CN113382003B - 一种基于两级过滤器的rtsp混合入侵检测方法 - Google Patents

一种基于两级过滤器的rtsp混合入侵检测方法 Download PDF

Info

Publication number
CN113382003B
CN113382003B CN202110648724.7A CN202110648724A CN113382003B CN 113382003 B CN113382003 B CN 113382003B CN 202110648724 A CN202110648724 A CN 202110648724A CN 113382003 B CN113382003 B CN 113382003B
Authority
CN
China
Prior art keywords
rtsp
intrusion detection
messages
data packet
stage filter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110648724.7A
Other languages
English (en)
Other versions
CN113382003A (zh
Inventor
黄杰
汪周红
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Southeast University
Original Assignee
Southeast University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southeast University filed Critical Southeast University
Priority to CN202110648724.7A priority Critical patent/CN113382003B/zh
Publication of CN113382003A publication Critical patent/CN113382003A/zh
Application granted granted Critical
Publication of CN113382003B publication Critical patent/CN113382003B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/03Protocol definition or specification 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/26Special purpose or proprietary protocols or architectures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于两级过滤器的RTSP混合入侵检测方法,所述方法包括:获取网络流量数据;识别RTSP协议,并对RTSP数据包进行预处理,获取RTSP数据包;根据RTSP语法分析器,采用基于规范的入侵检测技术,在单个RTSP数据包的级别上,进行恶意消息的检测;根据RTSP交互消息序列特征和基于SVDD的单分类模型,采用基于异常的入侵检测技术,对RTSP交互行为进行异常检测;根据所述RTSP语法分析器的检测结果和所述RTSP异常交互行为的检测结果,更新黑名单。本发明的方法不仅能检测已知的攻击,还能检测未知的攻击,提高了RTSP入侵检测的准确性。

Description

一种基于两级过滤器的RTSP混合入侵检测方法
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于两级过滤器的RTSP混合入侵检测方法。
背景技术
随着“智慧城市”、“感知中国”等口号的响起,万物互联的概念正深入人心,物联网在智慧城市领域的应用得到了大力推广,我国智慧城市发展建设也已经进入纵深阶段。数据显示,早在2016年,我国就已经有将近600个智慧城市相关试点,而城市监控是智慧城市、平安城市建设非常重要的组成部分,视频监控设备作为应用到物联网的产品之一,也得到了大规模的发展。但是由于监控设备需要通过网络进行管理,通常直接暴露在互联网上,并且缺乏完善的安全防护措施,使得视频监控网络已经成为黑客的攻击对象,这让大家对视频监控设备的广泛部署、视频监控系统的安全性提出了质疑。
RTSP作为标准的流媒体传输协议,几乎是视频监控网络设备的标准配置,在网络摄像头和录像机等视频监控设备中得到了广泛应用。有研究者对不安全的RTSP端口进行扫描后发现有超过460万台设备向Internet暴露了RTSP服务,并且近几年有关RTSP协议的漏洞也不断被爆出,基于RTSP发起的网络攻击对视频监控网络的安全构成了毁灭性的打击。
RTSP协议是一种基于文本编码的应用层协议,协议本身并不复杂,但是协议的可扩展性和特殊的应用场景,使得基于RTSP的服务对恶意攻击非常敏感,一些畸形的RTSP数据包、恶意的RTSP命令以及异常的RTSP交互行为都可能造成视频监控设备通信异常甚至设备故障、网络瘫痪。其中畸形的消息指的是格式错误的、消息长度异常的、使用异常字符等违反RTSP语法定义的消息,恶意的RTSP命名指的是带有TEARDOWN、REDIRECT命令的RTSP消息,异常交互行为指的是不符合RTSP状态机的交互行为,包括但不限于RTSP凭据嗅探攻击、RTSP消息泛洪攻击等。
现有技术中,入侵检测是一种重要的安全防御手段,然而在现有的入侵检测方法中,针对基于文本编码的RTSP协议的攻击检测,大多采用基于特征的入侵检测方法,但是这种仅根据攻击特征的检测方法很难检测到未知的攻击,并且畸形数据包的内容通常是千变万化的,攻击特征对应规则库的维护和更新将很难进行。另一方面,针对RTSP异常交互行为的检测,现阶段主要采用基于RTSP状态机的检测方法,但是该方法不能很好的检测到RTSP全连接攻击。基于以上问题,本发明提出了一种基于两级过滤器的混合入侵检测方法,RTSP恶意消息攻击问题和RTSP异常交互行为攻击问题,分别采用基于规范的入侵检测技术和基于SVDD半监督分类算法的异常检测技术来实现入侵检测。
发明内容
针对现有技术中的缺陷,本发明提供了一种基于两级过滤器的RTSP入侵检测方法。其中第一级过滤器采用基于规范的入侵检测技术,实现RTSP恶意消息的检测,第二级过滤器采用基于半监督学习算法SVDD的异常入侵检测技术,实现RTSP异常交互行为检测。
为实现上述目的,本发明提供如下技术方案:
一种基于两级过滤器的RTSP混合入侵检测方法,包括以下步骤:
(1)获取网络流量数据;
(2)通过对所述流量数据进行RTSP协议识别,获取RTSP网络数据流,并对RTSP数据包进行预处理,预处理具体包括:数据包解码、数据包重组以及获取完整的RTSP数据包;
(3)第一级过滤器:根据所述RTSP语法分析器,采用基于规范的入侵检测技术,在单个数据包的级别上,对RTSP数据包进行畸形消息和恶意操作命令的检测,获取恶意RTSP消息中的IP地址,并输出符合RTSP协议规范格式的RTSP数据包;其中,所述RTSP语法分析器是根据预设的RTSP安全语法规则实现的;
(4)第二级过滤器:经过第一级过滤器检测后,对于被判定为符合RTSP协议规范格式的RTSP消息,采用基于异常的入侵检测技术,在会话级别上,获取所述RTSP交互消息序列特征,根据预训练的基于SVDD的单分类模型,对所述RTSP交互消息序列特征进行异常检测。
(5)根据所述第一级过滤器检测结果和所述第二级过滤器检测结果,更新IP地址黑名单。
进一步地,所述步骤(3)中的第一级过滤器的检测过程包含如下步骤:
(31)输入完整的RTSP数据包;
(32)通过预处理,将RTSP数据包的有效负载转换成<属性,值>的结构化表示特征;
(33)将RTSP数据包的所有结构化特征输入RTSP语法分析器,所有与语法分析器中预设的安全语法规则不符合的特征,都认为是异常的,对应的RTSP数据包被认为是恶意的RTSP消息;
(34)提取恶意RTSP消息的源IP地址。
进一步地,所述的第一级过滤器的检测过程中,所述RTSP语法分析器中的安全语法规则根据如下步骤建立:
(331)根据RTSP协议的RFC文档,针对其中基于ABNF语法的RTSP的形式化定义,将其转换为正则表达式定义规则,即利用编译的思想,将ABNF规则集转换为正则表达式定义;
(332)在现有的ABNF规则集上增加安全的RTSP语法规则,并将安全的语法规则转换为正则表式定义;
进一步地,所述步骤(4)中的第二级过滤器的检测过程包含如下步骤:
(41)输入符合RTSP协议规范格式的RTSP数据包,提取源IP地址和目的IP地址;
(42)在时间窗口T下,将同一交互过程中的所有请求报文和响应报文视为一组交互消息序列,经过特征工程,将每一组交互消息序列转换为所述RTSP交互消息序列特征,每一组特征以请求报文的<源IP,目的IP>作为标识;
(43)将每一组RTSP交互消息序列特征输入预训练的基于SVDD的单分类模型,输出1和-1,其中,-1即该交互消息序列特征是异常的,也即表示其对应的RTSP交互行为是异常的;
(44)对于被判定为异常的交互消息序列特征,提取其对应标识中的源IP地址。
进一步地,所述的第二级过滤器的检测过程中,所述RTSP交互消息序列特征根据如下步骤建立:
(421)将T时间段内捕获的所有RTSP消息采用基于协议关键词的表示形式,转换为由协议关键词组成的消息序列;
(422)将步骤(421)得到的消息序列转换成一系列长度为2的子序列的组合;
(423)统计步骤(422)中得到的消息序列中各子序列出现的频率,并将计算的频率添加到对应子序列中,作为第三维特征;
(424)将RTSP规范中定义的11种方法分别数字化为1,2,…,11,将步骤(423)中获得的特征映射到矢量空间,最终得到的矢量特征形如:[int1,int2,n],其中int1和int2是交互序列种相邻两个消息的数字表示,n是子序列[int1,int2]在整个消息序列中出现的频率。
优选的,所述第一级过滤器的入侵检测结果包括:检测到已知的和未知的畸形RTSP消息以及带有可疑操作命令的RTSP消息,包括但不限于RTSP畸形消息攻击和恶意结束RTSP会话攻击。
优选的,所述第二级过滤器的入侵检测结果包括:检测到已知和未知的RTSP异常交互行为,包括但不限于:RTSP凭据嗅探攻击、RTSP全连接攻击、SETUP泛洪攻击、DESCRIBE泛洪攻击、PLAY泛洪攻击。
优选的,根据所述第一级过滤器检测结果和所述第二级过滤器检测结果,将两级过滤器检测到的恶意RTSP消息或异常交互行为对应的源IP地址加入黑名单。
本发明的有益效果为:本发明所述的基于两级过滤器的RTSP混合入侵检测方法,其完整检测流程为:第一级过滤器在单个数据包的级别上检测RTSP畸形数据包攻击和恶意命令攻击,第二级过滤器在会话级别上检测RTSP异常交互行为,所有RTSP消息首先进入第一级过滤器进行恶意消息攻击检测,而经过第一级过滤器被判定为正常的RTSP消息进一步接受第二级过滤器的检测,在第二级过滤器中首先对这些结构良好的RTSP消息进行特征提取,并将提取的特征输入单分类模型进行交互行为的异常检测。其中第一级过滤器采用基于规范的入侵检测技术,第二级过滤器采用基于异常的入侵检测方法,所述的基于两级过滤器的RTSP混合入侵检测方法,不仅能检测已知的攻击,还能检测未知的攻击。
附图说明
图1为本发明两级过滤器结构图。
图2为本发明流程图。
图3为本发明制定的RTSP安全语法规则与原始规则的检测结果对比图。
图4为本发明基于提取的RTSP交互消息序列特征,使用SVDD单分类模型检测得到的ROC曲线。
具体实施方式
下面结合附图对本发明作进一步描述。如图1所示,在本发明所述的基于两级过滤器的RTSP混合入侵检测方法中,所有识别出的RTSP消息首先经过第一级过滤器(RTSP语法分析器),一些格式错误的、携带异常字符的畸形RTSP消息以及恶意的RTSP命令经过语法分析器都会被检测出来,而对于语法格式良好的消息会进一步经过特征工程处理后,进入第二级过滤器,第二级过滤器是一个半监督分类器,用于实现交互行为的异常检测。当检测到恶意RTSP消息或异常交互行为,相应的IP地址会被记录在黑名单中。所述的第一级过滤器采用基于规范的入侵检测技术,通过制定安全的RTSP语法规则,并获取RTSP数据包的结构化特征,所有与安全语法规则不匹配的特征都被认为是异常的,第一级过滤器是在单个数据包的级别上识别恶意RTSP消息;所述的第二级过滤器采用基于异常的入侵检测思想,对所有经过第一级过滤器被判定为语法结构良好的RTSP消息,首先提取交互过程中的消息序列特征,然后经过预训练的基于SVDD的单分类模型进行异常检测,第二级过滤器是在会话级别上实现RTSP异常交互行为的检测。
具体地,如图2所示,本发明包含以下步骤:
步骤1,获取监控网络的网络流量数据,所述网络流量数据是基于TCP或者UDP协议的实时流量数据。
步骤2,对所述网络流量数据进行RTSP协议识别,获取RTSP网络数据流,并对RTSP数据包进行预处理,预处理具体包括:数据包解码、数据包重组以及获取完整的RTSP数据包。其中,RTSP协议的识别本发明中使用了DPI技术,首先将RTSP有效负载的网络字节码解码为UTF-8编码的字符串,然后从字符串的特定位置提取有效前缀子串,提取的子串如果与RTSP协议指纹匹配成功,则认为是RTSP数据包。
步骤3,第一级过滤器,也即RTSP语法分析器,采用基于规范的入侵检测技术,在单个数据包的级别上,对RTSP数据包进行畸形消息和恶意操作命令的检测,获取恶意RTSP消息中的IP地址,并输出符合RTSP协议规范格式的RTSP数据包;其中,所述RTSP语法分析器是根据预设的RTSP安全语法规则实现的。所述RTSP安全语法规则是根据RTSP协议的RFC文档,利用编译的思想,将ABNF规则集转换为正则表达式定义而得到的,并在其上增加了安全的语法规则,例如安全的端口号规则可以定义为:
port=(\d{0,4}|[1-5]\d{4}|6[0-4]\d{3}|65[0-4]\d{2}|655[0-2]\d|6553[0-5])
所述RTSP语法分析器的检测过程包含如下步骤:
(31)输入完整的RTSP数据包;
(32)通过预处理,将RTSP数据包的有效负载转换成类似<属性,值>的结构化表示特征,例如RTSP首部行Cseq可以表示为:<“Cseq”,“5”>;
(33)将RTSP数据包的所有结构化特征输入RTSP语法分析器,所有与语法分析器中预设的安全语法规则不符合的特征,都认为是异常的,对应的RTSP数据包被认为是恶意的RTSP消息;
(34)提取恶意RTSP消息的源IP地址。
步骤4,第二级过滤器,经过第一级过滤器检测后,对于被认为是符合RTSP协议规范格式的RTSP消息,采用基于异常的入侵检测技术,在会话级别上,获取所述RTSP交互消息序列特征,根据预训练的基于SVDD的单分类模型,对所述RTSP交互消息序列特征进行异常检测。
所述RTSP交互序列特征,具体地可以经过如下步骤生成:
(a)将T时间段内捕获的所有RTSP消息采用基于协议关键词的表示形式,转换为由协议关键词组成的消息序列,例如:
[“OPTIONS”,“200”,“DESCROBE”,“401”,“DESCROBE”,“200”,“SETUP”,“200”,
“SETUP”,“200”,“PLAY”,“200”];
(b)将步骤(a)得到的消息序列转换成一系列长度为2的子序列的组合,例如:
[[“OPTIONS”,“200”],[“DESCROBE”,“401”],[“DESCROBE”,“200”],[“SETUP”,“200”],[“SETUP”,“200”],[“PLAY”,“200”]];
(c)统计步骤(b)中得到的消息序列中各子序列出现的频率,并将计算的频率添加到对应子序列中,作为第三维特征,例如:
[[“OPTIONS”,“200”,1],[“DESCROBE”,“401”,1],[“DESCROBE”,“200”,1],[“SETUP”,“200”,2],[“PLAY”,“200”,1]];
(d)将RTSP规范中定义的11种方法分别数字化为1,2,…,11,将步骤(c)中获得的特征映射到矢量空间,最终得到的矢量特征形如:[int1,int2,n],其中int1和int2是交互序列种相邻两个消息的数字表示,n是子序列[int1,int2]在整个消息序列中出现的频率,例如:[[4,200,1],[1,401,1],[1,200,1],[9,200,2],[6,200,1]]。
根据所述RTSP交互序列特征生成方法,所述第二级过滤器的检测过程具体地包含如下步骤:
(41)输入语法结构良好的RTSP数据包,提取源IP地址和目的IP地址;
(42)在时间窗口T下,将同一交互过程中的所有请求报文和响应报文视为一组交互消息序列,经过特征工程,将每一组交互消息序列转换为所述RTSP交互消息序列特征,每一组特征以请求报文的<源IP,目的IP>作为标识;
(43)将每一组RTSP交互消息序列特征输入预训练的半监督分类器,输出1和-1,其中,-1即表示该交互消息序列特征是异常的,也即表示其对应的RTSP交互行为是异常的;
具体地,所述半监督分类器,是基于SVDD单分类算法在数据集上训练得到的,训练结束后,SVDD在训练数据集上拟合了一个最小超球体,称为正态模型,确定了正常模型后,可以将一个新样本点的异常分数sc(z)定义为离超球体中心的距离:
Figure BDA0003110242240000061
其中αi是稀疏向量,k(x,y)是度量点xi与xj之间相似度的核函数。例如本发明采用的核函数为高斯核,高斯核函数的表达式如下所示:
Figure BDA0003110242240000062
其中σ是高斯核的超参数,定义了权重空间视角下特征空间映射前后样本间距离的比例。
(44)对于被判定为异常的交互消息序列特征,提取其对应标识中的源IP地址。
步骤5,根据所述第一级过滤器检测结果和所述第二级过滤器检测结果,更新IP地址黑名单。
本发明提出的基于两级过滤器的RTSP混合入侵检测方法中,第一级过滤器采用基于规范的入侵检测技术,通过制定安全的RTSP语法规则,实现RTSP恶意消息攻击的检测,第二级过滤器采用基于异常的入侵检测技术,实现RTSP异常交互行为的检测。图3展示了恶意消息的检测结果,通过统计分析可知,当使用原始的RFC2326规则进行检测时,1638条恶意消息中只有1319条消息被检测到,而本文定义的安全RTSP语法规则的检测精度达到100%。图4是本发明基于提取的RTSP交互消息序列特征,使用SVDD单分类模型检测得到的ROC曲线,通过计算ROC曲线下面积,得到对应的AUC值高达0.9723。
本发明所公开的技术手段不仅限于上述技术手段所公开的技术手段,还包括由以上技术特征等同替换所组成的技术方案。本发明的未尽事宜,属于本领域技术人员的公知常识。

Claims (8)

1.一种基于两级过滤器的RTSP混合入侵检测方法,其特征在于,该方法包括以下步骤:
(1)获取网络流量数据;
(2)通过对步骤(1)中获取的网络流量数据进行RTSP协议识别,获取RTSP网络数据流,并对RTSP网络数据流中的每个RTSP数据包进行预处理,预处理具体包括:数据包解码、数据包重组以及获取完整的RTSP数据包;
(3)第一级过滤器检测:根据RTSP语法分析器,采用基于规范的入侵检测技术,在单个数据包的级别上,对RTSP数据包进行畸形消息和恶意操作命令的检测,获取恶意RTSP消息中的IP地址,并输出符合RTSP协议规范格式的RTSP数据包;其中,所述RTSP语法分析器是根据预设的RTSP安全语法规则实现的;
(4)第二级过滤器检测:经过第一级过滤器检测后,所有被认为是符合RTSP协议规范格式的RTSP消息,进一步采用基于异常的入侵检测技术,在会话级别上,获取RTSP交互消息序列特征,根据预训练的基于SVDD的单分类模型,对所述RTSP交互消息序列特征进行异常检测;
(5)根据所述第一级过滤器检测结果和所述第二级过滤器检测结果,更新IP地址黑名单。
2.根据权利要求1所述的基于两级过滤器的RTSP混合入侵检测方法,其特征在于,步骤(3)中所述的第一级过滤器检测过程包含如下步骤:
(31)输入完整的RTSP数据包;
(32)经过预处理,将RTSP数据包的有效负载转换成<属性,值>的结构化特征;
(33)将RTSP数据包的所有结构化特征输入RTSP语法分析器,所有与RTSP语法分析器中预设的安全语法规则不符合的特征,都认为是异常的,对应的RTSP数据包被认为是恶意的RTSP消息;
(34)提取恶意RTSP消息的源IP地址。
3.根据权利要求2所述的基于两级过滤器的RTSP混合入侵检测方法,其特征在于,所述第一级过滤器的检测过程中,RTSP语法分析器中的预设的RTSP安全语法规则根据如下步骤建立:
(331)根据RTSP协议的RFC文档,针对其中基于ABNF语法的RTSP的形式化定义,将其转换为正则表达式定义规则,即利用编译的思想,将ABNF规则集转换为正则表达式定义;
(332)在现有的ABNF规则集上增加安全的RTSP语法规则,并将安全的语法规则转换为正则表式定义。
4.根据权利要求1所述的基于两级过滤器的RTSP混合入侵检测方法,其特征在于,步骤(4)中所述的第二级过滤器检测的过程包含如下步骤:
(41)输入符合RTSP协议规范格式的RTSP数据包,提取源IP地址和目的IP地址;
(42)在时间窗口T下,将同一交互过程中的所有请求报文和响应报文视为一组交互消息序列,将每一组交互消息序列转换为RTSP交互消息序列特征,每一组特征以请求报文的<源IP,目的IP>作为标识;
(43)将每一组RTSP交互消息序列特征输入预训练的基于SVDD的单分类模型,输出1和-1,其中,-1即表示该交互消息序列特征是异常的,也即表示其对应的RTSP交互行为是异常的;
(44)对于被判定为异常的交互消息序列特征,提取其对应标识中的源IP地址。
5.根据权利要求4所述的基于两级过滤器的RTSP混合入侵检测方法,其特征在于,所述第二级过滤器的检测过程中,RTSP交互消息序列特征根据如下步骤建立:
(421)将T时间段内捕获的所有RTSP消息采用基于协议关键词的表示形式,转换为由协议关键词组成的消息序列;
(422)将步骤(421)得到的消息序列转换成一系列长度为2的子序列的组合;
(423)统计步骤(422)中得到的消息序列中各子序列出现的频率,并将计算的频率添加到对应子序列中,作为第三维特征;
(424)将RTSP规范中定义的11种方法分别数字化为1,2,…,11,将步骤(423)中获得的特征映射到矢量空间,最终得到的矢量特征形如:[int1,int2,n],其中int1和int2是交互序列种相邻两个消息的数字表示,n是子序列[int1,int2]在整个消息序列中出现的频率。
6.根据权利要求1所述的基于两级过滤器的RTSP混合入侵检测方法,其特征在于,所述第一级过滤器的入侵检测结果包括:
检测到已知的和未知的畸形RTSP消息以及带有可疑操作命令的RTSP消息,包括但不限于RTSP畸形消息攻击和恶意结束RTSP会话攻击。
7.根据权利要求1所述的基于两级过滤器的RTSP混合入侵检测方法,其特征在于,所述第二级过滤器的入侵检测结果包括:
检测到已知和未知的RTSP异常交互行为,包括但不限于:RTSP凭据嗅探攻击、RTSP全连接攻击、SETUP泛洪攻击、DESCRIBE泛洪攻击、PLAY泛洪攻击。
8.根据权利要求1所述的基于两级过滤器的RTSP混合入侵检测方法,其特征在于:根据所述第一级过滤器检测结果和所述第二级过滤器检测结果,将两级过滤器检测到的恶意RTSP消息或异常交互行为对应的源IP地址加入黑名单。
CN202110648724.7A 2021-06-10 2021-06-10 一种基于两级过滤器的rtsp混合入侵检测方法 Active CN113382003B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110648724.7A CN113382003B (zh) 2021-06-10 2021-06-10 一种基于两级过滤器的rtsp混合入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110648724.7A CN113382003B (zh) 2021-06-10 2021-06-10 一种基于两级过滤器的rtsp混合入侵检测方法

Publications (2)

Publication Number Publication Date
CN113382003A CN113382003A (zh) 2021-09-10
CN113382003B true CN113382003B (zh) 2022-04-29

Family

ID=77573643

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110648724.7A Active CN113382003B (zh) 2021-06-10 2021-06-10 一种基于两级过滤器的rtsp混合入侵检测方法

Country Status (1)

Country Link
CN (1) CN113382003B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115086070B (zh) * 2022-07-20 2022-11-15 山东省计算中心(国家超级计算济南中心) 工业互联网入侵检测方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9226252B2 (en) * 2013-06-03 2015-12-29 King Fahd University Of Petroleum And Minerals Recursive time synchronization protocol method for wireless sensor networks

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于RTSP协议的流媒体双向认证模型的研究;刘焱等;《计算机应用与软件》;20090815(第08期);全文 *

Also Published As

Publication number Publication date
CN113382003A (zh) 2021-09-10

Similar Documents

Publication Publication Date Title
CN109063745B (zh) 一种基于决策树的网络设备类型识别方法及系统
CN109450842B (zh) 一种基于神经网络的网络恶意行为识别方法
US11902126B2 (en) Method and system for classifying a protocol message in a data communication network
Narayan et al. A survey of automatic protocol reverse engineering tools
Sija et al. A survey of automatic protocol reverse engineering approaches, methods, and tools on the inputs and outputs view
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
CN107657174B (zh) 一种基于协议指纹的数据库入侵检测方法
Wressnegger et al. Zoe: Content-based anomaly detection for industrial control systems
CN109450721B (zh) 一种基于深度神经网络的网络异常行为识别方法
CN111147394B (zh) 一种远程桌面协议流量行为的多级分类检测方法
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
CN112491917B (zh) 一种物联网设备未知漏洞识别方法及装置
CN112532642B (zh) 一种基于改进Suricata引擎的工控系统网络入侵检测方法
CN116346384A (zh) 一种基于变分自编码器的恶意加密流量检测方法
CN112134873B (zh) 一种IoT网络异常流量实时检测方法及系统
CN112804253A (zh) 一种网络流量分类检测方法、系统及存储介质
CN112507336A (zh) 基于代码特征和流量行为的服务端恶意程序检测方法
CN113382003B (zh) 一种基于两级过滤器的rtsp混合入侵检测方法
CN115134250A (zh) 一种网络攻击溯源取证方法
Li et al. Transfer-learning-based network traffic automatic generation framework
Yang et al. Naruto: DNS covert channels detection based on stacking model
Yujie et al. End-to-end android malware classification based on pure traffic images
CN113965393A (zh) 一种基于复杂网络和图神经网络的僵尸网络检测方法
Wan et al. DevTag: A benchmark for fingerprinting IoT devices
CN116170227A (zh) 一种流量异常的检测方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant