CN113364723A - DDoS攻击监控方法及装置、存储介质、计算机设备 - Google Patents
DDoS攻击监控方法及装置、存储介质、计算机设备 Download PDFInfo
- Publication number
- CN113364723A CN113364723A CN202010145895.3A CN202010145895A CN113364723A CN 113364723 A CN113364723 A CN 113364723A CN 202010145895 A CN202010145895 A CN 202010145895A CN 113364723 A CN113364723 A CN 113364723A
- Authority
- CN
- China
- Prior art keywords
- ddos
- sample
- flow data
- data output
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 56
- 238000000034 method Methods 0.000 title claims abstract description 42
- 238000002955 isolation Methods 0.000 claims abstract description 30
- 238000004590 computer program Methods 0.000 claims description 16
- 238000012806 monitoring device Methods 0.000 claims 1
- 238000004891 communication Methods 0.000 description 11
- 238000001914 filtration Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 238000012800 visualization Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了DDoS攻击监控方法及装置、存储介质、计算机设备,该方法包括:获取包含DDoS样本的隔离环境输出的流量数据;通过对所述流量数据进行阈值判断,确定DDoS样本输出的流量数据是否为DDoS攻击;当确定所述DDoS样本输出的流量数据为DDoS攻击时,控制所述DDoS样本发送作为流量请求的流量数据。本申请能够通过对DDoS样本进行隔离,并在确定DDoS样本发起DDoS攻击时,有效限制DDoS样本发起DDoS攻击的流量请求,从而实现对实时获取到的DDoS样本的持续监控,从而进一步构建低成本、快速安全的DDoS攻击监控系统。
Description
技术领域
本申请涉及网络安全技术领域,尤其是涉及到DDoS攻击监控方法及装置、存储介质、计算机设备。
背景技术
随着互联网技术的发展,网络安全显得尤为重要,DDoS攻击是指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发起DDoS攻击,从而成倍地提高拒绝服务攻击的能力。
现有获取和监控被DDoS攻击的目标的方案主要包括:1、对样本进行分析并去毒,通过保留通信功能获取和监控被DDoS攻击的目标;2、基于第三方流量获取和监控被DDoS攻击的目标,例如,DNS流量、路由流量等其他形式获取流量。针对上述获取和监控被DDoS攻击的目标的方案存在的不足有:
1、基于对样本进行分析并去毒的操作,需要模拟编写样本通信与解密配置文件功能,以及需要对每个样本家族都进行分析并去毒,一旦样本更新则需要重新分析,因此耗时较大且无法对新出现的样本进行快速操作;2、基于第三方流量获取和监控被DDoS攻击的目标所需要的资金投入成本较大。
发明内容
有鉴于此,本申请提供了DDoS攻击监控方法及装置、存储介质、计算机设备,能够有效解决现有获取和监控被DDoS攻击的目标耗时较大且无法对新出现的样本进行快速操作以及所需要的资金投入成本较大的技术问题。
根据本申请的一个方面,提供了一种DDoS攻击监控,包括:
获取包含DDoS样本的隔离环境输出的流量数据;
通过对所述流量数据进行阈值判断,确定DDoS样本输出的流量数据是否为DDoS攻击;
当确定所述DDoS样本输出的流量数据为DDoS攻击时,控制所述DDoS样本发送作为流量请求的流量数据。
根据本申请的另一方面,提供了一种DDoS攻击监控装置,包括:
获取模块,用于获取包含DDoS样本的隔离环境输出的流量数据;
判断模块,用于通过对所述流量数据进行阈值判断,确定DDoS样本输出的流量数据是否为DDoS攻击;
控制模块,用于当确定所述DDoS样本输出的流量数据为DDoS攻击时,控制所述DDoS样本发送作为流量请求的流量数据。
依据本申请又一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述DDoS攻击监控方法。
依据本申请再一个方面,提供了一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述DDoS攻击监控方法。
依据本申请再一个方面,提供了一种计算机程序产品,包括存储在非暂态计算机可读存储介质上的计算程序,该计算机程序包括程序指令,当该程序指令被计算机执行时,使该计算机执行上述DDoS攻击监控方法的步骤。
借由上述技术方案,本申请提供的DDoS攻击监控方法及装置、存储介质、计算机设备,获取包含DDoS样本的隔离环境输出的流量数据,通过对获取到的流量数据进行阈值判断,确定DDoS样本输出的流量数据是否为DDoS攻击,当确定隔离环境中的DDoS样本输出的流量数据为DDoS攻击时,控制DDoS样本发送作为流量请求的流量数据。本申请能够通过对DDoS样本进行隔离,并在确定DDoS样本输出的流量数据为DDoS攻击时,有效限制DDoS样本发送作为流量请求的流量数据,从而实现对实时获取到的DDoS样本的持续监控,同时有效降低监控被DDoS攻击的目标的时间成本和资金投入成本。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种DDoS攻击监控方法的流程示意图;
图2示出了本申请实施例提供的另一种DDoS攻击监控方法的流程示意图;
图3示出了本申请实施例提供的一种DDoS攻击监控装置的结构示意图;
图4示出了本申请实施例提供的另一种DDoS攻击监控装置的结构示意图;
图5示出了本申请实施例提供的一种计算机程序产品的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
针对现有获取和监控被DDoS攻击的目标耗时较大且无法对新出现的样本进行快速操作以及所需要的资金投入成本较大的技术问题。本实施例提供了一种DDoS攻击监控方法,能够快速的实现对被DDoS攻击的目标的监控,且有效降低时间成本和资金投入成本。如图1所示,该方法包括:
步骤101,获取包含DDoS样本的隔离环境输出的流量数据。
在本实施例中,利用蜜罐系统模拟易受攻击的宿主机,当监测到DDoS样本时,对监测到的DDoS样本进行拦截,将拦截的DDoS样本投入隔离环境,以实现对DDoS样本的有效隔离,根据实际应用场景的需求,也可以通过网络分析实现对DDoS样本的监测,此处不对DDoS样本的监测及拦截方式进行具体限定。其中,DDoS样本包括DDoS木马样本,例如,XorDdos木马样本,此处不对DDoS样本进行具体限定。
步骤102,通过对所述流量数据进行阈值判断,确定DDoS样本输出的流量数据是否为DDoS攻击。
在本实施例中,将获取到的隔离环境输出的流量数据与流量阈值进行比对,若输出的流量数据超过流量阈值,则确定该隔离环境中的DDoS样本发起DDoS攻击,若输出的流量数据未超过流量阈值,则确定该隔离环境中的DDoS样本未发起DDoS攻击,可见,基于隔离环境对DDoS样本进行流量监测,不需要对DDoS样本进行去毒,以及保存通信功能等深层次的解析操作,即能够实现对实时拦截到的DDoS样本的快速操作,有效降低时间成本和资金投入成本。
步骤103,当确定所述DDoS样本发起DDoS攻击时,利用防火墙控制所述DDoS样本发起DDoS攻击的流量请求。
在本实施例中,当确定隔离环境中的DDoS样本输出的流量数据为DDoS攻击时,利用防火墙限制DDoS样本所在的隔离环境发起DDoS攻击的流量请求,即对隔离环境的流量转发进行限制,从而有效避免隔离环境对欲被DDoS攻击的目标造成安全威胁,快速安全地实现对DDoS样本的持续监控,并进一步地获取欲被DDoS攻击的目标信息,保障欲被DDoS攻击的目标的网络安全。
通过应用本实施例的技术方案,获取包含DDoS样本的隔离环境输出的流量数据,通过对获取到的流量数据进行阈值判断,确定DDoS样本输出的流量数据是否为DDoS攻击,当确定隔离环境中的DDoS样本输出的流量数据为DDoS攻击时,利用防火墙控制DDoS样本发送作为流量请求的流量数据。本申请能够通过对DDoS样本进行隔离,并在确定DDoS样本输出的流量数据为DDoS攻击时,有效限制DDoS样本发送作为流量请求的流量数据,从而实现对实时获取到的DDoS样本的持续监控,从而进一步构建低成本、快速安全的DDoS攻击监控系统。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的具体实施过程,提供了另一种DDoS攻击监控方法,如图2所示,该方法包括:
本实施例中的DDoS样本流量获取和DDoS样本流量监测主要包括将DDoS样本投入隔离环境(对应步骤201)、对DDoS样本流量进行监测(对应步骤202至步骤205)、存储DDoS样本流量数据(对应步骤204)、保存DDoS样本流量pcap包(对应步骤2041至步骤2044)。
步骤201,对监测到的DDoS样本进行拦截,并利用预设的Docker虚拟化容器存储所拦截的DDoS样本。
具体实施中,根据实际应用场景的需求,通过蜜罐系统模拟易受攻击的宿主机或者网络分析等方式拦截DDoS样本,并利用预设的Docker虚拟化容器存储所拦截的DDoS样本,从而构建基于Docker虚拟化容器的隔离环境,以便对基于Docker虚拟化容器的隔离环境进行监控,实时获取Docker虚拟化容器的流量数据,以实现对DDoS样本输出的作为DDoS攻击的流量数据的实时监测。此外,获取预设的Docker虚拟化容器的容器信息,容器信息包括容器的网卡名称、IP地址、容器ID,并保存在宿主机的Redis服务器中。
步骤202,通过执行脚本对所述Docker虚拟化容器进行监测,获取所述Docker虚拟化容器的网卡流量。
具体实施中,通过执行脚本对Docker虚拟化容器输出的流量数据进行监测,并利用防火墙的tcpdump对Docker虚拟化容器输出的流量数据(即,网卡流量)进行拦截并解析,以便对Docker虚拟化容器的网卡流量进行流量阈值判断及限制,从而有效避免Docker虚拟化容器对欲被DDoS攻击的目标造成安全威胁,同时快速安全地获取欲被DDoS攻击的目标信息,保障欲被DDoS攻击的目标的网络安全。
步骤203,通过对所述流量数据进行阈值判断,确定DDoS样本输出的流量数据是否为DDoS攻击。
步骤204,当确定所述DDoS样本输出的流量数据为DDoS攻击时,获取所述DDoS样本输出的流量数据为DDoS攻击的目标信息。
具体实施中,当脚本执行时,利用Linux的抓包工具tcpdump获取并解析Docker虚拟化容器输出的来自多个端口的流量数据,并实时上传对应该Docker虚拟化容器的流量数据(例如,以json格式存储的流量数据),当确定Docker虚拟化容器输出的来自多个端口的流量数据超过预设的流量阈值,则确定Docker虚拟化容器发起了DDoS攻击,并在确定Docker虚拟化容器发起了DDoS攻击的同时,获取Docker虚拟化容器输出的流量数据中的目标信息,即欲被DDoS攻击的目标地址。其中,以XorDdos木马样本为例,通过预设流量阈值为3s产生500条流量数据,即确定该XorDdos木马样本发起了DDoS攻击,可见,基于隔离环境能够实时准确地获取到DDoS样本输出的攻击流量,快速确定欲被DDoS攻击的目标地址。
进一步地,在获取到Docker虚拟化容器输出的流量数据的目标信息后,立即上传对应该Docker虚拟化容器的告警信息至Redis服务器,以便Redis服务器能够实时拉取该告警信息,以及与该告警信息相关的日志信息、以json格式存储的流量数据,并通过邮件告警的方式通知相关工作人员有关DDoS攻击的相关信息。其中,以json格式存储的流量数据主要包括源地址、源端口、目标地址、目标端口、DDoS样本名称。
在上述实施例中,为了说明步骤204具体的实施过程,作为一种可选方式,当执行脚本时,通过创建线程保存所述Docker虚拟化容器的网卡流量,所述步骤204还包括:
步骤2041、当确定所述DDoS样本输出的流量数据为DDoS攻击时,结束所述线程,并保存所述目标信息。
步骤2042,当执行新的脚本时,根据监测到的所述Docker虚拟化容器输出的网卡流量,确定是否包含所述目标信息。
步骤2043,若包含所述目标信息,则放弃对所述Docker虚拟化容器输出的网卡流量进行保存。
步骤2044,若未包含所述目标信息,则保存所述Docker虚拟化容器输出的网卡流量。
具体实施中,当执行脚本时,利用tcpdump获取Docker虚拟化容器的网卡流量,并将网卡流量pcap包保存在创建的线程中,当确定Docker虚拟化容器发起DDoS攻击时,网卡流量pcap包保存结束,结束该线程,并将欲被DDoS攻击的目标地址添加到被DDoS攻击目标的过滤列表中。
相应地,当再次重新启动时,若根据Docker虚拟化容器输出的网卡流量确定的目标信息与被DDoS攻击目标的过滤列表中的目标信息一致,则放弃对Docker虚拟化容器输出的网卡流量的保存,即直接过滤Docker虚拟化容器输出的网卡流量;若所确定的目标信息不在被DDoS攻击目标的过滤列表中,则继续将Docker虚拟化容器输出的网卡流量pcap包保存在新创建的线程中,从而有效缩小了宿主机内网卡流量pcap包的存储量。
本实施例中的拉取DDoS样本流量数据进行告警以及可视化主要包括:拉取DDoS样本流量数据进行告警、DDoS样本流量数据的存储、DDoS样本流量数据的可视化,具体见步骤205。
步骤205,根据所述目标信息,利用防火墙拦截所述DDoS样本所在Docker虚拟化容器发送的流量请求。
具体实施中,在获取Docker虚拟化容器输出的流量数据的目标地址后,立即在宿主机防火墙iptables的转发表中添加欲被DDoS攻击的目标地址,以便防火墙iptables限制Docker虚拟化容器对欲被DDoS攻击的目标地址的所有协议向宿主机外转发流量请求,从而将Docker虚拟化容器发送的流量请求有效拦截在宿主机内,保障了欲被DDoS攻击的目标的网络安全。
步骤206,当确定所述DDoS样本输出的流量数据为DDoS攻击时,将所述DDoS攻击的告警信息保存至Redis服务器,所述Redis服务器用于将保存的告警信息发送给控制中心,所述控制中心用于可视化与所述告警信息对应的流量数据。
具体实施中,将执行脚本过程中所产生的对应Docker虚拟化容器的日志信息以及以json格式存储的流量数据实时上传至Redis服务器,以便控制中心实时拉取上传至Redis服务器的对应Docker虚拟化容器的日志信息、以json格式存储的流量数据,以及DDoS攻击所产生的告警信息。相应地,控制中心能够通过解析来自Redis服务器的对应Docker虚拟化容器的日志信息、以json格式存储的流量数据,以及DDoS攻击所产生的告警信息,将告警信息,以及与告警信息对应的Docker虚拟化容器的日志信息、以json格式存储的流量数据,以告警邮件的方式发送给相关工作人员,从而实现对被DDoS样本攻击的目标的监控及预警。
根据实际应用场景的需求,根据DDoS攻击所产生的告警信息类型,将告警信息,以及与告警信息相关的Docker虚拟化容器的日志信息、以json格式存储的流量数据,发送给对应告警信息类型的具备相应告警权限的工作人员,或者根据DDoS攻击所产生的告警信息等级,将告警信息,以及与告警信息相关的Docker虚拟化容器的日志信息、以json格式存储的流量数据,发送给对应告警信息等级的具备相应告警权限的工作人员,此处不对告警方式进行具体限定。
此外,控制中心将解析后的以json格式存储的流量数据存储到控制中心侧的搜索服务器ElasticSearch中,以便对以json格式存储的流量数据进行可视化展示,从而实现对DDoS样本流量数据及活动行为的持续监控。根据实际应用场景的需求,利用splunk对以json格式存储的流量数据进行可视化展示,此处不对可视化的实现方式进行具体限定。
根据实际应用场景的需求,以json格式存储的流量数据包括预设的Docker虚拟化容器的容器信息,以便后续能够针对特定Docker虚拟化容器内的DDoS样本进行持续监控,从而低成本、快速地构建DDoS攻击监控预警系统,并且快速获取被DDoS攻击的目标,以保障欲被DDoS攻击的目标的网络安全。
通过应用本实施例的技术方案,获取包含DDoS样本的隔离环境输出的流量数据,通过对获取到的流量数据进行阈值判断,确定DDoS样本输出的流量数据是否为DDoS攻击,当确定隔离环境中的DDoS样本输出的流量数据为DDoS攻击时,利用防火墙控制DDoS样本发送作为流量请求的流量数据,即利用虚拟化对DDoS样本进行隔离,并在确定DDoS样本输出的流量数据为DDoS攻击时,有效限制DDoS样本发送作为流量请求的流量数据,从而实现对实时获取到的DDoS样本的持续监控,从而进一步构建低成本、快速安全的DDoS攻击监控及预警系统,有效降低了监控被DDoS攻击的目标的时间成本和资金投入成本。
进一步的,作为图1方法的具体实现,本申请实施例提供了一种DDoS攻击监控装置,如图3所示,该装置包括:获取模块32、判断模块33、控制模块34。
获取模块32,用于获取包含DDoS样本的隔离环境输出的流量数据。
判断模块33,用于通过对所述流量数据进行阈值判断,确定DDoS样本输出的流量数据是否为DDoS攻击。
控制模块34,用于当确定所述DDoS样本输出的流量数据为DDoS攻击时,控制所述DDoS样本发送作为流量请求的流量数据。
在具体的应用场景中,如图4所示,该装置还包括:隔离模块31。
隔离模块31,用于对监测到的DDoS样本进行拦截,并利用预设的Docker虚拟化容器存储所拦截的DDoS样本。
在具体的应用场景中,如图4所示,获取模块32,具体包括:监测单元321。
监测单元321,具体用于通过执行脚本对所述Docker虚拟化容器进行监测,获取所述Docker虚拟化容器的网卡流量。
在具体的应用场景中,如图4所示,控制模块34,具体包括:目标单元341、拦截单元342。
目标单元341,具体用于当确定所述DDoS样本输出的流量数据为DDoS攻击时,获取所述DDoS攻击的目标信息。
拦截单元342,具体用于根据所述目标信息,利用防火墙拦截所述DDoS样本所在Docker虚拟化容器发送的流量请求。
在具体的应用场景中,如图4所示,控制模块34,具体还包括:线程单元343、结束单元344。
线程单元343,具体用于当执行脚本时,通过创建线程保存所述Docker虚拟化容器的网卡流量。
结束单元344,具体用于当确定所述DDoS样本输出的流量数据为DDoS攻击时,结束所述线程,并保存所述目标信息。
在具体的应用场景中,如图4所示,控制模块34,具体还包括:确定单元345、过滤单元346、保存单元347。
确定单元345,具体用于当执行新的脚本时,根据监测到的所述Docker虚拟化容器输出的网卡流量,确定是否包含所述目标信息。
过滤单元346,具体用于若包含所述目标信息,则放弃对所述Docker虚拟化容器输出的网卡流量进行保存。
保存单元347,具体用于若未包含所述目标信息,则保存所述Docker虚拟化容器输出的网卡流量。
在具体的应用场景中,如图4所示,该装置还包括:告警模块35。
告警模块35,用于当确定所述DDoS样本输出的流量数据为DDoS攻击时,将所述DDoS攻击的告警信息保存至Redis服务器,所述Redis服务器用于将保存的告警信息发送给控制中心,所述控制中心用于可视化与所述告警信息对应的流量数据。
需要说明的是,本申请实施例提供的一种DDoS攻击监控装置所涉及各功能单元的其他相应描述,可以参考图1和图2中的对应描述,在此不再赘述。
基于上述如图1和图2所示方法,相应的,本申请实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1和图2所示的DDoS攻击监控方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1、图2所示的方法,以及图3、图4所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种计算机设备,具体可以为个人计算机、服务器、网络设备等,该计算机设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1和图2所示的DDoS攻击监控方法。
如图5所示,该计算机程序产品可以包括:处理器(processor)501、存储器(memory)502、通信接口(Communications Interface)503、以及通信总线504,处理器501、存储器502、以及通信接口503通过通信总线504完成相互间的通信。其中:通信接口503,用于与其它设备比如客户端或其它服务器等的网元通信。处理器501,用于执行程序510,具体可以执行上述链路信息的显示方法实施例中的相关步骤。
处理器501可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。终端包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。具体用于执行以下操作:
获取包含DDoS样本的隔离环境输出的流量数据;通过对所述流量数据进行阈值判断,确定DDoS样本输出的流量数据是否为DDoS攻击;当确定所述DDoS样本输出的流量数据为DDoS攻击时,控制所述DDoS样本发送作为流量请求的流量数据。
存储器502可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
可选地,该计算机设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如蓝牙接口、WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种计算机设备结构并不构成对该计算机设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理和保存计算机设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与该实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现获取包含DDoS样本的隔离环境输出的流量数据,通过对获取到的流量数据进行阈值判断,确定DDoS样本输出的流量数据是否为DDoS攻击,当确定隔离环境中的DDoS样本输出的流量数据为DDoS攻击时,利用防火墙控制DDoS样本发送作为流量请求的流量数据。本申请能够利用虚拟化对DDoS样本进行隔离,并在确定DDoS样本输出的流量数据为DDoS攻击时,有效限制DDoS样本发送作为流量请求的流量数据,从而实现对实时获取到的DDoS样本的持续监控,从而进一步构建低成本、快速安全的DDoS攻击监控及预警系统,有效降低了监控被DDoS攻击的目标的时间成本和资金投入成本。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (11)
1.一种DDoS攻击监控方法,其特征在于,包括:
获取包含DDoS样本的隔离环境输出的流量数据;
通过对所述流量数据进行阈值判断,确定DDoS样本输出的流量数据是否为DDoS攻击;
当确定所述DDoS样本输出的流量数据为DDoS攻击时,控制所述DDoS样本发送作为流量请求的流量数据。
2.根据权利要求1所述的方法,其特征在于,所述获取包含DDoS样本的隔离环境输出的流量数据的步骤之前,还包括:
对监测到的DDoS样本进行拦截,并利用预设的Docker虚拟化容器存储所拦截的DDoS样本。
3.根据权利要求2所述的方法,其特征在于,所述获取包含DDoS样本的隔离环境输出的流量数据,具体包括:
通过执行脚本对所述Docker虚拟化容器进行监测,获取所述Docker虚拟化容器的网卡流量。
4.根据权利要求1所述的方法,其特征在于,所述当确定所述DDoS样本输出的流量数据为DDoS攻击时,控制所述DDoS样本发送作为流量请求的流量数据,具体包括:
当确定所述DDoS样本输出的流量数据为DDoS攻击时,获取所述DDoS攻击的目标信息;
根据所述目标信息,利用防火墙拦截所述DDoS样本所在Docker虚拟化容器发送的流量请求。
5.根据权利要求4所述的方法,其特征在于,当执行脚本时,通过创建线程保存所述Docker虚拟化容器的网卡流量;
所述当确定所述DDoS样本输出的流量数据为DDoS攻击时,控制所述DDoS样本发送作为流量请求的流量数据,还包括:
当确定所述DDoS样本输出的流量数据为DDoS攻击时,结束所述线程,并保存所述目标信息。
6.根据权利要求5所述的方法,其特征在于,所述当确定所述DDoS样本输出的流量数据为DDoS攻击时,结束所述线程,并保存所述目标信息之后,还包括:
当执行新的脚本时,根据监测到的所述Docker虚拟化容器输出的网卡流量,确定是否包含所述目标信息;
若包含所述目标信息,则放弃对所述Docker虚拟化容器输出的网卡流量进行保存;
若未包含所述目标信息,则保存所述Docker虚拟化容器输出的网卡流量。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当确定所述DDoS样本输出的流量数据为DDoS攻击时,将所述DDoS攻击的告警信息保存至Redis服务器,所述Redis服务器用于将保存的告警信息发送给控制中心,所述控制中心用于可视化与所述告警信息对应的流量数据。
8.一种DDoS攻击监控装置,其特征在于,包括:
获取模块,用于获取包含DDoS样本的隔离环境输出的流量数据;
判断模块,用于通过对所述流量数据进行阈值判断,确定DDoS样本输出的流量数据是否为DDoS攻击;
控制模块,用于当确定所述DDoS样本输出的流量数据为DDoS攻击时,控制所述DDoS样本发送作为流量请求的流量数据。
9.一种存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1至7中任一项所述的DDoS攻击监控方法。
10.一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至7中任一项所述的DDoS攻击监控方法。
11.一种计算机程序产品,包括存储在非暂态计算机可读存储介质上的计算程序,该计算机程序包括程序指令,其特征在于,当该程序指令被计算机执行时,使该计算机执行上述权利要求1至7中任一项所述的DDoS攻击监控方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010145895.3A CN113364723A (zh) | 2020-03-05 | 2020-03-05 | DDoS攻击监控方法及装置、存储介质、计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010145895.3A CN113364723A (zh) | 2020-03-05 | 2020-03-05 | DDoS攻击监控方法及装置、存储介质、计算机设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113364723A true CN113364723A (zh) | 2021-09-07 |
Family
ID=77523557
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010145895.3A Pending CN113364723A (zh) | 2020-03-05 | 2020-03-05 | DDoS攻击监控方法及装置、存储介质、计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113364723A (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790291A (zh) * | 2017-03-09 | 2017-05-31 | 腾讯科技(深圳)有限公司 | 一种入侵检测提示方法及装置 |
| CN108600145A (zh) * | 2017-12-25 | 2018-09-28 | 北京神州绿盟信息安全科技股份有限公司 | 一种确定DDoS攻击设备的方法及装置 |
| CN109246108A (zh) * | 2018-09-18 | 2019-01-18 | 中国人民解放军战略支援部队信息工程大学 | 拟态化蜜罐指纹混淆系统、方法及其sdn网络架构 |
| CN109995716A (zh) * | 2017-12-29 | 2019-07-09 | 北京安天网络安全技术有限公司 | 基于高交互蜜罐系统的行为激发方法及装置 |
| CN110224990A (zh) * | 2019-07-17 | 2019-09-10 | 浙江大学 | 一种基于软件定义安全架构的入侵检测系统 |
| CN110381041A (zh) * | 2019-06-28 | 2019-10-25 | 奇安信科技集团股份有限公司 | 分布式拒绝服务攻击态势检测方法及装置 |
| CN110391937A (zh) * | 2019-07-25 | 2019-10-29 | 哈尔滨工业大学 | 一种基于soap服务模拟的物联网蜜网系统 |
| CN110401638A (zh) * | 2019-06-28 | 2019-11-01 | 奇安信科技集团股份有限公司 | 一种网络流量分析方法及装置 |
-
2020
- 2020-03-05 CN CN202010145895.3A patent/CN113364723A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790291A (zh) * | 2017-03-09 | 2017-05-31 | 腾讯科技(深圳)有限公司 | 一种入侵检测提示方法及装置 |
| CN108600145A (zh) * | 2017-12-25 | 2018-09-28 | 北京神州绿盟信息安全科技股份有限公司 | 一种确定DDoS攻击设备的方法及装置 |
| CN109995716A (zh) * | 2017-12-29 | 2019-07-09 | 北京安天网络安全技术有限公司 | 基于高交互蜜罐系统的行为激发方法及装置 |
| CN109246108A (zh) * | 2018-09-18 | 2019-01-18 | 中国人民解放军战略支援部队信息工程大学 | 拟态化蜜罐指纹混淆系统、方法及其sdn网络架构 |
| CN110381041A (zh) * | 2019-06-28 | 2019-10-25 | 奇安信科技集团股份有限公司 | 分布式拒绝服务攻击态势检测方法及装置 |
| CN110401638A (zh) * | 2019-06-28 | 2019-11-01 | 奇安信科技集团股份有限公司 | 一种网络流量分析方法及装置 |
| CN110224990A (zh) * | 2019-07-17 | 2019-09-10 | 浙江大学 | 一种基于软件定义安全架构的入侵检测系统 |
| CN110391937A (zh) * | 2019-07-25 | 2019-10-29 | 哈尔滨工业大学 | 一种基于soap服务模拟的物联网蜜网系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10992704B2 (en) | Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network | |
| US9996695B2 (en) | Dynamic malware analysis of a URL using a browser executed in an instrumented virtual machine environment | |
| US9591015B1 (en) | System and method for offloading packet processing and static analysis operations | |
| US9495188B1 (en) | Synchronizing a honey network configuration to reflect a target network environment | |
| US20170180421A1 (en) | Deception using Distributed Threat Detection | |
| CN109951359B (zh) | 分布式网络资产异步扫描方法及设备 | |
| US9055095B2 (en) | DOS detection and mitigation in a load balancer | |
| US10749895B2 (en) | Handling network threats | |
| US11019096B2 (en) | Combining apparatus, combining method, and combining program | |
| WO2017107804A1 (zh) | 发现DDoS攻击的方法及装置 | |
| CN111193633B (zh) | 异常网络连接的检测方法及装置 | |
| CN113364804B (zh) | 一种流量数据的处理方法和装置 | |
| CN112395597A (zh) | 网站应用漏洞攻击的检测方法及装置、存储介质 | |
| US10785235B2 (en) | System and method for gathering botnet cyber intelligence | |
| CN106878240B (zh) | 僵尸主机识别方法及装置 | |
| WO2019089158A1 (en) | Application identification and control in a network device | |
| JP2014179025A (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
| WO2019043804A1 (ja) | ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体 | |
| US9916225B1 (en) | Computer implemented system and method and computer program product for testing a software component by simulating a computing component using captured network packet information | |
| WO2019140876A1 (zh) | 一种防网络攻击的幻影设备建立的方法、介质及设备 | |
| CN112235300B (zh) | 云虚拟网络漏洞检测方法、系统、装置及电子设备 | |
| CN113364723A (zh) | DDoS攻击监控方法及装置、存储介质、计算机设备 | |
| WO2015113437A1 (zh) | 基于并行协议栈实例的数据包处理方法和装置 | |
| WO2017217247A1 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| JP2015156585A (ja) | ネットワーク制御装置、通信システム、ネットワーク制御方法、および、ネットワーク制御プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210907 |