用于检测进化DDoS攻击的新型云蜜罐方法及架构与流程

本申请涉及计算机网络技术领域，特别是涉及网络安全防御技术领域。

背景技术：

在现如今计算机网络技术迅猛发展的当下，云计算和物联网已经正在逐渐改变着每个人的生活方式和工作方式。相对的就是，网络安全问题，云计算安全和物联网安全威胁已经变得越来越严重。针对物联网和云计算的攻击频率越来越高，危害与日俱增其中以消耗网络资源为目的的入侵行为尤其突出。分布式拒绝服务(ddos：distributeddenialofservice)攻击就是典型的网络资源消耗为目的的入侵行为攻击。如今它已经对互联网构成了巨大的威胁。因此推动了相应的防御机制的迅速出现和发展。但是攻击者不断开发和改进其恶意方法技术和工具来攻击这些安全系统。例如2013年3月攻击者利用dns反射放大攻击对反垃圾邮件公司spamhais发动了一次破坏性的攻击，期间ddos攻击所产生的垃圾流量峰值达到了300gbps。此外在2016年10月多路攻击者使用了不同的ddos攻击方式组成了一个混合协同ddos攻击模式对dns服务商dyn公司进行了破坏性的攻击，造成了无法挽回的损失。最后在2018年github网站遭受到了一次巨大的ddos攻击，这是迄今为止最大的有目的ddos攻击，其峰值达到了1.35tbps。从上述例子中可以看出ddos的攻击方法变的越来越复杂，其攻击力变的更具有破坏性。随着物联网和云计算的不断发展，攻击者也瞄准了这一领域，新技术的崛起也伴随着很多安全问题的浮现，最近的趋势显示，利用物联网(iot)和人工智能(ai)的ddos攻击数量显著增加。ai正在显著改变ddos攻击的模式，现代化的ddos攻击模式将利用iot设备来组建其僵尸网络与ai相结合能够适应不断变化的现有防御体系。因此，检测和防御此类ddos攻击变得越来越复杂和困难。

现如今的大部分ddos的防御体系都是被动防御架构，需要先等待攻击者实施攻击然后才进行防御，而此类防御方案无法应对未来智能化的产生超级巨大垃圾流量的ddos攻击。如图1所示，传统防御依赖于防火墙1来制作策略，正常流量、可疑流量、恶意流量经过防火墙1、入侵检测系统2和网络控制系统3进行防御。而问题在于一般的网络资源消耗攻击和普通的大流量访问是很难区别的，此外这种攻击也不是传统的病毒攻击，就算加入了入侵检测系统也并不能完全确保流量区分，另外对于tbps级别的流量更是无法承载，这样直接就导致了网络瘫痪，造成的损失将无法估量。

申请内容

鉴于以上所述现有技术的缺点，本申请的目的在于提供用于检测进化ddos攻击的新型云蜜罐方法及架构，用于解决现有技术中无法有效检测不断演变的新型ddos攻击和协作ddos攻击的技术问题。

为实现上述目的及其他相关目的，本申请提供一种用于检测进化ddos攻击的新型云蜜罐方法，所述用于检测进化ddos攻击的新型云蜜罐方法包括：将恶意流量和/或可疑流量分别引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器；通过云蜜罐服务器中多个不同类型的所述蜜罐系统同时对恶意流量和/或可疑流量进行监测分析，并分别记录各自对应的监测分析结果日志；各所述蜜罐系统分别将各自记录的所述监测分析结果日志上传至远程日志服务器，以供用户通过所述远程日志服务器中的多个监测分析结果日志对ddos攻击进行分析判断。

于本申请的一实施例中，所述用于检测进化ddos攻击的新型云蜜罐方法还包括：对超过流量最大阈值的恶意流量和/或可疑流量进行分割形成至少两个子流量，并分别将分割的所述子流量引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器。

于本申请的一实施例中，在将记录的所述监测分析结果上传至远程日志服务器过程中使用tcp套接字层和缓冲区域，并对上传的通道进行加密。

于本申请的一实施例中，多个不同类型的蜜罐系统为产品型蜜罐系统、研究型蜜罐系统、低交互蜜罐系统和高交互蜜罐系统之间的组合。

于本申请的一实施例中，对恶意流量和/或可疑流量进行的监测分析包括：网络欺骗分析、端口重定向分析、恶意行为报警、数据控制、数据捕获以及ddos特征签名匹配中的多种组合。

为实现上述目的及其他相关目的，本申请还提供一种用于检测进化ddos攻击的新型云蜜罐架构，所述用于检测进化ddos攻击的新型云蜜罐架构包括：防火墙、检测引流设备、由多个不同类型的蜜罐系统形成的云蜜罐服务器以及远程日志服务器；所述防火墙用于对网络访问进行筛查过滤；所述检测引流设备用于对网络访问的流量进行检测筛选，并将筛选出来的恶意流量和/或可疑流量分别引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器；所述云蜜罐服务器中所述多个不同类型的蜜罐系统同时对恶意流量和/或可疑流量进行监测分析并生成各自对应的监测分析结果日志，各所述蜜罐系统分别将各自记录的所述监测分析结果日志上传至所述远程日志服务器，以供用户通过所述远程日志服务器中的多个监测分析结果日志对ddos攻击进行分析判断。

于本申请的一实施例中，所述用于检测进化ddos攻击的新型云蜜罐架构还包括：负载均衡设备，用于对超过流量最大阈值的恶意流量和/或可疑流量进行分割形成至少两个子流量，并分别将分割的所述子流量引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器。

于本申请的一实施例中，各所述蜜罐系统在将记录的所述监测分析结果上传至远程日志服务器过程中使用tcp套接字层和缓冲区域，并对上传的通道进行加密。

于本申请的一实施例中，所述蜜罐系统包括：数据捕获模块，用于对恶意流量和/或可疑流量进行数据捕获；数据控制模块，用于对恶意流量和/或可疑流量进行数据控制；网络欺骗分析模块，用于对恶意流量和/或可疑流量进行网络欺骗分析；端口重定向分析模块，用于对恶意流量和/或可疑流量进行端口重定向分析；恶意行为报警功能模块，用于对恶意流量和/或可疑流量进行恶意行为报警；ddos特征签名匹配模块，用于对恶意流量和/或可疑流量进行ddos特征签名匹配。

将各类型的蜜罐分别安装于vmwareexsi中，形成多个不同类型的蜜罐系统，通过vmwarevcenter服务管理设备将各不同类型的蜜罐系统串联，形成所述云蜜罐服务器。

如上所述，本申请的用于检测进化ddos攻击的新型云蜜罐方法及架构，具有以下有益效果：

本发明利用不同类型的蜜罐系统整合形成云蜜罐服务器，每个蜜罐系统都会同一时间对恶意流量进行采样分析，并把分析和监控结果记录在日志中，然后上传到已经分类好的加密远程日志服务器中，这样可以有效地避免日志遭到攻击者的破坏，不同类型的蜜罐系统将生成不同的日志这将大大提升了蜜罐对不断演变的新型ddos攻击和协作ddos攻击进行精确的分析判断和监控。

附图说明

图1显示为现有技术中网络防御的架构示意图。

图2显示为现有技术中标准的蜜罐服务器架构示意图。

图3显示为本申请一实施例中用于检测进化ddos攻击的新型云蜜罐方法的流程示意图。

图4显示为本申请一实施例中的用于检测进化ddos攻击的新型云蜜罐架构的原理框图。

图5显示为本申请一实施例中蜜罐服务器与远程日志服务器的通信过程示意图。

图6显示为本申请一实施例中蜜罐服务器的功能原理结构框图。

图7显示为本申请一实施例中的用于检测进化ddos攻击的新型云蜜罐架构的实施过程原理示意图。

元件标号说明

1防火墙

2入侵检测系统

3访问控制系统

4黑客

5生产服务器

6蜜罐

7、8正常用户端

10用于检测进化ddos攻击的新型云蜜罐架构

100云蜜罐服务器

110～n蜜罐服务器

111数据捕获模块

112数据控制模块

113网络欺骗分析模块

114端口重定向分析模块

115恶意行为报警功能模块

116ddos特征签名匹配模块

200远程日志服务器

300防火墙

400检测引流设备

500路由器

600负载均衡设备

700监控终端

s100～s300步骤

具体实施方式

以下通过特定的具体实例说明本申请的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本申请的其他优点与功效。本申请还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本申请的精神下进行各种修饰或改变。需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。

在防御ddos攻击的技术领域，诱饵服务器是一个值得探索的方案，其中著名的诱饵服务器就是蜜罐(honeypot)，在深入的研究中可以证明蜜罐确实可以对ddos攻击的主动防御起到至关重要的作用，然而蜜罐只是一种系统，它的流量数据收集是基于物理硬件的，从数据上可以看出现有的蜜罐无法承担如此巨大的ddos攻击流量，因此它就无法收集攻击信息，并对其进行分析。“蜜网项目组”(thehoneynetproject)的创始人lancespitzner对蜜罐进行了权威的定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。蜜罐技术和防火墙、入侵检测系统不一样，它可以被建立在一个虚拟的环境中，当攻击者被其故意留下的漏洞和弱点引诱过来时，蜜罐将会监视和跟踪攻击者的行为。管理员可以通过对蜜罐主机记录下的syslog来对攻击者的活动进行进一步的检测和分析，从而掌握攻击者的攻击目的和身份，从而预先掌握攻击者的动向对自身的网络架构进行更高的安全保护。图2是标准的蜜罐服务器架构，防火墙1是第一层防线，当前端出现黑客4的攻击或是恶意扫描，蜜罐6将会吸引攻击者来到其自身的服务器，从而保护正常的生产服务器5的正常工作。知道现如今ddos的攻击变的越来越复杂越来越智能化，其恶意网络消耗的流量也越来越大。单一的一台蜜罐服务器是无法承载如此巨大的恶意流量的，所以无法承载恶意流量就等于无法对攻击进行跟踪和分析，那需要解决的第一个难题就是要让的蜜罐服务器可以承载如此巨大的恶意资源消耗流量。第二个问题就是如何做到对恶意流量的精确跟踪和分析，因为从现如今的ddos的攻击方式和其方法可以看出，ddos的攻击已经发生了变化，从单一控制僵尸网络来发起攻击到现如今常见的dns反射放大攻击都有着明显的变化，ddos正在向着多路协作攻击方式进行发展，此外其利用的网络协议也从单一的tcp、udp中进行了变化，其资源消耗流量也进行了加密，这对于蜜罐6将是一个不小的考验。

本发明的实施例将探索一种新型的主动防御架构来弥补这几点的缺陷，利用主动防御技术和虚拟化的结合，对蜜罐和云安全技术进行组合，开发一种新的云蜜罐(cloudhoneypot)来检测不断演变的新型ddos攻击和协作ddos攻击。

本实施例提供用于检测进化ddos攻击的新型云蜜罐方法及架构，用于解决现有技术中无法有效检测不断演变的新型ddos攻击和协作ddos攻击的技术问题。

本实施例提供用于检测进化ddos攻击的新型云蜜罐方法及架构的核心是为了凸显针对未来不断演变的ddos攻击和ddos协作攻击所设计的主动防御架构，并且已蜜罐服务器为核心，利用虚拟化技术和云计算来设计一个全新的防御架构，用于提高检测ddos攻击的效率。

以下将详细阐述本实施例的一种用于检测进化ddos攻击的新型云蜜罐方法及架构的原理及实施方式，使本领域技术人员不需要创造性劳动即可理解本实施例的一种用于检测进化ddos攻击的新型云蜜罐方法及架构。

实施例1

本实施例提供一种用于检测进化ddos攻击的新型云蜜罐方法。如图3所示展示本实施例中的用于检测进化ddos攻击的新型云蜜罐方法的流程示意图。

如图3所示，在本实施例中，所述用于检测进化ddos攻击的新型云蜜罐方法包括步骤s100至步骤s300。

步骤s100：将恶意流量和/或可疑流量分别引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器；

步骤s200通过多个不同类型的所述蜜罐系统同时对恶意流量和/或可疑流量进行监测分析，并分别记录各自对应的监测分析结果日志；

步骤s300各所述蜜罐系统分别将各自记录的所述监测分析结果日志上传至远程日志服务器，以供用户通过所述远程日志服务器中的多个监测分析结果日志对ddos攻击进行分析判断。

以下对本实施例中所述用于检测进化ddos攻击的新型云蜜罐方法的步骤s100至步骤s300进行详细说明。

步骤s100：将恶意流量和/或可疑流量分别引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器。

于本实施例中，多个不同类型的蜜罐系统为产品型蜜罐系统、研究型蜜罐系统、低交互蜜罐系统和高交互蜜罐系统之间的组合。

蜜罐可以按照其部署目的分为产品型蜜罐和研究型蜜罐两类，产品型蜜罐的目的在于为一个组织的网络提供安全保护，包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。一般产品型蜜罐较容易部署，而且不需要管理员投入大量的工作。蜜罐还可以按照其交互度的等级划分为低交互蜜罐和高交互蜜罐，交互度反应了黑客在蜜罐上进行攻击活动的自由度。低交互蜜罐一般仅仅模拟操作系统和网络服务，较容易部署且风险较小，但黑客在低交互蜜罐中能够进行的攻击活动为有限，因此通过低交互蜜罐能够收集的信息也比较有限，产品型蜜罐一般属于低交互蜜罐。高交互蜜罐则完全提供真实的操作系统和网络服务，没有任何的模拟，从黑客角度上看，高交互蜜罐完全是其垂涎已久的“活靶子”，因此在高交互蜜罐中，基本能够获得许多黑客攻击的信息。

本实施例中，将不同类型的蜜罐系统构建成一个大的云蜜罐服务器，并且取各类型蜜罐的长处来建立一个大的云蜜罐服务器。将恶意流量和/或可疑流量分别引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器。

于本实施例中，所述用于检测进化ddos攻击的新型云蜜罐方法还包括：对超过流量最大阈值的恶意流量和/或可疑流量进行分割形成至少两个子流量，并分别将分割的所述子流量引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器。

即本实施例中，对于超大流量进行切割把他们分成可接受范围内的小流量，并采样传送到每一个蜜罐系统上，然后进行分析。

步骤s200通过多个不同类型的所述蜜罐系统同时对恶意流量和/或可疑流量进行监测分析，并分别记录各自对应的监测分析结果日志。

于本实施例中，对恶意流量和/或可疑流量进行的监测分析包括但不限于：网络欺骗分析、端口重定向分析、恶意行为报警、数据控制、数据捕获以及ddos特征签名匹配中的多种组合。通过ddos特征签名匹配的分析可以快速对恶意流量和/或可疑流量进行ddos签名匹配，从而加快确认ddos攻击。

传统的蜜罐对每次的攻击只能做出单一的分析和一个监测分析结果日志，而云蜜罐服务器将结合各种类型蜜罐的长处，每个蜜罐系统都会同一时间对恶意流量和/或可疑流量进行采样分析，并把分析和监控结果记录在监测分析结果日志(syslog)中，这样可以有效的保护监测分析结果日志(syslog)遭到攻击者的破坏。

步骤s300各所述蜜罐系统分别将各自记录的所述监测分析结果日志上传至远程日志服务器，以供用户(管理员)通过所述远程日志服务器中的多个监测分析结果日志对不断演变的新型ddos攻击和协作ddos攻击进行精确的分析判断。

于本实施例中，在将记录的所述监测分析结果上传至远程日志服务器过程中使用tcp套接字层和缓冲区域，并对上传的通道进行加密。

因为不同的蜜罐系统使用着不同类型的系统，为了能够统一上传文件的协议，在上传过程中使用tcp套接字层和缓冲区域，并对上传的通道进行加密。

不同类型的蜜罐系统生成不同的监测分析结果日志(syslog)这将大大提升了蜜罐对不断演变的新型ddos攻击和协作ddos攻击进行精确的分析判断和监控。

此外，本实施例还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现所述的用于检测进化ddos攻击的新型云蜜罐方法。上述已经对所述用于检测进化ddos攻击的新型云蜜罐方法进行了详细说明，在此不再赘述。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过计算机程序相关的硬件来完成。前述的计算机程序可以存储于一计算机可读存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。

本实施例中，由于所有的蜜罐系统将在同一个时间对流量进行监控和分析，并把结果记录到监测分析结果日志(syslog)中并上传到远程日志服务器上，当网络管理员看见蜜罐系统的报警时，就能登录远程日志服务器进行查看，对每个蜜罐系统的监测分析结果日志(syslog)进行分析和比对，这种方式会大大的提高分析能力，和对新型ddos的攻击方式的判断，因为每个蜜罐系统都会有自己的监测分析结果日志(syslog)，可能会有一两个蜜罐系统出现未知(unknown)现象，这样也能在最短的时间内对新的攻击做出预判，如果是一台蜜罐系统，其分析结果将会只有一个监测分析结果日志(syslog)，一旦无法判断就直接输出未知(unknown)，这样网络管理员就无法在最短时间内进行防御。

实施例2

为实现实施例1的用于检测进化ddos攻击的新型云蜜罐方法，如图4所示，本实施例提供一种用于检测进化ddos攻击的新型云蜜罐架构10，所述用于检测进化ddos攻击的新型云蜜罐架构10包括：防火墙、检测引流设备(ids)、由多个不同类型的蜜罐系统(图4中蜜罐系统110、蜜罐系统120、蜜罐系统130至蜜罐系统n)形成的云蜜罐服务器100以及远程日志服务器200。

于本实施例中，所述防火墙300用于对网络访问进行筛查过滤；所述检测引流设备400用于对网络访问的流量进行检测筛选，并将筛选出来的恶意流量和/或可疑流量分别引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器；所述多个不同类型的蜜罐系统(图4中蜜罐系统110、蜜罐系统120、蜜罐系统130至蜜罐系统n)同时对恶意流量和/或可疑流量进行监测分析并生成各自对应的监测分析结果日志，各所述蜜罐系统分别将各自记录的所述监测分析结果日志上传至所述远程日志服务器200，以供用户通过所述远程日志服务器200中的多个监测分析结果日志对不断演变的新型ddos攻击和协作ddos攻击进行精确的分析判断。

于本实施例中，多个不同类型的蜜罐系统为产品型蜜罐系统、研究型蜜罐系统、低交互蜜罐系统和高交互蜜罐系统之间的组合。

蜜罐可以按照其部署目的分为产品型蜜罐和研究型蜜罐两类，产品型蜜罐的目的在于为一个组织的网络提供安全保护，包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。一般产品型蜜罐较容易部署，而且不需要管理员投入大量的工作。蜜罐还可以按照其交互度的等级划分为低交互蜜罐和高交互蜜罐，交互度反应了黑客在蜜罐上进行攻击活动的自由度。低交互蜜罐一般仅仅模拟操作系统和网络服务，较容易部署且风险较小，但黑客在低交互蜜罐中能够进行的攻击活动为有限，因此通过低交互蜜罐能够收集的信息也比较有限，产品型蜜罐一般属于低交互蜜罐。高交互蜜罐则完全提供真实的操作系统和网络服务，没有任何的模拟，从黑客角度上看，高交互蜜罐完全是其垂涎已久的“活靶子”，因此在高交互蜜罐中，基本能够获得许多黑客攻击的信息。

本实施例中，将不同类型的蜜罐系统(图4中蜜罐系统110、蜜罐系统120、蜜罐系统130至蜜罐系统n)构建成一个大的云蜜罐服务器100，并且取各类型蜜罐的长处来建立一个大的云蜜罐服务器100。将恶意流量和/或可疑流量分别引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器100。

具体地，将各类型的蜜罐分别安装于vmwareexsi中，形成多个不同类型的蜜罐系统，通过vmwarevcenter服务管理设备将各不同类型的蜜罐系统串联，形成所述云蜜罐服务器100。即利用vmwaresphere工具，把不同的蜜罐(honeypot)安装到每一个vmwareexsi主机中，然后利用vmwarevcenterserver(vmwarevcenter服务管理设备)把它们串联在一起，从而建立一个庞大的云蜜罐服务器100。

于本实施例中，所述用于检测进化ddos攻击的新型云蜜罐架构10还包括：负载均衡设备600，用于对超过流量最大阈值的恶意流量和/或可疑流量进行分割形成至少两个子流量，并分别将分割的所述子流量引入到由多个不同类型的蜜罐系统组成的云蜜罐服务器。

即本实施例中，对于超大流量进行切割把他们分成可接受范围内的小流量，并采样传送到每一个蜜罐系统上，然后进行分析。

于本实施例中，如图5所示，各所述蜜罐系统在将记录的所述监测分析结果上传至远程日志服务器200过程中使用tcp套接字层和缓冲区域，并对上传的通道进行加密。因为不同的蜜罐系统使用着不同类型的系统，为了能够统一上传文件的协议，在上传过程中使用tcp套接字层和缓冲区域，并对上传的通道进行加密。

于本实施例中，如图6所示，任一个所述蜜罐系统(蜜罐系统110、蜜罐系统120、蜜罐系统130或者蜜罐系统n)包括但不限于：数据捕获模块111，数据控制模块112，网络欺骗分析模块113，端口重定向分析模块114，恶意行为报警功能模块115以及ddos特征签名匹配模块116。

具体地，所述数据捕获模块111用于对恶意流量和/或可疑流量进行数据捕获；所述数据控制模块112用于对恶意流量和/或可疑流量进行数据控制；所述网络欺骗分析模块113用于对恶意流量和/或可疑流量进行网络欺骗分析；所述端口重定向分析模块114用于对恶意流量和/或可疑流量进行端口重定向分析；所述恶意行为报警功能模块115用于对恶意流量和/或可疑流量进行恶意行为报警；所述ddos特征签名匹配模块116用于对恶意流量和/或可疑流量进行ddos特征签名匹配。

通过所述ddos特征签名匹配模块116可以快速对恶意流量和/或可疑流量进行ddos签名匹配，从而加快确认ddos攻击。

需要说明的是，应理解以上装置的各个模块的划分仅仅是一种逻辑功能的划分，实际实现时可以全部或部分集成到一个物理实体上，也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现；也可以全部以硬件的形式实现；还可以部分模块通过处理元件调用软件的形式实现，部分模块通过硬件的形式实现。例如，数据捕获模块111可以为单独设立的处理元件，也可以集成在电子设备的某一个芯片中实现，此外，也可以以程序代码的形式存储于蜜罐系统的存储器中，由蜜罐系统的某一个处理元件调用并执行以上模块的功能。其它模块的实现与之类似。此外这些模块全部或部分可以集成在一起，也可以独立实现。这里所述的处理元件可以是一种集成电路，具有信号的处理能力。在实现过程中，以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。

例如，以上这些模块可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(applicationspecificintegratedcircuit，简称asic)，或，一个或多个微处理器(digitalsignalprocessor，简称dsp)，或，一个或者多个现场可编程门阵列(fieldprogrammablegatearray，简称fpga)等。再如，当以上某个模块通过处理元件调度程序代码的形式实现时，该处理元件可以是通用处理器，例如中央处理器(centralprocessingunit，简称cpu)或其它可以调用程序代码的处理器。再如，这些模块可以集成在一起，以片上系统(system-on-a-chip，简称soc)的形式实现。

任一个蜜罐系统(蜜罐系统110、蜜罐系统120、蜜罐系统130或者蜜罐系统n)包括处理器和存储器；存储器通过系统总线与处理器连接并完成相互间的通信，存储器用于存储计算机程序，处理器用于运行计算机程序，以使所述蜜罐系统实现所述的用于检测进化ddos攻击的新型云蜜罐架构10的功能。

另需说明的是，上述提到的系统总线可以是外设部件互连标准(peripheralcomponentinterconnect，简称pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture，简称eisa)总线等。该系统总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。通信接口用于实现数据库访问系统与其他设备(例如客户端、读写库和只读库)之间的通信。存储器可能包含随机存取存储器(randomaccessmemory，简称ram)，也可能还包括非易失性存储器(non-volatilememory)，例如至少一个磁盘存储器。

上述的处理器可以是通用处理器，包括中央处理器(centralprocessingunit，简称cpu)、网络处理器(networkprocessor，简称np)等；还可以是数字信号处理器(digitalsignalprocessing，简称dsp)、专用集成电路(applicationspecificintegratedcircuit，简称asic)、现场可编程门阵列(field－programmablegatearray，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

为使本领域技术人员进一步理解本实施例的用于检测进化ddos攻击的新型云蜜罐架构10的实施过程，以下对用于检测进化ddos攻击的新型云蜜罐架构10的实施过程进行说明。

如图7所示，当黑客想要进入内部网络系统时，防火墙300将作为第一道防线，对正常用户端7和正常用户端8和黑客的访问进行访问策略的过滤。之后当黑客控制僵尸网络(这只是一个例子，还有很多攻击模式)执行网络资源消耗攻击时，流量经路由器500进入检测引流设备400，检测引流设备400会对流量进行筛选，把恶意流量和/或可疑流量引导到云蜜罐服务器100上，其中，云蜜罐服务器100的前端的负载均衡设备600用于对超大流量进行切割并采样传送到每一个蜜罐系统上，所有的蜜罐系统(蜜罐系统110、蜜罐系统120、蜜罐系统130至蜜罐系统n)将在同一个时间对流量进行监控和分析，并把结果记录到监测分析结果日志(syslog)中并上传到远程日志服务器200上，当网络管理员看见任一个蜜罐系统(蜜罐系统110、蜜罐系统120、蜜罐系统130或蜜罐系统n)的报警时，就能通过监控终端700(个人电脑、手机等)登录远程日志服务器200进行查看，对每个蜜罐系统(蜜罐系统110、蜜罐系统120、蜜罐系统130至蜜罐系统n)的监测分析结果日志(syslog)进行分析和比对，这种方式会大大的提高分析能力，和对新型ddos的攻击方式的判断，因为每个蜜罐系统都会有自己的监测分析结果日志(syslog)，可能会有一两个蜜罐系统出现未知(unknown)现象，这样也能在最短的时间内对新的攻击做出预判，如果是一台蜜罐系统，其分析结果将会只有一个监测分析结果日志(syslog)，一旦无法判断就直接输出未知(unknown)，这样网络管理员就无法在最短时间内进行防御。

综上所述，本发明利用不同类型的蜜罐系统整合形成云蜜罐服务器，每个蜜罐系统都会同一时间对恶意流量进行采样分析，并把分析和监控结果记录在日志中，然后上传到已经分类好的远程日志服务器中，这样可以有效地避免日志遭到攻击者的破坏，不同类型的蜜罐系统将生成不同的日志这将大大提升了蜜罐对不断演变的新型ddos攻击和协作ddos攻击进行精确的分析判断和监控。所以，本申请有效克服了现有技术中的种种缺点而具高度产业利用价值。

上述实施例仅例示性说明本申请的原理及其功效，而非用于限制本申请。任何熟悉此技术的人士皆可在不违背本申请的精神及范畴下，对上述实施例进行修饰或改变。因此，举凡所属技术领域中具有通常知识者在未脱离本申请所揭示的精神与技术思想下所完成的一切等效修饰或改变，仍应由本申请的权利要求所涵盖。