CN112134732A - 一种用于DDoS攻击的取证方法及系统 - Google Patents

一种用于DDoS攻击的取证方法及系统 Download PDF

Info

Publication number
CN112134732A
CN112134732A CN202010949005.4A CN202010949005A CN112134732A CN 112134732 A CN112134732 A CN 112134732A CN 202010949005 A CN202010949005 A CN 202010949005A CN 112134732 A CN112134732 A CN 112134732A
Authority
CN
China
Prior art keywords
attack
botnet
ddos
information table
list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010949005.4A
Other languages
English (en)
Other versions
CN112134732B (zh
Inventor
伏晓
骆云
骆斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing University
Original Assignee
Nanjing University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University filed Critical Nanjing University
Priority to CN202010949005.4A priority Critical patent/CN112134732B/zh
Publication of CN112134732A publication Critical patent/CN112134732A/zh
Application granted granted Critical
Publication of CN112134732B publication Critical patent/CN112134732B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种用于DDOS攻击的取证方法及系统,其中方法包括以下步骤:报告异常信息表;信息表分析;FMS分片数据包表示。系统包括:NS2模拟模块、报告异常模块、分析算法模块和分片包标记法模块。本发明使用NS2来模拟网络环境和网络节点,不仅可以模拟真实的网络环境,还可以防止实际的攻击造成网络瘫痪;所有分析算法都可以在NS2中实现,并且操作简单高效,不需要复杂的工具。本发明使用僵尸网络和DDoS攻击电子证据分析方法,在服务器端分析电子证据时使用片段数据包标记,以跟踪路由器的源和路径重构,从而将规模识别率提高到93%。

Description

一种用于DDoS攻击的取证方法及系统
技术领域
本发明涉及计算机网络技术领域,涉及一种攻击取证模型,尤其涉及一种用于收集和识别DDoS攻击中隐藏的细节的取证方法及能够实现该方法的系统。
背景技术
互联网使得信息可以快速交互,为人们的生活带来了便利,但其也因技术限制具有缺点,因其“没有中央管理机构”,互联网具有开放式窗口,可让网络犯罪分子发起攻击。
DDoS攻击是Internet上流行的攻击之一。分布式拒绝服务攻击(DDoS)是基于拒绝服务攻击而开发的。DDoS攻击不同于传统的黑客攻击。当主机的计算能力持续提高时,一旦主机成为“机器”,就意味着它可以在特定时间内发送更多攻击数据包。另外,由于互联网本身的哑铃型结构,互联网检测和处理攻击的能力很弱。
DDoS攻击都是基于IRC协议通信的僵尸网络发起的。IRC(Internet Relay Chat)是应用层协议,采用C/S模式,在服务器端建立一个聊天室,这个聊天室允许多个客户端同时连接到它上面,这些客户端能够相互对话,多个IRC服务器还可以组成IRC服务器网络,允许不同服务器上的用户之间对话。IRC服务器的默认端口为TCP6667。目前已知的僵尸网络都是基于IRC的僵尸程序。当攻击者利用漏洞或蠕虫攻击主机时,会将IRCBot植入主机。然后,IRC Bot根据预设命令自动连接到IRC服务器中的固定通道,并等待攻击者释放它。这些主机可以在IRC通道中进行远程控制,形成IRC僵尸网络。
在云计算环境中,Internet面临着更多的计算机犯罪问题,这给取证工作带来了巨大挑战。首先,必须收集和分析所发生攻击的证据;其次,收集数据也是防止攻击的技术手段。但目前,现有技术中尚无效果理想的取证方法。
发明内容
为解决上述问题,本发明公开了一种用于DDOS攻击的取证方法及系统。为了识别网络事件发生之后或期间留下的所有隐藏细节,本发明使用了计算机取证。这种方法需要模拟真实网络节点的环境以及获取和分析程序包的方法。本发明使用NS2对网络环境和网络节点进行仿真,侧重于客户端证据保存和服务器端证据分析,最终旨在分析僵尸网络的规模。
本发明方法主要分为三个步骤。首先,客户端将信息表报告给服务器。然后,服务器分析信息表。最后,根据FMS(片段采样)提高了分析准确性和性能。
为了达到上述目的,本发明提供如下技术方案:
一种用于DDoS攻击的取证方法,包括如下步骤:
步骤1,报告异常信息表;
当客户端检测到僵尸网络IRC行为时,如果该行为涉及未报告的IRC通道,则将C2信息表提交至服务器端;如果客户端检测到新的DDoS攻击,则将攻击信息表提交至服务器端;
步骤2,信息表分析;
在服务器端使用僵尸网络电子证据信息表分析算法和DDoS攻击电子证据分析算法对电子证据进行分析;
步骤3,FMS分片数据包表示;
使用三种技术来减少每个数据包的存储需求,通过重新加载IP数据包来监视空间。
进一步的,所述步骤1中,C2信息表包括以下信息:IRC频道、客户端IP以及僵尸网络ID,所述DDoS攻击信息表包括以下信息:发起攻击的主机IP、被攻击的主机IP以及僵尸网络ID。
进一步的,所述步骤2中信息表分析算法具体包括如下步骤:
(1)将处于同一个IRC频道中的Botnet看作一个基本单位;
(2)系为每一个认定出来的Botnet建立一个Botnet对象;
(3)当僵尸主机报告加入了一个新的IRC频道时,把该频道加入到准IRC频道列表中,同时产生一个对应的举报向量,向量中的分量为布尔型的变量,初始化时均为假,每个分量对应Botnet中的一个僵尸主机,若该僵尸主机报告了加入该条新的IRC频道,则对应分量设置为真;
(4)对于报告上来的每一次攻击,建立一个攻击列表,表中的元素即为攻击的ID对每一个攻击建立相应的计数器向量,向量中的分量为Long型的变量,初始化为0,若Botnet的某个僵尸主机发送了攻击报告,则给相应的计数器分量加一。
进一步的,所述Botnet对象包括:Botnet ID,一个子Botnet列表,一个父Botnet引用,一个僵尸主机列表,一个IRC C2频道轨迹列表,一个准IRC C2频道列表,一组IRC频道更换举报向量,一个DDoS攻击列表和一组DDoS攻击向量。
进一步的,所述步骤2中DDoS攻击电子证据分析算法具体包括如下步骤:
(1)客户端发动的DDoS攻击,若两次攻击中受害主机的IP相同,则这两次攻击属于同一组DDoS攻击;
(2)创建Attack对象表示Botnet的DDoS攻击,每个Attack对象包括一个ID、被攻击服务器的IP以及一个参与攻击的Botnet列表;
(3)当服务器接到一个攻击报告,把该信息表与Attack列表中的元素比较,若该攻击不属于任何Attack,则新建一个Attack对象;若该攻击属于某个Attack,则对该节点进行融合,融合的具体做法是:在该节点所属的Botnet中,若存在与该Attack对应的攻击向量,则把攻击向量的对应分量设置为真;若不存在对应的攻击向量,则生成攻击向量,然后再把攻击向量对应的分量设置为真;若攻击向量中为真的分量大于某个阈值,则把该Botnet ID加到Attack参与攻击的Botnet列表中;
(4)攻击的规模为参与攻击的Botnet列表中与该Attack对应的攻击向量中为真分量的个数。
进一步的,所述步骤3使用以下技术:
(1)用两个路由器IP地址的异或值来表示一条边,该值表示了两个路由器之间的联系,具体包括:
a、当一个路由器需要标记一个数据包时会把自己的IP地址a写入数据包;
b、接下来的路由器b看到数据包的distance域为0,从中得出a和路由器b的地址异或运算后再次把运算值a⊕b写入到数据包中,a⊕b称为路由器a和b组成的边;
c、除了距离被攻击者仅一跳的那个路由器转发的样本不进行修改外,其它的都进行修改,使被攻击者收到的样本的边总是包含两个相邻的路由器间的异或值;由于a⊕b⊕b=a这一性质,所以在重构攻击路径时,被攻击者能够通过对下游路由器发来的样本进行编码,得到它的上一级边;重复此求解操作,一步一步向上回溯,直到找出第一级路由器;
(2)利用分段技术,把32位的边信息分成k个小的不重叠的片段;
(3)采用一个简单的误差检验方式:一个路由器A的32位IP地址和一个32位的hash(A)进行交叉,地址长度增加到64位。
进一步的,所述编码为:c=c⊕d⊕d。
本发明还提供了一种用于DDoS攻击的取证系统,包括NS2模拟模块、报告异常模块、分析算法模块和分片包标记法模块;
所述NS2模拟模块使用NS2对网络环境和网络节点进行仿真,所有分析算法在NS2中使用和实现;
报告异常模块用于将信息表报告给服务器,当客户端检测到僵尸网络IRC行为时,如果该行为涉及未报告的IRC通道,则将C2信息表提交给服务器;如果客户端检测到新的DDoS攻击,则将攻击信息表提交给服务器端;
分析算法模块用于在服务器端使用僵尸网络电子证据信息表分析算法和DDoS攻击电子证据分析算法对电子证据进行分析;
所述分片包标记法模块用于在捕获数据包时,结合碎片化的数据包符号,使用三种技术来减少每个数据包的存储需求,通过重新加载IP数据包来监视空间。
与现有技术相比,本发明具有如下优点和有益效果:
(1)本发明使用NS2来模拟网络环境和网络节点,不仅可以模拟真实的网络环境,还可以防止实际的攻击造成网络瘫痪;所有分析算法都可以在NS2中实现,并且操作简单高效,不需要复杂的工具。
(2)使用僵尸网络和DDoS攻击电子证据分析方法。僵尸网络使用IRC通道作为基本单位。僵尸网络的分析算法使用选举向量来检测黑客的分裂和转移行为。DDoS攻击的分析方法使用攻击向量来检测僵尸网络是否参与了DDoS攻击。此外,在服务器端分析电子证据时使用片段数据包标记,以跟踪路由器的源和路径重构,从而将规模识别率提高到93%。
附图说明
图1为本发明提供的用于DDoS攻击的取证系统流程图;
图2为动态取证模型示意图;
图3为分片包标记法的数据包标签中的XOR边缘处理示意图。
具体实施方式
以下将结合具体实施例对本发明提供的技术方案进行详细说明,应理解下述具体实施方式仅用于说明本发明而不用于限制本发明的范围。
图1为本发明提供的用于DDoS攻击的取证方法流程图,包括如下步骤:
步骤1:报告异常信息表。在我们的模型中,客户端检测到僵尸网络(Botnet)IRC行为。如果该行为涉及未报告的IRC通道,则它将C2信息表提交给服务器。C2信息表包括以下信息:IRC频道、客户端IP以及僵尸网络ID。如果客户端检测到新的DDoS攻击,则它将攻击信息表提交到服务器端。DDoS攻击信息表包括以下信息:发起攻击的主机IP、被攻击的主机IP以及僵尸网络ID。
步骤2:信息表分析。在服务器端,使用僵尸网络电子证据信息表分析算法和DDoS攻击电子证据分析算法对电子证据进行分析。
具体的说,服务器端采用C2信息表分析算法根据客户端提交上来的C2信息表确定Botnet的规模、源头、源头所属的网络,C2信息表分析算法的具体步骤如下:
(1)将处于同一个IRC频道中的Botnet看作一个基本单位;
(2)系统为每一个认定出来的Botnet建立一个Botnet对象,(Botnet对象包括Botnet ID,一个子Botnet列表,一个父Botnet引用,一个僵尸主机列表,一个IRC C2频道轨迹列表,一个准IRC C2频道列表,一组IRC频道更换举报向量,一个DDoS攻击列表和一组DDoS攻击向量);
(3)当僵尸主机报告加入了一个新的IRC频道时,把该频道加入到准IRC频道列表中,同时产生一个对应的举报向量,向量中的分量为布尔型的变量,初始化时均为假,每个分量对应Botnet中的一个僵尸主机,若该僵尸主机报告了加入该条新的IRC频道,则对应分量设置为真。由于每次对Botnet的拆分或转移必须有足够量的僵尸主机接收到频道转换命令才有效,所以这种情况下举报向量中为真的分量在所有分量中的比率应该大于某个阈值(该阈值设定为90%,即为行为的识别率);
(4)对于报告上来的每一次攻击,建立一个攻击列表,表中的元素即为攻击的ID对每一个攻击建立相应的计数器向量,向量中的分量为Long型的变量,初始化为0,若Botnet的某个僵尸主机发送了攻击报告,则给相应的计数器分量加一。若某个攻击是基于Botnet的DDoS攻击,则该Botnet中的大多数僵尸主机都将参与该次攻击,这时攻击向量中不为零的分量在所有分量中的比率应该大于某个阈值(该阈值设定为90%,即为行为的识别率)。
服务器端采用DDoS攻击信息表分析算法根据提交上来的攻击信息表确定DDoS攻击的规模、源头、源头所属的网络,DDoS攻击信息表分析算法的具体步骤如下:
(1)客户端发动的DDoS攻击,若两次攻击中受害主机的IP相同,则这两次攻击属于同一组DDoS攻击;
(2)系统创建Attack对象表示Botnet的DDoS攻击,每个Attack对象包括一个ID、被攻击服务器的IP以及一个参与攻击的Botnet列表;
(3)当服务器接到一个攻击报告,把该信息表与Attack列表中的元素比较,若该攻击不属于任何Attack,则新建一个Attack对象。若该攻击属于某个Attack,则对该节点进行融合。融合的具体做法是:在该节点所属的Botnet中,若存在与该Attack对应的攻击向量,则把攻击向量的对应分量设置为真;若不存在对应的攻击向量,则生成攻击向量,然后再把攻击向量对应的分量设置为真。若攻击向量中为真的分量大于某个阈值,则把该Botnet ID加到Attack参与攻击的Botnet列表中;
(4)攻击的规模为参与攻击的Botnet列表中与该Attack对应的攻击向量中为真分量的个数。
步骤3:FMS分片数据包标记。本步骤是为了解决IP包头地址空间不足的问题而提出的,在捕获数据包时,此模型结合了碎片化的数据包符号,因为它使用三种技术来减少每个数据包的存储需求,从而大大减少了标记的需求。可以通过重新加载IP数据包来监视空间(即下文中步骤c)。具体技术如下:
(1)用两个路由器IP地址的异或值来表示一条边,这个值表示了两个路由器之间的联系。图3所示的为分片包标记法的数据包标签中的XOR边缘处理示意图。
a、当一个路由器需要标记一个数据包时它会把自己的IP地址a写入数据包。
b、接下来的路由器b看到数据包的distance域为0(假设它自己没有标记这个数据包),从中得出a和路由器b的地址异或运算后再次把运算值a⊕b写入到数据包中,我们把a⊕b叫做路由器a和b组成的边。
c、除了距离被攻击者仅一跳的那个路由器转发的样本不进行修改外,其它的都要修改(采用步骤b写入数据包),使被攻击者收到的样本的边总是包含两个相邻的路由器间的异或值。由于a⊕b⊕b=a这一性质,所以在重构攻击路径时,被攻击者可以通过对下游路由器发来的样本进行编码,如c=c⊕d⊕d,得到它的上一级边。重复此求解操作,一步一步向上回溯,直到找出第一级路由器。
(2)尽管异或操作将72位的IP地址压缩到了32位,但依旧不切实际,于是可以利用分段技术,把32位的边信息分成k个小的不重叠的片段来进一步降低IP数据包头的空间需求。
(3)为了降低重构错误边信息的概率,分片包算法采用了一个简单的误差检验方式:一个路由器A的32位IP地址和一个32位的hash(A)进行交叉,地址长度增加到64位。
本系统对僵尸网络和DDoS攻击的电子证据的分析主要基于收集的电子证据信息表,并对僵尸网络和DDoS攻击的大小进行分析,以确认接收到的电子证据的有效性。本发明基于多代理动态取证模型来识别和保护僵尸网络IRC C2行为和DDoS的电子证据在客户端上的攻击行为,服务器端与客户端的合作完成了分析和取证工作。
如图2所示,客户端检测到僵尸网络IRC行为。如果该行为涉及未报告的IRC通道,则它将C2信息表提交给服务器。当客户端检测到新的DDoS攻击时,它将向服务器提供攻击信息表格。服务器根据客户端提交的C2信息表确定僵尸网络所属的大小,来源和网络。它消除了所显示的攻击信息表,以确定DDoS攻击所属的规模,来源和网络。
本发明还提供了能够实现上述方法的用于DDoS攻击的取证系统,包括NS2模拟模块、报告异常模块、分析算法模块和分片包标记法模块。
其中,NS2模拟模块使用NS2对网络环境和网络节点进行仿真,避免了目标网络在实际环境中受到攻击和节点瘫痪的问题。其次,所有分析算法都可以在NS2中使用和实现。这些操作既简单又高效,并且不需要复杂的工具,例如EM-Analyzer(定制沙箱),过程浏览器和过程监视器。
报告异常模块用于由客户端将信息表报告给服务器。客户端检测到僵尸网络IRC行为,如果该行为涉及未报告的IRC通道,则它将C2信息表提交给服务器;否则,它将C2信息表提交给服务器。如果客户端检测到新的DDoS攻击,则它将攻击信息表提交给服务器端,具体实现本发明方法步骤1内容。
分析算法模块在服务器端使用僵尸网络电子证据信息表分析算法和DDoS攻击电子证据分析算法对电子证据进行分析,具体实现本发明方法步骤2内容。
分片包标记法模块在捕获数据包时,结合了碎片化的数据包符号,使用三种技术来减少每个数据包的存储需求,从而大大减少了标记的需求。可以通过重新加载IP数据包来监视空间,具体实现本发明方法步骤3内容。
本发明方案所公开的技术手段不仅限于上述实施方式所公开的技术手段,还包括由以上技术特征任意组合所组成的技术方案。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。

Claims (8)

1.一种用于DDoS攻击的取证方法,其特征在于,包括如下步骤:
步骤1,报告异常信息表;
当客户端检测到僵尸网络IRC行为时,如果该行为涉及未报告的IRC通道,则将C2信息表提交至服务器端;如果客户端检测到新的DDoS攻击,则将攻击信息表提交至服务器端;
步骤2,信息表分析;
在服务器端使用僵尸网络电子证据信息表分析算法和DDoS攻击电子证据分析算法对电子证据进行分析;
步骤3,FMS分片数据包表示;
使用三种技术来减少每个数据包的存储需求,通过重新加载IP数据包来监视空间。
2.根据权利要求1所述的用于DDoS攻击的取证方法,其特征在于,所述步骤1中,C2信息表包括以下信息:IRC频道、客户端IP以及僵尸网络ID,所述DDoS攻击信息表包括以下信息:发起攻击的主机IP、被攻击的主机IP以及僵尸网络ID。
3.根据权利要求1所述的用于DDoS攻击的取证方法,其特征在于,所述步骤2中信息表分析算法具体包括如下步骤:
(1)将处于同一个IRC频道中的Botnet看作一个基本单位;
(2)系为每一个认定出来的Botnet建立一个Botnet对象;
(3)当僵尸主机报告加入了一个新的IRC频道时,把该频道加入到准IRC频道列表中,同时产生一个对应的举报向量,向量中的分量为布尔型的变量,初始化时均为假,每个分量对应Botnet中的一个僵尸主机,若该僵尸主机报告了加入该条新的IRC频道,则对应分量设置为真;
(4)对于报告上来的每一次攻击,建立一个攻击列表,表中的元素即为攻击的ID对每一个攻击建立相应的计数器向量,向量中的分量为Long型的变量,初始化为0,若Botnet的某个僵尸主机发送了攻击报告,则给相应的计数器分量加一。
4.根据权利要求3所述的用于DDoS攻击的取证方法,其特征在于,所述Botnet对象包括:Botnet ID,一个子Botnet列表,一个父Botnet引用,一个僵尸主机列表,一个IRC C2频道轨迹列表,一个准IRC C2频道列表,一组IRC频道更换举报向量,一个DDoS攻击列表和一组DDoS攻击向量。
5.根据权利要求1所述的用于DDoS攻击的取证方法,其特征在于,所述步骤2中DDoS攻击电子证据分析算法具体包括如下步骤:
(1)客户端发动的DDoS攻击,若两次攻击中受害主机的IP相同,则这两次攻击属于同一组DDoS攻击;
(2)创建Attack对象表示Botnet的DDoS攻击,每个Attack对象包括一个ID、被攻击服务器的IP以及一个参与攻击的Botnet列表;
(3)当服务器接到一个攻击报告,把该信息表与Attack列表中的元素比较,若该攻击不属于任何Attack,则新建一个Attack对象;若该攻击属于某个Attack,则对该节点进行融合,融合的具体做法是:在该节点所属的Botnet中,若存在与该Attack对应的攻击向量,则把攻击向量的对应分量设置为真;若不存在对应的攻击向量,则生成攻击向量,然后再把攻击向量对应的分量设置为真;若攻击向量中为真的分量大于某个阈值,则把该Botnet ID加到Attack参与攻击的Botnet列表中;
(4)攻击的规模为参与攻击的Botnet列表中与该Attack对应的攻击向量中为真分量的个数。
6.根据权利要求1所述的用于DDoS攻击的取证方法,其特征在于,所述步骤3使用以下技术:
(1)用两个路由器IP地址的异或值来表示一条边,该值表示了两个路由器之间的联系,具体包括:
a、当一个路由器需要标记一个数据包时会把自己的IP地址a写入数据包;
b、接下来的路由器b看到数据包的distance域为0,从中得出a和路由器b的地址异或运算后再次把运算值a⊕b写入到数据包中,a⊕b称为路由器a和b组成的边;
c、除了距离被攻击者仅一跳的那个路由器转发的样本不进行修改外,其它的都进行修改,使被攻击者收到的样本的边总是包含两个相邻的路由器间的异或值;由于a⊕b⊕b=a这一性质,所以在重构攻击路径时,被攻击者能够通过对下游路由器发来的样本进行编码,得到它的上一级边;重复此求解操作,一步一步向上回溯,直到找出第一级路由器;
(2)利用分段技术,把32位的边信息分成k个小的不重叠的片段;
(3)采用一个简单的误差检验方式:一个路由器A的32位IP地址和一个32位的hash(A)进行交叉,地址长度增加到64位。
7.根据权利要求6所述的用于DDoS攻击的取证方法,其特征在于,所述编码为:c=c⊕d⊕d。
8.一种用于DDoS攻击的取证系统,其特征在于,包括:NS2模拟模块、报告异常模块、分析算法模块和分片包标记法模块;
所述NS2模拟模块使用NS2对网络环境和网络节点进行仿真,所有分析算法在NS2中使用和实现;
报告异常模块用于将信息表报告给服务器,当客户端检测到僵尸网络IRC行为时,如果该行为涉及未报告的IRC通道,则将C2信息表提交给服务器;如果客户端检测到新的DDoS攻击,则将攻击信息表提交给服务器端;
分析算法模块用于在服务器端使用僵尸网络电子证据信息表分析算法和DDoS攻击电子证据分析算法对电子证据进行分析;
所述分片包标记法模块用于在捕获数据包时,结合碎片化的数据包符号,使用三种技术来减少每个数据包的存储需求,通过重新加载IP数据包来监视空间。
CN202010949005.4A 2020-09-10 2020-09-10 一种用于DDoS攻击的取证方法及系统 Active CN112134732B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010949005.4A CN112134732B (zh) 2020-09-10 2020-09-10 一种用于DDoS攻击的取证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010949005.4A CN112134732B (zh) 2020-09-10 2020-09-10 一种用于DDoS攻击的取证方法及系统

Publications (2)

Publication Number Publication Date
CN112134732A true CN112134732A (zh) 2020-12-25
CN112134732B CN112134732B (zh) 2021-10-26

Family

ID=73846297

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010949005.4A Active CN112134732B (zh) 2020-09-10 2020-09-10 一种用于DDoS攻击的取证方法及系统

Country Status (1)

Country Link
CN (1) CN112134732B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113271317A (zh) * 2021-06-16 2021-08-17 中移(杭州)信息技术有限公司 网络攻击溯源方法、装置、通信设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101360019A (zh) * 2008-09-18 2009-02-04 华为技术有限公司 一种僵尸网络的检测方法、系统和设备
CN101753377A (zh) * 2009-12-29 2010-06-23 吉林大学 一种p2p_botnet实时检测方法及系统
CN102045300A (zh) * 2009-10-16 2011-05-04 成都市华为赛门铁克科技有限公司 僵尸网络的检测方法、装置及检测系统
US20120204264A1 (en) * 2009-10-20 2012-08-09 Chengdu Huawei Symantec Technologies Co., Ltd. Method, apparatus and system for detecting botnet
CN104796416A (zh) * 2015-04-08 2015-07-22 中国科学院信息工程研究所 一种僵尸网络的模拟方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101360019A (zh) * 2008-09-18 2009-02-04 华为技术有限公司 一种僵尸网络的检测方法、系统和设备
CN102045300A (zh) * 2009-10-16 2011-05-04 成都市华为赛门铁克科技有限公司 僵尸网络的检测方法、装置及检测系统
US20120204264A1 (en) * 2009-10-20 2012-08-09 Chengdu Huawei Symantec Technologies Co., Ltd. Method, apparatus and system for detecting botnet
CN101753377A (zh) * 2009-12-29 2010-06-23 吉林大学 一种p2p_botnet实时检测方法及系统
CN104796416A (zh) * 2015-04-08 2015-07-22 中国科学院信息工程研究所 一种僵尸网络的模拟方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
诸葛建伟 等: "僵尸网络研究", 《软件学报》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113271317A (zh) * 2021-06-16 2021-08-17 中移(杭州)信息技术有限公司 网络攻击溯源方法、装置、通信设备及存储介质

Also Published As

Publication number Publication date
CN112134732B (zh) 2021-10-26

Similar Documents

Publication Publication Date Title
Livadas et al. Usilng machine learning technliques to identify botnet traffic
Beigi et al. Towards effective feature selection in machine learning-based botnet detection approaches
Li et al. A survey of network flow applications
Xu et al. Profiling internet backbone traffic: behavior models and applications
Aiello et al. DNS tunneling detection through statistical fingerprints of protocol messages and machine learning
Berk et al. Designing a framework for active worm detection on global networks
Sanmorino et al. DDoS attack detection method and mitigation using pattern of the flow
Sung et al. Large-scale IP traceback in high-speed internet: practical techniques and information-theoretic foundation
CN108965248B (zh) 一种基于流量分析的p2p僵尸网络检测系统及方法
Li et al. Detecting saturation attacks based on self-similarity of OpenFlow traffic
Aiello et al. Basic classifiers for DNS tunneling detection
Sarica et al. A novel sdn dataset for intrusion detection in iot networks
Li et al. A survey on methods of automatic protocol reverse engineering
Chen et al. Optimal worm-scanning method using vulnerable-host distributions
Bhuyan et al. Low-rate and high-rate distributed dos attack detection using partial rank correlation
Shanthi et al. Detection of botnet by analyzing network traffic flow characteristics using open source tools
CN111953527B (zh) 一种网络攻击还原系统
Aljifri et al. IP traceback using header compression
CN114513325B (zh) 基于saw社区发现的非结构化p2p僵尸网络检测方法及装置
CN112134732B (zh) 一种用于DDoS攻击的取证方法及系统
Chen et al. Importance-scanning worm using vulnerable-host distribution
WO2019043804A1 (ja) ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体
Hsu et al. Detecting Web‐Based Botnets Using Bot Communication Traffic Features
Tartakovsky et al. Performance of certain decentralized distributed change detection procedures
He et al. Adaptive traffic sampling for P2P botnet detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant