技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)安全技術(shù)領(lǐng)域，尤其涉及一種用于主動防御分 布式拒絕服務(wù)攻擊的方法和系統(tǒng)。

背景技術(shù)

分布式拒絕服務(wù)(DistributedDenialofService，簡稱：DDoS) 攻擊，是一種互聯(lián)網(wǎng)常見的攻擊手段，黑客利用多臺傀儡機向攻擊目 標(biāo)發(fā)起大量“合法”請求，從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而拒 絕服務(wù)。

目前防御DDoS攻擊的方法主要包括流量限制技術(shù)和流量采樣 分析技術(shù)。這兩種方法均存在響應(yīng)速度慢和溯源成本高的問題。只有 當(dāng)大規(guī)模DDoS攻擊出現(xiàn)后，才能發(fā)現(xiàn)并采取防御措施，是被動防御； 同時，由于攻擊數(shù)據(jù)包的源IP(InternetProtocol，網(wǎng)絡(luò)之間互聯(lián)的 協(xié)議)地址通常都是偽造的，發(fā)送攻擊數(shù)據(jù)包的主機通常是傀儡機， 因此很難通過分析攻擊數(shù)據(jù)包實現(xiàn)真正的溯源。

發(fā)明內(nèi)容

本發(fā)明提供了一種用于主動防御分布式拒絕服務(wù)攻擊的方法和 系統(tǒng)，能夠迅速、準(zhǔn)確定位DDoS攻擊源所屬的僵尸網(wǎng)絡(luò)，從而實現(xiàn) 對DDoS攻擊的主動防御。

根據(jù)本發(fā)明的一個方面，提供了一種用于主動防御分布式拒絕服 務(wù)攻擊的方法，包括：

異常流量監(jiān)控設(shè)備監(jiān)測網(wǎng)絡(luò)中出現(xiàn)的分布式拒絕服務(wù)DDoS攻 擊，生成實時攻擊列表并發(fā)送給集中分析平臺，其中實時攻擊列表中 包括DDoS攻擊源的IP地址；

DPI檢測設(shè)備進行僵尸網(wǎng)絡(luò)追蹤，生成僵尸網(wǎng)絡(luò)歷史列表并發(fā)送 給集中分析平臺，其中僵尸網(wǎng)絡(luò)歷史列表中包括僵尸網(wǎng)絡(luò)標(biāo)識，以及 與僵尸網(wǎng)絡(luò)標(biāo)識相關(guān)聯(lián)的僵尸網(wǎng)絡(luò)被控端IP地址；

集中分析平臺根據(jù)實時攻擊列表和僵尸網(wǎng)絡(luò)歷史列表，確定 DDoS攻擊源歸屬的僵尸網(wǎng)絡(luò)；

集中分析平臺對來自僵尸網(wǎng)絡(luò)的DDoS攻擊進行預(yù)警，以便實現(xiàn) 主動防御DDoS攻擊。

在一個實施例中，集中分析平臺根據(jù)實時攻擊列表和僵尸網(wǎng)絡(luò)歷史 列表，確定DDoS攻擊源歸屬的僵尸網(wǎng)絡(luò)的步驟包括：

集中分析平臺針對實時攻擊列表中的DDoS攻擊源IP地址，在僵 尸網(wǎng)絡(luò)歷史列表中查詢具有相同IP地址的僵尸網(wǎng)絡(luò)被控端；

將具有相同IP地址的僵尸網(wǎng)絡(luò)被控端歸屬的僵尸網(wǎng)絡(luò)作為DDoS 攻擊源歸屬的僵尸網(wǎng)絡(luò)。

在一個實施例中，僵尸網(wǎng)絡(luò)標(biāo)識為僵尸網(wǎng)絡(luò)主控端的IP地址。

在一個實施例中，上述任一涉及的方法，實時攻擊列表還包括與 DDoS攻擊源相關(guān)聯(lián)的攻擊目標(biāo)IP地址和實時最大流量。

在一個實施例中，集中分析平臺對來自僵尸網(wǎng)絡(luò)的DDoS攻擊進行 預(yù)警的步驟包括：

集中分析平臺在僵尸網(wǎng)絡(luò)中，查詢?nèi)拷┦W(wǎng)絡(luò)被控端的歷史最大 流量；

將查詢到的歷史最大流量之和作為相應(yīng)攻擊目標(biāo)的DDoS攻擊峰 值流量。

在一個實施例中，集中分析平臺對來自僵尸網(wǎng)絡(luò)的DDoS攻擊進行 預(yù)警的步驟還包括：

集中分析平臺根據(jù)僵尸網(wǎng)絡(luò)成長速度對僵尸網(wǎng)絡(luò)中的僵尸網(wǎng)絡(luò)被 控端數(shù)量進行估計，以便對相應(yīng)攻擊目標(biāo)的DDoS攻擊峰值流量進行修 正。

根據(jù)本發(fā)明的另一方面，提供了一種用于主動防御分布式拒絕服務(wù) 攻擊的系統(tǒng)，包括異常流量監(jiān)控設(shè)備、DPI檢測設(shè)備和集中分析平臺， 其中：

異常流量監(jiān)控設(shè)備，用于監(jiān)測網(wǎng)絡(luò)中出現(xiàn)的分布式拒絕服務(wù)DDoS 攻擊，生成實時攻擊列表并發(fā)送給集中分析平臺，其中實時攻擊列表中 包括DDoS攻擊源的IP地址；

DPI檢測設(shè)備，用于進行僵尸網(wǎng)絡(luò)追蹤，生成僵尸網(wǎng)絡(luò)歷史列表并 發(fā)送給集中分析平臺，其中僵尸網(wǎng)絡(luò)歷史列表中包括僵尸網(wǎng)絡(luò)標(biāo)識，以 及與僵尸網(wǎng)絡(luò)標(biāo)識相關(guān)聯(lián)的僵尸網(wǎng)絡(luò)被控端IP地址；

集中分析平臺，用于根據(jù)實時攻擊列表和僵尸網(wǎng)絡(luò)歷史列表，確定 DDoS攻擊源歸屬的僵尸網(wǎng)絡(luò)；還用于對來自僵尸網(wǎng)絡(luò)的DDoS攻擊進 行預(yù)警，以便實現(xiàn)主動防御DDoS攻擊。

在一個實施例中，集中分析平臺具體針對實時攻擊列表中的DDoS 攻擊源IP地址，在僵尸網(wǎng)絡(luò)歷史列表中查詢具有相同IP地址的僵尸網(wǎng) 絡(luò)被控端；將具有相同IP地址的僵尸網(wǎng)絡(luò)被控端歸屬的僵尸網(wǎng)絡(luò)作為 DDoS攻擊源歸屬的僵尸網(wǎng)絡(luò)。

在一個實施例中，僵尸網(wǎng)絡(luò)標(biāo)識為僵尸網(wǎng)絡(luò)主控端的IP地址。