CN111654499A - 一种基于协议栈的暴破攻击识别方法和装置 - Google Patents

一种基于协议栈的暴破攻击识别方法和装置 Download PDF

Info

Publication number
CN111654499A
CN111654499A CN202010495022.5A CN202010495022A CN111654499A CN 111654499 A CN111654499 A CN 111654499A CN 202010495022 A CN202010495022 A CN 202010495022A CN 111654499 A CN111654499 A CN 111654499A
Authority
CN
China
Prior art keywords
session
timestamp
data packet
queue
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010495022.5A
Other languages
English (en)
Other versions
CN111654499B (zh
Inventor
吕帅亿
王佰玲
黄俊恒
刘扬
辛国栋
王孝鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Weihai Tianzhiwei Network Space Safety Technology Co ltd
Harbin Institute of Technology Weihai
Original Assignee
Weihai Tianzhiwei Network Space Safety Technology Co ltd
Harbin Institute of Technology Weihai
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Weihai Tianzhiwei Network Space Safety Technology Co ltd, Harbin Institute of Technology Weihai filed Critical Weihai Tianzhiwei Network Space Safety Technology Co ltd
Priority to CN202010495022.5A priority Critical patent/CN111654499B/zh
Publication of CN111654499A publication Critical patent/CN111654499A/zh
Application granted granted Critical
Publication of CN111654499B publication Critical patent/CN111654499B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/26Special purpose or proprietary protocols or architectures

Abstract

本发明涉及一种基于协议栈的暴破攻击识别方法和装置,识别方法,包括:获取发送来的数据包中会话信息和时间戳;更新会话时间戳map,新数据包时间戳入队;根据该会话队列信息识别暴破;二次更新会话时间戳map,最旧数据包时间戳出队;更新系统日志。本发明有效地为工控生产企业进行实时流量监测,防护机制灵活。本发明实现了暴破攻击指标的自定义功能,用户只需修改配置文件中的协议列表、时间间隔和最高建流次数即可定义暴破攻击的满足条件。此外,还可以根据不同的环境和需求设置工作模式,实现高精度和高性能识别模式的相互转换。

Description

一种基于协议栈的暴破攻击识别方法和装置
技术领域
本发明涉及一种基于协议栈的暴破攻击识别方法和装置,属于计算机网络技术领域。
背景技术
现代计算机网络的快速发展,让人们的生活变得更加便利。然而,网络中存在的诸多不确定因素给人们的信息安全带来了不少隐患。企业和个人存储于计算机中的信息容易受到不法分子的暴力破解攻击。工控互联网亦是如此。这种暴力破解攻击旨在破解用户密码,窃取关键信息,给企业带来了承担损失的风险。因此,对暴力破解攻击进行识别显得十分重要。
在爆破攻击识别方面也有诸多专利报道,例如:中国专利文件CN110166476A公开了一种反暴力破解方法及装置,通过监测认证日志记录,在发现异常认证信息时,获取报警处理记录、申诉记录和暴力破解攻击信息,计算异常认证信息对应的行为属于暴力破解攻击的概率,在所述概率大于阈值时,阻断攻击,向相应用户发送报警信息,并记录报警信息。中国专利文件CN109981647A公开了用于检测暴力破解的方法和装置。该方法的一具体实施方式包括:接收目标IP地址的登录信息,其中,登录信息包括多个连续的登录失败时间;根据该多个连续的登录失败时间确定登录失败次数和登录失败时长;基于该登录失败次数、登录失败时长和预先设定的非线性函数,确定该登录信息对应的登录行为是否是暴力破解登录行为;响应于确定该登录信息对应的登录行为是暴力破解登录行为,推送提示信息,其中,该提示信息用于表征该目标IP地址存在暴力破解登录行为。中国专利文件CN109936545A公开了暴力破解攻击的检测方法和相关装置。该检测方法包括:获取客户端与服务器之间待检测的镜像流量;根据待检测的镜像流量获取第一会话信息序列,第一会话信息序列包括多个会话信息,多个会话信息与多次登录会话一一对应,多个会话信息在第一会话信息序列中的排列顺序与多次登录会话发生的时间先后顺序一致;将第一会话信息序列作为第一马尔科夫链,获取第一马尔科夫链的状态链概率值,第一会话信息序列中的每一个会话信息作为第一马尔科夫链中的一个状态;根据第一马尔科夫链的状态链概率值和第一基准概率值,确定多次登录会话是否为暴力破解攻击。中国专利文件CN109743325A公开了一种暴力破解攻击检测方法、系统、设备及存储介质,所述方法包括:建立多段式暴力破解攻击行为模型;基于多段式暴力破解攻击行为模型从加密协议下暴力破解攻击的完整攻击过程出发,将攻击过程细分为三个阶段:攻击启动阶段、攻击进行阶段、攻击结束阶段;每个阶段根据暴力破解攻击针对的不同加密协议,从协议原理、攻击行为、流量特点方面多角度刻画攻击不同阶段的数据指征,同时区分攻击成功和攻击失败两种不同情况下的行为事件;及依据事件与攻击结果关系确定暴力破解攻击是否成功。
不同的工业网络对带宽的需求不尽相同,不同的会话可能会有不同的正常流量标准,进而也会有不同的暴破攻击指标。传统的暴破检测器多缺少对相关关键指标的设定,灵活性不高。相对于上述现有技术,本发明可以接收智能学习到的或人工配置的暴破攻击阀值参数,并根据用户预先配置的待监测工控协议列表对网络流量进行分析,灵活性相对较高。系统利用协议栈技术和时间戳队列,性能高效。本发明旨在解决不同工控网络环境下的暴破攻击侦测问题,可针对多种协议的会话实施监测。
发明内容
针对现有技术的不足,本发明提供一种基于协议栈的暴破攻击识别方法和装置,尤其是适用于工业互联网的暴破攻击识别方法和装置。基于多种linux平台,针对工控协议进行暴破识别。可由用户自主定义需要识别的工控协议,以及建流频次门限。识别装置将解析协议、识别攻击并记录系统日志。
本发明的技术方案如下:
一种基于协议栈的暴破攻击识别方法,包括:
获取发送来的数据包中会话信息和时间戳;
更新会话时间戳map,新数据包时间戳入队;
根据该会话队列信息识别暴破;
再次更新会话时间戳map,最旧数据包时间戳出队;
更新系统日志。
根据本发明,优选的,所述的基于协议栈的暴破攻击识别方法,在获取数据包中会话信息和时间戳之前,还包括:读取用户配置,设定时间、频次、待监测的工控协议、会话时间戳map更新模式的步骤。
根据本发明,优选的,获取发送来的数据包中会话信息和时间戳的步骤为:
接收发送来的数据包并对其进行TCP协议解析,获取该数据包的源端口、目的ip和目的端口三个字段,形成一个三元素元组,并将该元组作为一个会话的标识;
针对每一个会话,维护一个时间戳队列,用于记录该会话数据包到达的时间;
进一步优选的,在获取会话信息时,通过目的端口判断数据包协议类型,并与用户配置的协议信息相匹配;如果该协议不在用户配置的协议列表中,即放弃此数据包;反之,进行接下来的步骤。
根据本发明,优选的,更新会话时间戳map的过程为:维护一套map数据结构,将代表一个会话的三元素元组作为键,其对应的时间戳队列作为值;每得到一个数据包,所述map进行更新;
进一步优选的,将获取的会话信息与会话时间戳map中的各个键相比对,若map中已存在该会话的信息,则使用已有的队列进行接下来的操作;反之,则为该会话创建新队列,加入到map中。
根据本发明,优选的,根据该会话队列信息识别暴破的过程为:
以最早入队的数据包时间戳为基准,如果其后到达的数据包数量达到了用户设定的上限值,并且作为基准的数据包在队列中存活的时间未超过用户设定的时间范围,则判定为暴破识别攻击;反之,如果其后的数据包数量未达到上限,且基准数据包存活时间超过了时间范围,则将当前基准包出队,将其后的数据包作为新的基准包。
根据本发明,优选的,根据队列中元素个数,以及队列首位时间戳的值和末位时间戳的差值,判断是否满足暴破攻击条件,并再次更新队列,删除超时的时间戳,如果已判别为暴破攻击,则清空队列,周而复始。
根据本发明,优选的,会话时间戳map更新模式分为高精度(A)和高性能(B)两类;
当设置为高精度(A)时,若当前的基准数据包时间达到了用户设定的范围,则从当前的基准数据包起,依次对其后的每一个数据包判断当以此包作为基准时,是否会满足暴破攻击条件;
当设置为高性能(B)时,则清空整个时间戳队列,以最新到达的数据包作为新的基准包,重新开始识别过程。
高精度(A)模式算法相对复杂,但精度较高;高性能(B)则性能相对高效,但精度相对低。对于一些功能较多的复杂的协议栈装置,高性能(B)是至关重要的指标之一。一般的协议栈系统包括协议解析功能,以协议栈为基础的工控探针往往还具备规则匹配、流量转发等功能。因而,在实际情况允许的条件下,可以舍弃部分精度,来实现高效能。用户可以自主配置队列工作模式,根据实际需求选择高性能(B)或高精度(A)模式。
根据本发明,还提供一种基于协议栈的暴破攻击识别装置,包括:
用户配置初始化模块,用于读取用户配置,设定时间、频次、待监测的工控协议、会话时间戳map更新模式;
协议解析初始化模块,用于创建实时抓包环境、协议栈初始化、暴破攻击检测模块加载和初始化;
会话信息获取模块,用于获取发送来的数据包中会话信息和时间戳;
会话时间戳队列更新模块,用于更新会话时间戳map;
暴破识别模块,用于根据会话队列信息识别暴破;
日志记录和时间戳队列二次更新模块,用于更新会话时间戳map、更新系统日志。
根据本发明,优选的,所述的用户配置初始化模块为X86_64处理器、CPU:1GHz以上、内存:1G以上。
根据本发明,优选的,所述的协议解析初始化模块为X86_64处理器、CPU:1GHz以上、内存:1G以上、以及有网环境。
根据本发明,优选的,所述的会话信息获取模块为X86_64处理器、CPU:1GHz以上、内存:1G以上、硬盘:20G以上、以及有网环境。
根据本发明,优选的,所述的会话时间戳队列更新模块,为X86_64处理器、CPU:1GHz以上、内存:1G以上、硬盘:20G以上。
根据本发明,优选的,所述的暴破识别模块为X86_64处理器、CPU:1GHz以上、内存:1G以上、硬盘:20G以上。
根据本发明,优选的,所述的日志记录和时间戳队列二次更新模块,为X86_64处理器、CPU:1GHz以上、内存:1G以上。
根据本发明,还提供一种服务器,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,处理器实施上述的暴破攻击识别方法。
根据本发明,还提供一种计算机可读介质,其上存储有计算机程序。其中,该程序被处理器执行时实现上述的暴破攻击识别方法。
本发明的暴破攻击识别原理
本发明的暴破攻击识别是通过时间戳队列和会话时间戳map实现的。针对每一个发送来的数据包,首先对其进行TCP协议解析,获取该包的源端口、目的ip和目的端口三个字段,形成一个三元素元组,并将该元组作为某一个会话的标识。针对每一个会话,本发明维护一个时间戳队列,用于记录该会话数据包到达的时间,以最早入队的数据包时间戳为基准,如果其后到达的数据包数量达到了用户设定的上限值,并且作为基准的数据包在队列中存活的时间未超过用户设定的时间范围,则判定为暴破识别攻击。反之,如果其后的数据包数量未达到上限,且基准数据包存活时间超过了时间范围,则将当前基准包出队,将其后的数据包作为新的基准包。
本发明可针对任意协议进行攻击识别,包括工控协议与非工控协议。该方法执行过程中,维护一套map数据结构,将代表一个会话的三元素元组作为键,其对应的时间戳队列作为值。每得到一个数据包,这个map都会有所更新。针对每一个工控协议数据包,系统都会对其进行协议解析,获得目的ip、源端口和目的端口,组成会话三元素元组,并判断该元组是否已存在于会话时间戳map中。倘若存在,则将此数据包的时间戳入相应的队,即此会话键对应的时间戳队列值,然后进行上述的判断处理。
根据用户实际需求,本发明可以设置队列更新模式,模式可按照精度分为高精度(A)和高性能(B)两类。设置为高精度(A)时,若当前的基准数据包时间达到了用户设定的范围,则从当前的基准数据包起,依次对其后的每一个数据包判断当以此包作为基准时是否会满足暴破攻击条件。若设置为高性能(B),则会清空整个队列,以最新到达的数据包作为新的基准包,重新开始识别过程。高精度模式算法相对复杂,但精度较高;中精度则性能相对高效,但精度相对低。对于一些功能较多的复杂的协议栈装置,高性能是至关重要的指标之一。一般的协议栈系统包括协议解析功能,以协议栈为基础的工控探针往往还具备规则匹配、流量转发等功能。因而,在实际情况允许的条件下,可以舍弃部分精度,来实现高效能。
本发明未详尽说明的,均按本领域现有技术。
本发明的有益效果如下:
1、有效地为工控生产企业进行实时流量监测,防护机制灵活。本发明对工业互联网数据流量包进行协议解析,会话注册,并使用时间戳队列实现系统暴破攻击的识别。从而实现了一种适用于工业互联网的暴破攻击识别方法和装置,极大程度的使工业生产企业的工控互联网免于信息泄露的威胁以及有害流量的侵袭,增强了工控协议流量包传输的有效性,进而也提升了系统运行效率。此外,系统关键信息可由用户自由配置,因而具有较强的灵活性,可适用于众多不同的物理环境和需求。
2、适用范围广泛。本发明提出的适用于工业互联网的暴破攻击识别方法和装置,可以按系统所处的实际物理环境自行定义流量属性和所需检测的工业协议种类,设计方案,适用范围包括网络服务提供商,网络安全科研人员实验与研究、网络靶场,生产企业的工业互联网防护,应用于任何时间、任何地点的暴破识别软件和装置,应用前景十分广泛。
3、本发明实现了暴破攻击指标的自定义功能,用户只需修改配置文件中的协议列表、时间间隔和最高建流次数即可定义暴破攻击的满足条件。此外,本发明可以根据不同的环境和需求设置工作模式,实现高精度和高性能识别模式的相互转换。
4、本发明可针对工控协议的暴破攻击检测,因而除了暴破识别的功能,又增加了工控协议的解析,包括modbus、s7等,并仅针对工控协议进行识别检测,对通过的流量进行解析和记录,适用于工业互联网的安全防护。
附图说明
图1为本发明会话时间戳map示意图。
图2为本发明会话时间戳map初次更新示意图。
图3为本发明高精度模式流程图。
图4为本发明高性能模式流程图。
图5为本发明基于协议栈的暴破攻击识别方法的流程图。
图6为本发明基于协议栈的暴破攻击识别装置的示意图。
具体实施方式
下面通过具体实施例并结合附图对本发明做进一步说明,但不限于此。
实施例1
如图1-5所示,一种基于协议栈的暴破攻击识别方法,包括:
读取用户配置,设定时间、频次、待监测的工控协议、会话时间戳map更新模式,进行会话时间戳map初始化;
获取发送来的数据包中会话信息和时间戳;接收发送来的数据包并对其进行TCP协议解析,获取该数据包的源端口、目的ip和目的端口三个字段,形成一个三元素元组,并将该元组作为一个会话的标识;针对每一个会话,维护一个时间戳队列,用于记录该会话数据包到达的时间;
优选的,在获取会话信息时,通过目的端口判断数据包协议类型,并与用户配置的协议信息相匹配;如果该协议不在用户配置的协议列表中,即放弃此数据包;反之,进行接下来的步骤;
更新会话时间戳map,新数据包时间戳入队;维护一套map数据结构,将代表一个会话的三元素元组作为键,其对应的时间戳队列作为值;每得到一个数据包,所述map进行更新;将获取的会话信息与会话时间戳map中的各个键相比对,若map中已存在该会话的信息,则使用已有的队列进行接下来的操作;反之,则为该会话创建新队列,加入到map中。
根据该会话队列信息识别暴破;以最早入队的数据包时间戳为基准,如果其后到达的数据包数量达到了用户设定的上限值,并且作为基准的数据包在队列中存活的时间未超过用户设定的时间范围,则判定为暴破识别攻击;反之,如果其后的数据包数量未达到上限,且基准数据包存活时间超过了时间范围,则将当前基准包出队,将其后的数据包作为新的基准包。
根据队列中元素个数,以及队列首位时间戳的值和末位时间戳的差值,判断是否满足暴破攻击条件,并再次更新队列,删除超时的时间戳,如果已判别为暴破攻击,则清空队列,周而复始。
再次更新会话时间戳map,最旧数据包时间戳出队;
更新系统日志。
会话时间戳map更新模式可设置为高精度(A)和高性能(B)两种模式;
当设置为高精度(A)时,若当前的基准数据包时间达到了用户设定的范围,则从当前的基准数据包起,依次对其后的每一个数据包判断当以此包作为基准时,是否会满足暴破攻击条件;
当设置为高性能(B)时,则清空整个时间戳队列,以最新到达的数据包作为新的基准包,重新开始识别过程。
实施例2
如图6所示,一种基于协议栈的暴破攻击识别装置,包括:
用户配置初始化模块1,用于读取用户配置,设定时间、频次、待监测的工控协议、会话时间戳map更新模式;
用户配置初始化模块1可为X86_64服务器、CPU:1GHz以上、内存:1G以上;
协议解析初始化模块2,用于创建实时抓包环境、协议栈初始化、暴破攻击检测模块加载和初始化;
协议解析初始化模块2可为X86_64服务器、CPU:1GHz以上、内存:1G以上、硬盘:20G以上、并配置有网环境;
会话信息获取模块3,用于获取发送来的数据包中会话信息和时间戳;
会话信息获取模块3可为X86_64服务器、CPU:1GHz以上、内存:1G以上、硬盘:20G以上、并配置有网环境;
会话时间戳队列更新模块4,用于更新会话时间戳map;
会话时间戳队列更新模块4可为X86_64服务器、CPU:1GHz以上、内存:1G以上、硬盘:20G以上;
爆破识别模块5,用于根据会话队列信息识别暴破;
爆破识别模块5可为X86_64服务器、CPU:1GHz以上、内存:1G以上;
日志记录和时间戳队列更新模块6,用于更新会话时间戳map、更新系统日志。
日志记录和时间戳队列更新模块6可为X86_64服务器、CPU:1GHz以上、内存:1G以上;
使用本实施例基于协议栈的暴破攻击识别装置进行爆破攻击识别的步骤如下:
用户配置初始化模块1读取用户配置,设定时间、频次、待监测的工控协议、会话时间戳map更新模式;
会话时间戳map更新模式可设置为高精度(A)和高性能(B)两种模式;
当设置为高精度(A)时,若当前的基准数据包时间达到了用户设定的范围,则从当前的基准数据包起,依次对其后的每一个数据包判断当以此包作为基准时,是否会满足暴破攻击条件;
当设置为高性能(B)时,则清空整个时间戳队列,以最新到达的数据包作为新的基准包,重新开始识别过程。
协议解析初始化模块2创建实时抓包环境,并完成协议栈的初始化,以及暴破攻击检测模块加载和初始化;
会话信息获取模块3获取发送来的数据包中会话信息和时间戳;
接收发送来的数据包并对其进行TCP协议解析,获取该数据包的源端口、目的ip和目的端口三个字段,形成一个三元素元组,并将该元组作为一个会话的标识;针对每一个会话,维护一个时间戳队列,用于记录该会话数据包到达的时间;
在获取会话信息时,通过目的端口判断数据包协议类型,并与用户配置的协议信息相匹配;如果该协议不在用户配置的协议列表中,即放弃此数据包;反之,进行接下来的步骤;
会话时间戳队列更新模块4,用于更新会话时间戳map;
维护一套map数据结构,将代表一个会话的三元素元组作为键,其对应的时间戳队列作为值;每得到一个数据包,所述map进行更新;将获取的会话信息与会话时间戳map中的各个键相比对,若map中已存在该会话的信息,则使用已有的队列进行接下来的操作;反之,则为该会话创建新队列,加入到map中。此map存储在该模块的内存中,因其数据量较大,因而对硬件设备内存要求相对高一些。
暴破识别模块5根据会话队列信息识别暴破;
以最早入队的数据包时间戳为基准,如果其后到达的数据包数量达到了用户设定的上限值,并且作为基准的数据包在队列中存活的时间未超过用户设定的时间范围,则判定为暴破识别攻击;反之,如果其后的数据包数量未达到上限,且基准数据包存活时间超过了时间范围,则将当前基准包出队,将其后的数据包作为新的基准包。
根据队列中元素个数,以及队列首位时间戳的值和末位时间戳的差值,判断是否满足暴破攻击条件,并再次更新队列,删除超时的时间戳,如果已判别为暴破攻击,则清空队列,周而复始。此流程需处理的队列数据量根据用户的设定有所差别,因而为保证用户配置对系统要求较高时本模块亦能高效运转,装置需要较强的CPU处理速率。
日志记录和时间戳队列更新模块6更新会话时间戳map、更新系统日志、并将日志发送存储到与本模块相连接的统一管理和分析设备。

Claims (10)

1.一种基于协议栈的暴破攻击识别方法,包括:
获取发送来的数据包会话信息和时间戳;
更新会话时间戳map,新数据包时间戳入队;
根据该会话队列信息识别暴破;
二次更新会话时间戳map,最旧数据包时间戳出队;
更新系统日志。
2.根据权利要求1所述的基于协议栈的暴破攻击识别方法,其特征在于,在获取数据包中会话信息和时间戳之前,还包括:读取用户配置,设定时间、频次、待监测的工控协议、会话时间戳map更新模式的步骤。
3.根据权利要求1所述的基于协议栈的暴破攻击识别方法,其特征在于,获取发送来的数据包中会话信息和时间戳的步骤为:
接收发送来的数据包并对其进行TCP协议解析,获取该数据包的源端口、目的ip和目的端口三个字段,形成一个三元素元组,并将该元组作为一个会话的标识;
针对每一个会话,维护一个时间戳队列,用于记录该会话数据包到达的时间;
优选的,在获取会话信息时,通过目的端口判断数据包协议类型,并与用户配置的协议信息相匹配;如果该协议不在用户配置的协议列表中,即放弃此数据包;反之,进行接下来的步骤。
4.根据权利要求1所述的基于协议栈的暴破攻击识别方法,其特征在于,更新会话时间戳map的过程为:维护一套map数据结构,将代表一个会话的三元素元组作为键,其对应的时间戳队列作为值;每得到一个数据包,所述map进行更新;
优选的,将获取的会话信息与会话时间戳map中的各个键相比对,若map中已存在该会话的信息,则使用已有的队列进行接下来的操作;反之,则为该会话创建新队列,加入到map中。
5.根据权利要求1所述的基于协议栈的暴破攻击识别方法,其特征在于,根据该会话队列信息识别暴破的过程为:
以最早入队的数据包时间戳为基准,如果其后到达的数据包数量达到了用户设定的上限值,并且作为基准的数据包在队列中存活的时间未超过用户设定的时间范围,则判定为暴破识别攻击;反之,如果其后的数据包数量未达到上限,且基准数据包存活时间超过了时间范围,则将当前基准包出队,将其后的数据包作为新的基准包;
优选的,根据队列中元素个数,以及队列首位时间戳的值和末位时间戳的差值,判断是否满足暴破攻击条件,并再次更新队列,删除超时的时间戳,如果已判别为暴破攻击,则清空队列,周而复始。
6.根据权利要求1所述的基于协议栈的暴破攻击识别方法,其特征在于,会话时间戳map更新模式分为高精度(A)和高性能(B)两类;
当设置为高精度(A)时,若当前的基准数据包时间达到了用户设定的范围,则从当前的基准数据包起,依次对其后的每一个数据包判断当以此包作为基准时,是否会满足暴破攻击条件;
当设置为高性能(B)时,则清空整个时间戳队列,以最新到达的数据包作为新的基准包,重新开始识别过程。
7.一种基于协议栈的暴破攻击识别装置,包括:
用户配置初始化模块,用于读取用户配置,设定时间、频次、待监测的工控协议、会话时间戳map更新模式;
协议解析初始化模块,用于创建实时抓包环境、协议栈初始化、暴破攻击检测模块加载和初始化;
会话信息获取模块,用于获取发送来的数据包中会话信息和时间戳;
会话时间戳队列更新模块,用于更新会话时间戳map;
爆破识别模块,用于根据会话队列信息识别暴破;
日志记录和时间戳队列二次更新模块,用于更新会话时间戳map、更新系统日志。
8.根据权利要求7所述的基于协议栈的暴破攻击识别装置,其特征在于,所述的用户配置初始化模块为X86_64处理器、CPU:1GHz以上、内存:1G以上;
所述的协议解析初始化模块为X86_64处理器、CPU:1GHz以上、内存:1G以上、以及有网环境;
所述的会话信息获取模块为X86_64处理器、CPU:1GHz以上、内存:1G以上、硬盘:20G以上、以及有网环境;
所述的会话时间戳队列更新模块,为X86_64处理器、CPU:1GHz以上、内存:1G以上、硬盘:20G以上;
所述的爆破识别模块为X86_64处理器、CPU:1GHz以上、内存:1G以上、硬盘:20G以上;
所述的日志记录和时间戳队列更新模块,为X86_64处理器、CPU:1GHz以上、内存:1G以上。
9.一种服务器,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,处理器实现权利要求1-6任一项所述的暴破攻击识别方法。
10.一种计算机可读介质,其上存储有计算机程序,其中,该程序被处理器执行时实现权利要求1-6任一项所述的暴破攻击识别方法。
CN202010495022.5A 2020-06-03 2020-06-03 一种基于协议栈的暴破攻击识别方法和装置 Active CN111654499B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010495022.5A CN111654499B (zh) 2020-06-03 2020-06-03 一种基于协议栈的暴破攻击识别方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010495022.5A CN111654499B (zh) 2020-06-03 2020-06-03 一种基于协议栈的暴破攻击识别方法和装置

Publications (2)

Publication Number Publication Date
CN111654499A true CN111654499A (zh) 2020-09-11
CN111654499B CN111654499B (zh) 2022-06-17

Family

ID=72349643

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010495022.5A Active CN111654499B (zh) 2020-06-03 2020-06-03 一种基于协议栈的暴破攻击识别方法和装置

Country Status (1)

Country Link
CN (1) CN111654499B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112491867A (zh) * 2020-11-24 2021-03-12 北京航空航天大学 一种基于会话相似性分析的ssh中间人攻击检测系统
CN115051820A (zh) * 2022-03-01 2022-09-13 深圳开源互联网安全技术有限公司 一种多维度防暴力破解方法、装置、设备及可读存储介质

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110185419A1 (en) * 2010-01-26 2011-07-28 Bae Systems Information And Electronic Systems Integration Inc. Method and apparatus for detecting ssh login attacks
CN106161395A (zh) * 2015-04-20 2016-11-23 阿里巴巴集团控股有限公司 一种防止暴力破解的方法、装置及系统
CN106407096A (zh) * 2016-09-09 2017-02-15 深圳中兴网信科技有限公司 基于时间序列的日志分析方法和日志分析装置
US9736147B1 (en) * 2013-04-08 2017-08-15 Titanium Crypt, Inc. Artificial intelligence encryption model (AIEM) with device authorization and attack detection (DAAAD)
CN107800724A (zh) * 2017-12-08 2018-03-13 北京百度网讯科技有限公司 云主机防破解方法、系统及处理设备
CN108494735A (zh) * 2018-02-13 2018-09-04 北京明朝万达科技股份有限公司 一种非法破解登录分析告警方法及装置
CN109635564A (zh) * 2018-12-07 2019-04-16 深圳市联软科技股份有限公司 一种检测暴力破解行为的方法、装置、介质及设备
CN110995738A (zh) * 2019-12-13 2020-04-10 北京天融信网络安全技术有限公司 暴力破解行为识别方法、装置、电子设备及可读存储介质
CN111181911A (zh) * 2019-08-23 2020-05-19 腾讯科技(深圳)有限公司 一种口令爆破攻击的防护方法、服务器、设备及介质

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110185419A1 (en) * 2010-01-26 2011-07-28 Bae Systems Information And Electronic Systems Integration Inc. Method and apparatus for detecting ssh login attacks
US9736147B1 (en) * 2013-04-08 2017-08-15 Titanium Crypt, Inc. Artificial intelligence encryption model (AIEM) with device authorization and attack detection (DAAAD)
CN106161395A (zh) * 2015-04-20 2016-11-23 阿里巴巴集团控股有限公司 一种防止暴力破解的方法、装置及系统
CN106407096A (zh) * 2016-09-09 2017-02-15 深圳中兴网信科技有限公司 基于时间序列的日志分析方法和日志分析装置
CN107800724A (zh) * 2017-12-08 2018-03-13 北京百度网讯科技有限公司 云主机防破解方法、系统及处理设备
CN108494735A (zh) * 2018-02-13 2018-09-04 北京明朝万达科技股份有限公司 一种非法破解登录分析告警方法及装置
CN109635564A (zh) * 2018-12-07 2019-04-16 深圳市联软科技股份有限公司 一种检测暴力破解行为的方法、装置、介质及设备
CN111181911A (zh) * 2019-08-23 2020-05-19 腾讯科技(深圳)有限公司 一种口令爆破攻击的防护方法、服务器、设备及介质
CN110995738A (zh) * 2019-12-13 2020-04-10 北京天融信网络安全技术有限公司 暴力破解行为识别方法、装置、电子设备及可读存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
鲍旭华等: "基于入侵意图的复合攻击检测和预测算法", 《软件学报》, no. 12, 23 December 2005 (2005-12-23) *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112491867A (zh) * 2020-11-24 2021-03-12 北京航空航天大学 一种基于会话相似性分析的ssh中间人攻击检测系统
CN115051820A (zh) * 2022-03-01 2022-09-13 深圳开源互联网安全技术有限公司 一种多维度防暴力破解方法、装置、设备及可读存储介质
CN115051820B (zh) * 2022-03-01 2024-03-22 深圳开源互联网安全技术有限公司 一种多维度防暴力破解方法、装置、设备及可读存储介质

Also Published As

Publication number Publication date
CN111654499B (zh) 2022-06-17

Similar Documents

Publication Publication Date Title
US9848004B2 (en) Methods and systems for internet protocol (IP) packet header collection and storage
US9979742B2 (en) Identifying anomalous messages
US7903566B2 (en) Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data
US9130982B2 (en) System and method for real-time reporting of anomalous internet protocol attacks
US8726382B2 (en) Methods and systems for automated detection and tracking of network attacks
EP3195124B1 (en) Malicious relay detection on networks
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
US7995496B2 (en) Methods and systems for internet protocol (IP) traffic conversation detection and storage
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
EP2661049B1 (en) System and method for malware detection
US8762515B2 (en) Methods and systems for collection, tracking, and display of near real time multicast data
US7672283B1 (en) Detecting unauthorized wireless devices in a network
US20140165207A1 (en) Method for detecting anomaly action within a computer network
US20140189867A1 (en) DDoS ATTACK PROCESSING APPARATUS AND METHOD IN OPENFLOW SWITCH
CN110417717B (zh) 登录行为的识别方法及装置
KR20130014226A (ko) 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법
US20130333034A1 (en) Method and Apparatus for Automatic Identification of Affected Network Resources After a Computer Intrusion
CN111654499B (zh) 一种基于协议栈的暴破攻击识别方法和装置
EP3223495A1 (en) Detecting an anomalous activity within a computer network
CN113364799B (zh) 一种网络威胁行为的处理方法和系统
Zali et al. Real-time attack scenario detection via intrusion detection alert correlation
KR100950079B1 (ko) 은닉마코프 모델을 이용한 확률적인 네트워크 이상징후탐지 장치 및 그 방법
CN108712365B (zh) 一种基于流量日志的DDoS攻击事件检测方法及系统
KR101078851B1 (ko) 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템과 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법
JP2010250607A (ja) 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant