[发明专利]基于网络攻击伴随行为的DDoS攻击群体分析方法

说明书

本发明涉及一种基于网络攻击伴随行为的DDoS攻击群体分析方法，包括：获取预设时间内的DDoS攻击行为的所有控制端IP，以及每个控制端IP所对应的攻击目标轨迹和利用肉鸡轨迹；计算每个控制端IP与除该控制端IP外的其他每个控制端IP的攻击目标轨迹相似度，以及利用肉鸡轨迹相似度；根据所有的任意两个控制端IP，以及对应的攻击目标轨迹相似度和利用肉鸡轨迹相似度构建关系图；根据所构建的关系图划分DDoS攻击群体。本发明通过汇总分析大量的DDoS攻击事件中涉及的互联网攻击资源，建立对零散的DDoS攻击事件的基于时空多维关系的攻击序列，找到DDoS攻击事件发生期间这些攻击资源的关联和归属，从而支持对重要、组织性的DDoS攻击群体的发现。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于网络攻击伴随行为的DDoS攻击群体分析方法。

背景技术

近年来，很多研究机构和安全企业等，针对DDoS(Distributed Denial ofService分布式拒绝服务)攻击、防御、态势等进行了研究和阐述，发布了一系列的科研论文和分析报告。DDoS攻击是一种网络攻击方式，通常利用肉鸡资源为攻击平台或利用专门的攻击软件工具向受害主机发送看似合理的服务请求来占用服务器的大量资源，从而造成网络堵塞或服务器资源耗尽而导致服务器拒绝合法用户，肉鸡资源可以理解为中了木马病毒，可以被远程操控的计算机设备。

但是，现有DDoS攻击分析方法，主要是对单个DDoS攻击防御、溯源的方法，主要是从DDoS攻击事件本身出发，研究单个攻击或某类型攻击的检测方法、防御方法、溯源方法，缺乏对攻击事件汇总数据的综合分析，尤其是对攻击发起源头的团伙性分析。因此，现有DDoS攻击分析方法很难体系化地形成对发起攻击事件的攻击群体的掌握。

发明内容

本发明所要解决的技术问题在于，提供一种基于网络攻击伴随行为的 DDoS攻击群体分析方法，通过汇总分析大量的DDoS攻击事件中涉及的互联网攻击资源，建立对零散的DDoS攻击事件的基于时空多维关系的攻击序列，找到DDoS攻击事件发生期间这些攻击资源的关联和归属，支持对重要、组织性的DDoS攻击群体的发现。

为了解决上述技术问题，本发明提供了一种基于网络攻击伴随行为的 DDoS攻击群体分析方法，所述方法包括以下步骤：

获取预设时间内的DDoS攻击行为的所有控制端IP，以及每个控制端 IP所对应的攻击目标轨迹和利用肉鸡轨迹；

计算每个控制端IP与除该控制端IP外的其他每个控制端IP的攻击目标轨迹相似度；

计算每个控制端IP与除该控制端IP外的其他每个控制端IP的利用肉鸡轨迹相似度；

根据所有的任意两个控制端IP，以及对应的攻击目标轨迹相似度和利用肉鸡轨迹相似度构建关系图；

根据所构建的关系图划分DDoS攻击群体。

进一步的，所述方法还包括：

设定攻击目标IP个数阈值和肉鸡IP个数阈值；

将每个控制端IP的攻击目标轨迹所包含的攻击目标IP个数与所述攻击目标IP个数阈值进行比较，若少于所述攻击目标IP个数阈值，则滤除该控制端IP；

将每个控制端IP的利用肉鸡轨迹所包含的肉鸡IP个数与所述肉鸡IP 个数阈值进行比较，若少于肉鸡IP个数阈值，则滤除该控制端IP。

进一步的，每条所述攻击目标轨迹对应一个目标轨迹集合，所述目标轨迹集合包括，控制端IP在所述预设时间内攻击的目标IP以及对应的时间点；一个控制端IP在一个对应时间点攻击的目标IP为一个或多个；

每条所述利用肉鸡轨迹对应一个肉鸡轨迹集合，所述肉鸡轨迹集合包括，控制端IP在所述预设时间内肉鸡IP以及对应的时间点；一个控制端 IP在一个对应时间点肉鸡IP为一个或多个。