基于网络攻击伴随行为的DDoS攻击群体分析方法与流程

本发明涉及网络安全技术领域，尤其涉及一种基于网络攻击伴随行为的DDoS攻击群体分析方法。

背景技术：

近年来，很多研究机构和安全企业等，针对DDoS(Distributed Denial of Service分布式拒绝服务)攻击、防御、态势等进行了研究和阐述，发布了一系列的科研论文和分析报告。DDoS攻击是一种网络攻击方式，通常利用肉鸡资源为攻击平台或利用专门的攻击软件工具向受害主机发送看似合理的服务请求来占用服务器的大量资源，从而造成网络堵塞或服务器资源耗尽而导致服务器拒绝合法用户，肉鸡资源可以理解为中了木马病毒，可以被远程操控的计算机设备。

但是，现有DDoS攻击分析方法，主要是对单个DDoS攻击防御、溯源的方法，主要是从DDoS攻击事件本身出发，研究单个攻击或某类型攻击的检测方法、防御方法、溯源方法，缺乏对攻击事件汇总数据的综合分析，尤其是对攻击发起源头的团伙性分析。因此，现有DDoS攻击分析方法很难体系化地形成对发起攻击事件的攻击群体的掌握。

技术实现要素：

本发明所要解决的技术问题在于，提供一种基于网络攻击伴随行为的DDoS攻击群体分析方法，通过汇总分析大量的DDoS攻击事件中涉及的互联网攻击资源，建立对零散的DDoS攻击事件的基于时空多维关系的攻击序列，找到DDoS攻击事件发生期间这些攻击资源的关联和归属，支持对重要、组织性的DDoS攻击群体的发现。

为了解决上述技术问题，本发明提供了一种基于网络攻击伴随行为的DDoS攻击群体分析方法，所述方法包括以下步骤：

获取预设时间内的DDoS攻击行为的所有控制端IP，以及每个控制端IP所对应的攻击目标轨迹和利用肉鸡轨迹；

计算每个控制端IP与除该控制端IP外的其他每个控制端IP的攻击目标轨迹相似度；

计算每个控制端IP与除该控制端IP外的其他每个控制端IP的利用肉鸡轨迹相似度；

根据所计算的所有的任意两个控制端IP，以及对应的攻击目标轨迹相似度和利用肉鸡轨迹相似度构建关系图；

根据所构建的关系图划分DDoS攻击群体。

进一步的，所述方法还包括：

设定攻击目标IP个数阈值和肉鸡IP个数阈值；

将每个控制端IP的攻击目标轨迹所包含的攻击目标IP个数与所述攻击目标IP个数阈值进行比较，若少于所述攻击目标IP个数阈值，则滤除该控制端IP；

将每个控制端IP的利用肉鸡轨迹所包含的肉鸡IP个数与所述肉鸡IP个数阈值进行比较，若少于肉鸡IP个数阈值，则滤除该控制端IP。

进一步的，每条所述攻击目标轨迹对应一个目标轨迹集合，所述目标轨迹集合包括，控制端IP在所述预设时间段内攻击的目标IP以及对应的时间点；一个控制端IP在一个对应时间点攻击的目标IP为一个或多个；

每条所述利用肉鸡轨迹对应一个肉鸡轨迹集合，所述肉鸡轨迹集合包括，控制端IP在所述预设时间段内肉鸡IP以及对应的时间点；一个控制端IP在一个对应时间点肉鸡IP为一个或多个。

进一步的，计算每个控制端IP与除该控制端IP外的其他每个控制端IP的攻击目标轨迹相似度，包括以下步骤：

统计两个控制端IP所对应的所有时间点，计算每个时间点对应的攻击目标相似度score1，设两个控制端IP在Tn时间点对应的攻击目标IP集合分别为An和Bn，n为1-N内的正整数；其中，N为大于等于1的正整数，表示所述两个控制端IP所对应的所有时间点的个数：

若此时间点只有一个控制端IP有攻击目标轨迹，则score1＝0；

若此时间点两个控制端IP均有攻击目标轨迹点，则如果An包括Bn，或Bn包含An,则score1＝1.0，否则，score1＝(An和Bn的交集)/(An和Bn的并集)；

所述两个控制端IP对应的攻击目标轨迹相似度设为score_X，score_X＝(每个时间点的攻击目标相似度score1累加总和)/时间点数N。

进一步的，计算每个控制端IP与除该控制端IP外的其他每个控制端IP的利用肉鸡轨迹相似度，包括以下步骤：

统计两个控制端IP所对应的所有时间点，计算每个时间点对应的利用肉鸡相似度score2，设两个控制端IP在Tn时间点对应的利用肉鸡IP集合分别为Cn和Dn，n为1-N内的正整数；其中，N为大于等于1的正整数，表示所述两个控制端IP所对应的所有时间点的个数：

若此时间点只有一个控制端IP有利用肉鸡轨迹，则score2＝0；

若此时间点两个控制端IP均有利用肉鸡轨迹点，则如果Cn包括Dn，或Dn包含Cn,则score2＝1.0，否则，score2＝(Cn和Dn的交集)/(Cn和Dn的并集)；

所述两个控制端IP对应的攻击目标轨迹相似度设为score_Y，score_Y＝(每个时间点的肉鸡相似度score2累加总和)/时间点数N。

进一步的，根据所计算的所有的任意两个控制端IP，以及对应的攻击目标轨迹相似度和利用肉鸡轨迹相似度构建关系图，包括以下步骤：

以两个控制端IP为图的顶点，根据对应的攻击目标轨迹相似度和利用肉鸡轨迹相似度构建边，规则如下：

设定相似度阀值，若score_X和score_Y均大于所述相似度阀值，则两个控制端IP视为相似，将两个控制端IP顶点连接，形成边；

否则，计算2*score_X*score_Y/(score_X+score_Y),若结果大于所述相似度阀值，则两个控制端IP视为相似，将两个控制端IP顶点连接，形成边；

将所有顶点和边构建关系图。

进一步的,根据所构建的关系图划分DDoS攻击群体，包括以下步骤：

采用图聚类算法分析所构建的关系图，将控制端IP顶点划分成为多个类别，形成不同的DDoS攻击群体。

进一步的，所述图聚类算法包括谱聚类和深度优先搜索算法。

根据本发明另一方面，提供一种控制器，其包括存储器与处理器，所述存储器存储有计算机程序，所述程序在被所述处理器执行时能够实现所述方法的步骤。

根据本发明又一方面，提供一种计算机可读存储介质，用于存储计算机程序，所述程序在由一计算机或处理器执行时实现所述方法的步骤。

本发明与现有技术相比具有明显的优点和有益效果。借由上述技术方案，本发明一种基于网络攻击伴随行为的DDoS攻击群体分析方法可达到相当的技术进步性及实用性，并具有产业上的广泛利用价值，其至少具有下列优点：

本发明通过汇总分析大量的DDoS攻击事件中涉及的互联网攻击资源，建立对零散的DDoS攻击事件的基于时空多维关系的攻击序列，找到DDoS攻击事件发生期间的攻击资源的关联和归属，支持对重要、组织性的DDoS攻击群体的发现。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂，以下特举较佳实施例，并配合附图,详细说明如下。

附图说明

图1为本发明一实施例提供基于网络攻击伴随行为的DDoS攻击群体分析方法示意图；

图2为控制端、肉鸡和攻击目标的关系示意图。

具体实施方式

为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例，对依据本发明提出的一种基于网络攻击伴随行为的DDoS攻击群体分析方法的具体实施方式及其功效，详细说明如后。

DDoS攻击群体具备以下三个特点：(1)拥有一批攻击资源，资源相对稳定，长期会发生变化；(2)会调动不同的资源攻击同一目标，即在同一时刻攻击同一目标的攻击资源可能属于一个团伙；(3)在一段时间范围内，连续地使用相同的攻击资源攻击相同的目标可能属于同一个团伙。基于上述特点，本发明实施例提供了一种基于网络攻击伴随行为的DDoS攻击群体分析方法，如图1所示，所述方法包括以下步骤：

步骤S1、获取预设时间内的DDoS攻击行为的所有控制端IP，以及每个控制端IP所对应的攻击目标轨迹和利用肉鸡轨迹；

所述步骤S1执行之前，可汇总大量的DDoS攻击时间数据，记录控制端、肉鸡、攻击目标的攻击行为序列，然后从攻击行为序列中获取所需数据，然后通过时空轨迹伴随模式的思路，来描绘出攻击目标轨迹和利用肉鸡轨迹来，从而发现攻击行为序列中的群体行为，其中控制端、肉鸡和攻击目标的关系示意图如图2所示。

时空轨迹伴随模式应用于DDoS攻击事件中，将控制端视为移动对象，其控制多个肉鸡同时攻击同一目标视为其密度相连，组成同一聚类，在相邻的离散时间片段内，连续共同攻击同一目标的概率大于所设定的攻击阈值，可视为时空轨迹伴随。

所述步骤S1中，每条所述攻击目标轨迹对应一个目标轨迹集合，所述目标轨迹集合包括，控制端IP在所述预设时间段内攻击的目标IP以及对应的时间点；一个控制端IP在一个对应时间点攻击的目标IP为一个或多个，即一个控制端IP可在同一时间点攻击一个或多个攻击目标IP，但可以理解的是，在预设时间段的部分时间点中，该控制端IP未发生DDoS攻击行为，则该时间点对应的攻击的目标IP个数为零。

每条所述利用肉鸡轨迹对应一个肉鸡轨迹集合，所述肉鸡轨迹集合包括，控制端IP在所述预设时间段内肉鸡IP以及对应的时间点；一个控制端IP在一个对应时间点肉鸡IP为一个或多个，即一个控制端IP可在同一时间点攻击一个或多个肉鸡IP，但可以理解的是，在预设时间段的部分时间点中，该控制端IP未领域肉鸡IP，则该时间点对应的攻击的肉鸡IP个数为零。

作为一种示例，以控制端IP为主体，以天为分隔粒度，即预设时间为24小时，将其攻击的目标IP轨迹进行聚合，需要说明的是，一个控制端IP可能在同一天攻击多个目标，所在每天的攻击目标轨迹聚合是一个集合。其形式如下：

SIP:{T1:[DIP11,DIP12,...],T2:[DIP21,DIP22,...],...Tm:[DIPm1,DIPm2,...]}，

其中，SIP是控制端IP，Tm是时间点，DIP为被攻击IP。

以控制端IP为主体，以天为分隔粒度，将其利用的肉鸡IP轨迹进行聚合，需要说明的是，一个控制IP可能在同一天利用多个肉鸡，所在每天的利用肉鸡轨迹聚合是一个集合。其形式如下：

{SIP:{T1:[RIP11,RIP12,...],T2:[RIP21,RIP22,...],...Tm:[RIPm1,RIPm2,...]},

其中，SIP是控制端IP，Tm是时间点，RIP为肉鸡IP。

可以理解的是，不同的控制端的结合中所包含的时间点可能不相同。

步骤S2、计算每个控制端IP与除该控制端IP外的其他每个控制端IP的攻击目标轨迹相似度；即将每个每个控制端IP与除该控制端IP外的其他每个控制端IP两两组合进行计算，直至所有的控制端IP与其他控制端IP两两组合计算完毕，但可以理解的是，重复的两两组合的计算可以只进行一次。

为了避免因为攻击事件的偶然性引起的噪声，可在步骤S1和步骤S2之间增加如下步骤：

步骤S11、设定攻击目标IP个数阈值和肉鸡IP个数阈值；

步骤S12、将每个控制端IP的攻击目标轨迹所包含的攻击目标IP个数与攻击目标IP个数阈值进行比较，若少于攻击目标IP个数阈值，则滤除该控制端IP；

步骤S13、将每个控制端IP的利用肉鸡轨迹所包含的肉鸡IP个数与肉鸡IP个数阈值进行比较，若少于肉鸡IP个数阈值，则滤除该控制端IP。

作为一种示例，S11中可将目标IP个数阈值和肉鸡IP个数阈值均设为2，则将过滤掉的是只有一次攻击事件的控制端IP，或仅利用过一次的肉鸡IP的控制端IP。

步骤S2中，因控制端IP并不一定在所有的时间节点都有攻击事件，故轨迹可能不是连续的，而是离散的，两个控制端IP单个轨迹不一定能覆盖所有时间点。因此，作为一种示例，步骤S2中，计算每组两个两个控制端IP的攻击目标轨迹相似度，包括以下步骤：

步骤S21、统计两个控制端IP所对应的所有时间点，计算每个时间点对应的攻击目标相似度score1，设两个控制端IP在Tn时间点对应的攻击目标IP集合分别为An和Bn，n为1-N内的正整数；其中，N为大于等于1的正整数，表示所述两个控制端IP所对应的所有时间点的个数：

步骤S22、若此时间点只有一个控制端IP有攻击目标轨迹，则score1＝0；

若此时间点两个控制端IP均有攻击目标轨迹点，则如果An包括Bn，或Bn包含An,则score1＝1.0，否则，score1＝(An和Bn的交集)/(An和Bn的并集)；

步骤S23、所述两个控制端IP对应的攻击目标轨迹相似度设为score_X，score_X＝(每个时间点的攻击目标相似度score1累加总和)/时间点数N。

步骤S3、计算每个控制端IP与除该控制端IP外的其他每个控制端IP的利用肉鸡轨迹相似度；即将每个每个控制端IP与除该控制端IP外的其他每个控制端IP两两组合进行计算，直至所有的控制端IP与其他控制端IP两两组合计算完毕，但可以理解的是，重复的两两组合的计算可以只进行一次。

作为一种示例，步骤S3中，计算每组两个两个控制端IP的利用肉鸡轨迹相似度，包括以下步骤：

步骤S31、统计两个控制端IP所对应的所有时间点，计算每个时间点对应的利用肉鸡相似度score2，设两个控制端IP在Tn时间点对应的利用肉鸡IP集合分别为Cn和Dn，n为1-N内的正整数；其中，N为大于等于1的正整数，表示所述两个控制端IP所对应的所有时间点的个数：

步骤S32、若此时间点只有一个控制端IP有利用肉鸡轨迹，则score2＝0；

若此时间点两个控制端IP均有利用肉鸡轨迹点，则如果Cn包括Dn，或Dn包含Cn,则score2＝1.0，否则，score2＝(Cn和Dn的交集)/(Cn和Dn的并集)；

步骤S33、所述两个控制端IP对应的攻击目标轨迹相似度设为score_Y，score_Y＝(每个时间点的肉鸡相似度score2累加总和)/时间点数N。

步骤S4、根据所计算的所有的任意两个控制端IP，以及对应的攻击目标轨迹相似度和利用肉鸡轨迹相似度构建关系图；

作为一种示例，步骤S4包括以下步骤：

步骤S41、以两个控制端IP为图的顶点，根据对应的攻击目标轨迹相似度和利用肉鸡轨迹相似度构建边，规则如下：

设定相似度阀值，若score_X和score_Y均大于所述相似度阀值，则两个控制端IP视为相似，将两个控制端IP顶点连接，形成边；

否则，计算2*score_X*score_Y/(score_X+score_Y),若结果大于所述相似度阀值，则两个控制端IP视为相似，将两个控制端IP顶点连接，形成边；

步骤S42、将所有顶点和边构建关系图。

步骤S5、根据所构建的关系图划分DDoS攻击群体。

作为一种示例，步骤S5包括以下步骤：采用图聚类算法分析所构建的关系图，将控制端IP顶点划分成为多个类别，形成不同的DDoS攻击群体。其中，所采用的图聚类算法可以为谱聚类和深度优先搜索算法等。

最终划分出的DDoS攻击群中，控制肉鸡的控制端节点、以及参与攻击的所有肉鸡节点构成可疑的同一团伙所利用的资源查询控制端的域名解析记录，可以追溯是否有恶意域名，以及域名的whois信息(whois(读作"Whois"，非缩写)是用来查询域名的IP以及所有者等信息的传输协议。whois就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库(如域名所有人、域名注册商)。通过whois来实现对域名信息的查询。)，最终可溯源至攻击者。

本发明实施例还提供一种控制器，其包括存储器与处理器，所述存储器存储有计算机程序，所述程序在被所述处理器执行时能够实现所述方法的步骤。

本发明实施例还提供一种计算机可读存储介质，用于存储计算机程序，所述程序在由一计算机或处理器执行时实现所述方法的步骤。

本发明实施例通过持续对互联网上的大流量DDoS攻击事件进行监测、溯源、汇总，通过对攻击者的攻击行为模式进行分析，发现攻击发起的群体行为，掌握互联网上大流量事件的发起来源情况，通过与互联网情报数据进行关联，支撑对DDoS攻击群体的跟踪溯源。所述方法可以通过寻找事件、攻击资源及其之间的关联，找到重要的攻击群体和其掌握的资源列表。通过汇总大量发起DDoS攻击的事件和互联网攻击资源，记录带有时序信息的控制端IP资源、肉鸡资源和攻击目标的攻击行为序列，使用时空轨迹伴随模式的思路来发现行为序列中的群体行为，通过与网络安全威胁情报数据关联，进一步实现攻击群体的跟踪溯源。

以上所述，仅是本发明的较佳实施例而已，并非对本发明作任何形式上的限制，虽然本发明已以较佳实施例揭露如上，然而并非用以限定本发明,任何熟悉本专业的技术人员，在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰，均仍属于本发明技术方案的范围内。