[0001] 本发明涉及计算机领域，尤其涉及一种攻击回溯方法及设备。

[0002] 随着互联网技术的发展，DDoS攻击越来越多，攻击造成的危害越来越大，通过DDoS攻击的事件来定位攻击者成了越来越迫切的需求，它能给公安机关侦破案件提供有力线索，有力震慑网络攻击者。

[0003] 传统的DDoS攻击回溯一般通过分析Netflow数据、路由拓扑，针对攻击路径进行回溯；或依赖于防火墙数据、网站访问日志、DNS解析记录、主机ICMP记录、威胁情报数据库等，需要将海量的日志结合多维度的攻击数据做筛选、融合和关联分析，最终回溯出一次攻击行动的完整过程；或通过对捕获DDoS攻击样本的网络协议分析找到傀儡机器，最终尝试分析出控制端IP(C2地址)。再通过控制端IP，结合社工库、威胁情报数据库等分析关联出真正的攻击者，整个过程相当漫长，大部分工作需依赖于人工分析，耗费大量人力和时间成本，且当攻击者通过多级代理或VPN等技术时，攻击溯源的成功率将大大降低。

[0004] 具体来说，传统的DDoS攻击回溯一般只能回溯到攻击源(攻击流量发出的地方，如IDC或者某个傀儡机)，或只能溯源到攻击控制端(C2)IP地址，无法进一步追溯到黑客用来抓包的设备，无法溯源到真正的幕后黑手，溯源不彻底。

[0005] 传统的DDoS攻击回溯依赖于防火墙数据、网站访问日志、DNS解析记录、主机ICMP记录、路由拓扑、威胁情报数据库等，需要将海量的日志结合多维度的攻击数据做筛选、融合和关联分析，最终尝试分析出控制端IP。再通过控制端IP，结合社工库、威胁情报数据库等分析关联出真正的攻击者，整个过程设计噪声处理、冗余日志分析和大量人工关联分析，过程相当漫长。

[0006] 传统的DDoS溯源侧重于分析攻击控制端IP(C2地址)，当攻击者通过IP动态拨号、代理技术、多级跳板等方式登录到中控端时，攻击溯源的成功率将大大降低。

[0007] 传统基于调度的DDoS防御依赖于DNS，而由于递归DNS的缓存问题，生效比较慢，需要通过多次调度，较长时间才能将异常隔离出来，溯源效率很低。

[0058] 下面结合附图对本发明作进一步详细描述。

[0059] 在本申请一个典型的配置中，终端、服务网络的设备和可信方均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

[0060] 内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

[0061] 计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括非暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

[0062] 本发明提供一种攻击回溯方法，所述方法包括：

[0063] 步骤S1，基于各防护节点的攻击日志确定被攻击的防护节点；

[0064] 步骤S2，从终端访问日志中获取访问所述被攻击的防护节点的终端作为风险终端，获取所述风险终端的唯一标识；

[0065] 步骤S4，增加新的防护节点，基于所述风险终端的唯一标识将所述风险终端调度到新增加的防护节点；

[0066] 重复上述步骤S1～步骤S4，直至确定最终的风险终端。

[0067] 在此，我们认识到，无论黑客发起哪种类型的攻击，首先一定需要找到攻击目标，即目标服务器的IP，一般做法是先通过在终端上抓取数据报文的方式获取到攻击目标IP，再对目标发起攻击(通过中控端向大量傀儡机下发攻击指令，由傀儡集发送海量数据包或请求)。如果能直接回溯到黑客抓包的终端，那么DDoS回溯将更彻底，离黑客也将更近一步。

[0068] 黑客在抓包的时候会留下访问记录，本发明通过分析访问记录即终端访问日志(tcp连接建立、访问时间、访问的服务端口、会话时间、访问到的服务器IP)和攻击事件即攻击日志(攻击大小、攻击时间、攻击IP、攻击端口等)，可以回溯到黑客抓包时间、抓包设备等信息，可进一步确定抓包设备的型号、品牌、地理位置、网络等信息，确定抓包的风险终端。

[0069] 抓包的风险设备是黑客用来抓取目标服务器IP的设备，如某一部手机。(黑客一般做法是在设备上安装目标软件，如黑客攻击某一游戏，黑客就在手机上安装这个游戏，运行游戏，通过网络抓包即知道目标服务器的地址，再对这个地址发起攻击)。如果我们能溯源到黑客用于抓包的设备(黑客的手机)，那么离这个黑客就很近了，因为黑客就在使用这部手机。

[0070] 只有黑客使用的真实设备才可以发出请求到防护节点，任何伪造的连接在TCP连接层面就会被阻断，所以终端没有访问日志。

[0071] 如图1所示，本发明可以为终端分配防护节点资源并监控防护节点的受攻击状态，并收集各防护节点的DDoS攻击等攻击日志(如被攻击IP、被攻击端口、攻击类型、攻击持续事件等)，终端访问日志(设备唯一标识、防护节点IP、节点端口等)，在本发明中，DDoS防护将分配数百乃至上千个防护节点，监控每一个防护节点的受攻击情况，并将攻击日志收集汇总；如果某一个防护控节点受到攻击，而此之前有访客终端访问到这个防护节点，受到攻击的IP地址和端口上有访客的访问记录，那么这些访客终端就高度可疑(因为只有访问到了这个防护节点，黑客才能抓到包获取IP和端口进而实施攻击)；如果某个访客终端访问的多个节点都受到攻击，那么这个访客的行为将非常可疑，被回溯算法认为是抓包终端的概率会比较高；

[0072] 然后，可以将终端访问日志、攻击日志上报攻击事件关联系统；

[0073] 接着，可以通过攻击事件关联系统实现DDoS等攻击事件关联，依据从攻击数据上传接口接收到的DDoS数据等攻击日志，结合终端访问日志，根据被攻击IP和端口查询一段时间内访问此IP和端口上的终端集合，视作风险终端，以从攻击日志中关联出可疑访问终端即风险终端，可以将此风险终端的唯一标识即设备指纹发送至调度系统；

[0074] 最后，调度系统通过风险终端的唯一标识将可疑访问终端调度到风险防护节点池，实现风险终端和正常终端的隔离，自此正常终端和风险终端访问的节点完全隔离，攻击不会影响到正常用户；

[0075] 后续，可以继续监控防护节点的被攻击情况，重复上述步骤，进一步缩小风险终端范围，直至完全确定风险终端；

[0076] 另外，可以进行攻击告警，将风险终端，被攻击的IP、端口等信息通过邮件发送给安全人员。

[0077] 本发明可以针对DDoS等攻击的实时监测，监测到受到攻击目标防护节点的IP地址，结合终端访问日志，自动关联出可疑高危终端。然后，可以将可疑终端调度到风险节点上来自动隔离攻击风险，若风险节点继续受到攻击，则可继续关联出攻击风险设备，缩小攻击终端范围。依此继续，最后将关联出可疑终端，完成攻击溯源。

[0078] 例如，可以采用多分法完成攻击溯源，比如，有100个节点池A，包括A1，A2…A100，其中通过攻击日志确定一个节点Ak(k＝1～100)受到了攻击，通过查找攻击前一段时间的终端访问日志，可以知道访问到这个A节点池的所有客户C1，C2…,都是可疑的用户终端。可以将这些可疑用户终端调度到另外一个节点池B1，B2…，再观察节点池B的受攻击情况，通过访问日志就进一步缩小范围，依次类推，最终定位到真正的攻击者终端。

[0079] 具体的，例如，本发明的DDoS攻击监测系统监测到IP 1.1.1.1，端口12345受到攻击，同时在近一段时间范围内，终端访问日志里终端A访问了1.1.1.1的12345端口，终端B访问了1.1.1.1的23456端口，终端C访问了2.2.2.2的12345端口，则可关联出终端A是可疑的风险终端。

[0080] 本发明针对现有方案中大多只能溯源到中控端的不足，本发明可直接溯源到黑客用于抓包的设备，溯源更加直接，成功率也更高。

[0081] 本发明的攻击防护和攻击溯源是同时进行的，在攻击防护过程中，通过攻击调度和节点受攻击状态，结合终端访问日志和攻击日志，即可实时确定攻击终端。本发明无需海量的多维度数据分析，仅依赖攻击日志和终端访问日志即可实现攻击回溯，且攻击回溯不依赖人工，完全由程序自动完成，大大提升了溯源效率。

[0082] 本发明可以发现可疑的风险终端，通过风险终端快速回溯到攻击者，改善了以往DDoS攻击回溯着重依赖于定位攻击流量来源或者控制端IP的缺陷，攻击溯源更彻底，溯源速度快，同时大大提升了溯源成功率。

[0083] 另外，本发明是基于终端的唯一标识进行调度，可以将风险终端调度到特定的防护节点上，调度的粒度更细，可以精确调度每一个终端到不同节点上，而且秒级生效，可迅速将可疑终端隔离出来，大大降低了溯源时间。

[0084] 本发明的攻击回溯方法一实施例中，步骤S4，增加新的防护节点，基于所述风险终端的唯一标识将所述风险终端调度到新增加的防护节，包括：

[0085] 获取所述风险终端的风险等级；

[0086] 若所述风险终端的风险等级大于预设阈值，则增加对应的新的防护节点，基于所述风险终端的唯一标识将所述风险终端调度到新增加的防护节。

[0087] 本发明的攻击回溯方法一实施例中，获取所述风险终端的风险等级之前，还包括：

[0088] 建立终端信誉库；

[0089] 基于所述终端信誉库确定所述风险终端的风险等级。

[0090] 本发明的攻击回溯方法一实施例中，所述建立终端信誉库包括收集并汇总终端的如下至少一种历史行为特征：

[0091] 在线时长；

[0092] 打开应用次数；

[0093] 网络环境；

[0094] 访问行为；

[0095] 终端环境检测；

[0096] 所述终端信誉库根据所述至少一种历史行为特征确定所述风险终端的风险等级。

[0097] 在此，如图1所示，可以通过大数据分析系统根据每一个终端的访问情况，建立终端信誉库(如访问频率、访问时间、访问端口分布、URL、会话时长等)，对每一个终端进行风险评估，将不同终端调度到不同防护资源池中

[0098] 终端信誉库可以涵盖多个维度，如用户终端的在线时长、打开应用次数、网络环境(wifi、wlan、代理、vpn等)、访问行为(访问端口、会话时长、访问四时间等)、终端环境检测(模拟器、虚拟机、root、调试、重打包等)。

[0099] 本发明通过这个终端信誉库可以来评判用户风险等级，正常用户的风险等级和异常终端的风险等级显著不同。以此作为调度依据将用户分隔到不同的防护节点资源中，实现攻击风险隔离。可疑终端分配的防护资源与正常用户的不一样，这样一是保护正常用户，二是缩小了溯源范围。

[0100] 本发明通过在终端信誉库加入了终端风险检测环节，根据终端环境(网络、是否使用VPN、是否使用代理、终端是否被root、是否为模拟器、是否在抓包、是否多开、是否重打包等)来评测终端风险，再结合此终端的终端访问记录来评判此终端的风险等级，将大大提升算法的准确率。

[0101] 另外，每个终端的风险等级范围可以是动态的，根据终端信誉库进行动态调整。

[0102] 本发明还提供一种攻击回溯设备，所述设备包括：

[0103] 攻击事件关联系统，用于基于各防护节点的攻击日志确定被攻击的防护节点；从终端访问日志中获取访问所述被攻击的防护节点的终端作为风险终端，获取所述风险终端的唯一标识；

[0104] 调度系统，用于增加新的防护节点，基于所述风险终端的唯一标识将所述风险终端调度到新增加的防护节点；

[0105] 重复执行攻击事件关联系统和调度系统，直至确定最终的风险终端。

[0106] 在此，我们认识到，无论黑客发起哪种类型的攻击，首先一定需要找到攻击目标，即目标服务器的IP，一般做法是先通过在终端上抓取数据报文的方式获取到攻击目标IP，再对目标发起攻击(通过中控端向大量傀儡机下发攻击指令，由傀儡集发送海量数据包或请求)。如果能直接回溯到黑客抓包的终端，那么DDoS回溯将更彻底，离黑客也将更近一步。

[0107] 黑客在抓包的时候会留下访问记录，本发明通过分析访问记录即终端访问日志(tcp连接建立、访问时间、访问端口、会话时间、访问到的服务器IP)和攻击事件即攻击日志(攻击大小、攻击时间、攻击IP、攻击端口等)，可以回溯到黑客抓包时间、抓包设备等信息，可进一步确定抓包设备的型号、品牌、地理位置、网络等信息，确定抓包的风险终端。

[0108] 抓包的风险设备是黑客用来抓取目标服务器IP的设备，如某一部手机。(黑客一般做法是在设备上安装目标软件，如黑客攻击某一游戏，黑客就在手机上安装这个游戏，运行游戏，通过网络抓包即知道目标服务器的地址，再对这个地址发起攻击)。如果我们能溯源到黑客用于抓包的设备(黑客的手机)，那么离这个黑客就很近了，因为黑客就在使用这部手机。

[0109] 只有黑客使用的真实设备才可以发出请求到防护节点，任何伪造的连接在TCP连接层面就会被阻断，所以终端没有访问日志。

[0110] 如图1所示，本发明可以为终端分配防护节点资源并监控防护节点的受攻击状态，并收集各防护节点的DDoS攻击等攻击日志(如被攻击IP、被攻击端口、攻击类型、攻击持续事件等)，终端访问日志(设备唯一标识、防护节点IP、节点端口等)，在本发明中，DDoS防护将分配数百乃至上千个防护节点，监控每一个防护节点的受攻击情况，并将攻击日志收集汇总；如果某一个防护控节点受到攻击，而此之前有访客终端访问到这个防护节点，受到攻击的IP地址和端口上有访客的访问记录，那么这些访客终端就高度可疑(因为只有访问到了这个防护节点，黑客才能抓到包获取IP和端口进而实施攻击)；如果某个访客终端访问的多个节点都受到攻击，那么这个访客的行为将非常可疑，被回溯算法认为是抓包终端的概率会比较高；

[0111] 然后，可以将终端访问日志、攻击日志上报攻击事件关联系统；

[0112] 接着，可以通过攻击事件关联系统实现DDoS等攻击事件关联，依据从攻击数据上传接口接收到的DDoS数据等攻击日志，结合终端访问日志，根据被攻击IP和端口查询一段时间内访问此IP和端口上的终端集合，视作风险终端，以从攻击日志中关联出可疑访问终端即风险终端，可以将此风险终端标识发送至调度系统；

[0113] 最后，调度系统将可疑访问终端调度到风险防护节点池，实现风险终端和正常终端的隔离，自此正常终端和风险终端访问的节点完全隔离，攻击不会影响到正常用户；

[0114] 后续，可以继续监控防护节点的被攻击情况，重复上述步骤，进一步缩小风险终端范围，直至完全确定风险终端；

[0115] 另外，可以进行攻击告警，将风险终端，被攻击的IP、端口等信息通过邮件发送给安全人员。

[0116] 本发明可以针对DDoS等攻击的实时监测，监测到受到攻击目标IP地址，结合终端访问日志，自动关联出可疑高危终端。然后，可以将可疑终端调度到风险节点上来自动隔离攻击风险，若风险节点继续受到攻击，则可继续关联出攻击风险设备，缩小攻击终端范围。依此继续，最后将关联出可疑终端，完成攻击溯源。

[0117] 例如，可以采用多分法完成攻击溯源，比如，有100个节点池A，包括A1，A2…A100，其中通过攻击日志确定一个节点Ak(k＝1～100)受到了攻击，通过查找攻击前一段时间的终端访问日志，可以知道访问到这个A节点池的所有客户C1，C2…,都是可疑的用户终端。可以将这些可疑用户终端调度到另外一个节点池B1，B2…，再观察节点池B的受攻击情况，通过访问日志就进一步缩小范围，依次类推，最终定位到真正的攻击者终端。

[0118] 具体的，例如，本发明的DDoS攻击监测系统监测到IP 1.1.1.1，端口12345受到攻击，同时在近一段时间范围内，终端访问日志里终端A访问了1.1.1.1的12345端口，终端B访问了1.1.1.1的23456端口，终端C访问了2.2.2.2的12345端口，则可关联出终端A是可疑的风险终端。

[0119] 本发明针对现有方案中大多只能溯源到中控端的不足，本发明可直接溯源到黑客用于抓包的设备，溯源更加直接，成功率也更高。

[0120] 本发明的攻击防护和攻击溯源是同时进行的，在攻击防护过程中，通过攻击调度和节点受攻击状态，结合终端访问日志和攻击日志，即可实时确定攻击终端。本发明无需海量的多维度数据分析，仅依赖攻击日志和终端访问日志即可实现攻击回溯，且攻击回溯不依赖人工，完全由程序自动完成，大大提升了溯源效率。

[0121] 本发明可以发现可疑的风险终端，通过风险终端快速回溯到攻击者，改善了以往DDoS攻击回溯着重依赖于定位攻击流量来源或者控制端IP的缺陷，攻击溯源更彻底，溯源速度快，同时大大提升了溯源成功率。

[0122] 另外，本发明是基于终端的唯一标识进行调度，可以将风险终端调度到特定的防护节点上，调度的粒度更细，可以精确调度每一个终端到不同节点上，而且秒级生效，可迅速将可疑终端隔离出来，大大降低了溯源时间。

[0123] 本发明的攻击回溯设备一实施例中，所述调度系统，用于获取所述风险终端的风险等级；若所述风险终端的风险等级大于预设阈值，则增加新的防护节点，基于所述风险终端的唯一标识将所述风险终端调度到新增加的防护节。

[0124] 本发明的攻击回溯设备一实施例中，还包括分析系统，用于建立终端信誉库；基于所述终端信誉库确定所述风险终端的风险等级。

[0125] 本发明的攻击回溯设备一实施例中，所述分析系统用于收集并汇总终端的如下至少一种历史行为特征至终端信誉库，所述分析系统根据所述至少一种历史行为特征确定所述风险终端的风险等级：

[0126] 在线时长；

[0127] 打开应用次数；

[0128] 网络环境；

[0129] 访问行为；

[0130] 终端环境检测。

[0131] 在此，如图1所示，可以通过大数据分析系统根据每一个终端的访问情况，建立终端信誉库(如访问频率、访问时间、访问端口分布、URL、会话时长等)，对每一个终端进行风险评估，将不同终端调度到不同防护资源池中

[0132] 终端信誉库可以涵盖多个维度，如用户终端的在线时长、打开应用次数、网络环境(wifi、wlan、代理、vpn等)、访问行为(访问端口、会话时长、访问四时间等)、终端环境检测(模拟器、虚拟机、root、调试、重打包等)。

[0133] 本发明通过这个终端信誉库可以来评判用户风险等级，正常用户的风险等级和异常终端的风险等级显著不同。以此作为调度依据将用户分隔到不同的防护节点资源中，实现攻击风险隔离。可疑终端分配的防护资源与正常用户的不一样，这样一是保护正常用户，二是缩小了溯源范围。

[0134] 本发明通过在终端信誉库加入了终端风险检测环节，根据终端环境(网络、是否使用VPN、是否使用代理、终端是否被root、是否为模拟器、是否在抓包、是否多开、是否重打包等)来评测终端风险，再结合此终端的终端访问记录来评判此终端的风险等级，将大大提升算法的准确率。

[0135] 另外，每个终端的风险等级范围可以是动态的，根据终端信誉库进行动态调整。

[0136] 根据本发明的另一面，还提供一种基于计算的设备，其中，包括：

[0137] 处理器；以及

[0138] 被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器：

[0139] 基于各防护节点的攻击日志确定被攻击的防护节点；

[0140] 从终端访问日志中获取访问所述被攻击的防护节点的终端作为风险终端，获取所述风险终端的唯一标识；

[0141] 增加新的防护节点，基于所述风险终端的唯一标识将所述风险终端调度到新增加的防护节点；

[0142] 重复上述步骤，直至确定最终的风险终端。

[0143] 根据本发明的另一面，还提供一种计算机可读存储介质，其上存储有计算机可执行指令，其中，该计算机可执行指令被处理器执行时使得该处理器：

[0144] 基于各防护节点的攻击日志确定被攻击的防护节点；

[0145] 从终端访问日志中获取访问所述被攻击的防护节点的终端作为风险终端，获取所述风险终端的唯一标识；

[0146] 增加新的防护节点，基于所述风险终端的唯一标识将所述风险终端调度到新增加的防护节点；

[0147] 重复上述步骤，直至确定最终的风险终端。

[0148] 本发明的各设备和存储介质实施例的详细内容，具体可参见各方法实施例的对应部分，在此，不再赘述。

[0149] 综上所述，本发明具有如下优点：

[0150] 1)本发明通过首先找到被攻击的防护节点的IP，再通过访问日志迅速定位到访问到这个防护节点IP的所有终端设备。相对于已有的技术方案大多只能溯源到中控端，本发明直接溯源到黑客使用的可疑终端，溯源更彻底。

[0151] 2)本发明在攻击溯源上是实时且高效的，在攻击发生的时候就能溯源到黑客使用终端，并捕获到攻击数据包。整个溯源过程只依赖于攻击数据和访问日志，数据量小，处理非常高效。而现有技术方案大多是事后的，实时性难以保证，且需要海量的数据处理分析才能得出攻击场景图，效率不足。

[0152] 3)本发明在攻击发生的时候，根据关联分析能自动检测出攻击风险终端，通过风险隔离调度，将风险用户与正常用户隔离，保证了正常用户不受攻击的影响。

[0153] 显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

[0154] 需要注意的是，本发明可在软件和/或软件与硬件的组合体中被实施，例如，可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中，本发明的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地，本发明的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中，例如，RAM存储器，磁或光驱动器或软磁盘及类似设备。另外，本发明的一些步骤或功能可采用硬件来实现，例如，作为与处理器配合从而执行各个步骤或功能的电路。

[0155] 另外，本发明的一部分可被应用为计算机程序产品，例如计算机程序指令，当其被计算机执行时，通过该计算机的操作，可以调用或提供根据本发明的方法和/或技术方案。而调用本发明的方法的程序指令，可能被存储在固定的或可移动的记录介质中，和/或通过广播或其他信号承载媒体中的数据流而被传输，和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此，根据本发明的一个实施例包括一个装置，该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器，其中，当该计算机程序指令被该处理器执行时，触发该装置运行基于前述根据本发明的多个实施例的方法和/或技术方案。

[0156] 对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。