專利名稱：：網(wǎng)絡(luò)攻擊處理方法及處理裝置的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及通信
技術(shù)領(lǐng)域：
，具體涉及一種網(wǎng)絡(luò)攻擊處理方法及處理裝置。技術(shù)背景DDOS(DistributedDenialofService,分布式拒絕服務(wù)攻擊)攻擊是泛洪(flood)攻擊的其中一種，主要是指攻擊者利用主控主機做跳板(可能多級多層)，控制大量受感染的主機組成攻擊網(wǎng)絡(luò)對受害主機進行大規(guī)^f莫的拒絕服務(wù)攻擊。這種攻擊往往能把單個攻擊者的攻擊以級數(shù)形式進行放大，從而對受害主機造成重大影響，也造成網(wǎng)絡(luò)嚴(yán)重擁塞?，F(xiàn)有技術(shù)中檢測出DDOS攻擊有多種方式，例如流量異常檢測、發(fā)包頻率檢測、特征報文檢測等。流量異常檢測主要根據(jù)各種協(xié)議流量在正常情況下是相對平穩(wěn)變化的，只有在受到特定攻擊時候才會發(fā)生明顯的突變的原理進行檢測。通過采集流量后進行流量統(tǒng)計，進行流量模型的分析，然后把分析結(jié)果和初始分析模型進行比對，兩者的差異如果大于閾值則認為異常。發(fā)包頻率檢測是通過統(tǒng)計發(fā)包頻率，將統(tǒng)計結(jié)果和閾值進行比較，如果大于閾值則認為異常。特征報文^r測主要是根據(jù)已經(jīng)建立好的攻擊特征庫，對接收的報文進行特征匹配，識別出攻擊報文或控制報文后，則確定為異常。在對現(xiàn)有技術(shù)的研究和實踐過程中，發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)存在以下問題現(xiàn)有技術(shù)檢測方法檢測出DDOS攻擊時所得到的信息只是整個DDOS攻擊中的某一孤立事件，例如要么是某些控制報文或攻擊報文，要么是受害主機的某幾種協(xié)議的流量大規(guī)模異常等等，但實際上這些事件是密切關(guān)聯(lián)的，現(xiàn)有技術(shù)并沒有將這些孤立事件綜合考慮，因此無法提供完整的網(wǎng)絡(luò)攻擊拓樸，不能發(fā)現(xiàn)真正的攻擊纟乘控者。
發(fā)明內(nèi)容本發(fā)明實施例要解決的技術(shù)問題是提供一種網(wǎng)絡(luò)攻擊處理方法及處理裝置，能夠提供完整的網(wǎng)絡(luò)攻擊拓樸，發(fā)現(xiàn)真正的攻擊組織控制者。為解決上述技術(shù)問題，本發(fā)明所提供實施例是通過以下技術(shù)方案實現(xiàn)的本發(fā)明實施例提供一種網(wǎng)絡(luò)攻擊處理方法，包括確定被攻擊目標(biāo)后，查找記錄的與所述被攻擊目標(biāo)相關(guān)的攻擊事件，確定攻擊網(wǎng)絡(luò)中的受控主機；根據(jù)所述受控主機查找記錄的與所述受控主機相關(guān)的控制事件，確定攻擊網(wǎng)絡(luò)中的控制主機；將檢測出與多臺控制主機進行相同通信的主機確定為攻擊操控者。本發(fā)明實施例提供一種處理裝置，包括攻擊對象建模模塊，用于確定被攻擊目標(biāo)；拓樸模塊，用于在所述攻擊對象建模模塊確定被攻擊目標(biāo)后，查找記錄的與所述^^皮攻擊目標(biāo)相關(guān)的攻擊事件，確定攻擊網(wǎng)絡(luò)中的受控主才幾；根據(jù)所述受控主機查找記錄的與所述受控主機相關(guān)的控制事件，確定攻擊網(wǎng)絡(luò)中的控制主機；通信分析模塊，用于將檢測出與多臺控制主機進行相同通信的主機確定為攻擊操控者。上述技術(shù)方案可以看出，本發(fā)明實施例技術(shù)方案是在確定被攻擊目標(biāo)后，查找記錄的與所述被攻擊目標(biāo)相關(guān)的攻擊事件，確定攻擊網(wǎng)絡(luò)中的受控主才凡；根據(jù)所述受控主機查找記錄的與所述受控主機相關(guān)的控制事件，確定攻擊網(wǎng)絡(luò)中的控制主機；將檢測出與多臺控制主機進行相同通信的主機確定為攻擊操控者，從而利用關(guān)聯(lián)分析技術(shù)把獲得的孤立事件關(guān)聯(lián)起來分析，得出一個完整的攻擊網(wǎng)絡(luò)的拓樸關(guān)系，發(fā)現(xiàn)真正的攻擊搮:控者。圖l是本發(fā)明實施例網(wǎng)絡(luò)攻擊處理方法流程圖；圖2是本發(fā)明實施例數(shù)據(jù)表DBTT中主要內(nèi)容的邏輯結(jié)構(gòu)示意圖；圖3是本發(fā)明實施例處理裝置結(jié)構(gòu)示意圖。具體實施方式本發(fā)明實施例提供了一種網(wǎng)絡(luò)攻擊處理方法，用于提供完整的網(wǎng)絡(luò)攻擊拓樸，從而發(fā)現(xiàn)真正的攻擊操控者。本發(fā)明實施例中設(shè)置事件收集模塊，主要是從日志記錄中讀取相關(guān)事件的日志信息，可以通過在數(shù)據(jù)庫中按要求進行過濾得到。本發(fā)明實施例所指的相關(guān)事件主要是指5類協(xié)議流量異常事件、頻率超限事件、DDOS攻擊事件、連接耗盡事件和DDOS控制事件。以下先對這些事件的信息進行介紹。請參閱表項l,為頻率超限事件正文段數(shù)據(jù)結(jié)構(gòu)目的源目的源協(xié)議發(fā)包累計IPIP端口端口類型頻率數(shù)量表項1表項1中，發(fā)包頻率表示發(fā)送數(shù)據(jù)包的快慢，累計數(shù)量表示該類型的數(shù)據(jù)包在老化時間內(nèi)積累的數(shù)目。請參閱表項2，為連接耗盡事件正文段數(shù)據(jù)結(jié)構(gòu)目的源目的源協(xié)議連接累計IPIP端口端口類型頻率數(shù)量表項2表項2中，連接頻率表示某主機和目標(biāo)主機間連接的快慢，累計數(shù)量表示在老化時間內(nèi)連接的累計次數(shù)。連接耗盡事件描述的通信狀態(tài)主要是指某主機針對某目標(biāo)主機短時間內(nèi)形成大量連接，超過連接頻率和累計數(shù)量的閾值。請參閱表項3,為DDOS攻擊事件正文段數(shù)據(jù)結(jié)構(gòu):目的源目的源協(xié)議DDOS攻擊觸犯IPIP端口端口類型名稱類型規(guī)則表項3表項3中，DDOS名稱主要是指在單包的DDOS特征報文檢測中，通過匹配攻擊規(guī)則成功后得出是哪種工具發(fā)起的DDOS攻擊命令，攻擊類型指其采用的具體攻擊類型，觸犯規(guī)則主要是指匹配成功的攻擊規(guī)則。請參閱表項4,為DDOS控制事件正文段數(shù)據(jù)結(jié)構(gòu)目的源目的源協(xié)議DDOS控制觸犯IPIP端口端口類型名稱類型規(guī)則表項4表項4中，ddos名稱主要是指在單包的ddos特征報文檢測中，通過匹配控制規(guī)則成功后得出是哪種工具發(fā)起的ddos控制命令，控制類型指其采用的具體控制類型，觸犯規(guī)則主要是指該匹配成功的控制規(guī)則。表項5為協(xié)議流量異常事件正文段數(shù)據(jù)結(jié)構(gòu)<table>tableseeoriginaldocumentpage8</column></row><table>表項5表項5中，流量數(shù)值指當(dāng)前流量數(shù)值，當(dāng)前閾值指的是動態(tài)閾值，動作標(biāo)記表示流量是否恢復(fù)正常，異常類別表示出現(xiàn)流量異常的類型。除事件收集模塊外，本發(fā)明實施例還設(shè)置攻擊對象建模模塊、攻擊關(guān)聯(lián)模塊、控制關(guān)聯(lián)模塊、拓樸模塊、輸出模塊、通信分析模塊。以下結(jié)合流程圖詳細介紹本發(fā)明實施例網(wǎng)絡(luò)攻擊處理方法。請參閱圖l,是本發(fā)明實施例網(wǎng)絡(luò)攻擊處理方法流程圖，包括步驟步驟IOI、確定#1攻擊目標(biāo)；攻擊對象建模模塊通過讀取事件收集模塊中流量異常事件的信息，根據(jù)定的被攻擊目標(biāo)一般采用ip地址表示。確定被攻擊目標(biāo)后，攻擊對象建才莫模塊再創(chuàng)建相關(guān)資源，并將確定的被攻擊目標(biāo)通知拓樸^f莫塊。步驟102、根據(jù)確定的被攻擊目標(biāo)查找出與其相關(guān)的攻擊事件集合，建立僵尸主才幾表；拓樸模塊以確定的被攻擊目標(biāo)的ip地址為匹配條件，遍歷攻擊關(guān)聯(lián)模塊記錄的攻擊實時列表,從中找出所有以該ip地址為攻擊對象的攻擊事件集合，根據(jù)攻擊事件中的攻擊報文建立臨時的僵尸主機表。攻擊關(guān)聯(lián)模塊的攻擊實時列表是根據(jù)事件收集模塊中收集的各事件信息，并按照目的ip地址分類整理后建立。這里所述的各事件主要包括頻率超限事件、ddos攻擊事件和連接耗盡事件，各事件的信息可以通過上面描述的各表項體現(xiàn)。步驟103、根據(jù)僵尸主機的地址查找與其相關(guān)的控制事件集合，建立控制事件與攻擊事件的關(guān)聯(lián)，形成基本的拓樸數(shù)據(jù)表DBTT(DDOSBotnetTopologyTable);拓樸模塊根據(jù)建立的僵尸主機表，以僵尸主機的IP地址為匹配條件，遍歷控制關(guān)聯(lián)模塊中記錄的所有的控制實時列表，從中找出所有以該IP地址為控制對象的控制事件集合，建立控制事件與已找出的攻擊事件的關(guān)聯(lián)，也就是將根據(jù)控制報文確定的控制主機與僵尸主機表中的僵尸主機進行關(guān)聯(lián)，從而形成基本的拓樸數(shù)據(jù)表DBTT,后續(xù)則根據(jù)變化動態(tài)維護該DBTT?？刂脐P(guān)聯(lián)模塊的控制實時列表是根據(jù)事件收集模塊中收集的DDOS控制事件信息，把各種控制事件根據(jù)源IP地址分類整理后建立。步驟104、對數(shù)據(jù)表DBTT中的控制主機進行通信信息分析，確定操控者。拓樸模塊形成基本的DBTT后，通信分析模塊對DBTT中的多臺控制機主機進行通信信息(包括數(shù)據(jù)信息和連接信息等)的分析，查找出與這些控制主機進行相同通信的主機，判斷該主機為發(fā)起攻擊的操控者，將該主機的IP地址確定為4喿控者IP地址。通信分析模塊確定發(fā)起攻擊的操控者后，將操控者IP地址返回給拓樸模塊，由拓樸模塊記錄到DBTT中，形成最終的DBTT。請參閱圖2，是本發(fā)明實施例DBTT中主要內(nèi)容的邏輯結(jié)構(gòu)示意圖。如圖2所示，所述邏輯結(jié)構(gòu)主要包括三個層次。第一層次是操控者IP地址，第二層次是控制主機的相關(guān)信息，包括IP地址、控制方式、控制次數(shù)、有效標(biāo)記等。第三層次則是僵尸主機的相關(guān)信息，包括IP地址、類型、攻擊IP組、有效標(biāo)記等。操控者IP地址借助獲取控制主機的通信信息來確定，而控制主機則通過獲取對僵尸主機的控制報文確定，僵尸主機通過獲取攻擊報文確定。第三層次中的類型表示該僵尸主機屬于哪種僵尸類別，攻擊IP組則是歷史記錄中其攻擊的目的IP的集合，有效標(biāo)記則表示該條記錄是否有效。當(dāng)通過上述步驟完成DBTT后，可以由輸出^f莫塊將DBTT依照策略定時或者實時形成黑名單后向外輸出，用于指導(dǎo)后續(xù)對攻擊行為的處理，例如進行流量清洗等。通過上述內(nèi)容的介紹，可以發(fā)現(xiàn)，本發(fā)明實施例技術(shù)方案通過利用關(guān)聯(lián)分析技術(shù)把獲得的孤立事件進行關(guān)聯(lián)分析，從而得出整個DDOS攻擊網(wǎng)絡(luò)的完整體系，發(fā)現(xiàn)真正的攻擊操控者，并能更方便的對整個DDOS攻擊網(wǎng)絡(luò)進行監(jiān)控、跟蹤，為后續(xù)的流量清洗、攻擊反制、法律訴訟提供信息。另外，即使攻擊組織控制者在發(fā)起攻擊中應(yīng)變策略，例如攻擊一段時間后停止攻擊，然后再發(fā)起攻擊，或者時而采用一種攻擊方法，時而又采用另外一種方法，或者操控者經(jīng)常轉(zhuǎn)換IP，本發(fā)明實施例的技術(shù)方案通過最終形成的DBTT都可以反映出來，從而仍然可以解決這個問題。上述內(nèi)容詳細介紹了本發(fā)明實施例網(wǎng)絡(luò)攻擊處理方法，相應(yīng)的，本發(fā)明實施例提供一種處理裝置。請參閱圖3，是本發(fā)明實施例處理裝置結(jié)構(gòu)示意圖。如圖3所示，處理裝置包括攻擊對象建模模塊301、拓樸模塊302、通信分析模塊303。攻擊對象建模模塊301,用于確定被攻擊目標(biāo)。拓樸模塊302,用于在所述攻擊對象建模模塊確定被攻擊目標(biāo)后，查找記錄的與所述被攻擊目標(biāo)相關(guān)的攻擊事件，確定攻擊網(wǎng)絡(luò)中的受控主機；根據(jù)所述受控主機查找記錄的與所述受控主機相關(guān)的控制事件，確定攻擊網(wǎng)絡(luò)中的控制主機。通信分析模塊303,用于將檢測出與多臺控制主機進行相同通信的主機確定為攻擊操控者。處理裝置進一步包括事件收集模塊304。事件收集模塊304,用于根據(jù)預(yù)設(shè)條件從日志記錄中收集事件信息；所述攻擊對象建模模塊301根據(jù)事件收集模塊304中收集的流量異常事件的優(yōu)先級信息確定被攻擊目標(biāo)。處理裝置進一步包括攻擊關(guān)聯(lián)模塊305。攻擊關(guān)聯(lián)模塊305，用于將所述事件收集模塊304中的多種事件的信息按目的IP地址分類整理后建立攻擊實時列表，其中所述多種事件包括頻率超限事件、DDOS攻擊事件和連接耗盡事件；所述拓樸模塊302是在所述攻擊實時列表中查找記錄的與所述^C攻擊目標(biāo)相關(guān)的攻擊事件。處理裝置進一步包括控制關(guān)聯(lián)模塊306。控制關(guān)聯(lián)模塊306，用于將所述事件收集模塊304中的各種控制事件的信息按源IP地址分類整理后建立控制實時列表；所述拓樸模塊302是在所述控制實時列表中根據(jù)所述受控主機查找記錄的與所述受控主機相關(guān)的控制事件。進一步的，所述處理裝置中的拓樸模塊302包括第一處理單元3021和第二處理單元3022。第一處理單元3021，用于在所述攻擊關(guān)聯(lián)模塊305建立的攻擊實時列表中，以被攻擊目標(biāo)的IP地址為匹配條件，查找出將所述被攻擊目標(biāo)作為攻擊對象的攻擊事件，確定攻擊網(wǎng)絡(luò)中的受控主機。第二處理單元3022，用于在所述控制關(guān)聯(lián)模塊306建立的控制實時列表中，以受控主機的IP地址為匹配條件，查找出將所述受控主機作為控制對象的控制事件，確定攻擊網(wǎng)絡(luò)中的控制主機。處理裝置進一步包括輸出模塊307。上述得出的受控主機、控制主機和攻擊操控者由拓樸模塊302組成一個拓樸數(shù)據(jù)表DBTT,輸出模塊307將DBTT依照策略定時或者實時形成黑名單后向外輸出，用于指導(dǎo)后續(xù)對攻擊行為的處理，例如進行流量清洗等。綜上所述，本發(fā)明實施例技術(shù)方案是在確定被攻擊目標(biāo)后，查找記錄的與所述被攻擊目標(biāo)相關(guān)的攻擊事件，確定攻擊網(wǎng)絡(luò)中的受控主機；根據(jù)所述受控主機查找記錄的與所述受控主機相關(guān)的控制事件，確定攻擊網(wǎng)絡(luò)中的控制主機；將檢測出與多臺控制主機進行相同通信的主機確定為攻擊操控者，從而利用關(guān)聯(lián)分析技術(shù)把獲得的孤立事件關(guān)聯(lián)起來分析，得出一個完整的攻擊網(wǎng)絡(luò)的拓樸關(guān)系，發(fā)現(xiàn)真正的攻擊操控者。以上對本發(fā)明實施例所提供的一種網(wǎng)絡(luò)攻擊處理方法及處理裝置進行了詳細介紹，對于本領(lǐng)域的一般技術(shù)人員，依據(jù)本發(fā)明實施例的思想，在具體實施方式及應(yīng)用范圍上均會有改變之處，綜上所述，本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制。權(quán)利要求1.一種網(wǎng)絡(luò)攻擊處理方法，其特征在于，包括確定被攻擊目標(biāo)后，查找記錄的與所述被攻擊目標(biāo)相關(guān)的攻擊事件，確定攻擊網(wǎng)絡(luò)中的受控主機；根據(jù)所述受控主機查找記錄的與所述受控主機相關(guān)的控制事件，確定攻擊網(wǎng)絡(luò)中的控制主機；將檢測出與多臺控制主機進行相同通信的主機確定為攻擊操控者。2、根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)攻擊處理方法，其特征在于所述確定纟皮攻擊目標(biāo)具體是一艮據(jù)流量異常事件的優(yōu)先級信息來確定。3、根據(jù)權(quán)利要求1或2所述的網(wǎng)絡(luò)攻擊處理方法，其特征在于所述查找記錄的與所述^^皮攻擊目標(biāo)相關(guān)的攻擊事件具體為在建立的攻擊實時列表中，以被攻擊目標(biāo)的IP地址為匹配條件，查找出將所述^^皮攻擊目標(biāo)作為攻擊對象的攻擊事件。4、根據(jù)權(quán)利要求3所述的網(wǎng)絡(luò)攻擊處理方法，其特征在于所述攻擊實時列表是將收集到的多種事件的信息按目的IP地址分類整理后得到；其中所述多種事件包括頻率超限事件、分布式拒絕服務(wù)DDOS攻擊事件和連接耗盡事件。5、根據(jù)權(quán)利要求1或2所述的網(wǎng)絡(luò)攻擊處理方法，其特征在于所述根據(jù)受控主機查找記錄的與所述受控主機相關(guān)的控制事件具體為在建立的控制實時列表中，以受控主機的IP地址為匹配條件，查找出將所述受控主機作為控制對象的控制事件。6、根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)攻擊處理方法，其特征在于所述控制實時列表是將收集到的各種控制事件的信息按源IP地址分類整理后得到。7、一種處理裝置，其特征在于，包括攻擊對象建模模塊，用于確定被攻擊目標(biāo)；拓樸模塊，用于在所述攻擊對象建模模塊確定被攻擊目標(biāo)后，查找記錄的與所述被攻擊目標(biāo)相關(guān)的攻擊事件，確定攻擊網(wǎng)絡(luò)中的受控主機；根據(jù)所述受控主機查找記錄的與所述受控主機相關(guān)的控制事件，確定攻擊網(wǎng)絡(luò)中的控制主才幾；通信分析模塊，用于將檢測出與多臺控制主機進行相同通信的主機確定為攻擊操控者。8、根據(jù)權(quán)利要求7所述的處理裝置，其特征在于，所述處理裝置進一步包括事件收集模塊，用于根據(jù)預(yù)設(shè)條件從曰志記錄中收集事件信息；所述攻擊對象建模模塊根據(jù)所述事件收集模塊中收集的流量異常事件的優(yōu)先級信息確定被攻擊目標(biāo)。9、根據(jù)權(quán)利要求8所述的處理裝置，其特征在于，所述處理裝置進一步包括攻擊關(guān)聯(lián)模塊，用于將所述事件收集模塊中的多種事件的信息按目的IP地址分類整理后建立攻擊實時列表；所述拓樸^f莫塊是在所述攻擊實時列表中查找記錄的與所述^C攻擊目標(biāo)相關(guān)的攻擊事件。10、根據(jù)權(quán)利要求8所述的處理裝置，其特征在于，所述處理裝置進一步包括控制關(guān)聯(lián)模塊，用于將所述事件收集模塊中的各種控制事件的信息按源IP地址分類整理后建立控制實時列表；所述拓樸模塊是在所述控制實時列表中根據(jù)所述受控主機查找記錄的與所述受控主機相關(guān)的控制事件。11、根據(jù)權(quán)利要求9或IO所述的處理裝置，其特征在于，所述拓樸模塊包括第一處理單元，用于在所述攻擊關(guān)聯(lián)模塊建立的攻擊實時列表中，以被攻擊目標(biāo)的IP地址為匹配條件，查找出將所述被攻擊目標(biāo)作為攻擊對象的攻擊事件，確定攻擊網(wǎng)絡(luò)中的受控主機；第二處理單元，用于在所述控制關(guān)聯(lián)模塊建立的控制實時列表中，以受控主機的IP地址為匹配條件，查找出將所述受控主機作為控制對象的控制事件，確定攻擊網(wǎng)絡(luò)中的控制主機。全文摘要本發(fā)明實施例公開一種網(wǎng)絡(luò)攻擊處理方法及處理裝置。所述方法包括確定被攻擊目標(biāo)后，查找記錄的與所述被攻擊目標(biāo)相關(guān)的攻擊事件，確定攻擊網(wǎng)絡(luò)中的受控主機；根據(jù)所述受控主機查找記錄的與所述受控主機相關(guān)的控制事件，確定攻擊網(wǎng)絡(luò)中的控制主機；將檢測出與多臺控制主機進行相同通信的主機確定為攻擊操控者。相應(yīng)的，本發(fā)明實施例還提供一種處理裝置。本發(fā)明實施例提供的技術(shù)方案能夠提供完整的網(wǎng)絡(luò)攻擊拓撲，發(fā)現(xiàn)真正的攻擊組織控制者。文檔編號H04L29/06GK101282340SQ20081009618公開日2008年10月8日申請日期2008年5月9日優(yōu)先權(quán)日2008年5月9日發(fā)明者武蔣申請人:華為技術(shù)有限公司