本申請涉及ddos攻擊防御領(lǐng)域，尤其涉及一種發(fā)現(xiàn)ddos攻擊的方法及裝置。

背景技術(shù)：

ddos攻擊是指黑客通過控制大量的傀儡機，消耗攻擊目標的計算資源阻止目標為合法用戶提供服務(wù)?，F(xiàn)有的ddos防御系統(tǒng)，主要是保護目標免受攻擊者的ddos攻擊，而攻擊者一般是由黑客控制的傀儡機，因此，現(xiàn)有的ddos防御系統(tǒng)，是無法獲知背后的真正攻擊者到底是誰。最基本的ddos攻擊主要是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)?，F(xiàn)有的ddos防御系統(tǒng)，主要根據(jù)流量判斷是否受到ddos攻擊，然而，在攻擊者開始發(fā)動ddos攻擊時，由于初始流量較小，無法在第一時間準確判斷是否要被攻擊。

技術(shù)實現(xiàn)要素：

本申請的一個目的是提供一種發(fā)現(xiàn)ddos攻擊的方法及裝置，能夠獲知控制傀儡機發(fā)動ddos攻擊的中控主機及其攻擊的目標主機。

根據(jù)本申請的一方面，提供了一種發(fā)現(xiàn)ddos攻擊的方法，其中，該方法包括以下步驟：

對ddos攻擊程序樣本進行網(wǎng)絡(luò)協(xié)議分析，以提取出所述ddos攻擊程序樣本所使用的網(wǎng)絡(luò)協(xié)議；

在網(wǎng)絡(luò)上查找運行有基于所述網(wǎng)絡(luò)協(xié)議的ddos攻擊控制程序的主機，以確定為控制ddos攻擊的中控主機；

根據(jù)所述網(wǎng)絡(luò)協(xié)議模擬受中控主機控制的傀儡機，以便接收到所述各個中控主機向傀儡機下達的攻擊指令而發(fā)現(xiàn)攻擊。

可選地，對ddos攻擊程序樣本進行網(wǎng)絡(luò)協(xié)議分析，以提取出所述ddos攻擊程序樣本所使用的網(wǎng)絡(luò)協(xié)議的步驟包括：

對所述ddos攻擊程序樣本進行反匯編分析，以還原出所述ddos攻擊程序樣本所述使用的網(wǎng)絡(luò)協(xié)議。

可選地，對ddos攻擊程序樣本進行網(wǎng)絡(luò)協(xié)議分析，以提取出所述ddos攻擊程序樣本所使用的網(wǎng)絡(luò)協(xié)議的步驟包括：

運行所述ddos攻擊程序樣本，以通過抓包分析來分析出所述ddos攻擊程序樣本所使用的網(wǎng)絡(luò)協(xié)議。

可選地，在網(wǎng)絡(luò)上查找運行有基于所述網(wǎng)絡(luò)協(xié)議的ddos攻擊控制程序的主機，以確定為控制ddos攻擊的中控主機的步驟包括：

向網(wǎng)絡(luò)中的各個主機發(fā)送所述網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)包；

檢測接收到的各個主機返回的數(shù)據(jù)包是否與預(yù)定結(jié)果匹配；

將返回的數(shù)據(jù)包與預(yù)定結(jié)果匹配的主機確定為控制ddos攻擊的中控主機。

可選地，根據(jù)所述網(wǎng)絡(luò)協(xié)議模擬受中控主機控制的傀儡機，以便接收到所述各個中控主機向傀儡機下達的攻擊指令而發(fā)現(xiàn)攻擊的步驟包括：

向掃描出的各個中控主機發(fā)送所述網(wǎng)絡(luò)協(xié)議中的上線協(xié)議，以模擬受中控主機控制的傀儡機；

接收掃描出的各個中控主機中至少一個下達的攻擊指令；

通過解析所述攻擊指令，提取出攻擊目標的ip地址、中控主機的ip地址以及攻擊類型。

可選地，根據(jù)所述網(wǎng)絡(luò)協(xié)議模擬受中控主機控制的傀儡機，以便接收到所述各個中控主機向傀儡機下達的攻擊指令而發(fā)現(xiàn)攻擊的步驟還包括：

向所述各個中控主機發(fā)送所述網(wǎng)絡(luò)協(xié)議的心跳包，以維持與所述各個中控主機的通信連接。

可選地，該方法還包括：將提取出的攻擊目標ip地址、中控主機的ip地址以及攻擊類型進行輸出顯示。

根據(jù)本申請的另一方面，還提供了一種發(fā)現(xiàn)ddos攻擊的裝置，其中，該裝置包括：

分析單元，用于對ddos攻擊程序樣本進行網(wǎng)絡(luò)協(xié)議分析，以提取出所述ddos攻擊程序樣本所使用的網(wǎng)絡(luò)協(xié)議；

查找單元，用于在網(wǎng)絡(luò)上查找運行有基于所述網(wǎng)絡(luò)協(xié)議的ddos攻擊控制程序的主機，以確定為控制ddos攻擊的中控主機；

發(fā)現(xiàn)單元，用于根據(jù)所述網(wǎng)絡(luò)協(xié)議模擬受中控主機控制的傀儡機，以便接收到所述各個中控主機向傀儡機下達的攻擊指令而發(fā)現(xiàn)攻擊。

可選地，所述分析單元進一步用于：

對所述ddos攻擊程序樣本進行反匯編分析，以還原出所述ddos攻擊程序樣本所述使用的網(wǎng)絡(luò)協(xié)議。

可選地，所述分析單元進一步用于：

運行所述ddos攻擊程序樣本，以通過抓包分析來分析出所述ddos攻擊程序樣本所使用的網(wǎng)絡(luò)協(xié)議。

可選地，所述查找單元包括：

發(fā)送單元，用于向網(wǎng)絡(luò)中的各個主機發(fā)送所述網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)包；

檢測單元，用于檢測接收到的各個主機返回的數(shù)據(jù)包是否與預(yù)定結(jié)果匹配；

確定單元，用于將返回的數(shù)據(jù)包與預(yù)定結(jié)果匹配的主機確定為控制ddos攻擊的中控主機。

可選地，所述發(fā)現(xiàn)單元包括：

模擬單元，用于向掃描出的各個中控主機發(fā)送所述網(wǎng)絡(luò)協(xié)議中的上線協(xié)議，以模擬受中控主機控制的傀儡機；

接收單元，用于接收掃描出的各個中控主機中至少一個下達的攻擊指令；

解析單元，用于通過解析所述攻擊指令，提取出攻擊目標的ip地址、中控主機的ip地址以及攻擊類型。

可選地，所述發(fā)現(xiàn)單元還包括：

心跳包發(fā)送單元，用于向所述各個中控主機發(fā)送所述網(wǎng)絡(luò)協(xié)議的心跳包，以維持與所述各個中控主機的通信連接。

可選地，該裝置還包括：輸出單元，用于將提取出的攻擊目標的ip地址、中控主機的ip地址以及攻擊類型進行輸出顯示。

與現(xiàn)有技術(shù)相比，本申請的實施例具有以下優(yōu)點：

1)現(xiàn)有的ddos防御系統(tǒng)，只能獲知被哪些傀儡機所攻擊，并不能獲知控制傀儡機發(fā)起攻擊的中控主機，也就很難關(guān)聯(lián)出背后的真正攻擊者是誰。與之相比，本申請能夠獲知控制傀儡機發(fā)動ddos攻擊的中控主機，進而可以關(guān)聯(lián)出背后的真正攻擊者。

2)本申請對控制傀儡機發(fā)動ddos攻擊的中控主機進行監(jiān)控，在攻擊發(fā)起的初始時刻，就能夠獲取其要攻擊的目標主機以及使用的攻擊方式。

附圖說明

通過閱讀參照以下附圖所作的對非限制性實施例所作的詳細描述，本申請的其它特征、目的和優(yōu)點將會變得更明顯：

圖1為本申請一個實施例提供的方法的流程圖；

圖2為本申請一個實施例的步驟s120的流程圖；

圖3為本申請一個實施例的步驟s130的一種實施方式的流程圖；

圖4為本申請一個實施例的步驟s130的另一種實施方式的流程圖；

圖5為本申請一個實施例提供的裝置示意圖；

圖6為本申請實施例提供的裝置中查找單元520的示意圖；

圖7為本申請實施例提供的裝置中發(fā)現(xiàn)單元530的一種實施方式的示意圖；

圖8為本申請實施例提供的裝置中發(fā)現(xiàn)單元530的另一種實施方式的示意圖。

附圖中相同或相似的附圖標記代表相同或相似的部件。

具體實施方式

在更加詳細地討論示例性實施例之前應(yīng)當提到的是，一些示例性實施例被描述成作為流程圖描繪的處理或方法。雖然流程圖將各項操作描述成順序的處理，但是其中的許多操作可以被并行地、并發(fā)地或者同時實施。此外，各項操作的順序可以被重新安排。當其操作完成時所述處理可以被 終止，但是還可以具有未包括在附圖中的附加步驟。所述處理可以對應(yīng)于方法、函數(shù)、規(guī)程、子例程、子程序等等。

在上下文中所稱“計算機設(shè)備”，也稱為“電腦”，是指可以通過運行預(yù)定程序或指令來執(zhí)行數(shù)值計算和/或邏輯計算等預(yù)定處理過程的智能電子設(shè)備，其可以包括處理器與存儲器，由處理器執(zhí)行在存儲器中預(yù)存的存續(xù)指令來執(zhí)行預(yù)定處理過程，或是由asic、fpga、dsp等硬件執(zhí)行預(yù)定處理過程，或是由上述二者組合來實現(xiàn)。計算機設(shè)備包括但不限于服務(wù)器、個人電腦、筆記本電腦、平板電腦、智能手機等。

所述計算機設(shè)備包括用戶設(shè)備與網(wǎng)絡(luò)設(shè)備。其中，所述用戶設(shè)備包括但不限于電腦、智能手機、pda等；所述網(wǎng)絡(luò)設(shè)備包括但不限于單個網(wǎng)絡(luò)服務(wù)器、多個網(wǎng)絡(luò)服務(wù)器組成的服務(wù)器組或基于云計算(cloudcomputing)的由大量計算機或網(wǎng)絡(luò)服務(wù)器構(gòu)成的云，其中，云計算是分布式計算的一種，由一群松散耦合的計算機集組成的一個超級虛擬計算機。其中，所述計算機設(shè)備可單獨運行來實現(xiàn)本申請，也可接入網(wǎng)絡(luò)并通過與網(wǎng)絡(luò)中的其他計算機設(shè)備的交互操作來實現(xiàn)本申請。其中，所述計算機設(shè)備所處的網(wǎng)絡(luò)包括但不限于互聯(lián)網(wǎng)、廣域網(wǎng)、城域網(wǎng)、局域網(wǎng)、vpn網(wǎng)絡(luò)等。

需要說明的是，所述用戶設(shè)備、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)等僅為舉例，其他現(xiàn)有的或今后可能出現(xiàn)的計算機設(shè)備或網(wǎng)絡(luò)如可適用于本申請，也應(yīng)包含在本申請保護范圍以內(nèi)，并以引用方式包含于此。

后面所討論的方法(其中一些通過流程圖示出)可以通過硬件、軟件、固件、中間件、微代碼、硬件描述語言或者其任意組合來實施。當用軟件、固件、中間件或微代碼來實施時，用以實施必要任務(wù)的程序代碼或代碼段可以被存儲在機器或計算機可讀介質(zhì)(比如存儲介質(zhì))中。(一個或多個)處理器可以實施必要的任務(wù)。

這里所公開的具體結(jié)構(gòu)和功能細節(jié)僅僅是代表性的，并且是用于描述本申請的示例性實施例的目的。但是本申請可以通過許多替換形式來具體實現(xiàn)，并且不應(yīng)當被解釋成僅僅受限于這里所闡述的實施例。

應(yīng)當理解的是，雖然在這里可能使用了術(shù)語“第一”、“第二”等等來描述各個單元，但是這些單元不應(yīng)當受這些術(shù)語限制。使用這些術(shù)語僅僅是 為了將一個單元與另一個單元進行區(qū)分。舉例來說，在不背離示例性實施例的范圍的情況下，第一單元可以被稱為第二單元，并且類似地第二單元可以被稱為第一單元。這里所使用的術(shù)語“和/或”包括其中一個或更多所列出的相關(guān)聯(lián)項目的任意和所有組合。

這里所使用的術(shù)語僅僅是為了描述具體實施例而不意圖限制示例性實施例。除非上下文明確地另有所指，否則這里所使用的單數(shù)形式“一個”、“一項”還意圖包括復(fù)數(shù)。還應(yīng)當理解的是，這里所使用的術(shù)語“包括”和/或“包含”規(guī)定所陳述的特征、整數(shù)、步驟、操作、單元和/或組件的存在，而不排除存在或添加一個或更多其他特征、整數(shù)、步驟、操作、單元、組件和/或其組合。

還應(yīng)當提到的是，在一些替換實現(xiàn)方式中，所提到的功能/動作可以按照不同于附圖中標示的順序發(fā)生。舉例來說，取決于所涉及的功能/動作，相繼示出的兩幅圖實際上可以基本上同時執(zhí)行或者有時可以按照相反的順序來執(zhí)行。

下面結(jié)合附圖對本申請作進一步詳細描述。

圖1為本申請一個實施例的發(fā)現(xiàn)ddos攻擊方法流程圖。根據(jù)本申請的方法1至少包括步驟110、步驟120和步驟130。本申請能夠基于目前能夠獲取到的ddos攻擊程序樣本，查找控制該類型的ddos攻擊的中控主機以及被攻擊的目標主機。

參考圖1，在步驟110中，對ddos攻擊程序樣本進行網(wǎng)絡(luò)協(xié)議分析，以提取出所述ddos攻擊程序樣本所使用的網(wǎng)絡(luò)協(xié)議。

黑客入侵有安全漏洞的主機獲取控制權(quán)，并在每臺被入侵的主機中安裝ddos攻擊程序，其中，被黑客入侵并控制的主機為傀儡機。發(fā)動ddos攻擊時，黑客通過中控主機控制這些傀儡機向目標主機發(fā)動ddos攻擊。中控主機上被黑客事先安裝了ddos攻擊控制程序，該ddos攻擊控制程序用于與傀儡機上安裝的ddos攻擊程序進行通信，以控制傀儡機向目標主機發(fā)起ddos攻擊。中控主機(ddos攻擊控制程序)通過預(yù)先約定的網(wǎng)絡(luò)協(xié)議與多個傀儡機(ddos攻擊程序)進行網(wǎng)絡(luò)通信，以便向傀儡機下達ddos攻擊指令。因此，根據(jù)ddos攻擊程序樣本可以分析出中控主 機與傀儡機進行通信的網(wǎng)絡(luò)協(xié)議。所述網(wǎng)絡(luò)協(xié)議包括但不限于：上線協(xié)議、心跳包、發(fā)動攻擊時的指令協(xié)議和停止攻擊時的指令協(xié)議。

步驟s110的具體實現(xiàn)方式包括但不限于以下兩種：

(1)對所述ddos攻擊程序樣本進行反匯編分析，以還原出所述ddos樣本所使用的網(wǎng)絡(luò)協(xié)議。

具體地，將所述ddos攻擊程序樣本的機器代碼翻譯成匯編代碼，根據(jù)翻譯成的匯編代碼分析出所述ddos攻擊程序樣本處理網(wǎng)絡(luò)協(xié)議的代碼實現(xiàn)邏輯，從而還原出所述ddos攻擊程序樣本所使用的網(wǎng)絡(luò)協(xié)議。

(2)運行所述ddos攻擊程序樣本，以通過抓包分析來分析出所述ddos攻擊程序樣本所使用的網(wǎng)絡(luò)協(xié)議。

具體而言，在任意一臺主機上運行所述ddos攻擊程序樣本，并在運行所述ddos攻擊程序樣本的主機上進行抓包分析，通過抓包分析即可分析出所述ddos攻擊程序樣本所使用的網(wǎng)絡(luò)協(xié)議。進行抓包分析時，可以使用現(xiàn)有的抓包軟件。

參考圖1，在步驟120中，在網(wǎng)絡(luò)上查找運行有基于所述網(wǎng)絡(luò)協(xié)議的ddos攻擊控制程序的主機，以確定為控制ddos攻擊的中控主機。

中控主機通過預(yù)先約定的網(wǎng)絡(luò)協(xié)議與多個傀儡機進行網(wǎng)絡(luò)通信，以便下達ddos攻擊指令。因此，向網(wǎng)絡(luò)上的各個主機發(fā)送所述網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)包，并檢測各個主機返回的數(shù)據(jù)包是否與協(xié)議期望的數(shù)據(jù)包相同，能查找到運行所述網(wǎng)絡(luò)協(xié)議的ddos攻擊控制程序的主機，并可以確定為控制ddos攻擊的中控主機。

具體地，可以將所述網(wǎng)絡(luò)協(xié)議輸入到基于網(wǎng)絡(luò)協(xié)議探測的掃描器程序，由該掃描器程序根據(jù)所述網(wǎng)絡(luò)協(xié)議進行全網(wǎng)掃描，以掃描出控制ddos攻擊的中控主機。利用掃描器程序可以通過執(zhí)行以下的步驟s121～s123掃描出控制ddos攻擊的中控主機，并輸出掃描出的中控主機的ip地址列表，以備下一個步驟(步驟s130)中使用。

參考圖2，步驟s120具體包括以下步驟：

步驟s121，向網(wǎng)絡(luò)中的各個主機發(fā)送所述網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)包。

步驟s122，檢測接收到的各個主機返回的數(shù)據(jù)包是否與預(yù)定結(jié)果匹配。

步驟s123，將返回的數(shù)據(jù)包與預(yù)定結(jié)果匹配的主機確定為控制ddos攻擊的中控主機。

所述預(yù)定結(jié)果就是所述網(wǎng)絡(luò)協(xié)議所期望的使用所述網(wǎng)絡(luò)協(xié)議的主機在接收到所述網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)包時回復(fù)的應(yīng)答結(jié)果。如果一個主機返回的數(shù)據(jù)包與預(yù)定結(jié)果匹配，則表示該主機上運行著基于該網(wǎng)絡(luò)協(xié)議進行通信的ddos中控程序，則可以將該主機確定為控制ddos攻擊的中控主機。例如，向各個主機發(fā)送數(shù)據(jù)包“aaabbbccc”，期望的回復(fù)是“haha”，如果某個主機回復(fù)的是“haha”，則認為是運行該ddos攻擊控制程序的中控主機，反之，則認為不是運行該ddos攻擊控制程序的中控主機。

參考圖1，在步驟130中，根據(jù)所述網(wǎng)絡(luò)協(xié)議模擬受中控主機控制的傀儡機，以便接收到所述各個中控主機向傀儡機下達的攻擊指令而發(fā)現(xiàn)攻擊。

參考圖3，在一個具體實施方式中，步驟s130具體包括以下步驟：

步驟s131，向掃描出的各個中控主機發(fā)送所述網(wǎng)絡(luò)協(xié)議中的上線協(xié)議，以模擬受中控主機控制的傀儡機。

中控主機在發(fā)動ddos攻擊時，通過預(yù)先約定的網(wǎng)絡(luò)協(xié)議與其控制的多臺傀儡機進行通信，因此，根據(jù)分析出的該ddos攻擊程序樣本的網(wǎng)絡(luò)協(xié)議與掃描出的各個中控主機進行通信能夠模擬成傀儡機，以便對各個中控主機進行監(jiān)控。具體而言，向掃描出的各個中控主機發(fā)送所述網(wǎng)絡(luò)協(xié)議中的上線協(xié)議，以表明可以接收其指令，從而偽裝成傀儡機。

步驟s132，接收掃描出的各個中控主機中的至少一個下達的攻擊指令；

當中控主機準備發(fā)動攻擊時，會向各個傀儡機下達攻擊指令，因此，模擬成的傀儡機會接收到發(fā)動攻擊的中控主機下達的攻擊指令。

步驟s133，通過解析所述攻擊指令，提取出攻擊目標的ip地址、中控主機的ip地址以及攻擊類型。

接收到攻擊指令后，對指令數(shù)據(jù)進行解析，能夠提取出攻擊目標(目標主機)的ip地址、發(fā)動攻擊的中控主機的ip地址以及攻擊類型。所述攻擊類型例如，tcpsyn攻擊、udpflood攻擊(udp洪水攻擊)、cc攻擊、dns反射等。

參考圖4，在上述具體實施方式的基礎(chǔ)上，步驟s130還包括步驟s134。

步驟s134，向所述各個中控主機發(fā)送所述網(wǎng)絡(luò)協(xié)議的心跳包，以維持與所述各個中控主機的通信連接。

心跳包是在客戶端和服務(wù)器間按照一定的時間間隔發(fā)送的、用于通知對方自己狀態(tài)的一個自定義的結(jié)構(gòu)體。在某些網(wǎng)絡(luò)協(xié)議中，要求按一定的時間間隔發(fā)送心跳包，報告自己的狀態(tài)，因此，如果分析出的所述ddos的網(wǎng)絡(luò)協(xié)議中包含心跳包，則需要向各個中控主機發(fā)送所述網(wǎng)絡(luò)協(xié)議中的心跳包，以便在沒有發(fā)生ddos攻擊時維持與各個中控主機的通信連接。步驟s134，可以在沒有接收到中控主機下達的攻擊指令時執(zhí)行，以維持與各個中控主機的連接。

應(yīng)注意，上述步驟s110、步驟s120和步驟s130可以在同一設(shè)備中執(zhí)行，亦可在不同設(shè)備中執(zhí)行，例如，為提高各個步驟執(zhí)行的性能可以分別在不同的計算機上執(zhí)行。

基于上述實施例，本申請的方法還可以包括將提取出的攻擊目標的ip地址、中控主機的ip地址以及攻擊類型進行輸出顯示的步驟。還可以將提取的攻擊目標的ip地址(目標主機的ip地址)、中控主機的ip地址以及攻擊類型發(fā)送給攻擊目標，以便受到攻擊的主機采取ddos防御措施。

現(xiàn)有的ddos防御系統(tǒng)，只能獲知被哪些傀儡機所攻擊，并不能獲知控制傀儡機發(fā)起攻擊的中控主機，也就很難關(guān)聯(lián)出背后的真正攻擊者是誰。與之相比，本申請能夠獲知控制傀儡機發(fā)起攻擊的中控主機，進而可以關(guān)聯(lián)出背后的真正攻擊者。本申請對控制傀儡機發(fā)動攻擊的中控主機進行監(jiān)控，在攻擊發(fā)起的初始時刻，就能夠獲取其要攻擊的目標主機，以及使用的攻擊方式。

基于與方法同樣的發(fā)明構(gòu)思，本申請還提供一種發(fā)現(xiàn)ddos攻擊的裝置。圖5所示為發(fā)現(xiàn)ddos的裝置5示意圖，該裝置包括：

分析單元510，用于對ddos攻擊程序樣本進行網(wǎng)絡(luò)協(xié)議分析，以提取出所述ddos攻擊程序樣本所使用的網(wǎng)絡(luò)協(xié)議；

查找單元520，用于在網(wǎng)絡(luò)上查找運行有基于所述網(wǎng)絡(luò)協(xié)議的ddos攻擊控制程序的主機，以確定為控制ddos攻擊的中控主機；

發(fā)現(xiàn)單元530，用于根據(jù)所述網(wǎng)絡(luò)協(xié)議模擬受中控主機控制的傀儡機，以便接收到所述各個中控主機向傀儡機下達的攻擊指令而發(fā)現(xiàn)攻擊。

可選地，所述分析單元510進一步用于：

對所述ddos攻擊程序樣本進行反匯編分析，以還原出所述ddos攻擊程序樣本所述使用的網(wǎng)絡(luò)協(xié)議。

可選地，所述分析單元510進一步用于：

運行所述ddos攻擊程序樣本，以通過抓包分析來分析出所述ddos攻擊程序樣本所使用的網(wǎng)絡(luò)協(xié)議。

圖6為根據(jù)本申請一個實施例的查找單元520的結(jié)構(gòu)示意圖。參考圖6，可選地，所述查找單元520包括：

發(fā)送單元521，用于向網(wǎng)絡(luò)中的各個主機發(fā)送所述網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)包；

檢測單元522，用于檢測接收到的各個主機返回的數(shù)據(jù)包是否與預(yù)定結(jié)果匹配；

確定單元523，用于將返回的數(shù)據(jù)包與預(yù)定結(jié)果匹配的主機確定為控制ddos攻擊的中控主機。

圖7為根據(jù)本申請實施例的發(fā)現(xiàn)單元530的一種具體實施方式的結(jié)構(gòu)示意圖。參考圖7，所述發(fā)現(xiàn)單元530包括：

模擬單元531，用于向掃描出的各個中控主機發(fā)送所述網(wǎng)絡(luò)協(xié)議中的上線協(xié)議，以模擬受中控主機控制的傀儡機；

接收單元532，用于接收掃描出的各個中控主機中至少一個下達的攻擊指令；

解析單元533，用于通過解析所述攻擊指令，提取出攻擊目標的ip地址、中控主機的ip地址以及攻擊類型。

圖8為根據(jù)本申請實施例的發(fā)現(xiàn)單元530的另一種實施方式的結(jié)構(gòu)示意圖。參考圖8，基于圖7所示的實施方式，所述發(fā)現(xiàn)單元530還包括：

心跳包發(fā)送單元534，用于向所述各個中控主機發(fā)送所述網(wǎng)絡(luò)協(xié)議的心跳包，以維持與所述各個中控主機的通信連接。

可選地，該裝置5還包括：輸出單元，用于將提取出的攻擊目標的ip地址、中控主機的ip地址以及攻擊類型進行輸出顯示。

需要注意的是，本申請可在軟件和/或軟件與硬件的組合體中被實施，例如，本申請的各個裝置可采用專用集成電路(asic)或任何其他類似硬件設(shè)備來實現(xiàn)。在一個實施例中，本申請的軟件程序可以通過處理器執(zhí)行以實現(xiàn)上文所述步驟或功能。同樣地，本申請的軟件程序(包括相關(guān)的數(shù)據(jù)結(jié)構(gòu))可以被存儲到計算機可讀記錄介質(zhì)中，例如，ram存儲器，磁或光驅(qū)動器或軟磁盤及類似設(shè)備。另外，本申請的一些步驟或功能可采用硬件來實現(xiàn)，例如，作為與處理器配合從而執(zhí)行各個步驟或功能的電路。

對于本領(lǐng)域技術(shù)人員而言，顯然本申請不限于上述示范性實施例的細節(jié)，而且在不背離本申請的精神或基本特征的情況下，能夠以其他的具體形式實現(xiàn)本申請。因此，無論從哪一點來看，均應(yīng)將實施例看作是示范性的，而且是非限制性的，本申請的范圍由所附權(quán)利要求而不是上述說明限定，因此旨在將落在權(quán)利要求的等同要件的含義和范圍內(nèi)的所有變化涵括在本申請內(nèi)。不應(yīng)將權(quán)利要求中的任何附圖標記視為限制所涉及的權(quán)利要求。此外，顯然“包括”一詞不排除其他單元或步驟，單數(shù)不排除復(fù)數(shù)。系統(tǒng)權(quán)利要求中陳述的多個單元或裝置也可以由一個單元或裝置通過軟件或者硬件來實現(xiàn)。第一，第二等詞語用來表示名稱，而并不表示任何特定的順序。

雖然前面特別示出并且描述了示例性實施例，但是本領(lǐng)域技術(shù)人員將會理解的是，在不背離權(quán)利要求書的精神和范圍的情況下，在其形式和細節(jié)方面可以有所變化。