【技术实现步骤摘要】
一种网络攻击溯源方法、装置、电子设备和存储介质
本申请涉及计算机网络安全
,提供一种网络攻击溯源方法、装置、电子设备和存储介质。
技术介绍
在反射型DDoS(DistributedDenialofService,分布式拒绝服务攻击)中,由于攻击方并不直接攻击目标服务IP(InternetProtocol,网际协议)地址,而是利用互联网的某些特殊服务开放的服务器,将这些有开放服务的服务器作为反射源,通过伪造被攻击方的IP地址,向反射源发送构造的请求报文,因此反射源服务器在接收到请求报文后,会将数倍于请求报文的回复数据发送到被攻击方的IP地址。由于在反射型DDoS攻击中,反射源收到的地址是攻击方伪造的被攻击方的IP地址,而被攻击方收到的地址则是反射源的地址,因此无法知道真正发起攻击的攻击方的IP地址,造成反射型DDoS攻击的溯源极其困难。目前针对反射型DDoS攻击,还没有较好的攻击溯源方法。
技术实现思路
本申请实施例提供一种网络攻击溯源方法、装置、电子设备和存储介质,用以定位反射型DDoS攻击方的IP地址,提高网络数据传输和保存的安全性。本申请实施例提供的第一种网络攻击溯源方法,包括:根据至少一个网络服务器集合中的各个网络服务器对扫描请求的应答结果,确定扫描请求发送方的网络地址信息与网络服务器的标识信息集合之间的对应关系,每个标识信息集合包括对同一个网络地址信息的扫描请求做出应答的网络服务器的标识信息,每个网络服务器选择应答网络地址信息与自身标识信息满足设定匹配关系的扫描请求; ...
【技术保护点】
1.一种网络攻击溯源方法,其特征在于,该方法包括:/n根据至少一个网络服务器集合中的各个网络服务器对扫描请求的应答结果,确定扫描请求发送方的网络地址信息与网络服务器的标识信息集合之间的对应关系,每个标识信息集合包括对同一个网络地址信息的扫描请求做出应答的网络服务器的标识信息,每个网络服务器选择应答网络地址信息与自身标识信息满足设定匹配关系的扫描请求;/n接收到攻击方通过所述网络服务器集合中的目标网络服务器发起的网络攻击时,获得各个目标网络服务器的标识信息;/n根据所述对应关系,将由目标网络服务器的标识信息组合的标识信息集合对应网络地址信息,确定为所述攻击方的网络地址信息。/n
【技术特征摘要】
1.一种网络攻击溯源方法,其特征在于,该方法包括:
根据至少一个网络服务器集合中的各个网络服务器对扫描请求的应答结果,确定扫描请求发送方的网络地址信息与网络服务器的标识信息集合之间的对应关系,每个标识信息集合包括对同一个网络地址信息的扫描请求做出应答的网络服务器的标识信息,每个网络服务器选择应答网络地址信息与自身标识信息满足设定匹配关系的扫描请求;
接收到攻击方通过所述网络服务器集合中的目标网络服务器发起的网络攻击时,获得各个目标网络服务器的标识信息;
根据所述对应关系,将由目标网络服务器的标识信息组合的标识信息集合对应网络地址信息,确定为所述攻击方的网络地址信息。
2.如权利要求1所述的方法,其特征在于,所述网络服务器集合包括至少两个,每个网络服务器集合中的标识信息一一对应,所述确定扫描请求发送方的网络地址信息与网络服务器的标识信息集合之间的对应关系,具体包括:
分别根据每个网络服务器集合获得对应关系;
将各个对应关系中同一网络地址信息对应的标识信息集合进行合并去除重复的标识信息。
3.如权利要求1所述的方法,其特征在于,通过下列方式获取所述各个网络服务器对扫描请求的应答结果:
获取所述各个网络服务器在预设统计时段内记录的网络流量日志,其中所述网络流量日志用于记录各个发送方在所述预设统计时段内向所述网络服务器发送的请求以及应答结果,所述请求至少包括扫描请求;
基于所述网络流量日志所记载请求的发送频率,筛选出所述网络流量日志中用于记录扫描请求的扫描日志;
获取所述扫描日志中记录的网络服务器对扫描请求的应答结果。
4.如权利要求3所述的方法,其特征在于,所述基于所述网络流量日志所记载请求的发送频率,筛选出所述网络流量日志中用于记录扫描请求的扫描日志,包括:
获取发送方网络地址信息相同的待分析网络流量日志;
若所述待分析网络流量日志所记载请求的发送频率小于预设频率阈值,则确定所述待分析网络流量日志为用于记录扫描请求的扫描日志。
5.如权利要求1~4任一项所述的方法,其特征在于,所述至少一个网络服务器集合中,每个网络服务器集合包括的网络服务器数量和网络地址信息的二进制编码位数相同,每个网络服务器的标识信息为排序序号;以及
所述每个网络服务器选择应答网络地址信息与自身标识信息满足设定匹配关系的扫描请求,包括:每个网络服务器选择应答网络地址信息的二进制编码中比特值为1的比特位所在位置的排序与自身排序序号对应的扫描请求;或者
每个网络服务器选择应答网络地址信息的二进制编码中比特值为0的比特位所在位置的排序与自身排序序号对应的扫描请求。
6.一种网络攻击溯源方法,其特征在于,该方法包括:
接收发送方发送的扫描请求,并获取所述发送方的网络地址信息;
当发送方的网络地址信息与自身标识信息满足设定匹配关系时,对扫描请求进行应答;
在接收到所述发送方作为攻击方时发送的攻击请求后,向所述攻击请求中发送方网络地址信息对应的被攻击方发送回复数据,以实现所述攻击方对所述被攻击方的网络攻击。
7.如权利要求6所述的方法,其特征在于,所述方法还包括:
基于扫描请求的应答结果生成用于记录所述扫描请求的网络流量日志。
8.如权利要求6或7所述的方法,其特征在于,所述网络地址信息的二进制编码位数与...
【专利技术属性】
技术研发人员:陈发贵,
申请(专利权)人:深圳市腾讯计算机系统有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。