CN107547547B - 一种基于编辑距离的tcp cc识别方法 - Google Patents
一种基于编辑距离的tcp cc识别方法 Download PDFInfo
- Publication number
- CN107547547B CN107547547B CN201710792548.8A CN201710792548A CN107547547B CN 107547547 B CN107547547 B CN 107547547B CN 201710792548 A CN201710792548 A CN 201710792548A CN 107547547 B CN107547547 B CN 107547547B
- Authority
- CN
- China
- Prior art keywords
- address
- source
- connection
- data
- cache
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于编辑距离的TCP CC识别方法,在恶意连接到达服务器时,直接分析其发送的数据内容,因其为随机数据,必然与特征字节串不匹配,从而立即识别出恶意连接,而不是放行,当同一个恶意攻击者(IP)的连接次数达到阈值后,直接封锁该攻击者(IP),在整个过程中,服务器上层业务不会收到任何随机数据(垃圾数据),因而不会受到任何影响。本发明方法能够精准地识别攻击,降低误报率、漏报率,同时因其直接参与连接的过程,可以攻击较早的阶段即可识别阻断,无需等待连接结束后进行分析,极大地提高了识别的效率。
Description
技术领域
本发明涉及CC攻击识别领域,特别是一种基于编辑距离的TCP CC识别方法。
背景技术
CC是指攻击者借助代理服务器生成指向受害主机的合法请求,实现DOS和伪装。CC攻击主要针对WEB应用程序比较消耗资源的地方进行疯狂请求,比如,论坛中的搜索功能,如果不加以限制,任由人搜索,普通配置的服务器在几百个并发请求下,MYSQL服务就会瘫痪。CC攻击的种类有三个,分别为直接攻击、代理攻击和僵尸网络攻击。
防御CC攻击可以通过多种方法,禁止网站代理访问,尽量将网站做成静态页面,限制连接数量,修改最大超时时间等。传统的TCP CC攻击识别主要通过计算单位时间请求数量或者单个IP的请求频率是否达到阈值来识别。其存在以下不足:1)如果将阈值设定较高,会有很多低频攻击无法识别;2)如果将阈值设定较低,会有很多正常请求被错误识别为攻击;3)攻击识别效率较低,需要在攻击已经产生后才开始识别攻击,并需要持续一段时间才能完成识别。
CC(Challenge Collapsar)攻击:DDoS攻击的一种,通过伪装合法请求进行攻击;
编辑距离(Edit Distance):指两个字符串之间,由一个转成另一个所需的最少编辑操作次数。
发明内容
本发明所要解决的技术问题是提供一种基于编辑距离的TCP CC识别方法,对于相同的业务来说,其TCP连接的前N个字节基本是固定或者相似的,本方法通过提取TCP第一个数据包的内容,并将该内容与历史学习到的内容进行编辑距离的计算,依据计算结果识别TCP的CC攻击,提高识别的效率。
为解决上述技术问题,本发明采用的技术方案是:
一种基于编辑距离的TCP CC识别方法,包括以下步骤:
步骤1:设定初始的特征字节串S以及特征字节串长度为M,设定编辑距离的阈值为D,且M ≥ D ≥1;
步骤2:新连接到来时,接收前M个字节的数据,存放到缓冲区B中;
步骤3:计算特征字节串与缓冲区B中存放的内容的编辑距离d;
步骤4:比较编辑距离d与阈值D;
步骤5:若编辑距离d ≥阈值D,进行如下操作:
1)查找当前连接的源 IP 地址是否被缓存,若未被缓存则进行步骤2),否则进行步骤3);
2)缓存源 IP 地址,并记录其对应的识别失败计数为1,记录该源 IP 地址 缓存超时时间为T;
3)判断该源 IP 地址的缓存超时时间T是否已超时,若超时则进行步骤4),否则进行步骤5);
4)设置该源 IP 地址的缓存记录中的识别失败次数为1,并重置该记录缓存超时时间为T;
5)更新源IP地址缓存记录的识别失败计数加1;
6)判断该 源IP 地址缓存记录的识别失败次数是否超过配置的阈值,若超过则进行步骤7),否则关闭该连接,结束本次识别处理;
7)关闭该连接,删除该源IP地址的缓存记录,并将该源IP地址加入系统黑名单,阻止其连接请求;
步骤6:若编辑距离d <阈值D,进行如下操作加强特征:
a)判断是否需要动态更新特征字节串,若是则进行步骤b),否则结束本次处理;
b)将提取的前M个字节与特征字节串中的字节一一对应,得到M对数据(Mi,Si),i=1,2,3…M;
c)遍历M对数据,计算每对数据的均值(Mi + Si)/2;
d)将特征字节串的内容更新为步骤c)得到的均值序列,即:S1’=(S1 + M1)/2,S2’=(S2 + M2)/2,…,SM’=(SM + MM)/2,其中:S1,S2,…,SM依次代表特征字节串的第一个字节,第二个字节,…,第M个字节。
与现有技术相比,本发明的有益效果是:当攻击者恶意连接服务器后,发送随机数据(垃圾数据),此时使用传统的识别防御方法,需要判断攻击者的IP发起的连接数量,并需要在一段时间内对恶意连接放行,以等待其达到阈值。使用本发明后,在恶意连接到达服务器时,直接分析其发送的数据内容,因其为随机数据,必然与特征字节串不匹配,从而立即识别出恶意连接,而不是放行,当同一个恶意攻击者(IP)的连接次数达到阈值后,直接封锁该攻击者(IP),在整个过程中,服务器上层业务不会收到任何随机数据(垃圾数据),因而不会受到任何影响。
通过比对报文内容,本发明方法能够精准地识别攻击,降低误报率、漏报率,同时因其直接参与连接的过程,可以攻击较早的阶段即可识别阻断,无需等待连接结束后进行分析,极大地提高了识别的效率。
具体实施方式
下面通过具体实施方式对本发明技术方案做详细的说明。
1、设定初始的特征字节串S以及特征字节串长度为M,设定编辑距离的阈值为D(M≥ D ≥1);
2、新连接到来时,接收前M个字节的数据,存放到缓冲区B中;
3、计算特征字节串与缓冲区B中存放的内容的编辑距离d;
4、比较 d 与 D 的值;
5、若 d ≥ D,进行如下操作:
1)查找当前连接的源 IP 地址是否被缓存,若未被缓存则进行步骤2),否则进行步骤3);
2)缓存源 IP 地址,并记录其对应的识别失败计数为1,记录该源 IP 地址缓存超时时间为T(T可配置);
3)判断该 源IP 地址的缓存超时时间T是否已超时,若超时则进行步骤4),否则进行步骤5);
4)设置该源 IP 地址的缓存记录中的识别失败次数为1,并重置该缓存超时时间为T;
5)更新源IP地址缓存记录的识别失败计数加1;
6)判断该源 IP 地址缓存记录的识别失败次数是否超过配置的阈值,若超过则进行步骤7),否则关闭该连接,结束本次识别处理;
7)关闭该连接,删除该源IP地址的缓存记录,并将该源IP地址加入系统黑名单,阻止其连接请求;
6、若编辑距离d <阈值D,进行如下操作加强特征:
a、判断是否需要动态更新特征字节串,若是则进行步骤b),否则结束本次处理;
b、将提取的前M个字节与特征字节串中的字节一一对应,得到M对数据(Mi,Si);
c、遍历M对数据,计算每对数据的均值(Mi + Si)/2;
d、将特征字节串的内容更新为步骤c得到的均值序列,即:S1’=(S1 + M1)/2,S2’=(S2 + M2)/2,…,SM’=(SM + MM)/2。
由编辑距离引申出的字符串相似度,可以用作二进制字节的相似度替换本发明中的编辑距离方法。
Claims (1)
1.一种基于编辑距离的TCP CC识别方法,其特征在于,包括以下步骤:
步骤1:设定初始的特征字节串S以及特征字节串长度为M,设定编辑距离的阈值为D,且M ≥ D ≥1;
步骤2:新连接到来时,接收前M个字节的数据,存放到缓冲区B中;
步骤3:计算特征字节串与缓冲区B中存放的内容的编辑距离d;
步骤4:比较编辑距离d与阈值D;
步骤5:若编辑距离d ≥阈值D,进行如下操作:
1)查找当前连接的源 IP 地址是否被缓存,若未被缓存则进行步骤2),否则进行步骤3);
2)缓存源 IP 地址,并记录其对应的识别失败计数为1,记录该源 IP 地址缓存超时时间为T;
3)判断该 源IP 地址的缓存超时时间T是否已超时,若超时则进行步骤4),否则进行步骤5);
4)设置该源 IP 地址的缓存记录中的识别失败次数为1,并重置该缓存超时时间为T;
5)更新源IP地址缓存记录的识别失败计数加1;
6)判断该源 IP 地址缓存记录的识别失败次数是否超过配置的阈值,若超过则进行步骤7),否则关闭该连接,结束本次识别处理;
7)关闭该连接,删除该源IP地址的缓存记录,并将该源IP地址加入系统黑名单,阻止其连接请求;
步骤6:若编辑距离d <阈值D,进行如下操作加强特征:
a)判断是否需要动态更新特征字节串,若是则进行步骤b),否则结束本次处理;
b)将提取的前M个字节与特征字节串中的字节一一对应,得到M对数据(Mi,Si),i=1,2,3…M;
c)遍历M对数据,计算每对数据的均值(Mi + Si)/2;
d)将特征字节串的内容更新为步骤c)得到的均值序列,即:S1’=(S1 + M1)/2,S2’=(S2 +M2)/2,…,SM’=(SM + MM)/2,其中:S1,S2,…,SM依次代表特征字节串的第一个字节,第二个字节,…,第M个字节。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710792548.8A CN107547547B (zh) | 2017-09-05 | 2017-09-05 | 一种基于编辑距离的tcp cc识别方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710792548.8A CN107547547B (zh) | 2017-09-05 | 2017-09-05 | 一种基于编辑距离的tcp cc识别方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107547547A CN107547547A (zh) | 2018-01-05 |
CN107547547B true CN107547547B (zh) | 2020-06-02 |
Family
ID=60959390
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710792548.8A Active CN107547547B (zh) | 2017-09-05 | 2017-09-05 | 一种基于编辑距离的tcp cc识别方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107547547B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103473507A (zh) * | 2013-09-25 | 2013-12-25 | 西安交通大学 | 一种基于方法调用图的Android恶意软件检测方法 |
CN106909841A (zh) * | 2015-12-22 | 2017-06-30 | 北京奇虎科技有限公司 | 一种判断病毒代码的方法及装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8643475B1 (en) * | 2009-04-13 | 2014-02-04 | University Of Washington Through Its Center For Commercialization | Radio frequency identification secret handshakes |
CN103997489B (zh) * | 2014-05-09 | 2017-02-22 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别DDoS僵尸网络通信协议的方法及装置 |
-
2017
- 2017-09-05 CN CN201710792548.8A patent/CN107547547B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103473507A (zh) * | 2013-09-25 | 2013-12-25 | 西安交通大学 | 一种基于方法调用图的Android恶意软件检测方法 |
CN106909841A (zh) * | 2015-12-22 | 2017-06-30 | 北京奇虎科技有限公司 | 一种判断病毒代码的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN107547547A (zh) | 2018-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109951500B (zh) | 网络攻击检测方法及装置 | |
US8943586B2 (en) | Methods of detecting DNS flooding attack according to characteristics of type of attack traffic | |
US9807110B2 (en) | Method and system for detecting algorithm-generated domains | |
US8561188B1 (en) | Command and control channel detection with query string signature | |
CN101018121B (zh) | 日志的聚合处理方法及聚合处理装置 | |
Bagui et al. | Using machine learning techniques to identify rare cyber‐attacks on the UNSW‐NB15 dataset | |
US20150264083A1 (en) | Malicious relay detection on networks | |
CN105681250A (zh) | 一种僵尸网络分布式实时检测方法和系统 | |
US10440035B2 (en) | Identifying malicious communication channels in network traffic by generating data based on adaptive sampling | |
KR100684602B1 (ko) | 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법 | |
CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
US9350754B2 (en) | Mitigating a cyber-security attack by changing a network address of a system under attack | |
CN113556343B (zh) | 基于浏览器指纹识别的DDoS攻击防御方法及设备 | |
CN109756480B (zh) | 一种DDoS攻击防御方法、装置、电子设备及介质 | |
CN107046516B (zh) | 一种识别移动终端身份的风控控制方法及装置 | |
CN111131309A (zh) | 分布式拒绝服务检测方法、装置及模型创建方法、装置 | |
US20130308448A1 (en) | Packet capture deep packet inspection sensor | |
CN113765849B (zh) | 一种异常网络流量检测方法和装置 | |
CN107547547B (zh) | 一种基于编辑距离的tcp cc识别方法 | |
CN112788039A (zh) | 一种DDoS攻击识别方法、装置及存储介质 | |
CN114301696B (zh) | 恶意域名检测方法、装置、计算机设备及存储介质 | |
CN113726775B (zh) | 一种攻击检测方法、装置、设备及存储介质 | |
CN112261004B (zh) | 一种Domain Flux数据流的检测方法及装置 | |
CN113329035B (zh) | 一种攻击域名的检测方法、装置、电子设备及存储介质 | |
US10320784B1 (en) | Methods for utilizing fingerprinting to manage network security and devices thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP02 | Change in the address of a patent holder | ||
CP02 | Change in the address of a patent holder |
Address after: 9/F, Building C, No. 28, North Tianfu Avenue, China (Sichuan) Pilot Free Trade Zone, Hi tech Zone, Chengdu, 610000, Sichuan Patentee after: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. Address before: 610000, 11th floor, building 2, No. 219, Tianfu Third Street, hi tech Zone, Chengdu, Sichuan Province Patentee before: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. |