[发明专利]一种用于DDoS攻击的取证方法及系统

权利要求书

1.一种用于DDoS攻击的取证方法，其特征在于，包括如下步骤：

步骤1，报告异常信息表；

当客户端检测到僵尸网络IRC行为时，如果该行为涉及未报告的IRC频道，则将C2信息表提交至服务器端；如果客户端检测到新的DDoS攻击，则将攻击信息表提交至服务器端；

步骤2，信息表分析；

在服务器端使用C2信息表分析算法和DDoS攻击电子证据分析算法对电子证据进行分析；

所述C2信息表分析算法具体包括如下步骤：

（1）将处于同一个IRC频道中的Botnet看作一个基本单位；

（2）系统为每一个认定出来的Botnet建立一个Botnet对象；

（3）当僵尸主机报告加入了一个新的IRC频道时，把该频道加入到准IRC频道列表中，同时产生一个对应的举报向量，向量中的分量为布尔型的变量，初始化时均为假，每个分量对应Botnet中的一个僵尸主机，若该僵尸主机报告了加入该条新的IRC频道，则对应分量设置为真；

（4）对于报告上来的每一次攻击，建立一个攻击列表，表中的元素即为攻击的ID对每一个攻击建立的相应计数器向量，向量中的分量为Long型的变量，初始化为0，若Botnet的某个僵尸主机发送了攻击报告，则给相应的计数器分量加一；

所述DDoS攻击电子证据分析算法具体包括如下步骤：

（1）客户端发动的DDoS攻击，若两次攻击中受害主机的IP相同，则这两次攻击属于同一组DDoS攻击；

（2）创建Attack对象表示Botnet的DDoS攻击，每个Attack对象包括一个ID、被攻击服务器的IP以及一个参与攻击的Botnet列表；

（3）当服务器接到一个攻击报告，把该攻击信息表与攻击列表中的元素比较，若该攻击不属于任何Attack，则新建一个Attack对象；若该攻击属于某个Attack，则对该Attack的节点进行融合，融合的具体做法是：在该节点所属的Botnet中，若存在与该Attack对应的攻击向量，则把攻击向量的对应分量设置为真；若不存在对应的攻击向量，则生成攻击向量，然后再把攻击向量对应的分量设置为真；若攻击向量中为真的分量大于某个阈值，则把该Botnet ID加到Attack参与攻击的Botnet列表中；

（4）攻击的规模为参与攻击的Botnet列表中与该Attack对应的攻击向量中为真分量的个数；

步骤3，FMS分片数据包标记；

使用三种技术来减少每个数据包的存储需求，通过重新加载IP数据包来监视空间；

所述三种技术包括：

（1）用两个路由器IP地址的异或值来表示一条边，该值表示了两个路由器之间的联系，具体包括：

a、当一个路由器需要标记一个数据包时会把自己的IP地址a写入数据包；

b、接下来的路由器b看到数据包的distance域为0，从中得出a和路由器b的地址并将它们异或运算后再次把运算值写入到数据包中，称为路由器a和b组成的边；

c、除了距离被攻击者仅一跳的那个路由器转发的样本不进行修改外，其它的都进行修改，使被攻击者收到的样本的边总是包含两个相邻的路由器间的异或值；由于这一性质，所以在重构攻击路径时，被攻击者能够通过对下游路由器发来的样本进行编码，得到它的上一级边；重复此求解操作，一步一步向上回溯，直到找出第一级路由器；

（2）利用分段技术，把32位的边信息分成ｋ个小的不重叠的片段；

（3）采用一个简单的误差检验方式：一个路由器A的32位IP地址和一个32位的hash(A)进行交叉，地址长度增加到64位。

2.根据权利要求1所述的用于DDoS攻击的取证方法，其特征在于，所述步骤1中，C2信息表包括以下信息：IRC频道、客户端IP以及僵尸网络ID，所述攻击信息表包括以下信息：发起攻击的主机IP、被攻击的主机IP以及僵尸网络ID。

3.根据权利要求1所述的用于DDoS攻击的取证方法，其特征在于，所述Botnet对象包括：Botnet ID，一个子Botnet列表，一个父Botnet引用，一个僵尸主机列表，一个IRC C2频道轨迹列表，一个准IRC C2频道列表，一组IRC频道更换举报向量，一个DDoS攻击列表和一组DDoS攻击向量。