CN113556309A - 一种用于预测攻击规模的方法 - Google Patents
一种用于预测攻击规模的方法 Download PDFInfo
- Publication number
- CN113556309A CN113556309A CN202010327646.6A CN202010327646A CN113556309A CN 113556309 A CN113556309 A CN 113556309A CN 202010327646 A CN202010327646 A CN 202010327646A CN 113556309 A CN113556309 A CN 113556309A
- Authority
- CN
- China
- Prior art keywords
- attack
- information
- sources
- control node
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 238000004891 communication Methods 0.000 claims abstract description 37
- 230000015654 memory Effects 0.000 claims description 6
- 230000002265 prevention Effects 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000003936 working memory Effects 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 235000013372 meat Nutrition 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
Abstract
本发明涉及一种用于预测攻击规模方法。该方法包括获取第一组攻击源的信息以及与第一组攻击源进行通信的第一控制节点信息;通过迭代关联发现第二组攻击源的信息,包括基于通信关系,发现与第一组攻击源中的一个或多个攻击源也进行通信的第二控制节点的信息,并且基于第二控制节点信息进一步发现与第二控制节点进行通信的第二组攻击源的信息;基于预定的攻击规模模型,利用第一组攻击源、第二组攻击源的信息预测攻击规模。
Description
技术领域
本公开涉及安全领域,更具体地,本公开涉及一种用于预测攻击规模的方法和系统。
背景技术
随着网络攻击手段的丰富和攻击强度的升级,网络安全经历越来越多的考验。其中,分布式拒绝服务(Distributed Denial of Service,也被称为DDoS)的主要实施原理是攻击者(例如,黑客)利用一级或多级控制节点,控制大量受感染的攻击源(例如,受控的主机,也被称为肉机)组成攻击网络来对受害主机实施大规模的拒绝服务攻击。这种攻击会对攻击对象造成重大影响,使得攻击对象消耗大量系统资源来处理这些来自攻击源的请求而无法正常响应合法用户请求,从而造成攻击对象的瘫痪。
因此需要对DDoS攻击源的快速识别和攻击规模预测,以确定适当的应对策略。
当前的DDoS攻击规模的检测主要是利用网络日志和流量阈值来进行。但是,由于网络日志数据库中的网络日志数据规模较大,对这些数据进行传输、汇总、分析处理花费时间较长,这将导致对攻击规模的检测的大的时延。另一方面,也可以通过提取攻击威胁情报来实时地进行DDoS攻击的检测,以获取DDoS攻击目标类型等信息。但是存在无法判断所提取的威胁情报真伪,也不能进行DDoS攻击规模预测等问题。
因此,需要一种实现快速的DDoS攻击源识别和攻击规模预测的方法。
发明内容
在下文中给出了关于本公开的简要概述,以便提供关于本公开的一些方面的基本理解。但是,应当理解,这个概述并不是关于本公开的穷举性概述。它并不是意图用来确定本公开的关键性部分或重要部分,也不是意图用来限定本公开的范围。其目的仅仅是以简化的形式给出关于本公开的某些概念,以此作为稍后给出的更详细描述的前序。
根据本公开的一个方面,提供了一种用于预测攻击规模方法,包括获取第一组攻击源的信息以及与第一组攻击源进行通信的第一控制节点信息;通过迭代关联发现第二组攻击源的信息,包括基于通信关系,发现与第一组攻击源中的一个或多个攻击源也进行通信的第二控制节点的信息,并且基于第二控制节点信息进一步发现与第二控制节点进行通信的第二组攻击源的信息;基于预定的攻击规模模型,利用第一组攻击源、第二组攻击源的信息预测攻击规模。
根据本公开的另一个方面,提供一种用于预测攻击规模的系统,包括处理器以及与所述处理器通信的网络日志数据库,其中,所述处理器被配置为从网络日志数据库中获取第一组攻击源的信息以及与第一组攻击源进行通信的第一控制节点信息;基于从网络日志数据库的网络日志数据,通过迭代关联发现第二组攻击源的信息,包括基于通信关系,发现与第一组攻击源中的一个或多个攻击源也进行通信的第二控制节点的信息,并且基于第二控制节点信息进一步发现与第二控制节点进行通信的第二组攻击源的信息;基于预定的攻击规模模型,利用第一组攻击源、第二组攻击源的信息预测攻击规模。
根据本发明的另一个方面,提供了一种用于攻击规模的预测的服务器,该服务器包括:一个或更多个处理器;以及一个或更多个存储器,被配置为存储一系列计算机可执行指令,其中所述一系列计算机可执行指令在由所述一个或更多个处理器运行时使得所述一个或更多个处理器执行如上所述的方法。
根据本发明的另一个方面,提供了一种非暂态的计算机可读介质,其上存储有计算机可执行指令,所述计算机可执行指令在由一个或更多个处理器运行时使得所述一个或更多个处理器执行如上所述的方法。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得更为清楚。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1是示出了根据本发明一个示例性实施例的用于攻击规模的预测的方法的流程图。
图2A至图2D是示出了根据本发明一个示例性实施例的用于攻击规模的预测的方法中利用迭代关联来发现攻击源的示意图。
图3是示出了根据本发明一个示例性实施例的用于攻击规模的预测的系统的配置示例。
图4是示出可以实现根据本发明的实施例的计算设备的示例性配置图。
注意,在以下说明的实施方式中,有时在不同的附图之间共同使用同一附图标记来表示相同部分或具有相同功能的部分,而省略其重复说明。在一些情况中,使用相似的标号和字母表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
为了便于理解,在附图等中所示的各结构的位置、尺寸及范围等有时不表示实际的位置、尺寸及范围等。因此,本公开并不限于附图等所公开的位置、尺寸及范围等。
具体实施方式
下面将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。也就是说,本文中的结构及方法是以示例性的方式示出,来说明本公开中的结构和方法的不同实施例。然而,本领域技术人员将会理解,它们仅仅说明可以用来实施的本公开的示例性方式,而不是穷尽的方式。此外,附图不必按比例绘制,一些特征可能被放大以示出具体组件的细节。
本公开提出了一种用于攻击规模的预测的方法,包括获取第一组攻击源的信息以及与第一组攻击源进行通信的第一控制节点信息;通过迭代关联发现第二组攻击源的信息,包括基于通信关系,发现与第一组攻击源中的一个或多个攻击源也进行通信的第二控制节点的信息,并且基于第二控制节点信息进一步发现与第二控制节点进行通信的第二组攻击源的信息;基于预定的攻击规模模型,利用第一组攻击源、第二组攻击源的信息预测攻击规模。
本公开提供了一种快速的攻击规模的预测方法,利用网络日志数据优势,不局限在单一的攻击事件,而是以迭代关联的方法来发现其他的攻击源。此外,本公开的技术方案还基于历史攻击事件和攻击源数据来预测攻击规模。与传统预测方法相比,由于不需要依赖网络日志数据的同步和分析,本公开的技术方案可以实现快速的攻击规模的预测。
图1是示出了根据本发明一个示例性实施例的用于攻击规模的预测的方法100的示例性流程图。如图1所示,该用于攻击规模的预测的方法100可以包括:获取第一组攻击源信息步骤110、获取控制节点信息步骤120、获取其他攻击源信息步骤130和攻击规模预测步骤140。另外,可以由如图3中所示出的用于攻击规模的预测装置300来执行方法100。
首先,获取第一组攻击源信息步骤110中,在判断攻击对象受到攻击(例如,服务器接收到了大量异常流量)时,可以从攻击对象处截获的攻击数据包中提取与该次攻击事件中已经向攻击对象发起攻击的第一组攻击源的信息(例如,第一组攻击源的IP地址)。随后,处理进行到步骤120处。
在步骤120处,基于第一组攻击源的信息,结合网络日志数据库记中记载与该组攻击源进行通信的通信记录日志(例如,利用Netflow),可以得到在该次攻击事件中对第一组攻击源进行控制的控制节点(可以被称为第一控制节点)的信息。在一些实施方式中,可以通过查看网络日志数据库中的网络日志数据来获取节点和节点之间通过某协议在某个时段传输了字节的信息,从而快速发现第一控制节点。例如,可以利用NetFlow根据采样比采集数据信息,对采集数据的种类、流向、产生后果、数据包类型、地址、端口等多个方面进行分析,可以检测到来自攻击源的异常流量并发现控制该攻击源的第一控制节点。随后,处理进行到步骤130处。
在一些实施方式中,除了控制节点的信息和攻击源的信息,还可以从攻击对象处截获的数据包中获取其他攻击情报信息,例如,攻击类型、攻击发起时间、攻击持续时间、攻击峰值、攻击对象。这些攻击情报信息可以被用于进一步改进对攻击规模的预测。
在步骤130处,根据第一控制节点的信息发现其他攻击源(即,第二组攻击源)。具体地,基于第一控制节点的信息,结合网络日志数据库记中记载与该控制节点进行通信的通信记录日志,可以得到由第一控制节点控制的、但不包括在第一组攻击源中的第二组攻击源的信息。在一些实施方式中,还可以通过将第一控制节点的信息与历史攻击事件数据库的记载的攻击进行比对,从而发现第二组攻击源信息。
随后,处理回到步骤120处。即,基于在步骤130处获得的第二组攻击源的信息,结合网络日志数据库记中记载与该组攻击源进行通信的通信记录日志,在步骤120处可以得到也对第二组攻击源中部分攻击源进行控制的控制节点(例如,可以被称为第二控制节点)的信息。在本文中,重复进行步骤120和步骤130的循环处理可以被称为“迭代关联“。“迭代关联”是指将现有的、已知的攻击源信息作为“输入”,关联出控制该组攻击源至少一部分攻击源的控制节点,并基于控制节点和攻击源的通信关系,再次关联被该控制节点控制的其他未知的攻击源。然后,将关联到的其他攻击源作为“输入”(即,已知攻击源)再次进行迭代处理,从而关联到更多的控制节点和攻击源。在下文中,将参考图2A至图2D详细说明利用迭代关联来发现攻击源的方法200。
这样的迭代关联处理可以有利地发现网络日志数据库中记载了通信关系的控制节点和其控制的攻击源。由于在单次攻击事件中,单个控制节点所控制的一部分攻击源可能并未发起攻击或并未被发现,因此尽可能地发现潜在的、还未发起攻击的攻击源(例如,第二组攻击源)将有利于快速进行对攻击事件的攻击规模的预测。
在一些实施方式中,迭代关联处理(即,步骤120和步骤130的重复循环)可以进行预定的有限次数。在其他的实施方式中,该迭代关联处理可以进行直至所有控制节点或攻击源均被发现(即,在步骤120中发现的控制节点或步骤130中发现的所有攻击源均已经被包括在已知的控制节点/攻击源中)。随后,处理进行到步骤140处。
在步骤140处,基于预定的攻击规模模型,利用第一组攻击源、第二组攻击源的信息预测攻击规模。在一些实施方式中,该攻击规模模型是根据历史攻击事件中的攻击信息建立的多元回归模型。
例如,该多元回归模型可以被表示为如下:
Y=β0+β1X1+β2X2+...+βkXk+ε. (1)
其中,Y是预测的攻击规模(如攻击峰值),k个自变量X1-Xk是基于攻击源的参数。参数β0,β1,β2,...,βk表示不同攻击源X1-Xk的权重,这些权重β0,β1,β2,...,βk是根据历史攻击事件数据库中的历史攻击事件预先计算出的模型参数。将从步骤130处获取的第一组攻击源和第二组攻击源信息带入到所述攻击规模模型,即可获得对该次攻击的攻击规模的预测。
在一些实施方式中,还可以根据在步骤110处获取的攻击情报信息进一步改进对攻击规模的预测。
在一些实施方式中,在获得预测的攻击规模后,还基于预测的攻击规模提供相应的防护策略。例如,根据预测的攻击规模的不同,防护策略可以包括对单位时间内同一IP的访问次数、单位时间内的总访问流量、单位时间内所有服务器的总访问流量进行限制;针对类型包的请求设置阈值进行拦截等。
图2A至图2D是示出了根据本发明一个示例性实施例的用于攻击规模的预测的方法中利用迭代关联来发现攻击源的示意图。将参考图2A至图2D描述方法100中迭代关联处理的一个具体示例。
图2A示出了迭代关联处理200的第一个步骤S210。在步骤S210中,已经基于当前攻击事件的信息中的攻击源A0的信息获取了控制该攻击源A0的控制节点C1的信息(例如,IP地址)。然后,根据控制节点C1的通信关系,可以获取C1所控制的第一组攻击源A1-An的信息。随后,处理进行到参考图2B的步骤S220处。
在图2B中的步骤S220处,通过对网络日志数据库的监测,发现攻击源A1-An中的一部分与控制节点C2可能也存在数据传输。在一些实施方式中,例如,这是因为发起攻击的黑客可能控制了多个控制节点C1和C2,在其他示例中,这是因为多个黑客在抢夺作为肉机的攻击源A2和An。随后,处理进行到参考图2C的步骤S230处。
在图2C中的步骤S230处,基于控制节点C2的信息,并结合网络日志数据库记中记载与该控制节点C2进行通信的通信记录日志以及异常流量的监测,可以得到由控制节点C2控制的、但不包括在攻击源A1-An中的第二组攻击源B1-Bm的信息。随后,处理进行到参考图2D的步骤S240处。
在图2D中的步骤S240处,通过迭代关联进一步发现其他控制节点和攻击源的信息,例如,图2D示出了进行第i次迭代关联的示意图。具体地,基于通信关系,发现与已知的攻击源A1-An和B1-Bm中的一部分(如图所示,攻击源A1和Bm)也进行通信的控制节点Ci的信息,并且进一步发现与控制节点Ci进行通信的第i组攻击源X1和X2的信息。
注意到,如图2A-2D所示出的“攻击源”-“控制节点”-“新的攻击源”-“新的控制节点”的迭代关联处理可以重复循环进行,直到到达预先设定的次数,或直到穷尽网络日志数据库中记载了数据传输的节点中全部控制节点和/或攻击源,从而使得潜在的、还未发起攻击的攻击源可以尽量被发现。然后,根据这些攻击源信息和如上文所述的预先获得的攻击规模预测模型,可以快速预测网络攻击规模,并提供相应的防护策略。
本领域技术人员均能理解,虽然图2A-2D中画成根据攻击源信息关联控制节点信息的步骤(例如,步骤S220)与根据控制节点信息关联攻击源信息的步骤(例如,步骤S210、步骤S230)间隔执行,但是这只是个示例,并不意图限制本发明。例如,在某些情况下,可以重复进行根据已知的攻击源信息关联控制节点信息的步骤、或重复进行根据已知的控制节点信息关联攻击源信息的步骤,并在发现新的攻击源信息和/或控制节点信息后再循环执行上述迭代关联处理。另外,在一些实施方式中,根据已知的攻击源信息关联控制节点信息的步骤和根据已知的控制节点信息关联攻击源信息的步骤并不一定有先后顺序,也可以同时进行。
图3是示出了根据本发明一个示例性实施例的用于攻击规模预测的装置300的基本配置的框图。如图3所示,该用于攻击规模预测的装置300包括:攻击源信息获取模块310、攻击规模预测模块320和可选的攻击情报信息获取模块330。在一些实施方式中,该攻击规模预测装置与网络日志数据库340进行通信以获取需要的网络日志数据。其中,攻击源信息获取模块310获取第一组攻击源的信息以及与第一组攻击源进行通信的第一控制节点信息,并且通过迭代关联发现第二组攻击源的信息。所述迭代关联包括基于通信关系,发现与第一组攻击源中的一个或多个攻击源也进行通信的第二控制节点的信息,并且基于第二控制节点信息进一步发现与第二控制节点进行通信的第二组攻击源的信息;攻击规模预测模块320基于预定的攻击规模模型,利用第一组攻击源、第二组攻击源的信息预测攻击规模。可选地,攻击情报信息获取模块330获取攻击情报信息,并使得攻击规模预测模块320还基于攻击情报信息进一步预测所述攻击规模。来自本领域技术人员应当理解,在用于攻击规模预测的装置300所包含的部件可以不限于上述部件310-330,而是可以包括用于实现根据本发明实施例的前述方法的其他步骤的部件。装置300的各个部件可以由硬件、软件、固件或其任意组合来实现。另外,本领域技术人员也应当理解,装置300的各个部件可以根据需要被组合或分割成子部件。装置300的上述各个部件不限于上述的各个功能,而是可以实现如前所述的根据本发明实施例的各种方法的相应步骤的功能。
图4示出了可以实现根据本发明的实施例的计算设备2000的示例性配置。计算设备2000是可以应用本发明的上述方面的硬件设备的实例。计算设备2000可以是被配置为执行处理和/或计算的任何机器。计算设备2000可以是但不限制于工作站、服务器、台式计算机、膝上型计算机、平板计算机、个人数据助手(PDA)、智能电话、车载计算机或以上组合。前述装置300可以全部或至少部分地由上述计算设备2000或与其相似的设备或系统实现。
如图4所示,计算设备2000可以包括可能经由一个或多个接口与总线2002连接或通信的一个或多个元件。例如,计算设备2000可以包括总线2002、一个或多个处理器2004、一个或多个输入设备2006以及一个或多个输出设备2008。总线2002可以包括但不限于,工业标准架构(Industry Standard Architecture,ISA)总线、微通道架构(Micro ChannelArchitecture,MCA)总线、增强ISA(EISA)总线、视频电子标准协会(VESA)局部总线、以及外设组件互连(PCI)总线等。一个或多个处理设备2004可以是任何种类的处理器,并且可以包括但不限于一个或多个通用处理器或专用处理器(诸如专用处理芯片)。输入设备2006可以是能够向计算设备输入信息的任何类型的输入设备,并且可以包括但不限于鼠标、键盘、触摸屏、麦克风和/或远程控制器。输出设备2008可以是能够呈现信息的任何类型的设备,并且可以包括但不限于显示器、扬声器、视频/音频输出终端、振动器和/或打印机。计算设备2000还可以包括或被连接至非暂态存储设备2010,该非暂态存储设备2010可以是任何非暂态的并且可以实现数据存储的存储设备,并且可以包括但不限于盘驱动器、光存储设备、固态存储器、软盘、柔性盘、硬盘、磁带或任何其他磁性介质、压缩盘或任何其他光学介质、ROM(只读存储器)、RAM(随机存取存储器)、缓存存储器和/或任何其他存储芯片或单元、和/或计算机可以从其中读取数据、指令和/或代码的其他任何介质。非暂态存储设备2010可以与任何接口可拆卸地连接。非暂态存储设备2010可以具有存储于其上的、用于实现前述用于攻击规模的预测的方法和/或步骤的数据/指令/代码。计算设备2000还可以包括通信设备2012,该通信设备2012可以是能够启用与外部装置和/或网络通信的任何种类的设备或系统,并且可以包括但不限于调制解调器、网络卡、红外线通信设备、无线通信设备和/或芯片集(诸如1302.11设备、WiFi设备、WiMax设备、蜂窝通信设施等)。
计算设备2000还可以包括工作存储器2014。该工作存储器2014可以是能够存储对于处理器2004有用的指令和/或数据的任何类型的工作存储器,并且可以包括但不限于随机存取存储器(RAM)和只读存储器(ROM)。
位于上述工作存储器上的软件元件可以包括但不限于操作系统2016、一个或多个应用程序2018、驱动器和/或其他数据和代码。上述一个或多个应用程序2018可以包括用于执行如上所述的识别命名实体的各方法及各步骤的指令。可以通过读取和执行一个或多个应用程序2018的处理器实现前述用于攻击规模的预测的装置300的各部件/单元/元件,例如攻击源信息获取模块310、攻击规模预测模块320和攻击情报信息获取模块330等等。软件元件的指令的可执行代码或源代码可以存储在非暂态计算机可读存储介质(诸如如上所述的存储设备2010)中,并且可以通过编译和/或安装读入工作存储器2014中。还可以从远程位置下载软件元件的指令的可执行代码或源代码。
应当理解,可以根据特定要求进行变型。例如,可以使用定制的硬件和/或特定元件可以以硬件、软件、固件、中间件、微代码、硬件描述语言或其任何组合的方式实现。此外,可以采用与其他计算设备(诸如网络输入/输出设备)的连接。例如,本发明的方法和设备中的一些或全部可以根据本发明通过使用汇编语言编程硬件(例如,包括现场可编程门阵列(FPGA)和/或可编程逻辑阵列(PLA)的可编程逻辑电路)或逻辑和算法的硬件编程语言(例如VERILOG,VHDL,C++)来实现。
应当进一步理解,计算设备2000的元件可以分布在整个网络上。例如,可以在使用一个处理器执行一些处理的同时,使用其他远程处理器执行其他处理。计算机系统2000的其他元件也可以类似地分布。因此,计算设备2000可以被理解为在多个地点执行处理的分布式计算系统。
可以通过许多方式来实施本发明的方法和设备。例如,可以通过软件、硬件、固件、或其任何组合来实施本发明的方法和设备。上述的方法步骤的次序仅是说明性的,本发明的方法步骤不限于以上具体描述的次序,除非以其它方式明确说明。此外,在一些实施例中,本发明还可以被实施为记录在记录介质中的程序,其包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于实现根据本发明的方法的程序的记录介质。
虽然已通过示例详细展示了本发明的一些具体实施例,但是本领域技术人员应当理解,上述示例仅意图是说明性的而不限制本发明的范围。本领域技术人员应该理解,上述实施例可以在不脱离本发明的范围和实质的情况下被修改。本发明的范围是通过所附的权利要求限定的。
Claims (15)
1.一种用于预测攻击规模方法,包括
获取第一组攻击源的信息以及与第一组攻击源进行通信的第一控制节点信息;
通过迭代关联发现第二组攻击源的信息,包括:
基于通信关系,发现与第一组攻击源中的一个或多个攻击源也进行通信的第二控制节点的信息,并且基于第二控制节点信息进一步发现与第二控制节点进行通信的第二组攻击源的信息;
基于预定的攻击规模模型,利用第一组攻击源、第二组攻击源的信息预测攻击规模。
2.如权利要求1所述的方法,还包括通过迭代关联进一步发现第三组攻击源的信息,包括:
基于通信关系,发现与第一组攻击源和第二组攻击源中的一个或多个攻击源也进行通信的第三控制节点的信息,并且基于第三控制节点信息进一步发现与第三控制节点进行通信的第三组攻击源的信息。
3.如权利要求1所述的方法,其中根据网络日志数据生成所述通信关系,所述网络日志数据存储在网络日志数据库中。
4.如权利要求1所述的方法,其中所述攻击规模模型是根据历史攻击事件中的攻击信息建立的多元回归模型。
5.如权利要求1所述的方法,其中还基于攻击情报信息进一步预测所述攻击规模。
6.如权利要求5所述的方法,其中所述攻击情报信息包括控制节点的信息、攻击源的信息、攻击类型、攻击发起时间、攻击持续时间、攻击峰值、攻击对象中的一项或多项。
7.如权利要求1所述的方法,其中还基于预测的攻击规模提供防护建议。
8.一种用于预测攻击规模的系统,包括处理器以及与所述处理器通信的网络日志数据库,其中,所述处理器被配置为
从网络日志数据库中获取第一组攻击源的信息以及与第一组攻击源进行通信的第一控制节点信息;
基于从网络日志数据库的网络日志数据,通过迭代关联发现第二组攻击源的信息,包括:
基于通信关系,发现与第一组攻击源中的一个或多个攻击源也进行通信的第二控制节点的信息,并且基于第二控制节点信息进一步发现与第二控制节点进行通信的第二组攻击源的信息;
基于预定的攻击规模模型,利用第一组攻击源、第二组攻击源的信息预测攻击规模。
9.如权利要求8所述的系统,所述处理器还被配置为通过迭代关联进一步发现第三组攻击源的信息,包括:
基于通信关系,发现与第一组攻击源和第二组攻击源中的一个或多个攻击源也进行通信的第三控制节点的信息,并且基于第三控制节点信息进一步发现与第三控制节点进行通信的第三组攻击源的信息。
10.如权利要求8所述的系统,其中所述攻击规模模型是根据历史攻击事件中的攻击信息建立的多元回归模型。
11.如权利要求8所述的系统,其中处理器还被配置为基于攻击情报信息进一步预测所述攻击规模。
12.如权利要求11所述的系统,其中所述攻击情报信息包括控制节点的信息、攻击源的信息、攻击类型、攻击发起时间、攻击持续时间、攻击峰值、攻击对象中的一项或多项。
13.如权利要求8所述的系统,其中处理器还被配置为基于预测的攻击规模提供防护策略。
14.一种用于预测攻击规模的服务器,包括:
一个或更多个处理器;以及
一个或更多个存储器,被配置为存储一系列计算机可执行指令,
其中所述一系列计算机可执行指令在由所述一个或更多个处理器运行时使得所述一个或更多个处理器执行根据权利要求1-7中的任意一项所述的方法。
15.一种非暂态计算机可读存储介质,其上存储有程序,其特征在于,所述程序被处理器执行时实现权利要求1-7中的任意一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010327646.6A CN113556309A (zh) | 2020-04-23 | 2020-04-23 | 一种用于预测攻击规模的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010327646.6A CN113556309A (zh) | 2020-04-23 | 2020-04-23 | 一种用于预测攻击规模的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113556309A true CN113556309A (zh) | 2021-10-26 |
Family
ID=78129406
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010327646.6A Pending CN113556309A (zh) | 2020-04-23 | 2020-04-23 | 一种用于预测攻击规模的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113556309A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115865438A (zh) * | 2022-11-22 | 2023-03-28 | 北京天融信网络安全技术有限公司 | 网络攻击的防御方法、装置、设备及介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060184690A1 (en) * | 2005-02-15 | 2006-08-17 | Bbn Technologies Corp. | Method for source-spoofed IP packet traceback |
| US7302705B1 (en) * | 2000-08-30 | 2007-11-27 | International Business Machines Corporation | Method and apparatus for tracing a denial-of-service attack back to its source |
| CN101651579A (zh) * | 2009-09-15 | 2010-02-17 | 成都市华为赛门铁克科技有限公司 | 识别僵尸网络的方法及网关设备 |
| CN105337951A (zh) * | 2014-08-15 | 2016-02-17 | 中国电信股份有限公司 | 对系统攻击进行路径回溯的方法与装置 |
| CN105791220A (zh) * | 2014-12-22 | 2016-07-20 | 中国电信股份有限公司 | 用于主动防御分布式拒绝服务攻击的方法和系统 |
| CN107070895A (zh) * | 2017-03-17 | 2017-08-18 | 中国科学院信息工程研究所 | 一种基于sdn的数据流溯源方法 |
| CN109873788A (zh) * | 2017-12-01 | 2019-06-11 | 中国联合网络通信集团有限公司 | 僵尸网络检测的方法及装置 |
| CN109981526A (zh) * | 2017-12-27 | 2019-07-05 | 中移(杭州)信息技术有限公司 | 一种确定网络攻击源的方法、装置、介质及设备 |
| CN110061854A (zh) * | 2018-01-18 | 2019-07-26 | 华东明 | 一种无边界网络智能运维管理方法与系统 |
| CN110113328A (zh) * | 2019-04-28 | 2019-08-09 | 武汉理工大学 | 一种基于区块链的软件定义机会网络DDoS防御方法 |
| CN110764969A (zh) * | 2019-10-25 | 2020-02-07 | 新华三信息安全技术有限公司 | 网络攻击溯源方法及装置 |
-
2020
- 2020-04-23 CN CN202010327646.6A patent/CN113556309A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7302705B1 (en) * | 2000-08-30 | 2007-11-27 | International Business Machines Corporation | Method and apparatus for tracing a denial-of-service attack back to its source |
| US20060184690A1 (en) * | 2005-02-15 | 2006-08-17 | Bbn Technologies Corp. | Method for source-spoofed IP packet traceback |
| CN101651579A (zh) * | 2009-09-15 | 2010-02-17 | 成都市华为赛门铁克科技有限公司 | 识别僵尸网络的方法及网关设备 |
| CN105337951A (zh) * | 2014-08-15 | 2016-02-17 | 中国电信股份有限公司 | 对系统攻击进行路径回溯的方法与装置 |
| CN105791220A (zh) * | 2014-12-22 | 2016-07-20 | 中国电信股份有限公司 | 用于主动防御分布式拒绝服务攻击的方法和系统 |
| CN107070895A (zh) * | 2017-03-17 | 2017-08-18 | 中国科学院信息工程研究所 | 一种基于sdn的数据流溯源方法 |
| CN109873788A (zh) * | 2017-12-01 | 2019-06-11 | 中国联合网络通信集团有限公司 | 僵尸网络检测的方法及装置 |
| CN109981526A (zh) * | 2017-12-27 | 2019-07-05 | 中移(杭州)信息技术有限公司 | 一种确定网络攻击源的方法、装置、介质及设备 |
| CN110061854A (zh) * | 2018-01-18 | 2019-07-26 | 华东明 | 一种无边界网络智能运维管理方法与系统 |
| CN110113328A (zh) * | 2019-04-28 | 2019-08-09 | 武汉理工大学 | 一种基于区块链的软件定义机会网络DDoS防御方法 |
| CN110764969A (zh) * | 2019-10-25 | 2020-02-07 | 新华三信息安全技术有限公司 | 网络攻击溯源方法及装置 |
Non-Patent Citations (4)
| Title |
|---|
| 刘威歆等: "基于攻击图的多源告警关联分析方法", 《通信学报》 * |
| 刘美兰等: "基于事件融合的跳板攻击源追踪技术研究", 《计算机安全》 * |
| 季霖: "分布式拒绝服务攻击的分类学研究", 《上海计量测试》 * |
| 张静: "一种基于RBF-NN的DDoS攻击检测方法", 《电脑知识与技术》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115865438A (zh) * | 2022-11-22 | 2023-03-28 | 北京天融信网络安全技术有限公司 | 网络攻击的防御方法、装置、设备及介质 |
| CN115865438B (zh) * | 2022-11-22 | 2023-07-04 | 北京天融信网络安全技术有限公司 | 网络攻击的防御方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10430586B1 (en) | Methods of identifying heap spray attacks using memory anomaly detection | |
| US9661003B2 (en) | System and method for forensic cyber adversary profiling, attribution and attack identification | |
| US8863288B1 (en) | Detecting malicious software | |
| US9584541B1 (en) | Cyber threat identification and analytics apparatuses, methods and systems | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN113542253B (zh) | 一种网络流量检测方法、装置、设备及介质 | |
| EP4060958B1 (en) | Attack behavior detection method and apparatus, and attack detection device | |
| US20180034837A1 (en) | Identifying compromised computing devices in a network | |
| US11258812B2 (en) | Automatic characterization of malicious data flows | |
| CN101714931A (zh) | 一种未知恶意代码的预警方法、设备和系统 | |
| CN110086811B (zh) | 一种恶意脚本检测方法及相关装置 | |
| CN110138731B (zh) | 一种基于大数据的网络防攻击方法 | |
| US20240152626A1 (en) | Security Event Modeling and Threat Detection Using Behavioral, Analytical, and Threat Intelligence Attributes | |
| US11245712B2 (en) | Method and apparatus for generating virtual malicious traffic template for terminal group including device infected with malicious code | |
| CN108712365B (zh) | 一种基于流量日志的DDoS攻击事件检测方法及系统 | |
| CN108282551B (zh) | 报文识别处理方法、装置、监听设备及可读存储介质 | |
| CN113556309A (zh) | 一种用于预测攻击规模的方法 | |
| CN103139169A (zh) | 基于网络行为的病毒检测系统和方法 | |
| CN115102781B (zh) | 网络攻击处理方法、装置、电子设备和介质 | |
| CN113037779B (zh) | 一种积极防御系统中的智能自学习白名单方法和系统 | |
| US11763004B1 (en) | System and method for bootkit detection | |
| CN110995738A (zh) | 暴力破解行为识别方法、装置、电子设备及可读存储介质 | |
| CN114598485B (zh) | 在小程序后台防止DDoS攻击的方法、设备和介质 | |
| US20230156017A1 (en) | Quantification of Adversary Tactics, Techniques, and Procedures Using Threat Attribute Groupings and Correlation | |
| CN114760156B (zh) | 终端设备关联节点的确定方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211026 |