[发明专利]用于检测进化DDoS攻击的新型云蜜罐方法及架构

权利要求书

1.一种用于检测进化DDoS攻击的新型云蜜罐方法，其特征在于：所述用于检测进化DDoS攻击的新型云蜜罐方法包括：

将恶意流量和/或可疑流量分别引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器；

通过云蜜罐服务器中多个不同类型的所述蜜罐系统同时对恶意流量和/或可疑流量进行监测分析，并分别记录各自对应的监测分析结果日志；

各所述蜜罐系统分别将各自记录的所述监测分析结果日志上传至远程日志服务器，以供用户通过所述远程日志服务器中的多个监测分析结果日志对DDoS攻击进行分析判断。

2.根据权利要求1所述的用于检测进化DDoS攻击的新型云蜜罐方法，其特征在于：所述用于检测进化DDoS攻击的新型云蜜罐方法还包括：

对超过流量最大阈值的恶意流量和/或可疑流量进行分割形成至少两个子流量，并分别将分割的所述子流量引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器。

3.根据权利要求1所述的用于检测进化DDoS攻击的新型云蜜罐方法，其特征在于：在将记录的所述监测分析结果上传至远程日志服务器过程中使用TCP套接字层和缓冲区域，并对上传的通道进行加密。

4.根据权利要求1所述的用于检测进化DDoS攻击的新型云蜜罐方法，其特征在于：多个不同类型的蜜罐系统为产品型蜜罐系统、研究型蜜罐系统、低交互蜜罐系统和高交互蜜罐系统之间的组合。

5.根据权利要求1所述的用于检测进化DDoS攻击的新型云蜜罐方法，其特征在于：对恶意流量和/或可疑流量进行的监测分析包括：网络欺骗分析、端口重定向分析、恶意行为报警、数据控制、数据捕获以及DDoS特征签名匹配中的多种组合。

6.一种用于检测进化DDoS攻击的新型云蜜罐架构，其特征在于：所述用于检测进化DDoS攻击的新型云蜜罐架构包括：防火墙、检测引流设备、由多个不同类型的蜜罐系统形成的云蜜罐服务器以及远程日志服务器；

所述防火墙用于对网络访问进行筛查过滤；

所述检测引流设备用于对网络访问的流量进行检测筛选，并将筛选出来的恶意流量和/或可疑流量分别引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器；

所述云蜜罐服务器中所述多个不同类型的蜜罐系统同时对恶意流量和/或可疑流量进行监测分析并生成各自对应的监测分析结果日志，各所述蜜罐系统分别将各自记录的所述监测分析结果日志上传至所述远程日志服务器，以供用户通过所述远程日志服务器中的多个监测分析结果日志对DDoS攻击进行分析判断。

7.根据权利要求6所述的用于检测进化DDoS攻击的新型云蜜罐架构，其特征在于：所述用于检测进化DDoS攻击的新型云蜜罐架构还包括：

负载均衡设备，用于对超过流量最大阈值的恶意流量和/或可疑流量进行分割形成至少两个子流量，并分别将分割的所述子流量引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器。

8.根据权利要求6所述的用于检测进化DDoS攻击的新型云蜜罐架构，其特征在于：各所述蜜罐系统在将记录的所述监测分析结果上传至远程日志服务器过程中使用TCP套接字层和缓冲区域，并对上传的通道进行加密。

9.根据权利要求6所述的用于检测进化DDoS攻击的新型云蜜罐架构，其特征在于：所述蜜罐系统包括：

数据捕获模块，用于对恶意流量和/或可疑流量进行数据捕获；

数据控制模块，用于对恶意流量和/或可疑流量进行数据控制；

网络欺骗分析模块，用于对恶意流量和/或可疑流量进行网络欺骗分析；

端口重定向分析模块，用于对恶意流量和/或可疑流量进行端口重定向分析；

恶意行为报警功能模块，用于对恶意流量和/或可疑流量进行恶意行为报警；

DDoS特征签名匹配模块，用于对恶意流量和/或可疑流量进行DDoS特征签名匹配。

10.根据权利要求6所述的用于检测进化DDoS攻击的新型云蜜罐架构，其特征在于：将各类型的蜜罐分别安装于VMware EXSi中，形成多个不同类型的蜜罐系统，通过VMwarevCenter服务管理设备将各不同类型的蜜罐系统串联，形成所述云蜜罐服务器。