CN103997489A - 一种识别DDoS僵尸网络通信协议的方法及装置 - Google Patents
一种识别DDoS僵尸网络通信协议的方法及装置 Download PDFInfo
- Publication number
- CN103997489A CN103997489A CN201410196838.2A CN201410196838A CN103997489A CN 103997489 A CN103997489 A CN 103997489A CN 201410196838 A CN201410196838 A CN 201410196838A CN 103997489 A CN103997489 A CN 103997489A
- Authority
- CN
- China
- Prior art keywords
- attack
- message
- byte
- server
- bot
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及计算机网络安全技术领域,尤其涉及一种识别DDoS僵尸网络通信协议的方法及装置。本发明公开了一种识别DDoS僵尸网络通信协议的方法,包括:获取主机中运行的僵尸程序bot与服务器之间通信的命令报文和通信报文;从获取的通信报文中确定每次攻击中每类攻击的攻击属性信息;根据所述每次攻击中每类攻击的攻击属性信息,从获取的命令报文中确定攻击命令报文;根据所述攻击命令报文和/或所述攻击属性信息,确定攻击指令报文特征信息。本发明实施例的技术复杂度低,能够实现达到对新出现的C&C协议做出及时预警的目的。
Description
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种识别DDoS僵尸网络通信协议的方法及装置。
背景技术
botnet也就是我们所说的僵尸网络,是指采用一种或多种传播手段,将大量主机感染bot(僵尸程序),从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。控制僵尸网络的攻击者通常利用其拥有的botnet以DDoS(Distribution Denial of Service,分布式拒绝服务)攻击、银行卡密码窃取、垃圾邮件发送、敏感信息盗窃等攻击方式进行牟利。
为了及早发现基于botnet的DDoS型攻击,常采用主动跟踪技术对基于botnet的DDoS型攻击进行研究。主动跟踪是指冒充某个DDoS botnet的bot,主动连接到其C&C(Control&Command,控制命令)服务器,接收和解析其发出的指令但并不实际执行,而是将解析后的指令以日志形式保存和输出。
如果需要对某个botnet进行跟踪,需要了解其C&C协议,并编写相应的跟踪程序,使其主动连接C&C服务器,能接收、解析和保存对方的指令。现在常用的自动解析出C&C协议的方法有两种,一种方法为基于虚拟机仿真执行来实现,这种方法缺点是技术非常复杂,而且基于指令仿真方式捕获bot行为过程中会导致bot样本的执行速度变慢,就有可能被botnet控制者检测到,因此实际的可行性比较差,导致无法对新出现的C&C协议做出及时预警。
另外一种自动解析出C&C协议的方法是直接分析C&C通信报文—我们将bot与C&C服务器之间的通信称为C&C通信,运用统计和机器学习手段来自动分析出C&C协议。这种技术的缺点是需要大量的C&C通信报文来作为机器学习依据,实际中很难满足,导致无法对新出现的C&C协议做出及时预警。
综上所述,现有技术方案中存在解析C&C协议的技术复杂度高、可能被botnet控制者检测到以及需要大量的C&C通信报文来作为机器学习依据等问题,从而导致无法对新出现的C&C协议做出及时预警的问题。
发明内容
本发明实施例提供一种识别DDoS僵尸网络通信协议的方法及装置,用以解决现有技术方案中不能对新出现的C&C协议做出及时预警的问题。
本发明实施例提供的具体技术方案如下:
一种识别DDoS僵尸网络通信协议的方法,包括:
获取主机中运行的僵尸程序bot与服务器之间通信的命令报文和通信报文;
从获取的通信报文中确定每次攻击中每类攻击的攻击属性信息;
根据所述每次攻击中每类攻击的攻击属性信息,从获取的命令报文中确定攻击命令报文;
根据所述攻击命令报文和所述攻击属性信息,确定攻击指令报文特征信息。
较佳地,如果未发生C&C通信,且已确定C&C服务器,将所述bot与C&C服务器之间传输的报文作为命令报文,将所述bot与非C&C服务器之间传输的报文作为通信报文;
如果未发生C&C通信,且未确定C&C服务器,将所述bot与当前通信的服务器作为C&C服务器,并将所述bot与所述C&C服务器之间传输的报文作为命令报文,将所述bot与非C&C服务器之间传输的报文作为通信报文;
如果已经发生C&C通信,则将当前所述bot与服务器之间传输的报文中目的网际协议IP地址和目的端口和C&C通信报文中目的网际协议IP地址和目的端口相同的报文作为命令报文,将当前所述bot与服务器之间传输的报文中目的网际协议IP地址和目的端口和C&C通信报文中目的网际协议IP地址和目的端口不相同的报文作为通信报文。
较佳地,根据每次攻击中每类攻击的攻击属性信息将攻击行为开始之前最后一次收到的所述命令报文确定为攻击开始指令;
根据每次攻击中每类攻击的攻击属性信息将攻击行为停止之前最后一次收到的所述命令报文确定为攻击停止指令;
将所述攻击开始指令和所述攻击停止指令作为攻击命令报文。
较佳地,所述攻击指令报文特征信息包括下列信息中的部分或全部:
报文类型字段的偏移和编码;
攻击类型字段的偏移和编码;
攻击目标与端口字段的偏移和编码;
特定攻击类型参数的偏移和编码。
较佳地,确定所有攻击开始指令报文中同一字节偏移上相同的字节内容,并将确定的相同的字节内容和对应的字节偏移划分在攻击开始集合中,以及确定所有攻击停止指令报文中同一字节偏移上相同的字节内容,并将确定的相同的字节内容和对应的字节偏移划分在攻击停止集合中;
确定所述攻击开始集合和所述攻击停止集合中同一字节偏移上不同的字节内容以及所述不同的字节内容的字节数,并将确定的所述不同的字节内容、所述不同的字节内容的字节数以及所述不同的字节内容的字节偏移作为报文类型字段的偏移。
较佳地,确定所有攻击开始指令报文中同一字节偏移上不同的字节内容,并将确定的不同的字节内容和对应的字节偏移划分在攻击开始补集中;
将所述攻击属性信息根据攻击类型相同但攻击目标不同进行归类,确定每类攻击对应的攻击开始指令和所述攻击开始补集中同一字节偏移上相同的字节内容,从所述相同的字节内容中确定出攻击类型字段,将确定的攻击类型字段,攻击类型字段的字节偏移以及攻击类型字段的字节数作为攻击类型字段的偏移和编码。
较佳地,确定攻击目标和端口在所述攻击开始指令中的字节偏移以及包含的字节数,将确定的所述攻击目标和端口的字节偏移以及包含的字节数作为攻击目标和端口字段的偏移和编码;
所述攻击目标和端口包括以下部分或全部:
目的网际协议地址;目的端口;源网际协议地址;源端口。
本发明实施例提供的一种识别DDoS僵尸网络通信协议的装置,包括:
网络行为捕获模块,用于获取主机中运行的bot与服务器之间通信的命令报文和通信报文,从获取的通信报文中确定每次攻击中每类攻击的攻击属性信息;
关联模块,根据所述每次攻击中每类攻击的攻击属性信息,从获取的命令报文中确定攻击命令报文,根据所述攻击命令报文和所述攻击属性信息,确定攻击指令报文特征信息。
较佳地,所述网络行为捕获模块具体用于:如果未发生C&C通信,且已确定C&C服务器,将所述bot与C&C服务器之间传输的报文作为命令报文,将所述bot与非C&C服务器之间传输的报文作为通信报文;
如果未发生C&C通信,且未确定C&C服务器,将所述bot与当前通信的服务器作为C&C服务器,并将所述bot与所述C&C服务器之间传输的报文作为命令报文,将所述bot与非C&C服务器之间传输的报文作为通信报文;
如果已经发生C&C通信,则将当前所述bot与服务器之间传输的报文中目的网际协议IP地址和目的端口和C&C通信报文中目的网际协议IP地址和目的端口相同的报文作为命令报文,将当前所述bot与服务器之间传输的报文中目的网际协议IP地址和目的端口和C&C通信报文中目的网际协议IP地址和目的端口不相同的报文作为通信报文。
较佳地,所述网络行为捕获模块具体用于:根据获取的通信报文,在确定所述bot在设定的时长内发送的所述特定通信报文的数量超过阈值,则确定发生攻击,并在攻击结束后,根据攻击期间获取的特定通信报文,确定所述特定通信报文的报文属性参数,其中所述特定通信报文为获取的通信报文中源网际协议IP地址不是当前运行bot主机的IP地址的通信报文;
根据所述特定通信报文的报文属性参数,确定每次攻击中每类攻击的攻击属性信息。
较佳地,所述关联模块具体用于:根据每次攻击中每类攻击的攻击属性信息将攻击行为开始之前最后一次收到的所述命令报文确定为攻击开始指令;
根据每次攻击中每类攻击的攻击属性信息将攻击行为停止之前最后一次收到的所述命令报文确定为攻击停止指令;
将所述攻击开始指令和所述攻击停止指令作为攻击命令报文。
较佳地,所述攻击指令报文特征信息包括下列信息中的部分或全部:
报文类型字段的偏移和编码;攻击类型字段的偏移和编码;攻击目标与端口字段的偏移和编码;特定攻击类型相关参数的偏移和编码。
较佳地,所述关联模块具体用于:确定所有攻击开始指令报文中同一字节偏移上相同的字节内容,并将确定的相同的字节内容和对应的字节偏移划分在攻击开始集合中,以及确定所有攻击停止指令报文中同一字节偏移上相同的字节内容,并将确定的相同的字节内容和对应的字节偏移划分在攻击停止集合中;
确定所述攻击开始集合和所述攻击停止集合中同一字节偏移上不同的字节内容以及所述不同的字节内容的字节数,并将确定的所述不同的字节内容、所述不同的字节内容的字节数以及所述不同的字节内容的字节偏移作为报文类型字段的偏移。
较佳地,所述关联模块具体用于:确定所有攻击开始指令报文中同一字节偏移上不同的字节内容,并将确定的不同的字节内容和对应的字节偏移划分在攻击开始补集中;
将所述攻击属性信息根据攻击类型相同但攻击目标不同进行归类,确定每类攻击对应的攻击开始指令和所述攻击开始补集中同一字节偏移上相同的字节内容,从所述相同的字节内容中确定出攻击类型字段,将确定的攻击类型字段,攻击类型字段的字节偏移以及攻击类型字段的字节数作为攻击类型字段的偏移和编码。
较佳地,所述关联模块具体用于:确定攻击目标和端口在所述攻击开始指令中的字节偏移以及包含的字节数,将确定的所述攻击目标和端口的字节偏移以及包含的字节数作为攻击目标和端口字段的偏移和编码;
所述攻击目标和端口包括以下部分或全部:
目的网际协议地址;目的端口;源网际协议地址;源端口。
根据本发明实施例提供的方法,由于bot表现出的网络行为总是和C&C指令存在绑定关系,即bot网络行为体现了C&C指令的语义,则对C&C指令的语义理解可以转化为对bot网络行为的理解,通过理解bot的网络行为,进而理解C&C指令的语义,从而输出C&C命令报文格式特征。为了获得bot的网络行为,在主机中运行bot,然后对bot与外部服务器的通信行为进行控制。当bot与C&C服务器通信时,记录命令报文;当bot与非C&C服务器通信时,对bot与非C&C服务器通信的通信报文中确定为带有攻击行为的通信报文进行分析,从而确认何时对哪个受攻击者执行了什么类型的攻击,同时在攻击行为结束后对带有攻击行为的通信报文进行统计,得到每次攻击中每类攻击的攻击属性信息。根据每类攻击的攻击属性信息确定命令报文中的攻击命令报文最后,关联攻击命令报文和攻击属性信息,差异化分析不同攻击命令报文寻找其特征,输出对命令报文格式的特征描述。
附图说明
图1为本发明实施例一提供的一种识别DDoS僵尸网络通信协议的方法流程图;
图2为本发明实施例二提供的一种获取命令报文和通信报文方法的流程图;
图3为本发明实施例三提供的一种识别DDoS僵尸网络通信协议的装置结构图。
具体实施方式
本发明实施例提供一种识别DDoS僵尸网络通信协议的方法及装置,用以实现通过获取bot与外界服务器通信的命令报文和通信报文,将通信报文中带有攻击性的特定通信报文进行统计,获得每类攻击报文的攻击属性信息,在通过每类攻击报文的攻击属性信息确认命令报文中的攻击命令报文,关联攻击命令报文和每类攻击报文的攻击属性信息,实现对命令报文格式的特征描述。
下面结合说明书附图对本发明实施例做进一步详细描述。
如图1所示,本发明实施例一提供的一种识别DDoS僵尸网络通信协议的方法流图,该方法包括:
步骤101:获取主机中运行的僵尸程序bot与服务器之间通信的命令报文和通信报文;
步骤102:从获取的通信报文中确定每次攻击中的攻击属性信息;
步骤103:根据所述每次攻击中每类攻击的攻击属性信息,从获取的命令报文中确定攻击命令报文;
步骤104:根据所述攻击命令报文和/或所述攻击属性信息,确定攻击指令报文特征信息。
在获取主机中运行的僵尸程序bot与服务器之间通信的命令报文和通信报文过程中,由于会获取大量的报文,而其中部分报文是正常的报文,不需要记录,因此为了减少获取到的无效报文数量,可以设置一个白名单列表,这样就可以在白名单列表中预先配置服务器地址,输入诸如谷歌、搜狐、新浪等网站的域名,保证bot在C&C通信开始前能访问它们。当未检测bot和C&C服务器发生通信时,将bot与白名单列表中服务器的通信报文直接放行,并对放行的行为做记录。白名单列表中的服务器地址数量可以自定义,当然白名单列表中的服务器地址数量可以为零。一般的,白名单列表中可以预先配置500个正常的常用网站地址。
同时为了更好地控制bot的通信行为,可以将bot运行在虚拟机中,使得bot不能随意和外界服务器发生通信行为。这样做有一个很大的优点,在bot收到攻击命令之后,可以控制bot的通信,不让bot对外发送攻击报文,可以减少受害者损失。在获取的报文中有两种报文:命令报文和通信报文。在获得的报文过程中,可以根据预先设定的条件确定bot与服务器之间传输的报文应该归为命令报文还是通信报文。
较佳地,获取主机中运行的僵尸程序bot与服务器之间通信的命令报文和通信报文,包括:
如果未发生C&C通信,且已确定C&C服务器,将所述bot与C&C服务器之间传输的报文作为命令报文,将所述bot与非C&C服务器之间传输的报文作为通信报文;
如果未发生C&C通信,且未确定C&C服务器,将所述bot与当前通信的服务器作为C&C服务器,并将所述bot与所述C&C服务器之间传输的报文作为命令报文,将所述bot与非C&C服务器之间传输的报文作为通信报文;
如果已经发生C&C通信,则将当前所述bot与服务器之间传输的报文中目的网际协议IP地址和目的端口和C&C通信报文中目的网际协议IP地址和目的端口相同的报文作为命令报文,将当前所述bot与服务器之间传输的报文中目的网际协议IP地址和目的端口和C&C通信报文中目的网际协议IP地址和目的端口不相同的报文作为通信报文。
在获取的通信报文之中,并不是每个通信报文都是需要利用的报文,本发明实施例中需要利用带有攻击行为的报文,因此需要从获取的通信报文中将要利用的带有攻击行为的报文确定出来。
在获得的通信报文中筛选出带有攻击行为的特定通信报文,可以采用DDoS攻击行为特征库来对所有通信报文进行判断。DDoS攻击行为特征库包含了已知的各种类型的DDoS攻击行为特征,这样根据DDoS攻击行为特征库就可以快速准确的确定带有攻击行为的特定通信报文。为了获得带有攻击行为的特定通信报文,也可以采用自定义的方式去确定特定通信报文。采用自定义的方式针对DDoS攻击行为的特征设定判断条件,比如检测bot发送的报文的源IP地址和运行bot主机的IP地址是否一致,单位时间内发送的报文数量是否超过一定的阈值等。这些都是现有技术,因此在此不再一一赘述。
从获取的通信报文中确定每次攻击中每类攻击的攻击属性信息,包括:
根据获取的通信报文,在确定所述bot在设定的时长内发送的所述特定通信报文的数量超过阈值,则确定发生攻击,并在攻击结束后,根据攻击期间获取的特定通信报文,确定所述特定通信报文的报文属性参数,其中所述特定通信报文为获取的通信报文中源网际协议IP地址不是当前运行bot主机的IP地址的通信报文;根据所述特定通信报文的报文属性参数,确定每次攻击中每类攻击的攻击属性信息。
在确定出带有攻击行为的通信报文之后,在每次攻击结束之后将这些报文按照不同类型攻击提取攻击参数。
攻击参数包括但不限于下列中的部分或全部:每种类型攻击的开始时间、每种类型攻击的持续时间、攻击类型、攻击目标IP地址、攻击端口、使用的源端口和源IP地址等信息。
对于一些特殊的攻击还包括特定攻击的参数,比如,超文本传送协议泛洪攻击的通用资源标识符uri和用户数据报协议泛洪攻击的平均包长等,将以上部分或全部参数进行统计,统计信息作为每类攻击的攻击属性信息。
具体的,所述攻击属性信息包括但不限于下列信息中的部分或全部:
攻击流开始时间;
攻击流结束时间;
每类攻击的开始时间;
每类攻击的持续时间;
攻击类型;
目的IP地址和目的端口;
源端口和源IP地址;
超文本传送协议泛洪攻击的通用资源标识符uri;
用户数据报协议泛洪攻击的平均包长。
当bot接收到攻击指令之后,会对攻击目标发动攻击报文,为了避免bot对攻击目标进行攻击,还可以对这些攻击报文进行终结,同时模拟被攻击者对bot发出的攻击报文做出的响应,这样就能避免监测bot通信的行为被发现。
在命令报文中也包含很多无效的报文,因此需要根据通信报文中特定通信报文确定的每次攻击中每类攻击的攻击属性信息来确定命令报文中的攻击命令报文,攻击命令报文包括攻击开始指令和攻击停止指令。
较佳地,根据每次攻击中每类攻击的攻击属性信息将攻击行为开始之前最后一次收到的所述命令报文确定为攻击开始指令;根据每次攻击中每类攻击的攻击属性信息将攻击行为停止之前最后一次收到的所述命令报文确定为攻击停止指令;将所述攻击开始指令和所述攻击停止指令作为攻击命令报文。
在记录命令报文时,会同时记录命令报文的收发时间,根据通信报文中特定通信报文确定的每次攻击中每类攻击的攻击属性信息会包含攻击开始时间和攻击结束时间,就可以根据击开始时间之前最后收到的命令报文确定为攻击开始指令,同样的根据攻击结束时间之前最后收到的命令报文确定为攻击停止指令。
根据所述攻击命令报文和/或所述攻击属性信息,确定攻击指令报文特征信息,包括:
在得到攻击属性信息后关联命令报文,差异化解析不同命令报文并寻找其特征,从而获得对命令报文格式特征的描述。
较佳地,攻击指令报文特征信息包括下列信息中的部分或全部:
报文类型字段的偏移和编码;攻击类型字段的偏移和编码;攻击目标与端口字段的偏移和编码;特定攻击类型相关参数的偏移和编码。
在得到命令报文和每次攻击的攻击属性信息之后,就可以分析命令报文的特征,具体的分析步骤如下:
对所有的攻击开始指令的报文内容,从第一个字节到最后一个字节进行比较,找出相同的字节,将相同的字节内容已经此字节在报文中的字节偏移进行记录。对所有报文比较的结构进行统计,对获得的统计结果中字节内容,字节数以及字节偏移以一定格式输出,优选地以包含:在报文中偏移、在报文中的字节数和在报文中的内容等参数的列表形式输出,记为range_list1。
对所有的攻击停止指令的报文内容,从第一个字节到最后一个字节进行比较,找出相同的字节,将相同的字节内容已经此字节在报文中的字节偏移进行记录。对所有报文比较的结构进行统计,对获得的统计结果中字节内容,字节数以及字节偏移以一定格式输出,优选地以包含:在报文中偏移、在报文中的字节数和在报文中的内容等参数的列表形式输出,记为range_list2。
利用对range_list1和range_list2进行匹配,匹配出他们字节偏移的范围相同但字节内容不同的部分,将这部分内容作为“报文类型”字段,对获得的结果以一定格式输出,优选地以包含:在报文中的偏移、在报文中的字节数、在报文中的值和报文类型等参数的列表形式输出,记为报文类型字段的偏移和编码。
较佳地,确定所有攻击开始指令报文中同一字节偏移上相同的字节内容,并将确定的相同的字节内容和对应的字节偏移划分在攻击开始集合中,以及确定所有攻击停止指令报文中同一字节偏移上相同的字节内容,并将确定的相同的字节内容和对应的字节偏移划分在攻击停止集合中;
确定所述攻击开始集合和所述攻击停止集合中同一字节偏移上不同的字节内容以及所述不同的字节内容的字节数,并将确定的所述不同的字节内容、所述不同的字节内容的字节数以及所述不同的字节内容的字节偏移作为报文类型字段的偏移。
对所有的攻击开始指令的报文内容,从第一个字节到最后一个字节,找出不相同的部分,对获得的结果以一定格式输出,优选地以包含:在报文中的位移、在报文中的字节数和在报文中的内容等参数的列表形式输出,记为range_list3。
对获得的每类攻击的攻击属性信息按照“攻击类型相同但攻击目标不同”的分法进行归类,再对每类攻击的攻击开始指令在range_list3中搜索出字节偏移相同且字节内容相同的部分作为交集,然后从所有分类的交集中找出“攻击类型”字段,对获得的结果以一定格式输出,优选地以包含:在报文中的偏移、在报文中的字节数、在报文中的值和攻击类型等参数的列表形式输出,记为攻击类型字段的偏移和编码。
较佳地,确定所有攻击开始指令报文中同一字节偏移上不同的字节内容,并将确定的不同的字节内容和对应的字节偏移划分在攻击开始补集中;
将所述攻击属性信息根据攻击类型相同但攻击目标不同进行归类,确定每类攻击对应的攻击开始指令和所述攻击开始补集中同一字节偏移上相同的字节内容,从所述相同的字节内容中确定出攻击类型字段,将确定的攻击类型字段,攻击类型字段的字节偏移以及攻击类型字段的字节数作为攻击类型字段的偏移和编码。
对所有的DDoS攻击,从其攻击开始指令中统计目的IP、目的端口、源IP、源端口等的出现情况,对获得的结果以一定格式输出,优选地以包含:在报文中的位移、在报文中的字节数和在报文中的字段类型等参数的列表形式输出target_list,再对所有DDoS攻击的target_list列表进行汇总,记为攻击目标与端口字段的偏移和编码。
较佳地,确定攻击目标和端口在所述攻击开始指令中的字节偏移以及包含的字节数,将确定的所述攻击目标和端口的字节偏移以及包含的字节数作为攻击目标和端口字段的偏移和编码;
所述攻击目标和端口包括以下部分或全部:
目的网际协议地址;目的端口;源网际协议地址;源端口。
对应用层有效载荷payload格式已知的DDoS攻击,继续在攻击开始指令中确定统计到的特定攻击类型相关参数,比如uri、http头中的field字段等,对获得的结果以一定格式输出,优选地以包含:在报文中的位移、在报文中的字节数和在报文中的字段类型等参数的列表形式输出,记为特定攻击类型相关参数的偏移和编码。
最后将获得的报文类型字段的偏移和编码、攻击类型字段的偏移和编码、攻击目标与端口字段的偏移和编码以及特定攻击类型相关参数的偏移和编码作为命令报文格式特征的描述,输出上述部分或全部结果。
如图2所示,本发明实施例二提供了一种确定命令报文和通信报文的方法。为了在bot和外界服务器传输的报文中获得所需要的命令报文和通信报文,需要根据不同的条件进行判断bot与外界服务器传输的报文是命令报文还是通信报文。在未发生C&C通信时,要对不同情况下的报文进行筛选为命令报文或者通信报文,而一旦发生C&C通信,则判断此次通信目的IP和目的端口是否和C&C通信相同,如果相同则将此次通信作为命令报文,否则将此次通信作为通信报文。
具体流程如下:
步骤201:检测到bot发起新的、跟外界服务器的通信;
步骤202:判断此次通信前是否已经发生C&C通信,如果未发生C&C通信,则转到步骤203,否则转到步骤204;
步骤203:在此次通信前未发生C&C通信时,判断是否已经确定C&C服务器,如果未确定C&C服务器,则转到步骤205,否则转到步骤206;
步骤204:将bot与C&C服务器之间的报文作为命令报文,将其余报文作为通信报文;
步骤205:在未确定C&C服务器时,将与bot当前通信的服务器作为C&C服务器,并将bot与C&C服务器之间的报文作为命令报文,将其余报文作为通信报文;
步骤206:在已经确定C&C服务器时,判断bot通信目标是否为C&C服务器,如果bot当前通信目标不是C&C服务器,则转到步骤207,否则转到步骤208;
步骤207:bot当前通信目标不是C&C服务器时,将此次通信的报文确定为通信报文;
步骤208:bot当前通信目标是C&C服务器时,并将所述bot与所述C&C服务器之间传输的报文作为命令报文。
本发明实施例中,检测到bot发起新的、跟外界服务器的通信是指bot和外界发起的新的通信连接,比如bot发起TCP连接,在建立连接的开始时需要对报文进行检测,当TCP连接建立起之后直到TCP连接结束,这个期间的报文不需要再次进行检测,默认为bot与C&C服务器的通信。同时还可以建立一个白名单列表,在白名单列表中预先配置服务器地址,输入诸如谷歌、搜狐、新浪等网站的域名,保证bot在C&C通信开始前能访问它们,白名单列表中服务器地址的数量可以是大于等于零的任意整数。同时,在检测到bot发起新的、跟外界服务器的通信时,未检测到C&C通信且当前bot正在和白名单列表中服务器通信,可以直接将bot与白名单列表中服务器的通信放行,这样就可以减少捕获的无效报文。
针对上述方法流程,本发明实施例还提供一种识别DDoS僵尸网络通信协议的装置,此装置的具体内容可以参照上述方法实施,在此不再赘述。
如图3所示,本发明实施例三提供的一种识别DDoS僵尸网络通信协议的装置,包括:
网络行为捕获模块301,用于获取主机中运行的bot与服务器之间通信的命令报文和通信报文,从获取的通信报文中确定每次攻击中每类攻击的攻击属性信息;
关联模块302,根据所述每次攻击中每类攻击的攻击属性信息,从获取的命令报文中确定攻击命令报文,根据所述攻击命令报文和所述攻击属性信息,确定攻击指令报文特征信息。
较佳地,网络行为捕获模块301具体用于:如果未发生C&C通信,且已确定C&C服务器,将所述bot与C&C服务器之间传输的报文作为命令报文,将所述bot与非C&C服务器之间传输的报文作为通信报文;
如果未发生C&C通信,且未确定C&C服务器,将所述bot与当前通信的服务器作为C&C服务器,并将所述bot与所述C&C服务器之间传输的报文作为命令报文,将所述bot与非C&C服务器之间传输的报文作为通信报文;
如果已经发生C&C通信,则将当前所述bot与服务器之间传输的报文中目的网际协议IP地址和目的端口和C&C通信报文中目的网际协议IP地址和目的端口相同的报文作为命令报文,将当前所述bot与服务器之间传输的报文中目的网际协议IP地址和目的端口和C&C通信报文中目的网际协议IP地址和目的端口不相同的报文作为通信报文。
较佳地,所述关联模块302具体用于:根据每次攻击中每类攻击的攻击属性信息将攻击行为开始之前最后一次收到的所述命令报文确定为攻击开始指令;
根据每次攻击中每类攻击的攻击属性信息将攻击行为停止之前最后一次收到的所述命令报文确定为攻击停止指令;
将所述攻击开始指令和所述攻击停止指令作为攻击命令报文。
较佳地,所述攻击指令报文特征信息包括下列信息中的部分或全部:
报文类型字段的偏移和编码;攻击类型字段的偏移和编码;攻击目标与端口字段的偏移和编码;特定攻击类型相关参数的偏移和编码。
较佳地,所述关联模块302具体用于:确定所有攻击开始指令报文中同一字节偏移上相同的字节内容,并将确定的相同的字节内容和对应的字节偏移划分在攻击开始集合中,以及确定所有攻击停止指令报文中同一字节偏移上相同的字节内容,并将确定的相同的字节内容和对应的字节偏移划分在攻击停止集合中;
确定所述攻击开始集合和所述攻击停止集合中同一字节偏移上不同的字节内容以及所述不同的字节内容的字节数,并将确定的所述不同的字节内容、所述不同的字节内容的字节数以及所述不同的字节内容的字节偏移作为报文类型字段的偏移。
较佳地,所述关联模块302具体用于:确定所有攻击开始指令报文中同一字节偏移上不同的字节内容,并将确定的不同的字节内容和对应的字节偏移划分在攻击开始补集中;
将所述攻击属性信息根据攻击类型相同但攻击目标不同进行归类,确定每类攻击对应的攻击开始指令和所述攻击开始补集中同一字节偏移上相同的字节内容,从所述相同的字节内容中确定出攻击类型字段,将确定的攻击类型字段,攻击类型字段的字节偏移以及攻击类型字段的字节数作为攻击类型字段的偏移和编码。
较佳地,所述关联模块302具体用于:确定攻击目标和端口在所述攻击开始指令中的字节偏移以及包含的字节数,将确定的所述攻击目标和端口的字节偏移以及包含的字节数作为攻击目标和端口字段的偏移和编码;
所述攻击目标和端口包括以下部分或全部:
目的网际协议地址;目的端口;源网际协议地址;源端口。
综上所述,由于bot表现出的网络行为总是和C&C指令存在绑定关系,即bot网络行为体现了C&C指令的语义,则对C&C指令的语义理解可以转化为对bot网络行为的理解,通过理解bot的网络行为,进而理解C&C指令的语义,从而输出C&C报文格式特征。为了获得bot的网络行为,在主机中运行bot,然后对bot与外部服务器的通信行为进行控制。当bot与C&C服务器通信时,记录每个C&C通信报文的发送时间,将C&C通信报文内容记录作为命令报文;当bot与非C&C服务器通信时,对bot与非C&C服务器通信的通信报文中确定为带有攻击行为的通信报文进行分析,从而确认何时对哪个受攻击者执行了什么类型的攻击,同时在攻击行为结束后对带有攻击行为的通信报文进行统计,得到每次攻击中每类攻击的开始时间、持续时间、攻击类型、攻击目标IP地址、攻击端口、使用的源端口和源IP地址等其他参数,根据这些参数可以得到每次攻击中每类攻击的攻击属性信息。根据每类攻击的攻击属性信息确定命令报文中的攻击命令报文最后,关联攻击命令报文和攻击属性信息,差异化分析不同攻击命令报文寻找其特征,输出对命令报文格式的特征描述。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (14)
1.一种识别DDoS僵尸网络通信协议的方法,其特征在于,该方法包括:
获取主机中运行的僵尸程序bot与服务器之间通信的命令报文和通信报文;
从获取的通信报文中确定每次攻击的攻击属性信息;
根据所述每次攻击中每类攻击的攻击属性信息,从获取的命令报文中确定攻击命令报文;
根据所述攻击命令报文和/或所述攻击属性信息,确定攻击指令报文特征信息。
2.如权利要求1所述的方法,其特征在于,所述获取主机中运行的僵尸程序bot与服务器之间通信的命令报文和通信报文,包括:
如果未发生C&C通信,且已确定C&C服务器,将所述bot与C&C服务器之间传输的报文作为命令报文,将所述bot与非C&C服务器之间传输的报文作为通信报文;
如果未发生C&C通信,且未确定C&C服务器,将所述bot与当前通信的服务器作为C&C服务器,并将所述bot与所述C&C服务器之间传输的报文作为命令报文,将所述bot与非C&C服务器之间传输的报文作为通信报文;
如果已经发生C&C通信,则将当前所述bot与服务器之间传输的报文中目的网际协议IP地址和目的端口和C&C通信报文中目的网际协议IP地址和目的端口相同的报文作为命令报文,将当前所述bot与服务器之间传输的报文中目的网际协议IP地址和目的端口和C&C通信报文中目的网际协议IP地址和目的端口不相同的报文作为通信报文。
3.如权利要求1所述的方法,其特征在于,所述根据所述每次攻击中每类攻击的攻击属性信息,从获取的命令报文中确定攻击命令报文,包括:
根据每次攻击中每类攻击的攻击属性信息将攻击行为开始之前最后一次收到的所述命令报文确定为攻击开始指令;
根据每次攻击中每类攻击的攻击属性信息将攻击行为停止之前最后一次收到的所述命令报文确定为攻击停止指令;
将所述攻击开始指令和所述攻击停止指令作为攻击命令报文。
4.如权利要求3所述的方法,其特征在于,所述攻击指令报文特征信息包括下列信息中的部分或全部:
报文类型字段的偏移和编码;
攻击类型字段的偏移和编码;
攻击目标与端口字段的偏移和编码;
特定攻击类型参数的偏移和编码。
5.如权利要求4所述的方法,其特征在于,所述根据所述攻击命令报文和/或所述攻击属性信息,确定攻击指令报文特征信息,包括:
确定所有攻击开始指令报文中同一字节偏移上相同的字节内容,并将确定的相同的字节内容和对应的字节偏移划分在攻击开始集合中,以及确定所有攻击停止指令报文中同一字节偏移上相同的字节内容,并将确定的相同的字节内容和对应的字节偏移划分在攻击停止集合中;
确定所述攻击开始集合和所述攻击停止集合中同一字节偏移上不同的字节内容以及所述不同的字节内容的字节数,并将确定的所述不同的字节内容、所述不同的字节内容的字节数以及所述不同的字节内容的字节偏移作为报文类型字段的偏移。
6.如权利要求4所述的方法,其特征在于,所述根据所述攻击命令报文和/或所述攻击属性信息,确定攻击指令报文特征信息,包括:
确定所有攻击开始指令报文中同一字节偏移上不同的字节内容,并将确定的不同的字节内容和对应的字节偏移划分在攻击开始补集中;
将所述攻击属性信息根据攻击类型相同但攻击目标不同进行归类,确定每类攻击对应的攻击开始指令和所述攻击开始补集中同一字节偏移上相同的字节内容,从所述相同的字节内容中确定出攻击类型字段,将确定的攻击类型字段,攻击类型字段的字节偏移以及攻击类型字段的字节数作为攻击类型字段的偏移和编码。
7.如权利要求4所述的方法,其特征在于,所述根据所述攻击命令报文和/或所述攻击属性信息,确定攻击指令报文特征信息,包括:
确定攻击目标和端口在所述攻击开始指令中的字节偏移以及包含的字节数,将确定的所述攻击目标和端口的字节偏移以及包含的字节数作为攻击目标和端口字段的偏移和编码;
所述攻击目标和端口包括以下部分或全部:
目的网际协议地址;目的端口;源网际协议地址;源端口。
8.一种识别DDoS僵尸网络通信协议的装置,其特征在于,该装置包括:
网络行为捕获模块,用于获取主机中运行的bot与服务器之间通信的命令报文和通信报文,从获取的通信报文中确定每次攻击中每类攻击的攻击属性信息;
关联模块,根据所述每次攻击中每类攻击的攻击属性信息,从获取的命令报文中确定攻击命令报文,根据所述攻击命令报文和所述攻击属性信息,确定攻击指令报文特征信息。
9.如权利要求8所述的装置,其特征在于,所述网络行为捕获模块用于:
如果未发生C&C通信,且已确定C&C服务器,将所述bot与C&C服务器之间传输的报文作为命令报文,将所述bot与非C&C服务器之间传输的报文作为通信报文;
如果未发生C&C通信,且未确定C&C服务器,将所述bot与当前通信的服务器作为C&C服务器,并将所述bot与所述C&C服务器之间传输的报文作为命令报文,将所述bot与非C&C服务器之间传输的报文作为通信报文;
如果已经发生C&C通信,则将当前所述bot与服务器之间传输的报文中目的网际协议IP地址和目的端口和C&C通信报文中目的网际协议IP地址和目的端口相同的报文作为命令报文,将当前所述bot与服务器之间传输的报文中目的网际协议IP地址和目的端口和C&C通信报文中目的网际协议IP地址和目的端口不相同的报文作为通信报文。
10.如权利要求8所述的装置,其特征在于,所述关联模块用于:
根据每次攻击中每类攻击的攻击属性信息将攻击行为开始之前最后一次收到的所述命令报文确定为攻击开始指令;
根据每次攻击中每类攻击的攻击属性信息将攻击行为停止之前最后一次收到的所述命令报文确定为攻击停止指令;
将所述攻击开始指令和所述攻击停止指令作为攻击命令报文。
11.如权利要求10所述的装置,其特征在于,所述攻击指令报文特征信息包括下列信息中的部分或全部:
报文类型字段的偏移和编码;攻击类型字段的偏移和编码;攻击目标与端口字段的偏移和编码;特定攻击类型相关参数的偏移和编码。
12.如权利要求11所述的装置,其特征在于,所述关联模块用于:
确定所有攻击开始指令报文中同一字节偏移上相同的字节内容,并将确定的相同的字节内容和对应的字节偏移划分在攻击开始集合中,以及确定所有攻击停止指令报文中同一字节偏移上相同的字节内容,并将确定的相同的字节内容和对应的字节偏移划分在攻击停止集合中;
确定所述攻击开始集合和所述攻击停止集合中同一字节偏移上不同的字节内容以及所述不同的字节内容的字节数,并将确定的所述不同的字节内容、所述不同的字节内容的字节数以及所述不同的字节内容的字节偏移作为报文类型字段的偏移。
13.如权利要求11所述的装置,其特征在于,所述关联模块用于:
确定所有攻击开始指令报文中同一字节偏移上不同的字节内容,并将确定的不同的字节内容和对应的字节偏移划分在攻击开始补集中;
将所述攻击属性信息根据攻击类型相同但攻击目标不同进行归类,确定每类攻击对应的攻击开始指令和所述攻击开始补集中同一字节偏移上相同的字节内容,从所述相同的字节内容中确定出攻击类型字段,将确定的攻击类型字段,攻击类型字段的字节偏移以及攻击类型字段的字节数作为攻击类型字段的偏移和编码。
14.如权利要求11所述的装置,其特征在于,所述关联模块用于:
确定攻击目标和端口在所述攻击开始指令中的字节偏移以及包含的字节数,将确定的所述攻击目标和端口的字节偏移以及包含的字节数作为攻击目标和端口字段的偏移和编码;
所述攻击目标和端口包括以下部分或全部:
目的网际协议地址;目的端口;源网际协议地址;源端口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410196838.2A CN103997489B (zh) | 2014-05-09 | 2014-05-09 | 一种识别DDoS僵尸网络通信协议的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410196838.2A CN103997489B (zh) | 2014-05-09 | 2014-05-09 | 一种识别DDoS僵尸网络通信协议的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103997489A true CN103997489A (zh) | 2014-08-20 |
| CN103997489B CN103997489B (zh) | 2017-02-22 |
Family
ID=51311496
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410196838.2A Active CN103997489B (zh) | 2014-05-09 | 2014-05-09 | 一种识别DDoS僵尸网络通信协议的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103997489B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105635067A (zh) * | 2014-11-04 | 2016-06-01 | 华为技术有限公司 | 报文发送方法及装置 |
| CN105827630A (zh) * | 2016-05-03 | 2016-08-03 | 国家计算机网络与信息安全管理中心 | 僵尸网络属性识别方法、防御方法及装置 |
| CN106921612A (zh) * | 2015-12-24 | 2017-07-04 | 阿里巴巴集团控股有限公司 | 发现DDoS攻击的方法及装置 |
| CN107306266A (zh) * | 2016-04-25 | 2017-10-31 | 阿里巴巴集团控股有限公司 | 扫描中控服务器的方法及装置 |
| CN107454043A (zh) * | 2016-05-31 | 2017-12-08 | 阿里巴巴集团控股有限公司 | 一种网络攻击的监控方法及装置 |
| CN107547547A (zh) * | 2017-09-05 | 2018-01-05 | 成都知道创宇信息技术有限公司 | 一种基于编辑距离的tcp cc识别方法 |
| CN108200041A (zh) * | 2017-12-28 | 2018-06-22 | 贵阳忆联网络有限公司 | 一种防护ddos攻击的方法及系统 |
| CN108289084A (zh) * | 2017-01-10 | 2018-07-17 | 阿里巴巴集团控股有限公司 | 访问流量的阻断方法和装置及非暂态计算机可读存储介质 |
| CN109600362A (zh) * | 2018-11-26 | 2019-04-09 | 平安科技(深圳)有限公司 | 基于识别模型的僵尸主机识别方法、识别设备及介质 |
| CN110740144A (zh) * | 2019-11-27 | 2020-01-31 | 腾讯科技(深圳)有限公司 | 确定攻击目标的方法、装置、设备及存储介质 |
| CN112398781A (zh) * | 2019-08-14 | 2021-02-23 | 大唐移动通信设备有限公司 | 一种攻击测试方法、主机服务器及控制服务器 |
| CN113992391A (zh) * | 2018-12-28 | 2022-01-28 | 阿波罗智联(北京)科技有限公司 | 用于解析报文的方法和装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080229149A1 (en) * | 2007-03-14 | 2008-09-18 | Clifford Penton | Remote testing of computer devices |
| CN101360019A (zh) * | 2008-09-18 | 2009-02-04 | 华为技术有限公司 | 一种僵尸网络的检测方法、系统和设备 |
| CN101741862A (zh) * | 2010-01-22 | 2010-06-16 | 西安交通大学 | 基于数据包序列特征的irc僵尸网络检测系统和检测方法 |
| CN101753377A (zh) * | 2009-12-29 | 2010-06-23 | 吉林大学 | 一种p2p_botnet实时检测方法及系统 |
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
| CN102546298A (zh) * | 2012-01-06 | 2012-07-04 | 北京大学 | 一种基于主动探测的僵尸网络家族检测方法 |
-
2014
- 2014-05-09 CN CN201410196838.2A patent/CN103997489B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080229149A1 (en) * | 2007-03-14 | 2008-09-18 | Clifford Penton | Remote testing of computer devices |
| CN101360019A (zh) * | 2008-09-18 | 2009-02-04 | 华为技术有限公司 | 一种僵尸网络的检测方法、系统和设备 |
| CN101753377A (zh) * | 2009-12-29 | 2010-06-23 | 吉林大学 | 一种p2p_botnet实时检测方法及系统 |
| CN101741862A (zh) * | 2010-01-22 | 2010-06-16 | 西安交通大学 | 基于数据包序列特征的irc僵尸网络检测系统和检测方法 |
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
| CN102546298A (zh) * | 2012-01-06 | 2012-07-04 | 北京大学 | 一种基于主动探测的僵尸网络家族检测方法 |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105635067B (zh) * | 2014-11-04 | 2019-11-15 | 华为技术有限公司 | 报文发送方法及装置 |
| CN105635067A (zh) * | 2014-11-04 | 2016-06-01 | 华为技术有限公司 | 报文发送方法及装置 |
| US10791127B2 (en) | 2014-11-04 | 2020-09-29 | Huawei Technologies Co., Ltd. | Packet transmission method and apparatus |
| CN106921612A (zh) * | 2015-12-24 | 2017-07-04 | 阿里巴巴集团控股有限公司 | 发现DDoS攻击的方法及装置 |
| CN107306266A (zh) * | 2016-04-25 | 2017-10-31 | 阿里巴巴集团控股有限公司 | 扫描中控服务器的方法及装置 |
| CN107306266B (zh) * | 2016-04-25 | 2020-08-04 | 阿里巴巴集团控股有限公司 | 扫描中控服务器的方法及装置 |
| CN105827630A (zh) * | 2016-05-03 | 2016-08-03 | 国家计算机网络与信息安全管理中心 | 僵尸网络属性识别方法、防御方法及装置 |
| CN105827630B (zh) * | 2016-05-03 | 2019-11-12 | 国家计算机网络与信息安全管理中心 | 僵尸网络属性识别方法、防御方法及装置 |
| CN107454043A (zh) * | 2016-05-31 | 2017-12-08 | 阿里巴巴集团控股有限公司 | 一种网络攻击的监控方法及装置 |
| CN108289084A (zh) * | 2017-01-10 | 2018-07-17 | 阿里巴巴集团控股有限公司 | 访问流量的阻断方法和装置及非暂态计算机可读存储介质 |
| CN107547547A (zh) * | 2017-09-05 | 2018-01-05 | 成都知道创宇信息技术有限公司 | 一种基于编辑距离的tcp cc识别方法 |
| CN108200041A (zh) * | 2017-12-28 | 2018-06-22 | 贵阳忆联网络有限公司 | 一种防护ddos攻击的方法及系统 |
| CN109600362A (zh) * | 2018-11-26 | 2019-04-09 | 平安科技(深圳)有限公司 | 基于识别模型的僵尸主机识别方法、识别设备及介质 |
| CN109600362B (zh) * | 2018-11-26 | 2022-10-18 | 平安科技(深圳)有限公司 | 基于识别模型的僵尸主机识别方法、识别设备及介质 |
| CN113992391A (zh) * | 2018-12-28 | 2022-01-28 | 阿波罗智联(北京)科技有限公司 | 用于解析报文的方法和装置 |
| CN113992391B (zh) * | 2018-12-28 | 2023-12-29 | 阿波罗智联(北京)科技有限公司 | 用于解析报文的方法和装置 |
| CN112398781A (zh) * | 2019-08-14 | 2021-02-23 | 大唐移动通信设备有限公司 | 一种攻击测试方法、主机服务器及控制服务器 |
| CN112398781B (zh) * | 2019-08-14 | 2022-04-08 | 大唐移动通信设备有限公司 | 一种攻击测试方法、主机服务器及控制服务器 |
| CN110740144A (zh) * | 2019-11-27 | 2020-01-31 | 腾讯科技(深圳)有限公司 | 确定攻击目标的方法、装置、设备及存储介质 |
| CN110740144B (zh) * | 2019-11-27 | 2022-09-16 | 腾讯科技(深圳)有限公司 | 确定攻击目标的方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103997489B (zh) | 2017-02-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103997489A (zh) | 一种识别DDoS僵尸网络通信协议的方法及装置 | |
| CN104052734B (zh) | 使用全球设备指纹识别的攻击检测和防止 | |
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| US20120099597A1 (en) | Method and device for detecting a packet | |
| CN100553206C (zh) | 基于报文采样和应用签名的互联网应用流量识别方法 | |
| CN103607399A (zh) | 基于暗网的专用ip网络安全监测系统及方法 | |
| JP2013009185A (ja) | 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム | |
| CA3159619C (en) | Packet processing method and apparatus, device, and computer-readable storage medium | |
| CN111147513A (zh) | 基于攻击行为分析的蜜网内横向移动攻击路径确定方法 | |
| CN111049784B (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN112738022B (zh) | 一种针对机器人操作系统ros消息的攻击方法 | |
| CN111049781A (zh) | 一种反弹式网络攻击的检测方法、装置、设备及存储介质 | |
| CN111866030A (zh) | 一种拟态边缘网关的工业协议识别装置及方法 | |
| JP6962374B2 (ja) | ログ分析装置、ログ分析方法及びプログラム | |
| WO2016008212A1 (zh) | 一种终端及检测终端数据交互的安全性的方法、存储介质 | |
| CN112788065B (zh) | 一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置 | |
| CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
| WO2024113953A1 (zh) | C2服务器识别方法、装置、电子设备及可读存储介质 | |
| CN103209181A (zh) | 一种linux网络架构下应用连接防火墙的实现方法 | |
| CN105827627A (zh) | 一种信息获取方法和装置 | |
| CN107454043A (zh) | 一种网络攻击的监控方法及装置 | |
| CN112311728A (zh) | 主机攻陷判定方法、装置、计算设备及计算机存储介质 | |
| Ponomarev | Intrusion Detection System of industrial control networks using network telemetry | |
| WO2023059575A2 (en) | Network security system for preventing unknown network attacks | |
| CN105530098B (zh) | 一种协议指纹自动提取方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee after: NSFOCUS Technologies Group Co.,Ltd. Patentee after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Patentee before: NSFOCUS TECHNOLOGIES Inc. |