CN106686007B - 一种发现内网被控重路由节点的主动流量分析方法 - Google Patents
一种发现内网被控重路由节点的主动流量分析方法 Download PDFInfo
- Publication number
- CN106686007B CN106686007B CN201710123335.6A CN201710123335A CN106686007B CN 106686007 B CN106686007 B CN 106686007B CN 201710123335 A CN201710123335 A CN 201710123335A CN 106686007 B CN106686007 B CN 106686007B
- Authority
- CN
- China
- Prior art keywords
- time slot
- time
- watermark
- network
- stream
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明的目的在于提供一种发现内网被控重路由节点的主动流量分析方法。该方法步骤如下:网络流水印标记设备监视流入系统的TCP或UDP连接,其中TCP连接从TCP的握手协议判断起始,UDP连接以新的UDP流的第一个包为起始时间,假设一个数据流F的起始时间为t0,则将F按照时间跨度T为时隙窗口进行分割;对通过网络边界设备的流入数据流进行网络流水印标记操作;在流出数据流中检测是否包含与标记水印相应的水印信息;根据水印信息的检测情况,确定内网中是否存在被控重路由节点,并根据检出存在水印的数据流的IP地址和端口来定位内网主机。本发明大大提高了对跳板利用攻击的响应速度,亦可作为功能模块,提升网络针对高级持续威胁的发现能力。
Description
技术领域
本发明涉及网络安全中的内网安全防护技术领域,特别是一种发现内网被控重路由节点的主动流量分析方法。
背景技术
随着信息化和网络化的不断深入,现代企业的组织、管理和业务运转越来越依赖计算机网络的支持。同时,针对企业办公网络、工业控制网络以及其他物联网络的攻击也日益严重。攻击者尤其是有组织的攻击者在发起网络攻击的时候,为了隐匿其身份,通常会采用各种重路由的匿名手段。利用公共网络的VPN服务、代理服务来隐匿身份是一种选择,但是由于公共服务器上通常记录大量的日志信息,攻击者的行踪在很难躲过细致的调查。类似洋葱路由的匿名通信网络,是另外一种进行重路由隐匿的选择,但由于匿名通信网络中的大部分的节点可能被组织结构控制,因此攻击者也容易暴露自己的身份。出于以上考虑,有组织的攻击者往往通过控制网络个中的“肉鸡”节点作为重路由的跳板来实施攻击。
检测被外部的攻击者控制了的主机,通常是内网安全防护的基本任务。为了实现这一目标,传统的做法主要采用终端上的木马和恶意软件查杀工具。这种方式对类似高级持续威胁这种具有终端隐匿能力的软件工具往往失去效用,业界和学界普遍采用网络流量和网络通信行为分析的手段来进行辅助检测。攻击行为中渗透和远程控制等方式,都会出现流入被控重路由节点的数据和流出该节点的数据在内容上是一致的,尤其是在将肉鸡节点直接作为代理、VPN、SSH隧道时。因此,通过比较流入和流出数据流的相似性,可以一定程度上找到节点被控重路由的线索。但遗憾的是,进出网络的数据往往都进行了加密保护,因此在数据包的形式即内容和尺寸方面可能并不一致。使用数据包的时间信息进行流入/流出数据流的一致性分析,是一种可行的流量分析方法,但是节点中的存储、处理和转发可能导致时间信息的损坏。因此,直接利用时间信息的被动流量分析技术,不得不利用较长的流量数据才能得到相对稳定的判断结果,对网络攻击的响应速度较慢。
发明内容
本发明的目的在于提供一种发现内网被控重路由节点的主动流量分析方法,以提高对网络攻击的响应速度。
实现本发明目的的技术解决方案为:一种发现内网被控重路由节点的主动流量分析方法,包括以下步骤:
步骤1,网络流水印标记设备监视流入系统的TCP或UDP连接,其中TCP连接从TCP的握手协议判断起始,UDP连接以新的UDP流的第一个包为起始时间,假设一个数据流F的起始时间为t0,则将F按照时间跨度T为时隙窗口进行分割;
步骤2,对通过网络边界设备的流入数据流进行网络流水印标记操作;
步骤3,在流出数据流中检测是否包含与标记水印相应的水印信息;
步骤4,根据水印信息的检测情况,确定内网中是否存在被控重路由节点,并根据检出存在水印的数据流的IP地址和端口来定位内网主机。
进一步地,步骤2所述对通过网络边界设备的流入数据流进行网络流水印标记操作,具体如下:
对任一流入的数据流Fin,跳过M-1个时隙窗口,从第M个时隙分组开始进行连续N个时隙窗口W上的水印标记,标记方法如下:
对具有起始时间ti,0的时隙窗口Wi,i为时隙组的标号,设时隙窗口Wi中的ni个数据包的到达时间为ti,1,ti,2,…,ti,ni,则将ti,j-ti,0≤T/2的数据包均做T/2-ε的延迟,其中ε是一个大于0的偏移量,保证数据包不移出该时隙窗口;若该时隙窗口Wi中不存在数据包,则该窗口标记失败。
进一步地,步骤3所述在流出数据流中检测是否包含与标记水印相应的水印信息,具体如下:
(1)记录从第M个时隙窗口起到第M+N个时隙窗口的共p个数据包的流出时间,N为该时隙窗口内的时隙个数,记第i个时隙窗口Wi中n个数据包的流经检测节点的时间分别为ti,1,ti,2,…,ti,n,τ0为第M个时隙窗口起始时间;
(2)令δ=T/20,k=0,1,…,O,O为试探检测组数,以τ0+kδ为连续N个时隙窗口的起始时间,分别计算O+1个起始时间选择下,连续N个时隙窗口的时隙质心;设求得的第k个起始时间选择下的N个时隙窗口的质心为Ck1,Ck2,…,CkN,进一步求取Jk=Sgn(Ck1-T/2)+Sgn(Ck2-T/2)+…+Sgn(CkN-T/2),其中Sgn为符号函数;
(3)求取J=max{k=0,1,…,O}(Jk),若J>αN,α∈(0,1)为检测阈值,则判定水印检测成功,否则判定水印检测不成功。
本发明与现有技术相比,其显著优点为:(1)对所有流入网络的数据都进行网络流水印标记处理,并通过对所有流出数据流进行水印检测以快速的完成流入/流出一致性比对,实现了对受控重路由节点的精确发现;(2)需要很少的网络数据即可发现存在一致性的流入和流出数据流,大大提高了对跳板利用攻击的响应速度;(3)亦可作为功能模块,提升网络针对高级持续威胁的发现能力。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些事实方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明典型部署应用示意图。
图2为网络流水印标记示意图。
图3为网络流水印检测流程图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下获得的所有其他实施例,都属于本发明保护的范围。
结合图1~3,本发明发现内网被控重路由节点的主动流量分析方法,包括以下步骤:
步骤1,网络流水印标记设备监视流入系统的TCP或UDP连接,其中TCP连接从TCP的握手协议判断起始,UDP连接以新的UDP流的第一个包为起始时间,假设一个数据流F的起始时间为t0,则将F按照时间跨度T为时隙窗口进行分割;
步骤2,对通过网络边界设备的流入数据流进行网络流水印标记操作,具体如下:
对任一流入的数据流Fin,跳过M-1个时隙窗口,从第M个时隙分组开始进行连续N个时隙窗口W上的水印标记,标记方法如下:
对具有起始时间ti,0的时隙窗口Wi,i为时隙组的标号,设时隙窗口Wi中的ni个数据包的到达时间为ti,1,ti,2,…,ti,ni,则将ti,j-ti,0≤T/2的数据包均做T/2-ε的延迟,其中ε是一个大于0的偏移量,保证数据包不移出该时隙窗口;若该时隙窗口Wi中不存在数据包,则该窗口标记失败;
步骤3,在流出数据流中检测是否包含与标记水印相应的水印信息,具体如下:
(1)记录从第M个时隙窗口起到第M+N个时隙窗口的共p个数据包的流出时间,N为该时隙窗口内的时隙个数,记第i个时隙窗口Wi中n个数据包的流经检测节点的时间分别为ti,1,ti,2,…,ti,n,τ0为第M个时隙窗口起始时间;
(2)令δ=T/20,k=0,1,…,O,O为试探检测组数,通过以不同的时间偏移量进行试探检测,选择其中最佳的结果为最终结果,减小网络中时间扰动的影响,增加检测的可靠性;以τ0+kδ为连续N个时隙窗口的起始时间,分别计算O+1个起始时间选择下,连续N个时隙窗口的时隙质心;设求得的第k个起始时间选择下的N个时隙窗口的质心为Ck1,Ck2,…,CkN,进一步求取Jk=Sgn(Ck1-T/2)+Sgn(Ck2-T/2)+…+Sgn(CkN-T/2),其中Sgn为符号函数;
(3)求取J=max{k=0,1,…,O}(Jk),若J>αN,α∈(0,1)为检测阈值,则判定水印检测成功,否则判定水印检测不成功。
步骤4,根据水印信息的检测情况,确定内网中是否存在被控重路由节点,并根据检出存在水印的数据流的IP地址和端口来定位内网主机。
实施例1
本发明发现内网被控重路由节点的主动流量分析方法,其典型部署应用的示意图如图1所示。对于需要保护的企业网络来说,本方法相关联的网络流水印标记设备以串接的方式部署在企业网出口的路由器后面,网络流水印检测设备以旁路的方式部署在流水印标记设备或出口路由器旁边。为了发现受控的重路由节点,网络流水印标记设备对所有进入网络的流Fin都进行水印标记,标记了水印后的数据流流入相应的内网主机。如某主机Host为受控用于重路由的节点,那么从Host流出的Fout就应该包含标记在Fin上的水印信息。通过网络流水印检测设备检测到Fout中包含水印则可以判定主机Host为受控重路由节点。
下面分别介绍网络流水印的标记和检测方法的具体实施方法。在讨论网络流水印标记和检测方法之前,值得指出的是为了减少水印标记负担,可以在水印标记设备上,配备一个可信外部IP地址库,这个地址库中的地址包括常用桌面和移动应用的IP地址以及主要网络服务器地址,这个可信地址库,这个地址库的构建可以参考第三方的地址库构建方法;也可以采取针对企业网络的数据分析的方法,如跟踪所有的DNS查询,根据域名的合法性来确定DNS返回的IP地址的可信性。通过可信的IP地址库,可以在标记和检测水印的过程中过滤掉连接可信IP的所有流量。
1.网络流水印标记方法
网络流水印标记设备监视流入系统的TCP或UDP连接,其中TCP连接可以从TCP的握手协议判断起始,UDP连接以某新的UDP流的第一个包为起始时间。采用T=200ms的时隙宽度,从数据流开始后的第26个时隙窗口开始对连续50个窗口进行标记。
如图2所示。设窗口Wi中的ni个数据包的到达时间为ti,1,ti,1,…,ti,ni,则将ti,j-ti,0≤T/2的数据包进行T/2-ε的延迟,其中ε采用T/50,以尽量保证数据包不移出该窗口。若该时隙窗口Wi中不存在数据包,则该窗口跳过。
2.网络流水印检测方法
对某条流出网络的数据流进行网络流水印检测的流程如图3所示。该过程包含以下流程:
步骤1,记录流出的数据流开始后的第26个时隙窗口,其窗口起始时间计为τ0,到第76个时隙窗口的p个数据包的流出时间,计其为t1,t2,…,tp,τ0为第M个时隙窗口起始时间
步骤2,令δ=10ms,k=0,1,…,100,以τ0+k×10为连续50个时隙窗口的起始时间,分别计算101个起始时间选择下,连续50个时隙窗口的时隙质心。对具有起始时间ti,0的时隙窗口Wi,设其中的ni个数据包的到达时间为ti,1,ti,1,…,ti,ni,其时隙质心的计算公式为Ci=1/ni[(ti,1-ti,0)+(ti,2-ti,0)+….+(ti,ni-ti,0)]。若ni=0,直接令Ci=T/2。
设第k个起始时间选择下的N个时隙窗口的质心为Ck1,Ck2,…,CkN,进一步求取Jk=Sgn(Ck1-T/2)+Sgn(Ck2-T/2)+…+Sgn(CkN-T/2),其中Sgn为符号函数;
步骤3,求取J=max{k=0,1,…,,100}(Jk),选取检测阈值α=0.8,若J>40,则判定水印检测成功,否则水印检测不成功。
综上,本发明仅需要很少的网络数据即可发现存在一致性的流入和流出数据流,大大提高了对跳板利用攻击的响应速度,亦可作为功能模块,提升网络针对高级持续威胁的发现能力。
Claims (1)
1.一种发现内网被控重路由节点的主动流量分析方法,其特征在于,包括以下步骤:
步骤1,网络流水印标记设备监视流入系统的TCP或UDP连接,其中TCP连接从TCP的握手协议判断起始,UDP连接以新的UDP流的第一个包为起始时间,假设一个数据流F的起始时间为t0,则将F按照时间跨度T为时隙窗口进行分割;
步骤2,对通过网络边界设备的流入数据流进行网络流水印标记操作;
步骤3,在流出数据流中检测是否包含与标记水印相应的水印信息;
步骤4,根据水印信息的检测情况,确定内网中是否存在被控重路由节点,并根据检出存在水印的数据流的IP地址和端口来定位内网主机;
步骤2所述对通过网络边界设备的流入数据流进行网络流水印标记操作,具体如下:
对任一流入的数据流Fin,跳过M-1个时隙窗口,从第M个时隙分组开始进行连续N个时隙窗口W上的水印标记,标记方法如下:
对具有起始时间ti,0的时隙窗口Wi,i为时隙组的标号,设时隙窗口Wi中的ni个数据包的到达时间为ti,1 , ti,2,…, ti,ni, 则将ti,j- ti,0 ≤T/2的数据包均做T/2-ε的延迟,其中ε是一个大于0的偏移量,保证数据包不移出该时隙窗口;若该时隙窗口Wi中不存在数据包,则该时隙窗口标记失败;
步骤3所述在流出数据流中检测是否包含与标记水印相应的水印信息,具体如下:
(1)记录从第M个时隙窗口起到第M+N个时隙窗口的共p个数据包的流出时间,N为该时隙窗口内的时隙个数,记第i个时隙窗口Wi中n个数据包的流经检测节点的时间分别为t i,1,t i,2,…,t i,n ,τ0为第M个时隙窗口起始时间;
(2)令δ=T/20,k=0,1,…,O,O为试探检测组数,以τ0+kδ为连续N个时隙窗口的起始时间,分别计算O+1个起始时间选择下,连续N个时隙窗口的时隙质心;设求得的第k个起始时间选择下的N个时隙窗口的质心为Ck1,Ck2,…,CkN,进一步求取 Jk=Sgn(Ck1-T/2)+ Sgn(Ck2-T/2)+…+ Sgn(CkN-T/2),其中Sgn为符号函数;
(3)求取J=max{k=0,1,…,O}(Jk),若J>αN,α∈(0,1)为检测阈值,则判定水印检测成功,否则判定水印检测不成功。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710123335.6A CN106686007B (zh) | 2017-03-03 | 2017-03-03 | 一种发现内网被控重路由节点的主动流量分析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710123335.6A CN106686007B (zh) | 2017-03-03 | 2017-03-03 | 一种发现内网被控重路由节点的主动流量分析方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106686007A CN106686007A (zh) | 2017-05-17 |
CN106686007B true CN106686007B (zh) | 2020-06-02 |
Family
ID=58861545
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710123335.6A Active CN106686007B (zh) | 2017-03-03 | 2017-03-03 | 一种发现内网被控重路由节点的主动流量分析方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106686007B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109309644B (zh) * | 2017-07-26 | 2020-11-20 | 中国科学院信息工程研究所 | 一种基于双正交载体的网络水印标记方法及系统 |
CN107483461B (zh) * | 2017-08-30 | 2020-06-12 | 奇安信科技集团股份有限公司 | 一种nat环境下的终端准入控制方法及装置 |
CN107819739B (zh) * | 2017-09-28 | 2020-01-17 | 贝壳找房(北京)科技有限公司 | 一种确定终端是否存在长链路连接的方法及服务器 |
CN108777650A (zh) * | 2018-06-08 | 2018-11-09 | 北京计算机技术及应用研究所 | 一种基于受控节点的匿名网络溯源方法 |
CN109922066B (zh) * | 2019-03-11 | 2020-11-20 | 江苏大学 | 一种通信网络中基于时隙特征的动态水印嵌入及检测方法 |
CN113300916B (zh) * | 2021-07-27 | 2021-09-28 | 中国人民解放军国防科技大学 | 一种基于流水印的数据中心网络拥塞检测系统及方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104852914A (zh) * | 2015-04-30 | 2015-08-19 | 中国人民解放军国防科学技术大学 | 一种基于数据包间隔的水印跳变通信方法 |
CN104967610A (zh) * | 2015-04-30 | 2015-10-07 | 中国人民解放军国防科学技术大学 | 一种基于时隙的水印跳变通信方法 |
CN105024977A (zh) * | 2014-04-25 | 2015-11-04 | 湖北大学 | 基于数字水印和蜜罐技术的网络追踪系统 |
CN105072083A (zh) * | 2015-07-03 | 2015-11-18 | 华侨大学 | 一种基于网络流水印的网络主动追踪方法及系统 |
CN105429940A (zh) * | 2015-10-26 | 2016-03-23 | 华侨大学 | 一种利用信息熵和哈希函数进行网络数据流零水印提取的方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9630443B2 (en) * | 1995-07-27 | 2017-04-25 | Digimarc Corporation | Printer driver separately applying watermark and information |
US7020775B2 (en) * | 2001-04-24 | 2006-03-28 | Microsoft Corporation | Derivation and quantization of robust non-local characteristics for blind watermarking |
US7810147B2 (en) * | 2005-12-01 | 2010-10-05 | Emc Corporation | Detecting and preventing replay in authentication systems |
-
2017
- 2017-03-03 CN CN201710123335.6A patent/CN106686007B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105024977A (zh) * | 2014-04-25 | 2015-11-04 | 湖北大学 | 基于数字水印和蜜罐技术的网络追踪系统 |
CN104852914A (zh) * | 2015-04-30 | 2015-08-19 | 中国人民解放军国防科学技术大学 | 一种基于数据包间隔的水印跳变通信方法 |
CN104967610A (zh) * | 2015-04-30 | 2015-10-07 | 中国人民解放军国防科学技术大学 | 一种基于时隙的水印跳变通信方法 |
CN105072083A (zh) * | 2015-07-03 | 2015-11-18 | 华侨大学 | 一种基于网络流水印的网络主动追踪方法及系统 |
CN105429940A (zh) * | 2015-10-26 | 2016-03-23 | 华侨大学 | 一种利用信息熵和哈希函数进行网络数据流零水印提取的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106686007A (zh) | 2017-05-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106686007B (zh) | 一种发现内网被控重路由节点的主动流量分析方法 | |
Deshmukh et al. | Understanding DDoS attack & its effect in cloud environment | |
US8661522B2 (en) | Method and apparatus for probabilistic matching to authenticate hosts during distributed denial of service attack | |
US20080151887A1 (en) | Method and Apparatus For Inter-Layer Binding Inspection | |
JP7045050B2 (ja) | 通信監視システム及び通信監視方法 | |
US20130298220A1 (en) | System and method for managing filtering information of attack traffic | |
CN112019545B (zh) | 一种蜜罐网络部署方法、装置、设备及介质 | |
EP2903238A2 (en) | A router-based honeypot for detecting advanced persistent threats | |
EP3574431A1 (en) | Systems and methods for ip source address spoof detection | |
Tariq et al. | A comprehensive categorization of DDoS attack and DDoS defense techniques | |
Schehlmann et al. | COFFEE: a Concept based on OpenFlow to Filter and Erase Events of botnet activity at high-speed nodes | |
Rahman et al. | Holistic approach to arp poisoning and countermeasures by using practical examples and paradigm | |
Mehta | Distributed Denial of service Attacks on Cloud Environment. | |
Salim et al. | Preventing ARP spoofing attacks through gratuitous decision packet | |
KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
Chi et al. | Detecting and blocking malicious traffic caused by IRC protocol based botnets | |
Okada et al. | Oblivious ddos mitigation with locator/id separation protocol | |
Ivanova | Modelling the impact of cyber attacks on the traffic control centre of an urban automobile transport system by means of enhanced cybersecurity | |
Ahmed et al. | Towards Securing Cloud Computing from DDOS Attacks | |
Zhu et al. | Internet security protection for IRC-based botnet | |
Mane et al. | Botnet detection in low latency anonymous communication network: a branch of knowledge | |
Kuppusamy et al. | An effective prevention of attacks using gI time frequency algorithm under dDoS | |
Aleesa et al. | A rule-based technique to detect router advertisement flooding attack against biobizz web application | |
Andre et al. | Open vSwitch Configuration for Separation of KVM/libvirt VMs | |
KR102184757B1 (ko) | 네트워크 은닉 시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |