CN106686007B - 一种发现内网被控重路由节点的主动流量分析方法 - Google Patents

Abstract

本发明的目的在于提供一种发现内网被控重路由节点的主动流量分析方法。该方法步骤如下：网络流水印标记设备监视流入系统的TCP或UDP连接，其中TCP连接从TCP的握手协议判断起始，UDP连接以新的UDP流的第一个包为起始时间，假设一个数据流F的起始时间为t₀，则将F按照时间跨度T为时隙窗口进行分割；对通过网络边界设备的流入数据流进行网络流水印标记操作；在流出数据流中检测是否包含与标记水印相应的水印信息；根据水印信息的检测情况，确定内网中是否存在被控重路由节点，并根据检出存在水印的数据流的IP地址和端口来定位内网主机。本发明大大提高了对跳板利用攻击的响应速度，亦可作为功能模块，提升网络针对高级持续威胁的发现能力。

Description

一种发现内网被控重路由节点的主动流量分析方法

技术领域

本发明涉及网络安全中的内网安全防护技术领域，特别是一种发现内网被控重路由节点的主动流量分析方法。

背景技术

随着信息化和网络化的不断深入，现代企业的组织、管理和业务运转越来越依赖计算机网络的支持。同时，针对企业办公网络、工业控制网络以及其他物联网络的攻击也日益严重。攻击者尤其是有组织的攻击者在发起网络攻击的时候，为了隐匿其身份，通常会采用各种重路由的匿名手段。利用公共网络的VPN服务、代理服务来隐匿身份是一种选择，但是由于公共服务器上通常记录大量的日志信息，攻击者的行踪在很难躲过细致的调查。类似洋葱路由的匿名通信网络，是另外一种进行重路由隐匿的选择，但由于匿名通信网络中的大部分的节点可能被组织结构控制，因此攻击者也容易暴露自己的身份。出于以上考虑，有组织的攻击者往往通过控制网络个中的“肉鸡”节点作为重路由的跳板来实施攻击。

检测被外部的攻击者控制了的主机，通常是内网安全防护的基本任务。为了实现这一目标，传统的做法主要采用终端上的木马和恶意软件查杀工具。这种方式对类似高级持续威胁这种具有终端隐匿能力的软件工具往往失去效用，业界和学界普遍采用网络流量和网络通信行为分析的手段来进行辅助检测。攻击行为中渗透和远程控制等方式，都会出现流入被控重路由节点的数据和流出该节点的数据在内容上是一致的，尤其是在将肉鸡节点直接作为代理、VPN、SSH隧道时。因此，通过比较流入和流出数据流的相似性，可以一定程度上找到节点被控重路由的线索。但遗憾的是，进出网络的数据往往都进行了加密保护，因此在数据包的形式即内容和尺寸方面可能并不一致。使用数据包的时间信息进行流入/流出数据流的一致性分析，是一种可行的流量分析方法，但是节点中的存储、处理和转发可能导致时间信息的损坏。因此，直接利用时间信息的被动流量分析技术，不得不利用较长的流量数据才能得到相对稳定的判断结果，对网络攻击的响应速度较慢。

发明内容

本发明的目的在于提供一种发现内网被控重路由节点的主动流量分析方法，以提高对网络攻击的响应速度。

实现本发明目的的技术解决方案为：一种发现内网被控重路由节点的主动流量分析方法，包括以下步骤：

步骤1，网络流水印标记设备监视流入系统的TCP或UDP连接，其中TCP连接从TCP的握手协议判断起始，UDP连接以新的UDP流的第一个包为起始时间，假设一个数据流F的起始时间为t₀，则将F按照时间跨度T为时隙窗口进行分割；

步骤2，对通过网络边界设备的流入数据流进行网络流水印标记操作；

步骤3，在流出数据流中检测是否包含与标记水印相应的水印信息；

步骤4，根据水印信息的检测情况，确定内网中是否存在被控重路由节点，并根据检出存在水印的数据流的IP地址和端口来定位内网主机。

进一步地，步骤2所述对通过网络边界设备的流入数据流进行网络流水印标记操作，具体如下：

对任一流入的数据流F_in，跳过M-1个时隙窗口，从第M个时隙分组开始进行连续N个时隙窗口W上的水印标记，标记方法如下：

对具有起始时间t_i,0的时隙窗口W_i，i为时隙组的标号，设时隙窗口W_i中的n_i个数据包的到达时间为t_i,1,t_i,2,…,t_i,ni,则将t_i,j-t_i,0≤T/2的数据包均做T/2-ε的延迟，其中ε是一个大于0的偏移量，保证数据包不移出该时隙窗口；若该时隙窗口W_i中不存在数据包，则该窗口标记失败。

进一步地，步骤3所述在流出数据流中检测是否包含与标记水印相应的水印信息，具体如下：

(1)记录从第M个时隙窗口起到第M+N个时隙窗口的共p个数据包的流出时间，N为该时隙窗口内的时隙个数，记第i个时隙窗口W_i中n个数据包的流经检测节点的时间分别为t_i,1,t_i,2,…,t_i,n，τ₀为第M个时隙窗口起始时间；

(2)令δ＝T/20，k＝0,1,…,O，O为试探检测组数，以τ₀+kδ为连续N个时隙窗口的起始时间，分别计算O+1个起始时间选择下，连续N个时隙窗口的时隙质心；设求得的第k个起始时间选择下的N个时隙窗口的质心为C_k1,C_k2,…,C_kN，进一步求取J_k＝Sgn(C_k1-T/2)+Sgn(C_k2-T/2)+…+Sgn(C_kN-T/2)，其中Sgn为符号函数；

(3)求取J＝max_{{k＝0,1,…,O}}(J_k)，若J>αN，α∈(0,1)为检测阈值，则判定水印检测成功，否则判定水印检测不成功。

本发明与现有技术相比，其显著优点为：(1)对所有流入网络的数据都进行网络流水印标记处理，并通过对所有流出数据流进行水印检测以快速的完成流入/流出一致性比对，实现了对受控重路由节点的精确发现；(2)需要很少的网络数据即可发现存在一致性的流入和流出数据流，大大提高了对跳板利用攻击的响应速度；(3)亦可作为功能模块，提升网络针对高级持续威胁的发现能力。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些事实方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明典型部署应用示意图。

图2为网络流水印标记示意图。

图3为网络流水印检测流程图。

具体实施方式

下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下获得的所有其他实施例，都属于本发明保护的范围。

结合图1～3，本发明发现内网被控重路由节点的主动流量分析方法，包括以下步骤：

步骤1，网络流水印标记设备监视流入系统的TCP或UDP连接，其中TCP连接从TCP的握手协议判断起始，UDP连接以新的UDP流的第一个包为起始时间，假设一个数据流F的起始时间为t₀，则将F按照时间跨度T为时隙窗口进行分割；

步骤2，对通过网络边界设备的流入数据流进行网络流水印标记操作，具体如下：

对任一流入的数据流F_in，跳过M-1个时隙窗口，从第M个时隙分组开始进行连续N个时隙窗口W上的水印标记，标记方法如下：

对具有起始时间t_i,0的时隙窗口W_i，i为时隙组的标号，设时隙窗口W_i中的n_i个数据包的到达时间为t_i,1,t_i,2,…,t_i,ni,则将t_i,j-t_i,0≤T/2的数据包均做T/2-ε的延迟，其中ε是一个大于0的偏移量，保证数据包不移出该时隙窗口；若该时隙窗口W_i中不存在数据包，则该窗口标记失败；

步骤3，在流出数据流中检测是否包含与标记水印相应的水印信息，具体如下：

(1)记录从第M个时隙窗口起到第M+N个时隙窗口的共p个数据包的流出时间，N为该时隙窗口内的时隙个数，记第i个时隙窗口W_i中n个数据包的流经检测节点的时间分别为t_i,1,t_i,2,…,t_i,n，τ₀为第M个时隙窗口起始时间；

(2)令δ＝T/20，k＝0,1,…,O，O为试探检测组数，通过以不同的时间偏移量进行试探检测，选择其中最佳的结果为最终结果，减小网络中时间扰动的影响，增加检测的可靠性；以τ₀+kδ为连续N个时隙窗口的起始时间，分别计算O+1个起始时间选择下，连续N个时隙窗口的时隙质心；设求得的第k个起始时间选择下的N个时隙窗口的质心为C_k1,C_k2,…,C_kN，进一步求取J_k＝Sgn(C_k1-T/2)+Sgn(C_k2-T/2)+…+Sgn(C_kN-T/2)，其中Sgn为符号函数；

(3)求取J＝max_{{k＝0,1,…,O}}(J_k)，若J>αN，α∈(0,1)为检测阈值，则判定水印检测成功，否则判定水印检测不成功。

步骤4，根据水印信息的检测情况，确定内网中是否存在被控重路由节点，并根据检出存在水印的数据流的IP地址和端口来定位内网主机。

实施例1

本发明发现内网被控重路由节点的主动流量分析方法，其典型部署应用的示意图如图1所示。对于需要保护的企业网络来说，本方法相关联的网络流水印标记设备以串接的方式部署在企业网出口的路由器后面，网络流水印检测设备以旁路的方式部署在流水印标记设备或出口路由器旁边。为了发现受控的重路由节点，网络流水印标记设备对所有进入网络的流F_in都进行水印标记，标记了水印后的数据流流入相应的内网主机。如某主机Host为受控用于重路由的节点，那么从Host流出的F_out就应该包含标记在F_in上的水印信息。通过网络流水印检测设备检测到F_out中包含水印则可以判定主机Host为受控重路由节点。

下面分别介绍网络流水印的标记和检测方法的具体实施方法。在讨论网络流水印标记和检测方法之前，值得指出的是为了减少水印标记负担，可以在水印标记设备上，配备一个可信外部IP地址库，这个地址库中的地址包括常用桌面和移动应用的IP地址以及主要网络服务器地址，这个可信地址库，这个地址库的构建可以参考第三方的地址库构建方法；也可以采取针对企业网络的数据分析的方法，如跟踪所有的DNS查询，根据域名的合法性来确定DNS返回的IP地址的可信性。通过可信的IP地址库，可以在标记和检测水印的过程中过滤掉连接可信IP的所有流量。

1.网络流水印标记方法

网络流水印标记设备监视流入系统的TCP或UDP连接，其中TCP连接可以从TCP的握手协议判断起始，UDP连接以某新的UDP流的第一个包为起始时间。采用T＝200ms的时隙宽度，从数据流开始后的第26个时隙窗口开始对连续50个窗口进行标记。

如图2所示。设窗口W_i中的n_i个数据包的到达时间为t_i,1,t_i,1,…,t_i,ni,则将t_i,j-t_i,0≤T/2的数据包进行T/2-ε的延迟，其中ε采用T/50，以尽量保证数据包不移出该窗口。若该时隙窗口W_i中不存在数据包，则该窗口跳过。

2.网络流水印检测方法

对某条流出网络的数据流进行网络流水印检测的流程如图3所示。该过程包含以下流程：

步骤1，记录流出的数据流开始后的第26个时隙窗口，其窗口起始时间计为τ₀，到第76个时隙窗口的p个数据包的流出时间，计其为t₁,t₂,…,t_p，τ₀为第M个时隙窗口起始时间

步骤2，令δ＝10ms，k＝0,1,…,100，以τ₀+k×10为连续50个时隙窗口的起始时间，分别计算101个起始时间选择下，连续50个时隙窗口的时隙质心。对具有起始时间t_i,0的时隙窗口W_i，设其中的n_i个数据包的到达时间为t_i,1,t_i,1,…,t_i,ni,其时隙质心的计算公式为C_i＝1/n_i[(t_i,1-t_i,0)+(t_i,2-t_i,0)+….+(t_i,ni-t_i,0)]。若n_i＝0，直接令C_i＝T/2。

设第k个起始时间选择下的N个时隙窗口的质心为C_k1,C_k2,…,C_kN,进一步求取J_k＝Sgn(C_k1-T/2)+Sgn(C_k2-T/2)+…+Sgn(C_kN-T/2)，其中Sgn为符号函数；

步骤3，求取J＝max_{{k＝0,1,…,,100}}(J_k)，选取检测阈值α＝0.8，若J>40，则判定水印检测成功，否则水印检测不成功。

综上，本发明仅需要很少的网络数据即可发现存在一致性的流入和流出数据流，大大提高了对跳板利用攻击的响应速度，亦可作为功能模块，提升网络针对高级持续威胁的发现能力。

Claims (1)

1.一种发现内网被控重路由节点的主动流量分析方法，其特征在于，包括以下步骤：

步骤1，网络流水印标记设备监视流入系统的TCP或UDP连接，其中TCP连接从TCP的握手协议判断起始，UDP连接以新的UDP流的第一个包为起始时间，假设一个数据流F的起始时间为t₀，则将F按照时间跨度T为时隙窗口进行分割；

步骤2，对通过网络边界设备的流入数据流进行网络流水印标记操作；

步骤3，在流出数据流中检测是否包含与标记水印相应的水印信息；

步骤4，根据水印信息的检测情况，确定内网中是否存在被控重路由节点，并根据检出存在水印的数据流的IP地址和端口来定位内网主机；

步骤2所述对通过网络边界设备的流入数据流进行网络流水印标记操作，具体如下：

对任一流入的数据流F_in，跳过M-1个时隙窗口，从第M个时隙分组开始进行连续N个时隙窗口W上的水印标记，标记方法如下：

对具有起始时间t_i,0的时隙窗口W_i，i为时隙组的标号，设时隙窗口W_i中的n_i个数据包的到达时间为t_i,1 , t_i,2,…, t_i,ni, 则将t_i,j- t_i,0 ≤T/2的数据包均做T/2-ε的延迟，其中ε是一个大于0的偏移量，保证数据包不移出该时隙窗口；若该时隙窗口W_i中不存在数据包，则该时隙窗口标记失败；

步骤3所述在流出数据流中检测是否包含与标记水印相应的水印信息，具体如下：

（1）记录从第M个时隙窗口起到第M+N个时隙窗口的共p个数据包的流出时间，N为该时隙窗口内的时隙个数，记第i个时隙窗口W_i中n个数据包的流经检测节点的时间分别为t _i,1,t _i,2,…,t _i,n ，τ₀为第M个时隙窗口起始时间；

（2）令δ=T/20，k=0,1,…,O，O为试探检测组数，以τ₀+kδ为连续N个时隙窗口的起始时间，分别计算O+1个起始时间选择下，连续N个时隙窗口的时隙质心；设求得的第k个起始时间选择下的N个时隙窗口的质心为C_k1,C_k2,…,C_kN，进一步求取 J_k=Sgn(C_k1-T/2)+ Sgn(C_k2-T/2)+…+ Sgn(C_kN-T/2)，其中Sgn为符号函数；

（3）求取J=max_{{k=0,1,…,O}}(J_k)，若J>αN，α∈(0,1)为检测阈值，则判定水印检测成功，否则判定水印检测不成功。

Images