CN107404465B - 网络数据分析方法及服务器 - Google Patents
网络数据分析方法及服务器 Download PDFInfo
- Publication number
- CN107404465B CN107404465B CN201610341755.7A CN201610341755A CN107404465B CN 107404465 B CN107404465 B CN 107404465B CN 201610341755 A CN201610341755 A CN 201610341755A CN 107404465 B CN107404465 B CN 107404465B
- Authority
- CN
- China
- Prior art keywords
- attack
- network
- log
- network address
- scanning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了网络服务器监控方法及***、网络数据分析方法及服务器,其中,网络数据分析方法包括:获取初始网络流量日志;基于所述初始网络流量日志中的发送方网络地址、接收方网络地址、请求类型和发送请求时间,将所述初始网络流量日志分别划分在攻击记录表和扫描记录表中;从所述攻击记录表和扫描记录表中,获取攻击者网络地址和被攻击者网络地址作为攻击告警数据。采用本申请实施例,可以在记录蜜罐服务器的网络响应数据的前提下,实现对攻击者的IP地址的准确定位,从而保证网络数据传输和保存的安全性。
Description
技术领域
本申请涉及互联网数据处理技术领域,特别涉及一种网络数据的存储方法及网络服务器,一种网络服务器的监控方法及监控监控***,以及,一种网络数据分析方法及分析服务器。
背景技术
目前,随着用户使用网络进行购物等越来越多的网上交易,也有越来越多的用户经常受到黑客等的攻击。如果攻击者伪造成被攻击者向服务器发送了大量的数据处理请求,服务器就会误认为是被攻击者(即可能的受害者)在发起数据处理,因此就会将网络响应数据发送给被攻击者,这样就会造成被攻击者拒绝服务的后果。
发明内容
发明人在研究过程中发现,现有技术中,由于攻击者使用了将攻击者的IP(Internet Protocol,网际协议)地址伪造成被攻击者的IP地址进行攻击的方式,因此在终端侧的网络设备上获取的攻击数据,均为伪造源的数据包,很难定位到真正的攻击者的IP地址。
基于此,本申请提供了一种网络数据的存储方法,一种网络服务器的监控方法,以及,一种网络数据分析方法,用以在记录服务器的网络响应数据的前提下,实现对攻击者的IP地址的准确定位,从而保证网络数据传输和保存的安全性。
本申请还提供了一种网络服务器,一种监控***,以及,一种分析服务器,用以保证上述方法在实际中的实现及应用。
本申请公开了一种网络数据分析方法,该方法包括:
获取初始网络流量日志;其中,所述初始网络流量日志包括:发送方网络地址、接收方网络地址、请求类型和发送请求时间;
参考所述初始网络流量日志的发送方网络地址、接收方网络地址、请求类型和发送请求时间,将所述初始网络流量日志分别划分在攻击记录表和扫描记录表中;其中,所述攻击记录表用于保存攻击类型的网络流量日志,所述扫描记录表用于保存扫描类型的网络流量日志;
从所述攻击记录表和扫描记录表中,获取攻击者网络地址和被攻击者网络地址作为攻击告警数据。
本申请还公开了一种网络数据分析服务器,包括:
获取初始网络流量日志模块,用于获取初始网络流量日志;其中,所述初始网络流量日志包括:发送方网络地址、接收方网络地址、请求类型和发送请求时间;
划分初始网络流量日志模块,用于基于所述初始网络流量日志中的发送方网络地址、接收方网络地址、请求类型和发送请求时间,将所述初始网络流量日志分别划分在攻击记录表和扫描记录表中;其中,所述攻击记录表用于保存攻击类型的网络流量日志,所述扫描记录表用于保存扫描类型的网络流量日志;
获取攻击告警数据模块,用于从所述攻击记录表和扫描记录表中,获取攻击者网络地址和被攻击者网络地址作为攻击告警数据。
与现有技术相比,本申请包括以下优点:
在本申请实施例中,部署在不同地区的网络服务器可以通过安装和配置指定的网络服务程序,来模拟真实的网络服务器并暴露在互联网上,一旦攻击者通过扫描发现其中的网络服务器,便会加入其攻击程序中并尝试通过网络服务器发起攻击,而本实施例中的网络服务器可以保存每次发出网络响应数据的网络流量日志,从而可以对每一次攻击者发送的数据处理请求及其响应过程都进行记录,为后续分析服务器对这些网络流量日志进行分析从而得到攻击者IP地址和被攻击者IP地址等攻击告警数据提供了可能性,保证了网络数据传输的安全性。
进一步的,监控***对其中部署的各个独立的网络服务器进行监控,可以获得各个网络服务器的性能参数,从而保证各个网络服务器的正常运行,进而在性能参数出现异常的情况下,还可以对网络服务器进行相应的调整,保证各个网络服务器在出现异常的情况下,还可以进行修复,使得网络服务器可以正常进行后续网络数据的存储。
进一步的,分析服务器通过对网络服务器保存的网络流量日志进行分析,从而对攻击者及其攻击过程进行准确地的监控,确定出每一次攻击背后的攻击者的IP地址,还可以对被攻击者IP地址的资产所属方进行及时预警,保证了网络数据处理的安全性。
当然,实施本申请的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请的网络数据的存储方法的流程图;
图2是本申请在实际应用中的场景架构图;
图3是本申请的网络服务器监控方法实施例的流程图;
图4是本申请的网络数据分析方法实施例的流程图;
图5是本申请的网络服务器实施例的结构框图;
图6是本申请的监控***实施例的结构框图;
图7是本申请的分析服务器实施例的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
定义:
DDoS(Distributed Denial of Service,分布式拒绝服务),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击,攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。
反射型DDoS攻击,反射型DDoS攻击也叫Amplification Attack,是指利用基于无连接UDP(User Datagram Protocol,用户数据包协议)设计的网络服务“缺陷”以及源IP地址不做真实性检查的特点,攻击者将源地址伪造成被攻击者IP地址,发送大量的请求报文给服务器,服务器会将响应的数据发送给伪造的被攻击者IP地址,当响应的数据包足够多时便会造成被攻击者拒绝服务的后果。服务器响应字节的大小和攻击者伪造请求的数据包字节大小的比率被称作BAF(放大因子,Bandwidth Amplification Factor),放大因子越大,反射攻击的效果越明显。目前常见的被用来发起反射型DDoS攻击的网络服务有:DNS、SNMP、NTP、SSDP等。
网络服务器,是布置在互联网中进行数据处理的一类服务器的总称。在本申请实施例中,网络服务器可以是蜜罐(HoneyPot)服务器,蜜罐服务器在计算机领域主要指通过模拟真实的计算机环境,来检测以及发现真实的入侵事件,并记录有价值的攻击者资源的一种计算机***。
扫描器,是一种利用特定的网络协议特征,对互联网上开放的主机端口进行探测并确认其服务状态的工具。
反射攻击特征,可以用来确定出攻击者发起攻击时的数据处理请求所对应的网络流量日志。为了准确的确定出反射攻击对应的网络流量日志,可以分别从时间、请求类型和服务器地址三个方面进行考虑,相应的,所述反射攻击特征可以包括:攻击时间特征、攻击类型特征和攻击地址特征。
TCP(Transmission Control Protocol,传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF(Internet Engineering Task Force,互联网工程任务组)的RFC 793定义。在简化的计算机网络OSI(Open System Interconnect,开放式***互联)模型中,它完成第四层传输层所指定的功能,UDP是同一层内另一个重要的传输协议。
DNS(Domain Name System,域名***)。在Internet(因特网)上域名与IP地址之间是一一对应的,域名虽然便于人们记忆,但机器之间只能互相认识IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析***来完成,DNS就是进行域名解析的***
NTP(Network Time Protocol,网络时间协议),是用来使计算机时间同步化的一种协议,它可以使计算机对其服务器或时钟源(如石英钟,GPS等等)做同步化,它可以提供高精准度的时间校正(LAN上与标准间差小于1毫秒,WAN上几十毫秒),且可介由加密确认的方式来防止协议攻击。
MAC(Media Access Control,介质访问控制)地址,是烧录在NIC(网卡,NetworkInterface Card)里的“.MAC”地址,也叫硬件地址,是由48比特长(6字节)16进制的数字组成,其中,0-23位叫做组织唯一标志符(organizationally unique),是识别LAN(局域网)节点的标识,24-47位是由厂家自己分配。
参考图1,示出了本申请一种网络数据的存储方法实施例的流程图,该方法可以应用于监控监控***包括的每一个独立的网络服务器上,该方法可以包括:本实施例可以包括以下步骤:
步骤101:按照预先设置的网络协议类型,获取所述网络服务器响应于数据处理请求而发送的网络响应数据。
在本实施例中,网络服务器可以是蜜罐服务器,则下面以蜜罐服务器为例进行介绍。其中,可以预先按照不同的地理位置或者不同的互联网环境来部署监控监控***中包括的各个蜜罐服务器,为了更加准确和全面的感知反射型DDoS的威胁,该监控***中可以包括多个互相独立的蜜罐服务器。目前,DDoS攻击比较活跃的国家有美国、中国、韩国、日本等,例如,针对中国的各大城市,在每一个大城市的机房部署一个监控监控***,该监控***下设置多个独立的蜜罐服务器。
其中,监控***可以选用CentOS或者Ubuntu服务器进行架设,根据要监控的协议(UDP还是TCP等)不同,这些蜜罐服务器需要安装不同的服务程序,对于UDP来说,例如DNS服务程序或NTP服务程序等,根据这些服务程序,将蜜罐服务器可以分为DNS蜜罐服务器或者NTP蜜罐服务器等,并确保这些服务器能够正常运行并对外提供服务,即,可以被攻击者的扫描器探测到。
参考图2所示,为本申请实施例在实际应用中的一个网络架构图。其中,监控***20除了可以包括多个独立的蜜罐服务器202之外,还可以包括对各个蜜罐服务器进行监控的监控设备201。假设在本实施例中,攻击者为了互联网上的蜜罐服务器进行扫描探测,需要向蜜罐服务器发送数据处理请求,并且在攻击者获取到蜜罐服务器的IP地址后,也会向将自己的IP地址伪造成被攻击者IP向这些蜜罐服务器再次发起大量的数据处理请求。针对上述扫描时的数据处理请求,或者攻击时的数据处理请求,蜜罐服务器都会对其进行响应。例如,针对扫描时攻击者发送的数据处理请求,蜜罐服务器会将网络响应数据发送给攻击者,而针对攻击时攻击者发送的数据处理请求,因为攻击者是伪造成被攻击者IP地址发送的,因此蜜罐服务器会将网络响应数据发送给被攻击者IP地址。
在本步骤中,各个蜜罐服务器按照预先设置的网络协议类型,例如是UDP还是TCP等(即部署蜜罐服务器时各蜜罐服务器安装的不同的服务程序),来获取蜜罐服务器响应于数据处理请求而发送的网络响应数据,例如,向攻击者发送的网络响应数据,或者向被攻击者发送的网络响应数据,都在本步骤中获取到。
步骤102:从所述网络响应数据中提取每次请求对应的网络流量信息,其中,所述网络流量信息包括:发送方网络地址、请求类型、接收方网络地址和发送请求时间。
在步骤101获取到所有的网络响应数据之后,可以从该数据中提取到每次数据处理请求对应的网络流量信息,该网络流量信息可以包括:发送方网络地址、请求类型、接收方网络地址和发送请求时间。其中,发送方网络地址即是各个蜜罐服务器自身的IP地址;请求类型是每一次攻击者向网络服务器发送数据处理请求的类型,例如,该数据处理请求是UDP类型还是TCP类型;接收方网络地址则是蜜罐服务器发送网络响应数据的接收方IP地址,在扫描的情况下接收方网络地址为攻击者IP地址,在攻击的情况下接收方网络地址为被攻击者IP地址;发送请求时间即为数据处理请求的***发送时间。
具体实现时,各个蜜罐服务器上可以安装监控程序,可以由该监控程序来监控网络响应数据,从而获取网络流量信息,例如,DNS蜜罐服务器的DNS协议流量,NTP蜜罐服务器的NTP协议流量,等等。各蜜罐服务器安装linux***的情况下,监控程序可以使用linux现有的iptables防火墙来记录所有从蜜罐服务器向外发出的网络数据包,该Iptables防火墙可以指定端口和协议对网络响应数据进行转发,以及,记录每次的网络流量信息。具体的,可以通过编写规则对蜜罐服务器进行监控,例如规则:“iptables-A OUTPUT-p udp--sport123-j LOG--log-prefix"LOG_NTP_OUT"--log-level info”。该规则的含义表示,可以记录所有从蜜罐服务器的“123”端口向外发送并且使用UDP协议的网络流量信息,该网络流量信息后续被保存为网络流量日志时,会被保存在ipables防火墙的日志目录中,并且以“LOG_NTP_OUT”为前缀。
其中,网络流量信息除了可以包括发送方网络地址、请求类型、接收方网络地址和发送请求时间,还可以包括:蜜罐服务器的主机名、发送网络响应数据的进程名、记录前缀、蜜罐服务器的网卡、蜜罐服务器的MAC地址、蜜罐服务器的协议代码、网络响应数据的优先级、网络响应数据的生存期、发送网络响应数据的源端口号、发送网络响应数据的目的端口号、蜜罐服务器的协议类型、IP窗口、协议长度、TCP-Flags等。
可以理解的是,对DNS协议或者TCP协议也可采样同样的方法提取网络流量信息,只需要修改sport参数和要保存的日志前缀即可。
步骤103:将所述发送方网络地址、接收方网络地址、请求类型和发送请求时间保存为网络流量日志。
在步骤103中,针对步骤102中获取到的网络流量信息,则将其保存为蜜罐服务器的网络流量日志。其中,网络流量日志主要包括:发送方网络地址、接收方网络地址、请求类型和发送请求时间。
具体的,步骤103可以包括步骤A1~步骤A2:
步骤A1:将一次数据处理请求涉及的发送方网络地址、接收方网络地址、请求类型和发送请求时间对应保存为一条网络流量日志;
在本步骤中,通过日志流量解析可以将网络流量信息中的内容保存为网络流量日志。从步骤102中iptables防火墙保存的网络流量信息中提取出每一次数据处理请求涉及的发送方网络地址、接收方网络地址、请求类型和发送请求时间,将四者对应保存为一条网络流量日志。当然,该网络流量日志还可以包括网络流量信息中的其他内容,例如,蜜罐服务器的主机名、发送网络响应数据的进程名、蜜罐服务器的MAC地址、发送网络响应数据的源端口号、发送网络响应数据的目的端口号、网络数据包长度,等等。
步骤A2:将各次数据处理请求对应的各条网络流量日志保存在本地的网络服务器上。
再将每一条网络流量日志作为一条扫描记录或者攻击记录,存储在蜜罐服务器本地apache的网络服务器(webserver)上,以供后续图2中的分析服务器21可以对这些网络流量日志进行分析从而得到攻击者IP地址等。
可见,在本申请实施例中,部署在不同地区的蜜罐服务器可以通过安装和配置指定的网络服务程序,来模拟真实的网络服务器并暴露在互联网上,一旦攻击者通过扫描发现其中的蜜罐服务器,便会加入其攻击程序中并尝试通过蜜罐服务器发起反射型DDoS攻击,而本实施例中的蜜罐服务器可以保存每次发出网络响应数据的网络流量日志,从而可以对每一次攻击者发送的数据处理请求及其响应过程都进行记录,为后续分析服务器对这些网络流量日志进行分析从而得到攻击者IP地址等相关数据提供了可能性,保证了网络数据传输的安全性。
参考图3,示出了本申请一种蜜罐服务器的监控方法实施例的流程图,本实施例可以应用于包括多个互相独立的蜜罐服务器的监控***中,该监控***还包括监控设备,本实施例可以包括以下步骤:
步骤301:蜜罐服务器按照预先设置的网络协议类型,获取所述蜜罐服务器响应于数据处理请求而发送的网络响应数据;从所述网络响应数据中提取每次请求对应的网络流量信息;将所述发送方网络地址、接收方网络地址、请求类型和发送请求时间保存为网络流量日志。
在本步骤中,蜜罐服务器按照图1所示的流程进行网络流量日志的存储。具体实施过程可以参考图1所示的实施例中的详细介绍,在此不再赘述。
步骤302:监控设备监控所述监控***中各个蜜罐服务器的性能参数,所述性能参数包括:CPU占有率、网络流量包大小、内存占用率和/或磁盘输入输出的读写状态。
在本步骤中,与各个蜜罐服务器相连的监控设备可以负责监控各个蜜罐服务器的运行状态,例如,通过linux命令监控各个蜜罐服务器的CPU占有率、网络流量包大小、内存占用率和/或磁盘输入输出的读写状态,等等。其中,在得到各个蜜罐服务器的上述性能参数之后,还可以将这些性能参数保存在webserver的***(system)目录下的特定文件中。
其中,在步骤302之后,监控***还可以包括:
步骤303:在所述性能参数出现异常的情况下,按照性能参数的异常信息对所述蜜罐服务器进行调整。
假设在步骤302中监控到的性能参数出现异常的情况下,监控***还可以按照性能参数的异常情况,来对蜜罐服务器进行调整。例如,假设内存占用率过大,则可以将该蜜罐服务器屏蔽一段时间,再使其暴露在网络上供攻击者扫描探测。再例如,如果发生蜜罐服务器突然间CPU占用率出现百分之百的现象,可能蜜罐服务器死机了,则可以重启蜜罐服务器。
在本实施例中,监控***对其中部署的各个独立的蜜罐服务器进行监控,可以获得各个蜜罐服务器的性能参数,从而保证各个蜜罐服务器的正常运行,进而在性能参数出现异常的情况下,还可以对蜜罐服务器进行相应的调整,保证各个蜜罐服务器在出现异常的情况下,还可以进行修复,使得蜜罐服务器可以正常进行后续网络数据的存储。
参考图4所示,示出了本申请一种基于蜜罐服务器的网络数据分析方法实施例的流程图,该实施例可以应用于与图2中的监控***20相连的分析服务器21上,本实施例可以包括以下步骤:
步骤401:从所述监控***中的多个蜜罐服务器中依次获取各条初始网络流量日志。
在本步骤中,分析服务器与监控***相连,可以从监控***中的多个蜜罐服务器中获取到各个蜜罐服务器的网络服务器上存储的初始网络流量日志。其中,分析服务器可以每隔30秒从各个蜜罐服务器中获取一次初始网络流量日志,该频率可以根据监控***的网络状态由本领域技术人员进行动态的调整。基于图1的实施例介绍的内容,本步骤中读取到的的网络流量日志可以包括:发送方网络地址、接收方网络地址、请求类型和发送请求时间,当然,也可以包括网络流量日志中的其他信息。本步骤中获取到的各条初始网络流量日志可以作为一组攻击元数据存储在分析服务器的mysql数据库中,该数据库中可以维护两张数据表,一张是攻击记录表,用于保存攻击类型的网络流量日志,另一张是扫描记录表,用于保存扫描类型的网络流量日志。
步骤402:基于所述初始网络流量日志中的发送方网络地址、接收方网络地址、请求类型和发送请求时间,将所述初始网络流量日志分别划分在攻击记录表和扫描记录表中。
接着,分析服务器参考mysql数据库中保存的初始网络流量日志中的网络流量信息,对始网络流量日志进行聚类分析,从而将各条初始网络流量日志分别划分在攻击记录表和扫描记录表中。
具体的,本步骤可以包括:
步骤B1:获取发送请求时间的时间差在预设时间阈值内,所述发送方网络地址不同且接收方网络地址相同的待分析网络流量日志。
首先,从mysql数据库中获取各条初始网络流量日志的发送请求时间的时间差。然后,获取到该时间差在预设时间阈值内,并且,每条初始网络流量日志中的发送方网络地址不同且接收方网络地址相同的初始网络流量日志,作为待分析网络流量日志。其中,不同的发送方网络地址表示对应的网络响应数据从不同的蜜罐服务器发出,而“发送方网络地址不同且接收方网络地址相同”表示不同的蜜罐服务器均将网络响应数据发送到同一个目标主机地址。其中,预设时间阈值是本领域技术人员预先设置好的一个时间值,例如可以是一个小时等,具体数值可以由本领域技术人员自主调整。
步骤B2:判断所述待分析网络流量日志的条数是否大于预设条数阈值,如果是,则进入步骤B3,如果否,则进入步骤B4。
接着,判断待分析网络流量日志的条数是否大于预设条数阈值,该预设条数阈值也是本领域技术人员预先设置好的一个数值,例如可以是2条,具体数值可以由本领域技术人员自主调整。
步骤B3:将大于预设条数阈值的待分析网络流量日志确定为攻击日志,并将所述攻击日志保存至所述攻击记录表。
当待分析网络流量日志的条数大于2时,则认为该待分析网络流量日志中的目的网络地址对应的主机正在遭受反射型DDoS攻击,因此将该条待分析网络流量日志保存到mysql数据库的攻击记录表中。具体的,攻击记录表中的每一条攻击日志,其包括的信息可以有:发送请求时间、请求类型、接收方网络地址和发送方网络地址。对于攻击日志来说,发送方网络地址是蜜罐服务器的网络地址;而接收方网络地址则是攻击者伪装的被攻击者网络地址。
步骤B4:将不大于预设的条数阈值的待分析网络流量日志确定为扫描网络流量日志,并将所述扫描网络流量日志保存至所述反射攻击扫描记录表。
当该待分析网络流量日志的条数小于2时,则认为该待分析网络流量日志中的目的网络地址对应的主机正在发起协议扫描,则将该待分析网络流量日志保存到mysql数据库的扫描记录表中。具体的,扫描记录表中的每一条扫描日志,其包括的信息可以有:发送请求时间、请求类型、接收方网络地址和发送方网络地址,其中,扫描日志中的发送方网络地址仍然是蜜罐服务器的网络地址,而接收方网络地址则是攻击者真实的攻击者网络地址。
步骤403:从所述攻击记录表和扫描记录表中,获取攻击者网络地址和被攻击者网络地址作为攻击告警数据。
因为,扫描日志中的接收方网络地址则是攻击者真实的攻击者网络地址,而攻击日志中的接收方网络地址则是攻击者伪装的被攻击者网络地址,因此,可以从攻击记录表的攻击日志和扫描记录表的扫描日志中,提取出攻击者网络地址和被攻击者网络地址作为攻击告警数据。
具体的,本步骤具体可以包括步骤C1~步骤C2:
步骤C1:从所述攻击记录表和扫描记录表中,提取符合预设反射攻击特征的攻击日志和扫描日志。
其中,反射攻击特征用于确定出反射攻击的数据处理请求所对应的网络流量日志,具体的,所述反射攻击特征可以包括:攻击时间特征、攻击类型特征和攻击地址特征。本步骤将mysq数据库的攻击记录表和扫描记录表进行时间关联,依据攻击记录表和扫描记录表中分别保存的反射攻击流量日志和反射扫描流量日志,提取出符合预设的攻击时间特征、攻击类型特征和攻击地址特征的目标网络流量日志。
具体的,本步骤C1可以包括步骤D1~步骤D4:
步骤D1:判断所述攻击日志和扫描日志中的发送请求时间是否符合预设的攻击时间阈值;如果是,则进入步骤D2。
首先,在判断攻击日志和扫描日志是否符合攻击时间特征的情况下,可以预先设置一个攻击时间阈值,再判断攻击日志的发送请求时间,和扫描日志中的发送请求时间,是否符合预设的攻击时间阈值。例如,是否都发生在同一天内。当然,本领域技术人员也可以对该攻击时间阈值进行自主调整。
步骤D2:判断所述攻击日志和所述扫描日志的请求类型是否相同,如果是,则进入步骤D3。
其次,如果攻击时间特征满足了,则继续判断是否符合攻击类型特征。如果攻击时间阈值不满足,则不再执行后续步骤。在判断网络流量日志是否符合攻击类型特征的时候,具体可以判断攻击日志中的请求类型,例如,DNS反射或NTP反射等,和,扫描日志的请求类型是否相同,例如,DNS扫描、NTP扫描。
步骤D3:判断所述攻击日志和所述扫描日志中的发送方网络地址是否相同;如果是,则进入步骤D4。
再次,如果攻击类型特征满足了,则继续判断攻击地址特征是否符合,如果请求类型不满足,则不再执行后续步骤。如果在判断网络流量日志是否符合攻击类型特征的时候,具体可以判断,攻击网络流量日志中的发送方网络地址,和扫描网络流量日志中的发送方网络地址是否相同。
步骤D4:将对应的扫描网络流量日志和攻击网络流量日志确定为目标网络流量日志。
如果步骤D1~步骤D3的判断结果都为是,则将对应的扫描日志和攻击日志确定为目标网络流量日志。
当然,步骤D1、步骤D2和步骤D3之间的判断顺序也可以不限定上述这一种方式,本领域技术人员也可以自由调整这三个步骤之间的关系,最终的判断结果都为是的情况下,再确定目标网络流量日志即可。
步骤C2:对所述攻击日志和扫描日志进行分析,得到攻击者网络地址和被攻击者网络地址作为攻击告警数据。
步骤C1中确定的攻击日志和扫描日志进行分析,进而得到攻击告警数据,该攻击告警数据可以包括:攻击者网络地址和被攻击者网络地址。在实际应用中,该攻击告警数据还可以包括发送请求时间和请求类型,该发生请求时间可以表示出攻击者是什么时候发起的攻击,而请求类型则可以表示出该攻击是何种类型的攻击。
具体的,步骤C2的实现可以包括步骤E1~步骤E2:
步骤E1:获取所述扫描网络流量日志中的接收方网络地址作为攻击者网络地址,以及,所述攻击网络流量日志中的接收方网络地址作为被攻击者网络地址。
首先,对于扫描网络流量日志,因为其中记录的接收方网络地址是蜜罐服务器向外发送网络响应数据的地址,因此,针对扫描的情况下,该接收方网络地址就是攻击者的IP地址,所以将扫描网络流量日志中的接收方网络地址作为攻击者网络地址。而对于攻击网络流量日志,因为在攻击情况下,攻击者将自己伪造成了被攻击者的IP地址,蜜罐服务器发送网络响应数据的接收方网络地址也就是攻击者想要攻击的被攻击者IP地址,即是被攻击者网络地址。
步骤E2:将所述攻击者网络地址、被攻击者网络地址、发送请求时间和请求类型组合为攻击告警数据。
再将攻击者网络地址、被攻击者网络地址、发送请求时间和请求类型组合为一条攻击告警数据,该攻击告警数据记录了攻击者和被攻击者的相关地址信息。
进一步的,在步骤403之后,还可以包括:
步骤404:将所述攻击告警数据发送至前端显示界面以便展示。
其中,步骤401~步骤403是在分析服务器后端进行的数据分析过程,在得到攻击告警数据之后,还可以将攻击告警数据发送至分析服务器的前端,在一个显示界面(例如,实时攻击监控web管理界面等)上示例性的以日志的方式进行展示,以便本领域技术人员能够对攻击告警数据中的内容进行直观的了解。
进一步的,在步骤403之后,还可以还包括:
步骤F:针对同一个被攻击者网络地址,判断所述监控***中是否有超过预设攻击个数的网络服务器向所述被攻击者网络地址发起数据处理请求,如果是,则将攻击告警数据发送至所述被攻击者网络地址以便告警。
针对同一个被攻击者的IP地址,当监控***中有超过预设攻击个数的蜜罐服务器向该被攻击者的IP地址发起数据处理请求的情况下,则可以将攻击告警数据发送至该被攻击者的IP地址,以便对其起到告警作用。例如,假设监控***中部署了100台蜜罐服务器,有超过50台蜜罐服务器都向该被攻击者的IP地址进行攻击时,就认为攻击较为严重,可以对该被攻击者的IP地址所属的资产方进行预警。当然,预设攻击个数的具体数值也可以由本领域技术人员自主设置。
进一步的,所述网络流量日志和攻击告警数据还包括目的端口信息,则所述方法在步骤403之后,还可以包括:
步骤G:依据所述目的端口信息生成攻击防御信息。
在本实施例中,网络流量日志和攻击告警数据中还可以包括由目的端口信息,例如端口56,则分析服务器还可以依据该端口号信息生成攻击防御信息,以便阻挡攻击者通过该端口号的攻击。
可见,在本申请实施例中,可以通过对蜜罐服务器保存的网络流量日志进行分析,从而对目前反射DDoS攻击进行准确地监控,确定出反射类型DDoS攻击背后的攻击者的IP地址,还可以对被攻击者IP地址的资产所属方进行及时预警,保证了网络数据处理的安全性。
对于前述的方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
与上述本申请一种网络数据的存储方法实施例所提供的方法相对应,参见图5,本申请还提供了一种蜜罐服务器实施例,在本实施例中,该蜜罐服务器可以包括:
获取网络响应数据模块501,用于按照预先设置的网络协议类型,获取所述蜜罐服务器响应于数据处理请求而发送的网络响应数据。
提取网络流量信息模块502,用于从所述网络响应数据中提取每次请求对应的网络流量信息,其中,所述网络流量信息包括:发送方网络地址、请求类型、接收方网络地址和发送请求时间。
保存模块503,用于将所述发送方网络地址、接收方网络地址、请求类型和发送请求时间保存为网络流量日志。
其中,所述保存模块503具体可以包括:
第一保存子模块,用于将一次数据处理请求涉及的发送方网络地址、接收方网络地址、请求类型和发送请求时间对应保存为一条网络流量日志;和,第二保存子模块,将各次数据处理请求对应的各条网络流量日志保存在本地的网络服务器上。
可见,本实施例中部署在不同地区的蜜罐服务器可以通过安装和配置指定的网络服务程序,来模拟真实的网络服务器并暴露在互联网上,一旦攻击者通过扫描发现其中的蜜罐服务器,便会加入其攻击程序中并尝试通过蜜罐服务器发起反射型DDoS攻击,而本实施例中的蜜罐服务器可以保存每次发出网络响应数据的网络流量日志,从而可以对每一次攻击者发送的数据处理请求及其响应过程都进行记录,为后续分析服务器对这些网络流量日志进行分析从而得到攻击者IP地址等相关数据提供了可能性,保证了网络数据传输的安全性。
与上述本申请一种蜜罐服务器监控方法实施例所提供的方法相对应,参考图6所示,本申请还提供了一种监控***实施例,在本实施例中,该监控***可以包括:包括监控设备和多个如图5所示的蜜罐服务器,其中,所述监控设备201,用于监控所述监控***中各个蜜罐服务器的性能参数,所述性能参数包括:CPU占有率、网络流量包大小、内存占用率和/或磁盘输入输出的读写状态。
其中,所述蜜罐服务器,还可以包括:调整模块601,在所述性能参数出现异常的情况下,按照性能参数的异常信息对所述蜜罐进行调整。
可见,本实施例中的监控***对其中部署的各个独立的蜜罐服务器进行监控,可以获得各个蜜罐服务器的性能参数,从而保证各个蜜罐服务器的正常运行,进而在性能参数出现异常的情况下,还可以对蜜罐服务器进行相应的调整,保证各个蜜罐服务器在出现异常的情况下,还可以进行修复,使得蜜罐服务器可以正常进行后续网络数据的存储。
与上述本申请一种网络数据分析方法实施例所提供的方法相对应,参见图7,本申请还提供了一种基于蜜罐服务器的网络数据分析服务器实施例,在本实施例中,该分析服务器与图7所示的监控***相连,所述网络数据分析服务器可以包括:
获取初始网络流量日志模块701,用于从所述监控***中的多个蜜罐中依次获取各条初始网络流量日志。
划分初始网络流量日志模块702,用于基于所述初始网络流量日志中的发送方网络地址、接收方网络地址、请求类型和发送请求时间,将所述初始网络流量日志分别划分在攻击记录表和扫描记录表中;其中,所述攻击记录表用于保存攻击类型的网络流量日志,所述扫描记录表用于保存扫描类型的网络流量日志。
其中,所述划分初始网络流量日志模块,具体可以包括:
获取待分析日志子模块,用于获取发送请求时间的时间差在预设时间阈值内,且所述发送方网络地址不同且接收方网络地址相同的待分析网络流量日志;第一判断子模块,用于判断所述待分析网络流量日志的条数是否大于预设条数阈值;第一确定子模块,用于在所述第一判断子模块的结果为是的情况下,将大于预设条数阈值的待分析网络流量日志确定为攻击日志;第一保存子模块,用于将所述第一确定子模块确定的攻击日志保存至所述攻击记录表;第二确定子模块,用于在所述第一判断子模块的结果为否的情况下,将不大于预设的条数阈值的待分析网络流量日志确定为扫描日志;和,第二保存子模块,用于将所述第二确定子模块确定的扫描日志保存至所述反射攻击扫描记录表。
获取攻击告警数据模块703,用于从所述攻击记录表和扫描记录表中,获取攻击者网络地址和被攻击者网络地址作为攻击告警数据。
其中,所述获取攻击告警数据模块703具体可以包括:
提取日志子模块,用于从所述攻击记录表和扫描记录表中,提取符合预设攻击特征的攻击日志和扫描日志;和,分析日志子模块,用于对所述攻击日志和扫描日志进行分析,得到攻击者网络地址和被攻击者网络地址作为攻击告警数据。
其中,所述提取日志子模块具体可以用于:
从所述攻击记录表和扫描记录表中,提取出符合预设的攻击时间特征、攻击类型特征和攻击地址特征的目标网络流量日志。
其中,所述提取日志子模块具体可以包括:
第二判断子模块,用于判断所述攻击网络流量日志和扫描网络流量日志中的发送请求时间是否符合预设的攻击时间阈值;第三判断子模块,用于在所述第二判断子模块的结果为是的情况下,判断所述攻击网络流量日志和所述扫描网络流量日志的请求类型是否相同;第四判断子模块,用于在所述第三判断子模块的结果为是的情况下,判断所述攻击网络流量日志和所述扫描网络流量日志中的发送方网络地址是否相同;和,第三确定子模块,用于在所述第四判断子模块的结果为是的情况下,将对应的扫描网络流量日志和攻击网络流量日志确定为目标网络流量日志。
其中,所述分析日志子模块具体可以包括:
获取地址子模块,用于获取所述扫描网络流量日志中的接收方网络地址作为攻击者网络地址,以及,所述攻击网络流量日志中的接收方网络地址作为被攻击者网络地址;和,组合子模块,用于将所述攻击者网络地址、被攻击者网络地址、发送请求时间和请求类型组合为攻击告警数据。
其中,分析服务器还可以包括:
第一发送攻击告警数据模块704,用于将所述攻击告警数据发送至前端显示界面以便展示。
其中,分析服务器还可以包括:
判断模块,用于针对同一个被攻击者网络地址,判断所述监控***中是否有超过预设攻击个数的网络服务器向所述被攻击者网络地址发起数据处理请求;和,第二发送攻击告警数据模块,用于在所述判断模块的结果为是的情况下,将攻击告警数据发送至所述被攻击者网络地址以便告警。
其中,所述网络流量日志和攻击告警数据还包括目的端口信息,分析服务器还可以包括:
生成攻击防御信息模块,用于依据所述目的端口信息生成攻击防御信息。
可见,在本申请实施例中,可以通过对蜜罐服务器保存的网络流量日志进行分析,从而对目前反射DDoS攻击进行准确地的监控,确定出反射类型DDoS攻击背后的攻击者的IP地址,还可以对被攻击者IP地址的资产所属方进行及时预警,保证了网络数据传输和保存的安全性。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的网络数据分析方法及服务器进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (14)
1.一种网络数据分析方法,其特征在于,该方法包括:
获取初始网络流量日志;其中,所述初始网络流量日志包括:发送方网络地址、接收方网络地址、请求类型和发送请求时间;
基于所述初始网络流量日志的发送方网络地址、接收方网络地址、请求类型和发送请求时间,将所述初始网络流量日志分别划分在攻击记录表和扫描记录表中;包括:获取发送请求时间的时间差在预设时间阈值内,且所述发送方网络地址不同且接收方网络地址相同的待分析网络流量日志;判断所述待分析网络流量日志的条数是否大于预设条数阈值,如果是,则将大于预设条数阈值的待分析网络流量日志确定为攻击日志,并将所述攻击日志保存至所述攻击记录表;如果否,则将不大于预设的条数阈值的待分析网络流量日志确定为扫描日志,并将所述扫描日志保存至所述扫描记录表;其中,所述攻击记录表用于保存属于攻击类型的网络流量日志,所述扫描记录表用于保存属于扫描类型的网络流量日志;
从所述攻击记录表和扫描记录表中,获取攻击者网络地址和被攻击者网络地址作为攻击告警数据。
2.根据权利要求1所述的方法,其特征在于,所述从所述攻击记录表和扫描记录表中,获取攻击者网络地址和被攻击者网络地址作为攻击告警数据,包括:
从所述攻击记录表和扫描记录表中,提取符合预设攻击特征的攻击日志和扫描日志;
对所述攻击日志和扫描日志进行分析,得到攻击者网络地址和被攻击者网络地址作为攻击告警数据。
3.根据权利要求2所述的方法,其特征在于,从所述攻击记录表和扫描记录表中,提取符合预设的反射攻击特征的目标网络流量日志,包括:
从所述攻击记录表和扫描记录表中,提取出符合预设的攻击时间特征、攻击类型特征和攻击地址特征的目标网络流量日志。
4.根据权利要求3所述的方法,其特征在于,所述从所述攻击记录表和扫描记录表中,提取出符合预设的攻击时间特征、攻击类型特征和攻击地址特征的目标网络流量日志,包括:
判断所述攻击日志和扫描日志中的发送请求时间是否符合预设的攻击时间阈值;
如果是,则判断所述攻击日志和所述扫描日志的请求类型是否相同;
如果是,则判断所述攻击日志和所述扫描日志中的发送方网络地址是否相同;
如果是,则将对应的扫描日志和攻击日志确定为目标网络流量日志。
5.根据权利要求2所述的方法,其特征在于,所述攻击告警数据还包括:发送请求时间和请求类型,则所述对所述攻击日志和扫描日志进行分析,得到攻击者网络地址和被攻击者网络地址作为攻击告警数据,包括:
获取所述扫描日志中的接收方网络地址作为攻击者网络地址,以及,所述攻击日志中的接收方网络地址作为被攻击者网络地址;
将所述攻击者网络地址、被攻击者网络地址、发送请求时间和请求类型组合为攻击告警数据。
6.根据权利要求1所述的方法,其特征在于,还包括:
将所述攻击告警数据发送至前端显示界面以便展示。
7.根据权利要求1所述的方法,其特征在于,还包括:
针对同一个被攻击者网络地址,判断是否有超过预设攻击个数的网络服务器向所述被攻击者网络地址发起数据处理请求,如果是,则将攻击告警数据发送至所述被攻击者网络地址以便告警。
8.一种网络数据分析服务器,其特征在于,包括:
获取初始网络流量日志模块,用于获取初始网络流量日志;其中,所述初始网络流量日志包括:发送方网络地址、接收方网络地址、请求类型和发送请求时间;
划分初始网络流量日志模块,用于基于所述初始网络流量日志中的发送方网络地址、接收方网络地址、请求类型和发送请求时间,将所述初始网络流量日志分别划分在攻击记录表和扫描记录表中;其中,所述攻击记录表用于保存属于攻击类型的网络流量日志,所述扫描记录表用于保存属于扫描类型的网络流量日志;所述划分初始网络流量日志模块,包括:获取待分析日志子模块,用于获取发送请求时间的时间差在预设时间阈值内,所述发送方网络地址不同且接收方网络地址相同的待分析网络流量日志;第一判断子模块,用于判断所述待分析网络流量日志的条数是否大于预设条数阈值;第一确定子模块,用于在所述第一判断子模块的结果为是的情况下,将大于预设条数阈值的待分析网络流量日志确定为攻击日志;第一保存子模块,用于将所述第一确定子模块确定的攻击日志保存至所述攻击记录表;第二确定子模块,用于在所述第一判断子模块的结果为否的情况下,将不大于预设的条数阈值的待分析网络流量日志确定为扫描日志;第二保存子模块,用于将所述第二确定子模块确定的扫描日志保存至所述扫描记录表;
获取攻击告警数据模块,用于从所述攻击记录表和扫描记录表中,获取攻击者网络地址和被攻击者网络地址作为攻击告警数据。
9.根据权利要求8所述的服务器,其特征在于,所述获取攻击告警数据模块,包括:
提取日志子模块,用于从所述攻击记录表和扫描记录表中,提取符合预设攻击特征的攻击日志和扫描日志;
分析日志子模块,用于对所述攻击日志和扫描日志进行分析,得到攻击者网络地址和被攻击者网络地址作为攻击告警数据。
10.根据权利要求9所述的服务器,其特征在于,所述提取日志子模块具体用于:
从所述攻击记录表和扫描记录表中,提取出符合预设的攻击时间特征、攻击类型特征和攻击地址特征的目标网络流量日志。
11.根据权利要求10所述的服务器,其特征在于,所述提取日志子模块具体包括:
第二判断子模块,用于判断所述攻击日志和扫描日志中的发送请求时间是否符合预设的攻击时间阈值;
第三判断子模块,用于在所述第二判断子模块的结果为是的情况下,判断所述攻击日志和所述扫描日志的请求类型是否相同;
第四判断子模块,用于在所述第三判断子模块的结果为是的情况下,判断所述攻击日志和所述扫描日志中的发送方网络地址是否相同;
第三确定子模块,用于在所述第四判断子模块的结果为是的情况下,将对应的扫描日志和攻击日志确定为目标网络流量日志。
12.根据权利要求9所述的服务器,其特征在于,所述分析日志子模块包括:
获取地址子模块,用于获取所述扫描日志中的接收方网络地址作为攻击者网络地址,以及,所述攻击日志中的接收方网络地址作为被攻击者网络地址;
组合子模块,用于将所述攻击者网络地址、被攻击者网络地址、发送请求时间和请求类型组合为攻击告警数据。
13.根据权利要求8所述的服务器,其特征在于,还包括:
第一发送攻击告警数据模块,用于将所述攻击告警数据发送至前端显示界面以便展示。
14.根据权利要求8所述的服务器,其特征在于,还包括:
判断模块,用于针对同一个被攻击者网络地址,判断是否有超过预设攻击个数的网络服务器向所述被攻击者网络地址发起数据处理请求;
第二发送攻击告警数据模块,用于在所述判断模块的结果为是的情况下,将攻击告警数据发送至所述被攻击者网络地址以便告警。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610341755.7A CN107404465B (zh) | 2016-05-20 | 2016-05-20 | 网络数据分析方法及服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610341755.7A CN107404465B (zh) | 2016-05-20 | 2016-05-20 | 网络数据分析方法及服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107404465A CN107404465A (zh) | 2017-11-28 |
| CN107404465B true CN107404465B (zh) | 2020-08-04 |
Family
ID=60389376
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610341755.7A Active CN107404465B (zh) | 2016-05-20 | 2016-05-20 | 网络数据分析方法及服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107404465B (zh) |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019127141A1 (en) * | 2017-12-27 | 2019-07-04 | Siemens Aktiengesellschaft | Network traffic sending method and apparatus, and hybrid honeypot system |
| CN108512694B (zh) * | 2018-03-05 | 2021-07-20 | 北京信安世纪科技股份有限公司 | 一种服务器日志分析的方法及装置 |
| WO2019186367A1 (en) * | 2018-03-26 | 2019-10-03 | Amdocs Development Limited | System, method, and computer program for automatically generating training data for analyzing a new configuration of a communication network |
| CN110351229B (zh) | 2018-04-04 | 2020-12-08 | 电信科学技术研究院有限公司 | 一种终端ue管控方法及装置 |
| CN108769071B (zh) * | 2018-07-02 | 2021-02-09 | 腾讯科技(深圳)有限公司 | 攻击信息处理方法、装置和物联网蜜罐*** |
| CN109302390A (zh) * | 2018-09-21 | 2019-02-01 | 郑州云海信息技术有限公司 | 一种漏洞检测方法和装置 |
| CN109194680B (zh) * | 2018-09-27 | 2021-02-12 | 腾讯科技(深圳)有限公司 | 一种网络攻击识别方法、装置及设备 |
| CN109302426B (zh) * | 2018-11-30 | 2021-04-13 | 东软集团股份有限公司 | 未知漏洞攻击检测方法、装置、设备及存储介质 |
| CN109347881B (zh) * | 2018-11-30 | 2021-11-23 | 东软集团股份有限公司 | 基于网络欺骗的网络防护方法、装置、设备及存储介质 |
| CN109696892A (zh) * | 2018-12-21 | 2019-04-30 | 上海瀚之友信息技术服务有限公司 | 一种安全自动化***及其控制方法 |
| CN110784449A (zh) * | 2019-09-23 | 2020-02-11 | 太仓红码软件技术有限公司 | 一种基于空间编排的针对分布式攻击的网络安全*** |
| CN111552621B (zh) * | 2020-04-27 | 2023-09-01 | 中国银行股份有限公司 | 日志信息处理方法、装置及服务设备 |
| CN111726342B (zh) * | 2020-06-08 | 2022-08-02 | 中国电信集团工会上海市委员会 | 一种提升蜜罐***告警输出精准性的方法及*** |
| CN112087532B (zh) * | 2020-08-28 | 2023-04-07 | ***通信集团黑龙江有限公司 | 信息获取方法、装置、设备及存储介质 |
| CN112532636A (zh) * | 2020-12-02 | 2021-03-19 | 赛尔网络有限公司 | 一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法及装置 |
| TWI836279B (zh) * | 2021-07-16 | 2024-03-21 | 台達電子工業股份有限公司 | 網路封包處理裝置及網路封包處理方法 |
| CN113872802B (zh) * | 2021-09-17 | 2024-01-19 | 支付宝(杭州)信息技术有限公司 | 检测网元的方法和装置 |
| CN113904853B (zh) * | 2021-10-13 | 2024-05-14 | 百度在线网络技术(北京)有限公司 | 网络***的入侵检测方法、装置、电子设备和介质 |
| CN113676497A (zh) * | 2021-10-22 | 2021-11-19 | 广州锦行网络科技有限公司 | 数据阻断的方法和装置、电子设备和存储介质 |
| CN114422163B (zh) * | 2021-11-26 | 2023-07-21 | 苏州浪潮智能科技有限公司 | 一种内网安全防护方法、***、计算机设备及存储介质 |
| CN114422202A (zh) * | 2021-12-28 | 2022-04-29 | 中国电信股份有限公司 | 一种ip分类方法、***、装置、电子设备及存储介质 |
| CN114598504B (zh) * | 2022-02-21 | 2023-11-03 | 烽台科技(北京)有限公司 | 一种风险评估方法、装置、电子设备及可读存储介质 |
| CN114598512B (zh) * | 2022-02-24 | 2024-02-06 | 烽台科技(北京)有限公司 | 一种基于蜜罐的网络安全保障方法、装置及终端设备 |
| CN115589335B (zh) * | 2022-11-25 | 2023-04-21 | 北京微步在线科技有限公司 | 一种ntp分布式拒绝服务攻击的处理方法及*** |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101262351A (zh) * | 2008-05-13 | 2008-09-10 | 华中科技大学 | 一种网络追踪*** |
| CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析***与方法 |
| CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御*** |
| CN105049232A (zh) * | 2015-06-19 | 2015-11-11 | 成都艾尔普科技有限责任公司 | 网络信息日志审计*** |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9838421B2 (en) * | 2014-10-01 | 2017-12-05 | Ciena Corporation | Systems and methods utilizing peer measurements to detect and defend against distributed denial of service attacks |
-
2016
- 2016-05-20 CN CN201610341755.7A patent/CN107404465B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101262351A (zh) * | 2008-05-13 | 2008-09-10 | 华中科技大学 | 一种网络追踪*** |
| CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析***与方法 |
| CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御*** |
| CN105049232A (zh) * | 2015-06-19 | 2015-11-11 | 成都艾尔普科技有限责任公司 | 网络信息日志审计*** |
Non-Patent Citations (2)
| Title |
|---|
| 分布式拒绝服务攻击的检测、响应和追踪方法研究;张凌;《中国优秀硕士学位论文全文数据库》;20121218;27-34 * |
| 基于蜜罐技术的DDoS防范模型研究与实现;汪北阳;《中国优秀硕士学位论文全文数据库》;20070131;32-36 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107404465A (zh) | 2017-11-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107404465B (zh) | 网络数据分析方法及服务器 | |
| CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| US8245300B2 (en) | System and method for ARP anti-spoofing security | |
| EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
| US20160234167A1 (en) | Detecting anomaly action within a computer network | |
| EP3253018A1 (en) | Network intrusion detection based on geographical information | |
| CN111225002B (zh) | 一种网络攻击溯源方法、装置、电子设备和存储介质 | |
| EP3223495B1 (en) | Detecting an anomalous activity within a computer network | |
| CN107733581B (zh) | 基于全网环境下的快速互联网资产特征探测方法及装置 | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| US9699202B2 (en) | Intrusion detection to prevent impersonation attacks in computer networks | |
| US20160028765A1 (en) | Managing cyber attacks through change of network address | |
| CN113301012A (zh) | 一种网络威胁的检测方法、装置、电子设备及存储介质 | |
| US20220263846A1 (en) | METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF | |
| RU2679219C1 (ru) | СПОСОБ ЗАЩИТЫ СЕРВЕРА УСЛУГ ОТ DDoS АТАК | |
| JP2015179979A (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| CN107864110B (zh) | 僵尸网络主控端检测方法和装置 | |
| Lonea et al. | Evaluation of experiments on detecting distributed denial of service (DDoS) attacks in eucalyptus private cloud | |
| Salim et al. | Preventing ARP spoofing attacks through gratuitous decision packet | |
| CN109040137B (zh) | 用于检测中间人攻击的方法、装置以及电子设备 | |
| US11621972B2 (en) | System and method for protection of an ICS network by an HMI server therein | |
| CN113596037B (zh) | 一种基于网络全流量中事件关系有向图的apt攻击检测方法 | |
| JP4484190B2 (ja) | ルーター探索システム、ルーター探索方法、及びルーター探索プログラム | |
| US20140331321A1 (en) | Building filter through utilization of automated generation of regular expression | |
| CN110768983B (zh) | 一种报文处理方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |