本申请提供用于检测进化DDoS攻击的新型云蜜罐方法及架构,所述方法包括:将恶意流量和/或可疑流量分别引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器;通过多个不同类型的所述蜜罐系统同时对恶意流量和/或可疑流量进行监测分析,并分别记录各自对应的监测分析结果日志;各所述蜜罐系统分别将各自记录的所述监测分析结果日志上传至远程日志服务器,以供用户通过所述远程日志服务器中的多个监测分析结果日志对DDoS攻击进行分析判断。本发明专利技术利用不同类型的每个蜜罐系统都会同一时间对恶意流量进行采样分析,并把分析和监控结果记录在日志中,上传到远程日志服务器中,不同类型的蜜罐生成不同的日志将大大提升蜜罐对于进化的DDoS攻击的分析和监控。
【技术实现步骤摘要】
用于检测进化DDoS攻击的新型云蜜罐方法及架构
本申请涉及计算机网络
,特别是涉及网络安全防御
技术介绍
在现如今计算机网络技术迅猛发展的当下,云计算和物联网已经正在逐渐改变着每个人的生活方式和工作方式。相对的就是,网络安全问题,云计算安全和物联网安全威胁已经变得越来越严重。针对物联网和云计算的攻击频率越来越高,危害与日俱增其中以消耗网络资源为目的的入侵行为尤其突出。分布式拒绝服务(DDoS:DistributedDenialofService)攻击就是典型的网络资源消耗为目的的入侵行为攻击。如今它已经对互联网构成了巨大的威胁。因此推动了相应的防御机制的迅速出现和发展。但是攻击者不断开发和改进其恶意方法技术和工具来攻击这些安全系统。例如2013年3月攻击者利用DNS反射放大攻击对反垃圾邮件公司Spamhais发动了一次破坏性的攻击,期间DDoS攻击所产生的垃圾流量峰值达到了300Gbps。此外在2016年10月多路攻击者使用了不同的DDoS攻击方式组成了一个混合协同DDoS攻击模式对DNS服务商Dyn公司进行了破坏性的攻击,造成了无法挽回的损失。最后在2018年GitHub网站遭受到了一次巨大的DDoS攻击,这是迄今为止最大的有目的DDoS攻击,其峰值达到了1.35Tbps。从上述例子中可以看出DDoS的攻击方法变的越来越复杂,其攻击力变的更具有破坏性。随着物联网和云计算的不断发展,攻击者也瞄准了这一领域,新技术的崛起也伴随着很多安全问题的浮现,最近的趋势显示,利用物联网(IoT)和人工智能(AI)的DDoS攻击数量显著增加。AI正在显著改变DDoS攻击的模式,现代化的DDoS攻击模式将利用IoT设备来组建其僵尸网络与AI相结合能够适应不断变化的现有防御体系。因此,检测和防御此类DDoS攻击变得越来越复杂和困难。现如今的大部分DDoS的防御体系都是被动防御架构,需要先等待攻击者实施攻击然后才进行防御,而此类防御方案无法应对未来智能化的产生超级巨大垃圾流量的DDoS攻击。如图1所示,传统防御依赖于防火墙1来制作策略,正常流量、可疑流量、恶意流量经过防火墙1、入侵检测系统2和网络控制系统3进行防御。而问题在于一般的网络资源消耗攻击和普通的大流量访问是很难区别的,此外这种攻击也不是传统的病毒攻击,就算加入了入侵检测系统也并不能完全确保流量区分,另外对于Tbps级别的流量更是无法承载,这样直接就导致了网络瘫痪,造成的损失将无法估量。申请内容鉴于以上所述现有技术的缺点,本申请的目的在于提供用于检测进化DDoS攻击的新型云蜜罐方法及架构,用于解决现有技术中无法有效检测不断演变的新型DDoS攻击和协作DDoS攻击的技术问题。为实现上述目的及其他相关目的,本申请提供一种用于检测进化DDoS攻击的新型云蜜罐方法,所述用于检测进化DDoS攻击的新型云蜜罐方法包括:将恶意流量和/或可疑流量分别引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器;通过云蜜罐服务器中多个不同类型的所述蜜罐系统同时对恶意流量和/或可疑流量进行监测分析,并分别记录各自对应的监测分析结果日志;各所述蜜罐系统分别将各自记录的所述监测分析结果日志上传至远程日志服务器,以供用户通过所述远程日志服务器中的多个监测分析结果日志对DDoS攻击进行分析判断。于本申请的一实施例中,所述用于检测进化DDoS攻击的新型云蜜罐方法还包括:对超过流量最大阈值的恶意流量和/或可疑流量进行分割形成至少两个子流量,并分别将分割的所述子流量引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器。于本申请的一实施例中,在将记录的所述监测分析结果上传至远程日志服务器过程中使用TCP套接字层和缓冲区域,并对上传的通道进行加密。于本申请的一实施例中,多个不同类型的蜜罐系统为产品型蜜罐系统、研究型蜜罐系统、低交互蜜罐系统和高交互蜜罐系统之间的组合。于本申请的一实施例中,对恶意流量和/或可疑流量进行的监测分析包括:网络欺骗分析、端口重定向分析、恶意行为报警、数据控制、数据捕获以及DDoS特征签名匹配中的多种组合。为实现上述目的及其他相关目的,本申请还提供一种用于检测进化DDoS攻击的新型云蜜罐架构,所述用于检测进化DDoS攻击的新型云蜜罐架构包括:防火墙、检测引流设备、由多个不同类型的蜜罐系统形成的云蜜罐服务器以及远程日志服务器;所述防火墙用于对网络访问进行筛查过滤;所述检测引流设备用于对网络访问的流量进行检测筛选,并将筛选出来的恶意流量和/或可疑流量分别引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器;所述云蜜罐服务器中所述多个不同类型的蜜罐系统同时对恶意流量和/或可疑流量进行监测分析并生成各自对应的监测分析结果日志,各所述蜜罐系统分别将各自记录的所述监测分析结果日志上传至所述远程日志服务器,以供用户通过所述远程日志服务器中的多个监测分析结果日志对DDoS攻击进行分析判断。于本申请的一实施例中,所述用于检测进化DDoS攻击的新型云蜜罐架构还包括:负载均衡设备,用于对超过流量最大阈值的恶意流量和/或可疑流量进行分割形成至少两个子流量,并分别将分割的所述子流量引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器。于本申请的一实施例中,各所述蜜罐系统在将记录的所述监测分析结果上传至远程日志服务器过程中使用TCP套接字层和缓冲区域,并对上传的通道进行加密。于本申请的一实施例中,所述蜜罐系统包括:数据捕获模块,用于对恶意流量和/或可疑流量进行数据捕获;数据控制模块,用于对恶意流量和/或可疑流量进行数据控制;网络欺骗分析模块,用于对恶意流量和/或可疑流量进行网络欺骗分析;端口重定向分析模块,用于对恶意流量和/或可疑流量进行端口重定向分析;恶意行为报警功能模块,用于对恶意流量和/或可疑流量进行恶意行为报警;DDoS特征签名匹配模块,用于对恶意流量和/或可疑流量进行DDoS特征签名匹配。将各类型的蜜罐分别安装于VMwareEXSi中,形成多个不同类型的蜜罐系统,通过VMwarevCenter服务管理设备将各不同类型的蜜罐系统串联,形成所述云蜜罐服务器。如上所述,本申请的用于检测进化DDoS攻击的新型云蜜罐方法及架构,具有以下有益效果:本专利技术利用不同类型的蜜罐系统整合形成云蜜罐服务器,每个蜜罐系统都会同一时间对恶意流量进行采样分析,并把分析和监控结果记录在日志中,然后上传到已经分类好的加密远程日志服务器中,这样可以有效地避免日志遭到攻击者的破坏,不同类型的蜜罐系统将生成不同的日志这将大大提升了蜜罐对不断演变的新型DDoS攻击和协作DDoS攻击进行精确的分析判断和监控。附图说明图1显示为现有技术中网络防御的架构示意图。图2显示为现有技术中标准的蜜罐服务器架构示意图。图3显示为本申请一实施例中用于检测进化DDoS攻击的新型云蜜罐方法的流程示意图。图4显示为本申请一实施例中的用于检测进化DDoS攻击的新型云蜜罐架构的原理框图。图5显示为本申请一实施例中蜜罐服务器与远程日志服务器的通本文档来自技高网...
【技术保护点】
1.一种用于检测进化DDoS攻击的新型云蜜罐方法,其特征在于:所述用于检测进化DDoS攻击的新型云蜜罐方法包括:/n将恶意流量和/或可疑流量分别引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器;/n通过云蜜罐服务器中多个不同类型的所述蜜罐系统同时对恶意流量和/或可疑流量进行监测分析,并分别记录各自对应的监测分析结果日志;/n各所述蜜罐系统分别将各自记录的所述监测分析结果日志上传至远程日志服务器,以供用户通过所述远程日志服务器中的多个监测分析结果日志对DDoS攻击进行分析判断。/n
【技术特征摘要】
1.一种用于检测进化DDoS攻击的新型云蜜罐方法,其特征在于:所述用于检测进化DDoS攻击的新型云蜜罐方法包括:
将恶意流量和/或可疑流量分别引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器;
通过云蜜罐服务器中多个不同类型的所述蜜罐系统同时对恶意流量和/或可疑流量进行监测分析,并分别记录各自对应的监测分析结果日志;
各所述蜜罐系统分别将各自记录的所述监测分析结果日志上传至远程日志服务器,以供用户通过所述远程日志服务器中的多个监测分析结果日志对DDoS攻击进行分析判断。
2.根据权利要求1所述的用于检测进化DDoS攻击的新型云蜜罐方法,其特征在于:所述用于检测进化DDoS攻击的新型云蜜罐方法还包括:
对超过流量最大阈值的恶意流量和/或可疑流量进行分割形成至少两个子流量,并分别将分割的所述子流量引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器。
3.根据权利要求1所述的用于检测进化DDoS攻击的新型云蜜罐方法,其特征在于:在将记录的所述监测分析结果上传至远程日志服务器过程中使用TCP套接字层和缓冲区域,并对上传的通道进行加密。
4.根据权利要求1所述的用于检测进化DDoS攻击的新型云蜜罐方法,其特征在于:多个不同类型的蜜罐系统为产品型蜜罐系统、研究型蜜罐系统、低交互蜜罐系统和高交互蜜罐系统之间的组合。
5.根据权利要求1所述的用于检测进化DDoS攻击的新型云蜜罐方法,其特征在于:对恶意流量和/或可疑流量进行的监测分析包括:网络欺骗分析、端口重定向分析、恶意行为报警、数据控制、数据捕获以及DDoS特征签名匹配中的多种组合。
6.一种用于检测进化DDoS攻击的新型云蜜罐架构,其特征在于:所述用于检测进化DDoS攻击的新型云蜜罐架构包括:防火墙、检测引流设备、由多个不同类型的蜜罐系统形成的云蜜罐服务器以及远程日志服务器;
所述防火墙用于对网络访问进行筛查过滤;
所述检测引流设备用于对网络访问的流量进...
【专利技术属性】
技术研发人员:黄筱俊,
申请(专利权)人:黄筱俊,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。