发现DDoS攻击的方法及装置制造方法及图纸

本申请提供了一种发现DDoS攻击的方法及装置。其方法包括：对DDoS攻击程序样本进行网络协议分析，以提取出所述DDoS攻击程序样本所使用的网络协议；在网络上查找运行有基于所述网络协议的DDoS攻击控制程序的主机，以确定为控制DDoS攻击的中控主机；根据所述网络协议模拟受中控主机控制的傀儡机，以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击。根据本申请的技术方案，能够获知控制傀儡机发动DDoS攻击的中控主机，进而可以关联出背后的真正攻击者。

Method and device for detecting DDoS attack

The present application provides a method and device for discovering an DDoS attack. The method includes: network protocol analysis of DDoS attack program to extract the sample, the sample DDoS attack program used by the network protocol; in the network search operation DDoS attack control program based on the network protocol of the host, in order to determine the control of DDoS attacks in the control of the host according to the network protocol; the simulation control of the host control machine by the puppet in order to receive the control to the host machine instructions issued puppet attack attack. According to the technical scheme of this application, the master host capable of controlling the puppet machine to start the DDoS attack can be learned, and the real attacker behind it can be related.

【技术实现步骤摘要】
发现DDoS攻击的方法及装置
本申请涉及DDoS攻击防御领域，尤其涉及一种发现DDoS攻击的方法及装置。
技术介绍
DDoS攻击是指黑客通过控制大量的傀儡机，消耗攻击目标的计算资源阻止目标为合法用户提供服务。现有的DDoS防御系统，主要是保护目标免受攻击者的DDoS攻击，而攻击者一般是由黑客控制的傀儡机，因此，现有的DDoS防御系统，是无法获知背后的真正攻击者到底是谁。最基本的DDoS攻击主要是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。现有的DDoS防御系统，主要根据流量判断是否受到DDoS攻击，然而，在攻击者开始发动DDoS攻击时，由于初始流量较小，无法在第一时间准确判断是否要被攻击。
技术实现思路
本申请的一个目的是提供一种发现DDoS攻击的方法及装置，能够获知控制傀儡机发动DDoS攻击的中控主机及其攻击的目标主机。根据本申请的一方面，提供了一种发现DDoS攻击的方法，其中，该方法包括以下步骤：对DDoS攻击程序样本进行网络协议分析，以提取出所述DDoS攻击程序样本所使用的网络协议；在网络上查找运行有基于所述网络协议的DDoS攻击控制程序的主机，以确定为控制DDoS攻击的中控主机；根据所述网络协议模拟受中控主机控制的傀儡机，以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击。可选地，对DDoS攻击程序样本进行网络协议分析，以提取出所述DDoS攻击程序样本所使用的网络协议的步骤包括：对所述DDoS攻击程序样本进行反汇编分析，以还原出所述DDoS攻击程序样本所述使用的网络协议。可选地，对DDoS攻击程序样本进行网络协议分析，以提取出所述DDoS攻击程序样本所使用的网络协议的步骤包括：运行所述DDoS攻击程序样本，以通过抓包分析来分析出所述DDoS攻击程序样本所使用的网络协议。可选地，在网络上查找运行有基于所述网络协议的DDoS攻击控制程序的主机，以确定为控制DDoS攻击的中控主机的步骤包括：向网络中的各个主机发送所述网络协议的数据包；检测接收到的各个主机返回的数据包是否与预定结果匹配；将返回的数据包与预定结果匹配的主机确定为控制DDoS攻击的中控主机。可选地，根据所述网络协议模拟受中控主机控制的傀儡机，以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击的步骤包括：向扫描出的各个中控主机发送所述网络协议中的上线协议，以模拟受中控主机控制的傀儡机；接收扫描出的各个中控主机中至少一个下达的攻击指令；通过解析所述攻击指令，提取出攻击目标的IP地址、中控主机的IP地址以及攻击类型。可选地，根据所述网络协议模拟受中控主机控制的傀儡机，以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击的步骤还包括：向所述各个中控主机发送所述网络协议的心跳包，以维持与所述各个中控主机的通信连接。可选地，该方法还包括：将提取出的攻击目标IP地址、中控主机的IP地址以及攻击类型进行输出显示。根据本申请的另一方面，还提供了一种发现DDoS攻击的装置，其中，该装置包括：分析单元，用于对DDoS攻击程序样本进行网络协议分析，以提取出所述DDoS攻击程序样本所使用的网络协议；查找单元，用于在网络上查找运行有基于所述网络协议的DDoS攻击控制程序的主机，以确定为控制DDoS攻击的中控主机；发现单元，用于根据所述网络协议模拟受中控主机控制的傀儡机，以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击。可选地，所述分析单元进一步用于：对所述DDoS攻击程序样本进行反汇编分析，以还原出所述DDoS攻击程序样本所述使用的网络协议。可选地，所述分析单元进一步用于：运行所述DDoS攻击程序样本，以通过抓包分析来分析出所述DDoS攻击程序样本所使用的网络协议。可选地，所述查找单元包括：发送单元，用于向网络中的各个主机发送所述网络协议的数据包；检测单元，用于检测接收到的各个主机返回的数据包是否与预定结果匹配；确定单元，用于将返回的数据包与预定结果匹配的主机确定为控制DDoS攻击的中控主机。可选地，所述发现单元包括：模拟单元，用于向扫描出的各个中控主机发送所述网络协议中的上线协议，以模拟受中控主机控制的傀儡机；接收单元，用于接收扫描出的各个中控主机中至少一个下达的攻击指令；解析单元，用于通过解析所述攻击指令，提取出攻击目标的IP地址、中控主机的IP地址以及攻击类型。可选地，所述发现单元还包括：心跳包发送单元，用于向所述各个中控主机发送所述网络协议的心跳包，以维持与所述各个中控主机的通信连接。可选地，该装置还包括：输出单元，用于将提取出的攻击目标的IP地址、中控主机的IP地址以及攻击类型进行输出显示。与现有技术相比，本申请的实施例具有以下优点：1)现有的DDoS防御系统，只能获知被哪些傀儡机所攻击，并不能获知控制傀儡机发起攻击的中控主机，也就很难关联出背后的真正攻击者是谁。与之相比，本申请能够获知控制傀儡机发动DDoS攻击的中控主机，进而可以关联出背后的真正攻击者。2)本申请对控制傀儡机发动DDoS攻击的中控主机进行监控，在攻击发起的初始时刻，就能够获取其要攻击的目标主机以及使用的攻击方式。附图说明通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：图1为本申请一个实施例提供的方法的流程图；图2为本申请一个实施例的步骤S120的流程图；图3为本申请一个实施例的步骤S130的一种实施方式的流程图；图4为本申请一个实施例的步骤S130的另一种实施方式的流程图；图5为本申请一个实施例提供的装置示意图；图6为本申请实施例提供的装置中查找单元520的示意图；图7为本申请实施例提供的装置中发现单元530的一种实施方式的示意图；图8为本申请实施例提供的装置中发现单元530的另一种实施方式的示意图。附图中相同或相似的附图标记代表相同或相似的部件。具体实施方式在更加详细地讨论示例性实施例之前应当提到的是，一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作描述成顺序的处理，但是其中的许多操作可以被并行地、并发地或者同时实施。此外，各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止，但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。在上下文中所称“计算机设备”，也称为“电脑”，是指可以通过运行预定程序或指令来执行数值计算和/或逻辑计算等预定处理过程的智能电子设备，其可以包括处理器与存储器，由处理器执行在存储器中预存的存续指令来执行预定处理过程，或是由ASIC、FPGA、DSP等硬件执行预定处理过程，或是由上述二者组合来实现。计算机设备包括但不限于服务器、个人电脑、笔记本电脑、平板电脑、智能手机等。所述计算机设备包括用户设备与网络设备。其中，所述用户设备包括但不限于电脑、智能手机、PDA等；所述网络设备包括但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(CloudComputing)的由大量计算机或网络服务器构成的云，其中，云计算是分布式计算的一种，由一群松散耦合的计算机集组成的一个超级虚拟计算机。其中，所述计算机设备可单独运行来实现本申请，也可接入网络并通过与网络本文档来自技高网...

【技术保护点】
一种发现DDoS攻击的方法，其特征在于，该方法包括以下步骤：对DDoS攻击程序样本进行网络协议分析，以提取出所述DDoS攻击程序样本所使用的网络协议；在网络上查找运行有基于所述网络协议的DDoS攻击控制程序的主机，以确定为控制DDoS攻击的中控主机；根据所述网络协议模拟受中控主机控制的傀儡机，以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击。

【技术特征摘要】
1.一种发现DDoS攻击的方法，其特征在于，该方法包括以下步骤：对DDoS攻击程序样本进行网络协议分析，以提取出所述DDoS攻击程序样本所使用的网络协议；在网络上查找运行有基于所述网络协议的DDoS攻击控制程序的主机，以确定为控制DDoS攻击的中控主机；根据所述网络协议模拟受中控主机控制的傀儡机，以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击。2.根据权利要求1所述的方法，其特征在于，对DDoS攻击程序样本进行网络协议分析，以提取出所述DDoS攻击程序样本所使用的网络协议的步骤包括：对所述DDoS攻击程序样本进行反汇编分析，以还原出所述DDoS攻击程序样本所述使用的网络协议。3.根据权利要求1所述的方法，其特征在于，对DDoS攻击程序样本进行网络协议分析，以提取出所述DDoS攻击程序样本所使用的网络协议的步骤包括：运行所述DDoS攻击程序样本，以通过抓包分析来分析出所述DDoS攻击程序样本所使用的网络协议。4.根据权利要求1所述的方法，其特征在于，在网络上查找运行有基于所述网络协议的DDoS攻击控制程序的主机，以确定为控制DDoS攻击的中控主机的步骤包括：向网络中的各个主机发送所述网络协议的数据包；检测接收到的各个主机返回的数据包是否与预定结果匹配；将返回的数据包与预定结果匹配的主机确定为控制DDoS攻击的中控主机。5.根据权利要求1所述的方法，其特征在于，根据所述网络协议模拟受中控主机控制的傀儡机，以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击的步骤包括：向扫描出的各个中控主机发送所述网络协议中的上线协议，以模拟受中控主机控制的傀儡机；接收扫描出的各个中控主机中至少一个下达的攻击指令；通过解析所述攻击指令，提取出攻击目标的IP地址、中控主机的IP地址以及攻击类型。6.根据权利要求5所述的方法，其特征在于，根据所述网络协议模拟受中控主机控制的傀儡机，以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击的步骤还包括：向所述各个中控主机发送所述网络协议的心跳包，以维持与所述各个中控主机的通...

【专利技术属性】
技术研发人员：李然，王海东，宋加生，崔一山，张建飞，梁永喜，周晓敏，叶根深，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY