CN110381041A - 分布式拒绝服务攻击态势检测方法及装置 - Google Patents
分布式拒绝服务攻击态势检测方法及装置 Download PDFInfo
- Publication number
- CN110381041A CN110381041A CN201910577109.4A CN201910577109A CN110381041A CN 110381041 A CN110381041 A CN 110381041A CN 201910577109 A CN201910577109 A CN 201910577109A CN 110381041 A CN110381041 A CN 110381041A
- Authority
- CN
- China
- Prior art keywords
- virtual
- ddos
- virtual lan
- service attack
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
本发明实施例提供一种分布式拒绝服务攻击态势检测方法及装置,所述方法包括:构建虚拟局域网作为网络蜜罐收集僵尸网络病毒;为所述虚拟局域网设置虚拟网关;在所述虚拟网关处进行流量分析,获取所述虚拟局域网对外发起的分布式拒绝服务攻击DDoS流量;根据所述虚拟局域网对外发起的DDoS流量,获取所述虚拟局域网对外发起的DDoS趋势。本发明实施例采用虚拟局域网作为网络蜜罐收集僵尸网络病毒以及采用虚拟网关进行流量分析的方式,使得所述虚拟局域网能够作为现网的一个缩影,从而使得DDoS流量不需要从现网采集,进而极大地缩减了DDoS流量采集和分析的部署成本和推广成本。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种分布式拒绝服务攻击态势检测方法及装置。
背景技术
随着互联网不断普及,越来越多的单位和个人计算机都连接上互联网,随之网络安全问题也日益严重,互联网上的每台主机都有可能受到攻击。近年来不断发生黑客入侵企业网络的事件,如何保障企业网络安全,构筑一个安全可靠的企业网络成了当前迫切需要解决问题。
在现有的网络攻击中,分布式拒绝服务攻击(Distributed Denial of Service,简称DDoS)是目前最难防御的一种网络攻击行为。随着云计算和物联网等科技的不断发展,分布式拒绝服务攻击DDoS越来越频繁,攻击流量峰值记录也不断被打破。其中,分布式拒绝服务攻击DDoS会导致网络服务(如游戏,视频,电商网站等)出现访问缓慢、连接中断等网络问题,这将造成被攻击企业业务的不可用,严重影响用户的产品体验;继而会致使用户流失、品牌受损等严重后果。
因此,有效检测分布式拒绝服务攻击DDoS趋势并在此基础上实现安全预警与针对性防御,成为应对分布式拒绝服务攻击DDoS的第一道门槛,然而目前在对DDoS进行分析时缺乏一种简单有效的分析手段。
发明内容
针对现有技术中的问题,本发明实施例提供一种分布式拒绝服务攻击态势检测方法及装置。
第一方面,本发明实施例提供了一种分布式拒绝服务攻击态势检测方法,包括:
构建虚拟局域网作为网络蜜罐收集僵尸网络病毒;
为所述虚拟局域网设置虚拟网关;
在所述虚拟网关处进行流量分析,获取所述虚拟局域网对外发起的分布式拒绝服务攻击DDoS流量;
根据所述虚拟局域网对外发起的DDoS流量,获取所述虚拟局域网对外发起的DDoS趋势。
进一步地,所述分布式拒绝服务攻击态势检测方法还包括:
若检测到所述虚拟局域网对预设服务器发起的DDoS流量超过对应的预设阈值,则对所述虚拟局域网针对所述预设服务器发起的DDoS流量进行阻断。
进一步地,所述在所述虚拟网关处进行流量分析,获取所述虚拟局域网对外发起的分布式拒绝服务攻击DDoS流量,具体包括:
在所述虚拟网关处采用僵尸网络协议的特征匹配、异常流量检测或基于机器学习的DDoS智能识别算法进行流量分析,获取所述虚拟局域网对外发起的分布式拒绝服务攻击DDoS流量。
进一步地,所述虚拟局域网采用沙箱、虚拟机或真实的物理机进行构建;所述虚拟网关采用沙箱或软件定义网络SDN实现。
第二方面,本发明实施例还提供了一种分布式拒绝服务攻击态势检测装置,包括:
构建模块,用于构建虚拟局域网作为网络蜜罐收集僵尸网络病毒;
设置模块,用于为所述虚拟局域网设置虚拟网关;
第一获取模块,用于在所述虚拟网关处进行流量分析,获取所述虚拟局域网对外发起的分布式拒绝服务攻击DDoS流量;
第二获取模块,用于根据所述虚拟局域网对外发起的DDoS流量,获取所述虚拟局域网对外发起的DDoS趋势。
进一步地,所述分布式拒绝服务攻击态势检测装置还包括:
阻断模块,用于若检测到所述虚拟局域网对预设服务器发起的DDoS流量超过对应的预设阈值,则对所述虚拟局域网针对所述预设服务器发起的DDoS流量进行阻断。
进一步地,所述第一获取模块,具体用于:
在所述虚拟网关处采用僵尸网络协议的特征匹配、异常流量检测或基于机器学习的DDoS智能识别算法进行流量分析,获取所述虚拟局域网对外发起的分布式拒绝服务攻击DDoS流量。
进一步地,所述虚拟局域网采用沙箱、虚拟机或真实的物理机进行构建;所述虚拟网关采用沙箱或软件定义网络SDN实现。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述分布式拒绝服务攻击态势检测方法的步骤。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所述分布式拒绝服务攻击态势检测方法的步骤。
由上面技术方案可知,本发明实施例提供的分布式拒绝服务攻击态势检测方法及装置,通过构建虚拟局域网作为网络蜜罐收集僵尸网络病毒,并为所述虚拟局域网设置虚拟网关,然后在所述虚拟网关处进行流量分析,获取所述虚拟局域网对外发起的分布式拒绝服务攻击DDoS流量,从而实现了所述虚拟局域网对外的全部DDoS流量检测,进而根据检测到的DDoS流量能够掌握DDoS攻击趋势,从而能够为攻击预警、攻击阻断、应急响应、态势感知等各方面业务提供支撑。本发明实施例采用虚拟局域网作为网络蜜罐收集僵尸网络病毒以及采用虚拟网关进行流量分析的方式,使得所述虚拟局域网能够作为现网的一个缩影,从而使得DDoS流量不需要从现网采集,进而极大地缩减了DDoS流量采集和分析的部署成本和推广成本。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的分布式拒绝服务攻击态势检测方法的流程图;
图2是本发明一实施例提供的沙箱的部署结构示意图;
图3为本发明一实施例提供的分布式拒绝服务攻击趋势检测装置的结构示意图;
图4为本发明一实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在介绍本发明实施例提供的方案之前,先对蜜罐这一概念进行解释说明。随着互联网的飞速发展,其开放性、交互性和分散性等特点满足了人们对于信息共享、开放、灵活和快速等需求。但同时,随着网络规模的不断扩大,网络上的攻击行为也变得越来越多,已经严重威胁到网络与信息的安全。在互联网的安全现状中,攻击者与防御者之间在进行着一场不对称的博弈,特别是信息上的不对称。因袭安全管理人员需要对攻击着有深入的了解,包括他们的攻击技术、攻击技巧、攻击战术、攻击习惯等。而蜜罐正是在这一背景下被提出的。蜜罐相对于传统的网络被动防御具有较为突出的优势,它可以对攻击活动进行监视,部署蜜罐的目的就是让系统被攻击者探测、攻击并且甚至被攻陷,是用来对入侵者的攻击行为进行记录的监控和诱捕系统。本发明实施例为了分析分布式拒绝服务攻击(Distributed Denial of Service,简称DDoS)流量,正是利用了蜜罐的这一特性,通过构建虚拟局域网作为网络蜜罐的方式来收集僵尸网络病毒,从而使得构建的虚拟局域网中存在大量各种各样的现网上的活跃僵尸网络病毒,因此使得构建的虚拟局域网中的虚拟节点受到现网上各个真实的有实力的攻击者的控制(掌握了大量僵尸网络主机的攻击者)。也就是说,构建的虚拟局域网就相当于现网的一个投影。这样,通过分析构建的虚拟局域网对外发起的DDoS行为,就能从一定程度上了解现网上的真实DDoS行为和趋势。由于采用这种DDoS检测方式,使得DDoS流量不需要从现网采集,进而极大地缩减了DDoS流量采集和分析的部署成本和推广成本。下面将通过具体实施例对本发明提供的分布式拒绝服务攻击态势检测方法及装置进行详细说明。
图1示出了本发明实施例提供的分布式拒绝服务攻击态势检测方法的流程图。如图1所示,本发明实施例提供的分布式拒绝服务攻击态势检测方法包括如下步骤:
步骤101:构建虚拟局域网作为网络蜜罐收集僵尸网络病毒。
在本步骤中,需要利用虚拟节点构建虚拟局域网,并将该虚拟局域网部署成网络蜜罐,以收集现网(现网指当前真实网络)上的活跃僵尸网络病毒,从而使得构建的虚拟局域网中存在大量各种各样的现网上的活跃僵尸网络病毒,从而便于后续利用与该虚拟局域网对应的虚拟网关进行DDoS流量分析。
在本步骤中,在利用虚拟节点构建虚拟局域网时,虚拟节点可以为沙箱、虚拟机或真实的物理机。
在本步骤中,在将所述虚拟局域网部署成网络蜜罐时,需要进行一些诱饵设定,例如在所述虚拟局域网的虚拟节点中放置一些工作文档,安装一些办公软件,开放ftp服务、web服务、文件共享服务等,从而使得所述虚拟局域网尽可能地接近真实的办公局域网或业务局域网,从而吸引现网上的活跃僵尸网络病毒进来,同时避免高级样本检测到这个环境不真实,从而隐藏应该有的攻击行为。
步骤102:为所述虚拟局域网设置虚拟网关。
在本步骤中,在构建完所述虚拟局域网之后,需要为所述虚拟局域网设置虚拟网关。由于虚拟局域网对外发生的所有攻击流量都需要通过虚拟网关到达外部,故在虚拟网关上进行流量分析是最直接有效的,因而可以在虚拟网关上进行DDoS趋势分析。
步骤103:在所述虚拟网关处进行流量分析,获取所述虚拟局域网对外发起的分布式拒绝服务攻击DDoS流量。
在本步骤中,所述虚拟网关可以采用沙箱或软件定义网络SDN(Software DefinedNetwork)实现。由于所述虚拟网卡是采用纯软件模拟出的虚拟硬件,因此可以拦截流经所述虚拟网卡的所有流量数据。在获取到流经所述虚拟网卡的流量数据后可以采用各种方法对该流量数据进行分析检测,从而获取所述虚拟局域网对外发起的分布式拒绝服务攻击DDoS流量。例如,可以采用僵尸网络协议的特征匹配、异常流量检测(例如根据流量大小进行检测),以及一些机器学习的智能方法。
步骤104:根据所述虚拟局域网对外发起的DDoS流量,获取所述虚拟局域网对外发起的DDoS趋势。
在本步骤中,掌握DDoS攻击趋势,能够为攻击预警、攻击阻断、应急响应、态势感知等各方面业务提供支撑。目前缺乏这方面的有效手段,本实施例提供的分布式拒绝服务攻击态势检测方法,可以根据所述虚拟局域网对外发起的DDoS流量,获取所述虚拟局域网对外发起的DDoS趋势,从而弥补了这方面手段上的不足,而且应用成本较低。因为本实施例采用网络蜜罐作为现网的一个缩影,DDoS攻击流量不需要从现网采集,极大缩减了部署成本和推广成本。
在本实施例中,需要说明的是,当前互联网上,存在有大量僵尸网络,这些僵尸网络会在某些特定的时候,根据攻击者的指令,发起对特定目标的DDoS攻击。本实施例的目的就是对僵尸网络的DDoS攻击流量进行测量,即掌握僵尸网络的发作时间、发作规模、攻击目标以及它们的变化等。由于在现网中检测DDoS攻击行为需要的部署成本较高,故针对该问题,本实施例通过构建虚拟局域网作为网络蜜罐的方式来收集僵尸网络病毒,使得构建的虚拟局域网中存在大量各种各样的现网上的活跃僵尸网络病毒,因此使得构建的虚拟局域网中的虚拟节点受到现网上各个真实的有实力的攻击者的控制(掌握了大量僵尸网络主机的攻击者)。在本实施例中,由于构建的虚拟局域网作为网络蜜罐收集了大量真实的僵尸网络病毒,故构建的虚拟局域网就相当于现网的一个投影。这样,通过分析构建的虚拟局域网通过虚拟网关对外发起的DDoS行为,就能从一定程度上了解现网上的真实DDoS行为和趋势。由于采用这种DDoS检测方式,使得DDoS流量不需要从现网采集,进而极大地缩减了DDoS流量采集和分析的部署成本和推广成本。
在本实施例中,首先利用虚拟局域网(即“网络蜜罐”)收集僵尸网络病毒(bot),或主动抓获活跃的僵尸网络病毒投放到网络蜜罐中。这样虚拟局域网的虚拟节点中就会有大量活跃的僵尸网络病毒在执行,这些病毒在收到攻击者指令的时候就会对某个网络目标发起攻击,而通过分析虚拟网关的上的流量数据就能感知攻击、测量规模、确定目标等等,从而完成相关DDoS攻击态势的分析。
在本实施例中,为使得构建的网络蜜罐更像一个真实的办公局域网或业务局域网,需要进行一些特殊设定。例如在网络蜜罐的某些虚拟节点中放置一些工作文档(作为诱饵),安装一些办公软件,在某些虚拟节点开放ftp服务、web服务、文件共享服务等。需要说明的是,在虚拟节点进行这些设定,目的是为了使其尽可能地接近真实的办公局域网或业务局域网,避免高级样本检测到这个环境不真实,从而隐藏应该有的攻击行为。
在本实施例中,所述虚拟局域网可以采用沙箱、虚拟机或真实的物理机进行构建;所述虚拟网关可以采用沙箱或软件定义网络SDN(Software Defined Network)实现。
在本实施例中,以图2所示的沙箱为例对本发明实施例提供的分布式拒绝服务攻击态势检测方法进行简单说明。如图2所示,在一个安装有沙箱的终端设备上,共设置有四层结构,分别为:物理硬件层、宿主机操作系统层、虚拟硬件层和虚拟操作系统层;其中:
物理硬件层:真正的硬件,即终端设备上插的CPU、内存、硬盘等等;
宿主机操作系统层:安装在终端设备上的操作系统。即按电源按钮后,终端设备启动进入的操作系统,如可以为Linux;
虚拟硬件层:在宿主机操作系统上运行的一个程序,这个程序会用纯软件的形式模拟出CPU、内存、硬盘等一系列硬件,即实现虚拟硬件层,也就是实现了虚拟机的功能。因为是纯软件模拟的,因此可以模拟出和真实物理硬件层完全不一样的虚拟硬件。例如在x86架构的CPU的终端设备上,其虚拟硬件层中的虚拟CPU可以是ARM架构的;
虚拟操作系统层:即虚拟机操作系统,直接安装在虚拟硬件层上,可以是linux、windows、android等等,取决于僵尸网络病毒(样本程序)希望运行在什么系统中。
在上面介绍完安装有沙箱的终端设备的结构后可知,一个终端设备上,设置有四层:物理硬件层、宿主机操作系统层、虚拟硬件层、虚拟操作系统层;也就是说,在宿主机操作系统层运行了一个程序,这个程序的作用就是用纯软件的形式模拟CPU、内存、硬盘等一系列硬件,即实现虚拟硬件层,也就是实现了虚拟机的功能。然后再在虚拟硬件层上安装虚拟操作系统。
可以理解的是,所述安装有沙箱的终端设备可以作为上述实施例中所述的虚拟局域网的一个虚拟节点,相应地,利用多个安装有沙箱的终端设备就可以组成上述实施例中所述的虚拟局域网,然后再通过一些操作,将该虚拟局域网部署成网络蜜罐,从而吸引或收集一些僵尸网络病毒在虚拟节点也即沙箱中运行(也可以主动抓获活跃的僵尸网络病毒投放到网络蜜罐中),从而来模拟真实的现网,进而通过在所述虚拟局域网的网关处进行流量分析,可以获取所述虚拟局域网对外发起的分布式拒绝服务攻击DDoS流量。由于采用这种虚拟局域网作为网络蜜罐收集僵尸网络病毒以及在对应虚拟网关进行流量分析的方式,使得所述虚拟局域网能够作为现网的一个缩影,从而使得DDoS流量不需要从现网采集,进而极大地缩减了DDoS流量采集和分析的部署成本和推广成本。其中,上面所述的僵尸网络病毒作为样本程序运行在沙箱的虚拟操作系统层。此外,对于上面实施例所述的虚拟网关,可以在沙箱的虚拟硬件层实现,即在沙箱的虚拟硬件层利用纯软件的形式模拟出虚拟网关。由于虚拟网关位于沙箱的虚拟硬件层,且虚拟网关作为虚拟局域网对外的唯一出口,因此沙箱可以监控样本程序执行的所有操作,当样本程序接收到攻击者的指令对特定目标发起DDoS攻击时,沙箱可以通过动态行为分析、网络流量分析等方式掌握样本程序接收到的指令内容,例如攻击目标、攻击方式、攻击时间等。
由上面技术方案可知,本发明实施例提供的分布式拒绝服务攻击态势检测方法,通过构建虚拟局域网作为网络蜜罐收集僵尸网络病毒,并为所述虚拟局域网设置虚拟网关,然后在所述虚拟网关处进行流量分析,获取所述虚拟局域网对外发起的分布式拒绝服务攻击DDoS流量,从而实现了所述虚拟局域网对外的全部DDoS流量检测,进而根据检测到的DDoS流量能够掌握DDoS攻击趋势,从而能够为攻击预警、攻击阻断、应急响应、态势感知等各方面业务提供支撑。本发明实施例采用虚拟局域网作为网络蜜罐收集僵尸网络病毒以及采用虚拟网关进行流量分析的方式,使得所述虚拟局域网能够作为现网的一个缩影,从而使得DDoS流量不需要从现网采集,进而极大地缩减了DDoS流量采集和分析的部署成本和推广成本。
基于上述实施例的内容,在本实施例中,所述分布式拒绝服务攻击态势检测方法还包括:
步骤105:若检测到所述虚拟局域网对预设服务器发起的DDoS流量超过对应的预设阈值,则对所述虚拟局域网针对所述预设服务器发起的DDoS流量进行阻断。
在本实施例中,由于网络蜜罐会根据攻击者的指令对真实目标发起攻击,因此,为避免分析用的网络蜜罐被攻击者用于真实攻击,故当针对某个目标服务器的DDoS流量超过一定规模时需要进行阻断处理。这个一定规模是可以动态配置的,原则上只要不会真的干扰目标服务器的正常业务就无需阻断。这个规模对应的阈值相对比较灵活,可以根据需要或根据不同的目标服务器抵御攻击的能力进行动态设置。
根据上面描述可知,在本实施例中,可以用沙箱,或者VMWare等其它虚拟机、或者真实的物理机等,构建起一个虚拟局域网,作为网络蜜罐;然后用SDN或者沙箱构建起一个能监控网络流量并实现流量阻断功能的虚拟网关,由于虚拟局域网对外发生的所有攻击流量数据都需要通过虚拟网关到达外部,故在虚拟网关上进行流量分析是最直接有效的,因而可以在该虚拟网关上进行DDoS趋势分析。
基于上述实施例的内容,在本实施例中,所述步骤103可通过如下方式实现:
在所述虚拟网关处采用僵尸网络协议的特征匹配、异常流量检测或基于机器学习的DDoS智能识别算法进行流量分析,获取所述虚拟局域网对外发起的分布式拒绝服务攻击DDoS流量。
在本实施例中,从虚拟网关上捕获流量进行分析,可以是僵尸网络协议的特征匹配、也可以是针对某目标的流量大小异常检测等通用方法,或者基于机器学习的智能方法等,实现发现DDoS攻击。
在本实施例中,需要说明的是,由于所述虚拟网卡是采用纯软件模拟出的虚拟硬件,因此可以拦截流经所述虚拟网卡的所有数据。在获取到数据后可以采用各种方法对数据进行分析检测。例如采用僵尸网络协议的特征匹配、异常流量检测(例如根据流量大小进行检测),以及一些机器学习的智能方法。由于该部分内容可以采用现有技术中的常规手段实现,故本实施例对该过程不再进行详细说明。
图3示出了本发明实施例提供的分布式拒绝服务攻击趋势检测装置的结构示意图。如图3所示,本发明实施例提供的分布式拒绝服务攻击趋势检测装置包括:构建模块21、设置模块22、第一获取模块23和第二获取模块24,其中:
构建模块21,用于构建虚拟局域网作为网络蜜罐收集僵尸网络病毒;
设置模块22,用于为所述虚拟局域网设置虚拟网关;
第一获取模块23,用于在所述虚拟网关处进行流量分析,获取所述虚拟局域网对外发起的分布式拒绝服务攻击DDoS流量;
第二获取模块24,用于根据所述虚拟局域网对外发起的DDoS流量,获取所述虚拟局域网对外发起的DDoS趋势。
进一步地,基于上述实施例的内容,在本实施例中,所述分布式拒绝服务攻击态势检测装置还包括:
阻断模块,用于若检测到所述虚拟局域网对预设服务器发起的DDoS流量超过对应的预设阈值,则对所述虚拟局域网针对所述预设服务器发起的DDoS流量进行阻断。
进一步地,基于上述实施例的内容,在本实施例中,所述第一获取模块23,具体用于:
在所述虚拟网关处采用僵尸网络协议的特征匹配、异常流量检测或基于机器学习的DDoS智能识别算法进行流量分析,获取所述虚拟局域网对外发起的分布式拒绝服务攻击DDoS流量。
进一步地,基于上述实施例的内容,在本实施例中,所述虚拟局域网采用沙箱、虚拟机或真实的物理机进行构建;所述虚拟网关采用沙箱或软件定义网络SDN实现。
由于本发明实施例提供的分布式拒绝服务攻击趋势检测装置,可以用于执行上述实施例所述的分布式拒绝服务攻击态势检测方法,其工作原理和有益效果类似,故此处不再详述,具体内容可参见上述实施例的介绍。
基于相同的发明构思,本发明又一实施例提供了一种电子设备,参见图4,所述电子设备具体包括如下内容:处理器301、存储器302、通信接口303和通信总线304;
其中,所述处理器301、存储器302、通信接口303通过所述通信总线304完成相互间的通信;
所述处理器301用于调用所述存储器302中的计算机程序,所述处理器执行所述计算机程序时实现上述分布式拒绝服务攻击态势检测方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述过程:构建虚拟局域网作为网络蜜罐收集僵尸网络病毒;为所述虚拟局域网设置虚拟网关;在所述虚拟网关处进行流量分析,获取所述虚拟局域网对外发起的分布式拒绝服务攻击DDoS流量;根据所述虚拟局域网对外发起的DDoS流量,获取所述虚拟局域网对外发起的DDoS趋势。
基于相同的发明构思,本发明又一实施例提供了一种非暂态计算机可读存储介质,该非暂态计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述分布式拒绝服务攻击态势检测方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述过程:构建虚拟局域网作为网络蜜罐收集僵尸网络病毒;为所述虚拟局域网设置虚拟网关;在所述虚拟网关处进行流量分析,获取所述虚拟局域网对外发起的分布式拒绝服务攻击DDoS流量;根据所述虚拟局域网对外发起的DDoS流量,获取所述虚拟局域网对外发起的DDoS趋势。
此外,上述的存储器中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的分布式拒绝服务攻击态势检测方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种分布式拒绝服务攻击态势检测方法,其特征在于,包括:
构建虚拟局域网作为网络蜜罐收集僵尸网络病毒;
为所述虚拟局域网设置虚拟网关;
在所述虚拟网关处进行流量分析,获取所述虚拟局域网对外发起的分布式拒绝服务攻击DDoS流量;
根据所述虚拟局域网对外发起的DDoS流量,获取所述虚拟局域网对外发起的DDoS趋势。
2.根据权利要求1所述的分布式拒绝服务攻击态势检测方法,其特征在于,所述分布式拒绝服务攻击态势检测方法还包括:
若检测到所述虚拟局域网对预设服务器发起的DDoS流量超过对应的预设阈值,则对所述虚拟局域网针对所述预设服务器发起的DDoS流量进行阻断。
3.根据权利要求1所述的分布式拒绝服务攻击态势检测方法,其特征在于,所述在所述虚拟网关处进行流量分析,获取所述虚拟局域网对外发起的分布式拒绝服务攻击DDoS流量,具体包括:
在所述虚拟网关处采用僵尸网络协议的特征匹配、异常流量检测或基于机器学习的DDoS智能识别算法进行流量分析,获取所述虚拟局域网对外发起的分布式拒绝服务攻击DDoS流量。
4.根据权利要求1所述的分布式拒绝服务攻击态势检测方法,其特征在于,所述虚拟局域网采用沙箱、虚拟机或真实的物理机进行构建;所述虚拟网关采用沙箱或软件定义网络SDN实现。
5.一种分布式拒绝服务攻击态势检测装置,其特征在于,包括:
构建模块,用于构建虚拟局域网作为网络蜜罐收集僵尸网络病毒;
设置模块,用于为所述虚拟局域网设置虚拟网关;
第一获取模块,用于在所述虚拟网关处进行流量分析,获取所述虚拟局域网对外发起的分布式拒绝服务攻击DDoS流量;
第二获取模块,用于根据所述虚拟局域网对外发起的DDoS流量,获取所述虚拟局域网对外发起的DDoS趋势。
6.根据权利要求5所述的分布式拒绝服务攻击态势检测装置,其特征在于,所述分布式拒绝服务攻击态势检测装置还包括:
阻断模块,用于若检测到所述虚拟局域网对预设服务器发起的DDoS流量超过对应的预设阈值,则对所述虚拟局域网针对所述预设服务器发起的DDoS流量进行阻断。
7.根据权利要求5所述的分布式拒绝服务攻击态势检测装置,其特征在于,所述第一获取模块,具体用于:
在所述虚拟网关处采用僵尸网络协议的特征匹配、异常流量检测或基于机器学习的DDoS智能识别算法进行流量分析,获取所述虚拟局域网对外发起的分布式拒绝服务攻击DDoS流量。
8.根据权利要求5所述的分布式拒绝服务攻击态势检测装置,其特征在于,所述虚拟局域网采用沙箱、虚拟机或真实的物理机进行构建;所述虚拟网关采用沙箱或软件定义网络SDN实现。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至4任一项所述分布式拒绝服务攻击态势检测方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至4任一项所述分布式拒绝服务攻击态势检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910577109.4A CN110381041B (zh) | 2019-06-28 | 2019-06-28 | 分布式拒绝服务攻击态势检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910577109.4A CN110381041B (zh) | 2019-06-28 | 2019-06-28 | 分布式拒绝服务攻击态势检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110381041A true CN110381041A (zh) | 2019-10-25 |
CN110381041B CN110381041B (zh) | 2021-12-14 |
Family
ID=68251242
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910577109.4A Active CN110381041B (zh) | 2019-06-28 | 2019-06-28 | 分布式拒绝服务攻击态势检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110381041B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112118577A (zh) * | 2020-09-18 | 2020-12-22 | 国网山东省电力公司青岛供电公司 | 基于SDN虚拟蜜罐的IoT网络攻击消减系统及方法 |
CN112261029A (zh) * | 2020-10-16 | 2021-01-22 | 北京锐驰信安技术有限公司 | 一种基于养殖的DDoS恶意代码检测及溯源方法 |
CN113364723A (zh) * | 2020-03-05 | 2021-09-07 | 奇安信科技集团股份有限公司 | DDoS攻击监控方法及装置、存储介质、计算机设备 |
CN114465749A (zh) * | 2021-09-28 | 2022-05-10 | 北京卫达信息技术有限公司 | 一种基于网络拓扑混淆的虚拟网关装置及构建方法 |
CN114499915A (zh) * | 2021-09-28 | 2022-05-13 | 北京卫达信息技术有限公司 | 一种虚拟节点与蜜罐结合的诱捕攻击方法、装置及系统 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101841523A (zh) * | 2010-02-05 | 2010-09-22 | 中国科学院计算技术研究所 | 检测恶意代码样本的网络行为的方法及系统 |
CN102291397A (zh) * | 2011-08-04 | 2011-12-21 | 中国科学院计算技术研究所 | 一种僵尸网络追踪方法 |
US8156541B1 (en) * | 2007-10-17 | 2012-04-10 | Mcafee, Inc. | System, method, and computer program product for identifying unwanted activity utilizing a honeypot device accessible via VLAN trunking |
US20160381070A1 (en) * | 2015-06-26 | 2016-12-29 | Fortinet, Inc. | Protocol based detection of suspicious network traffic |
CN106789892A (zh) * | 2016-11-22 | 2017-05-31 | 国云科技股份有限公司 | 一种云平台通用的防御分布式拒绝服务攻击的方法 |
CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
CN109302426A (zh) * | 2018-11-30 | 2019-02-01 | 东软集团股份有限公司 | 未知漏洞攻击检测方法、装置、设备及存储介质 |
CN109495472A (zh) * | 2018-11-19 | 2019-03-19 | 南京邮电大学 | 一种针对内外网摄像头配置弱口令漏洞的防御方法 |
US10284598B2 (en) * | 2016-01-29 | 2019-05-07 | Sophos Limited | Honeypot network services |
US10320841B1 (en) * | 2015-12-28 | 2019-06-11 | Amazon Technologies, Inc. | Fraud score heuristic for identifying fradulent requests or sets of requests |
-
2019
- 2019-06-28 CN CN201910577109.4A patent/CN110381041B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8156541B1 (en) * | 2007-10-17 | 2012-04-10 | Mcafee, Inc. | System, method, and computer program product for identifying unwanted activity utilizing a honeypot device accessible via VLAN trunking |
CN101841523A (zh) * | 2010-02-05 | 2010-09-22 | 中国科学院计算技术研究所 | 检测恶意代码样本的网络行为的方法及系统 |
CN102291397A (zh) * | 2011-08-04 | 2011-12-21 | 中国科学院计算技术研究所 | 一种僵尸网络追踪方法 |
US20160381070A1 (en) * | 2015-06-26 | 2016-12-29 | Fortinet, Inc. | Protocol based detection of suspicious network traffic |
US10320841B1 (en) * | 2015-12-28 | 2019-06-11 | Amazon Technologies, Inc. | Fraud score heuristic for identifying fradulent requests or sets of requests |
US10284598B2 (en) * | 2016-01-29 | 2019-05-07 | Sophos Limited | Honeypot network services |
CN106789892A (zh) * | 2016-11-22 | 2017-05-31 | 国云科技股份有限公司 | 一种云平台通用的防御分布式拒绝服务攻击的方法 |
CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
CN109495472A (zh) * | 2018-11-19 | 2019-03-19 | 南京邮电大学 | 一种针对内外网摄像头配置弱口令漏洞的防御方法 |
CN109302426A (zh) * | 2018-11-30 | 2019-02-01 | 东软集团股份有限公司 | 未知漏洞攻击检测方法、装置、设备及存储介质 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113364723A (zh) * | 2020-03-05 | 2021-09-07 | 奇安信科技集团股份有限公司 | DDoS攻击监控方法及装置、存储介质、计算机设备 |
CN112118577A (zh) * | 2020-09-18 | 2020-12-22 | 国网山东省电力公司青岛供电公司 | 基于SDN虚拟蜜罐的IoT网络攻击消减系统及方法 |
CN112118577B (zh) * | 2020-09-18 | 2023-10-13 | 国网山东省电力公司青岛供电公司 | 基于SDN虚拟蜜罐的IoT网络攻击消减系统及方法 |
CN112261029A (zh) * | 2020-10-16 | 2021-01-22 | 北京锐驰信安技术有限公司 | 一种基于养殖的DDoS恶意代码检测及溯源方法 |
CN114465749A (zh) * | 2021-09-28 | 2022-05-10 | 北京卫达信息技术有限公司 | 一种基于网络拓扑混淆的虚拟网关装置及构建方法 |
CN114499915A (zh) * | 2021-09-28 | 2022-05-13 | 北京卫达信息技术有限公司 | 一种虚拟节点与蜜罐结合的诱捕攻击方法、装置及系统 |
CN114465749B (zh) * | 2021-09-28 | 2022-11-15 | 北京卫达信息技术有限公司 | 一种基于网络拓扑混淆的虚拟网关装置及构建方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110381041B (zh) | 2021-12-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110381041A (zh) | 分布式拒绝服务攻击态势检测方法及装置 | |
Vidal et al. | Adaptive artificial immune networks for mitigating DoS flooding attacks | |
Mousavi et al. | Early detection of DDoS attacks against software defined network controllers | |
EP3214568B1 (en) | Method, apparatus and system for processing cloud application attack behaviours in cloud computing system | |
Ou | Host-based intrusion detection systems adapted from agent-based artificial immune systems | |
Mousavi | Early detection of DDoS attacks in software defined networks controller | |
Xu et al. | An SDNFV-based DDoS defense technology for smart cities | |
CN109617865A (zh) | 一种基于移动边缘计算的网络安全监测与防御方法 | |
Seufert et al. | Machine learning for automatic defence against distributed denial of service attacks | |
CN110798482B (zh) | 基于linux网络过滤器的系统级蜜罐网络隔离系统 | |
Fu et al. | On recognizing virtual honeypots and countermeasures | |
CN110401638B (zh) | 一种网络流量分析方法及装置 | |
Dayal et al. | An RBF-PSO based approach for early detection of DDoS attacks in SDN | |
Chovancová et al. | Securing Distributed Computer Systems Using an Advanced Sophisticated Hybrid Honeypot Technology. | |
Wang et al. | Detecting flooding DDoS attacks in software defined networks using supervised learning techniques | |
CN114726557A (zh) | 一种网络安全防护方法及装置 | |
Kholidy et al. | Online risk assessment and prediction models for Autonomic Cloud Intrusion srevention systems | |
CN114143096A (zh) | 安全策略配置方法、装置、设备、存储介质及程序产品 | |
Raja Sree et al. | Detection of HTTP flooding attacks in cloud using fuzzy bat clustering | |
Umamaheswari et al. | Honeypot TB-IDS: trace back model based intrusion detection system using knowledge based honeypot construction model | |
Duy et al. | A role-based statistical mechanism for DDoS attack detection in SDN | |
Usman et al. | Implementation of SDN-based IDS to protect Virtualization Server against HTTP DoS attacks | |
Aslam et al. | Machine learning based SDN-enabled distributed denial-of-services attacks detection and mitigation system for Internet of Things | |
CN117375942A (zh) | 基于节点清洗防范DDoS攻击的方法及装置 | |
CN112637250A (zh) | 一种动态智能自适应蜜网的实现方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |