一种僵尸网络DDoS攻击的防护方法、装置及存储介质制造方法及图纸

本发明专利技术公开了一种僵尸网络DDoS攻击的防护方法、装置及存储介质，在本发明专利技术实施例中，服务器基于全网的僵尸网络DDoS攻击报文的第二特征，与第一特征组中每个第一特征进行匹配，从而确定出进行攻击的地址信息，使得确定出的地址信息准确率高。另外，在防护过程中不需要进行反向探测，因此节省了僵尸网络DDoS攻击的防护时间，提高了防护效率。服务器针对预设数量的终端发送的报文的第一特征组确定出匹配成功的僵尸网络特征库，然后将僵尸网络特征库中所有的地址信息发送至防护设备。防护设备对于没有进行特征提取的终端，也不再需要浪费资源进行特征提取，以及判断终端是否为发起攻击终端，因此节省了大量的防护资源。

【技术实现步骤摘要】
一种僵尸网络DDoS攻击的防护方法、装置及存储介质
本专利技术涉及网络安全
，尤其涉及一种僵尸网络DDoS攻击的防护方法、装置及存储介质。
技术介绍
分布式拒绝服务(DDoS：DistributedDenialofService)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。DDoS攻击通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。这种攻击方式一般包括：通过使网络过载来干扰甚至阻断正常的网络通讯；通过向服务器提交大量请求，使服务器超负荷；阻断某一用户访问服务器；阻断某服务与特定系统或个人的通讯。DDoS攻击来源包括僵尸网络。僵尸网络的攻击流量和行为特征最为不明显。攻击者操作大量肉鸡，模拟正常客户端发起的正常流量，在防护设备一侧难以区分。并且，DDoS攻击的攻击流量非常大，僵尸网络DDoS攻击也只是DDoS攻击的其中一种，防护设备的计算资源非常宝贵，一般不可能将大量的计算资源投入到僵尸网络DDoS攻击的清洗。基于此，目前还没有能够有效进行僵尸网络DDoS攻击的防护方案。
技术实现思路
本专利技术实施例提供了一种僵尸网络DDoS攻击的防护方法、装置及存储介质，用以解决现有技术中对僵尸网络DDoS攻击的防护准确率和效率较低的问题。本专利技术实施例提供了一种僵尸网络DDoS攻击的防护方法，所述方法包括：接收防护设备发送的每个第一特征组；其中，所述每个第一特征组是防护设备接收预设数量的每个终端发送的报文，对每个报文进行特征提取得到的；针对接收到的每个第一特征组，将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配；其中，所述每个僵尸网络的特征库中的第二特征是通过统计历史周期内的每个僵尸网络DDoS攻击报文，并进行特征提取得到的；将匹配成功的特征库对应的地址信息发送至所述防护设备，使所述防护设备将所述地址信息加入黑名单，丢弃所述地址信息对应的终端发送的报文。进一步地，所述第一特征组中的第一特征至少包括：源IP、源端口、目的IP、报文类型、报文类型顺序、报文间隔时间和同类型报文的相似性。进一步地，针对接收到的每个第一特征组，将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配包括：针对接收到的每个第一特征组，将该第一特征组中的每个第一特征按照重要程度进行排序；按顺序依次选定第一特征，将该第一特征与每个僵尸网络的特征库中的第二特征进行匹配；所述将匹配成功的特征库对应的地址信息发送至所述防护设备包括：识别第一特征匹配成功数量最多的第一特征组，将所述匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库，将所述匹配成功的特征库对应的地址信息发送至所述防护设备。进一步地，所述识别第一特征匹配成功数量最多的第一特征组之后，将所述匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库之前，所述方法还包括：判断第一特征匹配成功数量最多的第一特征组对应的特征库的地址信息的数量是否大于预设的第一数量阈值，如果否，将所述匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库。进一步地，如果第一特征匹配成功数量最多的第一特征组对应的特征库的地址信息的数量大于预设的第一数量阈值，所述方法还包括：统计预设的第二时间长度内每个地址信息发起攻击的次数；按照发起攻击次数由高到低选取预设的第二数量的地址信息作为活跃地址信息；确定第一特征匹配成功数量最多的每个第一特征组对应的地址库，选取所述地址库中的活跃地址信息发送至所述防护设备。进一步地，如果不存在匹配成功的第一特征组，所述方法还包括：统计预设的第二时间长度内每个地址信息发起攻击的次数；按照发起攻击次数由高到低选取预设的第二数量的地址信息作为活跃地址信息；将所述活跃地址信息发送至所述防护设备。进一步地，所述方法还包括：接收所述防护设备发送的第三特征；其中，所述第三特征是所述防护设备对接收到僵尸网络的地址信息对应的终端发送的报文进行特征提取得到的；将所述第三特征保存至对应的僵尸网络的特征库。本专利技术实施例提供了一种僵尸网络DDoS攻击的防护方法，所述方法包括：针对预设数量的每个终端，接收该终端发送的报文，对所述报文进行特征提取，确定所述报文的第一特征组；并将所述报文的第一特征组发送至服务器；判断是否接收到所述服务器发送的地址信息；其中，所示地址信息是所述服务器针对接收到的每个第一特征组，将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配，匹配成功的地址库对应的地址信息；如果是，将所述地址信息加入黑名单，丢弃所述地址信息对应的终端发送的报文。进一步地，所述针对预设数量的每个终端，接收该终端发送的报文，对所述报文进行特征提取之前，所述方法还包括：针对预设数量的每个终端，当接收到该终端发送的请求报文，向该终端发送响应报文；判断在预设的第一时间长度内，是否接收到该终端发送的确认报文，如果是，进行后续步骤。进一步地，接收该终端发送的报文，对所述报文进行特征提取，确定所述报文的第一特征组包括：对该终端发送的任意报文进行特征提取，确定所述报文的源IP、源端口、目的IP、报文类型；对该终端在预设的时间长度内发送的每个报文依次进行特征提取，确定每个报文的报文类型并统计每个报文的时间戳；根据每个报文的报文类型确定报文类型顺序，并确定同类型报文的相似性，根据每个报文的时间戳确定报文间隔时间；将所述源IP、源端口、目的IP、报文类型、文类型顺序、报文间隔时间和同类型报文的相似性分别作为第一特征并构成第一特征组。进一步地，接收到所述服务器发送的地址信息之后，丢弃所述地址信息对应的终端发送的报文之前，所述方法还包括：对接收到的僵尸网络的地址信息对应的终端发送的报文进行特征提取，确定所述报文的第三特征；将所述第三特征发送至所述服务器，使所述服务器将所述第三特征保存至对应的僵尸网络的特征库。本专利技术实施例提供了一种僵尸网络DDoS攻击的防护装置，所述装置包括：第一接收模块，用于接收防护设备发送的每个第一特征组；其中，所述每个第一特征组是防护设备接收预设数量的每个终端发送的报文，对每个报文进行特征提取得到的；匹配模块，用于针对接收到的每个第一特征组，将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配；其中，所述每个僵尸网络的特征库中的第二特征是通过统计历史周期内的每个僵尸网络DDoS攻击报文，并进行特征提取得到的；第一发送模块，用于将匹配成功的地址库对应的地址信息发送至所述防护设备，使所述防护设备将所述地址信息加入黑名单，丢弃所述地址信息对应的终端发送的报文。进一步地，所述匹配模块，具体用于针对接收到的每个第一特征组，将该第一特征组中的每个第一特征按照重要程度进行排序；按顺序依次选定第一特征，将该第一特征与每个僵尸网络的特征库中的第二特征进行匹配；所述第一发送模块，具体用于识别第一特征匹配成功数量最多的第一特征组，将所述匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库，将所述匹配成功的特征库对应的地址信息发送至所述防护设备。进一步地，所述装置还包括：第一判断模块，用于判断第一特征匹配成功数量最多的第一特征组对本文档来自技高网...

【技术保护点】
1.一种僵尸网络DDoS攻击的防护方法，其特征在于，所述方法包括：接收防护设备发送的每个第一特征组；其中，所述每个第一特征组是防护设备接收预设数量的每个终端发送的报文，对每个报文进行特征提取得到的；针对接收到的每个第一特征组，将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配；其中，所述每个僵尸网络的特征库中的第二特征是通过统计历史周期内的每个僵尸网络DDoS攻击报文，并进行特征提取得到的；将匹配成功的特征库对应的地址信息发送至所述防护设备，使所述防护设备将所述地址信息加入黑名单，丢弃所述地址信息对应的终端发送的报文。

【技术特征摘要】
1.一种僵尸网络DDoS攻击的防护方法，其特征在于，所述方法包括：接收防护设备发送的每个第一特征组；其中，所述每个第一特征组是防护设备接收预设数量的每个终端发送的报文，对每个报文进行特征提取得到的；针对接收到的每个第一特征组，将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配；其中，所述每个僵尸网络的特征库中的第二特征是通过统计历史周期内的每个僵尸网络DDoS攻击报文，并进行特征提取得到的；将匹配成功的特征库对应的地址信息发送至所述防护设备，使所述防护设备将所述地址信息加入黑名单，丢弃所述地址信息对应的终端发送的报文。2.如权利要求1所述的方法，其特征在于，所述第一特征组中的第一特征至少包括：源IP、源端口、目的IP、报文类型、报文类型顺序、报文间隔时间和同类型报文的相似性。3.如权利要求1所述的方法，其特征在于，针对接收到的每个第一特征组，将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配包括：针对接收到的每个第一特征组，将该第一特征组中的每个第一特征按照重要程度进行排序；按顺序依次选定第一特征，将该第一特征与每个僵尸网络的特征库中的第二特征进行匹配；所述将匹配成功的特征库对应的地址信息发送至所述防护设备包括：识别第一特征匹配成功数量最多的第一特征组，将所述匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库，将所述匹配成功的特征库对应的地址信息发送至所述防护设备。4.如权利要求3所述的方法，其特征在于，所述识别第一特征匹配成功数量最多的第一特征组之后，将所述匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库之前，所述方法还包括：判断第一特征匹配成功数量最多的第一特征组对应的特征库的地址信息的数量是否大于预设的第一数量阈值，如果否，将所述匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库。5.如权利要求4所述的方法，其特征在于，如果第一特征匹配成功数量最多的第一特征组对应的特征库的地址信息的数量大于预设的第一数量阈值，所述方法还包括：统计预设的第二时间长度内每个地址信息发起攻击的次数；按照发起攻击次数由高到低选取预设的第二数量的地址信息作为活跃地址信息；确定第一特征匹配成功数量最多的每个第一特征组对应的地址库，选取所述地址库中的活跃地址信息发送至所述防护设备。6.如权利要求1所述的方法，其特征在于，如果不存在匹配成功的第一特征组，所述方法还包括：统计预设的第二时间长度内每个地址信息发起攻击的次数；按照发起攻击次数由高到低选取预设的第二数量的地址信息作为活跃地址信息；将所述活跃地址信息发送至所述防护设备。7.如权利要求1所述的方法，其特征在于，所述方法还包括：接收所述防护设备发送的第三特征；其中，所述第三特征是所述防护设备对接收到的僵尸网络的地址信息对应的终端发送的报文进行特征提取得到的；将所述第三特征保存至对应的僵尸网络的特征库。8.一种僵尸网络DDoS攻击的防护方法，其特征在于，所述方法包括：针对预设数量的每个终端，接收该终端发送的报文，对所述报文进行特征提取，确定所述报文的第一特征组；并将所述报文的第一特征组发送至服务器；判断是否接收到所述服务器发送的地址信息；其中，所示地址信息是所述服务器针对接收到的每个第一特征组，将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配，匹配成功的地址库对应的地址信息；如果是，将所述地址信息加入黑名单，丢弃所述地址信息对应的终端发送的报文。9.如权利要求8所述的方法，其特征在于，所述针对预设数量的每个终端，接收该终端发送的报文，对所述报文进行特征提取之前，所述方法还包括：针对预设数量的每个终端，当接收到该终端发送的请求报文，向该终端发送响应报文；判断在预设的第一时间长度内，是否接收到该终端发送的确认报文，如果是，进行后续步骤。10.如权利要求8所述的方法，其特征在于，接收该终端发送的报文，对所述报文进行特征提取，确定所述报文的第一特征组包括：对该终端发送的任意报文进行特征提取，确定所述报文的源IP、源端口、目的IP、报文类型；对该终端在预设的时间长度内发送的每个报文依次进行特征提取，确定每个报文的报文类型并统计每个报文的时间戳；根据每个报文的报文类型确定报文类型顺序，并确定同类型报文的相似性，根据每个报文的时间戳确定报文间隔时间；将所述源IP、源端口、目的IP、报文类型、文类型顺序、报文间隔时间和同类型报文的相似性分别作为第一特征并构成第一特征组。11.如权利要求8所述的方法，其特征在于，接收到所述服务器发送的地址信息之后，丢弃所述地址信息对应的终端发送的报文之前，所述方法还包括：对接收到的僵尸网络的地址信息对应的终端发送的报文进行特征提取，确定所述报文的第三特征；将所...

【专利技术属性】
技术研发人员：张磊，何坤，
申请(专利权)人：北京神州绿盟信息安全科技股份有限公司，北京神州绿盟科技有限公司，
类型：发明
国别省市：北京,11