本發明的目的是提供一種攻擊回溯方法及設備，本發明的攻擊防護和攻擊溯源是同時進行的，在攻擊防護過程中，通過攻擊調度和節點受攻擊狀態，結合終端訪問日志和攻擊日志，即可實時確定攻擊終端。本發明無需海量的多維度數據分析，僅依賴攻擊日志和終端訪問日志即可實現攻擊回溯，且攻擊回溯不依賴人工，完全由程序自動完成，大大提升了溯源效率。本發明可以發現可疑的風險終端，通過風險終端快速回溯到攻擊者，改善了以往DDoS攻擊回溯著重依賴于定位攻擊流量來源或者控制端IP的缺陷，攻擊溯源更徹底，溯源速度快，同時大大提升了溯源成功率。

技術領域

本發明涉及計算機領域，尤其涉及一種攻擊回溯方法及設備。

背景技術

隨著互聯網技術的發展，DDoS攻擊越來越多，攻擊造成的危害越來越大，通過DDoS攻擊的事件來定位攻擊者成了越來越迫切的需求，它能給公安機關偵破案件提供有力線索，有力震懾網絡攻擊者。

傳統的DDoS攻擊回溯一般通過分析Netflow數據、路由拓撲，針對攻擊路徑進行回溯；或依賴于防火墻數據、網站訪問日志、DNS解析記錄、主機ICMP記錄、威脅情報數據庫等，需要將海量的日志結合多維度的攻擊數據做篩選、融合和關聯分析，最終回溯出一次攻擊行動的完整過程；或通過對捕獲DDoS攻擊樣本的網絡協議分析找到傀儡機器，最終嘗試分析出控制端IP(C2地址)。再通過控制端IP，結合社工庫、威脅情報數據庫等分析關聯出真正的攻擊者，整個過程相當漫長，大部分工作需依賴于人工分析，耗費大量人力和時間成本，且當攻擊者通過多級代理或VPN等技術時，攻擊溯源的成功率將大大降低。

具體來說，傳統的DDoS攻擊回溯一般只能回溯到攻擊源(攻擊流量發出的地方，如IDC或者某個傀儡機)，或只能溯源到攻擊控制端(C2)IP地址，無法進一步追溯到黑客用來抓包的設備，無法溯源到真正的幕后黑手，溯源不徹底。

傳統的DDoS攻擊回溯依賴于防火墻數據、網站訪問日志、DNS解析記錄、主機ICMP記錄、路由拓撲、威脅情報數據庫等，需要將海量的日志結合多維度的攻擊數據做篩選、融合和關聯分析，最終嘗試分析出控制端IP。再通過控制端IP，結合社工庫、威脅情報數據庫等分析關聯出真正的攻擊者，整個過程設計噪聲處理、冗余日志分析和大量人工關聯分析，過程相當漫長。

傳統的DDoS溯源側重于分析攻擊控制端IP(C2地址)，當攻擊者通過IP動態撥號、代理技術、多級跳板等方式登錄到中控端時，攻擊溯源的成功率將大大降低。

傳統基于調度的DDoS防御依賴于DNS，而由于遞歸DNS的緩存問題，生效比較慢，需要通過多次調度，較長時間才能將異常隔離出來，溯源效率很低。

發明內容

本發明的一個目的是提供一種攻擊回溯方法及設備。

根據本發明的一個方面，提供了一種攻擊回溯方法，該方法包括：

基于各防護節點的攻擊日志確定被攻擊的防護節點；

從終端訪問日志中獲取訪問所述被攻擊的防護節點的終端作為風險終端，獲取所述風險終端的唯一標識；

增加新的防護節點，基于所述風險終端的唯一標識將所述風險終端調度到新增加的防護節點；

重復上述步驟，直至確定最終的風險終端。

進一步的，上述方法中，增加新的防護節點，基于所述風險終端的唯一標識將所述風險終端調度到新增加的防護節，包括：

獲取所述風險終端的風險等級；

若所述風險終端的風險等級大于預設閾值，則增加對應的新的防護節點，基于所述風險終端的唯一標識將所述風險終端調度到新增加的防護節。

進一步的，上述方法中，獲取所述風險終端的風險等級之前，還包括：

建立終端信譽庫；