CN114978561A - 一种实时高速网络tcp协议旁路批量主机阻断方法及系统 - Google Patents

Abstract

本发明提供一种实时高速网络TCP协议旁路批量主机阻断方法及系统，所述方法包括获取需要阻断的I P列表；通过旁路分析高速网络的TCP数据包，判断TCP数据包的源I P地址或目的I P地址是否在I P列表内，如果在，生成对应的伪造的reset阻断封包；将reset阻断封包分别发送到TCP数据包的源I P地址和目的I P地址，进行双向阻断；该阻断方法及系统阻断网络不需要借助传统的防火墙、路由器等设备，通过旁路部署，无需串联到网络中，可以应对高复杂性的网络结构。

Description

一种实时高速网络TCP协议旁路批量主机阻断方法及系统

技术领域

本发明属于主机阻断技术领域，特别涉及一种实时高速网络TCP协议旁路批量主机阻断方法及系统。

背景技术

常见的阻断恶意攻击，都是通过防火墙、路由器ACL策略等方式，需要耗费大量人工去调整策略阻断恶意主机，且手工操作速度慢，无法达到发现异常实时阻断的效果。针对多个出口高并发网络环境，甚至需要切换不同的防火墙和路由器重复配置阻断策略。且该方式依赖于传统的防火墙和路由器设备，无法应对复杂的网络结构。一旦防火墙或路由器出现故障，将导致整个网络中断。

常见旁路阻断，都是基于局域网，通过普通操作系统网络协议解析网络封包，发送阻断封包，当在高速的互联网环境下，因丢包率高、处理速度慢，无法达到阻断目标的效果。

发明内容

本发明提供一种实时高速网络TCP协议旁路批量主机阻断方法及系统。

为达到上述目的，本发明采用如下技术方案：

本发明其中一个技术方案提供一种实时高速网络TCP协议旁路批量主机阻断方法，所述方法包括：

获取需要阻断的IP列表；

通过旁路分析高速网络的TCP数据包，判断TCP数据包的源IP地址或目的IP地址是否在IP列表内，如果在，生成对应的伪造的reset阻断封包；

将reset阻断封包分别发送到TCP数据包的源IP地址和目的IP地址，进行双向阻断。

结合第一个技术方案，在第一个技术方案的第一种可能的实现方式中，所述通过旁路分析高速网络的TCP数据包为利用DPDK技术解析TCP协议进而获取TCP数据包。

结合第一个技术方案，进一步改进的技术方案中，通过软件接口自动获取需要阻断的IP列表。

结合第一个技术方案，进一步改进的技术方案中，如果TCP数据包的源IP地址或目的IP地址不在IP列表内，检测所述TCP数据包的IP地址是否为需要阻断的IP，如果是，生成对应的伪造的reset阻断封包。

结合第一个技术方案，进一步改进的技术方案中，检测所述TCP数据包的IP地址是否为需要阻断的IP具体包括：

解析历史TCP数据包内的流量信息，所述流量信息包括IP地址、数据包数量及IP类型，所述IP类型包括需阻断IP及正常IP；

利用K-means算法和随机森林算法对流量信息进行训练，获取阻断检测模型；

利用阻断检测模型检测TCP数据包的IP地址是否为需要阻断的IP。

结合第一个技术方案，进一步改进的方案中，所述利用K-means算法和随机森林算法对流量信息进行训练，获取阻断检测模型具体包括：

采用K-means算法对流量信息进行聚类，得到K个聚类簇，K＞1；

分别从K个聚类簇内随机选择i个样本，共计N个样本，N＝K×i；每一样本都具有m个特征；其中i＞1，m＞1；

从m个特征中随机选择r个特征，对N个样本利用选择的r个特征建立决策树，r＞1；

重复M轮，当进行第j轮时，将从第h个聚类簇内取出的i个样本放入第h+j个聚类簇内，且从m个特征中随机选择r+j个特征，j＝1、2......M，1＜M≤K，M＜m，r+j＜m，h＝j＝1、2......K，直至构建c棵决策树，形成阻断检测模型。

本发明第二个技术方案提一种实时高速网络TCP协议旁路批量主机阻断系统，其特征在于，所述系统包括：

获取模块，所述获取模块被配置为获取需要阻断的IP列表；

判断模块，所述判断模块被配置为通过旁路分析高速网络的TCP数据包，判断TCP数据包的源IP地址或目的IP地址是否在IP列表内，如果在，生成对应的伪造的reset阻断封包；

发送模块，所述发送模块被配置为将reset阻断封包分别发送到TCP数据包的源IP地址和目的IP地址，进行双向阻断。

本发明提供的一种实时高速网络TCP协议旁路批量主机阻断方法及系统具有如下优点：

1、该阻断方法及系统阻断网络不需要借助传统的防火墙、路由器等设备，通过旁路部署，无需串联到网络中，可以应对高复杂性的网络结构。

2、普通通过防火墙、路由器等设备方式阻断，一旦设备故障，将导致整个网络中断事故，该阻断方法及系统因旁路部署，即使设备出现硬件故障，也不影响正常网络运行。

3、该阻断方法及系统使用DPDK技术比普通通过操作系统网络协议进行阻断的方法，处理速度快，丢包率低，可以应对10G以上高速网络。

4、该阻断方法及系统通过接口实现实时阻断，比普通通过防火墙策略和交换机ACL策略添加阻断策略，无需人工操作速度更快，灵活性更高。

5、该阻断方法及系统可以实时批量阻断大量主机，阻断主机数量受物理网络带宽和服务性能影响，理论上只要网络带宽足够大、服务器处理速度足够快，可以阻断整个网络内所有主机。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1是本发明其中一个实施例提供的一种实时高速网络TCP协议旁路批量主机阻断方法的流程示意图；

图2是本发明再一个实施例提供的一种实时高速网络TCP协议旁路批量主机阻断方法的流程示意图；

图3是本发明提供的检测所述TCP数据包的IP地址是否为需要阻断的IP的流程示意图；

图4是本发明提供的利用K-means算法和随机森林算法对流量信息进行训练，获取阻断检测模型的流程示意图；

图5是本发明提供的采用K-means算法对流量信息进行聚类，得到K个聚类簇的流程示意图；

图6是本发明另一个实施例提供的一种实时高速网络TCP协议旁路批量主机阻断系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明其中一实施例提供一种实时高速网络TCP协议旁路批量主机阻断方法，如图1所示，所述方法包括：

S1、获取需要阻断的IP列表；

其中，本申请通过软件接口自动接收需要阻断的IP列表，后续对这个IP列表中的主机进行自动化批量阻断。

S2、通过旁路分析高速网络的TCP数据包，判断TCP数据包的源IP地址或目的IP地址是否在IP列表内，如果在，生成对应的伪造的reset阻断封包；

本申请使用DPDK技术解析高速网络的TCP协议传输的数据包。

新的网络形势下，基于传统操作系统内核的数据采集机制丢包率高、吞吐量低，难以满足当前人们日益增长的高速网络环境需求。随着网络速度的逐步提升，网络安全检测过程中数据采集的性能遇到困难。在当前的高速网络环境中，高性能系统需要在极其有限的时间内成功地收集和处理大量数据，因此如何高效、完整、快速捕获数据包，是准确分析网络数据的基础以及进行下一步管控的关键。而传统的收发报文方式都必须采用硬中断来做通讯，每次硬中断大约消耗100微秒，其中还不包含因终止上下文所带来的Cache Miss。数据须在内核态与用户态之间切换拷贝，这会带来大量CPU消耗以及全局锁竞争。收发包都会产生系统调用的开销。内核工作在多核上，可为了全局一致，即使采用Lock Free，也避免不了锁总线、内存屏障带来的性能损耗。从网卡到业务进程经过的路径过长，某些框架会产生一定的消耗并且容易Cache Miss，例如Netfilter框架。因此无法适应当前网络场景对于大规模高速数据处理的需求，成为了服务器报文处理的性能瓶颈。

DPDK技术为加速网络I/O提供了新的思路和解决方案。DPDK技术主要基于Linux系统运行，用于快速数据包处理的函数库与驱动集合，可以极大提高数据处理性能和吞吐量，提高数据平面应用程序的工作效率。它通过UIO技术将报文拷贝到用户空间进行处理，从而绕过内核协议栈；通过大页内存，提高TLB命中率，降低TLB miss开销，进而提高CPU访问速度；通过CPU亲和性，绑定网卡和线程到固定的core，减少CPU任务切换；通过无锁队列，减少资源竞争；解决了从网卡进行高速收包的问题。

S3、将reset阻断封包分别发送到TCP数据包的源IP地址和目的IP地址，进行双向阻断。

TCP Reset报文：TCP的异常终止是相对于正常释放TCP连接的过程而言的，TCP连接的建立是通过三次握手完成的，而TCP正常释放连接是通过四次挥手来完成，但是有些情况下，TCP在交互的过程中会出现一些意想不到的情况，导致TCP无法按照正常的四次挥手来释放连接，如果此时不通过其他的方式来释放TCP连接的话，这个TCP连接将会一直存在，占用系统的部分资源。在这种情况下，需要有一种能够释放TCP连接的机制，这种机制就是TCP的reset报文。reset报文是指TCP报头的标志字段中的reset位置一的报文。

当客户端收到伪造的reset消息时就会断开该连接而不再等待服务器真正的返回信息。而实际上通过将TCP连接时服务器发回的SYN/ACK包中服务器向用户发送的序列号改为0，从而使客户端受骗认为服务器重置了连接而主动放弃向服务器发送请求，从而达到阻断主机的目的。

本申请提供的实时高速网络TCP协议旁路批量主机阻断方法阻断网络不需要借助传统的防火墙、路由器等设备，通过旁路部署，无需串联到网络中，可以应对高复杂性的网络结构；因旁路部署，即使设备出现硬件故障，也不影响正常网络运行；使用DPDK技术比普通通过操作系统网络协议进行阻断的方法，处理速度快，丢包率低，可以应对10G以上高速网络；通过接口实现实时阻断，比普通通过防火墙策略和交换机ACL策略添加阻断策略，无需人工操作速度更快，灵活性更高；可以实时批量阻断大量主机，阻断主机数量受物理网络带宽和服务性能影响，理论上只要网络带宽足够大、服务器处理速度足够快，可以阻断整个网络内所有主机。

本发明再一实施例提供一种实时高速网络TCP协议旁路批量主机阻断方法，如图2所示，所述方法包括：

S1、获取需要阻断的IP列表；

其中，本申请通过软件接口自动接收需要阻断的IP列表，后续对这个IP列表中的主机进行自动化批量阻断。

S2、通过旁路分析高速网络的TCP数据包，判断TCP数据包的源IP地址或目的IP地址是否在IP列表内，如果在，生成对应的伪造的reset阻断封包；如果不在，检测所述TCP数据包的IP地址是否为需要阻断的IP，如果是，生成对应的伪造的reset阻断封包；

本申请使用DPDK技术解析高速网络的TCP协议传输的数据包。

如图3所示，检测所述TCP数据包的IP地址是否为需要阻断的IP具体包括：

S21、解析历史TCP数据包内的流量信息，所述流量信息包括IP地址、数据包数量及IP类型，所述IP类型包括需阻断IP及正常IP；

S22、利用K-means算法和随机森林算法对流量信息进行训练，获取阻断检测模型；

如图4所示，利用K-means算法和随机森林算法对流量信息进行训练，获取阻断检测模型具体包括：

S221、采用K-means算法对流量信息进行聚类，得到K个聚类簇，K＞1；

如图5所示，采用K-means算法对流量信息进行聚类，得到K个聚类簇，具体步骤如下：

S2211、确定聚类数目K；所述确定聚类数目K的具体方法包括：

计算各流量信息之间的Pearson相关系数，将Pearson相关系数大于阈值的样本形成集合P_a，其余的样本形成集合P_b；

其中Pearson相关系数阈值可以人为设定。

分别从集合P_a和集合P_b中找到密度最大的样本x_a1和样本x_b1；

从集合P_a中距离样本x_a1最近的样本开始遍历，寻找与样本x_a1形成集合G_a1的样本,直至集合G_a1内所有样本的RSD_a＞阈值RSD₀时，停止寻找；从集合P_b中距离样本x_b1最近的样本开始遍历，寻找与样本x_b1形成集合G_b1的样本，直至集合G_b1内所有样本的RSD_b＞阈值RSD₀时,停止寻找；

其中，A表示集合G_a1中样本的个数，d_aA表示样本x_a1距离第A个样本的欧式距离；

其中，B表示集合G_b1中样本的个数，d_aB表示样本x_b1距离第B个样本的欧式距离；

分别将集合P₁和集合P₂内剩余的样本重复上述步骤，依次循环，直至形成k_a个集合及k_b个集合，其中k_a＝{G_a1,G_a2,...,G_ka},k_b＝{G_b1,Gb2,...,G_kb}

分别计算k_a个集合和k_b个集合中的每一集合的质心

其中y为a或b，|c_iy|为k_a个集合或k_b个集合每一集合的样本个数；

计算每一质心之间的欧式距离，将欧式距离小于距离阈值d_min的两个集合合并，统计集合的个数即为K值；

本申请在进行K-Means聚类时，聚类数目K不是随便选择，而是根据数据的特性进行选择，进而显著提高了K-Means聚类的准确性及稳定性，并且克服了传统K-Means聚类无法得到全局的最优解的问题。

S2212、在流量信息中随机选取K条作为各个簇的中心点{μ₁,μ₂,…,μ_K}；

S2213、计算所有流量信息和各个簇中心点之间的距离dist(x^(m),μ_n)，对于每条流量信息，将其划入最近的簇中x^(m)∈μ_nearest；

S2214、根据簇中已有的样本点，重新计算簇中心，其计算公式为：

其中|C_n|表示簇n的流量信息数；

S2215、重复步骤S2213-S2214，直至各簇中心值收敛，得到K个聚类簇；

S222、分别从K个聚类簇内随机选择i个样本，共计N个样本，N＝K×i；每一样本都具有m个特征；其中i＞1，m＞1；

S223、从m个特征中随机选择r个特征，对N个样本利用选择的r个特征建立决策树，r＞1；

S224、重复M轮，当进行第j轮时，将从第h个聚类簇内取出的i个样本放入第h+j个聚类簇内，且从m个特征中随机选择r+j个特征，j＝1、2......M，1＜M≤K，M＜m，r+j＜m，h＝j＝1、2......K，直至构建c棵决策树，形成阻断检测模型；

当j＝2时，将从第1个聚类簇内取出的i个样本放入第3个聚类簇内，将从第2个聚类簇内取出的i个样本放入第4个聚类簇内；然后在分别从K个聚类簇内取出i个样本，共计N个样本，每个样本具有m个特征，从m个特征中随机选择r+2个特征，对N个样本利用选择的r+2个特征建立决策树。依次类推直至构建c棵决策树。

S23、利用阻断检测模型检测TCP数据包的IP地址是否为需要阻断的IP；

利用K-means算法和随机森林算法对需要阻断IP进行检测，提高检测准确性。

S3、将reset阻断封包分别发送到TCP数据包的源IP地址和目的I P地址，进行双向阻断。

本申请提供的实时高速网络TCP协议旁路批量主机阻断方法利用K-means算法和随机森林算法结合对未知IP进行检测，利用K-means算法选择随机森林的参数，克服了随机森林算法使用默认参数影响最终预测准确性的问题。提高了阻断检测模型的拟合能力，最终提高了需阻断IP判断的准确性。

本发明其中另一些实施例提供一种实时高速网络TCP协议旁路批量主机阻断系统，如图6所示，所述系统包括：

获取模块10，所述获取模块被配置为获取需要阻断的IP列表；

其中，本申请通过软件接口自动接收需要阻断的IP列表，后续对这个IP列表中的主机进行自动化批量阻断。

判断模块20，所述判断模块被配置为通过旁路分析高速网络的TCP数据包，判断TCP数据包的源IP地址或目的IP地址是否在IP列表内，如果在，生成对应的伪造的reset阻断封包；

本申请使用DPDK技术解析高速网络的TCP协议传输的数据包。

新的网络形势下，基于传统操作系统内核的数据采集机制丢包率高、吞吐量低，难以满足当前人们日益增长的高速网络环境需求。随着网络速度的逐步提升，网络安全检测过程中数据采集的性能遇到困难。在当前的高速网络环境中，高性能系统需要在极其有限的时间内成功地收集和处理大量数据，因此如何高效、完整、快速捕获数据包，是准确分析网络数据的基础以及进行下一步管控的关键。而传统的收发报文方式都必须采用硬中断来做通讯，每次硬中断大约消耗100微秒，其中还不包含因终止上下文所带来的Cache Miss。数据须在内核态与用户态之间切换拷贝，这会带来大量CPU消耗以及全局锁竞争。收发包都会产生系统调用的开销。内核工作在多核上，可为了全局一致，即使采用Lock Free，也避免不了锁总线、内存屏障带来的性能损耗。从网卡到业务进程经过的路径过长，某些框架会产生一定的消耗并且容易Cache Miss，例如Netfilter框架。因此无法适应当前网络场景对于大规模高速数据处理的需求，成为了服务器报文处理的性能瓶颈。

DPDK技术为加速网络I/O提供了新的思路和解决方案。DPDK技术主要基于Linux系统运行，用于快速数据包处理的函数库与驱动集合，可以极大提高数据处理性能和吞吐量，提高数据平面应用程序的工作效率。它通过UIO技术将报文拷贝到用户空间进行处理，从而绕过内核协议栈；通过大页内存，提高TLB命中率，降低TLB miss开销，进而提高CPU访问速度；通过CPU亲和性，绑定网卡和线程到固定的core，减少CPU任务切换；通过无锁队列，减少资源竞争；解决了从网卡进行高速收包的问题。

发送模块30，所述发送模块被配置为将reset阻断封包分别发送到TCP数据包的源IP地址和目的IP地址，进行双向阻断。

TCP Reset报文：TCP的异常终止是相对于正常释放TCP连接的过程而言的，TCP连接的建立是通过三次握手完成的，而TCP正常释放连接是通过四次挥手来完成，但是有些情况下，TCP在交互的过程中会出现一些意想不到的情况，导致TCP无法按照正常的四次挥手来释放连接，如果此时不通过其他的方式来释放TCP连接的话，这个TCP连接将会一直存在，占用系统的部分资源。在这种情况下，需要有一种能够释放TCP连接的机制，这种机制就是TCP的reset报文。reset报文是指TCP报头的标志字段中的reset位置一的报文。

当客户端收到伪造的reset消息时就会断开该连接而不再等待服务器真正的返回信息。而实际上通过将TCP连接时服务器发回的SYN/ACK包中服务器向用户发送的序列号改为0，从而使客户端受骗认为服务器重置了连接而主动放弃向服务器发送请求，从而达到阻断主机的目的。

本申请提供的实时高速网络TCP协议旁路批量主机阻断系统阻断网络不需要借助传统的防火墙、路由器等设备，通过旁路部署，无需串联到网络中，可以应对高复杂性的网络结构；因旁路部署，即使设备出现硬件故障，也不影响正常网络运行；使用DPDK技术比普通通过操作系统网络协议进行阻断的方法，处理速度快，丢包率低，可以应对10G以上高速网络；通过接口实现实时阻断，比普通通过防火墙策略和交换机ACL策略添加阻断策略，无需人工操作速度更快，灵活性更高；可以实时批量阻断大量主机，阻断主机数量受物理网络带宽和服务性能影响，理论上只要网络带宽足够大、服务器处理速度足够快，可以阻断整个网络内所有主机。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random AccessMemory，RAM)等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims (7)

1.一种实时高速网络TCP协议旁路批量主机阻断方法，其特征在于，所述方法包括：

获取需要阻断的IP列表；

通过旁路分析高速网络的TCP数据包，判断TCP数据包的源IP地址或目的IP地址是否在IP列表内，如果在，生成对应的伪造的reset阻断封包；

将reset阻断封包分别发送到TCP数据包的源IP地址和目的IP地址，进行双向阻断。

2.根据权利要求1所述的实时高速网络TCP协议旁路批量主机阻断方法，其特征在于，所述通过旁路分析高速网络的TCP数据包为利用DPDK技术解析TCP协议进而获取TCP数据包。

3.根据权利要求1所述的实时高速网络TCP协议旁路批量主机阻断方法，其特征在于，通过软件接口自动获取需要阻断的IP列表。

4.根据权利要求1所述的实时高速网络TCP协议旁路批量主机阻断方法，其特征在于，如果TCP数据包的源IP地址或目的IP地址不在IP列表内，检测所述TCP数据包的IP地址是否为需要阻断的IP，如果是，生成对应的伪造的reset阻断封包。

5.根据权利要求4所述的实时高速网络TCP协议旁路批量主机阻断方法，其特征在于，检测所述TCP数据包的IP地址是否为需要阻断的IP具体包括：

解析历史TCP数据包内的流量信息；

利用K-means算法和随机森林算法对流量信息进行训练，获取阻断检测模型；

利用阻断检测模型检测TCP数据包的IP地址是否为需要阻断的IP。

6.根据权利要求1所述的实时高速网络TCP协议旁路批量主机阻断方法，其特征在于，所述利用K-means算法和随机森林算法对流量信息进行训练，获取阻断检测模型具体包括：

采用K-means算法对流量信息进行聚类，得到K个聚类簇，K＞1；

分别从K个聚类簇内随机选择i个样本，共计N个样本，N＝K×i；每一样本都具有m个特征；其中i＞1，m＞1；

从m个特征中随机选择r个特征，对N个样本利用选择的r个特征建立决策树，r＞1；

重复M轮，当进行第j轮时，将从第h个聚类簇内取出的i个样本放入第h+j个聚类簇内，且从m个特征中随机选择r+j个特征，j＝1、2......M，1＜M≤K，M＜m，r+j＜m，h＝j＝1、2......K，直至构建c棵决策树，形成阻断检测模型。

7.一种实时高速网络TCP协议旁路批量主机阻断系统，其特征在于，所述系统包括：

获取模块，所述获取模块被配置为获取需要阻断的IP列表；

判断模块，所述判断模块被配置为通过旁路分析高速网络的TCP数据包，判断TCP数据包的源IP地址或目的IP地址是否在IP列表内，如果在，生成对应的伪造的reset阻断封包；

发送模块，所述发送模块被配置为将reset阻断封包分别发送到TCP数据包的源IP地址和目的IP地址，进行双向阻断。

Images