System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind()
【技术实现步骤摘要】
本申请涉及通信,尤其涉及一种分布式拒绝服务攻击的监测方法及装置。
技术介绍
1、分布式拒绝服务(distributed denial of service,ddos)攻击是通过大规模互联网流量淹没目标服务器或其周边基础设施,以破坏目标服务器、服务或网络正常流量的恶意行为。
2、ddos攻击利用多台受损计算机系统作为攻击流量来源以达到攻击效果。利用的机器可以包括计算机,也可以包括其他联网资源(如iot设备)。
3、总体而言,ddos攻击好比高速公路发生交通堵塞,妨碍常规车辆抵达预定目的地。
4、ddos攻击是通过连接互联网的计算机网络进行的。这些网络由计算机和其他设备(例如iot设备)组成,它们感染了恶意软件,从而被攻击者远程控制。这些个体设备称为肉鸡(或僵尸主机),至少一组肉鸡组成僵尸网络。
5、一旦建立了僵尸网络,攻击者就可通过向每个“肉鸡”发送远程指令来发动攻击。当僵尸网络将受害者的服务器或网络作为目标时,每个“肉鸡”会将请求发送到目标的ip地址,这可能导致服务器或网络不堪重负,从而造成对正常流量的拒绝服务。
6、由于每个“肉鸡”都是合法的互联网设备,因而可能很难区分攻击流量与正常流量。
技术实现思路
1、本申请的实施例提供一种分布式拒绝服务攻击的监测方法及装置,降低ddos攻击的误报率,提高对ddos攻击监测的准确率。
2、第一方面,本申请实施例提供了一种分布式拒绝服务攻击的监测方法,包括获取多个种类的d
3、获取ddos僵尸木马样本的方式有多种,例如,通过爬虫、情报购买等方式大批量获取ddos僵尸木马样本。
4、本申请提供的ddos的监测方法,通过分析ddos僵尸木马样本,得到该ddos僵尸木马样本所属的僵尸网络对应的中控服务器地址和通信协议,根据该通信协议模拟僵尸主机与中控服务器通信,套取中控服务器发出的ddos攻击指令,通过分析攻击指令得到ddos攻击信息,基于ddos攻击信息对网络中的ddos攻击进行监测,提高对ddos攻击监测的准确率。
5、在一个可能的实现中,基于中控服务器的地址信息和通信协议信息与中控服务器建立通信连接的具体实现为:基于中控服务器的地址信息和通信协议信息,确定僵尸主机模拟程序;加载运行僵尸主机模拟程序,与中控服务器建立通信连接。
6、通过分析ddos僵尸木马得到的僵尸网络的通信协议信息和中控服务器的地址,确定僵尸模拟程序,通过模拟僵尸主机和中控服务器建立通信连接,以便于套取攻击指令。
7、在一个可能的实现中,加载运行所述僵尸主机模拟程序,与中控服务器建立通信连接,的具体实现为:将僵尸主机模拟程序进行插件化处理,得到僵尸主机模拟插件;构建第一容器镜像,第一容器镜像包括代理(agent)程序,代理程序加载僵尸主机模拟插件;运行第一容器镜像,与中控服务器建立通信连接。
8、在该可能的实现中,通过将僵尸主机模拟程序插件化,方便通过动态加载的方式加载到进程序中,容器化僵尸主机模拟程序,占用物理资源少,启动更迅速。
9、在另一个可能的实现中,中控服务器地址信息包括中控服务器的域名和通信端口,或中控服务器的ip地址和通信端口。
10、在另一个可能的实现中,通信协议信息包括握手信息、心跳信息、攻击指令信息和攻击载荷信息中的一种或多种。
11、在另一个可能的实现中,攻击信息包括攻击目标信息、攻击载荷信息、攻击事件信息和攻击时长信息中的一个或多个。
12、在一个示例中,本申请提供的分布式拒绝服务攻击的监测方法还包括基于攻击目标信息确定攻击目标节点,向攻击目标节点发送ddos预警。也就是说,在ddos攻击到来之前,向攻击目标发出攻击预警,以便攻击目标对攻击进行处置,提高对ddos攻击的响应和处置效率。
13、在另一个可能的实现中,本申请提供的分布式拒绝服务攻击的监测方法还包括:基于通信协议信息,广播连接请求;将响应连接请求与通信协议相符的网络节点,确定为僵尸网络的中控服务器。
14、示例性的,使用僵尸网络与中控服务器之间的通信协议,如通信协议中特定的握手、心跳协议,尝试连接互联网上公开ip地址和通信端口,如果得到与协议相符的响应,则将发出响应的服务器确定为新的中控服务器,也即通过通信协议嗅探的方式对互联网地址空间进行嗅探,从而发现更多的中控服务器,提升ddos攻击的发现率。
15、在另一个可能的实现中,本申请提供的分布式拒绝服务攻击的监测方法还包括:基于通信协议信息,监控网络中的流量;将与通信协议信息匹配的流量对应的网络节点,确定为僵尸主机。
16、在该可能的实现中,借助发现的僵尸网络与中控服务器之间的通信协议,生成流量监测模型,监控网络边界的流量,以发现存在于系统中的僵尸主机。
17、在另一个可能的实现中,本申请提供的分布式拒绝服务攻击的监测方法还包括:将监测结果进行显示,监测结果包括中控服务器的分布位置信息、ddos攻击数量信息、僵尸网络主机信息、ddos攻击时间信息、被攻击目标的分布位置信息、被攻击目标的所有者信息、被攻击目标的被攻击次数信息、被攻击目标的被攻击时间信息中的一个或多个,通过将ddos攻击的相关信息进行显示,以便于用户了解监测到的ddos攻击信息。
18、可选的,本申请提供的分布式拒绝服务攻击的监测方法可以通过一个或多个容器实例实现,以尽量少的占用物理资源,启动更迅速。
19、当然,在一些其他示例中,本申请提供的分布式拒绝服务攻击的监测方法也可以通过一个或多个物理机,或一个或多个虚拟机的方式实现,或者容器、物理机和虚拟机相互组合的方式实现。
20、第二方面,本申请实施例提供一种分布式拒绝服务攻击的监测装置,包括获取模块、第一分析模块、通信模块和第二分析模块,其中,获取模块用于获取多个种类的ddos僵尸木马样本,第一分析模块用于对ddos僵尸木马样本进行分析,得到僵尸网络对应的中控服务器的地址信息和通信协议信息;通信模块用于基于中控服务器的地址信息和通信协议信息与中控服务器建立通信连接;以及接收中控服务器发送的ddos攻击指令;第二分析模块用于对ddos攻击指令进行分析,得到ddos攻击信息。
21、在一个可能的实现中,通信模块具体用于:基于中控服务器的地址信息和通信协议信息,确定僵尸主机模拟程序;加载运行僵尸主机模拟程序,与中控服务器建立通信连接。
22、在另一个可能的实现中,加载运行僵尸主机模拟程序,与中控服务器建立通信连接包括:将僵尸主机模拟程序进行本文档来自技高网...
【技术保护点】
1.一种分布式拒绝服务攻击的监测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述中控服务器的地址信息和通信协议信息与所述中控服务器建立通信连接,包括:
3.根据权利要求2所述的方法,其特征在于,所述加载运行所述僵尸主机模拟程序,与所述中控服务器建立通信连接,包括:
4.根据权利要求1-3任一项所述的方法,其特征在于,所述中控服务器地址信息包括所述中控服务器的域名和通信端口,或所述中控服务器的IP地址和通信端口。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述通信协议信息包括握手信息、心跳信息、攻击指令信息和攻击载荷信息中的一种或多种。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述攻击信息包括被攻击目标信息、攻击载荷信息、攻击事件信息和攻击时长信息中的一个或多个。
7.根据权利要求6所述的方法,其特征在于,还包括:
8.根据权利要求1-7任一项所述的方法,其特征在于,还包括:
9.根据权利要求1-8任一项所述的方法,其特征在于,还包括
10.根据权利要求1-9任一项所述的方法,其特征在于,还包括:
11.根据权利要求1-10任一项所述的方法,其特征在于,所述分布式拒绝服务攻击的监测方法通过容器实例、物理主机和虚拟机中的一个或多个实现。
12.一种分布式拒绝服务攻击的监测装置,其特征在于,包括:
13.根据权利要求12所述的装置,其特征在于,所述通信模块具体用于:
14.根据权利要求13所述的装置,其特征在于,所述加载运行所述僵尸主机模拟程序,与所述中控服务器建立通信连接,包括:
15.根据权利要求12-14任一项所述的装置,其特征在于,所述中控服务器地址信息包括所述中控服务器的域名和通信端口,或所述中控服务器的IP地址和通信端口。
16.根据权利要求12-15任一项所述的装置,其特征在于,所述通信协议信息包括握手信息、心跳信息、攻击指令信息和攻击载荷信息中的一种或多种。
17.根据权利要求12-16任一项所述的装置,其特征在于,所述攻击信息包括被攻击目标信息、攻击载荷信息、攻击事件信息和攻击时长信息中的一个或多个。
18.根据权利要求17所述的装置,其特征在于,
19.根据权利要求12-18任一项所述的装置,其特征在于,还包括:
20.根据权利要求12-19任一项所述的装置,其特征在于,还包括:
21.根据权利要求12-20任一项所述的装置,其特征在于,还包括:
22.根据权利要求12-21任一项所述的装置,其特征在于,所述分布式拒绝服务攻击的监测方法通过容器实例、物理主机和虚拟机中的一个或多个实现。
23.一种计算设备,包括存储器和处理器,其特征在于,所述存储器中存储有指令,当所述指令被处理器执行时,使得如权利要求1-11任一项所述的方法被实现。
24.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,当所述计算机程序在被处理器执行时,使得如权利要求1-11任一项所述的方法被实现。
...【技术特征摘要】
1.一种分布式拒绝服务攻击的监测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述中控服务器的地址信息和通信协议信息与所述中控服务器建立通信连接,包括:
3.根据权利要求2所述的方法,其特征在于,所述加载运行所述僵尸主机模拟程序,与所述中控服务器建立通信连接,包括:
4.根据权利要求1-3任一项所述的方法,其特征在于,所述中控服务器地址信息包括所述中控服务器的域名和通信端口,或所述中控服务器的ip地址和通信端口。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述通信协议信息包括握手信息、心跳信息、攻击指令信息和攻击载荷信息中的一种或多种。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述攻击信息包括被攻击目标信息、攻击载荷信息、攻击事件信息和攻击时长信息中的一个或多个。
7.根据权利要求6所述的方法,其特征在于,还包括:
8.根据权利要求1-7任一项所述的方法,其特征在于,还包括:
9.根据权利要求1-8任一项所述的方法,其特征在于,还包括:
10.根据权利要求1-9任一项所述的方法,其特征在于,还包括:
11.根据权利要求1-10任一项所述的方法,其特征在于,所述分布式拒绝服务攻击的监测方法通过容器实例、物理主机和虚拟机中的一个或多个实现。
12.一种分布式拒绝服务攻击的监测装置,其特征在于,包括:
13.根据权利要求12所述的装置,其特征在于,所述通信模块具体用于:
【专利技术属性】
技术研发人员:张佳德,胡志斌,
申请(专利权)人:华为云计算技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。