DDOS攻击溯源方法、装置、存储介质及电子设备制造方法及图纸

本发明专利技术的实施例公开一种DDOS攻击溯源方法、装置、计算机可读存储介质及电子设备，涉及计算机安全技术，具有较强的网络环境适应能力。所述DDOS攻击溯源方法包括：接收输入的遭受DDOS攻击的攻击目标信息；根据所述攻击目标信息，查询预先建立的DDOS攻击溯源库，获取与所述攻击目标信息相关联的控制端信息；其中，所述DDOS攻击溯源库中具有控制端信息与攻击目标信息的关联关系。本发明专利技术适用于对DDOS攻击进行溯源。

DDOS Attack Traceability Method, Device, Storage Media and Electronic Equipment

The embodiment of the present invention discloses a DDOS attack traceability method, device, computer readable storage medium and electronic equipment, which relates to computer security technology and has strong adaptability to network environment. The DDOS attack Traceability Method includes: receiving the input information of the target attacked by DDOS; querying the pre-established DDOS attack traceability library according to the target information, and obtaining the control information associated with the target information; in which the DDOS attack traceability database has the relationship between the control information and the target information. The invention is suitable for tracing the origin of DDOS attacks.

【技术实现步骤摘要】
DDOS攻击溯源方法、装置、存储介质及电子设备
本专利技术涉及计算机安全，尤其涉及一种DDOS攻击溯源方法、装置、计算机可读存储介质及电子设备。
技术介绍
随着计算机互联网技术的快速发展以及宽带的普及，恶意攻击已经成为互联网上的一种最直接的竞争方式，在利益的驱使下，计算机网络攻击已经演变成非常完善的产业链。其中，分布式拒绝服务（DDOS，DistributedDenialofService）攻击是实施成本较低和技术手段最为容易的恶意攻击方式，DDOS攻击是指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个攻击目标发动DDOS攻击，阻止合法用户对攻击目标网络资源的访问，从而成倍地提高拒绝服务攻击的威力，许多全球大型互联网企业都曾遭受过DDOS攻击，目前，黑客往往使用僵尸网络对攻击目标进行DDOS攻击，严重危害了网络安全环境。为了维护计算机互联网络安全，溯源DDOS攻击控制端以获取攻击源头并对获取的攻击源头进行监管是行之有效的方法。目前的DDOS攻击溯源方法，一般通过在被监控的网络环境中布设入侵检测设备，通过入侵检测设备实时监控被监控的网络环境，例如，通过实时监测网络环境的网络流量状态来监测是否发生了DDOS攻击，当依据网络流量状态确定被监控的网络环境发生DDOS攻击后，再根据报警信息以及不断监测的网络流量包来对DDOS攻击进行溯源。在实现本专利技术过程中，专利技术人专利技术现有技术至少存在以下问题：现有的DDOS攻击溯源方法，需要在被监控的网络环境中部署入侵检测设备，对于未部署入侵检测设备的网络环境，无法实现攻击溯源，由此导致现有的DDOS攻击溯源方法的网络环境适应能力较低。
技术实现思路
有鉴于此，本专利技术实施例提供一种DDOS攻击溯源方法、装置、计算机可读存储介质及电子设备，具有较强的网络环境适应能力。第一方面，本专利技术实施例提供一种DDOS攻击溯源方法，包括：接收输入的遭受DDOS攻击的攻击目标信息；根据所述攻击目标信息，查询预先建立的DDOS攻击溯源库，获取与所述攻击目标信息相关联的控制端信息；其中，所述DDOS攻击溯源库中具有控制端信息与攻击目标信息的关联关系。结合第一方面，在第一方面的第一种实施方式中，在接收输入的遭受DDOS攻击的攻击目标信息之前，所述方法还包括：预先建立DDOS攻击溯源库。结合第一方面的第一种实施方式，在第一方面的第二种实施方式中，所述预先建立DDOS攻击溯源库包括：捕获互联网中传播的传播样本；提取所述传播样本的样本特征，与预先设置的DDOS样本特征库进行匹配；其中，所述样本特征包括：样本内容特征、和/或，样本运行特征；如果提取的样本特征与所述DDOS样本特征库相匹配，在预先设置的虚拟环境中运行所述传播样本；如果运行的所述传播样本满足预先设置的活性DDOS样本条件，持续运行所述传播样本，抓取运行中的网络流量包；解析抓取的网络流量包，提取解析的网络流量包中包含的攻击目标信息以及控制端信息，构建控制端信息与攻击目标信息的关联关系，建立DDOS攻击溯源库。结合第一方面的第二种实施方式，在第一方面的第三种实施方式中，所述捕获互联网中传播的传播样本包括：通过预先部署在互联网中的蜜网捕获传播的传播样本。结合第一方面的第二种实施方式，在第一方面的第四种实施方式中，在所述如果提取的样本特征与所述DDOS样本特征库相匹配之后，在预先设置的虚拟环境中运行所述传播样本之前，所述方法还包括：解析所述传播样本，得到所述传播样本对应的样本格式，查询预先设置的样本格式与虚拟环境的映射关系库，得到所述传播样本对应的样本格式映射的虚拟环境，以使所述传播样本在所述映射的虚拟环境中运行。结合第一方面的第二种实施方式，在第一方面的第五种实施方式中，在捕获互联网中传播的传播样本之后，提取所述传播样本的样本特征之前，所述方法还包括：在预先设置的虚拟环境中运行所述传播样本。结合第一方面的第二种实施方式，在第一方面的第六种实施方式中，所述方法还包括：提取与所述DDOS样本特征库不相匹配的并满足预先设置的活性DDOS样本条件的传播样本的内容特征，利用提取的内容特征更新所述DDOS样本特征库。第二方面，本专利技术实施例提供一种DDOS攻击溯源装置，包括：目标信息输入单元、查询单元和控制端信息获取单元；其中，目标信息输入单元，用于接收输入的遭受DDOS攻击的攻击目标信息；查询单元，用于根据所述攻击目标信息，查询预先建立的DDOS攻击溯源库；其中，所述DDOS攻击溯源库中具有控制端信息与攻击目标信息的关联关系；控制端信息获取单元，用于根据所述查询单元的查询，获取与所述攻击目标信息相关联的控制端信息。结合第二方面，在第二方面的第一种实施方式中，所述的DDOS攻击溯源方法，还包括：溯源库建立单元，用于预先建立所述DDOS攻击溯源库。结合第二方面的第一种实施方式，在第二方面的第二种实施方式中，所述溯源库建立单元包括：样本捕获模块、特征提取模块、虚拟运行模块、抓包模块以及溯源库建立模块，其中，样本捕获模块，用于捕获互联网中传播的传播样本；特征提取模块，用于提取所述传播样本的样本特征，与预先设置的DDOS样本特征库进行匹配；其中，所述样本特征包括：样本内容特征、和/或，样本运行特征；虚拟运行模块，如果提取的样本特征与所述DDOS样本特征库相匹配，在预先设置的虚拟环境中运行所述传播样本；抓包模块，如果运行的所述传播样本满足预先设置的活性DDOS样本条件，持续运行所述传播样本，抓取运行中的网络流量包；溯源库建立模块，用于解析抓取的网络流量包，提取解析的网络流量包中包含的攻击目标信息以及控制端信息，构建控制端信息与攻击目标信息的关联关系，建立DDOS攻击溯源。结合第二方面的第二种实施方式，在第二方面的第三种实施方式中，所述样本捕获模块为蜜网系统。结合第二方面的第二种实施方式，在第二方面的第四种实施方式中，所述虚拟运行模块包括：判断子模块、虚拟环境获取子模块以及运行子模块，其中，判断子模块，如果提取的样本特征与所述DDOS样本特征库相匹配，通知虚拟环境获取子模块；虚拟环境获取子模块，用于解析所述传播样本，得到所述传播样本对应的样本格式，查询预先设置的样本格式与虚拟环境的映射关系库，得到所述传播样本对应的样本格式映射的虚拟环境，通知运行子模块；运行子模块，用于在所述映射的虚拟环境中运行所述传播样本。结合第二方面的第二种实施方式，在第二方面的第五种实施方式中，所述虚拟运行模块还用于：在样本捕获模块捕获互联网中传播的传播样本之后，特征提取模块提取所述传播样本的样本特征之前，在预先设置的虚拟环境中运行所述传播样本。结合第二方面的第二种实施方式，在第二方面的第六种实施方式中，所述装置还包括：DDOS样本特征库更新模块，用于提取与所述DDOS样本特征库不相匹配的并满足预先设置的活性DDOS样本条件的传播样本的内容特征，利用提取的内容特征更新所述DDOS样本特征库。第三方面，本专利技术实施例提供一种计算机可读存储介质，其存储用于电子数据交换的计算机程序，其中，所述计算机程序使得计算机执行前述任一实施方式所述的方法。第四方面，本专利技术实施例提供一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器本文档来自技高网...

【技术保护点】
1.一种DDOS攻击溯源方法，其特征在于，包括：接收输入的遭受DDOS攻击的攻击目标信息；根据所述攻击目标信息，查询预先建立的DDOS攻击溯源库，获取与所述攻击目标信息相关联的控制端信息；其中，所述DDOS攻击溯源库中具有控制端信息与攻击目标信息的关联关系。

【技术特征摘要】
1.一种DDOS攻击溯源方法，其特征在于，包括：接收输入的遭受DDOS攻击的攻击目标信息；根据所述攻击目标信息，查询预先建立的DDOS攻击溯源库，获取与所述攻击目标信息相关联的控制端信息；其中，所述DDOS攻击溯源库中具有控制端信息与攻击目标信息的关联关系。2.根据权利要求1所述的DDOS攻击溯源方法，其特征在于，在接收输入的遭受DDOS攻击的攻击目标信息之前，所述方法还包括：预先建立DDOS攻击溯源库。3.根据权利要求2所述的DDOS攻击溯源方法，其特征在于，所述预先建立DDOS攻击溯源库包括：捕获互联网中传播的传播样本；提取所述传播样本的样本特征，与预先设置的DDOS样本特征库进行匹配；其中，所述样本特征包括：样本内容特征、和/或，样本运行特征；如果提取的样本特征与所述DDOS样本特征库相匹配，在预先设置的虚拟环境中运行所述传播样本；如果运行的所述传播样本满足预先设置的活性DDOS样本条件，持续运行所述传播样本，抓取运行中的网络流量包；解析抓取的网络流量包，提取解析的网络流量包中包含的攻击目标信息以及控制端信息，构建控制端信息与攻击目标信息的关联关系，建立DDOS攻击溯源库。4.根据权利要求3所述的DDOS攻击溯源方法，其特征在于，所述捕获互联网中传播的传播样本包括：通过预先部署在互联网中的蜜网捕获传播的传播样本。5.根据权利要求3所述的DDOS攻击溯源方法，其特征在于，在所述如果提取的样本特征与所述DDOS样本特征库相匹配之后，在预先设置的虚拟环境中运行所述传播样本之前，所述方法还包括：解析所述传播样本，得到所述传播样本对应的样本格式，查询预先设置的样本格式与虚拟环境的映射关系库，得到所述传播样本对应的样本格式映射的虚拟环境，以使所述传播样本在所述映射的虚拟环境中运行。6.根据权利要求3所述的DDOS攻击溯源方法，其特征在于，在捕获互联网中传播的传播样本之后，提取所述传播样本的样本特征之前，所述方法还包括：在预先设置的所述虚拟环境中运行所述传播样本。7.根据权利要求3所述的DDOS攻击溯源方法，其特征在于，所述方法还包括：提取与所述DDOS样本特征库不相匹配的并满足预先设置的活性DDOS样本条件的传播样本的内容特征，利用提取的内容特征更新所述DDOS样本特征库。8.一种DDOS攻击溯源装置，其特征在于，包括：目标信息输入单元、查询单元和控制端信息获取单元；其中，目标信息输入单元，用于接收输入的遭受DDOS攻击的攻击目标信息；查询单元，用于根据所述攻击目标信息，查询预先建立的DDOS攻击溯源库；其中，所述DDOS攻击溯源库中具有控制端信息与攻击目标信息的关联关系；控制端信息获取单元，用于根据所述查询单元的查询，获取与所述攻击目标信息相关联的控制端信息。9.根据权利要求8所述的DDOS攻击溯...

【专利技术属性】
技术研发人员：孔华锋，杨涛，谢康，康学斌，徐艺航，肖新光，王小丰，
申请(专利权)人：公安部第三研究所，北京安天网络安全技术有限公司，
类型：发明
国别省市：上海,31