[发明专利]用于检测进化DDoS攻击的新型云蜜罐方法及架构

说明书

本申请提供用于检测进化DDoS攻击的新型云蜜罐方法及架构，所述方法包括：将恶意流量和/或可疑流量分别引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器；通过多个不同类型的所述蜜罐系统同时对恶意流量和/或可疑流量进行监测分析，并分别记录各自对应的监测分析结果日志；各所述蜜罐系统分别将各自记录的所述监测分析结果日志上传至远程日志服务器，以供用户通过所述远程日志服务器中的多个监测分析结果日志对DDoS攻击进行分析判断。本发明利用不同类型的每个蜜罐系统都会同一时间对恶意流量进行采样分析，并把分析和监控结果记录在日志中，上传到远程日志服务器中，不同类型的蜜罐生成不同的日志将大大提升蜜罐对于进化的DDoS攻击的分析和监控。

技术领域

本申请涉及计算机网络技术领域，特别是涉及网络安全防御技术领域。

背景技术

在现如今计算机网络技术迅猛发展的当下，云计算和物联网已经正在逐渐改变着每个人的生活方式和工作方式。相对的就是，网络安全问题，云计算安全和物联网安全威胁已经变得越来越严重。针对物联网和云计算的攻击频率越来越高，危害与日俱增其中以消耗网络资源为目的的入侵行为尤其突出。分布式拒绝服务(DDoS：Distributed Denial ofService)攻击就是典型的网络资源消耗为目的的入侵行为攻击。如今它已经对互联网构成了巨大的威胁。因此推动了相应的防御机制的迅速出现和发展。但是攻击者不断开发和改进其恶意方法技术和工具来攻击这些安全系统。例如2013年3月攻击者利用DNS反射放大攻击对反垃圾邮件公司Spamhais发动了一次破坏性的攻击，期间DDoS攻击所产生的垃圾流量峰值达到了300Gbps。此外在2016年10月多路攻击者使用了不同的DDoS攻击方式组成了一个混合协同DDoS攻击模式对DNS服务商Dyn公司进行了破坏性的攻击，造成了无法挽回的损失。最后在2018年GitHub网站遭受到了一次巨大的DDoS攻击，这是迄今为止最大的有目的DDoS攻击，其峰值达到了1.35Tbps。从上述例子中可以看出DDoS的攻击方法变的越来越复杂，其攻击力变的更具有破坏性。随着物联网和云计算的不断发展，攻击者也瞄准了这一领域，新技术的崛起也伴随着很多安全问题的浮现，最近的趋势显示，利用物联网(IoT)和人工智能(AI)的DDoS攻击数量显著增加。AI正在显著改变DDoS攻击的模式，现代化的DDoS攻击模式将利用IoT设备来组建其僵尸网络与AI相结合能够适应不断变化的现有防御体系。因此，检测和防御此类DDoS攻击变得越来越复杂和困难。

现如今的大部分DDoS的防御体系都是被动防御架构，需要先等待攻击者实施攻击然后才进行防御，而此类防御方案无法应对未来智能化的产生超级巨大垃圾流量的DDoS攻击。如图1所示，传统防御依赖于防火墙1来制作策略，正常流量、可疑流量、恶意流量经过防火墙1、入侵检测系统2和网络控制系统3进行防御。而问题在于一般的网络资源消耗攻击和普通的大流量访问是很难区别的，此外这种攻击也不是传统的病毒攻击，就算加入了入侵检测系统也并不能完全确保流量区分，另外对于Tbps级别的流量更是无法承载，这样直接就导致了网络瘫痪，造成的损失将无法估量。

申请内容

鉴于以上所述现有技术的缺点，本申请的目的在于提供用于检测进化DDoS攻击的新型云蜜罐方法及架构，用于解决现有技术中无法有效检测不断演变的新型DDoS攻击和协作DDoS攻击的技术问题。

为实现上述目的及其他相关目的，本申请提供一种用于检测进化DDoS攻击的新型云蜜罐方法，所述用于检测进化DDoS攻击的新型云蜜罐方法包括：将恶意流量和/或可疑流量分别引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器；通过云蜜罐服务器中多个不同类型的所述蜜罐系统同时对恶意流量和/或可疑流量进行监测分析，并分别记录各自对应的监测分析结果日志；各所述蜜罐系统分别将各自记录的所述监测分析结果日志上传至远程日志服务器，以供用户通过所述远程日志服务器中的多个监测分析结果日志对DDoS攻击进行分析判断。