一种网络攻击溯源方法、装置、电子设备和存储介质制造方法及图纸

本申请涉及计算机网络安全技术领域，尤其涉及一种网络攻击溯源方法、装置、电子设备和存储介质，用以提高网络数据传输和保存的安全性，其中，方法包括：根据网络服务器集合中的各个网络服务器对扫描请求的应答结果，确定扫描请求发送方的网络地址信息与网络服务器的标识信息集合之间的对应关系；接收到攻击方通过网络服务器集合中的目标网络服务器发起的网络攻击时，获得各个目标网络服务器的标识信息；将由目标网络服务器的标识信息组合的标识信息集合对应网络地址信息确定为攻击方的网络地址信息。由于本申请基于网络服务器对扫描请求的应答结果建立网络服务器的标识信息集合与网络地址信息之间的对应关系，实现了攻击方网络地址的溯源。

A network attack tracing method, device, electronic equipment and storage medium

【技术实现步骤摘要】
一种网络攻击溯源方法、装置、电子设备和存储介质
本申请涉及计算机网络安全
，提供一种网络攻击溯源方法、装置、电子设备和存储介质。
技术介绍
在反射型DDoS(DistributedDenialofService，分布式拒绝服务攻击)中，由于攻击方并不直接攻击目标服务IP(InternetProtocol，网际协议)地址，而是利用互联网的某些特殊服务开放的服务器，将这些有开放服务的服务器作为反射源，通过伪造被攻击方的IP地址，向反射源发送构造的请求报文，因此反射源服务器在接收到请求报文后，会将数倍于请求报文的回复数据发送到被攻击方的IP地址。由于在反射型DDoS攻击中，反射源收到的地址是攻击方伪造的被攻击方的IP地址，而被攻击方收到的地址则是反射源的地址，因此无法知道真正发起攻击的攻击方的IP地址，造成反射型DDoS攻击的溯源极其困难。目前针对反射型DDoS攻击，还没有较好的攻击溯源方法。
技术实现思路
本申请实施例提供一种网络攻击溯源方法、装置、电子设备和存储介质，用以定位反射型DDoS攻击方的IP地址，提高网络数据传输和保存的安全性。本申请实施例提供的第一种网络攻击溯源方法，包括：根据至少一个网络服务器集合中的各个网络服务器对扫描请求的应答结果，确定扫描请求发送方的网络地址信息与网络服务器的标识信息集合之间的对应关系，每个标识信息集合包括对同一个网络地址信息的扫描请求做出应答的网络服务器的标识信息，每个网络服务器选择应答网络地址信息与自身标识信息满足设定匹配关系的扫描请求；接收到攻击方通过所述网络服务器集合中的目标网络服务器发起的网络攻击时，获得各个目标网络服务器的标识信息；根据所述对应关系，将由目标网络服务器的标识信息组合的标识信息集合对应网络地址信息，确定为所述攻击方的网络地址信息。本申请实施例提供的第二种网络攻击溯源方法，包括：接收发送方发送的扫描请求，并获取所述发送方的网络地址信息；当发送方的网络地址信息与自身标识信息满足设定匹配关系时，对扫描请求进行应答；在接收到所述发送方作为攻击方时发送的攻击请求后，向所述攻击请求中发送方网络地址信息对应的被攻击方发送回复数据以实现所述攻击方对所述被攻击方的网络攻击。本申请实施例提供的第一种网络攻击溯源装置，包括：关系建立单元，用于根据至少一个网络服务器集合中的各个网络服务器对扫描请求的应答结果，确定扫描请求发送方的网络地址信息与网络服务器的标识信息集合之间的对应关系，每个标识信息集合包括对同一个网络地址信息的扫描请求做出应答的网络服务器的标识信息，每个网络服务器选择应答网络地址信息与自身标识信息满足设定匹配关系的扫描请求；标识确定单元，用于接收到攻击方通过所述网络服务器集合中的目标网络服务器发起的网络攻击时，获得各个目标网络服务器的标识信息；攻击溯源单元，用于根据所述对应关系，将由目标网络服务器的标识信息组合的标识信息集合对应网络地址信息，确定为所述攻击方的网络地址信息。可选的，所述至少一个网络服务器集合中，每个网络服务器集合包括的网络服务器数量和网络地址信息的二进制编码位数相同，每个网络服务器的标识信息为排序序号；以及所述每个网络服务器选择应答网络地址信息与自身标识信息满足设定匹配关系的扫描请求，包括：每个网络服务器选择应答网络地址信息的二进制编码中比特值为1的比特位所在位置的排序与自身排序序号对应的扫描请求；或者每个网络服务器选择应答网络地址信息的二进制编码中比特值为0的比特位所在位置的排序与自身排序序号对应的扫描请求。本申请实施例提供的第二种网络攻击溯源装置，包括：接收单元，用于接收发送方发送的扫描请求，并获取所述发送方的网络地址信息；应答单元，用于当发送方的网络地址信息与自身标识信息满足设定匹配关系时，对扫描请求进行应答；回复单元，用于在接收到所述发送方作为攻击方时发送的攻击请求后，向所述攻击请求中发送方网络地址信息对应的被攻击方发送回复数据以实现所述攻击方对所述被攻击方的网络攻击。可选的，所述装置还包括：记录单元，用于基于扫描请求的应答结果生成用于记录所述扫描请求的网络流量日志。可选的，所述网络地址信息的二进制编码位数与自身所在的网络服务器集合中网络服务器的数量相同，所述网络服务器集合中每个网络服务器的标识信息为排序序号，所述设定匹配关系包括：发送方网络地址信息的二进制编码中任意一个比特值为1的比特位所在位置的排序与自身排序序号对应；或者发送方网络地址信息的二进制编码中任意一个比特值为0的比特位所在位置的排序与自身排序序号对应。本申请实施例提供的一种电子设备，包括处理器和存储器，其中，所述存储器存储有程序代码，当所述程序代码被所述处理器执行时，使得所述处理器执行上述任意一种网络攻击溯源方法的步骤。本申请实施例提供一种计算机可读存储介质，其包括程序代码，当所述程序产品在电子设备上运行时，所述程序代码用于使所述电子设备执行上述任意一种网络攻击溯源方法的步骤。本申请有益效果如下：本申请实施例提供的网络攻击溯源方法、装置、电子设备和存储介质，由于本申请实施例中设置网络服务器集合作为蜜罐来回复攻击方的攻击请求和扫描请求，并且对攻击方发送的请求进行记录，其中作为蜜罐的网络服务器在对攻击方发送的扫描请求做出应答时，是基于设定匹配关系确定的，根据攻击方的网络地址信息与自身标识信息之间是否满足设定匹配关系来进行应答，不同攻击方的网络地址不同，对应的做出应答的网络服务器也不相同，因而可以基于扫描请求的应答结果建立扫描请求发送方的网络地址信息与网络服务器的标识信息集合之间的对应关系，在被攻击方接收到攻击时，则根据目标网络服务器对其发送的请求报文获得各个目标网络服务器的标识信息，进而确定出目标网络服务器的标识信息所组成的标识信息集合，基于之前建立的对应关系则可确定出与目标网络服务器的标识信息组合的标识信息集合对应的网络地址信息，即本次攻击方的网络地址信息，在生成网络服务器的网络响应数据的前提下，实现对攻击方的网络地址的准确定位，从而保证网络数据传输和保存的安全性。本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。附图说明此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：图1为本申请实施例中的一种反射性DDoS攻击的示意图；图2为本申请实施例中的一种应用场景的一个可选的示意图；图3为本申请实施例中的一种网络攻击溯源方法的流程图；图4为本申请实施例中的另一种网络攻击溯源方法的流程图；图5为本申请实施例中的一种对应关系的一个可选的示意图；图6为本申请实施例中的另一本文档来自技高网...

【技术保护点】
1.一种网络攻击溯源方法，其特征在于，该方法包括：/n根据至少一个网络服务器集合中的各个网络服务器对扫描请求的应答结果，确定扫描请求发送方的网络地址信息与网络服务器的标识信息集合之间的对应关系，每个标识信息集合包括对同一个网络地址信息的扫描请求做出应答的网络服务器的标识信息，每个网络服务器选择应答网络地址信息与自身标识信息满足设定匹配关系的扫描请求；/n接收到攻击方通过所述网络服务器集合中的目标网络服务器发起的网络攻击时，获得各个目标网络服务器的标识信息；/n根据所述对应关系，将由目标网络服务器的标识信息组合的标识信息集合对应网络地址信息，确定为所述攻击方的网络地址信息。/n

【技术特征摘要】
1.一种网络攻击溯源方法，其特征在于，该方法包括：
根据至少一个网络服务器集合中的各个网络服务器对扫描请求的应答结果，确定扫描请求发送方的网络地址信息与网络服务器的标识信息集合之间的对应关系，每个标识信息集合包括对同一个网络地址信息的扫描请求做出应答的网络服务器的标识信息，每个网络服务器选择应答网络地址信息与自身标识信息满足设定匹配关系的扫描请求；
接收到攻击方通过所述网络服务器集合中的目标网络服务器发起的网络攻击时，获得各个目标网络服务器的标识信息；
根据所述对应关系，将由目标网络服务器的标识信息组合的标识信息集合对应网络地址信息，确定为所述攻击方的网络地址信息。


2.如权利要求1所述的方法，其特征在于，所述网络服务器集合包括至少两个，每个网络服务器集合中的标识信息一一对应，所述确定扫描请求发送方的网络地址信息与网络服务器的标识信息集合之间的对应关系，具体包括：
分别根据每个网络服务器集合获得对应关系；
将各个对应关系中同一网络地址信息对应的标识信息集合进行合并去除重复的标识信息。


3.如权利要求1所述的方法，其特征在于，通过下列方式获取所述各个网络服务器对扫描请求的应答结果：
获取所述各个网络服务器在预设统计时段内记录的网络流量日志，其中所述网络流量日志用于记录各个发送方在所述预设统计时段内向所述网络服务器发送的请求以及应答结果，所述请求至少包括扫描请求；
基于所述网络流量日志所记载请求的发送频率，筛选出所述网络流量日志中用于记录扫描请求的扫描日志；
获取所述扫描日志中记录的网络服务器对扫描请求的应答结果。


4.如权利要求3所述的方法，其特征在于，所述基于所述网络流量日志所记载请求的发送频率，筛选出所述网络流量日志中用于记录扫描请求的扫描日志，包括：
获取发送方网络地址信息相同的待分析网络流量日志；
若所述待分析网络流量日志所记载请求的发送频率小于预设频率阈值，则确定所述待分析网络流量日志为用于记录扫描请求的扫描日志。


5.如权利要求1～4任一项所述的方法，其特征在于，所述至少一个网络服务器集合中，每个网络服务器集合包括的网络服务器数量和网络地址信息的二进制编码位数相同，每个网络服务器的标识信息为排序序号；以及
所述每个网络服务器选择应答网络地址信息与自身标识信息满足设定匹配关系的扫描请求，包括：每个网络服务器选择应答网络地址信息的二进制编码中比特值为1的比特位所在位置的排序与自身排序序号对应的扫描请求；或者
每个网络服务器选择应答网络地址信息的二进制编码中比特值为0的比特位所在位置的排序与自身排序序号对应的扫描请求。


6.一种网络攻击溯源方法，其特征在于，该方法包括：
接收发送方发送的扫描请求，并获取所述发送方的网络地址信息；
当发送方的网络地址信息与自身标识信息满足设定匹配关系时，对扫描请求进行应答；
在接收到所述发送方作为攻击方时发送的攻击请求后，向所述攻击请求中发送方网络地址信息对应的被攻击方发送回复数据，以实现所述攻击方对所述被攻击方的网络攻击。


7.如权利要求6所述的方法，其特征在于，所述方法还包括：
基于扫描请求的应答结果生成用于记录所述扫描请求的网络流量日志。


8.如权利要求6或7所述的方法，其特征在于，所述网络地址信息的二进制编码位数与...

【专利技术属性】
技术研发人员：陈发贵，
申请(专利权)人：深圳市腾讯计算机系统有限公司，
类型：发明
国别省市：广东;44