CN107070851A - 基于网络流的连接指纹生成和垫脚石追溯的系统和方法 - Google Patents
基于网络流的连接指纹生成和垫脚石追溯的系统和方法 Download PDFInfo
- Publication number
- CN107070851A CN107070851A CN201610987131.2A CN201610987131A CN107070851A CN 107070851 A CN107070851 A CN 107070851A CN 201610987131 A CN201610987131 A CN 201610987131A CN 107070851 A CN107070851 A CN 107070851A
- Authority
- CN
- China
- Prior art keywords
- connection
- time
- fingerprint
- netflow
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0811—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Abstract
本发明涉及用于跟踪网络黑客攻击的技术,并更具体地,涉及用于使用网络流(NetFlow)数据生成连接的指纹并的系统和方法。基于NetFlow的连接指纹生成和垫脚石追溯的方法包括:接收与作为连接链上的最后连接的目标连接对应的、包括受害者和攻击者的IP分组属性信息的追溯请求,基于该IP分组属性信息生成用于关联连接的指纹,并向NetFlow收集器请求相关信息,检测在指纹生成时生成的到目标连接的垫脚石连接,并命令检查分类的候选连接是否与目标连接存在于相同的连接链上,和当确定候选连接与目标连接存在于相同的连接链上时,基于攻击者主机来确定候选连接的顺序。
Description
相关申请的交叉引用
该申请要求2015年11月9日提交的韩国专利申请第10-2015-0156952号和2016年4月28日提交的韩国专利申请第10-2016-0052154号的优先权和权益,通过引用在这里全部合并其公开。
技术领域
本发明涉及用于跟踪网络黑客攻击的技术,并更具体地,涉及用于使用网络流(NetFlow)数据生成连接的指纹并追溯攻击的起源的系统和方法。
背景技术
用于追溯网络黑客攻击的技术在于,即使当攻击系统的地点与实际尝试破解系统的黑客的真实地点不同时,也定位黑客的真实地点,即,攻击的起源。
作为根据现有技术的用于追溯网络黑客攻击的技术,已提出了基于主机的TCP连接追溯、基于网络IP分组的追溯、和针对IP欺骗(spoofing)发现分组的原始传送者的追溯方法。
基于主机的TCP连接追溯方法使用在所有系统中安装的追溯模块,以定位已经经过其他多个系统的黑客的真实地点。
基于网络IP分组的追溯方法使用在其中可能观察网络分组的地点安装的追溯模块,以定位已经经过其他多个系统的黑客的真实地点。
所有上述现有技术具有的问题在于,存在因特网服务供应商(ISP)开销。
另外,已开发了作为黑客的诱饵(bait)的蜜罐诱骗服务器和自动黑客跟踪软件,但是它们仅能在虚拟网络的某些环境中操作。
根据现有技术,应监视所有网络业务分组和通信连接,并由此得到的开销很大,并且特别是当攻击经由不支持追溯功能的网络装置(路由器)或ISP时,追溯是不可能的。
即,根据现有技术,应在网络上按照分布方式安装专用监视装置或者应改变因特网协议,并因此其在实践中不可能应用到真实网络。
发明内容
为了解决现有技术的需要专用监视装置并因此其在实践中难以应用到因特网环境、以及在其中使用IP欺骗(spoofing)或其他方法隐藏攻击者的信息的情况下检测困难的问题,本发明提供了基于NetFlow的连接指纹生成和垫脚石追溯的方法,该方法不限于在现有因特网环境中应用,使得开销最小化,并能够通过利用路由器所提供的NetFlow信息来追溯攻击的起源。
在一个一般方面,提供了基于NetFlow的连接指纹生成和垫脚石追溯的方法包括:接收与作为连接链上的最后连接的目标连接对应的、包括受害者和攻击者的IP分组属性信息的追溯请求;基于该IP分组属性信息生成用于关联连接的指纹,并向NetFlow收集器请求相关信息;检测在指纹生成时生成的到目标连接的垫脚石连接,并命令检查分类的候选连接是否与目标连接存在于相同的连接链上;和当确定候选连接与目标连接存在于相同的连接链上时,基于攻击者主机来确定候选连接的顺序。
附图说明
通过参考附图详细描述本发明的示范实施例,本发明的以上和其他目的、特征和优点对于本领域技术人员将变得更清楚,其中:
图1是图示了根据本发明一个实施例的连接链的概念图;
图2是图示了根据本发明一个实施例的基于NetFlow的连接指纹生成和垫脚石追溯的方法的流程图;
图3是图示了根据本发明一个实施例的基于NetFlow的连接指纹生成和垫脚石追溯的系统的框图;
图4是图示了根据本发明一个实施例的用于指纹生成的算法的流程图;和
图5是图示了根据本发明一个实施例的用于垫脚石连接检测的算法的流程图。
图6是图示了其中执行根据本发明实施例的用于拼接全景视频的方法的计算机系统的示例的图。
具体实施方式
通过参考下面参考附图详细描述的实施例,本发明的优点和特征以及实现其的方法将变清楚。
然而,本发明不限于下面描述的这些实施例,并且可对其进行各种修改。这些实施例仅被提供以全面公开本发明,并向本领域技术人员传递本发明的范畴。本发明由所附权利要求限定。
这里使用的术语是为了描述仅特定实施例的目的,并且不意欲成为本发明的限制。如这里使用的,单数形式“a”、“an”和“the”意欲也包括复数形式,除非上下文按照别的方式进行了清楚指示。将进一步理解的是,术语“包括”和/或“包含”当在该说明书中使用时,指定所阐明的特征、整数、步骤、操作、元件、和/或组件的存在,但是不排除一个或多个其它特征、整数、步骤、操作、元件、组件、和/或其组的存在或添加。
其后,将参考图1到5来详细描述本发明的示范实施例。
本发明提出了以下方法,其使用一般由路由器提供的NetFlow信息来生成用于连接流的指纹,并比较指纹以便追溯攻击的起源。
图1是图示了根据本发明一个实施例的连接链的概念图。
根据一个实施例,在诸如Telnet、SSH、rlogin等的交互服务中,使用NetFlow的停止时间特征,通过连接的通/断建模来检测垫脚石。
例如,攻击者使用远程登录上网,来建立与包括主机1H1 110a到主机n Hn 110n的主机(计算机)集合的连接链C1到Cn-1。
H1是攻击者自己的计算机,Hn是攻击者要攻击的最终目标,并且连接Ci代表使用远程登录上网服务从Hi到Hi+1建立的连接。
以上示例示出了主机Hi尝试通过Telnet、SSH、rlogin等使用交互服务客户机远程接入主机Hi+1。
在交互服务中,在客户机和服务器之间建立双向连接,但是本发明的实施例仅集中于从攻击者H1到受害者计算机Hn的下游连接。
另外,本发明的实施例假设,针对攻击者的最后连接Cn-1(其后,将被称为“目标连接”),已知连接时间和分组属性信息(作为包括源IP地址、目的IP地址、源端口号、目的端口号、和层3协议的5元组信息),并且将与对应连接有关的关于NetFlow记录的信息存储在NetFlow收集器中。
根据本发明的一个实施例,提出了用于通过搜索通过任意路由器所收集的多条NetFlow信息、来发现其每一个形成与目标连接Cn-1相同的连接链的连接C1到Cn-2的算法。
当层4连接的流中的数据在T-idle秒或更多中不存在时,假设对应连接在关断时间段中,并且当携带数据的分组出现时,对应流终止关断时间段,启动接通时间段,并维持该接通时间段直到出现其中数据在T-idle秒或更多中不再次存在的事件为止。
如上所述,通过通/断时间段的业务的建模基于用户的键击(keystrokes)的时间间隔。
根据本发明的一个实施例,基于通/断模型,当给定两个连接C1和C2时,当其中这两个连接的相应关断时间段结束的时间实例(instances)(即,接通时间段开始的时间实例)类似时,确定这两个连接处于彼此“垫脚石”关系。
即,用户的键击通过C1传送并然后通过C2传送。
图2是图示了根据本发明一个实施例的基于NetFlow的连接指纹生成和垫脚石追溯的方法的流程图。
根据一个实施例,该方法包括接收对于追溯的用户请求(S100),生成用于关联连接的指纹(S200),检测垫脚石连接(S300),并基于攻击者主机来确定候选连接的顺序(S400)。
参考图3,多个跟踪代理(TA)400的每一个在分布网络环境中操作,并且多个TA400a和400b基于对等网络(P2P)来共享信息。
在因特网上存在的路由器200向对应NetFlow收集器300周期性传送NetFlow设置和传送信息,并且NetFlow收集器300的每一个在每一时间间隔中存储收集的NetFlow信息。
根据本发明的一个实施例,利用NetFlow全采样率或路由器200的缺省设置值(停止定时器的缺省值是10秒并且活动定时器的缺省值是30分钟)。
上述缺省设置值可取决于路由器200或切换装置的特性而改变。
在S100,通过用户界面(UI)接收追溯请求(Req Traceback),其中该追溯请求包括与作为连接链上的最后连接的目标连接对应的、受害者100n以及最后攻击者的流信息。
即,一批多条IP分组属性信息形成流,并且该流是单向通信会话,其是彼此匹配的一对双向流。
接收追溯请求的上述TA 400a基于连接链上的受害者100n与最后攻击者的IP地址、端口信息、关于实行攻击的时间信息、和协议信息,来生成用于关联连接的指纹,并请求每一NetFlow收集器300a、300b和300c发送相关信息(指纹搜索)。
相应NetFlow收集器300a、300b和300c基于在对应时间发现的连接流信息来生成指纹,并且将这些流在相互相似度方面进行彼此比较,使得追溯垫脚石100b和100c以及攻击的起源100a。
根据本发明的一个实施例,使用从路由器200传送并在NetFlow收集器300中存储的NetFlow信息来执行基于特定连接的定时的追溯,并且为此,使用作为交互业务的特性的通/断图案来追溯垫脚石100b和100c。
其后,将参考图4来描述根据本发明一个实施例的用于指纹生成的算法。
根据本发明一个实施例的用于指纹生成的算法从连接链上存在的最后连接(对应于目标连接的图1中的Cn-1、其中存在最终目标主机的网络管理系统)接收IP分组属性信息,并生成指纹。
上述IP分组属性可包括攻击开始时间Ts、攻击结束时间Te、攻击源IP地址srcaddr、攻击源端口号srcport、目的IP地址dstaddr、目的端口号dstport、和层3协议信息。
经过切换器或路由器的分组可通过充当个别IP分组的指纹或标识的IP分组属性来分类,并且通过使用IP分组属性,可能区分一个分组是新分组还是与另一分组类似。
在S210,执行NetFlow UDP数据报的健全性检查,其中通过使用报头格式中包括的版本和计数字段检查数据报的尺寸,来检查从路由器输出(exported)并由NetFlow收集器收集的NetFlow的版本/尺寸(数据报尺寸)。
然后,在S220,使用报头格式中包括的SysUptime字段,来执行收集的NetFlow的流输出信息的排序。
在S230,使用报头格式中包括的计数和flow_sequence(流_顺序)字段,来检查是否存在流输出信息的丢失。
如果不存在丢失,则在S240,基于从Ts(攻击开始时间)到Te(攻击结束时间)的时间,使用流记录格式中包括的攻击源IP地址srcaddr、攻击源端口号srcport、目的IP地址dstaddr、目的端口号dstport、和层3协议字段,来获取层4连接信息。
在该情况下,层4连接信息包括目标层4组件、ts(连接开始时间)和te(连接结束时间)。
在该情况下,由于多个目标层4连接可存在于Ts(攻击开始时间)和Te(攻击结束时间)之间,所以使用TCP标志(SYN/FIN/RST)对于每一TCP层4分类所述连接。
然后,在S250,在其中针对目标连接的IP分组属性、N个流记录R1到RN存在于TCP层4中的情况下,将从特定流记录Ri中的最后值减去第一值所计算的值设置为第i接通时间,并且当该接通时间小于预定时间(特定德耳塔时间)时,去除该流记录Ri。
通过上述接通时间合并,获取n个流记录R1到Rn(n等于或小于N)。
其后,在S260,生成针对在S250获取的n个流记录的用于每一TCP层4的通/断时间序列。
针对大于1并且等于或小于n的i,将从Ri中的最后值减去第一值所计算的值设置为第i接通时间,将流记录Ri的第一值和流记录Ri-1的最后值之间的差设置为第(i-1)流记录的关断时间,并且在i为1的情况下,仅计算第一接通时间。
因此,在S260,生成<ON1,OFF1,ON2,OFF2到OFFn-1,ONn>的通/断时间序列。
在S270,当通过上述过程生成多个时间序列时,选择具有最长长度的时间序列(显著通/断时间序列选择),并通过考虑选择的通/断时间序列的设立时间而最终生成指纹。
其后,针对上面在图4中描述的用于指纹生成的算法所形成的一个目标层4连接,将参考图5来描述用于检测在相同连接链上存在的垫脚石连接的算法。
图5中示出的用于检测垫脚石连接的算法针对一个目标层4基于<ts(连接开始时间)、te(连接结束时间)、TS(时间序列)、{选项=协议等}>搜索相同连接链上存在的垫脚石,其中操作S310到S330分别执行与图4的操作S210到S230的处理相同的处理。
即,在S310,执行NetFlow UDP数据报的健全性检查,其中通过使用报头格式中包括的版本和计数字段检查数据报的尺寸,来检查从路由器输出并由NetFlow收集器收集的NetFlow的版本/尺寸(数据报尺寸);在S320,使用报头格式中包括的SysUptime字段来执行收集的NetFlow的流输出信息的排序;并且在S330,使用报头格式中包括的计数和flow_sequence字段,来检查是否存在流输出信息的丢失。
在S340,获取关于从目标层4连接的ts(连接开始时间)到te(连接结束时间)维持的候选连接的信息,其中在存在{选项}字段的情况下,获取包括该字段的内容的候选连接信息。
例如,在S340,在{选项=层3协议}的情况下,获取满足该需求的候选连接信息,并且使用传输控制协议(TCP)标志(SYN/FIN/RST),对其连接开始时间和连接结束时间包括目标层4连接的ts和te的层4候选连接进行分类。
图5中图示的操作S350和S360执行与图4的上述操作S250和S260的处理相同的处理。在S350,通过接通时间合并,分类流记录,并且在S360,针对在S350分类的流记录,生成用于每一TCP层4的通/断时间序列。
在S370,执行图4的算法所生成的指纹的时间序列(TS)与S360中生成的候选连接的时间序列之间的相关性的检查。
其后,将详细描述用于垫脚石连接相关性比较的算法,并且将更详细地描述操作S370。
为了检查候选连接是否与目标连接存在于相同的连接链上,将这两个连接之间的X和Y相关性进行彼此比较。
根据本发明的一个实施例,两个向量之间的相似度被量化计算并被表示为最小元素和和最大元素和的比率(称为“最小/最大和比率(MMS)”),并且将MMS用作相关点函数(CPF)。
在假设当使用流控制传送协议(SCTP)时不存在NetFlow UDP分组丢失的情况下,通过以下等式1来计算目标连接的X个向量<x1到xm>的集合和候选连接的Y个向量<y1到yk>的集合的CPF。
[等式1]
在该情况下,s表示满足表达(0≤s≤k-m)的相关偏移(比较开始点)。这是因为,为了使得候选连接与目标连接相关,不得不满足Y向量的尺寸大于X向量的尺寸的需求。
而且,这是因为使用交互服务的连接链形成的顺序生成和终止特征,其不得不满足(k>m)的表达以便形成其中在相同连接链上存在候选连接的单一连接,因为该目标连接是连接链上的最后连接Cn-1。
另外,m表示X向量的尺寸(即,|X|),并且s表示YK的开始偏移(相关偏移),如上所述。
所以,当Yk的尺寸为r时,满足(0≤s≤r-m)的表达的需求,并且如果r小于m,则省略该计算,并且将CPF的值设置为“0”。
以上等式1给出了针对目标连接从候选连接的开始偏移s直到m获得的相关性的值。
在通过将该相关偏移一一递增而计算CPF之后,最大值被发现并定义为相关值(CV),并且其后,为了比较两个连接用于检查这两个连接是否在具有相同垫脚石的同一连接链上存在,通过以下等式2来计算CV的值。
[等式2]
CV(k)=max0≤s<rCPF(X,Yk,s)k=1,2,…,j
例如,在其中在单一TPC层4中的n个流记录之中丢失事件出现j(j<n)次的情况下,生成(j+1)个时间序列。
在该情况下,生成的时间序列可被表示为TS(1)到TS(j+1),并且这时,通过以下等式3来计算CV的值。
[等式3]
最后,使用以下等式4来计算CV的最大值,并且当该最大值是阈值或更多时,确定相关连接存在于相同连接链上。
[等式4]
在S400,检测原始攻击者,其中当检测到在相同连接链上存在一些候选连接时,基于原始攻击者确定连接的顺序。
例如,当检测到C1和C2在相同连接链上存在时,确定C1的连接时间ts(C1)和te(C1)是否包括C2的连接时间ts(C2)和te(C2)。
当C1的连接时间包括C2的连接时间时,C1成为在C2的上游存在的垫脚石连接,并且当C2的连接时间包括C1的连接时间时,确定C2位于比C1靠近原始攻击者。
另一方面,当在C1和C2之间不存在互相包含关系时,在连接链上不存在作为错误检测的连接的、两个连接中的至少一个。
所以,在S400,当在检测为在相同连接链之上存在的两个连接之间不存在连接时间的包含关系时,比较CV的值,将具有较小CV的连接确定为错误检测的连接,并依次去除。
通过使用根据上述实施例的基于NetFlow的连接指纹生成和垫脚石追溯的方法,可能实现实际网络上的追溯,生成连接指纹,检查垫脚石连接,并追溯原始攻击者。
按照根据本发明的用于基于NetFlow的连接指纹生成和垫脚石追溯的系统和方法,使用路由器提供的NetFlow信息来执行连接的通/断建模,并由此可能检测垫脚石和攻击的起源。
即,可能检测使用用来攻击的诸如Telnet、rlogin、SSH等的交互服务形成连接链的连接(垫脚石),并且使用路由器提供的NetFlow信息来实现该系统和方法,并由此在实际网络环境的应用和使用中没有限制。
根据本发明实施例的用于拼接全景视频的方法可在计算机系统中实现或者可在记录介质中记录。图6图示了计算机系统的简单实施例。如图示的,该计算机系统可包括一个或多个处理器121、存储器123、用户输入装置126、数据通信总线122、用户输出装置127、贮藏器128等。这些组件通过数据通信总线122执行数据通信。
而且,该计算机系统可进一步包括与网络耦接的网络接口129。处理器121可以是处理存储器123和/或贮藏器128中存储的命令的中央处理单元(CPU)或半导体器件。
存储器123和贮藏器128可包括各类易失性或非易失性储存介质。例如,存储器123可包括ROM 124和RAM 125。
由此,根据本发明实施例的用于拼接全景视频的方法可被实现为能在计算机系统中运行的方法。当根据本发明实施例的用于拼接全景视频的方法在计算机系统中执行时,计算机可读命令可执行根据本发明的产生方法。
根据本发明的用于拼接全景视频的方法也可以实施为计算机可读记录介质上的计算机可读代码。计算机可读记录介质是可存储计算机系统其后可读取的数据的任何数据储存装置。计算机可读记录介质的示例包括只读存储器(ROM)、随机存取存储器(RAM)、CD-ROM、磁带、软盘、和光学数据储存装置。计算机可读记录介质还可以在网络耦接的计算机系统上分发,使得可按照分布方式来存储和运行计算机可读代码。
本领域技术人员将清楚的是,能对本发明的上述示范实施例进行各种修改,而不脱离本发明的精神或范围。由此,本发明意欲覆盖所有这些修改,只要它们落入所附权利要求及其等效的范围内。
Claims (20)
1.一种基于NetFlow的连接指纹生成和垫脚石追溯的方法,该方法包括操作:
(a)在跟踪代理处,接收与作为连接链上的最后连接的目标连接对应的、包括受害者和攻击者的IP分组属性信息的追溯请求;
(b)基于该IP分组属性信息生成用于关联连接的指纹,并向NetFlow收集器请求相关信息;
(c)检测在指纹生成时所生成的到目标连接的垫脚石连接,并命令检查在分类的候选连接是否与目标连接存在于相同的连接链上;和
(d)当确定候选连接与目标连接存在于相同的连接链上时,基于攻击者主机来确定候选连接的顺序。
2.根据权利要求1的方法,其中操作(a)包括接收攻击开始时间、攻击结束时间、攻击源IP地址、攻击源端口号、目的IP地址、目的端口号、和层3协议信息作为该IP分组属性信息。
3.根据权利要求1的方法,其中在操作(b)中,所述指纹的生成包括操作:
(b-1)检查数据报;
(b-2)执行数据报的排序;
(b-3)检查数据报丢失;
(b-4)获取层4连接信息;
(b-5)对流记录执行接通时间合并;
(b-6)针对通过接通时间合并分类的流记录,生成通/断时间序列;和
(b-7)通过考虑生成的时间序列来生成指纹。
4.根据权利要求3的方法,其中操作(b-1)包括使用报头格式中包括的版本和计数字段,来检查NetFlow收集器所收集的每一NetFlow的版本和尺寸。
5.根据权利要求3的方法,其中操作(b-2)包括使用报头格式中包括的SysUptime字段来执行收集的NetFlow的排序。
6.根据权利要求3的方法,其中操作(b-3)包括使用报头格式中包括的计数和flow_sequence字段,来检查是否发生数据报丢失。
7.根据权利要求3的方法,其中操作(b-4)包括使用流记录格式中包括的攻击源IP地址、目的IP地址、攻击源端口号、目的端口号、和协议字段,来获取层4连接信息。
8.根据权利要求7的方法,其中操作(b-4)包括针对攻击开始时间和攻击结束时间之间的多个目标层4连接,使用TCP标志来对每一层4的连接进行分类。
9.根据权利要求3的方法,其中操作(b-5)包括通过比较每一流记录的接通时间和预定时间、并去除其接通时间比预定时间短的流记录,来对流记录进行分类。
10.根据权利要求3的方法,其中操作(b-6)包括针对分类的流记录对于每一层4生成通/断时间序列。
11.根据权利要求3的方法,其中操作(b-7)包括从多个生成的时间序列选择具有最长长度的时间序列,并通过考虑通/断时间序列的设立时间,来生成指纹。
12.根据权利要求1的方法,其中操作(c)包括对从连接开始时间到连接结束时间维持的层4连接进行分类,生成所分类的层4连接的每一连接的时间序列,比较生成的时间序列与在操作(b)中生成的指纹的时间序列,并检测垫脚石连接。
13.根据权利要求12的方法,其中操作(c)包括通过使用最小/最大和比率(MMS)执行相似度检测算法,来检查候选连接和目标连接是否存在于相同连接链上。
14.根据权利要求13的方法,其中操作(c)包括在增加相关偏移的同时计算相似度,并且在将其最大值定义为相关值之后,通过比较相关值的最大值和阈值,来检查候选连接和目标连接是否存在于相同连接链上。
15.根据权利要求1的方法,其中操作(d)包括在其连接开始时间和连接结束时间方面检查在候选连接的任两个之间是否建立相互包含关系,并确定定位为接近攻击者主机的连接。
16.根据权利要求15的方法,其中操作(d)包括在缺少相互包含关系的情况下确定具有相对小相关值的连接是错误检测的,并去除该连接。
17.一种用于基于NetFlow的连接指纹生成和垫脚石追溯的系统,该系统包括:
跟踪代理,被配置为接收包括与目标连接对应的IP分组属性信息的追溯请求,基于该IP分组属性信息生成用于关联连接的指纹,并传送追溯指令;和
NetFlow收集器,被配置为收集和存储来自路由器的NetFlow信息,接收追溯指令,并检查分类的候选连接是否与目标连接存在于相同的连接链上。
18.根据权利要求17的系统,其中通过考虑针对流记录的通/断时间序列,来生成指纹。
19.根据权利要求17的系统,其中该NetFlow收集器对从连接开始时间到连接结束时间维持其连接的层进行分类,生成所分类的层的时间序列,并通过比较生成的时间序列与指纹的时间序列,来检测垫脚石连接。
20.根据权利要求17的系统,其中,当检测到一些候选连接在相同链上存在时,确定基于攻击者主机的连接顺序,或者通过在其连接时间方面考虑候选连接之间的包含关系,来检查错误检测的连接。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2015-0156952 | 2015-11-09 | ||
KR20150156952 | 2015-11-09 | ||
KR1020160052154A KR102149531B1 (ko) | 2015-11-09 | 2016-04-28 | 넷플로우 기반 연결 핑거프린트 생성 및 경유지 역추적 방법 |
KR10-2016-0052154 | 2016-04-28 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107070851A true CN107070851A (zh) | 2017-08-18 |
CN107070851B CN107070851B (zh) | 2020-07-14 |
Family
ID=59048520
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610987131.2A Active CN107070851B (zh) | 2015-11-09 | 2016-11-09 | 基于网络流的连接指纹生成和垫脚石追溯的系统和方法 |
Country Status (2)
Country | Link |
---|---|
KR (1) | KR102149531B1 (zh) |
CN (1) | CN107070851B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109802937A (zh) * | 2018-11-30 | 2019-05-24 | 浙江远望信息股份有限公司 | 一种发现对智能终端设备tcp下ip欺骗攻击的方法 |
CN110460611A (zh) * | 2019-08-16 | 2019-11-15 | 国家计算机网络与信息安全管理中心 | 基于机器学习的全流量攻击检测技术 |
CN110706247A (zh) * | 2018-06-22 | 2020-01-17 | 杭州海康威视数字技术股份有限公司 | 一种目标跟踪方法、装置及系统 |
CN114422616A (zh) * | 2022-01-29 | 2022-04-29 | 杭州迪普科技股份有限公司 | 数据通讯方法、客户端、服务器及系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20010014093A1 (en) * | 2000-02-02 | 2001-08-16 | Kunikazu Yoda | Access chain tracing system, network system, and storage medium |
US20050278779A1 (en) * | 2004-05-25 | 2005-12-15 | Lucent Technologies Inc. | System and method for identifying the source of a denial-of-service attack |
CN101741628A (zh) * | 2008-11-13 | 2010-06-16 | 比蒙新帆(北京)通信技术有限公司 | 基于应用层业务分析的网络流量分析方法 |
CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
US8266268B1 (en) * | 2005-02-23 | 2012-09-11 | Sprint Communications Company L.P. | Method and system for deploying a network monitoring service within a communication network |
CN104539625A (zh) * | 2015-01-09 | 2015-04-22 | 江苏理工学院 | 一种基于软件定义的网络安全防御系统及其工作方法 |
CN104852887A (zh) * | 2014-02-17 | 2015-08-19 | 上海宽带技术及应用工程研究中心 | 基于OpenFlow技术的网络流量溯源系统及方法 |
US20150281085A1 (en) * | 2014-01-23 | 2015-10-01 | InMon Corp. | Method and system of large flow control in communication networks |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9065767B2 (en) * | 2012-04-03 | 2015-06-23 | Cisco Technology, Inc. | System and method for reducing netflow traffic in a network environment |
-
2016
- 2016-04-28 KR KR1020160052154A patent/KR102149531B1/ko active IP Right Grant
- 2016-11-09 CN CN201610987131.2A patent/CN107070851B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20010014093A1 (en) * | 2000-02-02 | 2001-08-16 | Kunikazu Yoda | Access chain tracing system, network system, and storage medium |
US20050278779A1 (en) * | 2004-05-25 | 2005-12-15 | Lucent Technologies Inc. | System and method for identifying the source of a denial-of-service attack |
US8266268B1 (en) * | 2005-02-23 | 2012-09-11 | Sprint Communications Company L.P. | Method and system for deploying a network monitoring service within a communication network |
CN101741628A (zh) * | 2008-11-13 | 2010-06-16 | 比蒙新帆(北京)通信技术有限公司 | 基于应用层业务分析的网络流量分析方法 |
CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
US20150281085A1 (en) * | 2014-01-23 | 2015-10-01 | InMon Corp. | Method and system of large flow control in communication networks |
CN104852887A (zh) * | 2014-02-17 | 2015-08-19 | 上海宽带技术及应用工程研究中心 | 基于OpenFlow技术的网络流量溯源系统及方法 |
CN104539625A (zh) * | 2015-01-09 | 2015-04-22 | 江苏理工学院 | 一种基于软件定义的网络安全防御系统及其工作方法 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110706247A (zh) * | 2018-06-22 | 2020-01-17 | 杭州海康威视数字技术股份有限公司 | 一种目标跟踪方法、装置及系统 |
CN110706247B (zh) * | 2018-06-22 | 2023-03-07 | 杭州海康威视数字技术股份有限公司 | 一种目标跟踪方法、装置及系统 |
CN109802937A (zh) * | 2018-11-30 | 2019-05-24 | 浙江远望信息股份有限公司 | 一种发现对智能终端设备tcp下ip欺骗攻击的方法 |
CN109802937B (zh) * | 2018-11-30 | 2021-08-17 | 浙江远望信息股份有限公司 | 一种发现对智能终端设备tcp下ip欺骗攻击的方法 |
CN110460611A (zh) * | 2019-08-16 | 2019-11-15 | 国家计算机网络与信息安全管理中心 | 基于机器学习的全流量攻击检测技术 |
CN110460611B (zh) * | 2019-08-16 | 2022-01-11 | 国家计算机网络与信息安全管理中心 | 基于机器学习的全流量攻击检测技术 |
CN114422616A (zh) * | 2022-01-29 | 2022-04-29 | 杭州迪普科技股份有限公司 | 数据通讯方法、客户端、服务器及系统 |
Also Published As
Publication number | Publication date |
---|---|
KR102149531B1 (ko) | 2020-08-31 |
KR20170054215A (ko) | 2017-05-17 |
CN107070851B (zh) | 2020-07-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3563554B1 (en) | System and method for detecting unknown iot device types by monitoring their behavior | |
Tan et al. | A new framework for DDoS attack detection and defense in SDN environment | |
US11122067B2 (en) | Methods for detecting and mitigating malicious network behavior and devices thereof | |
WO2021082339A1 (zh) | 将机器学习和规则匹配相融合的安全检测方法和设备 | |
US20210352090A1 (en) | Network security monitoring method, network security monitoring device, and system | |
CN107135093B (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
US10264004B2 (en) | System and method for connection fingerprint generation and stepping-stone traceback based on netflow | |
CN107070851A (zh) | 基于网络流的连接指纹生成和垫脚石追溯的系统和方法 | |
CN107810619A (zh) | 用于推断广域网中的网络拓扑和路径度量的系统和方法 | |
CN106375157B (zh) | 一种基于相空间重构的网络流关联方法 | |
US20070041317A1 (en) | Method and system for generating an annotated network topology | |
CN102571946B (zh) | 一种基于对等网络的协议识别与控制系统的实现方法 | |
Ennert et al. | Testing of IDS model using several intrusion detection tools | |
CN102714652A (zh) | 监测数据网络中包括多个数据流的通讯会话 | |
CN109257384B (zh) | 基于访问节奏矩阵的应用层DDoS攻击识别方法 | |
CN115514720B (zh) | 一种面向可编程数据平面的用户活动分类方法及应用 | |
JP2010198111A (ja) | メタデータ抽出サーバ、メタデータ抽出方法およびプログラム | |
CN106130764B (zh) | 一种监控视频直播间数据服务是否可用的方法及系统 | |
CN101984635A (zh) | P2p协议流量识别方法及系统 | |
CN115378881A (zh) | 基于联邦学习的家庭路由器数据流识别方法和识别架构 | |
JP4235907B2 (ja) | ワーム伝播監視システム | |
KR101560820B1 (ko) | 시그니처 기반 어플리케이션 식별 장치 및 방법 | |
Shi | Towards Machine Learning Based Source Identification of Encrypted Video Traffic | |
Liang et al. | Predicting network response times using social information | |
Anastasiadis et al. | A Novel High-Interaction Honeypot Network for Internet of Vehicles |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |