[发明专利]一种识别判定DDoS攻击团伙行为的方法

说明书

本发明是有关于一种识别判定DDoS攻击团伙行为的方法。本方法为：1)获取DDoS攻击记录，查询控制端IP和攻击目标IP的whois信息；2)综合DDoS攻击的攻击目标相似性、僵尸主机相似性、攻击时间相似性，计算攻击者相似性；3)以攻击者为节点构建社区网络，两个攻击者相似度超过阈值时，构建两个攻击者的连接关系。4)应用社区发现算法，计算团伙特征的一致性，通过可视化和一致性来挖掘和分析团伙行为。本发明基于时间定义攻击者的多维相似性，实现数据的降维表示。将数据应用社区发现算法来挖掘攻击团伙，使得具有相似攻击行为的攻击者可以聚成团，实现有效的团伙挖掘和属性标定，快速准确判定出攻击团伙，协助警方破案。

技术领域

本发明涉及一种网络安全技术领域的识别判定DDoS攻击的方法，特别是涉及一种识别判定DDoS攻击团伙行为的方法。

背景技术

DDoS攻击是最常见的网络攻击之一，攻击门槛低，但具有很高的破坏性。这是一种协作性质的网络攻击，攻击者利用大量受感染的主机作为攻击平台，对特定目标发起DDoS攻击。DDoS攻击的攻击场景可以描述为：少数控制台控制大量服务器(即僵尸网络)以在特定时间范围内对特定目标发起大量攻击以破坏网络，导致网络无法提供正常服务。DDoS攻击由少数攻击者控制，僵尸网络是攻击的重要参与者，这些参与者通常也是受害者，而幕后的控制者是网络攻击的源头。因此，分析隐藏在DDoS攻击背后的控制者，找到真正的控制者并分析其攻击特征，对于长期跟踪攻击团伙，预防和控制网络攻击具有现实意义。

目前针对DDoS攻击的研究，多数聚焦于DDoS攻击检测和防御的研究，少数是针对DDoS攻击溯源进行研究。其中DDoS攻击溯源研究的主要目的是重建攻击路径，识别攻击者的地址，从而对个别攻击者进行追责。网络攻击溯源分为两大类：主动溯源和被动溯源。其中，主动溯源是在报文传输过程中标记报文信息，攻击一旦发生，管理人员就能利用这些信息去跟踪路由路径并确定攻击源。被动溯源是在判断攻击发生之后才开始采取措施，使用工具分析流量情况等信息进行溯源。网络攻击溯源的数据比较局限，只能跟踪部分攻击数据，这些数据不足以支撑攻击团伙的挖掘和分析。

有鉴于上述现有的识别判定DDoS攻击的方法存在的缺陷，本发明人经过不断的研究、设计,并经反复试作及改进后，终于创设出确具实用价值的本发明。

发明内容

本发明的主要目的在于，克服现有的识别判定DDoS攻击的方法存在的缺陷，而提供一种新的一种识别判定DDoS攻击团伙行为的方法，所要解决的技术问题是通过在CNCERT海量DDoS攻击事件分析结果的基础上，挖掘和分析协同工作的一群攻击者，实现有效地团伙挖掘和属性标定，准确判定出攻击团伙，协助警方破案，非常适于实用。

本发明的另一目的在于，解决DDoS攻击数据的高维和稀疏问题，提供一种新的DDoS攻击团伙的发现和分析方法，所要解决的核心技术问题包括攻击者多维相似性定义方法、攻击团伙判定方法，从而更加适于实用。

本发明的目的及解决其技术问题是采用以下技术方案来实现的。依据本发明提出的一种识别判定DDoS攻击团伙行为的方法，其特征在于其包括以下步骤：

步骤1：收集和处理DDoS攻击数据

获取和处理DDoS攻击记录，转化为数据集，查询控制端IP和攻击目标 IP的whois信息；

步骤2：设置超级参数

超级参数为：攻击目标相似性的权重、僵尸主机相似性的权重和攻击时间相似性的权重和两个攻击者相似度的阀值，|α_A+α_B+α_T=1，依据经验参数范围为，|α_A∈[0.3，0.85]，α_B∈[0.1，0.45]，|γ∈[0.01，0.1]，