的僵尸网络DDoS攻击报文,并进行特征提取得到的特征库中的第二特征,基于全网的僵尸网络DDoS攻击报文的第二特征,与第一特征组中每个第一特征进行匹配,从而确定出进行攻击的地址信息,使得确定出的地址信息准确率高。另外,服务器基于特征匹配确定地址信息。不需要进行反向探测,也就是不需要向终端发送图片验证或者脚本验证等反向探测报文,因此节省了僵尸网络DDoS攻击的防护时间,提高了防护效率。再者,服务器针对预设数量的终端发送的报文的第一特征组确定出匹配成功的僵尸网络特征库,然后将僵尸网络特征库中所有的地址信息发送至防护设备。防护设备对于没有进行特征提取的终端,也不再需要浪费资源进行特征提取,以及判断终端是否为发起攻击终端,因此节省了大量的防护资源。
本发明实施例提供了一种僵尸网络DDoS攻击的防护方法、装置及存储介质,所述方法包括:接收防护设备发送的每个第一特征组;其中,所述每个第一特征组是防护设备接收预设数量的每个终端发送的报文,对每个报文进行特征提取得到的;针对接收到的每个第一特征组,将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配;其中,所述每个僵尸网络的特征库中的第二特征是通过统计历史周期内的每个僵尸网络DDoS攻击报文,并进行特征提取得到的;将匹配成功的特征库对应的地址信息发送至所述防护设备,使所述防护设备将所述地址信息加入黑名单,丢弃所述地址信息对应的终端发送的报文。
由于在本发明实施例中,首先,服务器统计历史周期内全网的僵尸网络DDoS攻击报文,并进行特征提取得到的特征库中的第二特征,基于全网的僵尸网络DDoS攻击报文的第二特征,与第一特征组中每个第一特征进行匹配,从而确定出进行攻击的地址信息,使得确定出的地址信息准确率高。另外,服务器基于特征匹配确定地址信息。不需要进行反向探测,也就是不需要向终端发送图片验证或者脚本验证等反向探测报文,因此节省了僵尸网络DDoS攻击的防护时间,提高了防护效率。再者,服务器针对预设数量的终端发送的报文的第一特征组确定出匹配成功的僵尸网络特征库,然后将僵尸网络特征库中所有的地址信息发送至防护设备。防护设备对于没有进行特征提取的终端,也不再需要浪费资源进行特征提取,以及判断终端是否为发起攻击终端,因此节省了大量的防护资源。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。