專(zhuān)利名稱(chēng)：：網(wǎng)絡(luò)攻擊處理方法及處理裝置的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及通信
技術(shù)領(lǐng)域：
，具體涉及一種網(wǎng)絡(luò)攻擊處理方法及處理裝置。技術(shù)背景DDOS(DistributedDenialofService,分布式拒絕服務(wù)攻擊)攻擊是泛洪(flood)攻擊的其中一種，主要是指攻擊者利用主控主機(jī)做跳板(可能多級(jí)多層)，控制大量受感染的主機(jī)組成攻擊網(wǎng)絡(luò)對(duì)受害主機(jī)進(jìn)行大規(guī)^f莫的拒絕服務(wù)攻擊。這種攻擊往往能把單個(gè)攻擊者的攻擊以級(jí)數(shù)形式進(jìn)行放大，從而對(duì)受害主機(jī)造成重大影響，也造成網(wǎng)絡(luò)嚴(yán)重?fù)砣，F(xiàn)有技術(shù)中檢測(cè)出DDOS攻擊有多種方式，例如流量異常檢測(cè)、發(fā)包頻率檢測(cè)、特征報(bào)文檢測(cè)等。流量異常檢測(cè)主要根據(jù)各種協(xié)議流量在正常情況下是相對(duì)平穩(wěn)變化的，只有在受到特定攻擊時(shí)候才會(huì)發(fā)生明顯的突變的原理進(jìn)行檢測(cè)。通過(guò)采集流量后進(jìn)行流量統(tǒng)計(jì)，進(jìn)行流量模型的分析，然后把分析結(jié)果和初始分析模型進(jìn)行比對(duì)，兩者的差異如果大于閾值則認(rèn)為異常。發(fā)包頻率檢測(cè)是通過(guò)統(tǒng)計(jì)發(fā)包頻率，將統(tǒng)計(jì)結(jié)果和閾值進(jìn)行比較，如果大于閾值則認(rèn)為異常。特征報(bào)文^r測(cè)主要是根據(jù)已經(jīng)建立好的攻擊特征庫(kù)，對(duì)接收的報(bào)文進(jìn)行特征匹配，識(shí)別出攻擊報(bào)文或控制報(bào)文后，則確定為異常。在對(duì)現(xiàn)有技術(shù)的研究和實(shí)踐過(guò)程中，發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)存在以下問(wèn)題現(xiàn)有技術(shù)檢測(cè)方法檢測(cè)出DDOS攻擊時(shí)所得到的信息只是整個(gè)DDOS攻擊中的某一孤立事件，例如要么是某些控制報(bào)文或攻擊報(bào)文，要么是受害主機(jī)的某幾種協(xié)議的流量大規(guī)模異常等等，但實(shí)際上這些事件是密切關(guān)聯(lián)的，現(xiàn)有技術(shù)并沒(méi)有將這些孤立事件綜合考慮，因此無(wú)法提供完整的網(wǎng)絡(luò)攻擊拓樸，不能發(fā)現(xiàn)真正的攻擊纟乘控者。
發(fā)明內(nèi)容本發(fā)明實(shí)施例要解決的技術(shù)問(wèn)題是提供一種網(wǎng)絡(luò)攻擊處理方法及處理裝置，能夠提供完整的網(wǎng)絡(luò)攻擊拓樸，發(fā)現(xiàn)真正的攻擊組織控制者。為解決上述技術(shù)問(wèn)題，本發(fā)明所提供實(shí)施例是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)攻擊處理方法，包括確定被攻擊目標(biāo)后，查找記錄的與所述被攻擊目標(biāo)相關(guān)的攻擊事件，確定攻擊網(wǎng)絡(luò)中的受控主機(jī)；根據(jù)所述受控主機(jī)查找記錄的與所述受控主機(jī)相關(guān)的控制事件，確定攻擊網(wǎng)絡(luò)中的控制主機(jī)；將檢測(cè)出與多臺(tái)控制主機(jī)進(jìn)行相同通信的主機(jī)確定為攻擊操控者。本發(fā)明實(shí)施例提供一種處理裝置，包括攻擊對(duì)象建模模塊，用于確定被攻擊目標(biāo)；拓樸模塊，用于在所述攻擊對(duì)象建模模塊確定被攻擊目標(biāo)后，查找記錄的與所述^^皮攻擊目標(biāo)相關(guān)的攻擊事件，確定攻擊網(wǎng)絡(luò)中的受控主才幾；根據(jù)所述受控主機(jī)查找記錄的與所述受控主機(jī)相關(guān)的控制事件，確定攻擊網(wǎng)絡(luò)中的控制主機(jī)；通信分析模塊，用于將檢測(cè)出與多臺(tái)控制主機(jī)進(jìn)行相同通信的主機(jī)確定為攻擊操控者。上述技術(shù)方案可以看出，本發(fā)明實(shí)施例技術(shù)方案是在確定被攻擊目標(biāo)后，查找記錄的與所述被攻擊目標(biāo)相關(guān)的攻擊事件，確定攻擊網(wǎng)絡(luò)中的受控主才凡；根據(jù)所述受控主機(jī)查找記錄的與所述受控主機(jī)相關(guān)的控制事件，確定攻擊網(wǎng)絡(luò)中的控制主機(jī)；將檢測(cè)出與多臺(tái)控制主機(jī)進(jìn)行相同通信的主機(jī)確定為攻擊操控者，從而利用關(guān)聯(lián)分析技術(shù)把獲得的孤立事件關(guān)聯(lián)起來(lái)分析，得出一個(gè)完整的攻擊網(wǎng)絡(luò)的拓樸關(guān)系，發(fā)現(xiàn)真正的攻擊搮:控者。圖l是本發(fā)明實(shí)施例網(wǎng)絡(luò)攻擊處理方法流程圖；圖2是本發(fā)明實(shí)施例數(shù)據(jù)表DBTT中主要內(nèi)容的邏輯結(jié)構(gòu)示意圖；圖3是本發(fā)明實(shí)施例處理裝置結(jié)構(gòu)示意圖。具體實(shí)施方式本發(fā)明實(shí)施例提供了一種網(wǎng)絡(luò)攻擊處理方法，用于提供完整的網(wǎng)絡(luò)攻擊拓樸，從而發(fā)現(xiàn)真正的攻擊操控者。本發(fā)明實(shí)施例中設(shè)置事件收集模塊，主要是從日志記錄中讀取相關(guān)事件的日志信息，可以通過(guò)在數(shù)據(jù)庫(kù)中按要求進(jìn)行過(guò)濾得到。本發(fā)明實(shí)施例所指的相關(guān)事件主要是指5類(lèi)協(xié)議流量異常事件、頻率超限事件、DDOS攻擊事件、連接耗盡事件和DDOS控制事件。以下先對(duì)這些事件的信息進(jìn)行介紹。請(qǐng)參閱表項(xiàng)l,為頻率超限事件正文段數(shù)據(jù)結(jié)構(gòu)目的源目的源協(xié)議發(fā)包累計(jì)IPIP端口端口類(lèi)型頻率數(shù)量表項(xiàng)1表項(xiàng)1中，發(fā)包頻率表示發(fā)送數(shù)據(jù)包的快慢，累計(jì)數(shù)量表示該類(lèi)型的數(shù)據(jù)包在老化時(shí)間內(nèi)積累的數(shù)目。請(qǐng)參閱表項(xiàng)2，為連接耗盡事件正文段數(shù)據(jù)結(jié)構(gòu)目的源目的源協(xié)議連接累計(jì)IPIP端口端口類(lèi)型頻率數(shù)量表項(xiàng)2表項(xiàng)2中，連接頻率表示某主機(jī)和目標(biāo)主機(jī)間連接的快慢，累計(jì)數(shù)量表示在老化時(shí)間內(nèi)連接的累計(jì)次數(shù)。連接耗盡事件描述的通信狀態(tài)主要是指某主機(jī)針對(duì)某目標(biāo)主機(jī)短時(shí)間內(nèi)形成大量連接，超過(guò)連接頻率和累計(jì)數(shù)量的閾值。請(qǐng)參閱表項(xiàng)3,為DDOS攻擊事件正文段數(shù)據(jù)結(jié)構(gòu):目的源目的源協(xié)議DDOS攻擊觸犯IPIP端口端口類(lèi)型名稱(chēng)類(lèi)型規(guī)則表項(xiàng)3表項(xiàng)3中，DDOS名稱(chēng)主要是指在單包的DDOS特征報(bào)文檢測(cè)中，通過(guò)匹配攻擊規(guī)則成功后得出是哪種工具發(fā)起的DDOS攻擊命令，攻擊類(lèi)型指其采用的具體攻擊類(lèi)型，觸犯規(guī)則主要是指匹配成功的攻擊規(guī)則。請(qǐng)參閱表項(xiàng)4,為DDOS控制事件正文段數(shù)據(jù)結(jié)構(gòu)目的源目的源協(xié)議DDOS控制觸犯IPIP端口端口類(lèi)型名稱(chēng)類(lèi)型規(guī)則表項(xiàng)4表項(xiàng)4中，ddos名稱(chēng)主要是指在單包的ddos特征報(bào)文檢測(cè)中，通過(guò)匹配控制規(guī)則成功后得出是哪種工具發(fā)起的ddos控制命令，控制類(lèi)型指其采用的具體控制類(lèi)型，觸犯規(guī)則主要是指該匹配成功的控制規(guī)則。表項(xiàng)5為協(xié)議流量異常事件正文段數(shù)據(jù)結(jié)構(gòu)<table>tableseeoriginaldocumentpage8</column></row><table>表項(xiàng)5表項(xiàng)5中，流量數(shù)值指當(dāng)前流量數(shù)值，當(dāng)前閾值指的是動(dòng)態(tài)閾值，動(dòng)作標(biāo)記表示流量是否恢復(fù)正常，異常類(lèi)別表示出現(xiàn)流量異常的類(lèi)型。除事件收集模塊外，本發(fā)明實(shí)施例還設(shè)置攻擊對(duì)象建模模塊、攻擊關(guān)聯(lián)模塊、控制關(guān)聯(lián)模塊、拓樸模塊、輸出模塊、通信分析模塊。以下結(jié)合流程圖詳細(xì)介紹本發(fā)明實(shí)施例網(wǎng)絡(luò)攻擊處理方法。請(qǐng)參閱圖l,是本發(fā)明實(shí)施例網(wǎng)絡(luò)攻擊處理方法流程圖，包括步驟步驟IOI、確定#1攻擊目標(biāo)；攻擊對(duì)象建模模塊通過(guò)讀取事件收集模塊中流量異常事件的信息，根據(jù)定的被攻擊目標(biāo)一般采用ip地址表示。確定被攻擊目標(biāo)后，攻擊對(duì)象建才莫模塊再創(chuàng)建相關(guān)資源，并將確定的被攻擊目標(biāo)通知拓樸^f莫塊。步驟102、根據(jù)確定的被攻擊目標(biāo)查找出與其相關(guān)的攻擊事件集合，建立僵尸主才幾表；拓樸模塊以確定的被攻擊目標(biāo)的ip地址為匹配條件，遍歷攻擊關(guān)聯(lián)模塊記錄的攻擊實(shí)時(shí)列表,從中找出所有以該ip地址為攻擊對(duì)象的攻擊事件集合，根據(jù)攻擊事件中的攻擊報(bào)文建立臨時(shí)的僵尸主機(jī)表。攻擊關(guān)聯(lián)模塊的攻擊實(shí)時(shí)列表是根據(jù)事件收集模塊中收集的各事件信息，并按照目的ip地址分類(lèi)整理后建立。這里所述的各事件主要包括頻率超限事件、ddos攻擊事件和連接耗盡事件，各事件的信息可以通過(guò)上面描述的各表項(xiàng)體現(xiàn)。步驟103、根據(jù)僵尸主機(jī)的地址查找與其相關(guān)的控制事件集合，建立控制事件與攻擊事件的關(guān)聯(lián)，形成基本的拓樸數(shù)據(jù)表DBTT(DDOSBotnetTopologyTable);拓樸模塊根據(jù)建立的僵尸主機(jī)表，以僵尸主機(jī)的IP地址為匹配條件，遍歷控制關(guān)聯(lián)模塊中記錄的所有的控制實(shí)時(shí)列表，從中找出所有以該IP地址為控制對(duì)象的控制事件集合，建立控制事件與已找出的攻擊事件的關(guān)聯(lián)，也就是將根據(jù)控制報(bào)文確定的控制主機(jī)與僵尸主機(jī)表中的僵尸主機(jī)進(jìn)行關(guān)聯(lián)，從而形成基本的拓樸數(shù)據(jù)表DBTT,后續(xù)則根據(jù)變化動(dòng)態(tài)維護(hù)該DBTT?？刂脐P(guān)聯(lián)模塊的控制實(shí)時(shí)列表是根據(jù)事件收集模塊中收集的DDOS控制事件信息，把各種控制事件根據(jù)源IP地址分類(lèi)整理后建立。步驟104、對(duì)數(shù)據(jù)表DBTT中的控制主機(jī)進(jìn)行通信信息分析，確定操控者。拓樸模塊形成基本的DBTT后，通信分析模塊對(duì)DBTT中的多臺(tái)控制機(jī)主機(jī)進(jìn)行通信信息(包括數(shù)據(jù)信息和連接信息等)的分析，查找出與這些控制主機(jī)進(jìn)行相同通信的主機(jī)，判斷該主機(jī)為發(fā)起攻擊的操控者，將該主機(jī)的IP地址確定為4喿控者IP地址。通信分析模塊確定發(fā)起攻擊的操控者后，將操控者IP地址返回給拓樸模塊，由拓樸模塊記錄到DBTT中，形成最終的DBTT。請(qǐng)參閱圖2，是本發(fā)明實(shí)施例DBTT中主要內(nèi)容的邏輯結(jié)構(gòu)示意圖。如圖2所示，所述邏輯結(jié)構(gòu)主要包括三個(gè)層次。第一層次是操控者IP地址，第二層次是控制主機(jī)的相關(guān)信息，包括IP地址、控制方式、控制次數(shù)、有效標(biāo)記等。第三層次則是僵尸主機(jī)的相關(guān)信息，包括IP地址、類(lèi)型、攻擊IP組、有效標(biāo)記等。操控者IP地址借助獲取控制主機(jī)的通信信息來(lái)確定，而控制主機(jī)則通過(guò)獲取對(duì)僵尸主機(jī)的控制報(bào)文確定，僵尸主機(jī)通過(guò)獲取攻擊報(bào)文確定。第三層次中的類(lèi)型表示該僵尸主機(jī)屬于哪種僵尸類(lèi)別，攻擊IP組則是歷史記錄中其攻擊的目的IP的集合，有效標(biāo)記則表示該條記錄是否有效。當(dāng)通過(guò)上述步驟完成DBTT后，可以由輸出^f莫塊將DBTT依照策略定時(shí)或者實(shí)時(shí)形成黑名單后向外輸出，用于指導(dǎo)后續(xù)對(duì)攻擊行為的處理，例如進(jìn)行流量清洗等。通過(guò)上述內(nèi)容的介紹，可以發(fā)現(xiàn)，本發(fā)明實(shí)施例技術(shù)方案通過(guò)利用關(guān)聯(lián)分析技術(shù)把獲得的孤立事件進(jìn)行關(guān)聯(lián)分析，從而得出整個(gè)DDOS攻擊網(wǎng)絡(luò)的完整體系，發(fā)現(xiàn)真正的攻擊操控者，并能更方便的對(duì)整個(gè)DDOS攻擊網(wǎng)絡(luò)進(jìn)行監(jiān)控、跟蹤，為后續(xù)的流量清洗、攻擊反制、法律訴訟提供信息。另外，即使攻擊組織控制者在發(fā)起攻擊中應(yīng)變策略，例如攻擊一段時(shí)間后停止攻擊，然后再發(fā)起攻擊，或者時(shí)而采用一種攻擊方法，時(shí)而又采用另外一種方法，或者操控者經(jīng)常轉(zhuǎn)換IP，本發(fā)明實(shí)施例的技術(shù)方案通過(guò)最終形成的DBTT都可以反映出來(lái)，從而仍然可以解決這個(gè)問(wèn)題。上述內(nèi)容詳細(xì)介紹了本發(fā)明實(shí)施例網(wǎng)絡(luò)攻擊處理方法，相應(yīng)的，本發(fā)明實(shí)施例提供一種處理裝置。請(qǐng)參閱圖3，是本發(fā)明實(shí)施例處理裝置結(jié)構(gòu)示意圖。如圖3所示，處理裝置包括攻擊對(duì)象建模模塊301、拓樸模塊302、通信分析模塊303。攻擊對(duì)象建模模塊301,用于確定被攻擊目標(biāo)。拓樸模塊302,用于在所述攻擊對(duì)象建模模塊確定被攻擊目標(biāo)后，查找記錄的與所述被攻擊目標(biāo)相關(guān)的攻擊事件，確定攻擊網(wǎng)絡(luò)中的受控主機(jī)；根據(jù)所述受控主機(jī)查找記錄的與所述受控主機(jī)相關(guān)的控制事件，確定攻擊網(wǎng)絡(luò)中的控制主機(jī)。通信分析模塊303,用于將檢測(cè)出與多臺(tái)控制主機(jī)進(jìn)行相同通信的主機(jī)確定為攻擊操控者。處理裝置進(jìn)一步包括事件收集模塊304。事件收集模塊304,用于根據(jù)預(yù)設(shè)條件從日志記錄中收集事件信息；所述攻擊對(duì)象建模模塊301根據(jù)事件收集模塊304中收集的流量異常事件的優(yōu)先級(jí)信息確定被攻擊目標(biāo)。處理裝置進(jìn)一步包括攻擊關(guān)聯(lián)模塊305。攻擊關(guān)聯(lián)模塊305，用于將所述事件收集模塊304中的多種事件的信息按目的IP地址分類(lèi)整理后建立攻擊實(shí)時(shí)列表，其中所述多種事件包括頻率超限事件、DDOS攻擊事件和連接耗盡事件；所述拓樸模塊302是在所述攻擊實(shí)時(shí)列表中查找記錄的與所述^C攻擊目標(biāo)相關(guān)的攻擊事件。處理裝置進(jìn)一步包括控制關(guān)聯(lián)模塊306?？刂脐P(guān)聯(lián)模塊306，用于將所述事件收集模塊304中的各種控制事件的信息按源IP地址分類(lèi)整理后建立控制實(shí)時(shí)列表；所述拓樸模塊302是在所述控制實(shí)時(shí)列表中根據(jù)所述受控主機(jī)查找記錄的與所述受控主機(jī)相關(guān)的控制事件。進(jìn)一步的，所述處理裝置中的拓樸模塊302包括第一處理單元3021和第二處理單元3022。第一處理單元3021，用于在所述攻擊關(guān)聯(lián)模塊305建立的攻擊實(shí)時(shí)列表中，以被攻擊目標(biāo)的IP地址為匹配條件，查找出將所述被攻擊目標(biāo)作為攻擊對(duì)象的攻擊事件，確定攻擊網(wǎng)絡(luò)中的受控主機(jī)。第二處理單元3022，用于在所述控制關(guān)聯(lián)模塊306建立的控制實(shí)時(shí)列表中，以受控主機(jī)的IP地址為匹配條件，查找出將所述受控主機(jī)作為控制對(duì)象的控制事件，確定攻擊網(wǎng)絡(luò)中的控制主機(jī)。處理裝置進(jìn)一步包括輸出模塊307。上述得出的受控主機(jī)、控制主機(jī)和攻擊操控者由拓樸模塊302組成一個(gè)拓樸數(shù)據(jù)表DBTT,輸出模塊307將DBTT依照策略定時(shí)或者實(shí)時(shí)形成黑名單后向外輸出，用于指導(dǎo)后續(xù)對(duì)攻擊行為的處理，例如進(jìn)行流量清洗等。綜上所述，本發(fā)明實(shí)施例技術(shù)方案是在確定被攻擊目標(biāo)后，查找記錄的與所述被攻擊目標(biāo)相關(guān)的攻擊事件，確定攻擊網(wǎng)絡(luò)中的受控主機(jī)；根據(jù)所述受控主機(jī)查找記錄的與所述受控主機(jī)相關(guān)的控制事件，確定攻擊網(wǎng)絡(luò)中的控制主機(jī)；將檢測(cè)出與多臺(tái)控制主機(jī)進(jìn)行相同通信的主機(jī)確定為攻擊操控者，從而利用關(guān)聯(lián)分析技術(shù)把獲得的孤立事件關(guān)聯(lián)起來(lái)分析，得出一個(gè)完整的攻擊網(wǎng)絡(luò)的拓樸關(guān)系，發(fā)現(xiàn)真正的攻擊操控者。以上對(duì)本發(fā)明實(shí)施例所提供的一種網(wǎng)絡(luò)攻擊處理方法及處理裝置進(jìn)行了詳細(xì)介紹，對(duì)于本領(lǐng)域的一般技術(shù)人員，依據(jù)本發(fā)明實(shí)施例的思想，在具體實(shí)施方式及應(yīng)用范圍上均會(huì)有改變之處，綜上所述，本說(shuō)明書(shū)內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制。權(quán)利要求1.一種網(wǎng)絡(luò)攻擊處理方法，其特征在于，包括確定被攻擊目標(biāo)后，查找記錄的與所述被攻擊目標(biāo)相關(guān)的攻擊事件，確定攻擊網(wǎng)絡(luò)中的受控主機(jī)；根據(jù)所述受控主機(jī)查找記錄的與所述受控主機(jī)相關(guān)的控制事件，確定攻擊網(wǎng)絡(luò)中的控制主機(jī)；將檢測(cè)出與多臺(tái)控制主機(jī)進(jìn)行相同通信的主機(jī)確定為攻擊操控者。2、根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)攻擊處理方法，其特征在于所述確定纟皮攻擊目標(biāo)具體是一艮據(jù)流量異常事件的優(yōu)先級(jí)信息來(lái)確定。3、根據(jù)權(quán)利要求1或2所述的網(wǎng)絡(luò)攻擊處理方法，其特征在于所述查找記錄的與所述^^皮攻擊目標(biāo)相關(guān)的攻擊事件具體為在建立的攻擊實(shí)時(shí)列表中，以被攻擊目標(biāo)的IP地址為匹配條件，查找出將所述^^皮攻擊目標(biāo)作為攻擊對(duì)象的攻擊事件。4、根據(jù)權(quán)利要求3所述的網(wǎng)絡(luò)攻擊處理方法，其特征在于所述攻擊實(shí)時(shí)列表是將收集到的多種事件的信息按目的IP地址分類(lèi)整理后得到；其中所述多種事件包括頻率超限事件、分布式拒絕服務(wù)DDOS攻擊事件和連接耗盡事件。5、根據(jù)權(quán)利要求1或2所述的網(wǎng)絡(luò)攻擊處理方法，其特征在于所述根據(jù)受控主機(jī)查找記錄的與所述受控主機(jī)相關(guān)的控制事件具體為在建立的控制實(shí)時(shí)列表中，以受控主機(jī)的IP地址為匹配條件，查找出將所述受控主機(jī)作為控制對(duì)象的控制事件。6、根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)攻擊處理方法，其特征在于所述控制實(shí)時(shí)列表是將收集到的各種控制事件的信息按源IP地址分類(lèi)整理后得到。7、一種處理裝置，其特征在于，包括攻擊對(duì)象建模模塊，用于確定被攻擊目標(biāo)；拓樸模塊，用于在所述攻擊對(duì)象建模模塊確定被攻擊目標(biāo)后，查找記錄的與所述被攻擊目標(biāo)相關(guān)的攻擊事件，確定攻擊網(wǎng)絡(luò)中的受控主機(jī)；根據(jù)所述受控主機(jī)查找記錄的與所述受控主機(jī)相關(guān)的控制事件，確定攻擊網(wǎng)絡(luò)中的控制主才幾；通信分析模塊，用于將檢測(cè)出與多臺(tái)控制主機(jī)進(jìn)行相同通信的主機(jī)確定為攻擊操控者。8、根據(jù)權(quán)利要求7所述的處理裝置，其特征在于，所述處理裝置進(jìn)一步包括事件收集模塊，用于根據(jù)預(yù)設(shè)條件從曰志記錄中收集事件信息；所述攻擊對(duì)象建模模塊根據(jù)所述事件收集模塊中收集的流量異常事件的優(yōu)先級(jí)信息確定被攻擊目標(biāo)。9、根據(jù)權(quán)利要求8所述的處理裝置，其特征在于，所述處理裝置進(jìn)一步包括攻擊關(guān)聯(lián)模塊，用于將所述事件收集模塊中的多種事件的信息按目的IP地址分類(lèi)整理后建立攻擊實(shí)時(shí)列表；所述拓樸^f莫塊是在所述攻擊實(shí)時(shí)列表中查找記錄的與所述^C攻擊目標(biāo)相關(guān)的攻擊事件。10、根據(jù)權(quán)利要求8所述的處理裝置，其特征在于，所述處理裝置進(jìn)一步包括控制關(guān)聯(lián)模塊，用于將所述事件收集模塊中的各種控制事件的信息按源IP地址分類(lèi)整理后建立控制實(shí)時(shí)列表；所述拓樸模塊是在所述控制實(shí)時(shí)列表中根據(jù)所述受控主機(jī)查找記錄的與所述受控主機(jī)相關(guān)的控制事件。11、根據(jù)權(quán)利要求9或IO所述的處理裝置，其特征在于，所述拓樸模塊包括第一處理單元，用于在所述攻擊關(guān)聯(lián)模塊建立的攻擊實(shí)時(shí)列表中，以被攻擊目標(biāo)的IP地址為匹配條件，查找出將所述被攻擊目標(biāo)作為攻擊對(duì)象的攻擊事件，確定攻擊網(wǎng)絡(luò)中的受控主機(jī)；第二處理單元，用于在所述控制關(guān)聯(lián)模塊建立的控制實(shí)時(shí)列表中，以受控主機(jī)的IP地址為匹配條件，查找出將所述受控主機(jī)作為控制對(duì)象的控制事件，確定攻擊網(wǎng)絡(luò)中的控制主機(jī)。全文摘要本發(fā)明實(shí)施例公開(kāi)一種網(wǎng)絡(luò)攻擊處理方法及處理裝置。所述方法包括確定被攻擊目標(biāo)后，查找記錄的與所述被攻擊目標(biāo)相關(guān)的攻擊事件，確定攻擊網(wǎng)絡(luò)中的受控主機(jī)；根據(jù)所述受控主機(jī)查找記錄的與所述受控主機(jī)相關(guān)的控制事件，確定攻擊網(wǎng)絡(luò)中的控制主機(jī)；將檢測(cè)出與多臺(tái)控制主機(jī)進(jìn)行相同通信的主機(jī)確定為攻擊操控者。相應(yīng)的，本發(fā)明實(shí)施例還提供一種處理裝置。本發(fā)明實(shí)施例提供的技術(shù)方案能夠提供完整的網(wǎng)絡(luò)攻擊拓?fù)?，發(fā)現(xiàn)真正的攻擊組織控制者。文檔編號(hào)H04L29/06GK101282340SQ20081009618公開(kāi)日2008年10月8日申請(qǐng)日期2008年5月9日優(yōu)先權(quán)日2008年5月9日發(fā)明者武蔣申請(qǐng)人:華為技術(shù)有限公司