CN115589335B - 一种ntp分布式拒绝服务攻击的处理方法及系统 - Google Patents
一种ntp分布式拒绝服务攻击的处理方法及系统 Download PDFInfo
- Publication number
- CN115589335B CN115589335B CN202211486813.7A CN202211486813A CN115589335B CN 115589335 B CN115589335 B CN 115589335B CN 202211486813 A CN202211486813 A CN 202211486813A CN 115589335 B CN115589335 B CN 115589335B
- Authority
- CN
- China
- Prior art keywords
- ntp
- attack
- distributed denial
- network
- sensing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/142—Denial of service attacks against network infrastructure
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供一种NTP分布式拒绝服务攻击的处理方法及系统,涉及计算机网络安全技术领域。该NTP分布式拒绝服务攻击的处理方法应用于攻击感知装置,所述攻击感知装置包括感应端和管理端,所述方法包括:将所述感应端部署至预设多个网络地址,所述多个网络地址各自分散于对应的网段;在所述感应端上启动预设伪装程序;通过所述预设伪装程序感知NTP分布式拒绝服务攻击的行为数据;将所述行为数据发送至所述管理端;通过所述管理端对所述行为数据进行处理,生成所述NTP分布式拒绝服务攻击的攻击信息。该方法可以实现提高对NTP分布式拒绝服务攻击的感知效率的技术效果。
Description
技术领域
本申请涉及计算机网络安全技术领域,具体而言,涉及一种NTP分布式拒绝服务攻击的处理方法、系统、电子设备及计算机可读存储介质。
背景技术
目前,蜜罐技术也被成为欺骗防御技术,在实际应用中被集成为欺骗防御平台,该平台是一个供组织创建、分发和管理整个欺骗环境及其相关架构元素的集中管理系统。这些伪造的计算机、服务器、设备、应用程序、服务、协议、数据或用户通常是虚拟的且与真实资产和身份无法区分,用于吸引和检测网络攻击者。
现有技术中,一般是通过伪装网络服务程序接受攻击者试探,并将数据汇总到管理端进行分析从而得到当前或未来即将发生的网络安全风险。现有产品对NTP分布式拒绝服务攻击的感知和防御主要是通过网络协议成分、网络服务健康度检查以及抗分布式拒绝服务攻击(DDoS,Distributed Denial of Service)设备组成,其原理是通过监控网络中是否出现大量网络时间协议(NTP,Network Time Protocol)数据(原本业务不应涉及这类协议数据)、网络服务出现响应速度慢,最后引导流量通过抗DDOS设备进行流量清洗完成,特点是被动防守,即只有当攻击发生了才知道。一般来说,传统防守方式存在如下问题:被动防御,感知到的时候带宽已经被拥塞;受害者只能感知到自己被攻击,不利于对攻击者追踪溯源,对攻击的感知效率低下。
发明内容
本申请实施例的目的在于提供一种NTP分布式拒绝服务攻击的处理方法、系统、电子设备及计算机可读存储介质,可以实现提高对NTP分布式拒绝服务攻击的感知效率的技术效果。
第一方面,本申请实施例提供了一种NTP分布式拒绝服务攻击的处理方法,应用于攻击感知装置,所述攻击感知装置包括感应端和管理端,所述方法包括:
将所述感应端部署至预设多个网络地址,所述多个网络地址各自分散于对应的网段;
在所述感应端上启动预设伪装程序;
通过所述预设伪装程序感知NTP分布式拒绝服务攻击的行为数据;
将所述行为数据发送至所述管理端;
通过所述管理端对所述行为数据进行处理,生成所述NTP分布式拒绝服务攻击的攻击信息。
在上述实现过程中,该NTP分布式拒绝服务攻击的处理方法通过一套攻击感知装置,包括管理端和感应端,将感应端部署至预设多个网络地址且在感应端上启动预设伪装程序,实现广泛部署感应端、进而模拟存在漏洞的NTP网络服务,获得攻击发生时的行为数据,通过管理端对行为数据进行分析,识别出攻击行为;从而,该NTP分布式拒绝服务攻击的处理方法通过少量部署攻击感知装置,实现在消耗尽量少的资源、且无需在受害者网络中部署任何其他装置的前提下,即可提前感知正在发生或即将发生的全球NTP分布式拒绝服务攻击,为安全预警提供有利缓冲;从而,该NTP分布式拒绝服务攻击的处理方法可以实现提高对NTP分布式拒绝服务攻击的感知效率的技术效果。
进一步地,所述通过所述预设伪装程序感知NTP分布式拒绝服务攻击的行为数据的步骤,包括:
所述NTP分布式拒绝服务攻击根据网络地址从前往后或从后往前进行全网扫描;
通过所述预设伪装程序感知所述NTP分布式拒绝服务攻击的扫描行为,生成所述行为数据。
在上述实现过程中,当攻击者在网络中查找存在安全隐患的NTP网络服务时,由于经验和效率问题,大概率会采用顺序查找,即网络地址从前往后或从后往前进行查找;从而,通过预设伪装程序感知NTP分布式拒绝服务攻击的扫描行为,可以生成对应的行为数据。
进一步地,所述将所述行为数据发送至所述管理端的步骤,包括:
根据所述行为数据确定网络地址对应的网段信息;
根据所述行为数据和所述网段信息生成通报数据;
将所述通报数据实时发送至所述管理端。
进一步地,所述攻击信息包括攻击对象信息、攻击规模信息和持续时长信息,所述通过所述管理端对所述行为数据进行处理,生成所述NTP分布式拒绝服务攻击的攻击信息,包括:
通过所述管理端对所述通报数据进行处理,生成所述NTP分布式拒绝服务攻击的攻击对象信息、攻击规模信息、持续时长信息中的一种或多种。
在上述实现过程中,管理端可以根据通报数据,计算出攻击者引发的攻击信息,如攻击对象信息、攻击规模信息和持续时长信息等。
进一步地,所述预设伪装程序为伪装NTP网络服务程序,所述在所述感应端上启动预设伪装程序的步骤,包括:
在所述感应端上启动伪装NTP网络服务程序,所述伪装NTP网络服务程序包括存在安全隐患的NTP网络服务。
第二方面,本申请实施例提供了一种NTP分布式拒绝服务攻击的处理系统,应用于攻击感知装置,所述攻击感知装置包括感应端和管理端,所述NTP分布式拒绝服务攻击的处理系统包括:
部署模块,用于将所述感应端部署至预设多个网络地址,所述多个网络地址各自分散于对应的网段;
启动模块,用于在所述感应端上启动预设伪装程序;
感知模块,用于通过所述预设伪装程序感知NTP分布式拒绝服务攻击的行为数据;
发送模块,用于将所述行为数据发送至所述管理端;
攻击处理模块,用于通过所述管理端对所述行为数据进行处理,生成所述NTP分布式拒绝服务攻击的攻击信息。
进一步地,所述感知模块具体用于:所述NTP分布式拒绝服务攻击根据网络地址从前往后或从后往前进行全网扫描;通过所述预设伪装程序感知所述NTP分布式拒绝服务攻击的扫描行为,生成所述行为数据。
进一步地,所述发送模块包括:
网段单元,用于根据所述行为数据确定网络地址对应的网段信息;
通报数据单元,用于根据所述行为数据和所述网段信息生成通报数据;
发送单元,用于将所述通报数据实时发送至所述管理端。
进一步地,所述攻击信息包括攻击对象信息、攻击规模信息和持续时长信息,所述攻击处理模块具体用于:通过所述管理端对所述通报数据进行处理,生成所述NTP分布式拒绝服务攻击的攻击对象信息、攻击规模信息、持续时长信息中的一种或多种。
进一步地,所述预设伪装程序为伪装NTP网络服务程序,所述启动模块具体用于:在所述感应端上启动伪装NTP网络服务程序,所述伪装NTP网络服务程序包括存在安全隐患的NTP网络服务。
第三方面,本申请实施例提供的一种电子设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
第四方面,本申请实施例提供的一种计算机可读存储介质,所述计算机可读存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如第一方面任一项所述的方法。
第五方面,本申请实施例提供的一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行如第一方面任一项所述的方法。
本申请公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本申请公开的上述技术即可得知。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种NTP分布式拒绝服务攻击的处理方法的流程示意图;
图2为本申请实施例提供的另一种NTP分布式拒绝服务攻击的处理方法的流程示意图;
图3为本申请实施例提供的NTP分布式拒绝服务攻击的处理方法的调度流程图;
图4为本申请实施例提供的NTP分布式拒绝服务攻击的处理系统的结构框图;
图5为本申请实施例提供的一种电子设备的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
本申请实施例提供了一种NTP分布式拒绝服务攻击的处理方法、系统、电子设备及计算机可读存储介质,可以应用于针对NTP分布式拒绝服务攻击的感知过程中;该NTP分布式拒绝服务攻击的处理方法通过一套攻击感知装置,包括管理端和感应端,将感应端部署至预设多个网络地址且在感应端上启动预设伪装程序,实现广泛部署感应端、进而模拟存在漏洞的NTP网络服务,获得攻击发生时的行为数据,通过管理端对行为数据进行分析,识别出攻击行为;从而,该NTP分布式拒绝服务攻击的处理方法通过少量部署攻击感知装置,实现在消耗尽量少的资源、且无需在受害者网络中部署任何其他装置的前提下,即可提前感知正在发生或即将发生的全球NTP分布式拒绝服务攻击,为安全预警提供有利缓冲;从而,该NTP分布式拒绝服务攻击的处理方法可以实现提高对NTP分布式拒绝服务攻击的感知效率的技术效果。
在本申请实施例中,分布式拒绝服务攻击(DDoS,Distributed Denial ofService),是一种常见的黑客攻击手段,原理是利用随机分布的傀儡主机发起大量无效请求拥堵带宽或利用漏洞反复消耗服务资源,最终导致服务瘫痪的攻击方式;网络时间协议(NTP,Network Time Protocol),用于在网络中提供时间校准服务,使不同计算机的时间能够同步。NTP使用用户数据报协议(UDP,User Datagram Protocol)作为通讯方式,再加上NTP协议本身存在安全隐患,最终导致被分布式拒绝服务攻击利用,在网络安全历史上造成广泛的、难以根治的安全问题。
示例性地, NTP拒绝服务攻击难以预测,作为防守方突然面临海量的虚假请求,很难第一时间调动资源进行防御,其次NTP拒绝服务攻击发生后需要运营商或受害者主动上报,如果运营商未关注或受害者不上报则安全机构将完全无感;而本申请提供的NTP分布式拒绝服务攻击的处理方法,可以仅利用有限的资源,在不打扰受害人前提下感知正在发生或即将发生的NTP拒绝服务攻击。
请参见图1,图1为本申请实施例提供的一种NTP分布式拒绝服务攻击的处理方法的流程示意图,该NTP分布式拒绝服务攻击的处理方法应用于攻击感知装置,攻击感知装置包括感应端和管理端,该NTP分布式拒绝服务攻击的处理方法包括如下步骤:
S100:将感应端部署至预设多个网络地址,多个网络地址各自分散于对应的网段。
在一些实施方式中,在互联网上以分散的网络地址进行部署本申请实施例提供的感应端,即在每个网段上感应端都部署有一定数量的网络地址。
S200:在感应端上启动预设伪装程序。
S300:通过预设伪装程序感知NTP分布式拒绝服务攻击的行为数据。
示例性地,通过管理端对感应端下达指令,从而命令感应端启动预设伪装程序;可选地,通过预设伪装程序,可以伪装并模拟存在安全隐患的NTP网络服务,使攻击者在网络中对预设伪装程序生成的NTP网络服务发起攻击行为,从而获得相应的行为数据。
S400:将行为数据发送至管理端。
S500:通过管理端对行为数据进行处理,生成NTP分布式拒绝服务攻击的攻击信息。
示例性地,该NTP分布式拒绝服务攻击的处理方法通过一套攻击感知装置,包括管理端和感应端,将感应端部署至预设多个网络地址且在感应端上启动预设伪装程序,实现广泛部署感应端、进而模拟存在漏洞的NTP网络服务,获得攻击发生时的行为数据,通过管理端对行为数据进行分析,识别出攻击行为;从而,该NTP分布式拒绝服务攻击的处理方法通过少量部署攻击感知装置,实现在消耗尽量少的资源、且无需在受害者网络中部署任何其他装置的前提下,即可提前感知正在发生或即将发生的全球NTP分布式拒绝服务攻击,为安全预警提供有利缓冲;从而,该NTP分布式拒绝服务攻击的处理方法可以实现提高对NTP分布式拒绝服务攻击的感知效率的技术效果。
请参见图2,图2为本申请实施例提供的另一种NTP分布式拒绝服务攻击的处理方法的流程示意图。
示例性地,S300:通过预设伪装程序感知NTP分布式拒绝服务攻击的行为数据的步骤,包括:
S310:NTP分布式拒绝服务攻击根据网络地址从前往后或从后往前进行全网扫描;
S320:通过预设伪装程序感知NTP分布式拒绝服务攻击的扫描行为,生成行为数据。
示例性地,当攻击者在网络中查找存在安全隐患的NTP网络服务时,由于经验和效率问题,大概率会采用顺序查找,即网络地址从前往后或从后往前进行查找;从而,通过预设伪装程序感知NTP分布式拒绝服务攻击的扫描行为,可以生成对应的行为数据。
示例性地,S400:将行为数据发送至管理端的步骤,包括:
S410:根据行为数据确定网络地址对应的网段信息;
S420:根据行为数据和网段信息生成通报数据;
S430:将通报数据实时发送至管理端。
示例性地,攻击信息包括攻击对象信息、攻击规模信息和持续时长信息,S500:通过管理端对行为数据进行处理,生成NTP分布式拒绝服务攻击的攻击信息,包括:
S510:通过管理端对通报数据进行处理,生成NTP分布式拒绝服务攻击的攻击对象信息、攻击规模信息、持续时长信息中的一种或多种。
示例性地,管理端可以根据通报数据,计算出攻击者引发的攻击信息,如攻击对象信息、攻击规模信息和持续时长信息等。
示例性地,预设伪装程序为伪装NTP网络服务程序,S200:在感应端上启动预设伪装程序的步骤,包括:
S210:在感应端上启动伪装NTP网络服务程序,伪装NTP网络服务程序包括存在安全隐患的NTP网络服务。
示例性地,本申请实施例提供的NTP分布式拒绝服务攻击的处理方法,可以实现以下效果:在消耗尽量少的资源前提下,感知全球NTP拒绝服务攻击;无需在受害者网络中部署任何其他装置;可能提前感知即将发生的NTP拒绝服务攻击。
请参见图3,图3为本申请实施例提供的NTP分布式拒绝服务攻击的处理方法的调度流程图。
在一些实施方式中,如图3所示,攻击者在网络中查找存在安全隐患的NTP网络服务时,其攻击逻辑为“存在漏洞就攻击”;在感应端上通过预设伪装程序伪装的NTP网络服务遇到攻击时,将获得的行为数据反馈至管理端,从而完成对行为数据的采集。
示例性地,本申请实施例提供的攻击感应装置,能够让安全厂商或网络安全技术分析员提前感知正在或即将发生的NTP分布式攻击,如果能第一时间通知到受害人,即可完成对攻击的预测,受害人可以通过及时迁移业务、调集资源调整防御策略等方式积极应对。
结合图1至图3,本申请施例提供的NTP分布式拒绝服务攻击的处理方法,其具体步骤示例如下:
1、如图3所示,安全人员先在互联网尽量分散的网络地址上部署该发明装置的感应端,并通过管理端下达指令,命令感应段启动伪装程序,在本例中伪装成存在安全隐患的NTP网络服务;
2、当攻击者在网络中查找存在安全隐患的NTP网络服务时,由于经验和效率问题,大概率会采用顺序查找,即网络地址从前往后或从后往前进行查找;
3、假设攻击者是从前往后进行全网扫描,部署在网络中靠前的感应端就会先感知到该行为,并将发现实时通报管理端,以此类推随着攻击者扫描的进行,会触发越来越多的感应端,则管理端就可以根据通报数据计算出攻击者大概能引发的攻击对象、攻击规模和持续时长。
综上所述,本申请实施例提供的NTP分布式拒绝服务攻击的处理方法,本发明通过少量稀疏部署装置,实现在消耗尽量少的资源,且无需在受害者网络中部署任何装置前提下,即可提前感知正在发生或即将发生的全球NTP分布式拒绝服务攻击,为安全预警提供有利缓冲。
在一些试试场景中,本发明通过一套攻击感应装置,通过广泛部署感应端、模拟存在漏洞的NTP网络服务,获得攻击发生的原始数据,管理端对原始数据进行分析,识别出攻击行为,并以受害者作为基准实时分析记录针对受害者的攻击规模,管理端在分析过程中可能需要维护多个受害人分析记录表。
请参见图4,图4为本申请实施例提供的NTP分布式拒绝服务攻击的处理系统的结构框图,该NTP分布式拒绝服务攻击的处理系统应用于攻击感知装置,攻击感知装置包括感应端和管理端,NTP分布式拒绝服务攻击的处理系统包括:
部署模块100,用于将感应端部署至预设多个网络地址,多个网络地址各自分散于对应的网段;
启动模块200,用于在感应端上启动预设伪装程序;
感知模块300,用于通过预设伪装程序感知NTP分布式拒绝服务攻击的行为数据;
发送模块400,用于将行为数据发送至管理端;
攻击处理模块500,用于通过管理端对行为数据进行处理,生成NTP分布式拒绝服务攻击的攻击信息。
示例性地,感知模块300具体用于:NTP分布式拒绝服务攻击根据网络地址从前往后或从后往前进行全网扫描;通过预设伪装程序感知NTP分布式拒绝服务攻击的扫描行为,生成行为数据。
示例性地,发送模块400包括:
网段单元,用于根据行为数据确定网络地址对应的网段信息;
通报数据单元,用于根据行为数据和网段信息生成通报数据;
发送单元,用于将通报数据实时发送至管理端。
示例性地,攻击信息包括攻击对象信息、攻击规模信息和持续时长信息,攻击处理模块500具体用于:通过管理端对通报数据进行处理,生成NTP分布式拒绝服务攻击的攻击对象信息、攻击规模信息、持续时长信息中的一种或多种。
示例性地,预设伪装程序为伪装NTP网络服务程序,启动模块200具体用于:在感应端上启动伪装NTP网络服务程序,伪装NTP网络服务程序包括存在安全隐患的NTP网络服务。
需要注意的是,本申请实施例提供的NTP分布式拒绝服务攻击的处理系统与图1至图3所示的方法实施例相对应,为避免重复,此处不再赘述。
本申请还提供一种电子设备,请参见图5,图5为本申请实施例提供的一种电子设备的结构框图。电子设备可以包括处理器510、通信接口520、存储器530和至少一个通信总线540。其中,通信总线540用于实现这些组件直接的连接通信。其中,本申请实施例中电子设备的通信接口520用于与其他节点设备进行信令或数据的通信。处理器510可以是一种集成电路芯片,具有信号的处理能力。
上述的处理器510可以是通用处理器,包括中央处理器(CPU,Central ProcessingUnit)、网络处理器(NP,Network Processor)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器510也可以是任何常规的处理器等。
存储器530可以是,但不限于,随机存取存储器(RAM,Random Access Memory),只读存储器(ROM,Read Only Memory),可编程只读存储器(PROM ,Programmable Read-OnlyMemory),可擦除只读存储器(EPROM ,Erasable Programmable Read-Only Memory),电可擦除只读存储器(EEPROM ,Electric Erasable Programmable Read-Only Memory)等。存储器530中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器510执行时,电子设备可以执行上述图1至图3方法实施例涉及的各个步骤。
可选地,电子设备还可以包括存储控制器、输入输出单元。
所述存储器530、存储控制器、处理器510、外设接口、输入输出单元各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通信总线540实现电性连接。所述处理器510用于执行存储器530中存储的可执行模块,例如电子设备包括的软件功能模块或计算机程序。
输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。所述输入输出单元可以是,但不限于,鼠标和键盘等。
可以理解,图5所示的结构仅为示意,所述电子设备还可包括比图5中所示更多或者更少的组件,或者具有与图5所示不同的配置。图5中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例还提供一种存储介质,所述存储介质上存储有指令,当所述指令在计算机上运行时,所述计算机程序被处理器执行时实现方法实施例所述的方法,为避免重复,此处不再赘述。
本申请还提供一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行方法实施例所述的方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (5)
1.一种NTP分布式拒绝服务攻击的处理方法,其特征在于,应用于攻击感知装置,所述攻击感知装置包括感应端和管理端,所述方法包括:
将所述感应端部署至预设多个网络地址,所述多个网络地址各自分散于对应的网段;
在所述感应端上启动预设伪装程序;
通过所述预设伪装程序感知NTP分布式拒绝服务攻击的行为数据;
将所述行为数据发送至所述管理端;
通过所述管理端对所述行为数据进行处理,生成所述NTP分布式拒绝服务攻击的攻击信息;
所述通过所述预设伪装程序感知NTP分布式拒绝服务攻击的行为数据的步骤,包括:
所述NTP分布式拒绝服务攻击根据网络地址从前往后或从后往前进行全网扫描;
通过所述预设伪装程序感知所述NTP分布式拒绝服务攻击的扫描行为,生成所述行为数据;
所述将所述行为数据发送至所述管理端的步骤,包括:
根据所述行为数据确定网络地址对应的网段信息;
根据所述行为数据和所述网段信息生成通报数据;
将所述通报数据实时发送至所述管理端;
所述攻击信息包括攻击对象信息、攻击规模信息和持续时长信息,所述通过所述管理端对所述行为数据进行处理,生成所述NTP分布式拒绝服务攻击的攻击信息,包括:
通过所述管理端对所述通报数据进行处理,生成所述NTP分布式拒绝服务攻击的攻击对象信息、攻击规模信息、持续时长信息中的一种或多种。
2.根据权利要求1所述的NTP分布式拒绝服务攻击的处理方法,其特征在于,所述预设伪装程序为伪装NTP网络服务程序,所述在所述感应端上启动预设伪装程序的步骤,包括:
在所述感应端上启动伪装NTP网络服务程序,所述伪装NTP网络服务程序包括存在安全隐患的NTP网络服务。
3.一种NTP分布式拒绝服务攻击的处理系统,其特征在于,应用于攻击感知装置,所述攻击感知装置包括感应端和管理端,所述系统包括:
部署模块,用于将所述感应端部署至预设多个网络地址,所述多个网络地址各自分散于对应的网段;
启动模块,用于在所述感应端上启动预设伪装程序;
感知模块,用于通过所述预设伪装程序感知NTP分布式拒绝服务攻击的行为数据;
发送模块,用于将所述行为数据发送至所述管理端;
攻击处理模块,用于通过所述管理端对所述行为数据进行处理,生成所述NTP分布式拒绝服务攻击的攻击信息;
所述感知模块具体用于:
所述NTP分布式拒绝服务攻击根据网络地址从前往后或从后往前进行全网扫描;
通过所述预设伪装程序感知所述NTP分布式拒绝服务攻击的扫描行为,生成所述行为数据;
所述发送模块包括:
网段单元,用于根据所述行为数据确定网络地址对应的网段信息;
通报数据单元,用于根据所述行为数据和所述网段信息生成通报数据;
发送单元,用于将所述通报数据实时发送至所述管理端。
4.一种电子设备,其特征在于,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至权利要求2任一项所述的NTP分布式拒绝服务攻击的处理方法的步骤。
5.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如权利要求1至权利要求2任一项所述的NTP分布式拒绝服务攻击的处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211486813.7A CN115589335B (zh) | 2022-11-25 | 2022-11-25 | 一种ntp分布式拒绝服务攻击的处理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211486813.7A CN115589335B (zh) | 2022-11-25 | 2022-11-25 | 一种ntp分布式拒绝服务攻击的处理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115589335A CN115589335A (zh) | 2023-01-10 |
| CN115589335B true CN115589335B (zh) | 2023-04-21 |
Family
ID=84783187
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211486813.7A Active CN115589335B (zh) | 2022-11-25 | 2022-11-25 | 一种ntp分布式拒绝服务攻击的处理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115589335B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107404465A (zh) * | 2016-05-20 | 2017-11-28 | 阿里巴巴集团控股有限公司 | 网络数据分析方法及服务器 |
| WO2018177847A1 (en) * | 2017-03-31 | 2018-10-04 | Nagravision Sa | Distributed denial of service analysis |
| CN109962879A (zh) * | 2017-12-22 | 2019-07-02 | 中国电信股份有限公司 | 针对分布式反射拒绝服务DRDoS的安全防御方法和控制器 |
| CN109995727A (zh) * | 2017-12-30 | 2019-07-09 | 中国移动通信集团河北有限公司 | 渗透攻击行为主动防护方法、装置、设备及介质 |
| CN112367307A (zh) * | 2020-10-27 | 2021-02-12 | 中国电子科技集团公司第二十八研究所 | 一种基于容器级蜜罐群的入侵检测方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200137112A1 (en) * | 2018-10-30 | 2020-04-30 | Charter Communications Operating, Llc | Detection and mitigation solution using honeypots |
| CN112398781B (zh) * | 2019-08-14 | 2022-04-08 | 大唐移动通信设备有限公司 | 一种攻击测试方法、主机服务器及控制服务器 |
-
2022
- 2022-11-25 CN CN202211486813.7A patent/CN115589335B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107404465A (zh) * | 2016-05-20 | 2017-11-28 | 阿里巴巴集团控股有限公司 | 网络数据分析方法及服务器 |
| WO2018177847A1 (en) * | 2017-03-31 | 2018-10-04 | Nagravision Sa | Distributed denial of service analysis |
| CN109962879A (zh) * | 2017-12-22 | 2019-07-02 | 中国电信股份有限公司 | 针对分布式反射拒绝服务DRDoS的安全防御方法和控制器 |
| CN109995727A (zh) * | 2017-12-30 | 2019-07-09 | 中国移动通信集团河北有限公司 | 渗透攻击行为主动防护方法、装置、设备及介质 |
| CN112367307A (zh) * | 2020-10-27 | 2021-02-12 | 中国电子科技集团公司第二十八研究所 | 一种基于容器级蜜罐群的入侵检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115589335A (zh) | 2023-01-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11601400B2 (en) | Aggregating alerts of malicious events for computer security | |
| US11570211B1 (en) | Detection of phishing attacks using similarity analysis | |
| EP2769508B1 (en) | System and method for detection of denial of service attacks | |
| KR101388090B1 (ko) | 이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법 | |
| CN107465648B (zh) | 异常设备的识别方法及装置 | |
| CN103493061B (zh) | 用于应对恶意软件的方法和装置 | |
| Cho et al. | A method of monitoring and detecting APT attacks based on unknown domains | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| EP3195172A1 (en) | Blocking forgiveness for ddos | |
| Shabut et al. | Cyber attacks, countermeasures, and protection schemes—A state of the art survey | |
| Amjad et al. | Detection and mitigation of DDoS attack in cloud computing using machine learning algorithm | |
| CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
| US20170155683A1 (en) | Remedial action for release of threat data | |
| CN112131571B (zh) | 威胁溯源方法及相关设备 | |
| CN111079138A (zh) | 异常访问检测方法、装置、电子设备及可读存储介质 | |
| CN108600145B (zh) | 一种确定DDoS攻击设备的方法及装置 | |
| CN113518064A (zh) | 挑战黑洞攻击的防御方法、装置、计算机设备和存储介质 | |
| CN113992431B (zh) | 一种联动阻断方法、装置、电子设备及存储介质 | |
| CN114024773A (zh) | 一种webshell文件检测方法及系统 | |
| EP3331211B1 (en) | Apparatus, method, and non-transitory computer-readable storage medium for attacking node detection | |
| CN115589335B (zh) | 一种ntp分布式拒绝服务攻击的处理方法及系统 | |
| CN108595957A (zh) | 浏览器主页篡改检测方法、装置及存储介质 | |
| CN114003904B (zh) | 情报共享方法、装置、计算机设备及存储介质 | |
| Yang et al. | Network forensics in the era of artificial intelligence | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |