[发明专利]基于网络攻击伴随行为的DDoS攻击群体分析方法

摘要

本发明涉及一种基于网络攻击伴随行为的DDoS攻击群体分析方法，包括：获取预设时间内的DDoS攻击行为的所有控制端IP，以及每个控制端IP所对应的攻击目标轨迹和利用肉鸡轨迹；计算每个控制端IP与除该控制端IP外的其他每个控制端IP的攻击目标轨迹相似度，以及利用肉鸡轨迹相似度；根据所有的任意两个控制端IP，以及对应的攻击目标轨迹相似度和利用肉鸡轨迹相似度构建关系图；根据所构建的关系图划分DDoS攻击群体。本发明通过汇总分析大量的DDoS攻击事件中涉及的互联网攻击资源，建立对零散的DDoS攻击事件的基于时空多维关系的攻击序列，找到DDoS攻击事件发生期间这些攻击资源的关联和归属，从而支持对重要、组织性的DDoS攻击群体的发现。

主权项

1.一种基于网络攻击伴随行为的DDoS攻击群体分析方法，其特征在于：所述方法包括以下步骤：

获取预设时间内的DDoS攻击行为的所有控制端IP，以及每个控制端IP所对应的攻击目标轨迹和利用肉鸡轨迹；

计算每个控制端IP与除该控制端IP外的其他每个控制端IP的攻击目标轨迹相似度；

计算每个控制端IP与除该控制端IP外的其他每个控制端IP的利用肉鸡轨迹相似度；

根据所计算的所有的任意两个控制端IP，以及对应的攻击目标轨迹相似度和利用肉鸡轨迹相似度构建关系图；

根据所构建的关系图划分DDoS攻击群体。

2.根据权利要求1所述的基于网络攻击伴随行为的DDoS攻击群体分析方法，其特征在于：

所述方法还包括：

设定攻击目标IP个数阈值和肉鸡IP个数阈值；

将每个控制端IP的攻击目标轨迹所包含的攻击目标IP个数与所述攻击目标IP个数阈值进行比较，若少于所述攻击目标IP个数阈值，则滤除该控制端IP；

将每个控制端IP的利用肉鸡轨迹所包含的肉鸡IP个数与所述肉鸡IP个数阈值进行比较，若少于肉鸡IP个数阈值，则滤除该控制端IP。

3.根据权利要求1所述的基于网络攻击伴随行为的DDoS攻击群体分析方法，其特征在于：

每条所述攻击目标轨迹对应一个目标轨迹集合，所述目标轨迹集合包括，控制端IP在所述预设时间段内攻击的目标IP以及对应的时间点；一个控制端IP在一个对应时间点攻击的目标IP为一个或多个；

每条所述利用肉鸡轨迹对应一个肉鸡轨迹集合，所述肉鸡轨迹集合包括，控制端IP在所述预设时间段内肉鸡IP以及对应的时间点；一个控制端IP在一个对应时间点肉鸡IP为一个或多个。

4.根据权利要求3所述的基于网络攻击伴随行为的DDoS攻击群体分析方法，其特征在于：

计算每个控制端IP与除该控制端IP外的其他每个控制端IP的攻击目标轨迹相似度，包括以下步骤：

统计两个控制端IP所对应的所有时间点，计算每个时间点对应的攻击目标相似度score1，设两个控制端IP在Tn时间点对应的攻击目标IP集合分别为An和Bn，n为1‑N内的正整数；其中，N为大于等于1的正整数，表示所述两个控制端IP所对应的所有时间点的个数：

若此时间点只有一个控制端IP有攻击目标轨迹，则score1＝0；

若此时间点两个控制端IP均有攻击目标轨迹点，则如果An包括Bn，或Bn包含An,则score1＝1.0，否则，score1＝(An和Bn的交集)/(An和Bn的并集)；

所述两个控制端IP对应的攻击目标轨迹相似度设为score_X，score_X＝(每个时间点的攻击目标相似度score1累加总和)/时间点数N。

5.根据权利要求4所述的基于网络攻击伴随行为的DDoS攻击群体分析方法，其特征在于：

计算每个控制端IP与除该控制端IP外的其他每个控制端IP的利用肉鸡轨迹相似度，包括以下步骤：

统计两个控制端IP所对应的所有时间点，计算每个时间点对应的利用肉鸡相似度score2，设两个控制端IP在Tn时间点对应的利用肉鸡IP集合分别为Cn和Dn，n为1‑N内的正整数；其中，N为大于等于1的正整数，表示所述两个控制端IP所对应的所有时间点的个数：

若此时间点只有一个控制端IP有利用肉鸡轨迹，则score2＝0；

若此时间点两个控制端IP均有利用肉鸡轨迹点，则如果Cn包括Dn，或Dn包含Cn,则score2＝1.0，否则，score2＝(Cn和Dn的交集)/(Cn和Dn的并集)；

所述两个控制端IP对应的攻击目标轨迹相似度设为score_Y，score_Y＝(每个时间点的肉鸡相似度score2累加总和)/时间点数N。

6.根据权利要求5所述的基于网络攻击伴随行为的DDoS攻击群体分析方法，其特征在于：

根据所计算的所有的任意两个控制端IP，以及对应的攻击目标轨迹相似度和利用肉鸡轨迹相似度构建关系图，包括以下步骤：

以两个控制端IP为图的顶点，根据对应的攻击目标轨迹相似度和利用肉鸡轨迹相似度构建边，规则如下：

设定相似度阀值，若score_X和score_Y均大于所述相似度阀值，则两个控制端IP视为相似，将两个控制端IP顶点连接，形成边；

否则，计算2*score_X*score_Y/(score_X+score_Y),若结果大于所述相似度阀值，则两个控制端IP视为相似，将两个控制端IP顶点连接，形成边；

将所有顶点和边构建关系图。

7.根据权利要求1所述的基于网络攻击伴随行为的DDoS攻击群体分析方法，其特征在于：

根据所构建的关系图划分DDoS攻击群体，包括以下步骤：

采用图聚类算法分析所构建的关系图，将控制端IP顶点划分成为多个类别，形成不同的DDoS攻击群体。

8.根据权利要求7所述的基于网络攻击伴随行为的DDoS攻击群体分析方法，其特征在于：

所述图聚类算法包括谱聚类和深度优先搜索算法。

9.一种控制器，其包括存储器与处理器，所述存储器存储有计算机程序，所述程序在被所述处理器执行时能够实现权利要求1至8中任意一项权利要求所述的方法的步骤。

10.一种计算机可读存储介质，用于存储计算机程序，所述程序在由一计算机或处理器执行时实现如权利要求1至8中任意一项权利要求所述的方法的步骤。